[发明专利]主动网络威胁感知与拟态防御的方法及系统

说明书

本发明属于网络安全技术领域，尤其是主动网络威胁感知与拟态防御的方法及系统，针对现有的网络空间安全性低的问题，现提出如下方案，其包括流量采集解析、主动威胁感知、全栈拟态引擎以及封堵处置。本发明成本低，安全性高，自动化程度高，采用非注入式的数据标记方式，不会对正在运行的服务造成影响，可对未知风险进行感知，且能够风险主动研判、全站拟态的主动防御系统。

技术领域

本发明涉及网络安全技术领域，尤其涉及主动网络威胁感知与拟态防御的方法及系统。

背景技术

当前网络空间存在“未知的未知威胁”或称之为不确定威胁。此类威胁通常基于信息系统软硬构件中的漏洞，或者在全球化时代产业链中蓄意植入软硬件后门实施人为攻击。以人类目前的科技水平和认知能力，尚无法从理论层面对给定的复杂信息系统做出无漏洞、无后门的科学判定，也无法从工程层面彻底避免设计缺陷或完全杜绝后门，这使得基于防御方未知漏洞后门或病毒木马等实施的攻击成为网络空间最大的安全威胁。

网络空间现有防御体系是基于威胁特征感知的精确防御。建立在“已知风险”或者是“已知的未知风险”前提条件上，需要攻击来源、攻击特征、攻击途径、攻击行为等先验知识的支撑，在防御机理上属于“后天获得性免疫”，通常需要加密或认证功能作为“底线防御”。显然，在应对基于未知漏洞后门或病毒木马等未知攻击时存在防御体制和机制上的脆弱性。尤其在系统软硬构件可信性不能确保的生态环境中，对于不确定威胁除了“亡羊补牢”外几乎没有任何实时高效的应对措施，也不能绝对保证加密认证环节或功能不被蓄意旁路或短路。

此外，现有信息系统架构的静态性、相似性和确定性也给攻击者提供了目标识别、防御行为探测、攻击技术试验完善和打击效果评估等诸多便利。同时，绝大多数信息系统都沿用单一处理空间资源共享运行机制，入侵者只要能进入这个空间就可能通过资源共享机制实现所期望的操作，这也是诸多网络攻击理论的重要基础条件之一，包括时下突破“物理隔离网络”用到的“侧信道”攻击原理。于是，信息系统架构与机制的确定性、被动防御体制的脆弱性和缺乏主动免疫机制等关键要害问题共同构成了网络空间最大的安全黑洞；

经过与现有的技术及相似度较高的同类专利技术相比，如授权公告号为CN108446557B的基于防御蜜罐的安全威胁主动感知方法，以及授权公告号为CN104951711B的一种保护web应用安全的网站结构拟态方法的权力要求书中所描述的技术实现步骤，上述两种相似度较高的专利均采用了被动式拟态防御体系，其存在的缺点一：两种现有的技术手段不具备开始的攻击信息整合研判，在面对未知风险时无法隐藏真实系统，在使用的蜜罐或拟态的假系统进行回包时，需有真实的服务系统站点作为模仿对象，在面对未知风险时无法有效进行欺骗性回包，安全作用效果较低。缺点二：上述两项现有技术采用在请求数据中插入URL的方式标记访问者身份，通过标记的身份信息匹配已知的风险及特征，无法做到攻击信息的整合与研判，需要更多的人工参与凭个人经验判断。其存在的缺点三：现有防御体系都体现了在实际应用中的安全防御性，但是较多的倾向于被动式防御，严重依赖于经验主义。进而提出一种主动网络威胁感知与拟态防御的方法及系统。

发明内容

本发明提出的主动网络威胁感知与拟态防御的方法及系统，解决了现有的网络空间安全性低的问题。

为了实现上述目的，本发明采用了如下技术方案：