CN114513369A - 基于深度报文检测的物联网行为分析方法及*** - Google Patents

基于深度报文检测的物联网行为分析方法及*** Download PDF

Info

Publication number
CN114513369A
CN114513369A CN202210401399.9A CN202210401399A CN114513369A CN 114513369 A CN114513369 A CN 114513369A CN 202210401399 A CN202210401399 A CN 202210401399A CN 114513369 A CN114513369 A CN 114513369A
Authority
CN
China
Prior art keywords
behavior
behavior analysis
internet
message
things
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202210401399.9A
Other languages
English (en)
Other versions
CN114513369B (zh
Inventor
万伟
孙宾芳
方伟
王忠新
宋江涛
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Webray Tech Beijing Co ltd
Original Assignee
Webray Tech Beijing Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Webray Tech Beijing Co ltd filed Critical Webray Tech Beijing Co ltd
Priority to CN202210401399.9A priority Critical patent/CN114513369B/zh
Publication of CN114513369A publication Critical patent/CN114513369A/zh
Application granted granted Critical
Publication of CN114513369B publication Critical patent/CN114513369B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02DCLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
    • Y02D30/00Reducing energy consumption in communication networks
    • Y02D30/50Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate

Landscapes

  • Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Medical Informatics (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明提供一种基于深度报文检测的物联网行为分析方法及***,方法包括:基于网络层,获取传输层检测的报文;将所述报文输入至行为分析模型中,得到所述行为分析模型输出的行为分析结果;其中,所述行为分析模型用于基于报文及所述报文对应的物联网协议和权重标签得到的行为特征,进行异常行为分析。本发明基于网络层获取传输层检测的报文,并利用行为分析模型基于物联网协议及权重标签对进行行为分析,得到行为分析结果,以针对不同物联网协议进行定制化行为分析,提高对物联网应用的风险行为检测正确率,减少误报率。

Description

基于深度报文检测的物联网行为分析方法及***
技术领域
本发明涉及物联网技术领域,尤其涉及一种基于深度报文检测的物联网行为分析方法及***。
背景技术
物联网是通信网和互联网的拓伸,其利用感知技术与智能装置对物理世界进行感知识别,并通过网络传输互联,进行计算、处理和知识挖掘,以实现人与物、物与物信息交互和无缝链接,从而达到对物理世界实时控制、精确管理和科学决策目的。随着数以亿计的设备持续接入物联网,物联网产业规模不断壮大,针对用户隐私、基础网络环境的安全攻击也在不断增多,使得网络安全问题成为限制物联网服务广泛部署的障碍之一。
目前,由于海量的接入设备不仅种类繁多,且其之上的物联网应用协议更是五花八门,很难用一种或几种应用协议来统一构建其在物联网中的行为模型,造成检测识别准确度不高,使得针对不同物联网协议的特定攻击层出不穷。
发明内容
本发明提供一种基于深度报文检测的物联网行为分析方法及***,用以解决现有技术中由于物联网协议繁多以致行为检测准确度较差的缺陷,针对不同物联网协议进行定制化行为分析,提高对物联网应用的风险行为检测正确率, 减少误报率。
本发明提供一种基于深度报文检测的物联网行为分析方法,包括:接收传输层发送的报文,所述报文为所述传输层基于网络层发送的信息进行检测得到的;将所述报文输入至行为分析模型中,得到所述行为分析模型输出的行为分析结果;其中,所述行为分析模型用于基于报文及所述报文对应的物联网协议和权重标签得到的行为特征,进行异常行为分析。
根据本发明提供的一种基于深度报文检测的物联网行为分析方法,所述行为分析模型,包括:深度报文检测引擎,基于输入的报文对应的物联网协议,选择相应报文检测句柄进行解析,得到报文解析结果;行为分析引擎,基于所述报文解析结果,结合相应物联网协议和相应权重标签进行分析,得到行为分析结果。
根据本发明提供的一种基于深度报文检测的物联网行为分析方法,所述行为分析引擎,包括:行为分析句柄,与所述报文检测句柄一一对应,根据对应的物联协议及对应的报文检测句柄输出的报文解析结果进行行为分析,得到行为特征;行为特征分类分析层,基于所述行为特征及其对应的权重标签,得到行为汇总结果,并基于预设阈值判断所述行为汇总结果是否属于异常行为,得到行为分析结果。
根据本发明提供的一种基于深度报文检测的物联网行为分析方法,所述报文包括物联网协议报文。
根据本发明提供的一种基于深度报文检测的物联网行为分析方法,所述行为分析模型,还包括:基于所述行为分析结果,调用对应物联网协议的异常行为记录句柄,将裁定为异常行为的报文及其对应的五元组写入异常行为数据库;其中,所述五元组包括源IP、目的IP、源端口、目的端口和对应物联网协议。
根据本发明提供的一种基于深度报文检测的物联网行为分析方法,在所述得到所述行为分析模型输出的行为分析结果之后,包括:根据所述行为分析结果,确定是否上报异常行为日志。
根据本发明提供的一种基于深度报文检测的物联网行为分析方法,所述根据所述行为分析结果,确定是否上报异常行为日志,还包括:基于所述行为分析结果和预设异常行为等级分配规则,确定是否上报异常行为日志,并基于用户预先配置执行相应动作;其中,所述动作包括丢弃、阻断、通过、限制用户访问数目和探测源IP有效性中的至少一种。
本发明还提供一种基于深度报文检测的物联网行为分析***,包括:报文获取模块,接收传输层发送的报文,所述报文为所述传输层基于网络层发送的信息进行检测得到的;行为分析模块,将所述报文输入至行为分析模型中,得到所述行为分析模型输出的行为分析结果;其中,所述行为分析模型用于基于报文及所述报文对应的物联网协议和权重标签得到的行为特征,进行异常行为分析。
本发明还提供一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现如上述任一种所述基于深度报文检测的物联网行为分析方法的步骤。
本发明还提供一种非暂态计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现如上述任一种所述基于深度报文检测的物联网行为分析方法的步骤。
本发明提供的基于深度报文检测的物联网行为分析方法及***,基于网络层获取传输层检测的报文,并利用行为分析模型基于物联网协议及权重标签对进行行为分析,得到行为分析结果,以针对不同物联网协议进行定制化行为分析,提高对物联网应用的风险行为检测正确率, 减少误报率;另外,风险分析将不同的行为分析结果纳入一个统一的计算框架,以统筹考虑各种危险行为的潜在风险,并充分考虑了不同行为之间的相关性,最终得到一个可量化的风险评估结果,进而进一步提高风险行为检测的准确性。
附图说明
为了更清楚地说明本发明或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明提供的基于深度报文检测的物联网行为分析方法的流程示意图;
图2是本发明提供的基于深度报文检测的物联网行为分析方法的架构示意图;
图3是本发明提供的基于深度报文检测的物联网行为分析***的结构示意图;
图4是本发明提供的电子设备的结构示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面将结合本发明中的附图,对本发明中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
图1示出了本发明一种基于深度报文检测的物联网行为分析方法的流程示意图,该方法包括:
S11,接收传输层发送的报文,报文为传输层基于网络层发送的信息进行检测得到的;
S12,将报文输入至行为分析模型中,得到行为分析模型输出的行为分析结果;其中,行为分析模型用于基于报文及报文对应的物联网协议和权重标签得到的行为特征,进行异常行为分析。
需要说明的是,本说明书中的S1N不代表基于深度报文检测的物联网行为分析方法的先后顺序,下面具体结合图2描述本发明的基于深度报文检测的物联网行为分析方法。
步骤S11,接收传输层发送的报文,报文为传输层基于网络层发送的信息进行检测得到的。
需要说明的是,报文包括物联网协议报文,具体可以包括XMPP报文、MQTT报文、Onvif报文、CoAP报文和UPnP报文等物联网协议报文中的至少一种,下文仅以XMPP和MQTT作为示例,其中,XMPP (Extensible Messaging and Presence Protocol)为可扩展通讯和表示协议,表示一个开源形式组织产生的网络即时通信协议;MQTT(Message QueuingTelemetry Transport )为消息队列遥测传输,表示由IBM开发的即时通讯协议,MQTT比较适合物联网场景的通讯协议,另外,MQTT协议采用发布/订阅模式,所有的物联网终端都通过传输控制协议(Transmission Control Protocol,TCP)连接至云端,云端通过主题的方式管理各个设备关注的通讯内容,负责将设备与设备之间消息的转发。
步骤S12,将报文输入至行为分析模型中,得到行为分析模型输出的行为分析结果;其中,行为分析模型用于基于报文及报文对应的物联网协议和权重标签得到的行为特征,进行异常行为分析。
在本实施例中,行为分析模型,包括:深度报文检测引擎,基于输入的报文对应的物联网协议,选择相应报文检测句柄进行解析,得到报文解析结果;行为分析引擎,基于报文解析结果,结合相应物联网协议和相应权重标签进行分析,得到行为分析结果。
具体而言,参考图2,首先,深度报文检测引擎,基于输入的报文对应的物联网协议,选择相应报文检测句柄进行解析,得到报文解析结果。需要说明的是,在将报文输入至行为分析模型之前,还包括:基于物联网协议,配置深度报文检测引擎,即配置报文检测句柄。比如,待检测报文类型包括XMPP报文和MQTT报文,则对应配置XMPP报文检测句柄和MQTT报文检测句柄,当输入报文为XMPP报文时,仅有XMPP报文检测句柄能够正确解析报文内容,并依此识别对应报文为XMPP报文,并将报文解析结果发送至行为分析引擎中。
其次,行为分析引擎,基于报文解析结果,结合相应物联网协议和相应权重标签进行分析,得到行为分析结果。
更进一步地说,行为分析引擎,包括:行为分析句柄,与报文检测句柄一一对应,根据对应的物联协议及对应的报文检测句柄输出的报文解析结果进行行为分析,得到行为特征;行为特征分类分析层,基于行为特征及其对应的权重标签,得到行为汇总结果,并基于预设阈值判断行为汇总结果是否属于异常行为,得到行为分析结果。
需要说明的是,在将报文输入至行为分析模型之前,还包括:基于物联网协议,配置行为分析引擎,即配置行为分析句柄。比如,待检测报文类型包括XMPP报文和MQTT报文,则对应配置XMPP行为分析句柄和MQTT行为分析句柄,基于XMPP报文检测句柄得到报文解析结果后,将其发送至XMPP行为分析句柄进行行为分析。
在一个可选实施例中,报文包括XMPP报文;报文对应的物联网协议包括是否采用安全传输层协议、密码字段是否加密、弱密码检测是否成功、对目的IP的访问速率是否超过预设访问阈值和XMPP实体ID的认证速率是否超过预设认证阈值中的至少一个。举例而言,处理XMPP报文的XMPP行为分析句柄可以通过XMP报文检测句柄直接引导,并根据XMPP协议的内容进行计算分析,比如是否采用TLS ,密码字段是否加密/弱密码检测是否成功,对目的IP的访问速率是否超过访问阈值,对于给定XMPP实体ID(Jabber ID,JID)的认证速率是否超过认证阈值。需要说明的是,不同物联网协议的行为分析句柄可以有针对性的对自身协议及预定义行为进行行为分析。
需要补充的是,行为特征包括弱密码(Weak Password)、拒绝服务(DDOS)、无认证(Miss Authentication)、无效传输 (Undeliverable Message)、明文传输 (NoEncryption)、放大攻击 (Packet Amplification)、IP地址欺骗 (IP Address Spoofing)、重复尝试 (Repeated attempts)和设置敏感信息 (Sensitive Data Set)。
在基于行为分析句柄得到行为特征之后,利用行为特征分类分析层,基于行为特征及其对应的权重标签,得到行为汇总结果,并基于预设阈值判断行为汇总结果是否属于异常行为,即判断对应报文的风险等级,从而得到行为分析结果。需要说明的是,通过将各种行为特征根据其所属类别、权重标签进行计算汇总,然后通过预设阈值和/或其他检测引擎对其进行裁决,以判断此次行为是否属于异常行为。另外,异常行为可以是本次报文,比如,被弱密码库检测出本次报文含有弱密码;再比如,本次报文为在先持续报文的累计效应;再比如,XMPP报文对于给定JID的认证速率超过预定义的阈值。
在一个可选实施例中,行为汇总结果w(x),表示为:
Figure 152842DEST_PATH_IMAGE001
其中,x为某种物联网协议的行为分析句柄得到的行为特征集合,可能为本***定义的行为特征中的一种或几种;w(x)表示依次累加检测出的行为特征在***定义的行为特征之上的危险权重之和。
k为本***中定义的行为特征,包括以下9种:
Figure 617321DEST_PATH_IMAGE002
另外,f(k, x)表示根据***定义的行为特征k计算检测出的行为特征集合x的危险权重,具体表示为:
Figure 614096DEST_PATH_IMAGE003
其中,x表示为某种物联网协议的行为分析句柄得到的行为特征集合,可能为本***定义的行为特征中的一种或几种。k表示本***中定义的行为特征包括上述9种,a(k, x)表示为某种物联网协议被识别出的行为特征集合x是否包含***定义的行为特征:
Figure 138619DEST_PATH_IMAGE004
c(k,x)表示识别出的物联网行为特征集合x对于***定义的行为特征k需要叠加的危险权重:
Figure 158527DEST_PATH_IMAGE005
在一个可选实施例中,行为分析结果risk,表示为:
Figure 426697DEST_PATH_IMAGE006
举例而言,以一个物联网风险等级的计算实例为例,此示例在某一数据流深度报文检测中,发现此数据流采用了CoAP协议,具有弱密码、放大攻击,明文传输的行为特征,则其最终的风险等级计算如下:
x = { “Weak Password”, “No Encryption”, “Packet Amplification”}
w(x) = (10×a(“Weak Password”, x) + 0 + 0 + 0 + (10 + c(“NoEncryption”,x) × a(“No Encryption”, x)) + 5×a(“Packet Amplification”, x) +0 + 0 + 0) = (10 +(10 + 10× 1)+ 5)=35
risk = 10
在一个可选实施例中,行为分析模型,还包括:基于行为分析结果,调用对应物联网协议的异常行为记录句柄,将裁定为异常行为的报文及其对应的五元组写入异常行为数据库;其中,五元组包括源IP、目的IP、源端口、目的端口和对应物联网协议。应当注意,通过将异常行为写入异常行为数据库,以供后续显示、溯源和搜索。
另外,新增的物联网协议可以在初始化阶段注册自身的报文检测句柄、行为分析句柄和异常行为记录句柄,以使整个***具有良好的可扩展性。
在一个可选实施例中,在得到行为分析模型输出的行为分析结果之后,包括:根据行为分析结果,确定是否上报异常行为日志。
更进一步地说,根据行为分析结果,确定是否上报异常行为日志,还包括:基于行为分析结果和预设异常行为等级分配规则,确定是否上报异常行为日志,并基于用户预先配置执行相应动作;其中,动作包括丢弃、阻断、通过、限制用户访问数目和探测源IP有效性中的至少一种。
需要补充的是,异常行为等级分配规则包括弱密码(Weak Password)对应高危险程度、拒绝服务(DDOS)对应用中危险程度、无认证(Miss Authentication)对应用中危险程度、无效传输 (Undeliverable Message)对应用低危险程度、明文传输 (No Encryption)对应用中危险程度、放大攻击 (Packet Amplification)对应用中危险程度、IP地址欺骗(IP Address Spoofing)对应用中危险程度、重复尝试 (Repeated attempts)对应用低危险程度和设置敏感信息 (Sensitive Data Set)对应用中危险程度。
应当注意的是,弱密码包括但不局限于默认密码,明文密码,匿名用户以及弱密码库的检测等;不同物联网协议对于DDOS的检测不尽相同,比如从某一源IP发出分连接访问速率超过阈值,再比如连接创建的速率超过阈值,再比如连接认证的速率超过阈值,再比如访问某一资源的速率超过阈值;不同类别或者多次DDOS攻击的行为计算进行累加;设置敏感信息包括但不局限于设置/更改Admin 密码和设置端口转发。
综上所述,本发明实施例基于网络层获取传输层检测的报文,并利用行为分析模型基于物联网协议及权重标签对进行行为分析,得到行为分析结果,以针对不同物联网协议进行定制化行为分析,提高对物联网应用的风险行为检测正确率, 减少误报率;另外,风险分析将不同的行为分析结果纳入一个统一的计算框架,以统筹考虑各种危险行为的潜在风险,并充分考虑了不同行为之间的相关性,最终得到一个可量化的风险评估结果,进而进一步提高风险行为检测的准确性。
下面对本发明提供的基于深度报文检测的物联网行为分析***进行描述,下文描述的基于深度报文检测的物联网行为分析***与上文描述的基于深度报文检测的物联网行为分析方法可相互对应参照。
图3示出了一种基于深度报文检测的物联网行为分析***的结构示意图,该***包括:
报文获取模块31,接收传输层发送的报文,报文为传输层基于网络层发送的信息进行检测得到的;
行为分析模块32,将报文输入至行为分析模型中,得到行为分析模型输出的行为分析结果;其中,行为分析模型用于基于报文及报文对应的物联网协议和权重标签得到的行为特征,进行异常行为分析。
具体而言,报文获取模块31,包括:数据获取单元,接收传输层发送的报文,报文为传输层基于网络层发送的信息进行检测得到的。需要说明的是,报文包括物联网协议报文,具体可以包括XMPP报文、MQTT报文、Onvif报文、CoAP报文和UPnP报文等物联网协议中的至少一种,下文仅以XMPP和MQTT作为示例,其中,XMPP (Extensible Messaging andPresence Protocol)为可扩展通讯和表示协议,表示一个开源形式组织产生的网络即时通信协议;MQTT(Message Queuing Telemetry Transport )为消息队列遥测传输,表示由IBM开发的即时通讯协议。
行为分析模块32,包括:数据输入单元,将报文输入至行为分析模型中,行为分析模型单元,基于输入的报文进行行为分析,得到行为分析结果;其中,行为分析模型用于基于报文及报文对应的物联网协议和权重标签得到的行为特征,进行异常行为分析;数据输出单元,将行为分析模型单元得到的行为分析结果输出。
更进一步地说,行为分析模型单元,包括:深度报文检测引擎子单元,基于输入的报文对应的物联网协议,选择相应报文检测句柄进行解析,得到报文解析结果;行为分析引擎子单元,基于报文解析结果,结合相应物联网协议和相应权重标签进行分析,得到行为分析结果。
需要说明的是,行为分析模块32,还包括:报文检测句柄配置单元,基于物联网协议,配置深度报文检测引擎,即配置报文检测句柄。比如,待检测报文类型包括XMPP报文和MQTT报文,则对应配置XMPP报文检测句柄和MQTT报文检测句柄,当输入报文为XMPP报文时,仅有XMPP报文检测句柄能够正确解析报文内容,并依此识别对应报文为XMPP报文,并将报文解析结果发送至行为分析引擎中。
行为分析引擎子单元,包括:行为分析句柄孙单元,与报文检测句柄一一对应,根据对应的物联协议及对应的报文检测句柄输出的报文解析结果进行行为分析,得到行为特征;行为特征分类分析孙单元,基于行为特征及其对应的权重标签,得到行为汇总结果,并基于预设阈值判断行为汇总结果是否属于异常行为,得到行为分析结果。
在一个可选实施例中,行为分析模型单元,还包括:行为分析配置子单元,基于物联网协议,配置行为分析引擎,即配置行为分析句柄。比如,待检测报文类型包括XMPP报文和MQTT报文,则对应配置XMPP行为分析句柄和MQTT行为分析句柄,基于XMPP报文检测句柄得到报文解析结果后,将其发送至XMPP行为分析句柄进行行为分析。
在一个可选实施例中,报文包括XMPP报文;报文对应的物联网协议包括是否采用安全传输层协议、密码字段是否加密、弱密码检测是否成功、对目的IP的访问速率是否超过预设访问阈值和XMPP实体ID的认证速率是否超过预设认证阈值中的至少一个。
另外,行为特征包括弱密码(Weak Password)、拒绝服务(DDOS)、无认证(MissAuthentication)、无效传输 (Undeliverable Message)、明文传输 (No Encryption)、放大攻击 (Packet Amplification)、IP地址欺骗 (IP Address Spoofing)、重复尝试(Repeated attempts)和设置敏感信息 (Sensitive Data Set)。
在一个可选实施例中,行为分析模型单元,还包括:异常行为数据写入子单元,基于行为分析结果,调用对应物联网协议的异常行为记录句柄,将裁定为异常行为的报文及其对应的五元组写入异常行为数据库;其中,五元组包括源IP、目的IP、源端口、目的端口和对应物联网协议。应当注意,通过将异常行为写入异常行为数据库,以供后续显示、溯源和搜索。
另外,新增的物联网协议可以在初始化阶段注册自身的报文检测句柄、行为分析句柄和异常行为记录句柄,以使整个***具有良好的可扩展性。
在一个可选实施例中,行为分析模型单元,还包括:日志上报子单元,根据行为分析结果,确定是否上报异常行为日志。
更进一步地说,日志上报子单元,包括:日志上报孙单元,基于行为分析结果和预设异常行为等级分配规则,确定是否上报异常行为日志;动作执行孙单元,基于用户预先配置执行相应动作;其中,动作包括丢弃、阻断、通过、限制用户访问数目和探测源IP有效性中的至少一种。
综上所述,本发明实施例通过报文获取模块基于网络层获取传输层检测的报文,并通过行为分析模块利用行为分析模型基于物联网协议及权重标签对进行行为分析,得到行为分析结果,以针对不同物联网协议进行定制化行为分析,提高对物联网应用的风险行为检测正确率, 减少误报率;另外,风险分析将不同的行为分析结果纳入一个统一的计算框架,以统筹考虑各种危险行为的潜在风险,并充分考虑了不同行为之间的相关性,最终得到一个可量化的风险评估结果,进而进一步提高风险行为检测的准确性。
图4示例了一种电子设备的实体结构示意图,如图4所示,该电子设备可以包括:处理器(processor)41、通信接口(Communications Interface)42、存储器(memory)43和通信总线44,其中,处理器41,通信接口42,存储器43通过通信总线44完成相互间的通信。处理器41可以调用存储器43中的逻辑指令,以执行基于深度报文检测的物联网行为分析方法,该方法包括:接收传输层发送的报文,报文为传输层基于网络层发送的信息进行检测得到的;将报文输入至行为分析模型中,得到行为分析模型输出的行为分析结果;其中,行为分析模型用于基于报文及报文对应的物联网协议和权重标签得到的行为特征,进行异常行为分析。
此外,上述的存储器43中的逻辑指令可以通过软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
又一方面,本发明还提供一种非暂态计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现以执行上述各方法提供的基于深度报文检测的物联网行为分析方法,该方法包括:接收传输层发送的报文,报文为传输层基于网络层发送的信息进行检测得到的;将报文输入至行为分析模型中,得到行为分析模型输出的行为分析结果;其中,行为分析模型用于基于报文及报文对应的物联网协议和权重标签得到的行为特征,进行异常行为分析。
以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下,即可以理解并实施。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件。基于这样的理解,上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在计算机可读存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行各个实施例或者实施例的某些部分所述的方法。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。

Claims (10)

1.一种基于深度报文检测的物联网行为分析方法,其特征在于,包括:
接收传输层发送的报文,所述报文为所述传输层基于网络层发送的信息进行检测得到的;
将所述报文输入至行为分析模型中,得到所述行为分析模型输出的行为分析结果;其中,所述行为分析模型用于基于报文及所述报文对应的物联网协议和权重标签得到的行为特征,进行异常行为分析。
2.根据权利要求1所述的基于深度报文检测的物联网行为分析方法,其特征在于,所述行为分析模型,包括:
深度报文检测引擎,基于输入的报文对应的物联网协议,选择相应报文检测句柄进行解析,得到报文解析结果;
行为分析引擎,基于所述报文解析结果,结合相应物联网协议和相应权重标签进行分析,得到行为分析结果。
3.根据权利要求2所述的基于深度报文检测的物联网行为分析方法,其特征在于,所述行为分析引擎,包括:
行为分析句柄,与所述报文检测句柄一一对应,根据对应的物联协议及对应的报文检测句柄输出的报文解析结果进行行为分析,得到行为特征;
行为特征分类分析层,基于所述行为特征及其对应的权重标签,得到行为汇总结果,并基于预设阈值判断所述行为汇总结果是否属于异常行为,得到行为分析结果。
4.根据权利要求1所述的基于深度报文检测的物联网行为分析方法,其特征在于,所述报文包括物联网协议报文。
5.根据权利要求2所述的基于深度报文检测的物联网行为分析方法,其特征在于,所述行为分析模型,包括:
基于所述行为分析结果,调用对应物联网协议的异常行为记录句柄,将裁定为异常行为的报文及其对应的五元组写入异常行为数据库;其中,所述五元组包括源IP、目的IP、源端口、目的端口和对应物联网协议。
6.根据权利要求1所述的基于深度报文检测的物联网行为分析方法,其特征在于,在所述得到所述行为分析模型输出的行为分析结果之后,包括:
根据所述行为分析结果,确定是否上报异常行为日志。
7.根据权利要求6所述的基于深度报文检测的物联网行为分析方法,其特征在于,所述根据所述行为分析结果,确定是否上报异常行为日志,还包括:
基于所述行为分析结果和预设异常行为等级分配规则,确定是否上报异常行为日志,并基于用户预先配置执行相应动作;其中,所述动作包括丢弃、阻断、通过、限制用户访问数目和探测源IP有效性中的至少一种。
8.一种基于深度报文检测的物联网行为分析***,其特征在于,包括:
报文获取模块,接收传输层发送的报文,所述报文为所述传输层基于网络层发送的信息进行检测得到的;
行为分析模块,将所述报文输入至行为分析模型中,得到所述行为分析模型输出的行为分析结果;其中,所述行为分析模型用于基于报文及所述报文对应的物联网协议和权重标签得到的行为特征,进行异常行为分析。
9.一种电子设备,包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时实现如权利要求1至7任一项所述基于深度报文检测的物联网行为分析方法的步骤。
10.一种非暂态计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1至6任一项所述基于深度报文检测的物联网行为分析方法的步骤。
CN202210401399.9A 2022-04-18 2022-04-18 基于深度报文检测的物联网行为分析方法及*** Active CN114513369B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210401399.9A CN114513369B (zh) 2022-04-18 2022-04-18 基于深度报文检测的物联网行为分析方法及***

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210401399.9A CN114513369B (zh) 2022-04-18 2022-04-18 基于深度报文检测的物联网行为分析方法及***

Publications (2)

Publication Number Publication Date
CN114513369A true CN114513369A (zh) 2022-05-17
CN114513369B CN114513369B (zh) 2022-07-08

Family

ID=81555184

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210401399.9A Active CN114513369B (zh) 2022-04-18 2022-04-18 基于深度报文检测的物联网行为分析方法及***

Country Status (1)

Country Link
CN (1) CN114513369B (zh)

Citations (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102420830A (zh) * 2010-12-16 2012-04-18 北京大学 一种p2p协议类型识别方法
CN108476208A (zh) * 2015-12-28 2018-08-31 亚马逊技术股份有限公司 多路径传输设计
CN109995740A (zh) * 2018-01-02 2019-07-09 国家电网公司 基于深度协议分析的威胁检测方法
CN110401624A (zh) * 2018-04-25 2019-11-01 全球能源互联网研究院有限公司 源网荷***交互报文异常的检测方法及***
CN110417675A (zh) * 2019-07-29 2019-11-05 广州竞远安全技术股份有限公司 一种soc下高性能探针的网络分流方法、装置及***
CN111049843A (zh) * 2019-12-18 2020-04-21 国网浙江省电力有限公司宁波供电公司 一种智能变电站网络异常流量分析方法
CN111163043A (zh) * 2018-11-08 2020-05-15 全球能源互联网研究院有限公司 一种源网荷***实时交互协议深度解析方法和***
CN111478940A (zh) * 2020-03-03 2020-07-31 视联动力信息技术股份有限公司 一种数据处理的方法和装置
CN113132297A (zh) * 2019-12-30 2021-07-16 北京国双科技有限公司 数据泄露的检测方法及装置

Patent Citations (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102420830A (zh) * 2010-12-16 2012-04-18 北京大学 一种p2p协议类型识别方法
CN108476208A (zh) * 2015-12-28 2018-08-31 亚马逊技术股份有限公司 多路径传输设计
US20190363989A1 (en) * 2015-12-28 2019-11-28 Amazon Technologies, Inc. Multi-path transport design
CN109995740A (zh) * 2018-01-02 2019-07-09 国家电网公司 基于深度协议分析的威胁检测方法
CN110401624A (zh) * 2018-04-25 2019-11-01 全球能源互联网研究院有限公司 源网荷***交互报文异常的检测方法及***
CN111163043A (zh) * 2018-11-08 2020-05-15 全球能源互联网研究院有限公司 一种源网荷***实时交互协议深度解析方法和***
CN110417675A (zh) * 2019-07-29 2019-11-05 广州竞远安全技术股份有限公司 一种soc下高性能探针的网络分流方法、装置及***
CN111049843A (zh) * 2019-12-18 2020-04-21 国网浙江省电力有限公司宁波供电公司 一种智能变电站网络异常流量分析方法
CN113132297A (zh) * 2019-12-30 2021-07-16 北京国双科技有限公司 数据泄露的检测方法及装置
CN111478940A (zh) * 2020-03-03 2020-07-31 视联动力信息技术股份有限公司 一种数据处理的方法和装置

Also Published As

Publication number Publication date
CN114513369B (zh) 2022-07-08

Similar Documents

Publication Publication Date Title
Karatas et al. Increasing the performance of machine learning-based IDSs on an imbalanced and up-to-date dataset
US11750631B2 (en) System and method for comprehensive data loss prevention and compliance management
Aljawarneh et al. Anomaly-based intrusion detection system through feature selection analysis and building hybrid efficient model
US11785040B2 (en) Systems and methods for cyber security alert triage
CN108768943B (zh) 一种检测异常账号的方法、装置及服务器
US20230123314A1 (en) Detecting and mitigating attacks using forged authentication objects within a domain
US20230118388A1 (en) Detecting and mitigating golden ticket attacks within a domain
US10193915B2 (en) Computerized system and method for automatically determining malicious IP clusters using network activity data
US20220377093A1 (en) System and method for data compliance and prevention with threat detection and response
CN110798472B (zh) 数据泄露检测方法与装置
CN108471429B (zh) 一种网络攻击告警方法及***
CN108833186B (zh) 一种网络攻击预测方法及装置
US20100299292A1 (en) Systems and Methods for Application-Level Security
CN111786950A (zh) 基于态势感知的网络安全监控方法、装置、设备及介质
Bagui et al. Machine learning based intrusion detection for IoT botnet
US20230362200A1 (en) Dynamic cybersecurity scoring and operational risk reduction assessment
CN111049786A (zh) 一种网络攻击的检测方法、装置、设备及存储介质
EP3343421A1 (en) System to detect machine-initiated events in time series data
US20230283641A1 (en) Dynamic cybersecurity scoring using traffic fingerprinting and risk score improvement
CN111049783A (zh) 一种网络攻击的检测方法、装置、设备及存储介质
CN111885007A (zh) 信息溯源方法、装置、***及存储介质
CN113518042A (zh) 一种数据处理方法、装置、设备及存储介质
Seewald et al. On the detection and identification of botnets
CN115378619A (zh) 敏感数据访问方法及电子设备、计算机可读存储介质
CN117478403A (zh) 一种全场景网络安全威胁关联分析方法及***

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant