CN112398803A - 一种物联网系统安全威胁监测与防御系统及方法 - Google Patents

一种物联网系统安全威胁监测与防御系统及方法 Download PDF

Info

Publication number
CN112398803A
CN112398803A CN201910771070.XA CN201910771070A CN112398803A CN 112398803 A CN112398803 A CN 112398803A CN 201910771070 A CN201910771070 A CN 201910771070A CN 112398803 A CN112398803 A CN 112398803A
Authority
CN
China
Prior art keywords
information
terminal
internet
things
analysis
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
CN201910771070.XA
Other languages
English (en)
Inventor
不公告发明人
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Jiangsu Jumai Information Technology Co ltd
Original Assignee
Jiangsu Jumai Information Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Jiangsu Jumai Information Technology Co ltd filed Critical Jiangsu Jumai Information Technology Co ltd
Priority to CN201910771070.XA priority Critical patent/CN112398803A/zh
Publication of CN112398803A publication Critical patent/CN112398803A/zh
Withdrawn legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/45Network directories; Name-to-address mapping
    • H04L61/4505Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
    • H04L61/4511Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/02Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Medical Informatics (AREA)
  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种物联网系统安全威胁监测与防御系统,包括流量异常分析系统、物联网终端异常分析系统、业务异常分析系统、HTTP异常分析系统及威胁检测与情报生成系统,所述威胁检测与情报生成系统分别与流量异常分析系统、物联网终端异常分析系统、业务异常分析系统、HTTP异常分析系统电连接。本发明的系统可同时解决物联网中设备终端自身安全问题、终端云端交互安全问题、云端自身安全问题,包括第三方云端交互安全问题。

Description

一种物联网系统安全威胁监测与防御系统及方法
技术领域
本发明涉及物联网安全技术领域,特别涉及一种物联网系统安全威胁监测与防御系统及方法。
背景技术
随着物联网的飞速发展,国家发展进入了智能物联网时代,各种物理环境如家庭、企业办公、工厂生产、交通管理、航空大厅、医院大厅等等,物联网几乎无处不在,物联网安全威胁也越来越多。
目前,在物联网环境中,物联网中的安全问题越来越多,且物联网中设备越来越复杂,自有网络和第三方网络同时存在,难以通过某种设备或者方案发现和防御安全威胁。
现有技术中,在物联网方面的安全检测有如下方案:
(1)流量检测方案,存在缺陷为:物联网专用协议支持不完整,不支持多种流量安全检测,无法全局联动分析,单独部署安全威胁发现困难等问题;
(2)资产设备agent方案,存在缺陷为:在资产设备上安装agent程序,需要资产设备拥有一定的计算能力,存在兼容性差,单独部署安全威胁发现困难等问题;
(3)WEB应用防火墙方案,存在缺陷为:在WEB服务/API服务前端部署WEB应用防火墙,需要一定的服务器资源,且单独部署无法发现终端本身安全问题、终端与第三方网络安全问题。
发明内容
本发明的目的是克服上述背景技术中不足,提供一种物联网系统安全威胁监测与防御系统及方法,可同时解决物联网中设备终端自身安全问题、终端云端交互安全问题、云端自身安全问题,包括第三方云端交互安全问题。
为了达到上述的技术效果,本发明采取以下技术方案:
一种物联网系统安全威胁监测与防御系统,包括流量异常分析系统、物联网终端异常分析系统、业务异常分析系统、HTTP异常分析系统及威胁检测与情报生成系统,所述威胁检测与情报生成系统分别与流量异常分析系统、物联网终端异常分析系统、业务异常分析系统、HTTP异常分析系统相互连接;
所述流量异常分析系统用于通过分析流量数据实现资产发现、流量安全检测及威胁分析,并将分析得出的安全威胁事件上报威胁检测与情报生成系统;所述物联网终端异常分析系统用于通过采集分析终端信息实现资产发现及终端异常行为分析,并将分析得出的安全威胁事件上报威胁检测与情报生成系统;所述业务异常分析系统用于通过采集分析业务信息实现账号类安全分析及业务异常信息,并将分析得出的安全威胁事件上报威胁检测与情报生成系统;所述HTTP异常分析系统用于实现HTTP或HTTPS访问内的文本特征分析及HTTP异常行为分析,并将分析得出的安全威胁事件上报威胁检测与情报生成系统,所述威胁检测与情报生成系统用于根据收到的安全威胁事件生成威胁情报,所述威胁情报内至少包含以下内容:IP黑名单、高危设备ID、异常账号及风险账号。
进一步地,所述流量异常分析系统包括流量异常分析单元及若干流量检测设备,且所述流量检测设备部署于物联网终端网络交换机端口X,用于将物联网终端网络交换机其他待分析端口流量镜像到交换机端口X及通过分析流量数据实现资产发现、流量安全检测及威胁分析,并将分析结果上报流量异常分析单元,流量异常分析单元用于根据收到的信息自动发现和管理物联网内终端资产并且使用云端的威胁情报关联分析潜在的安全威胁。
进一步地,所述物联网终端异常分析系统包括物联网终端异常分析单元及若干终端信息采集agent,所述终端信息采集agent部署于物联网终端网络的强终端设备中且用于采集终端指纹信息、行为信息,并将采集的信息上报物联网终端异常分析单元,所述物联网终端异常分析单元用于根据收到的信息获取终端资产属性信息以及分析终端异常行为。
进一步地,所述业务异常分析系统包括业务异常分析单元及若干业务日志与消息日志收集器,所述业务日志与消息日志收集器部署于业务日志服务主机及消息服务主机中并用于采集业务信息并将采集的信息上报业务异常分析单元,业务异常分析单元用于通过分析收到的信息实现账号类安全分析及业务异常信息。
进一步地,所述HTTP异常分析系统包括HTTP异常分析单元及若干WEB应用防火墙,所述WEB应用防火墙部署于WEB服务或API服务前端且用于采集并分析HTTP或HTTPS访问内的文本特征并上报HTTP异常分析单元,所述HTTP异常分析单元用于分析HTTP异常行为。
同时,本发明还公开了一种物联网系统安全威胁监测与防御的方法,通过上述的物联网系统安全威胁监测与防御系统实现,具体包括以下步骤:
A1.部署流量检测设备于物联网终端网络交换机端口X,从而将物联网终端网络交换机其他待分析端口流量镜像到交换机端口X;
A2.流量检测设备根据协议识别特征库、资产服务特征库、mac地址前缀特征库以及获取到的物联网协议信息,解析获取协议的资产属性信息;
A3.流量检测设备根据获取到的信息进行流量安全检测,并将疑似异常流量和分析结果上报流量异常分析单元;
A4.流量异常分析单元根据收到的数据实现自动发现和管理物联网内终端资产,并使用云端的威胁情报关联分析潜在的安全威胁;
A5.流量异常分析单元将分析得到的安全威胁事件上报威胁检测与情报生成系统;
B1.部署终端信息采集agent于物联网终端网络的强终端设备中,由终端信息采集agent采集终端指纹信息、行为信息,并将采集的信息上报物联网终端异常分析单元;
B2.物联网终端异常分析单元根据终端指纹信息获取终端资产属性信息;
B3.物联网终端异常分析单元根据收集的信息进行物联网终端异常行为分析;
B4.物联网终端异常分析单元将分析得到的安全威胁事件上报威胁检测与情报生成系统;
C1.将WEB应用防火墙在WEB服务或API服务前端;
C2.WEB应用防火墙采集并分析HTTP或HTTPS访问内的文本特征并上报HTTP异常分析单元;
C3.HTTP异常分析单元根据收到的数据信息分析HTTP异常行为;
C4.HTTP异常分析单元将分析得到的安全威胁事件上报威胁检测与情报生成系统;
D1.将业务日志与消息日志收集器部署于业务日志服务主机及消息服务主机中;并业务日志与消息日志收集器采集业务信息并将采集的信息上报业务异常分析单元;
D2.业务异常分析单元通过分析收到的信息实现账号类安全分析及业务异常信息分析;
D3.业务异常分析单元将分析得到的安全威胁事件上报威胁检测与情报生成系统;
E.威胁检测与情报生成系统根据收到的安全威胁事件生成威胁情报,且威胁情报内至少包含以下内容:IP黑名单、高危设备ID、异常账号及风险账号。
进一步地,所述步骤A2中协议的资产属性信息至少包括源信息、目的mac信息、源IP信息、目的IP信息、资产服务信息;且所述步骤A3进行流量安全检测时至少包括以下步骤:
S1.根据DNS请求分析是否存在DGA域名;
S2.根据DNS请求和响应分析是否存在域名劫持;
S3.根据tcp或udp连接ip或端口信息分析是否存在异常外连情况;
S4.根据常用服务流量监控,分析是否存在网络流量异常。
进一步地,所述步骤B2中的终端资产属性信息至少包括终端mac地址信息、终端序列号信息、终端型号信息、终端IP地址信息,且所述步骤B3中进行物联网终端异常行为分析时至少包括以下步骤:
S1.根据DNS请求分析是否存在DGA域名;
S2.根据DNS请求和响应分析是否存在域名劫持;
S3.至少根据敏感事件、app权限信息分析是否存在非法提权;
S4.至少根据tcp或udp连接信息、资源使用的信息分析是否存在僵尸网络;
S5.至少根据tcp或udp连接信息、威胁情报信息分析是否存在异常外连;
S6.根据进程信息、敏感文件信息分析是否存在非法注入;
S7.根据特定木马特征分析是否存在特定木马种植;
S8.根据终端采集信息分析其他异常行为。
进一步地,所述步骤C2中,所述文本特征包括XSS攻击的信息、SQL注入的信息、命令注入的信息、文件包含的信息、信息泄露的信息、HTTP合规的信息、会话篡改的信息、爬虫的信息,且所述步骤C3中分析HTTP异常行为时至少包括以下步骤:
S1.根据个群对比规则分析某些路径是否存在CC攻击;
S2.根据个群对比规则分析登录接口是否存在暴力破解;
S3.根据个群对比规则分析注册接口是否存在批量注册;
S4.根据个群对比规则和自定义规则分析其他WEB访问异常行为,
其中,个群对比规则具体如:将所有用户对某一路径接口的平均访问频率与某一用户对该路径接口的平均访问频率进行比较,若该用户的平均访问频率显著大于所有用户的平均访问频率,则判定该个体存在CC攻击行为或暴力破解或批量注册等。
进一步地,所述步骤D2中账号类安全分析时包括以下步骤:
S1.根据登录页、注册页鼠标行为分析是否存在机器行为;
S2.根据登录页用户键鼠行为、指纹信息分析是否存在盗号行为;
S3.根据注册页用户键鼠行为、指纹信息、账户属性信息分析是否存在批量注册行为;
所述步骤D2中进行业务异常信息分析时包括以下步骤:
S1.根据消息系统登录行为,分析是否存在暴力破解;
S2.根据消息信息订阅行为,分析是否存在信息遍历;
S3.根据个群对比算法和自定义规则分析其他业务异常行为,如若消息系统中控制指令动作访问路径为/login.do->/select.do->/control.do,所有用户的平均访问频率为每小时10次(群体特征),针对用户18.2.3.2签到访问路径为/login.do->/control.do,平均访问频率为每分钟10次(个体特征),通过个群对比规则发现差距较大,且自定义访问路径规则中访问路径差异太大,则判定该个体存在机器控制行为。
本发明与现有技术相比,具有以下的有益效果:
本发明的物联网系统安全威胁监测与防御系统及方法,可有效解决在物联网环境中安全威胁监测与防御问题,如自有网络和第三方网络同时存在时,难以通过某种设备或者方案发现和防御安全威胁的难题,通过本的技术方案可同时解决物联网中设备终端自身安全问题、终端云端交互安全问题、云端自身安全问题,包括第三方云端交互安全问题,且支持多种物联网专用协议,可实现物联网资产的自动发现和管理,从而提供多种组合防御方式。
附图说明
图1是本发明的物联网系统安全威胁监测与防御系统的部署示意图。
图2是本发明的物联网系统安全威胁监测与防御的方法的流程示意图。
具体实施方式
下面结合本发明的实施例对本发明作进一步的阐述和说明。
实施例:
实施例一:
如图1所示,一种物联网系统安全威胁监测与防御系统,包括流量异常分析系统、物联网终端异常分析系统、业务异常分析系统、HTTP异常分析系统及威胁检测与情报生成系统,所述威胁检测与情报生成系统分别与流量异常分析系统、物联网终端异常分析系统、业务异常分析系统、HTTP异常分析系统相互连接。
具体的,所述流量异常分析系统用于通过分析流量数据实现资产发现、流量安全检测及威胁分析,并将分析得出的安全威胁事件上报威胁检测与情报生成系统;且本实施例中,所述流量异常分析系统包括流量异常分析单元及若干流量检测设备,且所述流量检测设备部署于物联网终端网络交换机端口X,用于将物联网终端网络交换机其他待分析端口流量镜像到交换机端口X及通过分析流量数据实现资产发现、流量安全检测及威胁分析,并将分析结果上报流量异常分析单元,流量异常分析单元用于根据收到的信息自动发现和管理物联网内终端资产并且使用云端的威胁情报关联分析潜在的安全威胁。
具体的,所述物联网终端异常分析系统用于通过采集分析终端信息实现资产发现及终端异常行为分析,并将分析得出的安全威胁事件上报威胁检测与情报生成系统。本实施例中,所述物联网终端异常分析系统包括物联网终端异常分析单元及若干终端信息采集agent,所述终端信息采集agent部署于物联网终端网络的强终端设备中且用于采集终端指纹信息、行为信息,并将采集的信息上报物联网终端异常分析单元,所述物联网终端异常分析单元用于根据收到的信息获取终端资产属性信息以及分析终端异常行为。
具体的,所述业务异常分析系统用于通过采集分析业务信息实现账号类安全分析及业务异常信息,并将分析得出的安全威胁事件上报威胁检测与情报生成系统;作为优选,本实施例中,所述业务异常分析系统包括业务异常分析单元及若干业务日志与消息日志收集器,所述业务日志与消息日志收集器部署于业务日志服务主机及消息服务主机中并用于采集业务信息并将采集的信息上报业务异常分析单元,业务异常分析单元用于通过分析收到的信息实现账号类安全分析及业务异常信息。
具体的,所述HTTP异常分析系统用于实现HTTP或HTTPS访问内的文本特征分析及HTTP异常行为分析,并将分析得出的安全威胁事件上报威胁检测与情报生成系统,本实施例中,所述HTTP异常分析系统包括HTTP异常分析单元及若干WEB应用防火墙,所述WEB应用防火墙部署于WEB服务或API服务前端且用于采集并分析HTTP或HTTPS访问内的文本特征并上报HTTP异常分析单元,所述HTTP异常分析单元用于分析HTTP异常行为。
所述威胁检测与情报生成系统用于根据收到的安全威胁事件生成威胁情报,所述威胁情报内至少包含以下内容:IP黑名单(可用于WEB服务或API服务及消息系统进行实时防御)、高危设备ID(可用于WEB服务或API服务及消息系统进行实时防御)、异常账号(即已发现的垃圾账号,可用于物联网业务系统进行风险控制)及风险账号(即已发现的被盗用账号,可用于物联网业务系统进行风险控制)。
实施例二
如图2所示,一种物联网系统安全威胁监测与防御的方法,通过上述的物联网系统安全威胁监测与防御系统实现,具体包括以下步骤:
A1.部署流量检测设备于物联网终端网络交换机端口X,从而将物联网终端网络交换机其他待分析端口流量镜像到交换机端口X;
A2.流量检测设备根据协议识别特征库、资产服务特征库、mac地址前缀特征库以及获取到的物联网协议信息,解析获取协议的资产属性信息,其中,资产属性信息至少包括源信息、目的mac信息、源IP信息、目的IP信息、资产服务信息;
作为优选,本实施例中,进行流量安全检测时至少包括以下步骤:
S1.根据DNS请求分析是否存在DGA域名;
S2.根据DNS请求和响应分析是否存在域名劫持;
S3.根据tcp或udp连接ip或端口信息分析是否存在异常外连情况;
S4.根据常用服务流量监控,分析是否存在网络流量异常。
A3.流量检测设备根据获取到的信息进行流量安全检测,并将疑似异常流量和分析结果上报流量异常分析单元;
A4.流量异常分析单元根据收到的数据实现自动发现和管理物联网内终端资产,并使用云端的威胁情报关联分析潜在的安全威胁;
A5.流量异常分析单元将分析得到的安全威胁事件上报威胁检测与情报生成系统;
B1.部署终端信息采集agent于物联网终端网络的强终端设备中,由终端信息采集agent采集终端指纹信息、行为信息,并将采集的信息上报物联网终端异常分析单元;
B2.物联网终端异常分析单元根据终端指纹信息获取终端资产属性信息;其中,终端资产属性信息至少包括终端mac地址信息、终端序列号信息、终端型号信息、终端IP地址信息。
B3.物联网终端异常分析单元根据收集的信息进行物联网终端异常行为分析;具体包括以下步骤:
S1.根据DNS请求分析是否存在DGA域名;
S2.根据DNS请求和响应分析是否存在域名劫持;
S3.至少根据敏感事件、app权限信息分析是否存在非法提权;
S4.至少根据tcp或udp连接信息、资源使用的信息分析是否存在僵尸网络;
S5.至少根据tcp或udp连接信息、威胁情报信息分析是否存在异常外连;
S6.根据进程信息、敏感文件信息分析是否存在非法注入;
S7.根据特定木马特征分析是否存在特定木马种植;
S8.根据终端采集信息分析其他异常行为。
B4.物联网终端异常分析单元将分析得到的安全威胁事件上报威胁检测与情报生成系统;
C1.将WEB应用防火墙在WEB服务或API服务前端;
C2.WEB应用防火墙采集并分析HTTP或HTTPS访问内的文本特征并上报HTTP异常分析单元;
其中,文本特征包括XSS攻击的信息、SQL注入的信息、命令注入的信息、文件包含的信息、信息泄露的信息、HTTP合规的信息、会话篡改的信息、爬虫的信息。
具体的,分析HTTP异常行为时至少包括以下步骤:
S1.根据个群对比分析某些路径是否存在CC攻击;本实施例中具体为:若域名www.changhong.com下钱包接口/wallet.do所有用户的平均访问频率为每分钟10次(群体特征),针对用户18.2.3.2平均访问频率为每分钟30次(个体特征),通过个群对比规则发现差距较大,则判定该个体存在CC攻击行为;
S2.根据个群对比分析登录接口是否存在暴力破解;本实施例中具体为:若域名www.changhong.com下登录接口/login.do所有用户的平均访问频率为每分钟5次(群体特征),针对用户18.2.3.2平均访问频率为每分钟23次(个体特征),通过个群对比规则发现差距较大,判定该个体存在暴力破解行为;
S3.根据个群对比分析注册接口是否存在批量注册;本实施例中具体为:若域名www.changhong.com下登录接口/register.do所有用户的平均访问频率为每小时5次(群体特征),针对用户18.2.3.2平均访问频率为每分钟23次(个体特征),通过个群对比规则发现差距较大,判定该个体存在批量注册行为;
S4.根据个群对比算法和自定义规则分析其他WEB访问异常行为,本实施例中具体为:若域名www.changhong.com下签到动作访问路径为/login.do->/userinfo.do->/signin.do,所有用户的平均访问频率为每小时10次(群体特征),针对用户18.2.3.2签到访问路径为/login.do->/signin.do,平均访问频率为每分钟10次(个体特征),通过个群对比规则发现差距较大,且自定义访问路径规则中访问路径差异太大,判定该个体存在机器签到行为。
C3.HTTP异常分析单元根据收到的数据信息分析HTTP异常行为;
C4.HTTP异常分析单元将分析得到的安全威胁事件上报威胁检测与情报生成系统;
D1.将业务日志与消息日志收集器部署于业务日志服务主机及消息服务主机中;并业务日志与消息日志收集器采集业务信息并将采集的信息上报业务异常分析单元;
D2.业务异常分析单元通过分析收到的信息实现账号类安全分析及其他业务异常信息分析;
其中,进行账号类安全分析时包括以下步骤:
S1.根据登录页、注册页鼠标行为分析是否存在机器行为;
S2.根据登录页用户键鼠行为、指纹信息分析是否存在盗号行为;
S3.根据注册页用户键鼠行为、指纹信息、账户属性信息分析是否存在批量注册行为;
进行其他业务异常信息分析时包括以下步骤:
S1.根据消息系统登录行为,分析是否存在暴力破解;
S2.根据消息信息订阅行为,分析是否存在信息遍历;
S3.根据个群对比算法和自定义规则分析其他业务异常行为;如若消息系统中控制指令动作访问路径为/login.do->/select.do->/control.do,所有用户的平均访问频率为每小时10次(群体特征),针对用户18.2.3.2签到访问路径为/login.do->/control.do,平均访问频率为每分钟10次(个体特征),通过个群对比规则发现差距较大,且自定义访问路径规则中访问路径差异太大,则判定该个体存在机器控制行为。
D3.业务异常分析单元将分析得到的安全威胁事件上报威胁检测与情报生成系统;
E.威胁检测与情报生成系统根据收到的安全威胁事件生成威胁情报,且威胁情报内至少包含以下内容:IP黑名单:可用于WEB服务或API服务及消息系统进行实时防御、高危设备ID:可用于WEB服务或API服务及消息系统进行实时防御、异常账号:即已发现的垃圾账号,可用于物联网业务系统进行风险控制、风险账号:即已发现的被盗用账号,可用于物联网业务系统进行风险控制。
由上可知,本发明的物联网系统安全威胁监测与防御系统及方法,可有效解决在物联网环境中安全威胁监测与防御问题,如自有网络和第三方网络同时存在时,难以通过某种设备或者方案发现和防御安全威胁的难题,通过本的技术方案可同时解决物联网中设备终端自身安全问题、终端云端交互安全问题、云端自身安全问题,包括第三方云端交互安全问题,且支持多种物联网专用协议,可实现物联网资产的自动发现和管理,从而提供多种组合防御方式。
可以理解的是,以上实施方式仅仅是为了说明本发明的原理而采用的示例性实施方式,然而本发明并不局限于此。对于本领域内的普通技术人员而言,在不脱离本发明的精神和实质的情况下,可以做出各种变型和改进,这些变型和改进也视为本发明的保护范围。

Claims (10)

1.一种物联网系统安全威胁监测与防御系统,其特征在于,包括流量异常分析系统、物联网终端异常分析系统、业务异常分析系统、HTTP异常分析系统及威胁检测与情报生成系统,所述威胁检测与情报生成系统分别与流量异常分析系统、物联网终端异常分析系统、业务异常分析系统、HTTP异常分析系统相互连接;
所述流量异常分析系统用于通过分析流量数据实现资产发现、流量安全检测及威胁分析,并将分析得出的安全威胁事件上报威胁检测与情报生成系统;所述物联网终端异常分析系统用于通过采集分析终端信息实现资产发现及终端异常行为分析,并将分析得出的安全威胁事件上报威胁检测与情报生成系统;所述业务异常分析系统用于通过采集分析业务信息实现账号类安全分析及业务异常信息,并将分析得出的安全威胁事件上报威胁检测与情报生成系统;所述HTTP异常分析系统用于实现HTTP或HTTPS访问内的文本特征分析及HTTP异常行为分析,并将分析得出的安全威胁事件上报威胁检测与情报生成系统,所述威胁检测与情报生成系统用于根据收到的安全威胁事件生成威胁情报,所述威胁情报内至少包含以下内容:IP黑名单、高危设备ID、异常账号及风险账号。
2.根据权利要求1所述的一种物联网系统安全威胁监测与防御系统,其特征在于,所述流量异常分析系统包括流量异常分析单元及若干流量检测设备,且所述流量检测设备部署于物联网终端网络交换机端口X,用于将物联网终端网络交换机其他待分析端口流量镜像到交换机端口X及通过分析流量数据实现资产发现、流量安全检测及威胁分析,并将分析结果上报流量异常分析单元,流量异常分析单元用于根据收到的信息自动发现和管理物联网内终端资产并且使用云端的威胁情报关联分析潜在的安全威胁。
3.根据权利要求2所述的一种物联网系统安全威胁监测与防御系统,其特征在于,所述物联网终端异常分析系统包括物联网终端异常分析单元及若干终端信息采集agent,所述终端信息采集agent部署于物联网终端网络的强终端设备中且用于采集终端指纹信息、行为信息,并将采集的信息上报物联网终端异常分析单元,所述物联网终端异常分析单元用于根据收到的信息获取终端资产属性信息以及分析终端异常行为。
4.根据权利要求3所述的一种物联网系统安全威胁监测与防御系统,其特征在于,所述业务异常分析系统包括业务异常分析单元及若干业务日志与消息日志收集器,所述业务日志与消息日志收集器部署于业务日志服务主机及消息服务主机中并用于采集业务信息并将采集的信息上报业务异常分析单元,业务异常分析单元用于通过分析收到的信息实现账号类安全分析及业务异常信息。
5.根据权利要求4所述的一种物联网系统安全威胁监测与防御系统,其特征在于,所述HTTP异常分析系统包括HTTP异常分析单元及若干WEB应用防火墙,所述WEB应用防火墙部署于WEB服务或API服务前端且用于采集并分析HTTP或HTTPS访问内的文本特征并上报HTTP异常分析单元,所述HTTP异常分析单元用于分析HTTP异常行为。
6.一种物联网系统安全威胁监测与防御的方法,其特征在于,通过如权利要求5所述的物联网系统安全威胁监测与防御系统实现,具体包括以下步骤:
A1.部署流量检测设备于物联网终端网络交换机端口X,从而将物联网终端网络交换机其他待分析端口流量镜像到交换机端口X;
A2.流量检测设备根据协议识别特征库、资产服务特征库、mac地址前缀特征库以及获取到的物联网协议信息,解析获取协议的资产属性信息;
A3.流量检测设备根据获取到的信息进行流量安全检测,并将疑似异常流量和分析结果上报流量异常分析单元;
A4.流量异常分析单元根据收到的数据实现自动发现和管理物联网内终端资产,并使用云端的威胁情报关联分析潜在的安全威胁;
A5.流量异常分析单元将分析得到的安全威胁事件上报威胁检测与情报生成系统;
B1.部署终端信息采集agent于物联网终端网络的强终端设备中,由终端信息采集agent采集终端指纹信息、行为信息,并将采集的信息上报物联网终端异常分析单元;
B2.物联网终端异常分析单元根据终端指纹信息获取终端资产属性信息;
B3.物联网终端异常分析单元根据收集的信息进行物联网终端异常行为分析;
B4.物联网终端异常分析单元将分析得到的安全威胁事件上报威胁检测与情报生成系统;
C1.将WEB应用防火墙部署在WEB服务或API服务前端;
C2.WEB应用防火墙采集并分析HTTP或HTTPS访问文本特征并将访问信息上报HTTP异常分析单元;
C3.HTTP异常分析单元根据收到的数据信息分析HTTP异常访问行为;
C4.HTTP异常分析单元将分析得到的安全威胁事件上报威胁检测与情报生成系统;
D1.将业务日志与消息日志收集器部署于业务日志服务主机及消息服务主机中;并将业务日志与消息日志收集器采集的业务日志信息上报业务异常分析单元;
D2.业务异常分析单元通过分析收到的信息实现账号类安全分析及业务异常信息分析;
D3.业务异常分析单元将分析得到的安全威胁事件上报威胁检测与情报生成系统;
E.威胁检测与情报生成系统根据收到的安全威胁事件生成威胁情报,且威胁情报内至少包含以下内容:IP黑名单、高危设备ID、异常账号及风险账号。
7.根据权利要求6所述的一种物联网系统安全威胁监测与防御的方法,其特征在于,所述步骤A2中协议的资产属性信息至少包括源信息、目的mac信息、源IP信息、目的IP信息、资产服务信息;且所述步骤A3进行流量安全检测时至少包括以下步骤:
S1.根据DNS请求分析是否存在DGA域名;
S2.根据DNS请求和响应分析是否存在域名劫持;
S3.根据tcp或udp连接ip或端口信息分析是否存在异常外连情况;
S4.根据常用服务流量监控,分析是否存在网络流量异常。
8.根据权利要求6所述的一种物联网系统安全威胁监测与防御的方法,其特征在于,所述步骤B2中的终端资产属性信息至少包括终端mac地址信息、终端序列号信息、终端型号信息、终端IP地址信息,且所述步骤B3中进行物联网终端异常行为分析时至少包括以下步骤:
S1.根据DNS请求分析是否存在DGA域名;
S2.根据DNS请求和响应分析是否存在域名劫持;
S3.至少根据敏感事件、app权限信息分析是否存在非法提权;
S4.至少根据tcp或udp连接信息、资源使用的信息分析是否存在僵尸网络;
S5.至少根据tcp或udp连接信息、威胁情报信息分析是否存在异常外连;
S6.根据进程信息、敏感文件信息分析是否存在非法注入;
S7.根据特定木马特征分析是否存在特定木马种植;
S8.根据终端采集信息分析其他异常行为。
9.根据权利要求6所述的一种物联网系统安全威胁监测与防御的方法,其特征在于,所述步骤C2中,所述文本特征包括XSS攻击的信息、SQL注入的信息、命令注入的信息、文件包含的信息、信息泄露的信息、HTTP合规的信息、会话篡改的信息、爬虫的信息,且所述步骤C3中分析HTTP异常行为时至少包括以下步骤:
S1.根据个群对比分析某些路径是否存在CC攻击行为;
S2.根据个群对比分析登录接口是否存在暴力破解;
S3.根据个群对比分析注册接口是否存在批量注册;
S4.根据个群对比规则和自定义规则分析其他WEB访问异常行为。
10.根据权利要求6所述的一种物联网系统安全威胁监测与防御的方法,其特征在于,所述步骤D2中账号类安全分析时包括以下步骤:
S1.根据登录页、注册页鼠标行为分析是否存在机器行为;
S2.根据登录页用户键鼠行为、指纹信息分析是否存在盗号行为;
S3.根据注册页用户键鼠行为、指纹信息、账户属性信息分析是否存在批量注册行为;
所述步骤D2中进行业务异常信息分析时包括以下步骤:
S1.根据消息系统登录行为,分析是否存在暴力破解;
S2.根据消息信息订阅行为,分析是否存在信息遍历;
S3.根据个群对比算法和自定义规则分析其他业务异常行为。
CN201910771070.XA 2019-08-19 2019-08-19 一种物联网系统安全威胁监测与防御系统及方法 Withdrawn CN112398803A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201910771070.XA CN112398803A (zh) 2019-08-19 2019-08-19 一种物联网系统安全威胁监测与防御系统及方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201910771070.XA CN112398803A (zh) 2019-08-19 2019-08-19 一种物联网系统安全威胁监测与防御系统及方法

Publications (1)

Publication Number Publication Date
CN112398803A true CN112398803A (zh) 2021-02-23

Family

ID=74603645

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201910771070.XA Withdrawn CN112398803A (zh) 2019-08-19 2019-08-19 一种物联网系统安全威胁监测与防御系统及方法

Country Status (1)

Country Link
CN (1) CN112398803A (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN117411732A (zh) * 2023-12-15 2024-01-16 国网四川省电力公司技能培训中心 网络安全事件的监测方法及其系统

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN117411732A (zh) * 2023-12-15 2024-01-16 国网四川省电力公司技能培训中心 网络安全事件的监测方法及其系统
CN117411732B (zh) * 2023-12-15 2024-03-22 国网四川省电力公司技能培训中心 网络安全事件的监测方法及其系统

Similar Documents

Publication Publication Date Title
CN110113350B (zh) 一种物联网系统安全威胁监测与防御系统及方法
US11418538B2 (en) Method, apparatus, and system to map network reachability
US10230750B2 (en) Secure computing environment
US20180124082A1 (en) Classifying logins, for example as benign or malicious logins, in private networks such as enterprise networks for example
EP2715975B1 (en) Network asset information management
US8640234B2 (en) Method and apparatus for predictive and actual intrusion detection on a network
US20180034837A1 (en) Identifying compromised computing devices in a network
CN113691566B (zh) 基于空间测绘和网络流量统计的邮件服务器窃密检测方法
US20230208870A1 (en) Systems and methods for predictive analysis of potential attack patterns based on contextual security information
Garcia Modelling the network behaviour of malware to block malicious patterns. the stratosphere project: a behavioural ips
Mohammed et al. Honeycyber: Automated signature generation for zero-day polymorphic worms
CN110581850A (zh) 一种基于网络流量基因检测方法
Saputro et al. Medium interaction honeypot infrastructure on the internet of things
Meijerink Anomaly-based detection of lateral movement in a microsoft windows environment
Hermanowski Open source security information management system supporting it security audit
CN112398803A (zh) 一种物联网系统安全威胁监测与防御系统及方法
Seo et al. Abnormal behavior detection to identify infected systems using the APChain algorithm and behavioral profiling
Resmi et al. Intrusion detection system techniques and tools: A survey
Sourour et al. Network security alerts management architecture for signature-based intrusions detection systems within a NAT environment
Berthier et al. An evaluation of connection characteristics for separating network attacks
Kumar et al. IPv6 network security using Snort
Lyu et al. A survey on enterprise network security: Asset behavioral monitoring and distributed attack detection
Almomani et al. Botnet Behavior and Detection Techniques: A Review
Burke et al. Tracking botnets on Nation Research and Education Network
Kushwah et al. An approach to meta-alert generation for anomalous tcp traffic

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
WW01 Invention patent application withdrawn after publication

Application publication date: 20210223

WW01 Invention patent application withdrawn after publication
DD01 Delivery of document by public notice

Addressee: Yang Jing

Document name: Notification of conformity

DD01 Delivery of document by public notice