【技术实现步骤摘要】
本专利技术涉及计算机网络安全技术中的拟态防御领域,尤其涉及一种拟态防御判决方法、装置、设备及存储介质。
技术介绍
1、随着网络通信技术的飞速发展,运行在开放网络环境中的信息系统日趋复杂。承载的数据量呈指数级增长,数据来源变得更加丰富,内容也更加细化,因此网络空间安全面临许多新的挑战。我国邬江兴院士将移动目标防御技术的动态性与n变体系统的异构冗余性相结合,提出基于动态异构冗余(dhr)架构的网络空间拟态防御理论。dhr架构的工作机制是同时运行多个功能相同架构不同的执行体达到系统中多个功能并行输出结果,通过并行结果的相互验证选出正确结果,以达到阻断攻击且屏蔽一般错误的效果。
2、现有的拟态防御系统对于n个执行体的处理结果进行择多比较,如果有k(k>n/2)个执行体的输出结果一致,则基于“相对正确”公理,输出k个执行体的一致结果。如果最大相同漏洞数大于k,那么拟态裁决器就不能感知到该漏洞威胁,从而选择错误的结果进行输出,造成共模逃逸现象。
3、目前常见的防御拟态防御系统共模逃逸问题的方法包括以下几种:1、基于最大化在线执行体的异构度的防御方法;2、基于判决器历史反馈结果的防御方法;3、基于输入网络流量检测的防御方法。简单介绍如下:
4、(1)现有技术一:基于最大化在线执行体的异构度的防御方法。
5、原理:在调度过程中,从冗余执行体池中选择异构度最大的一组执行体作为在线执行体集合,由于在线执行体的异构度最大,多个执行体之间的共同漏洞数是最小的,在拟态防御模型下攻击者想要同时攻破异构度
6、缺点:实际的拟态防御系统中,异构执行体数量是有限的,同时实现完全异构的执行体是几乎不可能的,所以最大化异构度的防御方法在较少异构执行体的情况下防御效果不佳。
7、(2)现有技术二:基于判决器历史反馈结果的防御方法。
8、原理:在判决结束时,记录各个执行体的历史判决信息,将历史判决信息作为下一次判决的依据,从而历史判决正确率高的执行体对下一次判决具有更大的影响力,达到自适应反馈控制的效果。
9、缺点:基于判决器历史反馈结果的防御方式,虽然对于正确判决具有累积的作用,但是一旦发生攻击,出现一次共模逃逸,也会造成逃逸事件的累计效果,从而导致系统完全失效。
10、(3)现有技术三:基于网络流量检测的防御方法。
11、原理:通过构建异构执行体输出数据集和训练深度学习异常检测模型进行量化,能够提升拟态判决器的表决输出正确率,具有一定共模逃逸检测能力。
12、缺点:随着网络加密流量的增加,基于网络流量的异常检测难以处理分析加密网络恶意流量,同时部署基于流量的检测模型可能会降低网络流量的速度,从而降低拟态防御系统的服务质量。
技术实现思路
1、为至少一定程度上解决现有技术中存在的技术问题之一,本专利技术的目的在于提供一种基于安全态势感知的拟态防御判决方法、装置、设备及存储介质。
2、本专利技术所采用的第一技术方案是:
3、一种拟态防御判决方法,包括以下步骤:
4、针对拟态防御系统的异构执行体,对执行体的运行状态进行采集;
5、当拟态防御系统运行之后,针对每个请求调用的执行体,进行状态分析,得到执行体实时安全度;
6、初始化执行体的历史安全度;
7、在拟态防御系统判决过程中,结合执行体的实时安全度和历史安全度对在线执行体的输出结果进行多因素判决,得到系统的输出结果;
8、更新执行体的历史安全度。
9、进一步地,所述对执行体的运行状态进行采集,包括:
10、外感受器信息采集:通过采集异构功能执行体的运行设备的中央处理器(cpu)的使用率、内存使用率、网络和磁盘使用量,得到每个功能执行体的外部运行状态;
11、内感受器信息采集:对功能执行体的关键执行函数通过软件插桩的方式进行记录,同时记录每个进程的系统调用情况,得到每个功能执行体的内部运行状态。
12、进一步地,所述针对每个请求调用的执行体,进行状态分析,得到执行体实时安全度,包括:
13、将外感受器和内感受器采集到的向量进行汇聚和融合,得到单一执行体在这一时间片内的综合状态向量;
14、对综合状态向量进行编码处理;
15、将经过编码的综合状态向量,使用无监督的自动编码器学习模型进行学习分析和异常感知,以评估当前时间片内执行体的运行状态与正常运行状态的偏离程度;
16、将评估结果量化得到每个执行体的实时安全度s_n。
17、进一步地,所述对综合状态向量进行编码处理,包括:
18、对采集的综合状态向量的每个分量进行归一化处理;
19、使用独热编码(one-hot encoding)对非数据形式的分量进行编码处理。
20、进一步地,所述初始化执行体的历史安全度,包括:
21、拟态防御系统运行之初,根据不同执行体的异构组件在通用漏洞评分系统中的评分,计算得到执行体整体的评分;
22、根据组成不同执行体的各个构件之间的软硬件差异,计算得到执行体之间的二阶差异度分数;
23、将执行体的漏洞安全评分和所述执行体之间的二阶差异度分数进行人工加权求和,并以此初始化为执行体的历史安全度s_h。
24、进一步地,所述结合执行体的实时安全度和历史安全度对在线执行体的输出结果进行多因素判决,得到系统的输出结果,包括:
25、所述多因素综合判决先统计所有出现的输出结果集,根据每个结果集中的执行体实时安全度和历史安全度,计算得到该结果集的平均实时安全度和平均历史安全度;
26、统计每个输出结果集的执行体数量,使用加权求和的方式,计算得到执行结果集的整体可靠系数s_t,选择整体可靠系数最大的结果集输出。
27、进一步地,所述更新执行体的历史安全度,包括:
28、在每次拟态判决器完成判决后,根据不同执行体每次裁决的结果与拟态防御系统最后判决输出结果,统计分析其差异频率,得到不同执行体的历史表现,以此更新为每个执行体的历史安全度。
29、本专利技术所采用的第二技术方案是:
30、一种拟态防御判决装置,包括:
31、输入代理模块,作为代理网关接收外部请求;
32、异构执行体集合:由多个功能相同但结构不同的执行体构成;
33、拟态调度器:基于调度规则选择合适的异构执行体集合,作为在线执行体;
34、执行体运行状态采集模块:用于分别采集异构执行体的实时运行状态,包括外部环境的变化和内部功能的执行情况,得到高维状态感知向量;
35、实时安全度量化模块:对于采集到的执行体实时运行状态,通过异常检测模型进行评估,得到执行体运行偏离正常值的实时程本文档来自技高网...
【技术保护点】
1.一种拟态防御判决方法,其特征在于,包括以下步骤:
2.根据权利要求1所述的一种拟态防御判决方法,其特征在于,所述对执行体的运行状态进行采集,包括:
3.根据权利要求1所述的一种拟态防御判决方法,其特征在于,所述针对每个请求调用的执行体,进行状态分析,得到执行体实时安全度,包括:
4.根据权利要求3所述的一种拟态防御判决方法,其特征在于,所述对综合状态向量进行编码处理,包括:
5.根据权利要求1所述的一种拟态防御判决方法,其特征在于,所述初始化执行体的历史安全度,包括:
6.根据权利要求1所述的一种拟态防御判决方法,其特征在于,所述结合执行体的实时安全度和历史安全度对在线执行体的输出结果进行多因素判决,得到系统的输出结果,包括:
7.根据权利要求1所述的一种拟态防御判决方法,其特征在于,所述更新执行体的历史安全度,包括:
8.一种拟态防御判决装置,其特征在于,包括:
9.一种拟态防御判决设备,其特征在于,包括:
10.一种计算机可读存储介质,其中存储有处理器可执行的程序,
...【技术特征摘要】
1.一种拟态防御判决方法,其特征在于,包括以下步骤:
2.根据权利要求1所述的一种拟态防御判决方法,其特征在于,所述对执行体的运行状态进行采集,包括:
3.根据权利要求1所述的一种拟态防御判决方法,其特征在于,所述针对每个请求调用的执行体,进行状态分析,得到执行体实时安全度,包括:
4.根据权利要求3所述的一种拟态防御判决方法,其特征在于,所述对综合状态向量进行编码处理,包括:
5.根据权利要求1所述的一种拟态防御判决方法,其特征在于,所述初始化执行体的历史安全度,包括:
6....
【专利技术属性】
技术研发人员:王磊,潘伟锵,覃健诚,陈卓星,
申请(专利权)人:华南理工大学,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。