[发明专利]一种基于机器学习的服务器伪装方法和系统

说明书

技术领域

本发明涉及计算机领域，具体涉及一种基于机器学习的服务器伪装方法和系统。

背景技术

现有技术中存在的蜜罐系统这种服务器保护技术，架设在服务器和客户端之间，作为客户端和服务器交互的媒介，将真实的访问连接到实际的服务器上，提高服务器安全行。当面对APT攻击时，蜜罐主机被攻陷，入侵者不能得到有价值的资料，从而保护数据不被破坏或窃取。

如图1，对于蜜罐技术的正常访问行为过程如下：

1)用户访问服务器；

2)蜜罐系统接受访问请求；

3)蜜罐代理访问真实服务器；

4)返回数据给用户；

5)判断是否退出，如果是跳转到步骤6)，否则返回到步骤1)

6)结束。

对于蜜罐技术的入侵攻击行为过程如下：

1)入侵者攻击服务器；

2)攻击指令到达蜜罐系统；

3)蜜罐机被攻陷；

4)获取蜜罐机数据；

5)判断是否退出，如果是跳转到步骤6)，否则返回到步骤1)

6)结束。

根据上述描述克制，蜜罐技术不能检测攻击，区分正常访问和恶意入侵。蜜罐系统，只能有限保护服务器免受侵害，不能抵御APT攻击，针对APT攻击没有检测手段，不能提供持续性服务。

本发明要解决的技术问题是，从实际需求和应用的角度出发，基于机器学习的服务器伪装技术，能有效检测入侵攻击行为，并可自主学习、分析各种入侵方式，完善攻击检测模型；根据检测结果进行智能调度，真实的访问重定向到实际服务器，疑似攻击的访问重定向到蜜罐系统；监测真实服务器变化，并将变化的数据变换改造后同步到蜜罐系统，以欺骗恶意攻击，从而保护正常服务器免受攻击和服务终端。

发明内容

为解决上述技术问题，本发明提供了一种基于机器学习的服务器伪装方法，包括以下步骤：

1)各服务模块初始化；

2)针对用户访问请求，进行威胁攻击检测；

3)判断用户访问请求是否有隐蔽攻击，如果有则转至步骤4)，否则，转至步骤5)；

4)调用伪装服务，由伪装服务响应用户请求，随后转至步骤6)；

5)调用真实服务，由真实服务响应用户请求，随后转至步骤6)；

6)响应用户请求，返回响应请求数据或者按要求写入数据，转至步骤7)；

7)判断是否退出系统，如果不退出，则转至步骤2)，否则转至步骤8)；

8)结束。

根据本发明的实施例，优选的，所述步骤2)中，启动机器学习子模块，分析用户访问请求，完善攻击检测模块。

根据本发明的实施例，优选的，所述步骤3)中，如果判断用户访问请求中存在隐蔽攻击，则通知智能调度模块中的攻击预警子模块，对隐蔽攻击进行预警：当前用户访问请求有恶意行为。

根据本发明的实施例，优选的，所述步骤4)中由伪装服务响应用户请求之后，还需要判断真实服务器数据是否变化，如果发生改变，将伪装服务器与真实服务器保持数据同步，并扰乱同步后的数据，转至步骤7)，否则直接转至步骤7)。

根据本发明的实施例，优选的，所述步骤5)中由真实服务响应用户请求之后，判断真实服务器数据是否变化，如果发生改变，则通知伪装服务器，并发送变化数据，转至步骤7)，否则直接转至步骤7)。

为解决上述技术问题，本发明提供了一种基于机器学习的服务器伪装系统，该系统包括：

攻击检测模块，检测用户访问服务器动作是否有恶意攻击行为，并把检测结果通知给智能调度模块；

智能调度模块，接收攻击检测模块预警通知，监测数据服务模块状态，根据预警无缝调度伪装服务器或者真实服务器，完成用户请求；

数据服务模块，包括真实服务器和伪装服务器，用于对外提供数据服务，响应智能调度模块的数据服务请求，同时，完成真实服务器到伪装服务器的数据同步。

根据本发明的实施例，优选的，所述攻击检测模块包括机器学习子模块，当所述攻击检测模块截取用户访问请求时，启动机器学习子模块进行用户行为分析，不断完善攻击检测模块。

根据本发明的实施例，优选的，所述智能调度模块包括攻击预警子模块、状态监测子模块和服务调度子模块；

当接收到用户访问请求时，同时启动攻击预警和状态监测模块，将用户访问请求同时下发给所述伪装服务器和真实服务器；

所述状态监测子模块维持数据服务模块的响应状态，没有收到攻击预警时，将真实服务器的数据返回给用户；