CN110048905B - 物联网设备通信模式识别方法及装置 - Google Patents
物联网设备通信模式识别方法及装置 Download PDFInfo
- Publication number
- CN110048905B CN110048905B CN201910232482.6A CN201910232482A CN110048905B CN 110048905 B CN110048905 B CN 110048905B CN 201910232482 A CN201910232482 A CN 201910232482A CN 110048905 B CN110048905 B CN 110048905B
- Authority
- CN
- China
- Prior art keywords
- internet
- communication mode
- interface function
- flow data
- communication
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 230000006854 communication Effects 0.000 title claims abstract description 222
- 238000004891 communication Methods 0.000 title claims abstract description 218
- 238000000034 method Methods 0.000 title claims abstract description 40
- 230000006870 function Effects 0.000 claims description 98
- 239000011159 matrix material Substances 0.000 claims description 15
- 238000004364 calculation method Methods 0.000 claims description 8
- 238000012216 screening Methods 0.000 claims description 8
- 230000006855 networking Effects 0.000 claims 1
- 230000006399 behavior Effects 0.000 description 9
- 230000008569 process Effects 0.000 description 4
- 238000010586 diagram Methods 0.000 description 3
- 230000003993 interaction Effects 0.000 description 3
- 238000012545 processing Methods 0.000 description 3
- 206010000117 Abnormal behaviour Diseases 0.000 description 2
- 238000013459 approach Methods 0.000 description 2
- 230000001413 cellular effect Effects 0.000 description 2
- 238000004590 computer program Methods 0.000 description 2
- 238000012217 deletion Methods 0.000 description 2
- 230000037430 deletion Effects 0.000 description 2
- 238000012544 monitoring process Methods 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 238000003909 pattern recognition Methods 0.000 description 2
- 230000002159 abnormal effect Effects 0.000 description 1
- 230000005856 abnormality Effects 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 230000036541 health Effects 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012806 monitoring device Methods 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/08—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
- H04L43/0876—Network utilisation, e.g. volume of load or congestion level
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/16—Threshold monitoring
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/12—Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computing Systems (AREA)
- Computer Security & Cryptography (AREA)
- General Health & Medical Sciences (AREA)
- Medical Informatics (AREA)
- Environmental & Geological Engineering (AREA)
- Health & Medical Sciences (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Telephonic Communication Services (AREA)
Abstract
本发明实施例提供一种物联网设备通信模式识别及装置,属于物联网技术领域。包括:获取物联网设备的流量数据,并获取物联网设备的流量数据内的接口函数关键字集合;计算接口函数关键字集合与每一通信模式对应的接口函数关键字集合之间的占比,若存在大于第一预设阈值的占比,则根据大于第一预设阈值的占比所对应的通信模式,确定物联网设备的流量数据的通信模式。由于实现了物联网设备通信模式的识别,从而为物联网设备的通信行为建模与安全分析,以及定位潜在网络威胁提供了基础。
Description
技术领域
本发明实施例涉及物联网技术领域,尤其涉及一种物联网设备通信模式识别方法及装置。
背景技术
目前物联网的相关应用越来越普及,广泛应用在智能家居、智能监控及智能穿戴等领域。对于不同的物联网设备,其与其它设备或平台进行连接的方式各不相同,可以通过蓝牙、蜂窝网或WIFI等方式进行连接。在目前的物联网环境中,大量的设备与平台都直接暴露在互联网中,包括路由器、监控设备,甚至还包括大量直接关系到人身健康、安全的医疗设备。在这种薄弱的安全环境下,一方面设备与平台的漏洞一旦被攻击者利用,将会造成数据泄露、隐私被盗、设备故障等严重后果;另一方面,若攻击者劫持物联网设备,并使用分布式拒绝服务等方式进行攻击,则会对互联网基础通信以及其它平台造成严重损害。因此,现在急需一种识别物联网设备通信模式的方法,以区分物联网设备的正常行为及异常行为,避免设备以及与之相连的平台遭受攻击。
发明内容
为了解决上述问题,本发明实施例提供一种克服上述问题或者至少部分地解决上述问题的物联网设备通信模式识别方法及装置。
根据本发明实施例的第一方面,提供了一种物联网设备通信模式识别方法,包括:
获取物联网设备的流量数据,并获取物联网设备的流量数据内的接口函数关键字集合;
计算接口函数关键字集合与每一通信模式对应的接口函数关键字集合之间的占比,若存在大于第一预设阈值的占比,则根据大于第一预设阈值的占比所对应的通信模式,确定物联网设备的流量数据的通信模式。
根据本发明实施例的第二方面,提供了一种物联网设备通信模式识别装置,包括:
第一获取模块,用于获取物联网设备的流量数据;
第二获取模块,用于获取物联网设备的流量数据内的接口函数关键字集合;
第一计算模块,用于计算接口函数关键字集合与每一通信模式对应的接口函数关键字集合之间的占比;
第一确定模块,用于当存在大于第一预设阈值的占比时,则将大于第一预设阈值的占比所对应的通信模式作为物联网设备的流量数据的通信模式。
根据本发明实施例的第三方面,提供了一种电子设备,包括:
至少一个处理器;以及
与处理器通信连接的至少一个存储器,其中:
存储器存储有可被处理器执行的程序指令,处理器调用程序指令能够执行第一方面的各种可能的实现方式中任一种可能的实现方式所提供的物联网设备通信模式识别方法。
根据本发明的第四方面,提供了一种非暂态计算机可读存储介质,非暂态计算机可读存储介质存储计算机指令,计算机指令使计算机执行第一方面的各种可能的实现方式中任一种可能的实现方式所提供的物联网设备通信模式识别方法。
本发明实施例提供的物联网设备通信模式识别方法及装置,通过获取物联网设备的流量数据,并获取物联网设备的流量数据内的接口函数关键字集合。计算接口函数关键字集合与每一通信模式对应的接口函数关键字集合之间的占比,若存在大于第一预设阈值的占比,则根据大于第一预设阈值的占比所对应的通信模式,确定物联网设备的流量数据的通信模式。由于实现了物联网设备通信模式的识别,从而为物联网设备的通信行为建模与安全分析,以及定位潜在网络威胁提供了基础。
应当理解的是,以上的一般描述和后文的细节描述是示例性和解释性的,并不能限制本发明实施例。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的一种物联网设备通信模式识别方法的流程示意图;
图2为本发明实施例提供的一种物联网设备通信模式识别装置的结构示意图;
图3为本发明实施例提供的一种电子设备的框图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
为了避免设备以及与之相连的平台遭受攻击,需要监测物联网设备的行为,及时发现异常。通过分析设备与平台进行通信时调用接口及服务,以及数据包中的部分信息,目前可以识别一部分物联网设备的类型与型号信息,也可以识别物联网云平台在通信中所提供的功能。但这些还远远不够,还需要对物联网设备的行为进行描述与识别,在此基础上区分设备的正常行为与异常行为,并及时进行相应的处理。
对于部分物联网设备,在进行通信时,会将其所使用的API接口(也即接口函数关键字)嵌入数据包中,或是利用应用层协议的不同字段进行标定。但是物联网设备数量庞大,种类繁多,并非所有的设备在通信中都会直接提供这些信息,并且很多设备在通信过程中会对报文进行加密,这大大提高了对物联网设备进行分析的难度。考虑到物联网设备在完成不同的功能时,其通信产生的流量数据也是不同的,故而可以通过采集、分析物联网设备的流量数据,将流量数据的时序特征与流量数据中的内容相结合,从而识别物联网设备的通信模式。
针对上述情形,结合上述说明,本发明实施例提供了一种物联网设备通信模式识别方法。参见图1,该方法包括:101、获取物联网设备的流量数据,并获取物联网设备的流量数据内的接口函数关键字集合;102、计算接口函数关键字集合与每一通信模式对应的接口函数关键字集合之间的占比,若存在大于第一预设阈值的占比,则根据大于第一预设阈值的占比所对应的通信模式,确定物联网设备的流量数据的通信模式。
其中,通信模式对应的是物联网设备与物联网云平台之间的通信过程,通信过程可以包括物联网设备的接入或删除,物联网设备的状态调试等,本发明实施例对此不作具体限定。由于每一通信模式对应的流量数据,其中包含的接口函数关键字均是可以确定的,从而在执行步骤102之前,还可以预先确定每一通信模式对应的接口函数关键字集合。需要说明的是,实际实施过程中,步骤101中获取的流量数据,可以为一个物联网设备在某一时间窗内的流量数据,从而后续可以确定该时间窗内流量数据的通信模式,本发明实施例对此不作具体限定。
另外,在102中,对于占比大于第一预设阈值的占比所对应的通信模式,可将最大占比值对应的通信模式,作为物联网设备的流量数据的通信模式。还需要说明的是,第一预设阈值可以设置为0,本发明实施例对此不作具体限定。相应地,在步骤102中,对于任一通信模式,在计算接口函数关键字集合与该通信模式对应的接口函数关键字集合之间的占比后,可直接将该占比与关键字判定阈值进行比较。若该占比小于该关键字判定阈值,则将该占比重置为小于0的数值,如-1,从而后续只需判断是否存在大于0的占比值。若存在大于0的占比值,则从大于0的占比值中选取最大占比值,并将最大占比值对应的通信模式作为物联网设备的流量数据的通信模式。
本发明实施例提供的方法,通过获取物联网设备的流量数据,并获取物联网设备的流量数据内的接口函数关键字集合。计算接口函数关键字集合与每一通信模式对应的接口函数关键字集合之间的占比,若存在大于第一预设阈值的占比,则根据大于第一预设阈值的占比所对应的通信模式,确定物联网设备的流量数据的通信模式。由于实现了物联网设备通信模式的识别,从而为物联网设备的通信行为建模与安全分析,以及定位潜在网络威胁提供了基础。
基于上述实施例的内容,作为一种可选实施例,本发明实施例不对获取物联网设备的流量数据的方式作具体限定,包括但不限于:获取网络中各种设备的流量数据,从各种设备的流量数据中筛选出物联网设备的流量数据。
基于上述实施例的内容,作为一种可选实施例,本发明实施例不对从各种设备的流量数据中筛选出物联网设备的流量数据的方式作具体限定,包括但不限于:从各种设备的流量数据中确定包含指定IP地址的流量数据,并作为物联网设备的流量数据,指定IP地址通过解析物联网云平台的数据中心的IP地址得到的;或者,从各种设备的流量数据中确定包含物联网设备号码段的流量数据,并作为物联网设备的流量数据。
具体地,第一种途径可以为通过筛选与物联网云平台所使用的IP地址通信的对端,过滤物联网设备。首先,对于物联网云平台,可以由DNS解析得到其数据中心的IP,形成云平台IP地址数据库(也即由指定IP地址组成的数据库)。对于源IP地址或目的IP地址属于该IP地址数据库的流量数据,可直接保留其数据包,并作为物联网设备的流量数据。第二种途径是通过识别蜂窝网流量的国际移动用户识别码,选取识别码号段属于物联网号段的流量数据包,并作为物联网设备的流量数据。其中,运营商在发行SIM卡时,会为每个用户发放唯一标识,即国际移动用户识别码,其中针对物联网设备和其它设备在号段上做了区分。
关于获取物联网设备的流量数据内的接口函数关键字集合的方式,本发明实施例对此不作具体限定,包括但不限于:对于通过上述两种途径筛选出的流量数据,可利用逐层解析的方式,从而以太网层到IP层,再到传输层和应用层,进行深度报文解析,从而得到物联网设备的流量数据内的接口函数关键字集合。
基于上述实施例的内容,作为一种可选实施例,在计算接口函数关键字集合与每一通信模式对应的接口函数关键字集合之间的占比之前,还包括:确定物联网设备的流量数据的通信形式;其中,每种通信形式下至少包括两种通信模式;
相应地,计算接口函数关键字集合与每一通信模式对应的接口函数关键字集合之间的占比,包括:计算接口函数关键字集合与通信形式下的每一通信模式对应的接口函数关键字集合之间的占比。其中,根据通信目标的数量,通信形式可以分为点对点通信与广播通信。
在识别流量数据的通信模式之前,还可以先确定流量数据的通信形式是点对点通信还是广播通信。例如,HTTP协议基本用于客户端与服务端之间点对点的通信,而在物联网常用的AMQP协议中,四种交换机类型中直连交换机和扇形交换机大多用于向多个通信对象的消息分发,主题交换机和头交换机的通信对象则由其用于匹配的协议头部具体字段决定,从而根据流量数据中的协议字段确定其使用的协议,并进一步根据其使用的协议可以确定其通信形式。相应地,基于上述实施例的内容,作为一种可选实施例,本发明实施例不对确定物联网设备的流量数据的通信形式的方式作具体限定,包括但不限于:若物联网设备的流量数据对应使用的应用层协议为点对点通信协议,则确定物联网设备的流量数据的通信形式为点对点通信,若物联网设备的流量数据对应使用的应用层协议为广播通信协议,则确定物联网设备的流量数据的通信形式为广播通信;
若物联网设备的流量数据对应使用的应用层协议为指定应用层协议,则获取物联网设备的流量数据中的关键字段,若指定应用层协议对应的点对点通信关键字段集合中包含流量数据中的关键字段,则确定物联网设备的流量数据的通信形式为点对点通信,若指定应用层协议对应的广播通信关键字段集合中包含流量数据中的关键字段,则确定物联网设备的流量数据的通信形式为广播通信,指定应用层协议为同时支持点对点通信协议及广播通信协议的应用层协议。
其中,在点对点通信形式下,典型的通信模式可以包括设备接入/删除、设备状态调试、数据流交互及设备行为控制。在每个物联网设备接入物联网云平台时,需要在平台端进行注册,同样在物联网设备停止使用脱离网络时,也需要在物理网云平台进行备份。当设备出现异常,如未进行数据回传或不产生正常心跳相应时,物理网云平台可获取该物理网设备的状态并进行调试。在某一物联网设备的正常使用中,物联网云平台可能与它进行特定的数据交互,并对物联网设备的行为进行控制。
在广播通信形式下,典型的通信模式包括批量数据上传、批量设备控制、设备固件维护及设备状态获取。广播通信常常用于需要与物联网设备之间进行批量交互,大部分物联网设备如传感器、监控设备等,经常会定时将数据上传到物联网云平台的数据中心,或者定时接受控制。此外,物联网云平台常常需要对物联网设备进行大范围的状态检查,如心跳检测,并定期对物联网设备的固件进行维护,如更新或升级。
基于上述实施例的内容,作为一种可选实施例,本发明实施例不对计算接口函数关键字集合与每一通信模式对应的接口函数关键字集合之间的占比的方式作具体限定,包括但不限于:计算接口函数关键字集合与每一通信模式对应的接口函数关键字集合之间交集的关键字数量,计算交集的关键字数量与接口函数关键字集合的关键字数量之间的比值,并作为接口函数关键字集合与每一通信模式对应的接口函数关键字集合之间的占比。
基于上述实施例的内容,作为一种可选实施例,计算接口函数关键字集合与每一通信模式对应的接口函数关键字集合之间的占比之后,还包括:若不存在大于第一预设阈值的占比,则计算物联网设备的流量数据的特征向量矩阵与每一聚类的特征向量矩阵之间的相似度,并确定最大相似度对应的聚类作为目标聚类,将目标聚类对应的通信模式作为物联网设备的流量数据的通信模式;其中,所有聚类是通过对不同样本物联网设备的流量数据的特征向量矩阵进行聚类后得到的,每一聚类预先确定有对应的通信模式。
具体地,可先获取不同样本物联网设备在样本时间段内每一时间窗的样本流量数据,并获取每一时间窗的样本流量数据的特征向量矩阵。其中,流量特征矩阵中的流量特征可以包括数据包量、数据包长度、数据包时间间隔等相关特征,可针对上下行流量进行提取后得到。其中,流量特征可参考如下表1:
表1
在得到不同样本物联网设备在样本时间段内每一时间窗的特征向量矩阵,可以对所有特征向量矩阵进行聚类,从而可以得到所有聚类。
由上述实施例的内容可知,在计算物联网设备的流量数据的特征向量矩阵与每种预设聚类的特征向量矩阵之间的相似度之前,还可以预先划分聚类,并确定每一聚类对应的通信模式。基于上述实施例的内容,作为一种可选实施例,本发明实施例不对划分聚类并确定聚类对应的通信模式的方式作具体限定,包括但不限于:获取不同的样本物联网设备在样本时间段中每一时间窗内的样本流量数据,并对所有时间窗内的样本流量数据进行聚类;根据每一聚类下每一时间窗内的样本流量数据,确定每一聚类对应的通信模式。
基于上述实施例的内容,作为一种可选实施例,本发明实施例不对根据每一聚类下每一时间窗内的样本流量数据,确定每一聚类对应的通信模式的方式作具体限定,包括但不限于:对于任一聚类,获取任一聚类下每一时间窗内的样本流量数据中的接口函数关键字集合,计算每一时间窗对应的接口函数关键字集合与每一通信模式对应的接口函数关键字集合之间的占比,并统计每一通信模式下占比大于第二预设阈值的时间窗数量,得到任一聚类在每一通信模式下的时间窗数量;确定任一聚类在每一通信模式下的时间窗数量中的最大时间窗数量,将最大时间窗数量对应的通信模式作为任一聚类对应的通信模式。
例如,若对不同样本物联网设备的样本流量数据的特征向量矩阵进行聚类后得到N种聚类,则对于第1种至第N种聚类中的任意第n种聚类(也即任一聚类),由上述实施例的内容可知,每种聚类是对同样本物联网设备在样本时间段内每一时间窗的特征向量矩阵进行聚类后得到的,而每一时间窗的特征向量矩阵取自每一时间窗的样本流量数据,从而对于第n种聚类,可以获取该聚类下每一时间窗的样本流量数据中的接口函数关键字集合。以通信模式一共包含4种为例,可先计算每一时间窗对应的接口函数关键字集合与第一种通信模式对应的接口函数关键字集合之间的占比。其中,计算占比的方式可参考上述实施例的内容,此处不再赘述。
在计算得到第n种聚类下每一时间窗对应的占比后,可统计在第一种通信模式下,第n种聚类下占比大于第二预设阈值的时间窗数量。同理,可计算每一时间窗对应的接口函数关键字集合与第二种通信模式对应的接口函数关键字集合之间的占比,并统计第二种通信模式下,第n种聚类下占比大于第二预设阈值的时间窗数量。第二种及第三种通信模式同理,通过上述过程可计算第n种聚类在每种通信模式下对应的时间窗总量,从中选取最大时间窗总量,并可将最大时间窗数量对应的通信模式作为第n种对应的通信模式。结合上述计算过程,在确定其它聚类的通信模式时可采用相同的计算过程,此处不再赘述。
基于上述实施例的内容,本发明实施例提供了一种物联网设备通信模式识别装置,该装置用于执行上述方法实施例中提供的物联网设备通信模式识别方法。参见图2,该装置包括:第一获取模块201,用于获取物联网设备的流量数据;第二获取模块202,用于获取物联网设备的流量数据内的接口函数关键字集合;第一计算模块203,用于计算接口函数关键字集合与每一通信模式对应的接口函数关键字集合之间的占比;第一确定模块204,用于当存在大于第一预设阈值的占比时,则将大于第一预设阈值的占比所对应的通信模式作为物联网设备的流量数据的通信模式。
基于上述实施例的内容,作为一种可选实施例,第一获取模块201包括:
获取单元,用于获取网络中各种设备的流量数据;
筛选单元,用于从各种设备的流量数据中筛选出物联网设备的流量数据。
基于上述实施例的内容,作为一种可选实施例,筛选单元,用于从各种设备的流量数据中确定包含指定IP地址的流量数据,并作为物联网设备的流量数据,指定IP地址通过解析物联网云平台的数据中心的IP地址得到的;或者,从各种设备的流量数据中确定包含物联网设备号码段的流量数据,并作为物联网设备的流量数据。
基于上述实施例的内容,作为一种可选实施例,该装置还包括:
第二确定模块,用于确定物联网设备的流量数据的通信形式;其中,每种通信形式下至少包括两种通信模式;
相应地,第一计算模块203,用于计算接口函数关键字集合与通信形式下的每一通信模式对应的接口函数关键字集合之间的占比。
基于上述实施例的内容,作为一种可选实施例,第二确定模块,用于当物联网设备的流量数据对应使用的应用层协议为点对点通信协议时,则确定物联网设备的流量数据的通信形式为点对点通信,若物联网设备的流量数据对应使用的应用层协议为广播通信协议,则确定物联网设备的流量数据的通信形式为广播通信;
若物联网设备的流量数据对应使用的应用层协议为指定应用层协议,则获取物联网设备的流量数据中的关键字段,若指定应用层协议对应的点对点通信关键字段集合中包含流量数据中的关键字段,则确定物联网设备的流量数据的通信形式为点对点通信,若指定应用层协议对应的广播通信关键字段集合中包含流量数据中的关键字段,则确定物联网设备的流量数据的通信形式为广播通信,指定应用层协议为同时支持点对点通信协议及广播通信协议的应用层协议。
基于上述实施例的内容,作为一种可选实施例,第一计算模块203,用于计算接口函数关键字集合与每一通信模式对应的接口函数关键字集合之间交集的关键字数量,计算交集的关键字数量与接口函数关键字集合的关键字数量之间的比值,并作为接口函数关键字集合与每一通信模式对应的接口函数关键字集合之间的占比。
基于上述实施例的内容,作为一种可选实施例,该装置还包括:
第二计算模块,用于当不存在大于第一预设阈值的占比时,则计算物联网设备的流量数据的特征向量矩阵与每一聚类的特征向量矩阵之间的相似度,并确定最大相似度对应的聚类作为目标聚类,将目标聚类对应的通信模式作为物联网设备的流量数据的通信模式;其中,所有聚类是通过对不同样本物联网设备的流量数据的特征向量矩阵进行聚类后得到的,每一聚类预先确定有对应的通信模式。
基于上述实施例的内容,作为一种可选实施例,该装置还包括:
第三获取模块,用于获取不同的样本物联网设备在样本时间段中每一时间窗内的样本流量数据,并对所有时间窗内的样本流量数据进行聚类;
第三确定模块,用于根据每一聚类下每一时间窗内的样本流量数据,确定每一聚类对应的通信模式。
基于上述实施例的内容,作为一种可选实施例,第三确定模块,用于对于任一聚类,获取任一聚类下每一时间窗内的样本流量数据中的接口函数关键字集合,计算每一时间窗对应的接口函数关键字集合与每一通信模式对应的接口函数关键字集合之间的占比,并统计每一通信模式下占比大于第二预设阈值的时间窗数量,得到任一聚类在每一通信模式下的时间窗数量;确定任一聚类在每一通信模式下的时间窗数量中的最大时间窗数量,将最大时间窗数量对应的通信模式作为任一聚类对应的通信模式。
本发明实施例提供的装置,通过获取物联网设备的流量数据,并获取物联网设备的流量数据内的接口函数关键字集合。计算接口函数关键字集合与每一通信模式对应的接口函数关键字集合之间的占比,若存在大于第一预设阈值的占比,则根据大于第一预设阈值的占比所对应的通信模式,确定物联网设备的流量数据的通信模式。由于实现了物联网设备通信模式的识别,从而为物联网设备的通信行为建模与安全分析,以及定位潜在网络威胁提供了基础。
图3示例了一种电子设备的实体结构示意图,如图3所示,该电子设备可以包括:处理器(processor)310、通信接口(Communications Interface)320、存储器(memory)330和通信总线340,其中,处理器310,通信接口320,存储器330通过通信总线340完成相互间的通信。处理器310可以调用存储器330中的逻辑指令,以执行如下方法:获取物联网设备的流量数据,并获取物联网设备的流量数据内的接口函数关键字集合;计算接口函数关键字集合与每一通信模式对应的接口函数关键字集合之间的占比,若存在大于第一预设阈值的占比,则根据大于第一预设阈值的占比所对应的通信模式,确定物联网设备的流量数据的通信模式。
此外,上述的存储器330中的逻辑指令可以通过软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,电子设备,或者网络设备等)执行本发明各个实施例方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
本发明实施例还提供一种非暂态计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现以执行上述各实施例提供的方法,例如包括:获取物联网设备的流量数据,并获取物联网设备的流量数据内的接口函数关键字集合;计算接口函数关键字集合与每一通信模式对应的接口函数关键字集合之间的占比,若存在大于第一预设阈值的占比,则根据大于第一预设阈值的占比所对应的通信模式,确定物联网设备的流量数据的通信模式。
以上所描述的装置实施例仅仅是示意性的,其中作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下,即可以理解并实施。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件。基于这样的理解,上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在计算机可读存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行各个实施例或者实施例的某些部分所述的方法。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
Claims (11)
1.一种物联网设备通信模式识别方法,其特征在于,包括:
获取物联网设备的流量数据,并获取所述物联网设备的流量数据内的接口函数关键字集合;
计算所述接口函数关键字集合与每一通信模式对应的接口函数关键字集合之间的占比,若存在大于第一预设阈值的占比,则根据大于所述第一预设阈值的占比所对应的通信模式,确定所述物联网设备的流量数据的通信模式;
所述计算所述接口函数关键字集合与每一通信模式对应的接口函数关键字集合之间的占比,包括:
计算所述接口函数关键字集合与每一通信模式对应的接口函数关键字集合之间交集的关键字数量,计算所述交集的关键字数量与所述接口函数关键字集合的关键字数量之间的比值,并作为所述接口函数关键字集合与每一通信模式对应的接口函数关键字集合之间的占比。
2.根据权利要求1所述的方法,其特征在于,所述获取物联网设备的流量数据,包括:
获取网络中各种设备的流量数据,从各种设备的流量数据中筛选出所述物联网设备的流量数据。
3.根据权利要求2所述的方法,其特征在于,所述从各种设备的流量数据中筛选出所述物联网设备的流量数据,包括:
从各种设备的流量数据中确定包含指定IP地址的流量数据,并作为所述物联网设备的流量数据,所述指定IP地址通过解析物联网云平台的数据中心的IP地址得到的;或者,
从各种设备的流量数据中确定包含物联网设备号码段的流量数据,并作为所述物联网设备的流量数据。
4.根据权利要求1所述的方法,其特征在于,所述计算所述接口函数关键字集合与每一通信模式对应的接口函数关键字集合之间的占比之前,还包括:
确定所述物联网设备的流量数据的通信形式;其中,每种通信形式下至少包括两种通信模式;
相应地,所述计算所述接口函数关键字集合与每一通信模式对应的接口函数关键字集合之间的占比,包括:
计算所述接口函数关键字集合与所述通信形式下的每一通信模式对应的接口函数关键字集合之间的占比。
5.根据权利要求4所述的方法,其特征在于,所述确定所述物联网设备的流量数据的通信形式,包括:
若所述物联网设备的流量数据对应使用的应用层协议为点对点通信协议,则确定所述物联网设备的流量数据的通信形式为点对点通信,若所述物联网设备的流量数据对应使用的应用层协议为广播通信协议,则确定所述物联网设备的流量数据的通信形式为广播通信;
若所述物联网设备的流量数据对应使用的应用层协议为指定应用层协议,则获取所述物联网设备的流量数据中的关键字段,若所述指定应用层协议对应的点对点通信关键字段集合中包含所述流量数据中的关键字段,则确定所述物联网设备的流量数据的通信形式为点对点通信,若所述指定应用层协议对应的广播通信关键字段集合中包含所述流量数据中的关键字段,则确定所述物联网设备的流量数据的通信形式为广播通信,所述指定应用层协议为同时支持点对点通信协议及广播通信协议的应用层协议。
6.根据权利要求1所述的方法,其特征在于,所述计算所述接口函数关键字集合与每一通信模式对应的接口函数关键字集合之间的占比之后,还包括:
若不存在大于所述第一预设阈值的占比,则计算所述物联网设备的流量数据的特征向量矩阵与每一聚类的特征向量矩阵之间的相似度,并确定最大相似度对应的聚类作为目标聚类,将目标聚类对应的通信模式作为所述物联网设备的流量数据的通信模式;其中,所有聚类是通过对不同样本物联网设备的流量数据的特征向量矩阵进行聚类后得到的,每一聚类预先确定有对应的通信模式。
7.根据权利要求6所述的方法,其特征在于,所述计算所述物联网设备的流量数据的特征向量矩阵与每种预设聚类的特征向量矩阵之间的相似度之前,还包括:
获取不同的样本物联网设备在样本时间段中每一时间窗内的样本流量数据,并对所有时间窗内的样本流量数据进行聚类;
根据每一聚类下每一时间窗内的样本流量数据,确定每一聚类对应的通信模式。
8.根据权利要求7所述的方法,其特征在于,所述根据每一聚类下每一时间窗内的样本流量数据,确定每一聚类对应的通信模式,包括:
对于任一聚类,获取所述任一聚类下每一时间窗内的样本流量数据中的接口函数关键字集合,计算每一时间窗对应的接口函数关键字集合与每一通信模式对应的接口函数关键字集合之间的占比,并统计每一通信模式下占比大于第二预设阈值的时间窗数量,得到所述任一聚类在每一通信模式下的时间窗数量;
确定所述任一聚类在每一通信模式下的时间窗数量中的最大时间窗数量,将所述最大时间窗数量对应的通信模式作为所述任一聚类对应的通信模式。
9.一种物联网设备通信模式识别装置,其特征在于,包括:
第一获取模块,用于获取物联网设备的流量数据;
第二获取模块,用于获取所述物联网设备的流量数据内的接口函数关键字集合;
第一计算模块,用于计算所述接口函数关键字集合与每一通信模式对应的接口函数关键字集合之间的占比;所述第一计算模块具体用于:
计算所述接口函数关键字集合与每一通信模式对应的接口函数关键字集合之间交集的关键字数量,计算所述交集的关键字数量与所述接口函数关键字集合的关键字数量之间的比值,并作为所述接口函数关键字集合与每一通信模式对应的接口函数关键字集合之间的占比;
第一确定模块,用于当存在大于第一预设阈值的占比时,则将大于所述第一预设阈值的占比所对应的通信模式作为所述物联网设备的流量数据的通信模式。
10.一种电子设备,其特征在于,包括:
至少一个处理器;以及
与所述处理器通信连接的至少一个存储器,其中:
所述存储器存储有可被所述处理器执行的程序指令,所述处理器调用所述程序指令能够执行如权利要求1至8任一所述的方法。
11.一种非暂态计算机可读存储介质,其特征在于,所述非暂态计算机可读存储介质存储计算机指令,所述计算机指令使所述计算机执行如权利要求1至8任一所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910232482.6A CN110048905B (zh) | 2019-03-26 | 2019-03-26 | 物联网设备通信模式识别方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910232482.6A CN110048905B (zh) | 2019-03-26 | 2019-03-26 | 物联网设备通信模式识别方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110048905A CN110048905A (zh) | 2019-07-23 |
| CN110048905B true CN110048905B (zh) | 2021-01-15 |
Family
ID=67275284
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910232482.6A Active CN110048905B (zh) | 2019-03-26 | 2019-03-26 | 物联网设备通信模式识别方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110048905B (zh) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112929451A (zh) * | 2020-07-08 | 2021-06-08 | 吴静昱 | 应用于5g和云计算的物联网设备处理方法及云计算中心 |
| CN116963136B (zh) * | 2023-09-21 | 2023-11-28 | 安普德(天津)科技股份有限公司 | 一种wlan协议数据过滤方法及系统 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105915546A (zh) * | 2016-06-16 | 2016-08-31 | 北京奇虎科技有限公司 | 一种安卓应用的流量监控方法和装置 |
| CN106250987A (zh) * | 2016-07-22 | 2016-12-21 | 无锡华云数据技术服务有限公司 | 一种机器学习方法、装置及大数据平台 |
| CN108985361A (zh) * | 2018-07-02 | 2018-12-11 | 北京金睛云华科技有限公司 | 一种基于深度学习的恶意流量检测实现方法和装置 |
| CN109150878A (zh) * | 2018-08-21 | 2019-01-04 | 郑州云海信息技术有限公司 | 一种云平台的访问限制的方法及装置 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2018122341A1 (en) * | 2016-12-29 | 2018-07-05 | AVAST Software s.r.o. | System and method for detecting unknown iot device types by monitoring their behavior |
-
2019
- 2019-03-26 CN CN201910232482.6A patent/CN110048905B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105915546A (zh) * | 2016-06-16 | 2016-08-31 | 北京奇虎科技有限公司 | 一种安卓应用的流量监控方法和装置 |
| CN106250987A (zh) * | 2016-07-22 | 2016-12-21 | 无锡华云数据技术服务有限公司 | 一种机器学习方法、装置及大数据平台 |
| CN108985361A (zh) * | 2018-07-02 | 2018-12-11 | 北京金睛云华科技有限公司 | 一种基于深度学习的恶意流量检测实现方法和装置 |
| CN109150878A (zh) * | 2018-08-21 | 2019-01-04 | 郑州云海信息技术有限公司 | 一种云平台的访问限制的方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN110048905A (zh) | 2019-07-23 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109951500B (zh) | 网络攻击检测方法及装置 | |
| CN109347827B (zh) | 网络攻击行为预测的方法、装置、设备及存储介质 | |
| CN108521408B (zh) | 抵抗网络攻击方法、装置、计算机设备及存储介质 | |
| EP3544250A1 (en) | Method and device for detecting dos/ddos attack, server, and storage medium | |
| US20200045073A1 (en) | Test system and method for identifying security vulnerabilities of a device under test | |
| CN109271793B (zh) | 物联网云平台设备类别识别方法及系统 | |
| CN103379099A (zh) | 恶意攻击识别方法及系统 | |
| CN111935172A (zh) | 基于网络拓扑的网络异常行为检测方法、计算机装置及计算机可读存储介质 | |
| CN108600003B (zh) | 一种面向视频监控网络的入侵检测方法、装置及系统 | |
| CN111800412A (zh) | 高级可持续威胁溯源方法、系统、计算机设备及存储介质 | |
| CN110048905B (zh) | 物联网设备通信模式识别方法及装置 | |
| CN107666468A (zh) | 网络安全检测方法和装置 | |
| CN106789486B (zh) | 共享接入的检测方法、装置、电子设备及计算机可读存储介质 | |
| CN112422554B (zh) | 一种检测异常流量外连的方法、装置、设备及存储介质 | |
| CN111740868A (zh) | 告警数据的处理方法和装置及存储介质 | |
| CN113726783A (zh) | 异常ip地址识别方法、装置、电子设备及可读存储介质 | |
| CN115242434A (zh) | 应用程序接口api的识别方法及装置 | |
| CN107332802B (zh) | 一种防火墙策略监控方法及装置 | |
| CN111131309A (zh) | 分布式拒绝服务检测方法、装置及模型创建方法、装置 | |
| CN113098852B (zh) | 一种日志处理方法及装置 | |
| CN108270753A (zh) | 注销用户账号的方法及装置 | |
| WO2016156433A1 (en) | Network operation | |
| CN113765850A (zh) | 物联网异常检测方法、装置、计算设备及计算机存储介质 | |
| CN114329449A (zh) | 系统安全检测方法和装置、存储介质及电子装置 | |
| CN110768934A (zh) | 网络访问规则的检查方法和装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |