一种基于制造技术

一种基于

【技术实现步骤摘要】
一种基于Wazuh的ThingsBoard物联网网络态势感知的方法


[0001]本专利技术涉及物联网
，具体涉及一种基于
Wazuh
的
ThingsBoard
物联网网络态势感知的方法
。

技术介绍

[0002]随着物联网（
IoT
）的快速发展，各种设备和物体被连接到互联网，构成了庞大的物联网网络
。
然而，这种广泛的连接也引发了严重的网络安全问题，传统的网络安全方法在物联网环境下往往难以应对
。
物联网设备通常具有资源有限
、
操作系统多样以及分布式部署等特点，这使得传统的安全解决方案变得不够灵活和高效
。
[0003]传统的入侵检测系统（
IDS
）可以用于检测网络流量中的异常行为，但往往无法对物联网设备内部的异常情况进行准确监测
。
另一方面，一些专门的
IoT
安全平台可以进行设备管理和访问控制，但缺乏对网络实时状态的全面感知
。

技术实现思路

[0004]本专利技术为了克服以上技术的不足，提供了一种能够更准确地识别潜在威胁，减少误报率的物联网网络态势感知的方法
。
[0005]本专利技术克服其技术问题所采用的技术方案是：一种基于
Wazuh
的
ThingsBoard
物联网网络态势感知的方法，包括：实时采集物联网设备产生的数据，数据包括：日志数据
、<br/>网络流量
、
系统指标数据；利用
Wazuh
系统的规则引擎对采集的物联网设备产生的数据进行威胁检测，威胁检测包括：异常流量检测
、
弱密码检测
、
恶意软件扫描
、
设备漏洞检测
、
数据异常检测
、
指令篡改检测
、
地理位置异常检测；根据威胁检测，
Wazuh
系统生成对应的安全事件和警报；将检测到的安全事件存储到数据库中；通过
ThingsBoard
平台，将数据库中的数据以图表或图像的形式进行可视化展示，
Wazuh
系统的数据接入通过
ThingsBoard
的流程引擎实现对接
。
[0006]优选的，通过部署
Wazuh
系统代理实时采集物联网设备的日志数据
、
网络流量
、
系统指标数据
。
[0007]进一步的，异常流量检测的方法为：使用开源入侵检测系统
Suricata
并结合随机森林算法对物联网设备产生的数据进行异常流量检测
。
[0008]进一步的，弱密码检测的方法为：使用
OWASP Passfault
对物联网设备产生的数据进行密码策略检查，检查密码是否符合安全策略
。
[0009]进一步的，恶意软件扫描的方法为：使用
ClamAV
作为恶意软件扫描引擎对物联网设备产生的数据进行扫描，检测恶意软件
。
[0010]进一步的，设备漏洞检测的方法为：使用
Nessus
对物联网设备产生的数据进行定期扫描，检测已知漏洞
。
[0011]进一步的，数据异常检测的方法为：使用
Isolation Forest
算法构建模型；通过傅里叶变换提取频率域信息，捕捉物联网设备产生的数据的周期性和频率特征，得到频域特征；提取物联网设备产生的数据的均值
、
标准差
、
中位数，得到基本统计特征；对物联网设备产生的数据的类别型特征进行编码，得到编码或标签化特征；将物联网设备产生的数据的源
IP
和目标
IP
组合为联合特征，得到交叉特征；模型随机选择频域特征
、
基本统计特征
、
编码或标签化特征
、
叉特征和分割点来构建二叉树进行数据异常检测
。
[0012]进一步的，指令篡改检测的方法为：使用
RSA
或
HMAC
数字签名和加密算法使物联网设备产生的数据进行加密
。
[0013]进一步的，地理位置异常检测的方法为：使用
GPS
模块
、IP
地理位置库定期获取物理网设备的地理位置，将获取的地理位置与预设范围进行比对，如果获取的地理位置在预设范围之外则触发报警
。
[0014]进一步的，
Wazuh
系统生成对应的安全事件和警报的方法为：
Wazuh
系统通过安全规则对物联网设备产生的数据进行监控，当数据与规则匹配时，触发规则匹配；当规则匹配发生时，
Wazuh
系统触发一个事件，该事件包含于匹配规则的
ID、
规则名称
、
时间戳；触发事件传递给
Wazuh
系统的事件处理器；
Wazuh
系统根据规则的分类和事件的属性将事件分类为指定的威胁类型；
Wazuh
系统将相同类型的多次触发的事件进行聚合，当事件被聚合或该事件为需要通知管理员的事件时，
Wazuh
系统生成相应的告警
。
[0015]本专利技术的有益效果是：将开源安全监控平台
Wazuh
与开源
IoT
平台
ThingsBoard
相结合，实现了对物联网网络的综合性态势感知
。
通过
Wazuh
的数据采集和威胁检测，能够全面监测物联网设备的状态和安全威胁，为网络安全提供全面保障
。
具有以下优点：实时监测与响应：能够实时监测设备状态，迅速响应潜在威胁，保障物联网网络安全
。
[0016]多维分析：通过多种数据源的综合分析，提升威胁检测的准确性，降低误报率
。
[0017]可视化展示：通过图表
、
图像等可视化形式，使用户直观地了解网络态势，更好地做出决策
。
[0018]数据自动处理：引入流程引擎，实现数据的自动化处理和分发，提升系统的灵活性
。
[0019]开源平台：采用开源平台，降低开发和维护成本，促进社区合作和创新
。
具体实施方式
[0020]下面对本专利技术做进一步说明
。
[0021]一种基于
Wazuh
的
ThingsBoard
物联网网络态势感知的方法，包括：实时采集物联网设备产生的数据，数据包括：日志数据
、
网络流量
、
系统指标数据
。
[0022]利用
Wazuh<本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.
一种基于
Wazuh
的
ThingsBoard
物联网网络态势感知的方法，其特征在于，包括：实时采集物联网设备产生的数据，数据包括：日志数据
、
网络流量
、
系统指标数据；利用
Wazuh
系统的规则引擎对采集的物联网设备产生的数据进行威胁检测，威胁检测包括：异常流量检测
、
弱密码检测
、
恶意软件扫描
、
设备漏洞检测
、
数据异常检测
、
指令篡改检测
、
地理位置异常检测；根据威胁检测，
Wazuh
系统生成对应的安全事件和警报；将检测到的安全事件存储到数据库中；通过
ThingsBoard
平台，将数据库中的数据以图表或图像的形式进行可视化展示，
Wazuh
系统的数据接入通过
ThingsBoard
的流程引擎实现对接
。2.
根据权利要求1所述的基于
Wazuh
的
ThingsBoard
物联网网络态势感知的方法，其特征在于：通过部署
Wazuh
系统代理实时采集物联网设备的日志数据
、
网络流量
、
系统指标数据
。3.
根据权利要求1所述的基于
Wazuh
的
ThingsBoard
物联网网络态势感知的方法，其特征在于，异常流量检测的方法为：使用开源入侵检测系统
Suricata
并结合随机森林算法对物联网设备产生的数据进行异常流量检测
。4.
根据权利要求1所述的基于
Wazuh
的
ThingsBoard
物联网网络态势感知的方法，其特征在于，弱密码检测的方法为：使用
OWASP Passfault
对物联网设备产生的数据进行密码策略检查，检查密码是否符合安全策略
。5.
根据权利要求1所述的基于
Wazuh
的
ThingsBoard
物联网网络态势感知的方法，其特征在于，恶意软件扫描的方法为：使用
ClamAV
作为恶意软件扫描引擎对物联网设备产生的数据进行扫描，检测恶意软件
。6.
根据权利要求1所述的基于
Wazuh
的
ThingsBoard
物联网网络态势感知的方法，其特征在于，设备漏洞检测的方法为：使用
Nessus
对物...

【专利技术属性】
技术研发人员：王茂帅，
申请(专利权)人：山东新一代信息产业技术研究院有限公司，
类型：发明
国别省市：