擬態(tài)防御系統(tǒng)的分發(fā)裁決方法、裝置、設(shè)備及存儲(chǔ)介質(zhì)制造方法及圖紙

本發(fā)明專利技術(shù)提供了一種擬態(tài)防御系統(tǒng)的分發(fā)裁決方法、分發(fā)裁決裝置、電子設(shè)備及存儲(chǔ)介質(zhì)，屬于網(wǎng)絡(luò)安全技術(shù)領(lǐng)域。所述分發(fā)裁決方法包括：獲取擬態(tài)防御系統(tǒng)的日志信息；利用日志分析策略對(duì)所獲取的日志信息進(jìn)行分析，根據(jù)日志分析結(jié)果獲取執(zhí)行體的風(fēng)險(xiǎn)等級(jí)和執(zhí)行體的異常日志級(jí)別；依據(jù)執(zhí)行體的風(fēng)險(xiǎn)等級(jí)和異常日志級(jí)別，重新選擇執(zhí)行體，組成新的非相似等價(jià)執(zhí)行體集合；利用機(jī)器學(xué)習(xí)的方法對(duì)所接收的用戶請(qǐng)求信息和擬態(tài)防御系統(tǒng)的日志信息進(jìn)行自學(xué)習(xí)，根據(jù)自學(xué)習(xí)結(jié)果調(diào)整日志分析策略。本發(fā)明專利技術(shù)能夠?qū)Ψ职l(fā)裁決機(jī)制進(jìn)行動(dòng)態(tài)優(yōu)化，能夠提高擬態(tài)防御系統(tǒng)的安全性和執(zhí)行效率；本發(fā)明專利技術(shù)利用機(jī)器學(xué)習(xí)的方法優(yōu)化日志分析策略，能夠更有效地對(duì)抗不斷變化的網(wǎng)絡(luò)攻擊。

【技術(shù)實(shí)現(xiàn)步驟摘要】

本專利技術(shù)屬于網(wǎng)絡(luò)安全，具體涉及一種擬態(tài)防御系統(tǒng)的分發(fā)裁決方法、分發(fā)裁決裝置、電子設(shè)備及存儲(chǔ)介質(zhì)。

技術(shù)介紹

1、基于未知漏洞、后門（backdoor）等產(chǎn)生的不確定威脅是當(dāng)前網(wǎng)絡(luò)空間最為嚴(yán)峻和棘手的安全問題。傳統(tǒng)的網(wǎng)絡(luò)安全防御思想是基于防火墻、入侵檢測(cè)系統(tǒng)、反病毒系統(tǒng)、身份認(rèn)證技術(shù)、網(wǎng)絡(luò)安全風(fēng)險(xiǎn)檢測(cè)等技術(shù)手段建立縱深型立體網(wǎng)絡(luò)安全防御體系，通過不同類型安全技術(shù)的綜合應(yīng)用來提升網(wǎng)絡(luò)及其應(yīng)用的安全性。但由于未知漏洞后門的存在，并且隨著對(duì)抗手段自動(dòng)化、智能化水平的不斷提高，單靠傳統(tǒng)的網(wǎng)絡(luò)安全防御體系已經(jīng)不能適應(yīng)當(dāng)前網(wǎng)絡(luò)安全防御的實(shí)際需求，而擬態(tài)防御則是針對(duì)上述情況而提出的一種動(dòng)態(tài)防御技術(shù)，旨在通過擬態(tài)防御構(gòu)造的內(nèi)生機(jī)理來提高網(wǎng)絡(luò)設(shè)備或系統(tǒng)的抗攻擊能力。擬態(tài)防御系統(tǒng)是基于擬態(tài)防御原理的新型網(wǎng)絡(luò)設(shè)備防御系統(tǒng)，其利用異構(gòu)性、動(dòng)態(tài)性、冗余性等特性阻斷或擾亂網(wǎng)絡(luò)攻擊，以實(shí)現(xiàn)系統(tǒng)安全風(fēng)險(xiǎn)可控。

2、分發(fā)裁決作為擬態(tài)防御系統(tǒng)的關(guān)鍵組件，對(duì)擬態(tài)防御設(shè)備的安全防御效果起到關(guān)鍵的決定性作用，但是當(dāng)前擬態(tài)防御系統(tǒng)中的分發(fā)裁決機(jī)制不能對(duì)執(zhí)行體的選擇和異構(gòu)分發(fā)起到指導(dǎo)作用。

技術(shù)實(shí)現(xiàn)思路

1、本專利技術(shù)所要解決的技術(shù)問題是，針對(duì)現(xiàn)有技術(shù)的不足，提供一種擬態(tài)防御系統(tǒng)的分發(fā)裁決方法、分發(fā)裁決裝置、電子設(shè)備及存儲(chǔ)介質(zhì)。

2、為解決上述技術(shù)問題，本專利技術(shù)所采用的技術(shù)方案是：

3、一種擬態(tài)防御系統(tǒng)的分發(fā)裁決方法，所述擬態(tài)防御系統(tǒng)包括分發(fā)裁決模塊和非相似等價(jià)執(zhí)行體集合，所述非相似等價(jià)執(zhí)行體集合包括多個(gè)功能等價(jià)的執(zhí)行體；所述分發(fā)裁決方法包括：獲取擬態(tài)防御系統(tǒng)中分發(fā)裁決模塊和各執(zhí)行體的日志信息；利用日志分析策略對(duì)所獲取的日志信息進(jìn)行分析，根據(jù)日志分析結(jié)果獲取執(zhí)行體的風(fēng)險(xiǎn)等級(jí)和執(zhí)行體的異常日志級(jí)別；依據(jù)執(zhí)行體的風(fēng)險(xiǎn)等級(jí)和異常日志級(jí)別，重新選擇執(zhí)行體，組成新的非相似等價(jià)執(zhí)行體集合，分發(fā)裁決模塊利用新的非相似等價(jià)執(zhí)行體集合來處理用戶請(qǐng)求。。

4、進(jìn)一步的，所述分發(fā)裁決方法還包括：利用機(jī)器學(xué)習(xí)的方法對(duì)所接收的用戶請(qǐng)求信息和擬態(tài)防御系統(tǒng)的日志信息進(jìn)行自學(xué)習(xí)，根據(jù)自學(xué)習(xí)結(jié)果調(diào)整日志分析策略。

5、進(jìn)一步的，所獲取的日志信息進(jìn)行分析的方法包括：從所獲取的日志信息中識(shí)別出異常日志；對(duì)所識(shí)別出的異常日志進(jìn)行分析，獲取異常日志的風(fēng)險(xiǎn)信息；異常日志的風(fēng)險(xiǎn)信息包括：異常日志的日志級(jí)別、異常日志可能引發(fā)的威脅類型和威脅等級(jí)、異常日志相關(guān)聯(lián)的異常行為可能引發(fā)的威脅類型和威脅等級(jí)。

6、進(jìn)一步的，獲取執(zhí)行體的風(fēng)險(xiǎn)等級(jí)和執(zhí)行體的異常日志級(jí)別的方法包括：根據(jù)異常日志的風(fēng)險(xiǎn)信息確定對(duì)應(yīng)執(zhí)行體的風(fēng)險(xiǎn)等級(jí)；確定異常日志的日志級(jí)別為對(duì)應(yīng)執(zhí)行體的異常日志級(jí)別。

7、進(jìn)一步的，重新選擇執(zhí)行體的方法包括：優(yōu)先選擇低風(fēng)險(xiǎn)等級(jí)和不同異常日志級(jí)別的多個(gè)執(zhí)行體。

8、一種擬態(tài)防御系統(tǒng)的分發(fā)裁決裝置，包括執(zhí)行體模塊、分發(fā)裁決模塊、日志分析模塊和機(jī)器學(xué)習(xí)模塊；

9、所述執(zhí)行體模塊包括非相似等價(jià)執(zhí)行體集合，用于根據(jù)執(zhí)行體的風(fēng)險(xiǎn)等級(jí)和異常日志級(jí)別選擇執(zhí)行體組成所述非相似等價(jià)執(zhí)行體集合；

10、所述分發(fā)裁決模塊用于將用戶請(qǐng)求復(fù)制并分發(fā)給所述非相似等價(jià)執(zhí)行體集合中的各執(zhí)行體，用于將各執(zhí)行體的執(zhí)行結(jié)果做智能裁決后形成系統(tǒng)輸出，用于將系統(tǒng)輸出返回給用戶；

11、所述日志分析模塊用于獲取所述分發(fā)裁決模塊的日志信息，用于獲取所述非相似等價(jià)執(zhí)行體集合中每個(gè)執(zhí)行體的日志信息，用于對(duì)所獲取的日志信息進(jìn)行分析，用于根據(jù)日志分析結(jié)果獲取執(zhí)行體的風(fēng)險(xiǎn)等級(jí)和執(zhí)行體的異常日志級(jí)別；

12、所述機(jī)器學(xué)習(xí)模塊用于利用機(jī)器學(xué)習(xí)的方法對(duì)所接收的用戶請(qǐng)求信息和擬態(tài)防御系統(tǒng)的日志信息進(jìn)行自學(xué)習(xí)，用于根據(jù)自學(xué)習(xí)結(jié)果調(diào)整所述日志分析模塊的日志分析策略。

13、進(jìn)一步的，所述日志分析模塊包括異常日志單元；所述異常日志單元用于從所獲取的日志信息中識(shí)別出異常日志，用于獲取異常日志的風(fēng)險(xiǎn)信息。

14、進(jìn)一步的，異常日志的風(fēng)險(xiǎn)信息包括：異常日志的日志級(jí)別、異常日志可能引發(fā)的威脅類型和威脅等級(jí)、以及異常日志相關(guān)聯(lián)的異常行為可能引發(fā)的威脅類型和威脅等級(jí)。

15、一種電子設(shè)備，包括處理器和存儲(chǔ)器；所述存儲(chǔ)器用于存儲(chǔ)可執(zhí)行指令，所述處理器用于執(zhí)行所述指令，以實(shí)現(xiàn)所述的分發(fā)裁決方法。

16、一種計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)，所述可讀存儲(chǔ)介質(zhì)中存儲(chǔ)有指令，當(dāng)所述指令被執(zhí)行時(shí)，實(shí)現(xiàn)所述的分發(fā)裁決方法。

17、與現(xiàn)有技術(shù)相比，本專利技術(shù)有益效果如下：

18、本專利技術(shù)擬態(tài)防御系統(tǒng)利用分發(fā)裁決模塊將用戶請(qǐng)求復(fù)制并分發(fā)給所述非相似等價(jià)執(zhí)行體集合中的各執(zhí)行體，將各執(zhí)行體的執(zhí)行結(jié)果做智能裁決后獲取正常和正確的系統(tǒng)輸出，最終將系統(tǒng)輸出反饋給用戶。本專利技術(shù)能夠解決誤報(bào)并提高分發(fā)執(zhí)行在異構(gòu)性方面的作用，能夠有效提高網(wǎng)絡(luò)系統(tǒng)的安全性和執(zhí)行效率。擬態(tài)防御系統(tǒng)的非相似等價(jià)執(zhí)行體集合中的執(zhí)行體在不同的子網(wǎng)中獨(dú)立運(yùn)行、互不影響，從而避免了單點(diǎn)故障對(duì)系統(tǒng)正常響應(yīng)的影響。擬態(tài)防御系統(tǒng)支持多種協(xié)議類型，包括路由器的管理協(xié)議和路由協(xié)議、交換機(jī)的二層/三層/管理協(xié)議、web服務(wù)協(xié)議、ice104規(guī)約協(xié)議，適用范圍廣泛。

19、本專利技術(shù)還對(duì)擬態(tài)防御系統(tǒng)的日志信息進(jìn)行全面分析，根據(jù)日志分析結(jié)果獲取執(zhí)行體的風(fēng)險(xiǎn)等級(jí)和執(zhí)行體的異常日志級(jí)別，并依據(jù)執(zhí)行體的風(fēng)險(xiǎn)等級(jí)和異常日志級(jí)別選擇執(zhí)行體，組成非相似等價(jià)執(zhí)行體集合。專利技術(shù)根據(jù)日志分析的結(jié)果，選擇低風(fēng)險(xiǎn)等級(jí)的執(zhí)行體執(zhí)行用戶請(qǐng)求，因此本專利技術(shù)能夠?qū)Ψ职l(fā)裁決機(jī)制進(jìn)行動(dòng)態(tài)優(yōu)化，能夠提高擬態(tài)防御系統(tǒng)的安全性和執(zhí)行效率。

20、本專利技術(shù)還利用機(jī)器學(xué)習(xí)的方法對(duì)用戶請(qǐng)求信息和擬態(tài)防御系統(tǒng)的日志信息進(jìn)行自學(xué)習(xí)，根據(jù)自學(xué)習(xí)結(jié)果調(diào)整日志分析策略，智能調(diào)整執(zhí)行體的風(fēng)險(xiǎn)等級(jí)和異常日志級(jí)別，從而調(diào)整執(zhí)行體的選擇策略，優(yōu)化非相似等價(jià)執(zhí)行體集合的構(gòu)成。利用機(jī)器學(xué)習(xí)的方法能夠根據(jù)威脅級(jí)別和日志中的關(guān)鍵特征進(jìn)行智能調(diào)整，使日志分析策略能夠自我進(jìn)化，自動(dòng)優(yōu)化其檢測(cè)和響應(yīng)策略，更有效地對(duì)抗不斷變化的網(wǎng)絡(luò)攻擊，從而確保最終向用戶反饋正確的結(jié)果。

本文檔來自技高網(wǎng)...

【技術(shù)保護(hù)點(diǎn)】

1.一種擬態(tài)防御系統(tǒng)的分發(fā)裁決方法，其特征在于，所述擬態(tài)防御系統(tǒng)包括分發(fā)裁決模塊和非相似等價(jià)執(zhí)行體集合，所述非相似等價(jià)執(zhí)行體集合包括多個(gè)功能等價(jià)的執(zhí)行體；所述分發(fā)裁決方法包括：

2.根據(jù)權(quán)利要求1所述的擬態(tài)防御系統(tǒng)的分發(fā)裁決方法，其特征在于，所述分發(fā)裁決方法還包括：利用機(jī)器學(xué)習(xí)的方法對(duì)所接收的用戶請(qǐng)求信息和所獲取的日志信息進(jìn)行自學(xué)習(xí)，根據(jù)自學(xué)習(xí)結(jié)果調(diào)整日志分析策略。

3.根據(jù)權(quán)利要求1所述的擬態(tài)防御系統(tǒng)的分發(fā)裁決方法，其特征在于，對(duì)所獲取的日志信息進(jìn)行分析的方法包括：

4.根據(jù)權(quán)利要求3所述的擬態(tài)防御系統(tǒng)的分發(fā)裁決方法，其特征在于，獲取執(zhí)行體的風(fēng)險(xiǎn)等級(jí)和執(zhí)行體的異常日志級(jí)別的方法包括：

5.根據(jù)權(quán)利要求1所述的擬態(tài)防御系統(tǒng)的分發(fā)裁決方法，其特征在于，重新選擇執(zhí)行體的方法包括：優(yōu)先選擇低風(fēng)險(xiǎn)等級(jí)和不同異常日志級(jí)別的多個(gè)執(zhí)行體。

6.一種擬態(tài)防御系統(tǒng)的分發(fā)裁決裝置，其特征在于，包括執(zhí)行體模塊、分發(fā)裁決模塊、日志分析模塊和機(jī)器學(xué)習(xí)模塊；

7.根據(jù)權(quán)利要求6所述的擬態(tài)防御系統(tǒng)的分發(fā)裁決裝置，其特征在于，所述日志分析模塊包括異常日志單元；所述異常日志單元用于從所獲取的日志信息中識(shí)別出異常日志，用于獲取異常日志的風(fēng)險(xiǎn)信息。

8.根據(jù)權(quán)利要求7所述的擬態(tài)防御系統(tǒng)的分發(fā)裁決裝置，其特征在于，異常日志的風(fēng)險(xiǎn)信息包括：異常日志的日志級(jí)別、異常日志可能引發(fā)的威脅類型和威脅等級(jí)、以及異常日志相關(guān)聯(lián)的異常行為可能引發(fā)的威脅類型和威脅等級(jí)。

9.一種電子設(shè)備，其特征在于，包括處理器和存儲(chǔ)器；所述存儲(chǔ)器用于存儲(chǔ)可執(zhí)行指令，所述處理器用于執(zhí)行所述指令，以實(shí)現(xiàn)權(quán)利要求1-5任一項(xiàng)所述的分發(fā)裁決方法。

10.一種計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)，其特征在于，所述可讀存儲(chǔ)介質(zhì)中存儲(chǔ)有指令，當(dāng)所述指令被執(zhí)行時(shí)，實(shí)現(xiàn)權(quán)利要求1-5任一項(xiàng)所述的分發(fā)裁決方法。

...

【技術(shù)特征摘要】

1.一種擬態(tài)防御系統(tǒng)的分發(fā)裁決方法，其特征在于，所述擬態(tài)防御系統(tǒng)包括分發(fā)裁決模塊和非相似等價(jià)執(zhí)行體集合，所述非相似等價(jià)執(zhí)行體集合包括多個(gè)功能等價(jià)的執(zhí)行體；所述分發(fā)裁決方法包括：

2.根據(jù)權(quán)利要求1所述的擬態(tài)防御系統(tǒng)的分發(fā)裁決方法，其特征在于，所述分發(fā)裁決方法還包括：利用機(jī)器學(xué)習(xí)的方法對(duì)所接收的用戶請(qǐng)求信息和所獲取的日志信息進(jìn)行自學(xué)習(xí)，根據(jù)自學(xué)習(xí)結(jié)果調(diào)整日志分析策略。

3.根據(jù)權(quán)利要求1所述的擬態(tài)防御系統(tǒng)的分發(fā)裁決方法，其特征在于，對(duì)所獲取的日志信息進(jìn)行分析的方法包括：

4.根據(jù)權(quán)利要求3所述的擬態(tài)防御系統(tǒng)的分發(fā)裁決方法，其特征在于，獲取執(zhí)行體的風(fēng)險(xiǎn)等級(jí)和執(zhí)行體的異常日志級(jí)別的方法包括：

5.根據(jù)權(quán)利要求1所述的擬態(tài)防御系統(tǒng)的分發(fā)裁決方法，其特征在于，重新選擇執(zhí)行體的方法包括：優(yōu)先選擇低風(fēng)險(xiǎn)等級(jí)和不同異常日志級(jí)別的多個(gè)執(zhí)行體。

6.一種擬態(tài)防御系統(tǒng)的...

【專利技術(shù)屬性】
技術(shù)研發(fā)人員：李斌，吳坡，張曉，阮沖，王丹，張浩，宮燦鋒，宋彥樓，劉書銘，劉慧，韓首魁，張高舉，
申請(qǐng)(專利權(quán))人：國(guó)網(wǎng)河南省電力公司電力科學(xué)研究院，
類型：發(fā)明
國(guó)別省市：