CN112306778B - 一种基于旁路的资源受限型终端设备安全监测方法 - Google Patents
一种基于旁路的资源受限型终端设备安全监测方法 Download PDFInfo
- Publication number
- CN112306778B CN112306778B CN202011309988.1A CN202011309988A CN112306778B CN 112306778 B CN112306778 B CN 112306778B CN 202011309988 A CN202011309988 A CN 202011309988A CN 112306778 B CN112306778 B CN 112306778B
- Authority
- CN
- China
- Prior art keywords
- bypass
- information
- terminal equipment
- resource
- bypass information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 27
- 238000012544 monitoring process Methods 0.000 title claims abstract description 27
- 230000006870 function Effects 0.000 claims abstract description 48
- 238000010801 machine learning Methods 0.000 claims abstract description 24
- 238000013461 design Methods 0.000 claims abstract description 13
- 238000012549 training Methods 0.000 claims description 12
- 238000004422 calculation algorithm Methods 0.000 claims description 10
- 238000012545 processing Methods 0.000 claims description 10
- 238000004458 analytical method Methods 0.000 claims description 8
- 238000001914 filtration Methods 0.000 claims description 7
- 238000012360 testing method Methods 0.000 claims description 6
- 238000004364 calculation method Methods 0.000 claims description 5
- 238000003066 decision tree Methods 0.000 claims description 3
- 230000000694 effects Effects 0.000 claims description 3
- 238000007637 random forest analysis Methods 0.000 claims description 3
- 238000007619 statistical method Methods 0.000 claims description 3
- 238000012706 support-vector machine Methods 0.000 claims description 3
- 230000001149 cognitive effect Effects 0.000 description 6
- 230000009286 beneficial effect Effects 0.000 description 2
- 230000015654 memory Effects 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 230000026676 system process Effects 0.000 description 2
- 230000003321 amplification Effects 0.000 description 1
- 230000019771 cognition Effects 0.000 description 1
- 238000007405 data analysis Methods 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000000605 extraction Methods 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 238000010295 mobile communication Methods 0.000 description 1
- 238000003199 nucleic acid amplification method Methods 0.000 description 1
- 238000005192 partition Methods 0.000 description 1
- 230000002093 peripheral effect Effects 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/22—Detection or location of defective computer hardware by testing during standby operation or during idle time, e.g. start-up testing
- G06F11/2205—Detection or location of defective computer hardware by testing during standby operation or during idle time, e.g. start-up testing using arrangements specific to the hardware being tested
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/22—Detection or location of defective computer hardware by testing during standby operation or during idle time, e.g. start-up testing
- G06F11/2273—Test methods
-
- G—PHYSICS
- G16—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR SPECIFIC APPLICATION FIELDS
- G16Y—INFORMATION AND COMMUNICATION TECHNOLOGY SPECIALLY ADAPTED FOR THE INTERNET OF THINGS [IoT]
- G16Y40/00—IoT characterised by the purpose of the information processing
- G16Y40/10—Detection; Monitoring
Landscapes
- Engineering & Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Quality & Reliability (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computing Systems (AREA)
- Alarm Systems (AREA)
Abstract
本发明公开了一种基于旁路的资源受限型终端设备安全监测方法。旁路的信息是指在终端设备各功能域间原有连接关系集合之外存在的连接关系,这种设计之外的连接关系可以在资源受限型的物联网终端设备中得到更多的信息,本发明通过分析物理域功能块存在的系统设计范围外的信息存在形式,利用该旁路信息建立连接关系,并进行数据分析和特征提取,建立机器学习模型,据此对应目标信息I,从而实现终端设备旁路安全监测。本发明方法可以系统性地对资源受限型的物联网终端设备基于旁路的信号进行安全监测,以为物联网终端设备的旁路安全提供防护。
Description
技术领域
本发明涉及物联网安全领域,特别是涉及一种基于旁路的资源受限型终端设备安全监测方法。
背景技术
物联网是继计算机、互联网和移动通信网之后的又一次信息浪潮,随着物联网技术的日益成熟,物联网终端设备与日俱增,形成了多元异构的物联网终端环境。在庞杂的物联网环境中,物联网终端由于其设计时功能较为简单,常常具有资源受限的特点,而物联网背后大量的系统设计与工程实现不可避免地引入了大量的安全脆弱点和潜在的攻击。
物联网脆弱性根据其来源不同可分为带外脆弱性和带内脆弱性。带内脆弱性包括结构、协议、软件、硬件、运维和认知安全等,属于传统安全领域。带外脆弱性包括旁路、超限和陷门等新型安全问题,近些年才被研究人员提出和研究。
因此对资源受限型的物联网终端设备如何采用有效的方法进行安全监测,成为了一个急需填补的空白。
发明内容
本发明的目的在于针对现有技术的不足,提供一种基于旁路的资源受限型终端设备安全监测方法。旁路的信息是指在终端设备各功能域间原有连接关系集合之外存在的连接关系,这种设计之外的连接关系可以在资源受限型的物联网终端设备中得到更多的信息,经过分析和提取后,可以用于物联网终端设备的安全监测。例如物联网终端的芯片的运算和电路的布局,会向周围的环境中辐射热量、磁场,产生可听或者不可听的声音,以及消耗的功耗等信息,可以间接的通过旁路与正在运行的计算任务和数据建立连接关系。分析两者之间的关系,可以对物联网终端设备的运行情况进行分析和监测。
本发明的一种基于旁路的资源受限型终端设备安全监测方法,尤其适用于资源受限型终端设备,因为资源受限型终端设备由于其功能和组件较为简单,难以对其本身进行复杂的更改,并且本身的计算能力有限,不适合利用自身的计算能力进行安全监测,因此本发明提出的基于旁路的资源受限型终端设备安全监测方法可以系统性地对资源受限型的物联网终端设备基于旁路的信号进行安全监测,以为物联网终端设备的旁路安全提供防护。方法包括:
步骤(1)建立终端设备功能块划分,将终端设备抽象表示为由不同的功能块v连接而组成的功能体;
步骤(2)对终端设备的不同功能块,进一步划分物理域Dp、数字域Dd,建立物理域、数字域功能块集合V(Dp)、V(Dd);
其中,物理域的功能块代表设备以功能划分的硬件组成模块,数字域的功能块代表设备以功能划分的逻辑组成模块,认知域的功能块代表用户对于设备功能的认识;
步骤(3)根据功能块之间的关联关系,分析设备可能产生的旁路信息;即通过功能块之间有向连接关系分析终端设备在该连接关系中旁路信息的存在形式,建立目标信息I与旁路信息种类的对应关系,并且采集对应的旁路信息;
步骤(4)根据采集到的旁路信息,对资源受限的终端设备进行旁路信息数数据处理和特征分析;
步骤(5)建立机器学习模型,通过旁路信息的数据对资源受限型终端设备安全情况进行监测,判断终端设备是否正在运行目标信息I,若是,则终端设备正常运行了目标信息I,否则认为终端设备没有正常运行目标信息I,进行报警。
进一步的,所述的物理域的功能块与数字域的功能块之间存在系统设计范围内的连接关系,且物理域的功能块存在系统设计范围外的信息存在形式,即旁路信息。所述的旁路信息通常可以为声、光、电、磁、热信号等。
进一步的,根据采集到的旁路信息,对资源受限物联网终端设备进行旁路信息数据处理和特征分析,包括以下步骤:
1)对采集的旁路信息进行滤波,过滤其中的直流信号和噪声信号,并对过滤后的信号标准化处理,然后对旁路信息进行切片,将每一段固定长度作为一个样本,得到旁路信息样本集;
2)对旁路信息样本集进行统计分析,获取其各种统计量的信息作为目标信息I的特征矢量V,构建旁路信息样本特征集。所述统计量包括均值、方差、最大值、最小值、相关系数、回归系数等。
进一步的,建立机器学习模型,通过旁路信息的数据对资源受限型终端设备安全情况进行监测,包括以下步骤:
1)由于同一个终端设备在数字域进行同样的计算时产生的物理域的信号特征具有高度的相似性,因此获取大量的旁路信息样本特征集后根据其数字域的目标信息不同打上不同的标签;
2)将旁路信息样本特征集随机划分为训练集Tr和测试集Te,将训练集Tr用于机器学习算法的训练,测试集Te用于验证机器学习算法的效果,进行训练获得机器学习模型;所述的机器学习算法包括支持向量机、随机森林、决策树等;
3)采集新的旁路信息样本,并对其进行与步骤(4)同样的数据处理和特征分析,并将其输入训练好的机器学习模型,判断终端设备是否正在运行目标信息I,若是,则终端设备正常运行了目标信息I,否则认为终端设备没有正常运行目标信息I,进行报警。
本发明的有益效果是:
本发明的基于旁路的资源受限型终端设备安全监测方法,通过分析物理域功能块存在的系统设计范围外的信息存在形式,利用该旁路信息建立连接关系,并进行数据分析和特征提取,建立机器学习模型,据此对应目标信息I,从而实现终端设备旁路安全监测。本发明的方法可以系统性地分析与发现终端设备在数字域上是否运行正常的目标信息,且具有完备性和指向性,可以为终端安全防护提供有益指导。
附图说明
图1为本发明中终端设备功能块划分及连接关系示意图。
具体实施方法
为实现对资源受限的物联网终端设备非侵入式的安全监测,本发明实例提出一种基于旁路的资源受限型终端设备安全监测方法。
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例具体实施例及相应的附图对本发明实施例技术方案进行清楚、完整地描述。显然,所描述的实施例仅是本发明实施例一部分实施例,而不是全部的实施例。基于本发明实施例中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明实施例保护的范围。
下面通过实施例来进行详细说明。
实施例:
如图1所示,本实施例提供一种基于旁路的资源受限型终端设备安全监测方法,包括:
步骤1:将终端设备D抽象表述为由不同的功能块v连接而组成的功能体。功能块v指具有实际物理、逻辑或认知意义的基本功能模块,其意义即为其所能实现的功能。对于终端设备,功能块的意义均为其设计功能。例如,传感器的功能为感知,放大器的功能为信号放大,滤波器的功能为信号滤波,CPU的功能为程序计算等。
步骤2:由于终端设备的功能的实现同时涉及不同的形式,例如软件和硬件,不同的功能块根据其存在形式进一步划分为物理域Dp和数字域Dd,另外将用户对终端设备功能的认知对应描述为认知域Dc的功能块。其中,物理域的功能块v(Dp)代表设备以功能划分的硬件组成模块,例如传感器、信号处理器件和电路、处理器、存储器、执行器等,其集合为V(Dp)。数字域的功能块v(Dd)代表设备以功能划分的逻辑组成模块,例如系统进程、指令、程序、函数、算法等,其集合为V(Dd)。认知域的功能块v(Dc)代表用户对于设备功能的认识,同时对映于物理域和数字域,其集合为V(Dc)。数字域的逻辑功能块依赖于物理域的实体功能块具体实现,两者相互依存,共同完成一个实际的功能。例如,一次计算任务由数字域中的系统进程、函数等组成,同时也物理域中CPU内部的门电路和CPU周围的一系列外设例如内存、存储器等共同完成,功能块之间存在连接关系集合E(D);
步骤3:通过功能块之间有向连接关系分析终端设备在该连接关系中旁路信息的存在形式,通常可为声、光、电、磁、热信号等。建立目标信息I与旁路信息种类的对应关系,并且采集对应的旁路信息。因此,本发明基于旁路的安全监测方法能实现的必要条件为:涉及的物理域功能块与数字域功能块存在系统设计范围内的连接关系,且物理域功能块存在系统设计范围外的信息存在形式,即旁路信息,在原有连接关系集合E(D)之外存在的连接关系es中所包含的信息;
步骤4:根据采集到的旁路信息,对资源受限的终端设备进行旁路信息数据处理和特征分析,可以得到数字域功能块中的对应目标信息I的一组物理域统计量,构成信息I的特征矢量V;包括以下步骤:
(1)对采集的旁路信息进行滤波,过滤其中的直流信号和噪声信号,并对过滤后的信号标准化处理,然后对旁路信息进行切片,将每一段固定长度作为一个样本,得到旁路信息样本集。
(2)对旁路信息样本集进行统计分析,获取其各种统计量的信息作为特征矢量V,例如均值、方差、最大值、最小值、相关系数、回归系数等,构建旁路信息样本特征集。
步骤5:建立机器学习模型,通过旁路信息的数据对资源受限型终端设备安全情况进行监测,包括以下步骤:
(1)由于同一个终端设备在数字域进行同样的计算时产生的物理域的信号特征具有高度的相似性,因此获取大量的旁路信息样本特征集后根据其数字域的目标信息不同打上不同的标签;
(2)将旁路信息样本特征集随机划分为训练集Tr和测试集Te,将训练集Tr用于机器学习算法的训练,测试集Te用于验证机器学习算法的效果,机器学习算法包括支持向量机、随机森林、决策树等,进行多轮的训练获得机器学习模型。
(3)采集新的旁路信息样本,并对其进行同样的数据处理和特征分析,并将其输入训练好的机器学习模型,来判断终端设备是否正在运行目标信息I,当模型判断是,则终端设备正常运行了目标信息I,否则认为终端设备没有正常运行目标信息I,并且进行报警。
由于对不同数字域功能块目标信息进行监测时使用的物理域功能块信息的使用形式、处理方式不同,特征V也可能由多种形式的旁路信息构成,因此对不同的目标信息类型需要建立对应的机器学习模型进行监测。
Claims (7)
1.一种基于旁路的资源受限型终端设备安全监测方法,其特征在于,包括如下步骤:
步骤(1)建立终端设备功能块划分,将终端设备抽象表示为由不同的功能块v连接而组成的功能体;
步骤(2)对终端设备的不同功能块,进一步划分物理域D p 、数字域D d ,建立物理域、数字域功能块集合V(D p )、V(D d );
其中,物理域的功能块代表设备以功能划分的硬件组成模块,数字域的功能块代表设备以功能划分的逻辑组成模块;
步骤(3)根据功能块之间的关联关系,分析设备可能产生的旁路信息;即通过功能块之间有向连接关系分析终端设备在该连接关系中旁路信息的存在形式,建立目标信息I与旁路信息种类的对应关系,并且采集对应的旁路信息;
步骤(4)根据采集到的旁路信息,对资源受限的终端设备进行旁路信息数据处理和特征分析;
步骤(5)建立机器学习模型,通过旁路信息的数据对资源受限型终端设备安全情况进行监测,判断终端设备是否正在运行目标信息I,若是,则终端设备正常运行了目标信息I,否则认为终端设备没有正常运行目标信息I,进行报警。
2.根据权利要求1所述的基于旁路的资源受限型终端设备安全监测方法,其特征在于,所述的物理域的功能块与数字域的功能块之间存在系统设计范围内的连接关系,且物理域的功能块存在系统设计范围外的信息存在形式,即旁路信息。
3.根据权利要求2所述的基于旁路的资源受限型终端设备安全监测方法,其特征在于,所述的旁路信息包括声、光、电、磁、热信号。
4.根据权利要求1所述的基于旁路的资源受限型终端设备安全监测方法,其特征在于,根据采集到的旁路信息,对资源受限物联网终端设备进行旁路信息数据处理和特征分析,包括以下步骤:
1)对采集的旁路信息进行滤波,过滤其中的直流信号和噪声信号,并对过滤后的信号标准化处理,然后对旁路信息进行切片,将每一段固定长度作为一个样本,得到旁路信息样本集;
2)对旁路信息样本集进行统计分析,获取其各种统计量的信息作为特征V,构建旁路信息样本特征集。
5.根据权利要求4所述的基于旁路的资源受限型终端设备安全监测方法,其特征在于,所述统计量包括均值、方差、最大值、最小值、相关系数、回归系数。
6.根据权利要求1所述的基于旁路的资源受限型终端设备安全监测方法,其特征在于,建立机器学习模型,通过旁路信息的数据对资源受限型终端设备安全情况进行监测,包括以下步骤:
1)由于同一个终端设备在数字域进行同样的计算时产生的物理域的信号特征具有高度的相似性,因此获取大量的旁路信息样本特征集后根据其数字域的目标信息不同打上不同的标签;
2)将旁路信息样本特征集随机划分为训练集Tr和测试集Te,将训练集Tr用于机器学习算法的训练,测试集Te用于验证机器学习算法的效果,进行训练获得机器学习模型;
3)采集新的旁路信息样本,并对其进行与步骤(4)同样的数据处理和特征分析,并将其输入训练好的机器学习模型,判断终端设备是否正在运行目标信息I,若是,则终端设备正常运行了目标信息I,否则认为终端设备没有正常运行目标信息I,进行报警。
7.根据权利要求6所述的基于旁路的资源受限型终端设备安全监测方法,其特征在于,所述的机器学习算法包括支持向量机、随机森林、决策树。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011309988.1A CN112306778B (zh) | 2020-11-20 | 2020-11-20 | 一种基于旁路的资源受限型终端设备安全监测方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011309988.1A CN112306778B (zh) | 2020-11-20 | 2020-11-20 | 一种基于旁路的资源受限型终端设备安全监测方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112306778A CN112306778A (zh) | 2021-02-02 |
| CN112306778B true CN112306778B (zh) | 2022-05-10 |
Family
ID=74335173
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202011309988.1A Active CN112306778B (zh) | 2020-11-20 | 2020-11-20 | 一种基于旁路的资源受限型终端设备安全监测方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112306778B (zh) |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110971677A (zh) * | 2019-11-19 | 2020-04-07 | 国网吉林省电力有限公司电力科学研究院 | 一种基于对抗强化学习的电力物联网终端设备边信道安全监测方法 |
| CN110991299A (zh) * | 2019-11-27 | 2020-04-10 | 中新国际联合研究院 | 一种物理域上针对人脸识别系统的对抗样本生成方法 |
| CN111030299A (zh) * | 2019-12-16 | 2020-04-17 | 南方电网科学研究院有限责任公司 | 一种基于边信道的电网嵌入式终端安全监测方法及系统 |
| CN111030941A (zh) * | 2019-10-29 | 2020-04-17 | 武汉瑞盈通网络技术有限公司 | 一种基于决策树的https加密流量分类方法 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20190260572A1 (en) * | 2018-02-21 | 2019-08-22 | Cryptography Research, Inc. | Efficient computation of bivariate statistical moments for side channel vulnerability evaluation |
-
2020
- 2020-11-20 CN CN202011309988.1A patent/CN112306778B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111030941A (zh) * | 2019-10-29 | 2020-04-17 | 武汉瑞盈通网络技术有限公司 | 一种基于决策树的https加密流量分类方法 |
| CN110971677A (zh) * | 2019-11-19 | 2020-04-07 | 国网吉林省电力有限公司电力科学研究院 | 一种基于对抗强化学习的电力物联网终端设备边信道安全监测方法 |
| CN110991299A (zh) * | 2019-11-27 | 2020-04-10 | 中新国际联合研究院 | 一种物理域上针对人脸识别系统的对抗样本生成方法 |
| CN111030299A (zh) * | 2019-12-16 | 2020-04-17 | 南方电网科学研究院有限责任公司 | 一种基于边信道的电网嵌入式终端安全监测方法及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN112306778A (zh) | 2021-02-02 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN114584405B (zh) | 一种电力终端安全防护方法及系统 | |
| Shabtai et al. | Intrusion detection for mobile devices using the knowledge-based, temporal abstraction method | |
| EP2860937B1 (en) | Log analysis device, method, and program | |
| CN109104438B (zh) | 窄带物联网中的僵尸网络预警方法、装置及可读存储介质 | |
| CN114338195B (zh) | 基于改进孤立森林算法的web流量异常检测方法及装置 | |
| WO2017071148A1 (zh) | 基于云计算平台的智能防御系统 | |
| CN103500307A (zh) | 一种基于行为模型的移动互联网恶意应用软件检测方法 | |
| CN113642023A (zh) | 数据安全检测模型训练、数据安全检测方法、装置及设备 | |
| Radoglou-Grammatikis et al. | Flow anomaly based intrusion detection system for Android mobile devices | |
| CN112291277B (zh) | 一种恶意软件检测方法、装置、设备及存储介质 | |
| CN110178137A (zh) | 数据判定装置、数据判定方法以及数据判定程序 | |
| CN117834256B (zh) | 基于大数据的物联网设备安全监控系统 | |
| CN111224928B (zh) | 网络攻击行为的预测方法、装置、设备及存储介质 | |
| CN115001934A (zh) | 一种工控安全风险分析系统及方法 | |
| CN111064719B (zh) | 文件异常下载行为的检测方法及装置 | |
| CN117220957A (zh) | 一种基于威胁情报的攻击行为响应方法及系统 | |
| CN112306778B (zh) | 一种基于旁路的资源受限型终端设备安全监测方法 | |
| CN117749499A (zh) | 一种网络信息系统场景下的恶意加密流量检测方法及系统 | |
| CN113282920A (zh) | 日志异常检测方法、装置、计算机设备和存储介质 | |
| CN113656800B (zh) | 一种基于加密流量分析的恶意软件行为识别方法 | |
| Japertas et al. | Method of early staged cyber attacks detection in IT and telecommunication networks | |
| CN114938300A (zh) | 基于设备行为分析的工控系统态势感知方法及其系统 | |
| CN114268484A (zh) | 恶意加密流量检测方法、装置、电子设备及存储介质 | |
| Valavan et al. | Network Intrusion Detection System Based on Information Gain with Deep Bidirectional Long Short-Term Memory. | |
| CN114338077B (zh) | 基于单分类神经网络的匿名流量识别方法及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |