本公开实施例公开了一种基于拟态防御机制的入侵防御方法及入侵防御装置。所述方法包括:获取流量报文并进行特征提取以得到特征报文;确定与所述特征报文对应的多个目标异构执行体;其中,所述目标异构执行体的当前状态为第一状态;所述第一状态用于表征对应的异构执行体当前可用;将所述特征报文分别发送至多个所述目标异构执行体以得到多个匹配结果;其中,所述匹配结果由所述目标异构执行体通过对比各自相应的目标规则库而得到;利用裁决算法对所述多个匹配结果进行计算,以得到裁决结果;根据所述裁决结果和所述匹配结果对所述流量报文执行过滤处理;根据所述裁决结果和所述匹配结果对所述目标异构执行体的当前状态进行调整。行调整。行调整。
【技术实现步骤摘要】
基于拟态防御机制的入侵防御方法及入侵防御装置
[0001]本公开涉及网络安全
,尤其涉及一种基于拟态防御机制的入侵防御方法及入侵防御装置。
技术介绍
[0002]拟态防御理论是一种以动态异构冗余为核心思想的拟态防御机制,其原理是围绕一个或者多个处理环节,建设多个功能一致、技术异构的执行体,通过对异构执行体的动态调度使用,构建异构冗余的服务环境。每个信息请求都通过动态选择的多个异构体来共同处理,先天性地避免了针对某一特定漏洞的攻击,实现主动防御的目标。
[0003]现有技术中利用了拟态防御机制的方案均基于异构执行体的匹配结果进行病毒或漏洞防御,对于异构执行体包含的规则库是否适用于当前应用场景,或者异构执行体本身是否受到攻击缺乏必要的监控措施,容易导致对入侵事件出现误报、漏报的几率增加。
技术实现思路
[0004]有鉴于此,本公开实施例提供了一种基于拟态防御机制的入侵防御方案,可以提高入侵防御的准确性,减少误判概率,提高防御效率。
[0005]第一方面,本公开实施例提供了一种基于拟态防御机制的入侵防御方法,采用如下技术方案:
[0006]在网络服务器的前端获取流量报文,对所述流量报文进行特征提取以得到特征报文;
[0007]从异构执行体集合中确定与所述特征报文对应的多个目标异构执行体;其中,所述目标异构执行体的当前状态为第一状态;所述第一状态用于表征对应的异构执行体当前可用;
[0008]将所述特征报文分别发送至多个所述目标异构执行体以得到多个匹配结果;其中,所述匹配结果由所述目标异构执行体通过对比各自相应的目标规则库而得到,所述目标规则库是从多个候选规则库中搜索确定的;
[0009]将所述特征报文分别发送至多个所述目标异构执行体,以得到多个匹配结果;
[0010]利用裁决算法对所述多个匹配结果进行计算,以得到裁决结果;
[0011]根据所述裁决结果和所述匹配结果对所述流量报文执行过滤处理;
[0012]根据所述裁决结果和所述匹配结果对所述目标异构执行体的当前状态进行调整。
[0013]根据本专利技术提供的入侵防御方法,所述获取网络中的流量报文,对所述流量报文进行特征提取以得到特征报文的步骤包括:
[0014]获取所述流量报文对应的第一协议类型;
[0015]根据预设的协议类型和特征项目之间的匹配关系,确定所述第一协议类型对应的第一特征项目;
[0016]从所述流量报文中提取所述第一特征项目以生成所述特征报文。
[0017]根据本专利技术提供的入侵防御方法,所述匹配结果包括匹配或不匹配,所述利用裁决算法对所述多个匹配结果进行计算,以得到裁决结果的步骤包括:
[0018]在多个所述目标异构执行体的匹配结果全部一致的情况下,得到裁决结果为通过;
[0019]在多个所述目标异构执行体的匹配结果不全部一致的情况下,得到裁决结果为不通过。
[0020]根据本专利技术提供的入侵防御方法,所述匹配结果包括匹配或不匹配,所述利用裁决算法对所述多个匹配结果进行计算,以得到裁决结果的步骤包括:
[0021]获取匹配结果为不匹配的目标异构执行体的第一数量,将所述第一数量与预设的第一阈值进行对比;
[0022]在所述第一数量大于或等于所述第一阈值的情况下,得到裁决结果为通过;
[0023]在所述第一数量小于所述第一阈值的情况下,得到裁决结果为不通过。
[0024]根据本专利技术提供的入侵防御方法,所述根据所述裁决结果对所述流量报文执行过滤处理的步骤包括:
[0025]在所述裁决结果为通过且所述匹配结果不是全部为匹配的情况下,将所述流量报文转发至所述网络装置;
[0026]在所述裁决结果为通过且所述匹配结果全部为匹配的情况下,或者在所述裁决结果为不通过的情况下,根据所述匹配结果中不匹配的结果数量确定对所述流量报文执行允许传输、告警或阻断传输中的任一种动作。
[0027]根据本专利技术提供的入侵防御方法,所述根据所述裁决结果和所述匹配结果对所述目标异构执行体的当前状态进行调整的步骤包括:
[0028]在所述裁决结果为通过且所述匹配结果全部为匹配的情况下,确定全部所述目标异构执行体疑似受到攻击;
[0029]在所述裁决结果为不通过的情况下,确定全部所述目标异构执行体疑似受到攻击。
[0030]根据本专利技术提供的入侵防御方法,所述根据所述裁决结果和所述匹配结果对所述目标异构执行体的当前状态进行调整的步骤包括:
[0031]在所述裁决结果为不通过的情况下,确定全部所述目标异构执行体疑似受到攻击。
[0032]根据本专利技术提供的入侵防御方法,所述根据所述裁决结果和所述匹配结果对所述目标异构执行体的当前状态进行调整的步骤还包括:
[0033]将确定为疑似受到攻击的目标执行体的当前状态从第一状态调整为第二状态,并对所述确定为疑似受到攻击的目标执行体进行清洗;其中,所述第二状态用于表征对应的异构执行体当前不可用。
[0034]根据本专利技术提供的入侵防御方法,所述根据所述裁决结果和所述匹配结果对所述目标异构执行体的当前状态进行调整的步骤还包括:
[0035]获取未确定为疑似受到攻击的其它目标执行体处于第一状态的时长信息,将所述时长信息与预设的第二阈值进行对比;
[0036]在所述时长信息大于或等于所述第二阈值的情况下,将所述其它目标执行体的当
前状态从第一状态调整为第二状态。
[0037]第二方面,本公开实施例还提供了一种基于拟态防御机制的入侵防御装置,采用如下技术方案:
[0038]特征提取模块,适用于在网络服务器的前端获取流量报文,对所述流量报文进行特征提取以得到特征报文;
[0039]执行体确定模块,适用于从异构执行体集合中确定与所述特征报文对应的多个目标异构执行体;其中,所述目标异构执行体的当前状态为第一状态;所述第一状态用于表征对应的异构执行体当前可用;
[0040]防入侵匹配模块,适用于将所述特征报文分别发送至多个所述目标异构执行体以得到多个匹配结果;其中,所述匹配结果由所述目标异构执行体通过对比各自相应的目标规则库而得到,所述目标规则库是从多个候选规则库中搜索确定的;
[0041]裁决模块,利用裁决算法对所述多个匹配结果进行计算,以得到裁决结果;
[0042]报文过滤模块,根据所述裁决结果和所述匹配结果对所述流量报文执行过滤处理;
[0043]动态调整模块,适用于根据所述裁决结果和所述匹配结果对所述目标异构执行体的当前状态进行调整。
[0044]第三方面,本公开实施例还提供了一种电子设备,采用如下技术方案:
[0045]所述电子设备包括:
[0046]至少一个处理器;以及,
[0047]与所述至少一个处理器通信连接的存储器;其中,
[0048]所述存储器存储有可被所述至少一个处理器执行的指令,所述指令被所述至少一个处理器执行本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种基于拟态防御机制的入侵防御方法,其特征在于,包括:在网络服务器的前端获取流量报文,对所述流量报文进行特征提取以得到特征报文;从异构执行体集合中确定与所述特征报文对应的多个目标异构执行体;其中,所述目标异构执行体的当前状态为第一状态;所述第一状态用于表征对应的异构执行体当前可用;将所述特征报文分别发送至多个所述目标异构执行体以得到多个匹配结果;其中,所述匹配结果由所述目标异构执行体通过对比各自相应的目标规则库而得到,所述目标规则库是从多个候选规则库中搜索确定的;利用裁决算法对所述多个匹配结果进行计算,以得到裁决结果;根据所述裁决结果和所述匹配结果对所述流量报文执行过滤处理;根据所述裁决结果和所述匹配结果对所述目标异构执行体的当前状态进行调整。2.根据权利要求1所述的入侵防御方法,其特征在于,所述获取网络中的流量报文,对所述流量报文进行特征提取以得到特征报文的步骤包括:获取所述流量报文对应的第一协议类型;根据预设的协议类型和特征项目之间的匹配关系,确定所述第一协议类型对应的第一特征项目;从所述流量报文中提取所述第一特征项目以生成所述特征报文。3.根据权利要求2所述的入侵防御方法,其特征在于,所述匹配结果包括匹配或不匹配,所述利用裁决算法对所述多个匹配结果进行计算,以得到裁决结果的步骤包括:在多个所述目标异构执行体的匹配结果全部一致的情况下,得到裁决结果为通过;在多个所述目标异构执行体的匹配结果不全部一致的情况下,得到裁决结果为不通过。4.根据权利要求2所述的入侵防御方法,其特征在于,所述匹配结果包括匹配或不匹配,所述利用裁决算法对所述多个匹配结果进行计算,以得到裁决结果的步骤包括:获取匹配结果为不匹配的目标异构执行体的第一数量,将所述第一数量与预设的第一阈值进行对比;在所述第一数量大于或等于所述第一阈值的情况下,得到裁决结果为通过;在所述第一数量小于所述第一阈值的情况下,得到裁决结果为不通过。5.根据权利要求3或4所述的入侵防御方法,其特征在于,所述根据所述裁决结果对所述流量报文执行过滤处理的步骤包括:在所述裁决结果为通过且所述匹配结果不是全部为匹配的情况下,将所述流量报文转发至所述网络装置;在所述裁决结果为通过且所述匹配结果全部为匹配的情况下,或者在所述裁决结果为不通过的情况下,根据所述匹配结果中不匹配的结果数量确定对所述流量报文执行允许传输、告警或阻断传输中的任一种动作。6.根据权利要求3所述的入侵防御方法,其特征在于,所述根据所述裁决结果和所述匹配结果对所述目标异构执行体的当前状态进行调整的步骤包括:在所述裁决结果为通过且所述匹配结果全部为匹配的情况下,确定全部所述目...
【专利技术属性】
技术研发人员:袁欢,寇增杰,
申请(专利权)人:北京天融信科技有限公司北京天融信软件有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。