随着蜜罐技术的发展和应用,越来越多的攻击者和研究人员开始关注蜜罐的检测。本发明专利技术借助现阶段热门的机器学习技术,提出一种基于机器学习的蜜罐检测方法。该检测方法通过对有效的蜜罐静态特征的提取,利用合适的机器学习算法构建分类模型,实现对蜜罐的检测。该检测方法合理且多方面地利用蜜罐的静态特征对目标IP进行检测,提高蜜罐检测的准确性。
【技术实现步骤摘要】
一种基于机器学习的蜜罐检测方法
本专利技术针对蜜罐检测,提出了一种基于机器学习的蜜罐检测方法。该检测方法依靠收集的适量的蜜罐系统和正常系统样本,通过对有效的蜜罐静态特征的提取,利用合适的机器学习算法构建分类模型,实现对蜜罐的检测。该检测方法合理且多方面地利用蜜罐的静态特征对目标IP进行检测,提高蜜罐检测的准确性。
技术介绍
没有任何一个系统是绝对安全的。所有的系统都存在很多的0-day漏洞。仅仅依靠传统的防御手段,例如防火墙和入侵检测系统,很难保证系统在面对新型攻击时的安全。因此需要蜜罐来加强系统的防御。蜜罐的主要目的是用来诱导攻击者对其发起进攻,从而收集攻击的有关信息。防御者对这些信息进行学习,以便制定更有效的防御策略。根据蜜罐的交互程度可将其分为低交互蜜罐、中交互蜜罐和高交互蜜罐三类。低交互蜜罐和中交互蜜罐不提供真实的操作系统,而且其上运行的服务集也不是完整的。相比于低交互和中交互蜜罐,高交互蜜罐提供了真实的操作系统。此外,为了收集更多的有关攻击的信息,高交互蜜罐还运行了完整的服务集。随着蜜罐技术的发展,越来越多的攻击者和研究人员开始关注蜜罐的检测。现有的蜜罐检测分为两类,一是人工分析,二是利用机器学习技术进行检测。人工分析主要是针对可疑环境User-modeLinux(UML)和VMWare进行分析。利用机器学习技术则是根据蜜罐和真实系统之间细微的不同提取出特征,训练机器学习模型进而利用模型达到检测蜜罐的目的。本文基于上述思路,总结早期关于蜜罐和蜜罐检测的研究,构建了一个新的特征向量。基于这个新的特征向量,本文提出了一种基于机器学习的蜜罐检测方法,用于判断目标IP是不是蜜罐。
技术实现思路
为检测目标IP是否是蜜罐,本专利技术提出一种基于机器学习的蜜罐检测方法。在收集的适量的正常系统和蜜罐样本的基础上,提取出蜜罐的三类静态特征:应用层特征、网络层特征和其他系统层特征。利用集成学习算法中的随机森林算法建立分类模型,进而利用该分类模型实现对蜜罐的检测。应用层特征:该层特征针对目标系统的HTTP,FTP和SMTP服务的功能集进行抽取,包括HTTP-HEAD,FTP-USER,SMTP-VRFY等。网络层特征:该层特征针对目标系统的TCP/IP指纹进行抽取,包括average-received-bytes,average-received-ttl等。其他系统特征:该层特征针对目标系统的部分系统层特征进行抽取,包括port,version,system-fingerprint和ICMP-ECHO-response-time。基于上述三类特征,本专利技术构建了新的特征向量用于机器学习模型的训练。借助机器学习算法训练的分类模型,可以实现快速、有效地对蜜罐进行检测。附图说明图1是本专利技术的系统示意图。图2是应用层特征抽取图。图3是网络层特征抽取图。图4是其他系统层特征抽取图。具体实施方式现结合附图和具体实施方式对本专利技术进一步说明。本专利技术提出一种基于机器学习的蜜罐检测方法,图1是本专利技术的系统示意图。图2是应用层特征抽取图。图3是网络层特征抽取图。图4是其他系统层特征抽取图。蜜罐应用层特征:由于低交互蜜罐不提供完整的服务功能,所以一些常见的服务,如HTTP,SMTP和FTP中的很多功能在蜜罐上是不会提供的。针对蜜罐的这一特征,蜜罐的应用层特征抽取为:HTTP-GET,HTTP-OPTIONS,HTTP-HEAD,HTTP-TRACE,FTP-USER,FTP-PASS,FTP-MODE,FTP-RETR,SMTP-HELO,SMTP-MAIL,SMTP-DATA,SMTP-VRFY和SMTP-ETRN。蜜罐网络层特征:因为使用TCP/IP指纹可以识别不同的设备,包括蜜罐。所以该层特征基于TCP/IP指纹抽取,包括:average-received-bytes,average-received-ttl,average-received-ack-flags,average-received-push-flags,average-received-syn-flags,average-received-fin-flags和average-received-window-size。网络层特征中,每个平均值的获取都对应着一个相同的公式。例如:其中,arb表示average-received-bytes,rb1表示从目标IP的21端口返回的数据包的大小,rb2表示从目标IP的25端口返回的数据包的大小,rb3从目标IP的80端口返回的数据包的大小。蜜罐其他系统层特征:其他系统层特征主要抽取为:port,version,system-fingerprint和ICMP-ECHO-response-time。port是指目标IP开放的端口号,主要针对目标IP的21,25,80端口。version是指目标IP提供的服务的容器的版本,例如:“Apachehttpd2.4.6”。system-fingerprint是指目标IP的系统版本,例如“MicrosoftWindowsServer2016”。ICMP-ECHO-response-time是指目标IP对ICMPECHO请求的响应时间。根据上面分类的特征,提取出特征向量,然后根据特征向量进行数据收集。数据收集的目的是收集适量的蜜罐和正常系统的样本。之后利用集成学习算法中的随机森林算法训练提取的特征数据从而获得分类模型。最后借助分类模型实现对蜜罐的检测。本文档来自技高网...
【技术保护点】
1.一种基于机器学习的蜜罐检测方法,其特征在于:利用新的特征向量训练出机器学习模型进行检测。/n
【技术特征摘要】
1.一种基于机器学习的蜜罐检测方法,其特征在于:利用新的特征向量训练出机器学习模型进行检测。
2.根据权利要求1所述的一种新的基于机器学习的蜜罐检测方法,其特点在于:利用新的特征向量训练出机器学习模型进行检测分析步骤具体包括:
A、收集的适量的正常系统...
【专利技术属性】
技术研发人员:黄诚,刘嘉勇,韩家璇,张星,高健,
申请(专利权)人:四川大学,北京神州绿盟信息安全科技股份有限公司,
类型:发明
国别省市:四川;51
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。