CN111935185B - 基于云计算构建大规模诱捕场景的方法及系统 - Google Patents

基于云计算构建大规模诱捕场景的方法及系统 Download PDF

Info

Publication number
CN111935185B
CN111935185B CN202011068764.6A CN202011068764A CN111935185B CN 111935185 B CN111935185 B CN 111935185B CN 202011068764 A CN202011068764 A CN 202011068764A CN 111935185 B CN111935185 B CN 111935185B
Authority
CN
China
Prior art keywords
data
external request
cloud
classification
type
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202011068764.6A
Other languages
English (en)
Other versions
CN111935185A (zh
Inventor
任俊博
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Yuanzhidian Information Safety Technology Co ltd
Original Assignee
Beijing Yuanzhidian Information Safety Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Yuanzhidian Information Safety Technology Co ltd filed Critical Beijing Yuanzhidian Information Safety Technology Co ltd
Priority to CN202011068764.6A priority Critical patent/CN111935185B/zh
Publication of CN111935185A publication Critical patent/CN111935185A/zh
Application granted granted Critical
Publication of CN111935185B publication Critical patent/CN111935185B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1491Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/21Design or setup of recognition systems or techniques; Extraction of features in feature space; Blind source separation
    • G06F18/214Generating training patterns; Bootstrap methods, e.g. bagging or boosting
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/23Clustering techniques
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/24Classification techniques
    • G06F18/243Classification techniques relating to the number of classes
    • G06F18/24323Tree-organised classifiers

Abstract

本发明属于神经网络技术领域,具体涉及基于云计算构建大规模诱捕场景的方法及系统,所述方法执行以下步骤:步骤1:建立多个与本地端的应用层、传输层、网络层、链路层和物理层均相同的云端,每个云端均视为本地端的一个镜像诱饵容器;步骤2:采集本地端的诱饵资源数据,所述诱饵资源数据至少包括:用户行为数据、应用使用数据、网络环境数据、登录凭据数据、文件数据和流量数据;针对采集到的本地端数据,进行数据预处理,获得预处理数据,对预处理数据进行数据分类。其通过对诱饵资源数据进行分类学习,以确保不同的诱饵资源数据能够进行更为适配的模型训练,从而使得生成的诱饵将更具备欺骗性。

Description

基于云计算构建大规模诱捕场景的方法及系统
技术领域
本发明属于网络安全技术领域,具体涉及基于云计算构建大规模诱捕场景的方法及系统。
背景技术
随着互联网不断普及,越来越多的单位和个人计算机都连接上互联网,随之网络安全问题也日益严重,互联网上的每台主机都有可能受到攻击.近年来不断发生黑客入侵企业网络的事件,如何保障企业网络安全,构筑一个安全可靠的企业网络成了当前迫切需要解决问题。
蜜罐好比是情报收集系统,蜜罐好像是故意让人攻击的目标,引诱黑客前来攻击。所以攻击者入侵后,你就可以知道他是如何得逞的,随时了解针对服务器发动的最新的攻击和漏洞。还可以通过窃听黑客之间的联系,收集黑客所用的种种工具,并且掌握他们的社交网络。
传统蜜罐只能使用固定的、僵化的方式来欺骗攻击者,随着攻击水平的不断提高,需要采用更为动态、新颖、灵活的多维欺骗诱饵的方式构建新型蜜罐以达到更好、更快、更准诱骗攻击者的目的。
云计算(cloud computing)是分布式计算的一种,指的是通过网络“云”将巨大的数据计算处理程序分解成无数个小程序,然后,通过多部服务器组成的系统进行处理和分析这些小程序得到结果并返回给用户。云计算早期,简单地说,就是简单的分布式计算,解决任务分发,并进行计算结果的合并。因而,云计算又称为网格计算。通过这项技术,可以在很短的时间内(几秒种)完成对数以万计的数据的处理,从而达到强大的网络服务。
将云计算与蜜罐技术相结合,不仅可以提升网络安全中诱饵生成的效率,同时云计算具有远端的特点,可以进一步提升了网络防御的安全性。
发明内容
本发明的主要目的在于提供基于云计算构建大规模诱捕场景的方法及系统,其通过对诱饵资源数据进行分类学习,以确保不同的诱饵资源数据能够进行更为适配的模型训练,从而使得生成的诱饵将更具备欺骗性,同时本发明对模型训练后生成的诱饵进行基于无监督学习的聚类,得到伴随式诱饵,诱饵的相似程度更高,提升了诱捕攻击者的能力。
为达到上述目的,本发明的技术方案是这样实现的:
基于云计算构建大规模诱捕场景的方法,所述方法执行以下步骤:
步骤1:建立多个与本地端的应用层、传输层、网络层、链路层和物理层均相同的云端,每个云端均视为本地端的一个镜像诱饵容器;
步骤2:采集本地端的诱饵资源数据,所述诱饵资源数据至少包括:用户行为数据、应用使用数据、网络环境数据、登录凭据数据、文件数据和流量数据;针对采集到的本地端数据,进行数据预处理,获得预处理数据,对预处理数据进行数据分类,为分类后得到的每个子数据集添加标签;再基于添加标签的子数据集进行学习映射,以完成分类器的训练;在基于添加标签的子数据集使用建立的聚类模型进行训练,以完成聚类器的训练;
步骤3:外部请求在访问本地端时,首先采集外部请求的参数进行采集,所述外部请求的参数至少包括:用户行为数据、应用使用数据、网络环境数据、登录凭据数据、文件数据和流量数据;在基于采集到的外部请求的参数,使用完成训练的分类器进行分类,在基于分类的结果,使用完成训练的聚类器进行聚类,以识别外部请求的类型;
步骤4:根据外部请求的类型,对每个云端进行分类,每个云端与外部请求的一个类型一一对应;根据识别获取的外部请求的类型,将该外部请求在访问本地端之前,首先导入该外部请求类型对应的云端;
步骤5:在云端设置监听器,实时监听外部请求在访问云端时是否有恶意攻击行为;如果存在恶意攻击行为,则将该外部请求直接进行拦截,若没有检测到任何恶意攻击行为,则将该外部请求再发送至本地端。
进一步的,所述步骤1中,建立与本地端的应用层、传输层、网络层、链路层和物理层均相同的云端的方法执行以下步骤:在远程云服务器上执行构建器应用程序,该远程云服务器包括处理器、存储器、操作系统、和用于存储软件应用程序和创建云端镜像的存储空间;提供所述软件应用程序,其包括应用程序代码和应用程序数据;读取设备配置文件,其指示用于与所述软件应用程序一起使用的配置设置,包括一个或多个虚拟机、类路径和环境变量设置;接收关于将要与应用程序一起使用的管理器类型的指示;将所述管理器类型特定的并且合乎所述配置设置的虚拟机的接引装置写入存储空间中,其中不同形式的接引装置被用于不同的管理器类型;将虚拟机的不接引装置以及软件应用程序写入存储空间中,其中所述不接引装置用于执行所述软件应用程序;将接引装置配置成装载和执行不接引装置,包括用不接引装置的位置和由设备配置文件提供的配置设置更新接引装置;以及如配置设置所配置的那样输出接引装置和不接引装置作为云端镜像,其中,所述云端镜像被预配置以用于部署到包括多个物理远程云服务器的云,所述多个物理远程云服务器包括所指示的管理器类型,使得接引装置被预配置为引导、装载和执行不接引装置和应用程序,而不需要对所述多个物理远程云服务器的进一步配置。
进一步的,所述步骤2中进行数据预处理的方法执行以下步骤:针对采集到的本地端数据,进行去除唯一属性、处理缺失值和异常值检测及处理;然后进行数据规约处理,包括:去平均值、计算协方差矩阵、计算协方差矩阵的特征值与特征向量、对特征值从大到小排序、保留最大的特征向量、将数据转换到特征向量构建的新空间中;最后得处理后的新的数据。
进一步的,所述分类器对预处理数据进行数据分类的方法执行以下步骤:获取分类树,所述分类树为多叉树,包含至少两层,且所述分类树中各个节点对应各自的分类类型;根据所述分类树中各个节点存储的数据,训练各个父节点各自对应的分类模型,所述数据预先经过类型标注并存储在对应的节点中,所述父节点对应至少一个子节点,所述分类模型用于将语料划分到对应的子节点; 获取目标数据,所述目标数据为未知分类类型的待预测数据;通过所述分类树中各个节点的所述分类模型对所述目标数据进行逐级分类。
进一步的,所述聚类模型识别外部请求的类型的方法执行以下步骤:随机抽取外部请求的部分数据,记为N,所述抽取的部分数据在外部请求的数据的占比范围为:4%~8%;在随机抽取的部分数据N,使用高斯和算子Sj进行扩张计算,算出扩张域K上的任意一点的随机抽取的部分数据N的多个基底数N=Sj(N),其中,j是大于等于N且小于等于2N-l的整数;所述扩张域K是将所述有限域Fp扩张2阶得到的代数扩张域,然后根据余数a,使用如下公式,计算出多个离散对数lP
Figure DEST_PATH_IMAGE001
其中,K是大于等于1且小于等于100的整数,所述多个离散对数lP是大于等于N且小于等于100的整数;将计算出的多个离散对数lP作为外部请求的类型的特征值;同时使用误差函数,验证计算出的外部请求的类型的特征值是否在误差范围内。
进一步的,所述聚类模型的误差函数验证外部请求的类型的特征值的方法包括:设定一个权重函数,用wi表示,将每个输入变量与相对应的权重函数进行卷积运算,得到第一中间结果;设定一个激励函数,所述激励函数为:
Figure 225258DEST_PATH_IMAGE002
;设定聚类网络的聚类元阈值为:Θ;将第一中间结果和该激励函数以及聚类元阈值进行运算,得到前向聚类网络的结果为:
Figure DEST_PATH_IMAGE003
;计算前向聚类网络的识别误差;由于本次识别输出的变量E为“外部请求的类型的特征值”,但模型训练后会产生一个预测值为O,故得出误差函数为:
Figure 792637DEST_PATH_IMAGE004
其中m代表输入本次建模样本的数量,i表示第i个变量;反向传播更新权重w;若误差值与预测值的差值的范围在设定的范围内,则代表计算出的外部请求的类型的特征值满足要求。
进一步的,所述装置包括:云服务器、数据处理器和本地端;所述云服务器上建立有多个与本地端的应用层、传输层、网络层、链路层和物理层均相同的云端,每个云端均视为本地端的一个镜像诱饵容器;所述数据处理器,配置用于采集本地端的诱饵资源数据,所述诱饵资源数据至少包括:用户行为数据、应用使用数据、网络环境数据、登录凭据数据、文件数据和流量数据;针对采集到的本地端数据,进行数据预处理,获得预处理数据,对预处理数据进行数据分类,为分类后得到的每个子数据集添加标签;再基于添加标签的子数据集进行学习映射,以完成分类器的训练;在基于添加标签的子数据集使用建立的聚类模型进行训练,以完成聚类器的训练。
进一步的,所述数据处理器还配置用于,当外部请求在访问本地端时,首先采集外部请求的参数进行采集,所述外部请求的参数至少包括:用户行为数据、应用使用数据、网络环境数据、登录凭据数据、文件数据和流量数据;在基于采集到的外部请求的参数,使用完成训练的分类器进行分类,在基于分类的结果,使用完成训练的聚类器进行聚类,以识别外部请求的类型。
进一步的,所述云服务器还配置用于,根据外部请求的类型,对每个云端进行分类,每个云端与外部请求的一个类型一一对应;根据识别获取的外部请求的类型,将该外部请求在访问本地端之前,首先导入该外部请求类型对应的云端;
进一步的,所述云服务器上的每个云端内均设置有监听器,实时监听外部请求在访问云端时是否有恶意攻击行为;如果存在恶意攻击行为,则将该外部请求直接进行拦截,若没有检测到任何恶意攻击行为,则将该外部请求再发送至本地端。
本发明的基于云计算构建大规模诱捕场景的方法及系统,具有如下有益效果:其通过对诱饵资源数据进行分类学习,以确保不同的诱饵资源数据能够进行更为适配的模型训练,从而使得生成的诱饵将更具备欺骗性,同时本发明对模型训练后生成的诱饵进行基于无监督学习的聚类,得到伴随式诱饵,诱饵的相似程度更高,提升了诱捕攻击者的能力。主要通过以下过程实现:1.云服务器中镜像诱饵容器的建立:本发明通过建立多个与本地端的应用层、传输层、网络层、链路层和物理层均相同的云端,在外部请求进入本地端先进入云端,而由于云端和本地端相同,所以外部请求,将在云端中暴露自己的所有行为,就可以直接在云端中发现外部请求的非法行为,进而避免外部请求进入本地端,对本地端进行损害,提升了安全性;2. 数据分类方法:本发明针对预处理数据进行数据分类的时,通过获取分类树来进行数据分类,分类树为多叉树,包含至少两层,且分类树中各个节点对应各自的分类类型,这样进行数据分类,分类效率更高,且分类的数据类别间的区别更加明显,在后续进行诱饵生成过程中,该过程可以提升诱饵的独特性,因为每个类别的数据之间的同一性较好,而类别渐的数据差异性较大;3. 聚类模型的误差纠正:本发明的聚类模型中设置了激励函数为:
Figure DEST_PATH_IMAGE005
;设定聚类网络的聚类元阈值为:Θ;将第一中间结果和该激励函数以及聚类元阈值进行运算,得到前向聚类网络的结果为:
Figure 591965DEST_PATH_IMAGE006
;计算前向聚类网络的识别误差;这样的结果使得聚类的结果更加准确。
附图说明
图1为本发明的实施例提供的基于云计算构建大规模诱捕场景的方法的方法流程示意图;
图2为本发明的实施例提供的基于云计算构建大规模诱捕场景的方法的数据预处理方法的流程示意图;
图3为本发明的实施例提供的基于云计算构建大规模诱捕场景的方法及装置的分类器进行单分类的数据处理流程示意图;
图4为本发明的实施例提供的基于云计算构建大规模诱捕场景的方法及装置的针对混合诱饵资源数据进行单分类后,再进行多端学习映射的数据处理流程示意图;
图5为本发明的实施例提供的基于云计算构建大规模诱捕场景的方法及装置的分类器进行多重分类的数据处理流程示意图;
图6为本发明的实施例提供的基于云计算构建大规模诱捕场景的方法及装置的针对混合诱饵资源数据进行单分类的数据处理流程示意图;
图7为本发明的实施例提供的基于云计算构建大规模诱捕场景的方法及装置的诱饵误差率随着实验次数变化的曲线是示意图与现有技术的对比实验效果示意图。
具体实施方式
以下结合具体实施方式和附图对本发明的技术方案作进一步详细描述:
实施例1
如图1所示,基于云计算构建大规模诱捕场景的方法,所述方法执行以下步骤:
步骤1:建立多个与本地端的应用层、传输层、网络层、链路层和物理层均相同的云端,每个云端均视为本地端的一个镜像诱饵容器;
步骤2:采集本地端的诱饵资源数据,所述诱饵资源数据至少包括:用户行为数据、应用使用数据、网络环境数据、登录凭据数据、文件数据和流量数据;针对采集到的本地端数据,进行数据预处理,获得预处理数据,对预处理数据进行数据分类,为分类后得到的每个子数据集添加标签;再基于添加标签的子数据集进行学习映射,以完成分类器的训练;在基于添加标签的子数据集使用建立的聚类模型进行训练,以完成聚类器的训练;
步骤3:外部请求在访问本地端时,首先采集外部请求的参数进行采集,所述外部请求的参数至少包括:用户行为数据、应用使用数据、网络环境数据、登录凭据数据、文件数据和流量数据;在基于采集到的外部请求的参数,使用完成训练的分类器进行分类,在基于分类的结果,使用完成训练的聚类器进行聚类,以识别外部请求的类型;
步骤4:根据外部请求的类型,对每个云端进行分类,每个云端与外部请求的一个类型一一对应;根据识别获取的外部请求的类型,将该外部请求在访问本地端之前,首先导入该外部请求类型对应的云端;
步骤5:在云端设置监听器,实时监听外部请求在访问云端时是否有恶意攻击行为;如果存在恶意攻击行为,则将该外部请求直接进行拦截,若没有检测到任何恶意攻击行为,则将该外部请求再发送至本地端。
采用上述技术方案,本发明通过对诱饵资源数据进行分类学习,以确保不同的诱饵资源数据能够进行更为适配的模型训练,从而使得生成的诱饵将更具备欺骗性,同时本发明对模型训练后生成的诱饵进行基于无监督学习的聚类,得到伴随式诱饵,诱饵的相似程度更高,提升了诱捕攻击者的能力。主要通过以下过程实现:1.云服务器中镜像诱饵容器的建立:本发明通过建立多个与本地端的应用层、传输层、网络层、链路层和物理层均相同的云端,在外部请求进入本地端先进入云端,而由于云端和本地端相同,所以外部请求,将在云端中暴露自己的所有行为,就可以直接在云端中发现外部请求的非法行为,进而避免外部请求进入本地端,对本地端进行损害,提升了安全性;2. 数据分类方法:本发明针对预处理数据进行数据分类的时,通过获取分类树来进行数据分类,分类树为多叉树,包含至少两层,且分类树中各个节点对应各自的分类类型,这样进行数据分类,分类效率更高,且分类的数据类别间的区别更加明显,在后续进行诱饵生成过程中,该过程可以提升诱饵的独特性,因为每个类别的数据之间的同一性较好,而类别渐的数据差异性较大;3. 聚类模型的误差纠正:本发明的聚类模型中设置了激励函数为:
Figure DEST_PATH_IMAGE007
;设定聚类网络的聚类元阈值为:Θ;将第一中间结果和该激励函数以及聚类元阈值进行运算,得到前向聚类网络的结果为:
Figure 928400DEST_PATH_IMAGE008
;计算前向聚类网络的识别误差;这样的结果使得聚类的结果更加准确。
实施例2
在上一实施例的基础上,所述步骤1中,建立与本地端的应用层、传输层、网络层、链路层和物理层均相同的云端的方法执行以下步骤:在远程云服务器上执行构建器应用程序,该远程云服务器包括处理器、存储器、操作系统、和用于存储软件应用程序和创建云端镜像的存储空间;提供所述软件应用程序,其包括应用程序代码和应用程序数据;读取设备配置文件,其指示用于与所述软件应用程序一起使用的配置设置,包括一个或多个虚拟机、类路径和环境变量设置;接收关于将要与应用程序一起使用的管理器类型的指示;将所述管理器类型特定的并且合乎所述配置设置的虚拟机的接引装置写入存储空间中,其中不同形式的接引装置被用于不同的管理器类型;将虚拟机的不接引装置以及软件应用程序写入存储空间中,其中所述不接引装置用于执行所述软件应用程序;将接引装置配置成装载和执行不接引装置,包括用不接引装置的位置和由设备配置文件提供的配置设置更新接引装置;以及如配置设置所配置的那样输出接引装置和不接引装置作为云端镜像,其中,所述云端镜像被预配置以用于部署到包括多个物理远程云服务器的云,所述多个物理远程云服务器包括所指示的管理器类型,使得接引装置被预配置为引导、装载和执行不接引装置和应用程序,而不需要对所述多个物理远程云服务器的进一步配置。
具体的,因特网协议栈共有五层:应用层、传输层、网络层、链路层和物理层。不同于OSI七层模型这也是实际使用中使用的分层方式。 应用层支持网络应用,应用协议仅仅是网络应用的一个组成部分,运行在不同主机上的进程则使用应用层协议进行通信。主要的协议有:http、ftp、telnet、smtp、pop3等。传输层负责为信源和信宿提供应用程序进程间的数据传输服务,这一层上主要定义了两个传输协议,传输控制协议即TCP和用户数据报协议UDP。网络层负责将数据报独立地从信源发送到信宿,主要解决路由选择、拥塞控制和网络互联等问题。数据链路层负责将IP数据报封装成合适在物理网络上传输的帧格式并传输,或将从物理网络接收到的帧解封,取出IP数据报交给网络层。物理层负责将比特流在结点间传输,即负责物理传输。该层的协议既与链路有关也与传输介质有关。
实施例3
在上一实施例的基础上,所述步骤2中进行数据预处理的方法执行以下步骤:针对采集到的本地端数据,进行去除唯一属性、处理缺失值和异常值检测及处理;然后进行数据规约处理,包括:去平均值、计算协方差矩阵、计算协方差矩阵的特征值与特征向量、对特征值从大到小排序、保留最大的特征向量、将数据转换到特征向量构建的新空间中;最后得处理后的新的数据。
具体的,数据归约是指在尽可能保持数据原貌的前提下,最大限度地精简数据量(完成该任务的必要前提是理解挖掘任务和熟悉数据本身内容)。对于小型或中型数据集,一般的数据预处理步骤已经足够。但对真正大型数据集来讲,在应用数据挖掘技术以前,更可能采取一个中间的、额外的步骤-数据归约。本步骤中简化数据的主题是维归约,主要问题是是否可在没有牺牲成果质量的前提下,丢弃这些已准备和预处理的数据,能否在适量的时间和空间里检查已准备的数据和已建立的子集。
对数据的描述,特征的挑选,归约或转换是决定数据挖掘方案质量的最重要问题。在实践中,特征的数量可达到数百,如果我们只需要上百条样本用于分析,就需要进行维归约,以挖掘出可靠的模型;另一方面,高维度引起的数据超负,会使一些数据挖掘算法不实用,唯一的方法也就是进行维归约。预处理数据集的3个主要维度通常以平面文件的形式出现:列(特征),行(样本)和特征的值,数据归约过程也就是三个基本操作:删除列,删除行,减少列中的值。
实施例4
参考图2,在上一实施例的基础上,所述分类器对预处理数据进行数据分类的方法执行以下步骤:获取分类树,所述分类树为多叉树,包含至少两层,且所述分类树中各个节点对应各自的分类类型;根据所述分类树中各个节点存储的数据,训练各个父节点各自对应的分类模型,所述数据预先经过类型标注并存储在对应的节点中,所述父节点对应至少一个子节点,所述分类模型用于将语料划分到对应的子节点; 获取目标数据,所述目标数据为未知分类类型的待预测数据;通过所述分类树中各个节点的所述分类模型对所述目标数据进行逐级分类。
参考图3和图5,本发明的分类器在进行数据分类时,针对单纯的诱饵资源数据,可以有单分类和多重分类两种方式。经过单分类的数据,将获得多个分类的子数据集,其可以直接通过学习映射到聚类模型进行聚类;同时,经过单分类的数据,也可能只获得一个类别的子数据集,但子数据集之间也存在较大差异,这个时候也可以通过多端学习映射聚类模型进行聚类。
参考图4和图6,本发明的分类器在进行数据分类时,针对混合诱饵资源数据,可以有单分类和多重分类两种方式。经过单分类的数据,将得到一个子数据集,这个过程可以视为将混合诱饵资源数据的共同部分找了出来,但子数据集之间也存在较大差异,这个时候也可以通过多端学习映射聚类模型进行聚类。同时,针对混合诱饵资源数据进行单分类后,也可以直接获得多个类别的子数据集,再通过学习映射到聚类模型进行聚类。
实施例5
在上一实施例的基础上,所述聚类模型识别外部请求的类型的方法执行以下步骤:随机抽取外部请求的部分数据,记为N,所述抽取的部分数据在外部请求的数据的占比范围为:4%~8%;在随机抽取的部分数据N,使用高斯和算子Sj进行扩张计算,算出扩张域K上的任意一点的随机抽取的部分数据N的多个基底数N=Sj(N),其中,j是大于等于N且小于等于2N-l的整数;所述扩张域K是将所述有限域Fp扩张2阶得到的代数扩张域,然后根据余数a;使用如下公式,计算出多个离散对数lP
Figure DEST_PATH_IMAGE009
其中,K是大于等于1且小于等于100的整数,所述多个离散对数lP是大于等于N且小于等于100的整数;将计算出的多个离散对数lP作为外部请求的类型的特征值;同时使用误差函数,验证计算出的外部请求的类型的特征值是否在误差范围内。
实施例6
在上一实施例的基础上,所述聚类模型的误差函数验证外部请求的类型的特征值的方法包括:设定一个权重函数,用wi表示,将每个输入变量与相对应的权重函数进行卷积运算,得到第一中间结果;设定一个激励函数,所述激励函数为:
Figure 420561DEST_PATH_IMAGE010
;设定聚类网络的聚类元阈值为:Θ;将第一中间结果和该激励函数以及聚类元阈值进行运算,得到前向聚类网络的结果为:
Figure DEST_PATH_IMAGE011
;计算前向聚类网络的识别误差;由于本次识别输出的变量E为“外部请求的类型的特征值”,但模型训练后会产生一个预测值为O,故得出误差函数为:
Figure 475236DEST_PATH_IMAGE012
其中m代表输入本次建模样本的数量,i表示第i个变量;反向传播更新权重w;若误差值与预测值的差值的范围在设定的范围内,则代表计算出的外部请求的类型的特征值满足要求。
具体的,误差函数一种量化模型拟合程度的工具,机器学习(基于梯度下降算法)的基本思想是设计一个由参数 θ 决定的模型,使得输入 x 经过模型计算后能够得到预测值,模型的训练过程是用训练数据 xi输入模型计算得到预测值并计算预测值和真实值 yi的差距 L,通过调整模型的参数 θ 来减小差距 L 直到这个差距不再减小为止,这时模型达到最优状态。 误差函数就是被设计出来的一个关于 θ 的用来衡量预测值和真实值之间的差距的函数,这样通过求的最小值,就可以获得一个确定的 θ ,从而够得到最佳预测结果的模型。所以机器学习实际上是一个通过优化误差函数(求最小值)来确定 θ 的过程。
实施例7
在上一实施例的基础上,所述装置包括:云服务器、数据处理器和本地端;所述云服务器上建立有多个与本地端的应用层、传输层、网络层、链路层和物理层均相同的云端,每个云端均视为本地端的一个镜像诱饵容器;所述数据处理器,配置用于采集本地端的诱饵资源数据,所述诱饵资源数据至少包括:用户行为数据、应用使用数据、网络环境数据、登录凭据数据、文件数据和流量数据;针对采集到的本地端数据,进行数据预处理,获得预处理数据,对预处理数据进行数据分类,为分类后得到的每个子数据集添加标签;再基于添加标签的子数据集进行学习映射,以完成分类器的训练;在基于添加标签的子数据集使用建立的聚类模型进行训练,以完成聚类器的训练。
具体的,数据分类就是把具有某种共同属性或特征的数据归并在一起,通过其类别的属性或特征来对数据进行区别。为了实现数据共享和提高处理效率,必须遵循约定的分类原则和方法,按照信息的内涵、性质及管理的要求,将系统内所有信息按一定的结构体系分为不同的集合,从而使得每个信息在相应的分类体系中都有一个对应位置。换句话说,就是相同内容、相同性质的信息以及要求统一管理的信息集合在一起,而把相异的和需要分别管理的信息区分开来,然后确定各个集合之间的关系,形成一个有条理的分类系统。
实施例8
在上一实施例的基础上,所述数据处理器还配置用于,当外部请求在访问本地端时,首先采集外部请求的参数进行采集,所述外部请求的参数至少包括:用户行为数据、应用使用数据、网络环境数据、登录凭据数据、文件数据和流量数据;在基于采集到的外部请求的参数,使用完成训练的分类器进行分类,在基于分类的结果,使用完成训练的聚类器进行聚类,以识别外部请求的类型。
实施例9
在上一实施例的基础上,所述云服务器还配置用于,根据外部请求的类型,对每个云端进行分类,每个云端与外部请求的一个类型一一对应;根据识别获取的外部请求的类型,将该外部请求在访问本地端之前,首先导入该外部请求类型对应的云端;
实施例10
在上一实施例的基础上,所述云服务器上的每个云端内均设置有监听器,实时监听外部请求在访问云端时是否有恶意攻击行为;如果存在恶意攻击行为,则将该外部请求直接进行拦截,若没有检测到任何恶意攻击行为,则将该外部请求再发送至本地端。
具体的,现有技术中,目前的诱饵,(1)诱饵生成方式笨重,大多是以手动或者定向生成某类型诱饵,如文件诱饵,进程诱饵等,其中文件诱饵需要手动编辑内容;(2)诱饵内容太假,甚至和业务系统没有关系,对于诱骗所有微乎其微,大多是根据自己定义内容;(3)部署位置不对,另外现有部署诱饵的方式是在自己的蜜罐系统中部署,而非用户业务系统、用户使用的终端上部署;(4)海量诱饵生成难,海量终端要使用诱饵,需要自动化生产,手动生产诱饵制约发展。
而本发明的诱饵生成方法,其通过对诱饵资源数据进行分类学习,以确保不同的诱饵资源数据能够进行更为适配的模型训练,从而使得生成的诱饵将更具备欺骗性,同时本发明对模型训练后生成的诱饵进行基于无监督学习的聚类,得到伴随式诱饵,诱饵的相似程度更高,提升了诱捕攻击者的能力。参考图7,采用本发明的技术方案得到的诱饵误差率比现有技术的诱饵误差率更低。
以上所述仅为本发明的一个实施例子,但不能以此限制本发明的范围,凡依据本发明所做的结构上的变化,只要不失本发明的要义所在,都应视为落入本发明保护范围之内受到制约。
所属技术领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统的具体工作过程及有关说明,可以参考前述方法实施例中的对应过程,在此不再赘述。
需要说明的是,上述实施例提供的系统,仅以上述各功能模块的划分进行举例说明,在实际应用中,可以根据需要而将上述功能分配由不同的功能模块来完成,即将本发明实施例中的模块或者步骤再分解或者组合,例如,上述实施例的模块可以合并为一个模块,也可以进一步拆分成多个子模块,以完成以上描述的全部或者部分功能。对于本发明实施例中涉及的模块、步骤的名称,仅仅是为了区分各个模块或者步骤,不视为对本发明的不当限定。
所属技术领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的存储装置、处理装置的具体工作过程及有关说明,可以参考前述方法实施例中的对应过程,在此不再赘述。
本领域技术人员应该能够意识到,结合本文中所公开的实施例描述的各示例的模块、方法步骤,能够以电子硬件、计算机软件或者二者的结合来实现,软件模块、方法步骤对应的程序可以置于随机存储器(RAM)、内存、只读存储器(ROM)、电可编程ROM、电可擦除可编程ROM、寄存器、硬盘、可移动磁盘、CD-ROM、或技术领域内所公知的任意其它形式的存储介质中。为了清楚地说明电子硬件和软件的可互换性,在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以电子硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。本领域技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本发明的范围。
术语“第一”、“第二”等是用于区别类似的对象,而不是用于描述或表示特定的顺序或先后次序。
术语“包括”或者任何其它类似用语旨在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备/装置不仅包括那些要素,而且还包括没有明确列出的其它要素,或者还包括这些过程、方法、物品或者设备/装置所固有的要素。
至此,已经结合附图所示的优选实施方式描述了本发明的技术方案,但是,本领域技术人员容易理解的是,本发明的保护范围显然不局限于这些具体实施方式。在不偏离本发明的原理的前提下,本领域技术人员可以对相关技术特征作出等同的更改或替换,这些更改或替换之后的技术方案都将落入本发明的保护范围之内。
以上所述,仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。

Claims (8)

1.基于云计算构建大规模诱捕场景的方法,其特征在于,所述方法执行以下步骤:
步骤1:建立多个与本地端的应用层、传输层、网络层、链路层和物理层均相同的云端,每个云端均视为本地端的一个镜像诱饵容器;
步骤2:采集本地端的诱饵资源数据,所述诱饵资源数据至少包括:用户行为数据、应用使用数据、网络环境数据、登录凭据数据、文件数据和流量数据;针对采集到的本地端数据,进行数据预处理,获得预处理数据,对预处理数据进行数据分类,为分类后得到的每个子数据集添加标签;再基于添加标签的子数据集进行学习映射,以完成分类器的训练;在基于添加标签的子数据集使用建立的聚类模型进行训练,以完成聚类器的训练;
步骤3:外部请求在访问本地端时,首先采集外部请求的参数,所述外部请求的参数至少包括:用户行为数据、应用使用数据、网络环境数据、登录凭据数据、文件数据和流量数据;在基于采集到的外部请求的参数,使用完成训练的分类器进行分类,在基于分类的结果,使用完成训练的聚类器进行聚类,以识别外部请求的类型;
步骤4:根据外部请求的类型,对每个云端进行分类,每个云端与外部请求的一个类型一一对应;根据识别获取的外部请求的类型,将该外部请求在访问本地端之前,首先导入该外部请求类型对应的云端;
步骤5:在云端设置监听器,实时监听外部请求在访问云端时是否有恶意攻击行为;如果存在恶意攻击行为,则将该外部请求直接进行拦截,若没有检测到任何恶意攻击行为,则将该外部请求再发送至本地端;
所述聚类模型识别外部请求的类型的方法执行以下步骤:随机抽取外部请求的部分数据,记为N,所述抽取的部分数据在外部请求的数据的占比范围为:4%~8%;在随机抽取的部分数据N,使用高斯和算子Sj进行扩张计算,算出扩张域K上的任意一点的随机抽取的部分数据N的多个基底数N=Sj(N),其中,j是大于等于N且小于等于2N-l的整数;所述扩张域K是将有限域Fp扩张2阶得到的代数扩张域,离散对数算出子单元根据余数a;根据如下公式,计算出多个离散对数
Figure 585454DEST_PATH_IMAGE001
Figure 642621DEST_PATH_IMAGE002
其中,K是大于等于1且小于等于100的整数,所述多个离散对数
Figure 945426DEST_PATH_IMAGE001
是大于等于N且小于等于100的整数;将计算出的多个离散对数
Figure 692802DEST_PATH_IMAGE001
作为外部请求的类型的特征值;同时使用误差函数,验证计算出的外部请求的类型的特征值是否在误差范围内;
所述聚类模型的误差函数验证外部请求的类型的特征值的方法包括:设定一个权重函数,用
Figure 857198DEST_PATH_IMAGE003
表示,将每个输入变量与相对应的权重函数进行卷积运算,得到第一中间结果;设定一个激励函数,所述激励函数为:
Figure 740841DEST_PATH_IMAGE004
;设定聚类网络的聚类元阈值为:
Figure 480127DEST_PATH_IMAGE005
;将第一中间结果和该激励函数以及聚类元阈值进行运算,得到前向聚类网络的结果为:
Figure 449220DEST_PATH_IMAGE006
;计算前向聚类网络的识别误差;由于本次识别输出的变量E为“外部请求的类型的特征值”,但模型训练后会产生一个预测值为O,故得出误差函数为:
Figure 417307DEST_PATH_IMAGE007
其中m代表输入本次建模样本的数量,i表示第i个变量;反向传播更新权重w;若误差值与预测值的差值的范围在设定的范围内,则代表计算出的外部请求的类型的特征值满足要求。
2.如权利要求1所述的方法,其特征在于,所述步骤1中,建立与本地端的应用层、传输层、网络层、链路层和物理层均相同的云端的方法执行以下步骤:在远程云服务器上执行构建器应用程序,该远程云服务器包括处理器、存储器、操作系统、和用于存储软件应用程序和创建云端镜像的存储空间;提供所述软件应用程序,其包括应用程序代码和应用程序数据;读取设备配置文件,其指示用于与所述软件应用程序一起使用的配置设置,包括一个或多个虚拟机、类路径和环境变量设置;接收关于将要与应用程序一起使用的管理器类型的指示;将所述管理器类型特定的并且合乎所述配置设置的虚拟机的接引装置写入存储空间中,其中不同形式的接引装置被用于不同的管理器类型;将虚拟机的不接引装置以及软件应用程序写入存储空间中,其中所述不接引装置用于执行所述软件应用程序;将接引装置配置成装载和执行不接引装置,包括用不接引装置的位置和由设备配置文件提供的配置设置更新接引装置;以及如配置设置所配置的那样输出接引装置和不接引装置作为云端镜像,其中,所述云端镜像被预配置以用于部署到包括多个物理远程云服务器的云,所述多个物理远程云服务器包括所指示的管理器类型,使得接引装置被预配置为引导、装载和执行不接引装置和应用程序,而不需要对所述多个物理远程云服务器的进一步配置。
3.如权利要求2所述的方法,其特征在于,所述步骤2中进行数据预处理的方法执行以下步骤:针对采集到的本地端数据,进行去除唯一属性、处理缺失值和异常值检测及处理;然后进行数据规约处理,包括:去平均值、计算协方差矩阵、计算协方差矩阵的特征值与特征向量、对特征值从大到小排序、保留最大的特征向量、将数据转换到特征向量构建的新空间中;最后得处理后的新的数据。
4.如权利要求3所述的方法,其特征在于,所述分类器对预处理数据进行数据分类的方法执行以下步骤:获取分类树,所述分类树为多叉树,包含至少两层,且所述分类树中各个节点对应各自的分类类型;根据所述分类树中各个节点存储的数据,训练各个父节点各自对应的分类模型,所述数据预先经过类型标注并存储在对应的节点中,所述父节点对应至少一个子节点,所述分类模型用于将语料划分到对应的子节点;获取目标数据,所述目标数据为未知分类类型的待预测数据;通过所述分类树中各个节点的所述分类模型对所述目标数据进行逐级分类。
5. 用于实现权利要求1至4任一 所述方法的装置,其特征在于,所述装置包括:云服务器、数据处理器和本地端;所述云服务器上建立有多个与本地端的应用层、传输层、网络层、链路层和物理层均相同的云端,每个云端均视为本地端的一个镜像诱饵容器;所述数据处理器,配置用于采集本地端的诱饵资源数据,所述诱饵资源数据至少包括:用户行为数据、应用使用数据、网络环境数据、登录凭据数据、文件数据和流量数据;针对采集到的本地端数据,进行数据预处理,获得预处理数据,对预处理数据进行数据分类,为分类后得到的每个子数据集添加标签;再基于添加标签的子数据集进行学习映射,以完成分类器的训练;在基于添加标签的子数据集使用建立的聚类模型进行训练,以完成聚类器的训练。
6.如权利要求5所述的装置,其特征在于,所述数据处理器还配置用于,当外部请求在访问本地端时,首先采集外部请求的参数,所述外部请求的参数至少包括:用户行为数据、应用使用数据、网络环境数据、登录凭据数据、文件数据和流量数据;在基于采集到的外部请求的参数,使用完成训练的分类器进行分类,在基于分类的结果,使用完成训练的聚类器进行聚类,以识别外部请求的类型。
7.如权利要求6所述的装置,其特征在于,所述云服务器还配置用于,根据外部请求的类型,对每个云端进行分类,每个云端与外部请求的一个类型一一对应;根据识别获取的外部请求的类型,将该外部请求在访问本地端之前,首先导入该外部请求类型对应的云端。
8.如权利要求6所述的装置,其特征在于,所述云服务器上的每个云端内均设置有监听器,实时监听外部请求在访问云端时是否有恶意攻击行为;如果存在恶意攻击行为,则将该外部请求直接进行拦截,若没有检测到任何恶意攻击行为,则将该外部请求再发送至本地端。
CN202011068764.6A 2020-10-09 2020-10-09 基于云计算构建大规模诱捕场景的方法及系统 Active CN111935185B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202011068764.6A CN111935185B (zh) 2020-10-09 2020-10-09 基于云计算构建大规模诱捕场景的方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202011068764.6A CN111935185B (zh) 2020-10-09 2020-10-09 基于云计算构建大规模诱捕场景的方法及系统

Publications (2)

Publication Number Publication Date
CN111935185A CN111935185A (zh) 2020-11-13
CN111935185B true CN111935185B (zh) 2021-01-08

Family

ID=73334300

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202011068764.6A Active CN111935185B (zh) 2020-10-09 2020-10-09 基于云计算构建大规模诱捕场景的方法及系统

Country Status (1)

Country Link
CN (1) CN111935185B (zh)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113268497A (zh) * 2020-12-15 2021-08-17 龚文凯 一种目标关键部位智能识别学习训练方法及其设备
CN112637217B (zh) * 2020-12-24 2022-11-25 企商在线(北京)数据技术股份有限公司 基于诱饵生成的云计算系统的主动防御方法及装置
CN116610458B (zh) * 2023-07-21 2023-11-14 江苏华存电子科技有限公司 一种优化功耗损失的数据处理方法及系统

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8554536B2 (en) * 2006-05-24 2013-10-08 Verizon Patent And Licensing Inc. Information operations support system, method, and computer program product
US9794287B1 (en) * 2016-10-31 2017-10-17 International Business Machines Corporation Implementing cloud based malware container protection
CN107911244A (zh) * 2017-11-17 2018-04-13 华南理工大学 一种云网结合的多用户蜜罐终端系统及其实现方法

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110602032A (zh) * 2019-06-19 2019-12-20 上海云盾信息技术有限公司 攻击识别方法及设备
CN110784476A (zh) * 2019-10-31 2020-02-11 国网河南省电力公司电力科学研究院 一种基于虚拟化动态部署的电力监控主动防御方法及系统
CN110784361A (zh) * 2019-10-31 2020-02-11 国网河南省电力公司电力科学研究院 虚拟化云蜜网部署方法、装置、系统及计算机可读存储介质
CN110881052A (zh) * 2019-12-25 2020-03-13 成都知道创宇信息技术有限公司 网络安全的防御方法、装置及系统、可读存储介质
CN111565199B (zh) * 2020-07-14 2021-10-01 腾讯科技(深圳)有限公司 网络攻击信息处理方法、装置、电子设备及存储介质

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8554536B2 (en) * 2006-05-24 2013-10-08 Verizon Patent And Licensing Inc. Information operations support system, method, and computer program product
US9794287B1 (en) * 2016-10-31 2017-10-17 International Business Machines Corporation Implementing cloud based malware container protection
CN107911244A (zh) * 2017-11-17 2018-04-13 华南理工大学 一种云网结合的多用户蜜罐终端系统及其实现方法

Also Published As

Publication number Publication date
CN111935185A (zh) 2020-11-13

Similar Documents

Publication Publication Date Title
CN111935185B (zh) 基于云计算构建大规模诱捕场景的方法及系统
CN111565205B (zh) 网络攻击识别方法、装置、计算机设备和存储介质
EP3343869B1 (en) A method for modeling attack patterns in honeypots
CN109818961B (zh) 一种网络入侵检测方法、装置和设备
CN113468071B (zh) 模糊测试用例生成方法、系统、计算机设备及存储介质
CN113328985B (zh) 一种被动物联网设备识别方法、系统、介质及设备
CN112800424A (zh) 一种基于随机森林的僵尸网络恶意流量监测方法
CN112019449B (zh) 流量识别抓包方法和装置
CN111953665B (zh) 服务器攻击访问识别方法及系统、计算机设备、存储介质
Islam et al. Network anomaly detection using lightgbm: A gradient boosting classifier
CN117216660A (zh) 基于时序网络流量集成异常点和异常集群检测方法及装置
CN110519228B (zh) 一种黑产场景下恶意云机器人的识别方法及系统
CN114338064A (zh) 识别网络流量类型的方法、装置、设备和存储介质
CN109067778B (zh) 一种基于蜜网数据的工控扫描器指纹识别方法
Muhati et al. Asynchronous advantage actor-critic (a3c) learning for cognitive network security
Nalavade et al. Evaluation of k-means clustering for effective intrusion detection and prevention in massive network traffic data
CN110650157B (zh) 基于集成学习的Fast-flux域名检测方法
CN116915450A (zh) 基于多步网络攻击识别和场景重构的拓扑剪枝优化方法
CN111224890A (zh) 一种云平台的流量分类方法、系统及相关设备
CN114205146B (zh) 一种多源异构安全日志的处理方法及装置
CN114362972B (zh) 一种基于流量摘要和图采样的僵尸网络混合检测方法及系统
CN111447169A (zh) 一种在网关上的实时恶意网页识别方法及系统
CN117391214A (zh) 模型训练方法、装置及相关设备
Fadel et al. HDLIDP: A Hybrid Deep Learning Intrusion Detection and Prevention Framework.
Huizinga Using machine learning in network traffic analysis for penetration testing auditability

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant