CN115208679A - 一种基于蜜阵协同的攻击者ip的防御方法和防御系统 - Google Patents

Abstract

本发明提供一种基于蜜阵协同的攻击者IP的防御方法和防御系统，以蜜点为基础具备更强的实用性，蜜阵中的蜜点数目的自适应配置可以结合被保护系统的具体情况，在保证被保护系统安全性的同时有效控制部署资源和成本，蜜点的动态部署能力可以在遇到陷阱探测类手段时有效提高蜜阵的灵活应对能力，极大提高了被保护系统的安全性；本发明采用基于蜜阵协同的方法对攻击者IP进行识别，相较于使用单一的蜜点或蜜阵，可以实现大范围攻击者IP的排查以及大范围非法访问者信息的收集，并通过跨系统、跨行业、跨区域的多蜜阵访问信息的聚合从而实现对攻击者IP排查准确率的提高，更加符合互联网络中的真实部署需求。

Description

一种基于蜜阵协同的攻击者IP的防御方法和防御系统

技术领域

本发明涉及网络安全技术领域，尤其涉及一种基于蜜阵协同的攻击者IP的防御方法和防御系统。

背景技术

如今互联网技术得到了迅猛发展，互联网给我们带来了方便和快捷，它在改变人们学习、工作、生活方式的同时，也为不法分子提供了全新的犯罪渠道，使得近几年网络攻击事件频发，这给国家造成的损失也是难以估量的，因此国家对网络安全问题的关注也在日益加大。

目前，随着网络攻击手段的多样化发展，使得原本以蜜罐为代表的一系列防御手段在面对像高级持续性威胁攻击等新式攻击手段时变得颇为吃力。而且在网络攻防体系中，攻防双方的力量和成本消耗也是不均衡的，以经典的防御手段蜜罐为例，通常部署一个具有高交互性的蜜罐所需要的资源和部署成本都是巨大的，这也注定了蜜罐的部署是规模受限的，一旦攻击者在进行正式攻击之前使用了陷阱探测类的手段，使得蜜罐位置遭到暴露，不仅会浪费前期在蜜罐中所投入的大量开销，还会极大的威胁到被保护系统的安全。

发明内容

本发明的实施例提供了一种基于蜜阵协同的攻击者IP的防御方法和防御系统，用于解决现有技术中存在的问题。

为了实现上述目的，本发明采取了如下技术方案。

一种基于蜜阵协同的攻击者IP的防御方法，包括：

S1选取多个被保护系统，进行蜜阵的蜜点数目的自适应配置；

S2基于被保护系统的结构和内容选取待仿真目标，并对选取的待仿真目标进行验证评估；若待仿真目标不满足验证评估的要求，则重新选取待仿真目标；

S3基于进行了自适应配置的蜜点数目，结合选取完成的待仿真目标，构建多个蜜点；基于该多个蜜点，进行多个蜜阵的搭建和部署；

S4通过多个蜜阵，获取非法访问者的属性信息，形成多个蜜阵访问日志；

S5基于多个蜜阵访问日志，分别对非法访问者进行IP画像和访问行为分析；

S6基于非法访问者的IP画像和访问行为分析的结果，对非法访问者的IP画像进行聚合操作；

S7基于聚合后的非法访问者的IP画像，对非法访问者的IP进行二次核验；

S8基于二次核验的结果，进行攻击碰撞和IP安全核查；

S9基于攻击碰撞和IP安全核查的结果，以及二次核验的结果，完善非法访问者的IP画像；

S10基于完善后的非法访问者的IP画像，对疑似攻击行为的IP进行访问阻断。

优选地，步骤S1中，进行蜜阵的蜜点数目的自适应配置包括：基于正态分布，并结合被保护系统的被攻击数、被攻击强度、网站重要程度、鲁棒性进行蜜阵的蜜点数目的自适应配置。

优选地，步骤S2包括：

S21基于被保护系统的内容和结构的关联度，设置被保护系统的关联度评价阈值；

S22基于所述蜜阵的蜜点数目，从被保护系统中选取对应数目的待仿真目标；

S23计算各所述待仿真目标的内容和结构的关联度的值；若所述待仿真目标的内容和结构的关联度的值大于关联度评价阈值，则返回执行子步骤S22。

优选地，步骤S3包括：

S31当所述被保护系统在内网中且不对外公开时，所述蜜点靶标被设置在该内网的同一网段中；

S32当所述被保护系统的访问域名为随机性质，且仅提供给授权用户访问时，所述蜜点靶标被设置为与所述被保护系统对应的具有随机性质的访问域名，所述蜜点靶标的访问域名还位于子域名爆破的列表中；

S33当所述被保护系统仅通过WAF进行域名-地址映射时，所述蜜点靶标基于该被保护系统的设置方式，还接受外网直接IP访问；

S34当所述蜜点靶标被设置在所述被保护系统的外网区域时，所述蜜点靶标具有与该被保护系统相关的假域名，该假域名不对外关联。

优选地，步骤S5包括：

S51基于所述蜜阵访问日志，获得非法访问者的属性信息，所述非法访问者的属性信息包括：访问IP、访问设备及浏览器信息、访问者位置、访问路径、访问内容、访问频次、访问时间、访问时长、访问请求方式、访问请求协议、服务器返回状态和服务器返回字节数；

S52基于所述非法访问者的属性信息和蜜点靶标的设置信息，通过归纳整理，分别获得实体型知识、关系型知识和属性型知识；

所述实体型知识包括蜜阵类、访问者类和访问信息类；所述关系型知识包括：描述蜜阵与疑似攻击者类别间的从属关系、描述蜜阵与爬虫类别间的从属关系、描述蜜阵与高概率攻击者类别间的从属关系、描述访问者类与访问者编号间的从属关系、描述访问者编号与访问者IP间的从属关系、描述访问者编号与访问者位置间的从属关系、描述访问者IP与访问路径间的从属关系和描述访问路径与访问内容间的从属关系；

S53基于所述实体型知识、关系型知识和属性型知识，结合知识图谱构建规则，构建并保存所述非法访问者的知识图谱；

S54基于所述非法访问者的知识图谱，对所述非法访问者的IP进行画像；

S55基于所述非法访问者的IP的画像，分析所述非法访问者的访问行为性质.

优选地，步骤S6包括：

S61基于子步骤S55的分析结果，更新并保存所述非法访问者的知识图谱；

S62基于更新后的所述非法访问者的知识图谱，更新所述非法访问者的IP的画像；

S63对更新后的非法访问者的IP的画像进行聚合，存储聚合后的非法访问者的IP的画像；该聚合非法访问者的IP的画像的过程包括实体聚合、关系聚合和属性聚合。

优选地，步骤S7包括：

基于聚合后的非法访问者的IP的画像，对非法访问者的属性信息进行二次核验，获得被确定为疑似攻击者和高概率攻击者的IP。

优选地，步骤S8包括：

S81基于被确定为疑似攻击者和高概率攻击者的IP，进行攻击碰撞和IP安全核查；

S82基于被确定为疑似攻击者和高概率攻击者的IP和IP安全核查的结果，对所述非法访问者的知识图谱进行补充和更新，以及对所述非法访问者的IP的画像进行完善。

第二方面，本发明提供一种基于蜜阵协同的攻击者IP的防御系统，包括蜜点数目配置模块、仿真目标选取及评估模块，蜜点靶标构建模块、蜜点靶标部署模块、陷阱探测告警模块、访问记录模块、访问记录汇总模块、IP数据分析模块、IP数据全局分析中心、安全态势中心和问题IP拦截模块；

所述蜜点数目配置模块用于选取多个被保护系统，进行蜜阵的蜜点数目的自适应配置；

仿真目标选取及评估模块用于：基于被保护系统的结构和内容选取待仿真目标，并对选取的待仿真目标进行验证评估；若待仿真目标不满足验证评估的要求，则重新选取待仿真目标；

所述蜜点靶标构建模块用于基于进行了自适应配置的蜜点数目，结合选取完成的待仿真目标，构建多个蜜点；基于该多个蜜点，进行多个蜜阵的搭建，并为每个所述蜜阵配置所述IP数据分析模块和访问记录汇总模块，以及为蜜阵中的蜜点配置所述访问记录模块；

蜜点靶标部署模块用于部署搭建的蜜阵；

所述陷阱探测告警模块用于对陷阱探测类手段进行侦测和告警；

每个所述访问记录模块用于通过自身所属的蜜点，获取非法访问者的属性信息；

所述访问记录汇总模块用于，基于每个访问记录模块获取的非法访问者的属性信息，形成所属蜜阵的蜜阵访问日志；

每个所述IP数据分析模块用于：基于所属蜜阵的蜜阵访问日志，对非法访问者进行IP画像和访问行为分析，并将非法访问者的IP画像和访问行为分析的结果发送到所述IP数据全局分析中心；

所述IP数据全局分析中心用于基于多个所述蜜阵的IP数据分析模块发送的非法访问者的IP画像和访问行为分析的结果，对非法访问者的IP画像进行聚合操作；基于聚合后的非法访问者的IP画像，对非法访问者的IP进行二次核验，并将该二次核验的结果发送到所述安全态势中心；

所述安全态势中心用于：基于二次核验的结果，进行攻击碰撞和IP安全核查；基于攻击碰撞和IP安全核查的结果，以及二次核验的结果，完善非法访问者的IP画像；

所述问题IP拦截模块用于基于完善后的非法访问者的IP画像，对疑似攻击行为的IP进行访问阻断。

由上述本发明的实施例提供的技术方案可以看出，本发明提供一种基于蜜阵协同的攻击者IP的防御方法和防御系统，以蜜点为基础具备更强的实用性，蜜阵中的蜜点数目的自适应配置可以结合被保护系统的具体情况，在保证被保护系统安全性的同时有效控制部署资源和成本，蜜点的动态部署能力可以在遇到陷阱探测类手段时有效提高蜜阵的灵活应对能力，极大提高了被保护系统的安全性；本发明采用基于蜜阵协同的方法对攻击者IP进行识别，相较于使用单一的蜜点或蜜阵，可以实现大范围攻击者IP的排查以及大范围非法访问者信息的收集，并通过跨系统、跨行业、跨区域的多蜜阵访问信息的聚合从而实现对攻击者IP排查准确率的提高，更加符合互联网络中的真实部署需求。

本发明附加的方面和优点将在下面的描述中部分给出，这些将从下面的描述中变得明显，或通过本发明的实践了解到。

附图说明

为了更清楚地说明本发明实施例的技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本发明提供的一种基于蜜阵协同的攻击者IP的防御方法的处理流程图；

图2为本发明提供的一种基于蜜阵协同的攻击者IP的防御方法的一种优选实施例的流程图；

图3为本发明提供的一种基于蜜阵协同的攻击者IP的防御方法中IP访问数据统计知识图谱的结构示意图

图4为本发明提供的一种基于蜜阵协同的攻击者IP的防御系统的模型示意图；

图5为本发明提供的一种基于蜜阵协同的攻击者IP的防御系统的逻辑框图；

图6为本发明提供的一种基于蜜阵协同的攻击者IP的防御系统的蜜阵的逻辑框图。

图中：

401.蜜点数目配置模块402.仿真目标选取及评估模块403.蜜点靶标构建模块404.蜜点靶标部署模块405.陷阱探测告警模块406.访问记录模块407.访问记录汇总模块408.IP数据分析模块409.IP数据全局分析中心410.安全态势中心411.问题IP拦截模块。

具体实施方式

下面详细描述本发明的实施方式，所述实施方式的示例在附图中示出，其中自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过参考附图描述的实施方式是示例性的，仅用于解释本发明，而不能解释为对本发明的限制。

本技术领域技术人员可以理解，除非特意声明，这里使用的单数形式“一”、“一个”、“所述”和“该”也可包括复数形式。应该进一步理解的是，本发明的说明书中使用的措辞“包括”是指存在所述特征、整数、步骤、操作、元件和/或组件，但是并不排除存在或添加一个或多个其他特征、整数、步骤、操作、元件、组件和/或它们的组。应该理解，当我们称元件被“连接”或“耦接”到另一元件时，它可以直接连接或耦接到其他元件，或者也可以存在中间元件。此外，这里使用的“连接”或“耦接”可以包括无线连接或耦接。这里使用的措辞“和/或”包括一个或更多个相关联的列出项的任一单元和全部组合。

本技术领域技术人员可以理解，除非另外定义，这里使用的所有术语(包括技术术语和科学术语)具有与本发明所属领域中的普通技术人员的一般理解相同的意义。还应该理解的是，诸如通用字典中定义的那些术语应该被理解为具有与现有技术的上下文中的意义一致的意义，并且除非像这里一样定义，不会用理想化或过于正式的含义来解释。

为便于对本发明实施例的理解，下面将结合附图以几个具体实施例为例做进一步的解释说明，且各个实施例并不构成对本发明实施例的限定。

本发明提供一种基于蜜阵协同的攻击者IP的防御方法和防御系统，用于解决现有技术中存在如下技术问题：

1.如何找寻一种轻量级、易大规模部署、隐蔽性高的诱导容器对蜜罐进行替代；

2.在面临多样化的网络攻击时如何对攻击者进行有效识别；

3.如何增强诱导类防御手段的诱捕能力；

4.何扩大对攻击者的信息收集和排查的范围；

5.在遇到陷阱探测类手段时如何提高诱导类防御手段的灵活应对能力；

如何提升诱捕手段的动态环境自适应能力。

参见图1，本发明提供一种基于蜜阵协同的攻击者IP的防御方法，包括：

S1选取多个被保护系统，进行蜜阵的蜜点数目的自适应配置；

S2基于被保护系统的结构和内容选取待仿真目标，并对选取的待仿真目标进行验证评估；若选取的待仿真目标不满足验证评估的要求，则重新选取待仿真目标；

S3基于进行了自适应配置的蜜点数目，结合选取完成的待仿真目标，构建多个蜜点；基于构建的这些蜜点，进行多个蜜阵的搭建和部署；

S4通过这些蜜阵，获取非法访问者的属性信息，在每个非法访问者访问过的蜜阵中形成蜜阵访问日志；

S5这些蜜阵基于自身的蜜阵访问日志，对非法访问者进行IP画像和访问行为分析；

S6基于这些蜜阵的非法访问者的IP画像和访问行为分析的结果，对非法访问者的IP画像进行聚合操作；

S7基于聚合后的非法访问者的IP画像，对非法访问者的IP进行二次核验；

S8基于二次核验的结果，进行攻击碰撞和IP安全核查；

S9基于攻击碰撞和IP安全核查的结果，以及二次核验的结果，完善非法访问者的IP画像；

S10基于完善后的非法访问者的IP画像，对疑似攻击行为的IP进行访问阻断。

本发明提供的防御方法，主要应用在分布式网站应用场景中(当然也可以应用在数据库等场景)，在各目标网站中进行蜜阵中各蜜点的搭建和部署，通过对各蜜阵中非法访问者IP画像的聚合，以实现更大范围、更高精度的IP排查。在本发明提供的优选实施例中，各步骤的具体执行过程如下。

在分布式网站应用场景中，根据需求选取一定数目的网站作为被保护网站，并结合各被保护网站的具体情况进行蜜阵的构建和部署。

明确各蜜阵中应当部署的蜜点数目，当蜜阵中蜜点数目过多时，一方面很容易引起攻击者的警觉，使得攻击者过早退出蜜阵，另一方面过度铺设蜜点也会造成大量资源的的浪费；当蜜阵中蜜点数目过少时，一方面系统收集到的非法访问者的访问信息较少，会给后期攻击者IP的识别过程增大难度，另一方面是攻击者有很大概率可以绕过蜜点直接对被保护网站进行攻击，起不到有效保障目标网站安全性的目的。所以蜜阵中蜜点的数目通常需要基于正态分布通过结合被保护网站的被攻击数、被攻击强度、网站重要程度、鲁棒性等多个维度进行算法的自适应配置。

得到蜜阵中应当部署的蜜点数目后，需要从被保护网站中选取相应数目的待仿真网页目标，并从结构和内容两个方面进行关联程度的评估，具体步骤如下：

在被保护网站中，进行待仿真网页目标选取之前，需要先设定具体的关联度阈值，为确保各网页目标间内容上和结构上的低关联性，形式上通常建议对静态网页和动态网页进行混合选取，以降低攻击者的警惕性；

根据蜜阵中应当部署的蜜点数目，从被保护网站中选取相应数目的待仿真网页目标；

在被保护网站中，针对所选取的待仿真网页目标，需要从内容和结构两个方面对各待仿真网页目标间的关联度进行计算，如果计算得出的关联度高于之前所设定的阈值，则需要重新进行待仿真网页目标的选取。

根据所选取的待仿真网页目标，构建基础的蜜点靶标。在此过程中，为保证蜜点的隐蔽性，需要对选定的待仿真网页目标构建镜像网页作为蜜点，以确保非法访问者进入蜜点后无法判定所处网页是否为真实的网页，在网页不能镜像的情况下，可以进行以下处理，包括：

(1)针对纯静态网页，需要保证构建出的蜜点在结构方面是安全的、无漏洞的，在内容方面需要与目标网页和被保护网站是高度相关的；

(2)针对动态网页，需要保证构建出的蜜点是具有真实数据库的，可以支撑后台交互能力，在网页内容和数据库内容方面也是需要与目标网页和被保护网站是高度相关的。

对蜜阵中各蜜点靶标进行部署，首先需要保证蜜点具有不开放性，蜜点通常部署在一个伴随着被保护网站的私密或是正常途径无法访问的地方，以确保只有非法访问者才可以成功访问到蜜点，其次需要保证蜜点具有高诱捕性，让蜜点与被保护网站相互纠缠，使得非法访问用户在不知情的情况下，探查被保护网站时有很大概率会进入蜜点中，具体可以进行以下设置，包括：

(1)当被保护网站是内网IP且不对外公开时，则蜜点需要与被保护网站部署在内网的同一网段中；

(2)当被保护网站有与外网交互的需求时，则该网站只能通过WAF(网站应用级入侵防御系统)来进行域名-地址映射，不接受外网的直接IP访问，但是蜜点可以接受外网的直接IP访问；

(3)当被保护网站在不可达的内网中时，被保护网站只能通过域名访问，该域名应该设置为具有随机性质的域名且只提供给有限的授权用户进行访问，同时，蜜点也应该配置成与被保护网站相关的具有随机性质的域名。

(4)当蜜点部署在被保护网站的外网区域时，需要尽可能的设置成真实性较高的假域名，并且该域名不能以任何形式对外界透露，也没有任何超链接可以关联到该域名，可以有效避免合法访问者和爬虫的轻易闯入；

(5)当被保护网站的域名为随机域名时，蜜点也需要设置成随机域名，但是该域名需要满足既在子域名爆破的列表中，又是不公开的域名这两个要求。

在蜜阵中各蜜点靶标的部署完成后，还需要确保蜜阵中各蜜点部署的动态性，当蜜点是静态部署时，遇到有组织的大规模的陷阱探测时，大批量的蜜点位置就会被暴露，蜜点位置一旦被公开，对于后续的攻击者而言，蜜点的作用就会消失，被保护系统的安全性就会收到极大威胁；当蜜点是动态部署时，一旦检测到大规模的陷阱探测后，就会对各蜜点的位置进行动态改变，以此来达到增强蜜阵鲁棒性的效果。

当存在非法访问者成功访问蜜阵中的某一蜜点，该蜜点的蜜点访问记录模块就会对非法访问者的IP信息进行记录，同时会跟踪记录该IP在蜜点内部的访问路径，访问时间，访问时长以及访问内容等信息，之后该蜜点记录模块会将非法访问者的蜜点访问信息发送给蜜阵访问记录汇总模块，如果该非法访问者访问了蜜阵中的多个蜜点，蜜阵访问记录汇总模块会对来自多个蜜点的访问信息进行汇总并形成蜜阵访问日志，最后由蜜阵访问记录汇总模块将蜜阵访问日志信息发送给蜜阵中的专门的分析装置，在本发明提供的实施例中，其可以被称作IP数据分析模块；如果该非法访问者只访问了蜜阵中的一个蜜点，蜜阵访问记录汇总模块会直接按照蜜点访问信息形成蜜阵访问日志并将该日志信息发送到该IP数据分析模块。

IP数据分析模块在接收到非法访问者的蜜阵访问日志信息后，会对该非法访问者进行IP画像并确定该访问者的基本属性，之后将将非法访问者的IP画像以及基本属性发送给IP数据全局分析中心，具体步骤如下：

IP数据分析模块接收到非法访问者的蜜阵访问日志信息后，首先会对该访问日志中的相关访问信息进行抽取，主要包括：

(1)访问IP：非法访问者所使用的IP信息；

(2)访问设备及浏览器信息：非法访问者所使用的设备信息以及浏览器版本信息；

(3)访问者位置：非法访问者使用的IP的所处地理位置；

(4)访问蜜点：非法访问者所访问的蜜点；

(5)访问蜜点频次：非法访问者访问某一蜜点的次数；

(6)访问蜜点时间：非法访问者开始访问某一蜜点的时间；

(7)访问蜜点时长：非法访问者在某一蜜点中所停留的时间；

(8)访问路径：非法访问者的在某一蜜点中的访问轨迹，通常由多个网页链接组成；

(9)访问内容：非法访问者在访问路径中所访问某一网页的链接；

(10)访问频次：非法访问者访问某一网页的次数；

(11)访问时间：非法访问者开始访问某一网页的时间；

(12)访问时长：非法访问者在某一网页中所停留的时间；

(13)访问请求方式：非法访问者访问某一网页资源时所使用的请求方式；

(14)访问请求协议：非法访问者访问某一网页资源时所使用的请求协议；

(15)服务器返回状态：非法访问者访问某一网页资源时，服务器所返回的状态码；

服务器返回字节数：非法访问者访问某一网页资源时，服务器返回的字节数目，其中不包含响应头部字节数。

将上述从蜜阵访问日志中所抽取出的信息进行整理和分析，并结合蜜点的构建和部署信息归纳成实体、关系以及属性这三类知识，具体内容包括：

(1)实体知识可以分成三大类：蜜阵类、访问者类以及访问信息类，其中，蜜阵类包括蜜阵、访问蜜点这两个子类，访问者类中包括疑似攻击者、爬虫和高概率攻击者这三个子类，访问信息类包括访问者编号、访问者IP、访问者位置、访问路径以及访问内容这五个子类；

(2)在各实体类进行实例化的过程中需要进行属性知识的描述，以访问蜜点类为例如表1所示对其属性知识归纳如下，主要包含了访问蜜点频次、访问蜜点时间、访问蜜点时长等信息；

(3)关系型知识可以归纳为以下九类：1)Has_visitor_kind1：描述蜜阵与疑似攻击者类别间的从属关系；2)Has_visitor_kind2：描述蜜阵与爬虫类别间的从属关系；3)Has_visitor_kind3：描述蜜阵与高概率攻击者类别间的从属关系；4)Has_visitor：描述访问者类与访问者编号间的从属关系；5)Has_IP：描述访问者编号与访问者IP间的从属关系；6)Has_location：描述访问者编号与访问者位置间的从属关系；7)Has_honeypoint：描述访问者IP与访问蜜点间的从属关系；；8)Has_route：描述访问蜜点与访问路径间的从属关系；9)Has_content：描述访问路径与访问内容间的从属关系。

表1属性知识描述

基于以上对实体、属性及关系类知识的定义，结合知识图谱的构建法则，可以在Neo4j中进行IP访问数据统计知识图谱的构建，以实现对该非法访问者的IP进行画像，该知识图谱的表达框架如图3所示。

通过对非法访问者的IP进行画像，以确定该非法访问者的究竟是疑似攻击者、爬虫、还是高概率攻击者，并将该非法访问者的IP进行留存。

IP数据分析模块通过对被保护网站的日志文件进行调阅，核查该IP是否对被保护网站的敏感文件进行了访问以及具体的访问时间信息，从而分析当前是否发生了高级持续性威胁攻击。

IP数据分析模块会将非法访问者的IP画像以及基本属性信息发送给专门的数据分析中心，在本发明提供的实施例中被称之为IP数据全局分析中心，并对非法访问者的IP画像进行存储。

IP数据全局分析中心收到来自各蜜阵非法访问者的IP画像后，首先会对各蜜阵非法访问者的IP画像进行聚合并存储，之后会对IP的基本属性进行二次核验，最后将疑似、高概率类IP的相关信息发送给安全态势中心，具体步骤如下：

IP数据全局分析中心收到来自各蜜阵非法访问者的IP画像后，首先会对各蜜阵非法访问者的IP画像进行聚合并存储，在对各蜜阵非法访问者的IP画像进行聚合的过程中，主要包括实体聚合、关系聚合以及属性聚合。

对非法访问者IP的基本属性进行二次核验，并将二次核验后的结果返回给相应蜜阵的IP数据分析模块。

根据二次核验后的结果，将确定为疑似攻击者、高概率攻击者的IP相关信息发送给安全态势中心进行进一步处理。

安全态势中心接收到疑似、高概率类IP的相关信息后会进行更大范围的攻击碰撞和IP安全核查，并将核查结果返回给IP数据全局分析中心和对应的WAF，具体步骤包括：

安全态势中心接收到疑似、高概率类IP的相关信息后，首先会进行更大范围的攻击碰撞与IP安全核查，其次会将对该IP的核查结果返回给IP数据全局分析中心和对应的WAF。

IP数据全局分析中心收到该访问者的IP核查结果后，会结合该核查结果以及之前对该IP进行基本属性二次核验的结果对IP访问数据知识图谱中的信息进行补充和更新，并将核查结果发送给对应蜜阵的IP数据分析模块。

IP数据分析模块同样会结合安全态势中心返回的核查结果以及IP数据全局分析中心返回的基本属性二次核验的结果，对IP访问数据知识图谱中的信息进行更新，从而实现对该非法访问者的IP画像进行完善。

WAF接收到该非法访问者的IP核查结果后，会根据核查结果对疑似和高概率类IP的访问进行阻断，以确保被保护网站的安全性。

第二方面，本发明提供一种基于蜜阵协同的攻击者IP的防御系统，包括蜜点数目配置模块401、仿真目标选取及评估模块402，蜜点靶标构建模块403、蜜点靶标部署模块404、陷阱探测告警模块405、访问记录模块406、访问记录汇总模块407、IP数据分析模块408、IP数据全局分析中心409、安全态势中心410和问题IP拦截模块411；

蜜点数目配置模块401用于选取多个被保护系统，进行蜜阵的蜜点数目的自适应配置；

仿真目标选取及评估模块402用于：基于被保护系统的结构和内容选取待仿真目标，并对选取的待仿真目标进行验证评估；若待仿真目标不满足验证评估的要求，则重新选取待仿真目标；

蜜点靶标构建模块403用于基于进行了自适应配置的蜜点数目，结合选取完成的待仿真目标，构建多个蜜点；基于该多个蜜点，进行多个蜜阵的搭建，并为每个蜜阵配置IP数据分析模块408和访问记录汇总模块407，以及为蜜阵中的每个蜜点分别配置访问记录模块406；

蜜点靶标部署模块404用于部署搭建的蜜阵；

陷阱探测告警模块405用于对陷阱探测类手段进行侦测和告警；

每个访问记录模块406用于通过自身所属的蜜点，获取非法访问者的属性信息；

访问记录汇总模块407用于，基于每个访问记录模块406获取的非法访问者的属性信息，形成蜜阵访问日志；

每个IP数据分析模块408用于：基于蜜阵访问日志，对非法访问者进行IP画像和访问行为分析；

IP数据全局分析中心409用于：基于这些IP数据分析模块408发送的非法访问者的IP画像和访问行为分析的结果，对非法访问者的IP画像进行聚合操作；基于聚合后的非法访问者的IP画像，对非法访问者的IP进行二次核验；

安全态势中心410用于：基于二次核验的结果，进行攻击碰撞和IP安全核查；基于攻击碰撞和IP安全核查的结果，以及二次核验的结果，完善非法访问者的IP画像；

问题IP拦截模块411(WAF)用于基于完善后的非法访问者的IP画像，对疑似攻击行为的IP进行访问阻断。

进一步地，蜜点数目配置模块401通过结合被保护系统的具体信息对蜜阵中蜜点靶标的数目进行确定，包括：

在对蜜阵中各蜜点靶标进行构建和部署之前，需要确定蜜阵中应该部署的蜜点数目，该参数可以基于正态分布通过结合被保护系统的被攻击频次、攻击强度、系统重要度、鲁棒性等多个维度进行算法的自适应配置，之后将得到蜜点数目发送给仿真目标选取及评估模块402。

进一步地，仿真目标选取及评估模块402根据蜜点靶标数目进行仿真目标的选取，并对各仿真目标进行关联度评估，包括：

在对仿真目标进行选取之前，首先需要设定具体的关联度阈值，接着根据接收到的蜜点数目信息选取对应数目的仿真目标，最后从内容和结构两个方面对各仿真目标间的关联度进行计算，如果计算得出的关联度高于之前所设定阈值，则需要重新对仿真目标进行选取；

通过保证各仿真目标间内容上和结构上的低关联性，以降低攻击者的警惕性。

进一步地，蜜点靶标构建模块403对基础蜜点靶标进行搭建，包括：

在根据选定的仿真目标对基础蜜点靶标进行搭建的过程中，为保证蜜点的隐蔽性，需要对选定目标构建逼真的或镜像的系统，以确保攻击者进入蜜点后无法判定所处位置是否是真实的应用系统。

进一步地，蜜点靶标部署模块404负责确定蜜阵中各蜜点的位置，包括：

在对蜜阵中各蜜点靶标进行部署的过程中，首先需要确保蜜点的不开放性，以确保只有攻击者才可以成功访问到蜜点，其次需要保证蜜点的高诱捕性，让蜜点与被保护系统相互纠缠，使得攻击者在不知情的情况下，探查被保护系统时有很大概率会进入蜜点中。

进一步地，陷阱探测告警模块405负责对陷阱探测类手段进行侦测和告警，包括：

当陷阱探测告警模块405检测到系统遇到大规模陷阱探测时，可以将告警信息发送给蜜点靶标部署模块404，及时对蜜阵中各蜜点的位置进行变动，防止出现大量蜜点位置被暴露进而导致被保护系统的安全性受到极大威胁的现象。

综上所述，本发明提供一种基于蜜阵协同的攻击者IP的防御方法和防御系统，以蜜点为基础具备更强的实用性，蜜阵中的蜜点数目的自适应配置可以结合被保护系统的具体情况，在保证被保护系统安全性的同时有效控制部署资源和成本，蜜点的动态部署能力可以在遇到陷阱探测类手段时有效提高蜜阵的灵活应对能力，极大提高了被保护系统的安全性；本发明采用基于蜜阵协同的方法对攻击者IP进行识别，相较于使用单一的蜜点或蜜阵，可以实现大范围攻击者IP的排查以及大范围非法访问者信息的收集，并通过跨系统、跨行业、跨区域的多蜜阵访问信息的聚合从而实现对攻击者IP排查准确率的提高，更加符合互联网络中的真实部署需求。

本领域普通技术人员可以理解：附图只是一个实施例的示意图，附图中的模块或流程并不一定是实施本发明所必须的。

通过以上的实施方式的描述可知，本领域的技术人员可以清楚地了解到本发明可借助软件加必需的通用硬件平台的方式来实现。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品可以存储在存储介质中，如ROM/RAM、磁碟、光盘等，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本发明各个实施例或者实施例的某些部分所述的方法。

本说明书中的各个实施例均采用递进的方式描述，各个实施例之间相同相似的部分互相参见即可，每个实施例重点说明的都是与其他实施例的不同之处。尤其，对于装置或系统实施例而言，由于其基本相似于方法实施例，所以描述得比较简单，相关之处参见方法实施例的部分说明即可。以上所描述的装置及系统实施例仅仅是示意性的，其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性劳动的情况下，即可以理解并实施。

以上所述，仅为本发明较佳的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，可轻易想到的变化或替换，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应该以权利要求的保护范围为准。

Claims (9)

1.一种基于蜜阵协同的攻击者IP的防御方法，其特征在于，包括：

S1选取多个被保护系统，进行蜜阵的蜜点数目的自适应配置；

S2基于被保护系统的结构和内容选取待仿真目标，并对选取的待仿真目标进行验证评估；若待仿真目标不满足验证评估的要求，则重新选取待仿真目标；

S3基于进行了自适应配置的蜜点数目，结合选取完成的待仿真目标，构建多个蜜点；基于该多个蜜点，进行多个蜜阵的搭建和部署；

S4通过多个蜜阵，获取非法访问者的属性信息，形成多个蜜阵访问日志；

S5基于多个蜜阵访问日志，分别对非法访问者进行IP画像和访问行为分析；

S6基于非法访问者的IP画像和访问行为分析的结果，对非法访问者的IP画像进行聚合操作；

S7基于聚合后的非法访问者的IP画像，对非法访问者的IP进行二次核验；

S8基于二次核验的结果，进行攻击碰撞和IP安全核查；

S9基于攻击碰撞和IP安全核查的结果，以及二次核验的结果，完善非法访问者的IP画像；

S10基于完善后的非法访问者的IP画像，对疑似攻击行为的IP进行访问阻断。

2.根据权利要求1所述的防御方法，其特征在于，步骤S1中，进行蜜阵的蜜点数目的自适应配置包括：基于正态分布，并结合被保护系统的被攻击数、被攻击强度、网站重要程度、鲁棒性进行蜜阵的蜜点数目的自适应配置。

3.根据权利要求1所述的防御方法，其特征在于，步骤S2包括：

S21基于被保护系统的内容和结构的关联度，设置被保护系统的关联度评价阈值；

S22基于所述蜜阵的蜜点数目，从被保护系统中选取对应数目的待仿真目标；

S23计算各所述待仿真目标的内容和结构的关联度的值；若所述待仿真目标的内容和结构的关联度的值大于关联度评价阈值，则返回执行子步骤S22。

4.根据权利要求1所述的防御方法，其特征在于，步骤S3包括：

S31当所述被保护系统在内网中且不对外公开时，所述蜜点靶标被设置在该内网的同一网段中；

S32当所述被保护系统的访问域名为随机性质，且仅提供给授权用户访问时，所述蜜点靶标被设置为与所述被保护系统对应的具有随机性质的访问域名，所述蜜点靶标的访问域名还位于子域名爆破的列表中；

S33当所述被保护系统仅通过WAF进行域名-地址映射时，所述蜜点靶标基于该被保护系统的设置方式，还接受外网直接IP访问；

S34当所述蜜点靶标被设置在所述被保护系统的外网区域时，所述蜜点靶标具有与该被保护系统相关的假域名，该假域名不对外关联。

5.根据权利要求1所述的防御方法，其特征在于，步骤S5包括：

S51基于所述蜜阵访问日志，获得非法访问者的属性信息，所述非法访问者的属性信息包括：访问IP、访问设备及浏览器信息、访问者位置、访问路径、访问内容、访问频次、访问时间、访问时长、访问请求方式、访问请求协议、服务器返回状态和服务器返回字节数；

S52基于所述非法访问者的属性信息和蜜点靶标的设置信息，通过归纳整理，分别获得实体型知识、关系型知识和属性型知识；

所述实体型知识包括蜜阵类、访问者类和访问信息类；所述关系型知识包括：描述蜜阵与疑似攻击者类别间的从属关系、描述蜜阵与爬虫类别间的从属关系、描述蜜阵与高概率攻击者类别间的从属关系、描述访问者类与访问者编号间的从属关系、描述访问者编号与访问者IP间的从属关系、描述访问者编号与访问者位置间的从属关系、描述访问者IP与访问路径间的从属关系和描述访问路径与访问内容间的从属关系；

S53基于所述实体型知识、关系型知识和属性型知识，结合知识图谱构建规则，构建并保存所述非法访问者的知识图谱；

S54基于所述非法访问者的知识图谱，对所述非法访问者的IP进行画像；

S55基于所述非法访问者的IP的画像，分析所述非法访问者的访问行为性质。

6.根据权利要求5所述的防御方法，其特征在于，步骤S6包括：

S61基于子步骤S55的分析结果，更新并保存所述非法访问者的知识图谱；

S62基于更新后的所述非法访问者的知识图谱，更新所述非法访问者的IP的画像；

S63对更新后的非法访问者的IP的画像进行聚合，存储聚合后的非法访问者的IP的画像；该聚合非法访问者的IP的画像的过程包括实体聚合、关系聚合和属性聚合。

7.根据权利要求6所述的防御方法，其特征在于，步骤S7包括：

基于聚合后的非法访问者的IP的画像，对非法访问者的属性信息进行二次核验，获得被确定为疑似攻击者和高概率攻击者的IP。

8.根据权利要求7所述的防御方法，其特征在于，步骤S8包括：

S81基于被确定为疑似攻击者和高概率攻击者的IP，进行攻击碰撞和IP安全核查；

S82基于被确定为疑似攻击者和高概率攻击者的IP和IP安全核查的结果，对所述非法访问者的知识图谱进行补充和更新，以及对所述非法访问者的IP的画像进行完善。

9.一种基于蜜阵协同的攻击者IP的防御系统，包括蜜点数目配置模块、仿真目标选取及评估模块，蜜点靶标构建模块、蜜点靶标部署模块、陷阱探测告警模块、访问记录模块、访问记录汇总模块、IP数据分析模块、IP数据全局分析中心、安全态势中心和问题IP拦截模块；

所述蜜点数目配置模块用于选取多个被保护系统，进行蜜阵的蜜点数目的自适应配置；

仿真目标选取及评估模块用于：基于被保护系统的结构和内容选取待仿真目标，并对选取的待仿真目标进行验证评估；若待仿真目标不满足验证评估的要求，则重新选取待仿真目标；

所述蜜点靶标构建模块用于基于进行了自适应配置的蜜点数目，结合选取完成的待仿真目标，构建多个蜜点；基于该多个蜜点，进行多个蜜阵的搭建，并为每个所述蜜阵配置所述IP数据分析模块和访问记录汇总模块，以及为蜜阵中的蜜点配置所述访问记录模块；

蜜点靶标部署模块用于部署搭建的蜜阵；

所述陷阱探测告警模块用于对陷阱探测类手段进行侦测和告警；

每个所述访问记录模块用于通过自身所属的蜜点，获取非法访问者的属性信息；

所述访问记录汇总模块用于，基于每个访问记录模块获取的非法访问者的属性信息，形成所属蜜阵的蜜阵访问日志；

每个所述IP数据分析模块用于：基于所属蜜阵的蜜阵访问日志，对非法访问者进行IP画像和访问行为分析，并将非法访问者的IP画像和访问行为分析的结果发送到所述IP数据全局分析中心；

所述IP数据全局分析中心用于基于多个所述蜜阵的IP数据分析模块发送的非法访问者的IP画像和访问行为分析的结果，对非法访问者的IP画像进行聚合操作；基于聚合后的非法访问者的IP画像，对非法访问者的IP进行二次核验，并将该二次核验的结果发送到所述安全态势中心；

所述安全态势中心用于：基于二次核验的结果，进行攻击碰撞和IP安全核查；基于攻击碰撞和IP安全核查的结果，以及二次核验的结果，完善非法访问者的IP画像；

所述问题IP拦截模块用于基于完善后的非法访问者的IP画像，对疑似攻击行为的IP进行访问阻断。

Images