基于ATT&CK的欺骗性防御系统、构建方法及全链路防御实现方法技术方案

本申请涉及基于ATT&CK的欺骗性防御系统、构建方法及全链路防御实现方法，研究ATT&CK框架中每项战术下的每个技术点的攻击技术；在所述初始数据库中从战术、技术两个层面给出每一个攻击技术所对应的欺骗防御技术，将所有欺骗防御技术根据网络欺骗技术的不同作用点进行层次划分，从战术、技术、作用点三个维度构建初始数据库，结合当前环境中的网络资产情况，针对攻击方在入侵期间每个阶段的行为，在战术、技术、作用点三个维度上从初始数据库中选择欺骗防御技术与当前网络资产情况进行融合，构建全方位的欺骗性防御系统。本发明专利技术从将欺骗技术贯穿攻击链路的整个生命周期，对攻击者的TTP进行检测、防御和响应，从攻击者的视角进行主动诱捕。

Deceptive defense system based on att & CK, construction method and implementation method of full link defense

The application relates to a deceptive defense system, a construction method and a full link defense implementation method based on att & CK, and studies the attack technology of each technical point under each tactics in the att & CK framework; in the initial database, the corresponding deception defense technology of each attack technology is given from two levels of tactics and technology, and all deception defense technologies are different according to the network deception technology The action points are divided into three levels. The initial database is constructed from three dimensions of tactics, technology and action points. Combined with the network assets situation in the current environment, aiming at the behaviors of attackers in each stage during the invasion, the deception defense technology and the current network assets situation are integrated from the initial database from three dimensions of tactics, technology and action points to build a comprehensive deception Deceptive defense system. The invention detects, defends and responds the TTP of the attacker through the whole life cycle of the attack link, and actively traps from the perspective of the attacker.

【技术实现步骤摘要】
基于ATT＆CK的欺骗性防御系统、构建方法及全链路防御实现方法
本专利技术属于计算机网络安全
，具体地是涉及一种基于ATT&CK模型进行欺骗性技术组合实现蜜阵诱捕的欺骗性防御系统、构建方法及全链路防御实现方法。
技术介绍
网络安全问题已成为信息时代人类共同面临的挑战，国内的网络安全问题也日益突出。具体表现为：计算机系统受病毒感染和破坏的情况相当严重；电脑黑客活动已形成重要威胁；信息基础设施面临网络安全的挑战；信息系统在预测、反应、防范和恢复能力方面存在许多薄弱环节。在应对攻击者的过程中，往往是被动僵硬的等待攻击者触碰网络安全设备并报警，难以持续有效的应对攻击者在攻击过程中的变化。当前，需要能够实时动态分析攻击者的行为特征，并作出动态联合防御的技术方法，以达到能够有针对性的应对攻击者的目的。蜜罐属于现有的欺骗技术中的一种，蜜罐(Honeypot)就是指那些经过精心设计部署和设计的计算机设备，用于引诱攻击者、分析攻击者、延缓攻击进程。然而，现有的欺骗技术无法覆盖攻击者的全链路攻击行为，难以实现对攻击者高性能的诱捕。
技术实现思路
网络攻防不对称是当前网络安全面临的核心问题。基于欺骗的防御技术是防御方为改变这种不对称格局而引入的一种新思路，其核心思想是通过干扰攻击者的认知以促使攻击者采取有利于防御方的行动从而记录攻击者的活动与方法、增加其实施攻击的代价、降低其攻击成功的概率。为至少在一定程度上克服相关技术中存在的问题，申请人提供了一种全新的防御体系，通过ATT&CK模型，以剖析攻击面为关键，旨在攻击全链路上进行欺骗性防御部署，提高欺骗性防御的全面性和有效性。ATT&CK是网络攻击行为的策划知识库和模型，反映了攻击者生命周期的各个阶段变化。ATT&CK对于理解针对已知攻击行为的安全风险，规划安全改进以及验证防御措施是否按预期工作很有用。为此，为能够实现全攻击链路上进行欺骗性防御部署，提高欺骗性防御的全面性和有效性，申请人提出基于ATT&CK模型选取适当的欺骗性技术进行蜜阵的构建，将入侵期间可能发生的情况做出更细的划分，从攻击者的视角进行主动诱捕，打破现有的攻防不对称的局面，实现更精准、更高效的诱捕预警。本申请提供一种基于ATT&CK框架进行欺骗性技术组合实现蜜阵诱捕的欺骗性防御系统、构建方法及全链路防御实现方法根据本申请实施例的第一方面，提供一种基于ATT&CK框架进行欺骗性技术组合实现蜜阵诱捕的欺骗性防御系统，包括初始数据库和防御蜜阵；ATT&CK框架是一个反映各个攻击生命周期的攻击行为的模型和知识库，其提供了全攻击生命周期中每一个战术下攻击者能够采用的一个以上的攻击技术；所述初始数据库被配置为：研究ATT&CK框架中每项战术下的每个技术点的攻击技术；在所述初始数据库中从战术、技术两个层面给出每一个攻击技术所对应的欺骗防御技术，将所有欺骗防御技术根据网络欺骗技术的不同作用点进行层次划分，从战术、技术、作用点三个维度构建初始数据库；所述防御蜜阵被配置为：结合当前环境中的网络资产情况，针对攻击方在入侵期间每个阶段的行为，在战术、技术、作用点三个维度上从初始数据库中选择欺骗防御技术与当前网络资产情况进行融合，构建全方位的欺骗性防御系统。进一步的，在所述防御蜜阵部署过程中，根据网络欺骗技术的不同作用点进行层次划分成四个欺骗层，分别为设备欺骗层、网络欺骗层、数据欺骗层和应用欺骗层；从初始数据库中选取适当的欺骗防御技术，结合该领域的网络情况，在设备欺骗层、网络欺骗层、数据欺骗层以及应用欺骗层的每一个维度上将选取的防御技术与当前环境中网络资产情况进行融合。进一步的，还包括网络资产识别单元，用于获取当前环境中的网络资产情况，获取关键资产步骤，结合当前网络环境中的资产状况，从关键步骤中匹配出当前环境中的需要重点保护设备。进一步的，所述防御蜜阵被配置过程中，根据攻击者能够采取的关键步骤中的战术、技术，综合考虑需要保护设备的特点情况，包括操作系统问题、网络环境、所提供的服务从初始数据库选择合适的欺骗防御技术。进一步的，还包括统一管理平台，所述统一管理平台收集防御蜜阵中获取的攻击者行为数据，将其上报给管理员并对其进行关联分析；将分析结果自动化映射至ATT&CK框架中，将攻击路线可视化展示，同时结合蜜阵中每个组件记录的数据，记录攻击者的整个攻击生命周期。根据本申请实施例的第二方面，提供一种基于ATT&CK框架的欺骗性防御系统的构建方法，包括如下步骤：基于ATT&CK框架构建包含有防御技术的初始数据库；根据当前环境中的网络资产情况，针对攻击方在入侵期间每个阶段的行为，在战术、技术、作用点三个维度上从初始数据库中选取与当前网络资产情况相适配的欺骗防御技术构造整个防御系统，从攻击者的视角规划防御蜜阵。进一步的，所述步骤基于ATT&CK框架构建包含有防御技术的初始数据库中，其初始数据库的构建方法如下：研究ATT&CK框架中每项战术下的每个技术点的攻击技术；在所述初始数据库中从战术、技术两个层面给出每一个攻击技术所对应的欺骗防御技术；将所有欺骗防御技术根据网络欺骗技术的不同作用点进行层次划分，从战术、技术、作用点三个维度构建初始数据库。进一步的，根据网络欺骗技术的不同作用点进行层次划分为四个欺骗层，分别为设备欺骗层、网络欺骗层、数据欺骗层和应用欺骗层；从初始数据库中选取适当的欺骗防御技术，结合该领域的网络情况，在设备欺骗层、网络欺骗层、数据欺骗层以及应用欺骗层每一个维度上将选取的防御技术与当前环境中网络资产情况进行融合。进一步的，所述初始数据库中，针对攻击行为，从战术、技术和作用点三个维度构建初始数据库；使用X轴、Y轴和Z轴分别代表战术、技术、作用点三个维度，其中，X轴代表初始数据库中，攻击生命周期中各阶段使用的战术，攻击阶段的战术至少包括初始访问、执行、常驻、提权、防御规避、凭证访问、发现、横向运动、收集、命令与控制、渗透和碰撞中的一种或者两种以上的组合；Y轴是初始数据库中，每一个阶段下对应的攻击者使用的攻击技术；Z轴是初始数据库中，根据攻击者攻击行为作用点的不同将攻击划分到四个欺骗层，分别为设备欺骗层、网络欺骗层、数据欺骗层和应用欺骗层；X、Y、Z三维交叉点即为对应每个攻击战术、技术、每个欺骗层面下对应的防御性欺骗技术。进一步的，利用网络资产识别单元获取当前环境中的网络资产情况，结合当前网络环境中的资产状况，从关键步骤中分析出当前环境中的需要重点保护设备。进一步的，从初始数据库中选取相适配的欺骗防御技术，结合该领域的网络情况，在设备欺骗层、网络欺骗层、数据欺骗层以及应用欺骗层每一个维度上将选取的防御技术与当前环境中网络资产情况进行融合，构建全方位的欺骗性防御系统。进一步的，所述防御蜜阵被配置过程中，根据攻击者能够采取的关键步骤中的战术、技术，综合考虑需要保护设备的特点情况，包括操作系统问题、网络环境、所提供的服务从初始数据库选择合适的欺骗防御技术。根据本申请实施例的第三方面，提供一种基于ATT&CK的全链路欺骗性防御实现方法，包括：将选取的防御技术与当前环境中网络资产情况进行融合，生成对应的蜜阵配置文件；利用本文档来自技高网...

【技术保护点】
1.基于ATT&CK框架的欺骗性防御系统，其特征在于：所述防御系统包括初始数据库和防御蜜阵；ATT&CK框架是一个反映各个攻击生命周期的攻击行为的模型和知识库，其提供了全攻击生命周期中每一个战术下攻击者能够采用的一个以上的攻击技术；所述初始数据库被配置为：研究ATT&CK框架中每项战术下的每个技术点的攻击技术；在所述初始数据库中从战术、技术两个层面给出每一个攻击技术所对应的欺骗防御技术，将所有欺骗防御技术根据网络欺骗技术的不同作用点进行层次划分，从战术、技术、作用点三个维度构建初始数据库；所述防御蜜阵被配置为：结合当前环境中的网络资产情况，针对攻击方在入侵期间每个阶段的行为，在战术、技术、作用点三个维度上从初始数据库中选择欺骗防御技术与当前网络资产情况进行融合，构建全方位的欺骗性防御系统。

【技术特征摘要】
1.基于ATT&CK框架的欺骗性防御系统，其特征在于：所述防御系统包括初始数据库和防御蜜阵；ATT&CK框架是一个反映各个攻击生命周期的攻击行为的模型和知识库，其提供了全攻击生命周期中每一个战术下攻击者能够采用的一个以上的攻击技术；所述初始数据库被配置为：研究ATT&CK框架中每项战术下的每个技术点的攻击技术；在所述初始数据库中从战术、技术两个层面给出每一个攻击技术所对应的欺骗防御技术，将所有欺骗防御技术根据网络欺骗技术的不同作用点进行层次划分，从战术、技术、作用点三个维度构建初始数据库；所述防御蜜阵被配置为：结合当前环境中的网络资产情况，针对攻击方在入侵期间每个阶段的行为，在战术、技术、作用点三个维度上从初始数据库中选择欺骗防御技术与当前网络资产情况进行融合，构建全方位的欺骗性防御系统。2.根据权利要求1所述的基于ATT&CK框架的欺骗性防御系统，其特征在于：在所述防御蜜阵部署过程中，根据网络欺骗技术的不同作用点进行层次划分成四个欺骗层，分别为设备欺骗层、网络欺骗层、数据欺骗层和应用欺骗层；从初始数据库中选取适当的欺骗防御技术，结合该领域的网络情况，在设备欺骗层、网络欺骗层、数据欺骗层以及应用欺骗层的每一个维度上将选取的防御技术与当前环境中网络资产情况进行融合。3.根据权利要求1所述的基于ATT&CK框架的欺骗性防御系统，其特征在于：还包括网络资产识别单元，用于获取当前环境中的网络资产情况，获取关键资产步骤，结合当前网络环境中的资产状况，从关键步骤中分析出当前环境中的需要重点保护设备。4.根据权利要求3所述基于ATT&CK框架的欺骗性防御系统，其特征在于：所述防御蜜阵被配置过程中，根据攻击者能够采取的关键步骤中的战术、技术，综合考虑需要保护设备的特点情况，包括操作系统问题、网络环境、所提供的服务从初始数据库选择合适的欺骗防御技术。5.根据权利要求1至4任一项所述的基于ATT&CK框架的欺骗性防御系统，其特征在于：还包括统一管理平台，所述统一管理平台收集防御蜜阵中获取的攻击者行为数据，将其上报给管理员并对其进行关联分析；将分析结果自动化映射至ATT&CK框架中，将攻击路线可视化展示，同时结合蜜阵中每个组件记录的数据，记录攻击者的整个攻击生命周期。6.基于ATT&CK框架的欺骗性防御系统构建方法，其特征在于：该构建方法用于构建权利要求1至5任一项所述的欺骗性防御系统，包括如下步骤：基于ATT&CK框架构建包含有防御技术的初始数据库；根据当前环境中的网络资产情况，针对攻击方在入侵期间每个阶段的行为，在战术、技术、作用点三个维度上从初始数据库中选取与当前网络资产情况相适配的欺骗防御技术构造整个防御系统，从攻击者的视角规划防御蜜阵。7.根据权利要求6所述的基于ATT&CK框架的欺骗性防御系统构建方法，其特征在于：所述步骤基于ATT&CK框架构建包含有防御技术的初始数据库中，其初始数据库的构建方法如下：研究ATT&CK框架中每项战术下的每个技术点的攻击技术；在所述初始数据库中从战术、技术两个层面给出每一个攻击技术所对应的欺骗防御技术；将所有欺骗防御技术根据网络欺骗技术的不同作用点进行层次划分，从战术、技术、作用点三个维度构建初始数据库。8.根据权利要求7所述的基于ATT&CK框架的欺骗性防御系统构建方法，其特征在于：根据网络欺骗技术的不同作用点进行层次划分为四个欺骗层，分别为设备欺骗层、网络欺骗层、数据欺骗层和应用欺骗层；从初始数据库中选取适当的欺骗防御技术，结合该领域的网络情况，在设备欺骗层、网络欺骗层、数据欺骗层以及应用欺骗层每一个维度上将选取的防御技术与当前环境中网络资产情况进行融合。9.根据权利要求8所述的基于ATT&CK框架的欺骗性防御系统构建方法，其特征在于：所述初始数据库中，针对攻击行为，从战术、技术和作用点三个维度构建初始数据库；使用X轴、Y轴和Z轴分别代表战术、技术、作用点三个维度，其中，X轴代表初始数据库中，攻击生命周期中各阶段使用的战术，攻击阶段的战术至少包括初始访问、执行、常驻、提权、防御规避、凭证访问、发现、横向运动、收集、命令与控制、渗透和碰撞的一种或者两种以上的组合；Y轴是初始数据库中，每一个阶段战术下对应的攻击者使用的攻击技术；Z轴是初始数据库中，根据攻击者攻击行为作用点的不同将攻击划分到四个欺骗层，分别为设备欺骗层、网络欺骗层、数据欺骗层和应用欺骗层；X、Y、Z三维交叉点即为对应每个攻击战术、技术...

【专利技术属性】
技术研发人员：李春强，丘国伟，邓启晴，
申请(专利权)人：北京经纬信安科技有限公司，
类型：发明
国别省市：北京,11