物联网终端异常检测与响应的方法与系统与流程

本申请涉及物联网技术领域，尤其是涉及一种物联网终端异常检测与响应的方法与系统。

背景技术：

物联网(theinternetofthings，iot)是指通过信息传感器、射频识别技术、全球定位系统、红外感应器、激光扫描器等各种装置与技术，实时采集任何需要监控、连接、互动的物体或过程，能够采集其声、光、热、电、力学、化学、生物、位置等各种需要的信息，通过各类网络的接入，实现物与物、物与人的连接，实现对物品和过程的智能化感知、识别和管理。因此，物联网是一个基于互联网、传统电信网等的信息承载体，它可以让所有能够被独立寻址的普通物理对象形成互联互通的网络。

物联网终端是物联网中连接传感网络层和传输网络层，实现采集数据及向网络层发送数据的设备。物联网终端具备数据采集、初步处理、加密、传输等很多种功能。因此，物联网终端被广泛应用于人们工作生活中的各个领域里。

但是，在物联网终端应用于各领域的过程中，其所处的网络环境较为复杂，容易被入侵并控制。甚至有可能入侵者利用已控制的物联网终端作为跳板攻击其它的物联网终端，从而造成大面积物联网终端被入侵的异常情况，使物联网终端的安全性问题较为严重。

技术实现要素：

本申请的目的在于提供一种物联网终端异常检测与响应的方法与系统，以解决物联网终端的安全性问题较为严重的技术问题。

本发明提供的一种物联网终端异常检测与响应的方法，应用于云平台服务器，所述方法包括：

接收待检测物联网终端发送的终端信息；

根据所述终端信息中的通信端口信息确定通信异常端口；

从所述终端信息中的文件信息中，查询所述通信异常端口所对应的进程文件；

对所述进程文件进行检测，得到异常检测结果；

根据所述异常检测结果向所述待检测物联网终端发送响应指令。

进一步的，所述根据所述终端信息中的通信端口信息确定通信异常端口，包括：

在通信端口信息中的端口通讯频率超出预设频率范围时，确定所述通信端口信息对应的端口为通信异常端口。

进一步的，所述终端信息包括：所述待检测物联网终端的通信端口信息、进程信息以及文件信息；

所述从所述终端信息中的文件信息中，查询所述通信异常端口所对应的进程文件，包括：

从所述进程信息中，查询所述通信异常端口运行的进程；

从所述文件信息中，查询启动所述进程的进程文件。

进一步的，所述对所述进程文件进行检测，得到异常检测结果，包括：

利用沙箱检测所述进程文件，确定恶意文件；

将所述恶意文件的执行对象与预设危险对象进行对比，确定终端异常程度；

基于所述终端异常程度判断所述待检测物联网终端是否异常，得到异常检测结果。

进一步的，所述执行对象包括下述任意一项或多项：

管理的数据、访问的统一资源定位符url、访问的互联网协议地址ip。

进一步的，所述响应指令包括下述任意一项或多项：

查杀病毒、停止运行、删除所述进程文件。

本发明提供的一种物联网终端异常检测与响应的方法，应用于物联网终端，所述方法包括：

采集本地的通信端口信息以及文件信息，得到终端信息；

将所述终端信息发送至云平台服务器；

接收所述云平台服务器发送的响应指令；所述响应指令为所述云平台服务器根据所述终端信息的异常检测结果所做出的响应；

按照所述响应指令执行相应动作。

本发明提供的一种物联网终端异常检测与响应的系统，应用于云平台服务器，所述系统包括：

接收模块，用于接收待检测物联网终端发送的终端信息；

确定模块，用于根据所述终端信息中的通信端口信息确定通信异常端口；

查询模块，用于从所述终端信息中的文件信息中，查询所述通信异常端口所对应的进程文件；

检测模块，用于对所述进程文件进行检测，得到异常检测结果；

发送模块，用于根据所述异常检测结果向所述待检测物联网终端发送响应指令。

本发明提供的一种物联网终端异常检测与响应的系统，应用于物联网终端，所述系统包括：

采集单元，用于采集本地的通信端口信息以及文件信息，得到终端信息；

发送单元，用于将所述终端信息发送至云平台服务器；

接收单元，用于接收所述云平台服务器发送的响应指令；所述响应指令为所述云平台服务器根据所述终端信息的异常检测结果所做出的响应；

执行单元，用于按照所述响应指令执行相应动作。

本发明提供的一种具有处理器可执行的非易失的程序代码的计算机可读介质，所述程序代码使所述处理器执行上述的方法。

本方案中，云平台服务器可以接收物联网终端发送的终端信息，并根据终端信息中的通信端口信息确定通信异常端口，然后便能够从终端信息中的文件信息中查询通信异常端口所对应的进程文件，进而对进程文件进行检测以得到异常检测结果，最后便能够根据异常检测结果向物联网终端发送响应指令，通过利用云平台服务器的上述检测能力，能够对物联网终端发送的终端信息进行更加准确有效的异常检测分析，进而快速、准确的识别出异常检测结果，并通过云平台服务器快速发送响应指令以解决物联网终端的安全问题，因此，有效的发现并处置了异常，进而提高了物联网终端异常检测与响应的时效性和准确性，使物联网终端被入侵等异常问题得到迅速解决，从而提高了物联网终端的安全性。

附图说明

为了更清楚地说明本申请具体实施方式或现有技术中的技术方案，下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图是本申请的一些实施方式，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1示出了本申请实施例所提供的物联网终端异常检测与响应的方法的流程图；

图2示出了本申请实施例所提供的种物联网终端异常检测与响应的方法的另一流程图；

图3示出了本申请实施例所提供的种物联网终端异常检测与响应的方法的另一流程图；

图4示出了本申请实施例所提供的一种电子设备的结构示意图。

具体实施方式

下面将结合实施例对本发明的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

下面将详细描述本发明的各个方面的特征和示例性实施例。在下面的详细描述中，提出了许多具体细节，以便提供对本发明的全面理解。但是，对于本领域技术人员来说很明显的是，本发明可以在不需要这些具体细节中的一些细节的情况下实施。下面对实施例的描述仅仅是为了通过示出本发明的示例来提供对本发明的更好的理解。本发明决不限于下面所提出的任何具体配置和算法，而是在不脱离本发明的精神的前提下覆盖了元素、部件和算法的任何修改、替换和改进。在附图和下面的描述中，没有示出公知的结构和技术，以便避免对本发明造成不必要的模糊。

需要说明的是，在不冲突的情况下，本申请中的实施例及实施例中的特征可以相互组合。下面将参考附图并结合实施例来详细说明本申请。

此外，本发明的描述中所提到的术语“包括”和“具有”以及它们的任何变形，意图在于覆盖不排他的包含。例如包含了一系列步骤或单元的过程、方法、系统、产品或设备没有限定于已列出的步骤或单元，而是可选地还包括其他没有列出的步骤或单元，或可选地还包括对于这些过程、方法、产品或设备固有的其它步骤或单元。

随着物联网时代的到来，小到智能摄像头、智能电表、大到智能网联汽车、智能工业机器人，各类物联网智能终端在不断涌现并被广泛应用于人们工作生活的各个领域里。

物联网智能终端往往会处于各种异构网络环境中，安全情况极为复杂。今年来，数次物联网智能终端所引发安全事件造成较大的破坏，已经引起了人们对于物联网智能终端信息安全问题的高度警惕。

目前，在物联网终端应用于各领域的过程中，其所处的网络环境较为复杂，容易被入侵并控制。甚至有可能入侵者利用已控制的物联网终端作为跳板攻击其它的物联网终端，从而造成大面积物联网终端被入侵的异常情况，使物联网终端的安全性问题较为严重。

基于此，本申请实施例提供的一种物联网终端异常检测与响应的方法与系统，可以解决现有技术中存在的物联网终端的安全性问题较为严重的技术问题。

为便于对本实施例进行理解，首先对本申请实施例所公开的一种物联网终端异常检测与响应的方法与系统进行详细介绍。

本申请实施例提供的一种物联网终端异常检测与响应的方法，如图1所示，应用于云平台服务器，该方法包括：

s11：接收待检测物联网终端发送的终端信息。

需要说明的是，物联网是互联网基础上的延伸和扩展的网络，是将各种信息传感设备与互联网结合起来而形成的一个巨大网络，实现在任何时间、任何地点的，人、机、物的互联互通。而物联网终端是实现采集数据及向网络层发送数据的设备。

作为一个优选方案，云平台服务器接收待检的测物联网终端发送的该终端的信息，其中，可以包括：该终端的通信端口信息、该终端的文件信息等。

s12：根据终端信息中的通信端口信息确定通信异常端口。

其中，通信端口是设备与外界通讯交流的出口。传输控制协议/因特网互联协议(transmissioncontrolprotocol/internetprotocol，tcp/ip)协议集成到操作系统的内核中，这就相当于在操作系统中引入了一种新的输入/输出接口技术，因为在tcp/ip协议中引入了一种称之为"socket(套接字)"应用程序接口。有了这样一种接口技术，一台计算机就可以通过软件的方式与任何一台具有socket接口的计算机进行通信。端口在计算机编程上也就是"socket接口"。

作为本实施例的优选实施方式，云平台服务器根据终端信息中的通信端口信息，查找网络通信中通信异常的端口，确定为通信异常端口，并记录该端口号。

s13：从终端信息中的文件信息中，查询通信异常端口所对应的进程文件。

在实际应用中，进程文件是一个基于代理的模块，它可以通过判断以及负载均衡算法将超文本传输协议(http)的请求转发到不同的处理服务器之上。

s14：对进程文件进行检测，得到异常检测结果。

在实际应用中，可以在云平台服务器上对进程该文件进行恶意文件检测，从而得到综合分析结果。

s15：根据异常检测结果向待检测物联网终端发送响应指令。

如果存在异常，云平台服务器则根据具体的异常信息对待检测物联网终端下发相应的响应指令。

本实施例中，云平台服务器对待检测物联网终端的终端信息进行关联分析，以判断该终端是否存在异常。如果存在异常，则云平台服务器根据具体的异常信息对待检测物联网终端下发相应的响应指令。

对于现有技术而言，通常是直接在物联网终端设备上进行异常检测，或是通过流量监控检测物联网终端设备异常。如果直接在物联网终端设备上进行异常检测，增加了终端系统的负担，有可能对正常业务造成影响；如果通过流量监控检测物联网终端设备异常，会导致分析并不全面，检出率低。

通过利用云平台服务器的计算能力，对待检测物联网终端收集到的该终端的信息进行异常检测分析，可快速、准确的得出分析结果，并通过云平台服务器快速下发响应指令，提高了物联网终端异常检测与响应的时效性和准确性，有效地发现并处置异常。

因此，实现了快速、准确地识别发现物联网终端设备的异常，并根据异常情况做出快速响应。相比与传统的方法，更加高效和准确，并且更加轻量，不会给物联网终端造成较大的计算负担。

为了更加准确的确定出通信异常端口，上述根据终端信息中的通信端口信息确定通信异常端口的步骤(即步骤s12)，可以包括以下步骤：

在通信端口信息中的端口通讯频率超出预设频率范围时，确定通信端口信息对应的端口为通信异常端口。

因此，通过判断实际的端口通讯频率是否预设频率范围，来更加准确的确定出待检测物联网终端上的通信异常端口。

本实施例中，终端信息包括：待检测物联网终端的通信端口信息、进程信息以及文件信息。为了更加快速、准确的查询到通信异常端口所对应的进程文件，上述从终端信息中的文件信息中，查询通信异常端口所对应的进程文件的步骤(即步骤s13)，可以包括以下步骤：

(1)从进程信息中，查询通信异常端口运行的进程；

(2)从文件信息中，查询启动进程的进程文件。

示例性的，从终端信息中的进程信息中，通过步骤s12中记录的端口号查询该通信异常端口的进程，然后，根据查询到的该进程从文件信息中查询该进程对应的进程文件。因此，通过分步骤的针对不同信息的查询过程，更加快速、准确的查询到通信异常端口所对应的进程文件。

为了得到更加准确的异常检测结果，上述对进程文件进行检测，得到异常检测结果的步骤(即步骤s14)，可以包括以下步骤：

(1)利用沙箱检测进程文件，确定恶意文件；

(2)将恶意文件的执行对象与预设危险对象进行对比，确定终端异常程度；

(3)基于终端异常程度判断待检测物联网终端是否异常，得到异常检测结果。

示例性的，云平台服务器可以先利用沙箱检测进程文件，从而确定出恶意文件，然后，将恶意文件的执行对象与预设危险对象进行对比，以确定终端异常程度，终端异常程度可以以打分的形式呈现出来。最后，根据打分结果判断该待检测物联网终端是否存在异常，例如将打分结果和预设分数进行对比，从而得到异常检测结果。

因此，通过确定恶意文件、确定终端异常程度等过程，利用沙箱、预设危险对象等，以保证检测出的异常检测结果更加准确。

其中，执行对象可以包括下述任意一项或多项：管理的数据、访问的统一资源定位符url、访问的互联网协议地址ip。本实施例中，在恶意文件管理的数据、恶意文件访问的统一资源定位符url、恶意文件访问的互联网协议地址ip等恶意文件的执行对象中，若该数据、该url或该ip中的至少一种经对比后符合预设危险对象，说明该恶意文件的危险程度较大，云平台服务器则确定终端异常程度较大，从而更加客观、准确的确定出异常检测结果。

本实施例中，响应指令包括下述任意一项或多项：查杀病毒、停止运行、删除进程文件。因此，云平台服务器能够根据分析出的异常检测结果通过发送响应指令的方式，控制待检测物联网终端进行查杀病毒、停止运行、删除进程文件等执行动作，以更加快速的、有效的且更有针对性的解决待检测物联网终端的异常情况，进而提高待检测物联网终端的安全问题的解决效率。

本申请实施例提供的一种物联网终端异常检测与响应的方法，应用于物联网终端，如图2所示，方法包括：

s21：采集本地的通信端口信息以及文件信息，得到终端信息。

具体的，物联网终端可以内置保障安全的采集模块，来收集物联网终端的进程信息、文件信息、网络行为变化以及流量数据等信息等终端信息，以实现收集更加全方面的终端信息。

s22：将终端信息发送至云平台服务器。

本步骤中，物联网终端将步骤s21中收集到的各类终端信息上传到云平台服务器，以使云平台服务器对这些终端信息进行关联分析。

s23：接收云平台服务器发送的响应指令，响应指令为云平台服务器根据终端信息的异常检测结果所做出的响应。

优选的，异常检测结果即为云平台服务器对这些终端信息进行关联分析后的分析结果。然后，云平台服务器能够根据该分析结果所做出响应，并向物联网终端发送响应指令。

s24：按照响应指令执行相应动作。

在实际应用中，物联网终端按照云平台服务器发送的响应指令执行相应的动作。例如，查杀病毒、停止运行、删除进程文件等等。

图3为本实施例所提供的种物联网终端异常检测与响应的方法的另一流程图。其中，首先是物联网终端的内置安全模块收集物联网终端信息，包括进程信息、文件信息、网络行为变化和流量数据等信息。然后，物联网终端将收集到的各类信息上传到云平台。之后，云平台提取相关信息进行关联分析。之后云平台结合威胁情报和关联分析的结果对终端异常程度进行打分。然后，云平台判断该终端是否存在异常。若否，则返回步骤：云平台提取相关信息进行关联分析；若是，则云平台根据相关异常信息对物联网终端下发相应的响应指令。

因此，物联网终端能够收集该终端设备的全方面信息，以使云平台服务器有效的分析出物联网终端的异常行为，从而进行快速响应，以便能够有效的为物联网终端设备建立起一道有效的安全保护屏障。

本申请实施例提供的一种物联网终端异常检测与响应的系统，应用于云平台服务器，系统包括：

接收模块，用于接收待检测物联网终端发送的终端信息；

确定模块，用于根据终端信息中的通信端口信息确定通信异常端口；

查询模块，用于从终端信息中的文件信息中，查询通信异常端口所对应的进程文件；

检测模块，用于对进程文件进行检测，得到异常检测结果；

发送模块，用于根据异常检测结果向待检测物联网终端发送响应指令。

本申请实施例提供的物联网终端异常检测与响应的系统，与上述实施例提供的物联网终端异常检测与响应的方法具有相同的技术特征，所以也能解决相同的技术问题，达到相同的技术效果。

本申请实施例提供的一种物联网终端异常检测与响应的系统，应用于物联网终端，系统包括：

采集单元，用于采集本地的通信端口信息以及文件信息，得到终端信息；

发送单元，用于将终端信息发送至云平台服务器；

接收单元，用于接收云平台服务器发送的响应指令；响应指令为云平台服务器根据终端信息的异常检测结果所做出的响应；

执行单元，用于按照响应指令执行相应动作。

本申请实施例提供的物联网终端异常检测与响应的系统，与上述实施例提供的物联网终端异常检测与响应的方法具有相同的技术特征，所以也能解决相同的技术问题，达到相同的技术效果。

本申请实施例提供的一种电子设备，如图4所示，电子设备4包括存储器41、处理器42，存储器中存储有可在处理器上运行的计算机程序，处理器执行计算机程序时实现上述实施例提供的方法的步骤。

参见图4，电子设备还包括：总线43和通信接口44，处理器42、通信接口44和存储器41通过总线43连接；处理器42用于执行存储器41中存储的可执行模块，例如计算机程序。

其中，存储器41可能包含高速随机存取存储器(ram，randomaccessmemory)，也可能还包括非易失性存储器(non-volatilememory)，例如至少一个磁盘存储器。通过至少一个通信接口44(可以是有线或者无线)实现该系统网元与至少一个其他网元之间的通信连接，可以使用互联网，广域网，本地网，城域网等。

总线43可以是isa总线、pci总线或eisa总线等。总线可以分为地址总线、数据总线、控制总线等。为便于表示，图4中仅用一个双向箭头表示，但并不表示仅有一根总线或一种类型的总线。

其中，存储器41用于存储程序，处理器42在接收到执行指令后，执行程序，前述本申请任一实施例揭示的过程定义的装置所执行的方法可以应用于处理器42中，或者由处理器42实现。

处理器42可能是一种集成电路芯片，具有信号的处理能力。在实现过程中，上述方法的各步骤可以通过处理器42中的硬件的集成逻辑电路或者软件形式的指令完成。上述的处理器42可以是通用处理器，包括中央处理器(centralprocessingunit，简称cpu)、网络处理器(networkprocessor，简称np)等；还可以是数字信号处理器(digitalsignalprocessing，简称dsp)、专用集成电路(applicationspecificintegratedcircuit，简称asic)、现成可编程门阵列(field-programmablegatearray，简称fpga)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本申请实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。结合本申请实施例所公开的方法的步骤可以直接体现为硬件译码处理器执行完成，或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于随机存储器，闪存、只读存储器，可编程只读存储器或者电可擦写可编程存储器、寄存器等本领域成熟的存储介质中。该存储介质位于存储器41，处理器42读取存储器41中的信息，结合其硬件完成上述方法的步骤。

本申请实施例提供的一种具有处理器可执行的非易失的程序代码的计算机可读介质，程序代码使处理器执行上述实施例提供的方法。

本申请实施例提供的具有处理器可执行的非易失的程序代码的计算机可读介质，与上述实施例提供的物联网终端异常检测与响应的方法与系统具有相同的技术特征，所以也能解决相同的技术问题，达到相同的技术效果。

最后应说明的是：以上各实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述各实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分或者全部技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的范围。