CN116132194A - 嵌入式设备未知攻击入侵检测防御方法、系统及装置 - Google Patents
嵌入式设备未知攻击入侵检测防御方法、系统及装置 Download PDFInfo
- Publication number
- CN116132194A CN116132194A CN202310339781.6A CN202310339781A CN116132194A CN 116132194 A CN116132194 A CN 116132194A CN 202310339781 A CN202310339781 A CN 202310339781A CN 116132194 A CN116132194 A CN 116132194A
- Authority
- CN
- China
- Prior art keywords
- message
- original message
- address
- embedded device
- original
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请提供了嵌入式设备未知攻击入侵检测防御方法、系统及装置。本申请中,借助嵌入式设备比如IPC摄像头等的设备特性(即嵌入式设备的攻击基本都是集中在输入报文,嵌入式设备自身输出报文基本可以默认为可信报文无需进行检测),则在对嵌入式设备进行未知攻击入侵检测防御时有效区分出输入报文和输出报文,更加聚焦在输入报文(也即恶意报文来源端)的安全检测,实现了嵌入式设备的未知攻击的入侵检测和防御,有效屏蔽无效检测(尤其是针对如IPC摄像头等嵌入式设备的输出报文流量(视频流)远大于输入报文流量(控制信令)这种情况下),大大降低了设备CPU和内存资源的消耗。
Description
技术领域
本申请涉及嵌入式设备安全技术领域,特别涉及嵌入式设备未知攻击入侵检测防御方法、系统及装置。
背景技术
由于嵌入式设备自身资源限制比如存储资源较低等,导致在嵌入式设备无法部署相对商业化的安全防护软件如传统防病毒产品等,进而嵌入式设备的安全防护力度相对较低。再加上嵌入式设备分布广且与用户单位网络存在一定的联通性,嵌入式设备常会被恶意利用并作为DDOS肉鸡搭建僵尸网络和入侵用户网络的跳板,因此,一种嵌入式设备未知攻击入侵检测和防御方法是当前亟待解决的技术问题。
发明内容
本申请提供了嵌入式设备未知攻击入侵检测防御方法、系统及装置,以实现嵌入式设备的未知攻击的入侵检测和防御。
本申请提供的技术方案包括:
一种嵌入式设备未知攻击入侵检测防御方法,该方法应用于嵌入式设备,包括:
接收来自终端的原始报文,对所述原始报文的访问IP地址进行检测,在检测到访问IP地址不满足设定IP地址要求时,拦截所述原始报文,在检测到访问IP地址满足设定IP地址要求时,基于已有的拦截策略检测所述原始报文是否为匹配拦截策略的攻击报文,如果检测出所述原始报文为攻击报文,则拦截所述原始报文,如果检测出所述原始报文为不匹配任一拦截策略的未知报文,则将所述原始报文上报至已部署的统一管理平台,并启用对应的业务进程对所述原始报文进行业务处理,并在业务处理过程中检测到业务进程运行异常时,向所述统一管理平台发送异常通知;
接收所述统一管理平台下发的所述原始报文对应的拦截策略;所述原始报文对应的拦截策略用于指示匹配目标报文特征的报文为攻击报文,所述目标报文特征是基于所述原始报文确定;所述原始报文对应的拦截策略是所述统一管理平台在接收到所述异常通知后或者是在检测到所述嵌入式设备被启动后发现所述原始报文满足指定条件后生成的,指定条件是指所述原始报文在所述嵌入式设备离线前的设定时间内还处于业务处理过程中。
一种嵌入式设备未知攻击入侵检测防御方法,该方法应用于统一管理平台,包括:
接收嵌入式设备上报的来自终端的原始报文;所述原始报文是由所述嵌入式设备在检测到所述原始报文的访问IP地址满足设定IP地址要求后且基于已有的拦截策略检测所述原始报文为不匹配任一拦截策略的未知报文的前提下上报至所述统一管理平台的;
向本平台管理的所有嵌入式设备下发所述原始报文对应的拦截策略;所述原始报文对应的拦截策略用于指示匹配目标报文特征的报文为攻击报文,所述目标报文特征是基于所述原始报文确定;所述原始报文对应的拦截策略是所述统一管理平台在接收到异常通知后或者是在检测到所述嵌入式设备被启动后发现所述原始报文满足指定条件后生成的,指定条件是指所述原始报文在所述嵌入式设备离线前设定时间内还处于业务处理过程中,所述异常通知是所述嵌入式设备在检测出所述原始报文为不匹配任一拦截策略的未知报文后,启用对应的业务进程对所述原始报文进行业务处理的过程中检测到所述业务进程运行异常时向所述统一管理平台上报的。
一种嵌入式设备未知攻击入侵检测防御系统,该系统包括:至少一个嵌入式设备和统一管理平台;
其中,任一嵌入式设备执行如上第一种方法中的步骤;
统一管理平台执行如上第二种方法中的步骤。
一种嵌入式设备未知攻击入侵检测防御装置,该装置应用于嵌入式设备,包括:
入侵检测防御单元,用于接收来自终端的原始报文,对所述原始报文的访问IP地址进行检测,在检测到访问IP地址不满足设定IP地址要求时,拦截所述原始报文,在检测到访问IP地址满足设定IP地址要求时,基于已有的拦截策略检测所述原始报文是否为匹配拦截策略的攻击报文,如果检测出所述原始报文为攻击报文,则拦截所述原始报文,如果检测出所述原始报文为不匹配任一拦截策略的未知报文,则将所述原始报文上报至已部署的统一管理平台,并启用对应的业务进程对所述原始报文进行业务处理,并在业务处理过程中检测到业务进程运行异常时,向所述统一管理平台发送异常通知;
接收单元,用于接收所述统一管理平台下发的所述原始报文对应的拦截策略;所述原始报文对应的拦截策略用于指示匹配目标报文特征的报文为攻击报文,所述目标报文特征是基于所述原始报文确定;所述原始报文对应的拦截策略是所述统一管理平台在接收到所述异常通知后或者是在检测到所述嵌入式设备被启动后发现所述原始报文满足指定条件后生成的,指定条件是指所述原始报文在所述嵌入式设备离线前的设定时间内还处于业务处理过程中。
一种嵌入式设备未知攻击入侵检测防御装置,该装置应用于统一管理平台,包括:
报文单元,用于接收嵌入式设备上报的来自终端的原始报文;所述原始报文是由所述嵌入式设备在检测到所述原始报文的访问IP地址满足设定IP地址要求后且基于已有的拦截策略检测所述原始报文为不匹配任一拦截策略的未知报文的前提下上报至所述统一管理平台的;
下发单元,用于向本平台管理的所有嵌入式设备下发所述原始报文对应的拦截策略;所述原始报文对应的拦截策略用于指示匹配目标报文特征的报文为攻击报文,所述目标报文特征是基于所述原始报文确定;所述原始报文对应的拦截策略是所述统一管理平台在接收到异常通知后或者是在检测到所述嵌入式设备被启动后发现所述原始报文满足指定条件后生成的,指定条件是指所述原始报文在所述嵌入式设备离线前设定时间内还处于业务处理过程中,所述异常通知是所述嵌入式设备在检测出所述原始报文为不匹配任一拦截策略的未知报文后,启用对应的业务进程对所述原始报文进行业务处理的过程中检测到所述业务进程运行异常时向所述统一管理平台上报的。
一种电子设备,该电子设备包括:处理器和机器可读存储介质;
所述机器可读存储介质存储有能够被所述处理器执行的机器可执行指令;
所述处理器用于执行机器可执行指令,以实现如上任一项的方法步骤。
由以上技术方案可以看出,本申请中,借助嵌入式设备比如IPC摄像头等的设备特性(即嵌入式设备的攻击基本都是集中在输入报文,嵌入式设备自身输出报文基本可以默认为可信报文无需进行检测),则在对嵌入式设备进行未知攻击入侵检测防御时有效区分出输入报文和输出报文,更加聚焦在输入报文(也即恶意报文来源端)的安全检测,实现了嵌入式设备的未知攻击的入侵检测和防御,有效屏蔽无效检测(尤其是针对如IPC摄像头等嵌入式设备的输出报文流量(视频流)远大于输入报文流量(控制信令)这种情况下),大大降低了设备CPU和内存资源的消耗。
进一步地,本实施例是针对待进行业务处理的原始报文执行的未知攻击入侵检测防御,相比现有网络监听模式,本实施例这种检测方式可以应对任何通信加密技术场景,基本可无视各类安全通信加密方式,对原有安全处理没有任何干扰,大大提升适用性。
再进一步地,本实施例中,嵌入式设备在进行未知攻击入侵检测防御时采用的拦截策略是由统一管理平台接收到嵌入式设备在未知报文的业务处理过程中发送的异常通知,或者当检测到嵌入式设备被启动后发现未知报文满足指定条件(该未知报文在嵌入式设备离线前的设定时间内还处于业务处理过程中,此时可认为该未知报文为非正常重启报文或非正常关机报文)自动生成上述未知报文对应的拦截策略并批量下发至各嵌入式设备的,这利用集群优势提升了嵌入式设备整体对未知攻击防护的能力。
附图说明
此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本公开的实施例,并与说明书一起用于解释本公开的原理。
图1为本申请实施例提供的方法流程图;
图2为本申请实施例提供的另一方法流程图;
图3为本申请实施例提供的实施例示意图;
图4为本申请实施例提供的装置结构图;
图5为本申请实施例提供的另一装置结构图;
图6为本申请实施例提供的装置硬件结构图。
具体实施方式
为使本申请提供的方法更加容易理解,下面结合附图和实施例对本申请提供的方法进行详细描述:
嵌入式设备,其基本处于长期稳定运行状态,协议报文格式基本固定,而针对嵌入式设备的攻击主要存在于外部终端的输入报文,嵌入式设备自身输出的报文基本为可信报文,借助于这一特点,本实施例提出的嵌入式设备未知攻击入侵检测防御方法,需要对来自终端的输入报文进行入侵检测防御,具体可参见图1所示流程:
参见图1,图1为本申请实施例提供的方法流程图。该流程应用于嵌入式设备,如图1所示,该流程可包括以下步骤:
步骤101,接收来自终端的原始报文,对原始报文的访问IP地址进行检测,在检测到访问IP地址不满足设定IP地址要求时,拦截原始报文,在检测到访问IP地址满足设定IP地址要求时,基于已有的拦截策略检测原始报文是否为匹配拦截策略的攻击报文,如果检测出原始报文为攻击报文,则拦截原始报文,如果检测出原始报文为不匹配任一拦截策略的未知报文,则将原始报文上报至已部署的统一管理平台,并启用对应的业务进程对原始报文进行业务处理,并在业务处理过程中检测到业务进程运行异常时,向统一管理平台发送异常通知。
作为一个实施例,嵌入式设备中已配置的主程序(被用于进行业务处理的程序)在通过socket等套接字方式捕获到来自终端的用户报文后,其会先对该用户报文进行解密得到终端发送的原始报文。即,嵌入式设备最终接收到来自终端的原始报文。
在现有应用中,嵌入式设备中已配置的主程序在捕获来自终端的原始报文后,会直接对该原始报文进行业务处理,而本实施例为提高嵌入式设备的安全防护,则在现有对该原始报文进行业务处理之前增加了如步骤101描述的如下操作:对原始报文的访问IP地址进行检测,在检测到访问IP地址不满足设定IP地址要求时,拦截所述原始报文,在检测到访问IP地址满足设定IP地址要求时,基于已有的拦截策略检测原始报文是否为匹配拦截策略的攻击报文,如果检测出原始报文为攻击报文,则拦截原始报文,如果检测出原始报文为不匹配任一拦截策略的未知报文,则将所述原始报文上报至已部署的统一管理平台。
在本实施例中,上述的拦截策略,是由统一管理平台基于嵌入式设备上报的报文动态生成,下文步骤102会有描述,这里暂不赘述。
作为一个实施例,上述拦截原始报文可为丢弃该原始报文或者禁止对该原始报文进行业务处理等,本实施例并不具体限定。
另外,在本实施例中,为实现基于已有的拦截策略检测所述原始报文是否为匹配拦截策略的攻击报文,可在嵌入式设备新增入侵防御函数模块,通过调用该入侵防御函数模块来实现基于已有的拦截策略检测所述原始报文是否为匹配拦截策略的攻击报文。相比现有网络监听模式,本实施例这种检测方式可以应对任何通信加密技术场景,基本可无视各类安全通信加密方式,对原有安全处理没有任何干扰,大大提升适用性。
另外,在本实施例中,上述步骤101中,将原始报文上报至已部署的统一管理平台可包括:检测该原始报文是否为关机报文或重启报文,如果不是,则继续将原始报文上报至已部署的统一管理平台。换言之,本步骤101可在原始报文不为关机报文或重启报文时,将原始报文上报至已部署的统一管理平台。
另外,由于嵌入式设备厂商协议基本为私有协议,报文格式统一且相对规范,基于此,本实施例可以定制报文解析规则进行统一拦截,如body内容格式是否是符合规定的xml或json格式,基于此,在上述对原始报文的访问IP地址进行检测之前或之后,还可进一步基于报文解析规则对原始报文进行检测,只有通过检测,才可继续执行后续的步骤。通过该检测,可以解决嵌入式设备常见的报文超长溢出问题比如进行统一的长度检测拦截,以抵御常见的已知和部分未知拒绝服务攻击的行为。
步骤102,接收统一管理平台下发的原始报文对应的拦截策略;原始报文对应的拦截策略用于指示匹配目标报文特征的报文为攻击报文,目标报文特征是基于原始报文确定;原始报文对应的拦截策略是统一管理平台在接收到异常通知后或者是在检测到嵌入式设备被启动后发现上述原始报文满足指定条件后生成的,指定条件是指原始报文在嵌入式设备离线前的设定时间内还处于业务处理过程中。
在本实施例中,嵌入式设备对不匹配任一拦截策略的原始报文(此时可称未知报文),会及时将该未知报文上报到统一管理平台进行实时缓存。而当统一管理平台接收到嵌入式设备在上述未知报文的业务处理过程中发送的异常通知,或者当检测到嵌入式设备被启动后发现上述未知报文满足指定条件(该未知报文在嵌入式设备离线前的设定时间内还处于业务处理过程中,此时可认为该未知报文为非正常重启报文或非正常关机报文),则可推断出该未知报文极可能是新的未知拒绝服务攻击报文,此时统一管理平台会根据用户配置策略自动生成上述未知报文对应的拦截策略并批量下发至各嵌入式设备,最终如步骤102描述,嵌入式设备会接收到统一管理平台下发的上述原始报文(未知报文)对应的拦截策略。
在本实施例中,原始报文对应的拦截策略用于指示匹配目标报文特征的报文为攻击报文,目标报文特征是基于原始报文确定的,比如原始报文的五元组、原始报文携带的载荷中的关键数据或者所有数据等,本实施例并不具体限定。
通过上面描述可以看出,本实施例中,拦截策略是由统一管理平台实时根据未知报文动态生成的,这相比现有预先设置拦截策略,能大大提升嵌入式设备整体未知安全攻击的防护能力。
至此,完成图1所示流程。
通过图1所示流程可以看出,本实施例中,借助嵌入式设备比如IPC摄像头等的设备特性(即嵌入式设备的攻击基本都是集中在输入报文,嵌入式设备自身输出报文基本可以默认为可信报文无需进行检测),则在对嵌入式设备进行未知攻击入侵检测防御时有效区分出输入报文和输出报文,更加聚焦在输入报文(也即恶意报文来源端)的安全检测,有效屏蔽无效检测(尤其是针对如IPC摄像头等嵌入式设备的输出报文流量(视频流)远大于输入报文流量(控制信令)这种情况下),大大降低了设备CPU和内存资源的消耗。
进一步地,本实施例是针对待进行业务处理的原始报文执行的未知攻击入侵检测防御,相比现有网络监听模式,本实施例这种检测方式可以应对任何通信加密技术场景,基本可无视各类安全通信加密方式,对原有安全处理没有任何干扰,大大提升适用性。
再进一步地,本实施例中,嵌入式设备在进行未知攻击入侵检测防御时采用的拦截策略是由统一管理平台接收到嵌入式设备在未知报文的业务处理过程中发送的异常通知,或者当检测到嵌入式设备被启动后发现未知报文满足指定条件(该未知报文在嵌入式设备离线前的设定时间内还处于业务处理过程中,此时可认为该未知报文为非正常重启报文或非正常关机报文)自动生成上述未知报文对应的拦截策略并批量下发至各嵌入式设备的,这利用集群优势提升了嵌入式设备整体对未知攻击防护的能力。
作为一个实施例,本实施例中,对原始报文的访问IP地址进行检测会借助嵌入式设备本地的IP地址名单实现。比如,检测原始报文的访问IP地址是否在已有的IP地址名单中,如果是,确定访问IP地址不满足设定IP地址要求,如果否,确定访问IP地址满足设定IP地址要求。
这里,IP地址名单是由统一管理平台基于嵌入式设备上报的报文动态生成。具体地,上述将原始报文上报至已部署的统一管理平台进一步包括:将原始报文的访问IP地址上报至已部署的统一管理平台。对应地,上述统一管理平台下发原始报文对应的拦截策略进一步包括:下发将上述访问IP地址添加至IP地址名单的指示;上述接收统一管理平台下发的原始报文对应的拦截策略进一步包括:接收访问IP地址被添加至IP地址名单的指示,将访问IP地址添加至上述IP地址名单。即最终实现了IP地址名单是由统一管理平台基于嵌入式设备上报的报文动态生成。
在本实施例中,嵌入式设备直接默认本设备自身是安全的,这也就意味着默认嵌入式设备向外部终端返回的数据是安全可信的。鉴于此,嵌入式设备在上述业务进程完成原始报文的业务处理后,会直接返回响应报文给终端。本领域技术人员知道,嵌入式设备比如IPC摄像头,其返回响应报文流量比如视频流远大于外部终端发送的原始报文流量,而本实施例这种直接默认嵌入式设备是安全可信的,在业务进程完成原始报文的业务处理后直接返回响应报文给终端,无需再对该返回的响应报文进行如图1所示的流程,大大降低了设备CPU和内存资源的消耗。可以看出,本实施例在对嵌入式设备进行未知攻击入侵检测防御时通过有效区分出输入报文和输出报文,仅聚焦在输入报文(也即恶意报文来源端)的未知攻击入侵检测防御,有效屏蔽输出报文的检测,大大降低了设备CPU和内存资源的消耗。
在本实施例中,任一嵌入式设备是按照指定顺序对接收到来自各终端的各原始报文执行如图1所示方法中的步骤;这里的指定顺序比如报文接收顺序等,本实施例并不具体限定。基于此,上述原始报文满足指定条件是指:原始报文为嵌入式设备在离线前上报的最后一个报文。
以上是站在嵌入式设备的角度描述的本申请实施例提供的方法,下面站在统一管理平台的角度描述本申请实施例提供的方法:
参见图2,图2为本申请实施例提供的另一方法流程图。该方法应用于统一管理平台。在本实施例中,统一管理平台可为被指定的任一电子设备,甚至还可为一个虚拟角色,本实施例并不具体限定。
如图2所示,该流程可包括以下步骤:
步骤201,接收嵌入式设备上报的来自终端的原始报文。
本步骤201对应上述步骤101。这里,原始报文是由嵌入式设备在检测到原始报文的访问IP地址满足设定IP地址要求后且基于已有的拦截策略检测原始报文为不匹配任一拦截策略的未知报文的前提下上报至统一管理平台的。
步骤202,向本平台管理的所有嵌入式设备下发原始报文对应的拦截策略;原始报文对应的拦截策略用于指示匹配目标报文特征的报文为攻击报文,目标报文特征是基于原始报文确定;原始报文对应的拦截策略是统一管理平台在接收到异常通知后或者是在检测到嵌入式设备被启动后发现原始报文满足指定条件后生成的,指定条件是指原始报文在嵌入式设备离线前设定时间内还处于业务处理过程中,异常通知是嵌入式设备在检测出原始报文为不匹配任一拦截策略的未知报文后,启用对应的业务进程对原始报文进行业务处理的过程中检测到业务进程运行异常时向统一管理平台上报的。
本步骤202可参见上述步骤101和步骤102,这里不再赘述。
如上描述,在本实施例中,本步骤102向本平台管理的所有嵌入式设备下发原始报文对应的拦截策略进一步包括:向本平台管理的所有嵌入式设备下发将上述原始报文的访问IP地址添加至IP地址名单的指示,以使各嵌入式设备基于该指示,将访问IP地址添加至上述IP地址名单。即最终实现了IP地址名单是由统一管理平台基于嵌入式设备上报的报文动态生成。
至此,完成图2所示流程。
通过图2所示流程可以看出,本实施例中,统一管理平台接收到嵌入式设备在未知报文的业务处理过程中发送的异常通知,或者当检测到嵌入式设备被启动后发现未知报文满足指定条件(该未知报文在嵌入式设备离线前的设定时间内还处于业务处理过程中,此时可认为该未知报文为非正常重启报文或非正常关机报文)自动生成上述未知报文对应的拦截策略并批量下发至各嵌入式设备的,这利用集群优势提升了嵌入式设备整体对未知攻击防护的能力。
为使图1和图2所示流程更加清楚,下面通过图3进行举例描述:
参见图3,图3为本申请实施例提供的实施例示意图。如图3所示,该流程可包括以下步骤:
步骤301,嵌入式设备接收外部终端输入的用户报文。
步骤302,嵌入式设备获得来自外部终端的原始明文,该原始报文是通过对上述用户报文解密得到的。
步骤303,嵌入式设备执行拦截操作:对原始报文的访问IP地址进行检测,在检测到访问IP地址不满足设定IP地址要求时,拦截原始报文,在检测到访问IP地址满足设定IP地址要求时,基于已有的拦截策略检测原始报文是否为匹配拦截策略的攻击报文,如果检测出原始报文为攻击报文,则拦截原始报文,如果检测出原始报文为不匹配任一拦截策略的未知报文,则将原始报文上报至已部署的统一管理平台,并启用对应的业务进程对原始报文进行业务处理,并在业务处理过程中检测到业务进程运行异常时,向统一管理平台发送异常通知。
本步骤303类似上述的步骤101,这里不再赘述。
步骤304,统一管理平台在接收到异常通知后或者是在检测到嵌入式设备被启动后发现上述原始报文满足指定条件后生成原始报文对应的拦截策略,指定条件是指原始报文在嵌入式设备离线前的设定时间内还处于业务处理过程中,向本平台管理的所有嵌入式设备下发原始报文对应的拦截策略。
本步骤304类似上述的步骤102或202,这里不再赘述。
统一管理平台在向本平台管理的所有嵌入式设备下发原始报文对应的拦截策略后,后续任一嵌入式设备在接收到原始报文,就可基于新下发的拦截策略对该原始报文进行如步骤303的拦截操作。
至此,完成图3所示流程。
通过图3所示流程可以看出,本实施例中,嵌入式设备和统一管理平台相互配合,由统一管理平台及时根据嵌入式设备接收的报文实时生成对应的拦截策略并下发给嵌入式设备,这利用集群优势提升了嵌入式设备整体对未知攻击防护的能力。
以上对本申请提供的方法进行了描述,下面对本申请提供的系统和装置进行描述:
本实施例提供了一种嵌入式设备未知攻击入侵检测防御系统,该系统可包括:至少一个嵌入式设备和统一管理平台。其中,任一嵌入式设备执行如图1所示方法中的步骤;统一管理平台执行如图2所示方法中的步骤。
对应地,本申请实施例提供了一种嵌入式设备未知攻击入侵检测防御装置,具体如图4所示,该装置应用于嵌入式设备。
如图4所示,该装置可包括:
入侵检测防御单元,用于接收来自终端的原始报文,对所述原始报文的访问IP地址进行检测,在检测到访问IP地址不满足设定IP地址要求时,拦截所述原始报文,在检测到访问IP地址满足设定IP地址要求时,基于已有的拦截策略检测所述原始报文是否为匹配拦截策略的攻击报文,如果检测出所述原始报文为攻击报文,则拦截所述原始报文,如果检测出所述原始报文为不匹配任一拦截策略的未知报文,则将所述原始报文上报至已部署的统一管理平台,并启用对应的业务进程对所述原始报文进行业务处理,并在业务处理过程中检测到业务进程运行异常时,向所述统一管理平台发送异常通知;
接收单元,用于接收所述统一管理平台下发的所述原始报文对应的拦截策略;所述原始报文对应的拦截策略用于指示匹配目标报文特征的报文为攻击报文,所述目标报文特征是基于所述原始报文确定;所述原始报文对应的拦截策略是所述统一管理平台在接收到所述异常通知后或者是在检测到所述嵌入式设备被启动后发现所述原始报文满足指定条件后生成的,指定条件是指所述原始报文在所述嵌入式设备离线前的设定时间内还处于业务处理过程中。
可选地,所述对所述原始报文的访问IP地址进行检测包括:检测所述访问IP地址是否在已配置的IP地址名单中,如果是,确定访问IP地址不满足设定IP地址要求,如果否,确定访问IP地址满足设定IP地址要求;
可选地,在所述业务进程完成所述原始报文的业务处理后,入侵检测防御单元进一步包括:返回响应报文给所述终端;
可选地,上述接收所述统一管理平台下发的所述原始报文对应的拦截策略进一步包括:接收所述访问IP地址被添加至名单的指示,将所述访问IP地址添加至所述IP地址名单;
可选地,所述嵌入式设备按照指定顺序对接收的各原始报文进行处理;所述原始报文满足所述指定条件是指所述原始报文为所述嵌入式设备在离线前上报的最后一个报文。
至此,完成图4所示装置的结构描述。
参见图5,图5为本申请实施例提供的另一装置结构图。该装置应用于统一管理平台,包括:
报文单元,用于接收嵌入式设备上报的来自终端的原始报文;所述原始报文是由所述嵌入式设备在检测到所述原始报文的访问IP地址后且基于已有的拦截策略检测所述原始报文为不匹配任一拦截策略的未知报文的前提下上报至所述统一管理平台的;
下发单元,用于向本平台管理的所有嵌入式设备下发所述原始报文对应的拦截策略;所述原始报文对应的拦截策略用于指示匹配目标报文特征的报文为攻击报文,所述目标报文特征是基于所述原始报文确定;所述原始报文对应的拦截策略是所述统一管理平台在接收到异常通知后或者是在检测到所述嵌入式设备被启动后发现所述原始报文满足指定条件后生成的,指定条件是指所述原始报文在所述嵌入式设备离线前设定时间内还处于业务处理过程中,所述异常通知是所述嵌入式设备在检测出所述原始报文为不匹配任一拦截策略的未知报文后,启用对应的业务进程对所述原始报文进行业务处理的过程中检测到所述业务进程运行异常时向所述统一管理平台上报的。
至此,完成图5所示装置的结构描述。
对应地,本申请还提供了图4或图5所示装置的硬件结构。参见图6,该硬件结构可包括:处理器和机器可读存储介质,机器可读存储介质存储有能够被所述处理器执行的机器可执行指令;所述处理器用于执行机器可执行指令,以实现本申请上述示例公开的方法。
基于与上述方法同样的申请构思,本申请实施例还提供一种机器可读存储介质,所述机器可读存储介质上存储有若干计算机指令,所述计算机指令被处理器执行时,能够实现本申请上述示例公开的方法。
示例性的,上述机器可读存储介质可以是任何电子、磁性、光学或其它物理存储装置,可以包含或存储信息,如可执行指令、数据,等等。例如,机器可读存储介质可以是:RAM(Radom Access Memory,随机存取存储器)、易失存储器、非易失性存储器、闪存、存储驱动器(如硬盘驱动器)、固态硬盘、任何类型的存储盘(如光盘、dvd等),或者类似的存储介质,或者它们的组合。
上述实施例阐明的系统、装置、模块或单元,具体可以由实体实现,或者由具有某种功能的产品来实现。一种典型的实现设备为计算机,计算机的具体形式可以是个人计算机、膝上型计算机、蜂窝电话、相机电话、智能电话、个人数字助理、媒体播放器、导航设备、电子邮件收发设备、游戏控制台、平板计算机、可穿戴设备或者这些设备中的任意几种设备的组合。
为了描述的方便,描述以上装置时以功能分为各种单元分别描述。当然,在实施本申请时可以把各单元的功能在同一个或多个软件和/或硬件中实现。
本领域内的技术人员应明白,本申请的实施例可提供为方法、系统、或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请实施例可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可以由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其它可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其它可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
而且,这些计算机程序指令也可以存储在能引导计算机或其它可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或者多个流程和/或方框图一个方框或者多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其它可编程数据处理设备上,使得在计算机或者其它可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其它可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
以上所述仅为本申请的实施例而已,并不用于限制本申请。对于本领域技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原理之内所作的任何修改、等同替换、改进等,均应包含在本申请的权利要求范围之内。
Claims (10)
1.一种嵌入式设备未知攻击入侵检测防御方法,其特征在于,该方法应用于嵌入式设备,包括:
接收来自终端的原始报文,对所述原始报文的访问IP地址进行检测,在检测到访问IP地址不满足设定IP地址要求时,拦截所述原始报文,在检测到访问IP地址满足设定IP地址要求时,基于已有的拦截策略检测所述原始报文是否为匹配拦截策略的攻击报文,如果检测出所述原始报文为攻击报文,则拦截所述原始报文,如果检测出所述原始报文为不匹配任一拦截策略的未知报文,则将所述原始报文上报至已部署的统一管理平台,并启用对应的业务进程对所述原始报文进行业务处理,并在业务处理过程中检测到业务进程运行异常时,向所述统一管理平台发送异常通知;
接收所述统一管理平台下发的所述原始报文对应的拦截策略;所述原始报文对应的拦截策略用于指示匹配目标报文特征的报文为攻击报文,所述目标报文特征是基于所述原始报文确定;所述原始报文对应的拦截策略是所述统一管理平台在接收到所述异常通知后或者是在检测到所述嵌入式设备被启动后发现所述原始报文满足指定条件后生成的,指定条件是指所述原始报文在所述嵌入式设备离线前的设定时间内还处于业务处理过程中。
2.根据权利要求1所述的方法,其特征在于,所述对所述原始报文的访问IP地址进行检测包括:检测所述访问IP地址是否在已有的IP地址名单中,如果是,确定访问IP地址不满足设定IP地址要求,如果否,确定访问IP地址满足设定IP地址要求;
所述接收所述统一管理平台下发的所述原始报文对应的拦截策略进一步包括:接收所述访问IP地址被添加至IP地址名单的指示,将所述访问IP地址添加至所述IP地址名单。
3.根据权利要求1所述的方法,其特征在于,在所述业务进程完成所述原始报文的业务处理后,该方法进一步包括:
直接返回响应报文给所述终端。
4.根据权利要求1所述的方法,其特征在于,所述嵌入式设备按照指定顺序对接收的各原始报文执行所述方法中的步骤;
所述原始报文满足所述指定条件是指所述原始报文为所述嵌入式设备在离线前上报的最后一个报文。
5.一种嵌入式设备未知攻击入侵检测防御方法,其特征在于,该方法应用于统一管理平台,包括:
接收嵌入式设备上报的来自终端的原始报文;所述原始报文是由所述嵌入式设备在检测到所述原始报文的访问IP地址满足设定IP地址要求后且基于已有的拦截策略检测所述原始报文为不匹配任一拦截策略的未知报文的前提下上报至所述统一管理平台的;
向本平台管理的所有嵌入式设备下发所述原始报文对应的拦截策略;所述原始报文对应的拦截策略用于指示匹配目标报文特征的报文为攻击报文,所述目标报文特征是基于所述原始报文确定;所述原始报文对应的拦截策略是所述统一管理平台在接收到异常通知后或者是在检测到所述嵌入式设备被启动后发现所述原始报文满足指定条件后生成的,指定条件是指所述原始报文在所述嵌入式设备离线前设定时间内还处于业务处理过程中,所述异常通知是所述嵌入式设备在检测出所述原始报文为不匹配任一拦截策略的未知报文后,启用对应的业务进程对所述原始报文进行业务处理的过程中检测到所述业务进程运行异常时向所述统一管理平台上报的。
6.一种嵌入式设备未知攻击入侵检测防御系统,其特征在于,该系统包括:至少一个嵌入式设备和统一管理平台;
其中,任一嵌入式设备执行如权利要求1至4任一方法中的步骤;
统一管理平台执行如权利要求5所述方法中的步骤。
7.一种嵌入式设备未知攻击入侵检测防御装置,其特征在于,该装置应用于嵌入式设备,包括:
入侵检测防御单元,用于接收来自终端的原始报文,对所述原始报文的访问IP地址进行检测,在检测到访问IP地址不满足设定IP地址要求时,拦截所述原始报文,在检测到访问IP地址满足设定IP地址要求时,基于已有的拦截策略检测所述原始报文是否为匹配拦截策略的攻击报文,如果检测出所述原始报文为攻击报文,则拦截所述原始报文,如果检测出所述原始报文为不匹配任一拦截策略的未知报文,则将所述原始报文上报至已部署的统一管理平台,并启用对应的业务进程对所述原始报文进行业务处理,并在业务处理过程中检测到业务进程运行异常时,向所述统一管理平台发送异常通知;
接收单元,用于接收所述统一管理平台下发的所述原始报文对应的拦截策略;所述原始报文对应的拦截策略用于指示匹配目标报文特征的报文为攻击报文,所述目标报文特征是基于所述原始报文确定;所述原始报文对应的拦截策略是所述统一管理平台在接收到所述异常通知后或者是在检测到所述嵌入式设备被启动后发现所述原始报文满足指定条件后生成的,指定条件是指所述原始报文在所述嵌入式设备离线前的设定时间内还处于业务处理过程中。
8.根据权利要求7所述的装置,其特征在于,所述对所述原始报文的访问IP地址进行检测包括:检测所述访问IP地址是否在已配置的IP地址名单中,如果是,确定访问IP地址不满足设定IP地址要求,如果否,确定访问IP地址满足设定IP地址要求;
在所述业务进程完成所述原始报文的业务处理后,入侵检测防御单元进一步包括:返回响应报文给所述终端;
接收所述统一管理平台下发的所述原始报文对应的拦截策略进一步包括:接收所述访问IP地址被添加至IP地址名单的指示,将所述访问IP地址添加至所述IP地址名单;
所述嵌入式设备按照指定顺序对接收的各原始报文进行处理;所述原始报文满足所述指定条件是指所述原始报文为所述嵌入式设备在离线前上报的最后一个报文。
9.一种嵌入式设备未知攻击入侵检测防御装置,其特征在于,该装置应用于统一管理平台,包括:
报文单元,用于接收嵌入式设备上报的来自终端的原始报文;所述原始报文是由所述嵌入式设备在检测到所述原始报文的访问IP地址满足设定IP地址要求后且基于已有的拦截策略检测所述原始报文为不匹配任一拦截策略的未知报文的前提下上报至所述统一管理平台的;
下发单元,用于向本平台管理的所有嵌入式设备下发所述原始报文对应的拦截策略;所述原始报文对应的拦截策略用于指示匹配目标报文特征的报文为攻击报文,所述目标报文特征是基于所述原始报文确定;所述原始报文对应的拦截策略是所述统一管理平台在接收到异常通知后或者是在检测到所述嵌入式设备被启动后发现所述原始报文满足指定条件后生成的,指定条件是指所述原始报文在所述嵌入式设备离线前设定时间内还处于业务处理过程中,所述异常通知是所述嵌入式设备在检测出所述原始报文为不匹配任一拦截策略的未知报文后,启用对应的业务进程对所述原始报文进行业务处理的过程中检测到所述业务进程运行异常时向所述统一管理平台上报的。
10.一种电子设备,其特征在于,该电子设备包括:处理器和机器可读存储介质;
所述机器可读存储介质存储有能够被所述处理器执行的机器可执行指令;
所述处理器用于执行机器可执行指令,以实现权利要求1-5任一项的方法步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202310339781.6A CN116132194B (zh) | 2023-03-24 | 2023-03-24 | 嵌入式设备未知攻击入侵检测防御方法、系统及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202310339781.6A CN116132194B (zh) | 2023-03-24 | 2023-03-24 | 嵌入式设备未知攻击入侵检测防御方法、系统及装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN116132194A true CN116132194A (zh) | 2023-05-16 |
CN116132194B CN116132194B (zh) | 2023-06-27 |
Family
ID=86303090
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202310339781.6A Active CN116132194B (zh) | 2023-03-24 | 2023-03-24 | 嵌入式设备未知攻击入侵检测防御方法、系统及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN116132194B (zh) |
Citations (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2006137657A1 (en) * | 2005-06-21 | 2006-12-28 | Ahn Lab, Inc. | Method for intercepting malicious code in computer system and system therefor |
CN103905451A (zh) * | 2014-04-03 | 2014-07-02 | 国家电网公司 | 一种智能电网嵌入式设备网络攻击诱捕系统和诱捕方法 |
US20160021121A1 (en) * | 2010-04-22 | 2016-01-21 | The Trustees Of Columbia University In The City Of New York | Methods, systems, and media for inhibiting attacks on embedded devices |
CN106921716A (zh) * | 2015-12-28 | 2017-07-04 | 阿里巴巴集团控股有限公司 | 调试嵌入式设备的网络通信过程的方法及装置 |
US20190036978A1 (en) * | 2017-07-26 | 2019-01-31 | International Business Machines Corporation | Intrusion detection and mitigation in data processing |
CN109831461A (zh) * | 2019-03-29 | 2019-05-31 | 新华三信息安全技术有限公司 | 一种分布式拒绝服务DDoS攻击防御方法及装置 |
CN111698214A (zh) * | 2020-05-15 | 2020-09-22 | 平安科技(深圳)有限公司 | 网络攻击的安全处理方法、装置及计算机设备 |
CN111726364A (zh) * | 2020-06-29 | 2020-09-29 | 浙江军盾信息科技有限公司 | 一种主机入侵防范方法、系统及相关装置 |
CN114238960A (zh) * | 2021-12-16 | 2022-03-25 | 安天科技集团股份有限公司 | 嵌入式设备的威胁防御方法、装置、电子设备及存储介质 |
CN114726631A (zh) * | 2022-04-12 | 2022-07-08 | 中国电信股份有限公司 | 一种标识解析体系架构的安全防护方法及相关设备 |
-
2023
- 2023-03-24 CN CN202310339781.6A patent/CN116132194B/zh active Active
Patent Citations (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2006137657A1 (en) * | 2005-06-21 | 2006-12-28 | Ahn Lab, Inc. | Method for intercepting malicious code in computer system and system therefor |
US20160021121A1 (en) * | 2010-04-22 | 2016-01-21 | The Trustees Of Columbia University In The City Of New York | Methods, systems, and media for inhibiting attacks on embedded devices |
CN103905451A (zh) * | 2014-04-03 | 2014-07-02 | 国家电网公司 | 一种智能电网嵌入式设备网络攻击诱捕系统和诱捕方法 |
CN106921716A (zh) * | 2015-12-28 | 2017-07-04 | 阿里巴巴集团控股有限公司 | 调试嵌入式设备的网络通信过程的方法及装置 |
US20190036978A1 (en) * | 2017-07-26 | 2019-01-31 | International Business Machines Corporation | Intrusion detection and mitigation in data processing |
CN109831461A (zh) * | 2019-03-29 | 2019-05-31 | 新华三信息安全技术有限公司 | 一种分布式拒绝服务DDoS攻击防御方法及装置 |
CN111698214A (zh) * | 2020-05-15 | 2020-09-22 | 平安科技(深圳)有限公司 | 网络攻击的安全处理方法、装置及计算机设备 |
CN111726364A (zh) * | 2020-06-29 | 2020-09-29 | 浙江军盾信息科技有限公司 | 一种主机入侵防范方法、系统及相关装置 |
CN114238960A (zh) * | 2021-12-16 | 2022-03-25 | 安天科技集团股份有限公司 | 嵌入式设备的威胁防御方法、装置、电子设备及存储介质 |
CN114726631A (zh) * | 2022-04-12 | 2022-07-08 | 中国电信股份有限公司 | 一种标识解析体系架构的安全防护方法及相关设备 |
Non-Patent Citations (1)
Title |
---|
王涛;陈鸿昶;程国振;: "软件定义网络及安全防御技术研究", 通信学报, no. 11 * |
Also Published As
Publication number | Publication date |
---|---|
CN116132194B (zh) | 2023-06-27 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US20210029156A1 (en) | Security monitoring system for internet of things (iot) device environments | |
US11082436B1 (en) | System and method for offloading packet processing and static analysis operations | |
EP4027604A1 (en) | Security vulnerability defense method and device | |
US11671402B2 (en) | Service resource scheduling method and apparatus | |
US9825989B1 (en) | Cyber attack early warning system | |
US7853689B2 (en) | Multi-stage deep packet inspection for lightweight devices | |
US8881281B1 (en) | Application and network abuse detection with adaptive mitigation utilizing multi-modal intelligence data | |
CN107347047B (zh) | 攻击防护方法和装置 | |
US20140259168A1 (en) | Malware identification using a hybrid host and network based approach | |
CN111737696A (zh) | 一种恶意文件检测的方法、系统、设备及可读存储介质 | |
JP2013175166A (ja) | サービスの漸進劣化によりネットワーク保護を提供する方法およびシステム | |
JP2013191199A (ja) | ネットワーク接続装置を侵入から保護するための方法およびシステム | |
US20170070518A1 (en) | Advanced persistent threat identification | |
US20210112093A1 (en) | Measuring address resolution protocol spoofing success | |
US20070150951A1 (en) | Methods, communication networks, and computer program products for managing application(s) on a vulnerable network element due to an untrustworthy network element by sending a command to an application to reduce the vulnerability of the network element | |
US9686311B2 (en) | Interdicting undesired service | |
KR101593897B1 (ko) | 방화벽, ids 또는 ips를 우회하는 네트워크 스캔 방법 | |
CN116132194B (zh) | 嵌入式设备未知攻击入侵检测防御方法、系统及装置 | |
CN115603985A (zh) | 入侵检测方法及电子设备、存储介质 | |
US11736528B2 (en) | Low latency cloud-assisted network security with local cache | |
CN111683063B (zh) | 消息处理方法、系统、装置、存储介质及处理器 | |
CN110417615B (zh) | 校验开关控制方法、装置、设备及计算机可读存储介质 | |
CN113328976B (zh) | 一种安全威胁事件识别方法、装置及设备 | |
CN113992421A (zh) | 一种报文处理方法、装置及电子设备 | |
KR102046612B1 (ko) | Sdn 기반의 dns 증폭 공격 방어시스템 및 그 방법 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |