一种未知异常的检测方法、装置及检测设备制造方法及图纸

本发明专利技术公开了一种未知异常的检测方法、装置及检测设备，方法包括：获取被检测部件的检测数据，通过异构功能等价体获取所述检测数据所对应的预设范围，所述异构功能等价体与所述被检测部件的功能相同但结构不同；判断所述检测数据是否在其对应的预设范围之内，如果不在所述预设范围之内，则确定所述被检测部件处于异常状态，进而可以预测该部件的漏洞和后门被触发，所以当被检测部件处于异常状态时，对该部件或设备采取复位或隔离等措施，防止由于漏洞或后门被触发导致其对网络安全产生的危害，提高网络系统的安全性。

【技术实现步骤摘要】

本专利技术涉及网络空间安全防护
，尤其涉及一种未知异常的检测方法、装置及检测设备。
技术介绍
计算机和由计算机构成的网络空间环境为人们的生活、工作和学习带来了极大的便利，计算机构成的网络空间环境包括网络设备终端(如手机、计算机)，运行在终端的与网络相关的软件(如浏览器、通讯软件)，服务器，以及为网络提供互连的各种设备(如交换机、路由器)等。网络空间领域中的软硬件装置可以是系统、子系统、部件、模块、构件甚至器件，这些软硬件装置对外呈现的结构状态称为结构表征。现有网络空间领域给定服务功能的软硬件装置，其外在结构形态与其内部结构形态间存在某种映射关系，且这种映射关系在网络空间领域的技术架构上往往是静态的和确定的。尤其是现有技术中的冗余系统，多是基于同构冗余系统，该同构冗余系统的内在结构及其设计逻辑是相同的，使得在同构冗余调度时，结构表征是相同的，且与同构功能等价体的结构相似并具有静态性。一般的网络安全检测方法，大多是针对已知的漏洞和后门，然而网络中存在着大量的未知的漏洞和后门，可以被攻击者所利用，并对网络设备实施有效的攻击。因此，如何感知网络设备是否异常，是鉴别网络设备的漏洞和后门是否被触发的一种重要判断依据，尤其是针对未知的漏洞和后门。所以，如何检测输出服务响应的设备是否发生了未知异常是本领域技术人员需要解决的问题。
技术实现思路
本申请实施例中提供一种未知异常的检测方法、装置及检测设备，以检测工作的部件是否处于异常状态。为了解决上述技术问题，本申请实施例公开了如下技术方案：第一方面，提供了一种未知异常的检测方法，所述方法包括：获取被检测部件的检测数据，所述检测数据包括：被检测部件输出的服务响应数据，或被检测部件在处理服务请求的过程中，从所述被检测部件的工作状态中提取的数据，或被检测部件输出的服务响应数据和从所述被检测部件的工作状态中提取的数据；通过异构功能等价体获取所述检测数据所对应的预设范围，所述异构功能等价体与所述被检测部件的功能相同但结构不同；分别判断所述被检测部件的服务响应数据是否在其预设范围之内；或者，判断所述被检测部件的工作状态中提取的数据是否在其预设范围之内，或者，判断所述服务请求数据和所述提取的数据是否均在其预设范围之内；如果否，则确定所述被检测部件处于异常状态。进一步地，所述通过异构功能等价体获取所述检测数据所对应的预设范围包括：所述异构功能等价体根据所述服务请求输出服务响应数据，根据所述服务响应数据确定所述被检测部件的服务请求数据的预设范围，或者，所述异构功能等价体在处理所述服务请求的过程中，从该异构功能等价体的工作状态中提取的数据，并根据所述提取的数据确定从所述被检测部件的工作状态中提取的数据的预设范围。进一步地，如果获取两个或两个以上异构功能等价体输出的服务响应数据，或者，两个或两个以上所述异构功能等价体从其工作状态中提取的数据，则确定所述预设范围包括：获取调度策略；根据所述调度策略从所述至少两个输出的服务响应数据中选择一个作为判断的服务响应数据，或者，根据所述调度策略从所述至少两个工作状态信息中选择一个作为判断的工作状态信息，所述调度策略包括数量择多策略、权重占优策略、随机策略或轮循策略其中的一种或多种组合；并根据所述判断的服务响应数据来确定所述预设范围，或者从所述判断的工作状态信息中提取的数据来确定其对应的预设范围。进一步地，所述从工作状态中提取的数据具体包括：所述被检测部件在处理服务请求的过程中产生的计算数据，和每个异构功能等价体在所述处理服务请求的过程中产生的计算数据。第二方面，提供了一种未知异常的检测装置，所述装置包括：第一获取单元，用于获取被检测部件的检测数据，所述检测数据包括：被检测部件输出的服务响应数据，或被检测部件在处理服务请求的过程中，从所述被检测部件的工作状态中提取的数据，或被检测部件输出的服务响应数据和从所述被检测部件的工作状态中提取的数据；第二获取单元，用于通过异构功能等价体获取所述检测数据所对应的预设范围，所述异构功能等价体与所述被检测部件的功能相同但结构不同；判断单元，用于分别判断所述被检测部件的服务请求数据是否在其预设范围之内；或者，判断所述被检测部件的工作状态中提取的数据是否在其预设范围之内，或者，判断所述服务请求数据和所述提取的数据是否均在其预设范围之内；确定单元，用于如果否，则确定所述被检测部件处于异常状态。进一步地，所述第二获取单元具体用于：所述异构功能等价体根据所述服务请求输出服务响应数据，根据所述服务响应数据确定所述被检测部件的服务请求数据的预设范围，或者，所述异构功能等价体在处理所述服务请求的过程中，从该异构功能等价体的工作状态中提取的数据，并根据所述提取的数据确定从所述被检测部件的工作状态中提取的数据的预设范围。进一步地，如果获取两个或两个以上异构功能等价体输出的服务响应数据，或者，两个或两个以上所述异构功能等价体从其工作状态中提取的数据，则所述第二获取单元还包括：调度策略获取单元，用于获取调度策略；选择单元，用于根据所述调度策略从所述至少两个输出的服务响应数据中选择一个作为判断的服务响应数据，或者，根据所述调度策略从所述至少两个工作状态信息中选择一个作为判断的工作状态信息，所述调度策略包括数量择多策略、权重占优策略、随机策略或轮循策略其中的一种或多种组合；预设范围确定单元，用于并根据所述判断的服务响应数据来确定所述预设范围，或者从所述判断的工作状态信息中提取的数据来确定其对应的预设范围。相比于现有的采用同构等价体的方式对相同的服务请求进行处理和输出服务响应数据，本实施例通过设置两个以上异构功能等价体，输出数据，不但能够降低由于单个异构功能等价体异常而造成判决被检测部件异常的误报率，而且多个异构功能等价体同时工作能够降低其全部发生异常的概率，有利于检测设备获取更加正确的预设范围，能够降低被检测部件异常的漏报率，进一步了增强网络系统的安全性。进一步地，所述从工作状态中提取的数据具体包括：所述被检测部件在处理服务请求的过程中产生的计算数据，和每个异构功能等价体在所述处理服务请求的过程中产生的计算数据。第三方面，还提供了一种检测设备，用于对被检测部件的工作状态进行检测，所述检测设备包括收发器，处理器和至少一个异构功能等价体，其中，所述异构功能等价体与被检测部件的功能相同但结构不同；收发器，用于获取被检测部件的检测数据，所述检测数据包括：被检测部件输出的服务响应数据，或被检测部件在处理服务请求的过程中，从所述被检测部件的工作状态中提取的数据，或被检测部件输出的服务响应数据和从所述被检测部件的工作状态中提取的数据；异构功能等价体，用于根据所述服务请求输出服务响应数据，并将所述服务响应数据以及，在处理所述服务请求的过程中提取的数据，根据所述提取的数据确定的预设范围发送给处理器；处理器，用于根据所述检测数据和来自异构功能等价体的数据，分别判断所述被检测部件的服务响应数据是否在其预设范围之内；或者，判断所述被检测部件的工作状态中提取的数据是否在其预设范围之内，或者，判断所述服务请求数据和所述提取的数据是否均在其预设范围之内；如果位于所述预设范围之外，则确定所述被检测部件处于异常状态。进一步地，所述异构功能等价体具体用于，根据所述服务请本文档来自技高网...

【技术保护点】
一种未知异常的检测方法，其特征在于，所述方法包括：获取被检测部件的检测数据，所述检测数据包括：被检测部件输出的服务响应数据，或被检测部件在处理服务请求的过程中，从所述被检测部件的工作状态中提取的数据，或被检测部件输出的服务响应数据和从所述被检测部件的工作状态中提取的数据；通过异构功能等价体获取所述检测数据所对应的预设范围，所述异构功能等价体与所述被检测部件的功能相同但结构不同；分别判断所述被检测部件的服务响应数据是否在其预设范围之内；或者，判断所述被检测部件的工作状态中提取的数据是否在其预设范围之内，或者，判断所述服务请求数据和所述提取的数据是否均在其预设范围之内；如果否，则确定所述被检测部件处于异常状态。

【技术特征摘要】
1.一种未知异常的检测方法，其特征在于，所述方法包括：获取被检测部件的检测数据，所述检测数据包括：被检测部件输出的服务响应数据，或被检测部件在处理服务请求的过程中，从所述被检测部件的工作状态中提取的数据，或被检测部件输出的服务响应数据和从所述被检测部件的工作状态中提取的数据；通过异构功能等价体获取所述检测数据所对应的预设范围，所述异构功能等价体与所述被检测部件的功能相同但结构不同；分别判断所述被检测部件的服务响应数据是否在其预设范围之内；或者，判断所述被检测部件的工作状态中提取的数据是否在其预设范围之内，或者，判断所述服务请求数据和所述提取的数据是否均在其预设范围之内；如果否，则确定所述被检测部件处于异常状态。2.根据权利要求1所述的检测方法，其特征在于，所述通过异构功能等价体获取所述检测数据所对应的预设范围包括：所述异构功能等价体根据所述服务请求输出服务响应数据，根据所述服务响应数据确定所述被检测部件的服务请求数据的预设范围，或者，所述异构功能等价体在处理所述服务请求的过程中，从该异构功能等价体的工作状态中提取的数据，并根据所述提取的数据确定从所述被检测部件的工作状态中提取的数据的预设范围。3.根据权利要求2所述的检测方法，其特征在于，如果获取两个或两个以上异构功能等价体输出的服务响应数据，或者，两个或两个以上所述异构功能等价体从其工作状态中提取的数据，则确定所述预设范围包括：获取调度策略；根据所述调度策略从所述至少两个输出的服务响应数据中选择一个作为判断的服务响应数据，或者，根据所述调度策略从所述至少两个工作状态信息中选择一个作为判断的工作状态信息，所述调度策略包括数量择多策略、权重占优策略、随机策略或轮循策略其中的一种或多种组合；并根据所述判断的服务响应数据来确定所述预设范围，或者从所述判断的工作状态信息中提取的数据来确定其对应的预设范围。4.根据权利要求1-3任一项所述的方法，其特征在于，所述从工作状态中提取的数据具体包括：所述被检测部件在处理服务请求的过程中产生的计算数据，和每个异构功能等价体在所述处理服务请求的过程中产生的计算数据。5.一种未知异常的检测装置，其特征在于，所述装置包括：第一获取单元，用于获取被检测部件的检测数据，所述检测数据包括：被检测部件输出的服务响应数据，或被检测部件在处理服务请求的过程中，从所述被检测部件的工作状态中提取的数据，或被检测部件输出的服务响应数据和从所述被检测部件的工作状态中提取的数据；第二获取单元，用于通过异构功能等价体获取所述检测数据所对应的预设范围，所述异构功能等价体与所述被检测部件的功能相同但结构不同；判断单元，用于分别判断所述被检测部件的服务请求数据是否在其预设范围之内；或者，判断所述被检测部件的工作状态中提取的数据是否在其预设范围之内，或者，判断所述服务请求数据和所述提取的数据是否均在其预设范围之内；确定单元，用于如果否，则...

【专利技术属性】
技术研发人员：伊鹏，李军飞，张震，韩伟涛，王鹏，张霞，周锟，
申请(专利权)人：国家数字交换系统工程技术研究中心，上海红阵信息科技有限公司，
类型：发明
国别省市：河南;41