CN110113350B - 一种物联网系统安全威胁监测与防御系统及方法 - Google Patents

一种物联网系统安全威胁监测与防御系统及方法 Download PDF

Info

Publication number
CN110113350B
CN110113350B CN201910403020.6A CN201910403020A CN110113350B CN 110113350 B CN110113350 B CN 110113350B CN 201910403020 A CN201910403020 A CN 201910403020A CN 110113350 B CN110113350 B CN 110113350B
Authority
CN
China
Prior art keywords
information
internet
terminal
things
analysis
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201910403020.6A
Other languages
English (en)
Other versions
CN110113350A (zh
Inventor
常清雪
龚致
文有庆
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Sichuan Changhong Electric Co Ltd
Original Assignee
Sichuan Changhong Electric Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Sichuan Changhong Electric Co Ltd filed Critical Sichuan Changhong Electric Co Ltd
Priority to CN201910403020.6A priority Critical patent/CN110113350B/zh
Publication of CN110113350A publication Critical patent/CN110113350A/zh
Application granted granted Critical
Publication of CN110113350B publication Critical patent/CN110113350B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/02Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Medical Informatics (AREA)
  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种物联网系统安全威胁监测与防御系统,包括流量异常分析系统、物联网终端异常分析系统、业务异常分析系统、HTTP异常分析系统及威胁检测与情报生成系统,所述威胁检测与情报生成系统分别与流量异常分析系统、物联网终端异常分析系统、业务异常分析系统、HTTP异常分析系统电连接。本发明的系统可同时解决物联网中设备终端自身安全问题、终端云端交互安全问题、云端自身安全问题,包括第三方云端交互安全问题。

Description

一种物联网系统安全威胁监测与防御系统及方法
技术领域
本发明涉及物联网安全技术领域,特别涉及一种物联网系统安全威胁监测与防御系统及方法。
背景技术
随着物联网的飞速发展,国家发展进入了智能物联网时代,各种物理环境如家庭、企业办公、工厂生产、交通管理、航空大厅、医院大厅等等,物联网几乎无处不在,物联网安全威胁也越来越多。
目前,在物联网环境中,物联网中的安全问题越来越多,且物联网中设备越来越复杂,自有网络和第三方网络同时存在,难以通过某种设备或者方案发现和防御安全威胁。
现有技术中,在物联网方面的安全检测有如下方案:
(1)流量检测方案,存在缺陷为:物联网专用协议支持不完整,不支持多种流量安全检测,无法全局联动分析,单独部署安全威胁发现困难等问题;
(2)资产设备agent方案,存在缺陷为:在资产设备上安装agent程序,需要资产设备拥有一定的计算能力,存在兼容性差,单独部署安全威胁发现困难等问题;
(3)WEB应用防火墙方案,存在缺陷为:在WEB服务/API服务前端部署WEB应用防火墙,需要一定的服务器资源,且单独部署无法发现终端本身安全问题、终端与第三方网络安全问题。
发明内容
本发明的目的是克服上述背景技术中不足,提供一种物联网系统安全威胁监测与防御系统及方法,可同时解决物联网中设备终端自身安全问题、终端云端交互安全问题、云端自身安全问题,包括第三方云端交互安全问题。
为了达到上述的技术效果,本发明采取以下技术方案:
一种物联网系统安全威胁监测与防御系统,包括流量异常分析系统、物联网终端异常分析系统、业务异常分析系统、HTTP异常分析系统及威胁检测与情报生成系统,所述威胁检测与情报生成系统分别与流量异常分析系统、物联网终端异常分析系统、业务异常分析系统、HTTP异常分析系统相互连接;
所述流量异常分析系统用于通过分析流量数据实现资产发现、流量安全检测及威胁分析,并将分析得出的安全威胁事件上报威胁检测与情报生成系统;所述物联网终端异常分析系统用于通过采集分析终端信息实现资产发现及终端异常行为分析,并将分析得出的安全威胁事件上报威胁检测与情报生成系统;所述业务异常分析系统用于通过采集分析业务信息实现账号类安全分析及业务异常信息,并将分析得出的安全威胁事件上报威胁检测与情报生成系统;所述HTTP异常分析系统用于实现HTTP或HTTPS访问内的文本特征分析及HTTP异常行为分析,并将分析得出的安全威胁事件上报威胁检测与情报生成系统,所述威胁检测与情报生成系统用于根据收到的安全威胁事件生成威胁情报,所述威胁情报内至少包含以下内容:IP黑名单、高危设备ID、异常账号及风险账号。
进一步地,所述流量异常分析系统包括流量异常分析单元及若干流量检测设备,且所述流量检测设备部署于物联网终端网络交换机端口X,用于将物联网终端网络交换机其他待分析端口流量镜像到交换机端口X及通过分析流量数据实现资产发现、流量安全检测及威胁分析,并将分析结果上报流量异常分析单元,流量异常分析单元用于根据收到的信息自动发现和管理物联网内终端资产并且使用云端的威胁情报关联分析潜在的安全威胁。
进一步地,所述物联网终端异常分析系统包括物联网终端异常分析单元及若干终端信息采集agent,所述终端信息采集agent部署于物联网终端网络的强终端设备中且用于采集终端指纹信息、行为信息,并将采集的信息上报物联网终端异常分析单元,所述物联网终端异常分析单元用于根据收到的信息获取终端资产属性信息以及分析终端异常行为。
进一步地,所述业务异常分析系统包括业务异常分析单元及若干业务日志与消息日志收集器,所述业务日志与消息日志收集器部署于业务日志服务主机及消息服务主机中并用于采集业务信息并将采集的信息上报业务异常分析单元,业务异常分析单元用于通过分析收到的信息实现账号类安全分析及业务异常信息。
进一步地,所述HTTP异常分析系统包括HTTP异常分析单元及若干WEB应用防火墙,所述WEB应用防火墙部署于WEB服务或API服务前端且用于采集并分析HTTP或HTTPS访问内的文本特征并上报HTTP异常分析单元,所述HTTP异常分析单元用于分析HTTP异常行为。
同时,本发明还公开了一种物联网系统安全威胁监测与防御的方法,通过上述的物联网系统安全威胁监测与防御系统实现,具体包括以下步骤:
A1.部署流量检测设备于物联网终端网络交换机端口X,从而将物联网终端网络交换机其他待分析端口流量镜像到交换机端口X;
A2.流量检测设备根据协议识别特征库、资产服务特征库、mac地址前缀特征库以及获取到的物联网协议信息,解析获取协议的资产属性信息;
A3.流量检测设备根据获取到的信息进行流量安全检测,并将疑似异常流量和分析结果上报流量异常分析单元;
A4.流量异常分析单元根据收到的数据实现自动发现和管理物联网内终端资产,并使用云端的威胁情报关联分析潜在的安全威胁;
A5.流量异常分析单元将分析得到的安全威胁事件上报威胁检测与情报生成系统;
B1.部署终端信息采集agent于物联网终端网络的强终端设备中,由终端信息采集agent采集终端指纹信息、行为信息,并将采集的信息上报物联网终端异常分析单元;
B2.物联网终端异常分析单元根据终端指纹信息获取终端资产属性信息;
B3.物联网终端异常分析单元根据收集的信息进行物联网终端异常行为分析;
B4.物联网终端异常分析单元将分析得到的安全威胁事件上报威胁检测与情报生成系统;
C1.将WEB应用防火墙在WEB服务或API服务前端;
C2.WEB应用防火墙采集并分析HTTP或HTTPS访问内的文本特征并上报HTTP异常分析单元;
C3.HTTP异常分析单元根据收到的数据信息分析HTTP异常行为;
C4.HTTP异常分析单元将分析得到的安全威胁事件上报威胁检测与情报生成系统;
D1.将业务日志与消息日志收集器部署于业务日志服务主机及消息服务主机中;并业务日志与消息日志收集器采集业务信息并将采集的信息上报业务异常分析单元;
D2.业务异常分析单元通过分析收到的信息实现账号类安全分析及业务异常信息分析;
D3.业务异常分析单元将分析得到的安全威胁事件上报威胁检测与情报生成系统;
E.威胁检测与情报生成系统根据收到的安全威胁事件生成威胁情报,且威胁情报内至少包含以下内容:IP黑名单、高危设备ID、异常账号及风险账号。
进一步地,所述步骤A2中协议的资产属性信息至少包括源信息、目的mac信息、源IP信息、目的IP信息、资产服务信息;且所述步骤A3进行流量安全检测时至少包括以下步骤:
S1.根据DNS请求分析是否存在DGA域名;
S2.根据DNS请求和响应分析是否存在域名劫持;
S3.根据tcp或udp连接ip或端口信息分析是否存在异常外连情况;
S4.根据常用服务流量监控,分析是否存在网络流量异常。
进一步地,所述步骤B2中的终端资产属性信息至少包括终端mac地址信息、终端序列号信息、终端型号信息、终端IP地址信息,且所述步骤B3中进行物联网终端异常行为分析时至少包括以下步骤:
S1.根据DNS请求分析是否存在DGA域名;
S2.根据DNS请求和响应分析是否存在域名劫持;
S3.至少根据敏感事件、app权限信息分析是否存在非法提权;
S4.至少根据tcp或udp连接信息、资源使用的信息分析是否存在僵尸网络;
S5.至少根据tcp或udp连接信息、威胁情报信息分析是否存在异常外连;
S6.根据进程信息、敏感文件信息分析是否存在非法注入;
S7.根据特定木马特征分析是否存在特定木马种植;
S8.根据终端采集信息分析其他异常行为。
进一步地,所述步骤C2中,所述文本特征包括XSS攻击的信息、SQL注入的信息、命令注入的信息、文件包含的信息、信息泄露的信息、HTTP合规的信息、会话篡改的信息、爬虫的信息,且所述步骤C3中分析HTTP异常行为时至少包括以下步骤:
S1.根据个群对比规则分析某些路径是否存在CC攻击;
S2.根据个群对比规则分析登录接口是否存在暴力破解;
S3.根据个群对比规则分析注册接口是否存在批量注册;
S4.根据个群对比规则和自定义规则分析其他WEB访问异常行为,
其中,个群对比规则具体如:将所有用户对某一路径接口的平均访问频率与某一用户对该路径接口的平均访问频率进行比较,若该用户的平均访问频率显著大于所有用户的平均访问频率,则判定该个体存在CC攻击行为或暴力破解或批量注册等。
进一步地,所述步骤D2中账号类安全分析时包括以下步骤:
S1.根据登录页、注册页鼠标行为分析是否存在机器行为;
S2.根据登录页用户键鼠行为、指纹信息分析是否存在盗号行为;
S3.根据注册页用户键鼠行为、指纹信息、账户属性信息分析是否存在批量注册行为;
所述步骤D2中进行业务异常信息分析时包括以下步骤:
S1.根据消息系统登录行为,分析是否存在暴力破解;
S2.根据消息信息订阅行为,分析是否存在信息遍历;
S3.根据个群对比算法和自定义规则分析其他业务异常行为,如若消息系统中控制指令动作访问路径为/login.do->/select.do->/control.do,所有用户的平均访问频率为每小时10次(群体特征),针对用户18.2.3.2签到访问路径为/login.do->/control.do,平均访问频率为每分钟10次(个体特征),通过个群对比规则发现差距较大,且自定义访问路径规则中访问路径差异太大,则判定该个体存在机器控制行为。
本发明与现有技术相比,具有以下的有益效果:
本发明的物联网系统安全威胁监测与防御系统及方法,可有效解决在物联网环境中安全威胁监测与防御问题,如自有网络和第三方网络同时存在时,难以通过某种设备或者方案发现和防御安全威胁的难题,通过本的技术方案可同时解决物联网中设备终端自身安全问题、终端云端交互安全问题、云端自身安全问题,包括第三方云端交互安全问题,且支持多种物联网专用协议,可实现物联网资产的自动发现和管理,从而提供多种组合防御方式。
附图说明
图1是本发明的物联网系统安全威胁监测与防御系统的部署示意图。
图2是本发明的物联网系统安全威胁监测与防御的方法的流程示意图。
具体实施方式
下面结合本发明的实施例对本发明作进一步的阐述和说明。
实施例:
实施例一:
如图1所示,一种物联网系统安全威胁监测与防御系统,包括流量异常分析系统、物联网终端异常分析系统、业务异常分析系统、HTTP异常分析系统及威胁检测与情报生成系统,所述威胁检测与情报生成系统分别与流量异常分析系统、物联网终端异常分析系统、业务异常分析系统、HTTP异常分析系统相互连接。
具体的,所述流量异常分析系统用于通过分析流量数据实现资产发现、流量安全检测及威胁分析,并将分析得出的安全威胁事件上报威胁检测与情报生成系统;且本实施例中,所述流量异常分析系统包括流量异常分析单元及若干流量检测设备,且所述流量检测设备部署于物联网终端网络交换机端口X,用于将物联网终端网络交换机其他待分析端口流量镜像到交换机端口X及通过分析流量数据实现资产发现、流量安全检测及威胁分析,并将分析结果上报流量异常分析单元,流量异常分析单元用于根据收到的信息自动发现和管理物联网内终端资产并且使用云端的威胁情报关联分析潜在的安全威胁。
具体的,所述物联网终端异常分析系统用于通过采集分析终端信息实现资产发现及终端异常行为分析,并将分析得出的安全威胁事件上报威胁检测与情报生成系统。本实施例中,所述物联网终端异常分析系统包括物联网终端异常分析单元及若干终端信息采集agent,所述终端信息采集agent部署于物联网终端网络的强终端设备中且用于采集终端指纹信息、行为信息,并将采集的信息上报物联网终端异常分析单元,所述物联网终端异常分析单元用于根据收到的信息获取终端资产属性信息以及分析终端异常行为。
具体的,所述业务异常分析系统用于通过采集分析业务信息实现账号类安全分析及业务异常信息,并将分析得出的安全威胁事件上报威胁检测与情报生成系统;作为优选,本实施例中,所述业务异常分析系统包括业务异常分析单元及若干业务日志与消息日志收集器,所述业务日志与消息日志收集器部署于业务日志服务主机及消息服务主机中并用于采集业务信息并将采集的信息上报业务异常分析单元,业务异常分析单元用于通过分析收到的信息实现账号类安全分析及业务异常信息。
具体的,所述HTTP异常分析系统用于实现HTTP或HTTPS访问内的文本特征分析及HTTP异常行为分析,并将分析得出的安全威胁事件上报威胁检测与情报生成系统,本实施例中,所述HTTP异常分析系统包括HTTP异常分析单元及若干WEB应用防火墙,所述WEB应用防火墙部署于WEB服务或API服务前端且用于采集并分析HTTP或HTTPS访问内的文本特征并上报HTTP异常分析单元,所述HTTP异常分析单元用于分析HTTP异常行为。
所述威胁检测与情报生成系统用于根据收到的安全威胁事件生成威胁情报,所述威胁情报内至少包含以下内容:IP黑名单(可用于WEB服务或API服务及消息系统进行实时防御)、高危设备ID(可用于WEB服务或API服务及消息系统进行实时防御)、异常账号(即已发现的垃圾账号,可用于物联网业务系统进行风险控制)及风险账号(即已发现的被盗用账号,可用于物联网业务系统进行风险控制)。
实施例二
如图2所示,一种物联网系统安全威胁监测与防御的方法,通过上述的物联网系统安全威胁监测与防御系统实现,具体包括以下步骤:
A1.部署流量检测设备于物联网终端网络交换机端口X,从而将物联网终端网络交换机其他待分析端口流量镜像到交换机端口X;
A2.流量检测设备根据协议识别特征库、资产服务特征库、mac地址前缀特征库以及获取到的物联网协议信息,解析获取协议的资产属性信息,其中,资产属性信息至少包括源信息、目的mac信息、源IP信息、目的IP信息、资产服务信息;
作为优选,本实施例中,进行流量安全检测时至少包括以下步骤:
S1.根据DNS请求分析是否存在DGA域名;
S2.根据DNS请求和响应分析是否存在域名劫持;
S3.根据tcp或udp连接ip或端口信息分析是否存在异常外连情况;
S4.根据常用服务流量监控,分析是否存在网络流量异常。
A3.流量检测设备根据获取到的信息进行流量安全检测,并将疑似异常流量和分析结果上报流量异常分析单元;
A4.流量异常分析单元根据收到的数据实现自动发现和管理物联网内终端资产,并使用云端的威胁情报关联分析潜在的安全威胁;
A5.流量异常分析单元将分析得到的安全威胁事件上报威胁检测与情报生成系统;
B1.部署终端信息采集agent于物联网终端网络的强终端设备中,由终端信息采集agent采集终端指纹信息、行为信息,并将采集的信息上报物联网终端异常分析单元;
B2.物联网终端异常分析单元根据终端指纹信息获取终端资产属性信息;其中,终端资产属性信息至少包括终端mac地址信息、终端序列号信息、终端型号信息、终端IP地址信息。
B3.物联网终端异常分析单元根据收集的信息进行物联网终端异常行为分析;具体包括以下步骤:
S1.根据DNS请求分析是否存在DGA域名;
S2.根据DNS请求和响应分析是否存在域名劫持;
S3.至少根据敏感事件、app权限信息分析是否存在非法提权;
S4.至少根据tcp或udp连接信息、资源使用的信息分析是否存在僵尸网络;
S5.至少根据tcp或udp连接信息、威胁情报信息分析是否存在异常外连;
S6.根据进程信息、敏感文件信息分析是否存在非法注入;
S7.根据特定木马特征分析是否存在特定木马种植;
S8.根据终端采集信息分析其他异常行为。
B4.物联网终端异常分析单元将分析得到的安全威胁事件上报威胁检测与情报生成系统;
C1.将WEB应用防火墙在WEB服务或API服务前端;
C2.WEB应用防火墙采集并分析HTTP或HTTPS访问内的文本特征并上报HTTP异常分析单元;其中,文本特征包括XSS攻击的信息、SQL注入的信息、命令注入的信息、文件包含的信息、信息泄露的信息、HTTP合规的信息、会话篡改的信息、爬虫的信息。
具体的,分析HTTP异常行为时至少包括以下步骤:
S1.根据个群对比分析某些路径是否存在CC攻击;本实施例中具体为:若域名www.changhong.com下钱包接口/wallet.do所有用户的平均访问频率为每分钟10次(群体特征),针对用户18.2.3.2平均访问频率为每分钟30次(个体特征),通过个群对比规则发现差距较大,则判定该个体存在CC攻击行为;
S2.根据个群对比分析登录接口是否存在暴力破解;本实施例中具体为:若域名www.changhong.com下登录接口/login.do所有用户的平均访问频率为每分钟5次(群体特征),针对用户18.2.3.2平均访问频率为每分钟23次(个体特征),通过个群对比规则发现差距较大,判定该个体存在暴力破解行为;
S3.根据个群对比分析注册接口是否存在批量注册;本实施例中具体为:若域名www.changhong.com下登录接口/register.do所有用户的平均访问频率为每小时5次(群体特征),针对用户18.2.3.2平均访问频率为每分钟23次(个体特征),通过个群对比规则发现差距较大,判定该个体存在批量注册行为;
S4.根据个群对比算法和自定义规则分析其他WEB访问异常行为,本实施例中具体为:若域名www.changhong.com下签到动作访问路径为/login.do->/userinfo.do->/signin.do,所有用户的平均访问频率为每小时10次(群体特征),针对用户18.2.3.2签到访问路径为/login.do->/signin.do,平均访问频率为每分钟10次(个体特征),通过个群对比规则发现差距较大,且自定义访问路径规则中访问路径差异太大,判定该个体存在机器签到行为。
C3.HTTP异常分析单元根据收到的数据信息分析HTTP异常行为;
C4.HTTP异常分析单元将分析得到的安全威胁事件上报威胁检测与情报生成系统;
D1.将业务日志与消息日志收集器部署于业务日志服务主机及消息服务主机中;并业务日志与消息日志收集器采集业务信息并将采集的信息上报业务异常分析单元;
D2.业务异常分析单元通过分析收到的信息实现账号类安全分析及其他业务异常信息分析;
其中,进行账号类安全分析时包括以下步骤:
S1.根据登录页、注册页鼠标行为分析是否存在机器行为;
S2.根据登录页用户键鼠行为、指纹信息分析是否存在盗号行为;
S3.根据注册页用户键鼠行为、指纹信息、账户属性信息分析是否存在批量注册行为;
进行其他业务异常信息分析时包括以下步骤:
S1.根据消息系统登录行为,分析是否存在暴力破解;
S2.根据消息信息订阅行为,分析是否存在信息遍历;
S3.根据个群对比算法和自定义规则分析其他业务异常行为;如若消息系统中控制指令动作访问路径为/login.do->/select.do->/control.do,所有用户的平均访问频率为每小时10次(群体特征),针对用户18.2.3.2签到访问路径为/login.do->/control.do,平均访问频率为每分钟10次(个体特征),通过个群对比规则发现差距较大,且自定义访问路径规则中访问路径差异太大,则判定该个体存在机器控制行为。
D3.业务异常分析单元将分析得到的安全威胁事件上报威胁检测与情报生成系统;
E.威胁检测与情报生成系统根据收到的安全威胁事件生成威胁情报,且威胁情报内至少包含以下内容:IP黑名单:可用于WEB服务或API服务及消息系统进行实时防御、高危设备ID:可用于WEB服务或API服务及消息系统进行实时防御、异常账号:即已发现的垃圾账号,可用于物联网业务系统进行风险控制、风险账号:即已发现的被盗用账号,可用于物联网业务系统进行风险控制。
由上可知,本发明的物联网系统安全威胁监测与防御系统及方法,可有效解决在物联网环境中安全威胁监测与防御问题,如自有网络和第三方网络同时存在时,难以通过某种设备或者方案发现和防御安全威胁的难题,通过本的技术方案可同时解决物联网中设备终端自身安全问题、终端云端交互安全问题、云端自身安全问题,包括第三方云端交互安全问题,且支持多种物联网专用协议,可实现物联网资产的自动发现和管理,从而提供多种组合防御方式。
可以理解的是,以上实施方式仅仅是为了说明本发明的原理而采用的示例性实施方式,然而本发明并不局限于此。对于本领域内的普通技术人员而言,在不脱离本发明的精神和实质的情况下,可以做出各种变型和改进,这些变型和改进也视为本发明的保护范围。

Claims (5)

1.一种物联网系统安全威胁监测与防御的方法,其特征在于,通过一种物联网系统安全威胁监测与防御系统实现,所述物联网系统安全威胁监测与防御系统包括流量异常分析系统、物联网终端异常分析系统、业务异常分析系统、HTTP异常分析系统及威胁检测与情报生成系统,所述威胁检测与情报生成系统分别与流量异常分析系统、物联网终端异常分析系统、业务异常分析系统、HTTP异常分析系统相互连接;
所述流量异常分析系统用于通过分析流量数据实现资产发现、流量安全检测及威胁分析,并将分析得出的安全威胁事件上报威胁检测与情报生成系统;所述物联网终端异常分析系统用于通过采集分析终端信息实现资产发现及终端异常行为分析,并将分析得出的安全威胁事件上报威胁检测与情报生成系统;所述业务异常分析系统用于通过采集分析业务信息实现账号类安全分析及业务异常信息,并将分析得出的安全威胁事件上报威胁检测与情报生成系统;所述HTTP异常分析系统用于实现HTTP或HTTPS访问内的文本特征分析及HTTP异常行为分析,并将分析得出的安全威胁事件上报威胁检测与情报生成系统,所述威胁检测与情报生成系统用于根据收到的安全威胁事件生成威胁情报,所述威胁情报内至少包含以下内容:IP黑名单、高危设备ID、异常账号及风险账号;
所述流量异常分析系统包括流量异常分析单元及若干流量检测设备,且所述流量检测设备部署于物联网终端网络交换机端口X,用于将物联网终端网络交换机其他待分析端口流量镜像到交换机端口X及通过分析流量数据实现资产发现、流量安全检测及威胁分析,并将分析结果上报流量异常分析单元,流量异常分析单元用于根据收到的信息自动发现和管理物联网内终端资产并且使用云端的威胁情报关联分析潜在的安全威胁;
所述物联网终端异常分析系统包括物联网终端异常分析单元及若干终端信息采集agent,所述终端信息采集agent部署于物联网终端网络的强终端设备中且用于采集终端指纹信息、行为信息,并将采集的信息上报物联网终端异常分析单元,所述物联网终端异常分析单元用于根据收到的信息获取终端资产属性信息以及分析终端异常行为;
所述业务异常分析系统包括业务异常分析单元及若干业务日志与消息日志收集器,所述业务日志与消息日志收集器部署于业务日志服务主机及消息服务主机中并用于采集业务信息并将采集的信息上报业务异常分析单元,业务异常分析单元用于通过分析收到的信息实现账号类安全分析及业务异常信息;
所述HTTP异常分析系统包括HTTP异常分析单元及若干WEB应用防火墙,所述WEB应用防火墙部署于WEB服务或API服务前端且用于采集并分析HTTP或HTTPS访问内的文本特征并上报HTTP异常分析单元,所述HTTP异常分析单元用于分析HTTP异常行为, 所述物联网系统安全威胁监测与防御的方法具体包括以下步骤:
A1.部署流量检测设备于物联网终端网络交换机端口X,从而将物联网终端网络交换机其他待分析端口流量镜像到交换机端口X;
A2.流量检测设备根据协议识别特征库、资产服务特征库、mac地址前缀特征库以及获取到的物联网协议信息,解析获取协议的资产属性信息;
A3.流量检测设备根据获取到的信息进行流量安全检测,并将疑似异常流量和分析结果上报流量异常分析单元;
A4.流量异常分析单元根据收到的数据实现自动发现和管理物联网内终端资产,并使用云端的威胁情报关联分析潜在的安全威胁;
A5.流量异常分析单元将分析得到的安全威胁事件上报威胁检测与情报生成系统;
B1.部署终端信息采集agent于物联网终端网络的强终端设备中,由终端信息采集agent采集终端指纹信息、行为信息,并将采集的信息上报物联网终端异常分析单元;
B2.物联网终端异常分析单元根据终端指纹信息获取终端资产属性信息;
B3.物联网终端异常分析单元根据收集的信息进行物联网终端异常行为分析;
B4.物联网终端异常分析单元将分析得到的安全威胁事件上报威胁检测与情报生成系统;
C1.将WEB应用防火墙部署在WEB服务或API服务前端;
C2.WEB应用防火墙采集并分析HTTP或HTTPS访问文本特征并将访问信息上报HTTP异常分析单元;
C3.HTTP异常分析单元根据收到的数据信息分析HTTP异常访问行为;
C4.HTTP异常分析单元将分析得到的安全威胁事件上报威胁检测与情报生成系统;
D1.将业务日志与消息日志收集器部署于业务日志服务主机及消息服务主机中;并将业务日志与消息日志收集器采集的业务日志信息上报业务异常分析单元;
D2.业务异常分析单元通过分析收到的信息实现账号类安全分析及业务异常信息分析;
D3.业务异常分析单元将分析得到的安全威胁事件上报威胁检测与情报生成系统;
E.威胁检测与情报生成系统根据收到的安全威胁事件生成威胁情报,且威胁情报内至少包含以下内容:IP黑名单、高危设备ID、异常账号及风险账号。
2.根据权利要求1所述的一种物联网系统安全威胁监测与防御的方法,其特征在于,所述步骤A2中协议的资产属性信息至少包括源信息、目的mac信息、源IP信息、目的IP信息、资产服务信息;且所述步骤A3进行流量安全检测时至少包括以下步骤:
S1.根据DNS请求分析是否存在DGA域名;
S2.根据DNS请求和响应分析是否存在域名劫持;
S3.根据tcp或udp连接ip或端口信息分析是否存在异常外连情况;
S4.根据常用服务流量监控,分析是否存在网络流量异常。
3.根据权利要求1所述的一种物联网系统安全威胁监测与防御的方法,其特征在于,所述步骤B2中的终端资产属性信息至少包括终端mac地址信息、终端序列号信息、终端型号信息、终端IP地址信息,且所述步骤B3中进行物联网终端异常行为分析时至少包括以下步骤:
S1.根据DNS请求分析是否存在DGA域名;
S2.根据DNS请求和响应分析是否存在域名劫持;
S3.至少根据敏感事件、app权限信息分析是否存在非法提权;
S4.至少根据tcp或udp连接信息、资源使用的信息分析是否存在僵尸网络;
S5.至少根据tcp或udp连接信息、威胁情报信息分析是否存在异常外连;
S6.根据进程信息、敏感文件信息分析是否存在非法注入;
S7.根据特定木马特征分析是否存在特定木马种植;
S8.根据终端采集信息分析其他异常行为。
4.根据权利要求1所述的一种物联网系统安全威胁监测与防御的方法,其特征在于,所述步骤C2中,所述文本特征包括XSS攻击的信息、SQL注入的信息、命令注入的信息、文件包含的信息、信息泄露的信息、HTTP合规的信息、会话篡改的信息、爬虫的信息,且所述步骤C3中分析HTTP异常行为时至少包括以下步骤:
S1.根据个群对比分析某些路径是否存在CC攻击行为;
S2.根据个群对比分析登录接口是否存在暴力破解;
S3.根据个群对比分析注册接口是否存在批量注册;
S4.根据个群对比规则和自定义规则分析其他WEB访问异常行为。
5.根据权利要求1所述的一种物联网系统安全威胁监测与防御的方法,其特征在于,所述步骤D2中账号类安全分析时包括以下步骤:
S1.根据登录页、注册页鼠标行为分析是否存在机器行为;
S2.根据登录页用户键鼠行为、指纹信息分析是否存在盗号行为;
S3.根据注册页用户键鼠行为、指纹信息、账户属性信息分析是否存在批量注册行为;
所述步骤D2中进行业务异常信息分析时包括以下步骤:
S1.根据消息系统登录行为,分析是否存在暴力破解;
S2.根据消息信息订阅行为,分析是否存在信息遍历;
S3.根据个群对比算法和自定义规则分析其他业务异常行为。
CN201910403020.6A 2019-05-15 2019-05-15 一种物联网系统安全威胁监测与防御系统及方法 Active CN110113350B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201910403020.6A CN110113350B (zh) 2019-05-15 2019-05-15 一种物联网系统安全威胁监测与防御系统及方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201910403020.6A CN110113350B (zh) 2019-05-15 2019-05-15 一种物联网系统安全威胁监测与防御系统及方法

Publications (2)

Publication Number Publication Date
CN110113350A CN110113350A (zh) 2019-08-09
CN110113350B true CN110113350B (zh) 2021-04-02

Family

ID=67490203

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201910403020.6A Active CN110113350B (zh) 2019-05-15 2019-05-15 一种物联网系统安全威胁监测与防御系统及方法

Country Status (1)

Country Link
CN (1) CN110113350B (zh)

Families Citing this family (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110581851A (zh) * 2019-09-10 2019-12-17 四川长虹电器股份有限公司 一种物联网设备异常行为的云端识别方法
CN110620768A (zh) * 2019-09-16 2019-12-27 北京方研矩行科技有限公司 一种用于物联网智能终端的基线安全检测方法及装置
CN110830487A (zh) * 2019-11-13 2020-02-21 杭州安恒信息技术股份有限公司 物联网终端的异常状态识别方法、装置及电子设备
CN110943984B (zh) * 2019-11-25 2021-09-28 中国联合网络通信集团有限公司 一种资产安全保护方法及装置
CN110933064B (zh) * 2019-11-26 2023-10-03 云南电网有限责任公司信息中心 确定用户行为轨迹的方法及其系统
CN111510443B (zh) * 2020-04-07 2022-07-15 全球能源互联网研究院有限公司 基于设备画像的终端监测方法和终端监测装置
CN113872917A (zh) * 2020-06-30 2021-12-31 北京奇虎鸿腾科技有限公司 轻量IoT云控安全系统及云控安全监测方法
CN112134723A (zh) * 2020-08-21 2020-12-25 杭州数梦工场科技有限公司 网络异常监测方法、装置、计算机设备和存储介质
CN114363220A (zh) * 2020-09-30 2022-04-15 华为技术有限公司 设备异常监测方法及设备

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103916451A (zh) * 2013-12-25 2014-07-09 武汉安天信息技术有限责任公司 一种基于物联网的智能终端设备的安全中心系统
CN104519032A (zh) * 2013-09-30 2015-04-15 深圳市腾讯计算机系统有限公司 一种互联网账号的安全策略及系统
CN105629790A (zh) * 2016-01-29 2016-06-01 广州能迪能源科技股份有限公司 一种基于工业物联网的数据管理平台以及其数据管理方法
CN107046543A (zh) * 2017-04-26 2017-08-15 国家电网公司 一种面向攻击溯源的威胁情报分析系统
CN107995162A (zh) * 2017-10-27 2018-05-04 深信服科技股份有限公司 网络安全感知系统、方法及可读存储介质

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10701103B2 (en) * 2017-02-16 2020-06-30 Dell Products, L.P. Securing devices using network traffic analysis and software-defined networking (SDN)

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104519032A (zh) * 2013-09-30 2015-04-15 深圳市腾讯计算机系统有限公司 一种互联网账号的安全策略及系统
CN103916451A (zh) * 2013-12-25 2014-07-09 武汉安天信息技术有限责任公司 一种基于物联网的智能终端设备的安全中心系统
CN105629790A (zh) * 2016-01-29 2016-06-01 广州能迪能源科技股份有限公司 一种基于工业物联网的数据管理平台以及其数据管理方法
CN107046543A (zh) * 2017-04-26 2017-08-15 国家电网公司 一种面向攻击溯源的威胁情报分析系统
CN107995162A (zh) * 2017-10-27 2018-05-04 深信服科技股份有限公司 网络安全感知系统、方法及可读存储介质

Also Published As

Publication number Publication date
CN110113350A (zh) 2019-08-09

Similar Documents

Publication Publication Date Title
CN110113350B (zh) 一种物联网系统安全威胁监测与防御系统及方法
US11902322B2 (en) Method, apparatus, and system to map network reachability
US10230750B2 (en) Secure computing environment
US20230208870A1 (en) Systems and methods for predictive analysis of potential attack patterns based on contextual security information
US10601844B2 (en) Non-rule based security risk detection
US20180124082A1 (en) Classifying logins, for example as benign or malicious logins, in private networks such as enterprise networks for example
EP2715975B1 (en) Network asset information management
US8640234B2 (en) Method and apparatus for predictive and actual intrusion detection on a network
US20180034837A1 (en) Identifying compromised computing devices in a network
CN113691566B (zh) 基于空间测绘和网络流量统计的邮件服务器窃密检测方法
Lu et al. A temporal correlation and traffic analysis approach for APT attacks detection
Brahmi et al. Towards a multiagent-based distributed intrusion detection system using data mining approaches
Mohammed et al. Honeycyber: Automated signature generation for zero-day polymorphic worms
CN110581850A (zh) 一种基于网络流量基因检测方法
Toker et al. Mitre ics attack simulation and detection on ethercat based drinking water system
Meijerink Anomaly-based detection of lateral movement in a microsoft windows environment
Hermanowski Open source security information management system supporting it security audit
CN112398803A (zh) 一种物联网系统安全威胁监测与防御系统及方法
Resmi et al. Intrusion detection system techniques and tools: A survey
Sourour et al. Network security alerts management architecture for signature-based intrusions detection systems within a NAT environment
Kumar et al. IPv6 network security using Snort
Hareesh et al. Critical Infrastructure Asset Discovery and Monitoring for Cyber Security
Fanfara et al. Autonomous hybrid honeypot as the future of distributed computer systems security
Sari Countering the IoT-powered volumetric cyberattacks with next-generation cyber-firewall: Seddulbahir
Almomani et al. Botnet Behavior and Detection Techniques: A Review

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant