CN116488937A - 基于智能白名单验证的访问安全控制方法和系统 - Google Patents
基于智能白名单验证的访问安全控制方法和系统 Download PDFInfo
- Publication number
- CN116488937A CN116488937A CN202310649420.1A CN202310649420A CN116488937A CN 116488937 A CN116488937 A CN 116488937A CN 202310649420 A CN202310649420 A CN 202310649420A CN 116488937 A CN116488937 A CN 116488937A
- Authority
- CN
- China
- Prior art keywords
- data
- malicious
- access data
- access
- normal
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000012795 verification Methods 0.000 title claims abstract description 65
- 238000000034 method Methods 0.000 title claims abstract description 62
- 238000009826 distribution Methods 0.000 claims description 109
- 230000006870 function Effects 0.000 claims description 59
- 238000012549 training Methods 0.000 claims description 43
- 238000012545 processing Methods 0.000 claims description 35
- 238000003860 storage Methods 0.000 claims description 27
- 238000004590 computer program Methods 0.000 claims description 15
- 230000009471 action Effects 0.000 claims description 13
- 230000002159 abnormal effect Effects 0.000 claims description 12
- 238000013135 deep learning Methods 0.000 claims description 7
- 238000003062 neural network model Methods 0.000 claims description 7
- 238000002360 preparation method Methods 0.000 claims description 5
- 238000010586 diagram Methods 0.000 description 16
- 230000008569 process Effects 0.000 description 11
- 238000004891 communication Methods 0.000 description 10
- 239000004973 liquid crystal related substance Substances 0.000 description 9
- 238000005516 engineering process Methods 0.000 description 5
- 230000003287 optical effect Effects 0.000 description 5
- 238000013459 approach Methods 0.000 description 4
- 230000005540 biological transmission Effects 0.000 description 4
- 238000012217 deletion Methods 0.000 description 4
- 230000037430 deletion Effects 0.000 description 4
- 238000007726 management method Methods 0.000 description 4
- 230000005236 sound signal Effects 0.000 description 4
- 238000003491 array Methods 0.000 description 3
- 230000008859 change Effects 0.000 description 3
- 230000001133 acceleration Effects 0.000 description 2
- 238000000605 extraction Methods 0.000 description 2
- 239000000835 fiber Substances 0.000 description 2
- 230000003993 interaction Effects 0.000 description 2
- 238000013507 mapping Methods 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 230000001902 propagating effect Effects 0.000 description 2
- 230000004044 response Effects 0.000 description 2
- 230000003068 static effect Effects 0.000 description 2
- 238000012360 testing method Methods 0.000 description 2
- RYGMFSIKBFXOCR-UHFFFAOYSA-N Copper Chemical compound [Cu] RYGMFSIKBFXOCR-UHFFFAOYSA-N 0.000 description 1
- 238000007792 addition Methods 0.000 description 1
- 229910052802 copper Inorganic materials 0.000 description 1
- 239000010949 copper Substances 0.000 description 1
- 230000001419 dependent effect Effects 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000002474 experimental method Methods 0.000 description 1
- 238000003384 imaging method Methods 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 230000002093 peripheral effect Effects 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 239000013598 vector Substances 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/04—Architecture, e.g. interconnection topology
- G06N3/045—Combinations of networks
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/08—Learning methods
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/40—Network security protocols
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Artificial Intelligence (AREA)
- Evolutionary Computation (AREA)
- Health & Medical Sciences (AREA)
- Biomedical Technology (AREA)
- Biophysics (AREA)
- Computational Linguistics (AREA)
- Data Mining & Analysis (AREA)
- Life Sciences & Earth Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Molecular Biology (AREA)
- General Physics & Mathematics (AREA)
- Mathematical Physics (AREA)
- Software Systems (AREA)
- Computer Hardware Design (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本公开涉及一种基于智能白名单验证的访问安全控制方法和系统,属于计算机技术领域。所述方法包括:在预设时间段内接收网络访问数据;通过访问结果划分网络访问数据;通过网络安全控制模型,获取第一正常数据特征、第一恶意数据特征、第二正常数据特征和第二恶意数据特征;根据第一正常数据特征、第一恶意数据特征、第二正常数据特征和第二恶意数据特征,获得下一状态的白名单条件;根据第一正常数据特征、第一恶意数据特征、第二正常数据特征、第二恶意数据特征和访问结果,获得下一状态的网络安全控制模型;使用下一状态的白名单条件对下一时间段内的网络访问数据进行安全验证。根据本发明,能够自动更新白名单条件,提升安全性。
Description
技术领域
本公开涉及计算机技术领域,尤其涉及一种基于智能白名单验证的访问安全控制方法和系统。
背景技术
白名单验证是安全技术领域应用很广泛的方法,但由于近年来互联网突飞猛进的发展,相关技术中的白名单方法难以应付日益增长的恶意互联网访问。白名单通常可记录允许直接访问的网络访问数据的某些条件,例如,网络访问数据的来源、用途等,符合这些条件的网络访问数据则可直接允许访问。但随着网络访问数据的不断变化,符合这些特征的网络访问数据也未必完全是正常访问数据,例如,可能存在一些恶意访问者仿照上述条件生成恶意数据,而恶意数据符合上述条件,可被直接允许访问,从而可能造成安全隐患。因此,相关技术中的白名单验证方法难以适应不断变化的网络访问数据,版本较为陈旧的白名单可能造成安全隐患,且白名单记录的条件通常无法自动更新,可能给予恶意访问者获得这些条件的机会,从而造成安全隐患。
公开于本申请背景技术部分的信息仅旨在加深对本申请的一般背景技术的理解,而不应当被视为承认或以任何形式暗示该信息构成已为本领域技术人员所公知的现有技术。
发明内容
本公开提出了一种基于智能白名单验证的访问安全控制方法和系统,能够自动更新白名单条件,提升安全性。
根据本公开的一方面,提供了一种基于智能白名单验证的访问安全控制方法,包括:
在预设时间段内,接收多个网络访问数据,其中,所述多个网络访问数据包括符合当前状态的白名单条件的第一访问数据,和不符合当前状态的白名单条件的第二访问数据;
通过所述网络访问数据的访问结果,将所述第一访问数据划分为第一正常访问数据和第一恶意访问数据,并将所述第二访问数据划分为第二正常访问数据和第二恶意访问数据,其中,在第一访问数据的访问结果中,未进行过非正常处理的第一访问数据为第一正常访问数据,进行过非正常处理的第一访问数据为第一恶意访问数据,在第二访问数据的访问结果中,通过安全验证的第二访问数据为第二正常访问数据,未通过安全验证的第二访问数据为第二恶意访问数据;
通过当前状态的网络安全控制模型,获取所述第一正常访问数据的第一正常数据特征,所述第一恶意访问数据的第一恶意数据特征,所述第二正常访问数据的第二正常数据特征和所述第二恶意访问数据的第二恶意数据特征,所述网络安全控制模型用于提取访问数据的数据特征,并基于数据特征确定访问数据是否为恶意访问数据,所述网络安全控制模型为深度学习神经网络模型;
根据所述第一正常数据特征、所述第一恶意数据特征、所述第二正常数据特征和所述第二恶意数据特征,对所述当前状态的白名单条件进行调整,获得下一状态的白名单条件;
根据所述第一正常数据特征、所述第一恶意数据特征、所述第二正常数据特征、所述第二恶意数据特征和所述网络访问数据的访问结果,对所述当前状态的网络安全控制模型进行训练,获得下一状态的网络安全控制模型;
使用所述下一状态的白名单条件对下一时间段内接收的网络访问数据进行安全验证,其中,所述下一时间段的长度等于所述预设时间段。
在一种可能的实现方式中,根据所述第一正常数据特征、所述第一恶意数据特征、所述第二正常数据特征和所述第二恶意数据特征,对所述当前状态的白名单条件进行调整,获得下一状态的白名单条件,包括:
根据所述第一恶意数据特征和所述第二恶意数据特征,对所述第一恶意访问数据和所述第二恶意访问数据中的字段进行统计,获得候选恶意字段,该步骤包括获取第一恶意数据特征和第二恶意数据特征中各种特征信息,并确定各种特征信息对应的第一恶意访问数据和第二恶意访问数据中的多种字段,进而将所述第一恶意访问数据和第二恶意访问数据中的多种字段确定为所述候选恶意字段,其中,所述特征信息包括第一恶意数据特征和第二恶意数据特征中的各种元素组,所述第一恶意访问数据和第二恶意访问数据中的多种字段分别对应于所述各种元素组;
根据所述第一正常数据特征和所述第二正常数据特征,对所述第一正常访问数据和所述第二正常访问数据中的字段进行统计,获得候选正常字段;
根据所述候选恶意字段,确定所述当前状态的白名单条件中的待删除条件;
根据所述候选恶意字段和所述候选正常字段,确定所述当前状态的白名单条件中的待新增条件;
根据所述当前状态的白名单条件、所述待删除条件和所述待新增条件,获得所述下一状态的白名单条件。
在一种可能的实现方式中,根据所述候选恶意字段,确定所述当前状态的白名单条件中的待删除条件,包括:
根据公式,获得第一条件/>,其中,/>为所述候选恶意字段中,对应于所述第一恶意数据特征和所述第二恶意数据特征中的第k组元素的第i个字段出现的次数,I为所述候选恶意字段中,对应于所述第k组元素的字段的种类数量,n为第一恶意访问数据和第二恶意访问数据的总数,/>为预设的第一阈值,其中,第一恶意访问数据和第二恶意访问数据中用于描述操作或动作的字段与第一恶意数据特征和第二恶意数据特征中的元素组对应,将对应于第一恶意访问数据和第二恶意访问数据中不同字段的元素组进行排列,其中第k个元素组为所述第k组元素;
将所述候选恶意字段中,符合所述第一条件的字段,确定为待删除字段;
将所述当前状态的白名单条件中,包括所述待删除字段的条件,确定为所述待删除条件。
在一种可能的实现方式中,根据所述候选恶意字段和所述候选正常字段,确定所述当前状态的白名单条件中的待新增条件,包括:
根据公式
获得第二条件,第三条件/>和第四条件/>,其中,/>候选正常字段中的基于所述第二正常访问数据统计的字段中,对应于第一正常数据特征和第二正常数据特征中第t组元素的第j个字段出现的次数,m为第二正常访问数据的数量,J为基于所述第二正常访问数据中的字段进行统计获得的字段中,对应于所述第t组元素的字段的种类数量,m为第二正常访问数据的总数,/>为候选恶意字段的集合,/>为第二正常数据特征中第t组元素,/>为候选恶意字段对应于第一恶意数据特征和所述第二恶意数据特征中的元素的集合,/>为预设的第二阈值;
将所述候选正常字段中的基于所述第二正常访问数据中的字段进行统计获得的字段中,符合所述第二条件、所述第三条件和所述第四条件的字段,确定为待新增字段;
根据所述待新增字段,生成所述待新增条件。
在一种可能的实现方式中,根据所述第一正常数据特征、所述第一恶意数据特征、所述第二正常数据特征、所述第二恶意数据特征和所述网络访问数据的访问结果,对所述当前状态的网络安全控制模型进行训练,获得下一状态的网络安全控制模型,包括:
对所述第一正常数据特征、所述第一恶意数据特征、所述第二正常数据特征和所述第二恶意数据特征进行解码,获得所述第一正常数据特征对应的第一预测概率分布、所述第一恶意数据特征对应的第二预测概率分布、所述第二正常数据特征对应的第三预测概率分布和所述第二恶意数据特征对应的第四预测概率分布;
根据所述第一预测概率分布、所述第二预测概率分布、所述第三预测概率分布、所述第四预测概率分布和所述访问结果,确定所述当前状态的网络安全控制模型的损失函数;
根据所述损失函数对所述当前状态的网络安全控制模型进行训练,获得所述下一状态的网络安全控制模型。
在一种可能的实现方式中,根据所述第一预测概率分布、所述第二预测概率分布、所述第三预测概率分布、所述第四预测概率分布和所述访问结果,确定所述当前状态的网络安全控制模型的损失函数,包括:
根据公式
确定所述损失函数L,其中,为第r个第一预测概率分布,/>为基于第r个第一正常访问数据的访问结果确定的参考概率分布,/>为第一正常访问数据的数量,,且r和/>为正整数,/>为第s个第二预测概率分布,/>基于第s个第一恶意访问数据的访问结果确定的参考概率分布,/>为第一恶意访问数据的数量,/>,且s和/>为正整数,/>为第x个第三预测概率分布,/>为基于第x个第二正常访问数据的访问结果确定的参考概率分布,/>为第二正常访问数据的数量,/>,且x和/>为正整数,/>为第y个第四预测概率分布,/>为基于第y个第二恶意访问数据的访问结果确定的参考概率分布,/>为第二恶意访问数据的数量,/>,且y和/>为正整数,和/>为权重系数。
在一种可能的实现方式中,所述权重系数根据公式
来确定,其中,为预设概率阈值;
所述权重系数根据公式
来确定;
所述权重系数根据公式
来确定;
所述权重系数根据公式
来确定。
根据本公开的一方面,提供了一种基于智能白名单验证的访问安全控制装置,
所述装置包括:
接收模块,用于在预设时间段内,接收多个网络访问数据,其中,所述多个网络访问数据包括符合当前状态的白名单条件的第一访问数据,和不符合当前状态的白名单条件的第二访问数据;
划分模块,通过所述网络访问数据的访问结果,将所述第一访问数据划分为第一正常访问数据和第一恶意访问数据,并将所述第二访问数据划分为第二正常访问数据和第二恶意访问数据,其中,在第一访问数据的访问结果中,未进行过非正常处理的第一访问数据为第一正常访问数据,进行过非正常处理的第一访问数据为第一恶意访问数据,在第二访问数据的访问结果中,通过安全验证的第二访问数据为第二正常访问数据,未通过安全验证的第二访问数据为第二恶意访问数据;
特征获取模块,用于通过当前状态的网络安全控制模型,获取所述第一正常访问数据的第一正常数据特征,所述第一恶意访问数据的第一恶意数据特征,所述第二正常访问数据的第二正常数据特征和所述第二恶意访问数据的第二恶意数据特征,所述网络安全控制模型用于提取访问数据的数据特征,并基于数据特征确定访问数据是否为恶意访问数据,所述网络安全控制模型为深度学习神经网络模型;
白名单调整模块,用于根据所述第一正常数据特征、所述第一恶意数据特征、所述第二正常数据特征和所述第二恶意数据特征,对所述当前状态的白名单条件进行调整,获得下一状态的白名单条件;
训练模块,用于根据所述第一正常数据特征、所述第一恶意数据特征、所述第二正常数据特征、所述第二恶意数据特征和所述网络访问数据的访问结果,对所述当前状态的网络安全控制模型进行训练,获得下一状态的网络安全控制模型;
验证模块,用于使用所述下一状态的白名单条件对下一时间段内接收的网络访问数据进行安全验证,其中,所述下一时间段的长度等于所述预设时间段。
在一种可能的实现方式中,所述白名单调整模块进一步用于:
根据所述第一恶意数据特征和所述第二恶意数据特征,对所述第一恶意访问数据和所述第二恶意访问数据中的字段进行统计,获得候选恶意字段,该步骤包括获取第一恶意数据特征和第二恶意数据特征中各种特征信息,并确定各种特征信息对应的第一恶意访问数据和第二恶意访问数据中的多种字段,进而将所述第一恶意访问数据和第二恶意访问数据中的多种字段确定为所述候选恶意字段,其中,所述特征信息包括第一恶意数据特征和第二恶意数据特征中的各种元素组,所述第一恶意访问数据和第二恶意访问数据中的多种字段分别对应于所述各种元素组;
根据所述第一正常数据特征和所述第二正常数据特征,对所述第一正常访问数据和所述第二正常访问数据中的字段进行统计,获得候选正常字段;
根据所述候选恶意字段,确定所述当前状态的白名单条件中的待删除条件;
根据所述候选恶意字段和所述候选正常字段,确定所述当前状态的白名单条件中的待新增条件;
根据所述当前状态的白名单条件、所述待删除条件和所述待新增条件,获得所述下一状态的白名单条件。
在一种可能的实现方式中,所述白名单调整模块进一步用于:
根据公式,获得第一条件/>,其中,/>为所述候选恶意字段中,对应于所述第一恶意数据特征和所述第二恶意数据特征中的第k组元素的第i个字段出现的次数,I为所述候选恶意字段中,对应于所述第k组元素的字段的种类数量,n为第一恶意访问数据和第二恶意访问数据的总数,/>为预设的第一阈值,其中,第一恶意访问数据和第二恶意访问数据中用于描述操作或动作的字段与第一恶意数据特征和第二恶意数据特征中的元素组对应,将对应于第一恶意访问数据和第二恶意访问数据中不同字段的元素组进行排列,其中第k个元素组为所述第k组元素;
将所述候选恶意字段中,符合所述第一条件的字段,确定为待删除字段;
将所述当前状态的白名单条件中,包括所述待删除字段的条件,确定为所述待删除条件。
在一种可能的实现方式中,所述白名单调整模块进一步用于:
根据公式
获得第二条件,第三条件/>和第四条件/>,其中,/>候选正常字段中的基于所述第二正常访问数据统计的字段中,对应于第一正常数据特征和第二正常数据特征中第t组元素的第j个字段出现的次数,m为第二正常访问数据的数量,J为基于所述第二正常访问数据中的字段进行统计获得的字段中,对应于所述第t组元素的字段的种类数量,m为第二正常访问数据的总数,/>为候选恶意字段的集合,/>为第二正常数据特征中第t组元素,/>为候选恶意字段对应于第一恶意数据特征和所述第二恶意数据特征中的元素的集合,/>为预设的第二阈值;
将所述候选正常字段中的基于所述第二正常访问数据中的字段进行统计获得的字段中,符合所述第二条件、所述第三条件和所述第四条件的字段,确定为待新增字段;
根据所述待新增字段,生成所述待新增条件。
在一种可能的实现方式中,所述训练模块进一步用于:
对所述第一正常数据特征、所述第一恶意数据特征、所述第二正常数据特征和所述第二恶意数据特征进行解码,获得所述第一正常数据特征对应的第一预测概率分布、所述第一恶意数据特征对应的第二预测概率分布、所述第二正常数据特征对应的第三预测概率分布和所述第二恶意数据特征对应的第四预测概率分布;
根据所述第一预测概率分布、所述第二预测概率分布、所述第三预测概率分布、所述第四预测概率分布和所述访问结果,确定所述当前状态的网络安全控制模型的损失函数;
根据所述损失函数对所述当前状态的网络安全控制模型进行训练,获得所述下一状态的网络安全控制模型。
在一种可能的实现方式中,所述训练模块进一步用于:
根据公式
确定所述损失函数L,其中,为第r个第一预测概率分布,/>为基于第r个第一正常访问数据的访问结果确定的参考概率分布,/>为第一正常访问数据的数量,,且r和/>为正整数,/>为第s个第二预测概率分布,/>基于第s个第一恶意访问数据的访问结果确定的参考概率分布,/>为第一恶意访问数据的数量,/>,且s和/>为正整数,/>为第x个第三预测概率分布,/>为基于第x个第二正常访问数据的访问结果确定的参考概率分布,/>为第二正常访问数据的数量,/>,且x和/>为正整数,/>为第y个第四预测概率分布,/>为基于第y个第二恶意访问数据的访问结果确定的参考概率分布,/>为第二恶意访问数据的数量,/>,且y和/>为正整数,和/>为权重系数。
在一种可能的实现方式中,所述训练模块进一步用于:
所述权重系数根据公式
来确定,其中,为预设概率阈值;
所述权重系数根据公式
来确定;
所述权重系数根据公式
来确定;
所述权重系数根据公式
来确定。
根据本公开的一方面,提供了一种基于智能白名单验证的访问安全控制设备,包括:处理器;用于存储处理器可执行指令的存储器;其中,所述处理器被配置为调用所述存储器存储的指令,以执行上述方法。
根据本公开的一方面,提供了一种计算机可读存储介质,其上存储有计算机程序指令,所述计算机程序指令被处理器执行时实现上述方法。
根据本公开的实施例的基于智能白名单验证的访问安全控制方法,可基于在预设时间段内接收的网络访问数据的访问结果,以及网络安全控制模型获得的网络访问数据的数据特征,对白名单条件进行调整,将不再安全的白名单条件剔除,提升白名单的严格性和安全性,并在保障网络安全的基础上,新增安全的白名单条件,提升安全的网络访问数据的访问效率,从而使白名单条件不断更新,适应不断变化的网络访问数据,且白名单条件不断更新,减少恶意访问者获得白名单条件的机会,减少安全隐患,并且,还可不断更新训练网络安全控制模型,且针对不同的情况设置损失函数各项的权重系数,提升训练的针对性和训练效率,提升数据特征的准确性,并提升白名单条件的准确性,从而提升网络安全性。
应当理解的是,以上的一般描述和后文的细节描述仅是示例性和解释性的,而非限制本公开。根据下面参考附图对示例性实施例的详细说明,本公开的其它特征及方面将更清楚。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的实施例,
图1示出根据本公开实施例的基于智能白名单验证的访问安全控制方法的流程图;
图2示出根据本公开实施例的基于智能白名单验证的访问安全控制装置的框图;
图3示出根据本公开实施例的一种基于智能白名单验证的访问安全控制设备的框图;
图4示出根据本公开实施例的一种基于智能白名单验证的访问安全控制设备的框图。
具体实施方式
为使本公开实施例的目的、技术方案和优点更加清楚,下面将结合本公开实施例中的附图,对本公开实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本公开一部分实施例,而不是全部的实施例。基于本公开中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本公开保护的范围。
本公开的说明书和权利要求书及上述附图中的术语“第一”、“第二”、“第三”“第四”等(如果存在)是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本公开的实施例能够以除了在这里图示或描述的那些以外的顺序实施。
应当理解,在本公开的各种实施例中,各过程的序号的大小并不意味着执行顺序的先后,各过程的执行顺序应以其功能和内在逻辑确定,而不应对本公开实施例的实施过程构成任何限定。
应当理解,在本公开中,“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
应当理解,在本公开中,“多个”是指两个或两个以上。“和/或”仅仅是一种描述关联对象的关联关系,表示可以存在三种关系,例如,和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。字符“/”一般表示前后关联对象是一种“或”的关系。“包含A、B和C”、“包含A、B、C”是指A、B、C三者都包含,“包含A、B或C”是指包含A、B、C三者之一,“包含A、B和/或C”是指包含A、B、C三者中任1个或任2个或3个。
应当理解,在本公开中,“与A对应的B”、“与A相对应的B”、“A与B相对应”或者“B与A相对应”,表示B与A相关联,根据A可以确定B。根据A确定B并不意味着仅仅根据A确定B,还可以根据A和/或其他信息确定B。A与B的匹配,是A与B的相似度大于或等于预设的阈值。
取决于语境,如在此所使用的“若”可以被解释成为“在……时”或“当……时”或“响应于确定”或“响应于检测”。
下面以具体地实施例对本公开的技术方案进行详细说明。下面这几个具体的实施例可以相互结合,对于相同或相似的概念或过程可能在某些实施例不再赘述。
图1示出根据本公开实施例的基于智能白名单验证的访问安全控制方法的流程图,如图1所示,所述方法可包括:
步骤S11,在预设时间段内,接收多个网络访问数据,其中,所述多个网络访问数据包括符合当前状态的白名单条件的第一访问数据,和不符合当前状态的白名单条件的第二访问数据,其中,在第一访问数据的访问结果中,未进行过非正常处理的第一访问数据为第一正常访问数据,进行过非正常处理的第一访问数据为第一恶意访问数据,在第二访问数据的访问结果中,通过安全验证的第二访问数据为第二正常访问数据,未通过安全验证的第二访问数据为第二恶意访问数据;
步骤S12,通过所述网络访问数据的访问结果,将所述第一访问数据划分为第一正常访问数据和第一恶意访问数据,并将所述第二访问数据划分为第二正常访问数据和第二恶意访问数据,所述网络安全控制模型用于提取访问数据的数据特征,并基于数据特征确定访问数据是否为恶意访问数据,所述网络安全控制模型为深度学习神经网络模型;
步骤S13,通过当前状态的网络安全控制模型,获取所述第一正常访问数据的第一正常数据特征,所述第一恶意访问数据的第一恶意数据特征,所述第二正常访问数据的第二正常数据特征和所述第二恶意访问数据的第二恶意数据特征;
步骤S14,根据所述第一正常数据特征、所述第一恶意数据特征、所述第二正常数据特征和所述第二恶意数据特征,对所述当前状态的白名单条件进行调整,获得下一状态的白名单条件;
步骤S15,根据所述第一正常数据特征、所述第一恶意数据特征、所述第二正常数据特征、所述第二恶意数据特征和所述网络访问数据的访问结果,对所述当前状态的网络安全控制模型进行训练,获得下一状态的网络安全控制模型;
步骤S16,使用所述下一状态的白名单条件对下一时间段内接收的网络访问数据进行安全验证,其中,所述下一时间段的长度等于所述预设时间段。
根据本公开的实施例的基于智能白名单验证的访问安全控制方法,可基于在预设时间段内接收的网络访问数据的访问结果,以及网络安全控制模型获得的网络访问数据的数据特征,对白名单条件进行调整,从而使白名单条件不断更新,适应不断变化的网络访问数据,且白名单条件不断更新,减少恶意访问者获得白名单条件的机会,减少安全隐患,并且,还可不断更新训练网络安全控制模型,提升数据特征的准确性,并提升白名单条件的准确性,从而提升网络安全性。
在一种可能的实现方式中,为了提升网络访问的效率,可筛选出一些条件组成白名单,符合白名单条件的网络访问数据可直接被允许访问,白名单可用于个人计算设备、服务器等设备中。例如,可将某些网络访问数据来源(例如,某些IP地址)设置为白名单条件,来源于这些地址的网络访问数据可直接允许访问,无需进行安全验证。又例如,可将网络访问数据的某些功能设置为白名单条件,例如,某种网络访问数据的功能为仅读取服务器中一些公开的内容,不涉及修改、删除、添加等功能,则网络访问数据的该种功能可被设置为白名单条件,仅具有该读取功能的网络访问数据可直接允许访问,无需进行安全验证。为了提升白名单的安全性,通常可将符合所有白名单条件的网络访问数据确认为直接允许访问的网络访问数据。
在一种可能的实现方式中,上述白名单条件可能被恶意访问者获取,例如,恶意访问者可通过对众多网络访问数据的统计,确定直接被允许访问的网络访问数据的特征,例如,这些网络访问数据均来自某个地址等,从而可确定白名单条件中包括该地址,进而可能模拟该地址向服务器发送恶意访问数据,从而造成网络安全隐患。
在一种可能的实现方式中,为减少上述隐患,可每隔预设时间段更新一次白名单条件,使得恶意访问者难以获得不断变化的白名单条件,从而难以基于白名单条件生成恶意访问数据,从而可减少安全隐患。
在一种可能的实现方式中,在步骤S11中,可在预设时间段内接收多个网络访问数据,这些网络访问数据中一部分符合白名单条件,另一部分不符合白名单条件。符合白名单条件,直接允许访问的网络访问数据为所述第一访问数据,不符合白名单条件,需要进行安全验证的网络访问数据为所述第二访问数据。
在一种可能的实现方式中,在步骤S12中,尽管第一访问数据符合白名单条件,可不经过安全验证直接允许访问,但第一访问数据中仍有可能包括恶意访问者仿照白名单条件生成的恶意访问数据,可基于网络访问数据的访问结果,对第一访问数据进行划分,例如,第一访问数据中正常访问的数据(例如,未进行篡改、删除、新增等非正常处理)的第一访问数据为第一正常访问数据,而进行过非正常处理的第一访问数据为第一恶意访问数据。类似地,也可对第二访问数据进行划分,例如,通过安全验证的第二访问数据为第二正常访问数据,未通过安全验证的第二访问数据为第二恶意访问数据。
在一种可能的实现方式中,在步骤S13中,所述网络安全控制模型用于提取访问数据的数据特征,并基于数据特征确定访问数据是否为恶意访问数据,所述网络安全控制模型为深度学习神经网络模型。可通过当前状态的网络安全控制模型,对第一正常访问数据、第一恶意访问数据、第二正常访问数据和第二恶意访问数据进行特征提取,分别获得第一正常数据特征、第一恶意数据特征、第二正常数据特征和第二恶意数据特征。在特征提取的过程中,可提取上述各种访问数据的多种特征,例如,表示访问数据来源的特征信息,表示访问数据功能的特征信息,表示访问数据的数据量的特征信息等。并且,可能存在访问数据中不同的字段对应于相同特征信息的情况,例如,在两个访问数据中使用不同的代码编写功能相同的程序,则在两个访问数据对应的数据特征中,上述两种功能相同但代码不同的字段对应的特征信息可相同。上述各种数据特征可以是向量形式、矩阵形式等形式的信息,本发明对上述各种数据特征的具体形式不做限制。
在一种可能的实现方式中,在步骤S14中,可基于上述多种数据特征来调整白名单条件,例如,可将第一恶意访问数据所符合的白名单条件移除,还可将第二正常访问数据所符合的条件加入白名单条件。
在一种可能的实现方式中,步骤S14可包括:根据所述第一恶意数据特征和所述第二恶意数据特征,对所述第一恶意访问数据和所述第二恶意访问数据中的字段进行统计,获得候选恶意字段,该步骤包括获取第一恶意数据特征和第二恶意数据特征中各种特征信息,并确定各种特征信息对应的第一恶意访问数据和第二恶意访问数据中的多种字段,进而将所述第一恶意访问数据和第二恶意访问数据中的多种字段确定为所述候选恶意字段,其中,所述特征信息包括第一恶意数据特征和第二恶意数据特征中的各种元素组,所述第一恶意访问数据和第二恶意访问数据中的多种字段分别对应于所述各种元素组;根据所述第一正常数据特征和所述第二正常数据特征,对所述第一正常访问数据和所述第二正常访问数据中的字段进行统计,获得候选正常字段;根据所述候选恶意字段,确定所述当前状态的白名单条件中的待删除条件;根据所述候选恶意字段和所述候选正常字段,确定所述当前状态的白名单条件中的待新增条件;根据所述当前状态的白名单条件、所述待删除条件和所述待新增条件,获得所述下一状态的白名单条件。
在一种可能的实现方式中,可基于第一恶意数据特征和第二恶意数据特征对第一恶意访问数据和第二恶意访问数据中的字段进行统计,获得候选恶意字段。如上所述,第一恶意访问数据和第二恶意访问数据中的不同字段可能对应于第一恶意数据特征和第二恶意数据特征中相同的特征信息,例如,第一恶意访问数据和第二恶意访问数据中具有相同功能的代码可对应于第一恶意数据特征和第二恶意数据特征中相同的特征信息,可获取第一恶意数据特征和第二恶意数据特征中各种特征信息,从而确定可能具有恶意访问功能的特征信息,进一步地,可确定这些特征信息对应的第一恶意访问数据和第二恶意访问数据中的多种字段,进而将所述第一恶意访问数据和第二恶意访问数据中的多种字段确定为所述候选恶意字段,所述特征信息包括第一恶意数据特征和第二恶意数据特征中的各种元素组。例如,在某个第一恶意访问数据中,进行了对访问内容进行删除,并新增新内容的处理,因此,在第一恶意访问数据中,可包括描述删除和新增两个动作的字段,而在第二恶意访问数据中,进行了对访问内容进行替换的处理,因此,在第二恶意访问数据中,可包括描述替换动作的字段。然而,经过所述网络安全控制模型的处理,可确定第一恶意访问数据中的删除和新增动作与第二恶意访问数据中的替换动作的实质相同,因此,第一恶意访问数据中包括描述删除和新增两个动作的字段对应的特征信息与第二恶意访问数据中描述替换动作的特征信息相同。该步骤可将第一恶意访问数据和第二恶意访问数据中的字段按其对应的特征信息进行分类,获得按照特征信息进行分类(例如,按照功能进行分类)的候选恶意字段的集合。
在一种可能的实现方式中,可基于第一正常数据特征和第二正常数据特征对第一正常访问数据和第二正常访问数据中的字段进行统计,获得候选正常字段。如上所述,第一正常访问数据和第二正常访问数据中的不同字段可能对应于第一正常数据特征和第二正常数据特征中相同的特征信息,例如,第一正常访问数据和第二正常访问数据中具有相同功能的代码可对应于第一正常数据特征和第二正常数据特征中相同的特征信息,可统计第一正常数据特征和第二正常数据特征中各种特征信息,从而确定具有正常访问功能的特征信息,进一步地,可确定这些特征信息对应的第一正常访问数据和第二正常访问数据中的多种字段。该步骤可将第一正常访问数据和第二正常访问数据中的字段按其对应的特征信息进行分类,获得按照特征信息进行分类(例如,按照功能进行分类)的候选正常字段的集合。
在一种可能的实现方式中,可基于以上统计出的候选恶意字段,确定当前状态的白名单条件中的待删除条件。根据所述候选恶意字段,确定所述当前状态的白名单条件中的待删除条件,包括:
根据公式(1)获得第一条件,
(1)
其中,为所述候选恶意字段中,对应于所述第一恶意数据特征和所述第二恶意数据特征中的第k组元素的第i个字段出现的次数,I为所述候选恶意字段中,对应于所述第k组元素的字段的种类数量,n为第一恶意访问数据和第二恶意访问数据的总数,/>为预设的第一阈值,其中,第一恶意访问数据和第二恶意访问数据中用于描述操作或动作的字段与第一恶意数据特征和第二恶意数据特征中的元素组对应,将对应于第一恶意访问数据和第二恶意访问数据中不同字段的元素组进行排列,其中第k个元素组为所述第k组元素;
将所述候选恶意字段中,符合所述第一条件的字段,确定为待删除字段;
将所述当前状态的白名单条件中,包括所述待删除字段的条件,确定为所述待删除条件。
在一种可能的实现方式中,如上所述,特征信息包括第一恶意数据特征和第二恶意数据特征中的各种元素组,且各个元素组分别与第一恶意访问数据和第二恶意访问数据中的字段对应,即,第一恶意访问数据和第二恶意访问数据中用于描述某种操作或动作的字段与第一恶意数据特征和第二恶意数据特征中的特征信息(即,元素组)对应,可将对应于不同字段的元素组进行排列,其中第k个元素组即为第k组元素,第一条件可表示候选恶意字段以及与其对应于相同元素(例如,具有相同功能)的候选恶意字段出现的总次数,在所有恶意访问数据(即,第一恶意访问数据和第二恶意访问数据的总数)中的占比大于第一阈值,即,候选恶意字段/>以及与其对应于相同元素的候选恶意字段的出现并非偶然现象,而是大量出现,候选恶意字段/>以及与其对应于相同元素的候选恶意字段则可能是由恶意访问者生成的大量恶意访问数据中的字段。
在一种可能的实现方式中,第一条件中统计的候选恶意字段来自基于第一恶意访问数据和第二恶意访问数据获得的候选恶意字段,统计的候选恶意字段对应的元素也为第一恶意数据特征和第二恶意数据特征,因此,基于数据特征进行统计获得的第一条件,可在存在某符合白名单条件的字段与第二恶意数据特征中的某字段对应于相同的元素(例如,具有相同的功能)的情况下,将符合白名单条件的字段确定为待删除字段,而如果仅基于字段进行统计,则可能无法将存在恶意功能且符合白名单条件的字段从白名单条件中删除(例如,该字段为第一恶意访问数据中的字段,虽与第二恶意访问数据中某些恶意字段具有相同的功能,但该字段的出现频率较低,从而未被删除)的情况,因此,以上基于数据特征进行统计获得的第一条件可增大具有恶意功能的字段的搜索范围,提升白名单条件的严格程度,提高安全性。
在一种可能的实现方式中,候选恶意字段中,符合第一条件的字段为待删除字段,当前状态的白名单条件中,包括待删除字段的条件为待删除条件。可在白名单条件中删除所述待删除条件,从而使白名单条件不包括具有恶意功能的字段。在将待删除条件删除后,白名单条件可更加严格,例如,在当前状态的白名单条件中,可包括多个IP地址,来源于这些IP地址的网络访问数据时符合白名单条件的,可直接允许访问,而待删除条件可包括其中部分IP地址,在将待删除条件删除后,符合白名单条件的IP地址减少,即,能够直接允许访问的网络访问数据减少。
在一种可能的实现方式中,还可新增新的白名单条件,以提升正常访问数据的访问效率,减少验证时间。例如,可利用原本不符合白名单条件的第二正常访问数据中的字段来新增白名单条件,这些第二正常访问数据时正常访问数据,即,安全的访问数据,但不符合白名单条件,因此,需要在访问时进行验证。为了提升安全的访问数据的访问效率,可基于这些安全的访问数据的字段来新增白名单条件,使得其中至少一部分安全的访问数据符合新的白名单条件,从而可无需验证,直接允许访问,在保障网络安全的基础上提升访问效率。
在一种可能的实现方式中,根据所述候选恶意字段和所述候选正常字段,确定所述当前状态的白名单条件中的待新增条件,包括:
根据公式(2)获得第二条件,第三条件/>和第四条件/>:
(2)
其中,候选正常字段中的基于所述第二正常访问数据统计的字段中,对应于第一正常数据特征和第二正常数据特征中第t组元素的第j个字段出现的次数,m为第二正常访问数据的数量,J为基于所述第二正常访问数据中的字段进行统计获得的字段中,对应于所述第t组元素的字段的种类数量,m为第二正常访问数据的总数,/>为候选恶意字段的集合,/>为第二正常数据特征中第t组元素,/>为候选恶意字段对应于第一恶意数据特征和所述第二恶意数据特征中的元素的集合,/>为预设的第二阈值;
将所述候选正常字段中的基于所述第二正常访问数据中的字段进行统计获得的字段中,符合所述第二条件、所述第三条件和所述第四条件的字段,确定为待新增字段;
根据所述待新增字段,生成所述待新增条件。
在一种可能的实现方式中,第二条件可表示基于第二正常访问数据统计的候选正常字段,以及与其对应于相同元素(例如,具有相同功能)的字段出现的总次数,与第二正常访问数据的总数之间的比值大于或等于第二阈值,可表示该候选正常字段以及与其对应于相同元素的字段的出现并非偶然现象,而是这些字段大量出现在安全的访问数据中,成为安全的访问数据的组成部分,也可作为判断某个网络访问数据是否安全的参考条件之一。
在一种可能的实现方式中,第三条件和第四条件则表示该字段并未出现在候选恶意字段的集合中,且该字段对应的元素并未出现在候选恶意字段对应的元素的集合中,即,该字段并非是在候选正常字段和候选恶意字段中均出现的无关字段(即,在候选正常字段和候选恶意字段中均出现过的字段,因此,这种字段无法用来表示访问数据是否是安全的),而是仅出现在候选正常字段中的特有字段(仅在第二正常访问数据中出现的字段,而在第一恶意访问数据和第二恶意访问数据均未出现过该字段),该特有字段可用于代表不符合当前状态的白名单条件但安全的网络访问数据。
在一种可能的实现方式中,第二正常访问数据中的字段中符合第二条件、第三条件和第四条件的字段可被确定为待新增字段,这些待新增字段是基于不符合当前白名单条件的第二正常访问数据统计的,因此,可基于待新增字段生成新的条件,即,待新增条件。例如,来自某个IP地址的大量网络访问数据均是安全的访问数据,且该IP地址并不属于当前状态的白名单条件,则可基于该IP地址生成待新增条件,使得在后续使用中,来自该IP地址的网络访问数据符合白名单条件。
在一种可能的实现方式中,可在当前状态的白名单条件中,将待删除条件进行删除,并添加所述待新增条件,得到下一状态的白名单条件。从而使下一状态的白名单条件能够适应网络访问数据,将不再安全的白名单条件剔除,提升白名单的严格性和安全性,并在保障网络安全的基础上,新增安全的白名单条件,提升安全的网络访问数据的访问效率。
在一种可能的实现方式中,在步骤S15中,还可对当前状态的网络安全控制模型进行训练,得到下一状态的网络安全控制模型,使得下一状态的网络安全控制模型更适应不断变化的网络访问数据,针对不断变化的网络访问数据能够更准确地获得数据特征。
在一种可能的实现方式中,步骤S15可包括:对所述第一正常数据特征、所述第一恶意数据特征、所述第二正常数据特征和所述第二恶意数据特征进行解码,获得所述第一正常数据特征对应的第一预测概率分布、所述第一恶意数据特征对应的第二预测概率分布、所述第二正常数据特征对应的第三预测概率分布和所述第二恶意数据特征对应的第四预测概率分布;根据所述第一预测概率分布、所述第二预测概率分布、所述第三预测概率分布、所述第四预测概率分布和所述访问结果,确定所述当前状态的网络安全控制模型的损失函数;根据所述损失函数对所述当前状态的网络安全控制模型进行训练,获得所述下一状态的网络安全控制模型。
在一种可能的实现方式中,可对第一正常数据特征、第一恶意数据特征、第二正常数据特征和第二恶意数据特征进行解码,获得第一预测概率分布、第二预测概率分布、第三预测概率分布和第四预测概率分布,这四种概率分布可分别表示第一正常访问数据、第一恶意访问数据、第二正常访问数据和第二恶意访问数据为正常访问数据的概率,这些概率为当前状态的网络安全控制模型预测获得的,因此,可能存在误差。而上述访问结果则可表示上述各种访问数据是否为恶意访问数据,且不存在误差,可作为模型训练的参考。
在一种可能的实现方式中,根据所述第一预测概率分布、所述第二预测概率分布、所述第三预测概率分布、所述第四预测概率分布和所述访问结果,确定所述当前状态的网络安全控制模型的损失函数,包括:
根据公式(3),确定所述损失函数L:
(3)
其中,为第r个第一预测概率分布,/>为基于第r个第一正常访问数据的访问结果确定的参考概率分布,/>为第一正常访问数据的数量,/>,且r和/>为正整数,/>为第s个第二预测概率分布,/>基于第s个第一恶意访问数据的访问结果确定的参考概率分布,/>为第一恶意访问数据的数量,/>,且s和/>为正整数,/>为第x个第三预测概率分布,/>为基于第x个第二正常访问数据的访问结果确定的参考概率分布,/>为第二正常访问数据的数量,/>,且x和/>为正整数,/>为第y个第四预测概率分布,/>为基于第y个第二恶意访问数据的访问结果确定的参考概率分布,为第二恶意访问数据的数量,/>,且y和/>为正整数,/>和/>为权重系数。
在一种可能的实现方式中,公式(3)的第一项为基于第一预测概率分布与第一正常访问数据的访问结果确定的交叉熵损失函数,可用于在训练过程中减少第一预测概率分布的误差,使得第一预测概率分布逐步趋近于表示第一正常访问数据为安全的访问数据的访问结果。
在一种可能的实现方式中,公式(3)的第二项为基于第二预测概率分布与第一恶意访问数据的访问结果确定的交叉熵损失函数,可用于在训练过程中减少第二预测概率分布的误差,使得第二预测概率分布逐步趋近于表示第一恶意访问数据为恶意访问数据的访问结果。
在一种可能的实现方式中,公式(3)的第三项为基于第三预测概率分布与第二正常访问数据的访问结果确定的交叉熵损失函数,可用于在训练过程中减少第三预测概率分布的误差,使得第三预测概率分布逐步趋近于表示第二正常访问数据为安全的访问数据的访问结果。
在一种可能的实现方式中,公式(3)的第四项为基于第四预测概率分布与第二恶意访问数据的访问结果确定的交叉熵损失函数,可用于在训练过程中减少第四预测概率分布的误差,使得第四预测概率分布逐步趋近于表示第二恶意访问数据为恶意访问数据的访问结果。
在一种可能的实现方式中,可将上述四项进行加权求和,获得损失函数L,并且,可对上述四项的权重系数进行设置。
在一种可能的实现方式中,所述权重系数根据公式(4)来确定;
(4)
其中,为预设概率阈值;
所述权重系数根据公式(5)来确定;
(5)
所述权重系数根据公式(6)来确定;
(6)
所述权重系数根据公式(7)来确定。
(7)
在一种可能的实现方式中,公式(4)用于求解公式(3)第一项的权重,在公式(4)中,表示第r个第一正常访问数据为正常访问数据的概率,如果/>(例如,/>可设置为0.5或0.6等),则表明网络安全控制模型的预测结果是正确的,只是该概率与参考概率分布之间存在误差,则可使用/>作为公式(3)第一项的权重,其中,反正切函数可将自变量映射到/>的区间内,通过乘以系数/>,可将第一正常访问数据的数量(正整数)映射至(0,1)的区间内。如果/>,则表明网络安全控制模型的预测结果错误,则可增大权重系数,使得预测结果错误的情况下在训练过程中的训练力度更大(梯度更大),可将/>设为此种情况下的权重系数,使得/>与参考值1的偏差越大,则权重系数越大,从而提升训练效率。
在一种可能的实现方式中,公式(5)用于求解公式(3)第二项的权重,在公式(5)中,表示第s个第一恶意访问数据为正常访问数据的概率,如果/>,则表明网络安全控制模型的预测结果是正确的,只是该概率与参考概率分布之间存在误差,则可使用/>作为公式(3)第二项的权重,可将第一恶意访问数据的数量(正整数)映射至(0,1)的区间内。如果/>,则表明网络安全控制模型的预测结果错误,且此种情况为符合白名单条件的恶意访问数据的预测结果出现错误,对于网络安全的隐患相对于其他情况下预测结果出现错误更为严重,因此,可使此种情况的权重系数为公式(4)-(7)中最大的权重系数,例如,可选择第一正常访问数据的数量、第一恶意访问数据的数量、第二正常访问数据的数量和第二恶意访问数据的数量中的最大值,并通过反正切函数映射至的区间内,且将映射结果设置于指数部分。进一步地,可将/>与参考值0之间的偏差(即,/>)设置于指数部分,即,指数部分为上述映射结果与/>的乘积,使得/>与参考值0之间的偏差越大,则权重系数越大,且使该权重系数为各项权重系数中的最大值,从而提升训练效率,以及提升对于该种情况下的错误预测结果进行纠正训练的针对性。
在一种可能的实现方式中,公式(6)用于求解公式(3)第三项的权重,在公式(6)中,表示第x个第二正常访问数据为正常访问数据的概率,如果/>,则表明网络安全控制模型的预测结果是正确的,只是该概率与参考概率分布之间存在误差,则可使用作为公式(3)第三项的权重,可将第二正常访问数据的数量(正整数)映射至(0,1)的区间内。如果/>,则表明网络安全控制模型的预测结果错误,则可增大权重系数,使得预测结果错误的情况下在训练过程中的训练力度更大(梯度更大),可将设为此种情况下的权重系数,使得/>与参考值1的偏差越大,则权重系数越大,从而提升训练效率。
在一种可能的实现方式中,公式(7)用于求解公式(3)第四项的权重,在公式(7)中,表示第y个第二恶意访问数据为正常访问数据的概率,如果/>,则表明网络安全控制模型的预测结果是正确的,只是该概率与参考概率分布之间存在误差,则可使用作为公式(3)第四项的权重,可将第二恶意访问数据的数量(正整数)映射至(0,1)的区间内。如果/>,则表明网络安全控制模型的预测结果错误,且此种情况为恶意访问数据的预测结果出现错误,对于网络安全的隐患相对于较为严重,因此,可使此种情况的权重系数为仅小于公式(5)中预测错误的情况,例如,可选择第一正常访问数据的数量、第一恶意访问数据的数量、第二正常访问数据的数量和第二恶意访问数据的数量中的最大值,并通过反正切函数映射至/>的区间内,且将映射结果设置于系数部分(小于公式(5)中设置于指数部分的情况)。进一步地,可将/>与参考值0之间的偏差(即,)设置于指数部分,使得/>与参考值0之间的偏差越大,则权重系数越大,且使该权重系数显著增大,从而提升训练效率,以及提升对于该种情况下的错误预测结果进行纠正训练的针对性。
在一种可能的实现方式中,通过上述公式(3)-(7)可确定损失函数,并利用该损失函数训练网络安全控制模型,在预设时间段内接收多个网络访问数据训练完毕后,可获得下一状态的网络安全控制模型,使得下一状态的网络安全控制模型更适用于不断变化的网络访问数据,且提升获取数据特征的准确性。
在一种可能的实现方式中,在步骤S16中,可在下一时间段内通过下一状态的白名单条件进行安全验证,并可基于下一时间段内接收到的网络访问数据训练下一状态的网络安全控制模型,得到再下一状态的网络安全控制模型,并可再次使用上述方法更新白名单条件,获得再下一状态的白名单条件。上述方式可迭代执行,使得白名单条件和网络安全控制模型每隔预设时间段更新一次,使得白名单条件和网络安全控制模型能够在不断更新中适应不断变化的网络访问数据,提升网络安全性。
根据本公开的实施例的基于智能白名单验证的访问安全控制方法,可基于在预设时间段内接收的网络访问数据的访问结果,以及网络安全控制模型获得的网络访问数据的数据特征,对白名单条件进行调整,将不再安全的白名单条件剔除,提升白名单的严格性和安全性,并在保障网络安全的基础上,新增安全的白名单条件,提升安全的网络访问数据的访问效率,从而使白名单条件不断更新,适应不断变化的网络访问数据,且白名单条件不断更新,减少恶意访问者获得白名单条件的机会,减少安全隐患,并且,还可不断更新训练网络安全控制模型,且针对不同的情况设置损失函数各项的权重系数,提升训练的针对性和训练效率,提升数据特征的准确性,并提升白名单条件的准确性,从而提升网络安全性。
经过实验,在两个小时的测试访问数据中,其中一个小时对测试过程中使用的服务器进行了3256次访问,其中,1200次访问来自于符合白名单条件的IP地址,其中一半访问数据中具有篡改数据等恶意指令,在该时间段中,未进行白名单条件的更新,结果显示该1200次符合白名单条件的访问全部被允许访问,剩余2056次中包括1000个包括恶意指令的访问数据,访问均由服务器进行访问验证,其中,962次恶意访问数据被拦截,总之,在不符合白名单条件的访问数据中,恶意访问数据的拦截成功率为96.2%,而符合名单条件的600个恶意访问数据的拦截成功率为0。在第二个小时中,使用本发明的基于智能白名单验证的访问安全控制方法对白名单条件进行了更新,并仍使用与以上相同的3256个访问数据进行访问,在更新白名单条件后,仅剩413个访问数据仍符合白名单条件,该413个访问数据中包括恶意指令的访问数据仅有17个,即,仅有17次恶意访问成功,被排出除白名单条件的787个访问数据中,包括583个恶意访问数据,在被排除出白名单后,上述787个访问数据全部需要进行访问验证,其中,766次恶意访问被拦截,仅有21次恶意访问通过,因此,在符合原有白名单条件的600条恶意访问数据中,仅有17+21=38次恶意访问通过,在更新白名单条件后,符合原白名单条件的恶意访问数据的拦截成功率为(600-38)/600=93.67%,相对于未更新白名单时的拦截成功率为0,在更新白名单之后拦截成功率显著提高,从而显著提升了网络安全性。
图2示出根据本公开实施例的基于智能白名单验证的访问安全控制装置的框图,如图2所示,所述装置包括:
接收模块11,用于在预设时间段内,接收多个网络访问数据,其中,所述多个网络访问数据包括符合当前状态的白名单条件的第一访问数据,和不符合当前状态的白名单条件的第二访问数据,其中,在第一访问数据的访问结果中,未进行过非正常处理的第一访问数据为第一正常访问数据,进行过非正常处理的第一访问数据为第一恶意访问数据,在第二访问数据的访问结果中,通过安全验证的第二访问数据为第二正常访问数据,未通过安全验证的第二访问数据为第二恶意访问数据;
划分模块12,通过所述网络访问数据的访问结果,将所述第一访问数据划分为第一正常访问数据和第一恶意访问数据,并将所述第二访问数据划分为第二正常访问数据和第二恶意访问数据,所述网络安全控制模型用于提取访问数据的数据特征,并基于数据特征确定访问数据是否为恶意访问数据,所述网络安全控制模型为深度学习神经网络模型;
特征获取模块13,用于通过当前状态的网络安全控制模型,获取所述第一正常访问数据的第一正常数据特征,所述第一恶意访问数据的第一恶意数据特征,所述第二正常访问数据的第二正常数据特征和所述第二恶意访问数据的第二恶意数据特征;
白名单调整模块14,用于根据所述第一正常数据特征、所述第一恶意数据特征、所述第二正常数据特征和所述第二恶意数据特征,对所述当前状态的白名单条件进行调整,获得下一状态的白名单条件;
训练模块15,用于根据所述第一正常数据特征、所述第一恶意数据特征、所述第二正常数据特征、所述第二恶意数据特征和所述网络访问数据的访问结果,对所述当前状态的网络安全控制模型进行训练,获得下一状态的网络安全控制模型;
验证模块16,用于使用所述下一状态的白名单条件对下一时间段内接收的网络访问数据进行安全验证,其中,所述下一时间段的长度等于所述预设时间段。
在一种可能的实现方式中,所述白名单调整模块进一步用于:
根据所述第一恶意数据特征和所述第二恶意数据特征,对所述第一恶意访问数据和所述第二恶意访问数据中的字段进行统计,获得候选恶意字段,该步骤包括获取第一恶意数据特征和第二恶意数据特征中各种特征信息,并确定各种特征信息对应的第一恶意访问数据和第二恶意访问数据中的多种字段,进而将所述第一恶意访问数据和第二恶意访问数据中的多种字段确定为所述候选恶意字段,其中,所述特征信息包括第一恶意数据特征和第二恶意数据特征中的各种元素组,所述第一恶意访问数据和第二恶意访问数据中的多种字段分别对应于所述各种元素组;
根据所述第一正常数据特征和所述第二正常数据特征,对所述第一正常访问数据和所述第二正常访问数据中的字段进行统计,获得候选正常字段;
根据所述候选恶意字段,确定所述当前状态的白名单条件中的待删除条件;
根据所述候选恶意字段和所述候选正常字段,确定所述当前状态的白名单条件中的待新增条件;
根据所述当前状态的白名单条件、所述待删除条件和所述待新增条件,获得所述下一状态的白名单条件。
在一种可能的实现方式中,所述白名单调整模块进一步用于:
根据公式,获得第一条件/>,其中,/>为所述候选恶意字段中,对应于所述第一恶意数据特征和所述第二恶意数据特征中的第k组元素的第i个字段出现的次数,I为所述候选恶意字段中,对应于所述第k组元素的字段的种类数量,n为第一恶意访问数据和第二恶意访问数据的总数,/>为预设的第一阈值,其中,第一恶意访问数据和第二恶意访问数据中用于描述操作或动作的字段与第一恶意数据特征和第二恶意数据特征中的元素组对应,将对应于第一恶意访问数据和第二恶意访问数据中不同字段的元素组进行排列,其中第k个元素组为所述第k组元素;
将所述候选恶意字段中,符合所述第一条件的字段,确定为待删除字段;
将所述当前状态的白名单条件中,包括所述待删除字段的条件,确定为所述待删除条件。
在一种可能的实现方式中,所述白名单调整模块进一步用于:
根据公式
获得第二条件,第三条件/>和第四条件/>,其中,/>候选正常字段中的基于所述第二正常访问数据统计的字段中,对应于第一正常数据特征和第二正常数据特征中第t组元素的第j个字段出现的次数,m为第二正常访问数据的数量,J为基于所述第二正常访问数据中的字段进行统计获得的字段中,对应于所述第t组元素的字段的种类数量,m为第二正常访问数据的总数,/>为候选恶意字段的集合,/>为第二正常数据特征中第t组元素,/>为候选恶意字段对应于第一恶意数据特征和所述第二恶意数据特征中的元素的集合,/>为预设的第二阈值;
将所述候选正常字段中的基于所述第二正常访问数据中的字段进行统计获得的字段中,符合所述第二条件、所述第三条件和所述第四条件的字段,确定为待新增字段;
根据所述待新增字段,生成所述待新增条件。
在一种可能的实现方式中,所述训练模块进一步用于:
对所述第一正常数据特征、所述第一恶意数据特征、所述第二正常数据特征和所述第二恶意数据特征进行解码,获得所述第一正常数据特征对应的第一预测概率分布、所述第一恶意数据特征对应的第二预测概率分布、所述第二正常数据特征对应的第三预测概率分布和所述第二恶意数据特征对应的第四预测概率分布;
根据所述第一预测概率分布、所述第二预测概率分布、所述第三预测概率分布、所述第四预测概率分布和所述访问结果,确定所述当前状态的网络安全控制模型的损失函数;
根据所述损失函数对所述当前状态的网络安全控制模型进行训练,获得所述下一状态的网络安全控制模型。
在一种可能的实现方式中,所述训练模块进一步用于:
根据公式
确定所述损失函数L,其中,为第r个第一预测概率分布,/>为基于第r个第一正常访问数据的访问结果确定的参考概率分布,/>为第一正常访问数据的数量,,且r和/>为正整数,/>为第s个第二预测概率分布,/>基于第s个第一恶意访问数据的访问结果确定的参考概率分布,/>为第一恶意访问数据的数量,/>,且s和/>为正整数,/>为第x个第三预测概率分布,/>为基于第x个第二正常访问数据的访问结果确定的参考概率分布,/>为第二正常访问数据的数量,/>,且x和/>为正整数,/>为第y个第四预测概率分布,/>为基于第y个第二恶意访问数据的访问结果确定的参考概率分布,/>为第二恶意访问数据的数量,/>,且y和/>为正整数,和/>为权重系数。
在一种可能的实现方式中,所述训练模块进一步用于:
所述权重系数根据公式
来确定,其中,为预设概率阈值;
所述权重系数根据公式
来确定;
所述权重系数根据公式/>
来确定;
所述权重系数根据公式
来确定。
在一些实施例中,本公开实施例提供的装置具有的功能或包含的模块可以用于执行上文方法实施例描述的方法,其具体实现可以参照上文方法实施例的描述,为了简洁,这里不再赘述。
本公开实施例还提出一种计算机可读存储介质,其上存储有计算机程序指令,所述计算机程序指令被处理器执行时实现上述方法。计算机可读存储介质可以是非易失性计算机可读存储介质。
本公开实施例还提出一种基于智能白名单验证的访问安全控制设备,包括:处理器;用于存储处理器可执行指令的存储器;其中,所述处理器被配置为调用所述存储器存储的指令,以执行上述方法。
本公开实施例还提供了一种计算机程序产品,包括计算机可读代码,当计算机可读代码在设备上运行时,设备中的处理器执行用于实现如上任一实施例提供的云应用管理方法的指令。
本公开实施例还提供了另一种计算机程序产品,用于存储计算机可读指令,指令被执行时使得计算机执行上述任一实施例提供的基于智能白名单验证的访问安全控制方法的操作。
设备可以被提供为终端、服务器或其它形态的设备。
图3示出根据本公开实施例的一种基于智能白名单验证的访问安全控制设备800的框图。例如,设备800可以是移动电话,计算机,数字广播终端,消息收发设备,游戏控制台,平板设备,医疗设备,健身设备,个人数字助理等终端设备。
参照图3,设备800可以包括以下一个或多个组件:处理组件802,存储器804,电源组件806,多媒体组件808,音频组件810,输入/输出接口812,传感器组件814,以及通信组件816。
处理组件802通常控制设备800的整体操作,诸如与显示,电话呼叫,数据通信,相机操作和记录操作相关联的操作。处理组件802可以包括一个或多个处理器820来执行指令,以完成上述的方法的全部或部分步骤。此外,处理组件802可以包括一个或多个模块,便于处理组件802和其他组件之间的交互。例如,处理组件802可以包括多媒体模块,以方便多媒体组件808和处理组件802之间的交互。
存储器804被配置为存储各种类型的数据以支持在设备800的操作。这些数据的示例包括用于在设备800上操作的任何应用程序或方法的指令,联系人数据,电话簿数据,消息,图片,视频等。存储器804可以由任何类型的易失性或非易失性存储设备或者它们的组合实现,如静态随机存取存储器(SRAM),电可擦除可编程只读存储器(EEPROM),可擦除可编程只读存储器(EPROM),可编程只读存储器(PROM),只读存储器(ROM),磁存储器,快闪存储器,磁盘或光盘。
电源组件806为设备800的各种组件提供电力。电源组件806可以包括电源管理系统,一个或多个电源,及其他与为设备800生成、管理和分配电力相关联的组件。
多媒体组件808包括在所述设备800和用户之间的提供一个输出接口的屏幕。在一些实施例中,屏幕可以包括液晶显示器(LCD)和触摸面板(TP)。如果屏幕包括触摸面板,屏幕可以被实现为触摸屏,以接收来自用户的输入信号。触摸面板包括一个或多个触摸传感器以感测触摸、滑动和触摸面板上的手势。所述触摸传感器可以不仅感测触摸或滑动动作的边缘,而且还检测与所述触摸或滑动操作相关的持续时间和压力。在一些实施例中,多媒体组件808包括一个前置摄像头和/或后置摄像头。当设备800处于操作模式,如拍摄模式或视频模式时,前置摄像头和/或后置摄像头可以接收外部的多媒体数据。每个前置摄像头和后置摄像头可以是一个固定的光学透镜系统或具有焦距和光学变焦能力。
音频组件810被配置为输出和/或输入音频信号。例如,音频组件810包括一个麦克风(MIC),当设备800处于操作模式,如呼叫模式、记录模式和语音识别模式时,麦克风被配置为接收外部音频信号。所接收的音频信号可以被进一步存储在存储器804或经由通信组件816发送。在一些实施例中,音频组件810还包括一个扬声器,用于输出音频信号。
输入/输出接口812为处理组件802和外围接口模块之间提供接口,上述外围接口模块可以是键盘,点击轮,按钮等。这些按钮可包括但不限于:主页按钮、音量按钮、启动按钮和锁定按钮。
传感器组件814包括一个或多个传感器,用于为设备800提供各个方面的状态评估。例如,传感器组件814可以检测到设备800的打开/关闭状态,组件的相对定位,例如所述组件为设备800的显示器和小键盘,传感器组件814还可以检测设备800或设备800一个组件的位置改变,用户与设备800接触的存在或不存在,设备800方位或加速/减速和设备800的温度变化。传感器组件814可以包括接近传感器,被配置用来在没有任何的物理接触时检测附近物体的存在。传感器组件814还可以包括光传感器,如CMOS或CCD图像传感器,用于在成像应用中使用。在一些实施例中,该传感器组件814还可以包括加速度传感器,陀螺仪传感器,磁传感器,压力传感器或温度传感器。
通信组件816被配置为便于设备800和其他设备之间有线或无线方式的通信。设备800可以接入基于通信标准的无线网络,如WiFi,2G或3G,或它们的组合。在一个示例性实施例中,通信组件816经由广播信道接收来自外部广播管理系统的广播信号或广播相关信息。在一个示例性实施例中,所述通信组件816还包括近场通信(NFC)模块,以促进短程通信。例如,在NFC模块可基于射频识别(RFID)技术,红外数据协会(IrDA)技术,超宽带(UWB)技术,蓝牙(BT)技术和其他技术来实现。
在示例性实施例中,设备800可以被一个或多个应用专用集成电路(ASIC)、数字信号处理器(DSP)、数字信号处理设备(DSPD)、可编程逻辑器件(PLD)、现场可编程门阵列(FPGA)、控制器、微控制器、微处理器或其他电子元件实现,用于执行上述方法。
在示例性实施例中,还提供了一种非易失性计算机可读存储介质,例如包括计算机程序指令的存储器804,上述计算机程序指令可由设备800的处理器820执行以完成上述方法。
图4示出根据本公开实施例的一种基于智能白名单验证的访问安全控制设备1900的框图。例如,电子设备1900可以被提供为一服务器或终端。参照图4,电子设备1900包括处理单元1922,其进一步包括一个或多个处理器,以及由存储单元1932所代表的存储器资源,用于存储可由处理单元1922的执行的指令,例如应用程序。存储单元1932中存储的应用程序可以包括一个或一个以上的每一个对应于一组指令的模块。此外,处理单元1922被配置为执行指令,以执行上述方法。
电子设备1900还可以包括一个电源单元1926被配置为执行电子设备1900的电源管理,一个有线或无线网络接口1950被配置为将电子设备1900连接到网络,和一个输入输出接口1958。电子设备1900可以操作基于存储在存储单元1932的操作系统,例如WindowsServerTM,Mac OS XTM,UnixTM, LinuxTM,FreeBSDTM或类似。
在示例性实施例中,还提供了一种非易失性计算机可读存储介质,例如包括计算机程序指令的存储单元1932,上述计算机程序指令可由电子设备1900的处理单元1922执行以完成上述方法。
本公开可以是系统、方法和/或计算机程序产品。计算机程序产品可以包括计算机可读存储介质,其上载有用于使处理器实现本公开的各个方面的计算机可读程序指令。
计算机可读存储介质可以是可以保持和存储由指令执行设备使用的指令的有形设备。计算机可读存储介质例如可以是――但不限于――电存储设备、磁存储设备、光存储设备、电磁存储设备、半导体存储设备或者上述的任意合适的组合。计算机可读存储介质的更具体的例子(非穷举的列表)包括:便携式计算机盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、静态随机存取存储器(SRAM)、便携式压缩盘只读存储器(CD-ROM)、数字多功能盘(DVD)、记忆棒、软盘、机械编码设备、例如其上存储有指令的打孔卡或凹槽内凸起结构、以及上述的任意合适的组合。这里所使用的计算机可读存储介质不被解释为瞬时信号本身,诸如无线电波或者其他自由传播的电磁波、通过波导或其他传输媒介传播的电磁波(例如,通过光纤电缆的光脉冲)、或者通过电线传输的电信号。
这里所描述的计算机可读程序指令可以从计算机可读存储介质下载到各个计算/处理设备,或者通过网络、例如因特网、局域网、广域网和/或无线网下载到外部计算机或外部存储设备。网络可以包括铜传输电缆、光纤传输、无线传输、路由器、防火墙、交换机、网关计算机和/或边缘服务器。每个计算/处理设备中的网络适配卡或者网络接口从网络接收计算机可读程序指令,并转发该计算机可读程序指令,以供存储在各个计算/处理设备中的计算机可读存储介质中。
用于执行本公开操作的计算机程序指令可以是汇编指令、指令集架构(ISA)指令、机器指令、机器相关指令、微代码、固件指令、状态设置数据、或者以一种或多种编程语言的任意组合编写的源代码或目标代码,所述编程语言包括面向对象的编程语言—诸如Smalltalk、C++等,以及常规的过程式编程语言—诸如“C”语言或类似的编程语言。计算机可读程序指令可以完全地在用户计算机上执行、部分地在用户计算机上执行、作为一个独立的软件包执行、部分在用户计算机上部分在远程计算机上执行、或者完全在远程计算机或服务器上执行。在涉及远程计算机的情形中,远程计算机可以通过任意种类的网络—包括局域网(LAN)或广域网(WAN)—连接到用户计算机,或者,可以连接到外部计算机(例如利用因特网服务提供商来通过因特网连接)。在一些实施例中,通过利用计算机可读程序指令的状态信息来个性化定制电子电路,例如可编程逻辑电路、现场可编程门阵列(FPGA)或可编程逻辑阵列(PLA),该电子电路可以执行计算机可读程序指令,从而实现本公开的各个方面。
这里参照根据本公开实施例的方法、装置(系统)和计算机程序产品的流程图和/或框图描述了本公开的各个方面。应当理解,流程图和/或框图的每个方框以及流程图和/或框图中各方框的组合,都可以由计算机可读程序指令实现。
这些计算机可读程序指令可以提供给通用计算机、专用计算机或其它可编程数据处理装置的处理器,从而生产出一种机器,使得这些指令在通过计算机或其它可编程数据处理装置的处理器执行时,产生了实现流程图和/或框图中的一个或多个方框中规定的功能/动作的装置。也可以把这些计算机可读程序指令存储在计算机可读存储介质中,这些指令使得计算机、可编程数据处理装置和/或其他设备以特定方式工作,从而,存储有指令的计算机可读介质则包括一个制造品,其包括实现流程图和/或框图中的一个或多个方框中规定的功能/动作的各个方面的指令。
也可以把计算机可读程序指令加载到计算机、其它可编程数据处理装置、或其它设备上,使得在计算机、其它可编程数据处理装置或其它设备上执行一系列操作步骤,以产生计算机实现的过程,从而使得在计算机、其它可编程数据处理装置、或其它设备上执行的指令实现流程图和/或框图中的一个或多个方框中规定的功能/动作。
附图中的流程图和框图显示了根据本公开的多个实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段或指令的一部分,所述模块、程序段或指令的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。在有些作为替换的实现中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个连续的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或动作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
该计算机程序产品可以具体通过硬件、软件或其结合的方式实现。在一个可选实施例中,所述计算机程序产品具体体现为计算机存储介质,在另一个可选实施例中,计算机程序产品具体体现为软件产品,例如软件开发包(Software Development Kit,SDK)等等。
可以理解,本公开提及的上述实施例,在不违背原理逻辑的情况下,均可以彼此相互结合形成结合后的实施例,限于篇幅,本公开不再赘述。本领域技术人员可以理解,在具体实施方式的上述方法中,各步骤的具体执行顺序应当以其功能和可能的内在逻辑确定。
注意,除非另有直接说明,否则本说明书(包含任何所附权利要求、摘要和附图)中所揭示的所有特征皆可由用于达到相同、等效或类似目的的可替代特征来替换。因此,除非另有明确说明,否则所公开的每一个特征仅是一组等效或类似特征的一个示例。在使用到的情况下,进一步地、较优地、更进一步地和更优地是在前述实施例基础上进行另一实施例阐述的简单起头,该进一步地、较优地、更进一步地或更优地后带的内容与前述实施例的结合作为另一实施例的完整构成。在同一实施例后带的若干个进一步地、较优地、更进一步地或更优地设置之间可任意组合的组成又一实施例。
本领域的技术人员应理解,上述描述及附图中所示的本发明的实施例只作为举例而并不限制本发明。本发明的目的已经完整并有效地实现。本发明的功能及结构原理已在实施例中展示和说明,在没有背离所述原理下,本发明的实施方式可以有任何变形或修改。
最后应说明的是:以上各实施例仅用以说明本公开的技术方案,而非对其限制;尽管参照前述各实施例对本公开进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分或者全部技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本公开各实施例技术方案的范围。
Claims (10)
1.一种基于智能白名单验证的访问安全控制方法,其特征在于,包括:
在预设时间段内,接收多个网络访问数据,其中,所述多个网络访问数据包括符合当前状态的白名单条件的第一访问数据,和不符合当前状态的白名单条件的第二访问数据;
通过所述网络访问数据的访问结果,将所述第一访问数据划分为第一正常访问数据和第一恶意访问数据,并将所述第二访问数据划分为第二正常访问数据和第二恶意访问数据,其中,在第一访问数据的访问结果中,未进行过非正常处理的第一访问数据为第一正常访问数据,进行过非正常处理的第一访问数据为第一恶意访问数据,在第二访问数据的访问结果中,通过安全验证的第二访问数据为第二正常访问数据,未通过安全验证的第二访问数据为第二恶意访问数据;
通过当前状态的网络安全控制模型,获取所述第一正常访问数据的第一正常数据特征,所述第一恶意访问数据的第一恶意数据特征,所述第二正常访问数据的第二正常数据特征和所述第二恶意访问数据的第二恶意数据特征,所述网络安全控制模型用于提取访问数据的数据特征,并基于数据特征确定访问数据是否为恶意访问数据,所述网络安全控制模型为深度学习神经网络模型;
根据所述第一正常数据特征、所述第一恶意数据特征、所述第二正常数据特征和所述第二恶意数据特征,对所述当前状态的白名单条件进行调整,获得下一状态的白名单条件;
根据所述第一正常数据特征、所述第一恶意数据特征、所述第二正常数据特征、所述第二恶意数据特征和所述网络访问数据的访问结果,对所述当前状态的网络安全控制模型进行训练,获得下一状态的网络安全控制模型;
使用所述下一状态的白名单条件对下一时间段内接收的网络访问数据进行安全验证,其中,所述下一时间段的长度等于所述预设时间段。
2.根据权利要求1所述的基于智能白名单验证的访问安全控制方法,其特征在于,根据所述第一正常数据特征、所述第一恶意数据特征、所述第二正常数据特征和所述第二恶意数据特征,对所述当前状态的白名单条件进行调整,获得下一状态的白名单条件,包括:
根据所述第一恶意数据特征和所述第二恶意数据特征,对所述第一恶意访问数据和所述第二恶意访问数据中的字段进行统计,获得候选恶意字段,该步骤包括获取第一恶意数据特征和第二恶意数据特征中各种特征信息,并确定各种特征信息对应的第一恶意访问数据和第二恶意访问数据中的多种字段,进而将所述第一恶意访问数据和第二恶意访问数据中的多种字段确定为所述候选恶意字段,其中,所述特征信息包括第一恶意数据特征和第二恶意数据特征中的各种元素组,所述第一恶意访问数据和第二恶意访问数据中的多种字段分别对应于所述各种元素组;
根据所述第一正常数据特征和所述第二正常数据特征,对所述第一正常访问数据和所述第二正常访问数据中的字段进行统计,获得候选正常字段;
根据所述候选恶意字段,确定所述当前状态的白名单条件中的待删除条件;
根据所述候选恶意字段和所述候选正常字段,确定所述当前状态的白名单条件中的待新增条件;
根据所述当前状态的白名单条件、所述待删除条件和所述待新增条件,获得所述下一状态的白名单条件。
3.根据权利要求2所述的基于智能白名单验证的访问安全控制方法,其特征在于,根据所述候选恶意字段,确定所述当前状态的白名单条件中的待删除条件,包括:
根据公式,获得第一条件/>,其中,/>为所述候选恶意字段中,对应于所述第一恶意数据特征和所述第二恶意数据特征中的第k组元素的第i个字段出现的次数,I为所述候选恶意字段中,对应于所述第k组元素的字段的种类数量,n为第一恶意访问数据和第二恶意访问数据的总数,/>为预设的第一阈值,其中,第一恶意访问数据和第二恶意访问数据中用于描述操作或动作的字段与第一恶意数据特征和第二恶意数据特征中的元素组对应,将对应于第一恶意访问数据和第二恶意访问数据中不同字段的元素组进行排列,其中第k个元素组为所述第k组元素;
将所述候选恶意字段中,符合所述第一条件的字段,确定为待删除字段;
将所述当前状态的白名单条件中,包括所述待删除字段的条件,确定为所述待删除条件。
4.根据权利要求2所述的基于智能白名单验证的访问安全控制方法,其特征在于,根据所述候选恶意字段和所述候选正常字段,确定所述当前状态的白名单条件中的待新增条件,包括:
根据公式
获得第二条件,第三条件/>和第四条件/>,其中,/>候选正常字段中的基于所述第二正常访问数据统计的字段中,对应于第一正常数据特征和第二正常数据特征中第t组元素的第j个字段出现的次数,m为第二正常访问数据的数量,J为基于所述第二正常访问数据中的字段进行统计获得的字段中,对应于所述第t组元素的字段的种类数量,m为第二正常访问数据的总数,/>为候选恶意字段的集合,/>为第二正常数据特征中第t组元素,为候选恶意字段对应于第一恶意数据特征和所述第二恶意数据特征中的元素的集合,为预设的第二阈值;
将所述候选正常字段中的基于所述第二正常访问数据中的字段进行统计获得的字段中,符合所述第二条件、所述第三条件和所述第四条件的字段,确定为待新增字段;
根据所述待新增字段,生成所述待新增条件。
5.根据权利要求1所述的基于智能白名单验证的访问安全控制方法,其特征在于,根据所述第一正常数据特征、所述第一恶意数据特征、所述第二正常数据特征、所述第二恶意数据特征和所述网络访问数据的访问结果,对所述当前状态的网络安全控制模型进行训练,获得下一状态的网络安全控制模型,包括:
对所述第一正常数据特征、所述第一恶意数据特征、所述第二正常数据特征和所述第二恶意数据特征进行解码,获得所述第一正常数据特征对应的第一预测概率分布、所述第一恶意数据特征对应的第二预测概率分布、所述第二正常数据特征对应的第三预测概率分布和所述第二恶意数据特征对应的第四预测概率分布;
根据所述第一预测概率分布、所述第二预测概率分布、所述第三预测概率分布、所述第四预测概率分布和所述访问结果,确定所述当前状态的网络安全控制模型的损失函数;
根据所述损失函数对所述当前状态的网络安全控制模型进行训练,获得所述下一状态的网络安全控制模型。
6.根据权利要求5所述的基于智能白名单验证的访问安全控制方法,其特征在于,根据所述第一预测概率分布、所述第二预测概率分布、所述第三预测概率分布、所述第四预测概率分布和所述访问结果,确定所述当前状态的网络安全控制模型的损失函数,包括:
根据公式
确定所述损失函数L,其中,为第r个第一预测概率分布,/>为基于第r个第一正常访问数据的访问结果确定的参考概率分布,/>为第一正常访问数据的数量,/>,且r和/>为正整数,/>为第s个第二预测概率分布,/>基于第s个第一恶意访问数据的访问结果确定的参考概率分布,/>为第一恶意访问数据的数量,/>,且s和/>为正整数,/>为第x个第三预测概率分布,/>为基于第x个第二正常访问数据的访问结果确定的参考概率分布,/>为第二正常访问数据的数量,/>,且x和/>为正整数,为第y个第四预测概率分布,/>为基于第y个第二恶意访问数据的访问结果确定的参考概率分布,/>为第二恶意访问数据的数量,/>,且y和/>为正整数,和/>为权重系数。
7.根据权利要求6所述的基于智能白名单验证的访问安全控制方法,其特征在于,所述权重系数根据公式
来确定,其中,为预设概率阈值;
所述权重系数根据公式
来确定;
所述权重系数根据公式
来确定;
所述权重系数根据公式
来确定。
8.一种基于智能白名单验证的访问安全控制系统,其特征在于,包括:
接收模块,用于在预设时间段内,接收多个网络访问数据,其中,所述多个网络访问数据包括符合当前状态的白名单条件的第一访问数据,和不符合当前状态的白名单条件的第二访问数据;
划分模块,通过所述网络访问数据的访问结果,将所述第一访问数据划分为第一正常访问数据和第一恶意访问数据,并将所述第二访问数据划分为第二正常访问数据和第二恶意访问数据;
特征获取模块,用于通过当前状态的网络安全控制模型,获取所述第一正常访问数据的第一正常数据特征,所述第一恶意访问数据的第一恶意数据特征,所述第二正常访问数据的第二正常数据特征和所述第二恶意访问数据的第二恶意数据特征,其中,在第一访问数据的访问结果中,未进行过非正常处理的第一访问数据为第一正常访问数据,进行过非正常处理的第一访问数据为第一恶意访问数据,在第二访问数据的访问结果中,通过安全验证的第二访问数据为第二正常访问数据,未通过安全验证的第二访问数据为第二恶意访问数据;
白名单调整模块,用于根据所述第一正常数据特征、所述第一恶意数据特征、所述第二正常数据特征和所述第二恶意数据特征,对所述当前状态的白名单条件进行调整,获得下一状态的白名单条件,所述网络安全控制模型用于提取访问数据的数据特征,并基于数据特征确定访问数据是否为恶意访问数据,所述网络安全控制模型为深度学习神经网络模型;
训练模块,用于根据所述第一正常数据特征、所述第一恶意数据特征、所述第二正常数据特征、所述第二恶意数据特征和所述网络访问数据的访问结果,对所述当前状态的网络安全控制模型进行训练,获得下一状态的网络安全控制模型;
验证模块,用于使用所述下一状态的白名单条件对下一时间段内接收的网络访问数据进行安全验证,其中,所述下一时间段的长度等于所述预设时间段。
9.一种基于智能白名单验证的访问安全控制设备,其特征在于,包括:
处理器;
用于存储处理器可执行指令的存储器;
其中,所述处理器被配置为调用所述存储器存储的指令,以执行权利要求1至7中任意一项所述的方法。
10.一种计算机可读存储介质,其特征在于,其上存储有计算机程序指令,所述计算机程序指令被处理器执行时实现权利要求1至7中任意一项所述的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202310649420.1A CN116488937A (zh) | 2023-06-02 | 2023-06-02 | 基于智能白名单验证的访问安全控制方法和系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202310649420.1A CN116488937A (zh) | 2023-06-02 | 2023-06-02 | 基于智能白名单验证的访问安全控制方法和系统 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN116488937A true CN116488937A (zh) | 2023-07-25 |
Family
ID=87214062
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202310649420.1A Pending CN116488937A (zh) | 2023-06-02 | 2023-06-02 | 基于智能白名单验证的访问安全控制方法和系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN116488937A (zh) |
-
2023
- 2023-06-02 CN CN202310649420.1A patent/CN116488937A/zh active Pending
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN113743535B (zh) | 神经网络训练方法及装置以及图像处理方法及装置 | |
CN111524521B (zh) | 声纹提取模型训练方法和声纹识别方法、及其装置和介质 | |
JP7110413B2 (ja) | データ更新方法及び装置、電子機器並びに記憶媒体 | |
CN109934275B (zh) | 图像处理方法及装置、电子设备和存储介质 | |
CN110532956B (zh) | 图像处理方法及装置、电子设备和存储介质 | |
KR20220009965A (ko) | 네트워크 트레이닝 방법 및 장치, 타깃 검출 방법 및 장치와 전자 기기 | |
KR102412397B1 (ko) | 연관된 사용자를 추천하는 방법 및 디바이스 | |
CN111931844B (zh) | 图像处理方法及装置、电子设备和存储介质 | |
CN111435432B (zh) | 网络优化方法及装置、图像处理方法及装置、存储介质 | |
CN109165738B (zh) | 神经网络模型的优化方法及装置、电子设备和存储介质 | |
CN108960283B (zh) | 分类任务增量处理方法及装置、电子设备和存储介质 | |
KR20210114511A (ko) | 얼굴 이미지 인식 방법 및 장치, 전자 기기 및 저장 매체 | |
CN111259967B (zh) | 图像分类及神经网络训练方法、装置、设备及存储介质 | |
CN113569992B (zh) | 异常数据识别方法及装置、电子设备和存储介质 | |
CN110909815A (zh) | 神经网络训练、图像处理方法、装置及电子设备 | |
CN110781813B (zh) | 图像识别方法及装置、电子设备和存储介质 | |
CN110659690B (zh) | 神经网络的构建方法及装置、电子设备和存储介质 | |
US20210326649A1 (en) | Configuration method and apparatus for detector, storage medium | |
CN114338083A (zh) | 控制器局域网络总线异常检测方法、装置和电子设备 | |
CN111523599B (zh) | 目标检测方法及装置、电子设备和存储介质 | |
CN110633715B (zh) | 图像处理方法、网络训练方法及装置、和电子设备 | |
CN110909562A (zh) | 视频审核方法及装置 | |
CN109460458B (zh) | 查询改写意图的预测方法及装置 | |
CN116091208B (zh) | 基于图神经网络的信贷风险企业识别方法和装置 | |
WO2023092975A1 (zh) | 图像处理方法及装置、电子设备、存储介质及计算机程序产品 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |