本發明提供了一種基于宿主的擬態威脅感知預警方法及系統，涉及網絡安全技術領域，其中方法包括：基于真實宿主機的狀態形成異構體集合，在異構體集合中選擇多個異構體以對真實宿主機進行擬態；異構體集合中異構體的狀態互不相同；基于擬態后的真實宿主機創建多個擬態影子機；多個擬態影子機對應不同IP地址，且均與真實宿主機的IP地址不同；擬態影子機模擬真實宿主機的業務；真實宿主機和每一個擬態影子機，分別利用各自的多個異構體對輸入的訪問流量進行裁決，根據裁決結果對訪問流量進行響應，并根據裁決結果確定訪問流量存在威脅時將相關信息上報至威脅感知處理中心，以進行預警。本方案，能夠降低真實宿主機內部被攻擊的概率。

技術領域

本發明實施例涉及網絡安全技術領域，特別涉及一種基于宿主的擬態威脅感知預警方法及系統。

背景技術

目前，互聯網受到各種各樣的網絡安全威脅，網絡攻擊方式層出不窮，手段多變且攻擊目標各異。為對網絡安全威脅進行防御，傳統防御手段是采用邊界防御方式，利用先驗知識對已知威脅進行處理。但是當攻擊穿過先驗知識防御而滲透至主機內部業務時，則會產生實質性入侵，此時邊界防御方式失效。因此，如何降低主機內部被攻擊的概率，是亟需解決的問題。

發明內容

本發明實施例提供了一種基于宿主的擬態威脅感知預警方法及系統，能夠降低真實宿主機內部被攻擊的概率。

第一方面，本發明實施例提供了一種基于宿主的擬態威脅感知預警方法，包括：

基于真實宿主機的狀態形成異構體集合，在所述異構體集合中選擇多個異構體以對所述真實宿主機進行擬態；所述異構體集合中異構體的狀態互不相同；

基于擬態后的真實宿主機創建多個擬態影子機；多個所述擬態影子機對應不同IP地址，且均與所述真實宿主機的IP地址不同；所述擬態影子機模擬所述真實宿主機的業務；

所述真實宿主機和每一個所述擬態影子機，分別利用各自的多個異構體對輸入的訪問流量進行裁決，根據裁決結果對所述訪問流量進行響應，并根據裁決結果確定所述訪問流量存在威脅時將相關信息上報至威脅感知處理中心，以進行預警。

優選地，所述基于擬態后的真實宿主機創建多個擬態影子機，包括：

根據擬態后所述真實宿主機的形成架構，搭建架構相同的多個擬態影子機，并將預先訓練好的業務模擬模型注入至每一個擬態影子機中，得到創建好的擬態影子機；所述業務模擬模型是基于所述真實宿主機的業務信息訓練得到的。

優選地，在所述搭建架構相同的多個擬態影子機之后，所述得到創建好的擬態影子機之前，還包括：

基于所述真實宿主機中每一個異構體的狀態生成狀態矩陣；

生成隨機的擾動矩陣，將所述擾動矩陣與所述狀態矩陣相乘得到擾動后的狀態矩陣；

根據擾動后的狀態矩陣重組每一個所述擬態影子機中的異構體。

優選地，所述業務模擬模型可模擬所述真實宿主機所對應七層模型中的至少兩層。

優選地，在所述對輸入的訪問流量進行裁決之后，還包括：所述真實宿主機和每一個所述擬態影子機，根據裁決結果和所述異構體集合對各自的多個異構體進行重組，以利用重組后的多個異構體對下一次輸入的訪問流量進行裁決。

優選地，

在所述對輸入的訪問流量進行裁決之后，所述根據裁決結果和所述異構體集合對各自的多個異構體進行重組之前，還包括：根據裁決結果對所述異構體集合中異構體標記的裁決錯誤率進行修改；

所述根據裁決結果和所述異構體集合對各自的多個異構體進行重組，包括：根據所述異構體集合中異構體標記的裁決錯誤率選擇重組的多個異構體。

優選地，