CN117375997A - 一种基于蜜点的恶意流量攻击安全知识平面构建方法 - Google Patents
一种基于蜜点的恶意流量攻击安全知识平面构建方法 Download PDFInfo
- Publication number
- CN117375997A CN117375997A CN202311515674.0A CN202311515674A CN117375997A CN 117375997 A CN117375997 A CN 117375997A CN 202311515674 A CN202311515674 A CN 202311515674A CN 117375997 A CN117375997 A CN 117375997A
- Authority
- CN
- China
- Prior art keywords
- data
- attack
- honey
- attacker
- cti
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 235000012907 honey Nutrition 0.000 title claims abstract description 111
- 238000010276 construction Methods 0.000 title description 8
- 238000000034 method Methods 0.000 claims abstract description 35
- 238000004458 analytical method Methods 0.000 claims abstract description 32
- 238000013480 data collection Methods 0.000 claims abstract description 12
- 238000012216 screening Methods 0.000 claims abstract description 9
- 238000007781 pre-processing Methods 0.000 claims abstract description 7
- 238000012544 monitoring process Methods 0.000 claims description 19
- 238000005516 engineering process Methods 0.000 claims description 18
- 230000007123 defense Effects 0.000 claims description 15
- 230000006399 behavior Effects 0.000 claims description 14
- 230000008520 organization Effects 0.000 claims description 14
- 238000011156 evaluation Methods 0.000 claims description 7
- 238000007619 statistical method Methods 0.000 claims description 6
- 238000002955 isolation Methods 0.000 claims description 5
- 230000008859 change Effects 0.000 claims description 4
- 238000001514 detection method Methods 0.000 claims description 4
- 230000007246 mechanism Effects 0.000 claims description 4
- 230000000694 effects Effects 0.000 claims description 3
- 238000010801 machine learning Methods 0.000 claims description 3
- 230000008450 motivation Effects 0.000 claims description 3
- 238000003058 natural language processing Methods 0.000 claims description 3
- 230000002159 abnormal effect Effects 0.000 claims description 2
- 238000012512 characterization method Methods 0.000 claims 1
- 238000010586 diagram Methods 0.000 description 11
- 230000008569 process Effects 0.000 description 11
- 230000001575 pathological effect Effects 0.000 description 3
- 238000012545 processing Methods 0.000 description 3
- 206010072968 Neuroendocrine cell hyperplasia of infancy Diseases 0.000 description 2
- 230000009286 beneficial effect Effects 0.000 description 2
- 230000002708 enhancing effect Effects 0.000 description 2
- 238000013459 approach Methods 0.000 description 1
- 238000004140 cleaning Methods 0.000 description 1
- 238000007621 cluster analysis Methods 0.000 description 1
- 238000010219 correlation analysis Methods 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000002474 experimental method Methods 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 230000009545 invasion Effects 0.000 description 1
- 238000002372 labelling Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 238000012360 testing method Methods 0.000 description 1
- 239000002699 waste material Substances 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1491—Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
- H04L63/205—Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/40—Network security protocols
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供了一种基于蜜点的恶意流量攻击安全知识平面构建方法。该方法包括:对网络安全平台的攻击场景进行特征化分析,得到攻击者的攻击特征信息;根据所述攻击特征信息生成用于模拟正常Web服务器接受攻击的蜜点,并将所述蜜点嵌入到镜像网站中;设置所述蜜点的初始数据,部署所述蜜点;在攻击者触发所述蜜点以后,通过预设的数据收集渠道收集攻击者数据;对所述攻击者数据进行预处理;分析预处理后的所述攻击者数据,得到CTI安全知识线索;评估所述CTI安全知识线索的线索指标,并筛选出符合预设线索指标条件的CTI安全知识线索;利用筛选后的所述CTI安全知识线索构建安全知识平面。本发明能够增强防范网络风险的能力。
Description
技术领域
本发明涉及计算机网络安全技术领域,尤其涉及一种基于蜜点的恶意流量攻击安全知识平面构建方法。
背景技术
蜜罐技术是一种重要的网络主动防御方式,它是指设置一个逻辑监控节点,根据诱饵和欺骗原理,当攻击者针对网站进行攻击时,蜜罐所设置的路由器会将攻击者原本设定的目标地址转向蜜罐所在IP,使之作为一个虚假目标接收攻击者得攻击,并做出相应的响应。一旦攻击者进入蜜罐,它们的攻击行为就会被记录,以便进行安全分析和威胁情报收集保护用户网络安全和资产安全。
网络威胁情报(CTI)是一种通过收集、分析和传播与组织的资产、基础设施以及人员可能面临的潜在网络威胁信息,来识别和深入了解潜在的网络攻击者所采用的网络攻击战术、技术与程序,以及可能被用于攻击的组织安全态势中存在的漏洞和薄弱环节后,将信息提取为可用于网络安全防御的数据集。CTI的主要目标是提供网络防御建议,从而使组织能够积极主动地防范网络威胁,当组织面临网络攻击时,能够减少网络攻击所造成的损失。
然而,目前网络威胁情报(CTI)的数据收集方式是被动式收集,数据收集渠道来源于社交媒体、威胁报告、漏洞库等。被动收集信息的方式是基于已有的攻击特征来设计防御对策,达到防御目的。但是,网络攻击具有变化快、隐蔽性强、方式多样等特点,利用传统的被动式收集信息的方法分析得到的CTI时效性低,使得制定的对应防御策略难以应对真实场景中复杂多变的网络攻击,造成资源的极大浪费。此外,目前已有的针对CTI的分析流程中,CTI的知识构建过程是由点到线的线性分析流程,促使信息之间产生较强的独立性和隔离性,不利于网络安全相关人员通过CTI信息之间的内部关联度,从多个角度对CTI进行研究和评估以及制定防御方案。
发明内容
本发明的目的在于提供一种基于蜜点的恶意流量攻击安全知识平面构建方法,其能够利用主动防御手段来收集数据,并使得CTI数据之间的联系更加结构化和立体化,增强防范网络风险的能力。
为实现上述目的,本发明提供了一种基于蜜点的恶意流量攻击安全知识平面构建方法,包括以下步骤:
S1:对网络安全平台攻击场景进行特征化分析,得到攻击者的攻击特征信息;
S2:根据所述攻击特征信息生成用于模拟正常Web服务器接受攻击的蜜点,并将所述蜜点嵌入到镜像网站中;
S3:设置所述蜜点的初始数据,部署所述蜜点;
S4:在攻击者触发所述蜜点以后,通过预设的数据收集渠道收集攻击者数据;
S5:对所述攻击者数据进行预处理;
S6:分析预处理后的所述攻击者数据,得到CTI安全知识线索;
S7:评估所述CTI安全知识线索的线索指标,并筛选出符合预设线索指标条件的CTI安全知识线索;
S8:利用筛选后的所述CTI安全知识线索构建安全知识平面。
进一步地,对网络安全平台的攻击场景进行特征化分析包括:特征化分析多个场景因素,如攻击者可能采用的攻击方式、攻击动机、攻击执行的时间、攻击目标以及潜在的损失等;所述攻击特征信息包括攻击策略、攻击技术类型和攻击程序特征。
进一步地,根据所述攻击特征信息生成用于模拟正常Web服务器接受攻击的蜜点,并将其嵌入到镜像网站中,包括:
S21:下载蜜点库,依据生成蜜点的目标、所述攻击特征信息、所需收集的信息类型以及所期望达到的蜜点部署结果选择所需蜜点库;
S22:选择蜜点操作系统,并采用独立的网络段、虚拟化技术或物理隔离方法将蜜点操作系统与真实网络系统分开,并及时更新蜜点操作系统和软件的安全补丁;
S23:将蜜点设置在Web服务器的网络的攻击逻辑节点上以生成蜜点,并连接网络,使所述蜜点收集攻击者与正常业务逻辑之间的差异数据;
S24:监视蜜点系统的运行状态,以确保蜜点操作系统正常工作。
进一步地,设置所述蜜点的初始数据,部署所述蜜点,包括:指定蜜点的IP地址,并创建和配置特定的路由器,以在攻击者访问镜像网站后重定向到蜜点的IP地址;所述嵌入所述蜜点的镜像网站内部按需设置警报机制,一旦检测到异常或可疑活动,及时提醒组织采取应对措施以保护真实系统免受攻击;配置详细的监控措施,包括网络流量监控、文件变化检测和登录尝试记录监控,同时将监控数据和日志记录到预设的安全存储位置,并定期对所述监控数据和日志进行审计和分析;设置安全措施以应对外部数据到达蜜点的情况;基于获取到最新的安全威胁防御技术,及时更新蜜点的配置。
具体地,在攻击者触发蜜点以后,通过预设的数据收集渠道收集攻击者数据,所述预设的数据收集渠道包括:公共来源,指的是从公开渠道,如新闻、网络安全论坛或非营利性网络安全组织等,获取的攻击者行为数据;安全分析工具来源,则是通过安全分析工具,如蜜罐、系统日志文件等,获取的数据;受限的数据组织来源则是在获得组织许可的前提下,从组织共享的受限数据中获取数据,例如通过注册获得权限以获取数据。
进一步地,对所述数据进行预处理,包括:去除所述攻击者数据中的重复值、缺失值或不一致的数据;利用统计分析工具对处理后的所述攻击者数据进行筛选,对攻击者数据打标签并将攻击者数据分类,得到待分析的攻击者数据。
具体地,所述利用统计分析工具对处理后的所述攻击者数据进行筛选,对攻击者数据打标签并将攻击者数据分类,得到待分析的攻击者数据,所述数据分类的类型包括:与CTI相关的待分析的数据,与CTI无关的无需分析的数据。
进一步地,所述分析预处理后的所述攻击者数据,得到CTI安全知识线索,包括:通过使用自然语言处理或者机器学习算法从与网络安全相关的实体、事件、网络攻击的策略、技术和步骤、攻击者的画像、漏洞特征、恶意软件执行以及威胁搜寻这六个角度对所述预处理后的攻击者数据进行分析,并根据所述六个角度的分析结果形成CTI安全知识线索。分析目标包括:分析攻击者的攻击路径,攻击者是通过何种方式获取系统权限。结合漏洞的特征以及对攻击者的目标类型、攻击方式、攻击来源等数据的分析,使不同种类的攻击场景和攻击方案构成不同的CTI安全知识线索。
进一步地,所述评估预设线索指标条件后,CTI安全知识线索可作为威胁情报的来源,可以用于设定攻击场景,为组织提供攻击者可能采用的攻击行为以及特征;所述线索指标包括:准确性、F1分数和精确性。
进一步地,利用所述评估后的CTI安全知识线索构建安全知识平面,构建方法包括:在对提取的CTI安全知识线索进行准确性和正确性评估之后,利用经过不同的攻击种类、不同的漏洞及不同攻击行为特征而生成的CTI安全知识线索,来构建安全知识平面。
通过本申请,采用以下步骤:对网络安全平台的攻击场景进行特征化分析,得到攻击者的攻击特征信息;根据所述攻击特征信息生成用于模拟正常Web服务器接受攻击的蜜点,并将所述蜜点嵌入到镜像网站中;设置所述蜜点的初始数据,部署所述蜜点;在攻击者触发所述蜜点以后,通过预设的数据收集渠道收集攻击者数据;对所述攻击者数据进行预处理;分析预处理后的所述攻击者数据,得到CTI安全知识线索;评估所述CTI安全知识线索的线索指标,并筛选出符合预设线索指标条件的CTI安全知识线索;利用筛选后的所述CTI安全知识线索构建安全知识平面。解决了传统的被动式收集信息的方法分析得到的CTI时效性低,已有的针对CTI的线性分析流程使信息之间产生较强的独立性和隔离性的技术问题。通过蜜点技术保护真实系统不受侵害的同时,收集真实攻击者的行为数据,使得安全分析专家能及时对情报数据进行分析,提高防范网络风险的能力。通过利用CTI安全知识线索来构建安全知识平面,使得CTI信息之间的联系更加结构化和立体化,有利于安全专家分析CTI信息之间内部的关联性,对CTI信息进行深入研究,提高CTI的价值效用,增强网络防御能力。
附图说明
构成本申请的一部分的附图用来提供对本申请的进一步理解,本申请的示意性实施例及其说明用于解释本申请,并不构成对本申请的不当限定。
图1是根据本申请实施例提供的安全知识平面构建方法的流程示意图;
图2是根据本申请实施例提供的安全知识平面构建方法的框架流程图;
图3是根据本申请实施例提供的场景分析流程图;
图4是根据本申请实施例提供的生成接受攻击的蜜点的流程示意图;
图5是根据本申请实施例提供的蜜点部署的模块流程图;
图6是根据本申请实施例提供的蜜点收集攻击者行为数据的示意图;
图7是根据本申请实施例提供的对收集的数据进行处理的过程示意图;
图8是根据本申请实施例提供的获取CTI安全知识线索的流程图;
图9是根据本申请实施例提供的CTI安全知识线索评估的过程示意图;
图10是根据本申请实施例提供的通过CTI安全知识线索构建安全知识平面的过程示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明的一部分实施例,而不是全部的实施例。基于本发明的实施例,本领域的普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
如图1所示,一种基于蜜点的恶意流量攻击安全知识平面构建方法,包括以下步骤:
S1:对网络安全平台攻击场景进行特征化分析,得到攻击者的攻击特征信息;
S2:根据所述攻击特征信息生成用于模拟正常Web服务器接受攻击的蜜点,并将所述蜜点嵌入到镜像网站中;S3:设置所述蜜点的初始数据,部署所述蜜点;
S4:在攻击者触发所述蜜点以后,通过预设的数据收集渠道收集攻击者数据;
S5:对所述攻击者数据进行预处理;
S6:分析预处理后的所述攻击者数据,得到CTI安全知识线索;
S7:评估所述CTI安全知识线索的线索指标,并筛选出符合预设线索指标条件的CTI安全知识线索;
S8:利用筛选后的所述CTI安全知识线索构建安全知识平面。图2为安全知识平面构建方法的框架流程图,以ReDos攻击情景为例,以下将详细描述本发明具体的实施细节。
如图3所示,步骤S1中,在构建网络安全平台时,需要综合考虑多个因素,包括攻击者可能采用的攻击方式、攻击动机、攻击执行的时间、攻击目标以及潜在的损失。通过对网络安全平台的攻击场景进行特征化分析,个人或组织能够在攻击者利用漏洞发动攻击之前采取主动防御措施,降低入侵风险。这提高了防御者的安全态势感知能力,使其能够全面了解攻击者可能采取的策略、技术和程序,更好地分配安全资源并进行安全风险管理。在ReDos攻击的情景下,防御者可以先收集ReDos攻击中常见的攻击方式,根据收集到的主要数据信息进行场景分析。如根据ReDos攻击是利用存在漏洞的正则表达式这一特征结合使服务器进程被占用发起拒绝服务的目标等特征来进行场景分析。
如图4所示,步骤S2中,根据所述攻击特征信息生成用于模拟正常Web服务器接受攻击的蜜点,并将其嵌入到镜像网站中,包括:
S21:下载蜜点库,依据生成蜜点的目标、所述攻击特征信息、所需收集的信息类型以及所期望达到的蜜点部署结果选择所需蜜点库;
S22:选择蜜点操作系统,并采用独立的网络段、虚拟化技术或物理隔离方法将蜜点操作系统与真实网络系统分开,并及时更新蜜点操作系统和软件的安全补丁;
S23:将蜜点设置在Web服务器的网络的攻击逻辑节点上以生成蜜点,并连接网络,使所述蜜点收集攻击者与正常业务逻辑之间的差异数据;
S24:监视蜜点系统的运行状态,以确保蜜点操作系统正常工作。当攻击者发起ReDos攻击时,为了使用蜜点获取攻击者的数据,则需要给蜜点配置正则表达式漏洞检测工具并在蜜点中配置相应的操作系统和虚拟数据模拟正常的服务器。
步骤S3中,蜜点部署的模块流程如图5所示。设置针对ReDos攻击的蜜点的初始数据,部署蜜点的过程包括:指定蜜点的IP地址,并创建和配置特定的路由器,以在ReDos攻击访问镜像网站后,防御者可以重定向到蜜点的IP地址。同时,嵌入所述蜜点的镜像网站内部按需设置警报机制,一旦检测到ReDos攻击,及时提醒防御者采取应对措施以保护真实系统免受攻击。此外,需要进一步配置详细的监控措施,包括网络流量监控、文件变化检测、登录尝试记录监控,同时将监控数据和日志记录到安全的位置,并定期对所述监控数据和日志记录进行审计和分析,以获取有价值的攻击情报。如果上述过程涉及敏感信息,则要求遵守相关隐私政策,确保用户隐私和个人数据的保护。如果还有其他外部数据到达蜜点的情况,则需要进一步设置安全措施加以应对。最后,基于获取到的最新的安全威胁防御技术,及时更新系统与蜜点配置,以适应不断演变的威胁环境。
在步骤S4中,在攻击者触发蜜点以后,通过预设的数据收集渠道收集攻击者数据,所述预设的数据收集渠道包括:公共来源,指的是从公开渠道,如新闻、网络安全论坛或非营利性网络安全组织等,获取的攻击者行为数据;安全分析工具来源,则是通过安全分析工具,如蜜罐、系统日志文件等,获取的数据;受限的数据组织来源则是在获得组织许可的前提下,从组织共享的受限数据中获取数据,例如通过注册获得权限以获取数据。在ReDos攻击情景下,使用蜜点技术收集数据,当潜在攻击者触发蜜点并发起攻击时,蜜点通过模拟真实系统与攻击者之间的交互行为来获取攻击者的行为数据,图6为蜜点收集攻击者行为数据的示意图。
在步骤S5中,对收集的数据进行处理的过程示意图如图7所示。当蜜点收集到攻击者数据后,对数据进行预处理,包括:去除所述攻击者数据中的重复值、缺失值或不一致的数据;利用统计分析工具对处理后的所述攻击者数据进行筛选,对攻击者数据打标签并将攻击者数据分类,得到待分析的攻击者数据。所述数据分类的类型包括:与CTI相关的待分析的数据,与CTI无关的无需分析的数据。在蜜点收集到ReDos的攻击数据后,首先经过Python等工具进行数据清洗处理。随后,可以使用统计分析方法如相关性分析、假设检验和聚类分析等,来发现数据之间的关联性,并对数据进行相应的分类。这个过程有助于将有关CTI的数据与其他数据区分开来,从而更好地利用所收集的信息。
在步骤S6中,获取CTI安全知识线索流程图如图8所示。将收集到的数据预处理完成后,通过使用自然语言处理或者机器学习算法从与网络安全相关的实体、事件、网络攻击的策略、技术和步骤、攻击者的画像、漏洞特征、恶意软件执行以及威胁搜寻这六个角度对所述预处理后的攻击者数据进行分析,并根据所述六个角度的分析结果形成CTI安全知识线索。在ReDos攻击中,防御者可以利用数据处理阶段获取的与CTI相关的数据,结合当前阶段易受攻击的正则表达式的三种漏洞特征EOLS(指数级时间且具有一个病态特征的量词式子正则表达式)、POLS(多项式时间且具有一个病态特征的量词式子正则表达式)和PTLS(项式时间且具有两个病态特征的量词式子正则表达式),以及攻击者的策略、技术和攻击程序,形成与ReDos攻击相关的三条CTI安全知识线索。
在步骤S7中,CTI安全知识线索评估的过程示意图如图9所示。在生成CTI安全知识线索后,为了更好地利用CTI安全知识线索来提高与优化防御效果,可以利用准确性、F1分数、精确性三个线索指标对CTI安全知识线索进行评估,这种评估方法有助于提高CTI安全知识线索的正确性。评估后的CTI安全知识线索可作为威胁情报的信息来源,从而建立安全知识平面。CTI安全知识线索具有多方面的用途:它们可用于设定攻击场景,为我们提供攻击者可能采用的攻击行为及特征,从而提高网络安全的整体防御能力。在ReDos攻击场景下,如果攻击者构造的正则表达式漏洞使用了EOLS模型,则可利用上述三个线索指标条件对利用该漏洞特征生成的CTI安全知识线索进行评估,使形成的CTI安全知识线索更加合理。
在在步骤S8中,通过CTI安全知识线索构建安全知识平面的过程示意图如图10所示。在对提取的CTI安全知识线索进行准确性和正确性评估之后,利用经过不同的攻击种类、不同的漏洞及不同攻击行为特征而生成的CTI安全知识线索,来构建安全知识平面。该过程以点到线再到面的方式构建的安全知识平面,可以为防御者和网络安全专家提供有关攻击者的攻击策略、使用的工具、漏洞利用技术等信息,有助于改进网络防御策略,增强网络空间的安全性。在ReDos攻击情景下,以EOLS这一漏洞特征生成的CTI安全知识线索为例,我们可以将进行性能评估后的关于EOLS的CTI安全知识线索加入安全知识平面。依次类推,构建ReDos攻击下的安全知识平面,该安全知识平面可用于分析攻击者可能使用的行为策略、技术和程序,例如ReDos攻击者可能会伪装IP地址,可能利用的是EOLS、POLS或者是PTLS类型的漏洞等。基于以上分析,防御者可以预先制定正则表达式输入规则,并在Web网页服务器的前端利用该网站正则表达式漏洞对服务器进行拒绝访问攻击,以防范此类攻击。这种方法有助于提前识别潜在的攻击威胁,从而增强网络安全的整体防御效益。
以上详细描述了本发明的较佳具体实施例。应当理解,本领域的普通技术无需创造性劳动就可以根据本发明的构思作出诸多修改和变化。因此,凡本技术领域中技术人员依本发明的构思在现有技术的基础上通过逻辑分析、推理或者有限的试验可以得到的技术方案,皆应在由权利要求书所确定的保护范围内。
Claims (10)
1.一种基于蜜点的恶意流量攻击安全知识平面构建方法,其特征在于,包括:
S1:对网络安全平台的攻击场景进行特征化分析,得到攻击者的攻击特征信息;
S2:根据所述攻击特征信息生成用于模拟正常Web服务器接受攻击的蜜点,并将所述蜜点嵌入到镜像网站中;
S3:设置所述蜜点的初始数据,部署所述蜜点;
S4:在攻击者触发所述蜜点以后,通过预设的数据收集渠道收集攻击者数据;
S5:对所述攻击者数据进行预处理;
S6:分析预处理后的所述攻击者数据,得到CTI安全知识线索;
S7:评估所述CTI安全知识线索的线索指标,并筛选出符合预设线索指标条件的CTI安全知识线索;
S8:利用筛选后的所述CTI安全知识线索构建安全知识平面。
2.根据权利要求1所述方法,其特征在于,所述对网络安全平台的攻击场景进行特征化分析包括:
对网络安全平台攻击场景的多个场景因素进行特征化分析,所述场景因素包括:攻击者采用的攻击方式、攻击动机、攻击执行的时间、攻击目标以及潜在的损失;
所述攻击特征信息包括攻击策略、攻击技术类型和攻击程序特征。
3.根据权利要求1所述方法,其特征在于,所述根据所述攻击特征信息生成用于模拟正常Web服务器接受攻击的蜜点包括:
S21:下载蜜点库,依据生成蜜点的目标、所述攻击特征信息、所需收集的信息类型以及所期望达到的蜜点部署结果选择所需蜜点库;
S22:选择蜜点操作系统,并采用独立的网络段、虚拟化技术或物理隔离方法将蜜点操作系统与真实网络系统分开,并及时更新蜜点操作系统和软件的安全补丁;
S23:将蜜点设置在Web服务器的网络的攻击逻辑节点上以生成蜜点,并连接网络,使所述蜜点收集攻击者与正常业务逻辑之间的差异数据;
S24:监视蜜点操作系统的运行状态,以确保蜜点操作系统正常工作。
4.根据权利要求1所述方法,其特征在于,所述设置所述蜜点的初始数据,部署所述蜜点包括:
指定蜜点的IP地址,并创建和配置特定的路由器,以在攻击者访问镜像网站后重定向到蜜点的IP地址;
配置详细的监控措施,包括网络流量监控、文件变化检测和登录尝试记录监控,同时将监控数据和日志记录到预设的安全存储位置,并定期对所述监控数据和日志进行审计和分析;
设置安全措施以应对外部数据到达蜜点的情况;
基于获取到最新的安全威胁防御技术,及时更新蜜点的配置。
5.根据权利要求4所述方法,其特征在于,所述嵌入所述蜜点的镜像网站内部设置有警报机制,所述警报机制用于在检测到异常或可疑活动时,及时提醒组织采取应对措施以保护真实系统免受攻击。
6.根据权利要求1所述方法,其特征在于,所述线索指标包括:准确性、F1分数和精确性;所述数据收集渠道包括公共来源、安全分析工具来源和受限的数据组织来源。
7.根据权利要求1所述方法,其特征在于,所述分析预处理后的所述攻击者数据,得到CTI安全知识线索,包括:
通过使用自然语言处理或者机器学习算法从与网络安全相关的实体、事件、网络攻击的策略、技术和步骤、攻击者的画像、漏洞特征、恶意软件执行以及威胁搜寻这六个角度对所述预处理后的攻击者数据进行分析,并根据所述六个角度的分析结果形成CTI安全知识线索。
8.根据权利要求1所述方法,其特征在于,所述对所述攻击者数据进行预处理,包括:
去除所述攻击者数据中的重复值、缺失值或不一致的数据;
利用统计分析工具对处理后的所述攻击者数据进行筛选,对攻击者数据打标签并将攻击者数据分类,得到待分析的攻击者数据。
9.根据权利要求8所述方法,其特征在于,所述利用统计分析工具对处理后的所述攻击者数据进行筛选,对攻击者数据打标签并将攻击者数据分类,得到待分析的攻击者数据,所述数据分类的类型包括:与CTI相关的待分析的数据,与CTI无关的无需分析的数据。
10.根据权利要求1所述方法,其特征在于,所述利用筛选后的所述CTI安全知识线索构建安全知识平面,包括:
在对提取的CTI安全知识线索进行准确性和正确性评估之后,利用经过不同的攻击种类、不同的漏洞及不同攻击行为特征而生成的CTI安全知识线索,来构建安全知识平面。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202311515674.0A CN117375997A (zh) | 2023-11-14 | 2023-11-14 | 一种基于蜜点的恶意流量攻击安全知识平面构建方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202311515674.0A CN117375997A (zh) | 2023-11-14 | 2023-11-14 | 一种基于蜜点的恶意流量攻击安全知识平面构建方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN117375997A true CN117375997A (zh) | 2024-01-09 |
Family
ID=89398374
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202311515674.0A Pending CN117375997A (zh) | 2023-11-14 | 2023-11-14 | 一种基于蜜点的恶意流量攻击安全知识平面构建方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN117375997A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN117614742A (zh) * | 2024-01-22 | 2024-02-27 | 广州大学 | 一种蜜点感知增强的恶意流量检测方法 |
-
2023
- 2023-11-14 CN CN202311515674.0A patent/CN117375997A/zh active Pending
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN117614742A (zh) * | 2024-01-22 | 2024-02-27 | 广州大学 | 一种蜜点感知增强的恶意流量检测方法 |
| CN117614742B (zh) * | 2024-01-22 | 2024-05-07 | 广州大学 | 一种蜜点感知增强的恶意流量检测方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Cascavilla et al. | Cybercrime threat intelligence: A systematic multi-vocal literature review | |
| D'Amico et al. | Achieving cyber defense situational awareness: A cognitive task analysis of information assurance analysts | |
| Ren et al. | CSKG4APT: A cybersecurity knowledge graph for advanced persistent threat organization attribution | |
| Yaacoub et al. | Advanced digital forensics and anti-digital forensics for IoT systems: Techniques, limitations and recommendations | |
| Alazab et al. | Using response action with intelligent intrusion detection and prevention system against web application malware | |
| Yaacoub et al. | Digital forensics vs. Anti-digital forensics: Techniques, limitations and recommendations | |
| CN115277127A (zh) | 基于系统溯源图搜索匹配攻击模式的攻击检测方法及装置 | |
| Vargas et al. | Knowing your enemies: Leveraging data analysis to expose phishing patterns against a major US financial institution | |
| CN117375997A (zh) | 一种基于蜜点的恶意流量攻击安全知识平面构建方法 | |
| Pirozmand et al. | Intrusion detection into cloud-fog-based iot networks using game theory | |
| Khaleefa et al. | Concept and difficulties of advanced persistent threats (APT): Survey | |
| Chun et al. | An empirical study of intelligent security analysis methods utilizing big data | |
| Makarova | Determining the choice of attack methods approach | |
| Yasinsac et al. | Honeytraps, a network forensic tool | |
| CN117454376A (zh) | 工业互联网数据安全检测响应与溯源方法及装置 | |
| CN107332820A (zh) | 基于Linux环境的数字取证系统 | |
| Al-Sanjary et al. | Challenges on digital cyber-security and network forensics: a survey | |
| Fatima et al. | Data fusion & visualization application for network forensic investigation-a case study | |
| IL279893A (en) | A system and method for detecting exposures of online vulnerabilities, which are abused using honey traps | |
| Al-Mahrouqi et al. | Efficiency of network event logs as admissible digital evidence | |
| CN117220961B (zh) | 一种基于关联规则图谱的入侵检测方法、装置及存储介质 | |
| Tafkov | Cloud Intelligence Network for Ransomware Detection and Infection Effect Reversing,” | |
| Bhargavi Movva et al. | Identification of Security Threats Using Honeypots | |
| KR102592624B1 (ko) | 사회이슈형 사이버 표적공격의 대응을 위한 인공지능 기법을 이용한 위협 헌팅 시스템 및 그 방법 | |
| Sharma et al. | IoT forensics in ambient intelligence environments: Legal issues, research challenges and future directions |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |