CN117692251B - 一种处理器网络安全防御系统及方法 - Google Patents

一种处理器网络安全防御系统及方法 Download PDF

Info

Publication number
CN117692251B
CN117692251B CN202410100959.6A CN202410100959A CN117692251B CN 117692251 B CN117692251 B CN 117692251B CN 202410100959 A CN202410100959 A CN 202410100959A CN 117692251 B CN117692251 B CN 117692251B
Authority
CN
China
Prior art keywords
data
security
network
processor
abnormal
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202410100959.6A
Other languages
English (en)
Other versions
CN117692251A (zh
Inventor
王嘉诚
张少仲
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Zhongcheng Hualong Computer Technology Co Ltd
Original Assignee
Zhongcheng Hualong Computer Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Zhongcheng Hualong Computer Technology Co Ltd filed Critical Zhongcheng Hualong Computer Technology Co Ltd
Priority to CN202410100959.6A priority Critical patent/CN117692251B/zh
Publication of CN117692251A publication Critical patent/CN117692251A/zh
Application granted granted Critical
Publication of CN117692251B publication Critical patent/CN117692251B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

本发明涉及计算机网络安全技术领域,具体涉及一种处理器网络安全防御系统及方法,包括以下步骤:S1:收集和初步分析处理器的数据流;S2:对从S1中收集的数据进行初步过滤和分析,以识别潜在的安全威胁;S3:进一步分析从S2传入的数据,以识别复杂的攻击模式和异常行为;S4:针对识别出的威胁部署相应的特定安全策略;S5:用于调整传感器网络的监控策略和参数;S6:与外部安全系统进行数据交换和策略协同;S7:持续更新安全策略,以适应新型威胁和攻击模式。本发明,通过实时数据监控、自动化的安全策略更新以及与外部系统的协同工作,显著提高了对复杂网络威胁的识别和响应能力,同时构建了一个全面的多层次安全防护体系。

Description

一种处理器网络安全防御系统及方法
技术领域
本发明涉及计算机网络安全技术领域,尤其涉及一种处理器网络安全防御系统及方法。
背景技术
随着信息技术的迅猛发展,处理器及其网络环境的安全问题变得日益重要,现代处理器不仅是计算的核心,也成为网络安全的关键节点,传统的网络安全策略主要集中在应用层和网络层,但这些措施往往无法深入到处理器级别,从而留下潜在的安全漏洞。
现有技术主要面临以下挑战:首先,现有方法通常无法提供实时、深入的处理器级数据监控和分析,导致对复杂攻击的识别和响应不足,其次,安全策略的部署和更新常常依赖于人工干预,这不仅效率低下,而且无法及时应对快速演变的网络威胁,此外,现有的安全解决方案往往缺乏与外部安全系统的有效协同,难以形成全面的安全防御体系。
因此,迫切需要一种能够实时监控处理器活动、自动更新安全策略,并与外部系统协同工作的综合性安全防御系统。
发明内容
基于上述目的,本发明提供了一种处理器网络安全防御系统及方法。
一种处理器网络安全防御方法,包括以下步骤:
S1:在处理器内部集成传感器网络和嵌入异构安全监控模块,用于收集和初步分析处理器的数据流;
S2:利用边缘计算节点对从S1中收集的数据进行初步过滤和分析,以识别潜在的安全威胁,并将关键信息传输至中央处理单元;
S3:在中央处理单元中采用时间序列分析的数据处理算法,分析从S2传入的数据,以识别复杂的攻击模式和异常行为;
S4:根据S3的分析结果,针对识别出的威胁部署相应的安全策略;
S5:将安全策略执行的结果和效果反馈至S1的异构安全监控模块,用于调整传感器网络的监控策略和参数,实现闭环安全监控和响应机制;
S6:与外部安全系统进行数据交换和策略协同,形成跨系统的综合安全防御网络;
S7:基于S5的反馈和S6的外部数据,持续更新安全策略,以适应不断迭代的威胁和攻击模式。
进一步的,所述S1具体包括:
S11:在处理器的中央处理单元核心和内存管理单元的功能区域内,集成一个传感器网络,该传感器网络由微型电子传感器构成,每个传感器均用于监控处理器操作包括内存访问频率和指令流的模式,所述传感器直接与处理器的数据总线相连,以实时捕获和传输处理器的操作数据;
S12:在处理器的控制单元内嵌入一个异构安全监控模块,该安全监控模块由安全协处理器和固件组成,用于接收来自传感器网络的数据,并执行初步的数据分析,所述安全协处理器包括快速傅里叶变换和线性回归分析的算法,用于即时分析处理器活动的数据模式,从而识别异常行为或潜在的安全威胁;
S13:进行数据流收集与初步分析,传感器网络先实时监控并收集处理器的关键操作数据,所述关键操作数据包括指令执行序列、内存访问模式和处理器状态变化,随后通过异构安全监控模块的安全协处理器对收集的数据进行即时分析,应用预设算法识别与常规操作模式不符的行为。
进一步的,所述S2中利用边缘计算节点对从S1中收集的数据进行初步过滤和分析包括:
S21:在处理器架构中,所述边缘计算节点配置为用于处理相应类型的数据流,每个边缘计算节点均配备有微处理器,所述微处理器用于处理来自传感器网络的数据;
S22:边缘计算节点应用加权移动平均WMA算法对数据进行初步分析,所述WMA算法 的公式为:,其中是数据点的数量,是第个数据点的值,是第个 数据点的权重,赋予最近的数据点更高的权重,该加权移动平均WMA算法能有效地识别数据 中的即时趋势和异常模式;
S23:边缘计算节点使用阈值检测法来确定数据是否异常,当WMA算法计算出的值 超过预设的阈值,即,其中,是设定的差异容忍度,则将数据标记为异 常;
S24:将标记为异常的数据传输至中央处理单元,具体当数据被标㓆为异常时,则触发数据传输,否则数据在边缘节点进行局部存储或丢弃,以减轻对中央处理单元的负载。
进一步的,所述S3具体包括:
S31:时间序列数据收集,在中央处理单元中设立一个数据接收模块,用于收集从S2的边缘计算节点传输过来的数据,所述数据接收模块用于整合和排序传输过来的数据,以形成完整的时间序列数据集;
S32:应用ARMA模型对时间序列数据进行分析,所述ARMA模型的公式表示为:
,其中,是时间点 的数据点,经过阶差分后的值,是自回归项的参数,是移动平均项的参数, 是时间点的误差项,是自回归项的阶数,是差分的阶数,是移动平均项的阶数;
S33:利用ARMA模型的结果进行异常检测和模式识别,通过分析时间序列数据中的趋势和季节性变化,识别出与正常操作模式不符的数据模式。
进一步的,所述S33中进行异常检测和模式识别的具体步骤包括:
S331:首先利用ARIMA模型对时间序列数据进行趋势分析,通过计算时间序列的移动平均和差分进行分析,具体公式为:
,其中,是时间点的移动平均,是时间点的差分值,是时间点的原始数据,是移动平均的窗口大小,通过比较 的值与历史数据的标准偏差,以识别出偏离正常模式的趋势变化;
S332:接着分析时间序列数据中的季节性变化,以识别重复出现的模式,具体识别 公式为:,其中,表示时间点的季节性成分;
S333:异常模式识别,将分析结果与预定义的正常操作模式阈值进行比较,当超过设定的阈值时,即表明当前的数据模式与正常操作模式不符,表示存在异常行为,所 述异常行为包括显著的资源使用率变化、非预期的系统状态变化、以及与历史数据或预测 模型显著不符的网络通信模式。
进一步的,所述S4具体包括:
S41:对安全策略触发条件进行量化定义,具体设定安全响应的量化触发条件为 ,对于异常网络流量,定义触发条件为:,其中是当前网 络流量,是网络流量的历史平均值,是标准偏差,是决定敏感度的阈值系数;
S42:为每种异常情况分配对应的安全策略,对于网络入侵,安全策略 将为网络隔离和流量重定向,对于资源使用异常,策略为限制进程资源使用和触 发系统审计;
S43:安全策略的自动化执行,具体通过中央处理单元内嵌的安全管理模块自动执行选定的安全策略,所述安全管理模块用于实时监控安全状态,并在检测到触发条件时自动启动相应的策略。
进一步的,所述S5具体包括:
S51:在S43中的安全策略执行后,将自动收集关键性能指标和安全事件的数据,所述安全事件的数据包括网络流量变化、资源使用率、以及阻止或检测到的安全威胁的数量;
S52:基于S51中收集的数据,生成一个综合反馈报告,该报告详细记录了安全策略执行的效果,包括成功缓解威胁的实例和任何未解决的安全问题;
S53:将反馈报告传输至S1的异构安全监控模块中;
S54:基于S53的反馈信息,异构安全监控模块调整传感器网络的监控策略和参数,所述调整包括修改传感器的敏感度、调整数据收集频率,以及更新异常行为的识别模式。
进一步的,所述S6具体包括:
S61:建立与外部安全系统之间的标准化数据交换协议,该协议用于定义数据的格式、交换频率和安全性要求;
S62:通过所述数据交换协议,定期发送安全事件信息至外部安全系统,所述安全事件信息包括识别的安全威胁、攻击模式、以及已实施的安全措施的效果;
S63:与外部安全系统协调,以实现策略的一致性和互补性,根据从防火墙和入侵检测系统接收的数据更新自身的安全策略,确保所有系统的防御措施相互支持,形成一个协同工作的安全网络;
S64:将处理器内部的安全监控与外部系统的能力结合,创建一个覆盖多层安全防御的综合网络,所述多层安全防御包括网络层面的防御、应用层面的监控,以及处理器层面的预防措施。
进一步的,所述S7具体包括:
S71:构建一个基于支持向量机的安全策略更新决策模型,用于分类不断迭代的威 胁和攻击模式,具体公式为:,其中,是输入的 特征向量,代表从网络安全事件中提取的数据,是训练样本的标签,表示样本的分类, 是学习到的权重,是核函数,用于在高维空间中有效分离数据,是偏置项;
S72:根据S71构建的SVM模型输出,来调整和更新安全策略,具体当模型识别出迭代后的攻击模式或威胁时,将更新安全措施包括调整网络监控规则、更新防火墙配置,以及优化入侵检测系统的参数。
一种处理器网络安全防御系统,用于实现上述的一种处理器网络安全防御方法,包括:
异构安全监控模块:包括多种传感器和一个安全协处理器,用于实时收集和分析处理器的数据流,所述数据流包括内存访问模式、指令执行序列和网络通信活动;
边缘计算节点:用于处理来自异构安全监控模块的数据,该边缘计算节点具体使用数据过滤算法对收集到的数据进行初步分析,已识别潜在的安全威胁;
中央处理单元:应用时间序列分析算法,分析来自边缘计算节点的数据,识别复杂的攻击模式和异常行为;
安全策略执行器:根据中央处理单元的分析结果,安全策略执行器负责部署针对性的安全策略;
反馈调整模块:用于将安全策略执行的结果和效果反馈至异构安全监控模块,并执行结果调整传感器网络的监控策略和参数,实现闭环安全监控和响应机制;
外部安全系统接口:用于与外部安全系统进行数据交换和策略协同,并能够与外部安全设备共享数据和协调安全策略,形成跨系统的综合安全防御网络;
持续更新与优化模块:基于来自反馈调整模块和外部安全系统接口的数据,持续更新安全策略以适应不断迭代的威胁和攻击模式。
本发明的有益效果:
本发明,通过集成的异构安全监控模块和边缘计算节点,系统能够及时捕捉和分析处理器的运行状态、内存访问模式以及指令执行序列等关键数据,这种实时监控和深入的数据分析能力,使得系统能够有效识别并及时响应各种复杂的网络攻击和安全威胁。
本发明,通过自动更新安全策略来适应新出现的网络威胁,这种自动化机制不仅减少了人工干预的需要,而且提高了安全策略的响应速度和有效性,系统能够根据实时分析结果及时调整防御策略,有效地应对快速演变的网络安全环境。
本发明,通过与外部安全系统的数据交换和策略协同,形成了一个跨系统的综合安全防御网络,这不仅增强了系统本身的防御能力,还能与其他安全设施(如防火墙和入侵检测系统)协同工作,共同构筑更加强大和全面的安全防护屏障,这种协同机制大大扩展了安全防御的范围和深度,提供了更全面的保护。
附图说明
为了更清楚地说明本发明或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例的处理器网络安全防御方法示意图;
图2为本发明实施例的处理器网络安全防御系统示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚明白,以下结合具体实施例,对本发明进一步详细说明。
需要说明的是,除非另外定义,本发明使用的技术术语或者科学术语应当为本发明所属领域内具有一般技能的人士所理解的通常意义。本发明中使用的“第一”、“第二”以及类似的词语并不表示任何顺序、数量或者重要性,而只是用来区分不同的组成部分。“包括”或者“包含”等类似的词语意指出现该词前面的元件或者物件涵盖出现在该词后面列举的元件或者物件及其等同,而不排除其他元件或者物件。“连接”或者“相连”等类似的词语并非限定于物理的或者机械的连接,而是可以包括电性的连接,不管是直接的还是间接的。“上”、“下”、“左”、“右”等仅用于表示相对位置关系,当被描述对象的绝对位置改变后,则该相对位置关系也可能相应地改变。
如图1所示,一种处理器网络安全防御方法,包括以下步骤:
S1:在处理器内部集成传感器网络和嵌入异构安全监控模块,用于收集和初步分析处理器的数据流,包括但不限于内存访问模式、指令执行序列和网络通信活动;
S2:利用边缘计算节点对从S1中收集的数据进行初步过滤和分析,以识别潜在的安全威胁,并将关键信息传输至中央处理单元,以减少数据传输量和提高处理效率;
S3:在中央处理单元中采用时间序列分析的数据处理算法,分析从S2传入的数据,以识别复杂的攻击模式和异常行为;
S4:根据S3的分析结果,针对识别出的威胁部署相应的安全策略,如调整访问控制权限、修改网络路由或启动入侵响应协议;
S5:将安全策略执行的结果和效果反馈至S1的异构安全监控模块,用于调整传感器网络的监控策略和参数,实现闭环安全监控和响应机制;
S6:与外部安全系统(如防火墙、入侵检测系统)进行数据交换和策略协同,形成跨系统的综合安全防御网络;
S7:基于S5的反馈和S6的外部数据,持续更新安全策略,以适应不断迭代的威胁和攻击模式。
S1具体包括:
S11:在处理器的中央处理单元(CPU)核心和内存管理单元(MMU)的功能区域内,集成一个传感器网络,该传感器网络由微型电子传感器构成,每个传感器均用于监控处理器操作包括内存访问频率和指令流的模式,传感器直接与处理器的数据总线相连,以实时捕获和传输处理器的操作数据;
S12:在处理器的控制单元内嵌入一个异构安全监控模块,该安全监控模块由安全协处理器和固件组成,用于接收来自传感器网络的数据,并执行初步的数据分析,安全协处理器包括快速傅里叶变换(FFT)和线性回归分析的算法,用于即时分析处理器活动的数据模式,从而识别异常行为或潜在的安全威胁;
S13:进行数据流收集与初步分析,传感器网络先实时监控并收集处理器的关键操作数据,关键操作数据包括指令执行序列、内存访问模式和处理器状态变化,随后通过异构安全监控模块的安全协处理器对收集的数据进行即时分析,应用预设算法识别与常规操作模式不符的行为,如非预期的内存访问峰值或指令执行序列的异常变化,这可能预示着未授权的访问或恶意软件活动。
S2中利用边缘计算节点对从S1中收集的数据进行初步过滤和分析包括:
S21:在处理器架构中,边缘计算节点配置为用于处理相应类型的数据流,每个边缘计算节点均配备有微处理器,微处理器用于处理来自传感器网络的数据,例如内存访问频率和指令执行序列;
S22:边缘计算节点应用加权移动平均WMA算法对数据进行初步分析,WMA算法的公 式为:,其中是数据点的数量,是第个数据点的值,是第个数据 点的权重,赋予最近的数据点更高的权重,该加权移动平均WMA算法能有效地识别数据中的 即时趋势和异常模式;
S23:边缘计算节点使用阈值检测法来确定数据是否异常,当WMA算法计算出的值 超过预设的阈值,即,其中,是设定的差异容忍度,则将数据标记为异 常;
S24:将标记为异常的数据传输至中央处理单元,具体当数据被标㓆为异常时,则触发数据传输,否则数据在边缘节点进行局部存储或丢弃,以减轻对中央处理单元的负载。
S3具体包括:
S31:时间序列数据收集,在中央处理单元中设立一个数据接收模块,用于收集从S2的边缘计算节点传输过来的数据,数据接收模块用于整合和排序传输过来的数据,以形成完整的时间序列数据集,便于进行后续的复杂分析;
S32:应用ARMA模型对时间序列数据进行分析,ARMA模型结合了自回归和移动平均模型,ARMA模型的公式表示为:
,其中,是时间点 的数据点,经过阶差分后的值,差分操作旨在消除时间序列的非平稳性,是自 回归项的参数,反映了当前值与过去值之间的关系,是移动平均项的参数,反映了当前误 差与过去误差之间的关系,是时间点的误差项,是自回归项的阶数,表示考虑过去多 少个时间点的数据,是差分的阶数,用于使时间序列数据更加平稳,是移动平均项的阶 数,表示考虑过去多少个误差项;差分阶数的选择差分阶数是为了确保时间序列的平稳 性,使其更适合于长期趋势和季节性变化的分析,对于处理器网络安全数据,差分阶数被 设置为能够有效消除噪声和偶发波动的最小值;自回归项和移动平均项这些参数通过 数据拟合获得,旨在捕捉和预测网络安全事件中的趋势和模式,例如,自回归项可以帮助模 型理解最近的网络攻击活动如何影响当前的安全状态;
S33:利用ARMA模型的结果进行异常检测和模式识别,通过分析时间序列数据中的趋势和季节性变化,识别出与正常操作模式不符的数据模式,如突然的峰值或长期的数据偏移,这些可能指示着复杂的网络攻击或异常行为。
S33中进行异常检测和模式识别的具体步骤包括:
S331:首先利用ARIMA模型对时间序列数据进行趋势分析,通过计算时间序列的移动平均和差分进行分析,具体公式为:
,其中,是时间点的移动平均,是时间点的差分值,是时间点的原始数据,是移动平均的窗口大小,通过比较 的值与历史数据的标准偏差,以识别出偏离正常模式的趋势变化;
S332:接着分析时间序列数据中的季节性变化,以识别重复出现的模式,例如特定 时间周期内的网络流量增加,具体识别公式为:,其中,表示时间点的 季节性成分;
S333:异常模式识别,将分析结果与预定义的正常操作模式阈值进行比较,当超过设定的阈值时,即表明当前的数据模式与正常操作模式不符,表示存在异常行为,例 如,不寻常的内存访问频率增加或网络流量突然激增可能暗示潜在的安全威胁;异常行为 包括显著的资源使用率变化、非预期的系统状态变化、以及与历史数据或预测模型显著不 符的网络通信模式。
S4具体包括:
S41:对安全策略触发条件进行量化定义,具体设定安全响应的量化触发条件为 ,对于异常网络流量,定义触发条件为:,其中是当前网 络流量,是网络流量的历史平均值,是标准偏差,是决定敏感度的阈值系数;
S42:为每种异常情况分配对应的安全策略,对于网络入侵,安全策略 将为网络隔离和流量重定向,对于资源使用异常,策略为限制进程资源使用和触 发系统审计;
S43:安全策略的自动化执行,具体通过中央处理单元内嵌的安全管理模块自动执 行选定的安全策略,安全管理模块用于实时监控安全状态,并在检测到触发条件时自动启 动相应的策略,实施安全策略的公式表示为:Execute满足时,例如,如果 成立,则执行Execute(
S5具体包括:
S51:在S43中的安全策略执行后,将自动收集关键性能指标和安全事件的数据,安全事件的数据包括网络流量变化、资源使用率、以及阻止或检测到的安全威胁的数量;
S52:基于S51中收集的数据,生成一个综合反馈报告,该报告详细记录了安全策略执行的效果,包括成功缓解威胁的实例和任何未解决的安全问题;
S53:将反馈报告传输至S1的异构安全监控模块中,此过程确保监控模块接收到最新的安全状态信息,用于未来的决策和策略调整;
S54:基于S53的反馈信息,异构安全监控模块调整传感器网络的监控策略和参数,调整包括修改传感器的敏感度、调整数据收集频率,以及更新异常行为的识别模式,通过这些调整,形成一个闭环的安全监控和响应机制,这确保了系统能够从经验中学习,不断提高对新型威胁的识别和响应能力。
S6具体包括:
S61:建立与外部安全系统之间的标准化数据交换协议,该协议用于定义数据的格式、交换频率和安全性要求,以确保在不同系统之间高效且安全地共享关键信息;
S62:通过数据交换协议,定期发送安全事件信息至外部安全系统,安全事件信息包括识别的安全威胁、攻击模式、以及已实施的安全措施的效果;
S63:与外部安全系统协调,以实现策略的一致性和互补性,根据从防火墙和入侵检测系统接收的数据更新自身的安全策略,确保所有系统的防御措施相互支持,形成一个协同工作的安全网络;
S64:将处理器内部的安全监控与外部系统的能力结合,创建一个覆盖多层安全防御的综合网络,多层安全防御包括网络层面的防御(如防火墙)、应用层面的监控(如入侵检测系统),以及处理器层面的预防措施。
S7具体包括:
S71:构建一个基于支持向量机(SVM)的安全策略更新决策模型,用于分类不断迭 代的威胁和攻击模式,该支持向量机模型使用核函数技术来处理非线性可分数据,具体公 式为:,其中,是输入的特征向量,代表从网络 安全事件中提取的数据,是训练样本的标签,表示样本的分类(正常或异常),是学习到 的权重,通过训练数据优化得到,是核函数,如径向基函数(RBF),用于在高维空间中有效 分离数据,是偏置项;
S72:根据S71构建的SVM模型输出,来调整和更新安全策略,具体当模型识别出迭代后的攻击模式或威胁时,将更新安全措施包括调整网络监控规则、更新防火墙配置,以及优化入侵检测系统的参数。
如图2所示,一种处理器网络安全防御系统,用于实现上述的一种处理器网络安全防御方法,包括:
异构安全监控模块:包括多种传感器和一个安全协处理器,用于实时收集和分析处理器的数据流,数据流包括内存访问模式、指令执行序列和网络通信活动;
边缘计算节点:用于处理来自异构安全监控模块的数据,该边缘计算节点具体使用数据过滤算法对收集到的数据进行初步分析,已识别潜在的安全威胁;
中央处理单元:应用时间序列分析算法,分析来自边缘计算节点的数据,识别复杂的攻击模式和异常行为;
安全策略执行器:根据中央处理单元的分析结果,安全策略执行器负责部署针对性的安全策略,这包括调整访问控制、修改网络路由或启动入侵响应协议;
反馈调整模块:用于将安全策略执行的结果和效果反馈至异构安全监控模块,并执行结果调整传感器网络的监控策略和参数,实现闭环安全监控和响应机制;
外部安全系统接口:用于与外部安全系统(如防火墙、入侵检测系统)进行数据交换和策略协同,并能够与外部安全设备共享数据和协调安全策略,形成跨系统的综合安全防御网络;
持续更新与优化模块:基于来自反馈调整模块和外部安全系统接口的数据,持续更新安全策略以适应不断迭代的威胁和攻击模式。
本发明旨在涵盖落入所附权利要求的宽泛范围之内的所有这样的替换、修改和变型。因此,凡在本发明的精神和原则之内,所做的任何省略、修改、等同替换、改进等,均应包含在本发明的保护范围之内。

Claims (2)

1.一种处理器网络安全防御方法,其特征在于,包括以下步骤:
S1:在处理器内部集成传感器网络和嵌入异构安全监控模块,用于收集和初步分析处理器的数据流,具体包括:
S11:在处理器的中央处理单元核心和内存管理单元的功能区域内,集成一个传感器网络,该传感器网络由微型电子传感器构成,每个传感器均用于监控处理器操作,处理器操作包括内存访问频率和指令流的模式,所述传感器直接与处理器的数据总线相连,以实时捕获和传输处理器的操作数据;
S12:在处理器的控制单元内嵌入一个异构安全监控模块,该安全监控模块由安全协处理器和固件组成,用于接收来自传感器网络的数据,并执行初步的数据分析,所述安全协处理器包括快速傅里叶变换和线性回归分析的算法,用于即时分析处理器活动的数据模式,从而识别异常行为或潜在的安全威胁;
S13:进行数据流收集与初步分析,传感器网络先实时监控并收集处理器的关键操作数据,所述关键操作数据包括指令执行序列、内存访问模式和处理器状态变化,随后通过异构安全监控模块的安全协处理器对收集的数据进行即时分析,应用预设算法识别与常规操作模式不符的行为;
S2:利用边缘计算节点对从S1中收集的数据进行初步过滤和分析,以识别潜在的安全威胁,并将关键信息传输至中央处理单元,具体包括:
S21:在处理器架构中,所述边缘计算节点配置为用于处理相应类型的数据流,每个边缘计算节点均配备有微处理器,所述微处理器用于处理来自传感器网络的数据;
S22:边缘计算节点应用加权移动平均WMA算法对数据进行初步分析,所述WMA算法的公式为:其中n是数据点的数量,xi是第i个数据点的值,wi是第i个数据点的权重,赋予最近的数据点更高的权重,该加权移动平均WMA算法能有效地识别数据中的即时趋势和异常模式;
S23:边缘计算节点使用阈值检测法来确定数据是否异常,当WMA算法计算出的值超过预设的阈值T,即|WMA-T|>δ,其中,δ是设定的差异容忍度,则将数据标记为异常;
S24:将标记为异常的数据传输至中央处理单元,当数据被标记为异常时,则触发数据传输,否则数据在边缘节点进行局部存储或丢弃,以减轻对中央处理单元的负载;
S3:在中央处理单元中采用时间序列分析的数据处理算法,分析从S2传入的数据,以识别复杂的攻击模式和异常行为,具体包括:
S31:时间序列数据收集,在中央处理单元中设立一个数据接收模块,用于收集从S2的边缘计算节点传输过来的数据,所述数据接收模块用于整合和排序传输过来的数据,以形成完整的时间序列数据集;
S32:应用ARMA模型对时间序列数据进行分析,所述ARMA模型的公式表示为:
其中,Xt是时间点t的原始数据,Xt-i是时间点t-i的原始数据,X′t是Xt经过d阶差分后的值,X′t-i是Xt-i经过d阶差分后的值,/>是自回归项的参数,θj是移动平均项的参数,εt是时间点t的误差项,p是自回归项的阶数,d是差分的阶数,q是移动平均项的阶数;
S33:利用ARMA模型的结果进行异常检测和模式识别,通过分析时间序列数据中的趋势和季节性变化,识别出与正常操作模式不符的数据模式,具体包括:
S331:首先利用ARIMA模型对时间序列数据进行趋势分析,通过计算时间序列的移动平均和差分进行分析,具体公式为:
和Dt=Xt-Xt-1,其中,MAt是时间点t的移动平均,xi是第i个数据点的值,Dt是时间点t的差分值,Xt是时间点t的原始数据,Xt-1是时间点t-1的原始数据,k是移动平均的窗口大小,通过比较Dt的值与历史数据的标准偏差,以识别出偏离正常模式的趋势变化;
S332:接着分析时间序列数据中的季节性变化,以识别重复出现的模式,具体识别公式为:St=Xt-MAt,其中,St表示时间点t的季节性成分;
S333:异常模式识别,将分析结果与预定义的正常操作模式阈值进行比较,当Dt或St超过设定的阈值时,即表明当前的数据模式与正常操作模式不符,表示存在异常行为;所述异常行为包括显著的资源使用率变化、非预期的系统状态变化、以及与历史数据或预测模型显著不符的网络通信模式;
S4:根据S3的分析结果,针对识别出的威胁部署相应的安全策略,具体包括:
S41:对安全策略触发条件进行量化定义,具体设定安全响应的量化触发条件为C,对于异常网络流量,定义触发条件为:Ctraffic={Yt|Yt>μ+mσ},其中,Yt是当前网络流量,μ是网络流量的历史平均值,σ是标准偏差,m是决定敏感度的阈值系数;
S42:为每种异常情况分配对应的安全策略P,对于网络入侵,安全策略Pintrusion将为网络隔离和流量重定向,对于资源使用异常,策略Presource为限制进程资源使用和触发系统审计;
S43:安全策略的自动化执行,具体通过中央处理单元内嵌的安全管理模块自动执行选定的安全策略,所述安全管理模块用于实时监控安全状态,并在检测到触发条件时自动启动相应的策略;
S5:将安全策略执行的结果和效果反馈至S1的异构安全监控模块,用于调整传感器网络的监控策略和参数,实现闭环安全监控和响应机制,具体包括:
S51:在S43中的安全策略执行后,将自动收集关键性能指标和安全事件的数据,所述安全事件的数据包括网络流量变化、资源使用率、以及阻止或检测到的安全威胁的数量;
S52:基于S51中收集的数据,生成一个综合反馈报告,该报告记录安全策略执行的效果,包括成功缓解威胁的实例和任何未解决的安全问题;
S53:将反馈报告传输至S1的异构安全监控模块中;
S54:基于S53的反馈信息,异构安全监控模块调整传感器网络的监控策略和参数,所述调整包括修改传感器的敏感度、调整数据收集频率,以及更新异常行为的识别模式;
S6:与外部安全系统进行数据交换和策略协同,形成跨系统的综合安全防御网络,具体包括:
S61:建立与外部安全系统之间的标准化数据交换协议,该协议用于定义数据的格式、交换频率和安全性要求;
S62:通过所述数据交换协议,定期发送安全事件信息至外部安全系统,所述安全事件信息包括识别的安全威胁、攻击模式、以及已实施的安全措施的效果;
S63:与外部安全系统协调,以实现策略的一致性和互补性,根据从防火墙和入侵检测系统接收的数据更新自身的安全策略,确保所有系统的防御措施相互支持,形成一个协同工作的安全网络;
S64:将处理器内部的安全监控与外部系统的能力结合,创建一个覆盖多层安全防御的综合网络,所述多层安全防御包括网络层面的防御、应用层面的监控,以及处理器层面的预防措施;
S7:基于S5的反馈和S6的外部数据,持续更新安全策略,以适应不断迭代的威胁和攻击模式。
2.一种处理器网络安全防御系统,用于实现权利要求1所述的一种处理器网络安全防御方法,其特征在于,包括:
异构安全监控模块:包括多种传感器和一个安全协处理器,用于实时收集和分析处理器的数据流,所述数据流包括内存访问模式、指令执行序列和网络通信活动;
边缘计算节点:用于处理来自异构安全监控模块的数据,该边缘计算节点使用数据过滤算法对收集到的数据进行初步分析,以识别潜在的安全威胁;
中央处理单元:应用时间序列分析算法,分析来自边缘计算节点的数据,识别复杂的攻击模式和异常行为;
安全策略执行器:根据中央处理单元的分析结果,安全策略执行器负责部署针对性的安全策略;
反馈调整模块:用于将安全策略执行的结果和效果反馈至异构安全监控模块,并根据执行结果调整传感器网络的监控策略和参数,实现闭环安全监控和响应机制;
外部安全系统接口:用于与外部安全系统进行数据交换和策略协同,并能够与外部安全设备共享数据和协调安全策略,形成跨系统的综合安全防御网络;
持续更新与优化模块:基于来自反馈调整模块和外部安全系统接口的数据,持续更新安全策略以适应不断迭代的威胁和攻击模式。
CN202410100959.6A 2024-01-25 2024-01-25 一种处理器网络安全防御系统及方法 Active CN117692251B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202410100959.6A CN117692251B (zh) 2024-01-25 2024-01-25 一种处理器网络安全防御系统及方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202410100959.6A CN117692251B (zh) 2024-01-25 2024-01-25 一种处理器网络安全防御系统及方法

Publications (2)

Publication Number Publication Date
CN117692251A CN117692251A (zh) 2024-03-12
CN117692251B true CN117692251B (zh) 2024-04-09

Family

ID=90126776

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202410100959.6A Active CN117692251B (zh) 2024-01-25 2024-01-25 一种处理器网络安全防御系统及方法

Country Status (1)

Country Link
CN (1) CN117692251B (zh)

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103441982A (zh) * 2013-06-24 2013-12-11 杭州师范大学 一种基于相对熵的入侵报警分析方法
CN117061214A (zh) * 2023-09-06 2023-11-14 长园电力技术有限公司 一种输电边缘网关网络安全防御系统及方法

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11362996B2 (en) * 2020-10-27 2022-06-14 Centripetal Networks, Inc. Methods and systems for efficient adaptive logging of cyber threat incidents

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103441982A (zh) * 2013-06-24 2013-12-11 杭州师范大学 一种基于相对熵的入侵报警分析方法
CN117061214A (zh) * 2023-09-06 2023-11-14 长园电力技术有限公司 一种输电边缘网关网络安全防御系统及方法

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
马方圆 ; 林德溪 ; 许明阳 ; 王璟德 ; 孙巍 ; .基于多元统计方法的过程单元缓变故障识别.化工进展.(04),全文. *

Also Published As

Publication number Publication date
CN117692251A (zh) 2024-03-12

Similar Documents

Publication Publication Date Title
Novaes et al. Long short-term memory and fuzzy logic for anomaly detection and mitigation in software-defined network environment
US11522887B2 (en) Artificial intelligence controller orchestrating network components for a cyber threat defense
Stakhanova et al. A taxonomy of intrusion response systems
EP2487860B1 (en) Method and system for improving security threats detection in communication networks
CN112887268B (zh) 一种基于全面检测和识别的网络安全保障方法及系统
CN111224973A (zh) 一种基于工业云的网络攻击快速检测系统
Granat et al. Big data analytics for event detection in the IoT-multicriteria approach
CN117614745B (zh) 一种用于处理器网络防护的协同防御方法及系统
CN111935189B (zh) 工控终端策略控制系统及工控终端策略控制方法
Dalmazo et al. Expedite feature extraction for enhanced cloud anomaly detection
Hasan et al. Artificial intelligence empowered cyber threat detection and protection for power utilities
Haslum et al. Fuzzy online risk assessment for distributed intrusion prediction and prevention systems
CN117424740A (zh) 基于深度学习的智能网络设备服务主机安全管理系统
Maglaras et al. Novel intrusion detection mechanism with low overhead for SCADA systems
Fei et al. Machine learning for securing Cyber–Physical Systems under cyber attacks: A survey
Ghanshala et al. BNID: a behavior-based network intrusion detection at network-layer in cloud environment
CN117692251B (zh) 一种处理器网络安全防御系统及方法
CN117614738A (zh) 工业入侵监测系统
CN117319090A (zh) 一种网络安全智能防护系统
Siraj et al. Towards predictive real-time multi-sensors intrusion alert correlation framework
CN111338297B (zh) 一种基于工业云的工控安全框架系统
Eid et al. IIoT network intrusion detection using machine learning
Bhatti et al. Building adaptive defense against cybercrimes using real-time data mining
Funchal et al. Security for a Multi-Agent Cyber-Physical Conveyor System using Machine Learning
Jiang et al. Anomaly Detection and Access Control for Cloud-Edge Collaboration Networks.

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant