本发明专利技术涉及网络安全,旨在提供一种物联网自适应安全防护方法及系统。该种物联网自适应安全防护方法包括事前预测阶段、监控阶段、响应阶段和防护阶段,通过对物联网设备进行安全防护和行为监控,由物联网态势感知平台对数据进行统一汇总异常分析,结合外部安全数据输入,感知海量物联网设备的安全弱点、异常威胁及非法接入等安全情况。本发明专利技术通过统一的物联网安全态势感知与管控平台,实现从实时防护、监控分析、事件响应到风险预测,建立一套自适应的安全防护架构,最终达到安全响应的闭环,解决单点防御措施可能存在被绕过的安全问题。
【技术实现步骤摘要】
一种物联网自适应安全防护方法及系统
本专利技术是关于网络安全领域,特别涉及一种物联网自适应安全防护方法及系统。
技术介绍
物联网设备的核心技术通常有可跟踪、可监控、可连接等几个方面,尤其是智能设备,这决定了其特点通常有分散化、规模庞大、边界模糊等方面,极易受到黑客攻击和利用,因此,其在安全方面也面临各种的风险,比如软件或系统漏洞被利用、系统弱口令或无口令、身份伪造被恶意利用、非法接入带来隐私泄露等。如图1所示,传统的安全检测手段都是通过网闸、防火墙、入侵防御等单一检测和防护手段,无法针对零日漏洞利用攻击和高级威胁进行安全防护,在出现系统被入侵的情况下,也难以及时处置和事后追溯。当前,物联网的安全防护主要是基于边界隔离或是入侵防御等方式,这些拦截和防护主要是依靠特征或者策略控制的,但是很难实现完全的防护效果,高级的新型威胁可以很容易绕过这些防护机制。当前针对物联网的安全防护主要是依靠黑白名单或特征识别来发现异常,通常是采用预先内置的策略,这些策略是基于经验和之前发现的漏洞形成的,仅能识别和阻断已知威胁,在应对一些零日漏洞(零日漏洞:最新发现的未修复的系统弱点)利用攻击时可能失效,尤其是在应对跳板攻击和高级持续攻击时,很容易被利用和发现弱点,难以形成完善的安全防护能力,甚至在系统被入侵之后也难以及时发现和进行追溯处置。
技术实现思路
本专利技术的主要目的在于克服现有技术中的不足,提供一种通过统一的物联网管控平台,利用对物联网设备的数据进行采集、分析、响应和控制,实现从实时防护、监控分析、事件响应到风险预测,建立一套自适应的安全防护架构方法及系统。为解决上述技术问题,本专利技术的解决方案是:提供一种物联网自适应安全防护方法,包括下述步骤:步骤(1):事前预测阶段,通过外部威胁情报源对内部防护策略进行补充和同步,结合内部资产的安全评估,发现物联网的风险和弱点,并采取智能分析的方法发现网络中的隐蔽威胁;步骤(2):监控阶段,对物联网系统进行持续安全监控,采用对比分析的方式发现异常行为;步骤(3):响应阶段,利用监控阶段发现的异常行为,判断物联网系统的内部资产是否已被入侵,若内部资产已被入侵,则对该内部资产进行处置并追溯攻击来源;提取异常行为的特征数据形成新的策略数据,并同步到该内部资产的防护模块中更新策略;步骤(4):防护阶段,对于响应阶段更新策略数据的内部资产,识别与该内部资产处在同区域网络环境中的其他物联网资产,并将新增的策略数据同步到这些资产的防护模块中进行策略更新,用于实现物联网系统的整体安全防护;所述同区域网络环境是指在同一交换机或者同一虚拟网络区域下的网络环境(即同一逻辑区域的网络环境)。在本专利技术中,所述步骤(1)中,事前预测阶段具体包括下述子步骤:步骤A:与外部威胁情报源(专用的用于识别异常威胁的安全产品)建立通道,持续接收最新的威胁情报数据;所述威胁情报数据包括IP、MD5和恶意特征,用于应对新型网络攻击行为;步骤B:对物联网资产进行周期性安全评估(周期可配置,优选5分钟),提前发现资产的弱点和风险(弱口令和漏洞等),并针对发现的弱点和风险,及时更新物联网的内部防护策略;步骤C:收集物联网中各类型的数据(网络、进程等),并通过对数据进行智能分析(根据不同数据类型的变化、趋势和关联关系,形成变化的规律统计图),预测针对物联网的新型网络攻击行为。在本专利技术中,所述步骤(2)中,监控阶段具体包括下述子步骤:步骤D:通过物联网传感器,周期性获取物联网系统的数据,包括进程、网络和文件数据;步骤E:对数据变化(当前数据相对于历史数据的变化,包括新增数据或者变更数据)进行对比,将变化数据进行标签化:如果变化数据在黑名单列表中,则直接将该变化数据标记恶意行为,如果不在黑名单中进入下一步;所述黑名单是指用于判断恶意行为的黑名单IP列表;步骤F:绘制进程、网络和文件数据关系图,如果变化数据在同区域网络环境中的其他资产均无出现(即这些资产均无该数据),则将该变化数据标记为可疑;所述进程、网络和文件数据关系图是指:基于物联网系统内部的资产关系,以及变化数据出现的概率,对应生成的变化数据关系图;步骤G:如果处于同一行为的关系链中的网络、进程和文件数据,其中任意两类数据均为可疑,则判断该行为是异常行为。在本专利技术中,所述步骤(3)中,响应阶段具体包括下述子步骤:步骤H:对监控阶段判定的异常行为进行分析,如果该异常行为的发起者是物联网系统的内部资产,则判断该内部资产已被入侵;步骤I:对步骤H判定为已被入侵的资产,首先进行断网处置,查看具体被入侵的方式,分析相关的进程和文件,对恶意的进程和后门程序进行删除,然后对攻击入侵的来源进行追溯,确认是否来自内部:如果是来自内部,则对攻击源进行杀毒处置;如果不是来自内部,则将攻击源的IP加入黑名单;步骤J:对于响应阶段处理后的异常行为,提取异常行为的特征数据,若该特征数据不在物联网的内部防护策略中,则利用该特征数据形成新的策略数据,并同步到该内部资产的防护模块中更新策略。在本专利技术中,提取的异常行为的特征数据,包括攻击源IP、恶意进程、病毒MD5文件;所述防护模块中的策略包括黑名单、防护进程策略特征库和恶意样本MD5列表;利用异常行为的特征数据形成的策略数据,并同步到该内部资产的防护模块中,具体是指:将特征数据中的攻击源IP则加入策略的黑名单,将特征数据中的恶意进程则加入策略的防护进程策略特征库,将特征数据中的病毒MD5文件则加入策略的恶意样本MD5列表。提供一种存储设备,其中存储有多条指令,所述指令适用于由处理器加载并执行:上述物联网自适应安全防护方法。提供一种物联网自适应安全防护系统,包括处理器,适于实现各指令;以及存储设备,适于存储多条指令,所述指令适用于由处理器加载并执行:上述物联网自适应安全防护方法。本专利技术的工作原理:通过采集模块对物联网设备进行安全防护和行为监控,包含网络、进程和文件等类型数据,由物联网态势感知平台对数据进行统一汇总异常分析,结合外部安全数据输入,感知海量物联网设备的安全弱点、异常威胁及非法接入等安全情况,实现控制指令下发和安全管控,基于自适应安全架构,做到针对物联网设备安全的防护、分析、响应和预测。本专利技术的关键点是基于物联网设备监控数据防护、分析、响应和预测形成自适应的安全防护架构。与现有技术相比,本专利技术的有益效果是:本专利技术通过统一的物联网安全态势感知与管控平台,实现从实时防护、监控分析、事件响应到风险预测,建立一套自适应的安全防护架构,最终达到安全响应的闭环,解决单点防御措施可能存在被绕过的安全问题。本专利技术能及时发现和预测网络中的安全风险,提升物联网设备的安全防护能力。附图说明图1为传统的安全检测手段流程图。图2为本专利技术的阶段示意图。图3为本专利技术的检测流程图。具体实施方式下面结合附图与具体实施方式对本专利技术作进一步详细描述:如图2、图3所示的一种物联网自适应安全防护方法,通过传感器数据采集、日志监控和流量分析对物联网设备进行监控,包含物联网设备内部数据、防护设备日志、远程安全监测等方式,获取物联网设备的行为和状态等数据,把这些数据统一发送到管控平台,由管控平台对数据进行解析分类,对告警数据加入威胁列表,对行为数据进行分析,发现异常攻击行为,并将攻击行为或外部威胁情报本文档来自技高网...
【技术保护点】
1.一种物联网自适应安全防护方法,其特征在于,包括下述步骤:步骤(1):事前预测阶段,通过外部威胁情报源对内部防护策略进行补充和同步,结合内部资产的安全评估,发现物联网的风险和弱点,并采取智能分析的方法发现网络中的隐蔽威胁;步骤(2):监控阶段,对物联网系统进行持续安全监控,采用对比分析的方式发现异常行为;步骤(3):响应阶段,利用监控阶段发现的异常行为,判断物联网系统的内部资产是否已被入侵,若内部资产已被入侵,则对该内部资产进行处置并追溯攻击来源;提取异常行为的特征数据形成新的策略数据,并同步到该内部资产的防护模块中更新策略;步骤(4):防护阶段,对于响应阶段更新策略数据的内部资产,识别与该内部资产处在同区域网络环境中的其他物联网资产,并将新增的策略数据同步到这些资产的防护模块中进行策略更新,用于实现物联网系统的整体安全防护;所述同区域网络环境是指在同一交换机或者同一虚拟网络区域下的网络环境。
【技术特征摘要】
1.一种物联网自适应安全防护方法,其特征在于,包括下述步骤:步骤(1):事前预测阶段,通过外部威胁情报源对内部防护策略进行补充和同步,结合内部资产的安全评估,发现物联网的风险和弱点,并采取智能分析的方法发现网络中的隐蔽威胁;步骤(2):监控阶段,对物联网系统进行持续安全监控,采用对比分析的方式发现异常行为;步骤(3):响应阶段,利用监控阶段发现的异常行为,判断物联网系统的内部资产是否已被入侵,若内部资产已被入侵,则对该内部资产进行处置并追溯攻击来源;提取异常行为的特征数据形成新的策略数据,并同步到该内部资产的防护模块中更新策略;步骤(4):防护阶段,对于响应阶段更新策略数据的内部资产,识别与该内部资产处在同区域网络环境中的其他物联网资产,并将新增的策略数据同步到这些资产的防护模块中进行策略更新,用于实现物联网系统的整体安全防护;所述同区域网络环境是指在同一交换机或者同一虚拟网络区域下的网络环境。2.根据权利要求1所述的一种物联网自适应安全防护方法,其特征在于,所述步骤(1)中,事前预测阶段具体包括下述子步骤:步骤A:与外部威胁情报源建立通道,持续接收最新的威胁情报数据;所述威胁情报数据包括IP、MD5和恶意特征,用于应对新型网络攻击行为;步骤B:对物联网资产进行周期性安全评估,提前发现资产的弱点和风险,并针对发现的弱点和风险,及时更新物联网的内部防护策略;步骤C:收集物联网中各类型的数据,并通过对数据进行智能分析,预测针对物联网的新型网络攻击行为。3.根据权利要求1所述的一种物联网自适应安全防护方法,其特征在于,所述步骤(2)中,监控阶段具体包括下述子步骤:步骤D:通过物联网传感器,周期性获取物联网系统的数据,包括进程、网络和文件数据;步骤E:对数据变化进行对比,将变化数据进行标签化:如果变化数据在黑名单列表中,则直接将该变化数据标记恶意行为,如果不在黑名单中进入下一步;所述黑名单是指用于判断恶意行为的黑名单IP列表;步骤F:绘制进程、网络和文件数据关系图,如果变化数据在同...
【专利技术属性】
技术研发人员:王辉,范渊,
申请(专利权)人:杭州安恒信息技术股份有限公司,
类型:发明
国别省市:浙江,33
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。