[发明专利]自适应拟态技术的网络安全预警系统

说明书

本发明提出了一种自适应拟态技术的网络安全预警系统，包括：仿真替身主机、真实主机、主服务器、模拟服务器和流量监测单元，若干真实主机与主服务器连接以组建成内网，仿真替身主机用于模拟真实主机的运行，所述模拟服务器用于模拟所述主服务器的运行，所述流量监测单元和若干个所述仿真替身主机分别与所述模拟服务器连接，以组建成模拟内网运行的外网，所述外网接入因特网，所述主服务器与所述模拟服务器之间能够进行加密通信。所述流量监测单元和若干个所述仿真替身主机分别与所述模拟服务器连接，以组建成模拟内网运行的外部网络，所述外网接入因特网，通过外部网络进行攻击行为的过滤，能够极大地提高内部网络的安全性，防止内网遭受攻击。

技术领域

本发明涉及通信安全技术领域，具体而言，涉及一种自适应拟态技术的网络安全预警系统。

背景技术

目前，网络安全是指网络系统的硬件、软件及其系统中的数据受到保护，不因偶然的或者恶意的原因而遭受到破坏、更改、泄露，系统连续可靠正常地运行，网络服务不中断。

高级持续性威胁是一种有组织、有特定目标、持续时间极长的新型攻击。随着震网(Stuxnet)、Duqu、火焰(Flame)以及2015年针对乌克兰电厂的Killdisk攻击的曝光，可以看出，APT攻击会对各类工控网络和关键信息基础设施的安全造成巨大的威胁。

然而，现有的信息安全建设主要集中在边界防护上，对内网的攻击监测却处于空白状态。

发明内容

鉴于此，本发明提出了一种自适应拟态技术的网络安全预警系统，旨在解决对内网进行防护。

一个方面，本发明提出了一种自适应拟态技术的网络安全预警系统，包括：仿真替身主机、真实主机、主服务器、模拟服务器和流量监测单元，若干所述真实主机与所述主服务器连接以组建成内网，所述仿真替身主机用于模拟所述真实主机的运行，所述模拟服务器用于模拟所述主服务器的运行，所述流量监测单元和若干个所述仿真替身主机分别与所述模拟服务器连接，以组建成模拟内网运行的外网，所述外网接入因特网，所述主服务器与所述模拟服务器之间能够进行加密通信，所述内网通过所述模拟服务器与所述因特网进行连接；其中，

所述流量监测单元用于实时监测所述外网中的流量信息，并当所述流量信息中出现异常流量信息时，建立异常流量特征信息矩阵Q1,设定Q1（D1,S1,L1,P1），其中，D1为所述异常流量中的地址信息,S1为所述异常流量中的端口信息,L1为所述异常流量的应用类型,P1为所述异常流量所采用的协议信息；

所述模拟服务器用于建立预设流量特征信息矩阵组Q0,设定Q0（D0,S0,L0,P0）,其中，D0为预设的地址信息矩阵,S0为预设的端口信息矩阵,L0为预设的应用类型矩阵,P0为预设的协议类型矩阵；其中，

当D1、S1、L1和P1分别位于D0、S0、L0和P0内时，则判断所述异常流量为非网络攻击行为，使系统继续正常运行；

当D1、S1、L1和P1不位于D0、S0、L0和P0内时，则判断可能存在网络攻击行为，向所述主服务器发出预警信息；

所述主服务器用于根据所述预警信息与所述模拟服务器之间建立加密通信，所述主服务器遍历数据库，当其中一所述真实主机的IP地址与D1中的目的IP地址相同时，对所述真实主机的IP地址进行修改，并将其中一所述仿真替身主机的IP地址修改为D1中的目的IP地址，以使得所述仿真替身主机与D1中的源IP地址的主机进行通信；

所述模拟服务器还用于对修改IP地址后的所述仿真替身主机进行监测；

当所述仿真替身主机内未出现网络攻击行为时，解除所述主服务器与所述模拟服务器之间的加密通信，将修改IP地址后的所述真实主机的IP地址修改回原IP地址以进行通信；

当所述仿真替身主机内出现网络攻击行为时，通过所述模拟服务器获取到攻击者的源地址和源端口信息后，将其加入黑名单后，清除所述仿真替身主机内的病毒。