CN108959927A - 一种物联网安全横向对比分析的装置及方法 - Google Patents
一种物联网安全横向对比分析的装置及方法 Download PDFInfo
- Publication number
- CN108959927A CN108959927A CN201810680199.5A CN201810680199A CN108959927A CN 108959927 A CN108959927 A CN 108959927A CN 201810680199 A CN201810680199 A CN 201810680199A CN 108959927 A CN108959927 A CN 108959927A
- Authority
- CN
- China
- Prior art keywords
- internet
- information
- equipment
- data
- things
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- General Health & Medical Sciences (AREA)
- Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- General Physics & Mathematics (AREA)
- Bioethics (AREA)
- Databases & Information Systems (AREA)
- Virology (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明涉及一种物联网安全横向对比分析的装置及方法,物联网包括云中心、与云中心通信连接的设备,装置包括通信模块、统计模块、对比分析模块和数据库;根据用户预先配置好的区域网段,在云中心划分若干区域,获取任一区域内的设备的数据,将数据记录至数据库,构建白名单,逐一获取当前区域内任一台设备上的数据,与数据库中的白名单进行对比,发现异常则上报至云中心。本发明在收集区域内物联网的设备的数据信息的基础上,利用统计学原理,对物联网设备自身多维度的信息和状态进行横对比分析,快速挖掘物联网设备的异常攻击活动,不但为使用者提供了更加快速和高效的风险感知方法,在一定程度上还能具备0day风险的感知能力。
Description
技术领域
本发明涉及数据交换网络的技术领域,特别涉及一种对物联网设备中的相似数据进行横向统计和分析以筛选出可疑数据、供进一步判断的物联网安全横向对比分析的装置及方法。
背景技术
物联网是物物相连的互联网,其核心和基础仍然是互联网,是在互联网基础上的延伸,进而扩展的网络,其用户端延伸和扩展到了任何物品与物品之间,进行信息交换和通信。
随着物联网设备的普及,物联网设备自身的网络安全态势感知能力亦备受关注,如何快速有效的挖掘物联网设备的网络风险态势便是一个问题。
现有技术中,主要依靠传统的防火墙设备、入侵检测设备、准入设备等来感知物联网设备的网络风险,或是针对单台设备人工分析可能存在的异常,而由于物联网设备本身不具备“安全模块”,通过外置的防火墙、入侵检测等传统设备无法准确有效的捕获到物联网设备自身上已经发生的风险活动,且人工分析物联网设备上的异常活动缺乏对比,效率低下。
发明内容
本发明解决的技术问题是,现有技术中,通过传统的防火墙设备、入侵检测设备、准入设备等来感知物联网设备的网络风险,或是针对单台设备人工分析可能存在的异常,而由于物联网设备本身不具备“安全模块”,通过外置的防火墙、入侵检测等传统设备无法准确有效的捕获到物联网设备自身上已经发生的风险活动,且人工分析物联网设备上的异常活动缺乏对比,效率低下,为此,本发明提供了一种优化的物联网安全横向对比分析的装置及方法。
本发明所采用的技术方案是,一种物联网安全横向对比分析的方法,所述物联网包括云中心、与云中心通信连接的设备,所述方法包括以下步骤:
步骤1:根据用户预先配置好的区域网段,在云中心划分若干区域;
步骤2:获取每个区域内的设备的数据,将数据记录至数据库,构建白名单;
步骤3:逐一获取当前区域内任一台设备上的数据,与数据库中的白名单进行对比;
步骤4:发现异常,则上报至云中心,否则,重复步骤3。
优选地,所述步骤1中,云中心中划分的若干区域可以包括若干大区块区域,任一所述大区块区域中包括若干小区块区域。
优选地,所述步骤2中,数据包括设备的进程信息、网络活动信息、硬件资源使用信息。
优选地,所述进程信息包括PID、进程用户、进程参数、进程位置及进程运行时间;所述网络活动信息包括对应的网络协议、源端口、目的端口、IP及流量传输信息;所述硬件资源使用信息包括CPU、内存使用及网络占用。
优选地,所述步骤2中,将数据建立二维数组,统计各维度信息,并记录至数据库。
优选地,所述步骤4中,异常包括当前设备的进程信息、网络活动信息、硬件资源使用信息不存在于白名单的进程信息、网络活动信息、硬件资源使用信息中,分别标记为可疑进程、可疑网络活动、可能遭受攻击的设备。
优选地,所述步骤4中,当硬件内存使用与白名单中硬件资源使用信息的硬件内存使用不符时,判定为异常。
一种采用所述物联网安全横向对比分析的方法的装置,所述装置包括:
一通信模块,用于与云中心通信连接,获取任一区域内的设备的数据传递至统计模块,并将对比分析模块对比分析得到的异常传递至云中心;
一统计模块,用于将数据建立二维数组,统计各维度信息,并记录至数据库;
一对比分析模块,用于获取数据库内的数据与任一台设备上的数据,进行对比分析,并将异常通过通信模块传递至云中心;
一数据库,用于存储统计模块统计的数据信息,构建白名单。
优选地,所述设备包括:
一安全模块,用于收集当前设备的进程信息、网络活动信息、硬件资源使用信息;
一通信模块,用于与云中心通信连接,将安全模块收集的进程信息、网络活动信息、硬件资源使用信息传递至云中心。
本发明提供了一种优化的物联网安全横向对比分析的装置及方法,在收集区域内物联网的设备的数据信息的基础上,利用统计学原理,通过对物联网设备自身多维度的信息和状态进行横对比分析,能够快速挖掘物联网设备的异常攻击活动。本发明中物联网安全横向对比不但为使用者提供了更加快速和高效的风险感知方法,在一定程度上还能具备0day风险的感知能力。
附图说明
图1为本发明的方法流程图;
图2为本发明的装置与设备间配合的结构示意图,其中,箭头为数据传输的方向。
具体实施方式
下面结合实施例对本发明做进一步的详细描述,但本发明的保护范围并不限于此。
本发明涉及一种物联网安全横向对比分析的方法,所述物联网包括云中心、与云中心通信连接的设备,所述方法包括以下步骤。
步骤1:根据用户预先配置好的区域网段,在云中心划分若干区域。
所述步骤1中,云中心中划分的若干区域可以包括若干大区块区域,任一所述大区块区域中包括若干小区块区域。
本发明中,区域划分主要依靠用户预先配置的区域资产网段来区分,比如,用户配置杭州市区域资产IP网段、西湖区资产IP网段、江干区资产IP网段。
本发明中,大区块区域可以包含小区块区域,横向对比的时候优先与最小单位的区域进行对比,小区块区域出现可疑数据则直接汇报,当一个大区块区域中所有的小区块区域遍历完后,比对大区块区域中的数据。
本发明中,在实际的操作中,即使一个大区块区域里的小区块区域都是没有可疑的,亦不能认为这个大区块区域是没有问题的,因为从理论上说,如果小区域范围内全部感染某一病毒,导致非法外连产生,此时小区块区域内每台设备都包含这个外连,在小区块区域内部是判断不出非法的,只有通过对比大区块区域才能够发现。
步骤2:获取每个区域内的设备的数据,将数据记录至数据库,构建白名单。
所述步骤2中,数据包括设备的进程信息、网络活动信息、硬件资源使用信息。
所述进程信息包括PID、进程用户、进程参数、进程位置及进程运行时间;所述网络活动信息包括对应的网络协议、源端口、目的端口、IP及流量传输信息;所述硬件资源使用信息包括CPU、内存使用及网络占用。
所述步骤2中,将数据建立二维数组,统计各维度信息,并记录至数据库。
本发明中,流量传输信息,又为流量信息,包括某个进程使用了某个端口、某个协议、对外或对内传输了若干流量,如QQ进程,监听8080端口、使用tcp协议、对外传输了50M流量。
本发明中,内存使用及网络占用处于不同维度,网络占用是通信的流量,内存使用是设备的计算缓存芯片,其包含了不同的信息内容。
步骤3:逐一获取当前区域内任一台设备上的数据,与数据库中的白名单进行对比。
本发明中,当前区域内包括n台设备,取第i台设备上的某一维度的数据与数据库中的白名单进行对比,若每个维度的数据均无异常,则取第i+1台设备上的数据进行对比操作,否则将异常上报。1≤i≤n。
步骤4:发现异常,则上报至云中心,否则,重复步骤3。
所述步骤4中,异常包括当前设备的进程信息、网络活动信息、硬件资源使用信息不存在于白名单的进程信息、网络活动信息、硬件资源使用信息中,分别标记为可疑进程、可疑网络活动、可能遭受攻击的设备。
所述步骤4中,当硬件内存使用与白名单中硬件资源使用信息的硬件内存使用不符时,判定为异常。
本发明中,采用白名单机制,通过横向对比分析区域内同类型的物联网设备的进程信息,筛选出在其他设备上都没有存在的活动进程,标记为可疑进程,上报给云中心。
本发明中,采用白名单机制,通过横向对比分析区域内同类型的物联网设备的网络活动信息,筛选出在其他设备上没有存在的网络活动,标记为可疑网络活动,上报给云中心。
本发明中,采用白名单机制,通过横向对比分析区域内同类型的物联网设备的硬件资源信息,筛选出硬件资源占用和其他设备不一致的设备,标记为可能遭受攻击的设备,上报给运中心。
本发明还涉及一种采用所述物联网安全横向对比分析的方法的装置,所述装置包括:
一通信模块,用于与云中心通信连接,获取任一区域内的设备的数据传递至统计模块,并将对比分析模块对比分析得到的异常传递至云中心;
一统计模块,用于将数据建立二维数组,统计各维度信息,并记录至数据库;
一对比分析模块,用于获取数据库内的数据与任一台设备上的数据,进行对比分析,并将异常通过通信模块传递至云中心;
一数据库,用于存储统计模块统计的数据信息,构建白名单。
所述设备包括:
一安全模块,用于收集当前设备的进程信息、网络活动信息、硬件资源使用信息;
一通信模块,用于与云中心通信连接,将安全模块收集的进程信息、网络活动信息、硬件资源使用信息传递至云中心。
本发明在收集区域内物联网的设备的数据信息的基础上,利用统计学原理,通过对物联网设备自身多维度的信息和状态进行横对比分析,能够快速挖掘物联网设备的异常攻击活动。本发明中物联网安全横向对比不但为使用者提供了更加快速和高效的风险感知方法,在一定程度上还能具备0day风险的感知能力。
Claims (9)
1.一种物联网安全横向对比分析的方法,所述物联网包括云中心、与云中心通信连接的设备,其特征在于:所述方法包括以下步骤:
步骤1:根据用户预先配置好的区域网段,在云中心划分若干区域;
步骤2:获取每个区域内的设备的数据,将数据记录至数据库,构建白名单;
步骤3:逐一获取当前区域内任一台设备上的数据,与数据库中的白名单进行对比;
步骤4:发现异常,则上报至云中心,否则,重复步骤3。
2.根据权利要求1所述的一种物联网安全横向对比分析的方法,其特征在于:所述步骤1中,云中心中划分的若干区域可以包括若干大区块区域,任一所述大区块区域中包括若干小区块区域。
3.根据权利要求1所述的一种物联网安全横向对比分析的方法,其特征在于:所述步骤2中,数据包括设备的进程信息、网络活动信息、硬件资源使用信息。
4.根据权利要求3所述的一种物联网安全横向对比分析的方法,其特征在于:所述进程信息包括PID、进程用户、进程参数、进程位置及进程运行时间;所述网络活动信息包括对应的网络协议、源端口、目的端口、IP及流量传输信息;所述硬件资源使用信息包括CPU、内存使用及网络占用。
5.根据权利要求3所述的一种物联网安全横向对比分析的方法,其特征在于:所述步骤2中,将数据建立二维数组,统计各维度信息,并记录至数据库。
6.根据权利要求3所述的一种物联网安全横向对比分析的方法,其特征在于:所述步骤4中,异常包括当前设备的进程信息、网络活动信息、硬件资源使用信息不存在于白名单的进程信息、网络活动信息、硬件资源使用信息中,分别标记为可疑进程、可疑网络活动、可能遭受攻击的设备。
7.根据权利要求6所述的一种物联网安全横向对比分析的方法,其特征在于:所述步骤4中,当硬件内存使用与白名单中硬件资源使用信息的硬件内存使用不符时,判定为异常。
8.一种采用权利要求1~7之一所述物联网安全横向对比分析的方法的装置,其特征在于:所述装置包括:
一通信模块,用于与云中心通信连接,获取任一区域内的设备的数据传递至统计模块,并将对比分析模块对比分析得到的异常传递至云中心;
一统计模块,用于将数据建立二维数组,统计各维度信息,并记录至数据库;
一对比分析模块,用于获取数据库内的数据与任一台设备上的数据,进行对比分析,并将异常通过通信模块传递至云中心;
一数据库,用于存储统计模块统计的数据信息,构建白名单。
9.根据权利要求8所述的一种物联网安全横向对比分析的方法的装置,其特征在于:所述设备包括:
一安全模块,用于收集当前设备的进程信息、网络活动信息、硬件资源使用信息;
一通信模块,用于与云中心通信连接,将安全模块收集的进程信息、网络活动信息、硬件资源使用信息传递至云中心。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810680199.5A CN108959927B (zh) | 2018-06-27 | 2018-06-27 | 一种物联网安全横向对比分析的装置及方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810680199.5A CN108959927B (zh) | 2018-06-27 | 2018-06-27 | 一种物联网安全横向对比分析的装置及方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN108959927A true CN108959927A (zh) | 2018-12-07 |
| CN108959927B CN108959927B (zh) | 2020-10-27 |
Family
ID=64487233
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201810680199.5A Active CN108959927B (zh) | 2018-06-27 | 2018-06-27 | 一种物联网安全横向对比分析的装置及方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN108959927B (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112153062A (zh) * | 2020-09-27 | 2020-12-29 | 北京北信源软件股份有限公司 | 基于多维度的可疑终端设备检测方法及系统 |
| CN115514519A (zh) * | 2022-08-11 | 2022-12-23 | 云南电网有限责任公司 | 一种基于横向微隔离的主动防御方法及插件 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102855430A (zh) * | 2012-08-23 | 2013-01-02 | 福建升腾资讯有限公司 | 基于Windows系统的进程黑白名单控制方法 |
| CN105183614A (zh) * | 2015-11-03 | 2015-12-23 | 华夏银行股份有限公司 | 一种数据库故障预测方法及装置 |
| US20160112262A1 (en) * | 2014-10-18 | 2016-04-21 | Weaved, Inc. | Installation and configuration of connected devices |
| CN106569927A (zh) * | 2016-10-13 | 2017-04-19 | 中航(重庆)微电子有限公司 | 一种适用于多平台的监控方法 |
| CN106603641A (zh) * | 2016-12-05 | 2017-04-26 | 公牛集团有限公司 | 一种物联网设备的智能控制方法及智能控制系统 |
| CN106709580A (zh) * | 2017-01-13 | 2017-05-24 | 国家电网公司 | 一种变电站二次系统运维云平台 |
-
2018
- 2018-06-27 CN CN201810680199.5A patent/CN108959927B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102855430A (zh) * | 2012-08-23 | 2013-01-02 | 福建升腾资讯有限公司 | 基于Windows系统的进程黑白名单控制方法 |
| US20160112262A1 (en) * | 2014-10-18 | 2016-04-21 | Weaved, Inc. | Installation and configuration of connected devices |
| CN105183614A (zh) * | 2015-11-03 | 2015-12-23 | 华夏银行股份有限公司 | 一种数据库故障预测方法及装置 |
| CN106569927A (zh) * | 2016-10-13 | 2017-04-19 | 中航(重庆)微电子有限公司 | 一种适用于多平台的监控方法 |
| CN106603641A (zh) * | 2016-12-05 | 2017-04-26 | 公牛集团有限公司 | 一种物联网设备的智能控制方法及智能控制系统 |
| CN106709580A (zh) * | 2017-01-13 | 2017-05-24 | 国家电网公司 | 一种变电站二次系统运维云平台 |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112153062A (zh) * | 2020-09-27 | 2020-12-29 | 北京北信源软件股份有限公司 | 基于多维度的可疑终端设备检测方法及系统 |
| CN112153062B (zh) * | 2020-09-27 | 2023-02-21 | 北京北信源软件股份有限公司 | 基于多维度的可疑终端设备检测方法及系统 |
| CN115514519A (zh) * | 2022-08-11 | 2022-12-23 | 云南电网有限责任公司 | 一种基于横向微隔离的主动防御方法及插件 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN108959927B (zh) | 2020-10-27 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107404400B (zh) | 一种网络态势感知实现方法及装置 | |
| US10397260B2 (en) | Network system | |
| CN105493450B (zh) | 动态检测网络中的业务异常的方法和系统 | |
| US20090238088A1 (en) | Network traffic analyzing device, network traffic analyzing method and network traffic analyzing system | |
| EP2612481B1 (en) | Method and system for classifying traffic | |
| CN105991587B (zh) | 一种入侵检测方法及系统 | |
| CN104579818A (zh) | 智能变电站网络异常报文检测方法 | |
| CN109766695A (zh) | 一种基于融合决策的网络安全态势感知方法和系统 | |
| Duan et al. | Application of a dynamic line graph neural network for intrusion detection with semisupervised learning | |
| CN104115463A (zh) | 用于处理网络元数据的流式传输方法和系统 | |
| EP3499837A1 (en) | Ot system monitoring method, apparatus, system, and storage medium | |
| CN109462621A (zh) | 网络安全保护方法、装置及电子设备 | |
| CN105051696A (zh) | 用于处理网络元数据的改进的流式处理方法及系统 | |
| Kim et al. | A study of analyzing network traffic as images in real-time | |
| CN104660552A (zh) | 一种wlan网络入侵检测系统 | |
| CN112350882A (zh) | 一种基于分布式的网络流量分析系统及方法 | |
| WO2014096761A1 (en) | Network security management | |
| CN108959927A (zh) | 一种物联网安全横向对比分析的装置及方法 | |
| Berthier et al. | On the practicality of detecting anomalies with encrypted traffic in AMI | |
| US11863584B2 (en) | Infection spread attack detection device, attack origin specification method, and program | |
| CN108667804B (zh) | 一种基于SDN架构的DDoS攻击检测及防护方法和系统 | |
| CN107733941A (zh) | 一种基于大数据的数据采集平台的实现方法及系统 | |
| JP2009044501A (ja) | トラフィック量変化原因特定方法、システム、プログラム、及び記録媒体 | |
| JP5015279B2 (ja) | トラヒック量変化検知と連携した原因特定システム、方法、装置、及びプログラム | |
| JP2019213029A (ja) | 感染拡大攻撃検知システム及び方法、並びに、プログラム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |