【技术实现步骤摘要】
本专利技术属于蜜罐,具体为一种基于威胁情报的自适应蜜罐技术的实现方法。
技术介绍
1、蜜罐这个术语的起源可以追溯到20世纪的早期,灵感来源于现实世界中的蜜罐,即用于吸引昆虫或其他动物的装置,这些蜜罐通常会放置甜蜜或其他引人注意的物质,吸引昆虫前来,类比到计算机安全领域,蜜罐的概念是将一个虚拟系统、应用程序或网络设置成一个看似有价值的目标,以吸引攻击者前来尝试入侵、攻击或进行其他恶意行为,最初,蜜罐主要用于研究和教育目的,以帮助安全专家更好地了解攻击者的行为和方法,随着对网络安全的关注不断增加,网络蜜罐技术开始商业化,出现了许多商业蜜罐解决方案,这些解决方案提供了各种类型的蜜罐,涵盖了操作系统、应用程序、网络设备等不同领域,以满足不同组织的需求,蜜罐技术逐渐发展成为一种多样化的工具集,包括蜜网、蜜饵系统、蜜盒等,现有的tpot主要还是依托于传统低交互蜜罐,对于新漏洞,新攻击方式及新攻击思路缺少防护经验,缺少时效性,且tpot防护范围过于宽泛,缺少对于指向性漏洞或者攻击的防护力度,以至于缺少对于某种特定攻击防护能力,tpot在面对多服务,多站点的防护主体时无法进行高欺骗性的蜜罐伪装,容易被攻击者识别,kippo蜜罐存在着无法批量集中管理和高效运维更新的缺点,tpot与kippo等传统蜜罐都存在着攻击误报的缺点。
技术实现思路
1、针对现有技术的不足,本专利技术提供了一种基于威胁情报的自适应蜜罐技术的实现方法,具有对于新漏洞、新攻击方式和新攻击思路的防护能力高、具有防护指定型漏洞或攻击的
2、为实现上述目的,本专利技术提供如下技术方案:一种基于威胁情报的自适应蜜罐技术的实现方法,所述实现方法包括:设置初始器、设置数据迭代器、设置修饰器、设置输出器、设置威胁情报采集分析器、设置simrank++算法相似度比较器、设置自适应蜜罐部署器与设置蜜罐数据分析器;
3、设置初始器:设置初始器用于对节点进行初始化处理;
4、设置数据迭代器:设置数据迭代器与设置初始器电性连接,所述设置数据迭代器用于对加权因子进行计算;
5、设置修饰器:设置修饰器与设置数据迭代器电性连接,所述设置修饰器用于对节点进行判断与处理;
6、设置输出器:设置输出器与设置修饰器电性连接,所述设置输出器用于获得节点之间的相似性分数;
7、设置威胁情报采集分析器:设置威胁情报采集分析器与设置输出器电性连接,所述设置威胁情报采集分析器用于提取攻击行为数据,并根据被攻击服务构建蜜罐库;
8、设置simrank++算法相似度比较器:设置simrank++算法相似度比较器与设置威胁情报采集分析器电性连接,所述设置simrank++算法相似度比较器用于计算攻击主体和防护主体的相似度;
9、设置自适应蜜罐部署器:设置自适应蜜罐部署器与设置simrank++算法相似度比较器电性连接,所述设置自适应蜜罐部署器用于对自适应蜜罐进行部署;
10、设置蜜罐数据分析器:设置蜜罐数据分析器与设置自适应蜜罐部署器电性连接,所述设置蜜罐数据分析器用于对攻击行为数据进行大数据分析。
11、优选的,所述设置初始器包括:
12、输入各节点对象属性,并设置所有非同一节点的相似度为0,每个节点与自己相似度为1;
13、设置衰减因子,用于控制两个节点间路径长度对相似对的影响;
14、为图中的每对节点初始化一个相似性矩阵,该矩阵用于存储节点之间的相似性分数;
15、初始化节点属性因子基础权重。
16、优选的,设置数据迭代器包括:
17、对于每对节点,引入节点的度数作为加权因子,采用公式如图3所示;
18、对于每对节点,计算它们的相似性分数;
19、使用度数加权因子来调整相似性分数,以考虑节点的度数;
20、更新相似性矩阵中对应位置的值,将计算得到的相似性分数存储其中;
21、重复步骤,直到相似性矩阵的值不再发生显著变化,达到收敛,递归方程式如图4所示。
22、优选的,设置修饰器包括:
23、基于度数的采样,即选择其中至少一个节点的度数较低的节点对;
24、基于结构进行剪枝,根据节点之间的结构信息,判断哪些节点对不具有相似性,并放弃那些不太可能具有显著相似性的节点。
25、优选的,设置输出器包括:
26、一旦相似性计算收敛,根据相似性矩阵中的值来获得节点之间的相似性分数;
27、当完成了simrank++算法构建后,便可以将威胁情报中分析的最新攻击行为与防护主体进行相似度比对并根据结果构建自适应蜜罐,具体步骤如图5所示。
28、优选的,设置威胁情报采集分析器包括:
29、使用数据采集技术对黑客论坛、安全论坛进行实时的攻击预告、攻击事件和攻击报告采集;
30、获取被攻击主体相关信息,包括攻击行为数据和被攻击组织属性;
31、提取被攻击组织属性,包括所属国家、所属地区、所属行业与组织规模;
32、提取攻击行为数据,分析攻击主体、被攻击服务与攻击事件的数据,并根据被攻击服务构建蜜罐库
33、优选的,设置simrank++算法相似度比较器包括:
34、将被攻击主体和防护主体作为节点输入simrank++算法图中;
35、将提取的被攻击组织属性作为因子填充给各对应节点;
36、计算两节点之间的相似度并进行记录更新;
37、进行多次迭代使矩阵中两节点的相似度记录变化达到敛值;
38、输出攻击主体和防护主体的相似度。
39、优选的,设置自适应蜜罐部署器包括:
40、判断主体相似度是否超过阈值;
41、如果超过则进入蜜罐部署阶段,会进入蜜罐自适应部署阶段,会以通过攻击行为提取的被攻击服务详细信息为模板,从蜜罐模板库中提取相对应服务版本类型蜜罐进行部署;
42、完成自适应蜜罐部署后,将会通过攻击行为数据中的被攻击主体所属行业构造对应类型的蜜饵;
43、如未超过则进入被攻击服务蜜罐模板入库阶段,将从攻击行为中提取的被攻击服务模板添加进蜜罐模板库中。
44、优选的,设置蜜罐数据分析器包括:
45、采集蜜罐捕获的泛型攻击数据;
46、使用大数据技术通过攻击时间、攻击地点与攻击次数的指标结合威胁情报采集分析器中提取的攻击行为数据进行大数据分析,得出各攻击行为威胁程度;
47、通过威胁程度给防护主体进行攻击预警。
48、优选的,所述实现方法的流程为:首先,设置初始器,对节点进行初始化处理,然后设置数据迭代器用于对加权因子进行计算,进而设置修饰器对节点进行判断与处理,然后使用设置输出器获得节点之间的相似性分数,再通过设置威胁情报采集分析器来提取本文档来自技高网...
【技术保护点】
1.一种基于威胁情报的自适应蜜罐技术的实现方法,其特征在于:所述实现方法包括:设置初始器、设置数据迭代器、设置修饰器、设置输出器、设置威胁情报采集分析器、设置simrank++算法相似度比较器、设置自适应蜜罐部署器与设置蜜罐数据分析器;
2.根据权利要求1所述的一种基于威胁情报的自适应蜜罐技术的实现方法,其特征在于,所述设置初始器包括:
3.根据权利要求1所述的一种基于威胁情报的自适应蜜罐技术的实现方法,其特征在于,设置数据迭代器包括:
4.根据权利要求1所述的一种基于威胁情报的自适应蜜罐技术的实现方法,其特征在于,设置修饰器包括:
5.根据权利要求1所述的一种基于威胁情报的自适应蜜罐技术的实现方法,其特征在于,设置输出器包括:
6.根据权利要求1所述的一种基于威胁情报的自适应蜜罐技术的实现方法,其特征在于,设置威胁情报采集分析器包括:
7.根据权利要求1所述的一种基于威胁情报的自适应蜜罐技术的实现方法,其特征在于,设置simrank++算法相似度比较器包括:
8.根据权利要求1所述的一种基于威胁
9.根据权利要求1所述的一种基于威胁情报的自适应蜜罐技术的实现方法,其特征在于,设置蜜罐数据分析器包括:
10.根据权利要求9所述的一种基于威胁情报的自适应蜜罐技术的实现方法,其特征在于,所述实现方法的流程为:首先,设置初始器,对节点进行初始化处理,然后设置数据迭代器用于对加权因子进行计算,进而设置修饰器对节点进行判断与处理,然后使用设置输出器获得节点之间的相似性分数,再通过设置威胁情报采集分析器来提取攻击行为数据,并根据被攻击服务构建蜜罐库,使用设置simrank++算法相似度比较器用于计算攻击主体和防护主体的相似度,进而设置自适应蜜罐部署器用于对自适应蜜罐进行部署,最后设置蜜罐数据分析器来对攻击行为数据进行大数据分析。
...【技术特征摘要】
1.一种基于威胁情报的自适应蜜罐技术的实现方法,其特征在于:所述实现方法包括:设置初始器、设置数据迭代器、设置修饰器、设置输出器、设置威胁情报采集分析器、设置simrank++算法相似度比较器、设置自适应蜜罐部署器与设置蜜罐数据分析器;
2.根据权利要求1所述的一种基于威胁情报的自适应蜜罐技术的实现方法,其特征在于,所述设置初始器包括:
3.根据权利要求1所述的一种基于威胁情报的自适应蜜罐技术的实现方法,其特征在于,设置数据迭代器包括:
4.根据权利要求1所述的一种基于威胁情报的自适应蜜罐技术的实现方法,其特征在于,设置修饰器包括:
5.根据权利要求1所述的一种基于威胁情报的自适应蜜罐技术的实现方法,其特征在于,设置输出器包括:
6.根据权利要求1所述的一种基于威胁情报的自适应蜜罐技术的实现方法,其特征在于,设置威胁情报采集分析器包括:
7.根据权利要求1所述的一种基于威胁情报...
【专利技术属性】
技术研发人员:唐卫民,徐留杰,金瀚,张居阳,
申请(专利权)人:北京国御网络安全技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。