CN112134893A - 物联网安全防护方法、装置、电子设备及存储介质 - Google Patents
物联网安全防护方法、装置、电子设备及存储介质 Download PDFInfo
- Publication number
- CN112134893A CN112134893A CN202011025587.3A CN202011025587A CN112134893A CN 112134893 A CN112134893 A CN 112134893A CN 202011025587 A CN202011025587 A CN 202011025587A CN 112134893 A CN112134893 A CN 112134893A
- Authority
- CN
- China
- Prior art keywords
- message
- service
- end equipment
- internet
- things
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- G—PHYSICS
- G16—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR SPECIFIC APPLICATION FIELDS
- G16Y—INFORMATION AND COMMUNICATION TECHNOLOGY SPECIALLY ADAPTED FOR THE INTERNET OF THINGS [IoT]
- G16Y30/00—IoT infrastructure
- G16Y30/10—Security thereof
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/12—Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
Abstract
本发明公开了一种物联网安全防护方法、装置、电子设备及存储介质,所述物联网安全防护方法包括:接收用户设置的待入网前端设备的网段信息,并向网段信息所包含的各个网络地址发送第一探测报文;将接收到的第一响应报文所对应的物联网前端设备确定为目标前端设备,第一响应报文是物联网前端设备响应于所述第一探测报文发送的;根据物联网中的目标前端设备已传输的业务报文,获取针对同一业务的参考业务数据流特征,并根据所述参考业务数据流特征生成白名单库;获取目标前端设备传输的业务报文,并将根据所述业务报文获得的业务数据流特征与白名单库中存储的参考业务数据流特征进行匹配;根据匹配结果,对所述业务报文进行放通处理或阻断处理。
Description
技术领域
本发明涉及物联网技术领域,尤其涉及一种物联网安全防护的方法、装置、电子设备及存储介质。
背景技术
随着物联网的迅速发展,有大量的物联网前端设备部署在城市的各个角落,其中大部分分散在无人值守的环境下,极易被黑客利用,进而渗透到整个网络,导致核心业务系统无法正常运行、大量保密信息被窃取,因此需要对物联网进行有效的安全防护。
目前物联网安全防护的方法需要前端设备进行登录认证或者验证密钥来确保设备的安全性,步骤繁琐影响客户体验,同时前端设备极易被非法替换或者非法入侵,导致发送大量与业务无关的非法报文,后台服务器的安全性无法得到保证。
发明内容
为解决上述技术问题,本发明提供了一种物联网安全防护的方法、装置、电子设备及存储介质,技术方案如下:
第一方面,本发明实施例提供一种物联网安全防护方法,所述方法包括:
接收用户设置的待入网前端设备的网段信息,并向所述网段信息所包含的各个网络地址发送第一探测报文;
将接收到的第一响应报文所对应的物联网前端设备确定为目标前端设备,所述第一响应报文是所述物联网前端设备响应于所述第一探测报文发送的;
根据物联网中的目标前端设备已传输的业务报文,获取针对同一业务的参考业务数据流特征,并根据所述参考业务数据流特征生成白名单库;
获取目标前端设备传输的业务报文,并将根据所述业务报文获得的业务数据流特征与白名单库中存储的参考业务数据流特征进行匹配;
根据匹配结果,对所述业务报文进行放通处理或阻断处理。
第二方面,本发明实施例提供一种物联网安全防护装置,所述装置包括:
网段信息接收模块,用于接收用户设置的待入网前端设备的网段信息,并向所述网段信息所包含的各个网络地址发送第一探测报文;
目标前端设备确定模块,用于将接收到的第一响应报文所对应的物联网前端设备确定为目标前端设备,所述第一响应报文是所述物联网前端设备响应于所述第一探测报文发送的;
白名单库建立模块,用于根据物联网中的目标前端设备已传输的业务报文,获取针对同一业务的参考业务数据流特征,并根据所述参考业务数据流特征生成白名单库;
匹配模块,用于获取目标前端设备传输的业务报文,并将根据所述业务报文获得的业务数据流特征与白名单库中存储的参考业务数据流特征进行匹配;
处理模块,用于根据匹配结果,对所述业务报文进行放通处理或阻断处理。
第三方面,本发明实施例提供一种电子设备,所属电子设备包括存储器、处理器,所述存储器用于存储可在处理器上运行的计算机程序,所述处理器用于在执行所述计算机程序时实现任一项所述的方法。
第四方面,本发明实施例提供一种计算机可读存储介质,所述存储介质存储有计算机程序,所述计算机程序被处理器执行时实现任一项所述的方法。
本发明的实施例提供的技术方案可以包括以下有益效果:
本发明实施例提供的一种物联网安全防护方法,可以对物联网前端流量进行认证,将合法的业务流放通,将与业务无关的非法的流量进行阻断并向平台发送第二告警信息,减少了繁琐的登陆认证过程,保证了正常业务的运行,并且可以有效防止后台服务器被非法攻击。
应当理解的是,以上的一般描述和后文的细节描述仅是示例性和解释性的,并不能限制本说明书。
附图说明
此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本说明书的实施例,并与说明书一起用于解释本说明书的原理。
图1为本发明实施例一种物联网安全防护方法的流程图。
图2为本发明实施例一种更新目标前端设备方法的流程图。
图3为本发明实施例业务报文的认证流程图。
图4为本发明实施例一种物联网安全防护装置的结构示意图
图5为本发明实施例一种电子设备的硬件示意图。
具体实施方式
这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本说明书相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本说明书的一些方面相一致的装置和方法的例子。
在本说明书使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本说明书。在本说明书和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。还应当理解,本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。
应当理解,尽管在本说明书可能采用术语第一、第二、第三等来描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离本说明书范围的情况下,第一信息也可以被称为第二信息,类似地,第二信息也可以被称为第一信息。取决于语境,如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。
下面将结合附图,对本发明的实施方案进行详细描述。
如图1所示,为本发明一种物联网安全防护方法的实施流程图。该方法可以应用于物联网中的认证设备,也可以应用于物联网中的服务器。所述方法包括以下步骤:
步骤101,接收用户设置的待入网前端设备的网段信息,并向所述网段信息所包含的各个网络地址发送第一探测报文;
所述网段信息由用户指定。在一个示例中,网段信息所包含的各个网络地址为全部的网络地址,也就是说将第一探测报文发送至网段信息中全部的网络地址。该第一探测报文可以包括onvif(Open Network Video Interface Forum,开放型网络视频接口论坛)探测报文、端口探测报文、web页面访问探测报文等探测报文中的一项或多项。
步骤102,将接收到的第一响应报文所对应的物联网前端设备确定为目标前端设备,所述第一响应报文是所述物联网前端设备响应于所述第一探测报文发送的;
所有的网络地址都接收到第一探测报文,具有前端设备的网络地址对于第一探测报文返回第一响应报文。因此在收到网段内的网络地址返回的第一响应报文时,即可确定该网络地址上具有前端设备,并将该前端设备确定为目标前端设备。
步骤103,根据物联网中的目标前端设备已传输的业务报文,获取针对同一业务的参考业务数据流特征,并根据所述参考业务数据流特征生成白名单库;
所述参考业务数据流特征是预先根据物联网中的目标前端设备已传输的业务报文获取的。目标前端设备传输数据时,同一业务的数据流一般有固定的特征,从业务报文的源IP、目的IP、目的端口、协议、关键字符串、报文格式以及十六进制的数据字段中的一项或多项中可以提取出这些特征,所述源IP、目的IP、目的端口、协议、关键字符串、报文格式以及十六进制的数据字段为七层数据内容。例如某厂商诱导屏设备传输业务数据的报文均为TCP(Transmission Control Protocol)协议、目的端口为5000且数据部分以十六进制aaff开头,这些即可作为业务数据流特征。然后将所述业务数据流特征配置到白名单库,所述白名单库还可以称为白名单链表或协议指纹库。
步骤104,获取目标前端设备传输的业务报文,并将根据所述业务报文获得的业务数据流特征与白名单库中存储的参考业务数据流特征进行匹配;
根据获取的目标前端设备传输的业务报文,可以解析得到源IP、目的IP、目的端口、协议、关键字符串、报文格式以及十六进制的数据字段中的一项或多项,然后与白名单库存储的参考业务数据流特征进行匹配。例如:根据获取的目标前端设备传输的业务报文,解析得到源IP和目的IP,则与白名单库存储的参考源IP和参考目的IP进行匹配。
步骤105,根据匹配结果,对所述业务报文进行放通处理或阻断处理。
如果匹配成功,则认为该报文是合法的业务报文,就进行放通处理,如果匹配失败,则认为是非法流量,则进行阻断并向平台发送第二告警信息,第二告警信息内容包含非法流量的源IP、目的IP、目的端口、协议、关键字符串、报文格式以及十六进制的数据字段中的一项或多项。所述第二告警信息是目标前端设备传输的业务报文的业务数据流特征与白名单库中的参考业务数据流特征匹配失败时发出的。
在本实施例中的物联网安全防护方法,通过向网段信息所包含的各个网络地址发送第一探测报文,并根据接收到的第一响应报文确定目标监测设备,根据目标前端设备业务报文的参考数据流特征生成白名单库,然后对目标前端设备传输的业务报文进行认证匹配,并根据匹配结果对业务报文进行放通处理或阻断处理。由于不需要前端设备进行登录认证或者验证密钥来确保设备的安全性,即进行无感知认证,减少了繁琐的登陆认证过程,保证了正常业务的运行,并且可以有效防止后台服务器被非法攻击。
如图2所示,为本发明中更新目标前端设备的方法的流程图,包括以下步骤:
步骤201,根据接收到的第一响应报文获得物联网前端设备的网络地址和属性信息;
根据接收到的第一响应报文中的特殊字段可以识别出该网段中所有有效网络地址对应的前端设备的属性信息,如厂商和类型信息。
步骤202,根据所获得的物联网前端设备的网络地址和属性信息生成资产库;
根据所获得有效网络地址对应的前端设备的属性信息,如厂商和类型信息,可以生成资产库,所述资产库还可以称为终端指纹库。
步骤203,根据资产库中的网络地址所对应的属性信息,更新目标前端设备。
资产库中所包含的物联网前端设备即为目标前端设备,并且该资产库可以展示在大屏上进行统一管理,那么用户可以通过资产库查看到所有准备入网的前端设备的属性信息,同时支持用户对资产库进行设备的添加、删除和修改,以确保资产库内的前端设备均为合法设备。当对同一网络地址获取的属性信息发生变化时,对所述网络地址对应的目标前端设备进行阻断处理并发出第一告警信息,所述第一告警信息是同一网络地址所对应的前端设备的属性信息发生变化时发出的。
在本实施例中的更新目标前端设备的方法,不需要投入大量的人力,通过建立资产库,有效地完成了物联网前端设备资产的识别管理以及目标前端设备的更新。
在一些实施例中,认证设备自动获取目标前端设备传输的业务报文,针对同一业务,所述业务报文一般具有共同的特征,从业务报文的源IP、目的IP、目的端口、协议、关键字符串、报文格式以及十六进制的数据字段中的一项或多项中可以提取出这些特征,将这些共同特征作为参考业务数据流特征。例如,首先对前端设备进行分类,当不同类型的前端设备与服务器间进行业务数据传输时,可以通过认证设备获取不同类型的前端设备的业务数据流特征,然后自动配置到白名单库。
在一些实施例中,在获取目标前端设备传输的业务报文,并将根据业务报文获得的业务数据流特征与白名单库中存储的参考业务数据流特征进行匹配时,由于TCP协议传输的三次握手及四次挥手报文并不带有任何数据内容,因此对于TCP协议的三次握手和四次挥手报文只进行IP、端口和协议的匹配,不进行关键字符串、报文格式以及十六进制的数据字段的匹配,如果IP、端口和协议匹配成功就进行放通处理,对于TCP协议传输数据的非三次握手和四次挥手报文则与白名单库进行IP、端口、协议、关键字符串、报文格式以及十六进制的数据字段的匹配,匹配成功才会进行放通。认证流程如图3所示。
在一些实施例中,当物联网前端设备的流量认证失败时,会向平台发送第二告警信息,信息内容会包含非法流量的源IP、目的IP、目的端口、协议、关键字符串、报文格式以及十六进制的数据字段中的一项或多项,如果发现有误报,将合法流量认为是非法流量进行阻断,此时用户可以根据第二告警信息内容提取出业务流特征,并将该特征下发至认证设备白名单库,后续该业务流报文就会认证成功,并被放通。
在一些实施例中,对前端设备进行周期性的探测识别。
每个周期向网段信息所包含的各个网络地址发送第一探测报文,当发现对同一网络地址前后两次识别出的结果不一致时会发出第一告警信息,所述第一告警信息是同一网络地址所对应的前端设备的属性信息发生变化时发出的。发送第一探测报文的周期时长可以根据实际需要确定,本公开对此不进行限定。
在一些实施例中,周期性地向目标前端设备发送第二探测报文,在一个探测周期内,可以根据接收到的第二响应报文的延迟时间和/或所述第二响应报文的个数确定所述目标前端设备的链路状态,所述第二响应报文是所述目标前端设备响应于所述第二探测报文发送的。发送第二探测报文的周期时长可以根据实际需要确定,本公开对此不进行限制。
该第二探测报文可以包括icmp(Internet Control Message Protocol,Internet控制报文协议)探测报文或syn(Synchronize Sequence Numbers,同步序列编号)等探测报文中的一项或多项。
在一个探测周期内,当所述第二响应报文的个数大于等于预设个数并且每个第二响应报文的延迟时间均小于等于预设时间时,确定所述目标前端设备的链路状态为第一连通状态,即流畅状态;在一个探测周期内,当所述第二响应报文的个数小于预设个数或者存在所述第二响应报文的延迟时间大于预设时间时,确定所述目标前端设备的链路状态为第二连通状态,即不流畅状态;在一个探测周期内,当所述第二响应报文的个数为零时,确定所述目标前端设备的链路状态为离线状态。
例如:一个探测周期为10秒,每秒向前端设备发送一个icmp探测报文,当周期结束后,收到了前端设备10个响应报文,且响应报文最大的延迟时间不超过1秒,则认为该前端的链路状态是第一连通状态,即流畅状态;若前端设备响应报文的个数在0个和10个之间或者响应报文的最大延迟时间超过了1秒,则认为该前端设备链路状态是第二连通状态,即不流畅状态;若前端设备响应报文的个数是0,则认为该前端设备已离线。
将资产库内的目标前端设备以第一连通状态、第二连通状态和离线三种状态实时的在大屏上展示出来让客户对资产库内的前端设备的链路状态有直观的感受,并且当前端设备由于链路问题导致业务异常时,可以快速定位问题,及时排查安全隐患。
通常,发送第二探测报文的周期小于发送第探测一报文的周期,所述发送第二探测报文的周期与发送第探测一报文的周期的关系可以根据实际需要确定,本公开对此不再进行限定。
当现网中已有前端设备进行过识别生成资产库并完成了业务流认证接入,此时又有新网段的前端设备有入网需求时,自动对新旧网段中的前端设备流量区别处理,对原来已经完成认证接入网段的前端设备业务流量继续进行严格的接入认证以保证现网安全,而对于需要新入网的设备则走接入流程,进行资产识别生成资产库,对资产库内新入网设备进行链路探测,构建业务流特征白名单库然后对前端设备业务流进行认证。这样既保证了原有业务不受影响,又使新接入的前端设备可以安全入网。
以上为本说明书实施例提供的物联网安全防护方法,基于同样的思路,本说明书还提供了相应的装置、存储介质和电子设备。
图4为本说明书实施例提供的一种物联网安全防护装置的结构示意图,所述装置包括:
网段信息接收模块401,用于接收用户设置的待入网前端设备的网段信息,并向所述网段信息所包含的各个网络地址发送第一探测报文;
目标前端设备确定模块402,用于将接收到的第一响应报文所对应的物联网前端设备确定为目标前端设备,所述第一响应报文是所述物联网前端设备响应于所述第一探测报文发送的;
白名单库建立模块403,用于根据物联网中的目标前端设备已传输的业务报文,获取针对同一业务的参考业务数据流特征,并根据所述参考业务数据流特征生成白名单库;
匹配模块404,用于获取目标前端设备传输的业务报文,并将根据所述业务报文获得的业务数据流特征与白名单库中存储的参考业务数据流特征进行匹配;
处理模块405,用于根据匹配结果,对所述业务报文进行放通处理或阻断处理。
所述网段信息接收模块401,具体用于在一个示例中,网段信息所包含的各个网络地址为全部的网络地址,也就是说将第一探测报文发送至网段信息中全部的网络地址。该第一探测报文可以包括onvif(Open Network Video Interface Forum,开放型网络视频接口论坛)探测报文、端口探测报文、web页面访问探测报文等探测报文中的一项或多项。
所述目标前端设备确定模块402,具体用于所有的网络地址都接收到第一探测报文,具有前端设备的网络地址对于第一探测报文返回第一响应报文。因此在收到网段内的网络地址返回的第一响应报文时,即可确定该网络地址上具有前端设备,并将该前端设备确定为目标前端设备。
所述白名单库建立模块403,具体用于从已传输的业务报文的源IP、目的IP、目的端口、协议、关键字符串、报文格式以及十六进制的数据字段中的一项或多项中提取出参考业务数据流特征,所述参考业务数据流特征是预先根据物联网中的目标前端设备已传输的业务报文获取的。例如某厂商诱导屏设备传输业务数据的报文均为TCP(TransmissionControl Protocol)协议、目的端口为5000且数据部分以十六进制aaff开头,这些即可作为业务数据流特征。然后将所述业务数据流特征配置到白名单库。
所述匹配模块404,具体用于根据获取的目标前端设备传输的业务报文,解析得到源IP、目的IP、目的端口、协议、关键字符串、报文格式以及十六进制的数据字段中的一项或多项,然后与白名单库存储的参考业务数据流特征进行匹配。例如:根据获取的目标前端设备传输的业务报文,解析得到源IP和目的IP,则与白名单库存储的参考源IP和参考目的IP进行匹配。
所述处理模块405,具体用于如果匹配成功,则认为该报文是合法的业务报文,就进行放通处理,如果匹配失败,则认为是非法流量,则进行阻断并向平台发送第二告警信息,第二告警信息内容包含非法流量的源IP、目的IP、目的端口、协议、关键字符串、报文格式以及十六进制的数据字段中的一项或多项。所述第二告警信息是目标前端设备传输的业务报文的业务数据流特征与白名单库中的参考业务数据流特征匹配失败时发出的。
本说明书还提供了一种电子设备,如图5所示。在硬件层面,该电子设备包括处理器、内部总线、网络接口、内存以及非易失性存储器,当然还可能包括其他业务所需要的硬件。处理器从非易失性存储器中读取对应的计算机程序到内存中然后运行,以实现上述图1所述的物联网安全防护方法。
本说明书还提供了一种计算机可读存储介质,所述存储介质存储有计算机程序,所述计算机程序被处理器执行时可用于执行上述图1提供的物联网安全防护方法。
本说明书中描述的主题及功能操作的实施例可以在以下中实现:数字电子电路、有形体现的计算机软件或固件、包括本说明书中公开的结构及其结构性等同物的计算机硬件、或者它们中的一个或多个的组合。本说明书中描述的主题的实施例可以实现为一个或多个计算机程序,即编码在有形非暂时性程序载体上以被数据处理装置执行或控制数据处理装置的操作的计算机程序指令中的一个或多个模块。可替代地或附加地,程序指令可以被编码在人工生成的传播信号上,例如机器生成的电、光或电磁信号,该信号被生成以将信息编码并传输到合适的接收机装置以由数据处理装置执行。计算机存储介质可以是机器可读存储设备、机器可读存储基板、随机或串行存取存储器设备、或它们中的一个或多个的组合。
本说明书中描述的处理及逻辑流程可以由执行一个或多个计算机程序的一个或多个可编程计算机执行,以通过根据输入数据进行操作并生成输出来执行相应的功能。所述处理及逻辑流程还可以由专用逻辑电路—例如FPGA(现场可编程门阵列)或ASIC(专用集成电路)来执行,并且装置也可以实现为专用逻辑电路。
适合用于执行计算机程序的计算机包括,例如通用和/或专用微处理器,或任何其他类型的中央处理单元。通常,中央处理单元将从只读存储器和/或随机存取存储器接收指令和数据。计算机的基本组件包括用于实施或执行指令的中央处理单元以及用于存储指令和数据的一个或多个存储器设备。通常,计算机还将包括用于存储数据的一个或多个大容量存储设备,例如磁盘、磁光盘或光盘等,或者计算机将可操作地与此大容量存储设备耦接以从其接收数据或向其传送数据,抑或两种情况兼而有之。然而,计算机不是必须具有这样的设备。此外,计算机可以嵌入在另一设备中,例如移动电话、个人数字助理(PDA)、移动音频或视频播放器、游戏操纵台、全球定位系统(GPS)接收机、或例如通用串行总线(USB)闪存驱动器的便携式存储设备,仅举几例。
适合于存储计算机程序指令和数据的计算机可读介质包括所有形式的非易失性存储器、媒介和存储器设备,例如包括半导体存储器设备(例如EPROM、EEPROM和闪存设备)、磁盘(例如内部硬盘或可移动盘)、磁光盘以及CD ROM和DVD-ROM盘。处理器和存储器可由专用逻辑电路补充或并入专用逻辑电路中。
虽然本说明书包含许多具体实施细节,但是这些不应被解释为限制任何发明的范围或所要求保护的范围,而是主要用于描述特定发明的具体实施例的特征。本说明书内在多个实施例中描述的某些特征也可以在单个实施例中被组合实施。另一方面,在单个实施例中描述的各种特征也可以在多个实施例中分开实施或以任何合适的子组合来实施。此外,虽然特征可以如上所述在某些组合中起作用并且甚至最初如此要求保护,但是来自所要求保护的组合中的一个或多个特征在一些情况下可以从该组合中去除,并且所要求保护的组合可以指向子组合或子组合的变型。
类似地,虽然在附图中以特定顺序描绘了操作,但是这不应被理解为要求这些操作以所示的特定顺序执行或顺次执行、或者要求所有例示的操作被执行,以实现期望的结果。在某些情况下,多任务和并行处理可能是有利的。此外,上述实施例中的各种系统模块和组件的分离不应被理解为在所有实施例中均需要这样的分离,并且应当理解,所描述的程序组件和系统通常可以一起集成在单个软件产品中,或者封装成多个软件产品。
由此,主题的特定实施例已被描述。其他实施例在所附权利要求书的范围以内。在某些情况下,权利要求书中记载的动作可以以不同的顺序执行并且仍实现期望的结果。此外,附图中描绘的处理并非必需所示的特定顺序或顺次顺序,以实现期望的结果。在某些实现中,多任务和并行处理可能是有利的。
以上所述仅为本公开的较佳实施例而已,并不用以限制本公开,凡在本公开的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本公开保护的范围之内。
Claims (11)
1.一种物联网安全防护方法,其特征在于,包括:
接收用户设置的待入网前端设备的网段信息,并向所述网段信息所包含的各个网络地址发送第一探测报文;
将接收到的第一响应报文所对应的物联网前端设备确定为目标前端设备,所述第一响应报文是所述物联网前端设备响应于所述第一探测报文发送的;
根据物联网中的目标前端设备已传输的业务报文,获取针对同一业务的参考业务数据流特征,并根据所述参考业务数据流特征生成白名单库;
获取目标前端设备传输的业务报文,并将根据所述业务报文获得的业务数据流特征与白名单库中存储的参考业务数据流特征进行匹配;
根据匹配结果,对所述业务报文进行放通处理或阻断处理。
2.根据权利要求1所述的方法,其特征在于,还包括:
根据接收到的第一响应报文获得物联网前端设备的网络地址和属性信息;
根据所获得的物联网前端设备的网络地址和属性信息生成资产库;
根据资产库中的网络地址所对应的属性信息,更新目标前端设备。
3.根据权利要求2所述的方法,其特征在于,所述根据资产库中的网络地址所对应的属性信息,更新目标前端设备,包括:
当对同一网络地址获取的属性信息发生变化时,对所述网络地址对应的目标前端设备进行阻断处理并发出第一告警信息。
4.根据权利要求1所述的方法,其特征在于,根据物联网中的目标前端设备已传输的业务报文,获取针对同一业务的参考业务数据流特征包括:
从所述业务报文的源IP、目的IP、目的端口、协议、关键字符串、报文格式以及十六进制的数据字段中的一项或多项获得所述业务数据流特征。
5.根据权利要求1所述的方法,其特征在于,所述将根据所述业务报文获得的业务数据流特征与白名单库中存储的参考业务数据流特征进行匹配,包括:
如果所述业务报文是TCP协议的三次握手报文或者四次挥手报文,进行源IP、目的IP、源端口、目的端口和协议的匹配;和/或,
如果所述业务报文不是TCP协议的三次握手报文和四次挥手报文,进行源IP、目的IP、源端口、目的端口、协议、关键字符串、报文格式以及十六进制的数据字段这七层数据内容的匹配。
6.根据权利要求1所述的方法,其特征在于,所述根据匹配结果,对所述业务报文进行放通处理或阻断处理,包括:
如果匹配成功,对所述业务报文进行放通处理;
如果匹配失败,对所述业务报文进行阻断处理并向平台发送第二告警信息。
7.根据权利要求1至6任一项所述的方法,其特征在于,还包括:
周期性地向目标前端设备发送第二探测报文;
在一个探测周期内,根据接收到的第二响应报文的延迟时间和/或所述第二响应报文的个数确定所述目标前端设备的链路状态,所述第二响应报文是所述目标前端设备响应于所述第二探测报文发送的。
8.根据权利要求7所述的方法,其特征在于,所述在一个探测周期内,根据接收到的第二响应报文的延迟时间和/或所述第二响应报文的个数确定所述目标前端设备的链路状态,包括:
在一个探测周期内,当所述第二响应报文的个数大于等于预设个数并且每个第二响应报文的延迟时间均小于等于预设时间时,确定所述目标前端设备的链路状态为第一连通状态;
在一个探测周期内,当所述第二响应报文的个数小于预设个数或者存在所述第二响应报文的延迟时间大于预设时间时,确定所述目标前端设备的链路状态为第二连通状态;
在一个探测周期内,当所述第二响应报文的个数为零时,确定所述目标前端设备的链路状态为离线状态。
9.一种物联网安全防护装置,其特征在于,包括:
网段信息接收模块,用于接收用户设置的待入网前端设备的网段信息,并向所述网段信息所包含的各个网络地址发送第一探测报文;
目标前端设备确定模块,用于将接收到的第一响应报文所对应的物联网前端设备确定为目标前端设备,所述第一响应报文是所述物联网前端设备响应于所述第一探测报文发送的;
白名单库建立模块,用于根据物联网中的目标前端设备已传输的业务报文,获取针对同一业务的参考业务数据流特征,并根据所述参考业务数据流特征生成白名单库;
匹配模块,用于获取目标前端设备传输的业务报文,并将根据所述业务报文获得的业务数据流特征与白名单库中存储的参考业务数据流特征进行匹配;
处理模块,用于根据匹配结果,对所述业务报文进行放通处理或阻断处理。
10.一种电子设备,其特征在于,所述设备包括存储器、处理器,所述存储器用于存储可在处理器上运行的计算机程序,所述处理器用于在执行所述计算机程序时实现上述权利要求1至8任一项所述的方法。
11.一种计算机可读存储介质,其特征在于,所述存储介质存储有计算机程序,所述计算机程序被处理器执行时实现上述权利要求1至8任一项所述的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202011025587.3A CN112134893B (zh) | 2020-09-25 | 2020-09-25 | 物联网安全防护方法、装置、电子设备及存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202011025587.3A CN112134893B (zh) | 2020-09-25 | 2020-09-25 | 物联网安全防护方法、装置、电子设备及存储介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN112134893A true CN112134893A (zh) | 2020-12-25 |
CN112134893B CN112134893B (zh) | 2023-08-29 |
Family
ID=73840716
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202011025587.3A Active CN112134893B (zh) | 2020-09-25 | 2020-09-25 | 物联网安全防护方法、装置、电子设备及存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN112134893B (zh) |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112769847A (zh) * | 2021-01-18 | 2021-05-07 | 恒安嘉新(北京)科技股份公司 | 物联网设备的安全防护方法、装置、设备及存储介质 |
CN112989315A (zh) * | 2021-02-03 | 2021-06-18 | 杭州安恒信息安全技术有限公司 | 物联网终端的指纹生成方法、装置、设备和可读存储介质 |
CN114448822A (zh) * | 2022-01-21 | 2022-05-06 | 中国电子信息产业集团有限公司第六研究所 | 节点探测数据表示方法、装置、电子设备及存储介质 |
CN114827086A (zh) * | 2022-06-28 | 2022-07-29 | 杭州安恒信息技术股份有限公司 | 一种探测ip发现方法、装置、设备及存储介质 |
CN115314266A (zh) * | 2022-07-27 | 2022-11-08 | 阿里云计算有限公司 | 访问控制方法、装置、电子设备及可读存储介质 |
Citations (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105991587A (zh) * | 2015-02-13 | 2016-10-05 | 中国移动通信集团山西有限公司 | 一种入侵检测方法及系统 |
CN106302495A (zh) * | 2016-08-25 | 2017-01-04 | 北京神州绿盟信息安全科技股份有限公司 | 一种ACK Flood攻击的防护方法及中间防护装置 |
CN106470234A (zh) * | 2015-08-20 | 2017-03-01 | 腾讯科技(北京)有限公司 | 一种设备发现的方法及装置 |
CN106506410A (zh) * | 2016-10-31 | 2017-03-15 | 杭州华三通信技术有限公司 | 一种安全表项建立方法及装置 |
WO2017206576A1 (zh) * | 2016-06-01 | 2017-12-07 | 中兴通讯股份有限公司 | 一种网关业务的处理方法及装置 |
CN108965263A (zh) * | 2018-06-26 | 2018-12-07 | 新华三技术有限公司 | 网络攻击防御方法及装置 |
CN109981344A (zh) * | 2019-02-19 | 2019-07-05 | 新华三技术有限公司 | 扫描方法、装置及网络转发设备 |
CN110099027A (zh) * | 2018-01-29 | 2019-08-06 | 腾讯科技(深圳)有限公司 | 业务报文的传输方法和装置、存储介质、电子装置 |
CN110661680A (zh) * | 2019-09-11 | 2020-01-07 | 深圳市永达电子信息股份有限公司 | 一种基于正则表达式进行数据流白名单检测的方法及系统 |
-
2020
- 2020-09-25 CN CN202011025587.3A patent/CN112134893B/zh active Active
Patent Citations (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105991587A (zh) * | 2015-02-13 | 2016-10-05 | 中国移动通信集团山西有限公司 | 一种入侵检测方法及系统 |
CN106470234A (zh) * | 2015-08-20 | 2017-03-01 | 腾讯科技(北京)有限公司 | 一种设备发现的方法及装置 |
WO2017206576A1 (zh) * | 2016-06-01 | 2017-12-07 | 中兴通讯股份有限公司 | 一种网关业务的处理方法及装置 |
CN106302495A (zh) * | 2016-08-25 | 2017-01-04 | 北京神州绿盟信息安全科技股份有限公司 | 一种ACK Flood攻击的防护方法及中间防护装置 |
CN106506410A (zh) * | 2016-10-31 | 2017-03-15 | 杭州华三通信技术有限公司 | 一种安全表项建立方法及装置 |
CN110099027A (zh) * | 2018-01-29 | 2019-08-06 | 腾讯科技(深圳)有限公司 | 业务报文的传输方法和装置、存储介质、电子装置 |
CN108965263A (zh) * | 2018-06-26 | 2018-12-07 | 新华三技术有限公司 | 网络攻击防御方法及装置 |
CN109981344A (zh) * | 2019-02-19 | 2019-07-05 | 新华三技术有限公司 | 扫描方法、装置及网络转发设备 |
CN110661680A (zh) * | 2019-09-11 | 2020-01-07 | 深圳市永达电子信息股份有限公司 | 一种基于正则表达式进行数据流白名单检测的方法及系统 |
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112769847A (zh) * | 2021-01-18 | 2021-05-07 | 恒安嘉新(北京)科技股份公司 | 物联网设备的安全防护方法、装置、设备及存储介质 |
CN112989315A (zh) * | 2021-02-03 | 2021-06-18 | 杭州安恒信息安全技术有限公司 | 物联网终端的指纹生成方法、装置、设备和可读存储介质 |
CN114448822A (zh) * | 2022-01-21 | 2022-05-06 | 中国电子信息产业集团有限公司第六研究所 | 节点探测数据表示方法、装置、电子设备及存储介质 |
CN114827086A (zh) * | 2022-06-28 | 2022-07-29 | 杭州安恒信息技术股份有限公司 | 一种探测ip发现方法、装置、设备及存储介质 |
CN114827086B (zh) * | 2022-06-28 | 2022-09-16 | 杭州安恒信息技术股份有限公司 | 一种探测ip发现方法、装置、设备及存储介质 |
CN115314266A (zh) * | 2022-07-27 | 2022-11-08 | 阿里云计算有限公司 | 访问控制方法、装置、电子设备及可读存储介质 |
Also Published As
Publication number | Publication date |
---|---|
CN112134893B (zh) | 2023-08-29 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN112134893A (zh) | 物联网安全防护方法、装置、电子设备及存储介质 | |
Ponomarev et al. | Industrial control system network intrusion detection by telemetry analysis | |
CN107251513B (zh) | 用于恶意代码检测的准确保证的系统及方法 | |
CN105262722B (zh) | 终端恶意流量规则更新方法、云端服务器和安全网关 | |
RU2680736C1 (ru) | Сервер и способ для определения вредоносных файлов в сетевом трафике | |
CN111274583A (zh) | 一种大数据计算机网络安全防护装置及其控制方法 | |
US20160285914A1 (en) | Exploit detection system | |
CN109766700A (zh) | 访问文件的控制方法及装置、存储介质、电子装置 | |
CN112134897B (zh) | 网络攻击数据的处理方法和装置 | |
CN104025635A (zh) | 移动风险评估 | |
CN108270722B (zh) | 一种攻击行为检测方法和装置 | |
CN106713061B (zh) | 监测攻击报文的方法、系统及装置 | |
CN112073437B (zh) | 多维度的安全威胁事件分析方法、装置、设备及存储介质 | |
JP2015225500A (ja) | 認証用情報の窃取検知方法、認証用情報の窃取検知装置、及びプログラム | |
JP5739034B1 (ja) | 攻撃検知システム、攻撃検知装置、攻撃検知方法および攻撃検知プログラム | |
CN110880983A (zh) | 基于场景的渗透测试方法及装置、存储介质、电子装置 | |
CN115801464B (zh) | 一种基于tcp协议攻击的模拟仿真方法、系统、设备及存储介质 | |
CN106778229B (zh) | 一种基于vpn的恶意应用下载拦截方法及系统 | |
CN112532631A (zh) | 一种设备安全风险评估方法、装置、设备及介质 | |
CN111182537A (zh) | 移动应用的网络接入方法、装置及系统 | |
CN110839025A (zh) | 中心化web渗透检测蜜罐方法、装置、系统及电子设备 | |
CN106921671B (zh) | 一种网络攻击的检测方法及装置 | |
CN114172703A (zh) | 一种恶意软件识别方法、装置、介质 | |
TWI671655B (zh) | 用於程式安全保護的系統和方法 | |
CN113098852A (zh) | 一种日志处理方法及装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |