[发明专利]一种检测物联网设备遭受入侵的方法及检测装置

权利要求书

1.一种检测物联网设备遭受入侵的方法，其特征在于，所述方法包括：

获取物联网设备与登录设备之间交互时所产生的会话流量；

对所述会话流量进行解析，确定所述会话流量的回显模式；

若所述会话流量为单字符回显模式，则所述物联网设备未遭受入侵；若所述会话流量为多字符回显模式，则所述物联网设备存在潜在入侵风险；

当所述物联网设备存在潜在入侵风险时，确定所述会话流量中是否存在随机字符形式的输出结束命令；

若所述会话流量中存在随机字符形式的输出结束命令，则所述物联网设备存在入侵风险。

2.根据权利要求1所述的方法，其特征在于，所述方法还包括：

若所述会话流量中不存在随机字符形式的输出结束命令，则所述物联网设备存在潜在入侵风险；

在所述物联网设备存在潜在入侵风险时，确定所述会话流量中是否存在文件下载命令；

若所述会话流量中存在文件下载命令，则所述物联网设备存在入侵风险；

若所述会话流量中不存在文件下载命令，则所述物联网设备不存在入侵风险。

3.根据权利要求2所述的方法，其特征在于，所述文件下载命令为echo命令，确定所述会话流量中是否存在文件下载命令包括：

确定在所述会话流量中是否存在指定参数的echo命令，其中，指定参数的echo命令包括echo–ne、echo–en、echo-n–e或echo-e-n；

若在所述会话流量中存在指定参数的echo命令，则获取指定参数的echo命令的格式；

若指定参数的echo命令中携带有指定数据进制的字节数据，且每个指定数据进制的字节数据均以\x或\0开始，则所述会话流量中存在文件下载命令。

4.根据权利要求2所述的方法，其特征在于，所述方法还包括：

若所述会话流量中存在文件下载命令，获取所述文件下载命令中包含的多个分段数据以及每个分段数据携带的重定向符；

根据每个分段数据携带的重定向符对分段数据进行整合，得到下载至所述物联网设备中的入侵文件，以破解所述入侵文件，对所述入侵文件进行分析，进而依据所述入侵文件改善所述物联网设备的防御策略。

5.根据权利要求2所述的方法，其特征在于，确定所述会话流量中是否存在文件下载命令包括：

获取所述会话流量中文件下载命令的数目；

判断所述会话流量中文件下载命令的数目是否大于预设的数量阈值；

若大于，则标定所述会话流量中存在文件下载命令；若不大于，则标定所述会话流量中不存在文件下载命令。

6.根据权利要求1所述的方法，其特征在于，所述会话流量为基于telnet协议的会话流量，对所述会话流量进行解析，确定所述会话流量的回显模式包括：

对所述会话流量进行解析，分别得到所述登录设备发送至所述物联网设备的第一数据流，以及所述物联网设备发送至所述登录设备的第二数据流；

针对同一TCP连接中的流量，判断所述第一数据流中的字符与所述第二数据流中的字符是否相同；

若相同，获取所述第一数据流和所述第二数据流中的负载部分的字符长度，若所述第一数据流和所述第二数据流中负载部分的字符长度分别为一个字节，则所述会话流量为单字符回显模式，若所述第一数据流和所述第二数据流中负载部分的字符长度分别大于一个字节，则所述会话流量为多字符回显模式。