【技术实现步骤摘要】
本专利技术属于安全监控,尤其涉及一种面向高级持续威胁的数字替身防御系统设计方法及装置。
技术介绍
1、随着信息技术的飞速发展和网络环境的日益复杂化,高级持续威胁(advancedpersistent threats, apt)成为了网络安全领域面临的重大挑战之一。apt攻击通常由高度专业化的攻击者发起,目标明确、行动隐蔽、持续时间长、手段复杂,对重点领域信息系统构成严重威胁。传统的安全防护手段,如防火墙、入侵检测系统等,往往难以有效应对这类隐蔽的威胁。在网络空间安全领域与本专利技术相关的两类技术是蜜罐技术与沙箱技术。这两类技术是目前主要的攻击诱捕和攻击行为深入分析的系统与方法。
2、蜜罐是一种攻击诱捕技术,用于模拟易受攻击的终端系统,暴露攻击面,吸引攻击者开展攻击。蜜罐技术根据与业务系统交互程序可以分为低交互、中交互、高交互蜜罐,低、中交互蜜罐通常是暴露特定服务或应用端口或端口的组合,缺乏完整操作系统级复杂服务接口的支持。从环境仿真度而言,低、中交互蜜罐无法充分仿真全部的业务环境和系统,尤其特定行业或复杂系统,通常无法提供足够的深度和上下文信息,难以对攻击行为进行深入理解分析。这限制了它们捕获和分析复杂apt攻击行为的能力。高交互蜜罐具备一定的业务仿真能力,可提供业务系统仿真,部分高交互蜜罐可以提供系统级的仿真。但是apt攻击涉及多个攻击环节,如c2通联、dns解析,网络设备木马植入,以及多个样本组合运行的环境终端等,目前各种蜜罐方法无法给出完整的模拟方案。此外,许多高级的apt攻击样本一旦发现疑似蜜罐环境,将隐藏其
3、沙箱技术是一种有效的动态恶意软件分析方法,能够在隔离的环境中运行可疑代码,监视监控程序执行时的系统调用、网络交互和文件操作等行为。然而,传统沙箱通常专注于在隔离区分析单一的恶意样本,但对于那些可规避沙箱检测的apt样本,沙箱检测能力有限。部分高级apt样本甚至通过休眠、环境检测等方式,改变其行为或避免沙箱检测。同时。尤其当apt攻击是由多个样本,多个阶段组合实现攻击时,沙箱技术难以提供多样本、多个系统之间的协作,沙箱之间难以进行交互与协作。因此,沙箱技术无法在动态分析方面,应对复杂的apt攻击技战法,为apt样本深入分析提供能力。
技术实现思路
1、针对上述问题,本专利技术公开了一种面向高级持续威胁的数字替身防御系统设计方法及装置,其以攻击者视角,分析、凝练apt攻击涉及的不同环节,并具体对真实业务环境、业务系统、业务数据进行克隆与仿真,从而提供了一种有效的apt攻击捕获和替身环境下的攻击行为长效监测机制。
2、为了达到上述专利技术目的,本专利技术的技术方案包括以下内容。
3、一种面向高级持续威胁的数字替身防御系统设计方法,所述方法包括:
4、对真实业务系统进行业务仿真和系统克隆,得到数字替身防御系统;
5、构建真实业务系统与数字替身防御系统之间的数据单向传输通路,并在数据单向传输通路中对真实业务系统中的敏感数据进行脱敏处理以及创建高级持续威胁攻击感兴趣的诱饵数据;
6、基于攻击者视角对高级持续威胁攻击涉及的过程进行全链条模拟仿真,以生成数字替身防御系统面临高级持续威胁攻击的工作状态;其中,所述高级持续威胁攻击涉及的过程包括高级持续威胁攻击对脱敏数据和诱饵数据的获取过程;
7、通过在数字替身防御系统中进行代码插桩和信息流采集,提取和处理所述工作状态中的行为要素,以记录高级持续威胁攻击的攻击过程。
8、进一步地,所述构建真实业务系统与数字替身防御系统之间的数据单向传输通路,包括:
9、在真实业务系统和数字替身防御系统之间建立一基于数据安全和网络安全防护技术的仿真隔离区,以实现文件单向同步访问控制;其中,所述数据安全和网络安全防护技术包括:隔离区防火墙等网络访问控制技术、隔离区数据安全控制技术和隔离区访问控制技术。
10、进一步地,基于攻击者视角对高级持续威胁攻击涉及的过程进行全链条模拟仿真,包括:
11、构建数字替身防御系统中的仿真模拟器,所述仿真模拟器包括:网络设备仿真模拟器、dns服务仿真模拟器、c2与样本武器仿真模拟器和业务终端仿真模拟器,所述网络设备仿真模拟器用于模拟高级持续威胁样本攻击目标的网络基础设施环境,所述dns服务仿真模拟器用于复现dns解析过程以及模拟dns查询和响应行为,所述c2与样本武器仿真模拟器用于重现攻击者的c2和样本武器的分发、控制过程,模拟攻击载荷的生成、传输和执行过程,以及样本武器与c2之间的交互行为,所述业务终端仿真模拟器用于模拟各类潜在受害终端设备和操作系统环境、重构攻击目标的系统和应用程序特性以及评估攻击样本对业务系统的影响和渗透能力;
12、获取高级持续威胁样本;
13、无害化改造高级持续威胁样本后,将无害高级持续威胁样本按组织和类型分批注入到不同的业务终端仿真模拟器;其中,所述无害化改造高级持续威胁样本后,将无害高级持续威胁样本按组织和类型分批注入到不同的业务终端仿真模拟器,包括:
14、使用沙箱环境对收集到的高级持续威胁样本进行隔离和预执行,通过分析该高级持续威胁样本的行为,识别和提取恶意功能部分;
15、通过修改恶意功能部分中的恶意代码或动态执行路径,修改调整高级持续威胁样本中的恶意功能,确保无害高级持续威胁样本在仿真环境中不会造成实际危害;
16、根据无害高级持续威胁样本原本的攻击目标和类型,分批次、有目的地分配给相应的业务终端仿真模拟器,以模拟真实的攻击场景;
17、逆向分析无害高级持续威胁样本,得到样本核心参数;其中,所述样本核心参数包括:样本初始化启动参数、样本通联行为参数、样本注入行为参数和关键信息记录检查行为参数;
18、基于样本核心参数对网络设备仿真模拟器、dns服务仿真模拟器、c2与样本武器仿真模拟器和业务终端仿真模拟器进行资源调度和配置;其中,所述基于样本核心参数对网络设备仿真模拟器、dns服务仿真模拟器、c2与样本武器仿真模拟器和业务终端仿真模拟器进行资源调度和配置,包括:
19、基于样本初始化启动参数、样本通联行为参数和样本注入行为参数,调整仿真模拟器的网络环境和配置,确保准确再现样本的通信、注入和执行行为;
20、基于样本通联行为参数,在dns服务仿真模拟器中配置相应的dns解析规则和响应行为,模拟样本的dns查询和解析过程;
21、基于样本通联行为参数,调整c2与样本武器仿真模拟器配置,根据样本的命令控制通信特征,设置模拟c2服务器的响应行为和下发命令策略;
22、基于样本初始化启动参数、样本注入行为参数和关键信息记录检查行为参数,为业务终端仿真模拟器配置必要的操作系统和应用程序环境,以及对应的防御策略,以观察样本在不同防护背景下的行为差异;
23、通过dns服务仿真模拟器模拟解析无害高级持续本文档来自技高网...
【技术保护点】
1.一种面向高级持续威胁的数字替身防御系统设计方法,其特征在于,所述方法包括:
2.根据权利要求1所述的方法,其特征在于,所述构建真实业务系统与数字替身防御系统之间的数据单向传输通路,包括:
3.根据权利要求1所述的方法,其特征在于,基于攻击者视角对高级持续威胁攻击涉及的过程进行全链条模拟仿真,包括:
4.根据权利要求1所述的方法,其特征在于,所述通过在数字替身防御系统中进行代码插桩和信息流采集,提取和处理所述工作状态中的行为要素,以记录高级持续威胁攻击的攻击过程,包括:
5.根据权利要求4所述的方法,其特征在于,所述行为要素包括:文件与注册表操作、进程行为、网络通信行为、API与系统调用行为和内存访问行为;
6.根据权利要求4所述的方法,其特征在于,所述根据所述内核级控制与信息流,提取高级持续威胁攻击运行期间涉及的行为要素,以形成日志和数据文件之后,还包括:
7.根据权利要求4所述的方法,其特征在于,所述根据所述内核级控制与信息流,提取高级持续威胁攻击运行期间涉及的行为要素,以形成日志和数据文件之后,还包括
8.根据权利要求4所述的方法,其特征在于,所述基于插桩代码在业务仿真系统内部采集内核级控制与信息流之后,还包括:
9.一种面向高级持续威胁的数字替身防御系统设计装置,其特征在于,所述装置包括:
...【技术特征摘要】
1.一种面向高级持续威胁的数字替身防御系统设计方法,其特征在于,所述方法包括:
2.根据权利要求1所述的方法,其特征在于,所述构建真实业务系统与数字替身防御系统之间的数据单向传输通路,包括:
3.根据权利要求1所述的方法,其特征在于,基于攻击者视角对高级持续威胁攻击涉及的过程进行全链条模拟仿真,包括:
4.根据权利要求1所述的方法,其特征在于,所述通过在数字替身防御系统中进行代码插桩和信息流采集,提取和处理所述工作状态中的行为要素,以记录高级持续威胁攻击的攻击过程,包括:
5.根据权利要求4所述的方法,其特征在于,所述行为要素包括:文件与注册表操作、进程...
【专利技术属性】
技术研发人员:李书豪,吴广君,云晓春,宋奇格,汤子贤,
申请(专利权)人:北京中关村实验室,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。