【技术实现步骤摘要】
一种智能学习式自应答工业互联网蜜罐诱导方法及系统
本专利技术涉及工业互联网安全业务
,具体来说是一种智能学习式自应答工业互联网蜜罐诱导方法及系统。
技术介绍
蜜罐技术本质上是一种对攻击方进行欺骗的技术,通过布置一些作为诱饵的主机、网络服务或者信息,诱使攻击方对它们实施攻击,从而可以对攻击行为进行捕获和分析,了解攻击方所使用的工具与方法,推测攻击意图和动机,能够让防御方清晰地了解他们所面对的安全威胁,并通过技术和管理手段来增强实际系统的安全防护能力。蜜罐技术一般根据欺骗环境提供的交互程度分为低交互蜜罐与高交互蜜罐,低交互蜜罐一般通过模拟软件部分特征,而高交互蜜罐则是在真实系统中存在交互。目前欺骗防御技术多被应用在0-day漏洞、威胁诱捕、内网安全防御上。但由于大多欺骗防御技术是采用的低交互仿真模块与固定回复逻辑和有限的交互水平。因此有限的交互水平不足以通过检查,无法捕获真正的攻击,且容易被攻击者发现,形成反欺骗。虽然工业互联网中的设备的恶意软件相对简单,但如果没有正确处理响应,工业互联网欺骗防御的效果将受到影响。 ...
【技术保护点】
1.一种智能学习式自应答工业互联网蜜罐诱导方法,其特征在于:/nS01.样本数据处理/n定期获取设定时间段内正常情况下工业环境的业务请求命令,并对不同的请求命令进行编码,从而生成请求序列对应的请求编码序列;获取响应所述请求序列的设备及响应内容,并进行编码,形成响应编码序列,然后将响应编码序列拼接到请求编码序列中,从而生成请求响应序列,作为模型训练样本数据集;/nS02.响应预测模型训练/n将步骤S01中的请求响应序列作为概率后缀树算法的输入进行训练,得到响应预测模型;/nS03.威胁诱捕/n获取当前攻击者的请求数据,根据当前响应预测模型查找该请求数据的请求子序列在概率后缀树 ...
【技术特征摘要】
1.一种智能学习式自应答工业互联网蜜罐诱导方法,其特征在于:
S01.样本数据处理
定期获取设定时间段内正常情况下工业环境的业务请求命令,并对不同的请求命令进行编码,从而生成请求序列对应的请求编码序列;获取响应所述请求序列的设备及响应内容,并进行编码,形成响应编码序列,然后将响应编码序列拼接到请求编码序列中,从而生成请求响应序列,作为模型训练样本数据集;
S02.响应预测模型训练
将步骤S01中的请求响应序列作为概率后缀树算法的输入进行训练,得到响应预测模型;
S03.威胁诱捕
获取当前攻击者的请求数据,根据当前响应预测模型查找该请求数据的请求子序列在概率后缀树上所在的节点,给予该请求数据的反馈,同时记录请求响应序列,当接收到当前攻击者的下一条请求数据时,拼接历史请求响应序列,再重复执行根据当前响应预测模型查找该请求数据的请求子序列在概率后缀树上所在的节点,给予该请求数据的反馈步骤,直至攻击结束。
2.根据权利要1所述的一种智能学习式自应答工业互联网蜜罐诱导方法,其特征在于:还包括步骤S04,将步骤S03中获取到的原始攻击请求响应序列加入到步骤S01中的样本数据集中;重复步骤S01-S03。
3.根据权利要1或2所述的一种智能学习式自应答工业互联网蜜罐诱导方法,其特征在于:所述步骤S02中,响应预测模型具体训练过程为:
S021.预设概率后缀树深度L及概率阈值Pmin;
S022.根据请求响应序列,初始化根节点,根节点的概率向量值为每个符号在序列中出现的概率,概率大于Pmin的符号作为候选子节点集;
S023.针对每一个候选子节点,计算候选子节点在子序列中出现的概率,概率大于Pmin的符号作为新的候选子节点集;
S024.对于S021-S023过程进行递归,直到当前分支上的树深度达到预设的概率后缀树深度L或者候选子节点集为空。
4.根据权利要求1或2所述的一种智能学习式自应答工业互联网蜜罐诱导方法,其特征在于:所述步骤S03中,根据当前响应预测模型查找该请求子序列在概率后缀树上所在的节点,如果未查找到该请求子序列,则直接返回“不响应”,如果查找到,则返回节点上概率值最大的响应编码,查找响应编码对应的响应内容,将该响应内容返回给攻击者,同时记录该请求响应序列,当接收到下条请求数据时,拼接历史请求响应序列,再通过模型,返回概率值最大得响应编码所对应的响应内容。
5.根据权利要求4所述的一种智能学习式自应答工业互联网蜜罐诱导方法,其特征在于:当概率值最大的有多个编码时,按照预设标准选择其中一个...
【专利技术属性】
技术研发人员:王文君,赵杰,达盼飞,郑力达,李明蕊,魏国富,殷钱安,梁淑云,
申请(专利权)人:上海观安信息技术股份有限公司,
类型:发明
国别省市:上海;31
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。