一种基于可信计算的持续免疫安全管控系统及方法与流程

1.本发明涉及网络安全技术领域，尤其涉及一种基于可信计算的持续免疫安全管控系统及方法。


背景技术：

2.传统的防御思想是在现有网络体系架构的基础上建立包括防火墙、安全网关、入侵检测、病毒查杀、访问控制和数据加密等多层次的防御体系，并根据已知病毒的数据、代码、行为等特征对攻击进行识别。但随着云计算、大数据、5g、物联网等新技术的应用，安全边界逐渐模糊，新的网络安全风险以及不断扩大的攻击面与之俱来。近年来不断披露的网络安全事件及由此带来的严重后果也逐渐暴露了传统的网络安全防御技术存在的缺陷，尤其是难以有效抵御系统未知的软硬件漏洞攻击，难以预防潜在的各类后门攻击，难以有效应对各类越来越复杂和智能化的渗透式网络入侵。而传统封堵查杀已过时，杀病毒、防火墙、入侵检测的传统
‘
老三样’难以应对人为攻击，且容易被攻击者利用，找漏洞、打补丁的传统思路不利于整体安全。因而需要构建可信计算标准体系，实行免疫机制，确保为完成计算任务的逻辑组合不被篡改和破坏，实现正确计算。
3.例如，公开号为授权公告号cn104573516b的中国文献公开了一种基于安全芯片的工控系统可信环境管控方法和平台，其方法包括1)工控终端基于安全芯片向管理服务器进行注册；2)工控终端对运行的各个进程进行完整性度量；3)管理方在管理服务器对度量信息进行审核并制定白名单；4)工控终端从管理服务器下载被管理方定制好的白名单，导入操作系统内核后对待运行进程进行管控，防止不可信、未知和不可控程序进程的恶意代码对工控终端造成的系统破坏、窃取机密信息和工业生产破坏等问题，从而提高工业控制系统的安全防御能力。
4.再例如，公开号为授权公告号cn104035999b的中国专利文献公开了一种基于家长个性化推荐管控的安全网络浏览系统，包括网络浏览模块、家长管控模块以及内容过滤系统，网络浏览模块用于显示家长所指定的主题相关信息，家长管控模块包括家长指定主题库、家长禁止主题库、黑名单地址列表、白名单地址列表以及灰名单地址列表，网络过滤系统模块包括查询模块、文本分类模块和结果处理模块。家长可以利用系统给出的主题选项进行直观选择，并在显示模块按家长指定的主题分类搜索到相关信息，按类别分类醒目的显示出来；对孩子浏览的网页，由网络内容过滤模块进行过滤，使孩子能访问安全网页。
5.但是，上述现有技术均存在以下技术不足：当白名单策略确认后，后续进程只要与白名单不符，系统就会告警——但实际上，很多不符是因为系统的升级、应用的更新、网络的变化等良性的变化引起的，并没有恶意代码在攻击主机，这样就造成了很高的虚警率。管理员若是逐个排查则虚耗时间，若是置之不理，白名单告警机制则流于形式，一旦真的安全威胁入侵用户，系统无法为用户提供有效地安全防护。因此，针对现有技术的不足有必要进行改进。
6.此外，一方面由于对本领域技术人员的理解存在差异；另一方面由于发明人做出
本发明时研究了大量文献和专利，但篇幅所限并未详细罗列所有的细节与内容，然而这绝非本发明不具备这些现有技术的特征，相反本发明已经具备现有技术的所有特征，而且申请人保留在背景技术中增加相关现有技术之权利。


技术实现要素：

7.针对现有技术之不足，本发明提供一种基于可信计算的持续免疫安全管控系统。本持续免疫安全管控系统至少包括可信防护模块、区块链防篡改模块和主动对抗模块。
8.可信防护模块被配置为能够结合用户的运维策略自动生成符合操作规范的白名单，以建立对用户的合法访问策略与操作行为策略。白名单在实现中主要依赖可信计算机制。可信的核心目标之一便是确认系统或应用运行在设计目标期望的、可预测的状态，以保证核心文件的完整性。总的来说，可信验证能够显著减少系统或者应用受到未知病毒或恶意软件攻击破坏的可能性。
9.区块链防篡改模块被配置至少能够获取所述白名单，并将所述白名单加入区块链中，以防止所述白名单被非法篡改。
10.主动对抗模块至少能够用于对所述白名单内的进程或程序进行监控和分析。在所述主动对抗模块能够获取用户的安全态势的情况下，可信防护模块能够基于所述主动对抗模块所监控的安全态势持续地更新白名单。所述主动对抗模块能够基于所监控的安全态势迅速地调整用户的逻辑拓扑结构，并对监控到的异常活动进行处理，以实现对所有未知威胁的自组织对抗，从而对未知威胁产生持续的免疫力。
11.根据一个优选实施方式，本安全防护系统的可信防护模块至少包括白名单生成单元和用户实体行为分析单元。
12.所述白名单生成单元被配置为能够基于不同用户的应用场景和/或所述主动对抗模块所监控的安全态势生成与该用户的安全需求相匹配的白名单。优选地，主动对抗模块还能够以时序的方式监控用户服务器的安全态势。优选地，安全态势至少包括用户系统版本信息。优选地，安全态势还可以包括用户所使用应用的更新、用户所使用网络的变化等。用户服务器可以为个人电脑、工作站等。系统版本信息可以为系统版本基本信息、系统版本升级或降级的时间和间隔等。应用可以为用户所使用的各种应用软件。特别优选地，主动对抗模块能够识别用户的系统版本信息。主动对抗模块还能够识别用户所使用应用的更新、用户所使用网络的变化。例如，若随着时间的推移用户的服务器逐步地升级，则主动对抗模块判定该用户的安全态势为良性。当该用户的安全态势处于良性时，白名单生成单元被配置为能够将用户实体行为分析单元所发现的与系统升级相关的异常活动视为良性的异常，并将该良性的异常添加进入原有的白名单。而当随着时间的推移用户的服务器逐步地降级或者长期处于不变，则主动对抗模块判定该用户的安全态势为恶性。当该用户的安全态势处于恶性时，白名单生成单元被配置为能够将用户实体行为分析单元所发现的与系统升级相关的异常活动视为真实的异常，并将该真实的异常发送至主动对抗模块以进行预警或者报警。
13.所述用户实体行为分析单元被配置为至少能够对用户运行白名单上的进程或程序进行监控分析，以监测用户运行所述白名单的进程或程序是否存在异常，以及将所监控得出用户的安全态势发送至所述主动对抗模块。
14.根据一个优选实施方式，由于白名单策略在被确认之后，后续进程只要与白名单不符，系统就会告警。但实际上主动对抗模块所监控的很多不符合原有白名单的行为而引起的告警是因为系统的升级、应用的更新、网络的变化等良性的变化引起的，并没有恶意代码在攻击主机，如此就造成了很高的虚警率。管理员若是逐个排查则虚耗时间，若是置之不理，白名单告警机制则流于形式，一旦真的安全威胁入侵用户，系统无法为用户提供有效地安全防护。对此，本发明给出的解决方案，使白名单机制进一步智能化，从而能够随着用户状态(例如系统的升级、应用的更新)和/或安全态势(例如网络的变化等)的变化持续地调整白名单，以有效地为用户提供持续免疫的安全防护。因此，所述可信防护模块还包括白名单数据库单元。所述用户实体行为分析单元能够将所监测的异常情况发送至主动对抗模块。主动对抗模块还能够对用户的安全态势进行监控。
15.在响应于主动对抗模块对用户的安全态势进行监控的情况下，所述白名单数据库单元被配置为至少能够采集多个不同用户的白名单而形成一个新的白名单数据库，以通过所述白名单数据库对所述用户实体行为分析单元所监测为异常状态的白名单进行分析比对，以降低所述用户实体行为分析单元的误报率。白名单数据库内的可信白名单为白名单数据库单元求取多个不同用户的白名单的最大交集而获得的。
16.根据一个优选实施方式，所述可信防护模块能够持续地更新白名单持续更新的步骤(方法)为：
17.若用户实体行为分析单元通过所述白名单数据库对所述用户实体行为分析单元所监测为异常状态的白名单进行分析比对发现异常状态的白名单在白名单数据库的范围内，则用户实体行为分析单元将该异常状态的白名单判定为错误的告警，与此同时，白名单生成单元获取上述指令立刻更新相应服务器的白名单并将用户实体行为分析单元所发现的良性的异常添加进入原有的白名单；若用户实体行为分析单元通过所述白名单数据库对所述用户实体行为分析单元所监测为异常状态的白名单进行分析比对发现异常状态的白名单并不在白名单数据库的范围内，则用户实体行为分析单元将该异常状态的白名单判定为真实的告警，并将该该异常状态的白名单的活动发送至主动对抗模块；若用户实体行为分析单元通过所述白名单数据库一次或多次比对分析，并确认异常的白名单行为安全威胁，白名单生成单元获取上述指令立刻更新相应服务器的白名单并将用户实体行为分析单元所发现的异常白名单从原有的白名单中删除。通过该配置方式，用户实体行为分析单元通过与白名单数据库不断地数据交互，以对原有白名单进行持续地修改和更新，从而降低所述用户实体行为分析单元的误报率以及漏报率。
18.根据一个优选实施方式，所述主动对抗模块至少能够获取所述用户实体行为分析单元所监测出的异常活动，并根据基于所述主动对抗模块所监控的安全态势生成与用户的安全需求相匹配的应对策略。
19.根据一个优选实施方式，所述用户实体行为分析单元包括：
20.样本数据解析子单元，被配置为能够获取所述数据采集模块所采集的与所述风险场景相关的数据信息，并根据建立的日志模板，对所述数据采集模块所采集的与所述风险场景相关的数据信息进行解析处理以得到关键日志样本数据。
21.样本数据分类子单元，被配置为按照建立的样本数据分类维度，对所述关键日志样本数据进行分类处理以得到若干类关键日志有效样本数据。
22.模型建立子单元，被配置为根据所述若干类关键日志有效样本数据以及机器学习训练模型，建立异常侦测模型。
23.根据一个优选实施方式，所述样本数据获取子单元获取关联于用户实体行为的系统操作日志源样本数据的方法包括：对从样本数据源获取到的关联于用户实体行为的系统操作日志源样本数据进行封装处理而得到事件，以所述事件为样本数据单元获取关联于用户实体行为的系统操作日志源样本数据。
24.根据一个优选实施方式，所述样本数据解析子单元根据建立的日志模板并对所述系统操作日志源样本数据进行解析处理以得到关键日志样本数据的方法包括：根据所述系统操作日志源样本数据的消息类型，建立多个日志模板；根据建立的多个日志模板，对所述系统操作日志源样本数据进行解析处理以得到关键日志样本数据。
25.根据一个优选实施方式，所述方法的步骤为：通过可信防护模块结合用户的运维策略自动生成符合操作规范的白名单，以建立对用户的合法访问策略与操作行为策略；通过区块链防篡改模块获取所述白名单，并将所述白名单加入区块链中，以防止所述白名单被非法篡改；通过主动对抗模块对所述白名单内的进程或程序进行监控和分析，所述可信防护模块基于所述主动对抗模块所监控的安全态势持续地更新白名单；所述主动对抗模块基于所监控的安全态势迅速地调整用户的逻辑拓扑结构，并对监控到的异常活动进行处理，以实现对所有未知威胁的自组织对抗，从而对未知威胁产生持续的免疫力。
26.根据一个优选实施方式，所述可信防护模块结合用户的运维策略自动生成符合操作规范的白名单以建立对用户的合法访问策略与操作行为策略的步骤为：白名单生成单元基于不同用户的应用场景和/或所述主动对抗模块所监控的安全态势生成与该用户的安全需求相匹配的白名单；用户实体行为分析单元对用户运行白名单上的进程或程序进行监控分析，以监测用户运行所述白名单的进程或程序是否存在异常，以及将所监控得出用户的安全态势发送至主动对抗模块。
附图说明
27.图1是本发明的一个优选实施方式的简化示意图；
28.图2是本发明的用户实体行为分析单元的一个优选实施方式的简化示意图。
29.附图标记列表
30.1：可信防护模块；
ꢀꢀꢀ
2：区块链防篡改模块；
ꢀꢀꢀꢀꢀ
3：主动对抗模块；
31.101：白名单生成单元；
ꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀ
102：用户实体行为分析单元；
32.102a：样本数据获取子单元；
ꢀꢀꢀꢀꢀ
102b：样本数据解析子单元；
33.102c：样本数据分类单元；
ꢀꢀꢀꢀꢀꢀꢀ
102d：模型建立单元。
具体实施方式
34.下面结合附图进行详细说明。
35.在描述本系统之前，为了更好地理解本发明的技术方案，先对可信计算的相关内容进行简要的描述。
36.可信计算的基本原理是：建立一个由物理安全、管理安全和技术安全三方面共同确保安全可靠的信任根，接着再建立一条可靠的信任链。其扩展在整个计算机系统中，用来
保证整个计算机系统的可信。从信任根、硬件平台和整个操作系统，再到应用用户，逐级进行测量认证，逐级进行信任，从而整个计算机系统都在可信的状态下运行，为整个计算机系统营造一个可信的计算环境。信任根、硬件平台、操作系统和应用用户整体成为可信计算机系统。
37.可信计算是要为计算机建立起免疫系统，可信计算是指计算运算的同时进行安全防护，使计算结果总是与预期一致，计算全程可测可控，不被干扰。可信计算运算与防护并存。因此，基于可信计算的本系统具有身份识别、状态度量、保密存储等功能，能及时识别非己成份，从而破坏和排斥进入机体的有害物质。
38.可信计算环境层次可以描述为：
39.以密码为基础(包括密码算法、密码协议、证书管理等)，以芯片为支柱、主板为平板、可信基础支撑软件为核心构建可信计算节点，基于网络使得多个可信计算节点构成可信信息系统，进而基于应用体系进一步构建可信应用支撑环境。
40.具体地，可信计算环境层次主要包括以下几个方面：
41.1)底层硬件层面：在底层硬件层面中，将可信密码模块(tcm/tpm)增加到基础硬件平台之上，并且，将核心可信根(crtm)植入到硬件平台的boot rom中，从而确保底层可以安全，可控的进行启动。
42.2)安全操作系统层面：在安全操作系统层面中，可信服务的提供由可信服务模块(tsm)完成。其作为可信计算系统中密码模块支撑内部的软件模块，实现了操作系统与tcm的适配，与此同时，还对tcm进行了加固。
43.3)应用层面：在应用层面中，具体的应用服务均在这个层面得到实现。为保证所有应用服务都可以在安全可信的环境下运行，那么可信计算环境体系从底层硬件至上层应用都必须保证是可信环境。可信根必须与所有应用服务进行关联，信任链从而得到认证，这样，整个环境都是可信的，所有服务的安全稳定运行就可以在这个环境下实现。
44.如图1和图2示出一种基于可信计算的持续免疫安全管控系统，其特征在于，至少包括：
45.可信防护模块1，被配置为能够结合用户的运维策略自动生成符合操作规范的白名单，以建立对用户的合法访问策略与操作行为策略。
46.区块链防篡改模块2，被配置至少能够获取所述白名单，并将所述白名单加入区块链中，以防止所述白名单被非法篡改。
47.主动对抗模块，至少能够用于对所述白名单内的进程或程序进行监控和分析。在所述主动对抗模块能够获取用户的安全态势的情况下上，可信防护模块1能够基于所述主动对抗模块所监控的安全态势持续地更新白名单；
48.所述主动对抗模块能够基于所监控的安全态势迅速地调整用户的逻辑拓扑结构，并对监控到的异常活动进行处理，以实现对所有未知威胁的自组织对抗，从而对未知威胁产生持续的免疫力。
49.优选地，主动对抗模块能够对用户的行为或活动进行监控，以对抗root权限黑客。优选地，白名单可以包括：系统进程白名单和用户行为白名单。
50.根据一个优选实施方式，所述可信防护模块1至少包括白名单生成单元101和用户实体行为分析单元102。所述白名单生成单元101被配置为能够基于不同用户的应用场景
和/或所述主动对抗模块所监控的安全态势生成与该用户的安全需求相匹配的白名单。所述用户实体行为分析单元102被配置为至少能够对用户运行白名单上的进程或程序进行监控分析，以监测用户运行所述白名单的进程或程序是否存在异常。优选地，白名单生成单元101能够自动地一份可信可靠的程序白名单，并借助硬件可信芯片来即时发现并阻止未知程序的运行。
51.由于白名单只能规定哪些程序或进程可以运行，但对于程序是怎样的方式运行、在什么时间运行、被谁运行等问题，而对于是没有办法的，而通过设置用户实体行为分析单元102就能够很好地解决这个问题。即可以通过用户实体行为分析单元102对白名单上的程序或进程进行监控，以实时获取白名单上的进程或用户的运行时间、被谁运行等情况。
52.用户实体行为分析单元102能在发现问题后在非常短的时间内将异常行为发送至主动对抗模块，主动对抗模块能够自动进行防御，而无需管理员赶紧上线甚至是去机房处理。通过该配置方式，可以通过用户实体行为分析单元102可以准确地知道某台机器只能运行哪些程序或怎样运行程序。由于白名单只能规定哪些程序或进程可以运行，但对于程序是怎样的方式运行、在什么时间运行、被谁运行等问题，而对于是没有办法的，而通过设置用户实体行为分析单元102就能够很好地解决这个问题。即可以通过用户实体行为分析单元102对白名单上的程序或进程进行监控，以实时获取白名单上的进程或用户的运行时间、被谁运行等情况。反过来因为可信计算本身已经帮助白名单减少了大量噪音，用户实体行为分析单元102需要分析的样本量或说分析压力就会被降到很低。这样，可能会制造出一个非常快而且非常精准的分析引擎。再例如，如果没有白名单的话，一旦黑客拿到最高管理权限，它的后续动作就无法得知了。黑客能安装各种各样的程序，还能把过去的行为抹掉。
53.白名单生成单元101生成白名单的方法的步骤可以为：
54.1)建立多层神经网络层，所述神经网络层包括数据获取层、数据初步处理层、数据深度处理层、安全层、学习层和保护层；
55.2)获取数据：通过数据获取层获取是数据信息；
56.3)预处理数据：通过数据处理层对数据进行分类处理；
57.4)深度处理数据：将步骤3)中分类好的数据进入到队列中按照相关优先级的顺序送入深度处理层处理，深度处理层处理后，形成相关的基线对应关系；
58.5)数据解码：数据处理后送入到安全层，通过安全层中的协议解码引擎对协议进行深度解码处理；
59.6)白名单建模：解码后的数据送入到学习层，学习层采用自学习模块学习，后续的解码的数据与自学习模块的基线进行比对分析，形成安全白名单；
60.7)危险处理：如果步骤6)发现其中存在不安全的通信行为，通过保护层切断网络连接，同时对异常进行告警。
61.特别优选地，白名单生成单元101以自动化方式生成的白名单数据能够嵌入区块链中实现数据完整可信，通过可穷尽、有目的的方式，预防未知威胁。具体实施时，白名单生成单元101自主学习形成白名单，保证所保护的机器上只运行白名单中的程序。如果有人员执行白名单以外的程序(如系统后门、病毒、勒索病毒、渗透工具)，则白名单生成单元101会报警或阻断。这样，基于可信技术的防护机制使系统能够抵御广泛的攻击。即使该入侵是从未发生过的新型攻击，特征也从未被定义过，白名单生成单元101或其他具有类似功能的单
元依然会因为其行为“违规”而被阻止。
62.通过该配置方式，即通过将白名单与ueba技术的结合而使得本持续免疫系统能够利用大数据分析白名单异常行为，进而极大程度地降低了用户画像技术对大数据集规模的需求。更精简聚焦的用户画像有助于减小误判、提高辨识速度，实现对威胁的精准感知。在威胁发生之前，抢先发送分级警报通知。持续免疫系统的可信防护模块1利用人工智能机器学习技术从白名单中发现系统弱点；主动对抗模块针对所感知、预判的未来威胁自动制定主动对抗策略；主动对抗模块还能利用容器技术，在入侵者采取下一步攻击手段之前，在其攻击路径上高速分发安全措施，实现第一时间响应处置；主动对抗模块针对入侵发生的具体场景，利用大数据分析手段，智能生成威胁情报，为安全运维人员及时决策并实施人工处置提供支持，以更了解黑客及其攻击的下一步行为。
63.根据一个优选实施方式，所述可信防护模块1还包括白名单数据库单元。在所述用户实体行为分析单元102能够将所监测的异常情况发送至主动对抗模块的情况下，所述白名单数据库单元被配置为至少能够采集多个不同用户的白名单而形成一个新的白名单数据库，以通过所述白名单数据库对所述用户实体行为分析单元102所监测为异常状态的白名单进行分析比对，以降低所述用户实体行为分析单元102的误报率。
64.若用户实体行为分析单元102通过所述白名单数据库对所述用户实体行为分析单元102所监测为异常状态的白名单进行分析比对发现异常状态的白名单并不在白名单数据库的范围内，用户实体行为分析单元102向白名单生成单元101发送立刻更新相应用户服务器的白名单的指令。白名单生成单元101获取上述指令立刻更新相应服务器的白名单。
65.通过该配置方式，白名单生成单元101能够根据安全态势的变化持续地更新白名单，以避免从用户实体行为分析单元102发现行为异常到管理员响应的这一段时间间隔里发生安全入侵的情形。
66.当白名单策略确认后，每次加载进程时的文件数据都会被记录下来，同白名单的记录相比对，以实现进程加载过程中的安全防护。但如此一来，虽然规避了黑名单机制的缺点，但白名单机制却产生了两个另外的弊端，使这个机制现在显得虚胖：
67.首先，每次进程启动都会记录下一批新的检测结果，用于和白名单的记录相对比。随着时间的推移，数据量会逐渐变得非常庞大，不但调用数据会越来越缓慢，还会给本地主机数据库带来沉重的负担；其次，当白名单策略确认后，后续进程只要与白名单不符，系统就会告警——但实际上，很多不符是因为系统的升级、应用的更新、网络的变化等良性的变化引起的，并没有恶意代码在攻击主机，这样就造成了很高的虚警率。管理员若是逐个排查则虚耗时间，若是置之不理，白名单告警机制则流于形式，一旦真的安全威胁入侵用户，系统无法为用户提供有效地安全防护。对此，本发明给出的解决方案，使白名单机制进一步智能化，从而在更多领域得以应用。
68.首先，在针对数据量庞大这一问题上，采取分布式异步存储的方式。分布式就是指数据和程序可以不位于一个服务器上，而是分散到多个服务器。通过该配置方式，不但克服了传统集中式系统的中心主机资源紧张与响应瓶颈的问题，还保证了数据的安全性和一致性。同时，在管理使用这些数据时，系统会在缓存中保存一份同样的数据，这样在处理时就可以直接调用缓存的数据，不再需要去数据库中获取，这样做极大地提高了处理效率。另外，即便缓存数据被清零，事实上也影响不大，因为数据在服务器中还存有备份。而在针对
过高的虚警率这个问题上，白名单数据库单元能够根据网络、社区等地的数据形成一个白名单数据库。
69.优选地，可信防护模块1至少能够搜集多个大致相同的领域或应用场景的用户的白名单，并对多个白名单进行整合，以形成能够用于该领域或应用场景的白名单数据库。
70.优选地，白名单数据库为经多个不同用户使用并确认安全的白名单内容。优选地，若某个进程或程序在超过第一阈值的用户上运行能够可信地运行，则该进程或程序能够被添加进入上述白名单数据库。优选地，第一阈值可以根据实际场景需求灵活地设定。
71.优选地，用户实体分析单元通过一次或者多次将不属于白名单内的异常行为与白名单数据库进行比对。优选地，若不属于白名单内的异常行为在白名单数据库的可信名单的范围内，则用户实体分析单元将上述不属于白名单内的异常行为判定为可信行为，从而减少错误预警而提升用户实体分析单元进行异常检测的精准度。
72.例如，在实际使用中，如果用户的生产环境出现异常，比如机器a有个异常，但是通过白名单数据库发现这个异常在其他用户的生产环境中也存在，并且是可信的，那么用户实体分析单元就判定它是良性的异常，进而用户实体分析单元不会报警，也不会将该行为发送至主动对抗模块。用户实体分析单元通过一次或多次将类似异常与白名单数据库进行对比，若最后还有未知的异常，用户实体分析单元则判定该异常是明确的警报，进而迅速地将该行为发送至主动对抗模块，主动对抗模块立即进行相应的应对。
73.优选地，本安全防护系统的白名单能够由白名单生成单元101自动生成。优选地，白名单生成单元101还可以根据实景场景的需求以手动添加的方式创建白名单。通过该配置方式，可以极大地提升白名单在日常使用中的灵活性和便利性。
74.其次，每次进程启动白名单生成单元101都会记录下用户实体行为分析单元102所监测得到的一批新的检测结果，用于和白名单的记录相对比。随着时间的推移，数据量会逐渐变得非常庞大，不但白名单生成单元101调用数据会越来越缓慢，还会给本地主机数据库带来沉重的负担。在针对数据量庞大这一问题上，白名单生成单元101采取分布式异步存储的方式。分布式就是指白名单上的数据和程序可以不位于一个服务器上，而是分散到多个服务器。优选地，上述服务器可以是同一用户的不同服务器，也可以是其他用户或者平台的服务器。优选地，白名单生成单元101所生成的不同时期的白名单可以由不同的服务器轮流地保存。通过该配置方式，不但克服了传统集中式系统的中心主机资源紧张与响应瓶颈的问题，还保证了数据的安全性和一致性。同时，在管理使用这些数据时，系统会在缓存中保存一份同样的数据，这样在处理时就可以直接调用缓存的数据，不再需要去数据库中获取，这样做极大地提高了白名单的处理效率。另外，即便缓存数据被清零，事实上也影响不大，因为数据在服务器中还存有备份。
75.根据一个优选实施方式，所述主动对抗模块至少能够获取所述用户实体行为分析单元102所监测出的异常活动，并根据基于所述主动对抗模块所监控的安全态势生成与用户的安全需求相匹配的应对策略。
76.优选地，用户实体行为分析单元102能够将所监控得出的异常活动发送至主动对抗模块。
77.优选地，主动对抗模块能够根据用户实体行为分析单元102所发送的异常活动自主地进行对抗。
78.例如，用户实体行为分析单元102能够发现某个病毒或程序因不在白名单上而将其自动隔离。同时，用户实体行为分析单元102在检测到大量445端口的异常扫描时，用户实体行为分析单元102能够将所检测到的上述异常发送至主动对抗模块。主动对抗模块能够自动调整防火墙规则，以阻断病毒进一步传播的通路。
79.根据一个优选实施方式，所述主动对抗模块至少能够获取所述用户实体行为分析单元102所监测出的异常活动，并根据基于所述主动对抗模块所监控的安全态势生成与用户的安全需求相匹配的应对策略。
80.主动对抗模块针对所感知、预判的威胁自动制定主动对抗策略。利用容器技术，在入侵者采取下一步攻击手段之前，在扫描和初始阶段实现第一时间响应处置。针对入侵发生的具体场景，利用大数据分析手段，智能生成威胁情报，为安全运维人员及时决策并实施人工处置提供支持。由于主动对抗模块所监控的安全态势生成与用户的安全需求相匹配的应对策略为现有技术，而本领域技术人员容易获取该技术，因此此处不再对该技术的细节进行描述。
81.根据一个优选实施方式，所述用户实体行为分析单元102包括：
82.样本数据获取子单元102a被配置为能够获取关联于用户实体行为的系统操作日志源样本数据；
83.样本数据解析子单元102b被配置为能够根据建立的日志模板，对所述系统操作日志源样本数据进行解析处理以得到关键日志样本数据；
84.样本数据分类单元102c被配置为能够按照建立的样本数据分类维度，对所述关键日志样本数据进行分类处理以得到若干类关键日志有效样本数据；
85.模型建立单元102d用于根据所述若干类关键日志有效样本数据以及机器学习训练模型，建立异常侦测模型。
86.优选地，用户实体行为可以包括：时间、地点、人物、交互和交互的内容。例如用户搜索：在什么时间、什么平台上、具体的id和搜索的内容是什么。
87.本实施例中，可以通过在样本数据源上加载监测代码(或者又称之为埋点)，通过该监测代码监测用户是否点击注册按钮、用户所下载的订单等。
88.本实施例中，系统操作日志源样本数据的存在形式不做任何限定，比如为txt文档，或者列表方式。本实施例中，所述系统操作日志源样本数据存储在用户所使用的各种终端上。本实施例中，考虑到所述系统操作日志源样本数据可能是大量的非结构化样本数据，直接使用会导致样本数据处理的效率低下，消耗大量的算力，为此，本实施例中，在获取到所述系统操作日志源样本数据进行预处理或者预分析，从而实现结构化的目的，后续步骤直接使用结构化的所述系统操作日志源样本数据，从而提高样本数据处理的效率，节省算力。本实施中，所述日志模板中定义了一系列的解析规则比如解析的日志关键词、解析的样本数据步长、样本数据的格式或者结构，以对所述系统操作日志源样本数据进行解析处理以得到关键日志样本数据。或者，所述日志模板又可以称之为样本数据解析模型。本实施例中，由于用户所使用的终端从产品形态上千差万别，或者所述终端的操作系统也各不相同，为此，对应每一类产品形态，或者每一类操作系统，分别配置一种日志模板。本实施例中，如前所述，用户实体行为导致的所述用户实体行为通常包括如下五个维度：时间、地点、人物、交互、交互的内容，由此导致关键日志样本数据实际上也可以包括该五个维度。
89.另外，如前所述，用户实体行为发生的终端具有各种产品形态，或者其具有不同的操作系统，从而导致关键日志样本数据实际上也具有这些方面的维度。因此，本实施例中，为了有效地反映用户实体行为，可以通过步骤s103的多个样本数据分类维度，对所述关键日志样本数据进行分类处理以得到若干类关键日志有效样本数据，关键日志有效样本数据比如又称之为log key。
90.本实施例中，可以通过根据所述若干类关键日志有效样本数据对神经网络模型训练从而建立异常监测模型。具体地，所述神经网络模型不做特别限定，比如可以为lstm。该异常侦测模型在进行异常侦测时，可以基于密度的方法或者基于距离的方法。
91.根据一个优选实施方式，所述样本数据获取子单元102a获取关联于用户实体行为的系统操作日志源样本数据的方法包括：对从样本数据源获取到的关联于用户实体行为的系统操作日志源样本数据进行封装处理而得到事件，以所述事件为样本数据单元获取关联于用户实体行为的系统操作日志源样本数据。
92.系统操作日志源样本数据直接关联于所述用户实体行为，换言之，通过系统操作日志源样本数据可以间接反映出所述用户实体行为。
93.本实施例中，可以通过在样本数据源上加载监测代码，通过该监测代码监测用户是否点击注册按钮、用户所下载的订单等。
94.根据一个优选实施方式，所述样本数据解析子单元102b根据建立的日志模板并对所述系统操作日志源样本数据进行解析处理以得到关键日志样本数据的方法包括：根据所述系统操作日志源样本数据的消息类型，建立多个日志模板；根据建立的多个日志模板，对所述系统操作日志源样本数据进行解析处理以得到关键日志样本数据。
95.本实施中，所述日志模板中定义了一系列的解析规则比如解析的日志关键词、解析的样本数据步长、样本数据的格式或者结构，以对所述系统操作日志源样本数据进行解析处理以得到关键日志样本数据。所述日志模板可以称之为样本数据解析模型。
96.本实施例中，由于用户所使用的终端从产品形态上千差万别，或者所述终端的操作系统也各不相同，为此，对应每一类产品形态，或者每一类操作系统，分别配置一种日志模板。
97.根据一个优选实施方式，基于可信计算的持续免疫安全管控方法的步骤为：通过可信防护模块1结合用户的运维策略自动生成符合操作规范的白名单，以建立对用户的合法访问策略与操作行为策略；通过区块链防篡改模块2获取所述白名单，并将所述白名单加入区块链中，以防止所述白名单被非法篡改；通过主动对抗模块对所述白名单内的进程或程序进行监控和分析，所述可信防护模块1基于所述主动对抗模块所监控的安全态势持续地更新白名单；所述主动对抗模块基于所监控的安全态势迅速地调整用户的逻辑拓扑结构，并对监控到的异常活动进行处理，以实现对所有未知威胁的自组织对抗，从而对未知威胁产生持续的免疫力。
98.根据一个优选实施方式，所述可信防护模块1结合用户的运维策略自动生成符合操作规范的白名单以建立对用户的合法访问策略与操作行为策略的步骤为：白名单生成单元101基于不同用户的应用场景和/或所述主动对抗模块所监控的安全态势生成与该用户的安全需求相匹配的白名单；用户实体行为分析单元102对用户运行白名单上的进程或程序进行监控分析，以监测用户运行所述白名单的进程或程序是否存在异常，以及将所监控
得出用户的安全态势发送至主动对抗模块。优选地，用户可以包括但不限于：服务器、信息系统等。
99.优选地，区块链防篡改模块2能够将白名单布置于区块链上，以使得白名单无法被安全威胁所篡改。安全威胁若想要篡改上述白名单，就要做到同时攻破所有的区块链节点进行更改，并且还要跑得过区块链的共识速度。通过该配置方式，区块链防篡改模块2利用高速区块链技术存储审计信息、白名单信息等，以防止行为记录被篡改。
100.优选地，用户实体行为分析单元102能够结合机器学习技术，对用户的服务器进行持续分析。优选地，用户实体行为分析单元102能够采集充分的数据和适当的分析，以发现横向移动、数据传输、持续回连等异常行为。
101.优选地，系统进程白名单为本安全防护系统能够信任的系统进程。
102.优选地，用户行为白名单可以为用户被允许运行的行为。
103.优选地，用户实体行为分析单元102可以引入全时空上下文，结合历史基线和群组对比，将告警呈现在完整的全时空上下文中，无需花费时间手动关联，降低验证、调查、响应的时间。优选地，当攻击事件发生时，用户实体行为分析单元102可以连接起事件、实体、异常等，以掌握整个攻击事件的全貌而快速进行验证和事故响应。优选地，用户实体行为分析单元102可以通过无监督、半监督机器学习以自动化构建行为基线。通过该配置方式，用户实体行为分析单元102可以从行为数据中捕捉人类无法感知、无法认知的细微之处，找到潜藏在表象之下异常之处，即从属于白名单范围内的正常用户中发现异常的恶意用户，从用户的正常行为中发现异常的恶意行为；同时机器学习驱动的行为分析能够避免人工设置阈值的困难和无效。
104.优选地，用户实体行为分析单元102能够利用从事件、告警、异常、访问中抽取出的实体及实体间关系构建成网络图谱。
105.优选地，用户实体行为分析单元102所接入的数据源主要包括主机、终端、网络设备、安全设备、业务系统、应用系统、物理安全系统等。
106.优选地，接入的数据源格式主要包括日志、网络流量两大类，以及组织内各种上下文数据。
107.优选地，用户实体行为分析单元102结合企业业务系统设置，利用ueba技术对用户以及系统做ai画像，根据所形成的用户画像去判断用户以及信息系统是否存在异常操作及异常进程，并对异常做进一步监控和风险预警。
108.优选地，画像可以包括但不限于：经常使用的用户名id、应用名称，最多占用的系统资源等。通过画像描述，对比识别用户行为，快速确定用户的异常操作，利用行为分析预判入侵路径，获得精准威胁感知，在威胁发生之前，抢先发送分级警报通知。
109.需要注意的是，上述具体实施例是示例性的，本领域技术人员可以在本发明公开内容的启发下想出各种解决方案，而这些解决方案也都属于本发明的公开范围并落入本发明的保护范围之内。本领域技术人员应该明白，本发明说明书及其附图均为说明性而并非构成对权利要求的限制。本发明的保护范围由权利要求及其等同物限定。
110.本发明说明书包含多项发明构思，申请人保留根据每项发明构思提出分案申请的权利。本发明说明书包含多项发明构思，诸如“优选地”、“根据一个优选实施方式”或“可选地”均表示相应段落公开了一个独立的构思，申请人保留根据每项发明构思提出分案申请
的权利。