本發(fā)明涉及計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)領(lǐng)域，更具體地涉及抽樣流量下物聯(lián)網(wǎng)設(shè)備蠕蟲(chóng)受害節(jié)點(diǎn)的發(fā)現(xiàn)方法及系統(tǒng)。

背景技術(shù)：

隨著智能家居等物聯(lián)網(wǎng)設(shè)備的蓬勃發(fā)展，在線(xiàn)物聯(lián)網(wǎng)設(shè)備大幅增加，因該類(lèi)設(shè)備一般沒(méi)有經(jīng)過(guò)嚴(yán)格的安全設(shè)計(jì)，物聯(lián)網(wǎng)設(shè)備逐漸成為了黑客入侵的對(duì)象，路由器、網(wǎng)絡(luò)攝像頭、dvr等物聯(lián)網(wǎng)設(shè)備逐步成為了木馬、蠕蟲(chóng)等惡意代碼傳播的載體，但安全防護(hù)或惡意代碼發(fā)現(xiàn)方法卻未能跟上惡意代碼傳播的腳步，惡意代碼對(duì)其注入、進(jìn)而利用其進(jìn)行攻擊比攻擊桌面操作系統(tǒng)容易的多，故監(jiān)控、發(fā)現(xiàn)物聯(lián)網(wǎng)設(shè)備的惡意代碼傳播，進(jìn)而防護(hù)成為了網(wǎng)絡(luò)安全相關(guān)產(chǎn)品的新方向。

蠕蟲(chóng)病毒是一種常見(jiàn)的計(jì)算機(jī)病毒，它利用網(wǎng)絡(luò)進(jìn)行復(fù)制和傳播，傳染途徑是通過(guò)網(wǎng)絡(luò)和電子郵件，若通過(guò)網(wǎng)絡(luò)流量發(fā)現(xiàn)被感染的蠕蟲(chóng)設(shè)備一般需要對(duì)大量的流量環(huán)境進(jìn)行監(jiān)控，如監(jiān)控a設(shè)備傳播b設(shè)備，b設(shè)備傳播c設(shè)備，才可確定b設(shè)備是被感染節(jié)點(diǎn)。這種檢測(cè)物聯(lián)網(wǎng)設(shè)備蠕蟲(chóng)受害節(jié)點(diǎn)的方法會(huì)占用大量資源，檢測(cè)效率不高。

技術(shù)實(shí)現(xiàn)要素：

為了解決上述技術(shù)問(wèn)題，提供了根據(jù)本發(fā)明的抽樣流量下物聯(lián)網(wǎng)設(shè)備蠕蟲(chóng)受害節(jié)點(diǎn)的發(fā)現(xiàn)方法及系統(tǒng)。

根據(jù)本發(fā)明的第一方面，提供了抽樣流量下物聯(lián)網(wǎng)設(shè)備蠕蟲(chóng)受害節(jié)點(diǎn)的發(fā)現(xiàn)方法。該方法包括：基于抽樣流量對(duì)監(jiān)控對(duì)象設(shè)備的訪(fǎng)問(wèn)數(shù)據(jù)進(jìn)行監(jiān)控；基于訪(fǎng)問(wèn)數(shù)據(jù)查找監(jiān)控對(duì)象設(shè)備訪(fǎng)問(wèn)目標(biāo)設(shè)備的遠(yuǎn)程服務(wù)端口信息；如果所述遠(yuǎn)程服務(wù)端口信息存在，則反向探測(cè)監(jiān)控對(duì)象設(shè)備遠(yuǎn)程服務(wù)端口的開(kāi)啟狀態(tài)；如果所述監(jiān)控對(duì)象設(shè)備遠(yuǎn)程服務(wù)端口打開(kāi)，則探測(cè)所述監(jiān)控對(duì)象設(shè)備的常用端口并登錄預(yù)設(shè)端口，獲取返回信息；基于滿(mǎn)足判斷條件的返回信息，判斷監(jiān)控對(duì)象設(shè)備為物聯(lián)網(wǎng)設(shè)備的蠕蟲(chóng)受害節(jié)點(diǎn)。

在一些實(shí)施例中，所述反向探測(cè)監(jiān)控對(duì)象設(shè)備遠(yuǎn)程服務(wù)端口的開(kāi)啟狀態(tài)，包括：對(duì)監(jiān)控對(duì)象設(shè)備遠(yuǎn)程服務(wù)端口進(jìn)行端口掃描，所述掃描包括手工掃描、軟件掃描。

在一些實(shí)施例中，所述判斷條件中包括授權(quán)信息、提示信息。

在一些實(shí)施例中，所述提示信息是登錄預(yù)設(shè)端口產(chǎn)生的，包括登錄設(shè)備名稱(chēng)、路由器標(biāo)識(shí)。

在一些實(shí)施例中，所述授權(quán)信息中的設(shè)備標(biāo)識(shí)信息包括huaweihomegateway、znid24xx-router、dahuartsp。

根據(jù)本發(fā)明的第二方面，提供抽樣流量下物聯(lián)網(wǎng)設(shè)備蠕蟲(chóng)受害節(jié)點(diǎn)的發(fā)現(xiàn)系統(tǒng)，包括：監(jiān)控模塊，用于基于抽樣流量對(duì)監(jiān)控對(duì)象設(shè)備的訪(fǎng)問(wèn)數(shù)據(jù)進(jìn)行監(jiān)控；查找模塊，用于基于訪(fǎng)問(wèn)數(shù)據(jù)查找監(jiān)控對(duì)象設(shè)備訪(fǎng)問(wèn)目標(biāo)設(shè)備的遠(yuǎn)程服務(wù)端口信息；反向探測(cè)模塊，用于如果所述遠(yuǎn)程服務(wù)端口信息存在，則反向探測(cè)監(jiān)控對(duì)象設(shè)備遠(yuǎn)程服務(wù)端口的開(kāi)啟狀態(tài)；返回模塊，用于如果所述監(jiān)控對(duì)象設(shè)備遠(yuǎn)程服務(wù)端口打開(kāi)，則探測(cè)所述監(jiān)控對(duì)象設(shè)備的常用端口并登錄預(yù)設(shè)端口，獲取返回信息；判斷模塊，用于基于滿(mǎn)足判斷條件的返回信息，判斷監(jiān)控對(duì)象設(shè)備為物聯(lián)網(wǎng)設(shè)備的蠕蟲(chóng)受害節(jié)點(diǎn)。

在一些實(shí)施例中，所述反向探測(cè)監(jiān)控對(duì)象設(shè)備遠(yuǎn)程服務(wù)端口的開(kāi)啟狀態(tài)，包括：對(duì)監(jiān)控對(duì)象設(shè)備遠(yuǎn)程服務(wù)端口進(jìn)行端口掃描，所述掃描包括手工掃描、軟件掃描。

在一些實(shí)施例中，所述判斷條件中包括授權(quán)信息、提示信息。

在一些實(shí)施例中，所述提示信息是登錄預(yù)設(shè)端口產(chǎn)生的，包括登錄設(shè)備名稱(chēng)、路由器標(biāo)識(shí)。

在一些實(shí)施例中，所述授權(quán)信息中的設(shè)備標(biāo)識(shí)信息包括huaweihomegateway、znid24xx-router、dahuartsp。

本發(fā)明所提供的技術(shù)方案，在抽樣流量環(huán)境下發(fā)現(xiàn)物聯(lián)網(wǎng)設(shè)備的受害節(jié)點(diǎn)，可在抽樣流量下進(jìn)行探測(cè)，減少了在大流量環(huán)境下進(jìn)行探測(cè)的時(shí)間、空間復(fù)雜度，流量基數(shù)小且判斷速度快，一個(gè)連接信息即可判斷物聯(lián)網(wǎng)設(shè)備蠕蟲(chóng)受害節(jié)點(diǎn)，與在大量網(wǎng)絡(luò)流量環(huán)境下進(jìn)行蠕蟲(chóng)受害節(jié)點(diǎn)檢測(cè)相比，更便捷、更快速，大大提高了檢測(cè)效率。

附圖說(shuō)明

為了更清楚地說(shuō)明本發(fā)明的技術(shù)方案，下面將對(duì)實(shí)施例中所需要使用的附圖作簡(jiǎn)單地介紹，顯而易見(jiàn)地，下面描述中的附圖僅僅是本發(fā)明中記載的一些實(shí)施例，對(duì)于本領(lǐng)域普通技術(shù)人員來(lái)講，在不付出創(chuàng)造性勞動(dòng)的前提下，還可以根據(jù)這些附圖獲得其他的附圖。

圖1為根據(jù)本發(fā)明實(shí)施例的抽樣流量下物聯(lián)網(wǎng)設(shè)備蠕蟲(chóng)受害節(jié)點(diǎn)的發(fā)現(xiàn)方法的流程圖；

圖2為根據(jù)本發(fā)明實(shí)施例的抽樣流量下物聯(lián)網(wǎng)設(shè)備蠕蟲(chóng)受害節(jié)點(diǎn)的發(fā)現(xiàn)系統(tǒng)的框圖。

具體實(shí)施方式

下面參照附圖對(duì)本發(fā)明的優(yōu)選實(shí)施例進(jìn)行詳細(xì)說(shuō)明，在描述過(guò)程中省略了對(duì)于本發(fā)明來(lái)說(shuō)是不必要的細(xì)節(jié)和功能，以防止對(duì)本發(fā)明的理解造成混淆。雖然附圖中顯示了示例性實(shí)施例，然而應(yīng)當(dāng)理解，可以以各種形式實(shí)現(xiàn)本發(fā)明而不應(yīng)被這里闡述的實(shí)施例所限制。相反，提供這些實(shí)施例是為了能夠更透徹地理解本公開(kāi)，并且能夠?qū)⒈景l(fā)明的范圍完整的傳達(dá)給本領(lǐng)域的技術(shù)人員。

本發(fā)明提供的方法是在抽樣流量環(huán)境下，通過(guò)探測(cè)及登錄遠(yuǎn)程登錄服務(wù)端口來(lái)判斷監(jiān)控對(duì)象設(shè)備是否為物聯(lián)網(wǎng)設(shè)備，進(jìn)一步可判定該物聯(lián)網(wǎng)設(shè)備是蠕蟲(chóng)受害節(jié)點(diǎn)。

圖1示出了根據(jù)本發(fā)明實(shí)施例的抽樣流量下物聯(lián)網(wǎng)設(shè)備蠕蟲(chóng)受害節(jié)點(diǎn)的發(fā)現(xiàn)方法的流程圖。如圖1所示，方法包括如下步驟：

s110，獲取監(jiān)控對(duì)象設(shè)備在預(yù)定時(shí)間內(nèi)的抽樣流量。

抽樣流量可以從獲取到的大量流量中截取一部分，比如從電信、聯(lián)通等運(yùn)營(yíng)商監(jiān)控到的一個(gè)月的流量數(shù)據(jù)中，截取某一天的數(shù)據(jù)進(jìn)行監(jiān)控，預(yù)定時(shí)間可以設(shè)定成時(shí)間段。

s120，基于抽樣流量對(duì)監(jiān)控對(duì)象設(shè)備的訪(fǎng)問(wèn)數(shù)據(jù)進(jìn)行監(jiān)控。

訪(fǎng)問(wèn)數(shù)據(jù)中可以包括訪(fǎng)問(wèn)對(duì)象、訪(fǎng)問(wèn)時(shí)間、行為特征信等息。

s130，基于訪(fǎng)問(wèn)數(shù)據(jù)查找監(jiān)控對(duì)象設(shè)備訪(fǎng)問(wèn)目標(biāo)設(shè)備的遠(yuǎn)程服務(wù)端口信息。

以遠(yuǎn)程訪(fǎng)問(wèn)端口為查找條件，一個(gè)端口就是一個(gè)潛在的通信通道，也就是一個(gè)入侵通道。如發(fā)現(xiàn)監(jiān)控對(duì)象設(shè)備訪(fǎng)問(wèn)目標(biāo)設(shè)備的遠(yuǎn)程服務(wù)端口，其中遠(yuǎn)程服務(wù)端口包括23、22、3389、3306、1433等。

s140，如果遠(yuǎn)程服務(wù)端口信息存在，則反向探測(cè)監(jiān)控對(duì)象設(shè)備遠(yuǎn)程服務(wù)端口的開(kāi)啟狀態(tài)。

反向探測(cè)監(jiān)控對(duì)象設(shè)備遠(yuǎn)程服務(wù)端口的開(kāi)啟狀態(tài)，包括對(duì)監(jiān)控對(duì)象設(shè)備遠(yuǎn)程服務(wù)端口進(jìn)行端口掃描，其中，掃描的方法很多，可以是手工進(jìn)行掃描，也可以用端口掃描軟件進(jìn)行掃描。

s150，如果監(jiān)控對(duì)象設(shè)備遠(yuǎn)程服務(wù)端口打開(kāi)，則探測(cè)監(jiān)控對(duì)象設(shè)備的常用端口并登錄預(yù)設(shè)端口，獲取返回信息，若未打開(kāi)則返回步驟s130，對(duì)下一個(gè)滿(mǎn)足條件的監(jiān)控對(duì)象設(shè)備進(jìn)行探測(cè)。

s160，基于滿(mǎn)足判斷條件的返回信息，判斷監(jiān)控對(duì)象設(shè)備為物聯(lián)網(wǎng)設(shè)備的蠕蟲(chóng)受害節(jié)點(diǎn)。

判斷條件中包括授權(quán)信息、提示信息。通過(guò)探測(cè)監(jiān)控對(duì)象設(shè)備的物聯(lián)網(wǎng)設(shè)備常用端口，得到探測(cè)返回的授權(quán)信息進(jìn)而判斷物聯(lián)網(wǎng)設(shè)備，可判定的授權(quán)信息，授權(quán)信息中的設(shè)備標(biāo)識(shí)信息包括huaweihomegateway、znid24xx-router、dahuartsp等。如：www-authenticate:digestrealm=\"huaweihomegateway\"、www-authenticate:basicrealm=\"znid24xx-router、www-authenticate:basicrealm=\"dahuartsp等。

通過(guò)登錄預(yù)設(shè)端口（如23端口）返回的提示信息查看是否為物聯(lián)網(wǎng)設(shè)備，相應(yīng)提示信息包括登錄設(shè)備名稱(chēng)、路由器標(biāo)識(shí)等，如：23|tcp|telnet:dlinklogin:、23|tcp|telnet:xdslrouter\r\nlogin:等。

通過(guò)探測(cè)及登錄預(yù)設(shè)端口的提示信息判斷監(jiān)控對(duì)象設(shè)備是否為物聯(lián)網(wǎng)設(shè)備，進(jìn)而可判定監(jiān)控對(duì)象設(shè)備為物聯(lián)網(wǎng)設(shè)備的蠕蟲(chóng)受害節(jié)點(diǎn)。

進(jìn)一步的，可以記錄監(jiān)控對(duì)象設(shè)備的信息，比如ip等信息。

圖2為根據(jù)本發(fā)明實(shí)施例的抽樣流量下物聯(lián)網(wǎng)設(shè)備蠕蟲(chóng)受害節(jié)點(diǎn)的發(fā)現(xiàn)系統(tǒng)的框圖。如圖2所述，系統(tǒng)可以包括：監(jiān)控模塊210、查找模塊220、反向探測(cè)模塊230、返回模塊240、判斷模塊250。

監(jiān)控模塊210，用于基于抽樣流量對(duì)監(jiān)控對(duì)象設(shè)備的訪(fǎng)問(wèn)數(shù)據(jù)進(jìn)行監(jiān)控。

查找模塊220，用于基于訪(fǎng)問(wèn)數(shù)據(jù)查找監(jiān)控對(duì)象設(shè)備訪(fǎng)問(wèn)目標(biāo)設(shè)備的遠(yuǎn)程服務(wù)端口信息。

反向探測(cè)模塊230，用于如果遠(yuǎn)程服務(wù)端口信息存在，則反向探測(cè)監(jiān)控對(duì)象設(shè)備遠(yuǎn)程服務(wù)端口的開(kāi)啟狀態(tài)。

反向探測(cè)監(jiān)控對(duì)象設(shè)備遠(yuǎn)程服務(wù)端口的開(kāi)啟狀態(tài)，包括：對(duì)監(jiān)控對(duì)象設(shè)備遠(yuǎn)程服務(wù)端口進(jìn)行端口掃描，掃描包括手工掃描、軟件掃描。

返回模塊240，用于如果監(jiān)控對(duì)象設(shè)備遠(yuǎn)程服務(wù)端口打開(kāi)，則探測(cè)監(jiān)控對(duì)象設(shè)備的常用端口并登錄預(yù)設(shè)端口，獲取返回信息。

判斷模塊250，用于基于滿(mǎn)足判斷條件的返回信息，判斷監(jiān)控對(duì)象設(shè)備為物聯(lián)網(wǎng)設(shè)備的蠕蟲(chóng)受害節(jié)點(diǎn)。

判斷條件中包括授權(quán)信息、提示信息。提示信息是登錄預(yù)設(shè)端口產(chǎn)生的，包括登錄設(shè)備名稱(chēng)、路由器標(biāo)識(shí)。授權(quán)信息中的設(shè)備標(biāo)識(shí)信息包括huaweihomegateway、znid24xx-router、dahuartsp等。

至此已經(jīng)結(jié)合優(yōu)選實(shí)施例對(duì)本發(fā)明進(jìn)行了描述。應(yīng)該理解，本領(lǐng)域技術(shù)人員在不脫離本發(fā)明的精神和范圍的情況下，可以進(jìn)行各種其它的改變、替換和添加。因此，本發(fā)明的范圍不局限于上述特定實(shí)施例，而應(yīng)由所附權(quán)利要求所限定。