基于动态蜜罐的网络安全系统及方法技术方案

本发明专利技术公开了一种基于动态蜜罐的网络安全系统及方法，属于网络安全技术领域，系统包括虚拟交换机

【技术实现步骤摘要】
基于动态蜜罐的网络安全系统及方法


[0001]本专利技术涉及一种基于动态蜜罐的网络安全系统及方法，属于网络安全

。

技术介绍

[0002]网络的安全是指通过采用各种技术和管理措施，使网络系统正常运行，从而确保网络数据的可用性
、
完整性和保密性
。
随着网络攻击的不断更新，也对现实系统的安全提出了很大的挑战
。
[0003]近些年来，蜜罐被广泛应用于网络安全领域
。
蜜罐是一种主动防御机制，主要通过模拟真实工作场景和部署诱饵目标，吸引攻击者与蜜罐中的虚拟资源进行交互，防止真实资源遭到破坏，收集攻击者的攻击过程，分析系统潜在漏洞，主动应对类似攻击
。
由于现有的蜜罐系统存在一些缺陷，如无法根据复杂的攻击部署特定的蜜罐来诱导攻击，无法在攻击交互过程中根据蜜罐的部署和维护成本选择最佳的蜜罐进行动态响应，以及识别已知攻击方法变体的能力不足
。
[0004]尽管混合蜜罐可以通过部署低交互和高交互的蜜罐来解决其中的一些问题，但由于它们
TCP
连接切换速度慢，并且无法有效识别加密的恶意流量，导致它们无法真正应用于实际生产场景
。

技术实现思路

[0005]为了解决上述问题，本专利技术提出了一种基于动态蜜罐的网络安全系统及方法，能够识别攻击流量，提高网络的安全性能
。
[0006]本专利技术解决其技术问题采取的技术方案是：第一方面，本专利技术实施例提供的一种基于动态蜜罐的网络安全系统，包括虚拟交换机
、
入侵检测模块
、
恶意流量检测模块
、Ryu
控制器
、
重定向转发模块和蜜罐模块，所述蜜罐模块包括高交互蜜罐和低交互蜜罐；所述虚拟交换机用于构建网络安全系统并接入待入侵防护的网络；所述入侵检测模块在虚拟交换机中获取网络通信数据流，如果检测到网络通信数据流正常且加密，则转发给恶意流量检测模块；所述恶意流量检测模块，用于判别网络通信数据流是否为恶意通信流，如果网络通信数据流是正常通信流则通过
Ryu
控制器将正常通信流转发到正常主机，如果网络通信数据流是恶意通信流则通过
Ryu
控制器发送到低交互蜜罐；当恶意通信流攻击深度达到临界点时，将定时快照的正常主机副本激活为高交互蜜罐，同时使用随机填充形式覆盖敏感数据，并通过重定向转发模块将连接低交互蜜罐切换到连接高交互蜜罐
。
[0007]作为本实施例一种可能的实现方式，所述蜜罐模块是由高交互蜜罐和低交互蜜罐组成的混合蜜罐系统
。
[0008]作为本实施例一种可能的实现方式，所述高交互蜜罐为基于真实系统环境构建具有诱饵功能的复杂蜜罐环境；所述低交互蜜罐为使用虚拟仿真软件构建与真实环境隔离的虚拟环境
。
[0009]作为本实施例一种可能的实现方式，所述蜜罐模块包括若干设置在系统前端的低交互蜜罐和若干设置在系统后端的高交互蜜罐，所述低交互蜜罐的数量远大于高交互蜜罐的数量
。
[0010]作为本实施例一种可能的实现方式，所述入侵检测模块采用有标签数据和无标签数据相结合的半监督学习方法进行检测识别网络通信数据流；所述恶意流量检测模块采用在深度学习的加密流量分类的基础上根据分类任务改进的
1D
‑
CNN
作为训练算法进行判别网络通信数据流是否为恶意通信流
。
[0011]作为本实施例一种可能的实现方式，所述恶意流量检测模块包括预处理模块
、
模型优化模块和训练输出模块，所述预处理模块通过对原始数据集进行处理，生成有标记和未标记的数据，其中未标记的数据用于测试，标记的数据用于训练；所述模型优化模块采用小批量随机梯度下降方法对
CNN
模型进行优化为
1D
‑
CNN
模型；所述训练输出模块将预处理后的数据和原始保留的未标记数据作为
1D
‑
CNN
模型的输入进行训练，输出网络通信数据流是否为恶意通信流的预测结果
。
[0012]第二方面，本专利技术实施例提供的一种基于动态蜜罐的网络安全方法，利用上述所述的基于动态蜜罐的网络安全系统进行入侵防护，所述的网络安全方法包括以下步骤：将虚拟交换机接入待入侵防护的网络，并启动网络安全系统；入侵检测模块在虚拟交换机中获取网络通信数据流，如果检测到网络通信数据流正常且加密，则转发给恶意流量检测模块；恶意流量检测模块进行判别网络通信数据流是否为恶意通信流，如果网络通信数据流是正常通信流则通过
Ryu
控制器将正常通信流转发到正常主机，如果网络通信数据流是恶意通信流则通过
Ryu
控制器发送到低交互蜜罐；当恶意通信流攻击深度达到临界点时，将定时快照的正常主机副本激活为高交互蜜罐，同时使用随机填充形式覆盖敏感数据，并通过重定向转发模块将连接低交互蜜罐切换到连接高交互蜜罐
。
[0013]第三方面，本专利技术实施例提供的一种基于动态蜜罐的网络安全方法，包括以下步骤：获取待入侵防护端口的网络通信数据流并进行检测；判别网络通信数据流是否为恶意通信流，如果网络通信数据流是正常通信流则进行数据转发，否则基于动态蜜罐的进行网络入侵防护
。
[0014]作为本实施例一种可能的实现方式，所述获取待入侵防护端口的网络通信数据流并进行检测，包括：获取待入侵防护端口的网络通信数据流；根据网络通信数据流检测待入侵防护端口和有效负载，如果待入侵防护端口是系统的开放端口，且负载正常，则标记为0；如果网络通信数据流已加密，则转入下一步进行判别网络通信数据流是否为恶意通信流
。
[0015]作为本实施例一种可能的实现方式，所述判别网络通信数据流是否为恶意通信流，如果网络通信数据流是正常通信流则进行数据转发，否则基于动态蜜罐的进行网络入侵防护，包括：对网络通信数据流进行检测，如果是正常通信流则直接转发到正常主机，否则判
定网络通信数据流为恶意通信流；将恶意通信流转发到待入侵防护端口对应的低交互蜜罐；如果恶意通信流攻击深度达到临界点时，则启动重定向转发协议，将原来连接到低交互蜜罐的恶意通信流传输到高交互蜜罐，通过恶意通信流的迁移来实现攻击的捕获和防护
。
[0016]本专利技术实施例的技术方案可以具有的有益效果如下：本专利技术提出了一种基于
TCP_REPAIR
和深度学习的动态安全防御系统，在混合蜜罐的主动防御系统中加入基于深度学习的恶意加密流量识别，准确分配加密或非加密的攻击流量及其变种，弥补了传统混合蜜罐入侵检测系统只能识别未加密流量的缺陷；将正常流量被发送到实际系统，被标记的恶意流量根据攻击过程在混合蜜罐的模式下动态选择蜜罐响应；使用的
TCP_REPAIR
技术，使得混合蜜罐中低交互作用蜜罐和高交互作用蜜罐之间的切换算法在速度和安全性上都得到了本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.
一种基于动态蜜罐的网络安全系统，其特征在于，包括虚拟交换机
、
入侵检测模块
、
恶意流量检测模块
、Ryu
控制器
、
重定向转发模块和蜜罐模块，所述蜜罐模块包括高交互蜜罐和低交互蜜罐；所述虚拟交换机用于构建网络安全系统并接入待入侵防护的网络；所述入侵检测模块在虚拟交换机中获取网络通信数据流，如果检测到网络通信数据流正常且加密，则转发给恶意流量检测模块；所述恶意流量检测模块，用于判别网络通信数据流是否为恶意通信流，如果网络通信数据流是正常通信流则通过
Ryu
控制器将正常通信流转发到正常主机，如果网络通信数据流是恶意通信流则通过
Ryu
控制器发送到低交互蜜罐；当恶意通信流攻击深度达到临界点时，将定时快照的正常主机副本激活为高交互蜜罐，同时使用随机填充形式覆盖敏感数据，并通过重定向转发模块将连接低交互蜜罐切换到连接高交互蜜罐
。2.
根据权利要求1所述的基于动态蜜罐的网络安全系统，其特征在于，所述蜜罐模块是由高交互蜜罐和低交互蜜罐组成的混合蜜罐系统
。3.
根据权利要求1所述的基于动态蜜罐的网络安全系统，其特征在于，所述高交互蜜罐为基于真实系统环境构建具有诱饵功能的复杂蜜罐环境；所述低交互蜜罐为使用虚拟仿真软件构建与真实环境隔离的虚拟环境
。4.
根据权利要求1所述的基于动态蜜罐的网络安全系统，其特征在于，所述蜜罐模块包括若干设置在系统前端的低交互蜜罐和若干设置在系统后端的高交互蜜罐，所述低交互蜜罐的数量远大于高交互蜜罐的数量
。5.
根据权利要求1所述的基于动态蜜罐的网络安全系统，其特征在于，所述入侵检测模块采用有标签数据和无标签数据相结合的半监督学习方法进行检测识别网络通信数据流；所述恶意流量检测模块采用在深度学习的加密流量分类的基础上根据分类任务改进的
1D
‑
CNN
作为训练算法进行判别网络通信数据流是否为恶意通信流
。6.
根据权利要求1‑5任意一项所述的基于动态蜜罐的网络安全系统，其特征在于，所述恶意流量检测模块包括预处理模块
、
模型优化模块和训练输出模块，所述预处理模块通过对原始数据集进行处理，生成有标记和未标记的数据，其中未标记的数据用于测试，标记的数据用于训练；所述模型优化模块采用小批量随机梯度下降方法对
CNN

【专利技术属性】
技术研发人员：罗远哲，刘瑞景，李雪茹，李玉琼，徐盼云，吕雪萍，陈思杰，林文强，
申请(专利权)人：山东万里红信息技术有限公司，
类型：发明
国别省市：