本发明专利技术提供了一种基于态势感知的蜜阵阵图变化方法。该方法包括:基于蜜点的响应信息识别攻击者的网络攻击行为;收集攻击者的攻击信息,还原攻击者的攻击链;构建攻击模式库,将攻击者的攻击链与攻击模式库进行态势感知匹配,预测攻击者的下一步攻击行为;根据攻击者的下一步攻击行为进行蜜阵阵图变换。本发明专利技术方法利用蜜阵根据攻击者的交互信息进行态势感知,识别攻击者的攻击意图,预测下一步的攻击行动,根据预测结果动态调整蜜点的部署,进行防御阵图的变换。防御阵图的变换。防御阵图的变换。
【技术实现步骤摘要】
一种基于态势感知的蜜阵阵图变化方法
[0001]本专利技术涉及网络安全
,尤其涉及一种基于态势感知的蜜阵阵图变化方法。
技术介绍
[0002]随着互联网技术的快速发展,网络应用的规模也在日益扩大,改变了人们学习和生活方式,带来了方便和快捷,但也伴随着网络安全隐患。近几年网络攻击事件频发,这给国家造成的损失也是难以估量的,因此国家对网络安全问题的关注也在日益加大。
[0003]针对网络攻击,利用蜜点进行欺骗是常用的主动防御技术,蜜点通常会对真实网络系统的主机和业务进行全方位的模拟,作为陷阱用来检测和抵御未经授权操作或黑客攻击,可以较好地引诱和迷惑攻击者,并与攻击者进行长时间高频次的交互,不仅可以保护真实主机的安全,还可以捕获攻击者的攻击行为。
[0004]部署在一个网络中的所有蜜点和真实主机与业务以及它们的拓扑构成防御阵图。蜜阵是具备对网络中所有蜜点进行管理,控制蜜点网络拓扑进行防御阵图变换等功能的系统。最初的蜜阵防御阵图大多数都是静态配置的,即防御阵图配置好之后不会随着攻击态势而进行改变。这样的蜜阵防御阵图无法在网络态势发生变化时,动态地调整蜜点的属性和拓扑,从而使欺骗攻击者的能力受到了极大限制。
[0005]为了提高蜜阵的欺骗能力,应使蜜阵能够根据网络态势实时地调整自身的属性。因此,蜜阵要根据与攻击者的交互信息进行态势感知,识别攻击者的攻击意图,预测下一步的攻击行动,根据预测结果动态调整蜜点的部署,进行防御阵图的变换。目前,现有技术中还没有一种有效的蜜阵阵图变换方法。
专利技术内容
[0006]本专利技术的实施例提供了一种基于态势感知的蜜阵阵图变化方法,以实现有效地进行网络攻击防御。
[0007]为了实现上述目的,本专利技术采取了如下技术方案。
[0008]一种基于态势感知的蜜阵阵图变化方法,包括:
[0009]基于蜜点的响应信息识别攻击者的网络攻击行为;
[0010]收集攻击者的攻击信息,还原攻击者的攻击链;
[0011]构建攻击模式库,将所述攻击者的攻击链与所述攻击模式库进行态势感知匹配,预测攻击者的下一步攻击行为;
[0012]根据攻击者的下一步攻击行为进行蜜阵阵图变换。
[0013]优选地,所述的基于蜜点的响应信息识别攻击者的网络攻击行为,包括:
[0014]获取蜜点告警信息,根据告警信息判断业务系统是否被攻击,在确定业务系统被攻击后,识别攻击者的网络攻击行为,该网络攻击行为包括识别攻击者IP和攻击者危险等级。
[0015]优选地,所述的收集攻击者的攻击信息,还原攻击者的攻击链,包括:
[0016]收集攻击者的攻击信息,该攻击信息包括攻击者IP所访问过的所有蜜点和真实主机与业务的日志信息,以及攻击者对各个业务和服务器的访问时间,根据所述攻击者的攻击信息构建攻击者的攻击链。
[0017]优选地,所述的构建攻击模式库,将所述攻击者的攻击链与所述攻击模式库进行态势感知匹配,预测攻击者的下一步攻击行为,包括:
[0018]对历史网络攻击流量进行数据提取,提取攻击者IP所访问过的所有蜜点和真实主机与业务的日志信息,以及攻击者对各个业务和服务器的访问时间,构建攻击者的攻击链,利用关联规则学习算法中的先验算法,基于提取到的攻击者的攻击链识别攻击模式,构建攻击模式库,所述攻击模式是指攻击者在攻击时采用的具体步骤以及对业务网络的攻击行为;
[0019]利用支持度、信息水准和提升度对攻击模式库中的攻击模式进行筛选,所述支持度是指模式M的支持度就是该模式M出现的总次数除以所有模式出现的总次数;所述信息水准是指模式M1推出模式M2的信息水准就是既出现模式M1又出现模式M2的总数除以所有出现模式M1的总数;所述提升度是指模式M1到模式M2的提升度就是模式M1到模式M2的信心水准除以M2的支持度。
[0020]通过关联规则算法将所述攻击者的攻击链与所述攻击模式库进行态势感知匹配,提取所述攻击模式库中与所述攻击者的攻击链匹配的攻击模式,根据提取的攻击模式预测攻击者的下一步攻击行为。
[0021]优选地,所述的根据攻击者的下一步攻击行为进行蜜阵阵图变换,包括:
[0022]对攻击者下一步或几步要访问的服务器或者业务部署蜜点,保护攻击者接下来想要访问的真实服务器或者业务,对攻击者下一步或几步不进行访问的服务器或者业务已经部署的蜜点进行撤销。
[0023]由上述本专利技术的实施例提供的技术方案可以看出,本专利技术方法利用蜜阵根据攻击者的交互信息进行态势感知,识别攻击者的攻击意图,预测下一步的攻击行动,根据预测结果动态调整蜜点的部署,进行防御阵图的变换。
[0024]本专利技术附加的方面和优点将在下面的描述中部分给出,这些将从下面的描述中变得明显,或通过本专利技术的实践了解到。
附图说明
[0025]为了更清楚地说明本专利技术实施例的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本专利技术的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
[0026]图1为本专利技术提供的一种基于关联规则学习的态势感知方法的处理流程图;
[0027]图2为本专利技术提供的一种基于态势感知的蜜阵阵图变化方法的一种优选实施例的流程图。
具体实施方式
[0028]下面详细描述本专利技术的实施方式,所述实施方式的示例在附图中示出,其中自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过参考附图描述的实施方式是示例性的,仅用于解释本专利技术,而不能解释为对本专利技术的限制。
[0029]本
技术人员可以理解,除非特意声明,这里使用的单数形式“一”、“一个”、“所述”和“该”也可包括复数形式。应该进一步理解的是,本专利技术的说明书中使用的措辞“包括”是指存在所述特征、整数、步骤、操作、元件和/或组件,但是并不排除存在或添加一个或多个其他特征、整数、步骤、操作、元件、组件和/或它们的组。应该理解,当我们称元件被“连接”或“耦接”到另一元件时,它可以直接连接或耦接到其他元件,或者也可以存在中间元件。此外,这里使用的“连接”或“耦接”可以包括无线连接或耦接。这里使用的措辞“和/或”包括一个或更多个相关联的列出项的任一单元和全部组合。
[0030]本
技术人员可以理解,除非另外定义,这里使用的所有术语(包括技术术语和科学术语)具有与本专利技术所属领域中的普通技术人员的一般理解相同的意义。还应该理解的是,诸如通用字典中定义的那些术语应该被理解为具有与现有技术的上下文中的意义一致的意义,并且除非像这里一样定义,不会用理想化或过于正式的含义来解释。
[0031]为便于对本专利技术实施例的理解,下面将结合附图以几个具体实施例为例做进一步的解释说明,且各个实施例并不构成对本专利技术实施例的限定。
[0032]本专利技术实施例提供了一种基于关联规则学习的态势感知方法,用于解决现有技术中存在的如本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种基于态势感知的蜜阵阵图变化方法,其特征在于,包括:基于蜜点的响应信息识别攻击者的网络攻击行为;收集攻击者的攻击信息,还原攻击者的攻击链;构建攻击模式库,将所述攻击者的攻击链与所述攻击模式库进行态势感知匹配,预测攻击者的下一步攻击行为;根据攻击者的下一步攻击行为进行蜜阵阵图变换。2.根据权利要求1所述的方法,其特征在于,所述的基于蜜点的响应信息识别攻击者的网络攻击行为,包括:获取蜜点告警信息,根据告警信息判断业务系统是否被攻击,在确定业务系统被攻击后,识别攻击者的网络攻击行为,该网络攻击行为包括识别攻击者IP和攻击者危险等级。3.根据权利要求2所述的方法,其特征在于,所述的收集攻击者的攻击信息,还原攻击者的攻击链,包括:收集攻击者的攻击信息,该攻击信息包括攻击者IP所访问过的所有蜜点和真实主机与业务的日志信息,以及攻击者对各个业务和服务器的访问时间,根据所述攻击者的攻击信息构建攻击者的攻击链。4.根据权利要求1、2或者3所述的方法,其特征在于,所述的构建攻击模式库,将所述攻击者的攻击链与所述攻击模式库进行态势感知匹配,预测攻击者的下一步攻击行为,包括:对历史网络攻击流量进行数据提取,提取攻击者IP所访问过的所有蜜点和...
【专利技术属性】
技术研发人员:李夫兵,宋廷一,
申请(专利权)人:软极网络技术北京有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。