一种基于数据库蜜罐的攻击行为意图分类方法及系统技术方案

本发明专利技术提供了一种基于数据库蜜罐的攻击行为意图分类方法及系统，本发明专利技术方法通过对已知的攻击行为进行标记并分层，枚举全部可能的入侵攻击行为标记链接，建立入侵攻击行为意图库，并检测入侵攻击行为，对入侵攻击行为进行同样的标记，将入侵攻击行为的标记与入侵攻击行为意图库进行对比，如果匹配，则为对应的行为类别，否则为未知分类。通过本发明专利技术的方法，在检测入侵攻击的同时，能够确定入侵攻击的意图，对网络环境安全状况进行评估，反映网络安全态势的真正情况。

【技术实现步骤摘要】

本专利技术涉及网络安全领域，特别涉及一种基于数据库蜜罐的攻击行为意图分类方法及系统。
技术介绍
目前数据库审计系统和数据库型蜜罐均可以获取黑客攻击的行为轨迹。当黑客对数据库进行操作后，其留下的行为轨迹一般被用于事后定案的关键证据。在取证过程中，如何区别其行为是一种简单用于学习为目的行为，还是有计划和目标式的攻击并窃密非常重要，其能够根据行为目的，明确当前网络环境安全的真实状况。
技术实现思路
基于上述需求，本专利技术提供了一种基于数据库蜜罐的攻击行为意图分类方法及系统。通过本专利技术的方法解决了现有技术无法对行为意图进行分类，无法明确攻击行为真正意图的问题。—种基于数据库蜜罐的攻击行为意图分类方法，包括: 标记蜜罐所能模拟的入侵攻击行为； 将全部带标记的入侵攻击行为按预设的入侵阶段划分层级； 根据层级和标记的入侵攻击行为，枚举全部入侵攻击路径及对应的攻击行为意图类另IJ，建立攻击行为意图库； 检测攻击者的入侵攻击行为，并记录所述攻击者的入侵攻击行为路径在各层级对应的入侵行为的标记； 将入侵行为的标记与攻击行为意图库进行比对，如果各入侵行为的标记与攻击行为意图库中的入侵攻击路径相同，则攻击者的攻击行为意图为入侵攻击路径所对应的攻击行为意图类别，否则为未知类别。所述的方法中，所述的预设的入侵阶段包括:主机发现和端口扫描阶段、渗透攻击阶段及主机利用阶段。所述的方法中，所述检测攻击者的入侵攻击行为，并记录所述攻击者的入侵攻击行为路径在各层级对应的入侵行为的标记，若存在两条以上入侵攻击行为路径，则选取层级数量较多的入侵攻击行为路径；若存在两条以上入侵攻击行为路径，且层级数量相同，则根据预设的最终行为的优先级，选取最终行为优先级较高的入侵攻击行为路径。—种基于数据库蜜罐的攻击行为意图分类系统，包括: 攻击行为意图库建立模块，用于标记蜜罐所能模拟的入侵攻击行为； 将全部带标记的入侵攻击行为按预设的入侵阶段划分层级； 根据层级和标记的入侵攻击行为，枚举全部入侵攻击路径及对应的攻击行为意图类另IJ，建立攻击行为意图库；攻击行为检测模块，用于检测攻击者的入侵攻击行为，并记录所述攻击者的入侵攻击行为路径在各层级对应的入侵行为的标记； 攻击行为对比分类模块，用于将入侵行为的标记与攻击行为意图库进行比对，如果各入侵行为的标记与攻击行为意图库中的入侵攻击路径相同，则攻击者的攻击行为意图为入侵攻击路径所对应的攻击行为意图类别，否则为未知类别。所述的系统中，所述的预设的入侵阶段包括:主机发现和端口扫描阶段、渗透攻击阶段及主机利用阶段。所述的系统中，所述检测攻击者的入侵攻击行为，并记录所述攻击者的入侵攻击行为路径在各层级对应的入侵行为的标记，若存在两条以上入侵攻击行为路径，则选取层级数量较多的入侵攻击行为路径；若存在两条以上入侵攻击行为路径，且层级数量相同，则根据预设的最终行为的优先级，选取最终行为优先级较高的入侵攻击行为路径。本专利技术提供了一种基于数据库蜜罐的攻击行为意图分类方法及系统，本专利技术方法通过对已知的攻击行为进行标记并分层，枚举全部可能的入侵攻击行为标记链接，建立入侵攻击行为意图库，并检测入侵攻击行为，对入侵攻击行为进行同样的标记，将入侵攻击行为的标记与入侵攻击行为意图库进行对比，如果匹配，则为对应的行为类别，否则为未知分类。通过本专利技术的方法，在检测入侵攻击的同时，能够确定入侵攻击的意图，对网络环境安全状况进行评估，反映网络安全态势的真正情况。【附图说明】为了更清楚地说明本专利技术或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本专利技术中记载的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。图1为本专利技术一种基于数据库蜜罐的攻击行为意图分类方法实施例流程图； 图2为本专利技术一种基于数据库蜜罐的攻击行为意图分类系统实施例结构示意图。【具体实施方式】为了使本
的人员更好地理解本专利技术实施例中的技术方案，并使本专利技术的上述目的、特征和优点能够更加明显易懂，下面结合附图对本专利技术中技术方案作进一步详细的说明。基于上述需求，本专利技术提供了一种基于数据库蜜罐的攻击行为意图分类方法及系统。通过本专利技术的方法解决了现有技术无法对行为意图进行分类，无法明确攻击行为真正意图的问题。—种基于数据库蜜罐的攻击行为意图分类方法，如图1所示，包括: 5101:标记蜜罐所能模拟的入侵攻击行为； 5102:将全部带标记的入侵攻击行为按预设的入侵阶段划分层级； 5103:根据层级和标记的入侵攻击行为，枚举全部入侵攻击路径及对应的攻击行为意图类别，建立攻击行为意图库； 5104:检测攻击者的入侵攻击行为，并记录所述攻击者的入侵攻击行为路径在各层级对应的入侵行为的标记； S105:将入侵行为的标记与攻击行为意图库进行比对，判断各入侵行为路径的标记与攻击行为意图库中的入侵攻击路径相同，如果是，则攻击者的攻击行为意图为入侵攻击路径所对应的攻击行为意图类别，否则为未知类别。所述的方法中，所述的预设的入侵阶段包括:主机发现和端口扫描阶段、渗透攻击阶段及主机利用阶段。所述的方法中，所述检测攻击者的入侵攻击行为，并记录所述攻击者的入侵攻击行为路径在各层级对应的入侵行为的标记，若存在两条以上入侵攻击行为路径，则选取层级数量较多的入侵攻击行为路径；若存在两条以上入侵攻击行为路径，且层级数量相同，则根据预设的最终行为的优先级，选取最终行为优先级较高的入侵攻击行为路径。举例来说:假设入侵阶段包括:主机发现和端口扫描阶段、渗透攻击阶段及主机利用阶段，各阶段中的行为节点及标记如下: 主机发现，端口扫描阶段: A.1CMP协议Ping操作; B.直接端口扫描； C.快速自定义扫描关心的端口； D.全端口区间扫描； E.所关心的端口服务协议探测； 渗透攻击阶段: F.溢出攻击； G.暴力破解攻击； 主机利用阶段:当入侵后，可以实施的操作更为复杂，但可以收敛到如下几个方向: a.访问主机文件系统并搜索一存储窃蜜行为； b.修改本操作系统用户权限，创建用户等一安装后门； c.枚举数据库系统所有数据库及表一数据库窃密行为； d.创建，修改数据库用户权限安装后门一数据库窃密行为； e.注册数据库扩展插件并安装后门一安装后门； f.上传已知后门程序，并开启常见DDos远控服务一僵尸网络； g.上传未知后门程序一未知； h.直接退出一无恶意，学习目的。那么枚举出全部攻击路径，则攻击行为意图库中的入侵攻击路径即可为A Fa、AFb、AFc等等，当前第1页1 2 本文档来自技高网...

【技术保护点】
一种基于数据库蜜罐的攻击行为意图分类方法，其特征在于，包括：标记蜜罐所能模拟的入侵攻击行为；将全部带标记的入侵攻击行为按预设的入侵阶段划分层级；根据层级和标记的入侵攻击行为，枚举全部入侵攻击路径及对应的攻击行为意图类别，建立攻击行为意图库；检测攻击者的入侵攻击行为，并记录所述攻击者的入侵攻击行为路径在各层级对应的入侵行为的标记；将入侵行为路径的标记与攻击行为意图库进行比对，如果各入侵行为路径的标记与攻击行为意图库中的入侵攻击路径相同，则攻击者的攻击行为意图为入侵攻击路径所对应的攻击行为意图类别，否则为未知类别。

【技术特征摘要】

【专利技术属性】
技术研发人员：徐宝旺，王维，肖新光，
申请(专利权)人：哈尔滨安天科技股份有限公司，
类型：发明
国别省市：黑龙江;23