(19)国家知识产权局 (12)发明 专利 (10)授权公告 号 (45)授权公告日 (21)申请 号 202210888014.6 (22)申请日 2022.07.27 (65)同一申请的已公布的文献号 申请公布号 CN 115065551 A (43)申请公布日 2022.09.16 (73)专利权人 军事科学院系统工程研究院网络 信息研究所 地址 100141 北京市丰台区大成路13号院 (72)发明人 杨林　王雯　马琳茹　 (74)专利代理 机构 中国和平利用军工技 术协会 专利中心 1 1215 专利代理师 周玄 (51)Int.Cl. H04L 9/40(2022.01) H04L 41/16(2022.01)审查员 吕源 (54)发明名称 一种伴生式网络构建与共同演化方法 (57)摘要 本发明提出一种伴生式网络构建与共同演 化方法， 属于网络安全技术领域。 所述方法用于 为业务网络构建对应的伴生网络， 其中所述伴生 网络的构建基于控制器来实现， 所述控制器包括 网络状态同步模块、 资源调度模块和安全控制模 块。 所述伴生网络和所述业务网络通过共同演化 来抵御网络中的各类攻击 。 权利要求书2页 说明书12页 附图2页 CN 115065551 B 2022.10.28 CN 115065551 B 1.一种伴 生式网络构建与共同演化方法， 其特 征在于： 所述方法用于为业务网络构建对应的伴生网络， 所述伴生网络和所述业务网络通过共 同演化来抵御网络中的各类攻击， 其中所述伴生网络的构建基于控制器来实现， 所述控制 器包括网络状态同步模块、 资源调度模块和安全 控制模块； 所述方法包括： 步骤S1、 调用所述网络状态同步模块， 用于通过状态感知节点采集所述业务网络的业 务网络状态信息， 并基于所述业务网络状态信息实现所述业务网络与所述伴生网络的状态 同步； 步骤S2、 调用所述资源调度模块， 用于根据所述业务网络和所述伴生网络共享的物理 资源， 以虚拟化切片资源的方式为所述业务网络和所述伴生网络分配网络 资源以及建立隔 离环境； 步骤S3、 调用所述安全控制模块， 用于实现所述伴生网络和所述业务网络的共同演化， 通过将各类攻击引导至所述 伴生网络来 提升所述 业务网络的安防御能力。 2.根据权利要求1所述的一种伴生式网络构建与共同演化方法， 其特征在于， 所述网络 状态同步模块包括网络状态采集子模块、 网络状态整合子模块和网络状态同步子模块； 所 述步骤S1具体包括： 调用所述网络状态采集子模块， 用于根据 所述业务网络状态信 息的采集粒度和采集频 率， 通过所述状态感知节点对所述业务网络的业务网络状态进行循环监听， 来采集所述业 务网络状态信息； 其中， 所述业务网络状态信息至少包括所述业务网络的拓扑关系、 所述业务网络包含 的各个设备的设备状态、 所述 业务网络的业 务应用及资源使用情况； 调用所述网络状态整合子模块， 用于整合所述业务网络状态信息， 以形成所述业务网 络基于全局一 致的网络状态视图； 调用所述网络状态同步子模块， 用于利用所述全局一致的网络状态视图实现所述业务 网络与所述 伴生网络的状态同步； 其中， 基于所述业务网络的拓扑关系构建所述伴生网络， 并将所述业务网络包含的各 个设备的设备状态、 所述 业务网络的业 务应用及资源使用情况同步至所述 伴生网络。 3.根据权利要求2所述的一种伴生式网络构建与共同演化方法， 其特征在于， 所述资源 调度模块包括网络状态评估子模块、 弹性资源 决策子模块、 网络资源调度子模块和 地址空 间管理子模块； 所述 步骤S2具体包括： 调用所述网络状态评估子模块， 用于基于所述业务网络状态信 息对所述业务网络的网 络状态进行评估， 评估结果包括所述业务网络的繁忙程度、 所述业务网络包含的各个设备 的重要度和脆弱度； 其中， 所述重要度由重要度权 重来表征， 所述 脆弱度由设备受网络攻击的频次来表征； 调用所述弹性资源决策子模块， 用于根据所述评估结果， 从所述共享的物理资源中动 态调整所述 伴生网络的网络切片， 以确保所述 业务网络的正常运行； 调用所述网络资源调度子模块， 用于在所述伴生网络获得的网络切片中， 依据所述全 局一致的网络状态视图， 配置所述伴生网络中各个虚拟机对多个网元设备的模拟以及所述 隔离环境；权　利　要　求　书 1/2 页 2 CN 115065551 B 2其中， 所述多个网元设备与所述业务网络中的各个设备对应， 所述多个网元设备以虚 拟机为载体； 调用所述地址空间管理子模块， 用于为所述业务网络和所述伴生网络分配不同的地址 空间， 并维护所述各个设备在所述业务网络中的地址和所述各个虚拟机在所述伴生网络中 的地址之间的映射关系。 4.根据权利要求3所述的一种伴生式网络构建与共同演化方法， 其特征在于， 所述安全 控制模块包括行为分析子模块、 状态欺骗子模块和转发决策子模块； 所述 步骤S3具体包括： 调用所述行为分析子模块， 用于在攻击引导过程中分析攻击流量信 息并记录攻击流量 行为； 调用所述状态欺骗子模块， 用于基于所述攻击流量信 息确定攻击引导策略并对攻击者 进行欺骗； 调用所述转发决策子模块， 用于配置转发策略以限制攻击流量的转发范围， 确保所述 业务网络和所述 伴生网络之间的隔离 。 5.根据权利要求4所述的一种伴生式网络构建与共同演化方法， 其特征在于， 所述伴生 网络通过蜜 罐诱骗模式获取经引导的攻击流量， 其中： 所述攻击者从所述业务网络的地址A 向所述伴生网络的地址B发送攻击流量， 所述业务网络的虚拟机在接收到所述攻击流量后， 调用所述转 发决策子模块配置转 发规则， 使得所述攻击流量只能从所述伴生网络恢复所述 攻击者， 而不允许 所述攻击流量与所述 业务网络进行其 他交互。 6.根据权利要求4所述的一种伴生式网络构建与共同演化方法， 其特征在于， 所述伴生 网络通过攻击引流模式获取经引导的攻击流量， 其中： 所述行为分析子模块在检测到所述 攻击者要从所述业务网络的地址A发起针对所述业务网络的地址C的攻击时， 调用所述状态 欺骗子模块在所述伴生网络构造与所述地址C处的网络设备 的相似度高于预设阈值， 且地 址为C’的网元设备， 调用所述转 发决策子模块配置转 发规则， 使 得攻击流量从所述地址C被 转发至所述地址C ’， 且所述攻击流量只能从所述伴生网络恢复所述攻击者， 而不允许所述 攻击流量与所述 业务网络进行其 他交互。 7.根据权利要求4所述的一种伴生式网络构建与共同演化方法， 其特征在于， 所述伴生 网络通过攻防训练模式实现所述共同演化， 其中： 在所述伴生网络中构造若干攻击样本， 所 述攻击样本被注入到所述伴生网络以执行攻防测试， 调用所述转 发决策子模块配置转发规 则， 使得对所述 攻击样本的转发被限制在所述 伴生网络内， 而不能被转发至所述 业务网络。权　利　要　求　书 2/2 页 3 CN 115065551 B 3