一种基于物联网用户行为可信的检测方法与流程

本发明涉及物联网安全技术技术领域，尤其涉及一种基于物联网用户行为可信的检测方法。

背景技术：

物联网技术的普及和快速发展让越来越多设备智能化，在公共领域、智慧环境(如智慧家庭、智慧办公、智慧工厂)领域、个人和社会领域等方面都有深入应用；物联网的工作原理就是把各种安装了传感装置(包括传感器、rfid装置等)的设备、货物和基础设施与通信网络连接起来，使得这些物体能够相互进行通信和共同工作，同时通过app能被远程感知和控制，从而实现人与人、人与物以及物与物的互联、相融与互动的网络系统，以提高资源利用率和生产力水平，通过更加精细和动态的方式管理生产和生活。

物联网将我们常用设备甚至信息都进行了互联互通，这样在提供了便利的同时也埋下了安全隐患，如设备可被远程劫持，用户隐私易被泄露和攻击。在实际的摄像头入侵案例中，黑客们也正是先通过很多非法扫描软件，然后借助这些扫描软件获取摄像头的ip地址，接着依靠扫描器，用一些弱口令密码，做大范围的扫描。最终通过获得的弱口令密码来实现对摄像头的入侵，从而导致个人隐私的泄露。除了这种端口扫描攻击外，随着iot设备的增多，黑客们还有很多攻击手段比如：僵尸网络(一般由物联网设备打造的僵尸网络称做thingbots)攻击便是一种。thingbots是由不同种类的设备组成的，它们都是互联互通的。黑客们在网上激活这些设备后，就可以通过它们来进行僵尸网络攻击，通过iot设备来发送大量的垃圾邮件或者信息。

目前物联网设备出现这么多安全问题的原因主要有以下几点：

一是成本问题，部分生产商为了节省成本，使用通用、开源的操作系统，或未经过安全检测的第三方组件，这很可能会引入漏洞；同样是基于成本考虑，大多数物联网设备不会保护调试接口，这给了攻击者趁虚而入的机会。

二是很多厂商缺乏安全意识和安全能力，在开发物联网智能设备时没有做好安全考虑，导致软硬件安全漏洞的产生。同时，很多设备也缺乏软件安全更新机制，或机制不安全，导致漏洞无法被修复，造成恶劣的后果。

三是身份认证和授权机制薄弱。物联网智能终端设备规模很大，相互协同工作的设备可能属于不同供应商，这导致终端之间的身份认证很难实现。此外，大量的设备还在使用弱密码，这让黑客可以很容易控制设备。

因此物联网中存在被攻击被利用的安全风险问题，传统的安全机制能够解决用户的身份可信，但不能保证设备的使用行为和访问行为可信。

技术实现要素：

本发明提供了一种基于物联网用户行为可信的检测方法，以解决现有技术中物联网中存在的被攻击被利用的安全风险问题。

本发明采用的技术方案是：一种基于物联网用户行为可信的检测方法，其特征在于包括以下步骤：

步骤一：实时采集物联网设备的行为数据，所述行为数据包括使用时间、设备序列号、设备硬件型号、设备的操作行为数据；

步骤二：使用物联网设备序列号作为标识符，并对采集的操作行为数据进行归一化处理，对每一个操作行为数据进行编号，并映射成数字，形成行为序列数据；

步骤三：把行为序列数据作为训练数据导入lstmseq2seq模型中，采用损失函数均方误差来进行模型训练；

步骤四：在训练好的模型中输入实时采集的行为序列数据，经过基于lstmseq2seq模型生成下一时刻的预测数据；

步骤五：根据实际采集到的下一时刻的实际操作行为数据,计算得到预测数据和实际操作行为数据的差异值；

步骤六：将步骤五中差异值基于正态分布的离群检测方法准则来判断用户行为是否可信。

优选地，步骤三中，所述lstmseq2seq模型包括两个子模型：一个是编码模型，所述编码模型将输入序列转化成一个固定长度的向量，另一个是解码模型，所述解码模型将输入的固定长度的向量解码并输出预测序列。

优选地，步骤三中，通过优化lstmseq2seq模型参数，使均方误差值减小。

优选地，步骤六中，利用离群检测方法的3σ准则判断用户行为是否可信，若e中元素vi满足|vi-u|>3σ条件的数据即判断为异常，说明用户行为不可信，否则用户行为可信；e为差异值的集合，vi为e中的元素，u为e的平均值，σ为e的标准差。

本发明的有益效果是：物联网中传统的安全机制能够解决用户的身份可信，进行用户身份认证，但不能保证设备的使用行为和访问行为可信。因此在已有安全技术的基础上增加行为可信分析检测,确保物联网设备的行为可信，解决物联网中存在的被攻击被利用的安全风险，能有效防范不法分子的攻击入侵泄露隐私或窃取资源等安全风险问题。

附图说明

图1为本发明公开的一种基于物联网用户行为可信的检测方法流程图。

具体实施方式

为了使本发明的目的、技术方案和优点更加清楚，下面将结合附图对本发明作进一步详细描述，但本发明的实施方式不限于此。

实施例1：

参见图1，一种基于物联网用户行为可信的检测方法，包括以下步骤：

步骤一：实时采集物联网设备的行为数据；

具体的，行为数据包括使用时间、设备序列号(即设备id)、设备硬件型号(如摄像头、电视机、冰箱等物联网设备)、设备的操作行为数据；设备的操作行为数据包括摄像头云台左移、摄像头云台右移、摄像头拉近、摄像头拉远、访问设备等，电视开机、换台操作、筛选节目操作、调节音量、访问的资源、访问的设备等操作。

采集数据内容如下：

时间：2020.3.1812:00:00；

设备序列号(id):用于唯一标示设备的字符；

设备硬件型号：camera；

设备操作数据：摄像头云台左移、摄像头云台右移、摄像头拉近、摄像头拉远。

步骤二：使用物联网设备id作为标识符，并对采集的操作行为数据进行归一化处理，对每一个操作行为数据进行编号，并映射成数字，形成行为序列数据。

具体的，使用设备id作为用户标识，将操作行为数据进行编号处理如下：

摄像头云台左移：x1

摄像头云台右移：x2

焦距拉近：x3

焦距拉远：x4

焦距还原：x5

对每个行为数据编号后形成行为序列数据x＝(x1,x2,x3,x4,x5…xn)，对行为序列数据中的数据进行数值型编码处理映射成数字，如x＝(1,2,3,…n)。

步骤三：把行为序列数据作为训练数据导入lstmseq2seq模型中，采用损失函数均方误差来进行模型训练，误差越小，说明模型的预测值越接近真实值；若均方误差值较大时可以通过优化模型参数，使其均方误差值减小。均方误差公式如下：

yk表示预测数据，xk表示真实数据，n表示样本数。

具体的，基于lstmseq2seq模型包括两个子模型：一个是编码模型，编码模型将输入序列转化成一个固定长度的向量，另一个是解码模型，解码模型将输入的固定长度的向量解码并输出预测序列。

lstm(long-shorttermmemory)长短期记忆网络，是一种门控递归神经网络结构，每个单元是一个细胞，而lstm细胞拥有两个状态：隐状态和细胞状态，lstm通过这两个状态推动信息在同网络层细胞，不同网络层和不同时间步之间的流动。lsem细胞有3个控制门：遗忘门、输入门、输出门，它们由加法操作、乘法操作以及激活函数组成，三个门共同控制着细胞输出、细胞状态及隐状态。

遗忘门：用来学习信息在记忆单元存储了多久，同时决定当前是否需要从之前存储的信息“遗忘”什么信息，读取输入信息和上一层信息通过sigmoid函数，0表示完全丢弃，1表示完全保留，如公式：

ft＝σ(wf·[ht-1,xt]+bf)

输入门：用于确定什么样的新信息需要用于学习，由sigmoid层决定更新的输入值，以及一个tanh层创建一个新的候选值向量，加入到状态中，如公式：

it＝σ(wi·[ht-1,xt]+bi)

最后将上一层的状态与ft相乘确定丢弃的信息，同时加上新的候选值，如公式：

输出门：用于决定最终输出值，首先通过sigmoid确定输出状态，然后通过tanh函数将输出信息进行映射，得到输出值，如公式：

ot＝σ(wo·[ht-1,xt]+bo)

ht＝ot×tanh(ct)

在lstmseq2seq预测模型中输入经过预处理过的时间序列数据，进入到具有lstm结构的编码层中，通过编码完成得到向量，然后向量进入lstm结构的解码模型经过解码，最终依次循环预测得到输出的预测数据序列。

输入：包含行为特征的序列x＝(x1,x2,…,xn)

输出：预测数据序列y＝(y1,y2,…,yn)

步骤四：把训练好的模型进行相应的数据预测，在模型中输入实时采集的行为序列数据x＝(x1,x2,x3,···，xn)，经过基于lstmseq2seq模型生成下一时刻的预测数据如h＝(y1,y2,y3,···,yn)。

步骤五：根据实际采集到的下一时刻的实际操作行为数据m＝(x1,x2,x3,···,xn),计算得到预测值和实际操作行为数据的差异值，e＝|h-m|＝(v1，v2,v3,···,vn)，根据公式：

计算e的均值u，

根据公式：计算e的标准差σ。

步骤六：将步骤五中差异值基于正态分布的离群检测方法的3σ准则来判断用户行为是否可信，若e中元素vi满足|vi-u|>3σ条件的数据即判断为异常，说明用户行为不可信，否则用户行为可信。

以上实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述实施例对发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。