物联网技术已经发展成为国家“新基建”的重要内容。由于物联网终端设备的计算存储能力有限,在其上只能部署轻量级安全防护措施。同时物联网产品普遍存在大量的安全漏洞。攻击者通常攻击远控物联网设备,形成僵尸网络,再利用僵尸网络发起更大规模的网络攻击,造成网络瘫痪、实施网络勒索等犯罪活动。检测并防御此类攻击成为物联网健康发展的前提和保障。本文为应对物联网环境的安全威胁和检测存在的问题,提出了一种基于物联网的协同异常检测方法,有效提升了安全性。主要研究成果如下:(1)提出了基于物联网的协同异常检测架构。主要通过物联网边、端跨层的纵向协同以及物联网设备与设备之间的横向协同提升物理网整体安全防护能力。物联网终端设备因其计算存储能力有限,可以部署OSSEC,采用简单高效的规则匹配检测方式,但该方式很容易产生误报和漏报。为了降低误报率,本文提出将终端设备层产生告警的原始网络数据传输到边缘计算层采用机器学习的方法进一步检测,校正终端告警。另外,当物联网设备出现性能降低等异常状态时,抓取设备状态信息,传输到边缘计算层进行深度检测,以发现漏报事件。当边缘计算层发现误报或漏报事件时,通过下发更新物联网设备的OSSEC规则库提升安全检测能力,通过纵向协同降低了整体的误报率和漏报率。当经过边缘层检测确认一个物联网设备发生安全事件后,其他物联网设备开始收集网络流量和进程信息,传输数据到边缘计算层进一步检测。通过物联网设备与设备之间的横向协同提高了物联网整体检测发现能力。(2)研究了基于图像的异常检测算法。通过将NSL-KDD数据集数据向量化后转换成316维的二进制数,进而转换成灰度图的形式,利用灰度图对卷积神经网络(CNN)模型训练。利用随机采样、单侧选择与SMOTE相结合的混合采样方式,有效缓解了NSL-KDD不平衡的问题,调优的CNN模型召回率、精确度均在99.9%以上,准确率为87.47%,为边缘计算层的集成引擎提供了支撑。(3)在边缘计算层设计了基于网络流量和系统调用序列的集成检测引擎,实现了进程异常与流量异常检测的优势互补,提高了检测发现能力。通过基于物联网的协同异常检测与传统的入侵检测方法实验对比,结果表明提出的检测方案能够检测目前的大部分攻击,具有更好的时效性和未知攻击发现能力。