[发明专利]自适应拟态技术的网络安全预警系统

权利要求书

1.一种自适应拟态技术的网络安全预警系统，其特征在于，包括：仿真替身主机、真实主机、主服务器、模拟服务器和流量监测单元，若干所述真实主机与所述主服务器连接以组建成内网，所述仿真替身主机用于模拟所述真实主机的运行，所述模拟服务器用于模拟所述主服务器的运行，所述流量监测单元和若干个所述仿真替身主机分别与所述模拟服务器连接，以组建成模拟内网运行的外网，所述外网接入因特网，所述主服务器与所述模拟服务器之间能够进行加密通信，所述内网通过所述模拟服务器与所述因特网进行连接；其中，

所述流量监测单元用于实时监测所述外网中的流量信息，并当所述流量信息中出现异常流量信息时，建立异常流量特征信息矩阵Q1,设定Q1（D1,S1,L1,P1），其中，D1为所述异常流量中的地址信息,S1为所述异常流量中的端口信息,L1为所述异常流量的应用类型,P1为所述异常流量所采用的协议信息；

所述模拟服务器用于建立预设流量特征信息矩阵组Q0,设定Q0（D0,S0,L0,P0）,其中，D0为预设的地址信息矩阵,S0为预设的端口信息矩阵,L0为预设的应用类型矩阵,P0为预设的协议类型矩阵；其中，

当D1、S1、L1和P1分别位于D0、S0、L0和P0内时，则判断所述异常流量为非网络攻击行为，使系统继续正常运行；

当D1、S1、L1和P1不位于D0、S0、L0和P0内时，则判断可能存在网络攻击行为，向所述主服务器发出预警信息；

所述主服务器用于根据所述预警信息与所述模拟服务器之间建立加密通信，所述主服务器遍历数据库，当其中一所述真实主机的IP地址与D1中的目的IP地址相同时，对所述真实主机的IP地址进行修改，并将其中一所述仿真替身主机的IP地址修改为D1中的目的IP地址，以使得所述仿真替身主机与D1中的源IP地址的主机进行通信；

所述模拟服务器还用于对修改IP地址后的所述仿真替身主机进行监测；

当所述仿真替身主机内未出现网络攻击行为时，解除所述主服务器与所述模拟服务器之间的加密通信，将修改IP地址后的所述真实主机的IP地址修改回原IP地址以进行通信；

当所述仿真替身主机内出现网络攻击行为时，通过所述模拟服务器获取到攻击者的源地址和源端口信息后，将其加入黑名单后，清除所述仿真替身主机内的病毒。

2.根据权利要求1所述的自适应拟态技术的网络安全预警系统，其特征在于，

所述主服务器包括一编码模块，当所述模拟服务器建立所述预设流量特征信息矩阵组Q0后，将所述预设流量特征信息矩阵组Q0传输至所述编码模块，所述编码模块用于对所述预设流量特征信息矩阵组Q0进行编码，并获取预设流量特征信息编码矩阵组A0，并将所述预设流量特征信息编码矩阵组A0回传至所述模拟服务器进行存储;

所述模拟服务器用于当D1、S1、L1和P1其中之一不位于D0、S0、L0和P0内时，直接向所述主服务器发出预警信息；

当D1、S1、L1和P1其中两个不位于D0、S0、L0和P0内时，将D1、S1、L1和P1当中不位于D0、S0、L0和P0内的两个参数传输至所述编码模块，并通过所述编码模块进行编码，获取编码后的两个参数后回传至所述模拟服务器，所述模拟服务器将编码后的两个参数与A0进行比对，当编码后的两个参数不位于A0内时，所述模拟服务器向所述主服务器发出预警信息；

当D1、S1、L1和P1其中三个或者四个不位于D0、S0、L0和P0内时，所述模拟服务器向所述主服务器发送预警信息，两者之间开启加密通信；所述模拟服务器将D1、S1、L1和P1其中三个或者四个不位于D0、S0、L0和P0内的参数加密后传输至所述编码模块，并通过所述编码模块进行编码，获取编码后的三个或者四个参数后回传至所述模拟服务器，所述模拟服务器将编码后的三个或者四个参数与A0进行比对，当编码后的三个或者四个参数不位于A0内时，所述模拟服务器对所述异常流量进行限制。