本发明专利技术提出了一种拟态未知威胁发现系统,包括:流量存储器,采用时间分段的方式,将分发代理与外部用户的交互数据作为流量记录进行镜像存储;执行体快照池,定时存储在线执行体的快照,当裁决器检测到异常执行体后,还由调度模块将异常执行体保留一份现场快照;现场快照包括异常执行体的操作系统状态和应用程序状态;分析中心,接收到裁决器发送的异常执行体信息后,从流量存储器中调取流量记录,同时从执行体快照池取出异常执行体的现场快照;基于异常执行体的现场快照,确定执行体出现问题的地方;基于执行体出现问题的地方和流量记录,进行攻击溯源;调度器,在接收到裁决器发送的异常执行体信息后,将异常的执行体进行重启后继续上线。后继续上线。后继续上线。
【技术实现步骤摘要】
一种拟态未知威胁发现系统
[0001]本专利技术属于拟态防御
,尤其涉及一种拟态未知威胁发现系统。
技术介绍
[0002]目前,网络空间存在安全问题往往是通过进行打补丁、补漏洞的方式实现的,往往是一种亡羊补牢的做法。只有当网络威胁产生实质的攻击效果后,才能发现威胁、并对威胁进行分析,然后利用分析的攻击特征阻断攻击。拟态技术解决了对未知威胁的攻击,然而拟态技术采取的是一种问题规避的方式,往往不关心问题产生的原因,因此拟态系统往往无法识别出漏洞后门以及攻击手段。因此,在拟态技术的基础上,通过引入某些机制,对于发现新型攻击方法或者0
‑
day漏洞具有重要意义。
技术实现思路
[0003]为了解决上述问题,有必要提供一种拟态未知威胁发现系统。
[0004]本专利技术提供一种拟态未知威胁发现系统,包括:流量存储器,采用时间分段的方式,将分发代理与外部用户的交互数据作为流量记录进行镜像存储;执行体快照池,定时存储在线执行体的快照,当裁决器检测到异常执行体后,还由调度模块将异常执行体保留一份现场快照;现场快照包括异常执行体的操作系统状态和应用程序状态;分析中心,接收到裁决器发送的异常执行体信息后,从流量存储器中调取流量记录,同时从执行体快照池取出异常执行体的现场快照;基于异常执行体的现场快照,确定执行体出现问题的地方;基于执行体出现问题的地方和流量记录,进行攻击溯源;调度器,在接收到裁决器发送的异常执行体信息后,将异常的执行体进行重启后继续上线,不上线新的其它异构执行体。
[0005]基于上述,采用循环删除的方式对流量存储器进行空间清理,先删除时间节点上最久的文件。
[0006]基于上述,现场快照存储时,采用基于时间和执行体编号的方式进行记录。
[0007]基于上述,基于异常执行体的现场快照,确定执行体出现问题的地方的方法:分析中心通过对比异常执行体的当前现场快照状态S1和初始快照状态S0之间的差异性定位引起S1问题的位置和原因。
[0008]基于上述,对于操作系统问题的确定,分析中心通过对比异常执行体的当前现场快照状态S1和初始快照状态S0之间的内存使用率、CPU利用率、进程使用情况和文件系统状态,定位引起S1问题的位置和原因。
[0009]基于上述,对于应用程序问题的确定,在应用程序中预设多个代表应用程序运行时的状态,通过拟态裁决发现其中发生异常的状态,然后根据发生异常的状态进一步定位程序异常的原因。
[0010]基于上述,基于执行体出现问题的地方和流量记录,进行攻击溯源的方法:通过对比S1、S0的状态,发现引起S1问题的原因为进程P异常造成的;先将S1清洗恢复至正常状态,然后将S1异常前1个小时的流量重新回送到S1,查看S1是否出现异常,若未出现异常,继续回送前2个小时的流量,依次递增,当回送前t小时的流量时,S1上的进程P出现异常,则判定攻击流量在前t小时内,再对t小时内的流量进行分析;对t小时内的流量进行分析的过程:首先,将t小时内的流量与传统规则库进行比对,若能比对出异常数据包,再查看异常数据包开始的时间,利用传统规则库判定攻击发生的时间和攻击手段;若传统规则库无法对比出攻击过程,则进一步的将t小时内的流量进行切分为更小的时间段t={t1、t2、
……
、tn},然后将流量按切分的时间段依次回送至S1,回送至S1前,需要将S1清洗至正常状态;若在两个切分的时间段范围内S1内的进程P异常,则判定该切分的时间段中存在异常未知攻击,并将该切分的时间段中数据包的交互过程进行展示。
[0011]本专利技术的有益效果为:本专利技术通过在拟态构造系统中引入流量存储器、执行体快照池、分析中心模块,借助拟态技术对未知威胁的感知能力,去探测网络空间中新型的攻击方法或者0
‑
day漏洞。
[0012]本专利技术的附加方面和优点将在下面的描述部分中变得明显,或通过本专利技术的实践了解到。
附图说明
[0013]图1为本专利技术的原理图。
具体实施方式
[0014]为了能够更清楚地理解本专利技术的上述目的、特征和优点,下面结合附图和具体实施方式对本专利技术进行进一步的详细描述。需要说明的是,在不冲突的情况下,本申请的实施例及实施例中的特征可以相互组合。
[0015]在下面的描述中阐述了很多具体细节以便于充分理解本专利技术,但是,本专利技术还可以采用其他不同于在此描述的其他方式来实施,因此,本专利技术的保护范围并不受下面公开的具体实施例的限制。
[0016]如图1所示,本实施例提供一种拟态未知威胁发现系统,包括:流量存储器采用时间分段的方式,将分发代理与外部用户的交互数据作为流量记录进行镜像存储,时间分段越短,越有利于后期数据的分析,例如按照小时记录,每1小时存储一份记录文件;按天记录,每天存储一份文件;受限于流量存储器的空间大小,对于流量的记录在达到某个时间段后,采用循环删除的方式对流量存储器进行空间清理,先删除时间节点上最久的文件。
[0017]执行体快照池定时存储在线执行体的快照,当裁决器检测到异常执行体后,还由调度模块将异
常执行体保留一份现场快照;现场快照包括异常执行体的操作系统状态和应用程序状态;现场快照存储时,采用基于时间和执行体编号的方式进行记录。
[0018]分析中心接收到裁决器发送的异常执行体信息后,从流量存储器中调取流量记录,同时从执行体快照池取出异常执行体的现场快照;基于异常执行体的现场快照,确定执行体出现问题的地方;基于执行体出现问题的地方和流量记录,进行攻击溯源;执行体由CPU+操作系统+应用程序构成;分析中心通过对比异常执行体的当前现场快照状态S1和初始快照状态S0之间的差异性定位引起S1问题的位置和原因。
[0019]对于操作系统问题的定位往往集中在内存使用率、CPU利用率、进程使用情况,文件系统状态等。对于操作系统问题的确定,分析中心通过对比异常执行体的当前现场快照状态S1和初始快照状态S0之间的内存使用率、CPU利用率、进程使用情况和文件系统状态,定位引起S1问题的位置和原因;对于应用程序问题的确定,在应用程序中预设多个代表应用程序运行时的状态S11、S12、S13、S14状态,一般根据业务特点进行预置,例如对于http应用程序,可以将http应用程序依赖的服务器appache定义为,11状态,将http应用程序访问的数据库定义为S12状态,将http应用程序内部业务的输出定义为S13状态,将http应用程序依赖的开源库调用定为S14状态,等等。通过拟态裁决发现S11、S12、S13、S14哪个状态发生异常的状态,然后根据发生异常的状态进一步定位程序异常的原因。
[0020]基于执行体出现问题的地方和流量记录,进行攻击溯源的方法:通过对比S1、S0的状态,发现引起S1问题的原因为进程P异常造成的;先将S1清洗恢复至正常状态,然后将S1异常前1个小时的流量重新回送到S1,查看S1是否出现异常,若未出现异常,继续回送前2个小时的流量,依次递增,当回送前t小时的流量本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种拟态未知威胁发现系统,其特征在于,包括:流量存储器,采用时间分段的方式,将分发代理与外部用户的交互数据作为流量记录进行镜像存储;执行体快照池,定时存储在线执行体的快照,当裁决器检测到异常执行体后,还由调度模块将异常执行体保留一份现场快照;现场快照包括异常执行体的操作系统状态和应用程序状态;分析中心,接收到裁决器发送的异常执行体信息后,从流量存储器中调取流量记录,同时从执行体快照池取出异常执行体的现场快照;基于异常执行体的现场快照,确定执行体出现问题的地方;基于执行体出现问题的地方和流量记录,进行攻击溯源;调度器,在接收到裁决器发送的异常执行体信息后,将异常的执行体进行重启后继续上线,不上线新的其它异构执行体。2.根据权利要求1所述的拟态未知威胁发现系统,其特征在于:采用循环删除的方式对流量存储器进行空间清理,先删除时间节点上最久的文件。3.根据权利要求1所述的拟态未知威胁发现系统,其特征在于:现场快照存储时,采用基于时间和执行体编号的方式进行记录。4.根据权利要求1所述的拟态未知威胁发现系统,其特征在于,基于异常执行体的现场快照,确定执行体出现问题的地方的方法:分析中心通过对比异常执行体的当前现场快照状态S1和初始快照状态S0之间的差异性定位引起S1问题的位置和原因。5.根据权利要求4所述的拟态未知威胁发现系统,其特征在于:对于操作系统问题的确定,分析中心通过对比异常执行体的当前现场快照状态S1和初始快照状态S0之间的内存使用率、CP...
【专利技术属性】
技术研发人员:吕青松,冯志峰,张建军,郭义伟,李松泽,山海源,
申请(专利权)人:珠海高凌信息科技股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。