一种基于态势感知的蜜阵阵图变化方法与流程

1.本发明涉及网络安全技术领域，尤其涉及一种基于态势感知的蜜阵阵图变化方法。


背景技术：

2.随着互联网技术的快速发展，网络应用的规模也在日益扩大，改变了人们学习和生活方式，带来了方便和快捷，但也伴随着网络安全隐患。近几年网络攻击事件频发，这给国家造成的损失也是难以估量的，因此国家对网络安全问题的关注也在日益加大。
3.针对网络攻击，利用蜜点进行欺骗是常用的主动防御技术，蜜点通常会对真实网络系统的主机和业务进行全方位的模拟，作为陷阱用来检测和抵御未经授权操作或黑客攻击，可以较好地引诱和迷惑攻击者，并与攻击者进行长时间高频次的交互，不仅可以保护真实主机的安全，还可以捕获攻击者的攻击行为。
4.部署在一个网络中的所有蜜点和真实主机与业务以及它们的拓扑构成防御阵图。蜜阵是具备对网络中所有蜜点进行管理，控制蜜点网络拓扑进行防御阵图变换等功能的系统。最初的蜜阵防御阵图大多数都是静态配置的，即防御阵图配置好之后不会随着攻击态势而进行改变。这样的蜜阵防御阵图无法在网络态势发生变化时，动态地调整蜜点的属性和拓扑，从而使欺骗攻击者的能力受到了极大限制。
5.为了提高蜜阵的欺骗能力，应使蜜阵能够根据网络态势实时地调整自身的属性。因此，蜜阵要根据与攻击者的交互信息进行态势感知，识别攻击者的攻击意图，预测下一步的攻击行动，根据预测结果动态调整蜜点的部署，进行防御阵图的变换。目前，现有技术中还没有一种有效的蜜阵阵图变换方法。


技术实现要素：

6.本发明的实施例提供了一种基于态势感知的蜜阵阵图变化方法，以实现有效地进行网络攻击防御。
7.为了实现上述目的，本发明采取了如下技术方案。
8.一种基于态势感知的蜜阵阵图变化方法，包括：
9.基于蜜点的响应信息识别攻击者的网络攻击行为；
10.收集攻击者的攻击信息，还原攻击者的攻击链；
11.构建攻击模式库，将所述攻击者的攻击链与所述攻击模式库进行态势感知匹配，预测攻击者的下一步攻击行为；
12.根据攻击者的下一步攻击行为进行蜜阵阵图变换。
13.优选地，所述的基于蜜点的响应信息识别攻击者的网络攻击行为，包括：
14.获取蜜点告警信息，根据告警信息判断业务系统是否被攻击，在确定业务系统被攻击后，识别攻击者的网络攻击行为，该网络攻击行为包括识别攻击者ip和攻击者危险等级。
15.优选地，所述的收集攻击者的攻击信息，还原攻击者的攻击链，包括：
16.收集攻击者的攻击信息，该攻击信息包括攻击者ip所访问过的所有蜜点和真实主机与业务的日志信息，以及攻击者对各个业务和服务器的访问时间，根据所述攻击者的攻击信息构建攻击者的攻击链。
17.优选地，所述的构建攻击模式库，将所述攻击者的攻击链与所述攻击模式库进行态势感知匹配，预测攻击者的下一步攻击行为，包括：
18.对历史网络攻击流量进行数据提取，提取攻击者ip所访问过的所有蜜点和真实主机与业务的日志信息，以及攻击者对各个业务和服务器的访问时间，构建攻击者的攻击链，利用关联规则学习算法中的先验算法，基于提取到的攻击者的攻击链识别攻击模式，构建攻击模式库，所述攻击模式是指攻击者在攻击时采用的具体步骤以及对业务网络的攻击行为；
19.利用支持度、信息水准和提升度对攻击模式库中的攻击模式进行筛选，所述支持度是指模式m的支持度就是该模式m出现的总次数除以所有模式出现的总次数；所述信息水准是指模式m1推出模式m2的信息水准就是既出现模式m1又出现模式m2的总数除以所有出现模式m1的总数；所述提升度是指模式m1到模式m2的提升度就是模式m1到模式m2的信心水准除以m2的支持度。
20.通过关联规则算法将所述攻击者的攻击链与所述攻击模式库进行态势感知匹配，提取所述攻击模式库中与所述攻击者的攻击链匹配的攻击模式，根据提取的攻击模式预测攻击者的下一步攻击行为。
21.优选地，所述的根据攻击者的下一步攻击行为进行蜜阵阵图变换，包括：
22.对攻击者下一步或几步要访问的服务器或者业务部署蜜点，保护攻击者接下来想要访问的真实服务器或者业务，对攻击者下一步或几步不进行访问的服务器或者业务已经部署的蜜点进行撤销。
23.由上述本发明的实施例提供的技术方案可以看出，本发明方法利用蜜阵根据攻击者的交互信息进行态势感知，识别攻击者的攻击意图，预测下一步的攻击行动，根据预测结果动态调整蜜点的部署，进行防御阵图的变换。
24.本发明附加的方面和优点将在下面的描述中部分给出，这些将从下面的描述中变得明显，或通过本发明的实践了解到。
附图说明
25.为了更清楚地说明本发明实施例的技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
26.图1为本发明提供的一种基于关联规则学习的态势感知方法的处理流程图；
27.图2为本发明提供的一种基于态势感知的蜜阵阵图变化方法的一种优选实施例的流程图。
具体实施方式
28.下面详细描述本发明的实施方式，所述实施方式的示例在附图中示出，其中自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过参考附图描述的实施方式是示例性的，仅用于解释本发明，而不能解释为对本发明的限制。
29.本技术领域技术人员可以理解，除非特意声明，这里使用的单数形式“一”、“一个”、“所述”和“该”也可包括复数形式。应该进一步理解的是，本发明的说明书中使用的措辞“包括”是指存在所述特征、整数、步骤、操作、元件和/或组件，但是并不排除存在或添加一个或多个其他特征、整数、步骤、操作、元件、组件和/或它们的组。应该理解，当我们称元件被“连接”或“耦接”到另一元件时，它可以直接连接或耦接到其他元件，或者也可以存在中间元件。此外，这里使用的“连接”或“耦接”可以包括无线连接或耦接。这里使用的措辞“和/或”包括一个或更多个相关联的列出项的任一单元和全部组合。
30.本技术领域技术人员可以理解，除非另外定义，这里使用的所有术语(包括技术术语和科学术语)具有与本发明所属领域中的普通技术人员的一般理解相同的意义。还应该理解的是，诸如通用字典中定义的那些术语应该被理解为具有与现有技术的上下文中的意义一致的意义，并且除非像这里一样定义，不会用理想化或过于正式的含义来解释。
31.为便于对本发明实施例的理解，下面将结合附图以几个具体实施例为例做进一步的解释说明，且各个实施例并不构成对本发明实施例的限定。
32.本发明实施例提供了一种基于关联规则学习的态势感知方法，用于解决现有技术中存在的如何根据内网和攻击者的入侵信息等防御情报特征提取攻击特征，进行态势感知，识别攻击者的攻击意图，预测下一步或者几步的攻击行动的问题。
33.本发明实施例提供的一种基于关联规则学习的态势感知方法的处理流程如图1所示，包括如下处理步骤：
34.步骤s1：构建攻击者的攻击模式库。
35.步骤s2：获取蜜阵中蜜点及真实主机与业务的状态。
36.步骤s3：基于攻击模式库与蜜阵中蜜点及真实主机与业务的状态，进行态势感知，识别攻击者的意图，预测攻击者下一步或者多步的攻击行为。
37.在本发明提供的实施例中，在步骤s1中，要对网络攻击流量进行数据提取，根据访问业务以及服务器的时间，构建完整的攻击链。该攻击链包括攻击者访问服务器与业务的名称、攻击行为等。利用关联规则学习算法中的先验算法，基于提取到的攻击链识别攻击模式，构建攻击模式库，并利用支持度、信息水准和提升度对攻击模式库中的攻击模式进行筛选。攻击模式是指攻击者在攻击时采用的具体步骤以及对业务网络的攻击行为。
38.关于支持度是指模式m的支持度就是该模式m出现的总次数除以所有模式出现的总次数；关于信息水准，模式m1推出模式m2的信息水准就是既出现模式m1又出现模式m2的总数除以所有出现模式m1的总数；关于提升度，模式m1到模式m2的提升度就是模式m1到模式m2的信心水准除以m2的支持度。
39.为了解决根据预测结果动态调整蜜点的部署，进行防御阵图变换的问题，本发明实施例提供的一种基于态势感知的蜜阵阵图变化方法的处理流程如图2所示，包括如下处理步骤：
40.步骤s1：基于蜜点的响应信息识别攻击者的网络攻击行为。
41.步骤s2：收集攻击者的攻击信息，还原攻击者的攻击链。
42.步骤s3：根据攻击者的攻击链进行态势感知，预测攻击者的下一步攻击行为。
43.步骤s4：根据攻击者的下一步攻击行为进行蜜阵阵图变换。
44.步骤s1中响应信息包括但不限于蜜点告警信息，根据告警信息判断业务系统是否被攻击。在确定业务系统被攻击后，攻击识别包括但不限于识别攻击者ip，攻击者危险等级。
45.步骤s2中信息搜集包括攻击ip所访问过的所有蜜点和真实主机与业务的日志信息，以及攻击者对各个业务和服务器的访问时间，构建攻击者的攻击链，用于与攻击模式库进行匹配。
46.步骤s3中的搜集到的信息包括攻击者的攻击链中访问的蜜点、业务、服务器等。通过关联规则算法将所述攻击者的攻击链与所述攻击模式库进行态势感知匹配，提取所述攻击模式库中与所述攻击者的攻击链匹配的攻击模式，根据提取的攻击模式识别攻击者的意图，预测攻击者的下一步攻击行为。作为蜜阵阵图变换的依据。
47.步骤s4中的蜜阵阵图变换包括对攻击者下一步或几步要访问的服务器或者业务部署蜜点，保护攻击者接下来想要访问的真实服务器或者业务。蜜阵阵图变换还包括对攻击者下一步或几步不进行访问的服务器或者业务已经部署的蜜点进行撤销，节省资源，防止部署的蜜点过多，影响真实系统的正常运行。
48.综上所述，本发明实施例方法利用蜜阵根据攻击者的交互信息进行态势感知，识别攻击者的攻击意图，预测下一步的攻击行动，根据预测结果动态调整蜜点的部署，进行防御阵图的变换。
49.本发明实施例方法根据蜜阵中部署的蜜点获取的攻击者的交互信息，识别攻击者的攻击意图，预测攻击者下一步的攻击行为，根据预测结果动态调整蜜点的部署，进行防御阵图的变换。根据预测的攻击者下一步或者几步的攻击行为，有针对的在预测的被攻击的业务、主机或者服务器部署蜜点，达到更加精准的保护效果。同时也可以根据预测结果撤销某些已经部署的蜜点，节省资源。根据态势感知的预测结果，可以实现自动的动态防御阵图变换，可以达到更加具有针对性、精准和有效的保护服务。
50.本领域普通技术人员可以理解：附图只是一个实施例的示意图，附图中的模块或流程并不一定是实施本发明所必须的。
51.通过以上的实施方式的描述可知，本领域的技术人员可以清楚地了解到本发明可借助软件加必需的通用硬件平台的方式来实现。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品可以存储在存储介质中，如rom/ram、磁碟、光盘等，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本发明各个实施例或者实施例的某些部分所述的方法。
52.本说明书中的各个实施例均采用递进的方式描述，各个实施例之间相同相似的部分互相参见即可，每个实施例重点说明的都是与其他实施例的不同之处。尤其，对于装置或系统实施例而言，由于其基本相似于方法实施例，所以描述得比较简单，相关之处参见方法实施例的部分说明即可。以上所描述的装置及系统实施例仅仅是示意性的，其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或
者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性劳动的情况下，即可以理解并实施。
53.以上所述，仅为本发明较佳的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，可轻易想到的变化或替换，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应该以权利要求的保护范围为准。

技术特征：
1.一种基于态势感知的蜜阵阵图变化方法，其特征在于，包括：基于蜜点的响应信息识别攻击者的网络攻击行为；收集攻击者的攻击信息，还原攻击者的攻击链；构建攻击模式库，将所述攻击者的攻击链与所述攻击模式库进行态势感知匹配，预测攻击者的下一步攻击行为；根据攻击者的下一步攻击行为进行蜜阵阵图变换。2.根据权利要求1所述的方法，其特征在于，所述的基于蜜点的响应信息识别攻击者的网络攻击行为，包括：获取蜜点告警信息，根据告警信息判断业务系统是否被攻击，在确定业务系统被攻击后，识别攻击者的网络攻击行为，该网络攻击行为包括识别攻击者ip和攻击者危险等级。3.根据权利要求2所述的方法，其特征在于，所述的收集攻击者的攻击信息，还原攻击者的攻击链，包括：收集攻击者的攻击信息，该攻击信息包括攻击者ip所访问过的所有蜜点和真实主机与业务的日志信息，以及攻击者对各个业务和服务器的访问时间，根据所述攻击者的攻击信息构建攻击者的攻击链。4.根据权利要求1、2或者3所述的方法，其特征在于，所述的构建攻击模式库，将所述攻击者的攻击链与所述攻击模式库进行态势感知匹配，预测攻击者的下一步攻击行为，包括：对历史网络攻击流量进行数据提取，提取攻击者ip所访问过的所有蜜点和真实主机与业务的日志信息，以及攻击者对各个业务和服务器的访问时间，构建攻击者的攻击链，利用关联规则学习算法中的先验算法，基于提取到的攻击者的攻击链识别攻击模式，构建攻击模式库，所述攻击模式是指攻击者在攻击时采用的具体步骤以及对业务网络的攻击行为；利用支持度、信息水准和提升度对攻击模式库中的攻击模式进行筛选，所述支持度是指模式m的支持度就是该模式m出现的总次数除以所有模式出现的总次数；所述信息水准是指模式m1推出模式m2的信息水准就是既出现模式m1又出现模式m2的总数除以所有出现模式m1的总数；所述提升度是指模式m1到模式m2的提升度就是模式m1到模式m2的信心水准除以m2的支持度。通过关联规则算法将所述攻击者的攻击链与所述攻击模式库进行态势感知匹配，提取所述攻击模式库中与所述攻击者的攻击链匹配的攻击模式，根据提取的攻击模式预测攻击者的下一步攻击行为。5.根据权利要求4所述的方法，其特征在于，所述的根据攻击者的下一步攻击行为进行蜜阵阵图变换，包括：对攻击者下一步或几步要访问的服务器或者业务部署蜜点，保护攻击者接下来想要访问的真实服务器或者业务，对攻击者下一步或几步不进行访问的服务器或者业务已经部署的蜜点进行撤销。

技术总结
本发明提供了一种基于态势感知的蜜阵阵图变化方法。该方法包括：基于蜜点的响应信息识别攻击者的网络攻击行为；收集攻击者的攻击信息，还原攻击者的攻击链；构建攻击模式库，将攻击者的攻击链与攻击模式库进行态势感知匹配，预测攻击者的下一步攻击行为；根据攻击者的下一步攻击行为进行蜜阵阵图变换。本发明方法利用蜜阵根据攻击者的交互信息进行态势感知，识别攻击者的攻击意图，预测下一步的攻击行动，根据预测结果动态调整蜜点的部署，进行防御阵图的变换。防御阵图的变换。防御阵图的变换。


技术研发人员：李夫兵 宋廷一
受保护的技术使用者：软极网络技术（北京）有限公司
技术研发日：2023.06.29
技术公布日：2023/9/9