CN111355712A - 一种适用于mqtt的安全防护方法及系统 - Google Patents
一种适用于mqtt的安全防护方法及系统 Download PDFInfo
- Publication number
- CN111355712A CN111355712A CN202010104041.0A CN202010104041A CN111355712A CN 111355712 A CN111355712 A CN 111355712A CN 202010104041 A CN202010104041 A CN 202010104041A CN 111355712 A CN111355712 A CN 111355712A
- Authority
- CN
- China
- Prior art keywords
- mqtt
- gateway node
- protection
- data processing
- statistics
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0281—Proxies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
Abstract
本申请公开了一种适用于mqtt的安全防护方法,包括:为mqtt网关节点增加代理,所述代理用于数据处理;发送防护规则至所述mqtt网关节点,所述mqtt网关节点根据所述防护规则防护;抽取所述代理的数据处理情况数据。与现有技术相比,本申请具有如下有益效果:在百万qps的mqtt集群上做安全防护,实现数据清洗。对异常链接进行拦截;对异常IP进行拦截;对拦截事件生成报警;可以动态的调整全集群的拦截和清洗策略;对拦截事件智能学习,自动分析攻击特性及领域,并提示安全人员调整安全策略。
Description
技术领域
本申请涉及网络安全领域,具体而言,涉及一种适用于mqtt的安全防护方法。
背景技术
在网络安全领域,所有进入服务器的数据都有恶意攻击服务器的可能,但是mqtt(消息队列遥测传输)是长链接服务,现有技术中没有对长链接内容的清洗方法,且没有对mqtt的内容清洗方法。
发明内容
本申请的主要目的在于提供一种适用于mqtt的安全防护方法,包括:
为mqtt网关节点增加代理,所述代理用于数据处理;
发送防护规则至所述mqtt网关节点,所述mqtt网关节点根据所述防护规则防护;
抽取所述代理的数据处理情况数据。
可选地,所述数据处理包括:内容拦截、内容清洗、命中统计,链接统计及消息发送统计。
可选地,部署安全防护管理程序,所述安全防护管理程序发送防护规则至所述mqtt网关节点,并抽取所述mqtt网关节点的命中内容及次数,链接次数及消息发送次数。
可选地,所述安全防护管理程序定时抽取所述mqtt网关节点的所述命中内容及次数,所述链接次数,所述消息发送次数。
可选地,所述安全防护管理程序对所述命中内容进行汇总统计分析。
根据本申请的另一个方面,还提供了一种适用于mqtt的安全防护系统,包括:
代理模块,连接mqtt网关节点,所述代理模块用于数据处理;
发送模块,用于发送防护规则至所述mqtt网关节点,所述mqtt网关节点根据所述防护规则防护;
抽取模块,用于抽取所述代理的数据处理情况数据。
可选地,所述数据处理包括:内容拦截、内容清洗、命中统计,链接统计及消息发送统计。
本申请还公开了一种计算机设备,包括存储器、处理器和存储在所述存储器内并能由所述处理器运行的计算机程序,所述处理器执行所述计算机程序时实现上述任一项所述的方法。
本申请还公开了一种计算机可读存储介质,非易失性可读存储介质,其内存储有计算机程序,所述计算机程序在由处理器执行时实现上述任一项所述的方法。
本申请还公开了一种计算机程序产品,包括计算机可读代码,当所述计算机可读代码由计算机设备执行时,导致所述计算机设备执行上述任一项所述的方法。
与现有技术相比,本申请具有如下有益效果:
在百万qps的mqtt集群上做安全防护,实现数据清洗;
对异常链接进行拦截;
对异常IP进行拦截;
对拦截事件生成报警;
可以动态的调整全集群的拦截和清洗策略;
对拦截事件智能学习,自动分析攻击特性及领域,并提示安全人员调整安全策略。
附图说明
构成本申请的一部分的附图用来提供对本申请的进一步理解,使得本申请的其它特征、目的和有益效果变得更明显。本申请的示意性实施例附图及其说明用于解释本申请,并不构成对本申请的不当限定。在附图中:
图1是根据本申请一个实施例的适用于mqtt的安全防护方法的流程示意图;
图2是根据本申请一个实施例的系统示意图;
图3是根据本申请一个实施例的计算机设备的示意图;以及
图4是根据本申请一个实施例的计算机可读存储介质的示意图。
具体实施方式
为了使本技术领域的人员更好地理解本申请方案,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分的实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本申请保护的范围。
需要说明的是,本申请的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本申请的实施例。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。下面将参考附图并结合实施例来详细说明本申请。
请参照图1-图2,本申请一实施例提供了一种适用于mqtt的安全防护方法,包括:
S2:为mqtt网关节点增加代理,所述代理用于数据处理;
S4:发送防护规则至所述mqtt网关节点,所述mqtt网关节点根据所述防护规则防护;
S6:抽取所述代理的数据处理情况数据。
例如,1为每个mqtt网关节点增加一个agent,负责数据处理。2.然后对agent分发防护规则,并抽取各节点上的命中内容及次数,链接次数,消息发送次数,并对命中内容进行汇总统计分析。
在本申请一实施例中,所述数据处理包括:内容拦截、内容清洗、命中统计,链接统计及消息发送统计。
例如,1.为每个mqtt网关节点增加一个agent,负责内容拦截,内容清洗,命中统计,链接统计,消息发送统计。2.然后对agent分发防护规则,并抽取各节点上的命中内容及次数,链接次数,消息发送次数,并对命中内容进行汇总统计分析。
在本申请一实施例中,部署安全防护管理程序,所述安全防护管理程序发送防护规则至所述mqtt网关节点,并抽取所述mqtt网关节点的命中内容及次数,链接次数及消息发送次数。
例如,1.为每个mqtt网关节点增加一个agent,负责内容拦截,内容清洗,命中统计,链接统计,消息发送统计。2.部署一个安全防护管理程序,然后对agent分发防护规则,并抽取各节点上的命中内容及次数,链接次数,消息发送次数,并对命中内容进行汇总统计分析。
在本申请一实施例中,所述安全防护管理程序定时抽取所述mqtt网关节点的所述命中内容及次数,所述链接次数,所述消息发送次数。
例如,1.为每个mqtt网关节点增加一个agent,负责内容拦截,内容清洗,命中统计,链接统计,消息发送统计。2.部署一个安全防护管理程序,负责对agent分发防护规则,并定时各节点上的命中内容及次数,链接次数,消息发送次数。
在本申请一实施例中,所述安全防护管理程序对所述命中内容进行汇总统计分析。
例如,1.为每个mqtt网关节点增加一个agent,负责内容拦截,内容清洗,命中统计,链接统计,消息发送统计。2.部署一个安全防护管理程序,负责对agent分发防护规则,并定时抽取各节点上的命中内容及次数,链接次数,消息发送次数,并对命中内容进行汇总统计分析。
本申请一实施例还提供了一种适用于mqtt的安全防护系统,包括:
代理模块,连接mqtt网关节点,所述代理模块用于数据处理;
发送模块,用于发送防护规则至所述mqtt网关节点,所述mqtt网关节点根据所述防护规则防护;
抽取模块,用于抽取所述代理的数据处理情况数据。
与现有技术相比,本身申请具有如下有益效果:
1.mqtt单点及集群的内容清洗和链接保护方案,可以同时对消息内容,链接频率,发送频率进行清洗和保护
2.在百万qps中定期抽取各个agent上一定数量的命中数据样本
3.对命中数据进行汇总,进行报警,自动拦截,智能分析攻击特性和攻击领域,提示给安全人员调整清洗策略
在百万qps的mqtt集群上做安全防护,实现数据清洗;
对异常链接进行拦截;
对异常IP进行拦截;
对拦截事件生成报警;
可以动态的调整全集群的拦截和清洗策略;
对拦截事件智能学习,自动分析攻击特性及领域,并提示安全人员调整安全策略。
请参照图3,本申请还提供了一种计算机设备,包括存储器、处理器和存储在所述存储器内并能由所述处理器运行的计算机程序,所述处理器执行所述计算机程序时实现上述任一项所述的方法。
请参照图4,一种计算机可读存储介质,非易失性可读存储介质,其内存储有计算机程序,所述计算机程序在由处理器执行时实现上述任一项所述的方法。
一种计算机程序产品,包括计算机可读代码,当所述计算机可读代码由计算机设备执行时,导致所述计算机设备执行上述任一项所述的方法。
显然,本领域的技术人员应该明白,上述的本发明的各模块或各步骤可以用通用的计算装置来实现,它们可以集中在单个的计算装置上,或者分布在多个计算装置所组成的网络上,可选地,它们可以用计算装置可执行的程序代码来实现,从而,可以将它们存储在存储装置中由计算装置来执行,或者将它们分别制作成各个集成电路模块,或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。这样,本发明不限制于任何特定的硬件和软件结合。
以上所述仅为本申请的优选实施例而已,并不用于限制本申请,对于本领域的技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本申请的保护范围之内。
Claims (10)
1.一种适用于mqtt的安全防护方法,其特征在于,包括:
为mqtt网关节点增加代理,所述代理用于数据处理;
发送防护规则至所述mqtt网关节点,所述mqtt网关节点根据所述防护规则防护;
抽取所述代理的数据处理情况数据。
2.根据权利要求1所述的适用于mqtt的安全防护方法,其特征在于,所述数据处理包括:内容拦截、内容清洗、命中统计,链接统计及消息发送统计。
3.根据权利要求2所述的适用于mqtt的安全防护方法,其特征在于,部署安全防护管理程序,所述安全防护管理程序发送防护规则至所述mqtt网关节点,并抽取所述mqtt网关节点的命中内容及次数,链接次数及消息发送次数。
4.根据权利要求3所述的适用于mqtt的安全防护方法,其特征在于,所述安全防护管理程序定时抽取所述mqtt网关节点的所述命中内容及次数,所述链接次数,所述消息发送次数。
5.根据权利要求4所述的适用于mqtt的安全防护方法,其特征在于,所述安全防护管理程序对所述命中内容进行汇总统计分析。
6.一种适用于mqtt的安全防护系统,其特征在于,包括:
代理模块,连接mqtt网关节点,所述代理模块用于数据处理;
发送模块,用于发送防护规则至所述mqtt网关节点,所述mqtt网关节点根据所述防护规则防护;
抽取模块,用于抽取所述代理的数据处理情况数据。
7.根据权利要求6所述的适用于mqtt的安全防护系统,其特征在于,所述数据处理包括:内容拦截、内容清洗、命中统计,链接统计及消息发送统计。
8.一种计算机设备,包括存储器、处理器和存储在所述存储器内并能由所述处理器运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现如权利要求1-5中任一项所述的方法。
9.一种计算机可读存储介质,非易失性可读存储介质,其内存储有计算机程序,其特征在于,所述计算机程序在由处理器执行时实现如权利要求1-5中任一项所述的方法。
10.一种计算机程序产品,包括计算机可读代码,其特征在于,当所述计算机可读代码由计算机设备执行时,导致所述计算机设备执行权利要求1-5中任一项所述的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010104041.0A CN111355712A (zh) | 2020-02-20 | 2020-02-20 | 一种适用于mqtt的安全防护方法及系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010104041.0A CN111355712A (zh) | 2020-02-20 | 2020-02-20 | 一种适用于mqtt的安全防护方法及系统 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN111355712A true CN111355712A (zh) | 2020-06-30 |
Family
ID=71194031
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202010104041.0A Pending CN111355712A (zh) | 2020-02-20 | 2020-02-20 | 一种适用于mqtt的安全防护方法及系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN111355712A (zh) |
Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20160149860A1 (en) * | 2014-11-25 | 2016-05-26 | International Business Machines Corporation | Secure data redaction and masking in intercepted data interactions |
CN108809970A (zh) * | 2018-05-29 | 2018-11-13 | 华南理工大学 | 一种智能家居安全网关的安全防护方法 |
CN109271783A (zh) * | 2018-09-20 | 2019-01-25 | 珠海市君天电子科技有限公司 | 一种病毒拦截方法、装置及电子设备 |
CN109684082A (zh) * | 2018-12-11 | 2019-04-26 | 中科恒运股份有限公司 | 基于规则算法的数据清洗方法及系统 |
CN109887242A (zh) * | 2019-01-16 | 2019-06-14 | 珠海优特电力科技股份有限公司 | 向用户终端发送告警信息方法、装置、系统 |
CN110222091A (zh) * | 2019-06-10 | 2019-09-10 | 帷幄匠心科技(杭州)有限公司 | 一种海量数据实时统计分析方法 |
CN110445770A (zh) * | 2019-07-18 | 2019-11-12 | 平安科技(深圳)有限公司 | 网络攻击源定位及防护方法、电子设备及计算机存储介质 |
-
2020
- 2020-02-20 CN CN202010104041.0A patent/CN111355712A/zh active Pending
Patent Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20160149860A1 (en) * | 2014-11-25 | 2016-05-26 | International Business Machines Corporation | Secure data redaction and masking in intercepted data interactions |
CN108809970A (zh) * | 2018-05-29 | 2018-11-13 | 华南理工大学 | 一种智能家居安全网关的安全防护方法 |
CN109271783A (zh) * | 2018-09-20 | 2019-01-25 | 珠海市君天电子科技有限公司 | 一种病毒拦截方法、装置及电子设备 |
CN109684082A (zh) * | 2018-12-11 | 2019-04-26 | 中科恒运股份有限公司 | 基于规则算法的数据清洗方法及系统 |
CN109887242A (zh) * | 2019-01-16 | 2019-06-14 | 珠海优特电力科技股份有限公司 | 向用户终端发送告警信息方法、装置、系统 |
CN110222091A (zh) * | 2019-06-10 | 2019-09-10 | 帷幄匠心科技(杭州)有限公司 | 一种海量数据实时统计分析方法 |
CN110445770A (zh) * | 2019-07-18 | 2019-11-12 | 平安科技(深圳)有限公司 | 网络攻击源定位及防护方法、电子设备及计算机存储介质 |
Non-Patent Citations (1)
Title |
---|
贾凡等: "基于MQTT的工业物联网通信系统研究与实现", 《智能科学与技术学报》 * |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US8713682B2 (en) | Dynamic learning method and adaptive normal behavior profile (NBP) architecture for providing fast protection of enterprise applications | |
CN106534114B (zh) | 基于大数据分析的防恶意攻击系统 | |
US9565203B2 (en) | Systems and methods for detection of anomalous network behavior | |
US9621589B2 (en) | Dynamic provisioning of protection software in a host intrusion prevention system | |
US7483972B2 (en) | Network security monitoring system | |
CN111181926B (zh) | 一种基于拟态防御思想的安全设备及其运行方法 | |
CN105915532B (zh) | 一种失陷主机的识别方法及装置 | |
US20090106842A1 (en) | System for Regulating Host Security Configuration | |
CN108701187A (zh) | 混合硬件软件分布式威胁分析 | |
CN109413109A (zh) | 基于有限状态机的面向天地一体化网络安全状态分析方法 | |
CN109462599A (zh) | 一种蜜罐管理系统 | |
Hodo et al. | Anomaly detection for simulated iec-60870-5-104 trafiic | |
CN106656537A (zh) | 一种it集群系统监控方法、装置、终端及系统 | |
CN105959290A (zh) | 攻击报文的检测方法及装置 | |
CN107277080A (zh) | 一种基于安全即服务的互联网风险管理方法及系统 | |
CN106570400A (zh) | 一种云环境下通过自学习防攻击的系统及方法 | |
CN114531273A (zh) | 一种防御工业网络系统分布式拒绝服务攻击的方法 | |
CN103561003A (zh) | 一种基于蜜网的协同式主动防御方法 | |
EP3278536B1 (en) | Network control with central analysis of network-data | |
CN107360198A (zh) | 可疑域名检测方法及系统 | |
CN111355712A (zh) | 一种适用于mqtt的安全防护方法及系统 | |
CN106789335A (zh) | 一种用于处理信息的方法和系统 | |
CN115208678A (zh) | 一种智能网络安全防护方法、系统、设备及介质 | |
CN104202297A (zh) | 一种动态地适应服务器性能的防攻击方法和设备 | |
CN106603335A (zh) | 私有软件流量监控方法和设备 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20200630 |