CN116095683A - 无线路由器的网络安全防护方法及装置 - Google Patents
无线路由器的网络安全防护方法及装置 Download PDFInfo
- Publication number
- CN116095683A CN116095683A CN202310378584.5A CN202310378584A CN116095683A CN 116095683 A CN116095683 A CN 116095683A CN 202310378584 A CN202310378584 A CN 202310378584A CN 116095683 A CN116095683 A CN 116095683A
- Authority
- CN
- China
- Prior art keywords
- network
- information
- behavior
- equipment
- data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/30—Security of mobile devices; Security of mobile applications
- H04W12/37—Managing security policies for mobile devices or for controlling mobile applications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W88/00—Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
- H04W88/14—Backbone network devices
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D30/00—Reducing energy consumption in communication networks
- Y02D30/70—Reducing energy consumption in communication networks in wireless communication networks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明提供了一种无线路由器的网络安全防护方法及装置,能够对与无线路由器连接的设备的行为特征进行识别,在将其与该设备的历史使用情况以及用户主动设置的禁止行为进行比对,迅速发现设备的异常操作,执行相应的安全防护动作。用户在使用时,不需要进行复杂的权限设置和管理,在有效保障与无线路由器相关联的网络安全的基础上,降低了用户的使用门槛,有利于基于物联网技术的智能家居产品的推广使用。
Description
技术领域
本发明涉及网络安全领域,具体而言,涉及一种无线路由器的网络安全防护方法及装置。
背景技术
随着物联网技术的不断发展,在家居环境中,需要连接网络使用的设备,其种类和数量也在不断增加,随之而来的网络使用风险也相应增大。目前市面上多数的智能家居产品,对于网络安全防护功能的设计,通常是缺失的或者比较简单,主要依靠用户主动采用防护措施,或是依靠其连接的网络连接设备所提供的基础功能,导致网络安全防护的效果不佳。而要想获得更好的网络安全防护效果,就对使用智能家居产品的用户提高了使用门槛,或者花费更高的使用成本选择有针对性功能的网络连接设备。
因此,如何针对无线路由器提供一种用户使用方便同时防护效果好的安全防护方法,是目前亟待解决的问题。
发明内容
为了改善上述问题,本发明提供了一种无线路由器的网络安全防护方法及装置。
本发明实施例的第一方面,提供了一种无线路由器的网络安全防护方法,所述方法包括:
获取与无线路由器建立过网络连接的设备清单、设备基本信息以及用户设置的针对每个设备的网络使用权限;
基于每个设备的历史网络使用情况,建立每个设备的网络行为画像数据,所述网络行为画像数据包括相互关联的交互目标特征信息、交互数据特征信息以及流量使用特征信息;
根据所述设备基本信息、所述网络使用权限以及所述网络行为画像,构建网络安全管理数据库;
按照预设的第一监测策略收集待检测设备的行为特征信息,基于设备基本信息,将所述行为特征信息分别与设备对应的网络使用权限以及网络行为画像数据进行对比;
如果所述行为特征信息与所述网络使用权限不匹配,则执行第一安全防护动作;如果所述行为特征信息与所述网络行为画像数据不匹配,则执行第二安全防护动作。
可选地,所述设备基本信息包括设备基础配置信息,所述网络安全管理数据库还包括设备配置特征,所述方法还包括:
根据所述设备基础配置信息以及所述历史网络使用情况,确定所述设备配置特征;
按照预设的第二监测策略,获取设备的当前配置信息;
将所述当前配置信息与所述设备配置特征进行匹配;
如果不匹配,则执行第三安全防护动作。
可选地,所述根据所述设备基础配置信息以及所述历史网络使用情况,确定所述设备配置特征的步骤,具体包括:
获取所述设备基础配置信息,可出现变化的配置参数;
基于所述历史网络使用情况,确定可出现变化的配置参数的变化范围,得到设备配置特征。
可选地,所述基于每个设备的历史网络使用情况,建立每个设备的网络行为画像数据的步骤,具体包括:
根据与设备发生过信息交互的目标对象,确定交互目标列表;
分别对交互目标列表中的每个目标对象添加用于标识目标类型的特征数据标签,得到交互目标特征信息;
以目标对象为单位,根据交互的数据类型、数据格式确定对应的交互数据特征信息;
根据交互的数据流量大小、数据流量产生时间以及不同时间区间数据的流量速率,得到流量使用特征信息。
可选地,基于设备基本信息将所述行为特征信息与设备对应的网络使用权限进行对比的步骤,具体包括:
判断所述行为特征信息对应的操作是否在所述网络使用权限的所限定的范围内,如果否,则认为所述行为特征信息与所述网络使用权限不匹配。
可选地,所述基于设备基本信息将所述行为特征信息与网络行为画像数据进行对比的步骤,具体包括:
提取所述行为特征信息中,分别与所述交互目标特征信息、交互数据特征信息以及流量使用特征信息对应的交互目标信息、交互数据信息以及流量使用信息;
判断所述交互目标信息是否与所述交互目标列表中的其中一个目标对象相同;
如果否,则进一步比对所述交互目标信息的目标类型,是否与交互目标列表中的其中一个目标对象的特征数据标签相似度在第一预设范围内,如果相似度不在预设的范围内,则认为所述行为特征信息与所述网络行为画像数据不匹配;
如果是所述交互目标信息与所述交互目标列表中的其中一个目标对象相同,或者相似度在第一预设范围内,则进行后续的判断;
将所述交互数据信息以及所述流量使用信息,与所述交互目标列表中的相同目标对象对应的交互数据特征信息和流量使用特征信息进行对比,判断相似度是否在第二预设范围内;
如果相似度不在第二预设范围内,则认为所述行为特征信息与所述网络行为画像数据不匹配。
可选地,所述基于设备基本信息,将所述行为特征信息分别与设备对应的网络使用权限以及网络行为画像数据进行对比的步骤,还包括:
如果所述网络安全管理数据库中没有与待检测设备的设备基本信息完全相同的数据;
则从所述网络安全管理数据库中已保存的设备基本信息中,筛选出与所述待检测设备的设备基本信息相似度最高的设备基本信息;
将所述待检测设备的行为特征信息与筛选出的设备基本信息对应的网络使用权限以及网络行为画像数据进行对比。
可选地,所述第一安全防护动作为中断待检测设备的网络连接,所述第二安全防护动作为关闭待检测设备的上行网络,所述方法还包括:
当执行所述第一安全防护动作或所述第二安全防护动作后,记录所述行为特征信息,并向外发送安全报警信息,所述安全报警信息包括待检测设备的设备基本信息和行为特征信息。
可选地,所述方法还包括:
接收外部针对所述第二安全防护动作反馈的安全确认信息;
基于触发所述第二安全防护动作的行为特征信息,对所述网络安全管理数据库进行信息更新。
本发明实施例的第二方面,提供了一种无线路由器的网络安全防护装置,所述装置包括:
信息获取单元,用于获取与无线路由器建立过网络连接的设备清单、设备基本信息以及用户设置的针对每个设备的网络使用权限;
行为画像单元,用于基于每个设备的历史网络使用情况,建立每个设备的网络行为画像数据,所述网络行为画像数据包括相互关联的交互目标特征信息、交互数据特征信息以及流量使用特征信息;
数据库管理单元,用于根据所述设备基本信息、所述网络使用权限以及所述网络行为画像,构建网络安全管理数据库;
数据对比单元,用于按照预设的第一监测策略收集待检测设备的行为特征信息,基于设备基本信息,将所述行为特征信息分别与设备对应的网络使用权限以及网络行为画像数据进行对比;
防护执行单元,用于如果所述行为特征信息与所述网络使用权限不匹配,则执行第一安全防护动作;如果所述行为特征信息与所述网络行为画像数据不匹配,则执行第二安全防护动作。
综上所述,本发明提供了一种无线路由器的网络安全防护方法及装置,能够对与无线路由器连接的设备的行为特征进行识别,在将其与该设备的历史使用情况以及用户主动设置的禁止行为进行比对,迅速发现设备的异常操作,执行相应的安全防护动作。本发明的有益效果为:用户在使用时,不需要进行复杂的权限设置和管理,在有效保障与无线路由器相关联的网络安全的基础上,降低了用户的使用门槛,有利于基于物联网技术的智能家居产品的推广使用。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本发明的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1为本发明实施例的无线路由器的网络安全防护方法及装置的应用场景示意图;
图2为本发明实施例的无线路由器的网络安全防护方法的方法流程图;
图3为本发明实施例的将行为特征信息与网络行为画像数据进行对比的方法流程图;
图4为本发明实施例的无线路由器的网络安全防护装置的功能模块框图。
图标:
无线路由器100;设备200;信息获取单元110;行为画像单元120;数据库管理单元130;数据对比单元140;防护执行单元150。
具体实施方式
随着物联网技术的不断发展,在家居环境中,需要连接网络使用的设备,其种类和数量也在不断增加,随之而来的网络使用风险也相应增大。目前市面上多数的智能家居产品,对于网络安全防护功能的设计,通常是缺失的或者比较简单,主要依靠用户主动采用防护措施,或是依靠其连接的网络连接设备所提供的基础功能,导致网络安全防护的效果不佳。而要想获得更好的网络安全防护效果,就对使用智能家居产品的用户提高了使用门槛,或者花费更高的使用成本选择有针对性功能的网络连接设备。
因此,如何针对无线路由器提供一种用户使用方便同时防护效果好的安全防护方法,是目前亟待解决的问题。
鉴于此,本发明设计者设计了一种无线路由器的网络安全防护方法及装置,能够对与无线路由器连接的设备的行为特征进行识别,在将其与该设备的历史使用情况以及用户主动设置的禁止行为进行比对,迅速发现设备的异常操作,执行相应的安全防护动作。用户在使用时,不需要进行复杂的权限设置和管理,在有效保障与无线路由器相关联的网络安全的基础上,降低了用户的使用门槛,有利于基于物联网技术的智能家居产品的推广使用。
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。通常在此处附图中描述和示出的本发明实施例的组件可以以各种不同的配置来布置和设计。
因此,以下对在附图中提供的本发明的实施例的详细描述并非旨在限制要求保护的本发明的范围,而是仅仅表示本发明的选定实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。
在本发明的描述中,需要说明的是,术语 “顶”、“底”、“内”、“外”等指示的方位或位置关系为基于附图所示的方位或位置关系,或者是该发明产品使用时惯常摆放的方位或位置关系,仅是为了便于描述本发明和简化描述,而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作,因此不能理解为对本发明的限制。此外,术语“第一”、“第二”等仅用于区分描述,而不能理解为指示或暗示相对重要性。
在本发明的描述中,还需要说明的是,除非另有明确的规定和限定,术语“设置”、“安装”、“相连”、“连接”应做广义理解,例如,可以是固定连接,也可以是可拆卸连接,或一体地连接;可以是机械连接,也可以是电连接;可以是直接相连,也可以通过中间媒介间接相连,可以是两个元件内部的连通。对于本领域的普通技术人员而言,可以具体情况理解上述术语在本发明中的具体含义。
需要说明的是,在不冲突的情况下,本发明中的实施例及实施例中的特征可以相互组合。
请参阅图1,本实施例提供的一种无线路由器的网络安全防护方法、装置的应用场景示意图。
如图1所示,本发明提供的一种无线路由器的网络安全防护方法、装置,应用于无线路由器100,设备200通过无线路由器100提供的网络相互连接或者通过无线路由器100连接互联网。其中,设备200可以是带有无线通信模块的物联网设备,也可以是手机、电脑等具有网络连接功能的设备终端。
需要注意的是,网络安全管理数据库,可以直接保存于无线路由器100,也可以保存于与无线路由器100连接的其他服务器或者云端设备上。获取网络安全管理数据库的信息时,无线路由器100向保存有网络安全管理数据库的端发送请求信息,并获取根据请求信息反馈的网络安全管理数据库中的信息。
在上述基础上,如图2所示,为本发明一实施例提供的无线路由器的网络安全防护方法,该方法包括:
步骤S101,获取与无线路由器建立过网络连接的设备清单、设备基本信息以及用户设置的针对每个设备的网络使用权限。
通常在家居环境中,设备与无线路由器的连接,存在多种情况,有的设备可能是保持持续连接网络的状态,有的设备可能是用户在使用时才临时开启并连接网络,有的设备可能是按一定时间周期定时开启并连接网络。因此在获取设备清单时,采取的策略是获取与无线路由器建立过网络连接的设备清单。
同时,对于每个设备的网络使用权限,用户可以预先进行设置。考虑到部分用户可能没有掌握对设备设置网络使用权限的方法,或者不想进行设置,此时对于未设置网络使用权限的设备,将获取不到对应的网络使用权限信息,在这种情况下,则认为该设备的网络使用权限为无限制。在后续涉及到网络使用权限匹配的环节,就直接跳过。
需要注意的是,用户主动设置的网络使用权限包括但不限于,网络连接的时间、流量使用总量、网速、访问对象(可通过物理地址或者其他标识信息进行限定)、特定访问对象的访问时间等。
步骤S102,基于每个设备的历史网络使用情况,建立每个设备的网络行为画像数据,所述网络行为画像数据包括相互关联的交互目标特征信息、交互数据特征信息以及流量使用特征信息。
网络行为画像用于描述不同设备的行为特点,当发现设备的某个行为与其网络行为画像的偏离度较高时,则初步判断该设备出现风险的概率增加,再综合其他判断因素,则可以对设备的安全状态进行评估,方便采取对应的安全防护动作。而基于设备的历史网络使用情况所建立的网络行为画像数据,对于设备的行为特点的总结提炼更加准确。需要注意的是,所基于历史网络使用情况信息越多,得到的网络行为画像就越准确。
针对网络行为画像,从网络安全防护的角度看,交互目标特征信息、交互数据特征信息以及流量使用特征信息这三个信息对应的内容,与设备出现网络安全问题的关联度最高。常见的网络攻击产生的影响或者效果,均可以从这三个信息上进行反馈。
作为本发明实施例的优选方式,步骤S102,具体包括:
根据与设备发生过信息交互的目标对象,确定交互目标列表;
分别对交互目标列表中的每个目标对象添加用于标识目标类型的特征数据标签,得到交互目标特征信息;
以目标对象为单位,根据交互的数据类型、数据格式确定对应的交互数据特征信息;
根据交互的数据流量大小、数据流量产生时间以及不同时间区间数据的流量速率,得到流量使用特征信息。
根据实际生活中的使用情况统计,我们可以发现,对于不同的设备,由于其本身功能的限制,或者是用户使用习惯的影响,通过无线路由器连接上互联网之后,与设备发生信息交互的目标对象通常比较固定。而且针对不同的目标对象,交互的数据类型、数据格式以及交互的方式或者频率也会相对固定且相互存区别。基于交互的数据类型、数据格式以及交互的方式或者频率的特点,也使得交互的数据流量大小、数据流量产生时间以及不同时间区间数据的流量速率呈现出相应的特征。因此需要以目标对象为单位确定交互数据特征信息,对于同一设备,根据交互目标列表中目标对象数量,会生成相应条数的互数据特征信息。
例如某温度监控设备,其工作中通过无线路由器发生信息交互的目标对象主要是属于同一无线网络中的具有温度控制功能的设备(提供动作执行的参考数值)、用户获取温度信息的设备(如手机、平板电脑)、提供该产品服务商的后台服务器(用于提供系统更新或者维护信息或者进行大数据采集)。在分别与上述不同目标对象进行交互时,该温度监控设备发送的数据类型、数据格式以及交互的方式均有所区别,对应产生的流量特征也会呈现出相应的特点来。例如只有从后台服务器获取系统更新包时,才可能在短时间内出现较大速率的下载流量。
步骤S103,根据所述设备基本信息、所述网络使用权限以及所述网络行为画像,构建网络安全管理数据库。
网络安全管理数据库中数据的存储,是以设备为单位进行的,针对每个设备,通过设备基本信息进行区分,然后关联相应的网络使用权限和网络行为画像。在后续的步骤中,先通过设备基本信息进行检索和目标的锁定,然后提取出相应的网络使用权限和网络行为画像进行比对。
作为本发明实施例的其他实施方式,网络安全管理数据库可以被保存于与无线路由器有网络连接的云端或者设备端。其他无线路由器可以通过云端或者设备端共享网络安全管理数据库。通常来说,对于具体的用户其使用习惯是相同的,当某个用户在不同的现实环境中(例如在不同地方有个房子,或者是在家和在办公室),设置有多个无线路由器时,多个无线路由器之间可以相互共享网络安全管理数据库。还有一个可使用场景就是,当用户更换新的无线路由器时,可以通过该功能,实现对新无线路由器的配置。进一步地,对于不同的用户之间,通过共享网络安全管理数据库,也可以实现网络安全防护策略的共享和备份。
步骤S104,按照预设的第一监测策略收集待检测设备的行为特征信息,基于设备基本信息,将所述行为特征信息分别与设备对应的网络使用权限以及网络行为画像数据进行对比。
第一监测策略的设置,主要基于用户的使用习惯或者网络安全防护需求。具体可以设置为按一定的时间周期进行检测,基于设备在时间周期内的行为特征信息进行检测;或者是设置某些触发条件,当检测到符合触发条件时,则进行检测。进行检测时,对于当前与无线路由器处于连接状态的设备,可以直接进行安全防护动作的操作,对于当前未与无线路由器处于连接状态的设备,可以通过其他设备向用户传递信息,或者是等待该设备与无线路由器连接后再执行安全防护动作。
其中,将所述行为特征信息与设备对应的网络使用权限进行对比的步骤,具体包括:
判断所述行为特征信息对应的操作是否在所述网络使用权限的所限定的范围内,如果否,则认为所述行为特征信息与所述网络使用权限不匹配。
对于用户直接设置的网络使用权限,比对的过程相对直接一些,直接按权限范围对比即可。对于上述提到的未设置网络使用权限的设备,无论行为特征信息是什么样,均不会出现行为特征信息与所述网络使用权限不匹配的情况。
在对比完网络使用权限之后,再进行网络行为画像数据的对比。由于是特征之间的比对,可以采用计算两者相似度或者匹配度的方式进行。作为其中一种具体的实施方式,对于网络行为画像数据的建立,可以采用CNN神经网络实现,通过采集大量的数据训练建立特征提取模型,再基于特征提取模型从历史网络使用情况中提取相互关联的交互目标特征信息、交互数据特征信息以及流量使用特征信息进而构建网络行为画像。最后再将待检测设备的行为特征信息输入到模型中,进行相似度计算,实现特征信息与网络行为画像数据的对比。并通过设置合适的阈值,用于判断是否匹配。
步骤S105,如果所述行为特征信息与所述网络使用权限不匹配,则执行第一安全防护动作;如果所述行为特征信息与所述网络行为画像数据不匹配,则执行第二安全防护动作。
第一安全防护动作和第二安全防护动作的具体内容,可以由用户进行设置,也可以是根据无线路由器相关网络的安全防护等级来确定。
作为本发明实施例的优选,所述第一安全防护动作为中断待检测设备的网络连接,所述第二安全防护动作为关闭待检测设备的上行网络。
当执行所述第一安全防护动作或所述第二安全防护动作后,记录所述行为特征信息,并向外发送安全报警信息,所述安全报警信息包括待检测设备的设备基本信息和行为特征信息。
用户可以通过与无线路由器连接的设备接受安全报警信息并进行主观判断,并且调整相应的安全防护动作。例如某天用户通过某个设备执行了一个非常规操作,导致触发无线路由器对该设备执行了第二安全防护动作,用户接受到相应的安全报警信息后,知道是由当前的这个操作触发的,并希望以后再次执行该操作不会触发安全防护动作,可以基于所收到的安全报警信息,向无线路由器发送事先约定好并设置的安全确认信息。
无线路由器接收外部针对所述第二安全防护动作反馈的安全确认信息;基于触发所述第二安全防护动作的行为特征信息,对所述网络安全管理数据库进行信息更新。
通过将该操作对应的行为特征信息,更新到网络安全管理数据库,使得下次进行检测时,行为特征信息能够与更新后的网络行为画像数据匹配,进而不会触发第二安全防护。
通过上述过程,实现了对网络安全管理数据库的动态调整。
在此基础上,作为本发明的优选实施方式,所述设备基本信息包括设备基础配置信息,所述网络安全管理数据库还包括设备配置特征。所述方法包括:
根据所述设备基础配置信息以及所述历史网络使用情况,确定所述设备配置特征;
按照预设的第二监测策略,获取设备的当前配置信息;
将所述当前配置信息与所述设备配置特征进行匹配;
如果不匹配,则执行第三安全防护动作。
在常见的网络安全事件中,除了直接对设备发起攻击,导致设备出现异常动作以外。还有另一种表现形式,即对设备发起攻击获取设备的控制权后,不立即执行操作,而是等待某些触发条件,针对这一类型的事件,可以采用上述策略进行网络安全防护,即通过设备的配置信息的变化进行安全状态的评估。
其中,第二监测策略的设置逻辑与第一监测策略相似,在此不再进行赘述。第三安全防护动作的设置逻辑与第一、第二安全防护动作相似,也在此不再进行赘述。
具体地,所述根据所述设备基础配置信息以及所述历史网络使用情况,确定所述设备配置特征的步骤,具体包括:
获取所述设备基础配置信息,可出现变化的配置参数;
基于所述历史网络使用情况,确定可出现变化的配置参数的变化范围,得到设备配置特征。
其中,设备基础配置信息的获取,是在设备首次与无线路由器连接时获取的,即该设备进入无线路由器相关无线网络的初始状态。然后通过历史网络使用情况,可以模拟和预估设备可出现变化的配置参数的变化范围。如果当前所获取的设备的配置信息,其中的某些配置参数超出了模拟和预估变化范围,则说明在使用过程中,该设备执行了历史网络使用情况没有记录的操作,这极有可能是被未知端控制过的表现。通过这样的方式来判断设备是否出现了网络安全问题,进而可以采取相应的安全防护动作。
综上,本实施例提供的无线路由器的网络安全防护方法,能够对与无线路由器连接的设备的行为特征进行识别,在将其与该设备的历史使用情况以及用户主动设置的禁止行为进行比对,迅速发现设备的异常操作,执行相应的安全防护动作。用户在使用时,不需要进行复杂的权限设置和管理,在有效保障与无线路由器相关联的网络安全的基础上,降低了用户的使用门槛,有利于基于物联网技术的智能家居产品的推广使用。
作为本发明的实施例的另一实施方式,如图3所示,本发明实施例的将行为特征信息与网络行为画像数据进行对比的方法,具体包括:
步骤S201,判断网络安全管理数据库中是否有与待检测设备的设备基本信息完全相同的数据。如果是,则直接执行步骤S203,如果否,则执行步骤S202。
步骤S202,从所述网络安全管理数据库中已保存的设备基本信息中,筛选出与所述待检测设备的设备基本信息相似度最高的设备基本信息。
对于与待检测设备,如果是首次与无线路由器建立网络连接,在网络安全管理数据库中就没有保存与之相同的设备基本信息。针对该情况,考虑到类似设备的功能或者使用情况接近,选择与待检测设备的设备基本信息相似度最高的设备基本信息进行后续的对比。
步骤S203,提取所述行为特征信息中,分别与所述交互目标特征信息、交互数据特征信息以及流量使用特征信息对应的交互目标信息、交互数据信息以及流量使用信息。
步骤S204,判断所述交互目标信息是否与所述交互目标列表中的其中一个目标对象相同。如果是,则直接执行步骤S206,如果否,则执行步骤S205。
如果有已经保存的目标对象,则直接进行后续的对比,如果没有,则相似度的对比,尽可能的在保证功能完整性的前提下,提高准确性。以降低用户的使用成本。
步骤S205,比对所述交互目标信息的目标类型,是否与交互目标列表中的其中一个目标对象的特征数据标签相似度在第一预设范围内。如果是,则执行步骤S206,如果否,则直接执行步骤S207。
对于同类型的目标对象,其行为特征可能存在相似,但是对于未被记录过的类型的目标对象,则明显是触发安全防护动作的对象。
步骤S206,将所述交互数据信息以及所述流量使用信息,与所述交互目标列表中的相同目标对象对应的交互数据特征信息和流量使用特征信息进行对比,判断相似度是否在第二预设范围内。
即使对于已经记录过的目标对象,如果交互数据特征信息和流量使用特征信息发生了较大程度的偏离,也任然认为是触发安全防护动作的情况。
步骤S207,认为所述行为特征信息与所述网络行为画像数据不匹配。
本实施例提供的是一种将行为特征信息与网络行为画像数据进行对比的方式,除了本实施例提供的对比方法以外,作为本发明的其他实施例,可以采用其他合适的行为特征比对策略,例如基于支持向量机(vsm)的行为特征比对方法,实现行为特征信息与网络行为画像数据的对比。
如图4所示,本发明实施提供的无线路由器的网络安全防护装置,所述装置包括:
信息获取单元110,用于获取与无线路由器建立过网络连接的设备清单、设备基本信息以及用户设置的针对每个设备的网络使用权限;
行为画像单元120,用于基于每个设备的历史网络使用情况,建立每个设备的网络行为画像数据,所述网络行为画像数据包括相互关联的交互目标特征信息、交互数据特征信息以及流量使用特征信息;
数据库管理单元130,用于根据所述设备基本信息、所述网络使用权限以及所述网络行为画像,构建网络安全管理数据库;
数据对比单元140,用于按照预设的第一监测策略收集待检测设备的行为特征信息,基于设备基本信息,将所述行为特征信息分别与设备对应的网络使用权限以及网络行为画像数据进行对比;
防护执行单元150,用于如果所述行为特征信息与所述网络使用权限不匹配,则执行第一安全防护动作;如果所述行为特征信息与所述网络行为画像数据不匹配,则执行第二安全防护动作。
本发明实施例提供的无线路由器的网络安全防护装置,用于实现上述无线路由器的网络安全防护方法,因此具体实施方式与上述方法相同,在此不再赘述。
综上所述,本发明提供了一种无线路由器的网络安全防护方法及装置,能够对与无线路由器连接的设备的行为特征进行识别,在将其与该设备的历史使用情况以及用户主动设置的禁止行为进行比对,迅速发现设备的异常操作,执行相应的安全防护动作。用户在使用时,不需要进行复杂的权限设置和管理,在有效保障与无线路由器相关联的网络安全的基础上,降低了用户的使用门槛,有利于基于物联网技术的智能家居产品的推广使用。
在本申请所公开的几个实施例中,应该理解到,所揭露的装置和方法,也可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的,例如,附图中的流程图和框图显示了根据本申请的多个实施例的装置、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分,模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现方式中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个连续的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或动作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
另外,在本申请各个实施例中的各功能模块可以集成在一起形成一个独立的部分,也可以是各个模块单独存在,也可以两个或两个以上模块集成形成一个独立的部分。
所述功能如果以软件功能模块的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
Claims (10)
1.一种无线路由器的网络安全防护方法,其特征在于,所述方法包括:
获取与无线路由器建立过网络连接的设备清单、设备基本信息以及用户设置的针对每个设备的网络使用权限;
基于每个设备的历史网络使用情况,建立每个设备的网络行为画像数据,所述网络行为画像数据包括相互关联的交互目标特征信息、交互数据特征信息以及流量使用特征信息;
根据所述设备基本信息、所述网络使用权限以及所述网络行为画像,构建网络安全管理数据库;
按照预设的第一监测策略收集待检测设备的行为特征信息,基于设备基本信息,将所述行为特征信息分别与设备对应的网络使用权限以及网络行为画像数据进行对比;
如果所述行为特征信息与所述网络使用权限不匹配,则执行第一安全防护动作;如果所述行为特征信息与所述网络行为画像数据不匹配,则执行第二安全防护动作。
2.根据权利要求1所述的无线路由器的网络安全防护方法,其特征在于,所述设备基本信息包括设备基础配置信息,所述网络安全管理数据库还包括设备配置特征,所述方法还包括:
根据所述设备基础配置信息以及所述历史网络使用情况,确定所述设备配置特征;
按照预设的第二监测策略,获取设备的当前配置信息;
将所述当前配置信息与所述设备配置特征进行匹配;
如果不匹配,则执行第三安全防护动作。
3.根据权利要求2所述的无线路由器的网络安全防护方法,其特征在于,所述根据所述设备基础配置信息以及所述历史网络使用情况,确定所述设备配置特征的步骤,具体包括:
获取所述设备基础配置信息,可出现变化的配置参数;
基于所述历史网络使用情况,确定可出现变化的配置参数的变化范围,得到设备配置特征。
4.根据权利要求1所述的无线路由器的网络安全防护方法,其特征在于,所述基于每个设备的历史网络使用情况,建立每个设备的网络行为画像数据的步骤,具体包括:
根据与设备发生过信息交互的目标对象,确定交互目标列表;
分别对交互目标列表中的每个目标对象添加用于标识目标类型的特征数据标签,得到交互目标特征信息;
以目标对象为单位,根据交互的数据类型、数据格式确定对应的交互数据特征信息;
根据交互的数据流量大小、数据流量产生时间以及不同时间区间数据的流量速率,得到流量使用特征信息。
5.根据权利要求4所述的无线路由器的网络安全防护方法,其特征在于,基于设备基本信息将所述行为特征信息与设备对应的网络使用权限进行对比的步骤,具体包括:
判断所述行为特征信息对应的操作是否在所述网络使用权限的所限定的范围内,如果否,则认为所述行为特征信息与所述网络使用权限不匹配。
6.根据权利要求5所述的无线路由器的网络安全防护方法,其特征在于,基于设备基本信息将所述行为特征信息与网络行为画像数据进行对比的步骤,具体包括:
提取所述行为特征信息中,分别与所述交互目标特征信息、交互数据特征信息以及流量使用特征信息对应的交互目标信息、交互数据信息以及流量使用信息;
判断所述交互目标信息是否与所述交互目标列表中的其中一个目标对象相同;
如果否,则进一步比对所述交互目标信息的目标类型,是否与交互目标列表中的其中一个目标对象的特征数据标签相似度在第一预设范围内,如果相似度不在预设的范围内,则认为所述行为特征信息与所述网络行为画像数据不匹配;
如果是所述交互目标信息与所述交互目标列表中的其中一个目标对象相同,或者相似度在第一预设范围内,则进行后续的判断;
将所述交互数据信息以及所述流量使用信息,与所述交互目标列表中的相同目标对象对应的交互数据特征信息和流量使用特征信息进行对比,判断相似度是否在第二预设范围内;
如果相似度不在第二预设范围内,则认为所述行为特征信息与所述网络行为画像数据不匹配。
7.根据权利要求6中所述的无线路由器的网络安全防护方法,其特征在于,所述基于设备基本信息,将所述行为特征信息分别与设备对应的网络使用权限以及网络行为画像数据进行对比的步骤,还包括:
如果所述网络安全管理数据库中没有与待检测设备的设备基本信息完全相同的数据;
则从所述网络安全管理数据库中已保存的设备基本信息中,筛选出与所述待检测设备的设备基本信息相似度最高的设备基本信息;
将所述待检测设备的行为特征信息与筛选出的设备基本信息对应的网络使用权限以及网络行为画像数据进行对比。
8.根据权利要求7中所述的无线路由器的网络安全防护方法,其特征在于,所述第一安全防护动作为中断待检测设备的网络连接,所述第二安全防护动作为关闭待检测设备的上行网络,所述方法还包括:
当执行所述第一安全防护动作或所述第二安全防护动作后,记录所述行为特征信息,并向外发送安全报警信息,所述安全报警信息包括待检测设备的设备基本信息和行为特征信息。
9.根据权利要求8中所述的无线路由器的网络安全防护方法,其特征在于,所述方法还包括:
接收外部针对所述第二安全防护动作反馈的安全确认信息;
基于触发所述第二安全防护动作的行为特征信息,对所述网络安全管理数据库进行信息更新。
10.一种无线路由器的网络安全防护装置,其特征在于,所述装置包括:
信息获取单元,用于获取与无线路由器建立过网络连接的设备清单、设备基本信息以及用户设置的针对每个设备的网络使用权限;
行为画像单元,用于基于每个设备的历史网络使用情况,建立每个设备的网络行为画像数据,所述网络行为画像数据包括相互关联的交互目标特征信息、交互数据特征信息以及流量使用特征信息;
数据库管理单元,用于根据所述设备基本信息、所述网络使用权限以及所述网络行为画像,构建网络安全管理数据库;
数据对比单元,用于按照预设的第一监测策略收集待检测设备的行为特征信息,基于设备基本信息,将所述行为特征信息分别与设备对应的网络使用权限以及网络行为画像数据进行对比;
防护执行单元,用于如果所述行为特征信息与所述网络使用权限不匹配,则执行第一安全防护动作;如果所述行为特征信息与所述网络行为画像数据不匹配,则执行第二安全防护动作。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202310378584.5A CN116095683B (zh) | 2023-04-11 | 2023-04-11 | 无线路由器的网络安全防护方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202310378584.5A CN116095683B (zh) | 2023-04-11 | 2023-04-11 | 无线路由器的网络安全防护方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN116095683A true CN116095683A (zh) | 2023-05-09 |
| CN116095683B CN116095683B (zh) | 2023-06-13 |
Family
ID=86210615
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202310378584.5A Active CN116095683B (zh) | 2023-04-11 | 2023-04-11 | 无线路由器的网络安全防护方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN116095683B (zh) |
Citations (20)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104935572A (zh) * | 2015-04-24 | 2015-09-23 | 普联技术有限公司 | 多层级权限管理方法及装置 |
| US20180089916A1 (en) * | 2015-06-05 | 2018-03-29 | Dean Drako | Analytic Identity Measures for Physical Access Control Methods |
| CN108111348A (zh) * | 2017-12-20 | 2018-06-01 | 杭州云屏科技有限公司 | 一种针对企业云应用的安全策略管理方法及系统 |
| CN108197444A (zh) * | 2018-01-23 | 2018-06-22 | 北京百度网讯科技有限公司 | 一种分布式环境下的权限管理方法、装置及服务器 |
| CN108270620A (zh) * | 2018-01-15 | 2018-07-10 | 深圳市联软科技股份有限公司 | 基于画像技术的网络异常检测方法、装置、设备及介质 |
| CN109873811A (zh) * | 2019-01-16 | 2019-06-11 | 光通天下网络科技股份有限公司 | 基于攻击ip画像的网络安全防护方法及其网络安全防护系统 |
| CN110602046A (zh) * | 2019-08-13 | 2019-12-20 | 上海陆家嘴国际金融资产交易市场股份有限公司 | 数据监控处理方法、装置、计算机设备和存储介质 |
| CN111565390A (zh) * | 2020-07-16 | 2020-08-21 | 深圳市云盾科技有限公司 | 一种基于设备画像的物联网设备风险控制方法及系统 |
| CN111970317A (zh) * | 2020-04-28 | 2020-11-20 | 浙江吉利汽车研究院有限公司 | 远程控制方法、存储介质及远程控制系统 |
| CN112491872A (zh) * | 2020-11-25 | 2021-03-12 | 国网辽宁省电力有限公司信息通信分公司 | 一种基于设备画像的异常网络访问行为检测方法和系统 |
| CN112637220A (zh) * | 2020-12-25 | 2021-04-09 | 中能融合智慧科技有限公司 | 一种工控系统安全防护方法及装置 |
| CN112766517A (zh) * | 2021-01-12 | 2021-05-07 | 南方电网数字电网研究院有限公司 | 一种电力运维网络安全的监测预警方法 |
| CN112837059A (zh) * | 2021-01-12 | 2021-05-25 | 曹燕 | 用于区块链安全防护的支付策略调用方法及数字金融平台 |
| CN113435505A (zh) * | 2021-06-28 | 2021-09-24 | 中电积至(海南)信息技术有限公司 | 一种安全用户画像的构建方法与装置 |
| CN113468540A (zh) * | 2021-06-16 | 2021-10-01 | 丁祥云 | 基于网络安全大数据的安全画像处理方法及网络安全系统 |
| CN113660224A (zh) * | 2021-07-28 | 2021-11-16 | 上海纽盾科技股份有限公司 | 基于网络漏洞扫描的态势感知防御方法、装置及系统 |
| CN115442085A (zh) * | 2018-04-28 | 2022-12-06 | 北京东土军悦科技有限公司 | 基于配置信息的认证方法、装置、交换机、网络和介质 |
| JP2023037659A (ja) * | 2021-09-04 | 2023-03-16 | 広海 大谷 | セキュリティの強化法とネットサービスビジネスモデルに関する特許 |
| CN115842642A (zh) * | 2021-09-18 | 2023-03-24 | 广州腾讯科技有限公司 | 网络访问管理方法、装置及电子设备 |
| CN115883223A (zh) * | 2022-12-06 | 2023-03-31 | 山石网科通信技术股份有限公司 | 用户风险画像的生成方法及装置、电子设备、存储介质 |
-
2023
- 2023-04-11 CN CN202310378584.5A patent/CN116095683B/zh active Active
Patent Citations (20)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104935572A (zh) * | 2015-04-24 | 2015-09-23 | 普联技术有限公司 | 多层级权限管理方法及装置 |
| US20180089916A1 (en) * | 2015-06-05 | 2018-03-29 | Dean Drako | Analytic Identity Measures for Physical Access Control Methods |
| CN108111348A (zh) * | 2017-12-20 | 2018-06-01 | 杭州云屏科技有限公司 | 一种针对企业云应用的安全策略管理方法及系统 |
| CN108270620A (zh) * | 2018-01-15 | 2018-07-10 | 深圳市联软科技股份有限公司 | 基于画像技术的网络异常检测方法、装置、设备及介质 |
| CN108197444A (zh) * | 2018-01-23 | 2018-06-22 | 北京百度网讯科技有限公司 | 一种分布式环境下的权限管理方法、装置及服务器 |
| CN115442085A (zh) * | 2018-04-28 | 2022-12-06 | 北京东土军悦科技有限公司 | 基于配置信息的认证方法、装置、交换机、网络和介质 |
| CN109873811A (zh) * | 2019-01-16 | 2019-06-11 | 光通天下网络科技股份有限公司 | 基于攻击ip画像的网络安全防护方法及其网络安全防护系统 |
| CN110602046A (zh) * | 2019-08-13 | 2019-12-20 | 上海陆家嘴国际金融资产交易市场股份有限公司 | 数据监控处理方法、装置、计算机设备和存储介质 |
| CN111970317A (zh) * | 2020-04-28 | 2020-11-20 | 浙江吉利汽车研究院有限公司 | 远程控制方法、存储介质及远程控制系统 |
| CN111565390A (zh) * | 2020-07-16 | 2020-08-21 | 深圳市云盾科技有限公司 | 一种基于设备画像的物联网设备风险控制方法及系统 |
| CN112491872A (zh) * | 2020-11-25 | 2021-03-12 | 国网辽宁省电力有限公司信息通信分公司 | 一种基于设备画像的异常网络访问行为检测方法和系统 |
| CN112637220A (zh) * | 2020-12-25 | 2021-04-09 | 中能融合智慧科技有限公司 | 一种工控系统安全防护方法及装置 |
| CN112837059A (zh) * | 2021-01-12 | 2021-05-25 | 曹燕 | 用于区块链安全防护的支付策略调用方法及数字金融平台 |
| CN112766517A (zh) * | 2021-01-12 | 2021-05-07 | 南方电网数字电网研究院有限公司 | 一种电力运维网络安全的监测预警方法 |
| CN113468540A (zh) * | 2021-06-16 | 2021-10-01 | 丁祥云 | 基于网络安全大数据的安全画像处理方法及网络安全系统 |
| CN113435505A (zh) * | 2021-06-28 | 2021-09-24 | 中电积至(海南)信息技术有限公司 | 一种安全用户画像的构建方法与装置 |
| CN113660224A (zh) * | 2021-07-28 | 2021-11-16 | 上海纽盾科技股份有限公司 | 基于网络漏洞扫描的态势感知防御方法、装置及系统 |
| JP2023037659A (ja) * | 2021-09-04 | 2023-03-16 | 広海 大谷 | セキュリティの強化法とネットサービスビジネスモデルに関する特許 |
| CN115842642A (zh) * | 2021-09-18 | 2023-03-24 | 广州腾讯科技有限公司 | 网络访问管理方法、装置及电子设备 |
| CN115883223A (zh) * | 2022-12-06 | 2023-03-31 | 山石网科通信技术股份有限公司 | 用户风险画像的生成方法及装置、电子设备、存储介质 |
Non-Patent Citations (2)
| Title |
|---|
| 尚可龙;古强;: "零信任安全体系设计与研究", 保密科学技术, no. 05 * |
| 张振华;: "基于动态策略联动响应的网络安全防护技术", 工业控制计算机, no. 03 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN116095683B (zh) | 2023-06-13 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10476749B2 (en) | Graph-based fusing of heterogeneous alerts | |
| US9369476B2 (en) | System for detection of mobile applications network behavior-netwise | |
| CN110798472B (zh) | 数据泄露检测方法与装置 | |
| CN109302434B (zh) | 提示信息推送方法及装置、服务平台及存储介质 | |
| US10476752B2 (en) | Blue print graphs for fusing of heterogeneous alerts | |
| KR20190075861A (ko) | DoS/DDoS 공격의 탐지 방법, 장치, 서버 및 저장 매체 | |
| CN109104438B (zh) | 窄带物联网中的僵尸网络预警方法、装置及可读存储介质 | |
| CN105191257A (zh) | 用于检测多阶段事件的方法和装置 | |
| CN110677384B (zh) | 钓鱼网站的检测方法及装置、存储介质、电子装置 | |
| CN103368904A (zh) | 移动终端、可疑行为检测及判定系统和方法 | |
| CN104836781A (zh) | 区分访问用户身份的方法及装置 | |
| CN104021141B (zh) | 数据处理和云服务的方法、装置及系统 | |
| CN110149319A (zh) | Apt组织的追踪方法及装置、存储介质、电子装置 | |
| CN107580132B (zh) | 信息发送方法、装置、存储介质及电子设备 | |
| CN106470203B (zh) | 信息获取方法及装置 | |
| US20240196185A1 (en) | Wireless device detection systems and methods incorporating streaming survival modeling for discrete rotating identifier data | |
| CN110191097A (zh) | 登录页面安全性的检测方法、系统、设备及存储介质 | |
| EP2502178B1 (en) | Multiple device loss status retrieval without id provision | |
| CN116095683B (zh) | 无线路由器的网络安全防护方法及装置 | |
| CN105335457B (zh) | 一种预警监控系统及其方法 | |
| CN109981573B (zh) | 安全事件响应方法及装置 | |
| WO2017176676A1 (en) | Graph-based fusing of heterogeneous alerts | |
| CN110858132A (zh) | 一种打印设备的配置安全检测方法及装置 | |
| CN112788153B (zh) | 一种物联网设备升级管理方法、装置、设备及存储介质 | |
| CN110493240B (zh) | 网站篡改的检测方法及装置、存储介质、电子装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |