[发明专利]轻量级物联网流量的协议识别方法、装置及设备

权利要求书

1.一种轻量级物联网流量的协议识别方法，其特征在于，包括：

对于待进行应用层协议识别的物联网数据流，依据解码器的排序结果，对解码器进行遍历；其中，不同解码器对应不同的应用层协议；解码器依据所对应的应用层协议的重要性进行排序，对应的应用层协议的重要性越高，解码器的排序越靠前；

依据当前遍历的解码器，对所述物联网数据流进行解析；

在所述物联网数据流与当前遍历的解码器匹配成功的情况下，确定所述物联网数据流的应用层协议为目标应用层协议；其中，所述目标应用层协议为当前遍历的解码器所对应的应用层协议，所述物联网数据流与当前遍历的解码器匹配成功包括：当前遍历的解码器对所述物联网数据流的输出结果为所述物联网数据流的应用层协议是所述目标应用层协议；

其中，解码器的排序结果按照以下方式确定：

收集预设时间段内的物联网流量；

依据所收集的物联网流量，确定存在的应用层协议，并依据全部应用层协议出现的总次数，以及，各应用层协议出现的次数，确定各应用层协议出现的次数占比，依据该占比确定各应用层协议的初始权重；其中，初始权重与该占比正相关；

对于文本型应用层协议，依据同一协议簇的各应用层协议之间的相似度，对各应用层协议的初始权重进行更新，得到各文本型应用层协议的最终权重；

依据各文本型应用层协议的最终权重，以及所述文本型应用层协议之外的其它应用层协议的初始权重，对各应用层协议进行排序，并依据各应用层协议的排序结果得到各解码器的排序结果；其中，权重越高，排序越靠前。

2.根据权利要求1所述的方法，其特征在于，对于目标文本型应用层协议，其初始权重为第一比例、第二比例以及第三比例三者的乘积；所述第一比例为依据所收集的物联网流量确定的、文本型应用层协议出现的次数在全部应用层协议出现的总次数中的占比，所述第二比例为所述目标文本型应用层协议所属协议簇出现的次数在文本型应用层协议出现的次数中的占比，所述第三比例为所述目标文本型应用层协议出现的次数在所述目标文本型应用层协议所属协议簇出现的次数中的占比；

所述对于文本型应用层协议，依据同一协议簇的各应用层协议之间的相似度，对各应用层协议的初始权重进行更新，包括：

以所述目标文本型应用层协议所属协议簇中各文本型应用层协议为节点，依据各节点之间的相似度，在相似度超过预设相似度阈值的节点之间构建无向边，以节点之间的相似度为边的权重，构建无向图；

依据所述无向图，利用网页排名算法，确定各节点的网页排名值；

以所述目标文本型应用层协议的网页排名值替代所述第三比例，对所述目标文本型应用层协议的初始权重进行更新，得到所述目标文本型应用层协议的最终权重。

3.根据权利要求1所述的方法，其特征在于，所述依据当前遍历的解码器，对所述物联网数据流进行解析之后，还包括：

在所述物联网数据流与当前遍历的解码器匹配不成功，且存在未遍历的解码器的情况下，继续解码器的遍历；

在所述物联网数据流与当前遍历的解码器匹配不成功，且不存在未遍历的解码器的情况下，确定当前遍历的解码器对所述物联网数据流的数据包的解码数量是否达到预设数量；

在当前遍历的解码器对所述物联网数据流的数据包的解码数量达到所述预设数量的情况下，确定所述物联网数据流的应用层协议为未知协议，并停止对所述物联网数据流进行应用层协议识别；其中，物联网数据流通过物联网数据流中的数据包的五元组信息来标识，数据包的五元组信息包括源IP地址、目的IP地址、传输层协议类型、源端口以及目的端口。

4.根据权利要求3所述的方法，其特征在于，在确定所述物联网数据流的应用层协议为未知协议的情况下，所述方法还包括：

利用威胁检测模块对所述物联网数据流的数据包进行深度解析，确定所述物联网数据流是否存在威胁；其中，所述威胁检测模块用于针对未知协议的物联网数据流进行威胁检测；

在所述物联网数据流存在威胁的情况下，对所述物联网数据流的数据包进行阻断。