用于網(wǎng)絡(luò)靶場(chǎng)的攻擊行為實(shí)時(shí)跟蹤分析方法
【專利摘要】本發(fā)明公開了一種用于網(wǎng)絡(luò)靶場(chǎng)的攻擊行為實(shí)時(shí)跟蹤分析方法,包括以下步驟:數(shù)據(jù)收集;數(shù)據(jù)分析;判斷攻擊行為是否是攻擊殺傷鏈的第一步;判斷攻擊行為是否是攻擊殺傷鏈的第二步,記錄并計(jì)分;判斷攻擊行為是否是攻擊殺傷鏈的第三步,記錄并計(jì)分;判斷攻擊行為是否是攻擊殺傷鏈的第四步,記錄并計(jì)分;判斷攻擊行為是否是攻擊殺傷鏈的第五步,記錄并計(jì)分;判斷攻擊行為是否是攻擊殺傷鏈的第六步,記錄并計(jì)分;判斷攻擊行為是否是攻擊殺傷鏈的第七步,阻斷攻擊,或記錄并計(jì)分,結(jié)束。通過本發(fā)明,能判斷是否為攻擊行為的效率高,能跟蹤攻擊行為過程,判斷是否為攻擊行為的準(zhǔn)確率高。
【專利說明】
用于網(wǎng)絡(luò)靶場(chǎng)的攻擊行為實(shí)時(shí)跟蹤分析方法
技術(shù)領(lǐng)域
[0001]本發(fā)明涉及一種網(wǎng)絡(luò)靶場(chǎng)的入侵檢測(cè)技術(shù),尤其涉及一種用于網(wǎng)絡(luò)靶場(chǎng)的攻擊行為實(shí)時(shí)跟蹤分析方法。
【背景技術(shù)】
[0002]信息安全的重要性已經(jīng)提升至國(guó)家戰(zhàn)略層面,在中國(guó)信息化發(fā)展戰(zhàn)略中,已將“構(gòu)建可信、可管、可控的網(wǎng)絡(luò)空間”列入信息安全發(fā)展的總體目標(biāo)。中國(guó)設(shè)立了國(guó)家安全委員會(huì),完善國(guó)家安全體制和國(guó)家安全戰(zhàn)略,確保國(guó)家安全。為此,努力培養(yǎng)信息安全專業(yè)人才,成為國(guó)家安全戰(zhàn)略的主力保障是當(dāng)前國(guó)家安全戰(zhàn)略層面非常緊迫的任務(wù)和要求。
[0003]信息安全人才除了要掌握大量理論知識(shí)外,更注重的是實(shí)踐動(dòng)手能力。但是很多信息安全方面的實(shí)踐具有強(qiáng)大的破壞性,所以只有通過虛擬機(jī)或仿真平臺(tái)來進(jìn)行學(xué)習(xí)和訓(xùn)練。同樣,加深理解和提高實(shí)際應(yīng)用操作能力也是主要途徑。因此建設(shè)專門用來學(xué)習(xí)和提高信息安全實(shí)際應(yīng)用操作能力的網(wǎng)絡(luò)靶場(chǎng)就顯得非常重要。
[0004]網(wǎng)絡(luò)靶場(chǎng),是一個(gè)基于云計(jì)算架構(gòu)的網(wǎng)絡(luò)安全對(duì)抗戰(zhàn)實(shí)驗(yàn)平臺(tái),可以實(shí)現(xiàn)模擬網(wǎng)絡(luò)攻防對(duì)抗場(chǎng)景、記錄網(wǎng)絡(luò)攻防行為、提供大型實(shí)戰(zhàn)網(wǎng)絡(luò)攻防訓(xùn)練、支持網(wǎng)絡(luò)安全事件復(fù)盤、為安全產(chǎn)品提供測(cè)試展示平臺(tái)等功能。
[0005]網(wǎng)絡(luò)靶場(chǎng)一個(gè)重要的功能就是要直觀的給客戶展示出整個(gè)動(dòng)態(tài)攻擊過程,因此需要對(duì)攻擊行為實(shí)時(shí)跟蹤分析,如何判斷某個(gè)網(wǎng)絡(luò)行為是否是攻擊行為已是網(wǎng)絡(luò)靶場(chǎng)的核心技術(shù)之一,即網(wǎng)絡(luò)靶場(chǎng)需要具有入侵檢測(cè)的功能。
[0006]傳統(tǒng)的入侵檢測(cè)技術(shù)的核心問題是如何截獲所有的網(wǎng)絡(luò)信息,通過對(duì)數(shù)據(jù)的分析來判斷是否是入侵行為。傳統(tǒng)的入侵檢測(cè)技術(shù)分為異常檢測(cè)和誤用檢測(cè)兩大類。
[0007]異常檢測(cè)的工作原理是指收集一段時(shí)期正常操作活動(dòng)的歷史數(shù)據(jù),建立代表用戶、主機(jī)或網(wǎng)絡(luò)連接的正常行為庫(kù),將收集到的事件相關(guān)數(shù)據(jù)和正常行為庫(kù)進(jìn)行比較,如果該行為在正常值范圍之外時(shí),則判定是入侵行為,否則是正常行為。異賞檢測(cè)的優(yōu)點(diǎn)是可檢測(cè)到未知的入侵和更為復(fù)雜的入侵;缺點(diǎn)是誤報(bào)、漏報(bào)率高,且不適應(yīng)用戶正常行為的突然改變。
[0008]誤用檢測(cè)又稱基于特征碼的檢測(cè),是指對(duì)不正常的行為進(jìn)行建模,即建立已知的入侵行為特征庫(kù),將收集到的事件相關(guān)數(shù)據(jù)和該入侵行為特征庫(kù)進(jìn)行比較,如果該行為在特征庫(kù)中,則判定是入侵行為,否則是正常行為。誤用檢測(cè)的優(yōu)點(diǎn)是檢測(cè)準(zhǔn)確率高,缺點(diǎn)是無(wú)法檢測(cè)到從未出現(xiàn)過的攻擊手段,特征庫(kù)需要不斷升級(jí)。
[0009]總之,無(wú)論是異常檢測(cè)還是誤用檢測(cè),傳統(tǒng)的入侵檢測(cè)技術(shù)主要存在著三方面的缺點(diǎn):
一是傳統(tǒng)的入侵檢測(cè)技術(shù)嚴(yán)重依賴于特征庫(kù)或正常行為庫(kù),需要及時(shí)對(duì)庫(kù)進(jìn)行更新,并且隨時(shí)時(shí)間的推移,庫(kù)的數(shù)據(jù)會(huì)越來越大,進(jìn)行匹配判定的時(shí)間也會(huì)越來越長(zhǎng),大大降低了入侵檢測(cè)的效率;
二是傳統(tǒng)的入侵檢測(cè)技術(shù)對(duì)入侵行為的判斷結(jié)果只有是或否,而不能對(duì)攻擊過程進(jìn)行記錄或判定,也不能根據(jù)攻擊行為的整個(gè)過程進(jìn)行計(jì)分;
三是傳統(tǒng)的入侵檢測(cè)技術(shù)由于采用的將事件的相關(guān)數(shù)據(jù)和庫(kù)相匹配的模式,漏報(bào)或誤報(bào)率比較高,對(duì)檢測(cè)結(jié)果的準(zhǔn)確率提出了嚴(yán)峻挑戰(zhàn)。
[0010]因此傳統(tǒng)的入侵檢測(cè)技術(shù)用于網(wǎng)絡(luò)靶場(chǎng)將不能對(duì)入侵行為進(jìn)行實(shí)時(shí)的跟蹤、分析和計(jì)分。因此,專業(yè)化、系統(tǒng)化、智能化的攻擊行為實(shí)時(shí)跟蹤分析技術(shù)越來越顯得尤為關(guān)鍵。
【發(fā)明內(nèi)容】
[0011]本發(fā)明的目的就在于為了解決上述問題而提供一種在沒有攻擊行為特征庫(kù)的前提下能準(zhǔn)確判斷該行為是否為攻擊行為并能對(duì)其進(jìn)行實(shí)時(shí)跟蹤的用于網(wǎng)絡(luò)靶場(chǎng)的攻擊行為實(shí)時(shí)跟蹤分析方法。
[0012]本發(fā)明通過以下技術(shù)方案來實(shí)現(xiàn)上述目的:
一種用于網(wǎng)絡(luò)靶場(chǎng)的攻擊行為實(shí)時(shí)跟蹤分析方法,包括以下步驟:
(1)數(shù)據(jù)收集:收集網(wǎng)絡(luò)靶場(chǎng)所有用戶的鏈路層、網(wǎng)絡(luò)層、應(yīng)用層的數(shù)據(jù),并將其轉(zhuǎn)化為syslog格式;
(2)數(shù)據(jù)分析:使用“程序行為算法”,對(duì)收集到的數(shù)據(jù)進(jìn)行分析,找出這些數(shù)據(jù)之間的關(guān)系,對(duì)具有相互關(guān)系的帶攻擊性質(zhì)行為進(jìn)行挖掘,判斷是否是入侵行為或該入侵行為是攻擊殺傷鏈的第幾步的基礎(chǔ);所謂“程序行為算法”是判斷某網(wǎng)絡(luò)行為是否是一種入侵行為的傳統(tǒng)方法,是指當(dāng)惡意程序行為觸發(fā)系統(tǒng)API接口上的惡意行為感知點(diǎn),對(duì)惡意程序行為進(jìn)行主動(dòng)感知并建模;所述的惡意程序行為包括遍歷磁盤文件的惡意行為、修改文件屬性的惡意行為、訪問注冊(cè)表的惡意行為、服務(wù)活動(dòng)的惡意行為、終止系統(tǒng)進(jìn)程的惡意行為和掛鉤行為的惡意行為等,具體見專利申請(qǐng)?zhí)枮椤?01510262180.5”的發(fā)明專利申請(qǐng)的內(nèi)容;
(3)判斷攻擊行為是否是攻擊殺傷鏈的第一步,即是否是偵測(cè)階段,如果是,則判定攻擊行為已經(jīng)進(jìn)行到攻擊殺傷鏈的第一步并轉(zhuǎn)至下一步驟;如果否,則判定該行為根本沒有進(jìn)入到攻擊殺傷鏈的第一步,不是攻擊行為,結(jié)束;
(4)判斷攻擊行為是否是攻擊殺傷鏈的第二步,即是否是武器化載體階段,如果是,則判定攻擊行為已經(jīng)進(jìn)行到攻擊殺傷鏈的第二步并轉(zhuǎn)至下一步驟;如果否,則判定攻擊行為僅僅進(jìn)行到攻擊殺傷鏈的第一步,記錄并計(jì)分,結(jié)束;
(5)判斷攻擊行為是否是攻擊殺傷鏈的第三步,即是否是投送階段,如果是,則判定攻擊行為已經(jīng)進(jìn)行到攻擊殺傷鏈的第三步并轉(zhuǎn)至下一步驟;如果否,則判定攻擊行為僅僅進(jìn)行到攻擊殺傷鏈的第二步,記錄并計(jì)分,結(jié)束;
(6)判斷攻擊行為是否是攻擊殺傷鏈的第四步,即是否是激活階段,如果是,則判定攻擊行為已經(jīng)進(jìn)行到攻擊殺傷鏈的第四步并轉(zhuǎn)至下一步驟;如果否,則判定攻擊行為僅僅進(jìn)行到攻擊殺傷鏈的第三步,記錄并計(jì)分,結(jié)束;
(7)判斷攻擊行為是否是攻擊殺傷鏈的第五步,即是否是命令與控制階段,如果是,則判定攻擊行為已經(jīng)進(jìn)行到攻擊殺傷鏈的第五步并轉(zhuǎn)至下一步驟;如果否,則判定攻擊行為僅僅進(jìn)行到攻擊殺傷鏈的第四步,記錄并計(jì)分,結(jié)束;
(8)判斷攻擊行為是否是攻擊殺傷鏈的第六步,即是否是安裝階段,如果是,則判定攻擊行為已經(jīng)進(jìn)行到攻擊殺傷鏈的第六步并轉(zhuǎn)至下一步驟;如果否,則判定攻擊行為僅僅進(jìn)行到攻擊殺傷鏈的第五步,記錄并計(jì)分,結(jié)束; (9)判斷攻擊行為是否是攻擊殺傷鏈的第七步,即是否是持續(xù)攻擊階段,如果是,則判定攻擊行為已經(jīng)進(jìn)行到攻擊殺傷鏈的第七步并阻斷攻擊;如果否,則判定攻擊行為僅僅進(jìn)行到攻擊殺傷鏈的第六步,記錄并計(jì)分,結(jié)束。
[0013]本發(fā)明的有益效果在于:
本發(fā)明采用對(duì)攻擊行為的判斷和記錄的工作原理,不是根據(jù)傳統(tǒng)入侵檢測(cè)技術(shù)依賴的攻擊行為特征庫(kù),而是根據(jù)攻擊殺傷鏈的各個(gè)環(huán)節(jié),對(duì)收集到的數(shù)據(jù)痕跡及其關(guān)系進(jìn)行行為判斷,從而判斷出該行為是否是攻擊行為,并且得到該行為已進(jìn)行到攻擊殺傷鏈的哪一步的結(jié)論,即不僅從總體上而且從細(xì)節(jié)上對(duì)攻擊過程進(jìn)行跟蹤和記錄;具有如下優(yōu)點(diǎn):
1、能判斷是否為攻擊行為的效率高:由于使用行為來判斷是否為攻擊,沒有入侵行為特征庫(kù)的匹配過程,因此效率高;
2、能跟蹤攻擊行為過程:根據(jù)攻擊殺傷鏈過程分析,能準(zhǔn)確判斷攻擊行為進(jìn)行到哪一步,并記錄下來,對(duì)攻擊行為進(jìn)行記分;
3、判斷是否為攻擊行為的準(zhǔn)確率高:根據(jù)攻擊殺傷鏈過程分析,只要符合殺傷鏈的任一個(gè)步驟,都可判定為攻擊行為,漏報(bào)誤報(bào)率低。
【附圖說明】
[0014]圖1是本發(fā)明所述用于網(wǎng)絡(luò)靶場(chǎng)的攻擊行為實(shí)時(shí)跟蹤分析方法的流程圖。
【具體實(shí)施方式】
[0015]下面結(jié)合附圖對(duì)本發(fā)明作進(jìn)一步說明:
如圖1所示,本發(fā)明所述用于網(wǎng)絡(luò)靶場(chǎng)的攻擊行為實(shí)時(shí)跟蹤分析方法,包括以下步驟:
(1)數(shù)據(jù)收集101:收集網(wǎng)絡(luò)靶場(chǎng)所有用戶的鏈路層、網(wǎng)絡(luò)層、應(yīng)用層的數(shù)據(jù),并將其轉(zhuǎn)化為syslog格式;
(2)數(shù)據(jù)分析102:使用“程序行為算法”,對(duì)收集到的數(shù)據(jù)進(jìn)行分析,找出這些數(shù)據(jù)之間的關(guān)系,對(duì)具有相互關(guān)系的帶攻擊性質(zhì)行為進(jìn)行挖掘,判斷是否是入侵行為或該入侵行為是攻擊殺傷鏈的第幾步的基礎(chǔ);
(3)判斷攻擊行為是否是攻擊殺傷鏈的第一步,即是否是偵測(cè)階段103,如果是,則判定攻擊行為已經(jīng)進(jìn)行到攻擊殺傷鏈的第一步并轉(zhuǎn)至下一步驟;如果否,則判定該行為根本沒有進(jìn)入到攻擊殺傷鏈的第一步,不是攻擊行為,結(jié)束;
(4)判斷攻擊行為是否是攻擊殺傷鏈的第二步,即是否是武器化載體階段104,如果是,則判定攻擊行為已經(jīng)進(jìn)行到攻擊殺傷鏈的第二步并轉(zhuǎn)至下一步驟;如果否,則判定攻擊行為僅僅進(jìn)行到攻擊殺傷鏈的第一步,記錄并計(jì)分,結(jié)束;
(5)判斷攻擊行為是否是攻擊殺傷鏈的第三步,即是否是投送階段105,如果是,則判定攻擊行為已經(jīng)進(jìn)行到攻擊殺傷鏈的第三步并轉(zhuǎn)至下一步驟;如果否,則判定攻擊行為僅僅進(jìn)行到攻擊殺傷鏈的第二步,記錄并計(jì)分,結(jié)束;
(6)判斷攻擊行為是否是攻擊殺傷鏈的第四步,即是否是激活階段106,如果是,則判定攻擊行為已經(jīng)進(jìn)行到攻擊殺傷鏈的第四步并轉(zhuǎn)至下一步驟;如果否,則判定攻擊行為僅僅進(jìn)行到攻擊殺傷鏈的第三步,記錄并計(jì)分,結(jié)束;
(7)判斷攻擊行為是否是攻擊殺傷鏈的第五步,即是否是命令與控制階段107,如果是,則判定攻擊行為已經(jīng)進(jìn)行到攻擊殺傷鏈的第五步并轉(zhuǎn)至下一步驟;如果否,則判定攻擊行為僅僅進(jìn)行到攻擊殺傷鏈的第四步,記錄并計(jì)分,結(jié)束;
(8)判斷攻擊行為是否是攻擊殺傷鏈的第六步,即是否是安裝階段108,如果是,則判定攻擊行為已經(jīng)進(jìn)行到攻擊殺傷鏈的第六步并轉(zhuǎn)至下一步驟;如果否,則判定攻擊行為僅僅進(jìn)行到攻擊殺傷鏈的第五步,記錄并計(jì)分,結(jié)束;
(9)判斷攻擊行為是否是攻擊殺傷鏈的第七步,即是否是持續(xù)攻擊階段109,如果是,則判定攻擊行為已經(jīng)進(jìn)行到攻擊殺傷鏈的第七步并阻斷攻擊;如果否,則判定攻擊行為僅僅進(jìn)行到攻擊殺傷鏈的第六步,記錄并計(jì)分,結(jié)束。
[0016]經(jīng)過上述步驟,根據(jù)攻擊殺傷鏈的各個(gè)環(huán)節(jié),對(duì)收集到的數(shù)據(jù)痕跡及其關(guān)系進(jìn)行行為判斷,從而判斷出該行為是否是攻擊行為,并且得到該行為已進(jìn)行到攻擊殺傷鏈的哪一步的結(jié)論,即不僅從總體上而且從細(xì)節(jié)上對(duì)攻擊過程進(jìn)行跟蹤和記錄。
[0017]上述實(shí)施例只是本發(fā)明的較佳實(shí)施例,并不是對(duì)本發(fā)明技術(shù)方案的限制,只要是不經(jīng)過創(chuàng)造性勞動(dòng)即可在上述實(shí)施例的基礎(chǔ)上實(shí)現(xiàn)的技術(shù)方案,均應(yīng)視為落入本發(fā)明專利的權(quán)利保護(hù)范圍內(nèi)。
【主權(quán)項(xiàng)】
1.一種用于網(wǎng)絡(luò)靶場(chǎng)的攻擊行為實(shí)時(shí)跟蹤分析方法,其特征在于:包括以下步驟: (1)數(shù)據(jù)收集:收集網(wǎng)絡(luò)靶場(chǎng)所有用戶的鏈路層、網(wǎng)絡(luò)層、應(yīng)用層的數(shù)據(jù),并將其轉(zhuǎn)化為syslog 格式; (2)數(shù)據(jù)分析:使用“程序行為算法”,對(duì)收集到的數(shù)據(jù)進(jìn)行分析,找出這些數(shù)據(jù)之間的關(guān)系,對(duì)具有相互關(guān)系的帶攻擊性質(zhì)行為進(jìn)行挖掘,判斷是否是入侵行為或該入侵行為是攻擊殺傷鏈的第幾步的基礎(chǔ); (3)判斷攻擊行為是否是攻擊殺傷鏈的第一步,即是否是偵測(cè)階段,如果是,則判定攻擊行為已經(jīng)進(jìn)行到攻擊殺傷鏈的第一步并轉(zhuǎn)至下一步驟;如果否,則判定該行為根本沒有進(jìn)入到攻擊殺傷鏈的第一步,不是攻擊行為,結(jié)束; (4)判斷攻擊行為是否是攻擊殺傷鏈的第二步,即是否是武器化載體階段,如果是,則判定攻擊行為已經(jīng)進(jìn)行到攻擊殺傷鏈的第二步并轉(zhuǎn)至下一步驟;如果否,則判定攻擊行為僅僅進(jìn)行到攻擊殺傷鏈的第一步,記錄并計(jì)分,結(jié)束; (5)判斷攻擊行為是否是攻擊殺傷鏈的第三步,即是否是投送階段,如果是,則判定攻擊行為已經(jīng)進(jìn)行到攻擊殺傷鏈的第三步并轉(zhuǎn)至下一步驟;如果否,則判定攻擊行為僅僅進(jìn)行到攻擊殺傷鏈的第二步,記錄并計(jì)分,結(jié)束; (6)判斷攻擊行為是否是攻擊殺傷鏈的第四步,即是否是激活階段,如果是,則判定攻擊行為已經(jīng)進(jìn)行到攻擊殺傷鏈的第四步并轉(zhuǎn)至下一步驟;如果否,則判定攻擊行為僅僅進(jìn)行到攻擊殺傷鏈的第三步,記錄并計(jì)分,結(jié)束; (7)判斷攻擊行為是否是攻擊殺傷鏈的第五步,即是否是命令與控制階段,如果是,則判定攻擊行為已經(jīng)進(jìn)行到攻擊殺傷鏈的第五步并轉(zhuǎn)至下一步驟;如果否,則判定攻擊行為僅僅進(jìn)行到攻擊殺傷鏈的第四步,記錄并計(jì)分,結(jié)束; (8)判斷攻擊行為是否是攻擊殺傷鏈的第六步,即是否是安裝階段,如果是,則判定攻擊行為已經(jīng)進(jìn)行到攻擊殺傷鏈的第六步并轉(zhuǎn)至下一步驟;如果否,則判定攻擊行為僅僅進(jìn)行到攻擊殺傷鏈的第五步,記錄并計(jì)分,結(jié)束; (9)判斷攻擊行為是否是攻擊殺傷鏈的第七步,即是否是持續(xù)攻擊階段,如果是,則判定攻擊行為已經(jīng)進(jìn)行到攻擊殺傷鏈的第七步并阻斷攻擊;如果否,則判定攻擊行為僅僅進(jìn)行到攻擊殺傷鏈的第六步,記錄并計(jì)分,結(jié)束。
【文檔編號(hào)】H04L29/06GK105915536SQ201610351616
【公開日】2016年8月31日
【申請(qǐng)日】2016年5月25日
【發(fā)明人】趙象元
【申請(qǐng)人】重慶洞見信息技術(shù)有限公司