[发明专利]一种防御IoT设备遭受入侵的方法及系统

说明书

技术领域

本发明涉及物联网安全技术领域，尤其涉及一种防御IoT设备遭受入侵的方法及系统。

背景技术

随着互联网的飞速发展，也推进物联网的快速发展，而物联网设备在给人们带来便利的同时，也同样由于物联网设备的缺陷及漏洞，导致攻击者们开始利用物联网设备发起攻击，其发起的攻击主要为DDOS（拒绝服务攻击），通过利用物联网设备的出厂默认账号密码的脆弱性，同时也由于使用者忽略其安全性等问题，导致攻击者通过对物联网设备渗透，猜测密码，并获得设备的权限，并植入恶意代码-蠕虫（例如Mirai蠕虫），并通过远程服务器控制该物联网设备，基于蠕虫的特点，会进一步主动去感染其他的物联网设备，从而导致大面积物联网设备沦陷，沦为攻击者的肉鸡，并发起攻击。并且对于蠕虫恶意代码的特性来说，仅仅清除恶意代码，并不能够彻底清除安全隐患。

目前对于Windows平台的防御体系已经很成熟，其对于病毒、木马、蠕虫等的检测技术主要包括特征检测、网络检测、恶意代码行为检测等，而对于物联网设备（主要包括ARM、MIPS等架构）的防御和清除还不健全。物联网设备感染了恶意代码后，可以被清除，可由于“Mirai”恶意代码的特性，其传播范围广泛，并能够通过远控自动去感染其他的IoT设备，虽被清除，可能之后还会被感染。

发明内容

针对上述技术问题，本发明所述的技术方案通过监控系统登录日志、当前设备启动的进程和对外发起的网络请求，并利用白名单机制进行判定，若存在于白名单中则允许其执行，否则及时进行阻断操作，进而有效防御针对IoT设备的入侵攻击。

本发明采用如下方法来实现：一种防御IoT设备遭受入侵的方法，包括：

监控当前设备的系统登录日志，若存在同一IP的连续失败登录日志数量超过设定值，则阻断该IP登录当前设备；

监控当前设备的进程，若启动的进程不在进程白名单中，则阻断该进程的启动；

监控当前设备对外发起的网络请求，若网络请求不在请求白名单中，则阻断当前网络请求。

进一步地，所述阻断该IP登录当前设备后，还包括：将该IP加入黑名单，禁止该IP登录当前设备。

进一步地，若启动的进程为用户自行启动，则预先将该进程名添加到所述进程白名单中。

上述方法中，所述进程白名单是在初始状态下对系统进程建立快照备份后生成。

进一步地，所述请求白名单中存储有系统更新或者已知软件更新的域名或者IP 地址。

进一步地，还包括：对当前设备系统内相关信息进行备份操作，若判定当前设备遭受入侵后，基于备份的相关信息进行恢复操作，所述相关信息包括：全盘文件、系统进程或者账户信息。

进一步地，还包括：当用户初始登录成功后，判断系统密码是否为弱口令，若是则强制用户修改密码，否则允许登录到当前设备中。

本发明可以采用如下系统来实现：一种防御IoT设备遭受入侵的系统，包括：

日志监控模块，用于监控当前设备的系统登录日志，若存在同一IP的连续失败登录日志数量超过设定值，则阻断该IP登录当前设备；

进程监控模块，用于监控当前设备的进程，若启动的进程不在进程白名单中，则阻断该进程的启动；

请求监控模块，用于监控当前设备对外发起的网络请求，若网络请求不在请求白名单中，则阻断当前网络请求。

进一步地，所述阻断该IP登录当前设备后，还包括：将该IP加入黑名单，禁止该IP登录当前设备。

进一步地，若启动的进程为用户自行启动，则预先将该进程名添加到所述进程白名单中。

上述系统中，所述进程白名单是在初始状态下对系统进程建立快照备份后生成。

进一步地，所述请求白名单中存储有系统更新或者已知软件更新的域名或者IP 地址。

进一步地，还包括：备份恢复模块，用于对当前设备系统内相关信息进行备份操作，若判定当前设备遭受入侵后，基于备份的相关信息进行恢复操作，所述相关信息包括：全盘文件、系统进程或者账户信息。

进一步地，还包括：弱口令监控模块，用于当用户初始登录成功后，判断系统密码是否为弱口令，若是则强制用户修改密码，否则允许登录到当前设备中。