CN108924158A - 一种监测物联网设备网络安全的方法及装置 - Google Patents
一种监测物联网设备网络安全的方法及装置 Download PDFInfo
- Publication number
- CN108924158A CN108924158A CN201810831478.7A CN201810831478A CN108924158A CN 108924158 A CN108924158 A CN 108924158A CN 201810831478 A CN201810831478 A CN 201810831478A CN 108924158 A CN108924158 A CN 108924158A
- Authority
- CN
- China
- Prior art keywords
- network
- network equipment
- equipment
- sent
- response
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Withdrawn
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/12—Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Medical Informatics (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种监测物联网设备网络安全的方法及装置,该方法包括:在网络安全设备:监控网络流量,流经网络安全设备,发往网络设备;确定网络流量是否低于预定量;当网络流量低于预定量时,向网络设备发送多个探测器;接收来自网络设备的响应探测器的响应;和基于从网络设备接收的响应,为发往网络设备的后续流量设置一个或多个阈值。
Description
技术领域
本发明涉及网络安全技术领域,具体而言,涉及一种监测物联网设备网络安全的方法及装置。
背景技术
随着互联网和物联网的迅速普及与发展,如今的网络上已充斥着种类繁多而又没有安全保障的物联网智能终端设备,如网络摄像头、智能家居领域相关终端设备等。面对物联网智能终端设备保有量的迅速增长,长期缺乏安全机制将成为更加巨大的问题。
SSL(Secure Sockets Layer,安全套接层)及其继任者TLS(TransportLayerSecurity,传输层安全)是为网络通信提供安全及数据完整性的一种安全协议,用以保障在Internet上数据传输之安全,利用数据加密(Encryption)技术,可确保数据在网络上之传输过程中不会被截取及窃听。SSL/TLS技术基于非对称算法PKI标准实现,对终端设备控制器有一定的要求。然而,对于应用于各个领域,各种环境下的物理网智能终端设备而言,并非都具有与远端服务器建立SSL/TLS安全通道的能力。本发明正是针对该问题而提出了一种物联网网络安全接入装置,以及基于该接入装置的物联网终端设备及物联网系统,从而使物联网终端设备实现安全可信的网络接入功能。
如何在物联网中进行网络的安全互联,是针对物联网广泛应用的一个重要的技术突破点。
发明内容
本发明提出了一种监测物联网设备网络安全的方法,包括:
在网络安全设备:
监控网络流量,流经网络安全设备,发往网络设备;
确定网络流量是否低于预定量;
当网络流量低于预定量时,向网络设备发送多个探测器;
接收来自网络设备的响应探测器的响应;和
基于从网络设备接收的响应,为发往网络设备的后续流量设置一个或多个阈值。
所述的方法,其中基于从所述网络设备接收的响应为发往所述网络设备的后续流量设置一个或多个阈值包括基于所述响应的等待时间设置所述一个或多个阈值。
所述的方法,其中,所述一个或多个阈值包括最大连接数,最大半开连接数,每单位时间的最大连接数,每个半开连接的最大数量中的至少一个。时间单位,每单位时间的最大数据包数,每单位时间的最大字节数,每单位时间的最大请求数或请求的最大大小。
所述的方法,其中,所述网络设备是物联网(IoT)设备,并且所述网络安全设备是防火墙,所述方法还包括操作分布式拒绝服务(DDoS)开放威胁信令(DOTS)。防火墙上的客户端,并发信号通知DOTS服务器调解针对IoT设备的DDoS攻击。
所述的方法,还包括:检测所述网络设备是否已切换到同步(SYN)cookie模式,作为所述网络设备正在接近连接阈值限制的指示符。
所述的方法,其中,还包括:确定不能通过被配置为由所述网络设备通告所述一个或多个阈值的预定协议来获得所述一个或多个阈值。
所述的方法,其中,所述预定协议是制造商使用描述(MUD)协议或分布式拒绝服务(DDoS)开放威胁信令(DOTS)协议之一。
所述的方法,还包括通过嗅探所述网络流量来发现所述一个或多个阈值。
所述的方法,还包括将所述一个或多个阈值上载到其他网络安全设备可访问的服务器。
所述的方法,还包括:利用所述网络设备的类型的指示符向服务器查询,以基于所述网络设备的类型获得阈值。
一种监测物联网设备网络安全的装置,包括:
接口单元,用于实现网络通信;
记忆;和
一个或多个处理器,耦合到接口单元和存储器,并配置为:
监控网络流量,流经设备,发往网络设备;
确定网络流量是否低于预定量;
当网络流量低于预定量时,向网络设备发送多个探测器;
接收来自网络设备的响应探测器的响应;和
基于从网络设备接收的响应,为发往网络设备的后续流量设置一个或多个阈值。
附图说明
从以下结合附图的描述可以进一步理解本发明。图中的部件不一定按比例绘制,而是将重点放在示出实施例的原理上。在图中,在不同的视图中,相同的附图标记指定对应的部分。
图1是本发明的监测物联网设备网络安全的方法的示意图。
具体实施方式
为了使得本发明的目的、技术方案及优点更加清楚明白,以下结合其实施例,对本发明进行进一步详细说明;应当理解,此处所描述的具体实施例仅用于解释本发明,并不用于限定本发明。对于本领域技术人员而言,在查阅以下详细描述之后,本实施例的其它系统、方法和/或特征将变得显而易见。旨在所有此类附加的系统、方法、特征和优点都包括在本说明书内、包括在本发明的范围内,并且受所附权利要求书的保护。在以下详细描述描述了所公开的实施例的另外的特征,并且这些特征根据以下将详细描述将是显而易见的。
实施例一:
如图1所示,为本发明一种监测物联网设备网络安全的方法的示意图,包括:
在网络安全设备:
监控网络流量,流经网络安全设备,发往网络设备;
确定网络流量是否低于预定量;
当网络流量低于预定量时,向网络设备发送多个探测器;
接收来自网络设备的响应探测器的响应;和
基于从网络设备接收的响应,为发往网络设备的后续流量设置一个或多个阈值。
所述的方法,其中基于从所述网络设备接收的响应为发往所述网络设备的后续流量设置一个或多个阈值包括基于所述响应的等待时间设置所述一个或多个阈值。
所述的方法,其中,所述一个或多个阈值包括最大连接数,最大半开连接数,每单位时间的最大连接数,每个半开连接的最大数量中的至少一个。时间单位,每单位时间的最大数据包数,每单位时间的最大字节数,每单位时间的最大请求数或请求的最大大小。
所述的方法,其中,所述网络设备是物联网(IoT)设备,并且所述网络安全设备是防火墙,所述方法还包括操作分布式拒绝服务(DDoS)开放威胁信令(DOTS)。防火墙上的客户端,并发信号通知DOTS服务器调解针对IoT设备的DDoS攻击。
所述的方法,还包括:检测所述网络设备是否已切换到同步(SYN)cookie模式,作为所述网络设备正在接近连接阈值限制的指示符。
所述的方法,其中,还包括:确定不能通过被配置为由所述网络设备通告所述一个或多个阈值的预定协议来获得所述一个或多个阈值。
所述的方法,其中,所述预定协议是制造商使用描述(MUD)协议或分布式拒绝服务(DDoS)开放威胁信令(DOTS)协议之一。
所述的方法,还包括通过嗅探所述网络流量来发现所述一个或多个阈值。
所述的方法,还包括将所述一个或多个阈值上载到其他网络安全设备可访问的服务器。
所述的方法,还包括:利用所述网络设备的类型的指示符向服务器查询,以基于所述网络设备的类型获得阈值。
实施例二:
一种监测物联网设备网络安全的装置,包括:
接口单元,用于实现网络通信;
记忆;和
一个或多个处理器,耦合到接口单元和存储器,并配置为:
监控网络流量,流经设备,发往网络设备;
确定网络流量是否低于预定量;
当网络流量低于预定量时,向网络设备发送多个探测器;
接收来自网络设备的响应探测器的响应;和
基于从网络设备接收的响应,为发往网络设备的后续流量设置一个或多个阈值。
所述的装置,其中所述一个或一个以上处理器经配置以基于通过基于等待时间设定所述一个或一个以上阈值而从所述网络装置接收的所述响应来为所述网络装置的后续流量设定一个或一个以上阈值。的回应。
所述的设备,其中,所述一个或多个阈值包括最大连接数,每单位时间的最大分组数,每单位时间的最大字节数,每单位时间的最大请求数或最大大小。请求。
所述的设备,其中,所述网络设备是物联网(IoT)设备,并且所述设备是防火墙,并且其中,所述一个或多个处理器被配置为操作分布式拒绝服务(DDoS)开放威胁。防火墙上的信令(DOTS)客户端并发信号通知DOTS服务器调解针对网络设备的DDoS攻击。
所述的方法,其中,所述一个或多个处理器被配置为检测所述网络设备是否已切换到同步(SYN)cookie模式,作为所述网络设备正在接近连接阈值限制的指示符。
实施例三:
一种或多种非暂时性计算机可读存储介质,其编码有包括计算机可执行指令的软件,并且当所述软件被执行时可操作以:
监控网络流量,流经网络安全设备,发往网络设备;
确定网络流量是否低于预定量;
当网络流量低于预定量时,向网络设备发送多个探测器;
接收来自网络设备的响应探测器的响应;和
基于从网络设备接收的响应,为发往网络设备的后续流量设置一个或多个阈值。
所述的非暂时性计算机可读存储介质,其中,所述指令还包括用于通过设置所述一个或多个来基于从所述网络设备接收的响应来为发往所述网络设备的后续流量设置一个或多个阈值的指令。阈值基于响应的延迟。
所述的非暂时性计算机可读存储介质,其中,所述一个或多个阈值包括最大连接数,每单位时间的最大分组数,每单位时间的最大字节数,每单元的最大请求数。时间或请求的最大大小。
所述的非暂时性计算机可读存储介质,其中所述指令还包括可操作以操作分布式拒绝服务(DDoS)开放威胁信令(DOTS)客户端并向DOTS服务器发信号以调解针对所述DDoS服务器的DDoS攻击的指令。网络设备。
所述的非暂时性计算机可读存储介质,其中,所述指令还包括用于检测所述网络设备是否已切换到同步(SYN)cookie模式的指令,作为所述网络设备正在接近连接阈值限制的指示符。
虽然上面已经参考各种实施例描述了本发明,但是应当理解,在不脱离本发明的范围的情况下,可以进行许多改变和修改。也就是说上面讨论的方法,系统或设备等均是示例。各种配置可以适当地省略,替换或添加各种过程或组件。例如,在替代配置中,可以以与所描述的顺序不同的顺序执行方法,和/或可以添加,省略和/或组合各种阶段。而且,关于某些配置描述的特征可以以各种其他配置组合。可以以类似的方式组合配置的不同方面和元素。此外,随着技术的发展许多元素仅是示例而不限制本公开或权利要求的范围。
在说明书中给出了具体细节以提供对包括实现的示例性配置的透彻理解。然而,可以在没有这些具体细节的情况下实践配置例如,已经示出了众所周知的电路、过程、算法、结构和技术而没有不必要的细节,以避免模糊配置。该描述仅提供示例配置,并且不限制权利要求的范围,适用性或配置。相反,前面对配置的描述将为本领域技术人员提供用于实现所描述的技术的使能描述。在不脱离本公开的精神或范围的情况下,可以对元件的功能和布置进行各种改变。
此外,尽管每个操作可以将操作描述为顺序过程,但是许多操作可以并行或同时执行。另外,可以重新排列操作的顺序。一个过程可能有其他步骤。此外,可以通过硬件、软件、固件、中间件、代码、硬件描述语言或其任何组合来实现方法的示例。当在软件、固件、中间件或代码中实现时,用于执行必要任务的程序代码或代码段可以存储在诸如存储介质的非暂时性计算机可读介质中,并通过处理器执行所描述的任务。综上,其旨在上述详细描述被认为是例示性的而非限制性的,并且应当理解,所述权利要求(包括所有等同物)旨在限定本发明的精神和范围。以上这些实施例应理解为仅用于说明本发明而不用于限制本发明的保护范围。在阅读了本发明的记载的内容之后,技术人员可以对本发明作各种改动或修改,这些等效变化和修饰同样落入本发明权利要求所限定的范围。
Claims (10)
1.一种监测物联网设备网络安全的方法,其特征在于,包括:
在网络安全设备:
监控网络流量,流经网络安全设备,发往网络设备;
确定网络流量是否低于预定量;
当网络流量低于预定量时,向网络设备发送多个探测器;
接收来自网络设备的响应探测器的响应;和
基于从网络设备接收的响应,为发往网络设备的后续流量设置一个或多个阈值。
2.根据权利要求1所述的方法,其特征在于,基于从所述网络设备接收的响应为发往所述网络设备的后续流量设置一个或多个阈值包括基于所述响应的等待时间设置所述一个或多个阈值。
3.如权利要求1所述的方法,其特征在于,所述一个或多个阈值包括最大连接数,最大半开连接数,每单位时间的最大连接数,每个半开连接的最大数量中的至少一个;时间单位,每单位时间的最大数据包数,每单位时间的最大字节数,每单位时间的最大请求数或请求的最大大小。
4.根据权利要求1所述的方法,其特征在于,所述网络设备是物联网(IoT)设备,并且所述网络安全设备是防火墙,所述方法还包括操作分布式拒绝服务(DDoS)开放威胁信令(DOTS);防火墙上的客户端,并发信号通知DOTS服务器调解针对IoT设备的DDoS攻击。
5.如权利要求1所述的方法,其特征在于,还包括:检测所述网络设备是否已切换到同步(SYN)cookie模式,作为所述网络设备正在接近连接阈值限制的指示符。
6.根据权利要求1所述的方法,其特征在于,还包括:确定不能通过被配置为由所述网络设备通告所述一个或多个阈值的预定协议来获得所述一个或多个阈值。
7.如权利要求6所述的方法,其特征在于,所述预定协议是制造商使用描述(MUD)协议或分布式拒绝服务(DDoS)开放威胁信令(DOTS)协议之一。
8.如权利要求1所述的方法,其特征在于,还包括通过嗅探所述网络流量来发现所述一个或多个阈值。
9.如权利要求8所述的方法,其特征在于,还包括将所述一个或多个阈值上载到其他网络安全设备可访问的服务器;利用所述网络设备的类型的指示符向服务器查询,以基于所述网络设备的类型获得阈值。
10.一种监测物联网设备网络安全的装置,其特征在于,包括:
接口单元,用于实现网络通信;
记忆;和
一个或多个处理器,耦合到接口单元和存储器,并配置为:
监控网络流量,流经设备,发往网络设备;
确定网络流量是否低于预定量;
当网络流量低于预定量时,向网络设备发送多个探测器;
接收来自网络设备的响应探测器的响应;和
基于从网络设备接收的响应,为发往网络设备的后续流量设置一个或多个阈值。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201810831478.7A CN108924158A (zh) | 2018-07-26 | 2018-07-26 | 一种监测物联网设备网络安全的方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201810831478.7A CN108924158A (zh) | 2018-07-26 | 2018-07-26 | 一种监测物联网设备网络安全的方法及装置 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN108924158A true CN108924158A (zh) | 2018-11-30 |
Family
ID=64417006
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201810831478.7A Withdrawn CN108924158A (zh) | 2018-07-26 | 2018-07-26 | 一种监测物联网设备网络安全的方法及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN108924158A (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112804183A (zh) * | 2019-10-28 | 2021-05-14 | 中国移动通信有限公司研究院 | 分布式拒绝服务攻击处理方法、装置、服务器及存储介质 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103809542A (zh) * | 2012-11-14 | 2014-05-21 | 无锡津天阳激光电子有限公司 | 一种社区安防物联网方法与装置 |
US20140143850A1 (en) * | 2012-11-21 | 2014-05-22 | Check Point Software Technologies Ltd. | Penalty box for mitigation of denial-of-service attacks |
CN106209826A (zh) * | 2016-07-08 | 2016-12-07 | 瑞达信息安全产业股份有限公司 | 一种网络安全设备监测的安全事件分析方法 |
US20180159894A1 (en) * | 2016-12-01 | 2018-06-07 | Cisco Technology, Inc. | Automatic threshold limit configuration for internet of things devices |
-
2018
- 2018-07-26 CN CN201810831478.7A patent/CN108924158A/zh not_active Withdrawn
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103809542A (zh) * | 2012-11-14 | 2014-05-21 | 无锡津天阳激光电子有限公司 | 一种社区安防物联网方法与装置 |
US20140143850A1 (en) * | 2012-11-21 | 2014-05-22 | Check Point Software Technologies Ltd. | Penalty box for mitigation of denial-of-service attacks |
CN106209826A (zh) * | 2016-07-08 | 2016-12-07 | 瑞达信息安全产业股份有限公司 | 一种网络安全设备监测的安全事件分析方法 |
US20180159894A1 (en) * | 2016-12-01 | 2018-06-07 | Cisco Technology, Inc. | Automatic threshold limit configuration for internet of things devices |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112804183A (zh) * | 2019-10-28 | 2021-05-14 | 中国移动通信有限公司研究院 | 分布式拒绝服务攻击处理方法、装置、服务器及存储介质 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US9787700B1 (en) | System and method for offloading packet processing and static analysis operations | |
CN109829297B (zh) | 监控装置、方法及其电脑存储介质 | |
TWI294726B (zh) | ||
JP5970041B2 (ja) | イベント分析に基づくサイバー攻撃探知装置及び方法 | |
JPWO2016006520A1 (ja) | 検知装置、検知方法及び検知プログラム | |
CN114095258B (zh) | 攻击防御方法、装置、电子设备及存储介质 | |
CN107204965B (zh) | 一种密码破解行为的拦截方法及系统 | |
CN112804220B (zh) | 一种防火墙测试方法、装置、电子设备及存储介质 | |
CN104796406A (zh) | 一种应用识别方法及装置 | |
CN103905415A (zh) | 一种防范远控类木马病毒的方法及系统 | |
KR101250899B1 (ko) | 응용계층 분산 서비스 거부 공격 탐지 및 차단 장치 및 그 방법 | |
US20190215336A1 (en) | Method for defending against attack, defense device, and computer readable storage medium | |
Kang et al. | Cyber threats and defence approaches in SCADA systems | |
CN110753014B (zh) | 基于流量转发的威胁感知方法、设备、装置及存储介质 | |
CN108924158A (zh) | 一种监测物联网设备网络安全的方法及装置 | |
US10205738B2 (en) | Advanced persistent threat mitigation | |
US10296744B1 (en) | Escalated inspection of traffic via SDN | |
CN101795277A (zh) | 一种单向流检测模式下的流量检测方法和设备 | |
KR20130009130A (ko) | 좀비 피씨 및 디도스 대응 장치 및 방법 | |
CN107819739B (zh) | 一种确定终端是否存在长链路连接的方法及服务器 | |
KR101686472B1 (ko) | 네트워크 보안 장치, 네트워크 보안 장치에서 수행되는 악성 행위 방어 방법 | |
JP5009200B2 (ja) | ネットワーク攻撃検出装置及び防御装置 | |
US11451584B2 (en) | Detecting a remote exploitation attack | |
KR20180095155A (ko) | 웹소켓 서버의 오리진 관리 시스템 및 방법 | |
KR102545705B1 (ko) | DDoS 공격의 탐지 및 방어 시스템 및 그 방법 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
WW01 | Invention patent application withdrawn after publication |
Application publication date: 20181130 |
|
WW01 | Invention patent application withdrawn after publication |