一、项目名称

　　物联网安全大脑研发项目

　　二、所属行业

　　信息安全创新链

　　三、项目简介

　　针对物联网设备及系统的安全风险防护需求，开展物联网轻量级安全威胁感知技术研究，重点突破资源受限、形态异构的物联网设备状态数据采集与状态监控技术和方法，研究复杂环境场景下的基于多维数据感知的物联网安全风险识别模型与算法、威胁响应体系建设等，构建物联网安全大脑平台，实现对物联网设备的风险感知、监测预警、应急处置和分析溯源等能力，从而对智慧城市、智慧社区、工业互联网等场景下的物联网系统提供安全防护。

　　四、项目创新点

　　多源异构设备运行状态数据采集技术。该模块将重点突破异构嵌入式设备的运行状态数据采集技术，形成针对不同CPU架构、不同操作系统的物联网设备运行状态数据采集技术和方法，为物联网设备的网络安全威胁检测提供支持。主要采集的数据包括CPU使用情况、RAM使用情况、网络流量数据、系统进程状态、文件系统敏感操作，以及TCP/IP协议栈相关的IP地址、端口、DNS等信息。

　　多源异构设备流量数据采集技术。该模块将实现对于物联网常见协议的流量进行采集、识别、还原、特征提取和报文分析。通过建设协议模型库记录各种协议的特征描述信息，对物联网中的流量进行识别、检测和过滤。在识别到具体的报文类型后，根据该协议特点，在该网络层级中将报文数据拆分、解析、重新组合之后，得到完整的报文数据，并将得到的数据和360恶意代码库进行比对，以在检测报文中可能存在的恶意指令片段。

　　基于多维威胁特征提取的终端轻量级端威胁发现方法。针对DDOS攻击，采用源端威胁检测方法，根据连接包响应异常、包长度、IP合法性等因素检测DDOS攻击。对于暴力破解攻击，将检测暴力破解请求的频率及失败次数以及进程和数据包特征。对于利用未知漏洞造成的远程RCE，将综合检测文件操作、命令执行、防火墙策略的更改、端口开放、shell回弹等因素进行检测。对于挖矿软件的检测将综合考虑CPU、内存占用率，日志信息等要素。对于僵尸网络检测将从僵尸网络的四个阶段，既传播、感染、通信和攻击四个阶段，针对主机的暴破、漏洞利用、C2通信等特征进行检测。

　　保证海量设备接入的稳定性方面。当物联网终端设备并发连接数量达到千万级别时，对于任何一个管理平台而言，保持设备链路连接的稳定性都是极大的技术挑战。物联网安全大脑平台针对外部连接，结合业务层的处理能力和TCP滑动窗口机制来实现了新型流量压力缓存机制；针对内部资源方面，通过对系统中每个应用进程连接会话数量和系统资源的相互控制，实现了连接数量的动态控制。

　　五、项目效益型分析

　　项目实现成果转化后，预计通过以下方式实现收益：1）物联网安全大脑运营中心产品销售，投产后预计3年可实现总营收3000万元；2）物联网安全态势感知平台服务产品销售，预计投产后3年可实现总营收3000万元。综上，预计3年总营收6000万元。

　　项目合作负责人：黄院长

　　电话：18911527918