[发明专利]一种物联网系统安全威胁监测与防御系统及方法有效
| 申请号: | 201910403020.6 | 申请日: | 2019-05-15 |
| 公开(公告)号: | CN110113350B | 公开(公告)日: | 2021-04-02 |
| 发明(设计)人: | 常清雪;龚致;文有庆 | 申请(专利权)人: | 四川长虹电器股份有限公司 |
| 主分类号: | H04L29/06 | 分类号: | H04L29/06;H04L29/08 |
| 代理公司: | 四川省成都市天策商标专利事务所 51213 | 代理人: | 郭会 |
| 地址: | 621000 四*** | 国省代码: | 四川;51 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | |||
| 搜索关键词: | 一种 联网 系统安全 威胁 监测 防御 系统 方法 | ||
1.一种物联网系统安全威胁监测与防御的方法,其特征在于,通过一种物联网系统安全威胁监测与防御系统实现,所述物联网系统安全威胁监测与防御系统包括流量异常分析系统、物联网终端异常分析系统、业务异常分析系统、HTTP异常分析系统及威胁检测与情报生成系统,所述威胁检测与情报生成系统分别与流量异常分析系统、物联网终端异常分析系统、业务异常分析系统、HTTP异常分析系统相互连接;
所述流量异常分析系统用于通过分析流量数据实现资产发现、流量安全检测及威胁分析,并将分析得出的安全威胁事件上报威胁检测与情报生成系统;所述物联网终端异常分析系统用于通过采集分析终端信息实现资产发现及终端异常行为分析,并将分析得出的安全威胁事件上报威胁检测与情报生成系统;所述业务异常分析系统用于通过采集分析业务信息实现账号类安全分析及业务异常信息,并将分析得出的安全威胁事件上报威胁检测与情报生成系统;所述HTTP异常分析系统用于实现HTTP或HTTPS访问内的文本特征分析及HTTP异常行为分析,并将分析得出的安全威胁事件上报威胁检测与情报生成系统,所述威胁检测与情报生成系统用于根据收到的安全威胁事件生成威胁情报,所述威胁情报内至少包含以下内容:IP黑名单、高危设备ID、异常账号及风险账号;
所述流量异常分析系统包括流量异常分析单元及若干流量检测设备,且所述流量检测设备部署于物联网终端网络交换机端口X,用于将物联网终端网络交换机其他待分析端口流量镜像到交换机端口X及通过分析流量数据实现资产发现、流量安全检测及威胁分析,并将分析结果上报流量异常分析单元,流量异常分析单元用于根据收到的信息自动发现和管理物联网内终端资产并且使用云端的威胁情报关联分析潜在的安全威胁;
所述物联网终端异常分析系统包括物联网终端异常分析单元及若干终端信息采集agent,所述终端信息采集agent部署于物联网终端网络的强终端设备中且用于采集终端指纹信息、行为信息,并将采集的信息上报物联网终端异常分析单元,所述物联网终端异常分析单元用于根据收到的信息获取终端资产属性信息以及分析终端异常行为;
所述业务异常分析系统包括业务异常分析单元及若干业务日志与消息日志收集器,所述业务日志与消息日志收集器部署于业务日志服务主机及消息服务主机中并用于采集业务信息并将采集的信息上报业务异常分析单元,业务异常分析单元用于通过分析收到的信息实现账号类安全分析及业务异常信息;
所述HTTP异常分析系统包括HTTP异常分析单元及若干WEB应用防火墙,所述WEB应用防火墙部署于WEB服务或API服务前端且用于采集并分析HTTP或HTTPS访问内的文本特征并上报HTTP异常分析单元,所述HTTP异常分析单元用于分析HTTP异常行为, 所述物联网系统安全威胁监测与防御的方法具体包括以下步骤:
A1.部署流量检测设备于物联网终端网络交换机端口X,从而将物联网终端网络交换机其他待分析端口流量镜像到交换机端口X;
A2.流量检测设备根据协议识别特征库、资产服务特征库、mac地址前缀特征库以及获取到的物联网协议信息,解析获取协议的资产属性信息;
A3.流量检测设备根据获取到的信息进行流量安全检测,并将疑似异常流量和分析结果上报流量异常分析单元;
A4.流量异常分析单元根据收到的数据实现自动发现和管理物联网内终端资产,并使用云端的威胁情报关联分析潜在的安全威胁;
A5.流量异常分析单元将分析得到的安全威胁事件上报威胁检测与情报生成系统;
B1.部署终端信息采集agent于物联网终端网络的强终端设备中,由终端信息采集agent采集终端指纹信息、行为信息,并将采集的信息上报物联网终端异常分析单元;
B2.物联网终端异常分析单元根据终端指纹信息获取终端资产属性信息;
B3.物联网终端异常分析单元根据收集的信息进行物联网终端异常行为分析;
B4.物联网终端异常分析单元将分析得到的安全威胁事件上报威胁检测与情报生成系统;
C1.将WEB应用防火墙部署在WEB服务或API服务前端;
C2.WEB应用防火墙采集并分析HTTP或HTTPS访问文本特征并将访问信息上报HTTP异常分析单元;
C3.HTTP异常分析单元根据收到的数据信息分析HTTP异常访问行为;
C4.HTTP异常分析单元将分析得到的安全威胁事件上报威胁检测与情报生成系统;
D1.将业务日志与消息日志收集器部署于业务日志服务主机及消息服务主机中;并将业务日志与消息日志收集器采集的业务日志信息上报业务异常分析单元;
D2.业务异常分析单元通过分析收到的信息实现账号类安全分析及业务异常信息分析;
D3.业务异常分析单元将分析得到的安全威胁事件上报威胁检测与情报生成系统;
E.威胁检测与情报生成系统根据收到的安全威胁事件生成威胁情报,且威胁情报内至少包含以下内容:IP黑名单、高危设备ID、异常账号及风险账号。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于四川长虹电器股份有限公司,未经四川长虹电器股份有限公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/201910403020.6/1.html,转载请声明来源钻瓜专利网。
