[發明專利]基于行為的Cache攻擊檢測方法在審
| 申請號: | 201810449942.6 | 申請日: | 2018-05-11 |
| 公開(公告)號: | CN108629181A | 公開(公告)日: | 2018-10-09 |
| 發明(設計)人: | 孫建華;李曉虹 | 申請(專利權)人: | 湖南大學 |
| 主分類號: | G06F21/55 | 分類號: | G06F21/55 |
| 代理公司: | 暫無信息 | 代理人: | 暫無信息 |
| 地址: | 410082 湖*** | 國省代碼: | 湖南;43 |
| 權利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關鍵詞: | 攻擊檢測 進程訪問 攻擊 進程 行為特征 硬件性能 檢測 硬件性能計數器 事件信息數據 歸一化處理 分類技術 機器學習 行為差異 訓練分類 過濾法 分析 | ||
1.基于行為的Cache攻擊檢測方法,其特征在于實施步驟為:
(1)分析Cache攻擊進程和良性進程對Cache訪問行為的差異,使用硬件性能事件表征進程訪問Cache的行為,并通過硬件性能計數器收集硬件性能事件信息;
(2)使用最大最小值方法對收集的數據進行歸一化的預處理操作;
(3)使用基于F-Score的過濾法進行特征選擇,選取有效的行為特征;
(4)利用BP神經網絡分類技術將系統上運行的進程分為良性和攻擊兩類,從而實現Cache攻擊的檢測。
2.根據權利要求1所述的基于行為的Cache攻擊檢測方法,其特征在于獲取進程訪問Cache的行為信息,使用硬件性能事件表征Cache的訪問行為,利用硬件性能計數器采集Cache訪問行為信息:
(1)確定系統上可用的與Cache訪問相關的硬件性能事件,并為每個事件配置硬件性能計數器,配置完成之后,事件發生一次,硬件性能計數器的值自動加1;
(2)使用性能分析工具訪問硬件性能計數器的管理單元,讀取硬件性能計數器的值。
3.根據權利要求1所述的基于行為的Cache攻擊檢測方法,其特征在于本方法對數據進行歸一化處理操作,對于一個樣本數據,利用最大最小值的歸一化方法,同一每個樣本特征的取值范圍,避免因取值范圍不同影響網絡分類精確度的問題。
4.根據權利要求1所述的基于行為的Cache攻擊檢測方法,其特征在于本方法對歸一化后的數據進行特征選擇操作,特征選擇的方法是基于F-Score的過濾法。實現步驟如下:
(1)計算每個特征的F-Score值;
(2)按照從大到小的順序對F-Score值進行排序;
(3)計算F-Score的平均值,選取大于平均值的特征作為后續BP網絡模型訓練樣本的特征集。
5.根據權利要求1所述的基于行為的Cache攻擊檢測方法,其特征在于本方法使用BP網絡算法作為攻擊檢測模型。算法實現步驟如下:
(1)隨機選擇一個樣本輸出至網絡中,將進程訪問緩存特征的3個值分別賦值給輸入層的3個節點,如果樣本是緩存攻擊樣本則期望輸出為0,若為良性進程樣本,期望輸出為1;
(2)計算每層的輸出,包含輸入層至隱層以及隱層到輸出層的輸出;
(3)計算實際輸出與期望輸出的誤差;
(4)計算反方向傳播誤差信號;
(5)調整連接權值,
(6)此時完成一次訓練,判斷是否滿足誤差要求或者達到了最大訓練的次數,如果是,則停止訓練,否則跳轉到起始步,重新輸入樣本進行訓練。
該專利技術資料僅供研究查看技術是否侵權等信息,商用須獲得專利權人授權。該專利全部權利屬于湖南大學,未經湖南大學許可,擅自商用是侵權行為。如果您想購買此專利、獲得商業授權和技術合作,請聯系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/201810449942.6/1.html,轉載請聲明來源鉆瓜專利網。
