[发明专利]物联网设备的网络安全防护方法及物联网设备

说明书

本发明公开了一种物联网设备的网络安全防护方法及物联网设备，其中，方法包括：在内核层，当Netfilter监控到数据包传输至目标检测点时，根据预先注册在目标检测点的回调函数从数据包中获取关键网络传输信息；将关键网络传输信息由内核层发送至用户层；用户层检测关键网络传输信息是否存在威胁；如果是，则向内核层发送拦截命令，以便内核层丢弃数据包。该方法可以简单、方便且准确地拦截到存在安全隐患的数据包，从而保证物联网设备的网络安全性。

技术领域

本发明涉及物联网网络安全技术领域，特别涉及一种物联网设备的网络安全防护方法及物联网设备。

背景技术

随着物联网的快速发展，应用物联网设备(如：射频识别装置、红外感应器、全球定位系统、激光扫描器等信息传感设备)的用户越来越多。目前，很多的物联网设备预装嵌入式Linux操作系统，物联网设备间以无线或有线的网络连接方式进行数据的传输和信息的同步导致物联网设备的网络安全存在极大隐患。

相关技术中，对于物联网设备的网络安全防护主要是将物联网设备置于隔离网或者加强口令复杂度等方法来提升联网设备的网络安全，但这些方法会影响用户的使用体验，并不能很好地满足用户需求，因此，并不能得到很好的普及。

发明内容

本发明旨在至少在一定程度上解决上述相关技术中的技术问题之一。

为此，本发明的一方面目的在于提出一种物联网设备的网络安全防护方法。该方法可以拦截基于本地检测和云检测的存在安全隐患的信息，保证物联网设备网络安全。

本发明的另一方面目的在于提出一种物联网设备。

为了实现上述目的，本发明的一方面实施例公开了一种物联网设备的网络安全防护方法，包括以下步骤：在内核层，当Netfilter监控到数据包传输至目标检测点时，根据预先注册在所述目标检测点的回调函数从所述数据包中获取关键网络传输信息；将所述关键网络传输信息由所述内核层发送至用户层；所述用户层检测所述关键网络传输信息是否存在威胁；如果是，则向所述内核层发送拦截命令，以便所述内核层丢弃所述数据包。

本发明实施例的物联网设备的网络安全防护方法，通过监控数据传输，在预先注册的目标检测点通过回调函数获取关键网络传输信息，将获取到的信息传输至用户层并进行检测，若检测出威胁则向内核层发送拦截命令，丢弃数据包。该方法可以简单、方便且准确地拦截到存在安全隐患的数据包，从而保证物联网设备的网络安全性。

在一些示例中，所述目标检测点包括：

数据包流入检测点NF_INET_LOCAL_IN，用于监控数据包的流入；

数据包流出检测点NF_INET_LOCAL_OUT，用于监控数据包的流出；

数据包转发检测点NF_INET_FORWARD，用于监控数据包的转发。

在一些示例中，所述根据预先注册在所述目标检测点的回调函数从所述数据包中获取关键网络传输信息，包括：从所述数据包中获取互联网协议IP、端口、域名和统一资源定位符URL，并将所述互联网协议IP、端口、域名和统一资源定位符URL作为所述关键网络传输信息。

在一些示例中，所述用户层检测所述关键网络传输信息是否存在威胁，包括：所述用户层通过网络安全策略模块对所述关键网络传输信息进行检测，以确定所述关键网络传输信息是否存在威胁，其中，所述网络安全策略模块预先制定有防护规则。

在一些示例中，所述网络安全策略模块部署在所述物联网设备上，或者所述安全策略模块部署在云服务器。

在一些示例中，所述的物联网设备的网络安全防护方法还包括：所述内核层在预定时间内没有收到所述拦截命令时，则继续传输所述数据包。