[发明专利]物联网恶意攻击行为处理方法、装置及系统

权利要求书

1.一种物联网恶意攻击行为处理方法，其特征在于，应用于包括物联网终端以及安全管理中心平台的物联网安全系统，所述物联网终端中安装有安全管控软件开发工具包SDK，所述方法包括：

物联网终端通过安全管控SDK对应用程序的行为进行监控，以得到应用程序行为监控信息；

所述物联网终端通过安全管控SDK依据安全策略信息，对所述应用程序行为监控信息进行分析；

当所述物联网终端确定目标应用程序的行为为疑似恶意攻击行为时，通过所述安全管控SDK将所述目标应用程序的应用程序行为监控信息上报至所述安全管理中心平台，由所述安全管理中心平台对所述目标应用程序的应用程序行为监控信息进行异常分析；

当所述物联网终端确定目标应用程序的行为为恶意攻击行为时，通过所述安全管控SDK对所述目标应用程序的行为进行阻断，并向所述安全管理中心平台进行报警。

2.根据权利要求1所述的方法，其特征在于，所述物联网终端通过安全管控SDK依据安全策略信息，对所述应用程序行为监控信息进行分析，包括：

所述物联网终端通过安全管控SDK依据目标应用程序的应用程序行为监控信息，查询所述安全策略信息；所述目标应用程序的应用程序行为监控信息包括所述目标应用程序的至少两个行为；

当所述目标应用程序的应用程序行为监控信息部分命中所述安全策略信息中的黑名单时，确定所述目标应用程序的行为为疑似恶意攻击行为；

当所述目标应用程序的应用程序行为监控信息全部命中所述安全策略信息中的黑名单时，确定所述目标应用程序的行为为恶意攻击行为。

3.根据权利要求2所述的方法，其特征在于，所述物联网终端通过安全管控SDK依据目标应用程序的应用程序行为监控信息，查询所述安全策略信息，包括：

所述物联网终端通过安全管控SDK依据所述目标应用程序相互组合和关联的多个行为，查询所述安全策略信息，以确定所述目标应用程序相互组合和关联的多个行为，与预先配置的多个相互组合和关联的安全策略中的黑名单的匹配结果；

当所述目标应用程序相互组合和关联的多个行为，均与预先配置的多个相互组合和关联的安全策略中的黑名单匹配时，确定所述目标应用程序的应用程序行为监控信息全部命中所述安全策略信息中的黑名单；

当所述目标应用程序相互组合和关联的多个行为中的部分行为，与预先配置的多个相互组合和关联的安全策略中的黑名单匹配时，确定所述目标应用程序的应用程序行为监控信息部分命中所述安全策略信息中的黑名单。

4.根据权利要求1~3任一项所述的方法，其特征在于，所述方法还包括：

所述安全管理中心平台依据接收到的应用程序行为监控信息或报警信息确定所述目标应用程序的行为的威胁等级；

当所述安全管理中心平台确定所述目标应用程序的行为的威胁等级达到预设等级时，向所述物联网终端连接的交换机或路由器发送断网控制指令，以控制所述物联网终端连接的交换机或路由器对所述物联网终端进行断网。

5.根据权利要求1~3任一项所述的方法，其特征在于，所述物联网终端通过所述安全管控SDK将所述目标应用程序的应用程序行为监控信息上报至所述安全管理中心平台之后，还包括：

当所述安全管理中心平台依据接收到的所述目标应用程序的应用程序行为监控信息确定所述目标应用程序的行为为恶意攻击行为时，依据接收到的所述目标应用程序的应用程序行为监控信息更新所述安全策略信息。