种基于可穿戴设备的可疑事件检测方法流程图。
【具体实施方式】
[0020]本发明给出了一种基于可穿戴设备的可疑事件检测系统及方法,为了使本技术领域的人员更好地理解本发明实施例中的技术方案,并使本发明的上述目的、特征和优点能够更加明显易懂,下面结合附图对本发明中技术方案作进一步详细的说明:
本发明首先提供了一种基于可穿戴设备的可疑事件检测系统实施例,如图1所示,包括:
信息提取组件101,用于针对相同类型可穿戴设备进行信息提取,并将所述信息拆分到直接用于检测的元素;所述信息包括:硬件信息、文件信息、功能信息或者通讯方法信息;其中,硬件信息包括但不限于:设备芯片、外联接口、传感器、GPS、话筒、相机或者加速度计;
其中,文件信息包括但不限于:操作系统版本、系统文件或者官方App store ;
其中,功能信息为与该类型可穿戴设备的主要应用功能相关的信息,包括但不限于:医疗方向可穿戴设备:采集人体的生理数据,如血糖、血压、心率、血氧含量、体温、呼吸频率等;
运动健康方向可穿戴设备:采集人体的运动指数,例如通过智能手表自动输入人体健康状态和运动状态,通过智能手环输入睡眠状态等;
娱乐方向可穿戴设备:通过智能眼镜输出视觉3D画面;
或者采集人思维脑电波来控制可穿戴设备操作;及其他无法穷尽的可穿戴设备功能信息; 其中,通讯方法信息包括但不限于:WiF1、3G、4G、蓝牙、NFC或者红外;
其中,所述信息拆分到直接用于检测的元素,以医疗方向可穿戴设备为例说明,如下: 硬件相关元素:中央处理器、传感器、无线发射器等;
文件相关元素:存储心电、血压、呼吸、提问等数据的文件;
功能相关兀素:对于身体状况信息的米集操作、自动报警、传感器交互、云端传输或者图形交互等;
通讯方法相关元素:无线连接、蓝牙连接或者3G连接等;
可信组件102,用于基于所述元素组合生成可信规则,并将可疑事件与所述可信规则进行匹配,若成功匹配,则所述可疑事件是可信事件,否则由阻断组件103进行检测操作;例如:所述可信规则包括:软件下载来自官方APP Store ;软件带有数字签名;软件带有发行厂商的版本信息等;上述可信规则单独使用或者组合使用;
阻断组件103,用于基于所述元素组合生成阻断规则,并将可疑事件与所述阻断规则进行匹配,若成功匹配,则所述可疑事件是恶意事件,进行拦截操作,否则由智能探知组件104进行检测操作;
智能探知组件104,用于提取可疑事件的关键元素作为预设受信模型的输入,基于预设受信模型的输出结果判断是否是可信事件,若是,则基于所述关键元素组合生成可信规则,并添加至可信组件102中;
用于提取可疑事件的关键元素作为预设恶意模型的输入,基于预设恶意模型的输出结果判断是否是恶意事件,若是,则进行拦截操作,并基于所述关键元素组合生成阻断规则,并添加至阻断组件103中。
[0021]其中,所述提取可疑事件的关键元素,即对于可疑事件的主要行为特征和行为对象特征进行信息提取,用于后续判断,例如:
可疑事件为将用户数据以3G连网形式发送到非官方网站,那么该可疑事件的关键元素为:关键元素1,用户数据,即用户的核心信息;关键元素2,3G连网,特征为所发送的距离不受限制,即高危连网行为;关键元素3,非官方网站,即目的站点没有被认证,属于潜在危险;
其中,所述预设受信模型为基于信息提取组件所收集的元素为基础构建的模型,各个元素的取值将最终影响预设受信模型的输出结果;将所提取的可疑事件的关键元素作为输入后,针对该预设受信模型的输出结果判断是否是可信事件;
预设受信模型的构建方式并不唯一,这里可以使用对各个元素设置权值的方式,对可疑事件的关键元素按各自权值进行加和,最终判断权值总和是否超过设定阈值,从而判断是否是可?目事件;
例如:版本信息:带版本信息为5权值,版本信息为官方厂商为10权值,无版本信息为O权值;
文件名:可执行文件后缀信息为O权值,配置文件后缀为5权值,数据文件后缀为10权值;
连网行为:文件WIFI连网行为3权值,蓝牙连网行为为10权值,NFC连网行为为15权值;
当一个带非官方版本信息的文件Α,有用NFC的连网行为时;那么我们可以得出其同时也为可执行文件,那么权值和为20 (5 + O + 15 = 20);那么,该受信模型的输出为20,可以通过设定阈值判断是否是可信事件;
其中,所述预设恶意模型为基于信息提取组件所收集的元素为基础构建的模型,各个元素的取值将最终影响预设恶意模型的输出结果;将所提取的可疑事件的关键元素作为输入后,针对该预设恶意模型的输出结果判断是否是恶意事件;这里可以将可疑事件的关键元素进行串联,形成一个行为模型,针对该行为模型判断是否恶意;
其中,由于基于所述关键元素组合生成可信规则或者阻断规则用于后续检测,从而实现不用人为干预的探知功能,可以自动对所述可信规则和阻断规则进行更新和扩充。
[0022]优选地,所述可信组件中可信规则的生成手段包括:对相同类型可穿戴设备进行出厂设置扫描,并基于出厂设置情况的相关元素生成可信规则。
[0023]优选地,所述阻断组件中阻断规则包括:文件类规则、URL类规则、数据类规则、权限类规则或者行为类规则。
[0024]所述文件类规则包括:文件匹配到特征、版本、签名等阻断规则时直接进行阻断,不允许其执行与传输;
所述URL类规则包括:URL匹配到域名、参数等阻断规则时直接进行阻断,不允许其传输;
所述数据类规则包括:数据内容匹配到特征、关键字、二进制串等阻断规则时直接进行阻断,不允许其传输;
所述权限类规则包括:对各系统程序或者系统程序进行权限规则整理,若匹配到变更规则时直接进行阻断,不允许其更改;
所述行为类规则包括:事件行为本身匹配到可疑行为特征,则进行阻断,不允许其更改;
优选地,若所述智能探知组件中的预设受信模型和预设恶意模型都无法给出判断结果,则将提取的可疑事件的关键元素发送至信息安全人员处进行判断。其中,可以以界面的形式将关键元素展现给信息安全人员;或者以上传方式将关键元素展现给信息安全人员。
[0025]优选地,当信息安全人员判定所述可疑事件是可信事件,则基于所述关键元素组合生成可信规则,并添加至可信组件中;当信息安全人员判定所述可疑事件是恶意事件,则基于所述关键元素组合生成阻断规则,并添加至阻断组件中。
[0026]由于基于所述关键元素组合生成可信规则或者阻断规则用于后续检测,从而实现不用人为干预的探知功能,可以自动对所述可信规则和阻断规则进行更新和扩充。
[0027]其中,可以对可穿戴设备进行交互设置,包括但不限于:官方APP Store URL、云端数据交互URL、设备的核心功能或者设备的核心用户数据。
[0028]其中,可以对可穿戴设备进行过滤设置,包括但不限于:系统文件升级方法、接口设备型号、无线互联方式或者网络数据传输内容过滤。
[0029]本发明还提供了一种基于可穿戴设备的可疑事件检测方法实施例,如图2所示,包括:
S201针对相同类型可穿戴设备进行信息提取,并将所述信息拆分到直接用于检测的元素;所述信息包括:硬件信息、文件信息、功能信息或者通讯方