【技术实现步骤摘要】
本专利技术涉及网络安全,具体涉及一种基于欺骗诱捕的攻击与入侵影响面评估系统及方法。
技术介绍
1、通过开展攻击与入侵影响面评估研究,对防范系统遭受二次攻击具有重要意义。当前应用的攻击与入侵影响面评估方法大多站在防御者视角下,通过分析业务系统中部署的安全防护设备产生的告警日志,以人工方式对攻击与入侵产生的影响进行评估,耗费了大量的人力。此外,安全设备是通过分析业务系统中的全流量信息产生告警日志,产生的告警是针对单一节点的信息攻击,以此为依据评估攻击与破坏对电力系统造成的影响,具有很大的局限性,准确率相对较低。最后,当前从安全设备上获取的日志,通常是已发生的攻击事件告警,对其进行分析评估属于事后处理环节,采取的应急处置方式具有滞后性,对防御者来说处于劣势状态。因此,以攻防对抗思路出发,从攻方视角下,在网络中部署大量“诱饵”、“陷阱”,仿真各种不同类型的真实环境,形成一张“欺骗网络”,诱骗出潜伏的黑客行为和恶意程序。该种方式可直接提取攻击发生过程中的特征要素,形成汇总协同攻击信息,为后续攻击与入侵影响面评估提供数据源,此方式下获得的攻击与入侵影响面评估结果较准确,更能反映出黑客的真实攻击意图。
2、当下,攻击与入侵影响面评估所使用的数据源来自安全设备产生的告警,产生的告警是针对单一节点的信息攻击,不能充分反映攻击者的真实意图,因此攻击与入侵影响面评估结果具有较大的局限性,准确率较低。采用人工方式分析安全设备告警信息,获得攻击与入侵影响面数据,具有成本高、效率低、耗时长的问题。将安全设备产生的告警信息作为攻击与入侵影响面评估
技术实现思路
1、本专利技术的目的就是针对现有技术的缺陷,提供一种基于欺骗诱捕的攻击与入侵影响面评估系统及方法,通过诱骗黑客攻击陷阱,捕捉攻击记录信息,同时建立历史攻击影响面数据仓库,将攻击记录信息通过攻击树分析并与历史攻击影响面数据仓库中的关键词匹配,进而输出当下攻击与入侵破坏力影响面分析结果。
2、本专利技术提供一种基于欺骗诱捕的攻击与入侵影响面评估系统,包括欺骗诱捕系统、攻击信息记录系统、攻击信息分析系统、历史攻击影响面数据仓库构建系统和安全专家分析系统。所述欺骗诱捕系统用于在计算机系统中埋藏诱骗信息,诱导黑客攻击欺骗诱捕系统,所述欺骗诱捕系统产生并发送攻击流量信息至所述攻击信息记录系统。所述攻击信息记录系统用于根据所述攻击流量信息对黑客的攻击行为用文本进行全方位详细记录,得到攻击记录信息。所述攻击信息分析系统用于建立攻击树模型分析所述攻击记录信息以还原黑客的攻击过程,所得分析结果以攻击数据文本呈现,并将所述攻击数据文本作为数据源输入安全专家分析系统进行后续分析处理。所述安全专家分析系统用于通过比较所述攻击数据文本与历史攻击影响面数据仓库内的历史攻击影响面数据文本之间的关键词重叠程度,来判断它们之间的关联性,进而输出当下攻击与入侵破坏力影响面分析结果。
3、进一步的,所述欺骗诱捕系统在计算机系统中埋藏诱骗信息,诱导黑客攻击的具体方法包括以下途径:
4、途径一:收集已经社交平台网站上公布的邮箱信息,在邮件网关处开放白名单,并定向投递到指定终端上,所述终端设置安全访问控制策略,所属策略包括划定vlan、与生产网络隔离、指定专用上网环境,并在所述终端上放置假的密码文件、浏览器内留有假的缓存;
5、途径二:在现有的系统页面当中夹杂欺骗域名、虚假路径,伪造成信息泄露的假象诱导黑客点击访问;
6、途径三:将程序设计漏洞布置选择在经常发生漏洞的系统,所述经常发生漏洞的系统包括struts2框架、vpn;
7、途径四:将防卫者内部网络所有空闲ip地址均设置为诱饵地址,通过trunk技术,将汇聚交换机上不同vlan的空闲ip绑定到感知节点上,一旦黑客探测到此类空闲ip,感知节点将会转发流量至攻击信息记录系统,记录攻击信息;
8、途径五:在社交平台网站上投放诱饵地址、诱饵邮箱地址和运维通道;
9、途径六:设置伪装代理,通过端口混淆,与真实流量实现真假不分,将黑客攻击诱导至欺骗诱捕系统。
10、进一步的,所述攻击信息记录系统得到攻击记录信息的具体方法如下:
11、通过提取所述攻击流量信息中的文件操作行为、网络探测行为和进程操作行为得到所述攻击记录信息。
12、进一步的,所述攻击信息分析系统建立攻击树模型分析所述攻击记录信息以还原黑客的攻击过程的具体方法为:
13、建立攻击树模型,所述攻击树模型由5个层级构成,相邻层级的划分标准为:低层级为达成高层级的攻击事件,高层级为低层级的目标事件,高层级至低层级依次为根节点n、分节点nn、子分节点nnm和叶节点nnmi,所述叶节点nnmi由攻击记录信息得到,由叶节点nnmi依次向高层级推导,依次得到子分节点nnm、分节点nn和根节点n;
14、其中,根节点n表示黑客的最终攻击目标,分节点nn为达成攻击目标的攻击事件,子分节点nnm为达成分节点nn的攻击事件,叶节点nnmi为达成子分节点nnm的攻击事件,n=1,2,...,n=1,2,...,i=1,2,...;
15、子分节点nnm中,当各分节点nnm之间的n相同且m不同时,表示各子分节点nnm为达成同一个分节点nn的攻击事件,分节点nn为各分节点nnm的目标事件;
16、叶节点nnmi中,当各叶节点nnmi之间的n和m相同且i不同时,表示各叶节点nnmi为达成同一个子分节点nnm的攻击事件,子分节点nnm为各叶节点nnmi的目标事件;
17、根据攻击诱捕模块发送的攻击流量信息,分别对应各叶节点nnmi的攻击事件,以攻击事件之间的“与”、“或”、“顺序与”的关系,建立攻击树的各层级,用“与”表示若干攻击事件之间的关系时的含义为:达成其共同的目标事件需要若干攻击事件同时满足,“或”表示若干攻击事件之间的关系时的含义为:达成其共同的目标事件仅需满足其中任意一个攻击事件即可,“顺序与”表示若干攻击事件之间的关系时的含义为:若干攻击事件同时满足且满足特定的先后顺序。
18、进一步的,所述历史攻击影响面数据仓库按如下步骤建立:
19、步骤1:建立关键词词典,将待匹配的历史报告拆分为一个个词语,再将每一个词语与关键词词典中的所有关键词进行遍历匹配,若某个关键词与某个词语完全相同或者是词语的一部分,则将包含该词语的该段文本记录下来,继续遍历待匹配的报告,直到报告中的所有词语都被匹配并记录完毕;
20、步骤2:构建去噪词词典,将步骤1中记录的文本遍历匹配去噪词词典,对匹配成功的词语进行删除,得到价值文本;
21、步骤3本文档来自技高网...
【技术保护点】
1.一种基于欺骗诱捕的攻击与入侵影响面评估系统,其特征在于,包括:
2.根据权利要求1所述的一种基于欺骗诱捕的攻击与入侵影响面评估系统,其特征在于:
3.根据权利要求1所述的一种基于欺骗诱捕的攻击与入侵影响面评估系统,其特征在于:
4.根据权利要求1所述的一种基于欺骗诱捕的攻击与入侵影响面评估系统,其特征在于:
5.根据权利要求1所述的一种基于欺骗诱捕的攻击与入侵影响面评估系统,其特征在于:
6.根据权利要求1所述的一种基于欺骗诱捕的攻击与入侵影响面评估系统,其特征在于:
7.一种基于欺骗诱捕的攻击与入侵影响面评估方法,其特征在于,包括:
8.根据权利要求7所述的一种基于欺骗诱捕的攻击与入侵影响面评估方法,其特征在于:
9.根据权利要求7所述的一种基于欺骗诱捕的攻击与入侵影响面评估方法,其特征在于:
10.一种计算机可读介质,所述计算机可读介质上存储有计算机程序,所述计算机程序在运行时执行如权利要求1-9中的任一项所述的信息交互方法。
【技术特征摘要】
1.一种基于欺骗诱捕的攻击与入侵影响面评估系统,其特征在于,包括:
2.根据权利要求1所述的一种基于欺骗诱捕的攻击与入侵影响面评估系统,其特征在于:
3.根据权利要求1所述的一种基于欺骗诱捕的攻击与入侵影响面评估系统,其特征在于:
4.根据权利要求1所述的一种基于欺骗诱捕的攻击与入侵影响面评估系统,其特征在于:
5.根据权利要求1所述的一种基于欺骗诱捕的攻击与入侵影响面评估系统,其特征在于:
6.根据权利要求1所述...
【专利技术属性】
技术研发人员:卢阳,刘鑫,多志林,王文婷,李树,田东博,李永发,谷丰强,刘京,田峥,
申请(专利权)人:国网电力科学研究院有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。