[发明专利]一种虚实融合的流欺骗防御方法

说明书

本专利提出一种利用流欺骗技术进行虚实融合攻击防御的方法，应用于网络安全领域，在实现基本欺骗防御安全防护的同时，针对常见欺骗防御在误判情况影响正常业务流量对问题提出改进方案。同时后台利用机器学习等技术，自动化实时更新行为分析的规则。该实现过程主要包含感知器、AI智能分析引擎、人工校验以及后台以全栈虚拟化云平台为支撑的影子系统。具体涉及AI智能分析引擎引导感知器将可疑流量引入同构虚拟化影子系统，同时部署人工校验模块对该用户访问行为进行人工监测和验证，根据判断结果在假阳性误判的情况下将流量重新引入真实业务系统，实现虚实融合的流欺骗防御。本专利可用于网络安全运维、实时灾备以及云数据实验室等领域。

本专利提供一种利用流欺骗技术进行虚实融合攻击防御的方法，具体涉及在感知器将可疑流量引入同构影子系统后，部署校验模块对此行为进行人工验证，根据判断结果在假阳性误判的情况下将流量重新引入真实业务系统，实现虚实融合的流欺骗防御。同时后台利用机器学习等技术，自动化实时更新行为分析的规则。

背景技术

近年来，网络安全形势日益严峻，信息泄露事件频发，攻防博弈也趋于白热化，黑客的攻击呈现出目标明确、手段多样、隐蔽性强等特点，企业安全管理者也逐渐意识到单纯的依靠边界安全防护体系建设已无法满足安全需求，开始寻求更为有效的安全防御手段。

网络欺骗防御技术是目前受到广泛关注的一种安全防御手段，区别于传统被动式安全防御手段，这是一种主动式防御手段。防御者伪造让攻击者有攻击价值的目标，让入侵者相信信息系统存在有价值的、可利用的安全弱点，并具有一些可攻击窃取的资源(当然这些资源是伪造的或不重要的)，并将入侵者引向这些错误的资源。欺骗防御能够显著地增加入侵者的工作量、入侵复杂度以及不确定性，从而使入侵者不知道其进攻是否奏效或成功。此外，欺骗防御允许防护者跟踪入侵者的行为，在入侵者之前修补系统可能存在的安全漏洞。常见的网络欺骗防御技术有蜜罐技术、分布式蜜罐技术、蜜网技术、空间欺骗技术、网络信息迷惑技术。

传统的欺骗防御技术一般只是虚假的主机，安全研究员观察恶意样本在蜜罐中的行为，因此出现了新的分布式欺骗解决方案，提供了面向企业环境的自动化欺骗方法，可动态构建各种交互的虚假网络和主机系统。已有的欺骗方案需要大量的人工调查和分析，时间和人力成本、系统的部署和维护成本都较高，且无法做到即时的学习与更新。同时，在对攻击行为流量进行甄别时，均会不可避免地出现假阳性误判的情况，使得正常的流量被引入欺骗网络和系统环境中，而大多数方案没有后续的针对性弥补措施。

发明内容

本专利针对上述核心问题提出了一种利用流欺骗技术进行虚实融合攻击防御的方法，旨在解决新型的分布式欺骗解决方案中出现假阳性误判导致正常业务访问受到干扰的情况。真实业务系统与影子系统间的流量通过中间感知器的判断进行切换，不仅有单向的由真实业务系统转入同构影子系统的欺骗防御流量，在感知器进行人工鉴别后可以将假阳性误判的流量由影子系统重新引回真实业务系统，实现高精度的虚实融合流欺骗防御。与此同时，后台利用机器学习等分析技术，部署智能分析引擎，对已有的异常行为进行模式的深度学习，能够自动更新相应判断规则，进一步提高转移流量前的判断精度。