CN113761520A

CN113761520A - 一种检测防御方法、服务器和存储介质

Info

Publication number: CN113761520A
Application number: CN202010486738.9A
Authority: CN
Inventors: 缪红娣
Original assignee: China Mobile Communications Group Co Ltd; China Mobile Suzhou Software Technology Co Ltd
Current assignee: China Mobile Communications Group Co Ltd; China Mobile Suzhou Software Technology Co Ltd
Priority date: 2020-06-01
Filing date: 2020-06-01
Publication date: 2021-12-07
Anticipated expiration: 2040-06-01
Also published as: CN113761520B

Abstract

本申请提供了一种检测防御方法，包括：获取设备相关信息以及各虚拟机的历史攻击信息；根据所述历史攻击信息和所述设备相关信息，得到虚拟机的危险指数；根据所述虚拟机的危险指数，确定出所述各虚拟机中危险指数最高的源虚拟机，以及对应的目标虚拟机；当检测到所述源虚拟机受到攻击时，采用空闲虚拟机运行所述迁移服务副本，吸引攻击；并获取所述空闲虚拟机受到攻击的实际攻击数据，根据所述实际攻击数据并通过贝叶斯博弈调整对所述各虚拟机上的检测负载的分布情况。通过蜜罐技术诱导攻击并学习攻击行为，并基于对攻击行为的分析优化检测负载，实现了对安全资源的预算且保证了最优的检测响应。

Description

一种检测防御方法、服务器和存储介质

技术领域

本申请涉及一种网络安全领域，尤其涉及一种检测防御方法、服务器和存储介质。

背景技术

现有的入侵检测方法主要分为包括：基于网络、基于主机。基于网络的检测方法将监控代理放在网络层，通过检测网段中各种数据包的方式监控循环流量识别恶意行为，但基于网络的检测系统可能无法检测到潜入内部虚拟机系统的内部攻击。基于主机的检测防御方法通常在需要保护的主机上部署监视代理，通过读取主机上的日志来监视攻击活动并报告异常行为，但基于主机的检测系统是在攻击事件结束后才检测到异常情况，并且该检测系统需要部署到网络中的主机中，会产生一定的开销。

而传统的博弈机制只是基于对简单攻击场景的监视，缺少针对云系统进行攻击的攻击者的类型和目标的实时学习，并且难以解决系统有限的安全资源问题。

发明内容

本申请期望提供一种检测防御方法、服务器和存储介质，为解决现有技术中传统的博弈机制基于对简单攻击场景的监视，缺少针对云系统进行攻击的攻击者的类型和目标的实时学习，并且难以解决系统有限的安全资源的技术问题。

本申请的技术方案是这样实现的：

本申请实施例提供了一种检测防御方法，应用于一服务器，包括：

在每个时间单元，获取设备相关信息，以及各虚拟机的历史攻击信息；

根据所述历史攻击信息和所述设备相关信息，对所述各虚拟机进行风险评估，得到各虚拟机的危险指数；

根据所述各虚拟机的危险指数，确定出所述各虚拟机中危险指数最高的源虚拟机，以及对应危险指数低于预设阈值的虚拟机；

当检测到所述源虚拟机受到攻击时，采用空闲虚拟机吸引攻击；并将所述源虚拟机运行的服务迁移到所述目标虚拟机上；

获取所述空闲虚拟机受到攻击的实际攻击数据，并根据所述实际攻击数据并通过贝叶斯博弈调整对所述各虚拟机上的检测负载的分布情况。

在上述方案中，所述根据所述历史攻击信息和所述设备相关信息，对所述各虚拟机进行风险评估，得到各虚拟机的危险指数，包括：

根据所述设备相关信息，得到各虚拟机的价值；

根据所述历史攻击信息，得到各虚拟机的攻击增长系数；

使用已识别的漏洞对各虚拟机发起攻击，获得发起攻击后对对应的虚拟机造成损失的概率值、以及发起攻击后对对应的虚拟机造成的损失值；

根据所述各虚拟机的价值、攻击增长系数，以及使用已识别的漏洞对各虚拟机发起攻击后造成损失的概率值、造成的损失值，获得所述各虚拟机的危险指数。

在上述方案中，所述根据所述历史攻击信息，得到各虚拟机的攻击增长系数，包括：

根据所述历史攻击信息获取各虚拟机在所述每个时间单元中连续两个时刻的攻击次数；

根据所述攻击次数，得到各虚拟机在当前时刻的攻击增长率；

根据所述攻击增长率，得到所述各虚拟机的攻击增长系数。

在上述方案中，所述根据所述实际攻击数据并通过贝叶斯博弈调整对所述各虚拟机上的检测负载的分布情况，包括：

对所述实际攻击数据进行预测，得到攻击概率分布；

根据所述攻击概率分布，通过贝叶斯博弈调整对所述各虚拟机上的检测负载的分布情况。

在上述方案中，所述对所述实际攻击数据进行预测，得到攻击概率分布，包括：

使用支持向量机对所述实际攻击数据进行分类处理，得到分类结果；

根据所述历史攻击信息和所述分类结果，判断所述空闲虚拟机受到的攻击为已识别攻击或未知攻击；

若判断所述空闲虚拟机受到的攻击为未知攻击，则根据所述实际攻击数据，预测得到攻击概率分布。

在上述方案中，所述根据所述历史攻击信息和所述分类结果，判断所述空闲虚拟机受到的攻击为已识别攻击或未知攻击之后，所述方法还包括：

若判断所述空闲虚拟机受到的攻击为已知攻击，则对根据所述历史攻击信息对所述空闲虚拟机受到的攻击进行展示。

若判断所述空闲虚拟机受到的攻击为未知攻击，则对所述实际攻击数据中包含的新特征进行记录。

本申请实施例还提供了一种服务器，所述服务器包括：

第一执行单元，用于在每个时间单元，获取设备相关信息，以及各虚拟机的历史攻击信息；

第二执行单元，用于根据所述历史攻击信息和所述设备相关信息，对所述各虚拟机进行风险评估，得到各虚拟机的危险指数；

第三执行单元，用于根据所述各虚拟机的危险指数，确定出所述各虚拟机中危险指数最高的源虚拟机，以及对应的危险指数低于预设阈值的虚拟机；

第四执行单元，当检测到所述源虚拟机受到攻击时，所述第四执行单元采用空闲虚拟机吸引攻击；并将所述源虚拟机运行的服务迁移到所述目标虚拟机上；

第五执行单元，用于获取所述空闲虚拟机受到攻击的实际攻击数据，并根据所述实际攻击数据并通过贝叶斯博弈调整对所述各虚拟机上的检测负载的分布情况。

在本申请的一些实施例中，所述第二执行单元，包括：

第一获得单元，用于根据所述设备相关信息，得到各虚拟机的价值；

第二获得单元，用于根据所述历史攻击信息，得到各虚拟机的攻击增长系数；

第六执行单元，用于使用已识别的漏洞对各虚拟机发起攻击，获得发起攻击后对对应的虚拟机造成损失的概率值、以及发起攻击后对对应的虚拟机造成的损失值；

第三获得单元，用于根据所述各虚拟机的价值、攻击增长系数，以及使用已识别的漏洞对各虚拟机发起攻击后造成损失的概率值、造成的损失值，获得所述各虚拟机的危险指数。

在本申请的一些实施例中，所述第二获得单元，包括：

第四获得单元，用于根据所述历史攻击信息获取各虚拟机在所述每个时间单元中连续两个时刻的攻击次数；

第五获得单元，用于根据所述攻击次数，得到各虚拟机在当前时刻的攻击增长率；

第六获得单元，用于根据所述攻击增长率，得到所述各虚拟机的攻击增长系数。

在本申请的一些实施例中，所述第五执行单元，包括：

第七执行单元，用于对所述实际攻击数据进行预测，得到攻击概率分布；

第八执行单元，用于根据所述攻击概率分布，通过贝叶斯博弈调整对所述各虚拟机上的检测负载的分布情况。

在本申请的一些实施例中，所述第七执行单元，包括：

第九执行单元，用于使用支持向量机对所述实际攻击数据进行分类处理，得到分类结果；

第一判断单元，用于根据所述历史攻击信息和所述分类结果，判断所述空闲虚拟机受到的攻击为已识别攻击或未知攻击；

第十执行单元，若判断所述空闲虚拟机受到的攻击为未知攻击，则所述第十执行单元用于根据所述实际攻击数据，预测得到攻击概率分布。

在本申请的一些实施例中，所述服务器还包括：

第十一执行单元，用于若判断所述空闲虚拟机受到的攻击为已知攻击，则对根据所述历史攻击信息对所述空闲虚拟机受到的攻击进行展示。

在本申请的一些实施例中，所述服务器还包括：

第十二执行单元，用于若判断所述空闲虚拟机受到的攻击为未知攻击，则对所述实际攻击数据中包含的新特征进行记录。

本申请实施例还提供了一种服务器，其特征在于，所述服务器包括第一处理器、第一存储器和第一通信总线；

所述第一通信总线用于实现第一处理器和第一存储器之间的通信连接；

所述第一处理器用于执行第一存储器中存储的检测防御程序，以实现上述检测防御方法的任一检测防御方法。

本申请实施例还提供了一种存储介质，其上存储有检测防御程序，所述检测防御程序被第一处理器执行时实现上述任一检测防御方法。

本实施例所提供的检测防御方法，包括：在每个时间单元，获取设备相关信息，以及通过在各虚拟机上分布的检测负载来获取各虚拟机的历史攻击信息；根据所述历史攻击信息和所述设备相关信息，对所述各虚拟机进行风险评估，得到虚拟机的危险指数；根据所述虚拟机的危险指数，确定出所述各虚拟机中危险指数最高的源虚拟机，以及对应的目标虚拟机，其中，所述目标虚拟机为所述各虚拟机中危险指数低于预设系数阈值的虚拟机；当检测到所述源虚拟机受到攻击时，获取所述源虚拟机的迁移服务副本，采用空闲虚拟机，运行所述迁移服务副本，吸引攻击；并将所述源虚拟机运行的服务迁移到所述目标虚拟机上；获取所述空闲虚拟机受到攻击的实际攻击数据，根据所述实际攻击数据并通过贝叶斯博弈调整对所述各虚拟机上的检测负载的分布情况。通过构建风险评估框架实现对虚机的风险水平评估，在虚机受到攻击时将风险虚机实时迁移至安全虚机，实现对虚机以及数据的保护，同时通过蜜罐技术诱导攻击并学习攻击行为，实现对攻击者的类型和目标的持续学习，并基于对攻击行为的分析优化检测负载，实现了对系统有限的安全资源的预算且保证了最优的检测响应。

附图说明

图1为本申请的实施例提供的一种检测防御方法的流程示意图一；

图2为本申请的实施例提供的一种检测防御方法的流程示意图二；

图3为本申请的实施例提供的一种检测防御方法的流程示意图三；

图4为本申请的实施例提供的一种检测防御方法的流程示意图四；

图5为本申请的实施例提供的一种检测防御方法的流程示意图五；

图6为本申请的实施例提供的一种检测防御方法的重复贝叶斯Stackelberg博弈设计原理示意图；

图7为本申请的实施例提供的一种检测防御方法的防御机制的示意图；

图8为本申请的实施例提供的一种服务器的结构示意图一；

图9为本申请的实施例提供的一种服务器的结构示意图二。

具体实施方式

下面将结合本实施例中的附图，对本实施例中的技术方案进行清楚、完整地描述。

如图1所示，本实施例提供一种检测防御方法，应用于一服务器，包括：

S101、在每个时间单元，获取设备相关信息，以及各虚拟机的历史攻击信息。

本申请实施例中，监控代理设置在服务器，或者云系统中，服务器为主机管理程序分配观察虚拟机系统以及并识别虚拟机系统上的恶意活动。在离散时间的预设时间段中，(例如[t1，t2])中的每个时间单元，服务器会获取各虚拟机的设备相关信息，再通过在各虚拟机上分布的检测负载来获取各虚拟机的历史攻击信息。

本申请实施例中，主机管理程序为主机自身的软件或服务，如组件服务、应用软件、防火墙等，用于保证主机基础的运行。

需要说明的是，主机上安装有一个或者多个虚拟机，每个虚拟机上分配有检测负载，检测负载基于主机的管理程序的运行来观察虚拟机系统的运行情况，并识别虚拟机系统上的恶意活动，服务器也可以通过检测负载获取攻击信息。

其中，设备相关信息可以包括虚拟机的硬件架构信息和网络信息，如存储能力、网络能力(如内存、CPU、带宽等)。历史攻击信息为已经识别出的一些恶意攻击行为，包括恶意攻击行为的类型、攻击次数、受到攻击的节点、端口等。

在本申请实施例中，服务器根据主机上基于管理程序的检测负载，获取各虚拟机受到的历史攻击信息，包括在每个时间单元中各虚拟机受到攻击类型、攻击次数、受到攻击的节点、端口等，本发明实施例不作限制。

S102、根据历史攻击信息和设备相关信息，对各虚拟机进行风险评估，得到各虚拟机的危险指数。

本申请实施例中，服务器根据获取到的虚拟机的历史攻击信息和设备相关信息，对虚拟机本身的价值做出评估或虚拟机进行风险识别，并可以从历史攻击信息中选用一些已知攻击，对虚拟机进行攻击，综合计算得出虚拟机的危险指数。

其中，设备相关信息用来评估虚拟机本身的价值，通过对虚拟机本身的价值的评估，预测何等价值的虚拟机会成为潜在的攻击目标，历史攻击信息用来对虚拟机进行分析，如可以通过历史攻击信息分析得出常见的攻击类型、常见的攻击目标以及造成的损失等。危险指数表征虚拟机受到攻击的可能性，如，可能是价值较高，最容易受到攻击的一类虚拟机。

S103、根据各虚拟机的危险指数，确定出各虚拟机中危险指数最高的源虚拟机，以及对应危险指数低于预设阈值的虚拟机。

本申请实施例中，根据步骤S102得到的评估结果，即危险指数，筛选出其中危险指数最高的虚拟机，或者其中危险指数相对较高的虚拟机作为源虚拟机。源虚拟机未来极可能受到攻击，一旦受到攻击，服务器将会对源虚拟机采取保护措施。筛选出其中危险指数最高的虚拟机的同时，筛选出其中危险指数相对较低的虚拟机，危险指数越高，说明虚拟机受到攻击的可能性越大；危险指数越低，说明虚拟机越安全，不易成为攻击的目标。

示例性的，危险指数为6以上的虚拟机容易被网络入侵行为攻击，危险指数为7的虚拟机容易被网络病毒攻击，危险指数表征虚拟机受到攻击的可能性，如，可能是价值较高，最容易受到攻击的一类虚拟机。

其中，也可以预先设置一预设阈值用以评估虚拟机安全与否，危险指数低于预先设置的预设阈值的虚拟机可以认为是相对安全的虚拟机，将危险指数相对较低的虚拟机或较安全的虚拟机作为目标虚拟机。这里，目标虚拟机用于在未来，源虚拟机受到攻击时，对源虚拟机中的服务进行转移等。

S104、当检测到源虚拟机受到攻击时，采用空闲虚拟机吸引攻击；并将源虚拟机运行的服务迁移到目标虚拟机上。

本申请实施例中的，不同虚拟机的危险指数不同，由于源虚拟机危险指数最高，在外部攻击者发起攻击时，极易成为攻击的目标。当服务器检测到源虚拟机受到攻击时，服务器基于MTD(Moving Target Defense，动态目标防御)防御机制，引入一个基于实时迁移的策略，创建一个允许管理程序将危险虚拟机上运行的服务迁移到其他安全虚拟机的框架，并根据上述框架生成一个迁移服务副本，将所述源虚拟机运行的服务迁移到所述目标虚拟机上。

同时，服务器选择另一台空闲虚拟机作为目标虚拟机的替代品，并将上述源虚拟机上运行的服务制作备份服务，将无用的数据写入这些备份服务，然后根据上述迁移服务副本，在空闲虚拟机中运行迁移服务副本，将上述备份服务迁移至目标虚拟机的替代品，攻击者误以为这些目标虚拟机的替代品是真正的虚拟机而发动大量的攻击。

例如，当检测到源虚拟机中的银行系统受到攻击时，将源虚拟机中的银行系统迁移到另一个更安全的目标虚拟机中，同时，选择另一台空闲虚拟机作为目标虚拟机的替代品，并将源虚拟机上运行的与银行系统相关的服务制作备份，实时迁移到空闲虚拟机，即蜜罐虚拟机，在蜜罐虚拟机中仍使用虚拟的帐号、客户名运行这个银行系统。同时可以将危险虚拟机上运行的服务迁移到其他更为安全虚拟机。

可以理解的是，危险虚拟机上运行的服务可以是网络服务、信息、应用程序数据等，在将危险虚拟机上运行的服务迁移到其他更为安全虚拟机的过程中，另外，本申请实施例中通过选择与源虚拟机与操作系统一致目标虚拟机避免了在迁移过程中导致意外的技术故障，达到了避免危险虚拟机因被攻击或在实时迁移过程中由于技术故障造成额外损失的可能性的技术效果。

S105、获取空闲虚拟机受到攻击的实际攻击数据，并根据实际攻击数据并通过贝叶斯博弈调整对各虚拟机上的检测负载的分布情况。

本申请实施例中，利用蜜罐技术吸引大量攻击后，通过蜜罐技术采集攻击数据，并使用SVM(Support Vector Machine，支持向量机)分析数据。如，服务器捕获目标虚拟机在迁移时受到攻击的类型和其他未知的恶意行为等实际攻击数据，并使用SVM对实际攻击数据进行分析预测。

其中，攻击数据包括至少一台目标虚拟机受到攻击的攻击类型、攻击次数、受到攻击的节点、端口等。分析预测结果可以是具体哪些类型的攻击对哪些虚拟机发出了攻击，与收到攻击的虚拟机危险指数的关系，或者某种类型的攻击对哪些虚拟机发出了攻击，与收到攻击的虚拟机危险指数的关系等。

服务器得到分析预测结果后，将分析预测结果反馈给贝叶斯Stackelberg博弈阶段，通过计算确定出更优的检测分布策略，并以此调整对各虚拟机上的检测负载的分布情况。

示例性的，通过一次MTD技术预测到，A类攻击容易对危险指数为6以上的虚拟机发起攻击或B类攻击容易对危险指数为7的虚拟机频繁发起攻击，则可以对危险指数6以上的所有虚拟机部署防御A类攻击的检测负载，对危险指数为7的虚拟机部署更为安全的防御B类攻击的检测负载。

需要说明的是，Stackelberg博弈是博弈论中一种很经典的博弈理论，以德国经济学家Heinrich Freiherr von Stackelberg的名字命名，主要思想是博弈双方都是根据对方可能的策略来选择自己的策略以保证自己在对方策略下的利益最大化。

本申请实施例提出的基于重复贝叶斯Stackelberg(Bayesian-Stackelberg)博弈的检测防御方法是一种综合的检测防御机制，以抵御在云端的多种类型的攻击。该机制注重资源意识，将云系统的检测负载分布到不同的虚拟机中来保证有限的安全资源预算以及在相同时间保证最优的检测响应。此外，该机制还为云系统提供关于攻击者会采取的策略和预攻击目标的概率以及关于虚拟机实际安全状态的持续学习，并基于对攻击行为的分析优化检测负载，实现了对安全资源的预算且保证了最优的检测响应。

在本申请的一些实施例中，如图2所示，步骤S102包括：

S1021、根据设备相关信息，得到各虚拟机的价值；

S1022、根据历史攻击信息，得到各虚拟机的攻击增长系数；

S1023、使用已识别的漏洞对各虚拟机发起攻击，获得发起攻击后对对应的虚拟机造成损失的概率值、以及发起攻击后对对应的虚拟机造成的损失值；

S1024、根据各虚拟机的价值、攻击增长系数，以及使用已识别的漏洞对各虚拟机发起攻击后造成损失的概率值、造成的损失值，获得各虚拟机的危险指数。

本申请实施例中，服务器根据获取到的各虚拟机的设备相关信息，包括的硬件、存储和网络能力(如内存、CPU、带宽等)评估每个虚拟机的价值，通过对虚拟机本身的价值的评估，预测何种价值的虚拟机会成为潜在的攻击目标。

本申请实施例中，服务器根据获取到的各虚拟机的设备相关信息，包括的硬件、存储和网络能力(如内存、CPU、带宽等)评估每个虚拟机的价值，价值可用不同的等级来衡量，不同等级的价值根据不同的设备相关信息的确定，如，价值可取6，拥有中等能力的条件，则定义为3，拥有简单条件，则定义为1。虚拟机有复杂的硬件、良好的网络和较快的存储能力，则该虚拟机价值较高。

服务器根据计算出的各虚拟机的价值，列举出攻击者可能会攻击的虚拟机作为测试虚拟机，攻击者可能会选择攻击的虚拟机，可以是价值较高、经常被攻击的虚拟机，或被攻击的虚拟机存在安全漏洞但并未做出修复的价值较高虚拟机。

服务器再使用已识别的漏洞对测试虚拟机发起攻击，得到测试攻击数据，并根据测试攻击数据确定出利用所识别的漏洞对虚拟机发起攻击造成相应的威胁，并确定威胁级别，例如，威胁级别表征利用所识别的漏洞对虚拟机发起攻击造成损失的程度，例如造成无法弥补的损失，威胁级别可以定义为6；如造成的损失中等，需要维护才能继续正常使用，可以定义为6；如造成的损失轻微，并不影响正常使用，只是影响了操作方式、使用效率等，可以定义为1。服务器利用已识别的漏洞对测试虚拟机发起攻击后造成的造成损失的概率值表示各种威胁发生的可能性，以及发起攻击后造成的损失值。

服务器根据确定出的虚拟机对应的价值、攻击增长系数，以及利用已识别的漏洞对测试虚拟机发起攻击造成损失的概率值、以及发起攻击后造成的损失值，通过公式(1)计算虚拟机的危险指数，

其中，W_V(t)为虚拟机在t时刻的价值，v_V(t)为利用已识别的漏洞对测试虚拟机发起攻击造成的损失值，θ_V(t)为利用已识别的漏洞对测试虚拟机发起攻击造成损失的概率值。

在本申请的一些实施例中，如图3所示，步骤S1022包括：

S10221、根据历史攻击信息获取各虚拟机在每个时间单元中连续两个时刻的攻击次数；

S10222、根据攻击次数，得到各虚拟机在当前时刻的攻击增长率；

S10223、根据攻击增长率，得到各虚拟机的攻击增长系数。

本申请实施例中，服务器根据对历史攻击信息的读取，得到各虚拟机在每个时间单元中连续两个时刻的攻击次数，以此计算各虚拟机在当前时刻的攻击增长率，并进一步计算各虚拟机的攻击增长系数。其中，增长率、增长系数均表征各虚拟机上受到攻击的频率。

服务器根据历史攻击信息中包含的攻击次数，根据公式(2)计算各虚拟机在当前时刻的攻击增长率，

其中，N_V(t)为虚拟机在t时刻受到的攻击次数，k_V(t)为虚拟机v上受到攻击的增长率。并根据公式(3)计算各虚拟机在t时刻受到攻击的攻击增长系数，

在本申请的一些实施例中，如图4所示，步骤S105还包括：

S1051、对实际攻击数据进行预测，得到攻击概率分布；

S1052、根据攻击概率分布，通过贝叶斯博弈调整对各虚拟机上的检测负载的分布情况。

本申请实施例中，利用蜜罐技术吸引大量攻击后，服务器捕获空闲虚拟机在迁移时受到攻击的类型和其他未知的恶意行为等实际攻击数据，例如拒绝服务攻击、网络病毒、网络监听、网络入侵行为等类型的攻击。

服务器根据分类过程的结果，使用hypervisor计算攻击类型概率分布，攻击类型概率＝被分类为y的观察数/总的观察数。将得到攻击类型概率分布反馈给贝叶斯博弈后，根据贝叶斯定理确定出更优的检测分布策略，并以此调整对各虚拟机上的检测负载的分布情况。

其中，攻击类型概率分布表征至少一台被观察的虚拟机受到各类攻击的分布情况。被观察的虚拟机的数量为总的观察数，被分类为y的攻击类型发起攻击的总次数为被分类为y的观察数。

示例性的，如图3所示，如根据对一次MTD技术捕获的攻击数据，被分类为网络入侵行为的攻击为30次，总的观察数为500，被入侵行为攻击的虚拟机的危险指数均为6以上，则网络入侵行为容易对危险指数为6以上的虚拟机发起攻击的概率为30/500＝6％，或网络病毒容易对危险指数为7的虚拟机频繁发起攻击的概率为20％，则可以针对危险指数6以上的所有虚拟机部署防御网络入侵行为的检测负载，针对危险指数为7以上的虚拟机部署更为安全的防御网络病毒的检测负载。本申请实施例中的攻击概率分布以及检测分布策略的优化仅仅是一个示例，具体也可以是其他表征虚拟机受到各类攻击分布情况的概率，以及根据贝叶斯Stackelberg博弈调整检测负载的其他策略。

服务器在确定分布策略时，应尽量满足Collabra、公平分配策略。Collabra的核心思想是分析每个客户应用程序发起的每个超级调用，以识别旨在破坏主机管理程序的分布式攻击。在公平分配模型中，需要保证检测负载在虚拟机之间公平分配，以保证检测过程的公平性。

在本申请的一些实施例中，如图5所示，步骤S1051包括：

S10511、使用支持向量机对实际攻击数据进行分类处理，得到分类结果；

S10512、根据历史攻击信息和分类结果，判断空闲虚拟机受到的攻击为已识别攻击或未知攻击；

S10513、若判断空闲虚拟机受到的攻击为未知攻击，则根据实际攻击数据，预测得到攻击概率分布。

本申请实施例中，实际攻击数据中还包括：攻击源和目标IP地址、主机名、使用的协议和攻击源的地理信息等。服务器获取到实际攻击数据后，再使用一类SVM分类器对收集到的实际攻击数据进行分析，找到决策边界，再使用决策函数对实际攻击数据进行分类，输出已识别攻击和未识别攻击记录。

需要说明的是，SVM求解决策边界的过程包括，使用SVM寻找一个超平面，保持与原点的间隔最大，所有在上间隔边界上方的实际攻击数据样本属于正类，在下间隔边界下方的实际攻击数据样本属于负类，去掉超平面下方一侧的异常数据点，而后基于距离对各类实际攻击数据样本分别去边缘点，最后对约简后的实际攻击数据用SVM进行分类，而超平面和最近的数据点之间的距离被称为边界。使用决策函数对实际攻击数据进行分类时，将SVM分类问题映射为求解目标函数的最小化问题。

服务器对实际攻击数据进行分类后，根据历史攻击信息中包含的信息，判断实际攻击是否为已识别攻击，例如，历史攻击信息已经识别出了DOS(Disk Operation System，磁盘操作系统)攻击或特权升级攻击。如果在蜜罐系统上发现的实际攻击既不匹配DOS也不匹配特权升级攻击特性，那么实际攻击将被视为针对云系统的新攻击类型。对于实际攻击不在历史攻击信息的易识别特征中的未知攻击，服务器根据分类过程的结果，使用hypervisor(虚拟机监视器)计算攻击类型概率分布，攻击类型概率＝被分类为y的观察数/总的观察数。

本申请实施例中，服务器根据历史攻击信息和实际攻击数据进行分类的结果，预测未知攻击的攻击概率分布，根据得出的攻击者类型分布使用贝叶斯Stackelberg博弈优化负荷分配的策略，以抵御在云端的多种类型的攻击，提高了服务器的检测防御能力以及对多类型攻击的应变能力。

在本申请的一些实施例中，步骤S10512之后包括：

若判断空闲虚拟机受到的攻击为已知攻击，则对根据历史攻击信息对空闲虚拟机受到的攻击进行展示。

本申请实施例中，对实际攻击数据进行分类后，根据分类结果若判断出空闲虚拟机受到的攻击为已知攻击，则说明历史攻击信息中包含了对应的特征，直接将对应的漏洞进行展示，如提示受到的攻击的类别等。

本申请实施例中，通过对历史攻击信息的保存，当再次受到已知攻击时，可以提高服务器对恶意攻击的识别效率。

在本申请的一些实施例中，步骤S10512之后还包括：

若判断空闲虚拟机受到的攻击为未知攻击，则对实际攻击数据中包含的新特征进行记录。

本申请实施例中，对实际攻击数据进行分类后，根据分类结果若判断出空闲虚拟机受到的攻击为未知攻击，除了需要分析攻击概率分布，进行博弈优化负载策略，同时对实际攻击数据中包含的新特征进行记录，以再次出现相同攻击时可以快速响应，提高服务器对恶意攻击的识别效率。

而本申请实施例涉及的贝叶斯采用数据驱动优化的方法，采用多个学科的方式学习攻击者概率分布，然后集成到贝叶斯中，可以确定在云系统中攻击者类型分布情况。本申请实施例涉及的MTD技术同时考虑迁移策略的安全性以及迁移过程的技术方案选择。且在不考虑虚拟机中作业的复杂性的情况下，通过机器学习的方式可以在较短时间获取并分析出更多数据。该机制还为云系统提供关于攻击者会采取的策略和预攻击目标的概率以及关于虚拟机实际安全状态的持续学习，并基于对攻击行为的分析优化检测负载，实现了对安全资源的预算且保证了最优的检测响应。

如图6所示，本申请实施例还提供了一种检测防御方法的重复贝叶斯Stackelberg博弈设计原理，

如图6所示的重复贝叶斯Stackelberg博弈设计原理，包括虚机风险识别、MTD防御机制、通过蜜罐技术采集恶意数据，SVM分析数据以及贝叶斯stackelberg博奔四个阶段。

虚机风险识别阶段：服务器根据获取到的虚拟机的历史攻击信息和设备相关信息，对虚拟机本身的价值做出评估或虚拟机风险识别，并可以从历史攻击信息中选用一些已知攻击，对虚拟机进行攻击，综合计算得出虚拟机的危险指数。

MTD防御机制：服务器根据各虚拟机的危险指数，确定出各虚拟机中危险指数最高的源虚拟机，以及对应的目标虚拟机，目标虚拟机用于在未来，源虚拟机受到攻击时，对源虚拟机中的服务进行转移等。MTD防御机制的核心是让攻击者不知道攻击的虚拟机V1内，正在将运行的服务迁移至安全虚拟机V2中。

通过蜜罐技术采集恶意数据，SVM分析数据：本申请实施例中服务器通过蜜罐部署技术Hx，将迁移后的服务的副本保存在蜜罐虚拟机中运行，同时使用假的无用数据填充这些服务，诱导攻击者发动攻击并获取恶意数据，并使用SVM对恶意数据进行分析预测，得到分析预测结果。

如图7所示，源虚拟机V1受到攻击时，服务器使用蜜罐技术Hx将源虚拟机中的服务进行转移到安全虚拟机V2中，诱导攻击者发动攻击并获取恶意数据，由SVM再对恶意数据进行分类。

贝叶斯Stackelberg博弈阶段：服务器根据分析预测结果，优化调整对各虚拟机上的检测负载的分布情况。如通过一次MTD技术预测到，A类攻击容易对危险指数为6以上的虚拟机发起攻击或B类攻击容易对危险指数为7的虚拟机频繁发起攻击，则可以对危险指数6以上的所有虚拟机部署防御A类攻击的检测负载，对危险指数为7的虚拟机部署更为安全的防御B类攻击的检测负载。

如图8所示，本申请实施例还提供了一种服务器1，服务器1包括：

第一执行单元11，用于在每个时间单元，获取设备相关信息，以及各虚拟机的历史攻击信息；

第二执行单元12，用于根据历史攻击信息和设备相关信息，对各虚拟机进行风险评估，得到各虚拟机的危险指数；

第三执行单元13，用于根据各虚拟机的危险指数，确定出各虚拟机中危险指数最高的源虚拟机，以及对应危险指数低于预设阈值的虚拟机；

第四执行单元14，用于当检测到源虚拟机受到攻击时，第四执行单元14采用空闲虚拟机吸引攻击；并将源虚拟机运行的服务迁移到目标虚拟机上；

第五执行单元15，用于获取空闲虚拟机受到攻击的实际攻击数据，并根据实际攻击数据并通过贝叶斯博弈调整对各虚拟机上的检测负载的分布情况。

在本申请的一些实施例中，第二执行单元12包括：

第一获得单元，用于根据设备相关信息，得到各虚拟机的价值；

第二获得单元，用于根据历史攻击信息，得到各虚拟机的攻击增长系数；

第三获得单元，用于根据各虚拟机的价值、攻击增长系数，以及使用已识别的漏洞对各虚拟机发起攻击后造成损失的概率值、造成的损失值，获得各虚拟机的危险指数。

在本申请的一些实施例中，第二获得单元包括：

第四获得单元，用于根据历史攻击信息获取各虚拟机在每个时间单元中连续两个时刻的攻击次数；

第五获得单元，用于根据攻击次数，得到各虚拟机在当前时刻的攻击增长率；

第六获得单元，用于根据攻击增长率，得到各虚拟机的攻击增长系数。

在本申请的一些实施例中，第五执行单元15包括：

第七执行单元，用于对实际攻击数据进行预测，得到攻击概率分布；

第八执行单元，用于根据攻击概率分布，通过贝叶斯博弈调整对各虚拟机上的检测负载的分布情况。

在本申请的一些实施例中，第七执行单元包括：

第九执行单元，用于使用支持向量机对实际攻击数据进行分类处理，得到分类结果；

第一判断单元，用于根据历史攻击信息和分类结果，判断空闲虚拟机受到的攻击为已识别攻击或未知攻击；

第十执行单元，若判断空闲虚拟机受到的攻击为未知攻击，则第十执行单元用于根据实际攻击数据，预测得到攻击概率分布。

在本申请的一些实施例中，服务器还包括：

第十一执行单元，用于若判断空闲虚拟机受到的攻击为已知攻击，则对根据历史攻击信息对空闲虚拟机受到的攻击进行展示。

在本申请的一些实施例中，服务器还包括：

第十二执行单元，用于若判断空闲虚拟机受到的攻击为未知攻击，则对实际攻击数据中包含的新特征进行记录。

如图9所示，本申请实施例还提供了一种服务器2，其特征在于，服务器2包括第一处理器21、第一存储器22和第一通信总线23；

第一通信总线23用于实现第一处理器21和第一存储器22之间的通信连接；

第一处理器21用于执行第一存储器22中存储的检测防御程序，以实现上述检测防御方法的任一检测防御方法。

本申请实施例还提供了一种存储介质，其上存储有检测防御程序，检测防御程序被第一处理器执行时实现上述任一检测防御方法。

本领域技术人员应理解，说明书通篇中提到的“一个实施例”或“一实施例”意味着与实施例有关的特定特征、结构或特性包括在本申请的至少一个实施例中。因此，在整个说明书各处出现的“在一个实施例中”或“在一实施例中”未必一定指相同的实施例。此外，这些特定的特征、结构或特性可以任意适合的方式结合在一个或多个实施例中。应理解，在本申请的各种实施例中，上述各过程的序号的大小并不意味着执行顺序的先后，各过程的执行顺序应以其功能和内在逻辑确定，而不应对本实施例的实施过程构成任何限定。上述本实施例序号仅仅为了描述，不代表实施例的优劣。

需要说明的是，在本申请实施例中，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者装置不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者装置所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括该要素的过程、方法、物品或者装置中还存在另外的相同要素。

在本申请所提供的几个实施例中，应该理解到，所揭露的设备和方法，可以通过其它的方式实现。以上所描述的设备实施例仅仅是示意性的，例如，单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，如：多个单元或组件可以结合，或可以集成到另一个系统，或一些特征可以忽略，或不执行。另外，所显示或讨论的各组成部分相互之间的耦合、或直接耦合、或通信连接可以是通过一些接口，设备或单元的间接耦合或通信连接，可以是电性的、机械的或其它形式的。

上述作为分离部件说明的单元可以是、或也可以不是物理上分开的，作为单元显示的部件可以是、或也可以不是物理单元；既可以位于一个地方，也可以分布到多个网络单元上；可以根据实际的需要选择其中的部分或全部单元来实现本实施例方案的目的。

另外，在本申请各实施例中的各功能单元可以全部集成在一个处理单元中，也可以是各单元分布单独作为一个单元，也可以两个或两个以上单元集成在一个单元中；上述集成的单元既可以采用硬件的形式实现，也可以采用硬件加软件功能单元的形式实现。

本领域普通技术人员可以理解：实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成，前述的程序可以存储于计算机可读取存储介质中，该程序在执行时，执行包括上述方法实施例的步骤；而前述的存储介质包括：移动存储设备、只读存储器(Read Only Memory，ROM)、磁碟或者光盘等各种可以存储程序代码的介质。

或者，本申请上述集成的单元如果以软件功能模块的形式实现并作为独立的产品销售或使用时，也可以存储在一个计算机可读取存储介质中。基于这样的理解，本实施例的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机、服务器、或者网络设备等)执行本申请各实施例方法的全部或部分。而前述的存储介质包括：移动存储设备、ROM、磁碟或者光盘等各种可以存储程序代码的介质。

以上，仅为本申请的具体实施方式，但本申请的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本申请揭露的技术范围内，可轻易想到变化或替换，都应涵盖在本申请的保护范围之内。因此，本申请的保护范围应以权利要求的保护范围为准。

Claims

1.一种检测防御方法，其特征在于，所述方法应用于一服务器，所述方法包括：

根据所述各虚拟机的危险指数，确定出所述各虚拟机中危险指数最高的源虚拟机，以及对应的危险指数低于预设阈值的目标虚拟机；

2.根据权利要求1所述的方法，其特征在于，所述根据所述历史攻击信息和所述设备相关信息，对所述各虚拟机进行风险评估，得到各虚拟机的危险指数，包括：

根据所述设备相关信息，得到各虚拟机的价值；

根据所述历史攻击信息，得到各虚拟机的攻击增长系数；

3.根据权利要求2所述的方法，其特征在于，所述根据所述历史攻击信息，得到各虚拟机的攻击增长系数，包括：

根据所述攻击增长率，得到所述各虚拟机的攻击增长系数。

4.根据权利要求1所述的方法，其特征在于，所述根据所述实际攻击数据并通过贝叶斯博弈调整对所述各虚拟机上的检测负载的分布情况，包括：

对所述实际攻击数据进行预测，得到攻击概率分布；

5.根据权利要求4所述的方法，其特征在于，所述对所述实际攻击数据进行预测，得到攻击概率分布，包括：

6.根据权利要求5所述的方法，其特征在于，所述根据所述历史攻击信息和所述分类结果，判断所述空闲虚拟机受到的攻击为已识别攻击或未知攻击之后，所述方法还包括：

7.根据权利要求5所述的方法，其特征在于，所述根据所述历史攻击信息和所述分类结果，判断所述空闲虚拟机受到的攻击为已识别攻击或未知攻击之后，所述方法还包括：

8.一种服务器，其特征在于，所述服务器包括：

第三执行单元，用于根据所述各虚拟机的危险指数，确定出所述各虚拟机中危险指数最高的源虚拟机，以及对应危险指数低于预设阈值的虚拟机；

第四执行单元，用于当检测到所述源虚拟机受到攻击时，采用空闲虚拟机吸引攻击；并将所述源虚拟机运行的服务迁移到所述目标虚拟机上；

第五执行单元，所述第五执行单元用于获取所述空闲虚拟机受到攻击的实际攻击数据，并根据所述实际攻击数据并通过贝叶斯博弈调整对所述各虚拟机上的检测负载的分布情况。

9.根据权利要求8所述的服务器，其特征在于，所述第一执行单元，包括：

10.根据权利要求9所述的服务器，其特征在于，所述第二获得单元，包括：

11.根据权利要求8所述的服务器，其特征在于，所述第五执行单元，包括：

12.根据权利要求11所述的服务器，其特征在于，所述第七执行单元，包括：

13.根据权利要求12所述的服务器，其特征在于，所述服务器还包括：

14.根据权利要求12所述的服务器，其特征在于，所述服务器还包括：

15.一种服务器，其特征在于，所述服务器包括第一处理器、第一存储器和第一通信总线；

所述第一处理器用于执行第一存储器中存储的检测防御程序，以实现如权利要求1-7中任一项所述的检测防御方法。

16.一种存储介质，其上存储有检测防御程序，所述检测防御程序被第一处理器执行时实现如权利要求1-7任一项所述的检测防御方法。