CN115378643B - 一种基于蜜点的网络攻击防御方法和系统 - Google Patents

一种基于蜜点的网络攻击防御方法和系统 Download PDF

Info

Publication number
CN115378643B
CN115378643B CN202210825288.0A CN202210825288A CN115378643B CN 115378643 B CN115378643 B CN 115378643B CN 202210825288 A CN202210825288 A CN 202210825288A CN 115378643 B CN115378643 B CN 115378643B
Authority
CN
China
Prior art keywords
access
visitor
honey
illegal
target
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202210825288.0A
Other languages
English (en)
Other versions
CN115378643A (zh
Inventor
郑志彬
方滨兴
李昌松
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Softpole Network Technology Beijing Co ltd
Original Assignee
Softpole Network Technology Beijing Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Softpole Network Technology Beijing Co ltd filed Critical Softpole Network Technology Beijing Co ltd
Priority to CN202210825288.0A priority Critical patent/CN115378643B/zh
Publication of CN115378643A publication Critical patent/CN115378643A/zh
Application granted granted Critical
Publication of CN115378643B publication Critical patent/CN115378643B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1491Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

本发明提供的一种基于蜜点的网络攻击防御方法和系统,方法包括如下过程:基于预设的仿真目标对象,设置蜜点靶标;基于蜜点靶标的访问记录,生成蜜点靶标访问日志;基于蜜点靶标访问日志,获得非法访问者的属性信息,并基于该非法访问者的属性信息,构建并保存非法访问者的知识图谱;根据非法访问者的知识图谱进行攻击碰撞和安全核查;基于攻击碰撞和安全核查的结果,拦截该非法访问者的访问行为。本发明提供的方法和系统可以有效克服蜜罐在实际部署时所面临的资源需求大,铺设成本高,难以实现大规模部署的问题,在实际应用场景中的部署更加简单、方便、快捷。

Description

一种基于蜜点的网络攻击防御方法和系统
技术领域
本发明涉及网络安全技术领域,尤其涉及一种基于蜜点的网络攻击防御方法和系统。
背景技术
随着互联网络技术的不断进步,网络应用的规模也在日益扩大,网络安全隐患也随之出现,近年来,互联网行业中网络攻击事件频繁发生,给企业乃至国家都带来了极大的损失和负面影响,网络安全也因此备受重视。
针对网络攻击,欺骗诱导是常用的防御检测手段之一,其中蜜罐就是欺骗诱导技术中的典型代表,通常指用来检测和抵御未经授权操作或黑客攻击的陷阱。蜜罐通常会对真实系统的设备和操作环境进行全方位的模拟,可以较好地引诱和迷惑攻击者,并与攻击者进行长时间高频次的交互。但是其部署过程中面临着资源需求较高,部署成本较大的问题,通常难以进行大规模的部署,除此以外,蜜罐从根本上来说就是一个数据源,对于攻击者往往缺少对应的阻断和反制的能力,并不能很好的解决当前互联网络中存在安全隐患问题。
发明内容
本发明的实施例提供了一种基于蜜点的网络攻击防御方法和系统,用于解决现有技术中存在的如何实现在保证欺骗诱导容器高交互性的前提下实现容器的轻量化、以及如何在提供诱导能力的同时对攻击者的信息进行收集以实现对攻击者的阻断甚至反制的问题。
为了实现上述目的,本发明采取了如下技术方案。
一种基于蜜点的网络攻击防御方法,包括:
S1基于预设的仿真目标对象,设置蜜点靶标;
S2基于蜜点靶标的访问记录,生成蜜点靶标访问日志;
S3基于蜜点靶标访问日志,获得非法访问者的属性信息,并基于该非法访问者的属性信息,构建并保存非法访问者的知识图谱;根据非法访问者的知识图谱进行攻击碰撞和安全核查;根据攻击碰撞和安全核查的结果更新非法访问者的知识图谱;
S4基于攻击碰撞和安全核查的结果,拦截该非法访问者的访问行为。
优选地,步骤S1中仿真目标对象包括:
当仿真目标对象为纯静态对象时,蜜点靶标的内容与该纯静态对象所属的网站相对应;
当仿真目标对象为动态对象时,蜜点靶标具有数据库,数据库中的内容与该动态对象相对应。
优选地,步骤S1中设置蜜点靶标的过程包括:
当仿真目标对象在内网中且不对外公开时,蜜点靶标被设置在该内网的同一网段中;
当仿真目标对象的访问域名为随机性质,且仅提供给授权用户访问时,蜜点靶标被设置为与仿真目标对象对应的具有随机性质的访问域名,蜜点靶标的访问域名还位于子域名爆破的列表中;
当仿真目标对象仅通过WAF进行域名-地址映射时,蜜点靶标基于该仿真目标对象的设置方式,还接受外网直接IP访问;
当蜜点靶标被设置在仿真目标对象的外网区域时,蜜点靶标具有与该仿真目标对象相关的假域名,该假域名不对外关联。
优选地,步骤S2中,访问日志包括非法访问者的内部访问路径、访问时间、访问时长和访问内容。
优选地,步骤S3包括:
S31基于蜜点靶标访问日志,获得非法访问者的属性信息,非法访问者的属性信息包括:访问IP、访问设备及浏览器信息、访问者位置、访问路径、访问内容、访问频次、访问时间、访问时长、访问请求方式、访问请求协议、服务器返回状态和服务器返回字节数;
S32基于非法访问者的属性信息和蜜点靶标的设置信息,通过归纳整理,分别获得实体型知识、关系型知识和属性型知识;
实体型知识包括蜜点靶标类、访问者类和访问信息类;关系型知识包括:描述蜜点靶标与疑似攻击者类别间的从属关系、描述蜜点靶标与爬虫类别间的从属关系、描述蜜点靶标与高概率攻击者类别间的从属关系、描述访问者类与访问者编号间的从属关系、描述访问者编号与访问者IP间的从属关系、描述访问者编号与访问者位置间的从属关系、描述访问者IP与访问路径间的从属关系和描述访问路径与访问内容间的从属关系;
S33基于实体型知识、关系型知识和属性型知识,结合知识图谱构建规则,构建并保存非法访问者的知识图谱;
S34基于非法访问者的知识图谱,对非法访问者的IP进行画像;
S35基于非法访问者的IP的画像,分析非法访问者的访问行为性质;
S36基于子步骤S35的分析结果,结合非法访问者的知识图谱进行攻击碰撞和安全核查;
S36基于子步骤S35的执行结果,更新并保存非法访问者的知识图谱;
S37基于更新后的非法访问者的知识图谱,更新非法访问者的IP的画像。
优选地,步骤S4包括:
对非法访问者的IP进行阻断。
第二方面,本发明提供一种基于蜜点的网络攻击防御系统,包括蜜点靶标设置模块、访问记录模块、IP数据分析中心、安全态势中心和问题IP拦截模块;
蜜点靶标设置模块基于预设的仿真目标对象,设置蜜点靶标;
访问记录模块基于蜜点靶标的访问记录,生成蜜点靶标访问日志;
IP数据分析中心基于蜜点靶标访问日志,获得非法访问者的属性信息,并基于该非法访问者的属性信息,构建并保存非法访问者的知识图谱;
安全态势中心根据非法访问者的知识图谱进行攻击碰撞和安全核查,并将攻击碰撞和安全核查的结果发送到IP数据分析中心和问题IP拦截模块,使得IP数据分析中心基于攻击碰撞和安全核查的结果更新并保存非法访问者的知识图谱;
问题IP拦截模块基于攻击碰撞和安全核查的结果,拦截该非法访问者的访问行为。
由上述本发明的实施例提供的技术方案可以看出,本发明提供的一种基于蜜点的网络攻击防御方法和系统,方法包括如下过程:基于预设的仿真目标对象,设置蜜点靶标;基于蜜点靶标的访问记录,生成蜜点靶标访问日志;基于蜜点靶标访问日志,获得非法访问者的属性信息,并基于该非法访问者的属性信息,构建并保存非法访问者的知识图谱;根据非法访问者的知识图谱进行攻击碰撞和安全核查;基于攻击碰撞和安全核查的结果,拦截该非法访问者的访问行为。本发明提供的方法和系统具有如下优点:
可以有效克服蜜罐在实际部署时所面临的资源需求大,铺设成本高,难以实现大规模部署的问题,在实际应用场景中的部署更加简单、方便、快捷;
本发明所提出的基于蜜点的攻击者IP识别方法可以实现在保证目标系统安全性的前提下获取非法访问者的相关访问信息,并对该访问者进行IP画像和安全行为分析,从而实现对疑似攻击IP进行及时的访问阻断,不仅可以极大程度上避免了蜜点被暴露的风险,还有效解决了目前大多数网络攻击检测防御手段中所缺少对攻击者的及时阻断和反制的问题,更加贴合实际网络安全的应用场景;
同时蜜点所具有的高隐蔽性可以大大提高与非法访问者的交互频次,除此以外,蜜点所具有的不开放性和高诱捕性可以大大提升非法访问者进入蜜点的概率。
本发明附加的方面和优点将在下面的描述中部分给出,这些将从下面的描述中变得明显,或通过本发明的实践了解到。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明提供的一种基于蜜点的网络攻击防御方法的处理流程图;
图2为本发明提供的一种基于蜜点的网络攻击防御方法的一种优选实施例的流程图;
图3为本发明提供的一种基于蜜点的网络攻击防御系统在网站应用场景下的模型示意图;
图4为本发明提供的一种基于蜜点的网络攻击防御方法中的IP访问数据统计知识图谱的结构示意图;
图5为本发明提供一种基于蜜点的网络攻击防御系统的示意图。
图中:
401.蜜点靶标设置模块402.访问记录模块403.IP数据分析中心404.安全态势中心405.问题IP拦截模块。
具体实施方式
下面详细描述本发明的实施方式,实施方式的示例在附图中示出,其中自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过参考附图描述的实施方式是示例性的,仅用于解释本发明,而不能解释为对本发明的限制。
本技术领域技术人员可以理解,除非特意声明,这里使用的单数形式“一”、“一个”、“”和“该”也可包括复数形式。应该进一步理解的是,本发明的说明书中使用的措辞“包括”是指存在特征、整数、步骤、操作、元件和/或组件,但是并不排除存在或添加一个或多个其他特征、整数、步骤、操作、元件、组件和/或它们的组。应该理解,当我们称元件被“连接”或“耦接”到另一元件时,它可以直接连接或耦接到其他元件,或者也可以存在中间元件。此外,这里使用的“连接”或“耦接”可以包括无线连接或耦接。这里使用的措辞“和/或”包括一个或更多个相关联的列出项的任一单元和全部组合。
本技术领域技术人员可以理解,除非另外定义,这里使用的所有术语(包括技术术语和科学术语)具有与本发明所属领域中的普通技术人员的一般理解相同的意义。还应该理解的是,诸如通用字典中定义的那些术语应该被理解为具有与现有技术的上下文中的意义一致的意义,并且除非像这里一样定义,不会用理想化或过于正式的含义来解释。
为便于对本发明实施例的理解,下面将结合附图以几个具体实施例为例做进一步的解释说明,且各个实施例并不构成对本发明实施例的限定。
本发明提供的一种基于蜜点的网络攻击防御方法和系统,用于解决现有技术中的如下问题:
(1)对于高交互性蜜罐,通常需要对目标系统进行高度仿真,会消耗大量的资源和部署成本,投入较大,难以进行大规模的部署;
(2)对于低交互性蜜罐,通常对目标系统的仿真度不高,伪装性和诱捕性较低,比较容易被发现,且对一些新型攻击威胁(如:高级持续性威胁攻击)不能有效识别;
(3)蜜罐通常只负责诱捕、监测、攻击特征的提取等,通常不具备对攻击者进行阻断和反制的能力。
参见图1和2,本发明提供一种基于蜜点的网络攻击防御方法,包括如下过程:
S1基于预设的仿真目标对象,设置蜜点靶标;
S2基于蜜点靶标的访问记录,生成蜜点靶标访问日志;
S3基于蜜点靶标访问日志,获得非法访问者的属性信息,并基于该非法访问者的属性信息,构建并保存非法访问者的知识图谱;根据非法访问者的知识图谱进行攻击碰撞和安全核查;还根据攻击碰撞和安全核查的结果更新所述非法访问者的知识图谱;
S4基于攻击碰撞和安全核查的结果,拦截该非法访问者的访问行为。
在本发明提供的实施例中,步骤S1的过程中,为保证蜜点的隐蔽性,需要对选定的待仿真网页目标构建镜像网页作为蜜点,以确保非法访问者进入蜜点后无法判定所处网页是否为真实的网页,在网页不能镜像的情况下,可以进行以下处理,包括:
(1)针对纯静态网页,需要保证构建出的蜜点在结构方面是安全的、无漏洞的,在内容方面需要与目标网页和被保护网站是高度相关的;
(2)针对动态网页,需要保证构建出的蜜点是具有真实数据库的,可以支撑后台交互能力,在网页内容和数据库内容方面也是需要与目标网页和被保护网站是高度相关的。
本领域技术人员应能理解上述网页的应用类型仅为举例,其他现有的或今后可能出现的仿真目标对象应用类型(系统、数据库等)如可适用于本发明实施例,也应包含在本发明保护范围以内,并在此以引用方式包含于此。
在本发明提供的实施例中,在步骤S2的过程中,首先需要保证蜜点具有不开放性,蜜点通常部署在一个伴随着被保护网站的私密或是正常途径无法访问的地方,以确保只有非法访问者才可以成功访问到蜜点,其次需要保证蜜点具有高诱捕性,让蜜点与被保护网站相互纠缠,使得非法访问用户在不知情的情况下,探查被保护网站时有很大概率会进入蜜点中,具体可以进行以下设置,包括:
(1)当被保护网站是内网IP且不对外公开时,则蜜点需要与被保护网站部署在内网的同一网段中;
(2)当被保护网站有与外网交互的需求时,则该网站只能通过WAF(网站应用级入侵防御系统)来进行域名-地址映射,不接受外网的直接IP访问,但是蜜点可以接受外网的直接IP访问;
(3)当被保护网站在不可达的内网中时,被保护网站只能通过域名访问,该域名应该设置为具有随机性质的域名且只提供给有限的授权用户进行访问,同时,蜜点也应该配置成与被保护网站相关的具有随机性质的域名。
(4)当蜜点部署在被保护网站的外网区域时,需要尽可能的设置成真实性较高的假域名,并且该域名不能以任何形式对外界透露,也没有任何超链接可以关联到该域名,可以有效避免合法访问者和爬虫的轻易闯入;
(5)当被保护网站的域名为随机域名时,蜜点也需要设置成随机域名,但是该域名需要满足既在子域名爆破的列表中,又是不公开的域名这两个要求。
当存在非法访问者成功访问蜜点靶标,蜜点靶标内部的访问记录模块就会对非法访问者的IP信息进行记录,同时会跟踪记录该IP的内部访问路径、访问时间、访问时长以及访问内容等信息并形成蜜点访问日志。
进一步的,步骤S3中,首先会对该访问日志中的相关访问信息进行抽取,主要包括:
(1)访问IP:非法访问者所使用的IP信息;
(2)访问设备及浏览器信息:非法访问者所使用的设备信息以及浏览器版本信息;
(3)访问者位置:非法访问者使用的IP的所处地理位置;
(4)访问路径:非法访问者的访问轨迹,通常由多个网页链接组成;
(5)访问内容:非法访问者在访问路径中所访问某一网页的链接;
(6)访问频次:非法访问者访问某一网页的次数;
(7)访问时间:非法访问者开始访问某一网页的时间;
(8)访问时长:非法访问者在某一网页中所停留的时间;
(9)访问请求方式:非法访问者访问某一网页资源时所使用的请求方式;
(10)访问请求协议:非法访问者访问某一网页资源时所使用的请求协议;
(11)服务器返回状态:非法访问者访问某一网页资源时,服务器所返回的状态码;
(12)服务器返回字节数:非法访问者访问某一网页资源时,服务器返回的字节数目,其中不包含响应头部字节数。
将上述从蜜点访问日志中所抽取出的信息进行整理和分析,并结合蜜点的构建和部署信息归纳成实体、关系以及属性这三类知识,具体内容包括:
(1)实体知识可以分成三大类:蜜点类、访问者类以及访问信息类,其中,蜜点类仅包括蜜点这一个子类,访问者类中包括疑似攻击者、爬虫和高概率攻击者这三个子类,访问信息类包括访问者编号、访问者IP、访问者位置、访问路径以及访问内容这五个子类;
(2)在各实体类进行实例化的过程中需要进行属性知识的描述,以访问内容类为例如表1所示对其属性知识归纳如下,主要包含了访问频次、访问时间、访问时长、访问请求方式、访问请求协议、服务器返回状态以及服务器返回字节数等信息;
(3)关系型知识可以归纳为几类:1)Has_visitor_kind1:描述蜜点与疑似攻击者类别间的从属关系;2)Has_visitor_kind2:描述蜜点与爬虫类别间的从属关系;3)Has_visitor_kind3:描述蜜点与高概率攻击者类别间的从属关系;4)Has_visitor:描述访问者类与访问者编号间的从属关系;5)Has_IP:描述访问者编号与访问者IP间的从属关系;6)Has_location:描述访问者编号与访问者位置间的从属关系;7)Has_route:描述访问者IP与访问路径间的从属关系;8)Has_content:描述访问路径与访问内容间的从属关系.
表1属性知识描述
基于以上对实体、属性及关系类知识的定义,结合知识图谱的构建法则,可以在Neo4j中进行IP访问数据统计知识图谱的构建,该知识图谱的表达框架如图4所示。
之后通过对非法访问者的IP进行画像,以确定该非法访问者的究竟是疑似攻击者、爬虫、还是高概率攻击者,并将该非法访问者的IP进行留存。通过对被保护网站的日志文件进行调阅,核查该IP是否对被保护网站的敏感文件进行了访问以及具体的访问时间信息,从而分析当前是否发生了高级持续性威胁攻击。如果是则进行更大范围的攻击碰撞和IP安全核查。具体包括:
在接收到疑似、高概率类IP的相关信息后,首先会进行更大范围的攻击碰撞与IP安全核查;
根据该IP的核查结果对IP访问数据知识图谱中的信息进行更新,从而实现对该非法访问者的IP画像进行完善,并对更新后的图谱进行存储。
最后根据核查结果对疑似和高概率类IP的访问进行阻断,以确保被保护网站的安全性。
第二方面,本发明提供一种基于蜜点的网络攻击防御系统,如图5所示,包括蜜点靶标设置模块401、访问记录模块402、IP数据分析中心403、安全态势中心404和问题IP拦截模块405。
蜜点靶标设置模块401基于预设的仿真目标对象,设置蜜点靶标;
访问记录模块402基于蜜点靶标的访问记录,生成蜜点靶标访问日志;
IP数据分析中心403基于蜜点靶标访问日志,获得非法访问者的属性信息,并基于该非法访问者的属性信息,构建并保存非法访问者的知识图谱;
安全态势中心404根据非法访问者的知识图谱进行攻击碰撞和安全核查,并将攻击碰撞和安全核查的结果发送到所述IP数据分析中心403和问题IP拦截模块405,使得所述IP数据分析中心403基于攻击碰撞和安全核查的结果更新并保存所述非法访问者的知识图谱问题IP拦截模块405基于攻击碰撞和安全核查的结果,拦截该非法访问者的访问行为。
在本发明提供的优选实施例中,各部分的具体职能如下:
在对基础蜜点靶标进行搭建的过程中,首先需要选定仿真目标对象,其次为保证蜜点的隐蔽性,需要对选定目标构建逼真的或镜像的系统,以确保攻击者进入蜜点后无法判定所处位置是否是真实的应用系统;
在对基础蜜点靶标进行部署的过程中,首先需要确保蜜点的不开放性,以确保只有攻击者才可以成功访问到蜜点,其次需要保证蜜点的高诱捕性,让蜜点与被保护系统相互纠缠,使得攻击者在不知情的情况下,探查被保护系统时有很大概率会进入蜜点中。
当存在非法访问者成功访问蜜点,蜜点内部的访问记录模块402就会对非法访问者的IP信息进行记录,同时会跟踪记录该IP的内部访问路径、访问时间、访问时长以及访问内容等信息并形成蜜点访问日志,并在之后将该非法访问者的蜜点访问日志信息发送给IP数据分析中心403。
IP数据分析中心403接收到非法访问者的蜜点访问日志信息后,首先会对该访问日志中的相关访问信息进行抽取;将上述从蜜点访问日志中所抽取出的信息进行整理和分析,并结合蜜点的构建和部署信息归纳成实体、关系以及属性这三类知识;基于以上对实体、属性及关系类知识的定义,结合知识图谱的构建法则,可以在Neo4j中进行IP访问数据统计知识图谱的构建,以实现对该非法访问者的IP进行画像,该知识图谱的表达框架如图3所示;通过对非法访问者的IP进行画像,以确定该非法访问者的究竟是疑似攻击者、爬虫、还是高概率攻击者,并将该非法访问者的IP进行留存;IP数据分析中心403通过对被保护网站的日志文件进行调阅,核查该IP是否对被保护网站的敏感文件进行了访问以及具体的访问时间信息,从而分析当前是否发生了高级持续性威胁攻击;IP数据分析中心403会将疑似、高概率类IP的相关信息发送给安全态势中心404进行进一步处理。
安全态势中心404接收到疑似、高概率类IP的相关信息后,首先会进行更大范围的攻击碰撞与IP安全核查,其次会将对该IP的核查结果返回给IP数据分析中心403和问题IP拦截模块405(WAF);IP数据分析中心403收到该非法访问者的IP核查结果后,会根据该IP的核查结果对IP访问数据知识图谱中的信息进行更新,从而实现对该非法访问者的IP画像进行完善,并对更新后的图谱进行存储。
WAF接收到该非法访问者的IP核查结果后,会根据核查结果对疑似和高概率类IP的访问进行阻断,以确保被保护网站的安全性。
综上所述,本发明提供的一种基于蜜点的网络攻击防御方法和系统,方法包括如下过程:基于预设的仿真目标对象,设置蜜点靶标;基于蜜点靶标的访问记录,生成蜜点靶标访问日志;基于蜜点靶标访问日志,获得非法访问者的属性信息,并基于该非法访问者的属性信息,构建并保存非法访问者的知识图谱;根据非法访问者的知识图谱进行攻击碰撞和安全核查;还根据攻击碰撞和安全核查的结果更新所述非法访问者的知识图谱;基于攻击碰撞和安全核查的结果,拦截该非法访问者的访问行为。本发明提供的方法和系统具有如下优点:
可以有效克服蜜罐在实际部署时所面临的资源需求大,铺设成本高,难以实现大规模部署的问题,在实际应用场景中的部署更加简单、方便、快捷;
本发明所提出的基于蜜点的攻击者IP识别方法可以实现在保证目标系统安全性的前提下获取非法访问者的相关访问信息,并对该访问者进行IP画像和安全行为分析,从而实现对疑似攻击IP进行及时的访问阻断,不仅可以极大程度上避免了蜜点被暴露的风险,还有效解决了目前大多数网络攻击检测防御手段中所缺少对攻击者的及时阻断和反制的问题,更加贴合实际网络安全的应用场景;
同时蜜点所具有的高隐蔽性可以大大提高与非法访问者的交互频次,除此以外,蜜点所具有的不开放性和高诱捕性可以大大提升非法访问者进入蜜点的概率。
本领域普通技术人员可以理解:附图只是一个实施例的示意图,附图中的模块或流程并不一定是实施本发明所必须的。
通过以上的实施方式的描述可知,本领域的技术人员可以清楚地了解到本发明可借助软件加必需的通用硬件平台的方式来实现。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例或者实施例的某些部分的方法。
本说明书中的各个实施例均采用递进的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于装置或系统实施例而言,由于其基本相似于方法实施例,所以描述得比较简单,相关之处参见方法实施例的部分说明即可。以上所描述的装置及系统实施例仅仅是示意性的,其中作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
以上,仅为本发明较佳的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应该以权利要求的保护范围为准。

Claims (7)

1.一种基于蜜点的网络攻击防御方法,其特征在于,包括:
S1基于预设的仿真目标对象,设置蜜点靶标;
S2基于所述蜜点靶标的访问记录,生成蜜点靶标访问日志;
S3基于所述蜜点靶标访问日志,获得非法访问者的属性信息,并基于该非法访问者的属性信息,构建并保存非法访问者的知识图谱;根据所述非法访问者的知识图谱进行攻击碰撞和安全核查;根据攻击碰撞和安全核查的结果更新所述非法访问者的知识图谱;
S4基于攻击碰撞和安全核查的结果,拦截该非法访问者的访问行为。
2.根据权利要求1所述的方法,其特征在于,步骤S1中仿真目标对象包括:
当所述仿真目标对象为纯静态对象时,所述蜜点靶标的内容与该纯静态对象所属的网站相对应;
当所述仿真目标对象为动态对象时,所述蜜点靶标具有数据库,所述数据库中的内容与该动态对象相对应。
3.根据权利要求1所述的方法,其特征在于,步骤S1中设置蜜点靶标的过程包括:
当所述仿真目标对象在内网中且不对外公开时,所述蜜点靶标被设置在该内网的同一网段中;
当所述仿真目标对象的访问域名为随机性质,且仅提供给授权用户访问时,所述蜜点靶标被设置为与所述仿真目标对象对应的具有随机性质的访问域名,所述蜜点靶标的访问域名还位于子域名爆破的列表中;
当所述仿真目标对象仅通过WAF进行域名-地址映射时,所述蜜点靶标基于该仿真目标对象的设置方式,还接受外网直接IP访问;
当所述蜜点靶标被设置在所述仿真目标对象的外网区域时,所述蜜点靶标具有与该仿真目标对象相关的假域名,该假域名不对外关联。
4.根据权利要求1所述的方法,其特征在于,步骤S2中,所述访问日志包括非法访问者的内部访问路径、访问时间、访问时长和访问内容。
5.根据权利要求1所述的方法,其特征在于,步骤S3包括:
S31基于所述蜜点靶标访问日志,获得非法访问者的属性信息,所述非法访问者的属性信息包括:访问IP、访问设备及浏览器信息、访问者位置、访问路径、访问内容、访问频次、访问时间、访问时长、访问请求方式、访问请求协议、服务器返回状态和服务器返回字节数;
S32基于所述非法访问者的属性信息和蜜点靶标的设置信息,通过归纳整理,分别获得实体型知识、关系型知识和属性型知识;
所述实体型知识包括蜜点靶标类、访问者类和访问信息类;所述关系型知识包括:描述蜜点靶标与疑似攻击者类别间的从属关系、描述蜜点靶标与爬虫类别间的从属关系、描述蜜点靶标与高概率攻击者类别间的从属关系、描述访问者类与访问者编号间的从属关系、描述访问者编号与访问者IP间的从属关系、描述访问者编号与访问者位置间的从属关系、描述访问者IP与访问路径间的从属关系和描述访问路径与访问内容间的从属关系;
S33基于所述实体型知识、关系型知识和属性型知识,结合知识图谱构建规则,构建并保存所述非法访问者的知识图谱;
S34基于所述非法访问者的知识图谱,对所述非法访问者的IP进行画像;
S35基于所述非法访问者的IP的画像,分析所述非法访问者的访问行为性质;
S36基于子步骤S35的分析结果,结合所述非法访问者的知识图谱进行攻击碰撞和安全核查;
S36基于子步骤S35的执行结果,更新并保存所述非法访问者的知识图谱;
S37基于更新后的所述非法访问者的知识图谱,更新所述非法访问者的IP的画像。
6.根据权利要求1所述的方法,其特征在于,步骤S4包括:
对所述非法访问者的IP进行阻断。
7.一种基于蜜点的网络攻击防御系统,其特征在于,包括蜜点靶标设置模块、访问记录模块、IP数据分析中心、安全态势中心和问题IP拦截模块;
所述蜜点靶标设置模块基于预设的仿真目标对象,设置蜜点靶标;
所述访问记录模块基于所述蜜点靶标的访问记录,生成蜜点靶标访问日志;
所述IP数据分析中心基于所述蜜点靶标访问日志,获得非法访问者的属性信息,并基于该非法访问者的属性信息,构建并保存非法访问者的知识图谱;
所述安全态势中心根据所述非法访问者的知识图谱进行攻击碰撞和安全核查,并将攻击碰撞和安全核查的结果发送到所述IP数据分析中心和问题IP拦截模块,使得所述IP数据分析中心基于攻击碰撞和安全核查的结果更新并保存所述非法访问者的知识图谱;
所述问题IP拦截模块基于攻击碰撞和安全核查的结果,拦截该非法访问者的访问行为。
CN202210825288.0A 2022-07-14 2022-07-14 一种基于蜜点的网络攻击防御方法和系统 Active CN115378643B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210825288.0A CN115378643B (zh) 2022-07-14 2022-07-14 一种基于蜜点的网络攻击防御方法和系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210825288.0A CN115378643B (zh) 2022-07-14 2022-07-14 一种基于蜜点的网络攻击防御方法和系统

Publications (2)

Publication Number Publication Date
CN115378643A CN115378643A (zh) 2022-11-22
CN115378643B true CN115378643B (zh) 2024-02-23

Family

ID=84061759

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210825288.0A Active CN115378643B (zh) 2022-07-14 2022-07-14 一种基于蜜点的网络攻击防御方法和系统

Country Status (1)

Country Link
CN (1) CN115378643B (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115208679B (zh) * 2022-07-14 2023-12-08 软极网络技术(北京)有限公司 一种基于蜜阵协同的攻击者ip的防御方法和防御系统

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20050073702A (ko) * 2004-01-09 2005-07-18 한국과학기술원 네트워크 기반의 보안 솔루션 시스템
CN112134837A (zh) * 2020-08-06 2020-12-25 瑞数信息技术(上海)有限公司 Web攻击行为的检测方法和系统
CN114095264A (zh) * 2021-11-24 2022-02-25 北京永信至诚科技股份有限公司 一种蜜罐系统的高交互溯源方法、装备及硬件
CN115208679A (zh) * 2022-07-14 2022-10-18 软极网络技术(北京)有限公司 一种基于蜜阵协同的攻击者ip的防御方法和防御系统

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20050073702A (ko) * 2004-01-09 2005-07-18 한국과학기술원 네트워크 기반의 보안 솔루션 시스템
CN112134837A (zh) * 2020-08-06 2020-12-25 瑞数信息技术(上海)有限公司 Web攻击行为的检测方法和系统
CN114095264A (zh) * 2021-11-24 2022-02-25 北京永信至诚科技股份有限公司 一种蜜罐系统的高交互溯源方法、装备及硬件
CN115208679A (zh) * 2022-07-14 2022-10-18 软极网络技术(北京)有限公司 一种基于蜜阵协同的攻击者ip的防御方法和防御系统

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
银伟.蜜罐技术研究进展.网络安全技术与应用.2018,全文. *

Also Published As

Publication number Publication date
CN115378643A (zh) 2022-11-22

Similar Documents

Publication Publication Date Title
CN103701795B (zh) 拒绝服务攻击的攻击源的识别方法和装置
CN107888607A (zh) 一种网络威胁检测方法、装置及网络管理设备
CN109951500A (zh) 网络攻击检测方法及装置
CN102045319B (zh) Sql注入攻击检测方法及其装置
CN105915532A (zh) 一种失陷主机的识别方法及装置
CN107612924A (zh) 基于无线网络入侵的攻击者定位方法及装置
Cui et al. A survey on xss attack detection and prevention in web applications
CN106713358A (zh) 一种攻击性检测方法及装置
CN111901348A (zh) 主动网络威胁感知与拟态防御的方法及系统
CN107465702A (zh) 基于无线网络入侵的预警方法及装置
Koch Hidden in the shadow: The dark web-a growing risk for military operations?
CN107528812A (zh) 一种攻击检测方法及装置
CN115378643B (zh) 一种基于蜜点的网络攻击防御方法和系统
Teng et al. A cooperative intrusion detection model for cloud computing networks
Pastor-Galindo et al. Nothing to hide? On the security and privacy threats beyond open data
CN115242466A (zh) 一种基于高仿真虚拟环境的入侵主动诱捕系统和方法
CN107509200A (zh) 基于无线网络入侵的设备定位方法及装置
CN115208679B (zh) 一种基于蜜阵协同的攻击者ip的防御方法和防御系统
Ye et al. A system-fault-risk framework for cyber attack classification
Nehinbe et al. An exhaustive study of DDOS attacks and DDOS datasets
CN113923025A (zh) 一种工控网络中的威胁检测方法
Asaka et al. Local attack detection and intrusion route tracing
CN111339532A (zh) 一种恶意网站拦截方法
Guelzim et al. Formal methods of attack modeling and detection
Rutherford A Holistic Approach Using Honey Communities For Cyber Event Detection and Protection in Communities and Large Distributed Organizations

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant