本發明公開了抽樣流量下物聯網設備蠕蟲受害節點的發現方法及系統，包括：基于抽樣流量對監控對象設備的訪問數據進行監控；基于訪問數據查找監控對象設備訪問目標設備的遠程服務端口信息；如果所述遠程服務端口信息存在，則反向探測監控對象設備遠程服務端口的開啟狀態；如果所述監控對象設備遠程服務端口打開，則探測所述監控對象設備的常用端口并登錄預設端口，獲取返回信息；基于滿足判斷條件的返回信息，判斷監控對象設備為物聯網設備的蠕蟲受害節點。解決現有技術中檢測物聯網設備蠕蟲受害節點的方法占用大量資源，檢測效率不高的問題。

技術領域

本發明涉及計算機網絡安全技術領域，更具體地涉及抽樣流量下物聯網設備蠕蟲受害節點的發現方法及系統。

背景技術

隨著智能家居等物聯網設備的蓬勃發展，在線物聯網設備大幅增加，因該類設備一般沒有經過嚴格的安全設計，物聯網設備逐漸成為了黑客入侵的對象，路由器、網絡攝像頭、DVR等物聯網設備逐步成為了木馬、蠕蟲等惡意代碼傳播的載體，但安全防護或惡意代碼發現方法卻未能跟上惡意代碼傳播的腳步，惡意代碼對其注入、進而利用其進行攻擊比攻擊桌面操作系統容易的多，故監控、發現物聯網設備的惡意代碼傳播，進而防護成為了網絡安全相關產品的新方向。

蠕蟲病毒是一種常見的計算機病毒，它利用網絡進行復制和傳播，傳染途徑是通過網絡和電子郵件，若通過網絡流量發現被感染的蠕蟲設備一般需要對大量的流量環境進行監控，如監控A設備傳播B設備，B設備傳播C設備，才可確定B設備是被感染節點。這種檢測物聯網設備蠕蟲受害節點的方法會占用大量資源，檢測效率不高。

發明內容

為了解決上述技術問題，提供了根據本發明的抽樣流量下物聯網設備蠕蟲受害節點的發現方法及系統。

根據本發明的第一方面，提供了抽樣流量下物聯網設備蠕蟲受害節點的發現方法。該方法包括：基于抽樣流量對監控對象設備的訪問數據進行監控；基于訪問數據查找監控對象設備訪問目標設備的遠程服務端口信息；如果所述遠程服務端口信息存在，則反向探測監控對象設備遠程服務端口的開啟狀態；如果所述監控對象設備遠程服務端口打開，則探測所述監控對象設備的常用端口并登錄預設端口，獲取返回信息；基于滿足判斷條件的返回信息，判斷監控對象設備為物聯網設備的蠕蟲受害節點；其中，所述抽樣流量為從獲取到的監控對象設備大量流量中截取的一部分流量。

在一些實施例中，所述反向探測監控對象設備遠程服務端口的開啟狀態，包括：對監控對象設備遠程服務端口進行端口掃描，所述掃描包括手工掃描、軟件掃描。

在一些實施例中，所述判斷條件中包括授權信息、提示信息。

在一些實施例中，所述提示信息是登錄預設端口產生的，包括登錄設備名稱、路由器標識。

在一些實施例中，所述授權信息中的設備標識信息包括HuaweiHomeGateway、ZNID24xx-Router、DahuaRtsp。

根據本發明的第二方面，提供抽樣流量下物聯網設備蠕蟲受害節點的發現系統，包括：監控模塊，用于基于抽樣流量對監控對象設備的訪問數據進行監控；查找模塊，用于基于訪問數據查找監控對象設備訪問目標設備的遠程服務端口信息；反向探測模塊，用于如果所述遠程服務端口信息存在，則反向探測監控對象設備遠程服務端口的開啟狀態；返回模塊，用于如果所述監控對象設備遠程服務端口打開，則探測所述監控對象設備的常用端口并登錄預設端口，獲取返回信息；判斷模塊，用于基于滿足判斷條件的返回信息，判斷監控對象設備為物聯網設備的蠕蟲受害節點；其中，所述抽樣流量為從獲取到的監控對象設備大量流量中截取的一部分流量。

在一些實施例中，所述反向探測監控對象設備遠程服務端口的開啟狀態，包括：對監控對象設備遠程服務端口進行端口掃描，所述掃描包括手工掃描、軟件掃描。

在一些實施例中，所述判斷條件中包括授權信息、提示信息。