一种主机安全识别方法、装置及相关组件与流程

本申请涉及主机安全识别领域，特别涉及一种主机安全识别方法、装置及相关组件。

背景技术：

随着云计算的发展，云主机通过网卡与外界进行交互的密度更是关键，为提高安全性，需要对系统中存在的访问操作和网络进出数据进行评估，目前市面上都是针对静态文件和数据进行的识别，无法对动态的访问或者操作中的危险动作进行识别，导致现有技术对攻击行为的评估不够全面，无法保证云主机的安全。

因此，如何提供一种解决上述技术问题的方案是本领域技术人员目前需要解决的问题。

技术实现要素：

本申请的目的是提供一种主机安全识别方法、装置、电子设备及计算机可读存储介质，能够提高主机安全评估的全面性，在识别过程中，主机安全识别效率高，判定主机遭到恶意操作的可能性较大时执行主机安全操作，保护漏洞文件，提高本申请的安全性和可靠性。

为解决上述技术问题，本申请提供了一种主机安全识别方法，包括：

确定与每一操作行为对应的恶意操作目标值；

获取主机的操作行为数据，将所有所述操作行为数据划分为多个数据组；

分别对多个所述数据组进行多次训练，根据对应的恶意操作目标值判断是否存在收敛的数据组；

若是，执行主机安全操作。

优选的，所述获取主机的操作行为数据之后，该主机安全识别方法还包括：

将所述操作行为数据分为主机内部行为数据及主机外部行为数据；

相应的，所述将所有所述操作行为数据划分为多个数据组的过程具体为：

将所述主机内部行为数据划分为多个数据组；

将所述主机外部行为数据划分为多个数据组。

优选的，将所有所述操作行为数据划分为多个数据组的过程具体包括：

将所有所述操作行为数据按奇偶划分规则划分为两个数据组。

优选的，所述根据对应的恶意操作目标值判断是否存在收敛的数据组之后，该主机安全识别方法还包括：

若否，则将所有所述数据组整合为一个数据组，对该数据组进行多次训练，根据对应的恶意操作目标值判断该数据组是否收敛；

若是，执行所述主机安全操作。

优选的，所述执行主机安全操作的过程具体包括：

在内核底层对对应的操作行为执行过滤拦截操作。

优选的，所述执行主机安全操作的过程还包括：

生成对应的安全操作提示信息，并发送至终端。

优选的，所述获取主机的操作行为数据之后，将所有所述操作行为数据划分为多个数据组之前，该主机安全识别方法还包括：

判断获取到的所有所述操作行为数据是否均处于其各自对应的预设范围内；

若否，执行报错操作。

为解决上述技术问题，本申请还提供了一种主机安全识别装置，包括：

确定模块，用于确定与每一操作行为对应的恶意操作目标值；

划分模块，用于获取主机的操作行为数据，将所有所述操作行为数据划分为多个数据组；

训练模块，用于分别对多个所述数据组进行多次训练，根据对应的恶意操作目标值判断是否存在收敛的数据组，若是，触发保护模块；

所述保护模块，用于执行主机安全操作。

为解决上述技术问题，本申请还提供了一种电子设备，包括：

存储器，用于存储计算机程序；

处理器，用于执行所述计算机程序时实现如上文任意一项所述的主机安全识别方法的步骤。

为解决上述技术问题，本申请还提供了一种计算机可读存储介质，所述计算机可读存储介质上存储有计算机程序，所述计算机程序被处理器执行时实现如上文任意一项所述的主机安全识别方法的步骤。

本申请提供了一种主机安全识别方法，对主机的操作行为数据进行监控，以便对主机动态的访问或者操作中的危险动作进行识别，提高主机安全评估的全面性，在识别过程中，将获取到操作行为数据分组训练，并通过预先设置与每一操作行为对应的恶意操作目标值判断每一数据组是否收敛，可以提高收敛速度，从而提高主机安全识别效率，如果存在收敛的数据组，则说明主机当前被恶意操作的可能性较大，此时执行主机安全操作，保护漏洞文件，提高本申请的安全性和可靠性。本申请还提供了一种主机安全识别装置、电子设备及计算机可读存储介质，具有和上述主机安全识别操作相同的有益效果。

附图说明

为了更清楚地说明本申请实施例，下面将对实施例中所需要使用的附图做简单的介绍，显而易见地，下面描述中的附图仅仅是本申请的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本申请所提供的一种主机安全识别方法的步骤流程图；

图2为本申请所提供的一种主机安全识别装置的结构示意图。

具体实施方式

本申请的核心是提供一种主机安全识别方法、装置、电子设备及计算机可读存储介质，能够提高主机安全评估的全面性，在识别过程中，主机安全识别效率高，判定主机遭到恶意操作的可能性较大时执行主机安全操作，保护漏洞文件，提高本申请的安全性和可靠性。

为使本申请实施例的目的、技术方案和优点更加清楚，下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本申请一部分实施例，而不是全部的实施例。基于本申请中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本申请保护的范围。

请参照图1，图1为本申请所提供的一种主机安全识别方法的步骤流程图，该主机安全识别方法包括：

s101：确定与每一操作行为对应的恶意操作目标值；

具体的，操作行为可以包括但不限于对主机的文本文件、数据库、软件等进行增加操作、删除操作、修改操作、执行操作及终止操作等。不同的操作行为有不同的恶意操作目标值，如果计算机在日常运行中得到接近该目标值的场景恶意操作的风险比较大。

s102：获取主机的操作行为数据，将所有操作行为数据划分为多个数据组；

s103：分别对多个数据组进行多次训练，根据对应的恶意操作目标值判断是否存在收敛的数据组，若是，执行s104；

s104：执行主机安全操作。

具体的，在主机运行过程中，获取主机的操作行为数据，以便对主机动态的访问或者操作中的危险动作进行识别，提高主机安全评估的全面性。作为一种优选的实施例，为便于后续对操作行为数据进行处理，先判断获取到的操作行为数据是否处于其对应的预设范围内，若是，进行后续的操作，若否，则报错，以避免干扰数据影响数据收敛速度。考虑到对主机内部数据进行操作，主机外部数据(网络)进行操作，各个操作行为对应的数据范围以及恶意操作目标值都是不相同的，为提高主机安全识别的准确性，在获取到主机的所有操作行为数据后，按照预设规则将所有操作行为数据分为主机内部行为数据和主机外部行为数据。对主机内部行为数据和主机外部行为数据分别进行划分。下面以主机内部行为数据为例进行说明，主机外部行为数据，同理。

按预设规则将主机内部行为数据带入改进的bp算法计算出目标值，具体的，可以按奇数和偶数对输入的主机内部行为数据进行分组，同时进行计算，假设第一数据组为[x1x3x5…x(2n-1)…xm]，在计算时候，能够快速收敛的情况下，继续学习，如果发现采用奇数节点计算收敛效果差，则唤醒偶数节点，全节点进行学习，到达一定次数的时候发现对目标的收敛速度较快，则可以终止训练，将公式输入向量改成[x1x3x5…x(2n-1)…xm]。进一步的，经过多次训练之后，发现结果偏离了预期，非但不收敛反而发散，这种情况终止训练，如果经过多次学习后收敛效果不明显，算法也将自动停止，即f(x)＝kill(xi)x值设为边界值，算法终止，本实施例对传统的bp神经网络算法了改进，由于提速因子和自杀机制的加入，使得算法更快，提高主机安全识别效率。

具体的，若该数据组带入上述改进算法计算训练多次(如100次)后收敛，则说明接近攻击危害可能性大，需要采取措施，以起到暂时防护漏洞文件不被修改、防止疑似攻击的主进程进行任何操作的目的，具体可以采取通过在内核底层进行针对性过滤拦截，以及通知用户及时处理等主机安全操作。

可见，本实施例对主机的操作行为数据进行监控，以便对主机动态的访问或者操作中的危险动作进行识别，提高主机安全评估的全面性，在识别过程中，将获取到操作行为数据分组训练，并通过预先设置与每一操作行为对应的恶意操作目标值判断每一数据组是否收敛，可以提高收敛速度，从而提高主机安全识别效率，如果存在收敛的数据组，则说明主机当前被恶意操作的可能性较大，此时执行主机安全操作，保护漏洞文件，提高本申请的安全性和可靠性。

请参照图2，图2为本申请所提供的一种主机安全识别装置的结构示意图，该主机安全识别装置包括：

确定模块1，用于确定与每一操作行为对应的恶意操作目标值；

划分模块2，用于获取主机的操作行为数据，将所有操作行为数据划分为多个数据组；

训练模块3，用于分别对多个数据组进行多次训练，根据对应的恶意操作目标值判断是否存在收敛的数据组，若是，触发保护模块4；

保护模块4，用于执行主机安全操作。

可见，本实施例对主机的操作行为数据进行监控，以便对主机动态的访问或者操作中的危险动作进行识别，提高主机安全评估的全面性，在识别过程中，将获取到操作行为数据分组训练，并通过预先设置与每一操作行为对应的恶意操作目标值判断每一数据组是否收敛，可以提高收敛速度，从而提高主机安全识别效率，如果存在收敛的数据组，则说明主机当前被恶意操作的可能性较大，此时执行主机安全操作，保护漏洞文件，提高本申请的安全性和可靠性。

优选的，划分模块2还用于将操作行为数据分为主机内部行为数据及主机外部行为数据；

相应的，将所有操作行为数据划分为多个数据组的过程具体为：

将主机内部行为数据划分为多个数据组；

将主机外部行为数据划分为多个数据组。

优选的，将所有操作行为数据划分为多个数据组的过程具体包括：

将所有操作行为数据按奇偶划分规则划分为两个数据组。

优选的，训练模块3，还用于将所有数据组整合为一个数据组，对该数据组进行多次训练，根据对应的恶意操作目标值判断该数据组是否收敛，若是，触发保护模块4。

优选的，保护模块4具体用于：

在内核底层对对应的操作行为执行过滤拦截操作。

优选的，保护模块4还用于：

生成对应的安全操作提示信息，并发送至终端。

优选的，划分模块2还用于：

判断获取到的所有操作行为数据是否均处于其各自对应的预设范围内，若否，执行报错操作。

另一方面，本申请还提供了一种电子设备，包括：

存储器，用于存储计算机程序；

处理器，用于执行计算机程序时实现如上文任意一个实施例所描述的主机安全识别方法的步骤。

对于本申请所提供的一种电子设备的介绍请参照上述实施例，本申请在此不再赘述。

本申请所提供的一种电子设备具有和上述主机安全识别方法相同的有益效果。

另一方面，本申请还提供了一种计算机可读存储介质，计算机可读存储介质上存储有计算机程序，计算机程序被处理器执行时实现如上文任意一个实施例所描述的主机安全识别方法的步骤。

对于本申请所提供的一种计算机可读存储介质的介绍请参照上述实施例，本申请在此不再赘述。

本申请所提供的一种计算机可读存储介质具有和上述主机安全识别方法相同的有益效果。

还需要说明的是，在本说明书中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的状况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。

对所公开的实施例的上述说明，使本领域专业技术人员能够实现或使用本申请。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的，本文中所定义的一般原理可以在不脱离本申请的精神或范围的情况下，在其他实施例中实现。因此，本申请将不会被限制于本文所示的这些实施例，而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。