[发明专利]基于蜜罐的窄带物联网终端设备的防攻击方法及系统

说明书

本发明提供了基于蜜罐的窄带物联网终端防攻击方法及系统，属于网络安全技术领域。本发明创建多个虚拟节点，虚拟节点与窄带物联网终端一一对应，虚拟节点与对应的窄带物联网终端的基本信息相同，用于模拟窄带物联网终端，将每个虚拟节点与蜜罐群中的一个蜜罐进行绑定；实时获取窄带物联网终端的状态信息，在窄带物联网终端处于休眠状态时，激活对应的虚拟节点，诱导攻击者的攻击流量到绑定的蜜罐中，并由蜜罐捕获攻击行为，通知蜜罐系统中心发出告警，采取相应的防护措施。本发明采用绑定了蜜罐的虚拟节点模拟窄带物联网终端，在窄带物联网终端休眠时间激活，诱导攻击流量进入蜜罐，实现对窄带物联网终端的保护。

技术领域

本发明涉及网络安全技术领域，尤其基于蜜罐的窄带物联网终端设备的防攻击方法及系统。

背景技术

窄带物联网是物联网领域一个新兴的技术，我们目前看到的物联网技术应用，基本上都是窄带物联网，因为它耗能少，传输快，可以达到的效果也很好，它支持低功耗设备在广域网的蜂窝数据连接，也被叫作低功耗广域网(LPWAN)。窄带物联网NB-IoT构建于蜂窝网络，只消耗大约180KHz的带宽，可直接部署于GSM网络、UMTS网络或LTE网络，以降低部署成本、实现平滑升级。窄带物联网设备支持待机时间长、对网络连接要求较高设备的高效连接。窄带物联网设备电池寿命可以提高至至少10年，同时还能提供非常全面的室内蜂窝数据连接覆盖。

窄带物联网设备主要用于自动抄表的电表，自动抄表的水表，城市井盖，城市消防栓，电网设备等设备，涉及社会生活的各个方面，其安全性尤为重要。蜜罐是网络安全领域已为人熟知的技术，蜜罐主要用于诱导攻击者攻击，进而进行攻击行为分析的技术。诱导攻击者攻击时，通常需要部署诱捕节点，将诱捕节点与蜜罐进行绑定，将攻击者的流量转发到蜜罐。因此借助于蜜罐，可以容易发现攻击者的攻击行为，并采取相应的防护措施。

目前已有一些关于物联网蜜网系统的研究，将物联网与蜜网进行结合，用于保证物联网的安全，但并没有针对窄带物联网的安全保障方案。

在中国专利申请文献CN108769071B中，公开了一种攻击信息处理方法该方法包括：接收接入服务器基于隔离原则调度的攻击流量，使攻击发起者所在网络与蜜罐终端网络隔离；获取所述攻击流量中含有的恶意代码；获取模拟物联网终端的特征信息的模拟程序和所述模拟程序的服务配置信息；所述物联网终端的特征信息利用爬虫工具采集得到；所述服务配置信息是触发特征信息的模拟程序的关键信息；所述关键信息是何时触发特征信息模拟程序；在所述恶意代码的执行逻辑与所述服务配置信息相关时，执行所述特征信息的模拟程序；在基于面向物联网设备的Linux系统创建的蜜罐监控环境中，执行所述恶意代码；获取执行所述恶意代码产生的行为数据，得到监控信息。获取管理服务器部署的物联网设备的固件配置信息；根据固件配置信息，从所述管理服务器下载对应的固件；从所述管理服务器中添加补丁和监控工具，创建蜜罐。该方法使用已知病毒及恶意代码库的方式，检测攻击者，这种方式的效率很低，需要对全流量进行代码分析检测，且无法检测出0day攻击，无法实时提供攻击信息。

现有技术至少存在以下不足：

1.目前对窄带物联网终端的保护主要基于鉴权和IP策略等方面的被动保护。

2.目前传统蜜罐技术中，诱捕节点数量和蜜罐数量相对较少，一般在几十到几百，然而物联网终端一般为几万，甚至几百万，这样攻击者被蜜罐诱捕的概率就非常低。

发明内容

为解决现有技术中存在的技术问题，本发明提供了一种基于蜜罐的窄带物联网终端设备的防攻击方法及系统，创建多个虚拟节点，虚拟节点与窄带物联网终端一一对应，虚拟节点与对应的窄带物联网终端的基本信息相同，用于模拟窄带物联网终端，将每个虚拟节点与蜜罐群中的一个蜜罐进行绑定；实时获取窄带物联网终端的状态信息，在窄带物联网终端处于休眠状态时，激活对应的虚拟节点，诱导攻击者的攻击流量到绑定的蜜罐中，并由蜜罐捕获攻击行为，通知蜜罐系统中心发出告警，采取相应的防护措施。