物联网设备高效协同安全漏洞评估方法与流程

本发明涉及一种物联网设备高效协同安全漏洞评估方法，属于物联网技术领域。

背景技术：

物联网被称为继互联网和移动通信网之后的第三次信息产业浪潮，它能够实现物与物、人与物的广泛连接。近些年物联网发展迅猛，正加速渗透到生产、消费和社会管理等各领域，设备规模呈现爆发性增长趋势，已经逐步渗透到人们生产生活的方方面面，为人们及时了解自己周围环境以及辅助日常工作带来便利。

然而物联网应用在将外围传感器、网关和云资源结合起来的同时，由于信息量过大，引入大量潜在的攻击面和安全漏洞，导致物联网将面临更大的风险，遭到前所未有的攻击。

其中物联网设备方面受限于资源，无法提供完善的安全防护。且节点群数目庞大，不易管理控制。节点的通信容易被截取、伪造，以及节点本身也容易被攻击与入侵控制。

不同物联网环境下对安全防范内容与防范级别存在区别，再加上物联网设备种类繁多，从硬件、操作系统、应用功能都存在着较大的差异，现有的安全漏洞评估方法仍较为传统，对所有设备都统一通过同一方式进行安全排查，效率太低，且由于检测过程中节点容易被攻击或入侵，同时加重了风险性，非常不利于物联网的管理和风险防控。导致传统安全防范机制在物联网设备多样性领域的识别存在水土不服的情况，导致现阶段物联网设备安全防范的要求落地的进程受到制约，为未来的发展埋下隐患。

现急需要一种物联网设备的高效安全漏洞评估方法，为夯实物联网快速发展下的安全问题提供真正可执行可落地的方法。

技术实现要素：

为了解决上述技术问题，本发明提供一种物联网设备高效协同安全漏洞评估方法，其具体技术方案如下：

一种物联网设备高效协同安全漏洞评估方法，包括如下步骤：

步骤1：物联网设备信息整理：获取待评估设备的各类设备信息，将所述设备信息写入物联网设备中；

步骤2：设备脆弱性知识谱图构建：根据待评估设备安全检测要求和产品特点构建可扩展的设备脆弱性知识图谱；

步骤3：设备脆弱性知识图谱与设备信息进行交互映射，自动完成匹配安全检测内容：通过三部问询方式，将设备信息与脆弱性知识图谱中内容接口进行对应安全检测，得出安全检测结果。

进一步的，步骤1中所述设备信息包括设备软硬件功能接口信息和版本信息中的至少一种，所述设备软硬件功能接口信息包括硬件平台信息、软件平台信息、外部访问接口信息、通信接口信息和鉴权认证信息。

进一步的，步骤2中所述设备脆弱性知识图谱包括应用层安全漏洞检测列表、操作系统层面安全漏洞检测列表、芯片层面安全漏洞检测列表和物联设备类型安全漏洞检测列表。

进一步的，步骤3中所述三部问询方式问询包括设备类型、设备软硬件信息和设备功能接口信息三方面的设备信息。

进一步的，所述步骤3中得到的安全检测结果中包括漏洞等级，所述漏洞影响等级包括高危漏洞等级、中危漏洞等级和低危漏洞等级，根据不同检测漏洞确定对应于所述检测漏洞的漏洞影响等级，具体如下：

若所述检测漏洞为获取待评估设备控制权，确定所述检测漏洞为高危漏洞等级；

若所述检测漏洞为窃取待评估设备的敏感数据，确定所述检测漏洞为中危漏洞等级；

若所述检测漏洞为影响待评估设备工作，确定所述检测漏洞为低危漏洞等级。

本发明的有益效果是：物联网设备的安全漏洞评估，解决现有技术中对于是哪种设备的不确定性的问题，能有层次系统的获取物联设备信息，为精准的评估安全漏洞提供先决条件，简化后续评估步骤；系统化的脆弱性图谱，避免安全漏洞评估中的遗漏；自协商机制，无需人为参与，检测主机与检测设备自主协商，效率大幅度提升；对物联网设备进行可扩展的有效分类，可按照类别明确安全漏洞评估级别。

附图说明

图1是本发明的技术方案逻辑图；

图2是本发明的设备脆弱性知识图谱；

图3是本发明的三步问询流程图；

图4是本发明的实施例试验示意图；

图5是本发明的实施例输出安全漏洞评估结果。

具体实施方式

现在结合附图对本发明作进一步详细的说明。这些附图均为简化的示意图，仅以示意方式说明本发明的基本结构，因此其仅显示与本发明有关的构成。

如图1和图3所示，本发明的物联网设备高效协同安全漏洞评估方法，包括如下步骤：

步骤1：物联网设备信息整理：获取待评估设备的各类设备信息，将所述设备信息写入物联网设备中；所述设备信息包括设备软硬件功能接口信息和版本信息中的至少一种，所述设备软硬件功能接口信息包括硬件平台信息、软件平台信息、外部访问接口信息、通信接口信息和鉴权认证信息。物联网设备的安全漏洞评估，解决现有技术中对于是哪种设备的不确定性的问题，能有层次系统的获取物联设备信息，为精准的评估安全漏洞提供先决条件，简化后续评估步骤。将上述设备信息写入物联网设备中用于与检测系统自动交互，避免人为干预，提高效率。

步骤2：设备脆弱性知识谱图构建：根据待评估设备安全检测要求和产品特点构建可扩展的设备脆弱性知识图谱；所述设备脆弱性知识图谱包括应用层安全漏洞检测列表、操作系统层面安全漏洞检测列表、芯片层面安全漏洞检测列表和物联设备类型安全漏洞检测列表。系统化脆弱性图谱，避免安全漏洞评估中的遗漏。并通过此知识谱图的构建精准评估安全漏洞，简化评估步骤，避免评估时间过长而带来的风险和隐患。

步骤3：设备脆弱性知识图谱与设备信息进行交互映射，自动完成匹配安全检测内容：通过三部问询方式，将设备信息与脆弱性知识图谱中内容接口进行对应安全检测，得出安全检测结果。所述三部问询方式问询包括设备类型、设备软硬件信息和设备功能接口信息三方面的设备信息。自协商机制，无需人为参与，检测主机与检测设备自主协商，效率大幅度提升得到的安全检测结果中包括漏洞等级，所述漏洞影响等级包括高危漏洞等级、中危漏洞等级和低危漏洞等级。

根据不同检测漏洞确定对应于所述检测漏洞的漏洞影响等级，具体如下：

若所述检测漏洞为获取待评估设备控制权，确定所述检测漏洞为高危漏洞等级；

若所述检测漏洞为窃取待评估设备的敏感数据，确定所述检测漏洞为中危漏洞等级；

若所述检测漏洞为影响待评估设备工作，确定所述检测漏洞为低危漏洞等级。对物联网设备进行可扩展的有效分类，可按照类别明确安全漏洞评估级别。此步骤最后可得出设备中的安全漏洞等级，通过前述的物联网设备协同的方式构成快速高效的安全漏洞评估的完整方案。

取以下实施例为例，证明达到所述的效果：

采用定制版dlink-850路由器产品进行试验，对应关系如图4所示。

步骤1：获取本设备信息为：

设备名称：dlink850l

物联网设备类型：网关设备

硬件平台：高通qca9563平台

操作系统：openwrt

应用软件功能列表：

外部硬件接口：usb、lan/wan接口、wifi接口

软件具有如下功能接口：pppoe、pptp、l2tp、ds-lite、dhcp、ipv4/v6、qos、acl、dns、网络防火墙。

步骤2：根据本设备安全检测要求和产品特点构建可扩展的设备脆弱性知识图谱，自动匹配安全漏洞有如下检测内容：

openwrt操作系统漏洞扫描

物联网关层相关网络服务漏洞扫描

远程攻击与渗透检测

远程故障注入检测

步骤3：将本设备中信息与步骤2中的待检测内容进行对应检测，得出具体安全漏洞评估结果，结果如下：

cve-2017-14413：

d-linkdir-850lrev.a(withfirmwarethroughfw114wwb07_h2ab_beta1)deviceshavexssintheactionparametertohtdocs/web/wpsacts.php.

references：

misc:https://pierrekim.github.io/blog/2017-09-08-dlink-850l-mydlink-cloud-0days-vulnerabilities.html

cve-2017-14422

d-linkdir-850lrev.a(withfirmwarethroughfw114wwb07_h2ab_beta1)andrev.b(withfirmwarethroughfw208wwb02)devicesusethesamehardcoded/etc/stunnel.keyprivatekeyacrossdifferentcustomers'installations,whichallowsremoteattackerstodefeatthehttpscryptographicprotectionmechanismsbyleveragingknowledgeofthiskeyfromanotherinstallation.

references：

misc:https://pierrekim.github.io/blog/2017-09-08-dlink-850l-mydlink-cloud-0days-vulnerabilities.html

cve-2017-14421

e-linkdir-850lrev.b(withfirmwarethroughfw208wwb02)deviceshaveahardcodedpasswordofwrgac25_dlink.2013gui_dir850lforthealphanetworksaccountupondevicereset,whichallowsremoteattackerstoobtainrootaccessviaatelnetsession.

references：

misc:https://pierrekim.github.io/blog/2017-09-08-dlink-850l-mydlink-cloud-0days-vulnerabilities.html

最终得出该设备有42.86%的中风险，57.14%的低风险。

由此可知，测试主机通过本发明的自动化的交互过程，可以快速感知物联设备的类型，具备的功能，精准定制安全漏洞扫描的内容，避免庞大的安全漏洞评估过程，减少了评估过程中带来的隐患和风险，大幅度提升检测效率。

以上述依据本发明的理想实施例为启示，通过上述的说明内容，相关工作人员完全可以在不偏离本项发明技术思想的范围内，进行多样的变更以及修改。本项发明的技术性范围并不局限于说明书上的内容，必须要根据权利要求范围来确定其技术性范围。