CN112118219B - 拟态判决方法、装置、电子设备及计算机可读存储介质 - Google Patents
拟态判决方法、装置、电子设备及计算机可读存储介质 Download PDFInfo
- Publication number
- CN112118219B CN112118219B CN202010742143.5A CN202010742143A CN112118219B CN 112118219 B CN112118219 B CN 112118219B CN 202010742143 A CN202010742143 A CN 202010742143A CN 112118219 B CN112118219 B CN 112118219B
- Authority
- CN
- China
- Prior art keywords
- data
- probability value
- determining
- machine learning
- mimicry
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1483—Countermeasures against malicious traffic service impersonation, e.g. phishing, pharming or web spoofing
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
- Debugging And Monitoring (AREA)
Abstract
本公开提供了拟态判决方法、装置、电子设备及计算机可读存储介质。该方法的一具体实施方式包括:获取每个异构执行体输出的第一数据;基于预设的机器学习模型,确定每个第一数据对应的异常概率值,其中,异常概率值表示第一数据为异常的可能性大小;确定各异常概率值中的最小异常概率值;将最小异常概率值对应的第一数据确定为拟态防御系统的输出结果。该实施方式能够在较少的数据缓存下高效的完成拟态判决,减少了拟态判决所用时间和系统缓存容量,有效提升了处理效率和系统性能。
Description
技术领域
本公开涉及网络安全技术领域,具体涉及拟态判决方法、装置、电子设备及计算机可读存储介质。
背景技术
拟态防御是一种应对网络攻击威胁的新思想,其通过构建动态异构冗余的系统架构和运行机制实现基于未知漏洞或后门的入侵防御,能够有效提升网络空间的安全性。
在拟态防御系统中,需要对不同异构执行体的输出数据进行判决以确定系统最终的输出结果(即拟态判决)。现有的拟态判决方法,主要以经典的多数一致性判决为主,并在其基础上衍生出基于自检的、异构度的、历史记录的等多数一致性判决方法,除此之外还有复数裁决和中值裁决等方法。这些判决方法的基本思想是根据拟态系统各异构执行体输出数据的不同进行比对,通过数据比对结果和其他辅助信息判决出系统的最佳输出。在实际拟态判决的过程中,需要将各异构执行体输出数据缓存下来,等待所有异构执行体执行任务结束后进行比较判决。
在现有的方法的拟态判决过程中,因为各异构执行体对不同任务执行周期不同,所以判决器需要等待所有异构执行体的执行任务结束后再进行比较判决,导致系统会有较长的等待时间(也可称之为“窗口时间”),这样的判决方法会在一定程度上降低拟态防御系统的效率。
因此,有必要提出一种新的进行拟态判决的技术方案。
发明内容
本公开提出了拟态判决方法、装置、电子设备及计算机可读存储介质。
第一方面,本公开提供了一种拟态判决方法,应用于拟态防御系统,上述拟态防御系统包括至少两个异构执行体,上述方法包括:
获取每个上述异构执行体输出的第一数据;
基于预设的机器学习模型,确定每个上述第一数据对应的异常概率值,其中,上述异常概率值表示上述第一数据为异常的可能性大小;
确定各上述异常概率值中的最小异常概率值;
将上述最小异常概率值对应的上述第一数据确定为上述拟态防御系统的输出结果。
在一些可选的实施方式中,上述将上述最小异常概率值对应的上述第一数据确定为上述拟态防御系统的输出结果,包括:
确定上述最小异常概率值是否小于预设概率阈值;
响应于确定是,将上述最小异常概率值对应的上述第一数据确定为上述拟态防御系统的输出结果。
在一些可选的实施方式中,上述机器学习模型为卷积神经网络模型;以及
上述基于预设的机器学习模型,确定每个上述第一数据对应的异常概率值,包括:
将上述第一数据处理为预设数据长度,得到相应的第二数据;
将上述第二数据转换为二维形式,得到相应的第三数据;
将上述第三数据输入上述机器学习模型,得到上述第一数据对应的异常概率值。
在一些可选的实施方式中,上述将上述第一数据处理为预设数据长度,得到相应的第二数据,包括:
确定上述第一数据的数据长度是否大于或者等于上述预设数据长度;
响应于确定是,对上述第一数据进行截取,以得到上述第二数据;
响应于确定否,对上述第一数据进行填充,以得到上述第二数据。
在一些可选的实施方式中,上述机器学习模型通过以下方式训练得到:
获取训练样本集,上述训练样本集中的样本包括样本第一数据和表示上述样本第一数据是否异常的标签;
基于上述训练样本集对初始机器学习模型进行训练,直至满足预设训练结束条件;
将训练后的上述初始机器学习模型确定为上述机器学习模型。
在一些可选的实施方式中,上述基于上述训练样本集对初始模型进行机器学习训练,包括:
将上述样本第一数据处理为上述预设数据长度,得到相应的样本第二数据;
对上述样本第二数据进行随机化处理,以将上述样本第二数据中包含的目标信息设置为随机值;
将随机化处理后的上述样本第二数据转换为上述二维形式,得到相应的样本第三数据;
将上述样本第三数据输入上述初始机器学习模型,直至满足上述预设训练结束条件。
第二方面,本公开提供了一种拟态判决装置,应用于拟态防御系统,上述拟态防御系统包括至少两个异构执行体,上述装置包括:
获取模块,被配置为获取每个上述异构执行体输出的第一数据;
第一确定模块,被配置为基于预设的机器学习模型,确定每个上述第一数据对应的异常概率值,其中,上述异常概率值表示上述第一数据为异常的可能性大小;
第二确定模块,被配置为确定各上述异常概率值中的最小异常概率值;
第三确定模块,被配置为将上述最小异常概率值对应的上述第一数据确定为上述拟态防御系统的输出结果。
在一些可选的实施方式中,上述第三确定模块进一步被配置为:
确定上述最小异常概率值是否小于预设概率阈值;
响应于确定是,将上述最小异常概率值对应的上述第一数据确定为上述拟态防御系统的输出结果。
在一些可选的实施方式中,上述机器学习模型为卷积神经网络模型;以及
上述第一确定模块进一步被配置为:
将上述第一数据处理为预设数据长度,得到相应的第二数据;
将上述第二数据转换为二维形式,得到相应的第三数据;
将上述第三数据输入上述机器学习模型,得到上述第一数据对应的异常概率值。
在一些可选的实施方式中,上述第一确定模块进一步被配置为:
确定上述第一数据的数据长度是否大于或者等于上述预设数据长度;
响应于确定是,对上述第一数据进行截取,以得到上述第二数据;
响应于确定否,对上述第一数据进行填充,以得到上述第二数据。
在一些可选的实施方式中,还包括训练模块,上述训练模块被配置为:
获取训练样本集,上述训练样本集中的样本包括样本第一数据和表示上述样本第一数据是否异常的标签;
基于上述训练样本集对初始机器学习模型进行训练,直至满足预设训练结束条件;
将训练后的上述初始机器学习模型确定为上述机器学习模型。
在一些可选的实施方式中,上述训练模块进一步被配置为:
将上述样本第一数据处理为上述预设数据长度,得到相应的样本第二数据;
对上述样本第二数据进行随机化处理,以将上述样本第二数据中包含的目标信息设置为随机值;
将随机化处理后的上述样本第二数据转换为上述二维形式,得到相应的样本第三数据;
将上述样本第三数据输入上述初始机器学习模型,直至满足上述预设训练结束条件。
第三方面,本公开提供了一种电子设备,包括:
一个或多个处理器;
存储装置,用于存储一个或多个程序;
当上述一个或多个程序被上述一个或多个处理器执行时,使得上述一个或多个处理器实现如本公开第一方面任一实施方式描述的方法。
第四方面,本公开提供了一种计算机可读介质,其上存储有计算机程序,其中,上述程序被处理器执行时实现如本公开第一方面任一实施方式描述的方法。
本实施例中的拟态判决方法,基于预设的机器学习模型确定每个第一数据对应的异常概率值,并将最小异常概率值对应的第一数据确定为拟态防御系统的输出结果,能够在较少的数据缓存下高效的完成拟态判决,减少拟态判决所用时间和系统缓存容量,有效提升了处理效率和系统性能。
附图说明
通过阅读参照以下附图所作的对非限制性实施例所作的详细描述,本公开的其它特征、目的和优点将会变得更明显:
图1是可用于实现公开本实施例的拟态防御系统的结构示意图;
图2A是根据本公开的拟态判决方法的一个实施例的流程图;
图2B是根据本公开的步骤202的一个实施例的分解流程图;
图2C是根据本公开的拟态判决方法的一个具体例子的示意图;
图3是根据本公开的拟态判决装置的一个实施例的结构示意图;
图4是适于用来实现本公开的电子设备的计算机系统的结构示意图。
具体实施方式
下面结合附图和实施例对本公开作进一步的详细说明。可以理解的是,此处所描述的具体实施例仅仅用于解释相关发明,而非对该发明的限定。另外还需要说明的是,为了便于描述,附图中仅示出了与有关发明相关的部分。
需要说明的是,在不冲突的情况下,本公开中的实施例及实施例中的特征可以相互组合。下面将参考附图并结合实施例来详细说明本公开。
图1示出了可用于实现本公开实施例的拟态防御系统的结构示意图。
如图1所示,该拟态防御系统包括冗余控制器、输入代理器、多个异构执行体和输出代理器。在该拟态防御系统中,冗余控制器用于接收外部控制参数,生成冗余调度策略和输出仲裁策略,分别发送给输入代理器和输出代理器。输入代理器依据接收到的冗余调度策略选择相应的异构执行体响应外部服务请求,异构执行体将处理结果发送至输出代理器,输出代理器根据冗余控制器下发的输出控制策略,对异构执行体的输出结果进行拟态判决,最终选择一路作为系统输出。
上述拟态防御系统可以应用于路由器、交换机等电子设备中。
图1所示的拟态防御系统仅是解释性的,并且决不是为了要限制本发明、其应用或用途。
继续参考图2A,其示出了根据本公开的拟态判决方法的一个实施例的流程200,该拟态判决方法可以由图1所示的拟态防御系统执行。
本实施例中的拟态判决方法可以应用于拟态防御系统,该拟态防御系统可以包括至少两个异构执行体。上述拟态防御系统可以具有管控广义不确定扰动的能力,能够有效抑制未知安全风险带来的不确定扰动。上述拟态防御系统可以通过将拟态伪装机制赋予DHR((Dynamic Heterogeneous Redundancy,动态异构冗余)架构的多模裁决、策略调度、负反馈控制、多维动态重构等环节建立。上述异构执行体可以是一种异构理论设备的可并行执行的能够实现主体设备完全功能的构件。例如,可以将具有不同结构的多个处理器分别作为多个异构执行体。在一个例子中,可以采用Intel处理器、ARM处理器和AMD处理器作为异构执行体。
如图2A所示,本实施例中的拟态判决方法包括以下步骤:
步骤201,获取每个异构执行体输出的第一数据。
本实施例中,上述拟态判决方法的执行主体可以接收每个异构执行体输出的第一数据。在网络通信等领域,第一数据可以是数据流格式。上述数据流可以是一组有序、有起点和终点的字节的数据序列。
在一个例子中,上述拟态判决方法的执行主体可以实时接收每个异构执行体输出的第一数据。由于不同异构执行体的执行状态可能不同,相应输出的第一数据也可能不同。例如,不同执行体输出的第一数据可能具有不同的数据长度。
步骤202,基于预设的机器学习模型,确定每个第一数据对应的异常概率值。
本实施例中,异常概率值可以表示第一数据为异常的可能性大小。例如,异常概率值的数值范围可以是[0,1]区间上的数值,其数值越大表示第一数据为异常的可能性越大,其数值越小表示第一数据为异常的可能性越小。
在一个例子中,可以基于同一机器学习模型分别确定每个异构执行体输出的第一数据的异常概率值。例如,假设异构执行体1、异构执行体2和异构执行体3输出的第一数据依次为N1、N2和N3,那么可以基于同一机器学习模型分别确定N1、N2和N3对应的异常概率值M1、M2和M3。
在一些可选的实施方式中,机器学习模型可以是卷积神经网络模型。上述卷积神经网络(Convolutional Neural Network,CNN)是一种前馈型的神经网络,其在大型图像处理方面有出色的表现,目前已经被大范围使用到图像分类、定位等领域中。相比于其他神经网络结构,卷积神经网络需要的参数相对较少,使的其能够广泛应用。
在一些可选的实施方式中,卷积神经网络模型可以包括两个卷积层、两个池化层、一个全连接层和分类器。上述卷积神经网络模型可以通过卷积层、池化层和全连接层有效提取第一数据的特征,并通过分类器将提取到的特征转换为异常概率值。
在该实施方式中,如图2B所示,步骤202可以进一步包括以下步骤:
步骤2021,将第一数据处理为预设数据长度,得到相应的第二数据。
在该实施方式中,数据长度可以指数据占据多少字节(或者类似字节的其他存储单位)。例如,第一数据的长度可以是10字节,预设数据长度可以是5字节。
在一个例子中,步骤2011可以按照如下方式实施:首先,确定第一数据的数据长度是否大于或者等于预设数据长度。在第一数据的数据长度大于或者等于预设数据长度的情况下,可以对第一数据进行截取以得到第二数据。上述截取操作可以是从第一数据头部开始截取若干长度的数据,例如将“00101100”截取为“0010”。在第一数据的数据长度小于预设数据长度的情况下,可以对第一数据进行填充以得到第二数据。上述填充操作可以是从第一数据尾部开始填充预设数值,例如“0”,比如可以将“001”填充为“0010”。
在上述例子中,假设第一数据的长度为10字节,预设数据长度为5字节,由于此时第一数据的长度大于预设数据长度,因此可以对第一数据进行截取从而获得第二数据。假设第一数据的长度为3字节,预设数据长度为5字节,由于此时第一数据的长度小于预设数据长度,因此可以对第一数据进行填充从而获得第二数据。
通过步骤2011,可以将不同异构执行体输出的第一数据统一为相同长度,便于后续步骤的执行。
步骤2022,将第二数据转换为二维形式,得到相应的第三数据。
在该实施方式中,第一数据和第二数据通常为一维数据,可以对其进行二维转换从而得到二维形式(例如图片格式)的第三数据。例如,可以基于GAF(Gramian AngularField,格拉姆角场)方法将一维数据转换为二维数据。此外,也可以采用其他方法进行二维转换,本实施例对此不作限定。
步骤2022中将一维形式的第二数据处理为二维形式,有利于将其输入卷积神经网络进行处理。
步骤2023,将第三数据输入机器学习模型,得到第一数据对应的异常概率值。
在该实施方式中,由于机器学习模型为卷积神经网络模型,因此能够有效地对二维形式的第三数据进行特征提取和识别,有利于确定相应的异常概率值。
在一些可选的实施方式中,机器学习模型通过以下方式训练得到:首先,获取训练样本集,训练样本集中的样本包括样本第一数据和表示样本第一数据是否异常的标签。上述训练样本集可以基于CSE-CIC-IDS2018、KDD99、ISCX2012等现有的网络入侵检测数据集获得,也可以基于网络入侵的历史数据获得,本实施例对此不做限定。其次,基于训练样本集对初始机器学习模型进行训练,直至满足预设训练结束条件。上述模型训练过程可以基于梯度下降法进行,上述预设训练结束条件可以是损失函数达到收敛状态等。当然,如何训练机器模型属于本领域的公知常识,本实施例对此不做限定。最后,将训练后的初始机器学习模型确定为机器学习模型。
在一个例子中,上述基于训练样本集对初始机器学习模型进行训练的步骤可以实施为如下方式:首先,将样本第一数据处理为预设数据长度,得到相应的样本第二数据。其次,对样本第二数据进行随机化处理,以将样本第二数据中包含的目标信息设置为随机值。之后,将随机化处理后的样本第二数据转换为二维形式,得到相应的样本第三数据。最后,将样本第三数据输入初始机器学习模型,直至满足预设训练结束条件。
上述将样本第一数据处理为预设数据长度以及将随机化处理后的样本第二数据转换为二维形式的步骤可以参见前文对步骤2021和步骤2022的描述,这里不再赘述。
在上述对样本第二数据进行随机化处理,以将样本第二数据中包含的目标信息设置为随机值的步骤中,目标信息可以是IP(Internet Protocol,网际互连协议)地址和MAC(Media Access Control,介质访问控制层)地址等网络标识信息。通过对上述目标信息进行随机化处理,可以实现第一数据的匿名化,避免训练好的机器学习模型出现过拟合的问题。
步骤203,确定各异常概率值中的最小异常概率值。
本实施例中,可以将步骤202中得到的各个异常概率值相互进行比较,确定出其中数值最小的异常概率值,即为最小异常概率值。
步骤204,将最小异常概率值对应的第一数据确定为拟态防御系统的输出结果。
例如,假设异构执行体1、异构执行体2和异构执行体3输出的第一数据依次为N1、N2和N3,对应的异常概率值M1、M2和M3,其中最小异常概率值为M1,那么上述拟态判决方法的执行主体可以将最小概率值M1对应的第一数据N1确定为拟态防御系统的输出结果。
在一些可选的实施方式中,步骤204可以进一步按照如下方式执行:首先,确定最小异常概率值是否小于预设概率阈值。上述预设概率阈值可以通过分析或者试验等方式确定,其数值例如是0.1。在最小异常概率值小于预设概率阈值的情况下,将最小异常概率值对应的第一数据确定为拟态防御系统的输出结果。在最小异常概率值大于或者等于预设概率阈值的情况下,可以将拟态判决结果确定为“无效”(即全部异构执行体的执行结果均为异常),并且可以进一步将拟态防御系统切换至失效安全状态。通过上述方式,可以防止所有执行体输出数据都异常时出现判决错误(即共模逃逸)的情况,有利于进一步提高系统的安全性。
本实施例中的拟态判决方法,基于预设的机器学习模型确定每个第一数据对应的异常概率值,并将最小异常概率值对应的第一数据确定为拟态防御系统的输出结果,能够在较少的数据缓存下高效的完成拟态判决,减少的拟态判决所用时间和系统缓存容量,有效提升了处理效率和系统性能。
图2C是根据本公开的拟态判决方法的一个具体例子的示意图。在该例子中,输入数据包括三个数据流,即第一异构执行体1输出的第一数据1,第二异构执行体2输出的第一数据2和第三异构执行体3输出的第一数据3。上述输入数据进入输入输出控制单元后,输入输出控制单元三个数据流分别输入相应的处理流程。在每个处理流程中,首先由截取或者填充单元对第一数据进行截取或填充,以将其处理为预设数据长度从而得到相应的第二数据,其次由二维转换单元将第二数据转换为二维形式以得到相应的第三数据,最后由CNN异常检测单元对第三数据进行特征提取和识别处理,从而得到相应的异常概率值。之后,最小异常值判决单元对各个异常概率值进行比较以确定出最小异常概率值(假设为异常概率1),并将最小异常概率值与预设概率阈值进行比较。在最小异常概率值小于预设概率阈值的情况下,最小异常值判决单元将最小异常概率值对应的数据流(即第一数据1)确定为判决结果,并将判决结果反馈给输入输出控制单元。最后,输入输出控制单元将判决结果对应的数据流(即第一数据1)输出。
上述例子中的拟态判决方法在CSE-CIC-IDS2018、KDD99、ISCX2012等权威数据集上可以达到准确率(ACC)=99%,检测率(DR)=99%,误警率(FAR)=0.0006%的较好实验结果,表明该方案具有较好的泛化性。
进一步参考图3,作为对上述各图所示方法的实现,本公开提供了一种拟态判决装置的一个实施例,该装置实施例与图2A所示的方法实施例相对应,该装置具体可以应用于各种电子设备中。
如图3所示,本实施例的拟态判决装置300包括:获取模块301、第一确定模块302、第二确定模块303和第三确定模块304。其中,获取模块301可以被配置为获取每个异构执行体输出的第一数据;第一确定模块302可以被配置为基于预设的机器学习模型,确定每个第一数据对应的异常概率值,其中,异常概率值表示第一数据为异常的可能性大小;第二确定模块303可以被配置为确定各异常概率值中的最小异常概率值;第三确定模块304可以被配置为将最小异常概率值对应的第一数据确定为拟态防御系统的输出结果。
在本实施例中,拟态判决装置300的获取模块301、第一确定模块302、第二确定模块303和第三确定模块304的具体处理及其所带来的技术效果可分别参考图2A对应实施例中步骤201、步骤202、步骤203和步骤204的相关说明,在此不再赘述。
在一些可选的实施方式中,第三确定模块304可以进一步被配置为:确定最小异常概率值是否小于预设概率阈值;响应于确定是,将最小异常概率值对应的第一数据确定为拟态防御系统的输出结果。
在一些可选的实施方式中,机器学习模型可以为卷积神经网络模型;以及第一确定模块302可以进一步被配置为:将第一数据处理为预设数据长度,得到相应的第二数据;将第二数据转换为二维形式,得到相应的第三数据;将第三数据输入机器学习模型,得到第一数据对应的异常概率值。
在一些可选的实施方式中,第一确定模块302可以进一步被配置为:确定第一数据的数据长度是否大于或者等于预设数据长度;响应于确定是,对第一数据进行截取,以得到第二数据;响应于确定否,对第一数据进行填充,以得到第二数据。
在一些可选的实施方式中,该装置还可以包括训练模块(图3中未示出),训练模块可以被配置为:获取训练样本集,训练样本集中的样本包括样本第一数据和表示样本第一数据是否异常的标签;基于训练样本集对初始机器学习模型进行训练,直至满足预设训练结束条件;将训练后的初始机器学习模型确定为机器学习模型。
在一些可选的实施方式中,训练模块可以进一步被配置为:将样本第一数据处理为预设数据长度,得到相应的样本第二数据;对样本第二数据进行随机化处理,以将样本第二数据中包含的目标信息设置为随机值;将随机化处理后的样本第二数据转换为二维形式,得到相应的样本第三数据;将样本第三数据输入初始机器学习模型,直至满足预设训练结束条件。
需要说明的是,本公开提供的拟态判决装置中各模块的实现细节和技术效果可以参考本公开中其它实施例的说明,在此不再赘述。
下面参考图4,其示出了适于用来实现本公开的电子设备的计算机系统400的结构示意图。图4示出的电子设备仅仅是一个示例,不应对本公开的功能和使用范围带来任何限制。
如图4所示,计算机系统400包括中央处理单元(CPU,Central Processing Unit)401,其可以根据存储在只读存储器(ROM,Read Only Memory)402中的程序或者从存储部分408加载到随机访问存储器(RAM,Random Access Memory)403中的程序而执行各种适当的动作和处理。在RAM403中,还存储有系统400操作所需的各种程序和数据。CPU401、ROM402以及RAM403通过总线404彼此相连。输入/输出(I/O,Input/Output)接口405也连接至总线404。
以下部件连接至I/O接口405:包括触控屏、手写板、键盘或鼠标等的输入部分406;包括诸如阴极射线管(CRT,Cathode Ray Tube)、液晶显示器(LCD,Liquid CrystalDisplay)等以及扬声器等的输出部分407;包括硬盘等的存储部分408;以及包括诸如LAN(局域网,Local Area Network)卡、调制解调器等的网络接口卡的通信部分409。通信部分409经由诸如因特网的网络执行通信处理。
特别地,根据本公开的实施例,上文参考流程图描述的过程可以被实现为计算机软件程序。例如,本公开的实施例包括一种计算机程序产品,其包括承载在计算机可读介质上的计算机程序,该计算机程序包含用于执行流程图所示的方法的程序代码。在这样的实施例中,该计算机程序可以通过通信部分409从网络上被下载和安装。在该计算机程序被中央处理单元(CPU)401执行时,执行本公开的方法中限定的上述功能。需要说明的是,本公开的计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质或者是上述两者的任意组合。计算机可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。计算机可读存储介质的更具体的例子可以包括但不限于:具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机访问存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑磁盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本公开中,计算机可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。而在本公开中,计算机可读的信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式,包括但不限于电磁信号、光信号或上述的任意合适的组合。计算机可读的信号介质还可以是计算机可读存储介质以外的任何计算机可读介质,该计算机可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。计算机可读介质上包含的程序代码可以用任何适当的介质传输,包括但不限于:无线、电线、光缆、RF等等,或者上述的任意合适的组合。
可以以一种或多种程序设计语言或其组合来编写用于执行本公开的操作的计算机程序代码,程序设计语言包括面向对象的程序设计语言—诸如Java、Smalltalk、C++、Python,还包括常规的过程式程序设计语言—诸如“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算机上执行、部分地在用户计算机上执行、作为一个独立的软件包执行、部分在用户计算机上部分在远程计算机上执行、或者完全在远程计算机或服务器上执行。在涉及远程计算机的情形中,远程计算机可以通过任意种类的网络——包括局域网(LAN)或广域网(WAN)—连接到用户计算机,或者,可以连接到外部计算机(例如利用因特网服务提供商来通过因特网连接)。
附图中的流程图和框图,图示了按照本公开各种实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分,该模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个接连地表示的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或操作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
描述于本公开中所涉及到的模块可以通过软件的方式实现,也可以通过硬件的方式来实现。所描述的模块也可以设置在处理器中,例如,可以描述为:一种处理器包括获取模块、第一确定模块、第二确定模块和第三确定模块。其中,这些模块的名称在某种情况下并不构成对该模块本身的限定,例如,获取模块还可以被描述为“获取每个异构执行体输出的第一数据的模块”。
作为另一方面,本公开还提供了一种计算机可读介质,该计算机可读介质可以是上述实施例中描述的装置中所包含的,也可以是单独存在而未装配入该装置中。上述计算机可读介质承载有一个或者多个程序,当上述一个或者多个程序被该装置执行时,使得该装置:获取每个异构执行体输出的第一数据;基于预设的机器学习模型,确定每个第一数据对应的异常概率值,其中,异常概率值表示第一数据为异常的可能性大小;确定各异常概率值中的最小异常概率值;将最小异常概率值对应的第一数据确定为拟态防御系统的输出结果。
以上描述仅为本公开的较佳实施例以及对所运用技术原理的说明。本领域技术人员应当理解,本公开中所涉及的发明范围,并不限于上述技术特征的特定组合而成的技术方案,同时也应涵盖在不脱离上述发明构思的情况下,由上述技术特征或其等同特征进行任意组合而形成的其它技术方案。例如上述特征与本公开中公开的(但不限于)具有类似功能的技术特征进行互相替换而形成的技术方案。
Claims (7)
1.一种拟态判决方法,应用于拟态防御系统,所述拟态防御系统包括至少两个异构执行体,所述方法包括:
获取每个所述异构执行体输出的第一数据;
基于预设的机器学习模型,确定每个所述第一数据对应的异常概率值,其中,所述异常概率值表示所述第一数据为异常的可能性大小,所述机器学习模型为卷积神经网络模型,所述确定每个所述第一数据对应的异常概率值,具体包括:将所述第一数据处理为预设数据长度,得到相应的第二数据;将所述第二数据转换为二维形式,得到相应的第三数据;将所述第三数据输入所述机器学习模型,得到所述第一数据对应的异常概率值;
确定各所述异常概率值中的最小异常概率值;
确定所述最小异常概率值是否小于预设概率阈值;
响应于确定小于,将所述最小异常概率值对应的所述第一数据确定为所述拟态防御系统的输出结果;
响应于确定不小于,将所述拟态防御系统的输出结果确定为无效输出结果。
2.根据权利要求1所述的方法,其中,所述将所述第一数据处理为预设数据长度,得到相应的第二数据,包括:
确定所述第一数据的数据长度是否大于或者等于所述预设数据长度;
响应于确定是,对所述第一数据进行截取,以得到所述第二数据;
响应于确定否,对所述第一数据进行填充,以得到所述第二数据。
3.根据权利要求1或2所述的方法,其中,所述机器学习模型通过以下方式训练得到:
获取训练样本集,所述训练样本集中的样本包括样本第一数据和表示所述样本第一数据是否异常的标签;
基于所述训练样本集对初始机器学习模型进行训练,直至满足预设训练结束条件;
将训练后的所述初始机器学习模型确定为所述机器学习模型。
4.根据权利要求3所述的方法,其中,所述基于所述训练样本集对初始模型进行机器学习训练,包括:
将所述样本第一数据处理为所述预设数据长度,得到相应的样本第二数据;
对所述样本第二数据进行随机化处理,以将所述样本第二数据中包含的目标信息设置为随机值;
将随机化处理后的所述样本第二数据转换为所述二维形式,得到相应的样本第三数据;
将所述样本第三数据输入所述初始机器学习模型,直至满足所述预设训练结束条件。
5.一种拟态判决装置,应用于拟态防御系统,所述拟态防御系统包括至少两个异构执行体,所述装置包括:
获取模块,被配置为获取每个所述异构执行体输出的第一数据;
第一确定模块,被配置为基于预设的机器学习模型,确定每个所述第一数据对应的异常概率值,其中,所述异常概率值表示所述第一数据为异常的可能性大小,所述机器学习模型为卷积神经网络模型,所述确定每个所述第一数据对应的异常概率值,具体包括:将所述第一数据处理为预设数据长度,得到相应的第二数据;将所述第二数据转换为二维形式,得到相应的第三数据;将所述第三数据输入所述机器学习模型,得到所述第一数据对应的异常概率值;
第二确定模块,被配置为确定各所述异常概率值中的最小异常概率值;
第三确定模块,被配置为确定所述最小异常概率值是否小于预设概率阈值;响应于确定小于,将所述最小异常概率值对应的所述第一数据确定为所述拟态防御系统的输出结果;响应于确定不小于,将所述拟态防御系统的输出结果确定为无效输出结果。
6.一种电子设备,包括:
一个或多个处理器;
存储装置,用于存储一个或多个程序;
当所述一个或多个程序被所述一个或多个处理器执行时,使得所述一个或多个处理器实现如权利要求1-4中任一所述的方法。
7.一种计算机可读介质,其上存储有计算机程序,其中,所述程序被处理器执行时实现如权利要求1-4中任一所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010742143.5A CN112118219B (zh) | 2020-07-29 | 2020-07-29 | 拟态判决方法、装置、电子设备及计算机可读存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010742143.5A CN112118219B (zh) | 2020-07-29 | 2020-07-29 | 拟态判决方法、装置、电子设备及计算机可读存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112118219A CN112118219A (zh) | 2020-12-22 |
| CN112118219B true CN112118219B (zh) | 2023-03-24 |
Family
ID=73799589
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010742143.5A Active CN112118219B (zh) | 2020-07-29 | 2020-07-29 | 拟态判决方法、装置、电子设备及计算机可读存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112118219B (zh) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113537284B (zh) * | 2021-06-04 | 2023-01-24 | 中国人民解放军战略支援部队信息工程大学 | 基于拟态机制的深度学习实现方法及系统 |
| CN115099361B (zh) * | 2022-07-15 | 2024-08-06 | 井芯微电子技术(天津)有限公司 | 一种基于ai识别的异构体多路数据匹配算法 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109408452A (zh) * | 2018-01-29 | 2019-03-01 | 天津芯海创科技有限公司 | 拟态工控处理器及数据处理方法 |
| CN111368980A (zh) * | 2020-03-06 | 2020-07-03 | 京东数字科技控股有限公司 | 状态检测方法、装置、设备及存储介质 |
Family Cites Families (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20080209558A1 (en) * | 2007-02-22 | 2008-08-28 | Aladdin Knowledge Systems | Self-defensive protected software with suspended latent license enforcement |
| US8388442B2 (en) * | 2008-09-04 | 2013-03-05 | International Business Machines Corporation | Prevention of a user mimicking another user in a virtual world |
| CN106874755B (zh) * | 2017-01-22 | 2019-07-12 | 中国人民解放军信息工程大学 | 多数一致逃逸错误处理装置及方法 |
| CN108134740B (zh) * | 2017-12-08 | 2020-08-14 | 中国电子科技集团公司第三十研究所 | 一种基于物理异构冗余的加权裁决及随机调度方法 |
| CN109409138B (zh) * | 2018-11-13 | 2020-12-01 | 天津市滨海新区信息技术创新中心 | 一种高安全的拟态微处理器装置和数据处理方法 |
| CN109660533B (zh) * | 2018-12-14 | 2022-12-20 | 中国平安人寿保险股份有限公司 | 实时识别异常流量的方法、装置、计算机设备和存储介质 |
| CN109932891A (zh) * | 2019-03-12 | 2019-06-25 | 天津芯海创科技有限公司 | 一种异构冗余的拟态mcu |
| CN110472048A (zh) * | 2019-07-19 | 2019-11-19 | 平安科技(深圳)有限公司 | 一种辅助判决方法、装置及终端设备 |
| CN110650020B (zh) * | 2019-09-25 | 2022-05-10 | 天津市滨海新区信息技术创新中心 | 拟态模糊判决方法、装置及系统 |
| CN110781012B (zh) * | 2019-10-22 | 2020-11-24 | 河南信大网御科技有限公司 | 一种基于统一消息队列的拟态裁决器和裁决方法 |
| CN111049677B (zh) * | 2019-11-27 | 2021-11-23 | 网络通信与安全紫金山实验室 | 拟态交换机异构执行体的清洗恢复方法和装置 |
| CN110995409B (zh) * | 2020-02-27 | 2020-06-23 | 南京红阵网络安全技术研究院有限公司 | 基于部分同态加密算法的拟态防御裁决方法和系统 |
-
2020
- 2020-07-29 CN CN202010742143.5A patent/CN112118219B/zh active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109408452A (zh) * | 2018-01-29 | 2019-03-01 | 天津芯海创科技有限公司 | 拟态工控处理器及数据处理方法 |
| CN111368980A (zh) * | 2020-03-06 | 2020-07-03 | 京东数字科技控股有限公司 | 状态检测方法、装置、设备及存储介质 |
Non-Patent Citations (1)
| Title |
|---|
| 一种基于拟态防御的差异化反馈调度判决算法;高明等;《电信科学》;20200520(第05期);全文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN112118219A (zh) | 2020-12-22 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109144696B (zh) | 一种任务调度方法、装置、电子设备及存储介质 | |
| CN112118219B (zh) | 拟态判决方法、装置、电子设备及计算机可读存储介质 | |
| CN111291103B (zh) | 接口数据的解析方法、装置、电子设备及存储介质 | |
| CN108173905B (zh) | 一种资源配置方法、装置及电子设备 | |
| US10129111B2 (en) | Subscription watch lists for event handling | |
| CN110515944B (zh) | 基于分布式数据库的数据存储方法、存储介质和电子设备 | |
| CN112242984A (zh) | 检测异常网络请求的方法、电子设备和计算机程序产品 | |
| US11934287B2 (en) | Method, electronic device and computer program product for processing data | |
| CN112134909A (zh) | 时序数据处理方法、装置、系统、服务器及可读存储介质 | |
| CN113765982A (zh) | 一种请求响应方法、装置、系统、服务器和存储介质 | |
| CN109951354A (zh) | 一种终端设备识别方法、系统及存储介质 | |
| CN115412370B (zh) | 车辆通信数据检测方法、装置、电子设备和可读介质 | |
| CN112084179A (zh) | 一种数据处理的方法、装置、设备及存储介质 | |
| CN111753169B (zh) | 一种基于互联网的数据采集系统 | |
| US9436912B1 (en) | Symmetric schema instantiation method for use in a case-based reasoning system | |
| CN111338813B (zh) | 一种动态生成中间件的方法、装置、介质和电子设备 | |
| CN113468344A (zh) | 实体关系抽取方法、装置、电子设备和计算机可读介质 | |
| CN113722055A (zh) | 数据处理方法、装置、电子设备和计算机可读介质 | |
| US9965344B2 (en) | Method and apparatus for transmitting data in a robot operating system | |
| CN113158195B (zh) | 一种基于poc脚本的分布式漏洞扫描方法及系统 | |
| CN112988441B (zh) | 异常处理方法和装置 | |
| US11704222B2 (en) | Event log processing | |
| US20210097020A1 (en) | Seamless data movement and metadata management in a hybrid cloud setting using a configurable micro services based architecture | |
| CN115361450A (zh) | 请求信息处理方法、装置、电子设备、介质和程序产品 | |
| CN114564286A (zh) | 一种规则引擎告警方法及规则引擎告警系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |