CN111565390B - 一种基于设备画像的物联网设备风险控制方法及系统 - Google Patents
一种基于设备画像的物联网设备风险控制方法及系统 Download PDFInfo
- Publication number
- CN111565390B CN111565390B CN202010683976.9A CN202010683976A CN111565390B CN 111565390 B CN111565390 B CN 111565390B CN 202010683976 A CN202010683976 A CN 202010683976A CN 111565390 B CN111565390 B CN 111565390B
- Authority
- CN
- China
- Prior art keywords
- equipment
- behavior
- internet
- things
- access
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/60—Context-dependent security
- H04W12/68—Gesture-dependent or behaviour-dependent
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/009—Security arrangements; Authentication; Protecting privacy or anonymity specially adapted for networks, e.g. wireless sensor networks, ad-hoc networks, RFID networks or cloud networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/12—Detection or prevention of fraud
- H04W12/121—Wireless intrusion detection systems [WIDS]; Wireless intrusion prevention systems [WIPS]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Health & Medical Sciences (AREA)
- Life Sciences & Earth Sciences (AREA)
- Animal Behavior & Ethology (AREA)
- General Health & Medical Sciences (AREA)
- Human Computer Interaction (AREA)
- Social Psychology (AREA)
- Alarm Systems (AREA)
Abstract
本发明实施例公开了一种基于设备画像的物联网设备风险控制方法及系统,方法包括:识别接入物联网中的物联网设备,获取设备脆弱性信息,生成动态的设备资产台账;获取物联网设备间的流量数据及访问行为数据,根据流量数据及访问行为数据生成物联网设备的设备行为白模型,获取设备历史事件,根据设备行为白模型、设备历史事件及设备资产台账生成设备画像,根据设备画像生成行为安全基线;获取设备的网络行为,当设备的网络行为与行为安全基线的偏离程度满足预定条件时,进行预警操作。本发明以物联终端画像为核心,有针对性地防护物联网设备的安全问题,实现网络行为的可视化,提升分析网络安全问题的能力,帮助业务人员发现并诊断业务问题。
Description
技术领域
本发明涉及物联网技术领域,尤其涉及一种基于设备画像的物联网设备风险控制方法及系统。
背景技术
业务数字化、服务线上化浪潮已经席卷各行各业,尤其是物联网技术的广泛应用,这使社会生产效率更高、生活方式更加方便的同时,各领域的IT基础设施也更加复杂,网络规模化和外延性趋势更加明显。
物联感知层的设备是物联网应用系统的重要组成部分,具有种类杂、数量多、分布广、部署环境多样、安全功能受限等一系列特点,使其面临软硬件故障、通信异常、非授权访问或恶意控制等安全风险,直接影响了物联网信息系统的整体安全,这已经成为网络运营和管理者必须解决的难度。
因此现有技术还有待于进一步发展。
发明内容
针对上述技术问题,本发明实施例提供了一种基于设备画像的物联网设备风险控制方法及系统,能够解决现有技术中物联网设备的安全风险高,影响物联网信息系统的整体安全的技术问题。
本发明实施例的第一方面提供一种基于设备画像的物联网设备风险控制方法,包括:
识别接入物联网中的物联网设备,获取设备脆弱性信息,生成动态的设备资产台账;
获取物联网设备间的流量数据及访问行为数据,根据流量数据及访问行为数据生成物联网设备的设备行为白模型,所述设备行为白模型为设备的正常行为集合;
获取设备历史事件,根据设备行为白模型、设备历史事件及设备资产台账生成设备画像,根据设备画像生成行为安全基线;
获取设备的网络行为,将网络行为与行为安全基线进行对比;
当设备的网络行为与行为安全基线的偏离程度满足预定条件时,进行预警操作。
可选地,所述识别接入物联网中的物联网设备,获取设备脆弱性信息,生成动态的设备资产台账,包括:
通过主动扫描和网络流量解析识别接入物联网中的物联网设备,获取设备脆弱性信息,所述设备脆弱性信息包括设备弱口令、风险端口和风险漏洞;
根据识别结果生成动态的设备资产台账,所述设备资产台账包括设备类型、型号、IP地址、MAC地址和设备脆弱性信息。
可选地,所述获取物联网设备间的流量数据及访问数据;
运用MapReduce算法对物联网设备的流量数据和访问行为数据进行计算和处理,建立设备行为白模型,所述设备行为白模型为设备的正常行为集合,所述正常行为集合包括访问时间、访问频率、访问对象、连接方式、访问结果。
可选地,所述当设备的网络行为与行为安全基线的偏离程度满足预定条件时,进行预警操作,包括:
获取每类物联网设备的行为安全基线,根据行为安全基线计算设备的网络行为与行为安全基线的标准偏差;
根据标准偏差的数值来表征设备网络行为与行为安全基线的偏离程度值;
当偏离程度值达到预设的阈值时,进行预警操作。
可选地,所述进行预警操作,包括:
通过短信、邮件或监控大屏发送报警的方式进行预警。
本发明实施例第二方面提供了一种基于设备画像的物联网设备风险控制系统,所述系统包括:存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述计算机程序被所述处理器执行时实现以下步骤:
识别接入物联网中的物联网设备,获取设备脆弱性信息,生成动态的设备资产台账;
获取物联网设备间的流量数据及访问行为数据,根据流量数据及访问行为数据生成物联网设备的设备行为白模型,所述设备行为白模型为设备的正常行为集合;
获取设备历史事件,根据设备行为白模型、设备历史事件及设备资产台账生成设备画像,根据设备画像生成行为安全基线;
获取设备的网络行为,将网络行为与行为安全基线进行对比;
当设备的网络行为与行为安全基线的偏离程度满足预定条件时,进行预警操作。
可选地,所述计算机程序被所述处理器执行时还实现以下步骤:
通过主动扫描和网络流量解析识别接入物联网中的物联网设备,获取设备脆弱性信息,所述设备脆弱性信息包括设备弱口令、风险端口和风险漏洞;
根据识别结果生成动态的设备资产台账,所述设备资产台账包括设备类型、型号、IP地址、MAC地址和设备脆弱性信息。
可选地,所述计算机程序被所述处理器执行时还实现以下步骤:
获取物联网设备间的流量数据及访问数据;
运用MapReduce算法对物联网设备的流量数据和访问行为数据进行计算和处理,建立设备行为白模型,所述设备行为白模型为设备的正常行为集合,所述正常行为集合包括访问时间、访问频率、访问对象、连接方式、访问结果。
可选地,所述计算机程序被所述处理器执行时还实现以下步骤:
获取每类物联网设备的行为安全基线,根据行为安全基线计算设备的网络行为与行为安全基线的标准偏差;
根据标准偏差的数值来表征设备网络行为与行为安全基线的偏离程度值;
当偏离程度值达到预设的阈值时,进行预警操作。
本发明实施例第三方面提供了一种非易失性计算机可读存储介质,其特征在于,所述非易失性计算机可读存储介质存储有计算机可执行指令,该计算机可执行指令被一个或多个处理器执行时,可使得所述一个或多个处理器执行上述的基于设备画像的物联网设备风险控制方法。
本发明实施例提供的技术方案中,识别接入物联网中的物联网设备,获取设备脆弱性信息,生成动态的设备资产台账;获取物联网设备间的流量数据及访问行为数据,根据流量数据及访问行为数据生成物联网设备的设备行为白模型,所述设备行为白模型为设备的正常行为集合;获取设备历史事件,根据设备行为白模型、设备历史事件及设备资产台账生成设备画像,根据设备画像生成行为安全基线;获取设备的网络行为,将网络行为与行为安全基线进行对比;当设备的网络行为与行为安全基线的偏离程度满足预定条件时,进行预警操作。因此相对于现有技术,本发明实施例以物联终端画像为核心,结合设备发现感知、设备准入控制、设备状态监测以及行为分析等方面的综合安全管控策略,更有针对性地防护物联网感知终端的安全问题。解决传统解决策略安全设备叠加、难以形成合力、投资大、针对性不强的问题。从点、线、面多个视角实现网络架构、网络数据和网络行为的可视化,提升网络安全分析人员感知、分析和理解网络安全问题的能力、用更生动、友好的形式,帮助业务人员发现并诊断业务问题。
附图说明
图1为本发明实施例中一种基于设备画像的物联网设备风险控制方法的一实施例的流程示意图;
图2为本发明实施例中一种基于设备画像的物联网设备风险控制系统的另一实施例的硬件结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
以下结合附图对本发明实施例进行详细的描述。
请参阅图1,图1为本发明实施例中一种基于设备画像的物联网设备风险控制方法的一个实施例的流程示意图。如图1所示,包括:
步骤S100、识别接入物联网中的物联网设备,获取设备脆弱性信息,生成动态的设备资产台账;
步骤S200、获取物联网设备间的流量数据及访问行为数据,根据流量数据及访问行为数据生成物联网设备的设备行为白模型;
步骤S300、获取设备历史事件,根据设备行为白模型、设备历史事件及设备资产台账生成设备画像,根据设备画像生成行为安全基线;
步骤S400、获取设备的网络行为,将网络行为与行为安全基线进行对比;
步骤S500、当设备的网络行为与行为安全基线的偏离程度满足预定条件时,进行预警操作。
具体地,其中设备行为白模型为设备的正常行为集合。运用主动扫描和分析技术,自动感知接入物联网的感知终端设备,生成动态的设备资产台账,设备资产台账包括设备类型、型号、IP地址、MAC、设备脆弱性等基础信息,自动更新无需手工维护。基于大数据技术,运用聚类分析、关联分析等机器学习算法,通过设备行为白模型、设备历史事件及设备资产台账构建感知设备的行为画像,其中设备历史事件为设备过去发生的典型事件集合,了解设备、了解设备行为,依据设备间的访问连接关系和业务流程,将单个设备画像扩展,建立终端设备行为白模型,建立行为安全基线,当设备的网络行为与行为安全基线的偏离程度满足预定条件时,进行预警操作,实现网络行为监测预警,最终实现全网网络架构、网络数据和网络行为的可视化管理。
聚类分析是基于划分的聚类分析法,这是数据挖掘的一种重要算法,聚类的目的是在没有先验知识的情况下,将分析对象的数据分成不同分类,使同类对象在最大程度上相似,不同分类对象间的差异尽可能大。确定n个设备聚类分中心,通过相似度求出与某个专家知识的相似性,迭代执行直至设备被划分完成,形成聚类并作出合理推荐。
单个设备画像扩展是指以核心设备为基点,依据其行为画像向上向下延伸,生成以该核心设备为中心的网络链路和业务流程拓扑图。
进一步地,生成设备画像具体包括:
获取设备静态信息。设备的类型、型号、地址等静态数据是设备画像的基础数据,通过丰富资产指纹库及灵活的识别引擎,运用主动扫描、网络流量分析、网络协议解析等方式对目标资产进行多维度信息探测,根据设备运行协议、开放服务等信息实现场景下全资产盘点,包括:操作系统识别、中间件识别、数据库识别、开启端口与服务识别、网络设备识别、安全设备识别。
获取设备动态信息。本步骤中,运用MapReduce技术基于机器学习算法,对设备的流量数据和访问行为数据进行计算和处理,建立正常行为基线。MapReduce技术的核心包含Map和Reduce两部分,Map主要用于数据读入,依据设备类型对设备分组,依据事件类型、源安全域、目的安全域对事件、访问行为进行分组;Reduce主要用于迭代优化并得到优化的解,采集最新的网络访问数据,及模型特征向量,进行收敛输出。得到设备在访问时间、连接目的域、访问频率、流量特征、报警事件等安全信息,过滤重复数据,得到设备动态的行为和事件信息。
生成设备立体画像。本步骤中,结合以上两个步骤获取的信息,生成多维度的立体设备画像。基于画像基线,能够实现隐藏的安全问题,使管理员能够轻松了解突发事件的起因、发生位置、被攻击设备和端口,并能根据预先制定的策略做出快速的响应,保障网络安全。
进一步地,识别接入物联网中的物联网设备,获取设备脆弱性信息,生成动态的设备资产台账,包括:
通过主动扫描和网络流量解析识别接入物联网中的物联网设备,获取设备脆弱性信息,所述设备脆弱性信息包括设备弱口令、风险端口和风险漏洞;
根据识别结果生成动态的设备资产台账,所述设备资产台账包括设备类型、型号、IP地址、MAC地址和设备脆弱性信息。
具体地,设备资产台账,是通过设备发现识别组件完成,实时主动扫描和分析网络流量数据,基于设备指纹识别并获取设备信息以及设备的脆弱性信息,保证资产台账的全面和准确,为安全分析和防护提供良好的基础支撑。其中设备脆弱性信息包括但不限于设备弱口令、风险端口和风险漏洞等信息。
设备自动感知功能可以实现共同准确的设备信息档案。发现、感知和更新过程为自动完成,并且通过多种维度进行,识别过程支持基于多种协议类型的深度解析,如IP、ARP、IGMP、GGP、ICMP、TCP、UDP、SSH、PPTP、POP3、HTTP、IMAP3、SHELL、PRINTER、HTTPS、RTSP、SNMP、NFS、MOUNT等。
通过主动扫描、被动监听、手动调整等方式建立物联网接入设备资产库,实现物联网场景的专业盘点报告(支持HTML、EXCEL等格式),报告内容包括但不限于:资产汇总(设备分类、往期盘点资产对比)、资产分析(区域资产分析、厂商分析、离线资产分析、应用服务分析)、资产详情(地址、厂商信息、设备型号、序列号、开放端口及服务、资产上下线详情)。物联网设备画像内容包括设备资产信息、服务开放情况、流量数据情况等等。
本实施例从整体上有针对性地综合考量物联网感知终端的安全防护问题,以用户为视角,从基于规则分析到关联分析、行为建模、异常分析,实现终端的立体防护。
进一步地,获取物联网设备间的流量数据及访问行为数据,根据流量数据及访问行为数据生成物联网设备的设备行为白模型,包括:
获取物联网设备间的流量数据及访问数据;
运用MapReduce算法对物联网设备的流量数据和访问行为数据进行计算和处理,建立设备行为白模型,所述设备行为白模型为设备的正常行为集合,所述正常行为集合包括访问时间、访问频率、访问对象、连接方式、访问结果。
具体地,获取设备行为画像,是实现网络可视化的关键步骤。设备画像是其属性信息行为习惯的立体化集合,针对网内设备流量数据和时空性、序列性和异构性等特性,在安全事件的分析结果基础上,对设备的资产或服务的数据内容进行自动化识别和分析,具体按以下方法生成:
运用MapReduce技术对设备的流量数据和访问行为数据进行计算和处理,建立正常行为白模型,即终端设备的正常合规的行为集合,正常合规的行为集合包括但不限于访问时间、访问频率、访问对象、连接方式、访问结果等行为。结合设备的类型、型号、MAC地址等基础信息,生成精准的设备画像。
MapReduce技术的核心包含Map和Reduce两部分,其输入输出均为<key,value>的格式,并对不同部分的Shuffle过程进行充分运用。Map主要用于数据读入,得到设备分组、事件分组、访问行为分组,上述分组的ID作为键值中的key;Value的值即为各分组的业务技术描述。Reduce主要用于迭代优化并得到优化的解,需采集得到最新的网络访问数据,及模型特征向量,实现装载后,将输出结果的向量值作为下一次迭代的输入,进行到符合收敛策略条件,对计算结果进行输出和保存。
进一步地,当设备的网络行为与行为安全基线的偏离程度满足预定条件时,进行预警操作,包括:
获取每类物联网设备的行为安全基线,根据行为安全基线计算设备的网络行为与行为安全基线的标准偏差;
根据标准偏差的数值来表征设备网络行为与行为安全基线的偏离程度值;
当偏离程度值达到预设的阈值时,进行预警操作。
具体实施时,网络行为监测是通过与过去的行为基线或同类群体进行对比,以发现网络行为中的偏差。机器学习算法为每类设备创建基线(例如设备网络行为中的发生时间、作用对象、流量大小等),然后计算标准偏差。随后,分别给基准分和偏离度分配一个分数,用来指示相关威胁的强度,偏离度为网络行为与行为安全基线的标准偏差计算得来。基准分由人为设置。偏离度达到一定的强度阈值自动预警操作。机器学习在行为分析监测起着至关作用,对于支持高级分析的可扩展数据平台来说绝对是关键。分析监测功能可以关联生成机器数据的任何环境中的多个数据源之间的异常。机器学习将各种算法检测到的威胁指标拼接在一起,其分析检测的结果是自动化、准确的,可以确定事件的根据原因,利用历史趋势并分享结果,而不会被成千上万的警报和错误警报所困扰。
实现物联感知终端高危漏洞的专项检测能力,适用于服务器、业务系统等设备极多的网络环境下快速安全检测,产品对高危漏洞提供自动化验证功能,自动验证不需要任何人进行参与,平台自动对漏洞进行验证、判断;主动分析网络流量数据,获取物联终端设备的运行状态。
对接入设备进行严格的准入控制,基于协议特征的白名单应用控制机制,只允许授信的业务在网络中传输,可识别物联专网中的控制协议,识别网络流传输协议RTP/TCP/RTSP/HTTP等,并实现手工准入和规则自动准入两种方式。
进一步地,进行预警操作,包括:
通过短信、邮件或监控大屏发送报警的方式进行预警。
具体实施时,预警操作包括但不限于通过短信、邮件或监控大屏发送报警的方式进行预警。
由以上方法实施例可知,本发明实施例物联网的特点出发,从获取基础信息、绘制行为画像、建立安全基线,最终实现威胁洞察发现,行为模型利用无监督学习和半监督学习进行自我深化进而不断贴合业务,从点延伸到线,再扩展到面,建立感知终端立体防护。
更有针对性,实现物联终端的动态精细管理,风险漏洞和异常行为的快速发现和精准处置,解决了传统解决方案投资大、产品设备叠加、无法形成合力的问题。
上面对本发明实施例中的基于设备画像的物联网设备风险控制方法进行了描述,下面对本发明实施例中的基于设备画像的物联网设备风险控制系统进行描述,请参阅图2,图2是本发明实施例中一种基于设备画像的物联网设备风险控制系统的另一实施例的硬件结构示意图,如图2所示,系统10包括:存储器101、处理器102及存储在存储器上并可在处理器上运行的计算机程序,计算机程序被处理器101执行时实现以下步骤:
识别接入物联网中的物联网设备,获取设备脆弱性信息,生成动态的设备资产台账;
获取物联网设备间的流量数据及访问行为数据,根据流量数据及访问行为数据生成物联网设备的设备行为白模型,所述设备行为白模型为设备的正常行为集合;
获取设备历史事件,根据设备行为白模型、设备历史事件及设备资产台账生成设备画像,根据设备画像生成行为安全基线;
获取设备的网络行为,将网络行为与行为安全基线进行对比;
当设备的网络行为与行为安全基线的偏离程度满足预定条件时,进行预警操作。
具体的实施步骤与方法实施例相同,此处不再赘述。
可选地,计算机程序被处理器101执行时还实现以下步骤:
通过主动扫描和网络流量解析识别接入物联网中的物联网设备,获取设备脆弱性信息,所述设备脆弱性信息包括设备弱口令、风险端口和风险漏洞;
根据识别结果生成动态的设备资产台账,所述设备资产台账包括设备类型、型号、IP地址、MAC地址和设备脆弱性信息。
具体的实施步骤与方法实施例相同,此处不再赘述。
可选地,计算机程序被处理器101执行时还实现以下步骤:
获取物联网设备间的流量数据及访问数据;
运用MapReduce算法对物联网设备的流量数据和访问行为数据进行计算和处理,建立设备行为白模型,所述设备行为白模型为设备的正常行为集合,所述正常行为集合包括访问时间、访问频率、访问对象、连接方式、访问结果。
具体的实施步骤与方法实施例相同,此处不再赘述。
可选地,计算机程序被处理器101执行时还实现以下步骤:
获取每类物联网设备的行为安全基线,根据行为安全基线计算设备的网络行为与行为安全基线的标准偏差;
根据标准偏差的数值来表征设备网络行为与行为安全基线的偏离程度值;
当偏离程度值达到预设的阈值时,进行预警操作。
具体的实施步骤与方法实施例相同,此处不再赘述。
可选地,计算机程序被处理器101执行时还实现以下步骤:
通过短信、邮件或监控大屏发送报警的方式进行预警。
具体的实施步骤与方法实施例相同,此处不再赘述。
本发明实施例提供了一种非易失性计算机可读存储介质,计算机可读存储介质存储有计算机可执行指令,该计算机可执行指令被一个或多个处理器执行,例如,执行以上描述的图1中的方法步骤S100至步骤S500。
以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
Claims (10)
1.一种基于设备画像的物联网设备风险控制方法,其特征在于,包括:
识别接入物联网中的物联网设备,获取设备脆弱性信息,生成动态的设备资产台账;
获取物联网设备间的流量数据及访问行为数据,根据流量数据及访问行为数据生成物联网设备的设备行为白模型,所述设备行为白模型为设备的正常行为集合;
获取设备历史事件,根据设备行为白模型、设备历史事件及设备资产台账生成设备画像,设备画像采用无监督学习和有监督学习相结合的方法,依据八元组模型:用户/资产ID、访问动作、发起时间、发起地点、访问路由、访问流量、访问作用域、访问结果进行构建,根据设备画像生成行为安全基线;
生成设备画像具体包括:
获取设备静态信息;
获取设备动态信息;
生成设备立体画像;
获取设备的网络行为,将网络行为与行为安全基线进行对比,通过个群对比分析、自身规律变化,发现异常访问行为;
当设备的网络行为与行为安全基线的偏离程度满足预定条件时,进行预警操作。
2.根据权利要求1所述的基于设备画像的物联网设备风险控制方法,其特征在于,所述识别接入物联网中的物联网设备,获取设备脆弱性信息,生成动态的设备资产台账,包括:
通过主动扫描和网络流量解析识别接入物联网中的物联网设备,获取设备脆弱性信息,所述设备脆弱性信息包括设备弱口令、风险端口和风险漏洞;
根据识别结果生成动态的设备资产台账,所述设备资产台账包括设备类型、型号、IP地址、MAC地址和设备脆弱性信息。
3.根据权利要求2所述的基于设备画像的物联网设备风险控制方法,其特征在于,所述获取物联网设备间的流量数据及访问行为数据,根据流量数据及访问行为数据生成物联网设备的设备行为白模型,包括:
获取物联网设备间的流量数据及访问数据;
运用MapReduce算法对物联网设备的流量数据和访问行为数据进行计算和处理,建立设备行为白模型,所述设备行为白模型为设备的正常行为集合,所述正常行为集合包括访问时间、访问频率、访问对象、连接方式、访问结果。
4.根据权利要求3所述的基于设备画像的物联网设备风险控制方法,其特征在于,所述当设备的网络行为与行为安全基线的偏离程度满足预定条件时,进行预警操作,包括:
获取每类物联网设备的行为安全基线,根据行为安全基线计算设备的网络行为与行为的标准偏差;
根据标准偏差的数值来表征设备网络行为与行为安全基线的偏离程度值;
当偏离程度值达到预设的阈值时,进行预警操作。
5.根据权利要求4所述的基于设备画像的物联网设备风险控制方法,其特征在于,所述进行预警操作,包括:
通过短信、邮件或监控大屏发送报警的方式进行预警。
6.一种基于设备画像的物联网设备风险控制系统,其特征在于,所述系统包括:存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述计算机程序被所述处理器执行时实现以下步骤:
识别接入物联网中的物联网设备,获取设备脆弱性信息,生成动态的设备资产台账;
获取物联网设备间的流量数据及访问行为数据,根据流量数据及访问行为数据生成物联网设备的设备行为白模型,所述设备行为白模型为设备的正常行为集合;
获取设备历史事件,根据设备行为白模型、设备历史事件及设备资产台账生成设备画像,设备画像采用无监督学习和有监督学习相结合的方法,依据八元组模型:用户/资产ID、访问动作、发起时间、发起地点、访问路由、访问流量、访问作用域、访问结果进行构建,根据设备画像生成行为安全基线;
生成设备画像具体包括:
获取设备静态信息;
获取设备动态信息;
生成设备立体画像;
获取设备的网络行为,将网络行为与行为安全基线进行对比,通过个群对比分析、自身规律变化,发现异常访问行为;
当设备的网络行为与行为安全基线的偏离程度满足预定条件时,进行预警操作。
7.根据权利要求6所述的基于设备画像的物联网设备风险控制系统,其特征在于,所述计算机程序被所述处理器执行时还实现以下步骤:
通过主动扫描和网络流量解析识别接入物联网中的物联网设备,获取设备脆弱性信息,所述设备脆弱性信息包括设备弱口令、风险端口和风险漏洞;
根据识别结果生成动态的设备资产台账,所述设备资产台账包括设备类型、型号、IP地址、MAC地址和设备脆弱性信息。
8.根据权利要求7所述的基于设备画像的物联网设备风险控制系统,其特征在于,所述计算机程序被所述处理器执行时还实现以下步骤:
获取物联网设备间的流量数据及访问数据;
运用MapReduce算法对物联网设备的流量数据和访问行为数据进行计算和处理,建立设备行为白模型,所述设备行为白模型为设备的正常行为集合,所述正常行为集合包括访问时间、访问频率、访问对象、连接方式、访问结果。
9.根据权利要求8所述的基于设备画像的物联网设备风险控制系统,其特征在于,所述计算机程序被所述处理器执行时还实现以下步骤:
获取每类物联网设备的行为安全基线,根据行为安全基线计算设备的网络行为与行为安全基线的标准偏差;
根据标准偏差的数值来表征设备网络行为与行为安全基线的偏离程度值;
当偏离程度值达到预设的阈值时,进行预警操作。
10.一种非易失性计算机可读存储介质,其特征在于,所述非易失性计算机可读存储介质存储有计算机可执行指令,该计算机可执行指令被一个或多个处理器执行时,可使得所述一个或多个处理器执行权利要求1-5任一项所述的基于设备画像的物联网设备风险控制方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010683976.9A CN111565390B (zh) | 2020-07-16 | 2020-07-16 | 一种基于设备画像的物联网设备风险控制方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010683976.9A CN111565390B (zh) | 2020-07-16 | 2020-07-16 | 一种基于设备画像的物联网设备风险控制方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111565390A CN111565390A (zh) | 2020-08-21 |
| CN111565390B true CN111565390B (zh) | 2020-12-15 |
Family
ID=72075469
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010683976.9A Active CN111565390B (zh) | 2020-07-16 | 2020-07-16 | 一种基于设备画像的物联网设备风险控制方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111565390B (zh) |
Families Citing this family (19)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112287373A (zh) * | 2020-11-13 | 2021-01-29 | Oppo广东移动通信有限公司 | 数据处理方法、装置、存储介质及网络接入点设备 |
| CN112270506B (zh) * | 2020-11-20 | 2022-08-26 | 浙江大学 | 一种基于设备超限脆弱性的超限信息获取方法 |
| CN112436969A (zh) * | 2020-11-24 | 2021-03-02 | 成都西加云杉科技有限公司 | 一种物联网设备管理方法、系统、设备及介质 |
| CN112491872A (zh) * | 2020-11-25 | 2021-03-12 | 国网辽宁省电力有限公司信息通信分公司 | 一种基于设备画像的异常网络访问行为检测方法和系统 |
| CN112184091B (zh) * | 2020-12-01 | 2021-03-19 | 杭州木链物联网科技有限公司 | 工控系统安全威胁评估方法、装置和系统 |
| CN112653669B (zh) * | 2020-12-04 | 2022-08-12 | 智网安云(武汉)信息技术有限公司 | 网络终端安全威胁预警方法、系统及网络终端管理装置 |
| CN112953928A (zh) * | 2020-12-30 | 2021-06-11 | 山东鲁能软件技术有限公司 | 一种视频监控前端设备的网络安全防护系统和方法 |
| CN112953961B (zh) * | 2021-03-14 | 2022-05-17 | 国网浙江省电力有限公司电力科学研究院 | 配电房物联网中设备类型识别方法 |
| CN113114537B (zh) * | 2021-04-19 | 2023-06-30 | 深圳市兴海物联科技有限公司 | 一种物联网节点的可视化监测方法 |
| CN113391867B (zh) * | 2021-06-16 | 2022-07-01 | 刘叶 | 基于数字化和可视化的大数据业务处理方法及业务服务器 |
| CN113765896B (zh) * | 2021-08-18 | 2023-06-30 | 广东三水合肥工业大学研究院 | 基于人工智能的物联网实现系统及方法 |
| CN114070608A (zh) * | 2021-11-12 | 2022-02-18 | 北京天融信网络安全技术有限公司 | 一种基于流量分析的资产优化方法及装置 |
| CN114598499B (zh) * | 2021-11-26 | 2024-01-23 | 国网辽宁省电力有限公司大连供电公司 | 结合业务应用的网络风险行为分析方法 |
| CN114363066A (zh) * | 2022-01-04 | 2022-04-15 | 中国建设银行股份有限公司 | 终端设备的安全接入方法、装置、电子设备和存储介质 |
| CN114844831B (zh) * | 2022-03-18 | 2024-02-27 | 奇安信科技集团股份有限公司 | 行为安全基线的编辑数据路由方法、装置和设备 |
| CN114745444B (zh) * | 2022-04-07 | 2024-05-24 | 国网电力科学研究院有限公司 | 基于5g网络流量分析的调控业务访问控制方法及系统 |
| CN114817377B (zh) * | 2022-06-29 | 2022-09-20 | 深圳红途科技有限公司 | 基于用户画像的数据风险检测方法、装置、设备及介质 |
| CN116095683B (zh) * | 2023-04-11 | 2023-06-13 | 微网优联科技(成都)有限公司 | 无线路由器的网络安全防护方法及装置 |
| CN117640263A (zh) * | 2024-01-26 | 2024-03-01 | 深圳市常行科技有限公司 | 一种针对全维度攻击的网络安全防护系统、方法及介质 |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111131338A (zh) * | 2020-04-01 | 2020-05-08 | 深圳市云盾科技有限公司 | 感知态势处物联网安全检测方法、系统及存储介质 |
Family Cites Families (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104881594B (zh) * | 2015-05-06 | 2018-04-03 | 镇江乐游网络科技有限公司 | 一种基于精准画像的智能手机拥有权检测方法 |
| CN106899601A (zh) * | 2017-03-10 | 2017-06-27 | 北京华清信安科技有限公司 | 基于云和本地平台的网络攻击防御装置和方法 |
| CN108965208A (zh) * | 2017-05-19 | 2018-12-07 | 南京骏腾信息技术有限公司 | 基于相关性分析的日志审计方法 |
| CN108933731B (zh) * | 2017-05-22 | 2022-04-12 | 南京骏腾信息技术有限公司 | 基于大数据分析的智能网关 |
| CN109600363B (zh) * | 2018-11-28 | 2020-01-21 | 南京财经大学 | 一种物联网终端网络画像及异常网络访问行为检测方法 |
| CN110825757B (zh) * | 2019-10-31 | 2022-07-26 | 北京北信源软件股份有限公司 | 一种设备行为风险分析方法及系统 |
| CN111163115A (zh) * | 2020-04-03 | 2020-05-15 | 深圳市云盾科技有限公司 | 一种基于双引擎的物联网安全监测方法及系统 |
-
2020
- 2020-07-16 CN CN202010683976.9A patent/CN111565390B/zh active Active
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111131338A (zh) * | 2020-04-01 | 2020-05-08 | 深圳市云盾科技有限公司 | 感知态势处物联网安全检测方法、系统及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN111565390A (zh) | 2020-08-21 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111565390B (zh) | 一种基于设备画像的物联网设备风险控制方法及系统 | |
| Cvitić et al. | Boosting-based DDoS detection in internet of things systems | |
| US11212299B2 (en) | System and method for monitoring security attack chains | |
| Kumar et al. | A Distributed framework for detecting DDoS attacks in smart contract‐based Blockchain‐IoT Systems by leveraging Fog computing | |
| EP3528462B1 (en) | A method for sharing cybersecurity threat analysis and defensive measures amongst a community | |
| CN108494810B (zh) | 面向攻击的网络安全态势预测方法、装置及系统 | |
| US10476749B2 (en) | Graph-based fusing of heterogeneous alerts | |
| US10404741B2 (en) | Anonymized network data collection and network threat assessment and monitoring systems and methods | |
| CN111163115A (zh) | 一种基于双引擎的物联网安全监测方法及系统 | |
| US20160308725A1 (en) | Integrated Community And Role Discovery In Enterprise Networks | |
| US20220263860A1 (en) | Advanced cybersecurity threat hunting using behavioral and deep analytics | |
| US20230012220A1 (en) | Method for determining likely malicious behavior based on abnormal behavior pattern comparison | |
| US10476752B2 (en) | Blue print graphs for fusing of heterogeneous alerts | |
| CN108881263A (zh) | 一种网络攻击结果检测方法及系统 | |
| US20230164567A1 (en) | Artificial Intelligence based cybersecurity system monitoring telecommunications networks | |
| CN113242267A (zh) | 一种基于类脑计算的态势感知方法 | |
| Mao et al. | MIF: A multi-step attack scenario reconstruction and attack chains extraction method based on multi-information fusion | |
| CN116974490A (zh) | 一种基于多端云计算集群的大数据存储方法及系统 | |
| Rajawat et al. | Analysis assaulting pattern for the security problem monitoring in 5G‐enabled sensor network systems with big data environment using artificial intelligence/machine learning | |
| WO2017176676A1 (en) | Graph-based fusing of heterogeneous alerts | |
| US11157834B2 (en) | Automated identification of higher-order behaviors in a machine-learning network security system | |
| WO2023163842A1 (en) | Thumbprinting security incidents via graph embeddings | |
| CN115859305A (zh) | 一种基于知识图谱的工控安全态势感知方法及系统 | |
| Protic et al. | WK-FNN design for detection of anomalies in the computer network traffic | |
| CN112084239B (zh) | 基于大数据特征模型识别的信令网络安全挖掘分析方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CP02 | Change in the address of a patent holder | ||
| CP02 | Change in the address of a patent holder |
Address after: A708, Huibaojiang Building, No. 398, Minzhi Avenue, Minzhi Community, Longhua District, Shenzhen, Guangdong 518000 Patentee after: SHENZHEN CLOUDSECURITY TECHNOLOGY CO.,LTD. Address before: 518000 Sculpture Home, Beihuan Boulevard, Futian District, Shenzhen, Guangdong 27-33B Patentee before: SHENZHEN CLOUDSECURITY TECHNOLOGY CO.,LTD. |