CN113973008A - 基于拟态技术和机器学习的检测***、方法、设备及介质 - Google Patents

基于拟态技术和机器学习的检测***、方法、设备及介质 Download PDF

Info

Publication number
CN113973008A
CN113973008A CN202111140778.9A CN202111140778A CN113973008A CN 113973008 A CN113973008 A CN 113973008A CN 202111140778 A CN202111140778 A CN 202111140778A CN 113973008 A CN113973008 A CN 113973008A
Authority
CN
China
Prior art keywords
mimicry
data
message data
attack
detection
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202111140778.9A
Other languages
English (en)
Other versions
CN113973008B (zh
Inventor
张校臣
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Jiayuan Technology Co Ltd
Original Assignee
Jiayuan Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Jiayuan Technology Co Ltd filed Critical Jiayuan Technology Co Ltd
Priority to CN202111140778.9A priority Critical patent/CN113973008B/zh
Publication of CN113973008A publication Critical patent/CN113973008A/zh
Application granted granted Critical
Publication of CN113973008B publication Critical patent/CN113973008B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N20/00Machine learning
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/14Network analysis or design
    • H04L41/145Network analysis or design involving simulating, designing, planning or modelling of a network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0254Stateful filtering
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02PCLIMATE CHANGE MITIGATION TECHNOLOGIES IN THE PRODUCTION OR PROCESSING OF GOODS
    • Y02P90/00Enabling technologies with a potential contribution to greenhouse gas [GHG] emissions mitigation
    • Y02P90/02Total factory control, e.g. smart factories, flexible manufacturing systems [FMS] or integrated manufacturing systems [IMS]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Data Mining & Analysis (AREA)
  • Evolutionary Computation (AREA)
  • Medical Informatics (AREA)
  • Artificial Intelligence (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Mathematical Physics (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开基于拟态技术和机器学习的检测***、方法、设备及介质,该***包括拟态调度器和若干异构执行体,拟态调度器,包括拟态判决单元、攻击检测单元和控制处理单元,攻击检测单元,用于接收控制处理单元发送的报文数据,并结合拟态判决模块发送的拟态判决结果进行机器学习,对报文数据进行攻击防御检测;控制处理单元,用于根据攻击防御检测结果,将判断为异常数据的报文数据进行过滤;将判断为正常数据的报文数据作为上行数据,上送至异构执行体。本发明在现有拟态防御技术的基础上,加入机器学习,将攻击数据进行自动过滤,增强了异构执行体自身的攻击防御能力,提高了异构执行体的鲁棒性和可用性,进一步提高了***的安全性。

Description

基于拟态技术和机器学习的检测***、方法、设备及介质
技术领域
本发明涉及网络安全技术领域,尤其涉及基于拟态技术和机器学习的检测***、方法、设备及介质。
背景技术
随着信息技术的发展,对网络空间安全技术的要求也越来越高。拟态防御技术作为一种不依赖先验知识的主动防御技术,在出现未知漏洞、病毒木马和后门等不确定性安全威胁时,能够具有显著的防御效果。
拟态产品是基于拟态防御技术理论实现的,在其架构中引入多个异构处理器作为异构执行体,并包含硬件实现的拟态调度器以实现对异构执行体输出下行数据的判决筛选以及上行数据的分发控制。由于外部攻击或者本身未知漏洞可能导致异构执行体出现异常输出错误结果,目前的方案是,根据拟态判决策略对异常次数达到阈值的异构执行体进行清洗恢复,重新恢复到正常可用状态。但是,如果同样的攻击或者未知漏洞再次出现,异构执行体仍然没有抵抗能力再次出现异常现象,从而导致此异构执行体一直处于不可用状态,极大地降低了异构冗余的优越性。
发明内容
针对现有拟态防御技术中异构执行体遭到攻击容易受到异常,需要不断地进行清洗操作等缺点,本发明提出基于拟态技术和机器学习的检测***、方法、设备及介质。本发明在拟态***架构下的拟态调度器中加入基于机器学习的攻击检测单元,对报文数据的评估预测更加智能精准,对上送给每个异构执行体的报文数据进行攻击检测,自动将异常数据进行过滤,不上送给相应的异构执行体,避免异构执行体遭到攻击,增强了异构执行体自身的攻击防御能力,提高了异构执行体的鲁棒性和可用性,进一步提高了***的安全性能。
为了达到上述目的,本发明的技术方案如下:
一种基于拟态技术和机器学习的检测***,包括拟态调度器和若干异构执行体,所述异构执行体用于接收和处理拟态调度器上发送的报文数据,并将处理的结果作为下行数据,下发至拟态调度器;所述拟态调度器,包括拟态判决单元、攻击检测单元和控制处理单元,其中,
所述拟态判决单元,用于接收异构执行体的下行数据,基于拟态判决策略对下行数据做出拟态判断,判断出前端芯片上送的原始报文数据是否存在攻击性,同时将拟态判决结果发送给攻击检测单元;
所述攻击检测单元,用于接收控制处理单元发送的报文数据,并结合拟态判决模块发送的拟态判决结果进行机器学习,对报文数据进行攻击防御检测;
所述控制处理单元,用于接收前端芯片上送的报文数据并发送至攻击检测单元,接收异构执行体下发的下行数据并发送至拟态判决单元;用于根据攻击防御检测结果,将判断为异常数据的报文数据进行过滤;将判断为正常数据的报文数据作为上行数据,上送至异构执行体。
优选地,所述攻击检测单元包括数据采集模块、数据分类模块、模型训练模块和攻击检测模块,其中,
所述数据采集模块,用于接收前端芯片上送的报文数据;
所述数据分类模块,用于基于拟态判决模块发送的拟态判决结果进行数据分类,并将报文数据标记为异常数据和正常数据,形成测试集和训练集;
所述模型训练模块,用于构建机器学习模型,利用训练集作为机器学习模型的输入,进行自主学习,生成攻击检测模型,并利用测试集对攻击检测模型进行调优和测试,直至符合预设的收敛条件;
所述攻击检测模块,用于通过训练好的攻击检测模型对待检测报文数据进行攻击防御检测,并将攻击防御检测结果发送至控制处理单元,所述攻击防御检测结果为判定报文数据是正常数据或异常数据。
优选地,还包括特征工程模块,用于对报文数据进行特征提取、特征预处理、特征降维和Z-score标准化处理。
优选地,所述若干异构执行体采用不同的结构,所述结构包括不同架构的处理器和不同的操作***。
一种基于拟态技术和机器学习的检测方法,包括如下步骤:
拟态调度器接收前端芯片上送的网络报文数据,并发送至攻击检测单元;
通过训练好的攻击检测模型对报文数据进行攻击防御检测,并将攻击防御检测结果发送至控制处理单元,所述攻击防御检测结果为判定报文数据是正常数据或异常数据;
控制处理单元根据攻击防御检测结果,将判断为异常数据的报文数据进行过滤;将判断为正常数据的报文数据作为上行数据,上送至异构执行体。
优选地,所述攻击检测模型的构建过程,包括如下步骤:
拟态调度器接收前端芯片上送的报文数据并发送至异构执行体;
异构执行体接收报文数据进行处理,并将处理的结果作为下行数据,下发至拟态调度器;
拟态调度器中拟态判决单元接收异构执行体的下行数据,基于拟态判决策略对下行数据做出拟态判断,判断出前端芯片上送的原始报文数据是否存在攻击性,同时将拟态判决结果发送至数据分类模块;
数据分类模块基于拟态判决结果对原始报文数据进行数据分类,并将原始报文数据标记为异常数据和正常数据,形成测试集和训练集;
构建机器学习模型,利用训练集作为机器学习模型的输入,进行自主学习,生成攻击检测模型,并利用测试集对攻击检测模型进行调优和测试,直至符合预设的收敛条件。
优选地,所述拟态判决策略为基于先验知识的判决方法或基于大数判决方法。
优选地,还包括如下步骤:对报文数据进行特征提取、特征预处理、特征降维和Z-score标准化处理。
一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现如上述任一所述的一种基于拟态技术和机器学习的检测方法。
一种计算机可读存储介质,存储有计算机可执行指令,所述计算机可执行指令用于执行如上述任一所述的一种基于拟态技术和机器学习的检测方法。
基于上述技术方案,本发明的有益效果是:本发明在现有拟态防御技术的基础上,加入机器学习,将拟态技术与机器学习相结合,在不改变现有设备组成和增大设备体积的情况下,避免了异构执行体遭受同种攻击报文的攻击,增强了拟态异构执行体自身的攻击防御能力,提高了异构执行体的鲁棒性和可用性。基于机器学习的攻击检测***使攻击检测方法更加智能化,检测能力更加精准可靠。拟态技术与机器学习的结合,使拟态产品的安全性进一步提高,也使拟态技术更加完善,使***更加稳定可靠。
附图说明
下面结合附图对本发明的具体实施方式作进一步详细的说明。
图1是一个实施例中一种基于拟态技术和机器学习的检测***的原理框图;
图2是一个实施例中一种基于拟态技术和机器学习的检测***中拟态调度器的原理框图;
图3是一个实施例中一种基于拟态技术和机器学习的检测方法流程图;
图4是一个实施例中一种基于拟态技术和机器学习的检测方法中攻击检测模型的构建方法流程图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述。
基于机器学习的人工智能技术在提高攻击检测方面被广泛的应用,本发明在现有拟态防御技术的基础上,加入机器学习。通过对网络产品中大量报文数据进行分析,采用学习算法自动产生规则,将这些规则编译进攻击检测***,从而提高网络自动识别攻击的能力。常用的攻击检测机器学习算法包括决策树、神经网络、支持向量机、贝叶斯分类算法、遗传算法等,其中神经网络应用更为广泛。神经网络对攻击行为的训练学习,可以检测潜在的攻击,具有实现原理简单、高度的并行性、较强的自组织能力和容错性、分类错误低,能在有限和不完整的数据中进行泛化研究而不需要专家知识等优点。如图1所示,本实施例提供一种基于拟态技术和机器学习的检测***,包括拟态调度器和N个异构执行体(N为大于或等于3的正整数),具体是指基于拟态防御机理研制的多种网络基础设施设备,实现对未知漏洞、病毒木马和后门等不确定性安全威胁等的有效防御,大幅增强了关键业务网络应对外部入侵和内部渗透的能力,为网络安全提供基础性设施保障,包括拟态交换机、拟态路由器、拟态存储器、拟态域名服务和拟态防火墙等。
N个异构执行体采用不同的结构,结构包括不同架构的处理器和不同的操作***,不同架构的处理器为ARM、MIPS、X86、PowerPC等,不同的操作***为Ubuntu、Centos、Debian、Kylin、Uos等。异构执行体用于接收和处理拟态调度器上发送的报文数据,并将处理的结果作为下行数据,下发至拟态调度器。
拟态调度器是异构执行体与外部进行通信的中间枢纽,用于将前端芯片发送的报文分发至异构执行体,并对异构执行体的下行结果进行拟态判决,同时记录并统计异构执行体的状态,根据需要对异构执行体执行清洗操作。拟态调度器的判决结果作为报文数据是否存在攻击的依据,标记为异常的数据为攻击数据,标记为正常的数据为正常数据。如图2所示,拟态调度器包括拟态判决单元、攻击检测单元和控制处理单元(CPU),具体说明:
拟态判决单元,用于接收异构执行体的下行数据,基于拟态判决策略对下行数据做出拟态判断,判断出前端芯片上送的原始报文数据是否存在攻击性,同时将拟态判决结果发送给攻击检测单元;
攻击检测单元,用于接收控制处理单元发送的报文数据,并结合拟态判决模块发送的拟态判决结果进行机器学习,对报文数据进行攻击防御检测;
控制处理单元(CPU),用于接收前端芯片上送的报文数据并发送至攻击检测单元,接收异构执行体下发的下行数据并发送至拟态判决单元;用于根据攻击防御检测结果,将判断为异常数据的报文数据进行过滤;将判断为正常数据的报文数据作为上行数据,上送至异构执行体。
在一个实施例的一种基于拟态技术和机器学习的检测***中,攻击检测单元包括数据采集模块、数据分类模块、特征工程模块、模型训练模块和攻击检测模块,其中,
数据采集模块,用于接收前端芯片上送的报文数据;
数据分类模块,用于基于拟态判决模块发送的拟态判决结果进行数据分类,并将报文数据标记为异常数据和正常数据,形成测试集和训练集;
特征工程模块,用于对报文数据进行特征提取、预处理、降维等。通过一定的专家知识或者特征算法将训练集和测试集中数据转化为特征,并进行特征提取、预处理、降维等处理,为机器学习做好准备工作,对机器模型的灵活性、复杂度和性能起到关键性的作用。由于原始数据是网络交换数据,由于协议众多,例如STP协议、OSPF协议、RIP协议等,各协议间的报文数据规格不同,因此需要进行无量纲化操作,即将不同规格的报文数据转化为统一规格。由于网络数据量大且稳定,本实施例采用Z-score标准化方法,能够对数据进行规范化处理,经过处理后的数据均值为0,标准差为1,能够使特征具有标准正态分布的特性,计算公式是:
Figure 409292DEST_PATH_IMAGE001
其中,
Figure 456751DEST_PATH_IMAGE002
是标准化后的特征,
Figure 452389DEST_PATH_IMAGE003
是原始特征值,
Figure 855689DEST_PATH_IMAGE004
是样本均值,
Figure 380211DEST_PATH_IMAGE005
是样本标准差。
模型训练模块,用于构建机器学习模型,利用训练集作为机器学习模型的输入,进行自主学习,生成攻击检测模型,并利用测试集对攻击检测模型进行调优和测试,直至符合预设的收敛条件;
攻击检测模块,用于通过训练好的攻击检测模型对待检测报文数据进行攻击防御检测,并将攻击防御检测结果发送至控制处理单元,所述攻击防御检测结果为判定报文数据是正常数据或异常数据。
如图3所示,本实施例提供一种基于拟态技术和机器学习的检测方法,包括如下步骤:
步骤101,拟态调度器接收前端芯片上送的网络报文数据,并发送至攻击检测单元;
步骤102,通过训练好的攻击检测模型对报文数据进行攻击防御检测,并将攻击防御检测结果发送至控制处理单元,该攻击防御检测结果为判定报文数据是正常数据或异常数据;
步骤103,控制处理单元根据攻击防御检测结果,将判断为异常数据的报文数据进行过滤;将判断为正常数据的报文数据作为上行数据,上送至异构执行体。
本实施例中,攻击检测模型的构建过程主要是将网络中的正常数据和异常数据导入到机器学习模型中训练学习,使模型具有可靠稳定最优的评估作用,能够准确、快速地识别出攻击数据,如图4所示,具体包括如下步骤:
步骤201,拟态调度器接收前端芯片上送的报文数据并发送至异构执行体;
步骤202,异构执行体接收报文数据进行处理,并将处理的结果作为下行数据,下发至拟态调度器;
步骤203,拟态调度器中拟态判决单元接收异构执行体的下行数据,基于拟态判决策略对下行数据做出拟态判断,判断出前端芯片上送的原始报文数据是否存在攻击性,同时将拟态判决结果发送至数据分类模块;
步骤204,数据分类模块基于拟态判决结果对原始报文数据进行数据分类,并将原始报文数据标记为异常数据和正常数据,形成测试集和训练集;
步骤205,构建机器学习模型,利用训练集作为机器学习模型的输入,进行自主学习,生成攻击检测模型,并利用测试集对攻击检测模型进行调优和测试,直至符合预设的收敛条件。
本实施例中,步骤203中拟态判决策略为基于先验知识的判决方法或基于大数判决方法,其中,基于先验知识的判决方法是基于先验知识对N个异构执行体分析,确定其中哪个异构执行体更加稳定可靠,则以该异构执行体的结果为准则进行判断,拟态判决模块将与该结果不一致的认为可疑,判定该报文数据对相应的异构执行体存在攻击性;基于大数判决方法,当拟态判决模块收到m份下行数据时,当有大于或者等于(m+1)/2份结果一致时,则判定该结果为有效结果,其余和该结果不一致的则认为可疑,判定该报文对相应的异构执行体存在攻击性。
在一个实施例中提供一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,该处理器执行程序时实现如下步骤:
拟态调度器接收前端芯片上送的网络报文数据,并发送至攻击检测单元;
攻击检测单元接收报文数据进行处理;
通过训练好的攻击检测模型对待检测报文数据进行攻击防御检测,并将攻击防御检测结果发送至控制处理单元,该攻击防御检测结果为判定报文数据是正常数据或异常数据;
控制处理单元根据攻击防御检测结果,将判断为异常数据的报文数据进行过滤;将判断为正常数据的报文数据作为上行数据,上送至异构执行体。
在一个实施例中提供一种计算机可读存储介质,存储有计算机可执行指令,该计算机可执行指令用于执行如下步骤:
拟态调度器接收前端芯片上送的网络报文数据,并发送至攻击检测单元;
攻击检测单元接收报文数据进行处理;
通过训练好的攻击检测模型对待检测报文数据进行攻击防御检测,并将攻击防御检测结果发送至控制处理单元,该攻击防御检测结果为判定报文数据是正常数据或异常数据;
控制处理单元根据攻击防御检测结果,将判断为异常数据的报文数据进行过滤;将判断为正常数据的报文数据作为上行数据,上送至异构执行体。
一种计算机可读存储介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括,但不限于相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器(CD-ROM)、数字多功能光盘(DVD)或其他光学存储、磁盒式磁带,磁带磁磁盘存储或其他磁性存储设备或任何其他非传输介质,可用于存储可以被计算设备访问的信息。按照本文中的界定,计算机可读介质不包括暂存电脑可读媒体(transitory media),如调制的数据信号和载波。
以上所述仅为本发明所公开的优选实施方式,并非用于限定本说明书实施例的保护范围。凡在本说明书实施例的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本说明书实施例的保护范围之内。

Claims (10)

1.一种基于拟态技术和机器学习的检测***,其特征在于,包括拟态调度器和若干异构执行体,所述异构执行体用于接收和处理拟态调度器上发送的报文数据,并将处理的结果作为下行数据,下发至拟态调度器;所述拟态调度器,包括拟态判决单元、攻击检测单元和控制处理单元,其中,
所述拟态判决单元,用于接收异构执行体的下行数据,基于拟态判决策略对下行数据做出拟态判断,判断出前端芯片上送的原始报文数据是否存在攻击性,同时将拟态判决结果发送给攻击检测单元;
所述攻击检测单元,用于接收控制处理单元发送的报文数据,并结合拟态判决模块发送的拟态判决结果进行机器学习,对报文数据进行攻击防御检测;
所述控制处理单元,用于接收前端芯片上送的报文数据并发送至攻击检测单元,接收异构执行体下发的下行数据并发送至拟态判决单元;用于根据攻击防御检测结果,将判断为异常数据的报文数据进行过滤;将判断为正常数据的报文数据作为上行数据,上送至异构执行体。
2.根据权利要求1所述的一种基于拟态技术和机器学习的检测***,其特征在于,所述攻击检测单元包括数据采集模块、数据分类模块、模型训练模块和攻击检测模块,其中,
所述数据采集模块,用于接收前端芯片上送的报文数据;
所述数据分类模块,用于基于拟态判决模块发送的拟态判决结果进行数据分类,并将报文数据标记为异常数据和正常数据,形成测试集和训练集;
所述模型训练模块,用于构建机器学习模型,利用训练集作为机器学习模型的输入,进行自主学习,生成攻击检测模型,并利用测试集对攻击检测模型进行调优和测试,直至符合预设的收敛条件;
所述攻击检测模块,用于通过训练好的攻击检测模型对待检测报文数据进行攻击防御检测,并将攻击防御检测结果发送至控制处理单元,所述攻击防御检测结果为判定报文数据是正常数据或异常数据。
3.根据权利要求2所述的一种基于拟态技术和机器学习的检测***,其特征在于,还包括特征工程模块,用于对报文数据进行特征提取、特征预处理、特征降维和Z-score标准化处理。
4.根据权利要求1所述的一种基于拟态技术和机器学习的检测***,其特征在于,所述若干异构执行体采用不同的结构,所述结构包括不同架构的处理器和不同的操作***。
5.一种基于拟态技术和机器学习的检测方法,其特征在于,包括如下步骤:
拟态调度器接收前端芯片上送的网络报文数据,并发送至攻击检测单元;
通过训练好的攻击检测模型对报文数据进行攻击防御检测,并将攻击防御检测结果发送至控制处理单元,所述攻击防御检测结果为判定报文数据是正常数据或异常数据;
控制处理单元根据攻击防御检测结果,将判断为异常数据的报文数据进行过滤;将判断为正常数据的报文数据作为上行数据,上送至异构执行体。
6.根据权利要求5所述的一种基于拟态技术和机器学习的检测方法,其特征在于,所述攻击检测模型的构建过程,包括如下步骤:
拟态调度器接收前端芯片上送的报文数据并发送至异构执行体;
异构执行体接收报文数据进行处理,并将处理的结果作为下行数据,下发至拟态调度器;
拟态调度器中拟态判决单元接收异构执行体的下行数据,基于拟态判决策略对下行数据做出拟态判断,判断出前端芯片上送的原始报文数据是否存在攻击性,同时将拟态判决结果发送至数据分类模块;
数据分类模块基于拟态判决结果对原始报文数据进行数据分类,并将原始报文数据标记为异常数据和正常数据,形成测试集和训练集;
构建机器学习模型,利用训练集作为机器学习模型的输入,进行自主学习,生成攻击检测模型,并利用测试集对攻击检测模型进行调优和测试,直至符合预设的收敛条件。
7.根据权利要求6所述的一种基于拟态技术和机器学习的检测方法,其特征在于,所述拟态判决策略为基于先验知识的判决方法或基于大数判决方法。
8.根据权利要求5所述的一种基于拟态技术和机器学习的检测方法,其特征在于,还包括如下步骤:对报文数据进行特征提取、特征预处理、特征降维和Z-score标准化处理。
9.一种电子设备,其特征在于,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现如权利要求5-8任意一项所述的一种基于拟态技术和机器学习的检测方法。
10.一种计算机可读存储介质,其特征在于,存储有计算机可执行指令,所述计算机可执行指令用于执行如权利要求5-8任意一项所述的一种基于拟态技术和机器学习的检测方法。
CN202111140778.9A 2021-09-28 2021-09-28 基于拟态技术和机器学习的检测***、方法、设备及介质 Active CN113973008B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202111140778.9A CN113973008B (zh) 2021-09-28 2021-09-28 基于拟态技术和机器学习的检测***、方法、设备及介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202111140778.9A CN113973008B (zh) 2021-09-28 2021-09-28 基于拟态技术和机器学习的检测***、方法、设备及介质

Publications (2)

Publication Number Publication Date
CN113973008A true CN113973008A (zh) 2022-01-25
CN113973008B CN113973008B (zh) 2023-06-02

Family

ID=79586928

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202111140778.9A Active CN113973008B (zh) 2021-09-28 2021-09-28 基于拟态技术和机器学习的检测***、方法、设备及介质

Country Status (1)

Country Link
CN (1) CN113973008B (zh)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114785879A (zh) * 2022-05-06 2022-07-22 中国科学院计算技术研究所 一种用于识别ospf协议异常行为的方法及***
CN115277203A (zh) * 2022-07-28 2022-11-01 国网智能电网研究院有限公司 一种执行体差异性评估方法、装置和电子设备
CN116150280A (zh) * 2023-04-04 2023-05-23 之江实验室 一种拟态redis数据库同步方法、***、设备和存储介质

Citations (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20110185420A1 (en) * 2010-01-26 2011-07-28 National Taiwan University Of Science & Technology Detection methods and devices of web mimicry attacks
WO2016043739A1 (en) * 2014-09-17 2016-03-24 Resurgo, Llc Heterogeneous sensors for network defense
WO2018002939A1 (en) * 2016-06-29 2018-01-04 Bar-Ilan University Pseudo-asynchronous digital circuit design
US20180165597A1 (en) * 2016-12-08 2018-06-14 Resurgo, Llc Machine Learning Model Evaluation in Cyber Defense
CN110177080A (zh) * 2019-04-18 2019-08-27 中国人民解放军战略支援部队信息工程大学 拟态交换机、网络设备及***
CN110647918A (zh) * 2019-08-26 2020-01-03 浙江工业大学 面向深度学习模型对抗攻击的拟态防御方法
WO2020062211A1 (zh) * 2018-09-30 2020-04-02 北京大学深圳研究生院 一种融合区块链技术拟态存储防篡改日志的方法及***
CN111049677A (zh) * 2019-11-27 2020-04-21 网络通信与安全紫金山实验室 拟态交换机异构执行体的清洗恢复方法和装置
CN112615862A (zh) * 2020-12-18 2021-04-06 网络通信与安全紫金山实验室 一种基于拟态防御的攻击防御装置、方法、设备和介质
CN113312621A (zh) * 2021-06-02 2021-08-27 沈阳航空航天大学 基于增强深度学习的拟态的安卓恶意软件动态检测方法
WO2021169080A1 (zh) * 2020-02-27 2021-09-02 南京红阵网络安全技术研究院有限公司 基于部分同态加密算法的拟态防御裁决方法和***

Patent Citations (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20110185420A1 (en) * 2010-01-26 2011-07-28 National Taiwan University Of Science & Technology Detection methods and devices of web mimicry attacks
WO2016043739A1 (en) * 2014-09-17 2016-03-24 Resurgo, Llc Heterogeneous sensors for network defense
WO2018002939A1 (en) * 2016-06-29 2018-01-04 Bar-Ilan University Pseudo-asynchronous digital circuit design
US20180165597A1 (en) * 2016-12-08 2018-06-14 Resurgo, Llc Machine Learning Model Evaluation in Cyber Defense
WO2020062211A1 (zh) * 2018-09-30 2020-04-02 北京大学深圳研究生院 一种融合区块链技术拟态存储防篡改日志的方法及***
CN110177080A (zh) * 2019-04-18 2019-08-27 中国人民解放军战略支援部队信息工程大学 拟态交换机、网络设备及***
CN110647918A (zh) * 2019-08-26 2020-01-03 浙江工业大学 面向深度学习模型对抗攻击的拟态防御方法
CN111049677A (zh) * 2019-11-27 2020-04-21 网络通信与安全紫金山实验室 拟态交换机异构执行体的清洗恢复方法和装置
WO2021169080A1 (zh) * 2020-02-27 2021-09-02 南京红阵网络安全技术研究院有限公司 基于部分同态加密算法的拟态防御裁决方法和***
CN112615862A (zh) * 2020-12-18 2021-04-06 网络通信与安全紫金山实验室 一种基于拟态防御的攻击防御装置、方法、设备和介质
CN113312621A (zh) * 2021-06-02 2021-08-27 沈阳航空航天大学 基于增强深度学习的拟态的安卓恶意软件动态检测方法

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
仝青等: "拟态防御Web服务器设计与实现", 软件学报, no. 04 *

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114785879A (zh) * 2022-05-06 2022-07-22 中国科学院计算技术研究所 一种用于识别ospf协议异常行为的方法及***
CN115277203A (zh) * 2022-07-28 2022-11-01 国网智能电网研究院有限公司 一种执行体差异性评估方法、装置和电子设备
CN116150280A (zh) * 2023-04-04 2023-05-23 之江实验室 一种拟态redis数据库同步方法、***、设备和存储介质

Also Published As

Publication number Publication date
CN113973008B (zh) 2023-06-02

Similar Documents

Publication Publication Date Title
CN113973008B (zh) 基于拟态技术和机器学习的检测***、方法、设备及介质
US11921851B1 (en) System and method for improved end-to-end cybersecurity machine learning and deployment
CN106713324B (zh) 一种流量检测方法及装置
CN115996146B (zh) 数控***安全态势感知与分析***、方法、设备及终端
JP2021060987A (ja) コンピュータネットワークにおけるデータ効率のよい脅威検出の方法
WO2022078196A1 (en) Malware detection by distributed telemetry data analysis
Landress A hybrid approach to reducing the false positive rate in unsupervised machine learning intrusion detection
Peneti et al. DDOS attack identification using machine learning techniques
KR100656351B1 (ko) 네트워크의 취약성 평가 기반의 위험 관리 분석 방법 및 그장치
CN114024761B (zh) 网络威胁数据的检测方法、装置、存储介质及电子设备
CN113497797A (zh) 一种icmp隧道传输数据的异常检测方法及装置
CN117544386A (zh) 基于深度学习的安全事件处理的方法和***
CN117319090A (zh) 一种网络安全智能防护***
Ramström Botnet detection on flow data using the reconstruction error from Autoencoders trained on Word2Vec network embeddings
CN114584391B (zh) 异常流量处理策略的生成方法、装置、设备及存储介质
Shaik et al. capsAEUL: Slow http DoS attack detection using autoencoders through unsupervised learning
CN112988327A (zh) 一种基于云边协同的容器安全管理方法和***
Kim et al. A hybrid static tool to increase the usability and scalability of dynamic detection of malware
McEvatt Advanced threat centre and future of security monitoring
Bahlali Anomaly-based network intrusion detection system: A machine learning approach
Naveen Application of relevance vector machines in real time intrusion detection
Badde et al. Cyber attack detection framework for cloud computing
Elaeraj et al. Toward an Appropriate Approach for Intelligent Intrusion and Detection Systems
Mokkapati et al. Embedded Signal Artificial Neural Network Based Intelligent Non-Dependent Feature Selection for Cyber Attack Classification in Signal-Based Networks.
Singh et al. Detection and Mitigation of DDoS Attacks on SDN Controller in IoT Network using Gini Impurity

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant