CN109936528A - 监测方法、装置、设备及系统 - Google Patents
监测方法、装置、设备及系统 Download PDFInfo
- Publication number
- CN109936528A CN109936528A CN201711354370.5A CN201711354370A CN109936528A CN 109936528 A CN109936528 A CN 109936528A CN 201711354370 A CN201711354370 A CN 201711354370A CN 109936528 A CN109936528 A CN 109936528A
- Authority
- CN
- China
- Prior art keywords
- internet
- monitoring
- things equipment
- storage device
- event
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Landscapes
- Computer And Data Communications (AREA)
Abstract
本申请实施例提供了一种监测方法、装置、设备及系统,涉及物联网技术领域。所述方法包括:监测所述存储装置的写入事件;识别所述写入事件是否包括针对所述物联网设备的攻击事件。本申请实施例能够提高物联网设备进行监测的准确性和可靠性,降低监测成本。
Description
技术领域
本申请涉及IoT(Internet of Things,物联网)技术领域,特别是涉及一种监测方法、装置、设备及系统。
背景技术
物联网技术是继计算机和互联网之后世界信息产业发展的第三次浪潮,能够通过信息传感设备,按照约定的协议,将任何物品(即物联网设备)与互联网连接起来,进行信息交换,从而实现智能化和自动化等目的。
随着物联网的应用,物联网设备的安全问题也越来越受到重视。现有技术中,可以通过与该物联网连接的路由器统计该物联网设备的网络流量,根据该物联网设备所产生的网络流量大小,来判断该物联网设备是否功能异常或者被入侵,比如当网络流量较大时,该物联网设备中可能别植入木马等,从而窃取用户数据。
但由于一方面,物联网设备在正常工作的过程中也可能会产生网络流量,比如与云端服务器进行交互等,因此路由器难以确定所产生的网络流量是正常或异常;另一方面,为了提高通讯的安全性,网络流量会被加密,该路由器也就难以对物联网设备的流量进行统计,因此,上述通过统计物联网设备的网络流量,成本较高,同时也逐渐难以有效监测物联网设备是否受到攻击,即对物联网设备进行监测的准确性和可靠性很低。
发明内容
鉴于上述问题,提出了本申请以便提供一种克服上述问题或者至少部分地解决上述问题的监测方法、装置、设备及系统。
根据第一方面,提供了一种物联网设备的监测方法,所述物联网设备包括用于存储可执行指令的存储装置,所述方法包括:
监测所述存储装置的写入事件;
识别所述写入事件是否包括针对所述物联网设备的攻击事件。
可选的,所述物联网设备还包括接入所述存储装置的物理总线,所述物理总线与信号监测探针连接。
可选的,所述信号监测探针包括通讯模块,所述监测所述存储装置的写入事件包括:
接收所述信号监测探针发送的所述写入事件。
可选的,在所述接收所述信号监测探针发送的所述写入事件之前,还包括:
与所述信号监测探针建立通讯连接。
可选的,所述监测所述存储装置的写入事件包括:
通过所述信号监测探针监测所述写入事件。
可选的,所述存储装置包括Flash(即Flash Memory,闪存,通常简称为Flash),所述物理总线包括SPI(Serial Peripheral Interface,串行外设接口)总线,所述信号监测探针包括SPI探针。
可选的,所述监测所述存储装置的写入事件包括:
监测针对所述存储装置的操作事件;
从监测的操作事件中识别所述写入事件。
可选的,所述识别所述写入事件是否包括针对所述物联网设备的攻击事件包括:
解析所述写入事件,获得所述写入事件的关键信息,所述关键信息包括事件时间、写入内容的相关信息、写入位置至少一种;
根据所述关键信息识别所述写入事件是否包括所述攻击事件。
可选的,所述根据所述关键信息识别所述写入事件是否包括所述攻击事件包括:
根据预设的事件特征库和所述关键信息,识别所述写入事件是否包括针对所述物联网设备的攻击事件,所述攻击事件的写入内容包括可执行指令、写入位置包括可执行目录。
可选的,所述识别所述写入事件是否包括针对所述物联网设备的攻击事件包括:
根据至少一个写入事件识别所述写入事件是否包括针对所述物联网设备的攻击事件。
可选的,还包括:
若识别所述写入事件为所述攻击事件,则确定针对所述攻击事件的防御策略,并执行所述防御策略。
可选的,还包括:
从至少一个数据系统查找所述写入事件对应写入内容的相关信息,并提供所述相关信息,所述写入内容的相关信息包括写入内容的文件名、文件大小、文件的哈希值中至少一种。
根据第二方面,提供了一种物联网设备的监测方法,所述物联网设备包括用于存储可执行指令的存储装置,所述方法包括:
监测所述存储装置的操作事件;
将所述操作事件提交至监测设备,以识别所述操作事件是否包括针对所述物联网设备的攻击事件。
根据第三方面,提供了一种物联网设备的监测方法,所述物联网设备包括用于存储可执行指令的存储装置,所述方法包括:
获取所述存储装置的操作事件;
识别所述操作事件是否包括针对所述物联网设备的攻击事件。
根据第四方面,提供了一种数据处理方法,包括:
监测计算设备的存储装置的写入事件,其中,所述计算设备包括连接所述存储装置的物理总线,所述物理总线与信号监测探针连接;
确定所述写入事件属于预设类型事件;
发出提示信息或者阻断所述写入事件。
可选的,所述信号监测探针包括通讯模块,所述监测计算设备的存储装置的写入事件包括:
接收所述信号监测探针发送的所述写入事件。
可选的,所述存储装置包括Flash,所述物理总线包括SPI总线,所述信号监测探针包括SPI探针。
根据第五方面,提供了一种物联网设备的监测装置,所述物联网设备包括用于存储可执行指令的存储装置,所述监测装置包括:
写入事件监测模块,用于监测所述存储装置的写入事件;
写入事件识别模块,用于识别所述写入事件是否包括针对所述物联网设备的攻击事件。
根据第六方面,提供了一种物联网设备的监测装置,所述物联网设备包括用于存储可执行指令的存储装置,所述监测装置包括:
操作事件监测模块,用于监测所述存储装置的操作事件;
操作事件提交模块,用于将所述操作事件提交至监测设备,以识别所述操作事件是否包括针对所述物联网设备的攻击事件。
根据第七方面,提供了一种物联网设备的监测装置,所述物联网设备包括用于存储可执行指令的存储装置,所述监测装置包括:
操作事件获取模块,用于获取所述存储装置的操作事件;
操作事件识别模块,用于识别所述操作事件是否包括针对所述物联网设备的攻击事件。
根据第八方面,提供了一种数据处理装置,包括:
写入事件监测模块,用于监测计算设备的存储装置的写入事件,其中,所述计算设备包括连接所述存储装置的物理总线,所述物理总线与信号监测探针连接;
确定模块,用于确定所述写入事件属于预设类型事件;
处理模块,用于发出提示信息或者阻断所述写入事件。
根据第九方面,提供了一种物联网设备的监测设备,所述物联网设备包括用于存储可执行指令的存储装置和接入所述存储装置的物理总线,所述监测设备包括接入所述物理总线的信号监测探针;
所述监测设备,用于通过所述信号监测探针监测所述存储装置的写入事件,以及识别所述写入事件是否包括针对所述物联网设备的攻击事件。
根据第十方面,提供了一种物联网设备的监测系统,所述物联网设备包括用于存储可执行指令的存储装置和接入所述存储装置的物理总线,所述监测系统包括接入所述物理总线的信号监测探针和监测设备;
所述信号监测探针,用于监测所述存储装置的操作事件,并发送至所述监测设备;
所述监测设备,用于识别所述操作事件是否包括针对所述物联网设备的攻击事件。
根据第十一方面,提供了一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现如前述一个或多个的方法。
根据第十二方面,提供了一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现如前述一个或多个的方法。
上述说明仅是本申请技术方案的概述,为了能够更清楚了解本申请的技术手段,而可依照说明书的内容予以实施,并且为了让本申请的上述和其它目的、特征和优点能够更明显易懂,以下特举本申请的具体实施方式。
附图说明
通过阅读下文优选实施方式的详细描述,各种其它的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的,而并不认为是对本申请的限制。而且在整个附图中,用相同的参考符号表示相同的部件。在附图中:
图1示出了根据本申请一个实施例一的一种物联网设备的监测方法流程图;
图2示出了根据本申请一个实施例二的一种物联网设备的监测方法流程图;
图3示出了根据本申请一个实施例二的一种接入SPI探针的SPI总线示意图;
图4示出了根据本申请一个实施例三的一种物联网设备的监测方法流程图;
图5示出了根据本申请一个实施例四的一种物联网设备的监测方法流程图;
图6示出了根据本申请一个实施例五的一种物联网设备的监测方法流程图;
图7示出了根据本申请一个实施例的一种物联网设备的结构框图;
图8示出了根据本申请一个实施例的一种监测系统的结构框图;
图9示出了根据本申请一个实施例六的一种物联网设备的监测装置的结构框图;
图10示出了根据本申请一个实施例七的一种物联网设备的监测装置的结构框图;
图11示出了根据本申请一个实施例八的一种物联网设备的监测装置的结构框图;
图12示出了根据本申请一个实施例十一的一种数据处理方法的流程图;
图13示出了根据本申请一个实施例十一的一种数据处理装置的结构框图;
图14示出了根据本申请一个实施例的一种示例性系统的结构框图。
具体实施方式
下面将参照附图更详细地描述本申请示例性实施例。虽然附图中显示了本申请示例性实施例,然而应当理解,可以以各种形式实现本申请而不应被这里阐述的实施例所限制。相反,提供这些实施例是为了能够更透彻地理解本申请,并且能够将本申请的范围完整的传达给本领域的技术人员。
目前,物联网的应用已经越来越广,涉及用户生活的方方面面,比如智能家居、智能农业、气象监测等。物联网中的设备,即物联网设备在正常工作的过程中,也可能会被黑产进行恶意攻击,从而可能会被控制窃取用户数据等有可能损害用户或物联网的操作,比如,一些设置有摄像头的物联网设备即有可能被黑客攻击而成为“肉鸡”,在用户不知情的情况下进行监控或者拍摄图像,或者,一些计算机等具有计算能力的物联网设备可能会被植入“挖矿程序”,从而占用该物联网设备的系统资源。因此,为了预防物联网设备被攻击,或者在物联网设备被攻击的时及时发现,以减少上述物联网设备被黑产攻击的情况,提高物联网设备和物联网的安全性,本申请实施例提供了一种物联网设备的监测方法、装置、设备及系统。
为了便于本领域技术人员深入理解本申请实施例,以下将首先介绍本申请实施例中所涉及的专业术语的定义。
物联网,即通过信息传感设备,按约定的协议,把任何物品与互联网连接起来,进行信息交换和通讯,以实现智能化识别的管理的网络。
物联网设备通常包括外围感知接口、中央处理模块和外部通讯接口等部分,通过外围感知接口与传感设备连接,将来自这些传感设备的数据进行读取并通过中央处理模块处理后,按照网络协议,通过外部通讯接口发送至指定的中心处理平台。比如,物联网设备可以包括手机、电脑、车辆、摄像头、智能家具、智能家电等等。物联网设备还包括有用于存储可执行指令的存储装置,该存储装置在没有电流的条件下也能够保持数据,比如Flash或者SD卡(即Secure Digital Memory Card,安全数码卡),物联网设备通常能够通过CPU(Central Processing Unit,中央处理器)从该存储装置获取可执行指令并执行,以实现某些功能。
可执行指令指能够在机器或系统中执行并产生作用的程序指令或代码等。
客户端可以包括至少一个应用程序。该客户端能够运行在物联网设备中,从而实现本申请实施例提供的监测方法。
插件可以包括在运行于物联网设备的应用程序中,从而实现本申请实施例提供的监测方法。
写入事件用于描述物联网设备针对存储装置的写操作,已说明写入的时间、位置、文件名称等数据。当某个写入事件被确定存在异常时,比如写入的数据较大等,该写入事件即可能为黑客等入侵该物联网设备写入的恶意代码所产生的写入事件,该写入事件即为针对该物联网设备的攻击事件。
本申请实施例可以应用于监测物联网设备是否受到攻击的场景。由于物联网设备通常都设置有前述中的Flash等用于存储可执行指令的存储装置,当物联网设备被攻击时,为了能够使植入的恶意代码持久化,即不会因为物联网设备关机或掉电而丢失,会将该恶意代码写入该存储装置,而物联网设备在正常运行时,对该存储装置的写入操作较少,因此,在本申请实施例中,可以对物联网设备中存储装置的写入事件进行监测,并识别出比较可疑的写入事件,比如写入数据较大或者写入比较频繁等,从而判断写入事件中是否包括针对该物联网设备的攻击事件(即物联网设备是否被入侵)。与现有技术相比,针对存储装置的写入事件不存在加密的问题,更容易监测,且由于物联网设备正常运行时对存储装置的写入操作较少,因此也更容易识别中可以的写入事件,从而能够准确地对物联网设备是否别攻击进行监测,提高了物联网设备进行监测的准确性和可靠性,还降低了成本。另外,由于很少需要消耗物联网设备的系统资源,也提高了物联网设备的工作效率。
实施例一
参照图1,示出了根据本申请一个实施例的一种物联网设备的监测方法流程图,所述物联网设备包括用于存储可执行指令的存储装置,所述方法具体步骤包括:
步骤101,监测所述存储装置的写入事件。
由于当物联网设备被入侵,即受到攻击时,为了能够使植入的恶意代码持久化,会将该恶意代码写入该存储装置,因此可以对存储装置的写入事件监测,从而便于后续对写入事件进行识别,以确定是否包括该物联网设备的攻击事件。
物联网设备的CPU和该存储装置通常预先设置有相应的数据接口,相应的数据接口之间通过物理总线等数据传输线连接,从而确保CPU能够从该存储装置读取或者写入数据。因此,可以通过集成在该物联网设备中,或者独立于该物联网设备之外且与该物联网设备通讯连接的监测设备,从上述的数据接口或者数据传输线,获取CPU写入该存储装置的数据(即写入内容)或者与该写入该数据有关的信息,进而监测针对该存储装置的写入事件。
其中,通过监测设备等物理设备来实现对物联网设备是否受到攻击进行监测,也避免了由于物联网设备的产品种类众多、开发更新周期长、扩展开发能力弱、处理器架构多、计算能力弱、芯片种类繁杂、平台碎片化等问题所导致的以软件形式难以有效进行监测的情况,比如运算能力不够、难以适配不同的硬件设备和难以及时更新等,进一步提高对物联网设备进行监测的准确性和可靠性。
在本申请实施例中,可选的,为了减少漏掉某个写入事件的可能,从而提高监测写入事件的可靠性,可以监测针对所述存储装置的操作事件,从监测的操作事件中识别所述写入事件。
其中,针对存储装置的操作事件可以包括写入事件和读出事件。
可以对CPU对存储装置的各项操作指令进行监测,从监测到的操作指令中识别出写操作,该写操作对应的操作事件即为写入事件。当然,也可以对该存储装置的写入数据接口进行监控,从而监测得到写入事件。
步骤102,识别所述写入事件是否包括针对所述物联网设备的攻击事件。
由于写入事件能够说明写入存储装置的数据或者与写入该数据有关的信息,因此,可以根据该数据或者写入该数据有关的信息,判断该写入事件是否为可能存在风险的写入,存在风险的写入可能会在存储装置被写入木马等数据、威胁物联网设备的安全,即为针对该物联网设备的攻击事件。
可以通过前述中的监测设备,对写入事件进行识别,包括对写入内容(即在存储装置中写入的数据,比如文件等)或者该写入内容的相关信息(比如,所写入文件的文件名、文件大小、哈希值)进行鉴别,比如通过白名单和/或黑名单的形式,识别所写入文件的文件名、哈希值、文件中用于描述可执行指令的代码等信息,从而确定该写入事件是否为攻击事件,或者,将写入内容提供给相关技术人员,由相关技术人员对写入内容鉴别等。
在本申请实施例中,由于物联网设备通常都设置有用于存储可执行指令的存储装置,当物联网设备被攻击时,为了能够使植入的恶意代码持久化,即不会因为物联网设备关机或掉电而丢失,会将该恶意代码写入该存储装置,因此能够通过监测针对该存储装置的写入事件,并对监测到的写入事件进行识别,以确定该存储装置被是否写入可能存在风险的数据,将可能存在风险的写入事件确定针对该物联网设备的攻击事件,从而准确监测到物联网设备可能受到的攻击,减少了通过网络流量统计的方式难以对物联网设备进行监测的问题,提高了监测的准确性和可靠性,降低了监测成本。
实施例二
参照图2,示出了根据本申请一个实施例的一种物联网设备的监测方法流程图,所述物联网设备包括用于存储可执行指令的存储装置,监测设备为独立于所述物联网设备之外的设备。
可以通过物理总线,与前述中物联网设备的CPU和该存储装置中的数据接口或数据传输线物理接触,从而监测写入事件,当然,也可以通过在物联网设备中执行可执行指令,即通过软件的形式监测该写入事件。
其中,监测设备为独立于物联网设备的设备,因此,物联网设备可以通过预留的接口与监测设备进行连接,从而实现对物联网设备进行监测,能够提高监测设备的兼容性,进一步降低监测成本。
在本申请实施例中,可选的,由于物理总线通常能够实现CPU与存储装置之间的通信,且为了避免前述中软件形式难以有效对物联网设备进行监测的问题,即提高监测写入事件的准确性和可靠性,所述物联网设备还包括接入所述存储装置的物理总线,所述物理总线与信号监测探针连接。
由前述可知,物联网设备的CPU和存储装置均设置有数据接口,对应的数据接口之间通过物理总线连接,从而实现基于特定数据传输协议的数据传输,比如,该数据接口可以为SPI接口,该物理总线可以为SPI总线,特定数据传输协议为SPI协议,通过SPI接口以及SPI总线,即可基于SPI协议进行书记传输。信号监测探针用于探测得到CPU与存储装置之间交互的数据,可以通过软件形式的或硬件形式实现。若该信号监测探针为硬件形式,该信号监测探针可以为一个包括3个接口的物理总线,其中一端与CPU连接,一端与存储装置连接,另一端与监测设备(或能够与监测设备通讯的通讯模块)连接,或者,该信号监测装置可以包括基于特定数据传输协议的数据转换接口,该数据转换接口的一端与设置在CPU或存储装置的数据接口连接,一端与物理总线连接,另一端与监测设备(或能够与监测设备通讯的通讯模块)连接。
当然,也可以不对CPU与存储装置之间连接进行改变,而是通过耦合的方式进行探测,比如,可以使用高内阻的电路探头,通过电路分压并联耦合的方式,检测物理总线上的电平值;或,串接在物联网设备的供电线路上,检测该物联网设备的功耗,以根据功耗情况确定有写入事件发生;或,使用光电二极管或光电传感器,通过光电耦合的方式,监测物联网设备中存储装置对应的指示灯状态(在该指示灯粘贴传感贴纸);或,将信号监测探针并联至存储装置对应的指示灯的两极;或,若物理总线为光纤,可以对光纤的流量进行监测;或,嗅探WIFI(WIreless-Fidelity,无线保真)或Bluetooth(即蓝牙)协议帧,通过无线耦合的方式嗅探无线电频谱使用效率。
综上所述,当CPU与存储装置通过物理总线进行数据传输时,所传输的数据也会经被该信号监测探针监测到,信号监测探针基于SPI协议对监测到的数据进行解析得到写入事件,并将监测到的写入事件发给监测设备,以便于监测设备对监测到的写入事件进行识别。
当然,在实际应用中,由于当物联网设备受到攻击时,可能从存储装置读取数据的过程也会出现异常,比如读取数据频繁等,因此,也可以对该存储装置的读取事件进行监测,从而依据与本申请实施例所提供的识别写入事件类似的方式,对读取事件识别,判断读取事件中是否包括攻击事件。
在本申请实施例中,可选的,由于Flash作为一种非易失性(Non-Volatile)内存,已经成为各类便携型设备的存储介质的基础,通过SPI总线访问该Flash的SPI指令也较为统一,所以为了能够兼容不同的物联网设备,进一步提高对物联网设备进行监测的可靠性,降低监测成本,所述物理总线包括SPI总线,所述信号监测探针包括SPI探针。
例如,一种在SPI总线接入SPI探针的方式可以如图3所示。在图3中,存储装置包括SO(读出线)接口和SI(写入线)接口,SO和SI接口能够与SPI总线与中央处理器进行连接,因此,可以以物理接触的方式,在上述SI接口并联SPI探针,从而对写入事件进行监测,当然,也可以在SO接口并联SPI探针,以对读出事件进行监测。当然,在实际应用中,存储装置还可以包括其它接口,比如如图3所示,还可以包括VCC和VSS等电源接口、SCLK等时钟接口,以及WP、HOLD和CS等控制接口。
所述方法的具体步骤包括:
步骤201,信号监测探针监测针对存储装置的写入事件。
由前述可知,信号监测探针能够与物理总线物理接触,因此,该信号监测探针可以获取得到经过该物理总线传输的任意数据,当然也就能够对写入该存储装置的写入事件进行监控。
信号监测探针,比如SPI探针,可以获取经由该物理总线传输的总线数据,并通过后续中的步骤将获取到的总线数据传输给监测设备,有监测设备对该总线数据进行解析,识别出写操作,进而得到写事件,并判断该写事件是否包括攻击事件等,也即是,该信号监测探针所监测到的总线数据中可以包括写事件,但该信号监测探针并不对监测到的总线数据进行解析,即该信号监测探针只起到复制和发送总线数据的作用。当然,在实际应用中,信号监测探针也可以包括事件识别模块或事件识别组件,即通过软件或硬件的形式,对总线数据进行解析,得到写事件,从而只将写事件发送给该监测设备,由该监测设备判断写事件是否包括攻击事件。
以SPI探针对SPI总线的总线数据进行解析为例。由于CPU通常是通过SPI指令的方式执行各项操作,所以总线数据即包括SPI指令,SPI探针可以基于SPI协议对SPI指令进行解析,得到针对文件系统的写(读)操作,,基于该写(读)操作,进入存储装置的文件系统,读取物理层的SPI物理电平,从而得到写入(读出)事件。
其中,文件系统用于说明将存储装置中的数据组成文件的方法或数据结构,不同的存储装置可能会包括不同的文件系统,比如,FAT(File Allocation Table,文件配置表)、SquashFS(一种基于Linux内核使用的文件系统)或JFFS(Journalling Flash FileSystem,闪存设备日志型文件系统)。
另外,判断写事件中是否包括攻击事件的方式,可以参见下述步骤中的相关描述。
步骤202,监测设备与所述信号监测探针建立通讯连接。
为了便于将监测到的数据发送给监测设备,进而由监测设备基于该数据判断物联网设备是否受到攻击,提高监测物联网设备的可靠性,可以建立监测设备与信号监测探针之间通讯连接。
其中,通讯连接可以包括有线或无线的通讯连接,比如,该通讯连接可以包括基于WIFI或BTLE(Bluetooth Low Energy,蓝牙低功耗)等蓝牙技术的无线通信连接,或者,包括基于RS485接口的有线通讯连接。
在本申请实施例中,可选的,信号监测探针包括通讯模块,该通讯模块用于建立上述通讯连接,并基于建立的通讯连接,与监测设备进行通讯。
另外,若监测设备与信号监测探针之间为有线通讯连接,即通常情况能够直接传输数据,也可以不执行建立通讯连接的步骤。
步骤203,所述信号监测探针将监测到的写入事件发送给所述监测设备。
为了便于监测设备感知物联网设备对存储装置写入数据的情况,进而判断该物联网设备是否被攻击,减少以软件形式和网络流量统计难以准确对物联网设备进行监测的问题,信号监测探针可以将监测的写入事件送给监测设备。
其中,由前述可知,信号监测设备可以对获取到总线数据进行解析得到写入事件,也可以不对该总线数据进行解析,因此,该信号监测设备可以将解析后得到的写入事件发送给监测设备,当然,也可以将获取的总线数据(即可能包括写入事件的数据)都发送给该监测设备。
步骤204,所述监测设备接收所述信号监测探针发送的所述写入事件。
为了便于感知物联网设备对存储装置写入数据的情况,进而判断该物联网设备是否被攻击,减少以软件形式和网络流量统计方式难以准确对物联网设备进行监测的问题,监测设备可以接收信号监测探针发送的写入事件。
其中,与信号监测探针发送的数据相对应,监测设备可以写入事件或者可能会包括写入事件的总线数据。
步骤205,所述监测设备识别所述写入事件是否包括针对所述物联网设备的攻击事件。
在本申请实施例中,可选的,为了能够从至少一个维度对写入事件进行识别,进而准确判断所监测到的写入事件中是否包括攻击事件,提高对物联网设备进行监测的准确性和可靠性,监测设备可以解析所述写入事件,获得所述写入事件的关键信息,所述关键信息包括事件时间、写入内容的相关信息、写入位置至少一种,根据所述关键信息识别所述写入事件是否包括所述攻击事件。
事件时间指该写入事件的发生的时间,写入位置指写入文件的路径。当然,在实际应用中,写入内容的相关信息还可以包括其它的信息,比如包括该写入内容的开发者等著作权信息。
监测设备可以基于存储装置的文件系统,对写入事件进行解析,得到该写入事件的关键信息。
当然,若监测设备接收到的为未经过解析的总线数据,该监测设备可以按照前述中解析总线数据的方式,对总线数据进行解析,得到写入事件,再对该写入事件进行解析,得到该写入事件的相关信息。
其中,根据不同的关键信息,监测设备可以通过不同的方式对写入事件进行识别,以下将通过几种情况的示例对根据关键信息识别写入事件是否包括攻击事件进行说明。
示例一,当关键信息包括事件时间时,该监测设备可以根据写入事件的事件时间,确定连续的写入事件的频率,若该频率大于预设写入频率,则说明对存储装置写入比较频繁,由前述可知,物联网设备对Flash等写入的频率比较低,所以,可以将该连续的写入事件确定为攻击事件。或者,由于物联网设备对存储装置正常写入的情况可能会包括系统修复或升级等,因此,可以获取与该物联网设备对应的系统更改时间段,将事件时间不处于该系统更改时间段内的写入事件确定为攻击事件。
预设写入频率可以由监测设备事先确定,比如,由相关技术人员在物联网设备出厂前(或者在其它确保物联网设备未受到攻击的情况下),对该物联网设备进行测试得到该预设写入频率,并将该预设写入频率存储至该物联网设备中,之后,该监测设备可以从该物联网中获取到该预设写入频率。
系统更改时间段用于指示物联网设备进行系统修复或升级的时间段,在该时间段内对存储装置的写入事件为正常的写入事件。其中,由于物联网设备通常能够从对应的服务器获取补丁或新版本系统等数据,从而对本地的系统进行修复或升级,因此,可以由该服务器根据发布上述补丁或新版本系统的时间,确定该系统更改时间段,比如将发布补丁或新版本系统之后的168小时作为该系统更改时间段,将该系统更改时间段发送给该物联网设备。或者,也可以有物联网设备根据获取补丁或新版本系统的时间确定该系统更改时间段,比如将获取到补丁或新版本系统之后的72小时作为该系统更改时间段。监测设备可以从该物联网设备获取该系统更改时间段,以根据事件时间对写入事件进行识别。
示例二,当关键信息包括写入内容的相关信息时,监测设备可以通过针对该相对信息的预先设置的筛选策略,对该相关信息进行识别,比如,如果相关信息包括写入文件的文件名,该监测设备可以将该文件名与预先存储的文件名白名单和/或黑名单,对该文件名进行筛选,若该文件名存在与该白名单中,则可以确定相应写入的文件是安全的,写入事件不为攻击事件,若该文件名存在与该黑名单中,则可以确定相应写入的文件是存在风险的,写入事件为攻击事件,若对文件名筛选结果为除上述之外的情况,则可以确定难以根据文件对写入事件进行识别;如果相关信息包括写入文件的文件大小,该监测设备可以将该文件大小与预设文件大小进行比较,若该文件大小大于该预设文件,可以确定相应的写入文件是安全的,写入事件不为攻击事件,否则确定该写入事件为攻击事件,当然,此处仅以文件大小大于预设文件大小的情况对如何根据文件大小对写入事件进行识别予以说明,在实际应用中,也可以在文件大小大于该预设文件时,确定相应的写入文件存在风险,写入事件为攻击事件,或者进一步地,可以设置安全的写入文件和/或存在风险的写入文件的预设文件大小范围,并根据文件大小所处的范围,确定写入事件是安全的或是攻击事件;如果相关信息包括哈希值,监测设备可以通过与根据文件名对写入事件进行识别的相似的方式,对写入事件进行识别,即将该哈希值与预先存储的哈希值白名单和/或黑名单进行比较。
筛选策略用于根据相关信息对写入事件进行识别,该筛选策略可以由监测设备事先确定,比如,从服务器(监测设备对应的服务器、物联网设备对应服务器或者其它服务器)获取得到。
文件名白名单用于存储安全的写入文件的文件名,相应的,文件名黑名单用于存储存在风险的写入文件的文件名。文件名白名单和黑名单中的文件名可以由在对多个物联网设备进行监测的过程中统计得到。
例如,某文件名为mined的文件即有可能为比特币挖矿程序,则“mined”即可以作为文件名黑名单中的一个文件名。
类似的,哈希值白名单用于存储安全的写入文件的哈希值,哈希值黑名单用于存储而存在风险的写入文件的哈希值。
预设文件大小用于说明安全的或存在风险的写入文件的文件大小所处的大小范围,比如,物联网设备通常只会在系统升级,固件更新时写入超过10Kb(千字节)的文件,因此,该预设文件大小可以为10Kb。
示例三,当关键信息包括写入位置时,监测设备可以将该写入位置与预先存储的安全位置信息和/或风险位置信息进行比较,若该写入位置存在与安全位置信息,则确定写入事件是安全的,不为攻击事件,若写入位置存在与风险位置信息,则确定写入事件为攻击事件,除上述之外的其它比较结果,可以确定难以写入事件是安全的或为攻击事件。
其中,安全位置信息和风险位置信息可以由监测设备事先确定,比如从服务器获取等。
例如,在物联网设备正常工作的过程中,对于可执行目录“/bin”,除固件更新之外,通常不需要在该位置写入文件;对于“/etc/config/”,通常只会写入一次,即在初始化配置网络连接时写入,或者,某些物联网设备可能会每天固定写入几次,比如物联网灯泡存储灯泡颜色或亮度等信息时写入;对于“/bin/ls”,由于“ls”为linux系统中最基本的显示文件列表的命令,很少有可能需要更新,而ls程序是有可执行权限的,能够被黑客利用,因此,风险位置信息可以包括“/bin”、“/etc/config/”和“/bin/ls”中至少一个。
另外,关键信息还可以包括写入内容,监测设备也可以直接根据写入内容对写入事件进行识别,包括在写入文件中检索是否包括可能存在风险的代码,若检索到存在风险的代码,则将写入文件确定为存在风险的文件,写入事件为攻击事件。
其中,存在风险的代码可以由监测设备事先确定,比如,将监测历史中攻击事件写入的文件中的代码作为存在风险的代码、接收提交的代码作为存在风险的代码或者从服务器获取得到存在风险的代码等。
在上述示例中,对监测设备分别通过不同维度识别写入事件进行了说明,在实际应用中,若通过一个以上的维度对写入事件进行识别时,可以依据预先设置的识别条件进行识别,比如,通过多个维度均确定写入事件可能存在风险时,将该写入事件确定为攻击事件,或者,当通过第一特定维度确定写入事件可能存在风险,但通过第二维度确定该写入事件是安全的,则确定该写入事件不为攻击事件,也即是,通过多个维度的结合,实现对写入事件的精准识别。
例如,某写入事件的写入位置为“/bin”,如果仅根据写入位置来识别,即将该写入事件识别为攻击事件,但若该写入事件的事件时间处于系统更改时间段,即该写入事件的写入数据的时间是安全的,则该写入事件可能是由物联网设备进行系统升级而产生,因此,可以确定该写入事件不为攻击事件。
在本申请实施例中,可选的,由于数据库通常有较好的数据处理能力,所以为了提高对写入事件进行识别的效率和准确性,监测设备可以根据预设的事件特征库和所述关键信息,识别所述写入事件是否包括针对所述物联网设备的攻击事件,所述攻击事件的写入内容包括可执行指令、写入位置包括可执行目录。
其中,事件特征用于说明写入事件所具有的特点,可以包括前述中的写入时间、写入频率、文件名、文件大小、哈希值、写入位置或存在风险的代码等,或者也可以包括事件特征库可以包括安全的写入事件的事件特征和/或攻击事件的事件特征。
监测设备可以按照前述中根据关键信息对识别事件进行识别相似的方式,将写入事件的关键信息与事件特征库中存储的信息进行比较,从而确定写入事件是否为攻击事件。
在本申请实施例中,可选的,由于写入事件之间可能存在关联,比如来自同一开发者,或者,写入同一位置等,因此,为了进一步提高识别写入事件的准确性,监测设备可以根据至少一个写入事件识别所述写入事件是否包括针对所述物联网设备的攻击事件。
其中,该至少一个写入事件、以及根据该至少一个写入事件识别的写入事件可以是同一时间段(比如最近1小时内)内监测到的,或者,可以是来自于同一物联网设备。
监测设备可以日志的方式存储监测到的写入事件,将该至少一个写入事件、以及根据该至少一个写入事件识别的写入事件的关键信息进行比较,若多个写入事件的特定关键信息相同,则将该多个写入事件确定为攻击事件。
其中,特定关键信息可以由监测设备事先确定,比如该特定关键信息可以包括写入位置、著作权信息和文件名中的至少一个。
在本申请实施例中,可选的,由于目前物联网设备的应用日趋广泛,物联网设备可能会产生大量广泛分布的写入事件,即监测到的数据可能会比较分散,比如分布于不同物联网设备监测服务提供商的服务器,因此,为了能够对写入事件进行全面的分析,提高识别写入事件的准确性和效率,监测设备可以从至少一个数据系统查找所述写入事件对应写入内容的相关信息,并提供所述相关信息,所述写入内容的相关信息包括写入内容的文件名、文件大小、文件的哈希值中至少一种。
其中,数据系统可以包括前述中监测设备对应的服务器、物联网设备对应的服务器、或者其它能够存储写入事件对应的写入内容的相关信息的设备或其集合。
监测设备可以通过写入事件的至少一种关键信息,从上述数据系统查找该写入事件对应写入内容的相关信息。
在本申请实施例中,可选的,由前述可知,监测设备可能难以确定写入时间是否包括攻击事件,所以,为了提高对物联网进行监测的可靠性,确保物联网设备的安全,可以将写入事件发送给服务器,以由服务器对写入事件进行进一步识别。
其中,由监测设备对写入事件进行初步识别,并由服务器对写入事件进行进一步识别,还能够减少对服务器以及网络传输带宽的压力,提高了对大量物联网设备进行监测的能力,比如前述中根据写入内容对写入事件进行识别的步骤即可由服务器执行。
服务器可以识别写入事件的方式,可以与监测设备对写入事件进行识别的方式相同,且服务器可以包括更加复杂或细致的筛选策略,比如,包括更多文件名的文件名白名单或黑名单等。
另外,监测设备也可以不对写入事件进行识别,而是直接将写入事件发送给服务器,由服务器对写入事件进行识别,也即是,在本申请实施例所提供的物联网设备的监测方法中,对写入事件的识别可以集中在一个设备中,也可以以任意方式分散于一个以上的设备进行识别,具体部署方式可以由相关技术人员根据物联网拓扑或物联网设备性能等使用场景进行确定。
步骤206,若所述监测设备识别所述写入事件为所述攻击事件,则确定针对所述攻击事件的防御策略,并执行所述防御策略。
由于写入事件为攻击事件,则所监测的物联网设备可能已经受到攻击,比如被植入木马或病毒等,可能会导致物联网设备难以正常运行,窃取用户数据等问题,所以为了减少上述问题,提高物联网设备的安全性,监测设备可以在将写入事件识别为攻击事件,即监测到攻击事件时,确定并执行相应的防御策略。
防御策略用于针对攻击事件进行的操作处理,以抵消、减少或消除该攻击事件对物联网设备造成的影响。该防御策略可以由相关技术人员根据攻击事件的关键信息确定,并将确定防御策略通过服务器发送给监测设备,或者也可以直接存储在监测设备中。
例如,对于设置有麦克风和摄像头等能够收集周围环境信息的物联网设备,攻击事件可能会包括获取麦克风、摄像头或者其它传感器的系统权限,通过控制麦克风、摄像头或者其它传感器收集周围环境信息,并将收集到的信息发送给指定设备,因此,防御策略可以为清除该攻击事件的写入内容,比如重新刷写物联网设备的系统、对物联网设备进行初始化、对存储装置进行格式化、更新系统权限的授权策略、通过防火墙屏蔽该指定设备的网络地址、将写入内容提交给服务器等
当然,若未监测到攻击事件,可以继续进行监测。
在本申请实施例中,首先,由于物联网设备通常都设置有用于存储可执行指令的存储装置,当物联网设备被攻击时,为了能够使植入的恶意代码持久化,即不会因为物联网设备关机或掉电而丢失,会将该恶意代码写入该存储装置,因此能够通过监测针对该存储装置的写入事件,并对监测到的写入事件进行识别,以确定该存储装置被是否写入可能存在风险的数据,将可能存在风险的写入事件确定针对该物联网设备的攻击事件,从而准确监测到物联网设备可能受到的攻击,减少了通过网络流量统计的方式难以对物联网设备进行监测的问题,提高了监测的准确性和可靠性,降低了监测成本。
其次,监测设备为独立于物联网设备的设备,因此,物联网设备可以通过预留的接口与监测设备进行连接,从而实现对物联网设备进行监测,提高了监测设备的兼容性,进一步降低了监测成本。
另外,物联网设备还包括接入存储装置的物理总线,该物理总线与信号监测探针连接,即能够通过物理接触的方式从物理总线监测得到写入事件,提高了监测到写入事件的可靠性。
另外,由于Flash作为一种非易失性内存已经成为各类便携型设备的存储介质的基础,通过SPI总线访问该Flash的SPI指令也较为统一,因此,存储装置包括Flash,物理总线包括SPI总线,信号监测探针包括SPI探针,能够兼容不同的物联网设备,进一步提高了对物联网设备进行监测的可靠性,降低了监测成本。
另外,能够对写入事件进行解析,获取得到该写入事件的事件时间、写入内容的相关信息和写入位置等关键信息,确保了能够从至少一个维度对写入事件进行识别,提高了识别写入事件的准确性和可靠性。
实施例三
参照图4,示出了根据本申请一个实施例的一种物联网设备的监测方法流程图,所述物联网设备包括用于存储可执行指令的存储装置,监测设备集成于所述物联网设备中。
其中,监测设备集成在物联网设备中,便于针对不同的物联网设备订制专用的监测设备,有针对性的监测设备能够更加切合该物联网设备的监测需求,从而进一步提高监测的准确性和可靠性。
在本申请实施例中,可选的,由于物理总线通常能够实现CPU与存储装置之间的通信,且为了避免前述中软件形式难以有效对物联网设备进行监测的问题,即提高监测写入事件的准确性和可靠性,所述物联网设备还包括接入所述存储装置的物理总线,所述物理总线与信号监测探针连接。
其中,信号监测探针可以为监测设备中的一个功能组件,并与该监测设备中的其它至少一个功能组件之间通讯连接。
在本申请实施例中,可选的,由于Flash作为一种非易失性内存,已经成为各类便携型设备的存储介质的基础,所以为了能够兼容不同的物联网设备,进一步提高对物联网设备进行监测的可靠性,所述物理总线包括SPI(Serial Peripheral Interface,串行外设接口)总线,所述信号监测探针包括SPI探针。
所述方法的具体步骤包括:
步骤401,监测设备通过信号监测探针监测存储装置的写入事件。
其中,检测存储装置的写入事件的方式,可以参见前述中的相关描述,此处不再一一赘述。
步骤402,所述监测设备识别所述写入事件是否包括针对物联网设备的攻击事件。
其中,识别写入事件是否包括针对物联网设备的攻击事件的方式,可以参见前述中的相关描述,此处不再一一赘述。
步骤403,若所述监测设备识别所述写入事件为所述攻击事件,则确定针对所述攻击事件的防御策略,并执行所述防御策略。
其中,监测设备确定并执行防御策略的方式,可以参见前述中的相关描述,此处不再一一赘述。
在本申请实施例中,首先,由于物联网设备通常都设置有用于存储可执行指令的存储装置,当物联网设备被攻击时,为了能够使植入的恶意代码持久化,即不会因为物联网设备关机或掉电而丢失,会将该恶意代码写入该存储装置,因此能够通过监测针对该存储装置的写入事件,并对监测到的写入事件进行识别,以确定该存储装置被是否写入可能存在风险的数据,将可能存在风险的写入事件确定针对该物联网设备的攻击事件,从而准确监测到物联网设备可能受到的攻击,减少了通过网络流量统计的方式难以对物联网设备进行监测的问题,提高了监测的准确性和可靠性,降低了监测成本。
其次,监测设备集成在物联网设备中,因此,便于针对不同的物联网设备订制专用的监测设备,有针对性的监测设备能够更加切合该物联网设备的监测需求,从而进一步提高了监测的准确性和可靠性。
实施例四
参照图5,示出了根据本申请一个实施例的一种物联网设备的监测方法流程图,所述物联网设备包括用于存储可执行指令的存储装置,所述方法应用于信号监测探针中,所述方法的具体步骤包括:
步骤501,监测所述存储装置的操作事件。
其中,信号监测探针在物联网设备中的部署方式以及监测针对存储装置的操作事件的方式,可以参见前述中的相关描述,此处不再一一赘述。
步骤502,将所述操作事件提交至监测设备,以识别所述操作事件是否包括针对所述物联网设备的攻击事件。
信号监测探针可以将操作事件发送给监测设备,使监测设备从操作事件中识别出写入事件,进而对写入事件进行识别,以确定该写入事件是否为攻击事件。
其中,信号监测探针向监测设备发送数据、监测设备从操作事件中识别出写入事件以及对写入事件进行识别的方式,可以参见前述中的相关描述,此处不再一一赘述。
另外,在实际应用中,也可以由信号监测探针对操作事件进行识别,得到写入事件,将该写入事件发送给监测设备,由监测设备对写入事件进行识别。
在本申请实施例中,由于物联网设备通常都设置有用于存储可执行指令的存储装置,当物联网设备被攻击时,为了能够使植入的恶意代码持久化,即不会因为物联网设备关机或掉电而丢失,会将该恶意代码写入该存储装置,因此能够通过信号监测探针监测针对该存储装置的写入事件,并将监测到的写入事件发送给监测设备,以对监测到的写入事件进行识别,确定该存储装置被是否写入可能存在风险的数据,将可能存在风险的写入事件确定针对该物联网设备的攻击事件,从而准确监测到物联网设备可能受到的攻击,减少了通过网络流量统计的方式难以对物联网设备进行监测的问题,提高了监测的准确性和可靠性,降低了监测成本。
实施例五
参照图6,示出了根据本申请一个实施例的一种物联网设备的监测方法流程图,所述物联网设备包括用于存储可执行指令的存储装置,所述方法应用于监测设备中,所述方法的具体步骤包括:
步骤601,获取所述存储装置的操作事件。
监测设备可以设置有前述中的信号监测探针,从而对物联网设备进行监测,获取得到针对装置的操作事件,当然,该监测设备也可以接收物联网设备或者其它设备发送的针对该物联网设备的存储装置的操作事件。
其中,监测设备通过信号监测探针获取操作事件的方式,可以参见前述中的相关描述,此处不再一一赘述。
步骤602,识别所述操作事件是否包括针对所述物联网设备的攻击事件。
其中,监测设备识别操作事件是否包括攻击事件的方式,可以参见前述中的相关描述,此处不再一一赘述。
在本申请实施例中,由于物联网设备通常都设置有用于存储可执行指令的存储装置,当物联网设备被攻击时,为了能够使植入的恶意代码持久化,即不会因为物联网设备关机或掉电而丢失,会将该恶意代码写入该存储装置,因此监测设备获取到针对该存储装置的写入事件,并对写入事件进行识别,确定该存储装置被是否写入可能存在风险的数据,将可能存在风险的写入事件确定针对该物联网设备的攻击事件,从而准确监测到物联网设备可能受到的攻击,减少了通过网络流量统计的方式难以对物联网设备进行监测的问题,提高了监测的准确性和可靠性,降低了监测成本。
本领域的技术人员应可理解,上述实施例中的方法步骤并非每一个都必不可少,在具体状况下,可以省略其中的一个或多个步骤,只要能够实现对物联网设备进行监测的技术目的。本发明并不限定的实施例中步骤的数量及其顺序,本发明的保护范围当以权利要求书的限定为准。
为了便于本领域技术人员更好地理解本申请,以下通过一个具体的示例对本申请实施例的一种物联网设备的监测方法进行说明。
物联网设备的结构框图如图7所示,该物联网设备包括CPU和Flash,CPU和Flash之间通过SPI总线连接,当然,在实际应用中,物联网设备中还以包括其它的功能组件。对该物联网设备进行监测的监测系统如图8所示,其中,该监测系统包括SPI信号监测探针、物联网入侵检测设备和云端。SPI信号监测探针以物理接触的方式并联在至SPI总线中,监测SPI读写事件,并通过WiFi/蓝牙/有线网/串口等方式,将SPI读写事件发送给物联网入侵检测设备;物联网入侵检测设备在本地通过SPI协议对读写事件进行解析,将解析后的读写事件存储至日志中,并将解析后的读写事件发送给云端(或者对解析后的读写事件进行初步识别后将可疑的读写事件发送给云端),云端设置有物联网管理设施,能够对解析后的读写事件进行识别,还可以提取可能存在攻击行为的攻击程序,以供安全人员进一步研究,或者,将识别结果通知给物联网设备。
实施例六
参照图9,示出了根据本申请一个实施例的一种物联网设备的监测装置的结构框图,所述物联网设备包括用于存储可执行指令的存储装置,所述监测装置包括:
写入事件监测模块901,用于监测所述存储装置的写入事件;
写入事件识别模块902,用于识别所述写入事件是否包括针对所述物联网设备的攻击事件。
可选的,所述物联网设备还包括接入所述存储装置的物理总线,所述物理总线与信号监测探针连接。
可选的,所述信号监测探针包括通讯模块,所述写入事件监测模块包括:
写入事件接收子模块,用于接收所述信号监测探针发送的所述写入事件。
可选的,所述写入事件监测模块还包括:
通讯连接建立子模块,用于与所述信号监测探针建立通讯连接。
可选的,所述写入事件监测模块包括:
写入事件监测子模块,用于通过所述信号监测探针监测所述写入事件。
可选的,所述存储装置包括Flash,所述物理总线包括SPI总线,所述信号监测探针包括SPI探针。
可选的,所述写入事件监测模块包括:
操作事件监测子模块,用于监测针对所述存储装置的操作事件;
操作事件识别子模块,用于从监测的操作事件中识别所述写入事件。
可选的,所述写入事件识别模块包括:
写入事件解析子模块,用于解析所述写入事件,获得所述写入事件的关键信息,所述关键信息包括事件时间、写入内容的相关信息、写入位置至少一种;
第一写入事件识别子模块,用于根据所述关键信息识别所述写入事件是否包括所述攻击事件。
可选的,所述第一写入事件识别子模块还用于:
根据预设的事件特征库和所述关键信息,识别所述写入事件是否包括针对所述物联网设备的攻击事件,所述攻击事件的写入内容包括可执行指令、写入位置包括可执行目录。
可选的,所述写入事件识别模块包括:
第二写入事件识别子模块,用于根据至少一个写入事件识别所述写入事件是否包括针对所述物联网设备的攻击事件。
可选的,所述监测装置还包括:
防御模块,用于若识别所述写入事件为所述攻击事件,则确定针对所述攻击事件的防御策略,并执行所述防御策略。
可选的,所述监测装置还包括:
相关信息查找模块,用于从至少一个数据系统查找所述写入事件对应写入内容的相关信息,并提供所述相关信息,所述写入内容的相关信息包括写入内容的文件名、文件大小、文件的哈希值中至少一种。
在本申请实施例中,由于物联网设备通常都设置有用于存储可执行指令的存储装置,当物联网设备被攻击时,为了能够使植入的恶意代码持久化,即不会因为物联网设备关机或掉电而丢失,会将该恶意代码写入该存储装置,因此能够通过监测针对该存储装置的写入事件,并对监测到的写入事件进行识别,确定该存储装置被是否写入可能存在风险的数据,将可能存在风险的写入事件确定针对该物联网设备的攻击事件,从而准确监测到物联网设备可能受到的攻击,减少了通过网络流量统计的方式难以对物联网设备进行监测的问题,提高了监测的准确性和可靠性,降低了监测成本。
对于装置实施例而言,由于其与方法实施例基本相似,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
实施例七
参照图10,示出了根据本申请一个实施例的一种物联网设备的监测装置的结构框图,所述物联网设备包括用于存储可执行指令的存储装置,所述监测装置包括:
操作事件监测模块1001,用于监测所述存储装置的操作事件;
操作事件提交模块1002,用于将所述操作事件提交至监测设备,以识别所述操作事件是否包括针对所述物联网设备的攻击事件。
在本申请实施例中,由于物联网设备通常都设置有用于存储可执行指令的存储装置,当物联网设备被攻击时,为了能够使植入的恶意代码持久化,即不会因为物联网设备关机或掉电而丢失,会将该恶意代码写入该存储装置,因此能够通过监测针对该存储装置的写入事件,并对监测到的写入事件进行识别,确定该存储装置被是否写入可能存在风险的数据,将可能存在风险的写入事件确定针对该物联网设备的攻击事件,从而准确监测到物联网设备可能受到的攻击,减少了通过网络流量统计的方式难以对物联网设备进行监测的问题,提高了监测的准确性和可靠性,降低了监测成本。
对于装置实施例而言,由于其与方法实施例基本相似,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
实施例八
参照图11,示出了根据本申请一个实施例的一种物联网设备的监测装置的结构框图,所述物联网设备包括用于存储可执行指令的存储装置,所述监测装置包括:
操作事件获取模块1101,用于获取所述存储装置的操作事件;
操作事件识别模块1102,用于识别所述操作事件是否包括针对所述物联网设备的攻击事件。
在本申请实施例中,由于物联网设备通常都设置有用于存储可执行指令的存储装置,当物联网设备被攻击时,为了能够使植入的恶意代码持久化,即不会因为物联网设备关机或掉电而丢失,会将该恶意代码写入该存储装置,因此能够通过监测针对该存储装置的写入事件,并对监测到的写入事件进行识别,确定该存储装置被是否写入可能存在风险的数据,将可能存在风险的写入事件确定针对该物联网设备的攻击事件,从而准确监测到物联网设备可能受到的攻击,减少了通过网络流量统计的方式难以对物联网设备进行监测的问题,提高了监测的准确性和可靠性,降低了监测成本。
对于装置实施例而言,由于其与方法实施例基本相似,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
实施例九
示出了根据本申请一个实施例的一种物联网设备的监测设备,所述物联网设备包括用于存储可执行指令的存储装置和接入所述存储装置的物理总线,所述监测设备包括接入所述物理总线的信号监测探针;
所述监测设备,用于通过所述信号监测探针监测所述存储装置的写入事件,以及识别所述写入事件是否包括针对所述物联网设备的攻击事件。
其中,通过信号监测探针监测写入事件以及识别写入事件的方式,可以参见前述中的相关描述,此处不再一一赘述。
在本申请实施例中,由于物联网设备通常都设置有用于存储可执行指令的存储装置,当物联网设备被攻击时,为了能够使植入的恶意代码持久化,即不会因为物联网设备关机或掉电而丢失,会将该恶意代码写入该存储装置,因此监测设备能够通过信号监测探针监测针对该存储装置的写入事件,并对监测到的写入事件进行识别,确定该存储装置被是否写入可能存在风险的数据,将可能存在风险的写入事件确定针对该物联网设备的攻击事件,从而准确监测到物联网设备可能受到的攻击,减少了通过网络流量统计的方式难以对物联网设备进行监测的问题,提高了监测的准确性和可靠性,降低了监测成本。
实施例十
示出了根据本申请一个实施例的一种物联网设备的监测系统,所述物联网设备包括用于存储可执行指令的存储装置和接入所述存储装置的物理总线,所述监测系统包括接入所述物理总线的信号监测探针和监测设备;
所述信号监测探针,用于监测所述存储装置的操作事件,并发送至所述监测设备;
所述监测设备,用于识别所述操作事件是否包括针对所述物联网设备的攻击事件。
其中,信号监测探针监测操作事件的方式、以及监测设备识别操作事件的方式,可以参见前述中的相关描述,此处不再一一赘述。
在本申请实施例中,由于物联网设备通常都设置有用于存储可执行指令的存储装置,当物联网设备被攻击时,为了能够使植入的恶意代码持久化,即不会因为物联网设备关机或掉电而丢失,会将该恶意代码写入该存储装置,因此监测系统能够通过监测针对该存储装置的写入事件,并通过监测设备对监测到的写入事件进行识别,确定该存储装置被是否写入可能存在风险的数据,将可能存在风险的写入事件确定针对该物联网设备的攻击事件,从而准确监测到物联网设备可能受到的攻击,减少了通过网络流量统计的方式难以对物联网设备进行监测的问题,提高了监测的准确性和可靠性,降低了监测成本。
实施例十一
参照图12,示出了根据本申请一个实施例的一种数据处理方法的流程图,具体步骤包括:
步骤1201,监测计算设备的存储装置的写入事件,其中,所述计算设备包括连接所述存储装置的物理总线,所述物理总线与信号监测探针连接。
由于当计算设备被入侵,即受到攻击时,为了能够使植入的恶意代码持久化,会将该恶意代码写入该计算设备中的存储装置,因此,为了在该计算设备被入侵时及时发现这一情况,进而采取相应的处理措施,确保该计算设备的安全性,可以对存储装置的写入事件监测。
计算设备可以连接入前述中的物联网,从而作为物联网设备。该计算设备设置有存储装置、与该存储装置连接的物理总线以及与物理总线连接的信号监测探针。
其中,存储装置、物理总线和信号监测探针可以参见前述中的相关描述,此处不再一一赘述。且由于该信号监测探针可以与该计算设备一体,因此。计算设备可以通过该信号监测探针监测写入事件,并通过有线或无线的通讯连接,将监测到的写入事件发送给监测设备,减少了在监测前后需要在计算设备中安装或拆卸信号监测探针的繁琐操作,提高了监测计算设备的效率。
监测针对存储装置的写入事件的方式,可以参见前述中的相关描述,此处不再一一赘述。
在本申请实施例中,可选的,由于Flash作为一种非易失性内存,已经成为各类便携型设备的存储介质的基础,通过SPI总线访问该Flash的SPI指令也较为统一,所以为了能够兼容不同的计算设备,进一步提高对计算设备进行监测的可靠性,降低监测成本,所述存储装置包括Flash,所述物理总线包括SPI总线,所述信号监测探针包括SPI探针。
其中,SPI探针可以参见前述中的相关描述,此处不再一一赘述。
在本申请实施例中,可选的,为了确保监测设备能够获取到写入事件,进而对计算设备进行监测,提高监测计算设备的可靠性,所述信号监测探针包括通讯模块,相应的,监测设备可以接收所述信号监测探针发送的所述写入事件。
其中,信号监测探针可以通过该通讯模块,基于有线或无线的通讯连接,将写入事件发送给监测设备。
步骤1202,确定所述写入事件属于预设类型事件。
由于写入事件能够说明写入存储装置的数据或者与写入该数据有关的信息,因此,可以根据该数据或者写入该数据有关的信息,判断该写入事件是否为预设类型事件。
预设类型事件可以包括攻击事件,当然,在实际应用中,预设类型事件还可以包括其它不合理、与该计算设备的角色或功能不符的写入事件,比如,在Flash中写入了不必要的数据,或在可执行目录里写入了视频、图像等数据。
其中,判断写入事件是否为预设类型事件的方式,可以与前述中判断写入事件是否为攻击事件的方式相似,包括根据写入事件的关键信息对写入事件进行识别,根据预设的时间特征数据库对事件进行识别、以及根据至少一个写入事件对该写入事件进行识别等,此处不再一一赘述。
步骤1203,发出提示信息或者阻断所述写入事件。
由于确定写入事件为预设类型事件,因此,该写入事件可能会对计算设备的安全性造成威胁,或者,导致存储空间等系统资源利用不合理等,因此,可以发出提示信息或者阻断该事件。
监测设备可以通过声音、图像、信号灯等方式发出该提示信息,以提示当前计算设备有该预设类型事件发生,或者,该监测设备可以控制该计算设备发出该提示信息。
监测设备可以向计算设备发送停止写入指令,该写入指令用于控制计算设备停止当前的写入操作,当计算设备接收到该停止写入指令时,停止当前的写入操作。
在本申请实施例中,首先,由于计算设备通常都设置有用于存储可执行指令的存储装置,当该计算设备被攻击时,为了能够使植入的恶意代码持久化,即不会因为计算设备关机或掉电而丢失,会将该恶意代码写入该存储装置,因此监测装置能够通过信号监测探针监测针对该存储装置的写入事件,并通过对监测到的写入事件进行识别,确定该写入事件是否为攻击事件等预设类型事件,若是则发出提示信息或者阻断该事件,从而准确监测到物联网设备可能受到的攻击,提高了监测的准确性和可靠性,降低了监测成本。
其次,信号监测探针与计算设备为一体,减少了在监测前后需要在计算设备中安装或拆卸信号监测探针的繁琐操作,提高了对计算设备进行监测的效率。
本领域的技术人员应可理解,上述实施例中的方法步骤并非每一个都必不可少,在具体状况下,可以省略其中的一个或多个步骤,只要能够实现对计算设备进行监测的技术目的。本发明并不限定的实施例中步骤的数量及其顺序,本发明的保护范围当以权利要求书的限定为准。
实施例十二
参照图13,示出了根据本申请一个实施例的一种数据处理装置的结构框图,所述装置包括:
写入事件监测模块1301,用于监测计算设备的存储装置的写入事件,其中,所述计算设备包括连接所述存储装置的物理总线,所述物理总线与信号监测探针连接;
确定模块1302,用于确定所述写入事件属于预设类型事件;
处理模块1303,用于发出提示信息或者阻断所述写入事件。
可选的,所述信号监测探针包括通讯模块,所述写入事件监测模块包括:
写入事件接收子模块,用于接收所述信号监测探针发送的所述写入事件。
可选的,所述存储装置包括Flash,所述物理总线包括SPI总线,所述信号监测探针包括SPI探针。
在本申请实施例中,由于计算设备通常都设置有用于存储可执行指令的存储装置,当该计算设备被攻击时,为了能够使植入的恶意代码持久化,即不会因为计算设备关机或掉电而丢失,会将该恶意代码写入该存储装置,因此监测装置能够通过信号监测探针监测针对该存储装置的写入事件,并通过对监测到的写入事件进行识别,确定该写入事件是否为攻击事件等预设类型事件,若是则发出提示信息或者阻断该事件,从而准确监测到物联网设备可能受到的攻击,提高了监测的准确性和可靠性,降低了监测成本。
对于装置实施例而言,由于其与方法实施例基本相似,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
本申请实施例可被实现为使用任意适当的硬件,固件,软件,或及其任意组合进行想要的配置的系统。图14示意性地示出了可被用于实现本申请中所述的各个实施例的示例性系统(或装置)1400。
对于一个实施例,图14示出了示例性系统1400,该系统具有一个或多个处理器1402、被耦合到(一个或多个)处理器1402中的至少一个的系统控制模块(芯片组)1404、被耦合到系统控制模块1404的系统存储器1406、被耦合到系统控制模块1404的非易失性存储器(NVM)/存储设备1408、被耦合到系统控制模块1404的一个或多个输入/输出设备1410,以及被耦合到系统控制模块1406的网络接口1412。
处理器1402可包括一个或多个单核或多核处理器,处理器1402可包括通用处理器或专用处理器(例如图形处理器、应用处理器、基频处理器等)的任意组合。在一些实施例中,系统1400能够作为本申请实施例中所述的监测设备。
在一些实施例中,系统1400可包括具有指令的一个或多个计算机可读介质(例如,系统存储器1406或NVM/存储设备1408)以及与该一个或多个计算机可读介质相合并被配置为执行指令以实现模块从而执行本申请中所述的动作的一个或多个处理器1402。
对于一个实施例,系统控制模块1404可包括任意适当的接口控制器,以向(一个或多个)处理器1402中的至少一个和/或与系统控制模块1404通信的任意适当的设备或组件提供任意适当的接口。
系统控制模块1404可包括存储器控制器模块,以向系统存储器1406提供接口。存储器控制器模块可以是硬件模块、软件模块和/或固件模块。
系统存储器1406可被用于例如为系统1400加载和存储数据和/或指令。对于一个实施例,系统存储器1406可包括任意适当的易失性存储器,例如,适当的DRAM。在一些实施例中,系统存储器1406可包括双倍数据速率类型四同步动态随机存取存储器(DDR4SDRAM)。
对于一个实施例,系统控制模块1404可包括一个或多个输入/输出控制器,以向NVM/存储设备1408及(一个或多个)输入/输出设备1410提供接口。
例如,NVM/存储设备1408可被用于存储数据和/或指令。NVM/存储设备1408可包括任意适当的非易失性存储器(例如,闪存)和/或可包括任意适当的(一个或多个)非易失性存储设备(例如,一个或多个硬盘驱动器(HDD)、一个或多个光盘(CD)驱动器和/或一个或多个数字通用光盘(DVD)驱动器)。
NVM/存储设备1408可包括在物理上作为系统1400被安装在其上的设备的一部分的存储资源,或者其可被该设备访问而不必作为该设备的一部分。例如,NVM/存储设备1408可通过网络经由(一个或多个)输入/输出设备1410进行访问。
(一个或多个)输入/输出设备1410可为系统1400提供接口以与任意其他适当的设备通信,输入/输出设备1410可以包括通信组件、音频组件、传感器组件等。网络接口1412可为系统1400提供接口以通过一个或多个网络通信,系统1400可根据一个或多个无线网络标准和/或协议中的任意标准和/或协议来与无线网络的一个或多个组件进行无线通信,例如接入基于通信标准的无线网络,如WiFi,2G或3G,或它们的组合进行无线通信。
对于一个实施例,(一个或多个)处理器1402中的至少一个可与系统控制模块1404的一个或多个控制器(例如,存储器控制器模块)的逻辑封装在一起。对于一个实施例,(一个或多个)处理器1402中的至少一个可与系统控制模块1404的一个或多个控制器的逻辑封装在一起以形成系统级封装(SiP)。对于一个实施例,(一个或多个)处理器1402中的至少一个可与系统控制模块1404的一个或多个控制器的逻辑集成在同一模具上。对于一个实施例,(一个或多个)处理器1402中的至少一个可与系统控制模块1404的一个或多个控制器的逻辑集成在同一模具上以形成片上系统(SoC)。
在各个实施例中,系统1400可以但不限于是:工作站、台式计算设备或移动计算设备(例如,膝上型计算设备、手持计算设备、平板电脑、上网本等)。在各个实施例中,系统1400可具有更多或更少的组件和/或不同的架构。例如,在一些实施例中,系统1400包括一个或多个摄像机、键盘、液晶显示器(LCD)屏幕(包括触屏显示器)、非易失性存储器端口、多个天线、图形芯片、专用集成电路(ASIC)和扬声器。
其中,如果显示器包括触摸面板,显示屏可以被实现为触屏显示器,以接收来自用户的输入信号。触摸面板包括一个或多个触摸传感器以感测触摸、滑动和触摸面板上的手势。所述触摸传感器可以不仅感测触摸或滑动动作的边界,而且还检测与所述触摸或滑动操作相关的持续时间和压力。
本申请实施例还提供了一种非易失性可读存储介质,该存储介质中存储有一个或多个模块(programs),该一个或多个模块被应用在终端设备时,可以使得该终端设备执行本申请实施例中各方法步骤的指令(instructions)。
在一个示例中提供了一种装置,包括:一个或多个处理器;和,其上存储的有指令的一个或多个机器可读介质,当由所述一个或多个处理器执行时,使得所述装置执行如本申请实施例中监测设备执行的方法。
在一个示例中还提供了一个或多个机器可读介质,其上存储有指令,当由一个或多个处理器执行时,使得装置执行如本申请实施例中监测设备执行的方法。
本申请实施例公开了一种物联网设备的监测方法和装置。
示例1、一种物联网设备的监测方法,所述物联网设备包括用于存储可执行指令的存储装置,所述方法包括:
监测所述存储装置的写入事件;
识别所述写入事件是否包括针对所述物联网设备的攻击事件。
示例2可包括示例1所述的方法,所述物联网设备还包括接入所述存储装置的物理总线,所述物理总线与信号监测探针连接。
示例3可包括示例2所述的方法,所述信号监测探针包括通讯模块,所述监测所述存储装置的写入事件包括:
接收所述信号监测探针发送的所述写入事件。
示例4可包括示例3所述的方法,在所述接收所述信号监测探针发送的所述写入事件之前,还包括:
与所述信号监测探针建立通讯连接。
示例5可包括示例2所述的方法,所述监测所述存储装置的写入事件包括:
通过所述信号监测探针监测所述写入事件。
6、根据权利要求2所述的方法,其特征在于,所述存储装置包括Flash,所述物理总线包括SPI总线,所述信号监测探针包括SPI探针。
示例7可包括示例1所述的方法,所述监测所述存储装置的写入事件包括:
监测针对所述存储装置的操作事件;
从监测的操作事件中识别所述写入事件。
示例8可包括示例1所述的方法,所述识别所述写入事件是否包括针对所述物联网设备的攻击事件包括:
解析所述写入事件,获得所述写入事件的关键信息,所述关键信息包括事件时间、写入内容的相关信息、写入位置至少一种;
根据所述关键信息识别所述写入事件是否包括所述攻击事件。
示例9可包括示例8所述的方法,所述根据所述关键信息识别所述写入事件是否包括所述攻击事件包括:
根据预设的事件特征库和所述关键信息,识别所述写入事件是否包括针对所述物联网设备的攻击事件,所述攻击事件的写入内容包括可执行指令、写入位置包括可执行目录。
示例10可包括示例1所述的方法,所述识别所述写入事件是否包括针对所述物联网设备的攻击事件包括:
根据至少一个写入事件识别所述写入事件是否包括针对所述物联网设备的攻击事件。
示例11可包括示例1所述的方法,还包括:
若识别所述写入事件为所述攻击事件,则确定针对所述攻击事件的防御策略,并执行所述防御策略。
示例12可包括示例1所述的方法,还包括:
从至少一个数据系统查找所述写入事件对应写入内容的相关信息,并提供所述相关信息,所述写入内容的相关信息包括写入内容的文件名、文件大小、文件的哈希值中至少一种。
示例13、一种物联网设备的监测方法,所述物联网设备包括用于存储可执行指令的存储装置,所述方法包括:
监测所述存储装置的操作事件;
将所述操作事件提交至监测设备,以识别所述操作事件是否包括针对所述物联网设备的攻击事件。
示例14、一种物联网设备的监测方法,所述物联网设备包括用于存储可执行指令的存储装置,所述方法包括:
获取所述存储装置的操作事件;
识别所述操作事件是否包括针对所述物联网设备的攻击事件。
示例15、一种数据处理方法,包括:
监测计算设备的存储装置的写入事件,其中,所述计算设备包括连接所述存储装置的物理总线,所述物理总线与信号监测探针连接;
确定所述写入事件属于预设类型事件;
发出提示信息或者阻断所述写入事件。
示例16可包括示例15所述的方法,所述信号监测探针包括通讯模块,所述监测计算设备的存储装置的写入事件包括:
接收所述信号监测探针发送的所述写入事件。
示例17可包括示例15所述的方法,所述存储装置包括Flash,所述物理总线包括SPI总线,所述信号监测探针包括SPI探针。
示例18、一种物联网设备的监测装置,所述物联网设备包括用于存储可执行指令的存储装置,所述监测装置包括:
写入事件监测模块,用于监测所述存储装置的写入事件;
写入事件识别模块,用于识别所述写入事件是否包括针对所述物联网设备的攻击事件。
示例19、一种物联网设备的监测装置,所述物联网设备包括用于存储可执行指令的存储装置,所述监测装置包括:
操作事件监测模块,用于监测所述存储装置的操作事件;
操作事件提交模块,用于将所述操作事件提交至监测设备,以识别所述操作事件是否包括针对所述物联网设备的攻击事件。
示例20、一种物联网设备的监测装置,所述物联网设备包括用于存储可执行指令的存储装置,所述监测装置包括:
操作事件获取模块,用于获取所述存储装置的操作事件;
操作事件识别模块,用于识别所述操作事件是否包括针对所述物联网设备的攻击事件。
示例21、一种数据处理装置,包括:
写入事件监测模块,用于监测计算设备的存储装置的写入事件,其中,所述计算设备包括连接所述存储装置的物理总线,所述物理总线与信号监测探针连接;
确定模块,用于确定所述写入事件属于预设类型事件;
处理模块,用于发出提示信息或者阻断所述写入事件。
示例22、一种物联网设备的监测设备,所述物联网设备包括用于存储可执行指令的存储装置和接入所述存储装置的物理总线,所述监测设备包括接入所述物理总线的信号监测探针;
所述监测设备,用于通过所述信号监测探针监测所述存储装置的写入事件,以及识别所述写入事件是否包括针对所述物联网设备的攻击事件。
示例23、一种物联网设备的监测系统,所述物联网设备包括用于存储可执行指令的存储装置和接入所述存储装置的物理总线,所述监测系统包括接入所述物理总线的信号监测探针和监测设备;
所述信号监测探针,用于监测所述存储装置的操作事件,并发送至所述监测设备;
所述监测设备,用于识别所述操作事件是否包括针对所述物联网设备的攻击事件。
示例24、一种装置,包括:一个或多个处理器;和其上存储的有指令的一个或多个机器可读介质,当由所述一个或多个处理器执行时,使得所述装置执行如权利要求示例1-示例17一个或多个的方法。
示例25、一个或多个机器可读介质,其上存储有指令,当由一个或多个处理器执行时,使得装置执行如权利要求示例1-示例17一个或多个的方法。
虽然某些实施例是以说明和描述为目的的,各种各样的替代、和/或、等效的实施方案、或计算来达到同样的目的实施例示出和描述的实现,不脱离本申请的实施范围。本申请旨在覆盖本文讨论的实施例的任何修改或变化。因此,显然本文描述的实施例仅由权利要求和它们的等同物来限定。
Claims (25)
1.一种物联网设备的监测方法,其特征在于,所述物联网设备包括用于存储可执行指令的存储装置,所述方法包括:
监测所述存储装置的写入事件;
识别所述写入事件是否包括针对所述物联网设备的攻击事件。
2.根据权利要求1所述的方法,其特征在于,所述物联网设备还包括接入所述存储装置的物理总线,所述物理总线与信号监测探针连接。
3.根据权利要求2所述的方法,其特征在于,所述信号监测探针包括通讯模块,所述监测所述存储装置的写入事件包括:
接收所述信号监测探针发送的所述写入事件。
4.根据权利要求3所述的方法,其特征在于,在所述接收所述信号监测探针发送的所述写入事件之前,还包括:
与所述信号监测探针建立通讯连接。
5.根据权利要求2所述的方法,其特征在于,所述监测所述存储装置的写入事件包括:
通过所述信号监测探针监测所述写入事件。
6.根据权利要求2所述的方法,其特征在于,所述存储装置包括Flash,所述物理总线包括SPI总线,所述信号监测探针包括SPI探针。
7.根据权利要求1所述的方法,其特征在于,所述监测所述存储装置的写入事件包括:
监测针对所述存储装置的操作事件;
从监测的操作事件中识别所述写入事件。
8.根据权利要求1所述的方法,其特征在于,所述识别所述写入事件是否包括针对所述物联网设备的攻击事件包括:
解析所述写入事件,获得所述写入事件的关键信息,所述关键信息包括事件时间、写入内容的相关信息、写入位置至少一种;
根据所述关键信息识别所述写入事件是否包括所述攻击事件。
9.根据权利要求8所述的方法,其特征在于,所述根据所述关键信息识别所述写入事件是否包括所述攻击事件包括:
根据预设的事件特征库和所述关键信息,识别所述写入事件是否包括针对所述物联网设备的攻击事件,所述攻击事件的写入内容包括可执行指令、写入位置包括可执行目录。
10.根据权利要求1所述的方法,其特征在于,所述识别所述写入事件是否包括针对所述物联网设备的攻击事件包括:
根据至少一个写入事件识别所述写入事件是否包括针对所述物联网设备的攻击事件。
11.根据权利要求1所述的方法,其特征在于,还包括:
若识别所述写入事件为所述攻击事件,则确定针对所述攻击事件的防御策略,并执行所述防御策略。
12.根据权利要求1所述的方法,其特征在于,还包括:
从至少一个数据系统查找所述写入事件对应写入内容的相关信息,并提供所述相关信息,所述写入内容的相关信息包括写入内容的文件名、文件大小、文件的哈希值中至少一种。
13.一种物联网设备的监测方法,其特征在于,所述物联网设备包括用于存储可执行指令的存储装置,所述方法包括:
监测所述存储装置的操作事件;
将所述操作事件提交至监测设备,以识别所述操作事件是否包括针对所述物联网设备的攻击事件。
14.一种物联网设备的监测方法,其特征在于,所述物联网设备包括用于存储可执行指令的存储装置,所述方法包括:
获取所述存储装置的操作事件;
识别所述操作事件是否包括针对所述物联网设备的攻击事件。
15.一种数据处理方法,其特征在于,包括:
监测计算设备的存储装置的写入事件,其中,所述计算设备包括连接所述存储装置的物理总线,所述物理总线与信号监测探针连接;
确定所述写入事件属于预设类型事件;
发出提示信息或者阻断所述写入事件。
16.根据权利要求15所述的方法,其特征在于,所述信号监测探针包括通讯模块,所述监测计算设备的存储装置的写入事件包括:
接收所述信号监测探针发送的所述写入事件。
17.根据权利要求15所述的方法,其特征在于,所述存储装置包括Flash,所述物理总线包括SPI总线,所述信号监测探针包括SPI探针。
18.一种物联网设备的监测装置,其特征在于,所述物联网设备包括用于存储可执行指令的存储装置,所述监测装置包括:
写入事件监测模块,用于监测所述存储装置的写入事件;
写入事件识别模块,用于识别所述写入事件是否包括针对所述物联网设备的攻击事件。
19.一种物联网设备的监测装置,其特征在于,所述物联网设备包括用于存储可执行指令的存储装置,所述监测装置包括:
操作事件监测模块,用于监测所述存储装置的操作事件;
操作事件提交模块,用于将所述操作事件提交至监测设备,以识别所述操作事件是否包括针对所述物联网设备的攻击事件。
20.一种物联网设备的监测装置,其特征在于,所述物联网设备包括用于存储可执行指令的存储装置,所述监测装置包括:
操作事件获取模块,用于获取所述存储装置的操作事件;
操作事件识别模块,用于识别所述操作事件是否包括针对所述物联网设备的攻击事件。
21.一种数据处理装置,其特征在于,包括:
写入事件监测模块,用于监测计算设备的存储装置的写入事件,其中,所述计算设备包括连接所述存储装置的物理总线,所述物理总线与信号监测探针连接;
确定模块,用于确定所述写入事件属于预设类型事件;
处理模块,用于发出提示信息或者阻断所述写入事件。
22.一种物联网设备的监测设备,其特征在于,所述物联网设备包括用于存储可执行指令的存储装置和接入所述存储装置的物理总线,所述监测设备包括接入所述物理总线的信号监测探针;
所述监测设备,用于通过所述信号监测探针监测所述存储装置的写入事件,以及识别所述写入事件是否包括针对所述物联网设备的攻击事件。
23.一种物联网设备的监测系统,其特征在于,所述物联网设备包括用于存储可执行指令的存储装置和接入所述存储装置的物理总线,所述监测系统包括接入所述物理总线的信号监测探针和监测设备;
所述信号监测探针,用于监测所述存储装置的操作事件,并发送至所述监测设备;
所述监测设备,用于识别所述操作事件是否包括针对所述物联网设备的攻击事件。
24.一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现如权利要求1-17一个或多个的方法。
25.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1-17一个或多个的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201711354370.5A CN109936528B (zh) | 2017-12-15 | 2017-12-15 | 监测方法、装置、设备及系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201711354370.5A CN109936528B (zh) | 2017-12-15 | 2017-12-15 | 监测方法、装置、设备及系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN109936528A true CN109936528A (zh) | 2019-06-25 |
CN109936528B CN109936528B (zh) | 2022-08-05 |
Family
ID=66980697
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201711354370.5A Active CN109936528B (zh) | 2017-12-15 | 2017-12-15 | 监测方法、装置、设备及系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN109936528B (zh) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110781466A (zh) * | 2019-10-22 | 2020-02-11 | 京信通信系统(中国)有限公司 | 设备安全管理方法、装置、计算机设备和存储介质 |
CN113449059A (zh) * | 2021-06-29 | 2021-09-28 | 软通智慧信息技术有限公司 | 事件的处理方法、装置、设备和存储介质 |
Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101178678A (zh) * | 2007-12-06 | 2008-05-14 | 福建星网锐捷网络有限公司 | 一种flash的写操作处理方法、系统及设备 |
CN102236610A (zh) * | 2010-04-30 | 2011-11-09 | 深圳市朗科科技股份有限公司 | 移动存储设备及方法、防入侵系统 |
CN102902909A (zh) * | 2012-10-10 | 2013-01-30 | 北京奇虎科技有限公司 | 一种防止文件被篡改的系统和方法 |
CN103092119A (zh) * | 2013-01-15 | 2013-05-08 | 北京工业大学 | 一种基于fpga的总线状态监视系统和方法 |
US20150113638A1 (en) * | 2013-10-23 | 2015-04-23 | Christopher Valasek | Electronic system for detecting and preventing compromise of vehicle electrical and control systems |
CN106529315A (zh) * | 2016-11-04 | 2017-03-22 | 杭州华澜微电子股份有限公司 | 一种硬盘安全防护方法及系统 |
CN106709334A (zh) * | 2015-11-17 | 2017-05-24 | 阿里巴巴集团控股有限公司 | 检测入侵脚本文件的方法、装置及系统 |
CN106855932A (zh) * | 2015-12-08 | 2017-06-16 | 国民技术股份有限公司 | 一种存储系统及其故障防御方法、装置 |
-
2017
- 2017-12-15 CN CN201711354370.5A patent/CN109936528B/zh active Active
Patent Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101178678A (zh) * | 2007-12-06 | 2008-05-14 | 福建星网锐捷网络有限公司 | 一种flash的写操作处理方法、系统及设备 |
CN102236610A (zh) * | 2010-04-30 | 2011-11-09 | 深圳市朗科科技股份有限公司 | 移动存储设备及方法、防入侵系统 |
CN102902909A (zh) * | 2012-10-10 | 2013-01-30 | 北京奇虎科技有限公司 | 一种防止文件被篡改的系统和方法 |
CN103092119A (zh) * | 2013-01-15 | 2013-05-08 | 北京工业大学 | 一种基于fpga的总线状态监视系统和方法 |
US20150113638A1 (en) * | 2013-10-23 | 2015-04-23 | Christopher Valasek | Electronic system for detecting and preventing compromise of vehicle electrical and control systems |
CN106709334A (zh) * | 2015-11-17 | 2017-05-24 | 阿里巴巴集团控股有限公司 | 检测入侵脚本文件的方法、装置及系统 |
CN106855932A (zh) * | 2015-12-08 | 2017-06-16 | 国民技术股份有限公司 | 一种存储系统及其故障防御方法、装置 |
CN106529315A (zh) * | 2016-11-04 | 2017-03-22 | 杭州华澜微电子股份有限公司 | 一种硬盘安全防护方法及系统 |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110781466A (zh) * | 2019-10-22 | 2020-02-11 | 京信通信系统(中国)有限公司 | 设备安全管理方法、装置、计算机设备和存储介质 |
CN113449059A (zh) * | 2021-06-29 | 2021-09-28 | 软通智慧信息技术有限公司 | 事件的处理方法、装置、设备和存储介质 |
Also Published As
Publication number | Publication date |
---|---|
CN109936528B (zh) | 2022-08-05 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN108780485B (zh) | 基于模式匹配的数据集提取 | |
CN106796556B (zh) | 仿真端点配置 | |
US9330257B2 (en) | Adaptive observation of behavioral features on a mobile device | |
TWI726834B (zh) | 用於產生可供診斷標的網路系統是否受到駭客入侵攻擊的可疑事件時序圖的網路安全漏洞診斷系統 | |
Tien et al. | KubAnomaly: Anomaly detection for the Docker orchestration platform with neural network approaches | |
US10997289B2 (en) | Identifying malicious executing code of an enclave | |
CN104426885B (zh) | 异常账号提供方法及装置 | |
US20200074086A1 (en) | Methods and systems for hardware and firmware security monitoring | |
JP2022512192A (ja) | 挙動による脅威検出のためのシステムおよび方法 | |
US9525695B2 (en) | Mechanism to augment IPS/SIEM evidence information with process history snapshot and application window capture history | |
CN105531712A (zh) | 移动设备上的基于数据流的行为分析 | |
Thouti et al. | Investigation on identify the multiple issues in IoT devices using Convolutional Neural Network | |
CN107580005A (zh) | 网站防护方法、装置、网站防护设备及可读存储介质 | |
CN106687971A (zh) | 用来减少软件的攻击面的自动代码锁定 | |
CN109923881A (zh) | IoT安全服务 | |
CN109862003A (zh) | 本地威胁情报库的生成方法、装置、系统及存储介质 | |
JP2022512195A (ja) | 挙動による脅威検出のためのシステムおよび方法 | |
WO2015112760A1 (en) | Adaptive observation of determined behavioral features on a mobile device | |
CN109936528A (zh) | 监测方法、装置、设备及系统 | |
CN108090352A (zh) | 检测系统及检测方法 | |
CN103441925B (zh) | 家庭网关设备及在家庭网关设备上挂载存储设备的方法 | |
KR20230156262A (ko) | 기계 학습 기반 멀웨어 검출을 위한 시스템 및 방법 | |
CN113360916A (zh) | 应用程序编程接口的风险检测方法、装置、设备及介质 | |
CN107924358B (zh) | 用于概率性处理器监视的方法和计算机可读介质 | |
JP2022512194A (ja) | 挙動による脅威検出のためのシステムおよび方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |