[发明专利]保护计算机网络与系统的抢占式响应安全系统

说明书

本发明提供了计算机执行的安全方法以及执行该方法的计算机执行安全系统。该方法包括步骤：基于处理后的网络流量数据：判认网络流量是否来自攻击者，确定风险分类，以及基于所述风险分类确定诱饵配置；以及在接收到用户的有效信息请求时，向所述用户提供确定的风险分类和诱饵配置，其中，确定所述风险分类使用监督学习模式识别，并且其中，所述监督学习模式识别包括使用多层感知器。

本申请是是中国申请号为201780009128.6(对应于PCT国际申请号PCT/IB2017/050811)、申请日为2017年2月14日、发明名称为“保护计算机网络与系统的抢占式响应安全系统”的发明专利申请的分案申请。

技术领域

本公开涉及计算机网络安全、入侵检测和入侵保护。本发明特别适用于未经授权访问或误用基于计算机的设备或系统的监测、检测、响应和/或防护。本发明的实施例可涉及攻击者剖析和/或基于计算机的诱饵(蜜罐/蜜网)的使用。

背景技术

入侵检测系统(Intrusion detection systems,IDS)用于监测攻击者的网络活动。该系统可生成报告，并向特定网络的所有者或管理者发送报警信号。响应攻击的入侵检测系统(如，利用防火墙堵塞流量)可被称为入侵防御系统(Intrusion preventionsystem,IPS)或入侵检测与防御系统(Intrusion detection and prevention syetem,IDPS)。在一些实施例中，攻击者流量由一个或多个蜜罐检测和/或路由到一个或多个蜜罐。

蜜罐(Honeypot)是吸引攻击者的网络诱饵，旨在转移攻击者对网络上更具价值的生产机器的注意力。蜜罐通常被布置在未分配地址以及提供服务和/或数据吸引攻击者的网络中。由于蜜罐没有生产价值且通常设置在未分配地址上，因此，任何连接蜜罐的尝试都是可疑的。这就意味着蜜罐可用于识别攻击，因此，在攻击者使用蜜罐时，蜜罐可收集与攻击者的行为和身份识别有关的信息。反之，攻击者也可通过查看行为(如，提供的服务)来评估网络目标为蜜罐的可能性，从而避免使用蜜罐。

物理蜜罐是具有自己IP地址的真实机器，因此，实现起来价格昂贵；而另一方面，虚拟蜜罐需要较少物理机器，从而降低了成本。蜜罐提供的操作系统和服务根据特定蜜罐在当时的网络活动和预期目标来配置。由于蜜罐配置具有挑战性且复杂耗时，因此，可使用动态虚拟蜜罐进行自动化配置。动态蜜罐能够发现网络(如，通过指纹识别)，决定使用哪种蜜罐配置，然后创建并配置蜜罐。

多个蜜罐可组合形成“蜜网”，“蜜网”是一种故意设有漏洞的诱骗网络。与单独的蜜罐一样，蜜网使得所有者/管理者能够观察和分析攻击者的行为，并利用收集到的信息来强化系统的安全机制。

本技术领域一般涉及背景资料WO2012/011070Al、US2015/0229656Al、US8661102、US20060242701、US2007271614、US2007192863、US2011214182、US2013152199、US2015106889、US2016080414、US2016065614、US2006212942、JP2005004617、US20040128543和US2010269175。

本说明书中已包含的关于文件、法规、材料、设备和物品等的任何讨论均不得被视为承认，任何或全部这些事项在本申请的每项权利要求的优先权日之前，构成现有技术基础的一部分，或者是与本公开相关的领域中的公知常识。

发明内容

对于每个新攻击者或攻击者的修改行为，IDPS都将监测其行为，更新关于攻击者的记录数据，并且还将更新响应策略。例如，可利用某个攻击者配置文件创建针对该攻击者的虚拟蜜罐。针对每个新攻击者重复该过程，并且如果攻击者的行为或配置文件的某些方面出现变化，也可重复该过程。这是一个复杂且耗时的过程。如果有一种简化的响应和更新检测到攻击者的响应的过程将是有利的。通过过程简化可更快速且有效地部署安全措施。此外，还需要改进入侵检测系统的数据通信和传输。通过改进将使保护系统更有效，能够更好地检测、防御和响应攻击。