物联网逐渐步入公众的生活。但和互联网相比,物联网潜在的安全问题更多,流量面临的安全风险更大,因此对物联网恶意流量进行检测很有必要。同时,物联网流量的多样性导致攻击事件的回溯更复杂。因此,进行物联网恶意流量检测及关联回溯技术研究很有意义。本文主要研究了以下内容:(1)针对常用物联网应用层协议的恶意流量检测方法。本文对物联网安全相关报告进行了研读,对物联网存在的安全威胁进行了探讨,主要对消息队列遥测传输协议(MessageQueuingTelemetryTransport,MQTT)、高级消息队列协议(AdvancedMessageQueuingProtocol,AMQP)、分布式实时数据分发服务中间件协议(DataDistributionService,DDS)、超文本传输协议(HyperTextTransferProtocol,HTTP)四种常用物联网协议的通信机制及安全性进行了分析。总结了物联网恶意流量行为走向,从大小链、时间链、方向链选取了组合式流量特征,结合了深度流检测点和深度包检测点,归纳出了一种粗细粒度结合的物联网恶意流量检测方法。使用特征码匹配、正则表达式等判断机制,与流控策略库、指纹规则库进行恶意流量的检测。(2)关联回溯分析技术。以恶意流量检测出来的威胁报警数据作为输入,对Apriori算法进行自适应权重系数设定,从而计算威胁行为的关联度,形成关联攻击事件,进行关联规则双向性判定。将流量数据进行关联分析,构建用户要素、事件要素、元数据要素的前后关联链,改善传统威胁信息带来的误报高、证据链不足、安全事件追溯不完整问题。(3)设计并实现了物联网恶意流量检测及关联回溯原型系统。本文结合实际需求设计了原型系统,并基于Moloch框架和Suricata框架实现了原型系统。系统模块包括数据采集模块、协议识别模块、恶意流量检测模块、关联回溯模块以及可视化呈现模块。系统能将攻击行为的检测、流量数据等进行呈现。为了验证物联网恶意流量检测及关联回溯原型系统的实际效果,以多种公开数据集、攻击复现的模型数据、推衍型恶意流量作为测试集,对原型系统进行测试,测试结果表明:各模块工作正常且稳定;恶意流量检测模块的准确率较高,误检率较低;关联回溯模块能得到相关恶意攻击事件的关联度,能将检测出的威胁数据与历史流量进行关联互动;可视化呈现模块能将威胁报警信息、流量回溯信息、关联攻击事件等进行界面显示。综上,本文对物联网恶意流量检测及关联回溯进行探索的相关研究成果对检测物联网恶意流量攻击、保护物联网健康发展有较为积极的作用。