[发明专利]基于群智理论的威胁检测系统及方法

权利要求书

1.一种基于群智理论的威胁检测系统，其特征在于，包含：

异构静态检测器，内嵌于云环境中各云节点内部，通过监听云节点端口进行威胁检测；

异构动态检测器，外挂于云环境中各云节点之中，以动态游走方式进行威胁检测；

检测域构建模块，根据云环境下任务执行环境及安全防护需求，确定检测域范围并随上下文环境的变化对检测域进行动态调整，并通过检测域信息共享实现检测域动态重构；

群体协作模块，利用静态检测器和动态检测器在检测域内进行静态检测器预警和动态检测器联合判决的威胁闭合检测。

2.根据权利要求1所述的基于群智理论的威胁检测系统，其特征在于，检测域构建模块包含检测域划分子模块和检测域动态调整子模块，其中，

检测域划分子模块，根据用户安全需求，构建多个不同安全等级和尺寸的威胁检测域，检测域通过四元组φ＝R,P,C,S表示，其中，R表征检测域的资源和应用，P表示检测域的逻辑边界，C表征检测域之间的连通关系，S表征安全属性；

检测域动态调整子模块，用于通过建立安全等级和检测域威胁检测能力映射关系表，并依据用户安全需求制定相应静态检测器和动态检测器部署方案；将部署在云环境中的异构静态检测器和异构动态检测器散落在对应检测域内，形成非中心化威胁检测网络，通过检测域信息共享对检测域进行动态重构。

3.一种基于群智理论的威胁检测方法，其特征在于，包含如下内容：

A)面向云环境下不同类型目标对象，分析目标对象潜在威胁特征，对威胁特征进行刻画和分类，构建异构静态检测器和异构动态检测器；

B)依据用户安全需求，在云环境中构建不同安全等级和尺度的威胁检测域，建立安全等级与检测域威胁检测能力的映射关系表，将静态检测器和动态检测器散落在检测域内，形成非中心化威胁检测网络，并利用检测域信息共享进行检测域的动态调整重构；

C)在检测域内，通过静态检测器预警和动态检测器联合判决进行威胁闭合检测。

4.根据权利要求3所述的基于群智理论的威胁检测方法，其特征在于，A)中，对威胁特征进行刻画和分类过程中，构建异构静态检测器，包含如下内容：首先，利用威胁特征的相似性进行聚类，产生若干威胁类别；然后，对该若干威胁类别，利用机器学习训练出若干异构静态检测器，并部署在云节点宿主机操作系统中。

5.根据权利要求3所述的基于群智理论的威胁检测方法，其特征在于，A)中，对威胁特征进行刻画和分类过程中，构建异构动态检测器，包含如下内容：首先，利用威胁特征的相似性进行聚类，产生若干威胁类别；然后，对该若干威胁类别，依据威胁特征相似性进行二次聚类，针对该二次聚类结果通过机器学习训练出异构动态检测器，并以外挂虚拟机形式放置于云节点中。

6.根据权利要求3所述的基于群智理论的威胁检测方法，其特征在于，B)中构建的威胁检测域，利用四元组φ＝R,P,C,S表示，其中，R表征检测域的资源和应用，P表示检测域的逻辑边界，C表征检测域之间的连通关系，S表征安全属性。

7.根据权利要求3或6所述的基于群智理论的威胁检测方法，其特征在于，B)中具体包含如下内容：首先，根据云环境下任务执行环境和安全防护需求，建立软件定义的检测域边界；然后，统一用户安全防护需求与检测域安全等级，建立检测域安全等级与检测能力的映射关系表；依据检测域检测能力及检测器部署密度的相关性，根据用户安全防护需求指定检测器部署方案；建立检测域信息交互机制，若其中一个检测域检测出威胁信息，利用信息交互机制将威胁信息扩散到所有检测域中，并对云节点发生变化情形利用软件定义边界方式对检测域进行动态重构。

8.根据权利要求7所述的基于群智理论的威胁检测方法，其特征在于，检测域信息交互机制包含如下内容：根据检测域时空分布，建立威胁信息分发树；在每个检测域内指定代言检测器，当检测域内检测出威胁信息后，通过代言检测器之间的信息交互，将威胁信息扩散到所有检测域中；同时代言检测器对威胁信息进行解析，获取威胁特征并将该威胁特征发送给静态检测器或动态检测器进行威胁特征数据的更新。