本發(fā)明涉及物聯(lián)網(wǎng)安全技術(shù)領域，尤其涉及一種防御IoT設備遭受入侵的方法及系統(tǒng)。

背景技術(shù)：

隨著互聯(lián)網(wǎng)的飛速發(fā)展，也推進物聯(lián)網(wǎng)的快速發(fā)展，而物聯(lián)網(wǎng)設備在給人們帶來便利的同時，也同樣由于物聯(lián)網(wǎng)設備的缺陷及漏洞，導致攻擊者們開始利用物聯(lián)網(wǎng)設備發(fā)起攻擊，其發(fā)起的攻擊主要為DDOS（拒絕服務攻擊），通過利用物聯(lián)網(wǎng)設備的出廠默認賬號密碼的脆弱性，同時也由于使用者忽略其安全性等問題，導致攻擊者通過對物聯(lián)網(wǎng)設備滲透，猜測密碼，并獲得設備的權(quán)限，并植入惡意代碼-蠕蟲（例如Mirai蠕蟲），并通過遠程服務器控制該物聯(lián)網(wǎng)設備，基于蠕蟲的特點，會進一步主動去感染其他的物聯(lián)網(wǎng)設備，從而導致大面積物聯(lián)網(wǎng)設備淪陷，淪為攻擊者的肉雞，并發(fā)起攻擊。并且對于蠕蟲惡意代碼的特性來說，僅僅清除惡意代碼，并不能夠徹底清除安全隱患。

目前對于Windows平臺的防御體系已經(jīng)很成熟，其對于病毒、木馬、蠕蟲等的檢測技術(shù)主要包括特征檢測、網(wǎng)絡檢測、惡意代碼行為檢測等，而對于物聯(lián)網(wǎng)設備（主要包括ARM、MIPS等架構(gòu)）的防御和清除還不健全。物聯(lián)網(wǎng)設備感染了惡意代碼后，可以被清除，可由于“Mirai”惡意代碼的特性，其傳播范圍廣泛，并能夠通過遠控自動去感染其他的IoT設備，雖被清除，可能之后還會被感染。

技術(shù)實現(xiàn)要素：

針對上述技術(shù)問題，本發(fā)明所述的技術(shù)方案通過監(jiān)控系統(tǒng)登錄日志、當前設備啟動的進程和對外發(fā)起的網(wǎng)絡請求，并利用白名單機制進行判定，若存在于白名單中則允許其執(zhí)行，否則及時進行阻斷操作，進而有效防御針對IoT設備的入侵攻擊。

本發(fā)明采用如下方法來實現(xiàn)：一種防御IoT設備遭受入侵的方法，包括：

監(jiān)控當前設備的系統(tǒng)登錄日志，若存在同一IP的連續(xù)失敗登錄日志數(shù)量超過設定值，則阻斷該IP登錄當前設備；

監(jiān)控當前設備的進程，若啟動的進程不在進程白名單中，則阻斷該進程的啟動；

監(jiān)控當前設備對外發(fā)起的網(wǎng)絡請求，若網(wǎng)絡請求不在請求白名單中，則阻斷當前網(wǎng)絡請求。

進一步地，所述阻斷該IP登錄當前設備后，還包括：將該IP加入黑名單，禁止該IP登錄當前設備。

進一步地，若啟動的進程為用戶自行啟動，則預先將該進程名添加到所述進程白名單中。

上述方法中，所述進程白名單是在初始狀態(tài)下對系統(tǒng)進程建立快照備份后生成。

進一步地，所述請求白名單中存儲有系統(tǒng)更新或者已知軟件更新的域名或者IP 地址。

進一步地，還包括：對當前設備系統(tǒng)內(nèi)相關信息進行備份操作，若判定當前設備遭受入侵后，基于備份的相關信息進行恢復操作，所述相關信息包括：全盤文件、系統(tǒng)進程或者賬戶信息。

進一步地，還包括：當用戶初始登錄成功后，判斷系統(tǒng)密碼是否為弱口令，若是則強制用戶修改密碼，否則允許登錄到當前設備中。

本發(fā)明可以采用如下系統(tǒng)來實現(xiàn)：一種防御IoT設備遭受入侵的系統(tǒng)，包括：

日志監(jiān)控模塊，用于監(jiān)控當前設備的系統(tǒng)登錄日志，若存在同一IP的連續(xù)失敗登錄日志數(shù)量超過設定值，則阻斷該IP登錄當前設備；

進程監(jiān)控模塊，用于監(jiān)控當前設備的進程，若啟動的進程不在進程白名單中，則阻斷該進程的啟動；

請求監(jiān)控模塊，用于監(jiān)控當前設備對外發(fā)起的網(wǎng)絡請求，若網(wǎng)絡請求不在請求白名單中，則阻斷當前網(wǎng)絡請求。

進一步地，所述阻斷該IP登錄當前設備后，還包括：將該IP加入黑名單，禁止該IP登錄當前設備。

進一步地，若啟動的進程為用戶自行啟動，則預先將該進程名添加到所述進程白名單中。

上述系統(tǒng)中，所述進程白名單是在初始狀態(tài)下對系統(tǒng)進程建立快照備份后生成。

進一步地，所述請求白名單中存儲有系統(tǒng)更新或者已知軟件更新的域名或者IP 地址。

進一步地，還包括：備份恢復模塊，用于對當前設備系統(tǒng)內(nèi)相關信息進行備份操作，若判定當前設備遭受入侵后，基于備份的相關信息進行恢復操作，所述相關信息包括：全盤文件、系統(tǒng)進程或者賬戶信息。

進一步地，還包括：弱口令監(jiān)控模塊，用于當用戶初始登錄成功后，判斷系統(tǒng)密碼是否為弱口令，若是則強制用戶修改密碼，否則允許登錄到當前設備中。

綜上，本發(fā)明給出一種防御IoT設備遭受入侵的方法及系統(tǒng)，通過對已知物聯(lián)網(wǎng)設備相關的僵尸網(wǎng)絡攻擊進行了研究，例如：“Mirai”僵尸網(wǎng)絡，進而提出本發(fā)明中所述的方法及系統(tǒng)，不僅適用于以ARM、MIPS架構(gòu)的物聯(lián)網(wǎng)設備，而且適用于其他相關的任何物聯(lián)網(wǎng)設備中，首先根據(jù)惡意代碼的特性及物聯(lián)網(wǎng)設備的特殊性，通過對系統(tǒng)登錄信息進行監(jiān)控進行判定是否為非法的登錄驗證，通過對進程監(jiān)控阻止非法的進程啟動，通過對網(wǎng)絡請求監(jiān)控來阻止非法的向外發(fā)起的網(wǎng)絡請求等，進行防御惡意代碼攻擊，并且為了提供用戶交互的便利性，本發(fā)明增加了白名單機制，輔助用戶添加允許訪問的權(quán)限。

有益效果為：本發(fā)明所述技術(shù)方案能夠及時防御針對物聯(lián)網(wǎng)設備的入侵行為，并通過備份恢復來徹底清除已經(jīng)感染惡意代碼的IoT設備。

附圖說明

為了更清楚地說明本發(fā)明的技術(shù)方案，下面將對實施例中所需要使用的附圖作簡單地介紹，顯而易見地，下面描述中的附圖僅僅是本發(fā)明中記載的一些實施例，對于本領域普通技術(shù)人員來講，在不付出創(chuàng)造性勞動的前提下，還可以根據(jù)這些附圖獲得其他的附圖。

圖1為本發(fā)明提供的一種防御IoT設備遭受入侵的方法實施例流程圖；

圖2為本發(fā)明提供的一種防御IoT設備遭受入侵的系統(tǒng)實施例結(jié)構(gòu)圖。

具體實施方式

本發(fā)明給出了一種防御IoT設備遭受入侵的方法及系統(tǒng)實施例，為了使本技術(shù)領域的人員更好地理解本發(fā)明實施例中的技術(shù)方案，并使本發(fā)明的上述目的、特征和優(yōu)點能夠更加明顯易懂，下面結(jié)合附圖對本發(fā)明中技術(shù)方案作進一步詳細的說明：

本發(fā)明首先提供了一種防御IoT設備遭受入侵的方法實施例，如圖1所示，包括：

S101：監(jiān)控當前設備的系統(tǒng)登錄日志，若存在同一IP的連續(xù)失敗登錄日志數(shù)量超過設定值，則阻斷該IP登錄當前設備；

具體地，所述監(jiān)控當前設備的系統(tǒng)登錄日志包括：監(jiān)控通過telnet協(xié)議或者ssh協(xié)議的登錄信息；

其中，在所述阻斷該IP登錄當前設備后，還包括：將該IP加入黑名單。目的在于阻斷該IP后續(xù)嘗試登錄當前設備。

S102：監(jiān)控當前設備的進程，若啟動的進程不在進程白名單中，則阻斷該進程的啟動；

其中，若啟動的進程為用戶自行啟動，則預先將該進程名添加到所述進程白名單中，進而阻斷非法進程的啟動。其中，所述進程白名單是在初始狀態(tài)下對系統(tǒng)進程建立快照備份后生成。

S103：監(jiān)控當前設備對外發(fā)起的網(wǎng)絡請求，若網(wǎng)絡請求不在請求白名單中，則阻斷當前網(wǎng)絡請求。目的在于，阻斷非法的對外請求，進而從源頭上避免被入侵的設備繼續(xù)感染網(wǎng)內(nèi)的其他IoT設備；

其中，所述請求白名單中存儲有系統(tǒng)更新或者已知軟件更新的域名或者IP 地址。

優(yōu)選地，還包括：對當前設備系統(tǒng)內(nèi)相關信息進行備份操作，若判定當前設備遭受入侵后，基于備份的相關信息進行恢復操作，所述相關信息包括：全盤文件、系統(tǒng)進程或者賬戶信息。目的在于，徹底清除被感染IoT設備的惡意代碼。

優(yōu)選地，還包括：當用戶初始登錄成功后，判斷系統(tǒng)密碼是否為弱口令，若是則強制用戶修改密碼，否則允許登錄到當前設備中。具體為，通過HOOK技術(shù)來判定登錄當前設備后，系統(tǒng)密碼是否為弱口令。強制用戶修改后的密碼，至少需要滿足，字母、數(shù)字和特殊字符的組合。進而避免了當前設備的密碼被暴力破解的可能。

本發(fā)明其次提供了一種防御IoT設備遭受入侵的系統(tǒng)實施例，如圖2所示，包括：

日志監(jiān)控模塊201，用于監(jiān)控當前設備的系統(tǒng)登錄日志，若存在同一IP的連續(xù)失敗登錄日志數(shù)量超過設定值，則阻斷該IP登錄當前設備；

進程監(jiān)控模塊202，用于監(jiān)控當前設備的進程，若啟動的進程不在進程白名單中，則阻斷該進程的啟動；

請求監(jiān)控模塊203，用于監(jiān)控當前設備對外發(fā)起的網(wǎng)絡請求，若網(wǎng)絡請求不在請求白名單中，則阻斷當前網(wǎng)絡請求。

優(yōu)選地，所述阻斷該IP登錄當前設備后，還包括：將該IP加入黑名單，禁止該IP登錄當前設備。

優(yōu)選地，若啟動的進程為用戶自行啟動，則預先將該進程名添加到所述進程白名單中。

上述系統(tǒng)實施例中，所述進程白名單是在初始狀態(tài)下對系統(tǒng)進程建立快照備份后生成。

優(yōu)選地，所述請求白名單中存儲有系統(tǒng)更新或者已知軟件更新的域名或者IP 地址。

優(yōu)選地，還包括：備份恢復模塊，用于對當前設備系統(tǒng)內(nèi)相關信息進行備份操作，若判定當前設備遭受入侵后，基于備份的相關信息進行恢復操作，所述相關信息包括：全盤文件、系統(tǒng)進程或者賬戶信息。

優(yōu)選地，還包括：弱口令監(jiān)控模塊，用于當用戶初始登錄成功后，判斷系統(tǒng)密碼是否為弱口令，若是則強制用戶修改密碼，否則允許登錄到當前設備中。

本說明書中的各個實施例均采用遞進的方式描述，各個實施例之間相同或相似的部分互相參見即可，每個實施例重點說明的都是與其他實施例的不同之處。尤其，對于系統(tǒng)實施例而言，由于其基本相似于方法實施例，所以描述的比較簡單，相關之處參見方法實施例的部分說明即可。

上述實施例適用于當前各種體系架構(gòu)下的物聯(lián)網(wǎng)設備，通過監(jiān)控當前設備的系統(tǒng)登錄日志，確定是否存在試探性攻擊；監(jiān)控當前設備的進程信息，進而判斷是否有新的進程啟動，并與進程白名單匹配，若不在進程白名單中則阻斷其啟動，并刪除相關進程文件；監(jiān)控當前設備對外發(fā)起的網(wǎng)絡請求，并判斷所述網(wǎng)絡請求是否在請求白名單中，若判定其是非法請求則進行阻斷；更為優(yōu)選地，通過探測當前系統(tǒng)密碼是否為弱口令，并強制用戶修改當前系統(tǒng)的弱口令，如果不修改密碼，則限制用戶對當前設備系統(tǒng)的其他操作，從而來限制非人工操作的登錄。本發(fā)明上述實施例，能夠有效阻止非法用戶或者惡意代碼入侵當前設備，并且能夠通過備份恢復的手段來徹底清除惡意代碼，并恢復設備系統(tǒng)。

以上實施例用以說明而非限制本發(fā)明的技術(shù)方案。不脫離本發(fā)明精神和范圍的任何修改或局部替換，均應涵蓋在本發(fā)明的權(quán)利要求范圍當中。