一种基于物联网终端的网络安全监控方法和装置制造方法及图纸

本发明专利技术公开了一种基于物联网终端的网络安全监控方法和装置，涉及物联网终端安全技术领域，用于对物联网终端进行实时监控，及时发现和处理终端异常和安全威胁情况。该方法包括：获取物联网核心网网元设备接口的流量数据，所述流量数据包括信令数据和用户数据；提取所述流量数据中的特征信息，所述特征信息包括物联网终端信息、访问目的端IP地址、URL地址、域名、传输文件摘要值；判断预设的黑名单列表中是否存在与所述特征信息相匹配的列表内容；若存在，则根据预设的处置策略对所述流量数据进行处理并生成处置日志；将所述处置日志上报至管理端。

A Network Security Monitoring Method and Device Based on Internet of Things Terminal

The invention discloses a network security monitoring method and device based on Internet of Things terminal, which relates to the field of Internet of Things terminal security technology, and is used for real-time monitoring of Internet of Things terminal, timely detection and treatment of terminal abnormalities and security threats. The method includes: acquiring the traffic data of the interface of the network element equipment of the core network of the Internet of Things, which includes signaling data and user data; extracting the characteristic information of the traffic data, which includes the terminal information of the Internet of Things, the IP address of the access destination, the URL address, the domain name and the summary value of the transmission file; and judging whether the preset blacklist list exists or not. The list content matching the feature information is described; if it exists, the traffic data is processed and the disposal log is generated according to the preset disposal strategy; and the disposal log is reported to the management side.

【技术实现步骤摘要】
一种基于物联网终端的网络安全监控方法和装置
本专利技术涉及物联网终端安全
，尤其涉及一种基于物联网终端的网络安全监控方法和装置。
技术介绍
随着物联网技术的发展，物联网应用和终端数量飞速增长，然而由于物联网终端与传统移动终端相比，具有数量大、分布广、无人值守、体积小、安全防护能力差等缺点，因此很容易遭受网络安全威胁和攻击。传统的终端安全防护方式是在终端侧安装防病毒软件，但是由于物联网终端的计算能力和存储空间有限，无法通过在终端侧安装防病毒软件达到安全防护的目的，同时由于多数物联网终端无人值守，也无法及时升级和更新安全防护系统，因此传统的安全防护方式对物联网终端并不适用。
技术实现思路
本专利技术的实施例提供一种基于物联网终端的网络安全监控方法和装置，用于解决现有技术中传统安全防护方式不适用物联网终端的技术问题。为达到解决上述技术问题的目的，本专利技术的实施例采用如下技术方案：第一方面，本专利技术的实施例提供了一种基于物联网终端的网络安全监控方法，该方法包括：获取物联网核心网网元设备接口的流量数据，所述流量数据包括信令数据和用户数据；提取所述流量数据中的特征信息，所述特征信息包括物联网终端信息、访问目的端IP地址、URL地址、域名、传输文件摘要值；判断预设的黑名单列表中是否存在与所述特征信息相匹配的列表内容；若存在，则根据预设的处置策略对所述流量数据进行处理并生成处置日志；将所述处置日志上报至管理端。第二方面，本专利技术的实施例提供了一种基于物联网终端的网络安全监控装置，该装置包括：获取单元，用于获取物联网核心网网元设备接口的流量数据，所述流量数据包括信令数据和用户数据；提取单元，用于提取所述流量数据中的特征信息，所述特征信息包括物联网终端信息、访问目的端IP地址、URL地址、域名、传输文件摘要值；判断单元，用于判断预设的黑名单列表中是否存在与所述特征信息相匹配的列表内容；处理单元，用于若存在，则根据预设的处置策略对所述流量数据进行处理并生成处置日志；上报单元，用于将所述处置日志上报至管理端。第三方面，提供了一种存储一个或多个程序的计算机可读存储介质，所述一个或多个程序包括指令，所述指令当被计算机执行时使所述计算机执行如第一方面所述的基于物联网终端的网络安全监控方法。第四方面，提供了一种包含指令的计算机程序产品，当所述指令在计算机上运行时，使得计算机执行如第一方面所述的基于物联网终端的网络安全监控方法。第五方面，提供一种基于物联网终端的网络安全监控装置，包括：处理器和存储器，存储器用于存储程序，处理器调用存储器存储的程序，以执行上述第一方面所述的基于物联网终端的网络安全监控方法。本专利技术的实施例提供一种基于物联网终端的网络安全监控方法和装置，通过对核心网网元设备的流量数据进行分析判断，得出是否存在恶意威胁的结果，并根据威胁类型进行相应处理。解决了现有技术中存在的无法在物联网终端安装防毒软件的缺点，另外管理端也可以实时掌握数据传输状态，及时下发威胁处理策略。附图说明图1为本专利技术的实施例提供的一种基于物联网终端的网络安全监控方法流程示意图一；图2为本专利技术的实施例提供的一种基于物联网终端的网络安全监控方法流程示意图二；图3为本专利技术的实施例提供的一种基于物联网终端的网络安全监控装置示意图一；图4为本专利技术的实施例提供的一种基于物联网终端的网络安全监控装置示意图二。具体实施方式下面结合附图，对本专利技术的实施例进行描述。本专利技术的实施例提供一种基于物联网终端的网络安全监控方法和装置，该物联网终端包括窄带物联网(NarrowBandInternetofThings,NB-IoT)终端和增强机器类通信(EnhancedMachineTypeofCommunication，eMTC)物联网终端。本专利技术的实施例以NB-IoT终端为例，由于该终端的计算能力和存储空间有限，因此本专利技术的核心思想为从网络侧切入部署安全防护系统，检测物联网核心网网元设备接口的流量数据判断其中是否存在恶意攻击，检测方法包括通过将采集的数据与预设的黑名单列表进行匹配，从而确定该流量数据中是否包含恶意攻击，若存在，则进行相应处理并上报处理结果。参考图1所示，本专利技术的实施例提供了一种基于物联网终端的网络安全监控方法，应用于任意计算机设备，该计算机设备可以是物联网核心网网元设备，也可以是其它计算机设备，该方法包括步骤S101-S105：S101、获取物联网核心网网元设备接口的流量数据。物联网的网络层主要用于将获取的感知信息进行传送和处理，从实现的角度来看，网络层由下而上又分为三层，分别为接入网、核心网和业务网，其中核心网用于完成信息的远距离传输。而网元是网络管理中可以监视和管理的最小单位，因此实时获取物联网核心网网元设备接口处的流量数据作为研究对象，该流量数据包括信令数据和用户数据，信令数据是指控制数据，用户数据是指与用户直接相关的数据。获取流量数据的方法包括通过抓包工具获取数据并保存在pcap格式的文件中。S102、提取该流量数据中的特征信息。通过步骤S101获取了物联网核心网网元设备接口处的流量数据，将该流量数据通过深度数据包检测(DeepPacketInspection，DPI)技术进行分析处理，进而提取特征信息，该特征信息包括物联网终端信息、访问目的端IP地址、统一资源定位符(UniformResourceLocator，URL)地址、域名、传输文件摘要值。S103、判断预设的黑名单列表中是否存在与该特征信息相匹配的列表内容。其中，预设的黑名单列表中保存了大量的含恶意威胁的特征信息列表。通过步骤S102提取出了包含有物联网终端信息、访问目的端IP地址、URL地址、域名、传输文件摘要值的特征信息，遍历该预设的黑名单列表，判断预设的黑名单列表中是否存在与该特征信息相匹配的列表内容。S104、若存在，则根据预设的处置策略对该流量数据进行处理并生成处置日志。若预设的黑名单列表中存在与该特征信息相匹配的列表内容，则进一步判断该流量数据所对应的列表内容的威胁类型，最后根据威胁类型对该流量数据执行封堵、重定向或限流操作，同时生成处置日志。例如对于IP黑名单，需实施封堵操作，防止其继续传输；对于URL地址黑名单需要重新定向。S105、将该处置日志上报至管理端。该处置日志记录了威胁处理的所有信息，将该处置日志通过管理接口上报至管理端，以便管理端掌握物联网传输状态，进而下发相应的策略或新的故障处理方案。该管理端是指具有显示功能的计算机操作终端，可以远程接收物联网终端通过核心网传输的数据。可选的，参考图2，当执行完步骤S103后，若预设的黑名单列表中不存在与该特征信息相匹配的列表内容，则本专利技术实施例还提供了一种基于物联网终端的网络安全监控方法，包括步骤S201-S204：S201、判断预设的白名单列表中是否存在与该特征信息相匹配的列表内容。其中，该预设的白名单列表中保存了不含恶意威胁的特征信息列表。若通过步骤S103得到预设的黑名单列表中不存在与特征信息相匹配的列表内容，则继续判断预设的白名单列表中是否存在与该特征信息相匹配的列表内容，若该预设的白名单列表中存在与特征信息相匹配的列表内容，则程序结束，否则执行步骤S202。S202、若不存在，则通过预设数据分析模型对该流量数据进行流量本文档来自技高网...

【技术保护点】
1.一种基于物联网终端的网络安全监控方法，其特征在于，包括：获取物联网核心网网元设备接口的流量数据，所述流量数据包括信令数据和用户数据；提取所述流量数据中的特征信息，所述特征信息包括物联网终端信息、访问目的端IP地址、URL地址、域名、传输文件摘要值；判断预设的黑名单列表中是否存在与所述特征信息相匹配的列表内容；若存在，则根据预设的处置策略对所述流量数据进行处理并生成处置日志；将所述处置日志上报至管理端。

【技术特征摘要】
1.一种基于物联网终端的网络安全监控方法，其特征在于，包括：获取物联网核心网网元设备接口的流量数据，所述流量数据包括信令数据和用户数据；提取所述流量数据中的特征信息，所述特征信息包括物联网终端信息、访问目的端IP地址、URL地址、域名、传输文件摘要值；判断预设的黑名单列表中是否存在与所述特征信息相匹配的列表内容；若存在，则根据预设的处置策略对所述流量数据进行处理并生成处置日志；将所述处置日志上报至管理端。2.根据权利要求1所述的基于物联网终端的网络安全监控方法，其特征在于，所述判断预设的黑名单列表中是否存在与所述特征信息相匹配的列表内容后，若不存在，则所述方法包括：判断预设的白名单列表中是否存在与所述特征信息相匹配的列表内容；若不存在，则通过预设数据分析模型对所述流量数据进行流量分析以得到分析结果，所述分析结果包括所述流量数据包含恶意威胁或不包含恶意威胁；将所述分析结果上报至管理端。3.根据权利要求2所述的基于物联网终端的网络安全监控方法，其特征在于，所述将所述分析结果上报至管理端后还包括：根据所述分析结果更新所述黑名单列表或白名单列表。4.根据权利要求1所述的基于物联网终端的网络安全监控方法，其特征在于，所述根据预设的处置策略对所述流量数据进行处理并生成处置日志包括：判断所述流量数据所对应的列表内容的威胁类型；根据所述威胁类型对所述流量数据执行封堵、重定向或限流操作，并生成处置日志。5.一种基于物联网终端的网络安全监控装置，其特征在于，包括：获取单元，用于获取物联网核心网网元设备接口的流量数据，所述流量数据包括信令数据和用户数据；提取单元，用于提取所述流量数据中的特征信息，所述特征信息包括物联网终端信息、访问目的端IP地址、URL地址、域名、传输文件摘要值；判...

【专利技术属性】
技术研发人员：张曼君，马铮，高枫，张小梅，朱安南，姜楠，俞播，
申请(专利权)人：中国联合网络通信集团有限公司，
类型：发明
国别省市：北京,11