CN110247934B - 物联网终端异常检测与响应的方法与系统 - Google Patents
物联网终端异常检测与响应的方法与系统 Download PDFInfo
- Publication number
- CN110247934B CN110247934B CN201910638478.XA CN201910638478A CN110247934B CN 110247934 B CN110247934 B CN 110247934B CN 201910638478 A CN201910638478 A CN 201910638478A CN 110247934 B CN110247934 B CN 110247934B
- Authority
- CN
- China
- Prior art keywords
- terminal
- information
- internet
- file
- abnormal
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/12—Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请提供了一种物联网终端异常检测与响应的方法与系统,涉及物联网技术领域,可以解决物联网终端的安全性问题较为严重的技术问题。具体方案为:接收待检测物联网终端发送的终端信息;根据所述终端信息中的通信端口信息确定通信异常端口;从所述终端信息中的文件信息中,查询所述通信异常端口所对应的进程文件;对所述进程文件进行检测,得到异常检测结果;根据所述异常检测结果向所述待检测物联网终端发送响应指令。
Description
技术领域
本申请涉及物联网技术领域,尤其是涉及一种物联网终端异常检测与响应的方法与系统。
背景技术
物联网(The Internet of Things,IOT)是指通过信息传感器、射频识别技术、全球定位系统、红外感应器、激光扫描器等各种装置与技术,实时采集任何需要监控、连接、互动的物体或过程,能够采集其声、光、热、电、力学、化学、生物、位置等各种需要的信息,通过各类网络的接入,实现物与物、物与人的连接,实现对物品和过程的智能化感知、识别和管理。因此,物联网是一个基于互联网、传统电信网等的信息承载体,它可以让所有能够被独立寻址的普通物理对象形成互联互通的网络。
物联网终端是物联网中连接传感网络层和传输网络层,实现采集数据及向网络层发送数据的设备。物联网终端具备数据采集、初步处理、加密、传输等很多种功能。因此,物联网终端被广泛应用于人们工作生活中的各个领域里。
但是,在物联网终端应用于各领域的过程中,其所处的网络环境较为复杂,容易被入侵并控制。甚至有可能入侵者利用已控制的物联网终端作为跳板攻击其它的物联网终端,从而造成大面积物联网终端被入侵的异常情况,使物联网终端的安全性问题较为严重。
发明内容
本申请的目的在于提供一种物联网终端异常检测与响应的方法与系统,以解决物联网终端的安全性问题较为严重的技术问题。
本发明提供的一种物联网终端异常检测与响应的方法,应用于云平台服务器,所述方法包括:
接收待检测物联网终端发送的终端信息;
根据所述终端信息中的通信端口信息确定通信异常端口;
从所述终端信息中的文件信息中,查询所述通信异常端口所对应的进程文件;
对所述进程文件进行检测,得到异常检测结果;
根据所述异常检测结果向所述待检测物联网终端发送响应指令。
进一步的,所述根据所述终端信息中的通信端口信息确定通信异常端口,包括:
在通信端口信息中的端口通讯频率超出预设频率范围时,确定所述通信端口信息对应的端口为通信异常端口。
进一步的,所述终端信息包括:所述待检测物联网终端的通信端口信息、进程信息以及文件信息;
所述从所述终端信息中的文件信息中,查询所述通信异常端口所对应的进程文件,包括:
从所述进程信息中,查询所述通信异常端口运行的进程;
从所述文件信息中,查询启动所述进程的进程文件。
进一步的,所述对所述进程文件进行检测,得到异常检测结果,包括:
利用沙箱检测所述进程文件,确定恶意文件;
将所述恶意文件的执行对象与预设危险对象进行对比,确定终端异常程度;
基于所述终端异常程度判断所述待检测物联网终端是否异常,得到异常检测结果。
进一步的,所述执行对象包括下述任意一项或多项:
管理的数据、访问的统一资源定位符URL、访问的互联网协议地址IP。
进一步的,所述响应指令包括下述任意一项或多项:
查杀病毒、停止运行、删除所述进程文件。
本发明提供的一种物联网终端异常检测与响应的方法,应用于物联网终端,所述方法包括:
采集本地的通信端口信息以及文件信息,得到终端信息;
将所述终端信息发送至云平台服务器;
接收所述云平台服务器发送的响应指令;所述响应指令为所述云平台服务器根据所述终端信息的异常检测结果所做出的响应;
按照所述响应指令执行相应动作。
本发明提供的一种物联网终端异常检测与响应的系统,应用于云平台服务器,所述系统包括:
接收模块,用于接收待检测物联网终端发送的终端信息;
确定模块,用于根据所述终端信息中的通信端口信息确定通信异常端口;
查询模块,用于从所述终端信息中的文件信息中,查询所述通信异常端口所对应的进程文件;
检测模块,用于对所述进程文件进行检测,得到异常检测结果;
发送模块,用于根据所述异常检测结果向所述待检测物联网终端发送响应指令。
本发明提供的一种物联网终端异常检测与响应的系统,应用于物联网终端,所述系统包括:
采集单元,用于采集本地的通信端口信息以及文件信息,得到终端信息;
发送单元,用于将所述终端信息发送至云平台服务器;
接收单元,用于接收所述云平台服务器发送的响应指令;所述响应指令为所述云平台服务器根据所述终端信息的异常检测结果所做出的响应;
执行单元,用于按照所述响应指令执行相应动作。
本发明提供的一种具有处理器可执行的非易失的程序代码的计算机可读介质,所述程序代码使所述处理器执行上述的方法。
本方案中,云平台服务器可以接收物联网终端发送的终端信息,并根据终端信息中的通信端口信息确定通信异常端口,然后便能够从终端信息中的文件信息中查询通信异常端口所对应的进程文件,进而对进程文件进行检测以得到异常检测结果,最后便能够根据异常检测结果向物联网终端发送响应指令,通过利用云平台服务器的上述检测能力,能够对物联网终端发送的终端信息进行更加准确有效的异常检测分析,进而快速、准确的识别出异常检测结果,并通过云平台服务器快速发送响应指令以解决物联网终端的安全问题,因此,有效的发现并处置了异常,进而提高了物联网终端异常检测与响应的时效性和准确性,使物联网终端被入侵等异常问题得到迅速解决,从而提高了物联网终端的安全性。
附图说明
为了更清楚地说明本申请具体实施方式或现有技术中的技术方案,下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本申请的一些实施方式,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1示出了本申请实施例所提供的物联网终端异常检测与响应的方法的流程图;
图2示出了本申请实施例所提供的种物联网终端异常检测与响应的方法的另一流程图;
图3示出了本申请实施例所提供的种物联网终端异常检测与响应的方法的另一流程图;
图4示出了本申请实施例所提供的一种电子设备的结构示意图。
具体实施方式
下面将结合实施例对本发明的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
下面将详细描述本发明的各个方面的特征和示例性实施例。在下面的详细描述中,提出了许多具体细节,以便提供对本发明的全面理解。但是,对于本领域技术人员来说很明显的是,本发明可以在不需要这些具体细节中的一些细节的情况下实施。下面对实施例的描述仅仅是为了通过示出本发明的示例来提供对本发明的更好的理解。本发明决不限于下面所提出的任何具体配置和算法,而是在不脱离本发明的精神的前提下覆盖了元素、部件和算法的任何修改、替换和改进。在附图和下面的描述中,没有示出公知的结构和技术,以便避免对本发明造成不必要的模糊。
需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。下面将参考附图并结合实施例来详细说明本申请。
此外,本发明的描述中所提到的术语“包括”和“具有”以及它们的任何变形,意图在于覆盖不排他的包含。例如包含了一系列步骤或单元的过程、方法、系统、产品或设备没有限定于已列出的步骤或单元,而是可选地还包括其他没有列出的步骤或单元,或可选地还包括对于这些过程、方法、产品或设备固有的其它步骤或单元。
随着物联网时代的到来,小到智能摄像头、智能电表、大到智能网联汽车、智能工业机器人,各类物联网智能终端在不断涌现并被广泛应用于人们工作生活的各个领域里。
物联网智能终端往往会处于各种异构网络环境中,安全情况极为复杂。今年来,数次物联网智能终端所引发安全事件造成较大的破坏,已经引起了人们对于物联网智能终端信息安全问题的高度警惕。
目前,在物联网终端应用于各领域的过程中,其所处的网络环境较为复杂,容易被入侵并控制。甚至有可能入侵者利用已控制的物联网终端作为跳板攻击其它的物联网终端,从而造成大面积物联网终端被入侵的异常情况,使物联网终端的安全性问题较为严重。
基于此,本申请实施例提供的一种物联网终端异常检测与响应的方法与系统,可以解决现有技术中存在的物联网终端的安全性问题较为严重的技术问题。
为便于对本实施例进行理解,首先对本申请实施例所公开的一种物联网终端异常检测与响应的方法与系统进行详细介绍。
本申请实施例提供的一种物联网终端异常检测与响应的方法,如图1所示,应用于云平台服务器,该方法包括:
S11:接收待检测物联网终端发送的终端信息。
需要说明的是,物联网是互联网基础上的延伸和扩展的网络,是将各种信息传感设备与互联网结合起来而形成的一个巨大网络,实现在任何时间、任何地点的,人、机、物的互联互通。而物联网终端是实现采集数据及向网络层发送数据的设备。
作为一个优选方案,云平台服务器接收待检的测物联网终端发送的该终端的信息,其中,可以包括:该终端的通信端口信息、该终端的文件信息等。
S12:根据终端信息中的通信端口信息确定通信异常端口。
其中,通信端口是设备与外界通讯交流的出口。传输控制协议/因特网互联协议(Transmission Control Protocol/Internet Protocol,TCP/IP)协议集成到操作系统的内核中,这就相当于在操作系统中引入了一种新的输入/输出接口技术,因为在TCP/IP协议中引入了一种称之为"Socket(套接字)"应用程序接口。有了这样一种接口技术,一台计算机就可以通过软件的方式与任何一台具有Socket接口的计算机进行通信。端口在计算机编程上也就是"Socket接口"。
作为本实施例的优选实施方式,云平台服务器根据终端信息中的通信端口信息,查找网络通信中通信异常的端口,确定为通信异常端口,并记录该端口号。
S13:从终端信息中的文件信息中,查询通信异常端口所对应的进程文件。
在实际应用中,进程文件是一个基于代理的模块,它可以通过判断以及负载均衡算法将超文本传输协议(HTTP)的请求转发到不同的处理服务器之上。
S14:对进程文件进行检测,得到异常检测结果。
在实际应用中,可以在云平台服务器上对进程该文件进行恶意文件检测,从而得到综合分析结果。
S15:根据异常检测结果向待检测物联网终端发送响应指令。
如果存在异常,云平台服务器则根据具体的异常信息对待检测物联网终端下发相应的响应指令。
本实施例中,云平台服务器对待检测物联网终端的终端信息进行关联分析,以判断该终端是否存在异常。如果存在异常,则云平台服务器根据具体的异常信息对待检测物联网终端下发相应的响应指令。
对于现有技术而言,通常是直接在物联网终端设备上进行异常检测,或是通过流量监控检测物联网终端设备异常。如果直接在物联网终端设备上进行异常检测,增加了终端系统的负担,有可能对正常业务造成影响;如果通过流量监控检测物联网终端设备异常,会导致分析并不全面,检出率低。
通过利用云平台服务器的计算能力,对待检测物联网终端收集到的该终端的信息进行异常检测分析,可快速、准确的得出分析结果,并通过云平台服务器快速下发响应指令,提高了物联网终端异常检测与响应的时效性和准确性,有效地发现并处置异常。
因此,实现了快速、准确地识别发现物联网终端设备的异常,并根据异常情况做出快速响应。相比与传统的方法,更加高效和准确,并且更加轻量,不会给物联网终端造成较大的计算负担。
为了更加准确的确定出通信异常端口,上述根据终端信息中的通信端口信息确定通信异常端口的步骤(即步骤S12),可以包括以下步骤:
在通信端口信息中的端口通讯频率超出预设频率范围时,确定通信端口信息对应的端口为通信异常端口。
因此,通过判断实际的端口通讯频率是否预设频率范围,来更加准确的确定出待检测物联网终端上的通信异常端口。
本实施例中,终端信息包括:待检测物联网终端的通信端口信息、进程信息以及文件信息。为了更加快速、准确的查询到通信异常端口所对应的进程文件,上述从终端信息中的文件信息中,查询通信异常端口所对应的进程文件的步骤(即步骤S13),可以包括以下步骤:
(1)从进程信息中,查询通信异常端口运行的进程;
(2)从文件信息中,查询启动进程的进程文件。
示例性的,从终端信息中的进程信息中,通过步骤S12中记录的端口号查询该通信异常端口的进程,然后,根据查询到的该进程从文件信息中查询该进程对应的进程文件。因此,通过分步骤的针对不同信息的查询过程,更加快速、准确的查询到通信异常端口所对应的进程文件。
为了得到更加准确的异常检测结果,上述对进程文件进行检测,得到异常检测结果的步骤(即步骤S14),可以包括以下步骤:
(1)利用沙箱检测进程文件,确定恶意文件;
(2)将恶意文件的执行对象与预设危险对象进行对比,确定终端异常程度;
(3)基于终端异常程度判断待检测物联网终端是否异常,得到异常检测结果。
示例性的,云平台服务器可以先利用沙箱检测进程文件,从而确定出恶意文件,然后,将恶意文件的执行对象与预设危险对象进行对比,以确定终端异常程度,终端异常程度可以以打分的形式呈现出来。最后,根据打分结果判断该待检测物联网终端是否存在异常,例如将打分结果和预设分数进行对比,从而得到异常检测结果。
因此,通过确定恶意文件、确定终端异常程度等过程,利用沙箱、预设危险对象等,以保证检测出的异常检测结果更加准确。
其中,执行对象可以包括下述任意一项或多项:管理的数据、访问的统一资源定位符URL、访问的互联网协议地址IP。本实施例中,在恶意文件管理的数据、恶意文件访问的统一资源定位符URL、恶意文件访问的互联网协议地址IP等恶意文件的执行对象中,若该数据、该URL或该IP中的至少一种经对比后符合预设危险对象,说明该恶意文件的危险程度较大,云平台服务器则确定终端异常程度较大,从而更加客观、准确的确定出异常检测结果。
本实施例中,响应指令包括下述任意一项或多项:查杀病毒、停止运行、删除进程文件。因此,云平台服务器能够根据分析出的异常检测结果通过发送响应指令的方式,控制待检测物联网终端进行查杀病毒、停止运行、删除进程文件等执行动作,以更加快速的、有效的且更有针对性的解决待检测物联网终端的异常情况,进而提高待检测物联网终端的安全问题的解决效率。
本申请实施例提供的一种物联网终端异常检测与响应的方法,应用于物联网终端,如图2所示,方法包括:
S21:采集本地的通信端口信息以及文件信息,得到终端信息。
具体的,物联网终端可以内置保障安全的采集模块,来收集物联网终端的进程信息、文件信息、网络行为变化以及流量数据等信息等终端信息,以实现收集更加全方面的终端信息。
S22:将终端信息发送至云平台服务器。
本步骤中,物联网终端将步骤S21中收集到的各类终端信息上传到云平台服务器,以使云平台服务器对这些终端信息进行关联分析。
S23:接收云平台服务器发送的响应指令,响应指令为云平台服务器根据终端信息的异常检测结果所做出的响应。
优选的,异常检测结果即为云平台服务器对这些终端信息进行关联分析后的分析结果。然后,云平台服务器能够根据该分析结果所做出响应,并向物联网终端发送响应指令。
S24:按照响应指令执行相应动作。
在实际应用中,物联网终端按照云平台服务器发送的响应指令执行相应的动作。例如,查杀病毒、停止运行、删除进程文件等等。
图3为本实施例所提供的种物联网终端异常检测与响应的方法的另一流程图。其中,首先是物联网终端的内置安全模块收集物联网终端信息,包括进程信息、文件信息、网络行为变化和流量数据等信息。然后,物联网终端将收集到的各类信息上传到云平台。之后,云平台提取相关信息进行关联分析。之后云平台结合威胁情报和关联分析的结果对终端异常程度进行打分。然后,云平台判断该终端是否存在异常。若否,则返回步骤:云平台提取相关信息进行关联分析;若是,则云平台根据相关异常信息对物联网终端下发相应的响应指令。
因此,物联网终端能够收集该终端设备的全方面信息,以使云平台服务器有效的分析出物联网终端的异常行为,从而进行快速响应,以便能够有效的为物联网终端设备建立起一道有效的安全保护屏障。
本申请实施例提供的一种物联网终端异常检测与响应的系统,应用于云平台服务器,系统包括:
接收模块,用于接收待检测物联网终端发送的终端信息;
确定模块,用于根据终端信息中的通信端口信息确定通信异常端口;
查询模块,用于从终端信息中的文件信息中,查询通信异常端口所对应的进程文件;
检测模块,用于对进程文件进行检测,得到异常检测结果;
发送模块,用于根据异常检测结果向待检测物联网终端发送响应指令。
本申请实施例提供的物联网终端异常检测与响应的系统,与上述实施例提供的物联网终端异常检测与响应的方法具有相同的技术特征,所以也能解决相同的技术问题,达到相同的技术效果。
本申请实施例提供的一种物联网终端异常检测与响应的系统,应用于物联网终端,系统包括:
采集单元,用于采集本地的通信端口信息以及文件信息,得到终端信息;
发送单元,用于将终端信息发送至云平台服务器;
接收单元,用于接收云平台服务器发送的响应指令;响应指令为云平台服务器根据终端信息的异常检测结果所做出的响应;
执行单元,用于按照响应指令执行相应动作。
本申请实施例提供的物联网终端异常检测与响应的系统,与上述实施例提供的物联网终端异常检测与响应的方法具有相同的技术特征,所以也能解决相同的技术问题,达到相同的技术效果。
本申请实施例提供的一种电子设备,如图4所示,电子设备4包括存储器41、处理器42,存储器中存储有可在处理器上运行的计算机程序,处理器执行计算机程序时实现上述实施例提供的方法的步骤。
参见图4,电子设备还包括:总线43和通信接口44,处理器42、通信接口44和存储器41通过总线43连接;处理器42用于执行存储器41中存储的可执行模块,例如计算机程序。
其中,存储器41可能包含高速随机存取存储器(RAM,Random Access Memory),也可能还包括非易失性存储器(non-volatile memory),例如至少一个磁盘存储器。通过至少一个通信接口44(可以是有线或者无线)实现该系统网元与至少一个其他网元之间的通信连接,可以使用互联网,广域网,本地网,城域网等。
总线43可以是ISA总线、PCI总线或EISA总线等。总线可以分为地址总线、数据总线、控制总线等。为便于表示,图4中仅用一个双向箭头表示,但并不表示仅有一根总线或一种类型的总线。
其中,存储器41用于存储程序,处理器42在接收到执行指令后,执行程序,前述本申请任一实施例揭示的过程定义的装置所执行的方法可以应用于处理器42中,或者由处理器42实现。
处理器42可能是一种集成电路芯片,具有信号的处理能力。在实现过程中,上述方法的各步骤可以通过处理器42中的硬件的集成逻辑电路或者软件形式的指令完成。上述的处理器42可以是通用处理器,包括中央处理器(Central Processing Unit,简称CPU)、网络处理器(Network Processor,简称NP)等;还可以是数字信号处理器(Digital SignalProcessing,简称DSP)、专用集成电路(Application Specific Integrated Circuit,简称ASIC)、现成可编程门阵列(Field-Programmable Gate Array,简称FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本申请实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。结合本申请实施例所公开的方法的步骤可以直接体现为硬件译码处理器执行完成,或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于随机存储器,闪存、只读存储器,可编程只读存储器或者电可擦写可编程存储器、寄存器等本领域成熟的存储介质中。该存储介质位于存储器41,处理器42读取存储器41中的信息,结合其硬件完成上述方法的步骤。
本申请实施例提供的一种具有处理器可执行的非易失的程序代码的计算机可读介质,程序代码使处理器执行上述实施例提供的方法。
本申请实施例提供的具有处理器可执行的非易失的程序代码的计算机可读介质,与上述实施例提供的物联网终端异常检测与响应的方法与系统具有相同的技术特征,所以也能解决相同的技术问题,达到相同的技术效果。
最后应说明的是:以上各实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述各实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分或者全部技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的范围。
Claims (7)
1.一种物联网终端异常检测与响应的方法,其特征在于,应用于云平台服务器,所述方法包括:
接收待检测物联网终端发送的终端信息;
根据所述终端信息中的通信端口信息确定通信异常端口;
从所述终端信息中的文件信息中,查询所述通信异常端口所对应的进程文件;
对所述进程文件进行检测,得到异常检测结果;
根据所述异常检测结果向所述待检测物联网终端发送响应指令;
所述对所述进程文件进行检测,得到异常检测结果,包括:
利用沙箱检测所述进程文件,确定恶意文件;
将所述恶意文件的执行对象与预设危险对象进行对比,确定终端异常程度;
基于所述终端异常程度判断所述待检测物联网终端是否异常,得到异常检测结果;
所述执行对象包括下述任意一项或多项:
管理的数据、访问的统一资源定位符URL、访问的互联网协议地址IP;
所述终端信息包括:所述待检测物联网终端的通信端口信息、进程信息以及文件信息;
所述从所述终端信息中的文件信息中,查询所述通信异常端口所对应的进程文件,包括:
从所述进程信息中,查询所述通信异常端口运行的进程;
从所述文件信息中,查询启动所述进程的进程文件。
2.根据权利要求1所述的方法,其特征在于,所述根据所述终端信息中的通信端口信息确定通信异常端口,包括:
在通信端口信息中的端口通信频率超出预设频率范围时,确定所述通信端口信息对应的端口为通信异常端口。
3.根据权利要求1所述的方法,其特征在于,所述响应指令包括下述任意一项或多项:
查杀病毒、停止运行、删除所述进程文件。
4.一种物联网终端异常检测与响应的方法,其特征在于,应用于物联网终端,所述方法包括:
采集本地的通信端口信息以及文件信息,得到终端信息;
将所述终端信息发送至云平台服务器;
接收所述云平台服务器发送的响应指令;所述响应指令为所述云平台服务器根据所述终端信息的异常检测结果所做出的响应;
按照所述响应指令执行相应动作;
所述异常检测结果的确定过程包括:
利用沙箱检测进程文件,确定恶意文件;将所述恶意文件的执行对象与预设危险对象进行对比,确定终端异常程度;基于所述终端异常程度判断待检测物联网终端是否异常,得到异常检测结果;
所述执行对象包括下述任意一项或多项:管理的数据、访问的统一资源定位符URL、访问的互联网协议地址IP;
所述终端信息包括:所述待检测物联网终端的通信端口信息、进程信息以及文件信息;
所述进程文件为从所述进程信息中,查询通信异常端口运行的进程后,从所述文件信息中,查询启动所述进程而得到的进程文件。
5.一种物联网终端异常检测与响应的系统,其特征在于,应用于云平台服务器,所述系统包括:
接收模块,用于接收待检测物联网终端发送的终端信息;
确定模块,用于根据所述终端信息中的通信端口信息确定通信异常端口;
查询模块,用于从所述终端信息中的文件信息中,查询所述通信异常端口所对应的进程文件;
检测模块,用于对所述进程文件进行检测,得到异常检测结果;
发送模块,用于根据所述异常检测结果向所述待检测物联网终端发送响应指令;
所述检测模块具体用于:
利用沙箱检测所述进程文件,确定恶意文件;
将所述恶意文件的执行对象与预设危险对象进行对比,确定终端异常程度;
基于所述终端异常程度判断所述待检测物联网终端是否异常,得到异常检测结果;
所述执行对象包括下述任意一项或多项:
管理的数据、访问的统一资源定位符URL、访问的互联网协议地址IP;
所述终端信息包括:所述待检测物联网终端的通信端口信息、进程信息以及文件信息;
所述查询模块具体用于:
从所述进程信息中,查询所述通信异常端口运行的进程;
从所述文件信息中,查询启动所述进程的进程文件。
6.一种物联网终端异常检测与响应的系统,其特征在于,应用于物联网终端,所述系统包括:
采集单元,用于采集本地的通信端口信息以及文件信息,得到终端信息;
发送单元,用于将所述终端信息发送至云平台服务器;
接收单元,用于接收所述云平台服务器发送的响应指令;所述响应指令为所述云平台服务器根据所述终端信息的异常检测结果所做出的响应;
执行单元,用于按照所述响应指令执行相应动作;
所述异常检测结果的确定过程包括:
利用沙箱检测进程文件,确定恶意文件;将所述恶意文件的执行对象与预设危险对象进行对比,确定终端异常程度;基于所述终端异常程度判断待检测物联网终端是否异常,得到异常检测结果;
所述执行对象包括下述任意一项或多项:管理的数据、访问的统一资源定位符URL、访问的互联网协议地址IP;
所述终端信息包括:所述待检测物联网终端的通信端口信息、进程信息以及文件信息;
所述进程文件为从所述进程信息中,查询通信异常端口运行的进程后,从所述文件信息中,查询启动所述进程而得到的进程文件。
7.一种具有处理器可执行的非易失的程序代码的计算机可读介质,其特征在于,所述程序代码使所述处理器执行所述权利要求1至4任一所述方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910638478.XA CN110247934B (zh) | 2019-07-15 | 2019-07-15 | 物联网终端异常检测与响应的方法与系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910638478.XA CN110247934B (zh) | 2019-07-15 | 2019-07-15 | 物联网终端异常检测与响应的方法与系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110247934A CN110247934A (zh) | 2019-09-17 |
| CN110247934B true CN110247934B (zh) | 2022-03-11 |
Family
ID=67892348
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910638478.XA Active CN110247934B (zh) | 2019-07-15 | 2019-07-15 | 物联网终端异常检测与响应的方法与系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110247934B (zh) |
Families Citing this family (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110830487A (zh) * | 2019-11-13 | 2020-02-21 | 杭州安恒信息技术股份有限公司 | 物联网终端的异常状态识别方法、装置及电子设备 |
| CN111132142A (zh) * | 2019-12-24 | 2020-05-08 | 中国联合网络通信集团有限公司 | 一种安全防御方法及装置 |
| CN113765850B (zh) * | 2020-06-03 | 2023-08-15 | 中国移动通信集团重庆有限公司 | 物联网异常检测方法、装置、计算设备及计算机存储介质 |
| CN111914245B (zh) * | 2020-08-17 | 2023-02-28 | 杭州安恒信息技术股份有限公司 | 一种物联网设备检测方法、装置、设备及可读存储介质 |
| CN112003853B (zh) * | 2020-08-19 | 2023-04-18 | 内蒙古工业大学 | 一种支持ipv6的网络安全应急响应系统 |
| CN112153062B (zh) * | 2020-09-27 | 2023-02-21 | 北京北信源软件股份有限公司 | 基于多维度的可疑终端设备检测方法及系统 |
| CN114244686B (zh) * | 2021-12-16 | 2022-10-11 | 珠海格力电器股份有限公司 | 通讯故障的检测方法、装置及系统 |
| CN114844724A (zh) * | 2022-06-28 | 2022-08-02 | 杭州安恒信息技术股份有限公司 | 基于端云联动的端口异常检测方法、装置、设备及介质 |
| CN116484373B (zh) * | 2023-05-08 | 2024-02-23 | 合芯科技(苏州)有限公司 | 异常进程查杀方法、系统、装置、计算机设备及存储介质 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103034807A (zh) * | 2011-10-08 | 2013-04-10 | 腾讯科技(深圳)有限公司 | 恶意程序检测方法和装置 |
| CN109413091A (zh) * | 2018-11-20 | 2019-03-01 | 中国联合网络通信集团有限公司 | 一种基于物联网终端的网络安全监控方法和装置 |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103731433A (zh) * | 2014-01-14 | 2014-04-16 | 上海交通大学 | 一种物联网攻击检测系统和攻击检测方法 |
| US20150304343A1 (en) * | 2014-04-18 | 2015-10-22 | Intuit Inc. | Method and system for providing self-monitoring, self-reporting, and self-repairing virtual assets in a cloud computing environment |
| CN107171894A (zh) * | 2017-06-15 | 2017-09-15 | 北京奇虎科技有限公司 | 终端设备、分布式云端检测系统以及样本检测的方法 |
| CN109639634B (zh) * | 2018-11-05 | 2021-03-19 | 杭州安恒信息技术股份有限公司 | 一种物联网自适应安全防护方法及系统 |
-
2019
- 2019-07-15 CN CN201910638478.XA patent/CN110247934B/zh active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103034807A (zh) * | 2011-10-08 | 2013-04-10 | 腾讯科技(深圳)有限公司 | 恶意程序检测方法和装置 |
| CN109413091A (zh) * | 2018-11-20 | 2019-03-01 | 中国联合网络通信集团有限公司 | 一种基于物联网终端的网络安全监控方法和装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN110247934A (zh) | 2019-09-17 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110247934B (zh) | 物联网终端异常检测与响应的方法与系统 | |
| CN111147504B (zh) | 威胁检测方法、装置、设备和存储介质 | |
| CN109962891B (zh) | 监测云安全的方法、装置、设备和计算机存储介质 | |
| JP6001689B2 (ja) | ログ分析装置、情報処理方法及びプログラム | |
| KR100942456B1 (ko) | 클라우드 컴퓨팅을 이용한 DDoS 공격 탐지 및 차단 방법 및 서버 | |
| CN110401614B (zh) | 恶意域名的溯源方法及装置 | |
| CN112003838B (zh) | 网络威胁的检测方法、装置、电子装置和存储介质 | |
| CN113301012B (zh) | 一种网络威胁的检测方法、装置、电子设备及存储介质 | |
| CN110677384B (zh) | 钓鱼网站的检测方法及装置、存储介质、电子装置 | |
| CN102984161B (zh) | 一种可信网站的识别方法和装置 | |
| CN102571812A (zh) | 一种网络威胁的跟踪识别方法及装置 | |
| CN108293039B (zh) | 处理网络威胁的计算设备、方法和存储介质 | |
| CN110210213B (zh) | 过滤恶意样本的方法及装置、存储介质、电子装置 | |
| CN109063486B (zh) | 一种基于plc设备指纹识别的安全渗透测试方法与系统 | |
| CN113691550B (zh) | 一种网络攻击知识图谱的行为预测系统 | |
| CN111277561B (zh) | 网络攻击路径预测方法、装置及安全管理平台 | |
| CN105959294B (zh) | 一种恶意域名鉴别方法及装置 | |
| CN105378745A (zh) | 基于安全问题禁用和启用节点 | |
| CN110581851A (zh) | 一种物联网设备异常行为的云端识别方法 | |
| CN107231364B (zh) | 一种网站漏洞检测方法及装置、计算机装置及存储介质 | |
| CN110830487A (zh) | 物联网终端的异常状态识别方法、装置及电子设备 | |
| CN113079150A (zh) | 一种电力终端设备入侵检测方法 | |
| CN108737332B (zh) | 一种基于机器学习的中间人攻击预测方法 | |
| CN109474567B (zh) | Ddos攻击溯源方法、装置、存储介质及电子设备 | |
| CN116319074B (zh) | 一种基于多源日志的失陷设备检测方法、装置及电子设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |