一种物联网感知层入侵检测系统的制作方法

本发明涉及物联网领域，具体而言，涉及一种物联网感知层入侵检测系统。

背景技术：

传感器作为物联网感知层的感知设备对数据的安全性要求很高，一旦有非法或不良数据通过感知层设备流入网络，那么不仅会破坏全网的感知数据的安全性，而且会危害到与之相连的信息传输层乃至信息处理层数据的安全性，给整个物联网带来无法预知的损害。因此为保证全网数据的安全性，入侵检测就具有重要的意义。

由于感知层的感知设备获取的数据会随监控环境的不断变化而变化，而现有的物联网感知层的入侵检测都是基于一种固定的检测模型，并未考虑到环境的变化对入侵检测效果的影响。

技术实现要素：

有鉴于此，本发明实施例的目的在于提供一种物联网感知层入侵检测系统，以解决上述问题。

为了实现上述目的，本发明实施例采用的技术方案如下：

一方面，本发明实施例提供一种物联网感知层入侵检测系统，所述系统包括：传感器、通信设备、路由器以及数据分析服务器，所述通信设备分别与所述传感器、所述路由器、及所述数据分析服务器耦合，所述路由器与所述数据分析服务器耦合；所述传感器，用于采集环境数据，并将所述环境数据及采集时刻发送到所述通信设备，所述环境数据包括光照强度、烟雾浓度、温度、湿度、压力、重力、振动频率、位置或速度数据；所述通信设备，用于接收所述传感器发送的所述环境数据及所述采集时刻，并将所述环境数据及所述采集时刻发送到所述路由器及所述数据分析服务器；所述路由器，用于接收所述通信设备发送的所述环境数据及所述采集时刻，并生成用于在物联网中传输的流量数据包，将所述流量数据包发送到所述数据分析服务器，所述流量数据包包括所述环境数据、所述采集时刻、及至少一种封装数据，所述封装数据包括所述流量数据包的大小、持续时间、来源、协议类型、服务类型、端口号、访问服务类型、及同一来源数据包连接请求数；所述数据分析服务器，用于接收所述通信设备发送的所述环境数据和所述采集时刻以及所述路由器发送的所述流量数据包；根据所述采集时刻为t时刻的所述环境数据、及所述采集时刻为t+1时刻的所述环境数据，获取t时刻的融合变化值；根据所述t时刻的融合变化值、第一阈值及第二阈值选择对应的入侵检测模型对所述流量数据包中所述采集时刻为t时刻的流量数据包进行入侵检测。

另一方面，本发明实施例提供一种物联网感知层入侵检测系统，所述系统包括：传感器、通信设备、采集设备以及数据分析服务器，所述通信设备与所述传感器耦合，所述数据分析服务器分别与所述通信设备及所述采集设备耦合，所述传感器，用于采集环境数据，并将所述环境数据及采集时刻发送到所述通信设备，所述环境数据包括光照强度、烟雾浓度、温度、湿度、压力、重力、振动频率、位置或速度数据；所述通信设备，用于接收所述传感器发送的所述环境数据及所述采集时刻，并将所述环境数据及所述采集时刻发送到所述数据分析服务器；所述采集设备，用于采集路由器端口处的流量数据包，将所述流量数据包发送到所述数据分析服务器，所述流量数据包包括所述环境数据、所述采集时刻、及至少一种封装数据，所述封装数据包括所述流量数据包的大小、持续时间、来源、协议类型、服务类型、端口号、访问服务类型、及同一来源数据包连接请求数；所述数据分析服务器，用于接收所述通信设备发送的所述环境数据和所述采集时刻以及所述采集设备发送的所述流量数据包；根据所述采集时刻为t时刻的所述环境数据、及所述采集时刻为t+1时刻的所述环境数据，获取t时刻的融合变化值；根据所述t时刻的融合变化值、第一阈值及第二阈值选择对应的入侵检测模型对所述流量数据包中所述采集时刻为t时刻的流量数据包进行入侵检测。

与现有技术相比，本发明实施例提供的物联网感知层入侵检测系统通过传感器采集环境数据，并将所述环境数据及采集时刻发送到所述通信设备，所述通信设备将所述传感器发送的所述环境数据及采集时刻发送到所述路由器及所述数据分析服务器，所述路由器根据所述传感器发送的所述环境数据及所述采集时刻生成对应的流量数据包，并将所述流量数据包发送到所述数据分析服务器，所述数据分析服务器根据所述采集时刻为t时刻的所述环境数据、及所述采集时刻为t+1时刻的所述环境数据，获取t时刻的融合变化值，根据所述t时刻的融合变化值、第一阈值及第二阈值选择对应的入侵检测模型对所述流量数据包中所述采集时刻为t时刻的流量数据包进行入侵检测。所述系统不是采用固定的一种入侵检测模型，而是根据当前的环境数据的融合变化值、利用预设时长的环境数据确定的第一阈值及第二阈值，动态的选择合适的入侵检测模型对当前的流量数据包进行入侵检测，充分利用了不同入侵检测模型各自的优势，使得入侵检测的结果更加准确。

本发明的其他特征和优点将在随后的说明书阐述，并且，部分地从说明书中变得显而易见，或者通过实施本发明实施例了解。本发明的目的和其他优点可通过在所写的说明书、权利要求书、以及附图中所特别指出的结构来实现和获得。

附图说明

为了更清楚地说明本发明实施例的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，应当理解，以下附图仅示出了本发明的某些实施例，因此不应被看作是对范围的限定，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他相关的附图。

图1是本发明第一实施例提供的一种物联网感知层入侵检测系统的结构示意图。

图2是本发明第一实施例提供的另一种物联网感知层入侵检测系统的结构示意图。

图3是本发明第一实施例提供的又一种物联网感知层入侵检测系统的结构示意图。

图4是本发明第一实施例提供的一种物联网感知层入侵检测系统中的数据分析服务器的结构示意图。

图5是本发明第二实施例提供的一种物联网感知层入侵检测系统的结构示意图。

图标：100-物联网感知层入侵检测系统；110-传感器；120-通信设备；130-路由器；140-数据分析服务器；141-接收模块；142-计算模块；143-入侵检测模块；150-采集设备。

具体实施方式

下面将结合本发明实施例中附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。通常在此处附图中描述和示出的本发明实施例的组件可以以各种不同的配置来布置和设计。因此，以下对在附图中提供的本发明的实施例的详细描述并非旨在限制要求保护的本发明的范围，而是仅仅表示本发明的选定实施例。基于本发明的实施例，本领域技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例，都属于本发明保护的范围。

应注意到：相似的标号和字母在下面的附图中表示类似项，因此，一旦某一项在一个附图中被定义，则在随后的附图中不需要对其进行进一步定义和解释。同时，在本发明的描述中，术语“第一”、“第二”等仅用于区分描述，而不能理解为指示或暗示相对重要性。

图1示出了本发明第一实施例提供的一种物联网感知层入侵检测系统100的结构示意图。所述物联网感知层入侵检测系统100包括：传感器110、通信设备120、路由器130以及数据分析服务器140，所述通信设备120分别与所述传感器110、所述路由器130、及所述数据分析服务器140耦合，所述路由器130与所述数据分析服务器140耦合。所述传感器110，用于采集环境数据，并将所述环境数据及采集时刻发送到所述通信设备120，所述环境数据包括光照强度、烟雾浓度、温度、湿度、压力、重力、振动频率、位置或速度数据。所述通信设备120，用于接收所述传感器110发送的所述环境数据及所述采集时刻，并将所述环境数据及所述采集时刻发送到所述路由器130及所述数据分析服务器140。所述路由器130，用于接收所述通信设备120发送的所述环境数据及所述采集时刻，并生成用于在物联网中传输的流量数据包，将所述流量数据包发送到所述数据分析服务器140，所述流量数据包包括所述环境数据、所述采集时刻、及至少一种封装数据，所述封装数据包括所述流量数据包的大小、持续时间、来源、协议类型、服务类型、端口号、访问服务类型、及同一来源数据包连接请求数。其中，所述流量数据包的来源可以为所述流量数据包包括的所述环境数据的源地址，所述流量数据包的服务类型可以为数据库服务、文件服务或传输服务等，所述流量数据包的访问服务类型可以为get请求、post请求或put请求等。所述数据分析服务器140，用于接收所述通信设备120发送的所述环境数据和所述采集时刻以及所述路由器130发送的所述流量数据包；根据所述采集时刻为t时刻的所述环境数据、及所述采集时刻为t+1时刻的所述环境数据，获取t时刻的融合变化值；根据所述t时刻的融合变化值、第一阈值及第二阈值选择对应的入侵检测模型对所述流量数据包中所述采集时刻为t时刻的流量数据包进行入侵检测。其中，所述第一阈值与所述第二阈值可以预先设置，也可以根据一段预设时长的所述环境数据计算得到。

进一步的，所述传感器110可以为一个或多个，所述通信设备120也可以为一个或多个，所述传感器110与所述通信设备120的个数相同，各个所述通信设备120分别与各个所述传感器110耦合，各个所述通信设备120分别与所述路由器130及所述数据分析服务器140耦合。图2示出了当所述传感器110及所述通信设备120为多个时，所述物联网感知层入侵检测系统100的结构示意图。

进一步的，所述路由器130也可以为一个或多个，当所述路由器130为多个时，所述路由器130的个数与所述通信设备120的个数相同，各个所述路由器130分别与各个所述通信设备120耦合，各个所述路由器130分别与所述数据分析服务器140耦合。图3示出了当所述路由器130为多个时，所述物联网感知层入侵检测系统100的结构示意图。

如图4所示，所述数据分析服务器140，可以包括接收模块141、计算模块142、及入侵检测模块143，所述接收模块141，用于接收所述通信设备120发送的所述环境数据和所述采集时刻以及所述路由器130发送的所述流量数据包；所述计算模块142，用于根据所述采集时刻为t时刻的所述环境数据、及所述采集时刻为t+1时刻的所述环境数据，获取t时刻的融合变化值；所述入侵检测模块143，用于根据所述t时刻的融合变化值、第一阈值及第二阈值选择对应的入侵检测模型对所述流量数据包中所述采集时刻为t时刻的流量数据包进行入侵检测。

作为一种具体的实施方式，每个所述传感器110对应有标识号，每个所述传感器110采集的所述环境数据与所述传感器110的标识号对应，所述计算模块142，可以用于根据所述采集时刻为t时刻的所述环境数据、及所述采集时刻为t+1时刻的所述环境数据，分别计算对应相同标识号的所述环境数据的t时刻变化值，根据各个t时刻变化值获取t时刻的融合变化值。

对上述具体的实施方式进行详细说明：假设υ(t,i)为第i个传感器110采集的所述采集时刻为t时刻的所述环境数据，υ(t+1,i)为第i个传感器110采集的所述采集时刻为t+1时刻的所述环境数据，两者对应的标识号相同；计算两者的差值Δυ(t,i)，其中Δυ(t,i)＝υ(t+1,i)-υ(t,i)，根据Δυ(t,i)及υ(t,i)，计算与第i个传感器110的标识号对应的所述环境数据的t时刻变化值分别计算对应相同标识号的所述环境数据的t时刻变化值其中n为所述传感器110的个数，将各个t时刻变化值求和即可获得t时刻的融合变化值s_t，即

进一步的，所述计算模块142，还可以用于根据所述采集时刻为t-1时刻的所述环境数据、及所述采集时刻为t时刻的所述环境数据，获取t-1时刻的融合变化值s_t-1。

其中，获取t-1时刻的融合变化值s_t-1的方法与上述获取t时刻的融合变化值s_t的方法类似，此处不再赘述。

作为一种具体的实施方式，所述入侵检测模块143，可以用于若所述t时刻的融合变化值s_t小于第一阈值，则根据第一入侵检测模型对所述流量数据包中所述采集时刻为t时刻的流量数据包进行入侵检测；若s_t大于或等于所述第一阈值且小于第二阈值，则根据第二入侵检测模型对所述流量数据包中所述采集时刻为t时刻的流量数据包进行入侵检测；若s_t大于第二阈值，则根据第三入侵检测模型对所述流量数据包中所述采集时刻为t时刻的流量数据包进行入侵检测。

其中，所述第一入侵检测模型可以为基于着色Petri网的入侵检测模型。当s_t小于第一阈值时，说明所述采集时刻为t时刻的所述环境数据的变化趋势较小，也即等效于所述采集时刻为t时刻的流量数据包的数量较少，因此不必进行大规模的数据处理，这种情况下更适合采用基于误用的入侵检测，也就是一种针对性的防御性检测。基于着色Petri网的入侵检测模型就是基于误用的入侵检测方法之一，作为一种基于状态的入侵检测方法，它将每个入侵标签表达为一个模式，通过模式表达事件和它们的内容间的关系，适合进行小规模静态物联网的入侵检测分析。

所述第二入侵检测模型可以为基于时间的K-means入侵检测模型。当s_t大于或等于所述第一阈值且小于第二阈值时，说明所述采集时刻为t时刻的所述环境数据的变化趋势正常，也即等效于所述采集时刻为t时刻的流量数据包的数量正常，这种情况下更适合采用基于模式预测的异常检测方法。K-means是经典的聚类算法，它使用简单的迭代将数据集聚成K个类，该算法具有简单、易懂、良好的可伸缩性等显著优点，成为当前入侵检测中聚类算法研究方面的重要算法，而基于时间的推理方法利用时间规则来识别用户行为正常模式的特征。基于时间的K-means入侵检测模型作为一种异常检测模型，将K-means算法与基于时间的推理方法相结合进行异常预测，可以有效地满足物联网感知层异常检测的需求。

所述第三入侵检测模型可以为基于卷积神经网络的网络入侵检测模型。当s_t大于第二阈值时，说明所述采集时刻为t时刻的所述环境数据的变化趋势较大，也即等效于所述采集时刻为t时刻的流量数据包的数量较多，这种情况下普通的分析方法可能导致分析片面，使用神经网络算法可以充分利用历史样本，并结合少量的即时样本，采用机器学习的方法来自动地分析、挖掘上下文信息间的依赖或因果关系，达到模型在线更新的目的，可以有效地满足物联网感知层异常检测的需求。

进一步的，所述入侵检测模块143，还可以用于当s_t与s_t-1的比值大于2时，若s_t小于第一阈值，则根据第二入侵检测模型对所述流量数据包中所述采集时刻为t时刻的流量数据包进行入侵检测，若s_t大于或等于所述第一阈值且小于第二阈值，则根据第三入侵检测模型对所述流量数据包中所述采集时刻为t时刻的流量数据包进行入侵检测；当s_t与s_t-1的比值小于0.5时，若s_t大于或等于所述第一阈值且小于第二阈值，则根据第一入侵检测模型对所述流量数据包中所述采集时刻为t时刻的流量数据包进行入侵检测；若s_t大于第二阈值，则根据第二入侵检测模型对所述流量数据包中所述采集时刻为t时刻的流量数据包进行入侵检测。

由于当s_t与s_t-1的比值大于2时，说明所述采集时刻为t时刻的所述环境数据的变化幅度大于了100％，也即是说所述采集时刻为t时刻的流量数据包处于一个快速变化的状态，需要使用适用于更大数据量处理的入侵检测模型对所述采集时刻为t时刻的流量数据包进行入侵检测。例如，当s_t小于第一阈值时，原本应该根据适用于较小数据量处理的第一入侵检测模型来对所述采集时刻为t时刻的流量数据包进行入侵检测，但如果s_t与s_t-1的比值大于2，则根据适用于正常数据量处理的第二入侵检测模型来进行入侵检测更为合适；当s_t大于或等于所述第一阈值且小于第二阈值时，原本应该根据适用于正常数据量处理的第二入侵检测模型来对所述采集时刻为t时刻的流量数据包进行入侵检测，但如果s_t与s_t-1的比值大于2，则根据适用于较大数据量处理的第三入侵检测模型来进行入侵检测更为合适；当s_t大于第二阈值时，由于原本就根据适用于较大数据量处理的第三入侵检测模型来对所述采集时刻为t时刻的流量数据包进行入侵检测，因此如果s_t与s_t-1的比值大于2，仍然可以采用所述第三入侵检测模型来进行入侵检测，当然也可以根据需要选择其他任何适用于更大数据量处理的入侵检测模型来进行入侵检测，以得到更准确的入侵检测结果。

而当s_t与s_t-1的比值小于0.5时，说明所述采集时刻为t时刻的所述环境数据的变化幅度小于了50％，也即是说所述采集时刻为t时刻的流量数据包处于一个缓慢变化的状态，需要使用适用于更小数据量处理的入侵检测模型对所述采集时刻为t时刻的流量数据包进行入侵检测。例如，当s_t大于或等于所述第一阈值且小于第二阈值时，原本应该根据适用于正常数据量处理的第二入侵检测模型来对所述采集时刻为t时刻的流量数据包进行入侵检测，但如果s_t与s_t-1的比值小于0.5，则根据适用于较小数据量处理的第一入侵检测模型来进行入侵检测更为合适；当s_t大于第二阈值时，原本应该根据适用于较大数据量处理的第三入侵检测模型来对所述采集时刻为t时刻的流量数据包进行入侵检测，但如果s_t与s_t-1的比值小于0.5，则根据适用于正常数据量处理的第二入侵检测模型来进行入侵检测更为合适；当s_t小于所述第一阈值时，由于原本就根据适用于较小数据量处理的第一入侵检测模型来对所述采集时刻为t时刻的流量数据包进行入侵检测，因此如果s_t与s_t-1的比值小于0.5，仍然可以采用所述第一入侵检测模型来进行入侵检测，当然也可以根据需要选择其他任何适用于更小数据量处理的入侵检测模型来进行入侵检测，以得到更准确的入侵检测结果。

作为一种具体的实施方式，所述数据分析服务器140，还可以用于接收所述通信设备120发送的预设时长的所述环境数据及采集时刻，根据所述预设时长的所述环境数据及采集时刻获取所述预设时长内各个时刻的融合变化值，将所述预设时长内各个时刻的融合变化值从小到大进行排序，根据排序结果确定第一阈值与第二阈值。

其中，所述预设时长的值越大，则采集到的所述环境数据量就越大，从而通过对采集到的所述环境数据进行统计分析确定的第一阈值及第二阈值就更接近理想值，因此可以根据具体的需求对所述预设时长进行设定，以使所述第一阈值与所述第二阈值的精度满足要求，所述预设时长的值的大小并不构成对本发明实施例的限制。

所述数据分析服务器140，根据所述预设时长的所述环境数据及采集时刻获取所述预设时长内各个时刻的融合变化值的方法，可以参照上述获取t时刻的融合变化值的方法，此处不再赘述。

假设预设时长内包括m个时刻，则可以获取到这m个时刻的融合变化值，将这m个时刻的融合变化值从小到大进行排序后，根据排序结果及正态分布的数据比例(0.6827:0.95:1)确定所述第一阈值与第二阈值。具体地，将预设时长内包括的时刻数m与0.6827相乘得到p，即p＝m×0.6827，则排序结果中的第p个融合变化值为所述第一阈值；将预设时长内包括的时刻数m与0.95相乘得到q，即q＝m×0.95，则排序结果中的第q个融合变化值为所述第二阈值。进一步的，当p和/或q的值不是整数时，对其进行向上或向下取整即可。

本发明实施例提供的物联网感知层入侵检测系统100，通过一个或多个传感器110采集预设时长的所述环境数据，并将预设时长的所述环境数据及所述采集时刻通过所述通信设备120发送到所述数据分析服务器140，所述数据分析服务器140根据预设时长的所述环境数据及所述采集时刻，利用正态分布的数据比例确定所述第一阈值与第二阈值；当需要进行入侵检测时，通过传感器110采集环境数据，并将所述环境数据及采集时刻发送到所述通信设备120，所述通信设备120将所述传感器110发送的所述环境数据及采集时刻发送到所述路由器130及所述数据分析服务器140，所述路由器130根据所述传感器110发送的所述环境数据及所述采集时刻生成对应的流量数据包，并将所述流量数据包发送到所述数据分析服务器140，所述数据分析服务器140根据所述采集时刻为t时刻的所述环境数据、及所述采集时刻为t+1时刻的所述环境数据，获取t时刻的融合变化值，根据所述t时刻的融合变化值、第一阈值及第二阈值选择对应的入侵检测模型对所述流量数据包中所述采集时刻为t时刻的流量数据包进行入侵检测。所述系统不是采用固定的一种入侵检测模型，而是根据当前的环境数据的融合变化值、利用预设时长的环境数据确定的第一阈值及第二阈值，动态的选择合适的入侵检测模型对当前的流量数据包进行入侵检测，充分利用了不同入侵检测模型各自的优势，使得入侵检测的结果更加准确。

图5示出了本发明第二实施例提供的一种物联网感知层入侵检测系统100的结构示意图。所述系统包括：传感器110、通信设备120、采集设备150以及数据分析服务器140，所述通信设备120与所述传感器110耦合，所述数据分析服务器140分别与所述通信设备120及所述采集设备150耦合。所述传感器110，用于采集环境数据，并将所述环境数据及采集时刻发送到所述通信设备120，所述环境数据包括光照强度、烟雾浓度、温度、湿度、压力、重力、振动频率、位置或速度数据；所述通信设备120，用于接收所述传感器110发送的所述环境数据及所述采集时刻，并将所述环境数据及所述采集时刻发送到所述数据分析服务器140；所述采集设备150，用于采集路由器130端口处的流量数据包，将所述流量数据包发送到所述数据分析服务器140，所述流量数据包包括所述环境数据、所述采集时刻、及至少一种封装数据，所述封装数据包括所述流量数据包的大小、持续时间、来源、协议类型、服务类型、端口号、访问服务类型、及同一来源数据包连接请求数；所述数据分析服务器140，用于接收所述通信设备120发送的所述环境数据和所述采集时刻以及所述采集设备150发送的所述流量数据包；根据所述采集时刻为t时刻的所述环境数据、及所述采集时刻为t+1时刻的所述环境数据，获取t时刻的融合变化值；根据所述t时刻的融合变化值、第一阈值及第二阈值选择对应的入侵检测模型对所述流量数据包中所述采集时刻为t时刻的流量数据包进行入侵检测。

本发明第二实施例提供的物联网感知层入侵检测系统100与上一实施例大致相同，唯一的区别在于不是利用所述路由器130将所述流量数据包发送给所述数据分析服务器140，而是利用所述采集设备150采集所述路由器130端口处的流量数据包，并将所述流量数据包发送给所述数据分析服务器140。其他与上一实施例相同的部分请参阅上一实施例，此处不再赘述。

本发明实施例提供的物联网感知层入侵检测系统100，除了可以解决上一实施例解决的问题外，由于所述流量数据包不是由所述路由器130直接发送给所述数据分析服务器140，而是经由采集设备150采集后转发，可以有效地减轻路由器130的压力，同时有效地避免了对物联网中原始的数据传输产生影响。

另外，在本发明各个实施例中的各功能模块可以集成在一起形成一个独立的部分，也可以是各个模块单独存在，也可以两个或两个以上模块集成形成一个独立的部分。

需要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。

以上所述仅为本发明的优选实施例而已，并不用于限制本发明，对于本领域的技术人员来说，本发明可以有各种更改和变化。凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。应注意到：相似的标号和字母在下面的附图中表示类似项，因此，一旦某一项在一个附图中被定义，则在随后的附图中不需要对其进行进一步定义和解释。

以上所述，仅为本发明的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，可轻易想到变化或替换，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应所述以权利要求的保护范围为准。