【技术实现步骤摘要】
本专利技术属于计算机存储安全领域,具体涉及一种基于人工免疫的存储异常检测方法。该方法通过分析存储元数据实现对存储系统的异常检测目的,它不仅具有自学习、自适应、计算并行等人工智能特点,而且能达到高检测率和低误警率的检测效果。
技术介绍
异常检测通常是指将用户正常的行为特征存储在特征数据库中,然后将用户当前行为特征与特征数据库中的特征进行比较,如果二者的偏差超过了一定的范围,就认为发生了异常。这里将存储系统中出现的违背访问规则、破坏完整性等相关行为或现象称为‘存储异常’。传统的存储异常检测技术体现在文件加密、访问控制、文件权限等技术中,这些技术的主要优点是它们比较成熟,应用范围广泛,能在一定程度上防御用户的违规操作。但它们都无法对用户的存取行为进行诊断。例如,如果入侵者使用一个盗窃帐号,存储系统中的认证子系统就会将该使用者视为合法用户,入侵者将对该存储系统造成威胁,甚至破坏现有存储数据,即传统的认证系统无法对合法用户的越权行为形成有效检测。近年来有研究者提出了基于规则的过滤、统计分析、模式匹配、隐性马尔可夫模型、数据挖掘等新技术,在一定程度上改善了传统的存储异常检测 ...
【技术保护点】
一种基于人工免疫的存储异常检测方法,首先按照(1)~(3)建立有效特征库,再在每次检测时,按照步骤(4)~(6)进行处理; (1)定义用户读/写请求的元数据数据结构,并转换为特征序列,应用统计学方法获得一组基本特征构成基本特征库;(2)对基本特征库里的基本特征进行组合,生成检测器,构成待训练特征库; (3)收集一批事先好判别是合法或非法的读/写请求,利用这些请求对应的特征序列与待训练特征库中的检测器进行逐个匹配,检测器每匹配到一个特征序列,就根据该特征序列的合法性更新检测器对应的权值,所有检测器与这些特征序列匹配结束后,对检测器进行筛选,得到有效特征库; (4)截获读/写请 ...
【技术特征摘要】
1、一种基于人工免疫的存储异常检测方法,首先按照(1)~(3)建立有效特征库,再在每次检测时,按照步骤(4)~(6)进行处理;(1)定义用户读/写请求的元数据数据结构,并转换为特征序列,应用统计学方法获得一组基本特征构成基本特征库;(2)对基本特征库里的基本特征进行组合,生成检测器,构成待训练特征库;(3)收集一批事先好判别是合法或非法的读/写请求,利用这些请求对应的特征序列与待训练特征库中的检测器进行逐个匹配,检测器每匹配到一个特征序列,就根据该特征序列的合法性更新检测器对应的权值,所有检测器与这些特征序列匹配结束后,对检测器进行筛选,得到有效特征库;(4)截获读/写请求,按照元数据数据结构得到所需的元数据,并将其转换成对应的特征序列,并为该待检测的特征序列设置两个权值;(5)将有效特征库中的每一个检测器与待检测的特征序列进行匹配,当匹配成功时,同时更新该待检测的特征序列和检测器的权值;全部匹配结束后,如果该待检测的特征序列所对应的两个权值之比大于给定的阈值,则视为‘异已’,据此给特征库一个反馈,为成功匹配该特征序列的所有检测器增加一个分值,如果特征库更新时间到,转到步骤(6),否则转到步骤(4),等待新的读/写请求到来;(6)对特征库进行更新,然后转到步骤(4)。2、根据权利要求1所述的基于人工免疫的存储异常检测方法,其特征在于:步骤(2)中,为每个检测器设置两个权值times和illegals,times描述检测器匹配抗原序列的活跃程度,illegals描述检测器判别非法序列的有效程度,并设置其初始值为0。3、根据权利要求1所述的基于人工免疫的存储异常检测方法,其特征在于:步骤(5)具体包括下述过程:(5.1)从有效特征库中抽取一个检测器对待检测的特征序...
【专利技术属性】
技术研发人员:谢长生,黄建忠,陈云亮,方允福,李欣,
申请(专利权)人:华中科技大学,
类型:发明
国别省市:83[中国|武汉]
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。