CN114844666A - 网络流量分析与重构方法及装置 - Google Patents

网络流量分析与重构方法及装置 Download PDF

Info

Publication number
CN114844666A
CN114844666A CN202210256341.XA CN202210256341A CN114844666A CN 114844666 A CN114844666 A CN 114844666A CN 202210256341 A CN202210256341 A CN 202210256341A CN 114844666 A CN114844666 A CN 114844666A
Authority
CN
China
Prior art keywords
attack
network
identified
host
stage
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202210256341.XA
Other languages
English (en)
Other versions
CN114844666B (zh
Inventor
韩婷
陶敬
李峰远
付鹏
郑宁
陈凯梁
阿晨
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Xian Jiaotong University
Original Assignee
Xian Jiaotong University
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Xian Jiaotong University filed Critical Xian Jiaotong University
Priority to CN202210256341.XA priority Critical patent/CN114844666B/zh
Publication of CN114844666A publication Critical patent/CN114844666A/zh
Application granted granted Critical
Publication of CN114844666B publication Critical patent/CN114844666B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0263Rule management
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/04Architecture, e.g. interconnection topology
    • G06N3/044Recurrent networks, e.g. Hopfield networks
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/08Learning methods
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/02Topology update or discovery
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/38Flow based routing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L49/00Packet switching elements
    • H04L49/35Switches specially adapted for specific applications
    • H04L49/354Switches specially adapted for specific applications for supporting virtual local area networks [VLAN]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02DCLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
    • Y02D30/00Reducing energy consumption in communication networks
    • Y02D30/50Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate

Abstract

本发明提供了一种网络流量分析与重构方法及装置,具体涉及联网安全技术领域,该方法包括:首先,采集与诱骗网络连接的虚拟交换机中的外界攻击流量,并对攻击流量进行数据预处理,获得待识别攻击流量片段;然后,将待识别攻击流量片段输入预先训练获得的攻击阶段识别模型中,确定待识别攻击流量片段对应的攻击阶段;最后,根据待识别攻击流量片段对应的攻击阶段,实现了对诱骗网络的拓扑结构进行重构。由于本发明结合并利用虚拟化技术,并在诱骗网络中使用虚拟网络的控制架构,通过下发相应规则,部署网络组件,调度主机数据流,实现诱骗网络高效重构,以此解决了传统诱骗网络拓扑重构不够灵活、配置繁琐的缺陷,还能主动为攻击者提供继续深入攻击或横向攻击的环境。

Description

网络流量分析与重构方法及装置
技术领域
本发明涉及互联网安全技术领域,尤其涉及一种网络流量分析与重构方法及装置。
背景技术
诱骗网络技术能对攻击方进行较有成效地欺骗,通过布置一些诱饵的主机、网络服务或者信息,诱使攻击方对它们实施攻击,从而可以对攻击行为数据进行捕获和分析,了解攻击方所使用的工具与方法,推测攻击意图和动机,当多个主机被网络连接在一起,利用其中一部分主机吸引攻击者入侵,通过监测入侵过程,一方面收集攻击者的攻击行为,另一方面更新相应的安全防护策略。这种由多个主机组成的模拟网络就称为诱骗网络。
相关技术中,现有诱骗网络的拓扑重构不够灵活,无法针对复杂多步攻击手段,为攻击者提供持续攻击、横向攻击的条件。
发明内容
本发明实施例提供一种网络流量分析与重构方法及装置,旨在解决上述背景技术中存在的问题。
为了解决上述技术问题,本发明是这样实现的:
本发明实施例第一方面提出一种网络流量分析与重构方法,方法包括:
采集与诱骗网络连接的虚拟交换机中的外界攻击流量,并对攻击流量进行数据预处理,获得待识别攻击流量片段;
将待识别攻击流量片段输入预先训练获得的攻击阶段识别模型中,确定待识别攻击流量片段对应的攻击阶段;
根据待识别攻击流量片段对应的攻击阶段,对诱骗网络的拓扑结构进行重构。
可选地,攻击阶段识别模型包括多个攻击阶段识别子模型,不同的攻击阶段识别子模型对应不同的攻击阶段;确定待识别攻击流量片段对应的攻击阶段的步骤包括:
将待识别攻击流量片段,分别输入预先训练的各个攻击阶段识别子模型,获得待识别攻击流量片段的各个攻击阶段的预估概率;
根据待识别攻击流量片段的各个攻击阶段的预估概率,确定待识别攻击流量片段对应的攻击阶段。
可选地,根据待识别攻击流量片段对应的攻击阶段,对诱骗网络的拓扑结构进行重构的步骤包括:
根据待识别攻击流量片段,确定诱骗网络中的目标主机;
若待识别攻击流量片段对应的攻击阶段为攻击链模型中,攻击者完成控制目标及之前的任一阶段,则删除与目标主机关联的防火墙规则;
若待识别攻击流量片段对应的攻击阶段为攻击链模型中,攻击者完成控制目标的任一阶段,则进行目标主机的傀儡主机的配置。
可选地,进行目标主机的傀儡主机的配置的步骤包括:
获取目标主机对应的第一子网下的主机部署数量;
若第一子网下的主机部署数量小于预设阈值,则在第一子网下新增一台装有同样服务的傀儡主机,并添加对应网段的路由规则;
若第一子网下主机的部署数量大于等于预设阈值,则在第二子网下新增一台装有同样服务的傀儡主机,并添加对应网段的路由规则;其中,第一子网与第二子网属于相同局域网。
可选地,新增一台装有同样服务的傀儡主机的步骤包括:
获取目标主机的网络配置信息,并导入至不同的流表表项;
在指定物理节点下发流表表项,响应匹配的流量,实现虚拟路由、虚拟防火墙和虚拟局域网网络功能。
可选地,方法还包括:
获取诱骗网络中主机的虚拟网卡信息,以及主机接入的虚拟交换机上对应的虚拟网卡接口,确定主机的网络接口映射关系。
可选地,在确定主机的网络接口映射关系的步骤之后,还包括:
在物理节点上建立流量隧道,并基于主机的网络接口将主机的流量复制到主控制节点;
基于预设采集工具对虚拟网卡接口下的外界攻击流量进行采集,并在指定目录下以统一文件格式的进行存储。
可选地,不同的攻击阶段识别子模型是由以下步骤得到的:
根据样本训练集数据,对预设模型进行训练,生成不同种攻击阶段的模型文件,并进行不同种攻击阶段的模型文件的部署。
本发明实施例第二方面提出一种网络流量分析与重构装置,装置包括:
收集单元,用于采集与诱骗网络连接的虚拟交换机中的外界攻击流量,并对攻击流量进行数据预处理,获得待识别攻击流量片段;
判断单元,用于将待识别攻击流量片段输入预先训练获得的攻击阶段识别模型中,确定待识别攻击流量片段对应的攻击阶段;
执行单元,用于根据待识别攻击流量片段对应的攻击阶段,对诱骗网络的拓扑结构进行重构。
可选地,判断单元包括:
第一计算子单元,用于将待识别攻击流量片段,分别输入预先训练的各个攻击阶段识别子模型,获得待识别攻击流量片段的各个攻击阶段的预估概率;
第二计算子单元,用于根据待识别攻击流量片段的各个攻击阶段的预估概率,确定待识别攻击流量片段对应的攻击阶段。
本发明实施例包括以下优点:采集与诱骗网络连接的虚拟交换机中的外界攻击流量,并对攻击流量进行数据预处理,获得待识别攻击流量片段;将待识别攻击流量片段输入预先训练获得的攻击阶段识别模型中,确定待识别攻击流量片段对应的攻击阶段;根据待识别攻击流量片段对应的攻击阶段,对诱骗网络的拓扑结构进行重构。本发明由于结合并利用了虚拟化技术,以容器为单位进行主机的部署和维护,在诱骗网络中使用SDN控制架构,通过下发OpenFlow流表,部署网络组件,调度主机数据流,实现诱骗网络高效重构,弥补了传统诱骗网络拓扑重构不够灵活、配置繁琐的缺陷。本发明基于预处理开源数据集,通过LSTM神经网络训练攻击链七阶段模型,面向多步攻击,根据实际攻击态势,采集诱骗网络流量片段,判定攻击阶段,根据当前攻击深入程度,持续进行诱骗网络重构,从而弥补了传统诱骗网络无法进行适变重构、动态重构的缺陷,本发明可以主动提供攻击者继续深入攻击或横向攻击的环境。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明实施例中一种网络流量分析与重构方法的步骤流程示意图;
图2是本发明实施例中一种面向多步攻击的诱骗网络系统的系统架构示意图;
图3是本发明实施例中攻击阶段判定模块的工作原理图;
图4是本发明实施例中诱骗网络动态重组模块的工作原理图;
图5是本发明实施例中主机布置示意图;
图6是本发明实施例中攻击流量片段判断示意图;
图7是本发明实施例中一种网络流量分析与重构装置的模块示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
相关技术中,近年来随着SDN/NFV(Network Functions Virtualization网络功能虚拟化)技术的不断成熟,可以在SDN网络中,通过诱骗网络技术,实现业务系统的安全防护。利用SDN控制器,完成网络的集中控制,将异常流量调度到虚拟化的诱骗网络系统中,完成异常行为的跟踪取证与安全防护。
基于此,发明人发现,现有的诱骗网络存在拓扑重构不够灵活、诱骗网络无法针对复杂多步攻击手段进行特定防御。
因此,基于上述问题和发现,发明人提出了本申请的发明构思:通过算法判定多步攻击当前攻击阶段,采用SDN控制架构下发OpenFlow流表,集中控制诱骗网络数据平面,持续对诱骗网络进行动态重构。
本发明实施例第一方面提供了一种网络流量分析与重构方法,如图1所示,方法包括:
步骤S101:采集与诱骗网络系统连接的虚拟交换机中的外界攻击流量,并对攻击流量进行数据预处理,获得待识别攻击流量片段。
在本实施方式中,SDN(Software Defined Network,软件定义网络)控制架构:控制架构是整个SDN网络的核心大脑,负责数据平面资源的编排、维护网络拓扑和状态信息等,并向应用层提供北向API接口。其核心技术包括:链路发现和拓扑管理、高可用和分布式状态管理和自动化部署。在诱骗网络运行过程中,每当一个线程采集到1000个数据包,系统响应并触发接口,将这些数据包作为一个流量片段,从目录中取出,按照攻击阶段判定模块的数据格式需求,对其进行相应的数据预处理,将其作为待识别攻击流量片段发送给攻击阶段判定模块。
步骤S102:将待识别攻击流量片段输入预先训练获得的攻击阶段识别模型中,确定待识别攻击流量片段对应的攻击阶段。
在本实施方式中,当攻击阶段判定模块接收到攻击流量采集模块发送的待识别攻击流量片段之后,将其输入预先训练获得的攻击阶段识别模型中,确定待识别攻击流量片段对应的攻击阶段。攻击链七阶段:经典攻击链模型是由洛克希德·马丁公司计算机事件响应小组提出的七阶段攻击链模型,其中包含了目标侦查、武器化、交付、漏洞利用、安装、命令和控制以及行动七个阶段,其中前4个阶段属于“攻击前”事件,后3个阶段属于“攻击中”事件。作为示例的,当待识别攻击流量片段A输入到攻击阶段识别模型中时,会输出对应的其所处攻击链七阶段中的某一阶段,若输出的结果为阿拉伯数字为“2”,则待识别攻击流量片段A对应的攻击阶段为“武器化”;若输出的结果为阿拉伯数字为“7”,则待识别攻击流量片段A对应的攻击阶段为“行动”。
步骤S103:根据待识别攻击流量片段对应的攻击阶段,对诱骗网络的拓扑结构进行重构。
在本实施方式中,当确定出待识别攻击流量片段对应的攻击阶段之后,根据不同的攻击阶段对应的网络流量分析与重构方法,通过下发OpenFlow流表,OpenFlow流表:流表(Flow Table)是OpenFlow中最重要的一张表,它用于指导OpenFlow交换机对收到的数据包进行转发,相当于二层的MAC地址表和三层的路由表。本发明中的虚拟交换机需支持OpenFlow协议。调度主机数据流,调整主机和网络组件的部署和分布,完成诱骗网络的拓扑重构,弥补了传统诱骗网络拓扑重构不够灵活、配置繁琐的缺陷。
本实施例以一种面向多步攻击的诱骗网络系统为例,对实施例第一方面的方法的应用方式进行说明,如图2所示,系统包括:诱骗网络、流量采集模块、攻击阶段判定模块以及诱骗网络动态重组模块;
攻击流量采集模块用于采集与诱骗网络连接的虚拟交换机中的外界攻击流量,并对攻击流量进行数据预处理,获得待识别攻击流量片段,并将待识别攻击流量片段发送至攻击阶段判定模块;
攻击阶段判定模块用于根据待识别攻击流量片段,确定待识别攻击流量片段对应的攻击阶段;
诱骗网络动态重组模块用于根据待识别攻击流量片段对应的攻击阶段,调整主机和网络组件的部署和分布,完成诱骗网络重构。
在本实施方式中,首先构建若干容器作为主机,构建初始诱骗网络拓扑。采用Docker(应用容器)和Kubernetes(简称K8s)技术,Docker是用于构建、分发和运行Docker容器的平台和工具;而Kubernetes不包含用于创建或管理容器镜像的功能,并且它本身并不运行容器。制作包含一个或多个漏洞服务的容器镜像,以Pod(Pod是Kubernetes管理的最小单位,同时每个Pod可以包含多个容器Docker)为资源单位部署主机,其中,本系统中单个Pod对应单个容器。本发明中采用Kubernetes对主机进行生命周期的管理,遵循CNI标准,完成对主机网络接口的调用。攻击流量采集模块采集与诱骗网络连接的虚拟交换机中的外界攻击流量,在进行流量采集时,当采集到一定数目数据包时,按照攻击阶段判定模块的数据格式需求,完成数据清洗。
如图3所示的攻击阶段判定模块的工作原理图,攻击阶段判定模块主要由LSTM模型训练子模块和攻击阶段输出子模块组成。通过建立神经网络模型,并基于训练集数据,生成七种攻击阶段的模型文件,完成攻击链建模。
如图4所示的诱骗网络动态重组模块的工作原理图,诱骗网络动态重组模块中采用Ryu这一典型SDN控制架构,并且SDN控制器的接口对接Kubernetes CNI插件接口标准,与各容器的网络接口互通。本系统支持单物理节点或多节点模式,主机可以跨节点部署或调度,并且通过流量隧道完成数据流调度。
在一种可行的实施方式中,获取诱骗网络中主机的虚拟网卡信息,以及主机接入的虚拟交换机上对应的虚拟网卡接口,确定主机的网络接口映射关系。
在本实施方式中,如图5所示的主机布置示意图,在图5中,主机1、主机2……主机n通过Veth接口分别与虚拟交换机OpenFlow连接,虚拟交换机OpenFlow与物理节点网卡eth0连接。攻击流量采集模块获取主机1-n的虚拟网卡信息(即来自pause容器的虚拟网络信息)与其接入虚拟交换机(如OpenFlow等)上对应的Veth接口,从而确定完整的主机网络接口映射关系。
在一种可行的实施方式中,在物理节点上建立流量隧道,并基于主机的网络接口将主机的流量复制到主控制节点;
基于预设采集工具对虚拟网卡接口下的外界攻击流量进行采集,并在指定目录下以统一文件格式的进行存储。
在本实施方式中,由于主机可能分布于各个物理节点上,流量采集模块在集群内多个物理节点上,建立VXLAN流量隧道。作为示例的,对于主机m,其被外来攻击者恶意攻击捕获时,流量采集模块会配置被捕获主机所接入的虚拟交换机的流表规则,将被主机m流量复制到同一物理节点,一般为主控制节点。并且通过使用多线程并发的方式对每个主机的网络接口进行流量监控,采用tcpdump工具对流量进行采集,即通过tcpdump线程1对主机1的流量进行采集,通过tcpdump线程2对主机2的流量进行采集,通过tcpdump线程n对主机n的流量进行采集,并在指定目录下进行.pcap文件类型的持久化存储,即当tcpdump线程1采集到1000个数据包时,生成文件名为“主机1”的.pcap后缀的数据包,即当tcpdump线程2采集到1000个数据包时,生成文件名为“主机2”的.pcap后缀的数据包,即当tcpdump线程n采集到1000个数据包时,生成文件名为“主机n”的.pcap后缀的数据包,并在相应的本地目录下进行保存。在诱骗网络运行过程中,攻击流量采集模块中,每当一个线程采集到1000个数据包,系统响应并触发接口,将这些数据包作为一个流量片段,从目录中取出,输入到LSTM模型中,根据模型输出结果,确定该主机对应的当前攻击阶段。
在一种可行的实施方式中,攻击阶段识别模型包括多个攻击阶段识别子模型,不同的攻击阶段识别子模型对应不同的攻击阶段;确定待识别攻击流量片段对应的攻击阶段的步骤包括:
将待识别攻击流量片段,分别输入预先训练的各个攻击阶段识别子模型,获得待识别攻击流量片段的各个攻击阶段的预估概率;
根据待识别攻击流量片段的各个攻击阶段的预估概率,确定待识别攻击流量片段对应的攻击阶段。
在本实施方式中,如图6所示的攻击流量片段判断示意图,当任意主机n的待识别攻击流量片段输入至攻击阶段识别模型之后,由于攻击阶段识别模型包括七个攻击阶段各种对应的攻击阶段识别子模型,即七个LSTM模型。因此,首先将待识别攻击流量片段A输入到第一攻击阶段识别子模型,即“目标侦查”阶段识别子模型中,获得待识别攻击流量片段A属于“目标侦查”攻击阶段的概率h1,然后,首先将待识别攻击流量片段A输入到第二攻击阶段识别子模型,即“武器化”攻击阶段识别子模型中,获得待识别攻击流量片段A属于“武器化”攻击阶段的概率h2……,将待识别攻击流量片段A输入到第二攻击阶段识别子模型,即“行动”攻击阶段识别子模型中,获得待识别攻击流量片段A属于“行动”攻击阶段的概率h7,获得七个LSTM模型输出结果h1-h7,在根据预先设定的表决器即可确定待识别攻击流量片段A具体属于哪一个攻击阶段。
在一种可行的实施方式中,根据待识别攻击流量片段对应的攻击阶段,对诱骗网络的拓扑结构进行重构的步骤包括:
根据待识别攻击流量片段,确定诱骗网络中的目标主机;
根据所述待识别攻击流量片段,确定所述诱骗网络中的目标主机;
若所述待识别攻击流量片段对应的攻击阶段为攻击链模型中,攻击者完成控制目标及之前的任一阶段,则删除与所述目标主机关联的防火墙规则;
若所述待识别攻击流量片段对应的攻击阶段为攻击链模型中,攻击者完成控制目标的任一阶段,则进行所述目标主机的傀儡主机的配置。
在本实施方式中,在确定出目标主机之后,即被捕获的主机后,以网络攻击链七阶段为例,当攻击阶段判定模块输出的判断结果为“1-4”中的任意一个时,则说明待识别攻击流量片段对应的攻击阶段属于“攻击前”事件,即当前攻击阶段属于攻击者完成控制目标及之前的阶段。因此,为了引诱攻击者能够继续对攻击的目标主机进行纵向攻击,获取更多高价值的攻击行为数据,首先,检查是否存在有与该目标主机的防火墙规则,如果存在相应的防火墙规则,则需要删除与目标主机关联的防火墙规则。当攻击阶段判定模块输出的判断结果为“5-6”中的任意一个时,则说明待识别攻击流量片段对应的攻击阶段属于“攻击后”事件,即当前攻击阶段属于攻击者完成控制目标的阶段。因此,为了引诱攻击者能够继续对攻击的目标主机进行纵向攻击,需要配置一个与目标主机具有相同服务的傀儡主机。
在一种可行的实施方式中,进行目标主机的傀儡主机的配置的步骤包括:
获取目标主机对应的第一子网下的主机部署数量;
若第一子网下的主机部署数量小于预设阈值,则在第一子网下新增一台装有同样服务的傀儡主机,并添加对应网段的路由规则;
若第一子网下主机的部署数量大于等于预设阈值,则在第二子网下新增一台装有同样服务的傀儡主机,并添加对应网段的路由规则;其中,第一子网与第二子网属于相同局域网。
在本实施方式中,若目标主机位于第一子网下,第一子网的网段为:A。作为示例的,若在第一子网中,部署的主机的数量为26台,而第一子网中主机的部署的最大阈值为30台,因此,当第一子网中部署的主机的数量小于其数量预设阈值时,可以在第一子网中进行目标主机的傀儡主机配置,即在第一子网中新增一台装有同样服务的傀儡主机。若在第一子网中,部署的主机的数量为31台,而第一子网中主机的部署的最大阈值为30台,因此,当第一子网中部署的主机的数量大于或等于其数量预设阈值时,需要在其他的子网中进行傀儡主机的部署。第二子网中的主机的数量小于其数量预设阈值,故可以在第二子网中进行傀儡主机的部署,而第二子网的网段为:B,A与B属于在同一局域网,并添加对应网段的路由规则,将攻击流量调度至新主机中。
可以在第一子网中进行目标主机的傀儡主机配置,即在第一子网中新增一台装有同样服务的傀儡主机。
在一种可行的实施方式中,新增一台装有同样服务的傀儡主机的步骤包括:
获取目标主机的网络配置信息,并导入至不同的流表表项;
在指定物理节点下发流表表项,响应匹配的流量,实现虚拟路由、虚拟防火墙和VLAN网络功能。
在本实施方式中,诱骗网络动态重构模块采取Ryu这一典型SDN控制架构,针对运行状态的主机,其在虚拟交换机上已经挂载并建立了相应的网络端口,它与主机形成了Veth Pair(虚拟设备对)的映射关系。在进行傀儡主机配置的过程中,SDN控制器收集并获取目标主机网络配置信息,网络配置信息包括目标主机的虚拟交换机端口、外部网卡端口、相应MAC信息和IP信息。当SDN控制器获取到目标主机网络配置信息之后,将其导入至不同OpenFlow的流表表项,触发Packet-In和Packet-Out消息完成与虚拟交换机的对接,并在指定物理节点下发流表,响应匹配的流量,控制流量在虚拟交换机上的分发,实现虚拟路由、虚拟防火墙和VLAN网络功能,进而完成诱骗网络重构。
作为示例的,虚拟路由示例流表,通过控制某个子网的流量转发实现:
cookie=0x19,duration=6627100.689s,table=30,n_packets=0,n_bytes=0,idle_age=65534,hard_age=65534,priority=36,ip,nw_src=10.244.0.0/24,nw_dst=10.244.0.0/24actions=resubmit(,40)
虚拟防火墙示例流表,通过控制特定源(目的)IP的流量转发行为实现,如限制10.244.0.1到10.244.0.2的横向流量:
cookie=0x19,duration=6627100.689s,table=30,n_packets=0,n_bytes=0,idle_age=65534,hard_age=65534,priority=36,ip,nw_src=10.244.0.1,nw_dst=10.244.0.2actions=drop。
在一种可行的实施方式中,不同的攻击阶段识别子模型是由以下步骤得到的:
根据样本训练集数据,对预设模型进行训练,生成不同种攻击阶段的模型文件,并进行不同种攻击阶段的模型文件的部署。
在本实施方式中,不同的攻击阶段识别子模型是通过以下方式获得的,LSTM模型训练子模块使用典型多步攻击数据集如DARPA2000、CICIDS2012,结合已有诱骗网络流量数据,根据数据流信息,标定每条数据包所属攻击阶段,作为训练集。使用多个LSTM网络,输入训练集数据,经过训练后,将各个阶段LSTM模型的损失将到最低,获得模型的最优参数,并将最优模型存储下来,输出为各阶段的.h5模型文件,用于后续进行攻击阶段判定。在表决器训练过程中,将已有的攻击链数据集以片段(当前阶段,下一阶段)的形式进行组织,进行多分类训练。将数据经过各阶段LSTM模型获得的状态输出进行拼接得到Hi,然后经过一个MLP层得到当前攻击阶段的多分类结果。
Hi=[hi,1,hi,2,…,hi,7]
Figure BDA0003548674720000111
式中,hi,nn∈[1,7]分别指流量片段经过7个阶段模型后输出的状态信息,Hi由其拼接而成。
Figure BDA0003548674720000121
为该Hi对应片段经过模型后最后输出的多分类结果。
应用softmax交叉熵,对表决器训练,得到的损失函数如下:
Figure BDA0003548674720000122
式中:
Figure BDA0003548674720000126
——攻击链片段li对应的当前攻击阶段为j的实际概率;
Figure BDA0003548674720000123
——攻击链片段li对应的当前攻击阶段为j的估计概率。
根据上述公式将表决器损失值将到最低,即可将该最优表决器用于攻击阶段的表决判定。
当采集到未知攻击阶段的新流量片段时,将未知数据分段输入各个阶段LSTM网络得到其隐状态以表征其宏观特性,然后将其与各个阶段的典型特征进行相似性比对,完成对未标定数据的预处理。完成预处理后,将数据加入训练数据,和其他标定数据进行各阶段LSTM模型训练,整个模型的目标函数为:
Figure BDA0003548674720000124
式中:
Figure BDA0003548674720000127
——攻击链片段li对应的当前攻击阶段为j的实际概率;
Figure BDA0003548674720000125
——攻击链片段li对应的当前攻击阶段为j的估计概率。
最后,将k个阶段优化好的LSTM模型存储下来,即各个攻击阶段的攻击阶段识别子模型。
本发明实施例还提供了一种网络流量分析与重构装置,参照图7,示出了本发明实施例一种风电场无功协调控制系统的功能单元图,该系统可以包括以下单元:
收集单元701,用于采集与诱骗网络连接的虚拟交换机中的外界攻击流量,并对攻击流量进行数据预处理,获得待识别攻击流量片段;
判断单元702,用于将待识别攻击流量片段输入预先训练获得的攻击阶段识别模型中,确定待识别攻击流量片段对应的攻击阶段;
执行单元703,用于根据待识别攻击流量片段对应的攻击阶段,对诱骗网络的拓扑结构进行重构。
在一种可行的实施方式中,判断单元702包括:
第一计算子单元,用于将待识别攻击流量片段,分别输入预先训练的各个攻击阶段识别子模型,获得待识别攻击流量片段的各个攻击阶段的预估概率;
第二计算子单元,用于根据待识别攻击流量片段的各个攻击阶段的预估概率,确定待识别攻击流量片段对应的攻击阶段。
在一种可行的实施方式中,执行单元703包括:
确定子单元,用于根据待识别攻击流量片段,确定诱骗网络系统中的目标主机;
第一执行子单元,用于若待识别攻击流量片段对应的攻击阶段为七阶段攻击链模型中的第一至第四攻击阶段中的任一阶段,则删除与目标主机关联的防火墙规则;
第二执行子单元,用于若待识别攻击流量片段对应的攻击阶段为七阶段攻击链模型中的第五至第七攻击阶段中的任一阶段,则进行目标主机的傀儡主机的配置。
在一种可行的实施方式中,第二执行子单元包括:
获取模块,用于获取目标主机对应的第一子网下的主机部署数量;
第一判断模块,用于若第一子网下的主机部署数量小于预设阈值,则在第一子网下新增一台装有同样服务的傀儡主机,并添加对应网段的路由规则;
第二判断模块,用于若第一子网下主机的部署数量大于等于预设阈值,则在第二子网下新增一台装有同样服务的傀儡主机,并添加对应网段的路由规则;其中,第一子网与第二子网属于相同局域网。
可选地,装置还包括模型训练单元,模型训练单元用于根据样本训练集数据,对预设模型进行训练,生成不同种攻击阶段的模型文件,并进行不同种攻击阶段的模型文件的部署。
本领域内的技术人员应明白,本发明实施例的实施例可提供为方法、装置、或计算机程序产品。因此,本发明实施例可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明实施例可采用在一个或多个其中包含有计算机可用程序代码的计算机可用储存介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本发明实施例是参照根据本发明实施例的方法、终端设备(装置)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理终端设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理终端设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理终端设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理终端设备上,使得在计算机或其他可编程终端设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程终端设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
最后,还需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。“和/或”表示可以选择两者之中的任意一个,也可以两者都选择。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者终端设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者终端设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括要素的过程、方法、物品或者终端设备中还存在另外的相同要素。
以上对本发明所提供的一种网络流量分析与重构方法及装置,进行了详细介绍,本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想;同时,对于本领域的一般技术人员,依据本发明的思想,在具体实施方式及应用范围上均会有改变之处,综上,本说明书内容不应理解为对本发明的限制。

Claims (10)

1.一种网络流量分析与重构方法,其特征在于,所述方法包括:
采集与诱骗网络连接的虚拟交换机中的外界攻击流量,并对所述攻击流量进行数据预处理,获得待识别攻击流量片段;
将所述待识别攻击流量片段输入预先训练获得的攻击阶段识别模型中,确定所述待识别攻击流量片段对应的攻击阶段;
根据所述待识别攻击流量片段对应的攻击阶段,对所述诱骗网络的拓扑结构进行重构。
2.根据权利要求1所述的方法,其特征在于,所述攻击阶段识别模型包括多个攻击阶段识别子模型,不同的攻击阶段识别子模型对应不同的攻击阶段;确定所述待识别攻击流量片段对应的攻击阶段的步骤包括:
将所述待识别攻击流量片段,分别输入预先训练的各个攻击阶段识别子模型,获得待识别攻击流量片段的各个攻击阶段的预估概率;
根据所述待识别攻击流量片段的各个攻击阶段的预估概率,确定所述待识别攻击流量片段对应的攻击阶段。
3.根据权利要求1所述的方法,其特征在于,根据所述待识别攻击流量片段对应的攻击阶段,对所述诱骗网络的拓扑结构进行重构的步骤包括:
根据所述待识别攻击流量片段,确定所述诱骗网络中的目标主机;
若所述待识别攻击流量片段对应的攻击阶段为攻击链模型中,攻击者完成控制目标及之前的任一阶段,则删除与所述目标主机关联的防火墙规则;
若所述待识别攻击流量片段对应的攻击阶段为攻击链模型中,攻击者完成控制目标的任一阶段,则进行所述目标主机的傀儡主机的配置。
4.根据权利要求3所述的方法,其特征在于,进行所述目标主机的傀儡主机的配置的步骤包括:
获取所述目标主机对应的第一子网下的主机部署数量;
若所述第一子网下的主机部署数量小于预设阈值,则在所述第一子网下新增一台装有同样服务的傀儡主机,并添加对应网段的路由规则;
若所述第一子网下主机的部署数量大于等于所述预设阈值,则在第二子网下新增一台装有同样服务的傀儡主机,并添加对应网段的路由规则;其中,所述第一子网与所述第二子网属于相同局域网。
5.根据权利要求4所述的方法,其特征在于,所述新增一台装有同样服务的傀儡主机的步骤包括:
获取所述目标主机的网络配置信息,并导入至不同的流表表项;
在指定物理节点下发流表表项,响应匹配的流量,实现虚拟路由、虚拟防火墙和虚拟局域网网络功能。
6.根据权利要求1所述的方法,其特征在于,所述方法还包括:
获取所述诱骗网络中主机的虚拟网卡信息,以及所述主机接入的虚拟交换机上对应的虚拟网卡接口,确定所述主机的网络接口映射关系。
7.根据权利要求6所述的方法,其特征在于,在确定所述主机的网络接口映射关系的步骤之后,还包括:
在物理节点上建立流量隧道,并基于所述主机的网络接口将所述主机的流量复制到主控制节点;
基于预设采集工具对所述虚拟网卡接口下的外界攻击流量进行采集,并在指定目录下以统一文件格式进行存储。
8.根据权利要求2所述的方法,其特征在于,所述不同的攻击阶段识别子模型是由以下步骤得到的:
根据样本训练集数据,对预设模型进行训练,生成不同种攻击阶段的模型文件,并进行所述不同种攻击阶段的模型文件的部署。
9.一种网络流量分析与重构装置,其特征在于,所述装置包括:
收集单元,用于采集与所述诱骗网络连接的虚拟交换机中的外界攻击流量,并对所述攻击流量进行数据预处理,获得待识别攻击流量片段;
判断单元,用于将所述待识别攻击流量片段输入预先训练获得的攻击阶段识别模型中,确定所述待识别攻击流量片段对应的攻击阶段;
执行单元,用于根据所述待识别攻击流量片段对应的攻击阶段,对所述诱骗网络的拓扑结构进行重构。
10.根据权利要求9所述的装置,其特征在于,所述判断单元包括:
第一计算子单元,用于将待识别攻击流量片段,分别输入预先训练的各个攻击阶段识别子模型,获得待识别攻击流量片段的各个攻击阶段的预估概率;
第二计算子单元,用于根据待识别攻击流量片段的各个攻击阶段的预估概率,确定待识别攻击流量片段对应的攻击阶段。
CN202210256341.XA 2022-03-16 2022-03-16 网络流量分析与重构方法及装置 Active CN114844666B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210256341.XA CN114844666B (zh) 2022-03-16 2022-03-16 网络流量分析与重构方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210256341.XA CN114844666B (zh) 2022-03-16 2022-03-16 网络流量分析与重构方法及装置

Publications (2)

Publication Number Publication Date
CN114844666A true CN114844666A (zh) 2022-08-02
CN114844666B CN114844666B (zh) 2023-06-06

Family

ID=82562354

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210256341.XA Active CN114844666B (zh) 2022-03-16 2022-03-16 网络流量分析与重构方法及装置

Country Status (1)

Country Link
CN (1) CN114844666B (zh)

Citations (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2017107804A1 (zh) * 2015-12-24 2017-06-29 阿里巴巴集团控股有限公司 发现DDoS攻击的方法及装置
CN109167781A (zh) * 2018-08-31 2019-01-08 杭州安恒信息技术股份有限公司 一种基于动态关联分析的网络攻击链识别方法和装置
CN109413109A (zh) * 2018-12-18 2019-03-01 中国人民解放军国防科技大学 基于有限状态机的面向天地一体化网络安全状态分析方法
CN110011982A (zh) * 2019-03-19 2019-07-12 西安交通大学 一种基于虚拟化的攻击智能诱骗系统与方法
CN110381045A (zh) * 2019-07-09 2019-10-25 腾讯科技(深圳)有限公司 攻击操作的处理方法和装置、存储介质及电子装置
CN110768987A (zh) * 2019-10-28 2020-02-07 电子科技大学 一种基于sdn的虚拟蜜网动态部署方法及系统
CN111314331A (zh) * 2020-02-05 2020-06-19 北京中科研究院 一种基于条件变分自编码器的未知网络攻击检测方法
CN112769771A (zh) * 2020-12-24 2021-05-07 中国人民解放军战略支援部队信息工程大学 基于虚假拓扑生成的网络防护方法及系统和系统架构
CN113645286A (zh) * 2021-08-02 2021-11-12 福州大学 一种面向数据泄露的Web安全事件取证方法及系统
CN113691504A (zh) * 2021-08-04 2021-11-23 中国电子科技集团公司第五十四研究所 一种基于软件定义网络的网络诱捕方法及系统
CN114143096A (zh) * 2021-12-02 2022-03-04 北京神州新桥科技有限公司 安全策略配置方法、装置、设备、存储介质及程序产品

Patent Citations (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2017107804A1 (zh) * 2015-12-24 2017-06-29 阿里巴巴集团控股有限公司 发现DDoS攻击的方法及装置
CN109167781A (zh) * 2018-08-31 2019-01-08 杭州安恒信息技术股份有限公司 一种基于动态关联分析的网络攻击链识别方法和装置
CN109413109A (zh) * 2018-12-18 2019-03-01 中国人民解放军国防科技大学 基于有限状态机的面向天地一体化网络安全状态分析方法
CN110011982A (zh) * 2019-03-19 2019-07-12 西安交通大学 一种基于虚拟化的攻击智能诱骗系统与方法
CN110381045A (zh) * 2019-07-09 2019-10-25 腾讯科技(深圳)有限公司 攻击操作的处理方法和装置、存储介质及电子装置
CN110768987A (zh) * 2019-10-28 2020-02-07 电子科技大学 一种基于sdn的虚拟蜜网动态部署方法及系统
CN111314331A (zh) * 2020-02-05 2020-06-19 北京中科研究院 一种基于条件变分自编码器的未知网络攻击检测方法
CN112769771A (zh) * 2020-12-24 2021-05-07 中国人民解放军战略支援部队信息工程大学 基于虚假拓扑生成的网络防护方法及系统和系统架构
CN113645286A (zh) * 2021-08-02 2021-11-12 福州大学 一种面向数据泄露的Web安全事件取证方法及系统
CN113691504A (zh) * 2021-08-04 2021-11-23 中国电子科技集团公司第五十四研究所 一种基于软件定义网络的网络诱捕方法及系统
CN114143096A (zh) * 2021-12-02 2022-03-04 北京神州新桥科技有限公司 安全策略配置方法、装置、设备、存储介质及程序产品

Also Published As

Publication number Publication date
CN114844666B (zh) 2023-06-06

Similar Documents

Publication Publication Date Title
ALRikabi et al. Secure Chaos of 5G Wireless Communication System Based on IOT Applications.
CN104363159B (zh) 一种基于软件定义网络的开放虚拟网络构建系统和方法
CN106656801B (zh) 业务流的转发路径的重定向方法、装置和业务流转发系统
Qureshi et al. Anomaly detection and trust authority in artificial intelligence and cloud computing
JP5544006B2 (ja) 情報通信処理システム
EP2056559B1 (en) Method and system for network simulation
CN107667505A (zh) 用于监控和管理数据中心的系统
WO2017100365A1 (en) Directing data traffic between intra-server virtual machines
US20140068701A1 (en) Automatically Recommending Firewall Rules During Enterprise Information Technology Transformation
US7580991B2 (en) Methods and apparatuses to configure and deploy servers
CN106797328A (zh) 收集和分析所选择的网络流量
WO2017186932A1 (en) A data driven intent based networking approach using a light weight distributed sdn controller for delivering intelligent consumer experiences
Femminella et al. An enabling platform for autonomic management of the future internet
CN106650425B (zh) 一种安全沙箱的控制方法及装置
Nekovee et al. Towards AI-enabled microservice architecture for network function virtualization
CN114944939B (zh) 网络攻击态势预测模型构建方法、装置、设备及存储介质
Li et al. A cooperative defense framework against application-level DDoS attacks on mobile edge computing services
TWI636679B (zh) 虛擬區域網路配置系統與方法及其電腦程式產品
Preamthaisong et al. Enhanced DDoS detection using hybrid genetic algorithm and decision tree for SDN
CN114024747A (zh) 基于软件定义nfv的安全服务链编排部署方法及系统
US11805140B2 (en) Systems and methods for utilizing a machine learning model to detect anomalies and security attacks in software-defined networking
Pradeepa et al. IPR: Intelligent Proactive Routing model toward DDoS attack handling in SDN
CN114844666B (zh) 网络流量分析与重构方法及装置
Xu et al. A mathematical model and dynamic programming based scheme for service function chain placement in NFV
WO2022166715A1 (zh) 一种智能流水线处理方法、装置、存储介质及电子装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant