本发明涉及物联网,具体涉及一种基于wazuh的thingsboard物联网网络态势感知的方法。
背景技术:
1、随着物联网(iot)的快速发展,各种设备和物体被连接到互联网,构成了庞大的物联网网络。然而,这种广泛的连接也引发了严重的网络安全问题,传统的网络安全方法在物联网环境下往往难以应对。物联网设备通常具有资源有限、操作系统多样以及分布式部署等特点,这使得传统的安全解决方案变得不够灵活和高效。
2、传统的入侵检测系统(ids)可以用于检测网络流量中的异常行为,但往往无法对物联网设备内部的异常情况进行准确监测。另一方面,一些专门的iot安全平台可以进行设备管理和访问控制,但缺乏对网络实时状态的全面感知。
技术实现思路
1、本发明为了克服以上技术的不足,提供了一种能够更准确地识别潜在威胁,减少误报率的物联网网络态势感知的方法。
2、本发明克服其技术问题所采用的技术方案是:
3、一种基于wazuh的thingsboard物联网网络态势感知的方法,包括:
4、实时采集物联网设备产生的数据,数据包括:日志数据、网络流量、系统指标数据;
5、利用wazuh系统的规则引擎对采集的物联网设备产生的数据进行威胁检测,威胁检测包括:异常流量检测、弱密码检测、恶意软件扫描、设备漏洞检测、数据异常检测、指令篡改检测、地理位置异常检测;
6、根据威胁检测,wazuh系统生成对应的安全事件和警报;
7、将检测到的安全事件存储到数据库中;
8、通过thingsboard平台,将数据库中的数据以图表或图像的形式进行可视化展示,wazuh系统的数据接入通过thingsboard的流程引擎实现对接。
9、优选的,通过部署wazuh系统代理实时采集物联网设备的日志数据、网络流量、系统指标数据。
10、进一步的,异常流量检测的方法为:使用开源入侵检测系统suricata并结合随机森林算法对物联网设备产生的数据进行异常流量检测。
11、进一步的,弱密码检测的方法为:使用owasp passfault对物联网设备产生的数据进行密码策略检查,检查密码是否符合安全策略。
12、进一步的,恶意软件扫描的方法为:使用clamav作为恶意软件扫描引擎对物联网设备产生的数据进行扫描,检测恶意软件。
13、进一步的,设备漏洞检测的方法为:使用nessus对物联网设备产生的数据进行定期扫描,检测已知漏洞。
14、进一步的,数据异常检测的方法为:
15、使用isolation forest算法构建模型;
16、通过傅里叶变换提取频率域信息,捕捉物联网设备产生的数据的周期性和频率特征,得到频域特征;
17、提取物联网设备产生的数据的均值、标准差、中位数,得到基本统计特征;
18、对物联网设备产生的数据的类别型特征进行编码,得到编码或标签化特征;
19、将物联网设备产生的数据的源ip和目标ip组合为联合特征,得到交叉特征;
20、模型随机选择频域特征、基本统计特征、编码或标签化特征、叉特征和分割点来构建二叉树进行数据异常检测。
21、进一步的,指令篡改检测的方法为:使用rsa或hmac数字签名和加密算法使物联网设备产生的数据进行加密。
22、进一步的,地理位置异常检测的方法为:使用gps模块、ip地理位置库定期获取物理网设备的地理位置,将获取的地理位置与预设范围进行比对,如果获取的地理位置在预设范围之外则触发报警。
23、进一步的,wazuh系统生成对应的安全事件和警报的方法为:
24、wazuh系统通过安全规则对物联网设备产生的数据进行监控,当数据与规则匹配时,触发规则匹配;
25、当规则匹配发生时,wazuh系统触发一个事件,该事件包含于匹配规则的id、规则名称、时间戳;
26、触发事件传递给wazuh系统的事件处理器;
27、wazuh系统根据规则的分类和事件的属性将事件分类为指定的威胁类型;
28、wazuh系统将相同类型的多次触发的事件进行聚合,当事件被聚合或该事件为需要通知管理员的事件时,wazuh系统生成相应的告警。
29、本发明的有益效果是:将开源安全监控平台wazuh与开源iot平台thingsboard相结合,实现了对物联网网络的综合性态势感知。通过wazuh的数据采集和威胁检测,能够全面监测物联网设备的状态和安全威胁,为网络安全提供全面保障。具有以下优点:
30、实时监测与响应:能够实时监测设备状态,迅速响应潜在威胁,保障物联网网络安全。
31、多维分析:通过多种数据源的综合分析,提升威胁检测的准确性,降低误报率。
32、可视化展示:通过图表、图像等可视化形式,使用户直观地了解网络态势,更好地做出决策。
33、数据自动处理:引入流程引擎,实现数据的自动化处理和分发,提升系统的灵活性。
34、开源平台:采用开源平台,降低开发和维护成本,促进社区合作和创新。
1.一种基于wazuh的thingsboard物联网网络态势感知的方法,其特征在于,包括:
2.根据权利要求1所述的基于wazuh的thingsboard物联网网络态势感知的方法,其特征在于:通过部署wazuh系统代理实时采集物联网设备的日志数据、网络流量、系统指标数据。
3.根据权利要求1所述的基于wazuh的thingsboard物联网网络态势感知的方法,其特征在于,异常流量检测的方法为:使用开源入侵检测系统suricata并结合随机森林算法对物联网设备产生的数据进行异常流量检测。
4.根据权利要求1所述的基于wazuh的thingsboard物联网网络态势感知的方法,其特征在于,弱密码检测的方法为:使用owasp passfault对物联网设备产生的数据进行密码策略检查,检查密码是否符合安全策略。
5.根据权利要求1所述的基于wazuh的thingsboard物联网网络态势感知的方法,其特征在于,恶意软件扫描的方法为:使用clamav作为恶意软件扫描引擎对物联网设备产生的数据进行扫描,检测恶意软件。
6.根据权利要求1所述的基于wazuh的thingsboard物联网网络态势感知的方法,其特征在于,设备漏洞检测的方法为:使用nessus对物联网设备产生的数据进行定期扫描,检测已知漏洞。
7.根据权利要求1所述的基于wazuh的thingsboard物联网网络态势感知的方法,其特征在于,数据异常检测的方法为:
8.根据权利要求1所述的基于wazuh的thingsboard物联网网络态势感知的方法,其特征在于,指令篡改检测的方法为:使用rsa或hmac数字签名和加密算法使物联网设备产生的数据进行加密。
9.根据权利要求1所述的基于wazuh的thingsboard物联网网络态势感知的方法,其特征在于,地理位置异常检测的方法为:使用gps模块、ip地理位置库定期获取物理网设备的地理位置,将获取的地理位置与预设范围进行比对,如果获取的地理位置在预设范围之外则触发报警。
10.根据权利要求1所述的基于wazuh的thingsboard物联网网络态势感知的方法,其特征在于,wazuh系统生成对应的安全事件和警报的方法为: