一种基于免疫机制的安全防护方法、电子设备及存储介质转让专利
申请号 : CN202210915005.1
文献号 : CN115001866B
文献日 : 2022-11-08
发明人 : 戚建淮 , 周杰 , 杜玲禧 , 宋晶 , 张莉 , 刁润
申请人 : 成都市以太节点科技有限公司
摘要 :
本发明公开了一种基于免疫机制的安全防护方法、电子设备及存储介质,方法包括:S1,基于内生性免疫机制构建白名单库;S2,基于获得性免疫机制构建黑名单库;S3,基于黑名单库更新白名单库;S4,基于更新后的白名单库对信息网络系统进行防护。本发明先设定初始粒度,即初始时间节点数量对正常行为数据提取正常特征序列,以构建白名单库。后续对通过了白名单库检测但仍造成信息网络系统异常的异常行为数据,通过更细粒度,即增加时间节点数量提取扩展特征序列对比,实现定位异常行为数据的实质异常特征,以便于根据异常行为有针对性地对白名单库进行细粒度扩展与更新,以便于后续对此类隐蔽性异常行为的检测阻断,有效增强安全防护力度。
权利要求 :
1.一种基于免疫机制的安全防护方法,其特征在于,所述方法包括以下步骤:S1,基于内生性免疫机制构建白名单库,包括:
S11,信息网络系统运行第一时间段后,将使得信息网络系统正常运行的行为统计为正常行为,单个正常行为产生的数据作为单个正常行为数据,对正常行为数据分别对应提取正常特征序列,正常特征序列包括其对应正常行为数据在第一时间段内多个时间节点分别对应的归一化特征值;
S12,将所有正常特征序列分为多个类组,多个类组的正常特征序列构成白名单库;
S2,基于获得性免疫机制构建黑名单库,包括:
S21,信息网络系统基于白名单库防护运行第二时间段后,将使得信息网络系统不正常运行的行为统计为异常行为,单个异常行为产生的数据作为单个异常行为数据,对异常行为数据分别对应提取异常特征序列,异常特征序列包括其对应异常行为数据在第二时间段内多个时间节点分别对应的归一化特征值;第二时间段与第一时间段时长相同且起止时刻相同,时间节点设置也相同;
S22,找出与各异常特征序列相同的正常特征序列及其所属类组,将两个相同的异常特征序列和正常特征序列对应的异常行为数据和正常行为数据作为一个数据组;
S23,针对单个数据组的异常行为数据和正常行为数据,在其各自的时间段内不断同步增加时间节点数量并提取对应的扩展特征序列,正常行为数据和异常行为数据时间节点数量相同的扩展特征序列为一个扩展组,直至找出其内两个扩展特征序列不相同的扩展组,将该扩展组内异常行为数据的扩展特征序列作为异常扩展特征序列;
S24,基于白名单库内的类组构建包含相同空白类组的黑名单库,将各异常扩展特征序列按其对应的正常特征序列的类组存入黑名单库内对应的类组中;
S3,基于黑名单库更新白名单库,包括:
S31,统计黑名单库内各类组内所有异常扩展特征序列的时间节点数量的种类;
S32,对白名单库内各类组内的正常特征序列对应的正常行为数据,在第一时间段内基于黑名单库内对应类组的各种时间节点数量分别提取正常扩展特征序列,并将各正常扩展特征序列存入白名单库内对应类组中;
S33,将与黑名单库内各类组内异常扩展特征序列相同的白名单库内对应类组内的正常扩展特征序列删除,更新白名单库;
S4,基于更新后的白名单库对信息网络系统进行防护。
2.根据权利要求1所述的一种基于免疫机制的安全防护方法,其特征在于,所述S4包括以下子步骤:S41,信息网络系统后续运行中,将待检测行为产生的待检测行为数据按其发生时段置于虚拟时间中,虚拟时间与第一时间段时长相同且起止时刻相同,时间节点设置也相同;
S42,从待检测行为数据中提取待检测特征序列,待检测特征序列包括对应待检测行为数据在虚拟时间内多个时间节点分别对应的归一化特征值;
S43,将待检测特征序列与白名单库各类组内的正常特征序列进行对比,若不存在与其相同的正常特征序列,则判定对应待检测行为异常,对其进行阻断;若存在与其相同的正常特征序列,跳至S44;
S44,统计该正常特征序列所在类组内所有正常扩展特征序列的时间节点数量的种类,对待检测行为数据,在虚拟时间内基于白名单库内对应类组内正常扩展特征序列的各种时间节点数量分别提取待检测扩展特征序列;将各待检测扩展特征序列与白名单库对应类组内正常扩展特征序列对比,若各待检测扩展特征序列均存在相同正常扩展特征序列则判定对应待检测行为正常,允许访问,若存在待检测扩展特征序列找不到相同正常扩展特征序列则判定对应待检测行为异常,对其进行阻断。
3.根据权利要求1‑2任一项所述的一种基于免疫机制的安全防护方法,其特征在于,所述S12中将所有正常特征序列分为多个类组具体包括以下步骤:A1,基于正常特征序列包含的归一化特征值将各正常特征序列映射为多维空间不同的点,以各点为圆心分别限定半径相同的邻域球,基于邻域球内点的数量计算各邻域球的密度并按密度从大到小排列;
A2,提取密度最大的邻域球作为基准球;
A3,将基准球的圆心点存入一空白小类中;
A4,按顺序提取剩余的邻域球与当前基准球进行密度对比,若当前提取的邻域球与当前基准球的密度差值不大于差分阈值则将该邻域球的圆心点存入当前基准球的圆心点所在小类中,然后跳至步骤A4;若其密度差值大于差分阈值则将该邻域球作为基准球,跳至步骤A3;直至邻域球提取完;
A5,对照圆心点的分类将正常特征序列分为多个类组。
4.根据权利要求3所述的一种基于免疫机制的安全防护方法,其特征在于,所述A1中第i个邻域球的密度为: ,其中m表示邻域球的数量,即正常行为数据的数量, 表示第i个领域球内点的个数, 为邻域球的半径。
5.根据权利要求1‑2任一项所述的一种基于免疫机制的安全防护方法,其特征在于,所述S23中时间节点的单次增量为1。
6.根据权利要求1‑2任一项所述的一种基于免疫机制的安全防护方法,其特征在于,所述S23中时间节点的总增量设有上限值,如果时间节点总增量达到了上限值,但仍未找到其内两个扩展特征序列不相同的扩展组,则停止增加时间节点数量,并将该数据组内的异常行为数据及其对应的异常行为更正为正常。
7.根据权利要求1‑2任一项所述的一种基于免疫机制的安全防护方法,其特征在于,所述S11中第i个正常行为数据的第t个时间节点的归一化特征值为:;
所述步骤S21中第j个异常行为数据的第t个时间节点的归一化特征值为:
;
其中m表示正常行为数据的数量,h表示异常行为数据的数量,t表示时间节点的数量,表示第i个正常行为数据, 表示 在第t个时间节点的原始特征值, 表示 在n个时间节点中最小的原始特征值, 表示 在n个时间节点中最大的原始特征值;
表示第j个正常行为数据, 表示 在第t个时间节点的原始特征值, 表示 在n个时间节点中最小的原始特征值, 表示 在n个时间节点中最大的原始特征值。
8.一种电子设备,包括存储器及存储于其上的计算机程序、处理器,其特征在于,所述处理器执行所述计算机程序时实现如权利要求1‑7任一项所述的基于免疫机制的安全防护方法。
9.一种存储介质,其特征在于,所述存储介质中存储有计算机可执行指令,所述计算机可执行指令被处理器加载并执行时,实现如权利要求1‑7任一项所述的基于免疫机制的安全防护方法。
说明书 :
一种基于免疫机制的安全防护方法、电子设备及存储介质
技术领域
[0001] 本发明涉及网络安全领域,具体是一种基于免疫机制的安全防护方法、电子设备及存储介质。
背景技术
[0002] 随着数字社会、数字经济、数字产业的不断发展与完善,网络空间呈现多样化、复杂化的整体态势,恶意攻击行为可能从信息网络系统的漏洞侵入系统,产生攻击行为数据,破坏、更改系统中的事务及信息。传统的信息网络系统安全防护技术是通过已发生的攻击行为数据来构建黑名单,后续再次发生相同攻击时能进行防护,黑名单技术无法防护未知的攻击。
[0003] 白名单是一种新兴的网络安全防护技术,基于前期使得信息网络系统能正常运行的正常行为构建白名单,后续与白名单不匹配的行为均认定为异常行为,能对未知攻击起到较好的防护作用。白名单实质上是由对正常行为进行特征提取形成的能够表征正常行为的特征组成的,后续白名单防护通过对待检测行为进行特征提取并与白名单内的特征对比而实现。但随着安全防护技术的发展,网络攻击手段也在发展与变化,现有的网络攻击手段主要朝隐匿性、延时性发展,一些网络攻击能够通过将其特征伪装成正常行为的特征,通过白名单安全检测引发信息网络系统异常,现有技术中对这类攻击没有较好的检测方法。
发明内容
[0004] 本发明的目的在于解决现有技术的上述问题,提供了一种基于免疫机制的安全防护方法、电子设备及存储介质,本发明能够定位通过了白名单检测的异常行为的实质异常特征,并以此对白名单进行细粒度扩展更新,以便于后续对此类异常行为的检测阻断,有效增强安全防护力度。
[0005] 第一方面,本发明提供了一种基于免疫机制的安全防护方法,所述方法包括以下步骤:
[0006] S1,基于内生性免疫机制构建白名单库,包括:
[0007] S11,信息网络系统运行第一时间段后,将使得信息网络系统正常运行的行为统计为正常行为,单个正常行为产生的数据作为单个正常行为数据,对正常行为数据分别对应提取正常特征序列,正常特征序列包括其对应正常行为数据在第一时间段内多个时间节点分别对应的归一化特征值。
[0008] S12,将所有正常特征序列分为多个类组,多个类组的正常特征序列构成白名单库;
[0009] S2,基于获得性免疫机制构建黑名单库,包括:
[0010] S21,信息网络系统基于白名单库防护运行第二时间段后,将使得信息网络系统不正常运行的行为统计为异常行为,单个异常行为产生的数据作为单个异常行为数据,对异常行为数据分别对应提取异常特征序列,异常特征序列包括其对应异常行为数据在第二时间段内多个时间节点分别对应的归一化特征值;第二时间段与第一时间段时长相同且起止时刻相同,时间节点设置也相同;
[0011] S22,找出与各异常特征序列相同的正常特征序列及其所属类组,将两个相同的异常特征序列和正常特征序列对应的异常行为数据和正常行为数据作为一个数据组;
[0012] S23,针对单个数据组的异常行为数据和正常行为数据,在其各自的时间段内不断同步增加时间节点数量并提取对应的扩展特征序列,正常行为数据和异常行为数据时间节点数量相同的扩展特征序列为一个扩展组,直至找出其内两个扩展特征序列不相同的扩展组,将该扩展组内异常行为数据的扩展特征序列作为异常扩展特征序列;
[0013] S24,基于白名单库内的类组构建包含相同空白类组的黑名单库,将各异常扩展特征序列按其对应的正常特征序列的类组存入黑名单库内对应的类组中;
[0014] S3,基于黑名单库更新白名单库;
[0015] S4,基于更新后的白名单库对信息网络系统进行防护。
[0016] 优选地,所述步骤S3包括以下子步骤:
[0017] S31,统计黑名单库内各类组内所有异常扩展特征序列的时间节点数量的种类;
[0018] S32,对白名单库内各类组内的正常特征序列对应的正常行为数据,在第一时间段内基于黑名单库内对应类组的各种时间节点数量分别提取正常扩展特征序列,并将各正常扩展特征序列存入白名单库内对应类组中;
[0019] S33,将与黑名单库内各类组内异常扩展特征序列相同的白名单库内对应类组内的正常扩展特征序列删除,更新白名单库。
[0020] 优选地,所述步骤S4包括以下子步骤:
[0021] S41,信息网络系统后续运行中,将待检测行为产生的待检测行为数据按其发生时段置于虚拟时间中,虚拟时间与第一时间段时长相同且起止时刻相同,时间节点设置也相同;
[0022] S42,从待检测行为数据中提取待检测特征序列,待检测特征序列包括对应待检测行为数据在虚拟时间内多个时间节点分别对应的归一化特征值;
[0023] S43,将待检测特征序列与白名单库各类组内的正常特征序列进行对比,若不存在与其相同的正常特征序列,则判定对应待检测行为异常,对其进行阻断;若存在与其相同的正常特征序列,跳至S44;
[0024] S44,统计该正常特征序列所在类组内所有正常扩展特征序列的时间节点数量的种类,对待检测行为数据,在虚拟时间内基于白名单库内对应类组内正常扩展特征序列的各种时间节点数量分别提取待检测扩展特征序列;将各待检测扩展特征序列与白名单库对应类组内正常扩展特征序列对比,若各待检测扩展特征序列均存在相同正常扩展特征序列则判定对应待检测行为正常,允许访问,若存在待检测扩展特征序列找不到相同正常扩展特征序列则判定对应待检测行为异常,对其进行阻断。
[0025] 优选地,所述步骤S12中将所有正常特征序列分为多个类组具体包括以下步骤:
[0026] A1,基于正常特征序列包含的归一化特征值将各正常特征序列映射为多维空间不同的点,以各点为圆心分别限定半径相同的邻域球,基于邻域球内点的数量计算各邻域球的密度并按密度从大到小排列;
[0027] A2,提取密度最大的邻域球作为基准球;
[0028] A3,将基准球的圆心点存入一空白小类中;
[0029] A4,按顺序提取剩余的邻域球与当前基准球进行密度对比,若当前提取的邻域球与当前基准球的密度差值不大于差分阈值则将该邻域球的圆心点存入当前基准球的圆心点所在小类中,然后跳至步骤A4;若其密度差值大于差分阈值则将该邻域球作为基准球,跳至步骤A3;直至邻域球提取完;
[0030] A5,对照圆心点的分类将正常特征序列分为多个类组。
[0031] 优选地,所述步骤A1中第i个邻域球的密度为: ,其中m表示邻域球的数量,即正常行为数据的数量, 表示第i个领域球内点的个数, 为邻域球的半径。
[0032] 优选地,所述步骤S23中时间节点的单次增量为1。
[0033] 优选地,所述步骤S23中时间节点的总增量设有上限值,如果时间节点总增量达到了上限值,但仍未找到其内两个扩展特征序列不相同的扩展组,则停止增加时间节点数量,并将该数据组内的异常行为数据及其对应的异常行为更正为正常。
[0034] 优选地,所述步骤S11中第i个正常行为数据的第t个时间节点的归一化特征值为:;
[0035] 所述步骤S21中第j个异常行为数据的第t个时间节点的归一化特征值为:;
[0036] 其中m表示正常行为数据的数量,h表示异常行为数据的数量,t表示时间节点的数量, 表示第i个正常行为数据, 表示 在第t个时间节点的原始特征值, 表示在n个时间节点中最小的原始特征值, 表示 在n个时间节点中最大的原始特征值; 表示第j个正常行为数据, 表示 在第t个时间节点的原始特征值, 表示 在n个时间节点中最小的原始特征值, 表示 在n个时间节点中最大的原始特征值。
[0037] 第二方面,本发明提供了一种电子设备,包括存储器及存储于其上的计算机程序、处理器,所述处理器执行所述计算机程序时实现上述的基于免疫机制的安全防护方法。
[0038] 第三方面,本发明提供了一种存储介质,所述存储介质中存储有计算机可执行指令,所述计算机可执行指令被处理器加载并执行时,实现上述的基于免疫机制的安全防护方法。
[0039] 综上所述,本发明具有以下有益效果:先设定初始粒度,即初始时间节点数量对正常行为数据提取正常特征序列,以构建白名单库。后续对通过了白名单库检测但仍造成信息网络系统异常的异常行为数据,找到与之对应的正常行为数据,通过更细粒度,即增加时间节点数量提取扩展特征序列对比,实现定位异常行为数据的实质异常特征及实质异常特征的具体粒度,即具体时间节点数量,以便于根据异常行为有针对性地对正常行为数据提取具体粒度、即具体时间节点数量的正常扩展特征序列,从而实现根据异常行为有针对性地对白名单库进行细粒度扩展与更新,以便于后续对此类隐蔽性异常行为的检测阻断,有效增强安全防护力度。
[0040] 本发明的附加方面和优点将在下面的描述中部分给出,部分将从下面的描述中变得明显,或通过本发明的实践了解到。
附图说明
[0041] 为了更清楚地说明本发明实施例或现有技术中的技术方案和优点,下面将对实施例或现有技术描述中所需要使用的附图作简单的介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其它附图。
[0042] 图1为本发明一个具体实施例步骤S1的流程示意图。
[0043] 图2为本发明一个具体实施例步骤S2的流程示意图。
[0044] 图3为本发明一个具体实施例步骤S3的流程示意图。
[0045] 图4为本发明一个具体实施例步骤S4的流程示意图。
具体实施方式
[0046] 为了使本发明实施例公开的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明实施例进行进一步详细说明。应当理解,此处描述的具体实施例仅仅用以解释本发明实施例,并不用于限定本发明实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本申请保护的范围。所述实施例的示例在附图中示出,其中自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。
[0047] 需要说明的是,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或服务器不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
[0048] 信息网络系统是指应用通讯技术、计算机技术,对各种社会业务有关信息进行采集、加工、传递和保存,从而提高社会效率和质量或进行辅助决策的人机信息处理系统,例如政府部门的电子政务系统、工业企业的工控信息系统、销售企业的电子商务系统、交通部门的民航订票系统、铁路客票系统等。信息网络系统中各种电子业务是由一系列电子事务实现的,例如铁路客票系统的订票业务,是由用户登录、查询、预订、支付等一系列电子事务实现的,工控信息系统的操控业务,是由用户登录、参数配置、启动作业等一系列事务实现的。而信息网络系统中电子事务的实现原理为,请求方发起如登录、查询、下载、预订、配置等请求类行为,产生请求类行为数据,经由网络节点到达目标方,目标方分析前述行为数据并据此进行响应类行为,返回响应类行为数据。
[0049] 随着数字社会、数字经济、数字产业的不断发展与完善,网络空间呈现多样化、复杂化的整体态势,恶意攻击行为可能从信息网络系统的漏洞侵入系统,产生攻击行为数据,破坏、更改系统中的事务及信息。
[0050] 传统的信息网络系统安全防护技术是通过已发生的攻击行为数据来构建黑名单,后续再次发生相同攻击时能进行防护。而白名单技术,是基于前期使得信息网络系统能正常运行的正常行为构建白名单,后续与白名单不匹配的行为均认定为异常行为,能对未知攻击起到较好的防护作用。但黑/白名单实质上是由能够表征对应行为的数据特征构成的,后续安全防护则通过对待检测行为进行数据特征提取并与名单内的数据特征对比而实现。而随着安全防护技术的发展,网络攻击行为也在发展与变化,存在隐匿性、延时性的发展趋势,一些网络攻击能够通过将其数据特征伪装成正常行为的数据特征,通过白名单安全检测,引发信息网络系统异常。
[0051] 基于上述问题,本申请实施例提供一种基于免疫机制的安全防护方法,如图1所示,包括:
[0052] S1,基于内生性免疫机制构建白名单库,包括:
[0053] S11,信息网络系统运行第一时间段后,将使得信息网络系统正常运行的行为统计为正常行为,单个正常行为产生的数据作为单个正常行为数据,对正常行为数据分别对应提取正常特征序列,正常特征序列包括其对应正常行为数据在第一时间段内多个时间节点分别对应的归一化特征值。
[0054] S12,将所有正常特征序列分为多个类组,多个类组的正常特征序列构成白名单库;
[0055] 在本发明的一些实施例中,所述步骤S12中将所有正常特征序列分为多个类组具体包括以下步骤:
[0056] A1,基于正常特征序列包含的归一化特征值将各正常特征序列映射为多维空间不同的点,以各点为圆心分别限定半径相同的邻域球,基于邻域球内点的数量计算各邻域球的密度并按密度从大到小排列;
[0057] A2,提取密度最大的邻域球作为基准球;
[0058] A3,将基准球的圆心点存入一空白小类中;
[0059] A4,按顺序提取剩余的邻域球与当前基准球进行密度对比,若当前提取的邻域球与当前基准球的密度差值不大于差分阈值则将该邻域球的圆心点存入当前基准球的圆心点所在小类中,然后跳至步骤A4;若其密度差值大于差分阈值则将该邻域球作为基准球,跳至步骤A3;直至邻域球提取完;
[0060] A5,对照圆心点的分类将正常特征序列分为多个类组。
[0061] 下面结合具体实施例对步骤S1进行说明:信息网络系统运行 时间后,统计得到m个正常行为,对应产生m个正常行为数据 ,第i个正常行为数据表示为 。时间设置n个时间节点,对应 时间内n个时间节点分别对 提取原始特征值,其中第t个时间节点的原始特征值表示为 ,对应的归一化特征值为,其中 表示 在n个时间节点
中最小的原始特征值, 表示 在n个时间节点中最大的原始特征值。 对应的正常特征序列为 ,m个正常行为数据对应提取m个正常特征序列
。
中最小的原始特征值, 表示 在n个时间节点中最大的原始特征值。 对应的正常特征序列为 ,m个正常行为数据对应提取m个正常特征序列
。
[0062] 将 映射于n维空间的点 , 坐标为 ,m个正常特征序列对应映射m个点 。以各点为圆心形成m个邻域球 ,第i个邻域球
的密度为 ,其中 表示第i个领域球 内点的个数, 为邻域球的半径。邻域球按密度从大到小排列后表示为 ,密度排列第i名的邻域球表示为
,对应地邻域球按密度从大到小排列后各圆心点为 ,密
度排列第i名的邻域球的圆心点表示为 。
的密度为 ,其中 表示第i个领域球 内点的个数, 为邻域球的半径。邻域球按密度从大到小排列后表示为 ,密度排列第i名的邻域球表示为
,对应地邻域球按密度从大到小排列后各圆心点为 ,密
度排列第i名的邻域球的圆心点表示为 。
[0063] 设定差分阈值为 ,将 作为基准球, 存入一空白小类 ,提取 与 进行密度对比,若其密度差值不大于 ,则将 存入 ,得到 ,并继续提取 进行对比;若其密度差值大于 ,则 自成一类,提取 作为基准球, 存入一空白小类 ,提取进行对比;直至 提取对比完成。
[0064] 按上述方法进行密度聚类后,m个圆心点分为了p类。对应圆心点分类将m个正常特征序列分为p个类
组 ,得到白名单库 , 表示白名单库中的第
q个类组。
组 ,得到白名单库 , 表示白名单库中的第
q个类组。
[0065] 步骤S2,基于获得性免疫机制构建黑名单库,如图2所示,包括:
[0066] S21,信息网络系统基于白名单库防护运行第二时间段后,将使得信息网络系统不正常运行的行为统计为异常行为,单个异常行为产生的数据作为单个异常行为数据,对异常行为数据分别对应提取异常特征序列,异常特征序列包括其对应异常行为数据在第二时间段内多个时间节点分别对应的归一化特征值;第二时间段与第一时间段时长相同且起止时刻相同,时间节点设置也相同。
[0067] 由于异常行为是信息网络系统进行了白名单库防护后仍发现的,也就是说,各异常行为是通过了白名单库对比检测的,因此各异常行为数据对应的异常特征序列一定能在白名单库中找到与之相同的正常特征序列。并且这些异常行为正是将其特征在特定粒度上伪装成与正常特征序列相同才得以通过检测,因此,在找到相同的正常特征序列后,不能简单地将这些正常特征序列删除,这会导致这些正常特征序列表征的正常行为被误判为异常行为,而是应该将相同的正常特征序列和异常特征序列对应的正常行为数据和异常行为数据进行更细粒度特征的对比,以找出异常行为数据实质上的异常特征。因此步骤S2还包括:
[0068] S22,找出与各异常特征序列相同的正常特征序列及其所属类组,将两个相同的异常特征序列和正常特征序列对应的异常行为数据和正常行为数据作为一个数据组;
[0069] S23,针对单个数据组的异常行为数据和正常行为数据,在其各自的时间段内不断同步增加时间节点数量并提取对应的扩展特征序列,正常行为数据和异常行为数据时间节点数量相同的扩展特征序列为一个扩展组,直至找出其内两个扩展特征序列不相同的扩展组,将该扩展组内异常行为数据的扩展特征序列作为异常扩展特征序列;在本申请的一些实施例中,所述步骤S23中时间节点的单次增量为1;为了避免陷入死循环,在本申请的一些实施例中,所述步骤S23中时间节点的总增量设有上限值,如果时间节点总增量达到了上限值,但仍未找到其内两个扩展特征序列不相同的扩展组,则停止增加时间节点数量,并将该数据组内的异常行为数据及其对应的异常行为更正为正常;
[0070] S24,基于白名单库内的类组构建包含相同空白类组的黑名单库,将各异常扩展特征序列按其对应的正常特征序列的类组存入黑名单库内对应的类组中。需要说明的是,对于白名单库中的某一个或多个类组,不一定存在异常特征序列与其内的正常特征序列相同,那么也就不存在异常扩展特征序列与这些类组内的正常特征序列对应;反之,对于白名单库中的其余某一个或多个类组,又可能存在多条异常特征序列与其内的正常特征序列相同,且可能在进行更细粒度的扩展特征序列对比后,找出的异常扩展特征序列的时间节点数量又不同,因此最终得到的黑名单库中可能存在空类组,也可能在相同类组中存在多种时间节点数量的异常扩展特征序列。
[0071] 下面结合具体实施例对步骤S2进行说明:在建立好白名单库进行防护后,信息网络系统运行 时间后,统计得到h个异常行为,对应产生h个异常行为数据 ,第j个异常行为数据表示为 。对应 时间内n个时间节点对 提取原始特征值,其中第t个时间节点的原始特征值表示为 ,对应的归一化特征值为,,其中 表示 在n个时间节
点中最小的原始特征值, 表示 在n个时间节点中最大的原始特征值。 对应的异常特征序列为 ,h个异常行为数据对应提取h个异常特征序列
,且 。
点中最小的原始特征值, 表示 在n个时间节点中最大的原始特征值。 对应的异常特征序列为 ,h个异常行为数据对应提取h个异常特征序列
,且 。
[0072] 找到第j个异常特征序列 与正常特征序列 相同, 又被划分于白名单库第q个类组 中。
[0073] 将 和 对应的异常行为数据 和正常行为数据 作为一个数据组,针对 与,首先将 和 时间节点数量同步增加至n+1, 在n+1个时间节点中第t个时间节点对应的原始特征值为 ,对应的归一化特征值为,相似地, 表示 在n+
1个时间节点中最小的原始特征值, 表示 在n+1个时间节点中最大的原始特征值,则时间节点数量为n+1时对 提取的扩展特征序列为 ;
对应地,时间节点数量为n+1时 对应的扩展特征序列为
, 表示 在n+1个时间节点中第t个时间节点的归一化特征值。
1个时间节点中最小的原始特征值, 表示 在n+1个时间节点中最大的原始特征值,则时间节点数量为n+1时对 提取的扩展特征序列为 ;
对应地,时间节点数量为n+1时 对应的扩展特征序列为
, 表示 在n+1个时间节点中第t个时间节点的归一化特征值。
[0074] 将 和 作为一个扩展组,若 和 不相同,则停止增加时间节点数量,并将 作为异常扩展特征序列存入黑名单库中第q个类组中;若 和 相同,则继续将 和 时间节点数量同步增加至n+2,并提取 和 进行对比,按前述方法根据比对结果跳转相应操作。设定时间节点总增量上限为k,若 和 时间节点数量同步增加至n+k的过程中, ,则停止增加时间节点数量,并将 及其对应的异常行为更正为正常。
[0075] 经过上述步骤,形成黑名单库 , 表示黑名单库中的第q个类组。
[0076] 构建了黑名单库后,为了节省后续安全防护检测流程,将需先进行白名单库检测再进行黑名单库检测简化为只需进行白名单库检测,本申请方法还包括步骤S3,基于黑名单库更新白名单库。
[0077] 白名单库中正常特征序列与黑名单库中异常扩展特征序列粒度,即时间节点数量不同,不能直接进行对比扩展更新,需要进行处理,因此,在本申请的一些实施例中,如图3所示,所述步骤S3包括以下子步骤:
[0078] S31,统计黑名单库内各类组内所有异常扩展特征序列的时间节点数量的种类;
[0079] S32,对白名单库内各类组内的正常特征序列对应的正常行为数据,在第一时间段内基于黑名单库内对应类组的各种时间节点数量分别提取正常扩展特征序列,并将各正常扩展特征序列存入白名单库内对应类组中;需要说明的是,对于黑名单库内空白类组,其时间节点数量种类为0,其对应的白名单库的类组对应的正常行为数据自然无需提取正常扩展特征序列;
[0080] S33,将与黑名单库内各类组内异常扩展特征序列相同的白名单库内对应类组内的正常扩展特征序列删除,更新白名单库。
[0081] 最后,本申请方法包括步骤S4,基于更新后的白名单库对信息网络系统进行防护。
[0082] 在本申请的一些实施例中,如图4所示,所述步骤S4包括以下子步骤:
[0083] S41,信息网络系统后续运行中,将待检测行为产生的待检测行为数据按其发生时段置于虚拟时间中,虚拟时间与第一时间段时长相同且起止时刻相同,时间节点设置也相同;
[0084] S42,从待检测行为数据中提取待检测特征序列,待检测特征序列包括对应待检测行为数据在虚拟时间内多个时间节点分别对应的归一化特征值;
[0085] S43,将待检测特征序列与白名单库各类组内的正常特征序列进行对比,若不存在与其相同的正常特征序列,则判定对应待检测行为异常,对其进行阻断;若存在与其相同的正常特征序列,跳至S44,进一步进行多种细粒度,即多种时间节点数量的扩展特征对比,提高对隐藏式攻击行为的检出率;
[0086] S44,统计该正常特征序列所在类组内所有正常扩展特征序列的时间节点数量的种类,对待检测行为数据,在虚拟时间内基于白名单库内对应类组内正常扩展特征序列的各种时间节点数量分别提取待检测扩展特征序列;将各待检测扩展特征序列与白名单库对应类组内正常扩展特征序列对比,优选为与时间节点数量相同的正常扩展特征序列对比,若各待检测扩展特征序列均存在相同正常扩展特征序列则判定对应待检测行为正常,允许访问,若存在待检测扩展特征序列找不到相同正常扩展特征序列则判定对应待检测行为异常,对其进行阻断。
[0087] 下面结合具体实施例对步骤S3、S4进行说明:在本实施例中,统计到黑名单库内第q个类组 内有3种时间节点数量的异常扩展特征序列,分别为 。 对应的白名单库类组 , ,对应的正常行为数据为 。对这些正
常 行 为 数 据 按 上 述 3 种时 间 节 点 数 量 提 取 正 常 扩 展 特 征 序 列 得 到,正常扩展特征序列的提取方法与
上述扩展特征序列的提取方法相似 ,这里不再作详细描述。最 后得到
,将 和 对比,删除 中与 异常
扩展特征序列相同的正常扩展特征序列。本实施例中 ,
最终得到更新后的第q个类组
,更新后的白名单库表示为 。
常 行 为 数 据 按 上 述 3 种时 间 节 点 数 量 提 取 正 常 扩 展 特 征 序 列 得 到,正常扩展特征序列的提取方法与
上述扩展特征序列的提取方法相似 ,这里不再作详细描述。最 后得到
,将 和 对比,删除 中与 异常
扩展特征序列相同的正常扩展特征序列。本实施例中 ,
最终得到更新后的第q个类组
,更新后的白名单库表示为 。
[0088] 信息网络系统后续运行产生待检测行为数据R,R实际发生时段为 ,将其至于虚拟时间 中,对应 时间内n个时间节点对R提取原始特征值,其中第t个时间节点的原始特征值表示为 ,落入 的时间节点的原始特征值由待检测行为数据R决定,未落入 的时间节点的原始特征值为0。第t个时间节点的归一化特征值为 ,其中 表示R在n个时间节点中最小的原始特征值, 表示R在n个时间节点中最大的原始特征值。R对应的待检测特征序列为 。
[0089] 将 与白名单库 进行对比,若 ,则判定 对应的待检测行为异常;若,本实施例中 ,找到 被划分于白名单库第q个类组 中, 包括n+1、n+3、n+4这3种时间节点数量的正常扩展特征序列。对待检测行为数据R按这3种时间节点数量提取待检测扩展特征序列,得到 ,待检测扩展特征序列的提取方法与上述扩展特征序列的提取方法相似,这里不再作详细描述。将 与 中 相比, 与中 相比, 与 中 相比,若 、 、 均能找到与之相
同的正常扩展特征序列则判定对应待检测行为正常,若 、 、 中有至少1个不能找到与之相同的正常扩展特征序列则判定对应待检测行为异常。
同的正常扩展特征序列则判定对应待检测行为正常,若 、 、 中有至少1个不能找到与之相同的正常扩展特征序列则判定对应待检测行为异常。
[0090] 本发明先设定初始粒度,即初始时间节点数量对正常行为数据提取正常特征序列,以构建白名单库。后续对通过了白名单库检测但仍造成信息网络系统异常的异常行为数据,找到与之对应的正常行为数据,通过更细粒度,即增加时间节点数量提取扩展特征序列对比,实现定位异常行为数据的实质异常特征及实质异常特征的具体粒度,即具体时间节点数量,以便于根据异常行为有针对性地对正常行为数据提取具体粒度、即具体时间节点数量的正常扩展特征序列,从而实现根据异常行为有针对性地对白名单库进行细粒度扩展与更新,以便于后续对此类隐蔽性异常行为的检测阻断,有效增强安全防护力度。
[0091] 本申请实施例还提供一种电子设备,包括存储器、处理器,存储器和处理器可以通过总线或其它方式连接。存储器可用于存储软件程序、计算机程序及模块,如上述基于免疫机制的安全防护方法对应的程序/模块;处理器通过执行存储器中的计算机程序及模块,实现上述的基于免疫机制的安全防护方法。
[0092] 处理器可以为中央处理器、数字信号处理器、专用集成电路、现场可编程门阵列等,存储器可以为高速随机存取存储器、非暂态存储器等。
[0093] 本申请实施例还提供一种存储介质,所述存储介质中存储有计算机可执行指令,所述计算机可执行指令被处理器加载并执行时,实现上述基于免疫机制的安全防护方法。其中,存储介质可为磁碟、光盘、只读存储记忆体、随机存储记忆体、快闪存储器、硬盘等中的一种或多种的组合。
[0094] 需要说明的是:上述本发明实施例先后顺序仅仅为了描述,不代表实施例的优劣。且上述对本说明书特定实施例进行了描述,其它实施例在所附权利要求书的范围内。在一些情况下,在权利要求书中记载的动作或步骤可以按照不同于实施例中的顺序来执行并且仍然可以实现期望的结果。另外,在附图中描绘的过程不一定要求示出的特定顺序或者连续顺序才能实现期望的结果。在某些实施方式中,多任务处理和并行处理也是可以的或者可能是有利的。
[0095] 本说明书中的各个实施例均采用递进的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。
[0096] 本领域普通技术人员可以理解实现上述实施例的全部或部分步骤可以通过硬件来完成,也可以通过程序来指令相关的硬件完成。以上所述仅为本发明的较佳实施例,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。