本技術(shù)涉及工業(yè)自動化控制與嵌入式系統(tǒng)安全���,尤其涉及一種基于國產(chǎn)化平臺的軟件代碼安全防護(hù)方法及系統(tǒng)。
背景技術(shù):
1、在工業(yè)自動化、智能制造等領(lǐng)域,國產(chǎn)化平臺需要與機械設(shè)備實時交互����,確保軟件代碼執(zhí)行過程的安全性和可靠性����。由于設(shè)備運行環(huán)境復(fù)雜�����,軟件代碼可能因異常指令或外部干擾導(dǎo)致機械故障����。
2��、目前����,部分方案采用靜態(tài)規(guī)則庫結(jié)合硬件異常檢測技術(shù)��,通過預(yù)定義的代碼行為白名單和傳感器閾值判斷軟件執(zhí)行是否合規(guī)����。當(dāng)檢測到代碼行為或傳感器數(shù)據(jù)超出預(yù)設(shè)范圍時,系統(tǒng)觸發(fā)中斷或告警�,暫停異常進(jìn)程的執(zhí)行。
3�����、靜態(tài)規(guī)則庫無法適應(yīng)動態(tài)變化的設(shè)備運行狀態(tài),導(dǎo)致誤判或漏判頻繁發(fā)生���;同時����,依賴固定閾值難以應(yīng)對復(fù)雜工況下的實時調(diào)整需求�����,防護(hù)策略缺乏自適應(yīng)能力��,影響系統(tǒng)運行效率�����。
技術(shù)實現(xiàn)思路
1、本技術(shù)提供一種基于國產(chǎn)化平臺的軟件代碼安全防護(hù)方法及系統(tǒng),用以解決現(xiàn)有技術(shù)中國產(chǎn)化平臺下軟件代碼與機械設(shè)備交互的實時安全防護(hù)能力差的問題��。
2、第一方面�,本技術(shù)提供一種基于國產(chǎn)化平臺的軟件代碼安全防護(hù)方法,包括:
3����、在國產(chǎn)化平臺的軟件代碼執(zhí)行過程中���,獲取國產(chǎn)化平臺與外部機械設(shè)備進(jìn)行交互所產(chǎn)生的傳感數(shù)據(jù)流,所述傳感數(shù)據(jù)流中的傳感數(shù)據(jù)包含與軟件代碼執(zhí)行過程相關(guān)聯(lián)的設(shè)備狀態(tài)參數(shù)����;
4、在所述國產(chǎn)化平臺的外部時鐘同步模塊中���,將所述設(shè)備狀態(tài)參數(shù)與所述軟件代碼指令的執(zhí)行節(jié)點進(jìn)行時間對齊�,生成操作事件序列��,所述軟件代碼指令為國產(chǎn)化平臺運行時捕獲的函數(shù)調(diào)用����、系統(tǒng)接口請求或機器級操作指令;
5��、通過所述國產(chǎn)化平臺的內(nèi)存隔離運行環(huán)境�,采用強化學(xué)習(xí)機制對所述操作事件序列的動態(tài)模式進(jìn)行分析����,生成針對軟件代碼執(zhí)行路徑的實時安全防護(hù)規(guī)則,所述軟件代碼執(zhí)行路徑為由所述操作事件序列還原出的指令執(zhí)行順序及分支結(jié)構(gòu)��;
6、將所述實時安全防護(hù)規(guī)則動態(tài)綁定至所述國產(chǎn)化平臺的內(nèi)核層����,以動態(tài)更新所述實時安全防護(hù)規(guī)則,并將更新后的安全防護(hù)規(guī)則反饋至所述內(nèi)核層����,以形成閉環(huán)安全防護(hù)機制。
7����、可選地,所述通過所述國產(chǎn)化平臺的內(nèi)存隔離運行環(huán)境���,采用強化學(xué)習(xí)機制對所述操作事件序列的動態(tài)模式進(jìn)行分析����,生成針對軟件代碼執(zhí)行路徑的實時安全防護(hù)規(guī)則���,包括:
8��、在所述國產(chǎn)化平臺的內(nèi)存隔離運行環(huán)境中����,將所述操作事件序列中的設(shè)備狀態(tài)參數(shù)與所述軟件代碼指令的執(zhí)行節(jié)點進(jìn)行逐幀匹配,篩選出與軟件代碼執(zhí)行路徑對應(yīng)的連續(xù)事件片段�����;
9����、基于所述連續(xù)事件片段,提取所述軟件代碼執(zhí)行路徑中不同指令節(jié)點的關(guān)聯(lián)性權(quán)重��,并構(gòu)建所述指令節(jié)點與所述連續(xù)事件片段之間的動態(tài)依賴關(guān)系�;
10、通過強化學(xué)習(xí)機制����,基于所述動態(tài)依賴關(guān)系對所述軟件代碼執(zhí)行路徑進(jìn)行多階段狀態(tài)劃分;
11���、在所述多階段狀態(tài)劃分過程中�����,對所述軟件代碼執(zhí)行路徑內(nèi)每一階段的分支路徑進(jìn)行遍歷,以生成所述分支路徑的路徑可信度評分����;
12����、根據(jù)所述路徑可信度評分和所述關(guān)聯(lián)性權(quán)重���,生成實時安全防護(hù)規(guī)則��。
13���、可選地,所述在所述多階段狀態(tài)劃分過程中����,對所述軟件代碼執(zhí)行路徑內(nèi)每一階段的分支路徑進(jìn)行遍歷,以生成所述分支路徑的路徑可信度評分�,包括:
14、根據(jù)所述多階段狀態(tài)劃分過程中每一階段的起始指令節(jié)點和終止指令節(jié)點�����,確定所述軟件代碼執(zhí)行路徑在各階段內(nèi)的執(zhí)行流向�;
15、在所述執(zhí)行流向中,從所述軟件代碼執(zhí)行路徑中���,識別出與所述動態(tài)依賴關(guān)系中設(shè)備狀態(tài)參數(shù)變化趨勢相沖突的分支路徑�,并標(biāo)記為待驗證分支路徑����;
16、對于每一所述待驗證分支路徑����,獲取所述待驗證分支路徑中全部指令節(jié)點對應(yīng)的設(shè)備狀態(tài)參數(shù)的實測值;
17��、將所述實測值與所述動態(tài)依賴關(guān)系中設(shè)備狀態(tài)參數(shù)的預(yù)期值進(jìn)行逐節(jié)點比對��;
18��、根據(jù)比對結(jié)果���,統(tǒng)計所述實測值與所述預(yù)期值的偏離次數(shù)�,并結(jié)合所述關(guān)聯(lián)性權(quán)重計算所述偏離次數(shù)對所述待驗證分支路徑的影響因子����;
19�、將所述影響因子與所述待驗證分支路徑中指令節(jié)點的時序密度進(jìn)行加權(quán)疊加����,生成所述待驗證分支路徑的路徑可信度評分����。
20、可選地����,所述根據(jù)所述路徑可信度評分和所述關(guān)聯(lián)性權(quán)重,生成實時安全防護(hù)規(guī)則���,包括:
21�����、將所述路徑可信度評分按從高到低排序���,結(jié)合評分分布密度,確定可信度閾值����,其中所述評分分布密度為相同評分區(qū)間內(nèi)分支路徑的數(shù)量占比���;
22、根據(jù)所述可信度閾值����,篩選出所述路徑可信度評分高于所述可信度閾值且所述關(guān)聯(lián)性權(quán)重超過預(yù)設(shè)臨界值的分支路徑,以生成允許執(zhí)行路徑集合��;
23��、在所述允許執(zhí)行路徑集合中����,根據(jù)每一分支路徑的指令節(jié)點時序密度和關(guān)聯(lián)性權(quán)重,為所述分支路徑分配動態(tài)權(quán)限等級���;
24�����、基于所述動態(tài)權(quán)限等級���,生成實時安全防護(hù)規(guī)則。
25�、可選地����,所述基于所述動態(tài)權(quán)限等級��,生成實時安全防護(hù)規(guī)則����,包括:
26��、根據(jù)所述動態(tài)權(quán)限等級與內(nèi)核層中的進(jìn)程執(zhí)行優(yōu)先級之間的映射關(guān)系��,生成權(quán)限等級映射表����;
27、基于所述內(nèi)核層中內(nèi)存訪問區(qū)間的邊界值和阻斷指令節(jié)點對�,構(gòu)建內(nèi)存控制策略集和阻斷條件集;
28����、將所述權(quán)限等級映射表、所述內(nèi)存控制策略集和所述阻斷條件集按預(yù)設(shè)格式封裝為實時安全防護(hù)規(guī)則集�。
29、可選地���,所述在所述國產(chǎn)化平臺的外部時鐘同步模塊中����,將所述設(shè)備狀態(tài)參數(shù)與所述軟件代碼指令的執(zhí)行節(jié)點進(jìn)行時間對齊,生成操作事件序列�,包括:
30、在所述國產(chǎn)化平臺的外部時鐘同步模塊中�,分別接收來自外部機械設(shè)備的傳感數(shù)據(jù)時間戳和國產(chǎn)化平臺的指令執(zhí)行時間戳;
31����、通過所述外部時鐘同步模塊的全局時間基準(zhǔn),分別計算所述傳感數(shù)據(jù)時間戳�、所述指令執(zhí)行時間戳與所述全局時間基準(zhǔn)的偏移量;
32��、以所述全局時間基準(zhǔn)為軸�����,在預(yù)設(shè)的時間對齊容差范圍內(nèi)�����,將所述設(shè)備狀態(tài)參數(shù)的數(shù)據(jù)點與所述軟件代碼指令的執(zhí)行節(jié)點進(jìn)行一對一匹配��,當(dāng)所述傳感數(shù)據(jù)時間戳與所述指令執(zhí)行時間戳的偏移量差值不超過所述時間對齊容差時,判定為匹配成功�����;
33�、對匹配成功時對應(yīng)的所述數(shù)據(jù)點和所述執(zhí)行節(jié)點進(jìn)行綁定封裝,生成一個操作事件單元���;
34�、將所有所述操作事件單元按所述全局時間基準(zhǔn)的順序排列�,構(gòu)成操作事件序列��。
35�����、可選地����,所述將所述實時安全防護(hù)規(guī)則動態(tài)綁定至所述國產(chǎn)化平臺的內(nèi)核層,以動態(tài)更新所述實時安全防護(hù)規(guī)則����,包括:
36���、在所述國產(chǎn)化平臺的內(nèi)核層中預(yù)置規(guī)則加載接口,通過所述規(guī)則加載接口將所述實時安全防護(hù)規(guī)則的權(quán)限等級映射表���、內(nèi)存控制策略集和阻斷條件集注冊為內(nèi)核環(huán)境變量���;
37、建立所述內(nèi)核層環(huán)境變量與所述傳感數(shù)據(jù)流之間的實時監(jiān)測通道�����;
38��、通過所述實時監(jiān)測通道��,比對待更新的設(shè)備狀態(tài)參數(shù)與所述阻斷條件集中預(yù)設(shè)的傳感數(shù)據(jù)閾值��;
39�����、當(dāng)所述待更新的設(shè)備狀態(tài)參數(shù)超過所述傳感數(shù)據(jù)閾值時���,觸發(fā)規(guī)則更新條件����;
40、基于所述規(guī)則更新條件���,動態(tài)更新所述實時安全防護(hù)規(guī)則��。
41�、第二方面�����,本技術(shù)提供一種基于國產(chǎn)化平臺的軟件代碼安全防護(hù)系統(tǒng)�����,包括:
42�、獲取模塊���,用于在國產(chǎn)化平臺的軟件代碼執(zhí)行過程中����,獲取國產(chǎn)化平臺與外部機械設(shè)備進(jìn)行交互所產(chǎn)生的傳感數(shù)據(jù)流,所述傳感數(shù)據(jù)流中的傳感數(shù)據(jù)包含與軟件代碼執(zhí)行過程相關(guān)聯(lián)的設(shè)備狀態(tài)參數(shù)����;
43、對齊模塊����,用于在所述國產(chǎn)化平臺的外部時鐘同步模塊中,將所述設(shè)備狀態(tài)參數(shù)與所述軟件代碼指令的執(zhí)行節(jié)點進(jìn)行時間對齊�,生成操作事件序列,所述軟件代碼指令為國產(chǎn)化平臺運行時捕獲的函數(shù)調(diào)用�����、系統(tǒng)接口請求或機器級操作指令��;
44�、分析模塊,用于通過所述國產(chǎn)化平臺的內(nèi)存隔離運行環(huán)境����,采用強化學(xué)習(xí)機制對所述操作事件序列的動態(tài)模式進(jìn)行分析,生成針對軟件代碼執(zhí)行路徑的實時安全防護(hù)規(guī)則��,所述軟件代碼執(zhí)行路徑為由所述操作事件序列還原出的指令執(zhí)行順序及分支結(jié)構(gòu)���;
45�、更新模塊,用于將所述實時安全防護(hù)規(guī)則動態(tài)綁定至所述國產(chǎn)化平臺的內(nèi)核層�,以動態(tài)更新所述實時安全防護(hù)規(guī)則,并將更新后的安全防護(hù)規(guī)則反饋至所述內(nèi)核層��,以形成閉環(huán)安全防護(hù)機制��。
46��、第三方面�,本技術(shù)提供一種計算設(shè)備,包括處理器和存儲器����,所述存儲器中存儲有計算機程序,所述處理器被設(shè)置為運行所述計算機程序以執(zhí)行第一方面任一所述的一種基于國產(chǎn)化平臺的軟件代碼安全防護(hù)方法���。
47�、第四方面���,本技術(shù)提供一種計算機存儲介質(zhì),其上存儲有計算機程序指令��,所述計算機程序指令被處理器執(zhí)行時實現(xiàn)第一方面中任意一項所述的一種基于國產(chǎn)化平臺的軟件代碼安全防護(hù)方法。
48��、本技術(shù)中��,提供了一種基于國產(chǎn)化平臺的軟件代碼安全防護(hù)方法��,該方法包括:在國產(chǎn)化平臺的軟件代碼執(zhí)行過程中�����,獲取國產(chǎn)化平臺與外部機械設(shè)備進(jìn)行交互所產(chǎn)生的傳感數(shù)據(jù)流�,所述傳感數(shù)據(jù)流中的傳感數(shù)據(jù)包含與軟件代碼執(zhí)行過程相關(guān)聯(lián)的設(shè)備狀態(tài)參數(shù);在所述國產(chǎn)化平臺的外部時鐘同步模塊中�����,將所述設(shè)備狀態(tài)參數(shù)與所述軟件代碼指令的執(zhí)行節(jié)點進(jìn)行時間對齊�����,生成操作事件序列�����,所述軟件代碼指令為國產(chǎn)化平臺運行時捕獲的函數(shù)調(diào)用�����、系統(tǒng)接口請求或機器級操作指令;通過所述國產(chǎn)化平臺的內(nèi)存隔離運行環(huán)境����,采用強化學(xué)習(xí)機制對所述操作事件序列的動態(tài)模式進(jìn)行分析,生成針對軟件代碼執(zhí)行路徑的實時安全防護(hù)規(guī)則����,所述軟件代碼執(zhí)行路徑為由所述操作事件序列還原出的指令執(zhí)行順序及分支結(jié)構(gòu);將所述實時安全防護(hù)規(guī)則動態(tài)綁定至所述國產(chǎn)化平臺的內(nèi)核層���,以動態(tài)更新所述實時安全防護(hù)規(guī)則�,并將更新后的安全防護(hù)規(guī)則反饋至所述內(nèi)核層��,以形成閉環(huán)安全防護(hù)機制���。
49���、本技術(shù)提供的技術(shù)方案具有以下有益效果:
50、本技術(shù)實時采集機械設(shè)備運行狀態(tài)���,為安全防護(hù)提供硬件行為數(shù)據(jù)基礎(chǔ)��,確保防護(hù)系統(tǒng)能感知物理環(huán)境變化��。通過獨立時鐘模塊實現(xiàn)毫秒級時間對齊����,精確建立代碼指令與設(shè)備狀態(tài)的因果關(guān)系�����,解決傳統(tǒng)方案中時序錯位導(dǎo)致的誤判問題����。在隔離環(huán)境中利用強化學(xué)習(xí)動態(tài)建模代碼-硬件交互模式,自動識別異常執(zhí)行路徑�,生成適應(yīng)復(fù)雜工況的防護(hù)策略。實現(xiàn)防護(hù)規(guī)則的無縫熱加載��,通過傳感數(shù)據(jù)反饋實時優(yōu)化規(guī)則�,形成"監(jiān)測-決策-執(zhí)行"的自適應(yīng)防護(hù)閉環(huán)。
51�����、進(jìn)一步地����,本技術(shù)還通過內(nèi)存隔離環(huán)境逐幀匹配設(shè)備狀態(tài)與指令節(jié)點���,篩選連續(xù)事件片段并構(gòu)建動態(tài)依賴關(guān)系,基于強化學(xué)習(xí)劃分多階段執(zhí)行路徑狀態(tài)��,結(jié)合分支路徑可信度評分和關(guān)聯(lián)性權(quán)重生成實時防護(hù)規(guī)則��。
52���、并且���,該方案突破了靜態(tài)規(guī)則的局限性,實現(xiàn)了精確量化代碼指令對硬件狀態(tài)的影響權(quán)重��;動態(tài)識別異常分支路徑并評分���;根據(jù)實時工況調(diào)整防護(hù)策略優(yōu)先級�,使系統(tǒng)在保障安全性的同時維持最佳運行效率��。
53���、本技術(shù)的這些方面或其他方面在以下實施例的描述中會更加簡明易懂���。