一种智能物联网异常流量预测系统

技术领域

本发明涉及物联网技术领域，具体是一种智能物联网异常流量预测系统。

背景技术

智能物联网是指将物联网技术与人工智能技术相结合，实现对各种设备和系统的智能感知、智能分析和智能决策的一种网络体系。智能物联网在传统物联网的基础上，进一步提高了数据处理、分析和应用的能力，使得各个领域的智能化水平得到大幅提升。智能物联网的应用广泛，涉及诸如工业生产、智能家居、智慧城市、医疗健康、交通物流等多个领域。

随着互联网的普及和物联网技术的发展，网络规模的不断扩大，网络应用类型的多样化以及各种网络病毒和网络攻击手法的出现，网络管理和维护面临着巨大的挑战，网络流量变得越来越复杂，异常流量的出现可能导致网络性能下降，甚至引发网络安全问题。现有的异常流量检测方法多依赖于人工设定阈值或基于规则的方法，人们通常根据预先设定的阈值来进行报警，通过实时监测网络信息来分析网络是否发生故障，显然这是一种事后响应的方式，这些方法容易受到人为因素和复杂网络环境的影响，准确性较低，实时性不足；因此，通过对正在使用的流量进行实时监测，并对未来的异常流量进行预测，具有重要的理论和现实意义。

如何利用物联网技术对网络数据进行采集并处理，获得特征数据图和特征矩阵，并进行分析，获得速率异常节点和容纳量异常节点，根据所获得的特征矩阵对速率异常节点和容纳量异常节点进行预测告警，获得异常预测点，是我们需要解决的问题；为此，现提供一种智能物联网异常流量预测系统。

发明内容

本发明的目的可以通过以下技术方案实现：

一种智能物联网异常流量预测系统，包括控制中心，所述控制中心连接有数据采集模块、数据处理模块、网络分析模块和预测告警模块；

所述数据采集模块采集网络数据的过程包括：

采集端口用于采集物联网中的网络数据，所述采集端口连接有若干抓包点；

通过抓包点对网络数据进行前向捕获，获得数据包信息和时间戳，所述数据包信息包括数据包大小、源IP地址、目标IP地址和协议类型。

对获得的网络数据进行处理的过程包括：

设置时间窗口，根据所获得的时间窗口和数据包大小获得数据包均值，根据所获得的数据包均值和数据包大小获得标准均值，根据所获得的数据包大小、数据包均值和标准均值获得均一数值；

根据所获得的数据包信息和时间戳获得数据包速率，根据所获得的数据包速率和均一数值获得数据容纳量。

获得特征数据图的过程包括：

根据所获得的时间戳，建立时间关于数据包速率和数据容纳量的二维直角坐标系；

根据所获得的数据包速率和数据容纳量分别生成对应的速率变化曲线和容纳量变化曲线，并将所获得的速率变化曲线和容纳量变化曲线上传至二维直角坐标系中，获得数据曲线图；

根据所获得的数据曲线图获取数据包信息，将源IP地址、目标IP地址以及协议类型对应的时间戳与数据曲线图中的时间进行匹配，获得匹配节点，将含有匹配节点的数据曲线图标记为特征数据图。

对获得的源IP地址、目标IP地址以及协议类型分别进行特征编码，获得特征源向量、特征目标向量以及特征协议向量，所述特征编码的过程包括：

对获得的源IP地址、目标IP地址和协议类型进行符值分配，获得源地址符值、目标地址符值和协议符值，并根据所获得的源地址符值、目标地址符值和协议符值创建二进制向量，获得源地址向量、目标地址向量和协议向量；

对获得的源地址向量、目标地址向量和协议向量分别进行初始化，获得初始源向量、初始目标向量和初始协议向量；

对初始源向量、初始目标向量和初始协议向量分别进行特征标识，获得特征源向量、特征目标向量和特征协议向量；

对获得的特征源向量、特征目标向量以及特征协议向量进行向量组合，获得特征矩阵。

对获得的特征数据图进行分析的过程包括：

在特征数据图中对速率变化曲线和容纳量变化曲线进行长度划分，获得输入速率序列和输入容纳量序列，并设置原始隐藏序列；

设置输入端、输出端和停留端，通过输入端上传输入速率序列和输入容纳量序列并进行信息提取，获得输入序列；

通过停留端对所获得的输入序列和原始隐藏序列进行序列结合，获得更新隐藏序列；

对获得的更新隐藏序列进行信息预留，获得存档信息；

在输出端将所获得的存档信息与更新隐藏序列进行信息结合，获得终端序列；

获取终端序列在特征数据图中对应的输入速率序列的匹配节点和输入容纳量序列的匹配节点，并分别标记为速率异常节点和容纳量异常节点。

对速率异常节点和容纳量异常节点进行预测告警的过程包括：

根据所获得的特征矩阵构建参数矩阵，并获取特征矩阵的数目；

基于时间窗口对获得的特征矩阵进行组合，获得特征矩阵集；

根据所获得的特征矩阵的数目设置循环监测层和循环预测层；

在循环监测层中将所获得的参数矩阵与特征矩阵集进行滑动采集，获得变动向量集；

将获得的变动向量集与特征矩阵进行匹配对应，获得变动源地址、变动目标地址以及变动协议特征；

获取变动源地址、变动目标地址以及变动协议特征分别对应的时间戳，并标记为变动源节点、变动目标节点以及变动协议节点；

在循环预测层中将获得的速率异常节点和容纳量异常节点与变动源节点、变动目标节点以及变动协议节点进行匹配对应，获得异常预测点。

与现有技术相比，本发明的有益效果是：通过对采集的网络数据进行处理，获得数据包速率和数据容纳量，并根据数据包速率和数据容纳量构建特征数据图；对获得的源IP地址、目标IP地址以及协议类型分别进行特征编码，获得特征源向量、特征目标向量以及特征协议向量，并进行向量组合，获得特征矩阵；

对获得的特征数据图进行长度划分，获得输入速率序列和输入容纳量序列，通过输入端、输出端和停留端对输入速率序列和输入容纳量序列进行处理，获得终端序列，获取终端序列在特征数据图中的匹配节点，并分别标记为速率异常节点和容纳量异常节点；

在循环监测层中将所获得的参数矩阵与特征矩阵集进行滑动采集，获得变动向量集，将获得的变动向量集与特征矩阵进行匹配对应，获得变动源节点、变动目标节点以及变动协议节点，并将速率异常节点和容纳量异常节点与变动源节点、变动目标节点以及变动协议节点匹配对应，获得异常预测点；

通过对异常流量的检测和预测，大大提高工作效率，及时发现并阻止潜在的攻击行为，提高网络安全性能。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本发明的原理图。

具体实施方式

下面将结合实施例对本发明的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其它实施例，都属于本发明保护的范围。

如图1所示，一种智能物联网异常流量预测系统，包括控制中心，所述控制中心连接有数据采集模块、数据处理模块、网络分析模块、预测告警模块；

所述数据采集模块用于采集物联网的网络数据，所述网络数据包括数据包信息和时间戳，具体过程包括：

根据物联网的实际需要设置采集端口，所述采集端口连接有抓包点；

需要进一步说明的是，在具体实施过程中，所述物联网的实际需要包括路由器、交换机、服务器或个别设备；

所述采集端口用于采集物联网中的网络数据；

通过抓包点对采集的网络数据进行前向捕获，获得数据包信息和时间戳，所述数据包信息包括数据包标识、数据包大小、源IP地址、目标IP地址、协议类型；

将所获得的源IP地址、目标IP地址、协议类型与数据包标识相关联；

将所获得的数据包标识标记为i，其中i＝1，2，3，……，u1，u1为正整数；

将所获得的数据包大小标记为SD

所述数据处理模块用于对获得的网络数据进行处理，获得特征数据图和特征矩阵，具体过程包括：

设置时间窗口，并将所获得的时间窗口标记为T；

需要进一步说明的是，在具体实施过程中，所述时间窗口表示对网络数据进行处理的一个时间段，例如，将网络数据按照每天或每小时的时间间隔进行划分，获得多个时间窗口；

根据所获得的时间窗口和数据包大小获得数据包均值，并将所获得的数据包均值标记为

根据所获得的数据包均值和数据包大小获得标准均值，将所获得的标准均值标记为

根据所获得的数据包均值、数据包大小和标准均值获得均一数值，并将所获得的均一数值标记为

需要进一步说明的是，在具体实施过程中，根据所获得的数据包标识设置标准范围，将所获得的标准范围标记为B，其中B＝[0，1]，且所获得的均一数据需满足在标准范围内，若不在标准范围内，则再次进行均一标准化，获得均一数值，直至满足均一数值在标准范围内；

基于时间窗口根据所获得的数据包信息和时间戳获得数据包速率，并将所获得的数据包速率标记为SV，其中，

根据所获得的数据包速率和均一数值获得数据容纳量，并将所获得的数据容纳量标记为SN，其中

根据所获得的时间戳，建立时间关于数据包速率和数据容纳量的二维直角坐标系；

根据所获得的数据包速率和数据容纳量分别生成对应的速率变化曲线和容纳量变化曲线，并将所获得的速率变化曲线和容纳量变化曲线上传至二维直角坐标系中，获得数据曲线图；

根据所获得的数据曲线图中的数据包速率，获取数据包信息，将源IP地址、目标IP地址以及协议类型对应的时间戳与数据曲线图中的时间戳进行匹配，并将匹配成功的时间戳标记为匹配节点，将含有匹配节点的数据曲线图标记为特征数据图；

对获得的源IP地址、目标IP地址以及协议类型分别进行特征编码，获得特征源向量、特征目标向量以及特征协议向量；

需要进一步说明的是，在具体实施过程中，所述特征编码的过程包括：

对所获得的源IP地址和目标IP地址进行符值分配，获得源地址符值和目标地址符值；

将所获得的源地址符值标记为a

进一步地，所述符值分配表示在采集的源IP地址中任选一个作为第一标识符，本实施例中，将第一标识符分配为0，对剩余的源IP地址依次由0开始递增分配，获得若干源地址符值；类似的，对目标IP地址中任选一个作为第二标识符，本实施例中，将第二标识符分配为0，对剩余的目标IP地址依次由0开始递增分配，获得若干目标地址符值；

根据所获得的源地址符值创建二进制向量，获得源地址向量，并将所获得的源地址向量标记为Y

根据所获得的目标地址符值创建二进制向量，获得目标地址向量，并将所获得的目标地址向量标记为Z

对获得的源地址向量进行初始化，获得初始源向量；需要进一步说明的是，在具体实施过程中，所述初始化是将源地址向量初始化全为0；

相同地，对获得的目标地址向量进行初始化，获得初始目标向量；

根据所获得的源地址符值，对初始源向量对应位置的源地址符值进行特征标识，获得特征源向量；

根据所获得的目标地址符值，对初始目标向量对应位置的目标地址符值进行特征标识，获得特征目标向量；

例如：有一个IP地址列表：[‘192.168.1.1’，‘192.168.1.2’，‘192.168.1.3’]，根据所获得的IP地址列表创建二进制向量，并进行初始化，将所有的元素设置为0，即[0，0，0]，对向量[0，0，0]进行符值分配，并将对应位置上的符值设置为1，如第二位设置为1，即[0，1，0]，则IP地址‘192.168.1.2’存在，而其他IP地址不存在；

对获得的协议类型进行符值分配，获得协议符值，将所获得的协议符值标记为e

根据所获得的协议符值创建二进制向量，获得协议向量，并将所获得的协议向量标记为X

对获得的协议向量进行初始化，获得初始协议向量；

根据所获得的协议符值，对初始协议向量对应位置的协议符值进行特征标识，获得特征协议向量；

对所获得的特征源向量、特征目标向量以及特征协议向量进行向量组合，获得特征矩阵；

需要进一步说明的是，在具体实施过程中，所述向量组合表示按照第一行为特征源向量，第二行为特征目标向量，第三行为特征协议向量，构成三行等列的矩阵，并将所获得的矩阵标记为特征矩阵，且特征源向量、特征目标向量以及特征协议向量中的向量长度均相等，即m＝k＝p；

例如：

所述网络分析模块用于对所获得的特征数据图进行分析，获得速率异常节点和容纳量异常节点，具体过程包括：

根据所获得的特征数据图设置循环层数，并将所获得的循环层数标记为循环终止条件；

根据所获得的特征数据图，在特征数据图中对速率变化曲线和容纳量变化曲线进行长度划分，获得输入速率序列和输入容纳量序列；

根据所获得的输入速率序列和输入容纳量序列设置原始隐藏序列；

设置输入端、输出端和停留端，通过输入端上传所获得的输入速率序列和输入容纳量序列，对获得的输入速率序列和输入容纳量序列进行信息提取，获得输入序列；

需要进一步说明的是，在具体实施过程中，所述信息提取表示在若干时间窗口内，将相同匹配节点对应的输入速率序列和输入容纳量序列分别进行重合比对，将输入速率序列的重合率低于G％且输入容纳量序列的重合率低于H％的序列传递给下一时间窗口对应的匹配节点；

通过停留端对所获得的输入序列和原始隐藏序列进行序列相乘结合，获得更新隐藏序列；

需要进一步说明的是，在具体实施过程中，相乘结合是将所获得的输入序列依次与原始隐藏序列进行相乘；

对获得的更新隐藏序列进行信息预留，获得存档信息；

需要进一步说明的是，在具体实施过程中，所述停留端设置有若干摘取捕获点，通过摘取捕获点确定更新隐藏序列中需要被留存的信息，获得存档信息；

在输出端将所获得的存档信息与更新隐藏序列进行信息结合，获得终端序列；

需要进一步说明的是，在具体实施过程中，在每一个时间戳，将输入端、输出端和停留端获得的输入序列、存档信息依次相加，获得一个预加分量，将获得的预加分量作为下一个循环的原始隐藏序列，重复获得预加分量的过程，直至满足循环终止条件，并对获得的预加分量进行统计，获得终端序列；

获取终端序列在特征数据图中对应的输入速率序列和输入容纳量序列，将输入速率序列对应的匹配节点标记为速率异常节点，将输入容纳量序列对应的匹配节点标记为容纳量异常节点；

将获得的速率异常节点、容纳量异常节点与终端序列相关联。

所述预测告警模块用于根据所获得的特征矩阵对速率异常节点和容纳量异常节点进行预测告警，获得异常预测点，具体过程包括：

根据所获得的特征矩阵构建参数矩阵，并获取特征矩阵的数目；

基于时间窗口对获得的特征矩阵进行组合，获得特征矩阵集；

根据所获得的特征矩阵的数目设置循环监测层和循环预测层，所述循环监测层包含多个参数矩阵；

在循环监测层中将所获得的参数矩阵与特征矩阵集进行滑动采集，获得变动向量集；

需要进一步说明的是，在具体实施过程中，所述滑动采集表示在循环监测层中将参数矩阵与特征矩阵集对应的区域进行点积，获得区域向量集，再将参数矩阵在特征矩阵集中进行滑动，与剩余特征矩阵集对应区域依次进行点积，获得区域向量集，将所获得的区域向量集按照特征矩阵集进行组合，获得变动向量集；

将获得的变动向量集与特征矩阵中的特征源向量、特征目标向量以及特征协议向量进行匹配对应；

若变动向量集与特征源向量匹配，则获得变动源地址，若变动向量集与特征目标向量匹配，则获得变动目标地址，若变动向量集与特征协议向量匹配，则获得变动协议特征；

获取变动源地址、变动目标地址以及变动协议特征分别对应的时间戳，并将所获得的时间戳分别标记为变动源节点、变动目标节点以及变动协议节点；

在循环预测层中将获得的速率异常节点和容纳量异常节点与变动源节点、变动目标节点以及变动协议节点进行匹配对应，将匹配成功的节点对应的时间戳标记为异常预测点。

以上公开的本发明优选实施例只是用于帮助阐述本发明。优选实施例并没有详尽叙述所有的细节，也不限制该发明仅为的具体实施方式。显然，根据本说明书的内容，可作很多的修改和变化。本说明书选取并具体描述这些实施例，是为了更好地解释本发明的原理和实际应用，从而使所属技术领域技术人员能很好地理解和利用本发明。本发明仅受权利要求书及其全部范围和等效物的限制。