【技术实现步骤摘要】
一种基于蜜阵阵图联动的动态欺骗方法和系统
[0001]本专利技术涉及网络安全
,尤其涉及一种基于蜜阵阵图联动的动态欺骗方法和系统
。
技术介绍
[0002]随着互联网的飞速发展,企业开发了越来越多的业务系统和服务,为人们带来了便捷的同时也带来了许多安全问题
。
[0003]目前,现有网络安全技术主要集中在防火墙
、
入侵检测系统和以蜜罐和蜜网为主的欺骗式防御系统等方面,这些防护技术虽然能够抵御部分网络攻击,但仍然存在很多缺陷
。
例如防火墙只能根据特定的规则进行过滤,无法抵御新型攻击;蜜罐和蜜网在面对高级持续威胁攻击时,成本和收益不对等,并且当攻击方式呈现出高隐蔽性和强对抗性的特点时,静态的蜜罐配置和蜜网部署方法欺骗性不高,无法抵抗这种复杂的攻击,当蜜罐被攻破并逃逸时,甚至还可能成为攻击者的跳板,对内部网络造成更大的危害,并且各种安全设备产生的日志需要人工进行研判分析,无法关联多步事件的日志
。
技术实现思路
[0004]为克服相关技术中存在的问题,本公开提供一种基于蜜阵阵图联动的动态欺骗方法和系统
。
[0005]本说明书一个或多个实施例提供了一种基于蜜阵阵图联动的动态欺骗方法,包括:
[0006]根据内网拓扑信息,配置阵图初始化参数;根据阵图初始化参数从阵图数据库中匹配相应的初始阵图进行部署;
[0007]获取一段时间内的全网日志和告警数据,并根据时间戳构成第一事件序列,并基于上下文对各事件序列进 ...
【技术保护点】
【技术特征摘要】 【专利技术属性】
1.
一种基于蜜阵阵图联动的动态欺骗方法,其特征在于,包括:根据内网拓扑信息,配置阵图初始化参数;根据阵图初始化参数从阵图数据库中匹配相应的初始阵图进行部署;获取一段时间内的全网日志和告警数据,并根据时间戳构成第一事件序列,并基于上下文对各事件序列进行分析,形成以时间为顺序的关联的第二事件序列;对第二事件序列进行聚类分析获得多个聚类,对各聚类中每个事件序列实现特征抽取和行为分析,获得抽取和分析结果;根据获得的抽取和分析结果,对特征和行为不明确并且属于离群类别的事件的源地址标记为存疑地址,获得存疑地址名单;将来自名单中源地址的访问进行流量重定向,将存疑访问者导入蜜阵仿真靶场中;基于获得的抽取和分析结果,从蜜阵规则库中匹配对应联动规则;在蜜阵阵图库中基于匹配的联动规则和预设的容忍度阈值选择适配度最高的第二阵图;与初始阵图进行对比,确定蜜点的变化情况,向蜜点服务器下发控制指令,调动部署相应网段的蜜点,实现阵图联动;获取阵图联动后一段时间内全网新的日志和告警数据,根据攻击信息确定部署结果的有效性,对蜜阵规则库中的联动规则进行优化
。2.
如权利要求1所述的基于蜜阵阵图联动的动态欺骗方法,其特征在于,所述根据内网拓扑信息,配置阵图初始化参数;根据阵图初始化参数从阵图数据库中匹配相应的初始阵图进行部署包括步骤:获取内网资产拓扑信息,结合内网中各资产的重要等级和获取的最近一段时间日志,从日志中找出易受攻击的资产;根据资产自动化配置阵图的初始化参数,包括蜜点数量
、
蜜点位置
、
蜜点服务类型;根据初始化参数从阵图数据库中选取相应的初始阵图,并根据阵图文件中的数据,调用控制蜜点的
API
接口进行所有蜜点的部署
。3.
如权利要求1所述的基于蜜阵阵图联动的动态欺骗方法,其特征在于,所述根据时间戳构成第一事件序列,并基于上下文对各事件序列进行分析,形成以时间为顺序的关联的第二事件序列包括步骤:将获取的全网日志和告警聚合起来,按照时间戳顺序排列成第一事件序列;为第一事件序列中每个事件设置一个窗口大小为
N
的上下文窗口,用于存储
N
‑1个引发该事件的一系列前置事件;基于上下文对各事件序列进行分析,形成以时间为顺序的关联的第二事件序列
。4.
如权利要求1所述的基于蜜阵阵图联动的动态欺骗方法,其特征在于,所述对第二事件序列进行聚类分析获得多个聚类,对各聚类中每个事件序列实现特征抽取和行为分析,获得抽取和分析结果包括步骤:步骤
S31、
对第二事件序列使用
OPTICS
方法对进行聚类,获得多个类型的聚类簇;步骤
S32、
对各聚类簇中的事件序列都进行多次随机抽样,将抽样出的事件序列进行特征抽取和行为分析,通过行为特征确定事件序列对应的动作良恶属性,并根据预设的置信阈值确定抽取的多个事件序列的差异,实现差错事件序列的剔除;步骤
S33、
重复步骤
S31
,并在步骤
S32
中聚类簇中心的一定范围内进行重新聚类,直到
所有聚类簇的抽样分析结果都通过
。5.
如权利要求1所述的基于蜜阵阵图联动的动态欺骗方法,其特征在于,所述根据获得的抽取和分析结果,对特征和行为不明确并且属于离群类别的事件的源地址标记为存疑地址,获得存疑地址名单包括:统计每个聚类簇中事件序列出现的频次和对应的行为特征,对特征和行为不明确并且属于离群的事件序列进行特征和行为分析,如果无法判断行为特征的动作良恶属性,则取对应离群的事件序列中第一个事件的外网源
IP
地址,将该
IP
技术研发人员:徐光侠,吕泳锐,方滨兴,田志宏,刘园,仇晶,孙彦斌,李默涵,刘雪岩,唐冉逢,刘松涛,王硕,
申请(专利权)人:广州大学,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。