一种基于免疫疫苗对抗恶意代码传播模型的防御方法

摘要

本发明公开的属于网络安全技术领域，具体为一种基于免疫疫苗对抗恶意代码传播模型的防御方法，包括具体步骤如下：步骤一：进程节点状态识别，所述进程节点状态识别是利用基于哈希判定的恶意代码的启动进程判定，基于恶意代码动态取证模型的恶意代码检测方法的恶意代码的运行进程判定实现进程节点状态识别；步骤二：利用识别出的进程节点进行免疫防御，本发明颠覆了传统恶意代码的异常发现模式，创新性提出将混合学习的动态检测技术和生物免疫机制引入到对恶意代码的取证过程中，有效降低了传统恶意代码取证方法不能检测新增恶意代码所造成的安全风险。

说明书

技术领域

本发明涉及网络安全技术领域，具体为一种基于免疫疫苗对抗恶意代码传播模型的防御方法。

背景技术

网络恶意代码免疫系统是计算机中的主动防御系统，可以实时监控恶意代码的潜在行为并给出主动响应措施，保护计算机或者网络免受恶意代码的破坏。

在信息安全领域中，随着恶意代码攻击手段和新型恶意代码的不断演化，恶意代码和正常应用程序之间的差别将越来越不明显，这使得恶意代码的检测和取证越来越困难。同时传统的恶意代码检测手段已经暴露出局限性，如查杀速度下降、误报率以及漏报率上升等。而利用语义分析等手段来自动识别恶意代码，由于人工智能等基础理论尚未取得关键性突破，所以目前还只停留在初级研究阶段或少数特定应用领域，并未能形成通用的技术解决方案。

计算机病毒源于生物病毒，在很多方面与生物病毒有着惊人的相似性，生物免疫系统对外来异体入侵所产生的免疫能力激发了病毒专家运用生物免疫原理来解决计算机病毒问题的兴趣。人工免疫系统算法由于其具有自组织、自适应记忆和分布式等优势，逐渐替代恶意代码检测取证算法成为信息安全领域新的研究热点。但是现阶段的人工免疫系统模型和算法存在学习训练代价较大。同时，完全依赖机器学习的训练暂时达不到较好的免疫效果。可信链结合完整性度量技术是目前较有效的免疫手段，通过在一个可信系统上采集操作系统的可信白名单，对系统服务、启动进程、需要运行的应用程序等可执行代码的二进制文件计算Hash值，并将这些Hash值与文件名组合在一起形成白名单，作为校验的标准。当操作系统启动时，所有需要加载的系统服务、启动进程首先计算其Hash值，然后将哈希值与可信白名单中的值进行比较，如果存在该值则说明该可执行代码没有被篡改，并且是被允许执行的合法代码。否则，则判定该代码已经被恶意篡改，或者是恶意代码在试图启动，系统因此将阻止该代码的执行，从而达到对恶意代码的免疫能力。对于一些在启动后动态加载恶意代码的软件，权限特征无法识别。为了弥补静态权限特征的不足，考虑将软件启动后的动态行为作为识别恶意软件的特征。我们一些获取用户信息或消耗用户手机资费的行为定义为敏感行为。正常软件可能也会有一定的敏感行为，但是恶意软件在敏感性为的数量和频率上，与正常软件会有较大的不同。因此，可以将动态软件行为作为区分恶意软件的重要特征。在获取这些特征之后，如何通过有效的方法识别恶意软件与正常软件，提高恶意软件识别的正确率并降低误判率与漏判率，是决定恶意软件检测模型质量的关键。

计算机在实际应用过程中涉及到的软件存在多样化的特色，并且所有软件显现出极大的复杂性。所以，计算机网络在实际运用过程中存在极大的安全问题，其在运行过程中极易沾染不同的病毒。除此之外，计算机网络在社会发展过程中得到了大面积推广，从而导致市场上计算机软件层出不穷，并且显现出一定的复杂性与多样性，更重要的是不能在质量上有所保障，很多软件基本上都是盗版的，质量问题更为突出。计算机网络运行过程中，如果运用上述有质量问题的软件，则势必会影响到网络安全性能，增加网络防护安全的工作难度。

为此，我们提出一种基于免疫疫苗对抗恶意代码传播模型的防御方法。

发明内容

鉴于上述和/或现有一种基于免疫疫苗对抗恶意代码传播模型的防御方法中存在的问题，提出了本发明。

因此，本发明的目的是提供一种基于免疫疫苗对抗恶意代码传播模型的防御方法，能够解决上述提出现有的问题。

为解决上述技术问题，根据本发明的一个方面，本发明提供了如下技术方案：

一种基于免疫疫苗对抗恶意代码传播模型的防御方法，其包括具体步骤如下：

步骤一：进程节点状态识别，所述进程节点状态识别是利用基于哈希判定的恶意代码的启动进程判定，基于恶意代码动态取证模型的恶意代码检测方法的恶意代码的运行进程判定实现进程节点状态识别；

步骤二：利用识别出的进程节点进行免疫防御。

作为本发明所述的一种基于免疫疫苗对抗恶意代码传播模型的防御方法的一种优选方案，其中：所述基于哈希判定的恶意代码的启动进程判定的过程，具体如下：

流程一：将可信密码模块设置为网络节点的信任根，采集操作系统的各种系统服务、启动进程、需要运行的应用程序，从系统引导程序开始建立信任链，在操作系统引导器中嵌入度量代码形成引导度量器，实现对操作系统引导器代码自身的度量，确保引导环境的初态安全；

流程二：对流程一中所述操作系统中的系统服务、启动进程、需要运行的应用程序等可执行代码的二进制文件计算Hash值，并将这些Hash值与文件名组合在一起形成可信白名单，作为校验的标准；

流程三：当操作系统启动时，对所有需要加载的系统服务、启动进程首先计算其Hash值；

流程四：将哈希值与可信白名单中的值进行比较，如果存在该值则说明该可执行代码没有被篡改，并且是被允许执行的合法代码，否则，则判定该代码有可能被恶意篡改，系统因此将阻止该代码的执行，或者将该部分代码在沙盒中运行，也称为保护态运行。

作为本发明所述的一种基于免疫疫苗对抗恶意代码传播模型的防御方法的一种优选方案，其中：所述进程节点状态为易感染状态、已感染状态、失效状态和免疫状态；

所述易感染状态：节点处于未被感染但可能被感染的脆弱状态；

所述已感染状态：节点处于被恶意代码感染且可能感染其它节点的危险状态；

所述失效状态：节点处于被恶意代码感染彻底崩溃与网络暂时断开的失效状态；

所述免疫状态：节点处于清除病毒且获得免疫疫苗修补系统漏洞和升级病毒库而获得对该恶意代码免疫能力的安全状态。

作为本发明所述的一种基于免疫疫苗对抗恶意代码传播模型的防御方法的一种优选方案，其中：所述免疫状态的获取过程如下：

过程一：通过抗原提呈细胞算法检测周围信号来判断机体组织中是否存在恶意病毒，抗原递呈细胞又称辅佐细胞，是机体内具有摄取、处理和传递抗原信息，诱发发生免疫应答作用的细胞，危险信号使得APC实现抗体对抗原的提呈，抗体完成对提呈细胞的识别，如果确认抗原危险，则产生免疫应答，对于抗原提呈，危险信号首先建立危险域；

过程二：抗体通过对提呈的抗原进行分析，并通过随机森林检测算法生成相应的抗体，显然，网络系统整体对抗恶意代码能力的增强主要依赖于免疫疫苗的节点覆盖速度和覆盖成功率，可以发现提升节点对恶意代码的认识程度与该恶意代码对网络系统的影响程度正相关。

作为本发明所述的一种基于免疫疫苗对抗恶意代码传播模型的防御方法的一种优选方案，其中：所述危险域的等级计算公式如下：

w

作为本发明所述的一种基于免疫疫苗对抗恶意代码传播模型的防御方法的一种优选方案，其中：所述随机森林检测算法如下：

根据恶意代码的静态模糊哈希特征和动态行为特征提取疑似样本集合T＝{T

Virus_Flag＝Random_Forest(Queue)。

与现有技术相比：

1.本发明颠覆了传统恶意代码的异常发现模式，创新性提出将混合学习的动态检测技术和生物免疫机制引入到对恶意代码的取证过程中，有效降低了传统恶意代码取证方法不能检测新增恶意代码所造成的安全风险，创新性提出自监督恶意判定模型，即使面对从未参与训练过程恶意代码的异常行为，也能基于循环一致性的恶意特征进行自我学习，不仅最大提高了对恶意代码的检测速度，而且能够在异常行为发生之前采取有效的抑制手段，有效阻止危害网络安全事件的发生；

2.恶意代码免疫系统的响应是对进入免疫系统的恶意代码的识别、分析、判别、应答和记忆等过程，可以实时监控恶意代码的潜在行为并给出主动响应措施，恶意代码免疫系统与生物免疫系统因为具有较高的相似性，两者病原和抗体都在实时不断变化的环境中相互对抗，保持系统的进化性，本发明正是利用这两者的相似性，设计出恶意代码的免疫疫苗和免疫系统，用于解决恶意代码的主动防御问题。

附图说明

图1为本发明节点状态识别图；

图2为本发明免疫机制应答图。

具体实施方式

为使本发明的目的、技术方案和优点更加清楚，下面将对本发明的实施方式作进一步地详细描述。

本发明提供一种基于免疫疫苗对抗恶意代码传播模型的防御方法，请参阅图1-图2，包括具体步骤如下：

步骤一：进程节点状态识别，进程节点状态识别是利用基于哈希判定的恶意代码的启动进程判定，基于恶意代码动态取证模型的恶意代码检测方法的恶意代码的运行进程判定实现进程节点状态识别；

其中，基于哈希判定的恶意代码的启动进程判定的过程，具体如下：

流程一：将可信密码模块设置为网络节点的信任根，采集操作系统的各种系统服务、启动进程、需要运行的应用程序，从系统引导程序开始建立信任链，在操作系统引导器中嵌入度量代码形成引导度量器，实现对操作系统引导器代码自身的度量，确保引导环境的初态安全；

流程二：对流程一中操作系统中的系统服务、启动进程、需要运行的应用程序等可执行代码的二进制文件计算Hash值，并将这些Hash值与文件名组合在一起形成可信白名单，作为校验的标准；

流程三：当操作系统启动时，对所有需要加载的系统服务、启动进程首先计算其Hash值；

流程四：将哈希值与可信白名单中的值进行比较，如果存在该值则说明该可执行代码没有被篡改，并且是被允许执行的合法代码，否则，则判定该代码有可能被恶意篡改，系统因此将阻止该代码的执行，或者将该部分代码在沙盒中运行，也称为保护态运行；

进程节点状态为易感染状态、已感染状态、失效状态和免疫状态；

易感染状态：节点处于未被感染但可能被感染的脆弱状态；比较该节点进程的病毒库(病毒库最开始有个原始库，根据网络中的已有常规病毒库建立，并不断自适应学习，这个病毒库就越来越完备)，对比同类或者关联进程的感染状态，标记为高风险节点，例如输入法进程感染，但是QQ软件暂时没感染，但是也应该把QQ软件做为易感染进行节点；

已感染状态：节点处于被恶意代码感染且可能感染其它节点的危险状态；恶意进程节点属于已经感染状态节点，但是依然可以运行或者感染其他代码，该节点的行为判定依据为恶意代码深度学习模型和恶意代码库；

失效状态：节点处于被恶意代码感染彻底崩溃与网络暂时断开的失效状态；经过对恶意进程的判定，该节点为恶意进程，对该节点的行为进行阻断隔离、病毒查杀和漏洞修补；

免疫状态：节点处于清除病毒且获得免疫疫苗修补系统漏洞和升级病毒库而获得对该恶意代码免疫能力的安全状态；经过病毒查杀和漏洞修复的进程；

免疫状态的获取过程如下：

过程一：通过抗原提呈细胞算法检测周围信号来判断机体组织中是否存在恶意病毒，抗原递呈细胞又称辅佐细胞，是机体内具有摄取、处理和传递抗原信息，诱发发生免疫应答作用的细胞，危险信号使得APC实现抗体对抗原的提呈，抗体完成对提呈细胞的识别，如果确认抗原危险，则产生免疫应答，对于抗原提呈，危险信号首先建立危险域；

危险域的等级计算公式如下：

w

过程二：抗体通过对提呈的抗原进行分析，并通过随机森林检测算法生成相应的抗体，显然，网络系统整体对抗恶意代码能力的增强主要依赖于免疫疫苗的节点覆盖速度和覆盖成功率，可以发现提升节点对恶意代码的认识程度与该恶意代码对网络系统的影响程度正相关；

随机森林检测算法如下：

根据恶意代码的静态模糊哈希特征和动态行为特征提取疑似样本集合T＝{T

Virus_Flag＝Random_Forest(Queue)

步骤二：利用识别出的进程节点进行免疫防御。

网络中恶意代码和免疫疫苗影响状态转换过程如下：

假设在时刻t系统中易感染节点数量为S(t)，已感染节点的数量为I(t)，已免疫节点数量为H(t)，失效节点数量为D(t)，设当前网络系统中总的节点数量为N则有：

N＝S(t)+I(t)+H(t)+D(t)

节点状态转换概率如下表所示：

节点状态的转变概率首先受到恶意代码与疫苗(病毒查杀软件)的彼此传播与对抗能力的影响，同时也受到节点平均出入度(设为C)的影响，显然，网络系统整体对抗恶意代码能力的增强主要依赖于免疫疫苗的节点覆盖速度和覆盖成功率，可以发现提升节点对恶意代码的认识程度与该恶意代码对网络系统的影响程度正相关，由此得出μ

恶意代码的感染导致节点从易感染状态，转化为已感染状态；疫苗对节点的免疫可使节点从已感染状态转化为已免疫状态；节点系统的病毒清除或重建可使节点从已感染状态转化为易感染状态；破坏能力强的恶意代码将直接导致节点从已感染状态转化为失效状态，基于上述情况，可得出I(t)变化公式为：

易感到已感(患病节点)-已感到易感(低风险节点)-已感到健康-已感到失效＝最小化最精准的治疗，该部分控制在20％以下。

通过彻底地清除恶意代码以及利用免疫疫苗来升级系统和病毒库均可将节点从易感染状态或已感染状态转变为已免疫的安全状态；而节点在失效后，重建系统，安装杀毒软件，并快速升级系统和病毒库，也将在重新接入系统时转变为已免疫状态，由此可得出H(t)变化公式为：

已感染到免疫+易感染到免疫+挂掉到免疫，该部分可以标识为计算比率为50％。

恶意代码的破坏导致已感染节点的失效；失效节点的系统重建将节点转入易感染状态，甚至在接入系统前先升级为已免疫状态，由此可得出D(t)变化公式为：

已感到失效-失效到易感-挂掉到健康，这一步主要是就是预测打补丁，打疫苗来保护，该部分控制在20％。

虽然节点在4种状态之间循环转换，但当前的Peer节点的总数可基本视为稳定的常量：

由式1-4可得出S(t)的变化公式为：

μ

综上所述，网络主动型恶意代码与免疫疫苗的对抗传播模型数学可描述为：

μ

虽然在上文中已经参考实施方式对本发明进行了描述，然而在不脱离本发明的范围的情况下，可以对其进行各种改进并且可以用等效物替换其中的部件。尤其是，只要不存在结构冲突，本发明所披露的实施方式中的各项特征均可通过任意方式相互结合起来使用，在本说明书中未对这些组合的情况进行穷举性的描述仅仅是出于省略篇幅和节约资源的考虑。因此，本发明并不局限于文中公开的特定实施方式，而是包括落入权利要求的范围内的所有技术方案。