CN110120950A - 一种基于物联网流量进行威胁分析的***及方法 - Google Patents
一种基于物联网流量进行威胁分析的***及方法 Download PDFInfo
- Publication number
- CN110120950A CN110120950A CN201910394305.8A CN201910394305A CN110120950A CN 110120950 A CN110120950 A CN 110120950A CN 201910394305 A CN201910394305 A CN 201910394305A CN 110120950 A CN110120950 A CN 110120950A
- Authority
- CN
- China
- Prior art keywords
- flow
- internet
- things
- module
- impended
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种基于物联网流量进行威胁分析的***,包括依次通信连接的流量镜像采集模块、流量解析还原模块、威胁分析模块,流量镜像采集模块用于镜像指定IoT服务端口的所有流量并将流量转发到流量解析还原模块,流量解析还原模块用于解析收到的流量的有效载荷消息,并使用所支持的物联协议特征对获取到的有效载荷消息进行物联网协议特征匹配,识别物联网协议类型,威胁分析模块用于对识别出物联网协议类型后的物联网数据进行威胁数据特征匹配,识别威胁。本发明的***,通过利用物联网设备遭受攻击时,对外流量的特征进行分析与识别,实现及时发现物联网设备受攻击的情况,以便采取安全防护措施,从而减少不必要的损失。
Description
技术领域
本发明涉及物联网流量分析技术领域,特别涉及一种基于物联网流量进行威胁分析的***及方法。
背景技术
物联网设备分为强终端与弱终端设备,弱终端设备主要采用的通信技术协议为无线传输,包括Wi-Fi、蓝牙技术、低功耗蓝牙技术、ZigBee、Z-WaVe和RFID等。强终端接收弱终端传输数据通过物联网通信协议(MQTT、CoAP、XMPP等)与IoT云端进行通信,由于普遍的物联网终端节点受硬件自身限制,无法在设备上部署安全防护与检测程序,当物联网环境遭受外来攻击时,不能及时发现威胁。
因此,需制定一种基于物联网流量进行威胁分析的方法,利用物联网设备遭受攻击时,对外流量的特征进行分析与识别,及时发现物联网设备受攻击的情况,采取安全防护措施,减少损失。
发明内容
本发明的目的是针对上述背景技术中提出的问题,提供一种基于物联网流量进行威胁分析的***及方法。
为了达到上述的技术效果,本发明采取以下技术方案:
一种基于物联网流量进行威胁分析的***,包括依次通信连接的流量镜像采集模块、流量解析还原模块、威胁分析模块,所述流量镜像采集模块部署运行于IoT云端服务入口处,流量镜像采集模块用于镜像指定IoT服务端口的所有流量并将流量转发到流量解析还原模块,所述流量解析还原模块用于解析收到的流量的有效载荷消息,并使用所支持的物联协议特征对获取到的有效载荷消息进行物联网协议特征匹配,识别物联网协议类型,所述威胁分析模块用于对识别出物联网协议类型后的物联网数据进行威胁数据特征匹配,识别威胁。
进一步地,所述流量镜像采集模块具体是通过TCP协议或UDP协议将流量转发到流量解析还原模块。
进一步地,所述流量镜像采集模块与流量解析还原模块是分别部署于IoT云端内网的两台服务器上。
进一步地,所述流量镜像采集模块部署在IoT云端服务的流量出入口处,且采用镜像流量的方式获取物联网流量。
同时,本发明还公开了一种基于物联网流量进行威胁分析的方法,通过上述的基于物联网流量进行威胁分析的***实现,且具体包括以下步骤:
A.通过所述流量镜像采集模块采集流量数据,并通过传输协议将采集的流量数据传递至流量解析还原模块;
B.通过流量解析还原模块对步骤A采集的流量数据进行流量协议还原;
C.通过威胁分析模块对步骤B还原的数据进行威胁数据特征规则匹配,识别威胁。
进一步地,所述步骤A中流量镜像采集模块是部署在IoT云端服务的流量出入口处,且采用镜像流量的方式获取物联网流量。
进一步地,所述步骤B具体包括以下步骤:
B1.流量解析还原模块解析收到的流量数据中的有效载荷消息,得到物联网消息;
B2.流量解析还原模块解析物联网消息,读取消息特征字段,匹配消息类型,识别物联网消息类型;
B3.流量解析还原模块加载与传输协议对应的协议流量还原程序,还原物联网消息得到具体的物联网消息内容。
进一步地,所述步骤C中进行威胁数据特征规则匹配及识别威胁具体为:进行规则匹配与单位时间窗口内的威胁行为识别。
进一步地,所述步骤A中流量镜像采集模块具体是通过TCP协议或UDP协议将流量转发到流量解析还原模块。
本发明与现有技术相比,具有以下的有益效果:
本发明的基于物联网流量进行威胁分析的***及方法,通过利用物联网设备遭受攻击时,对外流量的特征进行分析与识别,实现及时发现物联网设备受攻击的情况,以便采取安全防护措施,从而减少不必要的损失。
附图说明
图1是本发明的基于物联网流量进行威胁分析的***的实施示意图。
具体实施方式
下面结合本发明的实施例对本发明作进一步的阐述和说明。
实施例:
实施例一:
如图1所示,一种基于物联网流量进行威胁分析的***,包括依次通信连接的流量镜像采集模块、流量解析还原模块、威胁分析模块。
具体的,所述流量镜像采集模块部署运行于IoT云端服务的流量出入口处,流量镜像采集模块用于镜像指定IoT服务端口的所有流量并将流量转发到流量解析还原模块,本实施例中具体将流量转发到流量解析还原模块所在服务器上的指定端口。且在本实施例中,所述流量镜像采集模块具体是通过TCP协议或UDP协议将流量转发到流量解析还原模块。
所述流量解析还原模块用于解析收到的流量的有效载荷消息,并使用所支持的物联协议特征对获取到的有效载荷消息进行物联网协议特征匹配,识别物联网协议类型,本实施例中,为了不影响IoT云端服务,具体是将所述流量镜像采集模块与流量解析还原模块分别部署于IoT云端内网的两台服务器上,并由流量解析还原模块接收流量镜像采集模块转发过来的流量;流量解析还原模块收到流量数据后,通过解析TCP协议或UDP协议获取有效载荷,然后再解析有效载荷消息,并使用支持的物联协议特征与获取到的消息进行特征匹配,从而识别物联网协议类型。如一般MQTT固定报头的第一个字节来表示报文类型,流量解析还原模块则可通过直接对获取到的消息的相应特征来进行特征匹配,从而识别协议类型。
所述威胁分析模块用于对识别出物联网协议类型后的物联网数据进行威胁数据特征匹配,识别威胁,如特征匹配MQTT消息中的topic字段,匹配检查topic字段中是否存在有恶意字符串等威胁数据,从而进行威胁检测识别,以及对单位时间窗口内消息协议中存在的用户登录的暴力破解威胁行为,重放攻击威胁以及敏感信息遍历等威胁行为进行匹配识别。
实施例二
一种基于物联网流量进行威胁分析的方法,通过上述的基于物联网流量进行威胁分析的***实现,且具体包括以下步骤:
A.通过所述流量镜像采集模块采集流量数据,并通过TCP协议或UDP协议将流量转发到流量解析还原模块;其中,本实施例中流量镜像采集模块是部署在IoT云端服务的流量出入口处,且采用镜像流量的方式获取物联网流量;
B.通过流量解析还原模块对步骤A采集的流量数据进行流量协议还原;具体包括:
B1.流量解析还原模块解析TCP协议或UDP协议传输的流量数据中的有效载荷消息,得到物联网消息;
B2.流量解析还原模块解析物联网消息,读取消息特征字段,匹配消息类型,识别物联网消息类型;如一般MQTT固定报头的第一个字节来表示报文类型,流量解析还原模块则可通过直接对获取到的消息的相应特征来进行特征匹配,从而识别协议类型;
B3.流量解析还原模块加载与得到的传输协议类型对应的协议流量还原程序,还原物联网消息得到具体的物联网消息内容;
C.通过威胁分析模块对步骤B还原的物联网消息内容数据进行威胁数据特征规则匹配,识别威胁,具体为进行规则匹配与单位时间窗口内的威胁行为识别,如匹配MQTT消息中的topic字段,检查topic字段中是否存在有恶意字符串等威胁数据,进行威胁检测识别,以及对单位时间窗口内消息协议中存在的用户登录的暴力破解威胁行为,重放攻击威胁以及名感信息遍历等行为威胁进行匹配识别。
由上可知,本发明的基于物联网流量进行威胁分析的***及方法,通过利用物联网设备遭受攻击时,对外流量的特征进行分析与识别,可实现及时发现物联网设备受攻击的情况,以便采取安全防护措施,从而减少不必要的损失。
可以理解的是,以上实施方式仅仅是为了说明本发明的原理而采用的示例性实施方式,然而本发明并不局限于此。对于本领域内的普通技术人员而言,在不脱离本发明的精神和实质的情况下,可以做出各种变型和改进,这些变型和改进也视为本发明的保护范围。
Claims (9)
1.一种基于物联网流量进行威胁分析的***,其特征在于,包括依次通信连接的流量镜像采集模块、流量解析还原模块、威胁分析模块,所述流量镜像采集模块部署运行于IoT云端服务入口处,流量镜像采集模块用于镜像指定IoT服务端口的所有流量并将流量转发到流量解析还原模块,所述流量解析还原模块用于解析收到的流量的有效载荷消息,并使用所支持的物联协议特征对获取到的有效载荷消息进行物联网协议特征匹配,识别物联网协议类型,所述威胁分析模块用于对识别出物联网协议类型后的物联网数据进行威胁数据特征匹配,识别威胁。
2.根据权利要求1所述的一种基于物联网流量进行威胁分析的***,其特征在于,所述流量镜像采集模块具体是通过TCP协议或UDP协议将流量转发到流量解析还原模块。
3.根据权利要求1所述的一种基于物联网流量进行威胁分析的***,其特征在于,所述流量镜像采集模块与流量解析还原模块是分别部署于IoT云端内网的两台服务器上。
4.根据权利要求1至3中任一所述的一种基于物联网流量进行威胁分析的***,其特征在于,所述流量镜像采集模块部署在IoT云端服务的流量出入口处,且采用镜像流量的方式获取物联网流量。
5.一种基于物联网流量进行威胁分析的方法,其特征在于,通过如权利要求1所述的基于物联网流量进行威胁分析的***实现,且具体包括以下步骤:
A.通过所述流量镜像采集模块采集流量数据,并通过传输协议将采集的流量数据传递至流量解析还原模块;
B.通过流量解析还原模块对步骤A采集的流量数据进行流量协议还原;
C.通过威胁分析模块对步骤B还原的数据进行威胁数据特征规则匹配,识别威胁。
6.根据权利要求5所述的一种基于物联网流量进行威胁分析的方法,其特征在于,所述步骤A中流量镜像采集模块是部署在IoT云端服务的流量出入口处,且采用镜像流量的方式获取物联网流量。
7.根据权利要求5所述的一种基于物联网流量进行威胁分析的方法,其特征在于,所述步骤B具体包括以下步骤:
B1.流量解析还原模块解析收到的流量数据中的有效载荷消息,得到物联网消息;
B2.流量解析还原模块解析物联网消息,读取消息特征字段,匹配消息类型,识别协议类型;
B3.流量解析还原模块加载与得到的传输协议类型对应的协议流量还原程序,还原物联网消息得到具体的物联网消息内容。
8.根据权利要求5所述的一种基于物联网流量进行威胁分析的方法,其特征在于,所述步骤C中进行威胁数据特征规则匹配及识别威胁具体为:进行规则匹配与单位时间窗口内的威胁行为识别。
9.根据权利要求5至8中任一所述的一种基于物联网流量进行威胁分析的方法,其特征在于,所述步骤A中流量镜像采集模块具体是通过TCP协议或UDP协议将流量转发到流量解析还原模块。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910394305.8A CN110120950A (zh) | 2019-05-13 | 2019-05-13 | 一种基于物联网流量进行威胁分析的***及方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910394305.8A CN110120950A (zh) | 2019-05-13 | 2019-05-13 | 一种基于物联网流量进行威胁分析的***及方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN110120950A true CN110120950A (zh) | 2019-08-13 |
Family
ID=67522263
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910394305.8A Pending CN110120950A (zh) | 2019-05-13 | 2019-05-13 | 一种基于物联网流量进行威胁分析的***及方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110120950A (zh) |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111181972A (zh) * | 2019-12-31 | 2020-05-19 | 厦门市美亚柏科信息股份有限公司 | 一种pptp数据实时解析的处理方法和装置 |
| CN111193747A (zh) * | 2019-12-31 | 2020-05-22 | 奇安信科技集团股份有限公司 | 报文的威胁检测方法、装置、电子设备和存储介质 |
| CN111277570A (zh) * | 2020-01-10 | 2020-06-12 | 中电长城网际***应用有限公司 | 数据的安全监测方法和装置、电子设备、可读介质 |
| CN111818009A (zh) * | 2020-05-25 | 2020-10-23 | 国网思极网安科技(北京)有限公司 | 一种针对基于mqtt协议的报文的防护方法和装置 |
| CN112270984A (zh) * | 2020-10-29 | 2021-01-26 | 南京伟思医疗科技股份有限公司 | 一种基于物联网运用的康复训练设备管理*** |
| CN112731906A (zh) * | 2020-12-24 | 2021-04-30 | 烽台科技(北京)有限公司 | 一种信息采集装置 |
| CN112769847A (zh) * | 2021-01-18 | 2021-05-07 | 恒安嘉新(北京)科技股份公司 | 物联网设备的安全防护方法、装置、设备及存储介质 |
| CN115277244A (zh) * | 2022-08-05 | 2022-11-01 | 四川启睿克科技有限公司 | 一种工业互联网的入侵检测***及方法 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104092677A (zh) * | 2014-07-01 | 2014-10-08 | 中国电子科技集团公司第三十研究所 | 物联网数据的交换方法和交换装置 |
| CN106789904A (zh) * | 2016-11-23 | 2017-05-31 | 北京邮电大学 | 物联网入侵检测方法及装置 |
| CN107995226A (zh) * | 2017-12-27 | 2018-05-04 | 山东华软金盾软件股份有限公司 | 一种基于被动流量的设备指纹识别方法 |
| CN107995162A (zh) * | 2017-10-27 | 2018-05-04 | 深信服科技股份有限公司 | 网络安全感知***、方法及可读存储介质 |
| CN109194680A (zh) * | 2018-09-27 | 2019-01-11 | 腾讯科技(深圳)有限公司 | 一种网络攻击识别方法、装置及设备 |
| CN109284296A (zh) * | 2018-10-24 | 2019-01-29 | 北京云睿科技有限公司 | 一种大数据pb级分布式信息存储与检索平台 |
| CN208736508U (zh) * | 2018-09-21 | 2019-04-12 | 苏州自来水表业有限公司 | 一种nb-iot物联网水表 |
-
2019
- 2019-05-13 CN CN201910394305.8A patent/CN110120950A/zh active Pending
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104092677A (zh) * | 2014-07-01 | 2014-10-08 | 中国电子科技集团公司第三十研究所 | 物联网数据的交换方法和交换装置 |
| CN106789904A (zh) * | 2016-11-23 | 2017-05-31 | 北京邮电大学 | 物联网入侵检测方法及装置 |
| CN107995162A (zh) * | 2017-10-27 | 2018-05-04 | 深信服科技股份有限公司 | 网络安全感知***、方法及可读存储介质 |
| CN107995226A (zh) * | 2017-12-27 | 2018-05-04 | 山东华软金盾软件股份有限公司 | 一种基于被动流量的设备指纹识别方法 |
| CN208736508U (zh) * | 2018-09-21 | 2019-04-12 | 苏州自来水表业有限公司 | 一种nb-iot物联网水表 |
| CN109194680A (zh) * | 2018-09-27 | 2019-01-11 | 腾讯科技(深圳)有限公司 | 一种网络攻击识别方法、装置及设备 |
| CN109284296A (zh) * | 2018-10-24 | 2019-01-29 | 北京云睿科技有限公司 | 一种大数据pb级分布式信息存储与检索平台 |
Non-Patent Citations (1)
| Title |
|---|
| 郑士芹: "《新时期信息安全主动防御***研究》", 《电脑知识与技术》 * |
Cited By (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111181972A (zh) * | 2019-12-31 | 2020-05-19 | 厦门市美亚柏科信息股份有限公司 | 一种pptp数据实时解析的处理方法和装置 |
| CN111193747A (zh) * | 2019-12-31 | 2020-05-22 | 奇安信科技集团股份有限公司 | 报文的威胁检测方法、装置、电子设备和存储介质 |
| CN111193747B (zh) * | 2019-12-31 | 2022-06-10 | 奇安信科技集团股份有限公司 | 报文的威胁检测方法、装置、电子设备和存储介质 |
| CN111277570A (zh) * | 2020-01-10 | 2020-06-12 | 中电长城网际***应用有限公司 | 数据的安全监测方法和装置、电子设备、可读介质 |
| CN111818009A (zh) * | 2020-05-25 | 2020-10-23 | 国网思极网安科技(北京)有限公司 | 一种针对基于mqtt协议的报文的防护方法和装置 |
| CN112270984A (zh) * | 2020-10-29 | 2021-01-26 | 南京伟思医疗科技股份有限公司 | 一种基于物联网运用的康复训练设备管理*** |
| CN112731906A (zh) * | 2020-12-24 | 2021-04-30 | 烽台科技(北京)有限公司 | 一种信息采集装置 |
| CN112731906B (zh) * | 2020-12-24 | 2022-04-08 | 烽台科技(北京)有限公司 | 一种信息采集装置 |
| CN112769847A (zh) * | 2021-01-18 | 2021-05-07 | 恒安嘉新(北京)科技股份公司 | 物联网设备的安全防护方法、装置、设备及存储介质 |
| CN115277244A (zh) * | 2022-08-05 | 2022-11-01 | 四川启睿克科技有限公司 | 一种工业互联网的入侵检测***及方法 |
| CN115277244B (zh) * | 2022-08-05 | 2023-07-25 | 四川启睿克科技有限公司 | 一种工业互联网的入侵检测***及方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110120950A (zh) | 一种基于物联网流量进行威胁分析的***及方法 | |
| CN110708215B (zh) | 深度包检测规则库生成方法、装置、网络设备及存储介质 | |
| CN101741862B (zh) | 基于数据包序列特征的irc僵尸网络检测***和检测方法 | |
| US9467360B2 (en) | System, device and method for managing network traffic by using monitoring and filtering policies | |
| CN107733851A (zh) | 基于通信行为分析的dns隧道木马检测方法 | |
| CN110113345A (zh) | 一种基于物联网流量的资产自动发现的方法 | |
| CN102223267B (zh) | 一种ids的检测方法及检测设备 | |
| CN104488229A (zh) | 网络业务处理*** | |
| US20220263823A1 (en) | Packet Processing Method and Apparatus, Device, and Computer-Readable Storage Medium | |
| CN111988309B (zh) | 一种icmp隐蔽隧道检测方法及*** | |
| CN104079571B (zh) | 一种识别Android模拟器的方法及装置 | |
| CN104796405B (zh) | 反弹连接检测方法和装置 | |
| US20130117205A1 (en) | Method of identifying a protocol giving rise to a data flow | |
| CN104318162A (zh) | 源代码泄露检测方法及装置 | |
| CN107241304A (zh) | 一种DDos攻击的检测方法及装置 | |
| CN107317729A (zh) | 一种基于icmp协议的多种网络互联的主动探测方法 | |
| CN106506630A (zh) | 一种基于http内容一致性的恶意网络行为发现方法 | |
| CN101184089A (zh) | 一种基于端口与内容混杂检测的协议识别方法 | |
| CN102164182A (zh) | 一种网络协议识别设备和方法 | |
| CN103841143A (zh) | 文件发送方法、接收方法、***及设备 | |
| CN101888296A (zh) | 一种影子用户检测方法、装置、设备和*** | |
| CN104702596B (zh) | 一种基于数据包长度的信息隐藏与传输的方法及*** | |
| CN105991353A (zh) | 故障定位的方法和装置 | |
| KR20150026345A (ko) | 네트워크 트래픽을 통해 화이트 리스트를 생성하는 장치 및 그 방법 | |
| Luo et al. | Realistic internet traffic simulation through mixture modeling and a case study |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20190813 |
|
| RJ01 | Rejection of invention patent application after publication |