[发明专利]一种基于集中管控的积极的安全防御的系统

说明书

本发明公开了一种基于集中管控的积极的安全防御的系统，其特征在于，所述系统，包括诱饵模块和监控模块，并以可视化来展示恶意活动；所述诱饵模块，创建、管理和部署诱饵，并支持动态地部署和动态地配置诱饵网络；所述监控模块，采集和分析诱饵模块所产生的日志数据，监视攻击者与诱饵的交互，预测和早期发现企业网络中的黑客的攻击活动，并进行预警，包括日志采集、负载均衡、前端GUI和搜索引擎四个子模块。通过本发明，构建了一个以欺骗技术为基础的网络安全防御，能够预测黑客的攻击，并能够克服传统的网络安全防御的缺陷。

技术领域

本发明涉及网络安全、SOC（Security operation center）、积极的安全防御、关键基础设施和欺骗的技术领域，尤其涉及到一种基于集中管控的积极的安全防御的系统。

背景技术

网络安全可以看作是防御者和攻击者之间的一系列不对称冲突。防御者需要一直保持正确（或安全）才能将攻击者挡在门外，而攻击者只需要正确一次就可以成功。这就要求防御者在其网络上有高水平的安全保证，需要有针对性的风险管理过程。在保护企业网络安全时，不可能消除所有的安全漏洞，因此，防御者必须将重点放在风险最小化。一种网络风险管理策略就是找到系统中存在的漏洞，评估这些漏洞发生的可能性，然后确定这些漏洞被利用时的影响。这就给防御者留下了一个模型，表示哪些漏洞是优先的，应该首先修复。安全防御者的资源有限，因此，他们必须根据所述修复的成本价格分析来选择要实施的修复。这使得一些优先级较低的漏洞未能修补，而其他漏洞的修补不完善。简言之，完全防卫一个企业的运营网络是不可能完成的任务。如前所述，攻击者不需要找到网络中的所有漏洞来实现他们的目标，相反，他们只需要找到一个或几个漏洞。这样，攻击者就具有明显的不对称优势。对于网络防御者来说，这种不对称优势很有可能通过使用防御欺骗技术来重新平衡，这有望对如何面对威胁能够产生改变游戏规则的影响。

基于边界的网络防御策略利用传统的安全措施，如防火墙、身份访问控制4A和入侵防御系统（Intrusion Prevention System IPS），已被证明对渗透突入（infiltration）的抵抗力较弱。即使采用纵深网络防御策略，在目标网络中设置多层常规安全控制，网络防御者仍然很难防止和检测到复杂的攻击，如高级持久威胁（Advanced Persistent ThreatAPT）的入侵。这种有针对性的攻击通常利用零日漏洞在目标网络上建立立足点（footholds），留下极少的恶意活动痕迹供检测。此外，传统的异常检测解决方案，例如，入侵检测系统IDS和基于行为的恶意软件扫描器，往往会引发大量的误报告警，这困扰着网络防御者，并损害他们识别和响应真实攻击的效率。早在20世纪80年代末就出现的蜜罐（honeypot）那样的防御性欺骗技术，只能静态部署和配置，黑客将有足够的时间推断它们的存在，绘制出它们的地图，并反过来躲避它们。总之，已有技术总是存在这样或那样的缺陷，满足不了100%的网络安全的需求。因此，当前迫切需要一种新颖的防御性欺骗技术。

这种崭新的防御性欺骗技术，不仅有助于建立积极的网络安全防御态势，能够在攻击发生之前预测到攻击，而且还能够检测到零日漏洞，由于合法用户活动和恶意交互之间有明确的界限，因此它的误报率也较低，等。然而，已有的许多安全产品或正在开发中的安全产品还没有将防御性欺骗技术纳入安全战略中。

发明内容

为了解决上述技术问题，本发明提供了一种基于集中管控的积极的安全防御的系统，采用欺骗技术，通过使用动态的诱饵网络来迷惑攻击者，从而使攻击者更难找到真正的组件，从而改善企业网络的安全态势。

一种基于集中管控的积极的安全防御的系统，其特征在于，所述系统，包括诱饵模块和监控模块，并通过可视化展示恶意的活动；

所述诱饵模块，创建、管理和部署诱饵，并支持动态地部署和动态地配置诱饵网络；

所述创建，能够根据黑客发起攻击的不同阶段来创建适合的诱饵，包括侦察阶段诱饵、交付阶段诱饵、安装阶段诱饵、特权提升阶段诱饵、横向扩张阶段诱饵、攻击对象阶段诱饵和撤出阶段诱饵，诱饵使得威胁行为者无法实现其攻击目标，其恶意活动也将被发现；