物联网络攻击的预测及预警方法.pdf

物联网络攻击的预测及预警方法
    技术领域 本发明涉及一种预测及预警方法， 特别涉及一种用于物联网络中未来骇客活动趋 势和频率进行预测的物联网络攻击的预测及预警方法。
     背景技术 随着现代社会对信息系统及技术依赖的加强， 骇客活动对社会和国家造成的损失 将越来越大。而迅猛发展的物联网系统很有可能成为骇客新的练兵场和攻击目标。由于物 联网对人类生活的重要性， 保障物联网免受或少受黑客攻击有着显然的实际意义。令人遗 憾的是， 由于对骇客活动缺乏科学的判断与预测， 政府与企业对付骇客的方式多是在事后 进行补救， 基本上作不出什么事前的先发制人的行动。 随着骇客活动的不断增加和升级， 提 前对此种活动进行预测及预警将对防止物联网攻击和减少损失具有重要的意义。
     信息技术已经渗透到人类生活的每个角落。 信息技术及控制系统对社会各个方面 的极端重要性已成为一个不争的共识。令人遗憾的是， 伴随着信息技术的普及， 骇客活动 (HACKERACTIVITIES) 也成为我们生活的一部分。随着骇客活动的不断增加和升级， 其造成 的直接和间接损失也在迅速增加。如何防止骇客攻击和减少这种攻击所造成的损失， 已经 成为政府机构、 银行证券工业、 国防机器、 甚至一般企业面临的一个重要项目。
     从政府到金融机构， 从信息技术供应商到技术方案实施商， 各行各业对防止骇客 攻击和减低骇客活动的危害投入了大量的人力与物力。但是， 这些大量的投入并没有取得 人人所满意的结果。 事实上， 骇客活动在近年来有增无减， 造成这种情况的一个重要原因是 缺乏对骇客活动的有效预测， 而无法对其进行先发制人的防范和打击。 事实上， 几乎所有的 针对骇客行为所采取的防范措施都是在事后总结的基础上研发和施行的。或者说， 对骇客 的防范活动基本上是处于亡羊补牢的状态。
     亡羊补牢， 虽然尤为未晚， 但比较起先发制人的采取行动来， 还是差了一截。但是 先发制人的行动必须以前瞻性的准确判断为前提。而目前在对骇客活动的研究方面， 缺少 的恰恰就是对骇客活动的趋势与频率进行科学的预测。显而易见， 如果能够对骇客活动进 行科学的、 具有前瞻性的预测， 则对骇客活动的防范与打击将会有效的多。
     与骇客有关的研究主要分为信息加密 (ENCRYPTION)、 信息编码 (ENCODING)、 软件 阻扰 (SOFTWARE PREVENTION) 和数据恢复 (DATA RECOVERY) 四个方面。
     信息加密研究如何确保电子数据在传送或存储时的安全性。 加密后的信息必须通 过解密 (DECRYPTION) 才能变成可阅读的形式。信息加密的主要手段是通过某种算法或数 学公式对一个完整的信息体 ( 如一篇报告、 方案或程序源代码等 ) 进行转换。目前的加密 有对称 (SYMMETRIC) 与非对称 (ASYMMETRIC) 两种模式。对称模式要求加密和解密使用同 对称模式里的钥匙和非对称模 一个钥匙而非对称模式则要求加密与解密使用不同的钥匙。 式中用来解密的钥匙是绝密的， 称为密钥 (SECRET KEY)。而非对称模式中用来加密的钥匙 则是公开的， 称为公钥 (PUBLIC KEY)。 骇客即使获得加密后的信息， 但由于不知道密钥而难 以破解信息得内容。
     数据编码则存在两个分支。一是保密编码 ； 一是纠错编码。纠错编码主要是是用 来确保信息传输的正确和对传输错误进行纠错。 而保密编码则与防止骇客窃取信息密切相 关。其方法是对信息的最小组成单元进行编码 (ENCODING)， 再将欲保密的信息根据此密码 进行编码 (CIPHER)。编码后的信息必须经过译码 (DECIPHER) 才能被解读。而译码则必须 使用密码才能完成。
     编码与加密有许多相似性。事实上， 有些人就把编码技术和加密技术作为一个研 究领域来对待。但是从根本上来讲， 编码和加密有着很大的不同。加密主要是在数据整体 上包裹一层保护层 ( 一个算法或一系列公式 )， 就像上把锁一样， 有钥匙才能开门。而编码 则是将信息的基本构成单元进行了变异， 就像整形一样， 只有知道这个整形步骤的人才能 解读里面的信息。
     软件阻扰则具有保护数据和系统的双重功能。它主要是通过设置各种阻碍来增 加骇客攻击的难度或主动搜寻可疑行为来发现与封杀骇客活动。像耳熟能详的防火墙 (FIRE WALL) 与杀毒软件 (ANTI-VIRUS SOFTWARE) 就是这方面的例子。另外， 不少系统和 应用软件本身也带有防止数据被窃和系统被控制的功能。软件阻绕的手段包括身份识别 (AUTHENTICATION)、 用户授权 (AUTHORIZATION)、 电子签名 (DIGITAL SIGNATURE)、 资源控制 (ACCESS CONTROL)、 地址验证 (PATH VERIFICATION)、 系统监视 (ACTIVITY MONITORING)、 模 式分析 (PATTERN ANALYSIS)、 注册表检查 (REGISTRATION INSPECTION)、 系统资源异常需求 监测 (UNUSUAL RESOURCEREQUIREMENT MONITORING) 等来施行阻扰骇客进行攻击或发现正 在进行的骇客攻击。 数据恢复则是在数据被毁后对其进行数据修复 (DATA REPAIR) 或恢复 (DATA RECOVERY)。这在骇客攻击的目的主要是毁坏数据的情况下有用。
     信息加密防止信息被盗取或被解读、 信息编码则只防止信息被解读。数据恢复则 将被毁坏的信息进行修复。 软件阻扰则具有同时防止信息被窃取和保护信息系统本身不被 控制的功能 ( 当然每个具体的软件不一定拥有所有这些功能 )， 相对来说， 软件阻扰在对骇 客的防止上最重要， 但也是目前较弱的一个环节。事实上， 防火墙及一系列识别、 授权、 签 名、 验证、 和监视措施对真正的具有恶意的骇客来说， 其阻拦作用不大。而杀毒软件则在根 本性质上属于后发制人， 通常是在危害已经造成的时候才能开发出来。
     随着信息技术在全球的不断普及， 越来越多的机构对电子数据、 信息技术及控制 系统的依赖性不断增长。据美国 EMC 公司 2001 年委托伯克利加州大学 (UC BERKELEY) 的 调查表明， 现在每年全球产生的电子数据超过人类从起始到公元一零零零年中四千年所 产生的数据总和。而且这个年数据产生量现在还在以加速度的趋势增长。人类把越来越 多的重要资料和数据转为电子形式来保存和检索 ( 如银行帐户 BACNK ACCOUNT、 个人档案 PERSONAL INFORMATION 等 )。
     更为重要的是， 越来越多的与人类社会生活甚至生命息息相关的系统都通过信息 技术来控制。如 ： 证券交易 (SECURITY EXCHANGE)、 银行结算 (BANK SETTLEMENT)、 交通管 制 (TRAFFICMANAGEMENT)、 电力调度 (POWER DISTRIBUTION)、 医疗监护 (MEDICAL CONDITION MONITORING) 等。很显然， 保护这些电子数据和信息技术系统不受到攻击或控制事关重大。
     令人遗憾的是， 随着信息技术的普及， 也带来了令现代社会头疼的骇客问题。 骇客 利用对信息技术的掌握， 不断对人们赖以依靠的电子数据或信息系统进行攻击， 轻则进入
     银行提走成百万计的资金， 重则进入电力或军事控制系统来瘫痪其运行。 因此， 如何从根本 上杜绝骇客活动已成为许多政府与机构的一个颇为重要的任务。
     目前与骇客有关的研究均集中在增加骇客攻击的难度或增加骇客解读信息的难 度。 至于对骇客活动与计算机关系方面的系统研究尤其是他们之间的数学关系方面的研究 则尚未见到。 而对骇客活动与计算机系统关系的研究将能给我们提供预测骇客活动的科学 工具， 通过预测我们能够更好的从防止骇客活动的发生上下功夫， 从而达到应付骇客攻击 的最高境界， 即上兵伐谋。
     综上所述， 特别需要一种物联网络攻击的预测及预警方法， 已解决现有存在的上 述问题。 发明内容 本发明的目的在于提供一种物联网络攻击的预测及预警方法， 针对现有存在的上 述问题， 建立一个合理的描述骇客活动与计算机系统关系的数学模型， 探讨计算机系统数 量的变化与骇客活动量变化的直接关系， 并在此基础上建立一个对未来骇客活动趋势和频 率进行预测的方法。
     本发明所解决的技术问题可以采用以下技术方案来实现 ：
     一种物联网络攻击的预测及预警方法， 其特征在于， 根据骇客活动的分析建立骇 客活动与计算机关系的非线性数学模型 ：
     假定 为一有限连接的光滑区域， 则
     ut ＝ k1 Vu+au-f(x， u)+φ(x， u， v)， (x， t) ∈ Ω×(0， ∞)
     vt ＝ k2 Vv+bu+ψ(x， u， v)， (x， t) ∈ Ω×(0， ∞)
     u(x， t) ＝ v(x， t) ＝ 0，u(x， 0) ＝ u0(x) ； v(x， 0) ＝ v0(x)， x∈Ω
     在这里 k1， k2， a ＞ 0 并且 b ∈ R 为实数、 x 为空间变量、 t 为时间变量、 f， φ， ψ为 实变函数， 其中 φ， ψ 代表计算机系统与骇客之间的交叉互连效应项。u， v 函数分别代表 了计算机系统和骇客在量上的分布密度 ；
     然后， 推导出代表计算机系统与骇客之间的交叉互连效应项、 并求取代表计算机 系统与骇客密度分布的 u 函数与 v 函数、 及代表骇客产生率的 b 系数， 从而能够根据 u， v函 数及 b 系数的变化预测骇客活动的未来趋势变化。
     本发明的物联网络攻击的预测及预警方法， 以开创性的眼光将非线性泛函分析与 偏微分方程理论应用到骇客活动的分析上， 提出了骇客活动与计算机系统关系之间的非线 性发散数学模型方程组， 对未来骇客活动趋势和频率进行预测， 实现本发明的目的。 具体实施方式
     为了使本发明实现的技术手段、 创作特征、 达成目的与功效易于明白了解， 下面结 合具体图示， 进一步阐述本发明。
     本发明的物联网络攻击的预测及预警方法， 从以下几个方面进行实现 ：
     骇客活动分析
     对骇客活动的模式进行统计学上的分析 (STATISTICS ANALYSIS)， 从中归纳出一些能帮助建立数学模型的统计规律 (STATISTIC PATTERNS)。收集过去骇客活动的数据， 如过去十年中主要骇客活动的次数、 规模、 技术层次、 所针对的目标、 和造成的损失估算。 对这些数据进行整理与挖掘， 揭示骇客活动与计算机系统的统计联系， 发现其运行的模式 (PATTERN)， 为下一步建立骇客活动的数学模型打下基础。
     骇客与计算机关系的非线性数学模型
     在 分 析 骇 客 活 动 的 基 础 上， 建立一个能合理描述骇客活动的大时空连续 域 上 的 非 线 性 发 散 数 学 模 型 (NON-LINEAR MATHEMATICAL MODEL WITH DIFFUSION IN TIME-SPACECONTINUM)。 主 要 把 骇 客 活 动 与 计 算 机 系 统 进 行 数 量 上 的 联 系 (QUANTATATIVECONNECTION)， 并根据我们对捕食者与被捕食者这种生态中的自然现象的空 间发散数学模型 (PREDATOR-PREY MODEL WITH DIFFUSIVE SPATIAL PATTERNS) 来推导表述 骇客活动的数学模型。 这个模型将具有非线性性质， 并以一定的时空局域为可控变量， 且合 理描述骇客攻击量与频率和计算机系统数量上应满足的数学关系。
     根据骇客活动的分析建立骇客活动与计算机关系的非线性数学模型 ：
     假定 为一有限连接的光滑区域， 则
     ut ＝ k1Vu+au-f(x， u)+φ(x， u， v)， (x， t) ∈ Ω×(0， ∞)
     vt ＝ k2Vv+bu+ψ(x， u， v)， u(x， t) ＝ v(x， t) ＝ 0，(x， t) ∈ Ω×(0， ∞ )(1)u(x， 0) ＝ u0(x) ； v(x， 0) ＝ v0(x)， x∈Ω
     在这里 k1， k2， a ＞ 0 并且 b ∈ R 为实数、 x 为空间变量、 t 为时间变量、 f， φ， ψ为 实变函数， 其中 φ， ψ 代表计算机系统与骇客之间的交叉互连效应项。u， v 函数分别代表 了计算机系统和骇客在量上的分布密度 ；
     然后， 推导出代表计算机系统与骇客之间的交叉互连效应项、 并求取代表计算机 系统与骇客密度分布的 u 函数与 v 函数、 及代表骇客产生率的 b 系数， 从而能够根据 u， v函 数及 b 系数的变化预测骇客活动的未来趋势变化。
     模型的理论证明
     在建立描述骇客活动的大时空连续域上的非线性发散数学模型后， 本子项目将从 理论上对我们的数学模型加以证明。我们将主要使用非线性泛函分析与偏微分方程的手 段来进行我们的理论推导。并在此基础上求取反应骇客活动的实变函数 (REAL VARIABLE FUNCTION)v(x) 与产生率 (BIRTH RATE)b。经验数据的验证本子项目将从经验上对数学模 型进行验证 (EMPIRICAL MODEL VERIFICATION)。 主要是利用在骇客活动分析子项目收集的 数据对模型加以实证， 以证实模型是合理的、 确实描述了骇客活动与计算机系统之间的数 学关系。同时， 也根据实证的结果对模型的可控系数进行微调， 从而将模型完善。
     骇客活动与计算机关系的非线性数学模型在骇客活动与计算机系统之间形成空 间模式合成。即 ： 证明如下椭圆方程组 ：
     k1Δu+au-f(x， u)+φ(x， u， v) ＝ 0， inΩ
     k2Δu+bv+ψ(x， u， v) ＝ 0， inΩ (2)
     u ＝ 0， v ＝ 0， onΩ
     存在一对正解 (u(x)， v(x))， 这里的正解的意思为 u(x) 与 v(x) 是一对光滑函数 且在 Ω 区域里面完全为正 ； 假定 H 代表 Ω 上可弱微分函数的希尔伯特空间。通过适当选择 f， φ， ψ， 我们推导并证明下面的定理 ：
     定理 ： 如果 λ1 是 (-Δ， H) 的第一个特征值， u(x) 的发散率 k1 ＞ 0 为固定值， 则我 们有 ：
     I、 如果 a ≤ k1λ1， 则方程组 (2) 不存在正值解
     II、 对每一个 a ＞ λ1， 则存在 b0 ＜ 0， 并且有 ：
     a) 如果 b ≤ b0， 则方程组 (2) 不存在正值解。
     b) 对每一个 b ∈ (b0， 0)， 则存在 k* ＝ k*(b) ＞ 0， 并且方程组 (2) 存在正值解 当且仅当 k2 ∈ (0*， k*)。
     III、 对每一个 a ＞ λ1 和 k2 ＞ 0， 则存在 b* ＝ b*(k2) ＞ - ∞， 并且方程组 (2) 存在 当且仅当 b ∈ (b*， k2/λ1)。正值解
     上面的定理给出了骇客活动与计算机系统形成模式合成的根本条件。但更为重 要的是， 这个定理给我们指出了如何去寻找合理的代表计算机系统与骇客产生率的 a， b系 数， 和代表骇客活动发散率的 k 系数。在推出这些合理的系数后， 我们就可以对 u， v 函数进 行求解了。 但本项目更关键且更具实践意义的部分则是， 利用上述这对空间模式合成解 (u(x)， v(x))， 我们还将分析前述的那对分别代表计算机系统与骇客活动的时空实变函数 (u(x， t)， v(x， t) 函数 ) 在大时间范围的变化趋势。
     系统模拟的验证
     在计算系统上进行模拟试验 (SYSTEM SIMULATION)， 以此来进一步对骇客数学模 型进行验证。主要对骇客的产生率、 计算机系统的增长率、 骇客攻击量的变化、 时空控制变 量的变化等进行模拟， 研究各种变量之间的变化联系， 并进一步证明这些变量的变化确实 满足建立的非线性数学模型。
     骇客预测系统的建立
     对如何利用已经建立并经过求证的骇客数学模型来对将来的骇客活动的趋势 (TREND) 与频率 (FREQUENCE) 进行预测。 主要对预测的理论逻辑基础 (THEORITICALLOGICAL FOUNDATION)、 预测的准确性衡量
     (PREDICTIONACCURACY)、 和预测的方法
     (PREDICATIONMETHODOLOGY) 进行研究， 在此基础上演绎出一个简便可行又科学的 骇客活动预测系统。 在导出骇客活动预测系统的基础上， 我们将进行软件研发， 力争建立一 个骇客活动趋势与频率预测的计算机应用软件系统。
     以上显示和描述了本发明的基本原理和主要特征和本发明的优点。 本行业的技术 人员应该了解， 本发明不受上述实施例的限制， 上述实施例和说明书中描述的只是说明本 发明的原理， 在不脱离本发明精神和范围的前提下， 本发明还会有各种变化和改进， 这些变 化和改进都落入要求保护的本发明范围内， 本发明要求保护范围由所附的权利要求书及其 等效物界定。
     7