一种提升蜜罐系统告警输出精准性的方法及系统技术方案

一种提升蜜罐系统告警输出精准性的方法及系统，属于网络技术与安全技术领域，方法包括：提取安全事件日志中记录的第一安全告警事件，根据安全事件日志对第一安全告警事件添加特征标签，提取攻击日志数据中的第二安全告警事件，将第一安全告警事件与第二安全告警事件进行匹配，添加详细的业务描述和全面基础信息，作为蜜罐系统告警进行输出；系统包括：第一提取模块、标记模块、第二提取模块、匹配模块、采集模块、输出模块；有益效果是：破除各网络安全设备之间信息孤岛，实现信息联动，提高蜜罐系统告警输出的精准性，避免网络安全事件响应处置中的不必要的人力资源浪费，提高安全事件的快速处置能力。

【技术实现步骤摘要】
一种提升蜜罐系统告警输出精准性的方法及系统
本专利技术涉及网络技术与安全
，尤其涉及一种提升蜜罐系统告警输出精准性的方法及系统。
技术介绍
蜜罐系统是指有目的被部署，以用于由恶意软件探测、攻击和盗用，以便发现、识别和特征化这种软件的系统；随着互联网技术的发展，网络扫描、蠕虫与病毒代码的传播以及黑客恶意攻击等使得网络上每台主机随时都可能面临危险，而蜜罐以及蜜罐系统的提出正是为了主动出击研究这位安全威胁而产生，通过收集网络上的攻击活动信息来对这些攻击活动进行监视、检测和分析。现有技术中蜜罐技术种类繁多，但总体上大多是采用被动侦听和诱惑攻击的方式实现，由于在云资源系统环境中安全事件发现能力差，常用安全设备误报警率高，使得蜜罐系统将大量无关业务行为和正常业务行为也作为告警进行输出，基于特征和智能分析的蜜罐系统无法排除大量业务正常访问而触发的误告警情况，进而导致蜜罐系统告警输出的精准性低，需要人工干预的程度高，发生安全事件后无法快速匹配信息和快速处置。
技术实现思路
根据现有技术中存在的上述问题，现提供一种提升蜜罐系统告警输出精准性的方法及系统，通过将蜜罐系统输出的安全告警事件分别与多源安全数据进行匹配，以破除各网络安全设备之间信息孤岛，实现信息联动，提高蜜罐系统告警输出的精准性，避免网络安全事件响应处置中的不必要的人力资源浪费，提高安全事件的快速处置能力。上述技术方案具体包括：一种提升蜜罐系统告警输出精准性的方法，其中，提供一云资源系统，所述云资源系统中包括多个安全日志采集源，所述云资源系统还部署有一蜜罐系统，所述方法进一步包括：步骤S1，于所述多个安全日志采集源中提取安全事件日志，并提取所述安全事件日志中记录的第一安全告警事件；步骤S2，根据所述安全事件日志对所述第一安全告警事件添加特征标签，所述特征标签包括时序特征标签，IP地址特征标签和攻击类型特征标签；步骤S3，提取所述蜜罐系统采集的攻击日志数据，并提取所述攻击日志数据中的第二安全告警事件；步骤S4，根据所述时序特征标签判断所述第二安全告警事件发生的时间节点附近是否存在相应的所述第一安全告警事件：若存在，则转向步骤S5；若不存在，则退出；步骤S5，根据所述IP地址特征标签判断所述第二安全告警事件发生的IP地址对应的水平方向IP地址空间是否存在相应的所述第一安全告警事件：若存在，则转向步骤S6；若不存在，则退出；步骤S6，根据所述攻击类型特征标签判断是否存在与所述第二安全告警事件攻击类型相同的所述第一安全告警事件：若存在，则转向步骤S7；若不存在，则退出；步骤S7，采集所述云资源系统中各个应用程序与IP地址之间对应关系，并根据所述对应关系为所述第二告警事件添加详细的业务描述和全面基础信息，随后作为所述蜜罐系统告警进行输出。优选地，其中，所述多个安全日志采集源包括一业务系统和至少一个网络安全设备，所述安全事件日志包括从所述网络安全设备中采集的网络安全日志和从所述业务系统中采集的操作系统日志。优选地，其中，所述第一安全告警事件包括从所述网络安全日志中提取的攻击告警内容，以及从所述操作系统日志提取的攻击与异常登录尝试内容。优选地，其中，所述网络安全日志为IPS、和/或IDS、和/或WAF、和/或FW安全防护设备日志。优选地，其中，所述蜜罐系统由多个蜜罐节点组成，所述蜜罐节点通过虚拟机的方式部署于所述业务系统中。一种蜜罐系统告警输出系统，其中，提供一云资源系统，所述云资源系统中包括多个安全日志采集源，所述云资源系统还部署有一蜜罐系统，所述告警输出系统进一步包括：第一提取模块，连接所述多个安全日志采集源，用以于所述多个安全日志采集源中提取安全事件日志，并提取所述安全事件日志中记录的第一安全告警事件；标记模块，连接所述第一提取模块，用于根据所述安全事件日志对所述第一安全告警事件添加特征标签，所述特征标签包括时序特征标签，IP地址特征标签和攻击类型特征标签；第二提取模块，连接所述蜜罐系统，用于提取所述蜜罐系统采集的攻击日志数据，并提取所述攻击日志数据中的第二安全告警事件；匹配模块，连接所述第二提取模块和所述标记模块，用以于所述第二安全告警事件发生的时间节点附近存在相应的所述第一安全告警事件，且所述第二安全告警事件发生的IP地址对应的水平方向IP地址空间存在相应的所述第一安全告警事件，且存在与所述第二安全告警事件攻击类型相同的所述第一安全告警事件时，将所述第二安全告警事件输出为第一匹配数据。采集模块，连接所述云资源系统，用于采集所述云资源系统中各个应用程序与IP地址之间对应关系；输出模块，连接所述匹配模块和所述采集模块，用于根据所述对应关系为所述第一匹配数据添加详细的业务描述和全面基础信息，随后作为所述蜜罐系统告警进行输出。优选地，其中，所述多个安全日志采集源包括一业务系统和至少一个网络安全设备，所述安全事件日志包括从所述网络安全设备中采集的网络安全日志和从所述业务系统中采集的操作系统日志。优选地，其中，所述第一安全告警事件包括从所述网络安全日志中提取的攻击告警内容，以及从所述操作系统日志提取的攻击与异常登录尝试内容。优选地，其中，所述网络安全日志为IPS、和/或IDS、和/或WAF、和/或FW安全防护设备日志。优选地，其中，所述蜜罐系统由多个蜜罐节点组成，所述蜜罐节点通过虚拟机的方式部署于所述业务系统中。上述技术方案的有益效果在于：提供一种提升蜜罐系统告警输出精准性的方法及系统，通过将蜜罐系统输出的安全告警事件分别与多源安全数据进行匹配，以破除各网络安全设备之间信息孤岛，实现信息联动，提高蜜罐系统告警输出的精准性，避免网络安全事件响应处置中的不必要的人力资源浪费，提高安全事件的快速处置能力。附图说明图1是本专利技术的较佳实施例中，一种提升蜜罐系统告警输出精准性的方法的步骤流程示意图；图2是本专利技术的较佳实施例中，一种蜜罐系统告警输出系统的结构示意图。具体实施方式下面将结合本专利技术实施例中的附图，对本专利技术实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本专利技术一部分实施例，而不是全部的实施例。基于本专利技术中的实施例，本领域普通技术人员在没有作出创造性劳动的前提下所获得的所有其他实施例，都属于本专利技术保护的范围。需要说明的是，在不冲突的情况下，本专利技术中的实施例及实施例中的特征可以相互组合。下面结合附图和具体实施例对本专利技术作进一步说明，但不作为本专利技术的限定。一种提升蜜罐系统告警输出精准性的方法，其中，提供一云资源系统，云资源系统中包括多个安全日志采集源，云资源系统还部署有一蜜罐系统，方法进一步包括：步骤S1，于多个安全日志采集源中提取安全事件日志，并提取安全事件日志中记录的第一安全告警事件；步骤S2，根据安全事件日志对第一安全告警事件本文档来自技高网...

【技术保护点】
1.一种提升蜜罐系统告警输出精准性的方法，其特征在于，提供一云资源系统，所述云资源系统中包括多个安全日志采集源，所述云资源系统还部署有一蜜罐系统，所述方法进一步包括：/n步骤S1，于所述多个安全日志采集源中提取安全事件日志，并提取所述安全事件日志中记录的第一安全告警事件；/n步骤S2，根据所述安全事件日志对所述第一安全告警事件添加特征标签，所述特征标签包括时序特征标签，IP地址特征标签和攻击类型特征标签；/n步骤S3，提取所述蜜罐系统采集的攻击日志数据，并提取所述攻击日志数据中的第二安全告警事件；/n步骤S4，根据所述时序特征标签判断所述第二安全告警事件发生的时间节点附近是否存在相应的所述第一安全告警事件：/n若存在，则转向步骤S5；/n若不存在，则退出；/n步骤S5，根据所述IP地址特征标签判断所述第二安全告警事件发生的IP地址对应的水平方向IP地址空间是否存在相应的所述第一安全告警事件：/n若存在，则转向步骤S6；/n若不存在，则退出；/n步骤S6，根据所述攻击类型特征标签判断是否存在与所述第二安全告警事件攻击类型相同的所述第一安全告警事件：/n若存在，则转向步骤S7；/n若不存在，则退出；/n步骤S7，采集所述云资源系统中各个应用程序与IP地址之间对应关系，并根据所述对应关系为所述第二告警事件添加详细的业务描述和全面基础信息，随后作为所述蜜罐系统告警进行输出。/n...

【技术特征摘要】
1.一种提升蜜罐系统告警输出精准性的方法，其特征在于，提供一云资源系统，所述云资源系统中包括多个安全日志采集源，所述云资源系统还部署有一蜜罐系统，所述方法进一步包括：
步骤S1，于所述多个安全日志采集源中提取安全事件日志，并提取所述安全事件日志中记录的第一安全告警事件；
步骤S2，根据所述安全事件日志对所述第一安全告警事件添加特征标签，所述特征标签包括时序特征标签，IP地址特征标签和攻击类型特征标签；
步骤S3，提取所述蜜罐系统采集的攻击日志数据，并提取所述攻击日志数据中的第二安全告警事件；
步骤S4，根据所述时序特征标签判断所述第二安全告警事件发生的时间节点附近是否存在相应的所述第一安全告警事件：
若存在，则转向步骤S5；
若不存在，则退出；
步骤S5，根据所述IP地址特征标签判断所述第二安全告警事件发生的IP地址对应的水平方向IP地址空间是否存在相应的所述第一安全告警事件：
若存在，则转向步骤S6；
若不存在，则退出；
步骤S6，根据所述攻击类型特征标签判断是否存在与所述第二安全告警事件攻击类型相同的所述第一安全告警事件：
若存在，则转向步骤S7；
若不存在，则退出；
步骤S7，采集所述云资源系统中各个应用程序与IP地址之间对应关系，并根据所述对应关系为所述第二告警事件添加详细的业务描述和全面基础信息，随后作为所述蜜罐系统告警进行输出。


2.根据权利要求1所述的提升蜜罐系统告警输出精准性的方法，其特征在于，所述多个安全日志采集源包括一业务系统和至少一个网络安全设备，所述安全事件日志包括从所述网络安全设备中采集的网络安全日志和从所述业务系统中采集的操作系统日志。


3.根据权利要求2所述的提升蜜罐系统告警输出精准性的方法，其特征在于，所述第一安全告警事件包括从所述网络安全日志中提取的攻击告警内容，以及从所述操作系统日志提取的攻击与异常登录尝试内容。


4.根据权利要求2所述的提升蜜罐系统告警输出精准性的方法，其特征在于，所述网络安全日志为IPS、和/或IDS、和/或WAF、和/或FW安全防护设备日志。


5.根据权利要求2所述的提升蜜罐系统告警输出精准性的方法，其特征在于，所述蜜罐系统由多个蜜罐节点组成，所述蜜罐节点...

【专利技术属性】
技术研发人员：张旗斌，金鑫，陈浩波，孙献平，吴儒俊，徐彬彬，周璐，姚亮，范峥，
申请(专利权)人：中国电信集团工会上海市委员会，中国电信股份有限公司上海分公司，
类型：发明
国别省市：上海;31