[发明专利]多层次全周期物联网设备僵尸网络防御方法、装置及设备

权利要求书

1.一种多层次全周期物联网设备僵尸网络防御方法，其特征在于，包括：

获取物联网设备的流量数据；

依据所述物联网设备的流量数据对所述物联网设备进行威胁性监测，以确定所述物联网设备的安全状态；所述安全状态包括安全或处于僵尸网络生命周期的其中一个阶段；

当确定所述物联网设备的安全状态为处于僵尸网络生命周期的其中一个阶段时，确定与该阶段匹配的目标防御策略；

依据所述目标防御策略对所述物联网设备进行威胁阻断处理；

其中，所述依据所述物联网设备的流量数据对所述物联网设备进行威胁性监测，包括：

当所述物联网设备在第一预设时间阈值内建立安全外壳协议SSH连接的次数超过预设次数阈值时，确定所述物联网设备处于僵尸网络生命周期的入侵阶段，并为所述物联网设备设置入侵标签；

其中，所述入侵标签附带的数据包括攻击IP地址、被攻击IP地址、标记时间、以及所述物联网设备在所述第一预设时间阈值内建立SSH的次数；所述攻击IP地址为攻击者设备的IP地址，所述被攻击IP地址为所述物联网设备的IP地址。

2.根据权利要求1所述的方法，其特征在于，所述方法还包括：

当所述入侵标签中包括的攻击IP地址与所述入侵标签中包括的被攻击IP地址处于同一网段时，确定攻击者设备处于僵尸网络生命周期的传播阶段，并为所述攻击者设备设置传播标签，为被攻击者设备设置入侵标签；其中，所述传播标签附带的数据包括攻击IP地址、被攻击IP地址、标记时间；

当所述入侵标签中包括的攻击IP地址与所述入侵标签中包括的被攻击IP地址处于不同网段时，确定攻击者设备处于僵尸网络生命周期的入侵阶段。

3.根据权利要求1所述的方法，其特征在于，所述依据所述物联网设备的流量数据对所述物联网设备进行威胁性监测，还包括：

当所述物联网设备的流量数据中包括所述物联网设备发起的DNS数据时，利用预先训练的深度学习网络模型对所述DNS数据中包括的域名进行判定，以确定所述DNS数据中包括的域名是否为域名生成算法DGA域名；

若所述DNS数据中包括的域名为DGA域名，则确定所述物联网设备处于僵尸网络生命周期的控制阶段，并为所述物联网设备设置控制标签，所述控制标签附带的数据包括被攻击IP地址、标记时间、域名、域名对应的IP地址；

若所述DNS数据中包括的域名不是DGA域名，且所述物联网设备作为发起方设备与外部设备建立网络连接，并进行文件传输，则确定所述物联网设备处于僵尸网络生命周期的投递阶段，并为所述物联网设备设置投递标签，所述投递标签附带的数据包括攻击IP地址、被攻击IP地址、标记时间、域名、域名对应的IP地址。

4.根据权利要求1所述的方法，其特征在于，所述依据所述物联网设备的流量数据对所述物联网设备进行威胁性监测，还包括：

当所述物联网设备在第二预设时间阈值内发送的特定类型的数据包的数量超过预设数量阈值时，确定所述物联网设备处于僵尸网络生命周期的攻击阶段，并为所述物联网设备设置攻击标签，所述攻击标签附带的数据包括攻击IP地址、被攻击IP地址、标记时间、攻击方式。

5.根据权利要求1-4任一项所述的方法，其特征在于，所述安全状态还包括未知异常；

所述依据所述物联网设备的流量数据对所述物联网设备进行威胁性监测之后，还包括：

当确定所述物联网设备未处于僵尸网络生命周期的任一阶段时，对于所述物联网设备的流量数据中的任一数据流，利用机器学习方法该数据流的特征向量；

分别确定该数据流的特征向量与各类别的数据的中心点向量的距离，并分别比较各距离与对应类别的数据的距离阈值；其中，各类别的数据的中心点向量和距离阈值依据所述物联网设备在第三预设时间阈值内的正常运行状态下的数据，利用机器学习方法确定；

若该数据流的特征向量与各类别的数据的中心点向量的距离均大于对应类别的数据的距离阈值，则确定所述物联网设备的安全状态为未知异常；

否则，确定所述物联网设备的安全状态为安全。