基于状态特征相似性的拟态路由器异常检测方法及系统与流程

1.本发明属于网络安全技术领域，特别涉及一种基于状态特征相似性的拟态路由器异常检测方法及系统。


背景技术：

2.互联网时代给人们的日常生活带来了极大的方便。与此同时，网络安全问题也越来越受到人们的广泛关注。路由器是互联网的枢纽，是实现局域网、广域网等互联互通的关键节点，其安全性能对于网络空间安全具有决定性的意义。面对频发的攻击案例和爆出的大量漏洞，路由器安全问题不容忽视。
3.面对网络空间中难以完全避免的未知漏洞、未知后门、未知攻击带来的安全威胁，研究人员提出拟态防御技术，以期在信息系统存在漏洞后门的情况下，通过拟态防御架构的动态异构冗余特性达到抵抗潜在漏洞威胁攻击的目的。拟态路由器正是这种拟态防御思想在路由器中构建多个功能等价的异构执行体，在相同的外部输入激励下，对执行体的多模输出矢量进行一致性判决，并进行反馈调度，以实现对网络空间广泛存在漏洞和攻击的防御，有效防护由于单一系统设计缺陷造成的漏洞或后门引起的系统故障，实现了路由器的主动防御机制，以避免了被动防御方法需要先验经验，难以抵御未知威胁的局限性。


技术实现要素：

4.为此，本发明提供一种基于状态特征相似性的拟态路由器异常检测方法及系统，将功能等价的异构执行体对于相同输入激励产生的系统状态多维特征差异作为异常的判别依据，对威胁进行异常检测，提升异常检测的准确率和效率。
5.按照本发明所提供的设计方案，提供一种基于状态特征相似性的拟态路由器异常检测方法，包含如下内容：
6.将相同输入请求分发给功能等价的异构执行体，由异构执行体对输入请求进行处理，并在处理过程中收集每个异构执行体的状态特征，作为样本数据集；
7.依据样本数据集中各异构执行体状态特征的相似度来判别执行体是否发生异常行为。
8.作为本发明基于状态特征相似性的拟态路由器异常检测方法，进一步地，输入请求通过输入代理复制分发给各异构执行体同步执行；执行过程中，同步监测并收集执行体多维信息状态特征，该多维信息状态特征包含操作系统层面运行数据和系统调用层面运行数据。
9.作为本发明基于状态特征相似性的拟态路由器异常检测方法，进一步地，对状态特征进行预处理，获取用于相似度计算的样本数据集，其中，预处理包含用于数据类型转化统一的量化操作和用于获取特征值最大和最小值的归一化操作。
10.作为本发明基于状态特征相似性的拟态路由器异常检测方法，进一步地，通过计算样本数据集中各状态特征的权重，依据权重来衡量各执行体间状态特征相似度。
11.作为本发明基于状态特征相似性的拟态路由器异常检测，进一步地，依据每个状态特征下各样本值占该状态特征下所有样本之和的比例来获取各状态特征的熵值，利用各状态特征熵值来计算其权重。
12.作为本发明基于状态特征相似性的拟态路由器异常检测，进一步地，权重计算公式表示为：其中，p
ij
表示为第j个状态特征下第i个样本值占该状态特征的比重，n表示第j个状态特征下样本值个数。
13.作为本发明基于状态特征相似性的拟态路由器异常检测，进一步地，通过两两执行体状态特征之间的加权欧式距离来获取两两执行体状态特征之间的相似度。
14.作为本发明基于状态特征相似性的拟态路由器异常检测，进一步地，相似度计算中，首先计算两两执行体状态特征之间的距离平方，然后将距离平方结果乘对应的权重再求和，将求和结果的倒数作为执行体状态特征的相似度。
15.作为本发明基于状态特征相似性的拟态路由器异常检测，进一步地，针对其中两个执行体状态特征相似度均大于其他相似度，且相似度差值小于设定阈值，则判定对应执行体发生异常并告警。
16.进一步地，本发明还提供一种基于状态特征相似性的拟态路由器异常检测系统，包含：数据收集模块和异常检测模块，其中，
17.数据收集模块，用于将相同输入请求分发给功能等价的异构执行体，由异构执行体对输入请求进行处理，并在处理过程中收集每个异构执行体的状态特征，作为样本数据集；
18.异常检测模块，用于依据样本数据集中各异构执行体状态特征的相似度来判别执行体是否发生异常行为。
19.本发明的有益效果：
20.本发明利用拟态路由器架构中的异构功能等价体可以在保证其核心服务功能等价的前提下，在实现特征、输出格式、运行性能等方面存在差异这种特点，用相似性来衡量这些状态特征差异，进而实现对异构执行体上的漏洞和攻击进行异常检测，并提高检测的准确性并降低检测的误报率，具有较好的应用前景。
附图说明：
21.图1为实施例中基于状态特征相似性的拟态路由器异常检测流程示意；
22.图2为实施例中三个执行体检测流程示意；
23.图3为实施例中样本异常检测流程示意。
具体实施方式：
24.为使本发明的目的、技术方案和优点更加清楚、明白，下面结合附图和技术方案对本发明作进一步详细的说明。
25.本发明实施例，提供一种基于状态特征相似性的拟态路由器异常检测方法，参见图1所示，包含如下内容：将相同输入请求分发给功能等价的异构执行体，由异构执行体对输入请求进行处理，并在处理过程中收集每个异构执行体的状态特征，作为样本数据集；依
据样本数据集中各异构执行体状态特征的相似度来判别执行体是否发生异常行为。
26.针对网络中出现新的异常类型和未知攻击、以及已有的检测方法需要先验知识、预先训练的问题，通过利用并行运行功能等价、结构各异的执行体，将相同输入分发给所有执行体，由于执行体在异构过程中攻击面在空间中发生了变化，这种变化使得不同执行体对于正常的输入能够产生一致的输出，但是对恶意行为可能会产生不一致的状态输出，本案实施例中将功能等价的异构执行体对于相同输入激励产生的系统状态多维特征差异作为异常的判别依据，对威胁进行异常检测，具有较高的准确率，有效降低了误检率。
27.作为本发明实施例中基于状态特征相似性的拟态路由器异常检测方法，进一步地，输入请求通过输入代理复制分发给各异构执行体同步执行；执行过程中，同步监测并收集执行体多维信息状态特征，该多维信息状态特征包含操作系统层面运行数据和系统调用层面运行数据。
28.输入代理将输入复制并同时分发给各个执行体，同步执行，并使各个执行体同步监测并同时收集系统状态信息多维特征。收集的状态特征主要包括操作系统层面和系统调用层面的一些状态特征。将收集到的状态特征发给异常检测模块进行进一步的处理、分析和检测。
29.作为本发明实施例中基于状态特征相似性的拟态路由器异常检测方法，进一步地，对状态特征进行预处理，获取用于相似度计算的样本数据集，其中，预处理包含用于数据类型转化统一的量化操作和用于获取特征值最大和最小值的归一化操作。
30.收集的状态特征中包含一些特征，其值不是数值类型的，量化将这些非数值属性转化为数值属性。对所有非数字属性进行标签编码。对于量化后的数据，进行归一化操作，获取每个特征所有值中的最大和最小值，利用其进行线性变换，将n个实例的每个特征都进行归一化之后，得到新的样本数据点。
31.作为本发明基于状态特征相似性的拟态路由器异常检测方法，进一步地，通过计算样本数据集中各状态特征的权重，依据权重来衡量各执行体间状态特征相似度。进一步地，依据每个状态特征下各样本值占该状态特征下所有样本之和的比例来获取各状态特征的熵值，利用各状态特征熵值来计算其权重。
32.参见图2所示，利用三个异构执行体来处理输入请求，取出三个执行体归一化后的所有数据，先计算第j个特征下第i个样本占该特征的比重p
ij
，即计算第j个特征下第i个样本值占第j个特征下所有样本之和的比例。利用上比重计算计算每个特征的熵值，计算公式如下：
[0033][0034]
利用各个特征的熵值计算特征的权重。
[0035]
作为本发明实施例中基于状态特征相似性的拟态路由器异常检测，进一步地，通过两两执行体状态特征之间的加权欧式距离来获取两两执行体状态特征之间的相似度。
[0036]
用相似度来衡量不同执行体间样本的差异性，分别计算三个执行体中两两执行体数据样本之间的加权欧式距离，即计算各个样本的距离平方后乘对应的权重再求和。相似度定义为距离的倒数，因此计算三个执行体中两两执行体样本间的相似度为对加权距离取倒数。通过计算相似度的差值来进行异常的判别，如果某两个执行体的样本相似度均大于
其他的相似度，且差值小于一定的阈值，则判断异常发生。其中，应用阈值规则可描述如下：sim1,2-sim1,3》τ且sim1,2-sim2,3》τ。如果执行体1和执行体2的相似度sim1,2与执行体1和执行体3的相似度sim1,3的差值超过阈值τ，且执行体1和执行体2的相似度sim1,2与执行体2和执行体3的相似度sim2,3的差值超过阈值τ，则认为执行体3发生异常，其他情况与此情况类似。此规则能有效地检测出状态发生明显变化的异常执行体。
[0037]
将在拟态路由器异构架构的基础上，对收集的系统状态信息应用相似性的方法进行异常检测。在相似性的计算中引入权重计算，进行较为精准的异常检测。能够有效地检测出异常样本，并排除将正常样本划分为异常得可能，降低误检率。
[0038]
进一步地，基于上述的方法，本发明实施例还提供一种基于状态特征相似性的拟态路由器异常检测系统，包含：数据收集模块和异常检测模块，其中，
[0039]
数据收集模块，用于将相同输入请求分发给功能等价的异构执行体，由异构执行体对输入请求进行处理，并在处理过程中收集每个异构执行体的状态特征，作为样本数据集；
[0040]
异常检测模块，用于依据样本数据集中各异构执行体状态特征的相似度来判别执行体是否发生异常行为。
[0041]
异构执行体上对相同的输入进行并行处理，在这个过程中，数据收集模块负责监测各个执行体处理过程中的系统状态，异常检测模块负责对状态收集模块收集的数据集进行处理和异常检测。参见图3所示，输入代理同时分发输入给三个执行体，状态监测代理同时监测三个执行体的系统状态多维特征，包括：cpu使用信息，内存利用信息，进程信息，网络使用信息，系统调用读写信息等，形成数据集发送给基于多维特征相似性的异常检测模块。将样本数据中的一些非数值属性特征进行标签编码，形成新的数值数据集。为了解决各个系统状态特征数据在量纲、数值大小的不同，需要对各个数值属性进行规范化，将数值编码后的数据进行标准化归一化处理，使用minmax将每个特征属性的所有值映射到[0,1]区间内。使用熵权法利用所有特征数据进行各个特征的权重计算，将变化程度高的特征赋予较高的权值。计算异构执行体间状态两两相似度的计算。计算相似度的差异利用阈值规则实现异常检测：某两个执行体间相似度较分别与第三个执行体计算的相似度高，且差值均超过一定阈值，则判断第三个执行体异常，将其标记为异常执行体，进行告警。
[0042]
借助拟态路由器架构下多个功能等价的异构执行体，可有效检测一些潜在威胁和漏洞，且不需要先验知识，不需要先验经验，也无需预先训练，实时对比不同执行体间的行状态差异，避免了传统异常检测方法需要同自身的之前行为的对比，避免部分正常行为被划分为异常从而导致的虚警。在距离的计算中引入了权重，权重计算根据特征的变异程度来确定客观权重，将变异程度小的特征赋予较小的权重，将变异程度较大的特征赋予更高的权重。依据各类特征在检测过程中的重要性进行客观的权重计算，综合到相似性的计算中，提高检测准确性，有效降低误报率和虚警率，具有较好的实时性，有效提高检测的准确度和实时性，降低了检测的假阳率和误报率。
[0043]
除非另外具体说明，否则在这些实施例中阐述的部件和步骤的相对步骤、数字表达式和数值并不限制本发明的范围。
[0044]
在这里示出和描述的所有示例中，任何具体值应被解释为仅仅是示例性的，而不是作为限制，因此，示例性实施例的其他示例可以具有不同的值。
[0045]
应注意到：相似的标号和字母在下面的附图中表示类似项，因此，一旦某一项在一个附图中被定义，则在随后的附图中不需要对其进行进一步定义和解释。
[0046]
最后应说明的是：以上所述实施例，仅为本发明的具体实施方式，用以说明本发明的技术方案，而非对其限制，本发明的保护范围并不局限于此，尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，其依然可以对前述实施例所记载的技术方案进行修改或可轻易想到变化，或者对其中部分技术特征进行等同替换；而这些修改、变化或者替换，并不使相应技术方案的本质脱离本发明实施例技术方案的精神和范围，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应所述以权利要求的保护范围为准。