【技术实现步骤摘要】
基于动静结合方式和蜜标技术的网络攻击溯源方法及系统
本专利技术涉及网络安全
,具体的说是一种基于动静结合方式和蜜标技术的网络攻击溯源方法及系统。
技术介绍
随着互联网和工控网络的不断发展和应用,政府和企业更加重视信息安全的建设。传统的网络安全防御技术是被动防御,无法对未知的网络攻击提取有效的攻击数据,以此分析和识别攻击来源。目前业界主要是通过蜜罐技术对网络攻击进行捕获和分析,并结合单一、静态的蜜标数据,通过回传的主机信息和蜜罐捕获的行为数据作关联分析等方式追踪和溯源攻击者。但由于现有蜜罐环境比较纯净、单一,往往是一些初始化版本的操作系统或软件应用系统,容易被攻击者识破导致捕获到的攻击行为数据有限,同时现有的蜜标技术利用的敏感数据颗粒度较粗,诱惑性差,无法有效精准溯源攻击者身份信息。现有蜜罐、蜜标技术在网络攻击溯源上存在以下缺点:蜜罐环境较纯净、单一,基本没有利用蜜标技术仿真的敏感数据,易被攻击者识别,导致捕获的攻击行为数据有限;蜜标数据仅限静态数据/文件,缺乏动态蜜标流量数据,无法形成动静结合的欺骗机制...
【技术保护点】
1.一种基于动静结合方式和蜜标技术的网络攻击溯源方法,包括如下步骤:/nS01.初始化系统;/nS02.设置蜜罐主机;/nS03.模拟主机传输过程,生成蜜标数据;/nS04.攻击者扫描或截取蜜标数据后传送至攻击者主机;/nS05.攻击者打开蜜标数据后,蜜标被触发,收集溯源信息;/nS06.自动将攻击者的溯源信息回传至数据库服务器;/nS07.安全管理员依据传回的溯源信息制定安全防范策略;/n其特征为:所述步骤S03中生成的蜜标数据包括静态蜜标数据和动态蜜标数据,所述静态蜜标数据和动态蜜标数据均包括敏感文件、特定标识和脚本组成。/n
【技术特征摘要】
1.一种基于动静结合方式和蜜标技术的网络攻击溯源方法,包括如下步骤:
S01.初始化系统;
S02.设置蜜罐主机;
S03.模拟主机传输过程,生成蜜标数据;
S04.攻击者扫描或截取蜜标数据后传送至攻击者主机;
S05.攻击者打开蜜标数据后,蜜标被触发,收集溯源信息;
S06.自动将攻击者的溯源信息回传至数据库服务器;
S07.安全管理员依据传回的溯源信息制定安全防范策略;
其特征为:所述步骤S03中生成的蜜标数据包括静态蜜标数据和动态蜜标数据,所述静态蜜标数据和动态蜜标数据均包括敏感文件、特定标识和脚本组成。
2.根据权利要求1所述的基于动静结合方式和蜜标技术的网络攻击溯源方法,其特征为:所述脚本的作用在于获取攻击者的特征信息或者可以使脚本自动打开摄像头拍照,获取真人头像,将这些溯源信息回传到我们的数据库服务器上。
3.根据权利要求2所述的基于动静结合方式和蜜标技术的网络攻击溯源方法,其特征为:所述特征信息包括ip和mac地址。
4.根据权利要求3所述的基于动静结合方式和蜜标技术的网络攻击溯源方法,其特征为:所述敏感文件包括在主机上保存的静态敏感数据和主机间产生的动态数据流。
5.根据权利要求4所述的基于动静结合方式和蜜标技术的网络攻击溯源方法,其特征为:所述静态敏感数据包括账号、密码和文件。
6.根据权利要求5所述的基于动静结合方式和蜜标技术的网络攻击溯...
【专利技术属性】
技术研发人员:吴寅鹤,彭湖鑫,
申请(专利权)人:广州锦行网络科技有限公司,
类型:发明
国别省市:广东;44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。