CN117478430B - 一种物联网卡安全管理方法及系统 - Google Patents

一种物联网卡安全管理方法及系统 Download PDF

Info

Publication number
CN117478430B
CN117478430B CN202311811904.8A CN202311811904A CN117478430B CN 117478430 B CN117478430 B CN 117478430B CN 202311811904 A CN202311811904 A CN 202311811904A CN 117478430 B CN117478430 B CN 117478430B
Authority
CN
China
Prior art keywords
feature
user
feature set
server
private key
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202311811904.8A
Other languages
English (en)
Other versions
CN117478430A (zh
Inventor
刘超
肖智卿
许多
周柏魁
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Guangdong Yunbai Technology Co ltd
Original Assignee
Guangdong Yunbai Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Guangdong Yunbai Technology Co ltd filed Critical Guangdong Yunbai Technology Co ltd
Priority to CN202311811904.8A priority Critical patent/CN117478430B/zh
Publication of CN117478430A publication Critical patent/CN117478430A/zh
Application granted granted Critical
Publication of CN117478430B publication Critical patent/CN117478430B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/21Design or setup of recognition systems or techniques; Extraction of features in feature space; Blind source separation
    • G06F18/214Generating training patterns; Bootstrap methods, e.g. bagging or boosting
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/24Classification techniques
    • G06F18/243Classification techniques relating to the number of classes
    • G06F18/24323Tree-organised classifiers
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/552Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/30Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
    • H04L9/3066Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy involving algebraic varieties, e.g. elliptic or hyper-elliptic curves
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/40Network security protocols

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computing Systems (AREA)
  • Data Mining & Analysis (AREA)
  • Software Systems (AREA)
  • Artificial Intelligence (AREA)
  • Evolutionary Biology (AREA)
  • Evolutionary Computation (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Bioinformatics & Computational Biology (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Bioinformatics & Cheminformatics (AREA)
  • Algebra (AREA)
  • Mathematical Analysis (AREA)
  • Mathematical Optimization (AREA)
  • Pure & Applied Mathematics (AREA)
  • Mathematical Physics (AREA)
  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明属于物联网卡领域,具体是公开了一种物联网卡安全管理方法及系统,方法包括:用户注册、用户身份验证和流量监测及预警。本方案采用超椭圆曲线密码学,服务器对用户进行身份验证,保证用户身份安全,将chi‑square特征选择方法、皮尔逊矩相关系数和F‑score相结合,用特征熵估计验证提取的特征之间的相关性,提高特征选择的准确性和有效性,采用XGBoost模型对数据集进行集成学习,实现对网络中异常流量和恶意攻击的监测,提高监测的准确率,有效解决网络非法入侵和安全攻击问题。

Description

一种物联网卡安全管理方法及系统
技术领域
本发明涉及物联网卡领域,具体是指一种物联网卡安全管理方法及系统。
背景技术
5G发展已初具规模,物联网扮演着愈发重要的角色,物联网卡应用市场逐渐扩大,但由于物联网卡面向企业,不面向个人用户,所以实名认证的物联网卡的安全性一直是关注焦点。传统的物联网卡管理方案中存在对身份验证较弱,容易被流入市场,导致未经授权的访问和滥用,无法确保物联网卡合规性的问题;同时还存在流量监测及预警技术不成熟,被人破解后变成无限上网卡的问题。
发明内容
针对上述情况,为克服现有技术的缺陷,本发明提供了一种物联网卡安全管理方法及系统,针对传统技术中存在的对身份验证较弱,容易被流入市场,导致未经授权的访问和滥用,无法确保物联网卡合规性的问题,本发明采取超椭圆曲线密码学,在计算成本和通信开销方面超越了现有的身份验证方案,提供了更好的安全性,可以抵御重放攻击、冒充攻击或节点捕获攻击等攻击,提高了对用户的服务效率和质量;针对传统技术中存在流量监测及预警技术不成熟,被人破解后变成无限上网卡的问题,本发明使用XGBoost模型实现对网络中异常流量和恶意攻击的监测,提高监测的准确率,能够有效地解决网络非法入侵和安全攻击问题。
本发明采取的技术方案如下:本发明提供了一种物联网卡安全管理方法及系统,所述一种物联网卡安全管理系统包括用户注册模块、用户身份验证模块、流量监测及预警模块和服务器;
所述用户注册模块设有私钥生成器PKG,私钥生成器PKG本身拥有PKG公钥和PKG私钥,同时可以生成具有物联网卡编号标识的用户公钥和用户私钥,为服务器生成具有服务器标识的服务器公钥和服务器私钥;服务器中保存服务器公钥和服务器私钥;
所述用户身份验证模块和服务器通讯连接,用户发出身份验证请求,服务器进行身份验证;
所述流量监测及预警模块,对用户流量数据进行分析,提取数据集,采用XGBoost算法,利用XGBoost模型对用户流量数据进行监测,识别恶意攻击类型,当识别到异常流量或恶意攻击时发送预警信息。
本发明还提供了一种物联网卡安全管理方法,包括以下步骤:
步骤S1:用户注册;
步骤S2:用户身份验证;
步骤S3:流量监测及预警。
进一步地,在步骤S1中,用户注册,具体包括以下步骤:
步骤S11:私钥生成器PKG随机生成密钥长度为80、亏格为2、有限域为大于等 于的超椭圆曲线,计算PKG公钥,所用公式如下:
式中,是超椭圆曲线的模数,分别是PKG私钥和PKG公钥,是私钥生成器PKG 内部加密算法;
步骤S12:私钥生成器PKG生成服务器公钥和服务器私钥,所用公式如下:
式中,是私钥生成器PKG生成的服务器私钥,是私钥生成器PKG生成的服务 器公钥,是单向哈希函数,是服务器标识;
步骤S13:私钥生成器PKG将发送给服务器;
步骤S14:私钥生成器PKG生成用户公钥和用户私钥,所用公式如下:
式中,是私钥生成器PKG生成的用户私钥,是私钥生成器PKG生成的用户公 钥,是物联网卡编号标识;
步骤S15:私钥生成器PKG将发送给用户;
进一步地,在步骤S2中,用户身份验证,具体包括以下步骤:
步骤S21:用户向服务器发送登录请求,并生成会话密钥,所用公式如下:
式中,是超椭圆曲线有限域中的一个随机数,是用户生成的会话密钥;
生成签名,所用公式如下:
式中,是用户生成的签名,是单向哈希函数;
对超椭圆曲线的模数进行加密,所用公式如下:
式中,是超椭圆曲线加密后的结果;
步骤S22:将发送给服务器;
步骤S23:服务器接收到后,进行验证,所用公式如下:
式中,是服务器生成的会话密钥,是服务器对用户生成的签名进行验证的结 果;
相等时,验证通过,用户端与服务器建立会话密钥为的会话,否 则,用户需重新进行验证。
进一步地,在步骤S3中,流量监测及预警,具体包括以下步骤:
步骤S31:采集流量安全检测公开数据集,所述流量安全检测公开数据集包括特征集和对应标签,特征集包括源IP地址、目的IP地址、源端口号、目的端口号、协议、流量大小、流量速率、包大小和包数量,标签为恶意攻击类型,将特征集按流量大小划分为特征子集,将流量安全检测公开数据集按照3:1的比例划分为训练集和测试集;
步骤S32:使用chi-square特征选择算法,分析训练集的特征集,计算特征对标签的依赖级别,所用公式如下:
式中,是特征对标签的依赖级别,是第i个预测标签,是第i个期望标 签,是第i个特征;
去除高于36的特征,生成新的特征集m1;
使用皮尔逊矩相关系数,分析训练集的特征集,研究特征之间的关系,识别不同特征之间的相关性,所用公式如下:
式中,是不同特征间的皮尔逊相关系数,是特征,分别是的平均值,是遍历特征中特征值的累计和;
去除皮尔逊相关系数绝对值属于[0,0.2]的特征,生成新的特征集m2;
使用F-score相关特征选择方法,分析训练集的特征集,确定特征集的F-score分值,所用公式如下:
式中,是特征集的F-score分值,是特征子集的个数,从1遍历至的 累计和,是特征集中第个特征的平均值,是第个特征子集的第个特征,是第个 特征子集的第个特征的平均值,是第个特征子集的样本数量,进行乘法运算,从1遍历至的累计和,是第个特征子集 的第个特征的第个特征值;
去除F-score分值属于[0,0.3]的特征,生成新的特征集m3;
步骤S33:使用特征熵估计方法,分别计算特征集m1、特征集m2和特征集m3的熵估计值,评估特征集m1、特征集m2和特征集m3的随机性,所用公式如下:
式中,是熵估计值,是训练集的特征集的熵,是固定常数3,从1 遍历至的累计和,是特征集m1、特征集m2和特征集m3的第个特征集,是训练集的特 征集,是特征集m1、特征集m2和特征集m3的权重,是特征集m1、特征集m2和特征集m3 的熵;
从特征集m1、特征集m2和特征集m3中选择熵估计值最高的特征集,作为训练集的特征集;
步骤S34:采用XGBoost算法,建立并初始化XGBoost模型,将训练集输入到XGBoost模型中,训练XGBoost模型识别恶意攻击类型,训练时,计算预测标签,其公式如下:
式中,是弱学习函数,是预测标签,是第次训练时的预测标签, 是第次训练时的预测标签,是弱学习器的数量,是迭代次数,是第个特征;
将测试集输入到XGBoost模型中,计算训练损失值,所用公式如下:
式中,是训练损失值,从1遍历至的累计和,是标签的个数,是观察标签和预测标签之间的经验损失,是观察标签,是从1遍历至 的累计和,是提升学习器的损失;
当训练损失值等于或小于0.2时,训练结束,否则,重复步骤S32,继续进行训练;
步骤S35:捕获用户实时传入的流量数据,对流量数据进行预处理,用z-score方法将流量数据转换为标准正态分布,所用公式如下:
式中,是进行z-score归一化后的流量数据,是第个特征,是第个 特征的平均值,是第个特征的标准差;
将归一化后的流量数据输入到训练好的XGBoost模型中,XGBoost模型输出恶意攻击类型,当识别到异常流量和恶意攻击时,发送预警信息。
采用上述方案本发明取得的有益效果如下:
(1)针对传统技术中存在的对身份验证较弱,容易被流入市场,导致未经授权的访问和滥用,无法确保物联网卡合规性的问题,本发明采取超椭圆曲线密码学,在计算成本和通信开销方面超越了现有的身份验证方案,提供了更好的安全性,可以抵御重放攻击、冒充攻击或节点捕获攻击等攻击,提高了对用户的服务效率和质量。
(2)针对传统技术中存在流量监测及预警技术不成熟,被人破解后变成无限上网卡的问题,本发明使用XGBoost模型实现对网络中异常流量和恶意攻击的监测,提高监测的准确率,能够有效地解决网络非法入侵和安全攻击问题。
(3)本发明使用一种新的特征提取选择技术,将chi-square特征选择方法、皮尔逊矩相关系数和F-score相结合,用特征熵估计验证提取的特征之间的相关性,提高了特征选择的准确性和有效性,更全面地挖掘相关特征,减少了训练时间,使系统执行速度更快,入侵预警也更及时。
(4)本发明使用超椭圆曲线密码,利用椭圆曲线离散对数问题的困难性来保证密钥的安全性,密钥长度为80,生成密钥速度较快,加解密速度也快,对存储空间要求小,降低了存储和传输成本。
(5)本发明使用集成学习中的XGBoost算法,将多个弱学习器组合起来,通过迭代训练弱学习器,不断添加新的弱学习器来增加模型的复杂性,使模型能更好地适应数据的变化,不断改进模型的预测能力,提高了识别异常流量和恶意攻击的准确性。
附图说明
图1为本发明提供的一种物联网卡安全管理系统的模块图;
图2为本发明提供的一种物联网卡安全管理方法的流程示意图;
图3为步骤S3的流程示意图。
附图用来提供对本发明的进一步理解,并且构成说明书的一部分,与本发明的实施例一起用于解释本发明,并不构成对本发明的限制。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例;基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
在本发明的描述中,需要理解的是,术语“上”、“下”、“前”、“后”、“左”、“右”、“顶”、“底”、“内”、“外”等指示方位或位置关系为基于附图所示的方位或位置关系,仅是为了便于描述本发明和简化描述,而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作,因此不能理解为对本发明的限制。
实施例一:参阅图1,本实施例提供的一种物联网卡安全管理系统,所述一种物联网卡安全管理系统包括用户注册模块、用户身份验证模块、流量监测及预警模块和服务器;
所述用户注册模块设有私钥生成器PKG,私钥生成器PKG本身拥有PKG公钥和PKG私钥,同时可以生成具有物联网卡编号标识的用户公钥和用户私钥,为服务器生成具有服务器标识的服务器公钥和服务器私钥;服务器中保存服务器公钥和服务器私钥;
所述用户身份验证模块和服务器通讯连接,用户发出身份验证请求,服务器进行身份验证;
所述流量监测及预警模块,对用户流量数据进行分析,提取数据集,采用XGBoost算法,利用XGBoost模型对用户流量数据进行监测,识别恶意攻击类型,当识别到异常流量或恶意攻击时发送预警信息。
实施例二:参阅图2,本实施例提供了一种物联网卡安全管理方法,包括以下步骤:
步骤S1:用户注册;
步骤S2:用户身份验证;
步骤S3:流量监测及预警。
参阅图2,在步骤S1中,用户注册,具体包括以下步骤:
步骤S11:私钥生成器PKG随机生成密钥长度为80、亏格为2、有限域为大于等 于的超椭圆曲线,计算PKG公钥,所用公式如下:
式中,是超椭圆曲线的模数,分别是PKG私钥和PKG公钥,是私钥生成器PKG 内部加密算法;
步骤S12:私钥生成器PKG生成服务器公钥和服务器私钥,所用公式如下:
式中,是私钥生成器PKG生成的服务器私钥,是私钥生成器PKG生成的服务 器公钥,是单向哈希函数,是服务器标识;
步骤S13:私钥生成器PKG将发送给服务器;
步骤S14:私钥生成器PKG生成用户公钥和用户私钥,所用公式如下:
式中,是私钥生成器PKG生成的用户私钥,是私钥生成器PKG生成的用户公 钥,是物联网卡编号标识;
步骤S15:私钥生成器PKG将发送给用户;
实施例三,参阅图2,该实施例基于上述实施例,在步骤S2中,用户身份验证,具体包括以下步骤:
步骤S21:用户向服务器发送登录请求,并生成会话密钥,所用公式如下:
式中,是超椭圆曲线有限域中的一个随机数,是用户生成的会话密钥;
生成签名,所用公式如下:
式中,是用户生成的签名,是单向哈希函数;
对超椭圆曲线的模数进行加密,所用公式如下:
式中,是超椭圆曲线加密后的结果;
步骤S22:将发送给服务器;
步骤S23:服务器接收到后,进行验证,所用公式如下:
式中,是服务器生成的会话密钥,是服务器对用户生成的签名进行验证的结 果;
相等时,验证通过,用户端与服务器建立会话密钥为的会话,否 则,用户需重新进行验证。
通过执行上述操作,针对传统技术中存在的对身份验证较弱,容易被流入市场,导致未经授权的访问和滥用,无法确保物联网卡合规性的问题,本发明采取超椭圆曲线密码学,在计算成本和通信开销方面超越了现有的身份验证方案,提供了更好的安全性,可以抵御重放攻击、冒充攻击或节点捕获攻击等攻击,提高了对用户的服务效率和质量。
实施例四,参阅图2和图3,该实施例基于上述实施例,在步骤S3中,流量监测及预警,具体包括以下步骤:
步骤S31:采集流量安全检测公开数据集,所述流量安全检测公开数据集包括特征集和对应标签,特征集包括源IP地址、目的IP地址、源端口号、目的端口号、协议、流量大小、流量速率、包大小和包数量,标签为恶意攻击类型,将特征集按流量大小划分为特征子集,将流量安全检测公开数据集按照3:1的比例划分为训练集和测试集;
步骤S32:使用chi-square特征选择算法,分析训练集的特征集,计算特征对标签的依赖级别,所用公式如下:
式中,是特征对标签的依赖级别,是第i个预测标签,是第i个期望标 签,是第i个特征;
去除高于36的特征,生成新的特征集m1;
使用皮尔逊矩相关系数,分析训练集的特征集,研究特征之间的关系,识别不同特征之间的相关性,所用公式如下:
式中,是不同特征间的皮尔逊相关系数,是特征,分别是的平均值,是遍历特征中特征值的累计和;
去除皮尔逊相关系数绝对值属于[0,0.2]的特征,生成新的特征集m2;
使用F-score相关特征选择方法,分析训练集的特征集,确定特征集的F-score分值,所用公式如下:
式中,是特征集的F-score分值,是特征子集的个数,从1遍历至的 累计和,是特征集中第个特征的平均值,是第个特征子集的第个特征,是第个 特征子集的第个特征的平均值,是第个特征子集的样本数量,进行乘法运算,从1遍历至的累计和,是第个特征子集 的第个特征的第个特征值;
去除F-score分值属于[0,0.3]的特征,生成新的特征集m3;
步骤S33:使用特征熵估计方法,分别计算特征集m1、特征集m2和特征集m3的熵估计值,评估特征集m1、特征集m2和特征集m3的随机性,所用公式如下:
式中,是熵估计值,是训练集的特征集的熵,是固定常数3,从1 遍历至的累计和,是特征集m1、特征集m2和特征集m3的第个特征集,是训练集的特 征集,是特征集m1、特征集m2和特征集m3的权重,是特征集m1、特征集m2和特征集m3 的熵;
从特征集m1、特征集m2和特征集m3中选择熵估计值最高的特征集,作为训练集的特征集;
通过上述操作,本方案使用一种新的特征提取选择技术,将chi-square特征选择方法、皮尔逊矩相关系数和F-score相结合,用特征熵估计验证提取的特征之间的相关性,提高了特征选择的准确性和有效性,更全面地挖掘相关特征,减少了训练时间,使系统执行速度更快,入侵预警也更及时。
步骤S34:采用XGBoost算法,建立并初始化XGBoost模型,将训练集输入到XGBoost模型中,训练XGBoost模型识别恶意攻击类型,训练时,计算预测标签,其公式如下:
式中,是弱学习函数,是预测标签,是第次训练时的预测标签, 是第次训练时的预测标签,是弱学习器的数量,是迭代次数,是第个特征;
将测试集输入到XGBoost模型中,计算训练损失值,所用公式如下:
式中,是训练损失值,从1遍历至的累计和,是标签的个数,是观察标签和预测标签之间的经验损失,是观察标签,是从1遍历至 的累计和,是提升学习器的损失;
当训练损失值等于或小于0.2时,训练结束,否则,重复步骤S32,继续进行训练;
步骤S35:捕获用户实时传入的流量数据,对流量数据进行预处理,用z-score方法将流量数据转换为标准正态分布,所用公式如下:
式中,是进行z-score归一化后的流量数据,是第个特征,是第个 特征的平均值,是第个特征的标准差;
将归一化后的流量数据输入到训练好的XGBoost模型中,XGBoost模型输出恶意攻击类型,当识别到异常流量和恶意攻击时,发送预警信息。
通过上述操作,针对传统技术中存在流量监测及预警技术不成熟,被人破解后变成无限上网卡的问题,本发明使用XGBoost模型实现对网络中异常流量和恶意攻击的监测,提高监测的准确率,能够有效地解决网络非法入侵和安全攻击问题。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。
尽管已经示出和描述了本发明的实施例,对于本领域的普通技术人员而言,可以理解在不脱离本发明的原理和精神的情况下可以对这些实施例进行多种变化、修改、替换和变型,本发明的范围由所附权利要求及其等同物限定。
以上对本发明及其实施方式进行了描述,这种描述没有限制性,附图中所示的也只是本发明的实施方式之一,实际的结构并不局限于此。总而言之如果本领域的普通技术人员受其启示,在不脱离本发明创造宗旨的情况下,不经创造性的设计出与该技术方案相似的结构方式及实施例,均应属于本发明的保护范围。

Claims (1)

1.一种物联网卡安全管理方法,应用于物联网卡安全管理系统,其特征在于,所述物联网卡安全管理系统包括用户注册模块、用户身份验证模块、流量监测及预警模块和服务器;
所述用户注册模块设有私钥生成器PKG,私钥生成器PKG本身拥有PKG公钥和PKG私钥,同时可以生成具有物联网卡编号标识的用户公钥和用户私钥,为服务器生成具有服务器标识的服务器公钥和服务器私钥;服务器中保存服务器公钥和服务器私钥;
所述用户身份验证模块和服务器通讯连接,用户发出身份验证请求,服务器进行身份验证;
所述流量监测及预警模块,对用户流量数据进行分析,提取数据集,采用XGBoost算法,利用XGBoost模型对用户流量数据进行监测,识别恶意攻击类型,当识别到异常流量或恶意攻击时发送预警信息;
所述一种物联网卡安全管理方法包括以下步骤:
步骤S1:用户注册;
步骤S2:用户身份验证;
步骤S3:流量监测及预警;
步骤S1中,所述用户注册,包括以下步骤:
步骤S11:私钥生成器PKG随机生成密钥长度为80、亏格为2、有限域为,/>大于等于/>的超椭圆曲线,计算PKG公钥,所用公式如下:
式中,是超椭圆曲线的模数,/>和/>分别是PKG私钥和PKG公钥,/>是私钥生成器PKG内部加密算法;
步骤S12:私钥生成器PKG生成服务器公钥和服务器私钥,所用公式如下:
式中,是私钥生成器PKG生成的服务器私钥,/>是私钥生成器PKG生成的服务器公钥,/>是单向哈希函数,/>是服务器标识;
步骤S13:私钥生成器PKG将、/>发送给服务器;
步骤S14:私钥生成器PKG生成用户公钥和用户私钥,所用公式如下:
式中,是私钥生成器PKG生成的用户私钥,/>是私钥生成器PKG生成的用户公钥,/>是物联网卡编号标识;
步骤S15:私钥生成器PKG将、/>发送给用户;
步骤S2中,所述用户身份验证,包括以下步骤:
步骤S21:用户向服务器发送登录请求,并生成会话密钥,所用公式如下:
式中,是超椭圆曲线有限域中的一个随机数,/>是用户生成的会话密钥;
生成签名,所用公式如下:
式中,是用户生成的签名,/>是单向哈希函数;
对超椭圆曲线的模数进行加密,所用公式如下:
式中,是超椭圆曲线加密后的结果;
步骤S22:、/>将发送给服务器;
步骤S23:服务器接收到、/>后,进行验证,所用公式如下:
式中,是服务器生成的会话密钥,/>是服务器对用户生成的签名进行验证的结果;
和/>,/>和/>相等时,验证通过,用户端与服务器建立会话密钥为/>的会话,否则,用户需重新进行验证;
步骤S3中,所述流量监测及预警,包括以下步骤:
步骤S31:采集流量安全检测公开数据集,所述流量安全检测公开数据集包括特征集和对应标签,特征集包括源IP地址、目的IP地址、源端口号、目的端口号、协议、流量大小、流量速率、包大小和包数量,标签为恶意攻击类型,将特征集按流量大小划分为特征子集,将流量安全检测公开数据集按照3:1的比例划分为训练集和测试集;
步骤S32:使用chi-square特征选择算法,分析训练集的特征集,计算特征对标签的依赖级别,所用公式如下:
式中,是特征对标签的依赖级别,/>是第i个预测标签,/>是第i个期望标签,/>是第i个特征;
去除高于36的特征,生成新的特征集m1;
使用皮尔逊矩相关系数,分析训练集的特征集,研究特征之间的关系,识别不同特征之间的相关性,所用公式如下:
式中,是不同特征间的皮尔逊相关系数,/>和/>是特征,/>和/>分别是/>和/>的平均值,/>是遍历特征中特征值的累计和;
去除皮尔逊相关系数绝对值属于[0,0.2]的特征,生成新的特征集m2;
使用F-score相关特征选择方法,分析训练集的特征集,确定特征集的F-score分值,所用公式如下:
式中,是特征集的F-score分值,/>是特征子集的个数,/>是/>从1遍历至/>的累计和,/>是特征集中第/>个特征的平均值,/>是第/>个特征子集的第/>个特征,/>是第/>个特征子集的第/>个特征的平均值,/>是第/>个特征子集的样本数量,/>是/>进行乘法运算,/>是/>从1遍历至/>的累计和,/>是第/>个特征子集的第/>个特征的第/>个特征值;
去除F-score分值属于[0,0.3]的特征,生成新的特征集m3;
步骤S33:使用特征熵估计方法,分别计算特征集m1、特征集m2和特征集m3的熵估计值,评估特征集m1、特征集m2和特征集m3的随机性,所用公式如下:
式中,是熵估计值,/>是训练集的特征集的熵,/>是固定常数3,/>是/>从1遍历至/>的累计和,/>是特征集m1、特征集m2和特征集m3的第/>个特征集,/>是训练集的特征集,/>是特征集m1、特征集m2和特征集m3的权重,/>是特征集m1、特征集m2和特征集m3的熵;
从特征集m1、特征集m2和特征集m3中选择熵估计值最高的特征集,作为训练集的特征集;
步骤S34:采用XGBoost算法,建立并初始化XGBoost模型,将训练集输入到XGBoost模型中,训练XGBoost模型识别恶意攻击类型,训练时,计算预测标签,其公式如下:
式中,是弱学习函数,/>是预测标签,/>是第/>次训练时的预测标签,/>是第次训练时的预测标签,/>是弱学习器的数量,/>是迭代次数,/>是第/>个特征;
将测试集输入到XGBoost模型中,计算训练损失值,所用公式如下:
式中,是训练损失值,/>是/>从1遍历至/>的累计和,/>是标签的个数,/>是观察标签和预测标签之间的经验损失,/>是观察标签,/>是/>是从1遍历至/>的累计和,是提升学习器的损失;
当训练损失值等于或小于0.2时,训练结束,否则,重复步骤S32,继续进行训练;
步骤S35:捕获用户实时传入的流量数据,对流量数据进行预处理,用z-score方法将流量数据转换为标准正态分布,所用公式如下:
式中,是进行z-score归一化后的流量数据,/>是第/>个特征,/>是第/>个特征的平均值,/>是第/>个特征的标准差;
将归一化后的流量数据输入到训练好的XGBoost模型中,XGBoost模型输出恶意攻击类型,当识别到异常流量和恶意攻击时,发送预警信息。
CN202311811904.8A 2023-12-27 2023-12-27 一种物联网卡安全管理方法及系统 Active CN117478430B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202311811904.8A CN117478430B (zh) 2023-12-27 2023-12-27 一种物联网卡安全管理方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202311811904.8A CN117478430B (zh) 2023-12-27 2023-12-27 一种物联网卡安全管理方法及系统

Publications (2)

Publication Number Publication Date
CN117478430A CN117478430A (zh) 2024-01-30
CN117478430B true CN117478430B (zh) 2024-04-09

Family

ID=89639936

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202311811904.8A Active CN117478430B (zh) 2023-12-27 2023-12-27 一种物联网卡安全管理方法及系统

Country Status (1)

Country Link
CN (1) CN117478430B (zh)

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101291244A (zh) * 2007-04-16 2008-10-22 深圳市维信联合科技有限公司 网络安全管理方法及其系统
CN112235257A (zh) * 2020-09-24 2021-01-15 中国人民解放军战略支援部队信息工程大学 融合式加密恶意流量检测方法及系统
CN112422531A (zh) * 2020-11-05 2021-02-26 博智安全科技股份有限公司 基于CNN和XGBoost的网络流量异常行为检测方法
CN112968807A (zh) * 2021-01-28 2021-06-15 广东聚晨晋力通信设备科技有限公司 一种基于物联网卡流量使用智能监测装置
CN116192419A (zh) * 2022-11-15 2023-05-30 中亿(深圳)信息科技有限公司 一种基于物联网卡的应用程序数据安全防护方法及装置

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6453345B2 (en) * 1996-11-06 2002-09-17 Datadirect Networks, Inc. Network security and surveillance system
TWI742704B (zh) * 2020-06-01 2021-10-11 台眾電腦股份有限公司 資訊裝置之網路連線管理系統

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101291244A (zh) * 2007-04-16 2008-10-22 深圳市维信联合科技有限公司 网络安全管理方法及其系统
CN112235257A (zh) * 2020-09-24 2021-01-15 中国人民解放军战略支援部队信息工程大学 融合式加密恶意流量检测方法及系统
CN112422531A (zh) * 2020-11-05 2021-02-26 博智安全科技股份有限公司 基于CNN和XGBoost的网络流量异常行为检测方法
CN112968807A (zh) * 2021-01-28 2021-06-15 广东聚晨晋力通信设备科技有限公司 一种基于物联网卡流量使用智能监测装置
CN116192419A (zh) * 2022-11-15 2023-05-30 中亿(深圳)信息科技有限公司 一种基于物联网卡的应用程序数据安全防护方法及装置

Also Published As

Publication number Publication date
CN117478430A (zh) 2024-01-30

Similar Documents

Publication Publication Date Title
Srinivas et al. Designing secure user authentication protocol for big data collection in IoT-based intelligent transportation system
CN107637041B (zh) 识别恶意加密网络流量的方法与系统以及计算机程序元件
Azeez et al. Identifying phishing attacks in communication networks using URL consistency features
CN105100032B (zh) 一种防止资源盗取的方法及装置
CN104702604B (zh) 基于简单逻辑加密和时间戳的双向认证方法
Shen et al. Webpage fingerprinting using only packet length information
CN107359998A (zh) 一种便携式智能口令管理体制的建立与操作方法
CN104023352B (zh) 一种面向移动通信平台的即时通信软件侧信道测试系统
Satoh et al. SSH dictionary attack detection based on flow analysis
CN110138731A (zh) 一种基于大数据的网络防攻击方法
Nafea et al. Efficient non-linear covert channel detection in TCP data streams
Baek et al. Recent advances of neural attacks against block ciphers
Chiu et al. Semi-supervised learning for false alarm reduction
CN111639355A (zh) 一种数据安全管理方法和系统
Xu et al. ME-Box: A reliable method to detect malicious encrypted traffic
CN117478430B (zh) 一种物联网卡安全管理方法及系统
An et al. Visually semantic-preserving and people-oriented color image encryption based on cross-plane thumbnail preservation
CN115987687B (zh) 网络攻击取证方法、装置、设备及存储介质
CN116261139B (zh) 基于5g消息的在线数据安全传输方法、系统及电子设备
CN116401718A (zh) 基于区块链的数据保护方法及装置、电子设备和存储介质
CN104426663A (zh) 一种url地址加密方法
Mishra Cyber-security threats and vulnerabilities in 4G/5G network enabled systems
Lu et al. Comparison and analysis of flow features at the packet level for traffic classification
Niu et al. Network steganography based on traffic behavior in dynamically changing wireless sensor networks
Wang et al. CPWF: Cross-platform website fingerprinting based on multi-similarity loss

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant