CN117040871B - 一种网络安全运营服务方法 - Google Patents
一种网络安全运营服务方法 Download PDFInfo
- Publication number
- CN117040871B CN117040871B CN202311048431.0A CN202311048431A CN117040871B CN 117040871 B CN117040871 B CN 117040871B CN 202311048431 A CN202311048431 A CN 202311048431A CN 117040871 B CN117040871 B CN 117040871B
- Authority
- CN
- China
- Prior art keywords
- honeypot
- attacker
- network
- attack
- risk
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 46
- 230000006399 behavior Effects 0.000 claims abstract description 135
- 238000012544 monitoring process Methods 0.000 claims abstract description 81
- 238000005516 engineering process Methods 0.000 claims abstract description 33
- 238000011156 evaluation Methods 0.000 claims abstract description 28
- 235000012907 honey Nutrition 0.000 claims abstract description 24
- 230000000694 effects Effects 0.000 claims abstract description 20
- 238000001514 detection method Methods 0.000 claims description 20
- 230000002159 abnormal effect Effects 0.000 claims description 17
- 206010000117 Abnormal behaviour Diseases 0.000 claims description 15
- 238000004891 communication Methods 0.000 claims description 12
- 238000009826 distribution Methods 0.000 claims description 12
- 230000006870 function Effects 0.000 claims description 12
- 238000004422 calculation algorithm Methods 0.000 claims description 11
- 238000012502 risk assessment Methods 0.000 claims description 11
- 238000012545 processing Methods 0.000 claims description 8
- 238000004458 analytical method Methods 0.000 claims description 7
- 230000008859 change Effects 0.000 claims description 7
- 238000013461 design Methods 0.000 claims description 7
- 230000035515 penetration Effects 0.000 claims description 7
- 238000004140 cleaning Methods 0.000 claims description 6
- 230000002155 anti-virotic effect Effects 0.000 claims description 5
- 238000004519 manufacturing process Methods 0.000 claims description 5
- 238000005336 cracking Methods 0.000 claims description 4
- 238000012423 maintenance Methods 0.000 claims description 4
- 230000003068 static effect Effects 0.000 claims description 4
- 230000003993 interaction Effects 0.000 claims description 3
- 230000007246 mechanism Effects 0.000 claims description 3
- 238000005457 optimization Methods 0.000 claims 2
- 238000004088 simulation Methods 0.000 claims 1
- 238000002347 injection Methods 0.000 description 10
- 239000007924 injection Substances 0.000 description 10
- 230000008450 motivation Effects 0.000 description 6
- 238000013450 outlier detection Methods 0.000 description 6
- 238000007781 pre-processing Methods 0.000 description 4
- 238000012360 testing method Methods 0.000 description 4
- 241000700605 Viruses Species 0.000 description 3
- 230000005540 biological transmission Effects 0.000 description 3
- ZXQYGBMAQZUVMI-GCMPRSNUSA-N gamma-cyhalothrin Chemical compound CC1(C)[C@@H](\C=C(/Cl)C(F)(F)F)[C@H]1C(=O)O[C@H](C#N)C1=CC=CC(OC=2C=CC=CC=2)=C1 ZXQYGBMAQZUVMI-GCMPRSNUSA-N 0.000 description 2
- 239000000243 solution Substances 0.000 description 2
- 206010001488 Aggression Diseases 0.000 description 1
- 208000012761 aggressive behavior Diseases 0.000 description 1
- 230000016571 aggressive behavior Effects 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000013507 mapping Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000000737 periodic effect Effects 0.000 description 1
- 230000008439 repair process Effects 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4641—Virtual LANs, VLANs, e.g. virtual private networks [VPN]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1491—Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请提供一种网络安全运营服务方法,包括:根据漏洞报告、漏洞数据库及目标系统的已知漏洞和其特点,确定攻击者偏好,并优化漏洞扫描和蜜罐技术;通过已配置的网络设置,配置防火墙和IDS,得到受保护的蜜罐系统;根据具有完整日志和监控功能的蜜罐,在蜜罐中模拟并添加虚假的敏感数据,定期变化蜜罐的诱饵和配置,得到定期更新的蜜罐;通过监控定期更新的蜜罐,对监控的蜜罐活动和攻击者行为进行评估,生成风险评估报告,确定攻击者行为与系统风险;基于攻击者行为与系统风险,以及蜜罐的部署环境,确定是否复用蜜罐;针对有风险无法直接复用的蜜罐,判断是部分更新蜜罐的配置还是完全替换蜜罐。
Description
技术领域
本发明涉及信息技术领域,尤其涉及一种网络安全运营服务方法。
背景技术
随着网络攻击手段的不断演进和网络安全威胁的日益增加,传统的系统漏洞检测方法已经无法满足对系统安全的需求。目前的系统漏洞检测方法大多基于漏洞扫描技术,通过主动扫描目标系统的漏洞来发现潜在的安全隐患。然而,这种方法存在一些问题。首先,传统的漏洞扫描方法只能对已知的漏洞进行检测,无法对未知的漏洞进行有效的发现。由于攻击者的技术不断更新和演变,新的漏洞层出不穷,不断有新的攻击手段被发现,传统的漏洞扫描方法很难跟上这种变化。其次,传统的漏洞扫描方法对目标系统的侵入性较强,可能会对目标系统造成不必要的干扰甚至破坏。这对于一些关键系统来说是不可接受的,因为它们不能被随意干扰。更重要的是蜜罐系统虽然可以用于吸引攻击,但是它也可能在超强黑客的攻击下,变成一种跳板,通过蜜罐来进入到健康的电脑中,因此蜜罐并不是100%安全的,当蜜罐被使用后,经常还需要对其进行判别,判断它是否是真正安全的,而目前没有专门针对蜜罐是否可以复用,以及是应该进行配置的修复还是直接替换的详细分析技术。这使得用户很难及时采取相应的安全措施来防范潜在的攻击。随着网络安全威胁的不断增加,解决上述蜜罐技术在系统漏洞检测中的应用具有重要的意义。
发明内容
本发明提供了一种网络安全运营服务方法,主要包括:
根据漏洞报告、漏洞数据库及目标系统的已知漏洞和其特点,确定攻击者偏好,并优化漏洞扫描和蜜罐技术;使用VLAN和NAT技术创建新的网络环境,将蜜罐与真实系统隔离,吸引攻击者并监控攻击行为,得到具备相应网络设置的蜜罐;通过已配置的网络设置,配置防火墙和IDS,得到受保护的蜜罐系统;为受保护的蜜罐部署监控工具,检测网络入侵、恶意软件和用户异常行为,生成报警和评估信息,得到具有完整日志和监控功能的蜜罐;根据具有完整日志和监控功能的蜜罐,在蜜罐中模拟并添加虚假的敏感数据,定期变化蜜罐的诱饵和配置,得到定期更新的蜜罐;通过监控定期更新的蜜罐,对监控的蜜罐活动和攻击者行为进行评估,生成风险评估报告,确定攻击者行为与系统风险;基于攻击者行为与系统风险,以及蜜罐的部署环境,确定是否复用蜜罐;针对有风险无法直接复用的蜜罐,判断是部分更新蜜罐的配置还是完全替换蜜罐。
作为优选方案,所述根据漏洞报告、漏洞数据库及目标系统的已知漏洞和其特点,确定攻击者偏好,并优化漏洞扫描和蜜罐技术,包括:
通过访问漏洞报告和漏洞数据库,获取已知漏洞的详细信息,包括漏洞的类型、影响范围、漏洞编号以及攻击方式;通过统计不同漏洞类型的出现频率、攻击者利用漏洞的方式,得到漏洞的攻击模式和偏好;根据目标系统的漏洞报告和漏洞数据库,获取与目标系统相关的已知漏洞信息,包括漏洞编号、描述和影响等级;根据目标系统已知漏洞的特点与全局漏洞特点的差异,确定攻击者更可能利用的漏洞类型;基于漏洞的严重程度或攻击可能性进行优先级排序,将扫描资源和时间分配给被攻击者利用的漏洞类型,提高漏洞扫描的效率和准确率;通过部署蜜罐技术,模拟目标系统中漏洞,吸引攻击者进行攻击行为。
作为优选方案,所述使用VLAN和NAT技术创建新的网络环境,将蜜罐与真实系统隔离,吸引攻击者并监控攻击行为,得到具备相应网络设置的蜜罐,包括:
通过使用VLAN技术创建一个新的VLAN,并将蜜罐的网络接口加入到该新的VLAN中;采用PAT类型的NAT技术将蜜罐的真实IP地址隐藏,并将其映射为一个公共IP地址和不同的端口;通过网络拓扑图和网络配置信息,确定蜜罐的IP地址和子网掩码,并采用静态IP配置的方式,将其设置在与真实系统处于同一子网中;在网络设置中指定默认网关的IP地址和路由表,将其设定为与蜜罐所在的VLAN的路由器的IP地址相对应,同时通过路由器管理界面更新路由表,指定数据包的转发路径;使用网络监控系统,启用HTTP服务并开放80端口,吸引攻击者并监控攻击者的攻击行为。
作为优选方案,所述通过已配置的网络设置,配置防火墙和IDS,得到受保护的蜜罐系统,包括:
采用防火墙配置,将蜜罐系统部署在一个独立的网络子网中,确定蜜罐系统与生产网络之间的访问规则,阻止未经授权的访问和攻击流量进入蜜罐系统;获取IDS设备,通过配置规则,检测端口扫描、恶意文件上传、大量无效登录尝试、异常的网络流量模式和尝试非授权访问的行为;通过IDS实时监控和分析蜜罐系统中的网络流量和事件,判断异常活动和攻击行为,并及时采取相应的防御措施;确定防火墙和IDS的访问控制规则,限制对蜜罐系统的访问,包括确定只有经过授权的用户或攻击者才能访问蜜罐系统。
作为优选方案,所述为受保护的蜜罐部署监控工具,检测网络入侵、恶意软件和用户异常行为,生成报警和评估信息,得到具有完整日志和监控功能的蜜罐,包括:
部署登录审计工具,记录用户的登录信息,包括用户名、IP地址、登录时间和登录尝试次数;部署网络流量监控工具,监控系统的网络通信流量,收集数据包的源和目的地、流量量和频率信息;部署文件访问监控工具,监控用户对系统文件的访问行为,记录文件的读取、修改和删除操作;部署系统调用监控工具,监控系统调用的使用情况,记录系统调用的类型、参数和返回值相关信息;将用户的登录信息、系统的网络通信流量、用户对系统文件的访问行为和系统调用的使用情况存储在安全的日志服务器中;获取用户的登录信息、系统的网络通信流量、用户对系统文件的访问行为和系统调用的使用情况,判断是否存在异常行为,包括频繁登录失败、大量文件访问或异常的系统调用,得到异常行为的报警信息;利用防病毒软件和入侵检测系统,扫描系统中的恶意软件,检测病毒、木马和间谍软件恶意软件的存在,得到恶意软件的报警信息;部署网络入侵检测系统,监测网络入侵行为,包括端口扫描、暴力破解和拒绝服务攻击入侵行为,得到入侵行为的报警信息;运行漏洞扫描工具,检测系统中的弱点,判断是否存在漏洞利用和缓冲区溢出攻击行为,得到弱点利用的报警信息;获取来自外部威胁情报源的信息,识别潜在的攻击者和攻击类型,得到威胁情报评估结果;根据用户的行为模式,包括用户的登录信息、系统的网络通信流量、用户对系统文件的访问行为和系统调用的使用情况,检测异常的用户行为和潜在的攻击行为,得到用户行为评估结果。
作为优选方案,所述根据具有完整日志和监控功能的蜜罐,在蜜罐中模拟并添加虚假的敏感数据,定期变化蜜罐的诱饵和配置,得到定期更新的蜜罐,包括:
通过在蜜罐中使用虚拟机或容器虚拟化技术,在同一物理设备上运行两个或大于两个独立的系统实例,增加对攻击者的诱惑性;根据攻击者和攻击类型,确定添加的虚假敏感数据,包括假的用户账户信息、个人身份信息、银行账户信息;采用虚假日志生成工具,生成虚假的系统日志、应用程序日志和网络流量日志;获取虚拟网络拓扑生成工具,根据真实网络环境的复杂性,包括不同类型的网络设备、复杂的网络拓扑结构、多层次网络架构、不同的网络协议和路由策略,构建虚拟网络拓扑,包括虚拟机、路由器、交换机和防火墙网络设备;通过添加已知的弱点和漏洞,包括已知的安全漏洞或应用程序漏洞,吸引攻击者进行渗透测试和攻击尝试;根据常见错误配置和弱密码的列表,设置常见的错误配置和弱密码,判断攻击者的技术水平和攻击手法;定期变化蜜罐的诱饵和配置,包括更改虚假数据、调整网络拓扑、修改弱点和漏洞。
作为优选方案,所述通过监控定期更新的蜜罐,对监控的蜜罐活动和攻击者行为进行评估,生成风险评估报告,确定攻击者行为与系统风险,包括:
获取蜜罐与攻击者之间的交互行为的监控数据,包括连接请求、数据传输和攻击行为,判断攻击者是否对蜜罐感兴趣或进行实际攻击行为;根据监控数据和判断结果,使用安全信息和事件管理系统,确定攻击者在蜜罐中的具体行为,包括探测、渗透、收集信息、运行恶意代码、侧信道攻击和清理痕迹;使用行为规则匹配算法,对攻击者在蜜罐中的具体行为进行匹配,确定攻击者是否触发了预定义的规则,包括包括攻击行为、恶意代码行为和漏洞利用尝试,评估蜜罐的安全性和系统中潜在风险的程度;使用基于密度的离群点检测算法,对监控的蜜罐活动和攻击者行为进行评估,确定系统中的风险级别,生成风险评估报告,确定攻击者行为与系统风险,风险评估报告包括将风险分为低、中、高三个级别,以及攻击者行为与系统风险的关联;还包括:使用基于密度的离群点检测算法,对监控的蜜罐活动和攻击者行为进行评估,确定系统中的风险级别,生成风险评估报告。
所述使用基于密度的离群点检测算法,对监控的蜜罐活动和攻击者行为进行评估,确定系统中的风险级别,生成风险评估报告,具体包括:
收集监控的蜜罐活动和攻击者行为数据,采用数据预处理方法,包括数据清洗、缺失值处理。使用欧氏距离,获取样本点之间的距离。通过设定参数k,确定每个样本点的k近邻,即距离该样本点最近的k个样本点。根据k近邻的数量,计算每个样本点的局部密度。采用密度阈值,根据样本点的局部密度,判断每个样本点是否为核心样本,密度高于阈值的样本点被认为是核心样本。通过识别核心样本,确定边界样本,所述边界样本是密度低于阈值但位于核心样本周围的样本点。根据密度阈值和核心样本的位置,判断密度低于阈值且不位于核心样本周围的样本点为离群点。根据离群点的数量和分布情况,确定系统的风险级别,离群点越多且分布越集中,系统风险级别越高。根据离群点的位置信息,生成离群点分布图,可视化展示系统中的风险情况。对每个离群点提供信息,包括离群点的特征向量、所属类别。根据历史监控数据,评估系统中离群点的变化趋势,预测未来的风险情况,生成风险评估报告。
作为优选方案,所述基于攻击者行为与系统风险,以及蜜罐的部署环境,确定是否复用蜜罐,包括:
基于攻击者行为与系统风险,若以下情况至少一项判断为否,则不复用蜜罐,包括,判断蜜罐中存储的数据是否受到加密保护;判断蜜罐中的敏感信息是否经过处理,不会泄露给攻击者;判断蜜罐的操作记录是否只能通过合法渠道获取,不会暴露操作人员的身份;判断蜜罐作为诱饵系统,是否成为攻击者的目标,但不会影响真实系统的安全;判断蜜罐的部署是否不影响正常系统的可用性,蜜罐的部署是否对整体网络拓扑无影响;判断蜜罐中的数据是否经过匿名化处理,符合相关隐私法律法规;判断蜜罐的维护和管理是否及时和规范;判断是否存在已知的漏洞且没有及时修复的情况;根据蜜罐所处的网络拓扑、系统架构和设备配置属性,得到蜜罐的部署环境,并评估网络拓扑、系统架构和设备配置属性适用性和可靠性,若以下情况至少一项判断为否,则不复用蜜罐,包括,评估蜜罐与网络设备的连接方式和位置,确定是否有效隔离和监控网络流量;评估蜜罐的系统设计和组件配置,包括硬件设备、操作系统和应用程序,确定系统设计和组件配置是否满足预期的安全需求;评估蜜罐的网络配置、访问控制列表和端口开放情况,确定网络配置、访问控制列表和端口开放情况是否阻止非授权访问;评估蜜罐的稳定性和可用性,包括系统的运行时间、备份和恢复机制,确定蜜罐是否持续有效地吸引和监测攻击者;若基于攻击者行为与系统风险,以及蜜罐的部署环境,至少一项判断为不复用蜜罐,则最终不复用蜜罐;还包括:判断是否存在已知的漏洞且没有及时修复的情况。
所述判断是否存在已知的漏洞且没有及时修复的情况,具体包括:
根据威胁情报和安全日志分析,获取攻击者的目标、技术能力、资源、动机和行为模式的相关信息。采用安全信息与事件管理工具,对收集到的数据进行处理和分析。根据目标和动机的不同,制定相应的蜜罐配置和部署方式。根据攻击者的技术能力评估,确定是否增加蜜罐的复杂性和难度。通过配置蜜罐资源和采用欺骗技术,吸引攻击者。根据攻击者拥有的资源,判断是否加强蜜罐的保护措施。根据攻击者的行为模式和历史攻击方式,获取攻击者使用的工具、技术和手段。通过持续监测攻击者的行为,不断优化蜜罐的配置和部署方式。
作为优选方案,所述针对有风险无法直接复用的蜜罐,判断是部分更新蜜罐的配置还是完全替换蜜罐,包括:
评估当前蜜罐的配置更新能力,包括是否支持在线更新和是否有自动化更新工具;若蜜罐支持在线更新且具有相应的更新工具,则部分更新蜜罐的配置;若更新困难或无法实现自动化更新,则进行完全替换蜜罐;根据风险级别和蜜罐配置更新能力,判断是部分更新蜜罐的配置还是完全替换蜜罐,包括,若风险级别为低、中或蜜罐具备配置更新能力,选择部分更新蜜罐的配置;若风险级别为高且无法通过更新来消除,则进行完全替换蜜罐;根据当前蜜罐的类型采取相应的更新或替换策略,包括对于基于虚拟机的蜜罐,通过更新虚拟机镜像来更新配置;对于基于容器的蜜罐,通过更新容器镜像或重新部署容器来更新配置。
本发明实施例提供的技术方案可以包括以下有益效果:
本发明公开了一种综合利用漏洞报告、漏洞数据库及目标系统已知漏洞特点的方法,通过优化漏洞扫描和蜜罐技术来提高攻击者偏好的确定和蜜罐的吸引力。该方法利用VLAN和NAT技术创建新的网络环境,将蜜罐与真实系统隔离,从而实现对攻击者的吸引并监控其攻击行为。在具备相应网络设置的蜜罐中,通过配置防火墙和IDS来提供更好的保护。同时,在受保护的蜜罐中部署监控工具,用于检测网络入侵、恶意软件和用户异常行为,并生成报警和评估信息,使得蜜罐具备完整的日志和监控功能。根据蜜罐具备完整的日志和监控功能,还可以在蜜罐中模拟并添加虚假的敏感数据,并定期变化蜜罐的诱饵和配置,以保持蜜罐的有效性。通过监控定期更新的蜜罐,可以对监控的蜜罐活动和攻击者行为进行评估,并生成风险评估报告,从而确定攻击者行为与系统风险的关系。基于蜜罐的风险评估报告和蜜罐的部署环境,可以确定是否复用蜜罐。综合以上技术,本发明提供了一种有效的方法,可以提高对攻击者行为的识别和评估,并为系统的安全防护提供重要参考。
附图说明
图1为本发明的一种网络安全运营服务方法的流程图。
具体实施方式
为了使本发明的目的、技术方案和优点更加清楚,下面结合附图和具体实施例对本发明进行详细描述。
本实施例一种网络安全运营服务方法具体可以包括:
步骤S101,根据漏洞报告、漏洞数据库及目标系统的已知漏洞和其特点,确定攻击者偏好,并优化漏洞扫描和蜜罐技术。
通过访问漏洞报告和漏洞数据库,获取已知漏洞的详细信息,包括漏洞的类型、影响范围、漏洞编号以及攻击方式。通过统计不同漏洞类型的出现频率、攻击者利用漏洞的方式,得到漏洞的攻击模式和偏好。根据目标系统的漏洞报告和漏洞数据库,获取与目标系统相关的已知漏洞信息,包括漏洞编号、描述和影响等级。根据目标系统已知漏洞的特点与全局漏洞特点的差异,确定攻击者更可能利用的漏洞类型。基于漏洞的严重程度或攻击可能性进行优先级排序,将扫描资源和时间分配给被攻击者利用的漏洞类型,提高漏洞扫描的效率和准确率。通过部署蜜罐技术,模拟目标系统中漏洞,吸引攻击者进行攻击行为。例如,有一个漏洞数据库,其中包含了不同类型的已知漏洞信息。通过访问该数据库,得知漏洞类型包括SQL注入漏洞、跨站脚本漏洞、远程代码执行漏洞等。影响范围包括某个特定应用程序的数据库、网站等。漏洞编号包括CVE-2021-1234、CVE-2021-5678、CVE-2021-9012等。攻击方式包括通过构造恶意的SQL查询语句、插入恶意的脚本代码等。通过统计漏洞报告和漏洞数据库的数据,得到漏洞类型出现频率包括SQL注入漏洞出现了100次、跨站脚本漏洞出现了50次、远程代码执行漏洞出现了30次,攻击者利用漏洞的方式包括,80%的攻击者利用SQL注入漏洞进行攻击,15%的攻击者利用跨站脚本漏洞进行攻击,5%的攻击者利用远程代码执行漏洞进行攻击。根据目标系统的漏洞报告和漏洞数据库,得知目标系统已知漏洞包括,漏洞编号CVE-2021-1234的描述为,某个应用程序的SQL注入漏洞,影响等为高。根据全局漏洞与目标系统已知漏洞的差异,可以确定攻击者更可能利用的漏洞类型是SQL注入漏洞。因此,可以将更多的扫描资源和时间分配给SQL注入漏洞的扫描,以提高漏洞扫描的效率和准确率。另外,为了吸引攻击者进行攻击行为,可以部署蜜罐技术,在目标系统中模拟SQL注入漏洞,从而吸引攻击者进行攻击,并及时发现并应对攻击行为。
步骤S102,使用VLAN和NAT技术创建新的网络环境,将蜜罐与真实系统隔离,吸引攻击者并监控攻击行为,得到具备相应网络设置的蜜罐。
通过使用VLAN技术创建一个新的VLAN,并将蜜罐的网络接口加入到该新的VLAN中。采用PAT类型的NAT技术将蜜罐的真实IP地址隐藏,并将其映射为一个公共IP地址和不同的端口。通过网络拓扑图和网络配置信息,确定蜜罐的IP地址和子网掩码,并采用静态IP配置的方式,将其设置在与真实系统处于同一子网中。在网络设置中指定默认网关的IP地址和路由表,将其设定为与蜜罐所在的VLAN的路由器的IP地址相对应,同时通过路由器管理界面更新路由表,指定数据包的转发路径。使用网络监控系统,启用HTTP服务并开放80端口,吸引攻击者并监控攻击者的攻击行为。例如,要创建一个新的VLAN,将蜜罐的网络接口加入到该VLAN中,并使用PAT类型的NAT技术隐藏蜜罐的真实IP地址。首先,选择的蜜罐的真实IP地址为192.168.1.100,子网掩码为255.255.255.0。这意味着可以在192.168.1.0/24子网中配置蜜罐的IP地址。创建新的VLAN,假设选择VLANID为100。在交换机上配置该VLAN,并将蜜罐的网络接口划分到该VLAN中。配置PAT类型的NAT,将蜜罐的真实IP地址隐藏。有一个公共IP地址为203.0.113.1,并将蜜罐的端口映射为8080端口。通过配置NAT规则,所有从203.0.113.1:8080发出的请求都将被转发到蜜罐的真实IP地址192.168.1.100:80。蜜罐所在的VLAN的路由器的IP地址为192.168.1.1。将蜜罐的默认网关设置为192.168.1.1,并更新蜜罐的路由表,指定数据包的转发路径。启用HTTP服务并开放80端口,吸引攻击者。通过配置蜜罐的HTTP服务器Apache或Nginx,并将其监听端口设置为80,可以吸引攻击者进行HTTP请求。
步骤S103,通过已配置的网络设置,配置防火墙和IDS,得到受保护的蜜罐系统。
采用防火墙配置,将蜜罐系统部署在一个独立的网络子网中,确定蜜罐系统与生产网络之间的访问规则,阻止未经授权的访问和攻击流量进入蜜罐系统。获取IDS设备,通过配置规则,检测端口扫描、恶意文件上传、大量无效登录尝试、异常的网络流量模式和尝试非授权访问的行为。通过IDS实时监控和分析蜜罐系统中的网络流量和事件,判断异常活动和攻击行为,并及时采取相应的防御措施。确定防火墙和IDS的访问控制规则,限制对蜜罐系统的访问,包括确定只有经过授权的用户或攻击者才能访问蜜罐系统。例如,根据已配置的网络设置,防火墙被配置为只允许生产网络的特定IP地址访问蜜罐系统,其他未经授权的IP地址将被阻止。生产网络的IP地址范围为192.168.1.1-192.168.1.254,蜜罐系统的IP地址为192.168.1.100,则防火墙的访问控制规则可以设置为仅允许来自192.168.1.1-192.168.1.254的IP地址访问192.168.1.100,其他IP地址将被阻止。对于IDS设备的配置,假设蜜罐系统主要是用于模拟Web应用程序的攻击,因此IDS设备可以配置为监控蜜罐系统的HTTP流量。IDS设备可以分析HTTP请求和响应中的异常行为,如非常规的URL参数、SQL注入尝试或恶意脚本注入等。一旦检测到这些异常行为,IDS设备将发送警报通知给管理员。
步骤S104,为受保护的蜜罐部署监控工具,检测网络入侵、恶意软件和用户异常行为,生成报警和评估信息,得到具有完整日志和监控功能的蜜罐。
部署登录审计工具,记录用户的登录信息,包括用户名、IP地址、登录时间和登录尝试次数。部署网络流量监控工具,监控系统的网络通信流量,收集数据包的源和目的地、流量量和频率信息。部署文件访问监控工具,监控用户对系统文件的访问行为,记录文件的读取、修改和删除操作。部署系统调用监控工具,监控系统调用的使用情况,记录系统调用的类型、参数和返回值相关信息。将用户的登录信息、系统的网络通信流量、用户对系统文件的访问行为和系统调用的使用情况存储在安全的日志服务器中。获取用户的登录信息、系统的网络通信流量、用户对系统文件的访问行为和系统调用的使用情况,判断是否存在异常行为,包括频繁登录失败、大量文件访问或异常的系统调用,得到异常行为的报警信息。利用防病毒软件和入侵检测系统,扫描系统中的恶意软件,检测病毒、木马和间谍软件恶意软件的存在,得到恶意软件的报警信息。部署网络入侵检测系统,监测网络入侵行为,包括端口扫描、暴力破解和拒绝服务攻击入侵行为,得到入侵行为的报警信息。运行漏洞扫描工具,检测系统中的弱点,判断是否存在漏洞利用和缓冲区溢出攻击行为,得到弱点利用的报警信息。获取来自外部威胁情报源的信息,识别潜在的攻击者和攻击类型,得到威胁情报评估结果。根据用户的行为模式,包括用户的登录信息、系统的网络通信流量、用户对系统文件的访问行为和系统调用的使用情况,检测异常的用户行为和潜在的攻击行为,得到用户行为评估结果。例如,部署登录审计工具后,记录了用户A的登录信息,包括用户名为Alice、IP地址为192.168.1.100、登录时间为2021-01-01,10:00:00和登录尝试次数为3次。部署网络流量监控工具后,监控到系统的网络通信流量为每秒1000个数据包,其中有500个数据包的源是IP地址192.168.0.100,目的地是IP地址192.168.2.100,流量量为10MB,频率为每秒100个。部署文件访问监控工具后,监控到用户A对系统文件进行了读取、修改和删除操作。用户A读取了文件document.txt,修改了文件config.ini,并删除了文件test.exe。部署系统调用监控工具后,监控到系统调用的使用情况。系统调用的类型为open,参数为file.txt,返回值为Success。将以上信息存储在安全的日志服务器中,例如存储在名为logs的文件夹中。获取登录活动日志数据后,发现用户B频繁登录失败,尝试了100次登录,根据规则设置的阈值,判断用户B的登录行为异常。获取网络流量日志数据后,发现源IP地址为192.168.3.100的数据包数量异常增加到10000个,超过了正常的流量量,根据规则设置的阈值,判断存在异常的网络通信行为。获取文件访问日志数据后,发现用户A对系统文件的访问行为异常,例如读取了1000个文件,在短时间内进行了大量的文件操作,根据规则设置的阈值,判断存在异常的文件访问行为。获取系统调用日志数据后,发现有大量的系统调用类型为exec,参数为可疑文件名的记录,根据规则设置的阈值,判断存在异常的系统调用行为。利用防病毒软件和入侵检测系统扫描系统中的恶意软件后,发现存在名为virus.exe的恶意软件文件,根据防病毒软件和入侵检测系统的规则,判断存在恶意软件的存在。部署网络入侵检测系统后,监测到有来自IP地址192.168.4.100的入侵行为,包括口扫描、暴力破解和拒绝服务攻击,根据网络入侵检测系统的规则,判断存在入侵行为。运行漏洞扫描工具后,检测到系统中存在一个未修补的漏洞,可以被利用进行缓冲区溢出攻击,根据漏洞扫描工具的规则,判断存在弱点利用的可能性。获取来自外部威胁情报源的信息后,识别到IP地址192.168.5.100是一个潜在的攻击者,攻击类型可能是DDoS攻击,根据威胁情报分析结果进行判断。根据用户的行为模式分析,发现用户C的登录信息、系统的网络通信流量、用户对系统文件的访问行为和系统调用的使用情况与正常用户的行为模式不一致,根据用户行为模式的评估规则,判断存在异常的用户行为。
步骤S105,根据具有完整日志和监控功能的蜜罐,在蜜罐中模拟并添加虚假的敏感数据,定期变化蜜罐的诱饵和配置,得到定期更新的蜜罐。
通过在蜜罐中使用虚拟机或容器虚拟化技术,在同一物理设备上运行两个或大于两个独立的系统实例,增加对攻击者的诱惑性。根据攻击者和攻击类型,确定添加的虚假敏感数据,包括假的用户账户信息、个人身份信息、银行账户信息。采用虚假日志生成工具,生成虚假的系统日志、应用程序日志和网络流量日志。获取虚拟网络拓扑生成工具,根据真实网络环境的复杂性,包括不同类型的网络设备、复杂的网络拓扑结构、多层次网络架构、不同的网络协议和路由策略,构建虚拟网络拓扑,包括虚拟机、路由器、交换机和防火墙网络设备。通过添加已知的弱点和漏洞,包括已知的安全漏洞或应用程序漏洞,吸引攻击者进行渗透测试和攻击尝试。根据常见错误配置和弱密码的列表,设置常见的错误配置和弱密码,判断攻击者的技术水平和攻击手法。定期变化蜜罐的诱饵和配置,包括更改虚假数据、调整网络拓扑、修改弱点和漏洞。例如,通过在蜜罐中使用虚拟机或容器虚拟化技术,在同一物理设备上运行两个或大于两个独立的系统实例,增加对攻击者的诱惑性。在一台物理服务器上运行5个虚拟机实例,每个实例模拟不同的操作系统和应用程序环境。根据威胁情报评估结果,确定添加的虚假敏感数据。添加100个假的用户账户信息,包括用户名、密码和个人身份信息。添加500个假的银行账户信息,包括账号、密码和虚拟的存款金额。采用虚假日志生成工具,生成虚假的系统日志、应用程序日志和网络流量日志。生成每天1000条虚假的登录日志、访问日志和传输日志,模拟正常用户的行为。获取虚拟网络拓扑生成工具,根据真实网络环境的复杂性,包括不同类型的网络设备、复杂的网络拓扑结构、多层次网络架构、不同的网络协议和路由策略,构建虚拟网络拓扑,包括虚拟机、路由器、交换机和防火墙网络设备。使用工具创建10个虚拟机、2个路由器、3个交换机和1个防火墙网络设备,模拟一个复杂的企业网络环境。通过添加已知的弱点和漏洞,吸引攻击者进行渗透测试和攻击尝试。添加一个已知的安全漏洞,如未更新的操作系统补丁或漏洞的应用程序版本,以吸引攻击者进行远程代码执行攻击。设置常见的错误配置和弱密码,判断攻击者的技术水平和攻击手法。设置弱密码列表,如admin123、password123等,作为虚拟机和网络设备的默认密码。定期更新蜜罐的诱饵和配置,包括更改虚假数据、调整网络拓扑、修改弱点和漏洞。每个月更改虚假用户账户的密码和个人身份信息,更新虚假银行账户的存款金额,以保持诱饵的逼真性。
步骤S106,通过监控定期更新的蜜罐,对监控的蜜罐活动和攻击者行为进行评估,生成风险评估报告,确定攻击者行为与系统风险。
获取蜜罐与攻击者之间的交互行为的监控数据,包括连接请求、数据传输和攻击行为,判断攻击者是否对蜜罐感兴趣或进行实际攻击行为。根据监控数据和判断结果,使用安全信息和事件管理系统,确定攻击者在蜜罐中的具体行为,包括探测、渗透、收集信息、运行恶意代码、侧信道攻击和清理痕迹。使用行为规则匹配算法,对攻击者在蜜罐中的具体行为进行匹配,确定攻击者是否触发了预定义的规则,包括包括攻击行为、恶意代码行为和漏洞利用尝试,评估蜜罐的安全性和系统中潜在风险的程度。使用基于密度的离群点检测算法,对监控的蜜罐活动和攻击者行为进行评估,确定系统中的风险级别,生成风险评估报告,确定攻击者行为与系统风险,风险评估报告包括将风险分为低、中、高三个级别,以及攻击者行为与系统风险的关联。例如,蜜罐系统在一周内监测到100个连接请求,其中有80个连接是来自攻击者的。这表明攻击者对蜜罐感兴趣并试图与之建立连接。在连接建立后,监控数据显示攻击者传输了100MB的数据到蜜罐,并执行了一系列命令。这表明攻击者在蜜罐中进行了数据传输和攻击行为。进一步分析监控数据,发现攻击者在蜜罐中探测了系统漏洞,并尝试进行渗透攻击。他们还收集了敏感信息,如登录凭据和数据库信息。通过运行恶意代码,攻击者试图获取更高的系统权限,并进行侧信道攻击,试图获取其他系统的信息。根据评估结果,确定蜜罐的安全性和系统中潜在风险的程度。如果攻击者成功获取了系统管理员权限并清理了痕迹,这表明蜜罐的安全性较低,系统中存在重大风险。使用基于密度的离群点检测算法,对监控的蜜罐活动和攻击者行为进行评估。如果发现攻击者的行为与系统中其他活动明显不同,这表明存在较高的风险级别。基于以上评估结果,生成风险评估报告,确定攻击者行为与系统风险的关联程度。报告指出攻击者的行为导致系统处于高风险状态,需要采取相应的安全措施来应对攻击。
使用基于密度的离群点检测算法,对监控的蜜罐活动和攻击者行为进行评估,确定系统中的风险级别,生成风险评估报告。
收集监控的蜜罐活动和攻击者行为数据,采用数据预处理方法,包括数据清洗、缺失值处理。使用欧氏距离,获取样本点之间的距离。通过设定参数k,确定每个样本点的k近邻,即距离该样本点最近的k个样本点。根据k近邻的数量,计算每个样本点的局部密度。采用密度阈值,根据样本点的局部密度,判断每个样本点是否为核心样本,密度高于阈值的样本点被认为是核心样本。通过识别核心样本,确定边界样本,所述边界样本是密度低于阈值但位于核心样本周围的样本点。根据密度阈值和核心样本的位置,判断密度低于阈值且不位于核心样本周围的样本点为离群点。根据离群点的数量和分布情况,确定系统的风险级别,离群点越多且分布越集中,系统风险级别越高。根据离群点的位置信息,生成离群点分布图,可视化展示系统中的风险情况。对每个离群点提供信息,包括离群点的特征向量、所属类别。根据历史监控数据,评估系统中离群点的变化趋势,预测未来的风险情况,生成风险评估报告。例如,收集了一组监控的蜜罐活动和攻击者行为数据,其中包含攻击类型、攻击来源IP地址、攻击目标IP地址、攻击时间、攻击流量等。首先,需要进行数据清洗和缺失值处理。发现有部分攻击记录缺少攻击目标IP地址的信息,可以选择删除这些记录或者根据其他特征值进行填充。接下来,使用欧氏距离计算样本点之间的距离。选择攻击时间和攻击流量这两个特征,可以计算每个样本点之间的欧氏距离。然后,设定参数k为5,确定每个样本点的5近邻,即距离该样本点最近的5个样本点。根据k近邻的数量,可以计算每个样本点的局部密度。某样本点的5近邻中有3个样本点,那么该样本点的局部密度为3。根据设定的密度阈值2,可以判断每个样本点是否为核心样本。如果样本点的局部密度大于2,即密度高于阈值,那么该样本点被认为是核心样本,表示其周围有足够多的样本点。通过识别核心样本,可以确定边界样本。边界样本是密度低于阈值但位于核心样本周围的样本点。某样本点的局部密度为1,低于阈值2,但它位于一个核心样本的周围,那么该样本点为边界样本。根据密度阈值和核心样本的位置,可以判断密度低于阈值且不位于核心样本周围的样本点为离群点。某样本点的局部密度为0,低于阈值2,且它不位于任何核心样本的周围,那么该样本点为离群点。根据离群点的数量和分布情况,可以确定系统的风险级别。如果有10个离群点且它们分布集中在某一个时间段内,那么系统的风险级别就较高。根据离群点的位置信息,可以生成离群点分布图,将系统中的风险情况可视化展示。对于每个离群点,可以提供其特征向量和所属类别等信息,以便进一步分析和处理。根据历史监控数据,可以评估系统中离群点的变化趋势,并预测未来的风险情况。如果离群点数量逐渐增加,那么系统的风险可能会增加。最后,可以生成风险评估报告,包括系统中的离群点数量、分布情况以及风险级别的变化趋势等信息,以帮助决策者做出相应的决策。
步骤S107,基于攻击者行为与系统风险,以及蜜罐的部署环境,确定是否复用蜜罐。
基于攻击者行为与系统风险,若以下情况至少一项判断为否,则不复用蜜罐,包括,判断蜜罐中存储的数据是否受到加密保护;判断蜜罐中的敏感信息是否经过处理,不会泄露给攻击者;判断蜜罐的操作记录是否只能通过合法渠道获取,不会暴露操作人员的身份;判断蜜罐作为诱饵系统,是否成为攻击者的目标,但不会影响真实系统的安全;判断蜜罐的部署是否不影响正常系统的可用性,蜜罐的部署是否对整体网络拓扑无影响;判断蜜罐中的数据是否经过匿名化处理,符合相关隐私法律法规;判断蜜罐的维护和管理是否及时和规范;判断是否存在已知的漏洞且没有及时修复的情况。根据蜜罐所处的网络拓扑、系统架构和设备配置属性,得到蜜罐的部署环境,并评估网络拓扑、系统架构和设备配置属性适用性和可靠性,若以下情况至少一项判断为否,则不复用蜜罐,包括,评估蜜罐与网络设备的连接方式和位置,确定是否有效隔离和监控网络流量;评估蜜罐的系统设计和组件配置,包括硬件设备、操作系统和应用程序,确定系统设计和组件配置是否满足预期的安全需求;评估蜜罐的网络配置、访问控制列表和端口开放情况,确定网络配置、访问控制列表和端口开放情况是否阻止非授权访问;评估蜜罐的稳定性和可用性,包括系统的运行时间、备份和恢复机制,确定蜜罐是否持续有效地吸引和监测攻击者。若基于攻击者行为与系统风险,以及蜜罐的部署环境,至少一项判断为不复用蜜罐,则最终不复用蜜罐。例如,基于攻击者行为与系统风险,若以下情况至少一项判断为否,则不复用蜜罐,蜜罐中存储的数据没有加密保护,攻击者可以轻易获取敏感信息。蜜罐中的敏感信息未经处理,攻击者可能会泄露给第三方,导致安全问题。蜜罐的操作记录可以通过非授权途径获取,攻击者可以追踪操作人员的身份并进行针对性攻击。蜜罐作为诱饵系统成为攻击者的目标并影响真实系统的安全,蜜罐的部署就会带来潜在风险。蜜罐的部署影响正常系统的可用性或整体网络拓扑,蜜罐将无法有效地吸引和监测攻击者。蜜罐中的数据未经匿名化处理,可能违反相关隐私法律法规。蜜罐存在已知的漏洞且未及时修复,攻击者可以利用这些漏洞入侵系统。蜜罐的维护和管理不及时和规范,蜜罐的安全性将受到威胁。根据蜜罐所处的网络拓扑、系统架构和设备配置属性,得到蜜罐的部署环境,并评估网络拓扑、系统架构和设备配置属性适用性和可靠性。蜜罐与网络设备的连接方式和位置无法有效隔离和监控网络流量,蜜罐的部署环境不适用。蜜罐的系统设计和组件配置不满足预期的安全需求,蜜罐的部署环境不可靠。蜜罐的网络配置、访问控制列表和端口开放情况无法阻止非授权访问,蜜罐的部署环境不可靠。蜜罐的稳定性和可用性不足以持续有效地吸引和监测攻击者,蜜罐的部署环境不可靠。
判断是否存在已知的漏洞且没有及时修复的情况。
根据威胁情报和安全日志分析,获取攻击者的目标、技术能力、资源、动机和行为模式的相关信息。采用安全信息与事件管理工具,对收集到的数据进行处理和分析。根据目标和动机的不同,制定相应的蜜罐配置和部署方式。根据攻击者的技术能力评估,确定是否增加蜜罐的复杂性和难度。通过配置蜜罐资源和采用欺骗技术,吸引攻击者。根据攻击者拥有的资源,判断是否加强蜜罐的保护措施。根据攻击者的行为模式和历史攻击方式,获取攻击者使用的工具、技术和手段。通过持续监测攻击者的行为,不断优化蜜罐的配置和部署方式。例如,通过分析威胁情报,发现有一组攻击者的目标是企业的网络服务器,动机是获取敏感的商业机密信息。他们的技术能力较高,能够利用漏洞进行远程命令执行,并且拥有大量的攻击工具和资源。采用安全信息与事件管理工具,对攻击者的攻击模式、目标IP地址和使用的攻击工具进行统计和分析。从中可以发现攻击者经常使用的攻击技术SQL注入、远程代码执行等。在企业网络中,针对攻击者的目标是服务器,可以配置虚拟机作为蜜罐来吸引攻击者。同时,根据攻击者的动机,可以在蜜罐中放置一些看似重要的商业机密文件,以吸引攻击者进一步的行动。如果攻击者的技术能力很高,可以增加蜜罐的复杂性,使用真实的操作系统和应用程序,并增加一些额外的安全措施来提高蜜罐的真实性。可以在蜜罐中部署两个或大于两个虚拟机,并模拟不同的网络服务和应用程序,以增加攻击者的兴趣。如果攻击者拥有大量的攻击工具和资源,可以增加蜜罐的安全措施,例如使用入侵检测系统来监测攻击行为,并对攻击者进行追踪和分析。通过分析安全日志,可以了解攻击者过去使用的攻击工具和技术,例如使用的漏洞利用工具或者网络扫描工具。观察攻击者对蜜罐的攻击行为,发现新的攻击手段后,可以及时更新蜜罐的配置来增加对新攻击方式的识别和防御能力。如果发现攻击者的攻击频率增加,可以增加蜜罐部署的数量,以分散攻击者的注意力。或者根据攻击者的动态行为,动态调整蜜罐的设置,以更好地欺骗攻击者。
步骤S108,针对有风险无法直接复用的蜜罐,判断是部分更新蜜罐的配置还是完全替换蜜罐。
评估当前蜜罐的配置更新能力,包括是否支持在线更新和是否有自动化更新工具。若蜜罐支持在线更新且具有相应的更新工具,则部分更新蜜罐的配置;若更新困难或无法实现自动化更新,则进行完全替换蜜罐。根据风险级别和蜜罐配置更新能力,判断是部分更新蜜罐的配置还是完全替换蜜罐,包括,若风险级别为低、中或蜜罐具备配置更新能力,选择部分更新蜜罐的配置;若风险级别为高且无法通过更新来消除,则进行完全替换蜜罐。根据当前蜜罐的类型采取相应的更新或替换策略,包括对于基于虚拟机的蜜罐,通过更新虚拟机镜像来更新配置;对于基于容器的蜜罐,通过更新容器镜像或重新部署容器来更新配置。例如,评估当前蜜罐的配置更新能力,包括是否支持在线更新和是否有自动化更新工具。如果蜜罐支持在线更新且具有相应的更新工具,则可以部分更新蜜罐的配置。如果更新困难或无法实现自动化更新,则需要进行完全替换蜜罐。现有的蜜罐是基于虚拟机的,并且支持在线更新,并且有自动化更新工具。现在需要根据风险级别和蜜罐配置更新能力来决定是部分更新蜜罐的配置还是完全替换蜜罐。风险级别为中,并且蜜罐具备配置更新能力,选择部分更新蜜罐的配置。具体来说,通过更新虚拟机镜像来更新配置。现有的虚拟机蜜罐有100个,其中80个支持在线更新,并且有自动化更新工具。根据风险级别为中,可以选择部分更新80个蜜罐的配置。另外,如果蜜罐是基于容器的,更新策略会有所不同。现有的容器蜜罐有50个,其中30个支持在线更新,并且有自动化更新工具。根据风险级别为中,可以选择部分更新30个蜜罐的配置。具体来说,可以通过更新容器镜像或重新部署容器来更新配置。总结起来,根据风险级别和蜜罐配置更新能力,可以部分更新或完全替换蜜罐的配置。对于基于虚拟机的蜜罐,可以通过更新虚拟机镜像来更新配置;对于基于容器的蜜罐,可以通过更新容器镜像或重新部署容器来更新配置。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等,均应包含在本发明的保护范围之内。
Claims (7)
1.一种网络安全运营服务方法,其特征在于,包括:
通过漏洞报告、漏洞数据库及目标系统的已知漏洞和其特点,确定攻击者偏好,得到针对特定攻击者的优化策略;采用VLAN和NAT技术创建新的网络环境,其中,所述网络环境用于吸引攻击者并监控其行为,得到具备特定网络设置的环境;根据所述具备特定网络设置的环境,配置防火墙和IDS,得到受保护的网络环境;为所述受保护的网络环境部署监控工具,其中,所述监控工具用于检测网络入侵、恶意软件和用户异常行为,得到具有完整日志和监控功能的网络环境;采用所述具有完整日志和监控功能的网络环境,在该环境中模拟并添加虚假的敏感数据,得到定期更新的环境;通过监控所述定期更新的环境,生成风险评估报告,确定系统风险和攻击者行为,得到风险评估结果;根据所述风险评估结果,确定是否复用环境,得到复用决策;基于环境的风险级别,判断是部分更新网络设置还是完全替换环境,得到更新策略;
所述通过漏洞报告、漏洞数据库及目标系统的已知漏洞和其特点,确定攻击者偏好,得到针对特定攻击者的优化策略,包括:
通过访问漏洞报告和漏洞数据库,获取已知漏洞的详细信息,包括漏洞的类型、影响范围、漏洞编号以及攻击方式,通过统计不同漏洞类型的出现频率、攻击者利用漏洞的方式,得到漏洞的攻击模式和偏好,根据目标系统的漏洞报告和漏洞数据库,获取与目标系统相关的已知漏洞信息,包括漏洞编号、描述和影响等级,根据目标系统已知漏洞的特点与全局漏洞特点的差异,确定攻击者更可能利用的漏洞类型,基于漏洞的严重程度或攻击可能性进行优先级排序,将扫描资源和时间分配给被攻击者利用的漏洞类型;
采用优化后的攻击偏好,部署蜜罐技术,吸引攻击者进行攻击,得到模拟攻击结果;
所述通过监控定期更新的环境,生成风险评估报告,确定系统风险和攻击者行为,得到风险评估结果,包括:
获取蜜罐与攻击者的交互监控数据,请求、传输和行为,判断是否存在实际攻击行为;根据所述监控数据,使用安全信息系统确定攻击者在蜜罐的行为,得到探测、渗透、信息收集、恶意代码操作和痕迹清理行为;使用规则匹配算法,对所述攻击者行为进行检查,判断是否触发预设规则,得到相应的攻击行为、恶意代码和漏洞利用情况;采用基于密度的检测算法,评估所述蜜罐的活动和攻击者行为,确定系统风险级别,生成风险评估报告;根据所述风险评估报告将风险划分为低、中、高三个级别,并确定攻击者行为与系统风险的联系;
所述采用基于密度的检测算法,评估所述蜜罐的活动和攻击者行为,确定系统风险级别,生成风险评估报告,包括:
收集一组监控的蜜罐活动和攻击者行为数据,其中包含攻击类型、攻击来源IP地址、攻击目标IP地址、攻击时间、攻击流量;
进行数据清洗和缺失值处理,发现有部分攻击记录缺少攻击目标IP地址的信息,选择删除这些记录或者根据其他特征值进行填充;
使用欧氏距离计算样本点之间的距离,选择攻击时间和攻击流量这两个特征,计算每个样本点之间的欧氏距离,然后,设定参数k为5,确定每个样本点的5近邻,即距离该样本点最近的5个样本点,根据k近邻的数量,计算每个样本点的局部密度,某样本点的5近邻中有3个样本点,那么该样本点的局部密度为3,根据设定的密度阈值2,判断每个样本点是否为核心样本,如果样本点的局部密度大于2,即密度高于阈值,那么该样本点被认为是核心样本,表示其周围有足够多的样本点,通过识别核心样本,确定边界样本,边界样本是密度低于阈值但位于核心样本周围的样本点,某样本点的局部密度为1,低于阈值2,但它位于一个核心样本的周围,那么该样本点为边界样本,根据密度阈值和核心样本的位置,判断密度低于阈值且不位于核心样本周围的样本点为离群点,某样本点的局部密度为0,低于阈值2,且它不位于任何核心样本的周围,那么该样本点为离群点,根据离群点的数量和分布情况,确定系统的风险级别,如果有10个离群点且它们分布集中在某一个时间段内,那么系统的风险级别就较高,根据离群点的位置信息,生成离群点分布图,将系统中的风险情况可视化展示,对于每个离群点,提供其特征向量和所属类别,以便进一步分析和处理,根据历史监控数据,评估系统中离群点的变化趋势,并预测未来的风险情况,系统的风险随着离群点数量增加而增加,最后,生成风险评估报告,包括系统中的离群点数量、分布情况以及风险级别的变化趋势。
2.根据权利要求1所述的方法,其中,所述采用VLAN和NAT技术创建新的网络环境,其中,所述网络环境用于吸引攻击者并监控其行为,得到具备特定网络设置的环境,包括:
使用VLAN技术创建新的VLAN,得到新VLAN环境;在所述新VLAN环境中,采用PAT类型的NAT技术隐藏真实IP地址,得到匿名网络环境;根据所述匿名网络环境的设置信息,确定网络的IP地址和子网掩码,得到静态IP配置;为所述静态IP配置指定默认网关和路由表,得到完整的网络配置;在所述完整的网络配置中,启用HTTP服务,吸引攻击者并监控其行为,得到攻击监控结果。
3.根据权利要求1所述的方法,其中,所述根据具备特定网络设置的环境,配置防火墙和IDS,得到受保护的网络环境,包括:
采用一个独立的网络子网,对蜜罐系统进行部署;通过防火墙,确定蜜罐系统与生产网络之间的访问规则,确定阻止未经授权的访问和攻击流量;获取所述IDS,通过配置规则,确定检测端口扫描、恶意文件上传、大量无效登录尝试、异常的网络流量模式和尝试非授权访问的行为;通过所述IDS,实时监控和分析蜜罐系统中的网络流量和事件,判断异常活动和攻击行为;确定防火墙和所述IDS的访问控制规则,确定只有经过授权的用户或攻击者才能访问蜜罐系统。
4.根据权利要求1所述的方法,其中,所述为受保护的网络环境部署监控工具,其中,所述监控工具用于检测网络入侵、恶意软件和用户异常行为,得到具有完整日志和监控功能的网络环境,包括:
记录用户的登录信息、用户名、IP地址、登录时间;部署网络流量监控工具,确定监控系统的网络通信流量;通过监控工具,收集数据包的源和目的地、流量量;部署文件访问监控工具,确定监控用户对系统文件的访问行为;部署系统调用监控工具,记录系统调用的类型、参数;获取用户的登录信息、系统的网络通信流量、用户对系统文件的访问行为,判断是否存在异常行为;采用防病毒软件和入侵检测系统,确定扫描系统中的恶意软件;通过入侵检测系统,监测网络入侵行为,确定端口扫描、暴力破解和拒绝服务攻击行为;通过漏洞扫描工具,确定检测系统中的弱点,判断是否存在漏洞利用;获取来自外部威胁情报源的信息,确定识别潜在的攻击者和攻击类型;根据用户的行为模式,确定检测异常的用户行为和潜在的攻击行为。
5.根据权利要求1所述的方法,其中,所述采用具有完整日志和监控功能的网络环境,在该环境中模拟并添加虚假的敏感数据,得到定期更新的环境,包括:
在蜜罐中采用虚拟机或容器虚拟化技术,在一个物理设备上运行至少两个独立的系统实例,增加攻击者诱惑;根据攻击者和类型,确定添加至所述蜜罐的虚假敏感数据,得到虚假的用户、身份和银行账户信息;通过工具生成与所述蜜罐相应的虚假系统、应用和网络流量日志;获取工具并根据真实网络环境构建相应的虚拟网络拓扑,得到虚拟机、路由器、交换机和防火墙;在蜜罐中添加已知弱点和漏洞,吸引攻击者尝试;设置列表中的错误配置和弱密码,判断攻击者手法;通过变更所述蜜罐的虚假数据、网络拓扑和已知漏洞,得到定期更新的蜜罐配置。
6.根据权利要求1所述的方法,其中,所述根据风险评估结果,确定是否复用环境,得到复用决策,包括:
基于攻击者行为与系统风险,若以下情况至少一项判断为否,则不复用蜜罐,包括,判断蜜罐中存储的数据是否受到加密保护;判断蜜罐中的敏感信息是否经过处理,不会泄露给攻击者;判断蜜罐的操作记录是否只能通过合法渠道获取,不会暴露操作人员的身份;判断蜜罐作为诱饵系统,是否成为攻击者的目标,但不会影响真实系统的安全;判断蜜罐的部署是否不影响正常系统的可用性,蜜罐的部署是否对整体网络拓扑无影响;判断蜜罐中的数据是否经过匿名化处理,符合相关隐私法律法规;判断蜜罐的维护和管理是否及时和规范;判断是否存在已知的漏洞且没有及时修复的情况;根据蜜罐所处的网络拓扑、系统架构和设备配置属性,得到蜜罐的部署环境,并评估网络拓扑、系统架构和设备配置属性适用性和可靠性,若以下情况至少一项判断为否,则不复用蜜罐,包括,评估蜜罐与网络设备的连接方式和位置,确定是否有效隔离和监控网络流量;评估蜜罐的系统设计和组件配置,包括硬件设备、操作系统和应用程序,确定系统设计和组件配置是否满足预期的安全需求;评估蜜罐的网络配置、访问控制列表和端口开放情况,确定网络配置、访问控制列表和端口开放情况是否阻止非授权访问;评估蜜罐的稳定性和可用性,包括系统的运行时间、备份和恢复机制,确定蜜罐是否持续有效地吸引和监测攻击者;若基于攻击者行为与系统风险,以及蜜罐的部署环境,至少一项判断为不复用蜜罐,则最终不复用蜜罐。
7.根据权利要求1所述的方法,其中,所述基于环境的风险级别,判断是部分更新网络设置还是完全替换环境,得到更新策略,包括:
根据风险级别和蜜罐配置更新能力,判断是部分更新蜜罐的配置还是完全替换蜜罐,包括,若风险级别为低、中或蜜罐具备配置更新能力,选择部分更新蜜罐的配置;若风险级别为高于预设的阈值且无法通过更新来消除,则进行完全替换蜜罐;根据当前蜜罐的类型采取相应的更新或替换策略,包括对于基于虚拟机的蜜罐,通过更新虚拟机镜像来更新配置;对于基于容器的蜜罐,通过更新容器镜像或重新部署容器来更新配置;评估当前蜜罐的配置更新能力,包括是否支持在线更新和是否有自动化更新工具;若蜜罐支持在线更新且具有相应的更新工具,则结合部分更新蜜罐的配置;若更新困难或无法实现自动化更新,则进行完全替换蜜罐;计算更新和替换的成本,结合风险级别和成本之间的平衡,比较蜜罐配置的部分更新与完全替换的成本,选择二者中所需成本更低的一方的方案。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202311048431.0A CN117040871B (zh) | 2023-08-18 | 2023-08-18 | 一种网络安全运营服务方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202311048431.0A CN117040871B (zh) | 2023-08-18 | 2023-08-18 | 一种网络安全运营服务方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN117040871A CN117040871A (zh) | 2023-11-10 |
| CN117040871B true CN117040871B (zh) | 2024-03-26 |
Family
ID=88644665
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202311048431.0A Active CN117040871B (zh) | 2023-08-18 | 2023-08-18 | 一种网络安全运营服务方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN117040871B (zh) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN117610018B (zh) * | 2023-12-01 | 2024-06-25 | 深圳市马博士网络科技有限公司 | 漏洞模拟方法及装置 |
| CN118449789B (zh) * | 2024-07-08 | 2024-10-15 | 西安邮电大学 | 一种基于无线网络的数据通讯安全分析系统 |
Citations (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107707576A (zh) * | 2017-11-28 | 2018-02-16 | 深信服科技股份有限公司 | 一种基于蜜罐技术的网络防御方法及系统 |
| CN108259472A (zh) * | 2017-12-28 | 2018-07-06 | 广州锦行网络科技有限公司 | 基于攻击行为分析的动态联防机制实现系统及方法 |
| CN109302426A (zh) * | 2018-11-30 | 2019-02-01 | 东软集团股份有限公司 | 未知漏洞攻击检测方法、装置、设备及存储介质 |
| CN110278198A (zh) * | 2019-06-04 | 2019-09-24 | 西安邮电大学 | 基于博弈论的网络中资产的安全风险评估方法 |
| US10986127B1 (en) * | 2018-09-14 | 2021-04-20 | Rapid7, Inc. | Dynamic management of deception systems |
| CN113660246A (zh) * | 2021-08-11 | 2021-11-16 | 杭州安恒信息技术股份有限公司 | 蜜罐切换方法、系统、计算机及可读存储介质 |
| CN113904872A (zh) * | 2021-11-22 | 2022-01-07 | 江苏大学 | 一种针对匿名服务网站指纹攻击的特征提取方法及系统 |
| CN114091036A (zh) * | 2021-11-23 | 2022-02-25 | 国网江西省电力有限公司电力科学研究院 | 一种基于工业控制系统的集群漏洞挖掘方法 |
| CN115333804A (zh) * | 2022-07-27 | 2022-11-11 | 阿里云计算有限公司 | 一种蜜罐导流方法、装置、电子设备及可读存储介质 |
| CN115695029A (zh) * | 2022-11-07 | 2023-02-03 | 杭州融至兴科技有限公司 | 一种企业内网攻击防御系统 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| MY146995A (en) * | 2008-09-12 | 2012-10-15 | Mimos Bhd | A honeypot host |
| US11409862B2 (en) * | 2019-07-22 | 2022-08-09 | Cloud Linux Software Inc. | Intrusion detection and prevention for unknown software vulnerabilities using live patching |
-
2023
- 2023-08-18 CN CN202311048431.0A patent/CN117040871B/zh active Active
Patent Citations (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107707576A (zh) * | 2017-11-28 | 2018-02-16 | 深信服科技股份有限公司 | 一种基于蜜罐技术的网络防御方法及系统 |
| CN108259472A (zh) * | 2017-12-28 | 2018-07-06 | 广州锦行网络科技有限公司 | 基于攻击行为分析的动态联防机制实现系统及方法 |
| US10986127B1 (en) * | 2018-09-14 | 2021-04-20 | Rapid7, Inc. | Dynamic management of deception systems |
| CN109302426A (zh) * | 2018-11-30 | 2019-02-01 | 东软集团股份有限公司 | 未知漏洞攻击检测方法、装置、设备及存储介质 |
| CN110278198A (zh) * | 2019-06-04 | 2019-09-24 | 西安邮电大学 | 基于博弈论的网络中资产的安全风险评估方法 |
| CN113660246A (zh) * | 2021-08-11 | 2021-11-16 | 杭州安恒信息技术股份有限公司 | 蜜罐切换方法、系统、计算机及可读存储介质 |
| CN113904872A (zh) * | 2021-11-22 | 2022-01-07 | 江苏大学 | 一种针对匿名服务网站指纹攻击的特征提取方法及系统 |
| CN114091036A (zh) * | 2021-11-23 | 2022-02-25 | 国网江西省电力有限公司电力科学研究院 | 一种基于工业控制系统的集群漏洞挖掘方法 |
| CN115333804A (zh) * | 2022-07-27 | 2022-11-11 | 阿里云计算有限公司 | 一种蜜罐导流方法、装置、电子设备及可读存储介质 |
| CN115695029A (zh) * | 2022-11-07 | 2023-02-03 | 杭州融至兴科技有限公司 | 一种企业内网攻击防御系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN117040871A (zh) | 2023-11-10 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110381045B (zh) | 攻击操作的处理方法和装置、存储介质及电子装置 | |
| US20230208870A1 (en) | Systems and methods for predictive analysis of potential attack patterns based on contextual security information | |
| Ghorbani et al. | Network intrusion detection and prevention: concepts and techniques | |
| US8407791B2 (en) | Integrated cyber network security system and method | |
| CN117040871B (zh) | 一种网络安全运营服务方法 | |
| EP2715975B1 (en) | Network asset information management | |
| US20140013436A1 (en) | System and method for enabling remote registry service security audits | |
| US20230205891A1 (en) | Systems and methods for prioritizing security findings using machine learning models | |
| US10839703B2 (en) | Proactive network security assessment based on benign variants of known threats | |
| Fung et al. | Intrusion detection networks: a key to collaborative security | |
| US20230208871A1 (en) | Systems and methods for vulnerability assessment for cloud assets using imaging methods | |
| CN118054973B (zh) | 一种基于网口锁的主动防御方法、系统、设备及介质 | |
| Vacas et al. | Detecting network threats using OSINT knowledge-based IDS | |
| CN118337540B (zh) | 一种基于物联网的网络入侵攻击识别系统及方法 | |
| CN117544335A (zh) | 诱饵激活方法、装置、设备及存储介质 | |
| Davanian et al. | MalNet: A binary-centric network-level profiling of IoT malware | |
| Foo et al. | Intrusion response systems: a survey | |
| Tundis et al. | An exploratory analysis on the impact of Shodan scanning tool on the network attacks | |
| Karie et al. | Cybersecurity Incident Response in the Enterprise | |
| Brew et al. | Threat landscape across multiple cloud service providers using honeypots as an attack source | |
| Guelzim et al. | Formal methods of attack modeling and detection | |
| CN118523971B (zh) | 一种网络安全防御方法、系统、设备及介质 | |
| US20240267409A1 (en) | Cyber clone of a computing entity | |
| Ray | INCORPORATING A HONEYFARM WITH MLFFNN IDS FOR IMPROVING INTRUSION DETECTION. | |
| Gomathi et al. | Identification of Network Intrusion in Network Security by Enabling Antidote Selection |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |