[发明专利]一种检测物联网设备遭受入侵的方法及检测装置

说明书

本发明公开了一种检测物联网设备遭受入侵的方法及检测装置，该方法包括：获取物联网设备与登录设备之间交互时所产生的会话流量；对会话流量进行解析，确定会话流量的回显模式；若会话流量为单字符回显模式，则物联网设备未遭受入侵；若会话流量为多字符回显模式，则物联网设备存在潜在入侵风险；当物联网设备存在潜在入侵风险时，判断会话流量中是否存在随机字符形式的输出结束命令；若会话流量中存在随机字符形式的输出结束命令，则物联网设备存在入侵风险。本发明的方法对会话流量进行解析，确定会话流量的回显模式和输出结束命令的形式，以及时发现相应的物联网设备是否遭受入侵，避免信息泄露，防止感染其他物联网设备，提高网络安全性。

技术领域

本发明属于物联网安全技术领域，更具体地，涉及一种检测物联网设备遭受入侵的方法及检测装置。

背景技术

物联网(Internet of Things，简写为IOT)，物联网的定义是，把所有物品通过射频识别等信息传感设备与互联网连接起来，实现智能化识别和管理。物联网通过智能感知、识别技术与普适计算、泛在网络的融合应用，被称为继计算机、互联网之后世界信息产业发展的第三次浪潮。物联网被视为互联网的应用拓展，包括传感器、移动终端、工业系统、楼控系统、家庭智能设施和视频监控系统，贴上RFID(Radio Frequency Identification，简写为RFID)的各种资产等。

近年来，恶意程序迅速从传统的PC(Personal Computer，简写为PC)和服务器端扩展到了物联网设备端，其中的标志性事件就是物联网僵尸网络Mirai的爆发以及Mirai代码的开源。在Mirai代码开源之后，短短几个月内，出现了几十种变种，这些变种的恶意代码，都是基于Mirai的原有代码二次开发而来，在功能上或者是感染方式上做了扩展。物联网木马病毒感染的设备在现阶段主要是家用路由器和IP摄像头，其次是各种暴露在互联网上的嵌入式设备、网络管理类设备和linux服务器类等，很多物联网设备在遭受入侵后，管理者无法及时发现相应的物联网设备是否遭受入侵，导致信息泄露，甚至会感染其他物联网设备。

鉴于此，克服该现有技术所存在的缺陷是本技术领域亟待解决的问题。

发明内容

针对现有技术的以上缺陷或改进需求，本发明提供了一种检测物联网设备遭受入侵的方法及检测装置，其目的在于通过本发明的方法可以及时发现相应的物联网设备是否遭受入侵，避免信息泄露，防止感染其他物联网设备，从而提高网络安全性。

为实现上述目的，按照本发明的一个方面，提供了一种检测物联网设备遭受入侵的方法，所述方法包括：

获取物联网设备与登录设备之间交互时所产生的会话流量；

对所述会话流量进行解析，确定所述会话流量的回显模式；

若所述会话流量为单字符回显模式，则所述物联网设备未遭受入侵；若所述会话流量为多字符回显模式，则所述物联网设备存在潜在入侵风险；

当所述物联网设备存在潜在入侵风险时，确定所述会话流量中是否存在随机字符形式的输出结束命令；

若所述会话流量中存在随机字符形式的输出结束命令，则所述物联网设备存在入侵风险。

优选地，所述方法还包括：

若所述会话流量中不存在随机字符形式的输出结束命令，则所述物联网设备存在潜在入侵风险；

在所述物联网设备存在潜在入侵风险时，确定所述会话流量中是否存在文件下载命令；

若所述会话流量中存在文件下载命令，则所述物联网设备存在入侵风险；

若所述会话流量中不存在文件下载命令，则所述物联网设备不存在入侵风险。

优选地，所述文件下载命令为echo命令，确定所述会话流量中是否存在文件下载命令包括：