(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210929074.8 (22)申请日 2022.08.03 (71)申请人 国家电网公司华中分部 地址 430077 湖北省武汉市洪山区徐 东大 街107号 (72)发明人 成凯　王强　吴湛　谈林涛　 肖冬玲　邹澄澄　 (74)专利代理 机构 北京壹川鸣知识产权代理事 务所(特殊普通 合伙) 11765 专利代理师 黄成钦 (51)Int.Cl. H04L 9/40(2022.01) (54)发明名称 一种基于智能响应式威胁感知和动态网络 变换技术的主动防御系统 (57)摘要 本发明属于主动防御技术领域， 公开了一种 基于智能响应式威胁感知和动态网络变换技术 的主动防御系统， 其特征在于， 该系统具体包括： 威胁感知模块依据新的规则库， 实时识别与处理 网络攻击威胁信息； 智能响应模块对网络攻击威 胁信息进行智能响应， 并控制虚假网络元素模块 和网络环境模块进行工作； 虚假网络元素模块， 在网络设备控制面动态虚拟网络的各种网络元 素， 增大虚假网络元素的数量； 特征分析模块， 与 数据库和规则库连接， 用于基于马尔柯夫过程学 习模型对数据库中的网络攻击威胁信息进行相 关特征分析， 构建合适的规则库， 并自动更新规 则库； 本发 明增加攻击者网络探测和网络节点渗 透的难度， 有效抵御针对目标网络的恶意攻击， 提升目标网络的存活率。 权利要求书3页 说明书7页 附图2页 CN 115361177 A 2022.11.18 CN 115361177 A 1.一种基于智能响应式威胁感知和动态网络变换技术的主动防御系统， 其特征在于， 所述基于智能响应式威胁感知和动态网络变换技 术的主动防御系统包括： 所述威胁感知模块， 与智能响应模块、 数据库、 规则库连接， 用于依据新的规则库， 实时 识别与处理网络攻击威胁信息， 如果判断为网络攻击威胁信息， 则将网络攻击威胁信息发 送至智能响应模块和数据库， 否则认为是正常信息则放行； 所述智能响应模块， 与虚假网络元素模块、 虚假信息添加模块连接， 用于对 网络攻击威 胁信息进行智能响应， 并控制虚假网络元 素模块和网络环境模块进行工作； 所述虚假网络元素模块， 与网络环境模块连接， 用于在网络设备控制面动态虚拟网络 的各种网络元 素， 增大虚假网络元 素的数量； 所述网络环境模块， 用于形成所需的各种动态网络环境； 所述流量控制模块， 与网络环境模块连接， 用于根据网络环境发送的环境信息进而控 制流量走向； 所述虚假信息添加 模块， 用于以时间为轴线， 根据配置的动态变化时间间隔Tnext， 动态 随机在真实信息中加入虚假信息， 应对外 部攻击； 所述数据库， 用于存 储威胁感知模块识别与处 理的网络攻击威胁信息； 所述特征分析模块， 与数据库和规则库连接， 用于基于马尔柯夫过程学习模型对数据 库中的网络攻击威胁信息进行相关特 征分析， 构建合 适的规则库， 并自动更新 规则库； 所述规则库， 用于存 储特征分析模块特 征分析的特 征分析结果。 2.如权利要求1所述的基于智能响应式威胁感知和动态网络变换技术的主动防御系 统， 其特征在于， 所述威胁感知模块， 用于依据新的规则库， 实时识别与处理网络攻击威胁 信息具体包括： 步骤一： 终端将待检测网络攻击威胁信息发送至服 务端； 步骤二： 服务端接收待检测网络攻击威胁信 息， 并根据服务端存储的规则库， 对所述待 检测网络攻击威胁信息进行比较分析， 并反馈比较分析的结果； 步骤三： 终端接收服务端反馈的比较分析结果， 并根据所述比较分析结果显示相应的 提示信息， 以提 示用户所述待检测信息为虚假信息或者真实信息 。 3.如权利要求1所述的基于智能响应式威胁感知和动态网络变换技术的主动防御系 统， 其特征在于， 所述网络元 素具体包括终端， 工作站， 传输介质， 交换机 。 4.如权利要求1所述的基于智能响应式威胁感知和动态网络变换技术的主动防御系 统， 其特征在于， 所述动态网络环 境具体包括： 仿 真网络环境、 攻击识别环境、 攻击取证 分析 环境。 5.如权利要求1所述的基于智能响应式威胁感知和动态网络变换技术的主动防御系 统， 其特征在于， 所述动态变化时间间隔Tnext会根据攻击强度和攻击持续的时间动态调整， 具体如下： 其中： pattack为攻击强度， thold为攻击强度持续的时间， tperiod为中真实信 息间单次网络权　利　要　求　书 1/3 页 2 CN 115361177 A 2访问的平均时长， tmix为真实信息间单次网络访问可接受的最小时长 。 6.如权利要求1所述的基于智能响应式威胁感知和动态网络变换技术的主动防御系 统， 其特征在于， 所述特征分析模块基于马尔柯夫过程学习模型对网络攻击威胁信息进行 相关特征分析具体包括： (1)建立网络攻击威胁信息马尔柯夫 过程学习模型； (2)对网络攻击威胁信息采样， 得到特 征向量， 确定模型 各初始参数； (3)反复迭代训练马尔柯夫过程学习模型， 根据 给定样本个数， 对于每条网络攻击威胁 都产生一个具有不同参数马尔柯夫 过程学习模型， 一共m个， m≥1； (4)对待网络攻击威胁信息采样， 得到特 征向量； (5)将待网络攻击威胁信息的特征向量分割， 对所有马尔柯夫过程学习模型递进地计 算最大相似度， 同时排除相似度最小的马尔柯夫 过程学习模型， 最后得到识别结果。 7.如权利要求6所述的基于智能响应式威胁感知和动态网络变换技术的主动防御系 统， 其特征在于， 所述建立网络攻击威胁信息马尔柯夫 过程学习模型 具体包括： 1)隐含状态的数目N， 状态集为S＝{s1,s2,s3}， 分别对应告警时间、 告警类型、 告警时 限； 2)观察序列的数目M， 观察序列集为V＝{v1,v2,...,vm}， m≥1， 对于告警信息马尔柯夫 过程学习模型， 观察序列集 为信息采样窗口得到的特 征值； 3)状态转移矩阵A， A＝{aij}， aij＝P[qt+1＝sj|qt＝si]， 1≤i,j≤N， 其中qt为在时刻t的 状态， A为 N×N的方阵， 行和列都对应所有的状态， 表示状态之间转移的概 率； 4)观察序列概率矩阵B， B＝{bj(k)}， bj(k)＝P[vt at t|qt＝sj]， 1≤j≤N， 1≤k≤M， 即 表示在时刻t， 隐含状态为sj下观察值为vt的概率； 连续型HMM的B通过一个连续的函数得到 观察序列 与状态的关系， 常用的是混合高斯 概率密度函数； 5)初始状态分布概率∏＝{ πi}， πi＝P{s1＝qi}， 其中1≤i≤N， 则对于告警信息马尔柯夫 过程学习模型， 总有 π1＝1。 8.如权利要求1所述的基于智能响应式威胁感知和动态网络变换技术的主动防御系 统， 其特征在于， 所述自动更新 规则库包括： 用户运行更新算法， 输入私钥SK、 查询 索引x、 待更新数据v ′， 用户首先利用私钥SK产 生 一个操作授权token为t ′x， 然后将(t ′x， v′)发送给终端； 终端使用v ′更新在索引x中的相关 数据， 并利用t ′x更新公钥PK； 规则库更新操作方法中令数据库为 其中1≤x≤q， lx≥0表示在存储格索引x中的数据记录数目； 在 上的三种 更新操作包括： 替代： 终端想将 替换为v′x， 则 lx保持不变； 删除： 终端想删除 则 lx仍保持不变； 插入： 终端想在 前面插入一个新的记录 则 lx 加一。 9.一种计算机可读存储介质， 存储有计算机程序， 所述计算机程序被处理器执行时， 使 得所述处理器执行如权利要求 1‑7所述基于智能响应式威胁感知和动态网络变换技术的主权　利　要　求　书 2/3 页 3 CN 115361177 A 3