全舰计算环境云端蜜罐、攻击事件感知和行为分析方法

技术领域

本发明属于数据安全领域，更具体地，涉及全舰计算环境云端蜜罐、攻击事件感知和行为分析方法。

背景技术

随着网络攻击技术的进步，传统防火墙建立在基于已知危险的规则体系上进行防御的局限性和脆弱性越来越明显，如果入侵者发动新形式的攻击，防火墙没有相对应的规则去处理，这个防火墙就形同虚设了，防火墙保护的系统也会遭到破坏，因此技术员需要蜜罐来记录入侵者的行动和入侵数据，必要时给防火墙添加新规则或者手工防御。蜜罐技术通过布置一些作为诱饵的主机、网络服务或者信息，诱使攻击方对它们实施攻击，从而可以对攻击行为进行捕获和分析，了解攻击方所使用的工具与方法，推测攻击意图和动机，能够让防御方清晰地了解它们所面对的安全威胁，并通过技术和管理手段来增强实际系统的安全防护能力。

蜜罐可分为实系统蜜罐和伪系统蜜罐。实系统蜜罐是最真实的蜜罐，它运行着真实的系统，并且带着真实可入侵的漏洞，属于最危险的漏洞，入侵者每一个入侵都会引起系统真实的反应，例如被溢出、渗透、夺取权限等，但可记录下最真实的入侵信息。伪系统蜜罐是管理员利用一些工具程序强大的模仿能力，伪造出不属于自己平台的“漏洞”，入侵这样的“漏洞”，让入侵者即使成功“渗透”，自以为得逞，但实际只能是在一个程序框架里打转，在程序制造的梦境的在里面瞎忙，以实现对入侵者的跟踪记录。

在现有公开的云端蜜罐技术中，一种是从当前运行的所有进程中筛选出不可信进程，向不可信进程注入钩子函数，获取不可信进程的调用函数记录和函数执行记录，遍历所获取的调用函数记录和函数执行记录，识别不可信进程是否存在风险，该方法对未产生恶意进程网络攻击行为无效。另一种是通过将用户发送的套接字跟预先获取的蜜罐系统内指定的套接字比对，只要用户发送的套接字属于预先获取的蜜罐系统内指定的套接字，不管用户发送的访问请求是否产生恶意进程，均会被识别出具有风险，该方法若无法第一时间联动威胁情报，对于未知新型攻击手段的威胁无法预报和阻止。

全舰计算环境(TSCE)是一种私有云，它以网络为中心，基于开放式体系结构和民用现成技术，将现代舰艇战时、平时的所有传感器、武器资源与指控系统和舰艇平台管理系统的各类运算操作、基础数据集成到一起。作为一种私有云，同样会受到系统内部和外部的各种安全威胁。有别于一般的私有云，全舰计算环境与互联网物理隔离，不能通过互联网实时获取威胁情报。因此，亟需一种全舰计算环境云端蜜罐技术，用于在无法实时获取互联网云端赋能的情况下，对未知攻击行为进行捕获和分析，了解攻击方所使用的工具与方法，推测攻击意图和动机，能够让防御方清晰地了解它们所面对的安全威胁，从而增强实际系统的安全防护能力。

发明内容

针对现有技术的缺陷，本发明的目的在于提供全舰计算环境云端蜜罐、攻击事件感知和行为分析方法，旨在解决在无法实时获取互联网云端赋能的情况下，对对于未知新型攻击手段进行捕获和分析，从而增强实际系统的安全防护能力的问题。

为实现上述目的，第一方面，本发明提供了一种全舰计算环境云端蜜罐，所述云端蜜罐包括：链路网关、TCP/UDP协议解析认证引擎、数据分析引擎、蜜罐仿真计算服务节点、罐仿真存储节点及代理网关，其中，蜜罐仿真计算服务节点和蜜罐仿真存储节点共同构建虚拟计算存储环境；

所述链路网关，用于为全舰计算环境中各终端提供点对点的RDP连接；

所述TCP/UDP协议解析认证引擎，用于对来自链路网关的信息和服务请求进行解析和认证，对于合法访问，将信息和服务请求传递给代理网关，对于非法访问或攻击，将攻击者访问流量引流至虚拟计算存储环境中，并同时对攻击者的非法活动进行监视和检测，将攻击和非法访问数据送入数据分析引擎；

所述数据分析引擎，用于实时旁路地检测经过虚拟计算存储环境的应用流量，对流量进行记录和应用解析，对解析后的应用数据匹配特征库，发现数据流中存在的对服务器漏洞攻击的行为；对于越权行为可怀疑为利用未知漏洞的攻击行为；对应用流量中识别到的攻击行为进行域名进程关系链关联举证，并提交运维管理终端，以进行判读并截断攻击链；

所述蜜罐仿真计算服务节点，用于响应攻击者的计算服务请求，给攻击者提供非真实的计算服务，为攻击者提供基于仿真蜜罐资源的虚拟计算服务，包括基础设施、平台和软件，攻击者可以在蜜罐内创建虚拟机、构建应用程序和服务平台、使用应用程序；所有通过蜜罐仿真服务节点发起的访问请求都被引导至蜜罐仿真计算服务节点和蜜罐仿真存储节点并获得响应，使攻击者误认为获取到真实的计算服务；

所述蜜罐仿真存储节点，用于响应攻击者的数据读写服务请求，给攻击者提供非真实的结构化数据，使攻击者误认为获取窃取到真实的数据，获得真实的存储服务；

所述代理网关，用于对通过TCP/UDP协议解析认证引擎认证的报文进一步认证，并对最终通过认证的用户提供真实的全舰计算环境云服务平台的访问。

优选地，所述蜜罐仿真计算服务节点按全舰计算环境云服务平台部署，提供3种服务模式；

所述蜜罐仿真计算服务节点提供的3种服务分别为：基础设施即服务(IaaS)，为攻击者虚拟化计算资源，如虚拟机、存储、网络和操作系统；平台即服务(PaaS)，为攻击者构建应用程序和服务平台，提供按需开发的环境；软件即服务(SaaS)，为攻击者提供应用程序并运行其访问蜜罐内数据；

上述计算资源、应用程序和服务平台按全舰计算环境云服务平台部署，但其数据和算法均已经进行脱密处理，其访问数据局限在蜜罐仿真存储节点内；

所述蜜罐仿真存储节点的数据结构是按全舰计算环境云服务平台部署，所述数据采用云服务平台真实数据将敏感数据进行修改，进行脱密处理，拥有全舰计算环境基本的数据库，以模拟云存储服务。

需要说明的是，本发明通过对攻击过程全链条欺骗，使攻击者认为攻击的是真实系统，能够获得迷惑攻击者的“真实”服务和数据，拖延攻击者时间和精力，为精准捕获维修争取时间。

优选地，所述链路网关由汇聚模块、RDP模块、NAP模块和NP模块组成；

所述汇聚模块，用于将外部连接的多个物理端口的数据汇聚到1个端口，发送到数据分析引擎；

所述RDP模块，用于实现信息和服务请求的转换；

所述NAP模块，用于根据预设规则对接入全舰计算环境的终端强制实施健康状况要求，包括硬件要求、安全更新要求、所需的计算机配置以及其他设置；

所述NP模块，用于根据PDP模块和NAP模块的处理结果，将信息和服务请求分为3类，并将经标注的信息和服务请求发送至TCP/UDP协议解析认证引擎，分类规则如下：对于全舰计算环境系统内认证设备发出的信息和服务请求被标记为A类，对于系统外符合认证条件的设备发出的信息和服务请求被标记为B类，其他信息和服务请求被标记为C类。

优选地，所述数据分析引擎用于将待检测的数据包镜像一份到待检测队列，检测进程对检测的数据包进行扫描检测，并根据运维管理终端的指令临时对各类信息和服务请求进行放行或阻止：

所述扫描检测包括：通过对访问者的IP地址进行归属地判断，同时检测该终端健康状况，判断该终端是否具有相应的业务进行访问权限。

优选地，TCP/UDP协议解析认证引擎由协议识别模块、加密协议爆破模块、协议解析模块和数据处理模块组成；

所述协议识别模块，用于对来自链路网关的信息和服务请求进行识别，对于加密协议，发送至加密协议爆破模块，对于非加密协议，直接进入协议解析模块；

所述加密协议爆破模块，用于对加密协议采用基于多特征模型的登录认证状态判定，根据会话时长、协议交互、流量和工具，综合判断本次登录是否成功；采用基于指纹的异常登录检测，识别非标准程序登录、爆破攻击登录和漏洞攻击登录行为；识别登录状态后，进入基于多尺度时间窗口序列化的慢速爆破检测引擎，识别隐蔽的慢速爆破行为；

所述数据处理模块，用于对识别后的信息和服务请求进行分类处理，对于非法访问或攻击，立即将攻击者访问流量引流至虚拟计算存储环境中，同时对这些非法活动进行监视、检测，将攻击和非法访问数据送数据分析引擎；

所述数据处理模块，用于接收数据分析引擎指令，根据运维管理终端的指令对信息和服务请求进行例外排除。

优选地，所述代理网关包括：身份认证模块、访问控制模块及资源代理模块；

所述资源代理模块，用于负责代理网关隧道的建立、维护及数据收发；

所述身份认证模块，用于采用混合认证，包括用户名和密码、LDAP/AD、硬件特征码认证方式，进行多个因素以上的捆绑认证；

所述访问控制模块，用于根据安全性要求，将同时满足以上几种认证方式的访问接入云服务平台，对于攻击事件拒绝提供服务。

为实现上述目的，第二方面，本发明提供了一种攻击事件感知方法，应用于如第一方面所述的全舰计算环境云端蜜罐，该方法包括：

链路网关将健康状况不符合要求的终端的访问定义为攻击事件；

TCP/UDP协议解析认证引擎对信息和服务请求进行解析、认证结果，将非标准程序登录、爆破攻击登录、慢速爆破行为登录和漏洞攻击登录四种类型的异常登录行为定义为攻击事件；

数据分析引擎根据IP地址、设备MAC地址、相关硬件ID号，判定访问的合法性，将非法的访问定义为攻击事件；

代理网关采用混合认证，包括用户名和密码、LDAP/AD、硬件特征码认证方式，结合来自运维管理终端的信息，判定访问的合法性，将非法的访问定义为攻击事件。

优选地，所有加入例外排除的访问均允许正常接入全舰计算环境云服务平台，所述例外排除是通过运维管理终端添加，包括对事件、报文及源终端。

为实现上述目的，第三方面，本发明提供了一种攻击行为分析方法，应用于如第一方面所述的全舰计算环境云端蜜罐，该方法包括：

所有被引流至蜜罐仿真计算服务节点和蜜罐模拟节点的访问流量均被视为攻击行为；

通过对访问流量的分析，获取到攻击者设备指纹和社交指纹信息，精准勾勒攻击者画像，溯源分析攻击链路和攻击者行为。

为实现上述目的，第四方面，本发明提供了一种计算机可读存储介质，所述计算机可读存储介质上存储有计算机程序，所述计算机程序被处理器执行时实现如上述方法的步骤。

总体而言，通过本发明所构思的以上技术方案与现有技术相比，具有以下有益效果：

(1)本发明提出一种全舰计算环境云端蜜罐，由链路网关、TCP/UDP协议解析认证引擎、数据分析引擎、蜜罐仿真计算服务节点、蜜罐仿真存储节点及代理网关组成，用于对于未知新型攻击手段进行捕获和分析，通过欺骗技术来增强全舰计算环境数据安全防护能力。其中，数据分析引擎通过旁路检测技术，对流量进行实时旁路检测，实现攻击行为的检测判定；通过构建蜜罐仿真计算服务/存储节点，在防止真实系统被溢出、渗透、夺取权限等入侵的同时，实现对入侵者的入侵行为的跟踪记录；由于蜜罐仿真节点基于真实的应用环境构建，但其访问资源局限在蜜罐仿真节点中，能提供模拟全舰计算环境云平台真实的计算服务。能够取得对攻击过程全链条欺骗，使攻击者认为攻击的是真实系统，能够获得迷惑攻击者的“真实”服务和数据，拖延攻击者时间和精力，为精准捕获维修争取时间。

(2)本发明提出一种攻击事件感知方法，通过终端健康状况检测、信息和服务请求进行解析与认证和混合认证手段，感知各种非法终端登陆、非标准程序登录、爆破攻击登录、慢速爆破行为登录和漏洞攻击登录攻击事件，实现攻击事件的识别。为保证紧急接入设备和服务的正常运行，运维管理人员可以添加例外排除规则，对不符合规则的非攻击事件、报文及源终端进行例外排除。

(3)本发明提出一种攻击行为分析方法。基于本发明技术方案，所有被引流至蜜罐仿真计算服务节点和蜜罐模拟节点的访问流量均被视为攻击行为。由于全舰计算环境是一个由有限设备组成的系统，物理链路相对固定，其IP地址采用静态分配，设备MAC地址、相关硬件ID号相对有限并固定，通过对访问流量的分析，获取到攻击者设备指纹和社交指纹信息，精准勾勒攻击者画像，溯源分析攻击链路和攻击者行为。

附图说明

图1是本发明实施例提供的全舰计算环境云端蜜罐的示意图。

图2是本发明实施例提供的链路网关工作原理示意图。

图3是本发明实施例提供的TCP/UDP协议解析认证引擎示意图。

具体实施方式

为了使本发明的目的、技术方案及优点更加清楚明白，以下结合附图及实施例，对本发明进行进一步详细说明。应当理解，此处所描述的具体实施例仅用以解释本发明，并不用于限定本发明。

本发明通过在全舰计算环境中构建一个兼具实系统蜜罐和伪系统蜜罐优点的蜜罐，诱使攻击方对它们实施攻击，从而可以对攻击行为进行捕获和分析，了解攻击方所使用的工具与方法，推测攻击意图和动机，能够让防御方清晰地了解它们所面对的安全威胁。旨在解决在无法实时获取互联网云端赋能的情况下，对于未知新型攻击手段进行捕获和分析，从而增强实际系统的安全防护能力。

图1是本发明实施例提供的全舰计算环境云端蜜罐的示意图。如图1所示，所述全舰计算环境云端蜜罐由链路网关、TCP/UDP协议解析认证引擎、数据分析引擎、蜜罐仿真计算服务节点、蜜罐仿真存储节点及代理网关组成。其中，蜜罐仿真计算服务节点和蜜罐仿真存储节点用于构建虚拟计算存储环境。

图2是本发明实施例提供的链路网关工作原理示意图。如图2所示，所述链路网关由汇聚模块、RDP(Remote Display Protocol：远程显示协议)模块、NAP(Network AccessProtection：网络传输保护)模块和NP(Net Process：网络处理器)模块组成，提供点对点的RDP连接，而不是允许远程用户访问所有内部网络资源。其中，汇聚模块用于将外部连接的多个物理端口的数据汇聚到1个端口，发送到数据分析引擎用于旁路检测。RDP模块用于完成信息和服务请求的转换。NAP模块用于根据预设规则对接入全舰计算环境的终端强制实施健康状况要求，其中包括硬件要求、安全更新要求、所需的计算机配置以及其他设置。链路网关对所有连接请求进行响应，代表数据源来获取所请求的信息和服务请求。NP模块根据PDP模块和NAP模块的处理结果，将信息和服务请求分为3类，分类规则如下：对于全舰计算环境系统内认证设备发出的信息和服务请求被标记为A类，对于系统外符合认证条件的设备发出的信息和服务请求被标记为B类，其他信息和服务请求被标记为C类。经标注的信息和服务请求发送给TCP/UDP协议解析认证引擎。

图3是本发明实施例提供的TCP/UDP协议解析认证引擎示意图。如图3所示，所述TCP/UDP协议解析认证引擎由协议识别模块、加密协议爆破模块、协议解析模块和数据处理模块组成，引擎对信息和服务请求进行解析、认证，结合数据分析引擎根据旁路数据的检测结果，对符合规则的信息和服务请求通过代理网关交由云服务平台提供真实的服务。其工作流程如下：协议识别模块对来自链路网关的信息和服务请求进行识别，对于加密协议，由加密协议爆破模块进行处理后发生到协议解析模块，对于非加密协议，直接进入协议解析模块；加密协议爆破模块对加密协议采用基于多特征模型的登录认证状态判定，根据会话时长、协议交互、流量和工具等多维度特征，综合判断本次登录是否成功；采用基于指纹的异常登录检测，识别非标准程序登录、爆破攻击登录和漏洞攻击登录等异常登录行为；识别登录状态后，进入基于多尺度时间窗口序列化的慢速爆破检测引擎，识别隐蔽的慢速爆破行为。数据处理模块对识别后的信息和服务请求进行分类处理，对于非法访问或攻击，立即将攻击者访问流量引流至全舰计算环境云端蜜罐的虚拟计算存储环境中，使攻击者误认为嗅探到真实的业务系统，并对仿真服务和主机尝试进行提权等非法操作，从而延缓攻击者的进程。同时对这些非法活动进行监视、检测，将攻击和非法访问数据送数据分析引擎进行分析和取证。数据处理模块接收数据分析引擎指令，根据运维管理终端的指令对信息和服务请求进行例外排除。

数据分析引擎采用的是旁路检测技术，即将待检测的数据包镜像一份到待检测队列，检测进程对检测的数据包进行扫描检测，对原有数据包的转发不会造成任何性能影响。数据分析引擎实时旁路地检测经过全舰计算环境云端蜜罐的应用流量，对流量进行应用解析，对解析后的应用数据匹配特征库，发现数据流中存在的对服务器漏洞攻击的行为；对流量进行语法分析，并提取相应的语义特征，例如危险函数调用、类声明等信息，通过运用语法树提高特征提取的精确度，使特征提取不受注释的干扰，轻松对抗各种变形、绕过攻击，相比传统规则匹配，能有效降低误报漏报；基于全舰计算环境各业务角色的权限明确，行为已知，对于越权行为可怀疑为利用未知漏洞的攻击行为；对应用流量中识别到的攻击行为进行域名进程关系链关联举证，提交运维管理人员判读并截断攻击链。特征库是可扩充的，拥有业务识别所需要的特征项。包括但不限于漏洞特征库、IPS特征库、URL分类特征库、APR特征库、防病毒特征库、WAF特征库、IP信誉特征库、URL信誉特征库和域名信誉特征库。数据分析引擎主要是通过对访问者的IP地址进行归属地判断，同时检测该终端健康状况，判断该终端是否具有相应的业务进行访问权限。数据分析引擎根据运维管理终端的指令临时对3类信息和服务请求进行放行或阻止。

由于全舰计算环境是一个由有限设备组成的系统，其IP地址采用静态分配，设备MAC地址、相关硬件ID号相对有限并固定。数据分析引擎结合TCP/UDP协议解析认证引擎分析结果，通过对进出网络流量分析，识别网络恶意行为，定位全舰计算环境内部被黑客控制的服务器或终端，向TCP/UDP协议解析认证引擎提供域名进程关系链并在运维管理终端展示。

仿真节点包括蜜罐仿真计算服务节点和蜜罐仿真存储节点两种节点。两种仿真节点均基于全舰计算环境云端计算存储服务节点构建，最大程度仿真真实的计算服务节点和存储节点。

蜜罐仿真计算服务节点基于真实的应用环境来构建，仿真服务、虚拟机、存储访问等资源按全舰计算环境云平台部署，但其访问资源局限在蜜罐仿真存储节点中，能提供模拟全舰计算环境云平台真实的计算服务。为确保全舰计算环境信息安全，其计算资源及算法进行了脱密处理，在给攻击者提供了一个相对真实的应用环境，不会造成失密。蜜罐仿真计算服务节点可用来获取大量的信息，能够捕获攻击者多种操作行为，从而具备发现新的攻击方式和漏洞利用方法的能力。由于蜜罐仿真计算服务节点给攻击者提供了一个相对真实的应用环境，使攻击者误认为嗅探到真实的业务系统，并对仿真服务和主机尝试进行提权等非法操作，从而延缓攻击者的进程。蜜罐仿真计算服务节点在网络中没有常规任务，也没有固定的活动用户，因此，除了运行系统上的正常守护进程或服务，它不应该有任何不正常的进程，也不产生任何网络流量。这些假设帮助检测攻击：每个与蜜罐仿真计算服务节点的交互都是可疑的，可以指向一个可能的恶意行为。因此，所有出入蜜罐仿真计算服务节点的网络流量都被发给数据分析引擎并被记录下来。此外，系统的活动也被记录下来备日后分析。

蜜罐仿真存储节点基于真实的应用环境来构建，其数据结构按全舰计算环境云平台部署，数据经过处理，不会引起真实信息的泄露，用于模拟大容量存储空间，提供模拟的云存储服务。蜜罐仿真存储节点响应攻击者的数据读写服务请求，给攻击者提供非真实的结构化数据，使攻击者误认为获取到真实的数据，从而延缓攻击者的进程。仿真存储节点在网络中没有常规任务，真实的授权用户不会对其申请进行数据存储服务，因此，除了运行系统上的正常守护进程或服务，它不应该有任何不正常的进程，也不产生任何网络流量。这些假设帮助检测攻击：每个向仿真存储节点的提出的数据读写服务都是可疑的，可以指向一个可能的恶意行为。因此，所有出入仿真存储节点的网络流量都被记录下来。此外，系统的活动也被记录下来备日后分析。

代理网关以Apache服务为基础，主要包括身份认证模块、访问控制模块及资源代理模块。身份认证模块根据数据分析引擎提供的系统数据，对各用户进行身份认证。访问控制模块接收身份认证模块认证结果，对符合规则的信息和服务请求交由资源代理模块处理，对不符合规则的信息和服务请求引导进网络蜜罐。资源代理模块负责代理网关隧道的建立、维护及数据收发。代理网关对经过UDP协议解析认证引擎初步认证的报文进行混合认证保护机制认证，对通过认证的用户提供真实的云服务。单一的认证方式易被窃取，为了进一步提高身份认证的安全性，代理网关采用混合认证，包括用户名和密码、LDAP/AD、硬件特征码等认证方式，可以进行多个因素以上的捆绑认证，根据安全性要求，必须同时满足以上几种认证方式才能够接入云平台。对于攻击事件拒绝提供服务。

本领域的技术人员容易理解，以上所述仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等，均应包括在本发明的保护范围之内。