[发明专利]基于攻击行为分析的蜜网内横向移动攻击路径确定方法

说明书

本发明提供了一种基于攻击行为分析的蜜网内横向移动攻击路径确定方法，涉及蜜罐技术领域，包括如下步骤：S1：部署多个蜜罐组成蜜网环境；S2：对步骤S1中捕获到的所有蜜罐攻击数据，进行清洗和预处理；S3：将步骤S2中处理后的所有蜜罐攻击数据存储到数据库中进行持久化保存；S4：判断攻击数据的攻击源是否在蜜网环境内；若不在蜜网环境内，则当前蜜罐即为攻击者进入蜜网环境内的入口蜜罐；若在蜜网环境内，则当前蜜罐存在上游跳板蜜罐；S5：结合所有蜜罐攻击数据进行关联性分析；该发明提供的攻击路径完全按照攻击者在蜜网内横向移动攻击行为实际情况确定，不预设可能存在的攻击路径，较现有技术更为灵活精准。

技术领域

本发明涉及蜜罐技术领域，特别涉及一种基于攻击行为分析的蜜网内横向移动攻击路径确定方法。

背景技术

蜜罐技术一般伪装成留有漏洞的网络服务，对攻击连接做出响应，可用于欺骗攻击方，增加其攻击代价，并对其进行监控。实际应用中通常将多个蜜罐搭建在同一个网络中形成蜜网，为攻击者提供真实丰富的业务环境，加大攻击者的识别难度。

当攻击者进入蜜网系统后，接下来便是进行横向移动攻击，寻找有价值的资源，为了更好的对攻击者进行监控，识别出攻击者的攻击意图及目标，需要掌握攻击者在蜜网内的横向移动攻击路径。

专利文献CN108234400A公开了一种攻击行为确定方法、装置及态势感知系统，该方案是根据目标访问行为的访问路径节点以及目标访问行为在访问路径节点的访问触发时刻，确定目标访问行为的访问路径时间轴；根据确定的攻击路径时间轴，和预设的攻击路劲信息库进行比对，匹配到已有记录时得出攻击路径结论。

而上述专利文献CN108234400A提供的攻击行为确定方法方法过于僵化，需要预设可能存在的攻击路径，当访问路径不存在与预设库中时无法对访问路径进行明确；而且当同时有多个攻击者进入到蜜网中，都在进行横向移动攻击，通过时间轴的方式将无法甄别出多个攻击者各自的攻击路径。

发明内容

为解决现有技术中的技术问题，本发明提供了一种基于攻击行为分析的蜜网内横向移动攻击路径确定方法，在本发明中，使用多个蜜罐组成蜜网环境，蜜罐中部署蜜罐监控程序进行实时监控，捕获到的攻击数据存储到装置中的数据存储模块，通过对攻击数据进行分析，准确定位出攻击者当前位置及在蜜网内横向移动路径；具体技术方案如下：

本发明提供了一种基于攻击行为分析的蜜网内横向移动攻击路径确定方法，其特征在于，包括如下步骤：

S1：部署多个蜜罐组成蜜网环境；所述蜜罐内设置有蜜罐监控模块，所述蜜罐监控模块用于精确识别当前蜜罐内活动攻击者，并将攻击行为数据和攻击者挂钩；

S2：对步骤S1中捕获到的所有蜜罐攻击数据，进行清洗和预处理，使得每一个蜜罐攻击数据均归属到相应的攻击源；

S3：将步骤S2中处理后的所有蜜罐攻击数据和相应的攻击源存储到数据库中进行持久化保存；

S4：判断蜜罐攻击数据相应的攻击源是否在蜜网环境内；若不在蜜网环境内，则当前蜜罐即为攻击者进入蜜网环境内的入口蜜罐；若在蜜网环境内，则当前蜜罐存在上游跳板蜜罐，进行步骤S5；

S5：结合步骤S3中数据库中保存的所有蜜罐攻击数据和相应的攻击源进行关联性分析，逐层追溯攻击者进入当前蜜罐使用的上游跳板蜜罐；直至成功追溯到所有上游跳板蜜罐；

S6：根据蜜罐间攻击行为的关联性逐层往上游跳板蜜罐进行路径回溯，描绘出攻击者进入蜜网环境内的入口蜜罐和在蜜网环境内横向移动攻击路径。

优选地，所述攻击行为数据和攻击源挂钩，即是将蜜罐监控程序捕获到的攻击行为和产生这条攻击行为的网络连接挂钩，每条攻击行为数据在和攻击源挂钩后，攻击行为数据中包含一条网络连接信息“源IP/源端口-目标IP/目标端口”，此时目标IP即为被攻击的蜜罐IP，目标端口即为被攻击的蜜罐服务端口。