基于主动感知和智能预测的异构系统自演化方法和系统技术方案

本发明专利技术提供了一种基于主动感知和智能预测的异构系统自演化方法和系统，包括：生成异构系统运行环境，对每一个请求进行追踪监控，对感知到的敏感信息进行格式化提取并进行一致性裁决；对存在缺陷的异构系统运行环境，进行缺陷定位和攻击场景复现，并进行缺陷处理，提取相应特征构建攻击知识库和缺陷知识库；针对后续攻击请求以及在系统中产上的敏感信息，对系统组件缺陷进行预先感知，在攻击链完成之前动态改变系统及其运行环境；针对疑似恶意请求，进行鲁棒性执行裁决，选出一个符合预设条件的处理结果作为请求响应。本发明专利技术通过对威胁智能预测，主动预先进行系统自演化，消除可被利用的组件缺陷，提高了系统及其运行环境的安全强度。全强度。全强度。

【技术实现步骤摘要】
基于主动感知和智能预测的异构系统自演化方法和系统


[0001]本专利技术涉及网络安全
，具体地，涉及一种基于主动感知和智能预测的异构系统自演化方法和系统。

技术介绍

[0002]网络空间是现实世界的扩展和外延，其作为现实世界中的冲突前沿阵地，已成为国际战略博弈的新战场，网络空间的战争已进入更加开放的新阶段，新的交战和威慑规则正在建立。网络空间是现代军事活动的指挥枢纽，并且和信息化战争环境中的舆论战、心理战息息相关，对网络空间的主权争夺已成为贯穿现代战争全程的必然组成，并日益重要。
[0003]目前的网络防御大都基于已有的攻击知识库，通过网络防火墙过滤、系统漏洞和恶意软件扫描等手段保证信息及系统安全。这种方法只能针对已被发现确认的攻击，对未知的新型攻击无法防御。另外，扫描过滤的方法并不能消除系统漏洞等缺陷，随着系统漏洞数量等快速增加，如2020年前三季度已有1万4千个CVE漏洞，且漏洞修复的速度有限，系统缺陷随时间增长，系统处于中高风险的窗口增大。虽然近年来，人工智能技术可用于漏洞风险评级，从中选取高危漏洞优先进行修复，但这并不能有效地保障信息和系统安全。
[0004]此外，为防御未知攻击，攻击模式/行为分析和预测等手段随着人工智能技术的发展被广泛应用。这种方法对已知的攻击知识进行分析，识别其特征、模式等信息，基于这些攻击特征或行为模式，对用户访问等数据进行检测，达到对未知攻击进行防御的目的。但现阶段，对攻击特征和行为模式的识别的有效性欠缺，一方面无法防御新模式或新手段的攻击，造成漏报；另一方面，造成大量的误报，增大监控等人员的工作量，并进一步减弱了防御效果，调查显示，在每天收到的成千上万的安全警报中，高达45％的安全警报是误报，而35％的响应人员在队列拥挤时会选择忽略警报。同时，在缺陷定位方面，现有的技术一般通过已知的病毒库、漏洞库进行，对未知威胁所用的系统环境缺陷无法定位。在威胁防护方面，现有的技术通常使用恶意请求/行为过滤、系统重置等方法防御攻击，恶意请求/行为过滤的方法虽然效率高、成本低，但只能对已知威胁进行防护。系统重置方法虽然能够将系统恢复到工作状态，清除攻击的已有攻击链部分，但重置后的系统缺陷仍在，风险未降低。
[0005]专利文献CN108600275A(申请号：CN201810532933.3)公开了一种基于人工智能的威胁情景感知信息安全主动防御系统，该系统包括：数据采集模块，用于实时对网络事件、系统运行数据和网络设备操作数据进行采集，以获取原始数据信息；安全评估模块，用于对采集的原始数据信息进行处理，并对网络进行安全评估；处置模块，用于根据所述安全评估模块的评估结果，确定安全事件处理策略，进而对网络中的威胁行为进行主动防御。该专利是通过计算网络描述信息和标准数据库中预存的网络正常运行的网络描述信息之间的匹配度值来对网络中的威胁情景进行感知；而本专利技术对系统请求及其处理过程追溯，是基于安全共识机制，通过对请求处理过程中的敏感信息进行提取、一致性裁决来完成对威胁的主动感知。该专利只是根据安全评估模块的评估结果确定安全事件处理策略，对网络中的威胁行为进行主动防御；而本专利技术的系统自适应方法，采用缺陷消除、缺陷隐藏以及缺陷容
忍多种手段，优先通过对缺陷组件替换消除存在的缺陷，对待无法消除的缺陷采用缺陷隐藏手段，在感知到威胁后可以使用缺陷容忍方法，为系统请求提供了高可信的请求响应。
[0006]专利文献CN110581852A(申请号：CN201910857183.1)公开了一种高效型拟态防御系统及方法，其中，系统包括输入代理器、异构执行体池和裁决器，还包括故障检测器、故障收集器和故障恢复模块；方法包括以下步骤：步骤1：故障检测器实时检测异构执行体软硬件运行状态，并向故障收集器发送检测到的故障信息，再由故障收集器将故障信息传送至裁决器、输入代理器以及故障恢复模块；步骤2：裁决器移除对故障异构执行体消息的裁决；步骤3：输入代理器移除对故障异构执行体输入消息的分发；步骤4：故障恢复模块对故障的异构执行体发出置位命令或者通过硬件方式使异构执行体复位。该专利中对缺陷的定位是基于设计在每个异构执行体上的故障检测器来实现的，它实时监测异构执行体软硬件的运行状态，同时向故障收集器发送故障消息；而在本专利技术中，缺陷定位是在复现、异构系统及其运行环境动态生成的基础上，对攻击链的分析确定过程进行研究，利用缺陷定位方法准确定位缺陷所在组件，并能得到缺陷组件的特征等信息。该专利中安全恢复能力通过故障恢复功能实现，由故障恢复模块接收故障收集器发送的故障信息，对故障的异构执行体发出置为命令或者通过硬件方式使异构执行体复位，若故障恢复模块在规定时间内再次接受到此异构执行体的故障信息，则将此执行体直接移除。而在本专利技术中是基于缺陷定位技术和缺陷容忍技术进行安全恢复的，针对有缺陷的异构系统运行环境，从异构资源池中选不存在该缺陷的组件替换缺陷组件来实现缺陷消除，或者通过频繁动态切换缺陷组件，及时切断攻击链，使得缺陷无法被攻击有效利用，实现缺陷隐藏，从而进一步完善系统运行环境。
[0007]专利文献CN112615862A(申请号：CN202011499913.4)公开了一种基于拟态防御的攻击防御装置、方法、设备和介质，装置中包括拟态调度器和若干异构执行体；异构执行体接收和处理拟态调度器上送的报文数据；拟态调度器包括拟态判决模块和攻击防御模块，用于接收前端芯片发送的报文数据并转发给异构执行体，实现对异构执行体的数据分发、拟态判决和清洗管理；拟态判决模块对异构执行体的下行数据进行拟态判决，并将拟态判决的结果发送给攻击防御模块；攻击防御模块对前端芯片发送的报文数据进行采集、提取、日志存储，并根据拟态判决模块的拟态判决结果进行日志更新、攻击防御检测和攻击数据过滤。该专利是通过对报文数据在分发给异构执行体前与日志模块中存储的关键数据进行对比分析检测来判断是否存在异常攻击，另外，该专利在进行攻击检测和防御时并未对攻击所针对的系统缺陷进行定位，无法实现基于攻击诊断的定向高效安全防御；而本专利技术对于外部攻击威胁是通过对主动感知到的未知威胁构建相应的知识库，并结合已有的知识库，有效的对已知和未知的攻击威胁做出智能预测，有效的指导系统的主动自演化，并结合对请求处理过程中的敏感信息进行提取、一致性裁决感知系统威胁，提前对威胁的进一步发展采取措施，从而实现攻击检测，另外，本专利技术基于攻击复现技术对面向攻击链的系统缺陷进行精确定位，确定系统防御重点位置进行定向防御和攻击知识库完善。该专利通过异构执行体清洗实现系统安全能力恢复，在安全能力恢复过程中对执行体调度时，通过设置阈值来判断异构执行体对应的异常次数是否大于设定的阈值，随后判断提取的协议关键参数和自定义日志内容中的关键参数值是否相同，若相同且异常次数高于阈值，则直接对该异构执行体过滤，调度使用其他执行体；而本专利技术通过系统自演化技术实现系统安全能力
恢复，通过威胁智能预测，预感知威胁和系统缺陷特征等信息，使用容器等虚拟化技术动态生成异构系统运行环境，通过系统的动态自动部署提高系统及其运行环境的生成效率本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于主动感知和智能预测的异构系统自演化方法，其特征在于，包括：步骤S1：通过虚拟化技术动态生成异构系统运行环境；步骤S2：对每一个请求赋予通用唯一识别码，并对请求进行追踪监控；步骤S3：在每个异构系统运行环境中，对感知到的敏感信息进行格式化提取并进行一致性裁决；步骤S4：针对存在缺陷的异构系统运行环境，进行缺陷定位和攻击场景复现，并进行缺陷处理；步骤S5：在攻击场景复现的基础上，提取相应特征构建攻击知识库和缺陷知识库；步骤S6：针对后续攻击请求以及在系统中产上的敏感信息，对系统组件缺陷进行预先感知，在攻击链完成之前动态改变系统及其运行环境，提前完成缺陷消除或缺陷隐藏；步骤S7：针对疑似恶意请求，进行鲁棒性执行裁决，选出一个符合预设条件的处理结果作为请求响应。2.根据权利要求1所述的基于主动感知和智能预测的异构系统自演化方法，其特征在于，根据请求的通用唯一识别码，对请求在异构系统运行环境中的处理过程进行追溯监控，从中识别、采集相应多份敏感信息，并对这些信息进行格式化，交由一致性裁决架构进行表决，并根据表决结果感知威胁、对请求进行响应；一致性裁决正常时，直接得到正常的请求处理结果；一致性裁决异常时，判定为疑似恶意请求，保存当前请求、上下文信息以及该请求得到的异常敏感信息。3.根据权利要求1所述的基于主动感知和智能预测的异构系统自演化方法，其特征在于，使用攻击复现技术，多次复现攻击场景，并通过系统及其运行环境的动态生成技术，对系统及其运行环境中的组件进行异构替换，然后再次复现攻击，根据攻击结果判断被替换的组件是否存在漏洞，从而对缺陷进行精确定位；通过对比缺陷组件/模块和其替换组件/模块的特征，得到缺陷的特点，以便针对性地对缺陷进行处理。4.根据权利要求1所述的基于主动感知和智能预测的异构系统自演化方法，其特征在于，对主动感知到的威胁和定位到的缺陷构建相应的知识库，保留威胁和缺陷特征，对知识进行归一化处理和存储；对未知威胁和缺陷的特征进行提取，根据威胁和缺陷使用情况，结合使用已知的威胁和缺陷知识库，预测威胁和缺陷的趋势，利用威胁的趋势，结合过滤扫描，提高系统的防护效率；利用缺陷的趋势，主动进行系统自演化，改变系统的异构性和动态性，对缺陷进行提前处理，避免缺陷被攻击所用。5.根据权利要求1所述的基于主动感知和智能预测的异构系统自演化方法，其特征在于，根据威胁主动感知、缺陷定位、智能预测的结果，对系统及其运行环境中的缺陷进行处理，消除或减弱缺陷的可利用性，将系统的安全性提高到可接受的程度；缺陷处理方式包括：缺陷消除，对系统及其运行环境中的缺陷组件进行无缺陷同功能替换；缺陷隐藏，对缺陷组件进行频繁初始化或替换，并在该过程中频繁切断攻击链。6.一种基于主...

【专利技术属性】
技术研发人员：余新胜，许家玥，朱丹江，倪明，罗论涵，张启彬，
申请(专利权)人：华东计算技术研究所中国电子科技集团公司第三十二研究所，
类型：发明
国别省市：