CN103634264A - 一种基于行为分析的主动诱捕方法 - Google Patents
一种基于行为分析的主动诱捕方法 Download PDFInfo
- Publication number
- CN103634264A CN103634264A CN201210295419.5A CN201210295419A CN103634264A CN 103634264 A CN103634264 A CN 103634264A CN 201210295419 A CN201210295419 A CN 201210295419A CN 103634264 A CN103634264 A CN 103634264A
- Authority
- CN
- China
- Prior art keywords
- behavior
- analysis
- network
- entrapping
- program
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种基于行为分析的主动诱捕方法,包括:步骤101:通过整个防御系统组成主动诱捕引擎,接收来自网络的程序行为;步骤102:监控进程动作行为,捕获危险动作;步骤103:依据行为算法库进行计算;步骤104:获取程序行为的算法参数值;步骤105:将获取到的程序行为的算法参数进行特征分析;步骤106:将分析的结果进行判断,判断结果为是,则转入步骤107;判断结果为否,则返回步骤103;步骤107:对行为的危险系数进行分析和计算;步骤108:将恶意行为分类统计。本发明能防止网络主机被恶意代码入侵、攻击及破坏,实现能够精准发现已知和未知的攻击行为,把握全网安全态势,提高网络安全水平。
Description
技术领域
本发明具体涉及一种基于行为分析的主动诱捕方法,用于网络上的PC终端、服务器、工作站进行主动、高效、系统级的安全防御。
背景技术
如今随着网络技术的广泛应用,网络攻击事件层出不穷,网络安全成为当今研究热点和社会关注的焦点,现有网络安全技术以防火墙(firewall)和入侵检测系统(IDS)为核心的防御技术通常滞后于各种各样的攻击技术。蜜罐技术作为一种新的网络安全技术,逐渐受到人们的关注。它采取主动的方式,用其特有的特征吸引攻击者,同时对攻击者的各种攻击行为进行分析并找到有效的对付方法。
传统的诱捕系统将诱捕系统上的所有操作的反馈给用户,在海量的数据中分析真正的攻击行为。而当前出现非特征式的未知攻击对现有安全防御体系形成了严重威胁。未知攻击就是未知威胁,是指尚未被发现的具有未知特征同时对信息系统存在潜在威胁的活动类型。未知威胁可能是由未知的病毒、木马、黑客引起,或者是一种对资源的非法滥用。
虽然蜜罐技术在网络防火墙、入侵检测系统等安全措施的配合下,能弥补原有被动安全防御的不足,但仍然具有一些无法克服的缺点:传统的诱捕系统将诱捕系统上的所有操作的反馈给用户,用户需在海量的数据中分析真正的攻击行为,大大降低了发现攻击的概率及及时性。
发明内容
为解决上述问题,本发明提供一种基于行为分析的主动诱捕方法,能在海量的数据中准确、及时的定位攻击行为,无论是对特征码式已知攻击,还是对潜在威胁的未知攻击。
为实现上述技术目的,达到上述技术效果,本发明通过以下技术方案实现:
一种基于行为分析的主动诱捕方法,在制定的网络区域中构建诱捕系统,包括以下步骤:
步骤101:在网络防御体系中的事前防御建立主动诱捕系统,在计算机所包含的若干系统中建立行为检测引擎、分析引擎,通过整个防御系统组成主动诱捕引擎,接收来自网络的程序行为;
步骤102:监控进程动作行为,捕获危险动作;
步骤103:依据行为算法库进行计算;
步骤104:获取程序行为的算法参数值;
步骤105:将获取到的程序行为的算法参数进行特征分析;
步骤106:将分析的结果进行判断,判断结果为是,则转入步骤107;判断结果为否,则返回步骤103;
步骤107:对行为的危险系数进行分析和计算;
步骤108:将恶意行为分类统计。
进一步的,所述计算机所包含的若干系统包括:操作系统内核系统、后台服务系统、应用程序、通信系统、账号系统及文件系统。
进一步的,所述恶意行为包括:进程创建、线程创建、文件操作、网络操作、注册表操作、堆栈操作、线程注入、高级持续性威胁攻击,以及用户账号的操作。
进一步的,通过钩子技术来获得所述程序行为,获取途径包括:截获系统服务分配表、截获可移植的执行体、截获系统服务的软件终端。
本发明的有益效果是:
本发明能主动对运行在计算机系统上的程序行为进行目标欺骗、攻击捕获、攻击控制、攻击分析与特征提取,从而防止网络主机被恶意代码入侵、攻击及破坏。同时通过行为分析技术,实现能够精准发现已知和未知的攻击行为,把握全网安全态势,提高网络安全水平。
附图说明
图1是本发明的一种基于行为分析的主动诱捕方法的一种实施例的流程图;
图2是基于图1的本发明基于行为分析的主动诱捕方法实施例的组成图。
具体实施方式
本发明实施例提供了一种基于行为分析主动诱捕的方法及系统,以解决现有传统的诱捕系统需在海量的数据中分析真正的攻击行为的技术缺陷,主要用于网络上的PC终端、服务器、工作站进行主动、高效、系统级的安全防御。
为使本发明的目的、技术方案、及优点更加清楚明白,以下参照附图并举实施例,对本发明进一步详细说明。
计算机所包含的若干系统包括:操作系统内核系统、后台服务系统、应用程序、通信系统、账号系统及文件系统。
本发明所防御的一些恶意行为包括:进程创建、线程创建、文件操作、网络操作、注册表操作、堆栈操作、线程注入、高级持续性威胁攻击(APT攻击),以及用户账号的操作,通过钩子技术来获得程序行为,获取途径包括:截获系统服务分配表(SSDT)、截获可移植的执行体(HOOK PE)、截获系统服务的软件终端(HOOK INT 2E)。
结合图1的一种基于行为分析的主动诱捕方法实施例的流程图。
步骤101:接收来自网络的程序行为;
步骤102:监控进程动作行为,捕获危险动作;
步骤103:依据行为算法库进行计算;
步骤104:获取程序行为的算法参数值;
步骤105:将获取到的程序行为的算法参数进行特征分析;
步骤106:将分析的结果进行判断,判断结果为是,则转入步骤107;判断结果为否,则返回步骤103;
步骤107:对行为的危险系数进行分析和计算;
步骤108:将恶意行为分类统计。
通过以上实施例的流程描述,对来自网络的攻击行为进行了行为分析,将同一程序多个异常行为与行为算法库进行匹配,获取其算法参数值进行分析和计算,最后将恶意行为分类统计,大大提高了发现攻击的概率及及时性。本发明采用行为分析的方法,提供了行为分析的主动诱捕系统。
结合图2的一种基于行为分析的主动诱捕方法实施例的组成图。
行为分析主动诱捕系统是一个基于行为的主动诱捕方案,它包括主动诱捕系统服务端软件专用硬件平台、GMC、控制台、专用安全硬件平台组成。
如图2的201为主动诱捕系统服务端软件专用硬件平台,部署真实的办公环境,通过系统漏洞、SQL漏洞、账号漏洞、web漏洞等,诱捕来自网络的攻击行为。通过行为算法库及安全规则,准确预警恶意行为的危害程度,应急处理恶意行为。
如图2的202为GMC数据采集平台,它完成从主动诱捕系统服务端软件专用硬件平台发送过来的数据的采集,存储。
如图2的203为控制台,它完成对GMC中数据的分析,实施监控恶意行为,记录到安全档案,同时在预警地图上实时呈现恶意行为的动态。
以上对本发明实施例所提供的一种基于行为分析的主动诱捕方法及系统进行了详细介绍,以上实施例的说明只是用于帮助理解本发明的方法及其思想;同时,对于本领域的一般技术人员,依据本发明的思想,在具体实施方式及应用范围上会有改变之处,综上所述,本说明书内容不应理解对本发明的限制。
Claims (4)
1.一种基于行为分析的主动诱捕方法,其特征在于,在制定的网络区域中构建诱捕系统,包括以下步骤:
步骤101:在网络防御体系中的事前防御建立主动诱捕系统,在计算机所包含的若干系统中建立行为检测引擎、分析引擎,通过整个防御系统组成主动诱捕引擎,接收来自网络的程序行为;
步骤102:监控进程动作行为,捕获危险动作;
步骤103:依据行为算法库进行计算;
步骤104:获取程序行为的算法参数值;
步骤105:将获取到的程序行为的算法参数进行特征分析;
步骤106:将分析的结果进行判断,判断结果为是,则转入步骤107;判断结果为否,则返回步骤103;
步骤107:对行为的危险系数进行分析和计算;
步骤108:将恶意行为分类统计。
2.根据权利要求1所述的基于行为分析的主动诱捕方法,其特征在于:所述计算机所包含的若干系统包括:操作系统内核系统、后台服务系统、应用程序、通信系统、账号系统及文件系统。
3.根据权利要求1所述的基于行为分析的主动诱捕方法,其特征在于:所述恶意行为包括:进程创建、线程创建、文件操作、网络操作、注册表操作、堆栈操作、线程注入、高级持续性威胁攻击,以及用户账号的操作。
4.根据权利要求1所述的基于行为分析的主动诱捕方法,其特征在于:通过钩子技术来获得所述程序行为,获取途径包括:截获系统服务分配表、截获可移植的执行体、截获系统服务的软件终端。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210295419.5A CN103634264A (zh) | 2012-08-20 | 2012-08-20 | 一种基于行为分析的主动诱捕方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210295419.5A CN103634264A (zh) | 2012-08-20 | 2012-08-20 | 一种基于行为分析的主动诱捕方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN103634264A true CN103634264A (zh) | 2014-03-12 |
Family
ID=50214897
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201210295419.5A Pending CN103634264A (zh) | 2012-08-20 | 2012-08-20 | 一种基于行为分析的主动诱捕方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103634264A (zh) |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104104587A (zh) * | 2014-04-18 | 2014-10-15 | 天津大学 | 一种认证邮件协议的后一致性分析方法 |
| CN106921608A (zh) * | 2015-12-24 | 2017-07-04 | 华为技术有限公司 | 一种检测终端安全状况方法、装置及系统 |
| CN107851155A (zh) * | 2015-07-24 | 2018-03-27 | 比特梵德知识产权管理有限公司 | 用于跨越多个软件实体跟踪恶意行为的系统及方法 |
| CN108768989A (zh) * | 2018-05-18 | 2018-11-06 | 刘勇 | 一种采用拟态技术的apt攻击防御方法、系统 |
| WO2019140876A1 (zh) * | 2018-01-22 | 2019-07-25 | 深圳市联软科技股份有限公司 | 一种防网络攻击的幻影设备建立的方法、介质及设备 |
| WO2021129201A1 (zh) * | 2019-12-26 | 2021-07-01 | 中科信息安全共性技术国家工程研究中心有限公司 | 一种基于Linux主机的入侵检测方法及装置 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101252445A (zh) * | 2008-04-09 | 2008-08-27 | 田大新 | 用于wlan的集成化网络安全管理方法 |
| CN102035855A (zh) * | 2010-12-30 | 2011-04-27 | 江苏省电力公司 | 网络安全事件关联分析系统 |
| US7990866B2 (en) * | 2004-07-29 | 2011-08-02 | Ntt Docomo, Inc. | Server device, method for controlling a server device, and method for establishing a connection using the server device |
| CN102567661A (zh) * | 2010-12-31 | 2012-07-11 | 北京奇虎科技有限公司 | 基于机器学习的程序识别方法及装置 |
-
2012
- 2012-08-20 CN CN201210295419.5A patent/CN103634264A/zh active Pending
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7990866B2 (en) * | 2004-07-29 | 2011-08-02 | Ntt Docomo, Inc. | Server device, method for controlling a server device, and method for establishing a connection using the server device |
| CN101252445A (zh) * | 2008-04-09 | 2008-08-27 | 田大新 | 用于wlan的集成化网络安全管理方法 |
| CN102035855A (zh) * | 2010-12-30 | 2011-04-27 | 江苏省电力公司 | 网络安全事件关联分析系统 |
| CN102567661A (zh) * | 2010-12-31 | 2012-07-11 | 北京奇虎科技有限公司 | 基于机器学习的程序识别方法及装置 |
Cited By (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104104587A (zh) * | 2014-04-18 | 2014-10-15 | 天津大学 | 一种认证邮件协议的后一致性分析方法 |
| CN104104587B (zh) * | 2014-04-18 | 2017-12-26 | 天津大学 | 一种认证邮件协议的后一致性分析方法 |
| CN107851155A (zh) * | 2015-07-24 | 2018-03-27 | 比特梵德知识产权管理有限公司 | 用于跨越多个软件实体跟踪恶意行为的系统及方法 |
| CN106921608A (zh) * | 2015-12-24 | 2017-07-04 | 华为技术有限公司 | 一种检测终端安全状况方法、装置及系统 |
| CN106921608B (zh) * | 2015-12-24 | 2019-11-22 | 华为技术有限公司 | 一种检测终端安全状况方法、装置及系统 |
| US10735374B2 (en) | 2015-12-24 | 2020-08-04 | Huawei Technologies Co., Ltd. | Method, apparatus, and system for detecting terminal security status |
| US11431676B2 (en) | 2015-12-24 | 2022-08-30 | Huawei Technologies Co., Ltd. | Method, apparatus, and system for detecting terminal security status |
| WO2019140876A1 (zh) * | 2018-01-22 | 2019-07-25 | 深圳市联软科技股份有限公司 | 一种防网络攻击的幻影设备建立的方法、介质及设备 |
| CN108768989A (zh) * | 2018-05-18 | 2018-11-06 | 刘勇 | 一种采用拟态技术的apt攻击防御方法、系统 |
| WO2021129201A1 (zh) * | 2019-12-26 | 2021-07-01 | 中科信息安全共性技术国家工程研究中心有限公司 | 一种基于Linux主机的入侵检测方法及装置 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103581104A (zh) | 一种基于行为捕捉的主动诱捕方法 | |
| JP7167240B2 (ja) | コンピュータネットワーク及びシステムのプロテクションのためのリアクティブ及びプリエンプティブセキュリティシステム | |
| US10721249B2 (en) | Method for web application layer attack detection and defense based on behavior characteristic matching and analysis | |
| CN103634264A (zh) | 一种基于行为分析的主动诱捕方法 | |
| CN107046543A (zh) | 一种面向攻击溯源的威胁情报分析系统 | |
| CN108353088B (zh) | 高级持续性威胁检测 | |
| WO2018099206A1 (zh) | 一种apt检测方法、系统及装置 | |
| CN110851834B (zh) | 融合多特征分类的安卓恶意应用检测方法 | |
| CN104850780A (zh) | 一种高级持续性威胁攻击的判别方法 | |
| CN109302426A (zh) | 未知漏洞攻击检测方法、装置、设备及存储介质 | |
| CN103679026A (zh) | 一种云计算环境下的恶意程序智能防御系统及防御方法 | |
| CN113422771A (zh) | 威胁预警方法和系统 | |
| CN109672671A (zh) | 基于智能行为分析的安全网关及安全防护系统 | |
| TWI407328B (zh) | 網路病毒防護方法及系統 | |
| JP2006506853A5 (zh) | ||
| CN102457495A (zh) | 网络病毒防护方法及系统 | |
| CN110855697A (zh) | 电力行业网络安全的主动防御方法 | |
| CN108768917A (zh) | 一种基于网络日志的僵尸网络检测方法及系统 | |
| CN103957205A (zh) | 一种基于终端流量的木马检测方法 | |
| CN112788008A (zh) | 一种基于大数据的网络安全动态防御系统及方法 | |
| CN110401638B (zh) | 一种网络流量分析方法及装置 | |
| CN108965210A (zh) | 基于场景式攻防模拟的安全试验平台 | |
| CN107241338A (zh) | 网络防攻击装置、系统和方法,可读介质和存储控制器 | |
| CN115134166B (zh) | 一种基于蜜洞的攻击溯源方法 | |
| CN118337540B (zh) | 一种基于物联网的网络入侵攻击识别系统及方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C02 | Deemed withdrawal of patent application after publication (patent law 2001) | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20140312 |