一种面向云原生的API诱捕溯源方法及系统技术方案

本发明专利技术公开了一种面向云原生的API诱捕溯源方法及系统。本方法为：1)针对云环境所涉及的容器及其编排的云组件的API脆弱点，分别设计针对kubernetes的应用层API诱饵和针对docker的应用层API诱饵，并将各应用层API诱饵部署到蜜罐系统中；2)根据每一应用层API诱饵的当前被访问频率和历史被访问频率，更新对应的应用层API诱饵的优先度；3)对各应用层API诱饵的优先度进行排序，并设置优先度值最大的前N个应用层API诱饵为开启状态，将剩余应用层API诱饵都设置为关闭状态；4)记录攻击者进入蜜罐系统后产生的日志，根据日志生成攻击者入侵后在云环境内网中留下的活动日志记录，对攻击者进行溯源。击者进行溯源。击者进行溯源。

【技术实现步骤摘要】
一种面向云原生的API诱捕溯源方法及系统


[0001]本专利技术属于计算机网络安全领域，涉及一种面向云原生的API诱捕溯源方法及系统，是针对云原生的API攻击诱捕框架，根据不同的云服务层次特点分别构造了相应的API诱饵及高交互诱捕环境。

技术介绍

[0002]随着云计算、大数据、物联网、移动互联网等新兴技术的快速发展，API(Application Programming Interface，应用程序接口)作为连接服务和传输数据的核心通道，需求量急剧增长，API无处不在。根据Postma的监测数据显示，API已经在全球范围内被充分接受，并且呈现出持续增长的趋势。2021年，通过Postman平台的API通信遍布全球不同国家，较同期增长56％。2019到2020年间，谷歌云的Apigee平台观察到其平台中的API通信流量增长了46％，达到2.21万亿。API正成为Internet上新兴的、最重要的信息基础设施。API承载着企业核心业务逻辑和敏感数据，API巨大价值的背后同时也隐藏着不可忽视的安全风险，相较于传统Web页面，API承载的数据价值更大，攻击成本更低。现阶段API的增速与API安全发展的不平衡，使得API成为企业安全建设中最薄弱的环节之一。Gartner在《Hype Cycle for Application Security,2022》(2022年应用安全技术成熟度曲线)报告中再次阐明API作为企业数字化转型的重要基础设施已逐渐成为攻击者的主要攻击目标。API面临的不仅仅是传统的Web攻击，如SQL注入、命令执行等，更多是业务层面的攻击，包括：信息拖取、越权攻击、参数遍历、暴力破解、撞库攻击等。Gartner也曾预测，到2022年，API滥用将成为导致企业Web应用程序数据泄露的最常见攻击媒介，甚至在2024年API安全问题引起的数据泄露风险将翻倍。Akamai在报告《Enemy at the Gates:Analyzing Attacks on Financial Services》中指出，2022年针对金融服务的应用程序和API攻击增长了3.5倍。

技术实现思路

[0003]针对上述问题，本专利技术提出了一种针对云原生的API诱捕溯源方法及系统，根据不同的云服务层次特点分别构造了相应的API诱饵及高交互诱捕环境。
[0004]为达上述目的，本专利技术采取的具体技术方案是：
[0005]一种针对云原生的API诱捕溯源方法，包括以下步骤：
[0006]1)针对云环境下涉及到容器及其编排的云组件的API脆弱点，分别设计了针对kubernetes和docker的API诱饵，包括云环境所涉及的容器中的API脆弱点以及容器编排的云组件的API脆弱点；kubernetes和docker是云原生技术的代表，Kubernetes是一个开源的容器编排平台，可以自动完成在部署、管理和扩展容器化；Docker是一个开源的容器引擎，二者已经广泛运用于公有云、私有云和混合云中。针对kubernetes环境下的服务账户凭证易被攻击者用于API Server通信的问题，设计了Service Account凭证诱饵并放置在工作节点的容器环境中；针对kubelet组件在不安全配置的情况下可能被攻击者用于接管节点的情况，设置kubelet配置允许未授权用户向工作节点kubelet API下发命令，设置完成后
该组件作为作为kubelet诱饵；针对docker的不安全配置容易导致攻击者远程控制节点的情况，将工作节点上docker守护进程的API作为docker API诱饵暴露在公网上来吸引攻击者。将各所述应用层API诱饵部署到蜜罐系统中。
[0007]2)在应用层上，该场景下的API安全问题和具体的应用软件相关，选取了危害性较大且利用频率较高API漏洞，所使用的API漏洞如表1所示。通过docker将API漏洞应用程序封装来构建对应的高交互应用层API诱饵。最后将这些应用层API诱饵部署在工作节点的kubernetes中并暴露在公网上。
[0008]表1为应用层API诱饵
[0009][0010]3)提出基于当前网络流量的动态调度算法，在充分利用物理资源的同时最大化捕获效果。动态调度算法由控制节点实施，会综合考虑每个应用层API诱饵的当前被访问频率和历史被访问频率，根据给定的权重和衰减率来更新每个应用层API诱饵的优先度，然后根据应用层API诱饵的优先度大小进行排序，并设置前N个应用层API诱饵为开启状态，将剩下的应用层API诱饵都设置为关闭状态，N的取值由系统管理员设置，最大不超过应用层API诱饵的总数。调度器接收到重定向器发送来的信息时，会将其记作对应应用层API诱饵的一次访问。每隔一段时间，调度器会根据每个应用层API诱饵在这段时间内的被访问次数来计算当前访问频率，并根据当前访问频率fnow，诱饵历史最高访问频率fhis，诱饵权重w和优先度衰减率l计算得到应用层API诱饵的优先度p，公式如下：
[0011][0012]其中，诱饵当前访问频率fnow和应用层API诱饵历史最高访问频率fhis由调度器计算得出，诱饵权重w和优先度衰减率l均由系统管理员设置。诱饵权重w代表系统管理员对不同漏洞的重视程度，由于fhis只会增加且大于等于0，因此w越大，fhis变化时对p的影响越大；衰减率l代表当诱饵当前访问频率降低时优先度的降低程度，衰减率越高，fnow降低时对p的影响越大，诱饵更容易被调度算法关停。默认条件下每个应用层API诱饵的权重和优先度衰减值均相同，系统管理员可以根据不同应用层API诱饵所代表漏洞的严重程度进行自定义调整。
[0013]动态调度算法的伪代码描述如下：
[0014][0015][0016]4)在攻击者进入蜜罐系统并留下攻击日志后，系统根据Kubernetes中控制节点API Server的日志和工作节点的日志生成聚合日志。在获取到API Server日志和工作节点日志后，系统将日志按照时间关系进行聚合，最终生成攻击者入侵后在云环境内网中留下的活动日志记录，以供后续分析，即蜜罐管理者通过查阅日志对攻击者进行溯源。
[0017]本专利技术还提供了一种面向云原生的API诱捕溯源系统，其特征在于，包括API诱饵生成模块和蜜罐系统，所述蜜罐系统包括控制节点和工作节点；
[0018]所述API诱饵生成模块，用于针对云环境所涉及的容器及其编排的云组件的API脆弱点，分别设计针对kubernetes的应用层API诱饵和针对docker的应用层API诱饵；并将所述应用层API诱饵部署到对应工作节点中；
[0019]所述控制节点，用于根据每一应用层API诱饵的当前被访问频率和历史被访问频率，更新对应的应用层API诱饵的优先度；然后对各应用层API诱饵的优先度进行排序，并设置优先度值最大的前N个应用层API诱饵为开启状态，将剩下的应用层API诱饵都设置为关闭状态；记录攻击者进入所述蜜罐系统后产生的日志，根据所述日志生成攻击者入侵后在云环境内网中留下的活动日志记录，对攻击者进行本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种面向云原生的API诱捕溯源方法，其步骤包括：1)针对云环境所涉及的容器及其编排的云组件的API脆弱点，分别设计针对kubernetes的应用层API诱饵和针对docker的应用层API诱饵，并将各所述应用层API诱饵部署到蜜罐系统中；2)根据每一应用层API诱饵的当前被访问频率和历史被访问频率，更新对应的应用层API诱饵的优先度；3)对各应用层API诱饵的优先度进行排序，并设置优先度值最大的前N个应用层API诱饵为开启状态，将剩下的应用层API诱饵都设置为关闭状态；4)记录攻击者进入所述蜜罐系统后产生的日志，根据所述日志生成攻击者入侵后在云环境内网中留下的活动日志记录，对攻击者进行溯源。2.根据权利要求1所述的方法，其特征在于，所述优先度其中，fnow为应用层API诱饵的当前访问频率，fhis为应用层API诱饵历史最高访问频率，w为应用层API诱饵的权重，l为优先度衰减率。3.根据权利要求1所述的方法，其特征在于，所述日志包括Kubernetes中控制节点的日志和工作节点的日志。4.根据权利要求1或2或3所述的方法，其特征在于，根据Kubernetes中控制节点的日志和工作节点的日志生成聚合日志，然后将各日志按照时间关系进行聚合，生成攻击者入侵后在云环境内网中留下的活动日志记录。5.根据权利要求1或2或3所述的方法，其特征在于，所述API诱饵包括：针对kubernetes环境下的服务账户凭证易被攻击者用于API Server通信的问题，设计Service Account凭证诱饵并放置在工作节点的容器中；针对kubelet组件在不安全配置的情况易被攻击者用于接管节点的情况，通过设置kubelet配置允许未授权用户向当前节点kubelet API下发命令来，得到kubelet诱饵；针对docker的不安全配置容易导致攻击者远程控制节点的情况，将工作节点上docker守护进程的API作为docker API诱饵暴露在公网上来吸引攻击者。6.一种面向云原生的AP...

【专利技术属性】
技术研发人员：谭儒，陈庆旺，刘奇旭，张方娇，何松林，李香龙，陈星辰，靳泽，
申请(专利权)人：中国科学院信息工程研究所，
类型：发明
国别省市：