一种基于拟态安全技术的异构冗余流量检测探针制造技术

本申请公开了一种基于拟态安全技术的异构冗余流量检测探针，包括：流量分发模块，用于将接收到的流量分发给多个执行体；多个执行体为基于预设虚拟化平台构建的异构执行体；裁决模块，用于对多个执行体的输出结果进行裁决，并确定裁决结果；动态调度模块，用于基于裁决结果对多个执行体进行调度；裁决模块包括：第一裁决层和第二裁决层；第一裁决层基于第一裁决策略对输出结果进行裁决，第二裁决层基于第二裁决策略对输出结果进行裁决；第一裁决层的裁决优先级高于第二裁决层的裁决优先级；其中，第一裁决策略与多个执行体的数量和多个执行体的异构类型关联，第二裁决策略与多个执行体分别对应的处理时长和多个执行体对应的虚拟化策略关联。拟化策略关联。拟化策略关联。

【技术实现步骤摘要】
一种基于拟态安全技术的异构冗余流量检测探针


[0001]本申请是关于流量检测
，特别是关于一种基于拟态安全技术的异构冗余流量检测探针。

技术介绍

[0002]现有安全场景下，需增强电力监控系统的安全防范能力，以应对传统安全设备处理不了的各种攻击行为；当网络攻击事件发生后，需要快速定位失陷资产能进行整改，进而快速定位攻击者对其进行封堵；以及溯源历史流量数据，从而分析还原黑客攻击的具体行为及过程。
[0003]当前采取综合威胁探针收集采集和存储异常事件和攻击行为；快速检测、发现威胁，对威胁进行研判和分析，最后利用策略对攻击者进行封堵，保证对重大事件的响应速度。
[0004]检测探针采用旁路镜像模式接入到电力监控系统网络中，进行流量采集解析、存储、文件还原和威胁检测。此外，通过与大数据分析平台进行联动，将检测结果以及元数据汇总到大数据分析平台进行综合分析、研判和展示。
[0005]但是随着网络带宽的持续增长和网络攻防博弈的持续进行，网络本身处于动态演化的过程，网络攻击手段和方法也在不断演化，导致异常检测系统在检测精度、运行效率、安全性和易用性方面都面临着严峻挑战。如异常检测系统泛化能力差和网络流量的动态性、突发性和漂移性导致检测精度较差；基于特征的检测系统不能适应针对特征库特异性修正的异常攻击行为，各类异常检测系统容易被攻击者绕过；异常检测系统训练数据难于获取等。
[0006]因此在大规模复杂网络的电力监控系统环境下，提出具有高检测精度和高运行效率的异常检测方法，并优化已有检测算法具有十分重要的意义。

技术实现思路

[0007]本申请的目的在于提供一种基于拟态安全技术的异构冗余流量检测探针，其能够增加系统的动态性、随机性和多样性，提升攻击链诸环节的实施难度。
[0008]为实现上述目的，本申请的实施例提供了一种基于拟态安全技术的异构冗余流量检测探针，包括：流量分发模块，用于将接收到的流量分发给多个执行体；所述多个执行体为基于预设虚拟化平台构建的异构执行体；裁决模块，用于对所述多个执行体的输出结果进行裁决，并确定裁决结果；所述输出结果包括针对所述流量分发模块分发的流量的处理结果；动态调度模块，用于基于所述裁决结果对多个执行体进行调度；所述裁决模块包括：第一裁决层和第二裁决层；所述第一裁决层基于第一裁决策略对输出结果进行裁决，所述第二裁决层基于第二裁决策略对输出结果进行裁决；所述第一裁决层的裁决优先级高于所述第二裁决层的裁决优先级；其中，所述第一裁决策略与所述多个执行体的数量和所述多个执行体的异构类型关联，所述第二裁决策略与所述多个执行体分别对应的处理时长和所
述多个执行体对应的虚拟化策略关联。
[0009]在一种可能的实施方式中，所述流量分发模块进一步用于：确定所述接收到的流量对应的流量类型；针对流量类型相同的多个流量，将该多个流量分别分发给对应的第一执行体；其中，多个第一执行体对应的虚拟化策略存在关联性；针对流量类型不同且流量类型具备关联性的多个流量，将该多个流量分别分发给对应的第二执行体；其中，多个第二执行体对应的虚拟化策略相同；针对流量类型不同且流量类型不具备关联性的多个流量，将该多个流量分别分发给对应的第三执行体；其中，多个第三执行体对应的虚拟化策略不相同。
[0010]在一种可能的实施方式中，所述多个执行体的构建过程包括：获取预估流量处理数量、预估流量处理难度和预设检测效率；根据所述预估流量处理数量和所述预估流量处理难度确定所述预设虚拟化平台；根据所述预设检测效率确定所述多个执行体对应的异构类型；基于所述预设虚拟化平台和所述多个执行体对应的异构类型，构建所述多个执行体。
[0011]在一种可能的实施方式中，所述裁决模块进一步用于：通过所述第一裁决层对所述多个执行体的输出结果进行裁决，确定第一正常执行体和第一异常执行体；通过所述第二裁决层对所述第一正常执行体的输出结果进行裁决，确定第二正常执行体和第二异常执行体；基于所述第一异常执行体、所述第二正常执行体和所述第二异常执行体确定所述裁决结果。
[0012]在一种可能的实施方式中，所述裁决模块进一步用于：比较所述第一异常执行体的数量与所述第二异常执行体数量；若所述第一异常执行体的数量大于或者等于所述第二异常执行体的数量，将所述第一异常执行体和所述第二异常执行体均确定为最终的异常执行体，以及将所述第二正常执行体确定为最终的正常执行体；若所述第一异常执行体的数量小于所述第二异常执行体的数量，确定所述第二异常执行体中的目标异常执行体；将所述目标异常执行体和所述第一异常执行体确定为最终的异常执行体，以及将所述第二正常执行体确定为最终的正常执行体。
[0013]在一种可能的实施方式中，所述目标异常执行体包括以下至少一种执行体：流量处理总数量小于预设数量；流量处理类型数量小于预设类型数量；流量处理频次小于预设频次；流量处理效率小于预设效率。
[0014]在一种可能的实施方式中，所述第一裁决策略的确定过程包括：获取原始裁决策略；所述原始裁决策略中包括：多个预设裁决项和多个预设裁决项分别对应的裁决流程；根据所述多个执行体的数量从所述多个预设裁决项中确定出第一目标裁决项；其中，所述多个执行体的数量、所述多个预设裁决项的数量和所述第一目标裁决项的数量满足预设数量关系；根据所述多个执行体的异构类型对所述第一目标裁决项对应的裁决流程进行调整，确定调整的裁决流程；将所述第一目标裁决项和所述第一目标裁决项对应的调整的裁决流程确定为所述第一裁决策略。
[0015]在一种可能的实施方式中，所述第二裁决策略的确定过程包括：获取原始裁决策略；所述原始裁决策略中包括：多个预设裁决项和多个预设裁决项分别对应的裁决流程；根据所述多个执行体对应的虚拟化策略从所述多个预设裁决项中确定出第二目标裁决项；其中，所述第二目标裁决项与所述多个执行体对应的虚拟化策略关联；根据所述多个执行体分别对应的处理时长对所述第二目标裁决项对应的裁决流程进行调整，确定调整的裁决流
程；将所述第二目标裁决项和所述第二目标裁决项对应的调整的裁决流程确定为所述第二裁决策略。
[0016]在一种可能的实施方式中，所述裁决结果中包括：异常执行体；所述动态调度模块进一步用于：判断所述异常执行体的数量是否大于第一预设数量；若所述异常执行体的数量大于第一预设数量，将所述异常执行体均替换为预设的备用执行体；若所述异常执行体的数量小于或者等于所述第一预设数量，将所述异常执行体中的第二预设数量的执行体替换为预设的备用执行体。
[0017]在一种可能的实施方式中，所述裁决结果中包括：正常执行体；所述动态调度模块进一步用于：判断所述正常执行体的数量是否大于第三预设数量；若所述正常执行体的数量大于第三预设数量，将所述正常执行体中第四预设数量的执行体替换为预设的备用执行体；若所述正常执行体的数量小于第三预设数量，不对所述正常执行体作替换处理。
[0018]与现有技术相比，本申请的实施例采用基于拟态安全技术的异构冗余流量检测探针；一方面，该检测探本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于拟态安全技术的异构冗余流量检测探针，其特征在于，包括：流量分发模块，用于将接收到的流量分发给多个执行体；所述多个执行体为基于预设虚拟化平台构建的异构执行体；裁决模块，用于对所述多个执行体的输出结果进行裁决，并确定裁决结果；所述输出结果包括针对所述流量分发模块分发的流量的处理结果；动态调度模块，用于基于所述裁决结果对多个执行体进行调度；所述裁决模块包括：第一裁决层和第二裁决层；所述第一裁决层基于第一裁决策略对输出结果进行裁决，所述第二裁决层基于第二裁决策略对输出结果进行裁决；所述第一裁决层的裁决优先级高于所述第二裁决层的裁决优先级；其中，所述第一裁决策略与所述多个执行体的数量和所述多个执行体的异构类型关联，所述第二裁决策略与所述多个执行体分别对应的处理时长和所述多个执行体对应的虚拟化策略关联。2.根据权利要求1所述的基于拟态安全技术的异构冗余流量检测探针，其特征在于，所述流量分发模块进一步用于：确定所述接收到的流量对应的流量类型；针对流量类型相同的多个流量，将该多个流量分别分发给对应的第一执行体；其中，多个第一执行体对应的虚拟化策略存在关联性；针对流量类型不同且流量类型具备关联性的多个流量，将该多个流量分别分发给对应的第二执行体；其中，多个第二执行体对应的虚拟化策略相同；针对流量类型不同且流量类型不具备关联性的多个流量，将该多个流量分别分发给对应的第三执行体；其中，多个第三执行体对应的虚拟化策略不相同。3.根据权利要求1所述的基于拟态安全技术的异构冗余流量检测探针，其特征在于，所述多个执行体的构建过程包括：获取预估流量处理数量、预估流量处理难度和预设检测效率；根据所述预估流量处理数量和所述预估流量处理难度确定所述预设虚拟化平台；根据所述预设检测效率确定所述多个执行体对应的异构类型；基于所述预设虚拟化平台和所述多个执行体对应的异构类型，构建所述多个执行体。4.根据权利要求1所述的基于拟态安全技术的异构冗余流量检测探针，其特征在于，所述裁决模块进一步用于：通过所述第一裁决层对所述多个执行体的输出结果进行裁决，确定第一正常执行体和第一异常执行体；通过所述第二裁决层对所述第一正常执行体的输出结果进行裁决，确定第二正常执行体和第二异常执行体；基于所述第一异常执行体、所述第二正常执行体和所述第二异常执行体确定所述裁决结果。5.根据权利要求4所述的基于拟态安全技术的异构冗余流量检测探针，其特征在于，所述裁决模块进一步用于：比较所述第一异常执行体的数量与所述第二异常执行体数量；若所述第一异常执行体的数量大于或者等于所述第二异常执行体的数量，将所述第一
异常执行体和所述第二异常执行体均确定为最终的异常执行体，以及将所述第二正常执行体确定为最...

【专利技术属性】
技术研发人员：陶文伟，曹扬，胡海生，陆力瑜，张富川，江泽铭，李孟阳，陆镛，粟海斌，陈海涛，刘建军，
申请(专利权)人：中国南方电网有限责任公司，
类型：发明
国别省市：