一种轻量IoT恶意行为的识别方法及系统

本发明公开了一种轻量IoT恶意行为的识别方法及系统，属于网络安全技术领域。本发明通过获取IoT网关监视范围内的流量数据，将获取的流量数据预处理为基于设备的单向流元数据，然后基于单向流元数据生成主机级特征并保留优质主机级特征，再基于优质主机级特征构建异常检测模型和恶意家族检测模型；使用异常检测模型基于优质主机级特征识别IoT恶意流量，使用识别恶意家族检测模型基于IoT恶意流量的优质主机级特征，识别流量源于的恶意家族。本发明能够识别监视网段内的被感染IoT设备与其感染的恶意家族。