CN115001866A - 一种基于免疫机制的安全防护方法、电子设备及存储介质 - Google Patents

一种基于免疫机制的安全防护方法、电子设备及存储介质 Download PDF

Info

Publication number
CN115001866A
CN115001866A CN202210915005.1A CN202210915005A CN115001866A CN 115001866 A CN115001866 A CN 115001866A CN 202210915005 A CN202210915005 A CN 202210915005A CN 115001866 A CN115001866 A CN 115001866A
Authority
CN
China
Prior art keywords
normal
abnormal
behavior data
characteristic
time
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202210915005.1A
Other languages
English (en)
Other versions
CN115001866B (zh
Inventor
戚建淮
周杰
杜玲禧
宋晶
张莉
刁润
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Chengdu Ether Node Technology Co ltd
Original Assignee
Chengdu Ether Node Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Chengdu Ether Node Technology Co ltd filed Critical Chengdu Ether Node Technology Co ltd
Priority to CN202210915005.1A priority Critical patent/CN115001866B/zh
Publication of CN115001866A publication Critical patent/CN115001866A/zh
Application granted granted Critical
Publication of CN115001866B publication Critical patent/CN115001866B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种基于免疫机制的安全防护方法、电子设备及存储介质,方法包括:S1,基于内生性免疫机制构建白名单库;S2,基于获得性免疫机制构建黑名单库;S3,基于黑名单库更新白名单库;S4,基于更新后的白名单库对信息网络系统进行防护。本发明先设定初始粒度,即初始时间节点数量对正常行为数据提取正常特征序列,以构建白名单库。后续对通过了白名单库检测但仍造成信息网络系统异常的异常行为数据,通过更细粒度,即增加时间节点数量提取扩展特征序列对比,实现定位异常行为数据的实质异常特征,以便于根据异常行为有针对性地对白名单库进行细粒度扩展与更新,以便于后续对此类隐蔽性异常行为的检测阻断,有效增强安全防护力度。

Description

一种基于免疫机制的安全防护方法、电子设备及存储介质
技术领域
本发明涉及网络安全领域,具体是一种基于免疫机制的安全防护方法、电子设备及存储介质。
背景技术
随着数字社会、数字经济、数字产业的不断发展与完善,网络空间呈现多样化、复杂化的整体态势,恶意攻击行为可能从信息网络系统的漏洞侵入系统,产生攻击行为数据,破坏、更改系统中的事务及信息。传统的信息网络系统安全防护技术是通过已发生的攻击行为数据来构建黑名单,后续再次发生相同攻击时能进行防护,黑名单技术无法防护未知的攻击。
白名单是一种新兴的网络安全防护技术,基于前期使得信息网络系统能正常运行的正常行为构建白名单,后续与白名单不匹配的行为均认定为异常行为,能对未知攻击起到较好的防护作用。白名单实质上是由对正常行为进行特征提取形成的能够表征正常行为的特征组成的,后续白名单防护通过对待检测行为进行特征提取并与白名单内的特征对比而实现。但随着安全防护技术的发展,网络攻击手段也在发展与变化,现有的网络攻击手段主要朝隐匿性、延时性发展,一些网络攻击能够通过将其特征伪装成正常行为的特征,通过白名单安全检测引发信息网络系统异常,现有技术中对这类攻击没有较好的检测方法。
发明内容
本发明的目的在于解决现有技术的上述问题,提供了一种基于免疫机制的安全防护方法、电子设备及存储介质,本发明能够定位通过了白名单检测的异常行为的实质异常特征,并以此对白名单进行细粒度扩展更新,以便于后续对此类异常行为的检测阻断,有效增强安全防护力度。
第一方面,本发明提供了一种基于免疫机制的安全防护方法,所述方法包括以下步骤:
S1,基于内生性免疫机制构建白名单库,包括:
S11,信息网络系统运行第一时间段后,将使得信息网络系统正常运行的行为统计为正常行为,单个正常行为产生的数据作为单个正常行为数据,对正常行为数据分别对应提取正常特征序列,正常特征序列包括其对应正常行为数据在第一时间段内多个时间节点分别对应的归一化特征值。
S12,将所有正常特征序列分为多个类组,多个类组的正常特征序列构成白名单库;
S2,基于获得性免疫机制构建黑名单库,包括:
S21,信息网络系统基于白名单库防护运行第二时间段后,将使得信息网络系统不正常运行的行为统计为异常行为,单个异常行为产生的数据作为单个异常行为数据,对异常行为数据分别对应提取异常特征序列,异常特征序列包括其对应异常行为数据在第二时间段内多个时间节点分别对应的归一化特征值;第二时间段与第一时间段时长相同且起止时刻相同,时间节点设置也相同;
S22,找出与各异常特征序列相同的正常特征序列及其所属类组,将两个相同的异常特征序列和正常特征序列对应的异常行为数据和正常行为数据作为一个数据组;
S23,针对单个数据组的异常行为数据和正常行为数据,在其各自的时间段内不断同步增加时间节点数量并提取对应的扩展特征序列,正常行为数据和异常行为数据时间节点数量相同的扩展特征序列为一个扩展组,直至找出其内两个扩展特征序列不相同的扩展组,将该扩展组内异常行为数据的扩展特征序列作为异常扩展特征序列;
S24,基于白名单库内的类组构建包含相同空白类组的黑名单库,将各异常扩展特征序列按其对应的正常特征序列的类组存入黑名单库内对应的类组中;
S3,基于黑名单库更新白名单库;
S4,基于更新后的白名单库对信息网络系统进行防护。
优选地,所述步骤S3包括以下子步骤:
S31,统计黑名单库内各类组内所有异常扩展特征序列的时间节点数量的种类;
S32,对白名单库内各类组内的正常特征序列对应的正常行为数据,在第一时间段内基于黑名单库内对应类组的各种时间节点数量分别提取正常扩展特征序列,并将各正常扩展特征序列存入白名单库内对应类组中;
S33,将与黑名单库内各类组内异常扩展特征序列相同的白名单库内对应类组内的正常扩展特征序列删除,更新白名单库。
优选地,所述步骤S4包括以下子步骤:
S41,信息网络系统后续运行中,将待检测行为产生的待检测行为数据按其发生时段置于虚拟时间中,虚拟时间与第一时间段时长相同且起止时刻相同,时间节点设置也相同;
S42,从待检测行为数据中提取待检测特征序列,待检测特征序列包括对应待检测行为数据在虚拟时间内多个时间节点分别对应的归一化特征值;
S43,将待检测特征序列与白名单库各类组内的正常特征序列进行对比,若不存在与其相同的正常特征序列,则判定对应待检测行为异常,对其进行阻断;若存在与其相同的正常特征序列,跳至S44;
S44,统计该正常特征序列所在类组内所有正常扩展特征序列的时间节点数量的种类,对待检测行为数据,在虚拟时间内基于白名单库内对应类组内正常扩展特征序列的各种时间节点数量分别提取待检测扩展特征序列;将各待检测扩展特征序列与白名单库对应类组内正常扩展特征序列对比,若各待检测扩展特征序列均存在相同正常扩展特征序列则判定对应待检测行为正常,允许访问,若存在待检测扩展特征序列找不到相同正常扩展特征序列则判定对应待检测行为异常,对其进行阻断。
优选地,所述步骤S12中将所有正常特征序列分为多个类组具体包括以下步骤:
A1,基于正常特征序列包含的归一化特征值将各正常特征序列映射为多维空间不同的点,以各点为圆心分别限定半径相同的邻域球,基于邻域球内点的数量计算各邻域球的密度并按密度从大到小排列;
A2,提取密度最大的邻域球作为基准球;
A3,将基准球的圆心点存入一空白小类中;
A4,按顺序提取剩余的邻域球与当前基准球进行密度对比,若当前提取的邻域球与当前基准球的密度差值不大于差分阈值则将该邻域球的圆心点存入当前基准球的圆心点所在小类中,然后跳至步骤A4;若其密度差值大于差分阈值则将该邻域球作为基准球,跳至步骤A3;直至邻域球提取完;
A5,对照圆心点的分类将正常特征序列分为多个类组。
优选地,所述步骤A1中第i个邻域球的密度为:
Figure 958218DEST_PATH_IMAGE001
,其中m表示邻域球的数量,即正常行为数据的数量,
Figure 16304DEST_PATH_IMAGE002
表示第i个领域球内点的个数,
Figure 327199DEST_PATH_IMAGE003
为邻域球的半径。
优选地,所述步骤S23中时间节点的单次增量为1。
优选地,所述步骤S23中时间节点的总增量设有上限值,如果时间节点总增量达到了上限值,但仍未找到其内两个扩展特征序列不相同的扩展组,则停止增加时间节点数量,并将该数据组内的异常行为数据及其对应的异常行为更正为正常。
优选地,所述步骤S11中第i个正常行为数据的第t个时间节点的归一化特征值为:
Figure 925671DEST_PATH_IMAGE004
所述步骤S21中第j个异常行为数据的第t个时间节点的归一化特征值为:
Figure 379524DEST_PATH_IMAGE005
其中m表示正常行为数据的数量,h表示异常行为数据的数量,t表示时间节点的数量,
Figure 139669DEST_PATH_IMAGE006
表示第i个正常行为数据,
Figure 609965DEST_PATH_IMAGE007
表示
Figure 340024DEST_PATH_IMAGE006
在第t个时间节点的原始特征值,
Figure 149848DEST_PATH_IMAGE008
表示
Figure 674370DEST_PATH_IMAGE006
在n个时间节点中最小的原始特征值,
Figure 130497DEST_PATH_IMAGE009
表示
Figure 274033DEST_PATH_IMAGE006
在n个时间节点中最大的原始特征值;
Figure 62998DEST_PATH_IMAGE010
表示第j个正常行为数据,
Figure 899367DEST_PATH_IMAGE011
表示
Figure 344255DEST_PATH_IMAGE010
在第t个时间节点的原始特征值,
Figure 150537DEST_PATH_IMAGE012
表示
Figure 427629DEST_PATH_IMAGE010
在n个时间节点中最小的原始特征值,
Figure 293954DEST_PATH_IMAGE013
表示
Figure 429400DEST_PATH_IMAGE010
在n个时间节点中最大的原始特征值。
第二方面,本发明提供了一种电子设备,包括存储器及存储于其上的计算机程序、处理器,所述处理器执行所述计算机程序时实现上述的基于免疫机制的安全防护方法。
第三方面,本发明提供了一种存储介质,所述存储介质中存储有计算机可执行指令,所述计算机可执行指令被处理器加载并执行时,实现上述的基于免疫机制的安全防护方法。
综上所述,本发明具有以下有益效果:先设定初始粒度,即初始时间节点数量对正常行为数据提取正常特征序列,以构建白名单库。后续对通过了白名单库检测但仍造成信息网络系统异常的异常行为数据,找到与之对应的正常行为数据,通过更细粒度,即增加时间节点数量提取扩展特征序列对比,实现定位异常行为数据的实质异常特征及实质异常特征的具体粒度,即具体时间节点数量,以便于根据异常行为有针对性地对正常行为数据提取具体粒度、即具体时间节点数量的正常扩展特征序列,从而实现根据异常行为有针对性地对白名单库进行细粒度扩展与更新,以便于后续对此类隐蔽性异常行为的检测阻断,有效增强安全防护力度。
本发明的附加方面和优点将在下面的描述中部分给出,部分将从下面的描述中变得明显,或通过本发明的实践了解到。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案和优点,下面将对实施例或现有技术描述中所需要使用的附图作简单的介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其它附图。
图1为本发明一个具体实施例步骤S1的流程示意图。
图2为本发明一个具体实施例步骤S2的流程示意图。
图3为本发明一个具体实施例步骤S3的流程示意图。
图4为本发明一个具体实施例步骤S4的流程示意图。
具体实施方式
为了使本发明实施例公开的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明实施例进行进一步详细说明。应当理解,此处描述的具体实施例仅仅用以解释本发明实施例,并不用于限定本发明实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本申请保护的范围。所述实施例的示例在附图中示出,其中自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。
需要说明的是,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或服务器不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
信息网络系统是指应用通讯技术、计算机技术,对各种社会业务有关信息进行采集、加工、传递和保存,从而提高社会效率和质量或进行辅助决策的人机信息处理系统,例如政府部门的电子政务系统、工业企业的工控信息系统、销售企业的电子商务系统、交通部门的民航订票系统、铁路客票系统等。信息网络系统中各种电子业务是由一系列电子事务实现的,例如铁路客票系统的订票业务,是由用户登录、查询、预订、支付等一系列电子事务实现的,工控信息系统的操控业务,是由用户登录、参数配置、启动作业等一系列事务实现的。而信息网络系统中电子事务的实现原理为,请求方发起如登录、查询、下载、预订、配置等请求类行为,产生请求类行为数据,经由网络节点到达目标方,目标方分析前述行为数据并据此进行响应类行为,返回响应类行为数据。
随着数字社会、数字经济、数字产业的不断发展与完善,网络空间呈现多样化、复杂化的整体态势,恶意攻击行为可能从信息网络系统的漏洞侵入系统,产生攻击行为数据,破坏、更改系统中的事务及信息。
传统的信息网络系统安全防护技术是通过已发生的攻击行为数据来构建黑名单,后续再次发生相同攻击时能进行防护。而白名单技术,是基于前期使得信息网络系统能正常运行的正常行为构建白名单,后续与白名单不匹配的行为均认定为异常行为,能对未知攻击起到较好的防护作用。但黑/白名单实质上是由能够表征对应行为的数据特征构成的,后续安全防护则通过对待检测行为进行数据特征提取并与名单内的数据特征对比而实现。而随着安全防护技术的发展,网络攻击行为也在发展与变化,存在隐匿性、延时性的发展趋势,一些网络攻击能够通过将其数据特征伪装成正常行为的数据特征,通过白名单安全检测,引发信息网络系统异常。
基于上述问题,本申请实施例提供一种基于免疫机制的安全防护方法,如图1所示,包括:
S1,基于内生性免疫机制构建白名单库,包括:
S11,信息网络系统运行第一时间段后,将使得信息网络系统正常运行的行为统计为正常行为,单个正常行为产生的数据作为单个正常行为数据,对正常行为数据分别对应提取正常特征序列,正常特征序列包括其对应正常行为数据在第一时间段内多个时间节点分别对应的归一化特征值。
S12,将所有正常特征序列分为多个类组,多个类组的正常特征序列构成白名单库;
在本发明的一些实施例中,所述步骤S12中将所有正常特征序列分为多个类组具体包括以下步骤:
A1,基于正常特征序列包含的归一化特征值将各正常特征序列映射为多维空间不同的点,以各点为圆心分别限定半径相同的邻域球,基于邻域球内点的数量计算各邻域球的密度并按密度从大到小排列;
A2,提取密度最大的邻域球作为基准球;
A3,将基准球的圆心点存入一空白小类中;
A4,按顺序提取剩余的邻域球与当前基准球进行密度对比,若当前提取的邻域球与当前基准球的密度差值不大于差分阈值则将该邻域球的圆心点存入当前基准球的圆心点所在小类中,然后跳至步骤A4;若其密度差值大于差分阈值则将该邻域球作为基准球,跳至步骤A3;直至邻域球提取完;
A5,对照圆心点的分类将正常特征序列分为多个类组。
下面结合具体实施例对步骤S1进行说明:信息网络系统运行
Figure 39373DEST_PATH_IMAGE014
时间后,统计得到m个正常行为,对应产生m个正常行为数据
Figure 740612DEST_PATH_IMAGE015
,第i个正常行为数据表示为
Figure 918784DEST_PATH_IMAGE006
Figure 135002DEST_PATH_IMAGE014
时间设置n个时间节点,对应
Figure 922567DEST_PATH_IMAGE014
时间内n个时间节点分别对
Figure 478313DEST_PATH_IMAGE006
提取原始特征值,其中第t个时间节点的原始特征值表示为
Figure 952020DEST_PATH_IMAGE007
,对应的归一化特征值为
Figure 796479DEST_PATH_IMAGE004
其中
Figure 482675DEST_PATH_IMAGE008
表示
Figure 361770DEST_PATH_IMAGE006
在n个时间节点中最小的原始特征值,
Figure 6378DEST_PATH_IMAGE009
表示
Figure 633406DEST_PATH_IMAGE006
在n个时间节点中最大的原始特征值。
Figure 264238DEST_PATH_IMAGE006
对应的正常特征序列为
Figure 856894DEST_PATH_IMAGE016
,m个正常行为数据对应提取m个正常特征序列
Figure 282190DEST_PATH_IMAGE017
Figure 225875DEST_PATH_IMAGE018
映射于n维空间的点
Figure 457136DEST_PATH_IMAGE019
Figure 12620DEST_PATH_IMAGE019
坐标为
Figure 608818DEST_PATH_IMAGE020
,m个正常特征序列对应映射m个点
Figure 774220DEST_PATH_IMAGE021
。以各点为圆心形成m个邻域球
Figure 746855DEST_PATH_IMAGE022
,第i个邻域球
Figure 579682DEST_PATH_IMAGE023
的密度为
Figure 647913DEST_PATH_IMAGE024
,其中
Figure 441557DEST_PATH_IMAGE002
表示第i个领域球
Figure 342517DEST_PATH_IMAGE025
内点的个数,
Figure 639637DEST_PATH_IMAGE003
为邻域球的半径。邻域球按密度从大到小排列后表示为
Figure 702271DEST_PATH_IMAGE026
,密度排列第i名的邻域球表示为
Figure 717631DEST_PATH_IMAGE027
,对应地邻域球按密度从大到小排列后各圆心点为
Figure 592921DEST_PATH_IMAGE028
,密度排列第i名的邻域球的圆心点表示为
Figure 134761DEST_PATH_IMAGE029
设定差分阈值为
Figure 509242DEST_PATH_IMAGE030
,将
Figure 870953DEST_PATH_IMAGE031
作为基准球,
Figure 989082DEST_PATH_IMAGE032
存入一空白小类
Figure 385428DEST_PATH_IMAGE033
,提取
Figure 727548DEST_PATH_IMAGE034
Figure 216035DEST_PATH_IMAGE031
进行密度对比,若其密度差值不大于
Figure 996910DEST_PATH_IMAGE030
,则将
Figure 123129DEST_PATH_IMAGE035
存入
Figure 636150DEST_PATH_IMAGE036
,得到
Figure 972453DEST_PATH_IMAGE037
,并继续提取
Figure 432384DEST_PATH_IMAGE038
进行对比;若其密度差值大于
Figure 973962DEST_PATH_IMAGE030
,则
Figure 985780DEST_PATH_IMAGE032
自成一类,提取
Figure 684746DEST_PATH_IMAGE034
作为基准球,
Figure 807423DEST_PATH_IMAGE035
存入一空白小类
Figure 908234DEST_PATH_IMAGE039
,提取
Figure 763057DEST_PATH_IMAGE038
进行对比;直至
Figure 339532DEST_PATH_IMAGE040
提取对比完成。
按上述方法进行密度聚类后,m个圆心点分为了p类
Figure 391800DEST_PATH_IMAGE041
。对应圆心点分类将m个正常特征序列分为p个类组
Figure 471752DEST_PATH_IMAGE042
,得到白名单库
Figure 966318DEST_PATH_IMAGE043
Figure 436614DEST_PATH_IMAGE044
表示白名单库中的第q个类组。
步骤S2,基于获得性免疫机制构建黑名单库,如图2所示,包括:
S21,信息网络系统基于白名单库防护运行第二时间段后,将使得信息网络系统不正常运行的行为统计为异常行为,单个异常行为产生的数据作为单个异常行为数据,对异常行为数据分别对应提取异常特征序列,异常特征序列包括其对应异常行为数据在第二时间段内多个时间节点分别对应的归一化特征值;第二时间段与第一时间段时长相同且起止时刻相同,时间节点设置也相同。
由于异常行为是信息网络系统进行了白名单库防护后仍发现的,也就是说,各异常行为是通过了白名单库对比检测的,因此各异常行为数据对应的异常特征序列一定能在白名单库中找到与之相同的正常特征序列。并且这些异常行为正是将其特征在特定粒度上伪装成与正常特征序列相同才得以通过检测,因此,在找到相同的正常特征序列后,不能简单地将这些正常特征序列删除,这会导致这些正常特征序列表征的正常行为被误判为异常行为,而是应该将相同的正常特征序列和异常特征序列对应的正常行为数据和异常行为数据进行更细粒度特征的对比,以找出异常行为数据实质上的异常特征。因此步骤S2还包括:
S22,找出与各异常特征序列相同的正常特征序列及其所属类组,将两个相同的异常特征序列和正常特征序列对应的异常行为数据和正常行为数据作为一个数据组;
S23,针对单个数据组的异常行为数据和正常行为数据,在其各自的时间段内不断同步增加时间节点数量并提取对应的扩展特征序列,正常行为数据和异常行为数据时间节点数量相同的扩展特征序列为一个扩展组,直至找出其内两个扩展特征序列不相同的扩展组,将该扩展组内异常行为数据的扩展特征序列作为异常扩展特征序列;在本申请的一些实施例中,所述步骤S23中时间节点的单次增量为1;为了避免陷入死循环,在本申请的一些实施例中,所述步骤S23中时间节点的总增量设有上限值,如果时间节点总增量达到了上限值,但仍未找到其内两个扩展特征序列不相同的扩展组,则停止增加时间节点数量,并将该数据组内的异常行为数据及其对应的异常行为更正为正常;
S24,基于白名单库内的类组构建包含相同空白类组的黑名单库,将各异常扩展特征序列按其对应的正常特征序列的类组存入黑名单库内对应的类组中。需要说明的是,对于白名单库中的某一个或多个类组,不一定存在异常特征序列与其内的正常特征序列相同,那么也就不存在异常扩展特征序列与这些类组内的正常特征序列对应;反之,对于白名单库中的其余某一个或多个类组,又可能存在多条异常特征序列与其内的正常特征序列相同,且可能在进行更细粒度的扩展特征序列对比后,找出的异常扩展特征序列的时间节点数量又不同,因此最终得到的黑名单库中可能存在空类组,也可能在相同类组中存在多种时间节点数量的异常扩展特征序列。
下面结合具体实施例对步骤S2进行说明:在建立好白名单库进行防护后,信息网络系统运行
Figure 166672DEST_PATH_IMAGE045
时间后,统计得到h个异常行为,对应产生h个异常行为数据
Figure 976496DEST_PATH_IMAGE046
,第j个异常行为数据表示为
Figure 501019DEST_PATH_IMAGE047
。对应
Figure 160408DEST_PATH_IMAGE045
时间内n个时间节点对
Figure 428578DEST_PATH_IMAGE047
提取原始特征值,其中第t个时间节点的原始特征值表示为
Figure 155226DEST_PATH_IMAGE011
,对应的归一化特征值为,
Figure 991595DEST_PATH_IMAGE005
其中
Figure 233220DEST_PATH_IMAGE012
表示
Figure 180448DEST_PATH_IMAGE047
在n个时间节点中最小的原始特征值,
Figure 355077DEST_PATH_IMAGE013
表示
Figure 392041DEST_PATH_IMAGE047
在n个时间节点中最大的原始特征值。
Figure 527487DEST_PATH_IMAGE047
对应的异常特征序列为
Figure 137460DEST_PATH_IMAGE048
,h个异常行为数据对应提取h个异常特征序列
Figure 776383DEST_PATH_IMAGE049
,且
Figure 813609DEST_PATH_IMAGE050
找到第j个异常特征序列
Figure 436351DEST_PATH_IMAGE051
与正常特征序列
Figure 20654DEST_PATH_IMAGE018
相同,
Figure 904297DEST_PATH_IMAGE018
又被划分于白名单库第q个类组
Figure 253369DEST_PATH_IMAGE052
中。
Figure 956883DEST_PATH_IMAGE051
Figure 784025DEST_PATH_IMAGE018
对应的异常行为数据
Figure 459857DEST_PATH_IMAGE047
和正常行为数据
Figure 838886DEST_PATH_IMAGE006
作为一个数据组,针对
Figure 409456DEST_PATH_IMAGE047
Figure 164923DEST_PATH_IMAGE006
,首先将
Figure 898524DEST_PATH_IMAGE014
Figure 714033DEST_PATH_IMAGE045
时间节点数量同步增加至n+1,
Figure 329822DEST_PATH_IMAGE047
在n+1个时间节点中第t个时间节点对应的原始特征值为
Figure 498766DEST_PATH_IMAGE053
,对应的归一化特征值为
Figure 945928DEST_PATH_IMAGE054
,相似地,
Figure 306240DEST_PATH_IMAGE055
表示
Figure 737221DEST_PATH_IMAGE047
在n+1个时间节点中最小的原始特征值,
Figure 506594DEST_PATH_IMAGE056
表示
Figure 683629DEST_PATH_IMAGE047
在n+1个时间节点中最大的原始特征值,则时间节点数量为n+1时对
Figure 840941DEST_PATH_IMAGE047
提取的扩展特征序列为
Figure 634584DEST_PATH_IMAGE057
;对应地,时间节点数量为n+1时
Figure 440604DEST_PATH_IMAGE006
对应的扩展特征序列为
Figure 127937DEST_PATH_IMAGE058
Figure 331517DEST_PATH_IMAGE059
表示
Figure 205932DEST_PATH_IMAGE006
在n+1个时间节点中第t个时间节点的归一化特征值。
Figure 785949DEST_PATH_IMAGE060
Figure 327789DEST_PATH_IMAGE061
作为一个扩展组,若
Figure 499007DEST_PATH_IMAGE060
Figure 500199DEST_PATH_IMAGE061
不相同,则停止增加时间节点数量,并将
Figure 477382DEST_PATH_IMAGE060
作为异常扩展特征序列存入黑名单库中第q个类组中;若
Figure 749094DEST_PATH_IMAGE060
Figure 419110DEST_PATH_IMAGE061
相同,则继续将
Figure 205801DEST_PATH_IMAGE014
Figure 596462DEST_PATH_IMAGE045
时间节点数量同步增加至n+2,并提取
Figure 277673DEST_PATH_IMAGE062
Figure 118590DEST_PATH_IMAGE063
进行对比,按前述方法根据比对结果跳转相应操作。设定时间节点总增量上限为k,若
Figure 595839DEST_PATH_IMAGE014
Figure 914825DEST_PATH_IMAGE045
时间节点数量同步增加至n+k的过程中,
Figure 161130DEST_PATH_IMAGE064
,则停止增加时间节点数量,并将
Figure 845052DEST_PATH_IMAGE047
及其对应的异常行为更正为正常。
经过上述步骤,形成黑名单库
Figure 668652DEST_PATH_IMAGE065
Figure 430809DEST_PATH_IMAGE066
表示黑名单库中的第q个类组。
构建了黑名单库后,为了节省后续安全防护检测流程,将需先进行白名单库检测再进行黑名单库检测简化为只需进行白名单库检测,本申请方法还包括步骤S3,基于黑名单库更新白名单库。
白名单库中正常特征序列与黑名单库中异常扩展特征序列粒度,即时间节点数量不同,不能直接进行对比扩展更新,需要进行处理,因此,在本申请的一些实施例中,如图3所示,所述步骤S3包括以下子步骤:
S31,统计黑名单库内各类组内所有异常扩展特征序列的时间节点数量的种类;
S32,对白名单库内各类组内的正常特征序列对应的正常行为数据,在第一时间段内基于黑名单库内对应类组的各种时间节点数量分别提取正常扩展特征序列,并将各正常扩展特征序列存入白名单库内对应类组中;需要说明的是,对于黑名单库内空白类组,其时间节点数量种类为0,其对应的白名单库的类组对应的正常行为数据自然无需提取正常扩展特征序列;
S33,将与黑名单库内各类组内异常扩展特征序列相同的白名单库内对应类组内的正常扩展特征序列删除,更新白名单库。
最后,本申请方法包括步骤S4,基于更新后的白名单库对信息网络系统进行防护。
在本申请的一些实施例中,如图4所示,所述步骤S4包括以下子步骤:
S41,信息网络系统后续运行中,将待检测行为产生的待检测行为数据按其发生时段置于虚拟时间中,虚拟时间与第一时间段时长相同且起止时刻相同,时间节点设置也相同;
S42,从待检测行为数据中提取待检测特征序列,待检测特征序列包括对应待检测行为数据在虚拟时间内多个时间节点分别对应的归一化特征值;
S43,将待检测特征序列与白名单库各类组内的正常特征序列进行对比,若不存在与其相同的正常特征序列,则判定对应待检测行为异常,对其进行阻断;若存在与其相同的正常特征序列,跳至S44,进一步进行多种细粒度,即多种时间节点数量的扩展特征对比,提高对隐藏式攻击行为的检出率;
S44,统计该正常特征序列所在类组内所有正常扩展特征序列的时间节点数量的种类,对待检测行为数据,在虚拟时间内基于白名单库内对应类组内正常扩展特征序列的各种时间节点数量分别提取待检测扩展特征序列;将各待检测扩展特征序列与白名单库对应类组内正常扩展特征序列对比,优选为与时间节点数量相同的正常扩展特征序列对比,若各待检测扩展特征序列均存在相同正常扩展特征序列则判定对应待检测行为正常,允许访问,若存在待检测扩展特征序列找不到相同正常扩展特征序列则判定对应待检测行为异常,对其进行阻断。
下面结合具体实施例对步骤S3、S4进行说明:在本实施例中,统计到黑名单库内第q个类组
Figure 656254DEST_PATH_IMAGE067
内有3种时间节点数量的异常扩展特征序列,分别为
Figure 448761DEST_PATH_IMAGE068
Figure 25235DEST_PATH_IMAGE067
对应的白名单库类组
Figure 623707DEST_PATH_IMAGE069
Figure 579025DEST_PATH_IMAGE070
,对应的正常行为数据为
Figure 198225DEST_PATH_IMAGE071
。对这些正常行为数据按上述3种时间节点数量提取正常扩展特征序列得到
Figure 104739DEST_PATH_IMAGE072
,正常扩展特征序列的提取方法与上述扩展特征序列的提取方法相似,这里不再作详细描述。最后得到
Figure 569218DEST_PATH_IMAGE074
,将
Figure 644622DEST_PATH_IMAGE067
Figure 106827DEST_PATH_IMAGE069
对比,删除
Figure 126736DEST_PATH_IMAGE069
中与
Figure 535851DEST_PATH_IMAGE067
异常扩展特征序列相同的正常扩展特征序列。本实施例中
Figure 324816DEST_PATH_IMAGE075
,最终得到更新后的第q个类组
Figure 394141DEST_PATH_IMAGE076
,更新后的白名单库表示为
Figure 166925DEST_PATH_IMAGE077
信息网络系统后续运行产生待检测行为数据R,R实际发生时段为
Figure 910890DEST_PATH_IMAGE078
,将其至于虚拟时间
Figure 695306DEST_PATH_IMAGE079
中,对应
Figure 561631DEST_PATH_IMAGE079
时间内n个时间节点对R提取原始特征值,其中第t个时间节点的原始特征值表示为
Figure 431498DEST_PATH_IMAGE080
,落入
Figure 307050DEST_PATH_IMAGE078
的时间节点的原始特征值由待检测行为数据R决定,未落入
Figure 512684DEST_PATH_IMAGE078
的时间节点的原始特征值为0。第t个时间节点的归一化特征值为
Figure 425277DEST_PATH_IMAGE081
,其中
Figure 907074DEST_PATH_IMAGE082
表示R在n个时间节点中最小的原始特征值,
Figure 196104DEST_PATH_IMAGE083
表示R在n个时间节点中最大的原始特征值。R对应的待检测特征序列为
Figure 751850DEST_PATH_IMAGE084
Figure 959977DEST_PATH_IMAGE085
与白名单库
Figure 37392DEST_PATH_IMAGE086
进行对比,若
Figure 254747DEST_PATH_IMAGE087
,则判定
Figure 868262DEST_PATH_IMAGE088
对应的待检测行为异常;若
Figure 184974DEST_PATH_IMAGE089
,本实施例中
Figure 641363DEST_PATH_IMAGE090
,找到
Figure 272196DEST_PATH_IMAGE091
被划分于白名单库第q个类组
Figure 864851DEST_PATH_IMAGE092
中,
Figure 54262DEST_PATH_IMAGE092
包括n+1、n+3、n+4这3种时间节点数量的正常扩展特征序列。对待检测行为数据R按这3种时间节点数量提取待检测扩展特征序列,得到
Figure 404472DEST_PATH_IMAGE093
,待检测扩展特征序列的提取方法与上述扩展特征序列的提取方法相似,这里不再作详细描述。将
Figure 963629DEST_PATH_IMAGE094
Figure 551736DEST_PATH_IMAGE092
Figure 538147DEST_PATH_IMAGE095
相比,
Figure 375653DEST_PATH_IMAGE096
Figure 846823DEST_PATH_IMAGE092
Figure 148492DEST_PATH_IMAGE097
相比,
Figure 181170DEST_PATH_IMAGE098
Figure 833868DEST_PATH_IMAGE092
Figure DEST_PATH_IMAGE099
相比,若
Figure 813456DEST_PATH_IMAGE094
Figure 500790DEST_PATH_IMAGE096
Figure 954903DEST_PATH_IMAGE098
均能找到与之相同的正常扩展特征序列则判定对应待检测行为正常,若
Figure 767001DEST_PATH_IMAGE094
Figure 940494DEST_PATH_IMAGE096
Figure 357700DEST_PATH_IMAGE098
中有至少1个不能找到与之相同的正常扩展特征序列则判定对应待检测行为异常。
本发明先设定初始粒度,即初始时间节点数量对正常行为数据提取正常特征序列,以构建白名单库。后续对通过了白名单库检测但仍造成信息网络系统异常的异常行为数据,找到与之对应的正常行为数据,通过更细粒度,即增加时间节点数量提取扩展特征序列对比,实现定位异常行为数据的实质异常特征及实质异常特征的具体粒度,即具体时间节点数量,以便于根据异常行为有针对性地对正常行为数据提取具体粒度、即具体时间节点数量的正常扩展特征序列,从而实现根据异常行为有针对性地对白名单库进行细粒度扩展与更新,以便于后续对此类隐蔽性异常行为的检测阻断,有效增强安全防护力度。
本申请实施例还提供一种电子设备,包括存储器、处理器,存储器和处理器可以通过总线或其它方式连接。存储器可用于存储软件程序、计算机程序及模块,如上述基于免疫机制的安全防护方法对应的程序/模块;处理器通过执行存储器中的计算机程序及模块,实现上述的基于免疫机制的安全防护方法。
处理器可以为中央处理器、数字信号处理器、专用集成电路、现场可编程门阵列等,存储器可以为高速随机存取存储器、非暂态存储器等。
本申请实施例还提供一种存储介质,所述存储介质中存储有计算机可执行指令,所述计算机可执行指令被处理器加载并执行时,实现上述基于免疫机制的安全防护方法。其中,存储介质可为磁碟、光盘、只读存储记忆体、随机存储记忆体、快闪存储器、硬盘等中的一种或多种的组合。
需要说明的是:上述本发明实施例先后顺序仅仅为了描述,不代表实施例的优劣。且上述对本说明书特定实施例进行了描述,其它实施例在所附权利要求书的范围内。在一些情况下,在权利要求书中记载的动作或步骤可以按照不同于实施例中的顺序来执行并且仍然可以实现期望的结果。另外,在附图中描绘的过程不一定要求示出的特定顺序或者连续顺序才能实现期望的结果。在某些实施方式中,多任务处理和并行处理也是可以的或者可能是有利的。
本说明书中的各个实施例均采用递进的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。
本领域普通技术人员可以理解实现上述实施例的全部或部分步骤可以通过硬件来完成,也可以通过程序来指令相关的硬件完成。以上所述仅为本发明的较佳实施例,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。

Claims (10)

1.一种基于免疫机制的安全防护方法,其特征在于,所述方法包括以下步骤:
S1,基于内生性免疫机制构建白名单库,包括:
S11,信息网络系统运行第一时间段后,将使得信息网络系统正常运行的行为统计为正常行为,单个正常行为产生的数据作为单个正常行为数据,对正常行为数据分别对应提取正常特征序列,正常特征序列包括其对应正常行为数据在第一时间段内多个时间节点分别对应的归一化特征值;
S12,将所有正常特征序列分为多个类组,多个类组的正常特征序列构成白名单库;
S2,基于获得性免疫机制构建黑名单库,包括:
S21,信息网络系统基于白名单库防护运行第二时间段后,将使得信息网络系统不正常运行的行为统计为异常行为,单个异常行为产生的数据作为单个异常行为数据,对异常行为数据分别对应提取异常特征序列,异常特征序列包括其对应异常行为数据在第二时间段内多个时间节点分别对应的归一化特征值;第二时间段与第一时间段时长相同且起止时刻相同,时间节点设置也相同;
S22,找出与各异常特征序列相同的正常特征序列及其所属类组,将两个相同的异常特征序列和正常特征序列对应的异常行为数据和正常行为数据作为一个数据组;
S23,针对单个数据组的异常行为数据和正常行为数据,在其各自的时间段内不断同步增加时间节点数量并提取对应的扩展特征序列,正常行为数据和异常行为数据时间节点数量相同的扩展特征序列为一个扩展组,直至找出其内两个扩展特征序列不相同的扩展组,将该扩展组内异常行为数据的扩展特征序列作为异常扩展特征序列;
S24,基于白名单库内的类组构建包含相同空白类组的黑名单库,将各异常扩展特征序列按其对应的正常特征序列的类组存入黑名单库内对应的类组中;
S3,基于黑名单库更新白名单库;
S4,基于更新后的白名单库对信息网络系统进行防护。
2.根据权利要求1所述的一种基于免疫机制的安全防护方法,其特征在于,所述S3包括以下子步骤:
S31,统计黑名单库内各类组内所有异常扩展特征序列的时间节点数量的种类;
S32,对白名单库内各类组内的正常特征序列对应的正常行为数据,在第一时间段内基于黑名单库内对应类组的各种时间节点数量分别提取正常扩展特征序列,并将各正常扩展特征序列存入白名单库内对应类组中;
S33,将与黑名单库内各类组内异常扩展特征序列相同的白名单库内对应类组内的正常扩展特征序列删除,更新白名单库。
3.根据权利要求1所述的一种基于免疫机制的安全防护方法,其特征在于,所述S4包括以下子步骤:
S41,信息网络系统后续运行中,将待检测行为产生的待检测行为数据按其发生时段置于虚拟时间中,虚拟时间与第一时间段时长相同且起止时刻相同,时间节点设置也相同;
S42,从待检测行为数据中提取待检测特征序列,待检测特征序列包括对应待检测行为数据在虚拟时间内多个时间节点分别对应的归一化特征值;
S43,将待检测特征序列与白名单库各类组内的正常特征序列进行对比,若不存在与其相同的正常特征序列,则判定对应待检测行为异常,对其进行阻断;若存在与其相同的正常特征序列,跳至S44;
S44,统计该正常特征序列所在类组内所有正常扩展特征序列的时间节点数量的种类,对待检测行为数据,在虚拟时间内基于白名单库内对应类组内正常扩展特征序列的各种时间节点数量分别提取待检测扩展特征序列;将各待检测扩展特征序列与白名单库对应类组内正常扩展特征序列对比,若各待检测扩展特征序列均存在相同正常扩展特征序列则判定对应待检测行为正常,允许访问,若存在待检测扩展特征序列找不到相同正常扩展特征序列则判定对应待检测行为异常,对其进行阻断。
4.根据权利要求1-3任一项所述的一种基于免疫机制的安全防护方法,其特征在于,所述S12中将所有正常特征序列分为多个类组具体包括以下步骤:
A1,基于正常特征序列包含的归一化特征值将各正常特征序列映射为多维空间不同的点,以各点为圆心分别限定半径相同的邻域球,基于邻域球内点的数量计算各邻域球的密度并按密度从大到小排列;
A2,提取密度最大的邻域球作为基准球;
A3,将基准球的圆心点存入一空白小类中;
A4,按顺序提取剩余的邻域球与当前基准球进行密度对比,若当前提取的邻域球与当前基准球的密度差值不大于差分阈值则将该邻域球的圆心点存入当前基准球的圆心点所在小类中,然后跳至A4;若其密度差值大于差分阈值则将该邻域球作为基准球,跳至A3;直至邻域球提取完;
A5,对照圆心点的分类将正常特征序列分为多个类组。
5.根据权利要求4所述的一种基于免疫机制的安全防护方法,其特征在于,所述A1中第i个邻域球的密度为:
Figure 30667DEST_PATH_IMAGE001
,其中m表示邻域球的数量,即正常行为数据的数量,
Figure 416649DEST_PATH_IMAGE002
表示第i个领域球内点的个数,
Figure 540593DEST_PATH_IMAGE003
为邻域球的半径。
6.根据权利要求1-3任一项所述的一种基于免疫机制的安全防护方法,其特征在于,所述S23中时间节点的单次增量为1。
7.根据权利要求1-3任一项所述的一种基于免疫机制的安全防护方法,其特征在于,所述S23中时间节点的总增量设有上限值,如果时间节点总增量达到了上限值,但仍未找到其内两个扩展特征序列不相同的扩展组,则停止增加时间节点数量,并将该数据组内的异常行为数据及其对应的异常行为更正为正常。
8.根据权利要求1-3任一项所述的一种基于免疫机制的安全防护方法,其特征在于,
所述S11中第i个正常行为数据的第t个时间节点的归一化特征值为:
Figure 139065DEST_PATH_IMAGE004
所述步骤S21中第j个异常行为数据的第t个时间节点的归一化特征值为:
Figure 281333DEST_PATH_IMAGE005
其中m表示正常行为数据的数量,h表示异常行为数据的数量,t表示时间节点的数量,
Figure 448004DEST_PATH_IMAGE006
表示第i个正常行为数据,
Figure 183878DEST_PATH_IMAGE007
表示
Figure 976254DEST_PATH_IMAGE006
在第t个时间节点的原始特征值,
Figure 379553DEST_PATH_IMAGE008
表示
Figure 841759DEST_PATH_IMAGE006
在n个时间节点中最小的原始特征值,
Figure 937366DEST_PATH_IMAGE009
表示
Figure 143220DEST_PATH_IMAGE006
在n个时间节点中最大的原始特征值;
Figure 260080DEST_PATH_IMAGE010
表示第j个正常行为数据,
Figure 158766DEST_PATH_IMAGE011
表示
Figure 744599DEST_PATH_IMAGE010
在第t个时间节点的原始特征值,
Figure 488564DEST_PATH_IMAGE012
表示
Figure 725511DEST_PATH_IMAGE010
在n个时间节点中最小的原始特征值,
Figure 529519DEST_PATH_IMAGE013
表示
Figure 868227DEST_PATH_IMAGE010
在n个时间节点中最大的原始特征值。
9.一种电子设备,包括存储器及存储于其上的计算机程序、处理器,其特征在于,所述处理器执行所述计算机程序时实现如权利要求1-8任一项所述的基于免疫机制的安全防护方法。
10.一种存储介质,其特征在于,所述存储介质中存储有计算机可执行指令,所述计算机可执行指令被处理器加载并执行时,实现如权利要求1-8任一项所述的基于免疫机制的安全防护方法。
CN202210915005.1A 2022-08-01 2022-08-01 一种基于免疫机制的安全防护方法、电子设备及存储介质 Active CN115001866B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210915005.1A CN115001866B (zh) 2022-08-01 2022-08-01 一种基于免疫机制的安全防护方法、电子设备及存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210915005.1A CN115001866B (zh) 2022-08-01 2022-08-01 一种基于免疫机制的安全防护方法、电子设备及存储介质

Publications (2)

Publication Number Publication Date
CN115001866A true CN115001866A (zh) 2022-09-02
CN115001866B CN115001866B (zh) 2022-11-08

Family

ID=83021061

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210915005.1A Active CN115001866B (zh) 2022-08-01 2022-08-01 一种基于免疫机制的安全防护方法、电子设备及存储介质

Country Status (1)

Country Link
CN (1) CN115001866B (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116074113A (zh) * 2023-03-06 2023-05-05 成都市以太节点科技有限公司 基于业务流程约束的安全防护方法、装置及存储介质

Citations (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106778210A (zh) * 2016-12-16 2017-05-31 成都巧班科技有限公司 一种基于免疫学习的工业控制系统功能安全验证方法
CN107172062A (zh) * 2017-06-07 2017-09-15 郑州轻工业学院 一种基于生物免疫t细胞受体机制的入侵检测方法
CN108520178A (zh) * 2018-04-08 2018-09-11 长春理工大学 一种基于CFSFDP聚类的Android平台入侵检测方法
WO2018164767A1 (en) * 2017-03-09 2018-09-13 General Electric Company Cyber-attack detection and neutralization
CN109858244A (zh) * 2019-01-16 2019-06-07 四川大学 一种容器内进程异常行为检测方法与系统
US20190260768A1 (en) * 2018-02-20 2019-08-22 General Electric Company Cyber-attack detection, localization, and neutralization for unmanned aerial vehicles
US11075934B1 (en) * 2021-02-17 2021-07-27 King Abdulaziz University Hybrid network intrusion detection system for IoT attacks
CN114143037A (zh) * 2021-11-05 2022-03-04 山东省计算中心(国家超级计算济南中心) 一种基于进程行为分析的恶意加密信道检测方法
CN114238958A (zh) * 2021-12-15 2022-03-25 华中科技大学 一种基于溯源聚类及图序列化的入侵检测方法及系统

Patent Citations (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106778210A (zh) * 2016-12-16 2017-05-31 成都巧班科技有限公司 一种基于免疫学习的工业控制系统功能安全验证方法
WO2018164767A1 (en) * 2017-03-09 2018-09-13 General Electric Company Cyber-attack detection and neutralization
CN107172062A (zh) * 2017-06-07 2017-09-15 郑州轻工业学院 一种基于生物免疫t细胞受体机制的入侵检测方法
US20190260768A1 (en) * 2018-02-20 2019-08-22 General Electric Company Cyber-attack detection, localization, and neutralization for unmanned aerial vehicles
CN108520178A (zh) * 2018-04-08 2018-09-11 长春理工大学 一种基于CFSFDP聚类的Android平台入侵检测方法
CN109858244A (zh) * 2019-01-16 2019-06-07 四川大学 一种容器内进程异常行为检测方法与系统
US11075934B1 (en) * 2021-02-17 2021-07-27 King Abdulaziz University Hybrid network intrusion detection system for IoT attacks
CN114143037A (zh) * 2021-11-05 2022-03-04 山东省计算中心(国家超级计算济南中心) 一种基于进程行为分析的恶意加密信道检测方法
CN114238958A (zh) * 2021-12-15 2022-03-25 华中科技大学 一种基于溯源聚类及图序列化的入侵检测方法及系统

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
范九伦等: "一种基于肯定选择的异常检测方法", 《西安邮电大学学报》 *

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116074113A (zh) * 2023-03-06 2023-05-05 成都市以太节点科技有限公司 基于业务流程约束的安全防护方法、装置及存储介质
CN116074113B (zh) * 2023-03-06 2023-08-15 成都市以太节点科技有限公司 基于业务流程约束的安全防护方法、装置及存储介质

Also Published As

Publication number Publication date
CN115001866B (zh) 2022-11-08

Similar Documents

Publication Publication Date Title
JP7441582B2 (ja) データ侵害を検出するための方法、装置、コンピュータ可読な記録媒体及びプログラム
Thomas et al. Machine learning approaches in cyber security analytics
RU2680738C1 (ru) Каскадный классификатор для приложений компьютерной безопасности
Zhang et al. Adversarial attacks against deep learning-based network intrusion detection systems and defense mechanisms
De Souza et al. Two-step ensemble approach for intrusion detection and identification in IoT and fog computing environments
Pang et al. Advmind: Inferring adversary intent of black-box attacks
Zhang et al. Tiki-taka: Attacking and defending deep learning-based intrusion detection systems
US11379581B2 (en) System and method for detection of malicious files
WO2021027831A1 (zh) 一种恶意文件检测方法和装置、电子设备及存储介质
Sangal et al. A static feature selection-based android malware detection using machine learning techniques
Zamini et al. A comprehensive survey of anomaly detection in banking, wireless sensor networks, social networks, and healthcare
CN115001866B (zh) 一种基于免疫机制的安全防护方法、电子设备及存储介质
CN111881439B (zh) 一种基于对抗性正则化的识别模型设计方法
Atawodi A machine learning approach to network intrusion detection system using K nearest neighbor and random forest
US20230306107A1 (en) A Method of Training a Submodule and Preventing Capture of an AI Module
EP3798885B1 (en) System and method for detection of malicious files
Yang et al. Using randomness to improve robustness of tree-based models against evasion attacks
US11487876B1 (en) Robust whitelisting of legitimate files using similarity score and suspiciousness score
Rathore et al. Are Malware Detection Classifiers Adversarially Vulnerable to Actor-Critic based Evasion Attacks?
Alohali et al. Optimal Deep Learning Based Ransomware Detection and Classification in the Internet of Things Environment.
Lu et al. Stealthy malware detection based on deep neural network
Rahman et al. An exploratory analysis of feature selection for malware detection with simple machine learning algorithms
Aggarwal et al. Selective targeted transfer learning for malware classification
Sagar Malware detection using optimized activation-based deep belief network: An application on Internet of Things
Alsubaie et al. Building Machine Learning Model with Hybrid Feature Selection Technique for Keylogger Detection.

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant