CN117240612A - 基于多模过滤的失陷物联网设备安全检测方法及装置 - Google Patents
基于多模过滤的失陷物联网设备安全检测方法及装置 Download PDFInfo
- Publication number
- CN117240612A CN117240612A CN202311499684.XA CN202311499684A CN117240612A CN 117240612 A CN117240612 A CN 117240612A CN 202311499684 A CN202311499684 A CN 202311499684A CN 117240612 A CN117240612 A CN 117240612A
- Authority
- CN
- China
- Prior art keywords
- address
- internet
- data message
- things
- source
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 49
- 238000001914 filtration Methods 0.000 title claims abstract description 31
- 238000001514 detection method Methods 0.000 claims abstract description 37
- 230000004044 response Effects 0.000 description 12
- 239000000523 sample Substances 0.000 description 8
- 238000004891 communication Methods 0.000 description 6
- 238000010586 diagram Methods 0.000 description 6
- 230000008569 process Effects 0.000 description 5
- 230000006855 networking Effects 0.000 description 4
- 238000012544 monitoring process Methods 0.000 description 3
- 238000007665 sagging Methods 0.000 description 3
- 238000007796 conventional method Methods 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 241000700605 Viruses Species 0.000 description 1
- 230000006978 adaptation Effects 0.000 description 1
- 230000000903 blocking effect Effects 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
- 230000001360 synchronised effect Effects 0.000 description 1
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请实施例提供基于多模过滤的失陷物联网设备安全检测方法及装置。在本实施例中,网络检测设备通过对本地网卡接收的报文进行过滤(简称网卡过滤)、借助于已获得的恶意IP地址和/或恶意域名进一步对报文进行过滤(简称恶意信息过滤)、以及借助于物联网设备是否具备指定属性过滤掉不具备指定属性的物联网设备(简称设备类型过滤),以实现最终精确定位出失陷物联网设备。
Description
技术领域
本申请涉及物联网领域,尤其涉及基于多模过滤的失陷物联网设备安全检测方法及装置。
背景技术
在物联网中,物联网的入口比较多,攻击者很容易基于物联网的多个入口攻击物联网中的设备(即为物联网设备),被攻击的物联网设备称作失陷物联网设备。
失陷物联网设备具有传染性,当其中一个物联网设备被攻击成为失陷物联网设备后,该失陷物联网设备还会攻击物联网中其它物联网设备以使其它物联网设备也成为失陷物联网设备,依次类推,这大大增加物联网的安全风险,因此,在物联网中定位出失陷物联网设备是当前亟待解决的技术问题。
发明内容
有鉴于此,本申请实施例提供一种基于多模过滤的失陷物联网设备安全检测方法、装置及电子设备,以在物联网中定位出失陷物联网设备。
根据本申请实施例的第一方面,提供一种基于多模过滤的失陷物联网设备安全检测方法,所述方法应用于网络检测设备,所述方法包括:
对经由本地网卡接收的报文进行过滤,以得到符合检测条件的目标数据报文;
针对任一目标数据报文,确定该目标数据报文对应的访问方向对;所述访问方向对由该目标数据报文的源IP地址和目的IP地址组成、和/或由该目标数据报文的源IP地址和目的域名组成;
若该目标数据报文对应的访问方向对中的目的IP地址与已获得的其中一个恶意IP地址匹配,或者,若该目标数据报文携带的访问方向对中的目的域名与已获得的其中一个恶意域名匹配,则当识别出该目标数据报文的源IP地址为具备指定属性的物联网设备的IP地址时,确定具有该源IP地址的物联网设备为失陷物联网设备。
根据本申请实施例的第二方面,提供一种基于多模过滤的失陷物联网设备安全检测装置,所述装置应用于网络检测设备,所述装置包括:
目标数据报文获得模块,用于对经由本地网卡接收的报文进行过滤,以得到符合检测条件的目标数据报文;
匹配模块,用于针对任一目标数据报文,确定该目标数据报文对应的访问方向对;所述访问方向对由该目标数据报文的源IP地址和目的IP地址组成、和/或由该目标数据报文的源IP地址和目的域名组成;以及,确定目标数据报文对应的访问方向对中的目的IP地址与已获得的其中一个恶意IP地址是否匹配,或者,该目标数据报文携带的访问方向对中的目的域名与已获得的其中一个恶意域名是否匹配;
失陷物联网设备确定模块,用于匹配模块确定出该目标数据报文对应的访问方向对中的目的IP地址与已获得的其中一个恶意IP地址匹配,或者,该目标数据报文携带的访问方向对中的目的域名与已获得的其中一个恶意域名匹配,则当识别出该目标数据报文的源IP地址为具备指定属性的物联网设备的IP地址时,确定具有该源IP地址的物联网设备为失陷物联网设备。
根据本申请实施例的第三方面,提供一种电子设备,电子设备包括:处理器和存储器;
其中,所述存储器,用于存储机器可执行指令;
所述处理器,用于读取并执行所述存储器存储的机器可执行指令,以实现如第一方面所述的方法。
由以上技术方案可以看出,本申请实施例中,网络检测设备通过对本地网卡接收的报文进行过滤(简称网卡过滤)、借助于已获得的恶意IP地址和/或恶意域名进一步对报文进行过滤(简称恶意信息过滤)、以及借助于物联网设备是否具备指定属性过滤掉不具备指定属性的物联网设备(简称设备类型过滤),以实现最终精确定位出失陷物联网设备;
进一步地,在本实施例中,网络检测设备通过对本地网卡接收的报文进行过滤(简称网卡过滤),其不需要对物联网中的所有报文进行检测,提高检测效率和速度,节省成本。
再进一步地,本实施例借助于物联网设备具备的指定属性来定位失陷物联网设备,其相比于常规地完全依赖于流量来定位,能够在较短时间进行较少的流量解析,节省资源,实现了使用更少的资源完成失陷视频物联网设备的发现。
附图说明
图1是本申请实施例示出的物联网设备应用组网示意图。
图2是本申请实施例提供的方法流程图。
图3是本申请实施例提供的装置图。
图4是本申请实施例提供的电子设备示意图。
具体实施方式
这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。
在本申请使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本申请。在本申请和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。还应当理解,本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。
应当理解,尽管在本申请可能采用术语第一、第二、第三等来描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离本申请范围的情况下,第一信息也可以被称为第二信息,类似地,第二信息也可以被称为第一信息。取决于语境,如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。
接下来对本说明书实施例进行详细说明。
如图1所示,图1为本申请实施例示出的物联网设备应用组网示意图。在本实施例中,所涉及的物联网设备可为具备指定属性的物联网设备。作为一个实施例,这里的指定属性用于指示非主动访问操作。所谓非主动访问操作是指不主动向物联网的外部设备或外部域名发送数据报文的操作。也即,本实施例所涉及的具备指定属性的物联网设备是不会主动向物联网的外部设备或外部域名发送数据报文,该类物联网设备可称为哑终端。图1所示虚线框内举例示出了具备指定属性的物联网设备,比如网络视频录像机(Network VideoRecorder,NVR)、网络摄像机(IP Camera,IPC)、数字视频录像机(Digital VideoRecorder,DVR)等。
另外,在图1所示的组网中,还包括用于实现如图1所示主动探测的设备、流量探针等设备,该设备可记为网络检测设备。
在本实施例中,网络检测设备会先向局域网中的各具备上述指定属性的物联网设备比如上述的NVR、IPC等发送探测报文,以探测得到各具备上述指定属性的物联网设备的IP地址。
可选地,在本实施例中,网络检测设备可以周期、定时或者基于外部触发等,向局域网中的各具备上述指定属性的物联网设备比如上述的NVR、IPC等发送探测报文,本申请实施例并不具体限定。
可选地,当网络检测设备向局域网中的各具备上述指定属性的物联网设备比如上述的NVR、IPC等发送探测报文后,收到上述探测报文的各物联网设备会返回响应报文。物联网设备返回的响应报文至少携带有物联网设备的IP地址。当网络检测设备接收到各物联网设备会返回的响应报文,就会获得响应报文携带的物联网设备的IP地址。最终实现了探测得到各物联网设备的IP地址。
可选地,网络检测设备发送的上述探测报文可为同步(SYN)探测请求数据包、Internet控制报文协议(Internet Control Message Protocol,ICMP)探测请求数据包、地址解析协议( Address Resolution Protocol,ARP)探测请求数据包等,本申请实施例并不具体限定。对应地,上述响应报文可为同步(SYN)探测响应数据包、Internet控制报文协议(Internet Control Message Protocol,ICMP)探测响应数据包、地址解析协议( AddressResolution Protocol,ARP)探测响应数据包等,本申请实施例并不具体限定。
在探测得到各具备上述指定属性的物联网设备的IP地址后,为便于记录,本实施例可将各具备上述指定属性的物联网设备的IP地址记录至IP地址表,此时该第一IP地址表记为第一IP地址表。比如,第一IP地址表为图1所示的视频物联网设备IP列表。
基于图1所示的组网和上述第一IP地址表,下面通过图2对本申请实施例提供的方法进行描述:
参见图2,图2为本申请实施例提供的方法流程图。该方法应用于上述网络检测设备,如图2所示,该流程可包括以下步骤:
S210:对经由本地网卡接收的报文进行过滤,以得到符合检测条件的目标数据报文。
示例性地,在本实施例中,在执行本步骤S210之前,可先将上述探测得到的第一IP地址表编程到本设备比如编程到本设备的网卡上。之后,基于该编程,对经由本地网卡接收的报文进行过滤。
在本实施例中,对经由本地网卡接收的报文进行过滤,其目的是为了得到如下符合检测条件的目标数据报文:源IP地址或目的IP地址在上述第一IP地址表中的数据报文。通过上述编程方式(如若第一IP地址表编程到网卡,则称为网卡编程方式),实现基于第一IP地址表的流量监测,以监测出源IP或者目标IP地址在第一IP地址表中的报文。
本步骤S210通过对经由本地网卡接收的报文进行过滤,其避免所有流量都执行本实施例提供的方法,提高本实施例提供的方法的效率和速度,也能节省资源负荷。
S220:针对任一目标数据报文,确定该目标数据报文对应的访问方向对;所述访问方向对由该目标数据报文的源IP地址和目的IP地址组成、和/或由该目标数据报文的源IP地址和目的域名组成。
可选地,在步骤S220中,可先从上述步骤S210得到的符合检测条件的目标数据报文中提取报文特征信息,比如源IP地址和目的IP地址组成访问方向对,和/或,源IP地址和目的域名组成访问方向对。
S230:若该目标数据报文对应的访问方向对中的目的IP地址与已获得的其中一个恶意IP地址匹配,或者,若该目标数据报文携带的访问方向对中的目的域名与已获得的其中一个恶意域名匹配,则当识别出该目标数据报文的源IP地址为具备指定属性的物联网设备的IP地址时,确定具有该源IP地址的物联网设备为失陷物联网设备。
可选地,在本实施例中,威胁情报库中会记录已获得的恶意IP地址和恶意域名。为便于描述,威胁情报库中已记录的恶意IP地址组织在恶意IP地址列表中,威胁情报库中已记录的恶意域名可组织在恶意域名列表中。
基于此,本步骤S230中,可针对任一访问方向对,若该访问方向对是由源IP地址和目的IP地址组成,则检查该访问方向对中的目的IP地址是否与已获得的恶意IP地址列表中的其中一个恶意IP地址匹配。而若访问方向对是由源IP地址和目的域名组成,则检查该访问方向对中的目的域名是否与已获得的恶意域名列表中的其中一个恶意域名匹配。
若该访问方向对中的目的IP地址与已获得的恶意IP地址列表中的其中一个恶意IP地址匹配,或者,若该访问方向对中的目的域名与已获得的其中一个恶意域名匹配,则如步骤S230描述,识别该目标数据报文的源IP地址是否为具备上述指定属性的物联网设备的IP地址。如前描述,具备上述指定属性的物联网设备的IP地址记录在第一IP地址列表中,基于此,这里的识别该目标数据报文的源IP地址是否为具备上述指定属性的物联网设备的IP地址可为:识别该目标数据报文的源IP地址是否在第一IP地址列表中,如果是,则确定具有该源IP地址的物联网设备为失陷物联网设备。
在得到符合检测条件的目标数据报文后,可以针对每一目标数据报文均进行上述步骤。
在本实施例中,若访问方向对中的目的IP地址与已获得的恶意IP地址列表中的其中一个恶意IP地址匹配,或者,访问方向对中的目的域名与已获得的其中一个恶意域名匹配,则认为目的端(目的IP地址对应的设备)为恶意设备,但此时并不能确认和该恶意设备通信的源端(源IP地址对应的设备)为失陷物联网设备,本实施例还需进一步识别该目标数据报文的源IP地址是否为具备上述指定属性的物联网设备的IP地址,一旦识别出该目标数据报文的源IP地址为具备上述指定属性的物联网设备的IP地址,借助于如前描述的指定属性,具备上述指定属性的物联网设备不会主动发起访问的数据报文,而此时既然收到上述指定属性的物联网设备的IP地址作为源IP地址的数据报文,则认为该物联网设备为失陷物联网设备。最终实现了精确定位出失陷物联网设备。一旦定位出失陷物联网设备,则后续可针对该失陷物联网设备执行对应的病毒阻断措施比如控制失陷物联网设备下线等。
至此,完成图2所示流程。
通过图2所示流程可以看出,本申请实施例中,网络检测设备通过对本地网卡接收的报文进行过滤(简称网卡过滤)、借助于已获得的恶意IP地址和/或恶意域名进一步对报文进行过滤(简称恶意信息过滤)、以及借助于物联网设备是否具备指定属性过滤掉不具备指定属性的物联网设备(简称设备类型过滤),以实现最终精确定位出失陷物联网设备;
进一步地,在本实施例中,网络检测设备通过对本地网卡接收的报文进行过滤(简称网卡过滤),其不需要对物联网中的所有报文进行检测,提高检测效率和速度,节省成本。
再进一步地,本实施例借助于物联网设备具备的指定属性来定位失陷物联网设备,其相比于常规地完全依赖于流量来定位,能够在较短时间进行较少的流量解析,节省资源,实现了使用更少的资源完成失陷视频物联网设备的发现。
作为本申请实施例一个可选实施方式,在确定该目标数据报文对应的访问方向对之前,上述方法还可以进一步执行以下步骤a1。
步骤a1,若目标数据报文携带的访问路径与已获得的其中一个恶意访问路径匹配,则当识别出该目标数据报文的源IP地址为具备指定属性的物联网设备的IP地址时,确定具有该源IP地址的物联网设备为失陷物联网设备。
可选地,在本实施例中,目标数据报文携带的访问路径可以为下载路径、存储路径或者访问地址等,本申请实施例并不具体限定。比如,访问路径为url,http等。
在本实施例中,上述恶意访问路径是从搜索引擎获取到的已被通报过的恶意访问路径,其具体可通过追踪恶意设备在物联网的足迹而确定。
如步骤a1描述,一旦确定出目标数据报文携带的访问路径与已获得的其中一个恶意访问路径匹配,则当该目标数据报文的源IP地址为具备指定属性的物联网设备的IP地址时,直接确定具有该源IP地址的物联网设备为失陷物联网设备,其更加快了定位失陷物联网设备的效率。
作为本申请实施例另一个可选实施方式,为避免漏检(即原本已失陷物联网设备基于上述图2所示流程未检测出),则基于如下前提条件,可进一步执行如下步骤a2。这里的前提条件为:在上述访问方向对由源IP地址和目的IP地址组成时,若访问方向对中的目的IP地址与已获得的任一个恶意IP地址不匹配;或者,在访问方向对由所述源IP地址和目的域名组成时,若访问方向对中的目的域名与已获得的任一个恶意域名不匹配;或者,在访问方向对由所述源IP地址和目的IP地址、以及源IP地址和目的域名组成时,若访问方向对中的目的IP地址与已获得的任一个恶意IP地址不匹配、且访问方向对中的目的域名与已获得的任一个恶意域名不匹配。
步骤a2为:若所述访问路径与已获得的其中一个恶意访问路径匹配,则当识别出该目标数据报文的源IP地址为具备指定属性的物联网设备的IP地址时,确定具有该源IP地址的物联网设备为失陷物联网设备。
本实施例中,在上述前提条件下之所以还需要执行步骤a2,其目的是为了避免原本已失陷物联网设备被遗漏。
作为一个实施例,本实施例中,在确定出失陷物联网设备之后,该方法可进一步包括:将失陷物联网设备的IP地址作为失陷IP地址并记录。作为一个实施例,本实施例可引入失陷IP地址表,用于记录失陷IP地址。作为一个实施例,这里记录失陷IP地址用于表示哪些物联网设备失陷,以指示外部(比如管理人员等)及时阻断该失陷物联网设备引发其它正常的物联网设备失陷。
作为另一个实施例,这里记录失陷IP地址还用于方便监控哪些正常的物联网设备与失陷IP地址通信,比如可进一步监测与失陷IP地址进行通信的报文,以便进一步确认潜在的失陷IP地址。
可选地,监测与失陷IP地址进行的通信具体可包括以下步骤:
步骤b:若通过本地网卡接收到第一参考数据报文,则执行步骤c。
这里,第一参考数据报文是为了便于描述而进行的命名,并非用于限定。
作为一个实施例,这里的第一参考数据报文是具有以下特性的报文:所述第一参考数据报文携带的源IP地址为失陷物联网设备的IP地址比如上述失陷IP地址表中的一个IP地址,目的IP地址已获得的具备上述指定属性的任一个物联网设备的IP地址,记为特定IP地址。
步骤c:若在之后第二设定段内通过本地网卡接收到第二参考数据报文,则确定所述第一参考数据报文携带的目的IP地址所对应的物联网设备为失陷物联网设备。
示例性地,在本实施例中,第二设定时间段为获得到第一参考数据报文之后的20s内,本实施例并不具体限定。
这里,通过第二参考数据报文是为了验证第一参考数据报文携带的源IP地址对应的源端与第一参考数据报文携带的目的IP地址对应的目的端之间的通信是否完整(比如是否有请求和响应这一完整流程)。基于此,本实施例中的第二参考数据报文与第一参考数据报文是相关联的,比如,其中一个为请求报文,另一个为用于响应该请求报文的响应报文。为了表征两者之间的关联,则本实施例中,第二参考数据报文的源IP地址为所述第一参考数据报文的目的IP地址,第二参考数据报文的目的IP地址为第一参考数据报文的源IP地址。
基于此,如步骤c描述,当获得第一参考数据报文后,若发现在之后第二设定时间段内收到第二参考数据报文,则认为第一参考数据报文为请求报文,第二参考数据报文是响应第一参考数据报文的响应报文,此时认为第一参考数据报文或第二参考数据报文携带的源IP地址对应的源端与目的IP地址对应的目的端之间的通信完整,若完整,则认为此时第一参考数据报文或第二参考数据报文携带的特定IP地址所对应的物联网设备从之前的未失陷转为失陷物联网设备。
需要说明的是,本实施例中,在上述确定出失陷物联网设备后,还可以进一步追溯之前第一设定时间段内与该失陷物联网设备相关联的数据报文(下文会有描述),具体见下文步骤d的描述。这里,第一设定时间段在保证不误检(将原本未失陷的物联网设备错误检测成失陷物联网设备)的前提下,根据物联网设备失陷的实际过程进行设置,比如设置为20秒,本实施例并不具体限定。
步骤d可为:追溯之前第一设定时间段内发向该失陷物联网设备的第三参考数据报文;所述第三参考数据报文携带的源IP地址为已获得的具备所述指定属性的任一个物联网设备的IP地址,目的IP地址为失陷物联网设备的IP地址比如上述失陷IP地址表中的一个IP地址;确定所述第三参考数据报文携带的源IP地址所对应的物联网设备为失陷物联网设备;或者,
追溯之前第一设定时间段内是否存在该失陷物联网设备发送的第四参考数据报文以及发向该失陷物联网设备的用于响应第四参考数据报文的第五参考数据报文,若存在,确定第四参考数据报文携带的目的IP地址所对应的物联网设备为失陷物联网设备;第四参考数据报文携带的源IP地址为失陷物联网设备的IP地址比如上述失陷IP地址表中的一个IP地址,目的IP地址为已获得的具备所述指定属性的任一个物联网设备的IP地址;第五参考数据报文的源IP地址为所述第四参考数据报文的目的IP地址,所述第五参考数据报文的目的IP地址为所述第四参考数据报文的源IP地址。
通过上述追溯,能够尽可能地将原本失陷的物联网设备提前检测出来。
可选地,在本实施例中,结合上述第一IP地址表和恶意IP地址表的描述,在将失陷物联网设备的IP地址作为失陷IP地址后,还可进一步包括:从第一IP地址表中删除该失陷物联网设备的IP地址,并将失陷物联网设备的IP地址作为恶意IP地址并记录(比如记录至恶意IP地址列表中)。以实现不断扩充恶意IP地址信息,提高物联网终端的检测效率。
以上对本申请实施例提供的方法进行了描述。
与前述方法的实施例相对应,本申请实施例还提供了装置及其所应用的终端的实施例。
如图3所示,图3是本申请实施例示出的一种基于多模过滤的失陷物联网设备安全检测装置的框图,该装置应用于网络检测设备,上述基于多模过滤的失陷物联网设备检测装置包括:
目标数据报文获得模块,用于对经由本地网卡接收的报文进行过滤,以得到符合检测条件的目标数据报文;
匹配模块,用于针对任一目标数据报文,确定该目标数据报文对应的访问方向对;所述访问方向对由该目标数据报文的源IP地址和目的IP地址组成、和/或由该目标数据报文的源IP地址和目的域名组成;以及,确定目标数据报文对应的访问方向对中的目的IP地址与已获得的其中一个恶意IP地址是否匹配,或者,该目标数据报文携带的访问方向对中的目的域名与已获得的其中一个恶意域名是否匹配;
失陷物联网设备确定模块,用于匹配模块确定出该目标数据报文对应的访问方向对中的目的IP地址与已获得的其中一个恶意IP地址匹配,或者,该目标数据报文携带的访问方向对中的目的域名与已获得的其中一个恶意域名匹配,则当识别出该目标数据报文的源IP地址为具备指定属性的物联网设备的IP地址时,确定具有该源IP地址的物联网设备为失陷物联网设备。
作为本申请实施例一个可选实施方式,该目标数据报文携带访问路径;
匹配模块进一步在在确定该目标数据报文对应的访问方向对之前,或者,
在所述访问方向对由所述源IP地址和目的IP地址组成时,若所述访问方向对中的目的IP地址与已获得的任一个恶意IP地址不匹配;或者,在所述访问方向对由所述源IP地址和目的域名组成时,若所述访问方向对中的目的域名与已获得的任一个恶意域名不匹配;或者,在所述访问方向对由所述源IP地址和目的IP地址、以及源IP地址和目的域名组成时,若所述访问方向对中的目的IP地址与已获得的任一个恶意IP地址不匹配、且所述访问方向对中的目的域名与已获得的任一个恶意域名不匹配时,则:
若发现所述访问路径与已获得的其中一个恶意访问路径匹配,则当识别出该目标数据报文的源IP地址为具备指定属性的物联网设备的IP地址时,确定具有该源IP地址的物联网设备为失陷物联网设备。
作为本申请实施例一个可选实施方式,所述符合检测条件的目标数据报文是指:源IP地址或目的IP地址在第一IP地址表中的数据报文;第一IP地址表记录了物联网中具备指定属性的物联网设备的IP地址;
所述识别出该目标数据报文的源IP地址为具备指定属性的物联网设备的IP地址是指:当该目标数据报文的源IP地址在所述第一IP地址表中,则确定该目标数据报文的源IP地址为具备指定属性的物联网设备的IP地址。
作为本申请实施例一个可选实施方式,所述指定属性用于指示非主动访问操作;所述非主动访问操作是指不主动向物联网的外部设备或外部域名发送数据报文的操作。
作为本申请实施例一个可选实施方式,在确定出失陷物联网设备之后,失陷物联网设备确定模块进一步将失陷物联网设备的IP地址作为失陷IP地址并记录,以及,将失陷物联网设备的IP地址作为恶意IP地址并记录;
失陷物联网设备确定模块在确定出失陷物联网设备之后,追溯之前第一设定时间段内发向该失陷物联网设备的第三参考数据报文;所述第三参考数据报文携带的源IP地址为已获得的具备所述指定属性的任一个物联网设备的IP地址,目的IP地址为该失陷物联网设备的IP地址;确定所述第三参考数据报文携带的源IP地址所对应的物联网设备为失陷物联网设备;或者,
追溯之前第一设定时间段内是否存在该失陷物联网设备发送的第四参考数据报文以及发向该失陷物联网设备的用于响应第四参考数据报文的第五参考数据报文,若存在,确定所述第四参考数据报文携带的目的IP地址所对应的物联网设备为失陷物联网设备;所述第四参考数据报文携带的源IP地址为该失陷物联网设备的IP地址,目的IP地址为已获得的具备所述指定属性的任一个物联网设备的IP地址;所述第五参考数据报文的源IP地址为所述第四参考数据报文的目的IP地址,所述第五参考数据报文的目的IP地址为所述第四参考数据报文的源IP地址;
失陷物联网设备确定模块进一步在确定出失陷物联网设备之后,若通过本地网卡接收到第一参考数据报文,所述第一参考数据报文携带的源IP地址为该失陷物联网设备的IP地址,目的IP地址为已获得的具备所述指定属性的任一个物联网设备的IP地址,则:
当在之后的第二设定段内通过本地网卡接收到第二参考数据报文,则确定所述第一参考数据报文携带的目的IP地址所对应的物联网设备为失陷物联网设备;所述第二参考数据报文的源IP地址为所述第一参考数据报文的目的IP地址,所述第二参考数据报文的目的IP地址为所述第一参考数据报文的源IP地址。
至此,完成图3所示装置的描述。
上述装置中各个单元的功能和作用的实现过程具体详见上述方法中对应步骤的实现过程,在此不再赘述。
对于装置实施例而言,由于其基本对应于方法实施例,所以相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的模块可以是或者也可以不是物理上分开的,作为模块显示的部件可以是或者也可以不是物理模块,即可以位于一个地方,或者也可以分布到多个网络模块上。可以根据实际的需要选择其中的部分或者全部模块来实现本说明书方案的目的。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
对应地,本申请实施例还提供了图3所示装置的硬件结构图,具体如图4所示,该电子设备可以为上述实施方法的设备。如图4所示,该硬件结构包括:处理器和存储器。
其中,所述存储器,用于存储机器可执行指令;
所述处理器,用于读取并执行所述存储器存储的机器可执行指令,以实现如上所示的所对应的基于多模过滤的失陷物联网设备检测的方法实施例。
作为一个实施例,存储器可以是任何电子、磁性、光学或其它物理存储装置,可以包含或存储信息,如可执行指令、数据,等等。例如,存储器可以是:易失存储器、非易失性存储器或者类似的存储介质。具体地,存储器可以是RAM(Radom Access Memory,随机存取存储器)、闪存、存储驱动器(如硬盘驱动器)、固态硬盘、任何类型的存储盘(如光盘、DVD等),或者类似的存储介质,或者它们的组合。
至此,完成图4所示电子设备的描述。
上述对本说明书特定实施例进行了描述。其它实施例在所附权利要求书的范围内。在一些情况下,在权利要求书中记载的动作或步骤可以按照不同于实施例中的顺序来执行并且仍然可以实现期望的结果。另外,在附图中描绘的过程不一定要求示出的特定顺序或者连续顺序才能实现期望的结果。在某些实施方式中,多任务处理和并行处理也是可以的或者可能是有利的。
本领域技术人员在考虑说明书及实践这里申请的发明后,将容易想到本说明书的其它实施方案。本说明书旨在涵盖本说明书的任何变型、用途或者适应性变化,这些变型、用途或者适应性变化遵循本说明书的一般性原理并包括本说明书未申请的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的,本说明书的真正范围和精神由下面的权利要求指出。
应当理解的是,本说明书并不局限于上面已经描述并在附图中示出的精确结构,并且可以在不脱离其范围进行各种修改和改变。本说明书的范围仅由所附的权利要求来限制。
以上所述仅为本说明书的较佳实施例而已,并不用以限制本说明书,凡在本说明书的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本说明书保护的范围之内。
Claims (10)
1.一种基于多模过滤的失陷物联网设备安全检测方法,其特征在于,所述方法应用于网络检测设备,所述方法包括:
对经由本地网卡接收的报文进行过滤,以得到符合检测条件的目标数据报文;
针对任一目标数据报文,确定该目标数据报文对应的访问方向对;所述访问方向对由该目标数据报文的源IP地址和目的IP地址组成、和/或由该目标数据报文的源IP地址和目的域名组成;
若该目标数据报文对应的访问方向对中的目的IP地址与已获得的其中一个恶意IP地址匹配,或者,若该目标数据报文携带的访问方向对中的目的域名与已获得的其中一个恶意域名匹配,则当识别出该目标数据报文的源IP地址为具备指定属性的物联网设备的IP地址时,确定具有该源IP地址的物联网设备为失陷物联网设备。
2.根据权利要求1所述的方法,其特征在于,该目标数据报文携带访问路径;
在确定该目标数据报文对应的访问方向对之前,或者,
在所述访问方向对由所述源IP地址和目的IP地址组成时,若所述访问方向对中的目的IP地址与已获得的任一个恶意IP地址不匹配;或者,在所述访问方向对由所述源IP地址和目的域名组成时,若所述访问方向对中的目的域名与已获得的任一个恶意域名不匹配;或者,在所述访问方向对由所述源IP地址和目的IP地址、以及源IP地址和目的域名组成时,若所述访问方向对中的目的IP地址与已获得的任一个恶意IP地址不匹配、且所述访问方向对中的目的域名与已获得的任一个恶意域名不匹配,则该方法进一步包括:
若所述访问路径与已获得的其中一个恶意访问路径匹配,则当识别出该目标数据报文的源IP地址为具备指定属性的物联网设备的IP地址时,确定具有该源IP地址的物联网设备为失陷物联网设备。
3.根据权利要求1或2所述的方法,其特征在于,
该方法之前进一步包括:获得物联网中具备指定属性的物联网设备的IP地址,得到第一IP地址表;
所述识别出该目标数据报文的源IP地址为具备指定属性的物联网设备的IP地址是指:当该目标数据报文的源IP地址在所述第一IP地址表中,则确定该目标数据报文的源IP地址为具备指定属性的物联网设备的IP地址。
4.根据权利要求3所述的方法,其特征在于,所述指定属性用于指示非主动访问操作;所述非主动访问操作是指不主动向物联网的外部设备或外部域名发送数据报文的操作。
5.根据权利要求1或2所述的方法,其特征在于,在确定出失陷物联网设备之后,该方法进一步包括:将失陷物联网设备的IP地址作为失陷IP地址并记录,以及,将失陷物联网设备的IP地址作为恶意IP地址并记录。
6.根据权利要求1或2所述的方法,其特征在于,在确定出失陷物联网设备之后,所述方法还包括:
追溯之前第一设定时间段内发向该失陷物联网设备的第三参考数据报文;所述第三参考数据报文携带的源IP地址为已获得的具备所述指定属性的任一个物联网设备的IP地址,目的IP地址为该失陷物联网设备的IP地址;确定所述第三参考数据报文携带的源IP地址所对应的物联网设备为失陷物联网设备;或者,
追溯之前第一设定时间段内是否存在该失陷物联网设备发送的第四参考数据报文以及发向该失陷物联网设备的用于响应第四参考数据报文的第五参考数据报文,若存在,确定所述第四参考数据报文携带的目的IP地址所对应的物联网设备为失陷物联网设备;所述第四参考数据报文携带的源IP地址为该失陷物联网设备的IP地址,目的IP地址为已获得的具备所述指定属性的任一个物联网设备的IP地址;所述第五参考数据报文的源IP地址为所述第四参考数据报文的目的IP地址,所述第五参考数据报文的目的IP地址为所述第四参考数据报文的源IP地址。
7.根据权利要求1或2所述的方法,其特征在于,在确定出失陷物联网设备之后,所述方法还包括:
若通过本地网卡接收到第一参考数据报文,所述第一参考数据报文携带的源IP地址为该失陷物联网设备的IP地址,目的IP地址为已获得的具备所述指定属性的任一个物联网设备的IP地址,则:
当在之后的第二设定段内通过本地网卡接收到第二参考数据报文,则确定所述第一参考数据报文携带的目的IP地址所对应的物联网设备为失陷物联网设备;所述第二参考数据报文的源IP地址为所述第一参考数据报文的目的IP地址,所述第二参考数据报文的目的IP地址为所述第一参考数据报文的源IP地址。
8.一种基于多模过滤的失陷物联网设备安全检测装置,其特征在于,所述装置应用于网络检测设备,所述装置包括:
目标数据报文获得模块,用于对经由本地网卡接收的报文进行过滤,以得到符合检测条件的目标数据报文;
匹配模块,用于针对任一目标数据报文,确定该目标数据报文对应的访问方向对;所述访问方向对由该目标数据报文的源IP地址和目的IP地址组成、和/或由该目标数据报文的源IP地址和目的域名组成;以及,确定目标数据报文对应的访问方向对中的目的IP地址与已获得的其中一个恶意IP地址是否匹配,或者,该目标数据报文携带的访问方向对中的目的域名与已获得的其中一个恶意域名是否匹配;
失陷物联网设备确定模块,用于匹配模块确定出该目标数据报文对应的访问方向对中的目的IP地址与已获得的其中一个恶意IP地址匹配,或者,该目标数据报文携带的访问方向对中的目的域名与已获得的其中一个恶意域名匹配,则当识别出该目标数据报文的源IP地址为具备指定属性的物联网设备的IP地址时,确定具有该源IP地址的物联网设备为失陷物联网设备。
9.根据权利要求8所述的装置,其特征在于,该目标数据报文携带访问路径;
匹配模块进一步在确定该目标数据报文对应的访问方向对之前,或者,
在所述访问方向对由所述源IP地址和目的IP地址组成时,若所述访问方向对中的目的IP地址与已获得的任一个恶意IP地址不匹配;或者,在所述访问方向对由所述源IP地址和目的域名组成时,若所述访问方向对中的目的域名与已获得的任一个恶意域名不匹配;或者,在所述访问方向对由所述源IP地址和目的IP地址、以及源IP地址和目的域名组成时,若所述访问方向对中的目的IP地址与已获得的任一个恶意IP地址不匹配、且所述访问方向对中的目的域名与已获得的任一个恶意域名不匹配时,则:
若发现所述访问路径与已获得的其中一个恶意访问路径匹配,则当识别出该目标数据报文的源IP地址为具备指定属性的物联网设备的IP地址时,确定具有该源IP地址的物联网设备为失陷物联网设备;
所述识别出该目标数据报文的源IP地址为具备指定属性的物联网设备的IP地址是指:当该目标数据报文的源IP地址在第一IP地址表中,则确定该目标数据报文的源IP地址为具备指定属性的物联网设备的IP地址;第一IP地址表记录了物联网中具备指定属性的物联网设备的IP地址;
所述指定属性用于指示非主动访问操作;所述非主动访问操作是指不主动向物联网的外部设备或外部域名发送数据报文的操作;
在确定出失陷物联网设备之后,失陷物联网设备确定模块进一步将失陷物联网设备的IP地址作为失陷IP地址并记录,以及,将失陷物联网设备的IP地址作为恶意IP地址并记录;
失陷物联网设备确定模块进一步在确定出失陷物联网设备之后,追溯之前第一设定时间段内发向该失陷物联网设备的第三参考数据报文;所述第三参考数据报文携带的源IP地址为已获得的具备所述指定属性的任一个物联网设备的IP地址,目的IP地址为该失陷物联网设备的IP地址;确定所述第三参考数据报文携带的源IP地址所对应的物联网设备为失陷物联网设备;或者,
追溯之前第一设定时间段内是否存在该失陷物联网设备发送的第四参考数据报文以及发向该失陷物联网设备的用于响应第四参考数据报文的第五参考数据报文,若存在,确定所述第四参考数据报文携带的目的IP地址所对应的物联网设备为失陷物联网设备;所述第四参考数据报文携带的源IP地址为该失陷物联网设备的IP地址,目的IP地址为已获得的具备所述指定属性的任一个物联网设备的IP地址;所述第五参考数据报文的源IP地址为所述第四参考数据报文的目的IP地址,所述第五参考数据报文的目的IP地址为所述第四参考数据报文的源IP地址;
失陷物联网设备确定模块进一步在确定出失陷物联网设备之后,若通过本地网卡接收到第一参考数据报文,所述第一参考数据报文携带的源IP地址为该失陷物联网设备的IP地址,目的IP地址为已获得的具备所述指定属性的任一个物联网设备的IP地址,则:当在之后的第二设定段内通过本地网卡接收到第二参考数据报文,则确定所述第一参考数据报文携带的目的IP地址所对应的物联网设备为失陷物联网设备;所述第二参考数据报文的源IP地址为所述第一参考数据报文的目的IP地址,所述第二参考数据报文的目的IP地址为所述第一参考数据报文的源IP地址。
10.一种电子设备,其特征在于,电子设备包括:处理器和存储器;
其中,所述存储器,用于存储机器可执行指令;
所述处理器,用于读取并执行所述存储器存储的机器可执行指令,以实现如权利要求1至7任一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202311499684.XA CN117240612B (zh) | 2023-11-10 | 2023-11-10 | 基于多模过滤的失陷物联网设备安全检测方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202311499684.XA CN117240612B (zh) | 2023-11-10 | 2023-11-10 | 基于多模过滤的失陷物联网设备安全检测方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN117240612A true CN117240612A (zh) | 2023-12-15 |
| CN117240612B CN117240612B (zh) | 2024-01-26 |
Family
ID=89093174
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202311499684.XA Active CN117240612B (zh) | 2023-11-10 | 2023-11-10 | 基于多模过滤的失陷物联网设备安全检测方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN117240612B (zh) |
Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101707619A (zh) * | 2009-12-10 | 2010-05-12 | 福建星网锐捷网络有限公司 | 报文过滤方法、装置及网络设备 |
| US20120236705A1 (en) * | 2011-03-18 | 2012-09-20 | Fujitsu Limited | Management apparatus, communication system, and communication method |
| CN109218229A (zh) * | 2017-06-30 | 2019-01-15 | 华为技术有限公司 | 一种报文处理方法、网络设备及存储介质 |
| CN112165470A (zh) * | 2020-09-18 | 2021-01-01 | 国网辽宁省电力有限公司电力科学研究院 | 一种基于日志大数据分析的智能终端接入安全预警系统 |
| CN113746692A (zh) * | 2021-07-21 | 2021-12-03 | 网宿科技股份有限公司 | 网络流量统计的方法、电子设备及存储介质 |
| CN113852615A (zh) * | 2021-09-15 | 2021-12-28 | 广东电力信息科技有限公司 | 一种在多级dns环境中失陷主机监测方法及装置 |
| CN114465798A (zh) * | 2022-02-10 | 2022-05-10 | 深圳市共进电子股份有限公司 | 一种报文过滤方法、网关设备及存储介质 |
| CN115913597A (zh) * | 2021-09-30 | 2023-04-04 | 华为技术有限公司 | 确定失陷主机的方法及装置 |
| CN116015776A (zh) * | 2022-12-12 | 2023-04-25 | 北京天融信网络安全技术有限公司 | 一种失陷主机的封禁方法、装置电子设备和存储介质 |
-
2023
- 2023-11-10 CN CN202311499684.XA patent/CN117240612B/zh active Active
Patent Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101707619A (zh) * | 2009-12-10 | 2010-05-12 | 福建星网锐捷网络有限公司 | 报文过滤方法、装置及网络设备 |
| US20120236705A1 (en) * | 2011-03-18 | 2012-09-20 | Fujitsu Limited | Management apparatus, communication system, and communication method |
| CN109218229A (zh) * | 2017-06-30 | 2019-01-15 | 华为技术有限公司 | 一种报文处理方法、网络设备及存储介质 |
| CN112165470A (zh) * | 2020-09-18 | 2021-01-01 | 国网辽宁省电力有限公司电力科学研究院 | 一种基于日志大数据分析的智能终端接入安全预警系统 |
| CN113746692A (zh) * | 2021-07-21 | 2021-12-03 | 网宿科技股份有限公司 | 网络流量统计的方法、电子设备及存储介质 |
| CN113852615A (zh) * | 2021-09-15 | 2021-12-28 | 广东电力信息科技有限公司 | 一种在多级dns环境中失陷主机监测方法及装置 |
| CN115913597A (zh) * | 2021-09-30 | 2023-04-04 | 华为技术有限公司 | 确定失陷主机的方法及装置 |
| CN114465798A (zh) * | 2022-02-10 | 2022-05-10 | 深圳市共进电子股份有限公司 | 一种报文过滤方法、网关设备及存储介质 |
| CN116015776A (zh) * | 2022-12-12 | 2023-04-25 | 北京天融信网络安全技术有限公司 | 一种失陷主机的封禁方法、装置电子设备和存储介质 |
Non-Patent Citations (1)
| Title |
|---|
| 白浩: "互联网高级持续性威胁分析取证手段及技术研究", 电信工程技术与标准化 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN117240612B (zh) | 2024-01-26 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN108881211B (zh) | 一种违规外联检测方法及装置 | |
| CN111130930B (zh) | 双网卡检测方法和装置 | |
| CN109104395B (zh) | 互联网资产扫描发现与服务识别的方法和装置 | |
| CN111818073B (zh) | 一种失陷主机检测方法、装置、设备及介质 | |
| CN110572406B (zh) | 一种失陷主机确定方法、系统及相关装置 | |
| CN108683553B (zh) | 故障注入的方法和装置 | |
| CN108055455B (zh) | 家庭监控的隐私保护方法、装置及计算机可读存储介质 | |
| CN105808399A (zh) | 一种远程调试的方法和装置 | |
| US20210036995A1 (en) | Data processing method, device, and system | |
| CN111553332B (zh) | 入侵检测规则生成方法、装置及电子设备 | |
| CN113328972A (zh) | 设备监测方法、装置、设备及存储介质 | |
| CN115499211A (zh) | 一种基于流量特征的规则生成方法及生成装置 | |
| CN112769635B (zh) | 多粒度特征解析的服务识别方法及装置 | |
| CN113301155B (zh) | 数据路由方法、装置、设备和存储介质 | |
| CN117240612B (zh) | 基于多模过滤的失陷物联网设备安全检测方法及装置 | |
| CN112087532B (zh) | 信息获取方法、装置、设备及存储介质 | |
| CN110784364B (zh) | 一种数据监测方法、装置、存储介质及终端 | |
| CN113259364A (zh) | 一种网络事件关联分析方法及装置、计算机设备 | |
| CN106790071B (zh) | 一种dns全流量劫持风险的检测方法和装置 | |
| CN110971599A (zh) | 漏洞扫描方法和装置 | |
| CN115955333A (zh) | C2服务器识别方法、装置、电子设备及可读存储介质 | |
| US10257093B2 (en) | Information processing device, method, and medium | |
| CN117061247B (zh) | 基于dns的溯源定位方法、装置、电子设备及存储介质 | |
| CN117579383B (zh) | 一种主动http响应的检测及拦截方法、装置及设备 | |
| CN116318913A (zh) | 一种用于主机进程对外进行半连接扫描的识别方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |