基于虚拟威胁分发的物联网安全评估方法、装置及系统制造方法及图纸

本申请提供一种基于虚拟威胁分发的物联网安全评估方法、装置及系统，该方法包括：获取待评估物联网系统IP地址网段；对于任一待评估物联网系统IP地址网段，依据该物联网系统IP地址网段生成待扫描子网段；对所述待扫描子网段进行扫描，确定所述待扫描子网段中的目标终端设备；对于任一目标终端设备，向该目标终端设备注入目标命令，以使该目标终端设备依据所述目标命令下载并加载与本设备的操作系统框架匹配的虚拟威胁软件；依据所收集的待评估物联网系统中各目标终端设备的安全评估基础数据，对待评估物联网系统进行安全评估。该方法可以在对物联网环境无损害的情况下，实现物联网环境的安全评估。境的安全评估。境的安全评估。

【技术实现步骤摘要】
基于虚拟威胁分发的物联网安全评估方法、装置及系统


[0001]本申请涉及信息安全
，尤其涉及一种基于虚拟威胁分发的物联网安全评估方法、装置及系统。

技术介绍

[0002]随着物联网技术的发展，物联网规模日益扩大，随之而来的物联网安全事件日益增多，物联网被攻击现象频繁发生。
[0003]在物联网基础设施安全方面，需要能进行安全评估，以找出安全问题，以便提前采取措施。
[0004]如何针对物联网系统实现安全评估，成为亟需解决的技术问题。

技术实现思路

[0005]有鉴于此，本申请提供一种基于虚拟威胁分发的物联网安全评估方法、装置及系统。
[0006]具体地，本申请是通过如下技术方案实现的：根据本申请实施例的第一方面，提供一种基于虚拟威胁分发的物联网安全评估方法，应用于中心服务器，所述方法包括：获取待评估物联网系统IP地址网段；对于任一待评估物联网系统IP地址网段，依据该物联网系统IP地址网段生成待扫描子网段；对所述待扫描子网段进行扫描，确定所述待扫描子网段中的目标终端设备；其中，所述目标终端设备为开放指本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于虚拟威胁分发的物联网安全评估方法，其特征在于，应用于中心服务器，所述方法包括：获取待评估物联网系统IP地址网段；对于任一待评估物联网系统IP地址网段，依据该物联网系统IP地址网段生成待扫描子网段；对所述待扫描子网段进行扫描，确定所述待扫描子网段中的目标终端设备；其中，所述目标终端设备为开放指定公共服务端口和/或存在指定可利用安全问题的物联网终端设备；所述指定公共服务端口为无需授权即可访问的公共服务端口，所述指定可利用安全问题为可获取终端命令执行权限的安全问题；对于任一目标终端设备，向该目标终端设备注入目标命令，以使该目标终端设备依据所述目标命令下载并加载与本设备的操作系统框架匹配的虚拟威胁软件；其中，所述虚拟威胁软件在该目标终端设备中运行的过程中，通过该目标终端设备收集该目标终端设备的安全评估基础数据并回传中心服务器；依据所收集的待评估物联网系统中各目标终端设备的安全评估基础数据，对待评估物联网系统进行安全评估。2.根据权利要求1所述的方法，其特征在于，所述安全评估基础数据包括：设备数据、网络拓扑数据、安全问题数据、弱口令数据中的部分或全部；所述依据所收集的待评估物联网系统中各目标终端设备的安全评估基础数据，对待评估物联网系统进行安全评估，包括：在所述安全评估基础数据包括设备数据的情况下，依据所收集的待评估物联网系统中各目标终端设备的安全评估基础数据，确定待评估物联网系统的设备感染率；其中，所述设备数据包括IP地址，所述设备感染率包括所述目标终端设备的IP地址的数量与待扫描设备的IP地址的总数的比例；和/或，在所述安全评估基础数据包括网络拓扑数据的情况下，依据所收集的待评估物联网系统中各目标终端设备的安全评估基础数据，确定待评估物联网系统的感染网络位置；和/或，在所述安全评估基础数据包括安全问题数据和/或弱口令数据的情况下，依据所收集的待评估物联网系统中各目标终端设备的安全评估基础数据，确定待评估物联网系统的问题类型；其中，在确定了待评估物联网系统的设备感染率的情况下，所述方法还包括：依据所述待评估物联网系统的设备感染率，确定所述待评估物联网系统的安全防护等级；其中，所述待评估物联网系统的安全防护等级与所述待评估物联网系统的设备感染率负相关；和/或，在确定了待评估物联网系统的感染网络位置的情况下，所述方法还包括：依据所述待评估物联网系统的感染网络位置，确定所述待评估物联网系统的风险点。3.一种基于虚拟威胁分发的物联网安全评估方法，其特征在于，应用于终端设备，所述方法包括：
接收目标命令；其中，所述目标命令由中心服务器在对待扫描子网段进行扫描，确定所述终端设备为所述待扫描子网段中的目标终端设备的情况下，向所述终端设备注入；所述待扫描子网段由所述中心服务器依据获取到的待评估物联网IP地址网段生成；或，所述目标命令由所述目标终端设备在对本目标终端设备关联的待扫描地址进行扫描，并确定所述终端设备为新的目标终端设备的情况下，向所述终端设备注入；所述目标终端设备为开放指定公共服务端口和/或存在指定可利用安全问题的物联网终端设备；所述指定公共服务端口为无需授权即可访问的公共服务端口，所述指定可利用安全问题为可获取终端命令执行权限的安全问题；依据所述目标命令下载并加载与本设备的操作系统框架匹配的虚拟威胁软件，并运行所述虚拟威胁软件，以收集本设备的安全评估基础数据并回传中心服务器；其中，所述安全评估基础数据用于所述中心服务器对待评估物联网系统进行安全评估。4.根据权利要求3所述的方法，其特征在于，所述虚拟威胁软件在所述终端设备中运行的过程中，所述方法还包括：确定与所述终端设备关联的待扫描地址，通过对所述待扫描地址进行扫描，确定新的目标终端，并向新的目标终端设备注入所述目标命令。5.根据权利要求4所述的方法，其特征在于，与所述终端设备关联的待扫描地址，包括：依据所述终端设备的IP地址和子网掩码，确定的与所述终端设备的IP地址处于同一子网的其它IP地址；或，依据所述终端设备的地址解析协议ARP表和/或路由表，确定的所述终端设备的ARP表和/或路由表中记录的、处于存活状态的IP地址。6.根据权利要求4所述的方法，其特征在于，所述方法还包括：接收中心服务器下发的已感染终端设备的IP地址信息；其中，所述已感染终端设备IP地址信息由所述中心服务器依据上报了安全评估基础数据的终端设备的IP地址信息统计得到；所述已感染终端设备为上报了安全评估基础数据的终端设备；与所述终端设备关联的扫描地址，包括：与所述终端设备的IP地址处于同一子网，且不属于已感染终端设备的IP地址的其它IP地址；或，所述终端设备...

【专利技术属性】
技术研发人员：周少鹏，王滨，朱伟康，王旭，毕志城，张峰，李超豪，
申请(专利权)人：杭州海康威视数字技术股份有限公司，
类型：发明
国别省市：