CN113923019B - 物联网系统安全防护方法、装置、设备及介质 - Google Patents

Abstract

本发明涉及物联网网络信息安全领域，提供一种物联网系统安全防护方法、装置、设备及介质，能够配置目标物联网系统对入访日志的访问权限，避免入访日志被随意篡改，导致后续无法监测和溯源，分层配置目标物联网系统的代理配置文件，对代理配置文件进行分层递归解析，得到入访源地址，监测入访日志中每个入访源地址的行为特征，并锁定可疑攻击源，利用至少一个公网接口查询可疑攻击源的位置信息，当可疑攻击源的位置信息异常时，禁止可疑攻击源访问目标物联网系统，结合异常的特征及异常的位置信息有效进行异常访问情况的识别，并通过溯源及地理定位达到了防攻击的目的，进而实现对物联网系统的安全防护。

Description

物联网系统安全防护方法、装置、设备及介质

技术领域

本发明涉及物联网网络信息安全技术领域，尤其涉及一种物联网系统安全防护方法、装置、设备及介质。

背景技术

物联网系统因物联网设备分布广泛且分散，攻击者可以从任意网络可达处对系统进行攻击，尤其是对配置在弹性负载均衡(Elastic Load Balance，ELB)的容器环境下的单一物联网业务系统，安全防护上还存在一定缺陷。

首先，对于通过安装插件的方式，仅能获取部分协议层的攻击IP(InternetProtocol，网际互连协议)，但无法满足攻击源定位的需要，因而无法有效的快速溯源定位，并实现防攻击。

其次，对于通过额外添置专用防攻击系统或装置的方式，在容器环境下实现的成本及复杂度较高，尤其是在以容器结合组件运营的中台系统中，各系统运维人员需要对共有的安全防护系统进行学习，并不断更新，成本较高，而本身部分防护系统也存在不少0Day漏洞。

发明内容

鉴于以上内容，有必要提供一种物联网系统安全防护方法、装置、设备及介质，旨在解决物联网系统的安全防护问题。

一种物联网系统安全防护方法，所述物联网系统安全防护方法包括：

配置目标物联网系统对入访日志的访问权限，及分层配置所述目标物联网系统的代理配置文件；

响应于对所述目标物联网系统的安全防护指令，启动所述代理配置文件，并对所述代理配置文件进行分层递归解析，得到入访源地址；

将所述入访源地址输出至所述入访日志，并监测所述入访日志中每个入访源地址的行为特征；

根据每个入访源地址的行为特征锁定所述入访源地址中的可疑攻击源；

调用至少一个公网接口，并利用所述至少一个公网接口查询所述可疑攻击源的位置信息；

当所述可疑攻击源的位置信息异常时，禁止所述可疑攻击源访问所述目标物联网系统。

根据本发明优选实施例，所述配置目标物联网系统对入访日志的访问权限包括：

采用第一预设命令查询所述目标物联网系统下每个用户的访问权限；

获取预先配置的白名单；

将除所述白名单外的其他用户的访问权限配置为禁止读写所述入访日志。

根据本发明优选实施例，所述分层配置所述目标物联网系统的代理配置文件包括：

配置所述代理配置文件中的代理包头信息；

允许从弹性负载均衡端口地址段至代理的访问修改所述代理配置文件中的入访地址参数，及允许从云防火墙端口地址段至代理的访问修改所述入访地址参数；

允许利用所述代理包头信息中的X-Forwarded-For值替换所述入访地址参数的值；

利用第二预设命令对所述代理包头信息进行解析，得到目标字段；

获取所述云防火墙的包头信息作为第一包头信息、所述云防火墙与所述弹性负载均衡间的包头信息作为第二包头信息、所述弹性负载均衡的包头信息作为第三包头信息、所述弹性负载均衡与所述代理间的包头信息作为第四包头信息；

逐层将所述第一包头信息、所述第二包头信息、所述第三包头信息及所述第四包头信息写入所述目标字段，得到所述代理配置文件中的代理队列；

保存所述代理配置文件。

根据本发明优选实施例，所述对所述代理配置文件进行分层递归解析，得到入访源地址包括：

根据所述安全防护指令获取入访所述目标物联网系统的当前源地址；

获取所述代理配置文件中的所述代理队列；

利用所述当前源地址在所述代理队列中进行查询；

从所述当前源地址中筛选出在所述代理队列中未查询到的源地址作为所述入访源地址。

根据本发明优选实施例，所述根据每个入访源地址的行为特征锁定所述入访源地址中的可疑攻击源包括：

从每个入访源地址的行为特征中获取对目标目录的访问频率大于或者等于配置阈值的入访源地址作为第一候选源地址，其中，所述目标目录中带有目标关键词；

从每个入访源地址的行为特征中获取带有指定字符的访问记录，并将所述访问记录对应的入访源地址确定为第二候选源地址；

组合所述第一候选源地址及所述第二候选源地址，得到所述可疑攻击源。

根据本发明优选实施例，在所述利用所述至少一个公网接口查询所述可疑攻击源的位置信息后，所述方法还包括：

对于每个可疑攻击源，获取每个公网接口返回的位置信息；

当检测到在每个公网接口返回的位置信息中，有大于或者等于两个位置信息相同时，将检测到的相同的位置信息确定为所述可疑攻击源的位置信息；

获取所述可疑攻击源的常规登录位置；

当所述可疑攻击源的位置信息与所述可疑攻击源的常规登录位置不同时，确定所述可疑攻击源的位置信息异常；或者

当所述可疑攻击源的位置信息与所述可疑攻击源的常规登录位置相同时，确定所述可疑攻击源的位置信息不异常。

根据本发明优选实施例，在所述根据每个入访源地址的行为特征锁定所述入访源地址中的可疑攻击源后，所述方法还包括：

根据所述可疑攻击源生成预警信息；

将所述预警信息发送至指定联系人的终端设备。

一种物联网系统安全防护装置，所述物联网系统安全防护装置包括：

配置单元，用于配置目标物联网系统对入访日志的访问权限，及分层配置所述目标物联网系统的代理配置文件；

解析单元，用于响应于对所述目标物联网系统的安全防护指令，启动所述代理配置文件，并对所述代理配置文件进行分层递归解析，得到入访源地址；

监测单元，用于将所述入访源地址输出至所述入访日志，并监测所述入访日志中每个入访源地址的行为特征；

锁定单元，用于根据每个入访源地址的行为特征锁定所述入访源地址中的可疑攻击源；

查询单元，用于调用至少一个公网接口，并利用所述至少一个公网接口查询所述可疑攻击源的位置信息；

禁止单元，用于当所述可疑攻击源的位置信息异常时，禁止所述可疑攻击源访问所述目标物联网系统。

一种计算机设备，所述计算机设备包括：

存储器，存储至少一个指令；及

处理器，执行所述存储器中存储的指令以实现所述物联网系统安全防护方法。

一种计算机可读存储介质，所述计算机可读存储介质中存储有至少一个指令，所述至少一个指令被计算机设备中的处理器执行以实现所述物联网系统安全防护方法。

由以上技术方案可以看出，本发明能够配置目标物联网系统对入访日志的访问权限，避免入访日志被随意篡改，导致后续无法监测和溯源，分层配置所述目标物联网系统的代理配置文件，响应于对所述目标物联网系统的安全防护指令，启动所述代理配置文件，并对所述代理配置文件进行分层递归解析，得到入访源地址，为后续监测可疑攻击源做基础，将所述入访源地址输出至所述入访日志，并监测所述入访日志中每个入访源地址的行为特征，根据每个入访源地址的行为特征锁定所述入访源地址中的可疑攻击源，调用至少一个公网接口，并利用所述至少一个公网接口查询所述可疑攻击源的位置信息，当所述可疑攻击源的位置信息异常时，禁止所述可疑攻击源访问所述目标物联网系统，结合异常的特征及异常的位置信息有效进行异常访问情况的识别，并通过溯源及地理定位达到了防攻击的目的，进而实现对物联网系统的安全防护。

附图说明

图1是本发明物联网系统安全防护方法的较佳实施例的流程图。

图2是本发明物联网系统安全防护装置的较佳实施例的功能模块图。

图3是本发明实现物联网系统安全防护方法的较佳实施例的计算机设备的结构示意图。

具体实施方式

为了使本发明的目的、技术方案和优点更加清楚，下面结合附图和具体实施例对本发明进行详细描述。

如图1所示，是本发明物联网系统安全防护方法的较佳实施例的流程图。根据不同的需求，该流程图中步骤的顺序可以改变，某些步骤可以省略。

所述物联网系统安全防护方法应用于一个或者多个计算机设备中，所述计算机设备是一种能够按照事先设定或存储的指令，自动进行数值计算和/或信息处理的设备，其硬件包括但不限于微处理器、专用集成电路(Application Specific Integrated Circuit，ASIC)、可编程门阵列(Field－Programmable Gate Array，FPGA)、数字处理器(DigitalSignal Processor，DSP)、嵌入式设备等。

所述计算机设备可以是任何一种可与用户进行人机交互的电子产品，例如，个人计算机、平板电脑、智能手机、个人数字助理(Personal Digital Assistant，PDA)、游戏机、交互式网络电视(Internet Protocol Television，IPTV)、智能式穿戴式设备等。

所述计算机设备还可以包括网络设备和/或用户设备。其中，所述网络设备包括，但不限于单个网络服务器、多个网络服务器组成的服务器组或基于云计算(CloudComputing)的由大量主机或网络服务器构成的云。

所述服务器可以是独立的服务器，也可以是提供云服务、云数据库、云计算、云函数、云存储、网络服务、云通信、中间件服务、域名服务、安全服务、内容分发网络(ContentDelivery Network，CDN)、以及大数据和人工智能平台等基础云计算服务的云服务器。

其中，人工智能(Artificial Intelligence，AI)是利用数字计算机或者数字计算机控制的机器模拟、延伸和扩展人的智能，感知环境、获取知识并使用知识获得最佳结果的理论、方法、技术及应用系统。

人工智能基础技术一般包括如传感器、专用人工智能芯片、云计算、分布式存储、大数据处理技术、操作/交互系统、机电一体化等技术。人工智能软件技术主要包括计算机视觉技术、机器人技术、生物识别技术、语音处理技术、自然语言处理技术以及机器学习/深度学习等几大方向。

所述计算机设备所处的网络包括但不限于互联网、广域网、城域网、局域网、虚拟专用网络(Virtual Private Network，VPN)等。

S10，配置目标物联网系统对入访日志的访问权限，及分层配置所述目标物联网系统的代理配置文件。

在本实施例中，所述目标物联网系统可以是容器环境下的单一型物联网业务系统，并且，所述目标物联网系统可以配置有弹性负载均衡(Elastic Load Balance，ELB)等中间设备。可以理解的是，配置有弹性负载均衡后，由于引入了协议，访问地址将无法被看到，因此，很难对访问进行溯源及监控。

当然，在其他实施例中，所述目标物联网系统也可以是其他类型，本发明不限制。

在本发明的至少一个实施例中，所述配置目标物联网系统对入访日志的访问权限包括：

采用第一预设命令查询所述目标物联网系统下每个用户的访问权限；

获取预先配置的白名单；

将除所述白名单外的其他用户的访问权限配置为禁止读写所述入访日志。

举例而言，在Linux系统中，所述第一预设命令可以为#vi/etc/sudoers#。

其中，所述白名单中可以存储具有对所述入访日志的访问权限的用户，例如：管理员。

具体地，可以使用管理员权限配置位于root/logs/目录下的入访日志(access.log)的访问权限，首先，通过命令#vi/etc/sudoers#查询所有可提前的用户，并删除不必要的ALL权限用户，其中，所述可提前的用户及所述不必要的ALL权限用户是指没有存储在所述白名单中的用户。

通过上述实施方式，能够避免普通用户或访客通过sudo等方式提权后直接读写入访日志，以防入访日志被非法访问及修改，导致后续无法监测和溯源。

在本发明的至少一个实施例中，所述分层配置所述目标物联网系统的代理配置文件包括：

配置所述代理配置文件中的代理包头信息；

允许从弹性负载均衡端口地址段至代理的访问修改所述代理配置文件中的入访地址参数，及允许从云防火墙端口地址段至代理的访问修改所述入访地址参数；

允许利用所述代理包头信息中的X-Forwarded-For值替换所述入访地址参数的值；

利用第二预设命令对所述代理包头信息进行解析，得到目标字段；

获取所述云防火墙的包头信息作为第一包头信息、所述云防火墙与所述弹性负载均衡间的包头信息作为第二包头信息、所述弹性负载均衡的包头信息作为第三包头信息、所述弹性负载均衡与所述代理间的包头信息作为第四包头信息；

逐层将所述第一包头信息、所述第二包头信息、所述第三包头信息及所述第四包头信息写入所述目标字段，得到所述代理配置文件中的代理队列；

保存所述代理配置文件。

其中，所述第二预设命令可以为#real_ip_recursive on#。

例如：进入代理(ngnix)配置文件目录：#cd/mnt/nginx/conf#，并进入代理配置文件(nginx.conf)编辑模式：#vim nginx.conf#，配置所述代理配置文件中的代理包头信息：Host、X-Real-IP、X-Forwarded-For、Destination。

进一步地，继续配置所述代理配置文件，允许从弹性负载均衡端口地址段至代理的访问修改所述代理配置文件中的入访地址参数Real_ip参数：#set_real_ip_from100.125.0.0/16(ELB端口地址段)#。

进一步地，继续配置所述代理配置文件，允许从云防火墙端口地址段至代理的访问修改所述入访地址参数Real_ip参数：#set_real_ip_from172.20.4.0/24(云防火墙端口地址段)#。

进一步地，继续配置所述代理配置文件，允许利用所述代理包头信息中的X-Forwarded-For值替换所述入访地址参数的值：#real_ip_header X-Forwarded-For#。

进一步地，利用所述第二预设命令#real_ip_recursive on#对所述代理包头信息进行解析，开启代理的递归队列功能，并逐层将云防火墙、云防火墙—ELB、ELB、ELB—代理之间的数据包头信息IP串存入代理队列，并利用#:wq#命令保存所述代理配置文件。

通过上述实施方式，能够实现对代理配置文件的逐层递归配置，实现对云防火墙和弹性负载均衡等中间设备的IP地址的递归，为后续的分层递归解析入访源地址提供数据基础。

S11，响应于对所述目标物联网系统的安全防护指令，启动所述代理配置文件，并对所述代理配置文件进行分层递归解析，得到入访源地址。

在本实施例中，所述目标物联网系统的安全防护指令可以由相关工作人员触发，如运维人员等。

在本实施例中，可以采用#sudo docker container restart ngnix#命令启动所述代理配置文件。

在本发明的至少一个实施例中，所述对所述代理配置文件进行分层递归解析，得到入访源地址包括：

根据所述安全防护指令获取入访所述目标物联网系统的当前源地址；

获取所述代理配置文件中的所述代理队列；

利用所述当前源地址在所述代理队列中进行查询；

从所述当前源地址中筛选出在所述代理队列中未查询到的源地址作为所述入访源地址。

具体地，利用所述代理队列，即set_real_ip_from中的IP串，对所述当前源地址进行扫描过滤，排除在所述代理队列中存在的源地址，即可得到所述入访源地址。

S12，将所述入访源地址输出至所述入访日志，并监测所述入访日志中每个入访源地址的行为特征。

具体地，提供所述代理配置文件nginx.conf将$remote_addr-$remote_user[$time_local]、$status$body_bytes_sent等参数输出至入访日志，在运维期间，打开入访日志access.log，即可监测到某段时间内的入访情况，并进一步获取到每个入访源地址的行为特征。

S13，根据每个入访源地址的行为特征锁定所述入访源地址中的可疑攻击源。

需要说明的是，对于单一的物联网业务系统，前端设备唤醒或睡眠期是有策略控制的，即便通信异常也有重传机制予以流量控制，在短时间内很少突发较高频的、针对敏感目录或文件的遍历和尝试绕过的情况。因此，在对入访日志监测时，需要重点关注这些行为。

具体地，所述根据每个入访源地址的行为特征锁定所述入访源地址中的可疑攻击源包括：

从每个入访源地址的行为特征中获取对目标目录的访问频率大于或者等于配置阈值的入访源地址作为第一候选源地址，其中，所述目标目录中带有目标关键词；

从每个入访源地址的行为特征中获取带有指定字符的访问记录，并将所述访问记录对应的入访源地址确定为第二候选源地址；

组合所述第一候选源地址及所述第二候选源地址，得到所述可疑攻击源。

其中，所述配置阈值可以进行自定义配置，本发明不限制。

具体地，当访问的目标目录中带有admin/DataBackup/upfile等所述目标关键词，且具有较高频率的目录遍历记录(如频率超过5次/秒，或100次/分)时，则明显超过了普通人的点击及访问频率；或者是访问的行为中带有“../、..\、..；/、…//、\u002e、\％e0％40％ae”等指定的特殊字符或者编码规则，用以对攻击对象的文件路径参数进行过滤或绕过，则确定对应的访问行为异常，并将对应的访问的源地址确定为所述述可疑攻击源。

进一步地，在所述根据每个入访源地址的行为特征锁定所述入访源地址中的可疑攻击源后，所述方法还包括：

根据所述可疑攻击源生成预警信息；

将所述预警信息发送至指定联系人的终端设备。

其中，所述指定联系人可以包括相关工作人员，如运维人员、负责安全防护的工作人员等。

通过上述实施方式，能够在发现异常访问行为时及时向相关工作人员发出预警，便于相关工作人员及时采取措施，以避免造成严重的安全问题。

S14，调用至少一个公网接口，并利用所述至少一个公网接口查询所述可疑攻击源的位置信息。

在本实施例中，所述至少一个公网接口可以用于定位。

具体地，在利用所述至少一个公网接口查询所述可疑攻击源的位置信息时，每个公网接口可以返回所述可疑攻击源的地址归属地，如所属的市、区/县位置等。

通过上述实施方式，能够利用公网接口实现对入访地址的溯源，便于后续对攻击进行有针对性的阻断。

S15，当所述可疑攻击源的位置信息异常时，禁止所述可疑攻击源访问所述目标物联网系统。

在本发明的至少一个实施例中，在所述利用所述至少一个公网接口查询所述可疑攻击源的位置信息后，所述方法还包括：

对于每个可疑攻击源，获取每个公网接口返回的位置信息；

当检测到在每个公网接口返回的位置信息中，有大于或者等于两个位置信息相同时，将检测到的相同的位置信息确定为所述可疑攻击源的位置信息；

获取所述可疑攻击源的常规登录位置；

当所述可疑攻击源的位置信息与所述可疑攻击源的常规登录位置不同时，确定所述可疑攻击源的位置信息异常；或者

当所述可疑攻击源的位置信息与所述可疑攻击源的常规登录位置相同时，确定所述可疑攻击源的位置信息不异常。

可以理解的是，当在不同的公网接口查询到的位置信息中，有2条及以上市、区/县都是一致的，即说明位置信息的查询结果是可信的。

进一步地，判断查询到的位置信息与所述可疑攻击源的常规登录位置是否一致，若不一致，则说明登录地点异常，再加上前文已经确定了所述可疑攻击源的访问行为异常(如：访问频率过高，且访问了带有敏感词的目录)，则可以确定所述可疑攻击源异常。

更进一步地，禁止所述可疑攻击源访问所述目标物联网系统，如将所述可疑攻击源添加至黑名单，其中，所述黑名单存储着禁止访问所述目标物联网系统的所有用户的相关信息，以避免所述可疑攻击源对所述目标物联网系统进行攻击，进而保证了所述目标物联网系统的安全性。

需要说明的是，目前的物联网系统的安全防护方案对于硬件系统或外部软件插件的依赖程度较大，溯源系统本身会存在系统漏洞等风险，同时，部署于容器环境的中小应用系统本身也要按现有方案增加防护，对成本及实施的复杂度上都有较高的要求。

本实施例不需要添加额外的防护硬件设备、软件插件或溯源软件系统，通过入访日志监控访问行为，并利用公网接口查询位置信息，具有易普及、可复用程度较高等优势，在不额外增加安全防护系统，且不大幅提升实施运维成本的情况下，实现分散异常流量的攻击阻断，提高各容器的自主防护能力，在不中断业务的情况下灵活配置黑白名单，确保物联网设备唤醒后，业务不因过滤规则而导致中断。

由以上技术方案可以看出，本发明能够配置目标物联网系统对入访日志的访问权限，避免入访日志被随意篡改，导致后续无法监测和溯源，分层配置所述目标物联网系统的代理配置文件，响应于对所述目标物联网系统的安全防护指令，启动所述代理配置文件，并对所述代理配置文件进行分层递归解析，得到入访源地址，为后续监测可疑攻击源做基础，将所述入访源地址输出至所述入访日志，并监测所述入访日志中每个入访源地址的行为特征，根据每个入访源地址的行为特征锁定所述入访源地址中的可疑攻击源，调用至少一个公网接口，并利用所述至少一个公网接口查询所述可疑攻击源的位置信息，当所述可疑攻击源的位置信息异常时，禁止所述可疑攻击源访问所述目标物联网系统，结合异常的特征及异常的位置信息有效进行异常访问情况的识别，并通过溯源及地理定位达到了防攻击的目的，进而实现对物联网系统的安全防护。

如图2所示，是本发明物联网系统安全防护装置的较佳实施例的功能模块图。所述物联网系统安全防护装置11包括配置单元110、解析单元111、监测单元112、锁定单元113、查询单元114、禁止单元115。本发明所称的模块/单元是指一种能够被处理器13所执行，并且能够完成固定功能的一系列计算机程序段，其存储在存储器12中。在本实施例中，关于各模块/单元的功能将在后续的实施例中详述。

配置单元110配置目标物联网系统对入访日志的访问权限，及分层配置所述目标物联网系统的代理配置文件。

在本实施例中，所述目标物联网系统可以是容器环境下的单一型物联网业务系统，并且，所述目标物联网系统可以配置有弹性负载均衡(Elastic Load Balance，ELB)等中间设备。可以理解的是，配置有弹性负载均衡后，由于引入了协议，访问地址将无法被看到，因此，很难对访问进行溯源及监控。

当然，在其他实施例中，所述目标物联网系统也可以是其他类型，本发明不限制。

在本发明的至少一个实施例中，所述配置单元110配置目标物联网系统对入访日志的访问权限包括：

采用第一预设命令查询所述目标物联网系统下每个用户的访问权限；

获取预先配置的白名单；

将除所述白名单外的其他用户的访问权限配置为禁止读写所述入访日志。

举例而言，在Linux系统中，所述第一预设命令可以为#vi/etc/sudoers#。

其中，所述白名单中可以存储具有对所述入访日志的访问权限的用户，例如：管理员。

具体地，可以使用管理员权限配置位于root/logs/目录下的入访日志(access.log)的访问权限，首先，通过命令#vi/etc/sudoers#查询所有可提前的用户，并删除不必要的ALL权限用户，其中，所述可提前的用户及所述不必要的ALL权限用户是指没有存储在所述白名单中的用户。

通过上述实施方式，能够避免普通用户或访客通过sudo等方式提权后直接读写入访日志，以防入访日志被非法访问及修改，导致后续无法监测和溯源。

在本发明的至少一个实施例中，所述配置单元110分层配置所述目标物联网系统的代理配置文件包括：

配置所述代理配置文件中的代理包头信息；

允许从弹性负载均衡端口地址段至代理的访问修改所述代理配置文件中的入访地址参数，及允许从云防火墙端口地址段至代理的访问修改所述入访地址参数；

允许利用所述代理包头信息中的X-Forwarded-For值替换所述入访地址参数的值；

利用第二预设命令对所述代理包头信息进行解析，得到目标字段；

获取所述云防火墙的包头信息作为第一包头信息、所述云防火墙与所述弹性负载均衡间的包头信息作为第二包头信息、所述弹性负载均衡的包头信息作为第三包头信息、所述弹性负载均衡与所述代理间的包头信息作为第四包头信息；

逐层将所述第一包头信息、所述第二包头信息、所述第三包头信息及所述第四包头信息写入所述目标字段，得到所述代理配置文件中的代理队列；

保存所述代理配置文件。

其中，所述第二预设命令可以为#real_ip_recursive on#。

例如：进入代理(ngnix)配置文件目录：#cd/mnt/nginx/conf#，并进入代理配置文件(nginx.conf)编辑模式：#vim nginx.conf#，配置所述代理配置文件中的代理包头信息：Host、X-Real-IP、X-Forwarded-For、Destination。

进一步地，继续配置所述代理配置文件，允许从弹性负载均衡端口地址段至代理的访问修改所述代理配置文件中的入访地址参数Real_ip参数：#set_real_ip_from100.125.0.0/16(ELB端口地址段)#。

进一步地，继续配置所述代理配置文件，允许从云防火墙端口地址段至代理的访问修改所述入访地址参数Real_ip参数：#set_real_ip_from172.20.4.0/24(云防火墙端口地址段)#。

进一步地，继续配置所述代理配置文件，允许利用所述代理包头信息中的X-Forwarded-For值替换所述入访地址参数的值：#real_ip_header X-Forwarded-For#。

进一步地，利用所述第二预设命令#real_ip_recursive on#对所述代理包头信息进行解析，开启代理的递归队列功能，并逐层将云防火墙、云防火墙—ELB、ELB、ELB—代理之间的数据包头信息IP串存入代理队列，并利用#:wq#命令保存所述代理配置文件。

通过上述实施方式，能够实现对代理配置文件的逐层递归配置，实现对云防火墙和弹性负载均衡等中间设备的IP地址的递归，为后续的分层递归解析入访源地址提供数据基础。

响应于对所述目标物联网系统的安全防护指令，解析单元111启动所述代理配置文件，并对所述代理配置文件进行分层递归解析，得到入访源地址。

在本实施例中，所述目标物联网系统的安全防护指令可以由相关工作人员触发，如运维人员等。

在本实施例中，可以采用#sudo docker container restart ngnix#命令启动所述代理配置文件。

在本发明的至少一个实施例中，所述解析单元111对所述代理配置文件进行分层递归解析，得到入访源地址包括：

根据所述安全防护指令获取入访所述目标物联网系统的当前源地址；

获取所述代理配置文件中的所述代理队列；

利用所述当前源地址在所述代理队列中进行查询；

从所述当前源地址中筛选出在所述代理队列中未查询到的源地址作为所述入访源地址。

具体地，利用所述代理队列，即set_real_ip_from中的IP串，对所述当前源地址进行扫描过滤，排除在所述代理队列中存在的源地址，即可得到所述入访源地址。

监测单元112将所述入访源地址输出至所述入访日志，并监测所述入访日志中每个入访源地址的行为特征。

具体地，提供所述代理配置文件nginx.conf将$remote_addr-$remote_user[$time_local]、$status$body_bytes_sent等参数输出至入访日志，在运维期间，打开入访日志access.log，即可监测到某段时间内的入访情况，并进一步获取到每个入访源地址的行为特征。

锁定单元113根据每个入访源地址的行为特征锁定所述入访源地址中的可疑攻击源。

需要说明的是，对于单一的物联网业务系统，前端设备唤醒或睡眠期是有策略控制的，即便通信异常也有重传机制予以流量控制，在短时间内很少突发较高频的、针对敏感目录或文件的遍历和尝试绕过的情况。因此，在对入访日志监测时，需要重点关注这些行为。

具体地，所述锁定单元113根据每个入访源地址的行为特征锁定所述入访源地址中的可疑攻击源包括：

从每个入访源地址的行为特征中获取对目标目录的访问频率大于或者等于配置阈值的入访源地址作为第一候选源地址，其中，所述目标目录中带有目标关键词；

从每个入访源地址的行为特征中获取带有指定字符的访问记录，并将所述访问记录对应的入访源地址确定为第二候选源地址；

组合所述第一候选源地址及所述第二候选源地址，得到所述可疑攻击源。

其中，所述配置阈值可以进行自定义配置，本发明不限制。

具体地，当访问的目标目录中带有admin/DataBackup/upfile等所述目标关键词，且具有较高频率的目录遍历记录(如频率超过5次/秒，或100次/分)时，则明显超过了普通人的点击及访问频率；或者是访问的行为中带有“../、..\、..；/、…//、\u002e、\％e0％40％ae”等指定的特殊字符或者编码规则，用以对攻击对象的文件路径参数进行过滤或绕过，则确定对应的访问行为异常，并将对应的访问的源地址确定为所述述可疑攻击源。

进一步地，在所述根据每个入访源地址的行为特征锁定所述入访源地址中的可疑攻击源后，根据所述可疑攻击源生成预警信息；

将所述预警信息发送至指定联系人的终端设备。

其中，所述指定联系人可以包括相关工作人员，如运维人员、负责安全防护的工作人员等。

通过上述实施方式，能够在发现异常访问行为时及时向相关工作人员发出预警，便于相关工作人员及时采取措施，以避免造成严重的安全问题。

查询单元114调用至少一个公网接口，并利用所述至少一个公网接口查询所述可疑攻击源的位置信息。

在本实施例中，所述至少一个公网接口可以用于定位。

具体地，在利用所述至少一个公网接口查询所述可疑攻击源的位置信息时，每个公网接口可以返回所述可疑攻击源的地址归属地，如所属的市、区/县位置等。

通过上述实施方式，能够利用公网接口实现对入访地址的溯源，便于后续对攻击进行有针对性的阻断。

当所述可疑攻击源的位置信息异常时，禁止单元115禁止所述可疑攻击源访问所述目标物联网系统。

在本发明的至少一个实施例中，在所述利用所述至少一个公网接口查询所述可疑攻击源的位置信息后，对于每个可疑攻击源，获取每个公网接口返回的位置信息；

当检测到在每个公网接口返回的位置信息中，有大于或者等于两个位置信息相同时，将检测到的相同的位置信息确定为所述可疑攻击源的位置信息；

获取所述可疑攻击源的常规登录位置；

当所述可疑攻击源的位置信息与所述可疑攻击源的常规登录位置不同时，确定所述可疑攻击源的位置信息异常；或者

当所述可疑攻击源的位置信息与所述可疑攻击源的常规登录位置相同时，确定所述可疑攻击源的位置信息不异常。

可以理解的是，当在不同的公网接口查询到的位置信息中，有2条及以上市、区/县都是一致的，即说明位置信息的查询结果是可信的。

进一步地，判断查询到的位置信息与所述可疑攻击源的常规登录位置是否一致，若不一致，则说明登录地点异常，再加上前文已经确定了所述可疑攻击源的访问行为异常(如：访问频率过高，且访问了带有敏感词的目录)，则可以确定所述可疑攻击源异常。

更进一步地，禁止所述可疑攻击源访问所述目标物联网系统，如将所述可疑攻击源添加至黑名单，其中，所述黑名单存储着禁止访问所述目标物联网系统的所有用户的相关信息，以避免所述可疑攻击源对所述目标物联网系统进行攻击，进而保证了所述目标物联网系统的安全性。

需要说明的是，目前的物联网系统的安全防护方案对于硬件系统或外部软件插件的依赖程度较大，溯源系统本身会存在系统漏洞等风险，同时，部署于容器环境的中小应用系统本身也要按现有方案增加防护，对成本及实施的复杂度上都有较高的要求。

本实施例不需要添加额外的防护硬件设备、软件插件或溯源软件系统，通过入访日志监控访问行为，并利用公网接口查询位置信息，具有易普及、可复用程度较高等优势，在不额外增加安全防护系统，且不大幅提升实施运维成本的情况下，实现分散异常流量的攻击阻断，提高各容器的自主防护能力，在不中断业务的情况下灵活配置黑白名单，确保物联网设备唤醒后，业务不因过滤规则而导致中断。

由以上技术方案可以看出，本发明能够配置目标物联网系统对入访日志的访问权限，避免入访日志被随意篡改，导致后续无法监测和溯源，分层配置所述目标物联网系统的代理配置文件，响应于对所述目标物联网系统的安全防护指令，启动所述代理配置文件，并对所述代理配置文件进行分层递归解析，得到入访源地址，为后续监测可疑攻击源做基础，将所述入访源地址输出至所述入访日志，并监测所述入访日志中每个入访源地址的行为特征，根据每个入访源地址的行为特征锁定所述入访源地址中的可疑攻击源，调用至少一个公网接口，并利用所述至少一个公网接口查询所述可疑攻击源的位置信息，当所述可疑攻击源的位置信息异常时，禁止所述可疑攻击源访问所述目标物联网系统，结合异常的特征及异常的位置信息有效进行异常访问情况的识别，并通过溯源及地理定位达到了防攻击的目的，进而实现对物联网系统的安全防护。

如图3所示，是本发明实现物联网系统安全防护方法的较佳实施例的计算机设备的结构示意图。

所述计算机设备1可以包括存储器12、处理器13和总线，还可以包括存储在所述存储器12中并可在所述处理器13上运行的计算机程序，例如物联网系统安全防护程序。

本领域技术人员可以理解，所述示意图仅仅是计算机设备1的示例，并不构成对计算机设备1的限定，所述计算机设备1既可以是总线型结构，也可以是星形结构，所述计算机设备1还可以包括比图示更多或更少的其他硬件或者软件，或者不同的部件布置，例如所述计算机设备1还可以包括输入输出设备、网络接入设备等。

需要说明的是，所述计算机设备1仅为举例，其他现有的或今后可能出现的电子产品如可适应于本发明，也应包含在本发明的保护范围以内，并以引用方式包含于此。

其中，存储器12至少包括一种类型的可读存储介质，所述可读存储介质包括闪存、移动硬盘、多媒体卡、卡型存储器(例如：SD或DX存储器等)、磁性存储器、磁盘、光盘等。存储器12在一些实施例中可以是计算机设备1的内部存储单元，例如该计算机设备1的移动硬盘。存储器12在另一些实施例中也可以是计算机设备1的外部存储设备，例如计算机设备1上配备的插接式移动硬盘、智能存储卡(Smart Media Card，SMC)、安全数字(SecureDigital，SD)卡、闪存卡(Flash Card)等。进一步地，存储器12还可以既包括计算机设备1的内部存储单元也包括外部存储设备。存储器12不仅可以用于存储安装于计算机设备1的应用软件及各类数据，例如物联网系统安全防护程序的代码等，还可以用于暂时地存储已经输出或者将要输出的数据。

处理器13在一些实施例中可以由集成电路组成，例如可以由单个封装的集成电路所组成，也可以是由多个相同功能或不同功能封装的集成电路所组成，包括一个或者多个中央处理器(Central Processing unit，CPU)、微处理器、数字处理芯片、图形处理器及各种控制芯片的组合等。处理器13是所述计算机设备1的控制核心(Control Unit)，利用各种接口和线路连接整个计算机设备1的各个部件，通过运行或执行存储在所述存储器12内的程序或者模块(例如执行物联网系统安全防护程序等)，以及调用存储在所述存储器12内的数据，以执行计算机设备1的各种功能和处理数据。

所述处理器13执行所述计算机设备1的操作系统以及安装的各类应用程序。所述处理器13执行所述应用程序以实现上述各个物联网系统安全防护方法实施例中的步骤，例如图1所示的步骤。

示例性的，所述计算机程序可以被分割成一个或多个模块/单元，所述一个或者多个模块/单元被存储在所述存储器12中，并由所述处理器13执行，以完成本发明。所述一个或多个模块/单元可以是能够完成特定功能的一系列计算机可读指令段，该指令段用于描述所述计算机程序在所述计算机设备1中的执行过程。例如，所述计算机程序可以被分割成配置单元110、解析单元111、监测单元112、锁定单元113、查询单元114、禁止单元115。

上述以软件功能模块的形式实现的集成的单元，可以存储在一个计算机可读取存储介质中。上述软件功能模块存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机、计算机设备，或者网络设备等)或处理器(processor)执行本发明各个实施例所述物联网系统安全防护方法的部分。

所述计算机设备1集成的模块/单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本发明实现上述实施例方法中的全部或部分流程，也可以通过计算机程序来指示相关的硬件设备来完成，所述的计算机程序可存储于一计算机可读存储介质中，该计算机程序在被处理器执行时，可实现上述各个方法实施例的步骤。

其中，所述计算机程序包括计算机程序代码，所述计算机程序代码可以为源代码形式、对象代码形式、可执行文件或某些中间形式等。所述计算机可读介质可以包括：能够携带所述计算机程序代码的任何实体或装置、记录介质、U盘、移动硬盘、磁碟、光盘、计算机存储器、只读存储器(ROM，Read-Only Memory)、随机存取存储器等。

进一步地，计算机可读存储介质可主要包括存储程序区和存储数据区，其中，存储程序区可存储操作系统、至少一个功能所需的应用程序等；存储数据区可存储根据区块链节点的使用所创建的数据等。

本发明所指区块链是分布式数据存储、点对点传输、共识机制、加密算法等计算机技术的新型应用模式。区块链(Blockchain)，本质上是一个去中心化的数据库，是一串使用密码学方法相关联产生的数据块，每一个数据块中包含了一批次网络交易的信息，用于验证其信息的有效性(防伪)和生成下一个区块。区块链可以包括区块链底层平台、平台产品服务层以及应用服务层等。

总线可以是外设部件互连标准(peripheral component interconnect，简称PCI)总线或扩展工业标准结构(extended industry standard architecture，简称EISA)总线等。该总线可以分为地址总线、数据总线、控制总线等。为便于表示，在图3中仅用一根直线表示，但并不表示仅有一根总线或一种类型的总线。所述总线被设置为实现所述存储器12以及至少一个处理器13等之间的连接通信。

尽管未示出，所述计算机设备1还可以包括给各个部件供电的电源(比如电池)，优选地，电源可以通过电源管理装置与所述至少一个处理器13逻辑相连，从而通过电源管理装置实现充电管理、放电管理、以及功耗管理等功能。电源还可以包括一个或一个以上的直流或交流电源、再充电装置、电源故障检测电路、电源转换器或者逆变器、电源状态指示器等任意组件。所述计算机设备1还可以包括多种传感器、蓝牙模块、Wi-Fi模块等，在此不再赘述。

进一步地，所述计算机设备1还可以包括网络接口，可选地，所述网络接口可以包括有线接口和/或无线接口(如WI-FI接口、蓝牙接口等)，通常用于在该计算机设备1与其他计算机设备之间建立通信连接。

可选地，该计算机设备1还可以包括用户接口，用户接口可以是显示器(Display)、输入单元(比如键盘(Keyboard))，可选地，用户接口还可以是标准的有线接口、无线接口。可选地，在一些实施例中，显示器可以是LED显示器、液晶显示器、触控式液晶显示器以及OLED(Organic Light-Emitting Diode，有机发光二极管)触摸器等。其中，显示器也可以适当的称为显示屏或显示单元，用于显示在计算机设备1中处理的信息以及用于显示可视化的用户界面。

应该了解，所述实施例仅为说明之用，在专利申请范围上并不受此结构的限制。

图3仅示出了具有组件12-13的计算机设备1，本领域技术人员可以理解的是，图3示出的结构并不构成对所述计算机设备1的限定，可以包括比图示更少或者更多的部件，或者组合某些部件，或者不同的部件布置。

结合图1，所述计算机设备1中的所述存储器12存储多个指令以实现一种物联网系统安全防护方法，所述处理器13可执行所述多个指令从而实现：

配置目标物联网系统对入访日志的访问权限，及分层配置所述目标物联网系统的代理配置文件；

响应于对所述目标物联网系统的安全防护指令，启动所述代理配置文件，并对所述代理配置文件进行分层递归解析，得到入访源地址；

将所述入访源地址输出至所述入访日志，并监测所述入访日志中每个入访源地址的行为特征；

根据每个入访源地址的行为特征锁定所述入访源地址中的可疑攻击源；

调用至少一个公网接口，并利用所述至少一个公网接口查询所述可疑攻击源的位置信息；

当所述可疑攻击源的位置信息异常时，禁止所述可疑攻击源访问所述目标物联网系统。

具体地，所述处理器13对上述指令的具体实现方法可参考图1对应实施例中相关步骤的描述，在此不赘述。

在本发明所提供的几个实施例中，应该理解到，所揭露的系统，装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，所述模块的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式。

本发明可用于众多通用或专用的计算机系统环境或配置中。例如：个人计算机、服务器计算机、手持设备或便携式设备、平板型设备、多处理器系统、基于微处理器的系统、置顶盒、可编程的消费电子设备、网络PC、小型计算机、大型计算机、包括以上任何系统或设备的分布式计算环境等等。本发明可以在由计算机执行的计算机可执行指令的一般上下文中描述，例如程序模块。一般地，程序模块包括执行特定任务或实现特定抽象数据类型的例程、程序、对象、组件、数据结构等等。也可以在分布式计算环境中实践本发明，在这些分布式计算环境中，由通过通信网络而被连接的远程处理设备来执行任务。在分布式计算环境中，程序模块可以位于包括存储设备在内的本地和远程计算机存储介质中。

所述作为分离部件说明的模块可以是或者也可以不是物理上分开的，作为模块显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。

另外，在本发明各个实施例中的各功能模块可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用硬件加软件功能模块的形式实现。

对于本领域技术人员而言，显然本发明不限于上述示范性实施例的细节，而且在不背离本发明的精神或基本特征的情况下，能够以其他的具体形式实现本发明。

因此，无论从哪一点来看，均应将实施例看作是示范性的，而且是非限制性的，本发明的范围由所附权利要求而不是上述说明限定，因此旨在将落在权利要求的等同要件的含义和范围内的所有变化涵括在本发明内。不应将权利要求中的任何附关联图标记视为限制所涉及的权利要求。

此外，显然“包括”一词不排除其他单元或步骤，单数不排除复数。本发明中陈述的多个单元或装置也可以由一个单元或装置通过软件或者硬件来实现。第一、第二等词语用来表示名称，而并不表示任何特定的顺序。

最后应说明的是，以上实施例仅用以说明本发明的技术方案而非限制，尽管参照较佳实施例对本发明进行了详细说明，本领域的普通技术人员应当理解，可以对本发明的技术方案进行修改或等同替换，而不脱离本发明技术方案的精神和范围。

Claims (10)

1.一种物联网系统安全防护方法，其特征在于，所述物联网系统安全防护方法包括：

配置目标物联网系统对入访日志的访问权限，及分层配置所述目标物联网系统的代理配置文件；

响应于对所述目标物联网系统的安全防护指令，启动所述代理配置文件，并对所述代理配置文件进行分层递归解析，得到入访源地址；

将所述入访源地址输出至所述入访日志，并监测所述入访日志中每个入访源地址的行为特征；

根据每个入访源地址的行为特征锁定所述入访源地址中的可疑攻击源；

调用至少一个公网接口，并利用所述至少一个公网接口查询所述可疑攻击源的位置信息；

当所述可疑攻击源的位置信息异常时，禁止所述可疑攻击源访问所述目标物联网系统。

2.如权利要求1所述的物联网系统安全防护方法，其特征在于，所述配置目标物联网系统对入访日志的访问权限包括：

采用第一预设命令查询所述目标物联网系统下每个用户的访问权限；

获取预先配置的白名单；

将除所述白名单外的其他用户的访问权限配置为禁止读写所述入访日志。

3.如权利要求1所述的物联网系统安全防护方法，其特征在于，所述分层配置所述目标物联网系统的代理配置文件包括：

配置所述代理配置文件中的代理包头信息；

允许从弹性负载均衡端口地址段至代理的访问修改所述代理配置文件中的入访地址参数，及允许从云防火墙端口地址段至代理的访问修改所述入访地址参数；

允许利用所述代理包头信息中的X-Forwarded-For值替换所述入访地址参数的值；

利用第二预设命令对所述代理包头信息进行解析，得到目标字段；

获取所述云防火墙的包头信息作为第一包头信息、所述云防火墙与所述弹性负载均衡间的包头信息作为第二包头信息、所述弹性负载均衡的包头信息作为第三包头信息、所述弹性负载均衡与所述代理间的包头信息作为第四包头信息；

逐层将所述第一包头信息、所述第二包头信息、所述第三包头信息及所述第四包头信息写入所述目标字段，得到所述代理配置文件中的代理队列；

保存所述代理配置文件。

4.如权利要求3所述的物联网系统安全防护方法，其特征在于，所述对所述代理配置文件进行分层递归解析，得到入访源地址包括：

根据所述安全防护指令获取入访所述目标物联网系统的当前源地址；

获取所述代理配置文件中的所述代理队列；

利用所述当前源地址在所述代理队列中进行查询；

从所述当前源地址中筛选出在所述代理队列中未查询到的源地址作为所述入访源地址。

5.如权利要求1所述的物联网系统安全防护方法，其特征在于，所述根据每个入访源地址的行为特征锁定所述入访源地址中的可疑攻击源包括：

从每个入访源地址的行为特征中获取对目标目录的访问频率大于或者等于配置阈值的入访源地址作为第一候选源地址，其中，所述目标目录中带有目标关键词；

从每个入访源地址的行为特征中获取带有指定字符的访问记录，并将所述访问记录对应的入访源地址确定为第二候选源地址；

组合所述第一候选源地址及所述第二候选源地址，得到所述可疑攻击源。

6.如权利要求1所述的物联网系统安全防护方法，其特征在于，在所述利用所述至少一个公网接口查询所述可疑攻击源的位置信息后，所述方法还包括：

对于每个可疑攻击源，获取每个公网接口返回的位置信息；

当检测到在每个公网接口返回的位置信息中，有大于或者等于两个位置信息相同时，将检测到的相同的位置信息确定为所述可疑攻击源的位置信息；

获取所述可疑攻击源的常规登录位置；

当所述可疑攻击源的位置信息与所述可疑攻击源的常规登录位置不同时，确定所述可疑攻击源的位置信息异常；或者

当所述可疑攻击源的位置信息与所述可疑攻击源的常规登录位置相同时，确定所述可疑攻击源的位置信息不异常。

7.如权利要求1所述的物联网系统安全防护方法，其特征在于，在所述根据每个入访源地址的行为特征锁定所述入访源地址中的可疑攻击源后，所述方法还包括：

根据所述可疑攻击源生成预警信息；

将所述预警信息发送至指定联系人的终端设备。

8.一种物联网系统安全防护装置，其特征在于，所述物联网系统安全防护装置包括：

配置单元，用于配置目标物联网系统对入访日志的访问权限，及分层配置所述目标物联网系统的代理配置文件；

解析单元，用于响应于对所述目标物联网系统的安全防护指令，启动所述代理配置文件，并对所述代理配置文件进行分层递归解析，得到入访源地址；

监测单元，用于将所述入访源地址输出至所述入访日志，并监测所述入访日志中每个入访源地址的行为特征；

锁定单元，用于根据每个入访源地址的行为特征锁定所述入访源地址中的可疑攻击源；

查询单元，用于调用至少一个公网接口，并利用所述至少一个公网接口查询所述可疑攻击源的位置信息；

禁止单元，用于当所述可疑攻击源的位置信息异常时，禁止所述可疑攻击源访问所述目标物联网系统。

9.一种计算机设备，其特征在于，所述计算机设备包括：

存储器，存储至少一个指令；及

处理器，执行所述存储器中存储的指令以实现如权利要求1至7中任意一项所述的物联网系统安全防护方法。

10.一种计算机可读存储介质，其特征在于：所述计算机可读存储介质中存储有至少一个指令，所述至少一个指令被计算机设备中的处理器执行以实现如权利要求1至7中任意一项所述的物联网系统安全防护方法。