CN113992444A - 一种基于主机防御的网络攻击溯源与反制系统 - Google Patents

Abstract

本发明提出的一种基于主机防御的网络攻击溯源与反制系统，属于网络安全技术领域。包括：零信任模块，用于根据策略确定业务流量的信任度，根据信任度判断攻击流量，并将攻击流量发送至蜜罐模块；蜜罐模块，用于引诱攻击流量的发送端进行数据交互，生成攻击者信息反馈给统一数据安全管理平台；反制模块，用于当攻击流量触发蜜饵后，探测发现相应的攻击者环境并获取攻击者信息上报至统一数据安全管理平台；统一数据安全管理平台，用于将攻击者信息作为训练数据输入到预设深度学习模型中，并将生成的策略下发至零信任模块。本发明能够有效提升对网络流量攻击的识别率，通过对已知攻击流量进行诱捕欺骗，不断优化识别策略，并进行精准反制。

Description

一种基于主机防御的网络攻击溯源与反制系统

技术领域

本发明涉及网络安全技术领域，更具体的说是涉及一种基于主机防御的网络攻击溯源与反制系统。

背景技术

随着计算机网络技术不断发展,网络应用的逐渐普及和规模的日益扩大，由此产生了巨大的网络安全隐患, 近年来，网络攻击事件频繁发生，攻击泛滥已成互联网行业重病。计算机网络攻击是指网络攻击者通过非法的手段获得非法的权限并通过使用这些非法的权限使网络攻击者能够对被攻击的主机进行非授权的操作。面对多种多样的网络攻击，如何实现网络环境的安全部署，更好的防御这些攻击是保障网络安全的关键所在。

当前，针对网络攻击的防御和检查，主要采用以下两种解决方案：

方案一是通过主机监控程序在实际业务中进行部署，直接对攻击者进行防御和检测。这种方式具有开发工作量小，稳定性好的优点。但是，方案一会造成攻击流量直接进攻真实资产环境，对一些重要的业务环境，从而造成无法弥补的损害。同时在真实的业务环境上进行部署由于部署的粒度过大，检测精准度不高，导致一些攻击者长期潜伏，无法及时阻止攻击。

方案二是通过蜜罐进行对攻击者的欺骗诱导，将攻击流量引诱到容器中，进行行为分析，特征提取，洞察攻击者意图，同时能有效避免攻击者将入侵主机作为跳板而进行的横向渗透。这种方式有效的保护了真实的业务，避免攻击者横向扩散攻击。但是，由于蜜罐系统作用域小，并不能进行攻击的有效阻断，只能提取攻击者的行为特征。从安全的根本上是作为一个数据源提供，缺少阻断和反制能力，因此单一的蜜罐系统并不能解决网络中存在的隐患问题。

发明内容

针对现有技术中存在的问题，本发明的目的在于提供一种基于主机防御的网络攻击溯源与反制系统，能够有效提升对网络流量攻击的识别率，通过对已知攻击流量进行诱捕欺骗，不断优化识别策略，并进行精准反制。

本发明为实现上述目的，通过以下技术方案实现：

一种基于主机防御的网络攻击溯源与反制系统，包括：

零信任模块，用于读取业务流量，根据统一数据安全管理平台下发的策略确定业务流量的信任度，根据信任度判断业务流量是否为攻击流量，并将攻击流量发送至蜜罐模块；

蜜罐模块，用于通过预先部署的蜜饵引诱攻击流量的发送端进行数据交互，获取攻击流量的发送端的意图、分析攻击流量的发送端的攻击方式和特征信息，并生成攻击者信息反馈给统一数据安全管理平台；

反制模块，用于当攻击流量触发蜜饵后，主动向攻击流量的发送端进行探测，发现相应的攻击者环境并获取攻击者信息上报至统一数据安全管理平台；

统一数据安全管理平台，用于将上报的攻击者信息作为训练数据输入到预设深度学习模型中进行训练，并将生成的策略下发至零信任模块。

进一步，所述零信任模块包括：

策略决策点，用于对业务流量进行等级的划分，根据业务的重要性以及统一数据安全管理平台下发的策略分成不同的等级，相同的等级之间具有相同的信任度；

策略执行点，用于启动、监控和终止资源间的连接。

进一步，所述策略决策点包括：

策略引擎，用于根据所述策略确定访问权限；

策略管理员，用于生成访问的令牌或凭证，进行资源间的通信。

通过上述对零信任模块的结构和功能描述可知，零信任模块作为安全准入的第一个入口，对资源的访问进行访问保护，在安全的区域之间实现第一道网络安全的边界，通过动态的分配访问权限实现最小化权限原则，通过持续化的安全检测和信任评估，进行动态、细粒度的授权。

进一步，所述根据信任度判断业务流量是否为攻击流量，并将攻击流量发送至蜜罐模块，包括：

将信任度高于预设阈值的业务流量初步认定为正常流量，将信任度低于预设阈值的业务流量初步认定为攻击流量，将攻击流量引诱至蜜罐之中，使攻击流量的发送端触发蜜饵。

进一步，所述系统还包括：

主机监控模块，用于读取初步认定为正常流量的业务流量，对相应的进程、网络、文件和驱动进行实时监控，发现可疑行为后进行处理。

进一步，所述反制模块具体用于：

当攻击流量触发蜜饵时，在蜜饵中部署溯源链接程序，攻击流量的发送端获取蜜饵中的数据时将溯源链接程序注入到攻击流量的发送端的网络环境中，建立一条反向链接，对攻击流量的发送端的网络环境进行检测，获取攻击者的信息并回传，将攻击者的信息上报给统一数据安全管理模块，进行策略再优化。

进一步，溯源链接程序可采用根据环境制作的特定的、具有攻击性、用于溯源的木马程序。

进一步，所述反制模块还用于：

根据攻击者信息绘画攻击者画像，并进行攻击信息展示。

进一步，所述统一数据安全管理平台具体用于：

获取上报的攻击者信息作为原始训练数据，通过原始训练数据和带训练的原始学习模型进行构建转换层，将原始训练数据进行数据转换，并将转换后的数据填充到原始数据中构建训练数据；

将训练数据对原始数据模型进行训练，得到学习模型，将构建的转换层插入到得到的深度学习模型的输入层后进行训练，并将生成的策略下发至零信任模块。

对比现有技术，本发明有益效果在于：

1、本发明通过多个数据防护和网络识别模块实现对网络流量的筛选过滤，识别出可疑流量进行诱捕欺骗，将可疑流量转发至蜜罐中，观察分析流量行为，提取流量的特征值，上报给统一数据安全管理平台。这种做法有效的减低了对业务环境的消耗，同时避免可疑流量攻击真实业务和横向渗透攻击蔓延内部网络。将流量攻击特征进行提取上报，由统一数据安全管理平台分析，通过态势感知实现对安全威胁的识别、理解和分析，根据特征进行建模，进行深度学习模型训练，同时反馈结果，更新维护策略，实现对入侵流量的加强过滤。

2、本系统将识别到的可疑流量引流至蜜罐之中。通过攻击者触碰在蜜罐中的蜜饵，进行可疑确认，对攻击流量进行信标插入，触发监控。同时将已确认的攻击流量特征进行提取，上报统一数据安全管理平台进行策略更新、学习。开启反制模块，主动向攻击源进行探测，建立反向连接，通过向攻击源远程上传溯源链接程序，以获取攻击者溯源信息。

3、本发明能够将正常的业务流量进行持续化的监控，通过主机监控模块实现对业务所处终端的实时保护，防止由于前期策略粒度过粗导致攻击流量进入，影响真实业务，监控业务中出现的可疑现象，及时制止、更新策略并进行反制。

4、本发明提升了对攻击流量的识别率，通过建模不断训练增加可持续学习，不断提高对攻击流量的识别，降低了系统运行时对攻击流量的资源消耗，为网络全流量采集对接不同业务分析处理系统的架构的实施提供了性能上的优化，从而为业务平台实施提供了性能保障。本系统增加了反制溯源功能模块，不进行单一防御，能够从根本上找到并获取攻击信息。

由此可见，本发明与现有技术相比，具有突出的实质性特点和显著的进步，其实施的有益效果也是显而易见的。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据提供的附图获得其他的附图。

附图1是本发明实施例一的系统结构图。

附图2是本发明实施例二的处理流程示意图。

具体实施方式

下面结合附图对本发明的具体实施方式做出说明。

实施例一：

如图1所示，本发明提供了一种基于主机防御的网络攻击溯源与反制系统，包括：零信任模块、蜜罐模块、反制模块、统一数据安全管理平台和主机监控模块。

零信任模块，用于读取业务流量，根据统一数据安全管理平台下发的策略确定业务流量的信任度，根据信任度判断业务流量是否为攻击流量，并将攻击流量发送至蜜罐模块。

其中，根据信任度判断业务流量是否为攻击流量，包括：

将信任度高于预设阈值的业务流量初步认定为正常流量，将信任度低于预设阈值的业务流量初步认定为攻击流量，将攻击流量引诱至蜜罐之中，使攻击流量的发送端触发蜜饵。

具体来说，零信任模块包括：策略决策点，用于对业务流量进行等级的划分，根据业务的重要性以及统一数据安全管理平台下发的策略分成不同的等级，相同的等级之间具有相同的信任度；策略执行点，用于启动、监控和终止资源间的连接。其中，策略决策点包括：策略引擎，用于根据所述策略确定访问权限；策略管理员，用于生成访问的令牌或凭证，进行资源间的通信。

零信任模块作为安全准入的第一个入口，对资源的访问进行访问保护，在安全的区域之间实现第一道网络安全的边界，通过动态的分配访问权限实现最小化权限原则，通过持续化的安全检测和信任评估，进行动态、细粒度的授权。

主机监控模块，用于读取初步认定为正常流量的业务流量，对相应的进程、网络、文件和驱动进行实时监控，发现可疑行为后进行处理。

蜜罐模块，用于通过预先部署的蜜饵引诱攻击流量的发送端进行数据交互，获取攻击流量的发送端的意图、分析攻击流量的发送端的攻击方式和特征信息，并生成攻击者信息反馈给统一数据安全管理平台。

反制模块，用于当攻击流量触发蜜饵后，主动向攻击流量的发送端进行探测，发现相应的攻击者环境并获取攻击者信息上报至统一数据安全管理平台。反制模块具体用于：当攻击流量触发蜜饵时，在蜜饵中部署溯源链接程序，攻击流量的发送端获取蜜饵中的数据时将溯源链接程序注入到攻击流量的发送端的网络环境中，建立一条反向链接，对攻击流量的发送端的网络环境进行检测，获取攻击者的信息并回传，将攻击者的信息上报给统一数据安全管理模块，进行策略再优化。同时绘画攻击者画像，进行攻击信息展示。其中，溯源链接程序可采用根据环境制作的特定的、具有攻击性、用于溯源的木马程序。

统一数据安全管理平台，用于将上报的攻击者信息作为训练数据输入到预设深度学习模型中进行训练，并将生成的策略下发至零信任模块。统一数据安全管理平台具体用于：首先，获取上报的攻击者信息作为原始训练数据，通过原始训练数据和带训练的原始学习模型进行构建转换层，将原始训练数据进行数据转换，并将转换后的数据填充到原始数据中构建训练数据。然后，将训练数据对原始数据模型进行训练，得到学习模型，将构建的转换层插入到得到的深度学习模型的输入层后进行训练，并将生成的策略下发至零信任模块。

本实施例提供了一种基于主机防御的网络攻击溯源与反制系统，提升了主机系统对网络流量攻击的识别率，通过蜜罐模块对已知攻击流量进行诱捕欺骗，不断优化识别策略，进行精准反制。通过主机监控模块，对不确定流量进行实时监控，及时阻断、制止攻击，同时进一步优化现有识别策略，进行精准反制。

实施例二：

基于实施例一，如图2所述，本实施例还公开了一种基于主机防御的网络攻击溯源与反制系统，包括：零信任模块、蜜罐模块、反制模块、统一数据安全管理平台和主机监控模块。

零信任模块：零信任模块架构整体是由策略决策点和策略执行点两个组件构成，其中策略决策点包含策略引擎和策略管理员两个核心模块。策略引擎主要负责最终的决策给定的访问权限；策略管理员则是用于生成访问的令牌或凭证，实现资源间的通信；策略执行点则是负责启动、监控和终止资源之间的连接。

业务流量在进入终端后，首先会进入零信任模块，策略决策点会对于业务流量进行等级的划分，根据业务的重要性以及统一数据安全管理平台下发的策略划分成不同的等级，相同的等级之间具有相同的信任度。对于信任度高于阈值的业务流量初步认定为正常流量是指进入到主机监控模块进入后续的监控，对于信任度低于阈值的业务流量初步认定为攻击流量，将攻击流量引诱至蜜罐之中，使攻击流量的发送端触发蜜饵。

蜜罐模块：蜜罐模块是由虚拟环境的业务环境中部署一定的蜜饵，通过蜜饵引诱攻击者进入部署的对应蜜罐中，通过蜜罐与攻击者进行交互，获取攻击者的意图，分析攻击者的攻击方式以及攻击者的特征信息，将数据反馈给统一数据安全管理平台，不断的优化策略，减少攻击者的攻击，对攻击行为进行有效的阻止。

主机监控模块：该模块部署在真实的业务环境之中，为了避免由于策略或者检测粒度过大从到疏漏的攻击流量的攻击，实现的一道有力屏障，主要包括对进程、网络、文件和驱动的实时监控，发现可疑的行为及时处理，减少攻击者对真实环境的攻击伤害，避免业务受到影响，同时在检测到攻击流量后及时的进行反制攻击。

反制模块：反制模块用于主动向攻击者进行探测，发现攻击者环境。当攻击者触发蜜饵时，在蜜饵中部署溯源链接程序（根据环境制作的特定的、具有攻击性、用于溯源的木马程序），攻击者获取蜜饵中的数据时将溯源链接程序注入到攻击者的环境中，建立一条反向链接，对攻击环境进行检测，获取攻击者的信息回传给终端，反制模块将攻击者的信息上报给统一数据安全管理平台，进行策略在优化，同时绘画攻击者画像，进行攻击信息展示。

统一数据安全管理平台：统一数据安全管理平台首先获取终端上报的攻击者信息作为原始训练数据，通过原始训练数据和带训练的原始学习模型进行构建转换层，将原始数据进行数据转换，并将转换后的数据填充到原始数据中构建训练数据。将训练数据对原始数据模型进行训练，得到学习模型，将构建的转换层插入到得到的深度学习模型的输入层后面，得到鲁棒性更高的深度学习模型，不断更新数据进行训练提高模型的鲁棒性，从而达到通用性更高、可靠性更强并且防御效果更好的策略进行防护。

本领域的技术人员可以清楚地了解到本发明实施例中的技术可借助软件加必需的通用硬件平台的方式来实现。基于这样的理解，本发明实施例中的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中如U盘、移动硬盘、只读存储器（ROM，Read-Only Memory）、随机存取存储器（RAM，Random Access Memory）、磁碟或者光盘等各种可以存储程序代码的介质，包括若干指令用以使得一台计算机终端（可以是个人计算机，服务器，或者第二终端、网络终端等）执行本发明各个实施例所述方法的全部或部分步骤。本说明书中各个实施例之间相同相似的部分互相参见即可。尤其，对于终端实施例而言，由于其基本相似于方法实施例，所以描述的比较简单，相关之处参见方法实施例中的说明即可。

在本发明所提供的几个实施例中，应该理解到，所揭露的系统、系统和方法，可以通过其它的方式实现。例如，以上所描述的系统实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，系统或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。

所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。

另外，在本发明各个实施例中的各功能模块可以集成在一个处理单元中，也可以是各个模块单独物理存在，也可以两个或两个以上模块集成在一个单元中。

结合附图和具体实施例，对本发明作进一步说明。应理解，这些实施例仅用于说明本发明而不用于限制本发明的范围。此外应理解，在阅读了本发明讲授的内容之后，本领域技术人员可以对本发明作各种改动或修改，这些等价形式同样落于本申请所限定的范围。

Claims (8)

1.一种基于主机防御的网络攻击溯源与反制系统，其特征在于，包括：

零信任模块，用于读取业务流量，根据统一数据安全管理平台下发的策略确定业务流量的信任度，根据信任度判断业务流量是否为攻击流量，并将攻击流量发送至蜜罐模块；

蜜罐模块，用于通过预先部署的蜜饵引诱攻击流量的发送端进行数据交互，获取攻击流量的发送端的意图、分析攻击流量的发送端的攻击方式和特征信息，并生成攻击者信息反馈给统一数据安全管理平台；

反制模块，用于当攻击流量触发蜜饵后，主动向攻击流量的发送端进行探测，发现相应的攻击者环境并获取攻击者信息上报至统一数据安全管理平台；

统一数据安全管理平台，用于将上报的攻击者信息作为训练数据输入到预设深度学习模型中进行训练，并将生成的策略下发至零信任模块。

2.根据权利要求1所述的基于主机防御的网络攻击溯源与反制系统，其特征在于，所述零信任模块包括：

策略决策点，用于对业务流量进行等级的划分，根据业务的重要性以及统一数据安全管理平台下发的策略分成不同的等级，相同的等级之间具有相同的信任度；

策略执行点，用于启动、监控和终止资源间的连接。

3.根据权利要求2所述的基于主机防御的网络攻击溯源与反制系统，其特征在于，所述策略决策点包括：

策略引擎，用于根据所述策略确定访问权限；

策略管理员，用于生成访问的令牌或凭证，进行资源间的通信。

4.根据权利要求3所述的基于主机防御的网络攻击溯源与反制系统，其特征在于，所述根据信任度判断业务流量是否为攻击流量，并将攻击流量发送至蜜罐模块，包括：

将信任度高于预设阈值的业务流量初步认定为正常流量，将信任度低于预设阈值的业务流量初步认定为攻击流量，将攻击流量引诱至蜜罐之中，使攻击流量的发送端触发蜜饵。

5.根据权利要求4所述的基于主机防御的网络攻击溯源与反制系统，其特征在于， 所述系统还包括：

主机监控模块，用于读取初步认定为正常流量的业务流量，对相应的进程、网络、文件和驱动进行实时监控，发现可疑行为后进行处理。

6.根据权利要求1所述的基于主机防御的网络攻击溯源与反制系统，其特征在于， 所述反制模块具体用于：

当攻击流量触发蜜饵时，在蜜饵中部署溯源链接程序，攻击流量的发送端获取蜜饵中的数据时将溯源链接程序注入到攻击流量的发送端的网络环境中，建立一条反向链接，对攻击流量的发送端的网络环境进行检测，获取攻击者的信息并回传，将攻击者的信息上报给统一数据安全管理模块，进行策略再优化。

7.根据权利要求6所述的基于主机防御的网络攻击溯源与反制系统，其特征在于，所述反制模块还用于：

根据攻击者信息绘画攻击者画像，并进行攻击信息展示。

8.根据权利要求1所述的基于主机防御的网络攻击溯源与反制系统，其特征在于，所述统一数据安全管理平台具体用于：

获取上报的攻击者信息作为原始训练数据，通过原始训练数据和带训练的原始学习模型进行构建转换层，将原始训练数据进行数据转换，并将转换后的数据填充到原始数据中构建训练数据；

将训练数据对原始数据模型进行训练，得到学习模型，将构建的转换层插入到得到的深度学习模型的输入层后进行训练，并将生成的策略下发至零信任模块。

Images