[发明专利]一种物联网防入侵的方法和存储介质

说明书

本发明公开了一种物联网防入侵的方法和存储介质，该方法包括：区块链物联网上的第一预定节点获取第二预定节点在区块链物联网注册时的原始哈希值；第一预定节点将原始哈希值与第二预定节点当前的哈希值进行比较；在原始哈希值与当前的哈希值不同时，确定第二预定节点已被非法入侵。本发明将物联网中的各个节点上区块链，通过哈希值来确定某一个节点是否被入侵，判断过程准确，系统性能较好，解决了现有技术的如下问题：现有技术的僵尸物联网防御方法限制性较强，误报现象较多，且检测方式都较为被动，系统性能较差。

技术领域

本发明涉及网络安全领域，特别是涉及一种物联网防入侵的方法和存储介质。

背景技术

僵尸物联网是有一些恶意代码影响的物联网设备组成的网络，攻击者出于恶意目的，传播僵尸程序控制大量僵尸肉机，并通过一对多的命令方式与其他物联网设备进行通信。僵尸主机作为攻击者发布命令控制大量僵尸肉机执行诸如发送垃圾邮件、DDoS攻击、窃取密码等非法行为。僵尸肉机(Bot)是被僵尸主机(Bot Master)控制的物联网上一些存在安全漏洞的物联网设备，它被恶意代码感染之后，便主动与僵尸主机建立连接，接收和执行命令。在年新增物联网设备将近200亿台的今天，僵尸物联网引发的社会效应已经远远超越传统僵尸网络的规模，一个地区甚至一个国家很可能会在短时间遭受Tbps量级的超大规模网络攻击。

传统的僵尸网络防御方法通常依赖有限个节点对网络终端的可疑行为进行检测、捕获和分析。当有限个数的僵尸网络防御节点出现单机故障或者被僵尸物联网毁伤之后，就会导致全网丧失僵尸物联网防御能力。另外，现有的防御方法在僵尸物联网识别准确性方面亦存在诸多问题。僵尸物联网主流防御方法包括协议特征检测、蜜网捕获和网络流量聚类分析三大类。协议特征检测方法是通过分析通信与控制协议，提取僵尸物联网关键特征，实现僵尸物联网检测。例如，Rishi技术就是利用IRC昵称相似性的特征进行僵尸物联网检测的。蜜网的基本组成元素是蜜罐，通过设置蜜网系统可以捕获疑似的僵尸程序，再将此程序在可控环境中运行，分析判定此程序是否具有僵尸特征。另外，由于僵尸物联网主机们的活动是由它们内部代码相同的僵尸程序决定的，所以僵尸物联网主机们会在同一时间窗里进行内容相似的通信，即僵尸物联网的通信具有时空相似性，这是与正常用户的网络通信具有较大差异的。网络流量聚类分析方法就是基于上述思路，基于对网络终端相似的通信流量和恶意行为进行聚类分析进行僵尸物联网检测。

现有的协议特征检测方法基础是僵尸物联网协议特征库，因此，这种僵尸物联网防御方法只能针对已知僵尸物联网进行协议特征检测，对于大量的、还未知其特征规律的僵尸物联网是无效的。蜜网捕获技术通过捕获僵尸程序来发现僵尸物联网，虽然准确率较高，但是蜜网捕获是一种被动的僵尸物联网防御方法，并且其检测防御效果受蜜罐部署情况限制，通常只能面向有限范围网络进行僵尸物联网检查。网络流量聚类检测方法对不同结构类型、采用不同协议的僵尸物联网均能适用，但是由于聚类算法性能限制，这种技术往往存在一定的误报现象。

发明内容

本发明提供一种物联网防入侵的方法和存储介质，用以解决现有技术的如下问题：现有技术的僵尸物联网防御方法限制性较强，误报现象较多，且检测方式都较为被动，系统性能较差。

为解决上述技术问题，一方面，本发明提供一种物联网防御方法，包括：区块链物联网上的第一预定节点获取第二预定节点在所述区块链物联网注册时的原始哈希值；所述第一预定节点将所述原始哈希值与所述第二预定节点当前的哈希值进行比较；在所述原始哈希值与所述当前的哈希值不同时，确定所述第二预定节点已被非法入侵。

可选的，确定所述第二预定节点已被非法入侵之后，还包括：统计所述区块链物联网上所有节点对所述第二预定节点的比较结果；检测所述比较结果中确定所述第二预定节点已被非法入侵的百分比是否超过预设百分比；在所述第二预定节点已被非法入侵的百分比超过所述预设百分比的情况下，确定所述第二预定节点为恶意节点。