本发明专利技术公开了一种基于攻击图的网络攻击者行为分析方法,包括如下步骤:构建网络攻击行为分析模型,吸引攻击者的攻击;利用数据捕获机制对攻击数据进行全面的捕获;结合有限状态机生成攻击状态转移图,再通过攻击行为的可能性指标、攻击者的技能水平指标、攻击者的目的指标来分析攻击者的行为。本发明专利技术基于攻击图的网络攻击者行为分析方法可以为主动防御系统设计奠定很好的基础,不仅能够防御网络攻击,而且在网络攻击之前还能够对攻击进行预防并筛选出一部分攻击,有效地预防网络犯罪,提高防御效率、降低防御成本。
【技术实现步骤摘要】
本专利技术涉及主动攻击防御系统领域,具体涉及一种基于攻击图的网络攻击者行为分析方法。
技术介绍
随着计算机网络的迅速发展,网络攻击的方式越来越多。传统的网络入侵防御技术,如防火墙、入侵检测系统等,已经难以应对层出不穷的攻击手段。尤其是这些实用的技术大都是被动防御型的,不能及时地对最新出现的攻击进行防御。防火墙虽然在一定的程度上可以预防网络的攻击并提高网络的安全性,但随着网络攻击技术的发展和工具的不断出现,防火墙的弱点就会慢慢地暴露出来,攻击者会很轻易地突破这层防护,另外一个致命缺陷是无法防护病毒的攻击。入侵检测是对入侵行为的检测,它可以通过收集到的网络行为、日志信息、通信数据来分析入侵者的入侵行为,并且检测和监视系统入侵。但由于入侵检测系统规则数据库和入侵分析模块要随着新的攻击技术的不断出现而要不断变化,同时该系统不能检测规则库中没有的攻击,入侵检测会出现对攻击不能及时响应和响应错误的现象。为此,一个基于攻击行为分析的主动防御系统显得尤为重要。本专利技术基于攻击图的网络攻击者行为分析方法可以为主动防御系统设计奠定很好的基础。
技术实现思路
本专利技术目的是提供一种基于攻击图的网络攻击者行为分析方法,以解决现有技术的不足。本专利技术采用以下技术方案:一种基于攻击图的网络攻击者行为分析方法,包括如下步骤:1)、构建网络攻击行为分析模型,吸引攻击者的攻击;2)、数据收集:利用数据捕获机制对攻击数据进行全面的捕获;3)、行为分析:结合有限状态机的原理使用状态机中的节点表示攻击达到的状态,根据攻击时间的顺序,并采用攻击行为的变化来表示状态的转移,通过实时的监测攻击者的攻击行为,结合有限状态机刻画出攻击者的攻击过程,从而生成攻击状态转移图;再通过攻击行为的可能性指标、攻击者的技能水平指标、攻击者的目的指标来分析攻击者的行为。进一步地,步骤1)中网络攻击行为分析模型的网络结构由SSH网关、主机和控制器组成,分成三个网段,组成主从体系结构;SSH网关与主机系列机器处于蜜罐网段,主机系列机器与控制器处于管理网段,SSH网关与控制器处于互联网网段,这三个网段通过三个交换机相连,从而模拟成真实的主机网络,诱骗各类行为攻击与蜜罐主机进行交互。进一步地,SSH网关是通过SSH协议对访问者口令或者密钥进行安全验证;主机是通过构建OpenVZ,在其上创建多个隔离的虚拟专用服务器并在内部构建多个虚拟机,每个虚拟机内部用的是Linux操作系统;控制器是对攻击数据的收集和处理。进一步地,步骤2)中数据捕获机制:攻击者攻击的数据记录首先通过iptables防火墙对其流入的连接进行记录,然后直接跳过snort_inline,但Snort会记录下全部的流出信息;在蜜罐主机上,通过部署Sebek的客户端,对攻击者在其上的攻击行为进行记录,并将记录到的信息发送到Sebek服务器。进一步地,步骤3)中生成攻击状态转移图的流程如下:31)、建立攻击行为的初始状态集合即S0;32)、建立攻击线路集合attack_state;从初始状态S0开始监测攻击者的每一个攻击行为,使节点状态发生变化或自身转变的状态加入到attack_state中,并给每条边赋予量化的权重值W;33)、攻击者的连接未断开,重复32)的操作;34)、攻击者与蜜罐主机连接断开,生成状态转移图并且在attack_state的最合加上结束状态Se。进一步地,步骤3)中攻击行为的可能性指标:通过生成的攻击状态转移图统计生成每个状态的可能发生概率:从一个状态到另一个状态的概率即设从Si-1状态到Si状态的转移概率为pk,k=1,2,…,i,则当前的攻击行为的可能性为:进一步地,步骤3)中攻击者的技能水平指标:通过以下四个标准来综合分析攻击者的技能水平,并对满足条件的攻击者进行打分:a、攻击者是否关心被发现b、在攻击之前,攻击者是否关心目标的环境c、攻击者对恶意软件的熟悉程度d、攻击者是否会对被攻破的电脑采取一定的保护措施。进一步地,根据四个标准制定可测标准包括:1.隐藏:对登录时的日志文件的删除或取消,通过攻击者对登录日志文件隐藏的数量比来评估;2.恢复已删除文件:对已删除的文件进行恢复,通过恢复的被删除文件的数量比来评估;3.删除下载文件:当下载使用流氓软件后删除它,如果删除记为0,否则记为1来评估;4.检查当前用户:对系统当前是否有其他用户进行检查,通过对检查是否有其他用户来评估;5.检查系统:对系统的配置和状态进行观察,如果被检测就记为1,否则为0;6.编辑配置文件:在整个过程中,通过流氓软件对配置文件进行修改,如果修改记为1,否则为0;7.更改系统:对系统的配置文件或状态进行修改,若更改记为1;否则为0;8.创建新用户:增加新的用户名和密码,如果增加记为1,否则为0;9.安装流氓软件:攻击者在目标机器中安装流氓软件,如果安装上记为1,否则为0;10.改变密码:对用户密码进行修改,如果修改记为1,否则为0。进一步地,步骤3)中攻击者的目的指标是通过甄别攻击者使用的不同的流氓软件来推测出攻击者的攻击目的。本专利技术的有益效果:1、本专利技术通过构建网络攻击行为分析模型,吸引攻击者的攻击;利用数据捕获机制对攻击数据进行全面的捕获;结合有限状态机生成攻击状态转移图,再通过攻击行为的可能性指标、攻击者的技能水平指标、攻击者的目的指标来分析攻击者的行为。本专利技术通过对网络攻击行为的分析可以深入探寻各种网络攻击行为之间的内在联系、规律和动态特性,从而预测网络攻击行为,构建主动防御体系,这对发现和刻画网络安全事件和提高整体网络安全防范能力具有非常重要的意义。2、本专利技术基于攻击图的网络攻击者行为分析方法可以为主动防御系统设计奠定很好的基础,不仅能够防御网络攻击,而且在网络攻击之前还能够对攻击进行预防并筛选出一部分攻击,有效地预防网络犯罪,提高防御效率、降低防御成本。附图说明图1为本专利技术方法流程示意图。图2为网络攻击行为分析模型的部署网络结构图。图3为数据捕获机制体系图。图4为有限状态机状态转化图。图5为网络攻击者行为分析图。具体实施方式下面结合实施例和附图对本专利技术做更进一步地解释。下列实施例仅用于说明本专利技术,但并不用来限定本专利技术的实施范围。一种基于攻击图的网络攻击者行为分析方法,如图1所示,包括如下步骤:1)、构建网络攻击行为分析模型,吸引攻击者的攻击。网络攻击行为分析模型即蜜罐的部署网络结构图如图2所示,由SSH网关(SSHGateway)、主机(Host)和控制器(Collector)组成,它们分成三个网段,组成主从体系结构;SSH网关与主机系列机器处于蜜罐网段,主机系列机器与控制器处于管理网段,SSH网关与控制器处于互联网网段,这三个网段通过三个交换机相连,从而模拟成真实的主机网络,诱骗各类行为攻击与蜜罐主机进行交互。其中,SSH网关是通过SSH协议对访问者口令或者密钥进行安全验证。主机是通过构建OpenVZ,在其上创建多个隔离的虚拟专用服务器(VPS)并在内部构建多个虚拟机,每个虚拟机内部用的是Linux操作系统,由于Linux系统是开源的,攻击者对此系统琢磨较多,更容易发现其中的安全漏洞进行攻击。控制器作为该模型的核心部分,主要是对攻击数据的收集和处理。2)、数据收集:利用数据捕获机制对攻击数据进行全面的捕本文档来自技高网...
【技术保护点】
一种基于攻击图的网络攻击者行为分析方法,其特征在于,包括如下步骤:1)、构建网络攻击行为分析模型,吸引攻击者的攻击;2)、数据收集:利用数据捕获机制对攻击数据进行全面的捕获;3)、行为分析:结合有限状态机的原理使用状态机中的节点表示攻击达到的状态,根据攻击时间的顺序,并采用攻击行为的变化来表示状态的转移,通过实时的监测攻击者的攻击行为,结合有限状态机刻画出攻击者的攻击过程,从而生成攻击状态转移图;再通过攻击行为的可能性指标、攻击者的技能水平指标、攻击者的目的指标来分析攻击者的行为。
【技术特征摘要】
1.一种基于攻击图的网络攻击者行为分析方法,其特征在于,包括如下步骤:1)、构建网络攻击行为分析模型,吸引攻击者的攻击;2)、数据收集:利用数据捕获机制对攻击数据进行全面的捕获;3)、行为分析:结合有限状态机的原理使用状态机中的节点表示攻击达到的状态,根据攻击时间的顺序,并采用攻击行为的变化来表示状态的转移,通过实时的监测攻击者的攻击行为,结合有限状态机刻画出攻击者的攻击过程,从而生成攻击状态转移图;再通过攻击行为的可能性指标、攻击者的技能水平指标、攻击者的目的指标来分析攻击者的行为。2.根据权利要求1所述的基于攻击图的网络攻击者行为分析方法,其特征在于,步骤1)中网络攻击行为分析模型的网络结构由SSH网关、主机和控制器组成,分成三个网段,组成主从体系结构;SSH网关与主机系列机器处于蜜罐网段,主机系列机器与控制器处于管理网段,SSH网关与控制器处于互联网网段,这三个网段通过三个交换机相连,从而模拟成真实的主机网络,诱骗各类行为攻击与蜜罐主机进行交互。3.根据权利要求2所述的基于攻击图的网络攻击者行为分析方法,其特征在于,SSH网关是通过SSH协议对访问者口令或者密钥进行安全验证;主机是通过构建OpenVZ,在其上创建多个隔离的虚拟专用服务器并在内部构建多个虚拟机,每个虚拟机内部用的是Linux操作系统;控制器是对攻击数据的收集和处理。4.根据权利要求1所述的基于攻击图的网络攻击者行为分析方法,其特征在于,步骤2)中数据捕获机制:攻击者攻击的数据记录首先通过iptables防火墙对其流入的连接进行记录,然后直接跳过snort_inline,但Snort会记录下全部的流出信息;在蜜罐主机上,通过部署Sebek的客户端,对攻击者在其上的攻击行为进行记录,并将记录到的信息发送到Sebek服务器。5.根据权利要求1所述的基于攻击图的网络攻击者行为分析方法,其特征在于,步骤3)中生成攻击状态转移图的流程如下:31)、建立攻击行为的初始状态集合即S0;32)、建立攻击线路集合attack_state;从初始状态S0开始监测攻击者的每一个攻击行为,使节点状态发生变化或自身转变的状态加入到attack_s...
【专利技术属性】
技术研发人员:汪继锋,颜炎,程宏峰,
申请(专利权)人:杭州信雅达数码科技有限公司,
类型:发明
国别省市:浙江;33
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。