一种基于蜜阵阵图联动的动态欺骗方法和系统技术方案

本说明书实施例提供了一种基于蜜阵阵图联动的动态欺骗方法及系统，其中，方法包括根据内网拓扑信息，配置阵图初始化参数，匹配相应的初始阵图进行部署；获取全网日志和告警数据，并根据时间戳构成第一事件序列，基于上下文对各事件序列进行分析获得第二事件序列；进行聚类分析获得多个聚类，对各聚类中每个事件序列实现特征抽取和行为分析，基于获得的抽取和分析结果，从蜜阵规则库中匹配对应联动规则，基于预设的容忍度阈值选择适配度最高的第二阵图；与初始阵图进行对比，确定蜜点的变化情况，调动部署相应网段的蜜点；获取阵图联动全网新的日志和告警数据，根据攻击信息确定部署结果的有效性，对蜜阵规则库中的联动规则进行优化

【技术实现步骤摘要】
一种基于蜜阵阵图联动的动态欺骗方法和系统


[0001]本专利技术涉及网络安全
，尤其涉及一种基于蜜阵阵图联动的动态欺骗方法和系统
。

技术介绍

[0002]随着互联网的飞速发展，企业开发了越来越多的业务系统和服务，为人们带来了便捷的同时也带来了许多安全问题
。
[0003]目前，现有网络安全技术主要集中在防火墙
、
入侵检测系统和以蜜罐和蜜网为主的欺骗式防御系统等方面，这些防护技术虽然能够抵御部分网络攻击，但仍然存在很多缺陷
。
例如防火墙只能根据特定的规则进行过滤，无法抵御新型攻击；蜜罐和蜜网在面对高级持续威胁攻击时，成本和收益不对等，并且当攻击方式呈现出高隐蔽性和强对抗性的特点时，静态的蜜罐配置和蜜网部署方法欺骗性不高，无法抵抗这种复杂的攻击，当蜜罐被攻破并逃逸时，甚至还可能成为攻击者的跳板，对内部网络造成更大的危害，并且各种安全设备产生的日志需要人工进行研判分析，无法关联多步事件的日志
。

技术实现思路

[0004]为克服相关技术中存在的问题，本公开提供一种基于蜜阵阵图联动的动态欺骗方法和系统
。
[0005]本说明书一个或多个实施例提供了一种基于蜜阵阵图联动的动态欺骗方法，包括：
[0006]根据内网拓扑信息，配置阵图初始化参数；根据阵图初始化参数从阵图数据库中匹配相应的初始阵图进行部署；
[0007]获取一段时间内的全网日志和告警数据，并根据时间戳构成第一事件序列，并基于上下文对各事件序列进行分析，形成以时间为顺序的关联的第二事件序列；对第二事件序列进行聚类分析获得多个聚类，对各聚类中每个事件序列实现特征抽取和行为分析，获得抽取和分析结果；
[0008]根据获得的抽取和分析结果，对特征和行为不明确并且属于离群类别的事件的源地址标记为存疑地址，获得存疑地址名单；将来自名单中源地址的访问进行流量重定向，将存疑访问者导入蜜阵仿真靶场中；
[0009]基于获得的抽取和分析结果，从蜜阵规则库中匹配对应联动规则；
[0010]在蜜阵阵图库中基于匹配的联动规则和预设的容忍度阈值选择适配度最高的第二阵图；与初始阵图进行对比，确定蜜点的变化情况，向蜜点服务器下发控制指令，调动部署相应网段的蜜点，实现阵图联动；
[0011]获取阵图联动后一段时间内全网新的日志和告警数据，根据攻击信息确定部署结果的有效性，对蜜阵规则库中的联动规则进行优化
。
[0012]本说明书一个或多个实施例提供了一种基于蜜阵阵图联动的动态欺骗系统，包
括：
[0013]数据获取模块：用于获取内网拓扑信息及一段时间内的全网日志和告警数据；
[0014]初始阵图获取模块：用于根据获取的内网拓扑信息，配置阵图初始化参数；根据阵图初始化参数从阵图数据库中匹配相应的初始阵图进行部署；
[0015]事件序列生成模块：用于根据获取的一段时间内的全网日志和告警数据，根据时间戳构成第一事件序列，并基于上下文对各事件序列进行分析，形成以时间为顺序的关联的第二事件序列；
[0016]预处理模块：用于对第二事件序列进行聚类分析获得多个聚类，对各聚类中每个事件序列实现特征抽取和行为分析，获得抽取和分析结果；
[0017]分析及监控模块：用于根据获得的抽取和分析结果，对特征和行为不明确并且属于离群类别的事件的源地址标记为存疑地址，获得存疑地址名单；并将来自名单中源地址的访问进行流量重定向，将存疑访问者导入蜜阵仿真靶场中；
[0018]联动规则匹配模块：用于根据预处理模块获得的抽取和分析结果，从蜜阵规则库中匹配对应联动规则；
[0019]阵图匹配模块：用于在蜜阵阵图库中基于匹配的联动规则和预设的容忍度阈值选择适配度最高的第二阵图；
[0020]阵图联动模块：用于基于适配的第二阵图，与初始阵图获取模块
20
的初始阵图进行对比，确定蜜点的变化情况，向蜜点服务器下发控制指令，调动部署相应网段的蜜点；
[0021]反馈优化模块：用于获取阵图的切换后一段时间内全网新的日志和告警数据，根据攻击信息确定部署结果的有效性，对蜜阵规则库中的联动规则进行优化
。
[0022]本专利技术方案基于日志和告警结合事件的上下文进行关联性分析，再根据分析结果进行下一步防御策略制定和做出动作，实现情报的共享和防御的协同联动，从而更好地应对威胁，同时，采用了主动式的欺骗手段，能够根据攻击者的行为动态地生成和调整欺骗环境，使其更加逼真和具有吸引力，这种不确定性和欺骗的持续性使得攻击者难以判断攻击是否成功，从而延长了防御的时间窗口，并且这样的动态欺骗能力可以大大增加攻击者暴露自身的概率，并为防御人员提供更多有关攻击者的信息，有助于对威胁进行更精确的分析和响应
。
附图说明
[0023]为了更清楚地说明本说明书一个或多个实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本说明书中记载的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图
。
[0024]图1为本说明书一个或多个实施例提供的一种基于蜜阵阵图联动的动态欺骗方法的流程图；
[0025]图2为本说明书一个或多个实施例提供的一种基于蜜阵阵图联动的动态欺骗方法中阵图库
、
阵图和联动规则关系示意图；
[0026]图3为本说明书一个或多个实施例提供的一种基于蜜阵阵图联动的动态欺骗系统框图；
[0027]图4为本说明书一个或多个实施例提供的一种基于蜜阵阵图联动的动态欺骗系统的模型示意图
。
具体实施方式
[0028]为了使本
的人员更好地理解本说明书一个或多个实施例中的技术方案，下面将结合本说明书一个或多个实施例中的附图，对本说明书一个或多个实施例中的技术方案进行清楚
、
完整地描述，显然，所描述的实施例仅仅是本说明书的一部分实施例，而不是全部的实施例
。
基于本说明书一个或多个实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都应当属于本专利技术件的保护范围
。
[0029]下面结合具体实施方式和说明书附图对本专利技术做出详细的说明
。
[0030]方法实施例
[0031]根据本专利技术实施例，提供了一种基于蜜阵阵图联动的动态欺骗方法，如图1所示，为本实施例提供的一种基于蜜阵阵图联动的动态欺骗方法流程图，根据本专利技术实施例的一种基于蜜阵阵图联动的动态欺骗方法，包括步骤：
[0032]步骤
S1、
根据内网拓扑信息，配置阵图初始化参数；根据阵图初始化参数从阵图数据库中匹配相应的初始阵图进行部署
。
[0033]步骤
S2、
获取一段时间内的全网日志和告警数据，并根据时间戳本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.
一种基于蜜阵阵图联动的动态欺骗方法，其特征在于，包括：根据内网拓扑信息，配置阵图初始化参数；根据阵图初始化参数从阵图数据库中匹配相应的初始阵图进行部署；获取一段时间内的全网日志和告警数据，并根据时间戳构成第一事件序列，并基于上下文对各事件序列进行分析，形成以时间为顺序的关联的第二事件序列；对第二事件序列进行聚类分析获得多个聚类，对各聚类中每个事件序列实现特征抽取和行为分析，获得抽取和分析结果；根据获得的抽取和分析结果，对特征和行为不明确并且属于离群类别的事件的源地址标记为存疑地址，获得存疑地址名单；将来自名单中源地址的访问进行流量重定向，将存疑访问者导入蜜阵仿真靶场中；基于获得的抽取和分析结果，从蜜阵规则库中匹配对应联动规则；在蜜阵阵图库中基于匹配的联动规则和预设的容忍度阈值选择适配度最高的第二阵图；与初始阵图进行对比，确定蜜点的变化情况，向蜜点服务器下发控制指令，调动部署相应网段的蜜点，实现阵图联动；获取阵图联动后一段时间内全网新的日志和告警数据，根据攻击信息确定部署结果的有效性，对蜜阵规则库中的联动规则进行优化
。2.
如权利要求1所述的基于蜜阵阵图联动的动态欺骗方法，其特征在于，所述根据内网拓扑信息，配置阵图初始化参数；根据阵图初始化参数从阵图数据库中匹配相应的初始阵图进行部署包括步骤：获取内网资产拓扑信息，结合内网中各资产的重要等级和获取的最近一段时间日志，从日志中找出易受攻击的资产；根据资产自动化配置阵图的初始化参数，包括蜜点数量
、
蜜点位置
、
蜜点服务类型；根据初始化参数从阵图数据库中选取相应的初始阵图，并根据阵图文件中的数据，调用控制蜜点的
API
接口进行所有蜜点的部署
。3.
如权利要求1所述的基于蜜阵阵图联动的动态欺骗方法，其特征在于，所述根据时间戳构成第一事件序列，并基于上下文对各事件序列进行分析，形成以时间为顺序的关联的第二事件序列包括步骤：将获取的全网日志和告警聚合起来，按照时间戳顺序排列成第一事件序列；为第一事件序列中每个事件设置一个窗口大小为
N
的上下文窗口，用于存储
N
‑1个引发该事件的一系列前置事件；基于上下文对各事件序列进行分析，形成以时间为顺序的关联的第二事件序列
。4.
如权利要求1所述的基于蜜阵阵图联动的动态欺骗方法，其特征在于，所述对第二事件序列进行聚类分析获得多个聚类，对各聚类中每个事件序列实现特征抽取和行为分析，获得抽取和分析结果包括步骤：步骤
S31、
对第二事件序列使用
OPTICS
方法对进行聚类，获得多个类型的聚类簇；步骤
S32、
对各聚类簇中的事件序列都进行多次随机抽样，将抽样出的事件序列进行特征抽取和行为分析，通过行为特征确定事件序列对应的动作良恶属性，并根据预设的置信阈值确定抽取的多个事件序列的差异，实现差错事件序列的剔除；步骤
S33、
重复步骤
S31
，并在步骤
S32
中聚类簇中心的一定范围内进行重新聚类，直到
所有聚类簇的抽样分析结果都通过
。5.
如权利要求1所述的基于蜜阵阵图联动的动态欺骗方法，其特征在于，所述根据获得的抽取和分析结果，对特征和行为不明确并且属于离群类别的事件的源地址标记为存疑地址，获得存疑地址名单包括：统计每个聚类簇中事件序列出现的频次和对应的行为特征，对特征和行为不明确并且属于离群的事件序列进行特征和行为分析，如果无法判断行为特征的动作良恶属性，则取对应离群的事件序列中第一个事件的外网源
IP
地址，将该
IP

【专利技术属性】
技术研发人员：徐光侠，吕泳锐，方滨兴，田志宏，刘园，仇晶，孙彦斌，李默涵，刘雪岩，唐冉逢，刘松涛，王硕，
申请(专利权)人：广州大学，
类型：发明
国别省市：