本發明提出了一種基于通信鏈路監控對物聯網設備進行網絡安全防護的方法，該方法基于一個網絡通信鏈路監控模組，所述網絡通信鏈路監控模組串聯在物聯網終端設備的網絡通信鏈路上，功能和控制均獨立于物聯網設備自身的軟硬件系統，所述網絡通信鏈路監控模組被串聯在物聯網終端設備與網絡層通信的數據鏈路上，物聯網終端設備與網絡層的所有通信均需要通過網絡通信鏈路監控模組，數據包安全監控模塊C根據內置的規則對經過的數據包進行合法性判斷和處理，合法的數據包可透明傳輸，不合法的數據包被阻截。本發明將信任錨建立在物聯網終端設備的網絡通信鏈路上，該安全防護機制獨立于物聯網應用，不受物聯網應用控制，通用性強，安全機制獨特。

【技術領域】

本發明涉及網絡安全防護的技術領域，特別涉及一種基于通信鏈路監控對物聯網設備進行網絡安全防護的方法。

【背景技術】

隨著物聯網產業迅猛發展，其安全也面臨著嚴峻的挑戰。特別是物聯網設備聯網規模激增，加強終端網絡安全防護的安全需求也更加緊迫。當前，終端設備的防護思路仍然主要沿用傳統互聯網安全思維，普遍的做法是基于物聯網設備自身的軟硬件系統，將適用于互聯網終端的認證、防火墻、防病毒、數據加密等技術直接移植到物聯網終端系統內，技術思路和防護方法沒有針對物聯網應用的特點進行設計，不能有效解決以下物聯網終端設備的安全防護問題：

一、海量終端設備暴露在互聯網上，物聯網系統的攻擊面持續擴大；

二、終端設備制造商安全背景不一，設備本身可能存在內置的后門和漏洞，產品及其供應鏈是否安全缺乏標準參考；

三、一些設備自身缺乏安全設計，且在復雜應用環境中面臨新安全風險，一旦物聯網終端設備系統被攻破，會使整個防護系統失效。要從根本上解決這些問題，需要創新思維，針對物聯網應用特點提出新的對終端設備網絡通信安全防護的思路。

因此，為了有效可行地解決大量物聯網設備的網絡安全防護問題，有必要提出一種基于通信鏈路監控對物聯網設備進行網絡安全防護的方法。

【發明內容】

本發明的目的就是解決現有技術中的問題，提出基于通信鏈路監控對物聯網設備進行網絡安全防護的方法，能夠有效地解決大量物聯網設備的網絡安全防護問題。

為實現上述目的，本發明提出了基于通信鏈路監控對物聯網設備進行網絡安全防護的方法，該方法基于一個網絡通信鏈路監控模組，所述網絡通信鏈路監控模組串聯在物聯網終端設備的網絡通信鏈路上，功能和控制均獨立于物聯網設備自身的軟硬件系統，所述網絡通信鏈路監控模組包括網絡通信接口模塊A、終端設備通信接口模塊B和數據包安全監控模塊C，所述數據包安全監控模塊C負責對數據包進行合法性判斷和處理，所述數據包安全監控模塊C通過網絡通信接口模塊A與網絡層通信連接，所述數據包安全監控模塊C通過終端設備通信接口模塊B與物聯網終端設備的核心系統通信連接，該網絡安全防護的方法通過以下方式實現：

所述網絡通信鏈路監控模組被串聯在物聯網終端設備與網絡層通信的數據鏈路上，物聯網終端設備與網絡層的所有通信均需要通過網絡通信鏈路監控模組才能實現，所述數據包安全監控模塊C根據內置的規則對經過的數據包進行合法性判斷和處理，合法的數據包可透明傳輸，不合法的數據包被阻截，從而基于通信鏈路監控對物聯網終端設備實現網絡通信安全防護功能。

作為優選，所述網絡通信鏈路監控模組的數據包安全監控模塊C可對經過的數據包進行解析，實施網絡通信安全控制策略，所述網絡通信安全控制策略包括防火墻、防病毒、入侵檢測、身份認證和數據簽名、數據包加解密、網絡安全態勢監測，根據應用場景、所防護物聯網終端設備應用特性和安全要求的不同，數據包安全監控模塊C的安全控制策略采取上述安全技術中的一種或數種的組合。

作為優選，所述網絡通信鏈路監控模組的數據包安全監控模塊C可對異常通信數據包進行特征聚類、統計、緩存并通過網絡上報至遠程安全管理平臺，為管理者提供海量的態勢采集數據。