基于智能感知物联网终端安全状态信息的监测方法及系统与流程

1.本发明属于安全监测技术领域，尤其涉及一种基于智能感知物联网终端安全状态信息的监测方法及系统。


背景技术：

2.在边缘计算网络数据域，其核心目的是在用户侧、生产现场侧进行大数据预处理后实现与主站系统的实时交互，以减轻主站系统、云计算中心的集中计算压力。然而，在边缘计算网络数据交互共享过程中，攻击者通过新型网络攻击实施窃听、渗透、侧信道攻击、篡改等破坏行动，可导致用户的隐私、使用信息和密码的泄露，或截取传输信息、控制指令，劫持工业控制系统或边缘计算终端，导致整个系统进入混乱状态。同时，由于新型网络攻击由传统的单点攻击转变为多点突破，检测防御难度加大。因此急需一种基于智能感知物联网终端安全状态信息的监测技术，从物联网终端出发，关注物联网终端资产状态、违规行为、弱口令、系统漏洞等威胁信息。通过智能感知的方法及时发现突破绕过现有安全防御机制的风险行为，实时主动监测、预警威胁信息和风险行为。
3.通过上述分析，现有技术存在的问题及缺陷为：
4.在边缘计算网络数据交互共享过程中，攻击者通过新型网络攻击实施窃听、渗透、侧信道攻击、篡改等破坏行动，可导致用户的隐私、使用信息和密码的泄露，或截取传输信息、控制指令，劫持工业控制系统或边缘计算终端，导致整个系统进入混乱状态。同时，由于新型网络攻击由传统的单点攻击转变为多点突破，检测防御难度加大。


技术实现要素：

5.针对现有技术存在的问题，本发明提供了一种基于智能感知物联网终端安全状态信息的监测方法及系统。
6.本发明是这样实现的，一种基于智能感知物联网终端安全状态信息的监测方法具体包括：
7.s1：实时监测物联网终端安全状态信息，并将安全状态信息传入状态分析模块；
8.s2：对接收到安全状态信息依据规则库进行分析，判断是否存在威胁行为，若存在，则根据物联网终端态势评估中对于面临风险的评估结果，对物联网终端面临的安全威胁进行分级，并通过预警模块进行预警，并将该安全状态信息存储到数据库中；若不存在威胁行为，则放行；
9.s3：基于马尔柯夫过程学习模型对数据库中的安全状态信息进行相关特征分析，构建合适的规则库，并自动更新规则库，供状态分析模块使用。
10.进一步，所述物联网终端安全状态信息具体包括物联网终端资产状态、违规行为、弱口令、系统漏洞等威胁信息。
11.进一步，所述监测模块实时监测物联网终端安全状态信息具体包括：
12.通过定时或周期性地查询所述物联网终端的杀毒程序端口，监测终端设备资产状
态、违规行为、弱口令、系统漏洞的安全状态。
13.进一步，所述s2中根据物联网终端态势评估中对于面临风险的评估结果，对物联网终端面临的安全威胁进行分级具体包括：
14.分为运行危险、运行高危、安全危险、安全高危、综合危险、综合高危六个级别，其中运行危险、运行高危、安全危险、安全高危分别代表着系统运行监测到安全威胁，系统网络安全受到威胁，综合危险、综合高危代表着系统运行监测和系统网络安全全部受到威胁。
15.进一步，所述s2中通过预警模块进行预警，具体通过系统消息、短信消息、语音电话、微信推送消息及时的通知管理员系统威胁情况。
16.进一步，所述s3中特征分析模块基于马尔柯夫过程学习模型对数据库中的安全状态信息进行相关特征分析具体包括：
17.(1)建立安全状态信息马尔柯夫过程学习模型；
18.(2)对安全状态信息采样，得到特征向量，确定模型各初始参数；
19.(3)反复迭代训练马尔柯夫过程学习模型，根据给定样本个数，对于每条网络攻击威胁都产生一个具有不同参数马尔柯夫过程学习模型，一共m个，m≥1；
20.(4)对待安全状态信息采样，得到特征向量；
21.(5)将待安全状态信息的特征向量分割，对所有马尔柯夫过程学习模型递进地计算最大相似度，同时排除相似度最小的马尔柯夫过程学习模型，最后得到识别结果。
22.进一步，所述建立安全状态信息马尔柯夫过程学习模型具体包括：
23.1)隐含状态的数目n，状态集为s＝{s1,s2,s3}，分别对应保密性、安全性、完整性；
24.2)观察序列的数目m，观察序列集为v＝{v1,v2,...,vm}，m≥1，对于安全状态信息马尔柯夫过程学习模型，观察序列集为信息采样窗口得到的特征值；
25.3)状态转移矩阵a，a＝{a
ij
}，aij＝p[q
t 1
＝sj|q
t
＝si]，1≤i,j≤n，其中q
t
为在时刻t的状态，a为n
×
n的方阵，行和列都对应所有的状态，表示状态之间转移的概率；
[0026]
4)观察序列概率矩阵b，b＝{bj(k)}，bj(k)＝p[v
t at t|q
t
＝sj]，1≤j≤n，1≤k≤m，即表示在时刻t，隐含状态为sj下观察值为v
t
的概率；连续型hmm的b通过一个连续的函数得到观察序列与状态的关系，常用的是混合高斯概率密度函数；
[0027]
5)初始状态分布概率∏＝{πi}，πi＝p{s1＝qi}，其中1≤i≤n，则对于安全状态信息马尔柯夫过程学习模型，总有π1＝1。
[0028]
本发明另一目的在于提供一种基于智能感知物联网终端安全状态信息的监测系统包括：
[0029]
监测模块，实时监测物联网终端安全状态信息，并将安全状态信息传入状态分析模块；
[0030]
状态分析模块，对接收到安全状态信息依据规则库进行分析，判断是否存在威胁行为，若存在，则根据物联网终端态势评估中对于面临风险的评估结果，对物联网终端面临的安全威胁进行分级，并通过预警模块进行预警，并将该安全状态信息存储到数据库中；若不存在威胁行为，则放行；
[0031]
特征分析模块，基于马尔柯夫过程学习模型对数据库中的安全状态信息进行相关特征分析，构建合适的规则库，并自动更新规则库，供状态分析模块使用。
[0032]
本发明另一目的在于提供一种计算机设备，所述计算机设备包括存储器和处理
器，所述存储器存储有计算机程序，所述计算机程序被所述处理器执行时，使得所述处理器执行所述基于智能感知物联网终端安全状态信息的监测方法。
[0033]
本发明另一目的在于提供一种计算机可读存储介质，存储有计算机程序，所述计算机程序被处理器执行时，使得所述处理器执行所述基于智能感知物联网终端安全状态信息的监测方法。
[0034]
本发明另一目的在于提供一种基于智能感知物联网终端安全状态信息的监测设备，所述基于动态网络的防御终端用于实现所述的基于智能感知物联网终端安全状态信息的监测方法。
[0035]
结合上述的技术方案和解决的技术问题，请从以下几方面分析本发明所要保护的技术方案所具备的优点及积极效果为：
[0036]
第一、针对上述现有技术存在的技术问题以及解决该问题的难度，紧密结合本发明的所要保护的技术方案以及研发过程中结果和数据等，详细、深刻地分析本发明技术方案如何解决的技术问题，解决问题之后带来的一些具备创造性的技术效果。具体描述如下：
[0037]
本发明明基于马尔柯夫过程学习模型对数据库中的安全状态信息进行相关特征分析，构建合适的规则库，并自动更新规则库，从而状态分析模块对对接收到安全状态信息进行分析。
[0038]
第二，把技术方案看做一个整体或者从产品的角度，本发明所要保护的技术方案具备的技术效果和优点，具体描述如下：
[0039]
本发明基于智能感知物联网终端安全状态信息的技术，从物联网终端出发，关注物联网终端资产状态、违规行为、弱口令、系统漏洞等威胁信息。通过智能感知的方法及时发现突破绕过现有安全防御机制的风险行为，实时主动监测、预警威胁信息和风险行为。
附图说明
[0040]
图1是本发明实施例提供的一种基于智能感知物联网终端安全状态信息的监测方法流程图；
[0041]
图2是本发明实施例提供的特征分析模块基于马尔柯夫过程学习模型对数据库中的安全状态信息进行相关特征分析方法流程图。
具体实施方式
[0042]
为了使本发明的目的、技术方案及优点更加清楚明白，以下结合实施例，对本发明进行进一步详细说明。应当理解，此处所描述的具体实施例仅仅用以解释本发明，并不用于限定本发明。
[0043]
一、解释说明实施例。为了使本领域技术人员充分了解本发明如何具体实现，该部分是对权利要求技术方案进行展开说明的解释说明实施例。
[0044]
如附图1所示，一种基于智能感知物联网终端安全状态信息的监测方法，其特征在于，该方法具体包括：
[0045]
s1：监测模块实时监测物联网终端安全状态信息，并将安全状态信息传入状态分析模块；
[0046]
s2：状态分析模块对接收到安全状态信息依据规则库进行分析，判断是否存在威
胁行为，若存在，则根据物联网终端态势评估中对于面临风险的评估结果，对物联网终端面临的安全威胁进行分级，并通过预警模块进行预警，并将该安全状态信息存储到数据库中；若不存在威胁行为，则放行；
[0047]
s3：特征分析模块基于马尔柯夫过程学习模型对数据库中的安全状态信息进行相关特征分析，构建合适的规则库，并自动更新规则库，供状态分析模块使用。
[0048]
所述物联网终端安全状态信息具体包括物联网终端资产状态、违规行为、弱口令、系统漏洞等威胁信息。
[0049]
所述监测模块实时监测物联网终端安全状态信息具体包括：
[0050]
通过定时或周期性地查询所述物联网终端的杀毒程序端口，监测终端设备资产状态、违规行为、弱口令、系统漏洞的安全状态。
[0051]
所述s2中根据物联网终端态势评估中对于面临风险的评估结果，对物联网终端面临的安全威胁进行分级具体包括：
[0052]
分为运行危险、运行高危、安全危险、安全高危、综合危险、综合高危六个级别，其中运行危险、运行高危、安全危险、安全高危分别代表着系统运行监测到安全威胁，系统网络安全受到威胁，综合危险、综合高危代表着系统运行监测和系统网络安全全部受到威胁。
[0053]
所述s2中通过预警模块进行预警，具体通过系统消息、短信消息、语音电话、微信推送消息及时的通知管理员系统威胁情况。
[0054]
如图2所示，所述s3中特征分析模块基于马尔柯夫过程学习模型对数据库中的安全状态信息进行相关特征分析具体包括：
[0055]
s31：建立安全状态信息马尔柯夫过程学习模型；
[0056]
s32：对安全状态信息采样，得到特征向量，确定模型各初始参数；
[0057]
s34：反复迭代训练马尔柯夫过程学习模型，根据给定样本个数，对于每条网络攻击威胁都产生一个具有不同参数马尔柯夫过程学习模型，一共m个，m≥1；
[0058]
s35：对待安全状态信息采样，得到特征向量；
[0059]
s36：将待安全状态信息的特征向量分割，对所有马尔柯夫过程学习模型递进地计算最大相似度，同时排除相似度最小的马尔柯夫过程学习模型，最后得到识别结果。
[0060]
所述建立安全状态信息马尔柯夫过程学习模型具体包括：
[0061]
1)隐含状态的数目n，状态集为s＝{s1,s2,s3}，分别对应保密性、安全性、完整性；
[0062]
2)观察序列的数目m，观察序列集为v＝{v1,v2,...,vm}，m≥1，对于安全状态信息马尔柯夫过程学习模型，观察序列集为信息采样窗口得到的特征值；
[0063]
3)状态转移矩阵a，a＝{a
ij
}，aij＝p[q
t 1
＝sj|q
t
＝si]，1≤i,j≤n，其中q
t
为在时刻t的状态，a为n
×
n的方阵，行和列都对应所有的状态，表示状态之间转移的概率；
[0064]
4)观察序列概率矩阵b，b＝{bj(k)}，bj(k)＝p[v
t at t|q
t
＝sj]，1≤j≤n，1≤k≤m，即表示在时刻t，隐含状态为sj下观察值为v
t
的概率；连续型hmm的b通过一个连续的函数得到观察序列与状态的关系，常用的是混合高斯概率密度函数；
[0065]
5)初始状态分布概率∏＝{πi}，πi＝p{s1＝qi}，其中1≤i≤n，则对于安全状态信息马尔柯夫过程学习模型，总有π1＝1。
[0066]
本发明实施例还提供一种基于智能感知物联网终端安全状态信息的监测系统包括：
[0067]
监测模块，实时监测物联网终端安全状态信息，并将安全状态信息传入状态分析模块；
[0068]
状态分析模块，对接收到安全状态信息依据规则库进行分析，判断是否存在威胁行为，若存在，则根据物联网终端态势评估中对于面临风险的评估结果，对物联网终端面临的安全威胁进行分级，并通过预警模块进行预警，并将该安全状态信息存储到数据库中；若不存在威胁行为，则放行；
[0069]
特征分析模块，基于马尔柯夫过程学习模型对数据库中的安全状态信息进行相关特征分析，构建合适的规则库，并自动更新规则库，供状态分析模块使用。
[0070]
二、应用实施例。为了证明本发明的技术方案的创造性和技术价值，该部分是对权利要求技术方案进行具体产品上或相关技术上的应用实施例。
[0071]
本发明将基于智能感知物联网终端安全状态信息的监测方法应用于一种计算机设备，所述计算机设备包括存储器和处理器，所述存储器存储有计算机程序，所述计算机程序被所述处理器执行时，使得所述处理器执行所述基于智能感知物联网终端安全状态信息的监测方法。
[0072]
本发明将基于智能感知物联网终端安全状态信息的监测方法应用于一种计算机可读存储介质，存储有计算机程序，所述计算机程序被处理器执行时，使得所述处理器执行所述基于智能感知物联网终端安全状态信息的监测方法。
[0073]
本发明基于智能感知物联网终端安全状态信息的监测方法应用于一种基于智能感知物联网终端安全状态信息的监测设备，所述虚拟信息的网络伪装设备用于实现所述基于智能感知物联网终端安全状态信息的监测方法。
[0074]
应当注意，本发明的实施方式可以通过硬件、软件或者软件和硬件的结合来实现。硬件部分可以利用专用逻辑来实现；软件部分可以存储在存储器中，由适当的指令执行系统，例如微处理器或者专用设计硬件来执行。本领域的普通技术人员可以理解上述的设备和方法可以使用计算机可执行指令和/或包含在处理器控制代码中来实现，例如在诸如磁盘、cd或dvd-rom的载体介质、诸如只读存储器(固件)的可编程的存储器或者诸如光学或电子信号载体的数据载体上提供了这样的代码。本发明的设备及其模块可以由诸如超大规模集成电路或门阵列、诸如逻辑芯片、晶体管等的半导体、或者诸如现场可编程门阵列、可编程逻辑设备等的可编程硬件设备的硬件电路实现，也可以用由各种类型的处理器执行的软件实现，也可以由上述硬件电路和软件的结合例如固件来实现。
[0075]
以上所述，仅为本发明的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等，都应涵盖在本发明的保护范围之内。