本申請公開了一種基于智能終端的異常流量分析方法及裝置。所述方法包括：收集物聯網設備的流量數據；對所述流量數據進行處理得到預測數據集；利用預設流量分析模型對所述預測數據集進行分析，確定所述流量數據是否存在異常；當確定所述流量數據存在異常時，根據所述流量數據對應的惡意控制端信息確定惡意網絡流量拓撲圖。所述裝置包括初搜集模塊、處理模塊、分析模塊和拓撲模塊。本申請能夠通過對異常流量進行分析識別DDoS攻擊。

技術領域

本申請涉及物聯網安全管理領域，特別是涉及一種基于智能終端的異常流量分析方法及裝置。

背景技術

物聯網(Internet ofThings，IOT)是一個基于互聯網的信息載體，是對傳統互聯網的擴展和延伸。由于物聯網設備通常無人監控、版本更新滯后、病毒防御能力差，使其易受惡意控制成為物聯網僵尸網絡節點，進而執行分布式拒絕服務(Distributed DenialofService，DDoS)攻擊，對整個互聯網環境的安全造成嚴重威脅。其中，2016年Mirai僵尸網絡控制的上萬臺物聯網設備便是造成半個美國互聯網癱瘓的罪魁禍首。

現有相關技術中，針對物聯網DDoS攻擊檢測方法有：通過設置流量閾值進行識別，當實際流量值大于設定閾值時識別為攻擊流量；使用第三方提供的敏捷物聯網解決方案。

由于物聯網設備往往一次安裝、長久使用，缺乏后期的監控與維護，設置流量閾值進行DDoS攻擊檢測的方式不夠靈活，閾值難以把握，且準確率較低；而購買第三方解決方案則需要更多費用。

發明內容

本申請的目的在于克服上述問題或者至少部分地解決或緩減解決上述問題。提出一種基于智能終端的異常流量分析方法及裝置，通過對異常流量進行分析識別DDoS攻擊。

根據本申請的一個方面，提供了一種基于智能終端的異常流量分析方法，包括：

收集物聯網設備的流量數據；

對所述流量數據進行處理得到預測數據集；

利用預設流量分析模型對所述預測數據集進行分析，確定所述流量數據是否存在異常；

當確定所述流量數據存在異常時，根據所述流量數據對應的惡意控制端信息確定惡意網絡流量拓撲圖。

優選地，預設流量分析模型的獲取方式包括：

通過在設備端安裝agent的方式，實時或定時向云端服務器上報流量數據；

云端服務器收集設備正常運行狀態下的流量數據和受惡意控制后發起DDoS攻擊狀態下的流量數據；

對收集到的流量數據，記錄所述流量數據所屬的類別；

分別對正常運行狀態下的流量數據和受惡意控制后發起DDoS攻擊狀態下的流量數據進行處理，完成特征提取，得到特征數據集；

對所述特征數據集進行拆分得到訓練集和測試集；

使用所述訓練集和所述測試集對流量分析模型進行訓練和驗證得到預設流量分析模型。

優選地，對正常運行狀態下的流量數據和受惡意控制后發起DDoS攻擊狀態下的流量數據進行處理包括：

對收集到的正常運行狀態下的流量數據和受惡意控制后發起DDoS攻擊狀態下的流量數據進行清洗；

對清洗后的流量數據進行格式轉換，轉換為每個流量包的描述數據；

對轉換后的描述數據按照預設維度進行匯聚。

優選地，使用所述特征數據對流量分析模型進行訓練和驗證得到預設流量分析模型包括：

利用訓練集的特征數據對流量分析模型進行訓練；并記錄流量分析模型的各項評估指標；