一种基于动态网络的防御方法、系统、设备、终端及存储介质技术方案

本发明专利技术属于网络防御技术领域，公开了基于动态网络的防御方法、系统、设备、终端及存储介质，该方法包括：不断对访问数据包进行实时识别与处理，如果判断目标源IP是虚拟节点，则将访问数据包发送至虚拟节点处理模块，否则认为是正常通信则放行，并将该攻击目标源IP录入到数据库中；基于马尔柯夫过程学习模型对数据库中的攻击目标源IP进行相关特征分析，构建合适的规则库，并自动更新规则库，对攻击目标源IP实时准确的检测。本发明专利技术在网络中动态构建大量的虚拟节点，从而有效迷惑攻击者，打乱攻击者的决策，使其无法准确获得网络拓扑、服务器类型、系统漏洞等信息，使攻击者的网络渗透无效化。化。化。

【技术实现步骤摘要】
一种基于动态网络的防御方法、系统、设备、终端及存储介质


[0001]本专利技术属于网络防御
，尤其涉及一种基于动态网络的防御方法、系统、设备、终端及存储介质。

技术介绍

[0002]在网络攻击趋向组合化、自动化的态势下，现有防御方法难以有效应对愈加复杂的网络入侵，网络攻防地位的不对称性日益加剧。为了改变这种“易攻难守”的局面，移动目标防御技术应运而生。它旨在以防御方可控的方法通过改变系统要素的属性，实现被保护网络随机、动态、异构的变化，从而破坏攻击链对运行环境确定、静态、同构的依存要求，进而增加攻击者的攻击难度。
[0003]本专利技术的目的是打破目前网络各要素的静态性、确定性和相似性的缺陷，增加攻击者网络探测和网络节点渗透的难度，有效抵御针对目标网络的恶意攻击，提升目标网络的存活率。
[0004]通过上述分析，现有技术存在的问题及缺陷为：
[0005]现有防御方法难以有效应对愈加复杂的网络入侵，网络攻防地位的不对称性日益加剧。

技术实现思路

[0006]针对现有技术存在的问题，本专利技术提供了一种基于动态网络的防御方法、系统、设备、终端及存储介质。
[0007]本专利技术是这样实现的，一种基于动态网络的防御方法包括：
[0008]步骤一：感知处理模块不断对访问数据包进行实时识别与处理，如果判断目标源IP是虚拟节点，则将访问数据包发送至虚拟节点处理模块，否则认为是正常通信则放行，若判断为攻击目标源IP，则对该目标源IP进行封堵，并将该攻击目标源IP录入到数据库中；
[0009]步骤二：虚拟节点处理模块，用于构建虚假响应数据包，针对目标源IP是虚拟节点，调用虚拟节点池中的虚拟节点进行响应；
[0010]步骤三：虚拟节点生成模块以时间为轴线，根据配置的动态变化时间间隔T
next
，周期性地生成虚拟节点，从而实现动态网络环境；
[0011]步骤四：特征分析模块基于马尔柯夫过程学习模型对数据库中的攻击目标源IP进行相关特征分析，构建合适的规则库，并自动更新规则库，对攻击目标源IP实时准确的检测。所述检测执行如下步骤：
[0012]针对更新的规则库，采用漏洞检测方法来逼近攻击结果；
[0013]将得到的规则库的检测矩阵的检测的近似结果代入到漏洞检测方法中，通过漏洞检测方法公式计算接收估计值；
[0014]通过对攻击率进行分析来验证变漏洞检测方法的性能；
[0015]针对于更新的规则库A＝H
H
H+σ2I，其中σ2为噪声方差，I为单位矩阵；采用漏洞检测
迭代来求规则库的检测矩阵A的近似检测，其中，漏洞检测方法的迭代公式为X
k+1
＝X
k
‑
h
k
X
k
(AX
k
‑
I)，其中X
k
为第k次迭代得到的矩阵检测的近似值，h
k
为步长因子；
[0016]漏洞检测方法的迭代公式中，在初始迭代时选取较大的步长，随着迭代次数的增加，步长的取值慢慢减小，最终趋于1；具体的，最佳的更新公式为
[0017]h
k
＝1/(1
‑
θ
·
trace(E
k
)/N)
[0018]其中，E
k
为误差矩阵，N为矩阵的阶数，θ为调节因子；调节因子θ的取值范围为[0,1]，θ取值越大，初始迭代步长越大，算法稳定性越差，θ取值越小，初始迭代步长越小，算法稳定性越好；为满足性能与稳定性的折中，取θ值为0.8；
[0019]经过第k次迭代运算后得到的规则库的检测矩阵的检测的近似值X
k
，由漏洞检测方法，得到发射信号矢量X的接收估计值为根据所述估计值，获得攻击目标源IP准确数据。
[0020]进一步，所述虚假响应数据包包括虚假的MAC地址、虚假的操作系统的类型和版本、虚假的IP地址以及虚假的开放端口等。
[0021]进一步，所述生成虚拟节点具体包括：
[0022](1)根据用户配置的IP范围，随机地选取若干IP地址生成虚拟节点，要求用户配置地IP范围不与目标网络内正在使用的IP地址冲突；
[0023](2)无需用户配置，根据接收到的ARP请求信息和/或路由信息，自动学习并记录当前网络中正在使用的IP地址，对正在使用的IP地址所在的逻辑子网进行检索，随机选取其中未使用的IP地址生成虚拟节点。
[0024]进一步，所述动态变化时间间隔T
next
会根据攻击强度和攻击持续的时间动态调整，具体如下：
[0025][0026]其中：p
attack
为攻击强度，t
hold
为攻击强度持续的时间，t
period
为中真实节点间单次网络访问的平均时长，t
mix
为真实节点间单次网络访问可接受的最小时长。
[0027]进一步，所述特征分析模块对数据库中的攻击目标源IP进行相关特征分析具体包括：
[0028](1)建立攻击目标源IP马尔柯夫过程学习模型；
[0029](2)对攻击目标源IP采样，得到特征向量，确定模型各初始参数；
[0030](3)反复迭代训练马尔柯夫过程学习模型，根据给定样本个数，对于每条攻击目标源IP都产生一个具有不同参数马尔柯夫过程学习模型，一共m个，m≥1；
[0031](4)对待攻击目标源IP采样，得到特征向量；
[0032](5)将待检测攻击目标源IP的特征向量分割，对所有马尔柯夫过程学习模型递进地计算最大相似度，同时排除相似度最小的马尔柯夫过程学习模型，最后得到识别结果。
[0033]进一步，所述建立攻击目标源IP马尔柯夫过程学习模型具体包括：
[0034]1)隐含状态的数目N，状态集为S＝{s1,s2,s3}，分别对应告警时间、告警类型、告警时限；
[0035]2)观察序列的数目M，观察序列集为V＝{v1,v2,...,v
m
}，m≥1，对于告警信息马尔
柯夫过程学习模型，观察序列集为信息采样窗口得到的特征值；
[0036]3)状态转移矩阵A，A＝{a
ij
}，aij＝P[q
t+1
＝s
j
|q
t
＝s
i
]，1≤i,j≤N，其中q
t
为在时刻t的状态，A为N
×
N的方阵，行和列都对应所有的状态，表示状态之间转移的概率；
[0037]4)观察序列概率矩阵B，B＝{b
j
(k)}，b
j
(k)＝P[v
t at t|q
t
＝s
j
]，1≤j≤N，1≤k≤M，即表示在时刻t，隐含状态为s
j
下观察值为v<本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于动态网络的防御方法，其特征在于，该基于动态网络的防御方法具体包括：步骤一：感知处理模块不断对访问数据包进行实时识别与处理，如果判断目标源IP是虚拟节点，则将访问数据包发送至虚拟节点处理模块，否则认为是正常通信则放行，若判断为攻击目标源IP，则对该目标源IP进行封堵，并将该攻击目标源IP录入到数据库中；步骤二：虚拟节点处理模块用于构建虚假响应数据包，针对目标源IP是虚拟节点，调用虚拟节点池中的虚拟节点进行响应；步骤三：虚拟节点生成模块以时间为轴线，根据配置的动态变化时间间隔T
next
，周期性地生成虚拟节点，从而实现动态网络环境；步骤四：特征分析模块基于马尔柯夫过程学习模型对数据库中的攻击目标源IP进行相关特征分析，构建合适的规则库，并自动更新规则库，对攻击目标源IP实时准确的检测；所述检测执行如下步骤：针对更新的规则库，采用漏洞检测方法来逼近攻击结果；将得到的规则库的检测矩阵的检测的近似结果代入到漏洞检测方法中，通过漏洞检测方法公式计算接收估计值；通过对攻击率进行分析来验证变漏洞检测方法的性能；针对于更新的规则库A＝H
H
H+σ2I，其中σ2为噪声方差，I为单位矩阵；采用漏洞检测迭代来求规则库的检测矩阵A的近似检测，其中，漏洞检测方法的迭代公式为X
k+1
＝X
k
‑
h
k
X
k
(AX
k
‑
I)，其中X
k
为第k次迭代得到的矩阵检测的近似值，h
k
为步长因子；漏洞检测方法的迭代公式中，在初始迭代时选取较大的步长，随着迭代次数的增加，步长的取值慢慢减小，最终趋于1；具体的，最佳的更新公式为h
k
＝1/(1
‑
θ
·
trace(E
k
)/N)其中，E
k
为误差矩阵，N为矩阵的阶数，θ为调节因子；调节因子θ的取值范围为[0,1]，θ取值越大，初始迭代步长越大，算法稳定性越差，θ取值越小，初始迭代步长越小，算法稳定性越好；为满足性能与稳定性的折中，取θ值为0.8；经过第k次迭代运算后得到的规则库的检测矩阵的检测的近似值X
k
，由漏洞检测方法，得到发射信号矢量X的接收估计值为根据所述估计值，获得攻击目标源IP准确数据。2.如权利要求1所述的基于动态网络的防御方法，其特征在于，所述虚假响应数据包包括虚假的MAC地址、虚假的操作系统的类型和版本、虚假的IP地址以及虚假的开放端口。3.如权利要求1所述的基于动态网络的防御方法，其特征在于，所述生成虚拟节点具体包括：(1)根据用户配置的IP范围，随机地选取若干IP地址生成虚拟节点，要求用户配置地IP范围不与目标网络内正在使用的IP地址冲突；(2)无需用户配置，根据接收到的ARP请求信息和/或路由信息，自动学习并记录当前网络中正在使用的IP地址，对正在使用的IP地址所在的逻辑子网进行检索，随机选取其中未使用的IP地址生成虚拟节点。4.如权利要求1所述的基于动态网络的防御方法，其特征在于，所述动态变化时间间隔T
next
会根据攻击强度和攻击持续的时间动态调整，具体如下：
其中：p
attack
为攻击强度，t
hold
为攻击强度持续的时间，t
period
为中真实节点间单次网络访问的平均时长，t
mix
为真实节点间单次网络访问可接受的最小时长。5.如权利要求1所述的基于动态网络的防御方法，其特征在于，所述特征分析模块基于马...

【专利技术属性】
技术研发人员：成凯，吴湛，王强，李鑫，孟浩华，黄俊东，
申请(专利权)人：国家电网公司华中分部，
类型：发明
国别省市：