一、 思路1
-
登录日志查看
如果当前设备登录日志存在超出预设频率的失败并最终成功,则初步判断为遭受入侵。 -
网络请求监控
监控当前设备对外发起的网络请求,如果频繁对外发送登录验证请求则判定为遭受入侵。
监控当前设备对外发起的网络请求,若发现当前设备频繁对外发送telnet协议或者ssh协议的登录验证请求,并且对外的登录验证请求涉及的账号或者密码不同,并返回大量错误信息,则判定当前设备遭受入侵并尝试感染其他设备。
- 端口服务检测
检测当前设备网络端口服务,若预设端口原始服务被篡改,则判定为遭受入侵。
检测当前设备22端口对应的ssh服务是否被篡改,若是则判定为遭入侵。
检测当前设备23端口对应的telnet服务是否被篡改,若是则判定为遭入侵。
检测当前设备80端口对应的telnet服务是否被篡改,若是则判定为遭入侵。
引用:
[1]任洪伟, 李柏松. 一种发现IoT设备遭受入侵的方法及系统:, CN106790142A[P]. 2017.
1 ↩︎