本发明专利技术公开了一种IOT僵尸网络检测处理方法,包括:获取待检测设备的检测信息;其中检测信息包括原始流量、访问关系、恶意文件和通讯协议;通过检测信息判断待检测设备是否连接互联网;若连接,则判断检测信息是否与判定规则匹配;若匹配,则确定待检测设备疑似感染IOT僵尸网络,并判断检测信息是否满足失陷规则,若满足失陷规则,则确定待检测设备已感染IOT僵尸网络。本发明专利技术通过对IOT僵尸网络攻击原理进行特征分析,通过引入其他维度来丰富失陷设备发现的依据,从而能够快速发现IOT僵尸网络攻击事件,减少误判的同时提高识别准确率。此外,本发明专利技术还提供了一种IOT僵尸网络检测处理装置、设备及存储介质,同样具有以上有益效果。同样具有以上有益效果。同样具有以上有益效果。
【技术实现步骤摘要】
一种IOT僵尸网络检测处理方法、装置、设备及存储介质
[0001]本专利技术涉及网络安全领域,特别涉及一种IOT(Internet of Things,物体组成的因特网,简称物联网)僵尸网络检测处理方法、装置、设备及存储介质。
技术介绍
[0002]数量如此庞大的物联网网络,一但被黑客攻击,感染病毒一传十,十传百,快速扩散,将造成不可估量的危害。现有的方法对僵尸网络的发现来源单一,基本都是基于已有的僵尸病毒文件特征进行发现,对于未知僵尸病毒并没有很好的方法。实际场景中,僵尸病毒变种众多,无法进行及时的发现,往往发生的IOT僵尸事件都是基于变种病毒,市面上还没有对应的病毒特征文件,进行及时的发现及定位。并不能从根本预防僵尸事件的发生,因此必须引入其他维度来丰富IOT僵尸事件发现的依据,从而能够快速发现IOT僵尸网络攻击事件,并对失陷资产进行预警。
技术实现思路
[0003]有鉴于此,本专利技术的目的在于提供一种IOT僵尸网络检测处理方法、装置、设备及存储介质,解决了现有技术中对IOT僵尸网络的发现来源过于单一导致检测结果不准确的问题。
[0004]为解决上述技术问题,本专利技术提供了一种IOT僵尸网络检测处理方法,包括:
[0005]获取待检测设备的检测信息;其中所述检测信息包括原始流量、访问关系、恶意文件和通讯协议;
[0006]通过所述检测信息判断所述待检测设备是否连接互联网;
[0007]若连接,则判断所述检测信息是否与判定规则匹配;其中所述判定规则为黑名单、威胁情报库、疑似失陷规则中至少一项;
[0008]若匹配,则确定所述待检测设备疑似感染所述IOT僵尸网络,并判断所述检测信息是否满足失陷规则;
[0009]若满足,则确定所述待检测设备已感染所述IOT僵尸网络。
[0010]可选的,所述判断所述检测信息是否与判定规则匹配,当所述判定规则为所述疑似失陷规则时,包括:
[0011]将所述访问关系存在第一预设时间段内与失陷主机进行网络访问作为第一疑似判定结果;
[0012]将所述原始流量存在第二预设时间段内与所述失陷主机进行文件传输作为第二疑似判定结果;
[0013]将所述访问关系存在第三预设时间段内与所述失陷主机进行长链接访问作为第三疑似判定结果;
[0014]若所述检测信息满足所述第一疑似判定结果、所述第二疑似判定结果、所述第三疑似判定结果中的至少一项,则确定所述检测信息与所述判定规则匹配。
[0015]可选的,所述判断所述检测信息是否满足失陷规则,包括:
[0016]将所述原始流量存在对警告设备产生周期性长链接控制作为第一判定结果;
[0017]将所述原始流量在第四预设时间段内访问次数超过预设基线配置数值作为第二判定结果;
[0018]将所述恶意文件存在特定加密头部为rc文件作为第三判定结果;
[0019]将所述通讯协议存在特定指令作为第四判定结果;
[0020]若所述检测信息满足所述第一判定结果、所述第二判定结果、所述第三判定结果、所述第四判定结果中的至少一项,则所述检测信息满足所述失陷规则。
[0021]可选的,所述将所述通讯协议存在特定指令作为第四判定结果,包括:
[0022]将所述通讯协议存在通过irc协议进行邮件传输作为所述第四判定结果。
[0023]可选的,所述获取检测信息,包括:
[0024]获取外置安全心设备和APT设备采集的所述检测信息;其中所述安全心设备采集所述原始流量和所述访问关系,所述APT设备采集所述原始流量、所述恶意文件和所述通讯协议;
[0025]对所述检测信息进行规整。
[0026]可选的,在确定所述待检测设备已感染所述IOT僵尸网络之后,还包括:
[0027]将已感染所述IOT僵尸网络的所述待检测设备确定为失陷设备,并对所述失陷设备进行处置操作。
[0028]本专利技术还提供了一种IOT僵尸网络检测处理装置,包括:
[0029]获取模块,用于获取待检测设备的检测信息;其中所述检测信息包括原始流量、访问关系、恶意文件和通讯协议;
[0030]第一判断模块,用于通过所述检测信息判断所述待检测设备是否连接互联网;
[0031]第二判断模块,用于若连接,则判断所述检测信息是否与判定规则匹配;其中所述判定规则为黑名单、威胁情报库、疑似失陷规则中至少一项;
[0032]第三判断模块,用于若匹配,则确定所述待检测设备疑似感染所述IOT 僵尸网络,并判断所述检测信息是否满足失陷规则;
[0033]确定模块,用于若满足,则确定所述待检测设备已感染所述IOT僵尸网络。
[0034]可选的,还包括:
[0035]处置模块,用于将已感染所述IOT僵尸网络的所述待检测设备确定为失陷设备,并对所述失陷设备进行处置操作。
[0036]本专利技术还提供了一种IOT僵尸网络检测处理设备,包括:
[0037]存储器,用于存储计算机程序;
[0038]处理器,用于执行所述计算机程序时实现上述的IOT僵尸网络检测处理方法的步骤。
[0039]本专利技术还提供了一种存储介质,所述存储介质中存储有计算机程序,所述计算机程序被处理器执行时实现上述的IOT僵尸网络检测处理方法的步骤。
[0040]可见,本专利技术通过对IOT僵尸网络攻击原理进行特征分析,通过原始流量、访问关系、恶意文件、通讯协议并结合内置的判定规则,判定待检测设备是否失陷,成为失陷设备,引入其他维度来丰富失陷设备发现的依据,从而能够快速发现IOT僵尸网络攻击事件,减少
误判的同时,提高识别准确率。
[0041]此外,本专利技术还提供了IOT僵尸网络检测处理装置、设备及存储介质,同样具有上述有益效果。
附图说明
[0042]为了更清楚地说明本专利技术实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本专利技术的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。
[0043]图1为本专利技术实施例提供的IOT僵尸病毒感染路径;
[0044]图2为本专利技术实施例提供的一种IOT僵尸网络检测处理方法流程图;
[0045]图3为本专利技术实施例提供的一种IOT僵尸网络检测处理装置的结构示意图;
[0046]图4为本专利技术实施例提供的一种IOT僵尸网络检测处理设备的结构示意图。
具体实施方式
[0047]为使本专利技术实施例的目的、技术方案和优点更加清楚,下面将结合本专利技术实施例中的附图,对本专利技术实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本专利技术一部分实施例,而不是全部的实施例。基于本专利技术中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本专利技术保护的范围。
[0048]数量如此庞大的物本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种IOT僵尸网络检测处理方法,其特征在于,包括:获取待检测设备的检测信息;其中所述检测信息包括原始流量、访问关系、恶意文件和通讯协议;通过所述检测信息判断所述待检测设备是否连接互联网;若连接,则判断所述检测信息是否与判定规则匹配;其中所述判定规则为黑名单、威胁情报库、疑似失陷规则中至少一项;若匹配,则确定所述待检测设备疑似感染所述IOT僵尸网络,并判断所述检测信息是否满足失陷规则;若满足,则确定所述待检测设备已感染所述IOT僵尸网络。2.根据权利要求1所述的IOT僵尸网络检测处理方法,其特征在于,所述判断所述检测信息是否与判定规则匹配,当所述判定规则为所述疑似失陷规则时,包括:将所述访问关系存在第一预设时间段内与失陷主机进行网络访问作为第一疑似判定结果;将所述原始流量存在第二预设时间段内与所述失陷主机进行文件传输作为第二疑似判定结果;将所述访问关系存在第三预设时间段内与所述失陷主机进行长链接访问作为第三疑似判定结果;若所述检测信息满足所述第一疑似判定结果、所述第二疑似判定结果、所述第三疑似判定结果中的至少一项,则确定所述检测信息与所述判定规则匹配。3.根据权利要求1所述的IOT僵尸网络检测处理方法,其特征在于,所述判断所述检测信息是否满足失陷规则,包括:将所述原始流量存在对警告设备产生周期性长链接控制作为第一判定结果;将所述原始流量在第四预设时间段内访问次数超过预设基线配置数值作为第二判定结果;将所述恶意文件存在特定加密头部为rc文件作为第三判定结果;将所述通讯协议存在特定指令作为第四判定结果;若所述检测信息满足所述第一判定结果、所述第二判定结果、所述第三判定结果、所述第四判定结果中的至少一项,则所述检测信息满足所述失陷规则。4.根据权利要求3所述的IOT僵尸网络检测处理方法,其特征在于,所述将所述通讯协议存在特定指令作为第四判定结果,包括:将所述通讯协议存在通过irc协议进...
【专利技术属性】
技术研发人员:凌怡超,吴卓群,
申请(专利权)人:杭州安恒信息技术股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。