CN114513372A - 基于宿主的拟态威胁感知预警方法及系统 - Google Patents
基于宿主的拟态威胁感知预警方法及系统 Download PDFInfo
- Publication number
- CN114513372A CN114513372A CN202210412924.7A CN202210412924A CN114513372A CN 114513372 A CN114513372 A CN 114513372A CN 202210412924 A CN202210412924 A CN 202210412924A CN 114513372 A CN114513372 A CN 114513372A
- Authority
- CN
- China
- Prior art keywords
- mimicry
- isomers
- machine
- isomer
- shadow
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 40
- 230000008447 perception Effects 0.000 title claims abstract description 24
- SYSQUGFVNFXIIT-UHFFFAOYSA-N n-[4-(1,3-benzoxazol-2-yl)phenyl]-4-nitrobenzenesulfonamide Chemical class C1=CC([N+](=O)[O-])=CC=C1S(=O)(=O)NC1=CC=C(C=2OC3=CC=CC=C3N=2)C=C1 SYSQUGFVNFXIIT-UHFFFAOYSA-N 0.000 claims abstract description 77
- 239000011159 matrix material Substances 0.000 claims description 23
- 102000001708 Protein Isoforms Human genes 0.000 claims description 18
- 108010029485 Protein Isoforms Proteins 0.000 claims description 18
- 238000004088 simulation Methods 0.000 claims description 13
- 238000005215 recombination Methods 0.000 claims description 4
- 230000006798 recombination Effects 0.000 claims description 4
- 238000002372 labelling Methods 0.000 claims description 2
- 230000007123 defense Effects 0.000 description 16
- 230000008569 process Effects 0.000 description 6
- 230000004044 response Effects 0.000 description 4
- 230000009471 action Effects 0.000 description 3
- 239000002184 metal Substances 0.000 description 2
- 230000035945 sensitivity Effects 0.000 description 2
- 238000010586 diagram Methods 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer And Data Communications (AREA)
- Debugging And Monitoring (AREA)
Abstract
本发明提供了一种基于宿主的拟态威胁感知预警方法及系统,涉及网络安全技术领域,其中方法包括:基于真实宿主机的状态形成异构体集合,在异构体集合中选择多个异构体以对真实宿主机进行拟态;异构体集合中异构体的状态互不相同;基于拟态后的真实宿主机创建多个拟态影子机;多个拟态影子机对应不同IP地址,且均与真实宿主机的IP地址不同;拟态影子机模拟真实宿主机的业务;真实宿主机和每一个拟态影子机,分别利用各自的多个异构体对输入的访问流量进行裁决,根据裁决结果对访问流量进行响应,并根据裁决结果确定访问流量存在威胁时将相关信息上报至威胁感知处理中心,以进行预警。本方案,能够降低真实宿主机内部被攻击的概率。
Description
技术领域
本发明实施例涉及网络安全技术领域,特别涉及一种基于宿主的拟态威胁感知预警方法及系统。
背景技术
目前,互联网受到各种各样的网络安全威胁,网络攻击方式层出不穷,手段多变且攻击目标各异。为对网络安全威胁进行防御,传统防御手段是采用边界防御方式,利用先验知识对已知威胁进行处理。但是当攻击穿过先验知识防御而渗透至主机内部业务时,则会产生实质性入侵,此时边界防御方式失效。因此,如何降低主机内部被攻击的概率,是亟需解决的问题。
发明内容
本发明实施例提供了一种基于宿主的拟态威胁感知预警方法及系统,能够降低真实宿主机内部被攻击的概率。
第一方面,本发明实施例提供了一种基于宿主的拟态威胁感知预警方法,包括:
基于真实宿主机的状态形成异构体集合,在所述异构体集合中选择多个异构体以对所述真实宿主机进行拟态;所述异构体集合中异构体的状态互不相同;
基于拟态后的真实宿主机创建多个拟态影子机;多个所述拟态影子机对应不同IP地址,且均与所述真实宿主机的IP地址不同;所述拟态影子机模拟所述真实宿主机的业务;
所述真实宿主机和每一个所述拟态影子机,分别利用各自的多个异构体对输入的访问流量进行裁决,根据裁决结果对所述访问流量进行响应,并根据裁决结果确定所述访问流量存在威胁时将相关信息上报至威胁感知处理中心,以进行预警。
优选地,所述基于拟态后的真实宿主机创建多个拟态影子机,包括:
根据拟态后所述真实宿主机的形成架构,搭建架构相同的多个拟态影子机,并将预先训练好的业务模拟模型注入至每一个拟态影子机中,得到创建好的拟态影子机;所述业务模拟模型是基于所述真实宿主机的业务信息训练得到的。
优选地,在所述搭建架构相同的多个拟态影子机之后,所述得到创建好的拟态影子机之前,还包括:
基于所述真实宿主机中每一个异构体的状态生成状态矩阵;
生成随机的扰动矩阵,将所述扰动矩阵与所述状态矩阵相乘得到扰动后的状态矩阵;
根据扰动后的状态矩阵重组每一个所述拟态影子机中的异构体。
优选地,所述业务模拟模型可模拟所述真实宿主机所对应七层模型中的至少两层。
优选地,在所述对输入的访问流量进行裁决之后,还包括:所述真实宿主机和每一个所述拟态影子机,根据裁决结果和所述异构体集合对各自的多个异构体进行重组,以利用重组后的多个异构体对下一次输入的访问流量进行裁决。
优选地,
在所述对输入的访问流量进行裁决之后,所述根据裁决结果和所述异构体集合对各自的多个异构体进行重组之前,还包括:根据裁决结果对所述异构体集合中异构体标记的裁决错误率进行修改;
所述根据裁决结果和所述异构体集合对各自的多个异构体进行重组,包括:根据所述异构体集合中异构体标记的裁决错误率选择重组的多个异构体。
优选地,
所述拟态影子机中包括两套异构体;
所述拟态影子机的第一套异构体或所述真实宿主机,在所述异构体集合中裁决错误率较低的异构体中选择重组的多个异构体;
所述拟态影子机的第二套异构体,在所述异构体集合中裁决错误率较高的异构体中选择重组的多个异构体;
所述拟态影子机的第一套异构体和第二套异构体分别对输入的访问流量进行裁决,基于所述第二套异构体的裁决结果对所述访问流量进行响应,基于所述第一套异构体的裁决结果确定是否上报。
优选地,所述根据裁决结果对所述异构体集合中异构体标记的裁决错误率进行修改,包括:
若根据裁决结果确定所述访问流量存在威胁时,则确定参与本次裁决的异构体以及裁决错误的异构体,并在所述异构体集合中为确定的异构体进行标记,以根据所述异构体集合中每一个异构体的参与裁决的次数和裁决错误的次数,计算裁决错误率,并进行标记。
优选地,
所述真实宿主机和多个所述拟态影子机分布式部署;
和/或,
所述威胁感知处理中心利用上报的相关信息分析威胁特征,基于所述威胁特征对所述异构体集合中的异构体进行清洗。
第二方面,本发明实施例还提供了一种基于宿主的拟态威胁感知预警系统,包括:真实宿主机和多个拟态影子机;所述拟态影子机是在基于真实宿主机的状态形成异构体集合中选择多个异构体之后进行拟态的宿主机,所述异构体集合中异构体的状态互不相同;所述拟态影子机是基于拟态后的真实宿主机创建的,多个所述拟态影子机对应不同IP地址,且均与所述真实宿主机的IP地址不同;所述拟态影子机模拟所述真实宿主机的业务;
所述真实宿主机和每一个所述拟态影子机,分别利用各自的多个异构体对输入的访问流量进行裁决,根据裁决结果对所述访问流量进行响应,并根据裁决结果确定所述访问流量存在威胁时将相关信息上报至威胁感知处理中心,以进行预警。
本发明实施例提供了一种基于宿主的拟态威胁感知预警方法及系统,通过对真实宿主机进行拟态,并基于拟态的真实宿主机创建多个拟态影子机,真实宿主机通过拟态防御可以降低被攻击成功的概率;另外,拟态影子机具有与真实宿主机不同的IP地址,且能够模拟真实宿主机的业务,从而能够通过拟态防御对访问流量进行响应,使得攻击者误以为拟态影子机是真实宿主机,从而对拟态影子机发起进一步的攻击;此外,真实宿主机和多个拟态影子机的IP地址均不同,攻击者发起攻击时,面临内部多个主机,能够攻击到真实宿主机的概率也大大减小。可见,本方案能够降低真实宿主机内部被攻击的概率。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明一实施例提供的一种基于宿主的拟态威胁感知预警方法流程图;
图2是本发明一实施例提供的一种基于宿主的拟态威胁感知预警系统结构图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例,基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本发明保护的范围。
如前所述,针对网络安全威胁一般采用边界防御方式,利用先验知识对已知威胁进行处理。但是当攻击穿过先验知识防御而渗透至主机内部业务时,则会产生实质性入侵,此时边界防御方式失效。可以考虑对主机进行拟态,以利用多个异构体对输入至主机内部的访问流量分别进行裁决,以综合各裁决确定最终的裁决结果,为了降低主机被攻击的概率,可以考虑创建影子机的方式,使得影子机能够模拟真实宿主机的业务对访问流量进行响应,使得攻击者误以为影子机是真实宿主机仅而发起攻击,且将真实宿主机混入影子机之间,真实宿主机被攻击的概率也会大大降低。
下面描述以上构思的具体实现方式。
请参考图1,本发明实施例提供了一种基于宿主的拟态威胁感知预警方法,该方法包括:
步骤100,基于真实宿主机的状态形成异构体集合,在所述异构体集合中选择多个异构体以对所述真实宿主机进行拟态;所述异构体集合中异构体的状态互不相同;
步骤102,基于拟态后的真实宿主机创建多个拟态影子机;多个所述拟态影子机对应不同IP地址,且均与所述真实宿主机的IP地址不同;所述拟态影子机模拟所述真实宿主机的业务;
步骤104,所述真实宿主机和每一个所述拟态影子机,分别利用各自的多个异构体对输入的访问流量进行裁决,根据裁决结果对所述访问流量进行响应,并根据裁决结果确定所述访问流量存在威胁时将相关信息上报至威胁感知处理中心,以进行预警。
本发明实施例中,通过对真实宿主机进行拟态,并基于拟态的真实宿主机创建多个拟态影子机,真实宿主机通过拟态防御可以降低被攻击成功的概率;另外,拟态影子机具有与真实宿主机不同的IP地址,且能够模拟真实宿主机的业务,从而能够通过拟态防御对访问流量进行响应,使得攻击者误以为拟态影子机是真实宿主机,从而对拟态影子机发起进一步的攻击;此外,真实宿主机和多个拟态影子机的IP地址均不同,攻击者发起攻击时,面临内部多个主机,能够攻击到真实宿主机的概率也大大减小。可见,本方案能够降低真实宿主机内部被攻击的概率。
下面描述图1所示的各个步骤的执行方式。
首先对步骤100“基于真实宿主机的状态形成异构体集合,在所述异构体集合中选择多个异构体以对所述真实宿主机进行拟态;所述异构体集合中异构体的状态互不相同”进行说明。
宿主机可以是主机、虚拟机或其它类似节点,该其它类似节点可以是Docker、虚拟服务节点等。
为了能够对异构体集合进行说明,先对拟态防御的概念进行说明。拟态防御是一套可防御未知漏洞威胁的网络空间内生安全防御体系架构,拟态防御的核心框架为动态异构冗余架构(Dynamic Heterogeneous Redundancy,DHR)。当访问流量输入至主机内部时,在该动态异构冗余架构中,由多个异构体分别对输入的访问流量分别进行裁决,以综合各裁决做出最终的裁决结果。因此,为了实现对主机的拟态,需要预先基于主机状态形成异构体集合。异构体集合是由大量的异构体组成的,异构体的状态互不相同,可作为异构池供拟态过程进行选择。
由于异构体是用来对访问流量是否存在威胁进行裁决的,可见异构体输出的裁决涉及主机内部的业务安全,那么真实宿主机的状态可以通过如下架构层的状态来表征:数据层、软件层、资源层和网络层;每一个架构层包括多个组建单元。具体地,数据层包括数据库管理系统、数据库、数据等组建单元;软件层包括软件程序指令序列、指令格式、内部数据结构布局等组建单元;资源层包括操作系统、存储系统、虚拟机实例等组建单元;网络层包括协议、地址、端口等组建单元。各组建单元的内容形成真实宿主机的状态。
在基于真实宿主机的状态形成异构体集合时,可以改变组建单元的内容,将各组建单元的内容进行组合,每一种组合对应一种状态的异构体,将这些组合得到的不同状态的异构体放置在一个集合中,得到异构体集合。可见,异构体集合中异构体的状态互不相同。
当对真实宿主机进行拟态时,可以在异构体集合中随机选择异构体作为真实宿主机对访问流量进行裁决的异构体。比如,随机选择N(N为不小于2的整数)个。
然后对步骤102“基于拟态后的真实宿主机创建多个拟态影子机;多个所述拟态影子机对应不同IP地址,且均与所述真实宿主机的IP地址不同;所述拟态影子机模拟所述真实宿主机的业务”进行说明。
拟态影子机可以是对真实宿主机进行镜像后得到的,也可以是基于真实宿主机的形成架构搭建而成的。具体地,为使拟态影子机能够模拟真实宿主机的业务,在本发明一个实施例中,所述基于拟态后的真实宿主机创建多个拟态影子机,可以包括:根据拟态后所述真实宿主机的形成架构,搭建架构相同的多个拟态影子机,并将预先训练好的业务模拟模型注入至每一个拟态影子机中,得到创建好的拟态影子机;所述业务模拟模型是基于所述真实宿主机的业务信息训练得到的。
真实宿主机的形成架构即为上述四个架构层。
业务信息可以包括:事件信息、上网行为信息、数据交互信息、工作状态信息等。通过采集真实宿主机的上述业务信息,基于业务信息训练业务模拟模型,使得业务模拟模型能够模拟真实宿主机的业务。
在本发明一个实施例中,业务模拟模型可模拟真实宿主机所对应七层模型中的至少两层。优选地,业务模拟模型可模拟真实宿主机所对应七层模型中的七层,分别为物理层、数据链路层、网络层、传输层、会话层、表示层和应用层。如此可以使得拟态影子机对访问流量进行近似真实的响应,从而对攻击者造成迷惑,使得攻击者误以为拟态影子机就是真实宿主机,从而对拟态影子机发起多阶段的攻击,进而使得真实宿主机避开攻击者的攻击。
需要说明的是,为了保证数据安全,注入至拟态影子机的业务模拟模型在模拟真实宿主机的业务时使用的数据为虚拟数据,并不是真实宿主机中的真实数据,如此可以避免后续对访问流量的响应过程中泄露真实数据的情况。
由于真实宿主机属于拟态,因此基于拟态后的真实宿主机创建的拟态影子机也属于拟态。在初始阶段,创建的拟态影子机中的各异构体可以与真实宿主机中的异构体相同。但是为了保证不同真实宿主机与拟态影子机的独立性,拟态影子机中的异构体可以与真实宿主机中的异构体不同。
具体地,在本发明一个实施例中,在所述搭建架构相同的多个拟态影子机之后,所述得到创建好的拟态影子机之前,还可以包括:基于所述真实宿主机中拟态选择的多个异构体的状态生成状态矩阵;生成随机的扰动矩阵,将所述扰动矩阵与所述状态矩阵相乘得到扰动后的状态矩阵;根据扰动后的状态矩阵重组每一个所述拟态影子机中的异构体。
以其中一个异构体为例,基于该异构体的状态生成的状态矩阵T为:
其中,
为第m个架构层的第n个组建单元的内容;其中,m为架构层的数量,n个各架构层所对应组建单元的最大数量,若第i个架构层所对应组建单元的数量小于n,则以空元素进行扩充。
扰动矩阵
可以为:
。
其中,扰动矩阵为随机生成的,p为拟态所需的异构体数量,
为随机数。将扰动矩阵与异构体的状态矩阵相乘,可以得到p个新的异构体,将p个新的异构体一一对应替换p个拟态影子机中的一个异构体。如此可以保证p个拟态影子机以及真实宿主机中的异构体不完全相同,使得拟态影子机更具有独立性。另外被使用的异构体更多,能够覆盖异构体集合的较大范围,从而可以更快速的确定异构体的裁决错误率。
在本发明一个实施例中,真实宿主机和多个拟态影子机可以分布式部署,在分布式部署下,能够将真实宿主机混入多个拟态影子机中,使得攻击者更加难以发现哪一个是真实宿主机,从而降低真实宿主机被攻击的概率。
最后针对步骤104“所述真实宿主机和每一个所述拟态影子机,分别利用各自的多个异构体对输入的访问流量进行裁决,根据裁决结果对所述访问流量进行响应,并根据裁决结果确定所述访问流量存在威胁时将相关信息上报至威胁感知处理中心,以进行预警”进行说明。
在本发明一个实施例中,为了提高主机被攻破的概率,在每一次对输入的访问流量进行裁决之后,可以包括:所述真实宿主机和每一个所述拟态影子机,根据裁决结果和所述异构体集合对各自的多个异构体进行重组,以利用重组后的多个异构体对下一次输入的访问流量进行裁决。通过变换异构体,使得每一次攻击面临的内部裁决都不同,从而可以提高被攻击成功的难度,进而降低主机被攻破的概率。
具体地,为了进一步提高被攻击成功的难度,在对输入的访问流量进行裁决之后,所述根据裁决结果和所述异构体集合对各自的多个异构体进行重组之前,还可以包括:根据裁决结果对所述异构体集合中异构体标记的裁决错误率进行修改。
一个实施方式中,所述根据裁决结果对所述异构体集合中异构体标记的裁决错误率进行修改,可以包括:若根据裁决结果确定所述访问流量存在威胁时,则确定参与本次裁决的异构体以及裁决错误的异构体,并在所述异构体集合中为确定的异构体进行标记,以根据所述异构体集合中每一个异构体的参与裁决的次数和裁决错误的次数,计算裁决错误率,并进行标记。若裁决结果为访问流量存在威胁,而裁决错误的异构体未能将该威胁检测出来,因此,表明这些异构体对威胁的敏感程度不够,将这些异构体进行标记,使得以此计算出来的裁决错误率更准确,裁决错误率高的异构体对威胁的敏感程度更低。
除上述实施方式以外,还可以使用其它实施方式,比如,无论每一次裁决结果如何,均将参与本次裁决的异构体和裁决错误的异构体进行标记,从而计算裁决错误率。
相应地,所述根据裁决结果和所述异构体集合对各自的多个异构体进行重组,可以包括:根据所述异构体集合中异构体标记的裁决错误率选择重组的多个异构体。
一个实施方式中,在根据所述异构体集合中异构体标记的裁决错误率选择重组的多个异构体时,可以均在裁决错误率较低的异构体中进行选择。
另一个实施方式中,在根据所述异构体集合中异构体标记的裁决错误率选择重组的多个异构体时,可以包括:
所述拟态影子机中包括两套异构体;
所述拟态影子机的第一套异构体或所述真实宿主机,在所述异构体集合中裁决错误率较低的异构体中选择重组的多个异构体;
所述拟态影子机的第二套异构体,在所述异构体集合中裁决错误率较高的异构体中选择重组的多个异构体;
所述拟态影子机的第一套异构体和第二套异构体分别对输入的访问流量进行裁决,基于所述第二套异构体的裁决结果对所述访问流量进行响应,基于所述第一套异构体的裁决结果确定是否上报。
具体地,为区分裁决错误率较低的异构体和裁决错误率较高的异构体,可以通过设定比例或者错误率阈值来进行区分。
当通过设定比例进行区分时,将异构体集合的异构体按第一设定比例划分得到第一集合和第二集合,其中,第一集合中各异构体的裁决错误率均低于第二集合中各异构体的裁决错误率,所述拟态影子机的第一套异构体或所述真实宿主机,在所述第一集合中选择重组的多个异构体;将异构体集合的异构体按第二设定比例划分得到第三集合和第四集合,其中,第三集合中各异构体的裁决错误率均低于第四集合中各异构体的裁决错误率,所述拟态影子机的第二套异构体,在第四集合中选择重组的多个异构体。
需要说明的是,第一设定比例和第二设定比例可以相同,也可以不同。
拟态影子机中的第二套异构体是从裁决错误率较高的异构体中选择的,因此裁决错误的概率较高,对于存在威胁的访问流量无法准确的检测出来,从而给攻击者进行数据响应,使得攻击者确定上一个攻击阶段攻击成功,进而发起下一个阶段的攻击,如此,拟态影子机不仅具有混淆视听的功能,还可以诱导攻击者发起多个阶段的攻击,以更大限度的收集到攻击者在各个攻击阶段的威胁特征。
另外,拟态影子机中的第一套异构体是从裁决错误率较低的异构体中选择的,因此裁决错误的概率较低,当第一套异构体裁决结果确定访问流量存在威胁时,即使第二套异构体未能检测出威胁来,拟态影子机也会将该访问流量的相关信息进行上报,使得威胁感知处理中心能够收集到更多的威胁特征。
需要说明的是,两套异构体中的异构体数量可以相同,也可以不同。
进一步地,攻击者在攻破某一个宿主机之后进行横向拓展攻击时,可能会利用宿主机中存储的会话信息确定与当前宿主机产生该会话信息的其它宿主机,进而攻击该其它宿主机。基于此,本发明实施例中,拟态影子机中存储有虚拟会话信息,该虚拟会话信息对应于当前拟态影子机和其它拟态影子机,用于当攻击者攻破当前拟态影子机后基于该虚拟会话信息确定与当前拟态影子机产生该虚拟会话信息的其它拟态影子机,并对该其它拟态影子机发起攻击。由于当前拟态影子机中存储的会话信息是虚假的,且对应的虚拟会话信息的另一端宿主机也是拟态影子机,从而诱发攻击者去攻击这些虚假目标,更具有迷惑性。另外,通过存储虚拟会话信息,可以使得整个拟态系统更贴近真实,从而可以获取到攻击者更多的攻击信息,形成先验知识。
进一步地,威胁感知处理中心可以利用上报的相关信息分析威胁特征,然后基于威胁特征对所述异构体集合中的异构体进行清洗。使得异构体集合中的异构体能够获知这些威胁特征,进而能够对访问流量进行更准确的裁决,提高真实宿主机的防御能力。
请参考图2,本发明实施例还提供了一种基于宿主的拟态威胁感知预警系统,包括:真实宿主机和多个拟态影子机;所述拟态影子机是在基于真实宿主机的状态形成异构体集合中选择多个异构体之后进行拟态的宿主机,所述异构体集合中异构体的状态互不相同;所述拟态影子机是基于拟态后的真实宿主机创建的,多个所述拟态影子机对应不同IP地址,且均与所述真实宿主机的IP地址不同;所述拟态影子机模拟所述真实宿主机的业务;
所述真实宿主机和每一个所述拟态影子机,分别利用各自的多个异构体对输入的访问流量进行裁决,根据裁决结果对所述访问流量进行响应,并根据裁决结果确定所述访问流量存在威胁时将相关信息上报至威胁感知处理中心,以进行预警。
在本发明一个实施例中,为了提高主机被攻破的概率,所述真实宿主机和每一个所述拟态影子机在每一次对输入的访问流量进行裁决之后,根据裁决结果和所述异构体集合对各自的多个异构体进行重组,以利用重组后的多个异构体对下一次输入的访问流量进行裁决。
在本发明一个实施例中,为了进一步提高被攻击成功的难度,所述真实宿主机和每一个所述拟态影子机,在根据裁决结果和所述异构体集合对各自的多个异构体进行重组时,具体用于根据所述异构体集合中异构体标记的裁决错误率选择重组的多个异构体。
其中,所述异构体集合中异构体标记的裁决错误率可根据裁决结果进行修改。
具体地,所述异构体集合中异构体标记的裁决错误率根据裁决结果进行修改时,具体包括:若根据裁决结果确定所述访问流量存在威胁时,则确定参与本次裁决的异构体以及裁决错误的异构体,并在所述异构体集合中为确定的异构体进行标记,以根据所述异构体集合中每一个异构体的参与裁决的次数和裁决错误的次数,计算裁决错误率,并进行标记。
在本发明一个实施例中,所述拟态影子机中包括两套异构体;
所述拟态影子机的第一套异构体或所述真实宿主机,在所述异构体集合中裁决错误率较低的异构体中选择重组的多个异构体;
所述拟态影子机的第二套异构体,在所述异构体集合中裁决错误率较高的异构体中选择重组的多个异构体;
所述拟态影子机的第一套异构体和第二套异构体分别对输入的访问流量进行裁决,基于所述第二套异构体的裁决结果对所述访问流量进行响应,基于所述第一套异构体的裁决结果确定是否上报。
具体地,为区分裁决错误率较低的异构体和裁决错误率较高的异构体,可以通过设定比例或者错误率阈值来进行区分。
当通过设定比例进行区分时,将异构体集合的异构体按第一设定比例划分得到第一集合和第二集合,其中,第一集合中各异构体的裁决错误率均低于第二集合中各异构体的裁决错误率,所述拟态影子机的第一套异构体或所述真实宿主机,在所述第一集合中选择重组的多个异构体;将异构体集合的异构体按第二设定比例划分得到第三集合和第四集合,其中,第三集合中各异构体的裁决错误率均低于第四集合中各异构体的裁决错误率,所述拟态影子机的第二套异构体,在第四集合中选择重组的多个异构体。
需要说明的是,第一设定比例和第二设定比例可以相同,也可以不同。
拟态影子机中的第二套异构体是从裁决错误率较高的异构体中选择的,因此裁决错误的概率较高,对于存在威胁的访问流量无法准确的检测出来,从而给攻击者进行数据响应,使得攻击者确定上一个攻击阶段攻击成功,进而发起下一个阶段的攻击,如此,拟态影子机不仅具有混淆视听的功能,还可以诱导攻击者发起多个阶段的攻击,以更大限度的收集到攻击者在各个攻击阶段的威胁特征。
另外,拟态影子机中的第一套异构体是从裁决错误率较低的异构体中选择的,因此裁决错误的概率较低,当第一套异构体裁决结果确定访问流量存在威胁时,即使第二套异构体未能检测出威胁来,拟态影子机也会将该访问流量的相关信息进行上报,使得威胁感知处理中心能够收集到更多的威胁特征。
需要说明的是,两套异构体中的异构体数量可以相同,也可以不同。
进一步地,攻击者在攻破某一个宿主机之后进行横向拓展攻击时,可能会利用宿主机中存储的会话信息确定与当前宿主机产生该会话信息的其它宿主机,进而攻击该其它宿主机。基于此,本发明实施例中,拟态影子机中存储有虚拟会话信息,该虚拟会话信息对应于当前拟态影子机和其它拟态影子机,用于当攻击者攻破当前拟态影子机后基于该虚拟会话信息确定与当前拟态影子机产生该虚拟会话信息的其它拟态影子机,并对该其它拟态影子机发起攻击。由于当前拟态影子机中存储的会话信息是虚假的,且对应的虚拟会话信息的另一端宿主机也是拟态影子机,从而诱发攻击者去攻击这些虚假目标,更具有迷惑性。另外,通过存储虚拟会话信息,可以使得整个拟态系统更贴近真实,从而可以获取到攻击者更多的攻击信息,形成先验知识。
在本发明一个实施例中,所述真实宿主机和多个所述拟态影子机分布式部署。
需要说明的是,在本文中,诸如第一和第二之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个…”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同因素。
本领域普通技术人员可以理解:实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成,前述的程序可以存储在计算机可读取的存储介质中,该程序在执行时,执行包括上述方法实施例的步骤;而前述的存储介质包括:ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质中。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
Claims (10)
1.一种基于宿主的拟态威胁感知预警方法,其特征在于,包括:
基于真实宿主机的状态形成异构体集合,在所述异构体集合中选择多个异构体以对所述真实宿主机进行拟态;所述异构体集合中异构体的状态互不相同;
基于拟态后的真实宿主机创建多个拟态影子机;多个所述拟态影子机对应不同IP地址,且均与所述真实宿主机的IP地址不同;所述拟态影子机模拟所述真实宿主机的业务;
所述真实宿主机和每一个所述拟态影子机,分别利用各自的多个异构体对输入的访问流量进行裁决,根据裁决结果对所述访问流量进行响应,并根据裁决结果确定所述访问流量存在威胁时将相关信息上报至威胁感知处理中心,以进行预警。
2.根据权利要求1所述的方法,其特征在于,所述基于拟态后的真实宿主机创建多个拟态影子机,包括:
根据拟态后所述真实宿主机的形成架构,搭建架构相同的多个拟态影子机,并将预先训练好的业务模拟模型注入至每一个拟态影子机中,得到创建好的拟态影子机;所述业务模拟模型是基于所述真实宿主机的业务信息训练得到的。
3.根据权利要求2所述的方法,其特征在于,在所述搭建架构相同的多个拟态影子机之后,所述得到创建好的拟态影子机之前,还包括:
基于所述真实宿主机中每一个异构体的状态生成状态矩阵;
生成随机的扰动矩阵,将所述扰动矩阵与所述状态矩阵相乘得到扰动后的状态矩阵;
根据扰动后的状态矩阵重组每一个所述拟态影子机中的异构体。
4.根据权利要求2所述的方法,其特征在于,所述业务模拟模型可模拟所述真实宿主机所对应七层模型中的至少两层。
5.根据权利要求1所述的方法,其特征在于,在所述对输入的访问流量进行裁决之后,还包括:所述真实宿主机和每一个所述拟态影子机,根据裁决结果和所述异构体集合对各自的多个异构体进行重组,以利用重组后的多个异构体对下一次输入的访问流量进行裁决。
6.根据权利要求5所述的方法,其特征在于,
在所述对输入的访问流量进行裁决之后,所述根据裁决结果和所述异构体集合对各自的多个异构体进行重组之前,还包括:根据裁决结果对所述异构体集合中异构体标记的裁决错误率进行修改;
所述根据裁决结果和所述异构体集合对各自的多个异构体进行重组,包括:根据所述异构体集合中异构体标记的裁决错误率选择重组的多个异构体。
7.根据权利要求6所述的方法,其特征在于,
所述拟态影子机中包括两套异构体;
所述拟态影子机的第一套异构体或所述真实宿主机,在所述异构体集合中裁决错误率较低的异构体中选择重组的多个异构体;
所述拟态影子机的第二套异构体,在所述异构体集合中裁决错误率较高的异构体中选择重组的多个异构体;
所述拟态影子机的第一套异构体和第二套异构体分别对输入的访问流量进行裁决,基于所述第二套异构体的裁决结果对所述访问流量进行响应,基于所述第一套异构体的裁决结果确定是否上报。
8.根据权利要求6所述的方法,其特征在于,所述根据裁决结果对所述异构体集合中异构体标记的裁决错误率进行修改,包括:
若根据裁决结果确定所述访问流量存在威胁时,则确定参与本次裁决的异构体以及裁决错误的异构体,并在所述异构体集合中为确定的异构体进行标记,以根据所述异构体集合中每一个异构体的参与裁决的次数和裁决错误的次数,计算裁决错误率,并进行标记。
9.根据权利要求1-8中任一所述的方法,其特征在于,
所述真实宿主机和多个所述拟态影子机分布式部署;
和/或,
所述威胁感知处理中心利用上报的相关信息分析威胁特征,基于所述威胁特征对所述异构体集合中的异构体进行清洗。
10.一种基于宿主的拟态威胁感知预警系统,其特征在于,包括:真实宿主机和多个拟态影子机;所述拟态影子机是在基于真实宿主机的状态形成异构体集合中选择多个异构体之后进行拟态的宿主机,所述异构体集合中异构体的状态互不相同;所述拟态影子机是基于拟态后的真实宿主机创建的,多个所述拟态影子机对应不同IP地址,且均与所述真实宿主机的IP地址不同;所述拟态影子机模拟所述真实宿主机的业务;
所述真实宿主机和每一个所述拟态影子机,分别利用各自的多个异构体对输入的访问流量进行裁决,根据裁决结果对所述访问流量进行响应,并根据裁决结果确定所述访问流量存在威胁时将相关信息上报至威胁感知处理中心,以进行预警。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210412924.7A CN114513372B (zh) | 2022-04-20 | 2022-04-20 | 基于宿主的拟态威胁感知预警方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210412924.7A CN114513372B (zh) | 2022-04-20 | 2022-04-20 | 基于宿主的拟态威胁感知预警方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN114513372A true CN114513372A (zh) | 2022-05-17 |
| CN114513372B CN114513372B (zh) | 2022-06-28 |
Family
ID=81554820
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210412924.7A Active CN114513372B (zh) | 2022-04-20 | 2022-04-20 | 基于宿主的拟态威胁感知预警方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114513372B (zh) |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20170331856A1 (en) * | 2016-05-12 | 2017-11-16 | Attivo Networks Inc. | Luring attackers towards deception servers |
| CN107786568A (zh) * | 2017-11-03 | 2018-03-09 | 中国人民解放军信息工程大学 | 一种拟态云主机的自动构建装置、方法及系统 |
| CN110784476A (zh) * | 2019-10-31 | 2020-02-11 | 国网河南省电力公司电力科学研究院 | 一种基于虚拟化动态部署的电力监控主动防御方法及系统 |
| CN112073411A (zh) * | 2020-09-07 | 2020-12-11 | 北京软通智慧城市科技有限公司 | 一种网络安全推演方法、装置、设备及存储介质 |
| CN112367289A (zh) * | 2020-09-11 | 2021-02-12 | 浙江大学 | 一种拟态waf构造方法 |
| CN112398876A (zh) * | 2021-01-19 | 2021-02-23 | 北京智仁智信安全技术有限公司 | 自适应拟态技术的网络安全预警系统 |
| CN112748985A (zh) * | 2020-12-31 | 2021-05-04 | 网络通信与安全紫金山实验室 | 拟态应用的网络隔离方法、装置、计算机设备和存储介质 |
| CN112929208A (zh) * | 2021-01-25 | 2021-06-08 | 浙江大学 | 一种拟态虚拟交换机的同分异构体裁决方法 |
-
2022
- 2022-04-20 CN CN202210412924.7A patent/CN114513372B/zh active Active
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20170331856A1 (en) * | 2016-05-12 | 2017-11-16 | Attivo Networks Inc. | Luring attackers towards deception servers |
| CN107786568A (zh) * | 2017-11-03 | 2018-03-09 | 中国人民解放军信息工程大学 | 一种拟态云主机的自动构建装置、方法及系统 |
| CN110784476A (zh) * | 2019-10-31 | 2020-02-11 | 国网河南省电力公司电力科学研究院 | 一种基于虚拟化动态部署的电力监控主动防御方法及系统 |
| CN112073411A (zh) * | 2020-09-07 | 2020-12-11 | 北京软通智慧城市科技有限公司 | 一种网络安全推演方法、装置、设备及存储介质 |
| CN112367289A (zh) * | 2020-09-11 | 2021-02-12 | 浙江大学 | 一种拟态waf构造方法 |
| CN112748985A (zh) * | 2020-12-31 | 2021-05-04 | 网络通信与安全紫金山实验室 | 拟态应用的网络隔离方法、装置、计算机设备和存储介质 |
| CN112398876A (zh) * | 2021-01-19 | 2021-02-23 | 北京智仁智信安全技术有限公司 | 自适应拟态技术的网络安全预警系统 |
| CN112929208A (zh) * | 2021-01-25 | 2021-06-08 | 浙江大学 | 一种拟态虚拟交换机的同分异构体裁决方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN114513372B (zh) | 2022-06-28 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110505241B (zh) | 一种网络攻击面检测方法及系统 | |
| Giatsoglou et al. | Retweeting activity on twitter: Signs of deception | |
| Chen et al. | An anti-phishing system employing diffused information | |
| Teoh et al. | Detecting flaws and intruders with visual data analysis | |
| CN109218304B (zh) | 一种基于攻击图和协同进化的网络风险阻断方法 | |
| CN109644184A (zh) | 用于从ipfix数据检测云上的ddos僵尸网络的聚类方法 | |
| US10180867B2 (en) | System and method for bruteforce intrusion detection | |
| Dumas et al. | Alertwheel: radial bipartite graph visualization applied to intrusion detection system alerts | |
| CN109743286A (zh) | 一种基于图卷积神经网络的ip类型标记方法及设备 | |
| CN110855715B (zh) | 基于随机Petri网的DOS攻防模拟方法 | |
| CN112615877A (zh) | 一种基于机器学习的入侵检测系统规则匹配优化方法 | |
| Chu et al. | Botnet vulnerability intelligence clustering classification mining and countermeasure algorithm based on machine learning | |
| CN111191683A (zh) | 基于随机森林和贝叶斯网络的网络安全态势评估方法 | |
| Srilatha et al. | DDoSNet: A deep learning model for detecting network attacks in cloud computing | |
| CN114513372B (zh) | 基于宿主的拟态威胁感知预警方法及系统 | |
| CN118300810A (zh) | 攻击检测方法、装置、设备、存储介质及计算机程序产品 | |
| Varma et al. | Usage of Classifier Ensemble for Security Enrichment in IDS | |
| CN117278245A (zh) | 针对互联网仿真场景的数据采集方法、装置及存储介质 | |
| Dozier et al. | Vulnerability analysis of immunity-based intrusion detection systems using genetic and evolutionary hackers | |
| Song et al. | A comprehensive approach to detect unknown attacks via intrusion detection alerts | |
| KR20170139817A (ko) | 사이버전 훈련 및 기술검증을 위한 데이터셋 생성 방법 및 이의 장치 | |
| Lozano et al. | A distributed framework for scalable large-scale crowd simulation | |
| Erfan et al. | Community detection algorithm for mitigating eclipse attacks on blockchain-enabled metaverse | |
| CN114745283A (zh) | 网络信息保护方法、装置和电子设备 | |
| KR102688496B1 (ko) | 로그 정보를 이용한 보안 위협 탐지 시스템 및 방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |