【技术实现步骤摘要】
一种提升蜜罐系统告警输出精准性的方法及系统
本专利技术涉及网络技术与安全
,尤其涉及一种提升蜜罐系统告警输出精准性的方法及系统。
技术介绍
蜜罐系统是指有目的被部署,以用于由恶意软件探测、攻击和盗用,以便发现、识别和特征化这种软件的系统;随着互联网技术的发展,网络扫描、蠕虫与病毒代码的传播以及黑客恶意攻击等使得网络上每台主机随时都可能面临危险,而蜜罐以及蜜罐系统的提出正是为了主动出击研究这位安全威胁而产生,通过收集网络上的攻击活动信息来对这些攻击活动进行监视、检测和分析。现有技术中蜜罐技术种类繁多,但总体上大多是采用被动侦听和诱惑攻击的方式实现,由于在云资源系统环境中安全事件发现能力差,常用安全设备误报警率高,使得蜜罐系统将大量无关业务行为和正常业务行为也作为告警进行输出,基于特征和智能分析的蜜罐系统无法排除大量业务正常访问而触发的误告警情况,进而导致蜜罐系统告警输出的精准性低,需要人工干预的程度高,发生安全事件后无法快速匹配信息和快速处置。
技术实现思路
根据现有技术中存在的上述问题,现提供一种提升蜜罐系统告警输出精准性的方法及系统,通过将蜜罐系统输出的安全告警事件分别与多源安全数据进行匹配,以破除各网络安全设备之间信息孤岛,实现信息联动,提高蜜罐系统告警输出的精准性,避免网络安全事件响应处置中的不必要的人力资源浪费,提高安全事件的快速处置能力。上述技术方案具体包括:一种提升蜜罐系统告警输出精准性的方法,其中,提供一云资源系统,所述云资源系统中包括多个安全日 ...
【技术保护点】
1.一种提升蜜罐系统告警输出精准性的方法,其特征在于,提供一云资源系统,所述云资源系统中包括多个安全日志采集源,所述云资源系统还部署有一蜜罐系统,所述方法进一步包括:/n步骤S1,于所述多个安全日志采集源中提取安全事件日志,并提取所述安全事件日志中记录的第一安全告警事件;/n步骤S2,根据所述安全事件日志对所述第一安全告警事件添加特征标签,所述特征标签包括时序特征标签,IP地址特征标签和攻击类型特征标签;/n步骤S3,提取所述蜜罐系统采集的攻击日志数据,并提取所述攻击日志数据中的第二安全告警事件;/n步骤S4,根据所述时序特征标签判断所述第二安全告警事件发生的时间节点附近是否存在相应的所述第一安全告警事件:/n若存在,则转向步骤S5;/n若不存在,则退出;/n步骤S5,根据所述IP地址特征标签判断所述第二安全告警事件发生的IP地址对应的水平方向IP地址空间是否存在相应的所述第一安全告警事件:/n若存在,则转向步骤S6;/n若不存在,则退出;/n步骤S6,根据所述攻击类型特征标签判断是否存在与所述第二安全告警事件攻击类型相同的所述第一安全告警事件:/n若存在,则转向步骤S7;/n若不存在 ...
【技术特征摘要】
1.一种提升蜜罐系统告警输出精准性的方法,其特征在于,提供一云资源系统,所述云资源系统中包括多个安全日志采集源,所述云资源系统还部署有一蜜罐系统,所述方法进一步包括:
步骤S1,于所述多个安全日志采集源中提取安全事件日志,并提取所述安全事件日志中记录的第一安全告警事件;
步骤S2,根据所述安全事件日志对所述第一安全告警事件添加特征标签,所述特征标签包括时序特征标签,IP地址特征标签和攻击类型特征标签;
步骤S3,提取所述蜜罐系统采集的攻击日志数据,并提取所述攻击日志数据中的第二安全告警事件;
步骤S4,根据所述时序特征标签判断所述第二安全告警事件发生的时间节点附近是否存在相应的所述第一安全告警事件:
若存在,则转向步骤S5;
若不存在,则退出;
步骤S5,根据所述IP地址特征标签判断所述第二安全告警事件发生的IP地址对应的水平方向IP地址空间是否存在相应的所述第一安全告警事件:
若存在,则转向步骤S6;
若不存在,则退出;
步骤S6,根据所述攻击类型特征标签判断是否存在与所述第二安全告警事件攻击类型相同的所述第一安全告警事件:
若存在,则转向步骤S7;
若不存在,则退出;
步骤S7,采集所述云资源系统中各个应用程序与IP地址之间对应关系,并根据所述对应关系为所述第二告警事件添加详细的业务描述和全面基础信息,随后作为所述蜜罐系统告警进行输出。
2.根据权利要求1所述的提升蜜罐系统告警输出精准性的方法,其特征在于,所述多个安全日志采集源包括一业务系统和至少一个网络安全设备,所述安全事件日志包括从所述网络安全设备中采集的网络安全日志和从所述业务系统中采集的操作系统日志。
3.根据权利要求2所述的提升蜜罐系统告警输出精准性的方法,其特征在于,所述第一安全告警事件包括从所述网络安全日志中提取的攻击告警内容,以及从所述操作系统日志提取的攻击与异常登录尝试内容。
4.根据权利要求2所述的提升蜜罐系统告警输出精准性的方法,其特征在于,所述网络安全日志为IPS、和/或IDS、和/或WAF、和/或FW安全防护设备日志。
5.根据权利要求2所述的提升蜜罐系统告警输出精准性的方法,其特征在于,所述蜜罐系统由多个蜜罐节点组成,所述蜜罐节点...
【专利技术属性】
技术研发人员:张旗斌,金鑫,陈浩波,孙献平,吴儒俊,徐彬彬,周璐,姚亮,范峥,
申请(专利权)人:中国电信集团工会上海市委员会,中国电信股份有限公司上海分公司,
类型:发明
国别省市:上海;31
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。