(19)国家知识产权局 (12)发明 专利 (10)授权公告 号 (45)授权公告日 (21)申请 号 202210640329.9 (22)申请日 2022.06.08 (65)同一申请的已公布的文献号 申请公布号 CN 114745139 A (43)申请公布日 2022.07.12 (73)专利权人 深圳市永达电子信息股份有限公 司 地址 518057 广东省深圳市南 山区西丽 街 道科技北一路17号摩比天线大楼6楼 601-602室 (72)发明人 戚建淮　成飏　何润民　孙丁　 郑伟范　刘建辉　 (74)专利代理 机构 深圳市顺天达专利商标代理 有限公司 4 4217 专利代理师 高占元 (51)Int.Cl. H04L 9/32(2006.01) H04L 9/40(2022.01)(56)对比文件 CN 112887268 A,2021.0 6.01 CN 110661680 A,2020.01.07 CN 113225359 A,2021.08.0 6 CN 114221780 A,202 2.03.22 CN 103297440 A,2013.09.1 1 CN 109951491 A,2019.0 6.28 CN 105141604 A,2015.12.09 US 2018019 932 A1,2018.01.18 严彪等.基 于白名单机制的工控分级 入侵检 测算法. 《通信技 术》 .2018,(第04期), C. Cui等.Informati on Security Detection Technology for I ndustrial Control Equipment Model ing Generated by Excitati on Traversal Test Based o n Big Data. 《2021 IE EE Sixth I nternati onal Conference o n Data Science i n Cyberspace (DSC)》 .202 2, 审查员 刘珍 (54)发明名称 一种基于类脑存算的网络行为检测方法及 装置 (57)摘要 本发明公开了一种基于类脑存算的网络行 为检测方法及装置， 该方法包括： 建立可信业务 行为的类脑存算一体映射表； 依据所述类脑存算 一体映射表进行可信业务判别。 本发 明的有益效 果： 将网络系统中合法的业务行为映射为网络中 的信息数据， 从而完成对合法业务行为到网络对 应数据的映射。 并通过对 此数据信息流的特征提 取， 构建以此为基础的合法用户行为存算一体表 空间映射， 将复杂的业务模式匹配过程转化为简 单的查表计算， 极大减少了安全 管控中业务比对 与判别的算力开销， 使 得对于网络行为的实时管 控成为可能， 从而在根本上实现业务系统的细粒 度安全管控。 权利要求书3页 说明书9页 附图4页 CN 114745139 B 2022.10.28 CN 114745139 B 1.一种基于类脑存算的网络行为检测方法， 其特 征在于， 包括： 建立可信业 务行为的类脑存算 一体映射表； 依据所述类脑存算 一体映射表进行 可信业务判别； 所述建立可信业 务行为的类脑存算 一体映射表， 包括： 按照可信业 务行为建立 合法用户的白操作存算 一体表的函数映射关系； 依据所述映射关系构建类脑存算 一体映射表； 所述按照可信业 务行为建立 合法用户的白操作存算 一体表的函数映射关系， 包括： 将业务分解为具体的子行为； 将所述子行为映射 为具体的网络信息数据流； 根据网络模型、 层次与协议分析所述网络信 息数据流中包含的数据块个数以完成系统 业务到网络数据的映射； 所述根据网络模型、 层次与协议分析所述网络信 息数据流中包含的数据块个数以完成 系统业务到网络数据的映射中： 所述数据块的个数在数据链路层为数据帧的个数， 或者在网络层为 IP包的个数； 所述依据所述映射关系构建类脑存算 一体映射表， 包括： 将对应的行为存储于表中的行向量， 将所述行为对应的网络数据信 息流中所包含的特 征散列值与对应的辅助位置信息、 数据块个数、 及预设的可选扩展信息存储于对应可信行 为的表项所对应的列值中； 依照预设的协议与 数据报文格式， 找出网络数据信 息流中所包含的数据块在头部字段 的不变特征， 然后对于数据块中数据字段部 分通过预设的A I机器学习的方式找出其中不变 的数据特征， 并将所述头部字段的不变特征及所述数据字段的不变特征进 行连接以构成报 文的不变特 征； 记录所述 不变特征在数据块中对应的位置及长度以作为定位辅助信息； 将所述数据信息流中每个数据块中的不变特征进行连接以构成白业务在网络数据端 的不变信息特 征链； 将每一白行为对应的不变信 息特征链进行散列计算， 生成可信业务的不变特征链散列 值， 然后存储在可信业务表中对应的白行为项中， 并将对应的不变特征链散列值及定位辅 助信息连接起来进行存储； 逐条完成所述可信业务所有的白行为项， 将对应的数据块的数 量、 不变特征链散列值、 对应的定位辅助信息及需要的扩展信息存储在对应的可信业务表 中。 2.根据权利要求1所述的网络行为检测方法， 其特征在于， 所述依据所述类脑存算一体 映射表进行 可信业务判别， 包括： 根据业务类型从所述可信业 务表中取 得相关数据； 从所述相关数据中取得待检业务的操作 行为对应的网络数据信 息流， 分析网络数据信 息流中所包 含的数据块个数以获得待检数据块个数； 判断所述待检数据块个数与所述类脑存算 一体映射表中对应数据块个数 是否相同； 若所述待检数据块个数与 所述类脑存算一体映射表中对应数据块个数相同， 则根据 所 述类脑存算一体映射表中对应的列值中定位辅助信息截取对应的待检数据信息流中数据 块的特征信息， 并将所述特 征信息进行 连接以形成所述数据信息流的待检特 征信息；权　利　要　求　书 1/3 页 2 CN 114745139 B 2对待检特征信息按照与所述类脑存算一体映射表同样的hash算法生成对应的待检散 列值； 将所述待检散列值与 所述类脑存算一体映射表中的散列值进行对比， 如果相同则为可 信业务操作， 否则表示 业务中含有非法信息或被篡改， 以此完成对网络系统中业 务的管控。 3.一种基于类脑存算的网络行为检测装置， 其特 征在于， 包括： 表建立模块， 用于建立可信业 务行为的类脑存算 一体映射表； 判别模块， 用于依据所述类脑存算 一体映射表进行 可信业务判别； 所述表建立模块包括： 映射关系建立模块， 用于按照可信业务行为建立合法用户的白操作存算一体表的函数 映射关系； 表构建模块， 用于依据所述映射关系构建类脑存算 一体映射表； 所述映射关系建立模块包括： 分解子模块， 用于将业 务分解为具体的子行为； 映射子模块， 用于将所述子行为映射 为具体的网络信息数据流； 分析子模块， 用于根据网络模型、 层次与协议分析所述网络信息数据流中包含的数据 块个数以完成系统业务到网络数据的映射； 其中， 所述数据块的个数在数据链路层为数据 帧的个数， 或者在网络层为 IP包的个数； 所述表构建模块包括： 存储子模块， 用于将对应的行为存储于表中的行向量， 将所述行为对应的网络数据信 息流中所包含的特征散列值与对应的辅助位置信息、 数据块个数、 及预设的可选扩展信息 存储于对应可信行为的表项所对应的列值中； 特征构成子模块， 用于依照预设的协议与数据报文格式， 找出网络数据信息流中所包 含的数据块在头部字段的不变特征， 然后对于数据块中数据字段部 分通过预设的A I机器学 习的方式找出其中不变的数据特征， 并将所述头部字段的不变特征及所述数据字段的不变 特征进行连接以构成报文的不变特 征； 定位辅助模块， 用于记录所述不变特征在数据块中对应的位置及长度以作为定位辅助 信息； 特征链构 成子模块， 用于将所述数据信 息流中每个数据块中的不变特征进行连接以构 成白业务在网络数据端的不变信息特 征链； 散列计算子模块， 用于将每一 白行为对应的不变信息特征链进行散列计算， 生成可信 业务的不变特征链散列值， 然后存储在可信业务表中对应的白行为项中， 并将对应的不变 特征链散列值及定位辅助信息连接起来进行存储； 逐条完成所述可信业务所有的白行为 项， 将对应的数据块的数量、 不变特征链散列值、 对应的定位辅助信息及需要的扩展信息利 用存储子模块存 储在对应的可信业 务表中。 4.根据权利要求3所述的网络行为检测装置， 其特 征在于， 所述判别模块包括： 数据取得子模块， 用于根据业 务类型从所述可信业 务表中取 得相关数据； 数据块获得子模块， 用于从所述相关数据中取得待检业务的操作行为对应的网络数据 信息流， 分析网络数据信息流中所包 含的数据块个数以获得待检数据块个数； 判断子模块， 用于判断所述待检数据块个数与 所述类脑存算一体映射表中对应数据块权　利　要　求　书 2/3 页 3 CN 114745139 B 3