本發(fā)明涉及一種基于圖的蜜罐系統(tǒng)威脅情報(bào)分析方法，包括如下步驟：利用蜜罐系統(tǒng)收集攻擊者的行為數(shù)據(jù)；分析提取出元信息以及由元信息衍生出的衍生信息；構(gòu)建圖模型，保存至圖數(shù)據(jù)庫(kù)；威脅情報(bào)挖掘和分析；提供節(jié)點(diǎn)間關(guān)系的挖掘和分析接口，挖掘和分析用戶(hù)指定的節(jié)點(diǎn)信息，本方法解決了現(xiàn)有技術(shù)無(wú)法對(duì)蜜罐系統(tǒng)收集的攻擊數(shù)據(jù)進(jìn)行深度挖掘的問(wèn)題，可進(jìn)一步挖掘分析攻擊數(shù)據(jù)中的潛在聯(lián)系，了解攻擊者的攻擊方式，為蜜罐系統(tǒng)架構(gòu)層面的調(diào)整提供更為精確的參考，同時(shí)也為攻擊追溯和攻擊取證提供了有效的信息參考。

技術(shù)領(lǐng)域

本發(fā)明涉及網(wǎng)絡(luò)安全技術(shù)領(lǐng)域，具體的說(shuō)是一種基于圖的蜜罐系統(tǒng)威脅情報(bào)分析方法。

背景技術(shù)

隨著計(jì)算機(jī)技術(shù)的飛速發(fā)展，信息網(wǎng)絡(luò)已經(jīng)成為社會(huì)發(fā)展的重要保證，為此保證信息網(wǎng)絡(luò)安全至關(guān)重要，因此針對(duì)網(wǎng)絡(luò)上各種攻擊手段需制定相應(yīng)防護(hù)手段以免遭受到網(wǎng)絡(luò)攻擊。但相應(yīng)防護(hù)手段的制定前提是首先要了解攻擊者的攻擊方式，但多數(shù)攻擊者的手段是具有破壞性的，因此為實(shí)現(xiàn)攻擊數(shù)據(jù)大量收集，蜜罐技術(shù)被大量采用到網(wǎng)絡(luò)安全技術(shù)中。蜜罐技術(shù)本質(zhì)上是一種對(duì)攻擊方進(jìn)行欺騙的技術(shù)，通過(guò)布置一些作為誘餌的主機(jī)、網(wǎng)絡(luò)服務(wù)或者信息，誘使攻擊方對(duì)它們實(shí)施攻擊，從而可以對(duì)攻擊行為進(jìn)行捕獲和分析，了解攻擊方所使用的工具與方法，推測(cè)攻擊意圖和動(dòng)機(jī)，能夠讓防御方清晰地了解他們所面對(duì)的安全威脅。但由于蜜罐系統(tǒng)每時(shí)每刻都會(huì)收集海量的攻擊數(shù)據(jù)，而想從中分析出有效的數(shù)據(jù)信息是十分困難的。為此需要一種可從海量數(shù)據(jù)中有效提取信息的方法。

傳統(tǒng)的數(shù)據(jù)挖掘任務(wù)，比如關(guān)聯(lián)規(guī)則挖掘、市場(chǎng)購(gòu)物籃分析和聚類(lèi)分析等，都是試圖從一個(gè)具有單一關(guān)系的獨(dú)立實(shí)例集中尋找模式。許多真實(shí)數(shù)據(jù)集描述的都是通過(guò)多種關(guān)系連接在一起的各種實(shí)體類(lèi)型，各樣本之間可能存在潛在的連接關(guān)系，并且擁有共同點(diǎn)的對(duì)象之間往往有連接存在，作為一種通用的數(shù)據(jù)結(jié)構(gòu)，圖可以滿(mǎn)足建模數(shù)據(jù)間的復(fù)雜關(guān)系的要求。

中國(guó)專(zhuān)利文獻(xiàn)CN102833240B公開(kāi)了一種惡意代碼捕獲方法及系統(tǒng)，該方法中公開(kāi)了一種圖模型結(jié)構(gòu)，但該結(jié)構(gòu)用于Email終端虛擬蜜罐的選擇與部署算法，算法目的為選擇適合部署為蜜罐的Email賬號(hào)，算法的主要思想為對(duì)圖模型進(jìn)行聚類(lèi)，再按點(diǎn)的入度、活躍度、聚集系數(shù)進(jìn)行評(píng)估后選擇指標(biāo)靠前的Email賬號(hào)，而針對(duì)已收集到的海量攻擊數(shù)據(jù)，無(wú)法進(jìn)行進(jìn)一步挖掘分析，無(wú)法挖掘出各攻擊實(shí)體間可能存在的聯(lián)系，以及攻擊者的技術(shù)能力水平。

中國(guó)專(zhuān)利文獻(xiàn)CN111371758A公開(kāi)了一種基于動(dòng)態(tài)貝葉斯攻擊圖的網(wǎng)絡(luò)欺騙效能評(píng)估方法，該方法中構(gòu)建了一種有向圖模型，表示了被評(píng)估的網(wǎng)絡(luò)或信息系統(tǒng)中存在的脆弱點(diǎn)以及攻擊者利用這些脆弱點(diǎn)進(jìn)行一步或多步攻擊的各種可能的攻擊路徑，該圖模型應(yīng)用于評(píng)估網(wǎng)絡(luò)欺騙的效能，無(wú)法對(duì)海量的攻擊數(shù)據(jù)進(jìn)行有效挖掘。

發(fā)明內(nèi)容

針對(duì)上述現(xiàn)有技術(shù)中存在的問(wèn)題，本發(fā)明公布了一種基于圖的蜜罐系統(tǒng)威脅情報(bào)分析方法，解決了現(xiàn)有技術(shù)無(wú)法對(duì)蜜罐系統(tǒng)收集的攻擊數(shù)據(jù)進(jìn)行深度挖掘的問(wèn)題，本方法基于圖模型可進(jìn)一步挖掘分析攻擊數(shù)據(jù)中的潛在聯(lián)系，使用戶(hù)進(jìn)一步了解攻擊者的攻擊方式，為蜜罐系統(tǒng)架構(gòu)層面的調(diào)整提供更為精確的參考，同時(shí)也為攻擊追溯和攻擊取證提供了有效的信息參考。

在本方法中，用于分析的威脅情報(bào)數(shù)據(jù)是指從蜜罐系統(tǒng)中收集到的攻擊行為數(shù)據(jù)中提取出的元信息及衍生信息，元信息凸顯了攻擊者在蜜罐系統(tǒng)中進(jìn)行的攻擊操作留下的痕跡特征，如攻擊源IP，輸入的賬號(hào)密碼，上傳的惡意文件等，這些都是威脅情報(bào)的一部分，同時(shí)，由元信息衍生出的一些衍生信息也是威脅情報(bào)的一部分，如攻擊源IP的地理定位信息，上傳的惡意文件執(zhí)行后釋放的文件等。

本發(fā)明所公開(kāi)的具體的技術(shù)方案如下：一種基于圖的蜜罐系統(tǒng)威脅情報(bào)分析方法，包括如下步驟：

S10.數(shù)據(jù)收集：利用蜜罐系統(tǒng)收集攻擊者的行為數(shù)據(jù)；