CN112989350A - 物联网恶意攻击行为处理方法、装置及系统 - Google Patents
物联网恶意攻击行为处理方法、装置及系统 Download PDFInfo
- Publication number
- CN112989350A CN112989350A CN202110496522.5A CN202110496522A CN112989350A CN 112989350 A CN112989350 A CN 112989350A CN 202110496522 A CN202110496522 A CN 202110496522A CN 112989350 A CN112989350 A CN 112989350A
- Authority
- CN
- China
- Prior art keywords
- application program
- behavior
- target application
- internet
- things
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
-
- G—PHYSICS
- G16—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR SPECIFIC APPLICATION FIELDS
- G16Y—INFORMATION AND COMMUNICATION TECHNOLOGY SPECIALLY ADAPTED FOR THE INTERNET OF THINGS [IoT]
- G16Y30/00—IoT infrastructure
- G16Y30/10—Security thereof
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/03—Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
- G06F2221/033—Test or assess software
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Health & Medical Sciences (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computing Systems (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请提供一种物联网恶意攻击行为处理方法、装置及系统,该方法包括:物联网终端通过安全管控SDK对应用程序的行为进行监控,以得到应用程序行为监控信息;所述物联网终端通过安全管控SDK依据安全策略信息,对所述应用程序行为监控信息进行分析;当所述物联网终端确定目标应用程序的行为为疑似恶意攻击行为时,通过所述安全管控SDK将所述目标应用程序的应用程序行为监控信息上报至所述安全管理中心平台;当所述物联网终端确定目标应用程序的行为为恶意攻击行为时,通过所述安全管控SDK对所述目标应用程序的行为进行阻断,并向所述安全管理中心平台进行报警。该方法可以提高物联网终端的安全性。
Description
技术领域
本申请涉及物联网安全领域,尤其涉及一种物联网恶意攻击行为处理方法、装置及系统。
背景技术
随着物联网技术的高速发展,针对物联网的网络攻击和病毒入侵等恶意攻击行为日益增多,对物联网用户的使用体验以及财产安全带来极大的损害,如何有效防范物联网恶意攻击也成为一个亟待解决的技术问题。
目前,主流的物联网恶意攻击防范方案主要是通过网络流量分析的方法识别恶意攻击行为,其准确性较差,且恶意攻击行为处理之前物联网终端可能已经受到了破坏。
发明内容
有鉴于此,本申请提供一种物联网恶意攻击行为处理方法、装置及电子设备。
具体地,本申请是通过如下技术方案实现的:
根据本申请实施例的第一方面,提供一种物联网恶意攻击行为处理方法,应用于包括物联网终端以及安全管理中心平台的物联网安全系统,所述物联网终端中安装有安全管控软件开发工具包SDK,所述方法包括:
物联网终端通过安全管控SDK对应用程序的行为进行监控,以得到应用程序行为监控信息;
所述物联网终端通过安全管控SDK依据安全策略信息,对所述应用程序行为监控信息进行分析;
当所述物联网终端确定目标应用程序的行为为疑似恶意攻击行为时,通过所述安全管控SDK将所述目标应用程序的应用程序行为监控信息上报至所述安全管理中心平台,由所述安全管理中心平台对所述目标应用程序的应用程序行为监控信息进行异常分析;
当所述物联网终端确定目标应用程序的行为为恶意攻击行为时,通过所述安全管控SDK对所述目标应用程序的行为进行阻断,并向所述安全管理中心平台进行报警。
根据本申请实施例的第二方面,提供一种物联网恶意攻击行为处理装置,应用于物联网安全系统中包括的物联网终端中安装的安全管控软件开发工具包SDK,所述物联网安全系统还包括安全管理中心,所述装置包括:
监控单元,用于对应用程序的行为进行监控,以得到应用程序行为监控信息;
分析单元,用于依据安全策略信息,对所述应用程序行为监控信息进行分析;
处理单元,用于当所述分析单元确定目标应用程序的行为为疑似恶意攻击行为时,将所述目标应用程序的应用程序行为监控信息上报至所述安全管理中心平台,由所述安全管理中心平台对所述目标应用程序的应用程序行为监控信息进行异常分析;
所述处理单元,还用于当所述分析单元确定目标应用程序的行为为恶意攻击行为时,对所述目标应用程序的行为进行阻断,并向所述安全管理中心平台进行报警。
根据本申请实施例的第三方面,提供一种物联网安全系统,包括物联网终端以及安全管理中心平台的物联网安全系统,所述物联网终端中安装有安全管控软件开发工具包SDK,其中:
所述物联网终端,用于通过安全管控SDK对应用程序的行为进行监控,以得到应用程序行为监控信息;
所述物联网终端,还用于通过安全管控SDK依据安全策略信息,对所述应用程序行为监控信息进行分析;
所述物联网终端,还用于当确定目标应用程序的行为为疑似恶意攻击行为时,通过所述安全管控SDK将所述目标应用程序的应用程序行为监控信息上报至所述安全管理中心平台;
所述安全管理中心,用于当接收到所述物联网终端上报的所述目标应用程序的应用程序行为监控信息时,对所述目标应用程序的应用程序行为监控信息进行异常分析;
所述物联网终端,还用于当确定目标应用程序的行为为恶意攻击行为时,通过所述安全管控SDK对所述目标应用程序的行为进行阻断,并向所述安全管理中心平台进行报警。
本申请实施例的物联网恶意攻击行为处理方法,通过在物联网终端中安装安全管控SDK,物联网终端可以通过安全管控SDK对应用程序的行为进行监控,并依据安全策略信息,对监控得到的应用程序行为监控信息进行分析。对于确定为恶意攻击行为的应用程序行为,由物联网终端通过安全管控SDK进行阻断,并向安全管理中心平台进行报警;对于确定为疑似恶意攻击行为的应用程序行为,由物联网终端上报给安全管理中心平台,由安全管理中心平台进行异常分析,通过物联网终端本地管控结合安全管理中心平台的异常分析,提高了恶意攻击行为判定的准确性,并提高了物联网终端的安全性。
附图说明
图1为本申请一示例性实施例示出的一种物联网恶意攻击行为处理方法的流程示意图;
图2为本申请一示例性实施例示出的一种物联网安全系统的架构示意图;
图3为本申请一示例性实施例示出的一种安全管理中心的结构示意图;
图4为本申请一示例性实施例示出的一种安全管理中心采用级联部署方式的物联网安全系统的架构示意图;
图5为本申请一示例性实施例示出的一种物联网恶意攻击行为处理装置的结构示意图;
图6为本申请一示例性实施例示出的一种电子设备的硬件结构示意图;
图7为本申请一示例性实施例示出的一种物联网安全系统的结构示意图。
具体实施方式
这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。
在本申请使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本申请。在本申请和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。
为了使本领域技术人员更好地理解本申请实施例提供的技术方案,并使本申请实施例的上述目的、特征和优点能够更加明显易懂,下面结合附图对本申请实施例中技术方案作进一步详细的说明。
请参见图1,为本申请实施例提供的一种物联网恶意攻击行为处理方法的流程示意图,其中,该物联网恶意攻击行为处理方法可以应用于物联网安全系统,该物联网安全系统可以包括物联网终端以及安全管理中心平台(也可以称为安全管理中心),如图1所示,该物联网恶意攻击行为处理方法可以包括以下步骤:
步骤S100、物联网终端通过安全管控SDK对应用程序的行为进行监控,以得到应用程序行为监控信息。
本申请实施例中,为了实现物联网恶意攻击防范,可以在物联网终端中安装安全管控SDK(Software Development Kit,软件开发工具包)(也可以称为安全代理(Agent)),物联网终端可以通过安全管控SDK对应用程序的行为进行监控,以得到应用程序行为监控信息。
示例性的,物联网终端中可以以钩子函数的形式安装安全管控SDK(SoftwareDevelopment Kit,软件开发工具包),从操作系统层次对应用程序的行为进行监控。
或者,安全管控SDK可以在设备出厂时预置在物联网终端,即在设备出厂时,集成到物联网终端的固件中,或,作为内核模块,编译进系统内核,以实现对更底层行为的监控,优化管控效果,提高稳定性。
示例性的,应用程序的行为可以包括但不限于应用程序的启动、文件读写或网络收发等。
步骤S110、物联网终端通过安全管控SDK依据安全策略信息,对应用程序行为监控信息进行分析。
本申请实施例中,物联网终端可以通过安全管控SDK从安全管理中心获取安全策略信息,如安全策略文件,并依据获取到的安全策略信息,对监控得到的应用程序行为监控信息进行分析,以确定是否存在恶意攻击行为。
示例性的,安全策略信息可以包括但不限于:IP黑/白名单、进程黑/白名单、数据访问控制表、敏感操作黑/白名单、威胁情报等。
其中,IP黑名单可以用于记录禁止物联网终端访问的IP地址和/或禁止访问物联网终端的IP地址;IP白名单可以用于记录允许禁止物联网终端访问的IP地址和/或允许访问物联网终端的IP地址。
进程黑名单可以用于记录物联网终端中禁止启动的进程信息;进程白名单可以用于记录物联网终端中允许启动的进程信息。
数据访问控制列表可以用于标识不同应用程序的权限信息。例如,不同应用程序对不同文件的读写权限(可以包括读权限、写权限等)。
敏感操作黑名单可以用于标识不同应用程序禁止执行的特定操作(可以称为敏感操作),例如,非涉密应用程序对密码文件的读写等;敏感操作白名单可以用于标识不同应用程序允许执行的特定操作。
威胁情报可以包括一些实时更新的攻击信息,如实时性比较高的变种病毒的特征信息等。
步骤S120、物联网终端确定目标应用程序的行为为疑似恶意攻击行为时,通过安全管控SDK对目标应用程序的应用程序行为监控信息上报至安全管理中心平台,由安全管理中心平台对该应用程序行为监控信息进行异常分析。
示例性的,目标应用程序并不特指某一固定的应用程序,而是可以指代物联网终端通过安全管控SDK可以监控其行为的任一应用程序。
本申请实施例中,为了提高物联网恶意攻击行为判定的准确性,对于监控到的应用程序的行为,依据安全策略信息对该应用程序的行为的恶意攻击行为判定结果除了可以包括恶意攻击行为以及非恶意攻击行为(也可以称为安全行为)之外,还可以包括疑似恶意攻击行为。对于疑似恶意攻击行为,可以由安全管理中心平台进一步确定其是否为恶意攻击行为。
示例性的,当物联网终端依据安全策略信息确定监控到的应用程序的行为不属于恶意攻击行为,但也无法确定该应用程序的行为为安全行为时,可以将该应用程序的行为确定为疑似恶意攻击行为。
相应地,当物联网终端确定目标应用程序的行为为疑似恶意攻击行为时,可以通过安全管控SDK将目标应用程序的应用程序行为监控信息上报至安全管理中心平台,由安全管理中心平台对接收到的该目标应用程序的应用程序行为监控信息进行异常分析,以确定目标应用程序的行为是否为恶意攻击行为。
步骤S130、当物联网终端确定目标应用程序的行为为恶意攻击行为时,通过安全管控SDK对目标应用程序的行为进行阻断,并向安全管理中心平台进行报警。
本申请实施例中,为了保证物联网终端的安全,当物联网终端确定目标应用程序的行为为恶意攻击行为时,物联网终端可以通过安全管控SDK对目标应用程序的行为进行阻断,并向安全管理中心平台进行报警,由安全管理中心平台采取相应的安全处理措施。
可见,在图1所示方法流程中,通过在物联网终端中安装安全管控SDK,物联网终端可以通过安全管控SDK对应用程序的行为进行监控,并依据安全策略信息,对监控得到的应用程序行为监控信息进行分析。对于确定为恶意攻击行为的应用程序行为,由物联网终端通过安全管控SDK进行阻断,并向安全管理中心平台进行报警;对于确定为疑似恶意攻击行为的应用程序行为,由物联网终端上报给安全管理中心平台,由安全管理中心平台进行异常分析,通过物联网终端本地管控结合安全管理中心平台的异常分析,提高了恶意攻击行为判定的准确性,并提高了物联网终端的安全性。
在一些实施例中,步骤S110中,物联网终端通过安全管控SDK依据安全策略信息,对应用程序行为监控信息进行分析,可以包括:
物联网终端依据目标应用程序的应用程序行为监控信息,查询安全策略信息;目标应用程序的应用程序行为监控信息包括目标应用程序的至少两个行为;
当目标应用程序的应用程序行为监控信息部分命中安全策略信息中的黑名单时,确定目标应用程序的行为为疑似恶意攻击行为;
当目标应用程序的应用程序行为监控信息全部命中安全策略信息中的黑名单时,确定目标应用程序的行为为恶意攻击行为。
示例性的,考虑到针对物联网终端的恶意攻击行为通常会包括一系列的操作,例如,通过物联网终端的某应用程序执行一系列操作(包括多个行为)实现恶意攻击。
举例来说,可以在物联网终端中启动一个应用程序,通过该应用程序读取密码文件,并将读取到的密码文件信息发送至指定地址,实现密码信息盗取,即该针对物联网终端的恶意攻击行为(密码信息盗取)可以包括应用程序启动、文件读取(读写文件)以及信息发送(网络收发)。
相应地,为了提高恶意攻击行为判定的准确性,在进行恶意攻击行为识别时,可以不依据应用程序的单个行为进行恶意攻击行为判定,而是可以依据应用程序的多个行为进行恶意攻击行为判定,例如,通过监控到的目标应用程序的连续多个行为,判定该目标应用程序的行为是否为恶意攻击行为。
以通过在安全策略信息中配置黑名单,并通过对应用程序行为监控信息和安全策略信息中的黑名单进行匹配的方式实现恶意攻击行为判定为例。
物联网终端可以依据目标应用程序的应用程序行为监控信息,查询安全策略信息,以确定目标应用程序的应用程序行为监控信息是否全部命中安全策略信息中的黑名单,即目标应用程序的各行为是否均命中安全策略信息中的黑名单。
当目标应用程序的应用程序行为监控信息部分命中安全策略信息中的黑名单,即目标应用程序的多个行为中部分行为命中安全策略信息中的黑名单,但另一部分行为不匹配安全策略信息中的黑名单时,物联网终端可以确定目标应用程序的行为为疑似恶意攻击行为。
当目标应用程序的应用程序行为监控信息全部命中安全策略信息中的或黑名单,即目标应用程序的多个行为全部命中安全策略信息中的黑名单时,物联网终端可以确定目标应用程序的行为为恶意攻击行为。
示例性的,当目标应用程序的应用程序行为监控信息全部未命中安全策略信息中的黑名单,即目标应用程序的多个行为均未命中安全策略信息中的黑名单时,物联网终端可以确定目标应用程序的行为为安全行为。
在一个示例中,物联网终端通过安全管控SDK依据目标应用程序的应用程序行为监控信息,查询安全策略信息,可以包括:
物联网终端通过安全管控SDK依据目标应用程序相互组合和关联的多个行为,查询安全策略信息,以确定目标应用程序相互组合和关联的多个行为,与预先配置的多个相互组合和关联的安全策略中的黑名单的匹配结果;
当目标应用程序相互组合和关联的多个行为,均与预先配置的多个相互组合和关联的安全策略中的黑名单匹配时,确定目标应用程序的应用程序行为监控信息全部命中安全策略信息中的黑名单;
当目标应用程序相互组合和关联的多个行为中的部分行为,与预先配置的多个相互组合和关联的安全策略中的黑名单匹配时,确定目标应用程序的应用程序行为监控信息部分命中所述安全策略信息中的黑名单。
示例性的,通过依据对物联网终端进行恶意攻击的行为之间的组合性和关联性,配置相互组合和关联的安全策略,不再局限于单个黑白名单的匹配来判定恶意攻击,而是依据应用程序的相互组合和关联的多个行为与预先配置的多个相互组合和关联的安全策略的匹配结果进行恶意攻击判定,在恶意攻击行为和安全行为的基础上,增加疑似恶意攻击判定结果,更大程度地提高恶意攻击行为判定的准确性,降低恶意攻击误报率和漏报率。
在一些实施例中,本申请实施例提供的恶意攻击行为处理方法还可以包括:
安全管理中心平台依据接收到的应用程序行为监控信息或报警信息确定目标应用程序的行为的威胁等级;
当安全管理中心平台确定目标应用程序的行为的威胁等级达到预设等级时,向物联网终端连接的交换机或路由器发送断网控制指令,以控制物联网终端连接的交换机或路由器对物联网终端进行断网。
示例性的,考虑到不同类型的恶意攻击行为对物联网终端的恶意攻击的方式可能不同,造成的危害也可能不同。例如,部分恶意攻击行为是针对所选中的单个物联网终端进行攻击,部分恶意行为是针对选中的物联网终端,以及与该物联网终端存在网络连接的其他物联网终端进行攻击。
相应地,可以预先对不同类型的恶意攻击行为进行威胁等级划分,针对不同威胁等级的恶意攻击行为,可以采取不同的安全处理措施,以提高恶意攻击行为防范的灵活性。
当安全管理中心平台确定目标应用程序的行为为恶意攻击行为,例如,安全管理中心平台接收到物联网终端上报的目标应用程序的应用程序行为监控信息(目标应用程序的行为为疑似恶意攻击行为),并通过异常分析确定目标应用程序的行为为恶意攻击行为,或者,安全管理中心平台接收到物联网终端的报警信息时(目标应用程序的行为为恶意攻击行为)时,安全管理中心平台可以确定目标应用程序的行为的威胁等级,并当目标应用程序的行为的威胁等级达到预设等级时,安全管理中心平台可以向物联网终端连接的交换机或路由器发送断网控制指令,以控制物联网终端连接的交换机或路由器对物联网终端进行断网,即禁止该物联网终端通过网络收发数据。
示例性的,目标应用程序的行为的威胁等级达到预设等级可以表明目标应用程序的行为可以通过网络对其他物联网终端形成恶意攻击。
示例性的,物联网终端连接的交换机或路由器可以包括物联网终端直连或间接相连的交换机或路由器,物联网终端可以通过该交换机或路由器进行网络收发。
在一些实施例中,步骤S120中物联网终端通过安全管控SDK将目标应用程序的应用程序行为监控信息上报至安全管理中心平台之后,还可以包括:
当安全管理中心平台依据接收到的应用程序行为监控信息确定目标应用程序的行为为恶意攻击行为时,依据接收到的应用程序行为监控信息更新安全策略信息。
示例性的,为了提高恶意攻击行为处理效率,降低恶意攻击行为的危害,当安全管理中心平台依据接收到的应用程序行为监控信息确定目标应用程序的行为为恶意攻击行为时,安全管理中心平台可以更新安全策略信息,以便物联网终端依据更新后的安全策略信息可以将上述确定为疑似恶意攻击行为的目标应用程序的行为识别为恶意攻击行为,并对该目标应用程序的行为进行阻断。
为了使本领域技术人员更好地理解本申请实施例提供的技术方案,下面结合具体实例对本申请实施例提供的技术方案进行说明。
请参见图2,为本申请实施例提供的一种物联网安全系统的架构示意图,如图2所示,该物联网安全管控系统可以包括智能物联网设备(即上述物联网终端)、安全管理中心(即上述安全管理中心平台)以及交换机/路由器。
如图2所示,各智能物联网设备中可以安装安全管控SDK。
示例性的,安全管控SDK可以内置在智能物联网设备的底层OS(operationsystem,操作系统),例如,由设备厂商或OS厂商在设备出厂前预置,也可以以钩子函数形式另外安装。
在该实施例中,智能物联网设备通过安全管控SDK对应用程序的行为进行监控。
示例性的,智能物联网设备通过安全管控SDK对应用程序行为的监控可以包括但不限于:进程状态、文件读写、网络收发、CPU/内存使用状态等信息。等信息。
在该实施例中,智能物联网设备可以通过安全管控SDK从安全管理中心下载安全策略文件,以获取安全策略信息。
示例性的,安全策略信息可以包括但不限于:IP黑/白名单、进程黑/白名单、数据访问控制表、敏感操作黑/白名单、威胁情报等。
在该实施例中,智能物联网设备可以依据安全策略文件,对监控得到的应用程序行为监控信息进行恶意攻击行为判定。
当智能物联网设备依据安全策略文件,确定应用程序行为监控信息部分命中安全策略文件中的黑名单信息时,即确定应用程序的行为超越安全策略,智能物联网设备可以确定该应用程序的行为为疑似恶意攻击行为,此时,智能物联网设备可以通过安全管控SDK将该应用程序行为监控信息上报给安全管理中心,由安全管理中心进行异常分析(可以称为云端异常分析)。
示例性的,当安全管理中心确定该应用程序行为监控信息确定该应用程序的行为为恶意攻击行为时,可以更新安全策略文件。
当智能物联网设备依据安全策略文件,确定应用程序行为监控信息全部命中安全策略文件中的黑名单信息时,可以确定该应用程序的行为为恶意攻击行为,此时,智能物联网设备可以阻断该应用程序的行为,并向安全管理中心上报报警信息,该报警信息中可以携带该应用程序行为监控信息。
当安全管理中心依据接收到智能物联网设备上报的应用程序行为监控信息确定应用程序的行为为恶意攻击行为,或接收到智能物联网设备上报的报警信息时,安全管理中心可以进一步确定此次恶意攻击行为的威胁等级,并在威胁等级达到预设等级的情况下,联动交换机/路由器,对智能物联网设备进行断网。
需要说明的是,安全管理中心还可以根据需求联动杀毒软件对遭受恶意攻击的物联网终端进行病毒查杀,或,联动防火墙对恶意攻击行为的相关流量进行过滤。
下面对安全管理中心的结构进行说明。
如图3所示,为本申请实施例提供的一种安全管理中心的结构示意图,如图3所示,安全管理中心可以包括策略分发模块、策略管理器、状态采集模块、恶意行为分析引擎、设备接入认证模块、决策反馈模块、决策执行模块以及联动模块。其中:
策略管理器用于生成、配置以及管理安全策略;
示例性的,生成安全策略可以包括依据接收到的配置指令生成安全策略,或自动生成安全策略;配置安全策略可以包括根据需求将特定的安全策略下发至特定的物联网终端;管理安全策略可以包括对安全策略的增加、删除和/或更新。
策略分发模块用于分发安全策略,例如,在接收到智能物联网设备中的安全管控SDK发送的安全策略文件下载请求时,向智能物联网设备下发安全策略文件;
状态采集模块用于接收安全管控SDK反馈的应用程序行为监控信息,其可以包括但不限于设备状态(如心跳状态、进程状态、资源占用率等)和设备异常行为数据(报警信息或疑似恶意攻击行为的应用程序行为监控信息);
恶意行为分析引擎用于对智能物联网设备判定为疑似恶意行为的应用程序的行为进行分析;
决策执行模块用于对疑似恶意行为进行决策,其可以包括但不限于阻断(即安全管理中心的最终判定结果为恶意攻击行为)或放行(即安全管理中心的最终判定结果为安全行为);
决策反馈模块用于反馈决策结果,由智能物联网设备中的安全管控SDK执行决策结果;
联动模块用于联动外部网络设备(路由器/交换机),或其他安全设备(如防火墙),进一步阻断存在安全威胁的设备;
设备接入认证用于获取设备身份验证令牌或凭据,保证设备真实性,避免伪造的设备接入。
下面对安全管控SDK和安全管理中心的部署方式进行说明。
在该实施例中,安全管控SDK可以内置于各智能物联网设备;安全管理中心可以采用级联部署方式,各子网均可以部署对应的安全管理中心,各子网对应的安全管理中心(可以称为底层安全管理中心)可以将获取到的信息向上层安全管理中心汇聚,由上层安全管理中心统一进行管控和处理,其示意图可以如图4所示。
示例性的,底层安全管理中心的处理能力弱于上层安全管理中心。
以上对本申请提供的方法进行了描述。下面对本申请提供的装置进行描述:
请参见图5,为本申请实施例提供的一种物联网恶意攻击行为处理装置的结构示意图,其中,该物联网恶意攻击行为处理装置可以应用于物联网终端中安装的安全管控软件SDK,如图5所示,该物联网恶意攻击行为处理装置可以包括:
监控单元510,用于对应用程序的行为进行监控,以得到应用程序行为监控信息;
分析单元520,用于依据安全策略信息,对所述应用程序行为监控信息进行分析;
处理单元530,用于当所述分析单元520确定目标应用程序的行为为疑似恶意攻击行为时,将所述目标应用程序的应用程序行为监控信息上报至所述安全管理中心平台,由所述安全管理中心平台对所述目标应用程序的应用程序行为监控信息进行异常分析;
所述处理单元530,还用于当所述分析单元520确定目标应用程序的行为为恶意攻击行为时,对所述目标应用程序的行为进行阻断,并向所述安全管理中心平台进行报警。
在一些实施例中,所述分析单元520依据安全策略信息,对所述应用程序行为监控信息进行分析,包括:
依据目标应用程序的应用程序行为监控信息,查询所述安全策略信息;所述目标应用程序的应用程序行为监控信息包括所述目标应用程序的至少两个行为;
当所述目标应用程序的应用程序行为监控信息部分命中所述安全策略信息中的黑名单时,确定所述目标应用程序的行为为疑似恶意攻击行为;
当所述目标应用程序的应用程序行为监控信息全部命中所述安全策略信息中的黑名单时,确定所述目标应用程序的行为为恶意攻击行为。
在一些实施例中,所述分析单元520依据目标应用程序的应用程序行为监控信息,查询所述安全策略信息,包括:
所述物联网终端通过安全管控SDK依据所述目标应用程序相互组合和关联的多个行为,查询所述安全策略信息,以确定所述目标应用程序相互组合和关联的多个行为,与预先配置的多个相互组合和关联的安全策略中的黑名单的匹配结果;
当所述目标应用程序相互组合和关联的多个行为,均与预先配置的多个相互组合和关联的安全策略中的黑名单匹配时,确定所述目标应用程序的应用程序行为监控信息全部命中所述安全策略信息中的黑名单;
当所述目标应用程序相互组合和关联的多个行为中的部分行为,与预先配置的多个相互组合和关联的安全策略中的黑名单匹配时,确定所述目标应用程序的应用程序行为监控信息部分命中所述安全策略信息中的黑名单。
请参见图6,为本申请实施例提供的一种电子设备的硬件结构示意图。该电子设备可包括处理器601、存储有机器可执行指令的机器可读存储介质602。处理器601与机器可读存储介质602可经由系统总线603通信。并且,通过读取并执行机器可读存储介质602中与物联网恶意攻击行为处理控制逻辑对应的机器可执行指令,处理器601可执行上文描述的物联网恶意攻击行为处理方法。
本文中提到的机器可读存储介质602可以是任何电子、磁性、光学或其它物理存储装置,可以包含或存储信息,如可执行指令、数据,等等。例如,机器可读存储介质可以是:RAM(Radom Access Memory,随机存取存储器)、易失存储器、非易失性存储器、闪存、存储驱动器(如硬盘驱动器)、固态硬盘、任何类型的存储盘(如光盘、dvd等),或者类似的存储介质,或者它们的组合。
在一些实施例中,还提供了一种机器可读存储介质,该机器可读存储介质内存储有机器可执行指令,所述机器可执行指令被处理器执行时实现上文描述的物联网恶意攻击行为处理方法。例如,所述机器可读存储介质可以是ROM、RAM、CD-ROM、磁带、软盘和光数据存储设备等。
请参见图7,图7是本申请实施例提供的一种物联网安全系统的结构示意图,如图7所示,该物联网安全系统包括物联网终端710以及安全管理中心平台720的物联网安全系统,所述物联网终端中安装有安全管控软件开发工具包SDK,其中:
需要说明的是,物联网安全系统中可以包括多个物联网终端,图7中仅以一个物联网终端为例。
所述物联网终端710,用于通过安全管控SDK对应用程序的行为进行监控,以得到应用程序行为监控信息;
所述物联网终端710,还用于通过安全管控SDK依据安全策略信息,对所述应用程序行为监控信息进行分析;
所述物联网终端710,还用于当确定目标应用程序的行为为疑似恶意攻击行为时,通过所述安全管控SDK将所述目标应用程序的应用程序行为监控信息上报至所述安全管理中心平台;
所述安全管理中心平台720,用于当接收到所述物联网终端上报的所述目标应用程序的应用程序行为监控信息时,对所述目标应用程序的应用程序行为监控信息进行异常分析;
所述物联网终端710,还用于当确定目标应用程序的行为为恶意攻击行为时,通过所述安全管控SDK对所述目标应用程序的行为进行阻断,并向所述安全管理中心平台进行报警。
在一些实施例中,所述物联网终端710,具体用于通过安全管控SDK依据目标应用程序的应用程序行为监控信息,查询所述安全策略信息;所述目标应用程序的应用程序行为监控信息包括所述目标应用程序的至少两个行为;
当所述目标应用程序的应用程序行为监控信息部分命中所述安全策略信息中的黑名单时,确定所述目标应用程序的行为为疑似恶意攻击行为;
当所述目标应用程序的应用程序行为监控信息全部命中所述安全策略信息中的黑名单时,确定所述目标应用程序的行为为恶意攻击行为。
在一些实施例中,所述物联网终端710,具体用于通过安全管控SDK依据所述目标应用程序相互组合和关联的多个行为,查询所述安全策略信息,以确定所述目标应用程序相互组合和关联的多个行为,与预先配置的多个相互组合和关联的安全策略中的黑名单的匹配结果;
当所述目标应用程序相互组合和关联的多个行为,均与预先配置的多个相互组合和关联的安全策略中的黑名单匹配时,确定所述目标应用程序的应用程序行为监控信息全部命中所述安全策略信息中的黑名单;
当所述目标应用程序相互组合和关联的多个行为中的部分行为,与预先配置的多个相互组合和关联的安全策略中的黑名单匹配时,确定所述目标应用程序的应用程序行为监控信息部分命中所述安全策略信息中的黑名单。
在一些实施例中,所述安全管理中心平台720,还用于依据接收到的应用程序行为监控信息或报警信息确定所述目标应用程序的行为的威胁等级;
当确定所述目标应用程序的行为的威胁等级达到预设等级时,向所述物联网终端连接的交换机或路由器发送断网控制指令,以控制所述物联网终端连接的交换机或路由器对所述物联网终端进行断网。
在一些实施例中,所述安全管理中心平台720,还用于依据接收到的所述目标应用程序的应用程序行为监控信息确定所述目标应用程序的行为为恶意攻击行为时,依据接收到的所述目标应用程序的应用程序行为监控信息更新所述安全策略信息。
示例性的,所述物联网终端710的结构可以如图5所示,物联网终端710可以通过图5所示物联网恶意攻击行为处理装置中的监控单元510、分析单元520以及处理单元530,按照上述方法流程中描述的方式实现物联网恶意攻击行为处理流程。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
以上所述仅为本申请的较佳实施例而已,并不用以限制本申请,凡在本申请的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本申请保护的范围之内。
Claims (13)
1.一种物联网恶意攻击行为处理方法,其特征在于,应用于包括物联网终端以及安全管理中心平台的物联网安全系统,所述物联网终端中安装有安全管控软件开发工具包SDK,所述方法包括:
物联网终端通过安全管控SDK对应用程序的行为进行监控,以得到应用程序行为监控信息;
所述物联网终端通过安全管控SDK依据安全策略信息,对所述应用程序行为监控信息进行分析;
当所述物联网终端确定目标应用程序的行为为疑似恶意攻击行为时,通过所述安全管控SDK将所述目标应用程序的应用程序行为监控信息上报至所述安全管理中心平台,由所述安全管理中心平台对所述目标应用程序的应用程序行为监控信息进行异常分析;
当所述物联网终端确定目标应用程序的行为为恶意攻击行为时,通过所述安全管控SDK对所述目标应用程序的行为进行阻断,并向所述安全管理中心平台进行报警。
2.根据权利要求1所述的方法,其特征在于,所述物联网终端通过安全管控SDK依据安全策略信息,对所述应用程序行为监控信息进行分析,包括:
所述物联网终端通过安全管控SDK依据目标应用程序的应用程序行为监控信息,查询所述安全策略信息;所述目标应用程序的应用程序行为监控信息包括所述目标应用程序的至少两个行为;
当所述目标应用程序的应用程序行为监控信息部分命中所述安全策略信息中的黑名单时,确定所述目标应用程序的行为为疑似恶意攻击行为;
当所述目标应用程序的应用程序行为监控信息全部命中所述安全策略信息中的黑名单时,确定所述目标应用程序的行为为恶意攻击行为。
3.根据权利要求2所述的方法,其特征在于,所述物联网终端通过安全管控SDK依据目标应用程序的应用程序行为监控信息,查询所述安全策略信息,包括:
所述物联网终端通过安全管控SDK依据所述目标应用程序相互组合和关联的多个行为,查询所述安全策略信息,以确定所述目标应用程序相互组合和关联的多个行为,与预先配置的多个相互组合和关联的安全策略中的黑名单的匹配结果;
当所述目标应用程序相互组合和关联的多个行为,均与预先配置的多个相互组合和关联的安全策略中的黑名单匹配时,确定所述目标应用程序的应用程序行为监控信息全部命中所述安全策略信息中的黑名单;
当所述目标应用程序相互组合和关联的多个行为中的部分行为,与预先配置的多个相互组合和关联的安全策略中的黑名单匹配时,确定所述目标应用程序的应用程序行为监控信息部分命中所述安全策略信息中的黑名单。
4.根据权利要求1~3任一项所述的方法,其特征在于,所述方法还包括:
所述安全管理中心平台依据接收到的应用程序行为监控信息或报警信息确定所述目标应用程序的行为的威胁等级;
当所述安全管理中心平台确定所述目标应用程序的行为的威胁等级达到预设等级时,向所述物联网终端连接的交换机或路由器发送断网控制指令,以控制所述物联网终端连接的交换机或路由器对所述物联网终端进行断网。
5.根据权利要求1~3任一项所述的方法,其特征在于,所述物联网终端通过所述安全管控SDK将所述目标应用程序的应用程序行为监控信息上报至所述安全管理中心平台之后,还包括:
当所述安全管理中心平台依据接收到的所述目标应用程序的应用程序行为监控信息确定所述目标应用程序的行为为恶意攻击行为时,依据接收到的所述目标应用程序的应用程序行为监控信息更新所述安全策略信息。
6.一种物联网恶意攻击行为处理装置,其特征在于,应用于物联网安全系统中包括的物联网终端中安装的安全管控软件开发工具包SDK,所述物联网安全系统还包括安全管理中心,所述装置包括:
监控单元,用于对应用程序的行为进行监控,以得到应用程序行为监控信息;
分析单元,用于依据安全策略信息,对所述应用程序行为监控信息进行分析;
处理单元,用于当所述分析单元确定目标应用程序的行为为疑似恶意攻击行为时,将所述目标应用程序的应用程序行为监控信息上报至所述安全管理中心平台,由所述安全管理中心平台对所述目标应用程序的应用程序行为监控信息进行异常分析;
所述处理单元,还用于当所述分析单元确定目标应用程序的行为为恶意攻击行为时,对所述目标应用程序的行为进行阻断,并向所述安全管理中心平台进行报警。
7.根据权利要求6所述的装置,其特征在于,所述分析单元依据安全策略信息,对所述应用程序行为监控信息进行分析,包括:
依据目标应用程序的应用程序行为监控信息,查询所述安全策略信息;所述目标应用程序的应用程序行为监控信息包括所述目标应用程序的至少两个行为;
当所述目标应用程序的应用程序行为监控信息部分命中所述安全策略信息中的黑名单时,确定所述目标应用程序的行为为疑似恶意攻击行为;
当所述目标应用程序的应用程序行为监控信息全部命中所述安全策略信息中的黑名单时,确定所述目标应用程序的行为为恶意攻击行为。
8.根据权利要求7所述的装置,其特征在于,所述分析单元依据目标应用程序的应用程序行为监控信息,查询所述安全策略信息,包括:
所述物联网终端通过安全管控SDK依据所述目标应用程序相互组合和关联的多个行为,查询所述安全策略信息,以确定所述目标应用程序相互组合和关联的多个行为,与预先配置的多个相互组合和关联的安全策略中的黑名单的匹配结果;
当所述目标应用程序相互组合和关联的多个行为,均与预先配置的多个相互组合和关联的安全策略中的黑名单匹配时,确定所述目标应用程序的应用程序行为监控信息全部命中所述安全策略信息中的黑名单;
当所述目标应用程序相互组合和关联的多个行为中的部分行为,与预先配置的多个相互组合和关联的安全策略中的黑名单匹配时,确定所述目标应用程序的应用程序行为监控信息部分命中所述安全策略信息中的黑名单。
9.一种物联网安全系统,其特征在于,包括物联网终端以及安全管理中心平台的物联网安全系统,所述物联网终端中安装有安全管控软件开发工具包SDK,其中:
所述物联网终端,用于通过安全管控SDK对应用程序的行为进行监控,以得到应用程序行为监控信息;
所述物联网终端,还用于通过安全管控SDK依据安全策略信息,对所述应用程序行为监控信息进行分析;
所述物联网终端,还用于当确定目标应用程序的行为为疑似恶意攻击行为时,通过所述安全管控SDK将所述目标应用程序的应用程序行为监控信息上报至所述安全管理中心平台;
所述安全管理中心,用于当接收到所述物联网终端上报的所述目标应用程序的应用程序行为监控信息时,对所述目标应用程序的应用程序行为监控信息进行异常分析;
所述物联网终端,还用于当确定目标应用程序的行为为恶意攻击行为时,通过所述安全管控SDK对所述目标应用程序的行为进行阻断,并向所述安全管理中心平台进行报警。
10.根据权利要求9所述的系统,其特征在于,
所述物联网终端,具体用于通过安全管控SDK依据目标应用程序的应用程序行为监控信息,查询所述安全策略信息;所述目标应用程序的应用程序行为监控信息包括所述目标应用程序的至少两个行为;
当所述目标应用程序的应用程序行为监控信息部分命中所述安全策略信息中的黑名单时,确定所述目标应用程序的行为为疑似恶意攻击行为;
当所述目标应用程序的应用程序行为监控信息全部命中所述安全策略信息中的黑名单时,确定所述目标应用程序的行为为恶意攻击行为。
11.根据权利要求10所述的系统,其特征在于,
所述物联网终端,具体用于通过安全管控SDK依据所述目标应用程序相互组合和关联的多个行为,查询所述安全策略信息,以确定所述目标应用程序相互组合和关联的多个行为,与预先配置的多个相互组合和关联的安全策略中的黑名单的匹配结果;
当所述目标应用程序相互组合和关联的多个行为,均与预先配置的多个相互组合和关联的安全策略中的黑名单匹配时,确定所述目标应用程序的应用程序行为监控信息全部命中所述安全策略信息中的黑名单;
当所述目标应用程序相互组合和关联的多个行为中的部分行为,与预先配置的多个相互组合和关联的安全策略中的黑名单匹配时,确定所述目标应用程序的应用程序行为监控信息部分命中所述安全策略信息中的黑名单。
12.根据权利要求9~11任一项所述的系统,其特征在于,
所述安全管理中心平台,还用于依据接收到的应用程序行为监控信息或报警信息确定所述目标应用程序的行为的威胁等级;
当确定所述目标应用程序的行为的威胁等级达到预设等级时,向所述物联网终端连接的交换机或路由器发送断网控制指令,以控制所述物联网终端连接的交换机或路由器对所述物联网终端进行断网。
13.根据权利要求9~11任一项所述的系统,其特征在于,
所述安全管理中心平台,还用于依据接收到的所述目标应用程序的应用程序行为监控信息确定所述目标应用程序的行为为恶意攻击行为时,依据接收到的所述目标应用程序的应用程序行为监控信息更新所述安全策略信息。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110496522.5A CN112989350A (zh) | 2021-05-07 | 2021-05-07 | 物联网恶意攻击行为处理方法、装置及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110496522.5A CN112989350A (zh) | 2021-05-07 | 2021-05-07 | 物联网恶意攻击行为处理方法、装置及系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN112989350A true CN112989350A (zh) | 2021-06-18 |
Family
ID=76337275
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110496522.5A Pending CN112989350A (zh) | 2021-05-07 | 2021-05-07 | 物联网恶意攻击行为处理方法、装置及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112989350A (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113507456A (zh) * | 2021-06-25 | 2021-10-15 | 中标慧安信息技术股份有限公司 | 物联网平台非法攻击监测方法 |
| CN114448693A (zh) * | 2022-01-24 | 2022-05-06 | 来也科技(北京)有限公司 | 结合rpa和ai的安全控制方法、装置、电子设备和介质 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102902919A (zh) * | 2012-08-30 | 2013-01-30 | 北京奇虎科技有限公司 | 一种可疑操作的识别处理方法、装置和系统 |
| CN104794399A (zh) * | 2015-04-23 | 2015-07-22 | 北京北信源软件股份有限公司 | 一种基于海量程序行为数据的终端防护系统及方法 |
| CN108062475A (zh) * | 2016-11-08 | 2018-05-22 | 武汉安天信息技术有限责任公司 | 一种恶意代码识别装置及方法 |
| CN109344616A (zh) * | 2018-09-13 | 2019-02-15 | 西安交通大学 | 一种移动应用程序动态加载行为监控方法及装置 |
-
2021
- 2021-05-07 CN CN202110496522.5A patent/CN112989350A/zh active Pending
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102902919A (zh) * | 2012-08-30 | 2013-01-30 | 北京奇虎科技有限公司 | 一种可疑操作的识别处理方法、装置和系统 |
| CN104794399A (zh) * | 2015-04-23 | 2015-07-22 | 北京北信源软件股份有限公司 | 一种基于海量程序行为数据的终端防护系统及方法 |
| CN108062475A (zh) * | 2016-11-08 | 2018-05-22 | 武汉安天信息技术有限责任公司 | 一种恶意代码识别装置及方法 |
| CN109344616A (zh) * | 2018-09-13 | 2019-02-15 | 西安交通大学 | 一种移动应用程序动态加载行为监控方法及装置 |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113507456A (zh) * | 2021-06-25 | 2021-10-15 | 中标慧安信息技术股份有限公司 | 物联网平台非法攻击监测方法 |
| CN113507456B (zh) * | 2021-06-25 | 2022-08-19 | 中标慧安信息技术股份有限公司 | 物联网平台非法攻击监测方法 |
| CN114448693A (zh) * | 2022-01-24 | 2022-05-06 | 来也科技(北京)有限公司 | 结合rpa和ai的安全控制方法、装置、电子设备和介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP4027604A1 (en) | Security vulnerability defense method and device | |
| EP2715975B1 (en) | Network asset information management | |
| US9325725B2 (en) | Automated deployment of protection agents to devices connected to a distributed computer network | |
| US7694150B1 (en) | System and methods for integration of behavioral and signature based security | |
| US8806629B1 (en) | Automatic generation of policy-driven anti-malware signatures and mitigation of DoS (denial-of-service) attacks | |
| US20060259967A1 (en) | Proactively protecting computers in a networking environment from malware | |
| US20060075504A1 (en) | Threat protection network | |
| US20060026683A1 (en) | Intrusion protection system and method | |
| US7533413B2 (en) | Method and system for processing events | |
| JP2006127497A (ja) | ユーザ変更可能ファイルの効率的なホワイトリスティング | |
| EP1654608A1 (en) | Method and system for detecting unauthorised use of a communication network | |
| WO2003030001A1 (en) | Anti-virus policy enforcement system and method | |
| CN112989350A (zh) | 物联网恶意攻击行为处理方法、装置及系统 | |
| US8862730B1 (en) | Enabling NAC reassessment based on fingerprint change | |
| CN108183884B (zh) | 一种网络攻击判定方法及装置 | |
| CN117040871B (zh) | 一种网络安全运营服务方法 | |
| KR101003510B1 (ko) | 악성 프로세스 차단 및 실행방지 시스템 | |
| Singh | Intrusion Detection Systems (IDS) and Intrusion Prevention Systems (IPS) For Network Security: A Critical Analysis | |
| CN116566654A (zh) | 一种区块链管理服务器用的防护系统 | |
| CN115348052A (zh) | 一种多维度黑名单防护方法、装置、设备及可读存储介质 | |
| KR20070008804A (ko) | 호스트 기반의 보안 시스템 및 그를 이용한 보안 서비스제공 방법 | |
| KR100594870B1 (ko) | 비정상 파일 및 프로세스의 탐지 제거 방법 | |
| CN115314244B (zh) | 一种白名单安全防护方法、装置、设备及可读存储介质 | |
| KR20030091888A (ko) | 네트워크 인프라 장애 방지 시스템 및 방법 | |
| KR100439174B1 (ko) | 라돈-씨큐리티 게이트웨이 시스템의 정책 전달 및 경보용데이터베이스 관리방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20210618 |