本發(fā)明提供了一種基于攻擊行為分析的蜜網(wǎng)內(nèi)橫向移動攻擊路徑確定方法，涉及蜜罐技術(shù)領(lǐng)域，包括如下步驟：S1：部署多個蜜罐組成蜜網(wǎng)環(huán)境；S2：對步驟S1中捕獲到的所有蜜罐攻擊數(shù)據(jù)，進行清洗和預(yù)處理；S3：將步驟S2中處理后的所有蜜罐攻擊數(shù)據(jù)存儲到數(shù)據(jù)庫中進行持久化保存；S4：判斷攻擊數(shù)據(jù)的攻擊源是否在蜜網(wǎng)環(huán)境內(nèi)；若不在蜜網(wǎng)環(huán)境內(nèi)，則當前蜜罐即為攻擊者進入蜜網(wǎng)環(huán)境內(nèi)的入口蜜罐；若在蜜網(wǎng)環(huán)境內(nèi)，則當前蜜罐存在上游跳板蜜罐；S5：結(jié)合所有蜜罐攻擊數(shù)據(jù)進行關(guān)聯(lián)性分析；該發(fā)明提供的攻擊路徑完全按照攻擊者在蜜網(wǎng)內(nèi)橫向移動攻擊行為實際情況確定，不預(yù)設(shè)可能存在的攻擊路徑，較現(xiàn)有技術(shù)更為靈活精準。

技術(shù)領(lǐng)域

本發(fā)明涉及蜜罐技術(shù)領(lǐng)域，特別涉及一種基于攻擊行為分析的蜜網(wǎng)內(nèi)橫向移動攻擊路徑確定方法。

背景技術(shù)

蜜罐技術(shù)一般偽裝成留有漏洞的網(wǎng)絡(luò)服務(wù)，對攻擊連接做出響應(yīng)，可用于欺騙攻擊方，增加其攻擊代價，并對其進行監(jiān)控。實際應(yīng)用中通常將多個蜜罐搭建在同一個網(wǎng)絡(luò)中形成蜜網(wǎng)，為攻擊者提供真實豐富的業(yè)務(wù)環(huán)境，加大攻擊者的識別難度。

當攻擊者進入蜜網(wǎng)系統(tǒng)后，接下來便是進行橫向移動攻擊，尋找有價值的資源，為了更好的對攻擊者進行監(jiān)控，識別出攻擊者的攻擊意圖及目標，需要掌握攻擊者在蜜網(wǎng)內(nèi)的橫向移動攻擊路徑。

專利文獻CN108234400A公開了一種攻擊行為確定方法、裝置及態(tài)勢感知系統(tǒng)，該方案是根據(jù)目標訪問行為的訪問路徑節(jié)點以及目標訪問行為在訪問路徑節(jié)點的訪問觸發(fā)時刻，確定目標訪問行為的訪問路徑時間軸；根據(jù)確定的攻擊路徑時間軸，和預(yù)設(shè)的攻擊路勁信息庫進行比對，匹配到已有記錄時得出攻擊路徑結(jié)論。

而上述專利文獻CN108234400A提供的攻擊行為確定方法方法過于僵化，需要預(yù)設(shè)可能存在的攻擊路徑，當訪問路徑不存在與預(yù)設(shè)庫中時無法對訪問路徑進行明確；而且當同時有多個攻擊者進入到蜜網(wǎng)中，都在進行橫向移動攻擊，通過時間軸的方式將無法甄別出多個攻擊者各自的攻擊路徑。

發(fā)明內(nèi)容

為解決現(xiàn)有技術(shù)中的技術(shù)問題，本發(fā)明提供了一種基于攻擊行為分析的蜜網(wǎng)內(nèi)橫向移動攻擊路徑確定方法，在本發(fā)明中，使用多個蜜罐組成蜜網(wǎng)環(huán)境，蜜罐中部署蜜罐監(jiān)控程序進行實時監(jiān)控，捕獲到的攻擊數(shù)據(jù)存儲到裝置中的數(shù)據(jù)存儲模塊，通過對攻擊數(shù)據(jù)進行分析，準確定位出攻擊者當前位置及在蜜網(wǎng)內(nèi)橫向移動路徑；具體技術(shù)方案如下：

本發(fā)明提供了一種基于攻擊行為分析的蜜網(wǎng)內(nèi)橫向移動攻擊路徑確定方法，其特征在于，包括如下步驟：

S1：部署多個蜜罐組成蜜網(wǎng)環(huán)境；所述蜜罐內(nèi)設(shè)置有蜜罐監(jiān)控模塊，所述蜜罐監(jiān)控模塊用于精確識別當前蜜罐內(nèi)活動攻擊者，并將攻擊行為數(shù)據(jù)和攻擊者掛鉤；

S2：對步驟S1中捕獲到的所有蜜罐攻擊數(shù)據(jù)，進行清洗和預(yù)處理，使得每一個蜜罐攻擊數(shù)據(jù)均歸屬到相應(yīng)的攻擊源；

S3：將步驟S2中處理后的所有蜜罐攻擊數(shù)據(jù)和相應(yīng)的攻擊源存儲到數(shù)據(jù)庫中進行持久化保存；

S4：判斷蜜罐攻擊數(shù)據(jù)相應(yīng)的攻擊源是否在蜜網(wǎng)環(huán)境內(nèi)；若不在蜜網(wǎng)環(huán)境內(nèi)，則當前蜜罐即為攻擊者進入蜜網(wǎng)環(huán)境內(nèi)的入口蜜罐；若在蜜網(wǎng)環(huán)境內(nèi)，則當前蜜罐存在上游跳板蜜罐，進行步驟S5；

S5：結(jié)合步驟S3中數(shù)據(jù)庫中保存的所有蜜罐攻擊數(shù)據(jù)和相應(yīng)的攻擊源進行關(guān)聯(lián)性分析，逐層追溯攻擊者進入當前蜜罐使用的上游跳板蜜罐；直至成功追溯到所有上游跳板蜜罐；

S6：根據(jù)蜜罐間攻擊行為的關(guān)聯(lián)性逐層往上游跳板蜜罐進行路徑回溯，描繪出攻擊者進入蜜網(wǎng)環(huán)境內(nèi)的入口蜜罐和在蜜網(wǎng)環(huán)境內(nèi)橫向移動攻擊路徑。

優(yōu)選地，所述攻擊行為數(shù)據(jù)和攻擊源掛鉤，即是將蜜罐監(jiān)控程序捕獲到的攻擊行為和產(chǎn)生這條攻擊行為的網(wǎng)絡(luò)連接掛鉤，每條攻擊行為數(shù)據(jù)在和攻擊源掛鉤后，攻擊行為數(shù)據(jù)中包含一條網(wǎng)絡(luò)連接信息“源IP/源端口-目標IP/目標端口”，此時目標IP即為被攻擊的蜜罐IP，目標端口即為被攻擊的蜜罐服務(wù)端口。