一种基于蜜洞的攻击溯源方法技术

本发明专利技术提供了一种基于蜜洞的攻击溯源方法。该方法包括：将蜜洞系统部署于近入侵侧的真实网络中，通过蜜洞系统中的数据采集模块对客户端的数据流量和操作日志进行采集，通过蜜洞系统中的行为分析模块对数据采集模块存储的原始数据进行解析和抽取，生成描述该用户访问特征的访问基线和操作链路，判断用户的风险等级，攻击溯源模块根据接收到的告警信息和用户访问数据信息向可疑用户释放木马类溯源认证工具，根据可疑用户返回的信用凭据决定是否允许该可疑用户访问网络。本发明专利技术方法可以实现在攻击者接近攻击目标前拦截其访问，避免对于被保护系统不可逆的远程操作，通过自动化索要身份证明，保障了合法用户的正常访问，提升了出现攻击后溯源的能力。出现攻击后溯源的能力。出现攻击后溯源的能力。

【技术实现步骤摘要】
一种基于蜜洞的攻击溯源方法


[0001]本专利技术涉及网络安全监测
，尤其涉及一种基于蜜洞的攻击溯源方法。

技术介绍

[0002]随着互联网技术的发展，网络安全隐患出现在越来越多的应用场景中。近年来，互联网行业中网络攻击事件频繁发生，给企业乃至国家都带来了极大的损失和负面影响，网络安全也因此备受重视。
[0003]为防范网络攻击，蜜点、蜜网和蜜罐等系统通过对真实目标的克隆和对攻击者的诱导，欺骗攻击者对虚假目标进行攻击，一方面使攻击者远离真实目标，另一方面通过与攻击者的交互分析其攻击手段。然而，这些系统均被部署在“近保护对象侧”，攻击者可以长期、慢速、持续的对保护对象进行探测从而积累足够多的有效情报，而无需担心溯源风险。此外，无论是服务白名单还是威胁情报系统，都不能草率地直接拦截可疑攻击，以免错误拦截合法用户访问。这增加了攻击者渗透至被保护对象进行破坏的风险，易导致攻击者对被保护对象造成不可逆的破坏。如何将网络攻防的战场移动到近入侵侧，在攻击者接近被保护对象前将其拦截，越来越成为网络安全的焦点。
[0004]蜜网是一种故意设计成有漏洞，引诱攻击者攻击，从而捕获攻击者行为的一种主动安全防御系统，它是由多个蜜罐和网络分析系统一起组成的一个具有诱捕网络攻击功能的仿真网络。其中蜜罐被定义为“一种虚假的、具备吸引性和诱骗性的资源，其价值在于被探测、被攻击甚至被攻陷”。通过在蜜网中部署没有攻击价值的服务器、主机和其他资源来诱骗攻击者，捕获攻击者对目标网络的攻击行为并提供给网络管理人员进行研究分析，判断入侵者的攻击方法、策略与目的，从而更新自身防御措施，保护真实的网络资源。
[0005]蜜罐系统存在着仿真度与可控性之间的矛盾问题，在部署中因缺少真实业务而容易被入侵者识别，因此在实际构建蜜罐系统的过程中，构建者经常会在蜜罐中增加多种虚假面包屑信息和蜜饵数据或文件，以增强蜜罐系统的吸引力，引入蜜标技术增加系统的追踪溯源能力。蜜标技术就是在构建的陷阱网络中通过脚本捆绑或标识嵌入等技术部署各种虚假业务信息，增加蜜罐系统的业务真实性，引诱入侵者触碰或攻击，以便实现对入侵者追踪溯源。从概念上来说，蜜标就是蜜罐的延伸和改进，蜜标文件不仅仅是一种信息资源，更多的时候是用于诱捕非法入侵者的信息实体或资源，包含有用于跟踪攻击者的诱饵的数字数据，包括虚假电子邮件地址、用户账户、数据库信息和虚假程序等，是一种合法访问都不会去访问的资源，因此任何访问者都是潜在的非法入侵者。
[0006]上述现有技术中的基于蜜点、蜜网和蜜罐的攻击溯源方法的缺点为：
[0007]1、对攻击者入侵响应不够及时，可能会导致攻击者对被保护对象进行渗透后才发现其攻击行为，对被保护对象造成不可逆的损坏。
[0008]2、对攻击者溯源难度高。由于防御系统只能获取攻击者的攻击手段和攻击时间等信息，对攻击者的身份认证工作难度大、耗时长，攻击溯源效率低。

技术实现思路

[0009]本专利技术的实施例提供了一种基于蜜洞的攻击溯源方法，以实现有效地对对可疑用户进行拦截和攻击溯源。
[0010]为了实现上述目的，本专利技术采取了如下技术方案。
[0011]一种基于蜜洞的攻击溯源方法，包括：
[0012]将蜜洞系统部署于近入侵侧的真实网络中，该蜜洞系统包括数据采集模块、行为分析模块、安全系统和攻击溯源模块；
[0013]通过蜜洞系统中的数据采集模块对客户端的数据流量和操作日志进行采集，将采集的一段时间内的原始数据进行存储；
[0014]通过蜜洞系统中的行为分析模块对数据采集模块存储的原始数据进行解析和抽取，生成描述该用户访问特征的访问基线和操作链路，判断用户的风险等级，当根据用户的风险等级判断检测到可疑用户，将告警信息和用户访问数据信息发送给蜜洞系统中的攻击溯源模块；
[0015]所述攻击溯源模块根据接收到的告警信息和用户访问数据信息向可疑用户释放木马类溯源认证工具，根据可疑用户返回的信用凭据决定是否允许该可疑用户访问网络。
[0016]优选地，所述的将蜜洞系统部署于近入侵侧的真实网络中，该蜜洞系统包括数据采集模块、行为分析模块、安全系统和攻击溯源模块，包括；
[0017]将蜜洞系统中的数据采集模块和行为分析模块部署于近客户端的网络接口，该蜜洞系统包括数据采集模块、行为分析模块、安全系统和攻击溯源模块，用户访问被保护系统的流量数据经过蜜洞系统的数据采集模块，实现对流量数据的实时采集和分析；
[0018]蜜洞系统中的安全系统部署于内网服务器与外界通信的接口，内网服务器通过安全系统来进行域名
‑
地址映射，用户经过安全系统访问内网服务器，安全系统通过添加用户IP实现对特定用户的访问拦截；
[0019]蜜洞系统中的攻击溯源模块部署于服务器端内网，与内网服务器共享接口，仅与蜜洞进行通信，用户IP无法访问该模块。
[0020]优选地，所述的通过蜜洞系统中的数据采集模块对客户端的数据流量和操作日志进行采集，将采集的一段时间内的原始数据进行存储，包括；
[0021]蜜洞系统中的数据采集模块对客户端的数据流量和操作日志进行监控，使用数据流量探针和操作日志探针对用户的数据流量和操作日志进行采集，对一段时间内的访问和操作数据进行存储，具体操作包括：
[0022]蜜洞系统中的数据采集模块检测用户在客户端收发的流量数据，使用数据流量探针对经过数据采集模块的所有类型的用户数据流量进行采集；
[0023]数据采集模块检测客户端日志，使用操作日志探针对用户操作行为和用户操作信息进行采集，用户操作信息包括：客户端信息、事件信息和用户信息；
[0024]数据采集模块将采集到的流量数据和操作日志进行存储，根据可能发生的网络攻击生命周期设置时间节点，保存时间节点内的用户访问和操作数据。
[0025]优选地，所述的通过蜜洞系统中的行为分析模块对数据采集模块存储的原始数据进行解析和抽取，生成描述该用户访问特征的访问基线和操作链路，当根据用户的风险等级判断检测到可疑用户，将告警信息和用户访问数据信息发送给蜜洞系统中的攻击溯源模
块，包括；
[0026]蜜洞系统中的行为分析模块对数据采集模块存储的用户访问和操作数据进行解析，提取其中的结构化和非结构化数据，所述结构化数据包括：访问时间、用户IP、目标IP、目标端口和用户操作系统信息，所述非结构化数据包括：请求报文、响应报文和操作行为；
[0027]根据事件发生的时间节点，依托现有的结构化和非结构化数据，将用户的访问整理为访问基线和操作链路，所述访问基线为访问时间和数据流量曲线，描述了用户在各个时间节点与内网服务器连接产生的数据流量大小，所述操作链路为时间和操作行为列表，描述了用户通过客户端在各个时间点与内网服务器交互产生的行为信息；
[0028]根据用户访问基线和操作链路通过与开放的威胁数据之间的接口和现有的威胁数据库进行匹配，根据匹配结果判断此用户访问行为的威胁程度，并将威胁程度划分为低危、中危和高本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于蜜洞的攻击溯源方法，其特征在于，包括：将蜜洞系统部署于近入侵侧的真实网络中，该蜜洞系统包括数据采集模块、行为分析模块、安全系统和攻击溯源模块；通过蜜洞系统中的数据采集模块对客户端的数据流量和操作日志进行采集，将采集的一段时间内的原始数据进行存储；通过蜜洞系统中的行为分析模块对数据采集模块存储的原始数据进行解析和抽取，生成描述该用户访问特征的访问基线和操作链路，判断用户的风险等级，当根据用户的风险等级判断检测到可疑用户，将告警信息和用户访问数据信息发送给蜜洞系统中的攻击溯源模块；所述攻击溯源模块根据接收到的告警信息和用户访问数据信息向可疑用户释放木马类溯源认证工具，根据可疑用户返回的信用凭据决定是否允许该可疑用户访问网络。2.根据权利要求1所述的方法，其特征在于，所述的将蜜洞系统部署于近入侵侧的真实网络中，该蜜洞系统包括数据采集模块、行为分析模块、安全系统和攻击溯源模块，包括；将蜜洞系统中的数据采集模块和行为分析模块部署于近客户端的网络接口，该蜜洞系统包括数据采集模块、行为分析模块、安全系统和攻击溯源模块，用户访问被保护系统的流量数据经过蜜洞系统的数据采集模块，实现对流量数据的实时采集和分析；蜜洞系统中的安全系统部署于内网服务器与外界通信的接口，内网服务器通过安全系统来进行域名
‑
地址映射，用户经过安全系统访问内网服务器，安全系统通过添加用户IP实现对特定用户的访问拦截；蜜洞系统中的攻击溯源模块部署于服务器端内网，与内网服务器共享接口，仅与蜜洞进行通信，用户IP无法访问该模块。3.根据权利要求1或者2所述的方法，其特征在于，所述的通过蜜洞系统中的数据采集模块对客户端的数据流量和操作日志进行采集，将采集的一段时间内的原始数据进行存储，包括；蜜洞系统中的数据采集模块对客户端的数据流量和操作日志进行监控，使用数据流量探针和操作日志探针对用户的数据流量和操作日志进行采集，对一段时间内的访问和操作数据进行存储，具体操作包括：蜜洞系统中的数据采集模块检测用户在客户端收发的流量数据，使用数据流量探针对经过数据采集模块的所有类型的用户数据流量进行采集；数据采集模块检测客户端日志，使用操作日志探针对用户操作行为和用户操作信息进行采集，用户操作信息包括：客户端信息、事件信息和用户信息；数据采集模块将采集到的流量数据和操作日志进行存储，根据可能发生的网络攻击生命周期设置时间节点，保存时间节点内的用户访问和操作数据。4.根据权利要求3所述的方法，其特征在于，...

【专利技术属性】
技术研发人员：郑志彬，方滨兴，孙成浩，
申请(专利权)人：软极网络技术北京有限公司，
类型：发明
国别省市：