[发明专利]一种物联网设备未知漏洞识别方法及装置

权利要求书

1.一种物联网设备未知漏洞识别方法，该方法包括以下步骤：

步骤S1：在流量监测服务器端捕获网络流量，并对流量数据进行HTTP协议解析，提取HTTP头部字段、Body体内容和URL前缀，从而得到流量特征数据，并保存原始数据包；

步骤S2：将所述流量特征数据与已知的IoT设备漏洞特征进行匹配，如果匹配成功，说明该数据为Nday漏洞攻击，因而不符合未知漏洞攻击特点；如果跟所有已知漏洞特征匹配均不成功，则进入步骤S3；

步骤S3：对所述流量特征数据进行语法分析，输入SHELL词法分析器flex，将流量特征数据转变成记号流数据；其中，所述记号流数据包括流量特征数据中的多个记号，并且每个记号都有对应的值和类型；

步骤S4：对记号流数据开展语法分析，将记号流数据转换成语法树：

步骤S5：根据shell语法规则，检测生成的语法树是否合法，如果不符合语法规则的数据，则跳过这条数据，如果语法检测合法，则进入步骤S6；

步骤S6：对符合语法规则的数据进行威胁程度分析，将捕获的数据与攻击模板数据库中的攻击模板进行匹配，根据匹配到的模板计算得到当前记号流数据的威胁值，将当前记号流数据的威胁值与预设阈值进行比较，如果所述威胁值低于预设阈值，则对当前记号流数据进行舍弃，如果所述威胁值不低于预设阈值，则进入步骤S7；

步骤S7：获取所述记号流数据对应的原始数据包，利用数据重放的方式对所述原始数据包进行攻击验证，将所述原始数据包的注入命令中的攻击目的地址替换成系统内验证服务器的地址，并重放该数据，通过在所述验证服务器上查看连接请求来判断重放是否成功，如果有连接则说明重放成功，则进入步骤S8；

步骤S8：按照流量特征数据中的URL前缀进行分类，通过搜索引擎接口在互联网上搜索所述URL前缀，如果能搜索到对应的Nday漏洞，则可以判定所述流量特征数据属于Nday漏洞的攻击数据，此时，将该流量特征数据更新存入Nday规则库，如果检索不到，则表明成功捕获到0day漏洞的攻击数据，最后将该0day漏洞的相关数据信息进行保存显示。

2.根据权利要求1所述的方法，其特征在于：其中，在步骤S1前，还包括构建Nday规则库和攻击模板数据库。

3.根据权利要求2所述的方法，其特征在于：其中，Nday规则库中的数据包括来自爬虫程序从互联网上采集得到的Nday漏洞的特征信息和系统运行过程中不断学习得到的已知漏洞的特征信息；攻击模板数据库中的数据来自通过用户界面由系统专家成员录入得到的攻击模板和对应的威胁值，所述攻击模板数据库中的攻击模板和威胁值实时更新调整。

4.根据权利要求1所述的方法，其特征在于：所述URL前缀包括去除域名的资源路径和参数名。

5.根据权利要求1所述的方法，其特征在于：所述记号流数据包括流量特征数据中的多个记号，并且每个记号都有对应的值和类型。