CN106230849A - 一种基于用户行为的智能设备机器学习安全监测系统 - Google Patents

一种基于用户行为的智能设备机器学习安全监测系统 Download PDF

Info

Publication number
CN106230849A
CN106230849A CN201610702268.9A CN201610702268A CN106230849A CN 106230849 A CN106230849 A CN 106230849A CN 201610702268 A CN201610702268 A CN 201610702268A CN 106230849 A CN106230849 A CN 106230849A
Authority
CN
China
Prior art keywords
smart machine
data
user
user behavior
behavior
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201610702268.9A
Other languages
English (en)
Other versions
CN106230849B (zh
Inventor
李宇
王雅哲
王瑜
梁超
汪祖辉
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Institute of Information Engineering of CAS
Original Assignee
Lenovo Mobile Communication Software Wuhan Co Ltd
Institute of Information Engineering of CAS
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Lenovo Mobile Communication Software Wuhan Co Ltd, Institute of Information Engineering of CAS filed Critical Lenovo Mobile Communication Software Wuhan Co Ltd
Priority to CN201610702268.9A priority Critical patent/CN106230849B/zh
Publication of CN106230849A publication Critical patent/CN106230849A/zh
Application granted granted Critical
Publication of CN106230849B publication Critical patent/CN106230849B/zh
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/10Protecting distributed programs or content, e.g. vending or licensing of copyrighted material ; Digital rights management [DRM]
    • G06F21/12Protecting executable software
    • G06F21/121Restricting unauthorised execution of programs
    • G06F21/123Restricting unauthorised execution of programs by using dedicated hardware, e.g. dongles, smart cards, cryptographic processors, global positioning systems [GPS] devices
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/10Protecting distributed programs or content, e.g. vending or licensing of copyrighted material ; Digital rights management [DRM]
    • G06F21/12Protecting executable software
    • G06F21/121Restricting unauthorised execution of programs
    • G06F21/125Restricting unauthorised execution of programs by manipulating the program code, e.g. source code, compiled code, interpreted code, machine code
    • G06F21/126Interacting with the operating system
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/566Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/577Assessing vulnerabilities and evaluating computer system security
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/604Tools and structures for managing or administering access control systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • G06F21/6281Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database at program execution time, where the protection is within the operating system
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/02Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
    • H04L67/025Protocols based on web technology, e.g. hypertext transfer protocol [HTTP] for remote control or remote monitoring of applications

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • General Health & Medical Sciences (AREA)
  • Health & Medical Sciences (AREA)
  • Signal Processing (AREA)
  • Multimedia (AREA)
  • Technology Law (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Bioethics (AREA)
  • Virology (AREA)
  • Radar, Positioning & Navigation (AREA)
  • Remote Sensing (AREA)
  • Databases & Information Systems (AREA)
  • Automation & Control Theory (AREA)
  • Alarm Systems (AREA)
  • Telephonic Communication Services (AREA)

Abstract

一种基于用户行为的智能设备机器学习安全监测系统,其特征在于包括面向第三方智能设备用户行为数据的第一级机器学习模型和基于MPU内存保护机制的智能设备端的第二级用户行为机器学习模型;所述第一级机器学习模型,借助第三方云平台的用户行为数据,在两类数据即相同智能设备类型的数据和相同个体用户的行为数据的基础上,对两类数据进行数据清洗,确定智能设备需要使用的数据以及关联关系,然后根据智能设备的类型,确定智能设备用户行为的主题;基于MPU内存保护机制的智能设备端第二级用户行为机器学习模型,智能设备端首先利用MPU的内存保护机制,对上述的第一级机器学习模型中得到的安全监测模型进行安全保护区域划分,最后使所述监测系统能够有效的保护智能设备和用户的安全。

Description

一种基于用户行为的智能设备机器学习安全监测系统
技术领域
本发明属于信息安全中的智能设备安全技术领域,具体涉及一种基于用户行为的智能设备机器学习安全监测系统。
背景技术
随着物联网的蓬勃发展,智能设备对人们生活的便利性吸引了工业界和学术界的强烈关注。智能硬件的发展带动了大批传统电子产品的智能化,近两年来大量的智能硬件产品涌入市场。目前研究人员已经在智能设备的架构、通信协议和具体实现上投入了巨大的资金和人力,设备方面已经涉及到人们生活的方方面面。智能设备是传统电子产业与物联网的融合体,作为人类生活生产密切相关的电子器件,智能设备将成为每个家庭生活的重要组成部分,其中包括智能门锁,智能豆浆机,智能空调等。智能设备成为新一代电子行业发展的主要趋势,有望带动传统电子产业的升级。然而智能设备目前的基本模式大同小异,共同的特点是将传统的设备接入到互联网,以手机APP的形式为智能设备下达操作指令。这种控制方式需要通过网络来传输控制指令,所以整个系统存在三个基本角色:控制终端(用户),云端,智能设备终端。而设备的接入方式目前有通过WiFi、蓝牙、ZigBee等。但是目前智能设备厂商通过搭建私有云平台导致很多安全通信协议没有得到正确的实施,导致黑客可以轻松抓取网络通信包,并分析协议内容从而恶意操控用户的智能设备,给用户带来生命和财产上的危害。近年来的黑客大会成功演示了如何通过网络通信操作智能微波炉无限加热以及洗衣机的温度和转速,所以如何在智能设备端提供有效的安全监测方案给研究者们提出了重要的挑战。
针对已公开的专利(一种智能家居物联网安全防护方法及系统,CN201410465799.1)中的智能设备防护方法,欠缺考虑对于没有构建安全的云平台以及通信协议能力的制造商,以及在通信链路被窃听和智能设备端缺少安全加密能力的情况下,如何实现该类厂商的智能设备安全运行,与此同时欠缺对智能设备产生极端恶意行为的保护,对用户生命财产造成严重威胁。
本发明拟基于两级的用户行为智能设备机器学习安全监测系统,并利用MPU(内存保护单元)保护智能设备端的用户行为模型不受到恶意的修改,从而使智能设备在遇到可疑的用户控制指令时,阻止指令的执行,并向用户发送反馈信息。待用户确认后,更新智能设备端的用户行为模型,使模型能更加贴近拥有者的行为模式,防止恶意的指令执行,从而保障智能设备行业安全可控的发展。
发明内容
本发明技术解决问题:本发明旨在为智能设备在系统层面的提供恶意行为监测,使智能设备通过机器学习的方法防止恶意操作行为的发生。
本发明技术解决方案:本发明中智能设备的使用环境是智能手机通过APP,连接云服务器,服务器连接智能设备端,使用通信协议通过云服务器传输控制指令。一般来讲,智能设备通常具备WiFi通信能力,智能设备通过建立WiFi信道可与在通信范围内的手机APP进行直连。智能设备中预置了通过第三方云平台收集到的同类智能设备的数据训练出来的用户行为模型,并根据拥有者的行为数据,训练符合其拥有者的行为模型,通过两级行为模型判断控制指令是否为来自恶意的行为。
本发明一种基于用户行为的智能设备机器学习安全监测系统,包括面向第三方智能设备用户行为数据的第一级机器学习模型和基于MPU内存保护机制的智能设备端的第二级用户行为机器学习模型;
所述第一级机器学习模型,借助第三方云平台的用户行为数据,在两类数据即相同智能设备类型的数据和相同个体用户的行为数据的基础上,对两类数据进行数据清洗,确定智能设备需要使用的数据以及关联关系,然后根据智能设备的类型,确定智能设备用户行为的主题,通过建立正常用户行为模式库,并利用分类技术和聚类技术建立基础的面向用户行为的机器学习模型,即通过机器学习挖掘出智能设备出现异常操作背后所隐藏的关系,使用已确认的高度可疑的用户操作指令数据作为训练数据,训练第一级机器学习模型,并使用另一部分的测试数据来验证第一级机器学习模型的准确性和有效性,从而获得安全监测模型,所述安全监测模型包括智能设备安全策略模块,智能设备用户行为模块,智能设备安全威胁阈值模块,智能设备恶意行为预警模块,并把它作为基于MPU内存保护机制的智能设备端第二级用户行为机器学习模型的基础;
基于MPU内存保护机制的智能设备端第二级用户行为机器学习模型,智能设备端首先利用MPU的内存保护机制,对上述的第一级机器学习模型中得到的安全监测模型进行安全保护区域划分,当智能设备接收到用户的控制指令时,安全监测模型判断是否为正常用户的控制指令,第二级用户行为机器学习模型利用得到的结果和使用者的使用行为数据以及自身收集的传感器数据,结合智能设备接受到的用户控制指令在执行时对能耗的判断以及指令执行后会产生的安全问题,进而判断是否需要执行该用户控制指令;如果该指令满足第二级的用户行为机器学习模型,则通过系统级调用操作智能设备使指令执行,并更新智能设备自身的用户行为参数;如果该指令不满足第二级的用户行为机器学习模型,会造成安全威胁,则阻止指令执行,并通过智能设备与手机直连的方式通知使用者,然后利用第二级用户行为机器学习模型的在线用户行为机器学习模块的误差反向传播方法更新安全监测模型的参数,使第二级用户行为机器学习模型更加贴近智能设备拥有者的使用模式,最后使所述监测系统能够在云服务器和通信信道受到攻击的情况下能够有效的保护智能设备和用户的安全。
所述第一级机器学习模型实现如下:
(1)利用第三方云平台收集智能设备运行时所产生的数据,并把数据利用SQL数据库存储在智能设备数据库相应的表格里;
(2)利用第三方云平台收集用户对智能设备操作的数据,并根据不同的用户和智能设备设计数据库结构,并对应的存储在SQL用户行为数据库表格中;
(3)对智能设备数据库和用户行为的数据库进行数据清洗,检查数据的一致性,处理无效值和缺失值,并对数据进行审查和校验,删除重复数据;其中存储有智能设备数据的数据库包括的字段有设备ID,设备类型,数据产生时间,用户ID,用户行为类型;其他字段根据不同的智能设备和用户行为定义具体数据内容;
(5)建立正常用户行为模式库,根据不同的智能设备产品定义用户行为模式,智能设备根据自身的设备类型调用正常用户行为模式库对应的用户行为策略;所述正常用户行为模式为用户操作智能设备的行为状态;所述用户行为策略是第一级用户行为机器学习模块分析用户行为并对可能造成的后果加以制止和干预的行为;
(6)根据智能设备类型,将收集的智能设备数据提取特征向量,利用神经网络分类技术进行分类,从而区分出智能设备的正常运行数据和伪造数据,并建立智能设备数据模型库;
(7)根据智能设备类型,设定识别阈值,并使用已确认的高度可疑的用户操作指令数据作为训练数据,利用朴素贝叶斯分类器将用户行为分为正常用户行为和非正常用户行为,并建立智能设备用户行为模型库,即不同类型的智能设备第一级机器学习模型的集合,对应建立不同类型的智能设备安全监测模型,其中智能设备安全监测模型包括安全策略模块和智能设备用户行为模块,智能设备安全策略模块,智能设备安全威胁阈值模块,智能设备恶意行为预警模块。
所述基于MPU内存保护机制的智能设备端第二级用户行为机器学习模型具体实现如下:
(1)利用ARM处理器的MPU划分安全保护区域,利用MPU将安全监测模型中的4个模块,即智能设备安全策略模块,智能设备用户行为模块,智能设备安全威胁阈值模块,智能设备恶意行为预警模块隔离出来,阻止其他代码访问它们的数据区;
(2)当智能设备接受到用户的控制指令时,调用智能设备安全策略模块分析该控制指令是否是安全指令;
(3)智能设备在得到指控制令为安全指令之后,调用智能设备用户行为模块分析是否为正常用户的控制指令;
(4)通过智能设备用户行为模块计算出用户控制指令为正常用户的控制指令的概率后,将概率与智能设备安全威胁阈值模块中的安全阈值比对,得到比对结果;
(5)读取智能设备的传感器数据和用户个体行为历史数据,计算指令运行所需耗能情况;
(6)智能设备恶意行为预警模块根据步骤(4)的比对结果和步骤(5)读取的数据,预测是否为正常用户行为;
(7)将预测结果与预置在智能设备内部的安全因素模块相结合,得出是否要执行指令;
(9)如果智能设备恶意行为预警模块预测出是恶意指令,则通过直连方式连接用户APP通知用户有此指令,并使用户确认是否执行;
(10)如果用户在直连范围内,则给予反馈结果;
(11)通过MPU内存保护机制的特权级调用保存这次用户行为到智能设备的个体用户行为数据区;
(12)智能设备接收到反馈信息后通过特权级调用,迭代的更新智能设备安全策略模块和智能设备用户行为模块的参数,使安全监测模型更加贴近使用者的行为模式,从而使所述监测系统能够在云服务器和通信信道受到攻击的情况下能够有效的保护智能设备和用户的安全。
本发明原理:,包括下列几个方面:
方面一:鉴于互联网智能设备在网络通信层面的各种漏洞,本发明建立基于用户行为的两级用户行为机器学习系统(在网络通信被恶意攻击的情况下,产品本身还具有防护能力),为互联网智能设备的指令接收,指令解析,指令执行提供可管可控的监测服务。同时该监测防护模型与云端建立回馈机制,形成智能设备行业的安全基础设施。
方面二:借助基于MPU的内存保护机制,实现智能设备运行时自身的监测模型参数安全保障。在此基础上,通过内置在智能硬件内部的用户行为机器学习模块帮助用户得到更符合自身的行为模型,从而进一步打造机器学习模块的用户行为学习能力,提高恶意行为的监测效率和成功率。
方面三:借助反馈模型,使用智能硬件的反馈模式,与用户手机直连发送可疑控制信息,提示用户的智能设备存在安全风险并让用户确认操作的安全性,根据用户的反馈结果进一步提高用户行为模型的准确性。
本发明与现有技术相比,具有以下显著优点:
(1)本发明通过基于用户行为的两级智能设备机器学习使系统具有更高的用户行为模式相关性。
(2)本发明使用MPU对智能设备端的安全监测模型进行保护,在硬件层面对恶意操作行为提供了保障。
(3)实现智能硬件安全性在网络通信层面缺失时的保障,防止极端恶意操作行为的发生。
附图说明
图1本发明实施总体框架;
图2基于用户行为的第一级机器学习监测模型示意图;
图3第一级用户行为机器学习监测学习模型流程图;
图4基于MPU的智能设备第二级用户行为机器学习监测模型示意图;
图5智能设备端的安全检测模型内部模块示意图;
图6第二级用户行为机器学习监测学习模型流程图。
具体实施方式
本发明基于用户行为数据,提出两层模型机器学习体系,实现云端模型和设备端模型的分离,保证在云端或者云端与智能设备端之间的通信遭到恶意攻击的时候,智能设备能通过自身的机器学习模块阻止恶意指令的执行。
为使本发明的目的、优点以及技术方案更加清楚明白,以下通过具体实施,并结合附图,对本发明进一步详细说明。
对于图1从整体上描述了该方案的总体实施框架。概括来说,一是用户需要在正常使用时手机APP向云服务器发送指令(一般是通过英特网的通信协议例如WiFi)时,云服务器解析。二是云服务器向智能设备端传输解析后的操作指令(步骤一和二可能遭遇到中间人攻击,篡改操作指令)。三是智能设备利用自身的用户行为机器学习监测系统预测控制指令是否为拥有者的行为模式,如果可疑则尝试与可达范围内的手机APP进行直连(通过WiFi)。四是用户接受到可疑控制指令后反馈确认信息帮助智能设备更新用户行为机器学习监测模型参数。智能设备的用户行为机器学习监测系统包括下面两部分的内容。
一、面向第三方智能设备用户行为数据的第一级机器学习模型
对于图2描述了该方案的面向第三方智能设备用户行为数据的第一级机器学习模型,概括来说,该模型借助第三方云平台的用户行为数据,在相同设备类型的数据和相同个体用户的行为数据的基础上,通过分类技术和聚类技术建立基础用户行为模型。首先将两类数据进行数据清洗,由于第三方云平台的用户数据涉及的数据表较多,数据表结构比较复杂,因从需要理清用户行为数据和智能设备数据的表与表之间的关系。根据前期分析,确定智能设备要使用的数据以及关联关系,然后根据智能设备的类型,确定智能设备用户行为的主题,即通过机器学习挖掘出智能设备出现异常操作背后所隐藏的关系,通过已确认的高度可疑的操作指令数据作为训练数据,训练机器学习模型,并使用另一部分的测试数据来验证机器学习模型的准确性和有效性。
下面结合附图3具体描述其执行过程:
(1)利用第三方云平台收集智能设备运行时所产生的数据,并把数据利用SQL数据库存储在相应的表格里。
(2)利用第三方云平台收集用户对智能设备操作的数据,并根据不同的用户和智能设备设计数据库结构,并对应的存储在SQL数据库表格中。
(3)将存储有智能设备数据的数据库和用户行为的数据库传送给第一级用户行为机器学习模块。需要注意的是,由于第一级的用户行为机器学习模型需要大量的数据作为支撑,因此而造成的训练所需计算能力较大,所以本发明采取在集群或计算机上进行第一级用户行为机器学习的训练,只是将训练的模型和参数预置在智能设备当中。
(4)第一级用户行为机器学习模块对(3)中的智能设备数据库和用户行为的数据库进行数据清洗,检查数据的一致性,处理无效值和缺失值,并对数据进行审查和校验,删除重复数据。其中存储有智能设备数据的数据库必须包括的字段有设备ID,设备类型,数据产生时间,用户ID,用户行为类型。其他字段根据不同的智能设备和用户行为定义具体数据内容。
(5)建立正常用户行为模式库,根据不同的智能设备产品定义用户行为模式。例如,用户经常晚上10点打开热水器烧热水,对应的行为模式为{22:00,打开热水器},事件为烧热水;北方冬天工作日晚上7点打开空调给家里预热,对应的行为模式为{地理位置,冬天,工作日,19:00},事件为开空调到24摄氏度。用户行为策略是第一级用户行为机器学习模块分析用户行为并对可能造成的后果加以制止和干预。例如:用户长时间进行热水器烧水操作会造成电器短路,模块记录策略阻止其发生。
(6)根据智能设备类型,将收集的智能设备数据提取特征向量,利用神经网络分类技术进行分类,从而区分出智能设备的正常运行数据和伪造数据并建立智能设备数据模型库。
(7)根据智能设备类型,设定识别阈值,将收集到的用户行为利用朴素贝叶斯分类器将用户行为分为正常用户行为和非正常用户行为,并建立智能设备用户行为模型库,即不同类型的智能设备第一级机器学习模型的集合,对应建立不同类型的智能设备安全策略模块和智能设备用户行为模块,智能设备安全策略模块,智能设备安全威胁阈值模块,智能设备恶意行为预警模块。
该过程的成功实现,为后面智能设备建立起用户行为安全监测模型的基准,同时为智能设备个性化安全监测奠定了基础。
二、基于MPU内存保护机制的智能设备端第二级用户行为机器学习模型
对于图4描述了该方案的第二级用户行为机器学习框架,概括来说,智能设备端利用MPU的内存保护机制,以第一级用户行为模型为基础,通过收集自身的传感器数据和使用者的使用行为数据,并结合指令执行时对能耗的判断以及指令执行后会产生的安全问题,进而判断是否需要执行该指令。如果该指令满足智能设备端第二级用户行为机器学习模型,则通过系统级调用操作智能设备使指令执行,并更新自身的用户行为参数。如果该指令不满足第二级的用户行为模型,会造成安全威胁,则阻止指令执行,并通过智能设备与手机直连的方式通知使用者,然后利用误差反向传播方法更新第二级的用户行为模型参数。通过这些方式,使第二级用户行为模型更加贴近智能设备拥有者的使用模式。其中安全监测模型包括图5中4个部分:智能设备安全策略,智能设备用户行为模型,只能设备安全阈值,智能设备恶意行为预警。
下面结合图6具体描述其执行过程:
(1)利用ARM处理器的MPU划分安全保护区域,其中包括第三方智能设备用户行为数据的第一级的机器学习模型得到的安全监测模型中的智能设备安全策略模块,智能设备用户行为模块,智能设备安全威胁阈值模块,智能设备恶意行为预警模块用MPU将这四个模块隔离出来,阻止其他代码访问它们的数据区;
(2)当智能设备接受到用户的控制指令时,指令首先进入到安全监测模型,模型调用安全策略模块分析该指令是否是安全指令;
(3)智能设备在得到指令是否为安全指令之后调用智能设备用户行为模块分析是否为正常用户的控制指令;
(4)当通过智能设备用户行为模块计算出用户控制指令为正常的概率后,将概率与智能设备安全威胁阈值比对,得到比对结果;
(5)将比对结果传入到第二级用户行为机器学习模型中;(从此步将第一级用户行为机器学习得到的安全监测模块的对比结果进入到第二级用户行为机器学习模型,具体请参照图6);
(6)第二级用户行为机器学习模型读取智能设备的传感器数据和用户个体行为历史数据,并计算指令运行所需耗能情况;
(7)第二级用户行为机器学习模型将(5)、(6)得到的结果和数据导入到实时在线用户行为机器学习模块中(此模型是第二级用户行为机器学习模型中的一个模块,具体看图4),即当有新的数据产生时,在线用户行为机器学习模块不仅会预测是否为正常用户行为,并且会迭代的更新第二级用户行为机器学习模型的参数,从而使第二级用户行为模型更加贴近使用者的行为模式;
(8)将步骤(7)预测出的结果与预置在智能设备内部的安全因素模块相结合,得出是否要执行指令;
(9)如果第二级用户行为机器学习模型预测出是恶意指令,则通过直连方式连接用户APP通知用户有此指令,并使用户确认是否执行;
(10)如果用户在直连范围内,则给予反馈结果;
(11)通过MPU内存保护机制的特权级调用保存这次用户行为到智能设备的个体用户行为数据区;
(12)智能设备接收到反馈信息后通过特权级调用更新安全监测模型的参数。
该过程的成功执行,实现智能设备的系统级安全监测,防止中间人非法发起恶意攻击,即当智能设备在云服务器和通信信道遭受攻击时,保护智能设备不会遭到极端恶意的破坏,并且在此基础上,使智能设备能学习到使用者的行为模式,阻止非正常用户的恶意攻击。
本发明未详细阐述部分属于本领域公知技术。
以上所述,仅为本发明部分具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本领域的人员在本发明揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。

Claims (3)

1.一种基于用户行为的智能设备机器学习安全监测系统,其特征在于:包括面向第三方智能设备用户行为数据的第一级机器学习模型和基于MPU内存保护机制的智能设备端的第二级用户行为机器学习模型;
所述第一级机器学习模型,借助第三方云平台的用户行为数据,在两类数据即相同智能设备类型的数据和相同个体用户的行为数据的基础上,对两类数据进行数据清洗,确定智能设备需要使用的数据以及关联关系,然后根据智能设备的类型,确定智能设备用户行为的主题,通过建立正常用户行为模式库,并利用分类技术和聚类技术建立基础的面向用户行为的机器学习模型,即通过机器学习挖掘出智能设备出现异常操作背后所隐藏的关系,使用已确认的高度可疑的用户操作指令数据作为训练数据,训练第一级机器学习模型,并使用另一部分的测试数据来验证第一级机器学习模型的准确性和有效性,从而获得安全监测模型,所述安全监测模型包括智能设备安全策略模块,智能设备用户行为模块,智能设备安全威胁阈值模块,智能设备恶意行为预警模块,并把它作为基于MPU内存保护机制的智能设备端第二级用户行为机器学习模型的基础;
基于MPU内存保护机制的智能设备端第二级用户行为机器学习模型,智能设备端首先利用MPU的内存保护机制,对上述的第一级机器学习模型中得到的安全监测模型进行安全保护区域划分,当智能设备接收到用户的控制指令时,安全监测模型判断是否为正常用户的控制指令,第二级用户行为机器学习模型利用得到的结果和使用者的使用行为数据以及自身收集的传感器数据,结合智能设备接受到的用户控制指令在执行时对能耗的判断以及指令执行后会产生的安全问题,进而判断是否需要执行该用户控制指令;如果该指令满足第二级的用户行为机器学习模型,则通过系统级调用操作智能设备使指令执行,并更新智能设备自身的用户行为参数;如果该指令不满足第二级的用户行为机器学习模型,会造成安全威胁,则阻止指令执行,并通过智能设备与手机直连的方式通知使用者,然后利用第二级用户行为机器学习模型的在线用户行为机器学习模块的误差反向传播方法更新安全监测模型的参数,使第二级用户行为机器学习模型更加贴近智能设备拥有者的使用模式,最后使所述监测系统能够在云服务器和通信信道受到攻击的情况下能够有效的保护智能设备和用户的安全。
2.根据权利要求1所述的一种基于用户行为的智能设备机器学习安全监测系统,其特征在于:所述第一级机器学习模型实现如下:
(1)利用第三方云平台收集智能设备运行时所产生的数据,并把数据利用SQL数据库存储在智能设备数据库相应的表格里;
(2)利用第三方云平台收集用户对智能设备操作的数据,并根据不同的用户和智能设备设计数据库结构,并对应的存储在SQL用户行为数据库表格中;
(3)对智能设备数据库和用户行为的数据库进行数据清洗,检查数据的一致性,处理无效值和缺失值,并对数据进行审查和校验,删除重复数据;其中存储有智能设备数据的数据库包括的字段有设备ID,设备类型,数据产生时间,用户ID,用户行为类型;其他字段根据不同的智能设备和用户行为定义具体数据内容;
(4)建立正常用户行为模式库,根据不同的智能设备产品定义用户行为模式,智能设备根据自身的设备类型调用正常用户行为模式库对应的用户行为策略;所述正常用户行为模式为用户操作智能设备的行为状态;所述用户行为策略是第一级用户行为机器学习模块分析用户行为并对可能造成的后果加以制止和干预的行为;
(5)根据智能设备类型,将收集的智能设备数据提取特征向量,利用神经网络分类技术进行分类,从而区分出智能设备的正常运行数据和伪造数据,并建立智能设备数据模型库;
(6)根据智能设备类型,设定识别阈值,并使用已确认的高度可疑的用户操作指令数据作为训练数据,利用朴素贝叶斯分类器将用户行为分为正常用户行为和非正常用户行为,并建立智能设备用户行为模型库,即不同类型的智能设备第一级机器学习模型的集合,对应建立不同类型的智能设备安全监测模型,其中智能设备安全监测模型包括安全策略模块和智能设备用户行为模块,智能设备安全策略模块,智能设备安全威胁阈值模块,智能设备恶意行为预警模块。
3.根据权利要求1所述的一种基于用户行为的智能设备机器学习安全检测系统,其特征在于:所述基于MPU内存保护机制的智能设备端第二级用户行为机器学习模型具体实现如下:
(1)利用ARM处理器的MPU划分安全保护区域,利用MPU将安全监测模型中的4个模块,即智能设备安全策略模块,智能设备用户行为模块,智能设备安全威胁阈值模块,智能设备恶意行为预警模块隔离出来,阻止其他代码访问它们的数据区;
(2)当智能设备接受到用户的控制指令时,调用智能设备安全策略模块分析该控制指令是否是安全指令;
(3)智能设备在得到指控制令为安全指令之后,调用智能设备用户行为模块分析是否为正常用户的控制指令;
(4)通过智能设备用户行为模块计算出用户控制指令为正常用户的控制指令的概率后,将概率与智能设备安全威胁阈值模块中的安全阈值比对,得到比对结果;
(5)读取智能设备的传感器数据和用户个体行为历史数据,计算指令运行所需耗能情况;
(6)智能设备恶意行为预警模块根据步骤(4)的比对结果和步骤(5)读取的数据,预测是否为正常用户行为;
(7)将预测结果与预置在智能设备内部的安全因素模块相结合,得出是否要执行指令;
(9)如果智能设备恶意行为预警模块预测出是恶意指令,则通过直连方式连接用户APP通知用户有此指令,并使用户确认是否执行;
(10)如果用户在直连范围内,则给予反馈结果;
(11)通过MPU内存保护机制的特权级调用保存这次用户行为到智能设备的个体用户行为数据区;
(12)智能设备接收到反馈信息后通过特权级调用,迭代的更新智能设备安全策略模块和智能设备用户行为模块的参数,使安全监测模型更加贴近使用者的行为模式,从而使所述监测系统能够在云服务器和通信信道受到攻击的情况下能够有效的保护智能设备和用户的安全。
CN201610702268.9A 2016-08-22 2016-08-22 一种基于用户行为的智能设备机器学习安全监测系统 Expired - Fee Related CN106230849B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201610702268.9A CN106230849B (zh) 2016-08-22 2016-08-22 一种基于用户行为的智能设备机器学习安全监测系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201610702268.9A CN106230849B (zh) 2016-08-22 2016-08-22 一种基于用户行为的智能设备机器学习安全监测系统

Publications (2)

Publication Number Publication Date
CN106230849A true CN106230849A (zh) 2016-12-14
CN106230849B CN106230849B (zh) 2019-04-19

Family

ID=57554203

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201610702268.9A Expired - Fee Related CN106230849B (zh) 2016-08-22 2016-08-22 一种基于用户行为的智能设备机器学习安全监测系统

Country Status (1)

Country Link
CN (1) CN106230849B (zh)

Cited By (24)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106791195A (zh) * 2017-02-20 2017-05-31 努比亚技术有限公司 一种操作处理方法及装置
CN106993083A (zh) * 2017-02-21 2017-07-28 北京奇虎科技有限公司 一种推荐智能终端操作提示信息的方法和装置
CN107220557A (zh) * 2017-05-02 2017-09-29 广东电网有限责任公司信息中心 一种用户越权访问敏感数据行为的检测方法及系统
CN108076224A (zh) * 2017-12-21 2018-05-25 广东欧珀移动通信有限公司 应用程序控制方法、装置及存储介质和移动终端
CN108121912A (zh) * 2017-12-13 2018-06-05 中国科学院软件研究所 一种基于神经网络的恶意云租户识别方法和装置
CN108280332A (zh) * 2017-12-15 2018-07-13 阿里巴巴集团控股有限公司 移动终端的生物特征认证识别检测方法、装置和设备
CN108924910A (zh) * 2018-07-25 2018-11-30 Oppo广东移动通信有限公司 Ai模型的更新方法及相关产品
CN109246072A (zh) * 2017-07-11 2019-01-18 波音公司 具有自适应机器学习特征的网络安全系统
CN109507893A (zh) * 2017-09-14 2019-03-22 宁波方太厨具有限公司 一种智能家居设备的自学习告警控制方法
CN109993047A (zh) * 2017-12-28 2019-07-09 杭州海康威视系统技术有限公司 城市乱堆物料的违规识别方法、装置及电子设备
CN110020113A (zh) * 2017-09-28 2019-07-16 南京无界家居科技有限公司 一种基于特征匹配的家居产品预测方法及装置
CN110427971A (zh) * 2019-07-05 2019-11-08 五八有限公司 用户及ip的识别方法、装置、服务器和存储介质
CN110554612A (zh) * 2018-06-04 2019-12-10 佛山市顺德区美的电热电器制造有限公司 一种信息保护方法、服务器和计算机可读存储介质
CN110602709A (zh) * 2019-09-16 2019-12-20 腾讯科技(深圳)有限公司 可穿戴式设备的网络数据安全方法、装置及存储介质
CN110730156A (zh) * 2018-07-17 2020-01-24 国际商业机器公司 用于异常检测的分布式机器学习
CN110807068A (zh) * 2019-10-08 2020-02-18 北京百度网讯科技有限公司 换设备用户的识别方法、装置、计算机设备和存储介质
CN110826061A (zh) * 2019-09-30 2020-02-21 奇安信科技集团股份有限公司 移动终端的运行环境检测方法及装置
CN111290903A (zh) * 2018-11-21 2020-06-16 中国移动通信集团内蒙古有限公司 基于用户行为和机器学习的软件系统监控方法及装置
CN112165453A (zh) * 2020-09-01 2021-01-01 珠海格力电器股份有限公司 智能设备防入侵方法、装置、智能设备和服务器
CN113204332A (zh) * 2021-04-30 2021-08-03 重庆市科学技术研究院 智能家居设备控制程序生成系统及方法
CN113283483A (zh) * 2021-05-14 2021-08-20 杭州云深科技有限公司 一种基于wifi的设备类型确定方法、电子设备及存储介质
CN115225632A (zh) * 2021-04-21 2022-10-21 美光科技公司 数据传输管理
CN116362352A (zh) * 2023-06-01 2023-06-30 广州思迈特软件有限公司 基于机器学习的模型自动更新方法、系统、介质及终端
CN117640250A (zh) * 2024-01-24 2024-03-01 天津慧聪科技有限公司 一种企业信息安全管理系统

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1649311A (zh) * 2005-03-23 2005-08-03 北京首信科技有限公司 基于机器学习的用户行为异常检测系统和方法
CN102036163A (zh) * 2009-10-02 2011-04-27 索尼公司 行为模式分析系统、移动终端、行为模式分析方法和程序
CN103793484A (zh) * 2014-01-17 2014-05-14 五八同城信息技术有限公司 分类信息网站中的基于机器学习的欺诈行为识别系统
CN104581939A (zh) * 2015-01-04 2015-04-29 中国科学院信息工程研究所 一种基于多种异构传感器的排队行为检测方法及系统

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1649311A (zh) * 2005-03-23 2005-08-03 北京首信科技有限公司 基于机器学习的用户行为异常检测系统和方法
CN102036163A (zh) * 2009-10-02 2011-04-27 索尼公司 行为模式分析系统、移动终端、行为模式分析方法和程序
CN103793484A (zh) * 2014-01-17 2014-05-14 五八同城信息技术有限公司 分类信息网站中的基于机器学习的欺诈行为识别系统
CN104581939A (zh) * 2015-01-04 2015-04-29 中国科学院信息工程研究所 一种基于多种异构传感器的排队行为检测方法及系统

Cited By (35)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106791195A (zh) * 2017-02-20 2017-05-31 努比亚技术有限公司 一种操作处理方法及装置
CN106993083A (zh) * 2017-02-21 2017-07-28 北京奇虎科技有限公司 一种推荐智能终端操作提示信息的方法和装置
CN107220557A (zh) * 2017-05-02 2017-09-29 广东电网有限责任公司信息中心 一种用户越权访问敏感数据行为的检测方法及系统
CN109246072A (zh) * 2017-07-11 2019-01-18 波音公司 具有自适应机器学习特征的网络安全系统
CN109507893B (zh) * 2017-09-14 2021-10-29 宁波方太厨具有限公司 一种智能家居设备的自学习告警控制方法
CN109507893A (zh) * 2017-09-14 2019-03-22 宁波方太厨具有限公司 一种智能家居设备的自学习告警控制方法
CN110020113A (zh) * 2017-09-28 2019-07-16 南京无界家居科技有限公司 一种基于特征匹配的家居产品预测方法及装置
CN108121912A (zh) * 2017-12-13 2018-06-05 中国科学院软件研究所 一种基于神经网络的恶意云租户识别方法和装置
CN108280332B (zh) * 2017-12-15 2021-08-03 创新先进技术有限公司 移动终端的生物特征认证识别检测方法、装置和设备
US11288348B2 (en) 2017-12-15 2022-03-29 Advanced New Technologies Co., Ltd. Biometric authentication, identification and detection method and device for mobile terminal and equipment
CN108280332A (zh) * 2017-12-15 2018-07-13 阿里巴巴集团控股有限公司 移动终端的生物特征认证识别检测方法、装置和设备
CN108076224A (zh) * 2017-12-21 2018-05-25 广东欧珀移动通信有限公司 应用程序控制方法、装置及存储介质和移动终端
CN109993047A (zh) * 2017-12-28 2019-07-09 杭州海康威视系统技术有限公司 城市乱堆物料的违规识别方法、装置及电子设备
CN110554612A (zh) * 2018-06-04 2019-12-10 佛山市顺德区美的电热电器制造有限公司 一种信息保护方法、服务器和计算机可读存储介质
CN110730156B (zh) * 2018-07-17 2022-03-22 国际商业机器公司 用于异常检测的分布式机器学习
CN110730156A (zh) * 2018-07-17 2020-01-24 国际商业机器公司 用于异常检测的分布式机器学习
CN108924910B (zh) * 2018-07-25 2021-03-09 Oppo广东移动通信有限公司 Ai模型的更新方法及相关产品
CN108924910A (zh) * 2018-07-25 2018-11-30 Oppo广东移动通信有限公司 Ai模型的更新方法及相关产品
CN111290903A (zh) * 2018-11-21 2020-06-16 中国移动通信集团内蒙古有限公司 基于用户行为和机器学习的软件系统监控方法及装置
CN111290903B (zh) * 2018-11-21 2023-04-25 中国移动通信集团内蒙古有限公司 基于用户行为和机器学习的软件系统监控方法及装置
CN110427971A (zh) * 2019-07-05 2019-11-08 五八有限公司 用户及ip的识别方法、装置、服务器和存储介质
CN110602709A (zh) * 2019-09-16 2019-12-20 腾讯科技(深圳)有限公司 可穿戴式设备的网络数据安全方法、装置及存储介质
CN110602709B (zh) * 2019-09-16 2022-01-04 腾讯科技(深圳)有限公司 可穿戴式设备的网络数据安全方法、装置及存储介质
CN110826061A (zh) * 2019-09-30 2020-02-21 奇安信科技集团股份有限公司 移动终端的运行环境检测方法及装置
CN110807068A (zh) * 2019-10-08 2020-02-18 北京百度网讯科技有限公司 换设备用户的识别方法、装置、计算机设备和存储介质
CN110807068B (zh) * 2019-10-08 2022-09-23 北京百度网讯科技有限公司 换设备用户的识别方法、装置、计算机设备和存储介质
CN112165453B (zh) * 2020-09-01 2021-07-20 珠海格力电器股份有限公司 智能设备防入侵方法、装置、智能设备和服务器
CN112165453A (zh) * 2020-09-01 2021-01-01 珠海格力电器股份有限公司 智能设备防入侵方法、装置、智能设备和服务器
CN115225632A (zh) * 2021-04-21 2022-10-21 美光科技公司 数据传输管理
CN113204332A (zh) * 2021-04-30 2021-08-03 重庆市科学技术研究院 智能家居设备控制程序生成系统及方法
CN113204332B (zh) * 2021-04-30 2023-06-20 重庆市科学技术研究院 智能家居设备控制程序生成系统及方法
CN113283483A (zh) * 2021-05-14 2021-08-20 杭州云深科技有限公司 一种基于wifi的设备类型确定方法、电子设备及存储介质
CN113283483B (zh) * 2021-05-14 2022-07-15 杭州云深科技有限公司 一种基于wifi的设备类型确定方法、电子设备及存储介质
CN116362352A (zh) * 2023-06-01 2023-06-30 广州思迈特软件有限公司 基于机器学习的模型自动更新方法、系统、介质及终端
CN117640250A (zh) * 2024-01-24 2024-03-01 天津慧聪科技有限公司 一种企业信息安全管理系统

Also Published As

Publication number Publication date
CN106230849B (zh) 2019-04-19

Similar Documents

Publication Publication Date Title
CN106230849A (zh) 一种基于用户行为的智能设备机器学习安全监测系统
Nguyen et al. Deep reinforcement learning for cyber security
Gumaei et al. A robust cyberattack detection approach using optimal features of SCADA power systems in smart grids
Wang et al. Review of android malware detection based on deep learning
Muda et al. Intrusion detection based on K-Means clustering and Naïve Bayes classification
Satpute et al. A survey on anomaly detection in network intrusion detection system using particle swarm optimization based machine learning techniques
CN103679025B (zh) 一种基于树突细胞算法的恶意代码检测方法
CN110276200A (zh) 一种电力信息系统状态转移概率的确定方法
CN106357637A (zh) 一种针对智慧能源终端数据的主动防御系统
CN104836805A (zh) 基于模糊免疫理论的网络入侵检测方法
Chakravarty Feature selection and evaluation of permission-based android malware detection
Chen et al. An effective metaheuristic algorithm for intrusion detection system
Höner et al. Minimizing trust leaks for robust sybil detection
Almuqren et al. Hybrid metaheuristics with machine learning based botnet detection in cloud assisted internet of things environment
Dharamkar et al. A review of cyber attack classification technique based on data mining and neural network approach
Kilichev et al. Next–Generation Intrusion Detection for IoT EVCS: Integrating CNN, LSTM, and GRU Models
Liyakat Detection of malicious nodes in IoT networks based on packet loss using ML
Abbasi et al. Intrusion detection in IoT with logistic regression and artificial neural network: Further investigations on n-baIoT dataset devices
Lotfallahtabrizi et al. A novel host intrusion detection system using neural network
Ou et al. Immunity-inspired host-based intrusion detection systems
Ou Multiagent-based computer virus detection systems: abstraction from dendritic cell algorithm with danger theory
Thamilarasu Genetic algorithm based intrusion detection system for wireless body area networks
Feltus AI'S Contribution to Ubiquitous Systems and Pervasive Networks Security-Reinforcement Learning vs Recurrent Networks.
Wang Research of intrusion detection based on an improved K-means algorithm
CN106254004A (zh) 频谱感知中一种多节点协作干扰及安全频谱感知方法

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
TA01 Transfer of patent application right

Effective date of registration: 20170911

Address after: 100093 Beijing city Haidian District minzhuang Road No. 89

Applicant after: Institute of Information Engineering, Gas

Address before: 100093 Beijing city Haidian District minzhuang Road No. 89

Applicant before: Institute of Information Engineering, Gas

Applicant before: Lenovo mobile communication software (Wuhan) Co., Ltd.

TA01 Transfer of patent application right
GR01 Patent grant
GR01 Patent grant
CF01 Termination of patent right due to non-payment of annual fee

Granted publication date: 20190419

Termination date: 20190822

CF01 Termination of patent right due to non-payment of annual fee