CN110677438A - 一种攻击链构建方法、装置、设备、介质 - Google Patents
一种攻击链构建方法、装置、设备、介质 Download PDFInfo
- Publication number
- CN110677438A CN110677438A CN201911122545.9A CN201911122545A CN110677438A CN 110677438 A CN110677438 A CN 110677438A CN 201911122545 A CN201911122545 A CN 201911122545A CN 110677438 A CN110677438 A CN 110677438A
- Authority
- CN
- China
- Prior art keywords
- attack
- target
- honeypot
- data
- attack data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1491—Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本申请公开了一种攻击链构建方法、装置、设备、介质。该方法包括:利用蜜罐网络诱捕攻击者的攻击行为;采集与所述攻击行为对应的攻击数据;对所述攻击数据进行预处理,得到目标攻击数据;对所述目标攻击数据进行特征提取,得到目标特征,并对所述目标特征进行入库存储;将所述目标特征进行关联分析,构建出攻击链。由此可见,本申请利用蜜罐网络精准诱捕攻击行为,再采集与所述攻击行为对应的攻击数据,对所述攻击行为进行预处理后,提取相应的目标特征,然后将所述目标特征进行关联分析,构建出攻击链,这样能够准确构建出攻击链,提高网络安全防御水平,且在复杂网络情况下也适用,成本低。
Description
技术领域
本申请涉及网络安全技术领域,特别涉及一种攻击链构建方法、装置、设备、介质。
背景技术
在信息时代,防止网络入侵成为了网络安全中的重要一环,在防止网络入侵的过程中,通常需要构建攻击链,以根据攻击链对相应的网络攻击行为做出相应的对策。目前,攻击链的获取方法,主要是通过不同类型的安全检测设备来检测恶意攻击行为,再通过后端收集攻击日志,将攻击日志存入预先选定的数据库,并将攻击日志中的数据集中推送到数据共享平台进行关联分析,以构建出攻击链。但在获取攻击链过程中对用到的网络安全硬件设备有较高的要求,且成本高昂,不适合在复杂网络环境下部署,若缺失某一特定场景下的网络安全设备,则会导致缺少攻击链中的某一环节。
发明内容
有鉴于此,本申请的目的在于提供一种攻击链构建方法、装置、设备、介质,能够准确构建出攻击链,提高网络安全防御水平,且在复杂网络情况下也适用,成本低。其具体方案如下:
第一方面,本申请公开了一种攻击链构建方法,包括:
利用蜜罐网络诱捕攻击者的攻击行为;
采集与所述攻击行为对应的攻击数据;
对所述攻击数据进行预处理,得到目标攻击数据;
对所述目标攻击数据进行特征提取,得到目标特征,并对所述目标特征进行入库存储;
将所述目标特征进行关联分析,构建出攻击链。
可选的,所述对所述攻击数据进行预处理,得到目标攻击数据,包括:
依据队列规则对所述攻击数据进行预处理,得到目标攻击数据。
可选的,所述对所述攻击数据进行预处理,得到目标攻击数据之后,还包括:
对所述目标攻击数据进行入库存储。
可选的,所述对所述目标攻击数据进行特征提取,得到目标特征,包括:
对所述目标攻击数据进行特征提取,得到包括攻击者指纹特征、攻击行为特征、时间戳以及蜜罐ID的目标特征。
可选的,所述将所述目标特征进行关联分析,构建出攻击链,包括:
根据所述攻击者指纹特征查找具有相同攻击者指纹特征的攻击数据记录;
根据所述攻击数据记录中的所述蜜罐ID,将所述攻击数据记录划分为不同的蜜罐节点攻击数据;
根据所述蜜罐节点攻击数据中的所述行为特征,将所述蜜罐节点攻击数据对应到攻击链的相应阶段;
将所述相应阶段按所述时间戳表示时间的先后顺序编排,得到目标构建链。
可选的,所述利用蜜罐网络诱捕攻击者的攻击行为之前,还包括:
从网络层面将蜜罐节点与真实业务服务部署在相同的网段,形成蜜罐网络。
第二方面,本申请公开了一种攻击链构建装置,包括:
行为诱捕模块,用于利用蜜罐网络诱捕攻击者的攻击行为;
数据采集模块,用于采集与所述攻击行为对应的攻击数据;
数据处理模块,用于对所述攻击数据进行预处理,得到目标攻击数据;
特征提取模块,用于对所述目标攻击数据进行特征提取,得到目标特征;
特征存储模块,用于对所述目标特征进行入库存储;
攻击链构建模块,用于将所述目标特征进行关联分析,构建出攻击链。
可选的,所述攻击链构建装置,还包括:
蜜罐网络部署模块,用于从网络层面将蜜罐节点与真实业务服务部署在相同的网段,形成蜜罐网络。
第三方面,本申请公开了一种攻击链构建设备,包括:
存储器和处理器;
其中,所述存储器,用于存储计算机程序;
所述处理器,用于执行所述计算机程序,以实现前述公开的攻击链构建方法。
第四方面,本申请公开了一种计算机可读存储介质,用于保存计算机程序,其中,所述计算机程序被处理器执行时实现前述公开的攻击链构建方法。
可见,本申请先利用蜜罐网络诱捕攻击者的攻击行为;再采集与所述攻击行为对应的攻击数据,并对所述攻击数据进行预处理,得到目标攻击数据;然后对所述目标攻击数据进行特征提取,得到目标特征,并对所述目标特征进行入库存储;接着将所述目标特征进行关联分析,构建出攻击链。由此可见,本申请利用蜜罐网络精准诱捕攻击行为,再采集与所述攻击行为对应的攻击数据,对所述攻击行为进行预处理后,提取相应的目标特征,然后将所述目标特征进行关联分析,构建出攻击链,这样能够准确构建出攻击链,提高网络安全防御水平,且在复杂网络情况下也适用,成本低。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。
图1为本申请公开的一种攻击链构建方法流程图;
图2为本申请公开的一种攻击链示意图;
图3为本申请公开的一种具体的蜜罐网络在真实生产网络环境下的部署示意图;
图4为本申请公开的一种具体的攻击链构建方法流程图;
图5为本申请公开的一种具体的蜜罐网络示意图;
图6为本申请公开的一种具体的攻击链构建方法流程图;
图7为本申请公开的一种攻击链构建装置结构示意图;
图8为本申请公开的一种攻击链构建设备结构图;
图9为本申请公开的一种终端结构图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
目前,攻击链的获取方法,主要是通过不同类型的安全检测设备来检测恶意攻击行为,再通过后端收集攻击日志,将攻击日志存入预先选定的数据库,并将攻击日志中的数据集中推送到数据共享平台进行关联分析,以构建出攻击链。但在获取攻击链过程中对用到的网络安全硬件设备由较高的要求,且成本高昂,不适合在复杂网络环境下部署,若缺失某一特定场景下的网络安全设备,则会导致缺少攻击链中的某一环节。有鉴于此,本申请提出了一种攻击链构建方法,能够准确构建出攻击链,提高网络安全防御水平,且在复杂网络情况下也适用,成本低。
本申请实施例公开了一种攻击链构建方法,参见图1所示,该方法包括:
步骤S11:利用蜜罐网络诱捕攻击者的攻击行为。
本实施例中,蜜罐技术是为了改变被动防范攻击状况而出现的一种主动防护技术,蜜罐是一种安全资源,不提供实际的应用,而是用于诱导和记录攻击者的攻击行为,延缓其攻击进程,使得防御方可以了解攻击者的入侵方法和手段,并根据捕获的攻击行为,针对性地增强系统的安全防护能力。攻击链阐述了攻击者发起的一次攻击从开始到结束的主要步骤,参见图2为一种攻击链示意图,所述攻击链一般主要包括探测、开发攻击工具、工具投送、利用网络弱点、部署工具、控制、扩散及破坏等。所述攻击投送是指将攻击工具从远端传输到目标机器上。所述部署工具是指将所述攻击工具部署在各个攻击点。所述攻击链中的环节不一定会全部呈现,比如先尝试扫描,识别到ssh服务(Secure Shell,安全外壳协议)的22端口后,进行爆破密码,如果无法有效爆破密码,攻击者可能会放弃攻击,至此,攻击链后续的环节就便没有了。
在具体的实施过程中,所述蜜罐网络主要从网络层面、终端层面以及应用层面三个层面进行伪装,网络层面主要是将蜜罐节点与真实业务服务部署在相同的网段,终端层面主要是使用相似的终端并模拟交互命令,应用层面则是仿制真实的系统应用。从这三个层面可以涵盖攻击链中的攻击阶段。参见图3为蜜罐网络在真实生产网络环境下的部署示意图,通过服务器对数据库进行相关操作,并且可以提供WEB服务、邮件服务以及中间件服务等真实服务,将多个蜜罐服务部署在与所述真实服务相同的网段,伪装所述真实服务,以便于诱捕攻击者的攻击行为。这样的蜜罐网络组成结构简单、拓展灵活,且可以对入侵网络的攻击者的攻击行为进行全方位的追踪捕获。且一旦攻击者进入所述蜜罐网络,只能在所述蜜罐网络的不同节点之间访问,无法跳转到所述真实服务中去,不会对所述真实服务或真实系统造成威胁。
本实施例中,需要先利用所述蜜罐网络诱捕攻击者的攻击行为,让攻击者误以为所述蜜罐网络是所述真实服务,并对所述蜜罐网络发起进一步的攻击。
步骤S12:采集与所述攻击行为对应的攻击数据。
在具体的实施过程中,当所述蜜罐网络诱捕到所述攻击行为后,需要采集与所述攻击行为对应的攻击数据,其中,所述攻击数据包括通用数据和非通用数据,所述通用数据包括但不限于时间戳、源IP、源端口、源MAC地址、目的IP、目的端口、威胁等级、事件详情、事件类型以及蜜罐ID。在采集所述攻击数据的过程中,主要以消息队列来传输所述攻击数据。其中,所述蜜罐ID为所述攻击数据来源蜜罐的ID。
步骤S13:对所述攻击数据进行预处理,得到目标攻击数据。
可以理解的是,由于采集到的与所述攻击行为对应的所述攻击数据来自不同类型的蜜罐,所述攻击数据会存在差异,所以需要对所述攻击数据进行预处理,使得所述攻击数据格式统一,得到目标攻击数据。所述对所述攻击数据进行预处理,得到目标攻击数据之后,还包括:对所述目标攻击数据进行入库存储。
步骤S14:对所述目标攻击数据进行特征提取,得到目标特征,并对所述目标特征进行入库存储。
本实施例中,还需要对所述目标攻击数据进行特征提取,得到目标特征,并对所述目标特征进行入库存储。所述目标攻击数据也包括所述通用数据和所述非通用数据,对所述通用数据进行特征提取可以得到所述时间戳、所述源IP、所述源端口、所述源MAC地址、所述目的IP、所述目的端口、所述威胁等级、所述事件详情、所述事件类型以及所述蜜罐ID等特征。对所述非通用数据进行特征提取可以得到攻击工具、恶意软件、病毒木马、爆破字典、病毒分发等特征。
步骤S15:将所述目标特征进行关联分析,构建出攻击链。
在具体的实施过程中,在得到所述目标特征后,还需要将所述目标特征进行关联分析,构建出攻击链。
可见,本申请先利用蜜罐网络诱捕攻击者的攻击行为;再采集与所述攻击行为对应的攻击数据,并对所述攻击数据进行预处理,得到目标攻击数据;然后对所述目标攻击数据进行特征提取,得到目标特征,并对所述目标特征进行入库存储;接着将所述目标特征进行关联分析,构建出攻击链。由此可见,本申请利用蜜罐网络精准诱捕攻击行为,再采集与所述攻击行为对应的攻击数据,对所述攻击行为进行预处理后,提取相应的目标特征,然后将所述目标特征进行关联分析,构建出攻击链,这样能够准确构建出攻击链,提高网络安全防御水平,且在复杂网络情况下适用,成本低。
参见图4所示,本申请实施例公开了一种具体的攻击链构建方法,该方法包括:
步骤S21:从网络层面将蜜罐节点与真实业务服务部署在相同的网段,形成蜜罐网络。
本实施例中,需要从网络层面将蜜罐节点与真实业务服务部署在相同的网段,形成蜜罐网络。每一种蜜罐可以伪装一种或多种服务,相应地,也可以对一种或多种恶意攻击行为进行追踪捕获。一个蜜罐网络可以由单个所述蜜罐节点组成,也可以由多个所述蜜罐节点组成。可以在所述蜜罐网络中的所述蜜罐节点中设置蜜饵或其他敏感信息,从而引导攻击者的下一步攻击行为。参见图5所示,为一个具体的蜜罐网络示意图。整个蜜罐网络中包括n个蜜罐服务,在发现伪装服务后,攻击者可能对蜜罐服务1发起攻击,经所述蜜罐服务1中的所述蜜饵或所述其他敏感信息引导后,沿着攻击路线1对蜜罐服务3发起攻击,再经引导后,对蜜罐服务4或者蜜罐服务n发起攻击。或者经所述蜜罐服务1中的所述蜜饵或所述其他敏感信息引导后,沿着攻击路线2对蜜罐服务2发起攻击,再经所述蜜罐服务2中的所述蜜饵或所述其他敏感信息引导后,对蜜罐服务n发起攻击。直到所述蜜罐网络中的所有蜜罐伪装服务全部暴露,所述蜜罐网络失去诱捕所述攻击行为的作用。其中,所述蜜罐伪装服务也即所述蜜罐服务。
步骤S22:利用所述蜜罐网络诱捕攻击者的攻击行为。
步骤S23:采集与所述攻击行为对应的攻击数据。
步骤S24:依据队列规则对所述攻击数据进行预处理,得到目标攻击数据。
在具体的实施过程中,采集到与所述攻击行为对应的攻击数据后,需要依据队列规则对所述攻击数据进行预处理,得到目标攻击数据,其中,所述队列规则可以包括多个规则引擎。
步骤S25:对所述目标攻击数据进行入库存储。
步骤S26:对所述目标攻击数据进行特征提取,得到包括攻击者指纹特征、攻击行为特征、时间戳以及蜜罐ID的目标特征,并对所述目标特征进行入库存储。
在具体的实施过程中,对所述目标攻击数据进行特征提取后,得到的目标特征不仅包括前述实施例中的特征,还包括攻击者指纹特征、攻击行为特征。其中,所述攻击者指纹特征包括但不限于远程主机硬件信息、浏览器信息、使用工具、攻击手法及社交信息等,所述攻击行为特征包括但不限于扫描探测、破解、漏洞利用、内部侦查、文件投送、提权、横向扩展等。
步骤S27:将所述目标特征进行关联分析,构建出攻击链。
参见图6所示,本申请实施例公开了一种具体的攻击链构建方法,该方法包括:
步骤S301:从网络层面将蜜罐节点与真实业务服务部署在相同的网段,形成蜜罐网络。
步骤S302:利用所述蜜罐网络诱捕攻击者的攻击行为。
步骤S303:采集与所述攻击行为对应的攻击数据。
步骤S304:依据队列规则对所述攻击数据进行预处理,得到目标攻击数据。
步骤S305:对所述目标攻击数据进行入库存储。
步骤S306:对所述目标攻击数据进行特征提取,得到包括攻击者指纹特征、攻击行为特征、时间戳以及蜜罐ID的目标特征,并对所述目标特征进行入库存储。
步骤S307:根据所述攻击者指纹特征查找具有相同攻击者指纹特征的攻击数据记录。
步骤S308:根据所述攻击数据记录中的所述蜜罐ID,将所述攻击数据记录划分为不同的蜜罐节点攻击数据。
步骤S309:根据所述蜜罐节点攻击数据中的所述行为特征,将所述蜜罐节点攻击数据对应到攻击链的相应阶段。
步骤S310:将所述相应阶段按所述时间戳表示时间的先后顺序编排,得到目标构建链。
本实施例中,将所述目标特征进行关联性分析,构建攻击链,包括:根据所述攻击者指纹特征查找具有相同攻击者指纹特征的攻击数据记录;根据所述攻击数据记录中的所述蜜罐ID,将所述攻击数据记录划分为不同的蜜罐节点攻击数据;根据所述蜜罐节点攻击数据中的所述行为特征,将所述蜜罐节点攻击数据对应到攻击链的相应阶段;将所述相应阶段按所述时间戳表示时间的先后顺序编排,得到目标构建链。具体的,由于数据库中存储的攻击数据记录都包括攻击者指纹特征、蜜罐ID、行为特征以及时间戳,所以先根据所述攻击者指纹特征查找具有相同攻击者指纹特征的攻击数据记录,在根据所述攻击数据记录中的所述蜜罐ID,将所述攻击数据记录划分为不同的蜜罐节点攻击数据,根据所述蜜罐节点攻击数据中的所述攻击行为特征,将所述蜜罐节点攻击数据对应到攻击链的相应阶段,再按照所述时间戳表示时间的先后顺序编排,得到目标攻击链。
参见图7所示,本申请实施例公开了一种装置,包括:
行为诱捕模块11,用于利用蜜罐网络诱捕攻击者的攻击行为;
数据采集模块12,用于采集与所述攻击行为对应的攻击数据;
数据处理模块13,用于对所述攻击数据进行预处理,得到目标攻击数据;
特征提取模块14,用于对所述目标攻击数据进行特征提取,得到目标特征;
特征存储模块15,用于对所述目标特征进行入库存储;
攻击链构建模块16,用于将所述目标特征进行关联分析,构建出攻击链。
可见,本申请先利用蜜罐网络诱捕攻击者的攻击行为;再采集与所述攻击行为对应的攻击数据,并对所述攻击数据进行预处理,得到目标攻击数据;然后对所述目标攻击数据进行特征提取,得到目标特征,并对所述目标特征进行入库存储;接着将所述目标特征进行关联分析,构建出攻击链。由此可见,本申请利用蜜罐网络精准诱捕攻击行为,再采集与所述攻击行为对应的攻击数据,对所述攻击行为进行预处理后,提取相应的目标特征,然后将所述目标特征进行关联分析,构建出攻击链,这样能够准确构建出攻击链,提高网络安全防御水平,且在复杂网络情况下适用,成本低。
进一步的,所述攻击链构建装置,还包括:
蜜罐网络部署模块,用于从网络层面将蜜罐节点与真实业务服务部署在相同的网段,形成蜜罐网络。
进一步的,参见图8所示,本申请实施例还公开了一种攻击链构建设备,包括:处理器21和存储器22。
其中,所述存储器22,用于存储计算机程序;所述处理器21,用于执行所述计算机程序,以实现前述实施例中公开的攻击链构建方法。
其中,关于上述攻击链构建方法的具体过程可以参考前述实施例中公开的相应内容,在此不再进行赘述。
参见图9所示,本申请公开了一种终端20,包括前述实施例中的包括处理器21和存储器22的攻击链构建设备。关于上述处理器21具体可以执行的步骤可以参考前述实施例中公开的相应内容,在此不再进行赘述。
进一步的,本实施例中的终端20,还可以具体包括:电源23、通信接口24、输入输出接口25以及通信总线26;其中,所述电源23用于为所述终端20上的各硬件设备提供工作电压;所述通信接口24能够为所述终端20与外接设备之间的数据传输通道,其所遵循的通信协议是能够使用于本申请技术方案的任意通信协议,在此不对其做具体限定;所述输入输出接口25,用于获取外界输入的数据或向外界输出数据,其具体的接口类型可以根据具体应用需要进行选取,在此不进行具体限定。
进一步的,本申请实施例还公开了一种计算机可读存储介质,用于保存计算机程序,其中,所述计算机程序被处理器执行时实现以下步骤:
利用蜜罐网络诱捕攻击者的攻击行为;采集与所述攻击行为对应的攻击数据;对所述攻击数据进行预处理,得到目标攻击数据;对所述目标攻击数据进行特征提取,得到目标特征,并对所述目标特征进行入库存储;将所述目标特征进行关联分析,构建出攻击链。
可见,本申请先利用蜜罐网络诱捕攻击者的攻击行为;再采集与所述攻击行为对应的攻击数据,并对所述攻击数据进行预处理,得到目标攻击数据;然后对所述目标攻击数据进行特征提取,得到目标特征,并对所述目标特征进行入库存储;接着将所述目标特征进行关联分析,构建出攻击链。由此可见,本申请利用蜜罐网络精准诱捕攻击行为,再采集与所述攻击行为对应的攻击数据,对所述攻击行为进行预处理后,提取相应的目标特征,然后将所述目标特征进行关联分析,构建出攻击链,这样能够准确构建出攻击链,提高网络安全防御水平,且在复杂网络情况下也适用,成本低。
本实施例中,所述计算机可读存储介质中保存的计算机子程序被处理器执行时,可以具体实现以下步骤:依据队列规则对所述攻击数据进行预处理,得到目标攻击数据。
本实施例中,所述计算机可读存储介质中保存的计算机子程序被处理器执行时,可以具体实现以下步骤:对所述目标攻击数据进行入库存储。
本实施例中,所述计算机可读存储介质中保存的计算机子程序被处理器执行时,可以具体实现以下步骤:对所述目标攻击数据进行特征提取,得到包括攻击者指纹特征、攻击行为特征、时间戳以及蜜罐ID的目标特征。
本实施例中,所述计算机可读存储介质中保存的计算机子程序被处理器执行时,可以具体实现以下步骤:根据所述攻击者指纹特征查找具有相同攻击者指纹特征的攻击数据记录;根据所述攻击数据记录中的所述蜜罐ID,将所述攻击数据记录划分为不同的蜜罐节点攻击数据;根据所述蜜罐节点攻击数据中的所述行为特征,将所述蜜罐节点攻击数据对应到攻击链的相应阶段;将所述相应阶段按所述时间戳表示时间的先后顺序编排,得到目标构建链。
本实施例中,所述计算机可读存储介质中保存的计算机子程序被处理器执行时,可以具体实现以下步骤:从网络层面将蜜罐节点与真实业务服务部署在相同的网段,形成蜜罐网络。
本说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其它实施例的不同之处,各个实施例之间相同或相似部分互相参见即可。对于实施例公开的装置而言,由于其与实施例公开的方法相对应,所以描述的比较简单,相关之处参见方法部分说明即可。
结合本文中所公开的实施例描述的方法或算法的步骤可以直接用硬件、处理器执行的软件模块,或者二者的结合来实施。软件模块可以置于随机存储器(RAM)、内存、只读存储器(ROM)、电可编程ROM、电可擦除可编程ROM、寄存器、硬盘、可移动磁盘、CD-ROM、或技术领域内所公知的任意其它形式的存储介质中。
最后,还需要说明的是,在本文中,诸如第一和第二之类的关系术语仅仅用来将一个实体或者操作与另一个实体或者操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得一系列包含其他要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
以上对本申请所提供的一种攻击链构建方法、装置、设备、介质进行了详细介绍,本文中应用了具体个例对本申请的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本申请的方法及其核心思想;同时,对于本领域的一般技术人员,依据本申请的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本申请的限制。
Claims (10)
1.一种攻击链构建方法,其特征在于,包括:
利用蜜罐网络诱捕攻击者的攻击行为;
采集与所述攻击行为对应的攻击数据;
对所述攻击数据进行预处理,得到目标攻击数据;
对所述目标攻击数据进行特征提取,得到目标特征,并对所述目标特征进行入库存储;
将所述目标特征进行关联分析,构建出攻击链。
2.根据权利要求1所述的攻击链构建方法,其特征在于,所述对所述攻击数据进行预处理,得到目标攻击数据,包括:
依据队列规则对所述攻击数据进行预处理,得到目标攻击数据。
3.根据权利要求2所述的攻击链构建方法,其特征在于,所述对所述攻击数据进行预处理,得到目标攻击数据之后,还包括:
对所述目标攻击数据进行入库存储。
4.根据权利要求3所述的攻击链构建方法,其特征在于,所述对所述目标攻击数据进行特征提取,得到目标特征,包括:
对所述目标攻击数据进行特征提取,得到包括攻击者指纹特征、攻击行为特征、时间戳以及蜜罐ID的目标特征。
5.根据权利要求4所述的攻击链构建方法,其特征在于,所述将所述目标特征进行关联分析,构建出攻击链,包括:
根据所述攻击者指纹特征查找具有相同攻击者指纹特征的攻击数据记录;
根据所述攻击数据记录中的所述蜜罐ID,将所述攻击数据记录划分为不同的蜜罐节点攻击数据;
根据所述蜜罐节点攻击数据中的所述行为特征,将所述蜜罐节点攻击数据对应到攻击链的相应阶段;
将所述相应阶段按所述时间戳表示时间的先后顺序编排,得到目标构建链。
6.根据权利要求1至5任一项所述的攻击链构建方法,其特征在于,所述利用蜜罐网络诱捕攻击者的攻击行为之前,还包括:
从网络层面将蜜罐节点与真实业务服务部署在相同的网段,形成蜜罐网络。
7.一种攻击链构建装置,其特征在于,包括:
行为诱捕模块,用于利用蜜罐网络诱捕攻击者的攻击行为;
数据采集模块,用于采集与所述攻击行为对应的攻击数据;
数据处理模块,用于对所述攻击数据进行预处理,得到目标攻击数据;
特征提取模块,用于对所述目标攻击数据进行特征提取,得到目标特征;
特征存储模块,用于对所述目标特征进行入库存储;
攻击链构建模块,用于将所述目标特征进行关联分析,构建出攻击链。
8.根据权利要求7所述的攻击链构建装置,其特征在于,还包括:
蜜罐网络部署模块,用于从网络层面将蜜罐节点与真实业务服务部署在相同的网段,形成蜜罐网络。
9.一种攻击链构建设备,包括:
存储器和处理器;
其中,所述存储器,用于存储计算机程序;
所述处理器,用于执行所述计算机程序,以实现权利要求1至6任一项所述的攻击链构建方法。
10.一种计算机可读存储介质,用于保存计算机程序,其中,所述计算机程序被处理器执行时实现如权利要求1至6任一项所述的攻击链构建方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911122545.9A CN110677438A (zh) | 2019-11-15 | 2019-11-15 | 一种攻击链构建方法、装置、设备、介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911122545.9A CN110677438A (zh) | 2019-11-15 | 2019-11-15 | 一种攻击链构建方法、装置、设备、介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN110677438A true CN110677438A (zh) | 2020-01-10 |
Family
ID=69087441
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201911122545.9A Pending CN110677438A (zh) | 2019-11-15 | 2019-11-15 | 一种攻击链构建方法、装置、设备、介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110677438A (zh) |
Cited By (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111490996A (zh) * | 2020-06-24 | 2020-08-04 | 腾讯科技(深圳)有限公司 | 网络攻击处理方法、装置、计算机设备及存储介质 |
| CN111680294A (zh) * | 2020-06-15 | 2020-09-18 | 杭州安恒信息技术股份有限公司 | 一种基于高交互蜜罐技术的数据库监控方法、装置、设备 |
| CN111885041A (zh) * | 2020-07-17 | 2020-11-03 | 福建奇点时空数字科技有限公司 | 一种基于蜜罐威胁数据的攻击场景重构方法 |
| CN112511559A (zh) * | 2020-12-17 | 2021-03-16 | 中国农业银行股份有限公司 | 内网横向移动攻击的检测方法及系统 |
| CN113037777A (zh) * | 2021-04-09 | 2021-06-25 | 广州锦行网络科技有限公司 | 蜜罐诱饵的分配方法及装置、存储介质、电子设备 |
| CN114157450A (zh) * | 2021-11-04 | 2022-03-08 | 南方电网深圳数字电网研究院有限公司 | 基于物联网蜜罐的网络攻击诱导方法及装置 |
| CN114285623A (zh) * | 2021-12-21 | 2022-04-05 | 北京永信至诚科技股份有限公司 | 一种网络安全蜜罐系统指标的评估方法及装置 |
| CN114884744A (zh) * | 2022-06-07 | 2022-08-09 | 中国软件评测中心(工业和信息化部软件与集成电路促进中心) | 一种攻击行为的分析方法及电子设备 |
| CN115174179A (zh) * | 2022-06-29 | 2022-10-11 | 北京永信至诚科技股份有限公司 | 蜜罐系统的仿真改进方法、装置、设备及可读存储介质 |
| CN115208659A (zh) * | 2022-07-13 | 2022-10-18 | 杭州安恒信息技术股份有限公司 | 一种内网攻击的模拟检测方法、装置、设备及介质 |
| CN115225359A (zh) * | 2022-07-13 | 2022-10-21 | 杭州安恒信息技术股份有限公司 | 蜜罐数据溯源方法、装置、计算机设备和存储介质 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105024977A (zh) * | 2014-04-25 | 2015-11-04 | 湖北大学 | 基于数字水印和蜜罐技术的网络追踪系统 |
| CN106534195A (zh) * | 2016-12-19 | 2017-03-22 | 杭州信雅达数码科技有限公司 | 一种基于攻击图的网络攻击者行为分析方法 |
| CN108234400A (zh) * | 2016-12-15 | 2018-06-29 | 北京金山云网络技术有限公司 | 一种攻击行为确定方法、装置及态势感知系统 |
| US10277629B1 (en) * | 2016-12-20 | 2019-04-30 | Symantec Corporation | Systems and methods for creating a deception computing system |
-
2019
- 2019-11-15 CN CN201911122545.9A patent/CN110677438A/zh active Pending
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105024977A (zh) * | 2014-04-25 | 2015-11-04 | 湖北大学 | 基于数字水印和蜜罐技术的网络追踪系统 |
| CN108234400A (zh) * | 2016-12-15 | 2018-06-29 | 北京金山云网络技术有限公司 | 一种攻击行为确定方法、装置及态势感知系统 |
| CN106534195A (zh) * | 2016-12-19 | 2017-03-22 | 杭州信雅达数码科技有限公司 | 一种基于攻击图的网络攻击者行为分析方法 |
| US10277629B1 (en) * | 2016-12-20 | 2019-04-30 | Symantec Corporation | Systems and methods for creating a deception computing system |
Cited By (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111680294A (zh) * | 2020-06-15 | 2020-09-18 | 杭州安恒信息技术股份有限公司 | 一种基于高交互蜜罐技术的数据库监控方法、装置、设备 |
| CN111490996A (zh) * | 2020-06-24 | 2020-08-04 | 腾讯科技(深圳)有限公司 | 网络攻击处理方法、装置、计算机设备及存储介质 |
| CN111885041A (zh) * | 2020-07-17 | 2020-11-03 | 福建奇点时空数字科技有限公司 | 一种基于蜜罐威胁数据的攻击场景重构方法 |
| CN112511559A (zh) * | 2020-12-17 | 2021-03-16 | 中国农业银行股份有限公司 | 内网横向移动攻击的检测方法及系统 |
| CN113037777A (zh) * | 2021-04-09 | 2021-06-25 | 广州锦行网络科技有限公司 | 蜜罐诱饵的分配方法及装置、存储介质、电子设备 |
| CN113037777B (zh) * | 2021-04-09 | 2021-12-03 | 广州锦行网络科技有限公司 | 蜜罐诱饵的分配方法及装置、存储介质、电子设备 |
| CN114157450A (zh) * | 2021-11-04 | 2022-03-08 | 南方电网深圳数字电网研究院有限公司 | 基于物联网蜜罐的网络攻击诱导方法及装置 |
| CN114157450B (zh) * | 2021-11-04 | 2024-03-15 | 南方电网数字平台科技(广东)有限公司 | 基于物联网蜜罐的网络攻击诱导方法及装置 |
| CN114285623A (zh) * | 2021-12-21 | 2022-04-05 | 北京永信至诚科技股份有限公司 | 一种网络安全蜜罐系统指标的评估方法及装置 |
| CN114884744A (zh) * | 2022-06-07 | 2022-08-09 | 中国软件评测中心(工业和信息化部软件与集成电路促进中心) | 一种攻击行为的分析方法及电子设备 |
| CN115174179A (zh) * | 2022-06-29 | 2022-10-11 | 北京永信至诚科技股份有限公司 | 蜜罐系统的仿真改进方法、装置、设备及可读存储介质 |
| CN115208659A (zh) * | 2022-07-13 | 2022-10-18 | 杭州安恒信息技术股份有限公司 | 一种内网攻击的模拟检测方法、装置、设备及介质 |
| CN115225359A (zh) * | 2022-07-13 | 2022-10-21 | 杭州安恒信息技术股份有限公司 | 蜜罐数据溯源方法、装置、计算机设备和存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110677438A (zh) | 一种攻击链构建方法、装置、设备、介质 | |
| US9912691B2 (en) | Fuzzy hash of behavioral results | |
| CN108768917B (zh) | 一种基于网络日志的僵尸网络检测方法及系统 | |
| US7313695B2 (en) | Systems and methods for dynamic threat assessment | |
| Singh et al. | A systematic review of IP traceback schemes for denial of service attacks | |
| CN105915532B (zh) | 一种失陷主机的识别方法及装置 | |
| Zobal et al. | Current state of honeypots and deception strategies in cybersecurity | |
| RU2634209C1 (ru) | Система и способ автогенерации решающих правил для систем обнаружения вторжений с обратной связью | |
| CN111818103B (zh) | 一种网络靶场中基于流量的溯源攻击路径方法 | |
| CN103918222A (zh) | 用于检测拒绝服务攻击的系统和方法 | |
| Hatada et al. | Empowering anti-malware research in Japan by sharing the MWS datasets | |
| CN112073437B (zh) | 多维度的安全威胁事件分析方法、装置、设备及存储介质 | |
| US10848507B1 (en) | Reactive virtual security appliances | |
| CN111565203B (zh) | 业务请求的防护方法、装置、系统和计算机设备 | |
| CN113746781A (zh) | 一种网络安全检测方法、装置、设备及可读存储介质 | |
| CN113518042A (zh) | 一种数据处理方法、装置、设备及存储介质 | |
| CN108737332B (zh) | 一种基于机器学习的中间人攻击预测方法 | |
| CN115134166A (zh) | 一种基于蜜洞的攻击溯源方法 | |
| Cambiaso et al. | A network traffic representation model for detecting application layer attacks | |
| Amal et al. | H-DOCTOR: Honeypot based firewall tuning for attack prevention | |
| CN109474567B (zh) | Ddos攻击溯源方法、装置、存储介质及电子设备 | |
| Boulaiche et al. | An auto-learning approach for network intrusion detection | |
| JP2005316779A (ja) | 不正アクセス検出装置ならびに検知ルール生成装置、検知ルール生成方法および検知ルール生成プログラム | |
| CN115001789B (zh) | 一种失陷设备检测方法、装置、设备及介质 | |
| Johnson et al. | Sms botnet detection for android devices through intent capture and modeling |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20200110 |
|
| RJ01 | Rejection of invention patent application after publication |