本發(fā)明涉及物聯(lián)網(wǎng)領(lǐng)域，具體而言，涉及一種物聯(lián)網(wǎng)感知層入侵檢測(cè)系統(tǒng)。

背景技術(shù)：

傳感器作為物聯(lián)網(wǎng)感知層的感知設(shè)備對(duì)數(shù)據(jù)的安全性要求很高，一旦有非法或不良數(shù)據(jù)通過(guò)感知層設(shè)備流入網(wǎng)絡(luò)，那么不僅會(huì)破壞全網(wǎng)的感知數(shù)據(jù)的安全性，而且會(huì)危害到與之相連的信息傳輸層乃至信息處理層數(shù)據(jù)的安全性，給整個(gè)物聯(lián)網(wǎng)帶來(lái)無(wú)法預(yù)知的損害。因此為保證全網(wǎng)數(shù)據(jù)的安全性，入侵檢測(cè)就具有重要的意義。

由于感知層的感知設(shè)備獲取的數(shù)據(jù)會(huì)隨監(jiān)控環(huán)境的不斷變化而變化，而現(xiàn)有的物聯(lián)網(wǎng)感知層的入侵檢測(cè)都是基于一種固定的檢測(cè)模型，并未考慮到環(huán)境的變化對(duì)入侵檢測(cè)效果的影響。

技術(shù)實(shí)現(xiàn)要素：

有鑒于此，本發(fā)明實(shí)施例的目的在于提供一種物聯(lián)網(wǎng)感知層入侵檢測(cè)系統(tǒng)，以解決上述問(wèn)題。

為了實(shí)現(xiàn)上述目的，本發(fā)明實(shí)施例采用的技術(shù)方案如下：

一方面，本發(fā)明實(shí)施例提供一種物聯(lián)網(wǎng)感知層入侵檢測(cè)系統(tǒng)，所述系統(tǒng)包括：傳感器、通信設(shè)備、路由器以及數(shù)據(jù)分析服務(wù)器，所述通信設(shè)備分別與所述傳感器、所述路由器、及所述數(shù)據(jù)分析服務(wù)器耦合，所述路由器與所述數(shù)據(jù)分析服務(wù)器耦合；所述傳感器，用于采集環(huán)境數(shù)據(jù)，并將所述環(huán)境數(shù)據(jù)及采集時(shí)刻發(fā)送到所述通信設(shè)備，所述環(huán)境數(shù)據(jù)包括光照強(qiáng)度、煙霧濃度、溫度、濕度、壓力、重力、振動(dòng)頻率、位置或速度數(shù)據(jù)；所述通信設(shè)備，用于接收所述傳感器發(fā)送的所述環(huán)境數(shù)據(jù)及所述采集時(shí)刻，并將所述環(huán)境數(shù)據(jù)及所述采集時(shí)刻發(fā)送到所述路由器及所述數(shù)據(jù)分析服務(wù)器；所述路由器，用于接收所述通信設(shè)備發(fā)送的所述環(huán)境數(shù)據(jù)及所述采集時(shí)刻，并生成用于在物聯(lián)網(wǎng)中傳輸?shù)牧髁繑?shù)據(jù)包，將所述流量數(shù)據(jù)包發(fā)送到所述數(shù)據(jù)分析服務(wù)器，所述流量數(shù)據(jù)包包括所述環(huán)境數(shù)據(jù)、所述采集時(shí)刻、及至少一種封裝數(shù)據(jù)，所述封裝數(shù)據(jù)包括所述流量數(shù)據(jù)包的大小、持續(xù)時(shí)間、來(lái)源、協(xié)議類(lèi)型、服務(wù)類(lèi)型、端口號(hào)、訪(fǎng)問(wèn)服務(wù)類(lèi)型、及同一來(lái)源數(shù)據(jù)包連接請(qǐng)求數(shù)；所述數(shù)據(jù)分析服務(wù)器，用于接收所述通信設(shè)備發(fā)送的所述環(huán)境數(shù)據(jù)和所述采集時(shí)刻以及所述路由器發(fā)送的所述流量數(shù)據(jù)包；根據(jù)所述采集時(shí)刻為t時(shí)刻的所述環(huán)境數(shù)據(jù)、及所述采集時(shí)刻為t+1時(shí)刻的所述環(huán)境數(shù)據(jù)，獲取t時(shí)刻的融合變化值；根據(jù)所述t時(shí)刻的融合變化值、第一閾值及第二閾值選擇對(duì)應(yīng)的入侵檢測(cè)模型對(duì)所述流量數(shù)據(jù)包中所述采集時(shí)刻為t時(shí)刻的流量數(shù)據(jù)包進(jìn)行入侵檢測(cè)。

另一方面，本發(fā)明實(shí)施例提供一種物聯(lián)網(wǎng)感知層入侵檢測(cè)系統(tǒng)，所述系統(tǒng)包括：傳感器、通信設(shè)備、采集設(shè)備以及數(shù)據(jù)分析服務(wù)器，所述通信設(shè)備與所述傳感器耦合，所述數(shù)據(jù)分析服務(wù)器分別與所述通信設(shè)備及所述采集設(shè)備耦合，所述傳感器，用于采集環(huán)境數(shù)據(jù)，并將所述環(huán)境數(shù)據(jù)及采集時(shí)刻發(fā)送到所述通信設(shè)備，所述環(huán)境數(shù)據(jù)包括光照強(qiáng)度、煙霧濃度、溫度、濕度、壓力、重力、振動(dòng)頻率、位置或速度數(shù)據(jù)；所述通信設(shè)備，用于接收所述傳感器發(fā)送的所述環(huán)境數(shù)據(jù)及所述采集時(shí)刻，并將所述環(huán)境數(shù)據(jù)及所述采集時(shí)刻發(fā)送到所述數(shù)據(jù)分析服務(wù)器；所述采集設(shè)備，用于采集路由器端口處的流量數(shù)據(jù)包，將所述流量數(shù)據(jù)包發(fā)送到所述數(shù)據(jù)分析服務(wù)器，所述流量數(shù)據(jù)包包括所述環(huán)境數(shù)據(jù)、所述采集時(shí)刻、及至少一種封裝數(shù)據(jù)，所述封裝數(shù)據(jù)包括所述流量數(shù)據(jù)包的大小、持續(xù)時(shí)間、來(lái)源、協(xié)議類(lèi)型、服務(wù)類(lèi)型、端口號(hào)、訪(fǎng)問(wèn)服務(wù)類(lèi)型、及同一來(lái)源數(shù)據(jù)包連接請(qǐng)求數(shù)；所述數(shù)據(jù)分析服務(wù)器，用于接收所述通信設(shè)備發(fā)送的所述環(huán)境數(shù)據(jù)和所述采集時(shí)刻以及所述采集設(shè)備發(fā)送的所述流量數(shù)據(jù)包；根據(jù)所述采集時(shí)刻為t時(shí)刻的所述環(huán)境數(shù)據(jù)、及所述采集時(shí)刻為t+1時(shí)刻的所述環(huán)境數(shù)據(jù)，獲取t時(shí)刻的融合變化值；根據(jù)所述t時(shí)刻的融合變化值、第一閾值及第二閾值選擇對(duì)應(yīng)的入侵檢測(cè)模型對(duì)所述流量數(shù)據(jù)包中所述采集時(shí)刻為t時(shí)刻的流量數(shù)據(jù)包進(jìn)行入侵檢測(cè)。

與現(xiàn)有技術(shù)相比，本發(fā)明實(shí)施例提供的物聯(lián)網(wǎng)感知層入侵檢測(cè)系統(tǒng)通過(guò)傳感器采集環(huán)境數(shù)據(jù)，并將所述環(huán)境數(shù)據(jù)及采集時(shí)刻發(fā)送到所述通信設(shè)備，所述通信設(shè)備將所述傳感器發(fā)送的所述環(huán)境數(shù)據(jù)及采集時(shí)刻發(fā)送到所述路由器及所述數(shù)據(jù)分析服務(wù)器，所述路由器根據(jù)所述傳感器發(fā)送的所述環(huán)境數(shù)據(jù)及所述采集時(shí)刻生成對(duì)應(yīng)的流量數(shù)據(jù)包，并將所述流量數(shù)據(jù)包發(fā)送到所述數(shù)據(jù)分析服務(wù)器，所述數(shù)據(jù)分析服務(wù)器根據(jù)所述采集時(shí)刻為t時(shí)刻的所述環(huán)境數(shù)據(jù)、及所述采集時(shí)刻為t+1時(shí)刻的所述環(huán)境數(shù)據(jù)，獲取t時(shí)刻的融合變化值，根據(jù)所述t時(shí)刻的融合變化值、第一閾值及第二閾值選擇對(duì)應(yīng)的入侵檢測(cè)模型對(duì)所述流量數(shù)據(jù)包中所述采集時(shí)刻為t時(shí)刻的流量數(shù)據(jù)包進(jìn)行入侵檢測(cè)。所述系統(tǒng)不是采用固定的一種入侵檢測(cè)模型，而是根據(jù)當(dāng)前的環(huán)境數(shù)據(jù)的融合變化值、利用預(yù)設(shè)時(shí)長(zhǎng)的環(huán)境數(shù)據(jù)確定的第一閾值及第二閾值，動(dòng)態(tài)的選擇合適的入侵檢測(cè)模型對(duì)當(dāng)前的流量數(shù)據(jù)包進(jìn)行入侵檢測(cè)，充分利用了不同入侵檢測(cè)模型各自的優(yōu)勢(shì)，使得入侵檢測(cè)的結(jié)果更加準(zhǔn)確。

本發(fā)明的其他特征和優(yōu)點(diǎn)將在隨后的說(shuō)明書(shū)闡述，并且，部分地從說(shuō)明書(shū)中變得顯而易見(jiàn)，或者通過(guò)實(shí)施本發(fā)明實(shí)施例了解。本發(fā)明的目的和其他優(yōu)點(diǎn)可通過(guò)在所寫(xiě)的說(shuō)明書(shū)、權(quán)利要求書(shū)、以及附圖中所特別指出的結(jié)構(gòu)來(lái)實(shí)現(xiàn)和獲得。

附圖說(shuō)明

為了更清楚地說(shuō)明本發(fā)明實(shí)施例的技術(shù)方案，下面將對(duì)實(shí)施例中所需要使用的附圖作簡(jiǎn)單地介紹，應(yīng)當(dāng)理解，以下附圖僅示出了本發(fā)明的某些實(shí)施例，因此不應(yīng)被看作是對(duì)范圍的限定，對(duì)于本領(lǐng)域普通技術(shù)人員來(lái)講，在不付出創(chuàng)造性勞動(dòng)的前提下，還可以根據(jù)這些附圖獲得其他相關(guān)的附圖。

圖1是本發(fā)明第一實(shí)施例提供的一種物聯(lián)網(wǎng)感知層入侵檢測(cè)系統(tǒng)的結(jié)構(gòu)示意圖。

圖2是本發(fā)明第一實(shí)施例提供的另一種物聯(lián)網(wǎng)感知層入侵檢測(cè)系統(tǒng)的結(jié)構(gòu)示意圖。

圖3是本發(fā)明第一實(shí)施例提供的又一種物聯(lián)網(wǎng)感知層入侵檢測(cè)系統(tǒng)的結(jié)構(gòu)示意圖。

圖4是本發(fā)明第一實(shí)施例提供的一種物聯(lián)網(wǎng)感知層入侵檢測(cè)系統(tǒng)中的數(shù)據(jù)分析服務(wù)器的結(jié)構(gòu)示意圖。

圖5是本發(fā)明第二實(shí)施例提供的一種物聯(lián)網(wǎng)感知層入侵檢測(cè)系統(tǒng)的結(jié)構(gòu)示意圖。

圖標(biāo)：100-物聯(lián)網(wǎng)感知層入侵檢測(cè)系統(tǒng)；110-傳感器；120-通信設(shè)備；130-路由器；140-數(shù)據(jù)分析服務(wù)器；141-接收模塊；142-計(jì)算模塊；143-入侵檢測(cè)模塊；150-采集設(shè)備。

具體實(shí)施方式

下面將結(jié)合本發(fā)明實(shí)施例中附圖，對(duì)本發(fā)明實(shí)施例中的技術(shù)方案進(jìn)行清楚、完整地描述，顯然，所描述的實(shí)施例僅僅是本發(fā)明一部分實(shí)施例，而不是全部的實(shí)施例。通常在此處附圖中描述和示出的本發(fā)明實(shí)施例的組件可以以各種不同的配置來(lái)布置和設(shè)計(jì)。因此，以下對(duì)在附圖中提供的本發(fā)明的實(shí)施例的詳細(xì)描述并非旨在限制要求保護(hù)的本發(fā)明的范圍，而是僅僅表示本發(fā)明的選定實(shí)施例?；诒景l(fā)明的實(shí)施例，本領(lǐng)域技術(shù)人員在沒(méi)有做出創(chuàng)造性勞動(dòng)的前提下所獲得的所有其他實(shí)施例，都屬于本發(fā)明保護(hù)的范圍。

應(yīng)注意到：相似的標(biāo)號(hào)和字母在下面的附圖中表示類(lèi)似項(xiàng)，因此，一旦某一項(xiàng)在一個(gè)附圖中被定義，則在隨后的附圖中不需要對(duì)其進(jìn)行進(jìn)一步定義和解釋。同時(shí)，在本發(fā)明的描述中，術(shù)語(yǔ)“第一”、“第二”等僅用于區(qū)分描述，而不能理解為指示或暗示相對(duì)重要性。

圖1示出了本發(fā)明第一實(shí)施例提供的一種物聯(lián)網(wǎng)感知層入侵檢測(cè)系統(tǒng)100的結(jié)構(gòu)示意圖。所述物聯(lián)網(wǎng)感知層入侵檢測(cè)系統(tǒng)100包括：傳感器110、通信設(shè)備120、路由器130以及數(shù)據(jù)分析服務(wù)器140，所述通信設(shè)備120分別與所述傳感器110、所述路由器130、及所述數(shù)據(jù)分析服務(wù)器140耦合，所述路由器130與所述數(shù)據(jù)分析服務(wù)器140耦合。所述傳感器110，用于采集環(huán)境數(shù)據(jù)，并將所述環(huán)境數(shù)據(jù)及采集時(shí)刻發(fā)送到所述通信設(shè)備120，所述環(huán)境數(shù)據(jù)包括光照強(qiáng)度、煙霧濃度、溫度、濕度、壓力、重力、振動(dòng)頻率、位置或速度數(shù)據(jù)。所述通信設(shè)備120，用于接收所述傳感器110發(fā)送的所述環(huán)境數(shù)據(jù)及所述采集時(shí)刻，并將所述環(huán)境數(shù)據(jù)及所述采集時(shí)刻發(fā)送到所述路由器130及所述數(shù)據(jù)分析服務(wù)器140。所述路由器130，用于接收所述通信設(shè)備120發(fā)送的所述環(huán)境數(shù)據(jù)及所述采集時(shí)刻，并生成用于在物聯(lián)網(wǎng)中傳輸?shù)牧髁繑?shù)據(jù)包，將所述流量數(shù)據(jù)包發(fā)送到所述數(shù)據(jù)分析服務(wù)器140，所述流量數(shù)據(jù)包包括所述環(huán)境數(shù)據(jù)、所述采集時(shí)刻、及至少一種封裝數(shù)據(jù)，所述封裝數(shù)據(jù)包括所述流量數(shù)據(jù)包的大小、持續(xù)時(shí)間、來(lái)源、協(xié)議類(lèi)型、服務(wù)類(lèi)型、端口號(hào)、訪(fǎng)問(wèn)服務(wù)類(lèi)型、及同一來(lái)源數(shù)據(jù)包連接請(qǐng)求數(shù)。其中，所述流量數(shù)據(jù)包的來(lái)源可以為所述流量數(shù)據(jù)包包括的所述環(huán)境數(shù)據(jù)的源地址，所述流量數(shù)據(jù)包的服務(wù)類(lèi)型可以為數(shù)據(jù)庫(kù)服務(wù)、文件服務(wù)或傳輸服務(wù)等，所述流量數(shù)據(jù)包的訪(fǎng)問(wèn)服務(wù)類(lèi)型可以為get請(qǐng)求、post請(qǐng)求或put請(qǐng)求等。所述數(shù)據(jù)分析服務(wù)器140，用于接收所述通信設(shè)備120發(fā)送的所述環(huán)境數(shù)據(jù)和所述采集時(shí)刻以及所述路由器130發(fā)送的所述流量數(shù)據(jù)包；根據(jù)所述采集時(shí)刻為t時(shí)刻的所述環(huán)境數(shù)據(jù)、及所述采集時(shí)刻為t+1時(shí)刻的所述環(huán)境數(shù)據(jù)，獲取t時(shí)刻的融合變化值；根據(jù)所述t時(shí)刻的融合變化值、第一閾值及第二閾值選擇對(duì)應(yīng)的入侵檢測(cè)模型對(duì)所述流量數(shù)據(jù)包中所述采集時(shí)刻為t時(shí)刻的流量數(shù)據(jù)包進(jìn)行入侵檢測(cè)。其中，所述第一閾值與所述第二閾值可以預(yù)先設(shè)置，也可以根據(jù)一段預(yù)設(shè)時(shí)長(zhǎng)的所述環(huán)境數(shù)據(jù)計(jì)算得到。

進(jìn)一步的，所述傳感器110可以為一個(gè)或多個(gè)，所述通信設(shè)備120也可以為一個(gè)或多個(gè)，所述傳感器110與所述通信設(shè)備120的個(gè)數(shù)相同，各個(gè)所述通信設(shè)備120分別與各個(gè)所述傳感器110耦合，各個(gè)所述通信設(shè)備120分別與所述路由器130及所述數(shù)據(jù)分析服務(wù)器140耦合。圖2示出了當(dāng)所述傳感器110及所述通信設(shè)備120為多個(gè)時(shí)，所述物聯(lián)網(wǎng)感知層入侵檢測(cè)系統(tǒng)100的結(jié)構(gòu)示意圖。

進(jìn)一步的，所述路由器130也可以為一個(gè)或多個(gè)，當(dāng)所述路由器130為多個(gè)時(shí)，所述路由器130的個(gè)數(shù)與所述通信設(shè)備120的個(gè)數(shù)相同，各個(gè)所述路由器130分別與各個(gè)所述通信設(shè)備120耦合，各個(gè)所述路由器130分別與所述數(shù)據(jù)分析服務(wù)器140耦合。圖3示出了當(dāng)所述路由器130為多個(gè)時(shí)，所述物聯(lián)網(wǎng)感知層入侵檢測(cè)系統(tǒng)100的結(jié)構(gòu)示意圖。

如圖4所示，所述數(shù)據(jù)分析服務(wù)器140，可以包括接收模塊141、計(jì)算模塊142、及入侵檢測(cè)模塊143，所述接收模塊141，用于接收所述通信設(shè)備120發(fā)送的所述環(huán)境數(shù)據(jù)和所述采集時(shí)刻以及所述路由器130發(fā)送的所述流量數(shù)據(jù)包；所述計(jì)算模塊142，用于根據(jù)所述采集時(shí)刻為t時(shí)刻的所述環(huán)境數(shù)據(jù)、及所述采集時(shí)刻為t+1時(shí)刻的所述環(huán)境數(shù)據(jù)，獲取t時(shí)刻的融合變化值；所述入侵檢測(cè)模塊143，用于根據(jù)所述t時(shí)刻的融合變化值、第一閾值及第二閾值選擇對(duì)應(yīng)的入侵檢測(cè)模型對(duì)所述流量數(shù)據(jù)包中所述采集時(shí)刻為t時(shí)刻的流量數(shù)據(jù)包進(jìn)行入侵檢測(cè)。

作為一種具體的實(shí)施方式，每個(gè)所述傳感器110對(duì)應(yīng)有標(biāo)識(shí)號(hào)，每個(gè)所述傳感器110采集的所述環(huán)境數(shù)據(jù)與所述傳感器110的標(biāo)識(shí)號(hào)對(duì)應(yīng)，所述計(jì)算模塊142，可以用于根據(jù)所述采集時(shí)刻為t時(shí)刻的所述環(huán)境數(shù)據(jù)、及所述采集時(shí)刻為t+1時(shí)刻的所述環(huán)境數(shù)據(jù)，分別計(jì)算對(duì)應(yīng)相同標(biāo)識(shí)號(hào)的所述環(huán)境數(shù)據(jù)的t時(shí)刻變化值，根據(jù)各個(gè)t時(shí)刻變化值獲取t時(shí)刻的融合變化值。

對(duì)上述具體的實(shí)施方式進(jìn)行詳細(xì)說(shuō)明：假設(shè)υ(t,i)為第i個(gè)傳感器110采集的所述采集時(shí)刻為t時(shí)刻的所述環(huán)境數(shù)據(jù)，υ(t+1,i)為第i個(gè)傳感器110采集的所述采集時(shí)刻為t+1時(shí)刻的所述環(huán)境數(shù)據(jù)，兩者對(duì)應(yīng)的標(biāo)識(shí)號(hào)相同；計(jì)算兩者的差值Δυ(t,i)，其中Δυ(t,i)＝υ(t+1,i)-υ(t,i)，根據(jù)Δυ(t,i)及υ(t,i)，計(jì)算與第i個(gè)傳感器110的標(biāo)識(shí)號(hào)對(duì)應(yīng)的所述環(huán)境數(shù)據(jù)的t時(shí)刻變化值分別計(jì)算對(duì)應(yīng)相同標(biāo)識(shí)號(hào)的所述環(huán)境數(shù)據(jù)的t時(shí)刻變化值其中n為所述傳感器110的個(gè)數(shù)，將各個(gè)t時(shí)刻變化值求和即可獲得t時(shí)刻的融合變化值s_t，即

進(jìn)一步的，所述計(jì)算模塊142，還可以用于根據(jù)所述采集時(shí)刻為t-1時(shí)刻的所述環(huán)境數(shù)據(jù)、及所述采集時(shí)刻為t時(shí)刻的所述環(huán)境數(shù)據(jù)，獲取t-1時(shí)刻的融合變化值s_t-1。

其中，獲取t-1時(shí)刻的融合變化值s_t-1的方法與上述獲取t時(shí)刻的融合變化值s_t的方法類(lèi)似，此處不再贅述。

作為一種具體的實(shí)施方式，所述入侵檢測(cè)模塊143，可以用于若所述t時(shí)刻的融合變化值s_t小于第一閾值，則根據(jù)第一入侵檢測(cè)模型對(duì)所述流量數(shù)據(jù)包中所述采集時(shí)刻為t時(shí)刻的流量數(shù)據(jù)包進(jìn)行入侵檢測(cè)；若s_t大于或等于所述第一閾值且小于第二閾值，則根據(jù)第二入侵檢測(cè)模型對(duì)所述流量數(shù)據(jù)包中所述采集時(shí)刻為t時(shí)刻的流量數(shù)據(jù)包進(jìn)行入侵檢測(cè)；若s_t大于第二閾值，則根據(jù)第三入侵檢測(cè)模型對(duì)所述流量數(shù)據(jù)包中所述采集時(shí)刻為t時(shí)刻的流量數(shù)據(jù)包進(jìn)行入侵檢測(cè)。

其中，所述第一入侵檢測(cè)模型可以為基于著色Petri網(wǎng)的入侵檢測(cè)模型。當(dāng)s_t小于第一閾值時(shí)，說(shuō)明所述采集時(shí)刻為t時(shí)刻的所述環(huán)境數(shù)據(jù)的變化趨勢(shì)較小，也即等效于所述采集時(shí)刻為t時(shí)刻的流量數(shù)據(jù)包的數(shù)量較少，因此不必進(jìn)行大規(guī)模的數(shù)據(jù)處理，這種情況下更適合采用基于誤用的入侵檢測(cè)，也就是一種針對(duì)性的防御性檢測(cè)?；谥玃etri網(wǎng)的入侵檢測(cè)模型就是基于誤用的入侵檢測(cè)方法之一，作為一種基于狀態(tài)的入侵檢測(cè)方法，它將每個(gè)入侵標(biāo)簽表達(dá)為一個(gè)模式，通過(guò)模式表達(dá)事件和它們的內(nèi)容間的關(guān)系，適合進(jìn)行小規(guī)模靜態(tài)物聯(lián)網(wǎng)的入侵檢測(cè)分析。

所述第二入侵檢測(cè)模型可以為基于時(shí)間的K-means入侵檢測(cè)模型。當(dāng)s_t大于或等于所述第一閾值且小于第二閾值時(shí)，說(shuō)明所述采集時(shí)刻為t時(shí)刻的所述環(huán)境數(shù)據(jù)的變化趨勢(shì)正常，也即等效于所述采集時(shí)刻為t時(shí)刻的流量數(shù)據(jù)包的數(shù)量正常，這種情況下更適合采用基于模式預(yù)測(cè)的異常檢測(cè)方法。K-means是經(jīng)典的聚類(lèi)算法，它使用簡(jiǎn)單的迭代將數(shù)據(jù)集聚成K個(gè)類(lèi)，該算法具有簡(jiǎn)單、易懂、良好的可伸縮性等顯著優(yōu)點(diǎn)，成為當(dāng)前入侵檢測(cè)中聚類(lèi)算法研究方面的重要算法，而基于時(shí)間的推理方法利用時(shí)間規(guī)則來(lái)識(shí)別用戶(hù)行為正常模式的特征。基于時(shí)間的K-means入侵檢測(cè)模型作為一種異常檢測(cè)模型，將K-means算法與基于時(shí)間的推理方法相結(jié)合進(jìn)行異常預(yù)測(cè)，可以有效地滿(mǎn)足物聯(lián)網(wǎng)感知層異常檢測(cè)的需求。

所述第三入侵檢測(cè)模型可以為基于卷積神經(jīng)網(wǎng)絡(luò)的網(wǎng)絡(luò)入侵檢測(cè)模型。當(dāng)s_t大于第二閾值時(shí)，說(shuō)明所述采集時(shí)刻為t時(shí)刻的所述環(huán)境數(shù)據(jù)的變化趨勢(shì)較大，也即等效于所述采集時(shí)刻為t時(shí)刻的流量數(shù)據(jù)包的數(shù)量較多，這種情況下普通的分析方法可能導(dǎo)致分析片面，使用神經(jīng)網(wǎng)絡(luò)算法可以充分利用歷史樣本，并結(jié)合少量的即時(shí)樣本，采用機(jī)器學(xué)習(xí)的方法來(lái)自動(dòng)地分析、挖掘上下文信息間的依賴(lài)或因果關(guān)系，達(dá)到模型在線(xiàn)更新的目的，可以有效地滿(mǎn)足物聯(lián)網(wǎng)感知層異常檢測(cè)的需求。

進(jìn)一步的，所述入侵檢測(cè)模塊143，還可以用于當(dāng)s_t與s_t-1的比值大于2時(shí)，若s_t小于第一閾值，則根據(jù)第二入侵檢測(cè)模型對(duì)所述流量數(shù)據(jù)包中所述采集時(shí)刻為t時(shí)刻的流量數(shù)據(jù)包進(jìn)行入侵檢測(cè)，若s_t大于或等于所述第一閾值且小于第二閾值，則根據(jù)第三入侵檢測(cè)模型對(duì)所述流量數(shù)據(jù)包中所述采集時(shí)刻為t時(shí)刻的流量數(shù)據(jù)包進(jìn)行入侵檢測(cè)；當(dāng)s_t與s_t-1的比值小于0.5時(shí)，若s_t大于或等于所述第一閾值且小于第二閾值，則根據(jù)第一入侵檢測(cè)模型對(duì)所述流量數(shù)據(jù)包中所述采集時(shí)刻為t時(shí)刻的流量數(shù)據(jù)包進(jìn)行入侵檢測(cè)；若s_t大于第二閾值，則根據(jù)第二入侵檢測(cè)模型對(duì)所述流量數(shù)據(jù)包中所述采集時(shí)刻為t時(shí)刻的流量數(shù)據(jù)包進(jìn)行入侵檢測(cè)。

由于當(dāng)s_t與s_t-1的比值大于2時(shí)，說(shuō)明所述采集時(shí)刻為t時(shí)刻的所述環(huán)境數(shù)據(jù)的變化幅度大于了100％，也即是說(shuō)所述采集時(shí)刻為t時(shí)刻的流量數(shù)據(jù)包處于一個(gè)快速變化的狀態(tài)，需要使用適用于更大數(shù)據(jù)量處理的入侵檢測(cè)模型對(duì)所述采集時(shí)刻為t時(shí)刻的流量數(shù)據(jù)包進(jìn)行入侵檢測(cè)。例如，當(dāng)s_t小于第一閾值時(shí)，原本應(yīng)該根據(jù)適用于較小數(shù)據(jù)量處理的第一入侵檢測(cè)模型來(lái)對(duì)所述采集時(shí)刻為t時(shí)刻的流量數(shù)據(jù)包進(jìn)行入侵檢測(cè)，但如果s_t與s_t-1的比值大于2，則根據(jù)適用于正常數(shù)據(jù)量處理的第二入侵檢測(cè)模型來(lái)進(jìn)行入侵檢測(cè)更為合適；當(dāng)s_t大于或等于所述第一閾值且小于第二閾值時(shí)，原本應(yīng)該根據(jù)適用于正常數(shù)據(jù)量處理的第二入侵檢測(cè)模型來(lái)對(duì)所述采集時(shí)刻為t時(shí)刻的流量數(shù)據(jù)包進(jìn)行入侵檢測(cè)，但如果s_t與s_t-1的比值大于2，則根據(jù)適用于較大數(shù)據(jù)量處理的第三入侵檢測(cè)模型來(lái)進(jìn)行入侵檢測(cè)更為合適；當(dāng)s_t大于第二閾值時(shí)，由于原本就根據(jù)適用于較大數(shù)據(jù)量處理的第三入侵檢測(cè)模型來(lái)對(duì)所述采集時(shí)刻為t時(shí)刻的流量數(shù)據(jù)包進(jìn)行入侵檢測(cè)，因此如果s_t與s_t-1的比值大于2，仍然可以采用所述第三入侵檢測(cè)模型來(lái)進(jìn)行入侵檢測(cè)，當(dāng)然也可以根據(jù)需要選擇其他任何適用于更大數(shù)據(jù)量處理的入侵檢測(cè)模型來(lái)進(jìn)行入侵檢測(cè)，以得到更準(zhǔn)確的入侵檢測(cè)結(jié)果。

而當(dāng)s_t與s_t-1的比值小于0.5時(shí)，說(shuō)明所述采集時(shí)刻為t時(shí)刻的所述環(huán)境數(shù)據(jù)的變化幅度小于了50％，也即是說(shuō)所述采集時(shí)刻為t時(shí)刻的流量數(shù)據(jù)包處于一個(gè)緩慢變化的狀態(tài)，需要使用適用于更小數(shù)據(jù)量處理的入侵檢測(cè)模型對(duì)所述采集時(shí)刻為t時(shí)刻的流量數(shù)據(jù)包進(jìn)行入侵檢測(cè)。例如，當(dāng)s_t大于或等于所述第一閾值且小于第二閾值時(shí)，原本應(yīng)該根據(jù)適用于正常數(shù)據(jù)量處理的第二入侵檢測(cè)模型來(lái)對(duì)所述采集時(shí)刻為t時(shí)刻的流量數(shù)據(jù)包進(jìn)行入侵檢測(cè)，但如果s_t與s_t-1的比值小于0.5，則根據(jù)適用于較小數(shù)據(jù)量處理的第一入侵檢測(cè)模型來(lái)進(jìn)行入侵檢測(cè)更為合適；當(dāng)s_t大于第二閾值時(shí)，原本應(yīng)該根據(jù)適用于較大數(shù)據(jù)量處理的第三入侵檢測(cè)模型來(lái)對(duì)所述采集時(shí)刻為t時(shí)刻的流量數(shù)據(jù)包進(jìn)行入侵檢測(cè)，但如果s_t與s_t-1的比值小于0.5，則根據(jù)適用于正常數(shù)據(jù)量處理的第二入侵檢測(cè)模型來(lái)進(jìn)行入侵檢測(cè)更為合適；當(dāng)s_t小于所述第一閾值時(shí)，由于原本就根據(jù)適用于較小數(shù)據(jù)量處理的第一入侵檢測(cè)模型來(lái)對(duì)所述采集時(shí)刻為t時(shí)刻的流量數(shù)據(jù)包進(jìn)行入侵檢測(cè)，因此如果s_t與s_t-1的比值小于0.5，仍然可以采用所述第一入侵檢測(cè)模型來(lái)進(jìn)行入侵檢測(cè)，當(dāng)然也可以根據(jù)需要選擇其他任何適用于更小數(shù)據(jù)量處理的入侵檢測(cè)模型來(lái)進(jìn)行入侵檢測(cè)，以得到更準(zhǔn)確的入侵檢測(cè)結(jié)果。

作為一種具體的實(shí)施方式，所述數(shù)據(jù)分析服務(wù)器140，還可以用于接收所述通信設(shè)備120發(fā)送的預(yù)設(shè)時(shí)長(zhǎng)的所述環(huán)境數(shù)據(jù)及采集時(shí)刻，根據(jù)所述預(yù)設(shè)時(shí)長(zhǎng)的所述環(huán)境數(shù)據(jù)及采集時(shí)刻獲取所述預(yù)設(shè)時(shí)長(zhǎng)內(nèi)各個(gè)時(shí)刻的融合變化值，將所述預(yù)設(shè)時(shí)長(zhǎng)內(nèi)各個(gè)時(shí)刻的融合變化值從小到大進(jìn)行排序，根據(jù)排序結(jié)果確定第一閾值與第二閾值。

其中，所述預(yù)設(shè)時(shí)長(zhǎng)的值越大，則采集到的所述環(huán)境數(shù)據(jù)量就越大，從而通過(guò)對(duì)采集到的所述環(huán)境數(shù)據(jù)進(jìn)行統(tǒng)計(jì)分析確定的第一閾值及第二閾值就更接近理想值，因此可以根據(jù)具體的需求對(duì)所述預(yù)設(shè)時(shí)長(zhǎng)進(jìn)行設(shè)定，以使所述第一閾值與所述第二閾值的精度滿(mǎn)足要求，所述預(yù)設(shè)時(shí)長(zhǎng)的值的大小并不構(gòu)成對(duì)本發(fā)明實(shí)施例的限制。

所述數(shù)據(jù)分析服務(wù)器140，根據(jù)所述預(yù)設(shè)時(shí)長(zhǎng)的所述環(huán)境數(shù)據(jù)及采集時(shí)刻獲取所述預(yù)設(shè)時(shí)長(zhǎng)內(nèi)各個(gè)時(shí)刻的融合變化值的方法，可以參照上述獲取t時(shí)刻的融合變化值的方法，此處不再贅述。

假設(shè)預(yù)設(shè)時(shí)長(zhǎng)內(nèi)包括m個(gè)時(shí)刻，則可以獲取到這m個(gè)時(shí)刻的融合變化值，將這m個(gè)時(shí)刻的融合變化值從小到大進(jìn)行排序后，根據(jù)排序結(jié)果及正態(tài)分布的數(shù)據(jù)比例(0.6827:0.95:1)確定所述第一閾值與第二閾值。具體地，將預(yù)設(shè)時(shí)長(zhǎng)內(nèi)包括的時(shí)刻數(shù)m與0.6827相乘得到p，即p＝m×0.6827，則排序結(jié)果中的第p個(gè)融合變化值為所述第一閾值；將預(yù)設(shè)時(shí)長(zhǎng)內(nèi)包括的時(shí)刻數(shù)m與0.95相乘得到q，即q＝m×0.95，則排序結(jié)果中的第q個(gè)融合變化值為所述第二閾值。進(jìn)一步的，當(dāng)p和/或q的值不是整數(shù)時(shí)，對(duì)其進(jìn)行向上或向下取整即可。

本發(fā)明實(shí)施例提供的物聯(lián)網(wǎng)感知層入侵檢測(cè)系統(tǒng)100，通過(guò)一個(gè)或多個(gè)傳感器110采集預(yù)設(shè)時(shí)長(zhǎng)的所述環(huán)境數(shù)據(jù)，并將預(yù)設(shè)時(shí)長(zhǎng)的所述環(huán)境數(shù)據(jù)及所述采集時(shí)刻通過(guò)所述通信設(shè)備120發(fā)送到所述數(shù)據(jù)分析服務(wù)器140，所述數(shù)據(jù)分析服務(wù)器140根據(jù)預(yù)設(shè)時(shí)長(zhǎng)的所述環(huán)境數(shù)據(jù)及所述采集時(shí)刻，利用正態(tài)分布的數(shù)據(jù)比例確定所述第一閾值與第二閾值；當(dāng)需要進(jìn)行入侵檢測(cè)時(shí)，通過(guò)傳感器110采集環(huán)境數(shù)據(jù)，并將所述環(huán)境數(shù)據(jù)及采集時(shí)刻發(fā)送到所述通信設(shè)備120，所述通信設(shè)備120將所述傳感器110發(fā)送的所述環(huán)境數(shù)據(jù)及采集時(shí)刻發(fā)送到所述路由器130及所述數(shù)據(jù)分析服務(wù)器140，所述路由器130根據(jù)所述傳感器110發(fā)送的所述環(huán)境數(shù)據(jù)及所述采集時(shí)刻生成對(duì)應(yīng)的流量數(shù)據(jù)包，并將所述流量數(shù)據(jù)包發(fā)送到所述數(shù)據(jù)分析服務(wù)器140，所述數(shù)據(jù)分析服務(wù)器140根據(jù)所述采集時(shí)刻為t時(shí)刻的所述環(huán)境數(shù)據(jù)、及所述采集時(shí)刻為t+1時(shí)刻的所述環(huán)境數(shù)據(jù)，獲取t時(shí)刻的融合變化值，根據(jù)所述t時(shí)刻的融合變化值、第一閾值及第二閾值選擇對(duì)應(yīng)的入侵檢測(cè)模型對(duì)所述流量數(shù)據(jù)包中所述采集時(shí)刻為t時(shí)刻的流量數(shù)據(jù)包進(jìn)行入侵檢測(cè)。所述系統(tǒng)不是采用固定的一種入侵檢測(cè)模型，而是根據(jù)當(dāng)前的環(huán)境數(shù)據(jù)的融合變化值、利用預(yù)設(shè)時(shí)長(zhǎng)的環(huán)境數(shù)據(jù)確定的第一閾值及第二閾值，動(dòng)態(tài)的選擇合適的入侵檢測(cè)模型對(duì)當(dāng)前的流量數(shù)據(jù)包進(jìn)行入侵檢測(cè)，充分利用了不同入侵檢測(cè)模型各自的優(yōu)勢(shì)，使得入侵檢測(cè)的結(jié)果更加準(zhǔn)確。

圖5示出了本發(fā)明第二實(shí)施例提供的一種物聯(lián)網(wǎng)感知層入侵檢測(cè)系統(tǒng)100的結(jié)構(gòu)示意圖。所述系統(tǒng)包括：傳感器110、通信設(shè)備120、采集設(shè)備150以及數(shù)據(jù)分析服務(wù)器140，所述通信設(shè)備120與所述傳感器110耦合，所述數(shù)據(jù)分析服務(wù)器140分別與所述通信設(shè)備120及所述采集設(shè)備150耦合。所述傳感器110，用于采集環(huán)境數(shù)據(jù)，并將所述環(huán)境數(shù)據(jù)及采集時(shí)刻發(fā)送到所述通信設(shè)備120，所述環(huán)境數(shù)據(jù)包括光照強(qiáng)度、煙霧濃度、溫度、濕度、壓力、重力、振動(dòng)頻率、位置或速度數(shù)據(jù)；所述通信設(shè)備120，用于接收所述傳感器110發(fā)送的所述環(huán)境數(shù)據(jù)及所述采集時(shí)刻，并將所述環(huán)境數(shù)據(jù)及所述采集時(shí)刻發(fā)送到所述數(shù)據(jù)分析服務(wù)器140；所述采集設(shè)備150，用于采集路由器130端口處的流量數(shù)據(jù)包，將所述流量數(shù)據(jù)包發(fā)送到所述數(shù)據(jù)分析服務(wù)器140，所述流量數(shù)據(jù)包包括所述環(huán)境數(shù)據(jù)、所述采集時(shí)刻、及至少一種封裝數(shù)據(jù)，所述封裝數(shù)據(jù)包括所述流量數(shù)據(jù)包的大小、持續(xù)時(shí)間、來(lái)源、協(xié)議類(lèi)型、服務(wù)類(lèi)型、端口號(hào)、訪(fǎng)問(wèn)服務(wù)類(lèi)型、及同一來(lái)源數(shù)據(jù)包連接請(qǐng)求數(shù)；所述數(shù)據(jù)分析服務(wù)器140，用于接收所述通信設(shè)備120發(fā)送的所述環(huán)境數(shù)據(jù)和所述采集時(shí)刻以及所述采集設(shè)備150發(fā)送的所述流量數(shù)據(jù)包；根據(jù)所述采集時(shí)刻為t時(shí)刻的所述環(huán)境數(shù)據(jù)、及所述采集時(shí)刻為t+1時(shí)刻的所述環(huán)境數(shù)據(jù)，獲取t時(shí)刻的融合變化值；根據(jù)所述t時(shí)刻的融合變化值、第一閾值及第二閾值選擇對(duì)應(yīng)的入侵檢測(cè)模型對(duì)所述流量數(shù)據(jù)包中所述采集時(shí)刻為t時(shí)刻的流量數(shù)據(jù)包進(jìn)行入侵檢測(cè)。

本發(fā)明第二實(shí)施例提供的物聯(lián)網(wǎng)感知層入侵檢測(cè)系統(tǒng)100與上一實(shí)施例大致相同，唯一的區(qū)別在于不是利用所述路由器130將所述流量數(shù)據(jù)包發(fā)送給所述數(shù)據(jù)分析服務(wù)器140，而是利用所述采集設(shè)備150采集所述路由器130端口處的流量數(shù)據(jù)包，并將所述流量數(shù)據(jù)包發(fā)送給所述數(shù)據(jù)分析服務(wù)器140。其他與上一實(shí)施例相同的部分請(qǐng)參閱上一實(shí)施例，此處不再贅述。

本發(fā)明實(shí)施例提供的物聯(lián)網(wǎng)感知層入侵檢測(cè)系統(tǒng)100，除了可以解決上一實(shí)施例解決的問(wèn)題外，由于所述流量數(shù)據(jù)包不是由所述路由器130直接發(fā)送給所述數(shù)據(jù)分析服務(wù)器140，而是經(jīng)由采集設(shè)備150采集后轉(zhuǎn)發(fā)，可以有效地減輕路由器130的壓力，同時(shí)有效地避免了對(duì)物聯(lián)網(wǎng)中原始的數(shù)據(jù)傳輸產(chǎn)生影響。

另外，在本發(fā)明各個(gè)實(shí)施例中的各功能模塊可以集成在一起形成一個(gè)獨(dú)立的部分，也可以是各個(gè)模塊單獨(dú)存在，也可以?xún)蓚€(gè)或兩個(gè)以上模塊集成形成一個(gè)獨(dú)立的部分。

需要說(shuō)明的是，在本文中，諸如第一和第二等之類(lèi)的關(guān)系術(shù)語(yǔ)僅僅用來(lái)將一個(gè)實(shí)體或者操作與另一個(gè)實(shí)體或操作區(qū)分開(kāi)來(lái)，而不一定要求或者暗示這些實(shí)體或操作之間存在任何這種實(shí)際的關(guān)系或者順序。而且，術(shù)語(yǔ)“包括”、“包含”或者其任何其他變體意在涵蓋非排他性的包含，從而使得包括一系列要素的過(guò)程、方法、物品或者設(shè)備不僅包括那些要素，而且還包括沒(méi)有明確列出的其他要素，或者是還包括為這種過(guò)程、方法、物品或者設(shè)備所固有的要素。在沒(méi)有更多限制的情況下，由語(yǔ)句“包括一個(gè)……”限定的要素，并不排除在包括所述要素的過(guò)程、方法、物品或者設(shè)備中還存在另外的相同要素。

以上所述僅為本發(fā)明的優(yōu)選實(shí)施例而已，并不用于限制本發(fā)明，對(duì)于本領(lǐng)域的技術(shù)人員來(lái)說(shuō)，本發(fā)明可以有各種更改和變化。凡在本發(fā)明的精神和原則之內(nèi)，所作的任何修改、等同替換、改進(jìn)等，均應(yīng)包含在本發(fā)明的保護(hù)范圍之內(nèi)。應(yīng)注意到：相似的標(biāo)號(hào)和字母在下面的附圖中表示類(lèi)似項(xiàng)，因此，一旦某一項(xiàng)在一個(gè)附圖中被定義，則在隨后的附圖中不需要對(duì)其進(jìn)行進(jìn)一步定義和解釋。

以上所述，僅為本發(fā)明的具體實(shí)施方式，但本發(fā)明的保護(hù)范圍并不局限于此，任何熟悉本技術(shù)領(lǐng)域的技術(shù)人員在本發(fā)明揭露的技術(shù)范圍內(nèi)，可輕易想到變化或替換，都應(yīng)涵蓋在本發(fā)明的保護(hù)范圍之內(nèi)。因此，本發(fā)明的保護(hù)范圍應(yīng)所述以權(quán)利要求的保護(hù)范圍為準(zhǔn)。