基于反馈调节的欺骗能力演化的蜜阵防御方法及系统技术方案

本发明专利技术公开了一种基于反馈调节的欺骗能力演化的蜜阵防御方法及系统，包括：获取内网中被保护系统的配置，基于配置评估被保护系统的价值；生成蜜点，根据被保护系统的价值部署一定数量的蜜点，部署后的蜜点向蜜阵数据库发送日志和告警；基于日志和告警，对脆弱资产部署蜜庭进行流量代理，将可疑流量引入到蜜点环境中，本发明专利技术可以实现基于反馈调节的欺骗能力演化的蜜阵防御。演化的蜜阵防御。演化的蜜阵防御。

【技术实现步骤摘要】
基于反馈调节的欺骗能力演化的蜜阵防御方法及系统


[0001]本专利技术涉及蜜阵防御领域，尤其是涉及一种基于反馈调节的欺骗能力演化的蜜阵防御方法及系统。

技术介绍

[0002]当前现有的欺骗防御手段有几种常见类型，如蜜罐、蜜网等。蜜罐(Honeypot)被设计成看似易受攻击的目标，旨在吸引攻击者并监测他们的行为。蜜罐在网络环境中充当诱饵，用于吸引和欺骗攻击者，以便获取有关攻击者和攻击技术的信息；而蜜网(Honey Network)是由多个蜜罐组成的网络，旨在模拟真实网络环境并吸引攻击者。
[0003]现有技术中存在的问题：蜜罐、蜜网等技术等具有一些局限和缺点。蜜罐系统一旦被攻击者怀疑，他们可能会采取更谨慎的行动或完全绕过该系统，使其失去对抗攻击的效果。一旦蜜罐被识别，它将失去作用效果，甚至有可能被攻击者利用，成为组织的安全漏洞。此外，蜜罐通常模拟的是已知的攻击场景或系统，某些高级攻击可能会具备绕过蜜罐的能力，对于全新的、未知的攻击手段，蜜罐可能无法提供足够的保护。而蜜网是由多个蜜罐组成的网络，建立和维护蜜网需要相当的成本。蜜网通常由多个蜜罐组成，这意味着需要投入大量的硬件、软件和网络配置。此外，蜜网的部署和管理也需要具备高级安全知识和技能的人员来对当前内网的状况进行手动的分析，并依据经验和知识手动部署蜜罐。

技术实现思路

[0004]本专利技术的目的在于提供一种基于反馈调节的欺骗能力演化的蜜阵防御方法及系统，旨在解决蜜阵防御的问题。
[0005]本专利技术提供一种基于反馈调节的欺骗能力演化的蜜阵防御方法，包括：
[0006]S1、获取内网中被保护系统的配置，基于配置评估被保护系统的价值；
[0007]S2、生成蜜点，根据被保护系统的价值部署一定数量的蜜点，部署后的蜜点向蜜阵数据库发送日志和告警；
[0008]S3、基于日志和告警，对脆弱资产部署蜜庭进行流量代理，将可疑流量引入到蜜点环境中；
[0009]S4、基于蜜点和蜜庭反馈的日志和报警信息对攻击行为、攻击时间和源地址对攻击者进行聚合分析来区分目的，对攻击者进行画像；
[0010]S5、对蜜点进行打分得到蜜点分数；
[0011]S6、基于蜜点分数对蜜点群体进行群体演化，部署演化后的蜜点，优化诱捕能力；
[0012]S7、基于攻击者的行为，对攻击者进行画像，量化攻击者对本系统的认知，给出分数评价攻击者的能力；
[0013]S8、在得分较高的攻击者的所在位置部署蜜庭来代理所述位置的流量，并销毁长时间无流量交互的蜜庭；
[0014]S9、监测演化后的蜜点和S8部署的蜜庭，分析告警和日志，执行步骤S4到S9，实现
蜜点和蜜庭诱捕能力的演化。
[0015]本专利技术还提供一种基于反馈调节的欺骗能力演化的蜜阵防御系统，包括：
[0016]获取模块，用于获取内网中被保护系统的配置，基于配置评估被保护系统的价值；
[0017]生成模块，用于生成蜜点，根据被保护系统的价值部署一定数量的蜜点，部署后的蜜点向蜜阵数据库发送日志和告警；
[0018]代理模块，用于基于日志和告警，对脆弱资产部署蜜庭进行流量代理，将可疑流量引入到蜜点环境中；
[0019]聚合模块，用于基于蜜点和蜜庭反馈的日志和报警信息对攻击行为、攻击时间和源地址对攻击者进行聚合分析来区分目的，对攻击者进行画像；
[0020]打分模块，用于对蜜点进行打分得到蜜点分数；
[0021]演化模块，用于基于蜜点分数对蜜点群体进行群体演化，部署演化后的蜜点，优化诱捕能力；
[0022]评价模块，用于基于攻击者的行为，对攻击者进行画像，量化攻击者对本系统的认知，给出分数评价攻击者的能力；
[0023]部署蜜庭模块，用于在得分较高的攻击者的所在位置部署蜜庭来代理所述位置的流量，并销毁长时间无流量交互的蜜庭；
[0024]循环模块，用于监测演化后的蜜点和部署蜜庭模块部署的蜜庭，分析告警和日志，执行聚合模块、打分模块、演化模块、评价模块、部署蜜庭模块和循环模块的功能，实现蜜点和蜜庭诱捕能力的演化。
[0025]本专利技术实施例还提供一种基于反馈调节的欺骗能力演化的蜜阵防御装置，包括：存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序，所述计算机程序被所述处理器执行时实现上述方法的步骤。
[0026]本专利技术实施例还提供一种计算机可读存储介质，所述计算机可读存储介质上存储有信息传递的实现程序，所述程序被处理器执行时实现上述方法的步骤。
[0027]采用本专利技术实施例，可以实现蜜阵防御。
[0028]上述说明仅是本专利技术技术方案的概述，为了能够更清楚了解本专利技术的技术手段，依照说明书的内容予以实施，并且为了让本专利技术的上述和其它目的、特征和优点能够更明显易懂，以下特举本专利技术的具体实施方式。
附图说明
[0029]为了更清楚地说明本专利技术具体实施方式或现有技术中的技术方案，下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图是本专利技术的一些实施方式，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
[0030]图1是本专利技术实施例的基于反馈调节的欺骗能力演化的蜜阵防御方法的流程图；
[0031]图2是本专利技术实施例的基于反馈调节的欺骗能力演化的蜜阵防御方法的系统架构示意图；
[0032]图3是本专利技术实施例的基于反馈调节的欺骗能力演化的蜜阵防御方法的评价规则示意图；
[0033]图4是本专利技术实施例的基于反馈调节的欺骗能力演化的蜜阵防御方法的功能模块示意图；
[0034]图5是本专利技术实施例的基于反馈调节的欺骗能力演化的蜜阵防御系统的示意图。
具体实施方式
[0035]下面将结合实施例对本专利技术的技术方案进行清楚、完整地描述，显然，所描述的实施例是本专利技术一部分实施例，而不是全部的实施例。基于本专利技术中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本专利技术保护的范围。
[0036]方法实施例
[0037]根据本专利技术实施例，提供了一种基于反馈调节的欺骗能力演化的蜜阵防御方法，图1是本专利技术实施例的基于反馈调节的欺骗能力演化的蜜阵防御方法的流程图，如图1所示，具体包括：
[0038]S1、获取内网中被保护系统的配置，基于配置评估被保护系统的价值；
[0039]S2、生成蜜点，根据被保护系统的价值部署一定数量的蜜点，部署后的蜜点向蜜阵数据库发送日志和告警；
[0040]S3、基于日志和告警，对脆弱资产部署蜜庭进行流量代理，将可疑流量引入到蜜点环境中；
[0041]S4、基于蜜点和蜜庭反馈的日志和报警信息对攻击行为、攻击时间和源地址对攻击者进行聚合分析来区分目的，对攻击者进行画像；
[0042]S5、对蜜点进行打分得到蜜点分数；
[0043]S6、基于蜜本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于反馈调节的欺骗能力演化的蜜阵防御方法，其特征在于，包括：S1、获取内网中被保护系统的配置，基于配置评估被保护系统的价值；S2、生成蜜点，根据被保护系统的价值部署一定数量的蜜点，部署后的蜜点向蜜阵数据库发送日志和告警；S3、基于日志和告警，对脆弱资产部署蜜庭进行流量代理，将可疑流量引入到蜜点环境中；S4、基于蜜点和蜜庭反馈的日志和报警信息对攻击行为、攻击时间和源地址对攻击者进行聚合分析来区分目的，对攻击者进行画像；S5、对蜜点进行打分得到蜜点分数；S6、基于蜜点分数对蜜点群体进行群体演化，部署演化后的蜜点，优化诱捕能力；S7、基于攻击者的行为，对攻击者进行画像，量化攻击者对本系统的认知，给出分数评价攻击者的能力；S8、在得分较高的攻击者的所在位置部署蜜庭来代理所述位置的流量，并销毁长时间无流量交互的蜜庭；S9、监测演化后的蜜点和S8部署的蜜庭，分析告警和日志，执行步骤S4到S9，实现蜜点和蜜庭诱捕能力的演化。2.根据权利要求1所述的方法，其特征在于，所述S1具体包括：获取内网中被保护系统的配置，所述配置包括：IP、端口、服务类型、服务版本、采用协议类型和服务质量，基于配置评估被保护系统的价值。3.根据权利要求2所述的方法，其特征在于，所述S5具体包括：对蜜点进行打分得到蜜点分数，蜜点计算包括：如果蜜点有攻击事件产生则对该蜜点进行加分；如果连续超过三个时间片没有攻击事件产生，则对该蜜点进行减分；如果蜜点在之前有过攻击事件，而在两个时间片内再无该攻击者产生的攻击事件，则对该蜜点进行减分。4.根据权利要求3所述的方法，其特征在于，所述S6具体包括：对蜜点进行欺骗能力评估，将蜜点的响应输出内容和输出类型、服务功能、服务IP地址、端口号、服务类型、采用协议类型、服务版本、服务响应时间、服务费用和服务可靠性进行特征编码得到蜜点向量，将欺骗能力低于某个阈值的蜜点向量群进行较高概率交叉和变异，将欺骗能力高于某个阈值的蜜点向量以较低概率进行变异。5.根据权利要求4所述的方法，其特征在于，所述S7具体包括：基于攻击者的行为，对攻击者进行画像，量化攻击者对本系统的认知，给出分数评价攻击者的能力，评价方法包括：如果攻击者对一蜜点产生事件，则减小其能力评分，如果在连续的时间片中一直和蜜点在交互，则一直减小能力评分，如果攻击者i对蜜点j产生过攻击事件，而在连续三个时间片后无事件产生，对其能力进行加分。6.一种基于反馈调节的欺骗能力演化的蜜阵防御系统，其特征在于，包括：获取模块，用于获取内网中...

【专利技术属性】
技术研发人员：徐光侠，刘雪岩，田志宏，方滨兴，鲁辉，李默涵，仇晶，姜誉，苏申，唐冉逢，吕泳锐，王硕，刘松涛，
申请(专利权)人：广州大学，
类型：发明
国别省市：