CN110334517A - 可信策略的更新方法及装置、可信安全管理平台 - Google Patents

可信策略的更新方法及装置、可信安全管理平台 Download PDF

Info

Publication number
CN110334517A
CN110334517A CN201910605620.0A CN201910605620A CN110334517A CN 110334517 A CN110334517 A CN 110334517A CN 201910605620 A CN201910605620 A CN 201910605620A CN 110334517 A CN110334517 A CN 110334517A
Authority
CN
China
Prior art keywords
period
kth
credible
abnormal behavior
variance
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201910605620.0A
Other languages
English (en)
Other versions
CN110334517B (zh
Inventor
孙瑜
洪宇
田文慧
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
BEIJING HUATECH TRUSTED COMPUTING INFORMATION TECHNOLOGY Co Ltd
Original Assignee
BEIJING HUATECH TRUSTED COMPUTING INFORMATION TECHNOLOGY Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by BEIJING HUATECH TRUSTED COMPUTING INFORMATION TECHNOLOGY Co Ltd filed Critical BEIJING HUATECH TRUSTED COMPUTING INFORMATION TECHNOLOGY Co Ltd
Priority to CN201910605620.0A priority Critical patent/CN110334517B/zh
Publication of CN110334517A publication Critical patent/CN110334517A/zh
Application granted granted Critical
Publication of CN110334517B publication Critical patent/CN110334517B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Storage Device Security (AREA)
  • Debugging And Monitoring (AREA)

Abstract

本发明公开了一种可信策略的更新方法及装置、可信安全管理平台。其中,该方法包括:统计目标应用程序在前k个周期中的每个周期的行为异常率,其中,行为异常率为异常行为数与行为总数的比值,异常行为是指除可信策略中已指示行为集合之外的行为,可信策略是根据前k个周期内目标应用程序的访问行为数据学***均值和方差值;基于每个周期的行为异常率的平均值和方差值,确定目标区间,其中,目标区间用于指示可信策略是否需要更新;基于目标区间,利用前k个周期之后的第k+1个周期和第k+2个周期的行为异常率,确定是否需要更新可信策略。

Description

可信策略的更新方法及装置、可信安全管理平台
技术领域
本发明涉及可信管理技术领域,具体而言,涉及一种可信策略的更新方法及装置、可信安全管理平台。
背景技术
在相关技术中,可信计算需要依据可信策略进行可信度量,目前,可信策略通常是安全管理员基于自身对应用程序访问行为的认知手动配置的,如果可信策略需要更新,也是由安全管理员手动配置进行更新。但是这种通过安全管理员手动更新可信策略的方式,不仅对安全管理员的主观意识依赖性较大,而且由于安全管理员对应用程序访问行为的认知可能存在片面化的问题,将会导致可信策略更新速度较慢、准确度较低,更新后的可信策略往往无法进行有效的安全防护,导致安全防护误拦率高或者安全防护不安全的问题,此外,由安全管理员手动进行可信策略更新,更新效率较低。
针对上述的问题,目前尚未提出有效的解决方案。
发明内容
本发明实施例提供了一种可信策略的更新方法及装置、可信安全管理平台,以至少解决通过安全管理员手动更新可信策略,会导致更新效率较低的技术问题。
根据本发明实施例的一个方面,提供了一种可信策略的更新方法,包括:统计目标应用程序在前k个周期中的每个周期的行为异常率,其中,所述行为异常率为异常行为数与行为总数的比值,异常行为是指除可信策略中已指示行为集合之外的行为,所述可信策略是根据所述前k个周期内所述目标应用程序的访问行为数据学***均值和方差值;基于所述每个周期的行为异常率的平均值和方差值,确定目标区间,其中,所述目标区间用于指示所述可信策略是否需要更新;基于所述目标区间,利用所述前k个周期之后的第k+1个周期和第k+2个周期的行为异常率,确定是否需要更新所述可信策略。
可选地,基于所述目标区间,利用所述前k个周期之后的第k+1个周期和第k+2个周期的行为异常率,确定是否需要更新所述可信策略的步骤,包括:判断第k+1个周期和第k+2个周期的行为异常率是否超出所述目标区间;若超出所述目标区间,则确定所述可信策略运行不稳定,并以第k+1个周期和第k+2个周期的访问行为数据更新所述可信策略;若未超出所述目标区间,则以第k+1个周期和第k+2个周期的方差变化值和平均值确定是否需要更新所述可信策略。
可选地,以第k+1个周期和第k+2个周期的方差变化值和平均值确定是否需要更新所述可信策略的步骤,包括:判断所述第k+1个周期和第k+2个周期的方差变化值是否小于等于方差变化阈值,并判断所述第k+1个周期和第k+2个周期的平均值是否小于等于预设平均阈值;若第k+1个周期和第k+2个周期的方差变化值小于等于所述方差变化阈值,且第k+1个周期和第k+2个周期的所述平均值小于等于预设平均阈值,则确定所述可信策略稳定,无需更新所述可信策略;若所述第k+1个周期方差变化值大于所述方差变化阈值,或者,所述第k+2个周期的方差变化值大于所述方差变化阈值,或者,所述第k+1个周期的平均值大于所述预设平均阈值,或者,所述第k+2个周期的平均值大于所述预设平均阈值,则确定所述可信策略不稳定,并以第k+1个周期和第k+2个周期的访问行为数据更新所述可信策略。
可选地,以第k+1个周期和第k+2个周期的访问行为数据更新所述可信策略的步骤,包括:将第k+1个周期、第k+2个周期以及前k个周期中的访问行为数据作为初始处理数据;基于所述初始处理数据,学习得到新的可信策略。
可选地,在判断所述第k+1个周期和第k+2个周期的方差变化值是否小于等于方差变化阈值之前,所述更新方法还包括:统计目标应用程序在前k+1个周期和前k+2个周期中的每个周期的行为异常率;基于所述每个周期的行为异常率,计算前k+1个周期和前k+2个周期中的每个周期的行为异常率的平均值;基于每个周期的行为异常率的平均值,计算前k+1个周期和前k+2个周期中的每个周期的行为异常率的方差值;基于所述每个周期的行为异常率的方差值,计算前k+1个周期和前k+2个周期中的每个周期的行为异常率的方差变化值;选取最小的行为异常率的方差变化值,与预设的方差限制阈值进行比较,确定所述方差变化阈值;选取最小的行为异常率的平均值,与预设的平均限制阈值进行比较,以确定预设平均阈值。
可选地,基于所述目标区间,计算所述每个周期的行为异常率的平均值和方差值之后,所述更新方法还包括:基于所述行为异常率的平均值评估所述行为异常率的变化趋势;和/或,基于所述行为异常率的方差值评估所述行为异常率的稳定性。
根据本发明实施例的另一方面,还提供了一种可信策略的更新装置,包括:统计单元,用于统计目标应用程序在前k个周期中的每个周期的行为异常率,其中,所述行为异常率为异常行为数与行为总数的比值,异常行为是指除可信策略中已指示行为集合之外的行为,所述可信策略是根据所述前k个周期内所述目标应用程序的访问行为数据学***均值和方差值;第一确定单元,用于基于所述每个周期的行为异常率的平均值和方差值,确定目标区间,其中,所述目标区间用于指示所述可信策略是否需要更新;第二确定单元,用于基于所述目标区间,利用所述前k个周期之后的第k+1个周期和第k+2个周期的行为异常率,确定是否需要更新所述可信策略。
可选地,所述第二确定单元包括:第一判断模块,用于判断第k+1个周期和第k+2个周期的行为异常率是否超出所述目标区间;第一确定模块,用于在超出所述目标区间时,确定所述可信策略运行不稳定,并以第k+1个周期和第k+2个周期的访问行为数据更新所述可信策略;第二确定模块,用于在未超出所述目标区间时,以第k+1个周期和第k+2个周期的方差变化值和平均值确定是否需要更新所述可信策略。
可选地,第二确定模块包括:第一判断子模块,用于判断所述第k+1个周期和第k+2个周期的方差变化值是否小于等于方差变化阈值,并判断所述第k+1个周期和第k+2个周期的平均值是否小于等于预设平均阈值;第一确定子模块,用于在第k+1个周期和第k+2个周期的方差变化值小于等于所述方差变化阈值,且第k+1个周期和第k+2个周期的所述平均值小于等于预设平均阈值时,确定所述可信策略稳定,无需更新所述可信策略;若所述第k+1个周期方差变化值大于所述方差变化阈值,或者,所述第k+2个周期的方差变化值大于所述方差变化阈值,或者,所述第k+1个周期的平均值大于所述预设平均阈值,或者,所述第k+2个周期的平均值大于所述预设平均阈值,则确定所述可信策略不稳定,并以第k+1个周期和第k+2个周期的访问行为数据更新所述可信策略。
可选地,第一确定子模块包括:第二确定子模块,用于将第k+1个周期、第k+2个周期以及前k个周期中的访问行为数据作为初始处理数据;学习子模块,用于基于所述初始处理数据,学习得到新的可信策略。
可选地,所述可信策略的更新装置还包括:第一统计模块,用于在判断所述第k+1个周期和第k+2个周期的方差变化值是否小于等于方差变化阈值之前,统计目标应用程序在前k+1个周期和前k+2个周期中的每个周期的行为异常率;第一计算模块,用于基于所述每个周期的行为异常率,计算前k+1个周期和前k+2个周期中的每个周期的行为异常率的平均值;第二计算模块,用于基于每个周期的行为异常率的平均值,计算前k+1个周期和前k+2个周期中的每个周期的行为异常率的方差值;第三计算模块,用于基于所述每个周期的行为异常率的方差值,计算前k+1个周期和前k+2个周期中的每个周期的行为异常率的方差变化值;第一比较模块,用于选取最小的行为异常率的方差变化值,与预设的方差限制阈值进行比较,确定所述方差变化阈值;第二比较模块,用于选取最小的行为异常率的平均值,与预设的平均限制阈值进行比较,以确定预设平均阈值。
可选地,所述可信策略的更新装置还包括:第一评估单元,用于基于所述目标区间,计算所述每个周期的行为异常率的平均值和方差值之后,基于所述行为异常率的平均值评估所述行为异常率的变化趋势;和/或,第二评估单元,用于基于所述行为异常率的方差值评估所述行为异常率的稳定性。
根据本发明实施例的另一方面,还提供了一种可信安全管理平台,包括:存储器,与所述存储器耦合的处理器,所述存储器和所述处理器通过总线***相通信;所述存储器用于存储程序,其中,所述程序在被处理器执行时控制所述存储器所在设备执行上述任意一项所述的可信策略的更新方法,所述处理器用于运行程序,其中,所述程序运行时执行上述任意一项所述的可信策略的更新方法。
根据本发明实施例的另一方面,还提供了一种处理器,所述处理器用于运行程序,其中,所述程序运行时执行上述任意一项所述的可信策略的更新方法。
在本发明实施例中,前k个周期中的每个周期的行为异常率来确定目标区间,对该目标区间,利用第k+1个周期和第k+2个周期的行为异常率,确定是否需要更新可信策略,利用异常率表现应用程序的历史访问行为不符合已学习到可信策略的程度,可以先进行目标区间(即异常区间)判定,然后利用该目标区间判断学习的策略是否充分或者策略是否需要更新,从而实现自动更新可信策略,在确定可信策略不合理时,及时根据新的数据更新可信策略,提高可信策略的更新效率,从而解决通过安全管理员手动更新可信策略,会导致更新效率较低的技术问题。
附图说明
此处所说明的附图用来提供对本发明的进一步理解,构成本申请的一部分,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中:
图1是根据本发明实施例一种可选的可信策略的更新方法的流程图;
图2是根据本发明实施例的一种可选的可信策略的更新装置的示意图。
具体实施方式
为了使本技术领域的人员更好地理解本发明方案,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分的实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本发明保护的范围。
需要说明的是,本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本发明的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、***、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
本发明各实施例中的可信策略的更新方法的执行主体为可信安全管理平台,可信安全管理平台用于支持维护多个可信计算平台,可信计算平台包括并行的计算子***与防护子***,其中,计算子***用于完成计算任务,而防护子***用于根据可信策略对计算子***进行主动度量,可信计算平台负责采集应用程序的访问行为数据,并上报给可信安全管理平台,可信安全管理平台基于这些访问行为数据学习得到可信策略,在得到可信策略后,可以基于应用程序在在各个周期的行为异常率更新可信策略。下面结合各个实施例对本发明进行详细说明。
实施例一
根据本发明实施例,提供了一种可信策略的更新方法实施例,需要说明的是,在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机***中执行,并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。
图1是根据本发明实施例一种可选的可信策略的更新方法的流程图,如图1所示,该方法包括如下步骤:
步骤S102,统计目标应用程序在前k个周期中的每个周期的行为异常率,其中,行为异常率为异常行为数与行为总数的比值,异常行为是指除可信策略中已指示行为集合之外的行为,可信策略是根据前k个周期内目标应用程序的访问行为数据学习得到的策略;
步骤S104,计算每个周期的行为异常率的平均值和方差值;
步骤S106,基于每个周期的行为异常率的平均值和方差值,确定目标区间,其中,目标区间用于指示可信策略是否需要更新;
步骤S108,基于目标区间,利用前k个周期之后的第k+1个周期和第k+2个周期的行为异常率,确定是否需要更新可信策略。
通过上述步骤,可以采用统计目标应用程序在前k个周期中的每个周期的行为异常率,其中,行为异常率为异常行为数与行为总数的比值,异常行为是指除可信策略中已指示行为集合之外的行为,可信策略是根据前k个周期内目标应用程序的访问行为数据学***均值和方差值,并基于每个周期的行为异常率的平均值和方差值,确定目标区间,其中,目标区间用于指示可信策略是否需要更新,然后基于目标区间,利用前k个周期之后的第k+1个周期和第k+2个周期的行为异常率,确定是否需要更新可信策略。在该实施例中,可以利用前k个周期中的每个周期的行为异常率来确定目标区间,对该目标区间,利用第k+1个周期和第k+2个周期的行为异常率,确定是否需要更新可信策略,利用异常率表现应用程序的历史访问行为不符合已学习到可信策略的程度,可以先进行目标区间(即异常区间)判定,然后利用该目标区间判断学习的可信策略是否充分或者策略是否需要更新,从而实现自动更新可信策略,在确定可信策略不合理时,及时根据新的数据更新可信策略,提高可信策略的更新效率,从而解决通过安全管理员手动更新可信策略,会导致更新效率较低的技术问题。
下面对本发明上述各步骤进行详细说明。
步骤S102,统计目标应用程序在前k个周期中的每个周期的行为异常率,其中,行为异常率为异常行为数与行为总数的比值,异常行为是指除可信策略中已指示行为集合之外的行为,可信策略是根据前k个周期内目标应用程序的访问行为数据学习得到的策略。
本发明实施例中通过异常率表现每天程序行为不符合已学习到可信策略的规则的程度,异常率是应用行为不符合已归纳集合的比例。通过行为异常率的变化来评估学习到的可信策略是否需要更新。在本发明实施例中,以固定周期进行评估直到行为异常率的方差稳定。
可选的,本发明会先统计前k个周期中的每个周期的行为异常率,每个周期的时长可以根据每个可信计算平台的应用程序运行情况自行调整,例如,设置一个周期为5天,6天,7天;而选取的周期数量k是预先设置的,例如,选取前6个周期,一个周期时长为5天,先对这30天内目标应用程序的历史访问行为数据进行统计归纳分析,得到对应的可信策略,然后对该可信策略进行评估,确定是否需要更新。
作为本发明一种可选的实施例,以ai表示异常率,指示第i天的异常率;以Si表示方差,第i个周期内的方差;以T表示为时间周期,单位天,可设置为5的整数倍数;以M表示访问行为数据,为前M天的数据,可设置M大于等于30,且是T的整数倍数。该M表示前6个周期的访问行为数据,此时k为6,统计目标应用程序在前6个周期中的每个周期的ai
步骤S104,计算每个周期的行为异常率的平均值和方差值。
步骤S106,基于每个周期的行为异常率的平均值和方差值,确定目标区间,其中,目标区间用于指示可信策略是否需要更新。
例如,以RateD表示目标区间,该目标区间可以表示为RateD=[μk-2σ,μk+2σ],其中Sk表示第k个周期的行为异常率的方差值,μk表示第k个周期的行为异常率的平均值。
在得到上述目标区间后,可以利用新的第k+1个周期和第k+2个周期的行为异常率,来评估该可信策略是否需要更新。
步骤S108,基于目标区间,利用前k个周期之后的第k+1个周期和第k+2个周期的行为异常率,确定是否需要更新可信策略。
作为本发明一种可选的实施例,基于目标区间,利用前k个周期之后的第k+1个周期和第k+2个周期的行为异常率,确定是否需要更新可信策略的步骤,包括:判断第k+1个周期和第k+2个周期的行为异常率是否超出目标区间;若超出目标区间,则确定可信策略运行不稳定,并以第k+1个周期和第k+2个周期的访问行为数据更新可信策略;若未超出目标区间,则以第k+1个周期和第k+2个周期的方差变化值和平均值确定是否需要更新可信策略。
即可以先通过目标区间指示可信策略是否稳定,若新周期(第k+1个周期和第k+2个周期)数据中有不落在此目标区间中的数据,则说明一定不稳定,然后利用第k+1个周期和第k+2个周期的数据更新可信策略。若新周期的数据落在此区间,则可以通过第k+1个周期和第k+2个周期的方差变化值和平均值进一步判断是否需要更新可信策略。
在本发明另一种可选的实施例中,以第k+1个周期和第k+2个周期的方差变化值和平均值确定是否需要更新可信策略的步骤,包括:判断第k+1个周期和第k+2个周期的方差变化值是否小于等于方差变化阈值,并判断第k+1个周期和第k+2个周期的平均值是否小于等于预设平均阈值;若第k+1个周期和第k+2个周期的方差变化值小于等于方差变化阈值,且第k+1个周期和第k+2个周期的平均值小于等于预设平均阈值,则确定可信策略稳定,无需更新可信策略;若第k+1个周期方差变化值大于方差变化阈值,或者,第k+2个周期的方差变化值大于方差变化阈值,或者,第k+1个周期的平均值大于预设平均阈值,或者,第k+2个周期的平均值大于预设平均阈值,则确定可信策略不稳定,并以第k+1个周期和第k+2个周期的访问行为数据更新可信策略。
作为本发明一种可选的实施例,在判断第k+1个周期和第k+2个周期的方差变化值是否小于等于方差变化阈值之前,更新方法还包括:统计目标应用程序在前k+1个周期和前k+2个周期中的每个周期的行为异常率;基于每个周期的行为异常率,计算前k+1个周期和前k+2个周期中的每个周期的行为异常率的平均值;基于每个周期的行为异常率的平均值,计算前k+1个周期和前k+2个周期中的每个周期的行为异常率的方差值;基于每个周期的行为异常率的方差值,计算前k+1个周期和前k+2个周期中的每个周期的行为异常率的方差变化值;选取最小的行为异常率的方差变化值,与预设的方差限制阈值进行比较,确定方差变化阈值;选取最小的行为异常率的平均值,与预设的平均限制阈值进行比较,以确定预设平均阈值。
例如,以SDDk+1表示第k+1个周期相对于第k个周期方差的变化值,以SDDk+2表示第k+2个周期相对于第k+1个周期方差的变化值。判断是否需要更新可信策略时,包括下面四个判断不等式:
第一个,SDDk+1<=Min(Min(SDDi),0.2);该Min(SDDi)指示前k个周期的方差变化最小值,而0.2是为了避免Min(SDDi)和μi过大给出的限制阀值,在比较Min(SDDi)和0.2后选出最小的方差变化值,该最小的方差变化值即可以理解为上述方差变化阈值。
第二个,SDDk+2<=Min(Min(SDDi),0.2);
第三个,μk+1<=Min(μk,0.2);μk为行为异常率的平均值,在比较μk数值和0.2后,选取最小的平均值,该最小的平均值即可以理解为上述的预设平均阈值。
第四个,μk+2<=Min(μk,0.2)。
通过上述四个不等式,判断可信策略是否稳定,并基于判断结果确定是否需要更新可信策略;若是都满足上述四个不等式,则确定无需更新可信策略,否则判断为不稳定,需要更新可信策略,并以前k个周期的访问行为数据和第k+1个周期和第k+2个周期的访问行为数据更新可信策略,得到最新的可信策略。
在本发明实施例中,以第k+1个周期和第k+2个周期的访问行为数据更新可信策略的步骤,还包括:将第k+1个周期、第k+2个周期以及前k个周期中的访问行为数据作为初始处理数据;基于初始处理数据,学习得到新的可信策略。
另一种可选的,基于目标区间,计算每个周期的行为异常率的平均值和方差值之后,更新方法还包括:基于行为异常率的平均值评估行为异常率的变化趋势;和/或,基于行为异常率的方差值评估行为异常率的稳定性。
本发明实施例中,对目标应用程序的历史访问行为数据进行统计归纳分析,统计是基于全终端数据,通过统计分析确定行为异常率的平均值、方差值,通过异常率的平均值变化评估异常率的趋势,通过异常率的方差变化来评估异常率变化的稳定性,从而判断策略学习的是否充分或者策略是否需要更新。
实施例二
图2是根据本发明实施例的一种可选的可信策略的更新装置的示意图,如图2所示,该更新装置可以包括:统计单元21,计算单元23,第一确定单元25,第二确定单元27,
统计单元21,用于统计目标应用程序在前k个周期中的每个周期的行为异常率,其中,行为异常率为异常行为数与行为总数的比值,异常行为是指除可信策略中已指示行为集合之外的行为,可信策略是根据前k个周期内目标应用程序的访问行为数据学习得到的策略;
计算单元23,用于计算每个周期的行为异常率的平均值和方差值;
第一确定单元25,用于基于每个周期的行为异常率的平均值和方差值,确定目标区间,其中,目标区间用于指示可信策略是否需要更新;
第二确定单元27,用于基于目标区间,利用前k个周期之后的第k+1个周期和第k+2个周期的行为异常率,确定是否需要更新可信策略。
上述可信策略的更新装置,可以通过统计单元21统计目标应用程序在前k个周期中的每个周期的行为异常率,其中,行为异常率为异常行为数与行为总数的比值,异常行为是指除可信策略中已指示行为集合之外的行为,可信策略是根据前k个周期内目标应用程序的访问行为数据学***均值和方差值,并通过第一确定单元25基于每个周期的行为异常率的平均值和方差值,确定目标区间,其中,目标区间用于指示可信策略是否需要更新,然后通过第二确定单元27基于目标区间,利用前k个周期之后的第k+1个周期和第k+2个周期的行为异常率,确定是否需要更新可信策略。在该实施例中,可以利用前k个周期中的每个周期的行为异常率来确定目标区间,对该目标区间,利用第k+1个周期和第k+2个周期的行为异常率,确定是否需要更新可信策略,利用异常率表现应用程序的历史访问行为不符合已学习到可信策略的程度,可以先进行目标区间(即异常区间)判定,然后利用该目标区间判断学习的策略是否充分或者策略是否需要更新,从而实现自动更新可信策略,在确定可信策略不合理时,及时根据新的数据更新可信策略,提高可信策略的更新效率,从而解决通过安全管理员手动更新可信策略,会导致更新效率较低的技术问题。
可选地,第二确定单元包括:第一判断模块,用于判断第k+1个周期和第k+2个周期的行为异常率是否超出目标区间;第一确定模块,用于在超出目标区间时,确定可信策略运行不稳定,并以第k+1个周期和第k+2个周期的访问行为数据更新可信策略;第二确定模块,用于在未超出目标区间时,以第k+1个周期和第k+2个周期的方差变化值和平均值确定是否需要更新可信策略。
另一种可选地,第二确定模块包括:第一判断子模块,用于判断第k+1个周期和第k+2个周期的方差变化值是否小于等于方差变化阈值,并判断第k+1个周期和第k+2个周期的平均值是否小于等于预设平均阈值;第一确定子模块,用于在第k+1个周期和第k+2个周期的方差变化值小于等于方差变化阈值,且第k+1个周期和第k+2个周期的平均值小于等于预设平均阈值时,确定可信策略稳定,无需更新可信策略;若第k+1个周期方差变化值大于方差变化阈值,或者,第k+2个周期的方差变化值大于方差变化阈值,或者,第k+1个周期的平均值大于预设平均阈值,或者,第k+2个周期的平均值大于预设平均阈值,则确定可信策略不稳定,并以第k+1个周期和第k+2个周期的访问行为数据更新可信策略。
作为本发明一可选的实施例,第一确定子模块包括:第二确定子模块,用于将第k+1个周期、第k+2个周期以及前k个周期中的访问行为数据作为初始处理数据;学习子模块,用于基于初始处理数据,学习得到新的可信策略。
可信策略的更新装置还包括:第一统计模块,用于在判断第k+1个周期和第k+2个周期的方差变化值是否小于等于方差变化阈值之前,统计目标应用程序在前k+1个周期和前k+2个周期中的每个周期的行为异常率;第一计算模块,用于基于每个周期的行为异常率,计算前k+1个周期和前k+2个周期中的每个周期的行为异常率的平均值;第二计算模块,用于基于每个周期的行为异常率的平均值,计算前k+1个周期和前k+2个周期中的每个周期的行为异常率的方差值;第三计算模块,用于基于每个周期的行为异常率的方差值,计算前k+1个周期和前k+2个周期中的每个周期的行为异常率的方差变化值;第一比较模块,用于选取最小的行为异常率的方差变化值,与预设的方差限制阈值进行比较,确定方差变化阈值;第二比较模块,用于选取最小的行为异常率的平均值,与预设的平均限制阈值进行比较,以确定预设平均阈值。
上述可信策略的更新装置还包括:第一评估单元,用于基于目标区间,计算每个周期的行为异常率的平均值和方差值之后,基于行为异常率的平均值评估行为异常率的变化趋势;和/或,第二评估单元,用于基于行为异常率的方差值评估行为异常率的稳定性。
上述的可信策略的更新装置还可以包括处理器和存储器,上述统计单元21,计算单元23,第一确定单元25,第二确定单元27等均作为程序单元存储在存储器中,由处理器执行存储在存储器中的上述程序单元来实现相应的功能。
上述处理器中包含内核,由内核去存储器中调取相应的程序单元。内核可以设置一个或以上,通过调整内核参数来对可信策略进行评估,以确定是否需要更新可信策略。
上述存储器可能包括计算机可读介质中的非永久性存储器,随机存取存储器(RAM)和/或非易失性内存等形式,如只读存储器(ROM)或闪存(flash RAM),存储器包括至少一个存储芯片。
根据本发明实施例的另一方面,还提供了一种可信安全管理平台,包括:存储器,与存储器耦合的处理器,存储器和处理器通过总线***相通信;存储器用于存储程序,其中,程序在被处理器执行时控制存储器所在设备执行上述任意一项的可信策略的更新方法,处理器用于运行程序,其中,程序运行时执行上述任意一项的可信策略的更新方法。
根据本发明实施例的另一方面,还提供了一种处理器,处理器用于运行程序,其中,程序运行时执行上述任意一项的可信策略的更新方法。
本申请还提供了一种计算机程序产品,当在数据处理设备上执行时,适于执行初始化有如下方法步骤的程序:统计目标应用程序在前k个周期中的每个周期的行为异常率,其中,行为异常率为异常行为数与行为总数的比值,异常行为是指除可信策略中已指示行为集合之外的行为,可信策略是根据前k个周期内目标应用程序的访问行为数据学***均值和方差值;基于每个周期的行为异常率的平均值和方差值,确定目标区间,其中,目标区间用于指示可信策略是否需要更新;基于目标区间,利用前k个周期之后的第k+1个周期和第k+2个周期的行为异常率,确定是否需要更新可信策略。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
在本发明的上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述的部分,可以参见其他实施例的相关描述。
在本申请所提供的几个实施例中,应该理解到,所揭露的技术内容,可通过其它的方式实现。其中,以上所描述的装置实施例仅仅是示意性的,例如所述单元的划分,可以为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个***,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,单元或模块的间接耦合或通信连接,可以是电性或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可为个人计算机、服务器或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、移动硬盘、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。

Claims (10)

1.一种可信策略的更新方法,其特征在于,包括:
统计目标应用程序在前k个周期中的每个周期的行为异常率,其中,所述行为异常率为异常行为数与行为总数的比值,异常行为是指除可信策略中已指示行为集合之外的行为,所述可信策略是根据所述前k个周期内所述目标应用程序的访问行为数据学习得到的策略;
计算所述每个周期的行为异常率的平均值和方差值;
基于所述每个周期的行为异常率的平均值和方差值,确定目标区间,其中,所述目标区间用于指示所述可信策略是否需要更新;
基于所述目标区间,利用所述前k个周期之后的第k+1个周期和第k+2个周期的行为异常率,确定是否需要更新所述可信策略。
2.根据权利要求1所述的更新方法,其特征在于,基于所述目标区间,利用所述前k个周期之后的第k+1个周期和第k+2个周期的行为异常率,确定是否需要更新所述可信策略的步骤,包括:
判断第k+1个周期和第k+2个周期的行为异常率是否超出所述目标区间;
若超出所述目标区间,则确定所述可信策略运行不稳定,并以第k+1个周期和第k+2个周期的访问行为数据更新所述可信策略;
若未超出所述目标区间,则以第k+1个周期和第k+2个周期的方差变化值和平均值确定是否需要更新所述可信策略。
3.根据权利要求2所述的更新方法,其特征在于,以第k+1个周期和第k+2个周期的方差变化值和平均值确定是否需要更新所述可信策略的步骤,包括:
判断所述第k+1个周期和第k+2个周期的方差变化值是否小于等于方差变化阈值,并判断所述第k+1个周期和第k+2个周期的平均值是否小于等于预设平均阈值;
若第k+1个周期和第k+2个周期的方差变化值小于等于所述方差变化阈值,且第k+1个周期和第k+2个周期的所述平均值小于等于预设平均阈值,则确定所述可信策略稳定,无需更新所述可信策略;
若所述第k+1个周期方差变化值大于所述方差变化阈值,或者,所述第k+2个周期的方差变化值大于所述方差变化阈值,或者,所述第k+1个周期的平均值大于所述预设平均阈值,或者,所述第k+2个周期的平均值大于所述预设平均阈值,则确定所述可信策略不稳定,并以第k+1个周期和第k+2个周期的访问行为数据更新所述可信策略。
4.根据权利要求3所述的更新方法,其特征在于,以第k+1个周期和第k+2个周期的访问行为数据更新所述可信策略的步骤,包括:
将第k+1个周期、第k+2个周期以及前k个周期中的访问行为数据作为初始处理数据;
基于所述初始处理数据,学习得到新的可信策略。
5.根据权利要求3所述的更新方法,其特征在于,在判断所述第k+1个周期和第k+2个周期的方差变化值是否小于等于方差变化阈值之前,所述更新方法还包括:
统计目标应用程序在前k+1个周期和前k+2个周期中的每个周期的行为异常率;
基于所述每个周期的行为异常率,计算前k+1个周期和前k+2个周期中的每个周期的行为异常率的平均值;
基于每个周期的行为异常率的平均值,计算前k+1个周期和前k+2个周期中的每个周期的行为异常率的方差值;
基于所述每个周期的行为异常率的方差值,计算前k+1个周期和前k+2个周期中的每个周期的行为异常率的方差变化值;
选取最小的行为异常率的方差变化值,与预设的方差限制阈值进行比较,确定所述方差变化阈值;
选取最小的行为异常率的平均值,与预设的平均限制阈值进行比较,以确定预设平均阈值。
6.根据权利要求1所述的更新方法,其特征在于,基于所述目标区间,计算所述每个周期的行为异常率的平均值和方差值之后,所述更新方法还包括:
基于所述行为异常率的平均值评估所述行为异常率的变化趋势;和/或,
基于所述行为异常率的方差值评估所述行为异常率的稳定性。
7.一种可信策略的更新装置,其特征在于,包括:
统计单元,用于统计目标应用程序在前k个周期中的每个周期的行为异常率,其中,所述行为异常率为异常行为数与行为总数的比值,异常行为是指除可信策略中已指示行为集合之外的行为,所述可信策略是根据所述前k个周期内所述目标应用程序的访问行为数据学习得到的策略;
计算单元,用于计算所述每个周期的行为异常率的平均值和方差值;
第一确定单元,用于基于所述每个周期的行为异常率的平均值和方差值,确定目标区间,其中,所述目标区间用于指示所述可信策略是否需要更新;
第二确定单元,用于基于所述目标区间,利用所述前k个周期之后的第k+1个周期和第k+2个周期的行为异常率,确定是否需要更新所述可信策略。
8.根据权利要求7所述的更新装置,其特征在于,所述第二确定单元包括:
第一判断模块,用于判断第k+1个周期和第k+2个周期的行为异常率是否超出所述目标区间;
第一确定模块,用于在超出所述目标区间时,确定所述可信策略运行不稳定,并以第k+1个周期和第k+2个周期的访问行为数据更新所述可信策略;
第二确定模块,用于在未超出所述目标区间时,以第k+1个周期和第k+2个周期的方差变化值和平均值确定是否需要更新所述可信策略。
9.一种可信安全管理平台,其特征在于,包括:
存储器,与所述存储器耦合的处理器,所述存储器和所述处理器通过总线***相通信;
所述存储器用于存储程序,其中,所述程序在被处理器执行时控制所述存储器所在设备执行权利要求1至6中任意一项所述的可信策略的更新方法,
所述处理器用于运行程序,其中,所述程序运行时执行权利要求1至6中任意一项所述的可信策略的更新方法。
10.一种处理器,其特征在于,所述处理器用于运行程序,其中,所述程序运行时执行权利要求1至6中任意一项所述的可信策略的更新方法。
CN201910605620.0A 2019-07-05 2019-07-05 可信策略的更新方法及装置、可信安全管理平台 Active CN110334517B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201910605620.0A CN110334517B (zh) 2019-07-05 2019-07-05 可信策略的更新方法及装置、可信安全管理平台

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201910605620.0A CN110334517B (zh) 2019-07-05 2019-07-05 可信策略的更新方法及装置、可信安全管理平台

Publications (2)

Publication Number Publication Date
CN110334517A true CN110334517A (zh) 2019-10-15
CN110334517B CN110334517B (zh) 2021-05-14

Family

ID=68143805

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201910605620.0A Active CN110334517B (zh) 2019-07-05 2019-07-05 可信策略的更新方法及装置、可信安全管理平台

Country Status (1)

Country Link
CN (1) CN110334517B (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112729460A (zh) * 2020-12-28 2021-04-30 宁波铭瑞中兴电子科技有限公司 应用ups电源的液量检测方法、***、智能终端及存储介质

Citations (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103516727A (zh) * 2013-09-30 2014-01-15 重庆电子工程职业学院 网络主动防御***及其更新方法
CN103559591A (zh) * 2013-11-20 2014-02-05 北京可信华泰信息技术有限公司 基于可信计算的软件管理***和管理方法
CN105046138A (zh) * 2015-07-13 2015-11-11 山东超越数控电子有限公司 一种基于飞腾处理器的可信管理***及方法
CN107657170A (zh) * 2016-07-25 2018-02-02 北京计算机技术及应用研究所 支持智能修复的可信加载启动控制***和方法
US20180183799A1 (en) * 2016-12-28 2018-06-28 Nanning Fugui Precision Industrial Co., Ltd. Method and system for defending against malicious website
CN108388793A (zh) * 2018-01-09 2018-08-10 南瑞集团有限公司 一种基于主动防御的虚拟机逃逸防护方法
CN108632097A (zh) * 2018-05-14 2018-10-09 平安科技(深圳)有限公司 异常行为对象的识别方法、终端设备及介质
CN108696486A (zh) * 2017-04-10 2018-10-23 ***通信集团公司 一种异常操作行为检测处理方法及装置
CN109560984A (zh) * 2018-11-13 2019-04-02 苏宁易购集团股份有限公司 一种网络服务响应时间异常检测方法及装置
CN109660502A (zh) * 2018-09-28 2019-04-19 平安科技(深圳)有限公司 异常行为的检测方法、装置、设备及存储介质
US20190123903A1 (en) * 2017-10-25 2019-04-25 Alibaba Group Holding Limited Trusted remote proving method, apparatus and system
CN109688166A (zh) * 2019-02-28 2019-04-26 新华三信息安全技术有限公司 一种异常外发行为检测方法及装置
CN109714185A (zh) * 2017-10-26 2019-05-03 阿里巴巴集团控股有限公司 可信服务器的策略部署方法、装置、***及计算***

Patent Citations (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103516727A (zh) * 2013-09-30 2014-01-15 重庆电子工程职业学院 网络主动防御***及其更新方法
CN103559591A (zh) * 2013-11-20 2014-02-05 北京可信华泰信息技术有限公司 基于可信计算的软件管理***和管理方法
CN105046138A (zh) * 2015-07-13 2015-11-11 山东超越数控电子有限公司 一种基于飞腾处理器的可信管理***及方法
CN107657170A (zh) * 2016-07-25 2018-02-02 北京计算机技术及应用研究所 支持智能修复的可信加载启动控制***和方法
US20180183799A1 (en) * 2016-12-28 2018-06-28 Nanning Fugui Precision Industrial Co., Ltd. Method and system for defending against malicious website
CN108696486A (zh) * 2017-04-10 2018-10-23 ***通信集团公司 一种异常操作行为检测处理方法及装置
US20190123903A1 (en) * 2017-10-25 2019-04-25 Alibaba Group Holding Limited Trusted remote proving method, apparatus and system
CN109714185A (zh) * 2017-10-26 2019-05-03 阿里巴巴集团控股有限公司 可信服务器的策略部署方法、装置、***及计算***
CN108388793A (zh) * 2018-01-09 2018-08-10 南瑞集团有限公司 一种基于主动防御的虚拟机逃逸防护方法
CN108632097A (zh) * 2018-05-14 2018-10-09 平安科技(深圳)有限公司 异常行为对象的识别方法、终端设备及介质
CN109660502A (zh) * 2018-09-28 2019-04-19 平安科技(深圳)有限公司 异常行为的检测方法、装置、设备及存储介质
CN109560984A (zh) * 2018-11-13 2019-04-02 苏宁易购集团股份有限公司 一种网络服务响应时间异常检测方法及装置
CN109688166A (zh) * 2019-02-28 2019-04-26 新华三信息安全技术有限公司 一种异常外发行为检测方法及装置

Non-Patent Citations (3)

* Cited by examiner, † Cited by third party
Title
WEI OU 等: "Research on Trustworthy Mechanism Based on Agent", 《2010 SECOND INTERNATIONAL CONFERENCE ON COMPUTER ENGINEERING AND APPLICATIONS》 *
杨蓓: "基于可信计算的动态完整性度量模型研究", 《中国优秀硕士学位论文全文数据库 信息科技辑》 *
田俊峰 等: "基于TPM联盟的可信云平台管理模型", 《通信学报》 *

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112729460A (zh) * 2020-12-28 2021-04-30 宁波铭瑞中兴电子科技有限公司 应用ups电源的液量检测方法、***、智能终端及存储介质
CN112729460B (zh) * 2020-12-28 2024-03-19 宁波铭瑞中兴电子科技有限公司 应用ups电源的液量检测方法、***、智能终端及存储介质

Also Published As

Publication number Publication date
CN110334517B (zh) 2021-05-14

Similar Documents

Publication Publication Date Title
CN109902721B (zh) 异常点检测模型验证方法、装置、计算机设备及存储介质
CN109586952B (zh) 服务器扩容方法、装置
CN108985553A (zh) 一种异常用户的识别方法及设备
CN113434253B (zh) 集群资源调度方法、装置、设备及存储介质
CN109491850A (zh) 一种磁盘故障预测方法及装置
CN103490956A (zh) 基于业务量预测的自适应节能控制方法及设备、***
CN106201722A (zh) 服务器的负载调整方法及***
US20090094183A1 (en) Predictive Monitoring Method and System
CN112925608B (zh) 基于机器学习的智能扩缩容方法、装置、设备及存储介质
CN105719045A (zh) 留任风险确定器
CN111198799A (zh) 一种基于lstm的机房功耗预警方法、***、终端及存储介质
CN107689956A (zh) 一种异常事件的威胁评估方法及装置
CN106856442A (zh) 一种性能指标监控方法和装置
CN110175068A (zh) 分布式***中主机数量弹性伸缩方法、装置和计算机设备
CN109409764A (zh) 生产监控方法及终端设备
CN110334517A (zh) 可信策略的更新方法及装置、可信安全管理平台
CN114629906A (zh) 一种可靠的基于深度强化学习的云容器集群资源调度方法及装置
CN109800085A (zh) 资源配置的检测方法、装置、存储介质和电子设备
CN111415261B (zh) 银行***的流控阈值动态更新的控制方法、***和装置
CN110769454B (zh) 流量预测方法及装置
CN104537224B (zh) 基于自适应学习算法的多状态***可靠性分析方法及***
CN116743825A (zh) 服务器管理方法、装置、计算机设备和存储介质
CN109242321A (zh) 用户电力负荷在线分析方法及终端设备
CN110363007A (zh) 可信策略的更新方法及装置
CN107316056B (zh) 一种网络安防等级自动化评定***、自动评定方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant