CN115987531A - 一种基于动态欺骗式“平行网络”的内网安全防护系统及方法 - Google Patents
一种基于动态欺骗式“平行网络”的内网安全防护系统及方法 Download PDFInfo
- Publication number
- CN115987531A CN115987531A CN202111190186.8A CN202111190186A CN115987531A CN 115987531 A CN115987531 A CN 115987531A CN 202111190186 A CN202111190186 A CN 202111190186A CN 115987531 A CN115987531 A CN 115987531A
- Authority
- CN
- China
- Prior art keywords
- flow
- network
- attack
- honeypot
- intranet
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明提出一种基于动态欺骗式“平行网络”的内网安全防护系统及方法,打破传统静态蜜罐迷惑性低的弊端,解决传统网络安全防护方法无法主动学习网络攻击模式的缺陷,其基本思想是:将动态蜜罐与真实服务器相结合,构建动态欺骗式“平行网络”,所述“平行网络”是由多个模拟真实服务器节点的蜜罐组成的虚假网络;利用“平行网络”捕获接入系统的流量并利用异构图构建流量特征之间的交互关系,最后设计一种自监督异构图学习算法自动学习正常流量与攻击流量的模式特征,用于实时检测内网潜在的恶意攻击。本发明可以有效提高蜜罐节点的迷惑性,并能在无标签的情况下自主学习不同攻击流量的行为模式,满足内网对已知和未知网络威胁的实时性安全防护需求。
Description
技术领域
本发明涉及网络安全领域,尤其涉及一种基于动态欺骗式“平行网络”的内网安全防护系统及方法。
背景技术
自互联网诞生以来,网络攻击便接踵而至,特别是近年来,随着互联网技术的快速普及,网络入侵如洪水般涌来。网络入侵往往在用户未经许可的情况下入侵目标计算机,并在入侵的计算机上安装运行恶意软件、劫持浏览器、窃取敏感数据、恶意搜集用户敏感信息、捆绑恶意软件等非法行为,对计算机造成不同程度的破坏。近年来,随着攻击技术及工具的泛滥,攻击者可以毫不费力地利用这些公开的工具和技术对信息系统发起攻击,严重侵犯用户合法权益,甚至对社会和国家造成重大经济和安全损失,因此高效地检测并防护网络入侵对于保护网络安全、人民财产及国家安全具有重要意义。
目前,典型的网络入侵检测和防护方法大致分为两种:一种是基于签名机制的被动检测防护方法,另一种是基于蜜罐技术的主动检测防护方法。其中,基于签名机制的被动检测防护方法侧重于从软件、日志、流量等样本中提取恶意特征来创建恶意签名信息,入侵防护系统通过匹配恶意签名数据库中的恶意指纹信息来阻断网络入侵,但是这类方法只能被动地在网络边界依据预定义的恶意签名数据库过滤恶意流量数据,无法感知最新的网络威胁,因此该类方法无法防护未知的网络入侵。为了解决基于签名机制的被动检测方法的弊端,安全领域提出了基于蜜罐技术的入侵检测防护方法。蜜罐技术本质上是一种对攻击方进行欺骗的技术,通过部署诱饵节点、虚拟网络服务等引诱攻击者攻击,从而可以对攻击行为进行捕获和分析,主动式地学习攻击行为特征并实现主动的网络安全防御。目前,众多基于蜜罐分析的网络安全防护方法及专利已经被提出。
申请号为CN101185063A的发明专利公开了一种使用蜜罐检测和阻击攻击的系统和方法。根据其发明的某些实施例,它提供了保护应用程序免受攻击的系统和方法。其发明的某些实例中,由异常检测组件从通信网络接收报文;异常检测组件对接收的报文进行监视,并将通信报文路由到受保护的应用程序或者蜜罐,蜜罐与受保护的应用程序共享所有的状态信息。如果接收的通信报文被路由到蜜罐,蜜罐对通信报文进行监视,以发现攻击。如果发生攻击,则蜜罐修复受保护的应用程序。该发明专利设计的蜜罐系统并未与真实物理网络进行隔离,攻击者很容易通过该蜜罐作为跳板来入侵真实的物理网络。
申请号为CN107819731A的发明专利公开了一种网络安全防护系统及方法。所述网络安全防护系统包括:至少一个边界蜜罐和与所述至少一个边界蜜罐连接的蜜网;其中:所述至少一个边界蜜罐位于业务网络中,所述至少一个蜜网与所述业务网络相隔离;所述至少一个边界蜜罐用于诱导所述攻击者进入所连接的蜜网。所述发明诱导攻击者攻击边界蜜罐,进一步从边界蜜罐引导进入蜜网,由于蜜网与业务网络相隔离,与现有技术相比,一方面可以通过边界蜜罐和蜜网诱导和欺骗攻击者,不论是已知的攻击方式还是未知的攻击方式,都可以实现更有效的防御,同时拖延攻击者的攻击时间改变攻击者的攻击路径,从而及时地阻断攻击者对正常业务网络的攻击。该发明仅能简单回复攻击者的请求报文,蜜罐伪装性较差,攻击者很容易识别出蜜罐响应行为。
通过比较已公开的基于蜜罐技术的网络入侵防护专利和方法可以发现,已公开的相关专利和方法具有以下缺陷:
(1)蜜罐隐蔽性和迷惑性过低,由于计算资源、维护成本等诸多限制,目前的蜜罐系统多以低交互蜜罐为主,由于它们不能像真实业务系统一样对攻击者反馈真实的响应数据,很容易被攻击者识别;
(2)无法实现自监督攻击模式学习,已公开方法大多是基于监督学习的检测方法,需要大量的标签数据,该类方法的最大缺陷是无法检测和防护新型未知的攻击模式。
本发明综合考虑了众多基于蜜罐技术的网络入侵检测及防护算法的优点与不足,提出了基于动态欺骗式“平行网络”的内网安全防护系统及方法。
发明内容
本发明提出一种基于动态欺骗式“平行网络”的内网安全防护系统及方法,打破传统静态蜜罐迷惑性低的弊端,解决传统网络安全防护方法无法主动学习网络攻击模式的缺陷,其基本思想是:将动态蜜罐与真实服务器相结合,构建动态欺骗式“平行网络”,所述“平行网络”是由多个模拟真实服务器节点的蜜罐组成的虚假网络;利用“平行网络”捕获接入系统的流量并利用异构图构建流量特征之间的交互关系,最后设计一种自监督异构图学习算法自动学习正常流量与攻击流量的模式特征,用于实时检测内网潜在的恶意攻击。本发明可以有效提高蜜罐节点的迷惑性,并能在无标签的情况下自主学习不同攻击流量的行为模式,满足内网对已知和未知网络威胁的实时性安全防护需求。
为实现上述发明目的,本发明所提供的技术方案是:
一种基于动态欺骗式“平行网络”的内网安全防护系统,其特征在于,包括:“平行网络”单元、蜜罐流量伪装单元、流量特征提取单元、流量异构图构建单元、攻击模式学习单元。所述“平行网络”单元,使用虚拟机和容器等技术模拟网络服务以诱捕攻击流量;所述蜜罐流量伪装单元通过转发和重定向攻击流量到真实业务网络和“平行网络”,使用真实业务网络发送给攻击者的应答报文替换蜜罐反馈给攻击者的应答报文,实现蜜罐流量伪装,提高蜜罐的真实性和隐蔽性;所述流量特征提取单元利用公开的协议解析及流量分析工具,解析“平行网络”单元捕获的恶意攻击流量;所述流量异构图构建单元利用异构图刻画网络流量实体间的交互行为关系;所述攻击模式学习单元设计一种基于自监督异构图学习算法学习攻击流量和正常流量的模式特征,基于学习到的恶意攻击模式特征自动化检测内网中潜在的恶意攻击,实现对内网安全的有效防护。
进一步地根据所述基于动态欺骗式“平行网络”的内网安全防护系统,其特征在于,所述“平行网络”单元,利用当前公开、常见的虚拟机或容器技术部署不同网络通信协议和网络服务的蜜罐节点,并在模拟的协议和服务中设定一定的漏洞和后门引诱攻击者攻击,它与真实业务网络形成“平行”拓扑关系,用于诱捕和接收重定向的攻击流量。
进一步地根据所述基于动态欺骗式“平行网络”的内网安全防护系统,所述蜜罐流量伪装单元首先将绝大多数攻击流量重定向到专利要求2所述的“平行网络”,将极少量攻击流量转发到真实业务网络;然后所述蜜罐流量伪装单元使用真实业务节点发送给攻击者的应答数据来替换蜜罐节点发送给攻击者的应答数据,确保蜜罐节点能向攻击者发送“真实”应答数据,有效实现了蜜罐流量伪装,使攻击者无法区分真实业务节点与蜜罐节点的区别,从而提高蜜罐的迷惑性。
进一步地根据所述基于动态欺骗式“平行网络”的内网安全防护系统,所述流量特征提取单元,利用公开的协议解析及报文分析工具,解析权利要求2所述蜜罐诱捕单元捕获的攻击流量数据,记录协议栈信息,提取包括但不限于源IP、源端口、目的IP、目的端口、时间戳、报文长度、请求类型、请求正文、使用的设备配置及状态信息在内的会话的属性信息。
进一步地根据所述基于动态欺骗式“平行网络”的内网安全防护系统,所述流量异构图构建单元构建不同网络实体的交互关联关系,基于权利要求4中所述的流量特征,依据源IP、目的IP的访问信息、源IP与所使用协议、所利用端口等交互关系,利用异构图刻画这些异构网络实体之间的交互行为关系,所述流量异构图可以有效刻画不同网络节点之间隐蔽的交互行为,是攻击行为模式学习的数据输入。
进一步地根据所述基于动态欺骗式“平行网络”的内网安全防护系统,所述攻击模式学习单元负责自动化学习不同攻击行为的模式特征。具体地,基于已构建的流量异构图,设计一种有效的自监督异构图学习算法,同步探究攻击行为的属性特征和结构特征以学习正常行为和攻击行为的模式特征;基于学习到的不同攻击行为模式,自动化检测内网潜在的攻击行为,实现内网安全防护需求。
一种基于动态欺骗式“平行网络”的内网安全防护系统方法,其特征在于,包括以下步骤:
步骤(1)、“平行网络”部署,利用公开、主流的虚拟机及容器技术部署不同网络协议、网络服务的蜜罐节点组成“平行网络”,“平行网络”与真实业务网络形成“平行”拓扑关系,用于捕获入侵内网的攻击流量、接收重定向的攻击流量,并记录其攻击行为日志;
步骤(2)、蜜罐流量伪装,为了提高蜜罐节点的真实性和隐蔽性,当攻击者向真实服务器发起攻击时,蜜罐流量伪装单元首先将绝大部分攻击流量重定向到没有真实业务场景的“平行网络”,将极少量的攻击流量通过组播或广播方式发送到真实业务节点;然后蜜罐流量伪装单元使用真实业务节点发送给攻击者的应答数据来替换蜜罐节点发送给攻击者的应答数据,确保蜜罐节点能向攻击者发送“真实”应答数据,使攻击者无法区分真实业务节点与蜜罐节点的区别,从而提高蜜罐的迷惑性;
步骤(3)、流量特征提取,基于步骤(1)和步骤(2)所捕获的攻击流量,利用公开的流量解析工具提取流量数据中的特征,包括但不限于源IP、源端口、目的IP、目的端口、时间戳、报文信息、报文长度、请求类型等,提取的攻击流量特征是构建流量异构图的基本元素;
步骤(4)、流量异构图构建,基于步骤(1)捕获的网络流量和步骤(3)提取的流量特征,利用异构图建模每条流量中源IP、目的IP、源端口、目的端口、以及网络协议之间的通信交互关系,构建流量异构图,并设计不同的元路径、元图在所述流量异构图上探究不同流量特征之间的交互行为关系;
步骤(5)、攻击模式学习,基于步骤(4)构建的流量异构图,设计一种自监督异构图学习算法,同步探究流量异构图的属性信息和结构信息以学习正常流量和攻击流量的模式特征,基于学习到的攻击流量模式特征检测内网中存在的恶意攻击流量,实现内网安全防护。
本发明的有益效果:
1)、本发明提出一种基于动态欺骗式“平行网络”的内网安全防护系统及方法,打破传统静态蜜罐易被攻击者识别的弊端,解决传统网络安全防护方法无法主动学习网络攻击模式的缺陷,本发明所设计的“平行网络”可以有效提高蜜罐节点的隐蔽性和迷惑性。
2)、本发明提出一种基于异构图的网络流量建模方法,实现了一种高效的异构流量特征融合分析方法,可以实时刻画内网流量交互关系,实现从流量属性特征和结构特征两个视角刻画不同攻击流量的攻击行为特征。
3)、本发明设计了一种基于自监督学习的攻击模式学习方法,可以在没有任何标签数据的前提下,自主学习正常流量与攻击流量之间的行为模式特征的区别,可以实现对未知攻击的有效检测和防护。
4)、经原型系统使用实践证明,本发明能有效检测出恶意网络入侵,特别是能够有效地学习不同攻击流量的攻击模式,并有效检测和防护新型的未知网络攻击,且本发明所述方案实现在现有网络中容易布置、操作简单、安全可靠,具有显著的经济社会效益和广阔的市场推广应用前景。
附图说明
图1是本发明所述一种基于动态欺骗式“平行网络”的内网安全防护系统的总体结构框图;
具体实施方式
以下结合附图对本发明的技术方案进行详细的描述,以使本领域技术人员能够更加清楚的理解本发明的方案,但并不因此限制本发明的保护范围。
随着互联网技术的飞速发展,网络入侵工具和技术的获取愈发便捷,致使网络入侵的成本逐步降低。目前,互联网环境正在被网络入侵严重破坏,它们对网络用户、经济发展造成严重影响,甚至影响地区稳定和国家安全,因此自动化检测和防护网络入侵具有重大的现实意义。
目前,典型的网络入侵检测和防护方法大致分为两种:一种是基于签名机制的被动检测防护方法,另一种是基于蜜罐技术的主动检测防护方法。其中,基于签名机制的被动检测防护方法侧重于从软件、日志、流量等样本中提取恶意特征来创建恶意签名信息,入侵防护系统通过匹配恶意签名数据库中的恶意指纹信息来阻断网络入侵,但是这类方法只能被动地在网络边界依据预定义的恶意签名数据库过滤恶意流量数据,无法感知最新的网络威胁,因此该类方法无法防护未知的网络入侵。为了解决基于签名机制的被动检测方法的弊端,安全领域提出了基于蜜罐技术的入侵检测防护方法。蜜罐技术本质上是一种对攻击方进行欺骗的技术,通过部署诱饵节点、虚拟网络服务等引诱攻击者攻击,从而可以对攻击行为进行捕获和分析,主动式地学习攻击行为特征并实现主动的网络安全防御。本发明综合考虑了众多基于蜜罐技术的恶意入侵检测与防护算法的优点与不足,提出了基于动态欺骗式“平行网络”的内网安全防护系统及方法。
本发明提出了一种基于动态欺骗式“平行网络”的内网安全防护系统及方法,打破传统静态蜜罐迷惑性低的弊端,解决传统网络安全防护方法无法主动学习网络攻击模式的缺陷,其基本思想是:将动态蜜罐与真实服务器相结合,构建动态欺骗式“平行网络”,所述“平行网络”是由多个模拟真实服务器节点的蜜罐组成的虚假网络;然后利用“平行网络”捕获接入系统的流量并利用异构图建模流量实体之间的交互关系,最后设计一种自监督异构图学习算法自动学习正常流量与攻击流量的模式特征,用于实时检测内网潜在的攻击流量。本发明可以有效提高蜜罐节点的迷惑性,并能在无标签的情况下自主学习不同攻击流量的行为模式,满足内网对已知和未知网络威胁的实时性安全防护需求。
本发明所述的基于动态欺骗式“平行网络”的内网安全防护系统,如图1所示。1)利用公开、主流的虚拟机及容器技术部署不同网络协议、网络服务的蜜罐节点组成“平行网络”,“平行网络”与真实业务网络形成“平行”拓扑关系,用于捕获入侵内网的攻击流量、接收重定向的攻击流量,并记录其攻击行为日志;2)为了提高蜜罐节点的真实性和隐蔽性,当攻击者向真实服务器发起攻击时,蜜罐流量伪装单元首先将绝大部分攻击流量重定向到没有真实业务场景的“平行网络”,将极少量的攻击流量通过组播或广播方式发送到真实业务节点;然后蜜罐流量伪装单元使用真实业务节点发送给攻击者的应答数据来替换蜜罐节点发送给攻击者的应答数据,确保蜜罐节点能向攻击者发送“真实”应答数据,使攻击者无法区分真实业务节点与蜜罐节点的区别,从而提高蜜罐的迷惑性;3)基于步骤(1)和步骤(2)所捕获的攻击流量,利用公开的流量解析工具提取流量数据中的特征,包括但不限于源IP、源端口、目的IP、目的端口、时间戳、报文信息、报文长度、请求类型等,提取的攻击流量特征是构建流量异构图的基本元素;4)基于步骤(1)捕获的网络流量和步骤(3)提取的流量特征,利用异构图建模每条流量中源IP、目的IP、源端口、目的端口、以及网络协议之间的通信交互关系,构建流量异构图,并设计不同的元路径、元图在所述流量异构图上探究不同流量特征之间的交互行为关系;5)基于步骤(4)构建的流量异构图,设计一种自监督异构图学习算法,同步探究流量异构图的属性信息和结构信息以学习正常流量和攻击流量的模式特征,基于学习到的攻击行为模式实时监测内网中潜在的网络攻击威胁,并对其进行阻断,实现对内网已知和未知网络威胁的安全防护。
本发明提出一种基于动态欺骗式“平行网络”的内网安全防护系统及方法,打破传统静态蜜罐无法实现流量伪装的弊端,解决传统网络安全防护方法无法主动学习网络攻击模式的缺陷,本发明所设计的“平行网络”可以有效提高蜜罐节点的隐蔽性和迷惑性;同时实现了一种基于异构图的流量特征融合分析方法,可以实时刻画内网流量交互关系,实现从流量属性特征和结构特征两个视角刻画不同攻击流量的攻击行为特征;此外,提出了一种基于自监督学习的攻击模式学习方法,可以在没有任何标签数据的前提下,自主学习正常流量与攻击流量之间的行为模式特征的区别,可以实现对未知攻击的有效检测和防护;最后,经原型系统使用实践证明,本发明能有效检测出恶意网络入侵,特别是能够有效地学习不同攻击流量的攻击模式,并有效检测和防护新型的未知网络攻击,且本发明所述方案实现在现有网络中容易布置、操作简单、安全可靠,具有显著的经济社会效益和广阔的市场推广应用前景。
下面结合附图具体描述本发明所述基于动态欺骗式“平行网络”的内网安全防护系统及方法的结构原理和工作过程,优选的包括如下实施方式。
优选实施方式
如图1所示,作为一种优选实施方式,本发明所述基于动态欺骗式“平行网络”的内网安全防护系统,其特征在于,包括:“平行网络”单元、蜜罐流量伪装单元、流量特征提取单元、流量异构图构建单元、攻击模式学习单元。
所述“平行网络”单元,利用当前公开、常见的虚拟机或容器技术部署不同网络通信协议和网络服务的蜜罐节点,并在模拟的协议和服务中设定一定的漏洞和后门引诱攻击者攻击,它与真实业务网络形成“平行”拓扑关系,用于诱捕和接收重定向的攻击流量。
所述蜜罐流量伪装单元首先将绝大多数攻击流量重定向到专利要求2所述的“平行网络”,将极少量攻击流量转发到真实业务网络;然后所述蜜罐流量伪装单元使用真实业务节点发送给攻击者的应答数据来替换蜜罐节点发送给攻击者的应答数据,确保蜜罐节点能向攻击者发送“真实”应答数据,有效实现了蜜罐流量伪装,使攻击者无法区分真实业务节点与蜜罐节点的区别,从而提高蜜罐的迷惑性。
所述流量特征提取单元,利用公开的协议解析及报文分析工具,解析权利要求2所述蜜罐诱捕单元捕获的攻击流量数据,记录协议栈信息,提取包括但不限于源IP、源端口、目的IP、目的端口、时间戳、报文长度、请求类型、请求正文、使用的设备配置及状态信息在内的会话的属性信息。
所述流量异构图构建单元构建不同网络实体的交互关联关系,基于权利要求4中所述的流量特征,依据源IP、目的IP的访问信息、源IP与所使用协议、所利用端口等交互关系,利用异构图刻画这些异构网络实体之间的交互行为关系,所述流量异构图可以有效刻画不同网络节点之间隐蔽的交互行为,是攻击行为模式学习的数据输入。
所述攻击模式学习单元负责自动化学习不同攻击行为的模式特征。具体地,基于已构建的流量异构图,设计一种有效的自监督异构图学习算法,同步探究攻击行为的属性特征和结构特征以学习正常行为和攻击行为的模式特征;基于学习到的不同攻击行为模式,自动化检测内网潜在的攻击行为,实现内网安全防护需求。
本发明进一步的提出基于动态欺骗式“平行网络”的内网安全防护方法,包括以下步骤:
步骤(1)、“平行网络”部署,利用公开、主流的虚拟机及容器技术部署不同网络协议、网络服务的蜜罐节点组成“平行网络”,“平行网络”与真实业务网络形成“平行”拓扑关系,用于捕获入侵内网的攻击流量、接收重定向的攻击流量,并记录其攻击行为日志;
步骤(2)、蜜罐流量伪装,为了提高蜜罐节点的真实性和隐蔽性,当攻击者向真实服务器发起攻击时,蜜罐流量伪装单元首先将绝大部分攻击流量重定向到没有真实业务场景的“平行网络”,将极少量的攻击流量通过组播或广播方式发送到真实业务节点;然后蜜罐流量伪装单元使用真实业务节点发送给攻击者的应答数据来替换蜜罐节点发送给攻击者的应答数据,确保蜜罐节点能向攻击者发送“真实”应答数据,使攻击者无法区分真实业务节点与蜜罐节点的区别,从而提高蜜罐的迷惑性;
步骤(3)、流量特征提取,基于步骤(1)和步骤(2)所捕获的攻击流量,利用公开的流量解析工具提取流量数据中的特征,包括但不限于源IP、源端口、目的IP、目的端口、时间戳、报文信息、报文长度、请求类型等,提取的攻击流量特征是构建流量异构图的基本元素;
步骤(4)、流量异构图构建,基于步骤(1)捕获的网络流量和步骤(3)提取的流量特征,利用异构图建模每条流量中源IP、目的IP、源端口、目的端口、以及网络协议之间的通信交互关系,构建流量异构图,并设计不同的元路径、元图在所述流量异构图上探究不同流量特征之间的交互行为关系;
步骤(5)、攻击模式学习,基于步骤(4)构建的流量异构图,设计一种自监督异构图学习算法,同步探究流量异构图的属性信息和结构信息以学习正常流量和攻击流量的模式特征,基于学习到的攻击流量模式特征检测内网中存在的恶意攻击流量,实现内网安全防护。
以上仅是对本发明的优选实施方式进行了描述,并不将本发明的技术方案限制于此,本领域技术人员在本发明的主要技术构思的基础上所作的任何公知变形都属于本发明所要保护的技术范畴,本发明具体的保护范围以权利要求书的记载为准。
Claims (7)
1.一种基于动态欺骗式“平行网络”的内网安全防护系统,其特征在于,包括:“平行网络”单元、蜜罐流量伪装单元、流量特征提取单元、流量异构图构建单元、攻击模式学习单元。
2.根据权利要求1所述的基于动态欺骗式“平行网络”的内网安全防护系统,其特征在于,所述“平行网络”单元,利用当前公开、常见的虚拟机或容器技术部署不同网络通信协议和网络服务的蜜罐节点,它与真实业务网络形成“平行”拓扑关系,用于诱捕和接收重定向的攻击流量。
3.根据权利要求1所述的基于动态欺骗式“平行网络”的内网安全防护系统,其特征在于,所述蜜罐流量伪装单元首先将绝大多数攻击流量重定向到专利要求2所述的“平行网络”,将极少量攻击流量转发到真实业务网络;然后所述蜜罐流量伪装单元使用真实业务节点发送给攻击者的应答数据来替换蜜罐节点发送给攻击者的应答数据,确保蜜罐节点能向攻击者发送“真实”应答数据,使攻击者无法区分真实业务节点与蜜罐节点的区别,从而提高蜜罐的迷惑性。
4.根据权利要求1所述的基于动态欺骗式“平行网络”的内网安全防护系统,其特征在于,所述流量特征提取单元,利用公开的协议解析及报文分析工具,解析权利要求2所述“平行网络”单元捕获的攻击流量数据,记录协议栈信息,提取包括但不限于源IP(InternetProtocol)、源端口、目的IP、目的端口、时间戳、报文长度、请求类型、请求内容、使用的设备配置及状态信息在内的会话属性信息。
5.根据权利要求1所述的基于动态欺骗式“平行网络”的内网安全防护系统,其特征在于,所述流量异构图构建单元使用异构图刻画不同网络流量特征之间的交互行为关系;所述流量异构图可以有效刻画流量特征之间隐蔽的交互行为,是攻击行为模式学习的数据输入。
6.根据权利要求1所述的基于动态欺骗式“平行网络”的内网安全防护系统,其特征在于,所述攻击模式学习单元设计一种自监督异构图学习算法自动化学习不同攻击流量的模式特征,实现对内网入侵流量的自动化检测与拦截。
7.一种基于动态欺骗式“平行网络”的内网安全防护方法,其特征在于,包括以下步骤:
步骤(1)、“平行网络”部署,利用公开、主流的虚拟机及容器技术部署不同网络协议、网络服务的蜜罐节点组成“平行网络”,“平行网络”与真实业务网络形成“平行”拓扑关系,用于捕获入侵内网的攻击流量、接收重定向的攻击流量,并记录其攻击行为日志;
步骤(2)、蜜罐流量伪装,为了提高蜜罐节点的真实性和隐蔽性,当攻击者向真实服务器发起攻击时,蜜罐流量伪装单元首先将绝大部分攻击流量重定向到没有真实业务场景的“平行网络”,将极少量的攻击流量通过组播或广播方式发送到真实业务节点;然后蜜罐流量伪装单元使用真实业务节点发送给攻击者的应答数据来替换蜜罐节点发送给攻击者的应答数据,确保蜜罐节点能向攻击者发送“真实”应答数据,使攻击者无法区分真实业务节点与蜜罐节点的区别,从而提高蜜罐的迷惑性;
步骤(3)、流量特征提取,基于步骤(1)和步骤(2)所捕获的攻击流量,利用公开的流量解析工具提取流量数据中的特征,包括但不限于源IP、源端口、目的IP、目的端口、时间戳、报文信息、报文长度、请求类型等,提取的攻击流量特征是构建流量异构图的基本元素;
步骤(4)、流量异构图构建,基于步骤(1)捕获的网络流量和步骤(3)提取的流量特征,利用异构图建模每条流量中源IP、目的IP、源端口、目的端口、以及网络协议之间的通信交互关系,构建流量异构图,并设计不同的元路径、元图在所述流量异构图上探究不同流量特征之间的交互行为关系;
步骤(5)、攻击模式学习,基于步骤(4)构建的流量异构图,设计一种自监督异构图学习算法,同步探究流量异构图的属性信息和结构信息以学习正常流量和攻击流量的模式特征,基于学习到的攻击流量模式特征检测内网中存在的恶意攻击流量,实现内网安全防护。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111190186.8A CN115987531A (zh) | 2021-10-13 | 2021-10-13 | 一种基于动态欺骗式“平行网络”的内网安全防护系统及方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111190186.8A CN115987531A (zh) | 2021-10-13 | 2021-10-13 | 一种基于动态欺骗式“平行网络”的内网安全防护系统及方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN115987531A true CN115987531A (zh) | 2023-04-18 |
Family
ID=85968592
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202111190186.8A Pending CN115987531A (zh) | 2021-10-13 | 2021-10-13 | 一种基于动态欺骗式“平行网络”的内网安全防护系统及方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN115987531A (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN117319054A (zh) * | 2023-08-11 | 2023-12-29 | 北京宝联之星科技股份有限公司 | 一种基于容器技术的智能网络安全功能管理方法及系统 |
| CN117319054B (zh) * | 2023-08-11 | 2024-05-17 | 北京宝联之星科技股份有限公司 | 一种基于容器技术的智能网络安全功能管理方法及系统 |
-
2021
- 2021-10-13 CN CN202111190186.8A patent/CN115987531A/zh active Pending
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN117319054A (zh) * | 2023-08-11 | 2023-12-29 | 北京宝联之星科技股份有限公司 | 一种基于容器技术的智能网络安全功能管理方法及系统 |
| CN117319054B (zh) * | 2023-08-11 | 2024-05-17 | 北京宝联之星科技股份有限公司 | 一种基于容器技术的智能网络安全功能管理方法及系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN112769821B (zh) | 一种基于威胁情报和att&ck的威胁响应方法及装置 | |
| CN101087196B (zh) | 多层次蜜网数据传输方法及系统 | |
| Yu et al. | Discriminating DDoS flows from flash crowds using information distance | |
| CN107888607A (zh) | 一种网络威胁检测方法、装置及网络管理设备 | |
| CN107070929A (zh) | 一种工控网络蜜罐系统 | |
| Sandhu et al. | A survey of intrusion detection & prevention techniques | |
| CN106411562A (zh) | 一种电力信息网络安全联动防御方法及系统 | |
| CN112087413B (zh) | 一种基于主动侦测的网络攻击智能动态防护和诱捕系统及方法 | |
| KR20040042397A (ko) | 분산 서비스 거부 공격 대응 시스템 및 방법 | |
| CN106992955A (zh) | Apt防火墙 | |
| Chen et al. | Intrusion detection | |
| CN113422779B (zh) | 一种基于集中管控的积极的安全防御的系统 | |
| CN111835694A (zh) | 一种基于动态伪装的网络安全漏洞防御系统 | |
| CN112738002A (zh) | 一种基于虚实结合的搭建工控蜜网的技术 | |
| Jaiganesh et al. | An efficient algorithm for network intrusion detection system | |
| KR20070072835A (ko) | 실시간 웹로그 수집을 통한 웹해킹 대응 방법 | |
| Li-Juan | Honeypot-based defense system research and design | |
| CN111478912A (zh) | 一种区块链入侵检测系统及方法 | |
| Zhao et al. | Network security model based on active defense and passive defense hybrid strategy | |
| CN115987531A (zh) | 一种基于动态欺骗式“平行网络”的内网安全防护系统及方法 | |
| CN110611636B (zh) | 一种基于大数据算法的失陷主机检测方法 | |
| Abou Haidar et al. | High perception intrusion detection system using neural networks | |
| CN115834092A (zh) | 一种基于混合式蜜罐的实时入侵防护系统和方法 | |
| CN112637217B (zh) | 基于诱饵生成的云计算系统的主动防御方法及装置 | |
| CN107896212A (zh) | 基于高速网络环数据采集的apt防御方法和系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| CB03 | Change of inventor or designer information |
Inventor after: Zhang Changhe Inventor before: Zhang Changhe Inventor before: Geng Tongtong |
|
| CB03 | Change of inventor or designer information |