CN113783848B - 基于欺骗性人工智能的网络主动防御方法及装置 - Google Patents
基于欺骗性人工智能的网络主动防御方法及装置 Download PDFInfo
- Publication number
- CN113783848B CN113783848B CN202110980817.XA CN202110980817A CN113783848B CN 113783848 B CN113783848 B CN 113783848B CN 202110980817 A CN202110980817 A CN 202110980817A CN 113783848 B CN113783848 B CN 113783848B
- Authority
- CN
- China
- Prior art keywords
- data
- access
- behavior
- access request
- illegal
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1491—Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明属于人工智能技术领域,具体涉及基于欺骗性人工智能的网络主动防御方法及装置。所述方法执行以下步骤:步骤1:基于本地的数据存储空间,设置多个镜像数据空间,每个镜像数据空间均为本地的数据存储空间的完全镜像;步骤2:当源数据存储进入本地的数据存储空间时,基于源数据,在每个镜像数据空间中生成欺骗数据;所述欺骗数据与源数据的交集部分占两者数据总量和的1%至5%。其通过设置多个镜像数据空间来迷惑进攻方,以保证数据的安全性,同时在镜像空间中,提供包含部分源数据的欺骗数据,以使得进攻方认为自己获得数据,从而放弃进攻,提升系统的安全性,另外,本发明还使用多种针对不同情况防御手段,提升了防御的效率和主动性。
Description
背景技术
网络攻击(Cyber Attacks,也称赛博攻击)是指针对计算机信息系统、基础设施、计算机网络或个人计算机设备的,任何类型的进攻动作。对于计算机和计算机网络来说,破坏、揭露、修改、使软件或服务失去功能、在没有得到授权的情况下偷取或访问任何一计算机的数据,都会被视为于计算机和计算机网络中的攻击。
网络防御通常包括预防、检测和响应。在遭受网络攻击之前,计算机网络防御的对策是采用管理上、技术上的各种措施,防止或阻止敌方对己方网络系统的攻击和非授权访问;在网络攻击过程中,采取各种网络防御技术,检测正在发生的网络攻击行为,并做好现场保护,分析攻击源,同时有效控制攻击的影响和范围;在攻击发生之后,尽快作出响应(包括网络反击),恢复己方网络系统的作战功能,确保作战效能的发挥。
网络防御武器装备主要包括防病毒工具、防火墙、数据加密系统、操作系统安全子系统、入侵检测系统、备份与恢复系统等。设置假目标分流入侵,利用假信息进行战术欺骗,也是计算机网络防御的重要手段。
但现有技术中,针对网络攻击的防御手段,往往由于较为单一,且防御的方式较为常规,非常容易被绕过或破解。同时,许多网络攻击在没有达成目标时,会不断尝试对本地进行进攻,往往会造成本地的访问拥堵,从另一方面破坏本地数据的正常获取和存储。
专利号为CN201410532769.8A的专利公开了一种网络攻击检测方法及节点,所述方法包括:进行网络拓扑分析,依据网络拓扑分析结果形成包括至少一条检测路径的检测路径集合;通过第一检测路径向目标节点发送检测数据包;所述第一检测路径为所述检测路径集合中的一条所述检测路径;接收目标节点在所述检测数据包触发下发送的响应数据包;依据所述响应数据包的接收参数以及所述响应数据包携带的信息,获取当前检测参数;及依据所述当前检测参数及历史检测数据,确定所述第一检测路径是否有遭受网络攻击。
其利用网络拓扑分析来识别网络攻击,但对于网络攻击的相应依然使用传统手段,使得对于网络攻击的防御无法起到很好的效果,数据的安全性难以得到保障。
发明内容
有鉴于此,本发明的主要目的在于提供基于欺骗性人工智能的网络主动防御方法及装置,通过设置多个镜像数据空间来迷惑进攻方,以保证数据的安全性,同时在镜像空间中,提供包含部分源数据的欺骗数据,以使得进攻方认为自己获得数据,从而放弃进攻,提升系统的安全性,另外,本发明还使用多种针对不同情况防御手段,提升了防御的效率和主动性。
为达到上述目的,本发明的技术方案是这样实现的:
基于欺骗性人工智能的网络主动防御方法,所述方法执行以下步骤:
步骤1:基于本地的数据存储空间,设置多个镜像数据空间,每个镜像数据空间均为本地的数据存储空间的完全镜像;
步骤2:当源数据存储进入本地的数据存储空间时,基于源数据,在每个镜像数据空间中生成欺骗数据;所述欺骗数据与源数据的交集部分占两者数据总量和的1%至5%;
步骤3:对进入本地的数据访问请求进行实时监控,以识别非法访问请求,对识别出的非法访问请求进行行为分析,得到非法访问请求行为分析结果;
步骤4:基于得到的非法访问请求行为结果,从预设的主动防御链中找到匹配的防御链,以对非法访问请求进行主动防御;所述主动防御链为多个主动防御行为组成的防御行为组,每个主动防御链中至少包括两个防御行为,同时主动防御链中链尾的防御行为均为数据获取行为;
步骤5:当本地开始通过主动防御链对非法访问请求进行主动防御时,本地开启设置的偏置函数;偏置函数将针对所有对发送至本地的数据访问请求,基于数据访问请求的目标数据在源数据中的权重值和偏置概率,从源数据和欺骗数据中获取一个数据,返回给数据访问请求。
进一步的,所述镜像数据空间与本地的数据存储空间并联;同时,镜像数据空间之间并联。
进一步的,所述步骤2基于源数据,在每个镜像数据空间中生成欺骗数据的方法执行以下步骤:在源数据中随机抽选部分数据作为欺骗数据与源数据的交集部分,将源数据中交集部分以外的数据使用数据映射方程,生成欺骗部分;所述数据映射方程使用如下公式表示:
其中,Kn为生成的欺骗部分,n值表示生成欺骗数据的次数;A表示源数据中交集部分以外的数据;M为调整参数,为固定值,取值范围为:2~10。
进一步的,所述步骤3中对进入本地的数据访问请求进行实时监控,以识别非法访问请求的方法执行以下步骤:从进入本地的数据访问请求中提取访问特征;基于历史合法的访问特征的集合建立合法行为模型;基于合法行为模型对提取到的进入本地的数据访问请求进行判断,以判断是否出现非法访问请求;在进行非法访问请求检测的同时,根据新的合法的访问特征对所述合法行为模型进行更新。
进一步的,所述访问特征包括进入本地的数据访问请求的物理特征和行为特征;所述物理特征包括:IP地址、子网掩码、网关地址和DNS地址;所述行为特征包括:目标数据、访问频次和访问时间.
进一步的,所述合法行为模型对提取到的进入本地的数据访问请求进行判断的方法包括:提取进入本地的数据访问请求的访问特征,首先对物理特征进行判断:分别将物理特征中的IP地址、子网掩码、网关地址和DNS地址与历史合法的访问特征的集合进行比对判断,若判断物理特征为合法的访问特征;则对行为特征进行判断。若判断行为特征中的目标数据为合法,同时,访问频次和访问时间在合法的设定的阈值范围内,则判断该数据访问请求为合法访问请求;若物理特征或行为特征中有任一项判断为非法,则判断该数据访问请求为非法访问请求。
进一步的,所述主动防御链包括四种类型,分别为:拒绝访问链、限制访问链、欺骗访问链和暂停访问链;所述拒绝访问链包括两个主动防御行为,分别为:拒绝访问行为和获取空值的数据获取行为;所述限制访问链包括三个主动防御行为,分别为:限制访问行为、额外信息需求行为和获取指定的数据集合的数据获取行为;所述额外信息需求行为向数据访问请求的发送方发送额外的身份信息需求;所述欺骗访问链包括两个主动防御行为,分别为:欺骗访问行为和获取欺骗数据的数据获取行为;所述欺骗访问行为将引导数据访问请求的发送方至镜像数据空间中;所述欺骗数据的数据获取行为从镜像数据空间中获取欺骗数据发送给数据访问请求的发送方;所述暂停访问链包括三个主动防御行为,分别为:特定时间周期暂停访问行为和数据获取行为;所述特定时间周期暂停访问行为将限制数据访问请求的发送方在设定的时间周期内无法访问。
进一步的,所述步骤4中基于得到的非法访问请求行为结果,从预设的主动防御链中找到匹配的防御链的方法包括:若非法访问请求的物理特征判断为非法,则获取拒绝访问链;若非法访问请求的物理特征合法,同时行为特征非法,则获取限制访问链;若非法访问请求的物理特征合法,同时行为特征中的目标数据非法,且访问频次和访问时间合法,则获取欺骗访问链;若非法访问请求的物理特征合法,同时行为特征中的目标数据和访问频次合法,但访问时间非法,则获取暂停访问链。
进一步的,所述偏置函数使用如下公式进行表示:
其中,τ为权重值,p为偏置概率,r为单位时间内发送至本地的数据访问请求的数量,L为访问单位时间内发送至本地的数据访问请求中非法访问请求的数量。
基于欺骗性人工智能的网络主动防御装置。
本发明的基于欺骗性人工智能的网络主动防御方法及装置,具有如下有益效果:
1.数据安全性高:本发明在进行网络防御时,没有采用传统的被动防御,而是根据识别的攻击行为的类型来采取不同的防御方式,且在提供给攻击方的数据时,使用了欺骗数据,以迷惑进攻方,使得其停止攻击本地端,提升了数据的安全性;另一方面,本发明在进行网络防御时,如果判定有非法攻击了本地端,则对本地端的所有数据获取请求使用一个偏置函数进行偏置处理,对于权重高的数据,其有更大的概率发送的为欺骗数据,对所有的数据均有一定概率发送欺骗数据,进一步提升了数据的安全性。
2.处理效率高:本发明在进行网络防御时,针对不同的非法访问请求,使用不同的防御链来应对。这可以使得,某些由于非恶意的,其他因素导致的非法访问行为能够获得数据,不至于直接被拒绝,而对于恶意的,不具备权限的非法访问行为,则进行阻挡和拒绝,可以在保证安全性的情况下,提高系统的效率,避免虚警导致的系统阻滞的情况发生。
附图说明
图1为本发明实施例提供的基于欺骗性人工智能的网络主动防御方法的系统结构示意图;
图2为本发明实施例提供的基于欺骗性人工智能的网络主动防御方法及装置的源数据与欺骗数据的关系结构示意图;
图3为本发明实施例提供的基于欺骗性人工智能的网络主动防御方法及装置的防御链的结构示意图;
图4为本发明实施例提供的基于欺骗性人工智能的网络主动防御方法及装置的偏置函数的原理示意图;
图5为本发明实施例提供的基于欺骗性人工智能的网络主动防御方法及装置的被入侵率随着实验次数变化的曲线示意图与现有技术的对比实验效果示意图。
具体实施方式
下面结合附图及本发明的实施例对本发明的方法作进一步详细的说明。
实施例1
如图1所示,基于欺骗性人工智能的网络主动防御方法,所述方法执行以下步骤:
步骤1:基于本地的数据存储空间,设置多个镜像数据空间,每个镜像数据空间均为本地的数据存储空间的完全镜像;
步骤2:当源数据存储进入本地的数据存储空间时,基于源数据,在每个镜像数据空间中生成欺骗数据;所述欺骗数据与源数据的交集部分占两者数据总量和的1%至5%;
步骤3:对进入本地的数据访问请求进行实时监控,以识别非法访问请求,对识别出的非法访问请求进行行为分析,得到非法访问请求行为分析结果;
步骤4:基于得到的非法访问请求行为结果,从预设的主动防御链中找到匹配的防御链,以对非法访问请求进行主动防御;所述主动防御链为多个主动防御行为组成的防御行为组,每个主动防御链中至少包括两个防御行为,同时主动防御链中链尾的防御行为均为数据获取行为;
步骤5:当本地开始通过主动防御链对非法访问请求进行主动防御时,本地开启设置的偏置函数;偏置函数将针对所有对发送至本地的数据访问请求,基于数据访问请求的目标数据在源数据中的权重值和偏置概率,从源数据和欺骗数据中获取一个数据,返回给数据访问请求。
具体的,参考图2,当源数据存储进入本地的数据存储空间时,基于源数据,在每个镜像数据空间中生成欺骗数据。欺骗数据与源数据中存在部分交集。欺骗数据与源数据的交集部分占两者数据总量和的1%至5%。这样的好处在于,交集部分的数据可以迷惑攻击方,因为提供源数据的部分真实数据可以让攻击方认为攻击成功,进而停止对本地端的攻击。
参考图3,防御链有多个防御行为组成,同时防御链中的行为可以按照需求进行添加和删除,也可以重复进行多个一样的行为,防御链的构建因为不同情况而不同。
参考图4,偏置函数根据数据访问请求的目标数据在源数据中的权重,通过设置的偏置概率来确定发送给数据请求发送方的数据时欺骗数据还是源数据,进而保证数据的安全性。
实施例2
在上一实施例的基础上,所述镜像数据空间与本地的数据存储空间并联;同时,镜像数据空间之间并联。
实施例3
在上一实施例的基础上,所述步骤2基于源数据,在每个镜像数据空间中生成欺骗数据的方法执行以下步骤:在源数据中随机抽选部分数据作为欺骗数据与源数据的交集部分,将源数据中交集部分以外的数据使用数据映射方程,生成欺骗部分;所述数据映射方程使用如下公式表示:
其中,Kn为生成的欺骗部分,n值表示生成欺骗数据的次数;A表示源数据中交集部分以外的数据;M为调整参数,为固定值,取值范围为:2~10。
具体的,攻击者在突破一台主机后,往往以此主机作为根据地,攻击其他主机(以隐蔽其入侵路径,避免留下蛛丝马迹)。他们能使用网络监听方法,尝试攻破同一网络内的其他主机;也能通过IP欺骗和主机信任关系,攻击其他主机。
这类攻击非常狡猾,但由于某些技术非常难掌控,如TCP/IP欺骗攻击。攻击者通过外部计算机伪装成另一台合法机器来实现。他能磙坏两台机器间通信链路上的数据,其伪装的目的在于哄骗网络中的其他机器误将其攻击者作为合法机器加以接受,诱使其他机器向他发送据或允许他修改数据。TCP/IP欺骗能发生TCP/IP系统的所有层次上,包括数据链路层、网络层、运输层及应用层均容易受到影响。如果底层受到损害,则应用层的所有协议都将处于危险之中。另外由于用户本身不直接和底层相互相交流,因而对底层的攻击更具有欺骗性。
实施例4
在上一实施例的基础上,所述步骤3中对进入本地的数据访问请求进行实时监控,以识别非法访问请求的方法执行以下步骤:从进入本地的数据访问请求中提取访问特征;基于历史合法的访问特征的集合建立合法行为模型;基于合法行为模型对提取到的进入本地的数据访问请求进行判断,以判断是否出现非法访问请求;在进行非法访问请求检测的同时,根据新的合法的访问特征对所述合法行为模型进行更新。
具体的,许多系统都有这样那样的安全漏洞(Bugs)。其中一些是操作系统或应用软件本身具有的。如缓冲区溢出攻击。由于非常多系统在不检查程式和缓冲之间变化的情况,就任意接受任意长度的数据输入,把溢出的数据放在堆栈里,系统还照常执行命令。这样攻击者只要发送超出缓冲区所能处理的长度的指令,系统便进入不稳定状态。若攻击者特别设置一串准备用作攻击的字符,他甚至能访问根目录,从而拥有对整个网络的绝对控制权。另一些是利用协议漏洞进行攻击。如攻击者利用POP3一定要在根目录下运行的这一漏洞发动攻击,破坏的根目录,从而获得终极用户的权限。又如,ICMP协议也经常被用于发动拒绝服务攻击。他的具体手法就是向目的服务器发送大量的数据包,几乎占取该服务器所有的网络宽带,从而使其无法对正常的服务请求进行处理,而导致网站无法进入、网站响应速度大大降低或服务器瘫痪。常见的蠕虫病毒或和其同类的病毒都能对服务器进行拒绝服务攻击的进攻。他们的繁殖能力很强,一般通过Microsoft的Outlook软件向众多邮箱发出带有病毒的邮件,而使邮件服务器无法承担如此庞大的数据处理量而瘫痪。对于个人上网用户而言,也有可能遭到大量数据包的攻击使其无法进行正常的网络操作。
实施例5
在上一实施例的基础上,所述访问特征包括进入本地的数据访问请求的物理特征和行为特征;所述物理特征包括:IP地址、子网掩码、网关地址和DNS地址;所述行为特征包括:目标数据、访问频次和访问时间。
实施例6
在上一实施例的基础上,所述合法行为模型对提取到的进入本地的数据访问请求进行判断的方法包括:提取进入本地的数据访问请求的访问特征,首先对物理特征进行判断:分别将物理特征中的IP地址、子网掩码、网关地址和DNS地址与历史合法的访问特征的集合进行比对判断,若判断物理特征为合法的访问特征;则对行为特征进行判断。若判断行为特征中的目标数据为合法,同时,访问频次和访问时间在合法的设定的阈值范围内,则判断该数据访问请求为合法访问请求;若物理特征或行为特征中有任一项判断为非法,则判断该数据访问请求为非法访问请求。
具体的,计算机安全中最重要的是存储数据的安全,其面临的主要威胁包括:计算机病毒、非法访问、计算机电磁辐射、硬件损坏等。
计算机病毒是附在计算机软件中的隐蔽的小程序,它和计算机其他工作程序一样,但会破坏正常的程序和数据文件。恶性病毒可使整个计算机软件系统崩溃,数据全毁。要防止病毒侵袭主要是加强管理,不访问不安全的数据,使用杀毒软件并及时升级更新。
非法访问是指盗用者盗用或伪造合法身份,进入计算机系统,私自提取计算机中的数据或进行修改转移、复制等等。防止的办法一是增设软件系统安全机制,使盗窃者不能以合法身份进入系统。如增加合法用户的标志识别,增加口令,给用户规定不同的权限,使其不能自由访问不该访问的数据区等。二是对数据进行加密处理,即使盗窃者进入系统,没有密钥,也无法读懂数据。三是在计算机内设置操作日志,对重要数据的读、写、修改进行自动记录。
由于计算机硬件本身就是向空间辐射的强大的脉冲源,如和一个小电台差不多,频率在几十千周到上百兆周。盗窃者可以接收计算机辐射出来的电磁波,进行复原,获取计算机中的数据。为此,计算机制造厂家增加了防辐射的措施,从芯片,电磁器件到线路板、电源、转盘、硬盘、显示器及连接线,都全面屏蔽起来,以防电磁波辐射。更进一步,可将机房或整个办公大楼都屏蔽起来,如没有条件建屏蔽机房,可以使用干扰器,发出干扰信号,使接收者无法正常接收有用信号。
计算机存储器硬件损坏,使计算机存储数据读不出来也是常见的事。防止这类事故的发生有几种办法,一是将有用数据定期复制出来保存,一旦机器有故障,可在修复后把有用数据复制回去。二是在计算机中使用RAID技术,同时将数据存在多个硬盘上;在安全性要求高的特殊场合还可以使用双主机,一台主机出问题,另外一台主机照样运行。
实施例7
在上一实施例的基础上,所述主动防御链包括四种类型,分别为:拒绝访问链、限制访问链、欺骗访问链和暂停访问链;所述拒绝访问链包括两个主动防御行为,分别为:拒绝访问行为和获取空值的数据获取行为;所述限制访问链包括三个主动防御行为,分别为:限制访问行为、额外信息需求行为和获取指定的数据集合的数据获取行为;所述额外信息需求行为向数据访问请求的发送方发送额外的身份信息需求;所述欺骗访问链包括两个主动防御行为,分别为:欺骗访问行为和获取欺骗数据的数据获取行为;所述欺骗访问行为将引导数据访问请求的发送方至镜像数据空间中;所述欺骗数据的数据获取行为从镜像数据空间中获取欺骗数据发送给数据访问请求的发送方;所述暂停访问链包括三个主动防御行为,分别为:特定时间周期暂停访问行为和数据获取行为;所述特定时间周期暂停访问行为将限制数据访问请求的发送方在设定的时间周期内无法访问。
具体的,人工智能在计算机上实现时有2种不同的方式。一种是采用传统的编程技术,使系统呈现智能的效果,而不考虑所用方法是否与人或动物机体所用的方法相同。这种方法叫工程学方法(ENGINEERING APPROACH),它已在一些领域内作出了成果,如文字识别、电脑下棋等。另一种是模拟法(MODELING APPROACH),它不仅要看效果,还要求实现方法也和人类或生物机体所用的方法相同或相类似。遗传算法(GENERIC ALGORITHM,简称GA)和人工神经网络(ARTIFICIAL NEURAL NETWORK,简称ANN)均属后一类型。遗传算法模拟人类或生物的遗传-进化机制,人工神经网络则是模拟人类或动物大脑中神经细胞的活动方式。为了得到相同智能效果,两种方式通常都可使用。采用前一种方法,需要人工详细规定程序逻辑,如果游戏简单,还是方便的。如果游戏复杂,角色数量和活动空间增加,相应的逻辑就会很复杂(按指数式增长),人工编程就非常繁琐,容易出错。而一旦出错,就必须修改原程序,重新编译、调试,最后为用户提供一个新的版本或提供一个新补丁,非常麻烦。采用后一种方法时,编程者要为每一角色设计一个智能系统(一个模块)来进行控制,这个智能系统(模块)开始什么也不懂,就像初生婴儿那样,但它能够学习,能渐渐地适应环境,应付各种复杂情况。这种系统开始也常犯错误,但它能吸取教训,下一次运行时就可能改正,至少不会永远错下去,用不到发布新版本或打补丁。利用这种方法来实现人工智能,要求编程者具有生物学的思考方法,入门难度大一点。但一旦入了门,就可得到广泛应用。由于这种方法编程时无须对角色的活动规律做详细规定,应用于复杂问题,通常会比前一种方法更省力。
实施例8
在上一实施例的基础上,所述步骤4中基于得到的非法访问请求行为结果,从预设的主动防御链中找到匹配的防御链的方法包括:若非法访问请求的物理特征判断为非法,则获取拒绝访问链;若非法访问请求的物理特征合法,同时行为特征非法,则获取限制访问链;若非法访问请求的物理特征合法,同时行为特征中的目标数据非法,且访问频次和访问时间合法,则获取欺骗访问链;若非法访问请求的物理特征合法,同时行为特征中的目标数据和访问频次合法,但访问时间非法,则获取暂停访问链。
实施例9
在上一实施例的基础上,所述偏置函数使用如下公式进行表示:
其中,τ为权重值,p为偏置概率,r为单位时间内发送至本地的数据访问请求的数量,L为访问单位时间内发送至本地的数据访问请求中非法访问请求的数量。
实施例10
基于欺骗性人工智能的网络主动防御装置。
所属技术领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统的具体工作过程及有关说明,可以参考前述方法实施例中的对应过程,在此不再赘述。
需要说明的是,上述实施例提供的系统,仅以上述各功能单元的划分进行举例说明,在实际应用中,可以根据需要而将上述功能分配由不同的功能单元来完成,即将本发明实施例中的单元或者步骤再分解或者组合,例如,上述实施例的单元可以合并为一个单元,也可以进一步拆分成多个子单元,以完成以上描述的全部或者单元功能。对于本发明实施例中涉及的单元、步骤的名称,仅仅是为了区分各个单元或者步骤,不视为对本发明的不当限定。
所属技术领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的存储装置、处理装置的具体工作过程及有关说明,可以参考前述方法实施例中的对应过程,在此不再赘述。
本领域技术人员应能够意识到,结合本文中所公开的实施例描述的各示例的单元、方法步骤,能够以电子硬件、计算机软件或者二者的结合来实现,软件单元、方法步骤对应的程序可以置于随机存储器(RAM)、内存、只读存储器(ROM)、电可编程ROM、电可擦除可编程ROM、寄存器、硬盘、可移动磁盘、CD-ROM、或技术领域内所公知的任意其它形式的存储介质中。为了清楚地说明电子硬件和软件的可互换性,在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以电子硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。本领域技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本发明的范围。
术语“第一”、“另一部分”等是配置用于区别类似的对象,而不是配置用于描述或表示特定的顺序或先后次序。
术语“包括”或者任何其它类似用语旨在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者单元/装置不仅包括那些要素,而且还包括没有明确列出的其它要素,或者还包括这些过程、方法、物品或者单元/装置所固有的要素。
至此,已经结合附图所示的优选实施方式描述了本发明的技术方案,但是,本领域技术人员容易理解的是,本发明的保护范围显然不局限于这些具体实施方式。在不偏离本发明的原理的前提下,本领域技术人员可以对相关技术标记作出等同的更改或替换,这些更改或替换之后的技术方案都将落入本发明的保护范围之内。
以上所述,仅为本发明的较佳实施例而已,并非配置用于限定本发明的保护范围。
Claims (7)
1.基于欺骗性人工智能的网络主动防御方法,其特征在于,所述方法执行以下步骤:
步骤1:基于本地的数据存储空间,设置多个镜像数据空间,每个镜像数据空间均为本地的数据存储空间的完全镜像;
步骤2:当源数据存储进入本地的数据存储空间时,基于源数据,在每个镜像数据空间中生成欺骗数据;所述欺骗数据与源数据的交集部分占两者数据总量和的1%至5%;
步骤3:对进入本地的数据访问请求进行实时监控,以识别非法访问请求,对识别出的非法访问请求进行行为分析,得到非法访问请求行为分析结果;
步骤4:基于得到的非法访问请求行为结果,从预设的主动防御链中找到匹配的防御链,以对非法访问请求进行主动防御;所述主动防御链为多个主动防御行为组成的防御行为组,每个主动防御链中至少包括两个防御行为,同时主动防御链中链尾的防御行为均为数据获取行为;
步骤5:当本地开始通过主动防御链对非法访问请求进行主动防御时,本地开启设置的偏置函数;偏置函数将针对所有对发送至本地的数据访问请求,基于数据访问请求的目标数据在源数据中的权重值和偏置概率,从源数据和欺骗数据中获取一个数据,返回给数据访问请求;所述步骤2基于源数据,在每个镜像数据空间中生成欺骗数据的方法执行以下步骤:在源数据中随机抽选部分数据作为欺骗数据与源数据的交集部分,将源数据中交集部分以外的数据使用数据映射方程,生成欺骗部分;所述数据映射方程使用如下公式表示:
其中,Kn为生成的欺骗部分,n值表示生成欺骗数据的次数;A表示源数据中交集部分以外的数据;M为调整参数,为固定值,取值范围为:2~10;所述偏置函数使用如下公式进行表示:
其中,τ为权重值,p为偏置概率,r为单位时间内发送至本地的数据访问请求的数量,L为访问单位时间内发送至本地的数据访问请求中非法访问请求的数量。
2.如权利要求1所述的方法,其特征在于,所述镜像数据空间与本地的数据存储空间并联;同时,镜像数据空间之间并联。
3.如权利要求1所述的方法,其特征在于,所述步骤3中对进入本地的数据访问请求进行实时监控,以识别非法访问请求的方法执行以下步骤:从进入本地的数据访问请求中提取访问特征;基于历史合法的访问特征的集合建立合法行为模型;基于合法行为模型对提取到的进入本地的数据访问请求进行判断,以判断是否出现非法访问请求;在进行非法访问请求检测的同时,根据新的合法的访问特征对所述合法行为模型进行更新。
4.如权利要求3所述的方法,其特征在于,所述访问特征包括进入本地的数据访问请求的物理特征和行为特征;所述物理特征包括:IP地址、子网掩码、网关IP地址和DNSIP地址;所述行为特征包括:目标数据、访问频次和访问时间。
5.如权利要求4所述的方法,其特征在于,所述合法行为模型对提取到的进入本地的数据访问请求进行判断的方法包括:提取进入本地的数据访问请求的访问特征,首先对物理特征进行判断:分别将物理特征中的IP地址、子网掩码、网关IP地址和DNSIP地址与历史合法的访问特征的集合进行比对判断,若判断物理特征为合法的访问特征;则对行为特征进行判断;若判断行为特征中的目标数据为合法,同时,访问频次和访问时间在合法的设定的阈值范围内,则判断该数据访问请求为合法访问请求;若物理特征或行为特征中有任一项判断为非法,则判断该数据访问请求为非法访问请求。
6.如权利要求5所述的方法,其特征在于,所述主动防御链包括四种类型,分别为:拒绝访问链、限制访问链、欺骗访问链和暂停访问链;所述拒绝访问链包括两个主动防御行为,分别为:拒绝访问行为和获取空值的数据获取行为;所述限制访问链包括三个主动防御行为,分别为:限制访问行为、额外信息需求行为和获取指定的数据集合的数据获取行为;所述额外信息需求行为向数据访问请求的发送方发送额外的身份信息需求;所述欺骗访问链包括两个主动防御行为,分别为:欺骗访问行为和获取欺骗数据的数据获取行为;所述欺骗访问行为将引导数据访问请求的发送方至镜像数据空间中;所述欺骗数据的数据获取行为从镜像数据空间中获取欺骗数据发送给数据访问请求的发送方;所述暂停访问链包括三个主动防御行为,分别为:特定时间周期暂停访问行为和数据获取行为;所述特定时间周期暂停访问行为将限制数据访问请求的发送方在设定的时间周期内无法访问。
7.如权利要求6所述的方法,其特征在于,所述步骤4中基于得到的非法访问请求行为结果,从预设的主动防御链中找到匹配的防御链的方法包括:若非法访问请求的物理特征判断为非法,则获取拒绝访问链;若非法访问请求的物理特征合法,同时行为特征非法,则获取限制访问链;若非法访问请求的物理特征合法,同时行为特征中的目标数据非法,且访问频次和访问时间合法,则获取欺骗访问链;若非法访问请求的物理特征合法,同时行为特征中的目标数据和访问频次合法,但访问时间非法,则获取暂停访问链。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110980817.XA CN113783848B (zh) | 2021-08-25 | 2021-08-25 | 基于欺骗性人工智能的网络主动防御方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110980817.XA CN113783848B (zh) | 2021-08-25 | 2021-08-25 | 基于欺骗性人工智能的网络主动防御方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN113783848A CN113783848A (zh) | 2021-12-10 |
| CN113783848B true CN113783848B (zh) | 2023-04-07 |
Family
ID=78839263
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110980817.XA Active CN113783848B (zh) | 2021-08-25 | 2021-08-25 | 基于欺骗性人工智能的网络主动防御方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113783848B (zh) |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110430190A (zh) * | 2019-08-05 | 2019-11-08 | 北京经纬信安科技有限公司 | 基于att&ck的欺骗性防御系统、构建方法及全链路防御实现方法 |
Family Cites Families (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108111472A (zh) * | 2016-11-24 | 2018-06-01 | 腾讯科技(深圳)有限公司 | 一种攻击特征检测方法及装置 |
| FR3081667A1 (fr) * | 2018-06-20 | 2019-11-29 | Orange | Procede et dispositif de gestion d'un etat de surcharge d'un cœur de reseau controlant un reseau d'acces mobile |
| CN109088901A (zh) * | 2018-10-31 | 2018-12-25 | 杭州默安科技有限公司 | 基于sdn构建动态网络的欺骗防御方法和系统 |
| CN109995750B (zh) * | 2019-01-17 | 2021-07-23 | 上海谋乐网络科技有限公司 | 网络攻击的防御方法及电子设备 |
| CN111698214A (zh) * | 2020-05-15 | 2020-09-22 | 平安科技(深圳)有限公司 | 网络攻击的安全处理方法、装置及计算机设备 |
| CN112788008B (zh) * | 2020-12-30 | 2022-04-26 | 上海磐御网络科技有限公司 | 一种基于大数据的网络安全动态防御系统及方法 |
-
2021
- 2021-08-25 CN CN202110980817.XA patent/CN113783848B/zh active Active
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110430190A (zh) * | 2019-08-05 | 2019-11-08 | 北京经纬信安科技有限公司 | 基于att&ck的欺骗性防御系统、构建方法及全链路防御实现方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN113783848A (zh) | 2021-12-10 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11082435B1 (en) | System and method for threat detection and identification | |
| US9648029B2 (en) | System and method of active remediation and passive protection against cyber attacks | |
| Zhang et al. | Three decades of deception techniques in active cyber defense-retrospect and outlook | |
| US20170257339A1 (en) | Logical / physical address state lifecycle management | |
| US8375444B2 (en) | Dynamic signature creation and enforcement | |
| US7469418B1 (en) | Deterring network incursion | |
| Khosravi-Farmad et al. | Moving target defense against advanced persistent threats for cybersecurity enhancement | |
| AL-Dahasi et al. | Attack tree model for potential attacks against the scada system | |
| KR20170091989A (ko) | 산업 제어 네트워크에서의 보안 관제 평가 시스템 및 방법 | |
| Kamruzzaman et al. | Social engineering incidents and preventions | |
| US8819285B1 (en) | System and method for managing network communications | |
| Hachinyan et al. | A game-theoretic technique for securing IoT devices against Mirai botnet | |
| CN113783848B (zh) | 基于欺骗性人工智能的网络主动防御方法及装置 | |
| CN112118204A (zh) | 一种Windows文件系统非法访问的感知方法及系统 | |
| CN112637217B (zh) | 基于诱饵生成的云计算系统的主动防御方法及装置 | |
| Grammatikakis et al. | Moving-target defense techniques for mitigating sophisticated IoT threats | |
| Aloffi | Real time network security intrusions and risk management: a survey | |
| Khanday et al. | Intrusion Detection Systems for Trending Cyberattacks | |
| Vitekar et al. | A Systematic Approach to Detect Insider Attacks and Exploitation in Cyber Physical System | |
| Rustamovna et al. | ANALYSIS OF SINGLE HONEYPOT AND USING FIREWALL INTRAINING ATTACK ON WIRELESS NETWORK | |
| CN117955675A (zh) | 一种网络攻击的防御方法、装置、电子设备及存储介质 | |
| Saraswathi et al. | An Improved Approach towards Network Security of an Organization | |
| Hamid et al. | A Comprehensive Study on Intrusion and Extrusion Phenomena | |
| Alouz et al. | Development of Intelligent Network Defense System to enable detection and analysis of cyber-attacks using an intrusion detection and prevention system based on honeypots | |
| Patel | A Comparative Study Between Intrusion Detection System And Intrusion Prevention System |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| TA01 | Transfer of patent application right |
Effective date of registration: 20230306 Address after: Room 502, Building 10, Xinggong Science Park, No. 100 Luyun Road, Changsha High-tech Development Zone, Changsha, Hunan 410000 Applicant after: Hunan Golden Shield Information Security Grade Protection Evaluation Center Co.,Ltd. Address before: 518000 No. 47-2101, Fumin community front road, Fucheng street, Longhua District, Shenzhen, Guangdong Applicant before: Zhang Huibing |
|
| TA01 | Transfer of patent application right | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |