CN115632891B - 一种面向主动安全防御技术的对抗模型设计方法及装置 - Google Patents

一种面向主动安全防御技术的对抗模型设计方法及装置 Download PDF

Info

Publication number
CN115632891B
CN115632891B CN202211660008.1A CN202211660008A CN115632891B CN 115632891 B CN115632891 B CN 115632891B CN 202211660008 A CN202211660008 A CN 202211660008A CN 115632891 B CN115632891 B CN 115632891B
Authority
CN
China
Prior art keywords
target node
defense
address
strategy
resource
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202211660008.1A
Other languages
English (en)
Other versions
CN115632891A (zh
Inventor
杨贻宏
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Shanghai Feiqi Network Technology Co ltd
Original Assignee
Shanghai Feiqi Network Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Shanghai Feiqi Network Technology Co ltd filed Critical Shanghai Feiqi Network Technology Co ltd
Priority to CN202211660008.1A priority Critical patent/CN115632891B/zh
Publication of CN115632891A publication Critical patent/CN115632891A/zh
Application granted granted Critical
Publication of CN115632891B publication Critical patent/CN115632891B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明的实施例提供一种面向主动安全防御技术的对抗模型设计方法及装置。方法包括:获取攻击者在预设时间段内控制目标节点需要付出的资源开销和从所述目标节点获取到的资源收益;根据所述资源开销和资源收益,生成至少一种防御策略,所述防御策略是每个目标节点的地址跳变的时间集合,所述时间集合包括:每个目标节点的每次地址跳变获取的虚假地址持续时间。本发明的方案为操作系统提供安全可信的运行环境。

Description

一种面向主动安全防御技术的对抗模型设计方法及装置
技术领域
本发明涉及计算机网络安全技术领域,特别是指一种面向主动安全防御技术的对抗模型设计方法及装置。
背景技术
随着信息化高速发展,云计算、大数据、搜索引擎、智能手机、网络购物、在线社交等新兴科技产物已走进千家万户,给人类带来方便的同时,也给人类的信息带来安全隐患,网络安全已成为影响人类社会发展的问题。随着信息系统复杂度的增大以及攻击手段的不断演进,传统静态网络防护手段已难以满足网络空间安全需求。
发明内容
本发明提供了一种面向主动安全防御技术的对抗模型设计方法及装置,将对抗思想引入至智能主动网络防御的设计之中,以此优化防御代价、指导策略选取、丰富动态化属性,提升智能主动安全防御的效能,为操作系统提供安全可信的运行环境。
为解决上述技术问题,本发明的实施例提供以下方案:
一种面向主动安全防御技术的对抗模型设计方法,应用于目标节点,所述方法包括:
获取攻击者在预设时间段内控制目标节点需要付出的资源开销和从所述目标节点获取到的资源收益;
根据所述资源开销和资源收益,生成应用于内核态的至少一种防御策略,所述防御策略是确定每个目标节点的地址跳变的时间集合,所述时间集合包括:每个目标节点的每次地址跳变获取的虚假地址持续时间;
所述防御策略包括以下至少一种:最优动态机制;多样性动态化策略;地址协同动态机制;
其中,所述多样性动态化策略包括:
根据所述防御策略,在不同时间进行地址跳变和/或虚拟地址变换空间进行变换;所述时间的收益由随机因子决定;
其中,所述地址协同动态机制包括:
基于软件定义L2/L3层地址协同网络架构,对所述目标节点的主机进行透明的IP与MAC同步跳变。
可选的,面向主动安全防御技术的对抗模型设计方法,还包括:
根据所述目标节点的网络属性参数,对所述目标节点的至少一种防御策略进行动态化切换。
可选的,所述网络属性参数包括以下至少一项:所述目标节点的IP地址、媒体访问控制MAC、服务端口、服务类型、拓扑以及路由。
可选的,所述至少一种防御策略满足以下条件:
Figure 100002_DEST_PATH_IMAGE001
表示使用不同的防御策略的目标节点的类型,先验分布
Figure 480740DEST_PATH_IMAGE002
,
Figure 100002_DEST_PATH_IMAGE003
为防御者为
Figure 194618DEST_PATH_IMAGE004
类型的概率,满足
Figure 100002_DEST_PATH_IMAGE005
,0<
Figure 505513DEST_PATH_IMAGE006
可选的,面向主动安全防御技术的对抗模型设计方法,还包括:
在所述目标节点的连续收益空间
Figure 100002_DEST_PATH_IMAGE007
上定义一个与所述目标节点类型
Figure 697460DEST_PATH_IMAGE004
相关的收益的分布函数
Figure 777412DEST_PATH_IMAGE008
,在时间段t内,
Figure 865454DEST_PATH_IMAGE004
取定值,所述目标节点的收益实现由作用于
Figure 100002_DEST_PATH_IMAGE009
的函数
Figure 929225DEST_PATH_IMAGE008
决定,所述目标节点防御者的收益分布函数
Figure 659283DEST_PATH_IMAGE010
为攻防双方的共同知识,
Figure 100002_DEST_PATH_IMAGE011
表示时间段t内,目标节点d的最小收益为v,
Figure 859320DEST_PATH_IMAGE012
为表示时间段t内,目标节点d的最大收益为u。
本发明的实施例还提供一种面向主动安全防御技术的对抗模型设计装置,包括:
获取模块,用于获取攻击者在预设时间段内控制目标节点需要付出的资源开销和从所述目标节点获取到的资源收益;
处理模块,用于根据所述资源开销和资源收益,生成应用于内核态的至少一种防御策略,所述防御策略是确定每个目标节点的地址跳变的时间集合,所述时间集合包括:每个目标节点的每次地址跳变获取的虚假地址持续时间;
所述防御策略包括以下至少一种:最优动态机制;多样性动态化策略;地址协同动态机制;
其中,所述多样性动态化策略包括:
根据所述防御策略,在不同时间进行地址跳变和/或虚拟地址变换空间进行变换;所述时间的收益由随机因子决定;
其中,所述地址协同动态机制包括:
基于软件定义L2/L3层地址协同网络架构,对所述目标节点的主机进行透明的IP与MAC同步跳变。
本发明的实施例还提供一种计算设备,包括处理器,存储器及存储在所述存储器上并可在所述处理器上运行的程序或指令,所述程序或指令被所述处理器执行时实现如上所述的方法的步骤。
本发明的实施例还提供一种计算机可读存储介质,存储指令,当所述指令在计算机上运行时,使得计算机执行如上所述的方法。
本发明的上述方案至少包括以下有益效果:
本发明的上述方案,通过获取攻击者在预设时间段T内控制目标节点需要付出的资源开销和从所述目标节点获取到的资源收益;根据所述资源开销和资源收益,生成至少一种防御策略,所述防御策略是每个目标节点的地址跳变的时间集合,所述时间集合包括:每个目标节点的每次地址跳变获取的虚假地址持续时间。对单一属性动态化防御的代价优化收益,从而达到提升动态网络防御收益和降低动态防御开销成本的目的;进一步地,多样性防御策略混合切换机制,通过对抗模型将防御者的欺骗行为形式化,推测两类攻击者对防御者类型的预测行为,为构建多样性动态化系统提供了一种普适性的评估、设计模型与策略计算方法;进一步地,基于软件定义架构,通过在控制器层面处理DNS、DHCP、ARP等协议,改进ARP处理机制、地址隐藏方法和消息处理机制等,实现了对用户透明L2/L3地址协同动态机制,可有效提升针对网络侦察攻击的对抗能力,实现了从内核态和用户态两个层面,为操作系统提供安全可信的运行环境,提升动态网络防御收益和降低动态防御开销成本。
附图说明
图1为本发明实施例的面向主动安全防御技术的对抗模型设计方法的流程示意图;
图2为本发明实施例的防御策略切换的示意图;
图3为本发明实施例的面向主动安全防御技术的对抗模型设计系统架构示意图;
图4为本发明实施例的面向主动安全防御技术的对抗模型设计装置的模块结构示意图。
具体实施方式
下面将参照附图更详细地描述本发明的示例性实施例。虽然附图中显示了本发明的示例性实施例,然而应当理解,可以以各种形式实现本发明而不应被这里阐述的实施例所限制。相反,提供这些实施例是为了能够更透彻地理解本发明,并且能够将本发明的范围完整的传达给本领域的技术人员。
如图1所示,本发明提供一种面向主动安全防御技术的对抗模型设计方法,应用于目标节点,所述方法包括:
步骤11,获取攻击者在预设时间段T内控制目标节点需要付出的资源开销和从所述目标节点获取到的资源收益;
步骤12,根据所述资源开销和资源收益,生成应用于内核态的至少一种防御策略,所述防御策略是确定每个目标节点的地址跳变的时间集合,所述时间集合包括:每个目标节点的每次地址跳变获取的虚假地址持续时间;
所述防御策略包括以下至少一种:最优动态机制;多样性动态化策略;地址协同动态机制;
其中,所述多样性动态化策略包括:
根据所述防御策略,在不同时间进行地址跳变和/或虚拟地址变换空间进行变换;所述时间的收益由随机因子决定;
其中,所述地址协同动态机制包括:
基于软件定义L2/L3层地址协同网络架构,对所述目标节点的主机进行透明的IP与MAC同步跳变。
该实施例中,面向网络攻击的对抗是防御者和攻击者之间的一个基于连续时间的二人对抗模型。对抗双方在有限预设时间段T内,关于N(T)个独立节点(真实终端)在任意时刻选取行动(攻击或地址跳变),每次行动都要付出一定的开销。
具体对抗模型为:在任意时刻t1,节点都在t1之前最后占领该节点的一方的控制下。其中,攻击者对节点的“控制”意为通过侦察发现节点后的一系列攻击操作。攻击者控制节点
Figure DEST_PATH_IMAGE013
时,每单位时间从节点
Figure 649422DEST_PATH_IMAGE013
获得的收益为
Figure 669330DEST_PATH_IMAGE014
,攻击者每次攻击节点
Figure 937501DEST_PATH_IMAGE013
的开销为
Figure DEST_PATH_IMAGE015
,攻击从侦察开始到发现该节点需要一段随机的时间
Figure 992044DEST_PATH_IMAGE016
防御者每次执行地址跳变的行动时,即使节点
Figure 953047DEST_PATH_IMAGE013
处于被攻击状态,节点
Figure 1
也会立即恢复(目的地址更改后,攻击者需要重新与目标节点建立连接,攻击状态终止),其防御行动的开销为
Figure 725831DEST_PATH_IMAGE018
Figure 266534DEST_PATH_IMAGE014
Figure 2
的分布等均是对抗双方的共同知识(Common Knowledge)。不失一般性地,假设t=0时刻所有节点都开启地址跳变。
Figure 706742DEST_PATH_IMAGE020
表示攻击者在节点
Figure 307488DEST_PATH_IMAGE013
第k次地址跳变后发起攻击的等待时间,
Figure 301989DEST_PATH_IMAGE020
是一个随机变量。攻击者的策略是确定行动集合
Figure DEST_PATH_IMAGE021
由于每个节点均是独立的,不失一般性,
Figure 177541DEST_PATH_IMAGE020
关于j相互独立。然而,攻击者可能采取与时间相关的攻击策略,
Figure 941098DEST_PATH_IMAGE020
关于k不一定独立。
防御者的策略是确定各个节点每次地址跳变的时间
Figure 978324DEST_PATH_IMAGE022
Figure DEST_PATH_IMAGE023
表示节点
Figure 725700DEST_PATH_IMAGE013
的第k次地址跳变获取的虚假地址持续时间;另外,需要说明的是,防御策略是应用于内核态的,防御策略包括以下至少一种:最优动态机制;多样性动态化策略;地址协同动态机制;通过最优动态机制的防御策略着眼单一属性动态化研究策略方法,以期增强单一属性动态化的收益效率;
通过多样性动态化策略可以对目标节点进行网络属性的动态化,来切断攻击者与系统中的目标主机的持续连接;例如,在部署地址跳变的系统中,不同时间的地址跳变频率与虚拟地址变换空间都是可变的;
通过地址协同动态机制可以破坏攻击链和迷惑攻击者;具体的,在TCP/IP网络架构下,L2/L3地址即是网络元素在网络中的身份标识,其也为L4~L7服务提供地址服务的关联性。MAC地址是标识TCP/IP协议中L2层的关键网络属性。当前MAC地址随机化主要在操作系统层面实现,且常用于无线网络的安全中,以防止攻击者基于MAC地址跟踪设备。本实施例中,基于软件定义网络架构,采用跳变机制与多样性动态化策略来指导动态化机制的设计,对系统中的主机实现透明的IP与MAC同步跳变。通过控制器修改会话中的地址信息,实现L2/L3地址的协同动态变化。
本发明的一可选的实施例中,面向主动安全防御技术的对抗模型设计方法,还可以包括:
步骤13,根据所述目标节点的网络属性参数,对所述目标节点的至少一种防御策略进行动态化切换。
可选的,所述网络属性参数包括以下至少一项:所述目标节点的IP、MAC、服务端口、服务类型、拓扑以及路由。
该实施例中,攻击者要确定内网中的攻击目标节点,通常需要多个维度的参数来标记一个目标节点。对于某个具体的网络系统,这些参数包括IP地址、媒体访问控制MAC、服务端口、服务类型、拓扑、路由等,动态网络防御对抗模型旨在形式化动态防御策略切换更新所带来的迷惑欺骗能力。
如图2所示,在动态网络防御对抗模型中,攻击者的混合策略是以概率攻击目标i,定义为
Figure 873785DEST_PATH_IMAGE024
Figure DEST_PATH_IMAGE025
另外,理性的防御者考虑纯策略,即防护一个确定的目标t,攻击者试图分配有限的攻击资源K≤N来探测并攻击系统中一系列的重要目标N={1,2,…,N}。
另一方面,防御者尝试对这些目标进行网络属性的动态化,来切断攻击者与系统中的目标主机的持续连接。在部署动态网络防御的系统下,防御者可以采用多种动态网络防御策略。
该实施例中,例如,对于某一套参数,可对应一套防御策略,在某一时刻,若发现参数发生改变,则切换到与该套参数对应的防御策略。
本发明的一可选的实施例中,所述至少一种防御策略满足以下条件:
Figure 23006DEST_PATH_IMAGE026
表示使用不同的防御策略的目标节点的类型,先验分布
Figure 231134DEST_PATH_IMAGE002
,
Figure 934647DEST_PATH_IMAGE003
为防御者为
Figure 620844DEST_PATH_IMAGE004
类型的概率,满足
Figure 624572DEST_PATH_IMAGE005
,0<
Figure 3600DEST_PATH_IMAGE006
该实施例中,定义
Figure 194410DEST_PATH_IMAGE026
表示使用不同的策略的防御者类型,其先验分布
Figure 684298DEST_PATH_IMAGE002
,
Figure 276953DEST_PATH_IMAGE003
为防御者为
Figure 826883DEST_PATH_IMAGE004
类型的概率,满足
Figure 504989DEST_PATH_IMAGE005
,0<
Figure 798567DEST_PATH_IMAGE006
每次攻防对抗开始时,防御者有关于自己的类型
Figure 245729DEST_PATH_IMAGE004
的知识,攻击者只有防御者类型的先验分布P的知识,并不知道每次对抗者的具体类型值。
在不同的时间内,防御者可能会采用不同的动态网络防御策略,这使得防御者各时间的收益组合
Figure DEST_PATH_IMAGE027
是由一个随机因子决定的。
本发明的一可选的实施例中,面向主动安全防御技术的对抗模型设计方法,还可以包括:
步骤15,在所述目标节点的连续收益空间
Figure 232139DEST_PATH_IMAGE007
上定义一个与所述目标节点类型
Figure 397542DEST_PATH_IMAGE004
相关的收益的分布函数
Figure 229231DEST_PATH_IMAGE008
,在时间段t内,
Figure 62058DEST_PATH_IMAGE004
取定值,所述目标节点的收益实现由作用于
Figure 688212DEST_PATH_IMAGE009
的函数
Figure 340910DEST_PATH_IMAGE008
决定,所述目标节点防御者的收益分布函数
Figure 241870DEST_PATH_IMAGE010
为攻防双方的共同知识,
Figure 398045DEST_PATH_IMAGE011
表示时间段t内,目标节点d的最小收益为v,
Figure 460678DEST_PATH_IMAGE012
为表示时间段t内,目标节点d的最大收益为u。
该实施例中,在防御者的连续收益空间
Figure 600673DEST_PATH_IMAGE007
上定义一个与防御者类型
Figure 39744DEST_PATH_IMAGE004
相关的收益的分布函数
Figure 316005DEST_PATH_IMAGE008
,其中,分布函数
Figure 815119DEST_PATH_IMAGE008
优选为
Figure 188549DEST_PATH_IMAGE028
Figure DEST_PATH_IMAGE029
。在某个具体的时间段t内,
Figure 962470DEST_PATH_IMAGE004
取定值,防御者的收益实现由作用于
Figure 93237DEST_PATH_IMAGE009
的函数
Figure 763253DEST_PATH_IMAGE008
决定。防御者的收益分布函数
Figure 612260DEST_PATH_IMAGE010
为攻防双方的共同知识。在动态网络防御对抗模型中,每个时间段t内,防御者在该时段开始时便知道其自身的收益实现,而攻击者任意时间均无从获知防御者的收益实现。
如图3所示,本发明的上述实施例在内核态通过基于目标侦察的网络攻击行为进行攻防双方的对抗建模,提供周期性动态策略来指导单一属性的动态化,并基于该对抗模型给出具体参数网络环境下的最优防御策略。相较于防御者采取无策略的随机动态化方法,该方法具有更好的防御收益与更低的成本开销。
同时,将欺骗思想引入防御的多策略混合切换机制设计,通过对抗模型将防御者的欺骗行为形式化,推测两类攻击者对防御者类型的预测行为,为构建多样性动态化系统提供了一种普适性的评估、设计模型与策略计算方法。
另外,基于软件定义架构,通过在控制器层面处理DNS、DHCP、ARP等协议,改进ARP处理机制、地址隐藏方法和消息处理机制等,实现了对用户透明L2/L3地址协同动态机制,可有效提升针对网络侦察攻击的对抗能力。为用户态实现智能主动安全防御运行环境,为操作系统提供安全可信的运行环境,提升动态网络防御收益和降低动态防御开销成本。
如图4所示,本发明的实施例还提供一种面向主动安全防御技术的对抗模型设计装置40,包括:
获取模块41,用于获取攻击者在预设时间段内控制目标节点需要付出的资源开销和从所述目标节点获取到的资源收益;
处理模块42,用于根据所述资源开销和资源收益,生成应用于内核态的至少一种防御策略,所述防御策略是确定每个目标节点的地址跳变的时间集合,所述时间集合包括:每个目标节点的每次地址跳变获取的虚假地址持续时间;
所述防御策略包括以下至少一种:最优动态机制;多样性动态化策略;地址协同动态机制;
其中,所述多样性动态化策略包括:
根据所述防御策略,在不同时间进行地址跳变和/或虚拟地址变换空间进行变换;所述时间的收益由随机因子决定;
其中,所述地址协同动态机制包括:
基于软件定义L2/L3层地址协同网络架构,对所述目标节点的主机进行透明的IP与MAC同步跳变。
可选的,处理模块42还用于:根据所述目标节点的网络属性参数,对所述目标节点的至少一种防御策略进行动态化切换。
可选的,所述网络属性参数包括以下至少一项:所述目标节点的IP地址、媒体访问控制MAC、服务端口、服务类型、拓扑以及路由。
可选的,所述至少一种防御策略满足以下条件:
Figure 127555DEST_PATH_IMAGE001
表示使用不同的防御策略的目标节点的类型,先验分布
Figure 378408DEST_PATH_IMAGE002
,
Figure 219325DEST_PATH_IMAGE003
为防御者为
Figure 555629DEST_PATH_IMAGE004
类型的概率,满足
Figure 140194DEST_PATH_IMAGE005
,0<
Figure 245553DEST_PATH_IMAGE006
可选的,处理模块42还用于:在所述目标节点的连续收益空间
Figure 991792DEST_PATH_IMAGE007
上定义一个与所述目标节点类型
Figure 815392DEST_PATH_IMAGE004
相关的收益的分布函数
Figure 938068DEST_PATH_IMAGE008
,在时间段t内,
Figure 897934DEST_PATH_IMAGE004
取定值,所述目标节点的收益实现由作用于
Figure 80654DEST_PATH_IMAGE009
的函数
Figure 391549DEST_PATH_IMAGE008
决定,所述目标节点防御者的收益分布函数
Figure 52338DEST_PATH_IMAGE010
为攻防双方的共同知识,
Figure 132289DEST_PATH_IMAGE011
表示时间段t内,目标节点d的最小收益为v,
Figure 485910DEST_PATH_IMAGE012
为表示时间段t内,目标节点d的最大收益为u。
需要说明的是,该装置是与上述方法对应的装置,上述方法实施例中的所有实现方式均适用于该装置的实施例中,也能达到相同的技术效果。
本发明的实施例还提供一种计算设备,包括处理器,存储器及存储在所述存储器上并可在所述处理器上运行的程序或指令,所述程序或指令被所述处理器执行时实现如上述的方法的步骤。上述方法实施例中的所有实现方式均适用于该计算设备的实施例中,也能达到相同的技术效果。
本发明的实施例还提供一种计算机可读存储介质,存储有指令,所述指令在计算机上运行时,使得计算机执行如上所述的方法。上述方法实施例中的所有实现方式均适用于该计算机可读存储介质的实施例中,也能达到相同的技术效果。
本领域普通技术人员可以意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本发明的范围。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统、装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在本发明所提供的实施例中,应该理解到,所揭露的装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。
所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
此外,需要指出的是,在本发明的装置和方法中,显然,各部件或各步骤是可以分解和/或重新组合的。这些分解和/或重新组合应视为本发明的等效方案。并且,执行上述系列处理的步骤可以自然地按照说明的顺序按时间顺序执行,但是并不需要一定按照时间顺序执行,某些步骤可以并行或彼此独立地执行。对本领域的普通技术人员而言,能够理解本发明的方法和装置的全部或者任何步骤或者部件,可以在任何计算装置(包括处理器、存储介质等)或者计算装置的网络中,以硬件、固件、软件或者它们的组合加以实现,这是本领域普通技术人员在阅读了本发明的说明的情况下运用他们的基本编程技能就能实现的。
因此,本发明的目的还可以通过在任何计算装置上运行一个程序或者一组程序来实现。所述计算装置可以是公知的通用装置。因此,本发明的目的也可以仅仅通过提供包含实现所述方法或者装置的程序代码的程序产品来实现。也就是说,这样的程序产品也构成本发明,并且存储有这样的程序产品的存储介质也构成本发明。显然,所述存储介质可以是任何公知的存储介质或者将来所开发出来的任何存储介质。还需要指出的是,在本发明的装置和方法中,显然,各部件或各步骤是可以分解和/或重新组合的。这些分解和/或重新组合应视为本发明的等效方案。并且,执行上述系列处理的步骤可以自然地按照说明的顺序按时间顺序执行,但是并不需要一定按照时间顺序执行。某些步骤可以并行或彼此独立地执行。
以上所述是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明所述原理的前提下,还可以作出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。

Claims (8)

1.一种面向主动安全防御技术的对抗模型设计方法,其特征在于,应用于目标节点,所述方法包括:
获取攻击者在预设时间段内控制目标节点需要付出的资源开销和从所述目标节点获取到的资源收益;
根据所述资源开销和资源收益,生成应用于内核态的至少一种防御策略,所述防御策略是确定每个目标节点的地址跳变的时间集合,所述时间集合包括:每个目标节点的每次地址跳变获取的虚假地址持续时间;
所述防御策略包括以下至少一种:最优动态机制;多样性动态化策略;地址协同动态机制;
其中,所述多样性动态化策略包括:
根据所述防御策略,在不同时间进行地址跳变和/或虚拟地址变换空间进行变换;所述时间的收益由随机因子决定;
其中,所述地址协同动态机制包括:
基于软件定义L2/L3层地址协同网络架构,对所述目标节点的主机进行透明的IP与MAC同步跳变。
2.根据权利要求1所述的面向主动安全防御技术的对抗模型设计方法,其特征在于,还包括:
根据所述目标节点的网络属性参数,对所述目标节点的至少一种防御策略进行动态化切换。
3.根据权利要求2所述的面向主动安全防御技术的对抗模型设计方法,其特征在于,所述网络属性参数包括以下至少一项:所述目标节点的IP地址、媒体访问控制MAC、服务端口、服务类型、拓扑以及路由。
4.根据权利要求2所述的面向主动安全防御技术的对抗模型设计方法,其特征在于,所述至少一种防御策略满足以下条件:
Figure DEST_PATH_IMAGE001
表示使用不同的防御策略的目标节点的类型,先验分布
Figure DEST_PATH_IMAGE002
,
Figure DEST_PATH_IMAGE003
为防御者为
Figure DEST_PATH_IMAGE004
类型的概率,满足
Figure DEST_PATH_IMAGE005
,0<
Figure DEST_PATH_IMAGE006
5.根据权利要求1所述的面向主动安全防御技术的对抗模型设计方法,其特征在于,还包括:
在所述目标节点的连续收益空间
Figure DEST_PATH_IMAGE007
上定义一个与所述目标节点类型
Figure 640118DEST_PATH_IMAGE004
相关的收益的分布函数
Figure DEST_PATH_IMAGE008
,在时间段t内,
Figure 416313DEST_PATH_IMAGE004
取定值,所述目标节点的收益实现由作用于
Figure DEST_PATH_IMAGE009
的函数
Figure 789525DEST_PATH_IMAGE008
决定,所述目标节点防御者的收益分布函数
Figure DEST_PATH_IMAGE010
为攻防双方的共同知识,
Figure DEST_PATH_IMAGE011
表示时间段t内,目标节点d的最小收益为v,
Figure DEST_PATH_IMAGE012
为表示时间段t内,目标节点d的最大收益为u。
6.一种面向主动安全防御技术的对抗模型设计装置,其特征在于,包括:
获取模块,用于获取攻击者在预设时间段内控制目标节点需要付出的资源开销和从所述目标节点获取到的资源收益;
处理模块,用于根据所述资源开销和资源收益,生成应用于内核态的至少一种防御策略,所述防御策略是确定每个目标节点的地址跳变的时间集合,所述时间集合包括:每个目标节点的每次地址跳变获取的虚假地址持续时间;
所述防御策略包括以下至少一种:最优动态机制;多样性动态化策略;地址协同动态机制;
其中,所述多样性动态化策略包括:
根据所述防御策略,在不同时间进行地址跳变和/或虚拟地址变换空间进行变换;所述时间的收益由随机因子决定;
其中,所述地址协同动态机制包括:
基于软件定义L2/L3层地址协同网络架构,对所述目标节点的主机进行透明的IP与MAC同步跳变。
7.一种计算设备,其特征在于,包括处理器,存储器及存储在所述存储器上并可在所述处理器上运行的程序或指令,所述程序或指令被所述处理器执行时实现如权利要求1至5任一项所述的方法的步骤。
8.一种计算机可读存储介质,其特征在于,存储指令,当所述指令在计算机上运行时,使得计算机执行如权利要求1至5任一项所述的方法。
CN202211660008.1A 2022-12-23 2022-12-23 一种面向主动安全防御技术的对抗模型设计方法及装置 Active CN115632891B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202211660008.1A CN115632891B (zh) 2022-12-23 2022-12-23 一种面向主动安全防御技术的对抗模型设计方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202211660008.1A CN115632891B (zh) 2022-12-23 2022-12-23 一种面向主动安全防御技术的对抗模型设计方法及装置

Publications (2)

Publication Number Publication Date
CN115632891A CN115632891A (zh) 2023-01-20
CN115632891B true CN115632891B (zh) 2023-03-10

Family

ID=84909942

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202211660008.1A Active CN115632891B (zh) 2022-12-23 2022-12-23 一种面向主动安全防御技术的对抗模型设计方法及装置

Country Status (1)

Country Link
CN (1) CN115632891B (zh)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107517200A (zh) * 2017-07-21 2017-12-26 复旦大学 一种Web服务器的恶意爬虫防御策略选择方法
CN109379322A (zh) * 2018-05-16 2019-02-22 中国人民解放军战略支援部队信息工程大学 一种完全信息条件下网络动态变换的决策方法及其系统
CN110290122A (zh) * 2019-06-13 2019-09-27 中国科学院信息工程研究所 入侵响应策略生成方法及装置
CN115348073A (zh) * 2022-08-11 2022-11-15 浙江大学 一种基于博弈论的DDoS攻击下CPPS防御策略决策方法

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11082450B2 (en) * 2017-04-21 2021-08-03 Raytheon Bbn Technologies Corp. User interface supporting an integrated decision engine for evolving defenses

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107517200A (zh) * 2017-07-21 2017-12-26 复旦大学 一种Web服务器的恶意爬虫防御策略选择方法
CN109379322A (zh) * 2018-05-16 2019-02-22 中国人民解放军战略支援部队信息工程大学 一种完全信息条件下网络动态变换的决策方法及其系统
CN110290122A (zh) * 2019-06-13 2019-09-27 中国科学院信息工程研究所 入侵响应策略生成方法及装置
CN115348073A (zh) * 2022-08-11 2022-11-15 浙江大学 一种基于博弈论的DDoS攻击下CPPS防御策略决策方法

Also Published As

Publication number Publication date
CN115632891A (zh) 2023-01-20

Similar Documents

Publication Publication Date Title
CN110300106B (zh) 基于Markov时间博弈的移动目标防御决策选取方法、装置及系统
Cai et al. Moving target defense: state of the art and characteristics
CN109767271B (zh) 基于区块链的抽奖方法和设备
Çeker et al. Deception-based game theoretical approach to mitigate DoS attacks
Zhuang et al. Simulation-based approaches to studying effectiveness of moving-target network defense
Roy et al. A survey of game theory as applied to network security
CN110460572B (zh) 基于Markov信号博弈的移动目标防御策略选取方法及设备
Yiğit et al. Cost-aware securing of IoT systems using attack graphs
DeLoach et al. Model-driven, moving-target defense for enterprise network security
CN112019545B (zh) 一种蜜罐网络部署方法、装置、设备及介质
Rasouli et al. A supervisory control approach to dynamic cyber-security
Lisý et al. Game-theoretic approach to adversarial plan recognition
Moskal et al. Context model fusion for multistage network attack simulation
Li et al. An optimal defensive deception framework for the container‐based cloud with deep reinforcement learning
Islam et al. Chimera: Autonomous planning and orchestration for malware deception
CN112491789A (zh) 一种基于OpenStack框架的虚拟防火墙构建方法及存储介质
Lamba Enhancing awareness of cyber-security and cloud computing using principles of game theory
Kandoussi et al. Toward an integrated dynamic defense system for strategic detecting attacks in cloud networks using stochastic game
Sokri Game theory and cyber defense
CN115632891B (zh) 一种面向主动安全防御技术的对抗模型设计方法及装置
Mvah et al. GaTeBaSep: game theory-based security protocol against ARP spoofing attacks in software-defined networks
CN117375961A (zh) 一种基于移动攻击面的网络入侵主动防御方法及系统
Gutierrez et al. Online learning methods for controlling dynamic cyber deception strategies
CN107528859B (zh) 一种DDoS攻击的防御方法及设备
Valizadeh et al. Toward a theory of cyber attacks

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant