CN108989296A - 一种物联网***安全综合评估***及方法 - Google Patents

Abstract

本发明涉及网络安全评估技术，旨在提供一种物联网***安全综合评估***及方法。在该***中的计算机中，信息录入模块、远程扫描模块、流量分析模块以电连接方式分别接至风险评估模块；物联网云端服务器通过互联网络分别连接各物联网设备，在物联网云端服务器和各物联网设备上分别设置流量监测模块，各流量监测模块以电连接方式旁路接入至所述流量分析模块和远程扫描模块；在远程扫描模块中内置弱口令库、PoC探测模块和PoC探测脚本库，PoC探。本发明考虑了管理人员自身因素，并连同远程安全扫描和流量监测一起进行分析，综合的进行安全评估和分析。不侵入现有的物联网***，既不会在物联网设备内部增加探针，也不会影响原来的物联网云端服务器。

Description

一种物联网***安全综合评估***及方法

技术领域

本发明涉及网络安全评估技术，特别涉及一种物联网***安全综合评估方法。

背景技术

以网络摄像头为代表的物联网是一个由众多物联网设备与云管理中心组成的集成***。这种云管端架构给人民生活带来方便的同时，也给安全评测带来困难。具体主要表现在：***架构复杂、物联网设备和云端都可能存在安全隐患，它们之间的交互使得复杂面扩张，而且管理人员对安全的理解，以及对资产的掌握情况也直接影响到整体的网络安全。

近年来，物联网产品发展迅速，特别是网络摄像头产品。以大华、海康等为代表的厂商使得物联网产品涌现这些智能设备，基于嵌入式***和裁剪过的Linux操作***，结合云端的服务器，组成了庞大的网络。这就存在着安全风险，如信息窃取、远程控制、网络攻击等严重安全事件。鉴于***的复杂性，其安全评估方法有别于传统单一的网络，因而需要有更全面的针对物联网的安全评估方法。

中国发明专利“一种物联网安全测评方法”(申请号201410056286.5)，其技术方案是：通过部署探测节点和攻击节点到被测网络中，实现对网络覆盖地理区域内被感知对象的信息感知，采集，处理和传输，首先测评出被测网络中的节点数，网络拓扑结构和协议一致性等网络基本项目，然后利用攻击节点测评出网络加密状况，节点认证机制和秘钥安全程度等网络安全项，最后利用探测节点和攻击节点共同运作，完成对重放攻击功能，修改重放攻击功能和终端节点DDOS攻击等网络防攻击项目的测评，测评完成后形成对应的具体测评报告。该方法存在的技术缺陷是：(1)该方法必须部署探测节点和攻击节点，评估依靠两种的相互配合，复杂而且困难；(2)该方法缺乏类似黑客的外部视角，黑客一般会采用远程扫描脆弱性方法进行恶意渗透；(3)该方法没有把人和管理因素放入考虑，往往脆弱性都是由管理或者人的因素造成。

发明内容

本发明要解决的问题是，克服现有技术中的不足，提供一种物联网***安全综合评估方法。

为解决技术问题，本发明的解决方案是：

提供一种物联网***安全综合评估***，包括用于运行安全综合评估程序的计算机，在该计算机中内置了信息录入模块、远程扫描模块、流量分析模块和风险评估模块，前三个模块以电连接方式分别接至风险评估模块；物联网云端服务器通过互联网络分别连接各物联网设备，在物联网云端服务器和各物联网设备上分别设置流量监测模块，各流量监测模块以电连接方式旁路接入至所述流量分析模块和远程扫描模块；在远程扫描模块中，内置了弱口令库、PoC探测模块和PoC探测脚本库，PoC探测脚本库中匹配着公开的CVE漏洞库。

本发明进一步提供了基于前述***的物联网***安全综合评估方法，包括以下步骤：

(1)管理人员利用信息录入模块记录物联网***的详细情况；

(2)由远程扫描模块对物联网云端服务器和各物联网设备的端口逐一进行扫描，确认各设备开放的端口信息和提供的服务项目；

(3)根据步骤(3)的扫描结果，由远程扫描模块分别进行下述操作：

(3.1)弱口令扫描：如探测出telnet，或者基于web的配置服务器与SSH服务器，就利用弱口令库进行尝试登录；如果登录成功，则说明该设备或者服务器存在弱口令问题；

(3.2)原理性探测：PoC探测模块结合PoC探测脚本库中匹配的CVE漏洞库，针对端口和服务的扫描结果进行原理性验证，并针对有无漏洞、漏洞的危害等级给出评价结果；

(4)各流量监测模块获取物联网云端服务器和各物联网设备的流量数据后，解析得到每个数据包的大小，以及流量数据的5元组信息；

(5)流量监测模块将经解析的流量数据传送给流量分析模块，由其根据预定规则进行分析和判断，寻找结果异常的流量数据；

(6)风险评估模块汇总流量分析模块和远程扫描模块的信息，并结合信息录入进行整体的安全评估，输出安全评估的结果。

本发明中，所述步骤(3.1)中，在执行弱口令扫描之前，首先联网确认弱口令库的更新情况；如弱口令库有新版本，则先进行弱口令库的更新，再执行弱口令扫描。

本发明中，所述步骤(3.2)中，在执行原理性探测之前，先联网确认PoC探测脚本库的更新情况；如PoC探测脚本库有新版本，则先进行PoC探测脚本库的更新，再执行原理性探测。

本发明中，步骤(4)中所述流量数据的5元组信息是指：源IP地址、源端口、目的IP地址、目的端口、传输层协议。

本发明中，所述步骤(6)中，在进行整体的安全评估时，具体包括下述分析评估项目：

(1)管理人员录入的信息是否包括：物联网设备的IP地址、开放的端口号、服务器的IP地址、开放的端口号、责任人名单和联系方式；有无进行安全防护、采用的防护方式、遇到安全事件的过往记录；

(2)管理人员录入信息是否与远程扫描结果、流量分析结果一致；

(3)远程扫描结果是否存在未知的开放端口和服务；

(4)远程开放的端口是否存在弱口令；

(5)远程开放的服务是否有PoC脚本验证出的漏洞，以及漏洞的危害等级；

(6)流量数据是否存在未知的5元组信息；

(7)物联网设备是否被DDoS攻击；

(8)物联网设备是否对外进行DDoS攻击；

(9)物联网设备是否存在C&C外联；

(10)弱口令库和PoC脚本库是否能够联网更新。

与现有技术相比，本发明的技术效果是：

1、本发明考虑了管理人员自身因素，并连同远程安全扫描和流量监测一起进行分析，综合的进行安全评估和分析。

2、本发明不会侵入现有的物联网***，既不会在物联网设备内部增加探针，也不会影响原来的物联网云端服务器。

3、本发明综合解决了管理人员、平台和物联网设备之间的互动问题，能全面的评估安全情况。

附图说明

图1是本发明的部署图。

图2是本发明的流程图。

具体实施方式

首先需要说明的是，本发明涉及网络安全技术，是计算机技术在信息安全技术领域的一种应用。在本发明的实现过程中，会涉及到多个软件功能模块的应用。申请人认为，如在仔细阅读申请文件、准确理解本发明的实现原理和发明目的以后，在结合现有公知技术的情况下，本领域技术人员完全可以运用其掌握的软件编程技能实现本发明。前述软件功能模块包括但不限于：信息录入模块、远程扫描模块、流量分析模块、风险评估模块、流量监测模块、弱口令库、PoC探测模块、PoC探测脚本库和CVE漏洞库等，凡本发明申请文件提及的均属此范畴，申请人不再一一列举。

本发明所提及的部分术语的解释：

PoC:即概念验证(Proof of concept)是对某些想法的一个不完整的实现，以证明其可行性、示范其原理，其目的是为了验证一些概念或理论。

CVE:即公共漏洞和暴露(Common Vulnerabilities&Exposures)

C&C:即命令和控制服务器(Command&Control Server)一般是指挥控制僵尸网络botnet的主控服务器，用来和僵尸网络的每个感染了恶意软件(malware)的宿主机进行通讯并指挥它们的攻击行为。

DDoS:即分布式拒绝服务工具(Distributed Denial of Service)

下面结合附图，对本发明的具体实施方式进行详细描述。

如图1所示，本发明所述物联网***安全综合评估***，包括用于运行安全综合评估程序的计算机，在该计算机中内置了信息录入模块、远程扫描模块、流量分析模块和风险评估模块，前三个模块以电连接方式分别接至风险评估模块；物联网云端服务器通过互联网络分别连接各物联网设备，在物联网云端服务器和各物联网设备上分别设置流量监测模块，各流量监测模块以电连接方式旁路接入至所述流量分析模块和远程扫描模块；在远程扫描模块中，内置了弱口令库、PoC探测模块和PoC探测脚本库，PoC探测脚本库中匹配着公开的CVE漏洞库。

本发明中，远程扫描模块能够提供端口号与端口服务探测功能、弱口令探测功能、原理性探测功能。端口号与端口服务探测功能就是逐个对物联网设备和物联网云端服务器的端口进行扫描。通过扫描结果可以知道该设备上开放了哪些端口，提供了哪些服务。其原理是远程扫描模块向物联网设备的某一个端口尝试建立一个连接，如果该设备有此项服务就会应答，如果未安装此项服务则无应答。这样就可以知道目标服务器上都安装了哪些服务，通过端口扫描就可以搜集到有参考价值的信息。例如，该设备或者管理中心提供了telnet服务、WWW服务或其它服务。弱口令扫描功能是在端口扫描结果的基础上实现，当探测出telnet，或者基于web的配置服务器、SSH服务器后，就可以使用弱口令库对密码进行尝试。如果登录成功，则说明该设备或者服务器存在弱口令问题。攻击者往往使用扫描技术来探测用户名和弱口令，这是极大的安全隐患。原理性探测功能是指，远程扫描模块内置PoC探测模块和PoC探测脚本库。PoC探测脚本库匹配着公开的CVE漏洞库，PoC探测模块根据端口和服务的扫描结果进行原理性验证，并根据有无漏洞、漏洞的危害等级进行评估。

本发明进一步提供了基于前述***的物联网***安全综合评估方法，包括以下步骤：

(1)管理人员利用信息录入模块记录物联网***的详细情况；具体包括物联网设备的数量、IP地址、采用的防护方式(提供选项进行选择)、之前有无遇到安全事件(提供选项进行选择)等；这些录入的基本信息将被用于接下来的评估验证，以及评估管理人员对该物联网***的了解程度。

(2)由远程扫描模块对物联网云端服务器和各物联网设备的端口逐一进行扫描，确认各设备开放的端口信息和提供的服务项目；

(3)根据步骤(3)的扫描结果，由远程扫描模块分别进行下述操作：

(3.1)弱口令扫描：如探测出telnet，或者基于web的配置服务器与SSH服务器，就利用弱口令库进行尝试登录；如果登录成功，则说明该设备或者服务器存在弱口令问题；在执行弱口令扫描之前，首先联网确认弱口令库的更新情况；如弱口令库有新版本，则先进行弱口令库的更新，再执行弱口令扫描。

(3.2)原理性探测：PoC探测模块结合PoC探测脚本库中匹配的CVE漏洞库，针对端口和服务的扫描结果进行原理性验证，并针对有无漏洞、漏洞的危害等级给出评价结果；在执行原理性探测之前，先联网确认PoC探测脚本库的更新情况；如PoC探测脚本库有新版本，则先进行PoC探测脚本库的更新，再执行原理性探测。

(4)各流量监测模块获取物联网云端服务器和各物联网设备的流量数据后，解析得到每个数据包的大小，以及流量数据的5元组信息；5元组信息是指：源IP地址、源端口、目的IP地址、目的端口、传输层协议。

通过该步骤操作就可以区分出不同的网络会话，能从这些流量数据中发现异常，包括外部对物联网设备、云端服务器的DDoS攻击行为，或者物联网设备已经被攻破成为肉鸡、对外面的其他服务器发动的DDoS攻击，也有对外的异常连接，如C&C。例如，可以通过一段时间内统计的网络数据来定义一个正常状态，也就是建立基线。一旦受到不良因素影响，流量数据就会出现异常高或者低的情况。

(5)流量监测模块将经解析的流量数据传送给流量分析模块，由其根据预定规则进行分析和判断，寻找结果异常的流量数据；

(6)风险评估模块汇总流量分析模块和远程扫描模块的信息，并结合信息录入进行整体的安全评估，输出安全评估的结果。

在进行整体的安全评估时，具体包括下述分析评估项目：

(6.1)管理人员录入的信息是否包括：物联网设备的IP地址、开放的端口号、服务器的IP地址、开放的端口号、责任人名单和联系方式；有无进行安全防护、采用的防护方式、遇到安全事件的过往记录；

(6.2)管理人员录入信息是否与远程扫描结果、流量分析结果一致；

(6.3)远程扫描结果是否存在未知的开放端口和服务；

(6.4)远程开放的端口是否存在弱口令；

(6.5)远程开放的服务是否有PoC脚本验证出的漏洞，以及漏洞的危害等级；

(6.6)流量数据是否存在未知的5元组信息；

(6.7)物联网设备是否被DDoS攻击；

(6.8)物联网设备是否对外进行DDoS攻击；

(6.9)物联网设备是否存在C&C外联；

(6.10)弱口令库和PoC脚本库是否能够联网更新。

具体应用示例：

1.管理人员运行物联网***安全综合评估***的软件程序，并由录入界面填写物联网的资料信息(其中包括该物联网***的所有节点和服务器的网络信息，如IP地址、端口号)，选择和填写该物联网***所用的安全措施(如IPS、IDS、防火墙等，有无定期维护、定期维护的时间和方式)。

2.启动远程安全扫描服务，在***外界对物联网节点、服务器进行远程扫描，扫描结果为该节点是否能被网络探测，它是否开放了服务端口、开放了哪些端口、后面的网络服务是哪些。

3.对于ssh，telnet和http等服务，如果需要登录，则使用弱口令库进行登录尝试。

4.检查poc库是否可以更新，更新后对开放端口进行原理性扫描，明确清晰的掌握资产脆弱情况。

5.在物联网***各节点的旁路接入流量监测模块，抓取一定时间周期的网络数据包，比如1个小时或24小时等。

6.汇总资料信息数据，远程扫描数据和流量监测数据，进行评估，评估算法可以参考各行业的等级保护条例。

Claims (6)

1.一种物联网***安全综合评估***，包括用于运行安全综合评估程序的计算机，其特征在于，在该计算机中内置了信息录入模块、远程扫描模块、流量分析模块和风险评估模块，前三个模块以电连接方式分别接至风险评估模块；物联网云端服务器通过互联网络分别连接各物联网设备，在物联网云端服务器和各物联网设备上分别设置流量监测模块，各流量监测模块以电连接方式旁路接入至所述流量分析模块和远程扫描模块；在远程扫描模块中，内置了弱口令库、PoC探测模块和PoC探测脚本库，PoC探测脚本库中匹配着公开的CVE漏洞库。

2.基于权利要求1所述***的物联网***安全综合评估方法，其特征在于，包括以下步骤：

(1)管理人员利用信息录入模块记录物联网***的详细情况；

(2)由远程扫描模块对物联网云端服务器和各物联网设备的端口逐一进行扫描，确认各设备开放的端口信息和提供的服务项目；

(3)根据步骤(3)的扫描结果，由远程扫描模块分别进行下述操作：

(3.1)弱口令扫描：如探测出telnet，或者基于web的配置服务器与SSH服务器，就利用弱口令库进行尝试登录；如果登录成功，则说明该设备或者服务器存在弱口令问题；

(3.2)原理性探测：PoC探测模块结合PoC探测脚本库中匹配的CVE漏洞库，针对端口和服务的扫描结果进行原理性验证，并针对有无漏洞、漏洞的危害等级给出评价结果；

(4)各流量监测模块获取物联网云端服务器和各物联网设备的流量数据后，解析得到每个数据包的大小，以及流量数据的5元组信息；

(5)流量监测模块将经解析的流量数据传送给流量分析模块，由其根据预定规则进行分析和判断，寻找结果异常的流量数据；

(6)风险评估模块汇总流量分析模块和远程扫描模块的信息，并结合信息录入进行整体的安全评估，输出安全评估的结果。

3.根据权利要求2所述的方法，其特征在于，所述步骤(3.1)中，在执行弱口令扫描之前，首先联网确认弱口令库的更新情况；如弱口令库有新版本，则先进行弱口令库的更新，再执行弱口令扫描。

4.根据权利要求2所述的方法，其特征在于，所述步骤(3.2)中，在执行原理性探测之前，先联网确认PoC探测脚本库的更新情况；如PoC探测脚本库有新版本，则先进行PoC探测脚本库的更新，再执行原理性探测。

5.根据权利要求2所述的方法，其特征在于，步骤(4)中所述流量数据的5元组信息是指：源IP地址、源端口、目的IP地址、目的端口、传输层协议。

6.根据权利要求2所述的方法，其特征在于，所述步骤(6)中，在进行整体的安全评估时，具体包括下述分析评估项目：

(1)管理人员录入的信息是否包括：物联网设备的IP地址、开放的端口号、服务器的IP地址、开放的端口号、责任人名单和联系方式；有无进行安全防护、采用的防护方式、遇到安全事件的过往记录；

(2)管理人员录入信息是否与远程扫描结果、流量分析结果一致；

(3)远程扫描结果是否存在未知的开放端口和服务；

(4)远程开放的端口是否存在弱口令；

(5)远程开放的服务是否有PoC脚本验证出的漏洞，以及漏洞的危害等级；

(6)流量数据是否存在未知的5元组信息；

(7)物联网设备是否被DDoS攻击；

(8)物联网设备是否对外进行DDoS攻击；

(9)物联网设备是否存在C&C外联；

(10)弱口令库和PoC脚本库是否能够联网更新。