[发明专利]一种基于蜜洞的攻击溯源方法

说明书

本发明提供了一种基于蜜洞的攻击溯源方法。该方法包括：将蜜洞系统部署于近入侵侧的真实网络中，通过蜜洞系统中的数据采集模块对客户端的数据流量和操作日志进行采集，通过蜜洞系统中的行为分析模块对数据采集模块存储的原始数据进行解析和抽取，生成描述该用户访问特征的访问基线和操作链路，判断用户的风险等级，攻击溯源模块根据接收到的告警信息和用户访问数据信息向可疑用户释放木马类溯源认证工具，根据可疑用户返回的信用凭据决定是否允许该可疑用户访问网络。本发明方法可以实现在攻击者接近攻击目标前拦截其访问，避免对于被保护系统不可逆的远程操作，通过自动化索要身份证明，保障了合法用户的正常访问，提升了出现攻击后溯源的能力。

技术领域

本发明涉及网络安全监测技术领域，尤其涉及一种基于蜜洞的攻击溯源方法。

背景技术

随着互联网技术的发展，网络安全隐患出现在越来越多的应用场景中。近年来，互联网行业中网络攻击事件频繁发生，给企业乃至国家都带来了极大的损失和负面影响，网络安全也因此备受重视。

为防范网络攻击，蜜点、蜜网和蜜罐等系统通过对真实目标的克隆和对攻击者的诱导，欺骗攻击者对虚假目标进行攻击，一方面使攻击者远离真实目标，另一方面通过与攻击者的交互分析其攻击手段。然而，这些系统均被部署在“近保护对象侧”，攻击者可以长期、慢速、持续的对保护对象进行探测从而积累足够多的有效情报，而无需担心溯源风险。此外，无论是服务白名单还是威胁情报系统，都不能草率地直接拦截可疑攻击，以免错误拦截合法用户访问。这增加了攻击者渗透至被保护对象进行破坏的风险，易导致攻击者对被保护对象造成不可逆的破坏。如何将网络攻防的战场移动到近入侵侧，在攻击者接近被保护对象前将其拦截，越来越成为网络安全的焦点。

蜜网是一种故意设计成有漏洞，引诱攻击者攻击，从而捕获攻击者行为的一种主动安全防御系统，它是由多个蜜罐和网络分析系统一起组成的一个具有诱捕网络攻击功能的仿真网络。其中蜜罐被定义为“一种虚假的、具备吸引性和诱骗性的资源，其价值在于被探测、被攻击甚至被攻陷”。通过在蜜网中部署没有攻击价值的服务器、主机和其他资源来诱骗攻击者，捕获攻击者对目标网络的攻击行为并提供给网络管理人员进行研究分析，判断入侵者的攻击方法、策略与目的，从而更新自身防御措施，保护真实的网络资源。

蜜罐系统存在着仿真度与可控性之间的矛盾问题，在部署中因缺少真实业务而容易被入侵者识别，因此在实际构建蜜罐系统的过程中，构建者经常会在蜜罐中增加多种虚假面包屑信息和蜜饵数据或文件，以增强蜜罐系统的吸引力，引入蜜标技术增加系统的追踪溯源能力。蜜标技术就是在构建的陷阱网络中通过脚本捆绑或标识嵌入等技术部署各种虚假业务信息，增加蜜罐系统的业务真实性，引诱入侵者触碰或攻击，以便实现对入侵者追踪溯源。从概念上来说，蜜标就是蜜罐的延伸和改进，蜜标文件不仅仅是一种信息资源，更多的时候是用于诱捕非法入侵者的信息实体或资源，包含有用于跟踪攻击者的诱饵的数字数据，包括虚假电子邮件地址、用户账户、数据库信息和虚假程序等，是一种合法访问都不会去访问的资源，因此任何访问者都是潜在的非法入侵者。

上述现有技术中的基于蜜点、蜜网和蜜罐的攻击溯源方法的缺点为：

1、对攻击者入侵响应不够及时，可能会导致攻击者对被保护对象进行渗透后才发现其攻击行为，对被保护对象造成不可逆的损坏。

2、对攻击者溯源难度高。由于防御系统只能获取攻击者的攻击手段和攻击时间等信息，对攻击者的身份认证工作难度大、耗时长，攻击溯源效率低。

发明内容

本发明的实施例提供了一种基于蜜洞的攻击溯源方法，以实现有效地对对可疑用户进行拦截和攻击溯源。

为了实现上述目的，本发明采取了如下技术方案。

一种基于蜜洞的攻击溯源方法，包括：

将蜜洞系统部署于近入侵侧的真实网络中，该蜜洞系统包括数据采集模块、行为分析模块、安全系统和攻击溯源模块；