CN111147513B - 基于攻击行为分析的蜜网内横向移动攻击路径确定方法 - Google Patents
基于攻击行为分析的蜜网内横向移动攻击路径确定方法 Download PDFInfo
- Publication number
- CN111147513B CN111147513B CN201911411626.0A CN201911411626A CN111147513B CN 111147513 B CN111147513 B CN 111147513B CN 201911411626 A CN201911411626 A CN 201911411626A CN 111147513 B CN111147513 B CN 111147513B
- Authority
- CN
- China
- Prior art keywords
- attack
- honeypot
- source
- port
- target
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1491—Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供了一种基于攻击行为分析的蜜网内横向移动攻击路径确定方法,涉及蜜罐技术领域,包括如下步骤:S1:部署多个蜜罐组成蜜网环境;S2:对步骤S1中捕获到的所有蜜罐攻击数据,进行清洗和预处理;S3:将步骤S2中处理后的所有蜜罐攻击数据存储到数据库中进行持久化保存;S4:判断攻击数据的攻击源是否在蜜网环境内;若不在蜜网环境内,则当前蜜罐即为攻击者进入蜜网环境内的入口蜜罐;若在蜜网环境内,则当前蜜罐存在上游跳板蜜罐;S5:结合所有蜜罐攻击数据进行关联性分析;该发明提供的攻击路径完全按照攻击者在蜜网内横向移动攻击行为实际情况确定,不预设可能存在的攻击路径,较现有技术更为灵活精准。
Description
技术领域
本发明涉及蜜罐技术领域,特别涉及一种基于攻击行为分析的蜜网内横向移动攻击路径确定方法。
背景技术
蜜罐技术一般伪装成留有漏洞的网络服务,对攻击连接做出响应,可用于欺骗攻击方,增加其攻击代价,并对其进行监控。实际应用中通常将多个蜜罐搭建在同一个网络中形成蜜网,为攻击者提供真实丰富的业务环境,加大攻击者的识别难度。
当攻击者进入蜜网系统后,接下来便是进行横向移动攻击,寻找有价值的资源,为了更好的对攻击者进行监控,识别出攻击者的攻击意图及目标,需要掌握攻击者在蜜网内的横向移动攻击路径。
专利文献CN108234400A公开了一种攻击行为确定方法、装置及态势感知系统,该方案是根据目标访问行为的访问路径节点以及目标访问行为在访问路径节点的访问触发时刻,确定目标访问行为的访问路径时间轴;根据确定的攻击路径时间轴,和预设的攻击路劲信息库进行比对,匹配到已有记录时得出攻击路径结论。
而上述专利文献CN108234400A提供的攻击行为确定方法过于僵化,需要预设可能存在的攻击路径,当访问路径不存在与预设库中时无法对访问路径进行明确;而且当同时有多个攻击者进入到蜜网中,都在进行横向移动攻击,通过时间轴的方式将无法甄别出多个攻击者各自的攻击路径。
发明内容
为解决现有技术中的技术问题,本发明提供了一种基于攻击行为分析的蜜网内横向移动攻击路径确定方法,在本发明中,使用多个蜜罐组成蜜网环境,蜜罐中部署蜜罐监控程序进行实时监控,捕获到的攻击数据存储到装置中的数据存储模块,通过对攻击数据进行分析,准确定位出攻击者当前位置及在蜜网内横向移动路径;具体技术方案如下:
本发明提供了一种基于攻击行为分析的蜜网内横向移动攻击路径确定方法,其特征在于,包括如下步骤:
S1:部署多个蜜罐组成蜜网环境;所述蜜罐内设置有蜜罐监控模块,所述蜜罐监控模块用于精确识别当前蜜罐内活动攻击者,并将攻击行为数据和攻击者挂钩;
S2:对步骤S1中捕获到的所有蜜罐攻击数据,进行清洗和预处理,使得每一个蜜罐攻击数据均归属到相应的攻击源;
S3:将步骤S2中处理后的所有蜜罐攻击数据和相应的攻击源存储到数据库中进行持久化保存;
S4:判断蜜罐攻击数据相应的攻击源是否在蜜网环境内;若不在蜜网环境内,则当前蜜罐即为攻击者进入蜜网环境内的入口蜜罐;若在蜜网环境内,则当前蜜罐存在上游跳板蜜罐,进行步骤S5;
S5:结合步骤S3中数据库中保存的所有蜜罐攻击数据和相应的攻击源进行关联性分析,逐层追溯攻击者进入当前蜜罐使用的上游跳板蜜罐;直至成功追溯到所有上游跳板蜜罐;
S6:根据蜜罐间攻击行为的关联性逐层往上游跳板蜜罐进行路径回溯,描绘出攻击者进入蜜网环境内的入口蜜罐和在蜜网环境内横向移动攻击路径。
优选地,所述攻击行为数据和攻击源挂钩,即是将蜜罐监控程序捕获到的攻击行为和产生这条攻击行为的网络连接挂钩,每条攻击行为数据在和攻击源挂钩后,攻击行为数据中包含一条网络连接信息“源IP/源端口->目标IP/目标端口”,此时目标IP即为被攻击的蜜罐IP,目标端口即为被攻击的蜜罐服务端口。
优选地,所述蜜罐监控模块包括蜜罐监控程序,蜜罐监控程序实时监控蜜罐主机中的核心层、网络层和应用层,并将监控到的攻击行为数据和攻击者挂钩;所述蜜罐监控程序中的相关进程、文件、网络数据和网络连接具有深度隐藏特性。
优选地,步骤S2中蜜罐攻击数据的清洗和预处理是将蜜罐监控程序中获取到的原始蜜罐攻击数据结构、内容转化为有效的、具备统一结构的标准数据;使得每一个蜜罐攻击数据均归属到相应的确定的攻击源,所述攻击源为“源IP+源端口”。
优选地,步骤S2中的攻击数据包括以下两类数据:
a、每条攻击数据中包含产生该攻击行为的对应网络连接信息“源IP/源端口->目标IP/目标端口”,简称为link_in;
b、当攻击行为是向蜜罐外发起网络连接时,该攻击数据包含向外发起网络连接的连接信息,即“蜜罐IP/本地端口->外部IP/外部端,简称为link_out。
优选地,步骤S4中判断蜜罐攻击数据相应的攻击源是否在蜜网环境内之前,蜜罐通过建立网络连接实现网络与蜜罐的交互,网络连接表现形式为“源IP/源端口->目标IP/目标端口”,攻击蜜罐时目标IP为蜜罐IP,目标端口为蜜罐开放的服务端口,源IP为攻击者发起攻击的平台主机IP,源端口为发起攻击平台主机与蜜罐服务端口建立网络连接的端口。
优选地,步骤S4中根据“源IP/源端口->目标IP/目标端口”区分攻击数据的攻击源,并判断攻击数据的攻击源是否在蜜网环境内。
优选地,当多个攻击者同时攻击同一个蜜罐的同一个服务端口时,若攻击者不在同一个攻击平台主机,此时建立的网络连接表现为源IP不同,源端口可能相同;若攻击者都在同一个攻击平台主机,此时建立的网络连接表现为源IP相同,源端口必不相同,且源端口都在0-65535范围内,即“源IP/源端口->目标IP/目标端口”可确定唯一攻击源;当攻击平台主机为蜜网中的蜜罐时,获取该蜜罐内的攻击数据可进一步向上游溯源。
优选地,步骤S5中以不同蜜罐中捕获到的攻击数据为数据集,进行上游跳板蜜罐的溯源,溯源方法为:产生当前攻击数据的网络连接为link_in=“源IP/源端口->目标IP/目标端口”,则在数据库中查找存在link_out=“源IP/源端口->目标IP/目标端口”的攻击数据。
优选地,步骤S6中的当前蜜罐完整攻击路径的确定方式为:每个蜜罐的攻击数据被处理前,若存在上游跳板蜜罐时,上游跳板蜜罐的攻击源已溯源完毕,上游跳板蜜罐被攻击的攻击路径加上上游跳板蜜罐到达当前蜜罐这一段攻击路径即为攻击者到达当前蜜罐的完整攻击路径,蜜网环境包括蜜罐A、蜜罐B、蜜罐C……,最终完整攻击路径展现为“蜜网外IP->蜜罐A->蜜罐B->蜜罐C->……”的形式。
与现有技术相对比,本发明的有益效果如下:
(1)攻击路径完全按照攻击者在蜜网内横向移动攻击行为实际情况确定,不预设可能存在的攻击路径,较现有技术更为灵活精准;
(2)对攻击行为的关联性分析能够准确区分出不同攻击者的攻击行为,当多个攻击者同时在蜜网内进行横向渗透时能做到精准甄别。当多个攻击者进入同一蜜罐时现有技术单纯从攻击行为的时间维度无法甄别出捕获的攻击行为属于哪一个攻击者。
(3)本发明通过蜜罐内监控程序精准识别攻击者,当多个攻击者在攻击同一个蜜罐时,将攻击行为和具体攻击者挂钩;即本发明根据追击攻击者是根据蜜网内横向移动攻击行为实际情况确定,不预设可能存在的攻击路径,较现有技术提供的预设方法更为灵活精准,符合实际情况;
(4)本发明提供的步骤S6中的当前蜜罐完整攻击路径的确定方式为:每个蜜罐的攻击数据被处理前,若存在上游跳板蜜罐时,上游跳板蜜罐的攻击源已溯源完毕,上游跳板蜜罐被攻击的攻击路径加上上游跳板蜜罐到达当前蜜罐这一段攻击路径即为攻击者到达当前蜜罐的完整攻击路径,蜜网环境包括蜜罐A、蜜罐B、蜜罐C……,最终完整攻击路径展现为“蜜网外IP->蜜罐A->蜜罐B->蜜罐C->……”,即此确定完整攻击路径的方式简单、方便而且准确。
附图说明
图1为本发明提供的基于攻击行为分析的蜜网内横向移动攻击路径确定方法流程图;
图2是本发明提供的装置功能单元划分图;
具体实施方式
下面结合附图1-2,对本发明的具体实施方式作详细的说明。
参图1所示,图1为本发明提供的基于攻击行为分析的蜜网内横向移动攻击路径确定方法流程图;本发明通过蜜罐监控、攻击行为分析等技术手段实现对攻击行为和具体攻击者的关联,通过攻击行为数据间关联性分析等技术手段实现攻击来源回溯和蜜网内横向移动攻击路径描绘。
本发明提供了一种基于攻击行为分析的蜜网内横向移动攻击路径确定方法,其特征在于,包括如下步骤:
S1:部署多个蜜罐组成蜜网环境;所述蜜罐内设置有蜜罐监控模块,所述蜜罐监控模块用于精确识别当前蜜罐内活动攻击者,并将攻击行为数据和攻击者挂钩;
S2:对步骤S1中捕获到的所有蜜罐攻击数据,进行清洗和预处理,使得每一个蜜罐攻击数据均归属到相应的攻击源;
S3:将步骤S2中处理后的所有蜜罐攻击数据和相应的攻击源存储到数据库中进行持久化保存;
S4:判断蜜罐攻击数据相应的攻击源是否在蜜网环境内;若不在蜜网环境内,则当前蜜罐即为攻击者进入蜜网环境内的入口蜜罐;若在蜜网环境内,则当前蜜罐存在上游跳板蜜罐,进行步骤S5;
S5:结合步骤S3中数据库中保存的所有蜜罐攻击数据和相应的攻击源进行关联性分析,逐层追溯攻击者进入当前蜜罐使用的上游跳板蜜罐;直至成功追溯到所有上游跳板蜜罐;
S6:根据蜜罐间攻击行为的关联性逐层往上游跳板蜜罐进行路径回溯,描绘出攻击者进入蜜网环境内的入口蜜罐和在蜜网环境内横向移动攻击路径。
作为优选实施方式,本发明提供的步骤S1中所述的攻击行为数据和攻击源挂钩,即是将蜜罐监控程序捕获到的攻击行为和产生这条攻击行为的网络连接挂钩,每条攻击行为数据在和攻击源挂钩后,攻击行为数据中包含一条网络连接信息“源IP/源端口->目标IP/目标端口”,此时目标IP即为被攻击的蜜罐IP,目标端口即为被攻击的蜜罐服务端口。
作为优选实施方式,本发明提供的蜜罐监控模块包括蜜罐监控程序,蜜罐监控程序实时监控蜜罐主机中的核心层、网络层和应用层,并将监控到的攻击行为数据和攻击者挂钩;所述蜜罐监控程序中的相关进程、文件、网络数据和网络连接具有深度隐藏特性,通过常规手段及工具无法检测出;
作为优选实施方式,本发明提供的步骤S2中蜜罐攻击数据的清洗和预处理是将蜜罐监控程序中获取到的原始蜜罐攻击数据结构、内容转化为有效的、具备统一结构的标准数据;使得每一个蜜罐攻击数据均归属到相应的确定的攻击源,所述攻击源为“源IP+源端口”。
其中,本发明提供的步骤S2中的攻击数据包括以下两类数据:
a、每条攻击数据中包含产生该攻击行为的对应网络连接信息“源IP/源端口->目标IP/目标端口”,简称为link_in;
b、当攻击行为是向蜜罐外发起网络连接时,该攻击数据包含向外发起网络连接的连接信息,即“蜜罐IP/本地端口->外部IP/外部端,简称为link_out。
作为优选实施方式,本发明提供的步骤S4中判断蜜罐攻击数据相应的攻击源是否在蜜网环境内之前,蜜罐通过建立网络连接实现网络与蜜罐的交互,网络连接表现形式为“源IP/源端口->目标IP/目标端口”,攻击蜜罐时目标IP为蜜罐IP,目标端口为蜜罐开放的服务端口,源IP为攻击者发起攻击的平台主机IP,源端口为发起攻击平台主机与蜜罐服务端口建立网络连接的端口。
作为优选实施方式,本发明提供的步骤S4根据“源IP/源端口->目标IP/目标端口”区分攻击数据的攻击源,并判断攻击数据的攻击源是否在蜜网环境内。
网络连接“源IP/源端口->目标IP/目标端口”数据用于区分不同攻击源,对攻击源向上游溯源后可最终确定唯一攻击者的理论依据为:
1、当多个攻击者同时攻击同一个蜜罐的同一个服务端口时:
A、若攻击者不在同一个攻击平台主机,此时建立的网络连接表现为源IP不同,源端口可能相同;
B、若攻击者都在同一个攻击平台主机,此时建立的网络连接表现为源IP相同,源端口必不相同,且源端口都在0-65535范围内,
2、所以“源IP/源端口->目标IP/目标端口”可确定唯一攻击源;当攻击平台主机为蜜网中的蜜罐时,获取该蜜罐内的攻击数据可进一步向上游溯源。
作为优选实施方式,本发明提供的步骤S5中以不同蜜罐中捕获到的攻击数据为数据集,进行上游跳板蜜罐的溯源,溯源方法为:产生当前攻击数据的网络连接为link_in=“源IP/源端口->目标IP/目标端口”,则在数据库中查找存在link_out=“源IP/源端口->目标IP/目标端口”的攻击数据。
作为优选实施方式,本发明提供的步骤S6中的当前蜜罐完整攻击路径的确定方式为:每个蜜罐的攻击数据被处理前,若存在上游跳板蜜罐时,上游跳板蜜罐的攻击源已溯源完毕,上游跳板蜜罐被攻击的攻击路径加上上游跳板蜜罐到达当前蜜罐这一段攻击路径即为攻击者到达当前蜜罐的完整攻击路径,蜜网环境包括蜜罐A、蜜罐B、蜜罐C……,最终完整攻击路径展现为“蜜网外IP->蜜罐A->蜜罐B->蜜罐C->……”的形式。
实施例1
本发明提供的基于攻击行为分析的蜜网内横向移动攻击路径确定方法,包括如下步骤:
S1:部署多个蜜罐组成蜜网环境,蜜网环境包括蜜罐A、蜜罐B、蜜罐C……;
其中,蜜罐内设置有蜜罐监控模块,蜜罐监控模块是隐蔽运行在蜜罐内的一套监控程序,监控程序相关的进程、文件、网络数据及网络连接具备深度隐藏特性,通过常规手段及工具无法检测出;
所述监控程序实时监控蜜罐主机中的核心层、网络层和应用层,蜜罐监控模块用于精确识别当前蜜罐内活动攻击者,并将攻击行为数据和攻击源挂钩;
蜜罐中需要部署蜜罐监控程序,其中蜜罐监控程序具备能够精确识别当前蜜罐内活动攻击者能力,能够将攻击行为数据和攻击者挂钩,攻击数据和攻击者挂钩体现在每条数据都应识别出产生此攻击数据的攻击源,如以IP+端口区分攻击源,则此攻击数据应包含攻击源IP、攻击源端口(攻击源IP建立网络连接时的端口),攻击目标IP(此蜜罐IP),攻击目标端口(此蜜罐被攻击服务端口),攻击行为数据分类包括但不限于网络、命令、进程、文件等;
蜜罐访问与一般主机间访问方式一致,所以所述攻击源在攻击行为数据上体现为访问发起方的IP(源IP),由于可能存在多个攻击者以同一平台访问同一蜜罐,所以,更具体的攻击源在数据上应体现为“源IP+源端口“,这样就可以在同时有多个攻击者以同一平台攻击同一蜜罐时将蜜罐中捕获到的攻击数据准确归类到具体的攻击者;
所述IP和端口为TCP/IP协议中的IP地址和网络端口,其中端口范围为0-65535。不同主机间通过网络访问即是在彼此间建立网络连接,网络连接表现形式为“源IP/源端口->目标IP/目标端口”,其中源IP为网络连接发起方IP,源端口为网络连接发起方用于与目标方建立连接的本地端口(相对网络连接发起方),目标IP为访问目标的IP,目标端口为访问发起方想要访问的服务端口,也就是访问目标的一个网络服务端口;
所述攻击行为数据和攻击源挂钩,即是将蜜罐监控程序捕获到的攻击行为和产生这条攻击行为的网络连接挂钩,所以每条攻击行为数据在和攻击源挂钩后,攻击行为数据中应包含一条网络连接信息“源IP/源端口->目标IP/目标端口”,这里的目标IP即为被攻击的蜜罐IP,目标端口即为被攻击的蜜罐服务端口;
S2:对步骤S1中捕获到的所有蜜罐攻击数据进行清洗和预处理;
数据清洗和预处理是将蜜罐监控程序获取到的原始数据结构、内容转换为有效的、具备统一结构的标准数据,本方法中要求蜜罐捕获的攻击数据包含以下两类数据:
1.每条数据中都应包含产生该攻击行为的对应网络连接信息“源IP/源端口->目标IP/目标端口”(后续说明简称为link_in);
2.当攻击行为是向蜜罐外发起网络连接时,本条攻击数据应包含向外发起网络连接的连接信息,即“蜜罐IP/本地端口->外部IP/外部端口”(后续简称为link_out);
网络连接“源IP/源端口->目标IP/目标端口”数据用于区分不同攻击源,对攻击源向上游溯源后可最终确定唯一攻击者的理论依据为:
1、当多个攻击者同时攻击同一个蜜罐的同一个服务端口时:
A、攻击者不在同一个攻击平台主机,此时建立的网络连接表现为源IP不同,源端口可能相同;
B、攻击者都在同一个攻击平台主机,此时建立的网络连接表现为源IP相同,源端口必不相同,且端口都在0-65535范围内;
2、所以,“源IP/源端口->目标IP/目标端口”可确定出唯一攻击源,当攻击平台主机为蜜网中的蜜罐时,获取该蜜罐内的攻击数据可进一步向上游溯源;
S3:将步骤S2中处理后的所有蜜罐攻击数据存储到数据库中进行持久化保存;
S4:判断攻击数据的攻击源是否在蜜网环境内;
步骤S4中判断蜜罐攻击数据相应的攻击源是否在蜜网环境内之前,蜜罐通过建立网络连接实现网络与蜜罐的交互,网络连接表现形式为“源IP/源端口->目标IP/目标端口”,攻击蜜罐时目标IP为蜜罐IP,目标端口为蜜罐开放的服务端口,源IP为攻击者发起攻击的平台主机IP,源端口为发起攻击平台主机与蜜罐服务端口建立网络连接的端口。
其中,步骤S4中根据“源IP/源端口->目标IP/目标端口”区分攻击数据的攻击源,并判断攻击数据的攻击源是否在蜜网环境内。
当多个攻击者同时攻击同一个蜜罐的同一个服务端口时,若攻击者不在同一个攻击平台主机,此时建立的网络连接表现为源IP不同,源端口可能相同;若攻击者都在同一个攻击平台主机,此时建立的网络连接表现为源IP相同,源端口必不相同,且源端口都在0-65535范围内,即“源IP/源端口->目标IP/目标端口”可确定唯一攻击源;当攻击平台主机为蜜网中的蜜罐时,获取该蜜罐内的攻击数据可进一步向上游溯源。
S5:结合步骤S3中数据库中保存的所有蜜罐攻击数据进行关联性分析,追溯攻击者进入当前蜜罐使用的上游跳板蜜罐;以不同蜜罐中捕获到的攻击数据为数据集,进行上游跳板蜜罐的溯源,溯源方法为:
产生当前攻击数据的网络连接为link_in=“源IP/源端口->目标IP/目标端口”,则在数据库中查找存在link_out=“源IP/源端口->目标IP/目标端口”的攻击数据,
具体如下:例如:蜜罐A(蜜罐IP为192.168.10.11)中捕获到一条ssh服务攻击数据(记为data_A),产生该条攻击数据的网络连接为link_in=”192.168.10.10:5942->192.168.10.11:22”,其中攻击源IP“192.168.10.10”为蜜网内蜜罐B的蜜罐IP,则在数据库中查询蜜罐B内捕获的所有攻击数据是否存在link_out=”192.168.10.10:5942->192.168.10.11:22”的数据,我们忽略数据捕获存在遗漏和数据上传处理滞后的情况,则理论上必可以在蜜罐B的所有攻击数据中查找到蜜罐B向蜜罐A发起网络连接的数据(记为data_B,即攻击数据中包含link_out=”192.168.10.10:5942->192.168.10.11:22”的数据);
至此,可准确溯源到data_A的攻击源头为蜜罐B中data_B,data_B的攻击源头即为实施这一横向移动动作的源头。
S6:根据蜜罐间攻击行为的关联性逐层往上游跳板蜜罐进行路径回溯,描绘出攻击者进入蜜网环境内的入口蜜罐和在蜜网环境内横向移动攻击路径;具体为:S5中所追溯到的上游蜜罐在被攻击时间点上早于当前蜜罐,所以其数据已被处理完毕。所以,每个蜜罐的攻击数据被处理前,当存在上游蜜罐时,上游蜜罐的攻击源已溯源完毕,上游蜜罐被攻击的攻击路径加上上游蜜罐到达当前蜜罐这一段即为攻击者到达当前蜜罐的完整攻击路径,蜜网环境包括蜜罐A、蜜罐B、蜜罐C……,最终展现为“蜜网外IP->蜜罐A->蜜罐B->蜜罐C这样的形式”;
对分析数据进行梳理,根据蜜罐间攻击行为的关联性逐层往上游蜜罐进行路径回溯,最终描绘出攻击者进入蜜网的入口蜜罐和在蜜网内横向移动攻击路径。
参图2所示,本发明中实施基于攻击行为分析的蜜网内横向移动攻击路径确定方法利用横向移动攻击路径确定系统进行的,其包括蜜罐监控模块、攻击行为分析模块、数据存储模块和攻击路径溯源模块,其中蜜罐监控模块设置于蜜网环境内,蜜罐监控模块是隐蔽运行在蜜罐内的一套监控程序,监控程序相关的进程、文件、网络数据及网络连接具备深度隐藏特性,通过常规手段及工具无法检测出;
蜜罐监控模块用于将攻击行为数据和攻击源挂钩;
攻击行为分析模块用于将每一个蜜罐攻击数据均归属到相应的攻击源;
数据存储模块用于将处理后的所有蜜罐攻击数据存储到数据库中进行持久化保存;
攻击路径溯源模块用于根据蜜罐间攻击行为的关联性逐层往上游跳板蜜罐进行路径回溯,描绘出攻击者进入蜜网环境内的入口蜜罐和在蜜网环境内横向移动攻击路径;
以上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均包含在本发明的保护范围之内。
Claims (10)
1.基于攻击行为分析的蜜网内横向移动攻击路径确定方法,其特征在于,包括如下步骤:
S1:部署多个蜜罐组成蜜网环境;所述蜜罐内设置有蜜罐监控模块,所述蜜罐监控模块用于精确识别当前蜜罐内活动攻击源,并将攻击行为数据和攻击源挂钩;
S2:对步骤S1中捕获到的所有攻击行为数据,进行清洗和预处理,使得每一个攻击行为数据均归属到相应的攻击源;
S3:将步骤S2中处理后的所有攻击行为数据和相应的攻击源存储到数据库中进行持久化保存;
S4:判断攻击行为数据相应的攻击源是否在蜜网环境内;若不在蜜网环境内,则当前蜜罐即为攻击源进入蜜网环境内的入口蜜罐;若在蜜网环境内,则当前蜜罐存在上游跳板蜜罐,进行步骤S5;
S5:结合步骤S3中数据库中保存的所有攻击行为数据和相应的攻击源进行关联性分析,逐层追溯攻击源进入当前蜜罐使用的上游跳板蜜罐;直至成功追溯到所有上游跳板蜜罐;
S6:根据蜜罐间攻击行为的关联性逐层往上游跳板蜜罐进行路径回溯,描绘出攻击源进入蜜网环境内的入口蜜罐和在蜜网环境内横向移动攻击路径。
2.一种根据权利要求1所述的基于攻击行为分析的蜜网内横向移动攻击路径确定方法,其特征在于,所述攻击行为数据和攻击源挂钩,即是将蜜罐监控程序捕获到的攻击行为和产生这条攻击行为的网络连接挂钩,每条攻击行为数据在和攻击源挂钩后,攻击行为数据中包含一条网络连接信息“源IP/源端口->目标IP/目标端口”,此时目标IP即为被攻击的蜜罐IP,目标端口即为被攻击的蜜罐服务端口。
3.一种根据权利要求2所述的基于攻击行为分析的蜜网内横向移动攻击路径确定方法,其特征在于,所述蜜罐监控模块包括蜜罐监控程序,蜜罐监控程序实时监控蜜罐主机中的核心层、网络层和应用层,并将监控到的攻击行为数据和攻击源挂钩;所述蜜罐监控程序中的相关进程、文件、网络数据和网络连接具有深度隐藏特性。
4.一种根据权利要求3所述的基于攻击行为分析的蜜网内横向移动攻击路径确定方法,其特征在于,步骤S2中攻击行为数据的清洗和预处理是将蜜罐监控程序中获取到的原始攻击行为数据结构、内容转化为有效的、具备统一结构的标准数据;使得每一个攻击行为数据均归属到相应的确定的攻击源,所述攻击源为“源IP/源端口”。
5.一种根据权利要求4所述的基于攻击行为分析的蜜网内横向移动攻击路径确定方法,其特征在于,步骤S2中的攻击行为数据包括以下两类数据:
a、每条攻击行为数据中包含产生该攻击行为的对应网络连接信息“源IP/源端口->目标IP/目标端口”,简称为link_in;
b、当攻击行为是向蜜罐外发起网络连接时,该攻击行为数据包含向外发起网络连接的连接信息,即“蜜罐IP/本地端口->外部IP/外部端口 ,简称为link_out。
6.一种根据权利要求5所述的基于攻击行为分析的蜜网内横向移动攻击路径确定方法,其特征在于,步骤S4中判断攻击行为数据相应的攻击源是否在蜜网环境内之前,蜜罐通过建立网络连接实现网络与蜜罐的交互,网络连接表现形式为“源IP/源端口->目标IP/目标端口”,攻击蜜罐时目标IP为蜜罐IP,目标端口为蜜罐开放的服务端口,源IP为攻击源发起攻击的平台主机IP,源端口为发起攻击平台主机与蜜罐服务端口建立网络连接的端口。
7.一种根据权利要求6所述的基于攻击行为分析的蜜网内横向移动攻击路径确定方法,其特征在于,步骤S4中根据“源IP/源端口->目标IP/目标端口”区分攻击行为数据的攻击源,并判断攻击行为数据的攻击源是否在蜜网环境内。
8.一种根据权利要求7所述的基于攻击行为分析的蜜网内横向移动攻击路径确定方法,其特征在于,当多个攻击源同时攻击同一个蜜罐的同一个服务端口时,若攻击源不在同一个攻击平台主机,此时建立的网络连接表现为源IP不同,源端口可能相同;若攻击源都在同一个攻击平台主机,此时建立的网络连接表现为源IP相同,源端口必不相同,且源端口都在0-65535范围内,即“源IP/源端口->目标IP/目标端口”可确定唯一攻击源;当攻击平台主机为蜜网中的蜜罐时,获取该蜜罐内的攻击行为数据可进一步向上游溯源。
9.一种根据权利要求8所述的基于攻击行为分析的蜜网内横向移动攻击路径确定方法,其特征在于,步骤S5中以不同蜜罐中捕获到的攻击行为数据为数据集,进行上游跳板蜜罐的溯源,溯源方法为:产生当前攻击行为数据的网络连接为link_in=“源IP/源端口->目标IP/目标端口”,则在数据库中查找存在link_out=“源IP/源端口->目标IP/目标端口”的攻击行为数据。
10.一种根据权利要求1所述的基于攻击行为分析的蜜网内横向移动攻击路径确定方法,其特征在于,步骤S6中的当前蜜罐完整攻击路径的确定方式为:每个蜜罐的攻击行为数据被处理前,若存在上游跳板蜜罐时,上游跳板蜜罐的攻击源已溯源完毕,上游跳板蜜罐被攻击的攻击路径加上上游跳板蜜罐到达当前蜜罐这一段攻击路径即为攻击源到达当前蜜罐的完整攻击路径,蜜网环境包括蜜罐A、蜜罐B、蜜罐C……,最终完整攻击路径展现为“蜜网外IP->蜜罐A->蜜罐B->蜜罐C->……”的形式。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911411626.0A CN111147513B (zh) | 2019-12-31 | 2019-12-31 | 基于攻击行为分析的蜜网内横向移动攻击路径确定方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911411626.0A CN111147513B (zh) | 2019-12-31 | 2019-12-31 | 基于攻击行为分析的蜜网内横向移动攻击路径确定方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111147513A CN111147513A (zh) | 2020-05-12 |
| CN111147513B true CN111147513B (zh) | 2020-08-14 |
Family
ID=70522516
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201911411626.0A Active CN111147513B (zh) | 2019-12-31 | 2019-12-31 | 基于攻击行为分析的蜜网内横向移动攻击路径确定方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111147513B (zh) |
Families Citing this family (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111669403A (zh) * | 2020-06-24 | 2020-09-15 | 广州锦行网络科技有限公司 | 一种多引流多诱捕节点部署系统 |
| CN112351017B (zh) * | 2020-10-28 | 2022-08-26 | 北京奇虎科技有限公司 | 横向渗透防护方法、装置、设备及存储介质 |
| CN112367315B (zh) * | 2020-11-03 | 2021-09-28 | 浙江大学 | 一种内生安全waf蜜罐部署方法 |
| CN113055396B (zh) * | 2021-03-26 | 2023-02-03 | 深信服科技股份有限公司 | 一种跨终端溯源分析的方法、装置、系统和存储介质 |
| CN113904820A (zh) * | 2021-09-27 | 2022-01-07 | 杭州安恒信息技术股份有限公司 | 网络入侵防护方法、系统、计算机及可读存储介质 |
| CN113965412A (zh) * | 2021-11-22 | 2022-01-21 | 国家电网公司华中分部 | 一种蜜罐攻击阶段分析与聚合系统的方法 |
| CN114285623B (zh) * | 2021-12-21 | 2023-01-20 | 北京永信至诚科技股份有限公司 | 一种网络安全蜜罐系统指标的评估方法及装置 |
| CN114422240B (zh) * | 2022-01-19 | 2024-03-15 | 湖南警察学院 | 基于攻击行为分析的物联网跨层攻击路径识别方法 |
| CN114978750B (zh) * | 2022-06-15 | 2024-07-02 | 上海斗象信息科技有限公司 | 一种攻击路径的确定方法及装置、电子设备、存储介质 |
| CN115174179B (zh) * | 2022-06-29 | 2023-05-23 | 北京永信至诚科技股份有限公司 | 蜜罐系统的仿真改进方法、装置、设备及可读存储介质 |
| CN115549943B (zh) * | 2022-07-12 | 2023-05-23 | 方滨兴 | 一种基于四蜜的一体化网络攻击检测方法 |
Family Cites Families (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102739647A (zh) * | 2012-05-23 | 2012-10-17 | 国家计算机网络与信息安全管理中心 | 基于高交互蜜罐的网络安全系统及实现方法 |
| US9178899B2 (en) * | 2013-08-28 | 2015-11-03 | Bank Of America Corporation | Detecting automated site scans |
| CN107707576A (zh) * | 2017-11-28 | 2018-02-16 | 深信服科技股份有限公司 | 一种基于蜜罐技术的网络防御方法及系统 |
| CN109995705B (zh) * | 2017-12-29 | 2022-03-25 | 北京安天网络安全技术有限公司 | 基于高交互蜜罐系统的攻击链检测方法及装置 |
| CN109495443B (zh) * | 2018-09-13 | 2021-02-19 | 中国科学院信息工程研究所 | 一种基于主机蜜罐对抗勒索软件攻击的方法和系统 |
| CN109462599B (zh) * | 2018-12-13 | 2021-05-11 | 烽台科技(北京)有限公司 | 一种蜜罐管理系统 |
| CN109617878A (zh) * | 2018-12-13 | 2019-04-12 | 烽台科技(北京)有限公司 | 一种蜜网的组建方法及系统、计算机可读存储介质 |
| CN110519276A (zh) * | 2019-08-29 | 2019-11-29 | 中国科学院信息工程研究所 | 一种检测内网横向移动攻击的方法 |
-
2019
- 2019-12-31 CN CN201911411626.0A patent/CN111147513B/zh active Active
Also Published As
| Publication number | Publication date |
|---|---|
| CN111147513A (zh) | 2020-05-12 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111147513B (zh) | 基于攻击行为分析的蜜网内横向移动攻击路径确定方法 | |
| CN111935170B (zh) | 一种网络异常流量检测方法、装置及设备 | |
| CN108471429B (zh) | 一种网络攻击告警方法及系统 | |
| CN108881263B (zh) | 一种网络攻击结果检测方法及系统 | |
| CN111698214A (zh) | 网络攻击的安全处理方法、装置及计算机设备 | |
| CN108833185B (zh) | 一种网络攻击路线还原方法及系统 | |
| CN110351237B (zh) | 用于数控机床的蜜罐方法及装置 | |
| CN111049786A (zh) | 一种网络攻击的检测方法、装置、设备及存储介质 | |
| CN110708292A (zh) | Ip处理方法、装置、介质、电子设备 | |
| CN111049783A (zh) | 一种网络攻击的检测方法、装置、设备及存储介质 | |
| CN111541670A (zh) | 一种新型动态蜜罐系统 | |
| CN111049784A (zh) | 一种网络攻击的检测方法、装置、设备及存储介质 | |
| CN111049781A (zh) | 一种反弹式网络攻击的检测方法、装置、设备及存储介质 | |
| CN112217777A (zh) | 攻击回溯方法及设备 | |
| CN113114690A (zh) | 威胁事件识别方法、装置、设备及存储介质 | |
| CN112565278A (zh) | 一种捕获攻击的方法及蜜罐系统 | |
| CN114363053A (zh) | 一种攻击识别方法、装置及相关设备 | |
| CN111859374A (zh) | 社会工程学攻击事件的检测方法、装置以及系统 | |
| CN105656730A (zh) | 一种基于tcp数据包的网络应用快速发现方法和系统 | |
| CN112751863B (zh) | 一种攻击行为分析方法及装置 | |
| CN109474567B (zh) | Ddos攻击溯源方法、装置、存储介质及电子设备 | |
| CN113676497A (zh) | 数据阻断的方法和装置、电子设备和存储介质 | |
| CN109245963A (zh) | 网络终端类型的识别方法及相关设备 | |
| CN117221423A (zh) | 一种流量分析方法、装置、电子设备及存储介质 | |
| CN113824721B (zh) | 基于网络的信息处理方法及电子设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| PE01 | Entry into force of the registration of the contract for pledge of patent right | ||
| PE01 | Entry into force of the registration of the contract for pledge of patent right |
Denomination of invention: A method for determining attack path of horizontal movement in honeynet based on attack behavior analysis Effective date of registration: 20221219 Granted publication date: 20200814 Pledgee: CITIC Bank Co.,Ltd. Guangzhou Branch Pledgor: GUANGZHOU JEESEEN NETWORK TECHNOLOGIES Co.,Ltd. Registration number: Y2022440000334 |