[發(fā)明專利]基于攻擊行為分析的蜜網(wǎng)內(nèi)橫向移動攻擊路徑確定方法有效
| 申請?zhí)枺?/td> | 201911411626.0 | 申請日: | 2019-12-31 |
| 公開(公告)號: | CN111147513B | 公開(公告)日: | 2020-08-14 |
| 發(fā)明(設(shè)計)人: | 劉順明 | 申請(專利權(quán))人: | 廣州錦行網(wǎng)絡(luò)科技有限公司 |
| 主分類號: | H04L29/06 | 分類號: | H04L29/06 |
| 代理公司: | 北京精金石知識產(chǎn)權(quán)代理有限公司 11470 | 代理人: | 王虎 |
| 地址: | 510095 廣東省廣州*** | 國省代碼: | 廣東;44 |
| 權(quán)利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關(guān)鍵詞: | 基于 攻擊行為 分析 蜜網(wǎng)內(nèi) 橫向 移動 攻擊 路徑 確定 方法 | ||
1.基于攻擊行為分析的蜜網(wǎng)內(nèi)橫向移動攻擊路徑確定方法,其特征在于,包括如下步驟:
S1:部署多個蜜罐組成蜜網(wǎng)環(huán)境;所述蜜罐內(nèi)設(shè)置有蜜罐監(jiān)控模塊,所述蜜罐監(jiān)控模塊用于精確識別當(dāng)前蜜罐內(nèi)活動攻擊者,并將攻擊行為數(shù)據(jù)和攻擊者掛鉤;
S2:對步驟S1中捕獲到的所有蜜罐攻擊數(shù)據(jù),進(jìn)行清洗和預(yù)處理,使得每一個蜜罐攻擊數(shù)據(jù)均歸屬到相應(yīng)的攻擊源;
S3:將步驟S2中處理后的所有蜜罐攻擊數(shù)據(jù)和相應(yīng)的攻擊源存儲到數(shù)據(jù)庫中進(jìn)行持久化保存;
S4:判斷蜜罐攻擊數(shù)據(jù)相應(yīng)的攻擊源是否在蜜網(wǎng)環(huán)境內(nèi);若不在蜜網(wǎng)環(huán)境內(nèi),則當(dāng)前蜜罐即為攻擊者進(jìn)入蜜網(wǎng)環(huán)境內(nèi)的入口蜜罐;若在蜜網(wǎng)環(huán)境內(nèi),則當(dāng)前蜜罐存在上游跳板蜜罐,進(jìn)行步驟S5;
S5:結(jié)合步驟S3中數(shù)據(jù)庫中保存的所有蜜罐攻擊數(shù)據(jù)和相應(yīng)的攻擊源進(jìn)行關(guān)聯(lián)性分析,逐層追溯攻擊者進(jìn)入當(dāng)前蜜罐使用的上游跳板蜜罐;直至成功追溯到所有上游跳板蜜罐;
S6:根據(jù)蜜罐間攻擊行為的關(guān)聯(lián)性逐層往上游跳板蜜罐進(jìn)行路徑回溯,描繪出攻擊者進(jìn)入蜜網(wǎng)環(huán)境內(nèi)的入口蜜罐和在蜜網(wǎng)環(huán)境內(nèi)橫向移動攻擊路徑。
2.一種根據(jù)權(quán)利要求1所述的基于攻擊行為分析的蜜網(wǎng)內(nèi)橫向移動攻擊路徑確定方法,其特征在于,所述攻擊行為數(shù)據(jù)和攻擊源掛鉤,即是將蜜罐監(jiān)控程序捕獲到的攻擊行為和產(chǎn)生這條攻擊行為的網(wǎng)絡(luò)連接掛鉤,每條攻擊行為數(shù)據(jù)在和攻擊源掛鉤后,攻擊行為數(shù)據(jù)中包含一條網(wǎng)絡(luò)連接信息“源IP/源端口-目標(biāo)IP/目標(biāo)端口”,此時目標(biāo)IP即為被攻擊的蜜罐IP,目標(biāo)端口即為被攻擊的蜜罐服務(wù)端口。
3.一種根據(jù)權(quán)利要求2所述的基于攻擊行為分析的蜜網(wǎng)內(nèi)橫向移動攻擊路徑確定方法,其特征在于,所述蜜罐監(jiān)控模塊包括蜜罐監(jiān)控程序,蜜罐監(jiān)控程序?qū)崟r監(jiān)控蜜罐主機(jī)中的核心層、網(wǎng)絡(luò)層和應(yīng)用層,并將監(jiān)控到的攻擊行為數(shù)據(jù)和攻擊者掛鉤;所述蜜罐監(jiān)控程序中的相關(guān)進(jìn)程、文件、網(wǎng)絡(luò)數(shù)據(jù)和網(wǎng)絡(luò)連接具有深度隱藏特性。
4.一種根據(jù)權(quán)利要求3所述的基于攻擊行為分析的蜜網(wǎng)內(nèi)橫向移動攻擊路徑確定方法,其特征在于,步驟S2中蜜罐攻擊數(shù)據(jù)的清洗和預(yù)處理是將蜜罐監(jiān)控程序中獲取到的原始蜜罐攻擊數(shù)據(jù)結(jié)構(gòu)、內(nèi)容轉(zhuǎn)化為有效的、具備統(tǒng)一結(jié)構(gòu)的標(biāo)準(zhǔn)數(shù)據(jù);使得每一個蜜罐攻擊數(shù)據(jù)均歸屬到相應(yīng)的確定的攻擊源,所述攻擊源為“源IP+源端口”。
5.一種根據(jù)權(quán)利要求4所述的基于攻擊行為分析的蜜網(wǎng)內(nèi)橫向移動攻擊路徑確定方法,其特征在于,步驟S2中的攻擊數(shù)據(jù)包括以下兩類數(shù)據(jù):
a、每條攻擊數(shù)據(jù)中包含產(chǎn)生該攻擊行為的對應(yīng)網(wǎng)絡(luò)連接信息“源IP/源端口-目標(biāo)IP/目標(biāo)端口”,簡稱為link_in;
b、當(dāng)攻擊行為是向蜜罐外發(fā)起網(wǎng)絡(luò)連接時,該攻擊數(shù)據(jù)包含向外發(fā)起網(wǎng)絡(luò)連接的連接信息,即“蜜罐IP/本地端口-外部IP/外部端,簡稱為link_out。
6.一種根據(jù)權(quán)利要求5所述的基于攻擊行為分析的蜜網(wǎng)內(nèi)橫向移動攻擊路徑確定方法,其特征在于,步驟S4中判斷蜜罐攻擊數(shù)據(jù)相應(yīng)的攻擊源是否在蜜網(wǎng)環(huán)境內(nèi)之前,蜜罐通過建立網(wǎng)絡(luò)連接實(shí)現(xiàn)網(wǎng)絡(luò)與蜜罐的交互,網(wǎng)絡(luò)連接表現(xiàn)形式為“源IP/源端口-目標(biāo)IP/目標(biāo)端口”,攻擊蜜罐時目標(biāo)IP為蜜罐IP,目標(biāo)端口為蜜罐開放的服務(wù)端口,源IP為攻擊者發(fā)起攻擊的平臺主機(jī)IP,源端口為發(fā)起攻擊平臺主機(jī)與蜜罐服務(wù)端口建立網(wǎng)絡(luò)連接的端口。
7.一種根據(jù)權(quán)利要求6所述的基于攻擊行為分析的蜜網(wǎng)內(nèi)橫向移動攻擊路徑確定方法,其特征在于,步驟S4中根據(jù)“源IP/源端口-目標(biāo)IP/目標(biāo)端口”區(qū)分攻擊數(shù)據(jù)的攻擊源,并判斷攻擊數(shù)據(jù)的攻擊源是否在蜜網(wǎng)環(huán)境內(nèi)。
該專利技術(shù)資料僅供研究查看技術(shù)是否侵權(quán)等信息,商用須獲得專利權(quán)人授權(quán)。該專利全部權(quán)利屬于廣州錦行網(wǎng)絡(luò)科技有限公司,未經(jīng)廣州錦行網(wǎng)絡(luò)科技有限公司許可,擅自商用是侵權(quán)行為。如果您想購買此專利、獲得商業(yè)授權(quán)和技術(shù)合作,請聯(lián)系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/201911411626.0/1.html,轉(zhuǎn)載請聲明來源鉆瓜專利網(wǎng)。
- 一種增強(qiáng)蜜網(wǎng)誘騙力度的方法和蜜網(wǎng)系統(tǒng)
- 一種蜜網(wǎng)的組建方法及系統(tǒng)、計算機(jī)可讀存儲介質(zhì)
- 攻擊信息的處理方法和裝置、存儲介質(zhì)及電子裝置
- 基于攻擊行為分析的蜜網(wǎng)內(nèi)橫向移動攻擊路徑確定方法
- 一種智能化割蜜、搖蜜裝置
- 一種便于出蜜的搖蜜機(jī)
- 一種基于流量轉(zhuǎn)發(fā)的局域網(wǎng)高覆蓋檢測的蜜網(wǎng)系統(tǒng)
- 一種高處菠蘿蜜快速采摘裝置
- 一種基于流量分析的動態(tài)蜜網(wǎng)系統(tǒng)
- 用于信息系統(tǒng)的信息安全威脅智能預(yù)警方法和裝置
