[发明专利]物联网系统安全防护方法、装置、设备及介质

说明书

本发明涉及物联网网络信息安全领域，提供一种物联网系统安全防护方法、装置、设备及介质，能够配置目标物联网系统对入访日志的访问权限，避免入访日志被随意篡改，导致后续无法监测和溯源，分层配置目标物联网系统的代理配置文件，对代理配置文件进行分层递归解析，得到入访源地址，监测入访日志中每个入访源地址的行为特征，并锁定可疑攻击源，利用至少一个公网接口查询可疑攻击源的位置信息，当可疑攻击源的位置信息异常时，禁止可疑攻击源访问目标物联网系统，结合异常的特征及异常的位置信息有效进行异常访问情况的识别，并通过溯源及地理定位达到了防攻击的目的，进而实现对物联网系统的安全防护。

技术领域

本发明涉及物联网网络信息安全技术领域，尤其涉及一种物联网系统安全防护方法、装置、设备及介质。

背景技术

物联网系统因物联网设备分布广泛且分散，攻击者可以从任意网络可达处对系统进行攻击，尤其是对配置在弹性负载均衡(Elastic Load Balance，ELB)的容器环境下的单一物联网业务系统，安全防护上还存在一定缺陷。

首先，对于通过安装插件的方式，仅能获取部分协议层的攻击IP(InternetProtocol，网际互连协议)，但无法满足攻击源定位的需要，因而无法有效的快速溯源定位，并实现防攻击。

其次，对于通过额外添置专用防攻击系统或装置的方式，在容器环境下实现的成本及复杂度较高，尤其是在以容器结合组件运营的中台系统中，各系统运维人员需要对共有的安全防护系统进行学习，并不断更新，成本较高，而本身部分防护系统也存在不少0Day漏洞。

发明内容

鉴于以上内容，有必要提供一种物联网系统安全防护方法、装置、设备及介质，旨在解决物联网系统的安全防护问题。

一种物联网系统安全防护方法，所述物联网系统安全防护方法包括：

配置目标物联网系统对入访日志的访问权限，及分层配置所述目标物联网系统的代理配置文件；

响应于对所述目标物联网系统的安全防护指令，启动所述代理配置文件，并对所述代理配置文件进行分层递归解析，得到入访源地址；

将所述入访源地址输出至所述入访日志，并监测所述入访日志中每个入访源地址的行为特征；

根据每个入访源地址的行为特征锁定所述入访源地址中的可疑攻击源；

调用至少一个公网接口，并利用所述至少一个公网接口查询所述可疑攻击源的位置信息；

当所述可疑攻击源的位置信息异常时，禁止所述可疑攻击源访问所述目标物联网系统。

根据本发明优选实施例，所述配置目标物联网系统对入访日志的访问权限包括：

采用第一预设命令查询所述目标物联网系统下每个用户的访问权限；

获取预先配置的白名单；

将除所述白名单外的其他用户的访问权限配置为禁止读写所述入访日志。

根据本发明优选实施例，所述分层配置所述目标物联网系统的代理配置文件包括：

配置所述代理配置文件中的代理包头信息；

允许从弹性负载均衡端口地址段至代理的访问修改所述代理配置文件中的入访地址参数，及允许从云防火墙端口地址段至代理的访问修改所述入访地址参数；

允许利用所述代理包头信息中的X-Forwarded-For值替换所述入访地址参数的值；

利用第二预设命令对所述代理包头信息进行解析，得到目标字段；