CN113746841A - 一种具备智能学习能力的高安全异构冗余结构 - Google Patents
一种具备智能学习能力的高安全异构冗余结构 Download PDFInfo
- Publication number
- CN113746841A CN113746841A CN202111032483.XA CN202111032483A CN113746841A CN 113746841 A CN113746841 A CN 113746841A CN 202111032483 A CN202111032483 A CN 202111032483A CN 113746841 A CN113746841 A CN 113746841A
- Authority
- CN
- China
- Prior art keywords
- module
- message
- mimicry
- unknown
- arbitration
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000004458 analytical method Methods 0.000 claims abstract description 52
- 230000003993 interaction Effects 0.000 claims abstract description 17
- 238000001914 filtration Methods 0.000 claims abstract description 4
- 238000005516 engineering process Methods 0.000 claims description 9
- 238000013473 artificial intelligence Methods 0.000 claims description 3
- 238000001514 detection method Methods 0.000 claims description 3
- 238000007689 inspection Methods 0.000 claims description 3
- 238000012545 processing Methods 0.000 abstract description 17
- 230000006870 function Effects 0.000 abstract description 13
- 238000000034 method Methods 0.000 abstract description 9
- 230000008569 process Effects 0.000 abstract description 7
- 230000007123 defense Effects 0.000 description 6
- 230000002159 abnormal effect Effects 0.000 description 4
- 230000002452 interceptive effect Effects 0.000 description 3
- 230000006399 behavior Effects 0.000 description 2
- 241000700605 Viruses Species 0.000 description 1
- 230000002457 bidirectional effect Effects 0.000 description 1
- 238000006243 chemical reaction Methods 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 230000008260 defense mechanism Effects 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 230000002708 enhancing effect Effects 0.000 description 1
- 210000000987 immune system Anatomy 0.000 description 1
- 230000036039 immunity Effects 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供了一种具备智能学习能力的高安全异构冗余结构,拟态判决模块主要基于多模裁决算法对报文进行判决、过滤。智能分析模块用于进一步处理拟态判决模块输出的未知报文,对这些协议进行分析并通过算法引擎匹配结果。分析和匹配结果通过安全交互模块送入策略处理器,由策略处理器根据策略算法进行后续的处理动作。本发明结构随着系统的工作过程,可以智能分析未知报文,并针对该类报文添加解析功能和处理策略,通过反馈不断改善拟态调度器系统的功能和性能。
Description
技术领域
本发明属于信息安全防御技术领域,尤其是涉及一种具备智能学习能力的高安全异构冗余结构。
背景技术
传统的信息安全防御需要攻击来源、攻击特征、攻击途径、攻击行为等先验知识的支撑,在防御机理上属于“后天获得性免疫”,通常需要加密或认证功能作为“底线防御”。显然,在应对基于未知漏洞后门或病毒木马等未知攻击时存在防御体制和机制上的脆弱性。
通过动态异构冗余和多模裁决的方法,可以构建一种动态变化的多重并行协同架构,从而有效解决利用未知漏洞、未知后门的未知攻击的防御难问题。该结构需要对多个异构执行体的数据报文基于裁决算法进行多模裁决,技术的关键在于提取报文特征。然而网络环境中存在大量未知报文,系统不可能预设所有的报文特征,限制了系统后续的分析和处理过程。
异构冗余和多模裁决结构可以通过构建一种动态变化的多重并行协同架构,建立起具有内生效应的免疫体系,从而有效解决利用未知漏洞、未知后门的未知攻击的防御难问题。现有的结构对已知协议报文处理较为成熟。但是网络环境中存在大量未知报文,若这些未知报文出现异常,现有结构无法匹配已知协议,无法进一步详细区分这些异常流量,对外输出的表现信息不足,进而限制了后续的分析和处理策略,造成系统功能、性能和安全性下降。
发明内容
有鉴于此,本发明旨在提出一种具备智能学习能力的高安全异构冗余结构,在异构冗余和多模裁决的基础上,为系统添加了智能学习未知报文的能力,提高了系统功能和性能。
为达到上述目的,本发明的技术方案是这样实现的:
一种具备智能学习能力的高安全异构冗余结构,包括:
拟态裁决模块,包括PMT模块、多模裁决模块和判决状态模块,其中,PMT模块,接收异构执行体输出的报文,根据预设的PMT表项对报文进行解析并得到报文特征值;其中,PMT表项预设已知类型报文信息;多模裁决模块,接收PMT模块输出的报文和报文特征值,基于报文特征值通过裁决算法输出裁决后的数据报文和本次裁决状态信息;判决状态模块,接收本次裁决状态信息供策略处理器分析;
通路选择模块,包括第一通路和第二通路,第一通路将拟态裁决模块输出的报文透传输出;第二通路将拟态裁决模块输出的报文输出至智能分析模块;
智能分析模块,接收通路选择模块输出的未知报文,启动智能分析引擎进行分析,重新生成PMT表项,并将分析结果输出至策略处理器,并根据策略处理器的指令输出报文至外部设备;
策略处理器,与判决状态模块信息交互,若拟态裁决模块输出的数据报文为已知类型报文则控制通路选择模块选择第一通路;若拟态裁决模块输出的数据报文为未知报文则控制通路选择模块选择第二通路;与控制智能分析模块进行信息交互更新PMT表项,并将该未知报文的裁决状态信息增加到判决状态模块;同时,基于策略算法处理拟态调度器系统事件。
进一步的,所述智能分析模块与策略处理器之间设置有用于检测和过滤信息合法性的安全交互模块。
进一步的,所述智能分析引擎基于DPI深度包检测技术或者云端未知攻击检测识别技术或者人工智能学习技术对未知报文进行分析。
进一步的,所述拟态判决模块由硬件逻辑实现。
进一步的,所述智能分析模块和策略处理器采用CPU和软件代码实现。
相对于现有技术,本发明具有以下优势:
(1)本发明结构随着系统的工作过程,可以智能分析未知报文,并针对该类报文添加解析功能和处理策略,通过反馈不断改善拟态调度器系统的功能和性能。
(2)本发明的拟态裁决模块运行裁决算法,智能分析模块运行智能分析算法,策略处理器运行策略处理算法。各部分可独立升级,适应性、扩展性和可维护性强。
(3)本发明结构具备安全交互模块,保障策略控制器的稳定性和安全性。
(4)本发明结构的智能分析模块在对报文二次处理的过程中,可兼容传统网络安全方案,进一步增强系统的安全性。同时本结构软硬件结合,增强系统功能和性能。
附图说明
构成本发明的一部分的附图用来提供对本发明的进一步理解,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中:
图1为本发明实施例所述的具备智能学习能力的高安全异构冗余结构的原理框图。
具体实施方式
需要说明的是,在不冲突的情况下,本发明中的实施例及实施例中的特征可以相互组合。
下面将参考附图并结合实施例来详细说明本发明。
网络环境中存在大量未知报文,若这些未知报文出现异常,现有结构无法匹配已知协议,无法进一步详细区分这些异常流量,对外输出的表现信息不足,进而限制了后续的分析和处理策略,造成系统功能、性能和安全性下降,针对上述问题,本发明实施例提供了一种具备智能学习能力的高安全异构冗余结构,如图1所示,包括:
拟态裁决模块,包括PMT模块、多模裁决模块和判决状态模块,其中,
PMT模块(解析模块),提供协议解析匹配和转换功能,包括PMT表项,PMT表项预设已知类型报文的报文种类及对应的报文特征,且PMT表项在工作过程中也可重新进行配置;PMT模块接收异构执行体输出的数据报文,根据预设的PMT表项对报文进行解析并得到报文特征值;
多模裁决模块,接收PMT模块输出的数据报文和报文特征值,基于报文特征值通过裁决算法对异构执行体的数据报文进行比较,并最终选定一个数据报文输出;同时输出本次裁决状态信息;
判决状态模块,接收本次裁决状态信息供策略处理器分析;
通路选择模块,包括第一通路和第二通路,第一通路将拟态裁决模块输出的报文透传输出;第二通路将拟态裁决模块输出的报文输出至智能分析模块;
智能分析模块,接收通路选择模块输出的未知报文,启动智能分析引擎进行分析,在完成未知报文的分析后,根据未知报文的特性重新配置PMT表项,并通过安全交互模块通知策略处理器。并根据策略处理器的指令输出报文至外部设备。其中,分析未知报文可基于DPI深度包检测技术、云端未知攻击检测识别技术、人工智能学习等方法。
策略处理器,与判决状态模块信息交互,若拟态裁决模块输出的数据报文为已知类型报文则控制通路选择模块选择第一通路;若拟态裁决模块输出的数据报文为未知报文则控制通路选择模块选择第二通路;与控制智能分析模块进行信息交互更新PMT表项,并将该未知报文的裁决状态信息增加到判决状态模块;同时,基于策略算法处理拟态调度器系统事件,实现对系统的控制和对异构执行体的调度。
可选的,策略处理器部分在设计时必须保证安全性,除必要的信息交互外不提供与外界的交互接口。输入到策略处理器的交互信息需要通过安全交互模块的检测和过滤,确保交互信息的合法性和安全性。因此,设置安全交互模块,用于过滤智能分析模块和策略处理器之间的交互信息,确保通信信息可控,保护策略处理器。
本发明的拟态判决模块主要基于多模裁决算法对报文进行判决、过滤。智能分析模块用于进一步处理拟态判决模块输出的未知报文,重点关注判决失败的未知报文,对这些协议进行分析并通过算法引擎匹配结果。分析和匹配结果通过安全交互模块送入策略处理器,由策略处理器根据策略算法进行后续的处理动作,例如指示智能分析模块重新配置PMT表项、扩展判决状态模块的空间,指示智能分析引擎或拟态判决Drop后续报文、双向TCPReset断开连接、生成攻击日志告警、切换异构执行体、复位异构执行体等。
工作过程:
异构执行体将运算后的数据报文送入拟态判决模块;
拟态判决模块通过内部的解析模块(PMT)解析出报文特征值后,将原始数据报文和报文特征值送入多模裁决模块。
多模裁决模块根据报文特征值采用裁决算法比对数据报文的一致性,并输出裁决后的数据报文和本次的裁决状态信息。
裁决后的判决状态信息记录至判决状态模块,供策略处理器分析。为保证系统效率和安全性,所述拟态判决模块可由硬件逻辑实现。
若裁决通过或者为已知报文,可将裁决后的数据报文透传或简单处理后发送至外部设备。若裁决失败且为未知报文,则通过智能分析模块启动智能分析引擎分析该未知报文,完成未知报文的分析后,根据分析得到的报文特性重新生成PMT表项,通过配置该PMT表项,可以使拟态判决模块具备解析该类未知报文的能力。同时,通过安全交互模块通知策略处理器,由策略处理器进行更新PMT表项、在判决状态模块中新增一组空间用于记录该类未知报文的裁决状态信息、增加针对该类未知报文的处理策略等行为或指示。为保证灵活性和可扩展性,智能分析模块和策略处理器可采用处理器实现。
随着系统的工作过程,系统可以智能分析环境中的未知报文,并针对这些未知报文添加解析功能和处理策略,通过反馈不断改善拟态调度器系统的功能和性能。
此外,由于智能分析模块在对未知报文分析时可以对报文进行二次处理,因此可以在智能分析时兼容传统网络安全方案,进一步增强系统的安全性。
本发明实施例的拟态判决模块使用硬件逻辑实现,硬件处理可以明显提高系统的性能和可靠性。但如果性能满足需求,也可以采用软件处理实现。智能分析模块和策略处理器采用CPU和软件代码实现,以保证系统的灵活性和可维护性。在一些应用场景固定的情况下,也可采用专用的逻辑电路来实现智能分析模块算法和策略处理器的策略算法的功能,加速系统处理速度和稳定性。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (5)
1.一种具备智能学习能力的高安全异构冗余结构,其特征在于,包括:
拟态裁决模块,包括PMT模块、多模裁决模块和判决状态模块,其中,
PMT模块,接收异构执行体输出的报文,根据预设的PMT表项对报文进行解析并得到报文特征值;其中,PMT表项预设已知类型报文信息;
多模裁决模块,接收PMT模块输出的报文和报文特征值,基于报文特征值通过裁决算法输出裁决后的数据报文和本次裁决状态信息;
判决状态模块,接收本次裁决状态信息供策略处理器分析;
通路选择模块,包括第一通路和第二通路,第一通路将拟态裁决模块输出的报文透传输出;第二通路将拟态裁决模块输出的报文输出至智能分析模块;
智能分析模块,接收通路选择模块输出的未知报文,启动智能分析引擎进行分析,重新生成PMT表项,并将分析结果输出至策略处理器,并根据策略处理器的指令输出报文至外部设备;
策略处理器,与判决状态模块信息交互,若拟态裁决模块输出的数据报文为已知类型报文则控制通路选择模块选择第一通路;若拟态裁决模块输出的数据报文为未知报文则控制通路选择模块选择第二通路;与控制智能分析模块进行信息交互更新PMT表项,并将该未知报文的裁决状态信息增加到判决状态模块;同时,基于策略算法处理拟态调度器系统事件。
2.根据权利要求1所述的结构,其特征在于:所述智能分析模块与策略处理器之间设置有用于检测和过滤信息合法性的安全交互模块。
3.根据权利要求1所述的结构,其特征在于:所述智能分析引擎基于DPI深度包检测技术或者云端未知攻击检测识别技术或者人工智能学习技术对未知报文进行分析。
4.根据权利要求1所述的结构,其特征在于:所述拟态判决模块由硬件逻辑实现。
5.根据权利要求1所述的结构,其特征在于:所述智能分析模块和策略处理器采用CPU和软件代码实现。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111032483.XA CN113746841A (zh) | 2021-09-03 | 2021-09-03 | 一种具备智能学习能力的高安全异构冗余结构 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111032483.XA CN113746841A (zh) | 2021-09-03 | 2021-09-03 | 一种具备智能学习能力的高安全异构冗余结构 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN113746841A true CN113746841A (zh) | 2021-12-03 |
Family
ID=78735372
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202111032483.XA Pending CN113746841A (zh) | 2021-09-03 | 2021-09-03 | 一种具备智能学习能力的高安全异构冗余结构 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN113746841A (zh) |
Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20110113003A1 (en) * | 2008-04-09 | 2011-05-12 | Smiths Detection Inc. | Multi-dimensional spectral analysis for improved identification and confirmation of radioactive isotopes |
CN103761481A (zh) * | 2014-01-23 | 2014-04-30 | 北京奇虎科技有限公司 | 一种恶意代码样本自动处理的方法及装置 |
CN105320957A (zh) * | 2014-07-10 | 2016-02-10 | 腾讯科技(深圳)有限公司 | 分类器训练方法和装置 |
CN111241552A (zh) * | 2020-01-20 | 2020-06-05 | 上海大学 | 一种自主无人系统安全辅助系统 |
CN112417458A (zh) * | 2020-11-18 | 2021-02-26 | 中国人民解放军战略支援部队信息工程大学 | 一种内生安全的网络数据报文可编程处理装置 |
US20210117840A1 (en) * | 2018-04-03 | 2021-04-22 | Nippon Telegraph And Telephone Corporation | Causation learning apparatus, causation estimation apparatus, causation learning method, causation estimation method and program |
CN113259331A (zh) * | 2021-04-29 | 2021-08-13 | 上海电力大学 | 一种基于增量学习的未知异常流量在线检测方法及系统 |
-
2021
- 2021-09-03 CN CN202111032483.XA patent/CN113746841A/zh active Pending
Patent Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20110113003A1 (en) * | 2008-04-09 | 2011-05-12 | Smiths Detection Inc. | Multi-dimensional spectral analysis for improved identification and confirmation of radioactive isotopes |
CN103761481A (zh) * | 2014-01-23 | 2014-04-30 | 北京奇虎科技有限公司 | 一种恶意代码样本自动处理的方法及装置 |
CN105320957A (zh) * | 2014-07-10 | 2016-02-10 | 腾讯科技(深圳)有限公司 | 分类器训练方法和装置 |
US20210117840A1 (en) * | 2018-04-03 | 2021-04-22 | Nippon Telegraph And Telephone Corporation | Causation learning apparatus, causation estimation apparatus, causation learning method, causation estimation method and program |
CN111241552A (zh) * | 2020-01-20 | 2020-06-05 | 上海大学 | 一种自主无人系统安全辅助系统 |
CN112417458A (zh) * | 2020-11-18 | 2021-02-26 | 中国人民解放军战略支援部队信息工程大学 | 一种内生安全的网络数据报文可编程处理装置 |
CN113259331A (zh) * | 2021-04-29 | 2021-08-13 | 上海电力大学 | 一种基于增量学习的未知异常流量在线检测方法及系统 |
Non-Patent Citations (1)
Title |
---|
王璐: "《基于DPI及人工智能的业务识别系统研究》", 《无线互联科技》 * |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10657251B1 (en) | Multistage system and method for analyzing obfuscated content for malware | |
US10467411B1 (en) | System and method for generating a malware identifier | |
CN109753806B (zh) | 服务器防护方法及装置 | |
US7596809B2 (en) | System security approaches using multiple processing units | |
CN106161395B (zh) | 一种防止暴力破解的方法、装置及系统 | |
US10659478B2 (en) | Identifying stealth packets in network communications through use of packet headers | |
KR101860395B1 (ko) | 비표준 프로토콜에 대한 화이트리스트 기반의 산업제어시스템 이상행위 탐지 방법 및 탐지 장치 | |
CN102289617A (zh) | 反恶意软件装置、服务器和匹配恶意软件模式的方法 | |
US20140222813A1 (en) | Collecting data in internet of things | |
CN111274583A (zh) | 一种大数据计算机网络安全防护装置及其控制方法 | |
US11204998B2 (en) | Detection and mitigation of fileless security threats | |
US9491190B2 (en) | Dynamic selection of network traffic for file extraction shellcode detection | |
EP3474174B1 (en) | System and method of adapting patterns of dangerous behavior of programs to the computer systems of users | |
CN112671807A (zh) | 威胁处理方法、装置、电子设备及计算机可读存储介质 | |
KR20180107789A (ko) | 기계 학습 기반으로 이상 행위를 분석하는 유무선 공유기 및 그 방법 | |
KR101378115B1 (ko) | Pcre 기반 패턴 매칭 기법을 이용한 네트워크 침입 탐지 장치 및 방법 | |
CN106254312B (zh) | 一种通过虚拟机异构实现服务器防攻击的方法及装置 | |
Al-Marghilani | Comprehensive Analysis of IoT Malware Evasion Techniques | |
WO2016095440A1 (zh) | 报文的发送处理方法、装置及一种网络设备 | |
CN113746841A (zh) | 一种具备智能学习能力的高安全异构冗余结构 | |
CN110535842B (zh) | 一种基于抽样检测的拟态安全系统和方法 | |
CN115033889B (zh) | 非法提权检测方法和装置、存储介质、计算机设备 | |
EP3602372B1 (en) | Sample-specific sandbox configuration based on endpoint telemetry | |
EP3663948A1 (en) | Recognizing deviations in security behaviour of automation units | |
Kumar et al. | A network-based framework for mobile threat detection |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
AD01 | Patent right deemed abandoned | ||
AD01 | Patent right deemed abandoned |
Effective date of abandoning: 20231229 |