一种攻击检测告警方法、装置、设备及介质与流程

1.本技术涉及物联网技术领域，特别是涉及一种攻击检测告警方法、装置、设备及介质。


背景技术：

2.无线网格网络(mesh network)是一种在网络节点间透过动态路由的方式来进行资料与控制指令的传送的网络。这种网络可以保持每个节点间的连线完整；当网络拓扑中有某个节点失效或无法服务时，这种架构允许使用“跳跃”的方式形成新的路由后将信息送达至目的地。
3.随着物联网应用越来越广泛，应用于蓝牙(bluetooth)、wifi、紫蜂协议(zigbee)、第四代移动通信技术(the 4th generation mobile communication technology，4g)等各类无线协议的mesh组网情景也越来越普遍。而mesh是多跳动态自组织自配置的网络，由于其具有共享无线媒介、动态拓扑等特点，容易遭受各种安全威胁。
4.鉴于上述问题，如何实现对mesh组网的攻击检测告警，是该领域技术人员亟待解决的问题。


技术实现要素：

5.本技术的目的是提供一种攻击检测告警方法、装置、设备及介质，实现对mesh组网的攻击检测告警。
6.为解决上述技术问题，本技术提供一种攻击检测告警方法，包括：
7.接收mesh组网中各设备的广播报文；
8.分别将各所述广播报文存储为对应的日志数据；
9.根据恶意行为数据模型分别判断各所述日志数据是否符合预设条件；其中，所述恶意行为数据模型是根据所述mesh组网中历史攻击事件和安全风险事件总结生成的模型；
10.若否，则输出攻击告警信息。
11.优选地，所述接收mesh组网中各设备的广播报文包括：
12.接收通过嗅探器在所述mesh组网内的预设端口捕获的各所述设备的所述广播报文；
13.其中，所述嗅探器设置于所述mesh组网中的所述设备中。
14.优选地，所述分别将各所述广播报文存储为对应的日志数据包括：
15.分别对各所述广播报文进行解密；
16.将解密后的各所述广播报文存储为对应的日志数据。
17.优选地，所述根据恶意行为数据模型分别判断各所述日志数据是否符合预设条件包括：
18.根据各所述日志数据中各数据包的出现概率生成对应的各所述设备的历史活动时间区间和历史使用频次区间；
19.分别判断各所述日志数据中对应的所述设备的历史活动时间与历史使用频次是否均在对应的所述历史活动时间区间和所述历史使用频次区间内；
20.若否，则不满足所述预设条件，进入所述输出攻击告警信息的步骤。
21.优选地，在所述输出攻击告警信息之后，还包括：
22.根据不满足所述预设条件的所述日志数据进行场景模拟、攻击溯源分析。
23.优选地，还包括：
24.根据预设周期生成各所述设备的威胁报告；
25.其中，所述威胁报告中包含所述预设周期内的告警次数、告警类型、历史积累统计分析数据、联动数据以及威胁分析数据。
26.优选地，在所述根据预设周期生成各所述设备的威胁报告之后，还包括：
27.根据所述威胁报告生成对应的所述设备的维护方案。
28.为解决上述技术问题，本技术还提供一种攻击检测告警装置，包括：
29.接收模块，用于接收mesh组网中各设备的广播报文；
30.存储模块，用于分别将各所述广播报文存储为对应的日志数据；
31.判断模块，用于根据恶意行为数据模型分别判断各所述日志数据是否符合预设条件；其中，所述恶意行为数据模型是根据所述mesh组网中历史攻击事件和安全风险事件总结生成的模型；若否，则触发输出模块；
32.所述输出模块，用于输出攻击告警信息。
33.为解决上述技术问题，本技术还提供一种攻击检测告警设备，包括：
34.存储器，用于存储计算机程序；
35.处理器，用于执行所述计算机程序时实现上述所述的攻击检测告警方法的步骤。
36.为解决上述技术问题，本技术还提供一种计算机可读存储介质，所述计算机可读存储介质上存储有计算机程序，所述计算机程序被处理器执行时实现上述所述的攻击检测告警方法的步骤。
37.本技术所提供的攻击检测告警方法，通过接收mesh组网中各设备的广播报文；分别将各广播报文存储为对应的日志数据；根据恶意行为数据模型分别判断各日志数据是否符合预设条件；其中，恶意行为数据模型是根据mesh组网中历史攻击事件和安全风险事件总结生成的模型；若否，则输出攻击告警信息。由此可知，上述方案通过接收mesh组网中各设备的广播报文并存储为日志数据，通过恶意行为数据模型对各日志数据进行威胁性校验，当日志数据不满足预设条件时进行告警，实现了对mesh组网的攻击检测告警，提升了mesh组网的安全性与稳定性。
38.此外，本技术实施例还提供了一种攻击检测告警装置、设备及介质，效果同上。
附图说明
39.为了更清楚地说明本技术实施例，下面将对实施例中所需要使用的附图做简单的介绍，显而易见地，下面描述中的附图仅仅是本技术的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
40.图1为本技术实施例提供的一种攻击检测告警方法的流程图；
41.图2为本技术实施例提供的一种攻击检测告警装置的示意图；
42.图3为本技术实施例提供的一种攻击检测告警设备的示意图。
具体实施方式
43.下面将结合本技术实施例中的附图，对本技术实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本技术一部分实施例，而不是全部实施例。基于本技术中的实施例，本领域普通技术人员在没有做出创造性劳动前提下，所获得的所有其他实施例，都属于本技术保护范围。
44.本技术的核心是提供一种攻击检测告警方法、装置、设备及介质。
45.为了使本技术领域的人员更好地理解本技术方案，下面结合附图和具体实施方式对本技术作进一步的详细说明。
46.图1为本技术实施例提供的一种攻击检测告警方法的流程图。如图1所示，攻击检测告警方法包括：
47.s10：接收mesh组网中各设备的广播报文。
48.可以理解的是，mesh组网是一种多跳(multi-hop)网络，可以与其它网络协同通信，是一个动态的可不断扩展的网络架构；在mesh组网中任意的两个设备均可以保持无线互联。无线mesh网络凭借多跳互连和网状拓扑特性，已经演变为适用于宽带家庭网络、社区网络、企业网络和城域网络等多种无线接入网络的有效解决方案。在mesh组网中，各设备运行过程中不断收发广播报文，因此为了实现mesh组网内的网络攻击检测告警，需要对这些广播报文进行监听。
49.具体地，接收mesh组网中各设备的广播报文，具体由mesh组网中的服务器对各设备的广播报文进行接收。在具体实施中，可以由mesh组网中各设备主动向服务器发送广播报文，还可采集各设备的广播报文后统一发送至服务器中。本实施例中对于广播报文的采集方式不做限制，根据具体的实施情况而定。
50.作为一种优选的实施例，接收通过嗅探器在mesh组网内的预设端口捕获的各设备的广播报文；其中，嗅探器设置于mesh组网中的设备中。可以理解的是，嗅探器(sniffer)，也叫抓数据包软件，是一种基于被动侦听原理的网络分析方式；使用这种技术方式，可以监视网络的状态、数据流动情况以及网络上传输的信息。此外，由于接入mesh组网的设备都能接收到mesh组网内其他设备的广播报文，因此只需要监听预设的固定端口即可捕获报文。例如，对于ble协议的报文可直接监听37、38、39三个广播信道进行数据抓取即可。本实施例中对于预设端口不做限制，根据具体的实施情况而定。
51.需要注意的是，嗅探器设置于mesh组网中的设备中，本实施例中对于其具体所在的设备不做限制，根据具体的实施情况而定。作为一种优选的实施例，在mesh组网内的广播报文嗅探，可通过广播报文嗅探设备实现。具体地，广播报文嗅探设备内置微控制单元(microcontroller unit，mcu)，通过usb接口接入mesh组网中的内置嗅探器的设备。通过mcu实现广播报文嗅探，其中当mcu所选用的芯片不同，则抓取的协议报文不同，具体选用的mcu芯片根据具体的实施情况而定。广播报文嗅探设备将嗅探到的广播报文传输至接入的mesh组网中的设备，再通过该设备上传至服务器。
52.此外，在具体实施中还可通过在mesh组网中的设备中内置软件开发工具包(software development kit，sdk)插件，通过sdk插件进行广播报文的嗅探，并借助所在设
备本身的通信协议将广播报文上传至服务端。需要注意的是，sdk插件所在的设备可为路由器，且嗅探器也对应设置在路由器中。
53.s11：分别将各广播报文存储为对应的日志数据。
54.进一步地，服务器在获取到mesh组网中的各设备的广播报文后，分别将其存储为对应的日志数据。日志数据中记录对应设备的运行情况。
55.由于mesh组网入网之后所有的数据通讯都是加密的，为了实现了日志数据的正常存储，作为一种优选的实施例，分别对各广播报文进行解密，将解密后的各广播报文存储为对应的日志数据。在具体实施中，对于加密的mesh数据包，通过输入netkey、appkey、devkey以及iv index参数实现mesh数据包的解密，并将解密后的广播报文存储为日志数据。
56.s12：根据恶意行为数据模型分别判断各日志数据是否符合预设条件。其中，恶意行为数据模型是根据mesh组网中历史攻击事件和安全风险事件总结生成的模型。若否，则进入步骤s13。
57.s13：输出攻击告警信息。
58.进一步地，在得到了mesh组网中各设备的日志数据后，为判断网络中是否存在攻击行为，具体根据恶意行为数据模型分别判断各日志数据是否符合预设条件；当不满足预设条件时输出攻击告警信息。本实施例中对于预设条件不做限制，根据具体的实施情况而定。
59.需要注意的是，恶意行为数据模型是根据mesh组网中历史攻击事件和安全风险事件总结生成的模型。可以理解的是，历史攻击事件即为mesh组网中曾经发生过的攻击事件的信息，安全风险事件即为mesh组网中存在安全风险的事件的信息；例如，mesh组网中固定来源设备信息频次异常，报文包含敏感控制权限，报文包含病毒木马文件，报文中包含特殊字符，报文中包含敏感恶意文字或报文中包含恶意钓鱼信息(包括但不限于链接、二维码、信息、联系方式)。通过将日志数据与恶意行为数据模型中所记录的事件进行比对，能够实现mesh组网中网络攻击的判断。
60.可以理解的是，在mesh组网中各设备的按控制指令正常运行，其产生的日志数据中，各数据包存在固定的出现概率。为了更好地实现mesh组网中网络攻击告警，作为一种优选的实施例，根据恶意行为数据模型分别判断各日志数据是否符合预设条件，具体根据各日志数据中各数据包的出现概率生成对应的各设备的历史活动时间区间和历史使用频次区间。进一步分别判断各日志数据中对应的设备的历史活动时间与历史使用频次是否均在对应的历史活动时间区间和历史使用频次区间内；若否，则不满足预设条件，认为此时设备异常存在攻击行为，并输出攻击告警信息，实现了mesh组网的攻击告警。
61.本实施例中，通过接收mesh组网中各设备的广播报文；分别将各广播报文存储为对应的日志数据；根据恶意行为数据模型分别判断各日志数据是否符合预设条件；其中，恶意行为数据模型是根据mesh组网中历史攻击事件和安全风险事件总结生成的模型；若否，则输出攻击告警信息。由此可知，上述方案通过接收mesh组网中各设备的广播报文并存储为日志数据，通过恶意行为数据模型对各日志数据进行威胁性校验，当日志数据不满足预设条件时进行告警，实现了对mesh组网的攻击检测告警，提升了mesh组网的安全性与稳定性。
62.在具体实施中，为了实现mesh组网的攻击溯源和恶意行为场景模拟，提升mesh组
网的安全性，作为一种优选的实施例，在输出攻击告警信息之后，还包括：
63.根据不满足预设条件的日志数据进行场景模拟、攻击溯源分析。
64.在具体实施中，根据不满足预设条件的日志数据进行场景模拟，具体根据日志数据结合mesh组网中的设备联动场景，生成该日志数据下的实际设备应用场景，从而实现威胁检测。例如，日志数据中记录窗户传感器设备显示打开，人体感应传感器感应开灯，说明此时可能存在盗窃隐患；或日志数据中记录燃气传感器显示存在燃气，且智能门锁显示关闭，可能存在安全隐患。同时，根据日志数据进行场景模拟的过程中进行溯源分析，从而对攻击来源进行确定，以便于对攻击行为进行防护。
65.进一步地，在具体实施中，根据预设周期生成各设备的威胁报告。其中，威胁报告中记录了对应设备在预设周期内的告警次数、告警类型、历史积累统计分析数据、联动数据以及威胁分析数据。本实施例中，对于预设周期不做限制，根据具体的实施情况而定。
66.此外，作为一种优选的实施例，在根据预设周期生成各设备的威胁报告之后，还可根据威胁报告生成对应的设备的维护方案。例如当根据威胁报告确认某一设备的威胁性较高，会造成mesh组网的安全隐患，则对该设备可采取停用的措施，并对其进行离线维护。
67.在上述实施例中，对于攻击检测告警方法进行了详细描述，本技术还提供攻击检测告警装置对应的实施例。
68.图2为本技术实施例提供的一种攻击检测告警装置的示意图。如图2所示，攻击检测告警装置包括：
69.接收模块10，用于接收mesh组网中各设备的广播报文。
70.存储模块11，用于分别将各广播报文存储为对应的日志数据。
71.判断模块12，用于根据恶意行为数据模型分别判断各日志数据是否符合预设条件。其中，恶意行为数据模型是根据mesh组网中历史攻击事件和安全风险事件总结生成的模型；若否，则触发输出模块13。
72.输出模块13，用于输出攻击告警信息。
73.作为一种优选的实施例，接收模块具体用于接收通过嗅探器在mesh组网内的预设端口捕获的各设备的广播报文；
74.其中，嗅探器设置于mesh组网中的设备中。
75.作为一种优选的实施例，存储模块具体用于分别对各广播报文进行解密；将解密后的各广播报文存储为对应的日志数据。
76.作为一种优选的实施例，判断模块具体用于根据各日志数据中各数据包的出现概率生成对应的各设备的历史活动时间区间和历史使用频次区间；
77.分别判断各日志数据中对应的设备的历史活动时间与历史使用频次是否均在对应的历史活动时间区间和历史使用频次区间内；
78.若否，则不满足预设条件，进入输出攻击告警信息的步骤。
79.作为一种优选的实施例，还包括：
80.模拟分析模块，用于根据不满足预设条件的日志数据进行场景模拟、攻击溯源分析。
81.作为一种优选的实施例，还包括：
82.报告生成模块，用于根据预设周期生成各设备的威胁报告；
83.其中，威胁报告中包含预设周期内的告警次数、告警类型、历史积累统计分析数据、联动数据以及威胁分析数据。
84.作为一种优选的实施例，还包括：
85.维护模块，用于根据威胁报告生成对应的设备的维护方案。
86.本实施例中，攻击检测告警装置包括接收模块、存储模块、判断模块和输出模块。通过接收mesh组网中各设备的广播报文；分别将各广播报文存储为对应的日志数据；根据恶意行为数据模型分别判断各日志数据是否符合预设条件；其中，恶意行为数据模型是根据mesh组网中历史攻击事件和安全风险事件总结生成的模型；若否，则输出攻击告警信息。由此可知，上述方案通过接收mesh组网中各设备的广播报文并存储为日志数据，通过恶意行为数据模型对各日志数据进行威胁性校验，当日志数据不满足预设条件时进行告警，实现了对mesh组网的攻击检测告警，提升了mesh组网的安全性与稳定性。
87.图3为本技术实施例提供的一种攻击检测告警设备的示意图。如图3所示，攻击检测告警设备包括：
88.存储器20，用于存储计算机程序。
89.处理器21，用于执行计算机程序时实现如上述实施例中所提到的攻击检测告警方法的步骤。
90.本实施例提供的攻击检测告警设备可以包括但不限于智能手机、平板电脑、笔记本电脑或台式电脑等。
91.其中，处理器21可以包括一个或多个处理核心，比如4核心处理器、8核心处理器等。处理器21可以采用数字信号处理器(digital signal processor，dsp)、现场可编程门阵列(field-programmable gate array，fpga)、可编程逻辑阵列(programmable logic array，pla)中的至少一种硬件形式来实现。处理器21也可以包括主处理器和协处理器，主处理器是用于对在唤醒状态下的数据进行处理的处理器，也称中央处理器(central processing unit，cpu)；协处理器是用于对在待机状态下的数据进行处理的低功耗处理器。在一些实施例中，处理器21可以在集成有图形处理器(graphics processing unit，gpu)，gpu用于负责显示屏所需要显示的内容的渲染和绘制。一些实施例中，处理器21还可以包括人工智能(artificial intelligence，ai)处理器，该ai处理器用于处理有关机器学习的计算操作。
92.存储器20可以包括一个或多个计算机可读存储介质，该计算机可读存储介质可以是非暂态的。存储器20还可包括高速随机存取存储器，以及非易失性存储器，比如一个或多个磁盘存储设备、闪存存储设备。本实施例中，存储器20至少用于存储以下计算机程序201，其中，该计算机程序被处理器21加载并执行之后，能够实现前述任一实施例公开的攻击检测告警方法的相关步骤。另外，存储器20所存储的资源还可以包括操作系统202和数据203等，存储方式可以是短暂存储或者永久存储。其中，操作系统202可以包括windows、unix、linux等。数据203可以包括但不限于攻击检测告警方法涉及到的数据。
93.在一些实施例中，攻击检测告警设备还可包括有显示屏22、输入输出接口23、通信接口24、电源25以及通信总线26。
94.本领域技术人员可以理解，图3中示出的结构并不构成对攻击检测告警设备的限定，可以包括比图示更多或更少的组件。
95.本实施例中，攻击检测告警设备包括存储器和处理器。存储器用于存储计算机程序；处理器用于执行计算机程序时实现如上述实施例中所提到的攻击检测告警方法的步骤。通过接收mesh组网中各设备的广播报文；分别将各广播报文存储为对应的日志数据；根据恶意行为数据模型分别判断各日志数据是否符合预设条件；其中，恶意行为数据模型是根据mesh组网中历史攻击事件和安全风险事件总结生成的模型；若否，则输出攻击告警信息。由此可知，上述方案通过接收mesh组网中各设备的广播报文并存储为日志数据，通过恶意行为数据模型对各日志数据进行威胁性校验，当日志数据不满足预设条件时进行告警，实现了对mesh组网的攻击检测告警，提升了mesh组网的安全性与稳定性。
96.最后，本技术还提供一种计算机可读存储介质对应的实施例。计算机可读存储介质上存储有计算机程序，计算机程序被处理器执行时实现如上述方法实施例中记载的步骤。
97.可以理解的是，如果上述实施例中的方法以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本技术的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，执行本技术各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：u盘、移动硬盘、只读存储器(read-only memory，rom)、随机存取存储器(random access memory，ram)、磁碟或者光盘等各种可以存储程序代码的介质。
98.本实施例中，计算机可读存储介质上存储有计算机程序，计算机程序被处理器执行时实现如上述方法实施例中记载的步骤。通过接收mesh组网中各设备的广播报文；分别将各广播报文存储为对应的日志数据；根据恶意行为数据模型分别判断各日志数据是否符合预设条件；其中，恶意行为数据模型是根据mesh组网中历史攻击事件和安全风险事件总结生成的模型；若否，则输出攻击告警信息。由此可知，上述方案通过接收mesh组网中各设备的广播报文并存储为日志数据，通过恶意行为数据模型对各日志数据进行威胁性校验，当日志数据不满足预设条件时进行告警，实现了对mesh组网的攻击检测告警，提升了mesh组网的安全性与稳定性。
99.以上对本技术所提供的一种攻击检测告警方法、装置、设备及介质进行了详细介绍。说明书中各个实施例采用递进的方式描述，每个实施例重点说明的都是与其他实施例的不同之处，各个实施例之间相同相似部分互相参见即可。对于实施例公开的装置而言，由于其与实施例公开的方法相对应，所以描述的比较简单，相关之处参见方法部分说明即可。应当指出，对于本技术领域的普通技术人员来说，在不脱离本技术原理的前提下，还可以对本技术进行若干改进和修饰，这些改进和修饰也落入本技术权利要求的保护范围内。
100.还需要说明的是，在本说明书中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个
……”
限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。