一种基于智能响应式威胁感知和动态网络变换技术的主动防御系统技术方案

本发明专利技术属于主动防御技术领域，公开了一种基于智能响应式威胁感知和动态网络变换技术的主动防御系统，其特征在于，该系统具体包括：威胁感知模块依据新的规则库，实时识别与处理网络攻击威胁信息；智能响应模块对网络攻击威胁信息进行智能响应，并控制虚假网络元素模块和网络环境模块进行工作；虚假网络元素模块，在网络设备控制面动态虚拟网络的各种网络元素，增大虚假网络元素的数量；特征分析模块，与数据库和规则库连接，用于基于马尔柯夫过程学习模型对数据库中的网络攻击威胁信息进行相关特征分析，构建合适的规则库，并自动更新规则库；本发明专利技术增加攻击者网络探测和网络节点渗透的难度，有效抵御针对目标网络的恶意攻击，提升目标网络的存活率。提升目标网络的存活率。提升目标网络的存活率。

【技术实现步骤摘要】
一种基于智能响应式威胁感知和动态网络变换技术的主动防御系统


[0001]本专利技术属于主动防御
，尤其涉及一种基于智能响应式威胁感知和动态网络变换技术的主动防御系统。

技术介绍

[0002]在网络攻击趋向组合化、自动化的态势下，现有防御方法难以有效应对愈加复杂的网络入侵，网络攻防地位的不对称性日益加剧。为了改变这种“易攻难守”的局面，智能响应式威胁感知和动态网络变换技术应运而生。它旨在以防御方可控的方法通过改变网络要素的属性，实现被保护网络随机、动态、异构的变化，从而破坏攻击链对运行环境确定、静态、同构的依存要求，进而增加攻击者的攻击难度。
[0003]现有专门研究智能响应式威胁感知和动态网络变换技术较少，并且现有方法在对抗未知攻击对手时则力不从心，且存在自身易被攻击的危险。
[0004]本专利技术的目的是打破目前网络各要素的静态性、确定性和相似性的缺陷，增加攻击者网络探测和网络节点渗透的难度，有效抵御针对目标网络的恶意攻击，提升目标网络的存活率。
[0005]通过上述分析，现有技术存在的问题及缺陷为：
[0006]现有专门研究智能响应式威胁感知和动态网络变换技术较少，并且现有方法在对抗未知攻击对手时则力不从心，且存在自身易被攻击的危险。

技术实现思路

[0007]针对现有技术存在的问题，本专利技术提供了一种基于智能响应式威胁感知和动态网络变换技术的主动防御系统。
[0008]本专利技术是这样实现的，一种基于智能响应式威胁感知和动态网络变换技术的主动防御系统，其特征在于，该系统具体包括：
[0009]威胁感知模块、智能响应模块、虚假网络元素模块、网络环境模块、流量控制模块、虚假信息添加模块、数据库、特征分析模块和规则库；
[0010]所述威胁感知模块，与智能响应模块、数据库、规则库连接，用于依据新的规则库，实时识别与处理网络攻击威胁信息，如果判断为网络攻击威胁信息，则将网络攻击威胁信息发送至智能响应模块和数据库，否则认为是正常信息则放行；
[0011]所述智能响应模块，与虚假网络元素模块、虚假信息添加模块连接，用于对网络攻击威胁信息进行智能响应，并控制虚假网络元素模块和网络环境模块进行工作；
[0012]所述虚假网络元素模块，与网络环境模块连接，用于在网络设备控制面动态虚拟网络的各种网络元素，增大虚假网络元素的数量；
[0013]所述网络环境模块，用于形成所需的各种动态网络环境；
[0014]所述流量控制模块，与网络环境模块连接，用于根据网络环境发送的环境信息进
而控制流量走向；
[0015]所述虚假信息添加模块，用于以时间为轴线，根据配置的动态变化时间间隔T
next
，动态随机在真实信息中加入虚假信息，应对外部攻击；
[0016]所述数据库，用于存储威胁感知模块识别与处理的网络攻击威胁信息；
[0017]所述特征分析模块，与数据库和规则库连接，用于基于马尔柯夫过程学习模型对数据库中的网络攻击威胁信息进行相关特征分析，构建合适的规则库，并自动更新规则库；所述自动更新规则库包括：
[0018]用户运行更新算法，输入私钥SK、查询索引x、待更新数据v
′
，用户首先利用私钥SK产生一个操作授权token为t
′
x，然后将(t
′
x，v
′
)发送给终端；终端使用v
′
更新在索引x中的相关数据，并利用t
′
x更新公钥PK；
[0019]规则库更新操作方法中令数据库为其中1≤x≤q，l
x
≥0表示在存储格索引x中的数据记录数目；在上的三种更新操作包括：
[0020]替代：终端想将替换为v
′
x
，则l
x
保持不变；
[0021]删除：终端想删除则l
x
仍保持不变；
[0022]插入：终端想在前面插入一个新的记录则l
x
加一；
[0023]所述规则库，用于存储特征分析模块特征分析的特征分析结果。
[0024]进一步，所述威胁感知模块，用于依据新的规则库，实时识别与处理网络攻击威胁信息具体包括：
[0025]步骤一：终端将待检测网络攻击威胁信息发送至服务端；
[0026]步骤二：服务端接收待检测网络攻击威胁信息，并根据服务端存储的规则库，对所述待检测网络攻击威胁信息进行比较分析，并反馈比较分析的结果；
[0027]步骤三：终端接收服务端反馈的比较分析结果，并根据所述比较分析结果显示相应的提示信息，以提示用户所述待检测信息为虚假信息或者真实信息。
[0028]进一步，所述网络元素具体包括终端，工作站，传输介质，交换机。
[0029]进一步，所述动态网络环境具体包括：仿真网络环境、攻击识别环境、攻击取证分析环境。
[0030]进一步，所述动态变化时间间隔T
next
会根据攻击强度和攻击持续的时间动态调整，具体如下：
[0031][0032]其中：p
attack
为攻击强度，t
hold
为攻击强度持续的时间，t
period
为中真实信息间单次网络访问的平均时长，t
mix
为真实信息间单次网络访问可接受的最小时长。
[0033]进一步，所述特征分析模块基于马尔柯夫过程学习模型对网络攻击威胁信息进行相关特征分析具体包括：
[0034](1)建立网络攻击威胁信息马尔柯夫过程学习模型；
[0035](2)对网络攻击威胁信息采样，得到特征向量，确定模型各初始参数；
[0036](3)反复迭代训练马尔柯夫过程学习模型，根据给定样本个数，对于每条网络攻击威胁都产生一个具有不同参数马尔柯夫过程学习模型，一共m个，m≥1；
[0037](4)对待网络攻击威胁信息采样，得到特征向量；
[0038](5)将待网络攻击威胁信息的特征向量分割，对所有马尔柯夫过程学习模型递进地计算最大相似度，同时排除相似度最小的马尔柯夫过程学习模型，最后得到识别结果。
[0039]进一步，所述建立网络攻击威胁信息马尔柯夫过程学习模型具体包括：
[0040]1)隐含状态的数目N，状态集为S＝{s1,s2,s3}，分别对应告警时间、告警类型、告警时限；
[0041]2)观察序列的数目M，观察序列集为V＝{v1,v2,...,v
m
}，m≥1，对于告警信息马尔柯夫过程学习模型，观察序列集为信息采样窗口得到的特征值；
[0042]3)状态转移矩阵A，A＝{a
ij
}，aij＝P[q
t+1
＝s
j
|q
t
＝s
i
]，1≤i,j≤N，其中q
t
为在时刻t的状态，A为N
×本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于智能响应式威胁感知和动态网络变换技术的主动防御系统，其特征在于，所述基于智能响应式威胁感知和动态网络变换技术的主动防御系统包括：所述威胁感知模块，与智能响应模块、数据库、规则库连接，用于依据新的规则库，实时识别与处理网络攻击威胁信息，如果判断为网络攻击威胁信息，则将网络攻击威胁信息发送至智能响应模块和数据库，否则认为是正常信息则放行；所述智能响应模块，与虚假网络元素模块、虚假信息添加模块连接，用于对网络攻击威胁信息进行智能响应，并控制虚假网络元素模块和网络环境模块进行工作；所述虚假网络元素模块，与网络环境模块连接，用于在网络设备控制面动态虚拟网络的各种网络元素，增大虚假网络元素的数量；所述网络环境模块，用于形成所需的各种动态网络环境；所述流量控制模块，与网络环境模块连接，用于根据网络环境发送的环境信息进而控制流量走向；所述虚假信息添加模块，用于以时间为轴线，根据配置的动态变化时间间隔T
next
，动态随机在真实信息中加入虚假信息，应对外部攻击；所述数据库，用于存储威胁感知模块识别与处理的网络攻击威胁信息；所述特征分析模块，与数据库和规则库连接，用于基于马尔柯夫过程学习模型对数据库中的网络攻击威胁信息进行相关特征分析，构建合适的规则库，并自动更新规则库；所述规则库，用于存储特征分析模块特征分析的特征分析结果。2.如权利要求1所述的基于智能响应式威胁感知和动态网络变换技术的主动防御系统，其特征在于，所述威胁感知模块，用于依据新的规则库，实时识别与处理网络攻击威胁信息具体包括：步骤一：终端将待检测网络攻击威胁信息发送至服务端；步骤二：服务端接收待检测网络攻击威胁信息，并根据服务端存储的规则库，对所述待检测网络攻击威胁信息进行比较分析，并反馈比较分析的结果；步骤三：终端接收服务端反馈的比较分析结果，并根据所述比较分析结果显示相应的提示信息，以提示用户所述待检测信息为虚假信息或者真实信息。3.如权利要求1所述的基于智能响应式威胁感知和动态网络变换技术的主动防御系统，其特征在于，所述网络元素具体包括终端，工作站，传输介质，交换机。4.如权利要求1所述的基于智能响应式威胁感知和动态网络变换技术的主动防御系统，其特征在于，所述动态网络环境具体包括：仿真网络环境、攻击识别环境、攻击取证分析环境。5.如权利要求1所述的基于智能响应式威胁感知和动态网络变换技术的主动防御系统，其特征在于，所述动态变化时间间隔T
next
会根据攻击强度和攻击持续的时间动态调整，具体如下：其中：p
attack
为攻击强度，t
hold
为攻击强度持续的时间，t
period
为中真实信息间单次网络
访问的平均时长，t
mix
为真实信息间单次网络访问可接受的最小时长。6.如权利要求1所述的基于智能响应式威胁感知和动态网络变换技术的主动防御系统，其特征在于，所述特征分析模块基于马尔柯夫过程学习模型对网络攻击威胁信息进行相关特征分析具体包括：(1)建立网络攻击威胁信息马尔柯夫过程学习模型；(2)对网络攻击威胁信息采样，得到特征向量，确定模型各初始参数；(3)反复迭代训练马尔柯夫过程学习模型，根据给定样本个数，对于每条网络攻击威胁都产生一个具有不同参数马尔柯夫过程学习模型，一共m个，m≥1；(4)对待网络攻击威胁信息采样，得到特征向量；(5)将待网络攻击威胁...

【专利技术属性】
技术研发人员：成凯，王强，吴湛，谈林涛，肖冬玲，邹澄澄，
申请(专利权)人：国家电网公司华中分部，
类型：发明
国别省市：