一种适用于白名单策略的物联网流量审计方法及装置与流程

本发明涉及网络安全管理，尤其涉及一种适用于白名单策略的物联网流量审计方法及装置。

背景技术：

1、物联网环境中，特别是高安全等级的大范围物联网，其核心骨干网络是tcp/tp网络，wifi、蓝牙、rfid等只是接入网络的方式，这些方式会通过就近的网关，转换成tcp/ip协议继续通信。物联网的流量环境类似于工控场景，终端设备简单、指令集有限；并且设备对异常指令的处理能力不强，协议安全能力不强且极易引入攻击设备，例如：中间人攻击或直接发送恶意行为指令，导致物联网环境中的终端执行错误指令，导致整个物联网服务和控制过程出现紊乱。在工控领域中为解决以上问题，现有技术主要采用两种技术手段：一种是白名单流量审计产品，其通过对工控流量进行分析，并建立指令序列和指令参数阈值告警策略，一旦发现某个指令与原定预期不一致，就认为设备出现了不正常行为，从而引导运维人员介入，实现对子网内的网络进行监控；另一种是传统的网络安全入侵监测产品和防病毒产品，这些产品需要产品接入互联网，能够得到产品厂商的技术支持，及时更新产品的恶意代码行为库，从而使得对流量审计和判断更为精准。而面向指令序列和阈值的审计则是采用白名单模式，只需要对现有场景进行学习，就可以完成对可信行为的认证；在监控过程中，只需要对可信行为以外的行为一律报警即可；这种无需连接互联网且一次设定终身使用的工作模式，得到工控领域的广泛认可。但在工程实践中，仅依赖人工设定或者完整记录流量形成的白名单，其包括工艺指令序列和指令阈值，并不能具有真正意义的白名单效果；其主要原因一方面是工厂并不真正掌握流量中的指令序列，另一方面指令序列在实际工程中也并不是一成不变的，简单的指令序列白名单并无工程实践意义。

技术实现思路

1、本发明提供了一种适用于白名单策略的物联网流量审计方法及装置，以解决现有审计系统中白名单策略在应用于工况场景时，因难以掌握流量中的指令序列以及指令序列的变化，从而难以实现对物联网流量安全的实时判断的技术问题。

2、为了解决上述技术问题，本发明实施例提供了一种适用于白名单策略的物联网流量审计方法，包括：

3、采集物联网汇聚交换机中的流量数据，并识别出所述流量数据中的指令类型；所述流量数据包括：第一预设时间段内的第一流量数据，以及按预设时间间隔采集的第二流量数据；

4、根据所述第一流量数据的指令类型，建立标准向量；根据所述第二流量数据，建立监控向量；

5、计算所述标准向量和所述监控向量之间的夹角余弦值，得到监控序列并生成与所述监控序列对应的基准函数；

6、当所述监控序列与所述基准函数的偏离幅度大于预设值时，发出流量异常告警。

7、本发明利用物联网流量数据在一段时间通信形式相对固定，通过在第一预设时间内的第一流量数据建立标准向量，再按预设时间间隔逐渐采集第二流量数据以形成监控向量，通过夹角余弦值的计算形成流量审计所需的监控序列和基准函数；其中，以基准函数作为白名单，且标准向量和监控向量的建立不依赖于对每条指令掌握和理解，避免了现有白名单策略难以掌握流量中的指令序列的问题；此外，通过比较监控序列和基准函数之间的偏离幅度，能在不依赖对每条指令的具体理解的情况下，快速的识别出指令序列的变化，实现对物联网流量安全的实时判断。

8、进一步地，所述采集物联网汇聚交换机中的流量数据，并识别出所述流量数据中的指令类型，具体为：

9、通过旁路模式接入所述物联网汇聚交换机，获取所述物联网汇聚交换机的流量数据；

10、对所述流量数据进行协议解析和数据剥离，得到源地址、源端口、目标地址、目标端口、协议类型、变量参数和所述指令类型。

11、本发明通过旁路模式接入物联网汇聚交换机，以获取流量数据，并通过协议解析和数据剥离得到形成监控序列和基准函数所需的指令类型。

12、进一步地，所述计算所述标准向量和所述监控向量之间的夹角余弦值，得到监控序列并生成与所述监控序列对应的基准函数，具体为：

13、逐步计算所述标准向量与每个预设时间间隔的所述监控向量的夹角余弦值，得到包含若干个夹角余弦值的所述监控序列；

14、将所述监控序列输入至生成对抗神经网络，并采用遗传算法进行生成模拟，得到与所述监控序列对应的基准函数。

15、本发明通过计算标准向量和预设时间间隔下的若干个监控向量的余弦值，得到用于判断流量安全情况的监控序列，再通过生成对抗网络以及遗传算法进行生成模拟，得到作为白名单的基准函数；进而通过比较监控序列和基准函数之间的偏离程度实识别指令序列的变化，现对物联网流量安全的实时判断，并且避免了对指令序列的具体理解。

16、进一步地，在所述当所述监控序列与所述基准函数的偏离幅度大于预设值时，发出流量异常告警之后，包括：

17、当所述监控序列中有超过预设数量的夹角余弦值与所述基准函数的偏离幅度大于预设值时，提示维运人员介入，以使维运人员对问题设备进行替换并对所述问题设备进行安全检查。

18、本发明通过对预设数量的设定，能够识别出指令序列中局部突变的异常情况，并通过及时告警，提示维运人员对问题设备进行替换以及安全检查等操作，进一步实现对物联网流量安全的实时判断。

19、进一步地，在所述当所述监控序列与所述基准函数的偏离幅度大于预设值时，发出流量异常告警之后，包括：

20、当所述监控序列中的整个时段内的夹角余弦值与所述基准函数的偏离幅度大于预设值时，保存所述基准函数，并且，重新采集所述物联网汇聚交换机中的流量数据；

21、根据重新采集的流量数据，计算形成新的基准函数。

22、本发明能够识别出指令序列中的全段突变的异常情况，以实现在工况场景的整个工艺活控制过程发生变化时，及时识别出指令序列的变化并更新作为白名单的基准函数，以保证对物联网流量安全的实时判断；此外，对旧有的的基准函数进行保存，可用于对下一次遇到异常情况进行历史基准函数对比，提高判断的准确性，减少误报。

23、进一步地，在计算所述标准向量和所述监控向量之间的夹角余弦值，得到监控序列并生成与所述监控序列对应的基准函数之后，包括：

24、当所述监控序列与所述基准函数的偏离幅度小于预设值，并且，所述监控序列中有某个夹角余弦值与所述基准函数的偏离幅值大于预设值时，将所述某个夹角余弦值与所述某个夹角余弦值对应的流量数据记录为异常。

25、本发明还在未识别出监控序列异常的情况下，对单值突变的情况进行判断，在监控序列的夹角余弦值出现单值突变时，监控序列会重新回到原来的基准函数曲线上，虽然不具有流量安全上的攻击意义，但在本发明中会对单值突变的情况进行记录，便于维运人员掌握物联网流量安全的实时情况。

26、进一步地，所述标准向量和所述监控向量包含各种指令类型以及所述各种指令类型对应的数量。

27、进一步地，所述标准向量和所述监控向量还包含所述各种指令类型的权值；所述权值通过对所述各种指令类型加权得到。

28、本发明通过指令类型加对应的指令类型的数量，或者，在结合指令类型的权值来建立标准向量以及监控向量，从而避免了对每个指令序列的具体意义进行掌握。

29、另一方面，本发明实施例还提供了一种适用于白名单策略的物联网流量审计装置，包括：数据采集模块、向量建立模块、深度学习引擎模块和告警模块；

30、其中，所述数据采集模块用于采集物联网汇聚交换机中的流量数据，并识别出所述流量数据中的指令类型；所述流量数据包括：第一预设时间段内的第一流量数据，以及按预设时间间隔采集的第二流量数据；

31、所述向量建立模块用于根据所述第一流量数据的指令类型，建立标准向量；根据所述第二流量数据，建立监控向量；

32、所述深度学习引擎模块用于计算所述标准向量和所述监控向量之间的夹角余弦值，得到监控序列并生成与所述监控序列对应的基准函数；

33、所述告警模块用于当所述监控序列与所述基准函数的偏离幅度大于预设值时，发出流量异常告警。

34、本发明利用物联网流量数据在一段时间通信形式相对固定，通过在第一预设时间内的第一流量数据建立标准向量，再按预设时间间隔逐渐采集第二流量数据以形成监控向量，通过夹角余弦值的计算形成流量审计所需的监控序列和基准函数；其中，以基准函数作为白名单，且标准向量和监控向量的建立不依赖于对每条指令掌握和理解，避免了现有白名单策略难以掌握流量中的指令序列的问题；此外，通过比较监控序列和基准函数之间的偏离幅度，能在不依赖对每条指令的具体理解的情况下，快速的识别出指令序列的变化，实现对物联网流量安全的实时判断。

35、进一步地，所述深度学习引擎模块包括：监控序列建立单元和基准函数生成单元；

36、其中，所述监控序列建立单元用于逐步计算所述标准向量与每个预设时间间隔的所述监控向量的夹角余弦值，得到包含若干个夹角余弦值的所述监控序列；

37、所述基准函数生成单元用于将所述监控序列输入至生成对抗神经网络，并采用遗传算法进行生成模拟，得到与所述监控序列对应的基准函数。

38、本发明通过计算标准向量和预设时间间隔下的若干个监控向量的余弦值，得到用于判断流量安全情况的监控序列，再通过生成对抗网络以及遗传算法进行生成模拟，得到作为白名单的基准函数；进而通过比较监控序列和基准函数之间的偏离程度实识别指令序列的变化，现对物联网流量安全的实时判断，并且避免了对指令序列的具体理解。