CN108924158A - 一种监测物联网设备网络安全的方法及装置 - Google Patents

Abstract

本发明公开了一种监测物联网设备网络安全的方法及装置，该方法包括：在网络安全设备：监控网络流量，流经网络安全设备，发往网络设备；确定网络流量是否低于预定量；当网络流量低于预定量时，向网络设备发送多个探测器；接收来自网络设备的响应探测器的响应；和基于从网络设备接收的响应，为发往网络设备的后续流量设置一个或多个阈值。

Description

一种监测物联网设备网络安全的方法及装置

技术领域

本发明涉及网络安全技术领域，具体而言，涉及一种监测物联网设备网络安全的方法及装置。

背景技术

随着互联网和物联网的迅速普及与发展，如今的网络上已充斥着种类繁多而又没有安全保障的物联网智能终端设备，如网络摄像头、智能家居领域相关终端设备等。面对物联网智能终端设备保有量的迅速增长，长期缺乏安全机制将成为更加巨大的问题。

SSL(Secure Sockets Layer，安全套接层)及其继任者TLS(TransportLayerSecurity，传输层安全)是为网络通信提供安全及数据完整性的一种安全协议，用以保障在Internet上数据传输之安全，利用数据加密(Encryption)技术，可确保数据在网络上之传输过程中不会被截取及窃听。SSL/TLS技术基于非对称算法PKI标准实现，对终端设备控制器有一定的要求。然而，对于应用于各个领域，各种环境下的物理网智能终端设备而言，并非都具有与远端服务器建立SSL/TLS安全通道的能力。本发明正是针对该问题而提出了一种物联网网络安全接入装置，以及基于该接入装置的物联网终端设备及物联网系统，从而使物联网终端设备实现安全可信的网络接入功能。

如何在物联网中进行网络的安全互联，是针对物联网广泛应用的一个重要的技术突破点。

发明内容

本发明提出了一种监测物联网设备网络安全的方法，包括：

在网络安全设备：

监控网络流量，流经网络安全设备，发往网络设备；

确定网络流量是否低于预定量；

当网络流量低于预定量时，向网络设备发送多个探测器；

接收来自网络设备的响应探测器的响应；和

基于从网络设备接收的响应，为发往网络设备的后续流量设置一个或多个阈值。

所述的方法，其中基于从所述网络设备接收的响应为发往所述网络设备的后续流量设置一个或多个阈值包括基于所述响应的等待时间设置所述一个或多个阈值。

所述的方法，其中，所述一个或多个阈值包括最大连接数，最大半开连接数，每单位时间的最大连接数，每个半开连接的最大数量中的至少一个。时间单位，每单位时间的最大数据包数，每单位时间的最大字节数，每单位时间的最大请求数或请求的最大大小。

所述的方法，其中，所述网络设备是物联网(IoT)设备，并且所述网络安全设备是防火墙，所述方法还包括操作分布式拒绝服务(DDoS)开放威胁信令(DOTS)。防火墙上的客户端，并发信号通知DOTS服务器调解针对IoT设备的DDoS攻击。

所述的方法，还包括：检测所述网络设备是否已切换到同步(SYN)cookie模式，作为所述网络设备正在接近连接阈值限制的指示符。

所述的方法，其中，还包括：确定不能通过被配置为由所述网络设备通告所述一个或多个阈值的预定协议来获得所述一个或多个阈值。

所述的方法，其中，所述预定协议是制造商使用描述(MUD)协议或分布式拒绝服务(DDoS)开放威胁信令(DOTS)协议之一。

所述的方法，还包括通过嗅探所述网络流量来发现所述一个或多个阈值。

所述的方法，还包括将所述一个或多个阈值上载到其他网络安全设备可访问的服务器。

所述的方法，还包括：利用所述网络设备的类型的指示符向服务器查询，以基于所述网络设备的类型获得阈值。

一种监测物联网设备网络安全的装置，包括：

接口单元，用于实现网络通信；

记忆；和

一个或多个处理器，耦合到接口单元和存储器，并配置为：

监控网络流量，流经设备，发往网络设备；

确定网络流量是否低于预定量；

当网络流量低于预定量时，向网络设备发送多个探测器；

接收来自网络设备的响应探测器的响应；和

基于从网络设备接收的响应，为发往网络设备的后续流量设置一个或多个阈值。

附图说明

从以下结合附图的描述可以进一步理解本发明。图中的部件不一定按比例绘制，而是将重点放在示出实施例的原理上。在图中，在不同的视图中，相同的附图标记指定对应的部分。

图1是本发明的监测物联网设备网络安全的方法的示意图。

具体实施方式

为了使得本发明的目的、技术方案及优点更加清楚明白，以下结合其实施例，对本发明进行进一步详细说明；应当理解，此处所描述的具体实施例仅用于解释本发明，并不用于限定本发明。对于本领域技术人员而言，在查阅以下详细描述之后，本实施例的其它系统、方法和/或特征将变得显而易见。旨在所有此类附加的系统、方法、特征和优点都包括在本说明书内、包括在本发明的范围内，并且受所附权利要求书的保护。在以下详细描述描述了所公开的实施例的另外的特征，并且这些特征根据以下将详细描述将是显而易见的。

实施例一：

如图1所示，为本发明一种监测物联网设备网络安全的方法的示意图，包括：

在网络安全设备：

监控网络流量，流经网络安全设备，发往网络设备；

确定网络流量是否低于预定量；

当网络流量低于预定量时，向网络设备发送多个探测器；

接收来自网络设备的响应探测器的响应；和

基于从网络设备接收的响应，为发往网络设备的后续流量设置一个或多个阈值。

所述的方法，其中基于从所述网络设备接收的响应为发往所述网络设备的后续流量设置一个或多个阈值包括基于所述响应的等待时间设置所述一个或多个阈值。

所述的方法，其中，所述一个或多个阈值包括最大连接数，最大半开连接数，每单位时间的最大连接数，每个半开连接的最大数量中的至少一个。时间单位，每单位时间的最大数据包数，每单位时间的最大字节数，每单位时间的最大请求数或请求的最大大小。

所述的方法，其中，所述网络设备是物联网(IoT)设备，并且所述网络安全设备是防火墙，所述方法还包括操作分布式拒绝服务(DDoS)开放威胁信令(DOTS)。防火墙上的客户端，并发信号通知DOTS服务器调解针对IoT设备的DDoS攻击。

所述的方法，还包括：检测所述网络设备是否已切换到同步(SYN)cookie模式，作为所述网络设备正在接近连接阈值限制的指示符。

所述的方法，其中，还包括：确定不能通过被配置为由所述网络设备通告所述一个或多个阈值的预定协议来获得所述一个或多个阈值。

所述的方法，其中，所述预定协议是制造商使用描述(MUD)协议或分布式拒绝服务(DDoS)开放威胁信令(DOTS)协议之一。

所述的方法，还包括通过嗅探所述网络流量来发现所述一个或多个阈值。

所述的方法，还包括将所述一个或多个阈值上载到其他网络安全设备可访问的服务器。

所述的方法，还包括：利用所述网络设备的类型的指示符向服务器查询，以基于所述网络设备的类型获得阈值。

实施例二：

一种监测物联网设备网络安全的装置，包括：

接口单元，用于实现网络通信；

记忆；和

一个或多个处理器，耦合到接口单元和存储器，并配置为：

监控网络流量，流经设备，发往网络设备；

确定网络流量是否低于预定量；

当网络流量低于预定量时，向网络设备发送多个探测器；

接收来自网络设备的响应探测器的响应；和

基于从网络设备接收的响应，为发往网络设备的后续流量设置一个或多个阈值。

所述的装置，其中所述一个或一个以上处理器经配置以基于通过基于等待时间设定所述一个或一个以上阈值而从所述网络装置接收的所述响应来为所述网络装置的后续流量设定一个或一个以上阈值。的回应。

所述的设备，其中，所述一个或多个阈值包括最大连接数，每单位时间的最大分组数，每单位时间的最大字节数，每单位时间的最大请求数或最大大小。请求。

所述的设备，其中，所述网络设备是物联网(IoT)设备，并且所述设备是防火墙，并且其中，所述一个或多个处理器被配置为操作分布式拒绝服务(DDoS)开放威胁。防火墙上的信令(DOTS)客户端并发信号通知DOTS服务器调解针对网络设备的DDoS攻击。

所述的方法，其中，所述一个或多个处理器被配置为检测所述网络设备是否已切换到同步(SYN)cookie模式，作为所述网络设备正在接近连接阈值限制的指示符。

实施例三：

一种或多种非暂时性计算机可读存储介质，其编码有包括计算机可执行指令的软件，并且当所述软件被执行时可操作以：

监控网络流量，流经网络安全设备，发往网络设备；

确定网络流量是否低于预定量；

当网络流量低于预定量时，向网络设备发送多个探测器；

接收来自网络设备的响应探测器的响应；和

基于从网络设备接收的响应，为发往网络设备的后续流量设置一个或多个阈值。

所述的非暂时性计算机可读存储介质，其中，所述指令还包括用于通过设置所述一个或多个来基于从所述网络设备接收的响应来为发往所述网络设备的后续流量设置一个或多个阈值的指令。阈值基于响应的延迟。

所述的非暂时性计算机可读存储介质，其中，所述一个或多个阈值包括最大连接数，每单位时间的最大分组数，每单位时间的最大字节数，每单元的最大请求数。时间或请求的最大大小。

所述的非暂时性计算机可读存储介质，其中所述指令还包括可操作以操作分布式拒绝服务(DDoS)开放威胁信令(DOTS)客户端并向DOTS服务器发信号以调解针对所述DDoS服务器的DDoS攻击的指令。网络设备。

所述的非暂时性计算机可读存储介质，其中，所述指令还包括用于检测所述网络设备是否已切换到同步(SYN)cookie模式的指令，作为所述网络设备正在接近连接阈值限制的指示符。

虽然上面已经参考各种实施例描述了本发明，但是应当理解，在不脱离本发明的范围的情况下，可以进行许多改变和修改。也就是说上面讨论的方法，系统或设备等均是示例。各种配置可以适当地省略，替换或添加各种过程或组件。例如，在替代配置中，可以以与所描述的顺序不同的顺序执行方法，和/或可以添加，省略和/或组合各种阶段。而且，关于某些配置描述的特征可以以各种其他配置组合。可以以类似的方式组合配置的不同方面和元素。此外，随着技术的发展许多元素仅是示例而不限制本公开或权利要求的范围。

在说明书中给出了具体细节以提供对包括实现的示例性配置的透彻理解。然而，可以在没有这些具体细节的情况下实践配置例如，已经示出了众所周知的电路、过程、算法、结构和技术而没有不必要的细节，以避免模糊配置。该描述仅提供示例配置，并且不限制权利要求的范围，适用性或配置。相反，前面对配置的描述将为本领域技术人员提供用于实现所描述的技术的使能描述。在不脱离本公开的精神或范围的情况下，可以对元件的功能和布置进行各种改变。

此外，尽管每个操作可以将操作描述为顺序过程，但是许多操作可以并行或同时执行。另外，可以重新排列操作的顺序。一个过程可能有其他步骤。此外，可以通过硬件、软件、固件、中间件、代码、硬件描述语言或其任何组合来实现方法的示例。当在软件、固件、中间件或代码中实现时，用于执行必要任务的程序代码或代码段可以存储在诸如存储介质的非暂时性计算机可读介质中，并通过处理器执行所描述的任务。综上，其旨在上述详细描述被认为是例示性的而非限制性的，并且应当理解，所述权利要求(包括所有等同物)旨在限定本发明的精神和范围。以上这些实施例应理解为仅用于说明本发明而不用于限制本发明的保护范围。在阅读了本发明的记载的内容之后，技术人员可以对本发明作各种改动或修改，这些等效变化和修饰同样落入本发明权利要求所限定的范围。

Claims (10)

1.一种监测物联网设备网络安全的方法，其特征在于，包括：

在网络安全设备：

监控网络流量，流经网络安全设备，发往网络设备；

确定网络流量是否低于预定量；

当网络流量低于预定量时，向网络设备发送多个探测器；

接收来自网络设备的响应探测器的响应；和

基于从网络设备接收的响应，为发往网络设备的后续流量设置一个或多个阈值。

2.根据权利要求1所述的方法，其特征在于，基于从所述网络设备接收的响应为发往所述网络设备的后续流量设置一个或多个阈值包括基于所述响应的等待时间设置所述一个或多个阈值。

3.如权利要求1所述的方法，其特征在于，所述一个或多个阈值包括最大连接数，最大半开连接数，每单位时间的最大连接数，每个半开连接的最大数量中的至少一个；时间单位，每单位时间的最大数据包数，每单位时间的最大字节数，每单位时间的最大请求数或请求的最大大小。

4.根据权利要求1所述的方法，其特征在于，所述网络设备是物联网(IoT)设备，并且所述网络安全设备是防火墙，所述方法还包括操作分布式拒绝服务(DDoS)开放威胁信令(DOTS)；防火墙上的客户端，并发信号通知DOTS服务器调解针对IoT设备的DDoS攻击。

5.如权利要求1所述的方法，其特征在于，还包括：检测所述网络设备是否已切换到同步(SYN)cookie模式，作为所述网络设备正在接近连接阈值限制的指示符。

6.根据权利要求1所述的方法，其特征在于，还包括：确定不能通过被配置为由所述网络设备通告所述一个或多个阈值的预定协议来获得所述一个或多个阈值。

7.如权利要求6所述的方法，其特征在于，所述预定协议是制造商使用描述(MUD)协议或分布式拒绝服务(DDoS)开放威胁信令(DOTS)协议之一。

8.如权利要求1所述的方法，其特征在于，还包括通过嗅探所述网络流量来发现所述一个或多个阈值。

9.如权利要求8所述的方法，其特征在于，还包括将所述一个或多个阈值上载到其他网络安全设备可访问的服务器；利用所述网络设备的类型的指示符向服务器查询，以基于所述网络设备的类型获得阈值。

10.一种监测物联网设备网络安全的装置，其特征在于，包括：

接口单元，用于实现网络通信；

记忆；和

一个或多个处理器，耦合到接口单元和存储器，并配置为：

监控网络流量，流经设备，发往网络设备；

确定网络流量是否低于预定量；

当网络流量低于预定量时，向网络设备发送多个探测器；

接收来自网络设备的响应探测器的响应；和

基于从网络设备接收的响应，为发往网络设备的后续流量设置一个或多个阈值。