一种虚拟信息的网络伪装方法与流程

1.本发明属于网络伪装技术领域，尤其涉及一种虚拟信息的网络伪装方法。


背景技术：

2.网络伪装主要研究如何对传统网络进行伪装的理论及其实现技术，从而提高网络的安全性并解决网络中一些突出的安全问题，如通过网络伪装，可以避免受到dos攻击；可以阻止主动和被动远程操作系统类型、网络拓扑结构等的探测和攻击；可以检测并阻止垃圾邮件的传播、检测蠕虫病毒的特征等。
3.然而现有专门研究在真实信息中随机加入虚假信息的网络伪装技术较少，并且现有方法在对抗未知攻击对手时则力不从心，且存在自身易被攻击的危险。
4.本发明的目的是打破目前网络各要素的静态性、确定性和相似性的缺陷，增加攻击者网络探测和网络节点渗透的难度，有效抵御针对目标网络的恶意攻击，提升目标网络的存活率。
5.通过上述分析，现有技术存在的问题及缺陷为：
6.现有专门研究在真实信息中随机加入虚假信息的网络伪装技术较少，并且现有方法在对抗未知攻击对手时则力不从心，且存在自身易被攻击的危险。


技术实现要素：

7.针对现有技术存在的问题，本发明提供了一种虚拟信息的网络伪装方法。
8.本发明是这样实现的，一种虚拟信息的网络伪装方法，其特征在于，该方法具体包括：
9.s1：在网络设备控制面动态虚拟网络元素，增大虚假网络元素的数量，增大攻击者的攻击面，通过一小一大增加攻击者攻击的难度，并形成所需的各种动态网络环境，并依据环境所需控制流量走向；
10.s2：以时间为轴线，根据配置的动态变化时间间隔t
next
，动态随机在真实信息中加入虚假信息，应对外部攻击；
11.s3：基于马尔柯夫过程学习模型对网络攻击威胁信息进行相关特征分析，构建合适的规则库，并自动更新规则库；
12.s4：依据新的规则库，对网络攻击威胁进行识别。
13.进一步，所述s1网络元素具体包括服务器，工作站，传输介质，交换机。
14.进一步，所述s1动态网络环境具体包括：仿真网络环境、攻击识别环境、攻击取证分析环境。
15.进一步，所述s2动态变化时间间隔t
next
会根据攻击强度和攻击持续的时间动态调整，具体如下：
[0016][0017]
其中：p
attack
为攻击强度，t
hold
为攻击强度持续的时间，t
period
为中真实信息间单次网络访问的平均时长，t
mix
为真实信息间单次网络访问可接受的最小时长。
[0018]
进一步，所述基于马尔柯夫过程学习模型对网络攻击威胁信息进行相关特征分析具体包括：
[0019]
(1)建立网络攻击威胁信息马尔柯夫过程学习模型；
[0020]
(2)对网络攻击威胁信息采样，得到特征向量，确定模型各初始参数；
[0021]
(3)反复迭代训练马尔柯夫过程学习模型，根据给定样本个数，对于每条网络攻击威胁都产生一个具有不同参数马尔柯夫过程学习模型，一共m个，m≥1；
[0022]
(4)对待网络攻击威胁信息采样，得到特征向量；
[0023]
(5)将待网络攻击威胁信息的特征向量分割，对所有马尔柯夫过程学习模型递进地计算最大相似度，同时排除相似度最小的马尔柯夫过程学习模型，最后得到识别结果。
[0024]
进一步，所述建立网络攻击威胁信息马尔柯夫过程学习模型具体包括：
[0025]
1)隐含状态的数目n，状态集为s＝{s1,s2,s3}，分别对应告警时间、告警类型、告警时限；
[0026]
2)观察序列的数目m，观察序列集为v＝{v1,v2,...,vm}，m≥1，对于告警信息马尔柯夫过程学习模型，观察序列集为信息采样窗口得到的特征值；
[0027]
3)状态转移矩阵a，a＝{a
ij
}，aij＝p[q
t+1
＝sj|q
t
＝si]，1≤i,j≤n，其中q
t
为在时刻t的状态，a为n
×
n的方阵，行和列都对应所有的状态，表示状态之间转移的概率；
[0028]
4)观察序列概率矩阵b，b＝{bj(k)}，bj(k)＝p[v
t at t|q
t
＝sj]，1≤j≤n，1≤k≤m，即表示在时刻t，隐含状态为sj下观察值为v
t
的概率；连续型hmm的b通过一个连续的函数得到观察序列与状态的关系，常用的是混合高斯概率密度函数；
[0029]
5)初始状态分布概率∏＝{πi}，πi＝p{s1＝qi}，其中1≤i≤n，则对于告警信息马尔柯夫过程学习模型，总有π1＝1。
[0030]
进一步，所述步骤s4中依据新的规则库，对网络攻击威胁进行识别具体包括：
[0031]
(1)客户端将待检测网络攻击威胁信息发送至服务端；
[0032]
(2)服务端接收待检测网络攻击威胁信息，并根据服务端存储的规则库，对所述待检测网络攻击威胁信息进行比较分析，并反馈比较分析的结果；
[0033]
(3)客户端接收服务端反馈的比较分析结果，并根据所述比较分析结果显示相应的提示信息，以提示用户所述待检测信息为虚假信息或者真实信息。
[0034]
本发明另一目的在于提供一种计算机设备，其特征在于，所述计算机设备包括存储器和处理器，所述存储器存储有计算机程序，所述计算机程序被所述处理器执行时，使得所述处理器执行所述虚拟信息的网络伪装方法。
[0035]
本发明另一目的在于提供一种计算机可读存储介质，存储有计算机程序，所述计算机程序被处理器执行时，使得所述处理器执行所述虚拟信息的网络伪装方法。
[0036]
本发明另一目的在于提供一种虚拟信息的网络伪装设备，其特征在于，所述基于
动态网络的防御终端用于实现所述的虚拟信息的网络伪装方法。
[0037]
结合上述的技术方案和解决的技术问题，请从以下几方面分析本发明所要保护的技术方案所具备的优点及积极效果为：
[0038]
第一、针对上述现有技术存在的技术问题以及解决该问题的难度，紧密结合本发明的所要保护的技术方案以及研发过程中结果和数据等，详细、深刻地分析本发明技术方案如何解决的技术问题，解决问题之后带来的一些具备创造性的技术效果。具体描述如下：
[0039]
本发明以时间为轴线，动态随机在真实信息中加入虚假信息。在可设定的时间变换点间不停变换网络信息，应对外部攻击。
[0040]
本发明基于马尔柯夫过程学习模型对网络攻击威胁信息进行相关特征分析，构建合适的规则库，并自动更新规则库，从而实现网络攻击行为实时准确的检测，最终实现网络安全主动防御等工作。
[0041]
第二，把技术方案看做一个整体或者从产品的角度，本发明所要保护的技术方案具备的技术效果和优点，具体描述如下：
[0042]
本发明提出的虚拟信息的网络伪装方法，打破目前网络各要素的静态性、确定性和相似性的缺陷，增加攻击者网络探测和网络节点渗透的难度，有效抵御针对目标网络的恶意攻击，提升目标网络的存活率。
附图说明
[0043]
图1是本发明实施例提供的一种虚拟信息的网络伪装方法流程图；
[0044]
图2是本发明实施例提供的基于马尔柯夫过程学习模型对网络攻击威胁信息进行相关特征分析方法流程图；
[0045]
图3是本发明实施例提供的步骤四中依据新的规则库，对网络攻击威胁进行识别方法流程图。
具体实施方式
[0046]
为了使本发明的目的、技术方案及优点更加清楚明白，以下结合实施例，对本发明进行进一步详细说明。应当理解，此处所描述的具体实施例仅仅用以解释本发明，并不用于限定本发明。
[0047]
一、解释说明实施例。为了使本领域技术人员充分了解本发明如何具体实现，该部分是对权利要求技术方案进行展开说明的解释说明实施例。
[0048]
如附图1所示，一种虚拟信息的网络伪装方法，其特征在于，该方法具体包括：
[0049]
s101：在网络设备控制面动态虚拟网络元素，增大虚假网络元素的数量，增大攻击者的攻击面，通过一小一大增加攻击者攻击的难度，并形成所需的各种动态网络环境，并依据环境所需控制流量走向；
[0050]
s102：以时间为轴线，根据配置的动态变化时间间隔t
next
，动态随机在真实信息中加入虚假信息，应对外部攻击；
[0051]
s103：基于马尔柯夫过程学习模型对网络攻击威胁信息进行相关特征分析，构建合适的规则库，并自动更新规则库；
[0052]
s104：依据新的规则库，对网络攻击威胁进行识别。
[0053]
所述网络元素具体包括服务器，工作站，传输介质，交换机。
[0054]
所述动态网络环境具体包括：仿真网络环境、攻击识别环境、攻击取证分析环境。
[0055]
所述动态变化时间间隔t
next
会根据攻击强度和攻击持续的时间动态调整，具体如下：
[0056][0057]
其中：p
attack
为攻击强度，t
hold
为攻击强度持续的时间，t
period
为中真实信息间单次网络访问的平均时长，t
mix
为真实信息间单次网络访问可接受的最小时长。
[0058]
如图2所示，所述基于马尔柯夫过程学习模型对网络攻击威胁信息进行相关特征分析具体包括：
[0059]
s201：建立网络攻击威胁信息马尔柯夫过程学习模型；
[0060]
s202：对网络攻击威胁信息采样，得到特征向量，确定模型各初始参数；
[0061]
s203：反复迭代训练马尔柯夫过程学习模型，根据给定样本个数，对于每条网络攻击威胁都产生一个具有不同参数马尔柯夫过程学习模型，一共m个，m≥1；
[0062]
s204：对待网络攻击威胁信息采样，得到特征向量；
[0063]
s205：将待网络攻击威胁信息的特征向量分割，对所有马尔柯夫过程学习模型递进地计算最大相似度，同时排除相似度最小的马尔柯夫过程学习模型，最后得到识别结果。
[0064]
所述建立网络攻击威胁信息马尔柯夫过程学习模型具体包括：
[0065]
1)隐含状态的数目n，状态集为s＝{s1,s2,s3}，分别对应告警时间、告警类型、告警时限；
[0066]
2)观察序列的数目m，观察序列集为v＝{v1,v2,...,vm}，m≥1，对于告警信息马尔柯夫过程学习模型，观察序列集为信息采样窗口得到的特征值；
[0067]
3)状态转移矩阵a，a＝{a
ij
}，aij＝p[q
t+1
＝sj|q
t
＝si]，1≤i,j≤n，其中q
t
为在时刻t的状态，a为n
×
n的方阵，行和列都对应所有的状态，表示状态之间转移的概率；
[0068]
4)观察序列概率矩阵b，b＝{bj(k)}，bj(k)＝p[v
t at t|q
t
＝sj]，1≤j≤n，1≤k≤m，即表示在时刻t，隐含状态为sj下观察值为v
t
的概率；连续型hmm的b通过一个连续的函数得到观察序列与状态的关系，常用的是混合高斯概率密度函数；
[0069]
5)初始状态分布概率∏＝{πi}，πi＝p{s1＝qi}，其中1≤i≤n，则对于告警信息马尔柯夫过程学习模型，总有π1＝1。
[0070]
如图3所示，所述s104中依据新的规则库，对网络攻击威胁进行识别具体包括：
[0071]
s301：客户端将待检测网络攻击威胁信息发送至服务端；
[0072]
s302：服务端接收待检测网络攻击威胁信息，并根据服务端存储的规则库，对所述待检测网络攻击威胁信息进行比较分析，并反馈比较分析的结果；
[0073]
s303：客户端接收服务端反馈的比较分析结果，并根据所述比较分析结果显示相应的提示信息，以提示用户所述待检测信息为虚假信息或者真实信息。
[0074]
二、应用实施例。为了证明本发明的技术方案的创造性和技术价值，该部分是对权利要求技术方案进行具体产品上或相关技术上的应用的应用实施例。
[0075]
本发明将虚拟信息的网络伪装方法应用于一种计算机设备，所述计算机设备包括存储器和处理器，所述存储器存储有计算机程序，所述计算机程序被所述处理器执行时，使得所述处理器执行所述虚拟信息的网络伪装方法。
[0076]
本发明将虚拟信息的网络伪装方法应用于一种计算机可读存储介质，存储有计算机程序，所述计算机程序被处理器执行时，使得所述处理器执行所述虚拟信息的网络伪装方法。
[0077]
本发明虚拟信息的网络伪装方法应用于一种虚拟信息的网络伪装设备，所述虚拟信息的网络伪装设备用于实现所述虚拟信息的网络伪装方法。
[0078]
应当注意，本发明的实施方式可以通过硬件、软件或者软件和硬件的结合来实现。硬件部分可以利用专用逻辑来实现；软件部分可以存储在存储器中，由适当的指令执行系统，例如微处理器或者专用设计硬件来执行。本领域的普通技术人员可以理解上述的设备和方法可以使用计算机可执行指令和/或包含在处理器控制代码中来实现，例如在诸如磁盘、cd或dvd-rom的载体介质、诸如只读存储器(固件)的可编程的存储器或者诸如光学或电子信号载体的数据载体上提供了这样的代码。本发明的设备及其模块可以由诸如超大规模集成电路或门阵列、诸如逻辑芯片、晶体管等的半导体、或者诸如现场可编程门阵列、可编程逻辑设备等的可编程硬件设备的硬件电路实现，也可以用由各种类型的处理器执行的软件实现，也可以由上述硬件电路和软件的结合例如固件来实现。
[0079]
以上所述，仅为本发明的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等，都应涵盖在本发明的保护范围之内。