[发明专利]一种发现IoT设备遭受入侵的方法及系统

说明书

技术领域

本发明涉及物联网安全技术领域，尤其涉及一种发现IoT设备遭受入侵的方法及系统。

背景技术

随着计算机网络的发展，信息化技术也不断的提高，而物联网也是新一代信息技术的重要组成部分，也是“信息化”时代的重要发展阶段，其英文名称是：“Internet of things（IoT）”。物联网的核心和基础同样也是依托于互联网，并且是在互联网基础上延伸和扩展的网络，其主要是物物相连的互联网。物联网通过智能感知、识别技术与普适计算等通信感知技术，广泛应用于网络的融合中，并以用户体验为基本核心。

物联网的飞速发展，给人们带来了更多的便利，带来遍历的同时也存在着诸多的安全隐患，被“有心人”利用物联网设备的缺陷或漏洞发起攻击。于2016年10月22日，发生了一起利用IoT设备(摄像头)发起DDOS攻击事件，导致大半个美国互联网瘫痪。由于此次攻击事件主要是使用“Mirai”僵尸网络程序发起的攻击，并且很多物联网设备遭受入侵后，管理者无法发现自己的物联网设备是否遭受攻击。

发明内容

针对上述技术问题，本发明所述的技术方案通过监控物联网设备内的系统登录日志，初步判断是否存在异常登录日志，并进一步监控当前设备发出的网络请求是否异常，若异常则判定遭受入侵。本发明解决了管理者通常无法及时发现当前设备被入侵的问题。

本发明采用如下方法来实现：一种发现IoT设备遭受入侵的方法，包括：

查看当前设备的系统登录日志，若一定时间段内存在超过预设频率的失败登录日志并最终成功登录，则初步判定遭受入侵；

监控当前设备对外发起的网络请求，若发现当前设备频繁尝试对外发送登录验证请求，则判定遭受入侵；或者，

检测当前设备的网络端口服务，若预设端口的原始服务被篡改，则判定遭受入侵。

进一步地，所述查看当前设备的系统登录日志，若一定时间段内存在超过预设频率的失败登录日志并最终成功登录，则初步判定遭受入侵，具体为：

查看当前设备的系统登录日志，判断在一定时间段内是否存在超过预设频率的失败登录日志，若不存在，则继续监控，若存在则继续判断在失败登录日志后是否存在登录成功的日志信息，若是则初步判定遭受入侵，否则继续监控。

上述方法中，所述查看当前设备的系统登录日志，包括：

查看telnet协议的系统登录日志；或者，查看ssh协议的系统登录日志。

进一步地，所述监控当前设备对外发起的网络请求，若发现当前设备频繁尝试对外发送登录验证请求，则判定遭受入侵，具体为：

监控当前设备对外发起的网络请求，若发现当前设备频繁对外发送telnet协议或者ssh协议的登录验证请求，并且对外的登录验证请求涉及的账号或者密码不同，并返回大量错误信息，则判定当前设备遭受入侵并尝试感染其他设备。

进一步地，所述检测当前设备的网络端口服务，若预设端口的原始服务被篡改，则判定遭受入侵，具体为：

检测当前设备的22端口对应的ssh服务是否被篡改，若是则判定遭受入侵；或者，

检测当前设备的23端口对应的telnet服务是否被篡改，若是则判定遭受入侵；或者，

检测当前设备的80端口对应的web服务是否被篡改，若是则判定遭受入侵。

本发明可以采用如下系统来实现：一种发现IoT设备遭受入侵的系统，包括：

登录日志查看模块，用于查看当前设备的系统登录日志，若一定时间段内存在超过预设频率的失败登录日志并最终成功登录，则初步判定遭受入侵；

网络请求监控模块，用于监控当前设备对外发起的网络请求，若发现当前设备频繁尝试对外发送登录验证请求，则判定遭受入侵；或者，

端口服务检测模块，用于检测当前设备的网络端口服务，若预设端口的原始服务被篡改，则判定遭受入侵。

进一步地，所述登录日志查看模块，具体用于：

查看当前设备的系统登录日志，判断在一定时间段内是否存在超过预设频率的失败登录日志，若不存在，则继续监控，若存在则继续判断在失败登录日志后是否存在登录成功的日志信息，若是则初步判定遭受入侵，否则继续监控。

上述系统中，所述查看当前设备的系统登录日志，包括：

查看telnet协议的系统登录日志；或者，查看ssh协议的系统登录日志。

进一步地，所述网络请求监控模块，具体用于：