专利 一种拟态未知威胁发现系统

(19)中华人民共和国国家知识产权局 (12)发明专利申请 (10)申请公布号 (43)申请公布日 (21)申请号 202111664726.1 (22)申请日 2021.12.31 (71)申请人河南信大网御科技有限公司地址 450000 河南省郑州市金水区宝瑞路 115号河南省信息安全产业示范基地8 号楼01、 02号1- 5层申请人珠海高凌信息科技股份有限公司 (72)发明人吕青松　冯志峰　张建军　郭义伟　李松泽　山海源　 (74)专利代理机构郑州德勤知识产权代理有限公司 41128 代理人黄红梅 (51)Int.Cl. H04L 9/40(2022.01) (54)发明名称一种拟态未知威胁发现系统 (57)摘要本发明提出了一种拟态未知威胁发现系统，包括：流量存储器，采用时间分段的方式，将分发代理与外部用户的交互数据作为流量记录进行镜像存储；执行体快照池，定时存储在线执行体的快照，当裁决器检测到异常执行体后，还由调度模块将异常执行体保留一份现场快照；现场快照包括异常执行体的操作系统状态和应用程序状态；分析中心，接收到裁决器发送的异常执行体信息后，从流量存储器中调取流量记录，同时从执行体快照池取出异常执行体的现场快照；基于异常执行体的现场快照，确定执行体出现问题的地方；基于执行体出现问题的地方和流量记录，进行攻击溯源；调度器，在接收到裁决器发送的异常执行体信息后，将异常的执行体进行重启后继续上线。权利要求书2页说明书4页附图1页 CN 114363048 A 2022.04.15 CN 114363048 A 1.一种拟态未知威胁发现系统，其特征在于，包括：流量存储器，采用时间分段的方式，将分发代理与外部用户的交互数据作为流量记录进行镜像存储；执行体快照池，定时存储在线执行体的快照，当裁决器检测到异常执行体后，还由调度模块将异常执行体保留一份现场快照；现场快照包括异常执行体的操作系统状态和应用程序状态；分析中心，接收到裁决器发送的异常执行体信息后，从流量存储器中调取流量记录，同时从执行体快照池取出异常执行体的现场快照；基于异常执行体的现场快照，确定执行体出现问题的地方；基于执行体出现问题的地方和流量记录，进行攻击溯源；调度器，在接收到裁决器发送的异常执行体信息后，将异常的执行体进行重启后继续上线，不上线新的其它异构执行体。 2.根据权利要求1所述的拟态未知威胁发现系统，其特征在于：采用循环删除的方式对流量存储器进行空间清理，先删除时间节点上最久的文件。 3.根据权利要求1所述的拟态未知威胁发现系统，其特征在于：现场快照存储时，采用基于时间和执行体编号的方式进行记录。 4.根据权利要求1所述的拟态未知威胁发现系统，其特征在于，基于异常执行体的现场快照，确定执行体出现问题的地方的方法：分析中心通过对比异常执行体的当前现场快照状态S1和初始快照状态S0之间的差异性定位引起S1问题的位置和原因。 5.根据权利要求4所述的拟态未知威胁发现系统，其特征在于：对于操作系统问题的确定，分析中心通过对比异常执行体的当前现场快照状态S1和初始快照状态S 0之间的内存使用率、 CPU利用率、进程使用情况和文件系统状态，定位引起S1问题的位置和原因。 6.根据权利要求 4所述的拟态未知威胁发现系统，其特征在于：对于应用程序问题的确定，在应用程序中预设多个代表应用程序运行时的状态，通过拟态裁决发现其中发生异常的状态，然后根据发生异常的状态进一步定位程序异常的原因。 7.根据权利要求4所述的拟态未知威胁发现系统，其特征在于，基于执行体出现问题的地方和流量记录，进行攻击溯源的方法：通过对比S1、 S0的状态，发现引起S1问题的原因为进程P异常造成的；先将S1清洗恢复至正常状态，然后将S1异常前1个小时的流量重新回送到S1，查看S1是否出现异常，若未出现异常，继续回送前2个小时的流量，依次递增，当回送前t小时的流量时， S1上的进程P出现异常，则判定攻击流量在前t小时内，再对t小时内的流量进行分析；对t小时内的流量进行分析的过程：首先，将t小时内的流量与传统规则库进行比对，若能比对出异常数据包，再查看异常数据包开始的时间，利用传统规则库判定攻击发生的时间和攻击手段；若传统规则库无法对比出攻击过程，则进一步的将t小时内的流量进行切分为更小的时间段t={t1、 t2、 ……、 tn}，然后将流量按切分的时间段依次回送至S1，回送至S1前，需要将S1清洗至正常状态；若在两个切分的时间段范围内S1内的进程P异常，则判定该切分的时间段中存在异常权　利　要　求　书 1/2 页 2 CN 114363048 A 2未知攻击，并将该切分的时间段中数据包的交互过程进行展示。权　利　要　求　书 2/2 页 3 CN 114363048 A 3

专利 一种拟态未知威胁发现系统

专利一种拟态未知威胁发现系统