CN110830487A - 物联网终端的异常状态识别方法、装置及电子设备 - Google Patents
物联网终端的异常状态识别方法、装置及电子设备 Download PDFInfo
- Publication number
- CN110830487A CN110830487A CN201911109881.XA CN201911109881A CN110830487A CN 110830487 A CN110830487 A CN 110830487A CN 201911109881 A CN201911109881 A CN 201911109881A CN 110830487 A CN110830487 A CN 110830487A
- Authority
- CN
- China
- Prior art keywords
- request information
- things terminal
- target internet
- internet
- things
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/12—Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
- H04L67/125—Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks involving control of end-device applications over a network
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Medical Informatics (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明提供了一种物联网终端的异常状态识别方法、装置及电子设备,涉物联网技术领域,该方法包括:首先获取目标物联网终端的对外请求信息;对外请求信息包括文件下载请求信息、网页访问请求信息、登录请求信息和域名请求信息中的任意一种或多种;然后根据对外请求信息判断所述目标物联网终端是否受到恶意控制,如果是,确定目标物联网终端为异常状态。本发明提升了物联网终端设备的异常状态识别准确率。
Description
技术领域
本发明涉及物联网技术领域,尤其是涉及一种物联网终端的异常状态识别方法、装置及电子设备。
背景技术
随着物联网时代的到来,小到智能摄像头、智能电表、大到智能网联汽车、智能工业机器人,各类物联网智能终端在不断涌现并被广泛应用于人们工作生活的各个领域里。然而,物联网终端设备处于复杂的网络环境中,容易被黑客入侵并控制物联网终端设备作为跳板攻击其他物联网终端设备,从而造成正常业务网络瘫痪。近年来,物联网智能终端所引发安全事件对社会造成巨大破坏力已经引起了人们对于物联网智能终端信息安全问题的高度警惕。现有的物联网终端异常状态的识别技术,还存在识别准确率较低的问题。
发明内容
本发明实施例的目的在于提供一种物联网终端的异常状态识别方法、装置及电子设备,以提升物联网终端设备的异常状态识别准确率。
第一方面,本发明实施例提供了一种物联网终端的异常状态识别方法,包括:获取目标物联网终端的对外请求信息;所述对外请求信息包括文件下载请求信息、网页访问请求信息、登录请求信息和域名请求信息中的任意一种或多种;根据所述对外请求信息判断所述目标物联网终端是否受到恶意控制,如果是,确定所述目标物联网终端为异常状态。
在可选的实施方式中,所述对外请求信息为文件下载请求信息,所述文件下载请求信息包括所述目标物联网终端请求下载的文件;所述根据所述对外请求信息判断所述目标物联网终端是否受到恶意控制的步骤,包括:
将所述目标物联网终端请求下载的文件输入预设的沙箱中,利用所述预设的沙箱检测所述目标物联网终端请求下载的文件是否为恶意文件;如果所述目标物联网终端请求下载的文件为恶意文件,确定所述目标物联网终端受到恶意控制。
在可选的实施方式中,所述对外请求信息为网页访问请求信息,所述网页访问请求信息包括所述目标物联网终端在预设时间内对同一个IP发起的网页请求访问次数;所述根据所述对外请求信息判断所述目标物联网终端是否受到恶意控制的步骤,包括:根据所述网页请求访问次数判断所述目标物联网终端是否对外发起分布式拒绝服务攻击,如果是,确定所述目标物联网终端受到恶意控制。
在可选的实施方式中,所述根据所述网页请求访问次数判断所述目标物联网终端是否对外发起分布式拒绝服务攻击的步骤,包括:判断所述网页请求访问次数是否超出预设次数;如果是,确定所述目标物联网终端对外发起分布式拒绝服务攻击。
在可选的实施方式中,所述对外请求信息为登录请求信息,所述登录请求信息包括所述目标物联网终端在预设时间内对同一个服务端IP发起的请求登录次数;所述根据所述对外请求信息判断所述目标物联网终端是否受到恶意控制的步骤,包括:判断所述请求登录次数是否超出所述预设次数,如果是,确定所述目标物联网终端受到恶意控制。
在可选的实施方式中,所述对外请求信息为域名请求信息;所述根据所述对外请求信息判断所述目标物联网终端是否受到恶意控制的步骤,包括:将所述域名请求信息中的域名信息与预设数据库中的黑名单进行比对,获得所述域名信息的标签;如果所述域名信息的标签为远控木马的c&c服务器,确定所述目标物联网终端受到恶意控制。
在可选的实施方式中,所述对外请求信息包括文件下载请求信息、网页访问请求信息、登录请求信息和域名请求信息;所述根据所述对外请求信息判断所述目标物联网终端是否受到恶意控制的步骤,包括:如果所述对外请求信息同时满足:所述目标物联网终端请求下载的文件为恶意文件、所述网页请求访问次数超出所述预设次数、所述请求登录次数超出所述预设次数及所述域名信息的标签为远控木马的c&c服务器,确定所述目标物联网终端受到恶意控制。
第二方面,本发明实施例提供了一种物联网终端的异常状态识别装置,包括:信息获取模块,用于获取目标物联网终端的对外请求信息;所述对外请求信息包括文件下载请求信息、网页访问请求信息、登录请求信息和域名请求信息中的任意一种或多种;异常确定模块,用于根据所述对外请求信息判断所述目标物联网终端是否受到恶意控制,如果是,确定所述目标物联网终端为异常状态。
第三方面,本发明实施例提供了一种电子设备,包括存储器、处理器,所述存储器中存储有可在所述处理器上运行的计算机程序,其中,所述处理器执行所述计算机程序时实现如第一方面所述的方法的步骤。
第四方面,本发明实施例提供了一种计算机可读介质,其中,所述计算机可读介质存储有计算机可执行指令,所述计算机可执行指令在被处理器调用和执行时,所述计算机可执行指令促使所述处理器实现如第一方面所述的方法。
本发明实施例提供了一种物联网终端的异常状态识别方法、装置及电子设备,首先获取目标物联网终端的对外请求信息(包括文件下载请求信息、网页访问请求信息、登录请求信息和域名请求信息中的任意一种或多种);然后根据对外请求信息判断目标物联网终端是否受到恶意控制,如果是,确定目标物联网终端为异常状态。在该方法中,基于文件下载请求信息、网页访问请求信息、登录请求信息和域名请求信息中的任意一种或多种信息判断目标物联网终端是否受到恶意控制,从而可以从多个方面识别出异常状态的物联网终端,提升了物联网终端设备的异常状态识别的准确率。
附图说明
为了更清楚地说明本发明具体实施方式或现有技术中的技术方案,下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施方式,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的一种物联网终端的异常状态识别方法流程图;
图2为本发明实施例提供的一种物联网终端的异常状态判断方法流程图;
图3为本发明实施例提供的一种物联网终端的异常状态识别装置结构示意图;
图4为本发明实施例提供的一种电子设备结构示意图。
具体实施方式
下面将结合实施例对本发明的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
考虑到物联网终端异常状态的识别技术还存在识别准确率较低的问题,本发明实施例提供了一种物联网终端的异常状态识别方法、装置及电子设备,可以应用于提升物联网终端设备的异常状态识别准确率。
为便于对本实施例进行理解,首先对本发明实施例所公开的一种信息查询方法、装置及电子设备进行详细介绍。
本发明实施例提供了一种物联网终端的异常状态识别方法,参见如图1所示的物联网终端的异常状态识别方法流程图,该方法可以由与物联网通信连接的电子设备执行,该方法包括以下步骤S102~步骤S104:
步骤S102:获取目标物联网终端的对外请求信息;对外请求信息包括文件下载请求信息、网页访问请求信息、登录请求信息和域名请求信息中的任意一种或多种。
通过网络边界防御设备监控目标物联网终端的对外请求信息,从而全方位地收集目标物联网终端的行为特征,其中,上述对外请求信息可以包括文件下载请求信息、网页访问请求信息、登录请求信息和域名请求信息中的任意一种或多种。
步骤S104:根据对外请求信息判断目标物联网终端是否受到恶意控制,如果是,确定目标物联网终端为异常状态。
对上述目标物联网终端的对外请求信息进行分析,判断上述对外请求信息中是否存在异常数据,若上述对外请求信息中存在异常数据,或上述对外请求信息不满足预设的条件,确定上述目标物联网终端已经被恶意控制,即目标物联网终端处于异常状态;若上述对外请求信息中不存在异常数据,或上述对外请求信息满足预设的条件,确定上述目标物联网终端没有被恶意控制,即目标物联网终端处于正常状态。
本发明实施例提供的上述物联网终端的异常状态识别方法,基于文件下载请求信息、网页访问请求信息、登录请求信息和域名请求信息中的任意一种或多种信息判断目标物联网终端是否受到恶意控制,从而可以从多个方面识别出异常状态的物联网终端,提升了物联网终端设备的异常状态识别的准确率。
为了提升物联网异常状态识别的便捷性,本实施例提供了以下五种实施方式,以识别目标物联网终端的异常状态:
实施方式一:在该实施方式中,对外请求信息为文件下载请求信息,文件下载请求信息包括目标物联网终端请求下载的文件;上述根据对外请求信息判断目标物联网终端是否受到恶意控制的步骤,包括:
将目标物联网终端请求下载的文件输入预设的沙箱中,利用预设的沙箱检测目标物联网终端请求下载的文件是否为恶意文件;如果目标物联网终端请求下载的文件为恶意文件,确定目标物联网终端受到恶意控制。当目标物联网终端尝试下载文件时(即目标物联网终端请求下载文件),将目标物联网终端请求下载的文件输入到进行恶意文件检测的预设的沙箱中,利用预设的沙箱对目标物联网终端请求下载的文件进行检测,判断目标物联网终端请求下载的文件是否为恶意文件,如果目标物联网终端请求下载的文件为恶意文件,则表明该目标物联网终端尝试下载并运行恶意木马文件,确定该目标物联网终端遭受恶意控制,得到该目标物联网终端的识别结果为该目标物联网终端处于异常状态。
实施方式二:在该实施方式中,对外请求信息为网页访问请求信息,网页访问请求信息包括目标物联网终端在预设时间内对同一个IP发起的网页请求访问次数;上述根据对外请求信息判断目标物联网终端是否受到恶意控制的步骤,包括:
根据网页请求访问次数判断目标物联网终端是否对外发起分布式拒绝服务攻击,如果是,确定目标物联网终端受到恶意控制。其中,判断目标物联网终端是否对外发起分布式拒绝服务攻击的具体方式可以是:判断网页请求访问次数是否超出预设次数;如果是,确定目标物联网终端对外发起分布式拒绝服务攻击。当目标物联网终端请求访问网页时,获取该目标物联网终端发起的用户数据报协议(User Datagram Protocol,简称UDP)、域名系统(Domain Name System,简称DNS)、同步序列编号(Synchronize Sequence Numbers,简称SYN)、即是确认字符(Acknowledge character,简称ACK)和超文本传输协议(HyperTextTransfer Protocol,简称HTTP)等请求的五元组信息(五元组是通信术语,通常是指源IP地址,源端口,目的IP地址,目的端口和传输层协议)以及请求访问网页的次数,判断该目标物联网终端在预设时间内对同一个IP发起的连接是否超过预设次数,如果目标物联网终端在预设时间内对同一个IP发起的请求访问网页的次数超过了预设次数,确定该目标物联网终端对外进行分布式拒绝服务攻击(Distributed denial of service attack,简称ddos),进而可以确定目标物联网终端受到恶意控制,该目标物联网终端处于异常状态。
在一种实施方式中,上述预设时间可以是一分钟或20~60s内的任意数值,当预设时间为一分钟时,上述预设次数可以是30次或者30~60次的任意数值,诸如,当目标物联网终端在一分钟内对同一个IP发起的连接超过60次时,确定该目标物联网终端遭受到恶意控制,该目标物联网终端处于异常状态。
实施方式三:在该实施方式中,对外请求信息为登录请求信息,登录请求信息包括目标物联网终端在预设时间内对同一个服务端IP发起的请求登录次数;上述根据对外请求信息判断目标物联网终端是否受到恶意控制的步骤,包括:
判断请求登录次数是否超出预设次数,如果是,确定目标物联网终端受到恶意控制。当目标物联网终端向服务端IP发起登录请求时,获取目标物联网终端向服务端IP发起的ssh(Secure Shell,建立在应用层基础上的安全协议)和telnet协议(Telnet协议是TCP/IP协议族中的一员,是Internet远程登录服务的标准协议和主要方式)的五元组信息以及目标物联网终端在预设时间内对同一个服务端IP发起的请求登录次数。判断目标物联网终端在预设时间内对同一个服务端IP发起的请求登录次数是否超出预设次数,如果目标物联网终端在预设时间内对同一个服务端IP发起的ssh连接或telnet连接的次数超出预设次数,该物联网终端对外进行了远程登入的暴力破解,属于物联网病毒的其中一种行为,确定该目标物联网终端遭受恶意控制,即该目标物联网终端为异常状态。上述预设时间可以是一分钟或20~60s内的任意数值,当预设时间为一分钟时,上述预设次数可以是30次,诸如,当目标物联网终端在一分钟内对同一个服务端IP发起的连接超过30次时,确定该目标物联网终端处于异常状态。
实施方式四:在该实施方式中,对外请求信息为域名请求信息;根据对外请求信息判断目标物联网终端是否受到恶意控制的步骤,包括:
将域名请求信息中的域名信息与预设数据库中的黑名单进行比对,获得域名信息的标签;如果域名信息的标签为远控木马的c&c服务器,确定目标物联网终端受到恶意控制。通过网络边界防御设备监控目标物联网终端的网络请求,当目标物联网终端发出对外访问的域名请求时,获取目标物联网终端发出的域名请求信息中的域名信息,将域名请求信息中的域名信息与已知数据库(预设数据库)中的恶意域名黑名单进行匹配,获取该域名信息的标签,该域名标签包括远控木马的c&c服务器、涉黄域名、涉赌域名、DGA域名、正常域名,当该域名信息的标签为远控木马的c&c服务器时,确定目标物联网终端受到恶意控制,目标物联网终端处于异常状态。
实施方式五:为了防止对目标物联网终端异常状态的误检,在该实施方式中,对外请求信息包括文件下载请求信息、网页访问请求信息、登录请求信息和域名请求信息;根据对外请求信息判断目标物联网终端是否受到恶意控制的步骤,包括:
如果对外请求信息同时满足:目标物联网终端请求下载的文件为恶意文件、网页请求访问次数超出预设次数、请求登录次数超出预设次数及域名信息的标签为远控木马的c&c服务器,确定目标物联网终端受到恶意控制。通过获取目标物联网终端的对外请求信息,同时使用上述实施方式一~实施方式四提供的判断方法,当根据对外请求信息中的文件下载请求信息、网页访问请求信息、登录请求信息和域名请求信息判断得到目标物联网终端是受到恶意控制时,即根据上述对外请求信息得到目标物联网终端的对外请求信息同时满足:目标物联网终端请求下载的文件为恶意文件、目标物联网终端在预设时间内对同一IP的网页请求访问次数超出预设次数、目标物联网终端在预设时间内对同一个服务端IP发起的连接次数超出预设次数,以及目标物联网终端域名请求信息中的域名信息的标签为远控木马的c&c服务器时,目标物联网终端处于异常状态。
在实际应用中,可以采用上述实施方式一~实施方式四中的任意一种方式识别物联网终端的异常状态,也可以采用集合了实施方式一~实施方式四的实施方式五识别物联网终端的异常状态。参见如图2所示的物联网终端的异常状态判断方法流程图,利用上述物联网终端的异常状态识别方法判断物联网终端是否遭受到恶意控制,首先通过网络边界防御设备在物联网终端发出对外访问的域名请求时,抓取物联网终端对外请求的域名信息,将该域名信息与域名黑名单进行匹配,判断该域名是否为远控域名,如果该域名是远控域名,确定该物联网终端遭受恶意控制。如果该域名不是远控域名,判断该物联网终端发起的UDP、DNS、SYN、ACK和HTTP中的一种或多种请求是否为ddos攻击,如果该物联网终端进行了ddos攻击,确定该物联网终端遭受恶意控制。如果该物联网终端没有进行ddos攻击,判断该物联网终端是否对外进行ssh或telnet暴力破解,如果该物联网终端对外进行了ssh或telnet暴力破解,确定该物联网终端遭受恶意控制。如果该物联网终端没有对外进行ssh或telnet暴力破解,判断该物联网终端是否尝试下载恶意文件,如果该物联网终端尝试下载恶意文件,确定该物联网终端遭受恶意控制。如果该物联网终端没有尝试下载恶意文件,确定该物联网终端处于正常状态,即物联网终端处于正常状态的条件是该物联网终端发出的对外域名请求的域名不是远控域名、该物联网终端没有进行ddos攻击、该物联网终端没有对外进行ssh或telnet暴力破解、且该物联网终端没有尝试下载恶意文件。
在一种具体的实施方式中,确定物联网终端遭受恶意控制的条件可以是该物联网终端发出的对外域名请求的域名是远控域名、该物联网终端进行了ddos攻击、该物联网终端对外进行了ssh或telnet暴力破解、且该物联网终端尝试下载恶意文件。
本实施例提供的上述物联网终端的异常状态识别方法,通过提供多种识别物联网终端是否处于异常状态的方式,提升了物联网终端的异常状态识别的便捷性;通过使用在目标物联网终端的对外请求信息同时满足目标物联网终端请求下载的文件为恶意文件、目标物联网终端在预设时间内对同一IP的网页请求访问次数超出预设次数、目标物联网终端在预设时间内对同一个服务端IP发起的连接次数超出预设次数,以及目标物联网终端域名请求信息中的域名信息的标签为远控木马的c&c服务器时确定目标物联网终端处于异常状态的方式,进一步提升了物联网终端的异常状态识别的准确性。
对应于上述物联网终端的异常状态识别方法,本发明实施例提供了一种物联网终端的异常状态识别装置,参见如图3所示的物联网终端的异常状态识别装置结构示意图,包括:
信息获取模块31,用于获取目标物联网终端的对外请求信息;对外请求信息包括文件下载请求信息、网页访问请求信息、登录请求信息和域名请求信息中的任意一种或多种。
异常确定模块32,用于根据对外请求信息判断目标物联网终端是否受到恶意控制,如果是,确定目标物联网终端为异常状态。
本实施例提供的上述物联网终端的异常状态识别装置,基于文件下载请求信息、网页访问请求信息、登录请求信息和域名请求信息中的任意一种或多种信息判断目标物联网终端是否受到恶意控制,从而可以从多个方面识别出异常状态的物联网终端,提升了物联网终端设备的异常状态识别的准确率。
在一种实施方式中,上述对外请求信息为文件下载请求信息,文件下载请求信息包括目标物联网终端请求下载的文件;上述异常确定模块32,进一步用于将目标物联网终端请求下载的文件输入预设的沙箱中,利用预设的沙箱检测目标物联网终端请求下载的文件是否为恶意文件;如果目标物联网终端请求下载的文件为恶意文件,确定目标物联网终端受到恶意控制。
在一种实施方式中,上述对外请求信息为网页访问请求信息,网页访问请求信息包括目标物联网终端在预设时间内对同一个IP发起的网页请求访问次数;上述异常确定模块32,进一步用于根据网页请求访问次数判断目标物联网终端是否对外发起分布式拒绝服务攻击,如果是,确定目标物联网终端受到恶意控制。判断网页请求访问次数是否超出预设次数;如果是,确定目标物联网终端对外发起分布式拒绝服务攻击。
在一种实施方式中,上述对外请求信息为登录请求信息,登录请求信息包括目标物联网终端在预设时间内对同一个服务端IP发起的请求登录次数;上述异常确定模块32,进一步用于判断请求登录次数是否超出预设次数,如果是,确定目标物联网终端受到恶意控制。
在一种实施方式中,上述对外请求信息为域名请求信息;上述异常确定模块32,进一步用于将域名请求信息中的域名信息与预设数据库中的黑名单进行比对,获得域名信息的标签;如果域名信息的标签为远控木马的c&c服务器,确定目标物联网终端受到恶意控制。
在一种实施方式中,上述对外请求信息包括文件下载请求信息、网页访问请求信息、登录请求信息和域名请求信息;上述异常确定模块32,进一步用于如果对外请求信息同时满足:目标物联网终端请求下载的文件为恶意文件、网页请求访问次数超出预设次数、请求登录次数超出预设次数及域名信息的标签为远控木马的c&c服务器,确定目标物联网终端受到恶意控制。
本实施例提供的上述物联网终端的异常状态识别装置,通过提供多种识别物联网终端是否处于异常状态的方式,提升了物联网终端的异常状态识别的便捷性;通过使用在目标物联网终端的对外请求信息同时满足目标物联网终端请求下载的文件为恶意文件、目标物联网终端在预设时间内对同一IP的网页请求访问次数超出预设次数、目标物联网终端在预设时间内对同一个服务端IP发起的连接次数超出预设次数,以及目标物联网终端域名请求信息中的域名信息的标签为远控木马的c&c服务器时确定目标物联网终端处于异常状态的方式,进一步提升了物联网终端的异常状态识别的准确性。
本实施例所提供的装置,其实现原理及产生的技术效果和前述实施例相同,为简要描述,装置实施例部分未提及之处,可参考前述方法实施例中相应内容。
本发明实施例提供了一种电子设备,如图4所示的电子设备结构示意图,电子设备包括处理器41、存储器42,所述存储器中存储有可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现上述实施例提供的方法的步骤。
参见图4,电子设备还包括:总线44和通信接口43,处理器41、通信接口43和存储器42通过总线44连接。处理器41用于执行存储器42中存储的可执行模块,例如计算机程序。
其中,存储器42可能包含高速随机存取存储器(RAM,Random Access Memory),也可能还包括非易失性存储器(non-volatile memory),例如至少一个磁盘存储器。通过至少一个通信接口43(可以是有线或者无线)实现该系统网元与至少一个其他网元之间的通信连接,可以使用互联网,广域网,本地网,城域网等。
总线44可以是ISA(Industry Standard Architecture,工业标准体系结构)总线、PCI(Peripheral Component Interconnect,外设部件互连标准)总线或EISA(ExtendedIndustry Standard Architecture,扩展工业标准结构)总线等。所述总线可以分为地址总线、数据总线、控制总线等。为便于表示,图4中仅用一个双向箭头表示,但并不表示仅有一根总线或一种类型的总线。
其中,存储器42用于存储程序,所述处理器41在接收到执行指令后,执行所述程序,前述本发明实施例任一实施例揭示的流过程定义的装置所执行的方法可以应用于处理器41中,或者由处理器41实现。
处理器41可能是一种集成电路芯片,具有信号的处理能力。在实现过程中,上述方法的各步骤可以通过处理器41中的硬件的集成逻辑电路或者软件形式的指令完成。上述的处理器41可以是通用处理器,包括中央处理器(Central Processing Unit,简称CPU)、网络处理器(Network Processor,简称NP)等。还可以是数字信号处理器(Digital SignalProcessing,简称DSP)、专用集成电路(Application Specific Integrated Circuit,简称ASIC)、现成可编程门阵列(Field-Programmable Gate Array,简称FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本发明实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。结合本发明实施例所公开的方法的步骤可以直接体现为硬件译码处理器执行完成,或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于随机存储器,闪存、只读存储器,可编程只读存储器或者电可擦写可编程存储器、寄存器等本领域成熟的存储介质中。该存储介质位于存储器42,处理器41读取存储器42中的信息,结合其硬件完成上述方法的步骤。
本发明实施例提供了一种计算机可读介质,其中,所述计算机可读介质存储有计算机可执行指令,所述计算机可执行指令在被处理器调用和执行时,所述计算机可执行指令促使所述处理器实现上述实施例所述的方法。
最后应说明的是:以上各实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述各实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分或者全部技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的范围。
Claims (10)
1.一种物联网终端的异常状态识别方法,其特征在于,包括:
获取目标物联网终端的对外请求信息;所述对外请求信息包括文件下载请求信息、网页访问请求信息、登录请求信息和域名请求信息中的任意一种或多种;
根据所述对外请求信息判断所述目标物联网终端是否受到恶意控制,如果是,确定所述目标物联网终端为异常状态。
2.根据权利要求1所述的方法,其特征在于,所述对外请求信息为文件下载请求信息,所述文件下载请求信息包括所述目标物联网终端请求下载的文件;所述根据所述对外请求信息判断所述目标物联网终端是否受到恶意控制的步骤,包括:
将所述目标物联网终端请求下载的文件输入预设的沙箱中,利用所述预设的沙箱检测所述目标物联网终端请求下载的文件是否为恶意文件;
如果所述目标物联网终端请求下载的文件为恶意文件,确定所述目标物联网终端受到恶意控制。
3.根据权利要求2所述的方法,其特征在于,所述对外请求信息为网页访问请求信息,所述网页访问请求信息包括所述目标物联网终端在预设时间内对同一个IP发起的网页请求访问次数;所述根据所述对外请求信息判断所述目标物联网终端是否受到恶意控制的步骤,包括:
根据所述网页请求访问次数判断所述目标物联网终端是否对外发起分布式拒绝服务攻击,如果是,确定所述目标物联网终端受到恶意控制。
4.根据权利要求3所述的方法,其特征在于,所述根据所述网页请求访问次数判断所述目标物联网终端是否对外发起分布式拒绝服务攻击的步骤,包括:
判断所述网页请求访问次数是否超出预设次数;如果是,确定所述目标物联网终端对外发起分布式拒绝服务攻击。
5.根据权利要求4所述的方法,其特征在于,所述对外请求信息为登录请求信息,所述登录请求信息包括所述目标物联网终端在预设时间内对同一个服务端IP发起的请求登录次数;所述根据所述对外请求信息判断所述目标物联网终端是否受到恶意控制的步骤,包括:
判断所述请求登录次数是否超出所述预设次数,如果是,确定所述目标物联网终端受到恶意控制。
6.根据权利要求5所述的方法,其特征在于,所述对外请求信息为域名请求信息;所述根据所述对外请求信息判断所述目标物联网终端是否受到恶意控制的步骤,包括:
将所述域名请求信息中的域名信息与预设数据库中的黑名单进行比对,获得所述域名信息的标签;
如果所述域名信息的标签为远控木马的c&c服务器,确定所述目标物联网终端受到恶意控制。
7.根据权利要求6所述的方法,其特征在于,所述对外请求信息包括文件下载请求信息、网页访问请求信息、登录请求信息和域名请求信息;
所述根据所述对外请求信息判断所述目标物联网终端是否受到恶意控制的步骤,包括:
如果所述对外请求信息同时满足:所述目标物联网终端请求下载的文件为恶意文件、所述网页请求访问次数超出所述预设次数、所述请求登录次数超出所述预设次数及所述域名信息的标签为远控木马的c&c服务器,确定所述目标物联网终端受到恶意控制。
8.一种物联网终端的异常状态识别装置,其特征在于,包括:
信息获取模块,用于获取目标物联网终端的对外请求信息;所述对外请求信息包括文件下载请求信息、网页访问请求信息、登录请求信息和域名请求信息中的任意一种或多种;
异常确定模块,用于根据所述对外请求信息判断所述目标物联网终端是否受到恶意控制,如果是,确定所述目标物联网终端为异常状态。
9.一种电子设备,包括存储器、处理器,所述存储器中存储有可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现上述权利要求1-7任一项所述的方法。
10.一种计算机可读介质,其特征在于,所述计算机可读介质存储有计算机可执行指令,所述计算机可执行指令在被处理器调用和执行时,所述计算机可执行指令促使所述处理器实现权利要求1-7任一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911109881.XA CN110830487A (zh) | 2019-11-13 | 2019-11-13 | 物联网终端的异常状态识别方法、装置及电子设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911109881.XA CN110830487A (zh) | 2019-11-13 | 2019-11-13 | 物联网终端的异常状态识别方法、装置及电子设备 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN110830487A true CN110830487A (zh) | 2020-02-21 |
Family
ID=69554880
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201911109881.XA Pending CN110830487A (zh) | 2019-11-13 | 2019-11-13 | 物联网终端的异常状态识别方法、装置及电子设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110830487A (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111447115A (zh) * | 2020-03-25 | 2020-07-24 | 北京瑞航核心科技有限公司 | 一种物联网实体的状态监测方法 |
| CN111814909A (zh) * | 2020-08-06 | 2020-10-23 | 蔡淦祺 | 基于网络直播和在线电商带货的信息处理方法及云服务器 |
| CN113778832A (zh) * | 2021-09-28 | 2021-12-10 | 京东方科技集团股份有限公司 | 设备信息处理方法及装置、可读存储介质、电子设备 |
| CN113810486A (zh) * | 2021-09-13 | 2021-12-17 | 珠海格力电器股份有限公司 | 物联网平台对接方法、装置、电子设备及存储介质 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106790149A (zh) * | 2016-12-28 | 2017-05-31 | 北京安天网络安全技术有限公司 | 一种防御IoT设备遭受入侵的方法及系统 |
| US20180091526A1 (en) * | 2016-09-23 | 2018-03-29 | Qualcomm Incorporated | MITIGATING AN INTERNET OF THINGS (IoT) WORM |
| CN109413091A (zh) * | 2018-11-20 | 2019-03-01 | 中国联合网络通信集团有限公司 | 一种基于物联网终端的网络安全监控方法和装置 |
| CN110113350A (zh) * | 2019-05-15 | 2019-08-09 | 四川长虹电器股份有限公司 | 一种物联网系统安全威胁监测与防御系统及方法 |
| CN110247934A (zh) * | 2019-07-15 | 2019-09-17 | 杭州安恒信息技术股份有限公司 | 物联网终端异常检测与响应的方法与系统 |
-
2019
- 2019-11-13 CN CN201911109881.XA patent/CN110830487A/zh active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20180091526A1 (en) * | 2016-09-23 | 2018-03-29 | Qualcomm Incorporated | MITIGATING AN INTERNET OF THINGS (IoT) WORM |
| CN106790149A (zh) * | 2016-12-28 | 2017-05-31 | 北京安天网络安全技术有限公司 | 一种防御IoT设备遭受入侵的方法及系统 |
| CN109413091A (zh) * | 2018-11-20 | 2019-03-01 | 中国联合网络通信集团有限公司 | 一种基于物联网终端的网络安全监控方法和装置 |
| CN110113350A (zh) * | 2019-05-15 | 2019-08-09 | 四川长虹电器股份有限公司 | 一种物联网系统安全威胁监测与防御系统及方法 |
| CN110247934A (zh) * | 2019-07-15 | 2019-09-17 | 杭州安恒信息技术股份有限公司 | 物联网终端异常检测与响应的方法与系统 |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111447115A (zh) * | 2020-03-25 | 2020-07-24 | 北京瑞航核心科技有限公司 | 一种物联网实体的状态监测方法 |
| CN111447115B (zh) * | 2020-03-25 | 2021-08-27 | 北京奥陌科技有限公司 | 一种物联网实体的状态监测方法 |
| CN111814909A (zh) * | 2020-08-06 | 2020-10-23 | 蔡淦祺 | 基于网络直播和在线电商带货的信息处理方法及云服务器 |
| CN111814909B (zh) * | 2020-08-06 | 2021-07-06 | 广州蜜妆信息科技有限公司 | 基于网络直播和在线电商带货的信息处理方法及云服务器 |
| CN113810486A (zh) * | 2021-09-13 | 2021-12-17 | 珠海格力电器股份有限公司 | 物联网平台对接方法、装置、电子设备及存储介质 |
| CN113778832A (zh) * | 2021-09-28 | 2021-12-10 | 京东方科技集团股份有限公司 | 设备信息处理方法及装置、可读存储介质、电子设备 |
| CN113778832B (zh) * | 2021-09-28 | 2024-05-14 | 京东方科技集团股份有限公司 | 设备信息处理方法及装置、可读存储介质、电子设备 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110830487A (zh) | 物联网终端的异常状态识别方法、装置及电子设备 | |
| CN109600363B (zh) | 一种物联网终端网络画像及异常网络访问行为检测方法 | |
| US10855700B1 (en) | Post-intrusion detection of cyber-attacks during lateral movement within networks | |
| US10277614B2 (en) | Information processing apparatus, method for determining activity and computer-readable medium | |
| CN110247934B (zh) | 物联网终端异常检测与响应的方法与系统 | |
| CN105099821B (zh) | 基于云的虚拟环境下流量监控的方法和装置 | |
| CN111010409B (zh) | 加密攻击网络流量检测方法 | |
| CN110808994B (zh) | 暴力破解操作的检测方法、装置及服务器 | |
| CN104135474B (zh) | 基于主机出入度的网络异常行为检测方法 | |
| US20160366171A1 (en) | Extraction criterion determination method, communication monitoring system, extraction criterion determination apparatus and extraction criterion determination program | |
| CN115147956B (zh) | 数据处理方法、装置、电子设备及存储介质 | |
| CN111277561B (zh) | 网络攻击路径预测方法、装置及安全管理平台 | |
| JP2018026747A (ja) | 攻撃検知装置、攻撃検知システムおよび攻撃検知方法 | |
| JP6470201B2 (ja) | 攻撃検知装置、攻撃検知システムおよび攻撃検知方法 | |
| US20190116103A1 (en) | System and method for botnet identification | |
| US10757118B2 (en) | Method of aiding the detection of infection of a terminal by malware | |
| CN109040137B (zh) | 用于检测中间人攻击的方法、装置以及电子设备 | |
| CN104219219A (zh) | 一种数据处理的方法、服务器及系统 | |
| CN113630417B (zh) | 基于waf的数据发送方法、装置、电子装置和存储介质 | |
| JP6497782B2 (ja) | 試験装置、試験方法および試験プログラム | |
| CN112532617B (zh) | 一种针对HTTP Flood攻击的检测方法、装置、设备及介质 | |
| CN114374838A (zh) | 一种网络摄像头监测方法、装置、设备及介质 | |
| US9049170B2 (en) | Building filter through utilization of automated generation of regular expression | |
| US10454965B1 (en) | Detecting network packet injection | |
| CN114726559B (zh) | 一种url检测方法、系统、设备及计算机可读存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20200221 |
|
| RJ01 | Rejection of invention patent application after publication |