技术特征:
1.一种在计算机中实现的方法,所述计算机包括处理器、能由所述处理器访问的存储器、以及存储在所述存储器中并且能由所述处理器执行的计算机程序指令,所述方法包括:在计算机系统处收集去往和来自至少一个设备的多个消息;在所述计算机系统处从所收集的所述多个消息中提取元数据特征;在所述计算机系统处生成时间窗口;在所述计算机系统处基于在所述时间窗口期间存在的所提取的元数据特征来确定附加特征;在所述计算机系统处基于所收集的所述多个消息来检测所述至少一个设备的行为模式;在所述计算机系统处对在所述时间窗口期间存在的所确定的附加特征和所检测到的行为模式进行聚类;以及在所述计算机系统处使用经聚类的所确定的附加特征和所检测到的行为模式来检测至少一个异常或异常类型。2.根据权利要求1所述的方法,其中,所提取的元数据特征包括以下各项中的至少一个:与每个消息相关联的所述至少一个设备的id、每个消息的消息大小、每个消息的通信方向、和每个消息的通信时间;以及所述附加特征包括以下各项中的至少一个:时间方面,包括设备发送消息的间隔或频率、和消息的平均周期或频率中的至少一个;时间分层结构,包括星期几、一天中的时间、和小时的一部分中的至少一个;消息序列,包括消息长度的模式、消息类型、特定设备的设备id、设备类型、和设备类别中的至少一个。3.根据权利要求2所述的方法,其中,基于所述至少一个消息的通信频率来选择所述时间窗口的大小,并且允许在单个时间窗口中收集大量的消息。4.根据权利要求2所述的方法,还包括:在所述计算机系统处收集去往和来自多个设备的多个消息;在所述计算机系统处基于所收集的所述多个消息来检测至少一个类型的设备的行为模式;以及在所述计算机系统处使用所检测到的所述至少一个类型的设备的行为模式来检测至少一个异常。5.根据权利要求3所述的方法,其中,确定在所述时间窗口期间存在的所提取的元数据特征包括以下各项中的至少一个:对在所述时间窗口期间去往和来自所述至少一个设备的消息的数量进行计数;以及生成在所述时间窗口期间的不同消息大小的直方图。6.根据权利要求5所述的方法,其中,所述聚类包括k均值聚类和层次聚类中的至少一个。7.根据权利要求6所述的方法,其中,所述检测至少一个异常包括以下各项中的至少一个:在所述计算机系统处构建所述至少一个设备及其集群的历史消息大小直方图的模型,其中该模型具有混合正态分布,以及当消息的大小偏离该模型的所述混合正态分布时,检测到异常;在所述计算机系统处构建所述至少一个设备及其集群的历史消息计数的模型,其中该模型具有正态分布,以及当所述至少一个设备的消息计数偏离该模型的所述正态分布时,
检测到异常;以及在所述计算机系统处基于所述至少一个设备、设备类型及其集群的历史消息大小序列来构建元数据特征的序列模型,以及基于所述至少一个设备的消息序列来检测异常。8.一种系统,包括处理器、能由所述处理器访问的存储器、以及存储在所述存储器中并且能由所述处理器执行以执行以下操作的计算机程序指令:收集去往和来自至少一个设备的多个消息;从所收集的所述多个消息中提取元数据特征;生成时间窗口;基于在所述时间窗口期间存在的所提取的元数据特征来确定附加特征;基于所收集的所述多个消息来检测所述至少一个设备的行为模式;对在所述时间窗口期间存在的所确定的附加特征和所检测到的行为模式进行聚类;以及使用经聚类的所确定的附加特征和所检测到的行为模式来检测至少一个异常或异常类型。9.根据权利要求8所述的系统,其中,所提取的元数据特征包括以下各项中的至少一个:与每个消息相关联的所述至少一个设备的id、每个消息的消息大小、每个消息的通信方向、和每个消息的通信时间;以及所述附加特征包括以下各项中的至少一个:时间方面,包括设备发送消息的间隔或频率、和消息的平均周期或频率中的至少一个;时间分层结构,包括星期几、一天中的时间、和小时的一部分中的至少一个;消息序列,包括消息长度的模式、消息类型、特定设备的设备id、设备类型、和设备类别中的至少一个。10.根据权利要求9所述的系统,其中,基于所述至少一个消息的通信频率来选择所述时间窗口的大小,并且允许在单个时间窗口中收集大量的消息。11.根据权利要求9所述的系统,还包括:在计算机系统处收集去往和来自多个设备的多个消息;在所述计算机系统处基于所收集的所述多个消息来检测至少一个类型的设备的行为模式;以及在所述计算机系统处使用所检测到的所述至少一个类型的设备的行为模式来检测至少一个异常。12.根据权利要求10所述的系统,其中,确定在所述时间窗口期间存在的所提取的元数据特征包括以下各项中的至少一个:对在所述时间窗口期间去往和来自所述至少一个设备的消息的数量进行计数;以及生成在所述时间窗口期间的不同消息大小的直方图。13.根据权利要求12所述的系统,其中,所述聚类包括k均值聚类和层次聚类中的至少一个。14.根据权利要求13所述的系统,其中,所述检测至少一个异常包括以下各项中的至少一个:构建所述至少一个设备及其集群的历史消息大小直方图的模型,其中该模型具有混合正态分布,以及当消息的大小偏离该模型的所述混合正态分布时,检测到异常;构建所述至少一个设备及其集群的历史消息计数的模型,其中该模型具有正态分布,以及当所述至少一个设备的消息计数偏离该模型的所述正态分布时,检测到异常;以及
基于所述至少一个设备、设备类型及其集群的历史消息大小序列来构建元数据特征的序列模型,以及基于所述至少一个设备的消息序列来检测异常。15.一种计算机程序产品,包括非瞬态计算机可读存储装置,所述非瞬态计算机可读存储装置中包含有程序指令,所述程序指令能由计算机执行,以使所述计算机执行方法,所述方法包括:在计算机系统处收集去往和来自至少一个设备的多个消息;在所述计算机系统处从所收集的所述多个消息中提取元数据特征;在所述计算机系统处生成时间窗口;在所述计算机系统处基于在所述时间窗口期间存在的所提取的元数据特征来确定附加特征;在所述计算机系统处基于所收集的所述多个消息来检测所述至少一个设备的行为模式;在所述计算机系统处对在所述时间窗口期间存在的所确定的附加特征和所检测到的行为模式进行聚类;以及在所述计算机系统处使用经聚类的所确定的附加特征和所检测到的行为模式来检测至少一个异常或异常类型。16.根据权利要求15所述的计算机程序产品,其中,所提取的元数据特征包括以下各项中的至少一个:与每个消息相关联的所述至少一个设备的id、每个消息的消息大小、每个消息的通信方向、和每个消息的通信时间;以及所述附加特征包括以下各项中的至少一个:时间方面,包括设备发送消息的间隔或频率、和消息的平均周期或频率中的至少一个;时间分层结构,包括星期几、一天中的时间、和小时的一部分中的至少一个;消息序列,包括消息长度的模式、消息类型、特定设备的设备id、设备类型、和设备类别中的至少一个。17.根据权利要求16所述的计算机程序产品,其中,基于所述至少一个消息的通信频率来选择所述时间窗口的大小,并且允许在单个时间窗口中收集大量的消息,以及其中,对于不同的特征选择不同的时间窗口。18.根据权利要求16所述的方法,还包括:在所述计算机系统处收集去往和来自多个设备的多个消息;在所述计算机系统处基于所收集的所述多个消息来检测至少一个类型的设备的行为模式;以及在所述计算机系统处使用所检测到的所述至少一个类型的设备的行为模式来检测至少一个异常。19.根据权利要求17所述的计算机程序产品,其中,确定在所述时间窗口期间存在的所提取的元数据特征包括以下各项中的至少一个:对在所述时间窗口期间去往和来自所述至少一个设备的消息的数量进行计数;以及生成在所述时间窗口期间的不同消息大小的直方图。20.根据权利要求19所述的计算机程序产品,其中,所述聚类包括k均值聚类,并且所述检测至少一个异常包括以下各项中的至少一个:在所述计算机系统处构建所述至少一个设备及其集群的历史消息大小直方图的模型,其中该模型具有混合正态分布,以及当消息的大小偏离该模型的所述混合正态分布时,检
测到异常;在所述计算机系统处构建所述至少一个设备及其集群的历史消息计数的模型,其中该模型具有正态分布,以及当所述至少一个设备的消息计数偏离该模型的所述正态分布时,检测到异常;以及在所述计算机系统处基于所述至少一个设备、设备类型及其集群的历史消息大小序列来构建元数据特征的序列模型,以及基于所述至少一个设备的消息序列来检测异常。
技术总结
实施例可提供检测IoT数据流量中的网络安全事件的技术,该技术提供改进的检测准确度和隐私保护。例如,在实施例中,一种方法可以在计算机中实现,该计算机包括处理器、能由该处理器访问的存储器、以及存储在该存储器中并且能由该处理器执行的计算机程序指令,该方法可以包括:收集去往和来自至少一个设备的多个消息;从所收集的多个消息中提取元数据特征;生成时间窗口;基于在该时间窗口期间存在的所提取的元数据特征来确定附加特征;基于所收集的多个消息来检测至少一个设备的行为模式,对在该时间窗口期间存在的所确定的附加特征和所检测到的行为模式进行聚类;以及使用经聚类的所确定的附加特征和所检测到的行为模式来检测至少一个异常或异常类型。测至少一个异常或异常类型。测至少一个异常或异常类型。
技术研发人员:O
受保护的技术使用者:国际商业机器公司
技术研发日:2020.11.04
技术公布日:2022/7/9
再多了解一些
本文用于企业家、创业者技术爱好者查询,结果仅供参考。
