CN107241350A - 网络安全防御方法、装置及电子设备 - Google Patents
网络安全防御方法、装置及电子设备 Download PDFInfo
- Publication number
- CN107241350A CN107241350A CN201710572741.0A CN201710572741A CN107241350A CN 107241350 A CN107241350 A CN 107241350A CN 201710572741 A CN201710572741 A CN 201710572741A CN 107241350 A CN107241350 A CN 107241350A
- Authority
- CN
- China
- Prior art keywords
- feature
- program
- detected
- terminal device
- sample
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- G—PHYSICS
- G01—MEASURING; TESTING
- G01D—MEASURING NOT SPECIALLY ADAPTED FOR A SPECIFIC VARIABLE; ARRANGEMENTS FOR MEASURING TWO OR MORE VARIABLES NOT COVERED IN A SINGLE OTHER SUBCLASS; TARIFF METERING APPARATUS; MEASURING OR TESTING NOT OTHERWISE PROVIDED FOR
- G01D21/00—Measuring or testing not otherwise provided for
- G01D21/02—Measuring two or more variables by means not covered by a single other subclass
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Health & Medical Sciences (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Storage Device Security (AREA)
Abstract
本发明提供了一种网络安全防御方法、装置及电子设备,涉及网络安全技术领域,该方法包括:通过终端设备获取随时间变化的环境数据;计算当前时刻的环境数据相对于相邻时刻的环境数据的波动量,并判断该波动量是否大于设定的波动量阈值;如果是,则获取终端设备当前时刻的待检测程序,并提取待检测程序的操作码,根据该操作码确定待检测程序的特征;根据待检测程序的特征和预先获得的特征库,确定待检测程序对应的特征向量;利用训练好的分类器对该特征向量进行检测,判断待检测程序是否为恶意程序;如果是,则确定终端设备发生攻击事件,并对该终端设备进行防御控制。这样可以及时发现物理网感知层的异常情况,提高物联网的安全防御性能。
Description
技术领域
本发明涉及网络安全技术领域,尤其是涉及一种网络安全防御方法、装置及电子设备。
背景技术
物联网是以感知为核心的物与物互联的综合信息系统,通过智能感知、识别技术与普适计算等通信感知技术,广泛应用于网络的融合中,被称为继计算机、互联网之后世界信息产业发展的第三次浪潮。
物联网包括感知层、信息传输层和信息处理层等。物联网对数据的安全性要求很高,尤其是在感知层。由于物联网感知层节点自身的特点,感知层节点极容易受到入侵行为的攻击,如果网络遭到入侵,有非法或不良数据通过感知层设备流入物联网,那么不仅会破坏物联网的感知数据的安全性,而且会危害到与之相连的信息传输层乃至信息处理层数据的安全性,给整个物联网带来无法预知的损害。
随着科技的发展,恶意程序对物联网的入侵和攻击方式越来越多样化,现有的物联网安全防御性能已经不足以满足实际需求。
发明内容
有鉴于此,本发明的目的在于提供一种网络安全防御方法、装置及电子设备,以及时发现物理网感知层的异常情况,提高物联网的安全防御性能。
第一方面,本发明实施例提供了一种网络安全防御方法,包括:
通过终端设备获取随时间变化的环境数据,其中,所述环境数据包括光照强度、温度、湿度、压力、重力、振动频率、位置、速度、加速度和音量中的一种或多种数据;
计算当前时刻的所述环境数据相对于相邻时刻的所述环境数据的波动量,并判断所述波动量是否大于设定的波动量阈值;
如果是,则获取所述终端设备当前时刻的待检测程序,并提取所述待检测程序的操作码,根据所述操作码确定所述待检测程序的特征;
根据所述待检测程序的特征和预先获得的特征库,确定所述待检测程序对应的特征向量;
利用训练好的分类器对所述特征向量进行检测,判断所述待检测程序是否为恶意程序;
如果是,则确定所述终端设备发生攻击事件,并对所述终端设备进行防御控制。
结合第一方面,本发明实施例提供了第一方面的第一种可能的实施方式,其中,通过以下公式计算当前时刻的所述环境数据相对于相邻时刻的所述环境数据的波动量:
其中,St表示t时刻的所述环境数据的波动量,υ(t,i)表示t时刻的所述环境数据中任一种数据i的数值,Δυ(t,i)表示t时刻的数据i与相邻时刻的数据i的差值,n表示所述环境数据包含的数据的数量。
结合第一方面,本发明实施例提供了第一方面的第二种可能的实施方式,其中,根据所述待检测程序的特征和预先获得的特征库,确定所述待检测程序对应的特征向量,包括:
在所述待检测程序的多个特征中,逐一查找所述特征库中的每个特征;
当查找到所述特征库中的特征时,将所述特征库中被查找到的特征标记为第一预设值,否则,将所述特征库中未被查找到的特征标记为第二预设值;
根据所述特征库中各个特征的标记结果和各个特征的排列顺序,确定所述待检测程序对应的特征向量。
结合第一方面,本发明实施例提供了第一方面的第三种可能的实施方式,其中,所述特征库通过以下方法获得:
获取满足预设样本要求的程序样本,提取所述程序样本的特征,其中,所述程序样本包括正常样本和恶意样本;
对所述程序样本的特征进行筛选,得到分类效果满足预设分类要求的特征;
将所述分类效果满足预设分类要求的特征进行组合,得到所述特征库。
结合第一方面的第三种可能的实施方式,本发明实施例提供了第一方面的第四种可能的实施方式,其中,所述分类器通过以下方式训练:
根据所述程序样本的特征和所述特征库,确定所述程序样本对应的特征向量;
根据所述程序样本对应的特征向量对所述分类器进行训练。
结合第一方面,本发明实施例提供了第一方面的第五种可能的实施方式,其中,所述终端设备设置有安全认证客户端并通过安全接入交换机接入网络,所述安全认证客户端用于在所述终端设备接入网络时发起接入认证,所述安全接入交换机用于在接入认证成功后打开所述终端设备接入网络的端口;
所述对所述终端设备进行防御控制,包括:
获取所述终端设备的IP(Internet Protocol,网络之间互连的协议)地址;
根据所述终端设备的IP地址获取所述终端设备的网络配置信息;
根据所述网络配置信息将防御控制命令发送给所述终端设备所接入的安全接入交换机,进行防御控制。
第二方面,本发明实施例还提供一种网络安全防御装置,包括:
数据获取模块,用于通过终端设备获取随时间变化的环境数据,其中,所述环境数据包括光照强度、温度、湿度、压力、重力、振动频率、位置、速度、加速度和音量中的一种或多种数据;
计算判断模块,用于计算当前时刻的所述环境数据相对于相邻时刻的所述环境数据的波动量,并判断所述波动量是否大于设定的波动量阈值;
特征提取模块,用于当所述计算判断模块的判断结果为是时,获取所述终端设备当前时刻的待检测程序,并提取所述待检测程序的操作码,根据所述操作码确定所述待检测程序的特征;
特征向量确定模块,用于根据所述待检测程序的特征和预先获得的特征库,确定所述待检测程序对应的特征向量;
程序检测模块,用于利用训练好的分类器对所述特征向量进行检测,判断所述待检测程序是否为恶意程序;
防御控制模块,用于当所述程序检测模块的判断结果为是时,确定所述终端设备发生攻击事件,并对所述终端设备进行防御控制。
结合第二方面,本发明实施例提供了第二方面的第一种可能的实施方式,其中,所述特征向量确定模块包括:
查找单元,用于在所述待检测程序的多个特征中,逐一查找所述特征库中的每个特征;
标记单元,用于当所述查找单元查找到所述特征库中的特征时,将所述特征库中被查找到的特征标记为第一预设值,否则,将所述特征库中未被查找到的特征标记为第二预设值;
确定单元,用于根据所述特征库中各个特征的标记结果和各个特征的排列顺序,确定所述待检测程序对应的特征向量。
结合第二方面,本发明实施例提供了第二方面的第二种可能的实施方式,其中,所述装置还包括特征库建立模块,所述特征库建立模块包括:
特征提取单元,用于获取满足预设样本要求的程序样本,提取所述程序样本的特征,其中,所述程序样本包括正常样本和恶意样本;
特征筛选单元,用于对所述程序样本的特征进行筛选,得到分类效果满足预设分类要求的特征;
特征库建立单元,用于将所述分类效果满足预设分类要求的特征进行组合,得到所述特征库。
第三方面,本发明实施例还提供一种电子设备,包括存储器、处理器,所述存储器中存储有可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现上述第一方面所述的方法的步骤。
本发明实施例带来了以下有益效果:
本发明实施例中,通过终端设备获取随时间变化的环境数据,其中,环境数据包括光照强度、温度、湿度、压力、重力、振动频率、位置、速度、加速度和音量中的一种或多种数据;计算当前时刻的环境数据相对于相邻时刻的环境数据的波动量,并判断该波动量是否大于设定的波动量阈值;如果是,则获取终端设备当前时刻的待检测程序,并提取待检测程序的操作码,根据该操作码确定待检测程序的特征;根据待检测程序的特征和预先获得的特征库,确定待检测程序对应的特征向量;利用训练好的分类器对该特征向量进行检测,判断待检测程序是否为恶意程序;如果是,则确定终端设备发生攻击事件,并对该终端设备进行防御控制。终端设备设置在物联网的感知层,先通过终端设备获得的环境数据的波动量判断物理网感知层是否存在异常情况,再检测异常情况下终端设备的待检测程序是否为恶意程序,并对存在恶意程序的终端设备进行防御控制,这样可以及时发现物理网感知层的异常情况,提高物联网的安全防御性能。
本发明的其他特征和优点将在随后的说明书中阐述,并且,部分地从说明书中变得显而易见,或者通过实施本发明而了解。本发明的目的和其他优点在说明书、权利要求书以及附图中所特别指出的结构来实现和获得。
为使本发明的上述目的、特征和优点能更明显易懂,下文特举较佳实施例,并配合所附附图,作详细说明如下。
附图说明
为了更清楚地说明本发明具体实施方式或现有技术中的技术方案,下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施方式,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的网络安全防御方法的流程示意图;
图2为本发明实施例提供的网络安全防御方法中确定特征向量的流程示意图;
图3为本发明实施例提供的网络安全防御方法中建立特征库的流程示意图;
图4为本发明实施例提供的网络安全防御方法中进行防御控制的流程示意图;
图5为本发明实施例提供的网络安全防御装置的模块组成示意图;
图6为本发明实施例提供的电子设备的结构示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合附图对本发明的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
目前恶意程序对物联网的入侵和攻击方式越来越多样化,现有的物联网安全防御性能已经不足以满足实际需求。基于此,本发明实施例提供的一种网络安全防御方法、装置及电子设备,可以及时发现物理网感知层的异常情况,提高物联网的安全防御性能。
为便于对本实施例进行理解,首先对本发明实施例所公开的一种网络安全防御方法进行详细介绍。
实施例一:
图1为本发明实施例提供的网络安全防御方法的流程示意图,如图1所示,该方法包括以下几个步骤:
步骤S101,通过终端设备获取随时间变化的环境数据,该环境数据包括光照强度、温度、湿度、压力、重力、振动频率、位置、速度、加速度和音量中的一种或多种数据。
物联网感知层设置有环境数据采集节点,用于采集环境数据。终端设备设置在物联网感知层,通过终端设备设置将采集的环境数据传输到物联网中。例如,物联网感知层设置有多个传感器采集板,传感器采集板上设置有传感器,以传感器采集板为主体进行环境数据采集,在采集环境数据的同时记录环境数据的采集时间,其中该环境数据包括:光照强度、温度、湿度、压力、重力、振动频率、位置、速度、加速度和音量中的一种或多种数据。例如:通过光电传感器采集板可以采集环境中的光照强度、物体的振动频率、速度和加速度等环境数据,也可以通过振动传感器、速度传感器和加速度传感器等采集板分别采集物体的振动频率、速度和加速度等环境数据;通过温湿度传感器采集板可以采集环境温度和湿度等环境数据;通过压力传感器采集板可以采集压力(例如气压)、重力等环境数据;通过GPS(Global Positioning System,全球定位系统)传感器采集板可以采集物体的位置数据;通过声音传感器采集板可以采集声音的音量数据等。此外,一切可量化采集的数据均可以作为此处的环境数据,因此该环境数据不限于上述列举的参数。
步骤S102,计算当前时刻的环境数据相对于相邻时刻的环境数据的波动量。
本步骤中,可以通过以下公式计算上述波动量:
其中,St表示t时刻的环境数据的波动量,υ(t,i)表示t时刻的环境数据中任一种数据i的数值,Δυ(t,i)表示t时刻的数据i与相邻时刻的数据i的差值,n表示环境数据包含的数据的数量。
具体地,Δυ(t,i)可以是t时刻的数据i与前一时刻的数据i的差值,也可以是t时刻的数据i与后一时刻的数据i的差值,即Δυ(t,i)=υ(t,i)-υ(t-1,i)或者Δυ(t,i)=υ(t+1,i)-υ(t,i),其中υ(t-1,i)表示t-1时刻(t时刻的前一时刻)的环境数据中数据i的数值,υ(t+1,i)表示t+1时刻(t时刻的后一时刻)的环境数据中数据i的数值。例如采集的环境数据包括温度、重力和速度三个数据,将温度标记为1,重力标记为2,速度标记为3,则υ(t-1,1)、υ(t,1)、υ(t+1,1)依次为t-1、t、t+1时刻的温度值,υ(t-1,2)、υ(t,2)、υ(t+1,2)依次为t-1、t、t+1时刻的重力大小,υ(t-1,3)、υ(t,3)、υ(t+1,3)依次为t-1、t、t+1时刻的速度大小。以Δυ(t,i)=υ(t+1,i)-υ(t,i)为例,此刻的环境数据的波动量为:
步骤S103,判断上述波动量是否大于设定的波动量阈值。
具体地,波动量阈值可以根据实际需求设定,例如:若该终端设备比较重要,可以将波动量阈值设置为2。判断上述波动量是否大于设定的波动量阈值,如果是,则确定物理网感知层存在异常情况,执行步骤S104;如果否,则重新执行步骤S101。
步骤S104,获取终端设备当前时刻的待检测程序,并提取待检测程序的操作码,根据该操作码确定待检测程序的特征。
具体地,获取终端设备当前时刻包含的各个程序,将各个程序作为待检测程序。对获取的每个待检测程序进行反汇编,可以利用OD(Ollydbg)、IDA Pro(InteractiveDisassembler Professional,交互式反汇编器专业版)、radare2、DEBUG(消除故障)、C32等反汇编工具。根据反汇编的结果对每个待检测程序进行操作码的提取和解析,即提取出操作码后,将提取出的操作码映射成操作码数字,多个操作码数字组合形成操作码数字序列。例如:编写JAVA程序进行操作码的提取,再根据预设的操作码和数字对应关系进行操作码的解析,若预设的操作码和数字对应关系为MOV对应数字1,PUSH对应数字2,POP对应数字3,XCHG对应数字4,XLAT对应数字5,待检测程序包含的操作码依次为MOV、PUSH、POP、XCHG和XLAT,则待检测程序对应的操作码数字序列为1.2.3.4.5。
根据上述获得的操作码数字序列,可以采用N-Gram算法对待检测程序进行特征的快速提取。优选地,N-Gram算法中,元操作码N的取值为1至15,该N值表示提取出的每个特征所包括的操作码数字的个数。例如:N取值为3,待检测程序对应的操作码数字序列为1.2.3.4.5,则提取出的特征为1.2.3,2.3.4,3.4.5。
步骤S105,根据待检测程序的特征和预先获得的特征库,确定待检测程序对应的特征向量。
图2为本发明实施例提供的网络安全防御方法中确定特征向量的流程示意图,如图2所示,步骤S105具体包括以下三个步骤:
步骤S201,在待检测程序的多个特征中,逐一查找特征库中的每个特征。
步骤S202,当查找到特征库中的特征时,将特征库中被查找到的特征标记为第一预设值,否则,将特征库中未被查找到的特征标记为第二预设值。
步骤S203,根据特征库中各个特征的标记结果和各个特征的排列顺序,确定待检测程序对应的特征向量。
具体地,特征库中包括按照一定顺序排列的多个特征,本实施例中,在待检测程序的多个特征中,逐一查找特征库中的每个特征,根据查找结果对特征库中的每个特征的值进行标记,由于特征库中的多个特征按照一定顺序排列,因此标记结束后,能够根据特征库中各个特征的值,得到一个向量,该向量即为待检测程序对应的特征向量,显然该特征向量的维度与特征库中包含的特征个数相同。
例如,特征库中包含依次排列的5个特征,第一预设值为1,第二预设值为0,其中,特征库中的第一个和第三个特征在该待检测程序的多个特征中被查找到,其他特征未被查找到,则该待检测程序对应的特征向量为(1,0,1,0,0)。
步骤S106,利用训练好的分类器对上述特征向量进行检测,判断待检测程序是否为恶意程序。
具体地,利用训练好的分类器对上述特征向量进行检测,可以得到待检测程序是否为恶意程序的检测结果。如果检测结果为是,则执行步骤S107;如果检测结果为否,则重新执行步骤S101。
步骤S107,确定上述终端设备发生攻击事件,并对该终端设备进行防御控制。
当终端设备包含恶意程序时,确定该终端设备发生攻击事件,并对该终端设备进行防御控制。例如,可以暂时关闭该终端设备接入网络的端口,以阻断该终端设备向物联网的数据传输,待删除上述恶意程序后,再打开该终端设备接入网络的端口。
本发明实施例中,终端设备设置在物联网的感知层,先通过终端设备获得的环境数据的波动量判断物理网感知层是否存在异常情况,再检测异常情况下终端设备的待检测程序是否为恶意程序,并对存在恶意程序的终端设备进行防御控制,这样可以及时发现物理网感知层的异常情况,提高物联网的安全防御性能。
图3为本发明实施例提供的网络安全防御方法中建立特征库的流程示意图,如图3所示,上述特征库可以通过以下三个步骤建立:
步骤S301,获取满足预设样本要求的程序样本,提取该程序样本的特征,其中,该程序样本包括正常样本和恶意样本。
具体地,程序样本的获取包括但不限于以下方式:从已有的病毒库中下载多个病毒程序作为恶意样本,从Windows XP系统内下载多个系统程序作为正常样本。利用静态分析软件进行样本预处理。对获取的程序样本进行批量查壳,可以采用PEiD、Detect it Easy或者Fast Scanner等查壳工具。对获取的程序样本进行查壳后,从该程序样本中筛选满足预设样本要求的程序样本,其中,满足预设样本要求的程序样本为无壳样本,无壳样本包括不带壳样本,还可以包括脱壳后样本。为方便处理,优选地,满足预设样本要求的程序样本为不带壳样本。
提取上述满足预设样本要求的程序样本的特征,提取特征的具体过程与步骤S104相同,此处不再赘述。
步骤S302,对上述程序样本的特征进行筛选,得到分类效果满足预设分类要求的特征。
具体地,可以采用但不限于信息增益算法,对上述程序样本的特征进行筛选。一个特征的信息增益越大,分类效果越好,根据基于信息增益的特征筛选算法,可以得到按分类效果由好到差排序的多个特征,在该程序样本的多个特征中选取分类效果满足预设分类要求的特征,例如选取前50个分类效果较好的特征。
步骤S303,将分类效果满足预设分类要求的特征进行组合,得到特征库。
具体地,可以但不限于按照分类效果排序,将满足预设分类要求的特征组成特征库,例如,按照分类效果由好到差的顺序,将满足预设分类要求的特征排序,得到特征库。
本发明实施例还提供了一种训练分类器的方法,具体为:
(1)根据上述程序样本的特征和特征库,确定该程序样本对应的特征向量。具体地,根据步骤S301得到的程序样本的特征和步骤S303得到的特征库,将程序样本中的正常样本和恶意样本转化成分类器可以识别的向量形式,确定该程序样本对应的特征向量,具体过程与步骤S105相同,此处不再赘述。
(2)根据该程序样本对应的特征向量对分类器进行训练。具体地,将该程序样本对应的特征向量输入分类器中,可以采用基于网格搜索法的支持向量机分类算法对分类器进行参数调优,使得分类器获得较好的分类效果。
本发明实施例还提供了进行防御控制的流程示意图,如图4所示,通过以下几个步骤进行防御控制:
步骤S401,获取终端设备的IP地址。
步骤S402,根据终端设备的IP地址获取终端设备的网络配置信息。
步骤S403,根据上述网络配置信息将防御控制命令发送给终端设备所接入的安全接入交换机,进行防御控制。
具体地,终端设备设置有安全认证客户端并通过安全接入交换机接入网络,安全认证客户端用于在终端设备接入网络时发起接入认证,安全接入交换机用于在接入认证成功后打开终端设备接入网络的端口。
当终端设备发生攻击事件时,获取该终端设备的IP地址,进而可以根据终端设备的IP地址从安全认证客户端上报的信息中获取该终端设备的网络配置信息,然后根据该网络配置信息获取该终端设备的MAC(Media Access Control,媒体访问控制)地址、接入的安全接入交换机的IP地址、端口地址等,生成防御控制命令,并将该防御控制命令发送给终端设备所接入的安全接入交换机,通过该安全接入交换机将防御控制命令发送给安全认证客户端,防御控制命令可以但不限于为下线命令或警告命令等;安全认证客户端根据接收到的防御控制命令,控制终端设备下线或发出警告等。这样,可以实现对终端设备的防御控制,从而维护物联网的安全。
实施例二:
图5为本发明实施例提供的网络安全防御装置的模块组成示意图,如图5所示,该装置包括:
数据获取模块51,用于通过终端设备获取随时间变化的环境数据,其中,环境数据包括光照强度、温度、湿度、压力、重力、振动频率、位置、速度、加速度和音量中的一种或多种数据;
计算判断模块52,用于计算当前时刻的环境数据相对于相邻时刻的环境数据的波动量,并判断该波动量是否大于设定的波动量阈值;
特征提取模块53,用于当计算判断模块的判断结果为是时,获取终端设备当前时刻的待检测程序,并提取待检测程序的操作码,根据该操作码确定待检测程序的特征;
特征向量确定模块54,用于根据待检测程序的特征和预先获得的特征库,确定待检测程序对应的特征向量;
程序检测模块55,用于利用训练好的分类器对上述特征向量进行检测,判断待检测程序是否为恶意程序;
防御控制模块56,用于当程序检测模块的判断结果为是时,确定终端设备发生攻击事件,并对终端设备进行防御控制。
进一步地,上述特征向量确定模块54包括:
查找单元,用于在待检测程序的多个特征中,逐一查找特征库中的每个特征;
标记单元,用于当查找单元查找到特征库中的特征时,将特征库中被查找到的特征标记为第一预设值,否则,将特征库中未被查找到的特征标记为第二预设值;
确定单元,用于根据特征库中各个特征的标记结果和各个特征的排列顺序,确定待检测程序对应的特征向量。
进一步地,上述装置还包括特征库建立模块,该特征库建立模块包括:
特征提取单元,用于获取满足预设样本要求的程序样本,提取程序样本的特征,其中,程序样本包括正常样本和恶意样本;
特征筛选单元,用于对程序样本的特征进行筛选,得到分类效果满足预设分类要求的特征;
特征库建立单元,用于将分类效果满足预设分类要求的特征进行组合,得到特征库。
本发明实施例中,终端设备设置在物联网的感知层,先通过终端设备获得的环境数据的波动量判断物理网感知层是否存在异常情况,再检测异常情况下终端设备的待检测程序是否为恶意程序,并对存在恶意程序的终端设备进行防御控制,这样可以及时发现物理网感知层的异常情况,提高物联网的安全防御性能。
实施例三:
参见图6,本发明实施例还提供一种电子设备100,包括:处理器40,存储器41,总线42和通信接口43,所述处理器40、通信接口43和存储器41通过总线42连接;处理器40用于执行存储器41中存储的可执行模块,例如计算机程序。
其中,存储器41可能包含高速随机存取存储器(RAM,Random Access Memory),也可能还包括非不稳定的存储器(non-volatile memory),例如至少一个磁盘存储器。通过至少一个通信接口43(可以是有线或者无线)实现该系统网元与至少一个其他网元之间的通信连接,可以使用互联网,广域网,本地网,城域网等。
总线42可以是ISA总线、PCI总线或EISA总线等。所述总线可以分为地址总线、数据总线、控制总线等。为便于表示,图6中仅用一个双向箭头表示,但并不表示仅有一根总线或一种类型的总线。
其中,存储器41用于存储程序,所述处理器40在接收到执行指令后,执行所述程序,前述本发明实施例任一实施例揭示的流过程定义的装置所执行的方法可以应用于处理器40中,或者由处理器40实现。
处理器40可能是一种集成电路芯片,具有信号的处理能力。在实现过程中,上述方法的各步骤可以通过处理器40中的硬件的集成逻辑电路或者软件形式的指令完成。上述的处理器40可以是通用处理器,包括中央处理器(Central Processing Unit,简称CPU)、网络处理器(Network Processor,简称NP)等;还可以是数字信号处理器(Digital SignalProcessing,简称DSP)、专用集成电路(Application Specific Integrated Circuit,简称ASIC)、现成可编程门阵列(Field-Programmable Gate Array,简称FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本发明实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。结合本发明实施例所公开的方法的步骤可以直接体现为硬件译码处理器执行完成,或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于随机存储器,闪存、只读存储器,可编程只读存储器或者电可擦写可编程存储器、寄存器等本领域成熟的存储介质中。该存储介质位于存储器41,处理器40读取存储器41中的信息,结合其硬件完成上述方法的步骤。
本发明实施例提供的网络安全防御装置及电子设备,与上述实施例提供的网络安全防御方法具有相同的技术特征,所以也能解决相同的技术问题,达到相同的技术效果。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的装置及电子设备的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
附图中的流程图和框图显示了根据本发明的多个实施例的装置、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分,所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个连续的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或动作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
本发明实施例所提供的进行网络安全防御的计算机程序产品,包括存储了处理器可执行的非易失的程序代码的计算机可读存储介质,所述程序代码包括的指令可用于执行前面方法实施例中所述的方法,具体实现可参见方法实施例,在此不再赘述。
在本申请所提供的几个实施例中,应该理解到,所揭露的方法、装置及电子设备,可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,又例如,多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些通信接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。
所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个处理器可执行的非易失的计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
最后应说明的是:以上所述实施例,仅为本发明的具体实施方式,用以说明本发明的技术方案,而非对其限制,本发明的保护范围并不局限于此,尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,其依然可以对前述实施例所记载的技术方案进行修改或可轻易想到变化,或者对其中部分技术特征进行等同替换;而这些修改、变化或者替换,并不使相应技术方案的本质脱离本发明实施例技术方案的精神和范围,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应所述以权利要求的保护范围为准。
Claims (10)
1.一种网络安全防御方法,其特征在于,包括:
通过终端设备获取随时间变化的环境数据,其中,所述环境数据包括光照强度、温度、湿度、压力、重力、振动频率、位置、速度、加速度和音量中的一种或多种数据;
计算当前时刻的所述环境数据相对于相邻时刻的所述环境数据的波动量,并判断所述波动量是否大于设定的波动量阈值;
如果是,则获取所述终端设备当前时刻的待检测程序,并提取所述待检测程序的操作码,根据所述操作码确定所述待检测程序的特征;
根据所述待检测程序的特征和预先获得的特征库,确定所述待检测程序对应的特征向量;
利用训练好的分类器对所述特征向量进行检测,判断所述待检测程序是否为恶意程序;
如果是,则确定所述终端设备发生攻击事件,并对所述终端设备进行防御控制。
2.根据权利要求1所述的方法,其特征在于,通过以下公式计算当前时刻的所述环境数据相对于相邻时刻的所述环境数据的波动量:
<mrow>
<msub>
<mi>S</mi>
<mi>t</mi>
</msub>
<mo>=</mo>
<munderover>
<mo>&Sigma;</mo>
<mrow>
<mi>i</mi>
<mo>=</mo>
<mn>1</mn>
</mrow>
<mi>n</mi>
</munderover>
<mfrac>
<mrow>
<mi>&Delta;</mi>
<mi>&upsi;</mi>
<msup>
<mrow>
<mo>(</mo>
<mi>t</mi>
<mo>,</mo>
<mi>i</mi>
<mo>)</mo>
</mrow>
<mn>2</mn>
</msup>
</mrow>
<mrow>
<mi>&upsi;</mi>
<msup>
<mrow>
<mo>(</mo>
<mi>t</mi>
<mo>,</mo>
<mi>i</mi>
<mo>)</mo>
</mrow>
<mn>2</mn>
</msup>
</mrow>
</mfrac>
<mo>,</mo>
</mrow>
其中,St表示t时刻的所述环境数据的波动量,υ(t,i)表示t时刻的所述环境数据中任一种数据i的数值,Δυ(t,i)表示t时刻的数据i与相邻时刻的数据i的差值,n表示所述环境数据包含的数据的数量。
3.根据权利要求1所述的方法,其特征在于,根据所述待检测程序的特征和预先获得的特征库,确定所述待检测程序对应的特征向量,包括:
在所述待检测程序的多个特征中,逐一查找所述特征库中的每个特征;
当查找到所述特征库中的特征时,将所述特征库中被查找到的特征标记为第一预设值,否则,将所述特征库中未被查找到的特征标记为第二预设值;
根据所述特征库中各个特征的标记结果和各个特征的排列顺序,确定所述待检测程序对应的特征向量。
4.根据权利要求1所述的方法,其特征在于,所述特征库通过以下方法获得:
获取满足预设样本要求的程序样本,提取所述程序样本的特征,其中,所述程序样本包括正常样本和恶意样本;
对所述程序样本的特征进行筛选,得到分类效果满足预设分类要求的特征;
将所述分类效果满足预设分类要求的特征进行组合,得到所述特征库。
5.根据权利要求4所述的方法,其特征在于,所述分类器通过以下方式训练:
根据所述程序样本的特征和所述特征库,确定所述程序样本对应的特征向量;
根据所述程序样本对应的特征向量对所述分类器进行训练。
6.根据权利要求1所述的方法,其特征在于,所述终端设备设置有安全认证客户端并通过安全接入交换机接入网络,所述安全认证客户端用于在所述终端设备接入网络时发起接入认证,所述安全接入交换机用于在接入认证成功后打开所述终端设备接入网络的端口;
所述对所述终端设备进行防御控制,包括:
获取所述终端设备的IP地址;
根据所述终端设备的IP地址获取所述终端设备的网络配置信息;
根据所述网络配置信息将防御控制命令发送给所述终端设备所接入的安全接入交换机,进行防御控制。
7.一种网络安全防御装置,其特征在于,包括:
数据获取模块,用于通过终端设备获取随时间变化的环境数据,其中,所述环境数据包括光照强度、温度、湿度、压力、重力、振动频率、位置、速度、加速度和音量中的一种或多种数据;
计算判断模块,用于计算当前时刻的所述环境数据相对于相邻时刻的所述环境数据的波动量,并判断所述波动量是否大于设定的波动量阈值;
特征提取模块,用于当所述计算判断模块的判断结果为是时,获取所述终端设备当前时刻的待检测程序,并提取所述待检测程序的操作码,根据所述操作码确定所述待检测程序的特征;
特征向量确定模块,用于根据所述待检测程序的特征和预先获得的特征库,确定所述待检测程序对应的特征向量;
程序检测模块,用于利用训练好的分类器对所述特征向量进行检测,判断所述待检测程序是否为恶意程序;
防御控制模块,用于当所述程序检测模块的判断结果为是时,确定所述终端设备发生攻击事件,并对所述终端设备进行防御控制。
8.根据权利要求7所述的装置,其特征在于,所述特征向量确定模块包括:
查找单元,用于在所述待检测程序的多个特征中,逐一查找所述特征库中的每个特征;
标记单元,用于当所述查找单元查找到所述特征库中的特征时,将所述特征库中被查找到的特征标记为第一预设值,否则,将所述特征库中未被查找到的特征标记为第二预设值;
确定单元,用于根据所述特征库中各个特征的标记结果和各个特征的排列顺序,确定所述待检测程序对应的特征向量。
9.根据权利要求7所述的装置,其特征在于,所述装置还包括特征库建立模块,所述特征库建立模块包括:
特征提取单元,用于获取满足预设样本要求的程序样本,提取所述程序样本的特征,其中,所述程序样本包括正常样本和恶意样本;
特征筛选单元,用于对所述程序样本的特征进行筛选,得到分类效果满足预设分类要求的特征;
特征库建立单元,用于将所述分类效果满足预设分类要求的特征进行组合,得到所述特征库。
10.一种电子设备,包括存储器、处理器,所述存储器中存储有可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现上述权利要求1至6中任一项所述的方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710572741.0A CN107241350A (zh) | 2017-07-13 | 2017-07-13 | 网络安全防御方法、装置及电子设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710572741.0A CN107241350A (zh) | 2017-07-13 | 2017-07-13 | 网络安全防御方法、装置及电子设备 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN107241350A true CN107241350A (zh) | 2017-10-10 |
Family
ID=59990426
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201710572741.0A Pending CN107241350A (zh) | 2017-07-13 | 2017-07-13 | 网络安全防御方法、装置及电子设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN107241350A (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110008987A (zh) * | 2019-02-20 | 2019-07-12 | 深圳大学 | 分类器鲁棒性的测试方法、装置、终端及存储介质 |
| CN111132142A (zh) * | 2019-12-24 | 2020-05-08 | 中国联合网络通信集团有限公司 | 一种安全防御方法及装置 |
| CN111324890A (zh) * | 2018-12-14 | 2020-06-23 | 华为技术有限公司 | 可移植的执行体文件的处理方法、检测方法及装置 |
| WO2022061813A1 (en) * | 2020-09-27 | 2022-03-31 | Telefonaktiebolaget Lm Ericsson (Publ) | Method and apparatus for detecting event in communication network |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101141305A (zh) * | 2007-10-08 | 2008-03-12 | 福建星网锐捷网络有限公司 | 网络安全防御系统、方法和安全管理服务器 |
| CN106789904A (zh) * | 2016-11-23 | 2017-05-31 | 北京邮电大学 | 物联网入侵检测方法及装置 |
| CN106778277A (zh) * | 2017-01-13 | 2017-05-31 | 北京邮电大学 | 恶意程序检测方法及装置 |
-
2017
- 2017-07-13 CN CN201710572741.0A patent/CN107241350A/zh active Pending
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101141305A (zh) * | 2007-10-08 | 2008-03-12 | 福建星网锐捷网络有限公司 | 网络安全防御系统、方法和安全管理服务器 |
| CN106789904A (zh) * | 2016-11-23 | 2017-05-31 | 北京邮电大学 | 物联网入侵检测方法及装置 |
| CN106778277A (zh) * | 2017-01-13 | 2017-05-31 | 北京邮电大学 | 恶意程序检测方法及装置 |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111324890A (zh) * | 2018-12-14 | 2020-06-23 | 华为技术有限公司 | 可移植的执行体文件的处理方法、检测方法及装置 |
| CN111324890B (zh) * | 2018-12-14 | 2022-12-02 | 华为技术有限公司 | 可移植的执行体文件的处理方法、检测方法及装置 |
| CN110008987A (zh) * | 2019-02-20 | 2019-07-12 | 深圳大学 | 分类器鲁棒性的测试方法、装置、终端及存储介质 |
| CN110008987B (zh) * | 2019-02-20 | 2022-02-22 | 深圳大学 | 分类器鲁棒性的测试方法、装置、终端及存储介质 |
| CN111132142A (zh) * | 2019-12-24 | 2020-05-08 | 中国联合网络通信集团有限公司 | 一种安全防御方法及装置 |
| WO2022061813A1 (en) * | 2020-09-27 | 2022-03-31 | Telefonaktiebolaget Lm Ericsson (Publ) | Method and apparatus for detecting event in communication network |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107943954A (zh) | 网页敏感信息的检测方法、装置及电子设备 | |
| CN107241350A (zh) | 网络安全防御方法、装置及电子设备 | |
| CN107392015B (zh) | 一种基于半监督学习的入侵检测方法 | |
| CN107819783A (zh) | 一种基于威胁情报的网络安全检测方法及系统 | |
| CN102841990B (zh) | 一种基于统一资源定位符的恶意代码检测方法和系统 | |
| CN108156174A (zh) | 基于c&c域名分析的僵尸网络检测方法、装置、设备及介质 | |
| CN107292170A (zh) | Sql注入攻击的检测方法及装置、系统 | |
| CN104579773B (zh) | 域名系统分析方法及装置 | |
| CN107360145B (zh) | 一种多节点蜜罐系统及其数据分析方法 | |
| CN107276805A (zh) | 一种基于入侵检测模型的样本预测方法、装置及电子设备 | |
| CN107659583A (zh) | 一种检测事中攻击的方法及系统 | |
| CN109005145A (zh) | 一种基于自动特征抽取的恶意url检测系统及其方法 | |
| CN108009425A (zh) | 文件检测及威胁等级判定方法、装置及系统 | |
| CN108573146A (zh) | 一种恶意url检测方法及装置 | |
| CN107819731A (zh) | 一种网络安全防护系统及相关方法 | |
| CN106982230A (zh) | 一种流量检测方法及系统 | |
| CN110012035A (zh) | 网络流量识别方法、系统、装置及计算机可读存储介质 | |
| CN106960153B (zh) | 病毒的类型识别方法及装置 | |
| CN106778277A (zh) | 恶意程序检测方法及装置 | |
| CN110535806A (zh) | 监测异常网站的方法、装置、设备和计算机存储介质 | |
| CN113098828A (zh) | 网络安全报警方法及装置 | |
| CN107888606A (zh) | 一种域名信誉度评估方法及系统 | |
| CN107888602A (zh) | 一种检测异常用户的方法及装置 | |
| CN110363003A (zh) | 一种基于深度学习的Android病毒静态检测方法 | |
| CN106803039A (zh) | 一种恶意文件的同源判定方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20171010 |
|
| RJ01 | Rejection of invention patent application after publication |