一种安全防护方法、装置及系统与流程

本发明涉及网络安全
技术领域：
：，尤其涉及一种安全防护方法、装置及系统。
背景技术：
：：物联网(internetofthings，iot)是继计算机、互联网发展之后，信息化发展的第三次浪潮。物联网是指按照约定的协议，把物品与各类网络连接起来，进行信息交换和通信，以实现智能化识别、定位、跟踪、监控和管理的一种网络。物联网将实现物与物、人与物的广泛“联网”，物联网时代网络与人们日常的生活将更加密切。随着物联网技术的发展物联网设备在工业制造、智能家居等领域的应用增多，为人们的生产和生活带来了巨大的便利。然而随着大众将目光逐渐转移的物联网上，物联网设备自身的安全性也受到来自恶意攻击者的觊觎，由于物联网设备种类多，广泛暴露，使得物联网设备异常脆弱，很容易被攻击者发现漏洞并利用，导致物联网设备被非法操控，用户的体验下降，甚至存在一些物联网设备的重要数据被修改，引发物联网设备故障和严重的安全事故，因此急需一种安全防护方案用以保护物联网设备的安全。技术实现要素：本发明提供一种安全防护方法、装置及系统，用以保护物联网设备的安全。第一方面，本发明公开了一种安全防护方法，应用于安全服务器，所述方法包括：接收安全网关发送的物联网设备的实时流量信息，根据当前检测周期内所述物联网设备每个时刻的流量信息，确定所述物联网设备当前检测周期对应预设流量特征的目标特征值；判断所述目标特征值与当前检测周期对应所述预设流量特征的预测特征值的差值是否小于偏差阈值，其中所述预测特征值是根据所述当前检测周期之前设定数量的历史检测周期对应所述预设流量特征的每个历史特征值及预设的预测算法确定的；如果否，向所述安全网关发送阻断所述物联网设备流量传输的阻断指令，使所述安全网关阻断所述物联网设备的流量传输。可选的，所述预设流量特征包括以下至少一种：发送数据包的周期、发送数据包的流量峰值。可选的，所述根据当前检测周期内所述物联网设备每个时刻的流量信息，确定所述物联网设备当前检测周期对应预设流量特征的目标特征值之前，所述方法还包括：接收所述安全网关发送的所述物联网设备访问的ip和/或域名；判断所述物联网设备对应的ip和/或域名白名单中是否记录有所述ip和/或域名，其中所述ip和/或域名白名单是根据所述物联网设备访问过的历史ip和/或历史域名确定的；如果是，进行后续步骤；如果否，向所述安全网关发送阻断所述物联网设备流量传输的阻断指令，使所述安全网关阻断所述物联网设备的流量传输。可选的，如果所述目标特征值与当前检测周期对应所述预设流量特征的预测特征值的差值小于偏差阈值，所述方法还包括：接收所述安全网关发送的所述物联网设备的设备型号；判断所述目标流量特征值及所述ip和/或域名，是否在预先保存的所述设备型号对应的流量特征集合及ip和/或域名集合中；如果否，向所述安全网关发送阻断所述物联网设备流量传输的阻断指令，使所述安全网关阻断所述物联网设备的流量传输。可选的，所述根据当前检测周期内所述物联网设备每个时刻的流量信息，确定所述物联网设备当前检测周期对应预设流量特征的目标特征值之前，所述方法还包括：接收所述安全网关发送的所述物联网设备的链接信息，其中所述链接信息包括所述物联网设备访问的ip、域名、统一资源定位符url中的至少一种；根据所述链接信息及预设的威胁情报引擎，通过所述威胁情报引擎查询所述链接信息是否为恶意链接信息；如果否，进行后续步骤；如果是，向所述安全网关发送阻断所述物联网设备流量传输的阻断指令，使所述安全网关阻断所述物联网设备的流量传输。第二方面，本发明公开了一种安全防护方法，应用于安全网关，所述方法包括：向安全服务器发送与自身连接的物联网设备的实时流量，使所述安全服务器根据当前检测周期内所述物联网设备每个时刻的流量信息，确定所述物联网设备当前检测周期对应预设流量特征的目标特征值；接收所述安全服务器发送的阻断所述物联网设备流量传输的阻断指令，阻断所述物联网设备的流量传输；其中，所述阻断指令为所述安全服务器确定所述目标特征值与当前检测周期对应所述预设流量特征的预测特征值的差值不小于偏差阈值后发送的，所述预测特征值是根据所述当前检测周期之前设定数量的历史检测周期对应所述预设流量特征的每个历史特征值及预设的预测算法确定的。可选的，所述方法还包括：识别所述物联网设备访问的ip和/或域名，向所述安全服务器发送所述ip和/或域名。可选的，所述方法还包括：识别所述物联网设备的设备型号，向所述安全服务器发送所述设备型号。可选的，所述识别所述物联网设备的设备型号包括：获取所述物联网设备的设备特征，根据所述设备特征及预先保存的包含设备型号与设备特征的匹配关系的匹配关系集，确定所述物联网设备的设备型号。可选的，所述方法还包括：识别所述物联网设备的链接信息，向所述安全服务器发送所述链接信息，所述链接信息包括所述物联网设备访问的ip、域名、统一资源定位符url中的至少一种。第三方面，本发明公开了一种安全防护装置，应用于安全服务器，所述方法包括：接收确定模块，用于接收安全网关发送的物联网设备的实时流量信息，根据当前检测周期内所述物联网设备每个时刻的流量信息，确定所述物联网设备当前检测周期对应预设流量特征的目标特征值；判断模块，用于判断所述目标特征值与当前检测周期对应所述预设流量特征的预测特征值的差值是否小于偏差阈值，其中所述预测特征值是根据所述当前检测周期之前设定数量的历史检测周期对应所述预设流量特征的每个历史特征值及预设的预测算法确定的；如果判断结果为否，触发指示模块；指示模块，用于向所述安全网关发送阻断所述物联网设备流量传输的阻断指令，使所述安全网关阻断所述物联网设备的流量传输。可选的，所述预设流量特征包括以下至少一种：发送数据包的周期、发送数据包的流量峰值。可选的，所述装置还包括：接收判断模块，用于接收所述安全网关发送的所述物联网设备访问的ip和/或域名；判断所述物联网设备对应的ip和/或域名白名单中是否记录有所述ip和/或域名，其中所述ip和/或域名白名单是根据所述物联网设备访问过的历史ip和/或历史域名确定的；如果判断结果为是，触发接收确定模块，如果判断结果为否，触发指示模块。可选的，所述接收判断模块，还用于如果所述目标特征值与当前检测周期对应所述预设流量特征的预测特征值的差值小于偏差阈值，接收所述安全网关发送的所述物联网设备的设备型号；判断所述目标流量特征值及所述ip和/或域名，是否在预先保存的所述设备型号对应的流量特征集合及ip和/或域名集合中；如果判断结果为否，触发指示模块。可选的，所述装置还包括：接收查询模块，用于接收所述安全网关发送的所述物联网设备的链接信息，其中所述链接信息包括所述物联网设备访问的ip、域名、统一资源定位符url中的至少一种；根据所述链接信息及预设的威胁情报引擎，通过所述威胁情报引擎查询所述链接信息是否为恶意链接信息；如果查询结果为是，触发接收确定模块，如果查询结果为否，触发指示模块。第四方面，本发明公开了一种安全防护装置，应用于安全网关，所述装置包括：发送模块，用于向安全服务器发送与自身连接的物联网设备的实时流量，使所述安全服务器根据当前检测周期内所述物联网设备每个时刻的流量信息，确定所述物联网设备当前检测周期对应预设流量特征的目标特征值；接收处理模块，用于接收所述安全服务器发送的阻断所述物联网设备流量传输的阻断指令，阻断所述物联网设备的流量传输；其中，所述阻断指令为所述安全服务器确定所述目标特征值与当前检测周期对应所述预设流量特征的预测特征值的差值不小于偏差阈值后发送的，所述预测特征值是根据所述当前检测周期之前设定数量的历史检测周期对应所述预设流量特征的每个历史特征值及预设的预测算法确定的。可选的，所述装置还包括：识别发送模块，用于识别所述物联网设备访问的ip和/或域名，向所述安全服务器发送所述ip和/或域名。可选的，所述识别发送模块，还用于识别所述物联网设备的设备型号，向所述安全服务器发送所述设备型号。可选的，所述识别发送模块，具体用于获取所述物联网设备的设备特征，根据所述设备特征及预先保存的包含设备型号与设备特征的匹配关系的匹配关系集，确定所述物联网设备的设备型号。可选的，所述识别发送模块，还用于识别所述物联网设备的链接信息，向所述安全服务器发送所述链接信息，所述链接信息包括所述物联网设备访问的ip、域名、统一资源定位符url中的至少一种。第五方面，本发明名公开了一种安全防护系统，所述系统包括：包含上述安全防护装置的安全服务器、及至少一个包含上述安全防护装置的安全网关、及至少一个与所述安全网关连接的物联网设备。由于在本发明实施例中，安全服务器根据物联网设备在当前检测周期之前设定数量的历史检测周期对应预设流量特征的每个历史特征值，及预设的预测算法，确定物联网设备对应预设流量特征的预测特征值，从而确定物联网设备正常的行为基线，在安全服务器检测到物联网设备当前检测周期对应预设流量特征的目标特征值与预测特征值的差超过偏差阈值，偏离正常的行为基线时，向安全网关发送阻断物联网设备流量传输的阻断指令，使安全网关阻断物联网设备的流量传输，提供了一种保护物联网设备的安全防护方案。附图说明为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。图1为本发明实施例提供的一种安全防护过程示意图；图2为本发明实施例提供的一种ip和/或域名白名单确定过程示意图；图3为本发明实施例提供的一种安全防护过程示意图；图4为本发明实施例提供的一种安全服务器的功能架构示意图；图5为本发明实施例提供的一种安全防护过程示意图；图6为本发明实施例提供的一种设备型号识别流程示意图；图7为本发明实施例提供的一种安全网关的功能架构示意图；图8为本发明实施例提供的一种安全网关工作流程图；图9为本发明实施例提供的一种安全防护装置；图10为本发明实施例提供的一种安全防护装置；图11为本发明实施例提供的一种安全防护系统。具体实施方式为了使本发明的目的、技术方案和优点更加清楚，下面将结合附图本发明作进一步地详细描述，显然，所描述的实施例仅仅是本发明的一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。需要理解的是，在本申请的描述中，“和/或”，描述关联对象的关联关系，表示可以存在三种关系，例如，a和/或b，可以表示：单独存在a，同时存在a和b，单独存在b这三种情况。字符“/”一般表示前后关联对象是一种“或”的关系。本申请中所涉及的多种，是指两种或两种以上。实施例1：图1为本发明实施例提供的一种安全防护过程示意图，该过程包括：s101：接收安全网关发送的物联网设备的实时流量信息，根据当前检测周期内所述物联网设备每个时刻的流量信息，确定所述物联网设备当前检测周期对应预设流量特征的目标特征值。本发明实施例提供的安全防护方法，应用于安全服务器，所述安全服务器也可以是多台安全服务器构成的安全服务器集群，或者多台安全服务器构成的安全平台等，在本发明实施例中与安全服务器存在通信连接的安全网关可以有一个，也可以有多个，与安全网关连接的物联网设备可以有一个，也可以有多个，在本发明实施例中，以与安全服务器存在通信连接的某一安全网关，与该安全网关连接的某一物联网设备为例进行说明。与传统计算机或手机等终端业务不同的是，物联网设备的业务场景较为固定，物联网设备发送的心跳数据或业务数据等存在周期性的特点，并且发送的心跳数据或业务数据的内容具有相对固定的特点，本实施例旨在通过物联网设备发送心跳数据或业务数据的上述特点，对物联网设备进行安全防护。具体的，安全网关可以实时向安全服务器发送与安全网关连接的物联网设备的实时流量信息，较佳的，安全网关也可以按照与安全服务器相同的检测周期，统计检测周期内物联网设备的实时流量信息，按照检测周期向安全服务器发送物联网设备的实时流量信息，其中所述检测周期可以为1min、3min、5min等。安全服务器接收安全网关发送的物联网设备的实时流量信息，根据当前检测周期内物联网设备的每个时刻的流量信息，确定物联网设备当前检测周期对应预设流量特征的目标特征值，其中所述预设流量特征包括发送数据包的周期、发送数据包的流量峰值中的至少一种，在本发明实施例中根据每个时刻的流量信息，确定发送数据包的周期和发送数据包的流量峰值等流量特征是现有技术，不再进行赘述。s102：判断所述目标特征值与当前检测周期对应所述预设流量特征的预测特征值的差值是否小于偏差阈值，如果是，则结束，如果否，进行s103。s103：向所述安全网关发送阻断所述物联网设备流量传输的阻断指令，使所述安全网关阻断所述物联网设备的流量传输。在本发明实施例中，所述预测特征值是根据所述当前检测周期之前设定数量的历史检测周期对应所述预设流量特征的每个历史特征值及预设的预测算法确定的。在安全服务器中预设有预测算法，如时间序列算法等，具体的，安全服务器，针对当前检测周期，根据当前检测周期之前设定数量的历史检测周期对应的预设流量特征的每个历史特征值，使用预设的预测算法确定当前检测周期对应的预设流量特征的预测特征值。示例性的，当前检测周期为第9检测周期，设定数量为5，预设的预测算法为时间序列算法，则安全服务器根据第4检测周期、第5检测周期、第6检测周期、第7检测周期和第8检测周期分别对应预设流量特征的历史特征值，使用时间序列算法，确定第9检测周期对应预设流量特征的预测特征值。另外，需要说明的是，在本发明实施例中预设流量特征可以为一个，也可以为多个，如果预设流量特征为多个，可以针对每个预设流量特征，分别设置偏差阈值，如果安全服务器确定存在任一预设流量特征对应的目标特征值与预测特征值的差值不小于该预设流量特征对应的偏差阈值时，则确定物联网设备存在异常，向安全网关发送阻断物联网设备流量传输的阻断指令，安全网关阻断物联网设备的流量传输。此外，安全服务器在判断物联网设备当前检测周期对应预设流量特征的目标特征值与当前检测周期对应预设流量特征的预测特征值的差值不小于偏差阈值时，还可以发出告警信息，提示管理人员，物联网设备出现异常，较佳的，安全服务器发出告警信息时，还可以显示出现异常的物联网设备的标识信息，如名称等，方便管理人员的获知。由于在本发明实施例中，安全服务器根据当前检测周期内物联网设备每个时刻的流量信息，确定物联网设备当前检测周期对应预设流量特征的目标特征值，并在目标特征值与根据当前检测周期之前设定数量的历史检测周期对应预设流量特征的每个历史特征值及预设的预测算法确定的预测特征值的差值不小于偏差阈值时，向安全网关发送阻断物联网设备流量传输的阻断指令，使安全网关阻断物联网设备的流量传输，使得在物联网设备流量异常时，阻断物联网设备的流量传输，提供了一种保护物联网设备的安全防护方案。实施例2：区别于传统的计算机或手机等终端，物联网设备访问的目的地址较为固定，可以枚举，为了进一步提高安全防护的效果，在上述实施例的基础上，在本发明实施例中，所述根据当前检测周期内所述物联网设备每个时刻的流量信息，确定所述物联网设备当前检测周期对应预设流量特征的目标特征值之前，所述方法还包括：接收所述安全网关发送的所述物联网设备访问的ip和/或域名；判断所述物联网设备对应的ip和/或域名白名单中是否记录有所述ip和/或域名，其中所述ip和/或域名白名单是根据所述物联网设备访问过的历史ip和/或历史域名确定的；如果是，进行后续步骤；如果否，向所述安全网关发送阻断所述物联网设备流量传输的阻断指令，使所述安全网关阻断所述物联网设备的流量传输。具体的，安全网关可以使用流量采集工具对物联网设备发送的数据包中的信息进行采集，如获取物联网设备发送的数据包的源ip、目的ip、源端口、目的端口、应用协议、连接时间、域名系统(domainnamesystem，dns)请求、访问的url、发送数据包的情况等信息，具体的，安全网关根据物联网设备的目的ip及dns请求，确定物联网设备访问的ip和域名，并将物联网设备访问的ip和/或域名发送给安全服务器。在安全服务器中预先保存有每个物联网设备对应的ip和/或域名白名单，如图2所示，在进行安全防护之前，安全网关将每个物联网设备一段时间正常工作时访问的ip和/或域名发送给安全服务器，安全服务器采用机器学习的方式，针对每个物联网设备访问过的历史ip和或历史域名进行统计，计算每个物联网设备的对应的ip和/或域名白名单。在进行安全防护时，安全服务器接收到安全网关发送的物联网设备访问的ip和/或域名，识别该物联网设备对应的ip和/或域名白名单中是否记录有该物联网设备访问的ip和/或域名，如果是，则说明该物联网设备访问正常，如果否，则说明该物联网设备访问异常，安全服务器发出告警信息，并向安全网关发送阻断该物联网设备流量传输的阻断指令，使安全网关阻断该物联网设备的流量传输。实施例3：为了防止单个物联网设备出现异常访问或被攻击，被误认为正常，在上述各实施例的基础上，在本发明实施例中，如果所述目标特征值与当前检测周期对应所述预设流量特征的预测特征值的差值小于偏差阈值，所述方法还包括：接收所述安全网关发送的所述物联网设备的设备型号；判断所述目标流量特征值及所述ip和/或域名，是否在预先保存的所述设备型号对应的流量特征集合及ip和/或域名集合中；如果否，向所述安全网关发送阻断所述物联网设备流量传输的阻断指令，使所述安全网关阻断所述物联网设备的流量传输。在本法实施例中，在安全服务器中还预先保存有每种设备型号的物联网设备对应的流量特征集合及ip和/或域名集合。安全服务器采用机器学习算法，预先针对每个设备型号，对该设备型号对应的多个物联网设备在正常工作时，对应预设流量特征的多个检测周期的流量特征值进行统计，确定该设备型号对应的流量特征集合；并对该设备型号对应的多个物联网设备在正常工作时，访问的多个ip和/或域名进行统计，确定该设备型号对应的ip和/或域名集合。具体的，安全服务器接收安全网关发送的物联网设备的设备型号后，判断该物联网设备当前周期对应的目标流量特征值及访问的ip和/或域名，是否在预先保存的该设备型号对应的流量特征集合及ip和/或域名集合中，如果是，则说明该物联网设备符合该设备型号的物联网设备的行为特征，否则，则说明该物联网设备不符合该设备型号的物联网设备的行为特征，向安全网关发送阻断该物联网设备流量传输的阻断指令，使安全网关阻断该物联网设备的流量传输。实施例4：为了进一步提高安全防护的效果，在上述各实施例的基础上，在本发明实施例中，所述根据当前检测周期内所述物联网设备每个时刻的流量信息，确定所述物联网设备当前检测周期对应预设流量特征的目标特征值之前，所述方法还包括：接收所述安全网关发送的所述物联网设备的链接信息，其中所述链接信息包括所述物联网设备访问的ip、域名、统一资源定位符(uniformresourcelocator，url)中的至少一种；根据所述链接信息及预设的威胁情报引擎，通过所述威胁情报引擎查询所述链接信息是否为恶意链接信息；如果否，进行后续步骤；如果是，向所述安全网关发送阻断所述物联网设备流量传输的阻断指令，使所述安全网关阻断所述物联网设备的流量传输。在本发明实施例中，安全服务器还可以通过第三方的威胁情报索引擎，对物联网设备是否存在异常进行判断，具体的，如图3所示，安全网关将物联网设备的链接信息发送给安全服务器，所述链接信息包括访问的ip、域名、url等，安全服务器根据安全网关发送的链接信息通过预设的威胁情报引擎的api接口，查询所述链接信息是否为恶意链接信息，接收威胁情报引擎查询所述链接信息是否为恶意链接信息的查询结果，如果所述链接信息被标记为存在信誉问题、链接到命令和控制服务器(commandandcontrolserver，cnc)、或直接被标记为恶意链接信息时，均确定链接信息为恶意链接信息，如果物联网设备的链接信息为恶意链接信息，安全服务器认为该物联网设备存在风险，安全服务器发出告警信息，并向安全网关发送阻断该物联网设备流量传输的阻断指令，使安全网关阻断该物联网设备的流量传输。图4为本发明实施例提供的一种安全服务器的功能架构示意图，如图4所示，安全服务器包括异常分析单元、威胁情报查询单元、设备管理单元、安全网关数据接收单元、数据存储单元、流量分析单元等。安全网关数据接收单元主要用于接收安全网关发送的物联网设备的数据，如流量信息、链接信息等，并将接收到物联网设备的数据存储值数据存储单元；数据存储单元，用于对安全网关发送的物联网设备的数据、安全服务器的处理日志等数据的存储；流量分析单元，主要用于对安全网关发送的流量信息进行分析，预测物联网设备的流量特征；威胁情报查询单元，用于请求查询已知的威胁情报搜索引擎，获取物联网设备的链接信息是否为恶意链接；异常行为检测单元，用于对物联网设备是否存在异常行为进行检测，如对设备的流量特征及访问的ip、域名等进行检测，并在物联网设备异常时发出告警；设备管理单元，为管理者和用户提供管理入口，对直接或间接与安全服务器连接的物联网设备进行可视化管理安全网关的账户管理(dashboard)等。实施例5：图5为本发明实施例提供的一种安全防护过程示意图，该过程包括：s501：向安全服务器发送与自身连接的物联网设备的实时流量，使所述安全服务器根据当前检测周期内所述物联网设备每个时刻的流量信息，确定所述物联网设备当前检测周期对应预设流量特征的目标特征值。具体的，安全网关可以实时向安全服务器发送与安全网关连接的物联网设备的实时流量信息，较佳的，安全网关也可以按照与安全服务器相同的检测周期，统计检测周期内物联网设备的实时流量信息，按照检测周期向安全服务器发送物联网设备的实时流量信息，其中所述检测周期可以为1min、3min、5min等。安全服务器接收安全网关发送的物联网设备的实时流量信息，根据当前检测周期内物联网设备的每个时刻的流量信息，确定物联网设备当前检测周期对应预设流量特征的目标特征值，其中所述预设流量特征包括发送数据包的周期、发送数据包的流量峰值中的至少一种，在本发明实施例中根据每个时刻的流量信息，确定发送数据包的周期和发送数据包的流量峰值等流量特征是现有技术，不再进行赘述。s502：接收所述安全服务器发送的阻断所述物联网设备流量传输的阻断指令，阻断所述物联网设备的流量传输。其中，所述阻断指令为所述安全服务器确定所述目标特征值与当前检测周期对应所述预设流量特征的预测特征值的差值不小于偏差阈值后发送的，所述预测特征值是根据所述当前检测周期之前设定数量的历史检测周期对应所述预设流量特征的每个历史特征值及预设的预测算法确定的。在安全服务器中预设有预测算法，如时间序列算法等，具体的，安全服务器，针对当前检测周期，根据当前检测周期之前设定数量的历史检测周期对应的预设流量特征的每个历史特征值，使用预设的预测算法确定当前检测周期对应的预设流量特征的预测特征值。示例性的，当前检测周期为第9检测周期，设定数量为5，预设的预测算法为时间序列算法，则安全服务器根据第4检测周期、第5检测周期、第6检测周期、第7检测周期和第8检测周期分别对应预设流量特征的历史特征值，使用时间序列算法，确定第9检测周期对应预设流量特征的预测特征值。另外，需要说明的是，在本发明实施例中预设流量特征可以为一个，也可以为多个，如果预设流量特征为多个，可以针对每个预设流量特征，分别设置偏差阈值，如果安全服务器确定存在任一预设流量特征对应的目标特征值与预测特征值的差值不小于该预设流量特征对应的偏差阈值时，则确定物联网设备存在异常，向安全网关发送阻断物联网设备流量传输的阻断指令，安全网关接收到阻断物联网设备流量传输的阻断指令后，阻断物联网设备的流量传输。实施例6：区别于传统的计算机或手机等终端，物联网设备访问的目的地址较为固定，可以枚举，为了进一步提高安全防护的效果，在上述实施例的基础上，在本发明实施例中，所述方法还包括：识别所述物联网设备访问的ip和/或域名，向所述安全服务器发送所述ip和/或域名。具体的，安全网关可以使用流量采集工具对物联网设备发送的数据包中的信息进行采集，如获取物联网设备发送的数据包的源ip、目的ip、源端口、目的端口、应用协议、连接时间、域名系统(domainnamesystem，dns)请求、访问的url、发送数据包的情况等信息，具体的，安全网关根据物联网设备的目的ip及dns请求，确定物联网设备访问的ip和域名，并将物联网设备访问的ip和/或域名发送给安全服务器。安全服务器接收到安全网关发送的物联网设备访问的ip和/或域名，识别该物联网设备对应的ip和/或域名白名单中是否记录有该物联网设备访问的ip和/或域名，如果是，则说明该物联网设备访问正常，如果否，则说明该物联网设备访问异常，安全服务器发出告警信息，并向安全网关发送阻断该物联网设备流量传输的阻断指令，使安全网关阻断该物联网设备的流量传输。实施例7：为了防止单个物联网设备出现异常访问或被攻击，被误认为正常，在上述各实施例的基础上，在本发明实施例中，所述方法还包括：识别所述物联网设备的设备型号，向所述安全服务器发送所述设备型号。在安全服务器中还预先保存有每种设备型号的物联网设备对应的流量特征集合及ip和/或域名集合。安全服务器采用机器学习算法，预先针对每个设备型号，对该设备型号对应的多个物联网设备在正常工作时，对应预设流量特征的多个检测周期的流量特征值进行统计，确定该设备型号对应的流量特征集合；并对该设备型号对应的多个物联网设备在正常工作时，访问的多个ip和/或域名进行统计，确定该设备型号对应的ip和/或域名集合。具体的，安全网关可以直接读取物联网设备的设备型号信息，并将设备型号信息发送给安全服务器，安全服务器接收安全网关发送的物联网设备的设备型号后，判断该物联网设备当前周期对应的目标流量特征值及访问的ip和/或域名，是否在预先保存的该设备型号对应的流量特征集合及ip和/或域名集合中，如果是，则说明该物联网设备符合该设备型号的物联网设备的行为特征，否则，则说明该物联网设备不符合该设备型号的物联网设备的行为特征，向安全网关发送阻断该物联网设备流量传输的阻断指令，使安全网关阻断该物联网设备的流量传输。另外，为了保证对物联网设备的设备型号识别的准确性，所述识别所述物联网设备的设备型号包括：所述识别所述物联网设备的设备型号包括：获取所述物联网设备的设备特征，根据所述设备特征及预先保存的包含设备型号与设备特征的匹配关系的匹配关系集，确定所述物联网设备的设备型号。在本发明实施例中物联网设备的设备特征包括物联网设备在联网过程中的主机名称、媒体介入控制层(mediaaccesscontrol，mac)地址、访问的域名、有效载荷(payload)等中的一种或多种。在本发明实施例中，在安全网关中预先保存有包含已知的每种设备型号与设备特征的匹配关系的匹配关系集。在物联网设备接入安全网关后，安全网关识别该物联网设备的设备特征，并通过匹配关系集中设备型号与设备特征的匹配关系，确定与物联网设备匹配的设备。较佳的，如图6所示，在物联网设备接入安全网关，与安全网关建立连接后，安全网关，采集该物联网设备的一定时间长度的数据包，识别该物联网设备的主机名、mac、访问的域名、payload等设备特征，并根据匹配关系集中设备型号与设备特征的匹配关系，将该物联网设备的主机名、mac、访问的域名、payload等设备特征分别与根据匹配关系集中设备型号与设备特征的匹配关系进行匹配，如果存在任一设备特征匹配成功，则输出对应的设备型号，删除采集的数据包，如果均匹配不成功，将采集的数据包、物联网设备的主机名、mac、访问的域名、payload发送给安全服务器，由管理人员分析，生成该物联网设备的设备型号与设备特征的匹配关系，下发至安全网关，安全网关将生成的设备型号与设备特征的匹配关系更新到匹配关系集中，实现对该物联网设备的设备型号的识别。以物联网设备为“小米插座”为例，物联网设备的主机名为“chuangmi-plug-ml_mi”，如果匹配关系集中记录有如果物联网设备的主机名中包含“chuangmi-plug”，则确定物联网设备为“小米插座”的匹配关系，则确定物联网设备为小米插座。如果根据现有匹配关系集，不能确定物联网设备的设备型号，将采集的物联网设备一段时间的数据包，如10分钟、主机名、mac、访问的域名、payload发送给安全服务器进行分析，下发该设备型号与设备特征的匹配关系下发给安全网关，对安全网关的匹配关系集进行更新。实施例8：为了进一步提高安全防护的效果，在上述各实施例的基础上，在本发明实施例中，所述方法还包括：识别所述物联网设备的链接信息，向所述安全服务器发送所述链接信息，所述链接信息包括所述物联网设备访问的ip、域名、统一资源定位符url中的至少一种。安全服务器还可以通过第三方的威胁情报索引擎，对物联网设备是否存在异常进行判断，具体的，如图3所示，安全网关将物联网设备的链接信息发送给安全服务器，所述链接信息包括访问的ip、域名、url等，安全服务器根据安全网关发送的链接信息通过预设的威胁情报引擎的api接口，查询所述链接信息是否为恶意链接信息，接收威胁情报引擎查询所述链接信息是否为恶意链接信息的查询结果，其中如果所述链接信息被标记为存在信誉问题、链接到命令和控制服务器(commandandcontrolserver，cnc)、或直接被标记为恶意链接信息时，均确定链接信息为恶意链接信息，如果物联网设备的链接信息为恶意链接信息，安全服务器认为该物联网设备存在风险，安全服务器发出告警信息，并向安全网关发送阻断该物联网设备流量传输的阻断指令，使安全网关阻断该物联网设备的流量传输。图7为本发明实施例提供的一种安全网关的功能架构示意图，如图7所示，安全网关包括流量采集单元、设备识别单元、无线访问接入点(wirelessaccesspoint，ap)服务单元、指令接收单元、数据发送单元、访问控制单元、入侵检测单元等。设备识别单元，主要是通过根据接入的物联网设备的设备特征来识别其设备型号，具体的设备特征包括主机名称、设备网络行mac地址等；流量采集单元：其主要功能是用来采集接入安全网关的物联网设备的实时流量、源ip、目的ip、源端口、目的端口、应用协议、连接时间、dns请求、访问的url、发送数据包的情况等信息；入侵检测单元，主要对物联网设备进行实时检测，检测是否有物联网设备被入侵、暴力破解、异常登录或者扫描等异常行为；访问控制单元，用于阻断物联网设备的流量传输，如通过防火墙(iptables)阻断物联网设备的流量传输；数据发送单元，用于将物联网设备的实时流量、源ip、目的ip、源端口、目的端口、应用协议、连接时间、域名系统(domainnamesystem，dns)请求、访问的url、发送数据包的情况等信息，及入侵检测单元检测到的告警信息发送至安全服务器，为安全服务器提供数据支持；指令接收单元，用于接收安全服务器下发的指令，对物联网设备进行访问控制；ap服务单元，用于为物联网设备提供wi-fi或者以太网的连接，为物联网设备提供网络连接。如图8所示，在本发明实施例中，安全网关在检测到物联网设备有被入侵、暴力破解、异常登录或者扫描等异常行为，可以直接阻断物联网设备的流量传输，也可以将物联网设备的异常行为上报安全服务器，根据安全服务器的指示来确定是否阻断物联网设备的流量传输。实施例9：图9为本发明实施例提供的一种安全防护装置，应用于安全服务器，所述装置包括：接收确定模91，用于接收安全网关发送的物联网设备的实时流量信息，根据当前检测周期内所述物联网设备每个时刻的流量信息，确定所述物联网设备当前检测周期对应预设流量特征的目标特征值；判断模块92，用于判断所述目标特征值与当前检测周期对应所述预设流量特征的预测特征值的差值是否小于偏差阈值，其中所述预测特征值是根据所述当前检测周期之前设定数量的历史检测周期对应所述预设流量特征的每个历史特征值及预设的预测算法确定的；如果判断结果为否，触发指示模块；指示模块93，用于向所述安全网关发送阻断所述物联网设备流量传输的阻断指令，使所述安全网关阻断所述物联网设备的流量传输。优选地，所述预设流量特征包括以下至少一种：发送数据包的周期、发送数据包的流量峰值。所述装置还包括：接收判断模块94，用于接收所述安全网关发送的所述物联网设备访问的ip和/或域名；判断所述物联网设备对应的ip和/或域名白名单中是否记录有所述ip和/或域名，其中所述ip和/或域名白名单是根据所述物联网设备访问过的历史ip和/或历史域名确定的；如果判断结果为是，触发接收确定模块，如果判断结果为否，触发指示模块。所述接收判断模块94，还用于如果所述目标特征值与当前检测周期对应所述预设流量特征的预测特征值的差值小于偏差阈值，接收所述安全网关发送的所述物联网设备的设备型号；判断所述目标流量特征值及所述ip和/或域名，是否在预先保存的所述设备型号对应的流量特征集合及ip和/或域名集合中；如果判断结果为否，触发指示模块。所述装置还包括：接收查询模块95，用于接收所述安全网关发送的所述物联网设备的链接信息，其中所述链接信息包括所述物联网设备访问的ip、域名、统一资源定位符url中的至少一种；根据所述链接信息及预设的威胁情报引擎，通过所述威胁情报引擎查询所述链接信息是否为恶意链接信息；如果查询结果为是，触发接收确定模块，如果查询结果为否，触发指示模块。实施例10：图10为本发明实施例提供的一种安全防护装置，应用于安全网关，所述装置包括：发送模块101，用于向安全服务器发送与自身连接的物联网设备的实时流量，使所述安全服务器根据当前检测周期内所述物联网设备每个时刻的流量信息，确定所述物联网设备当前检测周期对应预设流量特征的目标特征值；接收处理模块102，用于接收所述安全服务器发送的阻断所述物联网设备流量传输的阻断指令，阻断所述物联网设备的流量传输；其中，所述阻断指令为所述安全服务器确定所述目标特征值与当前检测周期对应所述预设流量特征的预测特征值的差值不小于偏差阈值后发送的，所述预测特征值是根据所述当前检测周期之前设定数量的历史检测周期对应所述预设流量特征的每个历史特征值及预设的预测算法确定的。所述装置还包括：识别发送模块103，用于识别所述物联网设备访问的ip和/或域名，向所述安全服务器发送所述ip和/或域名。所述识别发送模块103，还用于识别所述物联网设备的设备型号，向所述安全服务器发送所述设备型号。所述识别发送模块103，具体用于获取所述物联网设备的设备特征，根据所述设备特征及预先保存的包含设备型号与设备特征的匹配关系的匹配关系集，确定所述物联网设备的设备型号。所述识别发送模块103，还用于识别所述物联网设备的链接信息，向所述安全服务器发送所述链接信息，所述链接信息包括所述物联网设备访问的ip、域名、统一资源定位符url中的至少一种。实施例11：图11为本发明实施例提供的一种安全防护系统，所述系统包括：包含如图9所示安全防护装置的安全服务器111、及至少一个包含如图10所示的安全防护装置的安全网关112、及至少一个与所述安全网关连接的物联网设备113。对于系统/装置实施例而言，由于其基本相似于方法实施例，所以描述的比较简单，相关之处参见方法实施例的部分说明即可。本领域内的技术人员应明白，本申请的实施例可提供为方法、系统、或计算机程序产品。因此，本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、cd-rom、光学存储器等)上实施的计算机程序产品的形式。本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。尽管已描述了本申请的优选实施例，但本领域内的技术人员一旦得知了基本创造性概念，则可对这些实施例做出另外的变更和修改。所以，所附权利要求意欲解释为包括优选实施例以及落入本申请范围的所有变更和修改。显然，本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样，倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内，则本发明也意图包含这些改动和变型在内。当前第1页12当前第1页12