[发明专利]用于联邦学习和隐私计算的内部安全攻击检测方法及装置

权利要求书

1.一种内部安全攻击的检测方法，其特征在于，应用于联邦学习和隐私计算，所述方法包括：

获得待检测方发送的数据包；

对所述数据包进行控制流审计生成控制流审计结果，其中，所述控制流审计包括：通过比较与所述数据包相关的联邦学习任务的进程调用列表和根据该联邦学习任务预先设定的参考进程列表从而识别出与所述数据包相关的异常发送操作，其中，当满足以下条件之一时所述控制流审计结果指示与所述数据包相关的发送操作是异常发送操作：与所述数据包相关的联邦学习任务的进程调用列表中存在至少一个不存在于所述参考进程列表中的发送进程、与所述数据包相关的联邦学习任务的进程调用列表中的发送进程的次序与所述参考进程列表中的发送进程的次序不一致、与所述数据包相关的站点请求导向不可信站点、或者通过对所述待检测方的通信接口进行流量监测而识别出在所述待检测方发送所述数据包时存在与相对于所述数据包的另一数据包相关的未授权发送进程；

对所述数据包进行数据流审计生成数据流审计结果，其中，所述数据流审计包括：通过比较与所述数据包相关的待发送通信数据和该待发送通信数据在所述待检测方的内存中的拷贝从而识别出与所述数据包相关的异常数据存储操作，其中，当满足以下条件之一时所述数据流审计结果指示与所述数据包相关的数据存储操作是异常数据存储操作：该待发送通信数据被篡改、与所述数据包相关的通信数据包的配置参数不同于留存在所述待检测方的内存中的参考配置参数、或者该待发送通信数据携带隐私数据且该待发送通信数据在所述待检测方的内存中的拷贝指示该待发送通信数据不包括隐私数据；

响应于识别出与所述数据包相关的异常发送操作以及识别出与所述数据包相关的异常数据存储操作，判断所述待检测方受到来自所述待检测方内部的恶意进程、恶意程序或者恶意代码的内部安全攻击。

2.根据权利要求1所述的内部安全攻击的检测方法，其特征在于，所述检测方法还包括：当所述控制流审计结果指示与所述数据包相关的发送操作没有发生异常时，根据针对所述待检测方的安全审计需求选择性地对所述数据包进行附加控制流审计并且生成附加控制流审计结果，其中当满足以下条件之一时所述附加控制流审计结果指示所述待检测方受到来自所述待检测方内部的恶意进程、恶意程序或者恶意代码的内部安全攻击：

与所述数据包相关的联邦学习任务的进程调用列表中存在至少一个不存在于所述参考进程列表中的数据库操作进程；或者

与所述数据包相关的脚本包括恶意脚本代码；或者

与所述数据包相关的资源共享请求导向相对于所述待检测方的本地地址的外部地址。

3.根据权利要求1所述的内部安全攻击的检测方法，其特征在于，所述检测方法还包括：当所述数据流审计结果指示与所述数据包相关的发送操作没有发生异常时，根据针对所述待检测方的安全审计需求选择性地对所述数据包进行附加数据流审计并且生成附加数据流审计结果，其中当满足以下条件之一时所述附加数据流审计结果指示所述待检测方受到来自所述待检测方内部的恶意进程、恶意程序或者恶意代码的内部安全攻击：

与所述数据包相关的数据表字段被篡改；或者

通过对所述待检测方的通信接口进行流量监测而识别出在所述待检测方发送所述数据包时存在异常流量波动。

4.根据权利要求1所述的内部安全攻击的检测方法，其特征在于，所述检测方法还包括：对所述数据包进行控制流数据流复合审计生成复合审计结果，其中当满足以下条件时所述复合审计结果指示所述待检测方受到来自所述待检测方内部的恶意进程、恶意程序或者恶意代码的内部安全攻击：

与所述数据包相关的联邦学习任务的进程调用列表中存在至少一个不存在于所述参考进程列表中的数据存储进程并且所述至少一个不存在于所述参考进程列表中的数据存储进程与隐私数据相关。