一种面向蜜罐系统进行入侵行为识别和分类的方法及系统技术方案

本发明专利技术公开了一种面向蜜罐系统进行入侵行为识别和分类的方法及系统，首先，计算所有已入侵事件的全时序指令和各单步指令的模糊哈希值，生成事件信息库；捕获新入侵事件；计算新入侵事件的全时序指令的模糊哈希值，并与事件信息库中的所有全时序指令的模糊哈希值进行相似度比较；判断是否存在相似度达到预设阈值的已入侵事件，若存在，则新入侵事件与所述已入侵事件属于同类型事件，否则新入侵事件为首发事件。本发明专利技术技术方案不仅可以有效拦截入侵事件，同时可以对新入侵事件进行类型识别，以便进行深入分析。

【技术实现步骤摘要】

本专利技术涉及网络安全
，尤其涉及一种面向蜜罐系统进行入侵行为识别和分类的方法及系统。
技术介绍
采用蜜罐技术可以一定程度地抵御未知攻击，并分担其它业务系统的受攻击风险。在网络安全领域的蜜罐一般指通过部署模拟正常的，有价值的网络节点，诱使黑客或恶意程序攻击，以暴露其黑客行径和攻击手段的目的。当黑客对蜜罐系统进行入侵后，蜜罐会记录下黑客对系统发出的所有指令，这个指令序列我们称之为黑客的行为轨迹，它将作为入侵事件进行评估，网络环境分析的重要证据。通过搭建模型系统，在真实的网络环境中进行采样，我们发现，存在大量的恶意事件都是以相似的手段进行入侵的，它们或是基于某类入侵框架工具，或是某些病毒生成器生产的恶意代码的通用行为，这类攻击事件往往仅仅在有效的攻击载荷上存在差异，此类事件作为证据属性的重要性是毋庸置疑的，但是相比较更为重要的具有首发性，个性化，针对性的事件也会淹没其中，如何将我们的关注点从泛型事件聚焦到此类具有首发性，个性化，针对性的事件上来将成为重中之重。
技术实现思路
本专利技术提供了一种面向蜜罐系统进行入侵行为识别和分类的方法及系统，针对现有蜜罐系统存在的问题，提出基于全时序指令的模糊哈希值比较的方式，来识别新入侵事件是已有类型攻击事件，还是首发事件，从而辅助评估入侵事件的严重等级。本专利技术采用如下方法来实现:一种面向蜜罐系统进行入侵行为识别和分类的方法，包括:计算所有已入侵事件的全时序指令和各单步指令的模糊哈希值，生成事件信息库； 捕获新入侵事件； 计算新入侵事件的全时序指令的模糊哈希值，并与事件信息库中的所有全时序指令的模糊哈希值进行相似度比较； 判断是否存在相似度达到预设阈值的已入侵事件，若存在，则新入侵事件与所述已入侵事件属于同类型事件，否则新入侵事件为首发事件。进一步地，若判定新入侵事件与所述已入侵事件属于同类型事件，则还包括: 计算新入侵事件的各单步指令的模糊哈希值，并与所述已入侵事件的各单步指令的模糊哈希值，按照笛卡尔积的方式两两进行相似度比较，找出新入侵事件中与所述已入侵事件的各单步指令都不具备关联的部分，则为该同类型事件的新增攻击载荷。进一步地，将新入侵事件的全时序指令和各单步指令的模糊哈希值录入事件信息库。本专利技术采用如下系统来实现:一种面向蜜罐系统进行入侵行为识别和分类的系统，包括: 事件信息库生成模块，用于计算所有已入侵事件的全时序指令和各单步指令的模糊哈希值，生成事件信息库； 入侵事件捕获模块，用于捕获新入侵事件； 相似度比较模块，用于计算新入侵事件的全时序指令的模糊哈希值，并与事件信息库中的所有全时序指令的模糊哈希值进行相似度比较； 类型识别模块，用于判断是否存在相似度达到预设阈值的已入侵事件，若存在，则新入侵事件与所述已入侵事件属于同类型事件，否则新入侵事件为首发事件。进一步地，若类型识别模块判定新入侵事件与所述已入侵事件属于同类型事件，则还包括新增攻击载荷定位模块: 计算新入侵事件的各单步指令的模糊哈希值，并与所述已入侵事件的各单步指令的模糊哈希值，按照笛卡尔积的方式两两进行相似度比较，找出新入侵事件中与所述已入侵事件的各单步指令都不具备关联的部分，则为该同类型事件的新增攻击载荷。进一步地，将新入侵事件的全时序指令和各单步指令的模糊哈希值录入事件信息库。综上所述，本专利技术提供了一种面向蜜罐系统进行入侵行为识别和分类的方法及系统，通过计算所有已入侵事件的全时序指令和各单步指令的模糊哈希值形成事件信息库；如果捕获到新入侵事件，则计算新入侵事件的全时序指令的模糊哈希值，并与事件信息库中的全时序指令的模糊哈希值进行比较，若存在相似度达到预设阈值的已入侵事件，则认为新入侵事件与所述已入侵事件为同类型事件，否则认定为首发事件。本专利技术的有益效果为:通过计算已入侵事件和新入侵事件的全时序指令的模糊哈希值，从而利用模糊哈希值之间的比较来判断新入侵事件是否是已知类型事件，本专利技术通过量化比较的方法，有效感知首发事件，从而及时提交给应急响应人员进行分析。【附图说明】为了更清楚地说明本专利技术的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本专利技术中记载的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。图1为本专利技术提供的一种面向蜜罐系统进行入侵行为识别和分类的方法实施例流程图； 图2为本专利技术提供的一种面向蜜罐系统进行入侵行为识别和分类的系统实施例结构图。【具体实施方式】本专利技术给出了一种面向蜜罐系统进行入侵行为识别和分类的方法及系统，为了使本
的人员更好地理解本专利技术实施例中的技术方案，并使本专利技术的上述目的、特征和优点能够更加明显易懂，下面结合附图对本专利技术中技术方案作进一步详细的说明: 本专利技术首先提供了一种面向蜜罐系统进行入侵行为识别和分类的方法实施例，如图1所示，包括: S101计算所有已入侵事件的全时序指令和各单步指令的模糊哈希值，生成事件信息库； 例如:我们的蜜罐系统捕获到了一次完整的入侵行为，它用38步向蜜罐系统发送了 38条指令，我们采用开源工具ssdeep中实现的模糊哈希算法，将这个具有时序性的38条语句作为对象进行计算模糊哈希值，假定为fhash_all。然后分别对这38条指令单独计算模糊哈希，假定为fhas_l, fhas_2......fhas_38。这些哈希值将作为我们队此次事件的量化依据； 上述入侵行为作为已入侵事件，已入侵事件可以为一个或者多个； S102捕获新入侵事件； S103计算新入侵事件的全时序指令的模糊哈希值，并与事件信息库中的所有全时序指令的模糊哈希值进行相似度比较； 例如:我们又捕获了一次新入侵事件，同样它也使用38步向蜜罐系统发送了 38条指令，我们采用上面的方法得到了本次具有时序性的38条语句作为对象进行计算模糊哈希，假定为 fhash_air ； S104判断是否存在相似度达到预设阈值的已入侵事件，若存在，则新入侵事件与所述已入侵事件属于同类型事件，否则新入侵事件为首发事件。例如:通过对比fhash_all和fhash_all ’，发现他们的相似度很高；因此，认为这两次攻击事件属于同类型事件； 其中，所述首发事件是指在本系统的范围之内，此类型的攻击事件在此之前系统当前第1页1 2 本文档来自技高网...

【技术保护点】
一种面向蜜罐系统进行入侵行为识别和分类的方法，其特征在于，包括：计算所有已入侵事件的全时序指令和各单步指令的模糊哈希值，生成事件信息库；捕获新入侵事件；计算新入侵事件的全时序指令的模糊哈希值，并与事件信息库中的所有全时序指令的模糊哈希值进行相似度比较；判断是否存在相似度达到预设阈值的已入侵事件，若存在，则新入侵事件与所述已入侵事件属于同类型事件，否则新入侵事件为首发事件。

【技术特征摘要】

【专利技术属性】
技术研发人员：徐宝旺，王维，肖新光，
申请(专利权)人：哈尔滨安天科技股份有限公司，
类型：发明
国别省市：黑龙江;23