CN114598544B - 一种智能物联终端安全状态基线判别方法及装置 - Google Patents
一种智能物联终端安全状态基线判别方法及装置 Download PDFInfo
- Publication number
- CN114598544B CN114598544B CN202210286654.XA CN202210286654A CN114598544B CN 114598544 B CN114598544 B CN 114598544B CN 202210286654 A CN202210286654 A CN 202210286654A CN 114598544 B CN114598544 B CN 114598544B
- Authority
- CN
- China
- Prior art keywords
- hash function
- feature vector
- vector sequence
- terminal
- data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0281—Proxies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/06—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
- H04L9/0643—Hash functions, e.g. MD5, SHA, HMAC or f9 MAC
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D30/00—Reducing energy consumption in communication networks
- Y02D30/70—Reducing energy consumption in communication networks in wireless communication networks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Power Engineering (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种智能物联终端安全状态基线判别方法及装置,该方法包括:获取待校验终端在正常运行时预设时间段内的信息数据;提取信息数据的特征数据,生成特征向量序列;根据预设的哈希函数,计算特征向量序列的哈希函数值序列;将哈希函数值序列中每一数据分别与标准基线值进行比较,当完全相同时,将待校验终端判别为安全,否则判别为不安全。通过提取信息数据的特征数据并生成特征向量序列,能够将终端的信息数据进行筛选,提取出有效特征,减少数据维度。通过计算哈希函数值序列并与标准基线值进行比较,利用了哈希函数族的碰撞特性,加快了物联终端工作状态和安全基线的匹配速度,克服了现有技术中计算量大且浪费系统资源的缺陷。
Description
技术领域
本发明涉及物联网安全技术领域,具体涉及一种智能物联终端安全状态基线判别方法及装置。
背景技术
随着物联网的普及度越来越高,其隐含的安全问题也开始日益凸显,由于物联网设备大都部署在无人监控的环境,具有能力脆弱、资源受限等特点,并且物联网是在现有传输网络基础上扩展了感知网络和智能处理平台,传统的网络安全措施不足以提供可靠的安全保障。随着海量智能物联终端的出现,不同的设备不同的平台以及不同的系统版本都给物联终端的安全管理带来了巨大困扰。从设备自身的角度,存在大量不可预知及不确定的漏洞,而终端本身的安全配置由于技术或者管理问题,存在着配置不当和缺失的安全隐患,将智能物联终端置于潜在威胁中。如何有效评估智能物联终端的安全状态,成为一个重要的研究问题。
安全基线是评估智能物联终端的安全状态的一个有效工具,现有方法多以产品正常运行的基准信息作为基线,当该类产品的各设备数据与对应的基线不同时发出告警,基线的完整性校验主要建立在数据的比对上。而随着设备类型的增加,处理数据量的增加,部分数据的变化并不一定会影响物联终端的安全性,现有技术中以设备数据与安全基线之间的数据比对进行安全评估的方法会产生大量无效数据,增加计算量的同时也可能忽略部分隐患,进而影响物联网整体安全,存在计算量大且浪费系统资源的缺陷。
发明内容
因此,本发明要解决的技术问题在于克服现有技术中计算量大且浪费系统资源的缺陷,从而提供一种智能物联终端安全状态基线判别方法及装置。
根据第一方面,本发明实施例公开了一种智能物联终端安全状态基线判别方法,包括:获取待校验终端在正常运行时预设时间段内的信息数据;提取所述信息数据的特征数据,生成特征向量序列;根据预设的哈希函数,计算所述特征向量序列的哈希函数值序列;将所述哈希函数值序列中每一数据分别与标准基线值进行比较,当完全相同时,将待校验终端判别为安全,否则判别为不安全。
可选地,所述信息数据包括:安全漏洞信息、安全配置信息和系统状态信息;所述提取所述信息数据的特征数据,生成特征向量序列,包括:根据所述安全漏洞信息和预设的安全漏洞集,针对每一时刻下所述终端的每一安全漏洞提取安全漏洞特征数据,并建立安全漏洞特征向量序列;根据所述安全配置信息,针对每一时刻下所述终端的每一安全配置信息提取安全配置特征数据,并建立安全配置特征向量序列;根据所述系统状态信息,针对每一时刻下所述终端的每一系统参数提取系统状态特征数据,并建立系统状态特征向量序列;根据所述安全漏洞特征向量序列、所述安全配置特征向量序列和所述系统状态特征向量序列,建立待校验终端的特征向量序列。
可选地,所述根据所述安全漏洞特征向量序列、所述安全配置特征向量序列和所述系统状态特征向量序列,建立待校验终端的特征向量序列,包括:将所述安全漏洞特征向量序列、所述安全配置特征向量序列和所述系统状态特征向量序列进行向量合并,得到待校验终端的欧式空间特征向量序列;将所述欧式空间特征向量序列映射为汉明空间特征向量序列;将所述汉明空间特征向量序列作为待校验终端的特征向量序列。
可选地,所述标准基线值采用如下方式得到:获取待校验终端在标准工作状态下的信息数据,所述信息数据包括安全漏洞信息、安全配置信息和系统状态信息;提取所述信息数据的标准特征数据,生成标准特征向量;根据预设的哈希函数,计算所述标准特征向量的标准哈希函数值;将所述标准哈希函数值作为所述标准基线值。
可选地,所述预设的哈希函数采用如下方式得到:获取待校验终端的历史运行信息数据和预设的哈希函数集;根据所述历史运行信息数据,建立至少两个历史特征向量序列;基于所述历史特征向量序列,计算任意两个历史特征向量序列间的向量距离;遍历所述哈希函数集,分别计算每一哈希函数下任意两个历史特征向量序列的历史哈希函数值;基于所述向量距离,筛选所述历史哈希函数值,将满足条件的哈希函数作为预设的哈希函数。
可选地,所述基于所述向量距离,筛选所述历史哈希函数值,将满足条件的哈希函数作为预设的哈希函数,包括:当所述向量距离小于预设的第一距离阈值时,判断两个历史哈希函数值相等的概率是否大于预设的第一概率阈值;当两个历史哈希函数值相等的概率大于预设的第一概率阈值时,将对应的哈希函数作为第一可用哈希函数;当两个历史哈希函数值相等的概率小于预设的第一概率阈值时,将对应的哈希函数剔除;当所述向量距离大于预设的第二距离阈值时,判断两个历史哈希函数值相等的概率是否小于预设的第二概率阈值;当两个历史哈希函数值相等的概率小于预设的第二概率阈值时,将对应的哈希函数作为第二可用哈希函数;当两个历史哈希函数值相等的概率大于预设的第二概率阈值时,将对应的哈希函数剔除;基于所述第一可用哈希函数和所述第二可用哈希函数,挑选出同时属于第一可用哈希函数和第二可用哈希函数的哈希函数,作为预设的哈希函数。
可选地,所述基于所述第一可用哈希函数和所述第二可用哈希函数,挑选出同时属于第一可用哈希函数和第二可用哈希函数的哈希函数,作为预设的哈希函数,包括:当同时属于第一可用哈希函数和第二可用哈希函数的哈希函数多于1个时,计算任一哈希函数下,两个历史哈希函数值相等的概率与所述第一概率阈值和所述第二概率阈值之间的偏差值之和;选择所述偏差值之和最大的哈希函数,作为预设的哈希函数。
根据第二方面,本发明实施例公开了一种终端安全状态判别装置,包括:数据采集模块,用于获取待校验终端在正常运行时预设时间段内的信息数据;特征提取模块,用于提取所述信息数据的特征数据,生成特征向量序列;哈希计算模块,用于计算所述特征向量序列的哈希函数值序列;安全判别模块,用于将所述哈希函数值序列中每一数据分别与标准基线值进行比较,当完全相同时,将待校验终端判别为安全,否则判别为不安全。
根据第三方面,本发明实施例公开了一种电子设备,包括:至少一个处理器;以及与所述至少一个处理器通信连接的存储器;其中,所述存储器存储有可被所述至少一个处理器执行的指令,所述指令被所述至少一个处理器执行,以使所述至少一个处理器执行如权第一方面及第一方面任一可选实施方式所述的智能物联终端安全状态基线判别方法的步骤。
根据第四方面,本发明实施例公开了一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现如第一方面及第一方面任一可选实施方式所述的智能物联终端安全状态基线判别方法的步骤。
本发明技术方案,具有如下优点:
1.本发明提供的智能物联终端安全状态基线判别方法,通过提取信息数据的特征数据并生成特征向量序列,能够将终端的信息数据进行筛选,提取出有效特征,减少数据维度。通过计算哈希函数值序列并与标准基线值进行比较,利用了哈希函数族的碰撞特性,加快了物联终端工作状态和安全基线的匹配速度,克服了现有技术中计算量大且浪费系统资源的缺陷。
2.本发明实施例公开的智能物联终端安全状态基线判别方法,通过分别提取安全漏洞信息、安全配置信息和系统状态信息的特征数据,生成特征向量序列,综合考虑了终端在工作时可能发生的各种状况,提升了可靠性。通过将欧式空间特征向量序列映射为汉明空间特征向量,将多个维度的特征向量进行了统一,规范了基线的表示方法,便于进行基线对比。通过计算标准工作状态下的哈希函数,并将其作为标准基线值,使得安全状态基线的确定更加客观,增强了判别结果的可靠性。通过筛选不同的哈希函数,利用了哈希函数族的碰撞特性,加快了物联终端工作状态和安全基线的匹配速度,并克服了传统上安全基线在匹配状态时只能一对一映射,而终端状态在只有微小变化无法匹配预设安全基线的问题。把多个接近的系统状态映射到一个安全基线,可增强安全基线完整性校验的鲁棒性。
附图说明
为了更清楚地说明本发明具体实施方式或现有技术中的技术方案,下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施方式,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例中智能物联终端安全状态基线判别方法的一个具体示例的流程图;
图2为本发明实施例中智能物联终端安全状态基线判别方法的另一个具体示例的流程图;
图3为本发明实施例中智能物联终端安全状态基线判别方法的另一个具体示例的流程图;
图4为本发明实施例中智能物联终端安全状态基线判别方法的另一个具体示例的流程图;
图5为本发明实施例中终端安全状态判别装置的一个具体示例的原理框图;
图6为本发明实施例中电子设备的一个具体示例图。
具体实施方式
下面将结合附图对本发明的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
在本发明的描述中,需要说明的是,术语“中心”、“上”、“下”、“左”、“右”、“竖直”、“水平”、“内”、“外”等指示的方位或位置关系为基于附图所示的方位或位置关系,仅是为了便于描述本发明和简化描述,而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作,因此不能理解为对本发明的限制。此外,术语“第一”、“第二”、“第三”仅用于描述目的,而不能理解为指示或暗示相对重要性。
在本发明的描述中,需要说明的是,除非另有明确的规定和限定,术语“安装”、“相连”、“连接”应做广义理解,例如,可以是固定连接,也可以是可拆卸连接,或一体地连接;可以是机械连接,也可以是电连接;可以是直接相连,也可以通过中间媒介间接相连,还可以是两个元件内部的连通,可以是无线连接,也可以是有线连接。对于本领域的普通技术人员而言,可以具体情况理解上述术语在本发明中的具体含义。
此外,下面所描述的本发明不同实施方式中所涉及的技术特征只要彼此之间未构成冲突就可以相互结合。
本发明实施例公开了一种智能物联终端安全状态基线判别方法,如图1所示,包括如下步骤:
步骤S11,获取待校验终端在正常运行时预设时间段内的信息数据。
其中,所述信息数据包括:安全漏洞信息、安全配置信息和系统状态信息。
示例性地,安全配置信息可以包括:强制访问控制功能启停状态、内核能力受限状态、系统调用安全机制(SecurecomputingMode,SecComp)功能启停状态、命名空间隔离状态、资源控制组配置信息、操作权限配置信息、目录挂载状态、网络通信状态、内存资源占用上限值、中央处理器(Central Processing Unit,CPU)资源利用率上限值、网络输入输出(Input/Output,I/O)吞吐率上限值、存储设备I/O率上限值等。特别地,安全配置信息还可根据实际情况选择其他参数,本发明对此不作限定。
示例性地,系统状态信息包括:用户登陆状态、CPU利用率、内存使用率、磁盘使用率、网口状态、关键进程信息、网口流线个信息、违规外联信息、非法进程信息、非法端口信息、网络I/O吞吐率、存储设备I/O率及运行时长等。特别地,系统状态信息还可以根据实际情况选择其他参数,本发明对此不作限定。
具体地,安全漏洞信息可以根据物联终端已披露或历史数据记录获得;安全配置信息可以根据物联终端当前安全相关配置数据提取;系统状态信息可以根据物联终端当前的实际运行状态获得。
步骤S12,获取待校验终端在正常运行时预设时间段内的信息数据。
其中,提取所述信息数据的特征数据时,可以按照不同的数据类型将信息数据提取为布尔型特征数据或者双精度浮点数型特征数据。
步骤S13,根据预设的哈希函数,计算所述特征向量序列的哈希函数值序列。
其中,计算哈希函数值序列的过程,就是针对特征向量序列,按照预设的哈希函数算法变换成固定长度的哈希函数值序列,可以提高存储空间的利用率,进而提高数据对比的效率。
步骤S14,将所述哈希函数值序列中每一数据分别与标准基线值进行比较,当完全相同时,将待校验终端判别为安全,否则判别为不安全。
其中,进行比较的过程,可以针对哈希函数值序列中每一时刻的哈希函数值序列结果与标准基线值进行比较,若每一时刻的哈希函数值序列结果均与标准基线值相等,即可判断该段时间内的物联终端处于安全状态;反之,若存在某一时刻的哈希函数值序列结果与标准基线值不相等,则认为该时刻时,待校验的物联终端基线状态完整性缺失,即可判断该时刻下的物联终端处于不安全状态。
本发明实施例公开的智能物联终端安全状态基线判别方法,通过提取信息数据的特征数据并生成特征向量序列,能够将终端的信息数据进行筛选,提取出有效特征,减少数据维度。通过计算哈希函数值序列并与标准基线值进行比较,利用了哈希函数族的碰撞特性,加快了物联终端工作状态和安全基线的匹配速度,克服了现有技术中计算量大且浪费系统资源的缺陷。
作为本发明的一种可选地实施方式,所述提取所述信息数据的特征数据,生成特征向量序列,如图2所示,包括如下步骤:
步骤S121,根据所述安全漏洞信息和预设的安全漏洞集,针对每一时刻下所述终端的每一安全漏洞提取安全漏洞特征数据,并建立安全漏洞特征向量序列。
具体地,首先根据待校验物联终端已披露或历史数据记录获得该物联终端的安全漏洞信息;随后基于预设的安全漏洞集中的任一漏洞,判断该物联终端是否存在该漏洞,进而建立安全漏洞特征向量序列。
示例性地,安全漏洞特征向量序列L可以通过下式表示:
L=(Li,L2,…,Li,…Ln)
式中,Li为布尔型变量,表示预设的安全漏洞集中的第i个安全漏洞是否存在于待校验终端,当待校验终端中存在第i个安全漏洞时,Li=1,反之,当待校验终端中不存在第i个安全漏洞时,Li=0。
式中,n表示预设的安全漏洞集中安全漏洞的总数。特别地,1<i<n。
步骤S122,根据所述安全配置信息,针对每一时刻下所述终端的每一安全配置信息提取安全配置特征数据,并建立安全配置特征向量序列。
具体地,安全配置信息可以根据物联终端当前安全相关配置数据提取,随后根据提取到的安全相关配置数据和当前安全配置的使用情况,建立安全配置特征向量序列。
示例性地,安全配置特征向量序列C可以通过下式表示:
C=(C11,C12,C21,C22…,Ci1,Ci2,…,Cn1,Cn2)
式中,Ci1为布尔型变量,表示第i个安全配置是否设置,当第i个安全配置已设置时,Ci1=1,反之,当第i个安全配置未设置时,Ci1=0。
式中,Ci2为双精度浮点数型变量,表示第i个安全配置的具体参数值,可根据物联终端当前安全相关配置数据直接提取获得。
式中,n表示物联终端的安全配置总数。特别地,1<i<n。
步骤S123,根据所述系统状态信息,针对每一时刻下所述终端的每一系统参数提取系统状态特征数据,并建立系统状态特征向量序列。
具体地,首先根据物联终端当前的实际运行状态获得该终端的系统状态信息,随后根据预设的顺序建立系统状态特征向量序列。
示例性地,系统状态特征向量序列S可以通过下式表示:
S=(S1,S2,…,Si,…,Sn)
式中,Si表示第i个系统状态信息,n表示物联终端的系统状态总数。特别地,1<i<n。
步骤S124,根据所述安全漏洞特征向量序列、所述安全配置特征向量序列和所述系统状态特征向量序列,建立待校验终端的特征向量序列。
具体地,建立待校验终端的特征向量序列的过程,可以首先将所述安全漏洞特征向量序列、所述安全配置特征向量序列和所述系统状态特征向量序列进行向量合并,得到待校验终端的欧式空间特征向量序列;随后将所述欧式空间特征向量序列映射为汉明空间特征向量序列;最后将所述汉明空间特征向量序列作为待校验终端的特征向量序列。
示例性地,向量合并的过程可以采用现有技术中的向量拼接算法,将不同维度的向量映射为同一维度后进行特征融合,即可得到待校验终端的欧式空间特征向量序列。特别地,向量合并的过程也可以采用现有技术中的其他方式进行,本发明对此不作限定。
其中,将欧式空间特征向量序列映射为汉明空间特征向量序列的过程,可以首先遍历欧式空间特征向量序列,选取其中最大的元素U作为上限,0作为下限;随后将数据嵌入汉明空间Hd’内,其中d’=nU,n为特征向量在欧式空间的维度。
示例性地,对于n维向量Q=(x1,x1,…,xn)在Hd’空间内的汉明空间特征向量序列可以表示为:
H=(F(x1),F(x2),…,F(xn))
式中,F(x)的生成规则为,产生长度为U的二进制汉明码,前x位为1,后U-x位为0。
作为本发明的一种可选地实施方式,如图3所示,所述标准基线值采用如下方式得到:
步骤S21,获取待校验终端在标准工作状态下的信息数据,所述信息数据包括安全漏洞信息、安全配置信息和系统状态信息。
其中,标准工作状态可以选择待校验物联终端的初始工作状态,也可以根据实际情况选择其他工作状态,本发明对此不作限定。
具体地,安全漏洞信息、安全配置信息和系统状态信息的具体内容可以参见本发明方法实施例中步骤S11的相关描述,此处不再赘述。
特别地,在获取标准工作状态下的信息数据时,仅获取单一时刻的信息数据。
步骤S22,提取所述信息数据的标准特征数据,生成标准特征向量。
具体地,生成标准特征向量过程的具体内容,可以参见本发明方法实施例中步骤12的相关描述,此处不再赘述。
特别地,根据标准工作状态下单一时刻的信息数据,可以生成标准工作状态下单一时刻的特征向量。
步骤S23,根据预设的哈希函数,计算所述标准特征向量的标准哈希函数值。
具体地,计算标准哈希函数值过程的具体内容,可以参见本发明方法实施例中步骤S13的相关描述,此处不再赘述。
特别地,根据标准工作状态下单一时刻的特征向量,可以生成标准工作状态下单一时刻的哈希函数值。
步骤S24,将所述标准哈希函数值作为所述标准基线值。
具体地,将此时的哈希函数值作为标准基线值,可以认为待校验物联终端在任一时刻下的哈希函数值等于标准基线值时,该终端在该时刻处于标准工作状态,即为安全状态。
作为本发明的一种可选地实施方式,如图4所示,所述预设的哈希函数采用如下方式得到:
步骤S131,获取待校验终端的历史运行信息数据和预设的哈希函数集;
其中,历史运行信息数据包括历史安全漏洞信息、历史安全配置信息和历史系统状态信息,可以通过待校验终端的历史运行记录获得。预设的哈希函数集内包括多个哈希函数。
步骤S132,获取待校验终端的历史运行信息数据和预设的哈希函数集;
具体地,根据所述历史运行信息数据,建立至少两个历史特征向量序列的过程,可以参见本发明方法实施例中步骤S12的相关描述,此处不再赘述。
步骤S133,基于所述历史特征向量序列,计算任意两个历史特征向量序列间的向量距离;
具体地,计算两个历史特征向量序列间的向量距离,可以通过计算汉明距离实现,汉明距离可以表示两个字符串对应位置的不同字符的数量,可以通过对两个向量作异或运算后,将异或结果为1的数量作为两个向量间的汉明距离。
特别地,计算汉明距离的过程也可使用现有技术中的其他方式实现,本发明对此不作限定。特别地,计算向量距离的过程也可通过计算两个向量间除汉明距离以外的其他距离实现,本发明对此不作限定。
步骤S134,遍历所述哈希函数集,分别计算每一哈希函数下任意两个历史特征向量序列的历史哈希函数值;
具体地,针对任意两个历史特征向量序列Hi和Hj,分别计算出每一哈希函数下的历史哈希函数值Hash(Hi)和Hash(Hj)。
步骤S135,基于所述向量距离,筛选所述历史哈希函数值,将满足条件的哈希函数作为预设的哈希函数。
具体地,基于所述向量距离,筛选所述历史哈希函数值,将满足条件的哈希函数作为预设的哈希函数的过程,可以首先当所述向量距离小于预设的第一距离阈值时,判断两个历史哈希函数值相等的概率是否大于预设的第一概率阈值;随后当两个历史哈希函数值相等的概率大于预设的第一概率阈值时,将对应的哈希函数作为第一可用哈希函数;接着当两个历史哈希函数值相等的概率小于预设的第一概率阈值时,将对应的哈希函数剔除;再当所述向量距离大于预设的第二距离阈值时,判断两个历史哈希函数值相等的概率是否小于预设的第二概率阈值;然后当两个历史哈希函数值相等的概率小于预设的第二概率阈值时,将对应的哈希函数作为第二可用哈希函数;随后当两个历史哈希函数值相等的概率大于预设的第二概率阈值时,将对应的哈希函数剔除;最后基于所述第一可用哈希函数和所述第二可用哈希函数,挑选出同时属于第一可用哈希函数和第二可用哈希函数的哈希函数,作为预设的哈希函数。
示例性地,筛选所述历史哈希函数值的过程,可以通过如下方式表示:当两个历史特征向量序列Hi和Hj之间的汉明距离d(Hi,Hj)小于第一距离阈值d1时,满足Hash(Hi)=Hash(Hj)的概率大于第一概率阈值p1;当两个历史特征向量序列Hi和Hj之间的汉明距离d(Hi,Hj)大于第二距离阈值d2时,满足Hash(Hi)=Hash(Hj)的概率小于第二概率阈值p2。
进一步地,d(Hi,Hj)<d1代表Hi和Hj之间的偏差较小,可以认为是终端运行时的微小波动,此时限定Hash(Hi)=Hash(Hj)的概率大于第一概率阈值p1即可让偏差较小的特征向量序列大概率输出相同的哈希函数值,忽略由于运行时的微小波动导致的误判。而d(Hi,Hj)>d2代表Hi和Hj之间的偏差较大,可以认为是终端运行过程出现了问题,此时限定Hash(Hi)=Hash(Hj)的概率小于第二概率阈值p2,即可让偏差较大的特征向量序列大概率输出不同的哈希函数值,提升系统出现问题时的辨识度,便于发现问题。
其中,第一距离阈值d1、第二距离阈值d2、第一概率阈值p1和第二概率阈值p2均可根据实际待校验终端的状态取值,本发明对此不作限定。
特别地,当同时属于第一可用哈希函数和第二可用哈希函数的哈希函数多于1个时,计算任一哈希函数下,两个历史哈希函数值相等的概率与所述第一概率阈值和所述第二概率阈值之间的偏差值之和;选择所述偏差值之和最大的哈希函数,作为预设的哈希函数。
进一步地,选择偏差值之和最大的哈希函数,即可使得偏差较小的特征向量序列输出相同的哈希函数值的概率越大,且偏差较大的特征向量序列输出不同的哈希函数值的概率越大,尽可能地忽略系统波动,提升系统出现问题时的辨识度。
本发明实施例公开的智能物联终端安全状态基线判别方法,通过分别提取安全漏洞信息、安全配置信息和系统状态信息的特征数据,生成特征向量序列,综合考虑了终端在工作时可能发生的各种状况,提升了可靠性。通过将欧式空间特征向量序列映射为汉明空间特征向量,将多个维度的特征向量进行了统一,规范了基线的表示方法,便于进行基线对比。通过计算标准工作状态下的哈希函数,并将其作为标准基线值,使得安全状态基线的确定更加客观,增强了判别结果的可靠性。通过筛选不同的哈希函数,利用了哈希函数族的碰撞特性,加快了物联终端工作状态和安全基线的匹配速度,并克服了传统上安全基线在匹配状态时只能一对一映射,而终端状态在只有微小变化无法匹配预设安全基线的问题。把多个接近的系统状态映射到一个安全基线,可增强安全基线完整性校验的鲁棒性。
本发明实施例还公开了一种智能物联终端安全状态基线判别装置,如图5所示,包括:
数据采集模块101,用于获取待校验终端在正常运行时预设时间段内的信息数据;具体内容参见本发明方法实施例中步骤S1的相关描述,此处不再赘述。
特征提取模块102,用于提取所述信息数据的特征数据,生成特征向量序列;具体内容参见本发明方法实施例中步骤S2的相关描述,此处不再赘述。
哈希计算模块103,用于计算所述特征向量序列的哈希函数值序列;具体内容参见本发明方法实施例中步骤S3的相关描述,此处不再赘述。
安全判别模块104,用于将所述哈希函数值序列中每一数据分别与标准基线值进行比较,当完全相同时,将待校验终端判别为安全,否则判别为不安全;具体内容参见本发明方法实施例中步骤S4的相关描述,此处不再赘述。
本发明实施例公开的智能物联终端安全状态基线判别装置,通过提取信息数据的特征数据并生成特征向量序列,能够将终端的信息数据进行筛选,提取出有效特征,减少数据维度。通过计算哈希函数值序列并与标准基线值进行比较,利用了哈希函数族的碰撞特性,加快了物联终端工作状态和安全基线的匹配速度,克服了现有技术中计算量大且浪费系统资源的缺陷。
本发明实施例还提供了一种电子设备,如图6所示,该电子设备可以包括处理器201和存储器202,其中处理器201和存储器202可以通过总线或者其他方式连接,图6中以通过总线连接为例。
处理器201可以为中央处理器(Central Processing Unit,CPU)。处理器201还可以为其他通用处理器、数字信号处理器(Digital Signal Processor,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现场可编程门阵列(Field-Programmable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等芯片,或者上述各类芯片的组合。
存储器202作为一种非暂态计算机可读存储介质,可用于存储非暂态软件程序、非暂态计算机可执行程序以及模块,如本发明实施例中的智能物联终端安全状态基线判别方法对应的程序指令/模块。处理器201通过运行存储在存储器202中的非暂态软件程序、指令以及模块,从而执行处理器的各种功能应用以及数据处理,即实现上述方法实施例中的智能物联终端安全状态基线判别方法。
存储器202可以包括存储程序区和存储数据区,其中,存储程序区可存储操作系统、至少一个功能所需要的应用程序;存储数据区可存储处理器201所创建的数据等。此外,存储器202可以包括高速随机存取存储器,还可以包括非暂态存储器,例如至少一个磁盘存储器件、闪存器件、或其他非暂态固态存储器件。在一些实施例中,存储器202可选包括相对于处理器201远程设置的存储器,这些远程存储器可以通过网络连接至处理器201。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
一个或者多个模块存储在存储器202中,当被处理器201执行时,执行如图1所示实施例中的智能物联终端安全状态基线判别方法。
虽然关于示例实施例及其优点已经详细说明,但是本领域技术人员可以在不脱离本发明的精神和所附权利要求限定的保护范围的情况下对这些实施例进行各种变化、替换和修改,这样的修改和变型均落入由所附权利要求所限定的范围之内。对于其他例子,本领域的普通技术人员应当容易理解在保持本发明保护范围内的同时,工艺步骤的次序可以变化。
此外,本发明的应用范围不局限于说明书中描述的特定实施例的工艺、机构、制造、物质组成、手段、方法及步骤。从本发明的公开内容,作为本领域的普通技术人员将容易地理解,对于目前已存在或者以后即将开发出的工艺、机构、制造、物质组成、手段、方法或步骤,其中它们执行与本发明描述的对应实施例大体相同的功能或者获得大体相同的结果,依照本发明可以对它们进行应用。因此,本发明所附权利要求旨在将这些工艺、机构、制造、物质组成、手段、方法或步骤包含在其保护范围内。
Claims (8)
1.一种智能物联终端安全状态基线判别方法,其特征在于,包括:
获取待校验终端在正常运行时预设时间段内的信息数据;
提取所述信息数据的特征数据,生成特征向量序列;
根据预设的哈希函数,计算所述特征向量序列的哈希函数值序列;
将所述哈希函数值序列中每一数据分别与标准基线值进行比较,当完全相同时,将待校验终端判别为安全,否则判别为不安全;
所述信息数据包括:安全漏洞信息、安全配置信息和系统状态信息;
所述提取所述信息数据的特征数据,生成特征向量序列,包括:
根据所述安全漏洞信息和预设的安全漏洞集,针对每一时刻下所述终端的每一安全漏洞提取安全漏洞特征数据,并建立安全漏洞特征向量序列;
根据所述安全配置信息,针对每一时刻下所述终端的每一安全配置信息提取安全配置特征数据,并建立安全配置特征向量序列;
根据所述系统状态信息,针对每一时刻下所述终端的每一系统参数提取系统状态特征数据,并建立系统状态特征向量序列;
根据所述安全漏洞特征向量序列、所述安全配置特征向量序列和所述系统状态特征向量序列,建立待校验终端的特征向量序列;
所述根据所述安全漏洞特征向量序列、所述安全配置特征向量序列和所述系统状态特征向量序列,建立待校验终端的特征向量序列,包括:
将所述安全漏洞特征向量序列、所述安全配置特征向量序列和所述系统状态特征向量序列进行向量合并,得到待校验终端的欧式空间特征向量序列;
将所述欧式空间特征向量序列映射为汉明空间特征向量序列;
将所述汉明空间特征向量序列作为待校验终端的特征向量序列。
2.根据权利要求1所述的智能物联终端安全状态基线判别方法,其特征在于,所述标准基线值采用如下方式得到:
获取待校验终端在标准工作状态下的信息数据,所述信息数据包括安全漏洞信息、安全配置信息和系统状态信息;
提取所述信息数据的标准特征数据,生成标准特征向量;
根据预设的哈希函数,计算所述标准特征向量的标准哈希函数值;
将所述标准哈希函数值作为所述标准基线值。
3.根据权利要求1所述的智能物联终端安全状态基线判别方法,其特征在于,所述预设的哈希函数采用如下方式得到:
获取待校验终端的历史运行信息数据和预设的哈希函数集;
根据所述历史运行信息数据,建立至少两个历史特征向量序列;
基于所述历史特征向量序列,计算任意两个历史特征向量序列间的向量距离;
遍历所述哈希函数集,分别计算每一哈希函数下任意两个历史特征向量序列的历史哈希函数值;
基于所述向量距离,筛选所述历史哈希函数值,将满足条件的哈希函数作为预设的哈希函数。
4.根据权利要求3所述的智能物联终端安全状态基线判别方法,其特征在于,所述基于所述向量距离,筛选所述历史哈希函数值,将满足条件的哈希函数作为预设的哈希函数,包括:
当所述向量距离小于预设的第一距离阈值时,判断两个历史哈希函数值相等的概率是否大于预设的第一概率阈值;
当两个历史哈希函数值相等的概率大于预设的第一概率阈值时,将对应的哈希函数作为第一可用哈希函数;
当两个历史哈希函数值相等的概率小于预设的第一概率阈值时,将对应的哈希函数剔除;
当所述向量距离大于预设的第二距离阈值时,判断两个历史哈希函数值相等的概率是否小于预设的第二概率阈值;
当两个历史哈希函数值相等的概率小于预设的第二概率阈值时,将对应的哈希函数作为第二可用哈希函数;
当两个历史哈希函数值相等的概率大于预设的第二概率阈值时,将对应的哈希函数剔除;
基于所述第一可用哈希函数和所述第二可用哈希函数,挑选出同时属于第一可用哈希函数和第二可用哈希函数的哈希函数,作为预设的哈希函数。
5.根据权利要求4所述的智能物联终端安全状态基线判别方法,其特征在于,所述基于所述第一可用哈希函数和所述第二可用哈希函数,挑选出同时属于第一可用哈希函数和第二可用哈希函数的哈希函数,作为预设的哈希函数,包括:
当同时属于第一可用哈希函数和第二可用哈希函数的哈希函数多于1个时,计算任一哈希函数下,两个历史哈希函数值相等的概率与所述第一概率阈值和所述第二概率阈值之间的偏差值之和;
选择所述偏差值之和最大的哈希函数,作为预设的哈希函数。
6.一种智能物联终端安全状态基线判别装置,其特征在于,包括:
数据采集模块,用于获取待校验终端在正常运行时预设时间段内的信息数据;
特征提取模块,用于提取所述信息数据的特征数据,生成特征向量序列;
哈希计算模块,用于计算所述特征向量序列的哈希函数值序列;
安全判别模块,用于将所述哈希函数值序列中每一数据分别与标准基线值进行比较,当完全相同时,将待校验终端判别为安全,否则判别为不安全;
所述信息数据包括:安全漏洞信息、安全配置信息和系统状态信息;
所述提取所述信息数据的特征数据,生成特征向量序列,包括:
根据所述安全漏洞信息和预设的安全漏洞集,针对每一时刻下所述终端的每一安全漏洞提取安全漏洞特征数据,并建立安全漏洞特征向量序列;
根据所述安全配置信息,针对每一时刻下所述终端的每一安全配置信息提取安全配置特征数据,并建立安全配置特征向量序列;
根据所述系统状态信息,针对每一时刻下所述终端的每一系统参数提取系统状态特征数据,并建立系统状态特征向量序列;
根据所述安全漏洞特征向量序列、所述安全配置特征向量序列和所述系统状态特征向量序列,建立待校验终端的特征向量序列;
所述根据所述安全漏洞特征向量序列、所述安全配置特征向量序列和所述系统状态特征向量序列,建立待校验终端的特征向量序列,包括:
将所述安全漏洞特征向量序列、所述安全配置特征向量序列和所述系统状态特征向量序列进行向量合并,得到待校验终端的欧式空间特征向量序列;
将所述欧式空间特征向量序列映射为汉明空间特征向量序列;
将所述汉明空间特征向量序列作为待校验终端的特征向量序列。
7.一种电子设备,其特征在于,包括:至少一个处理器;以及与所述至少一个处理器通信连接的存储器;其中,所述存储器存储有可被所述至少一个处理器执行的指令,所述指令被所述至少一个处理器执行,以使所述至少一个处理器执行如权利要求1-5任一所述的智能物联终端安全状态基线判别方法的步骤。
8.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1-5中任一项所述的智能物联终端安全状态基线判别方法的步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210286654.XA CN114598544B (zh) | 2022-03-22 | 2022-03-22 | 一种智能物联终端安全状态基线判别方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210286654.XA CN114598544B (zh) | 2022-03-22 | 2022-03-22 | 一种智能物联终端安全状态基线判别方法及装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN114598544A CN114598544A (zh) | 2022-06-07 |
CN114598544B true CN114598544B (zh) | 2023-07-11 |
Family
ID=81810952
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202210286654.XA Active CN114598544B (zh) | 2022-03-22 | 2022-03-22 | 一种智能物联终端安全状态基线判别方法及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN114598544B (zh) |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103914658A (zh) * | 2013-01-05 | 2014-07-09 | 展讯通信(上海)有限公司 | 终端设备的安全启动方法及终端设备 |
CN105279075A (zh) * | 2014-06-10 | 2016-01-27 | 江苏博智软件科技有限公司 | 一种基于序列模式软件安全漏洞的检测方法 |
CN112231508A (zh) * | 2020-10-15 | 2021-01-15 | 中山大学 | 一种基于内容的加密jpeg图像检索方法 |
CN112463564A (zh) * | 2020-11-30 | 2021-03-09 | 中国工商银行股份有限公司 | 确定影响主机状态的关联指标的方法及装置 |
CN112785092A (zh) * | 2021-03-09 | 2021-05-11 | 中铁电气化局集团有限公司 | 一种基于自适应深层特征提取的道岔剩余寿命预测方法 |
Family Cites Families (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
GB2519825B (en) * | 2013-10-29 | 2021-06-30 | Cryptomathic Ltd | Secure mobile user interface |
US10181948B1 (en) * | 2018-01-25 | 2019-01-15 | Fortress Cyber Security, LLC | Secure storage of hashes within a distributed ledger |
-
2022
- 2022-03-22 CN CN202210286654.XA patent/CN114598544B/zh active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103914658A (zh) * | 2013-01-05 | 2014-07-09 | 展讯通信(上海)有限公司 | 终端设备的安全启动方法及终端设备 |
CN105279075A (zh) * | 2014-06-10 | 2016-01-27 | 江苏博智软件科技有限公司 | 一种基于序列模式软件安全漏洞的检测方法 |
CN112231508A (zh) * | 2020-10-15 | 2021-01-15 | 中山大学 | 一种基于内容的加密jpeg图像检索方法 |
CN112463564A (zh) * | 2020-11-30 | 2021-03-09 | 中国工商银行股份有限公司 | 确定影响主机状态的关联指标的方法及装置 |
CN112785092A (zh) * | 2021-03-09 | 2021-05-11 | 中铁电气化局集团有限公司 | 一种基于自适应深层特征提取的道岔剩余寿命预测方法 |
Non-Patent Citations (2)
Title |
---|
《基于广义滑模观测器的风能转换系统容错控制》;王旭;《工程科技Ⅱ辑》(第2019年第12期);全文 * |
《面向云计算的虚拟化环境可信防护关键技术研究》;周怀哲;《信息科技》(第2022年第01期);全文 * |
Also Published As
Publication number | Publication date |
---|---|
CN114598544A (zh) | 2022-06-07 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
EP3553712B1 (en) | Information processing device, information processing method, and program | |
CN110177108B (zh) | 一种异常行为检测方法、装置及验证系统 | |
WO2020155752A1 (zh) | 异常点检测模型验证方法、装置、计算机设备及存储介质 | |
US10430586B1 (en) | Methods of identifying heap spray attacks using memory anomaly detection | |
EP2979424B1 (en) | Method and apparatus for detecting a multi-stage event | |
CN110166462B (zh) | 访问控制方法、系统、电子设备及计算机存储介质 | |
US20160055335A1 (en) | Method and apparatus for detecting a multi-stage event | |
CN101236584B (zh) | 检测入侵代码的设备及其方法 | |
CN113722748B (zh) | 一种基于区块链和通用工业标识的设备信息获取方法 | |
CN112749097B (zh) | 一种模糊测试工具性能测评方法、装置 | |
CN109145651B (zh) | 一种数据处理方法及装置 | |
TWI781354B (zh) | 測試資料產生系統及測試資料產生方法 | |
CN114598544B (zh) | 一种智能物联终端安全状态基线判别方法及装置 | |
CN113378161A (zh) | 一种安全检测方法、装置、设备及存储介质 | |
CN112085589B (zh) | 规则模型的安全性的确定方法、装置和服务器 | |
CN106411816B (zh) | 一种工业控制系统、安全互联系统及其处理方法 | |
CN110532758B (zh) | 一种针对群组的风险识别方法及装置 | |
CN112910920A (zh) | 恶意通信检测方法、系统、存储介质和电子设备 | |
CN113032774A (zh) | 异常检测模型的训练方法、装置、设备及计算机存储介质 | |
CN112949743B (zh) | 一种网络运维操作的可信判断方法、系统和电子设备 | |
EP3462344A1 (en) | System and method of automated design of hardware and software systems and complexes | |
CN113055396B (zh) | 一种跨终端溯源分析的方法、装置、系统和存储介质 | |
CN112688944B (zh) | 局域网安全状态检测方法、装置、设备及存储介质 | |
CN117592091B (zh) | 一种计算机信息防窃取方法及系统 | |
CN113595797B (zh) | 告警信息的处理方法、装置、电子设备及存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |