一种基于物联网设备的DNS劫持检测方法技术

本发明专利技术公开了一种基于物联网设备的DNS劫持检测方法，包括步骤S100：在物联网设备上安装agent程序采集日志并上传至消息中间件；云端服务器消费中间件消息，分析计算检测结果，并判断是否发生DNS劫持，并保存原始日志。步骤S210：云端服务器从rabbitmq中获取到agent采集的数据后，根据所述设备指纹信息发现资产并判断日志来源；步骤S220：将所述设备指纹信息存入云端服务器的MongoDB，作为设备资产集；步骤S230：进行DNS劫持分析。本发明专利技术从多个维度分析判断，增加了检测的准确性，有效的降低了误报、漏报。

A DNS Hijacking Detection Method Based on Internet of Things Equipment

【技术实现步骤摘要】
一种基于物联网设备的DNS劫持检测方法
本专利技术涉及信息安全
，具体的说，是一种基于物联网设备的DNS劫持检测方法。
技术介绍
物联网(Internetofthings)设备，即IOT设备，随着智能硬件技术的兴起，物联网市场呈现指数级增长态势，大量IOT设备发布，IOT设备很容易受到恶意软件和黑客的攻击，因为IOT设备在性能、运行速度和容量等方面受限，所以设备本身并不集成安全机制。再加上庞大的设备数量，一旦出现有效的恶意攻击，造成的危害将不可小觑。IOT的发展如此迅速，安全如果跟不上必然是不可行的。目前，行业内也出现了众多IOT安全防御平台，针对木马病毒、僵尸网络、DDOS、DNS劫持等网络攻击制定了一系列的安全检测和防护机制。目前IOT安全防御平台检测DNS劫持，主要采用终端解析结果与云端DNS解析结果对比的方法，来判断是否发生DNS劫持事件。但是当云端DNS解析服务器被劫持或者IOT设备与云端分析服务器地理位置相差太大时，有可能出现解析结果不完全或者不一致的情况，从而使检测产生误报或漏报。
技术实现思路
本专利技术的目的在于提供一种基于物联网设备的DNS劫持检测方法，用于解决本文档来自技高网...

【技术保护点】
1.一种基于物联网设备的DNS劫持检测方法，其特征在于，包括：步骤S100：在物联网设备上安装agent程序，agent程序采集日志并上传至消息中间件的agent程序；步骤S200：云端服务器消费中间件消息，分析计算检测结果，并判断是否发生DNS劫持，并保存原始日志。

【技术特征摘要】
1.一种基于物联网设备的DNS劫持检测方法，其特征在于，包括：步骤S100：在物联网设备上安装agent程序，agent程序采集日志并上传至消息中间件的agent程序；步骤S200：云端服务器消费中间件消息，分析计算检测结果，并判断是否发生DNS劫持，并保存原始日志。2.根据权利要求1所述的一种基于物联网设备的DNS劫持检测方法，其特征在于，所述步骤S100具为：Agent程序采用Service形式，作为物联网设备的后台服务进行数据采集，通过mqtt协议定时将消息发送至rabbitmq消息队列，所述数据包括设备指纹信息和终端DNS解析信息，所述设备指纹信息用于资产发现时唯一标识终端资产设备；所述终端DNS解析信息，用于分析是否发生DNS劫持。3.根据权利要求2所述的一种基于物联网设备的DNS劫持检测方法，其特征在于，所述步骤S200包括：步骤S210：云端服务器从rabbitmq中获取到agent采集的数据后，根据所述设备指纹信息发现资产并判断日志来源；步骤S220：将所述设备指纹信息存入云端服务器的MongoDB，作为设备资产集；步骤S230：进行DNS劫持分析，具体包括：步骤A：获取域名和终端DNS解析结果，更新IP_CACHE，所述IP_CACHE用于缓存终端域名被解析为对应IP的历史次数；初始化ip_score＝0；步骤B：判断域名是否在DNS_CACHE中存在，所述DNS_CACHE为云端DNS解析结果缓存；若是，若是进入下一...

【专利技术属性】
技术研发人员：冯其，
申请(专利权)人：四川长虹电器股份有限公司，
类型：发明
国别省市：四川,51