本發明公開了一種窄帶物聯網中的僵尸網絡預警方法，包括：獲取窄帶物聯網中的流量信息，流量信息至少包括：蜜罐捕獲的病毒文件和流量監控網關記錄的日志；按照預設的多個維度分析流量信息，獲得每個維度分別對應的分析結果；多個維度至少包括：流量特征、網絡行為和病毒；根據每個維度分別對應的分析結果確定窄帶物聯網中是否存在僵尸網絡受控設備；若存在，則生成僵尸網絡預警信息。該方法實現了包括病毒文件和日志的流量信息的收集，并對流量信息從不同維度進行分析處理，從而實現了窄帶物聯網中的僵尸網絡的及時預警。相應的，本發明公開的一種窄帶物聯網中的僵尸網絡預警裝置、設備及可讀存儲介質，也同樣具有上述技術效果。

技術領域

本發明涉及計算機病毒防御技術領域，更具體地說，涉及一種窄帶物聯網中的僵尸網絡預警方法、裝置、設備及可讀存儲介質。

背景技術

窄帶物聯網構建于蜂窩網絡，只需要消耗大約180KHz的帶寬，可直接部署于GSM網絡、UMTS網絡或LTE網絡，具有部署成本低、易于升級改造等優點。

在智慧城市的建設過程中，必然需要窄帶物聯網的支持。該網絡可覆蓋井、路燈、消防栓等各種城市設施，網絡中的設備類型繁雜、成本低、功耗小、覆蓋范圍廣，可實現單小區5萬連接數的設備覆蓋。每個設備基于物聯網卡(新類別SIM卡)接入網絡。正是由于窄帶物聯網具有覆蓋范圍廣的特點，一旦其感染計算機病毒，特別是僵尸病毒，若不及時處理預防，可能會導致大范圍的網絡癱瘓或異常。

在現有技術中，由于窄帶物聯網中的物聯網卡(SIM卡)、芯片、模組和設備的廠商多而復雜，使得網絡中的數據收集雜亂無章，基于雜亂無章的數據也無法提取出可用的信息，所以也無法及時預警網絡中的病毒。例如：蠕蟲病毒和僵尸病毒，即使其已經擴散到大量設備，只要沒有惡意行為，很難被網絡的控制后臺發現和覺察。

因此，如何發現窄帶物聯網中的僵尸網絡受控設備，并及時預警，是本領域技術人員需要解決的問題。

發明內容

本發明的目的在于提供一種窄帶物聯網中的僵尸網絡預警方法、裝置、設備及可讀存儲介質，以發現窄帶物聯網中的僵尸網絡受控設備，并及時預警。

為實現上述目的，本發明實施例提供了如下技術方案：

一種窄帶物聯網中的僵尸網絡預警方法，包括：

獲取窄帶物聯網中的流量信息，所述流量信息至少包括：蜜罐捕獲的病毒文件和流量監控網關記錄的日志；

按照預設的多個維度分析所述流量信息，獲得每個維度分別對應的分析結果；所述多個維度至少包括：流量特征、網絡行為和病毒；

根據所述每個維度分別對應的分析結果確定所述窄帶物聯網中是否存在僵尸網絡受控設備；

若存在，則生成僵尸網絡預警信息。

其中，當按照所述流量特征分析所述流量信息時，包括：

從所述流量信息中提取數據流信息，并采用聚類算法對所述數據流信息進行聚類分析，得到多個聚簇；

確定每個聚簇分別對應的流量特征，并根據所述每個聚簇分別對應的流量特征確定分析結果。

其中，當按照所述網絡行為分析所述流量信息時，包括：

從所述流量信息中提取所述窄帶物聯網中的各設備的信息，所述各設備的信息至少包括：設備的ID、類型、位置、網關IP和休眠和活躍時間；

按照所述各設備的信息將所述窄帶物聯網中的各設備劃分為不同設備組；

分析每個設備組中的各設備的網絡行為，并根據所述每個設備組中的各設備的網絡行為確定分析結果。

其中，當按照病毒分析所述流量信息時，包括：