CN111343174A - 一种智能学习式自应答工业互联网蜜罐诱导方法及*** - Google Patents

一种智能学习式自应答工业互联网蜜罐诱导方法及*** Download PDF

Info

Publication number
CN111343174A
CN111343174A CN202010109410.5A CN202010109410A CN111343174A CN 111343174 A CN111343174 A CN 111343174A CN 202010109410 A CN202010109410 A CN 202010109410A CN 111343174 A CN111343174 A CN 111343174A
Authority
CN
China
Prior art keywords
response
request
probability
sequence
prediction model
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202010109410.5A
Other languages
English (en)
Other versions
CN111343174B (zh
Inventor
王文君
赵杰
达盼飞
郑力达
李明蕊
魏国富
殷钱安
梁淑云
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Information and Data Security Solutions Co Ltd
Original Assignee
Information and Data Security Solutions Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Information and Data Security Solutions Co Ltd filed Critical Information and Data Security Solutions Co Ltd
Priority to CN202010109410.5A priority Critical patent/CN111343174B/zh
Publication of CN111343174A publication Critical patent/CN111343174A/zh
Application granted granted Critical
Publication of CN111343174B publication Critical patent/CN111343174B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1491Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/20Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
    • G06F16/23Updating
    • G06F16/2308Concurrency control
    • G06F16/2315Optimistic concurrency control
    • G06F16/2322Optimistic concurrency control using timestamps
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/20Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
    • G06F16/24Querying
    • G06F16/245Query processing
    • G06F16/2458Special types of queries, e.g. statistical queries, fuzzy queries or distributed queries
    • G06F16/2465Query processing support for facilitating data mining operations in structured databases
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/08Learning methods

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Databases & Information Systems (AREA)
  • General Physics & Mathematics (AREA)
  • Data Mining & Analysis (AREA)
  • Computational Linguistics (AREA)
  • Computing Systems (AREA)
  • Software Systems (AREA)
  • Mathematical Physics (AREA)
  • Signal Processing (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Biomedical Technology (AREA)
  • Evolutionary Computation (AREA)
  • General Health & Medical Sciences (AREA)
  • Molecular Biology (AREA)
  • Artificial Intelligence (AREA)
  • Biophysics (AREA)
  • Health & Medical Sciences (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computer Hardware Design (AREA)
  • Fuzzy Systems (AREA)
  • Probability & Statistics with Applications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明提供一种智能学习式自应答工业互联网蜜罐诱导方法及***,包括样本数据处理,定期获取设定时间段内正常情况下工业环境的业务请求命令及响应所述请求命令的设备及响应内容,并处理生成请求响应序列,作为模型训练样本数据集;响应预测模型训练;威胁诱捕,获取当前攻击者的请求数据,根据当前响应预测模型查找该请求子序列在概率后缀树上所在的节点,给予该请求数据的反馈并记录数据,直至攻击结束,然后将获取到的原始攻击请求响应序列加入到样本数据集中;重复上述过程。本方法通过对各类工控***数据交互的深度学习,真实模拟出各类工控***及业务,能够欺骗攻击者且不会暴露,为工业互联网安全提供有力保障。

Description

一种智能学习式自应答工业互联网蜜罐诱导方法及***
技术领域
本发明涉及工业互联网安全业务技术领域,具体来说是一种智能学习式自应答工业互联网蜜罐诱导方法及***。
背景技术
蜜罐技术本质上是一种对攻击方进行欺骗的技术,通过布置一些作为诱饵的主机、网络服务或者信息,诱使攻击方对它们实施攻击,从而可以对攻击行为进行捕获和分析,了解攻击方所使用的工具与方法,推测攻击意图和动机,能够让防御方清晰地了解他们所面对的安全威胁,并通过技术和管理手段来增强实际***的安全防护能力。
蜜罐技术一般根据欺骗环境提供的交互程度分为低交互蜜罐与高交互蜜罐,低交互蜜罐一般通过模拟软件部分特征,而高交互蜜罐则是在真实***中存在交互。目前欺骗防御技术多被应用在0-day漏洞、威胁诱捕、内网安全防御上。但由于大多欺骗防御技术是采用的低交互仿真模块与固定回复逻辑和有限的交互水平。因此有限的交互水平不足以通过检查,无法捕获真正的攻击,且容易被攻击者发现,形成反欺骗。虽然工业互联网中的设备的恶意软件相对简单,但如果没有正确处理响应,工业互联网欺骗防御的效果将受到影响。
申请号为201711290075.8公开了“一种面向工业互联网的带有自学习功能的工控协议蜜罐及应用”,其利用面向工业互联网的带有自学习功能的蜜罐,不但能够及时快速地发现工控网络中存在的威胁,还能通过自学习不断深入逼真地模仿工控设备以提高欺骗性,增强收集预警工控威胁的能力。但是,该技术中,没有明确公开自学习的方法,且自学习过程仅仅针对当前访问请求,对于之前的访问请求和响应结果并未进行关联,另外,该技术中仅仅针对攻击者的IP、IP对应的地理位置等,这些都为攻击者的基本属性,并不能实现捕获攻击者完整的行为,作为后期诱捕的诱饵。
发明内容
本发明所要解决的技术问题在于现有技术缺乏威胁诱捕执行真正攻击行为的方法,提供一种智能学习式自应答工业互联网蜜罐诱导方法,与之相对应的,还提供一种种智能学习式自应答工业互联网蜜罐诱导***。
本发明通过以下技术手段实现解决上述技术问题的:
一种智能学习式自应答工业互联网蜜罐诱导方法,
S01.样本数据处理
定期获取设定时间段内正常情况下工业环境的业务请求命令,并对不同的请求命令进行编码,从而生成请求序列对应的请求编码序列;获取响应所述请求序列的设备及响应内容,并进行编码,形成响应编码序列,然后将响应编码序列拼接到请求编码序列中,从而生成请求响应序列,作为模型训练样本数据集;
S02.响应预测模型训练
将步骤S01中的请求响应序列作为概率后缀树算法的输入进行训练,得到响应预测模型;
S03.威胁诱捕
获取当前攻击者的请求数据,根据当前响应预测模型查找该请求数据的请求子序列在概率后缀树上所在的节点,给予该请求数据的反馈,同时记录请求响应序列,当接收到当前攻击者的下一条请求数据时,拼接历史请求响应序列,再重复执行根据当前响应预测模型查找该请求数据的请求子序列在概率后缀树上所在的节点,给予该请求数据的反馈步骤,直至攻击结束。
利用真实工业环境下的业务数据,对概率后缀树进行训练,得到模拟真实工控***的蜜罐,从而达到诱捕攻击者的目的。另外,通过获取到的新的攻击数据对样本数据集的及时更新,实现响应预测模型的实时更新,使得蜜罐仿真效果更好。
优选的,还包括步骤S04,将步骤S03中获取到的原始攻击请求响应序列加入到步骤S01中的样本数据集中;重复步骤S01-S03。
优选的,所述步骤S02中,响应预测模型具体训练过程为:
S021.预设概率后缀树深度L及概率阈值Pmin
S022.根据请求响应序列,初始化根节点,根节点的概率向量值为每个符号在序列中出现的概率,概率大于Pmin的符号作为候选子节点集;
S023.针对每一个候选子节点,计算候选子节点在子序列中出现的概率,概率大于Pmin的符号作为新的候选子节点集;
S024.对于S021-S023过程进行递归,直到当前分支上的树深度达到预设的概率后缀树深度L或者候选子节点集为空。
优选的,所述步骤S03中,根据当前响应预测模型查找该请求子序列在概率后缀树上所在的节点,如果未查找到该请求子序列,则直接返回“不响应”,如果查找到,则返回节点上概率值最大的响应编码,查找响应编码对应的响应内容,将该响应内容返回给攻击者,同时记录该请求响应序列,当接收到下条请求数据时,拼接历史请求响应序列,再通过模型,返回概率值最大得响应编码所对应的响应内容。
优选的,当概率值最大的有多个编码时,按照预设标准选择其中一个编码作为结果,再返回与该编码对应的响应内容。
相对应的,本发明还提供一种智能学习式自应答工业互联网蜜罐诱导***,包括
样本数据处理模块,定期获取设定时间段内正常情况下工业环境的业务请求命令,并对不同的请求命令进行编码,从而生成请求序列对应的请求编码序列;获取响应所述请求序列的设备及响应内容,并进行编码,形成响应编码序列,然后将响应编码序列拼接到请求编码序列中,从而生成请求响应序列,作为模型训练样本数据集;
响应预测模型训练模块,将所述请求响应序列作为概率后缀树算法的输入进行训练,得到响应预测模型;
威胁诱捕模块,获取当前攻击者的请求数据,根据当前响应预测模型查找该请求子序列在概率后缀树上所在的节点,给予该请求数据的反馈,同时记录请求响应序列,当接收到下一条请求数据时,拼接历史请求响应序列,再通过当前响应预测模型返回响应结果,直至攻击结束,然后将获取到的原始攻击请求响应序列加入到所述样本数据集中,得到更新后的样本数据集。
优选的,还包括学习模块,利用更新后的样本数据集对响应预测模型进行更新迭代。
优选的,所述响应预测模型具体训练过程为:
S021.预设概率后缀树深度L及概率阈值Pmin
S022.根据请求响应序列,初始化根节点,根节点的概率向量值为每个符号在序列中出现的概率,概率大于Pmin的符号作为候选子节点集;
S023.针对每一个候选子节点,计算候选子节点在子序列中出现的概率,概率大于Pmin的符号作为新的候选子节点集;
S024.对于S021-S023过程进行递归,直到当前分支上的树深度达到预设的概率后缀树深度L或者候选子节点集为空。
优选的,所述威胁诱捕模块中,根据当前响应预测模型查找该请求子序列在概率后缀树上所在的节点,如果未查找到该请求子序列,则直接返回“不响应”,如果查找到,则返回节点上概率值最大的响应编码,查找响应编码对应的响应内容,将该响应内容返回给攻击者,同时记录该请求响应序列,当接收到下条请求数据时,拼接历史请求响应序列,再通过模型,返回概率值最大得响应编码所对应的响应内容。
优选的,当概率值最大的有多个编码时,按照预设标准选择其中一个编码作为结果,再返回与该编码对应的响应内容。
本发明的优点在于:利用真实工业环境下的业务数据,对概率后缀树进行训练,得到模拟真实工控***的蜜罐,能够欺骗攻击者执行完整的攻击行为且不会暴露,同时,又可以对攻击者的入侵行为、攻击类型进行记录,通过获取到的新的攻击数据对样本数据集的及时更新,实现响应预测模型的实时更新,使得蜜罐仿真效果更好。
附图说明
图1为本发明实施例1一种智能学习式自应答工业互联网蜜罐诱导方法中概率后缀树的结构示意图;
图2为本发明实施例2一种智能学习式自应答工业互联网蜜罐诱导方法的结构框图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
实施例1
如图1所示,一种智能学习式自应答工业互联网蜜罐诱导方法,
S01.样本数据处理
通过流量引擎单元定期采集一段时间内(如3个月)蜜罐中攻击者的请求序列,以及一段时间内正常情况下工业环境的业务请求序列,再通过编码单元对不同的请求命令进行编码如用字符“A”代表“open”命令等,从而生成请求对应的编码序列。根据这些攻击者的请求序列和工业环境下的业务请求序列,有监督的情况下选择逐个检测工业互联网中的设备,同时记录响应这些请求的设备及响应内容到“原始响应”表中,对“原始响应”表中的响应行为进行编码如字符“B”代表“打开设备”响应等,同时将响应编码拼接到请求命令序列中,如果某条请求没有响应,则将“不响应”对应的编码拼接到请求命令序列中,从而生成请求响应序列,作为模型训练样本数据集;
为了样本数据集的定时更新,流量引擎单元定期与工业互联网中央数据库同步,获取新的原始请求,并检索物联网知识表,以获取物联网设备的最新知识。
S02.响应预测模型训练
将步骤S01中的请求响应序列作为概率后缀树算法的输入进行训练,得到响应预测模型;如图2所示,响应预测模型具体训练过程为:
S021.预设概率后缀树深度L及概率阈值Pmin
S022.根据请求响应序列,初始化根节点,根节点的概率向量值为每个符号在序列中出现的概率,概率大于Pmin的符号作为候选子节点集;
S023.针对每一个候选子节点,计算候选子节点在子序列中出现的概率,概率大于Pmin的符号作为新的候选子节点集;
S024.对于S021-S023过程进行递归,直到当前分支上的树深度达到预设的概率后缀树深度L或者候选子节点集为空;
S03.威胁诱捕
获取当前攻击者的请求数据,根据当前响应预测模型查找该请求子序列在概率后缀树上所在的节点,如果未查找到该请求子序列,则直接返回“不响应”,如果查找到,则返回节点上概率值最大的响应编码,当概率值最大的有多个编码时,按照预设标准选择其中一个编码作为结果,查找响应编码对应的响应内容,将该响应内容返回给攻击者,同时记录该请求响应序列,当接收到下条请求数据时,拼接历史请求响应序列,再通过模型,返回概率值最大得响应编码所对应的响应内容。,直至攻击结束,然后将获取到的原始攻击请求响应序列加入到步骤S01中的样本数据集中;
步骤S04.重复步骤S01-S03,完成响应预测模型更新迭代。
比如工控环境中有一个PLC,正常情况下,当PLC收到业务指令后会做相应的动作,收集PLC在正常情况下收到的各类指令及其动作,然后通过流量引擎单元收集业务数据,及通过学习算法模型,得到响应预测模型,从而真实模拟出PLC工控蜜罐,当攻击者访问模拟的PLC工控蜜罐后,响应预测模型会通过学习过的指令和动作来与黑客交互,让黑客认为攻击的工控蜜罐是真实的PLC设备,从而达到威胁诱捕的目的,同时记录下攻击者的攻击行为和方法,第一.可以追踪朔源,为日后调查取证提供依旧,第二.可以掌握攻击者的攻击手法,为以后对攻击者的攻击行为提供有力的防护手段,第三.通过诱捕欺骗黑客来攻击蜜罐,从侧面来说也是保护了真实业务没有被攻击。
实施例2
与实施例1相对应的,本实施例提供一种智能学习式自应答工业互联网蜜罐诱导***,包括
样本数据处理模块
通过流量引擎单元定期采集一段时间内(如3个月)蜜罐中攻击者的请求序列,以及一段时间内正常情况下工业环境的业务请求序列,对不同的请求命令进行编码如用字符“A”代表“open”命令等,从而生成请求对应的编码序列。根据这些攻击者的请求序列和工业环境下的业务请求序列,有监督的情况下选择逐个检测工业互联网中的设备,同时记录响应这些请求的设备及响应内容到“原始响应”表中,对“原始响应”表中的响应行为进行编码如字符“B”代表“打开设备”响应等,同时将响应编码拼接到请求命令序列中,如果某条请求没有响应,则将”不响应“对应的编码拼接到请求命令序列中,从而生成请求响应序列,作为模型训练样本数据集;
响应预测模型训练模块
将上述的请求响应序列作为概率后缀树算法的输入进行训练,得到响应预测模型;响应预测模型具体训练过程为:
S021.预设概率后缀树深度L及概率阈值Pmin
S022.根据请求响应序列,初始化根节点,根节点的概率向量值为每个符号在序列中出现的概率,概率大于Pmin的符号作为候选子节点集;
S023.针对每一个候选子节点,计算候选子节点在子序列中出现的概率,概率大于Pmin的符号作为新的候选子节点集;
S024.对于S021-S023过程进行递归,直到当前分支上的树深度达到预设的概率后缀树深度L或者候选子节点集为空;
威胁诱捕模块
获取当前攻击者的请求数据,根据当前响应预测模型查找该请求子序列在概率后缀树上所在的节点,如果未查找到该请求子序列,则直接返回“不响应”,如果查找到,则返回节点上概率值最大的响应编码,当概率值最大的有多个编码时,按照预设标准选择其中一个编码作为结果,查找响应编码对应的响应内容,将该响应内容返回给攻击者,同时记录该请求响应序列,当接收到下条请求数据时,拼接历史请求响应序列,再通过模型,返回概率值最大得响应编码所对应的响应内容。,直至攻击结束,然后将获取到的原始攻击请求响应序列加入到步骤S01中的样本数据集中;
学习模块,利用更新后的样本数据集对响应预测模型进行更新迭代。
比如工控环境中有一个PLC,正常情况下,当PLC收到业务指令后会做相应的动作,收集PLC在正常情况下收到的各类指令及其动作,然后通过流量引擎单元收集业务数据,及通过学习算法模型,得到响应预测模型,从而真实模拟出PLC工控蜜罐,当攻击者访问模拟的PLC工控蜜罐后,响应预测模型会通过学习过的指令和动作来与黑客交互,让黑客认为攻击的工控蜜罐是真实的PLC设备,从而达到威胁诱捕的目的,同时记录下攻击者的攻击行为和方法,第一.可以追踪朔源,为日后调查取证提供依旧,第二.可以掌握攻击者的攻击手法,为以后对攻击者的攻击行为提供有力的防护手段,第三.通过诱捕欺骗黑客来攻击蜜罐,从侧面来说也是保护了真实业务没有被攻击。
以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。

Claims (10)

1.一种智能学习式自应答工业互联网蜜罐诱导方法,其特征在于:
S01.样本数据处理
定期获取设定时间段内正常情况下工业环境的业务请求命令,并对不同的请求命令进行编码,从而生成请求序列对应的请求编码序列;获取响应所述请求序列的设备及响应内容,并进行编码,形成响应编码序列,然后将响应编码序列拼接到请求编码序列中,从而生成请求响应序列,作为模型训练样本数据集;
S02.响应预测模型训练
将步骤S01中的请求响应序列作为概率后缀树算法的输入进行训练,得到响应预测模型;
S03.威胁诱捕
获取当前攻击者的请求数据,根据当前响应预测模型查找该请求数据的请求子序列在概率后缀树上所在的节点,给予该请求数据的反馈,同时记录请求响应序列,当接收到当前攻击者的下一条请求数据时,拼接历史请求响应序列,再重复执行根据当前响应预测模型查找该请求数据的请求子序列在概率后缀树上所在的节点,给予该请求数据的反馈步骤,直至攻击结束。
2.根据权利要1所述的一种智能学习式自应答工业互联网蜜罐诱导方法,其特征在于:还包括步骤S04,将步骤S03中获取到的原始攻击请求响应序列加入到步骤S01中的样本数据集中;重复步骤S01-S03。
3.根据权利要1或2所述的一种智能学习式自应答工业互联网蜜罐诱导方法,其特征在于:所述步骤S02中,响应预测模型具体训练过程为:
S021.预设概率后缀树深度L及概率阈值Pmin
S022.根据请求响应序列,初始化根节点,根节点的概率向量值为每个符号在序列中出现的概率,概率大于Pmin的符号作为候选子节点集;
S023.针对每一个候选子节点,计算候选子节点在子序列中出现的概率,概率大于Pmin的符号作为新的候选子节点集;
S024.对于S021-S023过程进行递归,直到当前分支上的树深度达到预设的概率后缀树深度L或者候选子节点集为空。
4.根据权利要求1或2所述的一种智能学习式自应答工业互联网蜜罐诱导方法,其特征在于:所述步骤S03中,根据当前响应预测模型查找该请求子序列在概率后缀树上所在的节点,如果未查找到该请求子序列,则直接返回“不响应”,如果查找到,则返回节点上概率值最大的响应编码,查找响应编码对应的响应内容,将该响应内容返回给攻击者,同时记录该请求响应序列,当接收到下条请求数据时,拼接历史请求响应序列,再通过模型,返回概率值最大得响应编码所对应的响应内容。
5.根据权利要求4所述的一种智能学习式自应答工业互联网蜜罐诱导方法,其特征在于:当概率值最大的有多个编码时,按照预设标准选择其中一个编码作为结果,再返回与该编码对应的响应内容。
6.一种智能学习式自应答工业互联网蜜罐诱导***,其特征在于:包括
样本数据处理模块,定期获取设定时间段内正常情况下工业环境的业务请求命令,并对不同的请求命令进行编码,从而生成请求序列对应的请求编码序列;获取响应所述请求序列的设备及响应内容,并进行编码,形成响应编码序列,然后将响应编码序列拼接到请求编码序列中,从而生成请求响应序列,作为模型训练样本数据集;
响应预测模型训练模块,将所述请求响应序列作为概率后缀树算法的输入进行训练,得到响应预测模型;
威胁诱捕模块,获取当前攻击者的请求数据,根据当前响应预测模型查找该请求子序列在概率后缀树上所在的节点,给予该请求数据的反馈,同时记录请求响应序列,当接收到下一条请求数据时,拼接历史请求响应序列,再通过当前响应预测模型返回响应结果,直至攻击结束,然后将获取到的原始攻击请求响应序列加入到所述样本数据集中,得到更新后的样本数据集。
7.根据权利要6所述的一种智能学习式自应答工业互联网蜜罐诱导***,其特征在于:还包括学习模块,利用更新后的样本数据集对响应预测模型进行更新迭代。
8.根据权利要6或7所述的一种智能学习式自应答工业互联网蜜罐诱导***,其特征在于:所述响应预测模型具体训练过程为:
S021.预设概率后缀树深度L及概率阈值Pmin
S022.根据请求响应序列,初始化根节点,根节点的概率向量值为每个符号在序列中出现的概率,概率大于Pmin的符号作为候选子节点集;
S023.针对每一个候选子节点,计算候选子节点在子序列中出现的概率,概率大于Pmin的符号作为新的候选子节点集;
S024.对于S021-S023过程进行递归,直到当前分支上的树深度达到预设的概率后缀树深度L或者候选子节点集为空。
9.根据权利要求6或7所述的一种智能学习式自应答工业互联网蜜罐诱导***,其特征在于:所述威胁诱捕模块中,根据当前响应预测模型查找该请求子序列在概率后缀树上所在的节点,如果未查找到该请求子序列,则直接返回“不响应”,如果查找到,则返回节点上概率值最大的响应编码,查找响应编码对应的响应内容,将该响应内容返回给攻击者,同时记录该请求响应序列,当接收到下条请求数据时,拼接历史请求响应序列,再通过模型,返回概率值最大得响应编码所对应的响应内容。
10.根据权利要求9所述的一种智能学习式自应答工业互联网蜜罐诱导***,其特征在于:当概率值最大的有多个编码时,按照预设标准选择其中一个编码作为结果,再返回与该编码对应的响应内容。
CN202010109410.5A 2020-02-22 2020-02-22 一种智能学习式自应答工业互联网蜜罐诱导方法及*** Active CN111343174B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010109410.5A CN111343174B (zh) 2020-02-22 2020-02-22 一种智能学习式自应答工业互联网蜜罐诱导方法及***

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010109410.5A CN111343174B (zh) 2020-02-22 2020-02-22 一种智能学习式自应答工业互联网蜜罐诱导方法及***

Publications (2)

Publication Number Publication Date
CN111343174A true CN111343174A (zh) 2020-06-26
CN111343174B CN111343174B (zh) 2022-04-26

Family

ID=71188124

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010109410.5A Active CN111343174B (zh) 2020-02-22 2020-02-22 一种智能学习式自应答工业互联网蜜罐诱导方法及***

Country Status (1)

Country Link
CN (1) CN111343174B (zh)

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111931874A (zh) * 2020-10-09 2020-11-13 北京元支点信息安全技术有限公司 基于深度学习和数据聚类的伴随式诱饵生成方法及装置
CN113765883A (zh) * 2021-07-28 2021-12-07 辽宁谛听信息科技有限公司 一种基于逐次概率判别算法的工业控制网络蜜罐识别方法
CN113965409A (zh) * 2021-11-15 2022-01-21 北京天融信网络安全技术有限公司 一种网络诱捕方法、装置、电子设备及存储介质
CN115134098A (zh) * 2021-03-12 2022-09-30 北京沃东天骏信息技术有限公司 一种黑客信息获取方法、装置、电子设备及存储介质
CN116915518A (zh) * 2023-09-14 2023-10-20 国网浙江省电力有限公司电力科学研究院 一种智能学习式自应答联网蜜罐诱导方法及***
CN117081855A (zh) * 2023-10-13 2023-11-17 深圳市前海新型互联网交换中心有限公司 蜜罐优化方法、蜜罐防护方法以及蜜罐优化***

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103338467A (zh) * 2013-07-10 2013-10-02 南京邮电大学 无线网络中基于pst的用户行为学习方法
CN107770199A (zh) * 2017-12-08 2018-03-06 东北大学 一种面向工业互联网的带有自学习功能的工控协议蜜罐及应用
CN110602032A (zh) * 2019-06-19 2019-12-20 上海云盾信息技术有限公司 攻击识别方法及设备

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103338467A (zh) * 2013-07-10 2013-10-02 南京邮电大学 无线网络中基于pst的用户行为学习方法
CN107770199A (zh) * 2017-12-08 2018-03-06 东北大学 一种面向工业互联网的带有自学习功能的工控协议蜜罐及应用
CN110602032A (zh) * 2019-06-19 2019-12-20 上海云盾信息技术有限公司 攻击识别方法及设备

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
吕雪峰: "面向工业控制过程的异常检测技术研究", 《中国优秀博硕士学位论文全文数据库(硕士)信息科技辑》 *

Cited By (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111931874A (zh) * 2020-10-09 2020-11-13 北京元支点信息安全技术有限公司 基于深度学习和数据聚类的伴随式诱饵生成方法及装置
CN115134098A (zh) * 2021-03-12 2022-09-30 北京沃东天骏信息技术有限公司 一种黑客信息获取方法、装置、电子设备及存储介质
CN115134098B (zh) * 2021-03-12 2024-03-01 北京沃东天骏信息技术有限公司 一种黑客信息获取方法、装置、电子设备及存储介质
CN113765883A (zh) * 2021-07-28 2021-12-07 辽宁谛听信息科技有限公司 一种基于逐次概率判别算法的工业控制网络蜜罐识别方法
CN113765883B (zh) * 2021-07-28 2023-05-12 辽宁谛听信息科技有限公司 一种基于逐次概率判别算法的工业控制网络蜜罐识别方法
CN113965409A (zh) * 2021-11-15 2022-01-21 北京天融信网络安全技术有限公司 一种网络诱捕方法、装置、电子设备及存储介质
CN116915518A (zh) * 2023-09-14 2023-10-20 国网浙江省电力有限公司电力科学研究院 一种智能学习式自应答联网蜜罐诱导方法及***
CN116915518B (zh) * 2023-09-14 2023-12-01 国网浙江省电力有限公司电力科学研究院 一种智能学习式自应答联网蜜罐诱导方法及***
CN117081855A (zh) * 2023-10-13 2023-11-17 深圳市前海新型互联网交换中心有限公司 蜜罐优化方法、蜜罐防护方法以及蜜罐优化***
CN117081855B (zh) * 2023-10-13 2024-02-02 深圳市前海新型互联网交换中心有限公司 蜜罐优化方法、蜜罐防护方法以及蜜罐优化***

Also Published As

Publication number Publication date
CN111343174B (zh) 2022-04-26

Similar Documents

Publication Publication Date Title
CN111343174B (zh) 一种智能学习式自应答工业互联网蜜罐诱导方法及***
Hussain et al. A two-fold machine learning approach to prevent and detect IoT botnet attacks
CN109902709B (zh) 一种基于对抗学习的工业控制***恶意样本生成方法
CN111818103B (zh) 一种网络靶场中基于流量的溯源攻击路径方法
CN112351031B (zh) 攻击行为画像的生成方法、装置、电子设备和存储介质
CN114285599B (zh) 基于控制器深度内存仿真的工控蜜罐构建方法及工控蜜罐
CN110855649A (zh) 一种检测服务器中异常进程的方法与装置
CN110958263A (zh) 网络攻击检测方法、装置、设备及存储介质
CN114422224A (zh) 面向攻击溯源的威胁情报智能分析方法及***
CN117610026B (zh) 一种基于大语言模型的蜜点漏洞生成方法
CN109685200A (zh) 基于生成对抗网络的雾计算工业协议构建方法及构建***
KR20190028880A (ko) 봇넷 탐지 시스템을 학습하기 위한 학습 데이터를 생성하는 방법 및 그 장치
CN114422271B (zh) 数据处理方法、装置、设备及可读存储介质
CN113722717A (zh) 一种安全漏洞测试方法、装置、设备及可读存储介质
Shan et al. NeuPot: A neural network-based honeypot for detecting cyber threats in industrial control systems
CN110086788A (zh) 基于云WAF的深度学习WebShell防护方法
CN117834228A (zh) 基于bert模型的强化学习蜜罐构建方法及装置
CN113645181A (zh) 一种基于孤立森林的分布式规约攻击检测方法及***
Khan et al. Lightweight testbed for cybersecurity experiments in scada-based systems
CN115622793A (zh) 一种攻击类型识别方法、装置、电子设备及存储介质
CN115063652A (zh) 一种基于元学习的黑盒攻击方法、终端设备及存储介质
CN114282218A (zh) 一种攻击检测方法、装置、电子设备及存储介质
Song et al. Network Security with Virtual Reality Based Antivirus Protection and Reduced Detection Delays
Anastasiadis et al. A novel high-interaction honeypot network for internet of vehicles
CN113518062B (zh) 攻击检测方法、装置及计算机设备

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant