【技术实现步骤摘要】
本专利技术涉及网络安全,尤其涉及一种内部网络威胁狩猎方法、系统、存储介质及电子设备。
技术介绍
1、随机云计算技术的发展,企业或组织逐渐认识到将it资源迁移到云中的优势。云计算为企业提供了按需使用的资源,无需投入昂贵的硬件和基础设施。云原生架构作为云计算的前沿技术,旨在利用云环境的弹性和可扩展性实现软件开发和运营的协作。随着云原生架构与应用的普及,高级网络威胁行为者将攻击目标锁定为云上设备,威胁行为者在入侵企业/组织的本地内部网络后,会查找本地存储的云凭据,尝试使用本地内部网络的终端设备访问云上主机以建立云上立足点,再通过扫描探测云上主机的脆弱性进行大规模的横向移动,从而实现更大规模、更深层次的信息窃取与破坏活动。
2、目前,针对云原生应用的安全技术主要分为两类:关注容器安全、关注访问控制策略。关注容器安全的技术主要目标是确保容器内的安全性,例如检测容器镜像是否存在已知漏洞、恶意软件或不正确的配置,容器运行时是否存在恶意行为等;关注访问控制策略的技术通过对api访问权限的精细控制,确保每个用户、服务账户只能访问所需的资源,减少权限滥用的风险。
3、在云平台/云主机内,威胁行为者更倾向于使用被盗用/受损的云凭据来建立初始立足点并使用立足点主机内已有的运维工具进行侦查和横向移动,在行为上与良性用户相同。威胁行为者的目的是横向移动至更多的主机直到获取集群管理员权限,而非在单一云主机节点内进行破坏活动。现有的针对云原生场景的安全技术关注于单一云主机节点(容器)内的安全性以及该容器镜像的安全性,而未关注云集群中多节
技术实现思路
1、本专利技术的目的在于提供一种内部网络威胁狩猎方法、系统、存储介质及电子设备,旨在解决传统安全技术因无法及时无法及时感知并实时狩猎威胁行为者在云原生场景的威胁行为和攻击路径,导致云集群管理员账户失陷进而使得整个云集群失陷的问题。
2、第一方面,本专利技术提供一种内部网络威胁狩猎系统,应用于云原生集群,所述系统包括:
3、蜜标,部署在云原生集群的独立节点或业务节点上,用于当攻击者触发一节点上的蜜标时,记录下踩蜜节点的节点信息,并根据节点信息向预警模块发送一预警信息;
4、预警模块,用于将预警信息转发至投递模块;
5、投递模块,用于从载荷库中调取出与预警信息对应的蜜洞程序,并将蜜洞程序和踩蜜节点的位置信息发送给云原生集群中的管理组件,以使管理组件根据位置信息将蜜洞程序发送至踩蜜节点,并使踩蜜节点接收并运行蜜洞程序;
6、关联分析模块,用于接收并分析蜜洞程序回传的运行信息,并根据运行信息生成本次威胁狩猎的攻击路径;
7、载荷库,用于储存多种蜜洞程序。
8、进一步地,所述预警信息包括系统类型、版本、架构、踩蜜节点的位置、被触发蜜标的网络位置、攻击者网络信息。
9、进一步地,所述蜜标为模拟的web服务器、数据库服务器、文件服务器,或为模拟的服务和端口,或为部署在正常业务节点上的文件、数据库条目、密钥、密码口令,或为伪造的vpn配置文件;
10、当蜜标模拟多个服务或开放多个端口时,所述预警信息还包括攻击者访问的服务或端口;
11、当蜜标为文件型蜜标时,所述预警信息还包括攻击者访问的具体文件或资源的路径。
12、进一步地,所述投递模块用于根据系统类型、版本以及架构从载荷库调取相匹配的蜜洞程序。
13、进一步地,所述运行信息包括踩蜜节点的日志信息、历史操作记录以及集群的组件日志、网关的历史记录。
14、进一步地,所述关联分析模块还用于:
15、根据踩蜜节点的日志信息、历史操作记录以及集群的组件日志、网关的历史记录,寻找踩蜜节点是否存在来自其他节点的访问行为;
16、若踩蜜节点存在来自其他节点的访问行为,则将该其他节点也标记为踩蜜节点,并对新标记的踩蜜节点重复进行蜜洞程序投递和关联分析过程,以判断新标记的踩蜜节点是否存在来自其他节点的访问行为,不断重复,直至新标记的踩蜜节点不存在其他节点的访问,此时将该其他节点定义为初始立足点;
17、若第一个投递蜜洞程序的踩蜜节点不存在来自其他节点的访问行为,则将该第一个投递蜜洞程序的节点标记为初始立足点;
18、从第一个被投递蜜洞程序的踩蜜节点到初始立足点之间的所有踩蜜节点组成的链路作为此次威胁狩猎的攻击路径。
19、第二方面,本专利技术提供一种内部网络威胁狩猎方法,应用于云原生集群,所述方法包括:
20、当攻击者触发一节点上的蜜标时,记录下踩蜜节点的节点信息,并根据节点信息发送一预警信息;
21、将预警信息进行转发;
22、从载荷库中调取出与预警信息对应的蜜洞程序,并将蜜洞程序和踩蜜节点的位置信息发送给云原生集群中的管理组件,以使管理组件根据位置信息将蜜洞程序发送至踩蜜节点,并使踩蜜节点接收并运行蜜洞程序,所述载荷库储存有多种蜜洞程序;
23、接收并分析蜜洞程序回传的运行信息,并根据运行信息生成本次威胁狩猎的攻击路径。
24、进一步地,所述接收并分析蜜洞程序回传的运行信息,并根据运行信息生成本次威胁狩猎的攻击路径的步骤包括:
25、根据踩蜜节点的日志信息、历史操作记录以及集群的组件日志、网关的历史记录,寻找踩蜜节点是否存在来自其他节点的访问行为;
26、若踩蜜节点存在来自其他节点的访问行为,则将该其他节点也标记为踩蜜节点,并对新标记的踩蜜节点重复进行蜜洞程序投递和关联分析过程,以判断新标记的踩蜜节点是否存在来自其他节点的访问行为,不断重复,直至新标记的踩蜜节点不存在其他节点的访问,此时将该其他节点定义为初始立足点;
27、若第一个投递蜜洞程序的踩蜜节点不存在来自其他节点的访问行为,则将该第一个投递蜜洞程序的节点标记为初始立足点;
28、从第一个被投递蜜洞程序的踩蜜节点到初始立足点之间的所有踩蜜节点组成的链路作为此次威胁狩猎的攻击路径。
29、第三方面,本专利技术提供一种存储介质,所述存储介质存储一个或多个程序,该程序被处理器执行时实现上述的内部网络威胁狩猎方法。
30、第四方面,本专利技术提供一种电子设备,所述电子设备包括存储器和处理器,其中:
31、所述存储器用于存放计算机程序;
32、所述处理器用于执行存储器上所存放的计算机程序时,实现上述的内部网络威胁狩猎方法。
33、与现有技术相比,本专利技术具有如下优点:
34、1.根据上述的内部网络威胁狩猎系统,在云原生集群内攻击正在发生的进行时,通过本文档来自技高网...
【技术保护点】
1.一种内部网络威胁狩猎系统,应用于云原生集群,其特征在于,所述系统包括:
2.根据权利要求1所述的内部网络威胁狩猎系统,其特征在于,所述预警信息包括系统类型、版本、架构、踩蜜节点的位置、被触发蜜标的网络位置、攻击者网络信息。
3.根据权利要求2所述的内部网络威胁狩猎系统,其特征在于,所述蜜标为模拟的Web服务器、数据库服务器、文件服务器,或为模拟的服务和端口,或为部署在正常业务节点上的文件、数据库条目、密钥、密码口令,或为伪造的VPN配置文件;
4.根据权利要求2所述的内部网络威胁狩猎系统,其特征在于,所述投递模块用于根据系统类型、版本以及架构从载荷库调取相匹配的蜜洞程序。
5.根据权利要求3所述的内部网络威胁狩猎系统,其特征在于,所述运行信息包括踩蜜节点的日志信息、历史操作记录以及集群的组件日志、网关的历史记录。
6.根据权利要求5所述的内部网络威胁狩猎系统,其特征在于,所述关联分析模块还用于:
7.一种内部网络威胁狩猎方法,应用于云原生集群,其特征在于,所述方法包括:
8.根据权利要求7所述
9.一种存储介质,其特征在于,所述存储介质存储一个或多个程序,该程序被处理器执行时实现如权利要求7-8任一项所述的内部网络威胁狩猎方法。
10.一种电子设备,所述电子设备包括存储器和处理器,其中:
...【技术特征摘要】
1.一种内部网络威胁狩猎系统,应用于云原生集群,其特征在于,所述系统包括:
2.根据权利要求1所述的内部网络威胁狩猎系统,其特征在于,所述预警信息包括系统类型、版本、架构、踩蜜节点的位置、被触发蜜标的网络位置、攻击者网络信息。
3.根据权利要求2所述的内部网络威胁狩猎系统,其特征在于,所述蜜标为模拟的web服务器、数据库服务器、文件服务器,或为模拟的服务和端口,或为部署在正常业务节点上的文件、数据库条目、密钥、密码口令,或为伪造的vpn配置文件;
4.根据权利要求2所述的内部网络威胁狩猎系统,其特征在于,所述投递模块用于根据系统类型、版本以及架构从载荷库调取相匹配的蜜洞程序。
5.根据权利要求3所述的内部网络威胁狩猎...
【专利技术属性】
技术研发人员:田志宏,杨佳庚,鲁辉,刘园,孙彦斌,苏申,李默涵,
申请(专利权)人:广州大学,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。