CN115208678A - 一种智能网络安全防护方法、系统、设备及介质 - Google Patents

一种智能网络安全防护方法、系统、设备及介质 Download PDF

Info

Publication number
CN115208678A
CN115208678A CN202210853546.6A CN202210853546A CN115208678A CN 115208678 A CN115208678 A CN 115208678A CN 202210853546 A CN202210853546 A CN 202210853546A CN 115208678 A CN115208678 A CN 115208678A
Authority
CN
China
Prior art keywords
attack
address
malicious
data
service system
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202210853546.6A
Other languages
English (en)
Other versions
CN115208678B (zh
Inventor
黄强
运凯
任晴晴
李浩升
王庆鹏
赵梅
杨雪慧
田昊苗
曹澍
鲁学仲
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
State Grid Xinjiang Electric Power CorporationInformation & Telecommunication Co ltd
Original Assignee
State Grid Xinjiang Electric Power CorporationInformation & Telecommunication Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by State Grid Xinjiang Electric Power CorporationInformation & Telecommunication Co ltd filed Critical State Grid Xinjiang Electric Power CorporationInformation & Telecommunication Co ltd
Priority to CN202210853546.6A priority Critical patent/CN115208678B/zh
Publication of CN115208678A publication Critical patent/CN115208678A/zh
Application granted granted Critical
Publication of CN115208678B publication Critical patent/CN115208678B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/16Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks using machine learning or artificial intelligence
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1491Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02DCLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
    • Y02D30/00Reducing energy consumption in communication networks
    • Y02D30/50Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Artificial Intelligence (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Databases & Information Systems (AREA)
  • Evolutionary Computation (AREA)
  • Medical Informatics (AREA)
  • Software Systems (AREA)
  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明提出了一种智能网络安全防护方法、系统、设备及介质,涉及网络安全领域。一种智能网络安全防护方法,包括如下步骤:获取多组恶意攻击数据,每组恶意攻击数据均包括恶意攻击行为的异常数据流量、攻击源IP地址、攻击目的IP地址、攻击次数和应用防火墙;S2:多组恶意攻击数据通过机器学习训练得到攻击行为教学模型,攻击行为教学模型用于输出待检测恶意攻击行为的应用防火墙,检测业务系统的恶意攻击行为以获取异常数据流量、攻击源IP地址、攻击目的IP地址和攻击次数,并通过攻击行为教学模型得到业务系统的应用防火墙;本发明能够动态管理安全防护策略,提高了恶意攻击行为的处理效率。

Description

一种智能网络安全防护方法、系统、设备及介质
技术领域
本发明涉及网络安全领域,具体而言,涉及一种智能网络安全防护方法、系统、设备及介质。
背景技术
蜜网是在蜜罐的基础上逐渐发展起来的一种诱捕网络系统,是攻防博弈方在被动的环境中提出的一种主动防御手段。随着虚拟化技术的不断发展,动态虚拟蜜网越来越受到人们的关注,虚拟蜜网能够根据攻击者的访问行为,动态的进行蜜网的规划和组建,能够更快速的进行攻击诱骗,并且对攻击行为进行分析取证。动态虚拟蜜网的实现,离不开对业务网络的精确模拟以及流量的灵活调度。随着软件定义网络(Software DefinedNetworking,SDN)技术的不断成熟,其逻辑上分离的控制平面提供了开放的网络编程接口,这样在其控制平面上就能够动态、灵活的实现业务网络的模拟,并且进行相关流量的调度。现有技术中,蜜网系统通常包括以下几个部分:入侵检测模块、蜜网管理模块和流量管理模块。入侵检测模块对数据流进行入侵检测分析;流量管理模块将正常的数据流直接放行,进入真实的业务系统;蜜网管理模块将非正常数据流调度到蜜网系统中进行进一步的威胁分析、取证。
但是现有技术中,蜜网系统在构建时,一般只针对数据流量进行动态管理,导致恶意攻击行为处理效率低。
发明内容
本发明的目的之一在于提供一种智能网络安全防护方法,其能够根据异常数据的处理结果及时更换防火墙防护策略,实现了网络安全防护,提高防护效率。
本发明的目的之一在于提供一种智能网络安全防护系统,其能够根据异常数据的处理结果及时更换防火墙防护策略,实现了网络安全防护,提高防护效率。
本发明的目的之一在于提供一种电子设备,其能够根据异常数据的处理结果及时更换防火墙防护策略,实现了网络安全防护,提高防护效率。
本发明的目的之一在于提供一种计算机存储介质,其能够根据异常数据的处理结果及时更换防火墙防护策略,实现了网络安全防护,提高防护效率。
第一方面,本申请实施例提供一种智能网络安全防护方法,其包括如下步骤:
S1:获取多组恶意攻击数据,每组上述恶意攻击数据均包括恶意攻击行为的异常数据流量、攻击源IP地址、攻击目的IP地址、攻击次数和应用防火墙;
S2:多组上述恶意攻击数据通过机器学习训练得到攻击行为教学模型,上述攻击行为教学模型用于输出待检测上述恶意攻击行为的上述应用防火墙,检测业务系统的上述恶意攻击行为以获取上述异常数据流量、上述攻击源IP地址、上述攻击目的IP地址和上述攻击次数,并通过上述攻击行为教学模型得到上述业务系统的上述应用防火墙;
S3:调用上述应用防火墙对上述恶意攻击行为进行防护,当防护成功时将上述恶意攻击行为的上述恶意攻击数据转发到蜜罐服务系统,当防护不成功时根据上述异常数据流量查找上述恶意攻击数据中的上述攻击目的IP地址,供上述恶意攻击数据对应的上述攻击目的IP地址将更换的上述应用防火墙发送给上述业务系统。
在本发明的一些实施例中,上述步骤S2具体包括如下步骤:对上述业务系统的数据流量进行异常检测以获取上述异常数据流量,根据上述异常数据流量判断是否为恶意攻击,在认定上述待检测攻击行为是恶意攻击时,将上述待检测攻击行为的一组上述恶意攻击数据输入上述攻击行为教学模型。
在本发明的一些实施例中,上述步骤S3具体包括如下步骤:根据上述蜜罐服务系统的后端IP地址以及上述业务系统的业务IP地址配置软件定义SDN交换机,以使防护成功的上述恶意攻击数据调度到上述蜜罐服务系统;根据上述业务IP地址和上述攻击目的IP地址配置软件定义上述SDN交换机,使防护不成功的上述恶意攻击行为调度到上述攻击目的IP地址,并供上述攻击目的IP地址将更换的上述应用防火墙发送到上述业务IP地址。
在本发明的一些实施例中,上述步骤S3具体包括如下步骤:业务系统应用上述攻击目的IP地址更换的上述应用防火墙防护成功后反馈到上述攻击目的IP地址,并将防护成功的上述恶意攻击数据调度到上述蜜罐服务系统。
在本发明的一些实施例中,上述智能网络安全防护方法还包括如下步骤:上述业务系统根据上述恶意攻击行为记录攻击时间、防护时间和防护次数,当防护成功时将上述攻击时间、上述防护时间和上述防护次数转发到上述蜜罐服务系统。
在本发明的一些实施例中,上述智能网络安全防护方法还包括如下步骤:S4:获取上述蜜罐服务系统中所有上述恶意攻击行为的上述恶意攻击数据,根据上述攻击源IP地址、上述异常数据流量、攻击时间、攻击次数、防护次数和防护次数得到不同上述恶意攻击行为的攻击危险等级,步骤S3中利用上述攻击危险等级排序处理上述应用防火墙的调用。
在本发明的一些实施例中,上述智能网络安全防护方法还包括如下步骤:获取多组攻击等级数据,每组攻击等级数据均包括上述恶意攻击行为的上述攻击源IP地址、上述异常数据流量、上述攻击时间、上述攻击次数、上述防护时间和上述防护次数,多组上述攻击等级数据通过机器学习训练得到攻击等级教学模型,通过上述攻击等级教学模型输出待检测上述恶意攻击行为的上述攻击危险等级。
第二方面,本申请实施例提供一种智能网络安全防护系统,其包括:
恶意攻击采集模块:用于获取多组恶意攻击数据,每组上述恶意攻击数据均包括恶意攻击行为的异常数据流量、攻击源IP地址、攻击目的IP地址、攻击次数和应用防火墙;
攻击模型训练模块:用于将多组上述恶意攻击数据通过机器学习训练得到攻击行为教学模型,上述攻击行为教学模型用于输出待检测上述恶意攻击行为的上述应用防火墙,检测业务系统的上述恶意攻击行为以获取上述异常数据流量、上述攻击源IP地址、上述攻击目的IP地址和上述攻击次数,并通过上述攻击行为教学模型得到上述业务系统的上述应用防火墙;
防火墙调用模块:用于调用上述应用防火墙对上述恶意攻击行为进行防护,当防护成功时将上述恶意攻击行为的上述恶意攻击数据转发到蜜罐服务系统,当防护不成功时根据上述异常数据流量查找上述恶意攻击数据中的上述攻击目的IP地址,供上述恶意攻击数据对应的上述攻击目的IP地址将更换的上述应用防火墙发送给上述业务系统。
第三方面,本申请实施例提供一种电子设备,其包括:
存储器,用于存储一个或多个程序;
处理器;
当上述一个或多个程序被上述处理器执行时,实现如第一方面中任一项上述的方法。
第四方面,本申请实施例提供一种计算机可读存储介质,其上存储有计算机程序,上述计算机程序被处理器执行时实现如第一方面中任一项上述的方法。
相对于现有技术,本发明的实施例至少具有如下优点或有益效果:
第一方面,本申请实施例提供一种智能网络安全防护方法,其包括如下步骤:
S1:获取多组恶意攻击数据,每组上述恶意攻击数据均包括恶意攻击行为的异常数据流量、攻击源IP地址、攻击目的IP地址、攻击次数和应用防火墙;
S2:多组上述恶意攻击数据通过机器学习训练得到攻击行为教学模型,上述攻击行为教学模型用于输出待检测上述恶意攻击行为的上述应用防火墙,检测业务系统的上述恶意攻击行为以获取上述异常数据流量、上述攻击源IP地址、上述攻击目的IP地址和上述攻击次数,并通过上述攻击行为教学模型得到上述业务系统的上述应用防火墙;
S3:调用上述应用防火墙对上述恶意攻击行为进行防护,当防护成功时将上述恶意攻击行为的上述恶意攻击数据转发到蜜罐服务系统,当防护不成功时根据上述异常数据流量查找上述恶意攻击数据中的上述攻击目的IP地址,供上述恶意攻击数据对应的上述攻击目的IP地址将更换的上述应用防火墙发送给上述业务系统。
第二方面,本申请实施例提供一种智能网络安全防护系统,其包括:
恶意攻击采集模块:用于获取多组恶意攻击数据,每组上述恶意攻击数据均包括恶意攻击行为的异常数据流量、攻击源IP地址、攻击目的IP地址、攻击次数和应用防火墙;
攻击模型训练模块:用于将多组上述恶意攻击数据通过机器学习训练得到攻击行为教学模型,上述攻击行为教学模型用于输出待检测上述恶意攻击行为的上述应用防火墙,检测业务系统的上述恶意攻击行为以获取上述异常数据流量、上述攻击源IP地址、上述攻击目的IP地址和上述攻击次数,并通过上述攻击行为教学模型得到上述业务系统的上述应用防火墙;
防火墙调用模块:用于调用上述应用防火墙对上述恶意攻击行为进行防护,当防护成功时将上述恶意攻击行为的上述恶意攻击数据转发到蜜罐服务系统,当防护不成功时根据上述异常数据流量查找上述恶意攻击数据中的上述攻击目的IP地址,供上述恶意攻击数据对应的上述攻击目的IP地址将更换的上述应用防火墙发送给上述业务系统。
第三方面,本申请实施例提供一种电子设备,其包括:
存储器,用于存储一个或多个程序;
处理器;
当上述一个或多个程序被上述处理器执行时,实现如第一方面中任一项上述的方法。
第四方面,本申请实施例提供一种计算机可读存储介质,其上存储有计算机程序,上述计算机程序被处理器执行时实现如第一方面中任一项上述的方法。
针对第一方面~第四方面:本申请实施例通过获取多组恶意攻击数据,从而根据异常数据流量、攻击源IP地址、攻击目的IP地址、攻击次数和应用防火墙进行机器学习得到待检测恶意攻击行为的应用防火墙,通过调用应用防火墙进而快速针对不同类型的恶意攻击行为对业务系统进行防护;当应用防火墙对业务系统防护成功时,将相关数据上传到蜜罐服务系统,便于根据蜜罐技术收集攻击手段并分析系统漏洞;当防护不成功时利用恶意攻击数据获取异常数据流量对应的攻击目的IP地址,从而求助于其他被攻击IP地址,进而进一步服务于蜜罐服务系统的动态更新,加快对业务系统的防护效率;并且通过更新防护成功的恶意攻击数据,使得攻击行为教学模型同步完善,能够满足多个业务系统及时处理恶意攻击行为;通过攻击行为教学模型以及蜜罐服务系统的支持,使得解密分析过程更安全。本申请通过机器学习不断更新蜜网系统,能够根据异常数据的处理结果及时更换防火墙防护策略,实现了业务系统的防护,同时促进了恶意攻击行为的破解,提高了网络安全防护效率,满足了大量业务系统使用。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本发明的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1为本发明实施例1智能网络安全防护方法的流程示意图;
图2为本发明实施例1步骤S2~S3的配置流程示意图;
图3为本发明实施例1步骤S4的流程示意图;
图4为本发明实施例2智能网络安全防护系统的原理示意图;
图5为本发明实施例3电子设备的原理示意图。
具体实施方式
为使本申请实施例的目的、技术方案和优点更加清楚,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本申请一部分实施例,而不是全部的实施例。通常在此处附图中描述和示出的本申请实施例的组件可以以各种不同的配置来布置和设计。
因此,以下对在附图中提供的本申请的实施例的详细描述并非旨在限制要求保护的本申请的范围,而是仅仅表示本申请的选定实施例。基于本申请中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
在本申请的描述中,还需要说明的是,除非另有明确的规定和限定,术语“设置”、“连接”应做广义理解,例如,可以是固定连接,也可以是可拆卸连接,或一体地连接;可以是机械连接,也可以是电连接;可以是直接相连,也可以通过中间媒介间接相连,可以是两个元件内部的连通。对于本领域的普通技术人员而言,可以具体情况理解上述术语在本申请中的具体含义。
下面结合附图,对本申请的一些实施方式作详细说明。在不冲突的情况下,下述的各个实施例及实施例中的各个特征可以相互组合。
实施例1
请参阅图1~图3,图1~图3所示为本申请实施例提供的智能网络安全防护方法的流程示意图。智能网络安全防护方法,其包括如下步骤:
S1:获取多组恶意攻击数据,每组上述恶意攻击数据均包括恶意攻击行为的异常数据流量、攻击源IP地址、攻击目的IP地址、攻击次数和应用防火墙;
S2:多组上述恶意攻击数据通过机器学习训练得到攻击行为教学模型,上述攻击行为教学模型用于输出待检测上述恶意攻击行为的上述应用防火墙,检测业务系统的上述恶意攻击行为以获取上述异常数据流量、上述攻击源IP地址、上述攻击目的IP地址和上述攻击次数,并通过上述攻击行为教学模型得到上述业务系统的上述应用防火墙;
S3:调用上述应用防火墙对上述恶意攻击行为进行防护,当防护成功时将上述恶意攻击行为的上述恶意攻击数据转发到蜜罐服务系统,当防护不成功时根据上述异常数据流量查找上述恶意攻击数据中的上述攻击目的IP地址,供上述恶意攻击数据对应的上述攻击目的IP地址将更换的上述应用防火墙发送给上述业务系统。
详细的,多组恶意攻击数据可以直接通过记录的多种恶意攻击行为的各项数据得到,其中可以包括未验证是否能够防护成功的数据。其中,多组恶意攻击数据也可以通过防护成功的多种恶意攻击行为的各项数据采集得到。详细的,每组恶意攻击数据均包括恶意攻击行为的异常数据流量、攻击源IP地址、攻击目的IP地址、攻击次数和应用防火墙。从而针对不同攻击源IP地址向攻击目的IP地址发出的异常数据流量进行分析。其中,多组恶意攻击数据通过机器学习训练得到攻击行为教学模型,用于输出恶意攻击行为的应用防火墙。详细的,攻击行为教学模型的第一层输入为异常数据流量、攻击源IP地址和攻击目的IP地址,第二层输入为攻击次数,输出层为应用防火墙。从而根据恶意攻击行为的类型和强度分析出适合的应用防火墙。可选的,利用后端服务器实现上述数据的采集、训练和分析,并存储对应的应用防火墙以供待测业务系统的业务端所调用。业务端利用输出的应用防火墙进行安全防护,并根据防护结果将防护成功的异常数据流量上传到蜜罐服务系统,并同时记录恶意攻击数据,方便根据攻击源IP地址、业务系统的攻击目的IP地址、攻击次数和应用防火墙分析异常数据流量的攻击手段和系统漏洞。可选的,后端服务器建立蜜罐服务系统以供业务端根据攻击行为教学模型选择的应用防火墙防护成功后上传对应的恶意攻击数据。详细的,当防护失败时服务器根据攻击行为模型输出的应用防火墙追溯多组恶意攻击数据中的攻击目的IP地址,从而得到曾经被相似或相同类型的恶意攻击行为攻击的客户端。利用业务系统的业务端将防护失败的结果反馈到攻击目的IP地址的客户端,进而供客户端将应用防火墙共享给业务端,并通过服务器进行对应应用防火墙的调用,从而实现了数据保密和来源安全。
可选的,当业务系统防护成功时,将对应的恶意攻击数据上传到应用防火墙,当业务系统失败时通过攻击目的IP地址选择的应用防火墙获取调用权限。可选的,当攻击行为教学模型输出的应用防火墙为多个时,根据模型得到的异常数据流量和攻击次数的匹配度更高的应用防火墙依次进行防护。可选的,当防护失败时,且攻击行为教学模型输出的一个或多个应用防火墙所对应的攻击目的IP为多个时,可以同样根据模型输出的匹配度较高的应用防火墙依次进行选择。其中攻击行为教学模型通过匹配度标记一个或多个应用防火墙的输出结果,并且利用异常数据流量和攻击次数设置不同权重从而计算出匹配度。可选的,模型输出时可以同时标记相应一组恶意攻击数据的攻击目的IP地址,或者输出表示各组恶意攻击数据的编号,从而便于利用模型输出结果选择多组恶意攻击数据中对应的攻击目的IP地址。
在本发明的一些实施例中,上述步骤S2具体包括如下步骤:对上述业务系统的数据流量进行异常检测以获取上述异常数据流量,根据上述异常数据流量判断是否为恶意攻击,在认定上述待检测攻击行为是恶意攻击时,将上述待检测攻击行为的一组上述恶意攻击数据输入上述攻击行为教学模型。
详细的,对业务系统的数据流量进行异常检测以获取异常数据流量,从而判断所检测的异常数据是否为恶意攻击,进而完成多组恶意攻击数据的采集,进而用于实现攻击行为教学模型的训练。可选的,恶意攻击的判断方法为本领域技术的常规现有技术,或者通过被攻击方即攻击目的IP地址确认操作进行判断。
在本发明的一些实施例中,上述步骤S3具体包括如下步骤:根据上述蜜罐服务系统的后端IP地址以及上述业务系统的业务IP地址配置软件定义SDN交换机,以使防护成功的上述恶意攻击数据调度到上述蜜罐服务系统;根据上述业务IP地址和上述攻击目的IP地址配置软件定义上述SDN交换机,使防护不成功的上述恶意攻击行为调度到上述攻击目的IP地址,并供上述攻击目的IP地址将更换的上述应用防火墙发送到上述业务IP地址。
详细的,步骤S2中根据后端服务器的后端IP地址和业务端的业务IP地址配置软件定义SDN交换机,从而将防护成功的恶意攻击数据调度到蜜罐服务系统。根据业务端的业务IP地址和客户端攻击目的IP地址配置软件定义SDN交换机从而将防护不成功的恶意攻击数据调度到攻击目的IP地址。使得蜜罐服务系统与检测的业务系统一致,并且通过及时反馈到客户端,实现了多方帮助业务端进行网络安全防护,并且便于调取蜜罐服务系统中的数据进行分析处理。其中,当步骤S1~S3均通过后端服务器实现时,根据后端服务器的后端IP地址以及业务系统的业务IP地址配置软件定义SDN交换机,还可以使成功防护的恶意攻击数据存储到训练攻击行为教学模型的数据中。当中,通过后端服务器可以实现多组恶意攻击数据的采集、并应用多组恶意攻击数据训练得到攻击行为教学模型、调用防火墙对业务系统的恶意攻击行为进行防护、以及创建蜜罐服务系统等等,从而针对多个业务端的业务系统进行网络远程保护。可替换的,上述每个步骤也可以利用多个网络连接的终端实现。
在本发明的一些实施例中,上述步骤S3具体包括如下步骤:业务系统应用上述攻击目的IP地址更换的上述应用防火墙防护成功后反馈到上述攻击目的IP地址,并将防护成功的上述恶意攻击数据调度到上述蜜罐服务系统。
详细的,业务系统在利用上述应用防护墙对异常数据流量成功防护后,将业务系统防护成功信息反馈到对应的攻击目的IP地址,当防护失败时利用业务IP地址将信息反馈给当前的攻击目的IP地址。并且还可以在防护失败后重新发送给下一攻击目的IP地址进行求助。当防护成功后将业务端的恶意攻击数据调度都蜜罐服务系统进行管理。
在本发明的一些实施例中,上述智能网络安全防护方法还包括如下步骤:上述业务系统根据上述恶意攻击行为记录攻击时间、防护时间和防护次数,当防护成功时将上述攻击时间、上述防护时间和上述防护次数转发到上述蜜罐服务系统。
详细的,业务系统根据恶意攻击行为的异常数据流量记录攻击源IP地址的攻击时间、应用防火墙的防护时间和应用防火墙防护的次数,从而将攻击情况和防护情况同时进行上报,便于根据攻击频率、防护频率、防护时间与攻击时间的间隔、防火墙的类型、以及不同防火墙的防护次数分析恶意攻击行为的情况,便于分析和破解恶意攻击行为。
在本发明的一些实施例中,上述智能网络安全防护方法还包括如下步骤:S4:获取上述蜜罐服务系统中所有上述恶意攻击行为的上述恶意攻击数据,根据上述攻击源IP地址、上述异常数据流量、攻击时间、攻击次数、防护次数和防护次数得到不同上述恶意攻击行为的攻击危险等级,步骤S3中利用上述攻击危险等级排序处理上述应用防火墙的调用。
详细的,通过异常数据流量的攻击源、攻击目的、攻击情况和防护情况综合分析攻击危险等级,从而合理分配调用防火墙的任务,提高本系统的网络防护处理效率,从而应用于大规模的网络安全管理。
在本发明的一些实施例中,上述智能网络安全防护方法还包括如下步骤:获取多组攻击等级数据,每组攻击等级数据均包括上述恶意攻击行为的上述攻击源IP地址、上述异常数据流量、上述攻击时间、上述攻击次数、上述防护时间和上述防护次数,多组上述攻击等级数据通过机器学习训练得到攻击等级教学模型,通过上述攻击等级教学模型输出待检测上述恶意攻击行为的上述攻击危险等级。
详细的,通过多组恶意攻击数据、攻击时间和防护时间训练得到攻击等级教学模型,以根据不同业务系统的恶意攻击行为输出攻击危险等级,从而根据攻击危险等级排序处理,能够提高防护效果,降低恶意攻击行为对多个业务系统的危害。
实施例2
请参阅图4,图4为本申请实施例提供的智能网络安全防护系统。智能网络安全防护系统,其包括:
恶意攻击采集模块:用于获取多组恶意攻击数据,每组上述恶意攻击数据均包括恶意攻击行为的异常数据流量、攻击源IP地址、攻击目的IP地址、攻击次数和应用防火墙;
攻击模型训练模块:用于将多组上述恶意攻击数据通过机器学习训练得到攻击行为教学模型,上述攻击行为教学模型用于输出待检测上述恶意攻击行为的上述应用防火墙,检测业务系统的上述恶意攻击行为以获取上述异常数据流量、上述攻击源IP地址、上述攻击目的IP地址和上述攻击次数,并通过上述攻击行为教学模型得到上述业务系统的上述应用防火墙;
防火墙调用模块:用于调用上述应用防火墙对上述恶意攻击行为进行防护,当防护成功时将上述恶意攻击行为的上述恶意攻击数据转发到蜜罐服务系统,当防护不成功时根据上述异常数据流量查找上述恶意攻击数据中的上述攻击目的IP地址,供上述恶意攻击数据对应的上述攻击目的IP地址将更换的上述应用防火墙发送给上述业务系统。
本申请实施例与实施例1的原理相同,在此不做重复描述。可以理解,图1所示的结构仅为示意,智能网络安全防护系统还可包括比图1中所示更多或者更少的组件,或者具有与图1所示不同的配置。图1中所示的各组件可以采用硬件、软件或其组合实现。
实施例3
请参阅图5,图5为本申请实施例提供的电子设备的一种示意性结构框图。电子设备包括存储器101、处理器102和通信接口103,该存储器101、处理器102和通信接口103相互之间直接或间接地电性连接,以实现数据的传输或交互。例如,这些元件相互之间可通过一条或多条通讯总线或信号线实现电性连接。存储器101可用于存储软件程序及模块,如本申请实施例2所提供的智能网络安全防护系统对应的程序指令/模块,处理器102通过执行存储在存储器101内的软件程序及模块,从而执行各种功能应用以及数据处理。该通信接口103可用于与其他节点设备进行信令或数据的通信。
其中,存储器101可以是但不限于,随机存取存储器(Random Access Memory,RAM),只读存储器(Read Only Memory,ROM),可编程只读存储器(Programmable Read-OnlyMemory,PROM),可擦除只读存储器(Erasable Programmable Read-Only Memory,EPROM),电可擦除只读存储器(Electric Erasable Programmable Read-Only Memory,EEPROM)等。
处理器102可以是一种集成电路芯片,具有信号处理能力。该处理器102可以是通用处理器,包括中央处理器(Central Processing Unit,CPU)、网络处理器(NetworkProcessor,NP)等;还可以是数字信号处理器(Digital Signal Processing,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现场可编程门阵列(Field-Programmable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。
在本申请所提供的实施例中,应该理解到,所揭露的装置和方法,也可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的,例如,附图中的流程图和框图显示了根据本申请的多个实施例的装置、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分,上述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现方式中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个连续的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或动作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
另外,在本申请各个实施例中的各功能模块可以集成在一起形成一个独立的部分,也可以是各个模块单独存在,也可以两个或两个以上模块集成形成一个独立的部分。
所述功能如果以软件功能模块的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
综上所述,本申请实施例提供的一种智能网络安全防护方法、系统、设备及介质:
本申请实施例通过获取多组恶意攻击数据,从而根据异常数据流量、攻击源IP地址、攻击目的IP地址、攻击次数和应用防火墙进行机器学习得到待检测恶意攻击行为的应用防火墙,通过调用应用防火墙进而快速针对不同类型的恶意攻击行为对业务系统进行防护;当应用防火墙对业务系统防护成功时,将相关数据上传到蜜罐服务系统,便于根据蜜罐技术收集攻击手段并分析系统漏洞;当防护不成功时利用恶意攻击数据获取异常数据流量对应的攻击目的IP地址,从而求助于其他被攻击IP地址,进而进一步服务于蜜罐服务系统的动态更新,加快对业务系统的防护效率;并且通过更新防护成功的恶意攻击数据,使得攻击行为教学模型同步完善,能够满足多个业务系统及时处理恶意攻击行为;通过攻击行为教学模型以及蜜罐服务系统的支持,使得解密分析过程更安全。本申请通过机器学习不断更新蜜网系统,能够根据异常数据的处理结果及时更换防火墙防护策略,实现了业务系统的防护,同时促进了恶意攻击行为的破解,提高了网络安全防护效率,满足了大量业务系统使用
以上所述仅为本申请的优选实施例而已,并不用于限制本申请,对于本领域的技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本申请的保护范围之内。
对于本领域技术人员而言,显然本申请不限于上述示范性实施例的细节,而且在不背离本申请的精神或基本特征的情况下,能够以其它的具体形式实现本申请。因此,无论从哪一点来看,均应将实施例看作是示范性的,而且是非限制性的,本申请的范围由所附权利要求而不是上述说明限定,因此旨在将落在权利要求的等同要件的含义和范围内的所有变化囊括在本申请内。不应将权利要求中的任何附图标记视为限制所涉及的权利要求。

Claims (10)

1.一种智能网络安全防护方法,其特征在于,包括如下步骤:
S1:获取多组恶意攻击数据,每组所述恶意攻击数据均包括恶意攻击行为的异常数据流量、攻击源IP地址、攻击目的IP地址、攻击次数和应用防火墙;
S2:多组所述恶意攻击数据通过机器学习训练得到攻击行为教学模型,所述攻击行为教学模型用于输出待检测攻击行为的所述应用防火墙,检测业务系统的所述恶意攻击行为以获取所述异常数据流量、所述攻击源IP地址、所述攻击目的IP地址和所述攻击次数,并通过所述攻击行为教学模型得到所述业务系统的所述应用防火墙;
S3:调用所述应用防火墙对所述恶意攻击行为进行防护,当防护成功时将所述恶意攻击行为的所述恶意攻击数据转发到蜜罐服务系统,当防护不成功时根据所述异常数据流量查找所述恶意攻击数据中的所述攻击目的IP地址,供所述恶意攻击数据对应的所述攻击目的IP地址将更换的所述应用防火墙发送给所述业务系统。
2.如权利要求1所述的一种智能网络安全防护方法,其特征在于,步骤S2具体包括如下步骤:对所述业务系统的数据流量进行异常检测以获取所述异常数据流量,根据所述异常数据流量判断是否为恶意攻击,在认定所述待检测攻击行为是恶意攻击时,将所述待检测攻击行为的一组所述恶意攻击数据输入所述攻击行为教学模型。
3.如权利要求1所述的一种智能网络安全防护方法,其特征在于,步骤S3具体包括如下步骤:根据所述蜜罐服务系统的后端IP地址以及所述业务系统的业务IP地址配置软件定义SDN交换机,以使防护成功的所述恶意攻击数据调度到所述蜜罐服务系统;根据所述业务IP地址和所述攻击目的IP地址配置软件定义所述SDN交换机,使防护不成功的所述恶意攻击行为调度到所述攻击目的IP地址,并供所述攻击目的IP地址将更换的所述应用防火墙发送到所述业务IP地址。
4.如权利要求1所述的一种智能网络安全防护方法,其特征在于,步骤S3具体包括如下步骤:业务系统应用所述攻击目的IP地址更换的所述应用防火墙防护成功后反馈到所述攻击目的IP地址,并将防护成功的所述恶意攻击数据调度到所述蜜罐服务系统。
5.如权利要求1所述的一种智能网络安全防护方法,其特征在于,还包括如下步骤:所述业务系统根据所述恶意攻击行为记录攻击时间、防护时间和防护次数,当防护成功时将所述攻击时间、所述防护时间和所述防护次数转发到所述蜜罐服务系统。
6.如权利要求5所述的一种智能网络安全防护方法,其特征在于,还包括如下步骤:S4:获取所述蜜罐服务系统中所有所述恶意攻击行为的所述恶意攻击数据,根据所述攻击源IP地址、所述异常数据流量、攻击时间、攻击次数、防护次数和防护次数得到不同所述恶意攻击行为的攻击危险等级,步骤S3中利用所述攻击危险等级排序处理所述应用防火墙的调用。
7.如权利要求6所述的一种智能网络安全防护方法,其特征在于,还包括如下步骤:获取多组攻击等级数据,每组攻击等级数据均包括所述恶意攻击行为的所述攻击源IP地址、所述异常数据流量、所述攻击时间、所述攻击次数、所述防护时间和所述防护次数,多组所述攻击等级数据通过机器学习训练得到攻击等级教学模型,通过所述攻击等级教学模型输出待检测攻击行为的所述攻击危险等级。
8.一种智能网络安全防护系统,其特征在于,包括:
恶意攻击采集模块:用于获取多组恶意攻击数据,每组所述恶意攻击数据均包括恶意攻击行为的异常数据流量、攻击源IP地址、攻击目的IP地址、攻击次数和应用防火墙;
攻击模型训练模块:用于将多组所述恶意攻击数据通过机器学习训练得到攻击行为教学模型,所述攻击行为教学模型用于输出待检测攻击行为的所述应用防火墙,检测业务系统的所述恶意攻击行为以获取所述异常数据流量、所述攻击源IP地址、所述攻击目的IP地址和所述攻击次数,并通过所述攻击行为教学模型得到所述业务系统的所述应用防火墙;
防火墙调用模块:用于调用所述应用防火墙对所述恶意攻击行为进行防护,当防护成功时将所述恶意攻击行为的所述恶意攻击数据转发到蜜罐服务系统,当防护不成功时根据所述异常数据流量查找所述恶意攻击数据中的所述攻击目的IP地址,供所述恶意攻击数据对应的所述攻击目的IP地址将更换的所述应用防火墙发送给所述业务系统。
9.一种电子设备,其特征在于,包括:
存储器,用于存储一个或多个程序;
处理器;
当所述一个或多个程序被所述处理器执行时,实现如权利要求1-7中任一项所述的方法。
10.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1-7中任一项所述的方法。
CN202210853546.6A 2022-07-09 2022-07-09 一种智能网络安全防护方法、系统、设备及介质 Active CN115208678B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210853546.6A CN115208678B (zh) 2022-07-09 2022-07-09 一种智能网络安全防护方法、系统、设备及介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210853546.6A CN115208678B (zh) 2022-07-09 2022-07-09 一种智能网络安全防护方法、系统、设备及介质

Publications (2)

Publication Number Publication Date
CN115208678A true CN115208678A (zh) 2022-10-18
CN115208678B CN115208678B (zh) 2023-08-11

Family

ID=83582871

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210853546.6A Active CN115208678B (zh) 2022-07-09 2022-07-09 一种智能网络安全防护方法、系统、设备及介质

Country Status (1)

Country Link
CN (1) CN115208678B (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115913785A (zh) * 2023-01-09 2023-04-04 北京微步在线科技有限公司 一种多防火墙的联动方法及设备

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103139184A (zh) * 2011-12-02 2013-06-05 中国电信股份有限公司 智能网络防火墙设备及网络攻击防护方法
CN106713358A (zh) * 2017-02-04 2017-05-24 国家电网公司信息通信分公司 一种攻击性检测方法及装置
CN109510803A (zh) * 2017-09-15 2019-03-22 中国联合网络通信集团有限公司 一种调整防火墙防护策略的方法及设备
US20190253386A1 (en) * 2018-02-13 2019-08-15 Palo Alto Networks, Inc. Transport layer signaling security with next generation firewall
WO2021150379A1 (en) * 2020-01-22 2021-07-29 Siemens Industry, Inc. Real-time and independent cyber-attack monitoring and automatic cyber-attack response system
US20210344644A1 (en) * 2020-04-29 2021-11-04 International Business Machines Corporation Dynamically managing firewall ports of an enterprise network
CN114666101A (zh) * 2022-03-01 2022-06-24 国网新疆电力有限公司信息通信公司 一种攻击溯源检测系统、方法、设备及介质

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103139184A (zh) * 2011-12-02 2013-06-05 中国电信股份有限公司 智能网络防火墙设备及网络攻击防护方法
CN106713358A (zh) * 2017-02-04 2017-05-24 国家电网公司信息通信分公司 一种攻击性检测方法及装置
CN109510803A (zh) * 2017-09-15 2019-03-22 中国联合网络通信集团有限公司 一种调整防火墙防护策略的方法及设备
US20190253386A1 (en) * 2018-02-13 2019-08-15 Palo Alto Networks, Inc. Transport layer signaling security with next generation firewall
WO2021150379A1 (en) * 2020-01-22 2021-07-29 Siemens Industry, Inc. Real-time and independent cyber-attack monitoring and automatic cyber-attack response system
US20210344644A1 (en) * 2020-04-29 2021-11-04 International Business Machines Corporation Dynamically managing firewall ports of an enterprise network
CN114666101A (zh) * 2022-03-01 2022-06-24 国网新疆电力有限公司信息通信公司 一种攻击溯源检测系统、方法、设备及介质

Non-Patent Citations (3)

* Cited by examiner, † Cited by third party
Title
周安娜;: "应用防火墙应用与研究", 科技广场, no. 07 *
夏威;: "主动的网络安全防御技术――蜜网技术", 职大学报, no. 02 *
王铁方;李云文;叶宝生;杨屹;律原;诸立尚;: "一种基于蜜网的网络安全防御技术", 计算机应用研究, no. 08 *

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115913785A (zh) * 2023-01-09 2023-04-04 北京微步在线科技有限公司 一种多防火墙的联动方法及设备

Also Published As

Publication number Publication date
CN115208678B (zh) 2023-08-11

Similar Documents

Publication Publication Date Title
Sharafaldin et al. A detailed analysis of the cicids2017 data set
CN109314698B (zh) 保护计算机网络与系统的抢占式响应安全系统
Gharib et al. An evaluation framework for intrusion detection dataset
Vidal et al. Adaptive artificial immune networks for mitigating DoS flooding attacks
CN110381045A (zh) 攻击操作的处理方法和装置、存储介质及电子装置
US8015604B1 (en) Hierarchical architecture in a network security system
CN106295328A (zh) 文件检测方法、装置及系统
Priyadarshini Features and architecture of the modern cyber range: a qualitative analysis and survey
KR101534194B1 (ko) 침입자 행동패턴을 반영한 사이버보안 교육훈련시스템 및 방법
CN106131023A (zh) 一种信息安全风险强力识别系统
US20200184847A1 (en) A system and method for on-premise cyber training
CN104363240A (zh) 基于信息流行为合法性检测的未知威胁的综合检测方法
US20220353290A1 (en) Threat mitigation system and method
CN115208678B (zh) 一种智能网络安全防护方法、系统、设备及介质
US9027120B1 (en) Hierarchical architecture in a network security system
CN114666101A (zh) 一种攻击溯源检测系统、方法、设备及介质
EP3278536B1 (en) Network control with central analysis of network-data
CN112751861A (zh) 一种基于密网和网络大数据的恶意邮件检测方法及系统
Marchetti et al. Peer-to-peer architecture for collaborative intrusion and malware detection on a large scale
JP2018098727A (ja) サービスシステム、通信プログラム、及び通信方法
CN108881255B (zh) 一种基于c&c通信状态转换检测僵尸网络的方法
Wang et al. Infection categorization using deep autoencoder
Silva et al. A cooperative approach with improved performance for a global intrusion detection systems for internet service providers
Tolle et al. Impact of sanitized message flows in a cooperative intrusion warning system
CN114285660B (zh) 蜜网部署方法、装置、设备及介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant