CN115174193A - 基于ga算法的数据安全入侵检测方法、装置及设备 - Google Patents
基于ga算法的数据安全入侵检测方法、装置及设备 Download PDFInfo
- Publication number
- CN115174193A CN115174193A CN202210764104.4A CN202210764104A CN115174193A CN 115174193 A CN115174193 A CN 115174193A CN 202210764104 A CN202210764104 A CN 202210764104A CN 115174193 A CN115174193 A CN 115174193A
- Authority
- CN
- China
- Prior art keywords
- data
- coarse
- algorithm
- service
- evaluation group
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 43
- 238000004422 calculation algorithm Methods 0.000 title claims abstract description 34
- 238000011156 evaluation Methods 0.000 claims abstract description 36
- 238000012545 processing Methods 0.000 claims abstract description 22
- 238000010206 sensitivity analysis Methods 0.000 claims abstract description 11
- 238000001514 detection method Methods 0.000 claims description 32
- 238000004458 analytical method Methods 0.000 claims description 10
- 230000004044 response Effects 0.000 claims description 9
- 238000004590 computer program Methods 0.000 claims description 8
- 238000005516 engineering process Methods 0.000 claims description 5
- 230000014509 gene expression Effects 0.000 claims description 4
- 238000000605 extraction Methods 0.000 claims description 3
- 238000012216 screening Methods 0.000 claims description 3
- 238000012550 audit Methods 0.000 description 15
- 238000010586 diagram Methods 0.000 description 10
- 230000006870 function Effects 0.000 description 10
- 230000008569 process Effects 0.000 description 10
- 230000006399 behavior Effects 0.000 description 9
- 239000011800 void material Substances 0.000 description 6
- 238000004364 calculation method Methods 0.000 description 5
- 238000004891 communication Methods 0.000 description 5
- 230000002068 genetic effect Effects 0.000 description 4
- 230000003993 interaction Effects 0.000 description 4
- 230000009471 action Effects 0.000 description 3
- 238000007726 management method Methods 0.000 description 3
- 230000003287 optical effect Effects 0.000 description 3
- 230000000903 blocking effect Effects 0.000 description 2
- 238000004141 dimensional analysis Methods 0.000 description 2
- 206010000117 Abnormal behaviour Diseases 0.000 description 1
- 230000005856 abnormality Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 235000014510 cooky Nutrition 0.000 description 1
- 238000013479 data entry Methods 0.000 description 1
- 238000013500 data storage Methods 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000001914 filtration Methods 0.000 description 1
- 238000005206 flow analysis Methods 0.000 description 1
- 238000010801 machine learning Methods 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 230000035772 mutation Effects 0.000 description 1
- 239000013307 optical fiber Substances 0.000 description 1
- 238000005457 optimization Methods 0.000 description 1
- 230000008520 organization Effects 0.000 description 1
- 238000004806 packaging method and process Methods 0.000 description 1
- 238000007781 pre-processing Methods 0.000 description 1
- 238000009417 prefabrication Methods 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 238000012549 training Methods 0.000 description 1
- 230000001131 transforming effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D30/00—Reducing energy consumption in communication networks
- Y02D30/50—Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Alarm Systems (AREA)
Abstract
本公开的实施例提供了基于GA算法的数据安全入侵检测方法、装置、设备和计算机可读存储设备。所述方法包括获取业务数据,建立粗数据集;基于GA算法,对所述粗数据集进行安全敏感性分析,生成评价群体数据;通过预设的置信规则,对所述评价群体数据进行安全处理。以此方式,提升了安全规则精确性,降低了误报率。
Description
技术领域
本公开的实施例一般涉及数据检测领域,并且更具体地,涉及基于GA算法的数据安全入侵检测方法、装置、设备和计算机可读存储设备。
背景技术
传统的网络安全领域,仅通过识别流量和分析安全日志进行入侵检测分析,极易导致漏报与误报。在入侵检测设备部分后,仍需要投入大量的人力来更新安全策略、分析少量日志。在数据安全时代,业务层数据是最核心资产,但针对业务层数据安全攻击,传统网络安全类入侵检测设备存在很大挑战与不足。
此外,在数据安全领域,业务层的数据量极大,如果在业务层进行上下文数据拦截、分析,将使得业务可用性、可靠性得不到保证。
综上,设计一种面向业务数据的入侵检测方法,提供业务数据安全攻击检测效率,并利用高性能算法,实现安全策略优化,是目前急需解决的问题。
发明内容
根据本公开的实施例,提供了一种基于GA算法的数据安全入侵检测方案。
在本公开的第一方面,提供了一种基于GA算法的数据安全入侵检测方法。该方法包括:
获取业务数据,建立粗数据集;
基于GA算法,对所述粗数据集进行安全敏感性分析,生成评价群体数据;
通过预设的置信规则,对所述评价群体数据进行安全处理。
进一步地,所述获取业务数据,建立粗数据集包括:
通过切面技术,解析业务应用架构,部署拦截业务数据上下文的切点;
将所有的切点进行整合,构建一个完整的业务切面;
基于所述业务切面,通过预置的数据字典对业务数据进行处理,建立粗数据集。
进一步地,所述基于GA算法,对所述粗数据集进行安全敏感性分析,生成评价群体数据包括:
通过已构建的筛选器对所述粗数据集进行筛选,生成实际问题集;
通过参数编码的方法对所述实际问题集进行特征提取,生成初始化群体;
对所述初始化群体进行群体数据演化,进行初始化群体数据适应度调整,生成评价群体数据。
进一步地,
所述筛选器为多层级筛选器,通过关键字、正则表达式进行构建。
进一步地,所述置信规则包括分类精度置信区间和/或非参数置信区间。
进一步地,所述通过预设的置信规则,对所述评价群体数据进行安全处理包括:若所述评价群体数据处于置信区间内,则直接执行安全处理;
若所述评价群体数据处于置信区间外,则对所述评价群体数据进行多维度告警分析,生成安全告警日志;所述安全告警日志,用于安全日志统一管理以及更新置信规则;
其中,所述多维度包括时间频次、关键因子频次、主体出现次数、客体出现次数和/或违规内容碰撞次数。
进一步地,所述粗数据集包括源IP、源端口、目的IP、目的端口、请求字段、请求内容、请求文件、执行状态、响应内容和/或连接时间。
在本公开的第二方面,提供了一种基于GA算法的数据安全入侵检测装置。该装置包括:
获取模块,用于获取业务数据,建立粗数据集;
分析模块,用于基于GA算法,对所述粗数据集进行安全敏感性分析,生成评价群体数据;
处理模块,用于通过预设的置信规则,对所述评价群体数据进行安全处理。
在本公开的第三方面,提供了一种电子设备。该电子设备包括:存储器和处理器,所述存储器上存储有计算机程序,所述处理器执行所述程序时实现如以上所述的方法。
在本公开的第四方面,提供了一种计算机可读存储介质,其上存储有计算机程序,所述程序被处理器执行时实现如根据本公开的第一方面的方法。
本申请实施例提供的基于GA算法的数据安全入侵检测方法,通过获取业务数据,建立粗数据集;基于GA算法,对所述粗数据集进行安全敏感性分析,生成评价群体数据;通过预设的置信规则,对所述评价群体数据进行安全处理,根据GA算法优化入侵检测规则,提升了安全规则精确性,降低了误报率,进而提高了业务数据入侵检测精度和效率。
应当理解,发明内容部分中所描述的内容并非旨在限定本公开的实施例的关键或重要特征,亦非用于限制本公开的范围。本公开的其它特征将通过以下的描述变得容易理解。
附图说明
结合附图并参考以下详细说明,本公开各实施例的上述和其他特征、优点及方面将变得更加明显。在附图中,相同或相似的附图标记表示相同或相似的元素,其中:
图1示出了根据本公开的实施例的基于GA算法的数据安全入侵检测方法的流程图;
图2示出了根据本公开的实施例的生成粗数据集的流程图;
图3示出了根据本公开的实施例的初始化群体的生成流程图;
图4示出了根据本公开的实施例的群体演化流程图;
图5示出了根据本公开的实施例的基于GA算法的业务数据入侵检测实现原理示意图;
图6示出了根据本公开的实施例的基于GA算法的数据安全入侵检测装置的方框图;
图7示出了能够实施本公开的实施例的示例性电子设备的方框图。
具体实施方式
为使本公开实施例的目的、技术方案和优点更加清楚,下面将结合本公开实施例中的附图,对本公开实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本公开一部分实施例,而不是全部的实施例。基于本公开中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的全部其他实施例,都属于本公开保护的范围。
另外,本文中术语“和/或”,仅仅是一种描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。另外,本文中字符“/”,一般表示前后关联对象是一种“或”的关系。
图1示出了根据本公开实施例的基于GA算法的数据安全入侵检测方法的流程图。所述方法包括:
S110,获取业务数据,建立粗数据集。
在一些实施例中,如图2所示,通过切面技术,解析业务应用架构,部署拦截业务数据上下文的切点(监控和拦截数据的位置);其中,每一个切点至少实现一个切点通知;所述通知为预置的数据安全入侵检测类,即,
@Advice("execution(**.Intrusion_detection())")
public void Intrusion_detection(){}
public void Web_Sweep(){}
public void DB_Sweep(){}
public void DB_bufferoverflow(){}
public void Rootkit(){}
将所有的切点进行整合,构建一个完整的业务切面;所述业务切面包括代理模式(proxy)、扩展模式(sidecar)、网关模式(gateway),基于所述业务切面形成一个数据拦截器,利用预制的数据字典,对通过拦截器的数据,进行完整性校验,建立粗数据集(格式化数据)。即,在分析数据安全攻击时,业务切面即为有效的数据拦截器,利用预置的数据字典,对通过拦截器的数据,进行完整性校验,建立粗数据集;
所述数据字典的格式如下所示:
| 正常行为 | 误用行为 | 异常行为 | |
| 请求特征 | |||
| 请求类型 | |||
| 响应特征 | |||
| 响应类型 | |||
| 请求主体 | |||
| 响应主体 | |||
| 会话数据 | |||
| 关联会话数据 |
表1
进一步地,根据请求内容填写表1;
若请求不完整、无响应,则丢弃不分析;
若请求的数据类型不匹配,则异常;
若数据位数不匹配,则误用;
其中,误用和异常均为错误,可根据预先设置的错误类型判断错误的严重性,并进行针对性处理。例如,错误的严重性高,则停止运行且向相关人员发送告警信息等;若严重性低,则进行忽略处理。
在一些实施例中,代理模式包括程序\进程代理、接口代理和/或端口转发;
扩展模式包括中间件扩展、进程扩展和/或容器扩展;
网关模式包括应用服务前置网关、数据库前置网关和/或数据库后置网关;
其中,代理模式的切点,用于程序内置或动态接口调用,将业务功能或接口的数据交互进行拦截;
public Pointcut Proxy{void DataHook();}
public class api implements Proxy{}
public class reflect implements Proxy{}
其中,扩展模式的切点,用于将数据拦截功能封装于独立SDK,并用容器来实现功能扩展,实现业务交互数据拦截切点功能拦截。扩展模式中,实现了业务应用运行环境的编程语言的支持,后续扩展模式程序更新或库文件更新与业务解耦。同时,保证通信时延可忽略不计;
其中,网关模式的切点,用于改造或适配业务应用API接口,捕获业务交互南北向数据包,实现业务交互数据拦截切点功能拦截。网关模式中,接管了外部和内部流量,实现了全流量分析,同时结合API网关流量控制、访问控制等功能,可实现富入侵检测功能。
在一些实施例中,所述粗数据集包括源IP、源端口、目的IP、目的端口、请求字段、请求内容、请求文件、执行状态、响应内容和/或连接时间等;
进一步地,将所述粗数据集中的数据,转换为16进制的数据,例如:
3231312e33342e31302e3838a38303830a3231312e33342e31302e3838a33333636a757365726e616d65a73656c65637420757365726e616d652066726f6d207461626c655f63697068657267617465776179206f7264657220627920636f6465a7461626c655f63697068657267617465776179a74757265a63697068657267617465776179313130a3132306d73。
进一步地,部署的切点,可用于拦截sql语句操作、文件操作、请求、响应、特定账号、特殊设备的请求、所有编码形式的请求的头部以及验证账号和设备等(不拦cookie)。
需要说明的是,通常在自然科学运用遗传算法时,多采用二进制编码法,因为在多数情况下0、1可以反应事物基本特征。此种情况,在网络安全攻击检测中,亦有适用性。但是基于数据安全的攻击检测,预采集的数据量和实际问题集会引入较之前数倍的业务特征数据。在本公开中,采用16进制预处理,在编码前后,在不影响攻击特征情形下,可以提高攻击检测效率以及攻击检测性能。
S120,基于GA算法,对所述粗数据集进行安全敏感性分析,生成评价群体数据。
在一些实施例中,参考图3,通过已构建的筛选器对所述粗数据集进行筛选,生成实际问题集,其中,所述筛选器为多层级筛选器,通过关键字、正则表达式进行构建。若所述粗数据集中的数据包含某一级帅选器的内容时,则认为是可疑的,输入到所述实际问题集中;若不包含,则为正常数据。
具体的,所述筛选器可按照攻击行为的高低进行排序。一级到五级筛选器中,代表了攻击者能力,同时可以根据筛选器进行攻击行为分类。设置差异化筛选器,旨在提供不同细粒度的攻击行为甄别。在本实施例中,通常都要求每次检测,都完成轮询。尽管如此,根据业务场景和检测者需求(发现问题即审计),可以不完成全部筛选。
其中,一级筛选器,包括以下至少一个关键字(特殊字符):
`~!@#$^&*()|{}':;',\\\.<>\/?~!@#¥……&*()——|{}【】';:""'。,、?;
二级筛选器,包括以下至少一个关键字(初级命令):
and|or|exec|execute|insert|select|delete|update|alter|create|drop|count|\*|chr|char|asc|mid|substring|master|truncate|declare|xp_cmdshell|restore|backup|net+user|net+localgroup+administrators;三级筛选器(高级命令),包含非白名单访问主体身份和union,union all,inner jion,left jion,right jion,crossjoin+count(,sort(,skip(,limit(,distinct(,find(等关键字组合;四级筛选器(编码方式),可包含一级、二级、三级关键字base64、base32、UTF-8转义字符;
五级筛选器(验证正则格式,检查具体的操作),可包含一个或多个“id+password/dbs/tables/columns/db”,“D/T/B/E+--”等正则表达。
在一些实施例中,所述实际问题集的形式可如下所示:
表2
其中,表2中的角色主体,用于描述请求主体,如,源IP、源端口等;
行为内容,用于描述虚拟机名称,即进行具体操作的服务器;
行为来源,用于描述数据存储侧;
位置,用于描述请求的数据所在位置,如,某表或数据库等;
时间,用于描述请求时间;
业务,用于描述请求内容中请求的表或库,涉及的业务等。
在一些实施例中,所述问题集中的内容包括属性、取值范围、示例,其中属性至少包含源IP、源端口、目的IP、目的端口、请求字段、请求内容、请求文件、执行状态、响应内容和/或连接时间等,上述数据均采用16进制编码。
如,源IP取值范围为:0.0.0.0~255.255.255.255,典型实施例AAD03E9;
源端口取值范围为0~65535,典型实施例0DC7;
目的IP取值范围为0.0.0.0~255.255.255.255,典型实施例C0A83616;
目的端口取值范围为0~65535,典型实施例0CEA;
请求字段取值范围为ID;PASSWD;LASTLOGIN,典型实施例4944;
请求内容取值范围为vchar(200),典型实施例99and(Select password fromlogin_tablewhere user_name=`admin`)>0;
执行状态取值范围为vchar(50),典型实施例0x80040E07;
响应内容取值范围为vchar(500),典型实施例:
e5b086207661726368617220e580bc2060efbc81efbca0efbc83efbc8aefbc8661646d696e6020e8bdace68da2e4b8bae695b0e68daee7b1bbe59e8be4b8ba20696e7420e79a84e58897e697b6e58f91e7949fe8afade6b395e99499e8afafe38082200a2f746573742f73686f772e6173702c20e7acac20333220e8a18c20;
连接时间取值范围为0~9999,典型实施例008E。
需要说明的是,问题集的部分数据来源于粗数据集,粗数据集的数据在步骤S110中已进行编码,此处不需再编码,从其它渠道获取到的数据需进行编码。例如,针对由其它安全设备或专家系统导出的分析报表或安全日志,在进行如上述方式的统一编码后,实现数据快速录入。即,本公开的实施例支持多源数据录入。
在一些实施例中,如图4所示,通过适应度计算过程,进行初始化群体数据适应度调整,形成评价群体数据。满足预制条件评价群体数据进入计算终止阶段;不满足预制条件的评价群体数据,注入遗传算子,完成选择、交叉、变异中的至少一种计算,形成新一代群体,并重新进入评价群体数据,进入新一轮预置条件判断;
其中,所述选择为,按照信息对应的编码段进行处理;
所述交叉为,两个信息的编码段进行前后位置变化;
所述变异为,字符大小进行变化。
在一些实施例中,通过GA算法增加群体数据,利用二叉树对群体数据是否满足预置条件进行判断。即,判断行为是安全还是入侵。
具体地,预置条件为入侵检测初始基准。初始基准为二叉树判断,判断范围为字段取值范围和字段内容。
设初始基准为c,
if(c>=Anomaly&&c<=Misuse)
String anomaly=F_LOCATION+"/Dset_Anomaly"
String misuse=F_LOCATION+"/Dset_Misuse"
利用递归思想构建二叉树的过程,即利用多种预置条件构成二叉树,对回归树用平方误差最小化准则,对分类树用基尼指数最小化准则,用基尼指数判断是哪种可能的攻击行为,如web攻击、数据库扫描攻击等,然后进行特征选择,生成二叉树(与攻击行为对应的二叉树)。
进一步地,在判断是否符合预置条件时采用平方误差最小化准则。
对于不满足预制条件的评价群体数据,采用遗传算子选轮盘赌策略,结合数据安全入侵检测,选用低用正常值1%收敛值。
在一些实施例中,适应度计算的具体流程为:
在数据攻击检测中,结合预设的三种异常处置策略,设置三个变量,w1表示数据被丢弃的概率、w2表示数据被通过的概率、w3表示数据被审计的概率。
适应度计算过程为:fitness=w1×f1+w2×f2+w3×accuracy;
其中,所述w1、w2、w3分别为对应的权重系数,三者之和为1;
所述f1、f2为,涉及的问题集个数(数据包个数);
所述accuracy为,检测的精度,即,检测的数据包的百分比。
在本公开中,问题集个数为未进入遗传算子的评价群体数据。
S130,通过预设的置信规则,对所述评价群体数据进行安全处理。
其中,置信规则包括分类精度置信区间和/或非参数置信区间。
在一些实施例中,在置信区间以外,结合业务场景,进行自定义置信设置。如,低于10%置信度数据为正常流量;高于10%,低于95%或99.99置信度数据,则为审计数据。
在一些实施例中,若所述评价群体数据处于置信区间内,则直接执行安全处理;若所述评价群体数据处于置信区间外,则对所述评价群体数据进行多维度告警分析,生成安全告警日志;所述安全告警日志,用于安全日志统一管理以及更新置信规则;
其中,所述多维度包括时间频次、关键因子频次、主体出现次数、客体出现次数和/或违规内容碰撞次数。
具体的,对所述审计数据进行审计消息提取。其中,审计消息的模板可结合组织数据安全、网络安全管理工作进行构建。
进一步地,详细的审计字段由安全管理人员根据场景进行制定,包含审计主体、审计客体、审计规则和/或审计动作等;
生成的审计消息,经过安全通道进行转移和发送。根据业务特征,进行审计消息过滤,过滤的审计消息可结合外部审计专家系统,以提升精确度。最后,结合企业日志管理要求或平台,进行审计消息记录。
进一步地,对所述审计消息记录进行多维度分析,输入至已训练的告警模型,生成安全告警日志;所述告警模型通过机器学习的算法进行训练。
进一步地,在数据训练中对比置信区间偏离,用安全告警数据进行二次或多次新数据生成,然后经过GA算法判断置信区间偏离分析,将已优化后的规则,再次注入预置的GA算法规则,完成对入侵检测预置规则的更新迭代。
根据本公开的实施例,实现了以下技术效果:
参考图5,本公开的基于GA算法的数据安全入侵检测方法,通过切面技术,进行业务数据捕获,建立业务切面数据格式化(粗数据集),提高了业务上下文访问数据识别精度;基于GA算法对格式化后的切面数据进行数据安全敏感性分析,提升了安全规则精确性,降低了误报率;按照预设的置信规则,执行安全处理,即根据置信分析策略,进行阻断、审计、执行,使得业务可用性、可靠性得到了保证。
需要说明的是,对于前述的各方法实施例,为了简单描述,故将其都表述为一系列的动作组合,但是本领域技术人员应该知悉,本公开并不受所描述的动作顺序的限制,因为依据本公开,某些步骤可以采用其他顺序或者同时进行。其次,本领域技术人员也应该知悉,说明书中所描述的实施例均属于可选实施例,所涉及的动作和模块并不一定是本公开所必须的。
以上是关于方法实施例的介绍,以下通过装置实施例,对本公开所述方案进行进一步说明。
图6示出了根据本公开的实施例的基于GA算法的数据安全入侵检测装置600的方框图。如图6所示,装置600包括:
获取模块610,用于获取业务数据,建立粗数据集;
分析模块620,用于基于GA算法,对所述粗数据集进行安全敏感性分析,生成评价群体数据;
处理模块630,用于通过预设的置信规则,对所述评价群体数据进行安全处理。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,所述描述的模块的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
图7示出了可以用来实施本公开的实施例的电子设备700的示意性框图。设备700可以用于实现图1的消息系统104和消息到达率确定系统106中的至少一个。如图所示,设备700包括中央处理单元(CPU)701,其可以根据存储在只读存储器(ROM)702中的计算机程序指令或者从存储单元708加载到随机访问存储器(RAM)703中的计算机程序指令,来执行各种适当的动作和处理。在RAM 703中,还可以存储设备700操作所需的各种程序和数据。CPU701、ROM 702以及RAM 703通过总线704彼此相连。输入/输出(I/O)接口705也连接至总线704。
设备700中的多个部件连接至I/O接口705,包括:输入单元706,例如键盘、鼠标等;输出单元707,例如各种类型的显示器、扬声器等;存储单元708,例如磁盘、光盘等;以及通信单元709,例如网卡、调制解调器、无线通信收发机等。通信单元709允许设备700通过诸如因特网的计算机网络和/或各种电信网络与其他设备交换信息/数据。
处理单元701执行上文所描述的各个方法和处理,例如方法100。例如,在一些实施例中,方法100可被实现为计算机软件程序,其被有形地包含于机器可读介质,例如存储单元708。在一些实施例中,计算机程序的部分或者全部可以经由ROM 702和/或通信单元709而被载入和/或安装到设备700上。当计算机程序加载到RAM 703并由CPU 701执行时,可以执行上文描述的方法100的一个或多个步骤。备选地,在其他实施例中,CPU 701可以通过其他任何适当的方式(例如,借助于固件)而被配置为执行方法100。
本文中以上描述的功能可以至少部分地由一个或多个硬件逻辑部件来执行。例如,非限制性地,可以使用的示范类型的硬件逻辑部件包括:场可编程门阵列(FPGA)、专用集成电路(ASIC)、专用标准产品(ASSP)、芯片上系统的系统(SOC)、负载可编程逻辑设备(CPLD)等等。
用于实施本公开的方法的程序代码可以采用一个或多个编程语言的任何组合来编写。这些程序代码可以提供给通用计算机、专用计算机或其他可编程数据处理装置的处理器或控制器,使得程序代码当由处理器或控制器执行时使流程图和/或框图中所规定的功能/操作被实施。程序代码可以完全在机器上执行、部分地在机器上执行,作为独立软件包部分地在机器上执行且部分地在远程机器上执行或完全在远程机器或服务器上执行。
在本公开的上下文中,机器可读介质可以是有形的介质,其可以包含或存储以供指令执行系统、装置或设备使用或与指令执行系统、装置或设备结合地使用的程序。机器可读介质可以是机器可读信号介质或机器可读储存介质。机器可读介质可以包括但不限于电子的、磁性的、光学的、电磁的、红外的、或半导体系统、装置或设备,或者上述内容的任何合适组合。机器可读存储介质的更具体示例会包括基于一个或多个线的电气连接、便携式计算机盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦除可编程只读存储器(EPROM或快闪存储器)、光纤、便捷式紧凑盘只读存储器(CD-ROM)、光学储存设备、磁储存设备、或上述内容的任何合适组合。
以上描述仅为本申请的较佳实施例以及对所运用技术原理的说明。本领域技术人员应当理解,本申请中所涉及的申请范围,并不限于上述技术特征的特定组合而成的技术方案,同时也应涵盖在不脱离前述申请构思的情况下,由上述技术特征或其等同特征进行任意组合而形成的其它技术方案。例如上述特征与本申请中申请的(但不限于)具有类似功能的技术特征进行互相替换而形成的技术方案。
Claims (10)
1.一种基于GA算法的数据安全入侵检测方法,其特征在于,包括:
获取业务数据,建立粗数据集;
基于GA算法,对所述粗数据集进行安全敏感性分析,生成评价群体数据;
通过预设的置信规则,对所述评价群体数据进行安全处理。
2.根据权利要求1所述的方法,其特征在于,所述获取业务数据,建立粗数据集包括:
通过切面技术,解析业务应用架构,部署拦截业务数据上下文的切点;
将所有的切点进行整合,构建一个完整的业务切面;
基于所述业务切面,通过预置的数据字典对业务数据进行处理,建立粗数据集。
3.根据权利要求2所述的方法,其特征在于,所述基于GA算法,对所述粗数据集进行安全敏感性分析,生成评价群体数据包括:
通过已构建的筛选器对所述粗数据集进行筛选,生成实际问题集;
通过参数编码的方法对所述实际问题集进行特征提取,生成初始化群体;
对所述初始化群体进行群体数据演化,进行初始化群体数据适应度调整,生成评价群体数据。
4.根据权利要求3所述的方法,其特征在于,
所述筛选器为多层级筛选器,通过关键字、正则表达式进行构建。
5.根据权利要求4所述的方法,其特征在于,所述置信规则包括分类精度置信区间和/或非参数置信区间。
6.根据权利要求5所述的方法,其特征在于,所述通过预设的置信规则,对所述评价群体数据进行安全处理包括:
若所述评价群体数据处于置信区间内,则直接执行安全处理;
若所述评价群体数据处于置信区间外,则对所述评价群体数据进行多维度告警分析,生成安全告警日志;所述安全告警日志,用于安全日志统一管理以及更新置信规则;
其中,所述多维度包括时间频次、关键因子频次、主体出现次数、客体出现次数和/或违规内容碰撞次数。
7.根据权利要求6所述的方法,其特征在于,所述粗数据集包括源IP、源端口、目的IP、目的端口、请求字段、请求内容、请求文件、执行状态、响应内容和/或连接时间。
8.一种基于GA算法的数据安全入侵检测装置,其特征在于,包括:
获取模块,用于获取业务数据,建立粗数据集;
分析模块,用于基于GA算法,对所述粗数据集进行安全敏感性分析,生成评价群体数据;
处理模块,用于通过预设的置信规则,对所述评价群体数据进行安全处理。
9.一种电子设备,包括存储器和处理器,所述存储器上存储有计算机程序,其特征在于,所述处理器执行所述程序时实现如权利要求1~7中任一项所述的方法。
10.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述程序被处理器执行时实现如权利要求1~7中任一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210764104.4A CN115174193B (zh) | 2022-06-30 | 2022-06-30 | 基于ga算法的数据安全入侵检测方法、装置及设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210764104.4A CN115174193B (zh) | 2022-06-30 | 2022-06-30 | 基于ga算法的数据安全入侵检测方法、装置及设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN115174193A true CN115174193A (zh) | 2022-10-11 |
| CN115174193B CN115174193B (zh) | 2023-08-15 |
Family
ID=83489425
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210764104.4A Active CN115174193B (zh) | 2022-06-30 | 2022-06-30 | 基于ga算法的数据安全入侵检测方法、装置及设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN115174193B (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115357940A (zh) * | 2022-10-19 | 2022-11-18 | 支付宝(杭州)信息技术有限公司 | 一种数据处理的方法、装置、存储介质及电子设备 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2014060964A2 (pt) * | 2012-10-17 | 2014-04-24 | Inov Inesc Inovação - Instituto De Novas Tecnologias | Método e sistema de deteção de intrusões em redes e sistemas com base na especificação de processos de negócio |
| CN104753952A (zh) * | 2015-04-13 | 2015-07-01 | 成都双奥阳科技有限公司 | 基于虚拟机业务数据流的入侵检测分析系统 |
| CN109143848A (zh) * | 2017-06-27 | 2019-01-04 | 中国科学院沈阳自动化研究所 | 基于fcm-gasvm的工业控制系统入侵检测方法 |
| CN111027697A (zh) * | 2019-12-08 | 2020-04-17 | 贵州大学 | 一种遗传算法包裹式特征选择电网入侵检测方法 |
-
2022
- 2022-06-30 CN CN202210764104.4A patent/CN115174193B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2014060964A2 (pt) * | 2012-10-17 | 2014-04-24 | Inov Inesc Inovação - Instituto De Novas Tecnologias | Método e sistema de deteção de intrusões em redes e sistemas com base na especificação de processos de negócio |
| CN104753952A (zh) * | 2015-04-13 | 2015-07-01 | 成都双奥阳科技有限公司 | 基于虚拟机业务数据流的入侵检测分析系统 |
| CN109143848A (zh) * | 2017-06-27 | 2019-01-04 | 中国科学院沈阳自动化研究所 | 基于fcm-gasvm的工业控制系统入侵检测方法 |
| CN111027697A (zh) * | 2019-12-08 | 2020-04-17 | 贵州大学 | 一种遗传算法包裹式特征选择电网入侵检测方法 |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115357940A (zh) * | 2022-10-19 | 2022-11-18 | 支付宝(杭州)信息技术有限公司 | 一种数据处理的方法、装置、存储介质及电子设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN115174193B (zh) | 2023-08-15 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| WO2021017614A1 (zh) | 威胁情报数据采集处理方法、系统、装置及存储介质 | |
| CN106936812B (zh) | 一种云环境下基于Petri网的文件隐私泄露检测方法 | |
| CN111898647A (zh) | 一种基于聚类分析的低压配电设备误告警识别方法 | |
| CN117544420B (zh) | 一种基于数据分析的融合系统安全管理方法及系统 | |
| CN113904881A (zh) | 一种入侵检测规则误报处理方法和装置 | |
| CN113709170A (zh) | 资产安全运营系统、方法和装置 | |
| KR102592868B1 (ko) | 조직에 대한 사이버 보안 위협을 분석하기 위한 방법 및 전자 장치 | |
| CN117931953B (zh) | 一种异构数据库数据同步的方法及系统 | |
| CN115982012A (zh) | 一种接口管理能力成熟度的评估模型及方法 | |
| CN115174193B (zh) | 基于ga算法的数据安全入侵检测方法、装置及设备 | |
| CN115987544A (zh) | 一种基于威胁情报的网络安全威胁预测方法及系统 | |
| CN114785710A (zh) | 一种工业互联网标识解析二级节点服务能力的评估方法及系统 | |
| CN117056172B (zh) | 一种用于系统集成中台的数据集成方法及系统 | |
| CN115730320A (zh) | 一种安全级别确定方法、装置、设备及存储介质 | |
| RU180789U1 (ru) | Устройство аудита информационной безопасности в автоматизированных системах | |
| CN111709021B (zh) | 一种基于海量告警的攻击事件识别方法及电子装置 | |
| CN117749499A (zh) | 一种网络信息系统场景下的恶意加密流量检测方法及系统 | |
| CN116980159A (zh) | 异常行为检测方法、装置、电子设备及存储介质 | |
| CN117395015A (zh) | Iptv系统的安全风险评估方法 | |
| Miller et al. | Verification of Cloud Security Policies | |
| CN113726810A (zh) | 入侵检测系统 | |
| CN113032774A (zh) | 异常检测模型的训练方法、装置、设备及计算机存储介质 | |
| CN114679386B (zh) | 云边协同的物联网设备角色判定与管理方法、系统及装置 | |
| Kosmacheva et al. | Predicting of cyber attacks on critical information infrastructure | |
| CN114531307B (zh) | 主动防御网关的api模型构建与防御方法及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20240229 Address after: 100089, 5th Floor, Building 7, Courtyard A2, West Third Ring North Road, Haidian District, Beijing Patentee after: Zhongguancun Technology Leasing Co.,Ltd. Country or region after: China Address before: Room 0710-1, 7th Floor, Building 32, North Third Ring West Road, Haidian District, Beijing 100089 Patentee before: BEIJING LIANSHI NETWORKS TECHNOLOGY CO.,LTD. Country or region before: China |
|
| TR01 | Transfer of patent right |