[發(fā)明專利]一種基于數(shù)據(jù)庫蜜罐的攻擊行為意圖分類方法及系統(tǒng)有效
| 申請?zhí)枺?/td> | 201410824964.8 | 申請日: | 2014-12-27 |
| 公開(公告)號: | CN105488393B | 公開(公告)日: | 2018-07-03 |
| 發(fā)明(設(shè)計)人: | 徐寶旺;王維;肖新光 | 申請(專利權(quán))人: | 哈爾濱安天科技股份有限公司 |
| 主分類號: | G06F21/55 | 分類號: | G06F21/55 |
| 代理公司: | 暫無信息 | 代理人: | 暫無信息 |
| 地址: | 150090 黑龍江省哈爾濱*** | 國省代碼: | 黑龍江;23 |
| 權(quán)利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關(guān)鍵詞: | 攻擊行為 入侵 分類 數(shù)據(jù)庫 網(wǎng)絡(luò)安全態(tài)勢 安全狀況 網(wǎng)絡(luò)環(huán)境 攻擊 檢測 分層 鏈接 枚舉 匹配 評估 | ||
本發(fā)明提供了一種基于數(shù)據(jù)庫蜜罐的攻擊行為意圖分類方法及系統(tǒng),本發(fā)明方法通過對已知的攻擊行為進(jìn)行標(biāo)記并分層,枚舉全部可能的入侵攻擊行為標(biāo)記鏈接,建立入侵攻擊行為意圖庫,并檢測入侵攻擊行為,對入侵攻擊行為進(jìn)行同樣的標(biāo)記,將入侵攻擊行為的標(biāo)記與入侵攻擊行為意圖庫進(jìn)行對比,如果匹配,則為對應(yīng)的行為類別,否則為未知分類。通過本發(fā)明的方法,在檢測入侵攻擊的同時,能夠確定入侵攻擊的意圖,對網(wǎng)絡(luò)環(huán)境安全狀況進(jìn)行評估,反映網(wǎng)絡(luò)安全態(tài)勢的真正情況。
技術(shù)領(lǐng)域
本發(fā)明涉及網(wǎng)絡(luò)安全領(lǐng)域,特別涉及一種基于數(shù)據(jù)庫蜜罐的攻擊行為意圖分類方法及系統(tǒng)。
背景技術(shù)
目前數(shù)據(jù)庫審計系統(tǒng)和數(shù)據(jù)庫型蜜罐均可以獲取黑客攻擊的行為軌跡。當(dāng)黑客對數(shù)據(jù)庫進(jìn)行操作后,其留下的行為軌跡一般被用于事后定案的關(guān)鍵證據(jù)。在取證過程中,如何區(qū)別其行為是一種簡單用于學(xué)習(xí)為目的行為,還是有計劃和目標(biāo)式的攻擊并竊密非常重要,其能夠根據(jù)行為目的,明確當(dāng)前網(wǎng)絡(luò)環(huán)境安全的真實狀況。
發(fā)明內(nèi)容
基于上述需求,本發(fā)明提供了一種基于數(shù)據(jù)庫蜜罐的攻擊行為意圖分類方法及系統(tǒng)。通過本發(fā)明的方法解決了現(xiàn)有技術(shù)無法對行為意圖進(jìn)行分類,無法明確攻擊行為真正意圖的問題。
一種基于數(shù)據(jù)庫蜜罐的攻擊行為意圖分類方法,包括:
標(biāo)記蜜罐所能模擬的入侵攻擊行為;
將全部帶標(biāo)記的入侵攻擊行為按預(yù)設(shè)的入侵階段劃分層級;
根據(jù)層級和標(biāo)記的入侵攻擊行為,枚舉全部入侵攻擊路徑及對應(yīng)的攻擊行為意圖類別,建立攻擊行為意圖庫;
檢測攻擊者的入侵攻擊行為,并記錄所述攻擊者的入侵攻擊行為路徑在各層級對應(yīng)的入侵行為的標(biāo)記;
將入侵行為的標(biāo)記與攻擊行為意圖庫進(jìn)行比對,如果各入侵行為的標(biāo)記與攻擊行為意圖庫中的入侵攻擊路徑相同,則攻擊者的攻擊行為意圖為入侵攻擊路徑所對應(yīng)的攻擊行為意圖類別,否則為未知類別。
所述的方法中,所述的預(yù)設(shè)的入侵階段包括:主機發(fā)現(xiàn)和端口掃描階段、滲透攻擊階段及主機利用階段。
所述的方法中,所述檢測攻擊者的入侵攻擊行為,并記錄所述攻擊者的入侵攻擊行為路徑在各層級對應(yīng)的入侵行為的標(biāo)記,若存在兩條以上入侵攻擊行為路徑,則選取層級數(shù)量較多的入侵攻擊行為路徑;若存在兩條以上入侵攻擊行為路徑,且層級數(shù)量相同,則根據(jù)預(yù)設(shè)的最終行為的優(yōu)先級,選取最終行為優(yōu)先級較高的入侵攻擊行為路徑。
一種基于數(shù)據(jù)庫蜜罐的攻擊行為意圖分類系統(tǒng),包括:
攻擊行為意圖庫建立模塊,用于標(biāo)記蜜罐所能模擬的入侵攻擊行為;
將全部帶標(biāo)記的入侵攻擊行為按預(yù)設(shè)的入侵階段劃分層級;
根據(jù)層級和標(biāo)記的入侵攻擊行為,枚舉全部入侵攻擊路徑及對應(yīng)的攻擊行為意圖類別,建立攻擊行為意圖庫;
攻擊行為檢測模塊,用于檢測攻擊者的入侵攻擊行為,并記錄所述攻擊者的入侵攻擊行為路徑在各層級對應(yīng)的入侵行為的標(biāo)記;
攻擊行為對比分類模塊,用于將入侵行為的標(biāo)記與攻擊行為意圖庫進(jìn)行比對,如果各入侵行為的標(biāo)記與攻擊行為意圖庫中的入侵攻擊路徑相同,則攻擊者的攻擊行為意圖為入侵攻擊路徑所對應(yīng)的攻擊行為意圖類別,否則為未知類別。
所述的系統(tǒng)中,所述的預(yù)設(shè)的入侵階段包括:主機發(fā)現(xiàn)和端口掃描階段、滲透攻擊階段及主機利用階段。
所述的系統(tǒng)中,所述檢測攻擊者的入侵攻擊行為,并記錄所述攻擊者的入侵攻擊行為路徑在各層級對應(yīng)的入侵行為的標(biāo)記,若存在兩條以上入侵攻擊行為路徑,則選取層級數(shù)量較多的入侵攻擊行為路徑;若存在兩條以上入侵攻擊行為路徑,且層級數(shù)量相同,則根據(jù)預(yù)設(shè)的最終行為的優(yōu)先級,選取最終行為優(yōu)先級較高的入侵攻擊行為路徑。
該專利技術(shù)資料僅供研究查看技術(shù)是否侵權(quán)等信息,商用須獲得專利權(quán)人授權(quán)。該專利全部權(quán)利屬于哈爾濱安天科技股份有限公司,未經(jīng)哈爾濱安天科技股份有限公司許可,擅自商用是侵權(quán)行為。如果您想購買此專利、獲得商業(yè)授權(quán)和技術(shù)合作,請聯(lián)系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/201410824964.8/2.html,轉(zhuǎn)載請聲明來源鉆瓜專利網(wǎng)。
- 數(shù)據(jù)庫
- 數(shù)據(jù)庫管理系統(tǒng)及數(shù)據(jù)庫
- 數(shù)據(jù)庫構(gòu)筑裝置、數(shù)據(jù)庫檢索裝置、數(shù)據(jù)庫裝置、數(shù)據(jù)庫構(gòu)筑方法、以及數(shù)據(jù)庫檢索方法
- 數(shù)據(jù)庫和數(shù)據(jù)庫處理方法
- 數(shù)據(jù)庫系統(tǒng)、數(shù)據(jù)庫更新方法、數(shù)據(jù)庫以及數(shù)據(jù)庫更新程序
- 容器數(shù)據(jù)庫
- 數(shù)據(jù)庫同步方法及數(shù)據(jù)庫
- 一種MongoDB數(shù)據(jù)庫對象復(fù)制延遲監(jiān)控方法和裝置
- 數(shù)據(jù)分布式存儲方法、裝置、電子設(shè)備及存儲介質(zhì)
- 數(shù)據(jù)庫語句執(zhí)行方法及裝置
