CN111478966A - 物联网协议的解析方法、装置、计算机设备及存储介质 - Google Patents
物联网协议的解析方法、装置、计算机设备及存储介质 Download PDFInfo
- Publication number
- CN111478966A CN111478966A CN202010266179.0A CN202010266179A CN111478966A CN 111478966 A CN111478966 A CN 111478966A CN 202010266179 A CN202010266179 A CN 202010266179A CN 111478966 A CN111478966 A CN 111478966A
- Authority
- CN
- China
- Prior art keywords
- data packet
- protocol
- target
- target data
- internet
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000004458 analytical method Methods 0.000 title claims abstract description 17
- 238000003860 storage Methods 0.000 title claims abstract description 15
- 238000012545 processing Methods 0.000 claims abstract description 52
- 230000002159 abnormal effect Effects 0.000 claims abstract description 42
- 238000000034 method Methods 0.000 claims abstract description 28
- 238000001914 filtration Methods 0.000 claims description 9
- 238000004590 computer program Methods 0.000 claims description 7
- 238000013507 mapping Methods 0.000 claims description 6
- 238000013515 script Methods 0.000 description 11
- 238000012544 monitoring process Methods 0.000 description 10
- 230000005540 biological transmission Effects 0.000 description 7
- 230000005856 abnormality Effects 0.000 description 5
- 238000012986 modification Methods 0.000 description 3
- 230000004048 modification Effects 0.000 description 3
- 230000008569 process Effects 0.000 description 3
- 230000006399 behavior Effects 0.000 description 2
- 230000007547 defect Effects 0.000 description 2
- 238000013461 design Methods 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 230000006855 networking Effects 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 230000003068 static effect Effects 0.000 description 2
- 206010033799 Paralysis Diseases 0.000 description 1
- 230000002547 anomalous effect Effects 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 230000002950 deficient Effects 0.000 description 1
- 230000001627 detrimental effect Effects 0.000 description 1
- 238000005242 forging Methods 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/12—Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/66—Arrangements for connecting between networks having differing types of switching systems, e.g. gateways
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/22—Parsing or analysis of headers
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Health & Medical Sciences (AREA)
- Computing Systems (AREA)
- General Health & Medical Sciences (AREA)
- Medical Informatics (AREA)
- Computer Security & Cryptography (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明提供一种物联网协议的解析方法、装置、计算机设备及存储介质,该方法包括:创建不同协议对应的协议解析器,并存储数据包与协议解析器之间的匹配规则;所述协议解析器包括报文格式文件和事件处理文件;基于所述匹配规则,确定与物联网中的目标数据包相匹配的目标协议解析器;通过所述目标协议解析器对所述目标数据包进行基于所述报文格式文件的解析,获取所述目标数据包中特定字段的关键字;根据所述事件处理文件对所述特定字段的关键字进行处理,以确定所述目标数据包是否异常。本发明能够根据业务场景对不同协议解析器进行灵活地增加或者裁剪,同时可以监测物联网中的异常数据包,从而可以避免遭受恶意攻击,提高整个物联网的网络安全性。
Description
技术领域
本发明涉及物联网技术领域,具体涉及一种物联网协议的解析方法、装置、计算机设备及存储介质。
背景技术
电力物联网是指通过在电力生产、输送、消费、管理各环节,广泛部署具有一定感知能力、计算能力和执行能力的智能装置,实现信息可靠采集、安全传输、协同处理、统一服务的行业物联网。
目前电力工控系统在攻击监测方面只能监测网络层的攻击事件,无法监测到如篡改设备状态运行参数、伪造控制指令等针对电力工控系统业务异常操作的攻击行为,以及由于设备漏洞、交互协议实现缺陷导致的多个事件共同引发的组合攻击行为。
为此,针对终端复杂的攻击类型,如何提供一种安全可靠的物联网协议解析方案,成为本领域技术人员亟待解决的问题。
发明内容
本发明要解决的技术问题在于克服现有技术中的上述缺陷,从而提供一种效率更高、安全性更强的物联网协议的解析方法、装置计算机设备及存储介质。
根据本发明一个方面,提供一种物联网协议的解析方法,应用于边缘计算网关,包括如下步骤:
创建不同协议对应的协议解析器,并存储数据包与协议解析器之间的匹配规则;所述协议解析器包括报文格式文件和事件处理文件;
基于所述匹配规则,确定与物联网中的目标数据包相匹配的目标协议解析器;
通过所述目标协议解析器对所述目标数据包进行基于所述报文格式文件的解析,获取所述目标数据包中特定字段的关键字;
根据所述事件处理文件对所述特定字段的关键字进行处理,以确定所述目标数据包是否异常。
示例性地,所述创建不同协议对应的协议解析器,并存储数据包与协议解析器之间的匹配规则的步骤包括:
将与不同协议相关的报文格式文件和事件处理文件存储到对应协议解析器的目录下;所述报文格式文件用于描述与不同协议的数据包相对应的格式规则,所述事件处理文件用于描述与不同协议的数据包相对应的异常判断规则;
将不同类型的数据包与不同协议解析器之间的映射关系存储到所述边缘计算网关。
示例性地,所述基于所述匹配规则,确定与物联网中的目标数据包相匹配的目标协议解析器的步骤包括:
获取所述目标数据包中的包头信息和/或包尾信息;
根据所述包头信息和/或所述包尾信息确定与所述目标数据包相匹配的所述目标协议解析器。
示例性地,在所述基于所述匹配规则,确定与物联网中的目标数据包相匹配的目标协议解析器的步骤之前,还包括:
对物联网链路上的数据包进行过滤,以获取满足过滤条件的原始数据包;
复制所述原始数据包以作为所述目标数据包。
示例性地,所述根据所述事件处理文件对所述特定字段的关键字进行处理,以确定所述数据包是否异常的步骤包括:
判断所述关键字是否包含在所述特定字段的预设范围之内;
当所述关键字不包含在所述特定字段的预设范围之内时,确定所述数据包为异常数据包。
示例性地,在所述根据所述事件处理文件对所述关键字进行处理,以确定所述目标数据包是否异常的步骤之后,还包括:
根据所述目标数据包在统计周期内的发生次数确定所述数据包是否异常;
当所述目标数据包在统计周期内的发生次数超出预设阈值时,确定所述目标数据包为异常数据包。
示例性地,还包括:
生成并发送告警信息,所述告警信息中包含所述异常数据包。
根据本发明另一个方面,提供一种物联网协议的解析装置,包括如下步骤:
解析器创建单元,用于创建不同协议对应的协议解析器,并存储数据包与协议解析器之间的匹配规则;所述协议解析器包括报文格式文件和事件处理文件;
解析器匹配单元,用于基于所述匹配规则,确定与物联网中的目标数据包相匹配的目标协议解析器;
关键字获取单元,用于通过所述目标协议解析器对所述目标数据包进行基于所述报文格式文件的解析,获取所述目标数据包中特定字段的关键字;
异常判断单元,用于根据所述事件处理文件对所述特定字段的关键字进行处理,以确定所述目标数据包是否异常。
根据本发明又一个方面,提供一种计算机设备,包括存储器、处理器以及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现上述方法的步骤。
根据本发明再一个方面,提供一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现上述方法的步骤。
本发明技术方案,具有如下优点:
(1)本发明提供的物联网协议的解析方法、装置、计算机设备及存储介质,对于不同的协议开发不同的协议解析器,各个解析器独立工作,有利于新增协议的扩展,能够根据业务场景对不同协议解析器进行灵活地增加或者裁剪。进一步,本发明的协议解析器可以监测物联网中的异常数据包,从而可以避免遭受恶意攻击,提高整个物联网的网络安全性。
(2)本发明对于协议字段的解析可以通过报文格式脚本来定义,能够根据需求灵活设计解析的深度和颗粒度,当协议发生变更时,只需要修改脚本文件而不需要修改源代码,从而提高协议扩展效率。
(3)本发明可以通过编辑匹配规则文件实现对不同协议数据包的选择过滤,不需要通过程序代码进行判别,易于根据实际需要制定不同的数据过滤规则。
附图说明
为了更清楚地说明本发明具体实施方式或现有技术中的技术方案,下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施方式,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例1中物联网协议的解析方法的一个具体示例的流程图;
图2为本发明实施例2中物联网协议的解析装置的一个具体示例的原理框图;
图3为本发明实施例3中物联网协议的解析装置的硬件结构示意图。
具体实施方式
下面将结合附图对本发明的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
实施例1
本实施例提供一种物联网协议的解析方法,应用于边缘计算网关,包括如下步骤:
S100:创建不同协议对应的协议解析器,并存储数据包与协议解析器之间的匹配规则;所述协议解析器包括报文格式文件和事件处理文件。
本实施例可以针对使用不同协议的多个终端创建不同的协议解析器,并且制定物联网中的数据包与协议解析器之间的映射关系,从而顺利解析来自不同终端的数据。
本实施例中的协议解析器可以通过报文格式文件和事件处理文件创建。其中报文格式文件用于描述与不同协议的数据包相对应的格式规则,例如对应的数据包包含哪些字段,字段中的比特位代表哪些含义,不同字段之间的逻辑关系等。事件处理文件用于描述与不同协议的数据包相对应的异常判断规则,例如根据特定字段的具体数值是否在预设取值范围之内,或者根据特定类型的数据包在固定周期内的发送次数是否在预设次数的范围之内来判断对应的数据包是否异常。匹配规则用于规定不同类型的数据包与不同的协议解析器之间的映射关系。可以理解,当物联网中连接有多个终端设备时,每个终端设备发送的数据所遵循的协议可能各不相同,因此需要为不同协议的数据包指定不同的协议解析器。
S200:基于所述匹配规则,确定与物联网中的目标数据包相匹配的目标协议解析器。
例如匹配规则中规定了第一类型数据包对应第一协议解析器,第二类型数据包对应第二协议解析器,第三类型数据包对应第三协议解析器。当从物联网中接收到目标数据包时,就可以根据目标数据包的类型确定与其匹配的目标协议解析器。例如接收到的目标数据包为第二类型数据包,那么对应的协议解析器就是第二协议解析器。
S300:通过所述目标协议解析器对所述目标数据包进行基于所述报文格式文件的解析,获取所述目标数据包中特定字段的关键字。
协议解析器中的报文格式文件描述了该协议数据包对应的格式规则。本步骤根据目标协议解析器中包含的上述格式规则对目标数据包进行解析,从而获取目标数据包中特定字段的关键字。该特定字段可以为目标数据包中的一个或多个固定字段,该关键字可以为对应字段的具体取值,例如0或1组成的二进制代码。
S400:根据所述事件处理文件对所述特定字段的关键字进行处理,以确定所述目标数据包是否异常。
本实施例中的事件处理文件规定了异常判断规则,该异常判断规则可以是根据关键字进行判断。例如已知某固定字段中关键字的取值范围包括数值A、数值B和数值C,当解析出的该固定字段中的关键字的取值为数值D时,则此时关键字的取值该特定字段的预设取值范围之内,可以断定该数据包为异常数据包。
通过以上步骤,本实施例可以对于不同的协议开发不同的协议解析器,各个解析器独立工作,有利于新增协议的扩展,能够根据业务场景对不同协议解析器进行灵活地增加或者裁剪。进一步,本发明的协议解析器可以监测物联网中的异常数据包,从而可以避免遭受恶意攻击,提高整个物联网的网络安全性。
示例性地,所述步骤S100包括:
将与不同协议相关的报文格式文件和事件处理文件存储到对应协议解析器的目录下;将不同类型的数据包与不同协议解析器之间的映射关系存储到所述边缘计算网关。
例如当需要新增一个协议解析器X时,可以在源程序下新建关于协议解析器X的目录,在该目录下存储报文格式文件和事件处理文件,上述两个文件可以以脚本的形式存储,即报文格式脚本和事件处理脚本。其中报文格式脚本对协议格式字段进行定义和简单的逻辑判断,事件处理脚本规定了对解析后的协议字段进行异常判断监测的具体规则。
可以在边缘计算网关中进一步添加新增的协议解析器X和对应数据包的映射关系,并存储到匹配规则文件中。该匹配规则文件可以通过正则表达式的形式存储,例如根据协议报文特点对数据包头或者应用某些字段进行正则表达式设计,这样就可以对物联网中的数据进行过滤,使得不同的协议数据包正确流转到对应的协议解析器。
本实施例为新增协议解析器提供一个整体的处理框架,在该框架内只需调用对应的报文格式脚本和事件处理脚本就可以实现新增协议处理器的扩展。不必再针对每一个新增协议解析器重新编写程序,可以方便快捷地实现新增协议解析器地扩展。同时对于后期的协议更新、升级等情况,也只需要修改对应的报文格式脚本和事件处理脚本,无需对整个源程序进行大范围修改,因此可以提高新增协议的解析效率,并且避免因过多修改而造成的失误。
示例性地,所述步骤S200包括:
获取所述目标数据包中的包头信息和/或包尾信息;根据所述包头信息和/或所述包尾信息确定与所述目标数据包相匹配的所述目标协议解析器。
在接收到目标数据包的基础上,本步骤通过目标数据包中的一些可识别特征来确定对应的目标协议解析器。将包头信息和/或包尾信息作为可识别特征来确定目标协议解析器,有利于快速准确的从数据包中提取特征,提高协议解析器的匹配效率和匹配准确度。
示例性地,在步骤S200之前,还包括:
对物联网链路上的数据包进行过滤,以获取满足过滤条件的原始数据包;复制所述原始数据包以作为所述目标数据包。
本实施例中,目标数据包是通过对原始数据包进行复制得到的镜像数据。因此,本发明后续进行的数据包解析以及异常判断等步骤不会影响物联网中的数据传输过程,而是通过复制原始数据包后得到目标数据包,进而对目标数据包进行的后续监测。进一步,本实施例不必对物联网上的所有原始数据包都进行复制,可以通过设置过滤条件的方式选择性地复制需要监测的数据包,例如包含某个字段的数据包。
通过上述方式,本实施例能够在保证物联网传输速度,避免占用过多通信资源,并且可以选择性地对重点关注的数据包进行异常监测,可以在提高监测效率的同时保证物联网中传输数据的安全性。
示例性地,步骤S400包括:
判断所述关键字是否包含在所述特定字段的预设范围之内;当所述关键字不包含在所述特定字段的预设范围之内时,确定所述数据包为异常数据包。
可以理解,一个数据包中包含多个字段,例如版本字段、服务类型字段、偏移字段、协议字段、源地址字段、目的地址字段等。每个字段具有规定的长度和规定的取值范围,例如1100到1111之间。当一个数据包中每个字段对应的具体数值在规定的取值范围之内时,则该数据包可能是正常的;当一个数据包中某个字段对应的具体数值不在规定的取值范围之内时,则该数据包可能是异常的。
本步骤基于以上原则进行异常数据包的判断,主要针对畸形报文攻击。畸形报文攻击是通过向目标系统发送有缺陷的IP报文,例如随机选取IP报文的可选段并将其所有的服务比特值设为1,使得目标系统不得不花费额外的处理时间来分析资料包。当发动攻击的代理足够多时,受害系统将失去处理能力。已知的畸形报文攻击包括Ping of Death、Teardrop等。
本步骤通过对畸形报文攻击的监测,可以物联网数据传输的安全性,避免受到恶意攻击。
示例性地,在步骤S400之后,该方法还包括:
根据所述目标数据包在统计周期内的发生次数确定所述数据包是否异常;当所述目标数据包在统计周期内的发生次数超出预设次数阈值时,确定所述目标数据包为异常数据包。
本步骤适用于未通过关键字监测出异常的情况。某些攻击数据包的隐蔽性很高,该攻击数据包中每个字段的取值可能都是正常的,但是它可能会通过改变发送次数来占用网络资源,例如频繁不断地发送数据,从而引起网络故障甚至瘫痪。
本步骤基于上述考虑而针对目标数据包在统计周期内的发生次数进行异常监测。当发生次数高于预设次数阈值,或者是低于预设次数阈值时,确定该目标数据包为异常数据包。这样可以使得本发明对异常数据包的监测更加全面可靠,从而提高物联网的安全性。
示例性地,还包括:
生成并发送告警信息,所述告警信息中包含所述异常数据包。
如前所述,本实施例对原始数据包进行复制得到目标数据包,通过对目标数据包的监测,可以在不影响原始数据包正常传输的基础上实现异常监测。可以理解,对于已经确定为异常数据包的情况,可能会对系统运行造成危害,也可能不会造成危害。本实施例对于确定为异常数据包步兵直接进行处理,而是生成对应的告警信息,并将告警信息发送至设备终端或者是后台服务器,以供运维人员及时发现问题并采取相应的处理措施。这样一方面可以准确获取到所有的异常数据包信息,同时不会由于贸然处理而影响正常的系统,避免不必要的损失。
实施例2
本施例提供一种物联网协议的解析装置10,如图2所示,包括解析器创建单元11、解析器匹配单元12、关键字获取单元13和异常判断单元14。
其中:
解析器创建单元11用于创建不同协议对应的协议解析器,并存储数据包与协议解析器之间的匹配规则;所述协议解析器包括报文格式文件和事件处理文件;
解析器匹配单元12用于基于所述匹配规则,确定与物联网中的目标数据包相匹配的目标协议解析器;
关键字获取单元13用于通过所述目标协议解析器对所述目标数据包进行基于所述报文格式文件的解析,获取所述目标数据包中特定字段的关键字;
异常判断单元14用于根据所述事件处理文件对所述特定字段的关键字进行处理,以确定所述目标数据包是否异常。
本实施例可以对于不同的协议开发不同的协议解析器,各个解析器独立工作,有利于新增协议的扩展,能够根据业务场景对不同协议解析器进行灵活地增加或者裁剪。进一步,本发明的协议解析器可以监测物联网中的异常数据包,从而可以避免遭受恶意攻击,提高整个物联网的网络安全性。
实施例3
本施例提供一种计算机设备,如可以执行程序的智能手机、平板电脑、笔记本电脑、台式计算机、机架式服务器、刀片式服务器、塔式服务器或机柜式服务器(包括独立的服务器,或者多个服务器所组成的服务器集群)等。本实施例的计算机设备20至少包括但不限于:可通过系统总线相互通信连接的存储器21、处理器22,如图3所示,以执行以下操作:
创建不同协议对应的协议解析器,并存储数据包与协议解析器之间的匹配规则;所述协议解析器包括报文格式文件和事件处理文件;
基于所述匹配规则,确定与物联网中的目标数据包相匹配的目标协议解析器;
通过所述目标协议解析器对所述目标数据包进行基于所述报文格式文件的解析,获取所述目标数据包中特定字段的关键字;
根据所述事件处理文件对所述特定字段的关键字进行处理,以确定所述目标数据包是否异常。
需要指出的是,图3仅示出了具有组件21-22的计算机设备20,但是应理解的是,并不要求实施所有示出的组件,可以替代的实施更多或者更少的组件。
本实施例中,存储器21(即可读存储介质)包括闪存、硬盘、多媒体卡、卡型存储器(例如,SD或DX存储器等)、随机访问存储器(RAM)、静态随机访问存储器(SRAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、可编程只读存储器(PROM)、磁性存储器、磁盘、光盘等。在一些实施例中,存储器21可以是计算机设备20的内部存储单元,例如该计算机设备20的硬盘或内存。在另一些实施例中,存储器21也可以是计算机设备20的外部存储设备,例如该计算机设备20上配备的插接式硬盘,智能存储卡(Smart Media Card,SMC),安全数字(Secure Digital,SD)卡,闪存卡(Flash Card)等。当然,存储器21还可以既包括计算机设备20的内部存储单元也包括其外部存储设备。本实施例中,存储器21通常用于存储安装于计算机设备20的操作系统和各类应用软件,例如实施例二的物联网协议的解析装置10的程序代码等。此外,存储器21还可以用于暂时地存储已经输出或者将要输出的各类数据。
处理器22在一些实施例中可以是中央处理器(Central Processing Unit,CPU)、控制器、微控制器、微处理器、或其他数据处理芯片。该处理器22通常用于控制计算机设备20的总体操作。本实施例中,处理器22用于运行存储器21中存储的程序代码或者处理数据,例如运行物联网协议的解析装置10,以实现实施例一的物联网协议的解析方法。
实施例4
本实施例还提供一种计算机可读存储介质,如闪存、硬盘、多媒体卡、卡型存储器(例如,SD或DX存储器等)、随机访问存储器(RAM)、静态随机访问存储器(SRAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、可编程只读存储器(PROM)、磁性存储器、磁盘、光盘、服务器、App应用商城等等,其上存储有计算机程序,程序被处理器执行时实现相应功能。本实施例的计算机可读存储介质用于存储物联网协议的解析装置10,被处理器执行时实现实施例一的物联网协议的解析方法。
显然,上述实施例仅仅是为清楚地说明所作的举例,而并非对实施方式的限定。对于所属领域的普通技术人员来说,在上述说明的基础上还可以做出其它不同形式的变化或变动。这里无需也无法对所有的实施方式予以穷举。而由此所引伸出的显而易见的变化或变动仍处于本发明创造的保护范围之中。
Claims (10)
1.一种物联网协议的解析方法,应用于边缘计算网关,其特征在于,包括如下步骤:
创建不同协议对应的协议解析器,并存储数据包与协议解析器之间的匹配规则;所述协议解析器包括报文格式文件和事件处理文件;
基于所述匹配规则,确定与物联网中的目标数据包相匹配的目标协议解析器;
通过所述目标协议解析器对所述目标数据包进行基于所述报文格式文件的解析,获取所述目标数据包中特定字段的关键字;
根据所述事件处理文件对所述特定字段的关键字进行处理,以确定所述目标数据包是否异常。
2.根据权利要求1所述的解析方法,其特征在于,所述创建不同协议对应的协议解析器,并存储数据包与协议解析器之间的匹配规则的步骤包括:
将与不同协议相关的报文格式文件和事件处理文件存储到对应协议解析器的目录下;所述报文格式文件用于描述与不同协议的数据包相对应的格式规则,所述事件处理文件用于描述与不同协议的数据包相对应的异常判断规则;
将不同类型的数据包与不同协议解析器之间的映射关系存储到所述边缘计算网关。
3.根据权利要求1所述的解析方法,其特征在于,所述基于所述匹配规则,确定与物联网中的目标数据包相匹配的目标协议解析器的步骤包括:
获取所述目标数据包中的包头信息和/或包尾信息;
根据所述包头信息和/或所述包尾信息确定与所述目标数据包相匹配的所述目标协议解析器。
4.根据权利要求1所述的解析方法,其特征在于,在所述基于所述匹配规则,确定与物联网中的目标数据包相匹配的目标协议解析器的步骤之前,还包括:
对物联网链路上的数据包进行过滤,以获取满足过滤条件的原始数据包;
复制所述目标数据包以作为所述目标数据包。
5.根据权利要求1所述的解析方法,其特征在于,所述根据所述事件处理文件对所述特定字段的关键字进行处理,以确定所述数据包是否异常的步骤包括:
判断所述关键字是否包含在所述特定字段的预设范围之内;
当所述关键字不包含在所述特定字段的预设范围之内时,确定所述数据包为异常数据包。
6.根据权利要求5所述的解析方法,其特征在于,在所述根据所述事件处理文件对所述关键字进行处理,以确定所述目标数据包是否异常的步骤之后,还包括:
根据所述目标数据包在统计周期内的发生次数确定所述数据包是否异常;
当所述目标数据包在统计周期内的发生次数超出预设阈值时,确定所述目标数据包为异常数据包。
7.根据权利要求6所述的解析方法,其特征在于,还包括:
生成并发送告警信息,所述告警信息中包含所述异常数据包。
8.一种物联网协议的解析装置,其特征在于,包括:
解析器创建单元,用于创建不同协议对应的协议解析器,并存储数据包与协议解析器之间的匹配规则;所述协议解析器包括报文格式文件和事件处理文件;
解析器匹配单元,用于基于所述匹配规则,确定与物联网中的目标数据包相匹配的目标协议解析器;
关键字获取单元,用于通过所述目标协议解析器对所述目标数据包进行基于所述报文格式文件的解析,获取所述目标数据包中特定字段的关键字;
异常判断单元,用于根据所述事件处理文件对所述特定字段的关键字进行处理,以确定所述目标数据包是否异常。
9.一种计算机设备,包括存储器、处理器以及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现权利要求1至7任一项所述方法的步骤。
10.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1至7任一项所述方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010266179.0A CN111478966A (zh) | 2020-04-07 | 2020-04-07 | 物联网协议的解析方法、装置、计算机设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010266179.0A CN111478966A (zh) | 2020-04-07 | 2020-04-07 | 物联网协议的解析方法、装置、计算机设备及存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN111478966A true CN111478966A (zh) | 2020-07-31 |
Family
ID=71750707
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010266179.0A Pending CN111478966A (zh) | 2020-04-07 | 2020-04-07 | 物联网协议的解析方法、装置、计算机设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111478966A (zh) |
Cited By (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112312590A (zh) * | 2020-10-10 | 2021-02-02 | 腾讯科技(深圳)有限公司 | 一种设备通信协议识别方法和装置 |
| CN112399446A (zh) * | 2020-10-16 | 2021-02-23 | 云镝智慧科技有限公司 | 边缘网关通信方法、装置、计算机设备和存储介质 |
| CN112486139A (zh) * | 2020-11-12 | 2021-03-12 | 顶象科技有限公司 | 基于虚拟补丁的工业控制系统保护方法、装置、设备及介质 |
| CN113660267A (zh) * | 2021-08-17 | 2021-11-16 | 电子科技大学 | 一种针对IoT环境的僵尸网络检测的系统、方法及存储介质 |
| CN114006750A (zh) * | 2021-10-29 | 2022-02-01 | 北京顶象技术有限公司 | 异常操作的检测方法、装置和电子设备 |
| CN114070761A (zh) * | 2021-11-11 | 2022-02-18 | 北京轨道交通路网管理有限公司 | 协议报文检测方法、其装置及电子设备 |
| CN114095243A (zh) * | 2021-11-18 | 2022-02-25 | 许昌许继软件技术有限公司 | 一种基于配置的数据过滤方法 |
| CN114389837A (zh) * | 2021-12-07 | 2022-04-22 | 广东宜通衡睿科技有限公司 | 一种物联网终端的安全监测方法、装置、介质及设备 |
| CN114760256A (zh) * | 2022-04-14 | 2022-07-15 | 曙光网络科技有限公司 | 数据处理方法、装置、设备及存储介质 |
| CN114866263A (zh) * | 2021-01-18 | 2022-08-05 | 格创东智(深圳)科技有限公司 | 基于安全控制器的通信方法、系统、网关设备和存储介质 |
| CN115208682A (zh) * | 2022-07-26 | 2022-10-18 | 上海欣诺通信技术股份有限公司 | 一种基于snort的高性能网络攻击特征检测方法及装置 |
| CN115314570A (zh) * | 2022-10-12 | 2022-11-08 | 深圳华锐分布式技术股份有限公司 | 基于协议开发框架的数据下发方法、装置、设备及介质 |
| CN115361456A (zh) * | 2022-08-04 | 2022-11-18 | 广东中设智控科技股份有限公司 | 一种数据报文的处理方法、装置及系统 |
| CN117834754A (zh) * | 2024-01-04 | 2024-04-05 | 安徽征途电气有限公司 | 基于配电室网关的设备多协议解析方法 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20030004689A1 (en) * | 2001-06-13 | 2003-01-02 | Gupta Ramesh M. | Hierarchy-based method and apparatus for detecting attacks on a computer system |
| CN101399710A (zh) * | 2007-09-29 | 2009-04-01 | 北京启明星辰信息技术有限公司 | 一种协议格式异常检测方法及系统 |
| CN108040040A (zh) * | 2017-11-30 | 2018-05-15 | 北京锐安科技有限公司 | 一种应用协议报文的自动化解析方法和装置 |
| CN108173854A (zh) * | 2017-12-28 | 2018-06-15 | 广东电网有限责任公司东莞供电局 | 一种电力私有协议的安全监测方法 |
| CN110113332A (zh) * | 2019-04-30 | 2019-08-09 | 北京奇安信科技有限公司 | 一种检测工控协议是否存在异常的方法及装置 |
-
2020
- 2020-04-07 CN CN202010266179.0A patent/CN111478966A/zh active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20030004689A1 (en) * | 2001-06-13 | 2003-01-02 | Gupta Ramesh M. | Hierarchy-based method and apparatus for detecting attacks on a computer system |
| CN101399710A (zh) * | 2007-09-29 | 2009-04-01 | 北京启明星辰信息技术有限公司 | 一种协议格式异常检测方法及系统 |
| CN108040040A (zh) * | 2017-11-30 | 2018-05-15 | 北京锐安科技有限公司 | 一种应用协议报文的自动化解析方法和装置 |
| CN108173854A (zh) * | 2017-12-28 | 2018-06-15 | 广东电网有限责任公司东莞供电局 | 一种电力私有协议的安全监测方法 |
| CN110113332A (zh) * | 2019-04-30 | 2019-08-09 | 北京奇安信科技有限公司 | 一种检测工控协议是否存在异常的方法及装置 |
Cited By (19)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112312590A (zh) * | 2020-10-10 | 2021-02-02 | 腾讯科技(深圳)有限公司 | 一种设备通信协议识别方法和装置 |
| CN112399446A (zh) * | 2020-10-16 | 2021-02-23 | 云镝智慧科技有限公司 | 边缘网关通信方法、装置、计算机设备和存储介质 |
| CN112486139A (zh) * | 2020-11-12 | 2021-03-12 | 顶象科技有限公司 | 基于虚拟补丁的工业控制系统保护方法、装置、设备及介质 |
| CN114866263A (zh) * | 2021-01-18 | 2022-08-05 | 格创东智(深圳)科技有限公司 | 基于安全控制器的通信方法、系统、网关设备和存储介质 |
| CN113660267A (zh) * | 2021-08-17 | 2021-11-16 | 电子科技大学 | 一种针对IoT环境的僵尸网络检测的系统、方法及存储介质 |
| CN113660267B (zh) * | 2021-08-17 | 2022-07-26 | 电子科技大学 | 一种针对IoT环境的僵尸网络检测的系统、方法及存储介质 |
| CN114006750A (zh) * | 2021-10-29 | 2022-02-01 | 北京顶象技术有限公司 | 异常操作的检测方法、装置和电子设备 |
| CN114006750B (zh) * | 2021-10-29 | 2024-05-28 | 北京顶象技术有限公司 | 异常操作的检测方法、装置和电子设备 |
| CN114070761B (zh) * | 2021-11-11 | 2023-09-26 | 北京轨道交通路网管理有限公司 | 协议报文检测方法、其装置及电子设备 |
| CN114070761A (zh) * | 2021-11-11 | 2022-02-18 | 北京轨道交通路网管理有限公司 | 协议报文检测方法、其装置及电子设备 |
| CN114095243A (zh) * | 2021-11-18 | 2022-02-25 | 许昌许继软件技术有限公司 | 一种基于配置的数据过滤方法 |
| CN114389837A (zh) * | 2021-12-07 | 2022-04-22 | 广东宜通衡睿科技有限公司 | 一种物联网终端的安全监测方法、装置、介质及设备 |
| CN114760256A (zh) * | 2022-04-14 | 2022-07-15 | 曙光网络科技有限公司 | 数据处理方法、装置、设备及存储介质 |
| CN114760256B (zh) * | 2022-04-14 | 2024-01-30 | 曙光网络科技有限公司 | 数据处理方法、装置、设备及存储介质 |
| CN115208682B (zh) * | 2022-07-26 | 2023-12-12 | 上海欣诺通信技术股份有限公司 | 一种基于snort的高性能网络攻击特征检测方法及装置 |
| CN115208682A (zh) * | 2022-07-26 | 2022-10-18 | 上海欣诺通信技术股份有限公司 | 一种基于snort的高性能网络攻击特征检测方法及装置 |
| CN115361456A (zh) * | 2022-08-04 | 2022-11-18 | 广东中设智控科技股份有限公司 | 一种数据报文的处理方法、装置及系统 |
| CN115314570A (zh) * | 2022-10-12 | 2022-11-08 | 深圳华锐分布式技术股份有限公司 | 基于协议开发框架的数据下发方法、装置、设备及介质 |
| CN117834754A (zh) * | 2024-01-04 | 2024-04-05 | 安徽征途电气有限公司 | 基于配电室网关的设备多协议解析方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111478966A (zh) | 物联网协议的解析方法、装置、计算机设备及存储介质 | |
| CN112468488B (zh) | 工业异常监测方法、装置、计算机设备及可读存储介质 | |
| US7661032B2 (en) | Adjusting sliding window parameters in intelligent event archiving and failure analysis | |
| US20080168242A1 (en) | Sliding Window Mechanism for Data Capture and Failure Analysis | |
| CN112534432A (zh) | 不熟悉威胁场景的实时缓解 | |
| CN110062926B (zh) | 设备驱动器遥测 | |
| CN112437920A (zh) | 异常检测装置和异常检测方法 | |
| CN112527484A (zh) | 工作流断点续跑方法、装置、计算机设备及可读存储介质 | |
| US20230252145A1 (en) | Cyber threat information processing apparatus, cyber threat information processing method, and storage medium storing cyber threat information processing program | |
| US11431802B2 (en) | Method for data processing, system and computer readable storage medium | |
| CN114006723A (zh) | 基于威胁情报的网络安全预测方法、装置及系统 | |
| CN116305290A (zh) | 一种系统日志安全检测方法及装置、电子设备及存储介质 | |
| CN114189570B (zh) | 一种对工业协议进行深度解析的方法 | |
| CN113497797A (zh) | 一种icmp隧道传输数据的异常检测方法及装置 | |
| CN112235244B (zh) | 异常报文的构造方法以及工控网络设备的检测方法、装置和介质 | |
| JP2020140250A (ja) | 異常検知装置、異常検知方法および異常検知プログラム | |
| CN115296849B (zh) | 关联告警方法及系统、存储介质和电子设备 | |
| US20230254340A1 (en) | Apparatus for processing cyber threat information, method for processing cyber threat information, and medium for storing a program processing cyber threat information | |
| CN113660223B (zh) | 基于告警信息的网络安全数据处理方法、装置及系统 | |
| CN115664822A (zh) | 行为画像构建方法、装置、电子设备及存储介质 | |
| CN112583825A (zh) | 一种工业系统的异常检测方法和装置 | |
| CN114615036A (zh) | 异常行为检测方法、装置、设备和存储介质 | |
| CN113127856A (zh) | 网络安全运维管理方法、装置、计算设备及存储介质 | |
| CN114598536B (zh) | 一种云平台虚拟化数据流量安全监控方法、系统及存储介质 | |
| CN115086137A (zh) | 工业设备管理方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20200731 |