[发明专利]窄带物联网中的僵尸网络预警方法、装置及可读存储介质

权利要求书

1.一种窄带物联网中的僵尸网络预警方法，其特征在于，包括：

获取窄带物联网中的流量信息，所述流量信息至少包括：蜜罐捕获的病毒文件和流量监控网关记录的日志；

按照预设的多个维度分析所述流量信息，获得每个维度分别对应的分析结果；所述多个维度至少包括：流量特征、网络行为和病毒；

根据所述每个维度分别对应的分析结果确定所述窄带物联网中是否存在僵尸网络受控设备；

若存在，则生成僵尸网络预警信息；

其中，当按照所述流量特征分析所述流量信息时，包括：

从所述流量信息中提取数据流信息，并采用聚类算法对所述数据流信息进行聚类分析，得到多个聚簇；

确定每个聚簇分别对应的流量特征，并根据所述每个聚簇分别对应的流量特征确定分析结果；

其中，当按照所述网络行为分析所述流量信息时，包括：

从所述流量信息中提取所述窄带物联网中的各设备的信息，所述各设备的信息至少包括：设备的ID、类型、位置、网关IP和休眠和活跃时间；

按照所述各设备的信息将所述窄带物联网中的各设备划分为不同设备组；

分析每个设备组中的各设备的网络行为，并根据所述每个设备组中的各设备的网络行为确定分析结果；

其中，当按照病毒分析所述流量信息时，包括：

从所述流量信息中提取目标文件，并计算所述目标文件的MD5值；

将所述MD5值与预设的病毒库进行比对，判断所述病毒库中是否存在所述MD5值；

若是，则判定所述目标文件为病毒文件，并确定当前分析结果为所述窄带物联网中存在僵尸网络受控设备；

若否，则采用同源性鉴别方法对所述目标文件进行鉴别；当鉴别结果为所述病毒库中存在与所述目标文件同源的文件时，判定所述目标文件为病毒文件，并将所述病毒文件添加至所述病毒库，确定当前分析结果为所述窄带物联网中存在僵尸网络受控设备。

2.根据权利要求1所述的窄带物联网中的僵尸网络预警方法，其特征在于，所述根据所述每个维度分别对应的分析结果确定所述窄带物联网中是否存在僵尸网络受控设备，包括：

当存在任意一个或多个分析结果显示有僵尸网络受控设备时，确定所述窄带物联网中存在僵尸网络受控设备。

3.根据权利要求1所述的窄带物联网中的僵尸网络预警方法，其特征在于，所述生成僵尸网络预警信息之后，还包括：

将所述僵尸网络预警信息发送至预设的管理端并可视化展示。

4.根据权利要求3所述的窄带物联网中的僵尸网络预警方法，其特征在于，将所述僵尸网络预警信息发送至预设的管理端并可视化展示之后，还包括：

根据所述僵尸网络预警信息确定所述窄带物联网中的感染僵尸病毒的区域，对所述区域中的各设备进行限流或重启复位操作。