CN109104438B - 窄带物联网中的僵尸网络预警方法、装置及可读存储介质 - Google Patents
窄带物联网中的僵尸网络预警方法、装置及可读存储介质 Download PDFInfo
- Publication number
- CN109104438B CN109104438B CN201811229341.0A CN201811229341A CN109104438B CN 109104438 B CN109104438 B CN 109104438B CN 201811229341 A CN201811229341 A CN 201811229341A CN 109104438 B CN109104438 B CN 109104438B
- Authority
- CN
- China
- Prior art keywords
- botnet
- things
- information
- virus
- early warning
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/12—Detection or prevention of fraud
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/144—Detection or countermeasures against botnets
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开了一种窄带物联网中的僵尸网络预警方法,包括:获取窄带物联网中的流量信息,流量信息至少包括:蜜罐捕获的病毒文件和流量监控网关记录的日志;按照预设的多个维度分析流量信息,获得每个维度分别对应的分析结果;多个维度至少包括:流量特征、网络行为和病毒;根据每个维度分别对应的分析结果确定窄带物联网中是否存在僵尸网络受控设备;若存在,则生成僵尸网络预警信息。该方法实现了包括病毒文件和日志的流量信息的收集,并对流量信息从不同维度进行分析处理,从而实现了窄带物联网中的僵尸网络的及时预警。相应的,本发明公开的一种窄带物联网中的僵尸网络预警装置、设备及可读存储介质,也同样具有上述技术效果。
Description
技术领域
本发明涉及计算机病毒防御技术领域,更具体地说,涉及一种窄带物联网中的僵尸网络预警方法、装置、设备及可读存储介质。
背景技术
窄带物联网构建于蜂窝网络,只需要消耗大约180KHz的带宽,可直接部署于GSM网络、UMTS网络或LTE网络,具有部署成本低、易于升级改造等优点。
在智慧城市的建设过程中,必然需要窄带物联网的支持。该网络可覆盖井、路灯、消防栓等各种城市设施,网络中的设备类型繁杂、成本低、功耗小、覆盖范围广,可实现单小区5万连接数的设备覆盖。每个设备基于物联网卡(新类别SIM卡)接入网络。正是由于窄带物联网具有覆盖范围广的特点,一旦其感染计算机病毒,特别是僵尸病毒,若不及时处理预防,可能会导致大范围的网络瘫痪或异常。
在现有技术中,由于窄带物联网中的物联网卡(SIM卡)、芯片、模组和设备的厂商多而复杂,使得网络中的数据收集杂乱无章,基于杂乱无章的数据也无法提取出可用的信息,所以也无法及时预警网络中的病毒。例如:蠕虫病毒和僵尸病毒,即使其已经扩散到大量设备,只要没有恶意行为,很难被网络的控制后台发现和觉察。
因此,如何发现窄带物联网中的僵尸网络受控设备,并及时预警,是本领域技术人员需要解决的问题。
发明内容
本发明的目的在于提供一种窄带物联网中的僵尸网络预警方法、装置、设备及可读存储介质,以发现窄带物联网中的僵尸网络受控设备,并及时预警。
为实现上述目的,本发明实施例提供了如下技术方案:
一种窄带物联网中的僵尸网络预警方法,包括:
获取窄带物联网中的流量信息,所述流量信息至少包括:蜜罐捕获的病毒文件和流量监控网关记录的日志;
按照预设的多个维度分析所述流量信息,获得每个维度分别对应的分析结果;所述多个维度至少包括:流量特征、网络行为和病毒;
根据所述每个维度分别对应的分析结果确定所述窄带物联网中是否存在僵尸网络受控设备;
若存在,则生成僵尸网络预警信息。
其中,当按照所述流量特征分析所述流量信息时,包括:
从所述流量信息中提取数据流信息,并采用聚类算法对所述数据流信息进行聚类分析,得到多个聚簇;
确定每个聚簇分别对应的流量特征,并根据所述每个聚簇分别对应的流量特征确定分析结果。
其中,当按照所述网络行为分析所述流量信息时,包括:
从所述流量信息中提取所述窄带物联网中的各设备的信息,所述各设备的信息至少包括:设备的ID、类型、位置、网关IP和休眠和活跃时间;
按照所述各设备的信息将所述窄带物联网中的各设备划分为不同设备组;
分析每个设备组中的各设备的网络行为,并根据所述每个设备组中的各设备的网络行为确定分析结果。
其中,当按照病毒分析所述流量信息时,包括:
从所述流量信息中提取文件,并计算所述文件的MD5值;
将所述MD5值与预设的病毒库进行比对,判断所述病毒库中是否存在所述MD5值;
若是,则判定所述文件为病毒文件,并确定当前分析结果为所述窄带物联网中存在僵尸网络受控设备;
若否,则采用同源性鉴别方法对所述文件进行鉴别;当鉴别结果为所述病毒库中存在与所述文件同源的文件时,判定所述文件为病毒文件,并将所述病毒文件添加至所述病毒库,确定当前分析结果为所述窄带物联网中存在僵尸网络受控设备。
其中,所述根据所述每个维度分别对应的分析结果确定所述窄带物联网中是否存在僵尸网络受控设备,包括:
当存在任意一个或多个分析结果显示有僵尸网络受控设备时,确定所述窄带物联网中存在僵尸网络受控设备。
其中,所述生成僵尸网络预警信息之后,还包括:
将所述僵尸网络预警信息发送至预设的管理端并可视化展示。
其中,将所述僵尸网络预警信息发送至预设的管理端并可视化展示之后,还包括:
根据所述僵尸网络预警信息确定所述窄带物联网中的感染僵尸病毒的区域,对所述区域中的各设备进行限流或重启复位操作。
一种窄带物联网中的僵尸网络预警装置,包括:
获取模块,用于获取窄带物联网中的流量信息,所述流量信息至少包括:蜜罐捕获的病毒文件和流量监控网关记录的日志;
分析模块,用于按照预设的多个维度分析所述流量信息,获得每个维度分别对应的分析结果;所述多个维度至少包括:流量特征、网络行为和病毒;
判断模块,用于根据所述每个维度分别对应的分析结果确定所述窄带物联网中是否存在僵尸网络受控设备;
生成模块,用于当所述窄带物联网中存在僵尸网络受控设备时,生成僵尸网络预警信息。
一种窄带物联网中的僵尸网络预警设备,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序时实现上述任意一项所述的窄带物联网中的僵尸网络预警方法的步骤。
一种可读存储介质,所述可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现上述任意一项所述的窄带物联网中的僵尸网络预警方法的步骤。
通过以上方案可知,本发明实施例提供的一种窄带物联网中的僵尸网络预警方法,包括:获取窄带物联网中的流量信息,所述流量信息至少包括:蜜罐捕获的病毒文件和流量监控网关记录的日志;按照预设的多个维度分析所述流量信息,获得每个维度分别对应的分析结果;所述多个维度至少包括:流量特征、网络行为和病毒;根据所述每个维度分别对应的分析结果确定所述窄带物联网中是否存在僵尸网络受控设备;若存在,则生成僵尸网络预警信息。
可见,上述方案通过蜜罐捕获病毒文件,通过流量监控网关记录网络日志,实现了网络中数据的统一收集,将病毒文件和网络日志集中作为流量信息,实现了数据的统一管理。并以窄带物联网中的流量信息为基础,从流量特征、网络行为和病毒等维度分析流量信息,从而得到不同的分析结果;基于每个维度的分析结果确定窄带物联网中是否存在僵尸网络受控设备;当存在时,则生成僵尸网络预警信息,从而实现了及时预警。
相应地,本发明实施例提供的一种窄带物联网中的僵尸网络预警装置、设备及可读存储介质,也同样具有上述技术效果。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例公开的一种窄带物联网中的僵尸网络预警方法流程图;
图2为本发明实施例公开的另一种窄带物联网中的僵尸网络预警方法流程图;
图3为本发明实施例公开的一种窄带物联网中的僵尸网络预警装置示意图;
图4为本发明实施例公开的一种窄带物联网中的僵尸网络预警设备示意图;
图5为本发明实施例公开的一种窄带物联网的网络框架示意图;
图6为本发明实施例公开的一种窄带物联网的硬件部署示意图;
图7为本发明实施例公开的分析窄带物联网中的流程信息和预警的过程示意图;
图8为本发明实施例公开的基于病毒维度分析流量信息的过程示意图;
图9为本发明实施例公开的基于网络特征基因(即流量基因)维度分析流量数据的过程示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明实施例公开了一种窄带物联网中的僵尸网络预警方法、装置、设备及可读存储介质,以发现窄带物联网中的僵尸网络受控设备,并及时预警。
参见图1,本发明实施例提供的一种窄带物联网中的僵尸网络预警方法,包括:
S101、获取窄带物联网中的流量信息,流量信息至少包括:蜜罐捕获的病毒文件和流量监控网关记录的日志;
S102、按照预设的多个维度分析流量信息,获得每个维度分别对应的分析结果;多个维度至少包括:流量特征、网络行为和病毒;
S103、根据每个维度分别对应的分析结果确定窄带物联网中是否存在僵尸网络受控设备;若是,则执行S104;若否,则执行S105;
S104、生成僵尸网络预警信息;
S105、无操作。
在本实施例中,在窄带物联网中的各基站位置部署蜜罐设备,用于捕获当前基站范围内出现的病毒文件。蜜罐是一种安全资源,其价值在于被扫描、攻击和攻陷,即:蜜罐就是让黑客入侵,借此收集证据,同时隐藏真实的服务器地址,因此本实施例中的蜜罐拥有这些功能:发现攻击、产生警告、强大的记录能力、欺骗、协助调查。需要说明的是,本实施例中的蜜罐捕获的异常信息包括但不限于僵尸病毒。
具体的,从多个维度分析流量数据,相应的会得到每个维度对应的分析结果。例如:从流量特征、网络行为和病毒这三个维度分析流量数据相应的会得到流量特征对应的第一分析结果,网络行为对应的第二分析结果和病毒对应的第三分析结果。其中,每个分析结果显示的结果无非为两种:窄带物联网中存在僵尸网络受控设备和窄带物联网中不存在僵尸网络受控设备。
在本实施例中,为了提高预警的准确性,当存在至少两个分析结果显示窄带物联网中存在僵尸网络受控设备时,才认为窄带物联网中存在僵尸网络受控设备,并生成僵尸网络预警信息;否则,提醒窄带物联网的后台巡查网络。需要说明的是,当蜜罐捕获除僵尸病毒外的其他病毒时,相应的生成对应的预警信息。例如:当当蜜罐捕获蠕虫病毒时,生成蠕虫病毒预警信息。
需要说明的是,还可以从其他维度分析流量信息,以提高分析过程的严谨性和分析结果的准确性。
可见,本实施例提供了一种窄带物联网中的僵尸网络预警方法,所述方法通过蜜罐捕获病毒文件,通过流量监控网关记录网络日志,实现了网络中数据的统一收集,将病毒文件和网络日志集中作为流量信息,实现了数据的统一管理。并以窄带物联网中的流量信息为基础,从流量特征、网络行为和病毒等维度分析流量信息,从而得到不同的分析结果;基于每个维度的分析结果确定窄带物联网中是否存在僵尸网络受控设备;当存在时,则生成僵尸网络预警信息,从而实现了及时预警。
本发明实施例公开了另一种窄带物联网中的僵尸网络预警方法,相对于上一实施例,本实施例对技术方案作了进一步的说明和优化。
参见图2,本发明实施例提供的另一种窄带物联网中的僵尸网络预警方法,包括:
S201、获取窄带物联网中的流量信息,流量信息至少包括:蜜罐捕获的病毒文件和流量监控网关记录的日志;
S202、按照预设的多个维度分析流量信息,获得每个维度分别对应的分析结果;多个维度至少包括:流量特征、网络行为和病毒;
S203、当存在任意一个或多个分析结果显示有僵尸网络受控设备时,确定窄带物联网中存在僵尸网络受控设备;
S204、生成僵尸网络预警信息;
在本实施例中,当存在任意一个或多个分析结果显示有僵尸网络受控设备时,确定窄带物联网中存在僵尸网络受控设备。即只要有一个分析结果显示窄带物联网中存在僵尸网络受控设备,即认为窄带物联网中存在僵尸网络受控设备,那么生成僵尸网络预警信息。
对于窄带物联网而言,只要基于流量特征、网络行为和病毒中的任意一个维度分析网络中的流量信息,均可判别出网络中的异常行为。所以为了能够快速确定窄带物联网中是否存在僵尸网络受控设备,可以首先选择合适的某一分析维度,进而基于选择的维度分析流量信息,即可得到相应的分析结果,而无需基于每个维度进行分析处理。
因此对于网络中的流量信息,既可以基于多维度对其进行分析,进而根据多个分析结果综合判断,做出判断结果;也可以仅基于一个维度对其进行分析,得到相应的分析结果。即:各个分析维度之间是相互独立的,在实际实施时,既可以任选其一,也可以按照预设的顺序或策略执行。
可见,本实施例提供了另一种窄带物联网中的僵尸网络预警方法,所述方法通过蜜罐捕获病毒文件,通过流量监控网关记录网络日志,实现了网络中数据的统一收集,将病毒文件和网络日志集中作为流量信息,实现了数据的统一管理。并以窄带物联网中的流量信息为基础,从流量特征、网络行为和病毒等维度分析流量信息,从而得到不同的分析结果;当存在任意一个或多个分析结果显示有僵尸网络受控设备时,确定窄带物联网中存在僵尸网络受控设备时,则生成僵尸网络预警信息,从而实现了及时预警。
基于上述任意实施例,需要说明的是,当按照所述流量特征分析所述流量信息时,包括:
从所述流量信息中提取数据流信息,并采用聚类算法对所述数据流信息进行聚类分析,得到多个聚簇;
确定每个聚簇分别对应的流量特征,并根据所述每个聚簇分别对应的流量特征确定分析结果。
具体的,流量信息中包含的信息而复杂,一般包括:内置网关IP、AT指令、当前状态、设备类型、设备安装时间、安装位置、时间戳、协议、设备 ID等。为了便于聚类,可首先通过有限状态自动机算法、语法语义分析算法 TFIDF算法对这些数据进行预处理。对于预处理后的数据,基于数据流的最大报文净荷长度特征对不同数据流进行K-means聚类分析,生成聚簇作为对应分类的阈值,用于对不同的数据通信功能进行区分。其中,数据流的特征包括:报文总数、流持续时间、上行报文数、下行报文数和最大报文净荷长度等。
对于K-means聚类分析得到的多个聚簇,可通过Shingle(相似数据检测) 算法对其进行分析,确定出每个聚簇中出现频率最高的特征,作为当前聚簇的流量特征;当一个聚簇中出现2个出现频率最高的特征时,通过shingle拼接算法将这两个特征进行合并。若将这两个特征分别用shingleX和shingleY 表示,则将其合并后,二者重复的部分将被删除。合并后得到的特征可用于下一次合并,直至得到网络的流量基因。
基于上述任意实施例,需要说明的是,当按照所述网络行为分析所述流量信息时,包括:
从所述流量信息中提取所述窄带物联网中的各设备的信息,所述各设备的信息至少包括:设备的ID、类型、位置、网关IP和休眠和活跃时间;
按照所述各设备的信息将所述窄带物联网中的各设备划分为不同设备组;
分析每个设备组中的各设备的网络行为,并根据所述每个设备组中的各设备的网络行为确定分析结果。
具体的,按照预设的规则对流量数据进行分析,并采用K-means聚类算法进行聚类,探寻设备的转发行为,进而依据不同的策略确定转发行为是否异常或存在恶意行为,直至确定分析结果。
基于上述任意实施例,需要说明的是,当按照病毒分析所述流量信息时,包括:
从所述流量信息中提取文件,并计算所述文件的MD5值;
将所述MD5值与预设的病毒库进行比对,判断所述病毒库中是否存在所述MD5值;
若是,则判定所述文件为病毒文件,并确定当前分析结果为所述窄带物联网中存在僵尸网络受控设备;
若否,则采用同源性鉴别方法对所述文件进行鉴别;当鉴别结果为所述病毒库中存在与所述文件同源的文件时,判定所述文件为病毒文件,并将所述病毒文件添加至所述病毒库,确定当前分析结果为所述窄带物联网中存在僵尸网络受控设备。
需要说明的是,病毒库中预先存储了各种病毒文件的MD5值,因此将病毒文件添加至病毒库,即:将病毒文件的MD5至添加至病毒库。当鉴别结果为所述病毒库中不存在与所述文件同源的文件时,暂时将所述文件判定为常规文件。
基于上述任意实施例,需要说明的是,所述生成僵尸网络预警信息之后,还包括:
将所述僵尸网络预警信息发送至预设的管理端并可视化展示。
其中,将所述僵尸网络预警信息发送至预设的管理端并可视化展示之后,还包括:
根据所述僵尸网络预警信息确定所述窄带物联网中的感染僵尸病毒的区域,对所述区域中的各设备进行限流或重启复位操作。
下面对本发明实施例提供的一种窄带物联网中的僵尸网络预警装置进行介绍,下文描述的一种窄带物联网中的僵尸网络预警装置与上文描述的一种窄带物联网中的僵尸网络预警方法可以相互参照。
参见图3,本发明实施例提供的一种窄带物联网中的僵尸网络预警装置,包括:
获取模块301,用于获取窄带物联网中的流量信息,所述流量信息至少包括:蜜罐捕获的病毒文件和流量监控网关记录的日志;
分析模块302,用于按照预设的多个维度分析所述流量信息,获得每个维度分别对应的分析结果;所述多个维度至少包括:流量特征、网络行为和病毒;
判断模块303,用于根据所述每个维度分别对应的分析结果确定所述窄带物联网中是否存在僵尸网络受控设备;
生成模块304,用于当所述窄带物联网中存在僵尸网络受控设备时,生成僵尸网络预警信息。
其中,所述分析模块包括:
第一提取单元,用于当按照所述流量特征分析所述流量信息时,从所述流量信息中提取数据流信息,并采用聚类算法对所述数据流信息进行聚类分析,得到多个聚簇;
第一分析单元,用于确定每个聚簇分别对应的流量特征,并根据所述每个聚簇分别对应的流量特征确定分析结果。
其中,所述分析模块包括:
第二提取单元,用于当按照所述网络行为分析所述流量信息时,从所述流量信息中提取所述窄带物联网中的各设备的信息,所述各设备的信息至少包括:设备的ID、类型、位置、网关IP和休眠和活跃时间;
划分单元,用于按照所述各设备的信息将所述窄带物联网中的各设备划分为不同设备组;
第二分析单元,用于分析每个设备组中的各设备的网络行为,并根据所述每个设备组中的各设备的网络行为确定分析结果。
其中,所述分析模块包括:
第三提取单元,用于从所述流量信息中提取文件,并计算所述文件的MD5 值;
比对单元,用于将所述MD5值与预设的病毒库进行比对,判断所述病毒库中是否存在所述MD5值;
第三分析模块,用于当所述病毒库中存在所述MD5值时,判定所述文件为病毒文件,并确定当前分析结果为所述窄带物联网中存在僵尸网络受控设备;
第四分析模块,用于当所述病毒库中不存在所述MD5值时,采用同源性鉴别方法对所述文件进行鉴别;当鉴别结果为所述病毒库中存在与所述文件同源的文件时,判定所述文件为病毒文件,并将所述病毒文件添加至所述病毒库,确定当前分析结果为所述窄带物联网中存在僵尸网络受控设备。
其中,所述判断模块具体用于:
当存在任意一个或多个分析结果显示有僵尸网络受控设备时,确定所述窄带物联网中存在僵尸网络受控设备。
其中,还包括:
展示模块,用于将所述僵尸网络预警信息发送至预设的管理端并可视化展示。
其中,还包括:
复位模块,用于根据所述僵尸网络预警信息确定所述窄带物联网中的感染僵尸病毒的区域,对所述区域中的各设备进行限流或重启复位操作。
可见,本实施例提供了一种窄带物联网中的僵尸网络预警装置,包括:获取模块、分析模块、判断模块以及生成模块。首先由获取模块获取窄带物联网中的流量信息,流量信息至少包括:蜜罐捕获的病毒文件和流量监控网关记录的日志;然后分析模块按照预设的多个维度分析流量信息,获得每个维度分别对应的分析结果;多个维度至少包括:流量特征、网络行为和病毒;进而判断模块根据每个维度分别对应的分析结果确定窄带物联网中是否存在僵尸网络受控设备;当窄带物联网中存在僵尸网络受控设备时,生成模块生成僵尸网络预警信息。如此各个模块之间分工合作,各司其职,从而实现了流量信息收集、管理、分析和处理,对窄带物联网中的僵尸网络的进行了及时预警。
下面对本发明实施例提供的一种窄带物联网中的僵尸网络预警设备进行介绍,下文描述的一种窄带物联网中的僵尸网络预警设备与上文描述的一种窄带物联网中的僵尸网络预警方法及装置可以相互参照。
参见图4,本发明实施例提供的一种窄带物联网中的僵尸网络预警设备,包括:
存储器401,用于存储计算机程序;
处理器402,用于执行所述计算机程序时实现上述任意实施例所述的窄带物联网中的僵尸网络预警方法的步骤。
下面对本发明实施例提供的一种可读存储介质进行介绍,下文描述的一种可读存储介质与上文描述的一种窄带物联网中的僵尸网络预警方法、装置及设备可以相互参照。
一种可读存储介质,所述可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如上述任意实施例所述的窄带物联网中的僵尸网络预警方法的步骤。
根据本发明提供的窄带物联网中的僵尸网络预警方法,可按照下述方案进行实施。
请参见图5和图6,图5为网络框架示意图,图6为网络中的硬件部署示意图。根据网络空间部署将窄带物联网系统划分为终端、设备管理平台和云端三个层面。终端结合蜜罐部署,将行为日志、命令执行日志上传云端,作为蜜罐的窄带物联网NB-IoT设备,主要用于上传完整的文件、文件哈希md5、行为日志信息。管理平台前端网关部署流量监控设备,收集流量,解析出多维数据,包括设备时空关联性、流量大小、时间、位置、分布等信息上传云端。云端本身存储有情报分析引擎、流量监控引擎及恶意文件情报数据、黑客画像等数据,结合上传大数据做分析建模,根据设备群体特征、覆盖特征、历史信誉机制数据、病毒检测数据、时空关联数据、附加流量变化数据等,结合聚类分析、GBM机器学习模型、深度学习模型,提供僵尸网络预警、影响范围以及溯源信息;并将辅助分析的数据,直接生成可视化前端页面,提供给设备管理平台。
窄带物联网设备都是连接到就近位置的基站,经由核心网转换后,和应用服务器通信,传输设备状态信息、行为日志信息、告警信息等,应用服务器会将收集到的信息经过筛选和处理,反馈到管理员操作平台。管理员通过操作平台发布控制指令,经由应用服务器转发给核心网,派发给指定窄带物联网设备。为了应对僵尸网络的攻击,需要在硬件上部署蜜罐和流量监控网关。每台基站附近部署一至两台蜜罐设备,用于上传日志信息、流量信息、本地文件等信息,应用服务器前端增加一个流量监控网关,收集流量信息、流量变化等信息。其中蜜罐和流量监控网关捕获的数据会统一上传到僵尸网络监管平台,由统一的数据分析引擎进行处理。
其中,蜜罐硬件设备除了包括基本模组以外,还包括了支撑NB-IoT五十多个应用场景的物理拓展模块,如GPRS模块、蓝牙模块、射频模块、ZigBee 模块、超声波模块、红外模块、各类传感器模块(温湿度、震动、火焰、气体、酒精)、WiFi模块、重力感应模块、计费模块等,从而保证才批量感染 NB-IoT时,蜜罐设备能及时收集到各类病毒文件上传服务器做进一步分析。基于图5和图6所示的网络,流量分析及预警可按照图7所示的流程图进行。
(1)若基于病毒维度分析该网络中的流量信息,分析过程请参见图8。具体的,由于僵尸网络会先通过病毒批量感染NB-IoT设备,只有某个地区出现病毒,就会被基站附近的蜜罐设备捕获,病毒文件和病毒对应的行为日志都会上传到僵尸网络监管平台,首先会将病毒文件的哈希值md5与病毒库进行比对;如果病毒库中已存在该病毒,直接告警,并且匹配数据库中原有病毒溯源信息,推算出病毒投放者归属哪个黑产团伙;如果并没病毒溯源信息,通过上传的行为日志信息,添加到数据库中。如果病毒库不存在该病毒,直接逆向病毒,分析其是否存在恶意行为,若不存在恶意行为,则无需告警;若存在恶意行为,在经过同源性鉴别算法,将病毒文件均转化为数字图像,对多图的互同源性进行鉴别,从而判别病毒来源于哪个病毒,可能是哪个黑客团伙作案。需要说明的是,蜜罐捕获的病毒文件包括但不限于僵尸病毒。
其中,同源性鉴别方法是用动态跟踪或静态分析获取恶意代码的特征信息,如指令序列、应用程序接口调用序列或图结构特征等。通过对恶意代码的特征进行学习,建立不同类别恶意代码的特征模型。基于图结构分析恶意代码同源性,该方法以接口调用图作为研究对象,利用卷积神经网络对图结构数据进行处理。为了使不同大小的API调用图能够适配卷积神经网络的输入,使用关键节点选择算法。该算法通过计算节点在图中的重要性,选取关键节点,然后以关键节点的邻域,构建感知区域。借助卷积神经网络局部性,提高图匹配计算效率,实现大量恶意代码的同源性分析。
其中,为了使病毒库覆盖尽可能多的病毒,可按照网络中的应用场景和功能特性将病毒划分为蓝牙病毒库、SIM卡病毒库、WiFi病毒库、ZigBee病毒库、GPRS病毒库和红外病毒库等。
(2)若基于网络特征基因(即流量基因)维度分析流量数据,分析过程请参见图9。具体的,监控网关获取的数据流信息具体包含设备内置网关IP、 AT指令、当前状态、设备类型、设备安装时间、安装位置、时间戳、协议、设备ID、所有人、所有人信息、告警人信息、返回数据(如温度参数、湿度参数、GPRS参数、计费信息)、设备组ID、SIM卡流量使用情况等。为了便于聚类,可首先通过有限状态自动机算法、语法语义分析算法TFIDF算法对这些数据进行预处理。对于预处理后的数据,基于数据流的最大报文净荷长度特征对不同数据流进行K-means聚类分析,生成聚簇作为对应分类的阈值,用于对不同的数据通信功能进行区分。
其中,数据流的特征包括:报文总数、流持续时间、上行报文数、下行报文数和最大报文净荷长度等。感染的僵尸设备在上线之后可能具有下载行为、报告系统信息行为、保持连接等行为等,流量特征提取模块为基因特征提取提供基础。K-means(均值)聚类模块利用流特征提取模块获取的数据流,对数据流进行聚类,生成聚簇用于分类的特征匹配。Shingle(相似数据检测) 提取算法模块可以分辨不同类别的数据流,并提取在该类别数据流中,出现频率最高的流特征。shingle(相似数据检测)拼接算法是采用直接合并的方式生成网络基因特征,合并过程为:假定在同一个流中存在2个出现频率高的 shingle(特征),分别用shingleX和shingleY表示,如果两者属于同一个窗口,并且相邻,则可以将他们合并。两者间重复部分将被删除。合并后的shingle (特征)用于下一次合并,直至得到网络的流量基因。
需要说明的是,网络的流量基因可表现为:终端至终端、终端至网关再至终端。①终端至终端:通过已被感染的设备直接感染其他正常的设备,传播介质可以是蓝牙、Zigbee、射频、红外、GPRS或者WiFi等。②终端至网关再至终端:攻击者借助已经被入侵的设备发送携带病毒的程序或数据给网关,如COAP服务器、短信网关等,网关被入侵后再把病毒大规模的传染给其他的终端或者干扰其他终端的行为,通过上传网关的行为日志信息及网关流量信息过滤检测传播行为。
例如:NB-IoT设备出厂安装前,使用的网关地址就已经固定,即信息上报地址和指令下发地址都已经固定。若上传的行为日志中出现历史访问地址不匹配的IP地址和端口,则告警。
控制主机会对受控设备进行存活性检测行为,定期上报。将流量中源IP 地址、源端口号、目的IP地址、目的端口号和协议相同的数据报文作为一类。由于僵尸主机与受控设备频繁或周期性地通信,因而每次通信的时间间隔相似,并且时间间隔的变化不大。而正常NB-IoT设备与服务器的通信有休眠属性,通信要求是由管理员后台操控的,因此NB-IoT设备通讯端口变化不大,且呈现出通讯时间间隔随机现象。因此通过概率统计模型来检测该行为,发现受控设备。
同一个僵尸网络中的受控NB-IoT设备受同一个攻击者控制,并且执行相同的僵尸程序,因此它们的行为具有相似性。可以从恶意行为的攻击目的将其分为情报窃取和行为干扰两类。针对NB-IoT设备移动网络特征的攻击行为有:通讯费用损失、隐私信息窃取/销毁、垃圾AT指令干扰、电量消耗、通信窃听等。攻击行为具有针对性、多维重复连续性的特征,包括:
①若存在隐私信息窃取/销毁行为通过周期性比对终端上传的行为日志和服务器端操作指令日志,发现异常销毁行为及窃密行为。
②若存在通讯费用损失攻击行为则通过计算SIM卡流量消耗周期变化的方差,若方差超过阈值则告警。
③若存在垃圾AT指令干扰行为可以通过本地上传的行为日志建模分析。从系统运行开始,统计各类AT指令执行占比,然后周期性记录AT指令占比变化方差,若方差超过阈值则告警。
④若存在电量消耗行为则通过周期上传的剩余电量信息,计算电量消耗差值,并将计算历史电量消耗值的变化方差,若方差值超过阈值则告警。
⑤若存在通信窃听行为通过记录历史的响应时间,记录其方差值,若方差超过阈值则告警可能存在通信窃听行为。
(3)若基于群体行为特征(即网络行为)维度分析流量数据,分析过程可以为:对设备的内置网关IP、AT指令、当前状态、设备类型、设备安装时间、安装位置、时间戳、协议、设备ID、所有人、所有人信息、告警人信息、返回数据(如温度参数、湿度参数、GPRS参数、计费信息)、设备组ID、 SIM卡流量使用情况等信息进行分析,结群体行为特征模型从记录中实时分析查找出恶意行为特征相似的设备群。最终归结的僵尸网络群体特征即可用于僵尸网络的检测和预警。
例如:根据省市区划分设备部署区域,计算每个区域近一周流量均值和历史流量波动方差,若流量超过预先设置的阈值或流量波动方差超过预先设定阈值,则告警可能发生僵尸网络攻击或流量耗尽攻击。
根据省市区街道小区划分设备部署区域,计算每个区域设备组所有设备响应时间日均值(NB-IoT有休眠模式,但是仍然有针对大量设备的,统计概率中的响应时间日均值信息),若出现某设备组响应时间日均值骤减现象,则预警可能存在借助信号屏蔽,强制运营商信号降级到GSM信号的数据监听篡改风险。若有批量设备组响应时间日均值骤减,则预警可能存在大量电磁波攻击或自然不可抗力影响。
根据运营商预先分配的转发网关地址划分NB-IoT设备组,记录设备离线日志,计算每类设备组每日离线概率,若连续两日离线率差的绝对值超过预先设定阈值,则告警可能发生大规模远控设备并重定义转发网关行为,或物理不可抗力事件。
根据运营商预先分配的转发网关地址统计NB-IoT设备总数,记录总数变化,根据每日统计数据计算方差。若方差超过预先设定的阈值,则告警可能发生则告警可能发生大规模远控设备并重定义转发网关行为,或物理不可抗力事件。
综上,结合病毒发现、群体行为特征判定以及网络特征基因,即可检测并发现已知种类和未知种类的僵尸网络,并实时提供预警信息。由于采样数据包含位置时间等信息,还可以结合数据波动时间、设备组划分、统计数据、捕获病毒对应蜜罐自身信息等数据,提供僵尸网络影响面积,蔓延速度、爆发源头、爆发关键时间节点、具体位置、犯罪团伙画像等信息。可以通过可视化前端界面展示给窄带物联网设备管理员。即:上述方案实现了数据的统一收集、分析和管理,并能实时检测到僵尸网络攻击,并第一时间预警,提供每类僵尸网络攻击的影响范围以及病毒感染路径;协助窄带物联网设备管理者快速定位病毒影响设备的位置,及时对所有被感染的设备做批量更新固件等操作,防止僵尸网络的扩散。
本说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似部分互相参见即可。
对所公开的实施例的上述说明,使本领域专业技术人员能够实现或使用本发明。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本发明的精神或范围的情况下,在其它实施例中实现。因此,本发明将不会被限制于本文所示的这些实施例,而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。
Claims (7)
1.一种窄带物联网中的僵尸网络预警方法,其特征在于,包括:
获取窄带物联网中的流量信息,所述流量信息至少包括:蜜罐捕获的病毒文件和流量监控网关记录的日志;
按照预设的多个维度分析所述流量信息,获得每个维度分别对应的分析结果;所述多个维度至少包括:流量特征、网络行为和病毒;
根据所述每个维度分别对应的分析结果确定所述窄带物联网中是否存在僵尸网络受控设备;
若存在,则生成僵尸网络预警信息;
其中,当按照所述流量特征分析所述流量信息时,包括:
从所述流量信息中提取数据流信息,并采用聚类算法对所述数据流信息进行聚类分析,得到多个聚簇;
确定每个聚簇分别对应的流量特征,并根据所述每个聚簇分别对应的流量特征确定分析结果;
其中,当按照所述网络行为分析所述流量信息时,包括:
从所述流量信息中提取所述窄带物联网中的各设备的信息,所述各设备的信息至少包括:设备的ID、类型、位置、网关IP和休眠和活跃时间;
按照所述各设备的信息将所述窄带物联网中的各设备划分为不同设备组;
分析每个设备组中的各设备的网络行为,并根据所述每个设备组中的各设备的网络行为确定分析结果;
其中,当按照病毒分析所述流量信息时,包括:
从所述流量信息中提取目标文件,并计算所述目标文件的MD5值;
将所述MD5值与预设的病毒库进行比对,判断所述病毒库中是否存在所述MD5值;
若是,则判定所述目标文件为病毒文件,并确定当前分析结果为所述窄带物联网中存在僵尸网络受控设备;
若否,则采用同源性鉴别方法对所述目标文件进行鉴别;当鉴别结果为所述病毒库中存在与所述目标文件同源的文件时,判定所述目标文件为病毒文件,并将所述病毒文件添加至所述病毒库,确定当前分析结果为所述窄带物联网中存在僵尸网络受控设备。
2.根据权利要求1所述的窄带物联网中的僵尸网络预警方法,其特征在于,所述根据所述每个维度分别对应的分析结果确定所述窄带物联网中是否存在僵尸网络受控设备,包括:
当存在任意一个或多个分析结果显示有僵尸网络受控设备时,确定所述窄带物联网中存在僵尸网络受控设备。
3.根据权利要求1所述的窄带物联网中的僵尸网络预警方法,其特征在于,所述生成僵尸网络预警信息之后,还包括:
将所述僵尸网络预警信息发送至预设的管理端并可视化展示。
4.根据权利要求3所述的窄带物联网中的僵尸网络预警方法,其特征在于,将所述僵尸网络预警信息发送至预设的管理端并可视化展示之后,还包括:
根据所述僵尸网络预警信息确定所述窄带物联网中的感染僵尸病毒的区域,对所述区域中的各设备进行限流或重启复位操作。
5.一种窄带物联网中的僵尸网络预警装置,其特征在于,包括:
获取模块,用于获取窄带物联网中的流量信息,所述流量信息至少包括:蜜罐捕获的病毒文件和流量监控网关记录的日志;
分析模块,用于按照预设的多个维度分析所述流量信息,获得每个维度分别对应的分析结果;所述多个维度至少包括:流量特征、网络行为和病毒;
判断模块,用于根据所述每个维度分别对应的分析结果确定所述窄带物联网中是否存在僵尸网络受控设备;
生成模块,用于当所述窄带物联网中存在僵尸网络受控设备时,生成僵尸网络预警信息;
其中,所述分析模块包括:
第一提取单元,用于当按照所述流量特征分析所述流量信息时,从所述流量信息中提取数据流信息,并采用聚类算法对所述数据流信息进行聚类分析,得到多个聚簇;
第一分析单元,用于确定每个聚簇分别对应的流量特征,并根据所述每个聚簇分别对应的流量特征确定分析结果;
其中,所述分析模块包括:
第二提取单元,用于当按照所述网络行为分析所述流量信息时,从所述流量信息中提取所述窄带物联网中的各设备的信息,所述各设备的信息至少包括:设备的ID、类型、位置、网关IP和休眠和活跃时间;
划分单元,用于按照所述各设备的信息将所述窄带物联网中的各设备划分为不同设备组;
第二分析单元,用于分析每个设备组中的各设备的网络行为,并根据所述每个设备组中的各设备的网络行为确定分析结果;
其中,所述分析模块包括:
第三提取单元,用于从所述流量信息中提取目标文件,并计算所述目标文件的MD5值;
比对单元,用于将所述MD5值与预设的病毒库进行比对,判断所述病毒库中是否存在所述MD5值;
第三分析单元,用于若所述病毒库中存在所述MD5值,则判定所述目标文件为病毒文件,并确定当前分析结果为所述窄带物联网中存在僵尸网络受控设备;
第四分析单元,用于若所述病毒库中不存在所述MD5值,则采用同源性鉴别方法对所述目标文件进行鉴别;当鉴别结果为所述病毒库中存在与所述目标文件同源的文件时,判定所述目标文件为病毒文件,并将所述病毒文件添加至所述病毒库,确定当前分析结果为所述窄带物联网中存在僵尸网络受控设备。
6.一种窄带物联网中的僵尸网络预警设备,其特征在于,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序时实现如权利要求1-4任意一项所述的窄带物联网中的僵尸网络预警方法的步骤。
7.一种可读存储介质,其特征在于,所述可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如权利要求1-4任意一项所述的窄带物联网中的僵尸网络预警方法的步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201811229341.0A CN109104438B (zh) | 2018-10-22 | 2018-10-22 | 窄带物联网中的僵尸网络预警方法、装置及可读存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201811229341.0A CN109104438B (zh) | 2018-10-22 | 2018-10-22 | 窄带物联网中的僵尸网络预警方法、装置及可读存储介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN109104438A CN109104438A (zh) | 2018-12-28 |
CN109104438B true CN109104438B (zh) | 2021-06-18 |
Family
ID=64868981
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201811229341.0A Active CN109104438B (zh) | 2018-10-22 | 2018-10-22 | 窄带物联网中的僵尸网络预警方法、装置及可读存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN109104438B (zh) |
Families Citing this family (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110505191B (zh) * | 2019-04-18 | 2021-12-24 | 杭州海康威视数字技术股份有限公司 | 物联网僵尸网络节点的检测方法及装置 |
CN113098905B (zh) * | 2021-05-08 | 2022-04-19 | 广州锦行网络科技有限公司 | 基于蜜罐的窄带物联网终端设备的防攻击方法及系统 |
CN113271303A (zh) * | 2021-05-13 | 2021-08-17 | 国家计算机网络与信息安全管理中心 | 一种基于行为相似性分析的僵尸网络检测方法及系统 |
CN113472788B (zh) * | 2021-06-30 | 2023-09-08 | 深信服科技股份有限公司 | 一种威胁感知方法、系统、设备及计算机可读存储介质 |
CN113904819A (zh) * | 2021-09-27 | 2022-01-07 | 广西师范大学 | 一种应用于工控网络的安全系统 |
CN115001827B (zh) * | 2022-06-02 | 2023-03-24 | 电子科技大学 | 一种云端结合IoT僵尸网络检测原型系统及方法 |
CN115906190A (zh) * | 2022-08-30 | 2023-04-04 | 四川安洵信息技术有限公司 | 一种区块链网络犯罪服务平台 |
CN115550065B (zh) * | 2022-11-25 | 2023-03-03 | 国网四川省电力公司信息通信公司 | 基于大规模多数据源的一体化网络安全分析系统及方法 |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101848197A (zh) * | 2009-03-23 | 2010-09-29 | 华为技术有限公司 | 检测方法、装置和具有检测功能的网络 |
CN105187367A (zh) * | 2015-06-04 | 2015-12-23 | 何飚 | 基于大数据发现的僵尸木马病毒检测及管控方法 |
Family Cites Families (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP1872222A1 (en) * | 2005-04-18 | 2008-01-02 | The Trustees of Columbia University in the City of New York | Systems and methods for detecting and inhibiting attacks using honeypots |
CN102571487B (zh) * | 2011-12-20 | 2014-05-07 | 东南大学 | 基于多数据源分布式的僵尸网络规模测量及追踪方法 |
CN103023891B (zh) * | 2012-11-29 | 2017-03-15 | 中国科学院信息工程研究所 | 僵尸网络的检测方法及装置、僵尸网络的对抗方法及装置 |
CN104683346A (zh) * | 2015-03-06 | 2015-06-03 | 西安电子科技大学 | 基于流量分析的p2p僵尸网络检测装置及方法 |
CN106850571A (zh) * | 2016-12-29 | 2017-06-13 | 北京奇虎科技有限公司 | 僵尸网络家族的识别方法和装置 |
-
2018
- 2018-10-22 CN CN201811229341.0A patent/CN109104438B/zh active Active
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101848197A (zh) * | 2009-03-23 | 2010-09-29 | 华为技术有限公司 | 检测方法、装置和具有检测功能的网络 |
CN105187367A (zh) * | 2015-06-04 | 2015-12-23 | 何飚 | 基于大数据发现的僵尸木马病毒检测及管控方法 |
Also Published As
Publication number | Publication date |
---|---|
CN109104438A (zh) | 2018-12-28 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN109104438B (zh) | 窄带物联网中的僵尸网络预警方法、装置及可读存储介质 | |
CN110011999B (zh) | 基于深度学习的IPv6网络DDoS攻击检测系统及方法 | |
CN107566163B (zh) | 一种用户行为分析关联的告警方法及装置 | |
CN111935170B (zh) | 一种网络异常流量检测方法、装置及设备 | |
US10015188B2 (en) | Method for mitigation of cyber attacks on industrial control systems | |
CN112073389B (zh) | 云主机安全态势感知系统、方法、设备及存储介质 | |
CN111541661A (zh) | 基于因果知识的电力信息网络攻击场景重构方法及系统 | |
KR101375813B1 (ko) | 디지털 변전소의 실시간 보안감사 및 이상징후 탐지를 위한 능동형 보안 센싱 장치 및 방법 | |
CN104509034A (zh) | 模式合并以识别恶意行为 | |
US20220159020A1 (en) | Network protection | |
KR20140027616A (ko) | 웹 트랜잭션 밀집도 기반 에이치티티피 봇넷 탐지 장치 및 방법 | |
KR20150091775A (ko) | 비정상 행위 탐지를 위한 네트워크 트래픽 분석 방법 및 시스템 | |
CN110351237B (zh) | 用于数控机床的蜜罐方法及装置 | |
CN110768946A (zh) | 一种基于布隆过滤器的工控网络入侵检测系统及方法 | |
CN105378745A (zh) | 基于安全问题禁用和启用节点 | |
CN115174251B (zh) | 一种安全告警的误报识别方法、装置以及存储介质 | |
CN115865526A (zh) | 一种基于云边协同的工业互联网安全检测方法及系统 | |
CN113672912A (zh) | 基于计算机硬件指征和行为分析的网络安全监控系统 | |
CN117336033A (zh) | 流量的拦截方法、装置、存储介质及电子设备 | |
CN116155519A (zh) | 威胁告警信息处理方法、装置、计算机设备和存储介质 | |
CN110493240B (zh) | 网站篡改的检测方法及装置、存储介质、电子装置 | |
CN114205169A (zh) | 网络安全防御方法、装置及系统 | |
Ahmed et al. | Smart integration of cloud computing and MCMC based secured WSN to monitor environment | |
KR102037192B1 (ko) | 계층적 구조 학습을 통한 네트워크 트래픽의 지속적인 신호 트래픽 탐지 장치 및 방법 | |
GB2581989A (en) | Network protection |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant | ||
TR01 | Transfer of patent right |
Effective date of registration: 20220905 Address after: Room 709, 7th Floor, No. 188, Lianhui Street, Xixing Street, Binjiang District, Hangzhou City, Zhejiang Province 310000 Patentee after: Hangzhou Anheng Vehicle Network Security Technology Co.,Ltd. Address before: 310000 15-storey Zhejiang Zhongcai Building, No. 68 Tonghe Road, Binjiang District, Hangzhou City, Zhejiang Province Patentee before: Dbappsecurity Co.,Ltd. |
|
TR01 | Transfer of patent right |