抽样流量下物联网设备蠕虫受害节点的发现方法及系统技术方案

技术编号:16042527 阅读:40 留言:0更新日期:2017-08-20 00:54
本发明专利技术公开了抽样流量下物联网设备蠕虫受害节点的发现方法及系统,包括:基于抽样流量对监控对象设备的访问数据进行监控;基于访问数据查找监控对象设备访问目标设备的远程服务端口信息;如果所述远程服务端口信息存在,则反向探测监控对象设备远程服务端口的开启状态;如果所述监控对象设备远程服务端口打开,则探测所述监控对象设备的常用端口并登录预设端口,获取返回信息;基于满足判断条件的返回信息,判断监控对象设备为物联网设备的蠕虫受害节点。解决现有技术中检测物联网设备蠕虫受害节点的方法占用大量资源,检测效率不高的问题。

【技术实现步骤摘要】
抽样流量下物联网设备蠕虫受害节点的发现方法及系统
本专利技术涉及计算机网络安全
,更具体地涉及抽样流量下物联网设备蠕虫受害节点的发现方法及系统。
技术介绍
随着智能家居等物联网设备的蓬勃发展,在线物联网设备大幅增加,因该类设备一般没有经过严格的安全设计,物联网设备逐渐成为了黑客入侵的对象,路由器、网络摄像头、DVR等物联网设备逐步成为了木马、蠕虫等恶意代码传播的载体,但安全防护或恶意代码发现方法却未能跟上恶意代码传播的脚步,恶意代码对其注入、进而利用其进行攻击比攻击桌面操作系统容易的多,故监控、发现物联网设备的恶意代码传播,进而防护成为了网络安全相关产品的新方向。蠕虫病毒是一种常见的计算机病毒,它利用网络进行复制和传播,传染途径是通过网络和电子邮件,若通过网络流量发现被感染的蠕虫设备一般需要对大量的流量环境进行监控,如监控A设备传播B设备,B设备传播C设备,才可确定B设备是被感染节点。这种检测物联网设备蠕虫受害节点的方法会占用大量资源,检测效率不高。
技术实现思路
为了解决上述技术问题,提供了根据本专利技术的抽样流量下物联网设备蠕虫受害节点的发现方法及系统。根据本专利技术的第一方面,提供了抽样流量下物联网设备蠕虫受害节点的发现方法。该方法包括:基于抽样流量对监控对象设备的访问数据进行监控;基于访问数据查找监控对象设备访问目标设备的远程服务端口信息;如果所述远程服务端口信息存在,则反向探测监控对象设备远程服务端口的开启状态;如果所述监控对象设备远程服务端口打开,则探测所述监控对象设备的常用端口并登录预设端口,获取返回信息;基于满足判断条件的返回信息,判断监控对象设备为物联网设备的蠕虫受害节点。在一些实施例中,所述反向探测监控对象设备远程服务端口的开启状态,包括:对监控对象设备远程服务端口进行端口扫描,所述扫描包括手工扫描、软件扫描。在一些实施例中,所述判断条件中包括授权信息、提示信息。在一些实施例中,所述提示信息是登录预设端口产生的,包括登录设备名称、路由器标识。在一些实施例中,所述授权信息中的设备标识信息包括HuaweiHomeGateway、ZNID24xx-Router、DahuaRtsp。根据本专利技术的第二方面,提供抽样流量下物联网设备蠕虫受害节点的发现系统,包括:监控模块,用于基于抽样流量对监控对象设备的访问数据进行监控;查找模块,用于基于访问数据查找监控对象设备访问目标设备的远程服务端口信息;反向探测模块,用于如果所述远程服务端口信息存在,则反向探测监控对象设备远程服务端口的开启状态;返回模块,用于如果所述监控对象设备远程服务端口打开,则探测所述监控对象设备的常用端口并登录预设端口,获取返回信息;判断模块,用于基于满足判断条件的返回信息,判断监控对象设备为物联网设备的蠕虫受害节点。在一些实施例中,所述反向探测监控对象设备远程服务端口的开启状态,包括:对监控对象设备远程服务端口进行端口扫描,所述扫描包括手工扫描、软件扫描。在一些实施例中,所述判断条件中包括授权信息、提示信息。在一些实施例中,所述提示信息是登录预设端口产生的,包括登录设备名称、路由器标识。在一些实施例中,所述授权信息中的设备标识信息包括HuaweiHomeGateway、ZNID24xx-Router、DahuaRtsp。本专利技术所提供的技术方案,在抽样流量环境下发现物联网设备的受害节点,可在抽样流量下进行探测,减少了在大流量环境下进行探测的时间、空间复杂度,流量基数小且判断速度快,一个连接信息即可判断物联网设备蠕虫受害节点,与在大量网络流量环境下进行蠕虫受害节点检测相比,更便捷、更快速,大大提高了检测效率。附图说明为了更清楚地说明本专利技术的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本专利技术中记载的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。图1为根据本专利技术实施例的抽样流量下物联网设备蠕虫受害节点的发现方法的流程图;图2为根据本专利技术实施例的抽样流量下物联网设备蠕虫受害节点的发现系统的框图。具体实施方式下面参照附图对本专利技术的优选实施例进行详细说明,在描述过程中省略了对于本专利技术来说是不必要的细节和功能,以防止对本专利技术的理解造成混淆。虽然附图中显示了示例性实施例,然而应当理解,可以以各种形式实现本专利技术而不应被这里阐述的实施例所限制。相反,提供这些实施例是为了能够更透彻地理解本公开,并且能够将本专利技术的范围完整的传达给本领域的技术人员。本专利技术提供的方法是在抽样流量环境下,通过探测及登录远程登录服务端口来判断监控对象设备是否为物联网设备,进一步可判定该物联网设备是蠕虫受害节点。图1示出了根据本专利技术实施例的抽样流量下物联网设备蠕虫受害节点的发现方法的流程图。如图1所示,方法包括如下步骤:S110,获取监控对象设备在预定时间内的抽样流量。抽样流量可以从获取到的大量流量中截取一部分,比如从电信、联通等运营商监控到的一个月的流量数据中,截取某一天的数据进行监控,预定时间可以设定成时间段。S120,基于抽样流量对监控对象设备的访问数据进行监控。访问数据中可以包括访问对象、访问时间、行为特征信等息。S130,基于访问数据查找监控对象设备访问目标设备的远程服务端口信息。以远程访问端口为查找条件,一个端口就是一个潜在的通信通道,也就是一个入侵通道。如发现监控对象设备访问目标设备的远程服务端口,其中远程服务端口包括23、22、3389、3306、1433等。S140,如果远程服务端口信息存在,则反向探测监控对象设备远程服务端口的开启状态。反向探测监控对象设备远程服务端口的开启状态,包括对监控对象设备远程服务端口进行端口扫描,其中,扫描的方法很多,可以是手工进行扫描,也可以用端口扫描软件进行扫描。S150,如果监控对象设备远程服务端口打开,则探测监控对象设备的常用端口并登录预设端口,获取返回信息,若未打开则返回步骤S130,对下一个满足条件的监控对象设备进行探测。S160,基于满足判断条件的返回信息,判断监控对象设备为物联网设备的蠕虫受害节点。判断条件中包括授权信息、提示信息。通过探测监控对象设备的物联网设备常用端口,得到探测返回的授权信息进而判断物联网设备,可判定的授权信息,授权信息中的设备标识信息包括HuaweiHomeGateway、ZNID24xx-Router、DahuaRtsp等。如:WWW-Authenticate:Digestrealm=\"HuaweiHomeGateway\"、WWW-Authenticate:Basicrealm=\"ZNID24xx-Router、WWW-Authenticate:Basicrealm=\"DahuaRtsp等。通过登录预设端口(如23端口)返回的提示信息查看是否为物联网设备,相应提示信息包括登录设备名称、路由器标识等,如:23|tcp|telnet:DLINKlogin:、23|tcp|telnet:xDSLRouter\r\nLogin:等。通过探测及登录预设端口的提示信息判断监控对象设备是否为物联网设备,进而可判定监控对象设备为物联网设备的蠕虫受害节点。进一步的,可以记录监控对象设备的信息,比如IP本文档来自技高网...
抽样流量下物联网设备蠕虫受害节点的发现方法及系统

【技术保护点】
抽样流量下物联网设备蠕虫受害节点的发现方法,其特征在于,包括:基于抽样流量对监控对象设备的访问数据进行监控;基于访问数据查找监控对象设备访问目标设备的远程服务端口信息;如果所述远程服务端口信息存在,则反向探测监控对象设备远程服务端口的开启状态;如果所述监控对象设备远程服务端口打开,则探测所述监控对象设备的常用端口并登录预设端口,获取返回信息;基于满足判断条件的返回信息,判断监控对象设备为物联网设备的蠕虫受害节点。

【技术特征摘要】
1.抽样流量下物联网设备蠕虫受害节点的发现方法,其特征在于,包括:基于抽样流量对监控对象设备的访问数据进行监控;基于访问数据查找监控对象设备访问目标设备的远程服务端口信息;如果所述远程服务端口信息存在,则反向探测监控对象设备远程服务端口的开启状态;如果所述监控对象设备远程服务端口打开,则探测所述监控对象设备的常用端口并登录预设端口,获取返回信息;基于满足判断条件的返回信息,判断监控对象设备为物联网设备的蠕虫受害节点。2.根据权利要求1所述的方法,其特征在于,所述反向探测监控对象设备远程服务端口的开启状态,包括:对监控对象设备远程服务端口进行端口扫描,所述扫描包括手工扫描、软件扫描。3.根据权利要求1所述的方法,其特征在于,所述判断条件中包括授权信息、提示信息。4.根据权利要求3所述的方法,其特征在于,所述提示信息是登录预设端口产生的,包括登录设备名称、路由器标识。5.根据权利要求3所述的方法,其特征在于,所述授权信息中的设备标识信息包括HuaweiHomeGateway、ZNID24xx-Router、DahuaRtsp。6.抽样流量下物联网设备蠕虫受害节点的...

【专利技术属性】
技术研发人员:康学斌徐艺航肖新光
申请(专利权)人:深圳市安之天信息技术有限公司
类型:发明
国别省市:广东,44

网友询问留言 已有0条评论
  • 还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。

1