一种基于物联网威胁情报生成和共享系统及方法技术方案

技术编号:21899207 阅读:13 留言:0更新日期:2019-08-17 18:32
本发明专利技术公开了一种基于物联网威胁情报生成和共享方法,包括获取流量分析系统检测到的安全事件以及资产信息;获取终端异常分析系统检测到的安全事件以及资产信息;获取业务分析系统检测到的安全事件、资产信息、账号信息;获取蜜罐分析系统检测到的安全事件;根据所有系统获取到的数据信息自动生成威胁情报;提供多维度查询API进行威胁情报共享。本发明专利技术的方法能够解决目前物联网安全方面威胁情报的生成和共享问题;是以安全事件为基础,并结合安全事件、设备、账号等信息进行威胁情报关联生成;可以针对物联网安全方面事件自动生成相关威胁情报,并对外进行共享。

A Threat Information Generation and Sharing System and Method Based on Internet of Things

【技术实现步骤摘要】
一种基于物联网威胁情报生成和共享系统及方法
本专利技术涉及物联网安全
,特别涉及一种基于物联网威胁情报生成和共享系统及方法。
技术介绍
随着物联网的飞速发展,国家发展进入了智能物联网时代,各种物理环境如家庭、企业办公、工厂生产、交通管理、航空大厅、医院大厅等等,物联网几乎无处不在,物联网安全威胁也越来越多。由于物联网飞速发展,物联网智能设备也是每年成指数级增长,因此对于物联网安全事件也越来越多,但是目前针对复杂的物联网系统却并无统一的威胁情报生成方式,且各系统之间威胁情报相对独立,也存在难以进行物联网威胁情报共享的问题,而原来在物联网方面的威胁情报仅有物联网云端威胁情报信息,且物联网云端威胁情报信息未跟终端设备、账号等信息进行关联,对于物联网终端方面的威胁情报未进行收集和全局统一关联处理,即目前也没有方法可实现对各类物联网环境进行物联网统一威胁情报生成和管理。
技术实现思路
本专利技术的目的是克服上述
技术介绍
中不足,提供一种基于物联网威胁情报生成和共享系统及方法,能够解决目前物联网安全方面威胁情报的生成和共享问题;是以安全事件为基础,并结合安全事件、设备、账号等信息进行威胁情报关联生成;可以针对物联网安全方面事件自动生成相关威胁情报,并对外进行共享。为了达到上述的技术效果,本专利技术采取以下技术方案:一种基于物联网威胁情报生成和共享系统,包括流量异常分析系统、物联网终端异常分析系统、业务异常分析系统、蜜罐分析系统及威胁情报管理系统;所述威胁情报管理系统分别与流量异常分析系统、物联网终端异常分析系统、业务异常分析系统、蜜罐分析系统连接;所述流量异常分析系统用于实现资产发现和物联网终端网络安全风险检测,物联网终端异常分析系统用于实现资产发现和物联网终端行为异常安全风险检测,业务异常分析系统用于实现资产发现和用户异常行为分析,蜜罐分析系统用于通过攻击欺骗分析攻击者攻击手段及物联网资产脆弱性,威胁情报管理系统用于收集其他系统检测到的信息并生成威胁情报以及实现威胁情报共享。进一步地,还包括WEB应用防火墙系统,WEB应用防火墙系统与威胁情报管理系统连接,WEB应用防火墙系统用于实现云端主机防护和安全风险检测。同时,本专利技术还公开了一种基于物联网威胁情报生成和共享方法,由上述的基于物联网威胁情报生成和共享系统实现,且具体包括以下步骤:A.流量异常分析系统将检测到的安全威胁事件以及资产信息并上报至威胁情报管理系统;B.物联网终端异常分析系统将检测到的安全威胁事件以及资产信息并上报至威胁情报管理系统;C.业务异常分析系统将检测到的安全威胁事件、资产信息、账号信息并上报至威胁情报管理系统;D.蜜罐分析系统将检测到的安全威胁事件、资产脆弱性分析结果并上报至威胁情报管理系统;E.威胁情报管理系统根据收到的数据信息自动生成威胁情报;F.威胁情报管理系统通过提供多维度查询的方式进行威胁情报共享。进一步地,所述步骤A具体为:A1.通过流量镜像将待分析流量数据镜像至流量异常分析系统;A2.流量异常分析系统对收到的流量数据进行分析,实现资产发现和物联网终端网络安全风险检测;A3.流量异常分析系统将分析得到的安全威胁事件及资产信息上报威胁情报管理系统;和/或所述步骤B具体为:B1.物联网终端异常分析系统通过终端信息采集agent采集终端指纹信息和行为信息;B2.物联网终端异常分析系统分析采集到的数据信息,实现资产发现和物联网终端行为异常安全风险检测;B3.物联网终端异常分析系统将分析得到的安全威胁事件、资产信息上报威胁情报管理系统;和/或所述步骤C具体为:C1.业务异常分析系统通过分析业务日志或消息日志实现资产发现和和用户异常行为分析;C2.业务异常分析系统将分析得到的安全威胁事件、资产信息上报威胁情报管理系统;和/或所述步骤D具体为:D1.部署于物联网终端网络和物联网云端网络的蜜罐分析系统通过攻击欺骗分析攻击者攻击手段及物联网资产脆弱性;D2.蜜罐分析系统将分析得到的安全威胁事件及资产脆弱性上报威胁情报管理系统。进一步地,所述基于物联网威胁情报生成和共享系统还包括WEB应用防火墙系统,WEB应用防火墙系统与威胁情报管理系统连接,所述步骤E具体分为:E1.WEB应用防火墙系统将检测到的安全威胁事件并上传至威胁情报管理系统;其中,WEB应用防火墙系统具体通过分析云端主机被攻击情况、终端设备攻击情况实现安全威胁事件的检测;E2.威胁情报管理系统根据收到的数据信息自动生成威胁情报。进一步地,所述步骤E2具体包括:E2.1.威胁情报管理系统收集收到的数据信息并生成包含以下内容的情报:资产基础信息、物联网终端网络拓扑、物联网云端网络拓扑、安全事件信息、感知层组件漏洞信息库、网络层组件漏洞信息库、中间件组件漏洞信息库;E2.2.通过对步骤E2.1收集的情报进行信息关联分析得出威胁情报,其中,所述威胁情报至少包含以下内容:IP黑名单、设备黑名单、垃圾账号、风险账号。进一步地,所述资产基础信息至少包含以下信息:物联网终端硬件资产信息、物联网云端硬件资产信息、物联网虚拟资产信息。进一步地,所述物联网终端硬件资产信息包括物联网终端硬件资产的以下信息:mac地址组、SN号、机型、IP地址、开放协议、开放端口、使用协议、资产发现方式、感知层组件、网络层组件、地址位置信息;所述物联网云端硬件资产信息包括物联网云端硬件资产的以下信息:mac地址组、SN、机型、IP地址、开放协议、开放端口、使用协议、资产发现方式、中间件组件;所述物联网虚拟资产信息包括物联网虚拟资产的以下信息:账号、关联物联网终端资产、关联物联网云端资产、账户注册信息、账户登录地址位置信息、账户登录时间、账户登录时长、域名。进一步地,所述步骤E2.2得到的威胁情报还包含以下内容:终端资产风险度、云端资产风险度、活跃资产信息、风险域名、风险IP、低质量账号。进一步地,所述步骤F中多维度查询的方式至少包含从账户、IP、设备、域名的维度的查询方式。本专利技术与现有技术相比,具有以下的有益效果:本专利技术的基于物联网威胁情报生成和共享系统及方法,可有效解决在智能物联网时代物联网安全事件也越来越多,而针对复杂的物联网系统目前无统一的威胁情报生成方式,且各系统之间威胁情报相对独立,难以进行物联网威胁情报共享的技术问题,以及解决各类物联网环境中进行物联网统一威胁情报生成和共享的问题,本专利技术的技术方案是一种以安全事件为基础,结合安全事件、设备、账号等信息进行威胁情报关联生成,并针对物联网安全方面事件自动生成相关威胁情报及对外进行共享;且可以支持多种物联网终端专有协议,从感知层、网络层到应用层,从终端到云端的物联网威胁情报生成和共享。附图说明图1是本专利技术一个实施例的基于物联网威胁情报生成和共享系统的示意图。图2是本专利技术一个实施例的基于物联网威胁情报生成和共享方法的流程示意图。具体实施方式下面结合本专利技术的实施例对本专利技术作进一步的阐述和说明。实施例:实施例一:如图1所示,一种基于物联网威胁情报生成和共享系统,包括流量异常分析系统、物联网终端异常分析系统、业务异常分析系统、蜜罐分析系统、WEB应用防火墙系统及威胁情报管理系统;所述威胁情报管理系统分别与流量异常分析系统、物联网终端异常分析系统、业务异常分析系统、蜜罐分析系统、W本文档来自技高网...

【技术保护点】
1.一种基于物联网威胁情报生成和共享系统,其特征在于,包括流量异常分析系统、物联网终端异常分析系统、业务异常分析系统、蜜罐分析系统及威胁情报管理系统;所述威胁情报管理系统分别与流量异常分析系统、物联网终端异常分析系统、业务异常分析系统、蜜罐分析系统连接;所述流量异常分析系统用于实现资产发现和物联网终端网络安全风险检测,物联网终端异常分析系统用于实现资产发现和物联网终端行为异常安全风险检测,业务异常分析系统用于实现资产发现和用户异常行为分析,蜜罐分析系统用于通过攻击欺骗分析攻击者攻击手段及物联网资产脆弱性,威胁情报管理系统用于收集其他系统检测到的信息并生成威胁情报以及实现威胁情报共享。

【技术特征摘要】
1.一种基于物联网威胁情报生成和共享系统,其特征在于,包括流量异常分析系统、物联网终端异常分析系统、业务异常分析系统、蜜罐分析系统及威胁情报管理系统;所述威胁情报管理系统分别与流量异常分析系统、物联网终端异常分析系统、业务异常分析系统、蜜罐分析系统连接;所述流量异常分析系统用于实现资产发现和物联网终端网络安全风险检测,物联网终端异常分析系统用于实现资产发现和物联网终端行为异常安全风险检测,业务异常分析系统用于实现资产发现和用户异常行为分析,蜜罐分析系统用于通过攻击欺骗分析攻击者攻击手段及物联网资产脆弱性,威胁情报管理系统用于收集其他系统检测到的信息并生成威胁情报以及实现威胁情报共享。2.根据权利要求1所述的一种基于物联网威胁情报生成和共享系统,其特征在于,还包括WEB应用防火墙系统,WEB应用防火墙系统与威胁情报管理系统连接,WEB应用防火墙系统用于实现云端主机防护和安全风险检测。3.一种基于物联网威胁情报生成和共享方法,其特征在于,由权利要求1所述的基于物联网威胁情报生成和共享系统实现,且具体包括以下步骤:A.流量异常分析系统将检测到的安全威胁事件以及资产信息并上报至威胁情报管理系统;B.物联网终端异常分析系统将检测到的安全威胁事件以及资产信息并上报至威胁情报管理系统;C.业务异常分析系统将检测到的安全威胁事件、资产信息、账号信息并上报至威胁情报管理系统;D.蜜罐分析系统将检测到的安全威胁事件、资产脆弱性分析结果并上报至威胁情报管理系统;E.威胁情报管理系统根据收到的数据信息自动生成威胁情报;F.威胁情报管理系统通过提供多维度查询的方式进行威胁情报共享。4.根据权利要求3所述的一种基于物联网威胁情报生成和共享方法,其特征在于,所述步骤A具体为:A1.通过流量镜像将待分析流量数据镜像至流量异常分析系统;A2.流量异常分析系统对收到的流量数据进行分析,实现资产发现和物联网终端网络安全风险检测;A3.流量异常分析系统将分析得到的安全威胁事件及资产信息上报威胁情报管理系统;和/或所述步骤B具体为:B1.物联网终端异常分析系统通过终端信息采集agent采集终端指纹信息和行为信息;B2.物联网终端异常分析系统分析采集到的数据信息,实现资产发现和物联网终端行为异常安全风险检测;B3.物联网终端异常分析系统将分析得到的安全威胁事件、资产信息上报威胁情报管理系统;和/或所述步骤C具体为:C1.业务异常分析系统通过分析业务日志或消息日志实现资产发现和和用户异常行为分析;C2.业务异常分析系统将分析得到的安全威胁事件、资产信息上报威胁情报管理系统;和/或所述步骤D具体...

【专利技术属性】
技术研发人员:文有庆肖建龚致
申请(专利权)人:四川长虹电器股份有限公司
类型:发明
国别省市:四川,51

网友询问留言 已有0条评论
  • 还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。

1