一种互联网下的分布式数据检测系统及方法技术方案

本发明专利技术公开了一种互联网下的分布式数据检测系统及方法，涉及恶意代码数据检测技术领域，该系统包括：客户端节点

【技术实现步骤摘要】
一种互联网下的分布式数据检测系统及方法


[0001]本专利技术涉及恶意代码数据检测
，具体为一种互联网下的分布式数据检测系统及方法
。

技术介绍

[0002]分布式系统是由多台计算机或设备组成的系统，这些计算机或设备通过网络连接并协同工作，以实现共同目标，分布式系统具有并行处理任务的能力和较高容错性，即当某个节点出现故障时，其他节点可以接管其工作，从而保证系统的连续运行；然而，当普通用户使用分布式系统中的客户端节点时，由于缺乏必要的网络安全知识，导致客户端节点容易遭受恶意代码的攻击；因此，如何及时锁定遭受恶意代码攻击客户端节点，防止恶意代码扩散到整个分布式系统中成为了一个需要解决的问题
。

技术实现思路

[0003]本专利技术的目的在于提供一种互联网下的分布式数据检测系统及方法，以解决上述
技术介绍
中提出的问题
。
[0004]一种互联网下的分布式数据检测系统，包括：客户端节点
、
服务器节点和数据节点；所述客户端节点用于将用户的输入转化为请求，与服务器之间进行交互，将服务器的处理结果反馈给用户；所述服务器节点用于处理用户请求，对客户端节点的可信度进行检测，根据检测结果对异常客户端节点的数据传输路径进行隔离和处理；所述数据节点用于存储客户端节点特征数据
、
客户端节点运行过程特征数据和客户端节点可信度数据
。
[0005]具体地，分布式数据检测系统还包括中间件节点和溯源节点，所述中间件节点用于连接客户端节点与服务器节点
、
服务器节点与服务器节点和客户端节点与客户端节点，负责接收与发送数据并进行协议转换；所述溯源节点与所述服务器节点相互连接，用于存储客户端节点的数据传输路径信息，只负责响应服务器节点发出的路径追踪请求，发送客户端节点的数据传输路径信息给服务器节点，不接收其他数据
。
[0006]具体地，服务器节点还包括数据采集单元，用于获取客户端节点运行时的参数信息，基于参数信息提取出客户端节点特征数据和客户端节点运行过程特征数据
。
[0007]所述服务器节点还包括病毒处理单元，当客户端节点
、
服务器节点和中间件节点被隔离时，所述病毒处理单元对客户端节点
、
服务器节点和中间件节点进行恶意代码检测和清除，当清除恶意代码完成时且客户端节点恢复正常工作状态时，解除对节点的隔离，并且将节点的可信度数据重置为初始值；否则保持隔离状态
。
[0008]一种互联网下的分布式数据检测方法，包括以下分析步骤：
[0009]S6
‑1，获取客户端节点特征数据和客户端节点运行过程特征数据；
[0010]S6
‑2，基于客户端节点特征数据，将分布式系统中的客户端节点分成多个不同簇，每个分类簇都适用一种可信度评估模型；当客户端节点感染恶意代码之后，由于客户端节点设备存在差异，不同客户端节点受到影响的程度不一样，导致表现出来的迹象也不一样；
将客户端节点特征数据分别归一化之后计算平均值，以平均值作为输入，采用无监督分类算法分成多个类别，得到不同的分类簇，同一分类簇中的数据具有较高的相似性；
[0011]S6
‑3，基于客户端节点运行过程数据，建立步骤
S6
‑2中每个分类簇的可信度评估模型；
[0012]S6
‑4，通过可信度评估模型对所有客户端节点的可信度进行评估，当客户端节点的可信度低于阈值时，客户端节点将被标记为异常节点，当客户端节点被检测出恶意代码时，也将被标记为异常节点；对异常节点的数据传输路径进行追踪，隔离所有与异常节点存在数据传输的其余节点和异常节点自身；
[0013]S6
‑5，对被隔离的节点进行检测，根据检测结果调整被隔离客户端节点的运行状态；通过病毒处理单元对客户端节点
、
服务器节点和中间件节点进行恶意代码检测和清除，当清除恶意代码完成时且客户端节点恢复正常工作状态时，解除对节点的隔离，并且将节点的可信度数据重置为初始值；否则保持隔离状态
。
[0014]具体地，建立每个分类簇的可信度评估模型还包括以下分析步骤：
[0015]记客户端节点运行过程特征为
[x
1 x2ꢀ…ꢀ
x
n
]，
n
为客户端节点运行过程特征的个数；
[0016]对每一个客户端节点运行过程特征，获取均值
μ
i
和标准差
σ
i
，
i
为区间
[1
，
n]之间的正整数；
[0017]获取每个客户端节点的历史可信度
CRE
数据，若不存在历史可信度
CRE
数据，则可信度
CRE
初值为0；可信度
CRE
初值可任意进行设置，可信度
CRE
初值会对阈值
THR
产生影响；可信度
CRE
初值增加时，阈值
THR
随着增加，反之亦然；
[0018]根据客户端节点运行过程特征
x
i
与均值
μ
i
之间的偏离程度，确定可信度修正值
Δ
CRE
；过程特征
x
i
与均值
μ
i
之间的偏差值越大，其正常工作的可能性越低，感染恶意代码的可能性越高；
[0019]判断
CRE+
Δ
CRE
是否达到上限
CRE
max
，若未达到上限
CRE
max
，将
CRE+
Δ
CRE
作为新的可信度
CRE
数据，若达到上限
CRE
max
，将
CRE
max
作为新的可信度
CRE
数据；可信度
CRE
用于表征客户端节点的安全程度，随着客户端节点正常工作时间增加，客户端节点的可信度不断增加，但需要设置可信度增加的设置，防止可信度无限制增加导致客户端节点感染恶意代码时短时间内可信度无法减少至低于阈值
。
[0020]具体地，根据客户端节点运行过程特征
x
i
与均值
μ
i
之间的偏离程度，确定可信度修正值
Δ
CRE
包括以下分析步骤：
[0021]S8
‑1，对每个客户端节点判断节点运行过程特征
x
i
是否位于安全区域内，若不是，则进入
S8
‑2，若是，则进入
S8
‑4；对应客户端节点运行过程特征
x
i
，所述安全区域为
[
...

【技术保护点】

【技术特征摘要】
1.
一种互联网下的分布式数据检测系统，其特征在于，包括：客户端节点
、
服务器节点和数据节点；所述客户端节点用于将用户的输入转化为请求并进行加密，与服务器之间进行交互，将服务器的处理结果反馈给用户；所述服务器节点用于验证客户端节点的身份，处理客户端节点发出用户请求，加密后反馈处理结果给客户端，对客户端节点的可信度进行检测，根据检测结果对异常客户端节点的数据传输路径进行隔离和处理；所述数据节点用于存储客户端节点特征数据
、
客户端节点运行过程特征数据和客户端节点可信度数据
。2.
根据权利要求1所述的一种互联网下的分布式数据检测系统，其特征在于，所述分布式数据检测系统还包括中间件节点，所述中间件节点用于连接客户端节点与服务器节点
、
服务器节点与服务器节点和客户端节点与客户端节点，负责接收与发送数据并进行协议转换
。3.
根据权利要求1所述的一种互联网下的分布式数据检测系统，其特征在于，所述分布式数据检测系统还包括溯源节点，所述溯源节点与所述服务器节点相互连接，用于存储客户端节点的数据传输路径信息，只负责响应服务器节点发出的路径追踪请求，发送客户端节点的数据传输路径信息给服务器节点，不接收其他数据
。4.
根据权利要求1所述的一种互联网下的分布式数据检测系统，其特征在于，所述服务器节点还包括数据采集单元，用于获取客户端节点运行时的参数信息，基于参数信息提取出客户端节点特征数据和客户端节点运行过程特征数据
。5.
根据权利要求1所述的一种互联网下的分布式数据检测系统，其特征在于，所述服务器节点还包括病毒处理单元，当客户端节点
、
服务器节点和中间件节点被隔离时，所述病毒处理单元对客户端节点
、
服务器节点和中间件节点进行恶意代码检测和清除，当清除恶意代码完成且客户端节点恢复正常工作状态时，解除对节点的隔离，并且将节点的可信度数据重置为初始值；否则保持隔离状态
。6.
一种互联网下的分布式数据检测方法，其特征在于，包括以下分析步骤：
S6
‑1，获取客户端节点特征数据和客户端节点运行过程特征数据；
S6
‑2，基于客户端节点特征数据，将分布式系统中的客户端节点分成多个不同簇，每个分类簇都适用一种可信度评估模型；
S6
‑3，基于客户端节点运行过程数据，建立步骤
S6
‑2中每个分类簇的可信度评估模型；
S6
‑4，通过可信度评估模型对所有客户端节点的可信度进行评估，以可信度表征客户端节点的安全程度，当客户端节点的可信度低于阈值时，客户端节点将被标记为异常节点；当客户端节点被检测出恶意代码时，也将被标记为异常节点；对异常节点的数据传输路径进行追踪，隔离所有与异常节点存在数据传输的其余节点和异常节点自身；
S6
‑5，对被隔离的节点进行检测，根据检测结果调整被隔离客户端节点的运行状态
。7.
根据权利要求6所述的一种互联网下的分布式数据检测方法，其特征在于，在步骤
S6
‑3，所述建立每个分类簇的可信度评估模型还包括以下分析步骤：记客户端节点运行过程特征为
[x1x2…
x
n
]
，
n
为客户端节点运行过程特征的个数；对每一个客户端节点运行过程特征，获取均值
μ
i
和标准差
σ
i
，
i
为区间
[1,n]
之间的正整数；获取每个客户端节点的历史可信度
CRE
数据，若不存在历史可信度
CRE
数据，则可信度
CRE
初值为0；
根据客户端节点运行过程特征
x
i
与均值
μ
i
之间的偏离程度，确定可信度修正值
Δ
CRE
；判断
CRE+
Δ
CRE
是否达到上限
CRE
max
，若未达到上限
CRE
max
，将
CRE+
Δ
CRE
作为新的可信度
CRE
数据，若达到上限
CRE
max
，将
CRE
max
作为新的可信度
CRE
数据
。8.
根据权利要求7所述的一种互联网下的分布式数据检测方法，其特征在于，所述根据客户端节点运行过程特征
x
i
与均值
μ
i
之间的偏离程度，确定可信度修正值
Δ
CRE

【专利技术属性】
技术研发人员：黄家乐，
申请(专利权)人：广东励通信息技术有限公司，
类型：发明
国别省市：