[发明专利]基于拟态技术和机器学习的检测系统、方法、设备及介质

权利要求书

1.一种基于拟态技术和机器学习的检测系统，其特征在于，包括拟态调度器和若干异构执行体，所述异构执行体用于接收和处理拟态调度器上发送的报文数据，并将处理的结果作为下行数据，下发至拟态调度器；所述拟态调度器，包括拟态判决单元、攻击检测单元和控制处理单元，其中，

所述拟态判决单元，用于接收异构执行体的下行数据，基于拟态判决策略对下行数据做出拟态判断，判断出前端芯片上送的原始报文数据是否存在攻击性，同时将拟态判决结果发送给攻击检测单元；

所述攻击检测单元，用于接收控制处理单元发送的报文数据，并结合拟态判决模块发送的拟态判决结果进行机器学习，对报文数据进行攻击防御检测；

所述控制处理单元，用于接收前端芯片上送的报文数据并发送至攻击检测单元，接收异构执行体下发的下行数据并发送至拟态判决单元；用于根据攻击防御检测结果，将判断为异常数据的报文数据进行过滤；将判断为正常数据的报文数据作为上行数据，上送至异构执行体，

具体的，所述攻击检测单元包括数据采集模块、数据分类模块、模型训练模块和攻击检测模块，其中，

所述数据采集模块，用于接收前端芯片上送的报文数据；

所述数据分类模块，用于基于拟态判决模块发送的拟态判决结果进行数据分类，并将报文数据标记为异常数据和正常数据，形成测试集和训练集；

所述模型训练模块，用于构建机器学习模型，利用训练集作为机器学习模型的输入，进行自主学习，生成攻击检测模型，并利用测试集对攻击检测模型进行调优和测试，直至符合预设的收敛条件；

所述攻击检测模块，用于通过训练好的攻击检测模型对待检测报文数据进行攻击防御检测，并将攻击防御检测结果发送至控制处理单元，所述攻击防御检测结果为判定报文数据是正常数据或异常数据。

2.根据权利要求1所述的一种基于拟态技术和机器学习的检测系统，其特征在于，还包括特征工程模块，用于对报文数据进行特征提取、特征预处理、特征降维和Z-score标准化处理。

3.根据权利要求1所述的一种基于拟态技术和机器学习的检测系统，其特征在于，所述若干异构执行体采用不同的结构，所述结构包括不同架构的处理器和不同的操作系统。

4.一种基于拟态技术和机器学习的检测方法，其特征在于，包括如下步骤：

拟态调度器接收前端芯片上送的网络报文数据，并发送至攻击检测单元；

通过训练好的攻击检测模型对报文数据进行攻击防御检测，并将攻击防御检测结果发送至控制处理单元，所述攻击防御检测结果为判定报文数据是正常数据或异常数据；

控制处理单元根据攻击防御检测结果，将判断为异常数据的报文数据进行过滤；将判断为正常数据的报文数据作为上行数据，上送至异构执行体，

其中，所述攻击检测模型的构建过程，包括如下步骤：

拟态调度器接收前端芯片上送的报文数据并发送至异构执行体；

异构执行体接收报文数据进行处理，并将处理的结果作为下行数据，下发至拟态调度器；

拟态调度器中拟态判决单元接收异构执行体的下行数据，基于拟态判决策略对下行数据做出拟态判断，判断出前端芯片上送的原始报文数据是否存在攻击性，同时将拟态判决结果发送至数据分类模块；

数据分类模块基于拟态判决结果对原始报文数据进行数据分类，并将原始报文数据标记为异常数据和正常数据，形成测试集和训练集；

构建机器学习模型，利用训练集作为机器学习模型的输入，进行自主学习，生成攻击检测模型，并利用测试集对攻击检测模型进行调优和测试，直至符合预设的收敛条件。

5.根据权利要求4所述的一种基于拟态技术和机器学习的检测方法，其特征在于，所述拟态判决策略为基于先验知识的判决方法或基于大数判决方法。

6.根据权利要求4所述的一种基于拟态技术和机器学习的检测方法，其特征在于，还包括如下步骤：对报文数据进行特征提取、特征预处理、特征降维和Z-score标准化处理。