(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111615565.7 (22)申请日 2021.12.28 (71)申请人 中孚安全技 术有限公司 地址 250101 山东省济南市高新区经十路 7000号汉峪金谷A1- 5号楼24层 (72)发明人 苗功勋　崔新安　张跃龙　李言非　 杨青鹏　 (74)专利代理 机构 济南舜源专利事务所有限公 司 37205 代理人 赵阳 (51)Int.Cl. H04L 9/40(2022.01) G06N 3/04(2006.01) G06N 3/08(2006.01) (54)发明名称 一种基于主机防御的网络攻击溯源与反制 系统 (57)摘要 本发明提出的一种基于主机防御的网络攻 击溯源与反制系统， 属于网络安全技术领域。 包 括： 零信任模块， 用于根据策略确定业务流量的 信任度， 根据信任度判断攻击流量， 并将攻击流 量发送至蜜罐模块； 蜜罐模块， 用于引诱攻击流 量的发送端进行数据交互， 生 成攻击者信息反馈 给统一数据安全管理平台； 反制模块， 用于当攻 击流量触发蜜饵后， 探测发现相应的攻击者环境 并获取攻击者信息上报至统一数据安全管理平 台； 统一数据安全管理平台， 用于将攻击者信息 作为训练数据输入到预设深度学习模 型中， 并将 生成的策略下 发至零信任模块。 本发 明能够有效 提升对网络流量攻击的识别率， 通过对已知攻击 流量进行诱捕欺骗， 不断优化识别策略， 并进行 精准反制。 权利要求书2页 说明书6页 附图2页 CN 113992444 A 2022.01.28 CN 113992444 A 1.一种基于主机防御的网络攻击溯源与反制系统， 其特 征在于， 包括： 零信任模块， 用于读取业务流量， 根据统一数据安全管理平台下发的策略确定业务流 量的信任度， 根据信任度判断业 务流量是否为 攻击流量， 并将攻击流 量发送至蜜罐模块； 蜜罐模块， 用于通过预先部署的蜜饵引诱攻击流量的发送端进行数据交互， 获取攻击 流量的发送端的意图、 分析攻击流量的发送端的攻击方式和特征信息， 并生成攻击者信息 反馈给统一数据安全管理平台； 反制模块， 用于当攻击流量触发蜜饵后， 主动向攻击流量的发送端进行探测， 发现相应 的攻击者环境并获取攻击者信息上报至统一数据安全管理平台； 统一数据安全管理平台， 用于将上报的攻击者信 息作为训练数据输入到预设深度 学习 模型中进行训练， 并将生成的策略下发至零信任 模块。 2.根据权利要求1所述的基于主机防御的网络攻击溯源与反制系统， 其特征在于， 所述 零信任模块包括： 策略决策点， 用于对业务流量进行等级的划分， 根据业务的重要性以及统一数据安全 管理平台下发的策略分成不同的等级， 相同的等级之间具有相同的信任度； 策略执行点， 用于启动、 监控和终止资源间的连接 。 3.根据权利要求2所述的基于主机防御的网络攻击溯源与反制系统， 其特征在于， 所述 策略决策点包括： 策略引擎， 用于根据所述策略确定访问权限； 策略管理员， 用于生成访问的令牌或凭证， 进行资源间的通信。 4.根据权利要求3所述的基于主机防御的网络攻击溯源与反制系统， 其特征在于， 所述 根据信任度判断业 务流量是否为 攻击流量， 并将攻击流 量发送至蜜罐模块， 包括： 将信任度高于预设阈值的业务流量初步认定为正常流量， 将信任度低于预设阈值的业 务流量初步认定为 攻击流量， 将攻击流 量引诱至蜜罐之中， 使攻击流 量的发送端触发蜜饵 。 5.根据权利要求4所述的基于主机防御的网络攻击溯源与反制系统， 其特征在于，  所 述系统还 包括： 主机监控模块， 用于读取初步认定为正常流量的业务流量， 对相应的进程、 网络、 文件 和驱动进行实时监控， 发现可疑行为后进行处 理。 6.根据权利要求1所述的基于主机防御的网络攻击溯源与反制系统， 其特征在于，  所 述反制模块具体用于： 当攻击流量触发蜜饵时， 在蜜饵中部署溯源链接程序， 攻击流量的发送端获取蜜饵中 的数据时将溯源链接程序注入到攻击流量的发送端的网络环境中， 建立一条反向链接， 对 攻击流量的发送端的网络环境进行检测， 获取攻击者的信息并回传， 将攻击者的信息上报 给统一数据安全管理模块， 进行 策略再优化。 7.根据权利要求6所述的基于主机防御的网络攻击溯源与反制系统， 其特征在于， 所述 反制模块还用于： 根据攻击者信息绘画攻击者画像， 并进行攻击信息展示。 8.根据权利要求1所述的基于主机防御的网络攻击溯源与反制系统， 其特征在于， 所述 统一数据安全管理平台具体用于： 获取上报的攻击者信 息作为原始训练数据， 通过原始训练数据和带训练 的原始学习 模权　利　要　求　书 1/2 页 2 CN 113992444 A 2型进行构建转换层， 将原始训练数据进行数据转换， 并将转换后的数据填充到原始数据中 构建训练数据； 将训练数据对原始数据模型进行训练， 得到学习模型， 将构建的转换层插入到得到的 深度学习模型的输入层后进行训练， 并将生成的策略下发至零信任 模块。权　利　要　求　书 2/2 页 3 CN 113992444 A 3