CN108650225B - 一种远程安全监测设备、系统及远程安全监测方法 - Google Patents
一种远程安全监测设备、系统及远程安全监测方法 Download PDFInfo
- Publication number
- CN108650225B CN108650225B CN201810291930.5A CN201810291930A CN108650225B CN 108650225 B CN108650225 B CN 108650225B CN 201810291930 A CN201810291930 A CN 201810291930A CN 108650225 B CN108650225 B CN 108650225B
- Authority
- CN
- China
- Prior art keywords
- information
- intelligent equipment
- abnormal
- flow data
- acquiring
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000012544 monitoring process Methods 0.000 title claims abstract description 100
- 238000000034 method Methods 0.000 title claims abstract description 17
- 230000006399 behavior Effects 0.000 claims abstract description 197
- 230000002159 abnormal effect Effects 0.000 claims abstract description 118
- 238000012806 monitoring device Methods 0.000 claims abstract description 31
- 238000004458 analytical method Methods 0.000 claims abstract description 29
- 230000008859 change Effects 0.000 claims description 19
- 238000012545 processing Methods 0.000 claims description 16
- 230000009467 reduction Effects 0.000 claims description 15
- 238000005516 engineering process Methods 0.000 claims description 10
- 238000001514 detection method Methods 0.000 claims description 9
- 238000004891 communication Methods 0.000 claims description 5
- 238000010586 diagram Methods 0.000 description 6
- 230000008878 coupling Effects 0.000 description 3
- 238000010168 coupling process Methods 0.000 description 3
- 238000005859 coupling reaction Methods 0.000 description 3
- 230000006870 function Effects 0.000 description 2
- 230000008439 repair process Effects 0.000 description 2
- 238000004364 calculation method Methods 0.000 description 1
- 238000004140 cleaning Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000008569 process Effects 0.000 description 1
- 238000005070 sampling Methods 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 230000001960 triggered effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Telephonic Communication Services (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请提供了一种远程安全监测设备、系统及远程安全监测方法,能够提升安全监测效率以及监控准确性。远程安全监测系统包括:远程安全监测设备,基于预先设置的智能设备指纹库,对智能设备进行端口和漏洞扫描,确定智能设备存在扫描风险,进行预警;接收智能设备恶意使用行为信息以及异常流量数据信息,与预先设置的安全威胁库分别进行恶意使用行为分析和特征匹配,检测智能设备是否存在恶意使用行为和隐私侵犯行为,若存在,进行预警;智能设备,用于采集智能设备行为信息以及原始流量数据信息,对智能设备行为信息以及原始流量数据信息进行分析,获取智能设备恶意使用行为信息以及异常流量数据信息并上报至远程安全监测设备。
Description
技术领域
本申请涉及安全监测技术领域,具体而言,涉及一种远程安全监测设备、系统及远程安全监测方法。
背景技术
物联网(IoT,Internet of Things)是物物相连的互联网,是新一代信息技术的重要组成部分,利用智能感知、识别与计算技术,形成人与物、物与物相联,实现信息化以及远程管理控制,广泛应用于各个行业。然而,物联网的快速发展也带来一系列的安全问题,尤其随着在线监控设备等智能设备数量的迅速增长,由于智能设备本身不具有较好的安全监测机制,因而,黑客通过攻击智能设备,可以造成用户隐私信息的泄漏。例如,利用摄像头、家用路由器等物联网智能设备发起攻击,如果摄像头、家用路由器、电视机顶盒等智能设备被黑客控制,不但会导致视频影像、个人隐私信息和用户数据发生泄露,还将导致智能设备被恶意控制利用,从而危害物联网安全。
目前,一般依靠智能设备厂商结合智能设备使用单位的安全管理人员对智能设备的安全性进行维护,智能设备厂商发现某一型号的智能设备存在漏洞时,提供在线升级功能或通知安全管理人员手动修复漏洞;而使用智能设备的安全管理人员根据智能设备安全规范,关闭存在风险的远程服务端口,对智能设备的弱口令进行修复,利用安全监测设备定期进行网络安全检测,及时关注在线发布的智能设备漏洞信息,在发现智能设备被植入恶意应用程序后,开展清理工作。
但该安全监测方法,由于需要依靠安全管理人员的人工干预,利用安全监测设备对智能设备进行漏洞、端口扫描或检测,安全监测效率较低;进一步地,由于仅对智能设备进行漏洞、端口扫描检测其安全性,准确性较低,从而使得误报率较高。
发明内容
有鉴于此,本申请的目的在于提供远程安全监测设备、系统及远程安全监测方法,能够提升安全监测效率。
第一方面,本发明提供了远程安全监测系统,包括:远程安全监测设备以及智能设备,其中,
远程安全监测设备,用于基于预先设置的智能设备指纹库,对智能设备进行端口和漏洞扫描,确定智能设备是否存在扫描风险,若是,进行预警;
接收智能设备上报的智能设备恶意使用行为信息以及异常流量数据信息,与预先设置的安全威胁库分别进行恶意使用行为分析和特征匹配,检测智能设备是否存在恶意使用行为和隐私侵犯行为,若存在恶意使用行为、和/或,隐私侵犯行为,进行预警;
智能设备,用于采集智能设备行为信息以及原始流量数据信息,对智能设备行为信息以及原始流量数据信息进行分析,获取智能设备恶意使用行为信息以及异常流量数据信息并上报至远程安全监测设备。
结合第一方面,本发明提供了第一方面的第一种可能的实施方式,其中,所述远程安全监测设备还用于基于存在的恶意使用行为、和/或,隐私侵犯行为,结合预先设置的被控制识别策略,判断智能设备是否被控制,若被控制,进行预警。
结合第一方面或第一方面的第一种可能的实施方式,本发明提供了第一方面的第二种可能的实施方式,其中,所述智能设备包括:主动监控模块、被动监控模块以及上报模块,其中,
主动监控模块,用于主动采集智能设备行为信息,对采集的智能设备行为信息进行分析,获取智能设备恶意使用行为信息;
被动监控模块,用于通过网络嗅探技术采集智能设备的原始流量数据信息,对采集的原始流量数据信息进行分析,获取异常流量数据信息;
数据上报模块,用于将智能设备恶意使用行为信息以及异常流量数据信息上报。
结合第一方面的第二种可能的实施方式,本发明提供了第一方面的第三种可能的实施方式,其中,所述智能设备还包括:
属性信息采集模块,用于采集并获取智能设备属性信息。
结合第一方面的第二种可能的实施方式,本发明提供了第一方面的第四种可能的实施方式,其中,所述主动监控模块包括:异常系统资源使用信息获取单元、异常网络连接信息获取单元、异常端口信息获取单元以及文件系统变化信息获取单元,其中,
异常系统资源使用信息获取单元,用于获取系统资源使用信息,基于获取的系统资源使用信息判断系统资源使用率是否超过预先设置的系统资源使用率阈值,如果是,提取超过系统资源使用率阈值的系统资源使用信息;
异常网络连接信息获取单元,用于采集网络连接信息,通过网络连接信息判断是否存在异常网络连接,如果是,提取异常网络连接信息;
异常端口信息获取单元,用于获取操作系统开放端口信息,与预先设置的异常端口信息进行比较,确定是否有异常端口,如果有,提取异常端口信息;
文件系统变化信息获取单元,用于监测指定敏感目录下的文件读写行为,判断是否存在可疑的文件读写行为,获取可疑的文件读写行为对应的文件系统变化信息。
结合第一方面的第二种可能的实施方式,本发明提供了第一方面的第五种可能的实施方式,其中,所述被动监控模块包括:采集单元、统计单元、分类单元以及解析单元,其中,
采集单元,用于通过网络嗅探技术采集智能设备的原始流量数据信息;
统计单元,用于统计原始流量数据信息的网络流量,得到统计的网络流量信息;
分类单元,用于对原始流量数据信息进行流还原,检测流还原的原始流量数据信息中包含的网络流量类型,并根据网络流量类型对流还原的原始流量数据信息进行分类统计,得到分类流量数据信息;
解析单元,用于判断分类流量数据信息是否加密,若加密,获取该分类流量数据信息,若未加密,对该分类流量数据信息进行内容解析,检测解析得到的内容是否存在敏感内容,若是,提取该解析得到的内容。
第二方面,本发明提供了远程安全监测设备,包括:扫描模块、智能设备指纹库、安全威胁库、安全处理模块以及预警模块,其中,
扫描模块,用于基于预先设置的智能设备指纹库,对智能设备进行端口和漏洞扫描,确定智能设备是否存在扫描风险,若是,通知预警模块;
安全处理模块,用于依据接收的智能设备恶意使用行为信息以及异常流量数据信息,与预先设置的安全威胁库进行恶意使用行为分析和隐私侵犯行为特征匹配,检测智能设备是否存在恶意使用行为和隐私侵犯行为,若存在恶意使用行为、和/或,隐私侵犯行为,通知预警模块;
预警模块,用于依据接收的通知发送预警信息。
结合第二方面,本发明提供了第二方面的第一种可能的实施方式,其中,所述远程安全监测设备还包括:
连接状态检测模块,用于检测与智能设备的连接状态,若连接状态为连通,通知扫描模块对智能设备进行端口和漏洞扫描,以及,通知安全处理模块接收智能设备恶意使用行为信息以及异常流量数据信息;若连接状态为离线或故障,通知预警模块。
结合第二方面或第二方面的第一种可能的实施方式,本发明提供了第二方面的第二种可能的实施方式,其中,所述安全处理模块还用于基于存在的恶意使用行为、和/或,隐私侵犯行为判断智能设备是否被控制,若被控制,通知预警模块。
第三方面,本发明提供了远程安全监测方法,包括:
智能设备采集智能设备行为信息以及原始流量数据信息,对智能设备行为信息以及原始流量数据信息进行分析,获取智能设备恶意使用行为信息以及异常流量数据信息;
将获取的智能设备恶意使用行为信息以及异常流量数据信息上报;
远程安全监测设备基于预先设置的智能设备指纹库,对智能设备进行端口和漏洞扫描;
接收智能设备恶意使用行为信息以及异常流量数据信息,与预先设置的安全威胁库分别进行恶意使用行为分析和特征匹配,检测智能设备是否存在恶意使用行为和隐私侵犯行为;
若存在恶意使用行为、和/或,隐私侵犯行为、和/或,扫描风险,进行预警。
本申请实施例提供的远程安全监测设备、系统及远程安全监测方法,远程安全监测系统包括:远程安全监测设备以及智能设备,其中,远程安全监测设备,用于基于预先设置的智能设备指纹库,对智能设备进行端口和漏洞扫描,确定智能设备是否存在扫描风险,若是,进行预警;接收智能设备上报的智能设备恶意使用行为信息以及异常流量数据信息,与预先设置的安全威胁库分别进行恶意使用行为分析和特征匹配,检测智能设备是否存在恶意使用行为和隐私侵犯行为,若存在恶意使用行为、和/或,隐私侵犯行为,进行预警;智能设备,用于采集智能设备行为信息以及原始流量数据信息,对智能设备行为信息以及原始流量数据信息进行分析,获取智能设备恶意使用行为信息以及异常流量数据信息并上报至远程安全监测设备,从而能够基于多维度的数据信息进行安全分析,可以实现对智能设备的多维度安全监测,准确性高、误报率低、安全监测效率高。
为使本申请的上述目的、特征和优点能更明显易懂,下文特举较佳实施例,并配合所附附图,作详细说明如下。
附图说明
为了更清楚地说明本申请实施例的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本申请的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1为本申请实施例涉及的远程安全监测系统结构示意图;
图2为本申请实施例涉及的远程安全监测设备结构示意图;
图3为本申请实施例涉及的智能设备结构示意图;
图4为本申请实施例涉及的远程安全监测方法流程示意图。
具体实施方式
为使本申请实施例的目的、技术方案和优点更加清楚,下面将结合本申请实施例中附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。通常在此处附图中描述和示出的本申请实施例的组件可以以各种不同的配置来布置和设计。因此,以下对在附图中提供的本申请的实施例的详细描述并非旨在限制要求保护的本申请的范围,而是仅仅表示本申请的选定实施例。基于本申请的实施例,本领域技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本申请保护的范围。
图1为本申请实施例涉及的远程安全监测系统结构示意图。如图1所示,该远程安全监测系统包括:远程安全监测设备11以及智能设备12,其中,
远程安全监测设备11,用于基于预先设置的智能设备指纹库,对智能设备12进行端口和漏洞扫描,确定智能设备12是否存在扫描风险,若是,进行预警;
接收智能设备12上报的智能设备恶意使用行为信息以及异常流量数据信息,与预先设置的安全威胁库分别进行恶意使用行为分析和特征匹配,检测智能设备12是否存在恶意使用行为和隐私侵犯行为,若存在恶意使用行为、和/或,隐私侵犯行为,进行预警;
本实施例中,作为一可选实施例,智能设备指纹库中存储的信息包括:存在扫描风险的硬件厂商信息、硬件平台信息、操作系统信息、操作系统版本信息以及弱口令信息等信息。实际应用中,作为另一可选实施例,智能设备指纹库还可以依据实际需要以及漏洞更新策略进行更新。
本实施例中,作为一可选实施例,可以是智能设备12采集包括硬件厂商信息、硬件平台信息、操作系统信息、操作系统版本信息以及口令信息的智能设备属性信息,上报至远程安全监测设备11,远程安全监测设备11基于预先设置的智能设备指纹库,对上报的智能设备属性信息进行分析,从而确定智能设备12存在哪些扫描风险,例如,上报的智能设备属性信息中的硬件平台信息为XX平台、操作系统信息为YY操作系统、口令信息为123456,如果智能设备指纹库中存在扫描风险的硬件平台信息包括XX平台,存在扫描风险的操作系统信息包括YY操作系统,存在扫描风险的口令信息包括123456,则可以确定该智能设备12存在的扫描风险包括:XX平台风险、YY操作系统漏洞以及弱口令,在确定存在任一扫描风险后,进行预警,预警时可以提供具体的风险信息。作为另一可选实施例,也可以调用智能设备指纹库,对智能设备12进行端口扫描和漏洞检测,以检测智能设备是否存在操作系统漏洞、和/或,弱口令等扫描风险,若存在,进行预警。
本实施例中,作为一可选实施例,安全威胁库包含恶意使用行为分析子库以及隐私侵犯行为特征子库,基于恶意使用行为分析子库对智能设备12上报的智能设备恶意使用行为信息进行分析,基于隐私侵犯行为特征子库对异常流量数据信息进行隐私侵犯行为特征匹配,从而检测智能设备12是否存在恶意使用行为、和/或,隐私侵犯行为。当然,实际应用中,也可以基于恶意使用行为分析子库以及隐私侵犯行为特征子库对智能设备恶意使用行为信息进行分析,基于恶意使用行为分析子库以及隐私侵犯行为特征子库对异常流量数据信息进行隐私侵犯行为特征匹配。
本实施例中,作为一可选实施例,远程安全监测设备11还用于基于存在的恶意使用行为、和/或,隐私侵犯行为,结合预先设置的被控制识别策略,判断智能设备12是否被控制,若被控制,进行预警。
智能设备12,用于采集智能设备行为信息以及原始流量数据信息,对智能设备行为信息以及原始流量数据信息进行分析,获取智能设备恶意使用行为信息以及异常流量数据信息并上报至远程安全监测设备11。
本实施例中,作为一可选实施例,智能设备行为信息包括但不限于:系统资源使用信息、网络连接信息、操作系统开放端口信息以及文件系统变化信息中的一种或其任意组合。其中,
系统资源使用信息包括但不限于:智能设备的CPU使用信息、内存使用信息、磁盘IO使用信息等。作为一可选实施例,可以通过采样的方式获取系统资源使用信息,基于获取的系统资源使用信息判断系统资源使用率是否超过预先设置的系统资源使用率阈值,如果是,将超过系统资源使用率阈值的系统资源使用信息记录到监测文件中。
本实施例中,以内存使用信息为例,内存使用率为已使用的内存容量占内存总容量的百分比。
本实施例中,作为一可选实施例,网络连接信息表征智能设备的对外网络连接状态,通过网络连接信息判断该智能设备中是否存在异常网络连接,如果是,将异常网络连接信息记录到监测文件中。
本实施例中,作为一可选实施例,操作系统开放端口信息用于表征操作系统开放的服务端口,通过获取操作系统开放端口信息,与预先设置的异常端口信息进行比较,可以确定是否有异常端口,如果有,将异常端口信息写入到监测文件中。
本实施例中,作为一可选实施例,文件系统变化信息用于表征指定敏感目录下的文件读写行为,通过监测指定敏感目录下的文件读写行为,判断是否存在可疑的文件读写行为,将可疑的文件读写行为记录到监测文件中。最后,将监测文件进行上传至远程安全监测设备11,远程安全监测设备11根据恶意使用行为分析子库中存储的恶意使用行为分析策略,对监测文件中的信息进行恶意使用行为分析。
本实施例中,作为一可选实施例,对原始流量数据信息进行分析,获取异常的流量数据信息包括:
统计原始流量数据信息的网络流量,将统计的网络流量写入到监测文件中;
对原始流量数据信息进行流还原,检测流还原的原始流量数据信息中包含的网络流量类型,并根据网络流量类型对流还原的原始流量数据信息进行分类统计,得到分类流量数据信息,网络流量类型包括但不限于:网络流量协议类型;
判断分类流量数据信息是否加密,若加密,将该分类流量数据信息写入到监测文件中,若未加密,对该分类流量数据信息进行内容解析,检测解析得到的内容是否存在敏感内容,若是,将该解析得到的内容写入监测文件。
本实施例中,不同的网络流量协议,例如,DNS协议、HTTP协议具有不同的加密算法,如果分类流量数据信息进行了加密,对该分类流量数据信息进行标记后写入监测文件,如果分类流量数据信息没有加密,该分类流量数据信息为明文数据,对明文数据进行内容解析,判断解析的内容是否存在敏感内容,若是,将该敏感内容写入监测文件。
本实施例中,作为一可选实施例,智能设备12主动向远程安全监测设备11上报采集到的数据信息,例如,智能设备恶意使用行为信息以及异常流量数据信息;远程安全监测设备定期依据智能设备属性信息对智能设备12进行端口及漏洞监控和扫描,并对智能设备12上报的数据信息进行处理,根据处理结果确定是否触发报警,若确定触发报警,可以通过短信、邮件、微信、QQ等方式通知智能设备对应的用户。
本实施例中,作为一可选实施例,远程安全监测设备11的数量为1,智能设备12的数量为一个或多个,远程安全监测设备11与智能设备12通过无线方式连接,远程安全监测设备11定期对多个智能设备11进行轮询探测。
本实施例中,作为一可选实施例,远程安全监测设备11可以是用户端设备,例如,用户终端。
本实施例中,通过对智能设备进行扫描以确定智能设备是否具有扫描风险,结合智能设备上报的智能设备恶意使用行为信息,进行恶意使用行为分析以确定智能设备是否具有恶意使用行为,以及,结合上报的异常流量数据信息进行隐私侵犯行为特征匹配,以确定智能设备是否具有隐私侵犯行为,并可以基于扫描风险、恶意使用行为以及隐私侵犯行为,能够检测出智能设备是否已经被恶意控制。这样,一方面,可以对智能设备进行端口扫描和漏洞检测,另一方面,智能设备上报的数据信息中,既包括主动数据采集维度,又包括被动数据采集维度,从而增加了数据信息采集的维度,依据多维度上报的数据信息进行安全分析,可以实现对智能设备的多维度安全监测,准确性高、误报率低。
图2为本申请实施例涉及的远程安全监测设备结构示意图。如图2所示,该远程安全监测设备包括:扫描模块21、智能设备指纹库22、安全威胁库23、安全处理模块24以及预警模块25,其中,
扫描模块21,用于基于预先设置的智能设备指纹库22,对智能设备进行端口和漏洞扫描,确定智能设备是否存在扫描风险,若是,通知预警模块25;
安全处理模块24,用于依据接收的智能设备恶意使用行为信息以及异常流量数据信息,与预先设置的安全威胁库23进行恶意使用行为分析和隐私侵犯行为特征匹配,检测智能设备是否存在恶意使用行为和隐私侵犯行为,若存在恶意使用行为、和/或,隐私侵犯行为,通知预警模块25;
预警模块25,用于依据接收的通知发送预警信息。
本实施例中,作为一可选实施例,安全威胁库包含恶意使用行为分析子库以及隐私侵犯行为特征子库,基于恶意使用行为分析子库对智能设备上报的智能设备恶意使用行为信息进行分析,基于隐私侵犯行为特征子库对异常流量数据信息进行隐私侵犯行为特征匹配,从而检测智能设备是否存在恶意使用行为、和/或,隐私侵犯行为。
本实施例中,作为一可选实施例,安全处理模块24还用于基于存在的恶意使用行为、和/或,隐私侵犯行为判断智能设备是否被控制,若被控制,通知预警模块25。
本实施例中,作为一可选实施例,远程安全监测设备还包括:
连接状态检测模块(图中未示出),用于检测与智能设备的连接状态,若连接状态为连通,通知扫描模块21对智能设备进行端口和漏洞扫描,以及,通知安全处理模块24接收智能设备恶意使用行为信息以及异常流量数据信息;若连接状态为离线或故障,通知预警模块。
本实施例中,作为一可选实施例,通过向智能设备发送ping命令,若能ping通且接收到智能设备的反馈,表明该智能设备在线;若能ping通但接收不到智能设备的反馈,表明该智能设备存在故障;若不能ping通,表明该智能设备离线。
图3为本申请实施例涉及的智能设备结构示意图。如图3所示,该智能设备包括:主动监控模块31、被动监控模块32以及上报模块33,其中,
主动监控模块31,用于主动采集智能设备行为信息,对采集的智能设备行为信息进行分析,获取智能设备恶意使用行为信息;
被动监控模块32,用于通过网络嗅探技术采集智能设备的原始流量数据信息,对采集的原始流量数据信息进行分析,获取异常流量数据信息;
数据上报模块33,用于将智能设备恶意使用行为信息以及异常流量数据信息上报。
本实施例中,作为一可选实施例,该智能设备还包括:
属性信息采集模块(图中未示出),用于采集并获取智能设备属性信息。
本实施例中,作为一可选实施例,智能设备属性信息包括:硬件厂商信息、硬件平台信息、操作系统信息、操作系统版本信息以及口令信息的中的一种或其任意组合。
本实施例中,作为一可选实施例,智能设备行为信息包括但不限于:系统资源使用信息、网络连接信息、操作系统开放端口信息以及文件系统变化信息。
本实施例中,作为一可选实施例,主动监控模块包括:异常系统资源使用信息获取单元、异常网络连接信息获取单元、异常端口信息获取单元以及文件系统变化信息获取单元(图中未示出),其中,
异常系统资源使用信息获取单元,用于获取系统资源使用信息,基于获取的系统资源使用信息判断系统资源使用率是否超过预先设置的系统资源使用率阈值,如果是,提取超过系统资源使用率阈值的系统资源使用信息;
异常网络连接信息获取单元,用于采集网络连接信息,通过网络连接信息判断是否存在异常网络连接,如果是,提取异常网络连接信息;
异常端口信息获取单元,用于获取操作系统开放端口信息,与预先设置的异常端口信息进行比较,确定是否有异常端口,如果有,提取异常端口信息;
文件系统变化信息获取单元,用于监测指定敏感目录下的文件读写行为,判断是否存在可疑的文件读写行为,获取可疑的文件读写行为对应的文件系统变化信息。
本实施例中,作为一可选实施例,被动监控模块包括:采集单元、统计单元、分类单元以及解析单元(图中未示出),其中,
采集单元,用于通过网络嗅探技术采集智能设备的原始流量数据信息;
统计单元,用于统计原始流量数据信息的网络流量,得到统计的网络流量信息;
分类单元,用于对原始流量数据信息进行流还原,检测流还原的原始流量数据信息中包含的网络流量类型,并根据网络流量类型对流还原的原始流量数据信息进行分类统计,得到分类流量数据信息;
解析单元,用于判断分类流量数据信息是否加密,若加密,获取该分类流量数据信息,若未加密,对该分类流量数据信息进行内容解析,检测解析得到的内容是否存在敏感内容,若是,提取该解析得到的内容。
图4为本申请实施例涉及的远程安全监测方法流程示意图。如图4所示,该方法包括:
步骤401,智能设备采集智能设备行为信息以及原始流量数据信息,对智能设备行为信息以及原始流量数据信息进行分析,获取智能设备恶意使用行为信息以及异常流量数据信息;
本实施例中,作为一可选实施例,对原始流量数据信息进行分析,获取异常的流量数据信息包括:
统计原始流量数据信息的网络流量,将统计的网络流量写入到监测文件中;
对原始流量数据信息进行流还原,检测流还原的原始流量数据信息中包含的网络流量类型,并根据网络流量类型对流还原的原始流量数据信息进行分类统计,得到分类流量数据信息,网络流量类型包括但不限于:网络流量协议类型;
判断分类流量数据信息是否加密,若加密,将该分类流量数据信息写入到监测文件中,若未加密,对该分类流量数据信息进行内容解析,检测解析得到的内容是否存在敏感内容,若是,将该解析得到的内容写入监测文件。
本实施例中,作为另一可选实施例,对智能设备行为信息进行分析,获取智能设备恶意使用行为信息包括:
获取系统资源使用信息,基于获取的系统资源使用信息判断系统资源使用率是否超过预先设置的系统资源使用率阈值,如果是,提取超过系统资源使用率阈值的系统资源使用信息;
采集网络连接信息,通过网络连接信息判断是否存在异常网络连接,如果是,提取异常网络连接信息;
获取操作系统开放端口信息,与预先设置的异常端口信息进行比较,确定是否有异常端口,如果有,提取异常端口信息;
监测指定敏感目录下的文件读写行为,判断是否存在可疑的文件读写行为,获取可疑的文件读写行为对应的文件系统变化信息。
步骤402,将获取的智能设备恶意使用行为信息以及异常流量数据信息上报;
步骤403,远程安全监测设备基于预先设置的智能设备指纹库,对智能设备进行端口和漏洞扫描;
本实施例中,作为一可选实施例,智能设备指纹库中存储的信息包括:存在扫描风险的硬件厂商信息、硬件平台信息、操作系统信息、操作系统版本信息以及弱口令信息等信息。
步骤404,接收智能设备恶意使用行为信息以及异常流量数据信息,与预先设置的安全威胁库分别进行恶意使用行为分析和特征匹配,检测智能设备是否存在恶意使用行为和隐私侵犯行为;
本实施例中,作为一可选实施例,与预先设置的安全威胁库分别进行恶意使用行为分析和特征匹配包括:
基于安全威胁库中的恶意使用行为分析子库对智能设备恶意使用行为信息进行分析,基于安全威胁库中的隐私侵犯行为特征子库对异常流量数据信息进行隐私侵犯行为特征匹配。
步骤405,若存在恶意使用行为、和/或,隐私侵犯行为、和/或,扫描风险,进行预警。
本实施例中,作为一可选实施例,可以通过短信、邮件、微信、QQ等方式对智能设备对应的用户进行预警。
本实施例中,作为一可选实施例,该方法还包括:
基于存在的恶意使用行为、和/或,隐私侵犯行为,结合预先设置的被控制识别策略,判断智能设备是否被控制,若被控制,进行预警。
在本申请所提供的实施例中,应该理解到,所揭露装置和方法,可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,又例如,多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些通信接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本申请提供的实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。
所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释,此外,术语“第一”、“第二”、“第三”等仅用于区分描述,而不能理解为指示或暗示相对重要性。
最后应说明的是:以上所述实施例,仅为本申请的具体实施方式,用以说明本申请的技术方案,而非对其限制,本申请的保护范围并不局限于此,尽管参照前述实施例对本申请进行了详细的说明,本领域的普通技术人员应当理解:任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,其依然可以对前述实施例所记载的技术方案进行修改或可轻易想到变化,或者对其中部分技术特征进行等同替换;而这些修改、变化或者替换,并不使相应技术方案的本质脱离本申请实施例技术方案的精神和范围。都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应所述以权利要求的保护范围为准。
Claims (8)
1.一种远程安全监测系统,其特征在于,包括:远程安全监测设备以及智能设备,其中,
远程安全监测设备,用于基于预先设置的智能设备指纹库,对智能设备进行端口和漏洞扫描,确定智能设备是否存在扫描风险,若是,进行预警;
接收智能设备上报的智能设备恶意使用行为信息以及异常流量数据信息,与预先设置的安全威胁库分别进行恶意使用行为分析和特征匹配,检测智能设备是否存在恶意使用行为和隐私侵犯行为,若存在恶意使用行为、和/或,隐私侵犯行为,进行预警;
智能设备,用于采集智能设备行为信息以及原始流量数据信息,对智能设备行为信息以及原始流量数据信息进行分析,获取智能设备恶意使用行为信息以及异常流量数据信息并上报至远程安全监测设备;
所述智能设备包括:主动监控模块、被动监控模块以及上报模块,其中,
主动监控模块,用于主动采集智能设备行为信息,对采集的智能设备行为信息进行分析,获取智能设备恶意使用行为信息;
被动监控模块,用于通过网络嗅探技术采集智能设备的原始流量数据信息,对采集的原始流量数据信息进行分析,获取异常流量数据信息;
上报模块,用于将智能设备恶意使用行为信息以及异常流量数据信息上报;
所述主动监控模块包括:异常系统资源使用信息获取单元、异常网络连接信息获取单元、异常端口信息获取单元以及文件系统变化信息获取单元,其中,
异常系统资源使用信息获取单元,用于获取系统资源使用信息,基于获取的系统资源使用信息判断系统资源使用率是否超过预先设置的系统资源使用率阈值,如果是,提取超过系统资源使用率阈值的系统资源使用信息;
异常网络连接信息获取单元,用于采集网络连接信息,通过网络连接信息判断是否存在异常网络连接,如果是,提取异常网络连接信息;
异常端口信息获取单元,用于获取操作系统开放端口信息,与预先设置的异常端口信息进行比较,确定是否有异常端口,如果有,提取异常端口信息;
文件系统变化信息获取单元,用于监测指定敏感目录下的文件读写行为,判断是否存在可疑的文件读写行为,获取可疑的文件读写行为对应的文件系统变化信息。
2.如权利要求1所述的远程安全监测系统,其特征在于,所述远程安全监测设备还用于基于存在的恶意使用行为、和/或,隐私侵犯行为,结合预先设置的被控制识别策略,判断智能设备是否被控制,若被控制,进行预警。
3.如权利要求1所述的远程安全监测系统,其特征在于,所述智能设备还包括:
属性信息采集模块,用于采集并获取智能设备属性信息。
4.如权利要求1所述的远程安全监测系统,其特征在于,所述被动监控模块包括:采集单元、统计单元、分类单元以及解析单元,其中,
采集单元,用于通过网络嗅探技术采集智能设备的原始流量数据信息;
统计单元,用于统计原始流量数据信息的网络流量,得到统计的网络流量信息;
分类单元,用于对原始流量数据信息进行流还原,检测流还原的原始流量数据信息中包含的网络流量类型,并根据网络流量类型对流还原的原始流量数据信息进行分类统计,得到分类流量数据信息;
解析单元,用于判断分类流量数据信息是否加密,若加密,获取该分类流量数据信息,若未加密,对该分类流量数据信息进行内容解析,检测解析得到的内容是否存在敏感内容,若是,提取该解析得到的内容。
5.一种远程安全监测设备,其特征在于,包括:扫描模块、智能设备指纹库、安全威胁库、安全处理模块以及预警模块,其中,
扫描模块,用于基于预先设置的智能设备指纹库,对智能设备进行端口和漏洞扫描,确定智能设备是否存在扫描风险,若是,通知预警模块;
安全处理模块,用于依据接收的智能设备恶意使用行为信息以及异常流量数据信息,与预先设置的安全威胁库进行恶意使用行为分析和隐私侵犯行为特征匹配,检测智能设备是否存在恶意使用行为和隐私侵犯行为,若存在恶意使用行为、和/或,隐私侵犯行为,通知预警模块;
预警模块,用于依据接收的通知发送预警信息;
所述智能设备包括:主动监控模块、被动监控模块以及上报模块,其中,
主动监控模块,用于主动采集智能设备行为信息,对采集的智能设备行为信息进行分析,获取智能设备恶意使用行为信息;
被动监控模块,用于通过网络嗅探技术采集智能设备的原始流量数据信息,对采集的原始流量数据信息进行分析,获取异常流量数据信息;
上报模块,用于将智能设备恶意使用行为信息以及异常流量数据信息上报;
所述主动监控模块包括:异常系统资源使用信息获取单元、异常网络连接信息获取单元、异常端口信息获取单元以及文件系统变化信息获取单元,其中,
异常系统资源使用信息获取单元,用于获取系统资源使用信息,基于获取的系统资源使用信息判断系统资源使用率是否超过预先设置的系统资源使用率阈值,如果是,提取超过系统资源使用率阈值的系统资源使用信息;
异常网络连接信息获取单元,用于采集网络连接信息,通过网络连接信息判断是否存在异常网络连接,如果是,提取异常网络连接信息;
异常端口信息获取单元,用于获取操作系统开放端口信息,与预先设置的异常端口信息进行比较,确定是否有异常端口,如果有,提取异常端口信息;
文件系统变化信息获取单元,用于监测指定敏感目录下的文件读写行为,判断是否存在可疑的文件读写行为,获取可疑的文件读写行为对应的文件系统变化信息。
6.如权利要求5所述的远程安全监测设备,其特征在于,所述远程安全监测设备还包括:
连接状态检测模块,用于检测与智能设备的连接状态,若连接状态为连通,通知扫描模块对智能设备进行端口和漏洞扫描,以及,通知安全处理模块接收智能设备恶意使用行为信息以及异常流量数据信息;若连接状态为离线或故障,通知预警模块。
7.如权利要求5或6所述的远程安全监测设备,其特征在于,所述安全处理模块还用于基于存在的恶意使用行为、和/或,隐私侵犯行为判断智能设备是否被控制,若被控制,通知预警模块。
8.一种远程安全监测方法,其特征在于,该方法包括:
智能设备采集智能设备行为信息以及原始流量数据信息,对智能设备行为信息以及原始流量数据信息进行分析,获取智能设备恶意使用行为信息以及异常流量数据信息;
将获取的智能设备恶意使用行为信息以及异常流量数据信息上报;
远程安全监测设备基于预先设置的智能设备指纹库,对智能设备进行端口和漏洞扫描;
接收智能设备恶意使用行为信息以及异常流量数据信息,与预先设置的安全威胁库分别进行恶意使用行为分析和特征匹配,检测智能设备是否存在恶意使用行为和隐私侵犯行为;
若存在恶意使用行为、和/或,隐私侵犯行为、和/或,扫描风险,进行预警;
所述智能设备包括:主动监控模块、被动监控模块以及上报模块,其中,
主动监控模块,用于主动采集智能设备行为信息,对采集的智能设备行为信息进行分析,获取智能设备恶意使用行为信息;
被动监控模块,用于通过网络嗅探技术采集智能设备的原始流量数据信息,对采集的原始流量数据信息进行分析,获取异常流量数据信息;
上报模块,用于将智能设备恶意使用行为信息以及异常流量数据信息上报;
所述主动监控模块包括:异常系统资源使用信息获取单元、异常网络连接信息获取单元、异常端口信息获取单元以及文件系统变化信息获取单元,其中,
异常系统资源使用信息获取单元,用于获取系统资源使用信息,基于获取的系统资源使用信息判断系统资源使用率是否超过预先设置的系统资源使用率阈值,如果是,提取超过系统资源使用率阈值的系统资源使用信息;
异常网络连接信息获取单元,用于采集网络连接信息,通过网络连接信息判断是否存在异常网络连接,如果是,提取异常网络连接信息;
异常端口信息获取单元,用于获取操作系统开放端口信息,与预先设置的异常端口信息进行比较,确定是否有异常端口,如果有,提取异常端口信息;
文件系统变化信息获取单元,用于监测指定敏感目录下的文件读写行为,判断是否存在可疑的文件读写行为,获取可疑的文件读写行为对应的文件系统变化信息。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201810291930.5A CN108650225B (zh) | 2018-04-03 | 2018-04-03 | 一种远程安全监测设备、系统及远程安全监测方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201810291930.5A CN108650225B (zh) | 2018-04-03 | 2018-04-03 | 一种远程安全监测设备、系统及远程安全监测方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN108650225A CN108650225A (zh) | 2018-10-12 |
CN108650225B true CN108650225B (zh) | 2021-03-02 |
Family
ID=63745143
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201810291930.5A Active CN108650225B (zh) | 2018-04-03 | 2018-04-03 | 一种远程安全监测设备、系统及远程安全监测方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN108650225B (zh) |
Families Citing this family (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109639630B (zh) * | 2018-10-30 | 2021-06-18 | 国网陕西省电力公司信息通信公司 | 一种终端端口管控系统及管控方法 |
WO2020132949A1 (zh) * | 2018-12-26 | 2020-07-02 | 西门子股份公司 | 用于工业控制系统的监测方法、装置、系统和计算机可读介质 |
CN110035436B (zh) * | 2019-01-16 | 2022-04-01 | 杭州蚂蚁聚慧网络技术有限公司 | 信息监控方法、装置、设备及存储介质 |
CN110620768A (zh) * | 2019-09-16 | 2019-12-27 | 北京方研矩行科技有限公司 | 一种用于物联网智能终端的基线安全检测方法及装置 |
CN110891047B (zh) * | 2019-10-08 | 2024-09-06 | 中国信息通信研究院 | 智能音箱数据流处理方法及系统 |
CN111556473A (zh) * | 2020-05-08 | 2020-08-18 | 国家计算机网络与信息安全管理中心 | 一种异常访问行为检测方法及装置 |
CN112165453B (zh) * | 2020-09-01 | 2021-07-20 | 珠海格力电器股份有限公司 | 智能设备防入侵方法、装置、智能设备和服务器 |
CN112511387A (zh) * | 2020-12-15 | 2021-03-16 | 北京京航计算通讯研究所 | 基于多源信息分析的网络攻击监测系统 |
CN113284516A (zh) * | 2021-03-29 | 2021-08-20 | 威凯检测技术有限公司 | 一种基于能耗的智能语音产品隐私侵犯检测方法 |
CN114338111B (zh) * | 2021-12-20 | 2023-11-28 | 北京华云安信息技术有限公司 | 漏洞封堵方法、装置、设备和存储介质 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101001242A (zh) * | 2006-01-10 | 2007-07-18 | 中兴通讯股份有限公司 | 网络设备入侵检测的方法 |
CN101686235A (zh) * | 2008-09-26 | 2010-03-31 | 中联绿盟信息技术(北京)有限公司 | 网络异常流量分析设备和方法 |
CN102340485A (zh) * | 2010-07-19 | 2012-02-01 | 中国科学院计算技术研究所 | 基于信息关联的网络安全态势感知系统及其方法 |
CN103905451A (zh) * | 2014-04-03 | 2014-07-02 | 国家电网公司 | 一种智能电网嵌入式设备网络攻击诱捕系统和诱捕方法 |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2015155529A1 (en) * | 2014-04-11 | 2015-10-15 | British Telecommunications Public Limited Company | Security protocol monitoring |
-
2018
- 2018-04-03 CN CN201810291930.5A patent/CN108650225B/zh active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101001242A (zh) * | 2006-01-10 | 2007-07-18 | 中兴通讯股份有限公司 | 网络设备入侵检测的方法 |
CN101686235A (zh) * | 2008-09-26 | 2010-03-31 | 中联绿盟信息技术(北京)有限公司 | 网络异常流量分析设备和方法 |
CN102340485A (zh) * | 2010-07-19 | 2012-02-01 | 中国科学院计算技术研究所 | 基于信息关联的网络安全态势感知系统及其方法 |
CN103905451A (zh) * | 2014-04-03 | 2014-07-02 | 国家电网公司 | 一种智能电网嵌入式设备网络攻击诱捕系统和诱捕方法 |
Also Published As
Publication number | Publication date |
---|---|
CN108650225A (zh) | 2018-10-12 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN108650225B (zh) | 一种远程安全监测设备、系统及远程安全监测方法 | |
US11936666B1 (en) | Risk analyzer for ascertaining a risk of harm to a network and generating alerts regarding the ascertained risk | |
JP6863969B2 (ja) | 低信頼度のセキュリティイベントによるセキュリティインシデントの検出 | |
US9979739B2 (en) | Automated forensics of computer systems using behavioral intelligence | |
JP6201614B2 (ja) | ログ分析装置、方法およびプログラム | |
CN110313147B (zh) | 数据处理方法、装置和系统 | |
CN112184091B (zh) | 工控系统安全威胁评估方法、装置和系统 | |
CN111274583A (zh) | 一种大数据计算机网络安全防护装置及其控制方法 | |
CN110602041A (zh) | 基于白名单的物联网设备识别方法、装置及网络架构 | |
WO2019035120A1 (en) | SYSTEM AND METHOD FOR DETECTING CYBER-THREATS | |
KR101444308B1 (ko) | 정보 유출 조기 경보 시스템 | |
CN111556473A (zh) | 一种异常访问行为检测方法及装置 | |
CN108234426B (zh) | Apt攻击告警方法和apt攻击告警装置 | |
Ho et al. | False positives and negatives from real traffic with intrusion detection/prevention systems | |
US11863577B1 (en) | Data collection and analytics pipeline for cybersecurity | |
KR100950582B1 (ko) | 서포트 벡터 데이터 명세를 이용한 트래픽 폭주 공격 탐지방법, 그 장치 및 이를 기록한 기록 매체 | |
CN112650180B (zh) | 安全告警方法、装置、终端设备及存储介质 | |
Walling et al. | A survey on intrusion detection systems: Types, datasets, machine learning methods for NIDS and challenges | |
CN116707927A (zh) | 态势感知方法、系统、计算机设备及存储介质 | |
CN114584391B (zh) | 异常流量处理策略的生成方法、装置、设备及存储介质 | |
KR101022167B1 (ko) | 네트워크 자산의 취약성을 고려한 침입탐지시스템의로그최적화 장치 | |
KR101973728B1 (ko) | 통합 보안 이상징후 모니터링 시스템 | |
CN112395600B (zh) | 恶意行为的去误报方法、装置及设备 | |
US11503060B2 (en) | Information processing apparatus, information processing system, security assessment method, and security assessment program | |
CN114154160B (zh) | 容器集群监测方法、装置、电子设备及存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |