[发明专利]一种利用自适应扰动抵御网络侦察的方法和系统

说明书

本发明提出一种利用自适应扰动抵御网络侦察的方法和系统。所述方法包括：步骤S1、利用拓扑结构网络获取数据集；其中：所述拓扑结构网络基于网络仿真软件OMNet++构建，包含若干网络节点和所述若干网络节点之间的若干通信链路，所述数据集包含所述拓扑结构网络的拓扑结构信息、路由表和流量信息，所述数据集按比例分为训练集和测试集；步骤S2、利用所述训练集，对用于抵御所述网络侦察的模型进行训练，使得所述模型的相对预测误差低于第一阈值；步骤S3、基于经训练的模型对所述测试集的预测结果来生成自适应扰动信息，以获取包含所述自适应扰动信息的虚假流量信息。

技术领域

本发明属于通信网络技术领域，尤其涉及一种利用自适应扰动抵御网络侦察的方法和系统。

背景技术

软件定义网络（software defined networking，SDN）是由美国斯坦福大学NickMcKeown教授团队提出的一种有别于传统网络的新型网络架构，其主要特点是将控制功能从网络设备中提取出来，实现了控制层与数据转发层的解耦。控制层主要负责流量控制等相关决策，而数据转发层只负责按照相应的决策进行数据转发，两者之间通过相应的接口进行交互。传统网络在控制方面采用的是分布式思想，分散的设备以及各种各样的管理平台导致网络在应对突发状况时无法进行及时响应，而软件定义网络采用的是集中控制的方式，可以快速部署网络应用以及针对不同网络状况进行灵活处理，极大地减轻了网络管理以及运维的负担。

网络攻击之前通常伴有侦查阶段，一次网络攻击中大量的时间用在了在侦查阶段,攻击者通常都将网络侦察作为网络攻击的第一步，网络侦察能够帮助攻击者了解目标网络的信息，如节点关系、链路带宽、时延、丢包、路由表、Mac 地址、IP 地址、操作系统等，并依赖这些网络的特征信息来识别可供利用的主机和漏洞，从而制定出有针对性的攻击方法，提高网络攻击的破坏力和成功率。

因此，针对网络侦察的防御方法在应对网络攻击的过程中就显得尤为重要，欺骗防御技术利用攻击者依赖收集到的信息制定下一步的攻击计划这一特点，为攻击者提供错误的信息来迷惑攻击者，从而误导攻击者的行为。以往的欺骗防御技术通常都是在网络中设置有诱惑价值的虚假节点，改变网络的节点价值分布或者设置大量轻量级的虚假资源，扩大真实资源的分布空间，这类技术通常都要付出高昂的成本做为代价，因为要在网络中部署诱饵主机或服务器。

发明内容

为了克服现有的网络特征混淆欺骗防御技术部署和运行成本过高的问题，本发明提供了一种利用自适应扰动抵御网络侦察的方案；该方案通过在网络中添加一些虚假的流量信息作为扰动，从而使攻击者在侦察己方网络时产生巨大的偏差，达到保护己方网络的目的（保护己方网络的时延和抖动信息不被敌方所侦察到）。

本发明第一方面公开了一种利用自适应扰动抵御网络侦察的方法。所述方法包括：

步骤S1、利用拓扑结构网络获取数据集；其中：

所述拓扑结构网络基于网络仿真软件OMNet++构建，包含若干网络节点和所述若干网络节点之间的若干通信链路，所述数据集包含所述拓扑结构网络的拓扑结构信息、路由表和流量信息，所述数据集按比例分为训练集和测试集；

步骤S2、利用所述训练集，对用于抵御所述网络侦察的模型进行训练，使得所述模型的相对预测误差低于第一阈值；

步骤S3、基于经训练的模型对所述测试集的预测结果来生成自适应扰动信息，以获取包含所述自适应扰动信息的虚假流量信息。

根据本发明第一方面的方法，在所述步骤S1中，利用如下公式来表征所述拓扑结构网络的所述流量信息：

其中，F(i,j)表示从网络节点i到网络节点j的流量信息，U(0,1)表示0到1的均匀分布，表示控制所述拓扑结构网络的流量强度的参数，N表示所述若干网络节点的数量，b表示所述若干通信链路最大带宽。

根据本发明第一方面的方法，在所述步骤S2中：