CN116389075A - 一种主机攻击行为动态拦截方法及装置 - Google Patents
一种主机攻击行为动态拦截方法及装置 Download PDFInfo
- Publication number
- CN116389075A CN116389075A CN202310257221.6A CN202310257221A CN116389075A CN 116389075 A CN116389075 A CN 116389075A CN 202310257221 A CN202310257221 A CN 202310257221A CN 116389075 A CN116389075 A CN 116389075A
- Authority
- CN
- China
- Prior art keywords
- host
- node
- interception
- attack
- policy
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 40
- 230000006399 behavior Effects 0.000 title claims abstract description 21
- 230000007123 defense Effects 0.000 claims abstract description 28
- 230000009471 action Effects 0.000 claims abstract description 16
- 238000001514 detection method Methods 0.000 claims abstract description 12
- 238000004364 calculation method Methods 0.000 claims description 11
- 238000003860 storage Methods 0.000 claims description 6
- 238000004891 communication Methods 0.000 claims description 5
- 238000012544 monitoring process Methods 0.000 claims description 5
- 238000012423 maintenance Methods 0.000 abstract description 14
- 230000008901 benefit Effects 0.000 description 19
- 238000010586 diagram Methods 0.000 description 13
- 230000006870 function Effects 0.000 description 12
- 238000004422 calculation algorithm Methods 0.000 description 8
- 238000004590 computer program Methods 0.000 description 7
- 230000008569 process Effects 0.000 description 4
- 238000012545 processing Methods 0.000 description 4
- 230000008859 change Effects 0.000 description 3
- 230000000694 effects Effects 0.000 description 3
- 239000004973 liquid crystal related substance Substances 0.000 description 2
- 241000287196 Asthenes Species 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 239000003795 chemical substances by application Substances 0.000 description 1
- 238000012217 deletion Methods 0.000 description 1
- 230000037430 deletion Effects 0.000 description 1
- 238000009826 distribution Methods 0.000 description 1
- 238000011156 evaluation Methods 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0281—Proxies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D30/00—Reducing energy consumption in communication networks
- Y02D30/50—Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computing Systems (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开了一种主机攻击行为动态拦截方法及装置,其中方法包括如下步骤:通过安全产品在主机上的代理端进行网络探测,得到主机网络连通图;基于零和博弈模型计算所述主机网络连通图中的若干个节点开启拦截策略的概率值;判断每一所述节点开启拦截策略的概率值是否大于预设概率阈值;如是,则开启所述节点的拦截策略;如否,则使所述节点的拦截策略保持关闭状态。结合二层攻防双层零和博弈提出拦截策略,确定需开启拦截策略的主机,并基于攻击者的动作进行动态调整,达到运维成本与收益的平衡,从而使主机安全产品适用于企业的日常运维。
Description
技术领域
本发明涉及软件安全防护技术领域,特别涉及一种主机攻击行为动态拦截方法及装置。
背景技术
当前市面上主流的主机安全产品均具备攻击拦截功能,而安全产品是否拦截针对主机的攻击均会使用策略开关进行控制。但在使用过程中,安全产品必然会出现误报,如果日常安全运维场景中全部主机均开启拦截开关,则数量众多的误报会对用户的业务造成严重影响;同时,有限的运维人力资源难以应对大量误拦截所造成的影响及进行恢复。
因此,基于上述原因,在实际日常运维中一部分用户会选择完全不开启拦截,而另一部分用户会依据自己制定的策略选择一部分主机开启拦截,但上述策略功能单一且未经过科学验证,拦截效果差,安全隐患多。
发明内容
本发明实施例的目的是提供一种主机攻击行为动态拦截方法及装置,结合二层攻防双层零和博弈提出拦截策略,确定需开启拦截策略的主机,并基于攻击者的动作进行动态调整,达到运维成本与收益的平衡,从而使主机安全产品适用于企业的日常运维。
为解决上述技术问题,本发明实施例的第一方面提供了一种主机攻击行为动态拦截方法,包括如下步骤:
通过安全产品在主机上的代理端进行网络探测,得到主机网络连通图;
基于零和博弈模型计算所述主机网络连通图中的若干个节点开启拦截策略的概率值;
判断每一所述节点开启拦截策略的概率值是否大于预设概率阈值;
如是,则开启所述节点的拦截策略;
如否,则使所述节点的拦截策略保持关闭状态。
进一步地,所述开启所述节点的拦截策略之后,还包括:
持续监控攻击动作,获取所述攻击动作在预设时长内的攻击数据;
依据所述攻击数据,重新计算所述主机网络连通图中的节点开启拦截策略的概率值,并调整所述节点的拦截策略运行状态。
进一步地,所述基于零和博弈模型计算所述主机网络连通图中的若干个节点开启拦截策略的概率值,包括:
获取所述网络结构连通图在被攻击前和被攻击后的最大连通子图,得到防御混合策略;
依据所述防御混合策略,计算所述节点开启所述拦截策略的概率值。
进一步地,所述预设概率阈值为0.8。
相应地,本发明实施例的第二方面提供了一种主机攻击行为动态拦截装置,包括:
网络探测模块,其用于通过安全产品在主机上的代理端进行网络探测,得到主机网络连通图;
概率计算模块,其用于基于零和博弈模型计算所述主机网络连通图中的若干个节点开启拦截策略的概率值;
阈值比较模块,其用于判断每一所述节点开启拦截策略的概率值是否大于预设概率阈值;
策略控制模块,其用于在所述节点开启拦截策略的概率值大于所述预设概率阈值时,开启所述节点的拦截策略;
所述策略控制模块还用于在所述节点开启拦截策略的概率值小于或等于所述预设概率阈值时,使所述节点的拦截策略保持关闭状态。
进一步地,所述主机攻击行为动态拦截装置还包括:动态调整模块,其进一步包括:
数据获取单元,其用于持续监控攻击动作,获取所述攻击动作在预设时长内的攻击数据;
策略调整单元,其用于依据所述攻击数据,重新计算所述主机网络连通图中的节点开启拦截策略的概率值,并调整所述节点的拦截策略运行状态。
进一步地,所述概率计算模块包括:
策略获取单元,其用于获取所述网络结构连通图在被攻击前和被攻击后的最大连通子图,得到防御混合策略;
概率计算单元,其用于依据所述防御混合策略,计算所述节点开启所述拦截策略的概率值。
进一步地,所述预设概率阈值为0.8。
相应地,本发明实施例的第三方面提供了一种电子设备,包括:至少一个处理器;以及与所述至少一个处理器连接的存储器;其中,所述存储器存储有可被所述一个处理器执行的指令,所述指令被所述一个处理器执行,以使所述至少一个处理器执行上述主机攻击行为动态拦截方法。
相应地,本发明实施例的第四方面提供了一种计算机可读存储介质,其上存储有计算机指令,该指令被处理器执行时实现上述主机攻击行为动态拦截方法。
本发明实施例的上述技术方案具有如下有益的技术效果:
结合二层攻防双层零和博弈提出拦截策略,确定需开启拦截策略的主机,并基于攻击者的动作进行动态调整,达到运维成本与收益的平衡,从而使主机安全产品适用于企业的日常运维。
附图说明
图1是本发明实施例提供的主机攻击行为动态拦截方法流程图;
图2a是本发明实施例提供的度防守示意图;
图2b是本发明实施例提供的随机防守示意图;
图2c是本发明实施例提供的混合策略防守示意图;
图3是本发明实施例提供的主机攻击行为动态拦截装置模块框图;
图4是本发明实施例提供的概率计算模块框图;
图5是本发明实施例提供的动态调整模块框图。
附图标记:
1、网络探测模块,2、概率计算模块,21、策略获取单元,22、概率计算单元,3、阈值比较模块,4、策略控制模块,5、动态调整模块,51、数据获取单元,52、策略调整单元。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚明了,下面结合具体实施方式并参照附图,对本发明进一步详细说明。应该理解,这些描述只是示例性的,而并非要限制本发明的范围。此外,在以下说明中,省略了对公知结构和技术的描述,以避免不必要地混淆本发明的概念。
请参照图1,本发明实施例的第一方面提供了一种主机攻击行为动态拦截方法,包括如下步骤:
步骤S100,通过安全产品在主机上的代理端进行网络探测,得到主机网络连通图。
步骤S200,基于零和博弈模型计算主机网络连通图中的若干个节点开启拦截策略的概率值。
步骤S300,判断每一节点开启拦截策略的概率值是否大于预设概率阈值。
步骤S400,如是,则开启节点的拦截策略。
步骤S500,如否,则使节点的拦截策略保持关闭状态。
在目标网络中,防御者选择要保护的主机节点子集,同时攻击者选择一些主机节点进行攻击并将这些主机节点从网络中删除。只有被上述攻击者选中并攻击的且同时未受防御者保护的主机节点才会被删除,并且连接这些被删除主机节点的边也会被同时删除。攻防双方的收益函数由攻击过后的剩余网络确定。他们完全了解对手可能采取的所有策略,以及在每种策略组合下彼此之间的收益。假设博弈是同时进行的,即两个参与者同时选择要保护或者攻击的主机节点,并且他们不知道对手在做出自己的决定时会选择哪个主机节点。
将关键基础设施网络抽象为一个目标网络,用简单无向图G=(V,E)来表示。其中,V是网络中的节点集合,每个节点v∈V表示一个基础设施。表示网络中的边集合,每条边e∈E都连接着两个基础设施,即边eij=(vi,vj)∈E表示以节点vi和vj为端点的一条无向边。将N=|V|定义为网络中的节点数量。
节点之间的连通性是每一个节点v上的等价关系,基于该等价关系可以将点集V分成若干个非空子集V1,V2,…,Vn,每一个非空子集Vi可以都确定一个对应的连通子图记为G(Vi),则将G(V1),G(V2),…,G(Vn)成为图G的连通分支。对于每一个节点v∈V,可以通过以下公式来确定与它连接的邻居点集:
V′={u∈V\{v}|(u,v)∈E,distance(u,v)≠∞,v∈V}
其中,distance(u,v)≠∞表示V′中始终有一条路径连接节点u和v。那么由V′确定的连通子图可以表示为G(V′)。将图G的最大连通分支(the LargestConnected Component,LCC)定义为G(Vmax),其中Vmax表示点集V的最大连通点子集。
基于零和博弈可以指定攻防双层零和博弈模型,给定一个防守者策略D和一个攻击者策略A,只有当av=1且dv=0时,表示节点v会被攻击者攻击成功,那么此时节点v以及连接节点v的所有边在网络中会被删除;否则节点v永远不会被攻击者删除,此时防守者获得胜利。如果攻击者行动成功,那么他将获得一份收益PA,同时防守者的收益PD将会是-PA;否则,攻防双方的收益都将会是0。
在很多关键基础设施网络系统中,设施节点之间是互联且网络化的,网络系统的功能在很大程度上依赖于其连接性和拓扑结构。所以假设在删除节点期间网络的连通性会降低,那么网络的性能也会随之降低。图的最大连通子图的节点数(the Node Number ofthe Largest Connected Component,NLCC)是用于衡量网络抗毁性的一个常用度量指标,被广泛用于评估网络性能。因此,采用NLCC来构造本专利博弈模型的收益函数。NLCC(G)是通过确定图G中的最大连通节点子集的大小来计算的,它可以表示为:
NLCC(G)=|Vmax|。
在给定一个防守者策略D和一个攻击者策略A之后,假如防守者策略D和攻击者策略A选择的点集不同,即VA∩VD≠VD,这意味着防守者保护网络的任务失败。那么点集以及与之连接的边集/>将在网络中会被删除。将删除这些节点和边之后得到剩余图/>中的最大连通节点子集定义为/>则/>通过确定图中的最大连通节点子集/>的大小来计算,即:
所以,攻击者的收益函数PA定义如下:
同理,防守者的收益函数PD可以表示为:
其中,NLCC还可以用其他同样满足单调性假设的任何度量指标替换。
定义了攻防双方的收益函数后,开始定义双方的期望收益。用UD表示防守者的期望收益。假如防守者使用混合策略x,且攻击者使用纯策略A,那么防守者的期望收益UD(x,A)可以表示为:
其中,zD,A用于标记攻击者策略A是否成功删除了被防守者策略D选中的目标点集。假如D∩A=D,表示攻击者失败,那么zD,A=0;否则zD,A=1。
假如防守者使用纯策略D,且攻击者使用混合策略y,那么这种情况下防守者的期望收益UD(D,y)可以表示为:
假如参与者双方都使用混合策略x和y,则防守者的期望收益UD(x,y)就可以表示为:
基于双人零和博弈假设,记攻击者的期望收益UA=-UD。
双人零和博弈的纳什均衡是求解最大最小均衡。在本专利模型中,防守者的目标是最大化自己的最小期望收益,同时最小化攻击者的最大收益。本专利使用线性规划来求解这个双人零和博弈,计算博弈的均衡,为攻防双方确定最优资源调度策略。防御者的最优混合策略x可以通过求解以下线性规划(Linear Programming,LP)计算:
max U;
具体的求解使用了基于贪心搜索的EMSL算法。
在算法1的第1行中,双方首先分别随机初始化一个很小的策略空间那么此时的INP问题是受限的。然后计算均衡,以/>来替换/>求解受限版本的INP问题(CoreLP,第3行)。显而易见的是,因为策略空间/>较小,所以受限版本的INP问题可以在短时间内有效求解,并且得到的解也是受限INP问题的均衡,而不是原INP问题的均衡。因此,双方都希望在使用策略集/>之外的其他策略来提高他们的收益。EMSL-Better-O允许他们使用近似模块(第4-5行和第6-7行)这样做。具体来说,EMSL-Better-O调用防御者近似模块(Better Oracle of Defende,BetterO-D)来搜索防御者的一组改进策略(第4-5行));同理,EMSL-Better-O调用攻击者近似模块(Better Oracle forattack,BetterO-A)来寻找攻击者的改进策略(第6-7行)。这个过程不断重复,直到双方都找不到更好的策略(第8行),此时得到的解就是为原INP问题求解获得的最终解决方案,并且是接近最优的。
算法2详细介绍了EMSL-Better-O算法中的防御者近似模块(EMSL-BetterO-D)。EMSL-Better-OD每个迭代的核心(第5-8行)都是基于贪心搜索设计的,最终生成防守者纯策略DBetter,具体步骤如算法2所示。
EMSL-Better-OD算法反复从一个空的防守者策略空间DBetter开始,随机初始化一个防守者纯策略D攻击者策略(第1-2行)。输入y是攻击者的策略空间,但是只关注其中概率不为0的策略(第3行)。然后以贪心的方式迭代应用GreedySearch(v,D,x)(算法3)得到一个新的局部最优策略D′,使防御者的收益最大化(第7行),此时策略集D由D′更新(第7-8行)。循环重复,直到满足终止条件(termination condition):1)UD(D,y)>UD(x,y);2)3)UD(D,y)-UD(x,y)<ε。其中ε是一个预定义的全局变量,用于约束迭代的总次数。防守者纯策略DBetter是根据以上局部最优策略不迭代计算得到的(第10-11行)。
GreedySearch(v,D,x)的目标是找到一个可以提高防守者收益的纯策略D,具体步骤如下算法3所示。
GreedySearch(v,D,x)反复从空策略开始(第1行),并连续尝试寻找一个最佳节点v′,希望提高防守者收益UD(第4行)。如果节点v′能够满足UD(D∪{v′},y)>UD(D,y),那么就将节点v′加入策略D中(第5-6行);否则,就尝试从剩余的节点集D\(VD∪{v})中重新寻找一个最佳节点v′(第8行),如果UD(D∪{v′},y)>UD(x,y),那么就将此时寻得的v′加入策略D中(第9-10行)。最后,当策略D中的节点数达到防御者资源数量上限时停止,即|D|=RD(第11行)。
利用网络图结构的最大连通子图作为衡量主机网络抗毁性的评估指标,并利用其构建收益函数,衡量攻防过程中主机网络的性能变化情况。以贪心搜索的方式为攻防双方寻求最佳的纯策略,然后计算网络在被攻击前后的最大连通子图大小,求解防御混合策略,作为双人零和博弈的解,即得出每个主机节点需要开启拦截的概率。
上述基于攻防双层零和博弈的主机攻击行为动态拦截方法,解决了用户不知该开启哪些主机拦截开关的问题,使用户达到运维成本与收益的平衡,更加适合企业主机安全产品日常运维场景。
具体的,步骤S200中的基于零和博弈模型计算主机网络连通图中的若干个节点开启拦截策略的概率值,包括:
步骤S210,获取网络结构连通图在被攻击前和被攻击后的最大连通子图,得到防御混合策略;
步骤S220,依据防御混合策略,计算节点开启拦截策略的概率值。
进一步地,步骤S400中的开启节点的拦截策略之后,还包括:
步骤S610,持续监控攻击动作,获取攻击动作在预设时长内的攻击数据。
步骤S620,依据攻击数据,重新计算主机网络连通图中的节点开启拦截策略的概率值,并调整节点的拦截策略运行状态。
进一步地,预设概率阈值为0.8。
下面,以一个具体实施例对上述方案进行说明:
经过对比日常运维工作中使用最频繁的主机拦截固定策略方法与本技术方案的混合策略动态防护方法,基于不同的攻击策略对主机进行攻击:
(1)基于初始度中心性的主机拦截策略方法:在初始网络中,首先计算网络中每个主机节点的度,然后从度最高依次降序选择顶点进行防御资源部署。由于每次经受攻击后,网络结构可能会发生变化,那么每个主机节点的度也可能会发生变化,但不再重新计算;将这个基于网络初始度分布的主机拦截策略简称为度防守方法。
(2)随机主机拦截策略方法:在很多情况下,为了不让攻击者知道哪些主机节点是重点保护对象,会以随机的方式选择主机节点进行防御资源部署,称为随机防守方法。
实验结果如图2a、图2b、图2c所示,横轴代表攻击者可以攻击的主机数量,纵轴代表防守者的收益,可见:经过五百次博弈,本专利的混合防守策略带来的收益比其他防御方法带来的更高,这些结果也清晰地展示了在大规模网络中无论用哪种攻击策略,使用混合策略防御时,防御者收益的下降速度都是最慢的,相比于其他策略的平均收益提升了159.89%。其中,介数攻击为基于介数中心性的一种攻击策略,首先计算初始网络中每个节点的中介度,然后根据中介度最高的节点的降序选择要攻击的节点。
相应地,本发明实施例的第二方面提供了一种主机攻击行为动态拦截装置,包括:
网络探测模块1,其用于通过安全产品在主机上的代理端进行网络探测,得到主机网络连通图;
概率计算模块2,其用于基于零和博弈模型计算主机网络连通图中的若干个节点开启拦截策略的概率值;
阈值比较模块3,其用于判断每一节点开启拦截策略的概率值是否大于预设概率阈值;
策略控制模块4,其用于在节点开启拦截策略的概率值大于预设概率阈值时,开启节点的拦截策略;
策略控制模块4还用于在节点开启拦截策略的概率值小于或等于预设概率阈值时,使节点的拦截策略保持关闭状态。
进一步地,主机攻击行为动态拦截装置还包括:动态调整模块5,其进一步包括:
数据获取单元51,其用于持续监控攻击动作,获取攻击动作在预设时长内的攻击数据;
策略调整单元52,其用于依据攻击数据,重新计算主机网络连通图中的节点开启拦截策略的概率值,并调整节点的拦截策略运行状态。
进一步地,概率计算模块2包括:
策略获取单元21,其用于获取网络结构连通图在被攻击前和被攻击后的最大连通子图,得到防御混合策略;
概率计算单元22,其用于依据防御混合策略,计算节点开启拦截策略的概率值。
进一步地,预设概率阈值为0.8。
相应地,本发明实施例的第三方面提供了一种电子设备,包括:至少一个处理器;以及与至少一个处理器连接的存储器;其中,存储器存储有可被一个处理器执行的指令,指令被一个处理器执行,以使至少一个处理器执行上述主机攻击行为动态拦截方法。
相应地,本发明实施例的第四方面提供了一种计算机可读存储介质,其上存储有计算机指令,该指令被处理器执行时实现上述主机攻击行为动态拦截方法。
本发明实施例旨在保护一种主机攻击行为动态拦截方法及装置,其中方法包括如下步骤:通过安全产品在主机上的代理端进行网络探测,得到主机网络连通图;基于零和博弈模型计算所述主机网络连通图中的若干个节点开启拦截策略的概率值;判断每一所述节点开启拦截策略的概率值是否大于预设概率阈值;如是,则开启所述节点的拦截策略;如否,则使所述节点的拦截策略保持关闭状态。上述计数方案具备如下效果:
结合二层攻防双层零和博弈提出拦截策略,确定需开启拦截策略的主机,并基于攻击者的动作进行动态调整,达到运维成本与收益的平衡,从而使主机安全产品适用于企业的日常运维。
本领域内的技术人员应明白,本申请的实施例可提供为方法、系统、或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
最后应当说明的是:以上实施例仅用以说明本发明的技术方案而非对其限制,尽管参照上述实施例对本发明进行了详细的说明,所属领域的普通技术人员应当理解:依然可以对本发明的具体实施方式进行修改或者等同替换,而未脱离本发明精神和范围的任何修改或者等同替换,其均应涵盖在本发明的权利要求保护范围之内。
Claims (10)
1.一种主机攻击行为动态拦截方法,其特征在于,包括如下步骤:
通过安全产品在主机上的代理端进行网络探测,得到主机网络连通图;
基于零和博弈模型计算所述主机网络连通图中的若干个节点开启拦截策略的概率值;
判断每一所述节点开启拦截策略的概率值是否大于预设概率阈值;
如是,则开启所述节点的拦截策略;
如否,则使所述节点的拦截策略保持关闭状态。
2.根据权利要求1所述的主机攻击行为动态拦截方法,其特征在于,所述开启所述节点的拦截策略之后,还包括:
持续监控攻击动作,获取所述攻击动作在预设时长内的攻击数据;
依据所述攻击数据,重新计算所述主机网络连通图中的节点开启拦截策略的概率值,并调整所述节点的拦截策略运行状态。
3.根据权利要求1所述的主机攻击行为动态拦截方法,其特征在于,所述基于零和博弈模型计算所述主机网络连通图中的若干个节点开启拦截策略的概率值,包括:
获取所述网络结构连通图在被攻击前和被攻击后的最大连通子图,得到防御混合策略;
依据所述防御混合策略,计算所述节点开启所述拦截策略的概率值。
4.根据权利要求1-4任意一项所述的主机攻击行为动态拦截方法,其特征在于,
所述预设概率阈值为0.8。
5.一种主机攻击行为动态拦截装置,其特征在于,包括:
网络探测模块,其用于通过安全产品在主机上的代理端进行网络探测,得到主机网络连通图;
概率计算模块,其用于基于零和博弈模型计算所述主机网络连通图中的若干个节点开启拦截策略的概率值;
阈值比较模块,其用于判断每一所述节点开启拦截策略的概率值是否大于预设概率阈值;
策略控制模块,其用于在所述节点开启拦截策略的概率值大于所述预设概率阈值时,开启所述节点的拦截策略;
所述策略控制模块还用于在所述节点开启拦截策略的概率值小于或等于所述预设概率阈值时,使所述节点的拦截策略保持关闭状态。
6.根据权利要求5所述的主机攻击行为动态拦截装置,其特征在于,还包括:动态调整模块,其进一步包括:
数据获取单元,其用于持续监控攻击动作,获取所述攻击动作在预设时长内的攻击数据;
策略调整单元,其用于依据所述攻击数据,重新计算所述主机网络连通图中的节点开启拦截策略的概率值,并调整所述节点的拦截策略运行状态。
7.根据权利要求5所述的主机攻击行为动态拦截装置,其特征在于,所述概率计算模块包括:
策略获取单元,其用于获取所述网络结构连通图在被攻击前和被攻击后的最大连通子图,得到防御混合策略;
概率计算单元,其用于依据所述防御混合策略,计算所述节点开启所述拦截策略的概率值。
8.根据权利要求5-7任意一项所述的主机攻击行为动态拦截装置,其特征在于,
所述预设概率阈值为0.8。
9.一种电子设备,其特征在于,包括:至少一个处理器;以及与所述至少一个处理器连接的存储器;其中,所述存储器存储有可被所述一个处理器执行的指令,所述指令被所述一个处理器执行,以使所述至少一个处理器执行如权利要求1-4任一所述的主机攻击行为动态拦截方法。
10.一种计算机可读存储介质,其特征在于,其上存储有计算机指令,该指令被处理器执行时实现如权利要求1-4任一所述的主机攻击行为动态拦截方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202310257221.6A CN116389075B (zh) | 2023-03-08 | 2023-03-08 | 一种主机攻击行为动态拦截方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202310257221.6A CN116389075B (zh) | 2023-03-08 | 2023-03-08 | 一种主机攻击行为动态拦截方法及装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN116389075A true CN116389075A (zh) | 2023-07-04 |
CN116389075B CN116389075B (zh) | 2023-10-20 |
Family
ID=86976079
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202310257221.6A Active CN116389075B (zh) | 2023-03-08 | 2023-03-08 | 一种主机攻击行为动态拦截方法及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN116389075B (zh) |
Citations (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102934122A (zh) * | 2010-05-07 | 2013-02-13 | 阿尔卡特朗讯公司 | 用于适配信息系统基础设施的安全策略的方法 |
US20140274246A1 (en) * | 2013-03-15 | 2014-09-18 | University Of Southern California | Localized shortest-paths estimation of influence propagation for multiple influencers |
CN107147670A (zh) * | 2017-06-16 | 2017-09-08 | 福建中信网安信息科技有限公司 | 基于博弈体系的apt防御方法 |
CN110602062A (zh) * | 2019-08-27 | 2019-12-20 | 北京邮电大学 | 基于强化学习的网络主动防御方法及装置 |
CN110784487A (zh) * | 2019-11-07 | 2020-02-11 | 广东技术师范大学 | 一种基于数据包抽检模型的sdn节点防御方法 |
CN111245828A (zh) * | 2020-01-09 | 2020-06-05 | 南京航空航天大学 | 一种基于三方动态博弈的防御策略产生方法 |
US20210311778A1 (en) * | 2020-04-02 | 2021-10-07 | Alipay (Hangzhou) Information Technology Co., Ltd. | Determining action selection policies of an execution device |
CN115550078A (zh) * | 2022-12-02 | 2022-12-30 | 北京国信蓝盾科技有限公司 | 一种融合动态资源池调度与响应的方法及系统 |
WO2023012230A2 (en) * | 2021-08-06 | 2023-02-09 | Telefonaktiebolaget Lm Ericsson (Publ) | Generative adversarial-based attack in federated learning |
-
2023
- 2023-03-08 CN CN202310257221.6A patent/CN116389075B/zh active Active
Patent Citations (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102934122A (zh) * | 2010-05-07 | 2013-02-13 | 阿尔卡特朗讯公司 | 用于适配信息系统基础设施的安全策略的方法 |
US20140274246A1 (en) * | 2013-03-15 | 2014-09-18 | University Of Southern California | Localized shortest-paths estimation of influence propagation for multiple influencers |
CN107147670A (zh) * | 2017-06-16 | 2017-09-08 | 福建中信网安信息科技有限公司 | 基于博弈体系的apt防御方法 |
CN110602062A (zh) * | 2019-08-27 | 2019-12-20 | 北京邮电大学 | 基于强化学习的网络主动防御方法及装置 |
CN110784487A (zh) * | 2019-11-07 | 2020-02-11 | 广东技术师范大学 | 一种基于数据包抽检模型的sdn节点防御方法 |
CN111245828A (zh) * | 2020-01-09 | 2020-06-05 | 南京航空航天大学 | 一种基于三方动态博弈的防御策略产生方法 |
US20210311778A1 (en) * | 2020-04-02 | 2021-10-07 | Alipay (Hangzhou) Information Technology Co., Ltd. | Determining action selection policies of an execution device |
WO2023012230A2 (en) * | 2021-08-06 | 2023-02-09 | Telefonaktiebolaget Lm Ericsson (Publ) | Generative adversarial-based attack in federated learning |
CN115550078A (zh) * | 2022-12-02 | 2022-12-30 | 北京国信蓝盾科技有限公司 | 一种融合动态资源池调度与响应的方法及系统 |
Non-Patent Citations (5)
Title |
---|
YING LIU: "Maintaining throughput network connectivity in ad hoc networks", 《IEEE》 * |
吴伟;张小飞;: "CRN合作频谱感知SSDF攻击的博弈分析", 太赫兹科学与电子信息学报, no. 06 * |
徐翔;沈士根;曹奇英;: "基于博弈论的无线传感网络DDoS攻击防御优化策略", 智能计算机与应用, no. 06 * |
董婉玉: "基于攻击图的双层网络安全保护策略模型研究", 《中国优秀硕士学位论文全文数据库》 * |
陈永强;付钰;吴晓平;: "基于非零和攻防博弈模型的主动防御策略选取方法", 计算机应用, no. 05 * |
Also Published As
Publication number | Publication date |
---|---|
CN116389075B (zh) | 2023-10-20 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN108494810B (zh) | 面向攻击的网络安全态势预测方法、装置及系统 | |
Muñoz-González et al. | Exact inference techniques for the analysis of Bayesian attack graphs | |
US8863293B2 (en) | Predicting attacks based on probabilistic game-theory | |
Moothedath et al. | A game-theoretic approach for dynamic information flow tracking to detect multistage advanced persistent threats | |
CN109829337B (zh) | 一种社会网络隐私保护的方法、系统及设备 | |
CN110166344B (zh) | 一种身份标识识别方法、装置以及相关设备 | |
CN110224859B (zh) | 用于识别团伙的方法和系统 | |
Rasouli et al. | A supervisory control approach to dynamic cyber-security | |
CN111625820A (zh) | 一种基于面向AIoT安全的联邦防御方法 | |
CN108183884B (zh) | 一种网络攻击判定方法及装置 | |
Shojafar et al. | Automatic clustering of attacks in intrusion detection systems | |
CN113706326A (zh) | 基于矩阵运算的移动社会网络图修改方法 | |
Hong et al. | Scalable security model generation and analysis using k-importance measures | |
Lu et al. | Measuring and improving communication robustness of networks | |
CN109587523A (zh) | 一种虚假关注的识别方法以及相关设备 | |
CN116389075B (zh) | 一种主机攻击行为动态拦截方法及装置 | |
WO2021189925A1 (zh) | 保护用户隐私的风险检测方法和装置 | |
Zhang et al. | A scalable double oracle algorithm for hardening large active directory systems | |
CN110784487B (zh) | 一种基于数据包抽检模型的sdn节点防御方法 | |
CN106411923B (zh) | 基于本体建模的网络风险评估方法 | |
CN110136019B (zh) | 一种基于关系演化的社交媒体异常群体用户检测方法 | |
Kim et al. | An active learning approach to dynamic alert prioritization for real-time situational awareness | |
CN114244586B (zh) | 一种面向Web服务的自适应移动目标防御方法及系统 | |
CN114745283A (zh) | 网络信息保护方法、装置和电子设备 | |
Feng et al. | Sentinel: An Aggregation Function to Secure Decentralized Federated Learning |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |