CN113973008A - 基于拟态技术和机器学习的检测系统、方法、设备及介质 - Google Patents
基于拟态技术和机器学习的检测系统、方法、设备及介质 Download PDFInfo
- Publication number
- CN113973008A CN113973008A CN202111140778.9A CN202111140778A CN113973008A CN 113973008 A CN113973008 A CN 113973008A CN 202111140778 A CN202111140778 A CN 202111140778A CN 113973008 A CN113973008 A CN 113973008A
- Authority
- CN
- China
- Prior art keywords
- mimicry
- data
- message data
- attack
- detection
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 122
- 238000010801 machine learning Methods 0.000 title claims abstract description 52
- 238000005516 engineering process Methods 0.000 title claims abstract description 33
- 238000000034 method Methods 0.000 title claims abstract description 22
- 230000007123 defense Effects 0.000 claims abstract description 49
- 238000012545 processing Methods 0.000 claims abstract description 40
- 230000002159 abnormal effect Effects 0.000 claims abstract description 29
- 238000001914 filtration Methods 0.000 claims abstract description 5
- 238000012549 training Methods 0.000 claims description 21
- 238000012360 testing method Methods 0.000 claims description 19
- 238000003860 storage Methods 0.000 claims description 9
- 238000000605 extraction Methods 0.000 claims description 6
- 238000007781 pre-processing Methods 0.000 claims description 6
- 230000009467 reduction Effects 0.000 claims description 6
- 238000004590 computer program Methods 0.000 claims description 3
- 238000010276 construction Methods 0.000 claims description 3
- 238000005457 optimization Methods 0.000 claims description 3
- 230000008569 process Effects 0.000 claims description 3
- 238000013480 data collection Methods 0.000 claims 1
- 238000002759 z-score normalization Methods 0.000 claims 1
- 238000004422 calculation algorithm Methods 0.000 description 4
- 238000013528 artificial neural network Methods 0.000 description 3
- 238000010586 diagram Methods 0.000 description 3
- 241000700605 Viruses Species 0.000 description 2
- 238000009826 distribution Methods 0.000 description 2
- 238000011156 evaluation Methods 0.000 description 2
- 238000013473 artificial intelligence Methods 0.000 description 1
- 230000006399 behavior Effects 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 238000004364 calculation method Methods 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000007635 classification algorithm Methods 0.000 description 1
- 238000004140 cleaning Methods 0.000 description 1
- 238000003066 decision tree Methods 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 230000008260 defense mechanism Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 230000002068 genetic effect Effects 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000035515 penetration Effects 0.000 description 1
- 238000011160 research Methods 0.000 description 1
- 238000012216 screening Methods 0.000 description 1
- 238000011425 standardization method Methods 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
- 238000012706 support-vector machine Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N20/00—Machine learning
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/14—Network analysis or design
- H04L41/145—Network analysis or design involving simulating, designing, planning or modelling of a network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0254—Stateful filtering
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02P—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN THE PRODUCTION OR PROCESSING OF GOODS
- Y02P90/00—Enabling technologies with a potential contribution to greenhouse gas [GHG] emissions mitigation
- Y02P90/02—Total factory control, e.g. smart factories, flexible manufacturing systems [FMS] or integrated manufacturing systems [IMS]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Data Mining & Analysis (AREA)
- Evolutionary Computation (AREA)
- Medical Informatics (AREA)
- Artificial Intelligence (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Mathematical Physics (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开基于拟态技术和机器学习的检测系统、方法、设备及介质,该系统包括拟态调度器和若干异构执行体,拟态调度器,包括拟态判决单元、攻击检测单元和控制处理单元,攻击检测单元,用于接收控制处理单元发送的报文数据,并结合拟态判决模块发送的拟态判决结果进行机器学习,对报文数据进行攻击防御检测;控制处理单元,用于根据攻击防御检测结果,将判断为异常数据的报文数据进行过滤;将判断为正常数据的报文数据作为上行数据,上送至异构执行体。本发明在现有拟态防御技术的基础上,加入机器学习,将攻击数据进行自动过滤,增强了异构执行体自身的攻击防御能力,提高了异构执行体的鲁棒性和可用性,进一步提高了系统的安全性。
Description
技术领域
本发明涉及网络安全技术领域,尤其涉及基于拟态技术和机器学习的检测系统、方法、设备及介质。
背景技术
随着信息技术的发展,对网络空间安全技术的要求也越来越高。拟态防御技术作为一种不依赖先验知识的主动防御技术,在出现未知漏洞、病毒木马和后门等不确定性安全威胁时,能够具有显著的防御效果。
拟态产品是基于拟态防御技术理论实现的,在其架构中引入多个异构处理器作为异构执行体,并包含硬件实现的拟态调度器以实现对异构执行体输出下行数据的判决筛选以及上行数据的分发控制。由于外部攻击或者本身未知漏洞可能导致异构执行体出现异常输出错误结果,目前的方案是,根据拟态判决策略对异常次数达到阈值的异构执行体进行清洗恢复,重新恢复到正常可用状态。但是,如果同样的攻击或者未知漏洞再次出现,异构执行体仍然没有抵抗能力再次出现异常现象,从而导致此异构执行体一直处于不可用状态,极大地降低了异构冗余的优越性。
发明内容
针对现有拟态防御技术中异构执行体遭到攻击容易受到异常,需要不断地进行清洗操作等缺点,本发明提出基于拟态技术和机器学习的检测系统、方法、设备及介质。本发明在拟态系统架构下的拟态调度器中加入基于机器学习的攻击检测单元,对报文数据的评估预测更加智能精准,对上送给每个异构执行体的报文数据进行攻击检测,自动将异常数据进行过滤,不上送给相应的异构执行体,避免异构执行体遭到攻击,增强了异构执行体自身的攻击防御能力,提高了异构执行体的鲁棒性和可用性,进一步提高了系统的安全性能。
为了达到上述目的,本发明的技术方案如下:
一种基于拟态技术和机器学习的检测系统,包括拟态调度器和若干异构执行体,所述异构执行体用于接收和处理拟态调度器上发送的报文数据,并将处理的结果作为下行数据,下发至拟态调度器;所述拟态调度器,包括拟态判决单元、攻击检测单元和控制处理单元,其中,
所述拟态判决单元,用于接收异构执行体的下行数据,基于拟态判决策略对下行数据做出拟态判断,判断出前端芯片上送的原始报文数据是否存在攻击性,同时将拟态判决结果发送给攻击检测单元;
所述攻击检测单元,用于接收控制处理单元发送的报文数据,并结合拟态判决模块发送的拟态判决结果进行机器学习,对报文数据进行攻击防御检测;
所述控制处理单元,用于接收前端芯片上送的报文数据并发送至攻击检测单元,接收异构执行体下发的下行数据并发送至拟态判决单元;用于根据攻击防御检测结果,将判断为异常数据的报文数据进行过滤;将判断为正常数据的报文数据作为上行数据,上送至异构执行体。
优选地,所述攻击检测单元包括数据采集模块、数据分类模块、模型训练模块和攻击检测模块,其中,
所述数据采集模块,用于接收前端芯片上送的报文数据;
所述数据分类模块,用于基于拟态判决模块发送的拟态判决结果进行数据分类,并将报文数据标记为异常数据和正常数据,形成测试集和训练集;
所述模型训练模块,用于构建机器学习模型,利用训练集作为机器学习模型的输入,进行自主学习,生成攻击检测模型,并利用测试集对攻击检测模型进行调优和测试,直至符合预设的收敛条件;
所述攻击检测模块,用于通过训练好的攻击检测模型对待检测报文数据进行攻击防御检测,并将攻击防御检测结果发送至控制处理单元,所述攻击防御检测结果为判定报文数据是正常数据或异常数据。
优选地,还包括特征工程模块,用于对报文数据进行特征提取、特征预处理、特征降维和Z-score标准化处理。
优选地,所述若干异构执行体采用不同的结构,所述结构包括不同架构的处理器和不同的操作系统。
一种基于拟态技术和机器学习的检测方法,包括如下步骤:
拟态调度器接收前端芯片上送的网络报文数据,并发送至攻击检测单元;
通过训练好的攻击检测模型对报文数据进行攻击防御检测,并将攻击防御检测结果发送至控制处理单元,所述攻击防御检测结果为判定报文数据是正常数据或异常数据;
控制处理单元根据攻击防御检测结果,将判断为异常数据的报文数据进行过滤;将判断为正常数据的报文数据作为上行数据,上送至异构执行体。
优选地,所述攻击检测模型的构建过程,包括如下步骤:
拟态调度器接收前端芯片上送的报文数据并发送至异构执行体;
异构执行体接收报文数据进行处理,并将处理的结果作为下行数据,下发至拟态调度器;
拟态调度器中拟态判决单元接收异构执行体的下行数据,基于拟态判决策略对下行数据做出拟态判断,判断出前端芯片上送的原始报文数据是否存在攻击性,同时将拟态判决结果发送至数据分类模块;
数据分类模块基于拟态判决结果对原始报文数据进行数据分类,并将原始报文数据标记为异常数据和正常数据,形成测试集和训练集;
构建机器学习模型,利用训练集作为机器学习模型的输入,进行自主学习,生成攻击检测模型,并利用测试集对攻击检测模型进行调优和测试,直至符合预设的收敛条件。
优选地,所述拟态判决策略为基于先验知识的判决方法或基于大数判决方法。
优选地,还包括如下步骤:对报文数据进行特征提取、特征预处理、特征降维和Z-score标准化处理。
一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现如上述任一所述的一种基于拟态技术和机器学习的检测方法。
一种计算机可读存储介质,存储有计算机可执行指令,所述计算机可执行指令用于执行如上述任一所述的一种基于拟态技术和机器学习的检测方法。
基于上述技术方案,本发明的有益效果是:本发明在现有拟态防御技术的基础上,加入机器学习,将拟态技术与机器学习相结合,在不改变现有设备组成和增大设备体积的情况下,避免了异构执行体遭受同种攻击报文的攻击,增强了拟态异构执行体自身的攻击防御能力,提高了异构执行体的鲁棒性和可用性。基于机器学习的攻击检测系统使攻击检测方法更加智能化,检测能力更加精准可靠。拟态技术与机器学习的结合,使拟态产品的安全性进一步提高,也使拟态技术更加完善,使系统更加稳定可靠。
附图说明
下面结合附图对本发明的具体实施方式作进一步详细的说明。
图1是一个实施例中一种基于拟态技术和机器学习的检测系统的原理框图;
图2是一个实施例中一种基于拟态技术和机器学习的检测系统中拟态调度器的原理框图;
图3是一个实施例中一种基于拟态技术和机器学习的检测方法流程图;
图4是一个实施例中一种基于拟态技术和机器学习的检测方法中攻击检测模型的构建方法流程图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述。
基于机器学习的人工智能技术在提高攻击检测方面被广泛的应用,本发明在现有拟态防御技术的基础上,加入机器学习。通过对网络产品中大量报文数据进行分析,采用学习算法自动产生规则,将这些规则编译进攻击检测系统,从而提高网络自动识别攻击的能力。常用的攻击检测机器学习算法包括决策树、神经网络、支持向量机、贝叶斯分类算法、遗传算法等,其中神经网络应用更为广泛。神经网络对攻击行为的训练学习,可以检测潜在的攻击,具有实现原理简单、高度的并行性、较强的自组织能力和容错性、分类错误低,能在有限和不完整的数据中进行泛化研究而不需要专家知识等优点。如图1所示,本实施例提供一种基于拟态技术和机器学习的检测系统,包括拟态调度器和N个异构执行体(N为大于或等于3的正整数),具体是指基于拟态防御机理研制的多种网络基础设施设备,实现对未知漏洞、病毒木马和后门等不确定性安全威胁等的有效防御,大幅增强了关键业务网络应对外部入侵和内部渗透的能力,为网络安全提供基础性设施保障,包括拟态交换机、拟态路由器、拟态存储器、拟态域名服务和拟态防火墙等。
N个异构执行体采用不同的结构,结构包括不同架构的处理器和不同的操作系统,不同架构的处理器为ARM、MIPS、X86、PowerPC等,不同的操作系统为Ubuntu、Centos、Debian、Kylin、Uos等。异构执行体用于接收和处理拟态调度器上发送的报文数据,并将处理的结果作为下行数据,下发至拟态调度器。
拟态调度器是异构执行体与外部进行通信的中间枢纽,用于将前端芯片发送的报文分发至异构执行体,并对异构执行体的下行结果进行拟态判决,同时记录并统计异构执行体的状态,根据需要对异构执行体执行清洗操作。拟态调度器的判决结果作为报文数据是否存在攻击的依据,标记为异常的数据为攻击数据,标记为正常的数据为正常数据。如图2所示,拟态调度器包括拟态判决单元、攻击检测单元和控制处理单元(CPU),具体说明:
拟态判决单元,用于接收异构执行体的下行数据,基于拟态判决策略对下行数据做出拟态判断,判断出前端芯片上送的原始报文数据是否存在攻击性,同时将拟态判决结果发送给攻击检测单元;
攻击检测单元,用于接收控制处理单元发送的报文数据,并结合拟态判决模块发送的拟态判决结果进行机器学习,对报文数据进行攻击防御检测;
控制处理单元(CPU),用于接收前端芯片上送的报文数据并发送至攻击检测单元,接收异构执行体下发的下行数据并发送至拟态判决单元;用于根据攻击防御检测结果,将判断为异常数据的报文数据进行过滤;将判断为正常数据的报文数据作为上行数据,上送至异构执行体。
在一个实施例的一种基于拟态技术和机器学习的检测系统中,攻击检测单元包括数据采集模块、数据分类模块、特征工程模块、模型训练模块和攻击检测模块,其中,
数据采集模块,用于接收前端芯片上送的报文数据;
数据分类模块,用于基于拟态判决模块发送的拟态判决结果进行数据分类,并将报文数据标记为异常数据和正常数据,形成测试集和训练集;
特征工程模块,用于对报文数据进行特征提取、预处理、降维等。通过一定的专家知识或者特征算法将训练集和测试集中数据转化为特征,并进行特征提取、预处理、降维等处理,为机器学习做好准备工作,对机器模型的灵活性、复杂度和性能起到关键性的作用。由于原始数据是网络交换数据,由于协议众多,例如STP协议、OSPF协议、RIP协议等,各协议间的报文数据规格不同,因此需要进行无量纲化操作,即将不同规格的报文数据转化为统一规格。由于网络数据量大且稳定,本实施例采用Z-score标准化方法,能够对数据进行规范化处理,经过处理后的数据均值为0,标准差为1,能够使特征具有标准正态分布的特性,计算公式是:
其中,
是标准化后的特征,
是原始特征值,
是样本均值,
是样本标准差。
模型训练模块,用于构建机器学习模型,利用训练集作为机器学习模型的输入,进行自主学习,生成攻击检测模型,并利用测试集对攻击检测模型进行调优和测试,直至符合预设的收敛条件;
攻击检测模块,用于通过训练好的攻击检测模型对待检测报文数据进行攻击防御检测,并将攻击防御检测结果发送至控制处理单元,所述攻击防御检测结果为判定报文数据是正常数据或异常数据。
如图3所示,本实施例提供一种基于拟态技术和机器学习的检测方法,包括如下步骤:
步骤101,拟态调度器接收前端芯片上送的网络报文数据,并发送至攻击检测单元;
步骤102,通过训练好的攻击检测模型对报文数据进行攻击防御检测,并将攻击防御检测结果发送至控制处理单元,该攻击防御检测结果为判定报文数据是正常数据或异常数据;
步骤103,控制处理单元根据攻击防御检测结果,将判断为异常数据的报文数据进行过滤;将判断为正常数据的报文数据作为上行数据,上送至异构执行体。
本实施例中,攻击检测模型的构建过程主要是将网络中的正常数据和异常数据导入到机器学习模型中训练学习,使模型具有可靠稳定最优的评估作用,能够准确、快速地识别出攻击数据,如图4所示,具体包括如下步骤:
步骤201,拟态调度器接收前端芯片上送的报文数据并发送至异构执行体;
步骤202,异构执行体接收报文数据进行处理,并将处理的结果作为下行数据,下发至拟态调度器;
步骤203,拟态调度器中拟态判决单元接收异构执行体的下行数据,基于拟态判决策略对下行数据做出拟态判断,判断出前端芯片上送的原始报文数据是否存在攻击性,同时将拟态判决结果发送至数据分类模块;
步骤204,数据分类模块基于拟态判决结果对原始报文数据进行数据分类,并将原始报文数据标记为异常数据和正常数据,形成测试集和训练集;
步骤205,构建机器学习模型,利用训练集作为机器学习模型的输入,进行自主学习,生成攻击检测模型,并利用测试集对攻击检测模型进行调优和测试,直至符合预设的收敛条件。
本实施例中,步骤203中拟态判决策略为基于先验知识的判决方法或基于大数判决方法,其中,基于先验知识的判决方法是基于先验知识对N个异构执行体分析,确定其中哪个异构执行体更加稳定可靠,则以该异构执行体的结果为准则进行判断,拟态判决模块将与该结果不一致的认为可疑,判定该报文数据对相应的异构执行体存在攻击性;基于大数判决方法,当拟态判决模块收到m份下行数据时,当有大于或者等于(m+1)/2份结果一致时,则判定该结果为有效结果,其余和该结果不一致的则认为可疑,判定该报文对相应的异构执行体存在攻击性。
在一个实施例中提供一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,该处理器执行程序时实现如下步骤:
拟态调度器接收前端芯片上送的网络报文数据,并发送至攻击检测单元;
攻击检测单元接收报文数据进行处理;
通过训练好的攻击检测模型对待检测报文数据进行攻击防御检测,并将攻击防御检测结果发送至控制处理单元,该攻击防御检测结果为判定报文数据是正常数据或异常数据;
控制处理单元根据攻击防御检测结果,将判断为异常数据的报文数据进行过滤;将判断为正常数据的报文数据作为上行数据,上送至异构执行体。
在一个实施例中提供一种计算机可读存储介质,存储有计算机可执行指令,该计算机可执行指令用于执行如下步骤:
拟态调度器接收前端芯片上送的网络报文数据,并发送至攻击检测单元;
攻击检测单元接收报文数据进行处理;
通过训练好的攻击检测模型对待检测报文数据进行攻击防御检测,并将攻击防御检测结果发送至控制处理单元,该攻击防御检测结果为判定报文数据是正常数据或异常数据;
控制处理单元根据攻击防御检测结果,将判断为异常数据的报文数据进行过滤;将判断为正常数据的报文数据作为上行数据,上送至异构执行体。
一种计算机可读存储介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括,但不限于相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器(CD-ROM)、数字多功能光盘(DVD)或其他光学存储、磁盒式磁带,磁带磁磁盘存储或其他磁性存储设备或任何其他非传输介质,可用于存储可以被计算设备访问的信息。按照本文中的界定,计算机可读介质不包括暂存电脑可读媒体(transitory media),如调制的数据信号和载波。
以上所述仅为本发明所公开的优选实施方式,并非用于限定本说明书实施例的保护范围。凡在本说明书实施例的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本说明书实施例的保护范围之内。
Claims (10)
1.一种基于拟态技术和机器学习的检测系统,其特征在于,包括拟态调度器和若干异构执行体,所述异构执行体用于接收和处理拟态调度器上发送的报文数据,并将处理的结果作为下行数据,下发至拟态调度器;所述拟态调度器,包括拟态判决单元、攻击检测单元和控制处理单元,其中,
所述拟态判决单元,用于接收异构执行体的下行数据,基于拟态判决策略对下行数据做出拟态判断,判断出前端芯片上送的原始报文数据是否存在攻击性,同时将拟态判决结果发送给攻击检测单元;
所述攻击检测单元,用于接收控制处理单元发送的报文数据,并结合拟态判决模块发送的拟态判决结果进行机器学习,对报文数据进行攻击防御检测;
所述控制处理单元,用于接收前端芯片上送的报文数据并发送至攻击检测单元,接收异构执行体下发的下行数据并发送至拟态判决单元;用于根据攻击防御检测结果,将判断为异常数据的报文数据进行过滤;将判断为正常数据的报文数据作为上行数据,上送至异构执行体。
2.根据权利要求1所述的一种基于拟态技术和机器学习的检测系统,其特征在于,所述攻击检测单元包括数据采集模块、数据分类模块、模型训练模块和攻击检测模块,其中,
所述数据采集模块,用于接收前端芯片上送的报文数据;
所述数据分类模块,用于基于拟态判决模块发送的拟态判决结果进行数据分类,并将报文数据标记为异常数据和正常数据,形成测试集和训练集;
所述模型训练模块,用于构建机器学习模型,利用训练集作为机器学习模型的输入,进行自主学习,生成攻击检测模型,并利用测试集对攻击检测模型进行调优和测试,直至符合预设的收敛条件;
所述攻击检测模块,用于通过训练好的攻击检测模型对待检测报文数据进行攻击防御检测,并将攻击防御检测结果发送至控制处理单元,所述攻击防御检测结果为判定报文数据是正常数据或异常数据。
3.根据权利要求2所述的一种基于拟态技术和机器学习的检测系统,其特征在于,还包括特征工程模块,用于对报文数据进行特征提取、特征预处理、特征降维和Z-score标准化处理。
4.根据权利要求1所述的一种基于拟态技术和机器学习的检测系统,其特征在于,所述若干异构执行体采用不同的结构,所述结构包括不同架构的处理器和不同的操作系统。
5.一种基于拟态技术和机器学习的检测方法,其特征在于,包括如下步骤:
拟态调度器接收前端芯片上送的网络报文数据,并发送至攻击检测单元;
通过训练好的攻击检测模型对报文数据进行攻击防御检测,并将攻击防御检测结果发送至控制处理单元,所述攻击防御检测结果为判定报文数据是正常数据或异常数据;
控制处理单元根据攻击防御检测结果,将判断为异常数据的报文数据进行过滤;将判断为正常数据的报文数据作为上行数据,上送至异构执行体。
6.根据权利要求5所述的一种基于拟态技术和机器学习的检测方法,其特征在于,所述攻击检测模型的构建过程,包括如下步骤:
拟态调度器接收前端芯片上送的报文数据并发送至异构执行体;
异构执行体接收报文数据进行处理,并将处理的结果作为下行数据,下发至拟态调度器;
拟态调度器中拟态判决单元接收异构执行体的下行数据,基于拟态判决策略对下行数据做出拟态判断,判断出前端芯片上送的原始报文数据是否存在攻击性,同时将拟态判决结果发送至数据分类模块;
数据分类模块基于拟态判决结果对原始报文数据进行数据分类,并将原始报文数据标记为异常数据和正常数据,形成测试集和训练集;
构建机器学习模型,利用训练集作为机器学习模型的输入,进行自主学习,生成攻击检测模型,并利用测试集对攻击检测模型进行调优和测试,直至符合预设的收敛条件。
7.根据权利要求6所述的一种基于拟态技术和机器学习的检测方法,其特征在于,所述拟态判决策略为基于先验知识的判决方法或基于大数判决方法。
8.根据权利要求5所述的一种基于拟态技术和机器学习的检测方法,其特征在于,还包括如下步骤:对报文数据进行特征提取、特征预处理、特征降维和Z-score标准化处理。
9.一种电子设备,其特征在于,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现如权利要求5-8任意一项所述的一种基于拟态技术和机器学习的检测方法。
10.一种计算机可读存储介质,其特征在于,存储有计算机可执行指令,所述计算机可执行指令用于执行如权利要求5-8任意一项所述的一种基于拟态技术和机器学习的检测方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111140778.9A CN113973008B (zh) | 2021-09-28 | 2021-09-28 | 基于拟态技术和机器学习的检测系统、方法、设备及介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111140778.9A CN113973008B (zh) | 2021-09-28 | 2021-09-28 | 基于拟态技术和机器学习的检测系统、方法、设备及介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN113973008A true CN113973008A (zh) | 2022-01-25 |
| CN113973008B CN113973008B (zh) | 2023-06-02 |
Family
ID=79586928
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202111140778.9A Active CN113973008B (zh) | 2021-09-28 | 2021-09-28 | 基于拟态技术和机器学习的检测系统、方法、设备及介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113973008B (zh) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114785879A (zh) * | 2022-05-06 | 2022-07-22 | 中国科学院计算技术研究所 | 一种用于识别ospf协议异常行为的方法及系统 |
| CN115277203A (zh) * | 2022-07-28 | 2022-11-01 | 国网智能电网研究院有限公司 | 一种执行体差异性评估方法、装置和电子设备 |
| CN115665071A (zh) * | 2022-10-24 | 2023-01-31 | 扬州万方科技股份有限公司 | 一种网络交换设备架构及其数据分析方法 |
| CN116150280A (zh) * | 2023-04-04 | 2023-05-23 | 之江实验室 | 一种拟态redis数据库同步方法、系统、设备和存储介质 |
| CN118590478A (zh) * | 2024-07-31 | 2024-09-03 | 河南嵩山实验室产业研究院有限公司洛阳分公司 | web服务拟态多维模糊判决方法及系统 |
Citations (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20110185420A1 (en) * | 2010-01-26 | 2011-07-28 | National Taiwan University Of Science & Technology | Detection methods and devices of web mimicry attacks |
| WO2016043739A1 (en) * | 2014-09-17 | 2016-03-24 | Resurgo, Llc | Heterogeneous sensors for network defense |
| WO2018002939A1 (en) * | 2016-06-29 | 2018-01-04 | Bar-Ilan University | Pseudo-asynchronous digital circuit design |
| US20180165597A1 (en) * | 2016-12-08 | 2018-06-14 | Resurgo, Llc | Machine Learning Model Evaluation in Cyber Defense |
| CN110177080A (zh) * | 2019-04-18 | 2019-08-27 | 中国人民解放军战略支援部队信息工程大学 | 拟态交换机、网络设备及系统 |
| CN110647918A (zh) * | 2019-08-26 | 2020-01-03 | 浙江工业大学 | 面向深度学习模型对抗攻击的拟态防御方法 |
| WO2020062211A1 (zh) * | 2018-09-30 | 2020-04-02 | 北京大学深圳研究生院 | 一种融合区块链技术拟态存储防篡改日志的方法及系统 |
| CN111049677A (zh) * | 2019-11-27 | 2020-04-21 | 网络通信与安全紫金山实验室 | 拟态交换机异构执行体的清洗恢复方法和装置 |
| CN112615862A (zh) * | 2020-12-18 | 2021-04-06 | 网络通信与安全紫金山实验室 | 一种基于拟态防御的攻击防御装置、方法、设备和介质 |
| CN113312621A (zh) * | 2021-06-02 | 2021-08-27 | 沈阳航空航天大学 | 基于增强深度学习的拟态的安卓恶意软件动态检测方法 |
| WO2021169080A1 (zh) * | 2020-02-27 | 2021-09-02 | 南京红阵网络安全技术研究院有限公司 | 基于部分同态加密算法的拟态防御裁决方法和系统 |
-
2021
- 2021-09-28 CN CN202111140778.9A patent/CN113973008B/zh active Active
Patent Citations (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20110185420A1 (en) * | 2010-01-26 | 2011-07-28 | National Taiwan University Of Science & Technology | Detection methods and devices of web mimicry attacks |
| WO2016043739A1 (en) * | 2014-09-17 | 2016-03-24 | Resurgo, Llc | Heterogeneous sensors for network defense |
| WO2018002939A1 (en) * | 2016-06-29 | 2018-01-04 | Bar-Ilan University | Pseudo-asynchronous digital circuit design |
| US20180165597A1 (en) * | 2016-12-08 | 2018-06-14 | Resurgo, Llc | Machine Learning Model Evaluation in Cyber Defense |
| WO2020062211A1 (zh) * | 2018-09-30 | 2020-04-02 | 北京大学深圳研究生院 | 一种融合区块链技术拟态存储防篡改日志的方法及系统 |
| CN110177080A (zh) * | 2019-04-18 | 2019-08-27 | 中国人民解放军战略支援部队信息工程大学 | 拟态交换机、网络设备及系统 |
| CN110647918A (zh) * | 2019-08-26 | 2020-01-03 | 浙江工业大学 | 面向深度学习模型对抗攻击的拟态防御方法 |
| CN111049677A (zh) * | 2019-11-27 | 2020-04-21 | 网络通信与安全紫金山实验室 | 拟态交换机异构执行体的清洗恢复方法和装置 |
| WO2021169080A1 (zh) * | 2020-02-27 | 2021-09-02 | 南京红阵网络安全技术研究院有限公司 | 基于部分同态加密算法的拟态防御裁决方法和系统 |
| CN112615862A (zh) * | 2020-12-18 | 2021-04-06 | 网络通信与安全紫金山实验室 | 一种基于拟态防御的攻击防御装置、方法、设备和介质 |
| CN113312621A (zh) * | 2021-06-02 | 2021-08-27 | 沈阳航空航天大学 | 基于增强深度学习的拟态的安卓恶意软件动态检测方法 |
Non-Patent Citations (1)
| Title |
|---|
| 仝青等: "拟态防御Web服务器设计与实现", 软件学报, no. 04 * |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114785879A (zh) * | 2022-05-06 | 2022-07-22 | 中国科学院计算技术研究所 | 一种用于识别ospf协议异常行为的方法及系统 |
| CN115277203A (zh) * | 2022-07-28 | 2022-11-01 | 国网智能电网研究院有限公司 | 一种执行体差异性评估方法、装置和电子设备 |
| CN115665071A (zh) * | 2022-10-24 | 2023-01-31 | 扬州万方科技股份有限公司 | 一种网络交换设备架构及其数据分析方法 |
| CN116150280A (zh) * | 2023-04-04 | 2023-05-23 | 之江实验室 | 一种拟态redis数据库同步方法、系统、设备和存储介质 |
| CN118590478A (zh) * | 2024-07-31 | 2024-09-03 | 河南嵩山实验室产业研究院有限公司洛阳分公司 | web服务拟态多维模糊判决方法及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN113973008B (zh) | 2023-06-02 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN113973008B (zh) | 基于拟态技术和机器学习的检测系统、方法、设备及介质 | |
| US11921851B1 (en) | System and method for improved end-to-end cybersecurity machine learning and deployment | |
| CN115996146B (zh) | 数控系统安全态势感知与分析系统、方法、设备及终端 | |
| JP2021060987A (ja) | コンピュータネットワークにおけるデータ効率のよい脅威検出の方法 | |
| WO2022078196A1 (en) | Malware detection by distributed telemetry data analysis | |
| Landress | A hybrid approach to reducing the false positive rate in unsupervised machine learning intrusion detection | |
| Schmaltz et al. | Robust defense mechanisms against adversarial ransomware attacks: Implementing a universal network-level detection filter | |
| CN113497797A (zh) | 一种icmp隧道传输数据的异常检测方法及装置 | |
| CN117692223A (zh) | 一种多层机器学习驱动的服务器安全系统 | |
| Maglaras et al. | Novel intrusion detection mechanism with low overhead for SCADA systems | |
| CN118353667A (zh) | 一种基于深度学习的网络安全预警方法及系统 | |
| CN117544386A (zh) | 基于深度学习的安全事件处理的方法和系统 | |
| CN117319090A (zh) | 一种网络安全智能防护系统 | |
| Ramström | Botnet detection on flow data using the reconstruction error from Autoencoders trained on Word2Vec network embeddings | |
| Shaik et al. | capsAEUL: Slow http DoS attack detection using autoencoders through unsupervised learning | |
| CN112988327A (zh) | 一种基于云边协同的容器安全管理方法和系统 | |
| Kim et al. | A hybrid static tool to increase the usability and scalability of dynamic detection of malware | |
| McEvatt | Advanced threat centre and future of security monitoring | |
| Preethi et al. | Analysis of Phishing Attack in Distributed Cloud Systems Using Machine Learning | |
| Naveen | Application of relevance vector machines in real time intrusion detection | |
| CN117896121B (zh) | 基于工业网络用户行为学习模型的异常检测方法和系统 | |
| CN118573474B (zh) | 基于生成式人工智能的网络流量异常分析方法及其系统 | |
| CN116743507B (zh) | 一种基于智能门锁的入侵检测方法及系统 | |
| Mokkapati et al. | Embedded Signal Artificial Neural Network Based Intelligent Non-Dependent Feature Selection for Cyber Attack Classification in Signal-Based Networks. | |
| Schuster et al. | Catching Intrusions: Classifier Performances for Detecting Network-specific Anomalies in Energy Systems |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |