一种基于免疫机制的安全防护方法、电子设备及存储介质技术

本发明专利技术公开了一种基于免疫机制的安全防护方法、电子设备及存储介质，方法包括：S1，基于内生性免疫机制构建白名单库；S2，基于获得性免疫机制构建黑名单库；S3，基于黑名单库更新白名单库；S4，基于更新后的白名单库对信息网络系统进行防护。本发明专利技术先设定初始粒度，即初始时间节点数量对正常行为数据提取正常特征序列，以构建白名单库。后续对通过了白名单库检测但仍造成信息网络系统异常的异常行为数据，通过更细粒度，即增加时间节点数量提取扩展特征序列对比，实现定位异常行为数据的实质异常特征，以便于根据异常行为有针对性地对白名单库进行细粒度扩展与更新，以便于后续对此类隐蔽性异常行为的检测阻断，有效增强安全防护力度。防护力度。防护力度。

【技术实现步骤摘要】
一种基于免疫机制的安全防护方法、电子设备及存储介质


[0001]本专利技术涉及网络安全领域，具体是一种基于免疫机制的安全防护方法、电子设备及存储介质。

技术介绍

[0002]随着数字社会、数字经济、数字产业的不断发展与完善，网络空间呈现多样化、复杂化的整体态势，恶意攻击行为可能从信息网络系统的漏洞侵入系统，产生攻击行为数据，破坏、更改系统中的事务及信息。传统的信息网络系统安全防护技术是通过已发生的攻击行为数据来构建黑名单，后续再次发生相同攻击时能进行防护，黑名单技术无法防护未知的攻击。
[0003]白名单是一种新兴的网络安全防护技术，基于前期使得信息网络系统能正常运行的正常行为构建白名单，后续与白名单不匹配的行为均认定为异常行为，能对未知攻击起到较好的防护作用。白名单实质上是由对正常行为进行特征提取形成的能够表征正常行为的特征组成的，后续白名单防护通过对待检测行为进行特征提取并与白名单内的特征对比而实现。但随着安全防护技术的发展，网络攻击手段也在发展与变化，现有的网络攻击手段主要朝隐匿性、延时性发展，一些网络攻击能够通过将其特征伪装成正常行为的特征，通过白名单安全检测引发信息网络系统异常，现有技术中对这类攻击没有较好的检测方法。

技术实现思路

[0004]本专利技术的目的在于解决现有技术的上述问题，提供了一种基于免疫机制的安全防护方法、电子设备及存储介质，本专利技术能够定位通过了白名单检测的异常行为的实质异常特征，并以此对白名单进行细粒度扩展更新，以便于后续对此类异常行为的检测阻断，有效增强安全防护力度。
[0005]第一方面，本专利技术提供了一种基于免疫机制的安全防护方法，所述方法包括以下步骤：S1，基于内生性免疫机制构建白名单库，包括：S11，信息网络系统运行第一时间段后，将使得信息网络系统正常运行的行为统计为正常行为，单个正常行为产生的数据作为单个正常行为数据，对正常行为数据分别对应提取正常特征序列，正常特征序列包括其对应正常行为数据在第一时间段内多个时间节点分别对应的归一化特征值。
[0006]S12，将所有正常特征序列分为多个类组，多个类组的正常特征序列构成白名单库；S2，基于获得性免疫机制构建黑名单库，包括：S21，信息网络系统基于白名单库防护运行第二时间段后，将使得信息网络系统不正常运行的行为统计为异常行为，单个异常行为产生的数据作为单个异常行为数据，对异常行为数据分别对应提取异常特征序列，异常特征序列包括其对应异常行为数据在第二时
间段内多个时间节点分别对应的归一化特征值；第二时间段与第一时间段时长相同且起止时刻相同，时间节点设置也相同；S22，找出与各异常特征序列相同的正常特征序列及其所属类组，将两个相同的异常特征序列和正常特征序列对应的异常行为数据和正常行为数据作为一个数据组；S23，针对单个数据组的异常行为数据和正常行为数据，在其各自的时间段内不断同步增加时间节点数量并提取对应的扩展特征序列，正常行为数据和异常行为数据时间节点数量相同的扩展特征序列为一个扩展组，直至找出其内两个扩展特征序列不相同的扩展组，将该扩展组内异常行为数据的扩展特征序列作为异常扩展特征序列；S24，基于白名单库内的类组构建包含相同空白类组的黑名单库，将各异常扩展特征序列按其对应的正常特征序列的类组存入黑名单库内对应的类组中；S3，基于黑名单库更新白名单库；S4，基于更新后的白名单库对信息网络系统进行防护。
[0007]优选地，所述步骤S3包括以下子步骤：S31，统计黑名单库内各类组内所有异常扩展特征序列的时间节点数量的种类；S32，对白名单库内各类组内的正常特征序列对应的正常行为数据，在第一时间段内基于黑名单库内对应类组的各种时间节点数量分别提取正常扩展特征序列，并将各正常扩展特征序列存入白名单库内对应类组中；S33，将与黑名单库内各类组内异常扩展特征序列相同的白名单库内对应类组内的正常扩展特征序列删除，更新白名单库。
[0008]优选地，所述步骤S4包括以下子步骤：S41，信息网络系统后续运行中，将待检测行为产生的待检测行为数据按其发生时段置于虚拟时间中，虚拟时间与第一时间段时长相同且起止时刻相同，时间节点设置也相同；S42，从待检测行为数据中提取待检测特征序列，待检测特征序列包括对应待检测行为数据在虚拟时间内多个时间节点分别对应的归一化特征值；S43，将待检测特征序列与白名单库各类组内的正常特征序列进行对比，若不存在与其相同的正常特征序列，则判定对应待检测行为异常，对其进行阻断；若存在与其相同的正常特征序列，跳至S44；S44，统计该正常特征序列所在类组内所有正常扩展特征序列的时间节点数量的种类，对待检测行为数据，在虚拟时间内基于白名单库内对应类组内正常扩展特征序列的各种时间节点数量分别提取待检测扩展特征序列；将各待检测扩展特征序列与白名单库对应类组内正常扩展特征序列对比，若各待检测扩展特征序列均存在相同正常扩展特征序列则判定对应待检测行为正常，允许访问，若存在待检测扩展特征序列找不到相同正常扩展特征序列则判定对应待检测行为异常，对其进行阻断。
[0009]优选地，所述步骤S12中将所有正常特征序列分为多个类组具体包括以下步骤：A1，基于正常特征序列包含的归一化特征值将各正常特征序列映射为多维空间不同的点，以各点为圆心分别限定半径相同的邻域球，基于邻域球内点的数量计算各邻域球的密度并按密度从大到小排列；A2，提取密度最大的邻域球作为基准球；
A3，将基准球的圆心点存入一空白小类中；A4，按顺序提取剩余的邻域球与当前基准球进行密度对比，若当前提取的邻域球与当前基准球的密度差值不大于差分阈值则将该邻域球的圆心点存入当前基准球的圆心点所在小类中，然后跳至步骤A4；若其密度差值大于差分阈值则将该邻域球作为基准球，跳至步骤A3；直至邻域球提取完；A5，对照圆心点的分类将正常特征序列分为多个类组。
[0010]优选地，所述步骤A1中第i个邻域球的密度为：，其中m表示邻域球的数量，即正常行为数据的数量，表示第i个领域球内点的个数，为邻域球的半径。
[0011]优选地，所述步骤S23中时间节点的单次增量为1。
[0012]优选地，所述步骤S23中时间节点的总增量设有上限值，如果时间节点总增量达到了上限值，但仍未找到其内两个扩展特征序列不相同的扩展组，则停止增加时间节点数量，并将该数据组内的异常行为数据及其对应的异常行为更正为正常。
[0013]优选地，所述步骤S11中第i个正常行为数据的第t个时间节点的归一化特征值为：；所述步骤S21中第j个异常行为数据的第t个时间节点的归一化特征值为：；其中m表示正常行为数据的数量，h表示异常行为数据的数量，t表示时间节点的数量，表示第i个正常行为数据，表示在第t个时间节点的原始特征值，表示在n个时间节点中最小的原始特征值，表示在n个时间节点中最大的原始特征值；表示第j个正常行为数据，表示在第t个时间节点的原始特征值，表示在n个时间节点中最小的原始特征值，表示在n个时间节点中最大的原始特征值。
[0014]第二方面，本专利技术提供了本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于免疫机制的安全防护方法，其特征在于，所述方法包括以下步骤：S1，基于内生性免疫机制构建白名单库，包括：S11，信息网络系统运行第一时间段后，将使得信息网络系统正常运行的行为统计为正常行为，单个正常行为产生的数据作为单个正常行为数据，对正常行为数据分别对应提取正常特征序列，正常特征序列包括其对应正常行为数据在第一时间段内多个时间节点分别对应的归一化特征值；S12，将所有正常特征序列分为多个类组，多个类组的正常特征序列构成白名单库；S2，基于获得性免疫机制构建黑名单库，包括：S21，信息网络系统基于白名单库防护运行第二时间段后，将使得信息网络系统不正常运行的行为统计为异常行为，单个异常行为产生的数据作为单个异常行为数据，对异常行为数据分别对应提取异常特征序列，异常特征序列包括其对应异常行为数据在第二时间段内多个时间节点分别对应的归一化特征值；第二时间段与第一时间段时长相同且起止时刻相同，时间节点设置也相同；S22，找出与各异常特征序列相同的正常特征序列及其所属类组，将两个相同的异常特征序列和正常特征序列对应的异常行为数据和正常行为数据作为一个数据组；S23，针对单个数据组的异常行为数据和正常行为数据，在其各自的时间段内不断同步增加时间节点数量并提取对应的扩展特征序列，正常行为数据和异常行为数据时间节点数量相同的扩展特征序列为一个扩展组，直至找出其内两个扩展特征序列不相同的扩展组，将该扩展组内异常行为数据的扩展特征序列作为异常扩展特征序列；S24，基于白名单库内的类组构建包含相同空白类组的黑名单库，将各异常扩展特征序列按其对应的正常特征序列的类组存入黑名单库内对应的类组中；S3，基于黑名单库更新白名单库；S4，基于更新后的白名单库对信息网络系统进行防护。2.根据权利要求1所述的一种基于免疫机制的安全防护方法，其特征在于，所述S3包括以下子步骤：S31，统计黑名单库内各类组内所有异常扩展特征序列的时间节点数量的种类；S32，对白名单库内各类组内的正常特征序列对应的正常行为数据，在第一时间段内基于黑名单库内对应类组的各种时间节点数量分别提取正常扩展特征序列，并将各正常扩展特征序列存入白名单库内对应类组中；S33，将与黑名单库内各类组内异常扩展特征序列相同的白名单库内对应类组内的正常扩展特征序列删除，更新白名单库。3.根据权利要求1所述的一种基于免疫机制的安全防护方法，其特征在于，所述S4包括以下子步骤：S41，信息网络系统后续运行中，将待检测行为产生的待检测行为数据按其发生时段置于虚拟时间中，虚拟时间与第一时间段时长相同且起止时刻相同，时间节点设置也相同；S42，从待检测行为数据中提取待检测特征序列，待检测特征序列包括对应待检测行为数据在虚拟时间内多个时间节点分别对应的归一化特征值；S43，将待检测特征序列与白名单库各类组内的正常特征序列进行对比，若不存在与其相同的正常特征序列，则判定对应待检测行为异常，对其进行阻断；若存在与其相同的正常
特征序列，跳至S44；S44，统计该正常特征序列所在类组内所有正常扩展特征序列的时间节点数量的种类，对待检测行为数据，在虚拟时间内基于白名单库内对应类组内正常扩展特...

【专利技术属性】
技术研发人员：戚建淮，周杰，杜玲禧，宋晶，张莉，刁润，
申请(专利权)人：成都市以太节点科技有限公司，
类型：发明
国别省市：