基于云计算构建大规模诱捕场景的方法及系统技术方案

本发明专利技术属于神经网络技术领域，具体涉及基于云计算构建大规模诱捕场景的方法及系统，所述方法执行以下步骤：步骤1：建立多个与本地端的应用层、传输层、网络层、链路层和物理层均相同的云端，每个云端均视为本地端的一个镜像诱饵容器；步骤2：采集本地端的诱饵资源数据，所述诱饵资源数据至少包括：用户行为数据、应用使用数据、网络环境数据、登录凭据数据、文件数据和流量数据；针对采集到的本地端数据，进行数据预处理，获得预处理数据，对预处理数据进行数据分类。其通过对诱饵资源数据进行分类学习，以确保不同的诱饵资源数据能够进行更为适配的模型训练，从而使得生成的诱饵将更具备欺骗性。

Method and system of constructing large-scale trapping scene based on Cloud Computing

【技术实现步骤摘要】
基于云计算构建大规模诱捕场景的方法及系统
本专利技术属于网络安全
，具体涉及基于云计算构建大规模诱捕场景的方法及系统。
技术介绍
随着互联网不断普及，越来越多的单位和个人计算机都连接上互联网，随之网络安全问题也日益严重，互联网上的每台主机都有可能受到攻击.近年来不断发生黑客入侵企业网络的事件，如何保障企业网络安全，构筑一个安全可靠的企业网络成了当前迫切需要解决问题。蜜罐好比是情报收集系统，蜜罐好像是故意让人攻击的目标，引诱黑客前来攻击。所以攻击者入侵后，你就可以知道他是如何得逞的，随时了解针对服务器发动的最新的攻击和漏洞。还可以通过窃听黑客之间的联系，收集黑客所用的种种工具，并且掌握他们的社交网络。传统蜜罐只能使用固定的、僵化的方式来欺骗攻击者，随着攻击水平的不断提高，需要采用更为动态、新颖、灵活的多维欺骗诱饵的方式构建新型蜜罐以达到更好、更快、更准诱骗攻击者的目的。云计算（cloudcomputing）是分布式计算的一种，指的是通过网络“云”将巨大的数据计算处理程序分解成无数个小程序，然后，通过多部服务器组成的系统进行处理和分析这些小程序得到结果并返回给用户。云计算早期，简单地说，就是简单的分布式计算，解决任务分发，并进行计算结果的合并。因而，云计算又称为网格计算。通过这项技术，可以在很短的时间内（几秒种）完成对数以万计的数据的处理，从而达到强大的网络服务。将云计算与蜜罐技术相结合，不仅可以提升网络安全中诱饵生成的效率，同时云计算具有远端的特点，可以进一步提升了网络防御的安全性。>
技术实现思路
本专利技术的主要目的在于提供基于云计算构建大规模诱捕场景的方法及系统，其通过对诱饵资源数据进行分类学习，以确保不同的诱饵资源数据能够进行更为适配的模型训练，从而使得生成的诱饵将更具备欺骗性，同时本专利技术对模型训练后生成的诱饵进行基于无监督学习的聚类，得到伴随式诱饵，诱饵的相似程度更高，提升了诱捕攻击者的能力。为达到上述目的，本专利技术的技术方案是这样实现的：基于云计算构建大规模诱捕场景的方法，所述方法执行以下步骤：步骤1：建立多个与本地端的应用层、传输层、网络层、链路层和物理层均相同的云端，每个云端均视为本地端的一个镜像诱饵容器；步骤2：采集本地端的诱饵资源数据，所述诱饵资源数据至少包括：用户行为数据、应用使用数据、网络环境数据、登录凭据数据、文件数据和流量数据；针对采集到的本地端数据，进行数据预处理，获得预处理数据，对预处理数据进行数据分类，为分类后得到的每个子数据集添加标签；再基于添加标签的子数据集进行学习映射，以完成分类器的训练；在基于添加标签的子数据集使用建立的聚类模型进行训练，以完成聚类器的训练；步骤3：外部请求在访问本地端时，首先采集外部请求的参数进行采集，所述外部请求的参数至少包括：用户行为数据、应用使用数据、网络环境数据、登录凭据数据、文件数据和流量数据；在基于采集到的外部请求的参数，使用完成训练的分类器进行分类，在基于分类的结果，使用完成训练的聚类器进行聚类，以识别外部请求的类型；步骤4：根据外部请求的类型，对每个云端进行分类，每个云端与外部请求的一个类型一一对应；根据识别获取的外部请求的类型，将该外部请求在访问本地端之前，首先导入该外部请求类型对应的云端；步骤5：在云端设置监听器，实时监听外部请求在访问云端时是否有恶意攻击行为；如果存在恶意攻击行为，则将该外部请求直接进行拦截，若没有检测到任何恶意攻击行为，则将该外部请求再发送至本地端。进一步的，所述步骤1中，建立与本地端的应用层、传输层、网络层、链路层和物理层均相同的云端的方法执行以下步骤：在远程云服务器上执行构建器应用程序，该远程云服务器包括处理器、存储器、操作系统、和用于存储软件应用程序和创建云端镜像的存储空间；提供所述软件应用程序，其包括应用程序代码和应用程序数据；读取设备配置文件，其指示用于与所述软件应用程序一起使用的配置设置，包括一个或多个虚拟机、类路径和环境变量设置；接收关于将要与应用程序一起使用的管理器类型的指示；将所述管理器类型特定的并且合乎所述配置设置的虚拟机的接引装置写入存储空间中，其中不同形式的接引装置被用于不同的管理器类型；将虚拟机的不接引装置以及软件应用程序写入存储空间中，其中所述不接引装置用于执行所述软件应用程序；将接引装置配置成装载和执行不接引装置，包括用不接引装置的位置和由设备配置文件提供的配置设置更新接引装置；以及如配置设置所配置的那样输出接引装置和不接引装置作为云端镜像，其中，所述云端镜像被预配置以用于部署到包括多个物理远程云服务器的云，所述多个物理远程云服务器包括所指示的管理器类型，使得接引装置被预配置为引导、装载和执行不接引装置和应用程序，而不需要对所述多个物理远程云服务器的进一步配置。进一步的，所述步骤2中进行数据预处理的方法执行以下步骤：针对采集到的本地端数据，进行去除唯一属性、处理缺失值和异常值检测及处理；然后进行数据规约处理，包括：去平均值、计算协方差矩阵、计算协方差矩阵的特征值与特征向量、对特征值从大到小排序、保留最大的特征向量、将数据转换到特征向量构建的新空间中；最后得处理后的新的数据。进一步的，所述分类器对预处理数据进行数据分类的方法执行以下步骤：获取分类树，所述分类树为多叉树，包含至少两层，且所述分类树中各个节点对应各自的分类类型；根据所述分类树中各个节点存储的数据，训练各个父节点各自对应的分类模型，所述数据预先经过类型标注并存储在对应的节点中，所述父节点对应至少一个子节点，所述分类模型用于将语料划分到对应的子节点；获取目标数据，所述目标数据为未知分类类型的待预测数据；通过所述分类树中各个节点的所述分类模型对所述目标数据进行逐级分类。进一步的，所述聚类模型识别外部请求的类型的方法执行以下步骤：随机抽取外部请求的部分数据，记为N，所述抽取的部分数据在外部请求的数据的占比范围为：4%~8%；在随机抽取的部分数据N，使用高斯和算子Sj进行扩张计算，算出扩张域K上的任意一点的随机抽取的部分数据N的多个基底数N=Sj(N)，其中，j是大于等于N且小于等于2N-l的整数；所述扩张域K是将所述有限域Fp扩张2阶得到的代数扩张域，然后根据余数a，使用如下公式，计算出多个离散对数lP，其中，K是大于等于1且小于等于100的整数，所述多个离散对数lP是大于等于N且小于等于100的整数；将计算出的多个离散对数lP作为外部请求的类型的特征值；同时使用误差函数，验证计算出的外部请求的类型的特征值是否在误差范围内。进一步的，所述聚类模型的误差函数验证外部请求的类型的特征值的方法包括：设定一个权重函数，用wi表示，将每个输入变量与相对应的权重函数进行卷积运算，得到第一中间结果；设定一个激励函数，所述激励函数为：；设定聚类网络的聚类元阈值为：Θ；将第一中间结果和该激励函数以及聚类元阈值进行运算，得到前向聚类网络的结果为：；计算前向聚类网络的识别误差；由于本次识别输出的变量E为“外部请求的类型的特征值”，但模型训练后会产生一个预测值为O，故得本文档来自技高网...

【技术保护点】
1.基于云计算构建大规模诱捕场景的方法，其特征在于，所述方法执行以下步骤：/n步骤1：建立多个与本地端的应用层、传输层、网络层、链路层和物理层均相同的云端，每个云端均视为本地端的一个镜像诱饵容器；/n步骤2：采集本地端的诱饵资源数据，所述诱饵资源数据至少包括：用户行为数据、应用使用数据、网络环境数据、登录凭据数据、文件数据和流量数据；针对采集到的本地端数据，进行数据预处理，获得预处理数据，对预处理数据进行数据分类，为分类后得到的每个子数据集添加标签；再基于添加标签的子数据集进行学习映射，以完成分类器的训练；在基于添加标签的子数据集使用建立的聚类模型进行训练，以完成聚类器的训练；/n步骤3：外部请求在访问本地端时，首先采集外部请求的参数进行采集，所述外部请求的参数至少包括：用户行为数据、应用使用数据、网络环境数据、登录凭据数据、文件数据和流量数据；在基于采集到的外部请求的参数，使用完成训练的分类器进行分类，在基于分类的结果，使用完成训练的聚类器进行聚类，以识别外部请求的类型；/n步骤4：根据外部请求的类型，对每个云端进行分类，每个云端与外部请求的一个类型一一对应；根据识别获取的外部请求的类型，将该外部请求在访问本地端之前，首先导入该外部请求类型对应的云端；/n步骤5：在云端设置监听器，实时监听外部请求在访问云端时是否有恶意攻击行为；如果存在恶意攻击行为，则将该外部请求直接进行拦截，若没有检测到任何恶意攻击行为，则将该外部请求再发送至本地端。/n...

【技术特征摘要】
1.基于云计算构建大规模诱捕场景的方法，其特征在于，所述方法执行以下步骤：
步骤1：建立多个与本地端的应用层、传输层、网络层、链路层和物理层均相同的云端，每个云端均视为本地端的一个镜像诱饵容器；
步骤2：采集本地端的诱饵资源数据，所述诱饵资源数据至少包括：用户行为数据、应用使用数据、网络环境数据、登录凭据数据、文件数据和流量数据；针对采集到的本地端数据，进行数据预处理，获得预处理数据，对预处理数据进行数据分类，为分类后得到的每个子数据集添加标签；再基于添加标签的子数据集进行学习映射，以完成分类器的训练；在基于添加标签的子数据集使用建立的聚类模型进行训练，以完成聚类器的训练；
步骤3：外部请求在访问本地端时，首先采集外部请求的参数进行采集，所述外部请求的参数至少包括：用户行为数据、应用使用数据、网络环境数据、登录凭据数据、文件数据和流量数据；在基于采集到的外部请求的参数，使用完成训练的分类器进行分类，在基于分类的结果，使用完成训练的聚类器进行聚类，以识别外部请求的类型；
步骤4：根据外部请求的类型，对每个云端进行分类，每个云端与外部请求的一个类型一一对应；根据识别获取的外部请求的类型，将该外部请求在访问本地端之前，首先导入该外部请求类型对应的云端；
步骤5：在云端设置监听器，实时监听外部请求在访问云端时是否有恶意攻击行为；如果存在恶意攻击行为，则将该外部请求直接进行拦截，若没有检测到任何恶意攻击行为，则将该外部请求再发送至本地端。


2.如权利要求1所述的方法，其特征在于，所述步骤1中，建立与本地端的应用层、传输层、网络层、链路层和物理层均相同的云端的方法执行以下步骤：在远程云服务器上执行构建器应用程序，该远程云服务器包括处理器、存储器、操作系统、和用于存储软件应用程序和创建云端镜像的存储空间；提供所述软件应用程序，其包括应用程序代码和应用程序数据；读取设备配置文件，其指示用于与所述软件应用程序一起使用的配置设置，包括一个或多个虚拟机、类路径和环境变量设置；接收关于将要与应用程序一起使用的管理器类型的指示；将所述管理器类型特定的并且合乎所述配置设置的虚拟机的接引装置写入存储空间中，其中不同形式的接引装置被用于不同的管理器类型；将虚拟机的不接引装置以及软件应用程序写入存储空间中，其中所述不接引装置用于执行所述软件应用程序；将接引装置配置成装载和执行不接引装置，包括用不接引装置的位置和由设备配置文件提供的配置设置更新接引装置；以及如配置设置所配置的那样输出接引装置和不接引装置作为云端镜像，其中，所述云端镜像被预配置以用于部署到包括多个物理远程云服务器的云，所述多个物理远程云服务器包括所指示的管理器类型，使得接引装置被预配置为引导、装载和执行不接引装置和应用程序，而不需要对所述多个物理远程云服务器的进一步配置。


3.如权利要求2所述的方法，其特征在于，所述步骤2中进行数据预处理的方法执行以下步骤：针对采集到的本地端数据，进行去除唯一属性、处理缺失值和异常值检测及处理；然后进行数据规约处理，包括：去平均值、计算协方差矩阵、计算协方差矩阵的特征值与特征向量、对特征值从大到小排序、保留最大的特征向量、将数据转换到特征向量构建的新空间中；最后得处理后的新的数据。


4.如权利要求3所述的方法，其特征在于，所述分类器对预处理数据进行数据分类的方法执行以下步骤：获取分类树，所述分类树为多叉树，包含至少两层，且所述分类树中各个节点对应各自的分类类型；根据所述分类树中各个节点存储的数据，训练各个父节点各自对应的分类模型，所述数据预先经过类型标注并存储在对应的节点中，所述父节点对应至少...

【专利技术属性】
技术研发人员：任俊博，
申请(专利权)人：北京元支点信息安全技术有限公司，
类型：发明
国别省市：北京;11