專利名稱:一種基于人工免疫的存儲(chǔ)異常檢測(cè)方法
技術(shù)領(lǐng)域:
本發(fā)明屬于計(jì)算機(jī)存儲(chǔ)安全領(lǐng)域�����,具體涉及一種基于人工免疫的存儲(chǔ) 異常檢測(cè)方法。該方法通過分析存儲(chǔ)元數(shù)據(jù)實(shí)現(xiàn)對(duì)存儲(chǔ)系統(tǒng)的異常檢測(cè)目 的���,它不僅具有自學(xué)習(xí)����、自適應(yīng)�����、計(jì)算并行等人工智能特點(diǎn)�,而且能達(dá)到 高檢測(cè)率和低誤警率的檢測(cè)效果。
背景技術(shù):
異常檢測(cè)通常是指將用戶正常的行為特征存儲(chǔ)在特征數(shù)據(jù)庫中��,然后 將用戶當(dāng)前行為特征與特征數(shù)據(jù)庫中的特征進(jìn)行比較���,如果二者的偏差超 過了一定的范圍�����,就認(rèn)為發(fā)生了異常���。這里將存儲(chǔ)系統(tǒng)中出現(xiàn)的違背訪問 規(guī)則、破壞完整性等相關(guān)行為或現(xiàn)象稱為^存儲(chǔ)異常'�����。傳統(tǒng)的存儲(chǔ)異常檢 測(cè)技術(shù)體現(xiàn)在文件加密、訪問控制����、文件權(quán)限等技術(shù)中�����,這些技術(shù)的主要 優(yōu)點(diǎn)是它們比較成熟����,應(yīng)用范圍廣泛,能在一定程度上防御用戶的違規(guī)操 作��。但它們都無法對(duì)用戶的存取行為進(jìn)行診斷�����。例如�����,如果入侵者使用一 個(gè)盜竊帳號(hào)���,存儲(chǔ)系統(tǒng)中的認(rèn)證子系統(tǒng)就會(huì)將該使用者視為合法用戶�����,入 侵者將對(duì)該存儲(chǔ)系統(tǒng)造成威脅�,甚至破壞現(xiàn)有存儲(chǔ)數(shù)據(jù),即傳統(tǒng)的認(rèn)證系 統(tǒng)無法對(duì)合法用戶的越權(quán)行為形成有效檢測(cè)�����。
近年來有研究者提出了基于規(guī)則的過濾�、統(tǒng)計(jì)分析、模式匹配��、隱性
馬爾可夫模型�����、數(shù)據(jù)挖掘等新技術(shù)���,在一定程度上改善了傳統(tǒng)的存儲(chǔ)異常 檢測(cè)技術(shù)無法檢測(cè)用戶行為�����、檢測(cè)率低下等缺陷���,但它們?cè)诩夹g(shù)上都具有 先天性不足��。例如����,基于規(guī)則的過濾是通過事先定義好一組規(guī)則����,然后用 這組規(guī)則與用戶的存取行為進(jìn)行匹配����,即它采用一種預(yù)設(shè)置式、特征分析 式工作原理�,由于檢測(cè)規(guī)則的更新總是落后于攻擊手段的更新,這樣就無
5法做到對(duì)存儲(chǔ)異常的主動(dòng)防御能力�,不具有實(shí)時(shí)性和自適應(yīng)的功能。對(duì)于 使用較多的統(tǒng)計(jì)分析方法���,如貝葉斯統(tǒng)計(jì)方法�����,也存在閾值難以有效確定 的問題�,這里閾值是指判斷行為是否異常的臨界值,閾值太小會(huì)產(chǎn)生大量 的誤報(bào)�����,閾值太大又將產(chǎn)生大量的漏報(bào)��,它們都是一種被動(dòng)的安全防護(hù)措 施��,只能檢測(cè)預(yù)定義規(guī)則下的異常特征����,對(duì)新型的存儲(chǔ)異常無能為力,因 此檢測(cè)率無法保證���,達(dá)不到真正意義上的存儲(chǔ)安全系統(tǒng)的要求�����。
發(fā)明內(nèi)容
為了彌補(bǔ)現(xiàn)有的存儲(chǔ)異常檢測(cè)技術(shù)無法針對(duì)用戶的存取行為進(jìn)行診斷 以及在新型異常檢測(cè)上的缺陷��,本發(fā)明提供了一種基于人工免疫的存儲(chǔ)異 常檢測(cè)方法���,該方法具有自適應(yīng)性、動(dòng)態(tài)防御性的特點(diǎn)�����,不僅能夠有效地 從用戶訪問行為級(jí)對(duì)非法的、越權(quán)的讀/寫請(qǐng)求進(jìn)行檢測(cè)�����,而且因?yàn)樗淖?學(xué)習(xí)和遺忘等人工智能特點(diǎn)�����,能夠?qū)π滦痛鎯?chǔ)異常進(jìn)行有效的檢測(cè)�����,同時(shí) 保證較高的檢測(cè)率和較低虛警率���。
本發(fā)明提供的基于人工免疫的存儲(chǔ)異常檢測(cè)方法,首先按照(1) (3)建 立有效特征庫���,再在每次檢測(cè)時(shí)�,按照步驟(4) (6)進(jìn)行處理�;
(1) 定義用戶讀/寫請(qǐng)求的元數(shù)據(jù)數(shù)據(jù)結(jié)構(gòu),并轉(zhuǎn)換為特征序列���,應(yīng)用
統(tǒng)計(jì)學(xué)方法獲得一組基本特征構(gòu)成基本特征庫��;
(2) 對(duì)基本特征庫里的基本特征進(jìn)行組合���,生成檢測(cè)器��,構(gòu)成待訓(xùn)練 特征庫���;
(3) 收集一批事先判別好是合法或非法的讀/寫請(qǐng)求,利用這些請(qǐng)求 對(duì)應(yīng)的特征序列與待訓(xùn)練特征庫中的檢測(cè)器進(jìn)行逐個(gè)匹配����,檢測(cè)器每匹配 到一個(gè)特征序列,就根據(jù)該特征序列的合法性更新檢測(cè)器對(duì)應(yīng)的權(quán)值�����,所 有檢測(cè)器與這些特征序列匹配結(jié)束后�,對(duì)檢測(cè)器進(jìn)行篩選,得到有效特征 庫����;(4) 截獲讀/寫請(qǐng)求,按照元數(shù)據(jù)數(shù)據(jù)結(jié)構(gòu)得到所需的元數(shù)據(jù),將其轉(zhuǎn)
換成對(duì)應(yīng)的特征序列���,并為該待檢測(cè)的特征序列設(shè)置兩個(gè)權(quán)值��;
(5) 將有效特征庫中的每一個(gè)檢測(cè)器與待檢測(cè)的特征序列進(jìn)行匹配��, 當(dāng)匹配成功時(shí)�,同時(shí)更新該待檢測(cè)的特征序列和檢測(cè)器的權(quán)值����;全部匹配 結(jié)束后,如果該待檢測(cè)的特征序列所對(duì)應(yīng)的兩個(gè)權(quán)值之比大于給定的閾值�, 則視為'異己',據(jù)此給特征庫一個(gè)反饋���,為成功匹配該特征序列的所有檢測(cè) 器增加一個(gè)分值����,如果特征庫更新時(shí)間到��,轉(zhuǎn)到步驟(6),否則轉(zhuǎn)到步驟
(4),等待新的讀/寫請(qǐng)求到來�����;
(6) 對(duì)特征庫進(jìn)行更新,然后轉(zhuǎn)到步驟(4)��。
本發(fā)明受自然免疫系統(tǒng)二維檢測(cè)思想啟發(fā)����,類似于自然免疫系統(tǒng)對(duì)'自
己(Self),和'異己(Non-sdf)�����,的檢測(cè)機(jī)制�����,我們把它應(yīng)用到存儲(chǔ)系 統(tǒng)中對(duì)讀/寫數(shù)據(jù)請(qǐng)求的合法性判別上來�,這里把用戶合法的讀/寫請(qǐng)求定義 為'自己',非法的���、越權(quán)的讀/寫請(qǐng)求定義為'異己'�����。通過對(duì)讀/寫請(qǐng)求 所形成的存儲(chǔ)元數(shù)據(jù)進(jìn)行監(jiān)控����,從而實(shí)現(xiàn)了針對(duì)存儲(chǔ)元數(shù)據(jù)的免疫異常檢 測(cè),這里我們把針對(duì)用戶的讀/寫請(qǐng)求所截取的元數(shù)據(jù)進(jìn)行轉(zhuǎn)換��,形成二維 數(shù)字串���,并稱之為特征序列���。把特征庫中用來匹配該特征序列的檢測(cè)規(guī)則 稱為檢測(cè)器,特征庫中包含有多條撿測(cè)規(guī)則����,所以特征庫中包含多個(gè)檢測(cè) 器。為了降低檢測(cè)過程的計(jì)算和設(shè)計(jì)復(fù)雜度��,我們的檢測(cè)只關(guān)注存儲(chǔ)系統(tǒng) 的元數(shù)據(jù)的讀/寫訪問請(qǐng)求�,這樣在保證檢測(cè)率的前提下提高了檢測(cè)性能。 為實(shí)現(xiàn)對(duì)新型存儲(chǔ)異常同樣具備較好的檢測(cè)能力�����,該方法引入了自然免疫 系統(tǒng)中自學(xué)習(xí)和遺忘等工作機(jī)制����,每次對(duì)用戶的讀/寫訪問請(qǐng)求進(jìn)行檢測(cè)后, 都會(huì)更新檢測(cè)器相應(yīng)的權(quán)值���,這里權(quán)值是指檢測(cè)器的重要性����,同時(shí)根據(jù)檢 測(cè)器的權(quán)值�����,周期性地對(duì)檢測(cè)器進(jìn)行淘汰和重建����,淘汰那些權(quán)值較低的無 效的檢測(cè)器,重建新的有效的檢測(cè)器���,以應(yīng)對(duì)存儲(chǔ)系統(tǒng)中不斷出現(xiàn)的新型 <異己����,����。正因?yàn)檫@種檢測(cè)器更新機(jī)制,使得該方法與通常的存儲(chǔ)異常檢 測(cè)技術(shù)最大不同之處在于它實(shí)現(xiàn)了真正意義上的智能異常檢測(cè)���,使其具備自然免疫系統(tǒng)中自學(xué)習(xí)���、自適應(yīng)等人工智能特點(diǎn)��,能夠有效地對(duì)新型'異 己'進(jìn)行檢測(cè)���。
圖1為存儲(chǔ)元數(shù)據(jù)的數(shù)據(jù)結(jié)構(gòu)示意圖2為存儲(chǔ)元數(shù)據(jù)轉(zhuǎn)換成特征序列的過程示意圖3為本發(fā)明方法的總體流程示意圖4為特征庫生成過程的示意圖。
具體實(shí)施例方式
在大規(guī)模存儲(chǔ)系統(tǒng)中�����,很難檢測(cè)所有數(shù)據(jù)的異常��,因?yàn)閿?shù)據(jù)量通常是 巨大的��。元數(shù)據(jù)是描述其他數(shù)據(jù)的信息�����,即數(shù)據(jù)的數(shù)據(jù)�����,我們將通過監(jiān)控 用戶訪問時(shí)的相關(guān)元數(shù)據(jù)來識(shí)別出異常的讀/寫訪問請(qǐng)求�����,這種方法能降低 檢測(cè)系統(tǒng)的計(jì)算量和設(shè)計(jì)復(fù)雜度����。對(duì)生物免疫系統(tǒng)的免疫原理進(jìn)行隱喻, 借鑒生物體內(nèi)生成抗體和匹配抗原����,最終識(shí)別'自己'和'異己'的免疫 機(jī)制。下面結(jié)合附圖和實(shí)例對(duì)本發(fā)明作進(jìn)一步詳細(xì)的說明��。
怎樣獲取存儲(chǔ)元數(shù)據(jù)呢��?首先是截獲訪問請(qǐng)求的系統(tǒng)調(diào)用�����,然后結(jié)合
請(qǐng)求文件的訪問控制模式和MD5值�,形成如圖1所示的存儲(chǔ)元數(shù)據(jù)數(shù)據(jù)結(jié) 構(gòu),包括文件名���、用戶ID���、組ID�����、文件的MD5值��、文件的訪問控制模式
(包括讀���、寫、修改��、刪除)�����,并設(shè)置有保留字段����。它主要針對(duì)存儲(chǔ)安全中 的訪問控制和存儲(chǔ)完整性。其中MD5是為了保證文件的完整性���,防止一些 人對(duì)文件進(jìn)行非法操作�����,如加入惡意代碼(如木馬)�����,或篡改版權(quán)��,而設(shè)計(jì) 的一套驗(yàn)證技術(shù)�,每個(gè)文件都可以用MD5驗(yàn)證程序算出一個(gè)特定的MD5 數(shù)值��。為了將來擴(kuò)展的需要��,專門預(yù)留了 '保留字段(Revltem)'����。
網(wǎng)絡(luò)存儲(chǔ)系統(tǒng)通常采用Linux操作系統(tǒng)將物理存儲(chǔ)設(shè)備掛載到網(wǎng)絡(luò)上
(如SAN等),從而給客戶端提供存儲(chǔ)服務(wù)���。來自客戶端的訪問請(qǐng)求將發(fā)
8起一個(gè)或多個(gè)進(jìn)程�,這些進(jìn)程將進(jìn)一步調(diào)用底層的系統(tǒng)調(diào)用����。在網(wǎng)絡(luò)存儲(chǔ) 系統(tǒng)中存在幾百個(gè)系統(tǒng)調(diào)用,但與文件訪問相關(guān)的系統(tǒng)調(diào)用的數(shù)量是相當(dāng)
小的����,因此本發(fā)明方法只對(duì)一些系統(tǒng)調(diào)用感興趣�,比如'open�����,�、 'fstat,���、 'mmap�,���、 'read����,����、 'uname,���、 ' write'�、 'munmap,���、 'create'����、 'delete'����、 'close' 等等。通過監(jiān)控這些系統(tǒng)調(diào)用����,截獲相關(guān)的訪問信息�,包括用戶標(biāo)識(shí)符、 文件標(biāo)識(shí)符�����、組標(biāo)識(shí)符�、用戶訪問權(quán)限等,這些信息將按照存儲(chǔ)元數(shù)據(jù)的 數(shù)據(jù)結(jié)構(gòu)進(jìn)行組織(包括圖l所示的用戶訪問控制模式和保留字段)�,然后 按照如圖2所示的過程進(jìn)行轉(zhuǎn)換,得到二維數(shù)字串�,作為特征序列。
本發(fā)明的存儲(chǔ)異常檢測(cè)方法包括特征庫生成過程(A)和檢測(cè)過程(B),首 先按照步驟(Al) (A3 )建立由檢測(cè)器組成的特征庫�,再按照步驟(Bl) (B9)利用該特征庫中的檢測(cè)器對(duì)每一個(gè)讀/寫請(qǐng)求進(jìn)行檢測(cè)。下面結(jié)合圖 3具體說明各個(gè)步驟���。
如圖4所示�,特征庫生成過程(A)包括下述步驟 (Al)按照下述過程生成特征庫 (A1.1)構(gòu)建由基本特征構(gòu)成的基本特征庫����;
類似于人體免疫系統(tǒng)通過基因庫中的基因片段組合成抗體的機(jī)制,這 里的基本特征庫包含組合有效檢測(cè)器(這里的有效檢測(cè)器指能夠檢測(cè)出存 儲(chǔ)異常的檢測(cè)器)所需要的完整信息����,通過對(duì)其中的基本特征進(jìn)行組合, 總能得到適合的檢測(cè)器與到來的異常讀/寫請(qǐng)求所對(duì)應(yīng)的特征序列成功匹 配����,例如假設(shè)存在基本特征庫{01, 011��, 101��, 0101}和一個(gè)異常讀/寫請(qǐng) 求對(duì)應(yīng)的特征序列'0111011110101'��,則我們通過對(duì)基本特征庫中的Oll����,
ioi���, ioi, oioi進(jìn)行組合���,得到檢測(cè)器^1110110101or���,該檢測(cè)器和給 定的異常請(qǐng)求所對(duì)應(yīng)的特征序列是近似的,據(jù)此我們可以認(rèn)為它們是匹配 的����,具體近似到何種程度才算是成功匹配,由具體的匹配算法來決定�,在
下面的步驟A1.3中將對(duì)匹配過程做更詳細(xì)的講述���。如果對(duì)任意一個(gè)異常的
讀/寫操作所對(duì)應(yīng)的特征序列����,我們都能夠通過對(duì)該基本特征庫中的基本特
9征進(jìn)行組合�����,并得到至少一個(gè)檢測(cè)器與之成功匹配,就認(rèn)為該基本特征庫 是完備的����,同時(shí)也是可用的。
為了得到這樣一個(gè)完備的基本特征庫����,我們可以事先針對(duì)大量的異常 讀/寫請(qǐng)求所對(duì)應(yīng)的特征序列進(jìn)行分析,應(yīng)用統(tǒng)計(jì)學(xué)方法從這些特征序列中 找出那些經(jīng)常出現(xiàn)的基本特征���,構(gòu)成基本特征庫��。
(A1.2)利用上一步所生成的基本特征庫內(nèi)的基本特征組合生成一定 數(shù)量的檢測(cè)器�����,構(gòu)成特征庫�����,且為每個(gè)檢測(cè)器設(shè)置兩個(gè)權(quán)值times (描述檢 測(cè)器匹配抗原序列的活躍程度)和illegals (描述檢測(cè)器判別非法序列的有 效程度��,即它能做出正確決定的權(quán)重)�����,它們的初值都設(shè)置為0;
通?���?梢圆捎秒S機(jī)組合算法對(duì)基本特征進(jìn)行組合,也可以不用隨機(jī)組 合算法來進(jìn)行�����,因?yàn)殡S機(jī)組合不能體現(xiàn)其中一部分基本特征對(duì)有效的檢測(cè) 器的生成具有更大作用���,所以我們可以根據(jù)系統(tǒng)的運(yùn)行情況�����,對(duì)那些經(jīng)常 出現(xiàn)在有效檢測(cè)器中的基本特征進(jìn)行更多的組合�����,這樣可能使整個(gè)檢測(cè)過 程處于一個(gè)更好的狀態(tài)�。對(duì)于特征庫中檢測(cè)器的個(gè)數(shù)Detector—Num由正常 檢測(cè)過程的檢測(cè)效果決定���,檢測(cè)器越多,判斷就越準(zhǔn)確��,如果檢測(cè)效果不 佳,可以通過增加檢測(cè)器的數(shù)量來調(diào)整�,當(dāng)然檢測(cè)器越多,性能會(huì)下降(仿 真結(jié)果表明檢測(cè)器數(shù)量500到600個(gè)為好)�����。
(A1.3)收集一批事先已判別好是非法或合法的讀/寫數(shù)據(jù)請(qǐng)求����,截取這 些請(qǐng)求所對(duì)應(yīng)的特征序列集合,稱之為'訓(xùn)練特征集'�。用這些特征序列逐 個(gè)與(AL2)中生成的每個(gè)檢測(cè)器進(jìn)行匹配,若匹配成功����,則該檢測(cè)器對(duì)應(yīng)的 權(quán)times加l,若匹配到的行為事先判別是非法的�,則illegals加l,否則進(jìn) 行下一次匹配�,直到完成所有檢測(cè)器的遍歷;
對(duì)于(A1.3)中的匹配過程���,我們需要注意的是這種匹配不必是很精確 的匹配���,某一個(gè)檢測(cè)器很可能會(huì)匹配到多個(gè)抗原序列����,盡管它們的匹配程 度不盡相同���,即我們這里需要的是一種近似的模糊匹配���,可以使用基于歐 幾里德距離的匹配規(guī)則等。
(A1.4)把經(jīng)過(A1.3)步驟后的每一個(gè)檢測(cè)器的權(quán)值times與預(yù)先給定的
閾值(該閾值的大小視檢測(cè)器的個(gè)數(shù)和系統(tǒng)的檢測(cè)效果而定)進(jìn)行比較����,若大于這個(gè)閾值,則激活它����,否則不激活它,然后刪除所有未激活的檢測(cè) 器��。
(A2)設(shè)置特征庫的更新周期T;
由于存儲(chǔ)系統(tǒng)的異常特征隨著時(shí)間的改變而改變���,所以我們需要對(duì)特
征庫定期更新��,T值視存儲(chǔ)系統(tǒng)的運(yùn)行狀況和不同類型的用戶而定���,從幾個(gè) 星期或幾個(gè)月不等。
(A3)計(jì)算特征庫更新時(shí)間t^to+T�,其中to為當(dāng)前時(shí)間; (B)檢測(cè)過程
(Bl)截獲存儲(chǔ)系統(tǒng)的讀/寫請(qǐng)求�,按照?qǐng)D1和圖2所述過程生成該請(qǐng) 求對(duì)應(yīng)的特征序列,為該特征序列設(shè)置兩個(gè)權(quán)值total—times和total—illegal, 它們的初值都設(shè)置為0;
(B2)從特征庫生成過程所得到的特征庫中抽取一個(gè)檢測(cè)器對(duì)特征序列 進(jìn)行匹配����,若該檢測(cè)器匹配成功,則該特征序列對(duì)應(yīng)的權(quán)值total—times加 上該檢測(cè)器的權(quán)值times, total—illegal加上該檢測(cè)器的權(quán)值illegals,該檢測(cè) 器的times也相應(yīng)地加1;
(B3)判斷特征庫中是否還有剩余的檢測(cè)器未對(duì)該特征序列進(jìn)行檢測(cè)�, 如果是,轉(zhuǎn)到步驟(B2)����,否則進(jìn)入步驟(B4);
(B4)若total—times為0,轉(zhuǎn)到步驟(B5)�,否則計(jì)算最終的total_ illegal/total—times比值,如果該比值大于給定閾值(0到1之間�����,最適合的 取值通過試驗(yàn)進(jìn)行擬合�����,仿真結(jié)果顯示0.55為最佳取值��,這時(shí)候檢測(cè)出錯(cuò) 率只有4.54%左右),則判定該行為非法(即"異己")��,轉(zhuǎn)到步驟(B6), 否則合法(即"自己")���,轉(zhuǎn)到步驟(B7);
(B5) total—times為0�����,表示沒有任何檢測(cè)器可以匹配到該特征序列���, 所以給控制臺(tái)進(jìn)行報(bào)警,由用戶來裁決其合法性����,同時(shí)給特征庫一個(gè)信息 反饋,把該特征序列作為檢測(cè)器����,加入到特征庫中,同時(shí)把該特征序列對(duì) 應(yīng)的基本特征添加到基本特征庫中�����,轉(zhuǎn)到步驟(B7)。
(B6)以步驟(B4)中的比值為依據(jù)對(duì)匹配到該特征序列的所有檢測(cè)器 的權(quán)值illegals值進(jìn)行更新���,即給成功匹配的檢測(cè)器一個(gè)獎(jiǎng)勵(lì)分(該獎(jiǎng)勵(lì)分
ii的大小可為步驟(B4)中得到的比值)���,希望它以后能夠發(fā)揮更大的作用�����, 轉(zhuǎn)到步驟(B7);
(B7)判斷是否有新的讀/寫請(qǐng)求到來�����,如果有轉(zhuǎn)到步驟(Bl)�,否則進(jìn) 入步驟(B8);
(B8)判斷當(dāng)前時(shí)間tQ'是否大于等于特征庫的更新時(shí)間t,如果大于�, 轉(zhuǎn)入步驟(B9),否則轉(zhuǎn)到步驟(B7)繼續(xù)等待新的讀/寫請(qǐng)求���;
(B9)按相同的比例減小每個(gè)檢測(cè)器的兩個(gè)權(quán)值���,把那些權(quán)值times低 于給定閾值(最佳值通過實(shí)驗(yàn)進(jìn)行擬合,仿真結(jié)果表明0或1都能達(dá)到很 好的效果)的檢測(cè)器設(shè)置為非激活狀態(tài)���,并刪除它們��,然后轉(zhuǎn)到步驟(A1.2)�, 以補(bǔ)充新的檢測(cè)器并計(jì)算下次特征庫的更新時(shí)間t,即需要經(jīng)歷一次再訓(xùn)練 過程��。
以上所述為本發(fā)明的較佳實(shí)施例而己�,但本發(fā)明不應(yīng)該局限于該實(shí)施 例和附圖所公開的內(nèi)容。所以凡是不脫離本發(fā)明所公開的精神下完成的等 效或修改��,都落入本發(fā)明保護(hù)的范圍��。
權(quán)利要求
1�����、一種基于人工免疫的存儲(chǔ)異常檢測(cè)方法���,首先按照(1)~(3)建立有效特征庫����,再在每次檢測(cè)時(shí)�,按照步驟(4)~(6)進(jìn)行處理;(1)定義用戶讀/寫請(qǐng)求的元數(shù)據(jù)數(shù)據(jù)結(jié)構(gòu)���,并轉(zhuǎn)換為特征序列���,應(yīng)用統(tǒng)計(jì)學(xué)方法獲得一組基本特征構(gòu)成基本特征庫���;(2)對(duì)基本特征庫里的基本特征進(jìn)行組合,生成檢測(cè)器����,構(gòu)成待訓(xùn)練特征庫��;(3)收集一批事先好判別是合法或非法的讀/寫請(qǐng)求�����,利用這些請(qǐng)求對(duì)應(yīng)的特征序列與待訓(xùn)練特征庫中的檢測(cè)器進(jìn)行逐個(gè)匹配��,檢測(cè)器每匹配到一個(gè)特征序列�����,就根據(jù)該特征序列的合法性更新檢測(cè)器對(duì)應(yīng)的權(quán)值���,所有檢測(cè)器與這些特征序列匹配結(jié)束后���,對(duì)檢測(cè)器進(jìn)行篩選��,得到有效特征庫�;(4)截獲讀/寫請(qǐng)求����,按照元數(shù)據(jù)數(shù)據(jù)結(jié)構(gòu)得到所需的元數(shù)據(jù),并將其轉(zhuǎn)換成對(duì)應(yīng)的特征序列����,并為該待檢測(cè)的特征序列設(shè)置兩個(gè)權(quán)值;(5)將有效特征庫中的每一個(gè)檢測(cè)器與待檢測(cè)的特征序列進(jìn)行匹配���,當(dāng)匹配成功時(shí)����,同時(shí)更新該待檢測(cè)的特征序列和檢測(cè)器的權(quán)值�����;全部匹配結(jié)束后����,如果該待檢測(cè)的特征序列所對(duì)應(yīng)的兩個(gè)權(quán)值之比大于給定的閾值�,則視為‘異已’�����,據(jù)此給特征庫一個(gè)反饋��,為成功匹配該特征序列的所有檢測(cè)器增加一個(gè)分值�,如果特征庫更新時(shí)間到,轉(zhuǎn)到步驟(6)��,否則轉(zhuǎn)到步驟(4)���,等待新的讀/寫請(qǐng)求到來;(6)對(duì)特征庫進(jìn)行更新����,然后轉(zhuǎn)到步驟(4)。
2��、 根據(jù)權(quán)利要求1所述的基于人工免疫的存儲(chǔ)異常檢測(cè)方法����,其特征 在于步驟(2)中,為每個(gè)檢測(cè)器設(shè)置兩個(gè)權(quán)值times和illegals����, times描述檢測(cè)器匹配抗原序列的活躍程度���,illegals描述檢測(cè)器判別非法序列的 有效程度,并設(shè)置其初始值為0����。
3、根據(jù)權(quán)利要求1所述的基于人工免疫的存儲(chǔ)異常檢測(cè)方法�,其特征 在于步驟(5)具體包括下述過程(5.1) 從有效特征庫中抽取一個(gè)檢測(cè)器對(duì)待檢測(cè)的特征序列進(jìn)行匹配, 設(shè)待檢測(cè)的特征序列的兩個(gè)權(quán)值為total_ times和total—illegal,若該檢測(cè)器 匹配成功���,則該待檢測(cè)的特征序列對(duì)應(yīng)的權(quán)值total— times加上該檢測(cè)器的 權(quán)值times, total—illegal加上該檢測(cè)器的權(quán)值illegals,該檢測(cè)器的times也 相應(yīng)地加1;(5.2) 判斷特征庫中是否還有剩余的檢測(cè)器未對(duì)該特征序列進(jìn)行檢測(cè)��, 如果是�,轉(zhuǎn)到步驟(5.1)�����,否則進(jìn)入步驟(5.3);(5.3) 若total—times為0�,轉(zhuǎn)到步驟(5.4),否則計(jì)算待檢測(cè)的特征序 列的二個(gè)權(quán)值比值,即total—illegal/total—times,如果該比值大于給定閾值�, 則判定該行為非法,轉(zhuǎn)到步驟(5.5)����,否則合法�����,轉(zhuǎn)到步驟(5.6);(5.4) 進(jìn)行報(bào)警���,用戶裁決待檢測(cè)的特征序列所對(duì)應(yīng)的讀/寫請(qǐng)求的合 法性,同時(shí)給有效特征庫一個(gè)信息反饋��,把該待檢測(cè)特征序列作為檢測(cè)器�, 加入到有效特征庫中,同時(shí)將該待檢測(cè)特征序列對(duì)應(yīng)的基本特征添加到基 本特征庫中�����,轉(zhuǎn)到步驟(5.6);(5.5) 以步驟(5.3)中的比值為依據(jù)對(duì)成功匹配該待檢測(cè)特征序列的 所有檢測(cè)器的權(quán)值illegals值進(jìn)行更新����,轉(zhuǎn)到步驟(5.6);(5.6) 判斷是否有新的讀/寫請(qǐng)求到來��,如果有轉(zhuǎn)到步驟(4)��,否則進(jìn) 入步驟(5.7);(5.7) 如果更新時(shí)間到��,轉(zhuǎn)入步驟(6),否則轉(zhuǎn)到步驟(5.6)繼續(xù)等 待新的讀/寫請(qǐng)求����。
4、根據(jù)權(quán)利要求1所述的基于人工免疫的存儲(chǔ)異常檢測(cè)方法��,其特征 在于步驟(6)中按照下述方式進(jìn)行更新有效特征庫-按相同的比例減小有效特征庫中每個(gè)檢測(cè)器的兩個(gè)權(quán)值�����,將所有權(quán)值 times低于給定閾值的檢測(cè)器設(shè)置為非激活狀態(tài)�,并刪除它們,然后轉(zhuǎn)到步 驟(2)�����,補(bǔ)充新的檢測(cè)器并計(jì)算下次特征庫的更新時(shí)間�。
全文摘要
本發(fā)明公開了基于人工免疫的存儲(chǔ)異常檢測(cè)方法,該方法采用自然免疫系統(tǒng)中的“異己”檢測(cè)機(jī)制��,對(duì)讀/寫數(shù)據(jù)請(qǐng)求的合法性判別��。通過對(duì)讀/寫數(shù)據(jù)請(qǐng)求所形成的存儲(chǔ)元數(shù)據(jù)進(jìn)行監(jiān)控���,實(shí)現(xiàn)了針對(duì)存儲(chǔ)元數(shù)據(jù)的免疫異常檢測(cè)���。該方法引入了自然免疫系統(tǒng)中自學(xué)習(xí)和遺忘等工作機(jī)制�,每次對(duì)用戶的讀/寫請(qǐng)求進(jìn)行檢測(cè)后�����,都更新檢測(cè)器權(quán)值�����,并根據(jù)該權(quán)值�,周期性地淘汰或重建檢測(cè)器,以應(yīng)對(duì)存儲(chǔ)系統(tǒng)中不斷出現(xiàn)的新型“異己”��。由于檢測(cè)器更新機(jī)制���,使得該方法區(qū)別于現(xiàn)有存儲(chǔ)異常檢測(cè)技術(shù)����,實(shí)現(xiàn)了真正意義上的智能異常檢測(cè)��,并具備了自學(xué)習(xí)和自適應(yīng)等人工智能特點(diǎn)��,有效地識(shí)別新出現(xiàn)的“異?!薄?br>
文檔編號(hào)G06F21/00GK101458751SQ20091006043
公開日2009年6月17日 申請(qǐng)日期2009年1月6日 優(yōu)先權(quán)日2009年1月6日
發(fā)明者方允福, 欣 李, 謝長(zhǎng)生, 陳云亮, 黃建忠 申請(qǐng)人:華中科技大學(xué)