CN109450942B - 一种实验室物联网管理系统的安全检测方法及其检测设备 - Google Patents

Abstract

本发明属于实验室管理技术领域，具体涉及一种实验室物联网管理系统的安全检测方法及其检测设备。一种实验室物联网管理系统的安全检测方法，实验室物联网管理系统包括实验室要求管理的设备编号为i1，i2，i3…..in，其中n代表设备的序号，通过网络信息和无线电信息彼此连接的实验室中继系统A、实验室物联网管理系统服务器B、服务器连接终端C。本方法创造性的通过检测实验室系统中各类程序的权限信息来判定整体的安全体系的稳定性，该方法整体实施简单方便，程序涉及复杂度低，且到目前为止没有任何相关文件记录了通过权限信息判定实验室系统安全性的技术。

Description

一种实验室物联网管理系统的安全检测方法及其检测设备

技术领域

本发明属于实验室管理技术领域，具体涉及一种实验室物联网管理系统的安全检测方法及其检测设备。

背景技术

如今，在如今社会走向智能化和信息化的进程中，物联网技术占据着主导地位。其中物联网技术最为关键的RFID技术，即无线射频识别技术所运用的范围也越来越广阔。为了响应我国“智慧中国”的号召，各高校也在进一步实现“智慧校园”，旨在建立信息化及智能化的智慧校园。在这种环境背景下，在很大程度上促进了教育事业的进一步发展，国家及地方都开始重视教育特别是高校的教育，办学规模越来越大。在这种发展趋势下，高校都开始重视硬件建设的实现，尤其实现建设教学实验室，设备及仪器不但数量增加了，种类也越来越多，特别注重保管精密仪器。教学实验室的规模正在扩大，怎样更好的管理及利用设备，实现科学、安全的管理，让教学实验室可以提供更好的服务，发挥相应的积极作用，这是一个亟待解决的重要问题。

首先，基于B/S模式下的实验室管理系统没有明显的针对性，也没有考虑到每个高校的具体实际情况。每个实验室的实际具体情况肯定都不同，因而使得每个实验室都有自己的管理系统。可是，由于没有统一的开发平台和数据库，将导致他们无法实现平台的共享，也无法做到高效数据的统一管理和资源共享。以往的实验室主要采用的是条形码逐条扫描的方式管理。工作效率比较低，而且数据更新较慢，管理人员也无法实时掌握设备信息，也无法提出更好的改进建议。人工管理的模式，已经不再适应目前这种情况。所以，在这种实验室存在海量信息的前提下，必须通过科学、高效的管理模式来实现更好的管理。实现教学管理实时、信息实时以及设备状态实时跟踪等等，怎样实现教学实验室的改革创新是一个亟待解决的问题。为了进一步解决上述所提及的问题，很多人提出可以利用物联网技术来实现实验室的有效管理。这个系统可以实现对教学实验室相关资源的整合、集成和优化，更好的利用及配置资源，实现科学、高效、安全的管理实验室。通过基于技术管理实验室的系统，使得高校实验室的相关管理更为规范，在很大程度上减少了重复的环节，减少了管理人员的工作量，相应的提高了学生实践潜能，使得教学老师能够第一时间知道学生的学习现状，各实验室可以实现资源共享，使得高校实验室管理更趋向智能化和信息化。

由于对物联网的深入研究及广泛应用，我国的物联网技术越来越强大，且生成了相应的产业链。物联网技术的实用性较强，高校在学科建设的过程中为了实现人才培养和建设学校的目标往往会引用这一技术。为了可以培养出更多的能充分利用物联网技术的高素质人才。如今，我国很多学校新增了物联网专业，且在智能传感网络的研究方面投入了很多资金。根据所统计的资料显示，2011年我国一共有64所高校已经开设了物联网工程的专业，其中有56所高校开设了物联网工程的专业，6所高校开设了“传感网”技术的专业，而开设智能电网信息工程的专业有2所高校。这些专业的开设旨在能培养出对物联网的基本理论以及方法技能有一个系统的掌握，且能够掌握计算机、传感信息处理、自动化控制和通信网络等相关技术的高素质人才，这样才能给为物联网技术的发展提供物质基础。但是物联网技术在智慧校园的建设过程中还没有得到较为广泛的运用，且还没有一个深入的研究，目前还是处于初步的设想或是探索的情况，有关在智慧校园运用物联网的相关实例文章非常少。本发明提出了实验室物联网管理系统的安全检测方法，且实现了对在教学实验室中运用物联网系统相关设计。

发明内容

本发明的目的在于提供一种管理效率更高、可靠性更强的实验室物联网管理系统的安全检测方法及其检测设备。

本发明的目的是这样实现的：

一种实验室物联网管理系统的安全检测方法，实验室物联网管理系统包括实验室要求管理的设备编号为i1，i2，i3…..in，其中n代表设备的序号，通过网络信息和无线电信息彼此连接的实验室中继系统A、实验室物联网管理系统服务器B、服务器连接终端C，其特征在于，具体包括：

(1.1)其中上述设备在运行过程中实时收集恶意程序、软件样本集，将样本集进行反编译，提取出样本集中每一个程序、软件的权限信息组成权限特征集；

(1.2)将收集好的权限特征集进行格式化处理，形成适合检测算法的输入格式的权限数据；

(1.3)将处理好的权限数据按恶意程序、软件的分类输入检测算法，首先对数据进行第一次扫描，形成权限FP-Tree，然后对数据进行再次扫描，获得该恶意程序、软件的权限频繁项集；

(1.4)使用算法提取样本集中所有恶意程序、软件的权限频繁项集，构建用于检测的权限关系特征库；

(1.5)当对未知程序、软件进行检测时，通过同样的步骤提取未知程序、软件权限频繁项集与权限关系特征库进行对比，判断未知程序、软件的性质；

(1.6)对未知程序、软件判断结束后，将获得判断的未知程序、软件的权限频繁项集加入到权限关系特征库中，增大样本库容量；

(1.7)将未获得判断的未知程序、软件安装至模拟器并执行，在运行过程中，使用检测未知程序、软件的行为，收集未知程序、软件产生的系统调用数据确认未知程序、软件的性质；

(1.8)处理和分析收集到的系统调用数据，构建系统调用特征样本库。

所述实验室物联网管理系统服务器B对于实验室要求管理的设备以及服务器连接终端C反馈回来的数据进行实时归类、处理与存储；数据包括实验室要求管理的设备的报告信息、参考位置的环境信息、使用人员生理信息以及定位信息；

其中，实验室要求管理的设备的报告信息是实验室要求管理的设备入网成功后提示的入网信息；定位信息是入网成功后实验室物联网管理系统服务器B自动获取的网络ID与对应的物理地址ID，网络ID为实验室物联网管理系统服务器的控制命令寻址，物理地址ID为实验室要求管理的设备的实际地理位置；参考位置的环境信息是通过在实验室设置固定分散的传感器，利用网络资源对环境参数进行检测获取的，环境参数包括温度、湿度、风速、瓦斯浓度；使用人员生理信息包括体温、心跳。

所述实验室要求管理的设备通过实验室中继系统A和实验室物联网管理系统服务器B进行位置监控，从而获取丢失设备iu的位置，具体方法包括：

(2.1)设丢失设备iu的坐标为(X_iu，Y_iu)，设与丢失设备iu相关联的m个设备的坐标为(X₁，Y₁)，(X₂，Y₂)…(X_m，Y_m)，m≥3；

(2.2)该丢失设备iu与相关联的m个设备的欧氏距离R_j为：

其中，j＝1，2，...，m；对上式进行推导得：

将该式通过简化结构进行计算得到丢失设备iu的坐标：

上述参数均有具体的坐标计算方式，是为了便于公式化而设定的符号参数；(2.3)设丢失设备iu与实验室中继系统A的距离r，路径损耗通信距离为r₀；接收功率的平均值为P(r₀)；丢失设备iu的接收功率为P(r)；则：

β为传播路径损耗指数，通过计算获得丢失设备iu与实验室中继系统A的距离r；

(2.4)计算能够获得丢失设备iu通信信号的实验室设备ix与iu的距离s；

s₀为实验室设备ix与已知设备ip通信信号的距离，X_σ为随机值的正态分布取法，其标准偏差为[4，10]，b(i)为实验室要求管理的设备的信号在传输过程中的损耗指数，G₀为丢失设备iu与实验室设备ix之间所记录的原始信号强度；

(2.5)通过丢失设备iu的坐标、丢失设备iu与实验室中继系统A的距离r以及能够获得丢失设备iu通信信号的实验室设备ix与iu的距离s综合确定丢失设备iu的位置。

所述实验室物联网管理系统服务器B实时对实验室要求管理的设备进行网络安全评分，采用检测系统进行入侵检测，并输出检测结果，通过将输出检测结果与网络安全评估计算模型中的评估指标进行比较，根据评估结果自动计算出网络安全评估分数，并根据评估分数进行等级划分，确定网络的安全等级；所述的网络安全评估计算模型设置了j个一级评估指标，每个一级评估指标的分数和权重分别为L₁₁，L₁₂，L₁₃…L_1j和l₁₁，l₁₂，l₁₃…l_1j，每个一级评估指标下均有q个二级评估指标，每个二级评估指标的分数和权重分别O₂₁，O₂₂，O₂₃…O_2q和o₂₁，o₂₂，o₂₃…o_2q，每个二级评估指标下均有w个三级评估指标；评估指标的分数和权重分别为R₃₁，R₃₂，R₃₃…R_3w和r₃₁，r₃₂，r₃₃…r_3w；

实验室物联网管理系统服务器B按照网络安全评估计算模型，自动计算出网络安全评估分数：

其中，一级评估指标的分数为：

二级评估指标的分数为：

网络安全评估总成绩为：

通过评估指标分数和指标权重进行逐层计算，便能计算出最终的网络安全评估分数。

所述服务器连接终端C在启动自身与实验室物联网管理系统连接的应用程序或软件时通过调用系统特征对待检测应用程序或软件进行检测，判断其是否为恶意应用程序或软件，具体包括：

服务器连接终端C收集实验室物联网管理系统调用数据，将应用程序或软件安装在Windows、Android或IOS的模拟器中，通过Monkey模拟应用程序或软件在模拟器中的运行，同时利用Linux内核调试工具strace收集应用程序或软件的系统调用数据；构建非恶意应用特征库Un和恶意应用特征库Um，将应用程序或软件的系统调用数据处理为一连串的系统调用序列，完成的序列为：futex→iocal→close→dup→clock_gettime→recvfrom→mprotect；对系统调用序列进行命名，按照不同的长度将整个系统调用数据串进行分割，将不同的系统调用分组并命名为V_ek，其中e代表序列的长度，k代表相同长度的序列在同一组的序号；生成非恶意特征样本集和恶意特征样本集，并计算特征长度第一阈值T_ek1和特征长度第二阈值T_ek2,当V_ek＞T_ek1时，为非恶意特征，当T_ek2≤V_ek≤T_ek1时，为一般特征，当V_ek＜T_ek2时，为恶意特征；统计恶意特征的个数N_ek2,如果N_ek2大于恶意程序特征阈值Te，则为恶意应用程序或软件，否则为非恶意应用程序或软件。

所述的对待测应用程序或软件进行检测，若检测结果为恶意应用程序或软件，则直接将应用程序或软件归类为高风险等级，若检测结果为非恶意应用程序或软件，计算该应用程序或软件的风险值Re，根据应用软件的风险值Re确定应用的风险等级；

U为网络安全评估总成绩，通过风险等级确定系统所处的状态。

所述的获得恶意程序、软件的权限频繁项集的方法的如下：

(3.1)获取恶意程序、软件的预测安全权限值Z(α,α′)：

其中n个实验室要求管理的设备对实验室物联网管理系统的预测损失率为α'_i，i∈(1，2，3…n)，α为实验室物联网管理系统所在领域的平均损失率；

(3.2)评估实验室要求管理的设备的范数Δ(α,α′)：

(3.3)评估实验室要求管理的设备的故障几率Θ(α,α_i′)：

va为故障风险值；

(3.4)计算实验室要求管理的设备的安全系数Λ(α,α_i′)：

(3.5)计算实验室要求管理的设备的权限频繁度Υ：

(3.6)收集满足权限频繁度Υ的恶意程序、软件的项组成权限频繁项集。

所述的实验室要求管理的设备的价值指标存储在实验室物联网管理系统服务器B的数据库或者独立数据库中，通过价值指标对被实验室要求管理的的设备的价值分数进行评估，其评估步骤包括：

(4.1)查询被实验室要求管理的设备的购买价值δ_n，其中，n＝1，2，3，则δ₁为被实验室要求管理的设备的流动比率，δ₂为被实验室要求管理的设备的资产周转率，δ₃为被实验室要求管理的设备销售净利率；

(4.2)计算被实验室要求管理的设备的调整系数ε_k；其中，k＝1，2，3；

ε₁＝(δ₁-q₁)/q₁；ε₂＝(δ₂-q₂)/q₂；ε₃＝(δ₃-q₃)/q3；

δ₁是q₁的比率调整系数；q₂是δ₂的比率调整系数；q₃是δ₃的比率调整系数；

(4.3)计算被实验室要求管理的设备的加权调整系数η：

η＝1+ε₁δ₁+ε₂δ₂+ε₃δ₃；

(4.4)调取被实验室要求管理的设备价值的资产值ζ，得到被实验室要求管理的设备的价值乘数ψ：

ψ＝ηζ；

(4.5)调取所有设备使用人员对被实验室要求管理的设备的价值的评估值Ω_i，计算被实验室要求管理的设备的价值评分φ：

通过φ的大小评估被实验室要求管理的设备的价值评分。

所述的对数据进行第一次扫描，形成权限FP-Tree的具体步骤包括：

(5.1)扫描程序或软件f(r)在各设备中出现的概率p(r)，

Ti为程序或软件中的活跃度最高的子程序，c_r为对应活跃度的子程序数，r为子程序活跃度排序，N_r为子程序总数；

(5.2)计算程序或软件中活跃度大于Tr的子程序数概率密度I(r)，I为程序活跃度的归一化累计直方图；

ir为标号；

(5.3)重新计算程序或软件中大于Tr的子程序的活跃值Q(r)；

Q(r)＝(Q_max-Q_min)I[Q(r)]-Q_min

Q_max、Q_min分别为大于Tr的子程序中最大以及最小的活跃值；

(5.4)根据活跃值Q(r)对子程序重新排序，形成权限FP-Tree。

实验室要求管理的设备编号为i1，i2，i3…..in，其中n代表设备的序号，通过网络信息和无线电信息彼此连接的实验室中继系统A、实验室物联网管理系统服务器B、服务器连接终端C，其特征在于：上述设备在运行过程中实时收集恶意程序、软件样本集，将样本集进行反编译，提取出样本集中每一个程序、软件的权限信息组成权限特征集；将收集好的权限特征集进行格式化处理，形成适合检测算法的输入格式权限数据；将处理好的权限数据按恶意程序、软件的分类输入检测算法，首先对数据进行第一次扫描，形成权限FP-Tree，然后对数据进行再次扫描，获得该恶意程序、软件的权限频繁项集；使用算法提取样本集中所有恶意程序、软件的权限频繁项集，构建用于检测的权限关系特征库；当对未知程序、软件进行检测时，通过同样的步骤提取未知程序、软件权限频繁项集与权限关系特征库进行对比，判断未知程序、软件的性质；对未知程序、软件判断结束后，将获得判断的未知程序、软件的权限频繁项集加入到权限关系特征库中，增大样本库容量；将未获得判断的未知程序、软件安装至模拟器并运行，在运行过程中，使用检测未知程序、软件的行为，收集未知程序、软件产生的系统调用数据确认未知程序、软件性质；处理和分析收集到的系统调用数据，构建系统调用特征样本库。

本发明的有益效果在于：

本方法创造性的通过检测实验室系统中各类程序的权限信息来判定整体的安全体系的稳定性，该方法整体实施简单方便，程序涉及复杂度低，且到目前为止没有任何相关文件记录了通过权限信息判定实验室系统安全性的技术。在考虑了系统安全性的同时还考虑了实验室中人员安全的因素，同时将这些信息入网，便于实验室人员的安全统计和监控。

附图说明

图1为本发明方法的具体流程图。

图2为本发明检测设备概念图。

具体实施方式

下面结合附图对本发明做进一步描述。

本发明以物联网的三层结构为基础，本实验室物联网管理系统需结合具体的应用场景分别实现感知层、网络层、应用层。感知层：系统需设计实现信息获取部分，应用无线传感网络监测实验室的温度、湿度、光照强度、烟雾浓度等环境信息以实现对实验室环境信息的监测，同时应用扫描设备获取实验室的设备信息；同时，应用无线传输技术将感知到的信息传出。传输层：根据实际的应用场景完成网络层的设计，需构建嵌入式系统来完成对感知层信息的中转传输。应用层：需建立数据库存储系统涉及到的数据并完成应用程序的设计。物联网系统在感知层需要实现采集环境信息的实时采集，它不需要过高的带宽、高速率和高服务质量(Quality of Services，Qo S)来支撑。但是需要低廉的成本、精准的传输和较强的实用性等。从这个角度出发，该系统需要考虑以下要素：(1)低成本。物联网系统在感知层涉及大量的传感器和微型控制器，加之物联网系统本身节点数量多，降低单个节点的成本会对系统的造价带来很多改变。(2)高可靠性。由于物联网系统会应用到一些重要场景的信息监测，如对室内烟雾浓度、设备运行状态监测等。这就需要系统能够准确实时的监测环境信息，及时将监测到的信息反馈给用户。高可靠性也是物联网系统在重要场景应用价值的体现。(3)实用性。对涉及应用交互的物联网系统，功能完备，界面友好，简单好用将大大促进系统的推广。系统应该为解决生活或者工程的实际问题而开发，让使用者受益。(4)可拓展性。由于物联网其正处在一个不断发展的时期，在系统设计之初应该预留相应的接口方便系统升级；系统级的软件也应该支持应用软件的升级。(5)友好性。物联网系统的应用层部分大多涉及到和用户之间的交互，应用层程序设计的时需要尽可能的做到界面友好，让系统获得更好的用户体验。

实施例1

结合图1，本发明具体涉及的是一种实验室物联网管理系统的安全检测方法。通常情况下，实验室物联网管理系统包括实验室要求管理的设备编号为i1，i2，i3…..in，如各种化验器材、测试器材、演示器材、加工器材等，其中n代表设备的序号，通过网络信息或者无线电信息彼此连接的实验室中继系统A、实验室物联网管理系统服务器B、服务器连接终端C，需要说明的是：服务器连接终端C包括但不限于：服务器连接的WEB端、服务器连接的手持终端，手持终端包括但不限于：平板、手机等，对于上述的实验室物联网管理系统例如在一个单独的实验室房间里，可以由一台计算机主机或者平板电脑作为中继系统，通过关联软件，与其他设备或者设备上安装的传感器进行连接，在一栋实验室大楼内，通过服务器或者路由器连接的云端与各实验室的中继系统连接，实验室用户通过个人计算机或者手机终端与服务器连接继而用来与实验室要求管理的设备建立联系，本安全检测方法具体包括：

上述设备在运行过程中实时收集恶意程序、软件样本集，将样本集进行反编译，提取出样本集中每一个程序、软件的权限信息组成权限特征集；将收集好的权限特征集进行格式化处理，形成适合检测算法的输入格式的权限数据；将处理好的权限数据按恶意程序、软件的分类输入检测算法，首先对数据进行第一次扫描，形成权限FP-Tree，然后对数据进行再次扫描，获得该恶意程序、软件的权限频繁项集；使用算法提取样本集中所有恶意程序、软件的权限频繁项集，构建用于检测的权限关系特征库；当对未知程序、软件进行检测时，通过同样的步骤提取未知程序、软件权限频繁项集与权限关系特征库进行对比，判断未知程序、软件的性质；对未知程序、软件判断结束后，将获得判断的未知程序、软件的权限频繁项集加入到权限关系特征库中，增大样本库容量；将未获得判断的未知程序、软件安装至模拟器并运行，在运行过程中，使用检测未知程序、软件的行为，收集未知程序、软件产生的系统调用数据确认未知程序、软件性质；处理和分析收集到的系统调用数据，构建系统调用特征样本库。本方法创造性的通过检测实验室系统中各类程序的权限信息来判定整体的安全体系的稳定性，该方法整体实施简单方便，程序涉及复杂度低，且到目前为止没有任何相关文件记录了通过权限信息判定实验室系统安全性的技术。

实施例2

与实施例1相同，进一步的，所述实验室物联网管理系统服务器B对于实验室要求管理的设备以及服务器连接终端C反馈回来的数据进行实时归类、处理与存储；数据包括实验室要求管理的设备的报告信息、参考位置的环境信息、使用人员生理信息以及定位信息；其中，实验室要求管理的设备的报告信息是实验室要求管理的设备入网成功后提示的入网信息；定位信息是入网成功后实验室物联网管理系统服务器B自动获取的网络ID与对应的物理地址ID，网络ID为实验室物联网管理系统服务器的控制命令寻址，物理地址ID为实验室要求管理的设备的实际地理位置；参考位置的环境信息是通过在实验室设置固定分散的传感器，利用网络资源对环境参数进行检测获取的，环境参数包括温度、湿度、风速、瓦斯浓度；使用人员生理信息包括体温、心跳。

需要说明的是上述在实验室设置固定分散的传感器，是为可以对物联网系统的多个节点进行环境信息的准确获取；上述使用人员即为实验室人员。

本发明在考虑了系统安全性的同时还考虑了实验室中人员安全的因素，同时将这些信息入网，便于实验室人员的安全统计和监控。

实施例3

与实施例1相同，进一步的，所述的实验室要求管理的设备通过实验室中继系统A和实验室物联网管理系统服务器B进行位置监控，，从而获取丢失设备iu的位置具体方法包括：

(2.1)设丢失设备iu的坐标为(X_iu，Y_iu)，设与丢失设备iu相关联的m个设备的坐标为(X₁，Y₁)，(X₂，Y₂)…(X_m，Y_m)，m≥3；

(2.2)该丢失设备iu与相关联的m个设备的欧氏距离R_j为：

其中，j＝1，2，...，m；对上式进行推导得：

将该式通过简化结构进行计算得到丢失设备iu的坐标：

上述参数均有具体的坐标计算方式，是为了便于公式化而设定的符号参数；

(2.3)设丢失设备iu与实验室中继系统A的距离r，路径损耗通信距离为r₀；接收功率的平均值为P(r₀)；丢失设备iu的接收功率为P(r)；则：

β为传播路径损耗指数，通过计算获得丢失设备iu与实验室中继系统A的距离r；

(2.4)计算能够获得丢失设备iu通信信号的实验室设备ix与iu的距离s；

s₀为实验室设备ix与已知设备ip通信信号的距离，X_σ为随机值的正态分布取法，其标准偏差为[4，10]，b(i)为实验室要求管理的设备的信号在传输过程中的损耗指数，G₀为丢失设备iu与实验室设备ix之间所记录的原始信号强度；

(2.5)通过丢失设备iu的坐标、丢失设备iu与实验室中继系统A的距离r以及能够获得丢失设备iu通信信号的实验室设备ix与iu的距离s综合确定丢失设备iu的位置。

上述方法通过三维距离定位能够高效确定丢失实验设备的位置和安全，做到了系统监控同时寻找目的明确，准确。

实施例4

与实施例1相同，进一步的，所述实验室物联网管理系统服务器B实时对实验室要求管理的设备进行网络安全评分，采用检测系统进行入侵检测，并输出检测结果，通过将输出检测结果与网络安全评估计算模型中的评估指标进行比较，根据评估结果自动计算出网络安全评估分数，并根据评估分数进行等级划分，确定网络的安全等级；所述的网络安全评估计算模型设置了j个一级评估指标，每个一级评估指标的分数和权重分别为L₁₁，L₁₂，L₁₃…L_1j和l₁₁，l₁₂，l₁₃…l_1j，每个一级评估指标下均有q个二级评估指标，每个二级评估指标的分数和权重分别O₂₁，O₂₂，O₂₃…O_2q和o₂₁，o₂₂，o₂₃…o_2q，每个二级评估指标下均有w个三级评估指标；评估指标的分数和权重分别为R₃₁，R₃₂，R₃₃…R_3w和r₃₁，r₃₂，r₃₃…r_3w；

实验室物联网管理系统服务器B按照网络安全评估计算模型，自动计算出网络安全评估分数：

其中，一级评估指标的分数为：

二级评估指标的分数为：

网络安全评估总成绩为：

通过评估指标分数和指标权重进行逐层计算，便能计算出最终的网络安全评估分数。

本发明的方法通过系统性的逐级检测实验室设备安全性来确定整体的安全性，如果安全性高，则实验室可以正常运行，如果安全评估成绩低，则可以启动应急机制。

实施例5

与实施例1相同，进一步的，所述服务器连接终端C在启动自身与实验室物联网管理系统连接的应用程序或软件时通过调用系统特征对待检测应用程序或软件进行检测，判断其是否为恶意应用程序或软件，具体包括：

服务器连接终端C收集实验室物联网管理系统调用数据，将应用程序或软件安装在Windows、Android或IOS的模拟器中，通过Monkey模拟应用程序或软件在模拟器中的运行，同时利用Linux内核调试工具strace收集应用程序或软件的系统调用数据；构建非恶意应用特征库Un和恶意应用特征库Um，将应用程序或软件的系统调用数据处理为一连串的系统调用序列，完成的序列为：futex→iocal→close→dup→clock_gettime→recvfrom→mprotect；对系统调用序列进行命名，按照不同的长度将整个系统调用数据串进行分割，将不同的系统调用分组并命名为V_ek，其中e代表序列的长度，k代表相同长度的序列在同一组的序号；生成非恶意特征样本集和恶意特征样本集，并计算特征长度第一阈值T_ek1和特征长度第二阈值T_ek2,当V_ek＞T_ek1时，为非恶意特征，当T_ek2≤V_ek≤T_ek1时，为一般特征，当V_ek＜T_ek2时，为恶意特征；统计恶意特征的个数N_ek2,如果N_ek2大于恶意程序特征阈值Te，则为恶意应用程序或软件，否则为非恶意应用程序或软件。

实施例6

在实施例5的基础上，进一步的，所述的对待测应用程序或软件进行检测，若检测结果为恶意应用程序或软件，则直接将应用程序或软件归类为高风险等级，若检测结果为非恶意应用程序或软件，计算该应用程序或软件的风险值Re，根据应用软件的风险值Re确定应用的风险等级；

U为网络安全评估总成绩，通过风险等级确定系统所处的状态。

实施例5和实施例6通过系统特征值和软件风险值的引入进一步检测应用程序与软件的安全性，增加了安全检测的维度和元素，提高了安全监控的可靠度。

实施例7

进一步的，所述的获得该恶意程序、软件的权限频繁项集的方法的如下：

(3.1)获取恶意程序、软件的预测安全权限值Z(α,α′)：

其中n个实验室要求管理的设备对实验室物联网管理系统的预测损失率为α'_i，i∈(1，2，3…n)，α为实验室物联网管理系统所在领域的平均损失率；

(3.2)评估实验室要求管理的设备的范数Δ(α,α′)：

(3.3)评估实验室要求管理的设备的故障几率Θ(α,α_i′)：

va为故障风险值；

(3.4)计算实验室要求管理的设备的安全系数Λ(α,α_i′)：

(3.5)计算实验室要求管理的设备的权限频繁度γ：

(3.6)收集满足权限频繁度γ的恶意程序、软件的项组成权限频繁项集。

本发明的方法，通过对权限频繁项集的获取，可以进一步提高系统安全的可靠性。

所述的实验室要求管理的设备的价值指标存储在实验室物联网管理系统服务器B的数据库或者独立数据库中，通过价值指标对被实验室要求管理的的设备的价值分数进行评估，其评估步骤包括：

(4.1)查询被实验室要求管理的设备的购买价值δ_n，其中，n＝1，2，3，则δ₁为被实验室要求管理的设备的流动比率，δ₂为被实验室要求管理的设备的资产周转率，δ₃为被实验室要求管理的设备销售净利率；

(4.2)计算被实验室要求管理的设备的调整系数ε_k；其中，k＝1，2，3；

ε₁＝(δ₁-q₁)/q₁；ε₂＝(δ₂-q₂)/q₂；ε₃＝(δ₃-q₃)/q₃；

δ₁是q₁的比率调整系数；q₂是δ₂的比率调整系数；q₃是δ₃的比率调整系数；

(4.3)计算被实验室要求管理的设备的加权调整系数η：

η＝1+ε₁δ₁+ε₂δ₂+ε₃δ₃；

(4.4)调取被实验室要求管理的设备价值的资产值ζ，得到被实验室要求管理的设备的价值乘数ψ:

ψ＝ηζ；

(4.5)调取所有设备使用人员对被实验室要求管理的设备的价值的评估值Ω_i，计算被实验室要求管理的设备的价值评分φ：

通过φ的大小评估被实验室要求管理的设备的价值评分。

所述的对数据进行第一次扫描，形成权限FP-Tree的具体步骤包括：

(5.1)扫描程序或软件f(r)在各设备中出现的概率p(r)，

Ti为程序或软件中的活跃度最高的子程序，c_r为对应活跃度的子程序数，r为子程序活跃度排序，N_r为子程序总数；

(5.2)计算程序或软件中活跃度大于Tr的子程序数概率密度I(r)，I为程序活跃度的归一化累计直方图；

ir为标号；

(5.3)重新计算程序或软件中大于Tr的大于Tr的子程序的活跃值Q(r)；

Q(r)＝(Q_max-Q_min)I[Q(r)]-Q_min

Q_max、Q_min分别为大于Tr的子程序中最大以及最小的活跃值；

(5.4)根据活跃值Q(r)对子程序重新排序，形成权限FP-Tree。

通过实施例7与实施例1的配合能够很明确的保护一种极其直接的安全监测方法，通过引入一系列函数、参数，有效的将实验室安全度量化，提高了可靠性。

本发明的一种实验室物联网管理系统的检测设备，包括实验室要求管理的设备编号为i1，i2，i3…..in，其中n代表设备的序号，通过网络信息和无线电信息彼此连接的实验室中继系统A、实验室物联网管理系统服务器B、服务器连接终端C，其特征在于：上述设备在运行过程中实时收集恶意程序、软件样本集，将样本集进行反编译，提取出样本集中每一个程序、软件的权限信息组成权限特征集；将收集好的权限特征集进行格式化处理，形成适合检测算法的输入格式权限数据；将处理好的权限数据按恶意程序、软件的分类输入检测算法，首先对数据进行第一次扫描，形成权限FP-Tree，然后对数据进行再次扫描，获得该恶意程序、软件的权限频繁项集；使用算法提取样本集中所有恶意程序、软件的权限频繁项集，构建用于检测的权限关系特征库；当对未知程序、软件进行检测时，通过同样的步骤提取未知程序、软件权限频繁项集与权限关系特征库进行对比，判断未知程序、软件的性质；对未知程序、软件判断结束后，将获得判断的未知程序、软件的权限频繁项集加入到权限关系特征库中，增大样本库容量；将未获得判断的未知程序、软件安装至模拟器并运行，在运行过程中，使用检测未知程序、软件的行为，收集未知程序、软件产生的系统调用数据确认未知程序、软件性质；处理和分析收集到的系统调用数据，构建系统调用特征样本库。

需要指出的是，本发明只是详细描述有关实验室安全性检测方法的有关技术，而实验室系统中的其他技术问题，如设备与中继器或者服务器连接的手段、技术，各个设备中使用的应用程序或软件等技术方案由于都是本领域的公知技术，因此不在本发明中做进一步描述。

Claims (9)

1.一种实验室物联网管理系统的安全检测方法，实验室物联网管理系统包括实验室要求管理的设备编号为i1，i2，i3…..in，其中n代表设备的序号，通过网络信息和无线电信息彼此连接的实验室中继系统A、实验室物联网管理系统服务器B、服务器连接终端C，其特征在于，具体包括：

(1.1)其中上述设备在运行过程中实时收集恶意程序、软件样本集，将样本集进行反编译，提取出样本集中每一个程序、软件的权限信息组成权限特征集；

(1.2)将收集好的权限特征集进行格式化处理，形成适合检测算法的输入格式的权限数据；

(1.3)将处理好的权限数据按恶意程序、软件的分类输入检测算法，首先对数据进行第一次扫描，形成权限FP-Tree，然后对数据进行再次扫描，获得该恶意程序、软件的权限频繁项集；

(1.4)使用算法提取样本集中所有恶意程序、软件的权限频繁项集，构建用于检测的权限关系特征库；

(1.5)当对未知程序、软件进行检测时，通过同样的步骤提取未知程序、软件权限频繁项集与权限关系特征库进行对比，判断未知程序、软件的性质；

(1.6)对未知程序、软件判断结束后，将获得判断的未知程序、软件的权限频繁项集加入到权限关系特征库中，增大样本库容量；

(1.7)将未获得判断的未知程序、软件安装至模拟器并执行，在运行过程中，使用检测未知程序、软件的行为，收集未知程序、软件产生的系统调用数据确认未知程序、软件的性质；

(1.8)处理和分析收集到的系统调用数据，构建系统调用特征样本库；

其中，获得恶意程序、软件的权限频繁项集的方法如下：

(3.1)获取恶意程序、软件的预测安全权限值Z(α,α')：

其中n个实验室要求管理的设备对实验室物联网管理系统的预测损失率为α_i′，i∈(1，2，3…n)，α为实验室物联网管理系统所在领域的平均损失率；

(3.2)评估实验室要求管理的设备的范数Δ(α，α')：

(3.3)评估实验室要求管理的设备的故障几率Θ(α，α_i′)：

va为故障风险值；

(3.4)计算实验室要求管理的设备的安全系数Λ(α，α_i′)：

(3.5)计算实验室要求管理的设备的权限频繁度γ：

(3.6)收集满足权限频繁度γ的恶意程序、软件的项组成权限频繁项集。

2.根据权利要求1所述的一种实验室物联网管理系统的安全检测方法，其特征在于：所述实验室物联网管理系统服务器B对于实验室要求管理的设备以及服务器连接终端C反馈回来的数据进行实时归类、处理与存储；数据包括实验室要求管理的设备的报告信息、参考位置的环境信息、使用人员生理信息以及定位信息；

其中，实验室要求管理的设备的报告信息是实验室要求管理的设备入网成功后提示的入网信息；定位信息是入网成功后实验室物联网管理系统服务器B自动获取的网络ID与对应的物理地址ID，网络ID为实验室物联网管理系统服务器的控制命令寻址，物理地址ID为实验室要求管理的设备的实际地理位置；参考位置的环境信息是通过在实验室设置固定分散的传感器，利用网络资源对环境参数进行检测获取的，环境参数包括温度、湿度、风速、瓦斯浓度；使用人员生理信息包括体温、心跳。

3.根据权利要求1所述的一种实验室物联网管理系统的安全检测方法，其特征在于，所述实验室要求管理的设备通过实验室中继系统A和实验室物联网管理系统服务器B进行位置监控，从而获取丢失设备iu的位置，具体方法包括：

(2.1)设丢失设备iu的坐标为(X_iu，Y_iu)，设与丢失设备iu相关联的m个设备的坐标为(X₁，Y₁)，(X₂，Y₂)…(X_m，Y_m)，m≥3；

(2.2)该丢失设备iu与相关联的m个设备的欧氏距离R_j为：

其中，j＝1，2，...，m；对上式进行推导得：

将该式通过简化结构进行计算得到丢失设备iu的坐标：

上述参数均有具体的坐标计算方式，是为了便于公式化而设定的符号参数；

(2.3)设丢失设备iu与实验室中继系统A的距离r，路径损耗通信距离为r₀；接收功率的平均值为P(r₀)；丢失设备iu的接收功率为P(r)；则：

β为传播路径损耗指数，通过计算获得丢失设备iu与实验室中继系统A的距离r；

(2.4)计算能够获得丢失设备iu通信信号的实验室设备ix与iu的距离s；

s₀为实验室设备ix与已知设备ip通信信号的距离，X_σ为随机值的正态分布取法，其标准偏差为[4，10]，b(i)为实验室要求管理的设备的信号在传输过程中的损耗指数，G₀为丢失设备iu与实验室设备ix之间所记录的原始信号强度；

(2.5)通过丢失设备iu的坐标、丢失设备iu与实验室中继系统A的距离r以及能够获得丢失设备iu通信信号的实验室设备ix与iu的距离s综合确定丢失设备iu的位置。

4.根据权利要求1所述的一种实验室物联网管理系统的安全检测方法，其特征在于，所述实验室物联网管理系统服务器B实时对实验室要求管理的设备进行网络安全评分，采用检测系统进行入侵检测，并输出检测结果，通过将输出检测结果与网络安全评估计算模型中的评估指标进行比较，根据评估结果自动计算出网络安全评估分数，并根据评估分数进行等级划分，确定网络的安全等级；所述的网络安全评估计算模型设置了j个一级评估指标，每个一级评估指标的分数和权重分别为L₁₁，L₁₂，L₁₃…L_1j和l₁₁，l₁₂，l₁₃…l_1j，每个一级评估指标下均有q个二级评估指标，每个二级评估指标的分数和权重分别O₂₁，O₂₂，O₂₃…O_2q和o₂₁，o₂₂，o₂₃…o_2q，每个二级评估指标下均有w个三级评估指标；评估指标的分数和权重分别为R₃₁，R₃₂，R₃₃…R_3w和r₃₁，r₃₂，r₃₃…r_3w；

实验室物联网管理系统服务器B按照网络安全评估计算模型，自动计算出网络安全评估分数：

其中，一级评估指标的分数为：

二级评估指标的分数为：

网络安全评估总成绩为：

通过评估指标分数和指标权重进行逐层计算，便能计算出最终的网络安全评估分数。

5.根据权利要求1所述的一种实验室物联网管理系统的安全检测方法，其特征在于，所述服务器连接终端C在启动自身与实验室物联网管理系统连接的应用程序或软件时通过调用系统特征对待检测应用程序或软件进行检测，判断其是否为恶意应用程序或软件，具体包括：

服务器连接终端C收集实验室物联网管理系统调用数据，将应用程序或软件安装在Windows、Android或IOS的模拟器中，通过Monkey模拟应用程序或软件在模拟器中的运行，同时利用Linux内核调试工具strace收集应用程序或软件的系统调用数据；构建非恶意应用特征库Un和恶意应用特征库Um，将应用程序或软件的系统调用数据处理为一连串的系统调用序列，完成的序列为：futex→iocal→close→dup→clock_gettime→recvfrom→mprotect；对系统调用序列进行命名，按照不同的长度将整个系统调用数据串进行分割，将不同的系统调用分组并命名为V_ek，其中e代表序列的长度，k代表相同长度的序列在同一组的序号；生成非恶意特征样本集和恶意特征样本集，并计算特征长度第一阈值T_ek1和特征长度第二阈值T_ek2,当V_ek＞T_ek1时，为非恶意特征，当T_ek2≤V_ek≤T_ek1时，为一般特征，当V_ek＜T_ek2时，为恶意特征；统计恶意特征的个数N_ek2,如果N_ek2大于恶意程序特征阈值Te，则为恶意应用程序或软件，否则为非恶意应用程序或软件。

6.根据权利要求5所述的一种实验室物联网管理系统的安全检测方法，其特征在于，所述的对待测应用程序或软件进行检测，若检测结果为恶意应用程序或软件，则直接将应用程序或软件归类为高风险等级，若检测结果为非恶意应用程序或软件，计算该应用程序或软件的风险值Re，根据应用软件的风险值Re确定应用的风险等级；

U为网络安全评估总成绩，通过风险等级确定系统所处的状态。

7.根据权利要求1所述的一种实验室物联网管理系统的安全检测方法，其特征在于，所述的实验室要求管理的设备的价值指标存储在实验室物联网管理系统服务器B的数据库或者独立数据库中，通过价值指标对被实验室要求管理的的设备的价值分数进行评估，其评估步骤包括：

(4.1)查询被实验室要求管理的设备的购买价值δ_n，其中，n＝1，2，3，则δ₁为被实验室要求管理的设备的流动比率，δ₂为被实验室要求管理的设备的资产周转率，δ₃为被实验室要求管理的设备销售净利率；

(4.2)计算被实验室要求管理的设备的调整系数ε_k；其中，k＝1，2，3；

ε₁＝(δ₁-q₁)/q₁；ε₂＝(δ₂-q₂)/q₂；ε₃＝(δ₃-q₃)/q₃；

δ₁是q₁的比率调整系数；q₂是δ₂的比率调整系数；q₃是δ₃的比率调整系数；

(4.3)计算被实验室要求管理的设备的加权调整系数η：

η＝1+ε₁δ₁+ε₂δ₂+ε₃δ₃；

(4.4)调取被实验室要求管理的设备价值的资产值ζ，得到被实验室要求管理的设备的价值乘数ψ：

ψ＝ηζ；

(4.5)调取所有设备使用人员对被实验室要求管理的设备的价值的评估值Ω_i，计算被实验室要求管理的设备的价值评分φ：

通过φ的大小评估被实验室要求管理的设备的价值评分。

8.根据权利要求1所述的一种实验室物联网管理系统的安全检测方法，其特征在于，所述的对数据进行第一次扫描，形成权限FP-Tree的具体步骤包括：

(5.1)扫描程序或软件f(r)在各设备中出现的概率p(r)，

Ti为程序或软件中的活跃度最高的子程序，c_r为对应活跃度的子程序数，r为子程序活跃度排序，N_r为子程序总数；

(5.2)计算程序或软件中活跃度大于Tr的子程序数概率密度I(r)，I为程序活跃度的归一化累计直方图；

ir为标号；

(5.3)重新计算程序或软件中大于Tr的子程序的活跃值Q(r)；

Q(r)＝(Q_max-Q_min)I[Q(r)]-Q_min

Q_max、Q_min分别为大于Tr的子程序中最大以及最小的活跃值；

(5.4)根据活跃值Q(r)对子程序重新排序，形成权限FP-Tree。

9.根据权利要求1所述的一种实验室物联网管理系统的检测设备，包括实验室要求管理的设备编号为i1，i2，i3…..in，其中n代表设备的序号，通过网络信息和无线电信息彼此连接的实验室中继系统A、实验室物联网管理系统服务器B、服务器连接终端C，其特征在于：上述设备在运行过程中实时收集恶意程序、软件样本集，将样本集进行反编译，提取出样本集中每一个程序、软件的权限信息组成权限特征集；将收集好的权限特征集进行格式化处理，形成适合检测算法的输入格式权限数据；将处理好的权限数据按恶意程序、软件的分类输入检测算法，首先对数据进行第一次扫描，形成权限FP-Tree，然后对数据进行再次扫描，获得该恶意程序、软件的权限频繁项集；使用算法提取样本集中所有恶意程序、软件的权限频繁项集，构建用于检测的权限关系特征库；当对未知程序、软件进行检测时，通过同样的步骤提取未知程序、软件权限频繁项集与权限关系特征库进行对比，判断未知程序、软件的性质；对未知程序、软件判断结束后，将获得判断的未知程序、软件的权限频繁项集加入到权限关系特征库中，增大样本库容量；将未获得判断的未知程序、软件安装至模拟器并运行，在运行过程中，使用检测未知程序、软件的行为，收集未知程序、软件产生的系统调用数据确认未知程序、软件性质；处理和分析收集到的系统调用数据，构建系统调用特征样本库。