(19)国家知识产权局 (12)发明 专利 (10)授权公告 号 (45)授权公告日 (21)申请 号 202211010475.X (22)申请日 2022.08.23 (65)同一申请的已公布的文献号 申请公布号 CN 115118525 A (43)申请公布日 2022.09.27 (73)专利权人 天津天元海科技 开发有限公司 地址 301800 天津市宝坻区新 安镇宝新公 路南侧 专利权人 交通运输部南海航海保障中心三 沙航标处 (72)发明人 岳志伟　钟辉　常鹏　何瑞冠　 赖晶　林一鹏　张平　范海燕　 傅建斌　崔昌强　申展　刘光辉　 李栋　何彩柳　(74)专利代理 机构 天津展誉专利代理有限公司 12221 专利代理师 陈欣 (51)Int.Cl. H04L 9/40(2022.01) G06K 9/62(2022.01) G06N 20/10(2019.01) (56)对比文件 CN 114679338 A,202 2.06.28 CN 112738016 A,2021.04.3 0 审查员 蔡红 (54)发明名称 一种物联网安全防护系统及其防护方法 (57)摘要 本发明涉及网络安全技术领域， 且公开了一 种基于端点检测响应与用户实体行为分析的物 联网安全防护系统及其防护方法。 将用户实体行 为分析用于物联网安全防护， 有效分析出用户、 实体和系统的行为， 识别来自物联网网络内部和 外部的威胁， 其摆脱了传统工具依赖攻击签名或 恶意软件识别的缺陷， 能够检测到传统物联网安 防网络无法检测到的威胁。 端点检测响应与用户 实体行为分析相结合， 不仅加强了对物联网终端 设备的保护， 还能够有效防止信息的内部泄露， 提高了物联网异常检测的准确性， 能够更加快 速、 准确的检测到威胁并予以响应， 有效降低了 物联网的安全风险。 权利要求书2页 说明书4页 附图2页 CN 115118525 B 2022.12.13 CN 115118525 B 1.一种物联网安全防护系统， 包括物联网端点模块、 物联网云计算平台和管理控制模 块， 所述物联网端点模块通过网关分别与所述物联网云计算平台和所述管理控制模块建立 无线连接， 其特 征在于： 所述物联网端点模块， 用于通过所述网关 向所述物联网云计算平台发送多源异构数据 信息； 所述物联网云计算平台， 用于根据所述多源异构数据信息进行网络异常 分析和检测； 所述物联网云计算平台包括数据采集模块、 端点响应与检测模块、 用户实体异常行为 分析模块、 特定攻击检测模块和风险判定响应处 理模块； 其中， 所述数据采集模块分别与所述端点响应与检测模块、 所述用户实体异常行为分 析模块和所述特定攻击检测模块连接， 用于采集所述多源异构数据信息； 所述端点响应与 检测模块用于对各个物联网端点进行监控， 分析异常情况； 所述用户实体异常行为分析模 块用于从所述数据采集模块中提取出用户和实体行为数据， 建立特征向量， 构建正常用户、 实体行为基线和用户画像， 基于机器学习算法建立用户和实体行为数据的动态模型和静态 模型实现异常行为检测， 并对风险进 行评估； 所述特定攻击检测模块用于对域生成攻击、 自 适应身份验证和  MAC 欺骗进行检测； 所述风险判定响应处理模块分别与所述端点响应与 检测模块、 所述用户实体异常行为分析模块和所述特定攻击检测模块连接， 用于对端点响 应与检测结果、 用户实体异常行为分析结果和特定攻击检测结果进行综合分析和风险判 定， 发现异常行为或可疑事 件； 所述管理控制模块与 所述物联网云计算平台和所述物联网端点模块连接， 用于根据网 络异常分析和检测的结果按照预定策略自动响应异常行为或可疑事件， 采 取对应的安全措 施； 其中， 所述多源异构数据信息包括物联网端点ID、 用户身份ID、 账号数据、 系统日志数 据、 网络日志数据、 流 量数据、 应用行为数据和数据访问行为数据； 所述机器学习算法具体为采用随机森林算法、 支持向量机算法、 决策树算法分别进行 行为异常检测， 获得每种算法对应的异常分值， 为每种算法分配相应的权重， 通过归一化加 权平均， 获得最终异常 分值。 2.一种物联网安全防护方法， 用于权利要求1所述的物联网安全防护系统， 其特征在 于： 具体步骤如下： S1： 采集各个物联网端点的所述多源异构数据信息； S2： 利用端点响应与检测对各个物联网端点进行监控， 分析异常情况； S3： 用户实体异常行为分析， 从所述多源异构数据信息中提取出用户和实体行为数据， 建立特征向量， 构建正常用户、 实体行为基线和用户画像， 基于所述机器学习算法建立用户 和实体行为数据的动态模型和静态模型实现异常行为检测， 并对风险进行评估； S4： 通过特定攻击检测对域 生成攻击、 自适应身份验证和  MAC 欺骗进行检测； S5： 对步骤S3 ‑S4的检测结果进行综合分析和风险判定， 发现异常行为或可疑事 件； S6： 按照预定策略自动响应异常行为或可疑事 件， 采取对应的安全措施； 其中， 所述多源异构数据信息包括物联网端点ID、 用户身份ID、 账号数据、 系统日志数 据、 网络日志数据、 流 量数据、 应用行为数据和数据访问行为数据； 所述机器学习算法具体为采用随机森林算法、 支持向量机算法、 决策树算法分别进行权　利　要　求　书 1/2 页 2 CN 115118525 B 2行为异常检测， 获得异常分值， 为每种算法分配相应的权重， 通过异常分值的归一化加权平 均， 获得最终异常 分值。权　利　要　求　书 2/2 页 3 CN 115118525 B 3