本發(fā)明涉及智能終端云安全，具體涉及智能終端云安全防護系統(tǒng)及行為特征分析系統(tǒng)。

背景技術(shù)：

1、智能終端云安全?是一種結(jié)合云計算和終端安全技術(shù)的綜合解決方案，旨在保護終端設(shè)備免受惡意威脅和網(wǎng)絡(luò)攻擊。隨著遠程辦公和混合辦公模式的發(fā)展，終端設(shè)備數(shù)量和類型不斷增加，這些設(shè)備成為黑客攻擊企業(yè)網(wǎng)絡(luò)和系統(tǒng)的入口。因此，終端安全技術(shù)在保護企業(yè)免受日益嚴峻的網(wǎng)絡(luò)威脅環(huán)境方面發(fā)揮著至關(guān)重要的作用?。

2、如申請?zhí)枮閏n201220560293.5，授權(quán)公告日為20130501的一種基于智能終端的網(wǎng)絡(luò)安全防護系統(tǒng)，該網(wǎng)絡(luò)安全防護系統(tǒng)包括移動智能終端安全接入網(wǎng)關(guān)設(shè)備、移動智能終端防護設(shè)備、移動智能終端密碼設(shè)備，所述移動智能終端安全接入網(wǎng)關(guān)設(shè)備連接移動智能終端防護設(shè)備，所述移動智能終端防護設(shè)備連接移動智能終端密碼設(shè)備。

3、為了提高智能終端的安全性，會通過云安全防護技術(shù)對智能終端進行防護，但傳統(tǒng)的智能終端云安全防護，大都是在數(shù)據(jù)下載到智能終端上時才能夠發(fā)現(xiàn)問題進行防護的，具有一定的延時性，會導致智能終端的一些資料泄漏，因此，亟需設(shè)計一種智能終端云安全防護系統(tǒng)及行為特征分析系統(tǒng)解決上述問題。

技術(shù)實現(xiàn)思路

1、本發(fā)明的目的是提供智能終端云安全防護系統(tǒng)及行為特征分析系統(tǒng)，以解決現(xiàn)有技術(shù)中的上述不足之處。

2、為了實現(xiàn)上述目的，本發(fā)明提供如下技術(shù)方案：

3、智能終端云安全防護系統(tǒng)，智能終端云安全防護系統(tǒng)，包括接入/輸出單元、請求單元、認證識別單元、溯源追蹤單元、判斷分析單元、屏蔽防護單元，其特征在于：所述接入/輸出單元的輸出端與請求單元、認證識別單元的輸入端之間呈通信連接，所述認證識別單元、溯源追蹤單元的輸入端與請求單元的輸出端之間呈通信連接，所述請求單元、溯源追蹤單元的輸出端與判斷分析單元的輸入端之間呈通信連接，所述判斷分析單元的輸出端與屏蔽防護單元的輸入端之間呈通信連接，所述屏蔽防護單元、認證識別單元的輸出端與接入/輸出單元的輸入端之間呈通信連接；

4、所述智能終端云安全防護系統(tǒng)還包括采集與管控單元，所述采集與管控單元安裝在智能終端上，所述接入/輸出單元與采集與管控單元之間呈通信連接；

5、所述采集與管控單元包括采集模塊，所述采集模塊用于采集智能終端狀態(tài)數(shù)據(jù)、請求數(shù)據(jù)及傳輸數(shù)據(jù)，所述采集模塊依據(jù)智能終端運行系統(tǒng)及其上軟件開通的訪問權(quán)限獲取數(shù)據(jù)，所述接入/輸出單元通過網(wǎng)絡(luò)通信傳輸來進行數(shù)據(jù)的傳輸；

6、所述接入/輸出單元用于接收采集模塊采集的數(shù)據(jù)；

7、所述認證識別單元包括認證模塊、識別模塊，所述認證模塊通過身份認證技術(shù)認證接入/輸出單元接收數(shù)據(jù)中的身份數(shù)據(jù)，所述識別模塊通過網(wǎng)絡(luò)引擎識別技術(shù)對接入/輸出單元接收數(shù)據(jù)中的其他數(shù)據(jù)進行識別歸納，所述識別模塊通過抓取網(wǎng)頁?、?建立索引?和?結(jié)果呈現(xiàn)三種方式對接入/輸出單元接收數(shù)據(jù)中的其他數(shù)據(jù)進行識別歸納，所述請求模塊選用網(wǎng)絡(luò)引擎搜索技術(shù)向互聯(lián)網(wǎng)搜索數(shù)據(jù)，所述接收模塊通過云數(shù)據(jù)傳輸?shù)姆绞将@取互聯(lián)網(wǎng)搜索的數(shù)據(jù)；

8、所述請求單元包括請求模塊、接收模塊，所述請求模塊依據(jù)識別模塊識別的結(jié)果向互聯(lián)網(wǎng)發(fā)生請求信息，所述接收模塊用于接收互聯(lián)網(wǎng)發(fā)回的數(shù)據(jù)；

9、所述溯源追蹤單元為依據(jù)溯源追蹤技術(shù)建立的溯源追蹤模型，所述溯源追蹤模型用于追蹤請求模塊向互聯(lián)網(wǎng)發(fā)送信息的路徑，所述溯源追蹤模型還用于追蹤互聯(lián)網(wǎng)向接收模塊發(fā)送信息的路徑，所述溯源追蹤模型建立步驟如下所示：

10、步驟s1-1.?明確溯源目標，目標為請求模塊向互聯(lián)網(wǎng)發(fā)送信息的路徑、互聯(lián)網(wǎng)向接收模塊發(fā)送信息的路徑兩種，并依據(jù)實際情況設(shè)定溯源追蹤精度；

11、步驟s1-2.采集智能終端日志數(shù)據(jù)、網(wǎng)絡(luò)數(shù)據(jù)、用戶操作數(shù)據(jù)等多模態(tài)數(shù)據(jù)源，并使用?apachenifi?實現(xiàn)流批一體處理，對數(shù)據(jù)進行清洗與格式標準化處理，后通過通過統(tǒng)一時間戳，建立智能終端與云數(shù)據(jù)的時空關(guān)聯(lián)關(guān)系；

12、步驟s1-3.依據(jù)貝葉斯網(wǎng)絡(luò)、路徑還原模型構(gòu)建溯源追蹤模型，并?訓練數(shù)據(jù)，對模型進行強化處理；

13、步驟s1-4.通過實時溯源引擎，建立動態(tài)追蹤機制，后通過可視化技術(shù)可視化展示溯源結(jié)果；

14、所述判斷分析單元分為行為分析模塊、模擬分析模塊，所述行為分析模塊用于對接收模塊接收的數(shù)據(jù)、溯源追蹤單元追蹤的數(shù)據(jù)進行行為分析處理，所述模擬分析模塊用于運行接收模塊接收的數(shù)據(jù)，并依據(jù)模擬運行結(jié)果判斷接收模塊接收的數(shù)據(jù)是否正常，所述模擬分析模塊判斷時依據(jù)風險判斷公式進行計算，且風險判斷公式如下所示：；

15、其中，為模擬分析模塊運行接收模塊接收的第i條數(shù)據(jù)時的運行效率，為模擬分析模塊以往運行的第j條與接收模塊接收的第i條數(shù)據(jù)相似數(shù)據(jù)的運行效率，若0.3>s≥0，表明風險較低，若0.5>s≥0.3，表明有一定風險，若1>s≥0.5，表明有大風險，其中，r為智能終端模擬運行的綜合風險值，且計算公式如下所示：

16、

17、其中，p1為接收模塊接收的第i條數(shù)據(jù)風險事件的發(fā)生概率（0-1區(qū)間），qi為風險事件對模擬分析模塊的影響程度（0-1區(qū)間），wi為動態(tài)權(quán)重系數(shù)，根據(jù)終端類型和業(yè)務場景調(diào)整??。

18、所述屏蔽防護單元依據(jù)判斷分析單元分析的結(jié)果屏蔽接收模塊接收的數(shù)據(jù)及生成警示信息，且具體情況如下所示：

19、第一類情況：若0.3>s≥0，表明風險較低，溯源追蹤模型追蹤的數(shù)據(jù)安全，接收模塊接收的數(shù)據(jù)可以通過接入/輸出單元發(fā)送到采集與監(jiān)控單元；

20、第二類情況：若0.3>s≥0，表明風險較低，溯源追蹤模型追蹤的數(shù)據(jù)有風險，屏蔽防護單元生成警示信息，警示信息會通過接入/輸出單元發(fā)送到采集與監(jiān)控單元，依據(jù)人工判斷確認是否接收接收模塊接收的數(shù)據(jù)；

21、第三類情況：若0.5>s≥0.3，表明有一定風險，屏蔽防護單元生成警示信息，警示信息會通過接入/輸出單元發(fā)送到采集與監(jiān)控單元，依據(jù)人工判斷確認是否接收接收模塊接收的數(shù)據(jù)；

22、第四類情況：若1>s≥0.5，表明有大風險，屏蔽防護單元直接屏蔽數(shù)據(jù)，并生成屏蔽警示信息，后屏蔽警示信息通過接入/輸出單元發(fā)送到采集與監(jiān)控單元，通知用戶屏蔽原因。

23、智能終端云安全行為特征分析系統(tǒng)，所述智能終端云安全行為特征分析系統(tǒng)與行為分析模塊聯(lián)系在一起，所述智能終端云安全行為特征分析系統(tǒng)包括輸出單元、模型預測單元、數(shù)據(jù)分析單元、數(shù)據(jù)提取單元及采集管控單元，所述接入/輸出單元的輸出端與數(shù)據(jù)提取單元的輸出端之間呈通信連接，所述數(shù)據(jù)提取單元的輸出端與數(shù)據(jù)分析單元的輸入端之間呈通信連接，所述數(shù)據(jù)分析單元的輸出端與模型預測單元的輸入端之間呈通信連接，所述數(shù)據(jù)分析單元、模型預測單元的輸出端與輸出單元的輸入端之間呈通信連接，所述輸出單元的輸出端與采集與管控單元、屏蔽防護單元的輸入端之間呈通信連接，所述迭代更新單元的輸出端與數(shù)據(jù)分析單元、模型預測單元、數(shù)據(jù)提取單元的輸入端之間呈通信連接；

24、所述采集與管控單元還包括管控模塊，所述管控模塊依據(jù)輸出單元輸出的結(jié)果控制智能終端的運行；

25、所述數(shù)據(jù)提取單元用于對接入/輸出單元接收的數(shù)據(jù)進行提取處理，且提取過程如下所示：

26、步驟s2-1.明確行為數(shù)據(jù)定義與目標：根據(jù)業(yè)務場景區(qū)分行為類別，明確需提取的行為特征維度，并量化行為特征；

27、步驟s2-2.選用合適的特征提取技術(shù)，后依據(jù)上一步驟得到的特征維度、行為特征構(gòu)建數(shù)據(jù)提取模型；

28、步驟s2-3.通過構(gòu)建的數(shù)據(jù)提取模型對接入/輸出單元接收的數(shù)據(jù)進行特征提取處理，提取結(jié)束后并進行分類歸納處理?。

29、所述數(shù)據(jù)分析單元基于邊-云協(xié)同架構(gòu)、ai深度分析技術(shù)對數(shù)據(jù)提取單元提取的行為數(shù)據(jù)進行分析，且具體步驟如下所示：

30、步驟s3-1.采集以往智能終端數(shù)據(jù)，對以往智能終端數(shù)據(jù)進行分析，構(gòu)建行為風險判斷公式，后利用邊-云協(xié)同架構(gòu)、ai深度分析技術(shù)構(gòu)建數(shù)據(jù)分析模型，并對數(shù)據(jù)分析模型進行訓練優(yōu)化；

31、步驟s3-2.將數(shù)據(jù)提取單元提取的行為數(shù)據(jù)輸入數(shù)據(jù)分析模型，數(shù)據(jù)分析模型運行行為數(shù)據(jù)并利用行為風險判斷公式進行計算，且計算公式如下所示：

32、；

33、其中，pi為第i類風險行為的發(fā)生概率（0-1區(qū)間），基于歷史數(shù)據(jù)或仿真測試統(tǒng)計；1i為風險行為的影響程度（0-10分制），根據(jù)功能降級、數(shù)據(jù)泄露等后果評分；為動態(tài)權(quán)重系數(shù)，結(jié)合終端類型和應用場景調(diào)整（0-1區(qū)間）；c為環(huán)境復雜度因子（0-5分），評估網(wǎng)絡(luò)攻擊面、多設(shè)備協(xié)同等外部風險；為環(huán)境調(diào)節(jié)系數(shù)（默認0.2），用于放大或抑制環(huán)境風險，判斷risk時，需要設(shè)定風險承受閾值（r_max）：

34、（1）低風險?：risk≤0.3×r_max；

35、（2）中風險?：0.3×r_max<risk≤0.7×r_max；

36、（3）高風險?：risk>0.7×r_max??????。

37、所述模型預數(shù)測單元依據(jù)數(shù)據(jù)分析單元分析的結(jié)果與智能終端歷史數(shù)據(jù)進行預測，且預測步驟如下所示：

38、步驟s4-1.?數(shù)據(jù)準備與特征工程：整合風險因子數(shù)據(jù)與外部環(huán)境參數(shù)（c），構(gòu)建結(jié)構(gòu)化時序數(shù)據(jù)集，同時將風險公式參數(shù)映射為深度學習輸入向量；

39、步驟s4-2.深度學習模型構(gòu)建：采用?lstm-autoencoder?架構(gòu)捕捉風險演化規(guī)律?，對非結(jié)構(gòu)化數(shù)據(jù)采用bert提取語義特征，與結(jié)構(gòu)化風險參數(shù)拼接后輸入模型；

40、步驟s4-3.模型訓練與優(yōu)化：自定義加權(quán)損失函數(shù)，強化高影響風險項的識別，并引入focalloss解決類別不平衡問題，同時依據(jù)實際問題修改模型參數(shù)；

41、步驟s4-4.實時預測與反饋：將數(shù)據(jù)分析單元分析的結(jié)果輸入模型，模型運行數(shù)據(jù)開始進行預測?。

42、所述輸出單元依據(jù)api接口技術(shù)建立，所述輸出單元用于將模型預測單元預測結(jié)果、數(shù)據(jù)分析單元分析結(jié)果傳輸給管控模塊。

43、在上述技術(shù)方案中，本發(fā)明提供的智能終端云安全防護系統(tǒng)及行為特征分析系統(tǒng)，有益效果為：

44、（1）本發(fā)明通過模擬分析模塊，能夠?qū)χ悄芙K端需要下載的數(shù)據(jù)提前進行模擬分析，依據(jù)分析能夠得到數(shù)據(jù)是否安全的問題，使得智能終端下載的數(shù)據(jù)大都是安全數(shù)據(jù)，且模擬分析模塊通過沙盒運行與歷史效率對比（s值計算），精準識別加密混淆攻擊（如勒索軟件偽裝成正常文件），漏報率降低至<5%?，并且通過模塊化架構(gòu)設(shè)計、多模態(tài)數(shù)據(jù)融合與智能決策機制，實現(xiàn)了從數(shù)據(jù)采集到威脅響應的全流程閉環(huán)防護。

45、（2）本發(fā)明基于風險判斷公式（r值）與四類風險場景（低風險→高風險），實現(xiàn)?分級響應策略?（如低風險放行、高風險直接屏蔽），避免傳統(tǒng)系統(tǒng)“一刀切”防護導致的誤判或漏判問題，威脅攔截準確率提升?，且溯源追蹤模型結(jié)合貝葉斯網(wǎng)絡(luò)與路徑還原技術(shù)，實現(xiàn)?雙向路徑追蹤?（請求路徑與響應路徑），支持攻擊鏈快速還原（如apt攻擊的橫向移動路徑分析），溯源效率大大提升?。

46、（3）本發(fā)明明確其通過api接口技術(shù)建立，并將模型預測與分析結(jié)果傳輸至管控模塊，實現(xiàn)了?高效集成、實時決策、安全傳輸與智能控制?，顯著提升系統(tǒng)的敏捷性、可靠性與場景適配能力，其打通“數(shù)據(jù)采集→分析→預測→管控”全鏈路，形成端到端安全防護閉環(huán)，增強了系統(tǒng)的實時響應能力與安全性，還通過靈活擴展與智能化聯(lián)動，為多行業(yè)提供了可定制、高可靠的安全解決方案。