CN110855602B

CN110855602B - 物联网云平台事件识别方法及***

Info

Publication number: CN110855602B
Application number: CN201810955881.0A
Authority: CN
Inventors: 刘中金; 李勇; 惠铄迪; 金德鹏; 李建强; 方喆君; 张晓明; 何跃鹰
Original assignee: Tsinghua University; National Computer Network and Information Security Management Center
Current assignee: Tsinghua University; National Computer Network and Information Security Management Center
Priority date: 2018-08-21
Filing date: 2018-08-21
Publication date: 2022-02-25
Anticipated expiration: 2038-08-21
Also published as: CN110855602A

Abstract

本发明实施例提供一种物联网云平台事件识别方法及***。该方法包括：采集物联网云平台端口上行和/或下行的数据包，并对数据包进行逐层识别，获得数据包对应的应用层协议；若判断获知应用层协议与至少一种预设应用层协议中的目标应用层协议相匹配，则将数据包按照与目标应用层协议对应的目标格式写入预设类，从预设类中读取数据包的特征值；若判断获知特征值属于至少一种特征值数据库中的目标特征值数据库，则确认数据包属于与目标特征值数据库对应的云平台事件。本发明实施例通过提取物联网云平台端口的数据包的特征值，并根据特征值来确定云平台事件，能够准确识别出物联网云平台事件，为后续解决物联网安全问题的方法提供了前提保障。

Description

物联网云平台事件识别方法及***

技术领域

本发明实施例涉及物联网数据分析领域，尤其涉及物联网云平台事件识别方法及***。

背景技术

物联网已经遍布世界上各种各样的生产与生活场景中，例如工业领域的制造业、能源勘探、交通运输，农业畜牧业领域的自动灌溉、温度湿度感知、状态监控，还有生活中形形色色的智能家居设备、智能安防设备与医疗健康设备等等。

各种云平台为物联网提供了重要的核心节点，承担了连接用户与物联网设备的重要功能，能够将处于内网的物联网设备信息接入到用户所处的公网上。然而，这些物联网设备信息一旦被截获将造成严重的数据泄露事故，同时攻击者也可能利用云平台的漏洞进入物联网设备内网，实施攻击，造成很严重的安全问题。

然而，随着人们对数据安全的重视程度的日益提升，越来越多的数据通过加密的方式进行传输，在云平台与终端的通信中，不会直接带有其对应的云平台事件的信息。在通信过程中产生的数据包里，很难找到任何明显的云平台事件信息。在这种情况下，对数据包进行语义分析并识别它们所对应云平台事件是非常困难的。

现有技术中还没有解决上述问题的技术。因此，亟待提出一种技术能够准确识别出物联网云平台事件，进而为后续的云平台行为建模、安全分析、定位潜在网络威胁等解决物联网通讯安全问题的方法提供前提保障。

发明内容

本发明实施例提供一种克服上述问题或者至少部分地解决上述问题的物联网云平台事件识别方法及***。

第一方面，本发明实施例提供一种物联网云平台事件识别方法，包括：采集物联网云平台端口上行和/或下行的数据包，并对数据包进行逐层识别，获得数据包对应的应用层协议；若判断获知应用层协议与至少一种预设应用层协议中的目标应用层协议相匹配，则将数据包按照与目标应用层协议对应的目标格式写入预设类，从预设类中读取数据包的特征值；若判断获知特征值属于至少一种特征值数据库中的目标特征值数据库，则确认数据包属于与目标特征值数据库对应的云平台事件。

第二方面，本发明实施例提供一种物联网云平台事件识别***，包括：采集识别模块，用于采集物联网云平台端口上行和/或下行的数据包，并对数据包进行逐层识别，获得数据包对应的应用层协议；判断匹配模块，用于若判断获知应用层协议与至少一种预设应用层协议中的目标应用层协议相匹配，则将数据包按照与目标应用层协议对应的目标格式写入预设类，从预设类中读取数据包的特征值；判断确认模块，用于若判断获知特征值属于至少一种特征值数据库中的目标特征值数据库，则确认数据包属于与目标特征值数据库对应的目标云平台事件。

第三方面，本发明实施例提供一种电子设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，处理器执行程序时实现第一方面的物联网云平台事件识别方法的步骤。

第四方面，本发明实施例提供一种非暂态计算机可读存储介质，其上存储有计算机程序，该计算机程序被处理器执行时实现第一方面的物联网云平台事件识别方法的步骤。

本发明实施例通过采集物联网云平台端口的数据包，逐层进行识别得出数据包的相应的应用层协议，提取出应用层协议与预设的应用层协议匹配的数据包的特征值，并根据特征值与相应的云平台事件的特征值数据库的匹配结果，来最终确定数据包所对应的云平台事件，从而能够准确识别出物联网云平台事件，进而为后续的云平台行为建模、安全分析、定位潜在网络威胁等解决物联网通讯的安全问题的方法提供了前提保障。

附图说明

图1为本发明实施例提供的物联网云平台事件识别方法的流程示意图；

图2为本发明实施例提供的采集物联网云平台的流量数据的流程示意图；

图3为本发明实施例提供的提取数据包的特征值的流程示意图；

图4为本发明具体实施例提供的物联网云平台事件识别方法的流程示意图；

图5为本发明实施例提供的物联网云平台事件识别***的结构示意图；

图6为本发明实施例提供的一种电子设备的实体结构示意图。

具体实施方式

下面结合附图和实施例，对本发明的具体实施方式作进一步详细描述。以下实施例用于说明本发明，但不用来限制本发明的范围。

物联网将互联网扩展到世界上的各个角落，将万物紧密地联系在一起，截止2017年，物联网的设备到设备的连接已经达到数十亿个，与2016年相比复合年均增长率达到27％，预计到2021年连接数会超过百亿；物联网流量已经达到超过3艾字节每月，与2016年相比复合年均增长率达到49％，预计2021年每月流量会超过10艾字节。各种云平台为物联网提供了重要的核心节点，承担了连接用户与物联网设备的重要功能，能够将处于内网的物联网设备信息接入到用户所处的公网上。物联网设备数量庞大，服务多样，实现标准也多种多样，从云平台端口可以实现对其较为统一的行为建模与异常检测，而实现这一功能的首要任务是准确识别出云平台流量所对应的事件或服务接口，例如设备注册、信息采集、数据流更新等等。在识别出每一条云平台数据所对应的事件类型后，我们才能够针对不同的事件建模，描摹正常行为，检测攻击与异常。与此同时，对云平台事件进行识别也有助于我们了解云平台及其所连接的物联网设备的特性，深入分析云平台的功能需求，改进不足。

图1为本发明实施例提供的物联网云平台事件识别方法的流程示意图。如图1所示，该方法包括：

步骤101，采集物联网云平台端口上行和/或下行的数据包，并对数据包进行逐层识别，获得数据包对应的应用层协议；

步骤102，若判断获知应用层协议与至少一种预设应用层协议中的目标应用层协议相匹配，则将数据包按照与目标应用层协议对应的目标格式写入预设类，从预设类中读取数据包的特征值；

步骤103，若判断获知特征值属于至少一种特征值数据库中的目标特征值数据库，则确认数据包属于与目标特征值数据库对应的云平台事件。

具体地，步骤101，物联网设备通过物联网云平台的端口与物联网云平台进行通讯，通过采集物联网云平台端口的上行和/或下行的数据包，就能获取物联网设备与物联网云平台之间的通讯数据。对数据包进行逐层识别，具体地，先识别数据包的Ethernet层，获得Ethernet层的有效载荷(payload)；再识别Ethernet层的payload的IP层，获得IP层的payload；最后识别IP层的payload的TCP层，获得数据包内对应的应用层协议。

步骤102，预先设置至少一种预设应用层协议，例如，消息队列遥测传输协议(Message Queuing Telemetry Transport，简称MQTT)的应用层协议、面向实时***的数据分布服务(Data Distribution Service for Real-Time Systems，简称DDS)的应用层协议和先进消息队列协议(Advanced Message Queuing Protocol，简称AMQP)的应用层协议。将数据包内对应的应用层协议，与上述至少一种预设应用层协议进行对比。如果数据包内对应的应用层协议与至少一种预设应用层协议中的目标预设应用层协议相匹配，则将数据包按照与目标应用层协议对应的目标格式，例如MQTT格式，写入预设类。其中，预设类是用于存放符合上述匹配条件的数据包和提供访问接口的数据结构单元。然后从预设类中读取其所存放的数据包的特征值。其中特征值是表征数据包所对应的不同云平台事件的特征的值。

步骤103，预先设置不同云平台事件所对应的至少一种特征值数据库。将数据包的特征值与上述至少一种特征值数据库进行对比。如果数据包的特征值属于上述至少一种特征值数据库中的目标特征值数据库。则确认该数据包属于与目标特征值数据库对应的云平台事件。例如，数据包的特征值为a，云平台事件1对应的特征值数据库为A，如果a属于A，那么数据包所对应的就是云平台事件1。

在上述实施例的基础上，作为一种可选的实施例，采集物联网云平台端口上行和/或下行的数据包，包括：采集物联网云平台端口上行和/或下行的流量数据，获得流量数据的文本文件；对文本文件进行二进制转换，获得数据包。

具体地，表1为原始流量数据的格式。如表1所示，原始流量数据包括，源IP、目的IP、其他IP数据包头字段和TCP/UDP数据包。通过对原始流量数据依次进行Ethernet层、IP层和TCP层识别，可以得出原始流量数据的源端口和目的端口。并标定原始流量数据的传输层协议为TCP协议，结合源IP和目的IP，得到含有源IP、目的IP、TCP协议、源端口和目的端口的五元组流量数据。此外，再添加流量数据包到达的时间戳，以及Ethernet层的payload，获得流量数据的文本文件。对流量数据的文本文件进行二进制转换，结合文本文件中的时间戳等信息获得数据包。

表1原始流量数据格式

源IP

目的IP

其他IP数据包头字段

TCP/UDP数据包

本发明实施例通过采集物联网云平台端口的上行和/或下行的数据流量的文本形式，并通过二进制还原得到相应的数据包，为后续的云平台事件的识别打下基础。

在上述实施例的基础上，作为一种可选的实施例，数据包包括，源IP和目的IP；相应地，在采集物联网云平台端口上行和/或下行的数据包之后，还包括：根据数据包的源IP和目的IP，获取物联网云平台的云平台基本信息和节点位置信息。

具体地，从数据包中可以获取源IP和目的IP信息，通过将上述源IP和目的IP与物联网云平台的IP地址数据库进行对比，可以识别其所属平台的位置。例如，有N个物联网云平台，源IP为IP_src目的IP为IP_dst，云平台对应的IP地址数据库为IPDB_n(n＝1，2，...，N)，那么：

for n＝1 to N

if(IP_src∈IPDB_n||IP_dst∈IPDB_n)

then IoT-Platform-flag＝n

就能够确定数据包所属的物联网云平台的位置。在确定物联网云平台位置后，通过查询相应的物联网云平台的备案信息，就可以得到相应云平台的基本信息，例如：云平台的名称等。

在确定数据包所属的物联网云平台位置后，已知每个数据包的源IP和目的IP中有一个是云平台服务器IP，另一个是云平台的节点IP。先将每个数据包的源IP和目的IP与云平台服务器IP数据库进行对比，确定其中的云平台服务器IP，从而也就确定云平台的节点IP。通过查询IP节点位置数据库，确定该云平台的节点IP的节点位置信息，即得到云平台的节点位置信息。

本发明实施例通过对数据包的源IP和目的IP进行解析，获取数据包所对应的物联网云平台的云平台基本信息和节点位置信息。

在上述实施例的基础上，作为一种可选的实施例，采集物联网云平台端口上行和/或下行的流量数据，获得流量数据的文本文件，包括：采集物联网云平台端口的上行和/或下行的流量数据；通过DNS对流量数据进行解析，获得物联网云平台的IP地址数据库；利用IP地址数据库对上行和下行流量数据进行过滤，获得流量数据的文本文件。

具体地，图2为本发明实施例提供的采集物联网云平台的流量数据的流程示意图。如图2所示，首先采集得到物联网云平台端口的上行和/或下行的流量数据，然后对采集得到的流量数据进行过滤。通过DNS解析得到物联网云平台的IP地址数据库，将上述物联网云平台的IP地址数据库作为过滤器对采集得到的数据流量进行过滤，即将不属于物联网云平台的IP地址数据库的流量数据过滤掉，最后得到数据流量的文本文件。其中物联网云平台地址数据库和过滤器相互之间不断进行更新。

本发明实施例通过DNS解析流量数据得到物联网云平台的IP地址数据库对采集得到的流量数据进行过滤，能够筛选出符合条件的流量数据。

在上述实施例的基础上，作为一种可选的实施例，云平台事件，包括：云平台接口通联事件和云平台服务通联事件；相应地，若判断获知特征值属于至少一种特征值数据库中的目标特征值数据库，则确认数据包属于与目标特征值数据库对应的云平台事件，包括：若判断获知特征值属于云平台接口通联事件的特征值数据库，则确定数据包属于云平台接口通联事件；或者，若判断获知特征值属于云平台服务通联事件的特征值数据库，则确定数据包属于云平台服务通联事件。

具体地，云平台事件包括云平台接口通联事件和云平台服务通联事件。其中云平台接口通联事件包括：设备信息查询接口、设备信息更新接口、设备信息删除接口、设备注册接口、数据流信息获取接口、数据流更新接口、数据流删除接口、状态查询接口、状态更新接口、状态删除接口等。云平台服务通联事件包括：设备接入、设备管理、数据采集、状态管理、基础信息、基础设施、智能网关、数据管理、数据分析、故障维护等。

对云平台接口通联事件建立至少一种相应的特征值数据库。将数据包的特征值与云平台接口通联事件建立的相应的特征值数据库进行对比，如果特征值属于至少一种特征值数据库中的目标特征值数据库，则确认数据包属于与目标特征值数据库对应的云平台接口通联事件。

同样地，对云平台服务通联事件建立至少一种相应的特征值数据库。将数据包的特征值与云平台服务通联事件建立的相应的特征值数据库进行对比，如果特征值属于至少一种特征值数据库中的目标特征值数据库，则确认数据包属于与目标特征值数据库对应的云平台服务通联事件。

本发明实施例，通过分别对云平台接口通联事件和云平台服务通联事件建立至少一种相应的特征值数据库，通过将数据包的特征值与相应的特征值数据库进行对比，来确定云平台接口通联事件和云平台服务通联事件。

在上述实施例的基础上，作为一种可选的实施例，特征值，包括：关键字和消息类型信息；若判断获知特征值属于云平台接口通联事件的特征值数据库，则确定数据包属于云平台接口通联事件；或者，若判断获知特征值属于云平台服务通联事件的特征值数据库，则确定数据包属于云平台服务通联事件，包括：若数据包含有消息类型信息，则先对消息类型信息进行判断；若判断获知消息类型信息属于云平台接口通联事件的消息类型信息数据库，且关键字属于云平台接口通联事件的关键字数据库，则确定数据包属于云平台接口通联事件；或者，若判断获知消息类型信息属于云平台服务通联事件的消息类型信息数据库，且关键字属于云平台服务通联事件的关键字数据库，则确定数据包属于云平台服务通联事件；若数据包不含消息类型信息，则直接对关键字进行判断；若判断获知关键字属于云平台接口通联事件的关键字数据库，则确定数据包属于云平台接口通联事件；或者，若判断获知关键字属于云平台服务通联事件的关键字数据库，则确定数据包属于云平台服务通联事件。

具体地，特征值包括以字符串形式存储的关键字和以字符串形式存储的消息类型信息。图3为本发明实施例提供的提取数据包的特征值的流程示意图。如图3所示，对数据包依次按照Ethernet层、IP层和TCP层进行逐层识别，最终识别出数据包的应用层协议，并将与预设应用层协议匹配的数据包按照与目标应用层协议对应的目标格式写入预定义类。由于预设类里的数据包的格式是按照目标应用层协议对应的目标格式写入的，所以直接读取预定义类中的数据包的相应的字段，并将读取出的字段以字符串的形式进行存储就可以得到相应的关键字和/或消息类型信息。例如，发布/订阅模式下进行消息传的MQTT、DDS、AMQT三种协议，直接读取相应的数据包的关键字段，并将读取出的关键字段以字符串形式进行存储，就得到了相应的关键字。对于MQTT协议，直接读取相应数据包的Msgtype字段，并将读取出的Msgtype字段以字符串形式进行存储，就得到了相应的消息类型信息。

如果数据包含有消息类型信息，则先对数据包的消息类型信息进行判断。对云平台接口通联事件建立至少一种相应的消息类型信息数据库。将数据包的消息类型信息与云平台接口通联事件建立的相应消息类型信息数据库进行对比，如果消息类型信息属于至少一种消息类型信息数据库中的目标消息类型信息数据库，则确认数据包可能属于与目标消息类型信息数据库对应的云平台接口通联事件。再对数据包的关键字进行判断，对云平台接口通联事件建立至少一种相应的关键字数据库。将数据包的关键字与云平台接口通联事件建立的相应的关键字数据库进行对比，如果关键字属于至少一种关键字数据库中的目标关键字数据库，则确认数据包属于与目标关键字数据库对应的云平台接口通联事件。或者，对云平台服务通联事件建立至少一种相应的消息类型信息数据库。将数据包的消息类型信息与云平台服务通联事件建立的相应消息类型信息数据库进行对比，如果消息类型信息属于至少一种消息类型信息数据库中的目标消息类型信息数据库，则确认数据包可能属于与目标消息类型信息数据库对应的云平台服务通联事件。再对数据包的关键字进行判断，对云平台服务通联事件建立至少一种相应的关键字数据库。将数据包的关键字与云平台服务通联事件建立的相应的关键字数据库进行对比，如果关键字属于至少一种关键字数据库中的目标关键字数据库，则确认数据包属于与目标关键字数据库对应的云平台服务通联事件。

如果数据不含消息类型信息，则直接对数据包的关键字进行判断。对云平台接口通联事件建立至少一种相应的关键字数据库。将数据包的关键字与云平台接口通联事件建立的相应的关键字数据库进行对比，如果关键字属于至少一种关键字数据库中的目标关键字数据库，则确认数据包属于与目标关键字数据库对应的云平台接口通联事件。或者，对云平台服务通联事件建立至少一种相应的关键字数据库。将数据包的关键字与云平台服务通联事件建立的相应的关键字数据库进行对比，如果关键字属于至少一种关键字数据库中的目标关键字数据库，则确认数据包属于与目标关键字数据库对应的云平台服务通联事件。

本发明实施例通过数据包的关键字和消息类型信息来确定数据包所属的云平台事件，并对同时具有消息类型信息和关键字的数据包，先用消息类型数据库进行筛选，再用关键字数据库进行判断所属的云事件，由于在将关键字与关键字数据库进行对比时，运算量很大，先用消息类型数据库进行筛选，减少运算量和节约运算时间。

在上述实施例的基础上，作为一种可选的实施例，对物联网云平台的云平台基本信息、节点位置信息、云平台接口通联事件和云平台服务通联事件进行统计，并定时更新云平台基本信息、节点位置信息、云平台服务通联事件和云平台服务通联事件。

具体地，将每个数据包所对应的物联网云平台的云平台基本信息、节点位置信息、云平台接口通联事件和云平台服务通联事件以标签的形式标记到每个相应的数据包上。然后统计物联网云平台的每种云平台基本信息、每个节点位置信息、每种云平台接口通联事件和每种云平台服务通联事件的数目。例如用spark来进行计算统计。对物联网云平台的每种云平台基本信息、每个节点位置信息、每种云平台接口通联事件和每种云平台服务通联事件的数目成批进行更新处理，例如以天为单位，在每天24:00，对从前一天24:00到本天24:00之间的物联网云平台的每种云平台基本信息、每个节点位置信息、每种云平台接口通联事件和每种云平台服务通联事件的数目成批进行更新处理。

本发明实施例通过对物联网云平台的云平台基本信息、节点位置信息、云平台接口通联事件和云平台服务通联事件进行统计和更新处理，便于对物联网云平台事件等进行管理。

图4为本发明具体实施例提供的物联网云平台事件识别方法的流程示意图。如图4所示，对数据包进行解析得出数据包的源IP和目的IP，将源IP和目的IP与物联网云平台的IP地址的数据库进行对比，可以识别其所属平台的位置。在确定物联网云平台的位置后，通过查询相应的物联网云平台的备案信息，就可以得到相应云平台的基本信息。同时在确定数据包所属的物联网云平台位置后，再将数据包的源IP和目的IP与云平台服务器IP数据库进行对比，确定云平台服务器的IP，已知数据包的源IP和目的IP中有一个是云平台服务器IP，则另一个是云平台的节点IP。通过查询节点IP的节点位置数据库，确定云平台的节点位置信息。

识别数据包的应用层协议，并提取数据包的消息类型信息和关键字。如果数据包中含有消息类型信息，则先将数据包的消息类型信息与相应的云平台接口通联事件的消息类型信息数据库或云平台服务通联事件的消息类型信息数据库进行对比，只要当数据包的消息类型信息属于云平台接口通联事件的消息类型信息数据库或云平台服务通联事件的消息类型信息数据库时，才对数据包的关键字进行判断，当数据包的关键字属于云平台接口通联事件的关键字数据库或云平台服务通联事件的关键字数据库时，才能相应地确定数据包属于云平台接口通联事件或云平台服务通联事件。

如果数据包不含消息类型信息，则直接对数据包的关键字进行判断。当数据包的关键字属于云平台接口通联事件的关键字数据库或云平台服务通联事件的关键字数据库时，才能相应地确定数据包属于云平台接口通联事件或云平台服务通联事件。

将每个数据包所对应的物联网云平台的云平台基本信息、节点位置信息、云平台接口通联事件和云平台服务通联事件以标签的形式标记到每个相应的数据包上。统计每种云平台基本信息、每个节点位置信息、每种云平台接口通联事件和每种云平台服务通联事件的数目，并成批定时进行更新。

本发明实施例通过对物联网云平台端口的数据包，逐层进行识别得出数据包的相应的应用层协议，提取出应用层协议与预设的应用层协议匹配的数据包的关键字和消息类型信息，并根据关键字和消息类型信息与相应的云平台接口通联事件或云平台服务通联事件的关键字数据库和消息类型信息数据库的匹配结果，来最终确定数据包所对应的云平台接口通联事件或云平台服务通联事件，从而能够准确识别出物联网云平台事件，进而为后续的云平台行为建模、安全分析、定位潜在网络威胁等解决物联网通讯的安全问题的方法提供了前提保障。

图5为本发明实施例提供的物联网云平台事件识别***的结构示意图。如图5所示，该***包括采集识别模块501、判断匹配模块502和判断确认模块503。其中采集识别模块501用于采集物联网云平台端口上行和/或下行的数据包，并对数据包进行逐层识别，获得数据包对应的应用层协议；判断匹配模块502用于若判断获知应用层协议与至少一种预设应用层协议中的目标应用层协议相匹配，则将数据包按照与目标应用层协议对应的目标格式写入预设类，从预设类中读取数据包的特征值；判断确认模块503用于若判断获知特征值属于至少一种特征值数据库中的目标特征值数据库，则确认数据包属于与目标特征值数据库对应的目标云平台事件。

具体地，物联网设备通过物联网云平台端口与物联网云平台进行通讯，通过采集识别模块501采集物联网云平台端口的上行和/或下行的数据包，就能获取物联网设备与物联网云平台之间的通讯数据。并通过采集识别模块501对数据包进行逐层识别，采集识别模块501先识别数据包的Ethernet层，获得Ethernet层的payload；再识别Ethernet层的payload的IP层，获得IP层的payload；最后识别IP层的payload的TCP层，获得数据包内对应的应用层协议。

预先设置至少一种预设应用层协议，例如，消息队列遥测传输协议(MessageQueuing Telemetry Transport，简称MQTT)的应用层协议、面向实时***的数据分布服务(Data Distribution Service for Real-Time Systems，简称DDS)的应用层协议和先进消息队列协议(Advanced Message Queuing Protocol，简称AMQP)的应用层协议。判断匹配模块502将数据包内对应的应用层协议，与上述至少一种预设应用层协议进行对比。如果数据包内对应的应用层协议与至少一种预设应用层协议中的目标预设应用层协议相匹配，则将数据包按照与目标应用层协议对应的目标格式，例如MQTT格式，写入预设类。其中，预设类是用于存放符合上述匹配条件的数据包的存储单元。然后判断匹配模块502从预设类中读取其所存放的数据包的特征值。其中特征值是表征数据包所对应的不同云平台事件的特征的值。

预先设置不同云平台事件所对应的至少一种特征值数据库。判断确认模块503将数据包的特征值与上述至少一种特征值数据库进行对比。如果数据包的特征值属于上述至少一种特征值数据库中的目标特征值数据库。判断确认模块503则确认该数据包属于与目标特征值数据库对应的云平台事件。例如，数据包的特征值为a，云平台事件1对应的特征值数据库为A，如果a属于A，那么数据包所对应的就是云平台事件1。

本发明实施例通过采集识别模块采集物联网云平台端口的数据包，逐层进行识别得出数据包的相应的应用层协议，通过判断匹配模块提取出应用层协议与预设的应用层协议匹配的数据包的特征值，并通过判断确认模块根据特征值与相应的云平台事件的特征值数据库的匹配结果，来最终确定数据包所对应的云平台事件，从而能够准确识别出物联网云平台事件，进而为后续的云平台行为建模、安全分析、定位潜在网络威胁等解决物联网通讯的安全问题的方法提供了前提保障。

在上述实施例的基础上，作为一种可选的实施例，采集识别模块501用于采集物联网云平台端口上行和/或下行的数据包，包括：采集识别模块501用于采集物联网云平台端口上行和/或下行的流量数据，获得流量数据的文本文件；采集识别模块501用于对文本文件进行二进制转换，获得数据包。

在上述实施例的基础上，作为一种可选的实施例，数据包包括，源IP和目的IP，判断确认模块503用于根据数据包的源IP和目的IP，获取物联网云平台的云平台基本信息和节点位置信息。

在上述实施例的基础上，作为一种可选的实施例，采集识别模块501用于采集物联网云平台端口上行和/或下行的流量数据，获得流量数据的文本文件，包括：采集识别模块501用于采集物联网云平台端口的上行和/或下行的流量数据；采集识别模块501用于通过DNS对流量数据进行解析，获得物联网云平台的IP地址数据库；采集识别模块501用于利用IP地址数据库对上行和下行流量数据进行过滤，获得流量数据的文本文件。

在上述实施例的基础上，作为一种可选的实施例，云平台事件，包括：云平台接口通联事件和云平台服务通联事件；判断确认模块503用于若判断获知特征值属于至少一种特征值数据库中的目标特征值数据库，则确认数据包属于与目标特征值数据库对应的云平台事件，包括：判断确认模块503用于若判断获知特征值属于云平台接口通联事件的特征值数据库，则确定数据包属于云平台接口通联事件；或者，判断确认模块503用于若判断获知特征值属于云平台服务通联事件的特征值数据库，则确定数据包属于云平台服务通联事件。

在上述实施例的基础上，作为一种可选的实施例，特征值，包括：关键字和消息类型信息；判断确认模块503用于若判断获知特征值属于云平台接口通联事件的特征值数据库，则确定数据包属于云平台接口通联事件；或者，判断确认模块503用于若判断获知特征值属于云平台服务通联事件的特征值数据库，则确定数据包属于云平台服务通联事件，包括：若数据包含有消息类型信息，判断确认模块503则先对消息类型信息进行判断；若判断获知消息类型信息属于云平台接口通联事件的消息类型信息数据库，且关键字属于云平台接口通联事件的关键字数据库，判断确认模块503则确定数据包属于云平台接口通联事件；或者，若判断获知消息类型信息属于云平台服务通联事件的消息类型信息数据库，且关键字属于云平台服务通联事件的关键字数据库，判断确认模块503则确定数据包属于云平台服务通联事件；若数据包不含消息类型信息，判断确认模块503则直接对关键字进行判断；若判断获知关键字属于云平台接口通联事件的关键字数据库，判断确认模块503则确定数据包属于云平台接口通联事件；或者，若判断获知关键字属于云平台服务通联事件的关键字数据库，判断确认模块503则确定数据包属于云平台服务通联事件。

在上述实施例的基础上，作为一种可选的实施例，判断确认模块503还用于对物联网云平台的云平台基本信息、节点位置信息、云平台接口通联事件和云平台服务通联事件进行统计，并定时更新云平台基本信息、节点位置信息、云平台服务通联事件和云平台服务通联事件。

图6为本发明实施例提供的一种电子设备的实体结构示意图。如图6所示，该电子设备可以包括：处理器(processor)610、通信接口(Communications Interface)620、存储器(memory)630和总线640，其中，处理器610，通信接口620，存储器630通过总线640完成相互间的通信。通信接口640可以用于物联网云平台事件识别***与电子设备之间的信息传输。处理器610可以调用存储器630中的逻辑指令，以执行如下方法：采集物联网云平台端口上行和/或下行的数据包，并对数据包进行逐层识别，获得数据包内对应的应用层协议；若判断获知应用层协议与至少一种预设应用层协议中的目标应用层协议相匹配，则将数据包按照与目标应用层协议对应的目标格式写入预设类，从预设类中读取数据包的特征值；若判断获知特征值属于至少一种特征值数据库中的目标特征值数据库，则确认数据包属于与目标特征值数据库对应的云平台事件。

此外，上述的存储器630中的逻辑指令可以通过软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本发明各个实施例方法的全部或部分步骤。而前述的存储介质包括：U盘、移动硬盘、只读存储器(ROM，Read-Only Memory)、随机存取存储器(RAM，Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。

本发明实施例提供一种非暂态计算机可读存储介质，该非暂态计算机可读存储介质存储计算机指令，该计算机指令使计算机执行上述实施例所提供的物联网云平台事件识别方法，例如包括：采集物联网云平台端口上行和/或下行的数据包，并对数据包进行逐层识别，获得数据包内对应的应用层协议；若判断获知应用层协议与至少一种预设应用层协议中的目标应用层协议相匹配，则将数据包按照与目标应用层协议对应的目标格式写入预设类，从预设类中读取数据包的特征值；若判断获知特征值属于至少一种特征值数据库中的目标特征值数据库，则确认数据包属于与目标特征值数据库对应的云平台事件。

通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现，当然也可以通过硬件。基于这样的理解，上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品可以存储在计算机可读存储介质中，如ROM/RAM、磁碟、光盘等，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行各个实施例或者实施例的某些部分的方法。

最后应说明的是：以上实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。

Claims

1.一种物联网云平台事件识别方法，其特征在于，包括：

采集物联网云平台端口上行和/或下行的数据包，并对所述数据包进行逐层识别，获得所述数据包对应的应用层协议；

若判断获知所述应用层协议与至少一种预设应用层协议中的目标应用层协议相匹配，则将所述数据包按照与所述目标应用层协议对应的目标格式写入预设类，从所述预设类中读取所述数据包的特征值；

若判断获知所述特征值属于至少一种特征值数据库中的目标特征值数据库，则确认所述数据包属于与所述目标特征值数据库对应的云平台事件；

所述数据包包括，源IP和目的IP；

相应地，在所述采集物联网云平台端口上行和/或下行的数据包之后，还包括：根据所述数据包的源IP和目的IP，获取所述物联网云平台的云平台基本信息和节点位置信息；

所述云平台事件，包括：云平台接口通联事件和云平台服务通联事件；所述特征值，包括：关键字和消息类型信息；

相应地，所述若判断获知所述特征值属于至少一种特征值数据库中的目标特征值数据库，则确认所述数据包属于与所述目标特征值数据库对应的云平台事件，包括：

若所述数据包含有所述消息类型信息，则先对所述消息类型信息进行判断；若判断获知所述消息类型信息属于所述云平台接口通联事件的消息类型信息数据库，且所述关键字属于所述云平台接口通联事件的关键字数据库，则确定所述数据包属于所述云平台接口通联事件；或者，若判断获知所述消息类型信息属于所述云平台服务通联事件的消息类型信息数据库，且所述关键字属于所述云平台服务通联事件的关键字数据库，则确定所述数据包属于所述云平台服务通联事件；

若所述数据包不含所述消息类型信息，则直接对所述关键字进行判断；若判断获知所述关键字属于所述云平台接口通联事件的所述关键字数据库，则确定所述数据包属于所述云平台接口通联事件；或者，若判断获知所述关键字属于所述云平台服务通联事件的所述关键字数据库，则确定所述数据包属于所述云平台服务通联事件。

2.根据权利要求1所述的物联网云平台事件识别方法，其特征在于，所述采集物联网云平台端口上行和/或下行的数据包，包括：

采集所述物联网云平台端口上行和/或下行的流量数据，获得所述流量数据的文本文件；

对所述文本文件进行二进制转换，获得所述数据包。

3.根据权利要求2所述的物联网云平台事件识别方法，其特征在于，所述采集所述物联网云平台端口上行和/或下行的流量数据，获得所述流量数据的文本文件，包括：

采集所述物联网云平台端口的上行和/或下行的流量数据；

通过DNS对所述流量数据进行解析，获得所述物联网云平台的IP地址数据库；

利用所述IP地址数据库对所述上行和下行流量数据进行过滤，获得所述流量数据的文本文件。

4.根据权利要求1所述的物联网云平台事件识别方法，其特征在于，还包括：

对所述物联网云平台的所述云平台基本信息、所述节点位置信息、所述云平台接口通联事件和所述云平台服务通联事件进行统计，并定时更新所述云平台基本信息、所述节点位置信息、所述云平台服务通联事件和所述云平台服务通联事件。

5.一种物联网云平台事件识别***，其特征在于：包括：

采集识别模块，用于采集物联网云平台端口上行和/或下行的数据包，所述数据包包括，源IP和目的IP，根据所述数据包的源IP和目的IP，获取所述物联网云平台的云平台基本信息和节点位置信息，并对所述数据包进行逐层识别，获得所述数据包对应的应用层协议；

判断匹配模块，用于若判断获知所述应用层协议与至少一种预设应用层协议中的目标应用层协议相匹配，则将所述数据包按照与所述目标应用层协议对应的目标格式写入预设类，从所述预设类中读取所述数据包的特征值；

判断确认模块，用于若判断获知所述特征值属于至少一种特征值数据库中的目标特征值数据库，则确认所述数据包属于与所述目标特征值数据库对应的目标云平台事件；所述云平台事件，包括：云平台接口通联事件和云平台服务通联事件；所述特征值，包括：关键字和消息类型信息；若所述数据包含有所述消息类型信息，则先对所述消息类型信息进行判断；若判断获知所述消息类型信息属于所述云平台接口通联事件的消息类型信息数据库，且所述关键字属于所述云平台接口通联事件的关键字数据库，则确定所述数据包属于所述云平台接口通联事件；或者，若判断获知所述消息类型信息属于所述云平台服务通联事件的消息类型信息数据库，且所述关键字属于所述云平台服务通联事件的关键字数据库，则确定所述数据包属于所述云平台服务通联事件；若所述数据包不含所述消息类型信息，则直接对所述关键字进行判断；若判断获知所述关键字属于所述云平台接口通联事件的所述关键字数据库，则确定所述数据包属于所述云平台接口通联事件；或者，若判断获知所述关键字属于所述云平台服务通联事件的所述关键字数据库，则确定所述数据包属于所述云平台服务通联事件。

6.一种电子设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，其特征在于，所述处理器执行所述程序时实现如权利要求1至4任一项所述物联网云平台事件识别方法的步骤。

7.一种非暂态计算机可读存储介质，其上存储有计算机程序，其特征在于，该计算机程序被处理器执行时实现如权利要求1至4任一项所述物联网云平台事件识别方法的步骤。