本发明专利技术公开了一种异常访问行为检测方法及装置,至少包括智能设备端和用户端;智能设备端由主动监控模块和被动监控模块组成,智能设备端用于主动向用户端上报收集到的数据信息;用户端由智能设备指纹库,威胁情报库,处理模块,报警模块组成;用户端定期对智能设备端进行状态监控和扫描,用户端的处理模块对智能设备端上传的数据信息进行处理,与威胁情报库的信息进行比对,根据处理结果触发报警模块后,通过短信和/或邮件的方式通知用户。本发明专利技术解决了现有技术中智能设备的网络安全检测不及时、不规范的问题。
【技术实现步骤摘要】
一种异常访问行为检测方法及装置
本专利技术涉及智能设别网络安全
,具体涉及一种异常访问行为检测方法及装置。
技术介绍
物联网,英文名称是:“Internetofthings(IoT)”,已经在各个行业大量应用。然而,物联网的快速发展带来一系列的安全问题,尤其是在线监控设备数量增长迅速,一方面可能会被黑客利用作为海量攻击来源,另一方面,隐私泄漏、身份伪造、弱口令、漏洞利用等也是物联网自身面临的安全威胁。近来,美国、德国互联网接连遭受大规模拒绝服务攻击,给以上国家互联网的稳定运行造成了严重影响。据境外媒体报道,这些攻击都是由摄像头、家用路由器等联网智能设备发起。以视频监控设备、家用路由器和电视机顶盒等为代表的联网智能设备被入侵控制,不但会导致视频影像、个人隐私和用户数据发生泄露,若这些受感染的设备被恶意利用,还将直接危害互联网关键信息基础设施安全,应引起重视。智能设备本身不像手机、笔记本、台式机一样,具有较好的安全监测机制。目前智能设备的安全主要还是依靠设备厂商或者设备使用单位的安全管理人员进行被动维护。一方面智能设备生产厂商发现存在漏洞时,提供在线升级功能或及时通知用户进行手动修复。另一方面,智能设备使用人员根据设备安全规范,关闭不必要的远程服务端口,修复弱口令等问题,定期进行网络安全检测;及时关注设备漏洞信息,做好补丁修复工作,发现设备被植入恶意程序后,开展清理工作。所以需要一种能够在智能设备端提供有效的安全监测的方案。综上所述,现有的智能设备安全检测存在如下的问题:1)依靠安全人员或管理人员的人工干预,定期对智能设备系统进行漏洞扫描或检测并升级,具有一定的滞后性;尤其是对于智能家居类,个人很少对智能设备进行管理,无法即时发现智能设备存在的安全隐患。2)检测维度单一,主要依赖于对智能设备的扫描,对于已经被恶意操控的用户的智能设备,无法提供可靠的检测方案,判断是否已经被控制。
技术实现思路
本专利技术的目的在于提供一种能够在智能设备端提供有效的安全监测的方案,旨在解决现有技术中智能设备的网络安全检测不及时、不规范的问题。本专利技术所采用的技术方案是:一种异常访问行为检测装置,至少包括:智能设备端和用户端;所述智能设备端由主动监控模块和被动监控模块组成,所述智能设备端用于主动向所述用户端上报收集到的数据信息;所述用户端由智能设备指纹库,威胁情报库,处理模块,报警模块组成;用户端定期对智能设备端进行状态监控和扫描,所述用户端的处理模块对智能设备端上传的数据信息进行处理,与威胁情报库的信息进行比对,根据处理结果触发报警模块后,通过短信和/或邮件的方式通知用户。进一步地,所述智能设备指纹库包括的信息有智能设备的硬件厂商类型,硬件平台、操作系统、系统版本、弱口令,所述威胁情报库包扩的信息有最新的系统漏洞、策略库。进一步地,所述智能设备端数据信息收集包括:所述主动监控模块根据监测智能设备行为进行主动信息采集,所述被动监控模块通过网络嗅探技术进行被动信息采集。进一步地,所述智能设备包括数据上报模块,通过所述数据上报模块将主动信息采集和被动信息采集到的数据信息上报到所述用户端进行进一步分析。进一步地,所述主动信息采集包括系统资源使用情况,网络连接状况,系统开放端口,文件系统变化。进一步地,所述被动信息采集包括对智能设备的原始流量进行采集,对采集的原始数据进行初步分析,至少包括分析智能设备的网络流量行为、判断网络流量类型、网络流量是否加密及网络连接数量,将分析后的数据定时上报。还提供一种异常访问行为检测方法,按如下步骤进行:(1)用户端定期对智能设备进行轮询探测;(2)判断智能设备的硬件状态,是否在线、离线或者存在故障,如果智能设备离线或者故障,则发送预警信息;如果在线,则执行下一步;(3)基于智能设备指纹库,对智能设备进行端口扫描和漏洞检测,快速检测智能设备是否存在系统漏洞,弱口令的风险,及时进行预警;(4)处理模块根据安全威胁情报库,对智能设备端上报的数据信息进行特征匹配和异常行为分析,检测智能设备是否存在恶意行为和异常行为,并判断智能设备是否已经被控制,及时进行预警。本专利技术的技术方案相对于现有技术至少具有以下有益的技术效果:1)用户端实时对智能设备进行监测并预警,结合智能设备端Agent上报的数据进行分析,能够检测出智能设备是否已经被恶意控制。2)智能设备端Agent上报数据中,和其他产品的检测方式相比,添加了被动数据采集的维度,增加了准确性、减少误报率。附图说明为了更清楚地说明本专利技术实施例的技术方案,下面将对本专利技术实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面所描述的附图仅仅是本专利技术的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。图1是本专利技术用户端各个模块关系图;图2是本专利技术用户端的处理模块流程示意图;图3是本专利技术现智能设备端处理流程示意图。具体实施方式下面详细描述本专利技术的实施例,所述实施例的示例在附图中示出,其中自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过参考附图描述的实施例是示例性的,旨在用于解释本专利技术,而不能理解为对本专利技术的限制。对于本领域的普通技术人员而言,可以根据具体情况理解上述术语在本专利技术中的具体含义。为了使本专利技术的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本专利技术进行进一步详细说明。本专利技术提供了一种异常访问行为检测装置,至少包括:智能设备端和用户端;智能设备包括家用视频监控设备、家用路由器和电视机顶盒等为代表的家居联网智能设备,用户端可以是手机、电脑、智能手环等。所述智能设备端由主动监控模块和被动监控模块组成,所述智能设备端用于主动向所述用户端上报收集到的数据信息;所述用户端由智能设备指纹库,威胁情报库,处理模块,报警模块组成;用户端定期对智能设备端进行状态监控和扫描,所述用户端的处理模块对智能设备端上传的数据信息进行处理,与威胁情报库的信息进行比对,根据处理结果触发报警模块后,通过短信和/或邮件的方式通知用户,所述报警模块为内置式,不会产生声光信号。进一步地,所述智能设备指纹库包括的信息有智能设备的硬件厂商类型,硬件平台、操作系统、系统版本、弱口令,该信息来自于智能设备产品厂商,所述威胁情报库包扩的信息有最新的系统漏洞、策略库,该信息也可获自产品厂商。进一步地,所述智能设备端数据信息收集包括:所述主动监控模块根据监测智能设备行为进行主动信息采集,所述被动监控模块通过网络嗅探技术进行被动信息采集。进一步地,所述智能设备包括数据上报模块,通过所述数据上报模块将主动信息采集和被动信息采集到的数据信息上报到所述用户端进行进一步分析,具体包括进行特征匹配和异常行为分析。进一步地,所述主动信息采集包括系统资源使用情况,本文档来自技高网...
【技术保护点】
1.一种异常访问行为检测装置,其特征在于,至少包括:智能设备端和用户端;/n所述智能设备端由主动监控模块和被动监控模块组成,所述智能设备端用于主动向所述用户端上报收集到的数据信息;/n所述用户端由智能设备指纹库,威胁情报库,处理模块,报警模块组成;用户端定期对智能设备端进行状态监控和扫描,所述用户端的处理模块对智能设备端上传的数据信息进行处理,与威胁情报库的信息进行比对,根据处理结果触发报警模块后,通过短信和/或邮件的方式通知用户。/n
【技术特征摘要】
1.一种异常访问行为检测装置,其特征在于,至少包括:智能设备端和用户端;
所述智能设备端由主动监控模块和被动监控模块组成,所述智能设备端用于主动向所述用户端上报收集到的数据信息;
所述用户端由智能设备指纹库,威胁情报库,处理模块,报警模块组成;用户端定期对智能设备端进行状态监控和扫描,所述用户端的处理模块对智能设备端上传的数据信息进行处理,与威胁情报库的信息进行比对,根据处理结果触发报警模块后,通过短信和/或邮件的方式通知用户。
2.根据权利要求1所述的一种异常访问行为检测装置,其特征在于,所述智能设备指纹库包括的信息有智能设备的硬件厂商类型,硬件平台、操作系统、系统版本、弱口令,所述威胁情报库包扩的信息有最新的系统漏洞、策略库。
3.根据权利要求1所述的一种异常访问行为检测装置,其特征在于,所述智能设备端数据信息收集包括:所述主动监控模块根据监测智能设备行为进行主动信息采集,所述被动监控模块通过网络嗅探技术进行被动信息采集。
4.根据权利要求3所述的一种异常访问行为检测装置,其特征在于,所述智能设备包括数据上报模块,通过所述数据上报模块将主动信息采集和被动信息采集到的数据信息...
【专利技术属性】
技术研发人员:王鹏翩,黄元飞,杜薇,李晔,张家旺,林星辰,谢印东,季成乐,孙立常,
申请(专利权)人:国家计算机网络与信息安全管理中心,北京无声信息技术有限公司,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。