网络异常检测
异常检测是识别数据中与预期行为有所不同的数据模式。异常检测技术可以用来区别常用流量与异常攻击流量。常用简单的基于门阀值的检测技术并不适用于IOT的攻击本质。而使用机器学习算法的异常检测模型可以有效降低检测中的假阳性。
网络中间件的限制
网络中间件的内存和处理能力有限,导致在异常检测方面在算法上有一定的限制。智慧家庭网关路由器用的异常检测框架有以下的特征:
· 轻量级的特征:路由器必须要处理高带宽的流量,所以所有的特征都要说轻量级的。一个能够处理高带宽应用的算法必须依赖网络流数据和深度的包检测。
· 协议无关的特征:路由器必须要处理不同协议的包,所以算法必须考虑所有协议共享的一些包特征。
· 低内存实现:路由器因为内存的限制,缓存添加的延迟和复杂度,只能处理有限的状态信息。所以最佳的算法应该是无状态的或者需要在很短的时间窗口内存储流信息。
威胁模型
对家用IoT网络的一些假设条件有网关路由器和其他中间件,可以监测本地网络上的客户IOT设备上的流量。本地网络上的Wi-Fi设备和设备与Internet之间的流量都要经过中间件。
异常检测方法
异常检测方法一共分为四个步骤:
· 流量获取:流量获取过程记录了源IP地址、源端口、目的IP地址、目的端口、包大小、从智能家庭设备发送到所有IP包的时间戳。
· 把包按设备和时间分组