基于行为伪装的互联网安全服务系统的制作方法

1.本发明属于互联网安全技术领域，具体涉及基于行为伪装的互联网安全服务系统。


背景技术：

2.随着互联网技术的飞速发展，互联网技术为用户提供了各种便利的应用，例如：即时聊天、社交平台、网络购物等，与此同时，黑客通过恶意攻击上述应用的网络服务器，使得合法用户无法正常访问网络服务器。以分布式拒绝服务(distributed denial ofservice，简称为ddos)为例，攻击者入侵或者间接利用的大量“僵尸主机”向攻击对象(即网络服务器)发送大量伪装后的网络包，目的是为了造成网络阻塞或服务器资源耗尽，从而导致网络服务器拒绝为合法用户提供服务，即合法用户发送给网络服务器的网络包被淹没，合法用户无法正常访问网络服务器的网络资源。常见的ddos攻击手段包括：synflood、ackflood、udpflood、icmpflood、tcpflood、connectionsflood、scriptflood、proxyflood等。
3.目前，网络攻击检测的过程通常是：人工依靠经验设置数据阈值，将数据阈值预存在计算机设备中。现网运行中，计算机设备会获取发送至服务器的数据流，统计数据流的数据，对数据与数据阈值进行比较，如果数据大于数据阈值，则确定服务器受到网络攻击。
4.但这些方法无一例外的都是被动防御攻击，且网络攻击往往具备隐藏性和伪装性，导致发现攻击的准确率受到影响，使得网络安全的保护受到威胁。
5.因此，如果能找到一种方法从源头上防止网络攻击，绕开网络攻击或者让网络攻击不会将自身视为攻击对象的方法，将能够大幅度提升网络安全。


技术实现要素：

6.有鉴于此，本发明的主要目的在于提供基于行为伪装的互联网安全服务系统，本发明自身构建了一个服务器对目标服务器进行攻击，以欺骗实际对目标服务器进行攻击的攻击方，因为在实际过程中，若攻击方检测到目标服务器正在受到攻击，则会取消对目标服务器的攻击，同时，本发明构建的伪装的攻击服务器还将获取到的数据破坏后构建镜像伪装服务器，从而进行欺骗，误导攻击方，另外，本发明的转移服务器、目标服务器和镜像伪装服务器在运行过程中互相转换，以此造成攻击方更大的困扰。
7.为达到上述目的，本发明的技术方案是这样实现的：
8.基于行为伪装的互联网安全服务系统，所述系统包括：目标服务器、转移服务器、镜像伪装服务器和攻击伪装服务器；所述目标服务器、镜像伪装服务器和攻击伪装服务器同处于一个网络中，彼此之间信号连接；所述转移服务器与所述目标服务器、镜像伪装服务器和攻击伪装服务器处于不同的网络中，与所述攻击伪装服务器信号连接；所述攻击伪装服务器实时对目标服务器进行网络攻击，获取目标服务器的数据，并对目标服务器中获取到的数据对应的数据进行破坏，将获取到的数据发送至转移服务器，然后将获取到的数据进行数据扰乱，得到扰乱数据，将扰乱数据发送至镜像伪装服务器；所述镜像伪装服务器，
接收到扰乱数据后，发送信息请求至目标服务器，以请求获取目标服务器的物理参数，然后调整自身的物理参数与获取到的物理参数一致，实现目标服务器的模拟，完成镜像伪装服务器到目标服务器的转换；所述目标服务器，在接收到镜像伪装服务器的信息请求后，将物理参数发送至镜像伪装服务器，然后清空自身的数据，完成目标服务器到转移服务器的转换。
9.进一步的，所述目标服务器和镜像伪装服务器均存在两个状态，分别为工作态和等待态，且工作态和等待态以相同的设定的时间周期相互转换；所述攻击伪装服务器和转移服务器只存在工作态一种状态。
10.进一步的，设定所述目标服务器的工作的起始时间为t0，设定时间周期为t；则目标服务器的工作态的持续时间的起始时间为t0，结束时间为t0 t，等待态的起始时间为t0 t，结束时间为t0 2t；攻击伪装服务器的工作的起始时间为t0；转移服务器的工作的的起始时间为t0 t；镜像伪装服务器的工作的起始时间为t0 t，工作态的持续时间的起始时间为t0 t，结束时间为t0 2t，等待态的起始时间为t0 2t，结束时间为t0 3t；所述攻击伪装服务器在t0时间开始工作，获取目标服务器的数据，并对目标服务器中与获取到的数据对应的数据进行破坏，经过时间周期t后，目标服务器进入等待态，攻击伪装服务器将获取到的数据发送至转移服务器，然后将获取到的数据进行数据扰乱，得到扰乱数据，将扰乱数据发送至镜像伪装服务器；转移服务器在t0 t时间接收到攻击伪装服务器获取到的数据后，开始工作。
11.进一步的，所述攻击伪装服务器包括：目标确定部分、攻击部分、扰乱部分和数据传输部分；所述目标确定部分，配置用于在攻击伪装服务器开始运行时，确定目标服务器，并在攻击伪装服务器开始运行后，每经过2t的时间间隔，重新确定目标服务器；所述攻击部分，包括第一攻击部分、第二攻击部分和攻击识别部分；所述第一攻击部分，配置用于实时对目标服务器进行网络攻击，获取目标服务器的数据；所述攻击识别部分，配置用于按照设定的识别周期，检测目标服务器是否遭到攻击，若目标服务器遭到攻击，识别攻击类型，将攻击类型识别结果发送至第二攻击部分；所述第二攻击部分，配置用于基于接收到的攻击类型识别结果，采用相同的攻击类型对替代第一攻击部分，对目标服务器进行网络攻击，获取目标服务器的数据；所述扰乱部分，配置用于对目标服务器中获取到的数据对应的数据进行破坏，得到扰乱数据；所述数据传输部分，配置用于将获取到的数据发送至转移服务器，以及将扰乱数据发送至镜像伪装服务器。
12.进一步的，所述第一攻击部分实时对目标服务器进行网络攻击，获取目标服务器的数据的方法包括：从口令入侵、www欺骗、节点攻击或端口扫描中随机选取一种，对目标服务器进行攻击，以获取目标服务器的数据。
13.进一步的，所述攻击识别部分，按照设定的识别周期，检测目标服务器是否遭到攻击的方法包括：获取服务器，以及与服务器相连接的本地端组成的网络的网络结构；依据网络结构形成至少包括服务器和一个本地端的网络链；其中，所述网络链是针对网络攻击的特点，对网络拓扑结构进行分析，预估的遭受网络攻击的目标链路；通过网络链向网络链中的本地端发送检测数据包；接收本地端在所述检测数据包触发下发送的响应数据包；依据所述响应数据包的接收参数以及所述响应数据包携带的信息，获取当前检测参数；依据所述当前检测参数与存储的历史检测数据使用预设的数据特征匹配模型进行数据特征匹配，
依据得到的数据特征匹配结果确定所述网络链是否有遭受网络攻击。
14.进一步的，所述数据特征匹配模型使如下公式进行表示：进一步的，所述数据特征匹配模型使如下公式进行表示：其中，est为计算出的数据特征匹配结果，n为与服务器相连的本地端的个数，n为网络链中的本地端的个数，c为调整系数，取值范围为1～3，f为当前检测参数，h为历史检测数据；当est的值在设定的阈值范围内时，判断遭受到了网络攻击。
15.进一步的，所述攻击识别部分识别攻击类型的方法包括：采集目标服务器的网络运行数据；所述网络运行数据包括源ip地址、源端口号、目的ip地址、特征偏移、特征长度、特征明细、目的端口号和协议类型；采用自编码器对网络运行数据进行数据异常分析；所述自编码器基于历史正常数据与历史异常数据的行为模式进行学习，从而利用学习后的自编码器判别采集到的网络运行数据为正常数据或者异常数据；利用深度神经网络作为判别模型，来判别目标服务器当前收到的攻击的攻击类型为某一已知的攻击类别或为未知类别；融合自编码器与判别模型的结果，完成网络攻击分类与未知攻击检测。
16.进一步的，所述利用深度神经网络作为判别模型，来判别待测数据的攻击类型为某一已知的攻击类别或为未知类别的方法包括：在传统的神经网络训练方法的基础上加入校正变量，使得神经网络学习有区分度的特征表达，即使得同一类攻击的流量在特征空间上的距离小于指定距离；然后，通过学习一个特征空间，在特征空间上，未知类别的流量距离已知攻击的流量的距离超出指定距离，以此为依据判别待测流量的攻击类型。
17.进一步的，所述自编码器对网络运行数据进行数据异常分析，判别采集到的网络运行数据为正常数据或者异常数据的方法包括：自编码器基于历史异常数据和历史正常数据分别对网络运行数据进行数据匹配分析，根据匹配分析的结果判断网络运行数据是为正常数据还是异常数据；所述自编码器使用入如下公式进行表示：常数据还是异常数据；所述自编码器使用入如下公式进行表示：其中，ai，i＝1,2,3
…
8，分别表示网络运行数据的源ip地址、源端口号、目的ip地址、特征偏移、特征长度、特征明细、目的端口号和协议类型；bi，i＝1,2,3
…
8，分别表示历史正常数据的源ip地址、源端口号、目的ip地址、特征偏移、特征长度、特征明细、目的端口号和协议类型；ci，i＝1,2,3
…
8，分别表示历史异常数据的源ip地址、源端口号、目的ip地址、特征偏移、特征长度、特征明细、目的端口号和协议类型；f为第一校正变量，q为第二校正变量；所述第一校正变量和第二校正变量的值均为设定值；当计算出的d1大于d2，则表示网络运行数据为正常数据；当计算出的d1小于或等于于d2，则表示网络运行数据为异常数据。
18.本发明的基于行为伪装的互联网安全服务系统，具有如下有益效果：本发明通过三个过程实现了高安全性的互联网：一是通过伪装攻击的方式，伪装攻击的方式能够让攻击方误认为当前服务器已经收到了攻击，从而使得攻击方取消对目标服务器的攻击；二是通过目标服务器、转移服务器和镜像伪装服务器的循环转换实现，这种不断转换，使得攻击方法难以判定究竟哪一个才是目标服务器，且这种转换是按周期执行的，也就是说转换是实时再发生的，这样就使得攻击方几乎无法确定真正的服务器，从而导致攻击识别；三是通过特征匹配或者数据匹配特征识别的方式来进行攻击检测和攻击判断，进一步提升了。
附图说明
19.图1为本发明实施例提供的基于行为伪装的互联网安全服务系统的系统结构示意图；
20.图2为本发明实施例提供的基于行为伪装的互联网安全服务系统的各个服务器进行周期性转换的示意图；
21.图3为本发明实施例提供的基于行为伪装的互联网安全服务系统的网络攻击的流程示意图；
22.图4为本发明实施例提供的基于行为伪装的互联网安全服务系统的特征识别攻击的原理示意图。
具体实施方式
23.下面结合附图及本发明的实施例对本发明的方法作进一步详细的说明。
24.实施例1
25.如图1所示，基于行为伪装的互联网安全服务系统，所述系统包括：目标服务器、转移服务器、镜像伪装服务器和攻击伪装服务器；所述目标服务器、镜像伪装服务器和攻击伪装服务器同处于一个网络中，彼此之间信号连接；所述转移服务器与所述目标服务器、镜像伪装服务器和攻击伪装服务器处于不同的网络中，与所述攻击伪装服务器信号连接；所述攻击伪装服务器实时对目标服务器进行网络攻击，获取目标服务器的数据，并对目标服务器中获取到的数据对应的数据进行破坏，将获取到的数据发送至转移服务器，然后将获取到的数据进行数据扰乱，得到扰乱数据，将扰乱数据发送至镜像伪装服务器；所述镜像伪装服务器，接收到扰乱数据后，发送信息请求至目标服务器，以请求获取目标服务器的物理参数，然后调整自身的物理参数与获取到的物理参数一致，实现目标服务器的模拟，完成镜像伪装服务器到目标服务器的转换；所述目标服务器，在接收到镜像伪装服务器的信息请求后，将物理参数发送至镜像伪装服务器，然后清空自身的数据，完成目标服务器到转移服务器的转换。
26.参考图2，在图2中，展示了不同id的服务器转换的过程图。在图2中的a中，服务器一直保持自身的id，则表明该服务器为攻击伪装服务器。而b中，服务器周期性的转换，使得各个服务器的功能得以转变，使得攻击方法难以识别哪一个是目标服务器。
27.实施例2
28.在上一实施例的基础上，所述目标服务器和镜像伪装服务器均存在两个状态，分别为工作态和等待态，且工作态和等待态以相同的设定的时间周期相互转换；所述攻击伪装服务器和转移服务器只存在工作态一种状态。
29.参考图3，传统的网络攻击一般包含侦查，入侵，命令控制，横向渗透，数据外泄和痕迹清理这些步骤。而一般来说网络攻击的触发需要找到目标服务器。而本发明中目标服务器在被攻击伪装服务器获取了数据后，攻击伪装服务器就把获取到的数据首先进行数据扰乱，得到一些无意义的数据，然后发送到镜像伪装服务器，镜像伪装服务器则接收到这些无意义数据后，再发送请求至目标服务器获取物理参数，然后再转变为和目标服务器一样的服务器，从而实现镜像伪装服务器和目标服务器的转变，这个时候，目标服务器则转换为了转移服务器，同时攻击伪装服务器则将获取到的数据发送至转移服务器，此时转移服务
器就转变成了目标服务器。
30.然后，攻击伪装服务器再从目标服务器获取数据，该目标服务器实质上是从转移服务器转换而来的，以此循环执行，使得除了攻击伪装服务器以外的其他三个服务器实时进行转换，数据也在这些服务器之间转移，使得攻击方法难以确定目标服务器，也难以施加攻击，提升安全性。
31.实施例3
32.在上一实施例的基础上，设定所述目标服务器的工作的起始时间为t0，设定时间周期为t；则目标服务器的工作态的持续时间的起始时间为t0，结束时间为t0 t，等待态的起始时间为t0 t，结束时间为t0 2t；攻击伪装服务器的工作的起始时间为t0；转移服务器的工作的的起始时间为t0 t；镜像伪装服务器的工作的起始时间为t0 t，工作态的持续时间的起始时间为t0 t，结束时间为t0 2t，等待态的起始时间为t0 2t，结束时间为t0 3t；所述攻击伪装服务器在t0时间开始工作，获取目标服务器的数据，并对目标服务器中与获取到的数据对应的数据进行破坏，经过时间周期t后，目标服务器进入等待态，攻击伪装服务器将获取到的数据发送至转移服务器，然后将获取到的数据进行数据扰乱，得到扰乱数据，将扰乱数据发送至镜像伪装服务器；转移服务器在t0 t时间接收到攻击伪装服务器获取到的数据后，开始工作。
33.具体的，在进行数据的破坏时，即数据扰乱时，将数据随机生成其他数据。
34.实施例4
35.在上一实施例的基础上，所述攻击伪装服务器包括：目标确定部分、攻击部分、扰乱部分和数据传输部分；所述目标确定部分，配置用于在攻击伪装服务器开始运行时，确定目标服务器，并在攻击伪装服务器开始运行后，每经过2t的时间间隔，重新确定目标服务器；所述攻击部分，包括第一攻击部分、第二攻击部分和攻击识别部分；所述第一攻击部分，配置用于实时对目标服务器进行网络攻击，获取目标服务器的数据；所述攻击识别部分，配置用于按照设定的识别周期，检测目标服务器是否遭到攻击，若目标服务器遭到攻击，识别攻击类型，将攻击类型识别结果发送至第二攻击部分；所述第二攻击部分，配置用于基于接收到的攻击类型识别结果，采用相同的攻击类型对替代第一攻击部分，对目标服务器进行网络攻击，获取目标服务器的数据；所述扰乱部分，配置用于对目标服务器中获取到的数据对应的数据进行破坏，得到扰乱数据；所述数据传输部分，配置用于将获取到的数据发送至转移服务器，以及将扰乱数据发送至镜像伪装服务器。
36.具体的，网络攻击是利用网络信息系统存在的漏洞和安全缺陷对系统和资源进行攻击。网络信息系统所面临的威胁来自很多方面，而且会随着时间的变化而变化。从宏观上看，这些威胁可分为人为威胁和自然威胁。自然威胁来自与各种自然灾害、恶劣的场地环境、电磁干扰、网络设备的自然老化等。这些威胁是无目的的，但会对网络通信系统造成损害，危及通信安全。而人为威胁是对网络信息系统的人为攻击，通过寻找系统的弱点，以非授权方式达到破坏、欺骗和窃取数据信息等目的。两者相比，精心设计的人为攻击威胁难防备、种类多、数量大。从对信息的破坏性上看，攻击类型可以分为被动攻击和主动攻击。
37.实施例5
38.在上一实施例的基础上，所述第一攻击部分实时对目标服务器进行网络攻击，获取目标服务器的数据的方法包括：从口令入侵、www欺骗、节点攻击或端口扫描中随机选取
一种，对目标服务器进行攻击，以获取目标服务器的数据。
39.实施例6
40.在上一实施例的基础上，所述攻击识别部分，按照设定的识别周期，检测目标服务器是否遭到攻击的方法包括：获取服务器，以及与服务器相连接的本地端组成的网络的网络结构；依据网络结构形成至少包括服务器和一个本地端的网络链；其中，所述网络链是针对网络攻击的特点，对网络拓扑结构进行分析，预估的遭受网络攻击的目标链路；通过网络链向网络链中的本地端发送检测数据包；接收本地端在所述检测数据包触发下发送的响应数据包；依据所述响应数据包的接收参数以及所述响应数据包携带的信息，获取当前检测参数；依据所述当前检测参数与存储的历史检测数据使用预设的数据特征匹配模型进行数据特征匹配，依据得到的数据特征匹配结果确定所述网络链是否有遭受网络攻击。
41.具体的，在进行网络攻击检测时，可以通过构建特征向量的方式来实现。构造网络攻击行为特征向量；确定模型训练集和测试集，给数据制定标签，区分正常行为与攻击行为，并将攻击行为分类；构建深度置信网络模型，逐层训练，提取网络攻击行为特征，并计算误差，直至收敛，再对模型的权值进行微调,得到特征向量；将提取的特征向量作为输入参数，选择合适的svm分类器进行训练，对网络攻击行为进行分类，构建网络攻击检测模型；构建网络攻击行为分析模型，使用测试集测试模型准确率，计算准确率、误报率与漏报率，并将识别出的网络攻击行为作为训练数据，进行优化；将经过降维与特征提取的网络攻击特征向量作为输入参数，传入第一个svm分类器；选择不同的svm分类器，区分不同的网络攻击行为。
42.实施例7
43.在上一实施例的基础上，所述数据特征匹配模型使如下公式进行表示：其中，est为计算出的数据特征匹配结果，n为与服务器相连的本地端的个数，n为网络链中的本地端的个数，c为调整系数，取值范围为1～3，f为当前检测参数，h为历史检测数据；当est的值在设定的阈值范围内时，判断遭受到了网络攻击。
44.具体的，本发明的数据匹配模型通过构建网络链的方式来实现，以降低对整体进行检测分析带来的巨大数据量。
45.实施例8
46.在上一实施例的基础上，所述攻击识别部分识别攻击类型的方法包括：采集目标服务器的网络运行数据；所述网络运行数据包括源ip地址、源端口号、目的ip地址、特征偏移、特征长度、特征明细、目的端口号和协议类型；采用自编码器对网络运行数据进行数据异常分析；所述自编码器基于历史正常数据与历史异常数据的行为模式进行学习，从而利用学习后的自编码器判别采集到的网络运行数据为正常数据或者异常数据；利用深度神经网络作为判别模型，来判别目标服务器当前收到的攻击的攻击类型为某一已知的攻击类别或为未知类别；融合自编码器与判别模型的结果，完成网络攻击分类与未知攻击检测。
47.实施例9
48.在上一实施例的基础上，所述利用深度神经网络作为判别模型，来判别待测数据的攻击类型为某一已知的攻击类别或为未知类别的方法包括：在传统的神经网络训练方法的基础上加入校正变量，使得神经网络学习有区分度的特征表达，即使得同一类攻击的流
量在特征空间上的距离小于指定距离；然后，通过学习一个特征空间，在特征空间上，未知类别的流量距离已知攻击的流量的距离超出指定距离，以此为依据判别待测流量的攻击类型。
49.实施例10
50.在上一实施例的基础上，所述自编码器对网络运行数据进行数据异常分析，判别采集到的网络运行数据为正常数据或者异常数据的方法包括：自编码器基于历史异常数据和历史正常数据分别对网络运行数据进行数据匹配分析，根据匹配分析的结果判断网络运行数据是为正常数据还是异常数据；所述自编码器使用入如下公式进行表示：行数据是为正常数据还是异常数据；所述自编码器使用入如下公式进行表示：其中，ai，i＝1,2,3
…
8，分别表示网络运行数据的源ip地址、源端口号、目的ip地址、特征偏移、特征长度、特征明细、目的端口号和协议类型；bi，i＝1,2,3
…
8，分别表示历史正常数据的源ip地址、源端口号、目的ip地址、特征偏移、特征长度、特征明细、目的端口号和协议类型；ci，i＝1,2,3
…
8，分别表示历史异常数据的源ip地址、源端口号、目的ip地址、特征偏移、特征长度、特征明细、目的端口号和协议类型；f为第一校正变量，q为第二校正变量；所述第一校正变量和第二校正变量的值均为设定值；当计算出的d1大于d2，则表示网络运行数据为正常数据；当计算出的d1小于或等于于d2，则表示网络运行数据为异常数据。
51.需要说明的是，上述实施例提供的系统，仅以上述各功能单元的划分进行举例说明，在实际应用中，可以根据需要而将上述功能分配由不同的功能单元来完成，即将本发明实施例中的单元或者步骤再分解或者组合，例如，上述实施例的单元可以合并为一个单元，也可以进一步拆分成多个子单元，以完成以上描述的全部或者单元功能。对于本发明实施例中涉及的单元、步骤的名称，仅仅是为了区分各个单元或者步骤，不视为对本发明的不当限定。
52.所属技术领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的存储装置、处理装置的具体工作过程及有关说明，可以参考前述方法实施例中的对应过程，在此不再赘述。
53.本领域技术人员应能够意识到，结合本文中所公开的实施例描述的各示例的单元、方法步骤，能够以电子硬件、计算机软件或者二者的结合来实现，软件单元、方法步骤对应的程序可以置于随机存储器(ram)、内存、只读存储器(rom)、电可编程rom、电可擦除可编程rom、寄存器、硬盘、可移动磁盘、cd-rom、或技术领域内所公知的任意其它形式的存储介质中。为了清楚地说明电子硬件和软件的可互换性，在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以电子硬件还是软件方式来执行，取决于技术方案的特定应用和设计约束条件。本领域技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本发明的范围。
54.术语“第一”、“另一部分”等是配置用于区别类似的对象，而不是配置用于描述或表示特定的顺序或先后次序。
55.术语“包括”或者任何其它类似用语旨在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者单元/装置不仅包括那些要素，而且还包括没有明确列出的其它要素，或者还包括这些过程、方法、物品或者单元/装置所固有的要素。
56.至此，已经结合附图所示的优选实施方式描述了本发明的技术方案，但是，本领域技术人员容易理解的是，本发明的保护范围显然不局限于这些具体实施方式。在不偏离本发明的原理的前提下，本领域技术人员可以对相关技术标记作出等同的更改或替换，这些更改或替换之后的技术方案都将落入本发明的保护范围之内。
57.以上所述，仅为本发明的较佳实施例而已，并非配置用于限定本发明的保护范围。