法信息;
S202基于所述元素组合生成可信规则和阻断规则; S203将可疑事件与所述可信规则进行匹配,并判断是否成功匹配,若是,则所述可疑事件是可信事件,否则执行S204;
S204将可疑事件与所述阻断规则进行匹配,并判断是否成功匹配,若是,则所述可疑事件是恶意事件,进行拦截操作,否则执行S205 ;
S205提取所述可疑事件的关键元素;
S206将所述关键元素作为预设受信模型的输入,基于预设受信模型的输出结果判断是否是可信事件,若是,则基于所述关键元素组合生成可信规则,用于后续检测,否则执行S207 ;
S207将所述关键元素作为预设恶意模型的输入,基于预设恶意模型的输出结果判断是否是恶意事件,若是,则进行拦截操作,并基于所述关键元素组合生成阻断规则,用于后续检测。
[0030]其中,上述S206与S207的执行顺序并不区分先后,可以根据需要设定执行顺序。
[0031]优选地,所述可信规则的生成手段包括:对相同类型可穿戴设备进行出厂设置扫描,并基于出厂设置情况的相关元素生成可信规则。
[0032]优选地,所述阻断规则包括:文件类规则、URL类规则、数据类规则、权限类规则或者行为类规则。
[0033]优选地,若所述预设受信模型和预设恶意模型都无法给出判断结果,则将提取的可疑事件的关键元素发送至信息安全人员处进行判断。
[0034]优选地,当信息安全人员判定所述可疑事件是可信事件,则基于所述关键元素组合生成可信规则,并用于后续检测;当信息安全人员判定所述可疑事件是恶意事件,则基于所述关键元素组合生成阻断规则,并用于后续检测。
[0035]如上所述,本发明给出了一种基于可穿戴设备的可疑事件检测系统及方法实施例,传统的恶意攻击几乎是以恶意代码为主的形式,而针对可穿戴设备的恶意攻击大部分是以恶意事件为主的形式,因此传统的恶意检测方式并不适用于可穿戴设备。针对可穿戴设备的恶意攻击事件多种多样,有接触式攻击,即设备级连接复制、访问、执行等;非接触式攻击,即蓝牙攻击、3G/4G攻击、wifi攻击等。本发明所述的技术方案针对上述攻击提出:针对特定的可穿戴设备本身进行信息提取,并针对所述信息进行细化到可以直接用于检测的元素,基于收集到的元素进行组合从而生成可信规则和阻断规则,将可疑事件与生成的规则进行匹配从而判定是否是恶意事件,如果是恶意事件则及时阻断其行为,从而实现在可穿戴设备中加入一层安全防护网,阻断各种外来攻击事件,能够保障可穿戴设备的相关信息安全,也能够有效防护攻击者利用可穿戴设备进行对外攻击。
[0036]以上实施例用以说明而非限制本发明的技术方案。不脱离本发明精神和范围的任何修改或局部替换,均应涵盖在本发明的权利要求范围当中。
【主权项】
1.一种基于可穿戴设备的可疑事件检测系统,其特征在于,包括: 信息提取组件,用于针对相同类型可穿戴设备进行信息提取,并将所述信息拆分到直接用于检测的元素;所述信息包括:硬件信息、文件信息、功能信息或者通讯方法信息; 可信组件,用于基于所述元素组合生成可信规则,并将可疑事件与所述可信规则进行匹配,若成功匹配,则所述可疑事件是可信事件,否则由阻断组件进行检测操作; 阻断组件,用于基于所述元素组合生成阻断规则,并将可疑事件与所述阻断规则进行匹配,若成功匹配,则所述可疑事件是恶意事件,进行拦截操作,否则由智能探知组件进行检测操作; 智能探知组件,用于提取可疑事件的关键元素作为预设受信模型的输入,基于预设受信模型的输出结果判断是否是可信事件,若是,则基于所述关键元素组合生成可信规则,并添加至可信组件中; 用于提取可疑事件的关键元素作为预设恶意模型的输入,基于预设恶意模型的输出结果判断是否是恶意事件,若是,则进行拦截操作,并基于所述关键元素组合生成阻断规则,并添加至阻断组件中。2.如权利要求1所述的系统,其特征在于,所述可信组件中可信规则的生成手段包括:对相同类型可穿戴设备进行出厂设置扫描,并基于出厂设置情况的相关元素生成可信规则。3.如权利要求1所述的系统,其特征在于,所述阻断组件中阻断规则包括:文件类规则、URL类规则、数据类规则、权限类规则或者行为类规则。4.如权利要求1所述的系统,其特征在于,若所述智能探知组件中的预设受信模型和预设恶意模型都无法给出判断结果,则将提取的可疑事件的关键元素发送至信息安全人员处进行判断。5.如权利要求4所述的系统,其特征在于,当信息安全人员判定所述可疑事件是可信事件,则基于所述关键元素组合生成可信规则,并添加至可信组件中;当信息安全人员判定所述可疑事件是恶意事件,则基于所述关键元素组合生成阻断规则,并添加至阻断组件中。6.一种基于可穿戴设备的可疑事件检测方法,其特征在于,包括: 针对相同类型可穿戴设备进行信息提取,并将所述信息拆分到直接用于检测的元素;所述信息包括:硬件信息、文件信息、功能信息或者通讯方法信息; 基于所述元素组合生成可信规则和阻断规则; 将可疑事件与所述可信规则进行匹配,若成功匹配,则所述可疑事件是可信事件,否则将可疑事件与所述阻断规则进行匹配,若成功匹配,则所述可疑事件是恶意事件,进行拦截操作; 若可疑事件与所述可信规则和所述阻断规则都无法成功匹配,则提取所述可疑事件的关键兀素; 将所述关键元素作为预设受信模型的输入,基于预设受信模型的输出结果判断是否是可信事件,若是,则基于所述关键元素组合生成可信规则,用于后续检测; 将所述关键元素作为预设恶意模型的输入,基于预设恶意模型的输出结果判断是否是恶意事件,若是,则进行拦截操作,并基于所述关键元素组合生成阻断规则,用于后续检测。7.如权利要求6所述的方法,其特征在于,所述可信规则的生成手段包括:对相同类型可穿戴设备进行出厂设置扫描,并基于出厂设置情况的相关元素生成可信规则。8.如权利要求6所述的方法,其特征在于,所述阻断规则包括:文件类规则、URL类规贝U、数据类规则、权限类规则或者行为类规则。9.如权利要求6所述的方法,其特征在于,若所述预设受信模型和预设恶意模型都无法给出判断结果,则将提取的可疑事件的关键元素发送至信息安全人员处进行判断。10.如权利要求9所述的方法,其特征在于,当信息安全人员判定所述可疑事件是可信事件,则基于所述关键元素组合生成可信规则,并用于后续检测;当信息安全人员判定所述可疑事件是恶意事件,则基于所述关键元素组合生成阻断规则,并用于后续检测。
【专利摘要】本发明公开了一种基于可穿戴设备的可疑事件检测系统及方法,包括,针对相同类型可穿戴设备进行信息提取,并将所述信息拆分到直接用于检测的元素;基于所述元素组合生成可信规则和阻断规则,并将可疑事件与所述可信规则和所述阻断规则进行匹配;智能探知组件,用于提取可疑事件的关键元素作为预设受信模型和预设恶意模型的输入,基于相关模型的输出结果判断是可信事件还是恶意事件。本发明所述技术方案,能够有效检测针对可穿戴设备的恶意事件,从可穿戴设备的软硬件配置和功能特性出发,生成针对于该类型可穿戴设备的检测规则,从而对可疑事件进行是否是恶意的判断;能够有效检测和拦截可疑操作,从根本上保护使用者的信息数据安全。
【IPC分类】G06F21/56, H04L29/06
【公开号】CN104978524
【申请号】CN201410644969
【发明人】宋兵, 李柏松
【申请人】哈尔滨安天科技股份有限公司
【公开日】2015年10月14日
【申请日】2014年11月14日