[发明专利]一种用于智能家居设备的漏洞检测方法及检测装置

说明书

本发明实施例提供了一种用于智能家居设备的漏洞检测方法及检测装置，其中方法包括：获取智能家居设备中保存的文件；判断所获取文件的文件类别；当所获取的文件类别为数据流文件时，提取数据流文件中的流量数据包；利用所提取的流量数据包，检测智能家居设备是否存在通信安全漏洞；当所获取的文件类别为应用程序文件时，提取应用程序文件中的配置文件和组件文件；利用所提取的配置文件对应的属性值以及组件文件对应的属性值，检测智能家居设备是否存在运行安全漏洞。本发明实施例能够及时检测出智能家居设备中的安全漏洞，提高智能家居设备的安全程度。

技术领域

本发明涉及物联网安全技术领域，特别是涉及一种用于智能家居设备的漏洞检测方法及检测装置。

背景技术

随着互联网技术的不断发展，越来越多的服务器开始具有接入互联网的能力，服务器之间能够通过网络相互通信，这种以物和物相连的互联网，称之为物联网。尤其是近几年，诸如智能电视、智能冰箱、智能空调等家居设备如雨后春笋般进入人们的家庭，人们甚至可以通过一部手机控制这些智能家居设备，为人们的生活带来极大的便利。

智能家居设备在为人们提供便利的同时，也暴露出所存在的问题，其中最受人关注的便是隐私安全问题。由于智能家居设备中通常需要安装操作系统、应用软件、进行网络通信，因此难免存在安全漏洞。当人们在操控智能家居设备时，或者智能家居设备间进行通信时，黑客很容易利用这些安全漏洞控制智能家居设备，窃取存储在智能家居设备上的用户隐私，甚至利用智能家居设备进行网络攻击。

但是目前，还没有一种能够系统检测智能家居设备中安全漏洞的方法。

发明内容

本发明实施例的目的在于提供一种用于智能家居设备的漏洞检测方法及检测装置，以实现检测智能家居设备中的安全漏洞。具体技术方案如下：

第一方面，本发明实施例提供了一种用于智能家居设备的漏洞检测方法，所述方法包括：

获取智能家居设备中保存的文件；

判断所获取文件的文件类别，所述文件类别至少包括：数据流文件和应用程序文件；

当所获取的文件类别为数据流文件时，提取所述数据流文件中的流量数据包；

利用所提取的所述流量数据包，检测所述智能家居设备是否存在通信安全漏洞，所述通信安全漏洞包括：重放攻击漏洞，异常通信端口漏洞和弱口令漏洞；

当所获取的文件类别为所述应用程序文件时，提取所述应用程序文件中的配置文件和组件文件；

利用所提取的所述配置文件对应的属性值以及所述组件文件对应的属性值，检测所述智能家居设备是否存在运行安全漏洞，所述运行安全漏洞包括：不安全配置漏洞，过度授权漏洞和组件暴露漏洞。

可选地，所述方法还包括：

提取所述数据流文件或所述应用程序文件中的WEB服务数据；

利用所提取的所述WEB服务数据，检测所述智能家居设备是否存在网络安全漏洞，所述网络安全漏洞包括：网页数据爬取漏洞，跨站脚本攻击XSS漏洞，结构化查询语言SQL注入漏洞，文件包含漏洞和不安全跳转漏洞。

可选地，所述方法还包括：

提取所述数据流文件或所述应用程序文件中的WEB服务数据；

利用所提取的所述WEB服务数据，检测所述智能家居设备是否存在网络安全漏洞，所述网络安全漏洞包括：网页数据爬取漏洞，跨站脚本攻击XSS漏洞，结构化查询语言SQL注入漏洞，文件包含漏洞和不安全跳转漏洞。

可选地，所述将所检测到的所述智能家居设备的漏洞传输至数据库之后，所述方法还包括：