CN114745139B - 一种基于类脑存算的网络行为检测方法及装置 - Google Patents
一种基于类脑存算的网络行为检测方法及装置 Download PDFInfo
- Publication number
- CN114745139B CN114745139B CN202210640329.9A CN202210640329A CN114745139B CN 114745139 B CN114745139 B CN 114745139B CN 202210640329 A CN202210640329 A CN 202210640329A CN 114745139 B CN114745139 B CN 114745139B
- Authority
- CN
- China
- Prior art keywords
- data
- information
- network
- behavior
- brain
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3236—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
- H04L9/3239—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions involving non-keyed hash functions, e.g. modification detection codes [MDCs], MD5, SHA or RIPEMD
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D30/00—Reducing energy consumption in communication networks
- Y02D30/50—Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Abstract
本发明公开了一种基于类脑存算的网络行为检测方法及装置,该方法包括:建立可信业务行为的类脑存算一体映射表;依据所述类脑存算一体映射表进行可信业务判别。本发明的有益效果:将网络***中合法的业务行为映射为网络中的信息数据,从而完成对合法业务行为到网络对应数据的映射。并通过对此数据信息流的特征提取,构建以此为基础的合法用户行为存算一体表空间映射,将复杂的业务模式匹配过程转化为简单的查表计算,极大减少了安全管控中业务比对与判别的算力开销,使得对于网络行为的实时管控成为可能,从而在根本上实现业务***的细粒度安全管控。
Description
技术领域
本发明涉及网络安全防护技术领域,更具体地说,涉及一种基于类脑存算的网络行为检测方法及装置。
背景技术
传统的安全防护是基于网络边界的外挂式防御机制,但随着应用架构随基础架构升级不断演进,以及互联网向网络空间演化,致使网络边界模糊,弱化了传统边界安全机制的防护能力。因此,当前的安全发展正朝着“深度融合体系化”的方向发展,其中安全管控***则是当前研究的热点。而在网络安全管控***的技术体系中,网络行为的可信判别在功能和效能上的不足一直是一个难点。
目前对于网络中业务合法行为的管控主要还是以满足合规性为主的外挂式安全防护技术手段,例如黑名单、防火墙、访问控制等。对于合法行为的管控还研究不够深入,白名单的应用主要是以IP地址、端口号等为主的简单过滤,目前安全管控***鲜有对网络中合法用户的行为进行深入的分析与管控。且极少数现有的用户可信行为的机器学习判决算法对计算资源与耗时开销的要求都比较大,无法满足现有***实际使用的需求。
发明内容
本发明提供了一种基于类脑存算的网络行为检测方法及装置,解决目前用户可信行为的机器学习判决算法对计算资源与耗时开销的要求都比较大,无法满足现有***实际使用的需求的问题。
为解决上述问题,一方面,本发明提供一种基于类脑存算的网络行为检测方法,包括:
建立可信业务行为的类脑存算一体映射表;
依据所述类脑存算一体映射表进行可信业务判别。
所述建立可信业务行为的类脑存算一体映射表,包括:
按照可信业务行为建立合法用户的白操作存算一体表的函数映射关系;
依据所述映射关系构建类脑存算一体映射表。
所述按照可信业务行为建立合法用户的白操作存算一体表的函数映射关系,包括:
将业务分解为具体的子行为;
将所述子行为映射为具体的网络信息数据流;
根据网络模型、层次与协议分析所述网络信息数据流中包含的数据块个数以完成***业务到网络数据的映射。
所述根据网络模型、层次与协议分析所述网络信息数据流中包含的数据块个数以完成***业务到网络数据的映射中:
所述数据块的个数在数据链路层为数据帧的个数,或者在网络层为IP包的个数。
所述依据所述映射关系构建类脑存算一体映射表,包括:
将对应的行为存储于表中的行向量,将所述行为对应的网络数据信息流中所包含的特征散列值与对应的辅助位置信息、数据块个数及预设的可选扩展信息存储于对应可信行为的表项所对应的列值中;
依照预设的协议与数据报文格式,找出网络数据信息流中所包含的数据块在头部字段的不变特征,然后对于数据块中数据字段部分通过预设的AI机器学习的方式找出其中不变的数据特征,并将所述头部字段的不变特征及所述数据字段的不变特征进行连接以构成报文的不变特征;
记录所述不变特征在数据块中对应的位置及长度以作为定位辅助信息;
将所述数据信息流中每个数据块中的不变特征进行连接以构成白业务在网络数据端的不变信息特征链;
将每一白行为对应的不变信息特征链进行散列计算,生成可信业务的不变特征链散列值,然后存储在可信业务表中对应的白行为项中,并将对应的不变特征链散列值及定位辅助信息连接起来进行存储;逐条完成所述可信业务所有的白行为项,将对应的数据块的数量、不变特征链散列值、对应的定位辅助信息及需要的扩展信息存储在对应的可信业务表中。
所述依据所述类脑存算一体映射表进行可信业务判别,包括:
根据业务类型从所述可信业务表中取得相关数据;
从所述相关数据中取得待检业务的操作行为对应的网络数据信息流,分析网络数据信息流中所包含的数据块个数以获得待检数据块个数;
判断所述待检数据块个数与所述类脑存算一体映射表中对应数据块个数是否相同;
若所述待检数据块个数与所述类脑存算一体映射表中对应数据块个数相同,则根据所述类脑存算一体映射表中对应的列值中定位辅助信息截取对应的待检数据信息流中数据块的特征信息,并将所述特征信息进行连接以形成所述数据信息流的待检特征信息;
对待检特征信息按照与所述类脑存算一体映射表同样的hash算法生成对应的待检散列值;
将所述待检散列值与所述类脑存算一体映射表中的散列值进行对比,如果相同则为可信业务操作,否则表示业务中含有非法信息或被篡改,以此完成对网络***中业务的管控。
一方面,提供一种基于类脑存算的网络行为检测装置,包括:
表建立模块,用于建立可信业务行为的类脑存算一体映射表;
判别模块,用于依据所述类脑存算一体映射表进行可信业务判别。
所述表建立模块包括:
映射关系建立模块,用于按照可信业务行为建立合法用户的白操作存算一体表的函数映射关系;
表构建模块,用于依据所述映射关系构建类脑存算一体映射表;
所述映射关系建立模块包括:
分解子模块,用于将业务分解为具体的子行为;
映射子模块,用于将所述子行为映射为具体的网络信息数据流;
分析子模块,用于根据网络模型、层次与协议分析所述网络信息数据流中包含的数据块个数以完成***业务到网络数据的映射;其中,所述数据块的个数在数据链路层为数据帧的个数,或者在网络层为IP包的个数;
所述表构建模块包括:
存储子模块,用于将对应的行为存储于表中的行向量,将所述行为对应的网络数据信息流中所包含的特征散列值与对应的辅助位置信息、数据块个数及预设的可选扩展信息存储于对应可信行为的表项所对应的列值中;
特征构成子模块,用于依照预设的协议与数据报文格式,找出网络数据信息流中所包含的数据块在头部字段的不变特征,然后对于数据块中数据字段部分通过预设的AI机器学习的方式找出其中不变的数据特征,并将所述头部字段的不变特征及所述数据字段的不变特征进行连接以构成报文的不变特征;
定位辅助模块,用于记录所述不变特征在数据块中对应的位置及长度以作为定位辅助信息;
特征链构成子模块,用于将所述数据信息流中每个数据块中的不变特征进行连接以构成白业务在网络数据端的不变信息特征链;
散列计算子模块,用于将每一白行为对应的不变信息特征链进行散列计算,生成可信业务的不变特征链散列值,然后存储在可信业务表中对应的白行为项中,并将对应的不变特征链散列值及定位辅助信息连接起来进行存储;逐条完成所述可信业务所有的白行为项,将对应的数据块的数量、不变特征链散列值、对应的定位辅助信息及需要的扩展信息利用存储子模块存储在对应的可信业务表中。
所述判别模块包括:
数据取得子模块,用于根据业务类型从所述可信业务表中取得相关数据;
数据块获得子模块,用于从所述相关数据中取得待检业务的操作行为对应的网络数据信息流,分析网络数据信息流中所包含的数据块个数以获得待检数据块个数;
判断子模块,用于判断所述待检数据块个数与所述类脑存算一体映射表中对应数据块个数是否相同;
特征截取子模块,用于当所述待检数据块个数与所述类脑存算一体映射表中对应数据块个数相同时,根据所述类脑存算一体映射表中对应的列值中定位辅助信息截取对应的待检数据信息流中数据块的特征信息,并将所述特征信息进行连接以形成所述数据信息流的待检特征信息;
散列值生成子模块,用于对待检特征信息按照与所述类脑存算一体映射表同样的hash算法生成对应的待检散列值;
对比子模块,用于将所述待检散列值与所述类脑存算一体映射表中的散列值进行对比,如果相同则为可信业务操作,否则表示业务中含有非法信息或被篡改,以此完成对网络***中业务的管控。
一方面,提供一种计算机可读存储介质,所述存储介质中存储有多条指令,所述指令适于由处理器加载以执行以上所述的一种基于类脑存算的网络行为检测方法。
本发明的有益效果是:将网络***中合法的业务行为映射为网络中的信息数据,从而完成对合法业务行为到网络对应数据的映射。并通过对此数据信息流的特征提取,构建以此为基础的合法用户行为存算一体表空间映射,将复杂的业务模式匹配过程转化为简单的查表计算,极大减少了安全管控中业务比对与判别的算力开销,使得对于网络行为的实时管控成为可能,从而在根本上实现业务***的细粒度安全管控,构建起与业务“深度融合体系化”的安全防护机制,将现有的安全管控与防护体系提升到一个新的高度。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明一实施例提供的一种基于类脑存算的网络行为检测方法的流程图;
图2是本发明一实施例提供的业务行为的网络数据存算一体映射关系示意图;
图3是本发明一实施例提供的可信业务存算一体表结构设计示意图;
图4是本发明一实施例提供的业务行为判别流程图;
图5是本发明一实施例提供的***结构框图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
在本发明的描述中,需要理解的是,术语“中心”、“纵向”、“横向”、“长度”、“宽度”、“厚度”、“上”、“下”、“前”、“后”、“左”、“右”、“竖直”、“水平”、“顶”、“底”、“内”、“外”等指示的方位或位置关系为基于附图所示的方位或位置关系,仅是为了便于描述本发明和简化描述,而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作,因此不能理解为对本发明的限制。此外,术语“第一”、“第二”仅用于描述目的,而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此,限定有“第一”、“第二”的特征可以明示或者隐含地包括一个或者更多个特征。在本发明的描述中,“多个”的含义是两个或两个以上,除非另有明确具体的限定。
在本发明中,“示例性”一词用来表示“用作例子、例证或说明”。本发明中被描述为“示例性”的任何实施例不一定被解释为比其它实施例更优选或更具优势。为了使本领域任何技术人员能够实现和使用本发明,给出了以下描述。在以下描述中,为了解释的目的而列出了细节。应当明白的是,本领域普通技术人员可以认识到,在不使用这些特定细节的情况下也可以实现本发明。在其它实例中,不会对公知的结构和过程进行详细阐述,以避免不必要的细节使本发明的描述变得晦涩。因此,本发明并非旨在限于所示的实施例,而是与符合本发明所公开的原理和特征的最广范围相一致。
传统的安全管控技术主要以满足“合规性”要求为主,对于网络中行为的管控粒度很粗,更多是一种基于“黑名单”的过滤防护方式,该方式受限于名单库的更新滞后问题,对于未知网络攻击无能为力。本发明专利则将采用安全防护与业务紧耦合的思想,将网络***中合法的业务行为映射为网络中的信息数据,从而完成对合法业务行为到网络对应数据的映射。并通过对此数据信息流的特征提取,构建以此为基础的合法用户行为存算一体表空间映射,将复杂的业务模式匹配过程转化为简单的查表计算,极大减少了安全管控中业务比对与判别的算力开销,使得对于网络行为的实时管控成为可能,从而在根本上实现业务***的细粒度安全管控,构建起与业务“深度融合体系化”的安全防护机制,将现有的安全管控与防护体系提升到一个新的高度。
本发明为解决现有管控***在功能和效能上的不足,提出了一种基于类脑存算的网络行为检测方法与***。通过将业务流程与子流程映射为网络中的行为与子行为,再将网络行为映射到对应的网络信息数据,通过构造存算一体表函数的方式将此信息数据的特征信息进行提取并存储。以此达到通过表空间内存储的数据特征来判别***业务是否可信的目的。
为此,本专利需要构造***内合法业务可信行为的存算一体表函数,平时对***合法业务采用离线训练的方式,使用存算一体表函数建立合法业务行为的特征表,实际运营时以特征表为参照,将复杂网络业务行为的模式匹配过程转化为简单的查表与比对运算,实现对网络***中业务行为的快速判别与管控。这极大提升了***的管控效率。在构造存算一体表函数时,首先将业务分解为具体的行为操作,然后将操作明确到网络中具体的数据信息流,确定对应的数据块数量,再通过学习分别提取对应数据块中头部字段和数据段中的不变内容作为“基础特征信息”,并将其在数据块中的位置信息作为“报文特征辅助定位信息”。考虑到存储的开销及计算的效率,本发明专利还采用一种将操作对应的所有数据块的基础特征信息连接起来进行散列计算的方式,输出的定长散列值,将此计算值作为表中操作行为的特征项,既减少了存储开销,又减轻了处理负担、降低了延迟,同时增强了表中数据内容的安全性。在进行判别比对时,采用与建表时相同的方式,提取用户操作对应数据信息流中的特征信息,并用同样算法生成散列值后与表中内容进行比对,从而快速判别此行为操作是否为可信操作。
参见图1,图1是本发明一实施例提供的一种基于类脑存算的网络行为检测方法的流程图,所述基于类脑存算的网络行为检测方法包括步骤S1-S2:
S1、建立可信业务行为的类脑存算一体映射表;步骤S1包括步骤S11-S12:
S11、按照可信业务行为建立合法用户的白操作存算一体表的函数映射关系;步骤S11包括步骤S111-S113:
S111、将业务分解为具体的子行为。
本实施例中,每一对应的白业务行为在网络数据端(无论是对应OSI七层中哪一层)都是以一组具体的数据信息流进行呈现,因此基于如图2策略构建对应的存算一体映射关系,图2是本发明一实施例提供的业务行为的网络数据存算一体映射关系示意图,既首先将业务分解为具体的行为(子行为)。
S112、将所述子行为映射为具体的网络信息数据流。
本实施例中,将行为映射为具体的网络信息数据流。
S113、根据网络模型、层次与协议分析所述网络信息数据流中包含的数据块个数以完成***业务到网络数据的映射。其中,所述数据块的个数在数据链路层为数据帧的个数,或者在网络层为IP包的个数。
本实施例中,根据具体的网络模型、层次与协议,分析其包含的数据块个数(例如:在数据链路层为数据帧的个数;在网络层为IP包的个数),以此完成***业务到网络数据的映射。总之,按照具体业务建立合法用户的白操作存算一体表函数映射关系,构造对应的可信业务表,表中每一行的内容对应业务中的一项具体行为(即白行为)的特征表示,每一列包括对应白行为的不变数据特征、操作包含的数据块数,以及每条数据块的特征定位辅助信息,如图3所示,图3是本发明一实施例提供的可信业务存算一体表结构设计示意图。
S12、依据所述映射关系构建类脑存算一体映射表。步骤S12包括步骤S121-S125:
S121、将对应的行为存储于表中的行向量,将所述行为对应的网络数据信息流中所包含的特征散列值与对应的辅助位置信息、数据块个数、及预设的可选扩展信息存储于对应可信行为的表项所对应的列值中。
本实施例中,首先将对应的行为存储于表中的行向量,将行为对应的网络信息数据流包含的数据块个数存储于对应可信行为的表项所对应的列值中。
S122、依照预设的协议与数据报文格式,找出网络数据信息流中所包含的数据块在头部字段的不变特征,然后对于数据块中数据字段部分通过预设的AI机器学习的方式找出其中不变的数据特征,并将所述头部字段的不变特征及所述数据字段的不变特征进行连接以构成报文的不变特征。
本实施例中,对数据信息流中每一数据块,依照对应的协议与数据报文格式,找出其在头部字段(例如:IP头、TCP头部信息中对应此业务操作固定不变的部分),然后对于数据块中数据字段部分可以通过对应的AI机器学习的方式找出其中不变的数据特征,并于前面在报文头部找出的不变特征进行连接,构成此报文的不变特征。
S123、记录所述不变特征在数据块中对应的位置及长度以作为定位辅助信息。
本实施例中,记录下这些特征信息各自在数据块中对应的位置及长度,作为特征的定位辅助信息。
S124、将所述数据信息流中每个数据块中的不变特征进行连接以构成白业务在网络数据端的不变信息特征链。
本实施例中,按此方式将此组数据信息流中每个数据块中不变的特征进行连接,构成此白业务在网络数据端对应的不变信息特征链。同样每条报文都有对应的定位辅助信息。
S125、将每一白行为对应的不变信息特征链进行散列计算,生成可信业务的不变特征链散列值,然后存储在可信业务表中对应的白行为项中,并将对应的不变特征链散列值及定位辅助信息连接起来进行存储;逐条完成所述可信业务所有的白行为项,将对应的数据块的数量、不变特征链散列值、对应的定位辅助信息及需要的扩展信息存储在对应的可信业务表中。
本实施例中,为了减少信息特征过长的存储代价,将每一白行为对应的不变信息特征链进行散列计算,生成定长的可信业务不变特征链散列值,然后存储在可信业务表中对应的白行为项中,并将对应的辅助位置信息连接起来进行存储。以此类推,逐条完成此业务所有对应的白行为项,将对应的数据块数量、特征散列值、对应的位置辅助信息及需要的扩展信息存储在对应的可信业务表中。然后同理构建出其它业务***中对应的合法业务特征表,生成***中所有合法业务的不变特征存算一体表函数空间。在后期维护时可以根据业务的变化对对应的特征表进行增减和修改。
S2、依据所述类脑存算一体映射表进行可信业务判别。步骤S2包括步骤S21-S26:
S21、根据业务类型从所述可信业务表中取得相关数据。
本实施例中,在创建出符合具体应用环境的可信业务存算一体表空间的基础上,就可以执行***中业务合法性的快速判别任务,如图4所示,图4是本发明一实施例提供的业务行为判别流程图。在进行实际业务管控的判别时,首先根据业务类型选取前面建立的对应可信业务表,取得相关数据。
S22、从所述相关数据中取得待检业务的操作行为对应的网络数据信息流,分析网络数据信息流中所包含的数据块个数以获得待检数据块个数。
本实施例中,取得待检业务的操作行为对应的网络数据信息流,分析其包含的数据块个数。
S23、判断所述待检数据块个数与所述类脑存算一体映射表中对应数据块个数是否相同。
本实施例中,将待检数据块个数与表中对应数据块个数进行对比,若相同则继续步骤S24的检测,否则直接调用处置模块根据预定义的管控策略进行处置。
S24、若所述待检数据块个数与所述类脑存算一体映射表中对应数据块个数相同,则根据所述类脑存算一体映射表中对应的列值中定位辅助信息截取对应的待检数据信息流中数据块的特征信息,并将所述特征信息进行连接以形成所述数据信息流的待检特征信息。
本实施例中,若步骤S23通过,则根据表中对应的列值中“报文的特征定位辅助信息”截取对应的待检数据信息流中数据块的特征信息,并进行连接,形成此信息数据流的待检特征信息(即待检行为的特征信息)。
S25、对待检特征信息按照与所述类脑存算一体映射表同样的hash算法生成对应的待检散列值。
本实施例中,对获取的待检信息按照建表中同样的hash算法生成对应的待检散列值。
S26、将所述待检散列值与所述类脑存算一体映射表中的散列值进行对比,如果相同则为可信业务操作,否则表示业务中含有非法信息或被篡改,以此完成对网络***中业务的管控。
本实施例中,将此待检散列值与表现中的散列值进行对比,如果相同则为可信业务操作,否则表示业务中含有非法信息或被篡改,激发处置模块中相应处理机制进行处理,以此完成对网络***中业务的管控。
本案还提供一种基于类脑存算的网络行为检测装置,包括:
表建立模块,用于建立可信业务行为的类脑存算一体映射表;
判别模块,用于依据所述类脑存算一体映射表进行可信业务判别。
所述表建立模块包括:
映射关系建立模块,用于按照可信业务行为建立合法用户的白操作存算一体表的函数映射关系;
表构建模块,用于依据所述映射关系构建类脑存算一体映射表;
所述映射关系建立模块包括:
分解子模块,用于将业务分解为具体的子行为;
映射子模块,用于将所述子行为映射为具体的网络信息数据流;
分析子模块,用于根据网络模型、层次与协议分析所述网络信息数据流中包含的数据块个数以完成***业务到网络数据的映射;其中,所述数据块的个数在数据链路层为数据帧的个数,或者在网络层为IP包的个数;
所述表构建模块包括:
存储子模块,用于将对应的行为存储于表中的行向量,将所述行为对应的网络数据信息流中所包含的特征散列值与对应的辅助位置信息、数据块个数、及预设的可选扩展信息存储于对应可信行为的表项所对应的列值中;
特征构成子模块,用于依照预设的协议与数据报文格式,找出网络数据信息流中所包含的数据块在头部字段的不变特征,然后对于数据块中数据字段部分通过预设的AI机器学习的方式找出其中不变的数据特征,并将所述头部字段的不变特征及所述数据字段的不变特征进行连接以构成报文的不变特征;
定位辅助模块,用于记录所述不变特征在数据块中对应的位置及长度以作为定位辅助信息;
特征链构成子模块,用于将所述数据信息流中每个数据块中的不变特征进行连接以构成白业务在网络数据端的不变信息特征链;
散列计算子模块,用于将每一白行为对应的不变信息特征链进行散列计算,生成可信业务的不变特征链散列值,然后存储在可信业务表中对应的白行为项中,并将对应的不变特征链散列值及定位辅助信息连接起来进行存储;逐条完成所述可信业务所有的白行为项,将对应的数据块的数量、不变特征链散列值、对应的定位辅助信息及需要的扩展信息利用存储子模块存储在对应的可信业务表中。
所述判别模块包括:
数据取得子模块,用于根据业务类型从所述可信业务表中取得相关数据;
数据块获得子模块,用于从所述相关数据中取得待检业务的操作行为对应的网络数据信息流,分析网络数据信息流中所包含的数据块个数以获得待检数据块个数;
判断子模块,用于判断所述待检数据块个数与所述类脑存算一体映射表中对应数据块个数是否相同;
特征截取子模块,用于当所述待检数据块个数与所述类脑存算一体映射表中对应数据块个数相同时,根据所述类脑存算一体映射表中对应的列值中定位辅助信息截取对应的待检数据信息流中数据块的特征信息,并将所述特征信息进行连接以形成所述数据信息流的待检特征信息;
散列值生成子模块,用于对待检特征信息按照与所述类脑存算一体映射表同样的hash算法生成对应的待检散列值;
对比子模块,用于将所述待检散列值与所述类脑存算一体映射表中的散列值进行对比,如果相同则为可信业务操作,否则表示业务中含有非法信息或被篡改,以此完成对网络***中业务的管控。
为实现上述方法及装置,可以设计为图5所示的***,图5是本发明一实施例提供的***结构框图。
***整体设计为5大模块:可信业务划分映射模块,存算一体表空间构建模块、可信任务匹配模块、AI算法引擎和处置模块,其结构如图5,具体功能如下:
可信业务划分映射模块:将***业务流程划分为一个个具体的可信行为(拆分为具体不可细分的原子可信行为操作),将此可信行为操作映射成对应的网络数据信息流。通过AI算法训练并找出对应数据块中不变的特性数据字段及其对应的位置信息,
表空间构建模块:包括***可信业务存算一体表空间构造子模块与存算一体表空间的维护子模块。
存算一体表空间的构造包括:将所有对应数据块的特征信息连接起来并计算出散列值,将散列值与对应的辅助位置信息、数据块数量信息等内容记录进可行业务表中对应的可信行为记录中。
存算一体表空间的维护包括:当***业务发生变化时,根据授权对可信行为表进行增减和更新操作。
可信任务匹配模块:包括实际业务特征提取模块和搜索比对模块。
实际业务特征提取模块:按照“可信业务划分映射模块”和训练时对应的HASH算法生成待检业务的网络数据流特征信息。
搜索比对模块:将生成待检信息与表中生成的可信业务数据特征进行对比,匹配则业务顺利通过,否则启动“处置模块”进行处置。
处置模块:在发现异常网络业务行为后根据预设的策略进行处置。
AI算法引擎:提供对信息数据流进行训练与不变特征提取的智能算法支撑,集成相关机器学习与智能计算的算法库。
本领域普通技术人员可以理解,上述实施例的各种方法中的全部或部分步骤可以通过指令来完成,或通过指令控制相关的硬件来完成,该指令可以存储于一计算机可读存储介质中,并由处理器进行加载和执行。为此,本发明实施例提供一种存储介质,其中存储有多条指令,该指令能够被处理器进行加载,以执行本发明实施例所提供的任一种基于类脑存算的网络行为检测方法中的步骤。
其中,该存储介质可以包括:只读存储器(ROM,Read Only Memory)、随机存取记忆体(RAM,Random Access Memory)、磁盘或光盘等。
由于该存储介质中所存储的指令,可以执行本发明实施例所提供的任一种基于类脑存算的网络行为检测方法中的步骤,因此,可以实现本发明实施例所提供的任一种基于类脑存算的网络行为检测方法所能实现的有益效果,详见前面的实施例,在此不再赘述。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等,均应包含在本发明的保护范围之内。
Claims (5)
1.一种基于类脑存算的网络行为检测方法,其特征在于,包括:
建立可信业务行为的类脑存算一体映射表;
依据所述类脑存算一体映射表进行可信业务判别;
所述建立可信业务行为的类脑存算一体映射表,包括:
按照可信业务行为建立合法用户的白操作存算一体表的函数映射关系;
依据所述映射关系构建类脑存算一体映射表;
所述按照可信业务行为建立合法用户的白操作存算一体表的函数映射关系,包括:
将业务分解为具体的子行为;
将所述子行为映射为具体的网络信息数据流;
根据网络模型、层次与协议分析所述网络信息数据流中包含的数据块个数以完成***业务到网络数据的映射;
所述根据网络模型、层次与协议分析所述网络信息数据流中包含的数据块个数以完成***业务到网络数据的映射中:
所述数据块的个数在数据链路层为数据帧的个数,或者在网络层为IP包的个数;
所述依据所述映射关系构建类脑存算一体映射表,包括:
将对应的行为存储于表中的行向量,将所述行为对应的网络数据信息流中所包含的特征散列值与对应的辅助位置信息、数据块个数、及预设的可选扩展信息存储于对应可信行为的表项所对应的列值中;
依照预设的协议与数据报文格式,找出网络数据信息流中所包含的数据块在头部字段的不变特征,然后对于数据块中数据字段部分通过预设的AI机器学习的方式找出其中不变的数据特征,并将所述头部字段的不变特征及所述数据字段的不变特征进行连接以构成报文的不变特征;
记录所述不变特征在数据块中对应的位置及长度以作为定位辅助信息;
将所述数据信息流中每个数据块中的不变特征进行连接以构成白业务在网络数据端的不变信息特征链;
将每一白行为对应的不变信息特征链进行散列计算,生成可信业务的不变特征链散列值,然后存储在可信业务表中对应的白行为项中,并将对应的不变特征链散列值及定位辅助信息连接起来进行存储;逐条完成所述可信业务所有的白行为项,将对应的数据块的数量、不变特征链散列值、对应的定位辅助信息及需要的扩展信息存储在对应的可信业务表中。
2.根据权利要求1所述的网络行为检测方法,其特征在于,所述依据所述类脑存算一体映射表进行可信业务判别,包括:
根据业务类型从所述可信业务表中取得相关数据;
从所述相关数据中取得待检业务的操作行为对应的网络数据信息流,分析网络数据信息流中所包含的数据块个数以获得待检数据块个数;
判断所述待检数据块个数与所述类脑存算一体映射表中对应数据块个数是否相同;
若所述待检数据块个数与所述类脑存算一体映射表中对应数据块个数相同,则根据所述类脑存算一体映射表中对应的列值中定位辅助信息截取对应的待检数据信息流中数据块的特征信息,并将所述特征信息进行连接以形成所述数据信息流的待检特征信息;
对待检特征信息按照与所述类脑存算一体映射表同样的hash算法生成对应的待检散列值;
将所述待检散列值与所述类脑存算一体映射表中的散列值进行对比,如果相同则为可信业务操作,否则表示业务中含有非法信息或被篡改,以此完成对网络***中业务的管控。
3.一种基于类脑存算的网络行为检测装置,其特征在于,包括:
表建立模块,用于建立可信业务行为的类脑存算一体映射表;
判别模块,用于依据所述类脑存算一体映射表进行可信业务判别;
所述表建立模块包括:
映射关系建立模块,用于按照可信业务行为建立合法用户的白操作存算一体表的函数映射关系;
表构建模块,用于依据所述映射关系构建类脑存算一体映射表;
所述映射关系建立模块包括:
分解子模块,用于将业务分解为具体的子行为;
映射子模块,用于将所述子行为映射为具体的网络信息数据流;
分析子模块,用于根据网络模型、层次与协议分析所述网络信息数据流中包含的数据块个数以完成***业务到网络数据的映射;其中,所述数据块的个数在数据链路层为数据帧的个数,或者在网络层为IP包的个数;
所述表构建模块包括:
存储子模块,用于将对应的行为存储于表中的行向量,将所述行为对应的网络数据信息流中所包含的特征散列值与对应的辅助位置信息、数据块个数、及预设的可选扩展信息存储于对应可信行为的表项所对应的列值中;
特征构成子模块,用于依照预设的协议与数据报文格式,找出网络数据信息流中所包含的数据块在头部字段的不变特征,然后对于数据块中数据字段部分通过预设的AI机器学习的方式找出其中不变的数据特征,并将所述头部字段的不变特征及所述数据字段的不变特征进行连接以构成报文的不变特征;
定位辅助模块,用于记录所述不变特征在数据块中对应的位置及长度以作为定位辅助信息;
特征链构成子模块,用于将所述数据信息流中每个数据块中的不变特征进行连接以构成白业务在网络数据端的不变信息特征链;
散列计算子模块,用于将每一白行为对应的不变信息特征链进行散列计算,生成可信业务的不变特征链散列值,然后存储在可信业务表中对应的白行为项中,并将对应的不变特征链散列值及定位辅助信息连接起来进行存储;逐条完成所述可信业务所有的白行为项,将对应的数据块的数量、不变特征链散列值、对应的定位辅助信息及需要的扩展信息利用存储子模块存储在对应的可信业务表中。
4.根据权利要求3所述的网络行为检测装置,其特征在于,所述判别模块包括:
数据取得子模块,用于根据业务类型从所述可信业务表中取得相关数据;
数据块获得子模块,用于从所述相关数据中取得待检业务的操作行为对应的网络数据信息流,分析网络数据信息流中所包含的数据块个数以获得待检数据块个数;
判断子模块,用于判断所述待检数据块个数与所述类脑存算一体映射表中对应数据块个数是否相同;
特征截取子模块,用于当所述待检数据块个数与所述类脑存算一体映射表中对应数据块个数相同时,根据所述类脑存算一体映射表中对应的列值中定位辅助信息截取对应的待检数据信息流中数据块的特征信息,并将所述特征信息进行连接以形成所述数据信息流的待检特征信息;
散列值生成子模块,用于对待检特征信息按照与所述类脑存算一体映射表同样的hash算法生成对应的待检散列值;
对比子模块,用于将所述待检散列值与所述类脑存算一体映射表中的散列值进行对比,如果相同则为可信业务操作,否则表示业务中含有非法信息或被篡改,以此完成对网络***中业务的管控。
5.一种计算机可读存储介质,其特征在于,所述存储介质中存储有多条指令,所述指令适于由处理器加载以执行权利要求1至2任一项所述的一种基于类脑存算的网络行为检测方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210640329.9A CN114745139B (zh) | 2022-06-08 | 2022-06-08 | 一种基于类脑存算的网络行为检测方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210640329.9A CN114745139B (zh) | 2022-06-08 | 2022-06-08 | 一种基于类脑存算的网络行为检测方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN114745139A CN114745139A (zh) | 2022-07-12 |
| CN114745139B true CN114745139B (zh) | 2022-10-28 |
Family
ID=82287271
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210640329.9A Active CN114745139B (zh) | 2022-06-08 | 2022-06-08 | 一种基于类脑存算的网络行为检测方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114745139B (zh) |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103297440A (zh) * | 2013-06-24 | 2013-09-11 | 北京星网锐捷网络技术有限公司 | 应用流量特征库的建立方法和装置、网络设备 |
| CN105141604A (zh) * | 2015-08-19 | 2015-12-09 | 国家电网公司 | 一种基于可信业务流的网络安全威胁检测方法及*** |
| CN109951491A (zh) * | 2019-03-28 | 2019-06-28 | 腾讯科技(深圳)有限公司 | 网络攻击检测方法、装置、设备及存储介质 |
| CN110661680A (zh) * | 2019-09-11 | 2020-01-07 | 深圳市永达电子信息股份有限公司 | 一种基于正则表达式进行数据流白名单检测的方法及*** |
| CN112887268A (zh) * | 2021-01-07 | 2021-06-01 | 深圳市永达电子信息股份有限公司 | 一种基于全面检测和识别的网络安全保障方法及*** |
| CN113225359A (zh) * | 2021-07-12 | 2021-08-06 | 深圳市永达电子信息股份有限公司 | 一种基于类脑计算的安全流量分析*** |
| CN114221780A (zh) * | 2021-10-26 | 2022-03-22 | 深圳市永达电子信息股份有限公司 | 工控***网络安全保障方法、装置和计算机存储介质 |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10367704B2 (en) * | 2016-07-12 | 2019-07-30 | At&T Intellectual Property I, L.P. | Enterprise server behavior profiling |
| CN112769825B (zh) * | 2021-01-07 | 2023-02-21 | 深圳市永达电子信息股份有限公司 | 一种网络安全保障方法、***以及计算机存储介质 |
| CN113283594B (zh) * | 2021-07-12 | 2021-11-09 | 深圳市永达电子信息股份有限公司 | 一种基于类脑计算的入侵检测*** |
-
2022
- 2022-06-08 CN CN202210640329.9A patent/CN114745139B/zh active Active
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103297440A (zh) * | 2013-06-24 | 2013-09-11 | 北京星网锐捷网络技术有限公司 | 应用流量特征库的建立方法和装置、网络设备 |
| CN105141604A (zh) * | 2015-08-19 | 2015-12-09 | 国家电网公司 | 一种基于可信业务流的网络安全威胁检测方法及*** |
| CN109951491A (zh) * | 2019-03-28 | 2019-06-28 | 腾讯科技(深圳)有限公司 | 网络攻击检测方法、装置、设备及存储介质 |
| CN110661680A (zh) * | 2019-09-11 | 2020-01-07 | 深圳市永达电子信息股份有限公司 | 一种基于正则表达式进行数据流白名单检测的方法及*** |
| CN112887268A (zh) * | 2021-01-07 | 2021-06-01 | 深圳市永达电子信息股份有限公司 | 一种基于全面检测和识别的网络安全保障方法及*** |
| CN113225359A (zh) * | 2021-07-12 | 2021-08-06 | 深圳市永达电子信息股份有限公司 | 一种基于类脑计算的安全流量分析*** |
| CN114221780A (zh) * | 2021-10-26 | 2022-03-22 | 深圳市永达电子信息股份有限公司 | 工控***网络安全保障方法、装置和计算机存储介质 |
Non-Patent Citations (2)
| Title |
|---|
| Information Security Detection Technology for Industrial Control Equipment Modeling Generated by Excitation Traversal Test Based on Big Data;C. Cui等;《2021 IEEE Sixth International Conference on Data Science in Cyberspace (DSC)》;20220411;全文 * |
| 基于白名单机制的工控分级入侵检测算法;严彪等;《通信技术》;20180410(第04期);全文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN114745139A (zh) | 2022-07-12 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109347834B (zh) | 物联网边缘计算环境中异常数据的检测方法、装置及设备 | |
| CN107135203B (zh) | 一种终端访问控制策略优化的方法及*** | |
| CN103814545A (zh) | 手机用户身份认证方法、云服务器以及网络*** | |
| CN112887268B (zh) | 一种基于全面检测和识别的网络安全保障方法及*** | |
| US20210360406A1 (en) | Internet-of-things device classifier | |
| CN113938524B (zh) | 基于流量代理的物联网终端敏感信息泄露监测方法及*** | |
| CN110058949B (zh) | 一种基于智能边缘计算的传感云低耦合控制方法 | |
| CN110445689A (zh) | 识别物联网设备类型的方法、装置及计算机设备 | |
| CN110061921B (zh) | 一种云平台数据包分发方法及*** | |
| CN109451459B (zh) | 一种基于移动雾节点的传感云底层节点信任评价方法 | |
| CN114745139B (zh) | 一种基于类脑存算的网络行为检测方法及装置 | |
| CN111526162B (zh) | 一种区块链攻击节点的多层次综合识别方法及装置 | |
| CN114205816A (zh) | 一种电力移动物联网信息安全架构及其使用方法 | |
| CN105243328A (zh) | 一种基于行为特征的摆渡木马防御方法 | |
| CN106603471B (zh) | 一种防火墙策略检测方法及装置 | |
| Xu et al. | Toward software defined dynamic defense as a service for 5G-enabled vehicular networks | |
| CN114741426B (zh) | 一种基于类脑存算一体的业务行为检测方法及装置 | |
| CN116668089B (zh) | 基于深度学习的网络攻击检测方法、***及介质 | |
| CN111010362B (zh) | 一种异常主机的监控方法及装置 | |
| CN106294375B (zh) | 一种数据请求实时处理方法和装置 | |
| CN113283594B (zh) | 一种基于类脑计算的入侵检测*** | |
| CN106570160A (zh) | 一种海量时空数据清洗方法及装置 | |
| CN106503191A (zh) | 一种数据管理设备和方法 | |
| CN109495432A (zh) | 一种匿名账户的鉴权方法及服务器 | |
| CN114065037A (zh) | 基于大数据的数据处理方法及大数据服务器 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |