CN112615858B - 物联网设备监控方法、装置与系统 - Google Patents
物联网设备监控方法、装置与系统 Download PDFInfo
- Publication number
- CN112615858B CN112615858B CN202011494286.5A CN202011494286A CN112615858B CN 112615858 B CN112615858 B CN 112615858B CN 202011494286 A CN202011494286 A CN 202011494286A CN 112615858 B CN112615858 B CN 112615858B
- Authority
- CN
- China
- Prior art keywords
- flow
- terminal
- preset
- traffic
- type
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/126—Applying verification of the received information the source of the received data
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/12—Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
Abstract
本公开涉及一种物联网设备监控方法、装置与系统。物联网设备监控方法包括:响应流量上传请求,获取待上传流量及所述流量上传请求对应的终端识别符;如果在授权终端识别符名单中查找到所述终端识别符,判断所述待上传流量的流量类型是否为所述终端识别符对应的预设流量类型;在所述待上传流量的流量类型为预设流量类型时,将所述待上传流量传输到内网服务器;在所述待上传流量的流量类型不为所述预设流量类型时,获取所述流量上传请求对应的预设信息并记录。本公开实施例可以提高物联网的安全性。
Description
技术领域
本公开涉及物联网技术领域,具体而言,涉及一种物联网设备监控方法、装置与系统。
背景技术
随着物联网的迅速发展及基础设施通信系统的IP化,海量设备通过网络互联将成为趋势。在公安、交警、电力能源等行业中,大量网络摄像机、抓拍器、RFID(RadioFrequency Identification,射频识别)设备等前端设备已经大规模部署在城市的各个角落,当今社会已经逐渐进入物联网时代。
和传统的互联网相比,物联网前端设备数量巨大、物理部署范围更广,除了人机互联以外还包含大量的设备互联,大量分散在无人值守的环境下,人为监管困难,终端设备极易被黑客利用,借以渗透到整个网络,导致核心业务系统无法正常运行、大量保密信息被窃取。因此,建立完善的终端接入管控机制是物联网安全体系建设的重点之一。
需要说明的是,在上述背景技术部分公开的信息仅用于加强对本公开的背景的理解,因此可以包括不构成对本领域普通技术人员已知的现有技术的信息。
发明内容
本公开的目的在于提供一种物联网设备监控方法与物联网设备监控装置,用于至少在一定程度上克服由于相关技术的限制和缺陷而导致的物联网终端设备易被黑客利用的问题。
根据本公开实施例的第一方面,提供一种物联网设备监控方法,包括:响应流量上传请求,获取待上传流量及所述流量上传请求对应的终端识别符;如果在授权终端识别符名单中查找到所述终端识别符,判断所述待上传流量的流量类型是否为所述终端识别符对应的预设流量类型;在所述待上传流量的流量类型为预设流量类型时,将所述待上传流量传输到内网服务器;在所述待上传流量的流量类型不为所述预设流量类型时,获取所述流量上传请求对应的预设信息并记录。
在本公开的一种示例性实施例中,所述待上传流量对应的终端包括网络摄像机,所述预设流量类型包括基于用户数据报协议生成的流量。
在本公开的一种示例性实施例中,所述预设信息至少包括:
所述流量上传请求的发生时间、终端IP地址、终端MAC地址、目的IP地址、终端端口号、终端协议类型、终端类型。
在本公开的一种示例性实施例中,所述获取所述流量上传请求对应的预设信息并记录包括:
根据所述预设信息实时更新流量监控信息图表,所述流量监控信息图表根据多条流量上传请求对应的预设信息生成。
根据本公开的第二方面,提供一种物联网监控系统,包括:
多个终端设备,用于基于对应的预设流量类型生成流量上传请求;
监控设备,连接所述多个终端设备,用于执行如权利要求1~4任一项所述的方法,接收并监控来自所述多个终端设备的流量上传请求;
内网服务器,连接所述监控设备,用于接收所述监控设备发送的流量上传请求并对所述流量上传请求进行处理。
在本公开的一种示例性实施例中,所述监控系统还包括:
管理终端,连接所述监控设备,用于存储每个所述终端设备对应的预设流量类型,显示流量监控信息图表,所述流量监控信息图表根据不符合对应终端预设流量类型的流量上传请求的预设信息生成。
在本公开的一种示例性实施例中,所述终端设备包括网络摄像机,所述预设流量类型包括基于用户数据报协议生成的流量。
根据本公开实施例的第三方面,提供一种物联网设备监控装置,包括:
信息获取模块,设置为响应流量上传请求,获取待上传流量及所述流量上传请求对应的终端识别符;
双重验证模块,设置为如果在授权终端识别符名单中查找到所述终端识别符,判断所述待上传流量的流量类型是否为所述终端识别符对应的预设流量类型;
信息传输模块,设置为在所述待上传流量的流量类型为预设流量类型时,将所述待上传流量传输到内网服务器;
信息拦截模块,设置为在所述待上传流量的流量类型不为所述预设流量类型时,获取所述流量上传请求对应的预设信息并记录。
根据本公开的第四方面,提供一种电子设备,包括:存储器;以及耦合到所述存储器的处理器,所述处理器被配置为基于存储在所述存储器中的指令,执行如上述任意一项所述的物联网设备监控方法。
根据本公开的第五方面,提供一种计算机可读存储介质,其上存储有程序,该程序被处理器执行时实现如上述任意一项所述的物联网设备监控方法。
本公开实施例通过在接收到终端设备上传的流量时,对终端识别符和流量类型进行双重验证,可以提高对黑客利用分散安装的终端设备入侵内网、窃取机密等行为的防范力度;通过为每个终端设备设置对应的预设流量类型,可以进一步提高黑客通过终端设备入侵内网的难度,提高物联网的安全性。
应当理解的是,以上的一般描述和后文的细节描述仅是示例性和解释性的,并不能限制本公开。
附图说明
此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本公开的实施例,并与说明书一起用于解释本公开的原理。显而易见地,下面描述中的附图仅仅是本公开的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是应用本公开实施例提供的物联网设备监控方法的物联网设备监控系统的示意图。
图2是本公开示例性实施例中物联网设备监控方法的流程图。
图3是本公开另一个实施例中物联网设备监控系统的示意图。
图4是本公开一个示例性实施例中一种物联网设备监控装置的方框图。
图5是本公开一个示例性实施例中一种电子设备的方框图。
具体实施方式
现在将参考附图更全面地描述示例实施方式。然而,示例实施方式能够以多种形式实施,且不应被理解为限于在此阐述的范例;相反,提供这些实施方式使得本公开将更加全面和完整,并将示例实施方式的构思全面地传达给本领域的技术人员。所描述的特征、结构或特性可以以任何合适的方式结合在一个或更多实施方式中。在下面的描述中,提供许多具体细节从而给出对本公开的实施方式的充分理解。然而,本领域技术人员将意识到,可以实践本公开的技术方案而省略所述特定细节中的一个或更多,或者可以采用其它的方法、组元、装置、步骤等。在其它情况下,不详细示出或描述公知技术方案以避免喧宾夺主而使得本公开的各方面变得模糊。
此外,附图仅为本公开的示意性图解,图中相同的附图标记表示相同或类似的部分,因而将省略对它们的重复描述。附图中所示的一些方框图是功能实体,不一定必须与物理或逻辑上独立的实体相对应。可以采用软件形式来实现这些功能实体,或在一个或多个硬件模块或集成电路中实现这些功能实体,或在不同网络和/或处理器装置和/或微控制器装置中实现这些功能实体。
下面结合附图对本公开示例实施方式进行详细说明。
图1是应用本公开实施例提供的物联网设备监控方法的物联网设备监控系统的示意图。
参考图1,监控系统100可以包括:
多个终端设备11,用于基于对应的预设流量类型生成流量上传请求;
监控设备12,连接所述多个终端设备,用于执行物联网设备监控方法,接收并监控来自所述多个终端设备的流量上传请求;
内网服务器13,连接所述监控设备,用于接收所述监控设备发送的流量上传请求并对所述流量上传请求进行处理。
终端设备11和监控设备12之间的连接方式例如通过无线网络(Wi-Fi)、蜂窝网络、红外、蓝牙等无线通讯形式实现,或者通过有线通讯形式实现;监控设备12和内网服务器13之间例如可以通过有线或无线通讯方式实现。本公开实施例对连接方式不作特殊限制。
在本公开实施例中,终端设备11的种类例如可以包括网络摄像机、抓拍器、射频识别前端等,每个终端设备11具有唯一的终端识别符,每个终端设备11按照与终端识别符对应的预设流量类型生成流量请求并上传。
在一个实施例中,当新的终端设备11接入监控设备12时,监控设备12可以获取该新的终端设备11允许的流量类型并与终端识别符对应记录,将新的终端设备11允许的流量类型记录为该终端识别符对应的预设流量类型,以供后续进行流量类型验证。
在另一个实施例中,监控设备12可以根据新的终端设备11允许的多个流量类型确定一个目标流量类型,限定该新的终端设备11仅能通过该目标流量类型与内网服务器13通讯。由于黑客无法得知该新的终端设备11中某些允许的流量类型并非监控设备12设置的目标流量类型,一旦黑客视图劫持该终端设备11,使用非目标流量类型以外的流量类型发送流量上传请求,可以被监控设备12及时发现。
在再一个实施例中,监控设备12也可以根据新的终端设备11允许的多个流量类型,确定新的终端设备11与监控设备12之间通讯的预设流量类型,例如限定新的终端设备11每次发送流量上传请求时,在预设流量类型的预设位填入预设数据,以供验证。
此外,监控设备12也可以保存一个合法协议白名单,将全部已接入的终端设备11对应的流量类型加入该合法协议白名单作为全部终端设备11的预设流量类型,不对终端设备11和预设流量类型的对应关系进行限定,以提高管理效率和监控时输出判断结果的效率。
在多个终端设备11接入监控设备12后,监控设备12执行物联网设备监控方法200接收并监控各终端设备11的流量上传请求,并将通过监控的流量上传请求传输到内网服务器13,以供内网服务器13处理来自多个终端设备11的流量数据。
图2是本公开示例性实施例中物联网设备监控方法的流程图。
参考图2,物联网设备监控方法200可以包括:
步骤S1,响应流量上传请求,获取待上传流量及所述流量上传请求对应的终端识别符;
步骤S2,如果在授权终端识别符名单中查找到所述终端识别符,判断所述待上传流量的流量类型是否为所述终端识别符对应的预设流量类型;
步骤S3,在所述待上传流量的流量类型为预设流量类型时,将所述待上传流量传输到内网服务器;
步骤S4,在所述待上传流量的流量类型不为所述预设流量类型时,获取所述流量上传请求对应的预设信息并记录。
本公开实施例通过在接收到终端设备上传的流量时,对终端识别符和流量类型进行双重验证,可以提高对黑客利用分散安装的终端设备入侵内网、窃取机密等行为的防范力度;通过为每个终端设备设置对应的预设流量类型,可以进一步提高黑客通过终端设备入侵内网的难度,提高物联网的安全性。
下面,对物联网设备监控方法200进行详细说明。
在本公开实施例中,监控设备12在接到任意已连接的终端设备11发送的流量上传请求时,获取该流量上传请求中记录的终端识别符和流量内容。
首先进行终端验证,以确保该条流量上传请求来自合法终端设备,而非私自接入的终端设备。进行终端验证的方法例如可以为在授权终端识别符名单中查找该终端识别符。监控设备12可以保存一个授权终端识别符名单,记录已合法连接的终端设备11的终端识别符。为了防止外部设备非法接入监控设备12,可以仅在新的终端设备11按照预设程序接入时使用该新的终端设备11的终端识别符更新该授权终端识别符名单。
验证该流量上传请求对应的终端识别符后,进一步验证该流量上传请求是否为合法上传。在本公开实施例中,可以根据该流量上传请求获取到待上传流量的数据包,进而判断该待上传流量是否为该流量上传请求中记录的终端识别符对应的预设流量类型。
在一个实施例中,预设流量类型例如可以包括UDP(User Datagram Protocol,用户数据报协议)。UDP是一种无连接的传输层协议,它主要用于不要求分组顺序到达的传输中,提供面向事务的简单不可靠信息传送服务UDP提供了无连接通信,且不对传送数据包进行可靠性保证,适合于一次传输少量数据。在UDP协议层次模型中,UDP位于IP层之上。应用程序访问UDP层然后使用IP层传送数据报。IP数据包的数据部分即为UDP数据包。IP层的报头指明了源主机和目的主机地址,而UDP层的报头指明了主机上的源端口和目的端口。UDP传输的段(segment)有8个字节的报头和有效载荷字段构成。UDP报头由4个域组成,其中每个域各占用2个字节,具体包括源端口号、目标端口号、数据报长度、校验值。
可以通过检验待上传流量的格式,来确定该待上传流量是否为UDP报文。在本公开的其他实施例中,与终端设备11对应的预设流量类型也可以为其他类型,本公开实施例对此不作特殊限制。
监控设备12可以通过多种方式记录每个终端设备11对应的预设流量类型,例如保存一个预设流量类型白名单,以对待上传流量的流量类型进行检验。
如果该终端设备11没有被入侵、被劫持,可以按照接入监控设备12时约定的预设流量类型发送待上传流量,此时监控设备12检测到待上传流量的流量类型为其对应的终端设备11对应的预设流量类型,将待上传流量发送到内网服务器13,供内网服务器13处理。
如果终端设备11被黑客入侵、劫持,大概率会使用有别于该预设流量类型的流量类型发送待上传流量,此时监控设备12检测到待上传流量的流量类型不是其对应的终端设备11对应的预设流量类型,对该条流量上传请求进行拦截,并获取该流量上传请求对应的预设信息,以进行进一步的记录和报警。
在本公开一个实施例中,流量上传请求对应的预设信息例如可以包括该流量上传请求的发生时间、终端IP地址、终端MAC地址、目的IP地址、终端端口号、终端协议类型、终端类型等等信息,本领域技术人员可以根据实际情况自行设置,本公开对此不作特殊判断。
获取并记录到流量上传请求对应的预设信息后,还可以进一步根据预设信息实时更新流量监控信息图表,该流量监控信息图表根据多条流量上传请求对应的预设信息生成。在本公开实施例中,流量监控信息图表例如可以通过柱状图、饼状图、折线图等普通统计图,或者动画、使用多种方式进行展示的图形用户界面来显示异常流量的分时数量、分区域数量、各终端设备与异常流量的对应关系种种数据,本公开对此不作特殊限制。
当监控设备12具备显示屏时,可以直接显示该流量监控信息图表;当监控设备12不具备显示屏时,可以设置其他人机交互终端来显示该流量监控信息图表。
图3是本公开另一个实施例中物联网设备监控系统的示意图。
参考图3,物理联网设备监控系统300除了终端设备11、监控设备12、内网服务器13之外还可以包括:
管理终端14,连接监控设备12,用于存储每个终端设备11对应的预设流量类型,显示流量监控信息图表,流量监控信息图表根据不符合对应终端预设流量类型的流量上传请求的预设信息生成。
管理终端14例如可以为信息中心的计算机,具有人机交互模块,可供管理人员操作。管理终端14不但可以存储每个终端设备11对应的预设流量类型,还可以存储上述授权终端识别符名单以及流量监控信息图表。管理终端14可以在大屏幕或普通尺寸计算机屏幕上根据来自监控设备12的信息,实时显示流量监控信息图表。
流量监控信息图表可以以颜色或者显示方式变化等标识非预设流量类型,以及非预设流量类型对应的终端设备11。在一个终端设备11对应超过预设值条异常流量(待上传流量的流量类型不是上述预设流量类型)时,可以以多种形式显示报警信息,提醒管理人员检查该异常的终端设备。
在一个实施例中,管理终端14也可以允许管理人员手动将非预设流量类型或非可信协议流量加入一个终端设备11对应的预设流量类型中,以提供灵活应对多种场景的功能。
进一步地,管理人员可以对手动加入的流量类型设置合法时间段,仅允许某个或某些终端设备11在该合法时间段内使用该流量类型发送待上传报文,超出该合法时间段后,该流量类型在对应的终端设备11的记录中被删除,如果该终端设备11继续以该流量类型发送待上传报文,其流量上传请求将被拦截/阻断,以防止临时授权行为被黑客利用。
综上所述,本公开实施例提供的物联网设备监控方法以及实施该方法的系统,通过对物联网终端设备发送的流量上传请求进行终端识别符和流量类型的双重验证,并将异常的流量上传请求的预设信息以可视化的数据图表形式展示,供管理人员即使处理,从而可以及时、有效地提高物联网的安全性。
对应于上述方法实施例,本公开还提供一种物联网设备监控装置,可以用于执行上述方法实施例。
图4示意性示出本公开一个示例性实施例中一种物联网设备监控装置的方框图。
参考图4,物联网设备监控装置400可以包括:
信息获取模块41,设置为响应流量上传请求,获取待上传流量及所述流量上传请求对应的终端识别符;
双重验证模块42,设置为如果在授权终端识别符名单中查找到所述终端识别符,判断所述待上传流量的流量类型是否为所述终端识别符对应的预设流量类型;
信息传输模块43,设置为在所述待上传流量的流量类型为预设流量类型时,将所述待上传流量传输到内网服务器;
信息拦截模块44,设置为在所述待上传流量的流量类型不为所述预设流量类型时,获取所述流量上传请求对应的预设信息并记录。
在本公开的一种示例性实施例中,所述待上传流量对应的终端包括网络摄像机,所述预设流量类型包括基于用户数据报协议生成的流量。
在本公开的一种示例性实施例中,所述预设信息至少包括:所述流量上传请求的发生时间、终端IP地址、终端MAC地址、目的IP地址、终端端口号、终端协议类型、终端类型。
在本公开的一种示例性实施例中,所述信息拦截模块44设置为:
根据所述预设信息实时更新流量监控信息图表,所述流量监控信息图表根据多条流量上传请求对应的预设信息生成。
由于装置400的各功能已在其对应的方法实施例中予以详细说明,本公开于此不再赘述。
应当注意,尽管在上文详细描述中提及了用于动作执行的设备的若干模块或者单元,但是这种划分并非强制性的。实际上,根据本公开的实施方式,上文描述的两个或更多模块或者单元的特征和功能可以在一个模块或者单元中具体化。反之,上文描述的一个模块或者单元的特征和功能可以进一步划分为由多个模块或者单元来具体化。
在本公开的示例性实施例中,还提供了一种能够实现上述方法的电子设备。
所属技术领域的技术人员能够理解,本发明的各个方面可以实现为系统、方法或程序产品。因此,本发明的各个方面可以具体实现为以下形式,即:完全的硬件实施方式、完全的软件实施方式(包括固件、微代码等),或硬件和软件方面结合的实施方式,这里可以统称为“电路”、“模块”或“系统”。
下面参照图5来描述根据本发明的这种实施方式的电子设备500。图5显示的电子设备500仅仅是一个示例,不应对本发明实施例的功能和使用范围带来任何限制。
如图5所示,电子设备500以通用计算设备的形式表现。电子设备500的组件可以包括但不限于:上述至少一个处理单元510、上述至少一个存储单元520、连接不同系统组件(包括存储单元520和处理单元510)的总线530。
其中,所述存储单元存储有程序代码,所述程序代码可以被所述处理单元510执行,使得所述处理单元510执行本说明书上述“示例性方法”部分中描述的根据本发明各种示例性实施方式的步骤。例如,所述处理单元510可以执行如图1中所示的步骤。
存储单元520可以包括易失性存储单元形式的可读介质,例如随机存取存储单元(RAM)5201和/或高速缓存存储单元5202,还可以进一步包括只读存储单元(ROM)5203。
存储单元520还可以包括具有一组(至少一个)程序模块5205的程序/实用工具5204,这样的程序模块5205包括但不限于:操作系统、一个或者多个应用程序、其它程序模块以及程序数据,这些示例中的每一个或某种组合中可能包括网络环境的实现。
总线530可以为表示几类总线结构中的一种或多种,包括存储单元总线或者存储单元控制器、外围总线、图形加速端口、处理单元或者使用多种总线结构中的任意总线结构的局域总线。
电子设备500也可以与一个或多个外部设备600(例如键盘、指向设备、蓝牙设备等)通信,还可与一个或者多个使得用户能与该电子设备500交互的设备通信,和/或与使得该电子设备500能与一个或多个其它计算设备进行通信的任何设备(例如路由器、调制解调器等等)通信。这种通信可以通过输入/输出(I/O)接口550进行。并且,电子设备500还可以通过网络适配器560与一个或者多个网络(例如局域网(LAN),广域网(WAN)和/或公共网络,例如因特网)通信。如图所示,网络适配器560通过总线530与电子设备500的其它模块通信。应当明白,尽管图中未示出,可以结合电子设备500使用其它硬件和/或软件模块,包括但不限于:微代码、设备驱动器、冗余处理单元、外部磁盘驱动阵列、RAID系统、磁带驱动器以及数据备份存储系统等。
概括而言,根据本公开的物联网设备监控方法和系统将合法终端发送非法流量进行阻断。通过“统一管理中心”或管理终端,经过管理员认证将非可信协议类型加入白名单后,从而实现对合法终端此流量的放通。“监控设备”是负责接收和处理交换机转发的数据,负责解决IPC和其它IP设备的接入认证和安全管控问题。根据本公开的物联网设备监控系统可以对整个物联网前端IP设备和传输的流量进行精确管控,只有通过认证的设备才允许接入,只有合法的流量才允许在网络中传输,从而防范合法接入终端发送非可信协议流量。根据本公开的物联网设备监控系统通过对流量的分析(例:合法终端正常情况下发送UDP流量,当合法终端发送非UDP流量时,而此报文类型又不在“监控设备”的终端协议白名单上,则当前流量类型为非可信协议流量),判断是否对当前合法接入终端进行实时阻断操作——如果合法接入终端发送可信协议流量,则不进行阻断操作;如果合法接入终端发送非可信协议流量,则对当前合法接入终端发送的非可信协议流量进行实时阻断操作,防止合法终端发送非可信协议流量影响内网安全。当网络中存在合法接入终端发送非可信协议流量时,根据本公开的物联网设备监控系统将实时把网络中合法接入终端的一系列信息(发生时间、私接类型、终端IP地址、终端MAC地址、目的IP地址,终端端口号、协议、终端类型)以报文的形式上报给管理终端。当应用环境搭建完成后,根据本公开的物联网设备监控系统对接入终端进行实时监控,合法终端正常情况下发送UDP报文,当合法终端发送非UDP报文时,即认为合法终端发送非可信协议流量(未在管理终端的对应终端协议白名单中的协议类型,为非可信协议流量)时,根据本公开的物联网设备监控系统对当前合法接入终端发送的非可信协议流量进行实时阻断操作,并将该合法接入终端的一系列信息(发生时间、私接类型、终端IP地址、终端MAC地址、目的IP地址,终端端口号、协议、终端类型)以报文的形式上报给管理终端。管理终端将所提供的该报文信息显示在其中一个可视化界面上,管理员可对发送的非可信协议流量的合法终端进行管理——如果管理员通过非可信协议流量的报文内容确定当前合法终端发送的流量为安全流量,则管理员可将该合法终端对应的此协议类型加入管理终端的终端协议白名单中,终端协议白名单中存放每一个终端对应的合法协议类型。此后根据本公开的物联网设备监控系统不会对该合法终端发送的此协议类型的流量进行阻断操作;如果管理员确认当前合法终端发送的非可信协议流量为有威胁内网安全流量,则可对该终端进行排查。物联网监控控制设备通过对终端报文协议的分析,实现实时拦截合法终端非可信协议流量,可以实时防止非可信协议流量攻击内网;在管理员排查后,管理员可以通过管理终端对合法终端非可信协议类型加入白名单的操作,取消对此种流量的拦截,实现合法终端协议白名单中的流量可访问内网,保证应用网络的安全性。
通过以上的实施方式的描述,本领域的技术人员易于理解,这里描述的示例实施方式可以通过软件实现,也可以通过软件结合必要的硬件的方式来实现。因此,根据本公开实施方式的技术方案可以以软件产品的形式体现出来,该软件产品可以存储在一个非易失性存储介质(可以是CD-ROM,U盘,移动硬盘等)中或网络上,包括若干指令以使得一台计算设备(可以是个人计算机、服务器、终端装置、或者网络设备等)执行根据本公开实施方式的方法。
在本公开的示例性实施例中,还提供了一种计算机可读存储介质,其上存储有能够实现本说明书上述方法的程序产品。在一些可能的实施方式中,本发明的各个方面还可以实现为一种程序产品的形式,其包括程序代码,当所述程序产品在终端设备上运行时,所述程序代码用于使所述终端设备执行本说明书上述“示例性方法”部分中描述的根据本发明各种示例性实施方式的步骤。
根据本发明的实施方式的用于实现上述方法的程序产品可以采用便携式紧凑盘只读存储器(CD-ROM)并包括程序代码,并可以在终端设备,例如个人电脑上运行。然而,本发明的程序产品不限于此,在本文件中,可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。
所述程序产品可以采用一个或多个可读介质的任意组合。可读介质可以是可读信号介质或者可读存储介质。可读存储介质例如可以为但不限于电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。可读存储介质的更具体的例子(非穷举的列表)包括:具有一个或多个导线的电连接、便携式盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。
计算机可读信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了可读程序代码。这种传播的数据信号可以采用多种形式,包括但不限于电磁信号、光信号或上述的任意合适的组合。可读信号介质还可以是可读存储介质以外的任何可读介质,该可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。
可读介质上包含的程序代码可以用任何适当的介质传输,包括但不限于无线、有线、光缆、RF等等,或者上述的任意合适的组合。
可以以一种或多种程序设计语言的任意组合来编写用于执行本发明操作的程序代码,所述程序设计语言包括面向对象的程序设计语言—诸如Java、C++等,还包括常规的过程式程序设计语言—诸如“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算设备上执行、部分地在用户设备上执行、作为一个独立的软件包执行、部分在用户计算设备上部分在远程计算设备上执行、或者完全在远程计算设备或服务器上执行。在涉及远程计算设备的情形中,远程计算设备可以通过任意种类的网络,包括局域网(LAN)或广域网(WAN),连接到用户计算设备,或者,可以连接到外部计算设备(例如利用因特网服务提供商来通过因特网连接)。
此外,上述附图仅是根据本发明示例性实施例的方法所包括的处理的示意性说明,而不是限制目的。易于理解,上述附图所示的处理并不表明或限制这些处理的时间顺序。另外,也易于理解,这些处理可以是例如在多个模块中同步或异步执行的。
本领域技术人员在考虑说明书及实践这里公开的发明后,将容易想到本公开的其它实施方案。本申请旨在涵盖本公开的任何变型、用途或者适应性变化,这些变型、用途或者适应性变化遵循本公开的一般性原理并包括本公开未公开的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的,本公开的真正范围和构思由权利要求指出。
Claims (10)
1.一种物联网设备监控方法,其特征在于,包括:
响应流量上传请求,获取待上传流量及所述流量上传请求对应的终端识别符;
如果在授权终端识别符名单中查找到所述终端识别符,判断所述待上传流量的流量类型是否为所述终端识别符对应的预设流量类型;
在所述待上传流量的流量类型为预设流量类型时,将所述待上传流量传输到内网服务器;
在所述待上传流量的流量类型不为所述预设流量类型时,获取所述流量上传请求对应的预设信息并记录。
2.如权利要求1所述的物联网设备监控方法,其特征在于,所述待上传流量对应的终端包括网络摄像机,所述预设流量类型包括基于用户数据报协议生成的流量。
3.如权利要求1所述的物联网设备监控方法,其特征在于,所述预设信息至少包括:
所述流量上传请求的发生时间、终端IP地址、终端MAC地址、目的IP地址、终端端口号、终端协议类型、终端类型。
4.如权利要求1所述的物联网设备监控方法,其特征在于,所述获取所述流量上传请求对应的预设信息并记录包括:
根据所述预设信息实时更新流量监控信息图表,所述流量监控信息图表根据多条流量上传请求对应的预设信息生成。
5.一种物联网设备监控系统,其特征在于,包括:
多个终端设备,用于基于对应的预设流量类型生成流量上传请求;
监控设备,连接所述多个终端设备,用于执行如权利要求1~4任一项所述的方法,接收并监控来自所述多个终端设备的流量上传请求;
内网服务器,连接所述监控设备,用于接收所述监控设备发送的流量上传请求并对所述流量上传请求进行处理。
6.如权利要求5所述的物联网设备监控系统,其特征在于,还包括:
管理终端,连接所述监控设备,用于存储每个所述终端设备对应的预设流量类型,显示流量监控信息图表,所述流量监控信息图表根据不符合对应终端预设流量类型的流量上传请求的预设信息生成。
7.如权利要求5所述的物联网设备监控系统,其特征在于,所述终端设备包括网络摄像机,所述预设流量类型包括基于用户数据报协议生成的流量。
8.一种物联网设备监控装置,其特征在于,包括:
信息获取模块,设置为响应流量上传请求,获取待上传流量及所述流量上传请求对应的终端识别符;
双重验证模块,设置为如果在授权终端识别符名单中查找到所述终端识别符,判断所述待上传流量的流量类型是否为所述终端识别符对应的预设流量类型;
信息传输模块,设置为在所述待上传流量的流量类型为预设流量类型时,将所述待上传流量传输到内网服务器;
信息拦截模块,设置为在所述待上传流量的流量类型不为所述预设流量类型时,获取所述流量上传请求对应的预设信息并记录。
9.一种电子设备,其特征在于,包括:
存储器;以及
耦合到所述存储器的处理器,所述处理器被配置为基于存储在所述存储器中的指令,执行如权利要求1-4任一项所述的物联网设备监控方法。
10.一种计算机可读存储介质,其上存储有程序,该程序被处理器执行时实现如权利要求1-4任一项所述的物联网设备监控方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011494286.5A CN112615858B (zh) | 2020-12-17 | 2020-12-17 | 物联网设备监控方法、装置与系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011494286.5A CN112615858B (zh) | 2020-12-17 | 2020-12-17 | 物联网设备监控方法、装置与系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112615858A CN112615858A (zh) | 2021-04-06 |
| CN112615858B true CN112615858B (zh) | 2022-06-24 |
Family
ID=75241080
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202011494286.5A Active CN112615858B (zh) | 2020-12-17 | 2020-12-17 | 物联网设备监控方法、装置与系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112615858B (zh) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114268429B (zh) * | 2021-11-29 | 2024-02-20 | 国家广播电视总局五七三台 | 特定终端加密通信接入设备 |
| CN114726893B (zh) * | 2022-03-31 | 2022-11-15 | 慧之安信息技术股份有限公司 | 可支持多种底层承载协议的物联网应用层接入方法和系统 |
| CN115134306A (zh) * | 2022-09-01 | 2022-09-30 | 杭州安恒信息技术股份有限公司 | 一种物联网终端的数据流量检测方法、装置、设备及介质 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104144466A (zh) * | 2013-05-10 | 2014-11-12 | 中国电信股份有限公司 | 物联网中传感器接入方法、物联网系统和服务器 |
| CN105978753A (zh) * | 2016-05-11 | 2016-09-28 | 郑州悉知信息科技股份有限公司 | 一种流量监控方法及监控服务器 |
| CN109413091A (zh) * | 2018-11-20 | 2019-03-01 | 中国联合网络通信集团有限公司 | 一种基于物联网终端的网络安全监控方法和装置 |
| CN110347694A (zh) * | 2019-07-12 | 2019-10-18 | 中国工商银行股份有限公司 | 一种基于物联网的设备监控方法、装置及系统 |
| CN110602445A (zh) * | 2019-08-13 | 2019-12-20 | 万翼科技有限公司 | 视频监控数据获取方法、装置、计算机设备和存储介质 |
| CN111683042A (zh) * | 2020-04-24 | 2020-09-18 | 国家电网公司西北分部 | 电网数据安全通信传输系统、方法 |
| CN111683162A (zh) * | 2020-06-09 | 2020-09-18 | 福建健康之路信息技术有限公司 | 一种基于流量识别的ip地址管理方法和装置 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US11558410B2 (en) * | 2019-05-29 | 2023-01-17 | Arbor Networks, Inc. | Measurement and analysis of traffic filtered by network infrastructure |
-
2020
- 2020-12-17 CN CN202011494286.5A patent/CN112615858B/zh active Active
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104144466A (zh) * | 2013-05-10 | 2014-11-12 | 中国电信股份有限公司 | 物联网中传感器接入方法、物联网系统和服务器 |
| CN105978753A (zh) * | 2016-05-11 | 2016-09-28 | 郑州悉知信息科技股份有限公司 | 一种流量监控方法及监控服务器 |
| CN109413091A (zh) * | 2018-11-20 | 2019-03-01 | 中国联合网络通信集团有限公司 | 一种基于物联网终端的网络安全监控方法和装置 |
| CN110347694A (zh) * | 2019-07-12 | 2019-10-18 | 中国工商银行股份有限公司 | 一种基于物联网的设备监控方法、装置及系统 |
| CN110602445A (zh) * | 2019-08-13 | 2019-12-20 | 万翼科技有限公司 | 视频监控数据获取方法、装置、计算机设备和存储介质 |
| CN111683042A (zh) * | 2020-04-24 | 2020-09-18 | 国家电网公司西北分部 | 电网数据安全通信传输系统、方法 |
| CN111683162A (zh) * | 2020-06-09 | 2020-09-18 | 福建健康之路信息技术有限公司 | 一种基于流量识别的ip地址管理方法和装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN112615858A (zh) | 2021-04-06 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN112615858B (zh) | 物联网设备监控方法、装置与系统 | |
| WO2021063068A1 (zh) | 运维管控、运维分析方法、装置、系统及存储介质 | |
| CN103023867B (zh) | 用于动态配置网络安全设置的便携式安全设备和方法 | |
| CN109150907B (zh) | 车载工控机登录方法、装置、系统、计算机设备及介质 | |
| CN111274583A (zh) | 一种大数据计算机网络安全防护装置及其控制方法 | |
| CN109040119B (zh) | 一种智能楼宇网络的漏洞检测方法和装置 | |
| CN106789909A (zh) | 应用程序的网络数据传输方法、装置及系统 | |
| US9245147B1 (en) | State machine reference monitor for information system security | |
| CN103378991A (zh) | 一种在线服务异常监测方法及其监测系统 | |
| WO2024002160A1 (zh) | 数据处理方法、装置、电子设备及存储介质 | |
| CN109547402B (zh) | 数据保护方法、装置、电子设备和可读存储介质 | |
| JP2010263310A (ja) | 無線通信装置、無線通信監視システム、無線通信方法、及びプログラム | |
| EP3429158A1 (en) | Secure communication method and apparatus for vehicle, vehicle multimedia system, and vehicle | |
| CN108123961A (zh) | 信息处理方法、装置及系统 | |
| CN102045310B (zh) | 一种工业互联网入侵检测和防御方法及其装置 | |
| CN112650180B (zh) | 安全告警方法、装置、终端设备及存储介质 | |
| CN109462617B (zh) | 一种局域网中设备通讯行为检测方法及装置 | |
| KR101641306B1 (ko) | 서버 모니터링 장치 및 이를 이용하는 서버 모니터링 방법 | |
| CN109474478B (zh) | 用于监测传输数据异常的方法、装置和系统 | |
| CN111786826A (zh) | 工控设备运维审计系统、工控设备运维方法、计算机设备 | |
| CN110581888A (zh) | 物联网终端安全会话的管理方法、网关和系统 | |
| CN111988333B (zh) | 一种代理软件工作异常检测方法、装置及介质 | |
| Abril et al. | Development and Design of a Unified Remote Video Surveillance System for Homes, using Free Software Tools | |
| EP4362413A1 (en) | Diagnostic device and diagnosis method | |
| CN107196905B (zh) | 一种Windows平台可信网络接入客户端及接入方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |