本发明专利技术公开了一种基于探针技术实现物联网终端威胁检测的方法,包括先进行终端硬件指纹的采集、合成;再进行终端硬件指纹的鉴权、接入;然后进行终端信息采集,并由管理平台分析终端自身安全问题,最后由管理平台下发安全预警,终端执行相对应的安全策略。本发明专利技术的方法可同时解决物联网中设备终端自身安全问题、终端云端交互安全问题、云端自身安全问题,且本发明专利技术可支持多种物联网专用协议,可实现物联网资产的自动发现和管理,并提供及时、动态的防御方式。
A Method of Threat Detection for Internet of Things Terminal Based on Probe Technology
【技术实现步骤摘要】
一种基于探针技术实现物联网终端威胁检测的方法
本专利技术涉及物联网安全
,特别涉及一种基于探针技术实现物联网终端威胁检测的方法。
技术介绍
物联网时代的到来已毋容置疑,各类物联网智能终端在不断涌现并被广泛用于人们工作生活的各个领域里。根据Gartner所发布的调查报告显示:2017年全球物联网设备数量大约84亿,到2020年物联网设备数量将可能超过200亿。由此可见,物联网市场未来的发展空间极为巨大。而作为整个物联网系统架构关键基础设施的物联网智能终端,其是连接现实世界与数字世界的关键节点,因此物联网终端安全的重要性也不言而喻。目前,在物联网环境中,暂时没有较好的方案解决传统边界网络和无边界网络特性的物联网终端设备的安全性问题,且随着物联网设备越来越多,物联网终端安全威胁也越来越多,并且终端设备也越来越复杂,因此同时解决物联网中设备终端自身安全问题、终端云端交互安全问题及云端自身安全等多重问题尤为重要。现有技术中,在物联网终端方面的安全检测有如下方案:资产设备agent方案,该方案在资产设备上安装agent程序,需要资产设备拥有一定的计算能力,存在兼容性差、单独部署安全威胁发现困难等问题,并且该方案在agent策略下发无法差异化。
技术实现思路
本专利技术的目的是克服上述
技术介绍
中不足,提供一种基于探针技术实现物联网终端威胁检测的方法,可同时解决物联网中设备终端自身安全问题、终端云端交互安全问题及云端自身安全等多重问题。为了达到上述的技术效果,本专利技术采取以下技术方案:一种基于探针技术实现物联网终端威胁检测的方法,包括以下步骤:A.在终端agent启动后,对终端agent安全环境进行检测,若通过检测则进入步骤B,否则结束本次检测流程;B.终端agent采集终端硬件信息形成终端硬件指纹;C.服务端以终端硬件指纹为依据,进行终端接入验证,并将验证结果返回给终端后进入步骤D;D.对终端进行鉴权验证,若通过验证则进入步骤E,否则结束本次检测流程;E.在通过鉴权验证的终端,启动威胁检测传感器进行异常信息检测,并在监测到异常信息后进入步骤F;F.终端agent捕获异常数据并将捕获到的异常数据传递给安全管理平台;G.安全管理平台通过人工分析结合智能分析,并结合终端硬件指纹的数据汇总,制定与安全风险对应的安全策略,并将安全策略下发至终端agent;H.终端agent根据安全管理平台下发的安全策略执行对应的操作。进一步地,所述步骤A中对终端agent安全环境进行检测时包括进行签名信息对比、状态调试。进一步地,所述步骤E中威胁检测传感器进行异常信息检测时具体包括以下内容:内核敏感文件监听、内核敏感操作系统进程监听、内核敏感接口调用监听、外设接口调用监听、流量审计、控制应用操作监听。进一步地,所述步骤E具体包括以下步骤:E1.终端agent监测系统文件及目录的更改,当发现有文件被更改、打开、关闭的异常操作时即进入步骤F;E2.终端agent监测用户敏感操作系统进程,当发现有指定进程启动、关闭的异常操作时即进入步骤F;E3.终端agent监测系统敏感接口访问,当发现有系统敏感接口进行短信读取、照片的异常操作访问时即进入步骤F;E4.终端agent监测系统外设的操作,当发现有外设被打开、关闭及主动操作的异常行为时即进入步骤F;E5.终端agent获取对外的tcp连接信息及对指定域名的解析,当连接信息更新或解析数据异常时即进入步骤F;E6.终端agent监测应用程序的操作,当发现应用程序涉及到应用权限、应用安装及卸载的异常操作时即进入步骤F。进一步地,所述步骤H中还包括,若根据安全管理平台下发的安全策略执行对应的操作时,具体操作为重启时,则结束本次检测流程。本专利技术与现有技术相比,具有以下的有益效果:本专利技术的基于探针技术实现物联网终端威胁检测的方法,可有效解决在物联网环境中终端安全威胁监测与防御问题,以及由于物联网终端兼具传统边界网络与无边界网络的特点,难以通过某种设备或者方案发现和防御安全威胁,即通过本专利技术的技术方案可同时解决物联网中设备终端自身安全问题、终端云端交互安全问题、云端自身安全问题,且本专利技术可支持多种物联网专用协议,可实现物联网资产的自动发现和管理,并提供及时、动态的防御方式。附图说明图1是本专利技术的基于探针技术实现物联网终端威胁检测的方法流程示意图。具体实施方式下面结合本专利技术的实施例对本专利技术作进一步的阐述和说明。实施例:实施例一:如图1所示,一种基于探针技术实现物联网终端威胁检测的方法,包括以下步骤:A.在终端agent启动后,对终端agent安全环境进行检测,如包括进行签名信息对比、状态调试等,若通过检测则进入步骤B,否则结束本次检测流程;B.终端agent采集终端硬件信息形成终端硬件指纹;C.服务端以终端硬件指纹为依据,进行终端接入验证,并将验证结果返回给终端后进入步骤D;D.对终端进行鉴权验证,若通过验证则进入步骤E,否则结束本次检测流程;E.在通过鉴权验证的终端,启动威胁检测传感器进行异常信息检测,并在监测到异常信息后进入步骤F;其中,本实施例中,威胁检测传感器进行异常信息检测时具体包括以下内容:内核敏感文件监听、内核敏感操作系统进程监听、内核敏感接口调用监听、外设接口调用监听、流量审计、控制应用操作监听;F.终端agent捕获异常数据并将捕获到的异常数据传递给安全管理平台;G.安全管理平台通过人工分析结合智能分析,并结合终端硬件指纹的数据汇总,制定与安全风险对应的安全策略,并将安全策略下发至终端agent;H.终端agent根据安全管理平台下发的安全策略执行对应的操作,其中,若根据安全管理平台下发的安全策略执行对应的操作时,具体操作为重启时,则结束本次检测流程。作为优选,本实施例的步骤E具体包括以下步骤:E1.终端agent监测系统文件及目录的更改,当发现有文件被更改、打开、关闭的异常操作时即进入步骤F;E2.终端agent监测用户敏感操作系统进程,当发现有指定进程启动、关闭的异常操作时即进入步骤F;E3.终端agent监测系统敏感接口访问,当发现有系统敏感接口进行短信读取、照片的异常操作访问时即进入步骤F;E4.终端agent监测系统外设的操作,当发现有如蓝牙、摄像头等外设被打开、关闭及主动操作的异常行为时即进入步骤F;E5.终端agent获取对外的tcp连接信息及对指定域名的解析,当连接信息更新或解析数据异常时即进入步骤F;E6.终端agent监测应用程序的操作,当发现应用程序涉及到应用权限、应用安装及卸载的异常操作时即进入步骤F。由上可知,本专利技术的基于探针技术实现物联网终端威胁检测的方法,具体方案为先进行终端硬件指纹的采集、合成;再进行终端硬件指纹的鉴权、接入;然后进行终端信息采集,并由管理平台分析终端自身安全问题,最后由管理平台下发安全预警,终端执行相对应的安全策略,因此,本专利技术的方法是一种以数据采集为基础,结合物联网安全管理平台进行行为数据分析;对于物联网终端的威胁态势、安全事件可实现自主发现、识别、分析及策略应对,可同时解决物联网中设备终端自身安全问题、终端云端交互安全问题、云端自身安全问题,且本专利技术可支持多种物联网专用协议,可实现物联网资产的自动发现和管理,并提供及时、动态的防御方式。可本文档来自技高网...
【技术保护点】
1.一种基于探针技术实现物联网终端威胁检测的方法,其特征在于,包括以下步骤:A.在终端agent启动后,对终端agent安全环境进行检测,若通过检测则进入步骤B,否则结束本次检测流程;B.终端agent采集终端硬件信息形成终端硬件指纹;C.服务端以终端硬件指纹为依据,进行终端接入验证,并将验证结果返回给终端后进入步骤D;D.对终端进行鉴权验证,若通过验证则进入步骤E,否则结束本次检测流程;E.在通过鉴权验证的终端,启动威胁检测传感器进行异常信息检测,并在监测到异常信息后进入步骤F;F.终端agent捕获异常数据并将捕获到的异常数据传递给安全管理平台;G.安全管理平台通过人工分析结合智能分析,并结合终端硬件指纹的数据汇总,制定与安全风险对应的安全策略,并将安全策略下发至终端agent;H.终端agent根据安全管理平台下发的安全策略执行对应的操作。
【技术特征摘要】
1.一种基于探针技术实现物联网终端威胁检测的方法,其特征在于,包括以下步骤:A.在终端agent启动后,对终端agent安全环境进行检测,若通过检测则进入步骤B,否则结束本次检测流程;B.终端agent采集终端硬件信息形成终端硬件指纹;C.服务端以终端硬件指纹为依据,进行终端接入验证,并将验证结果返回给终端后进入步骤D;D.对终端进行鉴权验证,若通过验证则进入步骤E,否则结束本次检测流程;E.在通过鉴权验证的终端,启动威胁检测传感器进行异常信息检测,并在监测到异常信息后进入步骤F;F.终端agent捕获异常数据并将捕获到的异常数据传递给安全管理平台;G.安全管理平台通过人工分析结合智能分析,并结合终端硬件指纹的数据汇总,制定与安全风险对应的安全策略,并将安全策略下发至终端agent;H.终端agent根据安全管理平台下发的安全策略执行对应的操作。2.根据权利要求1所述的一种基于探针技术实现物联网终端威胁检测的方法,其特征在于,所述步骤A中对终端agent安全环境进行检测时包括进行签名信息对比、状态调试。3.根据权利要求1所述的一种基于探针技术实现物联网终端威胁检测的方法,其特征在于,所述步骤E中威胁检测传感器进行异常信息检测时具体包括以下...
【专利技术属性】
技术研发人员:何斌,肖建,文有庆,
申请(专利权)人:四川长虹电器股份有限公司,
类型:发明
国别省市:四川,51
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。