指令安全防御方法和指令安全防御系统与流程

本发明涉及物联网技术领域，特别涉及一种指令安全防御方法和指令安全防御系统。

背景技术

物联网分为应用层、感知层、传输层三层，每一层物联网都会面临不同的安全风险。在应用层，大部分业务部署于云端，业务应用有可能被劫持，导致从业务系统发送给感知层终端的远程指令存在安全风险；感知层的终端设备，除了数据采集及传输，还需要识别并响应业务系统发来的远程指令，如果指令错误，有可能会造成不可挽回的损失。所以，防止业务应用的劫持、非法接管及控制，需要保障指令的安全。

技术实现要素：

本发明旨在至少解决现有技术中存在的技术问题之一，提出了一种指令安全防御方法和指令安全防御系统。

为实现上述目的，本发明提供了一种指令安全防御方法，包括：

步骤s1、获取目标对象设备执行其所接收到的目标指令后的响应动作信息；

步骤s2、判断所述响应动作信息是否满足所述目标指令对应的安全响应规则或所述目标指令对应的威胁检测规则；

若判断出所述响应动作信息满足所述安全响应规则，则执行步骤s3；

若判断出所述响应动作信息满足所述威胁检测规则，则执行步骤s4；

步骤s3、向所述目标对象设备发送提示信息，以提示所述目标对象设备其所接收到的所述目标指令和其自身响应均安全；

步骤s4、向所述目标对象设备发送提醒信息，以供所述目标对象设备对所述目标指令和其自身响应动作进行隔离。

可选地，在步骤s2中，若判断出所述响应动作信息既不满足所述安全响应规则又不满足所述威胁检测规则，则执行步骤s5；

步骤s5、向所述目标对象设备发送响应确认请求，以供所述目标对象设备检测自身是否正确执行接收到的所述目标指令并反馈第一检测结果；

步骤s6、向所述目标指令的发起方发送目标指令确认请求，以供所述发起方检测所述目标对象设备所接收到的目标指令是否为安全指令并反馈第二检测结果；

步骤s7、接收所述目标对象设备反馈的所述第一检测结果和所述发起方反馈的所述第二检测结果；

步骤s8、根据所述第一检测结果和所述第二检测结果，判断所述目标对象设备的响应动作是否为安全响应；

其中，若所述第一检测结果和所述第二检测结果均为是，则判断出所述目标对象设备对所述目标指令的响应为安全响应；否则，判断出所述目标对象设备对所述目标指令的响应为威胁响应。

可选地，在步骤s8中，当判断出所述目标对象设备对所述目标指令的响应为安全响应时，则继续执行步骤s3；当判断出所述目标对象设备对所述目标指令的响应为威胁响应时，则继续执行步骤s4。

可选地，还包括：

步骤s01、实时收集内网中接收到所述目标指令的各对象设备的响应情报信息，所述响应情报信息包括：接收到所述目标指令的各对象设备作出的响应动作；

步骤s02a、针对所述响应情报信息中的各响应动作，筛选出为安全响应的响应动作，以构成所述目标指令的安全情报信息；

步骤s03a、根据预先确定的所述目标指令在内网的重要等级，确定出所述目标指令对应的安全响应规则的优化更新周期，其中，所述目标指令的重要等级越高则所述优化更新周期越短；

步骤s04a、根据所述目标指令的所述安全情报信息，按照所述优化更新周期对所述目标指令对应的所述安全响应规则进行优化更新。

可选地，还包括：

步骤s01、实时收集内网中接收到所述目标指令的各对象设备的响应情报信息，所述响应情报信息包括：接收到所述目标指令的各对象设备作出的响应动作；

步骤s02b、针对所述响应情报信息中的各响应动作，筛选出为威胁响应的响应动作，以构成所述目标指令的威胁情报信息；

步骤s03b、根据所述目标指令的所述威胁情报信息，按照预设周期对所述目标指令对应的所述威胁检测规则进行优化更新。

为实现上述目的，本发明还提供了一种指令安全防御系统，包括：

第一获取模块，用于获取目标对象设备执行其所接收到的目标指令后的响应动作信息；

第一判断模块，用于判断所述响应动作信息是否满足所述目标指令对应的安全响应规则或所述目标指令对应的威胁检测规则；

第一发送模块，用于若所述第一判断模块判断出所述响应动作信息满足所述安全响应规则时，向所述目标对象设备发送提示信息，以提示所述目标对象设备其所接收到的所述目标指令和其自身响应均安全；

第二发送模块，用于若所述第一判断模块判断出所述响应动作信息满足所述威胁检测规则时，向所述目标对象设备发送提醒信息，以供所述目标对象设备对所述目标指令和其自身响应动作进行隔离。

可选地，还包括：

第三发送模块，用于若所述第一判断模块判断出所述响应动作信息既不满足所述安全响应规则又不满足所述威胁检测规则时，向所述目标对象设备发送响应确认请求，以供所述目标对象设备检测自身是否正确执行接收到的所述目标指令并反馈第一检测结果，以及向所述目标指令的发起方发送目标指令确认请求，以供所述发起方检测所述目标对象设备所接收到的目标指令是否为安全指令并反馈第二检测结果；

接收模块，用于接收所述目标对象设备反馈的所述第一检测结果和所述发起方反馈的所述第二检测结果；

第二判断模块，用于根据所述第一检测结果和所述第二检测结果，判断所述目标对象设备的响应动作是否为安全响应；其中，若所述第一检测结果和所述第二检测结果均为是，则判断出所述目标对象设备对所述目标指令的响应为安全响应；否则，判断出所述目标对象设备对所述目标指令的响应为威胁响应。

可选地，所述第一发送模块还用于若所述第二判断模块判断出所述目标对象设备对所述目标指令的响应为安全响应时，向所述目标对象设备发送所述提示信息；

所述第二发送模块还用于若所述第二判断模块判断出所述目标对象设备对所述目标指令的响应为威胁响应，向所述目标对象设备发送提醒信息。

可选地，还包括：

收集模块，用于实时收集内网中接收到所述目标指令的各对象设备的响应情报信息，所述响应情报信息包括：接收到所述目标指令的各对象设备作出的响应动作；

第一筛选模块，用于针对所述响应情报信息中的各响应动作，筛选出为安全响应的响应动作，以构成所述目标指令的安全情报信息；

周期确定模块，用于根据预先确定的所述目标指令在内网的重要等级，确定出所述目标指令对应的安全响应规则的优化更新周期，其中，所述目标指令的重要等级越高则所述优化更新周期越短；

安全响应规则优化模块，用于根据所述目标指令的所述安全情报信息，按照所述优化更新周期对所述目标指令对应的所述安全响应规则进行优化更新。

可选地，还包括：

收集模块，用于实时收集内网中接收到所述目标指令的各对象设备的响应情报信息，所述响应情报信息包括：接收到所述目标指令的各对象设备作出的响应动作；

第二筛选模块，用于针对所述响应情报信息中的各响应动作，筛选出为威胁响应的响应动作，以构成所述目标指令的威胁情报信息；

威胁检测规则优化模块，用于根据所述目标指令的所述威胁情报信息，按照预设周期对所述目标指令对应的所述威胁检测规则进行优化更新。

本发明具有以下有益效果：

本发明提供了一种指令安全防御方法和指令安全防御系统，其可为物联网中的物联网设备提供针对指令的安全防御机制，有效保障物联网设备在执行指令过程中的安全。

附图说明

图1为本发明实施例一提供的一种指令安全防御方法的流程图；

图2为本发明实施例二提供的一种指令安全防御系统的结构框图。

具体实施方式

为使本领域的技术人员更好地理解本发明的技术方案，下面结合附图对本发明提供的一种指令安全防御方法和指令安全防御系统进行详细描述。

本发明提供了一种指令安全防御方法和指令安全防御系统，用于为物联网系统中的物联网设备(本发明中称为“对象设备”)提供针对指令的安全防御机制。

其中，该指令安全防御系统接入相应的物联网系统(本发明中称为“内网”)中，可获取个对象设备所接收到的指令信息和响应动作信息，通过相应算法可对对象设备基于指令所作出的响应动作为安全响应或威胁响应进行判断，并将判断结果反馈至相应的对象设备，以供对象设备及时对威胁响应进行隔离。

在本发明中，以指令安全防御系统监控内网中某一对象设备接收到某一指令的情况为例，进行示例性描述；其中该对象设备称为目标对象设备，该指令称为目标指令。

图1为本发明实施例一提供的一种指令安全防御方法的流程图，如图1所示，包括：

步骤s1、获取目标对象设备执行其所接收到的目标指令后的响应动作信息。

指令安全防御系统对目标对象设备进行监控，获取目标对象设备所接收到的目标指令的相关信息(例如目标指令的具体内容)以及目标对象设备执行该目标指令后响应动作信息；响应动作信息中记载有目标对象设备执行该目标指令时的响应动作、响应动作对应的字节流量、响应动作对应的响应时长等信息。

步骤s2、判断响应动作信息是否满足目标指令对应的安全响应规则或目标指令对应的威胁检测规则。

指令安全防御系统中存储有不同指令对应的安全响应规则和威胁检测规则。其中，指令对应的安全响应规则中记载有在相应指令未被劫持且对象设备正确执行该指令的情况下，对象设备所作出的安全响应的相关信息，该安全响应的相关信息包括：对象设备执行该指令的安全响应动作集合(表征对象设备可能作出的安全响应动作的集合，包括若干个安全响应动作)、作出安全响应动作对应的字节流量区间、作出安全响应动作对应的响应时长区间等信息。其中，指令对应的威胁检测规则中记载有在相应指令被劫持和/或对象设备未正确执行该指令的情况下，对象设备所作出的威胁响应的相关信息，该威胁响应的相关信息包括：对象设备执行该指令的威胁响应动作集合(表征对象设备可能作出的威胁响应动作的集合，包括若干个威胁响应动作)、作出威胁响应动作对应的字节流量区间、作出威胁响应动作对应的响应时长区间等信息。

在实际应用中可根据实际需要来选择合适的参量(例如：响应动作、字节流量、响应时长)以作为安全响应规则和威胁检测规则的设定依据。例如，仅利用安全响应动作集合来作为安全响应规则，仅利用威胁响应动作集合来作为威胁检测规则；或者，仅利用作出安全响应动作对应的字节流量区间来作为安全响应规则，仅利用作出威胁响应动作对应的字节流量区间来作为威胁检测规则；或者，仅利用作出安全响应动作对应的响应时长区间来作为安全响应规则，仅利用作出威胁响应动作对应的响应时长区间来作为威胁检测规则；当然，也可利用两个或多个参量的组合来设置安全响应规则和威胁检测规则。

需要说明的是，在本发明中，设立安全响应规则和威胁检测规则时所选用的参量还可以为其他参量，设立安全响应规则和威胁检测规则时分别所选用的参量可以相同也可以不同(例如，选用响应动作和字节流量两个参考作为安全响应规则的设立依据，仅选用响应动作作为威胁响应规则的设立依据)。具体情况，此处不再一一举例说明。

此外，在确定设立安全响应规则和威胁检测规则的参量后，可参量对应的取值区间可根据预先获取到的先验知识和/或内网中各对象设备响应不同指令时的响应动作的情报进行设置。

在本实施例中，以利用响应动作、字节流量和响应时长三者作为安全响应规则和威胁检测规则的设立依据的情况为例，进行示例性描述。

其中，假定安全响应规则定义为：

安全响应动作集合a1:{动作1、动作2……动作n}

字节流量区间b1:[b1，b2]

响应时长区间c1:[c1，c2]

威胁响应规则可定义为：

威胁响应动作集合a2:{动作n+1、动作n+2……动作2n}

字节流量区间b2:[b3，b4]

响应时长区间c2:[c3，c4]

为方便描述，将步骤s1中获取到的目标对象设备的响应动作信息中的响应动作、响应动作对应的字节流量、响应动作对应的响应时长分别记为a、b、c。

在步骤s2中，若检测出a∈a1、b∈b1且c∈c1，则可判断出步骤s1中的响应动作信息满足安全响应规则；若检测出a∈a2、b∈b2且c∈c2，则可判断出步骤s1中的响应动作信息满足威胁检测规则；对于其他情况，则可判断出步骤s1中的响应动作信息既不满足安全响应规则也不满足威胁检测规则。

在步骤s2中，若判断出响应动作信息满足安全响应规则时，则执行步骤s3；若判断出响应动作信息满足威胁检测规则时，则执行步骤s4；若判断出响应动作信息既不满足安全响应规则又不满足威胁检测规则时，则执行步骤s5和/或步骤s6。

步骤s3、向目标对象设备发送提示信息，以提示目标对象设备其所接收到的目标指令和其自身响应均安全。

当判断出步骤s1中的响应动作信息满足安全响应规则时，指令安全防御系统向目标对象设备发送提示信息，以告知目标对象设备其所接收到的目标指令未被劫持(目标指令安全)且其自身正确执行目标指令(自身响应安全)。

步骤s4、向目标对象设备发送提醒信息，以供目标对象设备对目标指令和其自身响应动作进行隔离。

当判断出步骤s1中的响应动作信息满足威胁检测规则时，指令安全防御系统向目标对象设备发送提醒信息，以告知目标对象设备其所接收到的目标指令可能被劫持(目标指令不安全)和/或其自身未正确执行目标指令(自身响应不安全)，目标对象设备对目标指令和其自身响应动作进行隔离。

通过上述步骤s4，可在目标指令被劫持和/或目标对象设备未正确执行目标指令时，及时告知目标对象设备对目标指令和其自身响应动作进行隔离，从而避免错误响应威胁到目标对象设备。

步骤s5、向目标对象设备发送响应确认请求，以供目标对象设备检测自身是否正确执行接收到的目标指令并反馈第一检测结果。

当判断出步骤s1中的响应动作信息既不满足安全响应规则也满足威胁检测规则时，指令安全防御系统向目标对象设备发送响应确认请求，以供目标对象设备检测自身是否正确执行接收到的目标指令并反馈第一检测结果。

其中，若目标对象设备检测出自身正确执行其所接收到的目标指令，则表明目标对象设备的自身响应安全；若目标对象设备检测出自身未正确执行其所接收到的目标指令，则表明目标对象设备的自身响应不安全(目标对象设备自身存在威胁)。

步骤s6、向目标指令的发起方发送目标指令确认请求，以供发起方检测目标对象设备所接收到的目标指令是否为安全指令并反馈第二检测结果。

当判断出步骤s1中的响应动作信息既不满足安全响应规则也满足威胁检测规则时，指令安全防御系统向目标指令的发起方发送目标指令确认请求，以供发起方检测目标对象设备所接收到的目标指令是否为安全指令并反馈第二检测结果。

其中，首先发起方检测自身是否发出过该目标指令；若发起方检测自身未发出过该目标指令，则判断出该目标指令为不安全指令(其他设备发送的虚假指令)，并将检测结果反馈给指令安全防御系统；若发起方检测自身发出过该目标指令，则继续判断其自身发出的目标指令与目标对象所接收到的目标指令完全一致，若不一致，则判断出该目标指令为不安全指令(目标指令在传输过程中被劫持)，若一致，则判断出该目标指令为安全指令(目标指令由发起方发出且传输过程中未被劫持)。

需要说明的是，本发明的计算方案步骤s5和步骤s6的执行顺序不作限定，即步骤s5可先于步骤s6执行(见附图1所示)，可后于步骤s6执行，或与步骤s6同步执行。

步骤s7、接收目标对象设备反馈的第一检测结果和发起方反馈的第二检测结果。

指令安全防御系统接收目标对象设备反馈的第一检测结果和发起方反馈的第二检测结果。

步骤s8、根据第一检测结果和第二检测结果，判断目标对象设备的响应动作是否为安全响应。

在步骤s8中，若第一检测结果和第二检测结果均为是，则判断出目标对象设备对目标指令的响应为安全响应；否则，判断出目标对象设备对目标指令的响应为威胁响应。

可选地，在步骤s8中，当判断出目标对象设备对目标指令的响应为安全响应时，则继续执行步骤s3；当判断出目标对象设备对目标指令的响应为威胁响应时，则继续执行步骤s4。在步骤s8结束后执行步骤s3或步骤s4，以告知目标对象设备相应的结果，以供目标对象设备对威胁响应动作进行隔离。

本实施例中，为提升指令安全防御系统的安全防御性能，可对目标指令对应的安全响应规则和威胁检测规则进行优化更新；

此时指令安全防御方法，还包括：

步骤s01、实时收集内网中接收到目标指令的各对象设备的响应情报信息，响应情报信息包括：接收到目标指令的各对象设备作出的响应动作。

步骤s02a、针对响应情报信息中的各响应动作，筛选出为安全响应的响应动作，以构成目标指令的安全情报信息。

步骤s03a、根据预先确定的目标指令在内网的重要等级，确定出目标指令对应的安全响应规则的优化更新周期，其中，目标指令的重要等级越高则优化更新周期越短。

在本发明中，预先对内网中的各指令的重要等级进行评估，然后确定各指令对应的安全响应规则的优化更新周期，指令的重要等级越高则优化更新周期越短(优化更新越频繁)。

步骤s04a、根据目标指令的安全情报信息，按照优化更新周期对目标指令对应的安全响应规则进行优化更新。

例如，假定在步骤s2中检测出a∈a1、且c∈c1，则判断出响应动作信息既不满足安全响应规则也不满足威胁检测规则，但是在步骤s8中第一检测结果和第二检测结果均为是，则判断出目标对象设备对目标指令的响应为安全响应，此时响应动作a、响应动作对应的字节流量b、响应动作对应的响应时长c可作为安全情报信息，并可用于对安全响应规则进行优化更新；

例如，优化更新后的安全响应规则定义为：

安全响应动作集合a1:{动作1、动作2……动作n}

字节流量区间b1:[b1，b2]∪{b}

响应时长区间c1:[c1，c2]

当然，还可采用其他方式对安全响应规则进行更新；例如，若b小于b1，则可使得优化更新后的安全响应规则中的字节流量区间b1:[b，b2]；若b大于b2，则可使得优化更新后的安全响应规则中的字节流量区间b1:[b1，b]；对于其他情况此处不再一一举例说明。

步骤s02b、针对响应情报信息中的各响应动作，筛选出为威胁响应的响应动作，以构成目标指令的威胁情报信息。；

步骤s03b、根据目标指令的威胁情报信息，按照预设周期对目标指令对应的威胁检测规则进行优化更新。

例如，假定在步骤s2中检测出b∈b2且c∈c2，则判断出响应动作信息既不满足安全响应规则也不满足威胁检测规则，但是在步骤s8中第一检测结果和第二检测结果中的至少一者为否，则判断出目标对象设备对目标指令的响应为威胁响应，此时响应动作a、响应动作对应的字节流量b、响应动作对应的响应时长c可作为威胁情报信息，并可用于对威胁检测规则进行优化更新；

例如，优化更新后的威胁检测规则定义为：

威胁响应动作集合a2:{动作n+1、动作n+2……动作2n、动作a}

字节流量区间b2:[b3，b4]

响应时长区间c2:[c3，c4]

其中，威胁检测规则进行优化更新时预设周期可根据实际情况进行设定、调整。

需要说明的是，上述步骤s01～步骤s03b并未在流程图中示意出，本发明的技术方案对对步骤s02a～步骤s04a与步骤s02b～步骤s03b的执行顺序不作限定；此外，本发明的计数方案对步骤s01～步骤s03b与步骤s1～步骤s8的执行顺序也不作限定。

图2为本发明实施例二提供的一种指令安全防御系统的结构框图，如图2所示，该指令安全防御系统包括：第一获取模块1、第一判断模块2、第一发送模块3和第二发送模块4。

其中，第一获取模块1用于获取目标对象设备执行其所接收到的目标指令后的响应动作信息。

第一判断模块2用于判断响应动作信息是否满足目标指令对应的安全响应规则或目标指令对应的威胁检测规则。

第一发送模块3用于若第一判断模块2判断出响应动作信息满足安全响应规则时，向目标对象设备发送提示信息，以提示目标对象设备其所接收到的目标指令和其自身响应均安全。

第二发送模块4用于若第一判断模块2判断出响应动作信息满足威胁检测规则时，向目标对象设备发送提醒信息，以供目标对象设备对目标指令和其自身响应动作进行隔离。

可选地，指令安全防御系统还包括：第三发送模块5、接收模块6和第二判断模块7。

其中，第三发送模块5用于若第一判断模块2判断出响应动作信息既不满足安全响应规则又不满足威胁检测规则时，向目标对象设备发送响应确认请求，以供目标对象设备检测自身是否正确执行接收到的目标指令并反馈第一检测结果，以及向目标指令的发起方发送目标指令确认请求，以供发起方检测目标对象设备所接收到的目标指令是否为安全指令并反馈第二检测结果。

接收模块6用于接收目标对象设备反馈的第一检测结果和发起方反馈的第二检测结果。

第二判断模块7用于根据第一检测结果和第二检测结果，判断目标对象设备的响应动作是否为安全响应；其中，若第一检测结果和第二检测结果均为是，则判断出目标对象设备对目标指令的响应为安全响应；否则，判断出目标对象设备对目标指令的响应为威胁响应。

进一步可选地，第一发送模块3还用于若第二判断模块7判断出目标对象设备对目标指令的响应为安全响应时，向目标对象设备发送提示信息；第二发送模块4还用于若第二判断模块7判断出目标对象设备对目标指令的响应为威胁响应，向目标对象设备发送提醒信息。

可选地，指令安全防御系统还包括：收集模块8、第一筛选模块9、周期确定模块10、安全响应规则优化模块11、第二筛选模块12和威胁检测规则优化模块13。

收集模块8用于实时收集内网中接收到目标指令的各对象设备的响应情报信息，响应情报信息包括：接收到目标指令的各对象设备作出的响应动作；

第一筛选模块9用于针对响应情报信息中的各响应动作，筛选出为安全响应的响应动作，以构成目标指令的安全情报信息；

周期确定模块10用于根据预先确定的目标指令在内网的重要等级，确定出目标指令对应的安全响应规则的优化更新周期，其中，目标指令的重要等级越高则优化更新周期越短；

安全响应规则优化模块11用于根据目标指令的安全情报信息，按照优化更新周期对目标指令对应的安全响应规则进行优化更新。

第二筛选模块12用于针对响应情报信息中的各响应动作，筛选出为威胁响应的响应动作，以构成目标指令的威胁情报信息；

威胁检测规则优化模块13用于根据目标指令的威胁情报信息，按照预设周期对目标指令对应的威胁检测规则进行优化更新。

需要说明的是，本实施例中的第一获取模块1可用于执行上述实施例一中的步骤s1，第一判断模块2可用于执行上述实施例一中的步骤s2，第一发送模块3可用于执行上述实施例一中的步骤s3，第二发送模块4可用于执行上述实施例一中的步骤s4，第三发送模块5可用于执行上述实施例一中的步骤s5和步骤s6，接收模块6可用于执行上述实施例一中的步骤s7，第二判断模块7可用于执行上述实施例一中的步骤s8，收集模块8可用于执行上述实施例一中的步骤s01，第一筛选模块9可用于执行上述实施例一中的步骤s02a，周期确定模块10可用于执行上述实施例一中的步骤s03a，安全响应规则优化模块11可用于执行上述实施例一中的步骤s04a，第二筛选模块12可用于执行上述实施例一中的步骤s02b，威胁检测规则优化模块13可用于执行上述实施例一中的步骤s03b。对于上述各模块的具体描述，可参见前述实施例一中的相应内容，此处不再赘述。

可以理解的是，以上实施方式仅仅是为了说明本发明的原理而采用的示例性实施方式，然而本发明并不局限于此。对于本领域内的普通技术人员而言，在不脱离本发明的精神和实质的情况下，可以做出各种变型和改进，这些变型和改进也视为本发明的保护范围。