[发明专利]基于深度流量感知的物联网安全云平台

权利要求书

1.基于深度流量感知的物联网安全云平台，其特征在于，包括：设置在物联网连接层和业务应用层之间的功能单元，其中，所述功能单元包括：

深度内容感知引擎，其用于识别当前数据包的业务属性，按业务类别二次提取特征字段的特征参数进行分类统计分析，具体步骤包括：

步骤一，提取网络流量的IP层、传输层及部分应用层关键信息，匹配应用特征库，识别当前流量的协议类别；

步骤二，在当前协议类别下，提取网络流量的业务数据特征，通过机器学习的方式构建数据载荷的量化分布模型；所述量化分布模型为针对特定字段内容的流量变化规律；

步骤三，基于上述业务数据特征，识别出未知流量数据包的特征字段并提取特征字段的字段值，记录其变化量并输出；

所述功能单元还包括：

智能分析数据平台，其接收所述深度内容感知引擎输出的变化量，判断所述变化量是否超出预设阈值，是则，发出预警信号；

联动模块，其接收所述预警信号，生产访问控制规则或预警信息；

防御引擎，其接收访问控制规则或者预警信息，用于隔离异常物联网终端。

2.如权利要求1所述的基于深度流量感知的物联网安全云平台，其特征在于，所述功能单元向下通过IoT API接口与连接处互联，向上通过普通网络接口与业务应用层平台相连。

3.如权利要求1所述的基于深度流量感知的物联网安全云平台，其特征在于，所述功能单元还包括：管理模块，其用于通过https协议实现图形化管理或通过SSH协议实现命令行管理；

以及审计模块，其用于记录平台发现的异常或攻击行为、防御引擎执行的防御结果，并能够根据IP、时间、类型要素生成审计报表。

4.如权利要求1所述的基于深度流量感知的物联网安全云平台，其特征在于，所述深度内容感知引擎的操作流程如下：

Step1:提取网络流量的IP层、传输层及部分应用层关键信息，比对应用特征库，是否存在当前流量的协议类别，是则进行Step2；否则生产新的应用协议并存储应用特征库；

Step2:在当前协议类别下，比对该类协议的数据报文确定数据载荷的量化分布模型，提取出网络流量的业务数据特征；

Step3:依据已有业务数据特征，对未知流量数据载荷中的特定字段的键值进行提取，记录键值的变化量，比对变化量，如高于目标阈值则判定为攻击行为，触发系统报警和控制措施。

5.如权利要求4所述的基于深度流量感知的物联网安全云平台，其特征在于，所述目标阈值为系统预设。

6.如权利要求4所述的基于深度流量感知的物联网安全云平台，其特征在于，所述深度内容感知引擎的检测包括：基于“特征字”的识别：识别不同协议的特定的端口、特定的字符串或者特定的bit序列；

应用层网关识别：应用层网关先识别出控制流，并根据控制流的协议通过特定的应用层网关对其进行解析，从协议内容中识别出相应的业务流；

行为模式识别：基于对终端已经实施的行为进行分析，判断出用户正在进行的动作或者即将实施的动作。

7.如权利要求1-6任一项所述基于深度流量感知的物联网安全云平台的防御方法，其特征在于：包括以下步骤：

步骤一，物联网设备通过IoT API接入安全云平台，

步骤二，深度内容感知引擎进行解包分析，将基于业务分析的特征值输出至智能分析数据平台；

步骤三，智能分析数据平台通过机器学习和异常行为安全模型决断数据包的安全性，如果判定为异常或攻击行为，可触发联动模块生成访问控制规则或只生成预警信息，访问控制规则被自动写入防御引擎模块，从而隔离有问题的物联网终端；若无异常，数据包bypass防御模块，经由网络接口上联至应用平台。