本发明专利技术的实施例提供一种面向主动安全防御技术的对抗模型设计方法及装置。方法包括:获取攻击者在预设时间段内控制目标节点需要付出的资源开销和从所述目标节点获取到的资源收益;根据所述资源开销和资源收益,生成至少一种防御策略,所述防御策略是每个目标节点的地址跳变的时间集合,所述时间集合包括:每个目标节点的每次地址跳变获取的虚假地址持续时间。本发明专利技术的方案为操作系统提供安全可信的运行环境。的运行环境。的运行环境。
【技术实现步骤摘要】
一种面向主动安全防御技术的对抗模型设计方法及装置
[0001]本专利技术涉及计算机网络安全
,特别是指一种面向主动安全防御技术的对抗模型设计方法及装置。
技术介绍
[0002]随着信息化高速发展,云计算、大数据、搜索引擎、智能手机、网络购物、在线社交等新兴科技产物已走进千家万户,给人类带来方便的同时,也给人类的信息带来安全隐患,网络安全已成为影响人类社会发展的问题。随着信息系统复杂度的增大以及攻击手段的不断演进,传统静态网络防护手段已难以满足网络空间安全需求。
技术实现思路
[0003]本专利技术提供了一种面向主动安全防御技术的对抗模型设计方法及装置,将对抗思想引入至智能主动网络防御的设计之中,以此优化防御代价、指导策略选取、丰富动态化属性,提升智能主动安全防御的效能,为操作系统提供安全可信的运行环境。
[0004]为解决上述技术问题,本专利技术的实施例提供以下方案:一种面向主动安全防御技术的对抗模型设计方法,应用于目标节点,所述方法包括:获取攻击者在预设时间段内控制目标节点需要付出的资源开销和从所述目标节点获取到的资源收益;根据所述资源开销和资源收益,生成应用于内核态的至少一种防御策略,所述防御策略是确定每个目标节点的地址跳变的时间集合,所述时间集合包括:每个目标节点的每次地址跳变获取的虚假地址持续时间;所述防御策略包括以下至少一种:最优动态机制;多样性动态化策略;地址协同动态机制;其中,所述多样性动态化策略包括:根据所述防御策略,在不同时间进行地址跳变和/或虚拟地址变换空间进行变换;所述时间的收益由随机因子决定;其中,所述地址协同动态机制包括:基于软件定义L2/L3层地址协同网络架构,对所述目标节点的主机进行透明的IP与MAC同步跳变。
[0005]可选的,面向主动安全防御技术的对抗模型设计方法,还包括:根据所述目标节点的网络属性参数,对所述目标节点的至少一种防御策略进行动态化切换。
[0006]可选的,所述网络属性参数包括以下至少一项:所述目标节点的IP地址、媒体访问控制MAC、服务端口、服务类型、拓扑以及路由。
[0007]可选的,所述至少一种防御策略满足以下条件:
用表示使用不同的防御策略的目标节点的类型,先验分布,为防御者为类型的概率,满足,0<可选的,面向主动安全防御技术的对抗模型设计方法,还包括:在所述目标节点的连续收益空间上定义一个与所述目标节点类型相关的收益的分布函数,在时间段t内,取定值,所述目标节点的收益实现由作用于的函数决定,所述目标节点防御者的收益分布函数为攻防双方的共同知识,表示时间段t内,目标节点d的最小收益为v,为表示时间段t内,目标节点d的最大收益为u。
[0008]本专利技术的实施例还提供一种面向主动安全防御技术的对抗模型设计装置,包括:获取模块,用于获取攻击者在预设时间段内控制目标节点需要付出的资源开销和从所述目标节点获取到的资源收益;处理模块,用于根据所述资源开销和资源收益,生成应用于内核态的至少一种防御策略,所述防御策略是确定每个目标节点的地址跳变的时间集合,所述时间集合包括:每个目标节点的每次地址跳变获取的虚假地址持续时间;所述防御策略包括以下至少一种:最优动态机制;多样性动态化策略;地址协同动态机制;其中,所述多样性动态化策略包括:根据所述防御策略,在不同时间进行地址跳变和/或虚拟地址变换空间进行变换;所述时间的收益由随机因子决定;其中,所述地址协同动态机制包括:基于软件定义L2/L3层地址协同网络架构,对所述目标节点的主机进行透明的IP与MAC同步跳变。
[0009]本专利技术的实施例还提供一种计算设备,包括处理器,存储器及存储在所述存储器上并可在所述处理器上运行的程序或指令,所述程序或指令被所述处理器执行时实现如上所述的方法的步骤。
[0010]本专利技术的实施例还提供一种计算机可读存储介质,存储指令,当所述指令在计算机上运行时,使得计算机执行如上所述的方法。
[0011]本专利技术的上述方案至少包括以下有益效果:本专利技术的上述方案,通过获取攻击者在预设时间段T内控制目标节点需要付出的资源开销和从所述目标节点获取到的资源收益;根据所述资源开销和资源收益,生成至少一种防御策略,所述防御策略是每个目标节点的地址跳变的时间集合,所述时间集合包括:每个目标节点的每次地址跳变获取的虚假地址持续时间。对单一属性动态化防御的代价优化收益,从而达到提升动态网络防御收益和降低动态防御开销成本的目的;进一步地,多样
性防御策略混合切换机制,通过对抗模型将防御者的欺骗行为形式化,推测两类攻击者对防御者类型的预测行为,为构建多样性动态化系统提供了一种普适性的评估、设计模型与策略计算方法;进一步地,基于软件定义架构,通过在控制器层面处理DNS、DHCP、ARP等协议,改进ARP处理机制、地址隐藏方法和消息处理机制等,实现了对用户透明L2/L3地址协同动态机制,可有效提升针对网络侦察攻击的对抗能力,实现了从内核态和用户态两个层面,为操作系统提供安全可信的运行环境,提升动态网络防御收益和降低动态防御开销成本。
附图说明
[0012]图1为本专利技术实施例的面向主动安全防御技术的对抗模型设计方法的流程示意图;图2为本专利技术实施例的防御策略切换的示意图;图3为本专利技术实施例的面向主动安全防御技术的对抗模型设计系统架构示意图;图4为本专利技术实施例的面向主动安全防御技术的对抗模型设计装置的模块结构示意图。
具体实施方式
[0013]下面将参照附图更详细地描述本专利技术的示例性实施例。虽然附图中显示了本专利技术的示例性实施例,然而应当理解,可以以各种形式实现本专利技术而不应被这里阐述的实施例所限制。相反,提供这些实施例是为了能够更透彻地理解本专利技术,并且能够将本专利技术的范围完整的传达给本领域的技术人员。
[0014]如图1所示,本专利技术提供一种面向主动安全防御技术的对抗模型设计方法,应用于目标节点,所述方法包括:步骤11,获取攻击者在预设时间段T内控制目标节点需要付出的资源开销和从所述目标节点获取到的资源收益;步骤12,根据所述资源开销和资源收益,生成应用于内核态的至少一种防御策略,所述防御策略是确定每个目标节点的地址跳变的时间集合,所述时间集合包括:每个目标节点的每次地址跳变获取的虚假地址持续时间;所述防御策略包括以下至少一种:最优动态机制;多样性动态化策略;地址协同动态机制;其中,所述多样性动态化策略包括:根据所述防御策略,在不同时间进行地址跳变和/或虚拟地址变换空间进行变换;所述时间的收益由随机因子决定;其中,所述地址协同动态机制包括:基于软件定义L2/L3层地址协同网络架构,对所述目标节点的主机进行透明的IP与MAC同步跳变。
[0015]该实施例中,面向网络攻击的对抗是防御者和攻击者之间的一个基于连续时间的二人对抗模型。对抗双方在有限预设时间段T内,关于N(T)个独立节点(真实终端)在任意时刻选取行动(攻击或地址跳变),每次行动都要付出一定的开销。
[0016]具体对抗模型为:在任意时刻t1,节点都在t1之前最后占本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种面向主动安全防御技术的对抗模型设计方法,其特征在于,应用于目标节点,所述方法包括:获取攻击者在预设时间段内控制目标节点需要付出的资源开销和从所述目标节点获取到的资源收益;根据所述资源开销和资源收益,生成应用于内核态的至少一种防御策略,所述防御策略是确定每个目标节点的地址跳变的时间集合,所述时间集合包括:每个目标节点的每次地址跳变获取的虚假地址持续时间;所述防御策略包括以下至少一种:最优动态机制;多样性动态化策略;地址协同动态机制;其中,所述多样性动态化策略包括:根据所述防御策略,在不同时间进行地址跳变和/或虚拟地址变换空间进行变换;所述时间的收益由随机因子决定;其中,所述地址协同动态机制包括:基于软件定义L2/L3层地址协同网络架构,对所述目标节点的主机进行透明的IP与MAC同步跳变。2.根据权利要求1所述的面向主动安全防御技术的对抗模型设计方法,其特征在于,还包括:根据所述目标节点的网络属性参数,对所述目标节点的至少一种防御策略进行动态化切换。3.根据权利要求2所述的面向主动安全防御技术的对抗模型设计方法,其特征在于,所述网络属性参数包括以下至少一项:所述目标节点的IP地址、媒体访问控制MAC、服务端口、服务类型、拓扑以及路由。4.根据权利要求2所述的面向主动安全防御技术的对抗模型设计方法,其特征在于,所述至少一种防御策略满足以下条件:用表示使用不同的防御策略的目标节点的类型,先验分布,为防御者为类型的概率,满足,0<。5.根据权利要求1所述的面向主动安全防御技术的对抗模型设计方法,其特征...
【专利技术属性】
技术研发人员:杨贻宏,
申请(专利权)人:上海飞旗网络技术股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。