本发明专利技术公开一种基于蜜罐诱捕攻击行为分析的自动化防御方法及系统,涉及计算机网络安全领域,现有技术中存在传统安全设备大多采用被动防御,传统蜜罐没有主动处置机制,并且处置方式只有永久放行或封禁,比较固化的问题,本发明专利技术首先利用蜜罐诱捕攻击行为生成日志传输到自动化防御处置引擎;然后自动化防御处置引擎对日志分类处理获得IP地址,对IP地址进行第一轮匹配,再将经过第一轮匹配的IP地址进行第二轮匹配,依据匹配结果输出相应处置等级策略,最后将相应处置等级策略输出到安全设备进行IP地址封禁操作;本发明专利技术提高了网络安全防护的效率和实时性,并且减少人为干预,提高企业安全防护的等级。安全防护的等级。安全防护的等级。
【技术实现步骤摘要】
基于蜜罐诱捕攻击行为分析的自动化防御方法和系统
[0001]本专利技术涉及计算机网络安全领域,具体涉及基于蜜罐诱捕攻击行为分析的自动化防御方法及系统。
技术介绍
[0002]近年计算机网络高速发展,现有的蜜罐技术和网络安全设备相互独立运行,应对黑客攻击和入侵已显得捉襟见肘,而蜜罐技术本质上是利用提前布置一些具有漏洞和缺陷的系统、服务或者信息作为诱饵,诱使攻击者对蜜罐实施攻击,蜜罐对攻击行为进行捕获、记录、分析等日志信息。蜜罐技术的采用仅仅停留在数据收集,记录攻击者的每一个数据包和行为,本质上是一个很好的威胁情报数据来源,因此如果将蜜罐产生的大量攻击日志处理后交给安全设备进行自动化的处置,则可提高网络安全防护的效率和实时性,减少人为干预,提高企业安全防护的等级。除此以外,传统安全设备对攻击行为的处置方式比较固化,只有永久封禁或者永久通行两种处置方式,有时候容易产生误判而产生永久封禁,显然是不够灵活的。
[0003]目前现有技术方案存在以下缺点:1. 传统蜜罐技术和安全设备相互独立运行,缺少交互联动机制。
[0004]2. 蜜罐技术单独使用仅能捕获攻击者的主动攻击和提供一定的溯源攻击的信息,攻击信息仅能手工收集和分析后才应用到安全设备上手工配置相应的防护策略,没有自动化的效率和防护实时性。
[0005]3. 当蜜罐发现攻击行为传统处置方式不够精细,往往采取永久封禁或放行的方式。
技术实现思路
[0006]为了解决上述现有技术中存在的问题,本专利技术拟提供了基于蜜罐诱捕攻击行为分析的自动化防御方法及系统,拟解决现有技术中传统安全设备大多采用被动防御,传统蜜罐没有主动处置机制,并且处置方式只有永久放行或封禁,比较固化的问题。
[0007]基于蜜罐诱捕攻击行为分析的自动化防御方法,包括如下步骤:步骤 1:蜜罐诱捕攻击行为生成日志再传输到自动化防御处置引擎;步骤2:自动化防御处置引擎对日志分类处理获得IP地址;步骤3:自动化防御处置引擎对步骤2所得IP地址进行第一轮匹配;步骤4:自动化防御处置引擎将步骤3中经过第一轮匹配的IP地址进行第二轮匹配,最后输出相应处置等级策略;步骤5:自动化防御处置引擎将步骤4输出的相应处置等级策略输出到安全设备进行IP地址封禁操作。
[0008]优选的,在所述步骤1中 首先利用蜜罐诱捕各类恶意攻击;然后蜜罐判定是否为攻击行为,若判定是攻击行为则将攻击日志传输到自动化防御处置引擎,若判定不是攻击
行为则进行忽略处理。
[0009]优选的,在所述步骤2中自动化防御处置引擎将蜜罐传输的攻击日志进行提取分类,获取攻击者的IP地址和端口信息。
[0010]优选的,在所述步骤3中根据IP地址进行白名单判定,若IP地址已存在白名单中,将进行忽略处置;如IP地址不存在白名单中,将进行步骤4判定。
[0011]优选的,所述步骤4包括如下步骤:步骤4.1:根据IP地址进行IP地址归属地匹配,判定是否为境外IP地址;若IP地址不是境外地址即境内IP地址,则判定为level1等级,处置该IP地址封禁m小时;若IP地址为境外IP地址,则判定为level2等级,处置该IP地址封禁n小时,其中m的优选范围为2
‑
3,n的优选范围为20
‑
24;步骤4.2:基于步骤4.1处理过的IP地址进行第三方威胁情报库匹配,若IP地址命中第三方威胁情报库相同记录,则判定为level3等级,处置该IP地址封禁p小时;若IP地址未命中第三方威胁情报库相同记录,则维持步骤4.1生成的处置等级策略,其中p的优选范围为120
‑
168;步骤4.3:基于步骤4.2处理过的IP地址匹配自动化防御处置引擎已处置的记录列表,若IP地址已有q次被处置记录,证明已是多次攻击,则判定为level4等级,处置该IP地址永久封禁;若IP地址处置记录未达q次,则维持步骤4.2生成的处置等级策略,其中q的优选范围为1
‑
3。
[0012]优选的,在所述步骤5中自动化防御处置引擎将IP地址和端口信息以及步骤4所得与IP地址相对应的处置等级策略输出到安全设备,安全设备进行相应的IP地址封禁操作。
[0013]基于蜜罐诱捕攻击行为分析的自动化防御系统,包括蜜罐模块,自动化防御处置引擎模块,安全设备模块,依次连接,其中自动化防御处置引擎模块将蜜罐模块生成的日志进行处理生成相应等级策略传输到安全设备模块中,安全设备模块进行相应的地址封禁操作。
[0014]优选的,所述自动化防御处置模块包括蜜罐日志处理模块、白名单匹配模块,IP地址匹配模块,安全策略生成模块,依次连接。
[0015]优选的,所述IP地址匹配模块包括IP地址归属地数据库、第三方威胁情报库。
[0016]优选的,所述安全策略生成模块包括历史处理数据库。
[0017]本专利技术的有益效果包括:1.传统蜜罐设备和安全设备相互独立运行,缺少交互联动机制,本专利技术使二者联动起来,自动化分析处理,效率更高。
[0018]2.传统安全设备往往采用被动防御的方式,本专利技术结合蜜罐联动可以达到真实业务系统主动防御的效果。恶意攻击者还未对真实业务系统产生威胁的时候,已经进行主动防御。
[0019]3.传统蜜罐仅记录攻击行为的日志和朔源信息,没有主动处置机制,本专利技术将蜜罐的日志信息充分利用作为处置方法的依据。
[0020]4.传统安全处置比较固化,往往采取永久封禁或放行的方式,本专利技术处置方法精细化,具体情况具体分析更加灵活。
附图说明
[0021]图1为本申请实施例1提供的基于蜜罐诱捕攻击行为分析的自动化防御方法流程示意图。
[0022]图2 为本申请实施例1涉及的IP地址归属地匹配效果图。
[0023]图3为本申请实施例1涉及的第三方威胁情报库匹配效果图。
[0024]图4为本申请实施例1涉及的第三方威胁情报库匹配效果图。
[0025]图5为本申请实施例2提供的基于蜜罐诱捕攻击行为分析的自动化防御系统结构示意图。
具体实施方式
[0026]为使本申请实施例的目的、技术方案和优点更加清楚,下面将结合本申请实施例中附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅是本申请一部分实施例,而不是全部的实施例。因此,以下对在附图中提供的本申请的实施例的详细描述并非旨在限制要求保护的本申请的范围,而是仅仅表示本申请的选定实施例。基于本申请的实施例,本领域技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本申请保护的范围。
[0027]实施例1下面参照附图1对本专利技术的具体实施例做详细的说明;基于蜜罐诱捕攻击行为分析的自动化防御方法,包括以下步骤:步骤1:蜜罐诱捕攻击行为生成日志传输到自动化防御处置引擎;首先利用蜜罐诱捕各类恶意攻击;然后蜜罐判定是否为攻击行为,若判定是攻击行为则将攻击日志传输到自动化防御处置引擎,若判定不是攻击行为则进行忽略处理。
[00本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.基于蜜罐诱捕攻击行为分析的自动化防御方法,其特征在于,包括如下步骤:步骤 1:蜜罐诱捕攻击行为生成日志再传输到自动化防御处置引擎;步骤2:自动化防御处置引擎对日志分类处理获得IP地址;步骤3:自动化防御处置引擎对步骤2所得IP地址进行第一轮匹配;步骤4:自动化防御处置引擎将步骤3中经过第一轮匹配的IP地址进行第二轮匹配,最后输出相应处置等级策略;步骤5:自动化防御处置引擎将步骤4输出的相应处置等级策略输出到安全设备进行IP地址封禁操作。2.根据权利要求1所述的基于蜜罐诱捕攻击行为分析的自动化防御方法,其特征在于,在所述步骤1中首先利用蜜罐诱捕各类恶意攻击;然后蜜罐判定是否为攻击行为,若判定是攻击行为则将攻击日志传输到自动化防御处置引擎,若判定不是攻击行为则进行忽略处理。3.根据权利要求1所述的基于蜜罐诱捕攻击行为分析的自动化防御方法,其特征在于,在所述步骤2中自动化防御处置引擎将蜜罐传输的攻击日志进行提取分类,获取攻击者的IP地址和端口信息。4.根据权利要求1所述的基于蜜罐诱捕攻击行为分析的自动化防御方法,其特征在于,在所述步骤3中根据IP地址进行白名单判定,若IP地址已存在白名单中,将进行忽略处置;如IP地址不存在白名单中,将进行步骤4判定。5.根据权利要求1所述的基于蜜罐诱捕攻击行为分析的自动化防御方法,其特征于,所述步骤4包括如下步骤:步骤4.1:根据IP地址进行IP地址归属地匹配,判定是否为境外IP地址;若IP地址不是境外地址即境内IP地址,则判定为level1等级,处置该IP地址封禁m小时;若IP地址为境外IP地址,则判定为level2等级,处置该IP地址封禁n小时,其中0<m<n;步骤4.2...
【专利技术属性】
技术研发人员:杨凌潇,王进杰,辜雅莲,
申请(专利权)人:四川新网银行股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。