CN116405243A - 一种基于拟态安全技术的异构冗余流量检测探针 - Google Patents

一种基于拟态安全技术的异构冗余流量检测探针 Download PDF

Info

Publication number
CN116405243A
CN116405243A CN202310132847.4A CN202310132847A CN116405243A CN 116405243 A CN116405243 A CN 116405243A CN 202310132847 A CN202310132847 A CN 202310132847A CN 116405243 A CN116405243 A CN 116405243A
Authority
CN
China
Prior art keywords
arbitration
preset
abnormal
flow
execution bodies
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202310132847.4A
Other languages
English (en)
Other versions
CN116405243B (zh
Inventor
陶文伟
曹扬
胡海生
陆力瑜
张富川
江泽铭
李孟阳
陆镛
粟海斌
陈海涛
刘建军
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China Southern Power Grid Co Ltd
Original Assignee
China Southern Power Grid Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China Southern Power Grid Co Ltd filed Critical China Southern Power Grid Co Ltd
Priority to CN202310132847.4A priority Critical patent/CN116405243B/zh
Publication of CN116405243A publication Critical patent/CN116405243A/zh
Application granted granted Critical
Publication of CN116405243B publication Critical patent/CN116405243B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/12Network monitoring probes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02DCLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
    • Y02D30/00Reducing energy consumption in communication networks
    • Y02D30/50Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本申请公开了一种基于拟态安全技术的异构冗余流量检测探针,包括:流量分发模块,用于将接收到的流量分发给多个执行体;多个执行体为基于预设虚拟化平台构建的异构执行体;裁决模块,用于对多个执行体的输出结果进行裁决,并确定裁决结果;动态调度模块,用于基于裁决结果对多个执行体进行调度;裁决模块包括:第一裁决层和第二裁决层;第一裁决层基于第一裁决策略对输出结果进行裁决,第二裁决层基于第二裁决策略对输出结果进行裁决;第一裁决层的裁决优先级高于第二裁决层的裁决优先级;其中,第一裁决策略与多个执行体的数量和多个执行体的异构类型关联,第二裁决策略与多个执行体分别对应的处理时长和多个执行体对应的虚拟化策略关联。

Description

一种基于拟态安全技术的异构冗余流量检测探针
技术领域
本申请是关于流量检测技术领域,特别是关于一种基于拟态安全技术的异构冗余流量检测探针。
背景技术
现有安全场景下,需增强电力监控系统的安全防范能力,以应对传统安全设备处理不了的各种攻击行为;当网络攻击事件发生后,需要快速定位失陷资产能进行整改,进而快速定位攻击者对其进行封堵;以及溯源历史流量数据,从而分析还原黑客攻击的具体行为及过程。
当前采取综合威胁探针收集采集和存储异常事件和攻击行为;快速检测、发现威胁,对威胁进行研判和分析,最后利用策略对攻击者进行封堵,保证对重大事件的响应速度。
检测探针采用旁路镜像模式接入到电力监控系统网络中,进行流量采集解析、存储、文件还原和威胁检测。此外,通过与大数据分析平台进行联动,将检测结果以及元数据汇总到大数据分析平台进行综合分析、研判和展示。
但是随着网络带宽的持续增长和网络攻防博弈的持续进行,网络本身处于动态演化的过程,网络攻击手段和方法也在不断演化,导致异常检测系统在检测精度、运行效率、安全性和易用性方面都面临着严峻挑战。如异常检测系统泛化能力差和网络流量的动态性、突发性和漂移性导致检测精度较差;基于特征的检测系统不能适应针对特征库特异性修正的异常攻击行为,各类异常检测系统容易被攻击者绕过;异常检测系统训练数据难于获取等。
因此在大规模复杂网络的电力监控系统环境下,提出具有高检测精度和高运行效率的异常检测方法,并优化已有检测算法具有十分重要的意义。
发明内容
本申请的目的在于提供一种基于拟态安全技术的异构冗余流量检测探针,其能够增加系统的动态性、随机性和多样性,提升攻击链诸环节的实施难度。
为实现上述目的,本申请的实施例提供了一种基于拟态安全技术的异构冗余流量检测探针,包括:流量分发模块,用于将接收到的流量分发给多个执行体;所述多个执行体为基于预设虚拟化平台构建的异构执行体;裁决模块,用于对所述多个执行体的输出结果进行裁决,并确定裁决结果;所述输出结果包括针对所述流量分发模块分发的流量的处理结果;动态调度模块,用于基于所述裁决结果对多个执行体进行调度;所述裁决模块包括:第一裁决层和第二裁决层;所述第一裁决层基于第一裁决策略对输出结果进行裁决,所述第二裁决层基于第二裁决策略对输出结果进行裁决;所述第一裁决层的裁决优先级高于所述第二裁决层的裁决优先级;其中,所述第一裁决策略与所述多个执行体的数量和所述多个执行体的异构类型关联,所述第二裁决策略与所述多个执行体分别对应的处理时长和所述多个执行体对应的虚拟化策略关联。
在一种可能的实施方式中,所述流量分发模块进一步用于:确定所述接收到的流量对应的流量类型;针对流量类型相同的多个流量,将该多个流量分别分发给对应的第一执行体;其中,多个第一执行体对应的虚拟化策略存在关联性;针对流量类型不同且流量类型具备关联性的多个流量,将该多个流量分别分发给对应的第二执行体;其中,多个第二执行体对应的虚拟化策略相同;针对流量类型不同且流量类型不具备关联性的多个流量,将该多个流量分别分发给对应的第三执行体;其中,多个第三执行体对应的虚拟化策略不相同。
在一种可能的实施方式中,所述多个执行体的构建过程包括:获取预估流量处理数量、预估流量处理难度和预设检测效率;根据所述预估流量处理数量和所述预估流量处理难度确定所述预设虚拟化平台;根据所述预设检测效率确定所述多个执行体对应的异构类型;基于所述预设虚拟化平台和所述多个执行体对应的异构类型,构建所述多个执行体。
在一种可能的实施方式中,所述裁决模块进一步用于:通过所述第一裁决层对所述多个执行体的输出结果进行裁决,确定第一正常执行体和第一异常执行体;通过所述第二裁决层对所述第一正常执行体的输出结果进行裁决,确定第二正常执行体和第二异常执行体;基于所述第一异常执行体、所述第二正常执行体和所述第二异常执行体确定所述裁决结果。
在一种可能的实施方式中,所述裁决模块进一步用于:比较所述第一异常执行体的数量与所述第二异常执行体数量;若所述第一异常执行体的数量大于或者等于所述第二异常执行体的数量,将所述第一异常执行体和所述第二异常执行体均确定为最终的异常执行体,以及将所述第二正常执行体确定为最终的正常执行体;若所述第一异常执行体的数量小于所述第二异常执行体的数量,确定所述第二异常执行体中的目标异常执行体;将所述目标异常执行体和所述第一异常执行体确定为最终的异常执行体,以及将所述第二正常执行体确定为最终的正常执行体。
在一种可能的实施方式中,所述目标异常执行体包括以下至少一种执行体:流量处理总数量小于预设数量;流量处理类型数量小于预设类型数量;流量处理频次小于预设频次;流量处理效率小于预设效率。
在一种可能的实施方式中,所述第一裁决策略的确定过程包括:获取原始裁决策略;所述原始裁决策略中包括:多个预设裁决项和多个预设裁决项分别对应的裁决流程;根据所述多个执行体的数量从所述多个预设裁决项中确定出第一目标裁决项;其中,所述多个执行体的数量、所述多个预设裁决项的数量和所述第一目标裁决项的数量满足预设数量关系;根据所述多个执行体的异构类型对所述第一目标裁决项对应的裁决流程进行调整,确定调整的裁决流程;将所述第一目标裁决项和所述第一目标裁决项对应的调整的裁决流程确定为所述第一裁决策略。
在一种可能的实施方式中,所述第二裁决策略的确定过程包括:获取原始裁决策略;所述原始裁决策略中包括:多个预设裁决项和多个预设裁决项分别对应的裁决流程;根据所述多个执行体对应的虚拟化策略从所述多个预设裁决项中确定出第二目标裁决项;其中,所述第二目标裁决项与所述多个执行体对应的虚拟化策略关联;根据所述多个执行体分别对应的处理时长对所述第二目标裁决项对应的裁决流程进行调整,确定调整的裁决流程;将所述第二目标裁决项和所述第二目标裁决项对应的调整的裁决流程确定为所述第二裁决策略。
在一种可能的实施方式中,所述裁决结果中包括:异常执行体;所述动态调度模块进一步用于:判断所述异常执行体的数量是否大于第一预设数量;若所述异常执行体的数量大于第一预设数量,将所述异常执行体均替换为预设的备用执行体;若所述异常执行体的数量小于或者等于所述第一预设数量,将所述异常执行体中的第二预设数量的执行体替换为预设的备用执行体。
在一种可能的实施方式中,所述裁决结果中包括:正常执行体;所述动态调度模块进一步用于:判断所述正常执行体的数量是否大于第三预设数量;若所述正常执行体的数量大于第三预设数量,将所述正常执行体中第四预设数量的执行体替换为预设的备用执行体;若所述正常执行体的数量小于第三预设数量,不对所述正常执行体作替换处理。
与现有技术相比,本申请的实施例采用基于拟态安全技术的异构冗余流量检测探针;一方面,该检测探针利用多个执行体实现流量的检测,多个执行体为基于预设虚拟化平台构建的异构执行体,具有动态性、随机性和多样性;另一方面,该检测探针采用多层裁决方式,对多个执行体的输出结果进行裁决,并根据裁决结果动态调度多个执行体,从而,即便攻击者的攻击策略不停的更新,该探针也可以适应性地对这些攻击策略实现检测,并相应的更新执行体,以使得执行体也可以随着攻击策略的更新而对应更新。因此,该检测探针采用动态异构冗余机制提高可靠性及抗攻击能力,以不确定性应对未知威胁,构建了一种动态的、异构的、冗余的体系架构。通过增加系统的动态性,减少系统的可探测性;增加系统的随机性,降低系统的可渗透性;增加系统的异构冗余性,提高协同攻击的难度;进而,增加系统的动态性、随机性和多样性提升攻击链诸环节的实施难度,保证整个系统的安全。
附图说明
图1是根据本申请实施方式的安全监控系统的结构示意图;
图2是根据本申请实施方式的基于拟态安全技术的异构冗余流量检测探针的结构示意图;
图3是根据本申请实施方式的裁决模块的结构示意图。
具体实施方式
下面结合附图,对本申请的具体实施方式进行详细描述,但应当理解本申请的保护范围并不受具体实施方式的限制。
除非另有其它明确表示,否则在整个说明书和权利要求书中,术语“包括”或其变换如“包含”或“包括有”等等将被理解为包括所陈述的元件或组成部分,而并未排除其它元件或其它组成部分。
本申请实施例提供的技术方案可以应用于各种安全检测场景中,在这些安全监测场景中,涉及到需要监控的系统,该技术方案可以实现该需要监控的系统的安全监测。例如,该需要监控的系统可以是:电力系统、通信系统、互联网系统等。
在一些实施例中,需要监控的系统以及本申请实施例提供的检测探针,可构成整个安全监控系统。
因此,作为一种可选的实施方式,请参照图1,为一种安全监控系统的结构示例图,该安全监控系统包括:待监测系统101和检测探针102。
在一些实施例中,待监测系统101与检测探针102之间通信连接,实现数据(流量)的传输。通过检测探针102监测待监测系统101的安全性,并反馈相应的监测结果,以使得待监测系统101可以采取相应的安全防护措施,进而保证待监测系统101的安全性。
相关技术中,采用旁路检测探针,这种检测探针采用基于特征的检测手段。随着网络带宽的持续增长和网络攻防博弈的持续进行,网络本身处于动态演化的过程,网络攻击手段和方法也在不断演化,导致异常检测系统在检测精度、运行效率、安全性和易用性方面都面临着严峻挑战。如异常检测系统泛化能力差和网络流量的动态性、突发性和漂移性导致检测精度较差;基于特征的检测系统不能适应针对特征库特异性修正的异常攻击行为,各类异常检测系统容易被攻击者绕过;异常检测系统训练数据难于获取等。
基于此,本申请实施例提供一种采用基于拟态安全技术的异构冗余流量检测探针;一方面,该检测探针利用多个执行体实现流量的检测,多个执行体为基于预设虚拟化平台构建的异构执行体,具有动态性、随机性和多样性;另一方面,该检测探针采用多层裁决方式,对多个执行体的输出结果进行裁决,并根据裁决结果动态调度多个执行体,从而,即便攻击者的攻击策略不停的更新,该探针也可以适应性地对这些攻击策略实现检测,并相应的更新执行体,以使得执行体也可以随着攻击策略的更新而对应更新。因此,该检测探针采用动态异构冗余机制提高可靠性及抗攻击能力,以不确定性应对未知威胁,构建了一种动态的、异构的、冗余的体系架构。通过增加系统的动态性,减少系统的可探测性;增加系统的随机性,降低系统的可渗透性;增加系统的异构冗余性,提高协同攻击的难度;进而,增加系统的动态性、随机性和多样性提升攻击链诸环节的实施难度,保证整个系统的安全。
请参照图2,为本申请实施例提供的基于拟态安全技术的异构冗余流量检测探针的结构示意图,该检测探针包括:流量分发模块201、裁决模块202和动态调度模块203。
在一些实施例中,流量分发模块201,用于将接收到的流量分发给多个执行体。其中,多个执行体为基于预设虚拟化平台构建的异构执行体。
在一些实施例中,多个执行体同时运行,流量分发模块201可以将流量分发给多个执行体。
在一些实施例中,多个执行体可以对接收到的流量进行处理,得到相应的处理结果;通过对这些处理结果进行裁决,可判断执行体是否出现异常,也对应表征所处理的流量是否异常。
在一些实施例中,流量分发模块201所接收到的流量,为需要监控安全性的系统所接收到的流量。
在一些实施例中,流量分发模块201将接收到的流量进行复制,然后分别分发给多个执行体。
在一些实施例中,多个执行体为基于虚拟平台的异构构建技术所构建的执行体。
在一些实施例中,根据拟态探针的总体架构,执行体分为两个层次进行异构化。首先将承载探针的虚拟机进行异构冗余处理,如KVM、VMware、Virtualbox、XEN等虚拟机平台,然后对探针的模拟业务层进行异构冗余处理,以提供相同业务的多种实现。
作为一种可选的实施方式,多个执行体的构建过程包括:获取预估流量处理数量、预估流量处理难度和预设检测效率;根据预估流量处理数量和预估流量处理难度确定预设虚拟化平台;根据预设检测效率确定多个执行体对应的异构类型;基于预设虚拟化平台和多个执行体对应的异构类型,构建多个执行体。
在一些实施例中,预估流量处理数量,可以结合不同的待监测系统确定。例如,针对电力系统,可查询近一年内的数据流量,然后基于该数据流量配置预估流量处理数量,两者的大小关系可以是相等,或者相近等。
在一些实施例中,预估流量处理难度,可以结合不同的待监测系统所接收的流量的复杂度确定。例如,针对电力系统,其数据结构大部分一致,复杂度相应较低;针对互联网系统或者通信系统,这种数据结构差异较大,复杂度相应较高。
在一些实施例中,预设检测效率,可以为人工规定的检测效率,用于约束检测探针需要具备的检测效率。
进而,先根据预估流量处理数量和预估流量处理难度确定预设虚拟化平台。
在一些实施例中,不同的虚拟化平台所采用的虚拟化技术可能不同,从而对应的虚拟化执行体的功能或者性能也有所不同。所以,可以基于预估流量处理数量和预估流量处理难度确定能够适配的虚拟化执行体的性能或者功能,然后依据该性能或者功能选择相应的虚拟化执行体。
接着,根据预设检测效率确定多个执行体对应的异构类型。
在一些实施例中,预设检测效率越高,多个执行体对应的异构类型越多。例如:10个执行体需要对应5种异构类型,与10个执行体需要对应3种异构类型来说,前者对应的异构类型更多。
在一些实施例中,预设检测效率越低,多个执行体对应的异构类型可以相应的减少。
因此,可根据预设检测效率的大小确定多个执行体对应的异构类型数量,从而确定对应的异构类型。
进而,基于预设虚拟化平台,和多个执行体对应的异构类型,构建多个执行体。
在一些实施例中,构建多个执行体的具体实施方式,可参照成熟的虚拟化执行体构建技术,在此不作详细介绍。
在一些实施例中,基于虚拟化平台对虚拟化执行体的构建,各个执行体存在的对应的虚拟化策略,该虚拟化策略用于表征各个执行体的虚拟化方式,或者说虚拟化参数等信息。
因此,在流量分发模块201接收到流量之后,可以结合多个执行体采取相应的流量分发策略。
作为一种可选的实施方式,流量分发模块201的流量分发过程包括:确定接收到的流量对应的流量类型;针对流量类型相同的多个流量,将该多个流量分别分发给对应的第一执行体;其中,多个第一执行体对应的虚拟化策略存在关联性;针对流量类型不同且流量类型具备关联性的多个流量,将该多个流量分别分发给对应的第二执行体;其中,多个第二执行体对应的虚拟化策略相同;针对流量类型不同且流量类型不具备关联性的多个流量,将该多个流量分别分发给对应的第三执行体;其中,多个第三执行体对应的虚拟化策略不相同。
在这种实施方式中,先针对接收到的流量确定流量类型,该流量类型可以是流量本身具有的信息,可直接获取。也即,按照接收到的流量的流量类型对这些流量进行分类。
基于确定的流量类型,流量之间的关系可以包括:流量类型相同、流量类型不同且流量类型具备关联性和流量类型不同且流量类型不具备关联性。
其中,流量类型是否具备关联性,可以结合预设的流量类型关系确定,在该流量类型关系中,界定哪些流量类型之间具备关联性,哪些流量类型之间不具备关联性。
接着,针对流量类型相同的多个流量,将该多个流量分别分发给对应的第一执行体。在一些实施例中,第一执行体对应的虚拟化策略存在关联性。
即,将相同流量类型的流量,分别分发给虚拟化策略具备关联性的多个执行体。
针对流量类型不同且流量类型具备关联性的多个流量,将该多个流量分别分发给对应的第二执行体。其中,第二执行体对应的虚拟化策略相同。
即,将流量类型不同但是具备关联性的这些流量,分发给虚拟化策略相同的多个执行体。
针对流量类型不同且流量类型也不具备关联性的多个流量,将该多个流量分别分发给对应的第三执行体。其中,第三执行体对应的虚拟化策略不同。
即,将流量类型不同且不具备关联性的多个流量,分发给虚拟化策略不同的多个执行体。
在另一些实施例中,也可以不用确定流量类型再进行分发,而是将多个流量分别随机分发给多个执行体即可。
在一些实施例中,由于多个执行体同时运行,在进行流量分发时,优先将流量分发给当前为空闲状态的执行体,即当前没有进行流量处理的执行体。若没有当前为空闲状态的执行体,则优先将流量分发给当前的剩余待处理流量较少的执行体。
在一些实施例中,裁决模块202用于对多个执行体的输出结果进行裁决,并确定裁决结果。其中,输出结果包括针对流量分发模块201分发的流量的处理结果。
多个执行体在接收到流量分发模块201分发的流量之后,会对流量进行处理,并输出处理结果;该处理结果会由裁决模块202进行裁决。
作为一种可选的实施方式,请参照图3,裁决模块202包括:第一裁决层2020和第二裁决层2022。第一裁决层2020基于第一裁决策略对输出结果进行裁决,第二裁决层2022基于第二裁决策略对输出结果进行裁决。
以及,第一裁决层2020的裁决优先级高于第二裁决层2022的裁决优先级;其中,第一裁决策略与多个执行体的数量和多个执行体的异构类型关联,第二裁决策略与多个执行体分别对应的处理时长和多个执行体对应的虚拟化策略关联。
在一些实施例中,针对一个输出结果,先通过第一裁决层2020进行裁决,若裁决为正常执行体,再继续由第二裁决层2022进行裁决。若裁决为异常执行体,可无需第二裁决层2022的裁决。
作为一种可选的实施方式,裁决模块202的裁决过程包括:通过第一裁决层2020对多个执行体的输出结果进行裁决,确定第一正常执行体和第一异常执行体;通过第二裁决层2022对第一正常执行体的输出结果进行裁决,确定第二正常执行体和第二异常执行体;基于第一异常执行体、第二正常执行体和第二异常执行体确定裁决结果。
在这种实施方式中,第一裁决层2020在对多个执行体的输出结果进行裁决之后,可确定出正常的执行体和异常的执行体,即第一正常执行体和第一异常执行体。
其中,第一正常执行体需要继续由第二裁决层2022裁决,而第一异常执行体已经被判定为异常,可无需第二裁决层2022的裁决。
因此,通过第二裁决层2022对第一正常执行体的输出结果进行裁决,确定第二正常执行体和第二异常执行体。
最后,再基于第一异常执行体、第二正常执行体和第二异常执行体确定裁决结果。
在一些实施例中,最终的裁决结果的确定过程包括:比较第一异常执行体的数量与第二异常执行体数量;若第一异常执行体的数量大于或者等于第二异常执行体的数量,将第一异常执行体和第二异常执行体均确定为最终的异常执行体,以及将第二正常执行体确定为最终的正常执行体;若第一异常执行体的数量小于第二异常执行体的数量,确定第二异常执行体中的目标异常执行体;将目标异常执行体和第一异常执行体确定为最终的异常执行体,以及将第二正常执行体确定为最终的正常执行体。
在一些实施例中,先比较第一异常执行体的数量和第二异常执行体的数量,若第一异常执行体的数量大于或者等于第二异常执行体的数量,则说明异常执行体的判断结果相对准确,此时,可将第一异常执行体和第二异常执行体均确定为最终的异常执行体;以及将第二正常执行体确定为最终的正常执行体。
若第一异常执行体的数量小于第二异常执行体的数量,则说明第二异常执行体的判断可能存在误差。此时,先确定第二异常执行体中的目标异常执行体;再将目标异常执行体和第一异常执行体确定为最终的异常执行体;以及将第二正常执行体确定为最终的正常执行体。
在一些实施例中,目标异常执行体包括以下至少一种执行体:流量处理总数量小于预设数量;流量处理类型数量小于预设类型数量;流量处理频次小于预设频次;流量处理效率小于预设效率。
其中,流量处理总数量,可以理解为执行体所处理的流量数量。预设数量,可以根据虚拟平台所对应的执行体的流量处理能力进行设定。
流量处理类型数量,可以理解为执行体所处理的流量类型数量。预设类型数量,可以根据虚拟平台所对应的执行体的流量处理能力进行设定。
流量处理频次,可以理解为执行体所处理的流量的频率,例如:1分钟处理一个流量。预设频次,可以根据虚拟平台所对应的执行体的流量处理速度进行设定。
流量处理效率,可以理解为执行体所处理的流量的效率,例如:单位时间内处理流量的速度。预设效率,可以根据虚拟平台所对应的执行体的流量处理速度进行设定。
在一些实施例中,上述的流量处理总数量、流量处理类型数量、流量处理频次以及流量处理效率,均可以通过对执行体的流量处理记录进行统计确定。
在一些实施例中,第一裁决层的裁决优先级和第二裁决层的裁决优先级,不仅可以决定第一裁决层和第二裁决层的裁决顺序,还可以决定第一裁决层和第二裁决层的裁决结果的优先级。即,第一裁决层的裁决结果的采纳度高于第二裁决层的裁决结果的采纳度。
在一些实施例中,第一裁决策略与多个执行体的数量和多个执行体的异构类型关联,第二裁决策略与多个执行体分别对应的处理时长和多个执行体对应的虚拟化策略关联。
因此,可根据多个执行体的数量和多个执行体的异构类型确定第一裁决策略;以及,根据多个执行体分别对应的处理时长和多个执行体对应的虚拟化策略确定第二裁决策略。
作为一种可选的实施方式,第一裁决策略的确定过程包括:获取原始裁决策略;原始裁决策略中包括:多个预设裁决项和多个预设裁决项分别对应的裁决流程;根据多个执行体的数量从多个预设裁决项中确定出第一目标裁决项;其中,多个执行体的数量、多个预设裁决项的数量和所述第一目标裁决项的数量满足预设数量关系;根据多个执行体的异构类型对第一目标裁决项对应的裁决流程进行调整,确定调整的裁决流程;将第一目标裁决项和第一目标裁决项对应的调整的裁决流程确定为第一裁决策略。
在一些实施例中,原始裁决策略可以是预设虚拟平台所规定的裁决策略;也可以是人工规定的裁决策略。在该原始裁决策略中,包括多个预设裁决项和多个预设裁决项分别对应的裁决流程。
例如,预设裁决项包括:数据安全性裁决、数据完整性裁决、数据合理性裁决等;对应的,数据安全性裁决下包括如何裁决数据安全性的流程,数据完整性裁决下包括如何裁决数据完整性的流程,以及数据合理性裁决下包括如何裁决数据合理性的流程。
可以理解,上述的裁决流程,可以参照不同的应用场景,进行不同的配置,在此不对具体的裁决流程作介绍。
由于这些预设裁决项和对应的裁决流程,为普遍的通用的,可能并不适用于第一裁决层,所以,需要根据多个执行体的数量和多个执行体的异构类型对其作调整。
在一些实施例中,根据多个执行体的数量从多个预设裁决项中确定出第一目标裁决项。其中,多个执行体的数量、多个预设裁决项的数量和第一目标裁决项的数量满足预设数量关系。
在一些实施例中,预设数量关系可以是:多个执行体的数量大于多个预设裁决项的数量,且第一目标裁决项的数量大于多个执行体的数量与第一目标裁决项的数量之间的差值。
或者,也可以为其他的预设数量关系,在此不作限定。
进一步地,根据多个执行体的异构类型对第一目标裁决项对应的裁决流程进行调整,确定调整的裁决流程。
在一些实施例中,预设不同的异构类型对应的可删减裁决流程步骤,例如:异构类型一,在进行数据完整性裁决时,可删减数据之间的比对步骤;异构类型二,在进行数据合理性裁决时,可删减确定数据规律步骤等。
从而,在确定异构类型之后,查找对应的裁决流程中是否包括可删减裁决流程步骤,若包括,则将对应的裁决流程步骤删除。
最终,将第一目标裁决项和第一目标裁决项对应的调整的裁决流程确定为第一裁决策略。
作为一种可选的实施方式,第二裁决策略的确定过程包括:获取原始裁决策略;原始裁决策略中包括:多个预设裁决项和多个预设裁决项分别对应的裁决流程;根据多个执行体对应的虚拟化策略从多个预设裁决项中确定出第二目标裁决项;其中,第二目标裁决项与多个执行体对应的虚拟化策略关联;根据多个执行体分别对应的处理时长对第二目标裁决项对应的裁决流程进行调整,确定调整的裁决流程;将第二目标裁决项和第二目标裁决项对应的调整的裁决流程确定为第二裁决策略。
在一些实施例中,原始裁决策略可以是预设虚拟平台所规定的裁决策略;也可以是人工规定的裁决策略。在该原始裁决策略中,包括多个预设裁决项和多个预设裁决项分别对应的裁决流程。
例如,预设裁决项包括:数据安全性裁决、数据完整性裁决、数据合理性裁决等;对应的,数据安全性裁决下包括如何裁决数据安全性的流程,数据完整性裁决下包括如何裁决数据完整性的流程,以及数据合理性裁决下包括如何裁决数据合理性的流程。
可以理解,上述的裁决流程,可以参照不同的应用场景,进行不同的配置,在此不对具体的裁决流程作介绍。
由于这些预设裁决项和对应的裁决流程,为普遍的通用的,可能并不适用于第一裁决层,所以,需要根据多个执行体的数量和多个执行体的异构类型对其作调整。
在一些实施例中,根据多个执行体对应的虚拟化策略从多个预设裁决项中确定出第二目标裁决项;其中,第二目标裁决项与多个执行体对应的虚拟化策略关联。
在一些实施例中,预设不同的虚拟化策略对应的关联裁决项。从而,基于当前的虚拟化策略确定对应的关联裁决项,将关联裁决项确定为第二目标裁决项。
在一些实施例中,根据多个执行体分别对应的处理时长对第二目标裁决项对应的裁决流程进行调整,确定调整的裁决流程。
在一些实施例中,各个裁决流程中包括非必要裁决流程步骤,这些非必要裁决流程步骤对最终的裁决结果不会造成较大的影响。
进一步地,判断执行体对应的处理时长是否小于预设时长,若小于,则删除非必要裁决流程步骤。
在另一些实施例中,判断处理时长与预设时长的差距,当差距越大时,可删除的非必要裁决流程步骤越多。
进而,将第二目标裁决项和第二目标裁决项对应的调整的裁决流程确定为第二裁决策略。
在一些实施例中,动态调度模块203用于:基于裁决结果对多个执行体进行调度。
作为一种可选的实施方式,裁决结果中包括:异常执行体;动态调度模块203进一步用于:判断异常执行体的数量是否大于第一预设数量;若异常执行体的数量大于第一预设数量,将异常执行体均替换为预设的备用执行体;若异常执行体的数量小于或者等于第一预设数量,将异常执行体中的第二预设数量的执行体替换为预设的备用执行体。
在一些实施例中,第一预设数量可以是总的执行体数量的三分之一,或者二分之一等数量值。
在一些实施例中,备用执行体为检测探针预先配置好的,可用于替换多个执行体中的任意一个执行体的执行体,其数量为多个。当有异常执行体需要被替换时,可直接从中确定出备用执行体进行替换。
在一些实施例中,第二预设数量可以是异常执行体的总数量的二分之一,或者三分之二等数量值。
在一些实施例中,裁决结果中包括:正常执行体;动态调度模块203进一步用于:判断正常执行体的数量是否大于第三预设数量;若正常执行体的数量大于第三预设数量,将正常执行体中第四预设数量的执行体替换为预设的备用执行体;若正常执行体的数量小于第三预设数量,不对正常执行体作替换处理。
在一些实施例中,第三预设数量可以是执行体总数量的三分之二等数量值,且第三预设数量大于第一预设数量。
在一些实施例中,第四预设数量可以是正常执行体数量的三分之一,或者四分之一等数量值。
通过这种实施方式,可以对正常执行体中的一部分执行体也进行替换,避免这些正常执行体实际被攻击,但是没有被正常裁决的情况下,对后续的流量处理造成的影响。
在一些实施例中,前述的检测探针的各个模块所实现的相关功能,也可提供为方法或计算机程序产品实现。
通过前述实施例的介绍,与现有技术相比,本申请的实施例采用基于拟态安全技术的异构冗余流量检测探针;一方面,该检测探针利用多个执行体实现流量的检测,多个执行体为基于预设虚拟化平台构建的异构执行体,具有动态性、随机性和多样性;另一方面,该检测探针采用多层裁决方式,对多个执行体的输出结果进行裁决,并根据裁决结果动态调度多个执行体,从而,即便攻击者的攻击策略不停的更新,该探针也可以适应性地对这些攻击策略实现检测,并相应的更新执行体,以使得执行体也可以随着攻击策略的更新而对应更新。因此,该检测探针采用动态异构冗余机制提高可靠性及抗攻击能力,以不确定性应对未知威胁,构建了一种动态的、异构的、冗余的体系架构。通过增加系统的动态性,减少系统的可探测性;增加系统的随机性,降低系统的可渗透性;增加系统的异构冗余性,提高协同攻击的难度;进而,增加系统的动态性、随机性和多样性提升攻击链诸环节的实施难度,保证整个系统的安全。
本领域内的技术人员应明白,本申请的实施例可提供为方法、系统、或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
前述对本申请的具体示例性实施方案的描述是为了说明和例证的目的。这些描述并非想将本申请限定为所公开的精确形式,并且很显然,根据上述教导,可以进行很多改变和变化。对示例性实施例进行选择和描述的目的在于解释本申请的特定原理及其实际应用,从而使得本领域的技术人员能够实现并利用本申请的各种不同的示例性实施方案以及各种不同的选择和改变。本申请的范围意在由权利要求书及其等同形式所限定。

Claims (10)

1.一种基于拟态安全技术的异构冗余流量检测探针,其特征在于,包括:
流量分发模块,用于将接收到的流量分发给多个执行体;所述多个执行体为基于预设虚拟化平台构建的异构执行体;
裁决模块,用于对所述多个执行体的输出结果进行裁决,并确定裁决结果;所述输出结果包括针对所述流量分发模块分发的流量的处理结果;
动态调度模块,用于基于所述裁决结果对多个执行体进行调度;
所述裁决模块包括:第一裁决层和第二裁决层;所述第一裁决层基于第一裁决策略对输出结果进行裁决,所述第二裁决层基于第二裁决策略对输出结果进行裁决;所述第一裁决层的裁决优先级高于所述第二裁决层的裁决优先级;
其中,所述第一裁决策略与所述多个执行体的数量和所述多个执行体的异构类型关联,所述第二裁决策略与所述多个执行体分别对应的处理时长和所述多个执行体对应的虚拟化策略关联。
2.根据权利要求1所述的基于拟态安全技术的异构冗余流量检测探针,其特征在于,所述流量分发模块进一步用于:
确定所述接收到的流量对应的流量类型;
针对流量类型相同的多个流量,将该多个流量分别分发给对应的第一执行体;其中,多个第一执行体对应的虚拟化策略存在关联性;
针对流量类型不同且流量类型具备关联性的多个流量,将该多个流量分别分发给对应的第二执行体;其中,多个第二执行体对应的虚拟化策略相同;
针对流量类型不同且流量类型不具备关联性的多个流量,将该多个流量分别分发给对应的第三执行体;其中,多个第三执行体对应的虚拟化策略不相同。
3.根据权利要求1所述的基于拟态安全技术的异构冗余流量检测探针,其特征在于,所述多个执行体的构建过程包括:
获取预估流量处理数量、预估流量处理难度和预设检测效率;
根据所述预估流量处理数量和所述预估流量处理难度确定所述预设虚拟化平台;
根据所述预设检测效率确定所述多个执行体对应的异构类型;
基于所述预设虚拟化平台和所述多个执行体对应的异构类型,构建所述多个执行体。
4.根据权利要求1所述的基于拟态安全技术的异构冗余流量检测探针,其特征在于,所述裁决模块进一步用于:
通过所述第一裁决层对所述多个执行体的输出结果进行裁决,确定第一正常执行体和第一异常执行体;
通过所述第二裁决层对所述第一正常执行体的输出结果进行裁决,确定第二正常执行体和第二异常执行体;
基于所述第一异常执行体、所述第二正常执行体和所述第二异常执行体确定所述裁决结果。
5.根据权利要求4所述的基于拟态安全技术的异构冗余流量检测探针,其特征在于,所述裁决模块进一步用于:
比较所述第一异常执行体的数量与所述第二异常执行体数量;
若所述第一异常执行体的数量大于或者等于所述第二异常执行体的数量,将所述第一异常执行体和所述第二异常执行体均确定为最终的异常执行体,以及将所述第二正常执行体确定为最终的正常执行体;
若所述第一异常执行体的数量小于所述第二异常执行体的数量,确定所述第二异常执行体中的目标异常执行体;将所述目标异常执行体和所述第一异常执行体确定为最终的异常执行体,以及将所述第二正常执行体确定为最终的正常执行体。
6.根据权利要求5所述的基于拟态安全技术的异构冗余流量检测探针,其特征在于,所述目标异常执行体包括以下至少一种执行体:
流量处理总数量小于预设数量;
流量处理类型数量小于预设类型数量;
流量处理频次小于预设频次;
流量处理效率小于预设效率。
7.根据权利要求1所述的基于拟态安全技术的异构冗余流量检测探针,其特征在于,所述第一裁决策略的确定过程包括:
获取原始裁决策略;所述原始裁决策略中包括:多个预设裁决项和多个预设裁决项分别对应的裁决流程;
根据所述多个执行体的数量从所述多个预设裁决项中确定出第一目标裁决项;其中,所述多个执行体的数量、所述多个预设裁决项的数量和所述第一目标裁决项的数量满足预设数量关系;
根据所述多个执行体的异构类型对所述第一目标裁决项对应的裁决流程进行调整,确定调整的裁决流程;
将所述第一目标裁决项和所述第一目标裁决项对应的调整的裁决流程确定为所述第一裁决策略。
8.根据权利要求1所述的基于拟态安全技术的异构冗余流量检测探针,其特征在于,所述第二裁决策略的确定过程包括:
获取原始裁决策略;所述原始裁决策略中包括:多个预设裁决项和多个预设裁决项分别对应的裁决流程;
根据所述多个执行体对应的虚拟化策略从所述多个预设裁决项中确定出第二目标裁决项;其中,所述第二目标裁决项与所述多个执行体对应的虚拟化策略关联;
根据所述多个执行体分别对应的处理时长对所述第二目标裁决项对应的裁决流程进行调整,确定调整的裁决流程;
将所述第二目标裁决项和所述第二目标裁决项对应的调整的裁决流程确定为所述第二裁决策略。
9.根据权利要求1所述的基于拟态安全技术的异构冗余流量检测探针,其特征在于,所述裁决结果中包括:异常执行体;所述动态调度模块进一步用于:
判断所述异常执行体的数量是否大于第一预设数量;
若所述异常执行体的数量大于第一预设数量,将所述异常执行体均替换为预设的备用执行体;
若所述异常执行体的数量小于或者等于所述第一预设数量,将所述异常执行体中的第二预设数量的执行体替换为预设的备用执行体。
10.根据权利要求1所述的基于拟态安全技术的异构冗余流量检测探针,其特征在于,所述裁决结果中包括:正常执行体;所述动态调度模块进一步用于:
判断所述正常执行体的数量是否大于第三预设数量;
若所述正常执行体的数量大于第三预设数量,将所述正常执行体中第四预设数量的执行体替换为预设的备用执行体;
若所述正常执行体的数量小于第三预设数量,不对所述正常执行体作替换处理。
CN202310132847.4A 2023-02-16 2023-02-16 一种基于拟态安全技术的异构冗余流量检测装置 Active CN116405243B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202310132847.4A CN116405243B (zh) 2023-02-16 2023-02-16 一种基于拟态安全技术的异构冗余流量检测装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202310132847.4A CN116405243B (zh) 2023-02-16 2023-02-16 一种基于拟态安全技术的异构冗余流量检测装置

Publications (2)

Publication Number Publication Date
CN116405243A true CN116405243A (zh) 2023-07-07
CN116405243B CN116405243B (zh) 2023-12-26

Family

ID=87009247

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202310132847.4A Active CN116405243B (zh) 2023-02-16 2023-02-16 一种基于拟态安全技术的异构冗余流量检测装置

Country Status (1)

Country Link
CN (1) CN116405243B (zh)

Citations (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110166435A (zh) * 2019-04-18 2019-08-23 杭州电子科技大学 采用负载均衡进行动态调度的拟态Web网关系统及方法
CN111858039A (zh) * 2020-07-06 2020-10-30 河南信大网御科技有限公司 基于分时式的拟态快速裁决方法、裁决器、架构及介质
CN112242923A (zh) * 2020-09-15 2021-01-19 中国人民解放军战略支援部队信息工程大学 基于拟态防御的统一数据管理网络功能实现系统及方法
CN112347519A (zh) * 2020-10-28 2021-02-09 河南信大网御科技有限公司 一种拟态OpenStack组件和拟态OpenStack云平台
CN112491803A (zh) * 2020-11-03 2021-03-12 浙江大学 拟态waf中执行体的裁决方法
WO2021169080A1 (zh) * 2020-02-27 2021-09-02 南京红阵网络安全技术研究院有限公司 基于部分同态加密算法的拟态防御裁决方法和系统
CN114448711A (zh) * 2022-02-17 2022-05-06 珠海高凌信息科技股份有限公司 一种拟态防御系统
CN115314289A (zh) * 2022-08-08 2022-11-08 北京天融信网络安全技术有限公司 受攻击执行体识别方法、输出表决器、设备及存储介质
CN115391044A (zh) * 2022-08-31 2022-11-25 重庆汇锋金鸿科技有限公司 拟态系统的调度判决方法及装置
CN115549985A (zh) * 2022-09-15 2022-12-30 中国人民解放军战略支援部队信息工程大学 一种基于拟态架构的蜜罐服务系统及其处理方法

Patent Citations (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110166435A (zh) * 2019-04-18 2019-08-23 杭州电子科技大学 采用负载均衡进行动态调度的拟态Web网关系统及方法
WO2021169080A1 (zh) * 2020-02-27 2021-09-02 南京红阵网络安全技术研究院有限公司 基于部分同态加密算法的拟态防御裁决方法和系统
CN111858039A (zh) * 2020-07-06 2020-10-30 河南信大网御科技有限公司 基于分时式的拟态快速裁决方法、裁决器、架构及介质
CN112242923A (zh) * 2020-09-15 2021-01-19 中国人民解放军战略支援部队信息工程大学 基于拟态防御的统一数据管理网络功能实现系统及方法
CN112347519A (zh) * 2020-10-28 2021-02-09 河南信大网御科技有限公司 一种拟态OpenStack组件和拟态OpenStack云平台
CN112491803A (zh) * 2020-11-03 2021-03-12 浙江大学 拟态waf中执行体的裁决方法
CN114448711A (zh) * 2022-02-17 2022-05-06 珠海高凌信息科技股份有限公司 一种拟态防御系统
CN115314289A (zh) * 2022-08-08 2022-11-08 北京天融信网络安全技术有限公司 受攻击执行体识别方法、输出表决器、设备及存储介质
CN115391044A (zh) * 2022-08-31 2022-11-25 重庆汇锋金鸿科技有限公司 拟态系统的调度判决方法及装置
CN115549985A (zh) * 2022-09-15 2022-12-30 中国人民解放军战略支援部队信息工程大学 一种基于拟态架构的蜜罐服务系统及其处理方法

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
王婷;项露露;陈铁明;: "拟态防御系统的时间自动机模型和验证", 小型微型计算机系统, no. 08 *

Also Published As

Publication number Publication date
CN116405243B (zh) 2023-12-26

Similar Documents

Publication Publication Date Title
CN108134740B (zh) 一种基于物理异构冗余的加权裁决及随机调度方法
US9727723B1 (en) Recommendation system based approach in reducing false positives in anomaly detection
US20180285226A1 (en) Distributed hardware tracing
RU2454705C1 (ru) Система и способ защиты компьютерного устройства от вредоносных объектов, использующих сложные схемы заражения
CN109067737B (zh) 一种输出非同步保序条件下的拟态判决装置及方法
US9009524B2 (en) Prioritizing recovery in a storage system implementing raid
CN102722672B (zh) 一种检测运行环境真实性的方法及装置
US9342420B2 (en) Communication of conditions at a primary storage controller to a host
CN110740067B (zh) 主动防御网络安全性分析方法、存储介质及应用服务器
US10839074B2 (en) System and method of adapting patterns of dangerous behavior of programs to the computer systems of users
US10637884B2 (en) Artificial intelligence system and method for threat anticipation
CN112015663B (zh) 测试数据录制方法、装置、设备及介质
US20160321128A1 (en) Operations management system, operations management method and program thereof
CN108334427B (zh) 存储系统中的故障诊断方法及装置
Ma et al. Security research of redundancy in mimic defense system
CN116405243B (zh) 一种基于拟态安全技术的异构冗余流量检测装置
CN114844684B (zh) 一种基于多重融合方法的主动防御网络评估方法及系统
US11263307B2 (en) Systems and methods for detecting and mitigating code injection attacks
US20220138311A1 (en) Systems and methods for detecting and mitigating code injection attacks
Zheng et al. Security evaluation of a VM-based intrusion-tolerant system with pull-type patch management
CN112422540B (zh) 一种拟态waf中的执行体动态变换方法
CN115904857A (zh) 一种瓶颈节点的筛选方法、装置及计算机设备
KR20220072939A (ko) 시계열 학습형 앙상블 인공지능 기법을 이용한 사회이슈 기반 사이버 표적공격 예측 시스템 및 그 예측 방법
CN111310177A (zh) 一种基于内存行为特征的视频监控设备攻击检测系统
Raju et al. A novel approach for incident response in cloud using forensics

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant