一种物联网资产安全画像方法与系统与流程

本发明是关于物联网资产安全领域，特别涉及一种物联网资产安全画像方法与系统。

背景技术：

当前针对物联网资产的安全防护方案主要是在边界和网络部署安全设备，通过防火墙(fw)、准入、入侵防御系统(ips)等设备，依靠的是黑白名单和已知特征匹配的方式，难以有效发现物联网资产本身的安全问题，在出现被黑客攻击和利用的情况下无法实时感知。

如图1所示的传统的安全检测手段，采用基于黑白名单的特征检测方式，依赖于特征库的完善程度，缺点是完全基于已知策略库来发现安全威胁，对新型攻击无法有效识别。

技术实现要素：

本发明的主要目的在于克服现有技术中的不足，提供一种通过对物联网资产自身的安全状态监控，基于关系分析和异常智能分析，发现资产内部的异常数据的方法及系统。为解决上述技术问题，本发明的解决方案是：

提供一种物联网资产安全画像方法，具体包括下述步骤：

步骤1)通过物联网资产内部的数据监控，进行资产数据汇总；

步骤2)对汇总的资产数据进行识别和分类(即根据资产数据的类型和字段名称进行识别，根据资产数据的类型和解析好的字段进行分类)，然后依据内置的特征库进行判断：

如果资产数据与黑名单匹配，则判断该资产数据为恶意，下发阻断指令并告警，告警数据同步到步骤5)进行资产画像，且不再对该资产数据进行步骤3)和步骤4)的分析；

如果资产数据与黑名单不匹配，则判断该资产数据为非恶意，进入步骤3)进行关系分析；

所述内置的特征库中存储有黑名单，黑名单包括恶意的ip、域名和关键字的黑名单策略；

步骤3)根据资产数据以及资产数据之间的关系，绘制数据关系图；

步骤4)根据数据关系图对异常行为进行判断：

如果某一种数据异常，则判断数据关系图中与该数据存在对应关系的所有数据均异常，下发阻断指令并告警，告警数据同步到步骤5)进行资产画像；

步骤5)根据资产指纹、状态数据、资产关系数据和分析威胁数据形成资产画像，资产画像用于对资产的安全程度进行判断(资产画像能将所有资产的安全属性进行关联分析，并据此对资产的安全程度进行判断，是产品关于资产安全评估的一个功能；资产画像能直观查看异常的网络、进程、文件等行为，并能定位关联数据)；

其中，所述状态数据通过物联网资产内部的数据监控获取；所述资产关系数据通过步骤3)绘制的数据关系图获取；所述分析威胁数据是指步骤2)和步骤4)同步的告警数据。

在本发明中，所述步骤1)中，所述资产数据包括：资产指纹、类型、网络、进程和文件；

其中，资产指纹包括数据：资产的型号、品牌、物理地址、硬件属性；类型是指资产的设备类型；网络是指资产的网络通信行为；进程是指资产的进程id和名称；文件是指资产内部的文件。

在本发明中，所述步骤3)中，根据资产数据以及资产数据之间的关系，绘制数据关系图，具体如下：

根据资产的资产指纹和类型生成资产图标，资产通过进程和文件与网络通信行为数据进行关联：将网络通信行为数据的不同网络连接ip地址与资产的进程对应；

将资产的新建文件或者变化文件，与资产的进程对应，如果有进程存在父进程的情况，父进程还需要和子进程直接生成关系对应。

在本发明中，所述步骤4)中，判断一种数据异常的方法，具体为：如果资产内同一种维度数据(维度包含网络、进程、文件，比如，资产内的全部网络数据则是同一种维度数据)，在方法a和方法b中均为可疑状态，且不在内置可信列表范围，则标记该种维度的数据为异常；

所述可信列表由预置白名单和自学习网络中资产数据生成的ip或进程列表；

方法a：在一定时间周期内(默认24小时，周期可配置)，计算各维度数据在同一网络环境区域的出现概率，该出现概率＝某维度数据量/总资产数据量×100％；出现概率值越低则威胁指数越高，出现概率值低于阈值m则进入可疑状态，出现概率值超过阈值n进入可信状态；

其中，阈值m、阈值n的取值范围都满足：0-100％，且m小于n(m优选10％，n优选80％)；

方法b：计算历史30天，各维度数据在同一网络环境区域的历史出现概率，该历史出现概率＝某维度数据量/总资产数×100％；历史出现概率值越低则威胁指数越高，历史出现概率值低于阈值i则进入可疑状态，历史出现概率值超过阈值j进入可信状态；

其中，阈值i、阈值j的取值范围都满足：0-100％，且i小于j(i优选10％，j优选80％)。

在本发明中，所述步骤5)中，所述状态数据是指资产在线离线、网络时延数据，通过物联网资产内部的数据监控获取；所述资产关系数据是指网络、进程和文件之间的关系情况，由步骤3)绘制的数据关系图获取；所述分析威胁数据是指根据资产的网络、文件、进程变化行为判断异常威胁的数据，即指步骤2)和步骤4)同步的告警数据。

提供一种物联网资产安全画像系统，包括处理器，适于实现各指令；以及存储设备，适于存储多条指令，所述指令适用于由处理器加载并执行：

步骤1)通过物联网资产内部的数据监控，进行资产数据汇总；

步骤2)对汇总的资产数据进行识别和分类(即根据资产数据的类型和字段名称进行识别，根据资产数据的类型和解析好的字段进行分类)，然后依据内置的特征库进行判断：

如果资产数据与黑名单匹配，则判断该资产数据为恶意，下发阻断指令并告警，告警数据同步到步骤5)进行资产画像，且不再对该资产数据进行步骤3)和步骤4)的关系分析；

如果资产数据与黑名单不匹配，则判断该资产数据为非恶意，进入步骤3)进行关系分析；

所述内置的特征库中存储有黑名单，黑名单包括恶意的ip、域名和关键字的黑名单策略；

步骤3)根据资产数据以及资产数据之间的关系，绘制数据关系图；

步骤4)根据数据关系图对异常行为进行判断：

如果某一种数据异常，则判断数据关系图中与该数据存在对应关系的所有数据均异常，下发阻断指令并告警，告警数据同步到步骤5)进行资产画像；

步骤5)根据资产指纹、状态数据、资产关系数据和分析威胁数据形成资产画像，资产画像用于对资产的安全程度进行判断(资产画像能将所有资产的安全属性进行关联分析，并据此对资产的安全程度进行判断，是产品关于资产安全评估的一个功能；资产画像能直观查看异常的网络、进程、文件等行为，并能定位关联数据)；

其中，所述状态数据通过物联网资产内部的数据监控获取；所述资产关系数据通过步骤3)绘制的数据关系图获取；所述分析威胁数据是指步骤2)和步骤4)同步的告警数据。

本发明的工作原理：通过对物联网资产内部行为分析，包含资产指纹、类型、网络、进程和文件等数据，基于数据之间的关系绘制关系图，识别其中恶意的行为并进行预警，形成物联网资产安全画像。

与现有技术相比，本发明的有益效果是：

本发明通过对物联网资产自身的安全状态监控，基于关系分析和异常智能分析的方法，发现资产内部的异常数据，发现来自外部的黑客攻击和内部被入侵的安全问题，并利用数据之间的关系形成安全画像，能快速直观地发现物联网资产的安全问题。

附图说明

图1为传统的安全检测手段流程图。

图2为本发明的检测流程图。

具体实施方式

下面结合附图与具体实施方式对本发明作进一步详细描述：

如图2所示的一种物联网资产安全画像方法，通过传感器数据采集对物联网设备进行监控，获取物联网设备的行为和状态等数据，把这些数据统一发送到管控平台，由管控平台对数据进行分析和画像。物联网是指物物相连的互联网；资产是指：接入物联网的设备；分析中心(管控平台)是指：用于接入物联网资产数据分析发现异常威胁的平台。

该种物联网资产安全画像方法具体包括下述步骤：

步骤1)通过物联网资产内部数据监控，包含资产指纹、类型、网络、进程和文件等数据，将数据汇总统一发送到分析中心。

步骤2)分析中心对数据进行解析识别和分类：根据资产数据的类型和字段名称进行识别，按照数据类型和解析好的字段进行分类，依据数据的类型进行识别和分类。然后，分析中心再依据内置的特征库进行判断：

如果与黑名单匹配则判断为恶意，下发阻断指令并告警，告警数据同步到资产画像，资产画像为产品关于资产安全评估的一个功能，将所有资产的安全属性进行关联分析，据此对资产的安全程度进行判断；

如果与黑名单不匹配则判断为非恶意，进入步骤3)的关系分析。

所述内置的特征库是指恶意的ip、域名、关键字的黑名单策略。

步骤3)根据不同的数据类型以及数据之间的关系，绘制数据关系图。

根据资产的资产指纹和类型生成资产图标，资产通过进程和文件与网络通信行为数据进行关联：将网络通信行为数据的不同网络连接ip地址与资产的进程对应，资产的新建文件或者变化文件与资产的进程对应，如果有进程存在父进程的情况，还需要和子进程直接生成关系对应。

步骤4)根据数据关系图对异常行为进行判断，如果某一种数据类型异常，则判断该对应关系中所有数据均为异常，需要下发阻断指令。

具体异常判断方法有方法a和方法b，如果资产内同一种维度数据，在方法a和方法b中均为可疑状态，且不在内置可信列表范围，则标记该种维度的数据为威胁。

所述可信列表由预置白名单和自学习网络中资产数据生成的ip或进程列表。

方法a：在一定时间周期内(默认24小时，周期可配置)，计算各维度数据在同一网络环境区域的出现概率，该出现概率＝某维度数据量/总资产数据量×100％；出现概率值越低则威胁指数越高，出现概率值低于阈值m则进入可疑状态，出现概率值超过阈值n进入可信状态，如果数值在阈值m和阈值n之间不参与计算。

其中，阈值m为10％，阈值n为80％。

方法b：计算历史30天，各维度数据在同一网络环境区域的历史出现概率，该历史出现概率＝某维度数据量/总资产数×100％；历史出现概率值越低则威胁指数越高，历史出现概率值低于阈值i则进入可疑状态，历史出现概率值超过阈值j进入可信状态。

其中，阈值i为10％，阈值j为80％。

步骤5)根据资产指纹数据、状态数据、资产关系数据和分析威胁数据形成资产画像，可直观查看异常的网络、进程、文件等行为，并快速定位关联数据。

其中，所述资产指纹数据是指资产的型号、品牌、物理地址、硬件属性等；所述状态数据是指资产在线离线、网络时延等；所述资产关系数据是指网络、进程和文件之间的关系情况；所述分析威胁数据是指根据资产的网络、文件、进程变化行为判断异常威胁的数据。

最后，需要注意的是，以上列举的仅是本发明的具体实施例。显然，本发明不限于以上实施例，还可以有很多变形。本领域的普通技术人员能从本发明公开的内容中直接导出或联想到的所有变形，均应认为是本发明的保护范围。