一种基于免疫疫苗对抗恶意代码传播模型的防御方法技术

本发明专利技术公开的属于网络安全技术领域，具体为一种基于免疫疫苗对抗恶意代码传播模型的防御方法，包括具体步骤如下：步骤一：进程节点状态识别，所述进程节点状态识别是利用基于哈希判定的恶意代码的启动进程判定，基于恶意代码动态取证模型的恶意代码检测方法的恶意代码的运行进程判定实现进程节点状态识别；步骤二：利用识别出的进程节点进行免疫防御，本发明专利技术颠覆了传统恶意代码的异常发现模式，创新性提出将混合学习的动态检测技术和生物免疫机制引入到对恶意代码的取证过程中，有效降低了传统恶意代码取证方法不能检测新增恶意代码所造成的安全风险。所造成的安全风险。所造成的安全风险。

【技术实现步骤摘要】
一种基于免疫疫苗对抗恶意代码传播模型的防御方法


[0001]本专利技术涉及网络安全
，具体为一种基于免疫疫苗对抗恶意代码传播模型的防御方法。

技术介绍

[0002]网络恶意代码免疫系统是计算机中的主动防御系统，可以实时监控恶意代码的潜在行为并给出主动响应措施，保护计算机或者网络免受恶意代码的破坏。
[0003]在信息安全领域中，随着恶意代码攻击手段和新型恶意代码的不断演化，恶意代码和正常应用程序之间的差别将越来越不明显，这使得恶意代码的检测和取证越来越困难。同时传统的恶意代码检测手段已经暴露出局限性，如查杀速度下降、误报率以及漏报率上升等。而利用语义分析等手段来自动识别恶意代码，由于人工智能等基础理论尚未取得关键性突破，所以目前还只停留在初级研究阶段或少数特定应用领域，并未能形成通用的技术解决方案。
[0004]计算机病毒源于生物病毒，在很多方面与生物病毒有着惊人的相似性，生物免疫系统对外来异体入侵所产生的免疫能力激发了病毒专家运用生物免疫原理来解决计算机病毒问题的兴趣。人工免疫系统算法由于其具有自组织、自适应记忆和分布式等优势，逐渐替代恶意代码检测取证算法成为信息安全领域新的研究热点。但是现阶段的人工免疫系统模型和算法存在学习训练代价较大。同时，完全依赖机器学习的训练暂时达不到较好的免疫效果。可信链结合完整性度量技术是目前较有效的免疫手段，通过在一个可信系统上采集操作系统的可信白名单，对系统服务、启动进程、需要运行的应用程序等可执行代码的二进制文件计算Hash值，并将这些Hash值与文件名组合在一起形成白名单，作为校验的标准。当操作系统启动时，所有需要加载的系统服务、启动进程首先计算其Hash值，然后将哈希值与可信白名单中的值进行比较，如果存在该值则说明该可执行代码没有被篡改，并且是被允许执行的合法代码。否则，则判定该代码已经被恶意篡改，或者是恶意代码在试图启动，系统因此将阻止该代码的执行，从而达到对恶意代码的免疫能力。对于一些在启动后动态加载恶意代码的软件，权限特征无法识别。为了弥补静态权限特征的不足，考虑将软件启动后的动态行为作为识别恶意软件的特征。我们一些获取用户信息或消耗用户手机资费的行为定义为敏感行为。正常软件可能也会有一定的敏感行为，但是恶意软件在敏感性为的数量和频率上，与正常软件会有较大的不同。因此，可以将动态软件行为作为区分恶意软件的重要特征。在获取这些特征之后，如何通过有效的方法识别恶意软件与正常软件，提高恶意软件识别的正确率并降低误判率与漏判率，是决定恶意软件检测模型质量的关键。
[0005]计算机在实际应用过程中涉及到的软件存在多样化的特色，并且所有软件显现出极大的复杂性。所以，计算机网络在实际运用过程中存在极大的安全问题，其在运行过程中极易沾染不同的病毒。除此之外，计算机网络在社会发展过程中得到了大面积推广，从而导致市场上计算机软件层出不穷，并且显现出一定的复杂性与多样性，更重要的是不能在质量上有所保障，很多软件基本上都是盗版的，质量问题更为突出。计算机网络运行过程中，
如果运用上述有质量问题的软件，则势必会影响到网络安全性能，增加网络防护安全的工作难度。
[0006]为此，我们提出一种基于免疫疫苗对抗恶意代码传播模型的防御方法。

技术实现思路

[0007]鉴于上述和/或现有一种基于免疫疫苗对抗恶意代码传播模型的防御方法中存在的问题，提出了本专利技术。
[0008]因此，本专利技术的目的是提供一种基于免疫疫苗对抗恶意代码传播模型的防御方法，能够解决上述提出现有的问题。
[0009]为解决上述技术问题，根据本专利技术的一个方面，本专利技术提供了如下技术方案：
[0010]一种基于免疫疫苗对抗恶意代码传播模型的防御方法，其包括具体步骤如下：
[0011]步骤一：进程节点状态识别，所述进程节点状态识别是利用基于哈希判定的恶意代码的启动进程判定，基于恶意代码动态取证模型的恶意代码检测方法的恶意代码的运行进程判定实现进程节点状态识别；
[0012]步骤二：利用识别出的进程节点进行免疫防御。
[0013]作为本专利技术所述的一种基于免疫疫苗对抗恶意代码传播模型的防御方法的一种优选方案，其中：所述基于哈希判定的恶意代码的启动进程判定的过程，具体如下：
[0014]流程一：将可信密码模块设置为网络节点的信任根，采集操作系统的各种系统服务、启动进程、需要运行的应用程序，从系统引导程序开始建立信任链，在操作系统引导器中嵌入度量代码形成引导度量器，实现对操作系统引导器代码自身的度量，确保引导环境的初态安全；
[0015]流程二：对流程一中所述操作系统中的系统服务、启动进程、需要运行的应用程序等可执行代码的二进制文件计算Hash值，并将这些Hash值与文件名组合在一起形成可信白名单，作为校验的标准；
[0016]流程三：当操作系统启动时，对所有需要加载的系统服务、启动进程首先计算其Hash值；
[0017]流程四：将哈希值与可信白名单中的值进行比较，如果存在该值则说明该可执行代码没有被篡改，并且是被允许执行的合法代码，否则，则判定该代码有可能被恶意篡改，系统因此将阻止该代码的执行，或者将该部分代码在沙盒中运行，也称为保护态运行。
[0018]作为本专利技术所述的一种基于免疫疫苗对抗恶意代码传播模型的防御方法的一种优选方案，其中：所述进程节点状态为易感染状态、已感染状态、失效状态和免疫状态；
[0019]所述易感染状态：节点处于未被感染但可能被感染的脆弱状态；
[0020]所述已感染状态：节点处于被恶意代码感染且可能感染其它节点的危险状态；
[0021]所述失效状态：节点处于被恶意代码感染彻底崩溃与网络暂时断开的失效状态；
[0022]所述免疫状态：节点处于清除病毒且获得免疫疫苗修补系统漏洞和升级病毒库而获得对该恶意代码免疫能力的安全状态。
[0023]作为本专利技术所述的一种基于免疫疫苗对抗恶意代码传播模型的防御方法的一种优选方案，其中：所述免疫状态的获取过程如下：
[0024]过程一：通过抗原提呈细胞算法检测周围信号来判断机体组织中是否存在恶意病
毒，抗原递呈细胞又称辅佐细胞，是机体内具有摄取、处理和传递抗原信息，诱发发生免疫应答作用的细胞，危险信号使得APC实现抗体对抗原的提呈，抗体完成对提呈细胞的识别，如果确认抗原危险，则产生免疫应答，对于抗原提呈，危险信号首先建立危险域；
[0025]过程二：抗体通过对提呈的抗原进行分析，并通过随机森林检测算法生成相应的抗体，显然，网络系统整体对抗恶意代码能力的增强主要依赖于免疫疫苗的节点覆盖速度和覆盖成功率，可以发现提升节点对恶意代码的认识程度与该恶意代码对网络系统的影响程度正相关。
[0026]作为本专利技术所述的一种基于免疫疫苗对抗恶意代码传播模型的防御方法的一种优选方案，其中：所述危险域的等级计算公式如下：
[0027][0028]w
i
为危险特征的权重，DSi为不同的危险特征，DSi...

【技术保护点】

【技术特征摘要】
1.一种基于免疫疫苗对抗恶意代码传播模型的防御方法，其特征在于，包括具体步骤如下：步骤一：进程节点状态识别，所述进程节点状态识别是利用基于哈希判定的恶意代码的启动进程判定，基于恶意代码动态取证模型的恶意代码检测方法的恶意代码的运行进程判定实现进程节点状态识别；步骤二：利用识别出的进程节点进行免疫防御。2.根据权利要求1所述的一种基于免疫疫苗对抗恶意代码传播模型的防御方法，其特征在于，所述基于哈希判定的恶意代码的启动进程判定的过程，具体如下：流程一：将可信密码模块设置为网络节点的信任根，采集操作系统的各种系统服务、启动进程、需要运行的应用程序，从系统引导程序开始建立信任链，在操作系统引导器中嵌入度量代码形成引导度量器，实现对操作系统引导器代码自身的度量，确保引导环境的初态安全；流程二：对流程一中所述操作系统中的系统服务、启动进程、需要运行的应用程序等可执行代码的二进制文件计算Hash值，并将这些Hash值与文件名组合在一起形成可信白名单，作为校验的标准；流程三：当操作系统启动时，对所有需要加载的系统服务、启动进程首先计算其Hash值；流程四：将哈希值与可信白名单中的值进行比较，如果存在该值则说明该可执行代码没有被篡改，并且是被允许执行的合法代码，否则，则判定该代码有可能被恶意篡改，系统因此将阻止该代码的执行，或者将该部分代码在沙盒中运行，也称为保护态运行。3.根据权利要求1所述的一种基于免疫疫苗对抗恶意代码传播模型的防御方法，其特征在于，所述进程节点状态为易感染状态、已感染状态、失效状态和免疫状态；所述易感染状态：节点处于未被感染但可能被感染的脆弱状态；所述已感染状态：节点处于被恶意代码感染且可能感染其它节点的危险状态；所述失效状态：节点处于被恶意代码感染彻底崩溃与网络暂时断开的失效状态；所述免疫状态：节点处于清除病毒...

【专利技术属性】
技术研发人员：罗恩韬，刘忆宁，徐旸，陈可，黄堂森，程文志，
申请(专利权)人：湖南科技学院，
类型：发明
国别省市：