CN115065551B

CN115065551B - 一种伴生式网络构建与共同演化方法

Info

Publication number: CN115065551B
Application number: CN202210888014.6A
Authority: CN
Inventors: 杨林; 王雯; 马琳茹
Original assignee: Institute of Network Engineering Institute of Systems Engineering Academy of Military Sciences
Current assignee: Institute of Network Engineering Institute of Systems Engineering Academy of Military Sciences
Priority date: 2022-07-27
Filing date: 2022-07-27
Publication date: 2022-10-28
Anticipated expiration: 2042-07-27
Also published as: CN115065551A

Abstract

本发明提出一种伴生式网络构建与共同演化方法，属于网络安全技术领域。所述方法用于为业务网络构建对应的伴生网络，其中所述伴生网络的构建基于控制器来实现，所述控制器包括网络状态同步模块、资源调度模块和安全控制模块。所述伴生网络和所述业务网络通过共同演化来抵御网络中的各类攻击。

Description

一种伴生式网络构建与共同演化方法

技术领域

本发明属于网络安全技术领域，尤其涉及一种伴生式网络构建与共同演化方法。

背景技术

网络是一个复杂多变的系统，其网络结构、业务应用和用户分布都不是一成不变的，在网络攻击情况下网络环境的复杂化、流量模型的改变，都可能导致网络的可靠性和安全性难以保证。当前网络系统侧重于网络传输性能最优问题求解，缺乏安全分析环境，无法模拟和分析可能遭受的种种攻击或意外事件，更难以做出最佳的、行之有效的应对措施。虽然现有的高交互蜜罐、蜜网乃至网络靶场等防护技术可通过模拟网络环境对网络威胁进行诱捕和分析，但通常与实际业务环境差异较大，难以针对特定业务潜在攻击进行深入分析。与此同时，传统的网络防御手段通常是静态的被动防御，缺乏自我演化能力，无法对抗未知攻击，因此，设计一种既能承担诸如攻防演练等应用以实现自我演进，又可提供安全可靠通信业务服务的新型网络架构具有十分重要的现实意义。

发明内容

为解决上述技术问题，本发明提出了一种伴生式网络构建与共同演化方案。

本发明第一方面公开了一种伴生式网络构建与共同演化方法，其特征在于：

所述方法用于为业务网络构建对应的伴生网络，所述伴生网络和所述业务网络通过共同演化来抵御网络中的各类攻击，其中所述伴生网络的构建基于控制器来实现，所述控制器包括网络状态同步模块、资源调度模块和安全控制模块；

所述方法包括：

步骤S1、调用所述网络状态同步模块，用于通过状态感知节点采集所述业务网络的业务网络状态信息，并基于所述业务网络状态信息实现所述业务网络与所述伴生网络的状态同步；

步骤S2、调用所述资源调度模块，用于根据所述业务网络和所述伴生网络共享的物理资源，以虚拟化切片资源的方式为所述业务网络和所述伴生网络分配网络资源以及建立隔离环境；

步骤S3、调用所述安全控制模块，用于实现所述伴生网络和所述业务网络的共同演化，通过将各类攻击引导至所述伴生网络来提升所述业务网络的安防御能力。

根据本发明第一方面的方法，所述网络状态同步模块包括网络状态采集子模块、网络状态整合子模块和网络状态同步子模块；所述步骤S1具体包括：

调用所述网络状态采集子模块，用于根据所述业务网络状态信息的采集粒度和采集频率，通过所述状态感知节点对所述业务网络的业务网络状态进行循环监听，来采集所述业务网络状态信息；

其中，所述业务网络状态信息至少包括所述业务网络的拓扑关系、所述业务网络包含的各个设备的设备状态、所述业务网络的业务应用及资源使用情况；

调用所述网络状态整合子模块，用于整合所述业务网络状态信息，以形成所述业务网络基于全局一致的网络状态视图；

调用所述网络状态同步子模块，用于利用所述全局一致的网络状态视图实现所述业务网络与所述伴生网络的状态同步；

其中，基于所述业务网络的拓扑关系构建所述伴生网络，并将所述业务网络包含的各个设备的设备状态、所述业务网络的业务应用及资源使用情况同步至所述伴生网络。

根据本发明第一方面的方法，所述资源调度模块包括网络状态评估子模块、弹性资源决策子模块、网络资源调度子模块和地址空间管理子模块；所述步骤S2具体包括：

调用所述网络状态评估子模块，用于基于所述业务网络状态信息对所述业务网络的网络状态进行评估，评估结果包括所述业务网络的繁忙程度、所述业务网络包含的各个设备的重要度和脆弱度；

其中，所述重要度由重要度权重来表征，所述脆弱度由设备受网络攻击的频次来表征；

调用所述弹性资源决策子模块，用于根据所述评估结果，从所述共享的物理资源中动态调整所述伴生网络的网络切片，以确保所述业务网络的正常运行；

调用所述网络资源调度子模块，用于在所述伴生网络获得的网络切片中，依据所述全局一致的网络状态视图，配置所述伴生网络中各个虚拟机对多个网元设备的模拟以及所述隔离环境；

其中，所述多个网元设备与所述业务网络中的各个设备对应，所述多个网元设备以虚拟机为载体；

调用所述地址空间管理子模块，用于为所述业务网络和所述伴生网络分配不同的地址空间，并维护所述各个设备在所述业务网络中的地址和所述各个虚拟机在所述伴生网络中的地址之间的映射关系。

根据本发明第一方面的方法，所述安全控制模块包括行为分析子模块、状态欺骗子模块和转发决策子模块；所述步骤S3具体包括：

调用所述行为分析子模块，用于在攻击引导过程中分析攻击流量信息并记录攻击流量行为；

调用所述状态欺骗子模块，用于基于所述攻击流量信息确定攻击引导策略并对攻击者进行欺骗；

调用所述转发决策子模块，用于配置转发策略以限制攻击流量的转发范围，确保所述业务网络和所述伴生网络之间的隔离。

根据本发明第一方面的方法，所述伴生网络通过蜜罐诱骗模式获取经引导的攻击流量，其中：所述攻击者从所述业务网络的地址A向所述伴生网络的地址B发送攻击流量，所述业务网络的虚拟机在接收到所述攻击流量后，调用所述转发决策子模块配置转发规则，使得所述攻击流量只能从所述伴生网络恢复所述攻击者，而不允许所述攻击流量与所述业务网络进行其他交互。

根据本发明第一方面的方法，所述伴生网络通过攻击引流模式获取经引导的攻击流量，其中：所述行为分析子模块在检测到所述攻击者要从所述业务网络的地址A发起针对所述业务网络的地址C的攻击时，调用所述状态欺骗子模块在所述伴生网络构造与所述地址C处的网络设备的相似度高于预设阈值，且地址为C’的网元设备，调用所述转发决策子模块配置转发规则，使得攻击流量从所述地址C被转发至所述地址C’，且所述攻击流量只能从所述伴生网络恢复所述攻击者，而不允许所述攻击流量与所述业务网络进行其他交互。

根据本发明第一方面的方法，所述伴生网络通过攻防训练模式实现所述共同演化，其中：在所述伴生网络中构造若干攻击样本，所述攻击样本被注入到所述伴生网络以执行攻防测试，调用所述转发决策子模块配置转发规则，使得对所述攻击样本的转发被限制在所述伴生网络内，而不能被转发至所述业务网络。

本发明第二方面公开了一种伴生式网络构建与共同演化系统，用于为业务网络构建对应的伴生网络，所述伴生网络和所述业务网络通过共同演化来抵御网络中的各类攻击，所述系统包括网络状态同步模块、资源调度模块和安全控制模块；其中：

所述网络状态同步模块用于通过状态感知节点采集所述业务网络的业务网络状态信息，并基于所述业务网络状态信息实现所述业务网络与所述伴生网络的状态同步；

所述资源调度模块用于根据所述业务网络和所述伴生网络共享的物理资源，以虚拟化切片资源的方式为所述业务网络和所述伴生网络分配网络资源以及建立隔离环境；

调用所述安全控制模块用于实现所述伴生网络和所述业务网络的共同演化，通过将各类攻击引导至所述伴生网络来提升所述业务网络的安防御能力。

根据本发明第二方面的系统，所述网络状态同步模块包括网络状态采集子模块、网络状态整合子模块和网络状态同步子模块；其中：

所述网络状态采集子模块用于根据所述业务网络状态信息的采集粒度和采集频率，通过所述状态感知节点对所述业务网络的业务网络状态进行循环监听，来采集所述业务网络状态信息；

所述网络状态整合子模块用于整合所述业务网络状态信息，以形成所述业务网络基于全局一致的网络状态视图；

所述网络状态同步子模块用于利用所述全局一致的网络状态视图实现所述业务网络与所述伴生网络的状态同步；

根据本发明第二方面的系统，所述资源调度模块包括网络状态评估子模块、弹性资源决策子模块、网络资源调度子模块和地址空间管理子模块；其中：

所述网络状态评估子模块用于基于所述业务网络状态信息对所述业务网络的网络状态进行评估，评估结果包括所述业务网络的繁忙程度、所述业务网络包含的各个设备的重要度和脆弱度；

所述弹性资源决策子模块用于根据所述评估结果，从所述共享的物理资源中动态调整所述伴生网络的网络切片，以确保所述业务网络的正常运行；

所述网络资源调度子模块用于在所述伴生网络获得的网络切片中，依据所述全局一致的网络状态视图，配置所述伴生网络中各个虚拟机对多个网元设备的模拟以及所述隔离环境；

所述地址空间管理子模块用于为所述业务网络和所述伴生网络分配不同的地址空间，并维护所述各个设备在所述业务网络中的地址和所述各个虚拟机在所述伴生网络中的地址之间的映射关系。

根据本发明第二方面的系统，所述安全控制模块包括行为分析子模块、状态欺骗子模块和转发决策子模块；其中：

所述行为分析子模块用于在攻击引导过程中分析攻击流量信息并记录攻击流量行为；

所述状态欺骗子模块用于基于所述攻击流量信息确定攻击引导策略并对攻击者进行欺骗；

所述转发决策子模块用于配置转发策略以限制攻击流量的转发范围，确保所述业务网络和所述伴生网络之间的隔离。

根据本发明第二方面的系统，所述伴生网络通过蜜罐诱骗模式获取经引导的攻击流量，其中：所述攻击者从所述业务网络的地址A向所述伴生网络的地址B发送攻击流量，所述业务网络的虚拟机在接收到所述攻击流量后，调用所述转发决策子模块配置转发规则，使得所述攻击流量只能从所述伴生网络恢复所述攻击者，而不允许所述攻击流量与所述业务网络进行其他交互。

根据本发明第二方面的系统，所述伴生网络通过攻击引流模式获取经引导的攻击流量，其中：所述行为分析子模块在检测到所述攻击者要从所述业务网络的地址A发起针对所述业务网络的地址C的攻击时，调用所述状态欺骗子模块在所述伴生网络构造与所述地址C处的网络设备的相似度高于预设阈值，且地址为C’的网元设备，调用所述转发决策子模块配置转发规则，使得攻击流量从所述地址C被转发至所述地址C’，且所述攻击流量只能从所述伴生网络恢复所述攻击者，而不允许所述攻击流量与所述业务网络进行其他交互。

根据本发明第二方面的系统，所述伴生网络通过攻防训练模式实现所述共同演化，其中：在所述伴生网络中构造若干攻击样本，所述攻击样本被注入到所述伴生网络以执行攻防测试，调用所述转发决策子模块配置转发规则，使得对所述攻击样本的转发被限制在所述伴生网络内，而不能被转发至所述业务网络。

本发明第三方面公开了一种电子设备。所述电子设备包括存储器和处理器，所述存储器存储有计算机程序，所述处理器执行所述计算机程序时，实现本公开第一方面中任一项所述的一种伴生式网络构建与共同演化方法中的步骤。

本发明第四方面公开了一种计算机可读存储介质。所述计算机可读存储介质上存储有计算机程序，所述计算机程序被处理器执行时，实现本公开第一方面中任一项所述的一种伴生式网络构建与共同演化方法中的步骤。

本发明提供的技术方案相对于现有技术具有以下优点：

本发明应用范围广，对业务网络侵扰较小，便于实现自动化部署。相对于传统蜜罐、蜜网等机制，伴生式的网络架构设计具有还原程度高、安全性强、应用场景广等优点。

伴生网络与业务网络保持动态同步演化，伴生网络与业务网络高度一致的，两个网络自行演化，允许两个网络周期性克隆以实现同步演化。在伴生网络可开展大量业务网络无法完成的分析和推演，以便于更好的理解业务网络，为业务网络的演化提供依据。

利用虚拟化切片、服务仿真、状态感知及同步等技术，可通过共享同一物理基础设施搭建与业务网络高度一致、并行运行的伴生网络，一方面为实现网络防护能力对抗演化提供架构支撑，另一方面减小了伴生网络搭建的资源耗费，达到了节约成本的目的。

通过资源隔离和安全控制，降低了伴生网络对原业务网络的侵扰，确保原业务服务的有效性和可用性。

附图说明

为了更清楚地说明本发明具体实施方式或现有技术中的技术方案下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图是本发明的一些实施方式，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为根据本发明实施例的一种伴生式网络构建与共同演化方法的流程图；

图2为根据本发明实施例的一种电子设备的结构图。

具体实施方式

为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例只是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

本发明第一方面公开了一种伴生式网络构建与共同演化方法。所述方法用于为业务网络构建对应的伴生网络，所述伴生网络和所述业务网络通过共同演化来抵御网络中的各类攻击，其中所述伴生网络的构建基于控制器来实现，所述控制器包括网络状态同步模块、资源调度模块和安全控制模块。

在一些实施例中，伴生式网络控制器负责伴生网络构建任务的控制，伴生式网络控制由网络状态同步模块、资源调度模块和安全控制模块组成，其中：网络状态同步模块负责实时采集业务网络状态，用于指导伴生网络的同步建立和资源动态调整；资源调度模块负责根据采集到的状态信息配置和管理伴生网络资源，并提供网络资源的安全隔离；安全控制模块负责根据实际业务网络与伴生网络数据控制需求建立安全转发和约束规则，保证伴生网络的活动不会影响业务网络的正常运行。

图1为根据本发明实施例的一种伴生式网络构建与共同演化方法的流程图；如图1所示，所述方法包括：

在一些实施例中，所述网络状态同步模块包括网络状态采集子模块、网络状态整合子模块和网络状态同步子模块；所述步骤S1具体包括：

具体地，网络状态同步模块实时采集业务网络状态，指导高逼真伴生网络的同步建立和资源动态调整，并通过配置和策略的同步实现业务网络和伴生网络的状态同步。网络状态采集子模块，采集包括拓扑结构、设备状态、业务应用、资源使用情况等网络状态信息，可根据需求调整信息采集粒度；网络状态整合子模块，通过整合状态感知节点上报的信息，形成全局一致的网络状态视图；网络状态同步子模块，通过设备状态、网络配置、安全策略等同步，实现业务网络与伴生网络的状态同步。

在一些实施例中，所述资源调度模块包括网络状态评估子模块、弹性资源决策子模块、网络资源调度子模块和地址空间管理子模块；所述步骤S2具体包括：

具体地，资源调度模块在共享物理资源的基础上利用虚拟化切片技术将网络资源进行抽象、整合，构建灵活重组、按需调度的业务网络和伴生网络隔离环境。资源调度模块包括网络状态评估、弹性调度决策、切片资源调度以及地址空间管理四个子模块。

网络状态评估子模块，根据网络状态同步模块获取的网络状态评估网络的状态，包括业务网络是否繁忙、网络节点重要程度和脆弱度等信息，为弹性资源决策提供支撑。

弹性资源决策子模块，根据网络状态评估的结果以及外部配置，动态调整伴生网络切片的大小，例如当业务网络繁忙时停止攻防训练保证业务网络的正常运行。

网络资源调度子模块，根据弹性调度决策要求的资源大小、隔离强度对伴生网络资源和配置进行调整，可采用多种虚拟化技术实现不同网元设备的模拟。

地址空间管理子模块，使用地址空间来区分实际业务网络和伴生网络，实际业务网络和伴生网络分别具有不同的地址空间，建立并维护设备在不同地址空间之间的映射关系。

在一些实施例中，所述安全控制模块包括行为分析子模块、状态欺骗子模块和转发决策子模块；所述步骤S3具体包括：

具体地，安全控制模块贯穿伴生网络创建及演化全过程，通过资源隔离、流量控制技术确保业务网络与伴生网络隔离的安全性，主要包含行为分析、状态欺骗和转发决策三个子模块。在攻击迁移应用场景中，行为分析子模块根据攻击流量信息记录并分析攻击行为，为流量的引导、限制和欺骗提供基础。状态欺骗子模块根据分析结果决策要如何引导流量，如何对攻击者进行欺骗。转发决策子模块配置网络节点的转发策略，限制攻击流量的转发范围，保证业务网络和伴生网络的隔离。

在一些实施例中，考虑在网络安全领域，伴生式网络架构的主要应用场景为：1.将业务网络攻击流量引导到伴生网络进行分析。传统网络发现攻击后，一般采取阻断措施，虽然保护了业务，但是无法进一步分析攻击的路径、手段和特征。通过流量重定向，将攻击流量引导到伴生网络，由于伴生网络与业务网络的隔离性，在避免业务网络攻击的同时，还能对攻击行为进行追踪分析。2.在伴生网络中利用各种手段进行大量的攻防演练，充分分析攻击行为特征，并将特征同步到业务网络，促进业务网络防御能力的演化提升。

在一些实施例中，伴生网络的构建过程包括以下步骤：

(1)网络状态同步模块对业务网络状态采集进行初始化，设置网络状态采集频率f、状态采集节点集合N＝{n₁,n₂,…,n_m}。

(2)网络状态采集子模块根据设置的采集频率f和状态采集节点集合N，向N中的节点{n_i}(i＝1,…,m)发起状态采集请求(包括拓扑关系、设备状态、业务应用、资源使用情况等)，并根据采集频率f循环监听接收业务网络状态信息。

(3)状态采集节点集合N中的节点{n_i}(i＝1,…,m)作为区域状态的汇总节点，可汇聚周围临近节点状态信息，区域汇总节点{n_i}(i＝1,…,m)可对收集到的网络状态信息进行处理，丢弃冗余信息，向网络状态整合子模块上报区域状态信息，形成节点—区域汇总—全局的多层次网络状态采集架构。

(4)网络状态整合子模块负责收集整合{n_i}(i＝1,…,m)上报的网络状态信息，通过节点、链路等拓扑信息关联等形成业务网络全局视图。

(5)在获取业务网络全局视图基础上，网络状态评估子模块对业务网络进行状态评估，如根据节点资源使用率评估网络节点是否繁忙、根据节点业务应用评估网络节点重要程度等。

(6)弹性资源决策子模块根据业务网络繁忙程度，确定业务网络和伴生网络资源分配比例，如业务网络占用80％物理网络带宽、伴生网络占用20％物理网络带宽。

(7)网络资源调度子模块根据第四步生成的业务网络全局视图和第五步确定的伴生网络资源比例，在共享物理资源的基础上利用虚拟化切片技术将网络转发、带宽等资源划分为给业务网络和伴生网络，利用虚拟机将运行与业务网络一致的伴生网络业务。

(8)地址空间管理子模块为伴生网络划分地址空间，建立并维护伴生网络和业务网络地址空间之间的映射关系，使业务网络节点、链路等元素{e}与伴生网络中的元素{e’}一一对应。

在一些实施例中，完成伴生网络构建后，在伴生网络运行过程中可进行动态资源调整，包括：

(9)重复上述(4)至(6)，实时获取并评估全局网络状态，确定业务网络和伴生网络资源分配比例，例如当业务网络繁忙时减少伴生网络资源占用比例以保证业务网络的正常运行、根据节点重要程度决定资源隔离的方法(如基于FlexE的刚性隔离切片、基于标签的软隔离方法)。

(10)网络资源调度子模块依据伴生网络分配的资源大小、隔离强度对伴生网络资源和配置进行实际调整。

在一些实施例中，伴生网络可分析大量的攻击行为，分析结果用于提升业务网络的安全防御能力，伴生式网络获取攻击流量的方式主要有蜜罐诱骗、攻击引流、攻防训练三种模式。

在一些实施例中，所述伴生网络通过蜜罐诱骗模式获取经引导的攻击流量，其中：所述攻击者从所述业务网络的地址A向所述伴生网络的地址B发送攻击流量，所述业务网络的虚拟机在接收到所述攻击流量后，调用所述转发决策子模块配置转发规则，使得所述攻击流量只能从所述伴生网络恢复所述攻击者，而不允许所述攻击流量与所述业务网络进行其他交互。

具体地，蜜罐诱骗模式：伴生网络具有高度逼真的应用和数据，可作为被攻击的目标吸引攻击者上钩，攻击者可在实际业务网络中通过端口扫描等方式主动探测到伴生网络，即伴生网络诱捕攻击，包括：

攻击者从业务网络地址A发起针对伴生网络目的地址B的攻击，交换机收到攻击流量后，将攻击连接请求发送给伴生式网络控制器，安全控制模块的行为分析子模块根据目的地址B判断跨业务网络和伴生网络的连接请求为攻击。

转发决策子模块配置交换机转发规则(A→B,pass)，将攻击流量发送至伴生网络内攻击目标B。

转发决策子模块配置转发规则(B→A,pass；B→any address∈业务网络,drop)仅允许攻击流量从伴生网络回复攻击者，而不允许其与业务网络进行其他交互。

行为分析子模块记录该攻击流量在伴生网络中访问应用及数据的行为信息，用于进一步分析攻击目的、攻击行为等。

在一些实施例中，所述伴生网络通过攻击引流模式获取经引导的攻击流量，其中：所述行为分析子模块在检测到所述攻击者要从所述业务网络的地址A发起针对所述业务网络的地址C的攻击时，调用所述状态欺骗子模块在所述伴生网络构造与所述地址C处的网络设备的相似度高于预设阈值，且地址为C’的网元设备，调用所述转发决策子模块配置转发规则，使得攻击流量从所述地址C被转发至所述地址C’，且所述攻击流量只能从所述伴生网络恢复所述攻击者，而不允许所述攻击流量与所述业务网络进行其他交互。

具体地，攻击引流模式：在业务网络中发生的攻击，可通过入侵检测发现攻击后，将攻击重定向到伴生网络，达到扰乱攻击者获得业务网络信息、延迟攻击的效果，同时可深入分析攻击进一步了解攻击行为，包括：

攻击者从业务网络地址A发起针对业务网络目的地址C的攻击，入侵检测系统发现该攻击后通知伴生式网络控制器。

状态欺骗子模块决定将该攻击引入到伴生网络以免影响业务网络，在伴生网络中营造逼真的网络环境用于诱捕攻击，如在伴生网络C’节点部署与业务网络C节点相似的网络应用和数据等。

转发决策子模块将交换机中该攻击流量的转发规则(A→C,to port C)改为(A→C,to port C’)，将该攻击流量引到伴生网络C’节点。

转发决策子模块配置转发规则(C’→A,pass；C’→any address∈业务网络,drop)仅允许攻击流量从伴生网络回复攻击者，而不允许其与业务网络进行其他交互。

在一些实施例中，所述伴生网络通过攻防训练模式实现所述共同演化，其中：在所述伴生网络中构造若干攻击样本，所述攻击样本被注入到所述伴生网络以执行攻防测试，调用所述转发决策子模块配置转发规则，使得对所述攻击样本的转发被限制在所述伴生网络内，而不能被转发至所述业务网络。

具体地，攻防训练模式：在伴生网络开展大量的攻防训练，生成大量的有效攻击，形成高强度的对抗环境，分析攻击行为和特征，并将攻击识别能力同步到业务网络中，包括：

采用各种攻击样本构造手段(如攻击特征混淆、生成对抗样本等)构造大量的攻击样本G＝{g₁,g₂,…,g_t}，利用各种自动、手动的安全测试工具，将攻击注入到伴生网络中进行攻击测试。

转发决策子模块通过配置交换机转发规则(any address∈伴生网络→anyaddress∈伴生网络,pass；any address∈伴生网络→any address∈业务网络,drop)，将产生的攻击流量限制在伴生网络内。

行为分析子模块记录该攻击流量{g_i}(i＝1,…,t)在伴生网络中访问应用及数据的行为信息，分析攻击目的和行为，采用基于机器学习、传统特征分析等方法提取{g_i}(i＝1,…,t)的攻击特征{s_i}(i＝1,…,t)。

网络状态同步子模块将提取到的攻击特征{s_i}(i＝1,…,t)同步到业务网络的特征库中，用于业务网络中攻击识别。

图2为根据本发明实施例的一种电子设备的结构图，如图2所示，电子设备包括通过系统总线连接的处理器、存储器、通信接口、显示屏和输入装置。其中，该电子设备的处理器用于提供计算和控制能力。该电子设备的存储器包括非易失性存储介质、内存储器。该非易失性存储介质存储有操作系统和计算机程序。该内存储器为非易失性存储介质中的操作系统和计算机程序的运行提供环境。该电子设备的通信接口用于与外部的终端进行有线或无线方式的通信，无线方式可通过WIFI、运营商网络、近场通信(NFC)或其他技术实现。该电子设备的显示屏可以是液晶显示屏或者电子墨水显示屏，该电子设备的输入装置可以是显示屏上覆盖的触摸层，也可以是电子设备外壳上设置的按键、轨迹球或触控板，还可以是外接的键盘、触控板或鼠标等。

本领域技术人员可以理解，图2中示出的结构，仅仅是与本公开的技术方案相关的部分的结构图，并不构成对本申请方案所应用于其上的电子设备的限定，具体的电子设备可以包括比图中所示更多或更少的部件，或者组合某些部件，或者具有不同的部件布置。

本发明提供的技术方案相对于现有技术具有以下优点：

请注意，以上实施例的各技术特征可以进行任意的组合，为使描述简洁，未对上述实施例中的各个技术特征所有可能的组合都进行描述，然而，只要这些技术特征的组合不存在矛盾，都应当认为是本说明书记载的范围。以上所述实施例仅表达了本申请的几种实施方式，其描述较为具体和详细，但并不能因此而理解为对发明专利范围的限制。应当指出的是，对于本领域的普通技术人员来说，在不脱离本申请构思的前提下，还可以做出若干变形和改进，这些都属于本申请的保护范围。因此，本申请专利的保护范围应以所附权利要求为准。

Claims

1.一种伴生式网络构建与共同演化方法，其特征在于：

所述方法包括：

2.根据权利要求1所述的一种伴生式网络构建与共同演化方法，其特征在于，所述网络状态同步模块包括网络状态采集子模块、网络状态整合子模块和网络状态同步子模块；所述步骤S1具体包括：

3.根据权利要求2所述的一种伴生式网络构建与共同演化方法，其特征在于，所述资源调度模块包括网络状态评估子模块、弹性资源决策子模块、网络资源调度子模块和地址空间管理子模块；所述步骤S2具体包括：

4.根据权利要求3所述的一种伴生式网络构建与共同演化方法，其特征在于，所述安全控制模块包括行为分析子模块、状态欺骗子模块和转发决策子模块；所述步骤S3具体包括：

5.根据权利要求4所述的一种伴生式网络构建与共同演化方法，其特征在于，所述伴生网络通过蜜罐诱骗模式获取经引导的攻击流量，其中：所述攻击者从所述业务网络的地址A向所述伴生网络的地址B发送攻击流量，所述业务网络的虚拟机在接收到所述攻击流量后，调用所述转发决策子模块配置转发规则，使得所述攻击流量只能从所述伴生网络恢复所述攻击者，而不允许所述攻击流量与所述业务网络进行其他交互。

6.根据权利要求4所述的一种伴生式网络构建与共同演化方法，其特征在于，所述伴生网络通过攻击引流模式获取经引导的攻击流量，其中：所述行为分析子模块在检测到所述攻击者要从所述业务网络的地址A发起针对所述业务网络的地址C的攻击时，调用所述状态欺骗子模块在所述伴生网络构造与所述地址C处的网络设备的相似度高于预设阈值，且地址为C’的网元设备，调用所述转发决策子模块配置转发规则，使得攻击流量从所述地址C被转发至所述地址C’，且所述攻击流量只能从所述伴生网络恢复所述攻击者，而不允许所述攻击流量与所述业务网络进行其他交互。

7.根据权利要求4所述的一种伴生式网络构建与共同演化方法，其特征在于，所述伴生网络通过攻防训练模式实现所述共同演化，其中：在所述伴生网络中构造若干攻击样本，所述攻击样本被注入到所述伴生网络以执行攻防测试，调用所述转发决策子模块配置转发规则，使得对所述攻击样本的转发被限制在所述伴生网络内，而不能被转发至所述业务网络。