[发明专利]一种物联网资产安全画像方法与系统

说明书

本发明涉及物联网资产安全领域，旨在提供一种物联网资产安全画像方法与系统。该种物联网资产安全画像方法包括步骤：汇总资产数据并进行判断；对判断为恶意的资产数据下发阻断指令并告警，告警数据同步到资产画像；其余资产数据继续进行关系分析，绘制数据关系图并对异常行为进行判断，对判断为异常的数据下发阻断指令并告警，告警数据同步到资产画像；根据资产指纹、状态数据、资产关系数据和分析威胁数据形成资产画像。本发明通过对物联网资产自身的安全状态监控，发现资产内部的异常数据，发现来自外部的黑客攻击和内部被入侵的安全问题，并利用数据之间的关系形成安全画像，能快速直观地发现物联网资产的安全问题。

技术领域

本发明是关于物联网资产安全领域，特别涉及一种物联网资产安全画像方法与系统。

背景技术

当前针对物联网资产的安全防护方案主要是在边界和网络部署安全设备，通过防火墙(FW)、准入、入侵防御系统(IPS)等设备，依靠的是黑白名单和已知特征匹配的方式，难以有效发现物联网资产本身的安全问题，在出现被黑客攻击和利用的情况下无法实时感知。

如图1所示的传统的安全检测手段，采用基于黑白名单的特征检测方式，依赖于特征库的完善程度，缺点是完全基于已知策略库来发现安全威胁，对新型攻击无法有效识别。

发明内容

本发明的主要目的在于克服现有技术中的不足，提供一种通过对物联网资产自身的安全状态监控，基于关系分析和异常智能分析，发现资产内部的异常数据的方法及系统。为解决上述技术问题，本发明的解决方案是：

提供一种物联网资产安全画像方法，具体包括下述步骤：

步骤1)通过物联网资产内部的数据监控，进行资产数据汇总；

步骤2)对汇总的资产数据进行识别和分类(即根据资产数据的类型和字段名称进行识别，根据资产数据的类型和解析好的字段进行分类)，然后依据内置的特征库进行判断：

如果资产数据与黑名单匹配，则判断该资产数据为恶意，下发阻断指令并告警，告警数据同步到步骤5)进行资产画像，且不再对该资产数据进行步骤3)和步骤4)的分析；

如果资产数据与黑名单不匹配，则判断该资产数据为非恶意，进入步骤3)进行关系分析；

所述内置的特征库中存储有黑名单，黑名单包括恶意的IP、域名和关键字的黑名单策略；

步骤3)根据资产数据以及资产数据之间的关系，绘制数据关系图；

步骤4)根据数据关系图对异常行为进行判断：

如果某一种数据异常，则判断数据关系图中与该数据存在对应关系的所有数据均异常，下发阻断指令并告警，告警数据同步到步骤5)进行资产画像；

步骤5)根据资产指纹、状态数据、资产关系数据和分析威胁数据形成资产画像，资产画像用于对资产的安全程度进行判断(资产画像能将所有资产的安全属性进行关联分析，并据此对资产的安全程度进行判断，是产品关于资产安全评估的一个功能；资产画像能直观查看异常的网络、进程、文件等行为，并能定位关联数据)；

其中，所述状态数据通过物联网资产内部的数据监控获取；所述资产关系数据通过步骤3)绘制的数据关系图获取；所述分析威胁数据是指步骤2)和步骤4)同步的告警数据。

在本发明中，所述步骤1)中，所述资产数据包括：资产指纹、类型、网络、进程和文件；

其中，资产指纹包括数据：资产的型号、品牌、物理地址、硬件属性；类型是指资产的设备类型；网络是指资产的网络通信行为；进程是指资产的进程id和名称；文件是指资产内部的文件。

在本发明中，所述步骤3)中，根据资产数据以及资产数据之间的关系，绘制数据关系图，具体如下：