(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111635225.0 (22)申请日 2021.12.2 9 (71)申请人 国网冀北电力有限公司信息通信分 公司 地址 100053 北京市西城区枣林前街32号 申请人 国家电网有限公司 (72)发明人 徐相森　张实君　来骥　李硕　 孟德　李贤　管佳珩　张辉　曾婧　 吴婧　来媛　那琼澜　 (74)专利代理 机构 北京三友知识产权代理有限 公司 11127 代理人 许曼　刘飞 (51)Int.Cl. G06K 9/62(2022.01) (54)发明名称 一种物联网设备异常行为检测方法及装置 (57)摘要 本文涉及物联网技术领域， 提供了一种物联 网设备异常行为检测方法及装置， 方法包括： 获 取被测物联网设备的网络流量数据； 对被测物联 网设备的网络流量数据进行预处理， 确定被测物 联网设备的特征向量； 根据特征向量及异常检测 模型， 计算得到多个设备行为检测结果， 异常检 测模型包括多个 设备行为检测子模 型， 每一行为 检测子模型用于检测一设备行为的异常与否； 判 断是否所有设备行为检测结果均为异常， 若是， 则确定被测物联网设备行为异常， 若否， 则确定 被测物联网设备行为正常。 本文能够降低训练样 本量及特征量， 具有计算简单、 快速的特点， 同 时， 本文还能降低误报率。 权利要求书2页 说明书9页 附图4页 CN 114398963 A 2022.04.26 CN 114398963 A 1.一种物联网设备异常行为检测方法， 其特 征在于， 包括： 获取被测物联网设备的网络流 量数据； 对所述被测物联网设备的网络流量数据进行预处理， 确定被测物联网设备的特征向 量； 根据被测物联网设备的特征向量及异常检测模型， 计算得到多个设备行为检测结果， 其中， 所述异常检测模型包括多个设备行为检测子模型， 每一行为检测子模型用于检测一 设备行为的异常与否； 判断是否所有设备行为检测结果均为异常， 若是， 则确定被测物联网设备行为异常， 若 否， 则确定被测物联网设备 行为正常。 2.如权利要求1所述的物联网设备异常行为检测方法， 其特征在于， 对所述被测物联网 设备的网络流 量数据进行 预处理， 确定被测物联网设备的特 征向量， 包括： 从所述被测物联网设备的网络流量数据中， 提取所述被测物联网设备的异常检测所需 特征数据的数据值； 对连续n次提取的所述被测物联网设备的异常检测所需特征数据的数据值进行聚合及 归一化处理， 得到被测物联网设备的特 征向量。 3.如权利要求2所述的物联网设备异常行为检测方法， 其特征在于， 所述异常检测所需 特征数据， 包括： TTL、 数据帧中数据大小、 TOS、 本地物联网设备当前收发包之比、 本地物联网设备所用 端口号、 与本地物联网设备通信的远端设备所用端口号、 TCP、 UDP、 ICMP、 ICMP协议报文中的 type字段、 收发标志、 当前 数据包在流中的相对时间。 4.如权利要求3所述物联网设备异常行为检测方法， 其特征在于， 从所述被测物联网设 备的网络流 量数据中， 提取 所述被测物联网设备的异常检测所需特 征数据的数据值， 包括： 从所述被测物联网设备的网络流量数据中， 提取TTL字段、 TOS字段、 协议信息、 数据包 发送信息、 端口信息； 将所述TTL字段及TOS字段转换为十进制数据； 根据所述协议信息， 确定TCP、 UD P、 ICMP及ICMP协议报头中的type字段值； 根据所述数据包发送信 息， 确定数据帧中数据 大小、 本地物联网设备当前收发包之比、 收发标志及当前 数据包在流中的相对时间。 5.如权利要求2所述的物联网设备异常行为检测方法， 其特征在于， 根据被测物联网设 备的特征向量及异常检测模型， 计算得到多个设备 行为检测结果， 包括： 将所述被测物联网设备的特征向量输入至所述异常检测模型的各设备行为检测子模 型中， 得到各设备 行为检测子模型对应的多个判决误差概 率； 根据各设备行为检测子模型对应的多个判决误差概率， 计算各设备行为检测子模型对 应的重构误差； 对于每一设备行为检测子模型对应的重构误差， 判断该重构误差是否小于预定值， 若 是， 则确定该设备行为检测子模型对应的设备行为正常， 若否， 则确定该设备行为检测子模 型对应的设备 行为异常。 6.如权利要求5所述的物联网设备异常行为检测方法， 其特征在于， 根据 各设备行为检 测子模型对应的多个判决误差概 率， 计算各设备 行为检测子模型对应的重构误差， 包括：权　利　要　求　书 1/2 页 2 CN 114398963 A 2根据各设备行为检测子模型对应的多个判决误差概率， 计算得到各设备行为检测子模 型对应的均方误差； 将各设备行为检测子模型对应的均方误差作为各设备行为检测子模型对应的重构误 差。 7.如权利要求1所述的物联网设备异常行为检测方法， 其特征在于， 所述异常检测模型 的训练过程包括： 获取物联网设备的历史网络流 量数据； 从物联网设备的历史网络流 量数据中提取设备 行为标识； 对所述物联网设备的历史网络流量数据进行预处理， 确定物联网设备的历史特征向 量； 利用各设备行为标识及其对应的历史特征向量， 训练参数未知的行为检测子模型， 以 得到各设备 行为的行为检测子模型。 8.如权利要求7所述的物联网设备异常行为检测方法， 其特征在于， 所述设备行为利用 如下四元组表示： 本地物联网设备地址标识、 与本地物联网设备通信的远端设备的地址标识、 通信所用 端口号、 通信所用协议。 9.一种物联网设备异常行为检测装置， 其特 征在于， 包括： 采集单元， 用于获取被测物联网设备的网络流 量数据； 特征处理单元， 用于对所述被测物联网设备的网络流量数据进行预处理， 确定被测物 联网设备的特 征向量； 预测单元， 用于根据被测物联网设备的特征向量及异常检测模型， 计算得到多个设备 行为检测结果； 判断是否所有设备行为检测结果均为异常， 若 是， 则确定被测物联网设备行 为异常， 若否， 则确定被测物联网设备 行为正常； 其中， 所述异常检测模型包括多个设备行为检测子模型， 每一行为检测子模型用于检 测一设备 行为的异常与否 。权　利　要　求　书 2/2 页 3 CN 114398963 A 3