本发明专利技术涉及网络安全技术领域,具体涉及一种蜜罐攻击阶段分析与聚合系统的方法,方法内容包括首先蜜罐日志模块将蜜罐的攻击日志与数据进行采集与格式化输出蜜罐攻击数据;然后根据预设的标记规则,对输出的蜜罐攻击数据进行标记并输出蜜罐标记数据;然后攻击聚合分析模块对蜜罐标记数据进行聚合分析,通过聚合分析攻击阶段,将攻击IP的是数据进行采集、标记等工作,根据数据进行聚合分析,能有有效的快速得出全阶段的攻击,从而可以有效、高效地分析出本轮攻击的过程与攻击手段。析出本轮攻击的过程与攻击手段。析出本轮攻击的过程与攻击手段。
【技术实现步骤摘要】
一种蜜罐攻击阶段分析与聚合系统的方法
[0001]本专利技术涉及网络安全
,具体涉及一种蜜罐攻击阶段分析与聚合系统的方法。
技术介绍
[0002]随着计算机技术的发展,信息网络已经成为社会发展的重要保证,为此保证信息网络安全至关重要,因此针对网络上各种攻击手段需制定相应防护手段以免遭受到网络攻击。蜜罐技术被大量采用到网络安全技术中。蜜罐技术本质上是一种对攻击方进行欺骗的技术,通过布置一些作为诱饵的主机、网络服务或者信息,诱使攻击方对它们实施攻击,从而可以对攻击行为进行捕获和分析,了解攻击方所使用的工具与方法,推测攻击意图和动机,能够让防御方清晰地了解他们所面对的安全威胁。但由于蜜罐系统每时每刻都会收集海量的攻击数据,而想从中分析出有效的数据信息是十分困难的需要了解的是,攻击诱捕中,攻击者往往会通过不断变更IP地址来扰乱攻击的分析,使得获取到的攻击数据杂乱无章,难以分析及得出有益的结论。
技术实现思路
[0003]为解决现有技术存在的攻击诱捕中分析容易被扰乱,难以得出有益结论等不足,本专利技术提供了一种蜜罐攻击阶段分析与聚合系统的方法。
[0004]本专利技术的技术方案为:分析与聚合系统包括蜜罐日志模块、攻击阶段标记模块和攻击聚合分析模块;蜜罐攻击阶段分析与聚合系统的方法包括如下步骤:S1.所述蜜罐日志模块将蜜罐的攻击日志与数据进行采集与格式化输出蜜罐攻击数据;S2.根据预设的标记规则,对所述S1步骤中输出的蜜罐攻击数据进行标记,输出蜜罐标记数据;S3.选择需要进行分析的攻击IP;S4.所述攻击聚合分析模块对步骤S2的蜜罐标记数据进行聚合分析。
[0005]进一步,所述步骤S1中的攻击日志与数据包括:流量数据日志、登录日志和蜜罐应用日志。
[0006]进一步,所述步骤S1中格式化输出的蜜罐攻击数据格式包括:【攻击IP,攻击类型,攻击时间】。
[0007]进一步,所述S2步骤中的标记包括:探测扫描标记、渗透攻击标记、攻陷蜜罐标记、后门远控标记、跳板攻击标记。
[0008]进一步,所述S2步骤中的蜜罐标记数据格式包括:【攻击IP,攻击标记,攻击时间】。
[0009]进一步,所述步骤S4中的聚合分析包括:标记缺失分析、攻击聚合分析。
[0010]进一步,所述的标记缺失分析包括:查询攻击IP对所有攻击标记数据;根据攻击IP
的攻击标记数据得出攻击阶段标记缺失数据。
[0011]更进一步,所述的聚合分析包括:根据缺失的阶段标记、根据攻击的连续性规则查询、分析与关联相关的攻击数据及攻击IP。
[0012]本专利技术所达到的有益效果为:本专利技术通过聚合分析攻击阶段,将攻击IP的是数据进行采集、标记等工作,根据缺失的阶段标记、根据攻击的连续性规则查询、分析与关联相关的攻击数据进行聚合分析,能有有效的快速得出全阶段的攻击,从而可以有效、高效地分析出本轮攻击的过程与攻击手段。
附图说明
[0013]图1是本专利技术其中一实施例的蜜罐攻击阶段分析与聚合系统的模块关系示意框图;图2是本专利技术的其中一实施例的蜜罐攻击阶段分析与聚合系统的方法步骤框图;图3是本专利技术的实施例1的聚合分析蜜罐攻击数据示意图;图4是本专利技术的实施例1的聚合分析蜜罐标记数据示意图。
具体实施方式
[0014]为便于本领域的技术人员理解本专利技术,下面结合附图说明本专利技术的具体实施方式。
[0015]下面将结合本专利技术实施例中的附图,对本专利技术实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本专利技术一部分实施例,而不是全部的实施例。基于本专利技术中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本专利技术保护的范围。
[0016]除非另有定义,本文所使用的所有的技术和科学术语与属于本专利技术的
的技术人员通常理解的含义相同。本文中在本专利技术的说明书中所使用的术语只是为了描述具体的实施例的目的,不是旨在于限制本专利技术。本文所使用的术语“或/及”包括一个或多个相关的所列项目的任意的和所有的组合。
[0017]如图1所示,本专利技术提供了一种蜜罐攻击阶段分析与聚合系统,系统包括三个模块:蜜罐日志模块、攻击阶段标记模块和攻击聚合分析模块。
[0018]本实施例中的蜜罐攻击阶段分析与聚合系统的工作方法包括以下内容:首先蜜罐日志模块将蜜罐的攻击日志与数据进行采集与格式化输出蜜罐攻击数据;上述内容中攻击日志与数据包括:流量数据日志、登录日志和蜜罐应用日志;上述内容中格式化输出的蜜罐攻击数据格式包括:【攻击IP,攻击类型,攻击时间】。
[0019]然后根据预设的标记规则,对输出的蜜罐攻击数据进行标记并输出蜜罐标记数据。
[0020]上述实施例中的攻击数据的标记包括:探测扫描标记、渗透攻击标记、攻陷蜜罐标记、后门远控标记、跳板攻击标记。
[0021]上述实施例中的蜜罐标记数据格式包括:【攻击IP、攻击标记、攻击时间】。
[0022]然后用户选择需要进行分析的攻击IP;然后攻击聚合分析模块对蜜罐标记数据进行聚合分析,聚合分析包括:标记缺失分析;攻击聚合分析。
[0023]本实施例中,上述的标记缺失分析包括:(1)查询攻击IP对所有攻击标记数据。(2)根据攻击IP的攻击标记数据,得出攻击阶段标记缺失数据。
[0024]本实施例中,上述的攻击聚合分析包括:根据缺失的阶段标记,根据攻击的连续性规则查询、分析与关联相关的攻击数据与攻击IP。
[0025]本专利技术通过聚合分析攻击阶段,将攻击IP聚合分析,得出全阶段的攻击,从而可以有效、高效地分析出本轮攻击的过程与攻击手段。
[0026]综上所述:如图2所示,本实施例所公开的蜜罐攻击阶段分析与聚合系统的工作方法包括如下步骤:S1.所述蜜罐日志模块将蜜罐的攻击日志与数据进行采集与格式化输出蜜罐攻击数据;S2.根据预设的标记规则,对所述S1步骤中输出的蜜罐攻击数据进行标记,输出蜜罐标记数据;S3.用户选择需要进行分析的攻击IP;S4.所述攻击聚合分析模块对所述步骤S2的蜜罐标记数据进行聚合分析;结合上述步骤举例实施例1:如图3所示,设置有攻击IP
‑
A、攻击IP
‑
B、攻击IP
‑
C、攻击IP
‑
D、攻击IP
‑
F对蜜罐进行攻击。
[0027]所述蜜罐日志模块对蜜罐的攻击日志与数据进行采集分析,生成蜜罐攻击数据。具体有:【攻击IP
‑
A,端口扫描事件,2020
‑
08
‑
0800:00:00】【攻击IP
‑
A,XX漏洞利用事件,2020
‑
08
‑
0800:00:00】【攻击IP
‑
F,Webshell上传事件,2020
‑
08
‑
0800:00:00】【攻击IP
‑
B,横向攻击事件,202本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种蜜罐攻击阶段分析与聚合系统的方法,其特征在于:分析与聚合系统包括蜜罐日志模块、攻击阶段标记模块和攻击聚合分析模块;蜜罐攻击阶段分析与聚合系统的方法包括如下步骤:S1.所述蜜罐日志模块将蜜罐的攻击日志与数据进行采集与格式化输出蜜罐攻击数据;S2.根据预设的标记规则,对所述S1步骤中输出的蜜罐攻击数据进行标记,输出蜜罐标记数据;S3.选择需要进行分析的攻击IP;S4.所述攻击聚合分析模块对步骤S2的蜜罐标记数据进行聚合分析。2.根据权利要求1所述的一种蜜罐攻击阶段分析与聚合系统的方法,其特征在于:所述步骤S1中的攻击日志与数据包括:流量数据日志、登录日志和蜜罐应用日志。3.根据权利要求1所述的一种蜜罐攻击阶段分析与聚合系统的方法,其特征在于:所述步骤S1中格式化输出的蜜罐攻击数据格式包括:【攻击IP,攻击类型,攻击时间】。4.根据权利要求1所述的一种蜜罐攻击阶段分...
【专利技术属性】
技术研发人员:成凯,吴湛,邹澄澄,谈林涛,肖冬玲,
申请(专利权)人:国家电网公司华中分部,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。