CN105763334A - 一种动态生成和部署签名的方法 - Google Patents

一种动态生成和部署签名的方法 Download PDF

Info

Publication number
CN105763334A
CN105763334A CN201610197756.9A CN201610197756A CN105763334A CN 105763334 A CN105763334 A CN 105763334A CN 201610197756 A CN201610197756 A CN 201610197756A CN 105763334 A CN105763334 A CN 105763334A
Authority
CN
China
Prior art keywords
signature
model
key message
key information
monitoring
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201610197756.9A
Other languages
English (en)
Inventor
孙易安
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Kuang En Network Technology Co Ltd
Original Assignee
Beijing Kuang En Network Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Kuang En Network Technology Co Ltd filed Critical Beijing Kuang En Network Technology Co Ltd
Priority to CN201610197756.9A priority Critical patent/CN105763334A/zh
Publication of CN105763334A publication Critical patent/CN105763334A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种动态生成和部署签名的方法,包括模型建立阶段和模型使用阶段,其中模型建立阶段具体包括:保护监测设备从已知的攻击数据包和正常数据包中抽取关键信息;将关键信息转变为特征值向量作为训练数据;利用分类算法将训练数据建立分类模型;存储分类模型;模型使用阶段具体包括保护监测设备收集监听到的数据包关键信息;管理系统调用生成的分类模型,预测数据包的关键信息是否为攻击信息;管理系统更新预测后的数据包关键信息的特征,将预测为攻击的关键信息加入阻断列表,生成签名;用户确认或修改更新后的签名;保护监测设备载入新的签名,并按照关键信息的特征过滤数据包。

Description

一种动态生成和部署签名的方法
技术领域
本发明涉及网络攻击保护领域,具体地,涉及一种动态生成和部署签名的方法。
背景技术
对于已知的网络攻击,在防火墙或者其他网络安全设备上部署相应的签名是常用的保护方法,并被广泛的应用。其常常匹配数据包中的某些关键位置,判断该数据包是否包含有害信息,但是对于新的攻击方式,由于其不包含在已知攻击,所以没有相应的签名,也就无法提供有效的保护。
发明内容
本发明的目的在于,针对上述问题,提出一种动态生成和部署签名的方法,利用机器学习中的预测技术,发现系统中可能的攻击方式并自动产生签名,实现及时提供保护。
为实现上述目的,本发明采用的技术方案是:一种动态生成和部署签名的方法,包括模型建立阶段和模型使用阶段,其中模型建立阶段具体包括以下步骤:
a.保护监测设备从已知的攻击数据包和正常数据包中抽取关键信息;
b.将关键信息转变为特征值向量作为训练数据;
c.利用分类算法将训练数据建立分类模型;
d.存储分类模型;
模型使用阶段具体包括以下步骤:
e.保护监测设备收集监听到的数据包关键信息;
f.管理系统调用生成的分类模型,预测数据包的关键信息是否为攻击信息;
g.管理系统更新预测后的数据包关键信息的特征,将预测为攻击的关键信息加入阻断列表,生成签名;
h.保护监测设备载入新的签名,并按照关键信息的特征过滤数据包。
优选的,在步骤g中还包括,生成签名之后,用户确认或者修改生成的签名。
优选的,保护监测设备和管理系统使用不同的硬件平台
优选的,保护监测设备和管理系统使用相同的硬件平台。
优选的,模型建立阶段采用离线训练方式获得分类模型。
优选的,模型使用阶段采用在线动态生成签名的方式使用模型。
本发明一种动态生成和部署签名的方法由于模型的建立需要大量的训练数据,所以通过离线训练的方式获得模型;为了减少网络延时,所获取的模型不直接使用,而是通过动态生成签名的方式使用,具体包括保护监测设备从已知的攻击数据包和正常数据包中抽取关键信息;将关键信息转变为特征值向量作为训练数据;利用分类算法将训练数据建立分类模型;存储分类模型;保护监测设备收集监听到的数据包关键信息;在设定时间,管理系统调用生成的分类模型,预测数据包的关键信息是否为攻击信息;管理系统更新预测后的数据包关键信息的特征,将预测为攻击的关键信息加入阻断列表,生成签名;用户确认或修改更新后的签名;保护监测设备载入新的签名,并按照关键信息的特征过滤数据包;从而可以克服现有技术中对新的攻击方式,由于不包含在已知攻击,所以没有相应的签名,从而无法提供有效的保护的缺陷,从而能够及时保护网络。
本发明的其它特征和优点将在随后的说明书中阐述,并且,部分地从说明书中变得显而易见,或者通过实施本发明而了解。
下面通过实施例,对本发明的技术方案做进一步的详细描述。
附图说明
图1(a)为模型建立阶段;
图1(b)为模型使用阶段;
图2为管理系统和保护/监测设备互动关系。
具体实施方式
以下结合附图对本发明的优选实施例进行说明,应当理解,此处所描述的优选实施例仅用于说明和解释本发明,并不用于限定本发明。
一种动态生成和部署签名的方法,具体包括:模型建立阶段和模型使用阶段,模型建立阶段具体包括以下步骤:
a.保护监测设备从已知的攻击数据包和正常数据包中抽取关键信息;
b.将关键信息转变为特征值向量作为训练数据;
c.利用分类算法将训练数据建立分类模型;
d.存储分类模型;
为了减少网络延时,所获取的模型不应该直接使用,而是通过动态生成签名的方式使用,模型使用阶段具体包括以下步骤:
e.保护监测设备收集监听到的数据包关键信息;
f.在设定时间点,管理系统调用生成的分类模型,预测数据包的关键信息是否为攻击信息;
g.管理系统更新预测后的数据包关键信息的特征,将预测为攻击的关键信息加入阻断列表,生成签名;如预测域名yytsd1234.ru为攻击信息,管理系统更新为yytsd1234.ru1即在域名后加入标志1,加入阻断列表,并生成签名。
h.用户确认更新后的签名,如有需要,进行修改;
i.保护监测设备载入新的签名,并按照关键信息的特征过滤数据包。
在使用过程中,步骤e至步骤i重复进行,步骤f和步骤g可以在保护设备的管理系统中进行签名的更新和下发。
进一步地,保护监测设备和管理系统使用不同的硬件平台
进一步地,保护监测设备和管理系统使用相同的硬件平台。
进一步地,模型建立阶段采用离线训练方式获得分类模型。
进一步地,模型使用阶段采用在线动态生成签名的方式使用模型。
实施例一:
信息窃取一直是网络安全中的重要问题,通常,黑客或者其他组织利用木马等手段,将用户的关键信息上传到一些临时服务器上。由于这些临时服务器的域名常常变更,为产生有效签名带来很大挑战。如图1(a)所示为模型建立阶段,具体包括,
1.收集合法/非法域名信息:收集正常域名和信息窃取域名;
2.抽取特征向量:从域名中抽取特征值,例如,域名长度,后缀,可读性等等
3.训练分类模型:将正常域名标志为0,信息窃取域名标志为1,利用分类算法(SVM)学习分类模型
4.存储模型:生成的模型存储成为模型文件
如图1(b)所示为模型使用阶段,具体包括,
1.收集数据包中域名信息:保护监测设备发现域名信息(例如:yytsd1234.ru)并将域名信息保存或上传到管理系统
2.使用模型预测攻击:利用模型,预测收集到域名信息是否正常(例如:yytsd1234.ru1)
3.生成签名:将预测为异常的域名加入安全签名的阻断列表;
4.用户确认修改:用户检查新的签名,并作出修改;
5.下发到保护/监测设备:保护设备载入新的签名,阻止非法域名相关数据包。
如图2所示为管理系统和保护/监测设备互动关系,两者可以使用不同硬件或使用相同硬件平台,保护/监测设备将收集到的数据传输给管理系统,管理系统将签名下发,其中保护/监测设备包括数据包中提取关键信息和按照签名对数据包进行过滤的步骤;管理系统包括接受关键信息,使用模型预测,生成签名、接收修改和下发签名。
最后应说明的是:以上所述仅为本发明的优选实施例而已,并不用于限制本发明,尽管参照前述实施例对本发明进行了详细的说明,对于本领域的技术人员来说,其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。

Claims (6)

1.一种动态生成和部署签名的方法,其特征在于,包括模型建立阶段和模型使用阶段,其中模型建立阶段具体包括以下步骤:
a.保护监测设备从已知的攻击数据包和正常数据包中抽取关键信息;
b.将关键信息转变为特征值向量作为训练数据;
c.利用分类算法将训练数据建立分类模型;
d.存储分类模型;
所述模型使用阶段具体包括以下步骤:
e.保护监测设备收集监听到的数据包关键信息;
f.在设定时间点,管理系统调用存储的分类模型,预测数据包的关键信息是否为攻击信息;
g.管理系统更新预测后的数据包关键信息的特征,将预测为攻击的关键信息加入阻断列表,生成签名;
h.保护监测设备载入新的签名,并按照关键信息的特征过滤数据包。
2.根据权利要求1所述的动态生成和部署签名的方法,其特征在于,在步骤g中还包括,生成签名之后,用户确认或者修改生成的签名。
3.根据权利要求2所述的动态生成和部署签名的方法,其特征在于,保护监测设备和管理系统使用不同的硬件平台。
4.根据权利要求2所述的动态生成和部署签名的方法,其特征在于,所述保护监测设备和管理系统使用相同的硬件平台。
5.根据权利要求3或4所述的动态生成和部署签名的方法,其特征在于所述模型建立阶段采用离线训练方式获得分类模型。
6.根据权利要求3或4所述的动态生成和部署签名的方法,其特征在于,所述模型使用阶段采用在线动态生成签名的方式使用模型。
CN201610197756.9A 2016-03-31 2016-03-31 一种动态生成和部署签名的方法 Pending CN105763334A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201610197756.9A CN105763334A (zh) 2016-03-31 2016-03-31 一种动态生成和部署签名的方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201610197756.9A CN105763334A (zh) 2016-03-31 2016-03-31 一种动态生成和部署签名的方法

Publications (1)

Publication Number Publication Date
CN105763334A true CN105763334A (zh) 2016-07-13

Family

ID=56346900

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201610197756.9A Pending CN105763334A (zh) 2016-03-31 2016-03-31 一种动态生成和部署签名的方法

Country Status (1)

Country Link
CN (1) CN105763334A (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116614315A (zh) * 2023-07-19 2023-08-18 国家计算机网络与信息安全管理中心江西分中心 一种实现应用云安全托管的IPv6安全防护方法

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101895521A (zh) * 2009-05-22 2010-11-24 中国科学院研究生院 一种网络蠕虫检测与特征自动提取方法及其系统
CN102479298A (zh) * 2010-11-29 2012-05-30 北京奇虎科技有限公司 基于机器学习的程序识别方法及装置
CN102779249A (zh) * 2012-06-28 2012-11-14 奇智软件(北京)有限公司 恶意程序检测方法及扫描引擎
CN103577755A (zh) * 2013-11-01 2014-02-12 浙江工业大学 一种基于支持向量机的恶意脚本静态检测方法
CN105024969A (zh) * 2014-04-17 2015-11-04 北京启明星辰信息安全技术有限公司 一种实现恶意域名识别的方法及装置

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101895521A (zh) * 2009-05-22 2010-11-24 中国科学院研究生院 一种网络蠕虫检测与特征自动提取方法及其系统
CN102479298A (zh) * 2010-11-29 2012-05-30 北京奇虎科技有限公司 基于机器学习的程序识别方法及装置
CN102779249A (zh) * 2012-06-28 2012-11-14 奇智软件(北京)有限公司 恶意程序检测方法及扫描引擎
CN103577755A (zh) * 2013-11-01 2014-02-12 浙江工业大学 一种基于支持向量机的恶意脚本静态检测方法
CN105024969A (zh) * 2014-04-17 2015-11-04 北京启明星辰信息安全技术有限公司 一种实现恶意域名识别的方法及装置

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116614315A (zh) * 2023-07-19 2023-08-18 国家计算机网络与信息安全管理中心江西分中心 一种实现应用云安全托管的IPv6安全防护方法
CN116614315B (zh) * 2023-07-19 2023-10-27 国家计算机网络与信息安全管理中心江西分中心 一种实现应用云安全托管的IPv6安全防护方法

Similar Documents

Publication Publication Date Title
Ashok et al. Cyber-physical attack-resilient wide-area monitoring, protection, and control for the power grid
Fu et al. Interdependent networks: vulnerability analysis and strategies to limit cascading failure
CN109842632B (zh) 一种网络系统的脆弱点确定方法、系统及相关组件
CN103905464A (zh) 基于形式化方法的网络安全策略验证系统及方法
CN105262722A (zh) 终端恶意流量规则更新方法、云端服务器和安全网关
CN109756566B (zh) 基于区块链的数据存储方法、相关设备及存储介质
KR102390355B1 (ko) 시그니처 기반 네트워크 공격 탐지 및 공격 시그니처 생성 방법 및 장치
Rebaï et al. Attack-tolerant control and observer-based trajectory tracking for cyber-physical systems
KR101759535B1 (ko) 침해 사고 그래프 데이터베이스 생성 방법 및 그 장치
CN104270467A (zh) 一种用于混合云的虚拟机管控方法
CN110866265A (zh) 一种基于区块链的数据存储方法、设备及存储介质
Soliman et al. Robust stabilisation of power systems with random abrupt changes
CN103914338A (zh) 一种清理终端后台应用的方法、终端及系统
CN108933658A (zh) 基于工控设备指纹的白名单库创建方法及装置
Zhang et al. CTE: Cost-effective intra-domain traffic engineering
CN109194750A (zh) 区块链系统以及区块链超级节点的防攻击方法、装置
CN105763334A (zh) 一种动态生成和部署签名的方法
Liu et al. Dynamic defense architecture for the security of the internet of things
CN111125648B (zh) 一种设备变更方法和装置
CN107509128A (zh) 一种接入核心网的方法及系统
CN108512699B (zh) 区块链业务服务器数据异常检测方法、设备及区块链系统
CN113709160A (zh) 基于转发路由完整性验证的软件定义网络拓扑防御方法
CN109525669A (zh) 一种支持指定人员验证的云数据安全存储方法及系统
CN105488394B (zh) 一种面向蜜罐系统进行入侵行为识别和分类的方法及系统
CN104602231B (zh) 一种更新预共享密钥的方法和装置

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
RJ01 Rejection of invention patent application after publication
RJ01 Rejection of invention patent application after publication

Application publication date: 20160713