一种面向工控蜜罐的同源攻击分析方法技术

本发明专利技术公开了一种面向工控蜜罐的同源攻击分析方法，通过攻击者物理位置特征，引入粗粒度和细粒度的攻击行为特征，将攻击者信息转化为一组多维攻击行为特征向量。根据攻击者粗粒度攻击信息使用Canopy法找到最优K值，再依据攻击者细粒度攻击信息使用改进的K‑means聚类方法，将其欧式距离相近的攻击者或攻击组织确定为同源攻击。通过本发明专利技术，能够将同源攻击者的行为特征建模为基于功能码序列的特征向量，适用于诸多具有功能码特征的工控协议蜜罐数据分析；针对蜜罐数据同一攻击源判定验证较难的问题提供验证方法，对于未知的一些企业扫描器或攻击者，使用开源滥用IP数据库查询，其余未知攻击者传统攻击者信息进行验证。

A homologous attack analysis method for industrial honeypot

【技术实现步骤摘要】
一种面向工控蜜罐的同源攻击分析方法
本专利技术属于工控安全领域，涉及工控蜜罐数据分析，尤其涉及一种面向工控蜜罐同源攻击分析方法。
技术介绍
攻击者溯源的研究主要依赖于IP溯源技术，IP溯源技术作为网络安全主动防护的关键手段，主流方法包括：概率包标记溯源法和日志溯源法。概率包分组标记技术将标识信息（如IP地址）写入到转发分组的头域（标记域）中，然后受害者从收到的分组中找回标记信息，并最终确定攻击路径。日志溯源法是路由器在转发分组前，记录分组相关的信息，然后基于记录信息对攻击路径进行重构。然而，设备的修改以及日志格式的不统一，使得传统的IP溯源技术成本开销、误报率高，可操作性不强。工控蜜罐技术能够对攻击者行为进行分析，通过搜集信息来进来分析工控系统攻击者的行为，包括攻击方式、攻击手段、系统漏洞探测等。Glastopf发布了第一个开源工控蜜罐框架Conpot，包含Http等互联网协议和Modbus、S7comm等工控协议，实现了协议栈上的请求-应答交互，这是使用量最大、范围最广的工控蜜罐框架。JuanGuarnizo实现了一种基于物联网设备的蜜网系统，利用重定向技术建立起云端代理节点与本地真实设备间的映射，实现了大规模云端蜜罐节点的轻量化部署，大大提升了蜜罐的交互能力和仿真度(GuarnizoJD,TambeAandBuniaSS,SIPHON:TowardsScalableHigh-InteractionPhysicalHoneypots,Proc.ofCPSS,2017)。对于蜜罐数据中攻击者行为的分析依赖于攻击特征的提取，Honeycomb作为Honeyd蜜罐的扩展模块而实现，提出了利用蜜罐捕获数据进行攻击特征提取的基础方法，但并未考虑应用层协议语义信息，会提取出无效特征。这些特征提取技术都是对传统协议蜜罐的原始数据包进行特征提取和聚类，而没有基于工控协议数据特性的攻击特征提取方法。在此基础上的攻击行为相似性分析能够识别出攻击者的组织特性，有助于更加全面的对攻击者进行溯源。YinzhiCao等人提出的浏览器指纹技术，基于操作系统和硬件层次的特征，包括显卡、CPU信息等进行攻击者追踪识别(Y.Cao,S.Li,andE.Wijmans,(Cross-)BrowserFingerprintingviaOSandHardwareLevelFeatures,Proc.ofNDSS,2017)；Jia等使用Micro-Honeypot框架内浏览器指纹来追踪攻击者，提出一种指纹关联算法，将浏览器中cookie、IP信息和指纹进行关联，生成字符串并进行比较，确定同源攻击者(JiaZ,CuiXandLiuQ,Micro-Honeypot:UsingBrowserFingerprintingtoTrackAttackers,Proc.ofIEEEDSC,2018)。然而，这些同源攻击判断方法只能完成特定修改后的蜜罐的攻击数据，具体方法及原理在工控蜜罐上并不适用，也不能找出针对工控蜜罐的同源攻击者或攻击组织。
技术实现思路
本专利技术的目的在于避免现有技术的不足之处而提供一种面向工控蜜罐同源攻击分析方法。为解决上述技术问题，本专利技术采用的一个技术方案是：提供一种面向工控蜜罐同源攻击分析方法，包括：1）基于Conpot蜜罐框架，构造Modbus工控协议蜜罐，并分布式部署在互联网上，进行数据收集；根据Conpot蜜罐框架进行数据预处理，减少无用信息，将处理结果格式统一；2）依据物理位置信息，如果两个攻击者具有相同的物理位置信息则直接判断为同源攻击，否则进行攻击行为判断；3）对数据进行粗粒度特征选择，选取的特征包括功能码类型占比、攻击频率以及稀有评级占比；根据粗粒度特征使用Canopy聚类方法，产生类簇之特点，计算粗粒度条件下的K值，进行粗粒度特征聚类；4）依据基于功能码序列的攻击行为特征处理方法，进行细粒度特征提取，生成一组包含功能码序列特征的向量；5）依据粗粒度聚类结果，将攻击者细粒度信息特征在类簇内进行二次聚类；根据基于改进的K-means聚类算法，着重对离群点和噪声数据的处理；通过二次聚类，生成新的类簇，将同一类簇的攻击者识别为同源攻击；6）引入轮廓系数来体现簇内数据的紧凑程度和簇间距离的分离程度，簇内紧凑、簇间分离则会体现出聚类方法有较好的性能；7）采用反向DNS和开源威胁情报库结合的方法，进行数据验证；除去一部分可以进行DNS逆向查找源信息的开源扫描组织ip，其余攻击源ip根据部分威胁情报库的记录，进行标签标定，并对同一簇内攻击者信息进行比对，找到同源攻击者或攻击组织。步骤1）中蜜罐数据经已部署的、长期的、分布式蜜罐收集。预处理结果为单一IP下，包括时间戳、功能码等在内的各项基本信息。所述蜜罐类型为工控蜜罐。所述步骤2）物理位置信息包括：基于IP的在线反向DNS服务、Pythongeoip2库以及响应包字段值。所述步骤3）粗粒度特征包含：功能码类型占比、攻击频率和稀有评级占比。粗粒度特征的公式如下：Typei=Tfunc/Ttotal(1)Frequencyi=Numberi/Timei(2)RareRatioi=Degreei/Degreemax(3)式（1）功能码类型占比介绍了某一功能码序列中，占所有蜜罐数据出现的功能码的比例，其中，Typei代表功能码序列i的功能码类型占比，Tfunc代表功能码序列中出现的功能码类型个数，Ttotal表示整体蜜罐数据中出现的功能码类型个数。式（2）攻击频率则是体现一个功能码序列中的时间特征，其中，Frequencyi代表功能码序列i的攻击频率，Numberi代表序列中功能码数量，Timei代表序列交互总时长。式（3）稀有评级占比则体现所有蜜罐数据中不同功能码出现的频率，频率高者稀有评级相应降低。其中，RareRatioi表示稀有占比，Degreei表示功能码序列i中的最高稀有评级，Degreemax表示整体数据中最高评级，设定为5。所述步骤3）使用Canopy聚类方法生成的k值为4，意为粗粒度特征将全部攻击者分为4个类簇，后续细粒度特征下操作基于此4个类簇中进行二次聚类。所述步骤4）中，细粒度特征处理方法依据数据中功能码出现的类型，分为0x01、0x07、0x11、0x2b和0x5a五种。依据每两个功能码类型为一种组合，生成共25维固定顺序的向量，其每一维的值为此种组合占比。维度和向量的表示分别如下（4）、（5）所示。dim=(0101,0107,0111,…,5a5a)(4)vector=(P0101,P0107,P0111…P5a5a)(5)所述步骤5）改进后K-means聚类算法改进部分如下：为了得到更好的轮廓系数、更好的聚类性能和结果，提出收缩因子(0≤α≤1)。当α=1时，不进行离群点收缩处理；当α=0时，将离群点收缩至质心。此外，采取迭代模式，针对收缩因子的值进行迭代，寻求更好的聚类精度。收缩因子α的迭代取值遵循α=arctan本文档来自技高网...

【技术保护点】
1.一种面向工控蜜罐的同源攻击分析方法，包括以下步骤：/n1)基于Conpot蜜罐框架，构造Modbus工控协议蜜罐，并分布式部署在互联网上，进行数据收集；根据Conpot蜜罐框架进行数据预处理，减少无用信息，将处理结果格式统一；/n2)依据物理位置信息，如果两个攻击者具有相同的物理位置信息则直接判断为同源攻击，否则进行攻击行为判断；/n3)对数据进行粗粒度特征选择，选取的特征包括功能码类型占比、攻击频率以及稀有评级占比；根据粗粒度特征使用Canopy聚类方法，产生类簇之特点，计算粗粒度条件下的K值，进行粗粒度特征聚类；/n4)依据基于功能码序列的攻击行为特征处理方法，进行细粒度特征提取，生成一组包含功能码序列特征的向量；/n5)依据粗粒度聚类结果，将攻击者细粒度信息特征在类簇内进行二次聚类；根据基于改进的K-means聚类算法，着重对离群点和噪声数据的处理；通过二次聚类，生成新的类簇，将同一类簇的攻击者识别为同源攻击；/n6)引入轮廓系数来体现簇内数据的紧凑程度和簇间距离的分离程度，簇内紧凑、簇间分离则会体现出聚类方法有较好的性能；/n7)采用反向DNS和开源威胁情报库结合的方法，进行数据验证；除去一部分可以进行DNS逆向查找源信息的开源扫描组织ip，其余攻击源ip根据部分威胁情报库的记录，进行标签标定，并对同一簇内攻击者信息进行比对，找到同源攻击者或攻击组织。/n...

【技术特征摘要】
1.一种面向工控蜜罐的同源攻击分析方法，包括以下步骤：
1)基于Conpot蜜罐框架，构造Modbus工控协议蜜罐，并分布式部署在互联网上，进行数据收集；根据Conpot蜜罐框架进行数据预处理，减少无用信息，将处理结果格式统一；
2)依据物理位置信息，如果两个攻击者具有相同的物理位置信息则直接判断为同源攻击，否则进行攻击行为判断；
3)对数据进行粗粒度特征选择，选取的特征包括功能码类型占比、攻击频率以及稀有评级占比；根据粗粒度特征使用Canopy聚类方法，产生类簇之特点，计算粗粒度条件下的K值，进行粗粒度特征聚类；
4)依据基于功能码序列的攻击行为特征处理方法，进行细粒度特征提取，生成一组包含功能码序列特征的向量；
5)依据粗粒度聚类结果，将攻击者细粒度信息特征在类簇内进行二次聚类；根据基于改进的K-means聚类算法，着重对离群点和噪声数据的处理；通过二次聚类，生成新的类簇，将同一类簇的攻击者识别为同源攻击；
6)引入轮廓系数来体现簇内数据的紧凑程度和簇间距离的分离程度，簇内紧凑、簇间分离则会体现出聚类方法有较好的性能；
7)采用反向DNS和开源威胁情报库结合的方法，进行数据验证；除去一部分可以进行DNS逆向查找源信息的开源扫描组织ip，其余攻击源ip根据部分威胁情报库的记录，进行标签标定，并对同一簇内攻击者信息进行比对，找到同源攻击者或攻击组织。


2.如权利要求1所述的面向工控蜜罐的同源攻击分析方法，其特征在于，所述步骤2)中物理位置信息包括：基于IP的在线反向DNS服务、Pythongeoip2库以及响应包字段值。


3.如权利要求1所述的面向工控蜜罐的同源攻击分析方法，其特征在于，所述步骤3)中粗粒度特征包含：功能码类型占比、攻击频率和稀有评级占比，公式如下：
Typei＝Tfunc/Ttotal(1)
Frequencyi＝Numberi/Timei(2)
RareRatioi＝Degreei/Degreemax(3)
式(1)Typei是功能码序列i的功能码类型占比，Tfunc为功能码序列中出现的功能码类型个数，Ttotal为所有蜜罐数据中出现的功能码类型个数；式(2)Frequencyi代表功能码序列i的攻击频率，Numberi是功能码数量，Timei为交互总时长；式(3)RareRatioi为稀有占比，Degreei为功能码序列i中的最高稀有评级，Degreemax是整体数据中最高评级，置为5。


4.如权利要求1所述的面向工控蜜罐的同源攻...

【专利技术属性】
技术研发人员：陈永乐，马垚，杨玉丽，于丹，王建华，
申请(专利权)人：太原理工大学，
类型：发明
国别省市：山西;14