一种基于机器学习的服务器伪装方法和系统与流程

本发明涉及计算机领域，具体涉及一种基于机器学习的服务器伪装方法和系统。

背景技术：

现有技术中存在的蜜罐系统这种服务器保护技术，架设在服务器和客户端之间，作为客户端和服务器交互的媒介，将真实的访问连接到实际的服务器上，提高服务器安全行。当面对apt攻击时，蜜罐主机被攻陷，入侵者不能得到有价值的资料，从而保护数据不被破坏或窃取。

如图1，对于蜜罐技术的正常访问行为过程如下：

1)用户访问服务器；

2)蜜罐系统接受访问请求；

3)蜜罐代理访问真实服务器；

4)返回数据给用户；

5)判断是否退出，如果是跳转到步骤6)，否则返回到步骤1)

6)结束。

对于蜜罐技术的入侵攻击行为过程如下：

1)入侵者攻击服务器；

2)攻击指令到达蜜罐系统；

3)蜜罐机被攻陷；

4)获取蜜罐机数据；

5)判断是否退出，如果是跳转到步骤6)，否则返回到步骤1)

6)结束。

根据上述描述克制，蜜罐技术不能检测攻击，区分正常访问和恶意入侵。蜜罐系统，只能有限保护服务器免受侵害，不能抵御apt攻击，针对apt攻击没有检测手段，不能提供持续性服务。

本发明要解决的技术问题是，从实际需求和应用的角度出发，基于机器学习的服务器伪装技术，能有效检测入侵攻击行为，并可自主学习、分析各种入侵方式，完善攻击检测模型；根据检测结果进行智能调度，真实的访问重定向到实际服务器，疑似攻击的访问重定向到蜜罐系统；监测真实服务器变化，并将变化的数据变换改造后同步到蜜罐系统，以欺骗恶意攻击，从而保护正常服务器免受攻击和服务终端。

技术实现要素：

为解决上述技术问题，本发明提供了一种基于机器学习的服务器伪装方法，包括以下步骤：

1)各服务模块初始化；

2)针对用户访问请求，进行威胁攻击检测；

3)判断用户访问请求是否有隐蔽攻击，如果有则转至步骤4)，否则，转至步骤5)；

4)调用伪装服务，由伪装服务响应用户请求，随后转至步骤6)；

5)调用真实服务，由真实服务响应用户请求，随后转至步骤6)；

6)响应用户请求，返回响应请求数据或者按要求写入数据，转至步骤7)；

7)判断是否退出系统，如果不退出，则转至步骤2)，否则转至步骤8)；

8)结束。

根据本发明的实施例，优选的，所述步骤2)中，启动机器学习子模块，分析用户访问请求，完善攻击检测模块。

根据本发明的实施例，优选的，所述步骤3)中，如果判断用户访问请求中存在隐蔽攻击，则通知智能调度模块中的攻击预警子模块，对隐蔽攻击进行预警：当前用户访问请求有恶意行为。

根据本发明的实施例，优选的，所述步骤4)中由伪装服务响应用户请求之后，还需要判断真实服务器数据是否变化，如果发生改变，将伪装服务器与真实服务器保持数据同步，并扰乱同步后的数据，转至步骤7)，否则直接转至步骤7)。

根据本发明的实施例，优选的，所述步骤5)中由真实服务响应用户请求之后，判断真实服务器数据是否变化，如果发生改变，则通知伪装服务器，并发送变化数据，转至步骤7)，否则直接转至步骤7)。

为解决上述技术问题，本发明提供了一种基于机器学习的服务器伪装系统，该系统包括：

攻击检测模块，检测用户访问服务器动作是否有恶意攻击行为，并把检测结果通知给智能调度模块；

智能调度模块，接收攻击检测模块预警通知，监测数据服务模块状态，根据预警无缝调度伪装服务器或者真实服务器，完成用户请求；

数据服务模块，包括真实服务器和伪装服务器，用于对外提供数据服务，响应智能调度模块的数据服务请求，同时，完成真实服务器到伪装服务器的数据同步。

根据本发明的实施例，优选的，所述攻击检测模块包括机器学习子模块，当所述攻击检测模块截取用户访问请求时，启动机器学习子模块进行用户行为分析，不断完善攻击检测模块。

根据本发明的实施例，优选的，所述智能调度模块包括攻击预警子模块、状态监测子模块和服务调度子模块；

当接收到用户访问请求时，同时启动攻击预警和状态监测模块，将用户访问请求同时下发给所述伪装服务器和真实服务器；

所述状态监测子模块维持数据服务模块的响应状态，没有收到攻击预警时，将真实服务器的数据返回给用户；

所述攻击预警子模块接收到攻击预警时，通知服务调度子模块无缝切换到伪装服务器，由伪装服务器提供数据服务。

根据本发明的实施例，优选的，当真实服务器数据发生变化时候，通知伪装服务器，并发送变化数据，伪装服务器同步该变化数据，并将同步后的数据进行扰乱处理，对外提供伪数据。

为解决上述技术问题，本发明提供了一种基于机器学习的服务器伪装系统，该系统包括计算机处理装置和计算机存储介质，该计算机存储介质存储有计算机指令，当所述计算机处理装置执行上述计算机指令时，执行上述方法之一。

通过本发明的技术方案，取得了以下有益的技术效果：

1)架构先进，技术稳定，兼容性高；

2)机器自主学习，配置灵活；

3)能有效保护真实服务器，提供不间断服务，有效防止apt攻击导致的秘密外泄。

附图说明

图1是现有技术实现流程图

图2是本发明系统架构图

图3是本发明攻击检测层流程图

图4是本发明智能调度层流程图

图5是本发明数据服务层流程图

图6是本发明总体攻击检测数据服务流程图

具体实施方式

名词解释：

apt：advancedpersistentthreat，高级持续性威胁。它是一种以商业和政治为目的的网络犯罪类别，通常使用先进的攻击手段对特定目标进行长期持续性的网络攻击，具有长期经营与策划、高度隐蔽等特性。

蜜罐：或称honeypot，就是一台不作任何安全防范措施而且连接网络的计算机，但是与一般计算机不同，它内部运行着多种多样的数据记录程序和特殊用途的“自我暴露程序”。

<本发明的系统架构>

如图2所示，为本发明的总体架构。

基于机器学习的服务器伪装技术，总体上划分为三个层次：攻击检测层、智能调度层、数据服务层。攻击检测层，负责检测用户访问服务器动作是否有恶意攻击行为，并把检测结果通知给智能调度层；智能调度层，接收攻击检测层预警通知，监测数据服务层状态，根据预警无缝调度伪装服务器或者真实服务器，完成用户请求；数据服务层，启动伪装服务器和真实服务器同时对外提供服务，响应智能调度层的服务请求，同时，完成真实服务器到伪装服务器的数据同步。

攻击检测层，位于总体架构的最上层，截取用户访问请求，启动机器学习引擎进行用户行为分析，不断完善攻击检测模型；同时初始化攻击检测引擎，对用户访问行为进行检测，并将用户访问请求传递给智能调度层；当检测到攻击时，将检测结果通知给智能调度层的攻击预警模块。

智能调度层，接收用户访问请求，同时启动攻击预警和状态监测模块，将用户访问请求同时下发给数据服务层的伪装服务器和真实服务器；状态监测模块维持数据服务层的响应状态，正常情况下，将真实服务器数据返回给用户；攻击预警模块接收到通知时，协调调度模块无缝切换到伪装服务器，由伪装服务器提供数据服务。

数据服务层，位于整体架构的最下层，响应用户访问请求，同时启动伪装服务器和真实服务器对外提供服务；同时伪装服务器监测真实服务器的数据变化，当真实服务器数据有变化时，请求将真实服务器变化的数据同步到本地，同步数据的时候将数据进行扰乱处理，对外提供伪数据。

<本发明的方法流程>

如图3-5，为本发明的系统执行流程。

在此，描述下本架构的系统流程：

攻击检测层流程

1、有用户请求到来，截获用户访问请求，转至2处，继续执行。

2、启动机器学习引擎，分析用户访问行为，完善攻击检测模型，转至3处，继续执行。

3、初始化攻击检测引擎，准备对用户行为检测，转至4处继续执行。

4、调用攻击检测引擎，对用户行为进行攻击检测，转至5处继续执行。

5、判断用户行为是否涉嫌攻击，如果涉嫌攻击，则转至6处继续执行；否则，转至7处继续执行。

6、通知智能调度层攻击预警模块，当前用户访问有恶意行为，然后转至7处继续执行。

7、结束。

智能调度层流程

1、接收用户访问请求，转至2处，继续执行。

2、启动状态监测和攻击预警模块，完成初始化工作，转至3处，继续执行。

3、下发用户请求给数据服务层，维持真伪服务器状态，转至4处继续执行。

4、判断是否收到攻击预警，如果是，则转至5处继续执行；否则，转至6处执行

5、无缝切换至伪装服务器，向伪装服务器请求数据，转至7处继续执行。

6、无缝切换至伪装服务器，向真实服务器请求数据，转至7处继续执行。

7、状态监测模块维护服务器状态，返回用户请求数据，转至8处继续执行。

8、结束。

数据服务层流程-伪装服务器

1、启动服务及数据同步服务，转至2处，继续执行。

2、响应用户请求，准备数据，转至3处，继续执行。

3、返回用户请求数据，转至4处继续执行。

4、检测真实服务器数据变化情况，转至5处继续执行。

5、判断真实服务器数据是否变化，如果发生改变，则转至6处执行；否则，转至7处继续执行。

6、同步真实服务器变化的数据，并将数据进行扰乱，然后转至7处继续执行。

7、判断是否退出系统，如果是，则转至8处执行；否则，转至2处继续执行。

8、结束。

数据服务层流程-真实服务器

1、启动服务及数据同步服务，转至2处，继续执行。

2、响应用户请求，准备数据，转至3处，继续执行。

3、返回用户请求数据，转至4处继续执行。

4、检测服务器数据变化情况，转至5处继续执行。

5、判断服务器数据是否变化，如果发生改变，则转至6处执行；否则，转至7处继续执行。

6、通知伪装服务器，并发送变化数据，然后转至7处继续执行。

7、判断是否退出系统，如果是，则转至8处执行；否则，转至2处继续执行。

8、结束。

如图6，为本发明的总体流程。

1、系统启动后，进行apt检测模块初始化，然后转至第2步处理。

2、服务调度模块及服务初始化，完成后转至第3步处理。

3、响应用户访问请求，完成后转至第4步处理。

4、针对用户访问行为，进行apt攻击检测，转至第5步处理。

5、判断用户行为是否有隐蔽攻击，如果有则转至第6步处理；否则，转至第7步处理。

6、调用伪装服务，由伪装服务响应用户请求，随后转至第8步处理。

7、调用真实服务，由真实服务响应用户请求，随后转至第8步处理。

8、响应用户请求，返回响应请求数据或者按要求写入数据，转至第9步处理。

9、判断是否退出系统，如果不退出，则转至第3步处理；否则转至第10步处理。

10、结束。

具体实施例

近几年，随着apt攻击事件频发，对国家安全和长远发展都构成了极大威胁。因此国家专门成立了国家信息安全小组，十分重视网络安全。针对关系到国计民生的金融行业、移动通讯业等提出了更高的安全防护要求，避免发生泄密事件。

针对金融业服务系统，是apt攻击的主要对象，因此需要正常业务不受影响，又能避免攻击事件导致的机密外泄，因此本系统的实施，避免了用户敏感信息泄漏风险，在实际项目中得到大力推广。可将本发明的技术方案应用到金融服务系统中。

以上所述仅为本发明的较佳实施例而已，并非用于限定本发明的保护范围。凡在本发明的精神和原则之内，所作的任何修改、等同替换以及改进等，均应保护在本发明的保护范围之内。