CN110830494A - 一种iot攻击防御方法、装置及电子设备和存储介质 - Google Patents

Abstract

本申请公开了一种IOT攻击防御方法、装置及一种电子设备和计算机可读存储介质，该方法包括：当接收到网络连接时，确定所述网络连接的源IP地址；利用IOT设备指纹库判断所述源IP地址是否为IOT设备的地址；若是，则阻断所述网络连接；若否，则放行所述网络连接。由于IOT设备通常不会主动对外发起连接，只有在被攻击感染的情况下才可能发起对外连接。因此，本申请提供的IOT攻击防御方法，当通过网关设备的网络连接的源IP地址为IOT设备的地址时，阻断该网络连接。由此可见，本申请提供的IOT攻击防御方法，可以发现和阻断从外部来的IOT设备的流量，以防御通过IOT设备发起的攻击。

Description

一种IOT攻击防御方法、装置及电子设备和存储介质

技术领域

本申请涉及网络技术领域，更具体地说，涉及一种IOT攻击防御方法、装置及一种电子设备和一种计算机可读存储介质。

背景技术

随着IOT(中文全称：物联网，英文全称：Internet of Things)设备越来越广泛的部署，攻击者利用被攻陷的IOT设备再进行攻击的案例越来越多。在相关技术中，网关设备通常使用规则特征库对从外部来的流量攻击进行防御，对于尚未开发出规则的新型攻击或者难以以规则方式表达的攻击方式防御效果有限。

因此，如何防御通过IOT设备发起的攻击是本领域技术人员需要解决的技术问题。

发明内容

本申请的目的在于提供一种IOT攻击防御方法、装置及一种电子设备和一种计算机可读存储介质，能够防御通过IOT设备发起的攻击。

为实现上述目的，本申请提供了一种IOT攻击防御方法，包括：

当接收到网络连接时，确定所述网络连接的源IP地址；

利用IOT设备指纹库判断所述源IP地址是否为IOT设备的地址；

若是，则阻断所述网络连接；

若否，则放行所述网络连接。

其中，所述利用IOT设备指纹库判断所述源IP地址是否为IOT设备的地址，包括：

向所述源IP地址发送请求包，以便获取所述源IP地址对应的设备的设备信息；

判断所述设备信息是否匹配到所述IOT设备指纹库；

若是，则判定所述源IP地址为IOT设备的地址；

若否，则判定所述源IP地址为非IOT设备的地址。

其中，所述利用IOT设备指纹库判断所述源IP地址是否为IOT设备的地址之前，还包括：

将所述源IP地址与IOT设备IP库和/或非IOT设备IP库进行匹配；

若所述源IP地址匹配到所述IOT设备IP库，则阻断所述网络连接；

若所述源IP地址匹配到所述非IOT设备IP库，则放行所述网络连接；

若所述源IP地址与所述IOT设备IP库和所述非IOT设备IP库均未匹配到，则执行所述利用IOT设备指纹库判断所述源IP地址是否为IOT设备的地址的步骤。

其中，所述判定所述源IP地址为IOT设备的地址之后，还包括：

将所述源IP地址添加至所述IOT设备IP库中；

所述判定所述源IP地址为非IOT设备的地址之后，还包括：

将所述源IP地址添加至所述非IOT设备IP库中。

其中，利用IOT设备指纹库判断所述源IP地址是否为IOT设备的地址之前，还包括：

判断所述源IP地址是否匹配到白名单库；

若是，则放行所述网络连接；

若否，则执行所述利用IOT设备指纹库判断所述源IP地址是否为IOT设备的地址的步骤。

为实现上述目的，本申请提供了一种IOT攻击防御装置，包括：

确定模块，用于当接收到网络连接时，确定所述网络连接的源IP地址；

第一判断模块，用于利用IOT设备指纹库判断所述源IP地址是否为IOT设备的地址；若是，则启动阻断模块的工作流程；若否，则启动放行模块的工作流程；

所述阻断模块，用于阻断所述网络连接；

所述放行模块，用于放行所述网络连接。

其中，还包括：

匹配模块，用于将所述源IP地址与IOT设备IP库和/或非IOT设备IP库进行匹配；若所述源IP地址匹配到所述IOT设备IP库，则启动所述阻断模块的工作流程；若所述源IP地址匹配到所述非IOT设备IP库，则启动所述放行模块的工作流程；若所述源IP地址与所述IOT设备IP库和所述非IOT设备IP库均未匹配到，则启动所述第一判断模块的工作流程。

其中，还包括：

第二判断模块，用于判断所述源IP地址是否匹配到白名单库；若是，则启动所述放行模块的工作流程；若否，则启动所述第一判断模块的工作流程。

为实现上述目的，本申请提供了一种电子设备，包括：

存储器，用于存储计算机程序；

处理器，用于执行所述计算机程序时实现如上述IOT攻击防御方法的步骤。

为实现上述目的，本申请提供了一种计算机可读存储介质，所述计算机可读存储介质上存储有计算机程序，所述计算机程序被处理器执行时实现如上述IOT攻击防御方法的步骤。

通过以上方案可知，本申请提供的一种IOT攻击防御方法，包括：当接收到网络连接时，确定所述网络连接的源IP地址；利用IOT设备指纹库判断所述源IP地址是否为IOT设备的地址；若是，则阻断所述网络连接；若否，则放行所述网络连接。

由于IOT设备通常不会主动对外发起连接，只有在被攻击感染的情况下才可能发起对外连接。因此，本申请提供的IOT攻击防御方法，当通过网关设备的网络连接的源IP地址为IOT设备的地址时，阻断该网络连接。由此可见，本申请提供的IOT攻击防御方法，可以发现和阻断从外部来的IOT设备的流量，以防御通过IOT设备发起的攻击。本申请还公开了一种IOT攻击防御装置及一种电子设备和一种计算机可读存储介质，同样能实现上述技术效果。

应当理解的是，以上的一般描述和后文的细节描述仅是示例性的，并不能限制本申请。

附图说明

为了更清楚地说明本申请实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本申请的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。附图是用来提供对本公开的进一步理解，并且构成说明书的一部分，与下面的具体实施方式一起用于解释本公开，但并不构成对本公开的限制。在附图中：

图1为根据一示例性实施例示出的一种IOT攻击防御方法的流程图；

图2为根据一示例性实施例示出的另一种IOT攻击防御方法的流程图；

图3为根据一示例性实施例示出的又一种IOT攻击防御方法的流程图；

图4为根据一示例性实施例示出的一种IOT攻击防御装置的结构图；

图5为根据一示例性实施例示出的一种电子设备的结构图。

具体实施方式

下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本申请一部分实施例，而不是全部的实施例。基于本申请中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本申请保护的范围。

本申请实施例公开了一种IOT攻击防御方法，能够防御通过IOT设备发起的攻击。

参见图1，根据一示例性实施例示出的一种IOT攻击防御方法的流程图，如图1所示，包括：

S101：当接收到网络连接时，确定所述网络连接的源IP地址；

本实施例的执行主体为网关设备，当网络主动连接流量通过该网关设备时，即网关设备接收到网络连接时，识别该网络连接的源IP地址，以便后续步骤对其进行识别，当该源IP地址为异常IOT设备的地址时阻断网络连接。

S102：利用IOT设备指纹库判断所述源IP地址是否为IOT设备的地址；若是，则进入S103；若否，则进入S104；

在具体实施中，IOT设备指纹库包含IOT设备的设备信息的指纹，用来识别给定IP地址是否为IOT设备的地址，该IOT设备指纹库需要定期补充更新以确保其中指纹的及时性和有效性。

网关设备可以向源IP地址发送请求包以获取该源IP地址对应的设备的设备信息，当IOT设备指纹库中存在该设备信息时，说明该源IP地址为IOT设备的地址，否则说明该源IP地址为非IOT设备的地址。即本步骤可以包括：向所述源IP地址发送请求包，以便获取所述源IP地址对应的设备的设备信息；判断所述设备信息是否匹配到所述IOT设备指纹库；若是，则判定所述源IP地址为IOT设备的地址；若否，则判定所述源IP地址为非IOT设备的地址。

当IOT设备指纹库识别到源IP地址为IOT设备的地址时，认为时IOT设备发起的主动连接，可能是IOT设备发起的攻击，标记异常并阻断该网络连接，否则认为该网络连接不是IOT设备发起的连接请求，放行该网络连接。

S103：阻断所述网络连接；

S104：放行所述网络连接。

由于IOT设备通常不会主动对外发起连接，只有在被攻击感染的情况下才可能发起对外连接。因此，本申请实施例提供的IOT攻击防御方法，当通过网关设备的网络连接的源IP地址为IOT设备的地址时，阻断该网络连接。由此可见，本申请实施例提供的IOT攻击防御方法，可以发现和阻断从外部来的IOT设备的流量，以防御通过IOT设备发起的攻击。

本申请实施例公开了一种IOT攻击防御方法，相对于上一实施例，本实施例对技术方案作了进一步的说明和优化。具体的：

参见图2，根据一示例性实施例示出的另一种IOT攻击防御方法的流程图，如图2所示，包括：

S201：当接收到网络连接时，确定所述网络连接的源IP地址；

S202：判断所述源IP地址是否与IOT设备IP库匹配；若匹配到，则进入S205；若未匹配到，则进入S203；

S203：判断所述源IP地址是否与非IOT设备IP库匹配；若匹配到，则进入S206；若未匹配到，则进入S204；

在本实施例中，建立IOT设备IP库和非IOT设备IP库，与上一实施例中的IOT设备指纹库相似，需要定期补充更新以确保其中指纹的及时性和有效性。若源IP地址存在于IOT设备IP库中，则认为是IOT设备发起的主动连接，可能是IOT设备发起的攻击，标记异常并阻断该网络连接。若源IP地址存在于非IOT设备IP库中，则认为该网络连接不是IOT设备发起的连接请求，放行该网络连接。若源IP地址与IOT设备IP库和非IOT设备IP库均不匹配，则利用IOT设备指纹库判断其是否为IOT设备的地址。

S204：利用所述IOT设备指纹库判断所述源IP地址是否为IOT设备的地址；若是，则进入S205；若否，则进入S206；

可以理解的是，IOT设备IP库和非IOT设备IP库可以在网关设备的使用过程中进行连接。也就是说，在本步骤中，若IOT设备指纹库判断源IP地址为IOT设备的地址，则将该源IP地址添加至IOT设备IP库中，若IOT设备指纹库判断源IP地址为非IOT设备的地址，则将该源IP地址添加至非IOT设备IP库中。

S205：阻断所述网络连接；

S206：放行所述网络连接。

由于大部分IOT设备不会主动发起对其他主机的网络连接，因此在本实施例中，搜集此类IOT设备地址作为IOT设备IP库，此IOT设备IP库可以使用IOT设备指纹库进行搜集并进行定期更新，同时也可以记录非IOT设备的IO地址形成非IOT设备IP库，此非IOT设备IP库也可以使用IOT设备指纹库进行搜集并进行定期更新。当经过网关设备的网络连接的源IP地址匹配到IOT设备IP库进行租到，以达到防御IOT设备攻击的目的。IOT设备IP库与非IOT设备IP库的构建，使得IOT设备指纹库无需对每个源IP地址进行指纹识别，提高了网络控制的效率。

本申请实施例公开了一种IOT攻击防御方法，相对于上一实施例，本实施例对技术方案作了进一步的说明和优化。具体的：

参见图3，根据一示例性实施例示出的又一种IOT攻击防御方法的流程图，如图3所示，包括：

S301：当接收到网络连接时，确定所述网络连接的源IP地址；

S302：判断所述源IP地址是否匹配到白名单库；若是，则进入S308；若否，则进入S303；

在具体实施中，由于使用网关设备的IOT设备可能需要访问网关防护网络中的主机，如IOT设备的服务器等。因此，需要设置这些IOT设备IP为白名单库。当经过网关设备的网络连接的源IP地址在该白名单库中时，认为该网络连接为非恶意连接，放行该网络连接，否则继续后续步骤以便判断该源IP地址是否为IOT设备的地址。

S303：判断所述源IP地址是否与IOT设备IP库匹配；若匹配到，则进入S307；若未匹配到，则进入S304；

S304：判断所述源IP地址是否与非IOT设备IP库匹配；若匹配到，则进入S308；若未匹配到，则进入S305；

S305：向所述源IP地址发送请求包，以便获取所述源IP地址对应的设备的设备信息；

S306：判断所述设备信息是否匹配到所述IOT设备指纹库；若是，则将所述源IP地址添加至所述IOT设备IP库中，并进入S307；若否，则将所述源IP地址添加至所述非IOT设备IP库中，并进入S308；

S307：阻断所述网络连接；

S308：放行所述网络连接。

由于大部分IOT设备除了少数特定连接的服务器地址外不会主动发起对其他主机的网络连接，因此在本实施例中，设置这些服务器地址为白名单库。当结构网管的外部连接的源IP地址在IOT设备IP库且不在白名单库中时，则识别该网络连接来自于异常的IOT设备并进行阻断，以此来对通过IOT设备发起的攻击进行防御。通过设置白名单库，可以避免对正常的IOT设备发起的网络连接进行阻断，提高网络控制的准确度。

下面对本申请实施例提供的一种IOT攻击防御装置进行介绍，下文描述的一种IOT攻击防御装置与上文描述的一种IOT攻击防御方法可以相互参照。

参见图4，根据一示例性实施例示出的一种IOT攻击防御装置的结构图，如图4所示，包括：

确定模块401，用于当接收到网络连接时，确定所述网络连接的源IP地址；

第一判断模块402，用于利用IOT设备指纹库判断所述源IP地址是否为IOT设备的地址；若是，则启动阻断模块403的工作流程；若否，则启动放行模块404的工作流程；

所述阻断模块403，用于阻断所述网络连接；

所述放行模块404，用于放行所述网络连接。

由于IOT设备除了少数特定连接的服务器地址外通常不会主动对外发起连接，只有在被攻击感染的情况下才可能发起对外连接。因此，本申请实施例提供的IOT攻击防御装置，当通过网关设备的网络连接的源IP地址为IOT设备的地址时，阻断该网络连接。由此可见，本申请实施例提供的IOT攻击防御装置，可以发现和阻断从外部来的IOT设备的流量，以防御通过IOT设备发起的攻击。

在上述实施例的基础上，作为一种优选实施方式，所述第一判断模块402包括：

发送单元，用于向所述源IP地址发送请求包，以便获取所述源IP地址对应的设备的设备信息；

判断单元，用于判断所述设备信息是否匹配到所述IOT设备指纹库；若是，则判定所述源IP地址为IOT设备的地址；若否，则判定所述源IP地址为非IOT设备的地址。

在上述实施例的基础上，作为一种优选实施方式，还包括：

匹配模块，用于将所述源IP地址与IOT设备IP库和/或非IOT设备IP库进行匹配；若所述源IP地址匹配到所述IOT设备IP库，则启动所述阻断模块403的工作流程；若所述源IP地址匹配到所述非IOT设备IP库，则启动所述放行模块404的工作流程；若所述源IP地址与所述IOT设备IP库和所述非IOT设备IP库均未匹配到，则启动所述第一判断模块402的工作流程。

在上述实施例的基础上，作为一种优选实施方式，还包括：

第二判断模块，用于判断所述源IP地址是否匹配到白名单库；若是，则启动所述放行模块的工作流程；若否，则启动所述第一判断模块的工作流程。

在上述实施例的基础上，作为一种优选实施方式，所述判断单元具体为判断所述设备信息是否匹配到所述IOT设备指纹库；若是，则判定所述源IP地址为IOT设备的地址，并将所述源IP地址添加至所述IOT设备IP库中；若否，则判定所述源IP地址为非IOT设备的地址，并将所述源IP地址添加至所述非IOT设备IP库中的单元。

关于上述实施例中的装置，其中各个模块执行操作的具体方式已经在有关该方法的实施例中进行了详细描述，此处将不做详细阐述说明。

本申请还提供了一种电子设备，参见图5，本申请实施例提供的一种电子设备500的结构图，如图5所示，可以包括处理器11和存储器12。该电子设备500还可以包括多媒体组件13，输入/输出(I/O)接口14，以及通信组件15中的一者或多者。

其中，处理器11用于控制该电子设备500的整体操作，以完成上述的IOT攻击防御方法中的全部或部分步骤。存储器12用于存储各种类型的数据以支持在该电子设备500的操作，这些数据例如可以包括用于在该电子设备500上操作的任何应用程序或方法的指令，以及应用程序相关的数据，例如联系人数据、收发的消息、图片、音频、视频等等。该存储器12可以由任何类型的易失性或非易失性存储设备或者它们的组合实现，例如静态随机存取存储器(Static Random Access Memory，简称SRAM)，电可擦除可编程只读存储器(Electrically Erasable Programmable Read-Only Memory，简称EEPROM)，可擦除可编程只读存储器(Erasable Programmable Read-Only Memory，简称EPROM)，可编程只读存储器(Programmable Read-Only Memory，简称PROM)，只读存储器(Read-Only Memory，简称ROM)，磁存储器，快闪存储器，磁盘或光盘。多媒体组件13可以包括屏幕和音频组件。其中屏幕例如可以是触摸屏，音频组件用于输出和/或输入音频信号。例如，音频组件可以包括一个麦克风，麦克风用于接收外部音频信号。所接收的音频信号可以被进一步存储在存储器12或通过通信组件15发送。音频组件还包括至少一个扬声器，用于输出音频信号。I/O接口14为处理器11和其他接口模块之间提供接口，上述其他接口模块可以是键盘，鼠标，按钮等。这些按钮可以是虚拟按钮或者实体按钮。通信组件15用于该电子设备500与其他设备之间进行有线或无线通信。无线通信，例如Wi-Fi，蓝牙，近场通信(Near FieldCommunication，简称NFC)，2G、3G或4G，或它们中的一种或几种的组合，因此相应的该通信组件15可以包括：Wi-Fi模块，蓝牙模块，NFC模块。

在一示例性实施例中，电子设备500可以被一个或多个应用专用集成电路(Application Specific Integrated Circuit，简称ASIC)、数字信号处理器(DigitalSignal Processor，简称DSP)、数字信号处理设备(Digital Signal Processing Device，简称DSPD)、可编程逻辑器件(Programmable Logic Device，简称PLD)、现场可编程门阵列(Field Programmable Gate Array，简称FPGA)、控制器、微控制器、微处理器或其他电子元件实现，用于执行上述的IOT攻击防御方法。

在另一示例性实施例中，还提供了一种包括程序指令的计算机可读存储介质，该程序指令被处理器执行时实现上述IOT攻击防御方法的步骤。例如，该计算机可读存储介质可以为上述包括程序指令的存储器12，上述程序指令可由电子设备500的处理器11执行以完成上述的IOT攻击防御方法。

说明书中各个实施例采用递进的方式描述，每个实施例重点说明的都是与其他实施例的不同之处，各个实施例之间相同相似部分互相参见即可。对于实施例公开的装置而言，由于其与实施例公开的方法相对应，所以描述的比较简单，相关之处参见方法部分说明即可。应当指出，对于本技术领域的普通技术人员来说，在不脱离本申请原理的前提下，还可以对本申请进行若干改进和修饰，这些改进和修饰也落入本申请权利要求的保护范围内。

还需要说明的是，在本说明书中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。

Claims (10)

1.一种IOT攻击防御方法，其特征在于，包括：

当接收到网络连接时，确定所述网络连接的源IP地址；

利用IOT设备指纹库判断所述源IP地址是否为IOT设备的地址；

若是，则阻断所述网络连接；

若否，则放行所述网络连接。

2.根据权利要求1所述IOT攻击防御方法，其特征在于，所述利用IOT设备指纹库判断所述源IP地址是否为IOT设备的地址，包括：

向所述源IP地址发送请求包，以便获取所述源IP地址对应的设备的设备信息；

判断所述设备信息是否匹配到所述IOT设备指纹库；

若是，则判定所述源IP地址为IOT设备的地址；

若否，则判定所述源IP地址为非IOT设备的地址。

3.根据权利要求1所述IOT攻击防御方法，其特征在于，所述利用IOT设备指纹库判断所述源IP地址是否为IOT设备的地址之前，还包括：

将所述源IP地址与IOT设备IP库和/或非IOT设备IP库进行匹配；

若所述源IP地址匹配到所述IOT设备IP库，则阻断所述网络连接；

若所述源IP地址匹配到所述非IOT设备IP库，则放行所述网络连接；

若所述源IP地址与所述IOT设备IP库和所述非IOT设备IP库均未匹配到，则执行所述利用IOT设备指纹库判断所述源IP地址是否为IOT设备的地址的步骤。

4.根据权利要求3所述IOT攻击防御方法，其特征在于，所述判定所述源IP地址为IOT设备的地址之后，还包括：

将所述源IP地址添加至所述IOT设备IP库中；

所述判定所述源IP地址为非IOT设备的地址之后，还包括：

将所述源IP地址添加至所述非IOT设备IP库中。

5.根据权利要求1至4中任一项所述IOT攻击防御方法，其特征在于，利用IOT设备指纹库判断所述源IP地址是否为IOT设备的地址之前，还包括：

判断所述源IP地址是否匹配到白名单库；

若是，则放行所述网络连接；

若否，则执行所述利用IOT设备指纹库判断所述源IP地址是否为IOT设备的地址的步骤。

6.一种IOT攻击防御装置，其特征在于，包括：

确定模块，用于当接收到网络连接时，确定所述网络连接的源IP地址；

第一判断模块，用于利用IOT设备指纹库判断所述源IP地址是否为IOT设备的地址；若是，则启动阻断模块的工作流程；若否，则启动放行模块的工作流程；

所述阻断模块，用于阻断所述网络连接；

所述放行模块，用于放行所述网络连接。

7.根据权利要求6所述IOT攻击防御装置，其特征在于，还包括：

匹配模块，用于将所述源IP地址与IOT设备IP库和/或非IOT设备IP库进行匹配；若所述源IP地址匹配到所述IOT设备IP库，则启动所述阻断模块的工作流程；若所述源IP地址匹配到所述非IOT设备IP库，则启动所述放行模块的工作流程；若所述源IP地址与所述IOT设备IP库和所述非IOT设备IP库均未匹配到，则启动所述第一判断模块的工作流程。

8.根据权利要求6或7所述IOT攻击防御方法，其特征在于，还包括：

第二判断模块，用于判断所述源IP地址是否匹配到白名单库；若是，则启动所述放行模块的工作流程；若否，则启动所述第一判断模块的工作流程。

9.一种电子设备，其特征在于，包括：

存储器，用于存储计算机程序；

处理器，用于执行所述计算机程序时实现如权利要求1至5任一项所述IOT攻击防御方法的步骤。

10.一种计算机可读存储介质，其特征在于，所述计算机可读存储介质上存储有计算机程序，所述计算机程序被处理器执行时实现如权利要求1至5任一项所述IOT攻击防御方法的步骤。

Images