【技术实现步骤摘要】
本申请涉及物联网安全技术,特别涉及基于语义感知策略自生成的物联网自防御方法及装置。
技术介绍
1、随着物联网带来的可访问性、高效性和便捷性,物联网设备的安全也遇到了挑战,一旦物联网设备存在风险极大的安全漏洞,则会影响整个物联网的安全。
2、目前,通常使用传统网络设备的安全规则集来防御物联网设备存在的漏洞。但是,物联网设备,在体系结构、资源约束、通信机制等方面与传统网络设备存在差异,而这种差异会使得传统网络设备的安全规则集不支持物联网协议比如mqtt、coap、amqp等协议,进而无法防御物联网设备存在的漏洞。
技术实现思路
1、本申请实施例提供了基于语义感知策略自生成的物联网自防御方法及装置,以保障物联网的安全。
2、本申请实施例提供了一种基于语义感知策略自生成的物联网自防御方法,该方法包括:
3、基于物联网中传输的数据流,收集流量特征;所述流量特征至少包括:所述数据流所应用的协议的协议信息、操作系统信息、设备标识;所述操作系统信息包括所述数据流的源设备和/或目的设备加载的操作系统的信息;所述设备标识用于指示所述数据流的源设备和/或目的设备;
4、若通过所述协议信息识别到对应的协议漏洞文本信息,则对所述协议漏洞文本信息进行语义识别得到协议漏洞语义信息;所述协议漏洞语义信息包括至少一个协议漏洞词袋,不同协议漏洞词袋包括引起协议漏洞的不同信息;和/或,
5、若通过所述操作系统信息识别到对应的操作系统漏洞文本信息,则对所述操作系
6、若通过所述设备标识识别到对应的设备漏洞文本信息,则对所述设备漏洞文本信息进行语义识别得到设备漏洞语义信息;所述设备漏洞语义信息包括至少一个设备漏洞词袋,不同设备漏洞词袋包括引起设备漏洞的不同信息;
7、依据协议漏洞语义信息和/或操作系统漏洞语义信息和/或设备漏洞语义信息,生成所述流量特征匹配的且用于防御漏洞的漏洞防御规则;所述漏洞防御规则被用于下发至漏洞防御设备,以消除基于协议漏洞语义信息引起的协议漏洞、和/或基于操作系统漏洞语义信息引起的操作系统漏洞、和/或基于设备漏洞语义信息引起的设备漏洞。
8、本申请实施例提供了一种基于语义感知策略自生成的物联网自防御装置,该装置包括:漏洞识别模块、语义识别模块、以及漏洞防御规则模块;
9、漏洞识别模块,用于基于物联网中传输的数据流,收集流量特征;所述流量特征至少包括:所述数据流所应用的协议的协议信息、操作系统信息、设备标识;所述操作系统信息包括所述数据流的源设备和/或目的设备加载的操作系统的信息;所述设备标识用于指示所述数据流的源设备和/或目的设备;以及,基于所述流量特征识别漏洞文本信息;
10、语义识别模块,若漏洞识别模块通过所述协议信息识别到对应的协议漏洞文本信息,则对所述协议漏洞文本信息进行语义识别得到协议漏洞语义信息;所述协议漏洞语义信息包括至少一个协议漏洞词袋,不同协议漏洞词袋包括引起协议漏洞的不同信息;和/或,
11、若漏洞识别模块通过所述操作系统信息识别到对应的操作系统漏洞文本信息,则对所述操作系统漏洞文本信息进行语义识别得到操作系统漏洞语义信息;所述操作系统漏洞语义信息包括至少一个操作系统漏洞词袋,不同操作系统漏洞词袋包括引起操作系统漏洞的不同信息;和/或,
12、若漏洞识别模块通过所述设备标识识别到对应的设备漏洞文本信息,则对所述设备漏洞文本信息进行语义识别得到设备漏洞语义信息;所述设备漏洞语义信息包括至少一个设备漏洞词袋,不同设备漏洞词袋包括引起设备漏洞的不同信息;
13、漏洞防御规则模块,用于依据协议漏洞语义信息和/或操作系统漏洞语义信息和/或设备漏洞语义信息,生成所述流量特征匹配的且用于防御漏洞的漏洞防御规则;所述漏洞防御规则被用于下发至漏洞防御设备,以消除基于协议漏洞语义信息引起的协议漏洞、和/或基于操作系统漏洞语义信息引起的操作系统漏洞、和/或基于设备漏洞语义信息引起的设备漏洞。
14、本申请实施例提供了一种电子设备,该电子设备包括:处理器、机器可读存储介质;
15、所述机器可读存储介质上存储有若干计算机指令,所述计算机指令被处理器执行时,能够实现如上所述的方法。
16、由以上技术方案可以看出,本申请中,通过物联网中数据流的流量特征比如操作系统、设备标识、协议信息等的解析,基于语义感知识别出可能存在的漏洞,自动生成用于防御该漏洞的漏洞防御规则以由各漏洞防御设备基于漏洞防御规则防御漏洞,实现潜在安全风险自发现自防御,实现了及时防御物联网设备存在的漏洞,保障物联网的安全;
17、进一步地,本实施例这种潜在安全风险自发现自防御的方式,能够解决物联网设备原生防御能力低,无人值守安全风险高的问题,大幅降低传统应急响应人力成本。
本文档来自技高网...【技术保护点】
1.一种基于语义感知策略自生成的物联网自防御方法,其特征在于,该方法包括:
2.根据权利要求1所述的方法,其特征在于,所述流量特征还包括:所述数据流的源地址和目的地址;
3.根据权利要求1所述的方法,其特征在于,所述对所述协议漏洞文本信息进行语义识别得到协议漏洞语义信息包括:
4.根据权利要求1所述的方法,其特征在于,所述生成所述流量特征匹配的且用于防御漏洞的漏洞防御规则进一步包括:对协议漏洞语义信息和/或操作系统漏洞语义信息和/或设备漏洞语义信息进行签名操作得到漏洞签名;和/或,
5.根据权利要求1所述的方法,其特征在于,在所述漏洞防御规则被下发至漏洞防御设备由漏洞防御设备执行对应的防御操作后,该方法进一步包括:
6.一种基于语义感知策略自生成的物联网自防御装置,其特征在于,该装置包括:漏洞识别模块、语义识别模块、以及漏洞防御规则模块;
7.根据权利要求6所述的装置,其特征在于,所述流量特征还包括:所述数据流的源地址和目的地址;语义识别模块进一步通过分析所述数据流的源地址和目的地址确定所述数据流的流向,基于
8.根据权利要求6所述的装置,其特征在于,所述对所述协议漏洞文本信息进行语义识别得到协议漏洞语义信息包括:
9.根据权利要求6所述的装置,其特征在于,在所述漏洞防御规则被下发至漏洞防御设备由漏洞防御设备执行对应的防御操作后,漏洞识别模块进一步通过采集物联网中数据流识别出风险漏洞,以及,基于所述流量特征识别漏洞文本信息;
10.一种电子设备,其特征在于,该电子设备包括:处理器、机器可读存储介质;
...【技术特征摘要】
1.一种基于语义感知策略自生成的物联网自防御方法,其特征在于,该方法包括:
2.根据权利要求1所述的方法,其特征在于,所述流量特征还包括:所述数据流的源地址和目的地址;
3.根据权利要求1所述的方法,其特征在于,所述对所述协议漏洞文本信息进行语义识别得到协议漏洞语义信息包括:
4.根据权利要求1所述的方法,其特征在于,所述生成所述流量特征匹配的且用于防御漏洞的漏洞防御规则进一步包括:对协议漏洞语义信息和/或操作系统漏洞语义信息和/或设备漏洞语义信息进行签名操作得到漏洞签名;和/或,
5.根据权利要求1所述的方法,其特征在于,在所述漏洞防御规则被下发至漏洞防御设备由漏洞防御设备执行对应的防御操作后,该方法进一步包括:
6.一种基于语义感知策略自生成的物联网自防御装置,其特征在于,该装置包括:漏洞...
【专利技术属性】
技术研发人员:王滨,周少鹏,管晓宏,王旭,王伟,吴昊,王星,朱伟康,毕志城,李超豪,张峰,
申请(专利权)人:杭州海康威视数字技术股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。