[发明专利]主动网络威胁感知与拟态防御的方法及系统

权利要求书

1.主动网络威胁感知与拟态防御的系统，其特征在于，包括流量采集解析、主动威胁感知、全栈拟态引擎以及封堵处置；

所述流量采集解析：采用全流量服务分析，对所有服务器回包的hxy数据请求进行标记，自动录入服务资产管理列表并形成服务标签，根据规则定义、访问频率、服务流位置、数据流内容、服务备注进行分级核实录入，从根源杜绝未知服务偷跑行为，强化服务流安全性管理，将通往内网的所有流量全量复制到拟态服务器，拟态服务器根据内网回包情况进行资产的自动统计，并根据访问的目标与资产进行比对，决定是否对该访问进行拟态处理；

所述主动威胁感知：系统内置威胁特征库和感知模块，根据流量中威胁行为进行匹配，对符合条件的访问进行威胁告警，同时感知模块根据用户的访问行为进行预判，对存在嗅探行为的用户进行标记，比如对正常站点不存在的目录进行扫描的用户等，将存在嗅探行为标记的访问结合威胁特征的预设匹配规则绑定实现综合研判；

所述全栈拟态引擎：系统根据自身统计的资产数据，对所有访问的流量进行分类，一类标记为真实访问流量，一类标记为虚假访问流量，针对真实的访问流量系统进行监视并隐藏自身不作拟态防御处理，针对虚假的访问流量系统根据内置的容器服务站点以及相关的配置进行自动拟态仿真数据回复，除了内置容器的仿真站点和进程，系统同时支持引用现成类似站点进行拟态仿真回复，混淆攻击者对攻击目标的认知，增加攻击成本，迟滞攻击行为；

所述封堵处置能力：根据主动感知的综合研判结果，结合系统自身的处置模块及预先设定的处置预案，对攻击源IP进行封堵，并支持根据系统设置对该攻击IP封堵后是否同时对其启用拟态仿真欺骗。

2.主动网络威胁感知与拟态防御的方法，其特征在于，包括以下步骤：

S1，将重要的客户IP列入白名单；

S2，系统解析访问流量，自动收集内部网络正常服务资产；

S3，判断发起的访问目标是否为正常服务，此处分为以下两个步骤：

S3.1，判断为正常资产则系统隐藏自身，进行访问统计和行为感知，同时将所有访问匹配威胁特征库，此处分为以下两个步骤：

S3.11，判断匹配符合威胁特征和具有嗅探行为的访问系统结合威胁处置预设条件进行处置；

S3.12，判断匹配不具备威胁特征的访问，系统不作访问干预；

S3.2，判断为非正常资产，则进行拟态仿真防御处理。