CN107070861B - 抽样流量下物联网设备蠕虫受害节点的发现方法及系统 - Google Patents

抽样流量下物联网设备蠕虫受害节点的发现方法及系统 Download PDF

Info

Publication number
CN107070861B
CN107070861B CN201611229154.3A CN201611229154A CN107070861B CN 107070861 B CN107070861 B CN 107070861B CN 201611229154 A CN201611229154 A CN 201611229154A CN 107070861 B CN107070861 B CN 107070861B
Authority
CN
China
Prior art keywords
monitored object
equipment
remote service
information
port
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201611229154.3A
Other languages
English (en)
Other versions
CN107070861A (zh
Inventor
康学斌
徐艺航
肖新光
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Shenzhen Antan Network Security Technology Co.,Ltd.
Original Assignee
Shenzhen Anzhitian Information Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Shenzhen Anzhitian Information Technology Co Ltd filed Critical Shenzhen Anzhitian Information Technology Co Ltd
Priority to CN201611229154.3A priority Critical patent/CN107070861B/zh
Publication of CN107070861A publication Critical patent/CN107070861A/zh
Application granted granted Critical
Publication of CN107070861B publication Critical patent/CN107070861B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/145Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Telephonic Communication Services (AREA)

Abstract

本发明公开了抽样流量下物联网设备蠕虫受害节点的发现方法及系统,包括:基于抽样流量对监控对象设备的访问数据进行监控;基于访问数据查找监控对象设备访问目标设备的远程服务端口信息;如果所述远程服务端口信息存在,则反向探测监控对象设备远程服务端口的开启状态;如果所述监控对象设备远程服务端口打开,则探测所述监控对象设备的常用端口并登录预设端口,获取返回信息;基于满足判断条件的返回信息,判断监控对象设备为物联网设备的蠕虫受害节点。解决现有技术中检测物联网设备蠕虫受害节点的方法占用大量资源,检测效率不高的问题。

Description

抽样流量下物联网设备蠕虫受害节点的发现方法及系统
技术领域
本发明涉及计算机网络安全技术领域,更具体地涉及抽样流量下物联网设备蠕虫受害节点的发现方法及系统。
背景技术
随着智能家居等物联网设备的蓬勃发展,在线物联网设备大幅增加,因该类设备一般没有经过严格的安全设计,物联网设备逐渐成为了黑客入侵的对象,路由器、网络摄像头、DVR等物联网设备逐步成为了木马、蠕虫等恶意代码传播的载体,但安全防护或恶意代码发现方法却未能跟上恶意代码传播的脚步,恶意代码对其注入、进而利用其进行攻击比攻击桌面操作系统容易的多,故监控、发现物联网设备的恶意代码传播,进而防护成为了网络安全相关产品的新方向。
蠕虫病毒是一种常见的计算机病毒,它利用网络进行复制和传播,传染途径是通过网络和电子邮件,若通过网络流量发现被感染的蠕虫设备一般需要对大量的流量环境进行监控,如监控A设备传播B设备,B设备传播C设备,才可确定B设备是被感染节点。这种检测物联网设备蠕虫受害节点的方法会占用大量资源,检测效率不高。
发明内容
为了解决上述技术问题,提供了根据本发明的抽样流量下物联网设备蠕虫受害节点的发现方法及系统。
根据本发明的第一方面,提供了抽样流量下物联网设备蠕虫受害节点的发现方法。该方法包括:基于抽样流量对监控对象设备的访问数据进行监控;基于访问数据查找监控对象设备访问目标设备的远程服务端口信息;如果所述远程服务端口信息存在,则反向探测监控对象设备远程服务端口的开启状态;如果所述监控对象设备远程服务端口打开,则探测所述监控对象设备的常用端口并登录预设端口,获取返回信息;基于满足判断条件的返回信息,判断监控对象设备为物联网设备的蠕虫受害节点;其中,所述抽样流量为从获取到的监控对象设备大量流量中截取的一部分流量。
在一些实施例中,所述反向探测监控对象设备远程服务端口的开启状态,包括:对监控对象设备远程服务端口进行端口扫描,所述扫描包括手工扫描、软件扫描。
在一些实施例中,所述判断条件中包括授权信息、提示信息。
在一些实施例中,所述提示信息是登录预设端口产生的,包括登录设备名称、路由器标识。
在一些实施例中,所述授权信息中的设备标识信息包括HuaweiHomeGateway、ZNID24xx-Router、DahuaRtsp。
根据本发明的第二方面,提供抽样流量下物联网设备蠕虫受害节点的发现系统,包括:监控模块,用于基于抽样流量对监控对象设备的访问数据进行监控;查找模块,用于基于访问数据查找监控对象设备访问目标设备的远程服务端口信息;反向探测模块,用于如果所述远程服务端口信息存在,则反向探测监控对象设备远程服务端口的开启状态;返回模块,用于如果所述监控对象设备远程服务端口打开,则探测所述监控对象设备的常用端口并登录预设端口,获取返回信息;判断模块,用于基于满足判断条件的返回信息,判断监控对象设备为物联网设备的蠕虫受害节点;其中,所述抽样流量为从获取到的监控对象设备大量流量中截取的一部分流量。
在一些实施例中,所述反向探测监控对象设备远程服务端口的开启状态,包括:对监控对象设备远程服务端口进行端口扫描,所述扫描包括手工扫描、软件扫描。
在一些实施例中,所述判断条件中包括授权信息、提示信息。
在一些实施例中,所述提示信息是登录预设端口产生的,包括登录设备名称、路由器标识。
在一些实施例中,所述授权信息中的设备标识信息包括HuaweiHomeGateway、ZNID24xx-Router、DahuaRtsp。
本发明所提供的技术方案,在抽样流量环境下发现物联网设备的受害节点,可在抽样流量下进行探测,减少了在大流量环境下进行探测的时间、空间复杂度,流量基数小且判断速度快,一个连接信息即可判断物联网设备蠕虫受害节点,与在大量网络流量环境下进行蠕虫受害节点检测相比,更便捷、更快速,大大提高了检测效率。
附图说明
为了更清楚地说明本发明的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明中记载的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为根据本发明实施例的抽样流量下物联网设备蠕虫受害节点的发现方法的流程图;
图2为根据本发明实施例的抽样流量下物联网设备蠕虫受害节点的发现系统的框图。
具体实施方式
下面参照附图对本发明的优选实施例进行详细说明,在描述过程中省略了对于本发明来说是不必要的细节和功能,以防止对本发明的理解造成混淆。虽然附图中显示了示例性实施例,然而应当理解,可以以各种形式实现本发明而不应被这里阐述的实施例所限制。相反,提供这些实施例是为了能够更透彻地理解本公开,并且能够将本发明的范围完整的传达给本领域的技术人员。
本发明提供的方法是在抽样流量环境下,通过探测及登录远程登录服务端口来判断监控对象设备是否为物联网设备,进一步可判定该物联网设备是蠕虫受害节点。
图1示出了根据本发明实施例的抽样流量下物联网设备蠕虫受害节点的发现方法的流程图。如图1所示,方法包括如下步骤:
S110,获取监控对象设备在预定时间内的抽样流量。
抽样流量可以从获取到的大量流量中截取一部分,比如从电信、联通等运营商监控到的一个月的流量数据中,截取某一天的数据进行监控,预定时间可以设定成时间段。
S120,基于抽样流量对监控对象设备的访问数据进行监控。
访问数据中可以包括访问对象、访问时间、行为特征信等息。
S130,基于访问数据查找监控对象设备访问目标设备的远程服务端口信息。
以远程访问端口为查找条件,一个端口就是一个潜在的通信通道,也就是一个入侵通道。如发现监控对象设备访问目标设备的远程服务端口,其中远程服务端口包括23、22、3389、3306、1433等。
S140,如果远程服务端口信息存在,则反向探测监控对象设备远程服务端口的开启状态。
反向探测监控对象设备远程服务端口的开启状态,包括对监控对象设备远程服务端口进行端口扫描,其中,扫描的方法很多,可以是手工进行扫描,也可以用端口扫描软件进行扫描。
S150,如果监控对象设备远程服务端口打开,则探测监控对象设备的常用端口并登录预设端口,获取返回信息,若未打开则返回步骤S130,对下一个满足条件的监控对象设备进行探测。
S160,基于满足判断条件的返回信息,判断监控对象设备为物联网设备的蠕虫受害节点。
判断条件中包括授权信息、提示信息。通过探测监控对象设备的物联网设备常用端口,得到探测返回的授权信息进而判断物联网设备,可判定的授权信息,授权信息中的设备标识信息包括HuaweiHomeGateway、ZNID24xx-Router、DahuaRtsp等。如:WWW-Authenticate:Digest realm=\"HuaweiHomeGateway\"、WWW-Authenticate:Basic realm=\"ZNID24xx-Router、WWW-Authenticate:Basic realm=\"DahuaRtsp等。
通过登录预设端口(如23端口)返回的提示信息查看是否为物联网设备,相应提示信息包括登录设备名称、路由器标识等,如:23|tcp|telnet:DLINK login:、23|tcp|telnet:xDSL Router\r\nLogin:等。
通过探测及登录预设端口的提示信息判断监控对象设备是否为物联网设备,进而可判定监控对象设备为物联网设备的蠕虫受害节点。
进一步的,可以记录监控对象设备的信息,比如IP等信息。
图2为根据本发明实施例的抽样流量下物联网设备蠕虫受害节点的发现系统的框图。如图2所述,系统可以包括:监控模块210、查找模块220、反向探测模块230、返回模块240、判断模块250。
监控模块210,用于基于抽样流量对监控对象设备的访问数据进行监控。
查找模块220,用于基于访问数据查找监控对象设备访问目标设备的远程服务端口信息。
反向探测模块230,用于如果远程服务端口信息存在,则反向探测监控对象设备远程服务端口的开启状态。
反向探测监控对象设备远程服务端口的开启状态,包括:对监控对象设备远程服务端口进行端口扫描,扫描包括手工扫描、软件扫描。
返回模块240,用于如果监控对象设备远程服务端口打开,则探测监控对象设备的常用端口并登录预设端口,获取返回信息。
判断模块250,用于基于满足判断条件的返回信息,判断监控对象设备为物联网设备的蠕虫受害节点。
判断条件中包括授权信息、提示信息。提示信息是登录预设端口产生的,包括登录设备名称、路由器标识。授权信息中的设备标识信息包括HuaweiHomeGateway、ZNID24xx-Router、DahuaRtsp等。
至此已经结合优选实施例对本发明进行了描述。应该理解,本领域技术人员在不脱离本发明的精神和范围的情况下,可以进行各种其它的改变、替换和添加。因此,本发明的范围不局限于上述特定实施例,而应由所附权利要求所限定。

Claims (10)

1.抽样流量下物联网设备蠕虫受害节点的发现方法,其特征在于,包括:
基于抽样流量对监控对象设备的访问数据进行监控;
基于访问数据查找监控对象设备访问目标设备的远程服务端口信息;
如果所述远程服务端口信息存在,则反向探测监控对象设备远程服务端口的开启状态;
如果所述监控对象设备远程服务端口打开,则探测所述监控对象设备的常用端口并登录预设端口,获取返回信息;
基于满足判断条件的返回信息,判断监控对象设备为物联网设备的蠕虫受害节点;
其中,所述抽样流量为从获取到的监控对象设备大量流量中截取的一部分流量。
2.根据权利要求1所述的方法,其特征在于,所述反向探测监控对象设备远程服务端口的开启状态,包括:对监控对象设备远程服务端口进行端口扫描,所述扫描包括手工扫描、软件扫描。
3.根据权利要求1所述的方法,其特征在于,所述判断条件中包括授权信息、提示信息。
4.根据权利要求3所述的方法,其特征在于,所述提示信息是登录预设端口产生的,包括登录设备名称、路由器标识。
5.根据权利要求3所述的方法,其特征在于,所述授权信息中的设备标识信息包括HuaweiHomeGateway、ZNID24xx-Router、DahuaRtsp。
6.抽样流量下物联网设备蠕虫受害节点的发现系统,其特征在于,包括:
监控模块,用于基于抽样流量对监控对象设备的访问数据进行监控;
查找模块,用于基于访问数据查找监控对象设备访问目标设备的远程服务端口信息;
反向探测模块,用于如果所述远程服务端口信息存在,则反向探测监控对象设备远程服务端口的开启状态;
返回模块,用于如果所述监控对象设备远程服务端口打开,则探测所述监控对象设备的常用端口并登录预设端口,获取返回信息;
判断模块,用于基于满足判断条件的返回信息,判断监控对象设备为物联网设备的蠕虫受害节点;
其中,所述抽样流量为从获取到的监控对象设备大量流量中截取的一部分流量。
7.根据权利要求6所述的系统,其特征在于,所述反向探测监控对象设备远程服务端口的开启状态,包括:对监控对象设备远程服务端口进行端口扫描,所述扫描包括手工扫描、软件扫描。
8.根据权利要求6所述的系统,其特征在于,所述判断条件中包括授权信息、提示信息。
9.根据权利要求8所述的系统,其特征在于,所述提示信息是登录预设端口产生的,包括登录设备名称、路由器标识。
10.根据权利要求8所述的系统,其特征在于,所述授权信息中的设备标识信息包括HuaweiHomeGateway、ZNID24xx-Router、DahuaRtsp。
CN201611229154.3A 2016-12-27 2016-12-27 抽样流量下物联网设备蠕虫受害节点的发现方法及系统 Active CN107070861B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201611229154.3A CN107070861B (zh) 2016-12-27 2016-12-27 抽样流量下物联网设备蠕虫受害节点的发现方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201611229154.3A CN107070861B (zh) 2016-12-27 2016-12-27 抽样流量下物联网设备蠕虫受害节点的发现方法及系统

Publications (2)

Publication Number Publication Date
CN107070861A CN107070861A (zh) 2017-08-18
CN107070861B true CN107070861B (zh) 2020-02-07

Family

ID=59623542

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201611229154.3A Active CN107070861B (zh) 2016-12-27 2016-12-27 抽样流量下物联网设备蠕虫受害节点的发现方法及系统

Country Status (1)

Country Link
CN (1) CN107070861B (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110753014B (zh) * 2018-07-23 2022-01-11 安天科技集团股份有限公司 基于流量转发的威胁感知方法、设备、装置及存储介质

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1710906A (zh) * 2005-07-08 2005-12-21 清华大学 P2p蠕虫防御系统
CN103944920A (zh) * 2014-05-09 2014-07-23 哈尔滨工业大学 基于检测驱动的网络蠕虫主动遏制方法及对抗工具自动生成系统

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20070118759A1 (en) * 2005-10-07 2007-05-24 Sheppard Scott K Undesirable email determination

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1710906A (zh) * 2005-07-08 2005-12-21 清华大学 P2p蠕虫防御系统
CN103944920A (zh) * 2014-05-09 2014-07-23 哈尔滨工业大学 基于检测驱动的网络蠕虫主动遏制方法及对抗工具自动生成系统

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
"车载物联网中蠕虫传播模型的构件与仿真";汪峥;《计算机科学》;20120315;第39卷(第3期);全文 *

Also Published As

Publication number Publication date
CN107070861A (zh) 2017-08-18

Similar Documents

Publication Publication Date Title
US12047403B2 (en) Externally-driven network attack surface management
Dange et al. IoT botnet: The largest threat to the IoT network
KR102017810B1 (ko) 모바일 기기용 침입방지장치 및 방법
EP2008188B1 (en) Software vulnerability exploitation shield
Sayegh et al. Internal security attacks on SCADA systems
US7672283B1 (en) Detecting unauthorized wireless devices in a network
US9641545B2 (en) Methods, systems, and computer program products for detecting communication anomalies in a network based on overlap between sets of users communicating with entities in the network
US11258812B2 (en) Automatic characterization of malicious data flows
CN114145004A (zh) 用于使用dns消息以选择性地收集计算机取证数据的系统及方法
US20200195672A1 (en) Analyzing user behavior patterns to detect compromised nodes in an enterprise network
US20190306182A1 (en) System and Method for Device Context and Device Security
JP5739034B1 (ja) 攻撃検知システム、攻撃検知装置、攻撃検知方法および攻撃検知プログラム
CN114402567A (zh) 算法生成的域的在线检测
Kumar et al. Raptor: advanced persistent threat detection in industrial iot via attack stage correlation
CN116319074B (zh) 一种基于多源日志的失陷设备检测方法、装置及电子设备
CN107070861B (zh) 抽样流量下物联网设备蠕虫受害节点的发现方法及系统
KR20060057916A (ko) 정보보호 제품의 기능 시험을 위한 공격 패킷 생성 기능을포함하는 네트워크 패킷 생성 장치 및 방법
US20220217172A1 (en) System and method for protection of an ics network by an hmi server therein
Jaafar et al. Identification of compromised IoT devices: Combined approach based on energy consumption and network traffic analysis
KR101186873B1 (ko) 시그니쳐 기반 무선 침입차단시스템
US10015179B2 (en) Interrogating malware
KR20090081619A (ko) 파일 전송 보안 방법 및 장치
Pütz et al. Unleashing iot security: Assessing the effectiveness of best practices in protecting against threats
CN114189360B (zh) 态势感知的网络漏洞防御方法、装置及系统
Atri et al. Optimization of Network Mapping for Screening and Intrusion Sensing Devices

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant
CP01 Change in the name or title of a patent holder
CP01 Change in the name or title of a patent holder

Address after: 518000 Shenzhen, Baoan District, Guangdong Xixiang Baoan District street, the source of excellent industrial products display procurement center, block B, 7 floor, No.

Patentee after: Shenzhen Antan Network Security Technology Co.,Ltd.

Address before: 518000 Shenzhen, Baoan District, Guangdong Xixiang Baoan District street, the source of excellent industrial products display procurement center, block B, 7 floor, No.

Patentee before: SHENZHEN ANZHITIAN INFORMATION TECHNOLOGY Co.,Ltd.