一种参与灵活资源聚合调控智能终端安全监测方法及系统与流程

1.本发明涉及通信安全技术领域，具体涉及一种参与灵活资源聚合调控智能终端安全监测方法及系统。


背景技术：

2.随着科技发展，大量智能终端参与电动汽车、风电、太阳能等新能源综合接入业务，实现电源侧、电网侧、用户侧、供应链等领域的准确实时感知。针对智能终端的安全监测方法多采用在终端上部署代理软件的方式采集终端的cpu、内存利用率，关键进程状态等数据进行上报，然后由平台侧基于基准值判断是否异常并给出安全告警。
3.目前，尚未有针对参与灵活资源聚合调控智能终端专用的安全监测方法，同时现有安全监测方法在智能终端上的数据采集监测项严重依赖在已知漏洞的利用方式和基础的网络攻击事件中的人工分析经验，缺少针对智能终端全面的攻击面梳理与威胁分析，存在采集项单一，风险辨识能力不足等问题。
4.因此，亟需一种提高攻击行为识别能力的方法。


技术实现要素：

5.有鉴于此，本发明实施方式提供了一种参与灵活资源聚合调控智能终端安全监测方法、安全监测系统、电子设备以及计算机可读存储介质，针对攻击行为的识别能力较高。
6.本发明一方面提供了一种参与灵活资源聚合调控智能终端安全监测方法，所述方法包括：
7.获取智能终端中风险证据项的数据，所述风险证据项表征所述智能终端被攻击时，所述智能终端中的数据会发生变化的目标对象；
8.将所述智能终端中各个风险点的监测规则与所述风险证据项的数据进行比对，确定触发监测规则，其中，所述监测规则包括所述风险点对应的攻击行为的判别条件以及初始信任度，所述触发监测规则为判别条件与所述风险证据项的数据相匹配的监测规则；及
9.根据所述触发监测规则中的攻击行为的初始信任度，确定针对所述智能终端的攻击行为。
10.本发明另一方面还提供了一种安全监测系统，所述系统包括：
11.数据获取模块，用于获取智能终端中风险证据项的数据，所述风险证据项表征所述智能终端被攻击时，所述智能终端中数据会发生变化的目标对象；
12.比对模块，用于将所述智能终端中各个风险点的监测规则与所述风险证据项的数据进行比对，确定触发监测规则，其中，所述监测规则包括各个所述风险点对应的攻击行为的判别条件以及初始信任度，所述触发监测规则为判别条件与所述风险证据项的数据相匹配的监测规则；及
13.攻击行为监测模块，用于根据所述触发监测规则中的攻击行为的初始信任度，确定针对所述智能终端的攻击行为。
14.本发明另一方面还提供了一种电子设备，所述电子设备包括处理器和存储器，所述存储器用于存储计算机程序，所述计算机程序被所述处理器执行时，实现如上所述的方法。
15.本发明另一方面还提供了一种计算机可读存储介质，所述计算机可读存储介质用于存储计算机程序，所述计算机程序被处理器执行时，实现如上所述的方法。
16.在本技术的一些实施例的技术方案中，建立智能终端中各个风险点的监测规则，在获取到智能终端中风险证据项的数据后，将智能终端中各个风险点的监测规则与风险证据项的数据进行比对，确定触发监测规则，并根据触发监测规则中的攻击行为的初始信任度，来确定针对智能终端的攻击行为。如此，在进行攻击行为监测时，可以将采集到的数据与智能终端中的各个风险点的监测规则依次比对，从而可以全面的监测可能针对智能终端的攻击行为，从而提高对攻击行为的识别能力。
附图说明
17.通过参考附图会更加清楚的理解本发明的特征和优点，附图是示意性的而不应理解为对本发明进行任何限制，在附图中：
18.图1示出了本技术一个实施例提供的一个智能终端的总体架构示意图；
19.图2示出了本技术的一个实施例提供的一个攻击面的数据流攻击路径的示意图；
20.图3示出了本技术的一个实施例提供的安全监测方法的流程示意图；
21.图4示出了本技术的一个实施例提供的安全监测系统的模块示意图；
22.图5示出了本技术的一个实施例提供的电子设备的示意图。
具体实施方式
23.为使本发明实施方式的目的、技术方案和优点更加清楚，下面将结合本发明实施方式中的附图，对本发明实施方式中的技术方案进行清楚、完整地描述，显然，所描述的实施方式是本发明一部分实施方式，而不是全部的实施方式。基于本发明中的实施方式，本领域技术人员在没有作出创造性劳动前提下所获得的所有其他实施方式，都属于本发明保护的范围。
24.基于本技术的安全监测方法，可以监测是否有针对智能终端的攻击行为，且对攻击行为的识别能力较高。在执行本技术的安全监测方法之前，可以先全面梳理智能终端中存在的风险点，再针对每个风险点分别建立监测规则，最后基于建立的监测规则，监测针对智能终端的攻击行为。以下先对风险点梳理以及监测规则建立进行详细说明。
25.在一些实施例中，风险点表征在智能终端的硬件和软件架构下，可以对智能终端执行的恶意操作，比如数据篡改、获取智能终端操作系统权限等。每个风险点可以对应一个或多个攻击行为。即可以通过一个或多个不同的攻击行为，可以对智能终端执行同一个恶意操作。举例来说，利用智能终端开放的ssh服务tcp22端口以及低版本ssh服务存在的登录绕过漏洞，可以通过暴力破解的攻击行为，来获取智能终端操作系统权限，或通过登录绕过认证的攻击行为，来获取智能终端操作系统权限。
26.在一些实施例中，在梳理智能终端的风险点时，可以基于参与灵活资源聚合调控智能终端的总体架构，分解得到智能终端的攻击面，并根据每个攻击面的数据流攻击路径，
确定智能终端中的风险点。具体请参见图1，为本技术一个实施例提供的一个智能终端的总体架构示意图。图1中，智能终端的总体架构可以包括：
27.基础平台，包括硬件通信接口、驱动及基础操作系统；
28.资源虚拟化平台，由容器和硬件资源的抽象层组成；
29.微应用平台，该平台具备完成具体业务的功能，具体包括基础软件和业务软件；
30.数据总线，基于容器间ip化技术与mqtt协议，实现跨容器的消息交互；
31.信息安全平台，包括数据采集安全、数据存储安全、数据访问安全及数据上行通信安全。
32.基于图1所示的智能终端的总体架构，攻击面可以表征通过一个输入源对智能终端进行攻击的途径集合。其中，输入源可以是http数据源、oss数据源等。分解得到的攻击面可以包括但不限于智能终端的硬件接口、操作系统、容器、系统服务、应用程序、网络通信、主站、感知单元等。简单来说，攻击面就是进入智能终端的入口点或者智能终端各组件的数据流实体。通过攻击面，可以对智能终端执行恶意操作。通常，一个智能终端的攻击面越多，该智能终端被攻击的可能性就越大。
33.在一些实施例中，针对分解得到的攻击面，可以基于stride威胁建模方法，对每个攻击面进行威胁建模，生成各个攻击面的数据流攻击路径，进而可以确定智能终端中的风险点。结合参阅图2，为本技术的一个实施例提供的一个攻击面的数据流攻击路径的示意图。图2中，攻击面为智能终端的系统服务。假设智能终端开放了高危ssh服务端口(即tcp22端口)，那么攻击者可以基于暴力破解或者ssh登录认证绕过漏洞等攻击行为，直接获取智能终端操作系统的普通用户权限，进一步可以再基于智能终端中的提权漏洞，获取到操作系统的root权限。stride威胁建模方法为相关领域的常规技术，在此不作详细说明。基于stride威胁建模方法，智能终端中的风险点可以划分为如下6个类型：
34.身份欺骗(spoofing identity)：指通过使用虚假身份信息来尝试获取操作系统的访问权限。攻击者可以使用窃取的用户认证信息或者伪造的ip地址来实现身份欺骗。当攻击者以合法用户或者本地主机的身份成功获得操作系统访问权限后，就可以进一步以授权身份开展权限提升或者其他恶意操作。
35.数据篡改(tampering with data)：指在未经授权的情况下恶意修改数据，例如篡改网络中两台计算机之间的通信数据。
36.抵赖(repudiation)：指攻击者能够(以合法或者不合法的形式)否认其执行了某项操作或业务。如果未配备适当的审计措施，则难以证实攻击者发起了抵赖攻击。
37.信息泄露(information disclose)：指私有数据的意外公开。例如，攻击者能够查阅未授权表格或文件的内容，或者监控通过网络发送的明文数据。信息泄露漏洞的部分实例包括隐藏的表单字段、web页面注释中遗留的数据库连接语句和连接信息，以及可能向攻击者泄露内部系统信息的不完善的异常处理等。所有这些信息对于攻击者实施攻击都大有帮助。
38.拒绝服务(denial of service)：指导致系统或应用不可用的过程。例如，通过向服务器发送海量请求，以消耗掉目标系统所有可用的系统资源就可以实现拒绝服务攻击，此外，发送足以导致应用进程崩溃的畸形输入也可以实现拒绝服务攻击。
39.权限提升(elevation of privilege)：当拥有有限权限的用户以特权用户的身份
取得了某应用的特权操作权限，即实现了权限提升。例如，权限受限的攻击者通过提权可以实现入侵或者接管具有较高权限并且受信任的进程或账户。
40.基于stride威胁建模方法，可以遍历智能终端中可能存在的风险点，得到智能终端的风险点列表。
41.进一步的，针对获取到的风险点列表，可以评估每个风险点的风险程度。具体地，可以将获取到的风险点列表输入dread模型，对每个风险点的风险程度进行评估。dread模型可以按照表格1所示的标准，对每个风险点的风险程度进行评估。
42.表格1风险程度
[0043][0044]
基于表格1，可以给不同的风险程度赋予不同的权重，比如高风险程度的权重为3，中风险程度的权重为2，低风险程度的权重为1。对于一个风险点来说，可以按照评价因素依次对该风险点进行评估，得到该风险点在各个评价因素处的权重，进而可以根据该风险点在各个评价因素处的权重，计算得到该风险点的风险程度。比如风险点a在潜在的破坏性方面，权重为3；在复现性方面，权重为2；在可利用性方面，权重为1；在受影响的用户方面，权重为2；在可发现性方面，权重为1。基于上述各个权重，可以确定该风险点的风险程度。比如，可以将上述各个权重相加，相加得到的值越大，可以表示该风险点的风险程度越高。
[0045]
进一步的，针对风险列表中的每个风险点，还可以基于人工经验分析等方法，确定
每个风险点的风险证据项。风险证据项表征智能终端被攻击时，智能终端中的数据会发生变化的目标对象，比如智能终端中的日志文件、进程、tcp报文等。具体地，对于其中一个风险点来说，该风险点的证据项就是该风险点对应的攻击行为发生时，智能终端中会发生数据变化的目标对象。可以理解的是，每个风险点对应的攻击行为可以是不同的，那么不同风险点对应的风险证据项也可以是不同的。表格2示例性的列举了一个风险点的风险证据项。
[0046]
表格2风险证据项
[0047][0048]
针对表格2所示的风险点，其对应的风险证据项即为ssh登录日志、ssh进程的cpu利用率以及tcp22端口接收到的报文信息。比如在攻击者尝试通过暴力破解的攻击行为对智能终端进行攻击时，在ssh登录日志中，会存在单一时间内用户多次尝试登录的日志信息，或者ssh进程的cpu利用率会升高。
[0049]
需要说明的是，若一个风险点对应多个攻击行为，那么该风险点对应的不同攻击行为发生时，在该风险点对应的风险证据项中，发生数据变化的风险证据项可以不完全相同。依然以表格2为例进行说明。假设表格2中的风险点对应2个攻击行为，其中一个攻击行为发生时，可以是ssh登录日志的数据和ssh进程的cpu利用率发生变化；另一个攻击行为发生时，可以是tcp22端口接收到的报文信息和ssh进程的cpu利用率发生变化。
[0050]
进一步的，在确定风险点以及风险点对应的风险证据项后，还可以基于人工经验分析等方法，确定风险点对应的攻击行为的判别条件。具体来说，判别条件可以用于表征智能终端中风险证据项的数据特征。即风险点对应的攻击行为发生时，风险证据项的数据特征。判别条件可以是针对风险证据项数据的安全异常专家评估。以表格2中的风险点为例，假设该风险点对应两个攻击行为，其中一个攻击行为利用暴力破解的方法获取智能终端的操作系统权限，另一个攻击行为是利用登录认证绕过漏洞获取智能终端的操作系统权限。表格3示例性的给出了该两个攻击行为的判别条件。
[0051]
表格3判别条件
[0052][0053]
可以理解的是，基于梳理出的风险点、风险证据项以及攻击行为的判别条件，可以反向对智能终端进行监测。简单举例来说，在智能终端运行过程中，可以实时采集智能终端中风险证据项的数据，若在采集到的风险证据项中，ssh登录日志中的日志信息以及ssh进程的cpu利用率符合表格3中第二行所示的判别条件，那么可以确定针对智能终端发生了暴力破解的攻击行为。在本技术中，可以通过预先建立的监测规则来监测针对智能终端的攻击行为。其中，监测规则可以与风险点一一对应。
[0054]
在一些实施例中，监测规则包括风险点对应的攻击行为的判别条件以及初始信任度。其中，判别条件如上所述，此处不赘述。而初始信任度可以表征攻击行为发生的可信度。具体可以基于如下至少一项来确定攻击行为的初始信任度：
[0055]
该监测规则对应的风险点的风险程度。举例来说，基于上述表格1可知，若风险点的风险程度高，则其reproducibility(复现性)及exploitability(可利用性)高。这种情况下，可能不需要绕过智能终端的安防机制，便可对智能终端进行直接操作。由于攻击门槛低，攻击者可以随意再次攻击，因此初始信任度就可以较高(即发生的可信度可以较高)。
[0056]
攻击行为的威胁程度。通常，若一个攻击行为的威胁程度越高，则初始信任度可以越高，以便对该攻击行为重点关注。攻击行为的威胁程度可根据人工分析经验等计算得到。
[0057]
在一些实施例中，在一个风险点对应多个攻击行为的情况下，在风险点的监测规则中，可以针对风险点所对应的各个攻击行为分别指定判别条件以及初始信任度。此处假设风险点为获取智能终端所在网络系统的访问权限，该风险点对应两个攻击行为，那么可通过表达式(1)来示例性表示该风险点的监测规则。
[0058]
rule《条件名》：if{r1,r2}then{r1,r2},cf＝{c1,c2}
ꢀꢀ
(1)
[0059]
其中，r1可以表示攻击行为1的判别条件，r2可以表示攻击行为2的判别条件，r1表示攻击行为1，r2表示攻击行为2，c1表示攻击行为1的初始信任度，c2表示攻击行为2的初始信任度。为便于理解，表达式(1)可通过表格4来表示。
[0060]
表格4监测规则
[0061][0062][0063]
可以理解的是，在不同风险点对应的监测规则中，可以存在针对同一个攻击行为的判别条件和初始信任度。比如在风险点a和风险点b的监测规则中，可以均存在基于ssh系统服务，存在暴力破解的攻击行为。并且，在风险点a和风险点b的监测规则中，该攻击行为的初始信任度还可以不相同。比如在风险点a的监测规则中，该攻击行为的初始信任度为0.3，在风险点b的监测规则中，该攻击行为的初始信任度为0.4。
[0064]
基于梳理得到的风险点、风险证据项以及监测规则，便可执行本技术的安全监测方法，监测针对智能终端的攻击行为。具体请参阅图3，为本技术的一个实施例提供的安全监测方法的流程示意图。安全监测方法可应用于智能终端或者对智能终端进行攻击行为监测的监测设备。安全监测方法应用于智能终端时，可以是智能终端根据本设备的运行情况，判断是否有针对本设备的攻击行为；安全监测方法应用于监测设备时，可以是监测设备运行本技术的安全监测方法从智能终端进行数据采集，并根据采集到的数据判断是否存在针对智能终端的攻击行为。图3中，安全监测方法可以包括如下步骤：
[0065]
步骤s31，获取智能终端中风险证据项的数据，风险证据项表征智能终端被攻击时，智能终端中的数据会发生变化的目标对象。
[0066]
在一些实施例中，可以分析各个风险点对应的攻击行为发生时，智能终端中会发生数据变化的目标对象，可以汇聚智能终端中所有风险点对应的目标对象，得到风险证据项。其中，可以基于上述表格2相关的方法来分析获取各个风险点对应的目标对象，此处不赘述。
[0067]
在一些实施例中，可以实时或定时采集智能终端中证据项的数据，以便于基于采集到的数据，通过后续步骤s32和步骤s33，实时或定时监测针对智能终端的攻击行为。
[0068]
步骤s32，将智能终端中各个风险点的监测规则与风险证据项的数据进行比对，确定触发监测规则，其中，监测规则包括风险点对应的攻击行为的判别条件以及初始信任度，
触发监测规则为判别条件与风险证据项的数据相匹配的监测规则。
[0069]
在一些实施例中，针对任一监测规则，在满足以下条件的情况下，确定该监测规则的判别条件与风险证据项的数据相匹配：
[0070]
根据获取到的风险证据项的数据，确定风险证据项的第一数据特征，以及根据该监测规则的判别条件，确定风险证据项的第二数据特征；
[0071]
若第一数据特征和第二数据特征相匹配，确定该监测规则的判别条件与风险证据项的数据相匹配。
[0072]
其中，在监测规则存在多个判别条件的情况下，可以依次将每个判别条件与风险证据项的数据进行比对。具体地，对于任一判别条件来说，可以根据该判别条件，确定需要关注的目标风险证据项以及判别条件中该些目标风险证据项的第二数据特征，然后在获取到的风险证据项的数据中，筛选出这些目标风险证据项，并确定这些目标风险证据项的第一数据特征，若第一数据特征与第二数据特征匹配，表示该判别条件与获取到的风险证据项的数据相匹配。
[0073]
以上述表格4为例，可以将表格4中的两个判别条件分别与获取到的风险证据项的数据进行比对，假设在获取到的风险证据项的数据中，ssh登录日志中存在单一时间内用户多次尝试登录的日志信息，ssh进程的cpu利用率升高，tcp22端口未接收到的异常报文信息，表示表格4中第二行的判别条件与获取到的风险证据项的数据相匹配，但第三行的判别条件与获取到的风险证据项的数据不相匹配。
[0074]
但若在获取到的风险证据项的数据中，ssh登录日志中不存在单一时间内用户多次尝试登录的日志信息，ssh进程的cpu利用率未升高，tcp22端口未接收到的异常报文信息，则表示表格4中的两个判别条件均与获取到的风险证据项的数据不相匹配。
[0075]
在一些实施例中，在一个风险点对应多个攻击行为的情况下，若一个监测规则中的其中一个判别条件与风险证据项的数据相匹配，将该监测规则确定为触发监测规则。比如上述表格4中，假设第二行的判别条件与获取到的风险证据项的数据相匹配，但第三行的判别条件与获取到的风险证据项的数据不相匹配，则该监测规则可以确定为触发监测规则。但若表格4中的两个判别条件均与获取到的风险证据项的数据不相匹配，则该监测规则无需确定为触发监测规则。
[0076]
如此，将获取到的风险证据项的数据依次与各个风险点对应的监测规则进行比对，便可以在网络的监测规则中确定是否存在触发监测规则。在存在触发监测规则的情况下，可以继续执行步骤s33。
[0077]
步骤s33，根据触发监测规则中的攻击行为的初始信任度，确定针对智能终端的攻击行为。
[0078]
在一些实施例中，若触发监测规则中的攻击行为的初始信任度大于阈值，则可以表示存在针对智能终端的攻击行为，且攻击行为是触发监测规则中的初始信任度大于阈值的攻击行为。
[0079]
在一些实施例中，考虑到一个攻击行为可能会对应智能终端的多个风险点，即一个攻击行为可能会导致多个监测规则被确定为触发监测规则，且在该多个触发监测规则中，均会存在该攻击行为的初始信任度，但在该多个触发监测规则中，针对该攻击行为的初始信任度不完全相同。这种情况下，为了提高监测的准确性，上述根据触发监测规则中的攻
击行为的初始信任度，确定针对智能终端的攻击行为，可以包括：
[0080]
针对任一攻击行为，若该攻击行为在多个触发监测规则中的初始信任度不同，融合该攻击行为在多个触发监测规则中的初始信任度，得到该攻击行为的融合可信度；
[0081]
若该攻击行为的融合可信度大于阈值，确定针对智能终端的攻击行为中包括该攻击行为。
[0082]
具体地，可以基于d-s证据理论来融合多个触发监测规则中的初始信任度。d-s证据理论为相关领域的常规技术，在此不作赘述。
[0083]
可以理解的是，除d-s证据理论外，还可基于其他的融合方法来实现多个触发监测规则中的初始信任度的融合，本技术在此不作限制。
[0084]
在一些实施例中，在确定针对智能终端的攻击行为后，可以通过监测界面显示这些攻击行为，以进行告警，便于工作人员及时处理。当然，也可以通过短信等方式将监测到的攻击行为发送给工作人员。本技术对告警方式不做限制。
[0085]
在本技术的一些实施例的技术方案中，建立智能终端中各个风险点的监测规则，在获取到智能终端中风险证据项的数据后，将智能终端中各个风险点的监测规则与风险证据项的数据进行比对，确定触发监测规则，并根据触发监测规则中的攻击行为的初始信任度，来确定针对智能终端的攻击行为。如此，在进行攻击行为监测时，可以将采集到的数据与智能终端中的各个风险点的监测规则依次比对，从而可以全面的监测可能针对智能终端的攻击行为，从而提高对攻击行为的识别能力。
[0086]
请参阅图4，为本技术的一个实施例提供的安全监测系统的模块示意图。安全监测系统包括：
[0087]
数据获取模块，用于获取智能终端中风险证据项的数据，所述风险证据项表征所述智能终端被攻击时，所述智能终端中数据会发生变化的目标对象；
[0088]
比对模块，用于将所述智能终端中各个风险点的监测规则与所述风险证据项的数据进行比对，确定触发监测规则，其中，所述监测规则包括各个所述风险点对应的攻击行为的判别条件以及初始信任度，所述触发监测规则为判别条件与所述风险证据项的数据相匹配的监测规则；及
[0089]
攻击行为监测模块，用于根据所述触发监测规则中的攻击行为的初始信任度，确定针对所述智能终端的攻击行为。
[0090]
请参阅图5，为本技术的一个实施例提供的电子设备的示意图。电子设备包括处理器和存储器，所述存储器用于存储计算机程序，所述计算机程序被所述处理器执行时，实现上述的安全监测方法。
[0091]
其中，处理器可以为中央处理器(central processing unit，cpu)。处理器还可以为其他通用处理器、数字信号处理器(digital signal processor，dsp)、专用集成电路(application specific integrated circuit，asic)、现场可编程门阵列(field-programmable gate array，fpga)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等芯片，或者上述各类芯片的组合。
[0092]
存储器作为一种非暂态计算机可读存储介质，可用于存储非暂态软件程序、非暂态计算机可执行程序以及模块，如本发明实施方式中的方法对应的程序指令/模块。处理器通过运行存储在存储器中的非暂态软件程序、指令以及模块，从而执行处理器的各种功能
应用以及数据处理，即实现上述方法实施方式中的方法。
[0093]
存储器可以包括存储程序区和存储数据区，其中，存储程序区可存储操作系统、至少一个功能所需要的应用程序；存储数据区可存储处理器所创建的数据等。此外，存储器可以包括高速随机存取存储器，还可以包括非暂态存储器，例如至少一个磁盘存储器件、闪存器件、或其他非暂态固态存储器件。在一些实施方式中，存储器可选包括相对于处理器远程设置的存储器，这些远程存储器可以通过网络连接至处理器。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
[0094]
本技术一个实施方式还提供一种计算机可读存储介质，所述计算机可读存储介质用于存储计算机程序，所述计算机程序被处理器执行时，实现上述的安全监测方法。
[0095]
虽然结合附图描述了本发明的实施方式，但是本领域技术人员可以在不脱离本发明的精神和范围的情况下作出各种修改和变型，这样的修改和变型均落入由所附权利要求所限定的范围之内。