CN118611991B - 基于Hook技术的物联网终端安全防护系统 - Google Patents

Abstract

本发明公开了基于Hook技术的物联网终端安全防护系统，涉及物联网安全技术领域，本发明监控模块、列表管理模块及可信云服务模块；监控模块用于通过Hook技术监控和控制物联网终端的系统调用和内核函数，实现对系统通讯信道的控制和危险指令的拦截；利用Hook技术拦截系统调用；本发明，通过在物联网终端部署基于Hook技术的监控模块，显著提高了系统的安全性，该模块能够实时监控系统调用和内核函数，拦截未授权操作和潜在的危险指令，从而有效防止系统提权和非法访问等安全威胁，系统行为模式的分析和异常行为的识别，结合自动化的安全预警和响应机制，增强了系统对新兴安全威胁的快速响应能力。

Description

基于Hook技术的物联网终端安全防护系统

技术领域

本发明涉及物联网安全技术领域，具体为基于Hook技术的物联网终端安全防护系统。

背景技术

随着物联网技术的快速发展，数以亿计的设备通过网络相互连接，实现了智能化管理和控制，然而，物联网设备的广泛应用也带来了诸多安全挑战，这些设备通常资源受限，缺乏足够的安全防护措施，容易成为网络攻击的目标，传统的安全解决方案往往难以适应物联网设备的多样性和资源限制，导致安全漏洞和攻击事件频发，物联网设备的广泛分布和网络暴露面大，使得其安全管理和数据保护变得更加复杂；

现有的物联网安全技术主要集中在网络层面和应用层面的安全防护，而对操作系统内核级别的安全控制相对较少，一些解决方案依赖于定期更新特征库来识别和防御已知威胁，但这种方法对于新兴的、未知的攻击模式响应不足；此外，物联网设备的去中心化特性要求安全解决方案必须具备高度的可扩展性和灵活性，现有的安全措施往往缺乏有效的访问控制和权限管理，难以应对内部和外部的安全威胁，因此，迫切需要一种更为主动和前瞻性的安全防护技术，以提高物联网终端的整体安全性

为了解决上述缺陷，现提供技术方案。

发明内容

本发明的目的在于解决现有物联网终端在面对复杂多变的网络安全威胁时，难以提供充分、主动和细粒度安全防护的问题，而提出基于Hook技术的物联网终端安全防护系统。

本发明的目的可以通过以下技术方案实现：

基于Hook技术的物联网终端安全防护系统，包括：

监控模块，用于通过Hook技术监控和控制物联网终端的系统调用和内核函数，实现对系统通讯信道的控制和危险指令的拦截，具体步骤如下：

利用Hook技术拦截系统调用，监控系统资源的访问和操作；

通过Hook技术监控内核函数的执行，确保系统操作符合预定的安全策略，防止未授权的内核级操作；

监控物联网终端的网络通讯，检测和拦截异常的入站和出站数据流，防止恶意数据传输，识别并拦截危害系统安全的指令，包括系统提权、非法访问等，确保系统的稳定性和安全性；

分析系统行为模式，识别异常行为；

根据预设的安全策略，自动执行相应的安全措施，当发现异常行为或潜在威胁，立即生成安全预警，通知系统管理员或自动触发对应的安全防护措施；

记录所有监控活动和安全事件的详细日志，根据监控结果和安全事件，动态更新安全策略，优化监控规则；

将监控结果和安全预警信息传递给列表管理模块和可信云服务模块，实现跨模块的安全协同；

列表管理模块，用于利用区块链技术实现去中心化的访问控制列表管理，确保访问控制列表的一致性和抗抵赖性，防止访问控制列表被恶意篡改；

可信云服务模块，用于采用区块链、云端、智能AI及边缘计算的方式，实现访问控制列表的维护和软件更新的统一管理。

进一步的，所述监控模块中通过Hook技术监控内核函数的执行具体过程如下：

分析内核函数调用图，确定关键的内核函数作为Hook点；

为每个选定的Hook点编写自定义的Hook函数，这些函数将在原始内核函数执行前后被调用，将Hook函数注入到内核空间，替换或附加到原有的内核函数上，具体通过修改内核源码或使用特殊的注入技术；

在Hook函数中实现访问控制逻辑，检查执行内核函数的上下文是否符合安全策略，利用Hook函数监控内核函数的执行过程，记录关键信息，如调用者身份、参数、执行时间等；

在Hook函数中执行安全策略检查，包括验证调用者是否有权限执行该内核函数，或者参数是否符合预期，当检测到未授权的内核函数调用，通过Hook函数拦截该调用，阻止其执行或执行安全策略中定义的响应措施；

记录所有内核函数的调用情况和安全检查结果，生成安全日志，以供事后审计和分析，定义异常响应机制，当检测到异常或未授权操作时，触发报警或自动执行预定义的安全响应措施。

进一步的，所述监控模块中确定关键的内核函数作为Hook点的具体操作步骤如下：

具体通过确定内核函数的确优因素进行综合分析，确优参数包括：

调用频率；

权限级别：将权限级别设为五个，每个权限级别分别对应设置不同的权限分，并以此权限分作为衡量权限级别的标准；

系统调用入口：作为系统调用入口点的内核函数，并通过系调值作为量化，其中当内核函数为系统调用入口点的函数时，则系调值为1，反之，系调值则为0；

模块依赖性：将模块依赖性赋予1-10的评分，并记为模依分，以此模依分作为衡量模块依赖性的标准；

再分别将得到的调用频率、权限分、系调值及模依分归一化处理后代入以下公式：以得到评判值PPZ，式中dp、qf、xd及my分别为调用频率、权限分、系调值及模依分，分别为调用频率、权限分、系调值及模依分的预设权重系数；

将不同内核函数得到的评判值PPZ与预设评判阈值进行比对，当评判值PPZ大于预设评判阈值时，则判断该内核函数为关键内核函数。

进一步的，所述列表管理模块利用区块链技术实现去中心化的访问控制列表管理的具体操作步骤如下：

设置区块链网络并初始化智能合约，用于管理访问控制列表的上链和更新；

为系统中的每个终端设备生成一对密钥，并将公钥加入区块链网络；

将初始访问控制列表信息以交易的形式提交到区块链网络，确保访问控制列表信息的初始状态被安全记录；

接收监控模块的安全预警信息，分析预警内容，设定不同级别的安全事件，使用级别1到5；

利用风险评估模型，根据监控到的行为与已知威胁情报数据库进行比较，评估潜在风险，并确定是否需要调整访问控制列表；

根据安全预警和实时监控的数据，通过智能合约更新访问控制列表，动态调整权限设置，利用区块链的共识机制，验证访问控制列表的变更请求，确保变更的合法性和一致性；

将变更后的访问控制列表信息写入区块链，更新所有相关终端设备的访问权限，通知所有受影响的终端设备，用于确定终端设备接收到最新的访问权限信息；

记录所有访问控制列表的变更历史，提供审计日志，实现操作的可追踪性，根据冲突解决机制，处理访问控制列表更新过程中出现的任何冲突；

在检测到安全事件时，进行响应，通过智能合约自动调整访问控制列表，以限制或禁止可疑操作，定期审查访问控制列表的有效性和适应性，根据系统的发展和安全需求进行更新。

进一步的，所述列表管理模块确定是否需要调整访问控制列表，具体步骤如下：

设定不同级别的安全时间，通过使用级别1到5，其中5表示最高安全风险，再利用风险评估模型，根据监控到的行为与已知威胁情报数据库进行比较，评估潜在风险；

确定触发安全预警的具体参数，包括异常行为频率及未经授权的访问尝试次数，制定对应的规则决定何时调整访问控制列表，具体的为当连续超过预设次数收到最高等级安全预警时，进行访问控制列表的调整；

再为每个预警参数设定阈值，超过阈值时则需要对访问控制列表进行审查和对应的调整；

利用机器学习算法分析历史安全时间和访问控制列表调整案例，并自动调整预警阈值，实现实时监控，动态调整阈值。

进一步的，所述可信云服务模块实现访问控制列表的维护和软件更新的统一管理的具体操作步骤如下：

构建云服务平台，且该云服务平台具备可用性和弹性扩展能力，用于托管访问控制列表和软件更新管理；

将区块链技术与云服务平台集成，用于确保访问控制列表的去中心化管理和不可篡改性；

集成智能AI分析工具，用于分析监控模块提供的数据，识别和预测安全威胁；

在网络边缘部署计算资源，用于处理和响应边缘设备的安全事件，减少延迟；

通过云服务对访问控制列表进行集中管理，用于确保所有终端设备的访问权限和操作的一致性；

实现访问控制列表的自动化分发机制，确保所有终端设备及时接收到最新的访问权限信息；

管理软件的版本信息，确定所有终端设备运行的是经过验证和批准的软件版本；

利用AI分析工具对安全事件进行深入分析，识别潜在的安全威胁，并根据分析结果自动调整访问控制列表和软件更新策略；

按照预设频率评估和优化安全策略，使安全策略与最新的安全威胁和业务需求相匹配；

利用访问控制列表和软件更新数据的同步和备份机制，使数据的保持一致性和可靠性；

提供用户界面和API，允许管理员和终端设备与云服务平台进行交互，获取和管理访问控制列表和软件更新；

实施安全审计和合规性检查，使云服务平台的操作符合安全标准。

进一步的，所述可信云服务模块按照预设频率评估和优化安全策略中的预设频率设置的具体操作步骤如下：

预设频率根据多因素进行参考调节；

评估业务对系统安全性的依赖程度和关键性，确定业务需求对安全策略评估频率的影响；

分析系统的规模、组件多样性和交互复杂性；

监控最新的安全威胁情报，评估威胁变化的速度和对现有安全策略的影响；

分析历史安全事件的发生频率和模式，获取安全威胁的周期性和突发性；

评估组织的安全团队资源和能力；

利用风险评估模型量化安全风险，根据风险等级确定评估频率；

建立安全策略实施的反馈机制，根据反馈结果调整评估频率；

使用自动化工具和监控系统辅助评估过程；

进行成本效益分析，平衡安全策略评估的频率和成本；

设定动态调整机制，根据系统运行情况和外部环境变化自动调整评估频率，对评估频率进行测试和验证，确保其有效性和适用性。

与现有技术相比，本发明的有益效果是：

（1）本发明，通过在物联网终端部署基于Hook技术的监控模块，显著提高了系统的安全性，该模块能够实时监控系统调用和内核函数，拦截未授权操作和潜在的危险指令，从而有效防止系统提权和非法访问等安全威胁，系统行为模式的分析和异常行为的识别，结合自动化的安全预警和响应机制，增强了系统对新兴安全威胁的快速响应能力；

（2）本发明，利用区块链技术的列表管理模块，本发明实现了去中心化的访问控制列表（ACL）管理，确保了ACL的一致性和抗抵赖性，防止了ACL被恶意篡改的风险，智能合约的运用为ACL的动态调整和权限设置提供了一个安全、可靠的平台，通过机器学习算法对历史安全事件和ACL调整案例的分析，实现了预警阈值的自动调整和实时监控，进一步提升了系统的智能化管理水平；

（3）本发明，可信云服务模块采用云端、智能AI及边缘计算技术，统一管理ACL的维护和软件更新，通过集中管理软件版本信息和实施自动化分发机制，确保了所有终端设备运行经过验证和批准的软件版本，减少了因软件漏洞带来的安全风险；同时，预设频率的安全策略评估和优化，确保了安全策略与最新的安全威胁和业务需求保持同步，提高了系统的适应性和整体安全性。

附图说明

为了便于本领域技术人员理解，下面结合附图对本发明作进一步的说明；

图1为本发明的系统总框图。

具体实施方式

下面将结合实施例对本发明的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其它实施例，都属于本发明保护的范围。

应当理解，本披露的说明书和权利要求书中使用的术语“包括”和 “包含”指示所描述特征、整体、步骤、操作、元素和/或组件的存在，但并不排除一个或多个其它特征、整体、步骤、操作、元素、组件和/或其集合的存在或添加。

还应当理解，在此本披露说明书中所使用的术语仅仅是出于描述特定实施例的目的，而并不意在限定本披露。如在本披露说明书和权利要求书中所使用的那样，除非上下文清楚地指明其它情况，否则单数形式的“一”、“一个”及“该”意在包括复数形式。还应当进一步理解，在本披露说明书和权利要求书中使用的术语“和/ 或”是指相关联列出的项中的一个或多个的任何组合以及所有可能组合，并且包括这些组合。

如图1所示，基于Hook技术的物联网终端安全防护系统，包括监控模块、列表管理模块及可信云服务模块；

监控模块用于通过Hook技术监控和控制物联网终端的系统调用和内核函数，实现对系统通讯信道的控制和危险指令的拦截；

利用Hook技术拦截系统调用，监控系统资源的访问和操作，如文件操作、网络通信、进程管理等；其中系统调用监控逻辑如下：，其中A表示系统调用警报（System Call Alert），即当监控到未授权或可疑的系统调用时触发的警报；n表示监控集合M 中系统调用的总数；表示第i个系统调用；M表示监控集合，即所有正在被监控的系统调用的集合；L表示允许的系统调用集合，即被定义为安全并允许执行的系统调用的集合；具体表示的含义为：系统调用警报A会在监控集合M中存在至少一个系统调用S_i被监控到，并且这个系统调用S_i不在允许的系统调用集合L中时被触发，如果发现任何未授权的系统调用，就会生成一个警报；

通过Hook技术监控内核函数的执行，确保系统操作符合预定的安全策略，防止未授权的内核级操作，具体过程如下：

分析内核函数调用图，确定关键的内核函数作为Hook点，通过确定内核函数的确优因素进行综合分析，确优参数包括：

调用频率：高频率被调用的内核函数可能对系统性能和安全有较大影响；权限级别：需要较高权限级别才能访问的内核函数可能涉及敏感操作，将权限级别设为五个，每个权限级别分别对应设置不同的权限分，并以此权限分作为衡量权限级别的标准；系统调用入口：作为系统调用入口点的内核函数，因为它们是用户空间和内核空间交互的桥梁，并通过系调值作为量化，其中当内核函数为系统调用入口点的函数时，则系调值为1，反之，系调值则为0；模块依赖性：其他内核模块或系统服务依赖的函数，其更改可能影响系统的稳定性；将模块依赖性赋予1-10的评分，并记为模依分，以此模依分作为衡量模块依赖性的标准；

再分别将得到的调用频率、权限分、系调值及模依分归一化处理后代入以下公式：以得到评判值PPZ，式中dp、qf、xd及my分别为调用频率、权限分、系调值及模依分，分别为调用频率、权限分、系调值及模依分的预设权重系数，并分别取值设置在1.18-1.28、0.97-0.99、0.91-0.96及1.05-1.09之间；将不同内核函数得到的评判值PPZ与预设评判阈值进行比对，当评判值PPZ大于预设评判阈值时，则判断该内核函数为关键内核函数；

为每个选定的Hook点编写自定义的Hook函数，这些函数将在原始内核函数执行前后被调用，将Hook函数注入到内核空间，替换或附加到原有的内核函数上，具体通过修改内核源码或使用特殊的注入技术；

在Hook函数中实现访问控制逻辑，检查执行内核函数的上下文是否符合安全策略，利用Hook函数监控内核函数的执行过程，记录关键信息，如调用者身份、参数、执行时间等；

在Hook函数中执行安全策略检查，包括验证调用者是否有权限执行该内核函数，或者参数是否符合预期，当检测到未授权的内核函数调用，通过Hook函数拦截该调用，阻止其执行或执行安全策略中定义的响应措施；

记录所有内核函数的调用情况和安全检查结果，生成安全日志，以供事后审计和分析，定义异常响应机制，当检测到异常或未授权操作时，触发报警或自动执行预定义的安全响应措施；

监控物联网终端的网络通讯，检测和拦截可疑的入站和出站数据流，防止恶意数据传输，识别并拦截危害系统安全的指令，包括系统提权、非法访问等，确保系统的稳定性和安全性；

分析系统行为模式，识别异常行为，如频繁的系统调用、异常的网络连接等，为进一步的安全分析提供依据；

根据预设的安全策略，自动执行相应的安全措施，如阻断恶意连接、限制可疑操作等，一旦发现可疑行为或潜在威胁，立即生成安全预警，通知系统管理员或自动触发其他安全防护措施；

记录所有监控活动和安全事件的详细日志，为安全审计和事后分析提供数据支持，根据监控结果和安全事件，动态更新安全策略，优化监控规则，提高系统的防御能力；

将监控结果和安全预警信息传递给列表管理模块和可信云服务模块，实现跨模块的安全协同。

列表管理模块用于利用区块链技术实现去中心化的访问控制列表管理，确保ACL的一致性和抗抵赖性，防止ACL被恶意篡改；其中ACL是Access Control List的缩写，既为访问控制列表；

设置区块链网络，初始化智能合约，用于管理ACL的上链和更新，根据安全需求和业务规则，定义访问控制策略和权限模型，为系统中的每个终端设备生成密钥对（公钥和私钥），并将公钥加入区块链网络；将初始访问控制列表信息以交易的形式提交到区块链网络，确保ACL的初始状态被安全记录，接收来自监控模块的安全预警信息，分析预警内容，确定是否需要调整ACL，具体步骤如下：

设定不同级别的安全时间，通过使用级别1到5，其中5表示最高安全风险，再利用风险评估模型，根据监控到的行为与已知威胁情报数据库进行比较，评估潜在风险；确定触发安全预警的具体参数，包括异常行为频率及未经授权的访问尝试次数，制定对应的规则决定何时调整ACL，具体的为当连续超过预设次数收到最高等级安全预警时，进行ACL的调整，预设次数可以设置为2、3或5次；再为每个预警参数设定阈值，超过阈值时则需要对ACL进行审查和对应的调整；利用机器学习算法分析历史安全时间和ACL调整案例，并自动调整预警阈值，实现实时监控，动态调整阈值，以适应不断变化的网络环境和威胁态势。

根据安全预警和实时监控数据，通过智能合约更新ACL，动态调整权限设置，利用区块链的共识机制，验证ACL的变更请求，确保变更的合法性和一致性；将变更后的ACL信息写入区块链，更新所有相关终端设备的访问权限，通知所有受影响的终端设备，确保它们接收到最新的访问权限信息；记录所有ACL的变更历史，提供完整的审计日志，实现操作的可追踪性，设计和实现冲突解决机制，处理ACL更新过程中可能出现的任何冲突；

在检测到安全事件时，快速响应，通过智能合约自动调整ACL，以限制或禁止可疑操作，定期审查ACL的有效性和适应性，根据系统的发展和安全需求进行必要的更新；与可信云服务模块协同工作，确保ACL的更新与软件更新和策略下发同步。

可信云服务模块用于采用区块链、云端、智能AI及边缘计算的方式，实现ACL的维护和软件更新的统一管理；

构建一个安全的云服务平台，确保其具备高可用性和弹性扩展能力，用于托管ACL和软件更新管理，将区块链技术与云服务平台集成，确保ACL的去中心化管理和不可篡改性；集成智能AI分析工具，用于分析监控模块提供的数据，识别和预测安全威胁，在网络边缘部署计算资源，用于处理和响应边缘设备的安全事件，减少延迟；通过云服务对ACL进行集中管理，确保所有终端设备的访问权限和操作的一致性，实现ACL的自动化分发机制，确保所有终端设备及时接收到最新的访问权限信息；

管理软件的版本信息，确保所有终端设备运行的是经过验证和批准的软件版本，定义和实施软件更新策略，确保软件更新的及时性和安全性；利用AI分析工具对监控模块提供的安全事件进行深入分析，识别潜在的安全威胁，根据AI分析结果，自动调整ACL和软件更新策略，实现自动化的安全策略调整；

按照预设频率评估和优化安全策略，确保其与最新的安全威胁和业务需求相匹配，其中预设频率根据多因素进行参考调节，具体的：

评估业务对系统安全性的依赖程度和关键性，确定业务需求对安全策略评估频率的影响；考虑系统的规模、组件多样性和交互复杂性，复杂性越高，可能需要更频繁的安全策略评估；监控最新的安全威胁情报，评估威胁变化的速度和对现有安全策略的影响；析历史安全事件的发生频率和模式，了解安全威胁的周期性和突发性；评估组织的安全团队资源和能力，确定可行的评估频率；利用风险评估模型量化安全风险，根据风险等级确定评估频率；建立安全策略实施的反馈机制，根据反馈结果调整评估频率；使用自动化工具和监控系统辅助评估过程，提高评估效率；进行成本效益分析，平衡安全策略评估的频率和成本，设定动态调整机制，根据系统运行情况和外部环境变化自动调整评估频率，对评估频率进行测试和验证，确保其有效性和适用性。

根据实现ACL和软件更新数据的同步和备份机制，确保数据的一致性和可靠性；提供用户界面和API，允许管理员和终端设备与云服务平台进行交互，获取和管理ACL和软件更新，实施安全审计和合规性检查，确保云服务平台的操作符合安全标准。

以上公开的本发明优选实施例只是用于帮助阐述本发明。优选实施例并没有详尽叙述所有的细节，也不限制该发明仅为的具体实施方式。显然，根据本说明书的内容，可作很多的修改和变化。本说明书选取并具体描述这些实施例，是为了更好地解释本发明的原理和实际应用，从而使所属技术领域技术人员能很好地理解和利用本发明。本发明仅受权利要求书及其全部范围和等效物的限制。

Claims (5)

1.基于Hook技术的物联网终端安全防护系统，其特征在于，包括：

监控模块，用于通过Hook技术监控和控制物联网终端的系统调用和内核函数，实现对系统通讯信道的控制和危险指令的拦截，具体步骤如下：

利用Hook技术拦截系统调用，监控系统资源的访问和操作；

通过Hook技术监控内核函数的执行，确保系统操作符合预定的安全策略，防止未授权的内核级操作，具体过程如下：

分析内核函数调用图，确定关键的内核函数作为Hook点，具体步骤如下：

具体通过确定内核函数的确优因素进行综合分析，确优参数包括：

调用频率；

权限级别：将权限级别设为五个，每个权限级别分别对应设置不同的权限分，并以此权限分作为衡量权限级别的标准；

系统调用入口：作为系统调用入口点的内核函数，并通过系调值作为量化，其中当内核函数为系统调用入口点的函数时，则系调值为1，反之，系调值则为0；

模块依赖性：将模块依赖性赋予1-10的评分，并记为模依分，以此模依分作为衡量模块依赖性的标准；

再分别将得到的调用频率、权限分、系调值及模依分归一化处理后代入以下公式：以得到评判值PPZ，式中dp、qf、xd及my分别为调用频率、权限分、系调值及模依分，分别为调用频率、权限分、系调值及模依分的预设权重系数；

将不同内核函数得到的评判值PPZ与预设评判阈值进行比对，当评判值PPZ大于预设评判阈值时，则判断该内核函数为关键内核函数；

为每个选定的Hook点编写自定义的Hook函数，这些函数将在原始内核函数执行前后被调用，将Hook函数注入到内核空间，替换或附加到原有的内核函数上，具体通过修改内核源码或使用注入技术；

在Hook函数中实现访问控制逻辑，检查执行内核函数的上下文是否符合安全策略，利用Hook函数监控内核函数的执行过程，记录关键信息，关键信息包括调用者身份、参数及执行时间；

在Hook函数中执行安全策略检查，包括验证调用者是否有权限执行该内核函数，或者参数是否符合预期，当检测到未授权的内核函数调用，通过Hook函数拦截该调用，阻止其执行或执行安全策略中定义的响应措施；

记录所有内核函数的调用情况和安全检查结果，生成安全日志，以供事后审计和分析，定义异常响应机制，当检测到异常或未授权操作时，触发报警或自动执行预定义的安全响应措施；

监控物联网终端的网络通讯，检测和拦截异常的入站和出站数据流，防止恶意数据传输，识别并拦截危害系统安全的指令，包括系统提权及非法访问，确保系统的稳定性和安全性；

分析系统行为模式，识别异常行为；

根据预设的安全策略，自动执行相应的安全措施，当发现异常行为或潜在威胁，立即生成安全预警，通知系统管理员或自动触发对应的安全防护措施；

记录所有监控活动和安全事件的详细日志，根据监控结果和安全事件，动态更新安全策略，优化监控规则；

将监控结果和安全预警信息传递给列表管理模块和可信云服务模块，实现跨模块的安全协同；

列表管理模块，用于利用区块链技术实现去中心化的访问控制列表管理，确保访问控制列表的一致性和抗抵赖性，防止访问控制列表被恶意篡改；

可信云服务模块，用于采用区块链、云端、智能AI及边缘计算的方式，实现访问控制列表的维护和软件更新的统一管理。

2.根据权利要求1所述的基于Hook技术的物联网终端安全防护系统，其特征在于，所述列表管理模块利用区块链技术实现去中心化的访问控制列表管理的具体操作步骤如下：

设置区块链网络并初始化智能合约，用于管理访问控制列表的上链和更新；

为系统中的每个终端设备生成一对密钥，并将公钥加入区块链网络；

将初始访问控制列表信息以交易的形式提交到区块链网络，确保访问控制列表信息的初始状态被安全记录；

接收监控模块的安全预警信息，分析预警内容，设定不同级别的安全事件，使用级别1到5；

利用风险评估模型，根据监控到的行为与已知威胁情报数据库进行比较，评估潜在风险，并确定是否需要调整访问控制列表；

根据安全预警和实时监控的数据，通过智能合约更新访问控制列表，动态调整权限设置，利用区块链的共识机制，验证访问控制列表的变更请求，确保变更的合法性和一致性；

将变更后的访问控制列表信息写入区块链，更新所有相关终端设备的访问权限，通知所有受影响的终端设备，用于确定终端设备接收到最新的访问权限信息；

记录所有访问控制列表的变更历史，提供审计日志，根据冲突解决机制，处理访问控制列表更新过程中出现的任何冲突；

在检测到安全事件时，进行响应，通过智能合约自动调整访问控制列表，以限制或禁止异常操作，定期审查访问控制列表的有效性和适应性，根据系统的发展和安全需求进行更新。

3.根据权利要求2所述的基于Hook技术的物联网终端安全防护系统，其特征在于，所述列表管理模块确定是否需要调整访问控制列表，具体步骤如下：

设定不同级别的安全时间，通过使用级别1到5，其中5表示最高安全风险，再利用风险评估模型，根据监控到的行为与已知威胁情报数据库进行比较，评估潜在风险；

确定触发安全预警的具体参数，包括异常行为频率及未经授权的访问尝试次数，制定对应的规则决定何时调整访问控制列表，具体的为当连续超过预设次数收到最高等级安全预警时，进行访问控制列表的调整；

再为每个预警参数设定阈值，超过阈值时则需要对访问控制列表进行审查和对应的调整；

利用机器学习算法分析历史安全时间和访问控制列表调整案例，并自动调整预警阈值，实现实时监控，动态调整阈值。

4.根据权利要求1所述的基于Hook技术的物联网终端安全防护系统，其特征在于，所述可信云服务模块实现访问控制列表的维护和软件更新的统一管理的具体操作步骤如下：

构建云服务平台，且该云服务平台具备可用性和弹性扩展能力，用于托管访问控制列表和软件更新管理；

将区块链技术与云服务平台集成，用于确保访问控制列表的去中心化管理和不可篡改性；

集成智能AI分析工具，用于分析监控模块提供的数据，识别和预测安全威胁；

在网络边缘部署计算资源，用于处理和响应边缘设备的安全事件，减少延迟；

通过云服务对访问控制列表进行集中管理，用于确保所有终端设备的访问权限和操作的一致性；

实现访问控制列表的自动化分发机制，确保所有终端设备及时接收到最新的访问权限信息；

管理软件的版本信息，确定所有终端设备运行的是经过验证和批准的软件版本；

利用AI分析工具对安全事件进行深入分析，识别潜在的安全威胁，并根据分析结果自动调整访问控制列表和软件更新策略；

按照预设频率评估和优化安全策略，使安全策略与最新的安全威胁和业务需求相匹配；

利用访问控制列表和软件更新数据的同步和备份机制，使数据的保持一致性和可靠性；

提供用户界面和API，允许管理员和终端设备与云服务平台进行交互，获取和管理访问控制列表和软件更新；

实施安全审计和合规性检查，使云服务平台的操作符合安全标准。

5.根据权利要求4所述的基于Hook技术的物联网终端安全防护系统，其特征在于，所述可信云服务模块按照预设频率评估和优化安全策略中的预设频率设置的具体操作步骤如下：

预设频率根据多因素进行参考调节；

评估业务对系统安全性的依赖程度和关键性，确定业务需求对安全策略评估频率的影响；

分析系统的规模、组件多样性和交互复杂性；

监控最新的安全威胁情报，评估威胁变化的速度和对现有安全策略的影响；

分析历史安全事件的发生频率和模式，获取安全威胁的周期性和突发性；

评估组织的安全团队资源和能力；

利用风险评估模型量化安全风险，根据风险等级确定评估频率；

建立安全策略实施的反馈机制，根据反馈结果调整评估频率；

使用自动化工具和监控系统辅助评估过程；

进行成本效益分析，平衡安全策略评估的频率和成本；

设定动态调整机制，根据系统运行情况和外部环境变化自动调整评估频率，对评估频率进行测试和验证，确保其有效性和适用性。