CN112287345A - 基于智能风险检测的可信边缘计算系统 - Google Patents

基于智能风险检测的可信边缘计算系统 Download PDF

Info

Publication number
CN112287345A
CN112287345A CN202011184578.9A CN202011184578A CN112287345A CN 112287345 A CN112287345 A CN 112287345A CN 202011184578 A CN202011184578 A CN 202011184578A CN 112287345 A CN112287345 A CN 112287345A
Authority
CN
China
Prior art keywords
malicious
application
edge computing
applications
detection
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202011184578.9A
Other languages
English (en)
Other versions
CN112287345B (zh
Inventor
邓晓衡
陈彬
桂劲松
丁海川
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Central South University
Original Assignee
Central South University
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Central South University filed Critical Central South University
Priority to CN202011184578.9A priority Critical patent/CN112287345B/zh
Publication of CN112287345A publication Critical patent/CN112287345A/zh
Application granted granted Critical
Publication of CN112287345B publication Critical patent/CN112287345B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/577Assessing vulnerabilities and evaluating computer system security
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/21Design or setup of recognition systems or techniques; Extraction of features in feature space; Blind source separation
    • G06F18/214Generating training patterns; Bootstrap methods, e.g. bagging or boosting
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/24Classification techniques
    • G06F18/243Classification techniques relating to the number of classes
    • G06F18/24323Tree-organised classifiers
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/562Static detection
    • G06F21/564Static detection by virus signature recognition
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/566Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Data Mining & Analysis (AREA)
  • Virology (AREA)
  • Health & Medical Sciences (AREA)
  • Bioinformatics & Computational Biology (AREA)
  • Evolutionary Computation (AREA)
  • Evolutionary Biology (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Bioinformatics & Cheminformatics (AREA)
  • Artificial Intelligence (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Computing Systems (AREA)
  • Storage Device Security (AREA)

Abstract

本发明公开了一种针对边缘计算系统的风险检测方法,包括构建边缘计算系统架构和边缘计算系统应用检测平台;采用应用检测平台对现有的恶意应用和良性应用进行检测和分析;采用小批量梯度下降法进行优化;采用随机森林算法对优化后的数据进行过滤并对特征信息进一步建模分析;计算恶意应用的恶意特征与误判为恶意应用的良性应用的特征标识之间的相似度并筛选出良性应用;构建初选鉴别库;针对超出初选鉴别库的可疑应用采用应用检测平台进行检测并对恶意应用服务文件包进行识别;根据恶意应用对边缘计算系统的影响对恶意应用进行风险评价,完成边缘计算系统的风险检测。本发明适用于边缘计算系统第三方应用服务的安全检测,而且可靠性高、实用性好。

Description

基于智能风险检测的可信边缘计算系统
技术领域
本发明属于计算机安全领域,具体涉及一种针对边缘计算系统应用服务的风险检测方法。
背景技术
随着经济技术的发展和人们生活水平的提高,边缘计算已经广发应用于人们的生产和生活当中,给人们的生产和生活带来了无尽的便利。而随着智慧城市的发展,越来越多的第三方应用服务开发商需要在公共可用的边缘计算系统上部署应用服务。然而,开放的边缘计算系统平台难以辨识部署的第三方应用服务是否安全可信。
第三方应用服务隶属外部开发商,各自的安全防护能力和网络安全等级不同,因此存在一定的安全漏洞威胁,经常被用作多种入侵类型的攻击方式。第三方应用服务为用户或边缘终端提供服务,使用过程中不可避免地会接触到大量用户及终端的隐私数据,边缘计算平台开放API接口,向第三方应用服务提供资源并进行配置。然而,丰富的API接口为攻击者提供了大量的攻击面,攻击者利用应用服务开放的API接口,破解并获取边缘设备隐私数据信息。同时,第三方应用服务通常具有丰富的外部接口,如果接口权限控制不合理,可能出现接口权限被滥用以及被恶意使用的风险。此外,第三方应用服务共享边缘服务主机上的虚拟资源,当某一应用服务出现异常或者受到外部攻击,导致边缘服务主机资源占用率过高而宕机,影响其他应用服务正常运行。
目前,针对边缘计算系统的恶意应用服务的检测,通常采用基于恶意特征签名的方法识别IoT恶意应用软件。一方面,现有的应用服务检测方法在边缘计算系统平台上难以推广普及,不同层次的边缘服务器所拥有的计算能力不同,难以为机器学习等资源占用率要求较高的检测方法提供充足的算力和存储支撑;另一方面,基于恶意签名特征检测方法选取的恶意签名特征较少,难以完全覆盖恶意行为,而且检测方法只对特定的数据集有效,只能检测特定记录类别的恶意应用,对于不在签名数据库中的未知恶意应用服务检测无效,难以实现对新型恶意应用服务进行检测识别。
发明内容
本发明的目的在于提供一种适用于边缘计算系统的第三方应用服务的安全检测,而且可靠性高、实用性好的针对边缘计算系统的风险检测方法。
本发明提供的这种针对边缘计算系统的风险检测方法,包括如下步骤:
S1.构建安全可信的边缘计算系统架构;
S2.构建安全可行的边缘计算系统应用检测平台;
S3.采用步骤S2构建的应用检测平台,对现有的恶意应用和良性应用进行检测和分析;
S4.针对步骤S3得到的检测分析结果,采用小批量梯度下降法进行特征优化;
S5.采用随机森林算法对步骤S4得到的优化后的数据进行过滤,并对特征信息进行进一步建模分析;
S6.计算恶意应用的恶意特征与误判为恶意应用的良性应用特征标识之间的相似度,筛选出良性应用;
S7.重复步骤S3~步骤S6,最后构建初选鉴别库;
S8.针对超出步骤S7得到的初选鉴别库的可疑应用,采用风险检测引擎检对其进行识别,实质是对可疑恶意应用服务文件包进行漏洞威胁检测;
S9.根据恶意应用对边缘计算系统环境产生的安全影响,通过恶意应用进行风险评价,最后实现对新型可疑恶意应用的风险检测。
步骤S1所述的构建安全可信的边缘计算系统架构,具体的安全可信的边缘计算系统架构包括三层:第一层为搭建公共边缘计算托管主机服务所需的基础设施硬件平台,为应用服务部署提供基础资源和调度管理能力;第二层系统为应用服务开发者开放API接口控制资源的访问授权、数据采集与分析,提供基础软件;第三层为可信边缘计算应用检测平台,基于预检测机制生成初选鉴别库,通过系统监控对应用部署时的文件配置和访问行为进行检测匹配。
步骤S2所述的构建安全可信的边缘计算系统应用检测平台,具体为安全可信的边缘计算系统应用检测平台包括预检测机制和风险检测引擎;预检测机制为第一级,通过线下检测恶意应用程序和良性应用程序,筛选恶意应用服务的恶意特征码和良性应用服务的特征标识,提取应用服务的权限和敏感API特征,同时将误判的良性应用从恶意应用集合中进行分离,最后将提取的恶意特征进行重要性排序,分别得到恶意特征和良性特征标识;风险检测引擎为第二级,用于检测机制的补充完善,通过识别检测恶意应用服务文件包的安全漏洞,对恶意应用进行等级分类。
步骤S3所述的采用步骤S2构建的应用检测平台,对现有的恶意应用和良性应用进行检测和分析,具体为在动态检测环境下,离线对恶意应用和良性应用服务进行检测,获取恶意应用和良性应用的行为配置文件和动态行为报告。
步骤S4所述的针对步骤S3得到的检测和分析结果,采用小批量梯度下降法进行优化,具体采用如下步骤进行优化:
A.采用如下算式作为回归方程:
Hθ(x(i))=θ01x(1)2x(2)+...+θmx(m)
式中Hθ(x(i))为预测值,x(i)为自变量,θi为权重参数,m为自变量x(i)的个数;
B.采用如下算式作为最小二乘损失函数:
Figure BDA0002751065950000041
求得最小二乘损失函数的最小值,用于描述预测值Hθ(x(i))和真实值y(i)之间的差异。
步骤S5所述的采用随机森林算法对步骤S4得到的优化后的数据进行过滤,并对特征信息进行进一步建模分析,具体为采用如下步骤进行过滤并分析:
a.采用如下算式计算基尼指数:
Figure BDA0002751065950000042
式中GIm为节点m的基尼值;pk/m为类别k在节点m中的比值;
b.采用如下算式计算特点fi对节点m的重要性
Figure BDA0002751065950000043
Figure BDA0002751065950000044
c.采用如下算式计算特征fi在整个含有N棵树随机森林中的重要性,得到各恶意特征的数量占比:
Figure BDA0002751065950000045
式中
Figure BDA0002751065950000046
为第j棵树的重要性;
d.采用如下算式对步骤c得到的数量占比归一化:
Figure BDA0002751065950000051
步骤S6所述的计算恶意应用的恶意特征与误判为恶意应用的良性应用的特征标识之间的相似度,并筛选出良性应用,具体为采用如下步骤计算相似度并筛选出良性应用:
(1)采用皮尔逊相关系数计算二者之间的相似度:
Figure BDA0002751065950000052
式中Sij为恶意应用i与伪恶意应用j的相似度;I(i)为恶意应用i的恶意特征集合;I(j)为伪恶意应用j的特征集合;k为恶意应用i与伪恶意应用j共有特征的特征子集;Rik为特征k在恶意应用i中的影响力;
Figure BDA0002751065950000053
为恶意应用i的恶意特征影响力评分均值;Rjk为特征k在恶意应用将中的影响力;
Figure BDA0002751065950000054
为伪恶意应用j的特征影响力评分均值;
(2)采用如下算式计算恶意度临界值
Figure BDA0002751065950000055
Figure BDA0002751065950000056
式中ui为恶意应用;C(ui)为与恶意应用i具有相同恶意特征的其它恶意应用;|C(ui)|为表示与恶意应用i具有相同恶意特征的其它恶意应用;同时,当伪恶意应用uj与恶意应用ui的相似度Sij小于恶意度临界值
Figure BDA0002751065950000057
时,认定uj为非恶意应用且不属于恶意应用集合U(i)。
步骤S8所述的针对超出步骤S7得到的初选鉴别库的可疑应用,采用应用检测平台进行检测,并对边缘计算平台中的恶意应用服务文件包进行识别,具体为采用如下步骤进行检测和识别:
1)设定应用服务的N个文件包中,其中有k个文件包是良性安全的,n(N)=k的分布由二项分布决定,一次检测结果具有漏洞威胁的概率用q表示,则具有安全漏洞的概率为:
Figure BDA0002751065950000061
2)用1-P(ni:evil)=p表示第i个文件包为良性的概率,Vi表示第i个文件包具有安全漏洞,n(N)指具有漏洞威胁文件包的数量;定义VN+1=1表示文件包具有漏洞威胁,VN+1=0说明文件包是良性安全的;
3)采用如下算式得到第N+1个文件包的概率分布:
Figure BDA0002751065950000062
式中P(VN+1=1,n(N)=n-k)为估计第i+1个文件包具有漏洞威胁的分布;P(n(N)=n-k)为计算n次独立检测有n-k个文件包具有安全漏洞威胁的分布;
4)根据边界概率分布,得到如下分布函数方程:
Figure BDA0002751065950000063
Figure BDA0002751065950000064
式中P(n(N)=n-k|q)f(q)表示对n次独立检测有n-k个文件包具有安全漏洞的概率密度函数;P(n(N)=n-k|q)f(q)q中表示对n次独立检测中i+1个文件包具有安全漏洞的概率密度函数;
5)采用如下算式计算文件包的漏洞威胁:
Figure BDA0002751065950000065
式中n为检测次数;k为良性文件包的个数;N为应用服务的N个文件包;P(n(N)=n-k)为计算n次独立检测有n-k个文件包具有安全漏洞威胁的分布。
本发明提供的这种针对边缘计算系统的风险检测方法,通过充分收集恶意应用特征码和良性应用特征标识信息,构建初选鉴别库;在小批量梯度下降法(MBGD)对提取的特征信息进行优化,降低了特征的空间复杂度,改进皮尔逊相关系数方法从恶意应用中筛选出被误判的良性应用,最后使用随机森林方法对两类特征进行过滤分类,分类效果可靠,且没有对良性应用造成误判;对于超出了初选鉴别库签名匹配的可疑应用,创建基于贝叶斯的检测识别机制的风险检测引擎对其进行检测,识别出恶意应用服务文件包的漏洞威胁,并计算这类威胁对边缘计算平台的完整性、机密性和可用性的影响,计算得到恶意应用的威胁等级,为应用服务在边缘计算服务平台上的部署提供响应决策。本发明方法适用于边缘计算系统的第三方应用服务的安全检测,而且可靠性高、实用性好。
附图说明
图1为本发明方法的方法流程示意图
图2为本发明方法的检测过程示意图。
图3为本发明方法的实施例的恶意特征百分比排序示意图。
图4为本发明方法的实施例的良性综合百分比特征示意图。
图5为本发明方法的实施例的三种恶意应用程序威胁级别比例示意图。
图6为本发明方法的实施的三种不同威胁级别恶意应用程序的检测时间比较示意图。
图7为本发明方法的实施例的可信边缘计算系统的检测方法与其他检测方法检测精度的比较示意图。
具体实施方式
如图1所示为本发明方法的方法流程示意图:本发明提供的这种针对边缘计算系统的风险检测方法,包括如下步骤:
S1.构建安全可信的边缘计算系统架构;安全可信边缘计算系统架构具有三层。第一层为搭建公共边缘计算托管主机服务所需的基础设施硬件平台,为应用服务部署提供计算、网络、存储等基础资源和调度管理能力;第二层系统为应用服务开发者开放API接口控制资源的访问授权、数据采集与分析,提供环境配置、身份验证和函数库等基础软件。第三层为可信边缘计算应用检测平台,基于预检测机制生成初选鉴别库,通过系统监控对应用部署时的文件配置和访问行为进行检测匹配;
S2.构建安全可行的边缘计算系统应用检测平台;可信边缘计算应用检测平台是安全可信边缘计算系统中的核心组成部分,包括预检测机制和风险检测引擎两级;如图2所示,预检测机制是可信边缘计算应用检测平台的第一级,通过线下检测恶意应用程序和良性应用程序,筛选恶意应用服务的恶意特征码和良性应用服务的特征标识,提取应用服务的权限和敏感API特征,包括获得管理员权限、访问系统敏感资源、修改注册表和异常网络远程访问等恶意行为特征。将误判的良性应用从恶意应用集合中进行分离,最后将提取的恶意特征进行重要性排序,分别得到恶意特征和良性特征标识;风险检测引擎是可信边缘计算应用检测平台的第二级,是对预检测机制的补充完善;在预检测机制下难以匹配识别新的可疑恶意应用有无恶意行为,通过识别检测恶意应用服务文件包的安全漏洞,对恶意应用进行等级分类;
S3.采用步骤S2构建的应用检测平台,对现有的恶意应用和良性应用进行检测和分析;具体为在沙箱环境下,离线对恶意应用和良性应用服务进行检测,获取恶意应用和良性应用的行为配置文件和动态行为报告;
S4.针对步骤S3得到的检测和分析结果,采用小批量梯度下降法进行优化;具体为采用如下步骤进行优化:
A.利用MBGD计算最快下降梯度时,随机选取测训练数据,不需要扫描整个数据集,有效降低计算复杂度,避免生成局部最优解;采用如下算式作为回归方程:
Hθ(x(i))=θ01x(1)2x(2)+...+θmx(m)
式中Hθ(x(i))为预测值,x(i)为自变量,θi为权重参数,m为自变量x(i)的个数;
B.引入损失函数得到合适的权重参数,通过持续调整权重参数,得到最优回归方程;具体为采用如下算式作为最小二乘损失函数:
Figure BDA0002751065950000091
求得最小二乘损失函数的最小值,用于描述预测值Hθ(x(i))和真实值y(i)之间的差异;
方程θj+1=θjjE(gt)体现了MBGD算法原梯度下降法的改进原理,其中第j+1步θ的取值来自上一个θ的最大梯度方向,ηj表示学习率,即执行更新量,通过取平均值E(gt),gt为梯度模糊值;
S5.采用随机森林算法对步骤S4得到的优化后的数据进行过滤,并对特征信息进行进一步建模分析;具体为采用如下步骤进行过滤并分析:
利用随机森林方法来过滤特征的重要性;观察随机森林中每个特征对每棵树的贡献程度,取平均值后,比较不同特征之间的贡献;
a.选择基尼指数作为判断特征重要性的标准;计算每个特征的基尼指数得分,假设有n个特征,分别为f1,f2,……,fn,需要确定在随机森林决策树中第i个特征在所有节点分裂中的平均数量变化,即k个类别在节点m中的比例;采用如下算式计算基尼指数:
Figure BDA0002751065950000101
式中GIm为节点m的基尼值;pk/m为类别k在节点m中的比值;
b.采用如下算式计算特点fi对节点m的重要性
Figure BDA0002751065950000102
Figure BDA0002751065950000103
其中GIl和GIr分别表示两个分支新节点的gini指数值(基尼指数值);
c.采用如下算式计算特征fi在整个含有N棵树随机森林中的重要性,得到各恶意特征的数量占比:
Figure BDA0002751065950000104
式中
Figure BDA0002751065950000105
为第j棵树的重要性;
d.采用如下算式对步骤c得到的数量占比归一化:
Figure BDA0002751065950000106
S6.计算恶意应用的恶意特征与误判为恶意应用的良性应用的特征标识之间的相似度,并筛选出良性应用;具体为采用如下步骤计算相似度并帅选出良性应用:
(1)采用皮尔逊相关系数计算二者之间的相似度:
Figure BDA0002751065950000111
式中Sij为恶意应用i与伪恶意应用j的相似度,取值范围为[0,1];I(i)为恶意应用i的恶意特征集合;I(j)为伪恶意应用j的特征集合;k为恶意应用i与伪恶意应用j共有特征的特征子集;Rik为特征k在恶意应用i中的影响力;
Figure BDA0002751065950000112
为恶意应用i的恶意特征影响力评分均值;Rjk为特征k在恶意应用将中的影响力;
Figure BDA0002751065950000113
为伪恶意应用j的特征影响力评分均值;
(2)采用如下算式计算恶意度临界值
Figure BDA0002751065950000114
Figure BDA0002751065950000115
式中ui为恶意应用;C(ui)为与恶意应用i具有相同恶意特征的其它恶意应用;|C(ui)|为表示与恶意应用i具有相同恶意特征的其它恶意应用集合;同时,当伪恶意应用uj与恶意应用ui的相似度Sij小于恶意度临界值
Figure BDA0002751065950000116
时,认定uj为非恶意应用且不属于恶意应用集合U(i);
S7.重复步骤S3~步骤S6,从而构建初选鉴别库;在恶意特征集合中,较长出现且危害程度较高的恶意操作行为操作通常包括:文件写入、进程创建、创建修改注册表、越权访问、后台访问页网站和内存镜像(volatility)波动关于进程的恶意注入等恶意特征操作。最后综合恶意特征和良性特征标识,构成初选鉴别库;
S8.针对超出步骤S7得到的初选鉴别库的可疑应用,采用应用检测平台进行检测,并对边缘计算平台中的恶意应用服务文件包进行识别;
利用应用检测平台中的风险检测引擎的主要功能是检测可疑应用服务文件包,计算恶意文件包的漏洞威胁对边缘计算系统的机密性、完整性和可用性的影响和损害;采用基于贝叶斯的检测识别机制对边缘计算平台中的恶意应用服务文件包进行识别,并利用贝叶斯推理方法做出估计;
具体为采用如下步骤进行检测和识别:
1)设定应用服务的N个文件包中,其中有k个文件包是良性安全的,n(N)=k的分布由二项分布决定,一次检测结果具有漏洞威胁的概率用q表示,则具有安全漏洞的概率为:
Figure BDA0002751065950000121
2)用1-P(ni:evil)=p表示第i个文件包为良性的概率,Vi表示第i个文件包具有安全漏洞,n(N)指具有漏洞威胁文件包的数量;定义VN+1=1表示文件包具有漏洞威胁,VN+1=0说明文件包是良性安全的;
3)采用如下算式得到第N+1个文件包的概率分布:
Figure BDA0002751065950000122
式中P(VN+1=1,n(N)=n-k)为估计第i+1个文件包具有漏洞威胁的分布;P(n(N)=n-k)为计算n次独立检测有n-k个文件包具有安全漏洞威胁的分布;
4)根据边界概率分布,得到如下分布函数方程:
Figure BDA0002751065950000123
Figure BDA0002751065950000124
式中P(n(N)=n-k|q)f(q)为表示对n次独立检测有n-k个文件包具有安全漏洞的概率密度函数;P(n(N)=n-k|q)f(q)q表示对n次独立检测中i+1个文件包具有安全漏洞的概率密度函数;
5)采用如下算式计算文件包的漏洞威胁:
Figure BDA0002751065950000131
式中n为检测次数;k为良性文件包个数;N为应用服务包含的文件包个数;P(n(N)=n-k)为计算n次独立检测有n-k个文件包具有安全漏洞威胁的分布。
S9.根据恶意应用对边缘计算系统的影响,对恶意应用进行风险评价,从而完成边缘计算系统的风险检测。
以下,结合一个实施例,对本发明方法进行说明:
从恶意软件收集网站Virusshare中批量下载了1300个各种恶意类型的恶意应用服务,从Windows Store下载的900个热门良性应用服务,其中包括实时聊天和社交软件、远程监控等,并通过杀毒软件进行对良性应用进行扫描,确保其正常属性。
在预检测机制下,对两类性质不同的应用服务通过线下运行,获取得到各自的检测行为报告。这里需要满足两个条件:1)恶意样本能跑出动态行为;2)良性应用服务经过VirtusTotal检测没有发现恶意行为。
在特征提取过程中,共获得601种特征,其中包括450种权限特征、53种敏感API特征和98种APIMonitor设置的敏感API。统计提取特征的描述,可以看出不同特征的出现次数是不同,对于应用程序具有自定义权限特征,其用作恶意应用程序的检测功能不强,通过MBGD算对提取的特征进行筛选,在初始阶段随机生成长度为601的“0”“1”向量,其中“1”表示选择特征,“0”表示未选择特征,得到重要特征后继续用随机森林进行分类。在随机森林算法构造决策树时,特征提取过程具有随机性,特征的权重相当于增加特征的出现次数。通过将上述三类特征加倍,复制为新的三类特征。最后,经过两次筛选,得到21种API特征,27种APIMonitor设置的敏感API和32种权限特征,详情如表1所示。
表1提取的特征数示意表
特征 提取前 提取后
API 53 21
APIMonitor 98 27
Permission 450 32
在表1中,特征提取优化后的重要特征数量在原始特征中的占比在4.3-13.7%之间,有效降低特征的空间复杂度。得到恶意应用服务排名前6的恶意特征码和良性应用服务的特征识别。其中恶意特征码所具有的恶意行为包括:文件写入,进程创建,利用系统API访问、修改敏感数据,后台执行远程恶意代码注入、网络异常访问等恶意行为。综合恶意特征和良性特征标识构建初选鉴别库,如表2所示。
表2综合恶意特征和良性特征标识构建初选鉴别库示意表
ID Mal-signature Benign Signature
1 PE_FEATURES GETSYSTEMTIMEASFILETIME
2 CREATES_EXE GETFILETYPE
3 MEMDUMP_URLS REGISTRY KEY READ
4 VOLATILITY_HANDLES_1 DIRECTORY CREATED
5 ANTIVM_GENERIC_CPU OPEN REGISTRY KEY
6 MODIFIES_FILES OPEN FILE
7 VOLATILITY_MALFIND_2 READ FILE
8 RAISES_EXCEPTION REGISTRY KEY READ
9 CREATES_SERVICE OPEN REGISTRY KEY
10 SUSPICIOUS_PROCES DLLs LOADED
11 PERSISTENCE_ADS SEARCH PATH
13 INJECTION_RUNPE DIRECTORY CREATED
15 DEAD_HOST NtopENFILE
评估风险检测引擎的检测性能,适应最新更新的恶意应用服务检测的兼容性要求。从VirusShare数据库随机下载了100个恶意应用程序。经过风险检测引擎的检测,通过计算恶意应用的文件包的漏洞威胁,得到的“潜在的恶意行为”、“可疑行为”和“非常怀疑”的危害等级,占比分别是19%,63%和18%。试验结果如图5所示。
图5结果表明,风险检测引擎能够正确识别出恶意应用服务。同时,具有“潜在的恶意行为”的应用程序和具有“非常怀疑”的应用程序占比较少,而具有“可疑行为”的应用程序服务更为常见。
记录了不同威胁级别恶意应用的检测时间来评估风险检测引擎的检测效率,如图6所示。从时间分布表明,检测“非常怀疑”的恶意应用耗时约需要150秒,“潜在的恶意行为”和“可疑行为”的检测时间分别为98秒、63秒,验证了风险检测引擎具有合理性和可用性。对于“非常可疑”的恶意应用,其危害行为如恶意代码注入,通过网络后门传输私有数据的延时较长,危害性越高。因此,对系统整体性能的影响越大,对这类恶意应用的文件包的检测时长会相应延长。带有“潜在的恶意行为”和“可疑行为”的恶意应用程序对边缘计算平台服务的威胁要低,恶意文件包所引发的安全行为以及对边缘计算系统的危害要小于“非常可疑”的恶意应用,检测时间在42-83秒之间,可信边缘计算系统对这两类恶意应用的检测时长合理有效。
将可信边缘计算系统与其他两种应用服务检测工具的检测精度进行了对比,实验结果如图7所示。结果显示,Virustotal在线检测工具是基于现有的病毒库资源,被动扫描检测文件,如果被检测的应用程序服务不在病毒库中,其检测精度将大大降低。而基于签名的低复杂度物联网设备恶意软件识别方法在特定数据集上能取得良好的识别效果,但所收集的特征集难以覆盖所有恶意行为,从而可能导致对新的恶意应用程序的检测失败。可信安全边缘计算系统集成了初级鉴别别库和风险检测引擎,一方面,通过过滤恶意特征,删除良性应用服务中的恶意特征,避免误判对良性应用服务造成误判,提高检测精度,另一方面,风险检测引擎实现了对恶意应用服务文件包的检测,检测的对象同时也适用新型恶意应用,检测效果安全可靠。

Claims (8)

1.一种针对边缘计算系统的风险检测方法,包括如下步骤:
S1.构建安全可信的边缘计算系统架构;
S2.构建安全可行的边缘计算系统应用检测平台;
S3.采用步骤S2构建的应用检测平台,对现有的恶意应用和良性应用进行检测和分析;
S4.针对步骤S3得到的检测和分析结果,采用小批量梯度下降法进行优化;
S5.采用随机森林算法对步骤S4得到的优化后的数据进行过滤,并对特征信息进行进一步建模分析;
S6.计算恶意应用的恶意特征与误判为恶意应用的良性应用的特征标识之间的相似度,并筛选出良性应用;
S7.重复步骤S3~步骤S6,最后构建初选鉴别库;
S8.针对超出步骤S7得到的初选鉴别库的可疑应用,采用应用检测平台进行检测,并对边缘计算平台中的恶意应用服务文件包进行识别;
S9.根据恶意应用对边缘计算系统的影响,对恶意应用进行风险评价,从而完成边缘计算系统的风险检测。
2.根据权利要求1所述的针对边缘计算系统的风险检测方法,其特征在于步骤S1所述的构建安全可信的边缘计算系统架构,具体为安全可信的边缘计算系统架构包括三层:第一层为搭建公共边缘计算托管主机服务所需的基础设施硬件平台,为应用服务部署提供基础资源和调度管理能力;第二层系统为应用服务开发者开放API接口控制资源的访问授权、数据采集与分析,提供基础软件;第三层为可信边缘计算应用检测平台,基于预检测机制生成初选鉴别库,通过系统监控对应用部署时的文件配置和访问行为进行检测匹配。
3.根据权利要求2所述的针对边缘计算系统的风险检测方法,其特征在于步骤S2所述的构建安全可信的边缘计算系统应用检测平台,具体为安全可信的边缘计算系统应用检测平台包括预检测机制和风险检测引擎;预检测机制为第一级,通过线下检测恶意应用程序和良性应用程序,筛选恶意应用服务的恶意特征码和良性应用服务的特征标识,提取应用服务的权限和敏感API特征,同时将误判的良性应用从恶意应用集合中进行分离,最后将提取的恶意特征进行重要性排序,分别得到恶意特征和良性特征标识;风险检测引擎为第二级,用于检测机制的补充完善,通过识别检测恶意应用服务文件包的安全漏洞,对恶意应用进行等级分类。
4.根据权利要求3所述的针对边缘计算系统的风险检测方法,其特征在于步骤S3所述的采用步骤S2构建的应用检测平台,对现有的恶意应用和良性应用进行检测和分析,具体为在沙箱环境下,离线对恶意应用和良性应用服务进行检测,获取恶意应用和良性应用的行为配置文件和动态行为报告。
5.根据权利要求4所述的针对边缘计算系统的风险检测方法,其特征在于步骤S4所述的针对步骤S3得到的检测和分析结果,采用小批量梯度下降法进行优化,具体为采用如下步骤进行优化:
A.采用如下算式作为回归方程:
Hθ(x(i))=θ01x(1)2x(2)+...+θmx(m)
式中Hθ(x(i))为预测值,x(i)为自变量,θi为权重参数,m为自变量x(i)的个数;
B.采用如下算式作为最小二乘损失函数:
Figure FDA0002751065940000021
求得最小二乘损失函数的最小值,用于描述预测值Hθ(x(i))和真实值y(i)之间的差异。
6.根据权利要求5所述的针对边缘计算系统的风险检测方法,其特征在于步骤S5所述的采用随机森林算法对步骤S4得到的优化后的数据进行过滤,并对特征信息进行进一步建模分析,具体为采用如下步骤进行过滤并分析:
a.采用如下算式计算基尼指数:
Figure FDA0002751065940000031
式中GIm为节点m的基尼值;pk/m为类别k在节点m中的比值;
b.采用如下算式计算特点fi对节点m的重要性
Figure FDA0002751065940000032
Figure FDA0002751065940000033
c.采用如下算式计算特征fi在整个含有N棵树随机森林中的重要性,得到各恶意特征的数量占比:
Figure FDA0002751065940000034
式中
Figure FDA0002751065940000035
为第j棵树的重要性;
d.采用如下算式对步骤c得到的数量占比归一化:
Figure FDA0002751065940000036
7.根据权利要求6所述的针对边缘计算系统的风险检测方法,其特征在于步骤S6所述的计算恶意应用的恶意特征与误判为恶意应用的良性应用的特征标识之间的相似度,并筛选出良性应用,具体为采用如下步骤计算相似度并帅选出良性应用:
(1)采用皮尔逊相关系数计算二者之间的相似度:
Figure FDA0002751065940000041
式中Sij为恶意应用i与伪恶意应用j的相似度;I(i)为恶意应用i的恶意特征集合;I(j)为伪恶意应用j的特征集合;k为恶意应用i与伪恶意应用j共有特征的特征子集;Rik为特征k在恶意应用i中的影响力;
Figure FDA0002751065940000042
为恶意应用i的恶意特征影响力评分均值;Rjk为特征k在恶意应用将中的影响力;
Figure FDA0002751065940000043
为伪恶意应用j的特征影响力评分均值;
(2)采用如下算式计算恶意度临界值
Figure FDA0002751065940000044
Figure FDA0002751065940000045
式中ui为恶意应用;C(ui)为与恶意应用i具有相同恶意特征的其它恶意应用;|C(ui)|为表示与恶意应用i具有相同恶意特征的其它恶意应用集合;同时,当伪恶意应用uj与恶意应用ui的相似度Sij小于恶意度临界值
Figure FDA0002751065940000046
时,认定uj为非恶意应用且不属于恶意应用集合U(i)。
8.根据权利要求7所述的针对边缘计算系统的风险检测方法,其特征在于步骤S8所述的针对超出步骤S7得到的初选鉴别库的可疑应用,采用应用检测平台进行检测,并对边缘计算平台中的恶意应用服务文件包进行识别,具体为采用如下步骤进行检测和识别:
1)设定应用服务的N个文件包中,其中有k个文件包是良性安全的,n(N)=k的分布由二项分布决定,一次检测结果具有漏洞威胁的概率用q表示,则具有安全漏洞的概率为:
Figure FDA0002751065940000047
2)用1-P(ni:evil)=p表示第i个文件包为良性的概率,Vi表示第i个文件包具有安全漏洞,n(N)指具有漏洞威胁文件包的数量;定义VN+1=1表示文件包具有漏洞威胁,VN+1=0说明文件包是良性安全的;
3)采用如下算式得到第N+1个文件包的概率分布:
Figure FDA0002751065940000051
式中P(VN+1=1,n(N)=n-k)为估计第i+1个文件包具有漏洞威胁的分布;P(n(N)=n-k)为计算n次检测有n-k个文件包具有安全漏洞威胁的分布;
4)根据边界概率分布,得到如下分布函数方程:
Figure FDA0002751065940000052
Figure FDA0002751065940000053
式中P(n(N)=n-k|q)f(q)表示对n次独立检测有n-k个文件包具有安全漏洞的概率密度函数;P(n(N)=n-k|q)f(q)q表示对n次独立检测中i+1个文件包具有安全漏洞的概率密度函数;
5)采用如下算式计算文件包的漏洞威胁:
Figure FDA0002751065940000054
式中n为检测次数;k为良性文件包个数;N为应用服务包含的文件包个数;P(n(N)=n-k)为计算n次检测有n-k个文件包具有安全漏洞威胁的分布。
CN202011184578.9A 2020-10-29 2020-10-29 基于智能风险检测的可信边缘计算系统 Active CN112287345B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202011184578.9A CN112287345B (zh) 2020-10-29 2020-10-29 基于智能风险检测的可信边缘计算系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202011184578.9A CN112287345B (zh) 2020-10-29 2020-10-29 基于智能风险检测的可信边缘计算系统

Publications (2)

Publication Number Publication Date
CN112287345A true CN112287345A (zh) 2021-01-29
CN112287345B CN112287345B (zh) 2024-04-16

Family

ID=74352566

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202011184578.9A Active CN112287345B (zh) 2020-10-29 2020-10-29 基于智能风险检测的可信边缘计算系统

Country Status (1)

Country Link
CN (1) CN112287345B (zh)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113191455A (zh) * 2021-05-26 2021-07-30 平安国际智慧城市科技股份有限公司 边缘计算盒子选举方法、装置、电子设备及介质
CN114117311A (zh) * 2022-01-25 2022-03-01 深圳红途科技有限公司 数据访问风险检测方法、装置、计算机设备及存储介质

Citations (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
GB201521137D0 (en) * 2015-12-01 2016-01-13 Qatar Foundation For Education Science And Community Dev Honeybot: Mobile Honeypot detection and isolation techniques for adhoc malicious communications
CN107577942A (zh) * 2017-08-22 2018-01-12 中国民航大学 一种用于Android恶意软件检测的混合特征筛选方法
CN108280350A (zh) * 2018-02-05 2018-07-13 南京航空航天大学 一种面向Android的移动网络终端恶意软件多特征检测方法
US20190104138A1 (en) * 2017-10-04 2019-04-04 New Context Services, Inc. Autonomous edge device for monitoring and threat detection
CN109617865A (zh) * 2018-11-29 2019-04-12 中国电子科技集团公司第三十研究所 一种基于移动边缘计算的网络安全监测与防御方法
CN109753800A (zh) * 2019-01-02 2019-05-14 重庆邮电大学 融合频繁项集与随机森林算法的Android恶意应用检测方法及系统
CN110058949A (zh) * 2019-04-30 2019-07-26 华侨大学 一种基于智能边缘计算的传感云低耦合控制方法
CN110135167A (zh) * 2019-05-14 2019-08-16 电子科技大学 一种随机森林的边缘计算终端安全等级评估方法
CN110378121A (zh) * 2019-06-19 2019-10-25 全球能源互联网研究院有限公司 一种边缘计算终端安全评估方法、装置、设备及存储介质

Patent Citations (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
GB201521137D0 (en) * 2015-12-01 2016-01-13 Qatar Foundation For Education Science And Community Dev Honeybot: Mobile Honeypot detection and isolation techniques for adhoc malicious communications
CN107577942A (zh) * 2017-08-22 2018-01-12 中国民航大学 一种用于Android恶意软件检测的混合特征筛选方法
US20190104138A1 (en) * 2017-10-04 2019-04-04 New Context Services, Inc. Autonomous edge device for monitoring and threat detection
CN108280350A (zh) * 2018-02-05 2018-07-13 南京航空航天大学 一种面向Android的移动网络终端恶意软件多特征检测方法
CN109617865A (zh) * 2018-11-29 2019-04-12 中国电子科技集团公司第三十研究所 一种基于移动边缘计算的网络安全监测与防御方法
CN109753800A (zh) * 2019-01-02 2019-05-14 重庆邮电大学 融合频繁项集与随机森林算法的Android恶意应用检测方法及系统
CN110058949A (zh) * 2019-04-30 2019-07-26 华侨大学 一种基于智能边缘计算的传感云低耦合控制方法
CN110135167A (zh) * 2019-05-14 2019-08-16 电子科技大学 一种随机森林的边缘计算终端安全等级评估方法
CN110378121A (zh) * 2019-06-19 2019-10-25 全球能源互联网研究院有限公司 一种边缘计算终端安全评估方法、装置、设备及存储介质

Non-Patent Citations (3)

* Cited by examiner, † Cited by third party
Title
THU YEIN WIN 等: "Detection of Malware and Kernel-Level Rootkits in Cloud Computing Environments", 2015 IEEE 2ND INTERNATIONAL CONFERENCE ON CYBER SECURITY AND CLOUD COMPUTING, 7 January 2015 (2015-01-07) *
林鑫;: "基于沙盒的Android恶意软件检测技术研究", 电子设计工程, no. 12, 20 June 2016 (2016-06-20) *
郭昊;何小芸;孙学洁;陈红松;刘周斌;颉靖;: "国家电网边缘计算应用安全风险评估研究", 计算机工程与科学, no. 09, 15 September 2020 (2020-09-15) *

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113191455A (zh) * 2021-05-26 2021-07-30 平安国际智慧城市科技股份有限公司 边缘计算盒子选举方法、装置、电子设备及介质
CN114117311A (zh) * 2022-01-25 2022-03-01 深圳红途科技有限公司 数据访问风险检测方法、装置、计算机设备及存储介质
CN114117311B (zh) * 2022-01-25 2022-04-19 深圳红途科技有限公司 数据访问风险检测方法、装置、计算机设备及存储介质

Also Published As

Publication number Publication date
CN112287345B (zh) 2024-04-16

Similar Documents

Publication Publication Date Title
Shibahara et al. Efficient dynamic malware analysis based on network behavior using deep learning
US10686829B2 (en) Identifying changes in use of user credentials
KR101654099B1 (ko) 악성 프로세스들의 비서명 기반 검출을 위한 시스템 및 방법
US8549645B2 (en) System and method for detection of denial of service attacks
Yu et al. Improving the quality of alerts and predicting intruder’s next goal with Hidden Colored Petri-Net
Xiao et al. From patching delays to infection symptoms: Using risk profiles for an early discovery of vulnerabilities exploited in the wild
CN111881451B (zh) 一种工业控制系统的漏洞关联挖掘方法
Rupa et al. A machine learning driven threat intelligence system for malicious URL detection
CN112287345B (zh) 基于智能风险检测的可信边缘计算系统
CN111049828B (zh) 网络攻击检测及响应方法及系统
Ibrahim et al. Performance comparison of intrusion detection system using three different machine learning algorithms
Khammas Malware detection using sub-signatures and machine learning technique
Nebbione et al. A Methodological Framework for AI-Assisted Security Assessments of Active Directory Environments
Maidamwar et al. Classification of Hybrid Intrusion Detection System Using Supervised Machine Learning with Hyper-Parameter Optimization
Baich et al. Machine Learning for IoT based networks intrusion detection: a comparative study
Lee et al. A Lightweight Malware Classification Method Based on Detection Results of Anti-Virus Software
Basthikodi et al. Performance Analysis of Network Attack Detection Framework using Machine Learning
Premaratne et al. Evidence theory based decision fusion for masquerade detection in IEC61850 automated substations
Babu et al. A Hybrid Intrusion Detection System against Botnet Attack in IoT using Light Weight Signature and Ensemble Learning Technique
Al-Jarrah et al. Hierarchical detection of insider attacks in cloud computing systems
Das et al. Trusting Classifiers with Interpretable Machine Learning Based Feature Selection Backpropagation
Verma et al. Internet Monitoring using Snort and Naïve Bayes Method using Internet of Things (IoT).
ANOH et al. IoT Intrusion Detection System based on Machine Learning Algorithms using the UNSW-NB15 dataset
Verma A Novel Web Attack Detection Mechanism Using Maximal-Munch with Torrent Deep Network
Bedi et al. Machine Learning Based Android Malware Detection: A comprehensive Survey.

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant