CN105915536A - 用于网络靶场的攻击行为实时跟踪分析方法 - Google Patents

用于网络靶场的攻击行为实时跟踪分析方法 Download PDF

Info

Publication number
CN105915536A
CN105915536A CN201610351616.2A CN201610351616A CN105915536A CN 105915536 A CN105915536 A CN 105915536A CN 201610351616 A CN201610351616 A CN 201610351616A CN 105915536 A CN105915536 A CN 105915536A
Authority
CN
China
Prior art keywords
attack
chain
judge
kill
behavior
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201610351616.2A
Other languages
English (en)
Inventor
赵象元
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Chongqing Dongjian Information Technology Co Ltd
Original Assignee
Chongqing Dongjian Information Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Chongqing Dongjian Information Technology Co Ltd filed Critical Chongqing Dongjian Information Technology Co Ltd
Priority to CN201610351616.2A priority Critical patent/CN105915536A/zh
Publication of CN105915536A publication Critical patent/CN105915536A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer And Data Communications (AREA)

Abstract

本发明公开了一种用于网络靶场的攻击行为实时跟踪分析方法,包括以下步骤:数据收集;数据分析;判断攻击行为是否是攻击杀伤链的第一步;判断攻击行为是否是攻击杀伤链的第二步,记录并计分;判断攻击行为是否是攻击杀伤链的第三步,记录并计分;判断攻击行为是否是攻击杀伤链的第四步,记录并计分;判断攻击行为是否是攻击杀伤链的第五步,记录并计分;判断攻击行为是否是攻击杀伤链的第六步,记录并计分;判断攻击行为是否是攻击杀伤链的第七步,阻断攻击,或记录并计分,结束。通过本发明,能判断是否为攻击行为的效率高,能跟踪攻击行为过程,判断是否为攻击行为的准确率高。

Description

用于网络靶场的攻击行为实时跟踪分析方法
技术领域
本发明涉及一种网络靶场的入侵检测技术,尤其涉及一种用于网络靶场的攻击行为实时跟踪分析方法。
背景技术
信息安全的重要性已经提升至国家战略层面,在中国信息化发展战略中,已将“构建可信、可管、可控的网络空间”列入信息安全发展的总体目标。中国设立了国家安全委员会,完善国家安全体制和国家安全战略,确保国家安全。为此,努力培养信息安全专业人才,成为国家安全战略的主力保障是当前国家安全战略层面非常紧迫的任务和要求。
信息安全人才除了要掌握大量理论知识外,更注重的是实践动手能力。但是很多信息安全方面的实践具有强大的破坏性,所以只有通过虚拟机或仿真平台来进行学习和训练。同样,加深理解和提高实际应用操作能力也是主要途径。因此建设专门用来学习和提高信息安全实际应用操作能力的网络靶场就显得非常重要。
网络靶场,是一个基于云计算架构的网络安全对抗战实验平台,可以实现模拟网络攻防对抗场景、记录网络攻防行为、提供大型实战网络攻防训练、支持网络安全事件复盘、为安全产品提供测试展示平台等功能。
网络靶场一个重要的功能就是要直观的给客户展示出整个动态攻击过程,因此需要对攻击行为实时跟踪分析,如何判断某个网络行为是否是攻击行为已是网络靶场的核心技术之一,即网络靶场需要具有入侵检测的功能。
传统的入侵检测技术的核心问题是如何截获所有的网络信息,通过对数据的分析来判断是否是入侵行为。传统的入侵检测技术分为异常检测和误用检测两大类。
异常检测的工作原理是指收集一段时期正常操作活动的历史数据,建立代表用户、主机或网络连接的正常行为库,将收集到的事件相关数据和正常行为库进行比较,如果该行为在正常值范围之外时,则判定是入侵行为,否则是正常行为。异赏检测的优点是可检测到未知的入侵和更为复杂的入侵;缺点是误报、漏报率高,且不适应用户正常行为的突然改变。
误用检测又称基于特征码的检测,是指对不正常的行为进行建模,即建立已知的入侵行为特征库,将收集到的事件相关数据和该入侵行为特征库进行比较,如果该行为在特征库中,则判定是入侵行为,否则是正常行为。误用检测的优点是检测准确率高,缺点是无法检测到从未出现过的攻击手段,特征库需要不断升级。
总之,无论是异常检测还是误用检测,传统的入侵检测技术主要存在着三方面的缺点:
一是传统的入侵检测技术严重依赖于特征库或正常行为库,需要及时对库进行更新,并且随时时间的推移,库的数据会越来越大,进行匹配判定的时间也会越来越长,大大降低了入侵检测的效率;
二是传统的入侵检测技术对入侵行为的判断结果只有是或否,而不能对攻击过程进行记录或判定,也不能根据攻击行为的整个过程进行计分;
三是传统的入侵检测技术由于采用的将事件的相关数据和库相匹配的模式,漏报或误报率比较高,对检测结果的准确率提出了严峻挑战。
因此传统的入侵检测技术用于网络靶场将不能对入侵行为进行实时的跟踪、分析和计分。因此,专业化、系统化、智能化的攻击行为实时跟踪分析技术越来越显得尤为关键。
发明内容
本发明的目的就在于为了解决上述问题而提供一种在没有攻击行为特征库的前提下能准确判断该行为是否为攻击行为并能对其进行实时跟踪的用于网络靶场的攻击行为实时跟踪分析方法。
本发明通过以下技术方案来实现上述目的:
一种用于网络靶场的攻击行为实时跟踪分析方法,包括以下步骤:
(1) 数据收集:收集网络靶场所有用户的链路层、网络层、应用层的数据,并将其转化为syslog格式;
(2) 数据分析:使用“程序行为算法”,对收集到的数据进行分析,找出这些数据之间的关系,对具有相互关系的带攻击性质行为进行挖掘,判断是否是入侵行为或该入侵行为是攻击杀伤链的第几步的基础;所谓“程序行为算法”是判断某网络行为是否是一种入侵行为的传统方法,是指当恶意程序行为触发系统API接口上的恶意行为感知点,对恶意程序行为进行主动感知并建模;所述的恶意程序行为包括遍历磁盘文件的恶意行为、修改文件属性的恶意行为、访问注册表的恶意行为、服务活动的恶意行为、终止系统进程的恶意行为和挂钩行为的恶意行为等,具体见专利申请号为“201510262180.5”的发明专利申请的内容;
(3) 判断攻击行为是否是攻击杀伤链的第一步,即是否是侦测阶段,如果是,则判定攻击行为已经进行到攻击杀伤链的第一步并转至下一步骤;如果否,则判定该行为根本没有进入到攻击杀伤链的第一步,不是攻击行为,结束;
(4) 判断攻击行为是否是攻击杀伤链的第二步,即是否是武器化载体阶段,如果是,则判定攻击行为已经进行到攻击杀伤链的第二步并转至下一步骤;如果否,则判定攻击行为仅仅进行到攻击杀伤链的第一步,记录并计分,结束;
(5) 判断攻击行为是否是攻击杀伤链的第三步,即是否是投送阶段,如果是,则判定攻击行为已经进行到攻击杀伤链的第三步并转至下一步骤;如果否,则判定攻击行为仅仅进行到攻击杀伤链的第二步,记录并计分,结束;
(6) 判断攻击行为是否是攻击杀伤链的第四步,即是否是激活阶段,如果是,则判定攻击行为已经进行到攻击杀伤链的第四步并转至下一步骤;如果否,则判定攻击行为仅仅进行到攻击杀伤链的第三步,记录并计分,结束;
(7) 判断攻击行为是否是攻击杀伤链的第五步,即是否是命令与控制阶段,如果是,则判定攻击行为已经进行到攻击杀伤链的第五步并转至下一步骤;如果否,则判定攻击行为仅仅进行到攻击杀伤链的第四步,记录并计分,结束;
(8) 判断攻击行为是否是攻击杀伤链的第六步,即是否是安装阶段,如果是,则判定攻击行为已经进行到攻击杀伤链的第六步并转至下一步骤;如果否,则判定攻击行为仅仅进行到攻击杀伤链的第五步,记录并计分,结束;
(9) 判断攻击行为是否是攻击杀伤链的第七步,即是否是持续攻击阶段,如果是,则判定攻击行为已经进行到攻击杀伤链的第七步并阻断攻击;如果否,则判定攻击行为仅仅进行到攻击杀伤链的第六步,记录并计分,结束。
本发明的有益效果在于:
本发明采用对攻击行为的判断和记录的工作原理,不是根据传统入侵检测技术依赖的攻击行为特征库,而是根据攻击杀伤链的各个环节,对收集到的数据痕迹及其关系进行行为判断,从而判断出该行为是否是攻击行为,并且得到该行为已进行到攻击杀伤链的哪一步的结论,即不仅从总体上而且从细节上对攻击过程进行跟踪和记录;具有如下优点:
1、能判断是否为攻击行为的效率高:由于使用行为来判断是否为攻击,没有入侵行为特征库的匹配过程,因此效率高;
2、能跟踪攻击行为过程:根据攻击杀伤链过程分析,能准确判断攻击行为进行到哪一步,并记录下来,对攻击行为进行记分;
3、判断是否为攻击行为的准确率高:根据攻击杀伤链过程分析,只要符合杀伤链的任一个步骤,都可判定为攻击行为,漏报误报率低。
附图说明
图1是本发明所述用于网络靶场的攻击行为实时跟踪分析方法的流程图。
具体实施方式
下面结合附图对本发明作进一步说明:
如图1所示,本发明所述用于网络靶场的攻击行为实时跟踪分析方法,包括以下步骤:
(1) 数据收集101:收集网络靶场所有用户的链路层、网络层、应用层的数据,并将其转化为syslog格式;
(2) 数据分析102:使用“程序行为算法”,对收集到的数据进行分析,找出这些数据之间的关系,对具有相互关系的带攻击性质行为进行挖掘,判断是否是入侵行为或该入侵行为是攻击杀伤链的第几步的基础;
(3) 判断攻击行为是否是攻击杀伤链的第一步,即是否是侦测阶段103,如果是,则判定攻击行为已经进行到攻击杀伤链的第一步并转至下一步骤;如果否,则判定该行为根本没有进入到攻击杀伤链的第一步,不是攻击行为,结束;
(4) 判断攻击行为是否是攻击杀伤链的第二步,即是否是武器化载体阶段104,如果是,则判定攻击行为已经进行到攻击杀伤链的第二步并转至下一步骤;如果否,则判定攻击行为仅仅进行到攻击杀伤链的第一步,记录并计分,结束;
(5) 判断攻击行为是否是攻击杀伤链的第三步,即是否是投送阶段105,如果是,则判定攻击行为已经进行到攻击杀伤链的第三步并转至下一步骤;如果否,则判定攻击行为仅仅进行到攻击杀伤链的第二步,记录并计分,结束;
(6) 判断攻击行为是否是攻击杀伤链的第四步,即是否是激活阶段106,如果是,则判定攻击行为已经进行到攻击杀伤链的第四步并转至下一步骤;如果否,则判定攻击行为仅仅进行到攻击杀伤链的第三步,记录并计分,结束;
(7) 判断攻击行为是否是攻击杀伤链的第五步,即是否是命令与控制阶段107,如果是,则判定攻击行为已经进行到攻击杀伤链的第五步并转至下一步骤;如果否,则判定攻击行为仅仅进行到攻击杀伤链的第四步,记录并计分,结束;
(8) 判断攻击行为是否是攻击杀伤链的第六步,即是否是安装阶段108,如果是,则判定攻击行为已经进行到攻击杀伤链的第六步并转至下一步骤;如果否,则判定攻击行为仅仅进行到攻击杀伤链的第五步,记录并计分,结束;
(9) 判断攻击行为是否是攻击杀伤链的第七步,即是否是持续攻击阶段109,如果是,则判定攻击行为已经进行到攻击杀伤链的第七步并阻断攻击;如果否,则判定攻击行为仅仅进行到攻击杀伤链的第六步,记录并计分,结束。
经过上述步骤,根据攻击杀伤链的各个环节,对收集到的数据痕迹及其关系进行行为判断,从而判断出该行为是否是攻击行为,并且得到该行为已进行到攻击杀伤链的哪一步的结论,即不仅从总体上而且从细节上对攻击过程进行跟踪和记录。
上述实施例只是本发明的较佳实施例,并不是对本发明技术方案的限制,只要是不经过创造性劳动即可在上述实施例的基础上实现的技术方案,均应视为落入本发明专利的权利保护范围内。

Claims (1)

1.一种用于网络靶场的攻击行为实时跟踪分析方法,其特征在于:包括以下步骤:
(1)数据收集:收集网络靶场所有用户的链路层、网络层、应用层的数据,并将其转化为syslog格式;
(2)数据分析:使用“程序行为算法”,对收集到的数据进行分析,找出这些数据之间的关系,对具有相互关系的带攻击性质行为进行挖掘,判断是否是入侵行为或该入侵行为是攻击杀伤链的第几步的基础;
(3)判断攻击行为是否是攻击杀伤链的第一步,即是否是侦测阶段,如果是,则判定攻击行为已经进行到攻击杀伤链的第一步并转至下一步骤;如果否,则判定该行为根本没有进入到攻击杀伤链的第一步,不是攻击行为,结束;
(4)判断攻击行为是否是攻击杀伤链的第二步,即是否是武器化载体阶段,如果是,则判定攻击行为已经进行到攻击杀伤链的第二步并转至下一步骤;如果否,则判定攻击行为仅仅进行到攻击杀伤链的第一步,记录并计分,结束;
(5)判断攻击行为是否是攻击杀伤链的第三步,即是否是投送阶段,如果是,则判定攻击行为已经进行到攻击杀伤链的第三步并转至下一步骤;如果否,则判定攻击行为仅仅进行到攻击杀伤链的第二步,记录并计分,结束;
(6)判断攻击行为是否是攻击杀伤链的第四步,即是否是激活阶段,如果是,则判定攻击行为已经进行到攻击杀伤链的第四步并转至下一步骤;如果否,则判定攻击行为仅仅进行到攻击杀伤链的第三步,记录并计分,结束;
(7)判断攻击行为是否是攻击杀伤链的第五步,即是否是命令与控制阶段,如果是,则判定攻击行为已经进行到攻击杀伤链的第五步并转至下一步骤;如果否,则判定攻击行为仅仅进行到攻击杀伤链的第四步,记录并计分,结束;
(8)判断攻击行为是否是攻击杀伤链的第六步,即是否是安装阶段,如果是,则判定攻击行为已经进行到攻击杀伤链的第六步并转至下一步骤;如果否,则判定攻击行为仅仅进行到攻击杀伤链的第五步,记录并计分,结束;
(9)判断攻击行为是否是攻击杀伤链的第七步,即是否是持续攻击阶段,如果是,则判定攻击行为已经进行到攻击杀伤链的第七步并阻断攻击;如果否,则判定攻击行为仅仅进行到攻击杀伤链的第六步,记录并计分,结束。
CN201610351616.2A 2016-05-25 2016-05-25 用于网络靶场的攻击行为实时跟踪分析方法 Pending CN105915536A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201610351616.2A CN105915536A (zh) 2016-05-25 2016-05-25 用于网络靶场的攻击行为实时跟踪分析方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201610351616.2A CN105915536A (zh) 2016-05-25 2016-05-25 用于网络靶场的攻击行为实时跟踪分析方法

Publications (1)

Publication Number Publication Date
CN105915536A true CN105915536A (zh) 2016-08-31

Family

ID=56742249

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201610351616.2A Pending CN105915536A (zh) 2016-05-25 2016-05-25 用于网络靶场的攻击行为实时跟踪分析方法

Country Status (1)

Country Link
CN (1) CN105915536A (zh)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107294971A (zh) * 2017-06-23 2017-10-24 西安交大捷普网络科技有限公司 服务器攻击源的威胁度排序方法
CN107888607A (zh) * 2017-11-28 2018-04-06 新华三技术有限公司 一种网络威胁检测方法、装置及网络管理设备
CN108900498A (zh) * 2018-06-25 2018-11-27 哈尔滨工业大学 一种基于bgp网络靶场的调度僵尸机攻击方法
CN112087420A (zh) * 2020-07-24 2020-12-15 西安电子科技大学 一种网络杀伤链检测方法、预测方法及系统

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107294971A (zh) * 2017-06-23 2017-10-24 西安交大捷普网络科技有限公司 服务器攻击源的威胁度排序方法
CN107294971B (zh) * 2017-06-23 2020-05-26 西安交大捷普网络科技有限公司 服务器攻击源的威胁度排序方法
CN107888607A (zh) * 2017-11-28 2018-04-06 新华三技术有限公司 一种网络威胁检测方法、装置及网络管理设备
CN107888607B (zh) * 2017-11-28 2020-11-06 新华三技术有限公司 一种网络威胁检测方法、装置及网络管理设备
CN108900498A (zh) * 2018-06-25 2018-11-27 哈尔滨工业大学 一种基于bgp网络靶场的调度僵尸机攻击方法
CN108900498B (zh) * 2018-06-25 2020-12-29 哈尔滨工业大学 一种基于bgp网络靶场的调度僵尸机攻击方法
CN112087420A (zh) * 2020-07-24 2020-12-15 西安电子科技大学 一种网络杀伤链检测方法、预测方法及系统
CN112087420B (zh) * 2020-07-24 2022-06-14 西安电子科技大学 一种网络杀伤链检测方法、预测方法及系统

Similar Documents

Publication Publication Date Title
CN109302380B (zh) 一种安全防护设备联动防御策略智能决策方法及系统
Kayacik et al. Selecting features for intrusion detection: A feature relevance analysis on KDD 99 intrusion detection datasets
CN109672671A (zh) 基于智能行为分析的安全网关及安全防护系统
CN107070929A (zh) 一种工控网络蜜罐系统
CN104753946A (zh) 一种基于网络流量元数据的安全分析框架
CN102945341A (zh) 一种拦截弹窗的方法和装置
CN105915536A (zh) 用于网络靶场的攻击行为实时跟踪分析方法
CA2926579A1 (en) Event correlation across heterogeneous operations
CN109962903A (zh) 一种家庭网关安全监控方法、装置、系统和介质
CN105491055B (zh) 一种基于移动代理的网络主机异常事件检测方法
CN102088379A (zh) 基于沙箱技术的客户端蜜罐网页恶意代码检测方法与装置
CN102685180A (zh) 一种面向云计算的网络安全预警方法
CN103118036A (zh) 一种基于云端的智能安全防御系统和方法
CN111431939A (zh) 基于cti的sdn恶意流量防御方法及系统
CN106549980A (zh) 一种恶意c&c服务器确定方法及装置
CN104683394A (zh) 新技术的云计算平台数据库基准测试系统及其方法
CN104184728A (zh) 一种Web应用系统的安全检测方法及安全检测装置
CN103957205A (zh) 一种基于终端流量的木马检测方法
Chen et al. Advanced persistent threat organization identification based on software gene of malware
CN108055166A (zh) 一种嵌套的应用层协议的状态机提取系统及其提取方法
CN113746832B (zh) 多方法混合的分布式apt恶意流量检测防御系统及方法
Yuan et al. Research of intrusion detection system on android
CN115473675B (zh) 一种网络安全态势感知方法、装置、电子设备及介质
CN109802966A (zh) 一种基于信帧的网络入侵行为分析检测方法
CN103679015A (zh) 一种保护内核系统的攻击控制方法

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
WD01 Invention patent application deemed withdrawn after publication
WD01 Invention patent application deemed withdrawn after publication

Application publication date: 20160831