(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210929056.X (22)申请日 2022.08.03 (71)申请人 国家电网公司华中分部 地址 430077 湖北省武汉市洪山区徐 东大 街107号 (72)发明人 成凯　吴湛　王强　任牧　魏晓燕　 姚渭箐　 (74)专利代理 机构 北京壹川鸣知识产权代理事 务所(特殊普通 合伙) 11765 专利代理师 黄成钦 (51)Int.Cl. H04L 9/40(2022.01) H04L 41/14(2022.01) (54)发明名称 一种虚拟信息的网络伪装方法 (57)摘要 本发明属于网络伪装技术领域， 公开了一种 虚拟信息的网络伪装方法， 其特征在于， 该方法 具体包括： 在网络设备控制面动态虚拟网络元 素， 增大虚假网络元素的数量， 增大攻击者的攻 击面， 通过一小一大增加攻击者攻击的难度， 并 形成所需的各种动态网络环境， 并依据环境所需 控制流量走向； 以时间为轴线， 根据配置的动态 变化时间间隔Tnext， 动态随机在真实信息中加入 虚假信息， 应对外部攻击； 基于马尔柯夫过程学 习模型对网络攻击威胁进行相关特征分析， 构建 合适的规则库， 并自动更新规则库； 依据新的规 则库， 对网络攻击威胁进行识别。 本发明打破目 前网络各要素的静态性、 确定性和相似性的缺 陷， 增加攻击者网络探测和网络节点渗透的难 度， 有效抵御针对目标网络的恶意攻击， 提升目 标网络的存活率。 权利要求书2页 说明书5页 附图2页 CN 115296902 A 2022.11.04 CN 115296902 A 1.一种虚拟信息的网络伪装方法， 其特 征在于， 所述虚拟信息的网络伪装方法包括： S1： 在网络设备控制面动态虚拟网络元素， 增大虚假网络元素的数量， 增大攻击者的攻 击面， 通过一小一大增加攻击者攻击的难度， 并形成所需的各种动态网络环境， 并依据环 境 所需控制流 量走向； S2： 以时间为轴线， 根据配置的动态变化时间间隔Tnext， 动态随机在真实信息中加 入虚 假信息， 应对外 部攻击； S3： 基于马尔柯夫过程学习模型对网络攻击威胁进行相关特征分析， 构建合适的规则 库， 并自动更新 规则库； S4： 依据新的规则库， 对网络攻击威胁进行识别。 2.如权利要求1所述的虚拟信息的网络伪装方法， 其特征在于， 所述步骤S1网络元素具 体包括服务器， 工作站， 传输介质， 交换机 。 3.如权利要求1所述的虚拟信息的网络伪装方法， 其特征在于， 所述步骤S1动态网络环 境具体包括： 仿真网络环境、 攻击识别环境、 攻击取证分析环境。 4.如权利要求1所述的虚拟信息的网络伪装方法， 其特征在于， 所述步骤S2动态变化 时 间间隔Tnext会根据攻击强度和攻击持续的时间动态调整， 具体如下： 其中： pattack为攻击强度， thold为攻击强度持续的时间， tperiod为中真实信 息间单次网络 访问的平均时长， tmix为真实信息间单次网络访问可接受的最小时长 。 5.如权利要求1所述的虚拟信息的网络伪装方法， 其特征在于， 所述步骤S3基于马尔柯 夫过程学习模型对网络攻击威胁信息进行相关特 征分析具体包括： (1)建立网络攻击威胁信息马尔柯夫 过程学习模型； (2)对网络攻击威胁信息采样， 得到特 征向量， 确定模型 各初始参数； (3)反复迭代训练马尔柯夫过程学习模型， 根据 给定样本个数， 对于每条网络攻击威胁 都产生一个具有不同参数马尔柯夫 过程学习模型， 一共m个， m≥1； (4)对待网络攻击威胁信息采样， 得到特 征向量； (5)将待网络攻击威胁信息的特征向量分割， 对所有马尔柯夫过程学习模型递进地计 算最大相似度， 同时排除相似度最小的马尔柯夫 过程学习模型， 最后得到识别结果。 6.如权利要求5所述的虚拟信 息的网络伪装方法， 其特征在于， 所述建立网络攻击威胁 信息马尔柯夫 过程学习模型 具体包括： 1)隐含状态的数目N， 状态集为S＝{s1,s2,s3}， 分别对应告警时间、 告警类型、 告警时 限； 2)观察序列的数目M， 观察序列集为V＝{v1,v2,...,vm}， m≥1， 对于告警信息马尔柯夫 过程学习模型， 观察序列集 为信息采样窗口得到的特 征值； 3)状态转移矩阵A， A＝{aij}， aij＝P[qt+1＝sj|qt＝si]， 1≤i,j≤N， 其中qt为在时刻t的 状态， A为 N×N的方阵， 行和列都对应所有的状态， 表示状态之间转移的概 率； 4)观察序列概率矩阵B， B＝{bj(k)}， bj(k)＝P[vt at t|qt＝sj]， 1≤j≤N， 1≤k≤M， 即权　利　要　求　书 1/2 页 2 CN 115296902 A 2表示在时刻t， 隐含状态为sj下观察值为vt的概率； 连续型HMM的B通过一个连续的函数得到 观察序列 与状态的关系， 常用的是混合高斯 概率密度函数； 5)初始状态分布概率∏＝{ πi}， πi＝P{s1＝qi}， 其中1≤i≤N， 则对于告警信息马尔柯夫 过程学习模型， 总有 π1＝1。 7.如权利要求1所述的虚拟信息的网络伪装方法， 其特征在于， 所述步骤S4中依据新的 规则库， 对网络攻击威胁进行识别具体包括： (1)客户端将待检测网络攻击威胁信息发送至服 务端； (2)服务端接收待检测网络攻击威胁信息， 并根据服务端存储的规则库， 对所述待检测 网络攻击威胁信息进行比较分析， 并反馈比较分析的结果； (3)客户端接收服务端反馈的比较分析结果， 并根据所述比较分析结果显示相应的提 示信息， 以提 示用户所述待检测信息为虚假信息或者真实信息 。 8.一种计算机设备， 其特征在于， 所述计算机设备包括存储器和处理器， 所述存储器存 储有计算机程序， 所述计算机程序被所述处理器执行时， 使得所述处理器执行如权利要求 1‑7所述虚拟信息的网络伪装方法。 9.一种计算机可读存储介质， 存储有计算机程序， 所述计算机程序被处理器执行时， 使 得所述处理器执行如权利要求1 ‑7所述虚拟信息的网络伪装方法。 10.一种虚拟信息的网络伪装设备， 其特征在于， 所述基于动态网络的防御终端用于实 现如权利要求1 ‑7所述的虚拟信息的网络伪装方法。权　利　要　求　书 2/2 页 3 CN 115296902 A 3