一种基于免疫模型的软件安全分析方法及系统技术方案
A software security analysis method and system based on immune model
The invention discloses a software security immunity model analysis method and system based on the method comprises the following steps: the normal system and software runtime feature extraction of self sampling feature library and feature library based on self according to the negative selection principle of artificial immune system to generate antibody library; and the current software runtime features the sample extracted antigen library, the feature library string matching antigen detection and antibody library, if they meet the matching condition, reporting security incidents; program module system including the corresponding method. The invention is based on the biological immune system combined with the practical application, all kinds of index of artificial immune model and software abstract system corresponding to the extraction of various features of events on the software system, the definition of the normal system of \self\ features, through the recognition of \non self\ to determine the fault occurs in the system security incidents and respond the innovation of the artificial immune system applying in the software safety detection system based on.
【技术实现步骤摘要】
一种基于免疫模型的软件安全分析方法及系统
本专利技术涉及软件安全分析技术,具体涉及一种基于免疫模型的软件安全分析方法及系统。
技术介绍
软件安全性分析具有计算规模大、复杂性高等特点,然而现有的软件安全分析方法在检测效率以及结果准确性等方面存在不足,主要体现在静态分析方法检测的结果集大、误报率高且不会有针对功能及程序结构的分析检查;动态分析效率不高,不易实现自动化发现;Fuzzing技术存在不通用、构造测试周期长等问题。因此,鉴于现有安全分析技术存在不足之处,课题在开展新的软件安全分析方法研究,提出基于免疫模型的软件安全分析方法,在提升和优化软件安全性分析检测的准确率和效率方面做出了探索。自然界中,生物的免疫系统主要用于识别属于正常机体本身的“自我”以及来自生物体内和体外的异常的“非我”,并且随时检测和查杀不属于机体本身的抗原,根据反应生成能够对抗抗原的抗体物质。从上述描述中可以看出,计算机安全问题与生物免疫系统所遇到的问题具有惊人的相似性,两者都要在不断变化的环境中维持系统的稳定性。因此,人工免疫系统(ArtificialImmuneSystem,AIS)的主要思...
【技术保护点】
一种基于免疫模型的软件安全分析方法,其特征在于实施步骤包括:1)预先对正常系统和软件的运行时进行特征采样提取自我特征库S,并基于自我特征库S按照人工免疫的阴性选择原理生成抗体库;当需要进行软件安全分析时跳转执行下一步;2)对当前的系统和软件的运行时进行特征采样提取抗原库,将抗原库中的特征串与抗体库中的抗体进行匹配检测,若符合匹配条件,则上报安全事件。
【技术特征摘要】
1.一种基于免疫模型的软件安全分析方法,其特征在于实施步骤包括:1)预先对正常系统和软件的运行时进行特征采样提取自我特征库S,并基于自我特征库S按照人工免疫的阴性选择原理生成抗体库;当需要进行软件安全分析时跳转执行下一步;2)对当前的系统和软件的运行时进行特征采样提取抗原库,将抗原库中的特征串与抗体库中的抗体进行匹配检测,若符合匹配条件,则上报安全事件。2.根据权利要求1所述的基于免疫模型的软件安全分析方法,其特征在于,步骤1)和步骤2)中进行特征采样时采集的特征包括系统状态特征向量S、网络通信特征向量N、软件行为特征向量A以及软件配置特征向量C,系统状态特征向量S包含CPU使用、内存使用两者中的至少一种特征;网络通信特征向量N包含系统网络流入流量、流出流量、访问目标三者中的至少一种特征;软件行为特征向量A包含软件的系统资源使用特征、网络资源使用特征、系统调用行为特征、文件访问行为特征五者中的至少一种特征;软件配置特征向量C包含至少一种系统中软件配置方面的特征。3.根据权利要求1所述的基于免疫模型的软件安全分析方法,其特征在于,步骤1)中进行特征采样提取自我特征库S的详细步骤包括:对每一次进行特征采样获取的特征分别进行编码得到对应各个特征的向量,将对应各个特征的向量编码生成自我特征串,将多次进行特征采样获得的自我特征串组合构成自我特征库S;步骤2)中提取抗原库的详细步骤包括:对当前的系统和软件的运行时进行特征采样进行编码得到对应各个特征的向量,将对应各个特征的向量编码生成自我特征串作为抗原库。4.根据权利要求1所述的基于免疫模型的软件安全分析方法,其特征在于,步骤1)中基于自我特征库S按照人工免疫的阴性选择原理生成抗体库的详细步骤包括:1.1)预先将自我特征库S进行编码,生成长度等于l的字符串集合F;1.2)定义字符串匹配规则;初始化抗体库抗体个数j的值;1.3)随机产生长度为l的字符串a,初始化循环遍历次数i的值;1.4)从字符串集合F中选择第i个自我特征字符串fi;1.5)判断字符串a、第i个自我特征字符串fi是否满足预先定义的字符串匹配规则,如果满足则跳转执行步骤1.3);否则,更新循环遍历次数i的值;1.6)判断循环遍历次数i的值是否大于选择字符串集合F中自我特征字符串的总数,如果循环遍历次数i的值大于选择字符串集合F中自我特征字符串的总数,则将字符串a作为抗体加入到抗体库中,抗体库抗体个数j加1,跳转执行步骤1.7);否则,跳转执行步骤1.4)。1.7)判断抗体库抗体个数j是否等于预期抗体数量N,是则生成抗体库完毕;否则,跳转执行步骤1.3)。5.根据权利要求1~4中任意一项所述的基于免疫模型的软件安全分析方法,其特征在于,步骤2)中还包括协同激发免疫响应的步骤,详细步骤包括:S1)在上报安全事件时,将当前的系统资源占用变化输入预先建立的危险信号计算模型得到对应的系统资源占用出现异常的判断结果;所述危险信号计算模型包含至少一种系统资源占用变化、该系统资源占用出现异常之间的映射关系的危险信号计算模型,且如果判定任意系统资源占用出现异常则输出对应的危险信号;S2)根据危险信号计算模型输出的对应的系统资源占用出现异常的判断结果判断协同激发免疫响应的综合危险情况是否触发综合危险信号,如果触发综合危险信号,则判定系统中存在有害软件且处于危险状态并上报安全事件。6.根据权利要求5所述的基于免疫模型的软件安全分析方法,其特征在于,步骤S1)中的系统资源占用变化、该系统资源占用出现异常之间的映射关系...
【专利技术属性】
技术研发人员:丁滟,戴华东,董攀,黄辰林,谭郁松,陈松政,魏立峰,
申请(专利权)人:中国人民解放军国防科技大学,
类型:发明
国别省市:湖南,43
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。