CN108900488B - 一种物联网场景下去中心化的异常终端发现方法及装置 - Google Patents
一种物联网场景下去中心化的异常终端发现方法及装置 Download PDFInfo
- Publication number
- CN108900488B CN108900488B CN201810640246.3A CN201810640246A CN108900488B CN 108900488 B CN108900488 B CN 108900488B CN 201810640246 A CN201810640246 A CN 201810640246A CN 108900488 B CN108900488 B CN 108900488B
- Authority
- CN
- China
- Prior art keywords
- terminal
- abnormal
- terminal equipment
- group
- equipment
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Abstract
本发明提供了一种物联网场景下去中心化的异常终端发现方法及装置,包括:当终端组与管理中心之间的通信链路出现异常时,第一终端设备对终端组内的各个终端设备进行检测,得到异常终端设备的检测结果,在终端组与管理中心之间的通信链路恢复之后,再将异常终端设备的检测结果发送至管理中心,以使管理中心对异常终端设备的检测结果进行确认分析。本发明的方法能够通过终端组内的终端设备之间的互检方式检测终端设备是否异常,即使是在终端设备与管理中心之间的通信链路出现异常时,也能实现对异常终端设备的检测,实现了无缝的管理,缓解了现有的物联网管理方法中,终端设备的异常行为无法在所有场景下都能被及时发现,存在管理疏漏的技术问题。
Description
技术领域
本发明涉及物联网的技术领域,尤其是涉及一种物联网场景下去中心化的异常终端发现方法及装置。
背景技术
在物联网管理系统中,如图1所示,管理中心与终端设备之间是存在通信链路的。通过该链路,一方面终端设备实时上报自身的运行数据和安全数据到管理中心。管理中心根据所有终端设备的数据上报情况,进行安全威胁态势分析,并得出统一的安全策略下发到各个终端设备上;另外,管理员也可以通过管理中心对各个终端设备进行手工策略、配置的下发。由于安全事件和威胁时刻都可能发生,管理中心需要做出最及时的响应并生成安全策略下发给终端设备。管理中心与终端设备之间的通信网络可以是专用网络也可以是通用的IP网络,但是由于网络设备故障或者管理中心的故障等因素会造成无法对终端设备的安全事件和威胁进行及时响应的情况。
现有的技术方案大多采用tcp连接的方式实现终端设备与管理中心之间的通信,通过管理中心的数据汇总和分析对终端设备进行安全事件的处置。但是,现有技术中通过管理中心的数据汇总和分析对终端设备进行安全事件的处置时,存在以下缺陷:不能快速识别出终端设备与管理中心的链路异常,在链路异常时,无法再对终端设备的异常行为进行管理;管理中心故障之后无法对终端设备的安全事件进行及时处理;管理中心升级期间无法对终端设备的安全事件进行及时处理;终端设备的短期下线、断电或者内核异常不能被及时发现和处理。
综上,现有的物联网管理方法中,终端设备的异常行为无法在所有场景下都能被及时发现,存在管理疏漏的技术问题。
发明内容
有鉴于此,本发明的目的在于提供一种物联网场景下去中心化的异常终端发现方法及装置,以缓解现有的物联网管理方法中,终端设备的异常行为无法在所有场景下都能被及时发现,存在管理疏漏的技术问题。
第一方面,本发明实施例提供了一种物联网场景下去中心化的异常终端发现方法,所述物联网场景包括终端组和管理中心,所述方法应用于所述终端组中的第一终端设备,所述方法包括:
检测所述终端组与所述管理中心之间的通信链路是否出现异常;
如果检测到出现异常,则所述第一终端设备对所述终端组内的各个终端设备进行检测,得到异常终端设备的检测结果,并根据所述异常终端设备的检测结果使其他终端设备断开与异常终端设备的通信连接;
在所述终端组与所述管理中心之间的通信链路恢复之后,将所述异常终端设备的检测结果发送至所述管理中心,以使所述管理中心对所述异常终端设备的检测结果进行确认分析,并基于确认结果对所述异常终端设备执行相应的操作;
其中,所述物联网场景包括多个终端组,且所述多个终端组中任意两个相邻终端组之间所包含的终端设备部分相同。
结合第一方面,本发明实施例提供了第一方面的第一种可能的实施方式,其中,所述第一终端设备对所述终端组内的各个终端设备进行检测,得到异常终端设备的检测结果包括:
所述第一终端设备获取所述终端组内各个终端设备的运行数据,其中,所述运行数据包括:CPU占用率,内存占用率和通信对象;
基于所述运行数据检测所述终端组中是否存在异常终端设备,从而得到所述异常终端设备的检测结果。
结合第一方面,本发明实施例提供了第一方面的第二种可能的实施方式,其中,基于所述运行数据检测所述终端组中是否存在异常终端设备包括:
判断所述各个终端设备的运行数据是否满足以下条件:终端设备的CPU占用率大于或者等于第一阈值,终端设备的内存占用率大于或者等于第二阈值,终端设备的通信对象出现在黑名单或者未出现在白名单中,所述黑名单中包括禁止访问的IP地址,所述白名单中包括允许访问的IP地址;
确定所述各个终端设备中满足条件的终端设备为疑似异常终端设备;
获取所述各个终端设备中其他终端设备发送的异常终端设备的检测结果;并结合所述其他终端设备发送的异常终端设备的检测结果确定所述疑似异常终端设备是否为所述异常终端设备。
结合第一方面,本发明实施例提供了第一方面的第三种可能的实施方式,其中,所述方法还包括:
如果确定出的异常终端设备为所述第一终端设备,则所述第一终端设备断开与其他终端设备之间的通信连接。
第二方面,本发明实施例还提供了一种物联网场景下去中心化的异常终端发现方法,所述物联网场景包括终端组和管理中心,所述方法应用于所述终端组中的每个管理中心,所述方法包括:
在所述终端组与所述管理中心之间的通信链路恢复之后,获取所述终端组中异常终端设备发送的异常终端设备的检测结果,其中,所述异常终端设备的检测结果为所述终端组与所述管理中心之间的通信链路出现异常之后,所述异常终端设备按照上述第一方面中所述的方法得到的检测结果;
对所述异常终端设备的检测结果进行确认分析,并基于确认结果对所述异常终端设备执行相应的操作;
其中,所述物联网场景包括多个终端组,且所述多个终端组中任意两个相邻终端组之间所包含的终端设备部分相同。
结合第二方面,本发明实施例提供了第二方面的第一种可能的实施方式,其中,在获取所述终端组中异常终端设备发送的异常终端设备的检测结果之前,所述方法还包括:
获取待分组的终端设备;
按照所述待分组的终端设备的获取顺序对所述待分组的终端设备进行分组,得到多个终端组;其中,所述多个终端组除第一个终端组之外,所述多个终端组中的每个终端组与其上一个终端组包括至少一个相同的终端设备。
结合第二方面,本发明实施例提供了第二方面的第二种可能的实施方式,其中,当所述终端组中终端设备的数量为N个时,所述终端组为处于稳定状态的终端组;当所述终端组中终端设备的数量小于M时,所述终端组为未处于稳定状态的终端组,其中,M小于N。
结合第二方面,本发明实施例提供了第二方面的第三种可能的实施方式,其中,所述方法还包括:
如果检测到所述多个终端组中第一终端组中终端设备的数量小于M,则标识所述第一终端组为第一状态,其中,所述第一状态表示所述第一终端组未处于稳定状态。
结合第二方面,本发明实施例提供了第二方面的第四种可能的实施方式,其中,所述方法还包括:
如果所述多个终端组中存在多个处于所述第一状态的终端组,且所述多个处于所述第一状态的终端组为所述多个终端组中相邻的终端组,则将所述多个处于所述第一状态的终端组合并为一个终端组;
如果所述多个终端组中各个终端组所包含的终端设备的数量的总和不大于N时,则将所述多个终端组合并为一个终端组。
第三方面,本发明实施例还提供了一种物联网场景下去中心化的异常终端发现装置,所述物联网场景包括终端组和管理中心,所述装置应用于所述终端组中的第一终端设备,所述装置包括:
第一检测模块,用于检测所述终端组与所述管理中心之间的通信链路是否出现异常;
第二检测模块,如果检测到出现异常,则所述第一终端设备对所述终端组内的各个终端设备进行检测,得到异常终端设备的检测结果,并根据所述异常终端设备的检测结果使其他终端设备断开与异常终端设备的通信连接;
发送模块,在所述终端组与所述管理中心之间的通信链路恢复之后,将所述异常终端设备的检测结果发送至所述管理中心,以使所述管理中心对所述异常终端设备的检测结果进行确认分析,并基于确认结果对所述异常终端设备执行相应的操作;
其中,所述物联网场景包括多个终端组,且所述多个终端组中任意两个相邻终端组之间所包含的终端设备部分相同。
本发明实施例带来了以下有益效果:
现有的物联网管理方法中,当终端设备与管理中心之间的通信链路异常后,终端设备的异常行为无法被及时发现,存在管理上的疏漏。与现有的物联网管理方法相比,本发明的物联网场景下去中心化的异常终端发现方法中,当终端组中的第一终端设备检测到终端组与管理中心之间的通信链路出现异常时,第一终端设备对终端组内的各个终端设备进行检测,得到异常终端设备的检测结果,并根据异常终端设备的检测结果使其他终端设备断开与异常终端设备的通信连接,以免安全威胁的扩散,在终端组与管理中心之间的通信链路恢复之后,再将异常终端设备的检测结果发送至管理中心,以使管理中心对异常终端设备的检测结果进行确认分析,进而基于确认结果对异常终端设备执行相应的操作。本发明的方法能够通过终端组内的终端设备之间的互检方式检测终端设备是否异常,即使是在终端设备与管理中心之间的通信链路出现异常时,也能实现对异常终端设备的检测,异常终端设备在所有场景下都能被及时发现,实现了无缝的管理,缓解了现有的物联网管理方法中,终端设备的异常行为无法在所有场景下都能被及时发现,存在管理疏漏的技术问题。
本发明的其他特征和优点将在随后的说明书中阐述,并且,部分地从说明书中变得显而易见,或者通过实施本发明而了解。本发明的目的和其他优点在说明书、权利要求书以及附图中所特别指出的结构来实现和获得。
为使本发明的上述目的、特征和优点能更明显易懂,下文特举较佳实施例,并配合所附附图,作详细说明如下。
附图说明
为了更清楚地说明本发明具体实施方式或现有技术中的技术方案,下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施方式,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的传统的物联网管理系统的结构示意图;
图2为本发明实施例提供的物联网场景的示意图;
图3为本发明实施例提供的一种物联网场景下去中心化的异常终端发现方法的流程图;
图4为本发明实施例提供的第一终端设备对终端组内的各个终端设备进行检测的方法流程图;
图5为本发明实施例提供的基于运行数据检测终端组中是否存在异常终端设备的方法流程图;
图6为本发明实施例提供的另一种物联网场景下去中心化的异常终端发现方法的流程图;
图7(a)、图7(b)、图7(c)、图7(d)为本发明实施例提供的分组的示意图;
图8为本发明实施例提供的一种物联网场景下去中心化的异常终端发现装置的功能模块图;
图9为本发明实施例提供的另一种物联网场景下去中心化的异常终端发现装置的功能模块图;
图10为本发明实施例提供的一种电子设备的示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合附图对本发明的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
为便于对本实施例进行理解,首先对本发明实施例所公开的一种物联网场景下去中心化的异常终端发现方法进行详细介绍。
实施例一:
一种物联网场景下去中心化的异常终端发现方法,物联网场景包括终端组和管理中心,如图2所示,该方法应用于终端组中的第一终端设备,参考图3,该方法包括:
S302、检测终端组与管理中心之间的通信链路是否出现异常;
物联网系统往往由大量的物联网终端和管理中心构成。物联网终端是由传感器、数据采集器、嵌入式分析系统等构成。
在本发明实施例中,该方法应用于包括终端组和管理中心的物联网场景。如图2所示,(1)每个终端组中包括多个终端设备,终端组内的终端设备能够实现通信,也就是每一组形成一个邻居网络,在邻居网络内部能够进行数据的交换,进而通过对交换的数据进行校验的方式发现异常终端设备,也就是一个分组内的各个终端设备形成一个通信关系网,进行数据同步和比对,自动识别异常终端设备;(2)管理中心与各个终端设备之间的通信链路依然保持。用于用户配置下发和日志同步、威胁信息同步等功能;(3)每个终端设备都可能加入多个分组,终端设备加入和退出分组后,受影响的分组会重新更新分组成员;(4)终端设备被标记为异常终端设备之后,需要被隔离处理,并退出其所在的所有分组。具体的分组过程(包括加入分组和退出分组两种情况)将在实施例二中进行描述,在此不再赘述。
具体的,第一终端设备是指各终端组内的任一终端设备。第一终端设备检测终端组与管理中心之间的通信链路是否出现异常。如果没有出现异常,那么可以由管理中心对终端设备进行管理。
S304、如果检测到出现异常,则第一终端设备对终端组内的各个终端设备进行检测,得到异常终端设备的检测结果,并根据异常终端设备的检测结果使其他终端设备断开与异常终端设备的通信连接;
如果检测到终端组与管理中心之间的通信链路异常,第一终端设备对其所属的终端组内的各个终端设备进行检测,得到异常终端设备的检测结果,并根据异常终端设备的检测结果使其他终端设备断开与异常终端设备的通信连接。
具体的,异常终端是指被恶意软件或者人员控制,执行了非计划内的事物的物联网终端。这类终端的CPU使用率或者通信对象往往与其它临近终端设备不一致。
具体内容将在下文中进行介绍,在此不再赘述。
S306、在终端组与管理中心之间的通信链路恢复之后,将异常终端设备的检测结果发送至管理中心,以使管理中心对异常终端设备的检测结果进行确认分析,并基于确认结果对异常终端设备执行相应的操作;
其中,物联网场景包括多个终端组,且多个终端组中任意两个相邻终端组之间所包含的终端设备部分相同。
现有的物联网管理方法中,当终端设备与管理中心之间的通信链路异常后,终端设备的异常行为无法被及时发现,存在管理上的疏漏。与现有的物联网管理方法相比,本发明的物联网场景下去中心化的异常终端发现方法中,当终端组中的第一终端设备检测到终端组与管理中心之间的通信链路出现异常时,第一终端设备对终端组内的各个终端设备进行检测,得到异常终端设备的检测结果,并根据异常终端设备的检测结果使其他终端设备断开与异常终端设备的通信连接,以免安全威胁的扩散,在终端组与管理中心之间的通信链路恢复之后,再将异常终端设备的检测结果发送至管理中心,以使管理中心对异常终端设备的检测结果进行确认分析,进而基于确认结果对异常终端设备执行相应的操作。本发明的方法能够通过终端组内的终端设备之间的互检方式检测终端设备是否异常,即使是在终端设备与管理中心之间的通信链路出现异常时,也能实现对异常终端设备的检测,异常终端设备在所有场景下都能被及时发现,实现了无缝的管理,缓解了现有的物联网管理方法中,终端设备的异常行为无法在所有场景下都能被及时发现,存在管理疏漏的技术问题。
上述内容对去中性化的异常终端发现方法进行了整体介绍,下面对其涉及到的具体内容进行详细描述。
在一个可选地实施方式中,参考图4,第一终端设备对终端组内的各个终端设备进行检测,得到异常终端设备的检测结果包括:
S401、第一终端设备获取终端组内各个终端设备的运行数据,其中,运行数据包括:CPU占用率,内存占用率和通信对象;
具体的,终端组内的每个终端设备都与本分组内的其他终端设备建立通信关系,通过心跳报文的方式携带本终端的基本数据和收到其他终端设备的运行数据。
其中,运行数据包括:CPU占用率,内存占用率和通信对象。
S402、基于运行数据检测终端组中是否存在异常终端设备,从而得到异常终端设备的检测结果。
在得到运行数据后,基于运行数据检测终端组中是否存在异常终端设备。具体的,参考图5:
S501、判断各个终端设备的运行数据是否满足以下条件:终端设备的CPU占用率大于或者等于第一阈值,终端设备的内存占用率大于或者等于第二阈值,终端设备的通信对象出现在黑名单或者未出现在白名单中,黑名单中包括禁止访问的IP地址,白名单中包括允许访问的IP地址;
具体的,第一阈值和第二阈值为预先设定的值,本发明实施例对其不进行具体限制。
S502、确定各个终端设备中满足条件的终端设备为疑似异常终端设备;
如果终端设备满足上述条件,那么确定该终端设备为疑似异常终端设备。
S503、获取各个终端设备中其他终端设备发送的异常终端设备的检测结果;并结合其他终端设备发送的异常终端设备的检测结果确定疑似异常终端设备是否为异常终端设备。
进一步获取其他终端设备发送的异常终端设备的检测结果,结合其他终端设备发送的异常终端设备的检测结果确定疑似异常终端设备是否为异常终端设备。具体的,如果异常终端设备的检测结果中有半数以上的检测结果都显示某终端设备为疑似终端设备,那么该疑似终端设备即为异常终端设备。
可选地,该方法还包括:
如果确定出的异常终端设备为第一终端设备,则第一终端设备断开与其他终端设备之间的通信连接。
本发明的方法可以保证在管理中心不在线之后,安全事件和安全威胁仍然可以得到及时准确的处理。
实施例二:
一种物联网场景下去中心化的异常终端发现方法,物联网场景包括终端组和管理中心,该方法应用于终端组中的每个管理中心,参考图6,该方法包括:
S602、在终端组与管理中心之间的通信链路恢复之后,获取终端组中异常终端设备发送的异常终端设备的检测结果,其中,异常终端设备的检测结果为终端组与管理中心之间的通信链路出现异常之后,异常终端设备按照上述实施例一中的方法得到的检测结果;
S604、对异常终端设备的检测结果进行确认分析,并基于确认结果对异常终端设备执行相应的操作;
其中,物联网场景包括多个终端组,且多个终端组中任意两个相邻终端组之间所包含的终端设备部分相同。
该过程的执行主体为管理中心,管理中心在接收到异常终端设备的检测结果后,进行确认分析,进而基于确认结果对异常终端设备执行相应的操作。具体的,执行相应的操作是指根据异常终端的异常行为下发安全策略。
可选地,在获取终端组中异常终端设备发送的异常终端设备的检测结果之前,该方法还包括:
(1)获取待分组的终端设备;
(2)按照待分组的终端设备的获取顺序对待分组的终端设备进行分组,得到多个终端组;其中,多个终端组除第一个终端组之外,多个终端组中的每个终端组与其上一个终端组包括至少一个相同的终端设备。
在本发明实施例中,多个终端组中的每个终端组与其上一个终端组包括两个相同的终端设备,如图7(b)所示。本发明实施例对相同的终端设备的数量不进行具体限制。
具体的,终端加入分组的过程:
(1)如果多个终端组中各个终端组所包含的终端设备的数量的总和不大于N时,则将多个终端组合并为一个终端组。
(2)多个终端组除第一个终端组之外,多个终端组中的每个终端组与其上一个终端组包括至少一个相同的终端设备
(3)当终端组中终端设备的数量为N个时,终端组为处于稳定状态的终端组;
(4)新的成员(即终端设备)加入时,优先加入到未稳定的分组。没有未稳定分组时,重新开始一个新的分组。
在本发明实施例中,N的值为4,相邻两个终端组间包含两个相同的终端设备,当然本发明实施例对上述数值不进行具体限制。就是说:
(1)当终端设备的数量不大于4个时,只能形成一组,如图7(a)所示;
(2)除第一个分组外的所有新的分组都从上一个分组借用两个成员作为自己的初始成员,如图7(b)所示;
(3)所有的分组达到稳定状态时,都需要包含4个成员;
具体的,终端离开分组的过程:
(1)当终端组中终端设备的数量小于M时,终端组为未处于稳定状态的终端组,其中,M小于N。
(2)如果检测到多个终端组中第一终端组中终端设备的数量小于M,则标识第一终端组为第一状态,其中,第一状态表示第一终端组未处于稳定状态;如果多个终端组中存在多个处于第一状态的终端组,且多个处于第一状态的终端组为多个终端组中相邻的终端组,则将多个处于第一状态的终端组合并为一个终端组;
在本发明实施例中,M的值为3,当然本发明实施例对上述数值不进行具体限制。就是说:
(1)当终端设备离开分组时,如果终端组内的终端设备的数量不少于3个,终端组保持稳定;当终端设备少于3个时,终端组进入非稳定状态;
例如,图7(c)中终端设备6离开分组,演变为1234一组,345一组,且这两个终端组都处于稳定状态;
图7(c)中终端设备3离开分组,演变为124一组,456一组,且这两个终端组都处于稳定状态;
图7(c)中终端设备3和终端设备4同时离开分组,演变为12为一组,56为一组,且两个终端组都处于非稳定状态;
(2)临近的非稳定状态终端组自动合并为一个新的终端组。
例如,图7(d)中12终端组为非稳定终端组,34终端组为另外一个非稳定终端组,演变为12非稳定终端组与56非稳定终端组合并为一个终端组,分组数量减少一个,且不对其他分组产生影响。
实施例三:
一种物联网场景下去中心化的异常终端发现装置,物联网场景包括终端组和管理中心,该装置应用于终端组中的第一终端设备,参考图8,该装置包括:
第一检测模块20,用于检测终端组与管理中心之间的通信链路是否出现异常;
第二检测模块21,如果检测到出现异常,则第一终端设备对终端组内的各个终端设备进行检测,得到异常终端设备的检测结果,并根据异常终端设备的检测结果使其他终端设备断开与异常终端设备的通信连接;
发送模块22,在终端组与管理中心之间的通信链路恢复之后,将异常终端设备的检测结果发送至管理中心,以使管理中心对异常终端设备的检测结果进行确认分析,并基于确认结果对异常终端设备执行相应的操作;
其中,物联网场景包括多个终端组,且多个终端组中任意两个相邻终端组之间所包含的终端设备部分相同。
本发明的物联网场景下去中心化的异常终端发现装置中,当终端组中的第一终端设备检测到终端组与管理中心之间的通信链路出现异常时,第一终端设备对终端组内的各个终端设备进行检测,得到异常终端设备的检测结果,并根据异常终端设备的检测结果使其他终端设备断开与异常终端设备的通信连接,以免安全威胁的扩散,在终端组与管理中心之间的通信链路恢复之后,再将异常终端设备的检测结果发送至管理中心,以使管理中心对异常终端设备的检测结果进行确认分析,进而基于确认结果对异常终端设备执行相应的操作。本发明的装置能够通过终端组内的终端设备之间的互检方式检测终端设备是否异常,即使是在终端设备与管理中心之间的通信链路出现异常时,也能实现对异常终端设备的检测,异常终端设备在所有场景下都能被及时发现,实现了无缝的管理,缓解了现有的物联网管理方法中,终端设备的异常行为无法在所有场景下都能被及时发现,存在管理疏漏的技术问题。
可选地,第二检测模块包括:
获取单元,第一终端设备获取终端组内各个终端设备的运行数据,其中,运行数据包括:CPU占用率,内存占用率和通信对象;
检测单元,基于运行数据检测终端组中是否存在异常终端设备,从而得到异常终端设备的检测结果。
可选地,检测单元包括:
判断子单元,用于判断各个终端设备的运行数据是否满足以下条件:终端设备的CPU占用率大于或者等于第一阈值,终端设备的内存占用率大于或者等于第二阈值,终端设备的通信对象出现在黑名单或者未出现在白名单中,黑名单中包括禁止访问的IP地址,白名单中包括允许访问的IP地址;
第一确定子单元,用于确定各个终端设备中满足条件的终端设备为疑似异常终端设备;
第二确定子单元,用于获取各个终端设备中其他终端设备发送的异常终端设备的检测结果;并结合其他终端设备发送的异常终端设备的检测结果确定疑似异常终端设备是否为异常终端设备。
可选地,该装置还包括:
断开连接模块,如果确定出的异常终端设备为第一终端设备,则第一终端设备断开与其他终端设备之间的通信连接。
该实施例二中的内容可以参考上述实施例一中的描述,在此不再赘述。
实施例四:
一种物联网场景下去中心化的异常终端发现装置,物联网场景包括终端组和管理中心,该装置应用于终端组中的每个管理中心,参考图9,该装置包括:
第一获取模块23,在终端组与管理中心之间的通信链路恢复之后,获取终端组中异常终端设备发送的异常终端设备的检测结果,其中,异常终端设备的检测结果为终端组与管理中心之间的通信链路出现异常之后,异常终端设备按照上述实施例一中的方法得到的检测结果;
确认分析模块24,用于对异常终端设备的检测结果进行确认分析,并基于确认结果对异常终端设备执行相应的操作;
其中,物联网场景包括多个终端组,且多个终端组中任意两个相邻终端组之间所包含的终端设备部分相同。
可选地,该装置还包括:
第二获取模块,用于获取待分组的终端设备;
分组模块,用于按照待分组的终端设备的获取顺序对待分组的终端设备进行分组,得到多个终端组;其中,多个终端组除第一个终端组之外,多个终端组中的每个终端组与其上一个终端组包括至少一个相同的终端设备。
可选地,当终端组中终端设备的数量为N个时,终端组为处于稳定状态的终端组;当终端组中终端设备的数量小于M时,终端组为未处于稳定状态的终端组,其中,M小于N。
可选地,如果检测到多个终端组中第一终端组中终端设备的数量小于M,则标识第一终端组为第一状态,其中,第一状态表示第一终端组未处于稳定状态。
可选地,如果多个终端组中存在多个处于第一状态的终端组,且多个处于第一状态的终端组为多个终端组中相邻的终端组,则将多个处于第一状态的终端组合并为一个终端组;
如果多个终端组中各个终端组所包含的终端设备的数量的总和不大于N时,则将多个终端组合并为一个终端组。
该实施例四中的内容可以参考上述实施例二中描述,在此不再赘述。
实施例五:
本发明实施例提供了一种电子设备,参考图10,该电子设备包括:处理器30,存储器31,总线32和通信接口33,处理器30、通信接口33和存储器31通过总线32连接;处理器30用于执行存储器31中存储的可执行模块,例如计算机程序。处理器执行极端及程序时实现如方法实施例中描述的方法的步骤。
其中,存储器31可能包含高速随机存取存储器(RAM,Random Access Memory),也可能还包括非不稳定的存储器(non-volatile memory),例如至少一个磁盘存储器。通过至少一个通信接口33(可以是有线或者无线)实现该系统网元与至少一个其他网元之间的通信连接,可以使用互联网,广域网,本地网,城域网等。
总线32可以是ISA总线、PCI总线或EISA总线等。总线可以分为地址总线、数据总线、控制总线等。为便于表示,图10中仅用一个双向箭头表示,但并不表示仅有一根总线或一种类型的总线。
其中,存储器31用于存储程序,处理器30在接收到执行指令后,执行程序,前述本发明实施例任一实施例揭示的流过程定义的装置所执行的方法可以应用于处理器30中,或者由处理器30实现。
处理器30可能是一种集成电路芯片,具有信号的处理能力。在实现过程中,上述方法的各步骤可以通过处理器30中的硬件的集成逻辑电路或者软件形式的指令完成。上述的处理器30可以是通用处理器,包括中央处理器(Central Processing Unit,简称CPU)、网络处理器(Network Processor,简称NP)等;还可以是数字信号处理器(Digital SignalProcessing,简称DSP)、专用集成电路(Application Specific Integrated Circuit,简称ASIC)、现成可编程门阵列(Field-Programmable Gate Array,简称FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本发明实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。结合本发明实施例所公开的方法的步骤可以直接体现为硬件译码处理器执行完成,或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于随机存储器,闪存、只读存储器,可编程只读存储器或者电可擦写可编程存储器、寄存器等本领域成熟的存储介质中。该存储介质位于存储器31,处理器30读取存储器31中的信息,结合其硬件完成上述方法的步骤。
本发明实施例所提供的实时在线监测远控木马控制端IP地址的方法及装置的计算机程序产品,包括存储了程序代码的计算机可读存储介质,所述程序代码包括的指令可用于执行前面方法实施例中所述的方法,具体实现可参见方法实施例,在此不再赘述。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统和装置的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
另外,在本发明实施例的描述中,除非另有明确的规定和限定,术语“安装”、“相连”、“连接”应做广义理解,例如,可以是固定连接,也可以是可拆卸连接,或一体地连接;可以是机械连接,也可以是电连接;可以是直接相连,也可以通过中间媒介间接相连,可以是两个元件内部的连通。对于本领域的普通技术人员而言,可以具体情况理解上述术语在本发明中的具体含义。
所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
在本发明的描述中,需要说明的是,术语“中心”、“上”、“下”、“左”、“右”、“竖直”、“水平”、“内”、“外”等指示的方位或位置关系为基于附图所示的方位或位置关系,仅是为了便于描述本发明和简化描述,而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作,因此不能理解为对本发明的限制。此外,术语“第一”、“第二”、“第三”仅用于描述目的,而不能理解为指示或暗示相对重要性。
最后应说明的是:以上所述实施例,仅为本发明的具体实施方式,用以说明本发明的技术方案,而非对其限制,本发明的保护范围并不局限于此,尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,其依然可以对前述实施例所记载的技术方案进行修改或可轻易想到变化,或者对其中部分技术特征进行等同替换;而这些修改、变化或者替换,并不使相应技术方案的本质脱离本发明实施例技术方案的精神和范围,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应所述以权利要求的保护范围为准。
Claims (8)
1.一种物联网场景下去中心化的异常终端发现方法,其特征在于,所述物联网场景包括终端组和管理中心,所述方法应用于所述终端组中的第一终端设备,所述方法包括:
检测所述终端组与所述管理中心之间的通信链路是否出现异常;
如果检测到出现异常,则所述第一终端设备对所述终端组内的各个终端设备进行检测,得到异常终端设备的检测结果,并根据所述异常终端设备的检测结果使其他终端设备断开与异常终端设备的通信连接;
在所述终端组与所述管理中心之间的通信链路恢复之后,将所述异常终端设备的检测结果发送至所述管理中心,以使所述管理中心对所述异常终端设备的检测结果进行确认分析,并基于确认结果对所述异常终端设备执行相应的操作;
其中,所述物联网场景包括多个终端组,且所述多个终端组中任意两个相邻终端组之间所包含的终端设备部分相同;
其中,所述第一终端设备对所述终端组内的各个终端设备进行检测,得到异常终端设备的检测结果包括:
所述第一终端设备获取所述终端组内各个终端设备的运行数据,其中,所述运行数据包括:CPU占用率,内存占用率和通信对象;
基于所述运行数据检测所述终端组中是否存在异常终端设备,从而得到所述异常终端设备的检测结果;
其中,基于所述运行数据检测所述终端组中是否存在异常终端设备包括:
判断所述各个终端设备的运行数据是否满足以下条件:终端设备的CPU占用率大于或者等于第一阈值,终端设备的内存占用率大于或者等于第二阈值,终端设备的通信对象出现在黑名单或者未出现在白名单中,所述黑名单中包括禁止访问的IP地址,所述白名单中包括允许访问的IP地址;
确定所述各个终端设备中满足条件的终端设备为疑似异常终端设备;
获取所述各个终端设备中其他终端设备发送的异常终端设备的检测结果;并结合所述其他终端设备发送的异常终端设备的检测结果确定所述疑似异常终端设备是否为所述异常终端设备。
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:
如果确定出的异常终端设备为所述第一终端设备,则所述第一终端设备断开与其他终端设备之间的通信连接。
3.一种物联网场景下去中心化的异常终端发现方法,其特征在于,所述物联网场景包括终端组和管理中心,所述方法应用于所述终端组中的每个管理中心,所述方法包括:
在所述终端组与所述管理中心之间的通信链路恢复之后,获取所述终端组中异常终端设备发送的异常终端设备的检测结果,其中,所述异常终端设备的检测结果为所述终端组与所述管理中心之间的通信链路出现异常之后,所述异常终端设备按照上述权利要求1至2中任一项所述的方法得到的检测结果;
对所述异常终端设备的检测结果进行确认分析,并基于确认结果对所述异常终端设备执行相应的操作;
其中,所述物联网场景包括多个终端组,且所述多个终端组中任意两个相邻终端组之间所包含的终端设备部分相同。
4.根据权利要求3所述的方法,其特征在于,在获取所述终端组中异常终端设备发送的异常终端设备的检测结果之前,所述方法还包括:
获取待分组的终端设备;
按照所述待分组的终端设备的获取顺序对所述待分组的终端设备进行分组,得到多个终端组;其中,所述多个终端组除第一个终端组之外,所述多个终端组中的每个终端组与其上一个终端组包括至少一个相同的终端设备。
5.根据权利要求3所述的方法,其特征在于,当所述终端组中终端设备的数量为N个时,所述终端组为处于稳定状态的终端组;当所述终端组中终端设备的数量小于M时,所述终端组为未处于稳定状态的终端组,其中,M小于N。
6.根据权利要求5所述的方法,其特征在于,所述方法还包括:
如果检测到所述多个终端组中第一终端组中终端设备的数量小于M,则标识所述第一终端组为第一状态,其中,所述第一状态表示所述第一终端组未处于稳定状态。
7.根据权利要求6所述的方法,其特征在于,所述方法还包括:
如果所述多个终端组中存在多个处于所述第一状态的终端组,且所述多个处于所述第一状态的终端组为所述多个终端组中相邻的终端组,则将所述多个处于所述第一状态的终端组合并为一个终端组;
如果所述多个终端组中各个终端组所包含的终端设备的数量的总和不大于N时,则将所述多个终端组合并为一个终端组。
8.一种物联网场景下去中心化的异常终端发现装置,其特征在于,所述物联网场景包括终端组和管理中心,所述装置应用于所述终端组中的第一终端设备,所述装置包括:
第一检测模块,用于检测所述终端组与所述管理中心之间的通信链路是否出现异常;
第二检测模块,如果检测到出现异常,则所述第一终端设备对所述终端组内的各个终端设备进行检测,得到异常终端设备的检测结果,并根据所述异常终端设备的检测结果使其他终端设备断开与异常终端设备的通信连接;
发送模块,在所述终端组与所述管理中心之间的通信链路恢复之后,将所述异常终端设备的检测结果发送至所述管理中心,以使所述管理中心对所述异常终端设备的检测结果进行确认分析,并基于确认结果对所述异常终端设备执行相应的操作;
其中,所述物联网场景包括多个终端组,且所述多个终端组中任意两个相邻终端组之间所包含的终端设备部分相同;
第二检测模块包括:
获取单元,第一终端设备获取终端组内各个终端设备的运行数据,其中,运行数据包括:CPU占用率,内存占用率和通信对象;
检测单元,基于运行数据检测终端组中是否存在异常终端设备,从而得到异常终端设备的检测结果;
检测单元包括:
判断子单元,用于判断各个终端设备的运行数据是否满足以下条件:终端设备的CPU占用率大于或者等于第一阈值,终端设备的内存占用率大于或者等于第二阈值,终端设备的通信对象出现在黑名单或者未出现在白名单中,黑名单中包括禁止访问的IP地址,白名单中包括允许访问的IP地址;
第一确定子单元,用于确定各个终端设备中满足条件的终端设备为疑似异常终端设备;
第二确定子单元,用于获取各个终端设备中其他终端设备发送的异常终端设备的检测结果;并结合其他终端设备发送的异常终端设备的检测结果确定疑似异常终端设备是否为异常终端设备。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810640246.3A CN108900488B (zh) | 2018-06-21 | 2018-06-21 | 一种物联网场景下去中心化的异常终端发现方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810640246.3A CN108900488B (zh) | 2018-06-21 | 2018-06-21 | 一种物联网场景下去中心化的异常终端发现方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN108900488A CN108900488A (zh) | 2018-11-27 |
| CN108900488B true CN108900488B (zh) | 2021-02-26 |
Family
ID=64345315
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201810640246.3A Active CN108900488B (zh) | 2018-06-21 | 2018-06-21 | 一种物联网场景下去中心化的异常终端发现方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN108900488B (zh) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109711156B (zh) * | 2018-12-28 | 2023-01-31 | 上海北信源信息技术有限公司 | 一种内网计算机硬盘信息监控管理的方法及系统 |
| CN112654047A (zh) * | 2019-09-25 | 2021-04-13 | 中兴通讯股份有限公司 | 识别异常终端的方法、装置、基站及存储介质 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102017537A (zh) * | 2008-04-30 | 2011-04-13 | 松下电工株式会社 | 设备管理系统 |
| CN102984664A (zh) * | 2011-09-05 | 2013-03-20 | 普天信息技术研究院有限公司 | 一种控制终端的方法 |
| CN103125099A (zh) * | 2010-10-28 | 2013-05-29 | 日本电气株式会社 | 传输设备、传输系统和故障通知方法 |
| CN104301167A (zh) * | 2013-07-19 | 2015-01-21 | 方正宽带网络服务股份有限公司 | 一种监测装置及方法 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9386031B2 (en) * | 2014-09-12 | 2016-07-05 | AO Kaspersky Lab | System and method for detection of targeted attacks |
-
2018
- 2018-06-21 CN CN201810640246.3A patent/CN108900488B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102017537A (zh) * | 2008-04-30 | 2011-04-13 | 松下电工株式会社 | 设备管理系统 |
| CN103125099A (zh) * | 2010-10-28 | 2013-05-29 | 日本电气株式会社 | 传输设备、传输系统和故障通知方法 |
| CN102984664A (zh) * | 2011-09-05 | 2013-03-20 | 普天信息技术研究院有限公司 | 一种控制终端的方法 |
| CN104301167A (zh) * | 2013-07-19 | 2015-01-21 | 方正宽带网络服务股份有限公司 | 一种监测装置及方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN108900488A (zh) | 2018-11-27 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN106506203B (zh) | 一种应用于区块链的节点监控系统 | |
| CN111008380B (zh) | 一种检测工控系统漏洞的方法、装置和电子设备 | |
| CN107302527B (zh) | 一种设备异常检测方法及装置 | |
| CN110708315A (zh) | 资产漏洞的识别方法、装置和系统 | |
| CN109063486B (zh) | 一种基于plc设备指纹识别的安全渗透测试方法与系统 | |
| CN111092900B (zh) | 服务器异常连接和扫描行为的监控方法和装置 | |
| CN108173813B (zh) | 漏洞检测方法及装置 | |
| CN108900488B (zh) | 一种物联网场景下去中心化的异常终端发现方法及装置 | |
| CN110740144B (zh) | 确定攻击目标的方法、装置、设备及存储介质 | |
| CN108282355B (zh) | 云桌面系统中设备巡检装置 | |
| EP2845349B1 (en) | Network access apparatus having a control module and a network access module | |
| CN114095258A (zh) | 攻击防御方法、装置、电子设备及存储介质 | |
| CN110912985B (zh) | 一种网络链路调度方法及相关设备 | |
| CN115550049A (zh) | 一种物联网设备的漏洞检测方法及系统 | |
| CN114615310A (zh) | 一种维护tcp连接的方法、装置及电子设备 | |
| CN110224872B (zh) | 一种通信方法、装置及存储介质 | |
| CN110943864B (zh) | 分布式存储系统的网络异常定位方法及装置 | |
| CN103001958A (zh) | 异常tcp报文处理方法及装置 | |
| CN116070210A (zh) | 异常进程的确定方法、装置及病毒查杀方法 | |
| JP2014036408A (ja) | 通信装置、通信システム、通信方法、および、通信プログラム | |
| CN115633359A (zh) | Pfcp会话安全检测方法、装置、电子设备和存储介质 | |
| CN109699041A (zh) | 一种rru通道故障诊断处理方法及rru设备 | |
| CN107545186B (zh) | 快速解决引擎不工作的方法、装置及系统 | |
| CN110750418B (zh) | 一种信息处理方法、电子设备和信息处理系统 | |
| CN111031062B (zh) | 带自学习的工业控制系统全景感知监测方法、装置和系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB02 | Change of applicant information |
Address after: No. 188, Lianhui street, Xixing street, Binjiang District, Hangzhou, Zhejiang Province, 310000 Applicant after: Hangzhou Anheng Information Technology Co.,Ltd. Address before: 310051 15-storey Zhejiang Zhongcai Building, No. 68 Tonghe Road, Binjiang District, Hangzhou City, Zhejiang Province Applicant before: Hangzhou Anheng Information Technology Co.,Ltd. |
|
| CB02 | Change of applicant information | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| EE01 | Entry into force of recordation of patent licensing contract |
Application publication date: 20181127 Assignee: Hangzhou Anheng Information Security Technology Co., Ltd Assignor: Hangzhou Anheng Information Technology Co.,Ltd. Contract record no.: X2021330000118 Denomination of invention: A centralized abnormal terminal discovery method and device for Internet of things Granted publication date: 20210226 License type: Common License Record date: 20210823 |
|
| EE01 | Entry into force of recordation of patent licensing contract |