CN111163115A - 一种基于双引擎的物联网安全监测方法及*** - Google Patents
一种基于双引擎的物联网安全监测方法及*** Download PDFInfo
- Publication number
- CN111163115A CN111163115A CN202010257576.1A CN202010257576A CN111163115A CN 111163115 A CN111163115 A CN 111163115A CN 202010257576 A CN202010257576 A CN 202010257576A CN 111163115 A CN111163115 A CN 111163115A
- Authority
- CN
- China
- Prior art keywords
- network
- equipment
- engine
- internet
- things
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种基于双引擎的物联网安全监测方法及***,方法包括:预先将探测处置引擎部署于物联网感知层,并将采集分析引擎部署于物联网的网络层;通过探测处置引擎发现并识别物联网的终端设备,获取终端设备的设备信息,并将设备属性及设备状态信息上报至采集分析引擎;采集分析引擎采集网络核心交换机的流量数据,根据流量数据、终端设备的设备信息构建终端设备的网络行为分析模型,运用网络行为分析模型监测异常网络行为,并进行报警和/或阻断操作。本发明通过两类引擎联动,实现终端设备发现识别和风险处置,对分散孤立的物联网终端进行集中管控、行为分析,既提高了行为分析监测的全面性和准确性,又保证了处置效率。
Description
技术领域
本发明涉及物联网安全技术领域,尤其涉及一种基于双引擎的物联网安全监测方法及***。
背景技术
近年来,物联网、大数据和云计算技术的快速发展,万物互联的时代已经来临,基于物联网的应用在各个领域越来越广泛,给当今社会生产和生活方式带来了革命性变化。物联网的结构相对于传统互联网更加复杂,感知层终端设备种类繁多、数量庞大、互联协议多样,更重要的是其延伸性更强,感知层远离核心网络层和应用层。上述特点对基于物联网技术的业务专网的整体安全管理监测提出了更高的要求。
物联网感知层的分散性、延伸性和核心网络层应用层的集中性特点,现有的物联网无法对分散孤立的物联网终端进行集中管控,无法及时对违规的设备及时进行处理。亟需更加灵活和更加针对性的方法,来及时、高效、准确、全面地解决物联网安全问题。
因此现有技术还有待于进一步发展。
发明内容
针对上述技术问题,本发明实施例提供了一种基于双引擎的物联网安全监测方法及***,能够解决现有技术中物联网无法对分散孤立的物联网终端进行集中管控,无法及时对违规的设备及时进行处理的技术问题。
本发明实施例的第一方面提供一种基于双引擎的物联网安全监测方法,所述双引擎包括探测处置引擎和采集分析引擎,包括:
预先将探测处置引擎部署于物联网感知层,并将采集分析引擎部署于物联网的网络层;
通过探测处置引擎发现并识别物联网的终端设备,获取终端设备的设备信息,并将设备属性及设备状态信息上报至采集分析引擎,所述终端设备的设备信息包括IP地址、MAC地址、设备类型、设备厂商、设备型号、操作***、开放端口和风险漏洞;
采集分析引擎采集网络核心交换机的流量数据,根据流量数据、终端设备的设备信息构建终端设备的网络行为分析模型,运用网络行为分析模型监测异常网络行为,并进行报警和/或阻断操作。
可选地,所述通过探测处置引擎发现并识别物联网的终端设备,包括:
探测处置引擎在指定的网络范围内主动发送探测消息,所述探测消息中包含搜寻条件;
获取满足搜寻条件的终端设备返回的消息,完成物联网的终端设备的发现及识别。
可选地,所述获取终端设备的设备信息,包括:
基于网络设备指令,获取网络通信流量;
运用匹配算法对网络通信流量的网络特征进行识别,获取终端设备的设备信息。
可选地,所述采集分析引擎采集网络核心交换机的流量数据,根据流量数据、终端设备的设备信息构建终端设备的网络行为分析模型,包括:
采集分析引擎采集网络核心交换机的流量数据,通过统计、分类、聚类的算法挖掘网络访问行为数据;
根据网络访问行为数据及终端设备的设备信息,构建终端设备的网络行为分析模型。
可选地,所述采集分析引擎监测异常网络行为并执行对应的操作,包括:
运用网络行为分析模型监测异常网络行为,并进行报警和/或阻断操作,包括:
采集分析引擎通过行为分析模型中的网络数据与实际网络数据对比,获取异常网络行为;
通过短信、邮件或监控大屏报警的方式进行预警,和/或对异常网络行为对应的终端设备进行隔断处理。
本发明实施例第二方面提供了一种基于双引擎的物联网安全监测***,所述***包括:存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述计算机程序被所述处理器执行时实现以下步骤:
通过预设的探测处置引擎发现并识别物联网的终端设备,获取终端设备的设备信息,并将设备属性及设备状态信息上报至采集分析引擎,所述终端设备的设备信息包括IP地址、MAC地址、设备类型、设备厂商、设备型号、操作***、开放端口和风险漏洞;
通过预设的采集分析引擎采集网络核心交换机的流量数据,根据流量数据、终端设备的设备信息构建终端设备的网络行为分析模型,运用网络行为分析模型监测异常网络行为,并进行报警和/或阻断操作。
可选地,所述计算机程序被所述处理器执行时还实现以下步骤:
探测处置引擎在指定的网络范围内主动发送探测消息,所述探测消息中包含搜寻条件;
获取满足搜寻条件的终端设备返回的消息,完成物联网的终端设备的发现及识别。
可选地,所述计算机程序被所述处理器执行时还实现以下步骤:
基于网络设备指令,获取网络通信流量;
运用匹配算法对网络通信流量的网络特征进行识别,获取终端设备的设备信息。
可选地,所述计算机程序被所述处理器执行时还实现以下步骤:
采集分析引擎采集网络核心交换机的流量数据,通过统计、分类、聚类的算法挖掘网络访问行为数据;
根据网络访问行为数据及终端设备的设备信息,构建终端设备的网络行为分析模型。
本发明实施例第三方面提供了一种非易失性计算机可读存储介质,其特征在于,所述非易失性计算机可读存储介质存储有计算机可执行指令,该计算机可执行指令被一个或多个处理器执行时,可使得所述一个或多个处理器执行上述的基于双引擎的物联网安全监测方法。
本发明实施例提供的技术方案中,预先将探测处置引擎部署于物联网感知层,并将采集分析引擎部署于物联网的网络层;通过探测处置引擎发现并识别物联网的终端设备,获取终端设备的设备信息,并将设备属性及设备状态信息上报至采集分析引擎;采集分析引擎采集网络核心交换机的流量数据,根据流量数据、终端设备的设备信息构建终端设备的网络行为分析模型,运用网络行为分析模型监测异常网络行为,并进行报警和/或阻断操作。因此相对于现有技术,本发明实施例通过两类引擎联动,实现终端设备的发现识别和风险处置,实现对分散孤立的物联网终端进行集中管控、行为分析。既提高了行为分析监测的全面性和准确性,又保证了针对违规和风险处置的效率。同时还可显著提升物联网业务专网的安全防御性能、异常预警处理能力和灾害防范能力,减少终端和业务故障发生频次,延长设备使用寿命,能节省设施维护成本和维修更换的费用 ,避免资产的浪费和流失;提高设备利用率,减少引入其它安全设备和安全机制的重复支出;同时,设备自动化、智能化程度提升,降低设备维护、安全监测和故障恢复时间和频率,减少人力投入,节省支出费用;提升了业务质量和服务效率,大大增强业务应用的竞争力,获得业务优势,进而带来潜在的经济效益。
附图说明
图1为本发明实施例中一种基于双引擎的物联网安全监测方法的一实施例的流程示意图;
图2为本发明实施例中一种基于双引擎的物联网安全监测***的另一实施例的硬件结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
请参阅图1,图1为本发明实施例中一种基于双引擎的物联网安全监测方法的一个实施例的流程示意图。如图1所示,包括:
步骤S100、预先将探测处置引擎部署于物联网感知层,并将采集分析引擎部署于物联网的网络层;
步骤S200、通过探测处置引擎发现并识别物联网的终端设备,获取终端设备的设备信息,并将设备属性及设备状态信息上报至采集分析引擎,所述终端设备的设备信息包括IP地址、MAC地址、设备类型、设备厂商、设备型号、操作***、开放端口和风险漏洞;
步骤S300、采集分析引擎采集网络核心交换机的流量数据,根据流量数据、终端设备的设备信息构建终端设备的网络行为分析模型,运用网络行为分析模型监测异常网络行为,并进行报警和/或阻断操作。
具体地,物联网层次结构分为三层,自下向上依次是:感知层、网络层和应用层。感知层位于物联网三层的最底层,功能是感知,通过传感网络识别物体、采集信息。网络层位于物联网三层结构中的第二层,其功能为“传送”,即通过通信网络进行信息传输。网络层作为纽带连接着感知层和应用层,它由各种私有网络、互联网、有线和无线通信网等组成,相当于人的神经中枢***,负责将感知层获取的信息,安全可靠地传输到应用层,然后根据不同的应用需求进行信息处理。
通过部署于物联网感知层的探测处置引擎,发现并识别各类物联网终端设备,获取终端设备的设备信息,设备信息包括但限于终端设备的IP地址、MAC地址、设备类型、设备厂商、设备型号、操作***、开放端口以及风险漏洞等属性和状态信息。检测终端设备的运行状态和风险漏洞;探测处置引擎,实现物联网终端设备的自动化配置和动态变更,确保轻量级、自动化、可伸缩地发现识别设备、获取状态及处置违规。发现及识别设备为核心功能,是指在开放环境下感知并识别网络中另一设备终端的过程,在物联网环境下,越来越多的设备处于分散、孤立、难管理的状态,通过发现及识别设备技术能够发现设备,安全识别,实现资源共享和服务获取。在一些实施例中,探测处置引擎可理解为具有探测处置功能的算法的集合。
终端风险漏洞,指物联网设备存在的脆弱性,既有安全配置问题,如缺省密码问题,也有设备漏洞问题,如品牌的摄像头的CVE(Common Vulnerabilities & Exposures,公共漏洞和暴露)漏洞,运用轻量化扫描技术,实现远程,非接触式的风险漏洞评估。
在物联网的核心网络层部署采集分析引擎,采集分析引擎在采集核心网络数据流量的基础上,构建行为分析模型、监测异常网络行为以及下发违规处置指令。采集分析引擎,接收探测处置引擎上报的终端设备的基础信息和状态数据,同时采集核心网络的流量数据并建立终端设备的网络行为分析模型。基于行为分析,采集分析引擎实时监测物联网终端的网络行为,一旦发现非法外联、违规运维、非法业务访问等异常将及时预警,通过短信、邮件或监控大屏报警的方式通知管理员;若需要进一步处置违规设备,采集分析引擎将下发处置指令到探测处置引擎,由探测处置引擎完成异常设备的阻断和隔离。在一些实施例中,采集分析引擎可理解为具有采集分析功能的算法的集合。
由以上可知,本发明的探测处置引擎功能专一,部署灵活,靠近感知层物联网终端,能够快速发现识别设备,获取运行和风险状态,及时完成违规处置;采集分析引擎作为“大脑中枢”,位于核心网络层,集中数据,智能分析,统一管控。并且两类引擎在数量上,可以依据业务专网情况灵活搭配,例如:依据网络拓扑和需要管理的终端设备数量,规划m台探测处置引擎,部署于网络汇聚层,规划n台(n<=m)采集分析引擎,部署于网络核心层,保证发现识别设备的速度以及行为分析处置的效率。
进一步的实施例中,探测处置引擎包括设备发现识别模块、设备状态监测模块和资产管理模块,设备发现识别模块用于自动发现业务专网中硬件设备,识别获取设备的属性信息,并统一上报至采集分析引擎;设备状态监测模块,用于实时监测硬件设备的运行状态,扫描评估设备存在的风险漏洞,并统一上报至采集分析引擎;资产管理模块,用于所有设备的集中管理,按部门、按类型、按操作***等分类统计展现。
采集分析引擎包括网络流量采集模块、机器学习模块、异常行为监测模块和违规处置模块,网络流量采集模块用于采集核心网络的流量数据,并进行格式化处理。作为行为模型构建和行为分析监测的基础数据;
机器学习模块用于挖掘网络访问行为数据,分析行为特征和属性并建立正常的智能分析行为模型,生成安全基线;
异常行为监测模块用于实时监测网络流量,将实际网络行为与智能分析模型进行比对,发现异常网络行为并进行及时预警;
违规处置模块用于针对存在异常行为的设备发出处置指令,处置风险消除隐患。
本发明的技术方案更加科学合理,物联网具有终端繁多、各终端间分散孤立、应用服务集中、访问规模巨大等特点。通过采用双引擎协调联动,探测处置引擎的部署靠近物联网终端,发现识别设备速度快,执行处置指令效率高,采集分析引擎部署靠近网络核心层,对异常网络行为的分析全面准确,很好地解决了上述物联网特点带来的跳板攻击、能量攻击、恶意控制及数据泄露等风险,提高物联网的安全性。
进一步地,通过探测处置引擎发现并识别物联网的终端设备,包括:
探测处置引擎在指定的网络范围内主动发送探测消息,所述探测消息中包含搜寻条件;
获取满足搜寻条件的终端设备返回的消息,完成物联网的终端设备的发现及识别。
具体地,设备发现的方法是:探测处置引擎在指定的网络范围内通过主动发送探测消息以搜寻目标设备,探测消息中包含搜寻条件,满足条件的目标设备在收到该探测消息后将自身属性反馈。
可以依据自定义设置的探测范围,实现自动化、可伸缩地设备发现,还可以基于网络设备指纹,通过获取物联网终端的网络通信流量,运用匹配算法对流量的网络特征进行识别,从而获得主机或者终端相关信息。
进一步地,获取终端设备的设备信息,包括:
基于网络设备指令,获取网络通信流量;
运用匹配算法对网络通信流量的网络特征进行识别,获取终端设备的设备信息。
具体地,探测设备识别的方法是:基于网络设备指纹,通过获取主机或者物联网终端设备的网络通信流量,运用匹配算法对流量的网络特征进行识别,从而获得主机或者终端相关信息。
运用轻量化扫描技术,实现远程,非接触式的运行状态探测和风险漏洞评估。获取物联网设备运行状态信息,以及存在的脆弱性漏洞,既有安全配置问题,如缺省密码问题,也有设备漏洞问题,如品牌的摄像头的CVE(公共漏洞和暴露)漏洞。探测处置引擎将以上两个步骤获取设备属性信息和状态信息进行格式化,并实时上报到采集分析引擎,用于集中分析和统一管理。
风险漏洞包括但不限于弱密码、CVE(公共漏洞和暴露)设备漏洞、预置后门漏洞。
进一步地,采集分析引擎采集网络核心交换机的流量数据,根据流量数据、终端设备的设备信息构建行为分析模型,包括:
采集分析引擎采集网络核心交换机的流量数据,通过统计、分类、聚类的算法挖掘网络访问行为数据;
根据网络访问行为数据及终端设备的设备信息,构建终端设备的网络行为分析模型。
具体实施时,采集分析引擎可以采集物联网业务专网中核心网络数据流量,并进行格式化、归一化处理。
行为分析模型的构建方法是:通过统计、分类、聚类等机器学习和分析方法挖掘网络访问行为数据,分析设备特征和属性,建立正常访问模型。机器学习可通过计算机的手段,利用经验来改善***的自身性能,由经验来产生相应的算法模型,因此行为分析模型能够持续迭代更新。
进一步地,采集分析引擎监测异常网络行为并执行对应的操作,包括:
运用网络行为分析模型监测异常网络行为,并进行报警和/或阻断操作,包括:
采集分析引擎通过行为分析模型中的网络数据与实际网络数据对比,获取异常网络行为;
通过短信、邮件或监控大屏报警的方式进行预警,和/或对异常网络行为对应的终端设备进行隔断处理。
具体实施时,异常网络行为发现的方法是:通过行为模型数据与实际网络数据,发现异常的网络行为和设备,并对终端运行异常、网络流量异常、网络行为异常、业务运行异常等异常行为进行监控和报警,和/或是将异常行为对应的设备进行隔断处理。其中分析过程采用流处理模式,将数据视为流,当源源不断的数据流产生的同时,立刻处理与反馈结果,保障数据的时效性,加快数据处理响应时间。采用MapReduce计算模型,将原始数据分块处理,减少数据传输过程中的多次通信负担,从而加快分析和响应速度。
将异常行为对应的设备进行隔断处理具体为:发现具有异常行为的设备后,为保证业务连续性和数据安全,将此类设备阻断并隔离。阻断指令由采集分析引擎下发,由探测处置引擎执行,因为探测处置引擎更接近终端设备,处置的时效性和准确性更高。探测处置引擎与采集分析引擎的数据通道在启动时自动建立,并通过心跳监测的方式保证其健康状态。
探测处置引擎和采集分析引擎灵活搭配、协调联动。探测处置引擎延伸到物联网感知层,效率高处置快,采集分析引擎位于核心网络层,集中分析统一调度。实现终端层设备的自动保护,提升物联网业务专网的智能分析、异常预警及故障自愈能力,显著提升了物联网安全综合防御能力。
上面对本发明实施例中的基于双引擎的物联网安全监测方法进行了描述,下面对本发明实施例中的基于双引擎的物联网安全监测***进行描述,请参阅图2,图2是本发明实施例中一种基于双引擎的物联网安全监测***的另一实施例的硬件结构示意图,在基于双引擎的物联网安全监测***中的物联网需要预先将探测处置引擎部署于物联网感知层,并将采集分析引擎部署于物联网的网络层。如图2所示,***10包括:存储器101、处理器102及存储在存储器上并可在处理器上运行的计算机程序,计算机程序被处理器101执行时实现以下步骤:
通过预设的探测处置引擎发现并识别物联网的终端设备,获取终端设备的设备信息,并将设备属性及设备状态信息上报至采集分析引擎,所述终端设备的设备信息包括IP地址、MAC地址、设备类型、设备厂商、设备型号、操作***、开放端口和风险漏洞;
通过预设的采集分析引擎采集网络核心交换机的流量数据,根据流量数据、终端设备的设备信息构建终端设备的网络行为分析模型,运用网络行为分析模型监测异常网络行为,并进行报警和/或阻断操作。
具体的实施步骤与方法实施例相同,此处不再赘述。
可选地,计算机程序被处理器101执行时还实现以下步骤:
探测处置引擎在指定的网络范围内主动发送探测消息,所述探测消息中包含搜寻条件;
获取满足搜寻条件的终端设备返回的消息,完成物联网的终端设备的发现及识别。
具体的实施步骤与方法实施例相同,此处不再赘述。
可选地,计算机程序被处理器101执行时还实现以下步骤:
基于网络设备指令,获取网络通信流量;
运用匹配算法对网络通信流量的网络特征进行识别,获取终端设备的设备信息。
具体的实施步骤与方法实施例相同,此处不再赘述。
可选地,计算机程序被处理器101执行时还实现以下步骤:
采集分析引擎采集网络核心交换机的流量数据,通过统计、分类、聚类的算法挖掘网络访问行为数据;
根据网络访问行为数据及终端设备的设备信息,构建终端设备的网络行为分析模型。
具体的实施步骤与方法实施例相同,此处不再赘述。
可选地,计算机程序被处理器101执行时还实现以下步骤:
采集分析引擎通过行为分析模型中的网络数据与实际网络数据对比,获取异常网络行为;
通过短信、邮件或监控大屏报警的方式进行预警,和/或对异常网络行为对应的终端设备进行隔断处理。
具体的实施步骤与方法实施例相同,此处不再赘述。
本发明实施例提供了一种非易失性计算机可读存储介质,计算机可读存储介质存储有计算机可执行指令,该计算机可执行指令被一个或多个处理器执行,例如,执行以上描述的图1中的方法步骤S100至步骤S300。
以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
Claims (10)
1.一种基于双引擎的物联网安全监测方法,其特征在于,所述双引擎包括探测处置引擎和采集分析引擎,包括:
预先将探测处置引擎部署于物联网感知层,并将采集分析引擎部署于物联网的网络层;
通过探测处置引擎发现并识别物联网的终端设备,获取终端设备的设备信息,并将设备属性及设备状态信息上报至采集分析引擎,所述终端设备的设备信息包括IP地址、MAC地址、设备类型、设备厂商、设备型号、操作***、开放端口和风险漏洞;
采集分析引擎采集网络核心交换机的流量数据,根据流量数据、终端设备的设备信息构建终端设备的网络行为分析模型,运用网络行为分析模型监测异常网络行为,并进行报警和/或阻断操作。
2.根据权利要求1所述的基于双引擎的物联网安全监测方法,其特征在于,所述通过探测处置引擎发现并识别物联网的终端设备,包括:
探测处置引擎在指定的网络范围内主动发送探测消息,所述探测消息中包含搜寻条件;
获取满足搜寻条件的终端设备返回的消息,完成物联网的终端设备的发现及识别。
3.根据权利要求2所述的基于双引擎的物联网安全监测方法,其特征在于,所述获取终端设备的设备信息,包括:
基于网络设备指令,获取网络通信流量;
运用匹配算法对网络通信流量的网络特征进行识别,获取终端设备的设备信息。
4.根据权利要求3所述的基于双引擎的物联网安全监测方法,其特征在于,所述采集分析引擎采集网络核心交换机的流量数据,根据流量数据、终端设备的设备信息构建终端设备的网络行为分析模型,包括:
采集分析引擎采集网络核心交换机的流量数据,通过统计、分类、聚类的算法挖掘网络访问行为数据;
根据网络访问行为数据及终端设备的设备信息,构建终端设备的网络行为分析模型。
5.根据权利要求4所述的基于双引擎的物联网安全监测方法,其特征在于,所述运用网络行为分析模型监测异常网络行为,并进行报警和/或阻断操作,包括:
采集分析引擎通过行为分析模型中的网络数据与实际网络数据对比,获取异常网络行为;
通过短信、邮件或监控大屏报警的方式进行预警,和/或对异常网络行为对应的终端设备进行隔断处理。
6.一种基于双引擎的物联网安全监测***,其特征在于,所述***包括:存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述计算机程序被所述处理器执行时实现以下步骤:
通过预设的探测处置引擎发现并识别物联网的终端设备,获取终端设备的设备信息,并将设备属性及设备状态信息上报至采集分析引擎,所述终端设备的设备信息包括IP地址、MAC地址、设备类型、设备厂商、设备型号、操作***、开放端口和风险漏洞;
通过预设的采集分析引擎采集网络核心交换机的流量数据,根据流量数据、终端设备的设备信息构建终端设备的网络行为分析模型,运用网络行为分析模型监测异常网络行为,并进行报警和/或阻断操作。
7.根据权利要求6所述的基于双引擎的物联网安全监测***,其特征在于,所述计算机程序被所述处理器执行时还实现以下步骤:
探测处置引擎在指定的网络范围内主动发送探测消息,所述探测消息中包含搜寻条件;
获取满足搜寻条件的终端设备返回的消息,完成物联网的终端设备的发现及识别。
8.根据权利要求7所述的基于双引擎的物联网安全监测***,其特征在于,所述计算机程序被所述处理器执行时还实现以下步骤:
基于网络设备指令,获取网络通信流量;
运用匹配算法对网络通信流量的网络特征进行识别,获取终端设备的设备信息。
9.根据权利要求8所述的基于双引擎的物联网安全监测***,其特征在于,所述计算机程序被所述处理器执行时还实现以下步骤:
采集分析引擎采集网络核心交换机的流量数据,通过统计、分类、聚类的算法挖掘网络访问行为数据;
根据网络访问行为数据及终端设备的设备信息,构建终端设备的网络行为分析模型。
10.一种非易失性计算机可读存储介质,其特征在于,所述非易失性计算机可读存储介质存储有计算机可执行指令,该计算机可执行指令被一个或多个处理器执行时,可使得所述一个或多个处理器执行权利要求1-5任一项所述的基于双引擎的物联网安全监测方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010257576.1A CN111163115A (zh) | 2020-04-03 | 2020-04-03 | 一种基于双引擎的物联网安全监测方法及*** |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010257576.1A CN111163115A (zh) | 2020-04-03 | 2020-04-03 | 一种基于双引擎的物联网安全监测方法及*** |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN111163115A true CN111163115A (zh) | 2020-05-15 |
Family
ID=70567825
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010257576.1A Pending CN111163115A (zh) | 2020-04-03 | 2020-04-03 | 一种基于双引擎的物联网安全监测方法及*** |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111163115A (zh) |
Cited By (17)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111565390A (zh) * | 2020-07-16 | 2020-08-21 | 深圳市云盾科技有限公司 | 一种基于设备画像的物联网设备风险控制方法及*** |
| CN112565202A (zh) * | 2020-11-18 | 2021-03-26 | 国网江西省电力有限公司信息通信分公司 | 一种用于视频网***的物联网准入网关 |
| CN112597506A (zh) * | 2021-03-08 | 2021-04-02 | 南京怡晟安全技术研究院有限公司 | 物联网设备高效协同安全漏洞评估方法 |
| CN112615873A (zh) * | 2020-12-23 | 2021-04-06 | 苏州三六零智能安全科技有限公司 | 物联网设备安全检测方法、设备、存储介质及装置 |
| CN112653677A (zh) * | 2020-12-13 | 2021-04-13 | 北京哈工信息产业股份有限公司 | 基于物联网终端分类管理***的网路隔离方法 |
| CN112968816A (zh) * | 2021-03-14 | 2021-06-15 | 国网浙江省电力有限公司电力科学研究院 | 通过流量异常检测筛选物联网设备异常的方法及*** |
| CN113259943A (zh) * | 2021-04-28 | 2021-08-13 | 国网江苏省电力有限公司信息通信分公司 | 一种电力无线专网异常流量分析阻断方法及*** |
| CN113313421A (zh) * | 2021-06-24 | 2021-08-27 | 国网辽宁省电力有限公司电力科学研究院 | 一种电力物联网感知层安全风险状态分析方法及*** |
| CN113630415A (zh) * | 2021-08-10 | 2021-11-09 | 工银科技有限公司 | 网络准入控制方法、装置、***、设备、介质和产品 |
| CN113727210A (zh) * | 2021-08-06 | 2021-11-30 | 济南浪潮数据技术有限公司 | 一种设备信息管理方法、***、存储介质及设备 |
| CN113950089A (zh) * | 2021-09-27 | 2022-01-18 | 中电科思仪科技(安徽)有限公司 | 一种楼宇移动蜂窝网络质量实时监测云平台 |
| CN114124436A (zh) * | 2021-09-27 | 2022-03-01 | 广东电力信息科技有限公司 | 一种基于电力物联网泛终端的apn接入可信计算管理*** |
| CN114125849A (zh) * | 2021-11-19 | 2022-03-01 | 江西鑫铂瑞科技有限公司 | 一种工业物联网中的无线通信安全态势感知*** |
| CN114363066A (zh) * | 2022-01-04 | 2022-04-15 | 中国建设银行股份有限公司 | 终端设备的安全接入方法、装置、电子设备和存储介质 |
| CN114598511A (zh) * | 2022-02-24 | 2022-06-07 | 广东电网有限责任公司 | 涉网网络实时监测*** |
| CN115021970A (zh) * | 2022-05-10 | 2022-09-06 | 浙江智尔信息技术有限公司 | 一种适用于物联网大数据中心的数据自适应安全监测方法 |
| CN115277826A (zh) * | 2022-05-23 | 2022-11-01 | 深圳铸泰科技有限公司 | 一种物联网设备的发现方法及*** |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109547455A (zh) * | 2018-12-06 | 2019-03-29 | 南京邮电大学 | 工业物联网异常行为检测方法、可读存储介质和终端 |
| CN109688112A (zh) * | 2018-12-06 | 2019-04-26 | 南京邮电大学 | 工业物联网异常行为检测装置 |
-
2020
- 2020-04-03 CN CN202010257576.1A patent/CN111163115A/zh active Pending
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109547455A (zh) * | 2018-12-06 | 2019-03-29 | 南京邮电大学 | 工业物联网异常行为检测方法、可读存储介质和终端 |
| CN109688112A (zh) * | 2018-12-06 | 2019-04-26 | 南京邮电大学 | 工业物联网异常行为检测装置 |
Non-Patent Citations (1)
| Title |
|---|
| HUANGBO929: "云图视频专网安全监测分析***(VSSA)解决方案", 《HTTPS://BLOG.51CTO.COM/ABOOL/1950340》 * |
Cited By (27)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111565390A (zh) * | 2020-07-16 | 2020-08-21 | 深圳市云盾科技有限公司 | 一种基于设备画像的物联网设备风险控制方法及*** |
| CN112565202A (zh) * | 2020-11-18 | 2021-03-26 | 国网江西省电力有限公司信息通信分公司 | 一种用于视频网***的物联网准入网关 |
| CN112653677B (zh) * | 2020-12-13 | 2021-12-07 | 北京哈工信息产业股份有限公司 | 基于物联网终端分类管理***的网路隔离方法 |
| CN112653677A (zh) * | 2020-12-13 | 2021-04-13 | 北京哈工信息产业股份有限公司 | 基于物联网终端分类管理***的网路隔离方法 |
| CN112615873A (zh) * | 2020-12-23 | 2021-04-06 | 苏州三六零智能安全科技有限公司 | 物联网设备安全检测方法、设备、存储介质及装置 |
| CN112615873B (zh) * | 2020-12-23 | 2022-08-12 | 苏州三六零智能安全科技有限公司 | 物联网设备安全检测方法、设备、存储介质及装置 |
| CN112597506A (zh) * | 2021-03-08 | 2021-04-02 | 南京怡晟安全技术研究院有限公司 | 物联网设备高效协同安全漏洞评估方法 |
| CN112597506B (zh) * | 2021-03-08 | 2021-05-28 | 南京怡晟安全技术研究院有限公司 | 物联网设备高效协同安全漏洞评估方法 |
| CN112968816A (zh) * | 2021-03-14 | 2021-06-15 | 国网浙江省电力有限公司电力科学研究院 | 通过流量异常检测筛选物联网设备异常的方法及*** |
| CN112968816B (zh) * | 2021-03-14 | 2022-05-17 | 国网浙江省电力有限公司电力科学研究院 | 通过流量异常检测筛选物联网设备异常的方法及*** |
| CN113259943B (zh) * | 2021-04-28 | 2022-12-20 | 国网江苏省电力有限公司信息通信分公司 | 一种电力无线专网异常流量分析阻断方法及*** |
| CN113259943A (zh) * | 2021-04-28 | 2021-08-13 | 国网江苏省电力有限公司信息通信分公司 | 一种电力无线专网异常流量分析阻断方法及*** |
| CN113313421A (zh) * | 2021-06-24 | 2021-08-27 | 国网辽宁省电力有限公司电力科学研究院 | 一种电力物联网感知层安全风险状态分析方法及*** |
| CN113727210A (zh) * | 2021-08-06 | 2021-11-30 | 济南浪潮数据技术有限公司 | 一种设备信息管理方法、***、存储介质及设备 |
| CN113727210B (zh) * | 2021-08-06 | 2023-08-22 | 济南浪潮数据技术有限公司 | 一种设备信息管理方法、***、存储介质及设备 |
| CN113630415A (zh) * | 2021-08-10 | 2021-11-09 | 工银科技有限公司 | 网络准入控制方法、装置、***、设备、介质和产品 |
| CN114124436A (zh) * | 2021-09-27 | 2022-03-01 | 广东电力信息科技有限公司 | 一种基于电力物联网泛终端的apn接入可信计算管理*** |
| CN113950089A (zh) * | 2021-09-27 | 2022-01-18 | 中电科思仪科技(安徽)有限公司 | 一种楼宇移动蜂窝网络质量实时监测云平台 |
| CN114124436B (zh) * | 2021-09-27 | 2024-01-16 | 广东电力信息科技有限公司 | 一种基于电力物联网泛终端的apn接入可信计算管理*** |
| CN114125849A (zh) * | 2021-11-19 | 2022-03-01 | 江西鑫铂瑞科技有限公司 | 一种工业物联网中的无线通信安全态势感知*** |
| CN114125849B (zh) * | 2021-11-19 | 2023-05-30 | 江西鑫铂瑞科技有限公司 | 一种工业物联网中的无线通信安全态势感知*** |
| CN114363066A (zh) * | 2022-01-04 | 2022-04-15 | 中国建设银行股份有限公司 | 终端设备的安全接入方法、装置、电子设备和存储介质 |
| CN114598511A (zh) * | 2022-02-24 | 2022-06-07 | 广东电网有限责任公司 | 涉网网络实时监测*** |
| CN114598511B (zh) * | 2022-02-24 | 2024-01-19 | 广东电网有限责任公司 | 涉网网络实时监测*** |
| CN115021970A (zh) * | 2022-05-10 | 2022-09-06 | 浙江智尔信息技术有限公司 | 一种适用于物联网大数据中心的数据自适应安全监测方法 |
| CN115021970B (zh) * | 2022-05-10 | 2023-08-22 | 浙江智尔信息技术有限公司 | 一种适用于物联网大数据中心的数据自适应安全监测方法 |
| CN115277826A (zh) * | 2022-05-23 | 2022-11-01 | 深圳铸泰科技有限公司 | 一种物联网设备的发现方法及*** |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111163115A (zh) | 一种基于双引擎的物联网安全监测方法及*** | |
| US11997113B2 (en) | Treating data flows differently based on level of interest | |
| CN111565390B (zh) | 一种基于设备画像的物联网设备风险控制方法及*** | |
| US20210273953A1 (en) | ENDPOINT AGENT CLIENT SENSORS (cSENSORS) AND ASSOCIATED INFRASTRUCTURES FOR EXTENDING NETWORK VISIBILITY IN AN ARTIFICIAL INTELLIGENCE (AI) THREAT DEFENSE ENVIRONMENT | |
| US11689556B2 (en) | Incorporating software-as-a-service data into a cyber threat defense system | |
| US11818146B2 (en) | Framework for investigating events | |
| US10862918B2 (en) | Multi-dimensional heuristic search as part of an integrated decision engine for evolving defenses | |
| CN114584405B (zh) | 一种电力终端安全防护方法及*** | |
| US11438385B2 (en) | User interface supporting an integrated decision engine for evolving defenses | |
| US20220360597A1 (en) | Cyber security system utilizing interactions between detected and hypothesize cyber-incidents | |
| US9961047B2 (en) | Network security management | |
| US20170288979A1 (en) | Blue print graphs for fusing of heterogeneous alerts | |
| EP4154136A1 (en) | Endpoint client sensors for extending network visibility | |
| US20230239318A1 (en) | Cyber security restoration engine | |
| US20230132703A1 (en) | Capturing Importance In A Network Using Graph Theory | |
| US20240031380A1 (en) | Unifying of the network device entity and the user entity for better cyber security modeling along with ingesting firewall rules to determine pathways through a network | |
| US11157834B2 (en) | Automated identification of higher-order behaviors in a machine-learning network security system | |
| Roponena et al. | Towards a Human-in-the-Loop Intelligent Intrusion Detection System. | |
| WO2023283356A1 (en) | Cyber security system utilizing interactions between detected and hypothesize cyber-incidents | |
| CN115277472A (zh) | 一种多维工控***网络安全风险预警***及方法 | |
| Maasaoui et al. | Network security traffic analysis platform-design and validation | |
| US20240223592A1 (en) | Use of graph neural networks to classify, generate, and analyze synthetic cyber security incidents | |
| CN117527394A (zh) | 一种基于大数据挖掘的通信漏洞检测*** | |
| Herrera et al. | Anomaly detection under cognitive security model | |
| Vigenesh et al. | An Intense Systematic Review of Mobile Agent Based Harmful Threats And Attack Detection Systems in IOT Networks |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20200515 |