CN110138780A - 一种基于探针技术实现物联网终端威胁检测的方法 - Google Patents

一种基于探针技术实现物联网终端威胁检测的方法 Download PDF

Info

Publication number
CN110138780A
CN110138780A CN201910407109.XA CN201910407109A CN110138780A CN 110138780 A CN110138780 A CN 110138780A CN 201910407109 A CN201910407109 A CN 201910407109A CN 110138780 A CN110138780 A CN 110138780A
Authority
CN
China
Prior art keywords
terminal
internet
things
threat detection
terminal agent
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201910407109.XA
Other languages
English (en)
Other versions
CN110138780B (zh
Inventor
何斌
肖建
文有庆
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Sichuan Changhong Electric Co Ltd
Original Assignee
Sichuan Changhong Electric Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Sichuan Changhong Electric Co Ltd filed Critical Sichuan Changhong Electric Co Ltd
Priority to CN201910407109.XA priority Critical patent/CN110138780B/zh
Publication of CN110138780A publication Critical patent/CN110138780A/zh
Application granted granted Critical
Publication of CN110138780B publication Critical patent/CN110138780B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/50Network services
    • H04L67/56Provisioning of proxy services

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Power Engineering (AREA)
  • Telephonic Communication Services (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

本发明公开了一种基于探针技术实现物联网终端威胁检测的方法,包括先进行终端硬件指纹的采集、合成;再进行终端硬件指纹的鉴权、接入;然后进行终端信息采集,并由管理平台分析终端自身安全问题,最后由管理平台下发安全预警,终端执行相对应的安全策略。本发明的方法可同时解决物联网中设备终端自身安全问题、终端云端交互安全问题、云端自身安全问题,且本发明可支持多种物联网专用协议,可实现物联网资产的自动发现和管理,并提供及时、动态的防御方式。

Description

一种基于探针技术实现物联网终端威胁检测的方法
技术领域
本发明涉及物联网安全技术领域,特别涉及一种基于探针技术实现物联网终端威胁检测的方法。
背景技术
物联网时代的到来已毋容置疑,各类物联网智能终端在不断涌现并被广泛用于人们工作生活的各个领域里。根据Gartner所发布的调查报告显示:2017年全球物联网设备数量大约84亿,到2020年物联网设备数量将可能超过200亿。由此可见,物联网市场未来的发展空间极为巨大。而作为整个物联网系统架构关键基础设施的物联网智能终端,其是连接现实世界与数字世界的关键节点,因此物联网终端安全的重要性也不言而喻。
目前,在物联网环境中,暂时没有较好的方案解决传统边界网络和无边界网络特性的物联网终端设备的安全性问题,且随着物联网设备越来越多,物联网终端安全威胁也越来越多,并且终端设备也越来越复杂,因此同时解决物联网中设备终端自身安全问题、终端云端交互安全问题及云端自身安全等多重问题尤为重要。
现有技术中,在物联网终端方面的安全检测有如下方案:
资产设备agent方案,该方案在资产设备上安装agent程序,需要资产设备拥有一定的计算能力,存在兼容性差、单独部署安全威胁发现困难等问题,并且该方案在agent策略下发无法差异化。
发明内容
本发明的目的是克服上述背景技术中不足,提供一种基于探针技术实现物联网终端威胁检测的方法,可同时解决物联网中设备终端自身安全问题、终端云端交互安全问题及云端自身安全等多重问题。
为了达到上述的技术效果,本发明采取以下技术方案:
一种基于探针技术实现物联网终端威胁检测的方法,包括以下步骤:
A.在终端agent启动后,对终端agent安全环境进行检测,若通过检测则进入步骤B,否则结束本次检测流程;
B.终端agent采集终端硬件信息形成终端硬件指纹;
C.服务端以终端硬件指纹为依据,进行终端接入验证,并将验证结果返回给终端后进入步骤D;
D.对终端进行鉴权验证,若通过验证则进入步骤E,否则结束本次检测流程;
E.在通过鉴权验证的终端,启动威胁检测传感器进行异常信息检测,并在监测到异常信息后进入步骤F;
F.终端agent捕获异常数据并将捕获到的异常数据传递给安全管理平台;
G.安全管理平台通过人工分析结合智能分析,并结合终端硬件指纹的数据汇总,制定与安全风险对应的安全策略,并将安全策略下发至终端agent;
H.终端agent根据安全管理平台下发的安全策略执行对应的操作。
进一步地,所述步骤A中对终端agent安全环境进行检测时包括进行签名信息对比、状态调试。
进一步地,所述步骤E中威胁检测传感器进行异常信息检测时具体包括以下内容:内核敏感文件监听、内核敏感操作系统进程监听、内核敏感接口调用监听、外设接口调用监听、流量审计、控制应用操作监听。
进一步地,所述步骤E具体包括以下步骤:
E1.终端agent监测系统文件及目录的更改,当发现有文件被更改、打开、关闭的异常操作时即进入步骤F;
E2.终端agent监测用户敏感操作系统进程,当发现有指定进程启动、关闭的异常操作时即进入步骤F;
E3.终端agent监测系统敏感接口访问,当发现有系统敏感接口进行短信读取、照片的异常操作访问时即进入步骤F;
E4.终端agent监测系统外设的操作,当发现有外设被打开、关闭及主动操作的异常行为时即进入步骤F;
E5.终端agent获取对外的tcp连接信息及对指定域名的解析,当连接信息更新或解析数据异常时即进入步骤F;
E6.终端agent监测应用程序的操作,当发现应用程序涉及到应用权限、应用安装及卸载的异常操作时即进入步骤F。
进一步地,所述步骤H中还包括,若根据安全管理平台下发的安全策略执行对应的操作时,具体操作为重启时,则结束本次检测流程。
本发明与现有技术相比,具有以下的有益效果:
本发明的基于探针技术实现物联网终端威胁检测的方法,可有效解决在物联网环境中终端安全威胁监测与防御问题,以及由于物联网终端兼具传统边界网络与无边界网络的特点,难以通过某种设备或者方案发现和防御安全威胁,即通过本发明的技术方案可同时解决物联网中设备终端自身安全问题、终端云端交互安全问题、云端自身安全问题,且本发明可支持多种物联网专用协议,可实现物联网资产的自动发现和管理,并提供及时、动态的防御方式。
附图说明
图1是本发明的基于探针技术实现物联网终端威胁检测的方法流程示意图。
具体实施方式
下面结合本发明的实施例对本发明作进一步的阐述和说明。
实施例:
实施例一:
如图1所示,一种基于探针技术实现物联网终端威胁检测的方法,包括以下步骤:
A.在终端agent启动后,对终端agent安全环境进行检测,如包括进行签名信息对比、状态调试等,若通过检测则进入步骤B,否则结束本次检测流程;
B.终端agent采集终端硬件信息形成终端硬件指纹;
C.服务端以终端硬件指纹为依据,进行终端接入验证,并将验证结果返回给终端后进入步骤D;
D.对终端进行鉴权验证,若通过验证则进入步骤E,否则结束本次检测流程;
E.在通过鉴权验证的终端,启动威胁检测传感器进行异常信息检测,并在监测到异常信息后进入步骤F;
其中,本实施例中,威胁检测传感器进行异常信息检测时具体包括以下内容:内核敏感文件监听、内核敏感操作系统进程监听、内核敏感接口调用监听、外设接口调用监听、流量审计、控制应用操作监听;
F.终端agent捕获异常数据并将捕获到的异常数据传递给安全管理平台;
G.安全管理平台通过人工分析结合智能分析,并结合终端硬件指纹的数据汇总,制定与安全风险对应的安全策略,并将安全策略下发至终端agent;
H.终端agent根据安全管理平台下发的安全策略执行对应的操作,其中,若根据安全管理平台下发的安全策略执行对应的操作时,具体操作为重启时,则结束本次检测流程。
作为优选,本实施例的步骤E具体包括以下步骤:
E1.终端agent监测系统文件及目录的更改,当发现有文件被更改、打开、关闭的异常操作时即进入步骤F;
E2.终端agent监测用户敏感操作系统进程,当发现有指定进程启动、关闭的异常操作时即进入步骤F;
E3.终端agent监测系统敏感接口访问,当发现有系统敏感接口进行短信读取、照片的异常操作访问时即进入步骤F;
E4.终端agent监测系统外设的操作,当发现有如蓝牙、摄像头等外设被打开、关闭及主动操作的异常行为时即进入步骤F;
E5.终端agent获取对外的tcp连接信息及对指定域名的解析,当连接信息更新或解析数据异常时即进入步骤F;
E6.终端agent监测应用程序的操作,当发现应用程序涉及到应用权限、应用安装及卸载的异常操作时即进入步骤F。
由上可知,本发明的基于探针技术实现物联网终端威胁检测的方法,具体方案为先进行终端硬件指纹的采集、合成;再进行终端硬件指纹的鉴权、接入;然后进行终端信息采集,并由管理平台分析终端自身安全问题,最后由管理平台下发安全预警,终端执行相对应的安全策略,因此,本发明的方法是一种以数据采集为基础,结合物联网安全管理平台进行行为数据分析;对于物联网终端的威胁态势、安全事件可实现自主发现、识别、分析及策略应对,可同时解决物联网中设备终端自身安全问题、终端云端交互安全问题、云端自身安全问题,且本发明可支持多种物联网专用协议,可实现物联网资产的自动发现和管理,并提供及时、动态的防御方式。
可以理解的是,以上实施方式仅仅是为了说明本发明的原理而采用的示例性实施方式,然而本发明并不局限于此。对于本领域内的普通技术人员而言,在不脱离本发明的精神和实质的情况下,可以做出各种变型和改进,这些变型和改进也视为本发明的保护范围。

Claims (5)

1.一种基于探针技术实现物联网终端威胁检测的方法,其特征在于,包括以下步骤:
A.在终端agent启动后,对终端agent安全环境进行检测,若通过检测则进入步骤B,否则结束本次检测流程;
B.终端agent采集终端硬件信息形成终端硬件指纹;
C.服务端以终端硬件指纹为依据,进行终端接入验证,并将验证结果返回给终端后进入步骤D;
D.对终端进行鉴权验证,若通过验证则进入步骤E,否则结束本次检测流程;
E.在通过鉴权验证的终端,启动威胁检测传感器进行异常信息检测,并在监测到异常信息后进入步骤F;
F.终端agent捕获异常数据并将捕获到的异常数据传递给安全管理平台;
G.安全管理平台通过人工分析结合智能分析,并结合终端硬件指纹的数据汇总,制定与安全风险对应的安全策略,并将安全策略下发至终端agent;
H.终端agent根据安全管理平台下发的安全策略执行对应的操作。
2.根据权利要求1所述的一种基于探针技术实现物联网终端威胁检测的方法,其特征在于,所述步骤A中对终端agent安全环境进行检测时包括进行签名信息对比、状态调试。
3.根据权利要求1所述的一种基于探针技术实现物联网终端威胁检测的方法,其特征在于,所述步骤E中威胁检测传感器进行异常信息检测时具体包括以下内容:内核敏感文件监听、内核敏感操作系统进程监听、内核敏感接口调用监听、外设接口调用监听、流量审计、控制应用操作监听。
4.根据权利要求3所述的一种基于探针技术实现物联网终端威胁检测的方法,其特征在于,所述步骤E具体包括以下步骤:
E1.终端agent监测系统文件及目录的更改,当发现有文件被更改、打开、关闭的异常操作时即进入步骤F;
E2.终端agent监测用户敏感操作系统进程,当发现有指定进程启动、关闭的异常操作时即进入步骤F;
E3.终端agent监测系统敏感接口访问,当发现有系统敏感接口进行短信读取、照片的异常操作访问时即进入步骤F;
E4.终端agent监测系统外设的操作,当发现有外设被打开、关闭及主动操作的异常行为时即进入步骤F;
E5.终端agent获取对外的tcp连接信息及对指定域名的解析,当连接信息更新或解析数据异常时即进入步骤F;
E6.终端agent监测应用程序的操作,当发现应用程序涉及到应用权限、应用安装及卸载的异常操作时即进入步骤F。
5.根据权利要求1至4中任一所述的一种基于探针技术实现物联网终端威胁检测的方法,其特征在于,所述步骤H中还包括,若根据安全管理平台下发的安全策略执行对应的操作时,具体操作为重启时,则结束本次检测流程。
CN201910407109.XA 2019-05-15 2019-05-15 一种基于探针技术实现物联网终端威胁检测的方法 Active CN110138780B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201910407109.XA CN110138780B (zh) 2019-05-15 2019-05-15 一种基于探针技术实现物联网终端威胁检测的方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201910407109.XA CN110138780B (zh) 2019-05-15 2019-05-15 一种基于探针技术实现物联网终端威胁检测的方法

Publications (2)

Publication Number Publication Date
CN110138780A true CN110138780A (zh) 2019-08-16
CN110138780B CN110138780B (zh) 2021-04-06

Family

ID=67574563

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201910407109.XA Active CN110138780B (zh) 2019-05-15 2019-05-15 一种基于探针技术实现物联网终端威胁检测的方法

Country Status (1)

Country Link
CN (1) CN110138780B (zh)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111010384A (zh) * 2019-12-07 2020-04-14 杭州安恒信息技术股份有限公司 一种物联网终端自我安全防御系统及其安全防御方法
CN111176755A (zh) * 2019-12-25 2020-05-19 哈尔滨安天科技集团股份有限公司 云上安全的策略配置方法、系统、电子设备及存储介质
CN112491788A (zh) * 2020-10-20 2021-03-12 北京泰豪智能工程有限公司 一种安全云代理服务平台、实现方法及物联网系统

Citations (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102148821A (zh) * 2010-01-25 2011-08-10 索尼公司 电力管理装置、电子设备以及注册电子设备的方法
CN103501293A (zh) * 2013-09-25 2014-01-08 国网重庆市电力公司 一种智能电网中终端可信接入的认证方法
CN103916451A (zh) * 2013-12-25 2014-07-09 武汉安天信息技术有限责任公司 一种基于物联网的智能终端设备的安全中心系统
US20160182574A1 (en) * 2014-12-18 2016-06-23 Samsung Electronics Co., Ltd. Method and apparatus for supporting facility control of terminal
CN106453443A (zh) * 2015-08-04 2017-02-22 腾讯科技(深圳)有限公司 安防监控方法、服务器及系统
CN106572189A (zh) * 2016-11-14 2017-04-19 广州大学 一种基于物联网的多传感器智能监控系统
CN106936860A (zh) * 2015-12-29 2017-07-07 研祥智能科技股份有限公司 一种基于终端设备的监控系统及方法
CN107071052A (zh) * 2017-02-17 2017-08-18 武汉盟贝斯云科技有限公司 一种给物联网设备提供云后端服务的装置、系统和方法
CN107846330A (zh) * 2017-12-18 2018-03-27 深圳创维数字技术有限公司 一种网络故障检测方法、终端及计算机可读介质
CN108965433A (zh) * 2018-07-19 2018-12-07 天津市青创空间科技企业孵化器有限公司 一种智能物联网及其控制方法
CN109460835A (zh) * 2018-11-12 2019-03-12 广州市雅天网络科技有限公司 现场硬件设备管控系统及方法

Patent Citations (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102148821A (zh) * 2010-01-25 2011-08-10 索尼公司 电力管理装置、电子设备以及注册电子设备的方法
CN103501293A (zh) * 2013-09-25 2014-01-08 国网重庆市电力公司 一种智能电网中终端可信接入的认证方法
CN103916451A (zh) * 2013-12-25 2014-07-09 武汉安天信息技术有限责任公司 一种基于物联网的智能终端设备的安全中心系统
US20160182574A1 (en) * 2014-12-18 2016-06-23 Samsung Electronics Co., Ltd. Method and apparatus for supporting facility control of terminal
CN106453443A (zh) * 2015-08-04 2017-02-22 腾讯科技(深圳)有限公司 安防监控方法、服务器及系统
CN106936860A (zh) * 2015-12-29 2017-07-07 研祥智能科技股份有限公司 一种基于终端设备的监控系统及方法
CN106572189A (zh) * 2016-11-14 2017-04-19 广州大学 一种基于物联网的多传感器智能监控系统
CN107071052A (zh) * 2017-02-17 2017-08-18 武汉盟贝斯云科技有限公司 一种给物联网设备提供云后端服务的装置、系统和方法
CN107846330A (zh) * 2017-12-18 2018-03-27 深圳创维数字技术有限公司 一种网络故障检测方法、终端及计算机可读介质
CN108965433A (zh) * 2018-07-19 2018-12-07 天津市青创空间科技企业孵化器有限公司 一种智能物联网及其控制方法
CN109460835A (zh) * 2018-11-12 2019-03-12 广州市雅天网络科技有限公司 现场硬件设备管控系统及方法

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
庞惠: "《关于Agent技术在物联网中的应用》", 《中国硕士学位论文全文数据库 信息技术辑》 *
李睿: "《物联网系统检测与评估方法》", 《电子技术与软件工程》 *

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111010384A (zh) * 2019-12-07 2020-04-14 杭州安恒信息技术股份有限公司 一种物联网终端自我安全防御系统及其安全防御方法
CN111176755A (zh) * 2019-12-25 2020-05-19 哈尔滨安天科技集团股份有限公司 云上安全的策略配置方法、系统、电子设备及存储介质
CN112491788A (zh) * 2020-10-20 2021-03-12 北京泰豪智能工程有限公司 一种安全云代理服务平台、实现方法及物联网系统
CN112491788B (zh) * 2020-10-20 2023-04-25 北京泰豪智能工程有限公司 一种安全云代理服务平台、实现方法及物联网系统

Also Published As

Publication number Publication date
CN110138780B (zh) 2021-04-06

Similar Documents

Publication Publication Date Title
WO2016150313A1 (zh) 一种可疑进程的探测方法及装置
CN102110220B (zh) 一种应用程序监控方法及装置
CN110138780A (zh) 一种基于探针技术实现物联网终端威胁检测的方法
CN106203113B (zh) 安卓应用文件的隐私泄露监控方法
CN103368904B (zh) 移动终端、可疑行为检测及判定系统和方法
CN104598824B (zh) 一种恶意程序检测方法及其装置
US10057285B2 (en) System and method for auditing governance, risk, and compliance using a pluggable correlation architecture
CA3001282C (en) Log information generation apparatus and recording medium, and log information extraction apparatus and recording medium
CN110851241A (zh) Docker容器环境的安全防护方法、装置及系统
CN104217161B (zh) 一种病毒扫描方法及系统、终端设备
CN109525558A (zh) 数据泄露检测方法、系统、装置及存储介质
CN103581187B (zh) 访问权限的控制方法及控制系统
CN105956468B (zh) 一种基于文件访问动态监控的Android恶意应用检测方法及系统
CN105474225A (zh) 在基于云的数据中心中对计算资源进行自动监控
CN106200891A (zh) 显示用户界面的方法、装置及系统
CN109743532B (zh) 一种门铃控制方法、电子设备、门铃系统和存储介质
CN107004086A (zh) 安全信息和事件管理
CN108027859A (zh) 检测对计算设备中的进程的软件攻击
CN104361281A (zh) 一种安卓平台钓鱼攻击的解决方法
WO2021121382A1 (en) Security management of an autonomous vehicle
CN103679028A (zh) 软件行为监控方法和终端
CN108595983A (zh) 一种基于硬件安全隔离执行环境的硬件架构、及应用上下文完整性度量方法
CN111885061A (zh) 一种网络攻击检测方法、装置、设备及介质
CN107045605A (zh) 一种实时度量方法及装置
CN109784051A (zh) 信息安全防护方法、装置及设备

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant