【技术实现步骤摘要】
基于多模过滤的失陷物联网设备安全检测方法及装置
[0001]本申请涉及物联网领域,尤其涉及基于多模过滤的失陷物联网设备安全检测方法及装置
。
技术介绍
[0002]在物联网中,物联网的入口比较多,攻击者很容易基于物联网的多个入口攻击物联网中的设备(即为物联网设备),被攻击的物联网设备称作失陷物联网设备
。
[0003]失陷物联网设备具有传染性,当其中一个物联网设备被攻击成为失陷物联网设备后,该失陷物联网设备还会攻击物联网中其它物联网设备以使其它物联网设备也成为失陷物联网设备,依次类推,这大大增加物联网的安全风险,因此,在物联网中定位出失陷物联网设备是当前亟待解决的技术问题
。
技术实现思路
[0004]有鉴于此,本申请实施例提供一种基于多模过滤的失陷物联网设备安全检测方法
、
装置及电子设备,以在物联网中定位出失陷物联网设备
。
[0005]根据本申请实施例的第一方面,提供一种基于多模过滤的失陷物联网设备安全检测方法,所述方法应用于网络检测设备,所述方法包括:对经由本地网卡接收的报文进行过滤,以得到符合检测条件的目标数据报文;针对任一目标数据报文,确定该目标数据报文对应的访问方向对;所述访问方向对由该目标数据报文的源
IP
地址和目的
IP
地址组成
、
和
/
或由该目标数据报文的源
IP
地址和目的域名组成;若该目标数据报文对应的访问方向对中的目的>IP
地址与已获得的其中一个恶意
IP
地址匹配,或者,若该目标数据报文携带的访问方向对中的目的域名与已获得的其中一个恶意域名匹配,则当识别出该目标数据报文的源
IP
地址为具备指定属性的物联网设备的
IP
地址时,确定具有该源
IP
地址的物联网设备为失陷物联网设备
。
[0006]根据本申请实施例的第二方面,提供一种基于多模过滤的失陷物联网设备安全检测装置,所述装置应用于网络检测设备,所述装置包括:目标数据报文获得模块,用于对经由本地网卡接收的报文进行过滤,以得到符合检测条件的目标数据报文;匹配模块,用于针对任一目标数据报文,确定该目标数据报文对应的访问方向对;所述访问方向对由该目标数据报文的源
IP
地址和目的
IP
地址组成
、
和
/
或由该目标数据报文的源
IP
地址和目的域名组成;以及,确定目标数据报文对应的访问方向对中的目的
IP
地址与已获得的其中一个恶意
IP
地址是否匹配,或者,该目标数据报文携带的访问方向对中的目的域名与已获得的其中一个恶意域名是否匹配;失陷物联网设备确定模块,用于匹配模块确定出该目标数据报文对应的访问方向对中的目的
IP
地址与已获得的其中一个恶意
IP
地址匹配,或者,该目标数据报文携带的访
问方向对中的目的域名与已获得的其中一个恶意域名匹配,则当识别出该目标数据报文的源
IP
地址为具备指定属性的物联网设备的
IP
地址时,确定具有该源
IP
地址的物联网设备为失陷物联网设备
。
[0007]根据本申请实施例的第三方面,提供一种电子设备,电子设备包括:处理器和存储器;其中,所述存储器,用于存储机器可执行指令;所述处理器,用于读取并执行所述存储器存储的机器可执行指令,以实现如第一方面所述的方法
。
[0008]由以上技术方案可以看出,本申请实施例中,网络检测设备通过对本地网卡接收的报文进行过滤(简称网卡过滤)
、
借助于已获得的恶意
IP
地址和
/
或恶意域名进一步对报文进行过滤(简称恶意信息过滤)
、
以及借助于物联网设备是否具备指定属性过滤掉不具备指定属性的物联网设备(简称设备类型过滤),以实现最终精确定位出失陷物联网设备;进一步地,在本实施例中,网络检测设备通过对本地网卡接收的报文进行过滤(简称网卡过滤),其不需要对物联网中的所有报文进行检测,提高检测效率和速度,节省成本
。
[0009]再进一步地,本实施例借助于物联网设备具备的指定属性来定位失陷物联网设备,其相比于常规地完全依赖于流量来定位,能够在较短时间进行较少的流量解析,节省资源,实现了使用更少的资源完成失陷视频物联网设备的发现
。
附图说明
[0010]图1是本申请实施例示出的物联网设备应用组网示意图
。
[0011]图2是本申请实施例提供的方法流程图
。
[0012]图3是本申请实施例提供的装置图
。
[0013]图4是本申请实施例提供的电子设备示意图
。
具体实施方式
[0014]这里将详细地对示例性实施例进行说明,其示例表示在附图中
。
下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素
。
以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式
。
相反,它们仅是与如所附权利要求书中所详述的
、
本申请的一些方面相一致的装置和方法的例子
。
[0015]在本申请使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本申请
。
在本申请和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义
。
还应当理解,本文中使用的术语“和
/
或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合
。
[0016]应当理解,尽管在本申请可能采用术语第一
、
第二
、
第三等来描述各种信息,但这些信息不应限于这些术语
。
这些术语仅用来将同一类型的信息彼此区分开
。
例如,在不脱离本申请范围的情况下,第一信息也可以被称为第二信息,类似地,第二信息也可以被称为第一信息
。
取决于语境,如在此所使用的词语“如果”可以被解释成为“在
……
时”或“当
……
时”或“响应于确定”。
[0017]接下来对本说明书实施例进行详细说明
。
[0018]如图1所示,图1为本申请实施例示出的物联网设备应用组网示意图
。
在本实施例中,所涉及的物联网设备可为具备指定属性的物联网设备
。
作为一个实施例,这里的指定属性用于指示非主动访问操作
。
所谓非主动访问操作是指不主动向物联网的外部设备或外部域名发送数据报文的操作
。
也即本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.
一种基于多模过滤的失陷物联网设备安全检测方法,其特征在于,所述方法应用于网络检测设备,所述方法包括:对经由本地网卡接收的报文进行过滤,以得到符合检测条件的目标数据报文;针对任一目标数据报文,确定该目标数据报文对应的访问方向对;所述访问方向对由该目标数据报文的源
IP
地址和目的
IP
地址组成
、
和
/
或由该目标数据报文的源
IP
地址和目的域名组成;若该目标数据报文对应的访问方向对中的目的
IP
地址与已获得的其中一个恶意
IP
地址匹配,或者,若该目标数据报文携带的访问方向对中的目的域名与已获得的其中一个恶意域名匹配,则当识别出该目标数据报文的源
IP
地址为具备指定属性的物联网设备的
IP
地址时,确定具有该源
IP
地址的物联网设备为失陷物联网设备
。2.
根据权利要求1所述的方法,其特征在于,该目标数据报文携带访问路径;在确定该目标数据报文对应的访问方向对之前,或者,在所述访问方向对由所述源
IP
地址和目的
IP
地址组成时,若所述访问方向对中的目的
IP
地址与已获得的任一个恶意
IP
地址不匹配;或者,在所述访问方向对由所述源
IP
地址和目的域名组成时,若所述访问方向对中的目的域名与已获得的任一个恶意域名不匹配;或者,在所述访问方向对由所述源
IP
地址和目的
IP
地址
、
以及源
IP
地址和目的域名组成时,若所述访问方向对中的目的
IP
地址与已获得的任一个恶意
IP
地址不匹配
、
且所述访问方向对中的目的域名与已获得的任一个恶意域名不匹配,则该方法进一步包括:若所述访问路径与已获得的其中一个恶意访问路径匹配,则当识别出该目标数据报文的源
IP
地址为具备指定属性的物联网设备的
IP
地址时,确定具有该源
IP
地址的物联网设备为失陷物联网设备
。3.
根据权利要求1或2所述的方法,其特征在于,该方法之前进一步包括:获得物联网中具备指定属性的物联网设备的
IP
地址,得到第一
IP
地址表;所述识别出该目标数据报文的源
IP
地址为具备指定属性的物联网设备的
IP
地址是指:当该目标数据报文的源
IP
地址在所述第一
IP
地址表中,则确定该目标数据报文的源
IP
地址为具备指定属性的物联网设备的
IP
地址
。4.
根据权利要求3所述的方法,其特征在于,所述指定属性用于指示非主动访问操作;所述非主动访问操作是指不主动向物联网的外部设备或外部域名发送数据报文的操作
。5.
根据权利要求1或2所述的方法,其特征在于,在确定出失陷物联网设备之后,该方法进一步包括:将失陷物联网设备的
IP
地址作为失陷
IP
地址并记录,以及,将失陷物联网设备的
IP
地址作为恶意
IP
地址并记录
。6.
根据权利要求1或2所述的方法,其特征在于,在确定出失陷物联网设备之后,所述方法还包括:追溯之前第一设定时间段内发向该失陷物联网设备的第三参考数据报文;所述第三参考数据报文携带的源
IP
地址为已获得的具备所述指定属性的任一个物联网设备的
IP
地址,目的
IP
地址为该失陷物联网设备的
IP
地址;确定所述第三参考数据报文携带的源
IP
地址所对应的物联网设备为失陷物联网设备;或者,追溯之前第一设定时间段内是否存在该失陷物联网设备发送的第四参考数据报文以
及发向该失陷物联网设备的用于响应第四参考数据报文的第五参考数据报文,若存在,确定所述第四参考数据报文携带的目的
IP
地址所对应的物联网设备为失陷物联网设备;所述第四参考数据报文携带的源
IP
地址为该失陷物联网设备的
IP
地址,目的
IP
地址为已获得的具备所述指定属性的任一个物联网设备的
IP
地址;所述第五参考数据报文的源
IP
地址为所述第四参考数据报文的目的
IP
地址,所述第五参考数据报文的目的
IP
地址为所述第四参考数据报文的源
IP
地址
。7.
根据权利要求1或2所述的方法,其特征在于,在确定出失陷物联网设备之后,所述方法还包括:若通过本地网卡接收到第一参考数据报文,所述第一参考数据报文携带的源
IP
地址为该失陷物联网设备的
IP
地址,目的
IP
地址为已获得的具备所述指定属性的任一个物联网设备的
IP
地址,则:当在之后的第二设定段内通过本地网卡接收到第二参考数据报文,则确定所述第一参考数据报文携带的目的
IP
地址所对应的物联网设备为失陷物联网设备;所述第二参考数据报文的源
IP
地址为所述第一参考数据报文的目的
IP
地址,所述第二参考数据报文的目的
IP
地址为所述第一参考数据报文的源
IP
地址
。8.
一种基于多模过滤的失陷物联网设备安全检测装置,其特征在于,所述装置应用于网络检测...
【专利技术属性】
技术研发人员:王滨,刘松,万里,王星,何承润,姜乾慧,张峰,
申请(专利权)人:杭州海康威视数字技术股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。