【技术实现步骤摘要】
本专利技术涉及网络安全防御,尤其涉及一种基于攻击吸引力的动态蜜罐调度方法及装置。
技术介绍
1、在网络安全正面临威胁的形势下,网络攻击也从简单、单一的攻击方式转变为复杂化对的优势多样性、持续性的攻击手段。针对新型电力系统的网络攻击是指以破坏或降低电力cps功能为目的,在未经许可情况下对通信系统和控制系统动作进行追踪,利用电力信息通信网络存在的安全缺陷和漏洞对系统进行的攻击。
2、目前,蜜网技术己经演进到第三代,其总体发展趋势由面向单一攻击类型的蜜网向支持多种攻击类型的蜜网发展;由物理蜜网向虚拟蜜网发展;由被动交互的静态蜜网向可以根据攻击自主改变状态、进行主动交互的动态蜜网发展。蜜网的实质是设置带有系统漏洞或陷阱的主机来欺骗攻击者,诱使攻击者进行攻击,通过对攻击行为的监测与分析,阐明攻击者意图与动机,从而及时更新防御策略,达到增强系统防护能力的目的。蜜网不仅提高了对网络攻击数据的捕获能力,而且同时扩大了网络的主动防御范围。但是,随着蜜网与攻击者之间的攻防对抗不断演化升级,传统蜜网体系架构由于存在静态、配置盲目、部署复杂、维护困难以及诱骗性不足等缺陷,可能导致蜜罐被识破而失效的问题。
3、在电力系统网络安全方面,由于电力系统网络的异构性、业务的多样性与拓扑结构的动态性,使得构建的蜜网环境真实度较差,存在电力系统诱饵环境多样性、动态性与真实度问题。
技术实现思路
1、本专利技术的目的在于克服现有技术中的不足,提供一种基于攻击吸引力的动态蜜罐调度方法及装置,解决蜜罐
2、为达到上述目的,本专利技术是采用下述技术方案实现的:
3、第一方面,本专利技术提供了一种基于攻击吸引力的动态蜜罐调度方法,包括:
4、获取各蜜罐的攻击吸引力和可吸引的攻击类型集合;
5、响应于目标网络受到流量攻击,获取所述流量攻击的攻击类型;
6、遍历所有的蜜罐,筛选攻击类型集合中存在所述流量攻击的攻击类型的蜜罐;
7、取筛选出的蜜罐中攻击吸引力最大的蜜罐作为目标蜜罐,将所述流量攻击迁移到目标蜜罐。
8、可选的,所述获取各蜜罐的攻击吸引力包括:
9、获取目标网络的网络日志;
10、对所述网络日志进行特征提取获取目标特征,并根据所述目标特征计算蜜罐的优先度;
11、从目标安全产品中获取真实业务服务的服务类型列表和企业遭受攻击的攻击类型列表;
12、获取各蜜罐可具备的服务类型集合,根据所述服务类型列表、所述攻击类型列表、所述服务类型集合以及所述攻击类型集合,计算蜜罐的相似度评分;
13、根据蜜罐的优先度和相似度评分计算蜜罐的攻击吸引力。
14、可选的,所述对所述网络日志进行特征提取获取目标特征包括:
15、从当前时刻起,在预设的单位时间内,从所述网络日志中查询符合ip_dst=hpotn_ip且port_dst=hpotn_port的日志条数;其中,ip_dst、port_dst为目标ip地址和目标端口号,hpotn_ip、hpotn_port为n号蜜罐ip地址和n号蜜罐端口号;
16、根据日志条数计算单位时间内,n号蜜罐的访问频率:
17、;
18、式中,为从当前时刻起,在预设的单位时间内,符合匹配条件的日志条数;单位时间的单位为分钟;
19、将当前时刻及其对应的访问频率存储于数据库中,将数据库中访问频率的最大值记为历史最高访问频率;
20、将n号蜜罐的访问频率和历史最高访问频率作为目标特征。
21、可选的,所述蜜罐的优先度为:
22、;
23、式中,为n号蜜罐的优先度、当前时刻对应的访问频率以及历史最高访问频率,为预设的n号蜜罐的权重,所述访问频率和所述历史最高访问频率为目标特征。
24、可选的,所述从目标安全产品中获取真实业务服务的服务类型列表和企业遭受攻击的攻击类型列表包括:
25、从资产管理类安全产品中导出真实业务服务的服务类型,并选取优先级最高的m个服务类型,按照优先级由低至高将m个服务类型组成服务类型列表,并按顺序对m个服务类型进行1至m的序号标记;
26、从态势感知类安全产品中导出企业遭受攻击的攻击类型,并选取优先级最高的m个攻击类型,按照优先级由低至高将m个攻击类型组成攻击类型列表,并按顺序对m个攻击类型进行1至m的序号标记。
27、可选的,所述计算蜜罐的相似度评分包括:
28、获取所述服务类型列表和所述服务类型数组的交集元素,对所述交集元素在所述服务类型列表中序号进行求和得到求和结果;
29、获取所述攻击类型列表和所述攻击类型数组的交集元素,对所述交集元素在所述攻击类型列表中序号进行求和得到求和结果;
30、根据求和结果、计算蜜罐的相似度评分:
31、;
32、式中,为n号蜜罐的相似度评分,为服务类型和攻击类型的权重,。
33、可选的,所述蜜罐的攻击吸引力为:
34、;
35、式中,为n号蜜罐的攻击吸引力、优先度以及相似度评分。
36、可选的,所述将所述流量攻击迁移到目标蜜罐包括:
37、获取所述流量攻击的攻击者ip地址和攻击者端口号、目标蜜罐的目标蜜罐ip地址和目标蜜罐端口号;
38、将攻击者ip地址和攻击者端口号发出的攻击流量转发至目标蜜罐ip地址和目标蜜罐端口号。
39、第二方面,本专利技术提供了一种基于攻击吸引力的动态蜜罐调度装置,所述动态蜜罐调度装置包括:
40、信息获取模块,被配置于获取各蜜罐的攻击吸引力和可吸引的攻击类型集合;
41、攻击响应模块,被配置于响应于目标网络受到流量攻击,获取所述流量攻击的攻击类型;
42、蜜罐筛选模块,被配置于遍历所有的蜜罐,筛选攻击类型集合中存在所述流量攻击的攻击类型的蜜罐;
43、攻击迁移模块,被配置于取筛选出的蜜罐中攻击吸引力最大的蜜罐作为目标蜜罐,将所述流量攻击迁移到目标蜜罐。
44、可选的,所述获取各蜜罐的攻击吸引力包括:
45、获取目标网络的网络日志;
46、对所述网络日志进行特征提取获取目标特征,并根据所述目标特征计算蜜罐的优先度;
47、从目标安全产品中获取真实业务服务的服务类型列表和企业遭受攻击的攻击类型列表;
48、获取各蜜罐可具备的服务类型集合,根据所述服务类型列表、所述攻击类型列表、所述服务类型集合以及所述攻击类型集合,计算蜜罐的相似度评分;
49、根据蜜罐的优先度和相似度评分计算蜜罐的攻击吸引力。
50、与现有技术相比,本专利技术所达到的有益效果:
51、本专利技术提供的一种基于攻击本文档来自技高网...
【技术保护点】
1.一种基于攻击吸引力的动态蜜罐调度方法,其特征在于,包括:
2.根据权利要求1所述的基于攻击吸引力的动态蜜罐调度方法,其特征在于,所述获取各蜜罐的攻击吸引力包括:
3.根据权利要求2所述的基于攻击吸引力的动态蜜罐调度方法,其特征在于,所述对所述网络日志进行特征提取获取目标特征包括:
4.根据权利要求2所述的基于攻击吸引力的动态蜜罐调度方法,其特征在于,所述蜜罐的优先度为:
5.根据权利要求2所述的基于攻击吸引力的动态蜜罐调度方法,其特征在于,所述从目标安全产品中获取真实业务服务的服务类型列表和企业遭受攻击的攻击类型列表包括:
6.根据权利要求2所述的基于攻击吸引力的动态蜜罐调度方法,其特征在于,所述计算蜜罐的相似度评分包括:
7.根据权利要求2所述的基于攻击吸引力的动态蜜罐调度方法,其特征在于,所述蜜罐的攻击吸引力为:
8.根据权利要求1所述的基于攻击吸引力的动态蜜罐调度方法,其特征在于,所述将所述流量攻击迁移到目标蜜罐包括:
9.一种基于攻击吸引力的动态蜜罐调度装置,其特征在于,所
10.根据权利要求9所述的基于攻击吸引力的动态蜜罐调度装置,其特征在于,所述获取各蜜罐的攻击吸引力包括:
...【技术特征摘要】
1.一种基于攻击吸引力的动态蜜罐调度方法,其特征在于,包括:
2.根据权利要求1所述的基于攻击吸引力的动态蜜罐调度方法,其特征在于,所述获取各蜜罐的攻击吸引力包括:
3.根据权利要求2所述的基于攻击吸引力的动态蜜罐调度方法,其特征在于,所述对所述网络日志进行特征提取获取目标特征包括:
4.根据权利要求2所述的基于攻击吸引力的动态蜜罐调度方法,其特征在于,所述蜜罐的优先度为:
5.根据权利要求2所述的基于攻击吸引力的动态蜜罐调度方法,其特征在于,所述从目标安全产品中获取真实业务服务的服务类型列表和企业遭受攻击的攻击类...
【专利技术属性】
技术研发人员:李岩,王梓莹,朱道华,黄伟,顾智敏,冒佳明,庄岭,郭静,姜海涛,孙云晓,赵新冬,黄哲忱,
申请(专利权)人:国网江苏省电力有限公司电力科学研究院,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。