计算机技术与网络安全研究
             Computer Technology and Cyber Security Research



            况下，相关异常可被快速传输智能检测区域，以此保证处理工作的效率，这也对
            智能检测模块的工作提出了较高要求。拟通过降维训练的方式提升此模块工作的
            灵敏性，所选维度为入侵威胁的特异性，如各类流动于网络中的木马病毒，其特
            异性包括可自动运行、非完整程序、可远程操控、可自动恢复、可开启特殊端口
            这几个方面。

                 分别以 A、F、G、H、J 代表作为 5 个维度的特异性代称。在设定智能终端
            工作程序时，可广泛收集各类木马病毒的基本信息，了解其特异性分布态势，数
            据样本越多，特异性的表现越明显，分别以 A0、F0、G0、H0、J0 代表上述 5 个

            维度的最终分析结果，将其代入计算机信息库中形成记忆，据此对智能检测结果
            进行训练，只以上述 5 个维度作为训练目标并设定工作方法。实际工作中，大部
            分木马病毒可能不具备上述 5 个特异性表现，只满足 1 ～ 4 个特异性表现，此类
            木马病毒在尝试侵入计算机时，被神经元感知，并提供给智能检测模块，智能检
            测模块对木马病毒的特异性表现进行分析，并匹配信息库。

                 假定入侵木马（或疑似木马）特异性表现为“[A1、F2、G-3、H2、J0]”。
            可知其在 5 个维度中，一个维度 [J0] 信息与记忆库信息完全相同，一个 [A1] 与信
            息库信息高度相似，另外这 3 个维度信息也有一定的相似性，此时不能完全明确

            地将其认定为“木马”，可予以隔离并发出警报、生成日志和大数据资料，由人
            员进行人工分析。如果入侵木马（或疑似木马）特异性表现为“[A0、F1、G0、
            H0、J0] 或 [A0、F0、G0、H0、J0]”。可知其 5 个维度中至少 4 个维度满足木马
            病毒的特异性表现，此时可认定其属于木马程序，可直接予以粉碎，并生成日志
            和大数据资料、发出警报，由人员进行进一步处理。原则上强调收集有关木马病

            毒或其他入侵威胁在网络层面的特异性表现，将其分为若干具有代表性的维度信
            息，再对计算机智能检测结构进行降维训练（即各类具有代表性的维度信息）。
            使其能够在具体工作中根据入侵风险的特异性表现，快速完成与信息库记忆信息

            的对照、计算，评估入侵风险的特异性与信息记忆特异性的相似性，根据结果进
            行风险隔离或粉碎处理。所有信息均同步生成处理日志，并对确定风险的特异性
            表现进行收集，生成大数据后继续代入本系统中丰富训练样本，以此提升智能检
            测结构工作的准确性。
                 （三）模拟实验

                 建立一个模拟实验通过调整计算机参数的方式模拟网络攻击，评估新系


             198
             198