【技术实现步骤摘要】
本专利技术属于欺骗网络构建,具体涉及一种面向目标网络的特征构建方法。
技术介绍
1、网络空间欺骗防御系统是对受保护的目标网络进行模仿、隐藏和混淆,根据网络攻防态势进行策略调度,按需生成虚假的网络环境和网络节点,混淆攻击者认知。
2、欺骗网络的构建,要求能够快速模拟被保护的目标网络,建立具有与真实目标网络类似特征的虚拟化网络,并能够根据策略,快速动态生成不同的混淆目标,对目标网络进行不同方式的隐藏,并能根据攻击方所处阶段进行调整。
3、为了建立具有与真实网络类似特征的虚拟化网络,系统安装后开始进行网络测量,获取防御中的网络设备类型、网络拓扑和网络流量特点,基于这些特征构建被相似的、保护的目标网络。
4、在构建欺骗网络之前,需要进行被防御目标网络测量。获取包含网络设备数量和类型、网络中部署和运行的各种应用、网络主机数量和系统类型、各网络设备间的网络流量、通讯协议、网络拓扑等特征信息数据,组合形成特征向量数据。这个特征向量数据是模拟目标真实网络,建立与目标真实网络具有类似特性向量数据的虚拟化欺骗防御网络的基础。
技术实现思路
1、(一)要解决的技术问题
2、本专利技术要解决的技术问题是:设计一种面向目标网络的特征构建方法,获取网络特征的基础特征向量,得到网络特征向量数据。
3、(二)技术方案
4、为了解决上述技术问题,本专利技术提供了一种面向目标网络的特征构建方法,包括以下步骤:
5、步骤一、待构建目标网
6、本步骤进行预探测并确认网络中的待构建目标,探测对象包括目标主机、目标网络、目标应用与服务,对于在线状态下的目标主机,信息收集的工作是获取其端口的开放情况和网络服务的详细信息,当完成预探测后,则可以根据预期欺骗防御目标类型选择不同的待构建目标;
7、步骤二、待构建目标网络的特征获取
8、采用网络特征提取方法,对待构建目标的网络特征进行提取,包括分别采用网络设备特征构建方法、网络流量特征提取方法、网络拓扑结构获取方法进行特征提取,同时,在提取的过程中处理一些现实因素,包括特征提取过程中的网络设备存活状态变化、拓扑结构变化、服务状态变化,在提取完成之后,对于提取到的特征进行验证和确认,在确认正确的情况下执行下一步,否则重新进行网络特征提取;
9、步骤三、网络特征建模
10、本步骤进行网络特征模型的建模,网络特征需要转化为数据模型进而成为网络特征模型,数据模型所描述的内容包括三个部分:数据结构、数据操作、数据约束,对于网络特征模型,其中的数据结构描述特征的类型、内容、性质以及特征间的联系,不同的数据结构具有不同的操作和约束,网络特征模型中数据操作描述相应的数据结构上的操作类型和操作方式,不同的网络特征需要定义不同的操作类型和操作方式,网络特征模型中的数据约束描述数据结构内数据间的语法、词义联系、它们之间的制约和依存关系,以及数据动态变化的规则;
11、步骤四、网络特征模型存储。
12、优选地,步骤一基于网络扫描技术和工具来实现。
13、优选地,步骤二中采用网络设备特征构建方法进行特征提取的方法如下:
14、网络设备特征构建方法根据是否向被探测网络发送探测数据包分为两类,一类是主动式设备特征提取方法,另一类是被动式设备特征提取方法,主动式设备特征提取方法向设备发送特定网络数据包,比较不同的设备在应答数据上的区别来进行识别判断,被动式设备特征提取方法根据被动流量中的特征进行探测;
15、主动式设备特征提取方法通过tcp/ip协议栈扫描、icmp协议扫描、主机扫描这些网络探测方式获取网络设备动态特征;
16、被动式设备特征提取方法首先监听通信内容并捕获抓包流量,然后对数据流信息进行数据筛选、内容提取和特征表示,网络设备数据包括设备的操作系统、开放的端口、开放端口的banner信息、开放端口上提供的服务这些数据项,数据中包括数字、文本、单词、html页面源码,通过数据预处理将数据转化为多维数字特征,并通过分类算法对网络设备进行分类,通过设备类型、域名、操作系统及ip、硬件地址、设备类型、域名、操作系统信息进行特征提取。
17、优选地,步骤二中采用网络流量特征提取方法进行特征提取的方法如下:
18、网络流量特征的提取从时间特性、协议特性两个方面进行,网络流量划分为会话、数据包、字节三个不同粒度的抽象级别,首先捕获网络流量,然后对捕获的网络流量进行不同抽象层级的分析,并进行特征提取;
19、要实现网络流量特征提取,首先要实现网络流量捕获,通过sniff、kismac这些工具进行网络流量嗅探;通过ids、防火墙进行网络流量捕获,在网络流量捕获的过程中,使用合法的工具和命令探测流量,获取到网络流量后,从时间、协议两方面进行网络流量特征提取;
20、时间特性上采用基于流的特征进行提取,这种多级抽象级别的提取方式能够忽略不同协议带来的影响,过滤出网络延迟、抖动、数据包传输这些网络流量时间特征,最终形成时间概率分布信息来进行流量特征描述;获取到网络流量后,通过对网络流量进行分析,采用基于流的方式首先对网络流量进行分类,即相同的源ip、目标ip、源端口、目标端口和协议;采用一套针对网络流特征提取的方案,对已经分类的数据流进行特征提取,提取时间相关特征时考虑两种不同方法,第一种是测量数据包之间的时间特征和单个数据流的持续时间,第二种是固定时间并测量其他时间特征;
21、协议特性上,对网络节点中不同层协议的流量进行分类统计,衡量目标网络的流量协议特性;采用一套基于各层网络进行协议识别与特征提取的网络流量提取方案实现,网络层采用基于固定端口的协议识别,基于深度数据包检测技术对目标流量进行提取,获取流量有效负载的特征串,并基于字符串匹配算法匹配协议类型特征。
22、优选地,步骤二中采用网络拓扑结构获取方法进行特征提取的方法如下:
23、针对网络拓扑特征,收集包含目标网络的资源信息,构造网络拓扑图的各种必要信息;利用各种网络路由搜索算法和相关协议来获取整个网络中的每个设备的路由信息,然后利用获取的路由信息来实现拓扑的自动生成,网络拓扑特征根据是否向被测网络发送探测包分为主动拓扑探测和被动拓扑探测两类;
24、主动拓扑探测包括类traceroute网络探测技术和网络层析成像技术;通过类traceroute网络探测技术,实现基于网络中间路由器节点的反馈信息采集网络中的拓扑信息,基于paris traceroute实现网络拓扑探测,并与doubletree算法组合实现探测剪枝,减少重复探测次数;通过网络层析成像技术,仅依靠测量端到端节点之间的流量参数,利用特征提取和统计分析技术来推断出源到目的节点之间的网络拓扑;
25、被动拓扑探测通过侦听手段捕获网络中的真实报文或者查询网络设备中日志和配置信息来提取相关拓扑信息以识别网络的拓扑结构;提取目标本文档来自技高网...
【技术保护点】
1.一种面向目标网络的特征构建方法,其特征在于,包括以下步骤:
2.如权利要求1所述的方法,其特征在于,步骤一基于网络扫描技术和工具来实现。
3.如权利要求1所述的方法,其特征在于,步骤二中采用网络设备特征构建方法进行特征提取的方法如下:
4.如权利要求1所述的方法,其特征在于,步骤二中采用网络流量特征提取方法进行特征提取的方法如下:
5.如权利要求1所述的方法,其特征在于,步骤二中采用网络拓扑结构获取方法进行特征提取的方法如下:
6.如权利要求1所述的方法,其特征在于,步骤四还构建网络特征模型库。
7.如权利要求6所述的方法,其特征在于,步骤四构建非结构化数据库ElasticSearch。
8.一种用于实现如权利要求1至7中任一项所述方法的系统。
9.一种基于如权利要求1至7中任一项所述方法构建虚拟化欺骗防御网络的方法。
10.一种基于如权利要求1至7中任一项所述方法构建网络空间欺骗防御系统的方法。
【技术特征摘要】
1.一种面向目标网络的特征构建方法,其特征在于,包括以下步骤:
2.如权利要求1所述的方法,其特征在于,步骤一基于网络扫描技术和工具来实现。
3.如权利要求1所述的方法,其特征在于,步骤二中采用网络设备特征构建方法进行特征提取的方法如下:
4.如权利要求1所述的方法,其特征在于,步骤二中采用网络流量特征提取方法进行特征提取的方法如下:
5.如权利要求1所述的方法,其特征在于,步骤二中采用网络拓扑结构获取方法进...
【专利技术属性】
技术研发人员:曾颖明,温泉,方永强,胡佳,尚颖,郭敏,桓琦,王晓菲,
申请(专利权)人:北京计算机技术及应用研究所,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。