数据流量的生成方法及装置、系统与流程

1.本申请涉及网络安全领域，具体而言，涉及一种数据流量的生成方法及装置、系统。


背景技术：

2.对企业而言，网络通常分为内网和外网。内网指企业内部网络，外网指互联网。内网通常有若干出口与外网相连。在出口处布置防火墙、网关设备等边界防护设备。随着网络的普及和发展，各种网络攻击手段也不断被推出。边界防护很难完全阻挡网络攻击，攻击者可以通过各种手段绕过边界防护，比如0day漏洞、社会工程学等手段。
3.如果只有边界防护，那么攻击者一旦攻入内网，则可以肆无忌惮的进行探测、攻击，窃取数据。所以内网安全越来越被企业所重视，内网安全设备也被企业所部署。
4.经验丰富、技术高深的攻击者，其目的通常是更有价值的企业关键数据，核心业务服务器。盗取客户数据，干扰破坏企业正常业务等。其在攻入内网后，会先潜伏下来，不再是盲目的随机窃取，无差别探测漏洞、攻击所有主机。通常通过保持一定时间的侦察状态，监视和分析网络流量，通常通过netstat等脚本工具和命令来实现。目标是找到关键资产，这些资产通常是承载重要业务应用程序或数据的公司服务器。
5.这是为了找出来自不同主机的稳定的连接和流量，以缩小、确定服务器ip和服务端口的数量、范围，识别出服务器承载的业务。在识别出承载应用程序的服务器之后，攻击者接下来继续并尝试使用特权加速和密码攻击等机制渗透服务器。
6.流量欺骗技术，是为了迷惑攻击者，让攻击者花费更多的费用去识别出真实的攻击，且提前知晓攻击手段，防范攻击。然而普通的流量模拟欺骗容易被攻击者识破。无法分散太多注意力。
7.针对上述的问题，目前尚未提出有效的解决方案。


技术实现要素：

8.本申请实施例提供了一种数据流量的生成方法及装置、系统，以至少解决现有的迷惑网络攻击的流量欺骗技术容易被攻击者识破，无法分散攻击者太多注意力的技术问题。
9.根据本申请实施例的一个方面，提供了一种数据流量的生成方法，包括：获取全网数据流量，其中，全网数据流量包括网络的真实流量以及欺骗诱导流量，欺骗诱导流量用于与真实流量混淆，以降低攻击网络成功的概率；对全网数据流量进行分析；依据分析结果确定是否对欺骗诱导流量进行调整；依据调整结果生成目标欺骗诱导流量，并将目标欺骗诱导流量混入真实流量。
10.可选地，真实流量包括多个应用流量；对全网数据流量进行分析，包括：对多个应用流量的流量大小排序，并分别计算每个应用流量的流量占比，其中，流量占比为每个应用流量的流量大小与全部应用流量的流量大小的和的比值；对多个应用流量的会话数量排
序，并分别计算每个应用流量的会话占比，其中，会话占比为每个应用流量的会话数量与全部应用流量的会话数量的和的比值；计算应用流量对应的特定应用程序的风险指数。
11.可选地，依据分析结果确定是否对欺骗诱导流量进行调整之前，上述方法还包括：依据真实流量和欺骗诱导流量的会话数量确定欺骗诱导流量被识别出的概率；依据真实流量和欺骗诱导流量的流量大小确定欺骗诱导流量对网络的干扰程度。
12.可选地，依据分析结果确定是否对欺骗诱导流量进行调整，包括：判断概率是否小于第一阈值，且干扰程度是否大于第二阈值；如果概率小于第一阈值，且干扰程度大于第二阈值，拒绝对欺骗诱导流量进行调整；如果概率大于或等于第一阈值和/或干扰程度小于或等于第二阈值，对欺骗诱导流量进行调整。
13.可选地，对欺骗诱导流量进行调整，包括：基于以下公式对欺骗诱导流量进行调整：adt
t+1
＝adt
t
+ε*adt
t
，其中，adt
t
表示欺骗诱导流量，adt
t+1
表示目标欺骗诱导流量，ε＝f((tri，fri，β，δ，μ))，tri为真实流量和欺骗诱导流量的流量占比，fri为真实流量和欺骗诱导流量的会话数量占比，β为第一阈值，δ为第二阈值，μ为风险指数。
14.可选地，依据调整结果生成目标欺骗诱导流量，包括：如果不需要对欺骗诱导流量进行调整，基于欺骗诱导流量生成目标欺骗诱导流量；如果需要对欺骗诱导流量进行调整，基于调整之后的欺骗诱导流量生成目标欺骗诱导流量。
15.可选地，通过以下公式确定目标欺骗诱导流量的流量大小：可选地，通过以下公式确定目标欺骗诱导流量的流量大小：其中，μ为风险指数，ti为应用流量的流量大小，pt为欺骗诱导流量对网络的干扰程度，normal_traffic真实流量的流量大小；通过以下公式确定目标欺骗诱导流量的会话数量：其中，fi为应用流量的会话数量，pf为欺骗诱导流量被识别出的概率，normal_flow表示真实流量的会话数量。
16.根据本申请实施例的另一方面，还提供了一种数据流量的生成系统，包括：流量监控与安全分析模块、自适应调整模块以及流量生成模块，其中，流量监控与安全分析模块用于获取全网数据流量，并对全网数据流量进行分析，其中，全网数据流量包括网络的真实流量以及欺骗诱导流量，欺骗诱导流量用于与真实流量混淆，以降低攻击网络成功的概率；自适应调整模块，与流量监控与安全分析模块通信，用于依据流量监控与安全分析模块得到的分析结果确定是否对欺骗诱导流量进行调整；流量生成模块，与自适应调整模块通信，用于依据调整结果生成目标欺骗诱导流量，并将目标欺骗诱导流量混入真实流量。
17.根据本申请实施例的另一方面，还提供了一种数据流量的生成装置，包括：获取模块，用于获取全网数据流量，其中，全网数据流量包括网络的真实流量以及欺骗诱导流量，欺骗诱导流量用于与真实流量混淆，以降低攻击网络成功的概率；分析模块，用于对全网数据流量进行分析；调整模块，用于依据分析结果确定是否对欺骗诱导流量进行调整；生成模块，用于依据调整结果生成目标欺骗诱导流量，并将目标欺骗诱导流量混入真实流量。
18.根据本申请实施例的再一方面，还提供了一种非易失性存储介质，非易失性存储介质包括存储的程序，其中，在程序运行时控制非易失性存储介质所在设备执行以上的数据流量的生成方法。
19.根据本申请实施例的再一方面，还提供了一种处理器，处理器用于运行存储在存
储器中的程序，其中，程序运行时执行以上的数据流量的生成方法。
20.在本申请实施例中，采用获取全网数据流量，其中，全网数据流量包括网络的真实流量以及欺骗诱导流量，欺骗诱导流量用于与真实流量混淆，以降低攻击网络成功的概率；对全网数据流量进行分析；依据分析结果确定是否对欺骗诱导流量进行调整；依据调整结果生成目标欺骗诱导流量，并将目标欺骗诱导流量混入真实流量的方式，通过根据真实网络环境应用流量的态势感知，实现自适应调整，生成有效的对业务影响最小的欺骗诱导流量，从而实现了混淆延迟攻击者内网探测行为，并暴露攻击者的行为，达到快速检测内网攻击行为的技术效果，进而解决了现有的迷惑网络攻击的流量欺骗技术容易被攻击者识破，无法分散攻击者太多注意力技术问题。
附图说明
21.此处所说明的附图用来提供对本申请的进一步理解，构成本申请的一部分，本申请的示意性实施例及其说明用于解释本申请，并不构成对本申请的不当限定。在附图中：
22.图1是根据本申请实施例的一种数据流量的生成方法的流程图；
23.图2是根据本申请实施例的另一种数据流量的生成方法的流程图；
24.图3是根据本申请实施例的一种数据流量的生成系统的示意图；
25.图4是根据本申请实施例的一种数据流量的生成系统的拓扑图；
26.图5是根据本申请实施例一种数据流量的生成装置的结构框图。
具体实施方式
27.为了使本技术领域的人员更好地理解本申请方案，下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本申请一部分的实施例，而不是全部的实施例。基于本申请中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都应当属于本申请保护的范围。
28.需要说明的是，本申请的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象，而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换，以便这里描述的本申请的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外，术语“包括”和“具有”以及他们的任何变形，意图在于覆盖不排他的包含，例如，包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元，而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
29.未解决背景技术中提到的技术问题，专利申请号为cn201710784517.8a的发明专利提出了一种基于动态目标防御的内源威胁防御设备，该设备包括以下模块：
30.a、动态目标防御调度模块，对设备ip地址、mac地址、端口、服务、蜜罐系统等进行动态变换调度；
31.b、设备ip变换子模块，对设备ip地址进行动态变换；
32.c、设备mac地址变换子模块，对mac地址进行动态变换；
33.d、设备端口变换子模块，对设备端口进行动态变换；
34.e、设备服务变换子模块，对设备开放服务进行动态变换；
35.f、设备蜜罐系统变换子模块，对设备蜜罐系统进行动态变换。
36.该方法的缺点在于虽然能够动态变化ip、mac等，但是无法根据用户处真实流量进行调整，容易被攻击者所发现，另外由于没有目的性和控制性的产生诱惑流量，其有效性也会降低，也容易对用户网络造成干扰。
37.针对现有技术的不足，本发明提供了一种具有资源占用低、易于部署、有效而影响小三种特性的，并且具有网络应用识别和风险状况感知、自适应网络状况的方法和装置。
38.本发明目标是生成能够与真实流量混淆的欺骗流量，该欺骗流量不易被攻击者识破，以分散已侵入公司网络的攻击者的注意力，降低其定位到关键服务器的概率。同时，可以与低、中交互蜜罐欺骗技术结合使用，识别出攻击手段、攻击源。并且尽可能的不影响真实网络流量。
39.下面对本发明提供的方法进行详细说明：
40.根据本申请实施例，提供了一种数据流量的生成方法的实施例，需要说明的是，在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行，并且，虽然在流程图中示出了逻辑顺序，但是在某些情况下，可以以不同于此处的顺序执行所示出或描述的步骤。
41.图1是根据本申请实施例的一种数据流量的生成方法的流程图，如图1所示，该方法包括如下步骤：
42.步骤s102，获取全网数据流量，其中，全网数据流量包括网络的真实流量以及欺骗诱导流量，欺骗诱导流量用于与真实流量混淆，以降低攻击网络成功的概率；
43.步骤s104，对全网数据流量进行分析；
44.步骤s106，依据分析结果确定是否对欺骗诱导流量进行调整；
45.步骤s108，依据调整结果生成目标欺骗诱导流量，并将目标欺骗诱导流量混入真实流量。
46.通过上述方法，通过根据真实网络环境应用流量的态势感知，实现自适应调整，生成有效的对业务影响最小的欺骗诱导流量，从而实现了混淆延迟攻击者内网探测行为，并暴露攻击者的行为，达到快速检测内网攻击行为的技术效果。
47.根据本申请的一个可选的实施例，真实流量包括多个应用流量；对步骤s104通过以下方法实现：对多个应用流量的流量大小排序，并分别计算每个应用流量的流量占比，其中，流量占比为每个应用流量的流量大小与全部应用流量的流量大小的和的比值；对多个应用流量的会话数量排序，并分别计算每个应用流量的会话占比，其中，会话占比为每个应用流量的会话数量与全部应用流量的会话数量的和的比值；计算应用流量对应的特定应用程序的风险指数。
48.需要说明的是，上述应用流量即应用程序的流量，例如app的流量。
49.在本步骤中，应用流量内容统计如下：
50.1)应用流量大小、排名：
51.记录数据traffic：[t1:t_app_1,t2:t_app_2,t3:t_app_3
…
tn:t_app_n]
[0052]
其中，t1表示流量大小排名为1的应用流量大小，t_app_1表示排名为1的应用名称，依次类推
…
[0053]
2)应用流量比例：
[0054]
记录数据traffic ratio：[tr1,tr2,tr3...trn]
[0055]
计算公式：
[0056]
tri表示流量大小排名为i的应用流量占比。
[0057]
3)应用会话数及排名
[0058]
记录数据flow：[f1:f_app_1,f2:f_app_2,f3:f_app_3
…
fn:f_app_n]
[0059]
其中，f1表示会话数排名为1的应用会话数，f_app_1为排名为1的应用名称，依次类推
…
[0060]
4)应用会话比例
[0061]
记录数据flow ratio：[fr1,fr2,fr3...frn]
[0062]
计算公式：fri表示会话数排名为i的应用的会话占比。
[0063]
此外，使用威胁检测机制，如ips、av等，计算出特定应用程序的风险指数(μ)。
[0064]
根据本申请的另一个可选的实施例，执行步骤s106之前，还需要依据真实流量和欺骗诱导流量的会话数量确定欺骗诱导流量被识别出的概率；依据真实流量和欺骗诱导流量的流量大小确定欺骗诱导流量对网络的干扰程度。
[0065]
本发明的核心理念是令欺骗诱导流量满足以下两个要求：
[0066]
1)无法被区分，尽可能混入正常流量中，以便于无法被攻击者所察觉。
[0067]
2)减少对真实网络流量的干扰，以减少对于网络设备承受能力的干扰，避免影响正常的网络通信。
[0068]
从而引入以下约束条件：
[0069]
1)欺骗诱导流量被发现的概率pf，其可通过如下公式计算：
[0070]
其中，adt_flow表示欺骗诱导流量会话数，normal_flow表示真实流量会话数。
[0071]
2)欺骗诱导流量对于正常网络的干扰程度pt，其可通过如下公式计算：
[0072]
其中，adt_traffic表示欺骗诱导流量大小，normal_traffic表示真实流量大小。
[0073]
同时，引入两个存在默认值，且用户可更改的β和δ，用于完成欺骗诱导流量无法被区分，对真实网络流量干扰少。
[0074]
pf应小于β，
[0075]
pt应大于δ，
[0076]
在本申请的一些可选的实施例中，步骤s106包括如下步骤：判断概率是否小于或第一阈值，且干扰程度是否大于第二阈值；如果概率小于第一阈值，且干扰程度大于第二阈值，拒绝对欺骗诱导流量进行调整；如果概率大于或等于第一阈值和/或干扰程度小于或等于第二阈值，对欺骗诱导流量进行调整。
[0077]
在上文中提到，pf应小于β，且pt应大于δ，因此，在执行步骤s106时，如果pf和pt满足上述条件，不需要对本周期中的欺骗诱导流量进行调整，如果pf和pt不满足上述条件，则
需要对本周期中的欺骗诱导流量进行调整。每个周期结束时，都需要对监控到的结果进行重新分析及评估，使其满足约束条件、重新计算下一个周期的欺骗诱导流量。
[0078]
优选地，对欺骗诱导流量进行调整，包括：基于以下公式对欺骗诱导流量进行调整：adt
t+1
＝adt
t
+ε*adt
t
，其中，adt
t
表示欺骗诱导流量，adt
t+1
表示目标欺骗诱导流量，ε＝f((tri，fri，β，δ，μ))，tri为真实流量和欺骗诱导流量的流量占比，fri为真实流量和欺骗诱导流量的会话数量占比，β为第一阈值，δ为第二阈值，μ为风险指数。
[0079]
自适应调整主要通过如下公式实现：adt
t+1
＝adt
t
+ε*adt
t
，其中，adt
t+1
表示下一周期欺骗诱导流量，adt
t
表示本周期欺骗诱导流量，ε综合了上文中的约束条件以及公式等多种因素，ε＝f((tri，fri，β，δ，μ))。
[0080]
根据本申请的一个可选的实施例，执行步骤s108时，如果不需要对欺骗诱导流量进行调整，基于欺骗诱导流量生成目标欺骗诱导流量；如果需要对欺骗诱导流量进行调整，基于调整之后的欺骗诱导流量生成目标欺骗诱导流量。
[0081]
根据本申请的另一个可选的实施例，通过以下公式确定目标欺骗诱导流量的流量大小：其中，μ为风险指数，ti为应用流量的流量大小，pt为欺骗诱导流量对网络的干扰程度，normal_traffic真实流量的流量大小；通过以下公式确定目标欺骗诱导流量的会话数量：其中，fi为应用流量的会话数量，pf为欺骗诱导流量被识别出的概率，normal_flow表示真实流量的会话数量。
[0082]
欺骗诱导流量以应用为单位，生成所有监控到应用的流量，每个应用的流量大小、会话数目计算如下所示：
[0083]
1)指定应用流量大小adt
ti
，可通过如下公式计算，公式中，各个参数的含义见上文中的描述。
[0084]
2)指定应用会话数adt
fi
，可通过如下公式计算，公式中，各个参数的含义见上文中的描述。
[0085]
图2是根据本申请实施例的另一种数据流量的生成方法的流程图，如图2所示，该方法包括以下步骤：
[0086]
步骤s201，获取全网数据流量，该流量为混合流量，包括真实流量和欺骗诱导流量；
[0087]
步骤s202，流量监控及安全分析；
[0088]
步骤s203，判断是否满足约束条件：pf应小于β且pt应大于δ，如果判断结果为是，执行步骤s205，如果判断结果为否，执行步骤s204；
[0089]
步骤s204，自适应调整当前周期的欺骗诱导流量，调整之后执行步骤s205；
[0090]
步骤s205，生成欺骗诱导流量。
[0091]
需要说明的是，图2所示实施例的优选实施方式可以参见图1所示实施例的相关描述，此处不再赘述。
[0092]
图3是根据本申请实施例的一种数据流量的生成系统的示意图，如图3所示，该系统包括：流量监控与安全分析模块30、自适应调整模块32以及流量生成模块34，其中，
[0093]
流量监控与安全分析模块30用于获取全网数据流量，并对全网数据流量进行分析，其中，全网数据流量包括网络的真实流量以及欺骗诱导流量，欺骗诱导流量用于与真实流量混淆，以降低攻击网络成功的概率。
[0094]
此模块的主要作用是在每个学习周期中，识别应用、监控流量、安全分析。
[0095]
自适应调整模块32，与流量监控与安全分析模块30通信，用于依据流量监控与安全分析模块得到的分析结果确定是否对欺骗诱导流量进行调整。
[0096]
自适应调整模块32包含了约束条件、生成流量计算、自适应调整三部分。
[0097]
流量生成模块34，与自适应调整模块32通信，用于依据调整结果生成目标欺骗诱导流量，并将目标欺骗诱导流量混入真实流量。
[0098]
流量生成模块34分为三种部署方式：设备型、虚拟机型、主机应用型。其应该有足够的mac地址、ip地址和其他指纹字段的变化，以保证流量足够的随机性。
[0099]
如图3所示，三个模块周期性运转：
[0100]
1)周期开始，流量监控与安全分析模块30接收全网流量，进行监控、统计、分析，并输送结果给自适应调整模块32；
[0101]
2)自适应调整模块32根据全网网络和业务状态，对欺骗诱导流量进行调整，并将结果告知流量生成模块34；
[0102]
3)流量生成模块34生成欺骗诱导流量，混入真实流量；
[0103]
4)在新的周期，重复上述步骤1
‑
3)。
[0104]
图4是根据本申请实施例的一种数据流量的生成系统的拓扑图，如图4所示，流量监控与安全分析模块和自适应调整模块可以位于同一个设备中，其接收全网镜像流量，并与流量生成模块通信。
[0105]
流量生成模块受自适应调整模块控制，并可分为三种部署方式：
[0106]
设备型，直接已独立设备的方式部署于网络中；
[0107]
虚拟机型，作为虚拟机部署于虚拟化服务器中；
[0108]
主机应用型，作为软件应用安装与用户主机中。
[0109]
需要说明的是图3所示实施例的优选实施方式可以参见图1所示实施例的相关描述，此处不再赘述。
[0110]
图5是根据本申请实施例一种数据流量的生成装置的结构框图，如图5所示，该装置包括：
[0111]
获取模块50，用于获取全网数据流量，其中，全网数据流量包括网络的真实流量以及欺骗诱导流量，欺骗诱导流量用于与真实流量混淆，以降低攻击网络成功的概率；
[0112]
分析模块52，用于对全网数据流量进行分析；
[0113]
调整模块54，用于依据分析结果确定是否对欺骗诱导流量进行调整；
[0114]
生成模块56，用于依据调整结果生成目标欺骗诱导流量，并将目标欺骗诱导流量混入真实流量。
[0115]
需要说明的是图5所示实施例的优选实施方式可以参见图1所示实施例的相关描述，此处不再赘述。
[0116]
本申请实施例还提供了一种非易失性存储介质，非易失性存储介质包括存储的程序，其中，在程序运行时控制非易失性存储介质所在设备执行以上的数据流量的生成方法。
[0117]
上述非易失性存储介质用于存储执行以下功能的程序：获取全网数据流量，其中，全网数据流量包括网络的真实流量以及欺骗诱导流量，欺骗诱导流量用于与真实流量混淆，以降低攻击网络成功的概率；对全网数据流量进行分析；依据分析结果确定是否对欺骗诱导流量进行调整；依据调整结果生成目标欺骗诱导流量，并将目标欺骗诱导流量混入真实流量。
[0118]
本申请实施例还提供了一种处理器，处理器用于运行存储在存储器中的程序，其中，程序运行时执行以上的数据流量的生成方法。
[0119]
处理器用于运行执行以下功能的程序：获取全网数据流量，其中，全网数据流量包括网络的真实流量以及欺骗诱导流量，欺骗诱导流量用于与真实流量混淆，以降低攻击网络成功的概率；对全网数据流量进行分析；依据分析结果确定是否对欺骗诱导流量进行调整；依据调整结果生成目标欺骗诱导流量，并将目标欺骗诱导流量混入真实流量。
[0120]
上述本申请实施例序号仅仅为了描述，不代表实施例的优劣。
[0121]
在本申请的上述实施例中，对各个实施例的描述都各有侧重，某个实施例中没有详述的部分，可以参见其他实施例的相关描述。
[0122]
在本申请所提供的几个实施例中，应该理解到，所揭露的技术内容，可通过其它的方式实现。其中，以上所描述的装置实施例仅仅是示意性的，例如所述单元的划分，可以为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，单元或模块的间接耦合或通信连接，可以是电性或其它的形式。
[0123]
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
[0124]
另外，在本申请各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用软件功能单元的形式实现。
[0125]
所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本申请的技术方案本质上或者说对相关技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可为个人计算机、服务器或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：u盘、只读存储器(rom，reqk
‑
sswd
‑
only memory)、随机存取存储器(rqk
‑
sswm，rqk
‑
sswndom qk
‑
sswccess memory)、移动硬盘、磁碟或者光盘等各种可以存储程序代码的介质。
[0126]
以上所述仅是本申请的优选实施方式，应当指出，对于本技术领域的普通技术人员来说，在不脱离本申请原理的前提下，还可以做出若干改进和润饰，这些改进和润饰也应视为本申请的保护范围。