CN116996326B - 基于蜜网的协同式主动防御方法 - Google Patents
基于蜜网的协同式主动防御方法 Download PDFInfo
- Publication number
- CN116996326B CN116996326B CN202311244021.3A CN202311244021A CN116996326B CN 116996326 B CN116996326 B CN 116996326B CN 202311244021 A CN202311244021 A CN 202311244021A CN 116996326 B CN116996326 B CN 116996326B
- Authority
- CN
- China
- Prior art keywords
- event
- honey network
- data
- honey
- desensitization
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 64
- 235000012907 honey Nutrition 0.000 title claims abstract description 63
- 230000007123 defense Effects 0.000 title claims abstract description 14
- 230000006399 behavior Effects 0.000 claims abstract description 28
- 230000007246 mechanism Effects 0.000 claims abstract description 21
- 230000004044 response Effects 0.000 claims abstract description 18
- 238000002955 isolation Methods 0.000 claims abstract description 15
- 238000012544 monitoring process Methods 0.000 claims abstract description 12
- 230000003993 interaction Effects 0.000 claims abstract description 11
- 238000000586 desensitisation Methods 0.000 claims description 38
- 238000001914 filtration Methods 0.000 claims description 16
- 230000008569 process Effects 0.000 claims description 15
- 239000013598 vector Substances 0.000 claims description 13
- 238000004364 calculation method Methods 0.000 claims description 9
- 238000004891 communication Methods 0.000 claims description 7
- 238000012550 audit Methods 0.000 claims description 6
- 238000007726 management method Methods 0.000 claims description 4
- 230000011218 segmentation Effects 0.000 claims description 4
- 238000011217 control strategy Methods 0.000 claims description 3
- 230000006378 damage Effects 0.000 abstract description 5
- 208000014674 injury Diseases 0.000 abstract description 5
- 208000027418 Wounds and injury Diseases 0.000 abstract description 4
- 238000005516 engineering process Methods 0.000 description 11
- 230000006870 function Effects 0.000 description 7
- 238000012545 processing Methods 0.000 description 7
- 238000004458 analytical method Methods 0.000 description 4
- 238000004422 calculation algorithm Methods 0.000 description 4
- 238000004590 computer program Methods 0.000 description 4
- 238000001514 detection method Methods 0.000 description 4
- 238000007619 statistical method Methods 0.000 description 4
- 238000012795 verification Methods 0.000 description 4
- 230000002159 abnormal effect Effects 0.000 description 3
- 230000008878 coupling Effects 0.000 description 3
- 238000010168 coupling process Methods 0.000 description 3
- 238000005859 coupling reaction Methods 0.000 description 3
- 238000012360 testing method Methods 0.000 description 3
- 230000008901 benefit Effects 0.000 description 2
- 230000007547 defect Effects 0.000 description 2
- 230000002708 enhancing effect Effects 0.000 description 2
- 230000006872 improvement Effects 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 230000000149 penetrating effect Effects 0.000 description 2
- 230000035515 penetration Effects 0.000 description 2
- 239000004065 semiconductor Substances 0.000 description 2
- 230000035945 sensitivity Effects 0.000 description 2
- 238000006467 substitution reaction Methods 0.000 description 2
- 206010000117 Abnormal behaviour Diseases 0.000 description 1
- 208000012260 Accidental injury Diseases 0.000 description 1
- 238000013475 authorization Methods 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 238000013500 data storage Methods 0.000 description 1
- 238000013502 data validation Methods 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 230000004069 differentiation Effects 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000011156 evaluation Methods 0.000 description 1
- 238000010921 in-depth analysis Methods 0.000 description 1
- 238000007689 inspection Methods 0.000 description 1
- 238000010801 machine learning Methods 0.000 description 1
- 238000011084 recovery Methods 0.000 description 1
- 230000001105 regulatory effect Effects 0.000 description 1
- 230000008439 repair process Effects 0.000 description 1
- 238000004088 simulation Methods 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
- 230000001960 triggered effect Effects 0.000 description 1
- 239000002699 waste material Substances 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1491—Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/40—Network security protocols
Abstract
本发明公开了基于蜜网的协同式主动防御方法,涉及防御系统技术领域,所述防御方法包括以下步骤:依据需求选择蜜网组件和服务,深入分析攻击者与蜜网的交互,区分恶意行为,通过监测和分析攻击行为,以及智能响应和自动化机制的运用,可以有效减少误报和误伤的情况,系统可以更准确地识别和区分恶意行为和误报行为,减少对合法用户的干扰,提高系统的可用性和可靠性,通过匿名化处理数据、限制敏感信息的访问以及实施适当的隔离和安全控制。本发明可以降低潜在的风险泄露风险,这样可以保护蜜网中的信息和操作,防止攻击者利用蜜网来获得真实系统的有价值信息,从而提高整个系统的安全性。
Description
技术领域
本发明涉及防御系统技术领域,具体涉及基于蜜网的协同式主动防御方法。
背景技术
蜜网是一个基于网络安全的概念,旨在通过诱骗攻击者进入虚假的系统、应用程序或网络环境中,以便收集关于攻击者行为和攻击技术的信息,并保护真实系统免受攻击,蜜网可以被看作是一个陷阱,它模拟了真实网络环境中的各种组件和服务,并吸引攻击者与之互动;
蜜网的主要目的是提供早期威胁检测、收集威胁情报以及保护关键系统的功能,通过将攻击者引导到蜜网中,安全团队可以观察攻击者的行为并获取有关攻击者的信息,例如攻击技术、工具和目标,这些信息对于改进防御措施、了解攻击趋势和提高安全意识非常有价值。
现有技术存在以下不足:
蜜网的目标是吸引攻击者并收集信息,但这也意味着它可能会吸引一些无害的扫描器、蜜罐研究人员或误报的事件,这些误报和误伤可能会对合法用户和系统产生负面影响,导致不必要的干扰和资源浪费。
发明内容
本发明的目的是提供基于蜜网的协同式主动防御方法,以解决背景技术中不足。
为了实现上述目的,本发明提供如下技术方案:基于蜜网的协同式主动防御方法,所述防御方法包括以下步骤:
S1:依据需求选择蜜网组件和服务;
S2:深入分析攻击者与蜜网的交互,区分恶意行为;
S3:获取事件参数后,基于智能响应和自动化机制过滤误报事件;
S4:设置隔离和安全控制策略,对数据进行匿名化处理,限制访问敏感信息;
S5:定期进行更新和演进。
优选的,步骤S3中,智能响应和自动化机制建立包括以下步骤:
S3.1:将事件发生频率、流量偏差、威胁情报匹配相似度综合计算获取过滤系数,计算表达式为:
,
式中,事件发生频率、/>流量偏差、/>威胁情报匹配相似度,/>、/>、/>分别为事件发生频率、流量偏差、威胁情报匹配相似度的比例系数,且/>、/>、/>均大于0;
S3.2:获取过滤系数后,将过滤系数/>与过滤阈值进行对比,完成智能响应和自动化的机制的建立。
优选的,步骤S3中,基于智能响应和自动化机制过滤误报事件包括以下步骤:
S3.3:获取事件的事件发生频率、流量偏差、威胁情报匹配相似度后,代入过滤系数公式计算获取过滤系数/>;
S3.4:若过滤系数≥过滤阈值,判断该事件不为误报事件,不进行过滤,若过滤系数/><过滤阈值,判断该事件为误报事件,进行过滤。
优选的,所述事件发生频率的计算表达式为:
,
式中,为事件发生次数,/>为观测时间段。
优选的,所述流量偏差的计算表达式为:
,
式中,为观测流量,/>为基准流量。
优选的,所述威胁情报匹配相似度的计算表达式为:
,
式中,i表示特征或属性的索引,、/>分别表示当前威胁情报向量A和已知的威胁情报向量B在第i个特征或属性上的值。
优选的,步骤S4中,设置隔离和安全控制策略,限制访问敏感信息包括以下步骤:
S4.1:实施访问控制和权限管理策略,限制对蜜网中的敏感信息和操作的访问权限;
S4.2:在蜜网与真实系统之间设置隔离和网络分段;
S4.3:通过安全审计和监控机制对蜜网系统的操作和访问进行实时监控和记录;
S4.4:使用加密技术保护蜜网系统中的通信和存储。
优选的,步骤S4中,对数据进行匿名化处理包括以下步骤:
S4.5:确定需要随机化脱敏的敏感数据字段;
S4.6:根据敏感数据字段的特点和保护需求,制定相应的随机化脱敏规则;
S4.7:根据脱敏规则,选择随机化方法执行实际的脱敏处理;
S4.8:对敏感数据字段应用所选的随机化方法进行脱敏处理。
在上述技术方案中,本发明提供的技术效果和优点:
1、本发明通过监测和分析攻击行为,以及智能响应和自动化机制的运用,可以有效减少误报和误伤的情况,系统可以更准确地识别和区分恶意行为和误报行为,减少对合法用户的干扰,提高系统的可用性和可靠性,通过匿名化处理数据、限制敏感信息的访问以及实施适当的隔离和安全控制,可以降低潜在的风险泄露风险,这样可以保护蜜网中的信息和操作,防止攻击者利用蜜网来获得真实系统的有价值信息,从而提高整个系统的安全性。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明中记载的一些实施例,对于本领域普通技术人员来讲,还可以根据这些附图获得其他的附图。
图1为本发明的方法流程图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
实施例1:请参阅图1所示,本实施例所述基于蜜网的协同式主动防御方法,所述防御方法包括以下步骤:
S1、精确选择和部署蜜网组件:在设计蜜网系统时,需要选择适合的蜜网组件和服务,确保其与真实系统相似度高,这有助于降低误报和误伤的风险,并提高攻击者与蜜网交互的几率;
S1.1、明确蜜网系统的目标和需求,例如希望监测哪些类型的攻击、收集什么样的情报等,这有助于指导选择合适的蜜网组件和服务;
S1.2、仔细研究市场上可用的蜜网组件和服务,包括蜜罐、蜜网操作系统、网络陷阱等,评估它们的功能、特性和适用性,以确定是否符合系统需求;
S1.3、了解真实系统的架构、操作系统、服务和应用程序等特征,并选择与之相匹配的蜜网组件,确保蜜网能够准确模拟真实系统的行为和服务,提高其与真实系统的相似度;
S1.4、在蜜网中模拟各种环境和服务,例如网络拓扑、操作系统版本、数据库、Web应用程序等,确保蜜网与真实系统的环境尽可能接近,以吸引攻击者与蜜网进行交互;
S1.5、设计诱人的诱饵和吸引力,吸引攻击者进入蜜网并与之交互,例如,设置易受攻击的漏洞、提供有吸引力的敏感数据等,以引起攻击者的兴趣;
S1.6、确保蜜网系统具备实时监测和日志记录的功能,以捕获攻击者与蜜网的交互,这有助于收集攻击者的行为信息,并为后续分析和响应提供依据;
S1.7、确保蜜网与真实系统之间有适当的隔离和安全控制措施,防止攻击者从蜜网渗透到真实系统,并保护蜜网中的信息和操作不被攻击者获取。
S2、监测和分析攻击行为:通过深入分析攻击者与蜜网的交互,可以区分恶意行为;
S2.1、蜜网系统收集攻击者与蜜网之间的交互日志和网络数据。这包括攻击流量、命令行记录、会话记录等信息。通过收集这些数据,可以了解攻击者的行为和攻击技术。
S2.2、蜜网系统实时监测攻击者与蜜网的交互,并设置事件触发机制。例如,监测到特定的攻击行为或攻击特征时,触发相应的事件或警报。
S2.3、通过对收集到的日志和网络数据进行分析,可以建立攻击者行为的模型。这包括识别攻击者的攻击手段、技术和行为模式,以及攻击者与蜜网之间的交互方式。
S2.4、结合机器学习和行为分析技术,对攻击者与蜜网的交互进行自动化分析。这可以识别出恶意行为,例如恶意扫描、漏洞利用、渗透尝试等,并区分其与误报或合法用户的交互。
S2.5、将蜜网系统收集到的威胁情报与外部情报源进行整合,例如公开的漏洞数据库、黑客论坛、安全威胁情报等。这有助于对攻击者行为进行更准确的分析和识别,提高对威胁的感知能力。
S2.6、通过分析和识别恶意行为,建立恶意行为库,包括已知的攻击模式、恶意软件特征、恶意IP地址等。这可以为实时监测和自动化分析提供参考和比对,加强对恶意行为的检测和区分。
S3、智能响应和自动化:为了解决误报和误伤问题,获取事件参数后,基于智能响应和自动化机制过滤误报事件,从而减少对合法用户的干扰。
智能响应和自动化的机制的建立包括以下步骤:
将事件发生频率、流量偏差、威胁情报匹配相似度综合计算获取过滤系数,计算表达式为:
,
式中,事件发生频率、/>流量偏差、/>威胁情报匹配相似度,/>、/>、/>分别为事件发生频率、流量偏差、威胁情报匹配相似度的比例系数,且/>、/>、/>均大于0。
获取过滤系数后,将过滤系数/>与过滤阈值进行对比,完成智能响应和自动化的机制的建立。
基于智能响应和自动化机制过滤误报事件包括以下步骤:
蜜网系统获取事件的事件发生频率、流量偏差、威胁情报匹配相似度后,代入过滤系数公式计算获取过滤系数/>;
若过滤系数≥过滤阈值,判断该事件不为误报事件,不进行过滤,若过滤系数<过滤阈值,判断该事件为误报事件,进行过滤。
本申请中:
事件发生频率的计算表达式为:
,
式中,为事件发生次数,/>为观测时间段,事件发生次数指的是在观察时间内发生的特定事件的总次数,观察时间段则是指观察特定事件的时间段,事件发生频率越大,则事件越有可能被误报。
流量偏差的计算表达式为:
,
式中,为观测流量,/>为基准流量,观测流量是指实际观察到的流量值,基准流量是指预先设定或历史数据中的参考流量值,流量偏差越大,表明事件越异常。
威胁情报匹配相似度的计算表达式为:
,
式中,i表示特征或属性的索引,、/>分别表示当前威胁情报向量A和已知的威胁情报向量B在第i个特征或属性上的值,威胁情报匹配相似度值越小,表明当前威胁情报向量A和已知的威胁情报向量B在特征空间上更接近或更相似,事件越为异常事件。
当前威胁情报向量的获取逻辑为:
1)收集威胁情报:从多个可靠的威胁情报来源获取相关信息,这包括公开的威胁情报平台、安全厂商提供的情报、内部情报收集等,这些威胁情报可以包括已知的攻击模式、恶意软件特征、恶意域名、恶意IP地址等;
2)提取关键特征:根据需求和分析目标,从收集到的威胁情报中提取关键特征,这可能涉及对文本、网络流量、恶意代码等进行分析,以获取与特定事件或威胁相关的关键信息;
3)特征编码:对提取到的关键特征进行编码,将其转换为数值形式的向量,这可以包括将文本信息进行向量化(如词袋模型、TF-IDF等)、将网络流量进行统计分析(如提取统计特征)或对恶意代码进行哈希计算等方式;
4)构建当前威胁情报向量:将编码后的关键特征组合成一个向量表示当前威胁情报,向量的维度取决于所选择的特征和编码方式,每个维度对应一个特征或属性。
S4、匿名化和数据保护:为了防止潜在的风险泄露,设置隔离和安全控制策略,对数据进行匿名化处理,限制对敏感信息的访问,确保蜜网与真实系统之间有适当的隔离和安全控制。
1)数据匿名化处理:对于存储在蜜网中的数据,进行匿名化处理,以确保敏感信息不会直接暴露,匿名化可以使用各种技术,如数据脱敏、数据加密、数据替换等,将数据中的敏感信息转换为不可识别或不可还原的形式;
1.1)确定敏感数据:确定在蜜网中存储的敏感数据,包括个人身份信息、机密业务数据等,对于每个数据字段,明确其敏感程度和保护需求;
1.2)制定脱敏策略:根据敏感数据的特点和保护需求,制定脱敏策略,选择适当的脱敏方法和算法,确保脱敏后的数据不可逆转地与原始数据分离;
1.3)选择脱敏方法:根据敏感数据的特征,选择合适的脱敏方法,常见的脱敏方法包括随机化、替换、加密、脱敏规则等,不同方法适用于不同类型的数据和需求;
1.4)脱敏处理:根据所选的脱敏方法,对敏感数据进行实际的脱敏处理,这可能涉及对字段值进行加密、替换、模糊化、生成伪随机数据等操作,以确保脱敏后数据的安全性和匿名性;
1.41)确定敏感数据字段:确定需要随机化脱敏的敏感数据字段,如姓名、身份证号码、电话号码等,明确每个字段的敏感级别和保护需求;
1.42)制定随机化脱敏规则:根据敏感数据字段的特点和保护需求,制定相应的随机化脱敏规则,规定如何对每个字段进行随机化处理,以保护数据的隐私和匿名性;
1.43)选择随机化方法:根据脱敏规则,选择适当的随机化方法来执行实际的脱敏处理,常见的随机化方法包括生成伪随机数、替换为随机字符串或数字、打乱顺序等;
1.44)实施随机化脱敏处理:对敏感数据字段应用所选的随机化方法进行脱敏处理,具体操作根据字段的特点和随机化规则而定。
1.5)脱敏验证:对脱敏后的数据进行验证,确保脱敏处理的正确性和有效性,验证过程可能包括数据样本的检查、数据统计分析等;
1.51)样本数据验证:选择一部分数据样本,对这些样本数据进行验证,确保随机化脱敏后的数据格式、结构和内容符合预期,验证的样本数据应覆盖各种可能的情况,以确保脱敏处理在各种情况下都能正确应用;
1.52)数据质量检查:对随机化脱敏后的数据进行数据质量检查,确保脱敏处理没有导致数据错误或损坏,例如,检查数据的完整性、一致性、准确性等方面的指标;
1.53)统计分析:对随机化脱敏后的数据进行统计分析,以验证数据的分布、分散度和相关性等,通过与原始数据进行对比,确保脱敏后的数据在统计特性上与原始数据相似;
1.54)保持数据关联性:对于需要保持数据关联性的情况(如关联数据库表中的数据),验证脱敏后的数据仍然可以在合适的上下文中进行关联和使用,确保脱敏处理没有破坏数据之间的关联关系;
1.55)敏感信息模拟测试:模拟测试对于敏感信息的还原或识别性,尝试应用已知的数据恢复方法或算法来尝试还原敏感信息,并确保脱敏后的数据无法通过这些方法还原出原始敏感信息;
1.56)合规性验证:确保脱敏后的数据符合相关的法律法规和隐私保护要求,进行合规性评估和审查,验证脱敏处理的合法性和合规性。
2)访问控制和权限管理:实施严格的访问控制和权限管理策略,限制对蜜网中的敏感信息和操作的访问权限,只授权给有必要访问的人员,并根据权限级别划分不同的访问角色,这可以通过身份验证、授权和审计机制来实现;
3)网络隔离和分段:确保蜜网与真实系统之间有适当的隔离和网络分段,这可以通过配置防火墙、虚拟局域网(VLAN)、网络隔离设备等来实现,分段网络可以帮助防止攻击者从蜜网渗透到真实系统,并降低风险泄露的可能性;
4)安全审计和监控:建立安全审计和监控机制,对蜜网系统的操作和访问进行实时监控和记录,这包括日志记录、事件警报、异常行为检测等,通过及时检测和响应异常活动,可以及早发现风险泄露的威胁,并采取相应措施加以防范;
5)加密通信和存储:对于蜜网系统中的通信和存储,使用加密技术来保护数据的机密性和完整性,使用安全协议(如TLS/SSL)对通信进行加密,并采用加密算法对数据进行加密,以防止数据在传输和存储过程中被未授权的人员访问或篡改;
S5、定期更新和演进:蜜网系统定期进行更新和演进,以适应不断变化的威胁和攻击技术,这包括更新蜜网组件、增加新的蜜网技术、修复已知漏洞等,以提高系统的安全性和可靠性;
S5.1、定期收集来自内部和外部的威胁情报,包括最新的攻击技术、漏洞信息、恶意软件等,这可以通过订阅安全厂商的威胁情报、参与安全社区、分析恶意代码等方式来获取;
S5.2、定期进行漏洞扫描和评估,识别系统中存在的漏洞,针对已知漏洞,及时采取修复措施,包括应用程序和系统补丁、安全配置调整等,这有助于防止攻击者利用已知漏洞入侵蜜网系统;
S5.3、定期审查蜜网系统中使用的组件和工具,并及时更新到最新版本,这包括蜜罐软件、蜜网操作系统、网络陷阱等,更新的组件通常包含修复漏洞和增强功能的改进,以提高系统的安全性和性能;
S5.4、根据需要,引入新的技术和工具,例如新的蜜网技术、攻击检测工具、威胁情报平台等,以强化蜜网系统的能力和防御水平;
S5.5、定期进行演练和渗透测试,评估蜜网系统的安全性和有效性,这可以模拟真实攻击场景,检验蜜网系统的防御能力,并发现潜在的漏洞和改进点。
本申请通过监测和分析攻击行为,以及智能响应和自动化机制的运用,可以有效减少误报和误伤的情况,系统可以更准确地识别和区分恶意行为和误报行为,减少对合法用户的干扰,提高系统的可用性和可靠性,通过匿名化处理数据、限制敏感信息的访问以及实施适当的隔离和安全控制,可以降低潜在的风险泄露风险,这样可以保护蜜网中的信息和操作,防止攻击者利用蜜网来获得真实系统的有价值信息,从而提高整个系统的安全性。
上述公式均是去量纲取其数值计算,公式是由采集大量数据进行软件模拟得到最近真实情况的一个公式,公式中的预设参数由本领域的技术人员根据实际情况进行设置。
上述实施例,可以全部或部分地通过软件、硬件、固件或其他任意组合来实现。当使用软件实现时,上述实施例可以全部或部分地以计算机程序产品的形式实现。所述计算机程序产品包括一个或多个计算机指令或计算机程序。在计算机上加载或执行所述计算机指令或计算机程序时,全部或部分地产生按照本申请实施例所述的流程或功能。所述计算机可以为通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中,或者从一个计算机可读存储介质向另一个计算机可读存储介质传输,例如,所述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集合的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质(例如,软盘、硬盘、磁带)、光介质(例如,DVD)、或者半导体介质。半导体介质可以是固态硬盘。
应理解,本文中术语“和/或”,仅仅是一种描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况,其中A,B可以是单数或者复数。另外,本文中字符“/”,一般表示前后关联对象是一种“或”的关系,但也可能表示的是一种“和/或”的关系,具体可参考前后文进行理解。
本申请中,“至少一个”是指一个或者多个,“多个”是指两个或两个以上。“以下至少一项(个)”或其类似表达,是指的这些项中的任意组合,包括单项(个)或复数项(个)的任意组合。例如,a,b,或c中的至少一项(个),可以表示:a,b,c,a-b,a-c,b-c,或a-b-c,其中a,b,c可以是单个,也可以是多个。
应理解,在本申请的各种实施例中,上述各过程的序号的大小并不意味着执行顺序的先后,各过程的执行顺序应以其功能和内在逻辑确定,而不应对本申请实施例的实施过程构成任何限定。
本领域普通技术人员可以意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本申请的范围。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统、装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在本申请所提供的几个实施例中,应该理解到,所揭露的系统、装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本申请各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。
所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(read-only-memory,ROM)、随机存取存储器(random-access-memory,RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述,仅为本申请的具体实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应以所述权利要求的保护范围为准。
Claims (3)
1.基于蜜网的协同式主动防御方法,其特征在于:所述防御方法包括以下步骤:
S1:依据需求选择蜜网组件和服务;
S2:深入分析攻击者与蜜网的交互,区分恶意行为;
S3:获取事件参数后,基于智能响应和自动化机制过滤误报事件;
S4:设置隔离和安全控制策略,对数据进行匿名化处理,限制访问敏感信息;
S5:定期进行更新和演进;
步骤S3中,智能响应和自动化机制建立包括以下步骤:
S3.1:将事件发生频率、流量偏差、威胁情报匹配相似度综合计算获取过滤系数,计算表达式为:
,
式中,事件发生频率、/>流量偏差、/>威胁情报匹配相似度,/>、/>、/>分别为事件发生频率、流量偏差、威胁情报匹配相似度的比例系数,且/>、/>、/>均大于0;
S3.2:获取过滤系数后,将过滤系数/>与过滤阈值进行对比,完成智能响应和自动化的机制的建立;
步骤S3中,基于智能响应和自动化机制过滤误报事件包括以下步骤:
S3.3:获取事件的事件发生频率、流量偏差、威胁情报匹配相似度后,代入过滤系数公式计算获取过滤系数/>;
S3.4:若过滤系数≥过滤阈值,判断该事件不为误报事件,不进行过滤,若过滤系数<过滤阈值,判断该事件为误报事件,进行过滤;
所述事件发生频率的计算表达式为:
,
式中,为事件发生次数,/>为观测时间段;
所述流量偏差的计算表达式为:
,
式中,为观测流量,/>为基准流量;
所述威胁情报匹配相似度的计算表达式为:
,
式中,i表示特征或属性的索引,、/>分别表示当前威胁情报向量A和已知的威胁情报向量B在第i个特征或属性上的值。
2.根据权利要求1所述的基于蜜网的协同式主动防御方法,其特征在于:步骤S4中,设置隔离和安全控制策略,限制访问敏感信息包括以下步骤:
S4.1:实施访问控制和权限管理策略,限制对蜜网中的敏感信息和操作的访问权限;
S4.2:在蜜网与真实系统之间设置隔离和网络分段;
S4.3:通过安全审计和监控机制对蜜网系统的操作和访问进行实时监控和记录;
S4.4:使用加密技术保护蜜网系统中的通信和存储。
3.根据权利要求2所述的基于蜜网的协同式主动防御方法,其特征在于:步骤S4中,对数据进行匿名化处理包括以下步骤:
S4.5:确定需要随机化脱敏的敏感数据字段;
S4.6:根据敏感数据字段的特点和保护需求,制定相应的随机化脱敏规则;
S4.7:根据脱敏规则,选择随机化方法执行实际的脱敏处理;
S4.8:对敏感数据字段应用所选的随机化方法进行脱敏处理。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202311244021.3A CN116996326B (zh) | 2023-09-26 | 2023-09-26 | 基于蜜网的协同式主动防御方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202311244021.3A CN116996326B (zh) | 2023-09-26 | 2023-09-26 | 基于蜜网的协同式主动防御方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN116996326A CN116996326A (zh) | 2023-11-03 |
| CN116996326B true CN116996326B (zh) | 2023-12-26 |
Family
ID=88521615
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202311244021.3A Active CN116996326B (zh) | 2023-09-26 | 2023-09-26 | 基于蜜网的协同式主动防御方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN116996326B (zh) |
Citations (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107370756A (zh) * | 2017-08-25 | 2017-11-21 | 北京神州绿盟信息安全科技股份有限公司 | 一种蜜网防护方法及系统 |
| CN107707576A (zh) * | 2017-11-28 | 2018-02-16 | 深信服科技股份有限公司 | 一种基于蜜罐技术的网络防御方法及系统 |
| CN108259449A (zh) * | 2017-03-27 | 2018-07-06 | 新华三技术有限公司 | 一种防御apt攻击的方法和系统 |
| CN109088901A (zh) * | 2018-10-31 | 2018-12-25 | 杭州默安科技有限公司 | 基于sdn构建动态网络的欺骗防御方法和系统 |
| CN112560043A (zh) * | 2020-12-02 | 2021-03-26 | 江西环境工程职业学院 | 一种基于上下文语义的漏洞相似性度量方法 |
| CN113132318A (zh) * | 2019-12-31 | 2021-07-16 | 中国电力科学研究院有限公司 | 面向配电自动化系统主站信息安全的主动防御方法及系统 |
| CN113542262A (zh) * | 2021-07-13 | 2021-10-22 | 北京华圣龙源科技有限公司 | 用于信息系统的信息安全威胁智能预警方法和装置 |
| CN114070629A (zh) * | 2021-11-16 | 2022-02-18 | 南京南瑞信息通信科技有限公司 | 针对apt攻击的安全编排与自动化响应方法、装置及系统 |
| CN115150140A (zh) * | 2022-06-23 | 2022-10-04 | 云南电网有限责任公司 | 一种基于集中统一布防的分布式攻击诱捕系统及方法 |
| CN116132101A (zh) * | 2022-12-02 | 2023-05-16 | 安天科技集团股份有限公司 | 一种验证威胁情报误报的方法、装置及电子设备 |
| CN116170167A (zh) * | 2021-11-25 | 2023-05-26 | 中移(杭州)信息技术有限公司 | 一种网络安全监控方法、装置、电子设备和存储介质 |
| CN116260628A (zh) * | 2023-01-06 | 2023-06-13 | 杭州漠坦尼科技有限公司 | 一种基于蜜网主动溯源方法 |
| CN116346430A (zh) * | 2023-03-03 | 2023-06-27 | 北京邮电大学 | 一种基于高交互性蜜罐的网络威胁管理系统 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10764310B2 (en) * | 2016-03-25 | 2020-09-01 | Cisco Technology, Inc. | Distributed feedback loops from threat intelligence feeds to distributed machine learning systems |
| US10462181B2 (en) * | 2016-05-10 | 2019-10-29 | Quadrant Information Security | Method, system, and apparatus to identify and study advanced threat tactics, techniques and procedures |
-
2023
- 2023-09-26 CN CN202311244021.3A patent/CN116996326B/zh active Active
Patent Citations (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108259449A (zh) * | 2017-03-27 | 2018-07-06 | 新华三技术有限公司 | 一种防御apt攻击的方法和系统 |
| CN107370756A (zh) * | 2017-08-25 | 2017-11-21 | 北京神州绿盟信息安全科技股份有限公司 | 一种蜜网防护方法及系统 |
| CN107707576A (zh) * | 2017-11-28 | 2018-02-16 | 深信服科技股份有限公司 | 一种基于蜜罐技术的网络防御方法及系统 |
| CN109088901A (zh) * | 2018-10-31 | 2018-12-25 | 杭州默安科技有限公司 | 基于sdn构建动态网络的欺骗防御方法和系统 |
| CN113132318A (zh) * | 2019-12-31 | 2021-07-16 | 中国电力科学研究院有限公司 | 面向配电自动化系统主站信息安全的主动防御方法及系统 |
| CN112560043A (zh) * | 2020-12-02 | 2021-03-26 | 江西环境工程职业学院 | 一种基于上下文语义的漏洞相似性度量方法 |
| CN113542262A (zh) * | 2021-07-13 | 2021-10-22 | 北京华圣龙源科技有限公司 | 用于信息系统的信息安全威胁智能预警方法和装置 |
| CN114070629A (zh) * | 2021-11-16 | 2022-02-18 | 南京南瑞信息通信科技有限公司 | 针对apt攻击的安全编排与自动化响应方法、装置及系统 |
| CN116170167A (zh) * | 2021-11-25 | 2023-05-26 | 中移(杭州)信息技术有限公司 | 一种网络安全监控方法、装置、电子设备和存储介质 |
| CN115150140A (zh) * | 2022-06-23 | 2022-10-04 | 云南电网有限责任公司 | 一种基于集中统一布防的分布式攻击诱捕系统及方法 |
| CN116132101A (zh) * | 2022-12-02 | 2023-05-16 | 安天科技集团股份有限公司 | 一种验证威胁情报误报的方法、装置及电子设备 |
| CN116260628A (zh) * | 2023-01-06 | 2023-06-13 | 杭州漠坦尼科技有限公司 | 一种基于蜜网主动溯源方法 |
| CN116346430A (zh) * | 2023-03-03 | 2023-06-27 | 北京邮电大学 | 一种基于高交互性蜜罐的网络威胁管理系统 |
Non-Patent Citations (2)
| Title |
|---|
| 分布式监测系统中的重复元素检测机制;陆乐;孙玉娥;黄河;汪润枝;曹振;;计算机研究与发展(05);全文 * |
| 基于威胁情报的恶意软件识别;周松松;马勇;;信息网络安全(S1);全文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN116996326A (zh) | 2023-11-03 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| WO2009037333A2 (en) | Intrusion detection method and system | |
| Maraj et al. | Testing techniques and analysis of SQL injection attacks | |
| CN113992386A (zh) | 一种防御能力的评估方法、装置、存储介质及电子设备 | |
| Aboelfotoh et al. | A review of cyber-security measuring and assessment methods for modern enterprises | |
| KR20170091989A (ko) | 산업 제어 네트워크에서의 보안 관제 평가 시스템 및 방법 | |
| Murphy | Comparing the performance of intrusion detection systems: Snort and Suricata | |
| CN116996326B (zh) | 基于蜜网的协同式主动防御方法 | |
| Pasandideh et al. | Improving attack trees analysis using Petri net modeling of cyber-attacks | |
| Saini et al. | Vulnerability and Attack Detection Techniques: Intrusion Detection System | |
| Sherif et al. | Intrusion detection: methods and systems. Part II | |
| Al-Mahrouqi et al. | Efficiency of network event logs as admissible digital evidence | |
| CN112637217B (zh) | 基于诱饵生成的云计算系统的主动防御方法及装置 | |
| JP6987406B2 (ja) | ペネトレーションテスト監視サーバ及びシステム | |
| Sanchez et al. | Security Threats and Security Testing for Chatbots | |
| CN117610075A (zh) | 一种数据库数据安全防泄漏系统及方法 | |
| CN115460023B (zh) | 一种用于网络安全整体保障的方法及系统 | |
| Guelzim et al. | Formal methods of attack modeling and detection | |
| Østvang et al. | Honeypot Technology in a Business Perspective | |
| Nayak | Research on application of intrusion detection system in data mining | |
| Rawal et al. | Cybersecurity snapshot: Google, twitter, and other online databases | |
| Karie et al. | Cybersecurity Incident Response in the Enterprise | |
| Falguni et al. | 'E-SPY': DETECTION AND PREDICTION OF WEBSITE ATTACKS. | |
| Dar et al. | Strategic Security Audit Protocol: Safeguarding Smart Home IoT Devices against Vulnerabilities | |
| Galiautdinov | Securing the Future of Artificial Intelligence: A Comprehensive Overview of AI Security Measures | |
| Boadi et al. | Current BYOD security evaluation system: future direction |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |