(19)国家知识产权局 (12)发明 专利 (10)授权公告 号 (45)授权公告日 (21)申请 号 202210915005.1 (22)申请日 2022.08.01 (65)同一申请的已公布的文献号 申请公布号 CN 115001866 A (43)申请公布日 2022.09.02 (73)专利权人 成都市以太节点科技有限公司 地址 610000 四川省成 都市双流区西南 航 空港经济开发区工业 集中区 (72)发明人 戚建淮　周杰　杜玲禧　宋晶　 张莉　刁润　 (51)Int.Cl. H04L 9/40(2022.01) G06K 9/62(2022.01) 审查员 冯誉 (54)发明名称 一种基于免疫机制的安全防护方法、 电子设 备及存储介质 (57)摘要 本发明公开了一种基于免疫机制的安全防 护方法、 电子设备及存储介质， 方法包括： S1， 基 于内生性免疫机制构建白名单库； S2， 基于获得 性免疫机制构建黑名单库； S3， 基于黑名单库更 新白名单库； S4， 基于更新后的白名单库对信息 网络系统进行防护。 本发明先设定初始粒度， 即 初始时间节点数量对正常行为数据提取正常特 征序列， 以构建白名单库。 后续对通过了白名单 库检测但仍造成信息网络系统异常的异常行为 数据， 通过更细粒度， 即增加时间节点数量提取 扩展特征序列对比， 实现定位异常行为数据的实 质异常特征， 以便于根据 异常行为有针对性地对 白名单库进行细粒度扩展与更新， 以便于后续对 此类隐蔽性异常行为的检测阻断， 有效增强安全 防护力度。 权利要求书3页 说明书10页 附图4页 CN 115001866 B 2022.11.08 CN 115001866 B 1.一种基于免疫机制的安全防护方法， 其特 征在于， 所述方法包括以下步骤： S1， 基于内生 性免疫机制构建白名单库， 包括： S11， 信息网络系统运行第一 时间段后， 将使得信 息网络系统正常运行的行为统计为正 常行为， 单个正常行为产生的数据作为单个正常行为数据， 对正常行为数据分别对应提取 正常特征序列， 正常特征序列包括其对应正常行为数据在第一时间段内多个时间节点分别 对应的归一 化特征值； S12， 将所有正常特 征序列分为多个 类组， 多个 类组的正常特 征序列构成白名单库； S2， 基于获得性免疫机制构建黑名单库， 包括： S21， 信息网络系统基于白名单库防护运行第二 时间段后， 将使得信息网络系统不正常 运行的行为统计为异常行为， 单个异常行为产生的数据作为单个异常行为数据， 对异常行 为数据分别对应提取异常特征序列， 异常特征序列包括其对应异常行为数据在第二时间段 内多个时间节点分别对应的归一化特征值； 第二时间段与第一时间段时长相同且起止时刻 相同， 时间节点设置也相同； S22， 找出与各异常特征序列相同的正常特征序列及其所属类组， 将两个相同的异常特 征序列和正常特 征序列对应的异常行为数据和正常行为数据作为 一个数据组； S23， 针对单个数据组的异常行为数据和正常行为数据， 在其各自的时间段内不断同步 增加时间节点数量并提取对应的扩展 特征序列， 正常行为数据和异常行为数据时间节点数 量相同的扩展特征序列为一个扩展组， 直至找出其内两个扩展特征序列不相同的扩展组， 将该扩展组内异常行为数据的扩展特 征序列作为异常扩展特 征序列； S24， 基于白名单库内的类组构建包含相同空白类组的黑名单库， 将各异常扩展特征序 列按其对应的正常特 征序列的类组存 入黑名单库内对应的类组中； S3， 基于黑名单库更新白名单库， 包括： S31， 统计黑名单库内各类组内所有异常扩展特 征序列的时间节点数量的种类； S32， 对白名单库内各类组内的正常特征序列对应的正常行为数据， 在第一时间段内基 于黑名单库内对应类组的各种时间节点数量分别提取正常扩展特征序列， 并将各正常扩展 特征序列存 入白名单库内对应 类组中； S33， 将与黑名单库内各类组内异常扩展特征序列相同的白名单库内对应类组内的正 常扩展特 征序列删除， 更新白名单库； S4， 基于更新后的白名单库对信息网络系统进行防护。 2.根据权利要求1所述的一种基于免疫机制的安全防护方法， 其特征在于， 所述S4包括 以下子步骤： S41， 信息网络系统后续运行中， 将待检测行为产生的待检测行为数据按其发生时段置 于虚拟时间中， 虚拟时间与第一时间段时长相同且起止时刻相同， 时间节点设置也相同； S42， 从待检测行为数据中提取待检测特征序列， 待检测特征序列包括对应待检测行为 数据在虚拟时间内多个时间节点分别对应的归一 化特征值； S43， 将待检测特征序列与白名单库各类组内的正常特征序列进行对比， 若不存在与其 相同的正常特征序列， 则判定对应待检测行为异常， 对其进 行阻断； 若存在与其相同的正常 特征序列， 跳 至S44； S44， 统计该正常特征序列所在类组内所有正常扩展特征序列的时间节点数量的种类，权　利　要　求　书 1/3 页 2 CN 115001866 B 2对待检测行为数据， 在虚拟时间内基于白名单库内对应类组内正常扩展 特征序列的各种时 间节点数量分别提取待检测扩展 特征序列； 将各待检测扩展 特征序列与白名单库对应类组 内正常扩展特征序列对比， 若 各待检测扩展 特征序列均存在相同正常扩展 特征序列则判定 对应待检测行为正常， 允许访问， 若存在待检测扩展特征序列找不到相同正常扩展特征序 列则判定对应待检测行为异常， 对其进行阻断。 3.根据权利要求1 ‑2任一项所述的一种基于免疫机制的安全防护方法， 其特征在于， 所 述S12中将所有正常特 征序列分为多个 类组具体包括以下步骤： A1， 基于正常特征序列包含的归一化特征值将各正常特征序列映射为多维空间不同的 点， 以各点为圆心分别限定半径相同的邻域球， 基于邻域球内点的数量计算各邻域球的密 度并按密度从大到小排列； A2， 提取密度最大的邻域球作为基准球； A3， 将基准球的圆心点存 入一空白小类中； A4， 按顺序提取剩余的邻域球与当前基准球进行密度对比， 若当前提取的邻域球与当 前基准球的密度差值不大于差分阈值则将该邻域球的圆心点存入当前基准球的圆心点所 在小类中， 然后跳至步骤A 4； 若其密度差值大于差 分阈值则将该邻域球作为基准球， 跳至步 骤A3； 直至邻域球提取完； A5， 对照圆心点的分类将正常特 征序列分为多个 类组。 4.根据权利要求3所述的一种基于免疫机制的安全防护方法， 其特征在于， 所述A1中第 i个邻域球的密度为： ， 其中m表示邻域球的数量， 即正常行为数据的 数量， 表示第i个领域球内点的个数， 为邻域球的半径。 5.根据权利要求1 ‑2任一项所述的一种基于免疫机制的安全防护方法， 其特征在于， 所 述S23中时间节点的单次增量 为1。 6.根据权利要求1 ‑2任一项所述的一种基于免疫机制的安全防护方法， 其特征在于， 所 述S23中时间节点的总增量设有 上限值， 如果时间节 点总增量达到了上限值， 但仍未找到其 内两个扩展特征序列不相同的扩展组， 则停止增加时间节点数量， 并将该数据组内的异常 行为数据及其对应的异常行为更正 为正常。 7.根据权利要求1 ‑2任一项所述的一种基于免疫机制的安全防护方法， 其特 征在于， 所 述 S1 1 中 第i 个 正 常 行 为 数 据的 第 t 个时 间 节 点的 归 一 化 特 征 值 为 ： ； 所述步骤S21中第j个异常行为数据的第t个时间节点的归一化特征值为： ； 其中m表示 正常行为数据的数量， h表示异常行为数据的数量， t 表示时间节点的数量， 表示第i个正常行为数据， 表示 在第t个时间节点的原始特征值， 表示 在n 个时间节点中最小的原始特征值， 表示 在n个时间节点中最大的原始特征值； 表示第j个正常行为数据， 表示 在第t个时间节点的原始特征值， 表示 在权　利　要　求　书 2/3 页 3 CN 115001866 B 3