【技术实现步骤摘要】
一种基于蜜罐威胁数据的攻击场景重构方法
本专利技术涉及网络安全
,尤其涉及一种基于蜜罐威胁数据的攻击场景重构方法。
技术介绍
计算机网络是通信技术和计算机技术发展到一定程度后相结合的产物,网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不因偶然的或者恶意的原因而遭受到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断,具有保密性、完整性、可用性、可控性、可审查性的特性;目前网络已深入现代生活的各个方面,高度发展的网络技术为人们带来快速便捷的信息交互的同时,基于网络的恶意攻击和窃取行为也愈演愈烈,备受关注的网络安全依然存在着巨大的隐患;攻击者利用网络的快速传播性和广泛互联性,大肆地破坏网络基本性能、侵害用户合法权益,威胁社会和国家的安全与利益,对传统意义上的网络安全措施提出了严峻的考验;目前的攻击场景重构方法难以对威胁数据进行获取和分析,因此也就不能快速准确的重构攻击场景,有待进行改进。
技术实现思路
(一)专利技术目的为解决
技术介绍
中存在的技术问题,本专利技术提出一种基于蜜罐威胁数据的攻击场景重构方法,不仅能够对威胁数据进行获取和分析,还能够基于蜜罐威胁数据来快速有效的重构攻击场景,以此展现出一次攻击行为的整个攻击过程,有助于安全研究人员更好的发现和理解捕获数据中蕴含的攻击场景,使用效果极佳。(二)技术方案本专利技术提出了一种基于蜜罐威胁数据的攻击场景重构方法,包括以下步骤:S1、建立蜜罐系统关键机制并通过蜜罐技术吸引攻击方,实现对攻击方的欺骗 ...
【技术保护点】
1.一种基于蜜罐威胁数据的攻击场景重构方法,其特征在于,包括以下步骤:/nS1、建立蜜罐系统关键机制并通过蜜罐技术吸引攻击方,实现对攻击方的欺骗,即布置作为诱饵的主机、网络服务或信息,以诱使攻击方进行攻击;/nS2、建立安全威胁数据捕获机制以适应在蜜网体系架构中高交互式蜜罐的数据捕获需求,并结合使用Argus、Snort、Pof、Tcpdump和Sebek开源工具,从网络和系统两个方面为进一步分析攻击行为提供全面而丰富的威胁数据;/nS3、对攻击方的攻击行为进行捕获,详细保存捕获信息,并以此建立攻击行为数据库;/nS4、从攻击行为数据库中获取相关数据并应用关联分析方法对数据进行分析,以便了解攻击方所使用的工具和方法,并推测攻击方的攻击意图和动机;/nS5、在安全知识库的支持下并基于获取的安全威胁数据和分析信息,最终识别出攻击方的攻击规划;/nS6、基于攻击方的攻击规划重构出攻击过程场景,以此展现出一次攻击行为的整个攻击过程,以便安全研究人员更好的发现和理解捕获数据中蕴含的攻击场景。/n
【技术特征摘要】
1.一种基于蜜罐威胁数据的攻击场景重构方法,其特征在于,包括以下步骤:
S1、建立蜜罐系统关键机制并通过蜜罐技术吸引攻击方,实现对攻击方的欺骗,即布置作为诱饵的主机、网络服务或信息,以诱使攻击方进行攻击;
S2、建立安全威胁数据捕获机制以适应在蜜网体系架构中高交互式蜜罐的数据捕获需求,并结合使用Argus、Snort、Pof、Tcpdump和Sebek开源工具,从网络和系统两个方面为进一步分析攻击行为提供全面而丰富的威胁数据;
S3、对攻击方的攻击行为进行捕获,详细保存捕获信息,并以此建立攻击行为数据库;
S4、从攻击行为数据库中获取相关数据并应用关联分析方法对数据进行分析,以便了解攻击方所使用的工具和方法,并推测攻击方的攻击意图和动机;
S5、在安全知识库的支持下并基于获取的安全威胁数据和分析信息,最终识别出攻击方的攻击规划;
S6、基于攻击方的攻击规划重构出攻击过程场景,以此展现出一次攻击行为的整个攻击过程,以便安全研究人员更好的发现和理解捕获数据中蕴含的攻击场景。
2.根据权利要求1所述的一种基于蜜罐威胁数据的攻击场景重构方法,其特征在于,在S1中,蜜罐系统关键机制包括核心机制与辅助机制;
其中,核心机制包括欺骗环境构建机制、威胁数据捕获机制和威胁数据分析机制,辅助机制包括安全风险控制机制、配置与管理机制和反蜜罐技术对抗机制。
3.根据权利要求1所述的一种基于蜜罐威胁数据的攻击场景重构方法,其特征在于,蜜罐系统基于分布式架构,支持的网络攻击行为覆盖协议攻击、web攻击、会话攻击、口令攻击,系统采用容器技术实现轻量化虚拟集中管理。
4.根据权利要求1所述的一种基于蜜罐威胁数据的攻击场景重构方法,其特征在于,在S2中,网络层面上,通过Argus监控所有流入和流出蜜网的网络连接记录,使用Snort入侵检测系统,使用Pof被动操作系统辨识...
【专利技术属性】
技术研发人员:陈瑜靓,黄建福,张晶,刘家祥,刘琦,石小川,赵昆杨,
申请(专利权)人:福建奇点时空数字科技有限公司,
类型:发明
国别省市:福建;35
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。