【技术实现步骤摘要】
轻量级物联网流量的协议识别方法、装置及设备
[0001]本申请涉及网络安全
,尤其涉及一种轻量级物联网流量的协议识别方法、装置及设备。
技术介绍
[0002]网络安全设备(如流量准入、态感设备)接入网络流量的情况下,由于网络流量数量庞大,流量解析占用的设备资源巨大;且深度包解析能力的提升(解码器数量增加),会造成计算机系统资源消耗的提升。
[0003]如何提升深度包解析的性能,以减少资源消耗成为亟待解决的技术问题。
技术实现思路
[0004]有鉴于此,本申请提供一种轻量级物联网流量的协议识别方法、装置及设备。
[0005]具体地,本申请是通过如下技术方案实现的:根据本申请实施例的第一方面,提供一种轻量级物联网流量的协议识别方法,包括:对于待进行应用层协议识别的物联网数据流,依据解码器的排序结果,对解码器进行遍历;其中,不同解码器对应不同的应用层协议;解码器依据所对应的应用层协议的重要性进行排序,对应的应用层协议的重要性越高,解码器的排序越靠前;依据当前遍历的解码器,对所述物联网数据流进行解析;在所述物联网数据流与当前遍历的解码器匹配成功的情况下,确定所述物联网数据流的应用层协议为目标应用层协议;其中,所述目标应用层协议为当前遍历的解码器所对应的应用层协议,所述物联网数据流与当前遍历的解码器匹配成功包括:当前遍历的解码器对所述物联网数据流的输出结果为所述物联网数据流的应用层协议是所述目标应用层协议。
[0006]根据本申请实施例的第二方面,提供一种轻量级物联网流量的协议识别 ...
【技术保护点】
【技术特征摘要】
1.一种轻量级物联网流量的协议识别方法,其特征在于,包括:对于待进行应用层协议识别的物联网数据流,依据解码器的排序结果,对解码器进行遍历;其中,不同解码器对应不同的应用层协议;解码器依据所对应的应用层协议的重要性进行排序,对应的应用层协议的重要性越高,解码器的排序越靠前;依据当前遍历的解码器,对所述物联网数据流进行解析;在所述物联网数据流与当前遍历的解码器匹配成功的情况下,确定所述物联网数据流的应用层协议为目标应用层协议;其中,所述目标应用层协议为当前遍历的解码器所对应的应用层协议,所述物联网数据流与当前遍历的解码器匹配成功包括:当前遍历的解码器对所述物联网数据流的输出结果为所述物联网数据流的应用层协议是所述目标应用层协议。2.根据权利要求1所述的方法,其特征在于,解码器的排序结果按照以下方式确定:收集预设时间段内的物联网流量;依据所收集的物联网流量,确定存在的应用层协议,并依据全部应用层协议出现的总次数,以及,各应用层协议出现的次数,确定各应用层协议出现的次数占比,依据该占比确定各应用层协议的初始权重;其中,初始权重与该占比正相关;对于文本型应用层协议,依据同一协议簇的各应用层协议之间的相似度,对各应用层协议的初始权重进行更新,得到各文本型应用层协议的最终权重;依据各文本型应用层协议的最终权重,以及所述文本型应用层协议之外的其它应用层协议的初始权重,对各应用层协议进行排序,并依据各应用层协议的排序结果得到各解码器的排序结果;其中,权重越高,排序越靠前。3.根据权利要求2所述的方法,其特征在于,对于目标文本型应用层协议,其初始权重为第一比例、第二比例以及第三比例三者的乘积;所述第一比例为依据所收集的物联网流量确定的、文本型应用层协议出现的次数在全部应用层协议出现的总次数中的占比,所述第二比例为所述目标文本型应用层协议所属协议簇出现的次数在文本型应用层协议出现的次数中的占比,所述第三比例为所述目标文本型应用层协议出现的次数在所述目标文本型应用层协议所属协议簇出现的次数中的占比;所述对于文本型应用层协议,依据同一协议簇的各应用层协议之间的相似度,对各应用层协议的初始权重进行更新,包括:以所述目标文本型应用层协议所属协议簇中各文本型应用层协议为节点,依据各节点之间的相似度,在相似度超过预设相似度阈值的节点之间构建无向边,以节点之间的相似度为边的权重,构建无向图;依据所述无向图,利用网页排名算法,确定各节点的网页排名值;以所述目标文本型应用层协议的网页排名值替代所述第三比例,对所述目标文本型应用层协议的初始权重进行更新,得到所述目标文本型应用层协议的最终权重。4.根据权利要求1所述的方法,其特征在于,所述依据当前遍历的解码器,对所述物联网数据流进行解析之后,还包括:在所述物联网数据流与当前遍历的解码器匹配不成功,且存在未遍历的解码器的情况下,继续解码器的遍历;在所述物联网数据流与当前遍历的解码器匹配不成功,且不存在未遍历的解码器的情
况下,确定当前遍历的解码器对所述物联网数据流的数据包的解码数量是否达到预设数量;在当前遍历的解码器对所述物联网数据流的数据包的解码数量达到所述预设数量的情况下,确定所述物联网数据流的应用层协议为未知协议,并停止对所述物联网数据流进行应用层协议识别;其中,物联网数据流通过物联网数据流中的数据包的五元组信息来标识,数据包的五元组信息包括源IP地址、目的IP地址、传输层协议类型、源端口以及目的端口。5.根据权利要求4所述的方法,其特征在于,在确定所述物联网数据流的应用层协议为未知协议的情况下,所述方法还包括:利用威胁检测模块对所述物联网数据流的数据包进行深度解析,确定所述物联网数据流是否存在威胁;其中,所述威胁检测模块用于针对未知协议的物联网数据流进行威胁检测;在所述物联网数据流存在威胁的情况下,对所述物联网数据流的数据包进行阻断。6.根据权利要求1所述的方法,其特征在于,对于待进行应用层协议识别的物联网数据流,在依据解码器的排序结果,对解码器进行遍历之前,还包括:对所述物联网数据流中的数据包进行解析,确定该数据包的传输层协议类型以及目的端口;依据该数据包的传输层协议类型以及目的端口,查询预匹配规则,确定是否存在对应的应用层协议;其中,所述预匹配规则用于记录传输层协议、目的端口以及应用层协议之间的对应关系;在存在对应的应用层协议的情况下,将该应用层协议确定为所述物联网数据流的应用层协议;在不存在对应的应用层协议的情况下,确定执行所述依据解码器的排序结果,对解码器进行遍历的操作。7.根据权利要求1所述的方法,其特征在于,在所述物联网数据流与当前遍历的解码器匹配成功的情况下,所述方法还包括:利用当前遍历的解码器对所述物联网数据流的数据包进行深度解析,确定所述物联网数据流是否存在威胁;在所述物联网数据流存在威胁的情况下,对所述物联网数据流的数据包进行...
【专利技术属性】
技术研发人员:王滨,王晶晶,王伟,王星,王冲华,
申请(专利权)人:杭州海康威视数字技术股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。