CN116340935B - 一种基于多元通讯的主机脆弱性轻量化安全检测方法及系统 - Google Patents

Abstract

本发明公开了一种基于多元通讯的主机脆弱性轻量化安全检测方法及系统。获得多元主机信息。根据分块检测树对多元静态信息进行局部检测，判断静态安全。根据多元动态信息组中第一次检测到的数据和第二次检测到的数据的变化情况，判断是否出现异常情况。将所述多元动态信息组的变化情况输入预测神经网络，预测是否为安全状态。通过构建二维数组同时拟合曲线的方式，使得再进行主机安全检测时不仅考虑变化情况，还考虑多元数据间的联系和波动状态来进行安全状态的判断。同时使用预测的方式，若预测到之后存在不安全则进行连续时间的检测，若存在安全则进行固定间隔时间的检测，使得能够减轻主机监测的资源，同时准确的对安全性进行判断。

Description

一种基于多元通讯的主机脆弱性轻量化安全检测方法及系统

技术领域

本发明涉及计算机技术领域，具体而言，涉及一种基于多元通讯的主机脆弱性轻量化安全检测方法及系统。

背景技术

目前，对于主机的安全监测主要从静态和动态两方面进行判断。在动态判断时如果仅仅通过一些异常，如流量突然过大的情况，一方面可能是有其他传输接收文件，一方面也有可能为正常发送接收的文件，所以不能简单的进行判断。同时由于实时对主机进行动态监测会使得主机负载过大，不实时又会减轻安全性，所以需要两者结合进行主机安全监测。

发明内容

本发明的目的在于提供了一种基于多元通讯的主机脆弱性轻量化安全检测方法及系统，用以解决现有技术中存在的上述问题。

第一方面，本发明实施例提供了一种基于多元通讯的主机脆弱性轻量化安全检测方法，包括：

获得多元主机信息；所述多元主机信息包括多元静态信息和三次检测到的多元动态信息组；

根据分块检测树对多元静态信息进行局部检测，判断静态安全；

根据多元动态信息组中第一次检测到的数据和第二次检测到的数据的变化情况，判断是否出现异常情况；所述第一次检测的时间比第二次检测的时间距离当前时间更近；

将所述多元动态信息组的变化情况输入预测神经网络，预测是否为安全状态；

若预测为不安全状态，将不安全类别对应的第三次检测到的数据和第二次检测到的数据，进行变化情况检测，判断是否出现异常情况；所述第二次检测的时间比第三次检测的时间距离当前时间更近；

若出现异常情况，记录不安全状态。

可选的，所述根据多元动态信息组中第一次检测到的数据和第二次检测到的数据的变化情况，判断是否出现异常情况，包括：

根据多元动态信息组中第一次检测到的数据和第二次检测到的数据的变化情况，得到多个变化值；所述变化值表示两次检测的变化情况；

将多个变化值进行归一化，得到归一变化值；

构造二维数组；所述二维数组的横坐标表示变化类别；所述二维数组的纵坐标表示变化程度；所述二维数组中的值为零；

判断所述归一变化值所在的变化程度，将二维数组中变化类别对应的变化程度设为1；

根据所述二维数组，判断是否出现异常情况。

可选的，所述根据所述二维数组，判断是否出现异常情况，包括：

根据所述二维数组进行纵向划分，将变化程度大于阈值的数据，得到高变化数据；

将高变化数据进行拟合，得到安全曲线；

获得规定安全曲线；所述规定安全曲线表示为异常数据且为正常操作引起的变化的数据分布拟合的曲线；

根据安全曲线和规定安全曲线，判断是否出现异常情况。

可选的，所述根据安全曲线和规定安全曲线，判断是否出现异常情况，包括：

根据安全曲线和规定安全曲线，进行相差面积求取，得到相差面积；

若所述相差面积大于相差阈值，表示出现异常情况；

若所述相差面积小于或等于相差阈值，表示未出现异常情况。

可选的，所述将所述多元动态信息组的变化情况输入预测神经网络，预测是否为安全状态，包括：

将出现异常情况的多元动态信息组的变化情况输入第一神经网络，预测是否存在危险；

将不出现异常情况的多元动态信息组的变化情况输入第二神经网络，预测是否存在危险；

将所述第一神经网络的输出和第二神经网络的输出同时输入第三神经网络，得到预测安全向量；所述预测安全向量中的值表示对应的安全类别安全的概率。

可选的，所述预测神经网络训练，包括：

获得历史主机监测数据和对应的标注主机安全情况；所述历史主机监测数据包括历史主机监测数据中第一次和第二次检测到的数据的变化情况，与，第二次和第三次检测到的数据的变化情况；所述标注主机安全情况为第三次检测到的数据时对应的主机安全情况；

将历史主机监测数据输入预测神经网络，得到历史预测安全向量；

将所述历史预测安全向量与标注主机安全情况求取损失，得到损失值；

获得图像校正模型当前的训练迭代次数以及预先设定的所述图像校正模型训练的最大迭代次数；

当所述损失值小于或等于阈值或训练迭代次数达到所述最大迭代次数时停止训练，得到训练好的图像校正模型。

可选的，所述根据分块检测树对多元静态信息进行局部检测，判断静态安全，包括：

构建分块检测树；所述分块检测树的根部接受检测位置；

按照根部信息控制子树进行局部检测数据。

第二方面，本发明实施例提供了一种基于多元通讯的主机脆弱性轻量化安全检测系统，包括：

获取模块：获得多元主机信息；所述多元主机信息包括多元静态信息和三次检测到的多元动态信息组；

静态检测模块：根据分块检测树对多元静态信息进行局部检测，判断静态安全；

动态检测模块：根据多元动态信息组中第一次检测到的数据和第二次检测到的数据的变化情况，判断是否出现异常情况；所述第一次检测的时间比第二次检测的时间距离当前时间更近；

预测模块：将所述多元动态信息组的变化情况输入预测神经网络，预测是否为安全状态；

更新预测情况：若预测为不安全状态，将不安全类别对应的第三次检测到的数据和第二次检测到的数据，进行变化情况检测，判断是否出现异常情况；所述第二次检测的时间比第三次检测的时间距离当前时间更近；

记录模块：若出现异常情况，记录不安全状态。

可选的，所述根据多元动态信息组中第一次检测到的数据和第二次检测到的数据的变化情况，判断是否出现异常情况，包括：

根据多元动态信息组中第一次检测到的数据和第二次检测到的数据的变化情况，得到多个变化值；所述变化值表示两次检测的变化情况；

将多个变化值进行归一化，得到归一变化值；

构造二维数组；所述二维数组的横坐标表示变化类别；所述二维数组的纵坐标表示变化程度；所述二维数组中的值为零；

判断所述归一变化值所在的变化程度，将二维数组中变化类别对应的变化程度设为1；

根据所述二维数组，判断是否出现异常情况。

可选的，所述根据所述二维数组，判断是否出现异常情况，包括：

根据所述二维数组进行纵向划分，将变化程度大于阈值的数据，得到高变化数据；

将高变化数据进行拟合，得到安全曲线；

获得规定安全曲线；所述规定安全曲线表示为异常数据且为正常操作引起的变化的数据分布拟合的曲线；

根据安全曲线和规定安全曲线，判断是否出现异常情况。

相较于现有技术，本发明实施例达到了以下有益效果：

本发明实施例还提供了一种基于多元通讯的主机脆弱性轻量化安全检测方法和系统，所述方法包括：获得多元主机信息。所述多元主机信息包括多元静态信息和三次检测到的多元动态信息组。根据分块检测树对多元静态信息进行局部检测，判断静态安全。根据多元动态信息组中第一次检测到的数据和第二次检测到的数据的变化情况，判断是否出现异常情况。所述第一次检测的时间比第二次检测的时间距离当前时间更近。将所述多元动态信息组的变化情况输入预测神经网络，预测是否为安全状态。若预测为不安全状态，将不安全类别对应的第三次检测到的数据和第二次检测到的数据，进行变化情况检测，判断是否出现异常情况。所述第二次检测的时间比第三次检测的时间距离当前时间更近。若出现异常情况，记录不安全状态。

先获得第一次检测数据和第二次检测数据变化情况所得到的安全状态判断。通过构建二维数组同时拟合曲线的方式，使得再进行主机安全检测时不仅考虑变化情况，还考虑多元数据间的联系和波动状态来进行安全状态的判断。同时使用预测的方式，间隔一定时间的对数据进行检测，若预测到之后存在不安全则进行连续时间的检测，若存在安全则进行固定间隔时间的检测，使得能够减轻主机监测的资源，同时准确的对安全性进行判断。

附图说明

图1是本发明实施例提供的一种基于多元通讯的主机脆弱性轻量化安全检测方法流程图。

图2是本发明实施例提供的一种电子设备的方框结构示意图。

图中标记：总线500；接收器501；处理器502；发送器503；存储器504；总线接口505。

具体实施方式

下面结合附图，对本发明作详细的说明。

实施例1

如图1所示，本发明实施例提供了一种基于多元通讯的主机脆弱性轻量化安全检测方法，所述方法包括：

S101：获得多元主机信息。所述多元主机信息包括多元静态信息和三次检测到的多元动态信息组。

其中，多元静态信息包括身份认证、内存占比、关键软件包检查、匿名访问服务检查、权限检查。网络安全体检，支持防火墙检查、危险端口开放检查、DDoS攻击检查、内网访问服务检查等网络相关的安全事项检查。CPU负载情况、内存负载情况、公网出站负载情况、磁盘IO负载情况。所述多元动态信息包括异常进程数量、运行速度、是否连接、连接状态、连接端口、地址空间、系统调用情况、流量变化情况等信息。

S102：根据分块检测树对多元静态信息进行局部检测，判断静态安全。

S103：根据多元动态信息组中第一次检测到的数据和第二次检测到的数据的变化情况，判断是否出现异常情况。所述第一次检测的时间比第二次检测的时间距离当前时间更近。

S104：将所述多元动态信息组的变化情况输入预测神经网络，预测是否为安全状态。

其中，所述预测神经网络得到的为向量。向量中的其中一个元素表示主机各个位置的安全状态。

S105：若预测为不安全状态，将不安全类别对应的第三次检测到的数据和第二次检测到的数据，进行变化情况检测，判断是否出现异常情况。所述第二次检测的时间比第三次检测的时间距离当前时间更近。

S106：若出现异常情况，记录不安全状态。

可选的，所述根据多元动态信息组中第一次检测到的数据和第二次检测到的数据的变化情况，判断是否出现异常情况，包括：

根据检测到的多元动态信息组中第一次和第二次检测到的数据的变化情况，得到变化向量；所述变化向量中的值表示两次检测的变化情况。

其中，本实施例中，如第一次和第二次访问相同端口，变化向量中表示端口的变化值为1，表示有访问相同端口的存在，并记录下相同端口的端口号。如变化向量中表示流量的变化值为第二次传输的流量除以第一次传输的流量之积。

将多个变化值进行归一化，得到归一变化值；

构造二维数组；所述二维数组的横坐标表示变化类别；所述二维数组的纵坐标表示变化程度；所述二维数组中的值为零。

其中，所述变化程度表示将变化值分为几个区间，如本实施例中将变化程度分为[0,0.2],(0.2,0.4],(0.4,0.6],(0.6,0.8],(0.8,1]。

判断所述归一变化值所在的变化程度，将二维数组中变化类别对应的变化程度设为1。

根据所述二维数组，判断是否出现异常情况。

通过上述方法，将一维信息转化为二维信息，能够更加准确快速的得到变化情况，从而判断是否出现异常。

可选的，所述根据所述二维数组，判断是否出现异常情况，包括：

根据所述二维数组进行纵向划分，将变化程度大于阈值的数据，得到高变化数据；

将高变化数据进行拟合，得到安全曲线；

获得规定安全曲线。所述规定安全曲线表示为异常数据且为正常操作引起的变化的数据分布拟合的曲线。

根据安全曲线和规定安全曲线，判断是否出现异常情况。

可选的，所述根据安全曲线和规定安全曲线，判断是否出现异常情况，包括：

根据安全曲线和规定安全曲线，进行相差面积求取，得到相差面积。

若所述相差面积大于相差阈值，表示出现异常情况。

其中，本实施例中相差阈值为0.1。

若所述相差面积小于或等于相差阈值，表示未出现异常情况。

通过上述方法，根据曲线来判断数据波动情况，从而得到数据的变化情况，从而判断异常。能够更加准确的获取数据之间的关联信息。防止因为一些操作导致主机获取的数据得到部分异常变化，从而进行误判的情况。

可选的，所述将所述多元动态信息组的变化情况输入预测神经网络，预测是否为安全状态，包括：

将出现异常情况的多元动态信息组的变化情况输入第一神经网络，预测是否存在危险。

其中，本实施例中所述第一神经网络为DNN(深度神经网络，Deep NeuralNetworks)。

将不出现异常情况的多元动态信息组的变化情况输入第二神经网络，预测是否存在危险。

其中，本实施例中所述第一神经网络为DNN(深度神经网络，Deep NeuralNetworks)。第一神经网络和第二神经网络神经元个数和层数不同。

将所述第一神经网络的输出和第二神经网络的输出同属输入第三神经网络，得到预测安全向量。所述预测安全向量中的值表示对应的安全类别安全的概率。

其中，本实施例中所述第三神经网络为DNN(深度神经网络，Deep NeuralNetworks)。第三神经网络，与，第一神经网络和第二神经网络神经元个数和层数不同。

通过上述方法，通过预测对异常情况进行判断，并且采用不同的网络，结合提取出的出现异常情况和提取出的不出现异常情况的信息，进行安全的预测。因为实时进行动态监测会耗费资源和时间，所以采用进行间隔时间采样数据，同时对未来安全情况进行一个预判作用。

可选的，所述预测神经网络训练，包括：

获得历史主机监测数据和对应的标注主机安全情况；所述历史主机监测数据包括历史主机监测数据中第一次和第二次检测到的数据的变化情况，与，第二次和第三次检测到的数据的变化情况；所述标注主机安全情况为第三次检测到的数据时对应的主机安全情况；

将历史主机监测数据输入预测神经网络，得到历史预测安全向量；

将所述历史预测安全向量与标注主机安全情况求取损失，得到损失值；

获得图像校正模型当前的训练迭代次数以及预先设定的所述图像校正模型训练的最大迭代次数；

当所述损失值小于或等于阈值或训练迭代次数达到所述最大迭代次数时停止训练，得到训练好的图像校正模型。

通过上述方法，动态接收到两次信息，未来防止出现情况，同时使用预测的方式，若预测到之后存在不安全则进行连续时间的检测，若存在安全则进行固定间隔时间的检测，使得能够减轻主机监测的资源，同时准确的对安全性进行判断，从而更加准确。

可选的，所述根据分块检测树对多元静态信息进行局部检测，判断静态安全，包括：

构建分块检测树；所述分块检测树的根部接受检测位置；

按照根部信息控制子树进行局部检测数据。

通过上述方法，静态信息直接检测，使得能够通过指令进行局部范围的数据检测。

实施例2

基于上述的一种基于多元通讯的主机脆弱性轻量化安全检测方法，本发明实施例还提供了一种基于多元通讯的主机脆弱性轻量化安全检测系统，所述系统包括：

获取模块：获得多元主机信息；所述多元主机信息包括多元静态信息和三次检测到的多元动态信息组；

静态检测模块：根据分块检测树对多元静态信息进行局部检测，判断静态安全；

动态检测模块：根据多元动态信息组中第一次检测到的数据和第二次检测到的数据的变化情况，判断是否出现异常情况；所述第一次检测的时间比第二次检测的时间距离当前时间更近；

预测模块：将所述多元动态信息组的变化情况输入预测神经网络，预测是否为安全状态；

更新预测情况：若预测为不安全状态，将不安全类别对应的第三次检测到的数据和第二次检测到的数据，进行变化情况检测，判断是否出现异常情况；所述第二次检测的时间比第三次检测的时间距离当前时间更近；

记录模块：若出现异常情况，记录不安全状态。

可选的，所述根据多元动态信息组中第一次检测到的数据和第二次检测到的数据的变化情况，判断是否出现异常情况，包括：

根据多元动态信息组中第一次检测到的数据和第二次检测到的数据的变化情况，得到多个变化值；所述变化值表示两次检测的变化情况；

将多个变化值进行归一化，得到归一变化值；

构造二维数组；所述二维数组的横坐标表示变化类别；所述二维数组的纵坐标表示变化程度；所述二维数组中的值为零；

判断所述归一变化值所在的变化程度，将二维数组中变化类别对应的变化程度设为1；

根据所述二维数组，判断是否出现异常情况。

可选的，所述根据所述二维数组，判断是否出现异常情况，包括：

根据所述二维数组进行纵向划分，将变化程度大于阈值的数据，得到高变化数据；

将高变化数据进行拟合，得到安全曲线；

获得规定安全曲线；所述规定安全曲线表示为异常数据且为正常操作引起的变化的数据分布拟合的曲线；

根据安全曲线和规定安全曲线，判断是否出现异常情况。

在此关于上述实施例中的系统，其中各个模块执行操作的具体方式已经在有关该方法的实施例中进行了详细描述，此处将不做详细阐述说明。

本发明实施例还提供了一种电子设备，如图2所示，包括存储器504、处理器502及存储在存储器504上并可在处理器502上运行的计算机程序，所述处理器502执行所述程序时实现前文所述一种基于多元通讯的主机脆弱性轻量化安全检测方法的任一方法的步骤。

其中，在图2中，总线架构(用总线500来代表)，总线500可以包括任意数量的互联的总线和桥，总线500将包括由处理器502代表的一个或多个处理器和存储器504代表的存储器的各种电路链接在一起。总线500还可以将诸如外围设备、稳压器和功率管理电路等之类的各种其他电路链接在一起，这些都是本领域所公知的，因此，本文不再对其进进一步描述。总线接口505在总线500和接收器501和发送器503之间提供接口。接收器501和发送器503可以是同一个元件，即收发机，提供用于在传输介质上与各种其他装置通信的单元。处理器502负责管理总线500和通常的处理，而存储器504可以被用于存储处理器502在执行操作时所使用的数据。

本发明实施例还提供了一种计算机可读存储介质，其上存储有计算机程序，该程序被处理器执行时实现前文所述一种基于多元通讯的主机脆弱性轻量化安全检测方法的任一方法的步骤以及上述的所涉及的数据。

在此提供的算法和显示不与任何特定计算机、虚拟系统或者其它设备固有相关。各种通用系统也可以与基于在此的示教一起使用。根据上面的描述，构造这类系统所要求的结构是显而易见的。此外，本发明也不针对任何特定编程语言。应当明白，可以利用各种编程语言实现在此描述的本发明的内容，并且上面对特定语言所做的描述是为了披露本发明的最佳实施方式。

在此处所提供的说明书中，说明了大量具体细节。然而，能够理解，本发明的实施例可以在没有这些具体细节的情况下实践。在一些实例中，并未详细示出公知的方法、结构和技术，以便不模糊对本说明书的理解。

类似地，应当理解，为了精简本公开并帮助理解各个发明方面中的一个或多个，在上面对本发明的示例性实施例的描述中，本发明的各个特征有时被一起分组到单个实施例、图、或者对其的描述中。然而，并不应将该公开的方法解释成反映如下意图：即所要求保护的本发明要求比在每个权利要求中所明确记载的特征更多的特征。更确切地说，如下面的权利要求书所反映的那样，发明方面在于少于前面公开的单个实施例的所有特征。因此，遵循具体实施方式的权利要求书由此明确地并入该具体实施方式，其中每个权利要求本身都作为本发明的单独实施例。

本领域那些技术人员可以理解，可以对实施例中的设备中的模块进行自适应性地改变并且把它们设置在与该实施例不同的一个或多个设备中。可以把实施例中的模块或单元或组件组合成一个模块或单元或组件，以及此外可以把它们分成多个子模块或子单元或子组件。除了这样的特征和/或过程或者单元中的至少一些是相互排斥之外，可以采用任何组合对本说明书(包括伴随的权利要求、摘要和附图)中公开的所有特征以及如此公开的任何方法或者设备的所有过程或单元进行组合。除非另外明确陈述，本说明书(包括伴随的权利要求、摘要和附图)中公开的每个特征可以由提供相同、等同或相似目的的替代特征来代替。

此外，本领域的技术人员能够理解，尽管在此的一些实施例包括其它实施例中所包括的某些特征而不是其它特征，但是不同实施例的特征的组合意味着处于本发明的范围之内并且形成不同的实施例。例如，在下面的权利要求书中，所要求保护的实施例的任意之一都可以以任意的组合方式来使用。

本发明的各个部件实施例可以以硬件实现，或者以在一个或者多个处理器上运行的软件模块实现，或者以它们的组合实现。本领域的技术人员应当理解，可以在实践中使用微处理器或者数字信号处理器(DSP)来实现根据本发明实施例的装置中的一些或者全部部件的一些或者全部功能。本发明还可以实现为用于执行这里所描述的方法的一部分或者全部的设备或者装置程序(例如，计算机程序和计算机程序产品)。这样的实现本发明的程序可以存储在计算机可读介质上，或者可以具有一个或者多个信号的形式。这样的信号可以从因特网网站上下载得到，或者在载体信号上提供，或者以任何其他形式提供。

应该注意的是上述实施例对本发明进行说明而不是对本发明进行限制，并且本领域技术人员在不脱离所附权利要求的范围的情况下可设计出替换实施例。在权利要求中，不应将位于括号之间的任何参考符号构造成对权利要求的限制。单词“包含”不排除存在未列在权利要求中的元件或步骤。位于元件之前的单词“一”或“一个”不排除存在多个这样的元件。本发明可以借助于包括有若干不同元件的硬件以及借助于适当编程的计算机来实现。在列举了若干装置的单元权利要求中，这些装置中的若干个可以是通过同一个硬件项来具体体现。单词第一、第二、以及第三等的使用不表示任何顺序。可将这些单词解释为名称。

Claims (10)

1.一种基于多元通讯的主机脆弱性轻量化安全检测方法，其特征在于，包括：

获得多元主机信息；所述多元主机信息包括多元静态信息和三次检测到的多元动态信息组；

根据分块检测树对多元静态信息进行局部检测，判断静态安全；

根据多元动态信息组中第一次检测到的数据和第二次检测到的数据的变化情况，判断是否出现异常情况；所述第一次检测的时间比第二次检测的时间距离当前时间更近；

将所述多元动态信息组的变化情况输入预测神经网络，预测是否为安全状态；

若预测为不安全状态，将不安全类别对应的第三次检测到的数据和第二次检测到的数据，进行变化情况检测，判断是否出现异常情况；所述第二次检测的时间比第三次检测的时间距离当前时间更近；

若出现异常情况，记录不安全状态。

2.根据权利要求1所述的一种基于多元通讯的主机脆弱性轻量化安全检测方法，其特征在于，所述根据多元动态信息组中第一次检测到的数据和第二次检测到的数据的变化情况，判断是否出现异常情况，包括：

根据多元动态信息组中第一次检测到的数据和第二次检测到的数据的变化情况，得到多个变化值；所述变化值表示两次检测的变化情况；

将多个变化值进行归一化，得到归一变化值；

构造二维数组；所述二维数组的横坐标表示变化类别；所述二维数组的纵坐标表示变化程度；所述二维数组中的值为零；

判断所述归一变化值所在的变化程度，将二维数组中变化类别对应的变化程度设为1；

根据所述二维数组，判断是否出现异常情况。

3.根据权利要求2所述的一种基于多元通讯的主机脆弱性轻量化安全检测方法，其特征在于，所述根据所述二维数组，判断是否出现异常情况，包括：

根据所述二维数组进行纵向划分，将变化程度大于阈值的数据，得到高变化数据；

将高变化数据进行拟合，得到安全曲线；

获得规定安全曲线；所述规定安全曲线表示为异常数据且为正常操作引起的变化的数据分布拟合的曲线；

根据安全曲线和规定安全曲线，判断是否出现异常情况。

4.根据权利要求3所述的一种基于多元通讯的主机脆弱性轻量化安全检测方法，其特征在于，所述根据安全曲线和规定安全曲线，判断是否出现异常情况，包括：

根据安全曲线和规定安全曲线，进行相差面积求取，得到相差面积；

若所述相差面积大于相差阈值，表示出现异常情况；

若所述相差面积小于或等于相差阈值，表示未出现异常情况。

5.根据权利要求1所述的一种基于多元通讯的主机脆弱性轻量化安全检测方法，其特征在于，所述将所述多元动态信息组的变化情况输入预测神经网络，预测是否为安全状态，包括：

将出现异常情况的多元动态信息组的变化情况输入第一神经网络，预测是否存在危险；

将不出现异常情况的多元动态信息组的变化情况输入第二神经网络，预测是否存在危险；

将所述第一神经网络的输出和第二神经网络的输出同时输入第三神经网络，得到预测安全向量；所述预测安全向量中的值表示对应的安全类别安全的概率。

6.根据权利要求5所述的一种基于多元通讯的主机脆弱性轻量化安全检测方法，其特征在于，所述预测神经网络训练，包括：

获得历史主机监测数据和对应的标注主机安全情况；所述历史主机监测数据包括历史主机监测数据中第一次和第二次检测到的数据的变化情况，与，第二次和第三次检测到的数据的变化情况；所述标注主机安全情况为第三次检测到的数据时对应的主机安全情况；

将历史主机监测数据输入预测神经网络，得到历史预测安全向量；

将所述历史预测安全向量与标注主机安全情况求取损失，得到损失值；

获得图像校正模型当前的训练迭代次数以及预先设定的所述图像校正模型训练的最大迭代次数；

当所述损失值小于或等于阈值或训练迭代次数达到所述最大迭代次数时停止训练，得到训练好的图像校正模型。

7.根据权利要求1所述的一种基于多元通讯的主机脆弱性轻量化安全检测方法，其特征在于，所述根据分块检测树对多元静态信息进行局部检测，判断静态安全，包括：

构建分块检测树；所述分块检测树的根部接受检测位置；

按照根部信息控制子树进行局部检测数据。

8.一种基于多元通讯的主机脆弱性轻量化安全检测系统，其特征在于，包括：

获取模块：获得多元主机信息；所述多元主机信息包括多元静态信息和三次检测到的多元动态信息组；

静态检测模块：根据分块检测树对多元静态信息进行局部检测，判断静态安全；

动态检测模块：根据多元动态信息组中第一次检测到的数据和第二次检测到的数据的变化情况，判断是否出现异常情况；所述第一次检测的时间比第二次检测的时间距离当前时间更近；

预测模块：将所述多元动态信息组的变化情况输入预测神经网络，预测是否为安全状态；

更新预测情况：若预测为不安全状态，将不安全类别对应的第三次检测到的数据和第二次检测到的数据，进行变化情况检测，判断是否出现异常情况；所述第二次检测的时间比第三次检测的时间距离当前时间更近；

记录模块：若出现异常情况，记录不安全状态。

9.根据权利要求8所述的一种基于多元通讯的主机脆弱性轻量化安全检测系统，其特征在于，所述根据多元动态信息组中第一次检测到的数据和第二次检测到的数据的变化情况，判断是否出现异常情况，包括：

根据多元动态信息组中第一次检测到的数据和第二次检测到的数据的变化情况，得到多个变化值；所述变化值表示两次检测的变化情况；

将多个变化值进行归一化，得到归一变化值；

构造二维数组；所述二维数组的横坐标表示变化类别；所述二维数组的纵坐标表示变化程度；所述二维数组中的值为零；

判断所述归一变化值所在的变化程度，将二维数组中变化类别对应的变化程度设为1；

根据所述二维数组，判断是否出现异常情况。

10.根据权利要求9所述的一种基于多元通讯的主机脆弱性轻量化安全检测系统，其特征在于，所述根据所述二维数组，判断是否出现异常情况，包括：

根据所述二维数组进行纵向划分，将变化程度大于阈值的数据，得到高变化数据；

将高变化数据进行拟合，得到安全曲线；

获得规定安全曲线；所述规定安全曲线表示为异常数据且为正常操作引起的变化的数据分布拟合的曲线；

根据安全曲线和规定安全曲线，判断是否出现异常情况。