一种智能家居终端失陷的检测方法和系统与流程

1.本发明涉及智能家居，尤其涉及一种基于内外网行为特征的智能家居终端失陷的检测方法和系统。


背景技术：

2.随着消费升级，利用物联网技术将家居生活有关的设施集成在一起的智能家居系统正呈现勃勃生机。
3.不同于传统意义上的包括家庭里的pc、各种外设、以及移动计算设备等的与因特网互联的家庭电脑网络系统，智能家居系统更可将家中的各种设备，如智能门锁、影音设备、照明系统、空调暖通、安防系统、网络家电(包括网络冰箱、网络空调、网络洗衣机、网络热水器、网络微波炉、网络炊具等)、甚至智能窗帘等连接到一起，提供全方位的控制管理和信息交互。
4.虽然基于物联网应用追求万物互联，信息共享，通过高度自动化和智能化的系统构建，为人们的日常提供便利，但是，随之而来的风险却因为技术的普及、设备数量的增多而日趋严重。
5.作为一种新技术，物联网的行业标准以及相关管理都还处于初级阶段。物联网庞大的设备基数，加上普遍的脆弱性，终端失陷已成为较为常见的安全威胁。世界各地都曾发生过物联网安防摄像头遭受黑客攻击，系统漏洞导致用户帐户被远程控制从而劫持全部的家用电器等各种形式的安全问题。
6.网络嗅探、远程代码执行、中间人攻击、云端服务器被攻陷等都可能导致被控设备失陷。
7.目前已有比较成熟的基于大网的异常流量检测方法与设备，可分析出失陷ip。通过对流量行为的观察，以网络中的正常行为为依据，凡是与预期的正常行为不一致的网络流量均被视为异常，其中可能包含新的未知攻击。
8.然而，现有的方法与设备只能定位到某个家庭网关失陷，定位失陷的家庭网关的ip地址，但并不能准确获知家庭内某个具体终端的失陷。用于终端失陷检测的方法和系统目前还是个空白，这是一个亟待解决的问题。
9.现有技术中的201711435195.2号专利的一种家庭网关安全监控方法、装置、系统和介质，虽然它提及了提高家庭网关安全监控的精确性，对于智能网关下挂的各类智能家居设备进行监控，然而，从其具体描述可见，其在确定存在恶意网络访问行为，确定发起恶意网络访问行为的目标家庭网关标识之后，根据网络访问数据确定发起恶意网络访问行为的、连接于所述目标家庭网关的从属设备标识，从而向该家庭网关发送携带从属设备标识的安全访问控制指令。也就是说，该现有技术仅专注于对于发起异常流量攻击行为的目标家庭网关中具体的发起恶意网络攻击行为的连接于该目标家庭网关下的从属设备的标识。该现有技术针对的不是受到攻击的失陷的家庭网关和失陷的智能家居设备。
10.因此，本发明正是提供一种能够发现家庭内部的具体的失陷终端并进行验证的方
法和系统。作为外网失陷检测的家庭内部延伸，通过对家庭网关进行软件扩展，而不改变原有网关、智能设备和网络架构，在无须大成本的前提下增强终端本身安全的增强。


技术实现要素：

11.提供本发明内容以便以简化形式介绍将在以下详细描述中进一步描述的一些概念。本发明内容并不旨在标识出所要求保护的主题的关键特征或必要特征；也不旨在用于确定或限制所要求保护的主题的范围。
12.本发明通过家庭网络内外流量结合分析，发现终端失陷行为，并结合家庭网络接入设备(家庭网关或者路由器)匹配定位具体失陷终端并进行扫描验证。
13.本发明公开了一种用于终端失陷检测的方法，该方法的全流程包括失陷ip发现、失陷终端定位失陷验证等三个阶段。
14.本发明的用于终端失陷检测的方法，具体包括以下步骤：通过在城域网出口部署网络流量采集分析设备进行网络流量采集和分析，以发现异常流量的出现来确定失陷ip及失陷信息；上报所确定的失陷ip及失陷信息；判断该失陷ip是否为家庭宽带ip，并在是家庭宽带ip的情况下将家庭宽带ip确定为失陷宽带ip；以及通过将网关缓存的与该失陷ip相关联的网络访问记录与失陷信息进行匹配来定位该失陷宽带内部的失陷内网终端，以及对内部失陷终端的扫描与失陷验证。其中，定位失陷网关内部的失陷内网终端包括：根据所确定的失陷宽带ip反查获得失陷的宽带账号，并确定所对应的家庭网关；网关插件向该家庭网关查询其缓存的网络访问记录；将网络访问记录与失陷信息进行匹配，确定失陷内网ip；以及根据所确定的失陷内网ip定位失陷内网终端。扫描的范围包括采集终端指纹信息及终端端口开放信息以识别终端类型与型号。在终端存在漏洞的情况下，进一步验证失陷行为以及发生的原因。
15.本发明的用于终端失陷检测的系统，包括：多个网关、网络流量采集分析设备，以及与网络流量采集分析设备和多个网关通信地耦合的失陷检测平台。其中每一个网关具有网关插件，网关插件被配置成对失陷内网终端进行扫描，扫描的范围包括采集终端指纹信息及终端端口开放信息以识别终端类型与型号，在终端存在漏洞的情况下，进一步验证失陷行为以及发生的原因；网络流量采集分析设备被配置成：基于外部网络流量分析确定失陷ip及失陷信息；以及上报所确定的失陷ip及失陷信息；失陷检测平台被配置成：接收网络流量采集分析设备上报的失陷ip及失陷信息，将失陷信息发送给与失陷ip相对应的网关，其中网关的网关插件被配置成通过将其缓存的网络访问记录与失陷信息进行匹配来定位网关内部的失陷内网终端。
附图说明
16.通过结合附图阅读下文具体实施方式的详细描述，本领域技术人员可以清楚明了本发明的各种优点和益处。附图仅用于示出优选实施方式的目的，而并不认为是对本技术的限制。
17.图1是根据本发明的智能家居终端失陷的检测方法的流程图；
18.图2是根据本发明的智能家居终端失陷的检测系统的框图。
19.附图中的流程图和框图显示了根据本技术的实施例的系统、方法可能实现的体系
架构、功能和操作。在这点上，流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分，所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。
具体实施方式
20.以下将通过参考附图中示出的具体实施例来对本发明进行更具体描述。通过阅读下文具体实施方式的详细描述，本发明的各种优点和益处对于本领域普通技术人员将变得清楚明了。然而应当理解，可以以各种形式实现本发明而不应被这里阐述的各实施方式所限制。提供以下实施方式是为了能够更透彻地理解本发明。除非另有说明，本技术使用的技术术语或者科学术语应当为本技术所属领域技术人员所理解的通常意义。
21.家庭网关是家庭智能终端网络接入的源头，家庭网关本身具备一定的计算能力和扩展能力。本发明提出的终端失陷检测方法，通过对大网侧的流量分析，结合家庭网络接入设备(家庭网关)，内外结合，发现失陷行为，并定位失陷终端，最后进行失陷扫描验证。
22.本发明方法的全流程包括失陷ip发现、失陷终端定位、失陷终端漏洞扫描与失陷验证等三个阶段。该方法可以用执行规定的功能或动作的专用的基于硬件的系统来实现，或者可以用专用硬件与计算机指令的组合来实现。以下结合附图1进行详述：
23.方法在步骤101开始。
24.阶段一：
25.首先，在外部，失陷检测平台基于网络流量分析发现失陷情况，并确定失陷ip。
26.在城域网出口部署netflow网络流量采集分析设备进行网络流量采集和分析(步骤102)，可检测包括ddos、挖矿等多种异常流量。若筛选出的异常流量的源ip为家庭宽带ip，意味着异常流量来自家庭宽带ip，可初步判断为其为失陷ip，例如，发现失陷的家庭网关ip为49.77.233.68，其失陷信息如下：
27.源ip(外网)源端口目的ip目的端口时间戳49.77.233.6820240180.97.34.948020200622110422
28.将上述失陷ip上报给失陷检测平台(步骤103)。
29.阶段二：
30.接着，内外结合，实现家庭内部失陷终端的定位：失陷检测平台根据失陷ip，调用运营商数据库，反查失陷宽带账号(步骤104)；而宽带账号与网关具有一一对应，失陷检测平台根据反查得到的宽带账号向指定家庭网关查询失陷设备信息；通过家庭网关的应用扩展软件(一般为网关插件)匹配出失陷的内网ip(步骤105)来定位失陷的内网终端(步骤106)。
31.具体而言，家庭网关缓存一段时间的网络访问记录，包括源ip(内网)、源端口(内网)、源ip(外网)、源端口(外网)、目的ip、目的端口以及时间戳。匹配过程是通过失陷宽带账号对应的家庭网关查询相关时间点的访问信息来定位出失陷内网ip的。
32.如网关中缓存的以下访问记录对应于前述上报的失陷家庭网关ip：
33.源ip(内网)源端口(内网)源ip(外网)源端口(外网)目的ip目的端口时间戳192.168.1.1001024049.77.233.6820240180.97.34.948020200622110422
34.通过目的ip(180.97.34.94)、目的端口(80)、时间戳(20200622110422)等字段的
匹配，可得出失陷内网ip为192.168.1.100，由此可定位失陷的内网终端。
35.阶段三：
36.然后，在内部，继续通过家庭网关的应用扩展软件(网关插件)进行终端漏洞扫描与失陷验证(步骤107)。
37.具体而言，在上述步骤定位到失陷内网ip后，网关插件针对此内网终端ip进行扫描，扫描的范围包括采集终端指纹信息及终端端口开放信息。由此可识别终端类型与型号，若终端存在cnnvd漏洞或poc(proof of concept)漏洞，可进一步验证失陷行为以及发生的原因。
38.失陷终端验证包括两个部分，一、根据设备指纹信息识别设备类型与型号；二、根据设备型号信息匹配与验证设备漏洞信息。以上，可为设备失陷找到最初的原因。进一步验证了设备失陷。
39.该方法在步骤108结束。
40.图2是根据本发明的智能家居终端失陷的检测系统的框图，图2中示出了三个家庭网关和共计八个终端，本领域技术人员可以理解，这仅仅是示意的目的，任何数量的家庭网关和终端都是可以构想了。而终端可以包括计算设备机器外部设备，以及各种其他智能家居设备，如智能门锁、影音设备、照明系统、空调暖通、安防系统、网络家电等。
41.如图2，网络流量采集分析设备被部署在城域网出口，用于失陷ip发现。网络流量采集分析设备通过检测包括ddos、挖矿等多种异常流量来确定所述失陷ip为失陷网关ip。并将失陷网关ip及其失陷信息(包括源端口、目的ip、目的端口、时间戳等)上报给与之通信的失陷检测平台。
42.失陷检测平台一方面与网络流量采集分析设备进行通信，一方面和各家庭网关进行通信、与家庭网关插件交互。失陷检测平台接收网络流量采集分析设备上报的失陷网关ip及其失陷信息，根据所确定的失陷网关ip调用运营商数据库，反查获得失陷的宽带账号，并确定该宽带账号对应的家庭网关，将失陷网关ip及其失陷信息发送给对应的家庭网关。
43.家庭网关的应用扩展软件(网关插件)根据缓存的网络访问记录与接收到失陷信息的进行匹配，从而定位失陷的内网ip，从而定位失陷的终端。
44.家庭网关的网关插件可以进一步进行扫描与失陷验证。扫描的范围包括采集终端指纹信息及终端端口开放信息。由此可识别终端类型与型号，若终端存在cnnvd漏洞或poc漏洞，可进一步验证失陷行为以及发生的原因。
45.该系统通过网络流量采集分析设备、失陷检测平台、家庭网关设备(网关插件)协同工作，结合大网流量检测威胁情报，可定位具体失陷终端，并通过扫描终端漏洞进行失陷验证。
46.计算环境：
47.用于实现本发明的各计算设备包括处理器、存储器、总线和通信接口，所述处理器、存储器和通信接口通过总线进行连接。所述存储器中存储有可在所述处理器上运行的计算机程序，所述处理器运行所述计算机程序时执行本技术的用于终端失陷检测的方法。
48.各计算设备之间可以通过有线或无线的方式进行连接。
49.本技术的方法的步骤可以直接体现为硬件译码处理器执行完成，或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于随机存储器，闪存、只读存储器，
可编程只读存储器或者电可擦写可编程存储器、寄存器等本领域成熟的存储介质中。处理器读取其中的信息，结合其硬件完成上述方法的步骤。
50.本技术的方法也可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本技术各个实施例所述方法的全部或部分步骤。
51.虽然以特定的顺序次序描述了所公开方法中的步骤以便于呈现，但应当理解，这种描述方式涵盖了重排，例如，顺序地描述的操作可以在一些情形中被重排或被并发地执行。而且，为简洁起见，附图可能没有示出其中所公开的方法可以与其他方法相结合地使用的各种方式。
52.本文中描述的一些创新解决了背景技术中指出的问题。对本文中所描述的示例的各种替代是可能的。例如，本文中描述的一些方法可以通过改变描述的方法动作的顺序、通过拆分、重复或忽略某些方法动作等来更改。所公开技术的各个方面可以组合使用或单独使用。
53.本技术提出一种逻辑严密的方法，通过网关与大网流量检测进行联动分析，发现家庭内部的具体的失陷终端并进行验证。
54.本技术的方法和系统作为外网失陷检测的家庭内部延伸，能充分发挥运营商宽带运营优势，可应用于家庭宽带安全、智能家居设备安全。
55.本技术提出的方法和系统只需要利用现有大网设备，以及对家庭网关进行软件扩展，而不改变原有网关、智能设备和网络架构，具备较强的可操作性。
56.本技术提出的方法和系统充分利用家庭网关边缘计算优势，既是对终端本身安全的增强，另一方面，可极大降低对于智能终端安全的要求。
57.以上实施例仅用以说明本技术的技术方案，而非对其限制；尽管参照前述各实施例对本技术进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述实施例所记载的技术方案进行修改，或者对其中部分或者全部技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本技术各实施例技术方案的范围，其均应涵盖在本技术的权利要求和说明书的范围当中。