CN112398876B - 自适应拟态技术的网络安全预警系统 - Google Patents
自适应拟态技术的网络安全预警系统 Download PDFInfo
- Publication number
- CN112398876B CN112398876B CN202110069719.0A CN202110069719A CN112398876B CN 112398876 B CN112398876 B CN 112398876B CN 202110069719 A CN202110069719 A CN 202110069719A CN 112398876 B CN112398876 B CN 112398876B
- Authority
- CN
- China
- Prior art keywords
- preset
- simulation
- information
- matrix
- server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims description 14
- 238000004088 simulation Methods 0.000 claims abstract description 235
- 238000004891 communication Methods 0.000 claims abstract description 22
- 238000012544 monitoring process Methods 0.000 claims abstract description 22
- 238000005516 engineering process Methods 0.000 claims abstract description 7
- 239000011159 matrix material Substances 0.000 claims description 124
- 230000002159 abnormal effect Effects 0.000 claims description 104
- 238000012549 training Methods 0.000 claims description 59
- 230000003044 adaptive effect Effects 0.000 claims description 31
- 230000006399 behavior Effects 0.000 claims description 19
- 229910052774 Proactinium Inorganic materials 0.000 claims description 18
- 230000003993 interaction Effects 0.000 claims description 16
- 230000000694 effects Effects 0.000 claims description 8
- 229910052770 Uranium Inorganic materials 0.000 claims description 6
- 230000008569 process Effects 0.000 claims description 6
- 241000700605 Viruses Species 0.000 claims description 3
- 230000009471 action Effects 0.000 claims description 3
- 238000006467 substitution reaction Methods 0.000 abstract description 2
- 238000010586 diagram Methods 0.000 description 12
- 238000004590 computer program Methods 0.000 description 7
- 230000006870 function Effects 0.000 description 4
- 238000012545 processing Methods 0.000 description 4
- 230000008901 benefit Effects 0.000 description 3
- 238000001914 filtration Methods 0.000 description 2
- 206010001488 Aggression Diseases 0.000 description 1
- 230000016571 aggressive behavior Effects 0.000 description 1
- 208000012761 aggressive behavior Diseases 0.000 description 1
- 229910052797 bismuth Inorganic materials 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 238000002347 injection Methods 0.000 description 1
- 239000007924 injection Substances 0.000 description 1
- 230000002452 interceptive effect Effects 0.000 description 1
- 230000005923 long-lasting effect Effects 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000006855 networking Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000002085 persistent effect Effects 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 239000000243 solution Substances 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0896—Bandwidth or capacity management, i.e. automatically increasing or decreasing capacities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/50—Network service management, e.g. ensuring proper service fulfilment according to agreements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0209—Architectural arrangements, e.g. perimeter networks or demilitarized zones
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1491—Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提出了一种自适应拟态技术的网络安全预警系统,包括:仿真替身主机、真实主机、主服务器、模拟服务器和流量监测单元,若干真实主机与主服务器连接以组建成内网,仿真替身主机用于模拟真实主机的运行,所述模拟服务器用于模拟所述主服务器的运行,所述流量监测单元和若干个所述仿真替身主机分别与所述模拟服务器连接,以组建成模拟内网运行的外网,所述外网接入因特网,所述主服务器与所述模拟服务器之间能够进行加密通信。所述流量监测单元和若干个所述仿真替身主机分别与所述模拟服务器连接,以组建成模拟内网运行的外部网络,所述外网接入因特网,通过外部网络进行攻击行为的过滤,能够极大地提高内部网络的安全性,防止内网遭受攻击。
Description
技术领域
本发明涉及通信安全技术领域,具体而言,涉及一种自适应拟态技术的网络安全预警系统。
背景技术
目前,网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不因偶然的或者恶意的原因而遭受到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。
高级持续性威胁是一种有组织、有特定目标、持续时间极长的新型攻击。随着震网(Stuxnet)、Duqu、火焰(Flame)以及2015年针对乌克兰电厂的Killdisk攻击的曝光,可以看出,APT攻击会对各类工控网络和关键信息基础设施的安全造成巨大的威胁。
然而,现有的信息安全建设主要集中在边界防护上,对内网的攻击监测却处于空白状态。
发明内容
鉴于此,本发明提出了一种自适应拟态技术的网络安全预警系统,旨在解决对内网进行防护。
一个方面,本发明提出了一种自适应拟态技术的网络安全预警系统,包括:仿真替身主机、真实主机、主服务器、模拟服务器和流量监测单元,若干所述真实主机与所述主服务器连接以组建成内网,所述仿真替身主机用于模拟所述真实主机的运行,所述模拟服务器用于模拟所述主服务器的运行,所述流量监测单元和若干个所述仿真替身主机分别与所述模拟服务器连接,以组建成模拟内网运行的外网,所述外网接入因特网,所述主服务器与所述模拟服务器之间能够进行加密通信,所述内网通过所述模拟服务器与所述因特网进行连接;其中,
所述流量监测单元用于实时监测所述外网中的流量信息,并当所述流量信息中出现异常流量信息时,建立异常流量特征信息矩阵Q1,设定Q1(D1,S1,L1,P1),其中,D1为所述异常流量中的地址信息,S1为所述异常流量中的端口信息,L1为所述异常流量的应用类型,P1为所述异常流量所采用的协议信息;
所述模拟服务器用于建立预设流量特征信息矩阵组Q0,设定Q0(D0,S0,L0,P0),其中,D0为预设的地址信息矩阵,S0为预设的端口信息矩阵,L0为预设的应用类型矩阵,P0为预设的协议类型矩阵;其中,
当D1、S1、L1和P1分别位于D0、S0、L0和P0内时,则判断所述异常流量为非网络攻击行为,使系统继续正常运行;
当D1、S1、L1和P1不位于D0、S0、L0和P0内时,则判断可能存在网络攻击行为,向所述主服务器发出预警信息;
所述主服务器用于根据所述预警信息与所述模拟服务器之间建立加密通信,所述主服务器遍历数据库,当其中一所述真实主机的IP地址与D1中的目的IP地址相同时,对所述真实主机的IP地址进行修改,并将其中一所述仿真替身主机的IP地址修改为D1中的目的IP地址,以使得所述仿真替身主机与D1中的源IP地址的主机进行通信;
所述模拟服务器还用于对修改IP地址后的所述仿真替身主机进行监测;
当所述仿真替身主机内未出现网络攻击行为时,解除所述主服务器与所述模拟服务器之间的加密通信,将修改IP地址后的所述真实主机的IP地址修改回原IP地址以进行通信;
当所述仿真替身主机内出现网络攻击行为时,通过所述模拟服务器获取到攻击者的源地址和源端口信息后,将其加入黑名单后,清除所述仿真替身主机内的病毒。
进一步地,所述主服务器包括一编码模块,当所述模拟服务器建立所述预设流量特征信息矩阵组Q0后,将所述预设流量特征信息矩阵组Q0传输至所述编码模块,所述编码模块用于对所述预设流量特征信息矩阵组Q0进行编码,并获取预设流量特征信息编码矩阵组A0,并将所述预设流量特征信息编码矩阵组A0回传至所述模拟服务器进行存储;
所述模拟服务器用于当D1、S1、L1和P1其中之一不位于D0、S0、L0和P0内时,直接向所述主服务器发出预警信息;
当D1、S1、L1和P1其中两个不位于D0、S0、L0和P0内时,将D1、S1、L1和P1当中不位于D0、S0、L0和P0内的两个参数传输至所述编码模块,并通过所述编码模块进行编码,获取编码后的两个参数后回传至所述模拟服务器,所述模拟服务器将编码后的两个参数与A0进行比对,当编码后的两个参数不位于A0内时,所述模拟服务器向所述主服务器发出预警信息;
当D1、S1、L1和P1其中三个或者四个不位于D0、S0、L0和P0内时,所述模拟服务器向所述主服务器发送预警信息,两者之间开启加密通信;所述模拟服务器将D1、S1、L1和P1其中三个或者四个不位于D0、S0、L0和P0内的参数加密后传输至所述编码模块,并通过所述编码模块进行编码,获取编码后的三个或者四个参数后回传至所述模拟服务器,所述模拟服务器将编码后的三个或者四个参数与A0进行比对,当编码后的三个或者四个参数不位于A0内时,所述模拟服务器对所述异常流量进行限制。
进一步地,对于所述预设的地址信息矩阵D0,设定D0(D01,D02,D03,...D0n),其中,D01为第一预设地址信息,D02为第二预设地址信息,D03为第三预设地址信息,D0n为第n预设地址信息;
对于所述预设的端口信息矩阵S0,设定S0(S01,S02,S03,...S0n),其中,S01为第一预设端口信息,S02为第二预设端口信息,S03为第三预设端口信息,S0n为第n预设端口信息;
对于所述预设的应用类型矩阵L0,设定L0(L01,L02,L03,...L0n),其中,L01为第一预设应用类型,L02为第二预设应用类型,L03为第三预设应用类型,L0n为第n预设应用类型;
对于所述预设的协议类型矩阵P0,设定P0(P01,P02,P03,...P0n),其中,P01为第一预设协议类型,P02为第二预设协议类型,P03为第三预设协议类型,P0n为第n预设协议类型;
对于所述预设流量特征信息编码矩阵组A0,设定A0(Da,Sa,La,Pa),其中,Da为D0经所述编码模块编码后的预设地址信息编码矩阵,Sa为S0经所述编码模块编码后的预设端口信息编码矩阵,La为L0经所述编码模块编码后的预设应用类型编码矩阵,Pa为P0经所述编码模块编码后的预设协议类型编码矩阵;
所述编码模块在进行编码时,分别对所述第i预设地址信息D0i、第i预设端口信息S0i、第i预设应用类型L0i和第i预设协议类型P0i进行如下编码操作,i=1,2,3,...n:
将D0i中源IP地址的奇数位与目的IP地址的偶数位进行交换,并将进行奇偶交换后的源IP地址的偶数位进行二进制编码、奇数位进行十进制编码,目的IP地址中的偶数位进行八进制编码、奇数位进行十六进制编码,获取进行奇偶交换并编码后的字符串,在所述字符串的奇数位后插入0、偶数位后插入1后作为最终的第i预设地址信息编码Dai,i=1,2,3,...n,在对D01,D02,D03,...D0n依次进行编码后,建立所述预设地址信息编码矩阵Da,设定Da(Da1,Da2,Da3,...Dan),其中,Da1为第一预设地址信息编码,Da2为第二预设地址信息编码,Da3为第三预设地址信息编码,Dan为第n预设地址信息编码;
将S0i中源端口的偶数位与目的端口的奇数位进行交换,并将进行奇偶交换后的源端口的偶数位进行十六进制编码、奇数位进行二进制编码,目的端口中的偶数位进行十进制编码、奇数位进行八进制编码,获取进行奇偶交换并编码后的字符串,在所述字符串的奇数位后插入1、偶数位后插入0后作为最终的第i预设端口信息编码Sai,i=1,2,3,...n,在对S01,S02,S03,...S0n依次进行编码后,建立所述预设端口信息编码矩阵Sa,设定Sa(Sa1,Sa2,Sa3,...San),其中,Sa1为第一预设端口信息编码,Sa2为第二预设端口信息编码,Sa3为第三预设端口信息编码,San为第n预设端口信息编码;
将L0i中应用类型的奇数位之前添加字母A、偶数位之后添加字母T,并对添加字母A、T之后的应用类型的奇数位进行八进制运算、偶数位进行十六进制运算后生成字符串,并在字符串的奇数位前加入0后,生成最终的字符串作为第i预设应用类型编码Lai,i=1,2,3,...n,在对L01,L02,L03,...L0n依次进行编码后,建立所述预设应用类型编码矩阵La,设定La(La1,La2,La3,...Lan),其中,La1为第一预设应用类型编码,La2为第二预设应用类型编码,La3为第三预设应用类型编码,Lan为第n预设应用类型编码;
将P0i中协议信息的奇数位之前添加字母U、偶数位之后添加字母P,并对添加字母U、P之后的协议信息的奇数位进行八进制运算、偶数位进行十六进制运算后生成字符串,并在字符串的奇数位前加入1后,生成最终的字符串作为第i预设协议信息编码Pai,i=1,2,3,...n,在对P01,P02,P03,...P0n依次进行编码后,建立所述预设协议类型编码矩阵Pa,设定Pa(Pa1,Pa2,Pa3,...Pan),其中,Pa1为第一预设协议信息编码,Pa2为第二预设协议信息编码,Pa3为第三预设协议信息编码,Pan为第n预设协议信息编码;
所述编码模块还用于以对D0i、S0i、L0i和P0i进行编码的方式对D1、S1、L1和P1进行编码,并获取编码后的所述异常流量中的地址信息编码D1a、所述异常流量中的端口信息编码S1a、所述异常流量的应用类型编码L1a和所述异常流量所采用的协议信息编码P1a,并建立异常流量特征信息矩阵Q1a,设定Q1a(D1a,S1a,L1a,P1a);
所述模拟服务器接收A0和Q1a,并将Q1a中的参数与A0内的参数进行比对,以判断所述D1a,S1a,L1a和P1a是否分别位于Da,Sa,La和Pa内。
进一步地,所述模拟服务器还用于在将接收到的A0和Q1a进行比对时,根据比对结果对所述异常流量的带宽和Qos优先级进行调整;其中,
所述模拟服务器包括带宽限制模块和Qos优先级配置模块,所述带宽限制模块内建立有带宽限制矩阵X,设定X(X1,X2,X3,X4),其中,X1为第一预设带宽,X2为第二预设带宽,X3为第三预设带宽,X4为第四预设带宽,且X1>X2>X3>X4;
所述Qos优先级配置模块内建立有Qos优先级配置矩阵Y,设定Y(Y1,Y2,Y3,Y4),其中,Y1为第一预设Qos优先级配置参数,Y2为第二预设Qos优先级配置参数,Y3为第三预设Qos优先级配置参数,Y4为第四预设Qos优先级配置参数,且Y1>Y2>Y3>Y4;
当D1a,S1a,L1a和P1a其中之一不位于Da,Sa,La和Pa内时,将所述异常流量的带宽调整为X1,将所述异常流量的Qos优先级配置为Y1;
当D1a,S1a,L1a和P1a其中两个不位于Da,Sa,La和Pa内时,将所述异常流量的带宽调整为X2,将所述异常流量的Qos优先级配置为Y2;
当D1a,S1a,L1a和P1a其中三个不位于Da,Sa,La和Pa内时,将所述异常流量的带宽调整为X3,将所述异常流量的Qos优先级配置为Y3;
当D1a,S1a,L1a和P1a均不位于Da,Sa,La和Pa内时,将所述异常流量的带宽调整为X4,将所述异常流量的Qos优先级配置为Y4。
进一步地,所述主服务器包括一训练模型模块,所述训练模型模块用于采集各所述真实主机的事件信息、上网行为信息、数据交互信息和工作状态信息,并根据采集的数据建立训练模型,通过所述训练模型模拟所述真实主机的运行,且在建立所述训练模型后,将所述训练模型内的所述真实主机数据替换为模拟仿真数据,以保证数据的安全;
所述训练模型模块用于将所述训练模型注入所述模拟服务器内,所述模拟服务器根据所述训练模型控制各所述仿真替身主机模拟所述真实主机的运行状态及数据交互过程。
进一步地,所述训练模型模块内建立有训练模型运行周期矩阵T,设定T(T1,T2,T3,T4),其中,T1为第一预设周期内训练模型的运行状态,T2为第二预设周期内训练模型的运行状态,T3为第三预设周期内训练模型的运行状态,T4为第四预设周期内训练模型的运行状态,且T1、T2、T3和T4的训练模型内的主机活跃度和数据交互量依次提高;
当所述异常流量的带宽调整为X1,所述异常流量的Qos优先级配置为Y1时,所述模拟服务器选用T1控制所述仿真替身主机的运行;
当所述异常流量的带宽调整为X2,所述异常流量的Qos优先级配置为Y2时,所述模拟服务器选用T2控制所述仿真替身主机的运行;
当所述异常流量的带宽调整为X3,所述异常流量的Qos优先级配置为Y3时,所述模拟服务器选用T3控制所述仿真替身主机的运行;
当所述异常流量的带宽调整为X4,所述异常流量的Qos优先级配置为Y4时,所述模拟服务器选用T4控制所述仿真替身主机的运行。
进一步地,所述模拟服务器用于建立攻击类型矩阵C,设定C(C1,C2,C3,...Cn),其中,C1为第一预设攻击类型,C2为第二预设攻击类型,C3为第三预设攻击类型,Cn为第n预设攻击类型;
建立危险系数矩阵B,设定B(B1,B2,B3,...Bn),其中,B1为C1的危险系数,B2为C2的危险系数,B3为C3的危险系数,Bn为Cn的危险系数;
建立防护等级系数矩阵Z,设定Z(Z1,Z2,Z3,Z4),Z1为第一预设防护等级系数,Z2为第二预设防护等级系数,Z3为第三预设防护等级系数,Z4为第四预设防护等级系数,0<Z1<Z2<Z3<Z4<1;
当所述模拟服务器监测到所述仿真替身主机中发生攻击行为时,确定被攻击的所述仿真替身主机所发送的报文的丢包率W,确定真实攻击类型,并在所述攻击类型矩阵C中确定所述真实攻击类型所对应的第i预设攻击类型Ci,并确定Ci所对应的危险系数Bi,i=1,2,3,...n;
当Bi≤Z1时,将被攻击的所述仿真替身主机的带宽限制为X1*Z1、Qos优先级配置参数设置为Y1,并将丢包率调整为W*(1-Z1);
当Z1<Bi≤Z2时,将被攻击的所述仿真替身主机的带宽限制为X2*Z2、Qos优先级配置参数设置为Y2,并将丢包率调整为W*(1-Z2);
当Z2<Bi≤Z3时,将被攻击的所述仿真替身主机的带宽限制为X3*Z3、Qos优先级配置参数设置为Y3,并将丢包率调整为W*(1-Z3);
当Z3<Bi≤Z4时,将被攻击的所述仿真替身主机的带宽限制为X4*Z4、Qos优先级配置参数设置为Y4,并将丢包率调整为W*(1-Z4);
当Z4<Bi时,将被攻击的所述仿真替身主机的带宽限制为Z1*Z2*Z3*Z4*X4、Qos优先级调整为最低,并将丢包率调整为W*Z1*Z2*Z3*Z4。
进一步地,所述主服务器和模拟服务器之间设置有一加密模块,所述加密模块用于使所述主服务器与所述模拟服务器之间进行加密通讯。
进一步地,所述模拟服务器内预设有自适应拟态第一预设状态矩阵C01和自适应拟态第二预设状态矩阵C02,对于所述自适应拟态第一预设状态矩阵C01,设定C01(T01,H01,E01,F01),其中,T01为第一预设时间范围,H01为Windows系统,E01为http服务,F01为第一预设端口;对于所述第二预设状态矩阵C02,设定C02(T02,H02,E02,F02),其中,T02为第二预设时间范围,H02为Linux系统,E02为ftp服务,F02为第二预设端口,所述第一预设时间范围T01和所述第二预设时间范围T02选取的时间范围不重合;
所述模拟服务器还用于实时采集当前系统时间△T,并根据所述当前系统时间△T与所述第一预设时间范围T01和第二预设时间范围T02之间的关系,确定所述仿真替身主机的运行状态;
当△T位于T01的范围内时,所述模拟服务器根据所述自适应拟态第一预设状态矩阵C01设定所述仿真替身主机的运行状态,将所述仿真替身主机的系统设定为H01,服务类型设定为E01,端口设定为F01;
当△T位于T02的范围内时,所述模拟服务器根据所述自适应拟态第二预设状态矩阵C02设定所述仿真替身主机的运行状态,将所述仿真替身主机的系统设定为H02,服务类型设定为E02,端口设定为F02。
进一步地,所述第一预设时间范围T01和第二预设时间范围T02依次交替取值。
与现有技术相比,本发明的有益效果在于,通过设置仿真替身主机、真实主机、主服务器、模拟服务器和流量监测单元,若干所述真实主机与所述主服务器连接以组建成内部网络,所述仿真替身主机用于模拟所述真实主机的运行,所述模拟服务器用于模拟所述主服务器的运行,所述流量监测单元和若干个所述仿真替身主机分别与所述模拟服务器连接,以组建成模拟内网运行的外部网络,所述外网接入因特网,通过外部网络进行攻击行为的过滤,能够极大地提高内部网络的安全性,防止内网遭受攻击。
进一步地,通过搭建能够模拟内网运行的外部网络,当攻击发生时,将攻击行为引导至外部网络内,从而避免内网遭受攻击,有效地提高内网的安全性,防止内网被破坏。
进一步地,所述模拟服务器还用于在将接收到的A0和Q1a进行比对时,根据比对结果对所述异常流量的带宽和Qos优先级进行调整,通过对异常流量的带宽和Qos优先级进行限制,能够有效地降低异常流量对系统正常运行的影响,同时,通过将异常流量的带宽和Qos优先级,能够有效地限制异常流量的数据交互,进而降低异常流量的攻击效率,能够使系统具有足够的时间进行防护和反击。
进一步地,所述模拟服务器内预设有自适应拟态第一预设状态矩阵C01和自适应拟态第二预设状态矩阵C02,所述模拟服务器还用于实时采集当前系统时间△T,并根据所述当前系统时间△T与所述第一预设时间范围T01和第二预设时间范围T02之间的关系,确定所述仿真替身主机的运行状态,通过设置不同的仿真替身主机的运行状态,在不同的时刻是仿真替身主机进行运行状态的变化,以提高系统的活跃度,从而迷惑入侵者,并引起入侵者的兴趣,以使入侵者对仿真替身主机进行攻击,进而有效地对内网进行保护。
附图说明
通过阅读下文优选实施方式的详细描述,各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的,而并不认为是对本发明的限制。而且在整个附图中,用相同的参考符号表示相同的部件。在附图中:
图1为本发明实施例提供的自适应拟态技术的网络安全预警系统的功能框图;
图2为本发明实施例提供的主服务器的功能框图;
图3为本发明实施例提供的模拟服务器的功能框图。
具体实施方式
下面将参照附图更详细地描述本公开的示例性实施例。虽然附图中显示了本公开的示例性实施例,然而应当理解,可以以各种形式实现本公开而不应被这里阐述的实施例所限制。相反,提供这些实施例是为了能够更透彻地理解本公开,并且能够将本公开的范围完整的传达给本领域的技术人员。需要说明的是,在不冲突的情况下,本发明中的实施例及实施例中的特征可以相互组合。下面将参考附图并结合实施例来详细说明本发明。
参阅图1所示,其为本实施例提供的自适应拟态技术的网络安全预警系统的功能框图。本实施例提供了一种自适应拟态技术的网络安全预警系统,包括:仿真替身主机、真实主机、主服务器、模拟服务器和流量监测单元,若干所述真实主机与所述主服务器连接以组建成内网,所述仿真替身主机用于模拟所述真实主机的运行,所述模拟服务器用于模拟所述主服务器的运行,所述流量监测单元和若干个所述仿真替身主机分别与所述模拟服务器连接,以组建成模拟内网运行的外网,所述外网接入因特网,所述主服务器与所述模拟服务器之间能够进行加密通信。
具体而言,若干真实主机和主服务器连接组成内部网络,即,内部局域网络。若干个仿真替身主机分别和模拟服务器连接,以组成一外部网络,即,位于内部局域网络之外的一局域网络,且内部网络与外部网络之间的主服务器和模拟服务器进行连接通信。通过设置外部网络,能够有效地对网络攻击进行引导,以将攻击引导至外部网络当中,从而避免内部真实网络遭遇攻击,提高安全性。
具体而言,流量监测单元与模拟服务器连接,即,将流量监测单元设置在外部网络当中。
具体而言,模拟服务器内设置有因特网接入模块,用于将外部网络接入因特网。同时,内部网络通过模拟服务器与因特网进行连接。
具体而言,所述流量监测单元用于实时监测所述外网中的流量信息,并当所述流量信息中出现异常流量信息时,建立异常流量特征信息矩阵Q1,设定Q1(D1,S1,L1,P1),其中,D1为所述异常流量中的地址信息,S1为所述异常流量中的端口信息,L1为所述异常流量的应用类型,P1为所述异常流量所采用的协议信息。
具体而言,模拟服务器内设置有流量日志,当检测到异常流量时,流量监测单元能够从流量日志中提取异常流量的特征信息,并根据提取的特征信息建立所述异常流量特征信息矩阵Q1。
具体而言,所述模拟服务器用于建立预设流量特征信息矩阵组Q0,设定Q0(D0,S0,L0,P0),其中,D0为预设的地址信息矩阵,S0为预设的端口信息矩阵,L0为预设的应用类型矩阵,P0为预设的协议类型矩阵。
具体而言,在模拟服务器内设置预设流量特征信息矩阵组Q0,该预设流量特征信息矩阵组Q0为各仿真替身主机、真实主机在正常运行时产生的流量的特征信息,模拟服务器根据正常运行流量特征信息建立上述预设流量特征信息矩阵组Q0。
具体而言,模拟服务器将异常流量特征信息矩阵Q1中的D1、S1、L1和P1的信息一一的与预设流量特征信息矩阵组Q0中D0、S0、L0和P0进行比对,以判断D1、S1、L1和P1的信息是否在D0、S0、L0和P0的范围内。
具体而言,当D1、S1、L1和P1分别位于D0、S0、L0和P0内时,则判断所述异常流量为非网络攻击行为,使系统继续正常运行;
当D1、S1、L1和P1不位于D0、S0、L0和P0内时,则判断可能存在网络攻击行为,向所述主服务器发出预警信息。
具体而言,所述主服务器用于根据所述预警信息与所述模拟服务器之间建立加密通信,所述主服务器遍历数据库,当其中一所述真实主机的IP地址与D1中的目的IP地址相同时,对所述真实主机的IP地址进行修改,并将其中一所述仿真替身主机的IP地址修改为D1中的目的IP地址,以使得所述仿真替身主机与D1中的源IP地址的主机进行通信。具体的,当异常流量中可能存在攻击行为时,主服务器获取异常流量的目的IP地址,判断此IP地址是否为系统中的真实主机的IP地址,当其为真实主机的IP地址时,对真实主机的IP地址进行修改,并将其中一仿真替身主机的IP地址修改为D1中的目的IP地址,从而使得异常流量与仿真替身主机进行通信,以将可能存在的威胁引向仿真替身主机,从而保证真实主机的安全。
具体而言,所述模拟服务器还用于对修改IP地址后的所述仿真替身主机进行监测;当所述仿真替身主机内未出现网络攻击行为时,解除所述主服务器与所述模拟服务器之间的加密通信,将修改IP地址后的所述真实主机的IP地址修改回原IP地址以进行通信;
当所述仿真替身主机内出现网络攻击行为时,通过所述模拟服务器获取到攻击者的源地址和源端口信息后,将其加入黑名单后,清除所述仿真替身主机内的病毒。
可以看出,本实施例通过设置仿真替身主机、真实主机、主服务器、模拟服务器和流量监测单元,若干所述真实主机与所述主服务器连接以组建成内部网络,所述仿真替身主机用于模拟所述真实主机的运行,所述模拟服务器用于模拟所述主服务器的运行,所述流量监测单元和若干个所述仿真替身主机分别与所述模拟服务器连接,以组建成模拟内网运行的外部网络,所述外网接入因特网,通过外部网络进行攻击行为的过滤,能够极大地提高内部网络的安全性,防止内网遭受攻击。
进一步地,通过搭建能够模拟内网运行的外部网络,当攻击发生时,将攻击行为引导至外部网络内,从而避免内网遭受攻击,有效地提高内网的安全性,防止内网被破坏。
继续参阅图1所示,具体而言,所述主服务器和模拟服务器之间设置有一加密模块,所述加密模块用于使所述主服务器与所述模拟服务器之间进行加密通讯。即,通过加密模块对所述主服务器和模拟服务器之间的交互数据进行加密,从而使得两者之间建立加密通信连接,防止外网对内网的入侵。
具体而言,加密模块优选为一加密芯片。
结合图2所示,具体而言,所述主服务器包括一编码模块,当所述模拟服务器建立所述预设流量特征信息矩阵组Q0后,将所述预设流量特征信息矩阵组Q0传输至所述编码模块,所述编码模块用于对所述预设流量特征信息矩阵组Q0进行编码,并获取预设流量特征信息编码矩阵组A0,并将所述预设流量特征信息编码矩阵组A0回传至所述模拟服务器进行存储。
具体而言,所述模拟服务器用于当D1、S1、L1和P1其中之一不位于D0、S0、L0和P0内时,直接向所述主服务器发出预警信息;
当D1、S1、L1和P1其中两个不位于D0、S0、L0和P0内时,将D1、S1、L1和P1当中不位于D0、S0、L0和P0内的两个参数传输至所述编码模块,并通过所述编码模块进行编码,获取编码后的两个参数后回传至所述模拟服务器,所述模拟服务器将编码后的两个参数与A0进行比对,当编码后的两个参数不位于A0内时,所述模拟服务器向所述主服务器发出预警信息;
当D1、S1、L1和P1其中三个或者四个不位于D0、S0、L0和P0内时,所述模拟服务器向所述主服务器发送预警信息,两者之间开启加密通信;所述模拟服务器将D1、S1、L1和P1其中三个或者四个不位于D0、S0、L0和P0内的参数加密后传输至所述编码模块,并通过所述编码模块进行编码,获取编码后的三个或者四个参数后回传至所述模拟服务器,所述模拟服务器将编码后的三个或者四个参数与A0进行比对,当编码后的三个或者四个参数不位于A0内时,所述模拟服务器对所述异常流量进行限制。
具体而言,对于所述预设的地址信息矩阵D0,设定D0(D01,D02,D03,...D0n),其中,D01为第一预设地址信息,D02为第二预设地址信息,D03为第三预设地址信息,D0n为第n预设地址信息;
对于所述预设的端口信息矩阵S0,设定S0(S01,S02,S03,...S0n),其中,S01为第一预设端口信息,S02为第二预设端口信息,S03为第三预设端口信息,S0n为第n预设端口信息;
对于所述预设的应用类型矩阵L0,设定L0(L01,L02,L03,...L0n),其中,L01为第一预设应用类型,L02为第二预设应用类型,L03为第三预设应用类型,L0n为第n预设应用类型;
对于所述预设的协议类型矩阵P0,设定P0(P01,P02,P03,...P0n),其中,P01为第一预设协议类型,P02为第二预设协议类型,P03为第三预设协议类型,P0n为第n预设协议类型;
对于所述预设流量特征信息编码矩阵组A0,设定A0(Da,Sa,La,Pa),其中,Da为D0经所述编码模块编码后的预设地址信息编码矩阵,Sa为S0经所述编码模块编码后的预设端口信息编码矩阵,La为L0经所述编码模块编码后的预设应用类型编码矩阵,Pa为P0经所述编码模块编码后的预设协议类型编码矩阵;
所述编码模块在进行编码时,分别对所述第i预设地址信息D0i、第i预设端口信息S0i、第i预设应用类型L0i和第i预设协议类型P0i进行如下编码操作,i=1,2,3,...n:
将D0i中源IP地址的奇数位与目的IP地址的偶数位进行交换,并将进行奇偶交换后的源IP地址的偶数位进行二进制编码、奇数位进行十进制编码,目的IP地址中的偶数位进行八进制编码、奇数位进行十六进制编码,获取进行奇偶交换并编码后的字符串,在所述字符串的奇数位后插入0、偶数位后插入1后作为最终的第i预设地址信息编码Dai,i=1,2,3,...n,在对D01,D02,D03,...D0n依次进行编码后,建立所述预设地址信息编码矩阵Da,设定Da(Da1,Da2,Da3,...Dan),其中,Da1为第一预设地址信息编码,Da2为第二预设地址信息编码,Da3为第三预设地址信息编码,Dan为第n预设地址信息编码;
将S0i中源端口的偶数位与目的端口的奇数位进行交换,并将进行奇偶交换后的源端口的偶数位进行十六进制编码、奇数位进行二进制编码,目的端口中的偶数位进行十进制编码、奇数位进行八进制编码,获取进行奇偶交换并编码后的字符串,在所述字符串的奇数位后插入1、偶数位后插入0后作为最终的第i预设端口信息编码Sai,i=1,2,3,...n,在对S01,S02,S03,...S0n依次进行编码后,建立所述预设端口信息编码矩阵Sa,设定Sa(Sa1,Sa2,Sa3,...San),其中,Sa1为第一预设端口信息编码,Sa2为第二预设端口信息编码,Sa3为第三预设端口信息编码,San为第n预设端口信息编码;
将L0i中应用类型的奇数位之前添加字母A、偶数位之后添加字母T,并对添加字母A、T之后的应用类型的奇数位进行八进制运算、偶数位进行十六进制运算后生成字符串,并在字符串的奇数位前加入0后,生成最终的字符串作为第i预设应用类型编码Lai,i=1,2,3,...n,在对L01,L02,L03,...L0n依次进行编码后,建立所述预设应用类型编码矩阵La,设定La(La1,La2,La3,...Lan),其中,La1为第一预设应用类型编码,La2为第二预设应用类型编码,La3为第三预设应用类型编码,Lan为第n预设应用类型编码;
将P0i中协议信息的奇数位之前添加字母U、偶数位之后添加字母P,并对添加字母U、P之后的协议信息的奇数位进行八进制运算、偶数位进行十六进制运算后生成字符串,并在字符串的奇数位前加入1后,生成最终的字符串作为第i预设协议信息编码Pai,i=1,2,3,...n,在对P01,P02,P03,...P0n依次进行编码后,建立所述预设协议类型编码矩阵Pa,设定Pa(Pa1,Pa2,Pa3,...Pan),其中,Pa1为第一预设协议信息编码,Pa2为第二预设协议信息编码,Pa3为第三预设协议信息编码,Pan为第n预设协议信息编码;
所述编码模块还用于以对D0i、S0i、L0i和P0i进行编码的方式对D1、S1、L1和P1进行编码,并获取编码后的所述异常流量中的地址信息编码D1a、所述异常流量中的端口信息编码S1a、所述异常流量的应用类型编码L1a和所述异常流量所采用的协议信息编码P1a,并建立异常流量特征信息矩阵Q1a,设定Q1a(D1a,S1a,L1a,P1a);
所述模拟服务器接收A0和Q1a,并将Q1a中的参数与A0内的参数进行比对,以判断所述D1a,S1a,L1a和P1a是否分别位于Da,Sa,La和Pa内。
可以看出,通过主服务器和模拟服务器之间进行数据编码后,能够有效地保证数据的安全不被破坏,从而提高系统内部的安全性。
结合图3所示,具体而言,所述模拟服务器包括比对模块和控制模块,所述比对模块用于进行数据比对,所述控制模块用于进行带宽和Qos优先级的控制与调整。
具体而言,所述模拟服务器还用于在将接收到的A0和Q1a进行比对时,根据比对结果对所述异常流量的带宽和Qos优先级进行调整,即,通过比对模块对接收到的A0和Q1a进行比对,并输出比对结果,控制模块根据比对模块输出的比对结果,对异常流量的带宽和Qos优先级进行调整。
具体而言,所述模拟服务器还包括带宽限制模块和Qos优先级配置模块,具体的,带宽限制模块和Qos优先级配置模块内置于控制模块内。
具体而言,所述带宽限制模块内建立有带宽限制矩阵X,设定X(X1,X2,X3,X4),其中,X1为第一预设带宽,X2为第二预设带宽,X3为第三预设带宽,X4为第四预设带宽,且X1>X2>X3>X4。
具体而言,所述Qos优先级配置模块内建立有Qos优先级配置矩阵Y,设定Y(Y1,Y2,Y3,Y4),其中,Y1为第一预设Qos优先级配置参数,Y2为第二预设Qos优先级配置参数,Y3为第三预设Qos优先级配置参数,Y4为第四预设Qos优先级配置参数,且Y1>Y2>Y3>Y4。
具体而言,当D1a,S1a,L1a和P1a其中之一不位于Da,Sa,La和Pa内时,将所述异常流量的带宽调整为X1,将所述异常流量的Qos优先级配置为Y1;
当D1a,S1a,L1a和P1a其中两个不位于Da,Sa,La和Pa内时,将所述异常流量的带宽调整为X2,将所述异常流量的Qos优先级配置为Y2;
当D1a,S1a,L1a和P1a其中三个不位于Da,Sa,La和Pa内时,将所述异常流量的带宽调整为X3,将所述异常流量的Qos优先级配置为Y3;
当D1a,S1a,L1a和P1a均不位于Da,Sa,La和Pa内时,将所述异常流量的带宽调整为X4,将所述异常流量的Qos优先级配置为Y4。
具体而言,所述主服务器还包括一训练模型模块,所述训练模型模块用于采集各所述真实主机的事件信息、上网行为信息、数据交互信息和工作状态信息,并根据采集的数据建立训练模型,通过所述训练模型模拟所述真实主机的运行,且在建立所述训练模型后,将所述训练模型内的所述真实主机数据替换为模拟仿真数据,以保证数据的安全;
所述训练模型模块用于将所述训练模型注入所述模拟服务器内,所述模拟服务器根据所述训练模型控制各所述仿真替身主机模拟所述真实主机的运行状态及数据交互过程。
具体而言,通过设置训练模型模块以获取内部网络中各个真实主机的运行情况以及数据交互情况,从而建立训练模型,通过模拟服务器获取训练模型,并根据训练模型对各个仿真替身主机进行控制,从而使得仿真替身主机模拟真实主机的运行及数据交互过程,从而通过外部网络模拟出内部网络的运行情况,当网络攻击出现时,将攻击引导至外部网络中,从而有效的避免了对内部网络的威胁,保证了内部网络的安全。
具体而言,所述训练模型模块内建立有训练模型运行周期矩阵T,设定T(T1,T2,T3,T4),其中,T1为第一预设周期内训练模型的运行状态,T2为第二预设周期内训练模型的运行状态,T3为第三预设周期内训练模型的运行状态,T4为第四预设周期内训练模型的运行状态,且T1、T2、T3和T4的训练模型内的主机活跃度和数据交互量依次提高。
具体而言,在训练模型内建立真实主机不同的运行周期数据库,对每一预设周期内的预设数量的真实主机的运行状态和数据交互过程进行信息采集,通过建立的训练数据库建立训练模型,并在训练模型内建立不同周期内的训练模型的运行状态,即,建立不同周期内的训练模型中真实主机组网数量、活跃度以及数据交互量等信息的运行状态,以便于训练模型能够模拟不同情况下的真实主机的运行。
具体而言,当所述异常流量的带宽调整为X1,所述异常流量的Qos优先级配置为Y1时,所述模拟服务器选用T1控制所述仿真替身主机的运行;
当所述异常流量的带宽调整为X2,所述异常流量的Qos优先级配置为Y2时,所述模拟服务器选用T2控制所述仿真替身主机的运行;
当所述异常流量的带宽调整为X3,所述异常流量的Qos优先级配置为Y3时,所述模拟服务器选用T3控制所述仿真替身主机的运行;
当所述异常流量的带宽调整为X4,所述异常流量的Qos优先级配置为Y4时,所述模拟服务器选用T4控制所述仿真替身主机的运行。
可以看出,当异常流量的信息匹配度越低时,异常流量所配置的带宽和Qos优先级会越低,并且,此时的仿真替身主机的活跃度和数据交互量会越高,从而诱导异常流量对高活跃度和高数据交互量的仿真替身主机进行交互,从而交攻击引导至仿真替身主机内,避免了对真实主机的攻击,保证了内网的安全性。
具体而言,所述模拟服务器用于建立攻击类型矩阵C,设定C(C1,C2,C3,...Cn),其中,C1为第一预设攻击类型,C2为第二预设攻击类型,C3为第三预设攻击类型,Cn为第n预设攻击类型。具体的,攻击类型包括但不限于SQL注入、Source Code信息泄露、目录遍历、DDOS-CC、Flash跨域漏洞、命令执行、Web后门和WebDAW写文件漏洞等攻击方式。
具体而言,建立危险系数矩阵B,设定B(B1,B2,B3,...Bn),其中,B1为C1的危险系数,B2为C2的危险系数,B3为C3的危险系数,Bn为Cn的危险系数。根据不同的攻击方式建立与其相对应的危险系数,以表示危险程度。
具体而言,建立防护等级系数矩阵Z,设定Z(Z1,Z2,Z3,Z4),Z1为第一预设防护等级系数,Z2为第二预设防护等级系数,Z3为第三预设防护等级系数,Z4为第四预设防护等级系数,0<Z1<Z2<Z3<Z4<1。
具体而言,当所述模拟服务器监测到所述仿真替身主机中发生攻击行为时,确定被攻击的所述仿真替身主机所发送的报文的丢包率W,确定真实攻击类型,并在所述攻击类型矩阵C中确定所述真实攻击类型所对应的第i预设攻击类型Ci,并确定Ci所对应的危险系数Bi,i=1,2,3,...n;
当Bi≤Z1时,将被攻击的所述仿真替身主机的带宽限制为X1*Z1、Qos优先级配置参数设置为Y1,并将丢包率调整为W*(1-Z1);
当Z1<Bi≤Z2时,将被攻击的所述仿真替身主机的带宽限制为X2*Z2、Qos优先级配置参数设置为Y2,并将丢包率调整为W*(1-Z2);
当Z2<Bi≤Z3时,将被攻击的所述仿真替身主机的带宽限制为X3*Z3、Qos优先级配置参数设置为Y3,并将丢包率调整为W*(1-Z3);
当Z3<Bi≤Z4时,将被攻击的所述仿真替身主机的带宽限制为X4*Z4、Qos优先级配置参数设置为Y4,并将丢包率调整为W*(1-Z4);
当Z4<Bi时,将被攻击的所述仿真替身主机的带宽限制为Z1*Z2*Z3*Z4*X4、Qos优先级调整为最低,并将丢包率调整为W*Z1*Z2*Z3*Z4。
可以看出,根据攻击类型确定相应的危险系数以确定攻击方式的危险程度,并根据相应的危险程度设定被攻击的仿真替身主机带宽限制、Qos优先级配置参数和丢包率,能够降低此主机的数据交互量,从而使得攻击效率降低,便于系统有足够的的时间定为攻击源以及及时的作出防护反应,以及及时提高防护等级,防止攻击渗入内网,以提高了内网的安全性。
具体而言,所述模拟服务器内预设有自适应拟态第一预设状态矩阵C01和自适应拟态第二预设状态矩阵C02,对于所述自适应拟态第一预设状态矩阵C01,设定C01(T01,H01,E01,F01),其中,T01为第一预设时间范围,H01为Windows系统,E01为http服务,F01为第一预设端口;对于所述第二预设状态矩阵C02,设定C02(T02,H02,E02,F02),其中,T02为第二预设时间范围,H02为Linux系统,E02为ftp服务,F02为第二预设端口,所述第一预设时间范围T01和所述第二预设时间范围T02选取的时间范围不重合;
所述模拟服务器还用于实时采集当前系统时间△T,并根据所述当前系统时间△T与所述第一预设时间范围T01和第二预设时间范围T02之间的关系,确定所述仿真替身主机的运行状态;
当△T位于T01的范围内时,所述模拟服务器根据所述自适应拟态第一预设状态矩阵C01设定所述仿真替身主机的运行状态,将所述仿真替身主机的系统设定为H01,服务类型设定为E01,端口设定为F01;
当△T位于T02的范围内时,所述模拟服务器根据所述自适应拟态第二预设状态矩阵C02设定所述仿真替身主机的运行状态,将所述仿真替身主机的系统设定为H02,服务类型设定为E02,端口设定为F02。
具体而言,所述第一预设时间范围T01和第二预设时间范围T02依次交替取值。
具体而言,第一预设时间范围T01可以为0-2时、4-6时和8-10时,第二预设时间范围T02可以为2-4时、6-8时和10-12时,还可以的是,T01选取奇数小时,T02选取偶数小时,T01和T02只需能够满足进行交替顺次选取时间范围即可。
可以看出,所述模拟服务器内预设有自适应拟态第一预设状态矩阵C01和自适应拟态第二预设状态矩阵C02,所述模拟服务器还用于实时采集当前系统时间△T,并根据所述当前系统时间△T与所述第一预设时间范围T01和第二预设时间范围T02之间的关系,确定所述仿真替身主机的运行状态,通过设置不同的仿真替身主机的运行状态,在不同的时刻是仿真替身主机进行运行状态的变化,以提高系统的活跃度,从而迷惑入侵者,并引起入侵者的兴趣,以使入侵者对仿真替身主机进行攻击,进而有效地对内网进行保护。
本领域内的技术人员应明白,本申请的实施例可提供为方法、系统、或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
最后应当说明的是:以上实施例仅用以说明本发明的技术方案而非对其限制,尽管参照上述实施例对本发明进行了详细的说明,所属领域的普通技术人员应当理解:依然可以对本发明的具体实施方式进行修改或者等同替换,而未脱离本发明精神和范围的任何修改或者等同替换,其均应涵盖在本发明的权利要求保护范围之内。
Claims (10)
1.一种自适应拟态技术的网络安全预警系统,其特征在于,包括:仿真替身主机、真实主机、主服务器、模拟服务器和流量监测单元,若干所述真实主机与所述主服务器连接以组建成内网,所述仿真替身主机用于模拟所述真实主机的运行,所述模拟服务器用于模拟所述主服务器的运行,所述流量监测单元和若干个所述仿真替身主机分别与所述模拟服务器连接,以组建成模拟内网运行的外网,所述外网接入因特网,所述主服务器与所述模拟服务器之间能够进行加密通信,所述内网通过所述模拟服务器与所述因特网进行连接;其中,
所述流量监测单元用于实时监测所述外网中的流量信息,并当所述流量信息中出现异常流量信息时,建立异常流量特征信息矩阵Q1,设定Q1(D1,S1,L1,P1),其中,D1为所述异常流量中的地址信息,S1为所述异常流量中的端口信息,L1为所述异常流量的应用类型,P1为所述异常流量所采用的协议信息;
所述模拟服务器用于建立预设流量特征信息矩阵组Q0,设定Q0(D0,S0,L0,P0),其中,D0为预设的地址信息矩阵,S0为预设的端口信息矩阵,L0为预设的应用类型矩阵,P0为预设的协议类型矩阵;其中,
当D1、S1、L1和P1分别位于D0、S0、L0和P0内时,则判断所述异常流量为非网络攻击行为,使系统继续正常运行;
当D1、S1、L1和P1不位于D0、S0、L0和P0内时,则判断可能存在网络攻击行为,向所述主服务器发出预警信息;
所述主服务器用于根据所述预警信息与所述模拟服务器之间建立加密通信,所述主服务器遍历数据库,当其中一所述真实主机的IP地址与D1中的目的IP地址相同时,对所述真实主机的IP地址进行修改,并将其中一所述仿真替身主机的IP地址修改为D1中的目的IP地址,以使得所述仿真替身主机与D1中的源IP地址的主机进行通信;
所述模拟服务器还用于对修改IP地址后的所述仿真替身主机进行监测;
当所述仿真替身主机内未出现网络攻击行为时,解除所述主服务器与所述模拟服务器之间的加密通信,将修改IP地址后的所述真实主机的IP地址修改回原IP地址以进行通信;
当所述仿真替身主机内出现网络攻击行为时,通过所述模拟服务器获取到攻击者的源地址和源端口信息后,将其加入黑名单后,清除所述仿真替身主机内的病毒。
2.根据权利要求1所述的自适应拟态技术的网络安全预警系统,其特征在于,
所述主服务器包括一编码模块,当所述模拟服务器建立所述预设流量特征信息矩阵组Q0后,将所述预设流量特征信息矩阵组Q0传输至所述编码模块,所述编码模块用于对所述预设流量特征信息矩阵组Q0进行编码,并获取预设流量特征信息编码矩阵组A0,并将所述预设流量特征信息编码矩阵组A0回传至所述模拟服务器进行存储;
所述模拟服务器用于当D1、S1、L1和P1其中之一不位于D0、S0、L0和P0内时,直接向所述主服务器发出预警信息;
当D1、S1、L1和P1其中两个不位于D0、S0、L0和P0内时,将D1、S1、L1和P1当中不位于D0、S0、L0和P0内的两个参数传输至所述编码模块,并通过所述编码模块进行编码,获取编码后的两个参数后回传至所述模拟服务器,所述模拟服务器将编码后的两个参数与A0进行比对,当编码后的两个参数不位于A0内时,所述模拟服务器向所述主服务器发出预警信息;
当D1、S1、L1和P1其中三个或者四个不位于D0、S0、L0和P0内时,所述模拟服务器向所述主服务器发送预警信息,两者之间开启加密通信;所述模拟服务器将D1、S1、L1和P1其中三个或者四个不位于D0、S0、L0和P0内的参数加密后传输至所述编码模块,并通过所述编码模块进行编码,获取编码后的三个或者四个参数后回传至所述模拟服务器,所述模拟服务器将编码后的三个或者四个参数与A0进行比对,当编码后的三个或者四个参数不位于A0内时,所述模拟服务器对所述异常流量进行限制。
3.根据权利要求2所述的自适应拟态技术的网络安全预警系统,其特征在于,
对于所述预设的地址信息矩阵D0,设定D0(D01,D02,D03,...D0n),其中,D01为第一预设地址信息,D02为第二预设地址信息,D03为第三预设地址信息,D0n为第n预设地址信息;
对于所述预设的端口信息矩阵S0,设定S0(S01,S02,S03,...S0n),其中,S01为第一预设端口信息,S02为第二预设端口信息,S03为第三预设端口信息,S0n为第n预设端口信息;
对于所述预设的应用类型矩阵L0,设定L0(L01,L02,L03,...L0n),其中,L01为第一预设应用类型,L02为第二预设应用类型,L03为第三预设应用类型,L0n为第n预设应用类型;
对于所述预设的协议类型矩阵P0,设定P0(P01,P02,P03,...P0n),其中,P01为第一预设协议类型,P02为第二预设协议类型,P03为第三预设协议类型,P0n为第n预设协议类型;
对于所述预设流量特征信息编码矩阵组A0,设定A0(Da,Sa,La,Pa),其中,Da为D0经所述编码模块编码后的预设地址信息编码矩阵,Sa为S0经所述编码模块编码后的预设端口信息编码矩阵,La为L0经所述编码模块编码后的预设应用类型编码矩阵,Pa为P0经所述编码模块编码后的预设协议类型编码矩阵;
所述编码模块在进行编码时,分别对所述第i预设地址信息D0i、第i预设端口信息S0i、第i预设应用类型L0i和第i预设协议类型P0i进行如下编码操作,i=1,2,3,...n:
将D0i中源IP地址的奇数位与目的IP地址的偶数位进行交换,并将进行奇偶交换后的源IP地址的偶数位进行二进制编码、奇数位进行十进制编码,目的IP地址中的偶数位进行八进制编码、奇数位进行十六进制编码,获取进行奇偶交换并编码后的字符串,在所述字符串的奇数位后插入0、偶数位后插入1后作为最终的第i预设地址信息编码Dai,i=1,2,3,...n,在对D01,D02,D03,...D0n依次进行编码后,建立所述预设地址信息编码矩阵Da,设定Da(Da1,Da2,Da3,...Dan),其中,Da1为第一预设地址信息编码,Da2为第二预设地址信息编码,Da3为第三预设地址信息编码,Dan为第n预设地址信息编码;
将S0i中源端口的偶数位与目的端口的奇数位进行交换,并将进行奇偶交换后的源端口的偶数位进行十六进制编码、奇数位进行二进制编码,目的端口中的偶数位进行十进制编码、奇数位进行八进制编码,获取进行奇偶交换并编码后的字符串,在所述字符串的奇数位后插入1、偶数位后插入0后作为最终的第i预设端口信息编码Sai,i=1,2,3,...n,在对S01,S02,S03,...S0n依次进行编码后,建立所述预设端口信息编码矩阵Sa,设定Sa(Sa1,Sa2,Sa3,...San),其中,Sa1为第一预设端口信息编码,Sa2为第二预设端口信息编码,Sa3为第三预设端口信息编码,San为第n预设端口信息编码;
将L0i中应用类型的奇数位之前添加字母A、偶数位之后添加字母T,并对添加字母A、T之后的应用类型的奇数位进行八进制运算、偶数位进行十六进制运算后生成字符串,并在字符串的奇数位前加入0后,生成最终的字符串作为第i预设应用类型编码Lai,i=1,2,3,...n,在对L01,L02,L03,...L0n依次进行编码后,建立所述预设应用类型编码矩阵La,设定La(La1,La2,La3,...Lan),其中,La1为第一预设应用类型编码,La2为第二预设应用类型编码,La3为第三预设应用类型编码,Lan为第n预设应用类型编码;
将P0i中协议信息的奇数位之前添加字母U、偶数位之后添加字母P,并对添加字母U、P之后的协议信息的奇数位进行八进制运算、偶数位进行十六进制运算后生成字符串,并在字符串的奇数位前加入1后,生成最终的字符串作为第i预设协议信息编码Pai,i=1,2,3,...n,在对P01,P02,P03,...P0n依次进行编码后,建立所述预设协议类型编码矩阵Pa,设定Pa(Pa1,Pa2,Pa3,...Pan),其中,Pa1为第一预设协议信息编码,Pa2为第二预设协议信息编码,Pa3为第三预设协议信息编码,Pan为第n预设协议信息编码;
所述编码模块还用于以对D0i、S0i、L0i和P0i进行编码的方式对D1、S1、L1和P1进行编码,并获取编码后的所述异常流量中的地址信息编码D1a、所述异常流量中的端口信息编码S1a、所述异常流量的应用类型编码L1a和所述异常流量所采用的协议信息编码P1a,并建立异常流量特征信息矩阵Q1a,设定Q1a(D1a,S1a,L1a,P1a);
所述模拟服务器接收A0和Q1a,并将Q1a中的参数与A0内的参数进行比对,以判断所述D1a,S1a,L1a和P1a是否分别位于Da,Sa,La和Pa内。
4.根据权利要求3所述的自适应拟态技术的网络安全预警系统,其特征在于,所述模拟服务器还用于在将接收到的A0和Q1a进行比对时,根据比对结果对所述异常流量的带宽和Qos优先级进行调整;其中,
所述模拟服务器包括带宽限制模块和Qos优先级配置模块,所述带宽限制模块内建立有带宽限制矩阵X,设定X(X1,X2,X3,X4),其中,X1为第一预设带宽,X2为第二预设带宽,X3为第三预设带宽,X4为第四预设带宽,且X1>X2>X3>X4;
所述Qos优先级配置模块内建立有Qos优先级配置矩阵Y,设定Y(Y1,Y2,Y3,Y4),其中,Y1为第一预设Qos优先级配置参数,Y2为第二预设Qos优先级配置参数,Y3为第三预设Qos优先级配置参数,Y4为第四预设Qos优先级配置参数,且Y1>Y2>Y3>Y4;
当D1a,S1a,L1a和P1a其中之一不位于Da,Sa,La和Pa内时,将所述异常流量的带宽调整为X1,将所述异常流量的Qos优先级配置为Y1;
当D1a,S1a,L1a和P1a其中两个不位于Da,Sa,La和Pa内时,将所述异常流量的带宽调整为X2,将所述异常流量的Qos优先级配置为Y2;
当D1a,S1a,L1a和P1a其中三个不位于Da,Sa,La和Pa内时,将所述异常流量的带宽调整为X3,将所述异常流量的Qos优先级配置为Y3;
当D1a,S1a,L1a和P1a均不位于Da,Sa,La和Pa内时,将所述异常流量的带宽调整为X4,将所述异常流量的Qos优先级配置为Y4。
5.根据权利要求4所述的自适应拟态技术的网络安全预警系统,其特征在于,
所述主服务器包括一训练模型模块,所述训练模型模块用于采集各所述真实主机的事件信息、上网行为信息、数据交互信息和工作状态信息,并根据采集的数据建立训练模型,通过所述训练模型模拟所述真实主机的运行,且在建立所述训练模型后,将所述训练模型内的所述真实主机数据替换为模拟仿真数据,以保证数据的安全;
所述训练模型模块用于将所述训练模型注入所述模拟服务器内,所述模拟服务器根据所述训练模型控制各所述仿真替身主机模拟所述真实主机的运行状态及数据交互过程。
6.根据权利要求5所述的自适应拟态技术的网络安全预警系统,其特征在于,
所述训练模型模块内建立有训练模型运行周期矩阵T,设定T(T1,T2,T3,T4),其中,T1为第一预设周期内训练模型的运行状态,T2为第二预设周期内训练模型的运行状态,T3为第三预设周期内训练模型的运行状态,T4为第四预设周期内训练模型的运行状态,且T1、T2、T3和T4的训练模型内的主机活跃度和数据交互量依次提高;
当所述异常流量的带宽调整为X1,所述异常流量的Qos优先级配置为Y1时,所述模拟服务器选用T1控制所述仿真替身主机的运行;
当所述异常流量的带宽调整为X2,所述异常流量的Qos优先级配置为Y2时,所述模拟服务器选用T2控制所述仿真替身主机的运行;
当所述异常流量的带宽调整为X3,所述异常流量的Qos优先级配置为Y3时,所述模拟服务器选用T3控制所述仿真替身主机的运行;
当所述异常流量的带宽调整为X4,所述异常流量的Qos优先级配置为Y4时,所述模拟服务器选用T4控制所述仿真替身主机的运行。
7.根据权利要求6所述的自适应拟态技术的网络安全预警系统,其特征在于,
所述模拟服务器用于建立攻击类型矩阵C,设定C(C1,C2,C3,...Cn),其中,C1为第一预设攻击类型,C2为第二预设攻击类型,C3为第三预设攻击类型,Cn为第n预设攻击类型;
建立危险系数矩阵B,设定B(B1,B2,B3,...Bn),其中,B1为C1的危险系数,B2为C2的危险系数,B3为C3的危险系数,Bn为Cn的危险系数;
建立防护等级系数矩阵Z,设定Z(Z1,Z2,Z3,Z4),Z1为第一预设防护等级系数,Z2为第二预设防护等级系数,Z3为第三预设防护等级系数,Z4为第四预设防护等级系数,0<Z1<Z2<Z3<Z4<1;
当所述模拟服务器监测到所述仿真替身主机中发生攻击行为时,确定被攻击的所述仿真替身主机所发送的报文的丢包率W,确定真实攻击类型,并在所述攻击类型矩阵C中确定所述真实攻击类型所对应的第i预设攻击类型Ci,并确定Ci所对应的危险系数Bi,i=1,2,3,...n;
当Bi≤Z1时,将被攻击的所述仿真替身主机的带宽限制为X1*Z1、Qos优先级配置参数设置为Y1,并将丢包率调整为W*(1-Z1);
当Z1<Bi≤Z2时,将被攻击的所述仿真替身主机的带宽限制为X2*Z2、Qos优先级配置参数设置为Y2,并将丢包率调整为W*(1-Z2);
当Z2<Bi≤Z3时,将被攻击的所述仿真替身主机的带宽限制为X3*Z3、Qos优先级配置参数设置为Y3,并将丢包率调整为W*(1-Z3);
当Z3<Bi≤Z4时,将被攻击的所述仿真替身主机的带宽限制为X4*Z4、Qos优先级配置参数设置为Y4,并将丢包率调整为W*(1-Z4);
当Z4<Bi时,将被攻击的所述仿真替身主机的带宽限制为Z1*Z2*Z3*Z4*X4、Qos优先级调整为最低,并将丢包率调整为W*Z1*Z2*Z3*Z4。
8.根据权利要求1所述的自适应拟态技术的网络安全预警系统,其特征在于,所述主服务器和模拟服务器之间设置有一加密模块,所述加密模块用于使所述主服务器与所述模拟服务器之间进行加密通讯。
9.根据权利要求1所述的自适应拟态技术的网络安全预警系统,其特征在于,所述模拟服务器内预设有自适应拟态第一预设状态矩阵C01和自适应拟态第二预设状态矩阵C02,对于所述自适应拟态第一预设状态矩阵C01,设定C01(T01,H01,E01,F01),其中,T01为第一预设时间范围,H01为Windows系统,E01为http服务,F01为第一预设端口;对于所述第二预设状态矩阵C02,设定C02(T02,H02,E02,F02),其中,T02为第二预设时间范围,H02为Linux系统,E02为ftp服务,F02为第二预设端口,所述第一预设时间范围T01和所述第二预设时间范围T02选取的时间范围不重合;
所述模拟服务器还用于实时采集当前系统时间△T,并根据所述当前系统时间△T与所述第一预设时间范围T01和第二预设时间范围T02之间的关系,确定所述仿真替身主机的运行状态;
当△T位于T01的范围内时,所述模拟服务器根据所述自适应拟态第一预设状态矩阵C01设定所述仿真替身主机的运行状态,将所述仿真替身主机的系统设定为H01,服务类型设定为E01,端口设定为F01;
当△T位于T02的范围内时,所述模拟服务器根据所述自适应拟态第二预设状态矩阵C02设定所述仿真替身主机的运行状态,将所述仿真替身主机的系统设定为H02,服务类型设定为E02,端口设定为F02。
10.根据权利要求9所述的自适应拟态技术的网络安全预警系统,其特征在于,所述第一预设时间范围T01和第二预设时间范围T02依次交替取值。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110069719.0A CN112398876B (zh) | 2021-01-19 | 2021-01-19 | 自适应拟态技术的网络安全预警系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110069719.0A CN112398876B (zh) | 2021-01-19 | 2021-01-19 | 自适应拟态技术的网络安全预警系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN112398876A CN112398876A (zh) | 2021-02-23 |
CN112398876B true CN112398876B (zh) | 2021-04-02 |
Family
ID=74625078
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202110069719.0A Active CN112398876B (zh) | 2021-01-19 | 2021-01-19 | 自适应拟态技术的网络安全预警系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN112398876B (zh) |
Families Citing this family (16)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10476673B2 (en) | 2017-03-22 | 2019-11-12 | Extrahop Networks, Inc. | Managing session secrets for continuous packet capture systems |
US9967292B1 (en) | 2017-10-25 | 2018-05-08 | Extrahop Networks, Inc. | Inline secret sharing |
US10389574B1 (en) | 2018-02-07 | 2019-08-20 | Extrahop Networks, Inc. | Ranking alerts based on network monitoring |
US10270794B1 (en) | 2018-02-09 | 2019-04-23 | Extrahop Networks, Inc. | Detection of denial of service attacks |
US10411978B1 (en) | 2018-08-09 | 2019-09-10 | Extrahop Networks, Inc. | Correlating causes and effects associated with network activity |
US10965702B2 (en) | 2019-05-28 | 2021-03-30 | Extrahop Networks, Inc. | Detecting injection attacks using passive network monitoring |
US10742530B1 (en) | 2019-08-05 | 2020-08-11 | Extrahop Networks, Inc. | Correlating network traffic that crosses opaque endpoints |
US11388072B2 (en) * | 2019-08-05 | 2022-07-12 | Extrahop Networks, Inc. | Correlating network traffic that crosses opaque endpoints |
US10742677B1 (en) | 2019-09-04 | 2020-08-11 | Extrahop Networks, Inc. | Automatic determination of user roles and asset types based on network monitoring |
US11463466B2 (en) | 2020-09-23 | 2022-10-04 | Extrahop Networks, Inc. | Monitoring encrypted network traffic |
WO2022066910A1 (en) | 2020-09-23 | 2022-03-31 | Extrahop Networks, Inc. | Monitoring encrypted network traffic |
US11349861B1 (en) | 2021-06-18 | 2022-05-31 | Extrahop Networks, Inc. | Identifying network entities based on beaconing activity |
US11296967B1 (en) | 2021-09-23 | 2022-04-05 | Extrahop Networks, Inc. | Combining passive network analysis and active probing |
US11843606B2 (en) | 2022-03-30 | 2023-12-12 | Extrahop Networks, Inc. | Detecting abnormal data access based on data similarity |
CN114513372B (zh) * | 2022-04-20 | 2022-06-28 | 中科星启(北京)科技有限公司 | 基于宿主的拟态威胁感知预警方法及系统 |
CN115022082B (zh) * | 2022-07-11 | 2023-06-27 | 平安科技(深圳)有限公司 | 网络安全检测方法、网络安全检测系统、终端以及介质 |
Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1614941A (zh) * | 2004-12-02 | 2005-05-11 | 上海交通大学 | 建立复杂网络运行环境模拟仿真平台的方法 |
CN103973685A (zh) * | 2014-04-29 | 2014-08-06 | 齐齐哈尔大学 | 一种网络系统 |
CN104580087A (zh) * | 2013-10-21 | 2015-04-29 | 宁夏新航信息科技有限公司 | 一种免疫网络系统 |
CN108768989A (zh) * | 2018-05-18 | 2018-11-06 | 刘勇 | 一种采用拟态技术的apt攻击防御方法、系统 |
CN109347794A (zh) * | 2018-09-06 | 2019-02-15 | 国家电网有限公司 | 一种Web服务器安全防御方法 |
CN109495521A (zh) * | 2019-01-18 | 2019-03-19 | 新华三信息安全技术有限公司 | 一种异常流量检测方法及装置 |
CN109617873A (zh) * | 2018-12-06 | 2019-04-12 | 中山大学 | 一种基于sdn云安全功能服务树模型的流量攻击防御系统 |
WO2020040027A1 (ja) * | 2018-08-23 | 2020-02-27 | 日本電信電話株式会社 | 通信制御システム、ネットワークコントローラ及びコンピュータプログラム |
-
2021
- 2021-01-19 CN CN202110069719.0A patent/CN112398876B/zh active Active
Patent Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1614941A (zh) * | 2004-12-02 | 2005-05-11 | 上海交通大学 | 建立复杂网络运行环境模拟仿真平台的方法 |
CN104580087A (zh) * | 2013-10-21 | 2015-04-29 | 宁夏新航信息科技有限公司 | 一种免疫网络系统 |
CN103973685A (zh) * | 2014-04-29 | 2014-08-06 | 齐齐哈尔大学 | 一种网络系统 |
CN108768989A (zh) * | 2018-05-18 | 2018-11-06 | 刘勇 | 一种采用拟态技术的apt攻击防御方法、系统 |
WO2020040027A1 (ja) * | 2018-08-23 | 2020-02-27 | 日本電信電話株式会社 | 通信制御システム、ネットワークコントローラ及びコンピュータプログラム |
CN109347794A (zh) * | 2018-09-06 | 2019-02-15 | 国家电网有限公司 | 一种Web服务器安全防御方法 |
CN109617873A (zh) * | 2018-12-06 | 2019-04-12 | 中山大学 | 一种基于sdn云安全功能服务树模型的流量攻击防御系统 |
CN109495521A (zh) * | 2019-01-18 | 2019-03-19 | 新华三信息安全技术有限公司 | 一种异常流量检测方法及装置 |
Also Published As
Publication number | Publication date |
---|---|
CN112398876A (zh) | 2021-02-23 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN112398876B (zh) | 自适应拟态技术的网络安全预警系统 | |
Lemay et al. | Providing {SCADA} network data sets for intrusion detection research | |
Fovino et al. | Modbus/DNP3 state-based intrusion detection system | |
Jardine et al. | Senami: Selective non-invasive active monitoring for ics intrusion detection | |
Sandaruwan et al. | PLC security and critical infrastructure protection | |
CN107566381A (zh) | 设备安全控制方法、装置及系统 | |
KR20190139642A (ko) | 게임 이론을 이용한 보안 취약점 정량화 방법 및 장치 | |
CN116471064A (zh) | 一种基于主动防御策略的网络安全防护系统、方法及装置 | |
Qassim et al. | Simulating command injection attacks on IEC 60870-5-104 protocol in SCADA system | |
CN108712369A (zh) | 一种工业控制网多属性约束访问控制决策系统和方法 | |
Rodríguez et al. | MOSTO: A toolkit to facilitate security auditing of ICS devices using Modbus/TCP | |
CN110516442A (zh) | 一种配电网安全防御系统、方法、装置、设备及存储介质 | |
Anastasiadis et al. | A novel high-interaction honeypot network for internet of vehicles | |
CN116668061A (zh) | 基于机器学习的电力监控系统的网络安全主动防御方法 | |
CN115225392B (zh) | 智慧图书馆用安全防护系统 | |
CN110971565A (zh) | 基于恶意攻击建模的源网荷系统脆弱性评价方法及系统 | |
CN110381074A (zh) | 一种基于大数据的针对dhcp架构下的分布式攻击防御方法 | |
Bernieri et al. | Network Anomaly Detection in Critical Infrastructure Based on Mininet Network Simulator. | |
CN112350848B (zh) | 一种可视化动态蜜网自定义拓扑部署方法 | |
KR102295948B1 (ko) | 연합 학습을 통한 인공지능 기반 보안관제 시스템 및 방법 | |
Wiedenmann et al. | Designing and implementing a benchmark collection for attack simulation in field bus systems | |
CN112637175A (zh) | 一种用于工业物联网的防御方法及装置 | |
Carcano et al. | Modbus/DNP3 state-based filtering system | |
CN115378825B (zh) | 基于应用层工控协议解析的交互式仿真系统和方法 | |
CN111953695B (zh) | 终端行为画像的构建方法、装置、电子设备及存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant | ||
TR01 | Transfer of patent right | ||
TR01 | Transfer of patent right |
Effective date of registration: 20240311 Address after: No. 1-36, Wanganyuan Innovation Center, Xiji Town, Tongzhou District, Beijing, 101100 Patentee after: Beijing Wangqi Technology Co.,Ltd. Country or region after: China Address before: 101100 No.9, Liangli Third Street, East District, economic development zone, Tongzhou District, beijing-2017 Patentee before: Beijing Zhiren Zhixin Security Technology Co.,Ltd. Country or region before: China |