多物联网设备联合入侵防御方法

技术领域

本发明涉及一种多物联网设备联合入侵防御方法，属于网络信息安全防护领域。

背景技术

随着物联网技术的进步，物联网的应用愈加广泛。根据Gartner的数据，2020年全球物联网设备数量达到了约293亿个，预计到2025年将超过500亿个。然而，物联网网络安全问题日益凸显，尤其是针对物联网中的攻击行为日趋增加。物联网的广泛应用使得恶意攻击者有机可乘，攻击者利用物联网设备之间的连接性来实施各种攻击，如入侵、数据泄露和服务中断。以Mirai僵尸网络攻击为例，该恶意软件通过利用默认凭证和弱密码，成功侵入大量未充分安全配置的物联网设备，涵盖摄像头、路由器和智能家居设备等。一旦设备被感染，Mirai将其纳入一个庞大的僵尸网络，使攻击者能够远程控制这些设备，从而实施分布式拒绝服务攻击。根据Symantec的报告，2019年物联网攻击中，针对路由器、摄像头和智能家居设备的攻击增加了96％。然而，物联网环境中的攻击行为与传统网络攻击有所不同，这加剧了保护这些网络免受威胁的难度。

为应对此挑战，现有研究提出多种移动目标防御方法。μMT6D为一种面向受限设备的移动目标防御机制，通过IP地址旋转限制侦察攻击时间。其中每个设备都有一个旋转地址，该地址由轻量级哈希算法生成。μMT6D能成功防御地址耗尽攻击、中断服务、主机跟踪以及窃听被动攻击等。AShA为另一种典型的移动目标防御方法。该方法让网络中的每个节点自主计算其新地址。协调器通过选择一组参数来确保每个新地址尚未在网络中使用。AShA可以在IPv6网络中实现安全、快速、无冲突的地址更新。上述方法以移动目标防御为核心，但只能防御恶意软件感染之前的攻击，无法针对已经入侵的攻击者进行有效防御。

有鉴于此，确有必要提出一种多物联网设备联合入侵防御方法，以解决上述问题。

发明内容

本发明目的在于提供一种多物联网设备联合入侵防御方法，以防御物联网环境中恶意攻击，为网络管理和网络安全的有效防护提供保障。

为实现上述目的，本发明提供了一种多物联网设备联合入侵防御方法，包括如下步骤：

S1、在物联网环境中部署蜜罐；

S2、在物联网环境中部署基于移动目标防御的方案；

S3、蜜罐进行数据采集并将采集完成后的数据发送到服务器端，服务器端通过机器学习算法对数据进行判断，若检测出恶意攻击执行步骤S4；

S4、多设备开展联合防御。

作为本发明进一步的改进，所述步骤S1具体包括以下步骤：

S11、将蜜罐分为交互式蜜罐以及非交互式蜜罐；

S12、对所述物联网环境进行分类，划分为不同的虚拟局域网；

S13、部署诱饵节点，在各个所述虚拟局域网中部署诱饵结点。

作为本发明进一步的改进，所述步骤S2包括如下步骤：

S21、IP地址切换；

S22、文件格式替换；

其中，所述步骤S21具体过程如下：

S211、创建当前网络所有可用IP地址的列表；

S212、根据给出的IP地址生成算法，随机生成一个IP地址，作为新的IP地址；

S213、IP地址切换完成后，对应所述IP地址的网络拓扑也完成替换；

在所述步骤S22中具体过程如下：

S221、创建一个字典以维持有效扩展名和虚假扩展名之间的映射关系；

S222、系统检测到恶意软件后，将目标拓展名映射为虚假拓展名。

作为本发明进一步的改进，所述步骤S3包括如下步骤：

S31、邻居蜜罐节点监控物联网设备，针对CPU、虚拟内存、文件系统、网络接口进行数据采集；

S32、蜜罐将收集数据发送给服务器，服务器则负责接收数据；

S33、服务器将收集数据进行数据预处理；

S34、服务器端使用机器学习算法对收集数据进行异常检测以及异常分类；

S35、服务器端若检测到异常或恶意攻击后使用移动目标防御并且将流量导入到蜜罐中去；

作为本发明进一步的改进，所述步骤S4具体包括如下步骤：

S41、在物联网环境中部署蜜罐；

S42、在步骤S1和步骤S2中将恶意攻击流量引导到蜜罐中去；

S43、蜜罐收到重定向的恶意流量，记录有关涉及的物联网设备的信息；

S44、在确定恶意行为时，部署在物联网网络中的多个蜜罐与物联网设备协作判断物联网恶意设备；

S45、蜜罐与物联网设备协作确认物联网恶意设备，将信息发送到服务器端；

S46、服务器端根据恶意行为检测信息以及设备提供的相关信息进行判断。

本发明的有益效果是包括：本发明的多物联网设备联合入侵防御方法不仅能够有效地对抗入侵尝试者，还能在攻击者获取一定权限后发起的攻击行为进行防御，从而增强了整个网络的安全性。该方法可广泛应用于物联网网络安全和网络管理领域，为实际应用提供了有力支持，具备重要的实用价值。

附图说明

图1为本发明的多物联网设备联合入侵防御方法的流程示意图。

图2为攻击执行过程示意图。

图3为防御执行过程示意图。

具体实施方式

为了使本发明的目的、技术方案和优点更加清楚，下面结合附图和具体实施例对本发明进行详细描述。

本发明专利提出一种多物联网设备联合入侵防御方法，包括如下步骤：

(1)在物联网环境中部署蜜罐；

(2)在物联网环境中部署移动目标防御方案；

(3)蜜罐数据收集完成后，将数据发送到服务器端，服务器端利用机器学习算法对数据进行判断，若检测出恶意攻击执行步骤(4)；

(4)多设备开展联合防御。

所述步骤(1)具体包括如下步骤：

(1-1)将蜜罐分为两类，包括交互式蜜罐以及非交互式蜜罐；

(1-2)对整个物联网环境进行分类，划分为不同的虚拟局域网；

(1-3)部署诱饵节点，在各个虚拟局域网中部署诱饵结点。

在步骤(1-1)中，蜜罐分为两类：非交互型蜜罐，一种部署在物联网环境中的诱饵，默认情况下不会有正常的物联网设备与其进行数据交互等操作；交互性蜜罐，这种类型的诱饵可以复制实际操作系统和软件在生产设备上运行。

在步骤(1-2)中对物联网网络进行了分类，将其划分为不同的虚拟局域网，根据真实节点的部署情况在虚拟局域网中部署诱饵节点。

在步骤(1-3)中，在虚拟局域网中部署诱饵节点，其中非交互式蜜罐，将其随机的部署到物联网环境中，而交互式蜜罐则部署在物联网设备的附近，即作为物联网设备的邻居结点。

(2)在物联网环境中部署基于移动目标防御的方案。

所述步骤(2)具体包括如下步骤：

(2-1)IP地址切换；

(2-2)文件格式替换。

在步骤(2-1)中，IP地址切换部分，具体过程如下：

(2-1-1)创建当前网络所有可用IP地址的列表；

(2-1-2)根据给出的IP地址生成算法，随机生成一个IP地址，作为新的IP地址；

(2-1-3)IP地址切换完成后，其对应的网络拓扑也完成替换；

在步骤(2-2)中，文件格式替换部分，具体过程如下：

(2-2-1)创建一个字典，来维持有效扩展名和虚假扩展名之间的映射关系；

(2-2-2)系统检测到后门、勒索软件等恶意软件后，将目标拓展名映射为虚假拓展名；

在步骤(2-1-1)中，创建一个包含网络中所有可用IP地址的列表。该过程先生成包含该私有网络中所有IP地址的列表，然后从中删除已分配的活跃IP地址。

在步骤(2-1-2)中，随机生成一个IP地址，判断当前IP地址是否为可用IP地址，然后物联网设备发起请求，将其IP地址改变为所选IP地址，检查新IP地址是否可用，如果不可用则重复以上步骤，否则切换IP成功。

在步骤(2-1-3)中，在IP地址切换完成后，对应的网络拓扑应在确保交互性蜜罐仍为物联网节点的邻居节点的前提下，完成网络拓扑的变化；

在步骤(2-2-1)中，创建由随机生成的字母数字组成的虚假文件扩展名，并将这些虚拟扩展名替换掉选择的文件实际扩展名。使用字典来维护有效扩展名和虚假扩展名之间的映射关系，在生成新的伪扩展名时，系统会检查字典以确保该伪扩展名是否有效且未被使用，以免发生冲突。

在步骤(2-2-2)中，一旦发现后门、勒索软件等恶意软件后，则利用该字典进行替换，当恶意软件解决后，虚拟扩展名会被实际的文件扩展名所取代。

(3)蜜罐数据收集完成后，将数据发送到服务器端，服务器端利用机器学习算法对数据进行判断，若检测出恶意攻击执行步骤(4)。

所述步骤(3)具体包括如下步骤：

(3-1)邻居蜜罐节点监控物联网设备，针对CPU、虚拟内存、文件系统、网络接口等进行数据采集；

(3-2)蜜罐将收集数据发送给服务器，服务器则负责接收数据；

(3-3)服务器将收集数据进行数据预处理；

(3-4)服务器端使用机器学习算法对收集数据进行异常检测以及异常分类；

(3-5)服务器端若检测到异常或恶意攻击后使用移动目标防御并且将流量导入到蜜罐中去；

在步骤(3-1)中，邻居蜜罐节点监控物联网设备，针对CPU、虚拟内存、文件系统、网络接口等进行数据采集，定期收集数据。

在步骤(3-2)中，在物联网设备上进行数据收集，并且将数据发送到服务器端，服务器端接收数据。

在步骤(3-3)中，服务器端收到数据后，进行数据预处理，进行数据清洗，去除不相关的数据以及噪音性数据，然后对数据进行汇总和归一化处理，以及提取特征等操作方便后续训练。

在步骤(3-4)中，服务器端进行异常检测以及异常分类，异常检测使用半监督方法，只使用正常数据进行训练，以检测任何影响设备行为的恶意软件。异常分类使用监督方法，在训练过程中使用正常和已知攻击数据。

在步骤(3-5)中，服务器端检测到异常后，引导流量到蜜罐中或者使用移动目标防御方法，最后服务器端配置规则来进行常态化检测。

(4)多设备开展联合防御。

所述步骤(4)具体包括如下步骤：

(4-1)在物联网环境中部署蜜罐；

(4-2)在步骤(1)和步骤(2)将恶意攻击流量引导到蜜罐中去；

(4-3)蜜罐收到重定向的恶意流量，记录有关涉及的物联网设备的信息；

(4-4)在确定恶意行为时，部署在物联网网络中的多个蜜罐与物联网设备协作判断物联网恶意设备；

(4-5)蜜罐与物联网设备协作确认物联网恶意设备，相关信息会被发送到服务器端；

(4-6)服务器端根据恶意行为检测信息以及设备提供的相关信息进行判断；

在步骤(4-1)中，在步骤(1)中，本专利说明了蜜罐的部署方式等，将可交互性蜜罐部署到物联网设备附近，作为物联网设备的邻居节点。这种布置有助于监测和捕捉潜在的恶意攻击行为，同时提供了更好的可追溯性和交互性。

在步骤(4-2)中，当系统检测恶意攻击时，系统会将涉及到的物联网设备的流量引导到附近的交互式蜜罐。这个过程涉及到将物联网设备的通信流量从其正常路径重定向到蜜罐，即步骤(2)中IP地址切换时拓扑相应进行变化，从而使蜜罐能够监测并分析该流量，以便识别异常行为。

在步骤(4-3)中，蜜罐收到重定向的流量，它开始记录有关涉及的物联网设备的信息。这包括设备的标识、通信模式、流量模式等。这些信息有助于系统进一步分析和判断设备的行为是否异常或恶意。

在步骤(4-4)中，确定存在恶意行为时，部署在物联网网络中的多个蜜罐与物联网设备相互协作。它们共同分析各自的记录和数据，以确定是否有异常行为出现。这种协作能够增强对潜在恶意行为的确认和准确性，避免误报或漏报。

在步骤(4-5)中，当蜜罐与物联网设备协作确认恶意物联网设备，相关的信息会被发送到服务器。这些信息可能包括涉及的设备信息、异常行为的特征、协作蜜罐的分析结果等。

在步骤(4-6)中，服务器将负责进一步处理这些信息，根据服务器端对于该异常行为的检测结果以及设备端提交的结果进行进一步判断，以免存在恶意物联网设备提供错误信息。当确认攻击存在后，执行步骤(2)中移动目标防御方案，若提供信息有误则降低相应设备的信任值。

综上所述，本发明的多物联网设备联合入侵防御方法不仅能够有效地对抗入侵尝试者，还能在攻击者获取一定权限后发起的攻击行为进行防御，从而增强了整个网络的安全性。该方法可广泛应用于物联网网络安全和网络管理领域，为实际应用提供了有力支持，具备重要的实用价值。

以上实施例仅用以说明本发明的技术方案而非限制，尽管参照较佳实施例对本发明进行了详细说明，本领域的普通技术人员应当理解，可以对本发明的技术方案进行修改或者等同替换，而不脱离本发明技术方案的精神和范围。