CN111885034B - 物联网攻击事件追踪方法、装置和计算机设备 - Google Patents

Abstract

本申请涉及一种物联网攻击事件追踪方法、装置和计算机设备，其中，该物联网攻击事件追踪方法包括：获取多台物联网设备的安全数据；针对每一物联网设备，根据安全数据得到物联网设备对应的攻击IP，以及攻击IP对应的攻击日志；根据攻击日志，生成每一物联网设备的攻击网络拓扑图；根据多台物联网设备的攻击网络拓扑图，得到物联网攻击链；根据物联网攻击链，追踪物联网攻击事件。通过本申请，解决了无法快速准确地追踪物联网攻击事件的问题。

Description

物联网攻击事件追踪方法、装置和计算机设备

技术领域

本申请涉及物联网安全技术领域，特别是涉及一种物联网攻击事件追踪方法、装置和计算机设备。

背景技术

随着物联网设备的普及，随之产生的物联网攻击事件也越来越多，如果不及时对物联网攻击事件进行追踪溯源并消除物联网中潜在的网络威胁，长期以往，会给企业带来巨大的经济损失。

在相关技术中，通过人工分析单台物联网设备上的攻击日志来追踪物联网攻击事件，从而消除物联网中潜在的网络威胁，提高物联网系统的安全性。然而，这种方法只能获取到某一攻击点的数据，无法得到整个攻击面的数据，而只根据某一个攻击点的数据无法准确地还原出整个攻击事件的攻击链。同时，采用这种方法具有效率低的缺点。

目前针对相关技术中，无法快速准确地追踪物联网攻击事件的问题，尚未提出有效的解决方案。

发明内容

本申请实施例提供了一种物联网攻击事件追踪方法、装置和计算机设备，以至少解决相关技术中无法快速准确地追踪物联网攻击事件的问题。

第一方面，本申请实施例提供了一种物联网攻击事件追踪方法，包括：

获取多台物联网设备的安全数据；

针对每一所述物联网设备，根据所述安全数据得到所述物联网设备对应的攻击IP，以及所述攻击IP对应的攻击日志；

根据所述攻击日志，生成每一所述物联网设备的攻击网络拓扑图；

根据多台所述物联网设备的攻击网络拓扑图，得到物联网攻击链；

根据所述物联网攻击链，追踪物联网攻击事件。

在其中一些实施例中，所述根据所述攻击日志，生成每一所述物联网设备的攻击网络拓扑图包括：

根据所述攻击日志，统计所述攻击IP对应设备的属性以及攻击特征，得到统计数据；

根据所述统计数据，生成每一所述物联网设备的攻击网络拓扑图。

在其中一些实施例中，所述攻击特征包括攻击类型、攻击意图以及攻击目标。

在其中一些实施例中，在所述根据多台所述物联网设备的攻击网络拓扑图，得到物联网攻击链之后包括：

在物联网攻击链中添加每一所述物联网设备的攻击网络拓扑图，得到所述物联网攻击链的攻击图像。

在其中一些实施例中，在所述在物联网攻击链中添加每一所述物联网设备的攻击网络拓扑图，得到所述物联网攻击链的攻击图像之后，所述方法还包括：

若所述攻击IP对应的设备为非物联网设备，则在所述攻击图像中对所述攻击IP进行标记。

在其中一些实施例中，所述安全数据包括进程文件、网络信息、硬件资源使用率以及攻击数据。

第二方面，本申请实施例提供了一种物联网攻击事件追踪装置，包括：

获取模块，用于获取多台物联网设备的安全数据；

提取模块，用于针对每一所述物联网设备，根据所述安全数据得到所述物联网设备对应的攻击IP，以及所述攻击IP对应的攻击日志；

生成模块，用于根据所述攻击日志，生成每一所述物联网设备的攻击网络拓扑图；

确定模块，用于根据多台所述物联网设备的攻击网络拓扑图，得到物联网攻击链；

追踪模块，用于根据所述物联网攻击链，追踪物联网攻击事件。

在其中一些实施例中，所述获取模块内置在所述物联网设备中。

第三方面，本申请实施例提供了一种计算机设备，包括存储器、处理器以及存储在所述存储器上并可在所述处理器上运行的计算机程序，所述处理器执行所述计算机程序时实现如上述第一方面所述的物联网攻击事件追踪方法。

第四方面，本申请实施例提供了一种计算机可读存储介质，其上存储有计算机程序，该程序被处理器执行时实现如上述第一方面所述的物联网攻击事件追踪方法。

相比于相关技术，本申请实施例提供的物联网攻击事件追踪方法、装置和计算机设备，通过获取多台物联网设备的安全数据；针对每一物联网设备，根据安全数据得到物联网设备对应的攻击IP，以及攻击IP对应的攻击日志；根据攻击日志，生成每一物联网设备的攻击网络拓扑图；根据多台物联网设备的攻击网络拓扑图，得到物联网攻击链；根据物联网攻击链，追踪物联网攻击事件，解决了无法快速准确地追踪物联网攻击事件的问题。

本申请的一个或多个实施例的细节在以下附图和描述中提出，以使本申请的其他特征、目的和优点更加简明易懂。

附图说明

此处所说明的附图用来提供对本申请的进一步理解，构成本申请的一部分，本申请的示意性实施例及其说明用于解释本申请，并不构成对本申请的不当限定。在附图中：

图1为本申请实施例的物联网攻击事件追踪方法的流程图；

图2为本申请实施例中提取物联网设备对应的攻击IP，以及攻击IP对应的攻击日志的流程图；

图3为本申请实施例中生成每一物联网设备的攻击网络拓扑图的流程图；

图4为本申请优选实施例的物联网攻击事件追踪方法的流程图；

图5为本申请具体实施例的物联网攻击事件追踪方法的流程图；

图6为本申请实施例的物联网攻击事件追踪装置的结构框图；

图7为本申请实施例的物联网攻击事件追踪设备的硬件结构示意图。

具体实施方式

为了使本申请的目的、技术方案及优点更加清楚明白，以下结合附图及实施例，对本申请进行描述和说明。应当理解，此处所描述的具体实施例仅仅用以解释本申请，并不用于限定本申请。基于本申请提供的实施例，本领域普通技术人员在没有作出创造性劳动的前提下所获得的所有其他实施例，都属于本申请保护的范围。

显而易见地，下面描述中的附图仅仅是本申请的一些示例或实施例，对于本领域的普通技术人员而言，在不付出创造性劳动的前提下，还可以根据这些附图将本申请应用于其他类似情景。此外，还可以理解的是，虽然这种开发过程中所作出的努力可能是复杂并且冗长的，然而对于与本申请公开的内容相关的本领域的普通技术人员而言，在本申请揭露的技术内容的基础上进行的一些设计，制造或者生产等变更只是常规的技术手段，不应当理解为本申请公开的内容不充分。

在本申请中提及“实施例”意味着，结合实施例描述的特定特征、结构或特性可以包含在本申请的至少一个实施例中。在说明书中的各个位置出现该短语并不一定均是指相同的实施例，也不是与其它实施例互斥的独立的或备选的实施例。本领域普通技术人员显式地和隐式地理解的是，本申请所描述的实施例在不冲突的情况下，可以与其它实施例相结合。

除非另作定义，本申请所涉及的技术术语或者科学术语应当为本申请所属技术领域内具有一般技能的人士所理解的通常意义。本申请所涉及的“一”、“一个”、“一种”、“该”等类似词语并不表示数量限制，可表示单数或复数。本申请所涉及的术语“包括”、“包含”、“具有”以及它们任何变形，意图在于覆盖不排他的包含；例如包含了一系列步骤或模块(单元)的过程、方法、系统、产品或设备没有限定于已列出的步骤或单元，而是可以还包括没有列出的步骤或单元，或可以还包括对于这些过程、方法、产品或设备固有的其它步骤或单元。本申请所涉及的“连接”、“相连”、“耦接”等类似的词语并非限定于物理的或者机械的连接，而是可以包括电气的连接，不管是直接的还是间接的。本申请所涉及的“多个”是指两个或两个以上。“和/或”描述关联对象的关联关系，表示可以存在三种关系，例如，“A和/或B”可以表示：单独存在A，同时存在A和B，单独存在B这三种情况。字符“/”一般表示前后关联对象是一种“或”的关系。本申请所涉及的术语“第一”、“第二”、“第三”等仅仅是区别类似的对象，不代表针对对象的特定排序。

本申请所描述的各种技术，可以但不仅限于应用于各种物联网安全监控系统。

本实施例提供一种物联网攻击事件追踪方法。图1为本申请实施例的物联网攻击事件追踪方法的流程图，如图1所示，该流程包括如下步骤：

步骤S110，获取多台物联网设备的安全数据。

安全数据包括物联网设备的属性信息以及物联网设备上的网络威胁信息。

步骤S120，针对每一物联网设备，根据安全数据得到物联网设备对应的攻击IP，以及攻击IP对应的攻击日志。

步骤S130，根据攻击日志，生成每一物联网设备的攻击网络拓扑图。

在其中一些实施例中，针对每一物联网设备，根据多个攻击IP对应设备的攻击日志，得到多个攻击IP对应设备的攻击行为的关联信息，并根据关联信息以及攻击日志，得到物联网设备的攻击网络拓扑图。

步骤S140，根据多台物联网设备的攻击网络拓扑图，得到物联网攻击链。

具体地，根据多台物联网设备的攻击网络拓扑图，得到多台物联网设备之间的关联关系，并根据关联关系以及攻击网络拓扑图，得到物联网攻击链。

步骤S150，根据物联网攻击链，追踪物联网攻击事件。

根据物联网攻击链还原物联网攻击事件的攻击过程，得到物联网攻击事件的溯源结果。

例如，mirai僵尸网络爆发时，攻击源IP通过攻击物联网设备、PC设备以及服务器等来对外传播病毒，使得全球物联网设备受到不同程度的影响。可以通过对与僵尸网络传播过程相关的物联网设备进行监控，并根据监控到的安全数据还原出完整的攻击链，从而根据攻击链有效地追踪到攻击源IP以及攻击途径，及时切断攻击路径，以消除多个网络设备互相攻击带来的交叉干扰。

通过上述步骤S110至步骤S150，获取多台物联网设备的安全数据；针对每一物联网设备，根据安全数据得到物联网设备对应的攻击IP，以及攻击IP对应的攻击日志；根据攻击日志，生成每一物联网设备的攻击网络拓扑图；根据多台物联网设备的攻击网络拓扑图，得到物联网攻击链；根据物联网攻击链，追踪物联网攻击事件。本申请，通过获取多台物联网设备的安全数据，可以得到多个攻击点的攻击数据，并将多个攻击点的攻击数据结合起来，以对整个攻击面进行还原，从而可以准确地追踪到攻击源攻击物联网设备时所遗留的痕迹，同时，整个追踪过程是通过计算机程序控制运行的，避免了因人工分析造成效率低的问题，提高了物联网攻击事件追踪效率，解决了无法快速准确地追踪物联网攻击事件的问题。

在其中一些实施例中，安全数据包括进程文件、网络信息、硬件资源使用率以及攻击数据。

在其中一些实施例中，图2为本申请实施例中提取物联网设备对应的攻击IP，以及攻击IP对应的攻击日志的流程图，如图2所示，该流程包括如下步骤：

步骤S210，从安全数据中提取攻击物联网设备的IP，得到多个攻击IP。

步骤S220，根据多个攻击IP，生成攻击IP列表。

步骤S230，从攻击IP列表的表头开始，逐一提取攻击IP列表中攻击IP对应的攻击日志。

上述步骤S210至步骤S230，通过生成攻击IP列表，并从攻击IP列表的表头开始，逐一提取攻击IP列表中攻击IP对应的攻击日志，实现有序地提取攻击IP对应的攻击日志，避免遗漏掉某一攻击IP对应的攻击日志，提高数据的完整性，可以进一步提高物联网攻击事件溯源结果的准确度。

在其中一些实施例中，图3为本申请实施例中生成每一物联网设备的攻击网络拓扑图的流程图，如图3所示，该流程包括如下步骤：

步骤S310，根据攻击日志，统计攻击IP对应设备的属性以及攻击特征，得到统计数据。

步骤S320，根据统计数据，生成每一物联网设备的攻击网络拓扑图。

具体地，根据统计数据，得到多个攻击IP对应设备的攻击行为的关联关系，并根据关联关系以及统计数据，生成每一物联网设备的攻击网络拓扑图。

上述步骤S310至步骤S320，通过统计每一攻击IP对应设备的属性以及攻击特征，可以得到多维度的统计数据，从而根据多维度的统计数据可以得到更加准确的关联关系，使得生成的攻击网络拓扑图更加准确，可以进一步提高物联网攻击事件溯源结果的准确度，为用户追溯物联网攻击事件提供有效的追踪手段。

在其中一些实施例中，攻击特征包括攻击类型、攻击意图以及攻击目标。攻击特征还包括攻击工具、攻击指纹、IP是否在IDC网段、IP是否代理、物理地址、攻击次数以及区域语言。

在其中一些实施例中，根据物联网攻击链，确定物联网攻击事件的攻击源IP以及攻击途径。

具体地，根据物联网攻击链中多个物联网设备之间的关联关系以及多个攻击IP对应设备的攻击行为的关联关系，确定物联网攻击事件的攻击源IP以及攻击途径。

在其中一些实施例中，在物联网攻击链中添加每一物联网设备的攻击网络拓扑图，得到物联网攻击链的攻击图像。

例如，某公司的物联网中有两台物联网设备，分别为第一物联网设备以及第二物联网设备，其中：

第一物联网设备的攻击网络拓扑图包括第一攻击IP对应的设备A以及第二攻击IP对应的设备B，攻击方向为设备A到设备B。

第二物联网设备的攻击网络拓扑图包括第二攻击IP对应的设备B以及包括第三攻击IP对应的设备C，攻击方向为设备B对设备C。

在物联网攻击链中分别添加第一物联网设备的攻击网络拓扑图以及第二物联网设备的攻击网络拓扑图之后，得到物联网攻击链的攻击图像。在攻击图像中，攻击方向为设备A到设备B再到设备C。

在其中一些实施例中，若攻击IP对应的设备为非物联网设备，则在攻击图像中对攻击IP进行标记。

例如，若攻击IP对应的设备为服务器或者PC设备，则在攻击图像中对攻击IP进行标记。

需要说明的是，如果攻击IP对应的设备不是物联网设备，那么该攻击IP是攻击源IP的概率比较大，因此，当攻击IP对应的设备为非物联网设备时，在攻击图像中对攻击IP进行标记，以便于后续追踪物联网攻击事件。

本实施例，通过判断攻击IP对应的设备是否为物联网设备，当攻击IP对应的设备为非物联网设备时，在攻击图像中对攻击IP进行标记，以在后续追踪物联网攻击事件时，可以对优先对标记过的攻击IP进行分析，从而可以快速准确地溯源到物联网攻击事件的攻击源。

下面通过优选实施例对本申请实施例进行描述和说明。

图4为本申请优选实施例的物联网攻击事件追踪方法的流程图，如图4所示，该物联网攻击事件追踪方法方法包括如下步骤：

步骤S410，获取多台物联网设备的安全数据；

步骤S420，针对每一物联网设备，根据安全数据得到物联网设备对应的攻击IP，以及攻击IP对应的攻击日志。

步骤S430，根据攻击日志，生成每一物联网设备的攻击网络拓扑图。

步骤S440，根据多台物联网设备的攻击网络拓扑图，得到物联网攻击链。

步骤S450，在物联网攻击链中添加每一物联网设备的攻击网络拓扑图，得到物联网攻击链的攻击图像；若攻击IP对应的设备为非物联网设备，则在攻击图像中对攻击IP进行标记。

步骤S460，根据物联网攻击链的攻击图像，追踪物联网攻击事件。

以物联网安全监控系统为例对本实施例进行说明，物联网安全监控系统包括内置在物联网设备上的安全模块以及物联网安全云计算中心，图5为本申请具体实施例的物联网攻击事件追踪方法的流程图，如图5所示，该物联网攻击事件追踪方法包括如下步骤：

步骤S510，通过安全模块采集多台物联网设备的安全数据，并将安全数据通过网络流程量传输至物联网安全云计算中心。

步骤S520，物联网安全云计算中心从安全数据中提取每一物联网设备对应的攻击IP，生成攻击IP列表；从攻击IP列表的表头开始，逐一提取攻击IP列表中攻击IP对应的攻击日志。

步骤S530，根据攻击日志以及现有平台收集到的数据，统计攻击IP对应设备的属性以及攻击特征，得到统计数据，并根据统计数据，生成每一物联网设备的攻击网络拓扑图。

步骤S540，根据多台物联网设备的攻击网络拓扑图，得到物联网攻击链；在物联网攻击链中添加每一物联网设备的攻击网络拓扑图，得到物联网攻击链的攻击图像。

步骤S550，若攻击IP对应的设备为非物联网设备，则在攻击图像中对攻击IP进行标记，并将最终的攻击图像上传至数据库。

步骤S560，根据物联网攻击链的攻击图像，确定物联网攻击事件的攻击源IP以及攻击途径。

需要说明的是，在上述流程中或者附图的流程图中示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行，并且，虽然在流程图中示出了逻辑顺序，但是在某些情况下，可以以不同于此处的顺序执行所示出或描述的步骤。

本实施例还提供了一种物联网攻击事件追踪装置，该装置用于实现上述实施例及优选实施方式，已经进行过说明的不再赘述。如以下所使用的，术语“模块”、“单元”、“子单元”等可以实现预定功能的软件和/或硬件的组合。尽管以下实施例所描述的装置较佳地以软件来实现，但是硬件，或者软件和硬件的组合的实现也是可能并被构想的。

图6为本申请实施例的物联网攻击事件追踪装置的结构框图，如图6所示，该装置包括：

获取模块610，用于获取多台物联网设备的安全数据。

提取模块620，用于针对每一物联网设备，根据安全数据得到物联网设备对应的攻击IP，以及攻击IP对应的攻击日志。

生成模块630，用于根据攻击日志，生成每一物联网设备的攻击网络拓扑图。

确定模块640，用于根据多台物联网设备的攻击网络拓扑图，得到物联网攻击链。

追踪模块650，用于根据物联网攻击链，追踪物联网攻击事件。

在其中一些实施例中，获取模块610内置在物联网设备中。

通过内置在物联网设备中的获取模块610，可以有效地获取到物联网设备上的网络威胁信息，并通过对多维度的安全数据进行分析，调查攻击事件的攻击源与攻击入侵的途径，从而提取出完整的物联网攻击链，并根据物联网攻击链进一步还原攻击过程，为调查取证提供有力证据。

在其中一些实施例中，生成模块630还包括统计单元以及生成单元，其中：

统计单元，用于根据攻击日志，统计攻击IP对应设备的属性以及攻击特征，得到统计数据。

生成单元，用于根据统计数据，生成每一物联网设备的攻击网络拓扑图。

在其中一些实施例中，攻击特征包括攻击类型、攻击意图以及攻击目标。

在其中一些实施例中，该物联网攻击事件追踪装置还包括攻击图像生成模块，用于在物联网攻击链中添加每一物联网设备的攻击网络拓扑图，得到物联网攻击链的攻击图像。

在其中一些实施例中，该物联网攻击事件追踪装置还包括标记模块，用于若攻击IP对应的设备为非物联网设备，则在攻击图像中对攻击IP进行标记。

在其中一些实施例中，追踪模块650还用于根据物联网攻击链，确定物联网攻击事件的攻击源IP以及攻击途径。

在其中一些实施例中，安全数据包括进程文件、网络信息、硬件资源使用率以及攻击数据。

需要说明的是，上述各个模块可以是功能模块也可以是程序模块，既可以通过软件来实现，也可以通过硬件来实现。对于通过硬件来实现的模块而言，上述各个模块可以位于同一处理器中；或者上述各个模块还可以按照任意组合的形式分别位于不同的处理器中。

另外，结合图1描述的本申请实施例物联网攻击事件追踪方法可以由物联网攻击事件追踪设备来实现。图7为本申请实施例的物联网攻击事件追踪设备的硬件结构示意图。

物联网攻击事件追踪设备可以包括处理器71以及存储有计算机程序指令的存储器72。

具体地，上述处理器71可以包括中央处理器(CPU)，或者特定集成电路(Application Specific Integrated Circuit，简称为ASIC)，或者可以被配置成实施本申请实施例的一个或多个集成电路。

其中，存储器75可以包括用于数据或指令的大容量存储器。举例来说而非限制，存储器75可包括硬盘驱动器(Hard Disk Drive，简称为HDD)、软盘驱动器、固态驱动器(SolidState Drive，简称为SSD)、闪存、光盘、磁光盘、磁带或通用串行总线(Universal SerialBus，简称为USB)驱动器或者两个或更多个以上这些的组合。在合适的情况下，存储器75可包括可移除或不可移除(或固定)的介质。在合适的情况下，存储器75可在数据处理装置的内部或外部。在特定实施例中，存储器75是非易失性(Non-Volatile)存储器。在特定实施例中，存储器75包括只读存储器(Read-Only Memory，简称为ROM)和随机存取存储器(RandomAccess Memory，简称为RAM)。在合适的情况下，该ROM可以是掩模编程的ROM、可编程ROM(Programmable Read-Only Memory，简称为PROM)、可擦除PROM(Erasable ProgrammableRead-Only Memory，简称为EPROM)、电可擦除PROM(Electrically Erasable ProgrammableRead-Only Memory，简称为EEPROM)、电可改写ROM(Electrically Alterable Read-OnlyMemory，简称为EAROM)或闪存(FLASH)或者两个或更多个以上这些的组合。在合适的情况下，该RAM可以是静态随机存取存储器(Static Random-Access Memory，简称为SRAM)或动态随机存取存储器(Dynamic Random Access Memory，简称为DRAM)，其中，DRAM可以是快速页模式动态随机存取存储器(Fast Page Mode Dynamic Random Access Memory，简称为FPMDRAM)、扩展数据输出动态随机存取存储器(Extended Date Out Dynamic RandomAccess Memory，简称为EDODRAM)、同步动态随机存取内存(Synchronous Dynamic Random-Access Memory，简称SDRAM)等。

存储器75可以用来存储或者缓存需要处理和/或通信使用的各种数据文件，以及处理器72所执行的可能的计算机程序指令。

处理器71通过读取并执行存储器72中存储的计算机程序指令，以实现上述实施例中的任意一种物联网攻击事件追踪方法。

在其中一些实施例中，物联网攻击事件追踪设备还可包括通信接口73和总线70。其中，如图7所示，处理器71、存储器72、通信接口73通过总线70连接并完成相互间的通信。

通信接口73用于实现本申请实施例中各模块、装置、单元和/或设备之间的通信。通信端口73还可以实现与其他部件例如：外接设备、图像/数据采集设备、数据库、外部存储以及图像/数据处理工作站等之间进行数据通信。

总线70包括硬件、软件或两者，将物联网攻击事件追踪设备的部件彼此耦接在一起。总线70包括但不限于以下至少之一：数据总线(Data Bus)、地址总线(Address Bus)、控制总线(Control Bus)、扩展总线(Expansion Bus)、局部总线(Local Bus)。举例来说而非限制，总线70可包括图形加速接口(Accelerated Graphics Port，简称为AGP)或其他图形总线、增强工业标准架构(Extended Industry Standard Architecture，简称为EISA)总线、前端总线(Front Side Bus，简称为FSB)、超传输(Hyper Transport，简称为HT)互连、工业标准架构(Industry Standard Architecture，简称为ISA)总线、无线带宽(InfiniBand)互连、低引脚数(Low Pin Count，简称为LPC)总线、存储器总线、微信道架构(MicroChannel Architecture，简称为MCA)总线、外围组件互连(Peripheral ComponentInterconnect，简称为PCI)总线、PCI-Express(PCI-X)总线、串行高级技术附件(SerialAdvanced Technology Attachment，简称为SATA)总线、视频电子标准协会局部(VideoElectronics Standards Association Local Bus，简称为VLB)总线或其他合适的总线或者两个或更多个以上这些的组合。在合适的情况下，总线70可包括一个或多个总线。尽管本申请实施例描述和示出了特定的总线，但本申请考虑任何合适的总线或互连。

该物联网攻击事件追踪设备可以基于获取到的物联网攻击事件追踪，执行本申请实施例中的物联网攻击事件追踪方法，从而实现结合图1描述的物联网攻击事件追踪方法。

另外，结合上述实施例中的物联网攻击事件追踪方法，本申请实施例可提供一种计算机可读存储介质来实现。该计算机可读存储介质上存储有计算机程序指令；该计算机程序指令被处理器执行时实现上述实施例中的任意一种物联网攻击事件追踪方法。

以上所述实施例的各技术特征可以进行任意的组合，为使描述简洁，未对上述实施例中的各个技术特征所有可能的组合都进行描述，然而，只要这些技术特征的组合不存在矛盾，都应当认为是本说明书记载的范围。

以上所述实施例仅表达了本申请的几种实施方式，其描述较为具体和详细，但并不能因此而理解为对发明专利范围的限制。应当指出的是，对于本领域的普通技术人员来说，在不脱离本申请构思的前提下，还可以做出若干变形和改进，这些都属于本申请的保护范围。因此，本申请专利的保护范围应以所附权利要求为准。

Claims (10)

1.一种物联网攻击事件追踪方法，其特征在于，包括：

获取多台物联网设备的安全数据；

针对每一所述物联网设备，根据所述安全数据得到所述物联网设备对应的攻击IP，以及所述攻击IP对应的攻击日志；

根据所述攻击日志，生成每一所述物联网设备的攻击网络拓扑图；

根据多台所述物联网设备的攻击网络拓扑图，得到物联网攻击链；

根据所述物联网攻击链，追踪物联网攻击事件；

所述根据所述攻击日志，生成每一所述物联网设备的攻击网络拓扑图包括：

针对每一物联网设备，根据多个攻击IP对应设备的攻击日志，得到多个攻击IP对应设备的攻击行为的关联信息，并根据所述关联信息以及所述攻击日志，生成所述物联网设备的攻击网络拓扑图。

2.根据权利要求1所述的方法，其特征在于，所述根据所述攻击日志，生成每一所述物联网设备的攻击网络拓扑图包括：

根据所述攻击日志，统计所述攻击IP对应设备的属性以及攻击特征，得到统计数据；

根据所述统计数据，生成每一所述物联网设备的攻击网络拓扑图。

3.根据权利要求2所述的方法，其特征在于，所述攻击特征包括攻击类型、攻击意图以及攻击目标。

4.根据权利要求1所述的方法，其特征在于，在所述根据多台所述物联网设备的攻击网络拓扑图，得到物联网攻击链之后包括：

在物联网攻击链中添加每一所述物联网设备的攻击网络拓扑图，得到所述物联网攻击链的攻击图像。

5.根据权利要求4所述的方法，其特征在于，在所述在物联网攻击链中添加每一所述物联网设备的攻击网络拓扑图，得到所述物联网攻击链的攻击图像之后，所述方法还包括：

若所述攻击IP对应的设备为非物联网设备，则在所述攻击图像中对所述攻击IP进行标记。

6.根据权利要求1所述的方法，其特征在于，所述安全数据包括进程文件、网络信息、硬件资源使用率以及攻击数据。

7.一种物联网攻击事件追踪装置，其特征在于，包括：

获取模块，用于获取多台物联网设备的安全数据；

提取模块，用于针对每一所述物联网设备，根据所述安全数据得到所述物联网设备对应的攻击IP，以及所述攻击IP对应的攻击日志；

生成模块，用于根据所述攻击日志，生成每一所述物联网设备的攻击网络拓扑图；

确定模块，用于根据多台所述物联网设备的攻击网络拓扑图，得到物联网攻击链；

追踪模块，用于根据所述物联网攻击链，追踪物联网攻击事件；

所述生成模块还用于针对每一物联网设备，根据多个攻击IP对应设备的攻击日志，得到多个攻击IP对应设备的攻击行为的关联信息，并根据所述关联信息以及所述攻击日志，生成所述物联网设备的攻击网络拓扑图。

8.根据权利要求7所述的装置，其特征在于，所述获取模块内置在所述物联网设备中。

9.一种计算机设备，包括存储器、处理器以及存储在所述存储器上并可在所述处理器上运行的计算机程序，其特征在于，所述处理器执行所述计算机程序时实现如权利要求1至6中任一项所述的物联网攻击事件追踪方法。

10.一种计算机可读存储介质，其上存储有计算机程序，其特征在于，该程序被处理器执行时实现如权利要求1至6中任一项所述的物联网攻击事件追踪方法。

Images