CN118018328B - 基于端口感知的主动防御与攻击方法、系统、设备和介质 - Google Patents
基于端口感知的主动防御与攻击方法、系统、设备和介质 Download PDFInfo
- Publication number
- CN118018328B CN118018328B CN202410411829.4A CN202410411829A CN118018328B CN 118018328 B CN118018328 B CN 118018328B CN 202410411829 A CN202410411829 A CN 202410411829A CN 118018328 B CN118018328 B CN 118018328B
- Authority
- CN
- China
- Prior art keywords
- equipment
- current
- access
- information
- port
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 68
- 230000007123 defense Effects 0.000 title claims abstract description 45
- 230000008447 perception Effects 0.000 title abstract description 7
- 238000012706 support-vector machine Methods 0.000 claims abstract description 24
- 238000012544 monitoring process Methods 0.000 claims abstract description 22
- 230000006378 damage Effects 0.000 claims description 45
- 239000013598 vector Substances 0.000 claims description 36
- 230000007246 mechanism Effects 0.000 claims description 27
- 238000012502 risk assessment Methods 0.000 claims description 25
- 230000006870 function Effects 0.000 claims description 22
- 238000002955 isolation Methods 0.000 claims description 16
- 238000004458 analytical method Methods 0.000 claims description 14
- 238000004590 computer program Methods 0.000 claims description 13
- 238000003066 decision tree Methods 0.000 claims description 13
- 230000000694 effects Effects 0.000 claims description 10
- 230000007613 environmental effect Effects 0.000 claims description 10
- 238000011156 evaluation Methods 0.000 claims description 10
- 230000004044 response Effects 0.000 claims description 10
- 230000006399 behavior Effects 0.000 claims description 7
- 238000004364 calculation method Methods 0.000 claims description 7
- 238000004891 communication Methods 0.000 claims description 7
- 238000013507 mapping Methods 0.000 claims description 5
- 238000013210 evaluation model Methods 0.000 claims description 4
- 238000006243 chemical reaction Methods 0.000 claims description 3
- 230000009545 invasion Effects 0.000 abstract description 8
- 230000008260 defense mechanism Effects 0.000 abstract description 5
- 238000004422 calculation algorithm Methods 0.000 description 21
- 230000005540 biological transmission Effects 0.000 description 15
- 230000008569 process Effects 0.000 description 15
- 239000000306 component Substances 0.000 description 12
- 238000012549 training Methods 0.000 description 12
- 230000008713 feedback mechanism Effects 0.000 description 10
- 239000000284 extract Substances 0.000 description 7
- 230000008859 change Effects 0.000 description 5
- 238000013461 design Methods 0.000 description 4
- 230000005672 electromagnetic field Effects 0.000 description 4
- 238000012546 transfer Methods 0.000 description 4
- 208000027418 Wounds and injury Diseases 0.000 description 3
- 230000001364 causal effect Effects 0.000 description 3
- 238000013145 classification model Methods 0.000 description 3
- 238000011217 control strategy Methods 0.000 description 3
- 238000010586 diagram Methods 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 3
- 230000005484 gravity Effects 0.000 description 3
- 208000014674 injury Diseases 0.000 description 3
- 238000007689 inspection Methods 0.000 description 3
- 230000001960 triggered effect Effects 0.000 description 3
- 230000005355 Hall effect Effects 0.000 description 2
- 238000007476 Maximum Likelihood Methods 0.000 description 2
- 238000012550 audit Methods 0.000 description 2
- 230000015572 biosynthetic process Effects 0.000 description 2
- 230000008878 coupling Effects 0.000 description 2
- 238000010168 coupling process Methods 0.000 description 2
- 238000005859 coupling reaction Methods 0.000 description 2
- 238000002790 cross-validation Methods 0.000 description 2
- 230000008030 elimination Effects 0.000 description 2
- 238000003379 elimination reaction Methods 0.000 description 2
- 238000000605 extraction Methods 0.000 description 2
- BTCSSZJGUNDROE-UHFFFAOYSA-N gamma-aminobutyric acid Chemical compound NCCCC(O)=O BTCSSZJGUNDROE-UHFFFAOYSA-N 0.000 description 2
- 238000010801 machine learning Methods 0.000 description 2
- 238000005259 measurement Methods 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 238000006467 substitution reaction Methods 0.000 description 2
- 238000003786 synthesis reaction Methods 0.000 description 2
- 238000012360 testing method Methods 0.000 description 2
- 235000002566 Capsicum Nutrition 0.000 description 1
- 208000033999 Device damage Diseases 0.000 description 1
- 101001042125 Eisenia hortensis Chymotrypsin inhibitor Proteins 0.000 description 1
- 239000006002 Pepper Substances 0.000 description 1
- 235000016761 Piper aduncum Nutrition 0.000 description 1
- 235000017804 Piper guineense Nutrition 0.000 description 1
- 244000203593 Piper nigrum Species 0.000 description 1
- 235000008184 Piper nigrum Nutrition 0.000 description 1
- 230000002159 abnormal effect Effects 0.000 description 1
- 230000005856 abnormality Effects 0.000 description 1
- 125000002015 acyclic group Chemical group 0.000 description 1
- 230000003044 adaptive effect Effects 0.000 description 1
- 230000002776 aggregation Effects 0.000 description 1
- 238000004220 aggregation Methods 0.000 description 1
- 238000013459 approach Methods 0.000 description 1
- 230000003542 behavioural effect Effects 0.000 description 1
- 230000008901 benefit Effects 0.000 description 1
- 230000000903 blocking effect Effects 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 239000008358 core component Substances 0.000 description 1
- 230000004927 fusion Effects 0.000 description 1
- 230000007274 generation of a signal involved in cell-cell signaling Effects 0.000 description 1
- 239000004973 liquid crystal related substance Substances 0.000 description 1
- 238000010606 normalization Methods 0.000 description 1
- 238000005192 partition Methods 0.000 description 1
- 238000007781 pre-processing Methods 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 230000000750 progressive effect Effects 0.000 description 1
- 238000013139 quantization Methods 0.000 description 1
- 238000000611 regression analysis Methods 0.000 description 1
- 230000001105 regulatory effect Effects 0.000 description 1
- 238000005070 sampling Methods 0.000 description 1
- 230000011664 signaling Effects 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
- H04L63/205—Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/24—Classification techniques
- G06F18/241—Classification techniques relating to the classification model, e.g. parametric or non-parametric approaches
- G06F18/2411—Classification techniques relating to the classification model, e.g. parametric or non-parametric approaches based on the proximity to a decision surface, e.g. support vector machines
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/24—Classification techniques
- G06F18/243—Classification techniques relating to the number of classes
- G06F18/24323—Tree-organised classifiers
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/40—Network security protocols
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Data Mining & Analysis (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Theoretical Computer Science (AREA)
- Computing Systems (AREA)
- Computer Hardware Design (AREA)
- Bioinformatics & Cheminformatics (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Evolutionary Computation (AREA)
- Evolutionary Biology (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Bioinformatics & Computational Biology (AREA)
- Artificial Intelligence (AREA)
- Life Sciences & Earth Sciences (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明涉及计算机安全技术领域,公开了一种基于端口感知的主动防御与攻击方法、系统、设备和介质,包括:对接入端口进行监测,得到接入设备的设备信息,将设备信息输入支持向量机模型进行设备分类识别,并判断分类识别结果是否为非法入侵设备;响应于分类识别结果为非法入侵设备,根据设备信息和预设规则,确定电流强度,并根据电流强度向接入设备发送脉冲电流;获取接入设备被脉冲电流冲击后的状态信息,根据状态信息,判断设备受损状态,并根据设备受损状态,对电流强度进行调整。本发明通过综合性的安全防御机制,实现了对非法入侵的有效防御,同时通过智能化的监测、识别、反馈和动态调整策略,保障了主机端口设施的安全。
Description
技术领域
本发明涉及计算机安全技术领域,特别是涉及一种基于端口感知的主动防御与攻击方法、系统、设备和介质。
背景技术
在高度动态的网络环境中,各类设备频繁接入,为了保证计算机系统的安全,系统必须能够区分合法设备与非法入侵设备。如果在区分过程中出现误判,将会引发严重后果,包括对合法业务操作的干扰与潜在的设备损坏,同时对于非法入侵的设备应当及时进行防护以保证系统的安全。
针对非法设备入侵的问题,目前常用的解决方式是采用防御机制来监测设备的接入权限,防御机制包括主动防御和被动防御,被动防御是指只有当非法入侵设备攻击设备或窃取信息时才会触发防御机制,这种方式很明显无法及时对设备进行保护,而主动防御虽然能够在设备接入时就对设备的安全性进行判断,但是主动防御机制在检测出非法入侵时大多只进行设备隔离保护的防御措施,缺乏对非法入侵设备的攻击的手段,而仅仅通过隔离保护并不能对计算机设备进行及时有效的安全防护。
发明内容
为了解决上述技术问题,本发明提供了一种基于端口感知的主动防御与攻击方法、系统、设备和介质,以能够解决现有方法缺乏主动防御和攻击机制的问题,达到及时有效的对计算机设备进行保护,保证设备运行的安全性和稳定性的技术效果。
第一方面,本发明实施例提供了一种基于端口感知的主动防御与攻击方法,所述方法包括:
对接入端口进行监测,得到接入设备的设备信息,将所述设备信息输入支持向量机模型进行设备分类识别,并判断分类识别结果是否为非法入侵设备;
响应于分类识别结果为非法入侵设备,根据所述设备信息和预设规则,确定电流强度,并根据所述电流强度向所述接入设备发送脉冲电流;
获取所述接入设备被脉冲电流冲击后的状态信息,根据所述状态信息,判断设备受损状态,并根据所述设备受损状态,对所述电流强度进行调整。
进一步地,所述根据所述设备信息和预设规则,确定电流强度的步骤包括:
根据所述设备信息,得到所述接入设备的设备参数,所述设备参数包括设备类型、设备可信任度和历史行为数据;
从预设规则中提取各个所述设备参数对应的子电流强度,并对各个所述子电流强度进行加权求和,得到电流强度。
进一步地,在所述并根据所述电流强度向所述接入设备发送脉冲电流的步骤之后,还包括:
根据接入设备的通信状态,判断接入设备是否断开连接;
响应于接入设备未断开连接,从预设的安全策略知识库获取安全策略规则,将所述设备信息和所述安全策略规则输入模糊逻辑控制器进行模糊推理,得到最优电流强度;
根据所述最优电流强度对所述电流强度进行更新。
进一步地,所述将所述设备信息和所述安全策略规则输入模糊逻辑控制器进行模糊推理,得到最优电流强度的步骤包括:
将所述设备信息和所述安全策略规则输入模糊逻辑控制器进行模糊集合域映射,得到多个模糊子集;
根据相应的隶属度函数,对各个模糊子集进行推理计算,得到推理结果;
对所述推理结果进行控制量转换,得到最优电流强度。
进一步地,所述根据所述状态信息,判断设备受损状态的步骤包括:
从所述状态信息中提取特征向量,并将所述特征向量输入决策树分析模型进行分类,得到所述接入设备的设备受损状态。
进一步地,在所述并根据所述电流强度向所述接入设备发送脉冲电流的步骤之前,还包括:
获取本机设备参数,将所述本机设备参数和所述电流强度输入风险评估模型进行风险评估,得到风险评估结果;
将所述风险评估结果与风险阈值相比较,并根据比较结果判断是否开启保护机制,所述保护机制包括电路隔离机制和端口锁定机制。
进一步地,在所述并根据所述电流强度向所述接入设备发送脉冲电流的步骤之后,还包括:
获取所述接入端口的电流参数和环境参数,所述电流参数包括电流强度和电流持续时间;
将所述电流参数和所述环境参数输入危害评估模型进行危害评估,得到危害评估结果;
将所述危害评估结果与危害阈值相比较,并根据比较结果,对所述电流参数进行调整。
第二方面,本发明实施例提供了一种基于端口感知的主动防御与攻击系统,所述系统包括:
入侵监测模块,用于对接入端口进行监测,得到接入设备的设备信息,将所述设备信息输入支持向量机模型进行设备分类识别,并判断分类识别结果是否为非法入侵设备;
主动攻击模块,用于响应于分类识别结果为非法入侵设备,根据所述设备信息和预设规则,确定电流强度,并根据所述电流强度向所述接入设备发送脉冲电流;
动态调整模块,用于获取所述接入设备被脉冲电流冲击后的状态信息,根据所述状态信息,判断设备受损状态,并根据所述设备受损状态,对所述电流强度进行调整。
第三方面,本发明实施例还提供了一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现上述方法的步骤。
第四方面,本发明实施例还提供一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现上述方法的步骤。
本发明提供了一种基于端口感知的主动防御与攻击方法、系统、设备和介质,本发明通过综合性的安全防御机制,能够识别和阻止非法设备接入,同时通过智能化的监测、识别、反馈和动态调整的策略,能够保障主机端口设施和人体的安全。本发明在实现对非法入侵的有效防御的同时,最大限度地减少了对设备正常使用的影响。
附图说明
图1是本发明实施例中基于端口感知的主动防御与攻击方法的流程示意图;
图2是本发明实施例中基于端口感知的主动防御与攻击系统的结构示意图;
图3是本发明实施例中计算机设备的内部结构图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
请参阅图1,本发明第一实施例提出的一种基于端口感知的主动防御与攻击方法,包括步骤S10~S30:
步骤S10,对接入端口进行监测,得到接入设备的设备信息,将所述设备信息输入支持向量机模型进行设备分类识别,并判断分类识别结果是否为非法入侵设备;
步骤S20,响应于分类识别结果为非法入侵设备,根据所述设备信息和预设规则,确定电流强度,并根据所述电流强度向所述接入设备发送脉冲电流;
步骤S30,获取所述接入设备被脉冲电流冲击后的状态信息,根据所述状态信息,判断设备受损状态,并根据所述设备受损状态,对所述电流强度进行调整。
本发明基于端口感知技术,提供了一种用于防范非法设备接入电脑主机端口的安全保护方法,首先通过对接入端口的监测来获取接入设备的设备信息,这里接入端口为USB端口,设备信息包括设备的硬件信息和通信数据等,然后通过获取到的设备信息,采用预设算法来对设备信息进行分析,判断接入设备的合法性。
在一个优选的实施例中,本发明采用了支持向量机模型来进行数据分析,从设备信息中提取出关键特性向量,并输入到支持向量机模型中,对接入识别进行分类识别,判断接入设备是否为非法入侵设备,具体的,本实施例中的端口监测基于内核态的驱动程序实现,通过注册USB总线驱动的回调函数,实时获取USB端口的即插即用事件,当检测到新设备接入时,获取设备的描述信息,比如如供应商ID、产品ID、设备类别等,并提取其中的关键特征,如接口数量、端点地址、传输类型等,这些特征通过特征工程算法进行量化,转化为高维特征向量,并将高维特征向量输入预先训练好的支持向量机模型中进行设备分类识别。
本实施例中的支持向量机模型采用了RBF核函数,通过网格搜索和交叉验证等方法优化模型超参数,如惩罚因子C、核函数参数γ等,模型训练时,使用大量已知类别的设备样本数据,包括白名单设备和已知的非法设备,通过监督学习算法构建最优分类超平面。当新设备接入时,将提取的特征向量输入到支持向量机模型中,模型根据分类超平面的位置,判断该设备属于合法接入设备还是非法入侵设备。如果模型输出的决策函数值小于预设的阈值,则表明该设备为非法入侵设备。
在一个优选的实施例中,当识别出有非法入侵设备时,可以立即生成非法入侵警报,警报信息通过内核消息队列机制进行发送,当用户端接收到警报后,可以根据预定义的处置策略,对非法入侵设备执行相应的控制操作,比如通过libusb库发送复位命令,强制断开非法入侵设备的连接;通过udev规则,动态设置非法设备的访问权限,禁止其访问系统资源;通过rsyslog服务,将非法入侵事件记录到系统日志中,便于事后审计和分析等。进一步地,在本实施例中,还会定期更新支持向量机模型,根据新收集的设备样本数据,对模型进行增量训练,不断提高模型的分类准确率,此外,本实施例会监测本机的CPU和内存占用情况,动态调整模型推理的频率和并发度,确保非法入侵识别过程不会显著影响本机系统的整体性能。本实施例充分利用了机器学习算法的智能分类能力,避免了传统的基于黑白名单的防御方式,具有更强的适应性和鲁棒性。
下面通过举例对上述入侵识别步骤进行详细说明,假设在某次非法入侵识别的情形中,通过内核态驱动程序实时监测到一个USB设备接入事件。该设备的供应商ID为0x1234,产品ID为0x5678,设备类别为通信设备,接口数量为3,端点地址为0x02,传输类型为批量传输。通过特征工程算法,这些信息被量化成一个高维特征向量,例如:[1,5,33,2]。在模型训练阶段,已经有1000个设备样本被用于训练支持向量机模型。通过网格搜索方法发现,当惩罚因子C=5和核函数参数γ=1时,模型在交叉验证集上的正确率最高,达到了98%。当将该设备的特征向量输入支持向量机模型进行判断时,模型输出的决策函数值为-2,低于预设的决策阈值(-1)。因此,该设备被判定为非法入侵设备,此时立即生成非法接入警报。该警报信息通过内核消息队列机制传递到用户端。用户端根据预设的处置策略,发送了复位命令,命令值例如为0x1F。通过libusb库执行复位命令后,非法入侵设备的连接被立即断开。同时通过udev规则,改变该非法入侵设备的访问权限,例如将其文件系统权限从'rwx'改变为'---',禁止非法设备访问任何系统资源。此外,通过rsyslog服务,将非法接入事件记录到系统日志中。日志记录了非法设备的详细信息和处置措施,例如日志内容包含了"非法设备接入-供应商ID:0x1234产品ID:0x5678接口数量:3-设备已断开连接并记录此事件"。为了维护模型的最新状态和提高准确性,会定期进行模型更新。比如在过去的一个月内收集了200个新的设备样本,通过增量学习方法对模型进行了再训练,从而将分类准确率提高到了99%。最后,通过监测系统性能,发现在高峰时段,系统的CPU占用率达到了70%,内存占用率达到了80%。为了确保系统性能不受影响,动态调整了模型推理的频率,例如将每秒处理的设备检查次数从100次减少到50次,同时降低模型并发度,确保系统稳定运行。
在另一个优选的实施例中,本发明还可以对接入设备的设备信息进行进一步的处理,根据接入设备的硬件信息,判断设备的类型和属性以及获取相关的历史行为数据,从而确定接入设备的可信任度,如果可信任度低于阈值,则拒绝设备的接入请求,并记录相关信息,具体的,采用基于硬件的实时监控技术,通过内嵌的专用芯片对接入端口进行持续侦测;该芯片与主机设备的USB控制器紧密集成,可以获取USB总线上的各种信令和数据包,实现对接入设备的细粒度监控;当检测到新的USB设备接入时,会立即捕获设备的描述符信息,包括设备的制造商ID、产品ID、序列号等;采用基于白名单和黑名单的设备识别机制,通过比对接入设备的属性与预定义的可信设备属性,快速判断设备的类型和可信任度。
同时,本实施例还可以结合历史接入记录和设备行为数据,动态调整设备的可信任评分,比如频繁更换USB接口、大量传输敏感数据的设备会被标记为高风险设备;系统管理员则可以定义灵活的策略规则,对不同可信级别的USB设备执行差异化的访问控制,如阻断非法设备、限制可疑设备的传输速率等;此外,整个USB接入控制流程是在主机设备的操作系统内核层面实现的,以驱动形式加载,与内核深度整合,这种架构确保了USB接入控制的实时性和安全性,避免了应用层程序的干扰和篡改。此外,本实施例还支持详细的审计日志和事件告警,方便管理员事后审查和安全事件响应。
假设主机设备中的监控芯片采用了专用芯片SP10,运行在100MHz主频上,通过I2C接口与USB控制器连接,每隔10ms对USB总线进行一次采样,获取总线状态和数据包信息。当检测到新的USB设备接入时,监测芯片将捕获设备的描述符信息,包括制造商ID(如0x1234)、产品ID(如0x5678)和序列号(如A1B2C3D4)等,并通过内核驱动将这些信息传递至设备属性数据库,该数据库包含1000个常见USB设备的属性特征。通过比对接入设备的制造商ID和产品ID与数据库中的记录,可以快速判断设备的类型。例如,如果接入设备的制造商ID为0x1234,产品ID为0x5678,则可以判定其为U盘设备。定义一个置信度阈值,默认为0.8,如果接入设备的属性匹配度低于该阈值,则将其标记为可疑设备。对于每个接入设备,还可以结合历史接入记录和行为数据,动态计算设备的可信任评分。评分算法基于加权平均模型,考虑设备属性匹配度、接入频率、数据传输量等因素,根据如下公式计算得到:
其中为因素i的权重,/>为因素i的归一化值,n为因素数量。
例如,如果设备属性匹配度为0.9,接入频率为10次/天,数据传输量为100MB/次,则可信任评分为:
系统管理员可以针对不同的可信任评分设置访问控制策略。例如,将可信任评分低于0.6的设备定义为高风险设备,禁止其访问系统的关键资源;将可信任评分在0.6到0.8之间的设备定义为可疑设备,限制其传输速率不超过10MB/s;将可信任评分高于0.8的设备定义为可信设备,允许其正常访问系统资源。这些策略通过驱动程序实现,确保了策略执行的实时性和强制性。整个USB接入控制流程在操作系统内核中实现,以驱动形式加载,与内核函数紧密集成。例如,通过注册USB总线驱动的回调函数,实现对总线事件的实时监听;通过修改内核的设备树,动态调整USB设备的访问权限。内核层面的实现避免了应用层程序的干扰,提高了系统的安全性和稳定性。同时可以将关键事件以Syslog格式记录下来,包括时间戳、事件类型、设备信息等,并通过网络协议发送到远程日志服务器。当出现高风险事件时(如检测到恶意USB设备),系统还会通过SNMPTrap或邮件方式及时通知管理员,便于快速响应和处置。日志和告警信息对于事后审查和安全取证也具有重要价值。
当监测发现接入设备为非法入侵设备时,本发明除了上述的隔离控制从软件方面进行保护之外,还提供了主动攻击机制,即通过向非法入侵设备发送脉冲电流来损坏其内部结构,从硬件方面从本机设备进行保护,通过脉冲电流进行主动攻击的难点在于,需精确控制电流发放的时机与强度。触发机制的设计必须保证快速反应,同时还要确保电流的施加不会对网络端口本身及附近合法设备造成影响。这要求系统在实时监控网络状况的同时,能够对电流强度进行动态调节。基于此,本发明提供了一种脉冲电流的电流强度的设计方法,其具体步骤包括:
根据所述设备信息,得到所述接入设备的设备参数,所述设备参数包括设备类型、设备可信任度和历史行为数据;
从预设规则中提取各个所述设备参数对应的子电流强度,并对各个所述子电流强度进行加权求和,得到电流强度。
在本实施例中脉冲电流的初始电流强度是基于预设规则来确定的,具体的,采用基于规则引擎的设计方式,预先定义了一系列电流强度分配规则,规则中包括多个维度因素,比如非法入侵设备的设备类型、可信任度以及历史行为等,根据获取到的设备信息,从分配规则中提取对应的电流强度,然后通过加权求和计算的方式,得到初始的电流强度,其中,规则引擎支持管理员通过Web界面动态配置和调整规则,以适应不同的安全需求和环境变化。
在得到电流强度之后,就可以生成相应的电流控制信号,并发送至USB端口的物理电路,实现对接入设备的脉冲电流冲击。具体的,脉冲电流采用FPGA的硬件实现方式,通过高速数字I/O接口获取设备识别结果和电流强度值,在FPGA内部集成有控制寄存器,用于存储当前的电流强度,当接收到非法接入警报时,通过内部的状态机电路,依次执行参数请求、参数接收、信号生成等步骤,其中,电流控制信号通过FPGA的PWM(脉冲宽度调制)模块生成,其频率和占空比与电流强度参数对应;PWM信号经过隔离电路和功率放大电路后,加载到USB端口的电源线和数据线上,对非法入侵设备施加高压脉冲电流;电流电路采用光耦合器件实现与主机的电气隔离,避免了电流冲击过程对主机硬件的损坏;同时,在本实施例中还集成了过流保护和短路保护等安全防护电路,防止电流冲击过程中出现的意外情况,如设备短路、过载等;此外本实施例还可以实时监测电流冲击过程的电压和电流参数,一旦检测到异常,立即中断电流,并通过硬件中断机制通知上层软件,记录事故信息。
下面通过举例对上述的电流攻击步骤进行说明,假设采用Spartan-6系列FPGA芯片作为硬件实现,其中使用了高速LVDS接口与非法接入识别结果进行通信,接口速率可达800Mbps。检测到USB端口0x0321上出现未授权的U盘设备时,会立即发送一个64字节的告警数据包,其中包含设备的ID(如0xA1B2)、事件序号(如0x0001)等信息。FPGA接收到数据包后,将提取其中的关键字段,触发内部的有限状态机(FSM)进入电流攻击流程。FSM首先发送一个参数请求命令,命令帧格式为{设备ID,事件序号,请求类型},如{0xA1B2,0x0001,0x01}。然后采用基于Lua脚本的规则引擎,根据设备ID查询对应的电流强度规则。规则引擎将计算得到的电流强度参数封装为应答帧,格式为{设备ID,事件序号,强度参数},如{0xA1B2,0x0001,80},通过LVDS接口返回给FPGA。FPGA接收到强度参数后,将其写入内部的控制寄存器中,并触发PWM发生器电路开始工作。PWM发生器采用数字比较器和计数器实现,其中计数器的时钟频率为100MHz,占空比由强度参数决定,计算公式为:duty_cycle=shock_intensity/100,当强度参数为80时,占空比为80%,则PWM波形的高电平时间为8us,低电平时间为2us。PWM信号经过光耦合器件TLP521-4的隔离后,接入USB端口的电源线(VBUS)和数据线(D+/D-)上,对目标设备施加脉冲电流。电流过程中,FPGA实时监测VBUS线上的电压和电流值,并与预设的安全阈值进行比较。当检测到VBUS电压超过5.5V或电流超过1A时,即判定为过压或过流情况,立即关断PWM信号,并向上层软件报告异常事件。同时,FPGA还会定时检查目标设备的连接状态,如果在电流后设备仍然保持连接,则认为电流无效,需要上报警告信息并调整电流策略。电流完成后,将电流结果(成功/失败)和相关参数(如电压、电流、持续时间等)打包为日志数据,通过SPI接口发送给机器学习模型,对电流日志数据进行分类和回归分析,提取关键特征参数,并与历史数据进行比对,输出电流效果得分(0-100分),根据电流效果得到可以对电流规则和参数进行优化。例如,当同一设备多次触发电流但效果评分都很低时,则需要提高该设备的电流强度或延长电流时间。
电流攻击的效果取决于多个因素,如电流强度、持续时间、设备的抗干扰能力等,为了评估电流攻击的对系统防御的有效性,在一个优选的实施例中,本发明通过电流冲击前后设备通信状态的变化,判断脉冲电流是否成功阻断了入侵设备的连接,并根据判断结果来动态优化脉冲电流的相关参数,其具体步骤包括:
根据接入设备的通信状态,判断接入设备是否断开连接;
响应于接入设备未断开连接,从预设的安全策略知识库获取安全策略规则,将所述设备信息和所述安全策略规则输入模糊逻辑控制器进行模糊推理,得到最优电流强度;
根据所述最优电流强度对所述电流强度进行更新。
本实施例采用了基于模糊逻辑控制策略对电流相关参数进行动态调整,通过设备信息和对应的安全策略,来调整电流参数,在确保能够破坏非法入侵设备的同时使对主机端口设备的潜在损害降到最低,其中,调整电流参数的具体步骤包括:
将所述设备信息和所述安全策略规则输入模糊逻辑控制器进行模糊集合域映射,得到多个模糊子集;
根据相应的隶属度函数,对各个模糊子集进行推理计算,得到推理结果;
对所述推理结果进行控制量转换,得到最优电流强度。
在本实施例中,首先获取接入设备的设备信息,同时从预先定义的安全策略知识库中获取适用于当前设备的安全策略规则,将设备信息和安全策略规则输入到模糊逻辑控制器中,执行模糊推理过程;模糊逻辑控制器通过隶属度函数将输入变量映射到模糊集合域,得到模糊化结果;控制器根据fuzzy规则库中的IF-THEN规则,计算输出变量的模糊值,完成模糊决策过程;通过解模糊方法将模糊输出值转换为清晰的电流强度控制值,作为脉冲电流调整的依据,对后续的防御操作提供指导。
模糊逻辑控制器(FLC)是一种基于模糊集合论和模糊推理规则的智能控制方法,通过语言变量和隶属度函数来描述系统的控制策略,可以有效处理复杂、非线性、不确定的控制问题。FLC控制器包含三个核心组件:模糊化接口、推理引擎和解模糊接口;其中,模糊化接口负责将输入变量(如设备类型、可信任度等)映射到预定义的模糊集合域中,形成模糊化的结果;在本实施例中可以将设备类型划分为{未知设备,可信设备,可疑设备,恶意设备}四个模糊子集,并定义相应的三角型隶属度函数;推理引擎是FLC的核心,其根据fuzzy规则库中的控制规则,对模糊化结果进行推理计算,得到输出变量的模糊值;规则库中的每一条规则都是一个IF-THEN语句:
IF(DeviceTypeisMalicious)AND(RiskLevelisHigh)THEN(ShockIntensityisStrong)
每条规则都描述了输入和输出变量之间的映射关系,其中,DeviceType、RiskLevel和ShockIntensity都是语言变量,Malicious、High和Strong是相应的模糊子集;推理引擎采用Mamdani推理方法,通过计算规则前件的隶属度,并使用MIN-MAX合成规则,得到输出变量的模糊值;解模糊接口负责将推理结果转换为清晰的控制量,即电流强度。常见的解模糊方法包括重心法、最大隶属度法等,本实施例优选的使用重心解模糊法,根据输出模糊集的形状和隶属度分布,计算其重心坐标,作为电流强度的最终值,也即得到最优电流强度。
下面通过举例对上述的最优电流强度的获取步骤进行说明,当接收到非法入侵设备信息时,首先提取设备的关键属性,如设备类型为"USB存储设备",厂商ID为"0x1A2B",产品ID为"0x3C4D"等。然后,加载预定义的安全策略知识库,该知识库采用基于XML的结构化表示,存储了各种设备类型对应的风险等级和控制规则。表示USB存储设备的默认风险等级为High,电流强度的缺省值为60,最大值为80,最小值为40。接下来,设备属性和安全策略规则被传递给模糊逻辑控制器(FLC)进行处理。FLC的输入变量包括设备类型(DeviceType)和风险等级(RiskLevel),输出变量为电流强度(ShockIntensity)。其中,DeviceType的模糊子集为{Unknown,Trusted,Suspicious,Malicious},RiskLevel的模糊子集为{Low,Medium,High},ShockIntensity的模糊子集为{Weak,Medium,Strong}。在模糊化阶段,FLC根据输入变量的清晰值,计算其对每个模糊子集的隶属度。例如,如果DeviceType的清晰值为0.6,则其对应的隶属度向量为[0,0,0.67,0.33],表示该设备有67%的可能性是可疑设备,33%的可能性是恶意设备。然后,FLC根据预定义的模糊规则库,对隶属度向量进行模糊推理。规则库中包含一系列IF-THEN规则,比如:
IF(DeviceTypeisUnknown)AND(RiskLevelisLow)THEN(ShockIntensityisWeak)IF(DeviceTypeisSuspicious)AND(RiskLevelisMedium)THEN(ShockIntensityisMedium)IF(DeviceTypeisMalicious)AND(RiskLevelisHigh)THEN(ShockIntensityisStrong)
对于每一条规则,FLC计算规则前件(即IF部分)的隶属度,其中AND操作采用取小值的方式。例如,对于规则2,如果DeviceType对Suspicious的隶属度为0.67,RiskLevel对Medium的隶属度为0.8,则规则前件的隶属度为min(0.67,0.8)=0.67。接下来,FLC使用MAX-MIN合成规则,将每个规则的推理结果合并为一个总的输出模糊集。本实施例综合分析了设备类型、风险等级等多个影响因素,通过模糊推理规则库的设计,体现了安全专家的经验知识;同时,隶属度函数和解模糊算法的选择,保证了阈值计算的连续性和平滑性,避免了突变和失控的情况。与传统的静态阈值设定方法相比,本实施例提供的模糊控制策略具有更强的灵活性和鲁棒性,能够适应复杂多变的入侵场景,提高系统的安全防护水平。
在对接入设备发送脉冲电流进行电流冲击之后,为了保证攻击效果,本发明还设计了设备反馈机制来获取接入设备的状态信息,并采用决策树分析法分析设备受损情况,从而为后续防御策略调整提供数据支持。
在一个优选的实施例中,当对非法入侵设备实施电流冲击后,设备反馈机制开始工作。反馈机制通过USB接口向非法入侵设备发送状态查询命令,获取设备的当前状态信息。设备状态信息包括设备的工作模式、电源状态、数据传输状态等参数,反馈机制将这些信息提取出来并转换为特征向量,作为决策树分析模型的输入数据。
决策树分析模型根据预训练的分类模型,对特征向量进行分类,判断设备是否受到损坏。分析结果以概率的形式输出,表示设备完全损坏、部分损坏和未损坏的可能性。决策树分析的结果为防御策略的动态调整提供了依据。具体的,设备反馈机制采用基于USB协议的主动查询方式,定期向非法入侵设备发送控制传输请求,获取设备的各种状态参数。查询命令通过USB的控制端点(Endpoint0)发送,使用标准的USB设备请求格式,如Get_Status、Get_Configuration等。反馈机制解析设备返回的描述符数据,提取关键的状态信息,如配置值、接口状态、端点状态等。提取的状态信息通过特征工程算法转换为数值化的特征向量,每个维度表示一个关键参数。电源状态可以用0/1表示关闭/开启,数据传输状态可以用整数表示传输速率等。特征向量的维度和取值范围根据具体的设备类型和防御需求而定。决策树分析模型采用预训练的分类模型,对特征向量进行分类。分类模型采用C4.5算法构建,通过信息增益比来选择最优划分属性,递归地生成树形结构。每个非叶节点表示一个特征属性,叶节点表示分类结果,即设备受损情况。模型训练时,使用大量已标记的设备状态样本数据,其中每个样本包含特征向量和对应的受损标签,受损标签包括完全损坏/部分损坏/未损坏。分类过程从决策树的根节点开始,根据特征向量的属性值,选择对应的子树分支,递归地向下遍历,直到达到叶节点。叶节点给出设备受损情况的概率分布。反馈机制将决策树分析的结果进行上报,上报内容包括设备ID、时间戳、受损概率等信息。根据这些反馈数据,动态调整电流强度、持续持续时间等攻击参数,优化通过电流攻击产生防御的效果。同时,反馈数据也可用于更新模糊规则库和训练样本集,提高整个系统的自学习和自适应能力。
下面通过举例对上述的设备损坏分析的步骤进行说明,假设当发现一个未知的USB设备接入,向该设备施加了5毫秒的电流冲击,电流强度为200毫安。随后,设备反馈机制通过USB接口发送Get_Status命令,查询设备的当前状态信息。设备以一个8字节的数据包响应,其中包含的信息为:设备工作模式为正常模式(值为0),电源状态为开启(值为1),数据传输状态为暂无数据传输(值为0)设备反馈机制将这些信息提取出来,并通过特征工程算法将其转换为特征向量,特征向量为:[工作模式,电源状态,数据传输状态]=[0,1,0],将这个特征向量作为决策树分析模型的输入数据。在决策树分析模型中,第一个决策节点是检查电源状态,分支为开启(1)或关闭(0)。由于电源状态为开启(值为1),因此决策树向下遍历到下一个决策节点。下一个决策节点是检查数据传输状态。由于当前状态为暂无数据传输(值为0),决策树到达了一个叶节点,该节点包含了设备损坏状态的概率分布。设备损坏状态的概率分布可能如下,[完全损坏,部分损坏,未损坏]=[05,20,75],这意味着有5%的可能性设备完全损坏,20%的可能性部分损坏,以及75%的可能性未损坏。反馈机制会将这个概率分布进行上报,上报内容包括:设备ID:USB123456,时间戳:20xx-x-xx10:15:30,受损概率:[完全损坏:05,部分损坏:20,未损坏:75]。
根据这个反馈,判断设备尚未损坏,因此决定保持当前的电流强度和持续时间不变,并将这次事件记录下来,用于将来更新模型的训练样本集和模糊规则库。这样做可以提高系统对类似事件的响应能力,实现更精准的防御。
在实际应用中,当主机设备向接入设备发送脉冲电流时,会存在对自身产生损害的风险,为了确保自身主机端口设施的安全性,在一个优选的实施例中,本发明还提供一种用于自身主机设备保护的方法,其具体步骤包括:
获取本机设备参数,将所述本机设备参数和所述电流强度输入风险评估模型进行风险评估,得到风险评估结果;
将所述风险评估结果与风险阈值相比较,并根据比较结果判断是否开启保护机制,所述保护机制包括电路隔离机制和端口锁定机制。
在本实施例中,通过获取电流攻击的执行命令和相关参数来启动风险分析流程,风险分析所采用的是基于贝叶斯网络算法构建的风险评估模型,将当前的主机状态信息和电流参数输入风险评估模型,风险评估模型综合考虑各种风险因素,计算自身损害风险的概率分布。然后将风险分析结果与风险阈值进行比较,来判断是否需要启动保护机制,即当超过阈值时,通过控制指令触发电路隔离机制和端口锁定机制。其中,电路隔离机制通过继电器切换,将USB端口的电源线和数据线与主机电路物理隔离,防止电气损坏;端口锁定机制向USB控制器发送禁用信号,暂停端口的数据传输功能,避免逻辑损坏。
具体的,在本实施例中采用基于风险的自适应防御策略,在执行电流攻击前,先评估可能对主机设施造成的损害风险,再决定是否启动保护措施;风险评估采用贝叶斯网络算法,通过因果关系图建模,综合分析多个风险因素之间的相互影响。
贝叶斯网络是一种概率图模型,由有向无环图(DAG)和条件概率表(CPT)组成;图中的节点表示随机变量,如电流强度、端口类型、设备状态等;有向边表示变量之间的因果依赖关系,如电流强度影响元器件损坏概率;CPT定义了每个节点在其父节点取不同值时的条件概率分布。风险评估模型的构建过程包括结构学习和参数学习两个阶段;结构学习根据专家知识和历史数据,确定贝叶斯网络的拓扑结构,即变量之间的因果关系。常用的结构学习算法有K2算法、MCMC算法等;参数学习根据样本数据,估计CPT中的条件概率值;常用的参数学习算法包括极大似然估计、贝叶斯估计等。
在进行风险评估时,将当前的系统状态和攻击参数输入到贝叶斯网络中,通过概率推理计算损害风险的后验概率分布;常用的推理算法有精确推理和近似推理两大类,如可变消元法、椒图信念传播法等;推理结果以概率值的形式输出。然后将推理得到的损害风险概率与预设的阈值进行比较;如果超过阈值,则启动相应的保护措施,包括电路隔离和端口锁定;其中,电路隔离通过继电器开关实现,继电器的线圈与USB控制器的GPIO引脚相连,通过软件控制继电器的吸合和断开,从而实现USB端口电源线和数据线的物理隔离;端口锁定通过向USB控制器发送禁用信号实现,如在寄存器USBCMD中设置RS位(Run/Stop)为0,使控制器进入停止状态,暂停所有USB传输事务;锁定状态通过查询USBSTS寄存器的HCH位(HCHalted)来确认;解锁时,将RS位重新置1,控制器恢复正常工作状态。
下面通过举例对上述的风险评估步骤进行说明,假设当接收到电流攻击的执行命令时,如"对USB端口1执行强度为70的电流攻击",会立即启动风险分析流程。首先加载预先构建的贝叶斯网络模型,该模型通过K2算法学习得到,包含5个节点:电流强度、端口类型、设备状态、元器件损坏、数据丢失,其中电流强度为根节点,元器件损坏和数据丢失为叶节点。模型的CPT通过极大似然估计获得,如P(元器件损坏电流强度=70,端口类型=USB)=0.01。然后将当前的电流强度(70)、端口类型(USB)、设备状态(正常)等参数输入到贝叶斯网络中,采用精确推理算法比如可变消元法,计算损害风险的后验概率。
推理过程首先根据证据实例化相关节点,并通过链式法则和变量消除计算目标节点的边缘分布,如P(元器件损坏电流强度=70)=∑P(元器件损坏电流强度=70,端口类型,设备状态)*P(端口类型)*P(设备状态)。最终得到元器件损坏的概率为0.02,数据丢失的概率为0.005。然后将推理结果与预设的风险阈值(0.05)进行比较,发现元器件损坏和数据丢失的风险都低于阈值,因此决定不启动保护措施,允许电流攻击的执行。如果风险超过阈值,如P(元器件损坏电流强度=90)=0.08,则会立即触发电路隔离机制和端口锁定机制。电路隔离通过控制继电器K1实现,K1的常开端与USB端口的VBUS线相连,常闭端与地相连,线圈与GPIO1相连。当GPIO1输出高电平时,继电器吸合,VBUS与地短接,切断了端口电源;当GPIO1输出低电平时,继电器断开,VBUS恢复正常。数据线的隔离通过继电器K2实现,控制原理与电源线类似。端口锁定通过向USB控制器(如EHCI)发送停止命令实现。通过写寄存器USBCMD(偏移量0x00)的位0(RS)为0,使控制器进入停止状态。此时USBSTS寄存器(偏移量0x04)的位12(HCH)为1,表示控制器已停止。锁定后,端口将拒绝任何新的传输请求,待风险解除后再恢复通信。
实际上,对于主机设备的电流攻击不仅有可能会对自身产生损害,同样可能对周围的人体产生危害,通过上述步骤虽然可以避免电流冲击对自身设备产生损害,但是还缺乏对人体进行保护的机制,基于此,在另一个优选的实施例中,本发明还提供了一种用于对人体安全进行保护的方法,其具体步骤包括:
获取所述接入端口的电流参数和环境参数,所述电流参数包括电流强度和电流持续时间;
将所述电流参数和所述环境参数输入危害评估模型进行危害评估,得到危害评估结果;
将所述危害评估结果与危害阈值相比较,并根据比较结果,对所述电流参数进行调整。
在本实施例中,对于人体安全的防护是基于对端口执行攻击措施的实时状态以及设备周围的环境信息进行综合分析判断来得到的,其中,实时状态数据也即电流相关参数,包括电流强度、电流持续时间等参数。然后采集环境传感器数据,如温度、湿度、电磁场强度等,形成环境特征向量。将攻击状态数据和环境数据输入到危害评估模型中,该模型采用支持向量机算法训练得到。危害评估模型会计算当前状态下人体受到伤害的风险概率,并与预设的安全阈值比较。若风险概率超过安全阈值,则会发送风险告警以及调整建议参数。然后根据风险告警和调整建议,动态调整电流强度、持续时间等攻击参数,或暂停攻击措施。同时实时跟踪攻击执行状态的变化,并持续评估人体安全风险,形成闭环控制。
具体的,在本实施例中采用了多传感器融合技术,实时采集执行现场的环境参数,包括温度、湿度、电磁场强度、电压、电流等。其中,温湿度传感器采用DHT11,测量范围为20-80%RH,0-50℃,通过单总线与微控制器通信;电磁场传感器采用HMC5883L,测量范围为±8Gauss,通过I2C接口读取三轴磁场强度数据;电压和电流传感器分别采用电阻分压电路和霍尔效应传感器,测量范围为0-100V和0-5A,通过ADC接口采集模拟量。
然后将各传感器采集的数据进行预处理,包括去噪、归一化、特征提取等步骤,形成一个N维的环境特征向量X。同时,获取当前的执行状态数据,如电流强度S、持续时间T等,组成状态特征向量Y。将X和Y拼接成一个完整的特征向量Z=[X,Y],作为危害评估模型的输入。危害评估模型采用支持向量机(SVM)算法构建,模型的训练样本来自历史的攻击执行记录和对应的伤害数据。样本数据按照7:3的比例随机划分为训练集和测试集,训练集用于模型学习,测试集用于性能评估。SVM模型的核函数选择高斯核(RBF),通过网格搜索和交叉验证优化核函数参数γ和惩罚因子C,目标是使F1值最大化。训练得到的SVM模型可以对新的输入特征进行分类,判断当前状态下人体受到伤害的风险等级(高、中、低)。同时,模型还可以生成一个风险概率值P,表示在当前状态下发生人体伤害的可能性。将P与预设的安全阈值ε比较,若P>ε,则认为当前状态存在安全隐患,需要采取调整措施。此时根据SVM模型的风险判断结果,生成一个风险告警信号,并将特征向量Z和风险概率P打包,通过消息队列发送给执行电流攻击的单元。该单元通过解析告警消息,提取关键参数,如电流强度S和持续时间T,根据参数调整策略生成新的执行参数S'和T',然后更新攻击执行的配置。调整后的攻击措施继续执行,同时继续跟踪执行状态和环境参数的变化,重复上述风险评估和反馈调整的过程,直到风险概率P降低到安全阈值以下。
下面通过举例对上述的危害评估步骤进行说明,首先,通过DHT11传感器采集环境温湿度数据,通过HMC5883L传感器采集电磁场强度数据,通过电阻分压电路和霍尔效应传感器采集电压和电流数据。假设在某个时刻,DHT11读取到温度为28℃,湿度为60%RH;HMC5883L读取到磁场强度为(10,20,30)mGauss;电压传感器测得电压为5V,电流传感器测得电流为0.5A。然后将这些数据进行归一化处理,温度归一化为0.56,湿度归一化为0.75,磁场强度归一化为(0.125,0.25,0.375),电压归一化为0.05,电流归一化为0.1,最终形成一个8维的环境特征向量X=[0.56,0.75,0.125,0.25,0.375,0.05,0.1]。
同时,获取当前的电流强度S=60和持续时间T=0.5s,将其归一化为[0.6,0.5],与环境特征向量X拼接成完整的输入特征向量Z=[0.56,0.75,0.125,0.25,0.375,0.05,0.1,0.6,0.5],输入到SVM危害评估模型中。SVM模型使用RBF核函数,参数γ=0.1,C=10,根据训练样本学习得到的决策函数为:
其中αi为拉格朗日乘子,yi为样本标签,zi为支持向量,b为偏置项,m为样本标签数。
将特征向量Z代入决策函数,计算得到f(Z)=0.8,由于f(Z)>0,因此判断当前状态下存在人体安全风险,风险概率由sigmoid函数计算得到,即P=sigmoid(f(Z))=1/(1+e^(-0.8))=0.69,高于预设的安全阈值ε=0.5。此时可以生成一个风险告警信号,将特征向量Z和风险概率P=0.69打包成消息,通过ZeroMQ发布订阅模式发送给执行电流攻击的单元。当该单元订阅到告警消息后,提取其中的电流强度S=60和持续时间T=0.5s,根据预设的调整策略,将S线性降低20%,将T线性缩短10%,计算得到新的攻击参数S'=48,T'=0.45s。然后更新配置文件中的电流强度和持续时间字段,重新加载配置,使调整后的参数生效。
继续执行调整后的电流攻击措施,同时继续感知环境参数和执行状态的变化。在下一个采样时刻,读取到温度为26℃,湿度为55%RH,磁场强度为(8,15,25)mGauss,电压为4.8V,电流为0.3A,电流强度为48,持续时间为0.45s,重复上述特征提取、模型预测、风险判断的过程,得到新的风险概率P'=0.42,小于安全阈值ε=0.5,说明调整后的攻击措施已经将人体安全风险降低到可接受的水平,此时取消风险告警,维持当前的执行参数不变。
本发明实施例提供的基于端口感知的主动防御与攻击方法,通过端口感知获取接入设备信息进行非法入侵的识别,并进行脉冲电流的主动攻击,及时有效的阻止了非法设备的接入,同时通过智能化的监测、识别、反馈和动态调整策略,保障了主机端口设施和人体的安全,本发明不仅实现了对非法入侵的有效防御,同时最大限度地减少了对设备正常使用的影响。
请参阅图2,基于同一发明构思,本发明第二实施例提供的一种基于端口感知的主动防御与攻击系统,包括:
入侵监测模块10,用于对接入端口进行监测,得到接入设备的设备信息,将所述设备信息输入支持向量机模型进行设备分类识别,并判断分类识别结果是否为非法入侵设备;
主动攻击模块20,用于响应于分类识别结果为非法入侵设备,根据所述设备信息和预设规则,确定电流强度,并根据所述电流强度向所述接入设备发送脉冲电流;
动态调整模块30,用于获取所述接入设备被脉冲电流冲击后的状态信息,根据所述状态信息,判断设备受损状态,并根据所述设备受损状态,对所述电流强度进行调整。
本发明实施例提出的基于端口感知的主动防御与攻击系统的技术特征和技术效果与本发明实施例提出的方法相同,在此不予赘述。上述基于端口感知的主动防御与攻击系统中的各个模块可全部或部分通过软件、硬件及其组合来实现。上述各模块可以硬件形式内嵌于或独立于计算机设备中的处理器中,也可以以软件形式存储于计算机设备中的存储器中,以便于处理器调用执行以上各个模块对应的操作。
此外,本发明实施例还提出一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,处理器执行计算机程序时实现上述方法的步骤。
请参阅图3,一个实施例中计算机设备的内部结构图,该计算机设备具体可以是终端或服务器。该计算机设备包括通过系统总线连接的处理器、存储器、网络接口、显示器和输入装置。其中,该计算机设备的处理器用于提供计算和控制能力。该计算机设备的存储器包括非易失性存储介质、内存储器。该非易失性存储介质存储有操作系统和计算机程序。该内存储器为非易失性存储介质中的操作系统和计算机程序的运行提供环境。该计算机设备的网络接口用于与外部的终端通过网络连接通信。该计算机程序被处理器执行时以实现基于端口感知的主动防御与攻击方法。该计算机设备的显示屏可以是液晶显示屏或者电子墨水显示屏,该计算机设备的输入装置可以是显示屏上覆盖的触摸层,也可以是计算机设备外壳上设置的按键、轨迹球或触控板,还可以是外接的键盘、触控板或鼠标等。
本领域普通技术人员可以理解,图3中示出的结构,仅仅是与本申请方案相关的部分结构的框图,并不构成对本申请方案所应用于其上的计算机设备的限定,具体的计算设备可以包括比图中所示更多或更少的部件,或者组合某些部件,或者具有同的部件布置。
此外,本发明实施例还提出一种计算机可读存储介质,其上存储有计算机程序,计算机程序被处理器执行时实现上述方法的步骤。
综上,本发明实施例提供一种基于端口感知的主动防御与攻击方法、系统、设备和介质,所述方法通过对接入端口进行监测,得到接入设备的设备信息,将所述设备信息输入支持向量机模型进行设备分类识别,并判断分类识别结果是否为非法入侵设备;响应于分类识别结果为非法入侵设备,根据所述设备信息和预设规则,确定电流强度,并根据所述电流强度向所述接入设备发送脉冲电流;获取所述接入设备被脉冲电流冲击后的状态信息,根据所述状态信息,判断设备受损状态,并根据所述设备受损状态,对所述电流强度进行调整。本发明通过端口感知获取接入设备信息进行非法入侵的识别,并进行脉冲电流的主动攻击,及时有效的阻止了非法设备的接入,同时通过智能化的监测、识别、反馈和动态调整策略,保障了主机端口设施和人体的安全,本发明不仅实现了对非法入侵的有效防御,同时最大限度地减少了对设备正常使用的影响。
本说明书中的各个实施例均采用递进的方式描述,各个实施例直接相同或相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于系统实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。需要说明的是,上述实施例的各技术特征可以进行任意的组合,为使描述简洁,未对上述实施例中的各个技术特征所有可能的组合都进行描述,然而,只要这些技术特征的组合不存在矛盾,都应当认为是本说明书记载的范围。
以上所述实施例仅表达了本申请的几种优选实施方式,其描述较为具体和详细,但并不能因此而理解为对发明专利范围的限制。应当指出的是,对于本技术领域的普通技术人员来说,在不脱离本发明技术原理的前提下,还可以做出若干改进和替换,这些改进和替换也应视为本申请的保护范围。因此,本申请专利的保护范围应以所述权利要求的保护范围为准。
Claims (9)
1.一种基于端口感知的主动防御与攻击方法,其特征在于,包括:
对接入端口进行监测,得到接入设备的设备信息,将所述设备信息输入支持向量机模型进行设备分类识别,并判断分类识别结果是否为非法入侵设备;
响应于分类识别结果为非法入侵设备,根据所述设备信息和预设规则,确定电流强度,并根据所述电流强度向所述接入设备发送脉冲电流;
获取所述接入设备被脉冲电流冲击后的状态信息,根据所述状态信息,判断设备受损状态,并根据所述设备受损状态,对所述电流强度进行调整,以优化通过电流攻击产生防御的效果;
其中,所述根据所述设备信息和预设规则,确定电流强度的步骤包括:
根据所述设备信息,得到所述接入设备的设备参数,所述设备参数包括设备类型、设备可信任度和历史行为数据;
从预设规则中提取各个所述设备参数对应的子电流强度,并对各个所述子电流强度进行加权求和,得到电流强度。
2.根据权利要求1所述的基于端口感知的主动防御与攻击方法,其特征在于,在所述并根据所述电流强度向所述接入设备发送脉冲电流的步骤之后,还包括:
根据接入设备的通信状态,判断接入设备是否断开连接;
响应于接入设备未断开连接,从预设的安全策略知识库获取安全策略规则,将所述设备信息和所述安全策略规则输入模糊逻辑控制器进行模糊推理,得到最优电流强度;
根据所述最优电流强度对所述电流强度进行更新。
3.根据权利要求2所述的基于端口感知的主动防御与攻击方法,其特征在于,所述将所述设备信息和所述安全策略规则输入模糊逻辑控制器进行模糊推理,得到最优电流强度的步骤包括:
将所述设备信息和所述安全策略规则输入模糊逻辑控制器进行模糊集合域映射,得到多个模糊子集;
根据相应的隶属度函数,对各个模糊子集进行推理计算,得到推理结果;
对所述推理结果进行控制量转换,得到最优电流强度。
4.根据权利要求1所述的基于端口感知的主动防御与攻击方法,其特征在于,所述根据所述状态信息,判断设备受损状态的步骤包括:
从所述状态信息中提取特征向量,并将所述特征向量输入决策树分析模型进行分类,得到所述接入设备的设备受损状态。
5.根据权利要求1所述的基于端口感知的主动防御与攻击方法,其特征在于,在所述并根据所述电流强度向所述接入设备发送脉冲电流的步骤之前,还包括:
获取本机设备参数,将所述本机设备参数和所述电流强度输入风险评估模型进行风险评估,得到风险评估结果;
将所述风险评估结果与风险阈值相比较,并根据比较结果判断是否开启保护机制,所述保护机制包括电路隔离机制和端口锁定机制。
6.根据权利要求1所述的基于端口感知的主动防御与攻击方法,其特征在于,在所述并根据所述电流强度向所述接入设备发送脉冲电流的步骤之后,还包括:
获取所述接入端口的电流参数和环境参数,所述电流参数包括电流强度和电流持续时间;
将所述电流参数和所述环境参数输入危害评估模型进行危害评估,得到危害评估结果;
将所述危害评估结果与危害阈值相比较,并根据比较结果,对所述电流参数进行调整。
7.一种基于端口感知的主动防御与攻击系统,其特征在于,包括:
入侵监测模块,用于对接入端口进行监测,得到接入设备的设备信息,将所述设备信息输入支持向量机模型进行设备分类识别,并判断分类识别结果是否为非法入侵设备;
主动攻击模块,用于响应于分类识别结果为非法入侵设备,根据所述设备信息和预设规则,确定电流强度,并根据所述电流强度向所述接入设备发送脉冲电流;
其中,所述根据所述设备信息和预设规则,确定电流强度的步骤包括:
根据所述设备信息,得到所述接入设备的设备参数,所述设备参数包括设备类型、设备可信任度和历史行为数据;
从预设规则中提取各个所述设备参数对应的子电流强度,并对各个所述子电流强度进行加权求和,得到电流强度;
动态调整模块,用于获取所述接入设备被脉冲电流冲击后的状态信息,根据所述状态信息,判断设备受损状态,并根据所述设备受损状态,对所述电流强度进行调整,以优化通过电流攻击产生防御的效果。
8.一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现权利要求1至6中任一项所述方法的步骤。
9.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1至6中任一项所述的方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202410411829.4A CN118018328B (zh) | 2024-04-08 | 2024-04-08 | 基于端口感知的主动防御与攻击方法、系统、设备和介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202410411829.4A CN118018328B (zh) | 2024-04-08 | 2024-04-08 | 基于端口感知的主动防御与攻击方法、系统、设备和介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN118018328A CN118018328A (zh) | 2024-05-10 |
| CN118018328B true CN118018328B (zh) | 2024-06-07 |
Family
ID=90952299
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202410411829.4A Active CN118018328B (zh) | 2024-04-08 | 2024-04-08 | 基于端口感知的主动防御与攻击方法、系统、设备和介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN118018328B (zh) |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2019096149A (ja) * | 2017-11-24 | 2019-06-20 | オムロン株式会社 | 制御装置および制御システム |
| CN113098878A (zh) * | 2021-04-06 | 2021-07-09 | 哈尔滨工业大学(威海) | 一种基于支持向量机的工业互联网入侵检测方法及实现系统 |
| CN114221778A (zh) * | 2021-10-21 | 2022-03-22 | 北京连山科技股份有限公司 | 一种提高无线公网接入安全性的方法 |
| CN115664022A (zh) * | 2022-11-08 | 2023-01-31 | 北京易联通达科技有限公司 | 一种基于非入侵式电表的用电行为监测装置 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US11496507B2 (en) * | 2017-03-09 | 2022-11-08 | Nec Corporation | Abnormality detection device, abnormality detection method and abnormality detection program |
| US11444961B2 (en) * | 2019-12-20 | 2022-09-13 | Intel Corporation | Active attack detection in autonomous vehicle networks |
-
2024
- 2024-04-08 CN CN202410411829.4A patent/CN118018328B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2019096149A (ja) * | 2017-11-24 | 2019-06-20 | オムロン株式会社 | 制御装置および制御システム |
| CN113098878A (zh) * | 2021-04-06 | 2021-07-09 | 哈尔滨工业大学(威海) | 一种基于支持向量机的工业互联网入侵检测方法及实现系统 |
| CN114221778A (zh) * | 2021-10-21 | 2022-03-22 | 北京连山科技股份有限公司 | 一种提高无线公网接入安全性的方法 |
| CN115664022A (zh) * | 2022-11-08 | 2023-01-31 | 北京易联通达科技有限公司 | 一种基于非入侵式电表的用电行为监测装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN118018328A (zh) | 2024-05-10 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Stolfo et al. | A comparative evaluation of two algorithms for windows registry anomaly detection | |
| Bhuyan et al. | Network anomaly detection: methods, systems and tools | |
| Tomlinson et al. | Towards viable intrusion detection methods for the automotive controller area network | |
| US8793790B2 (en) | System and method for insider threat detection | |
| Cheng et al. | Extreme learning machines for intrusion detection | |
| US9369484B1 (en) | Dynamic security hardening of security critical functions | |
| Sharma et al. | An improved network intrusion detection technique based on k-means clustering via Naïve bayes classification | |
| Telikani et al. | Cost-sensitive stacked auto-encoders for intrusion detection in the Internet of Things | |
| Stolfo et al. | Anomaly detection in computer security and an application to file system accesses | |
| Manhas et al. | Implementation of intrusion detection system for internet of things using machine learning techniques | |
| AU2020102142A4 (en) | Technique for multilayer protection from quantifiable vulnerabilities in industrial cyber physical system | |
| CN102546638A (zh) | 一种基于场景的混合入侵检测方法及系统 | |
| CN109344617A (zh) | 一种物联网资产安全画像方法与系统 | |
| Tran et al. | Novel intrusion detection using probabilistic neural network and adaptive boosting | |
| Tamy et al. | An evaluation of machine learning algorithms to detect attacks in SCADA network | |
| US12113810B2 (en) | Autonomic incident response system | |
| Aung et al. | Hybrid intrusion detection system using K-means and classification and regression trees algorithms | |
| CN118018328B (zh) | 基于端口感知的主动防御与攻击方法、系统、设备和介质 | |
| Majidpour et al. | Application of deep learning to enhance the accuracy of intrusion detection in modern computer networks | |
| Ou et al. | Immunity-inspired host-based intrusion detection systems | |
| CN108011880A (zh) | 云数据系统中监控的管理方法和计算机可读存储介质 | |
| Prasad et al. | HIDSC2: Host-based intrusion detection system in cloud computing | |
| Abdel-Azim et al. | Performance analysis of artificial neural network intrusion detection systems | |
| Dhakar et al. | A new model for intrusion detection based on reduced error pruning technique | |
| Shaout et al. | Fuzzy zero day exploits detector system |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant |