混合蜜罐的威胁诱捕过程评估的方法及系统

技术领域

本发明涉及混合蜜罐的威胁捕过程评估领域，尤其是涉及一种混合蜜罐的威胁诱捕过程评估的方法及系统。

背景技术

在威胁诱捕技术的研究领域中，主要包括对威胁诱捕环境的构建以及对威胁诱捕过程的分析两大主要部分。对威胁诱捕环境的诱捕过程进行分析进而对威胁诱捕环境的构建效果进行评估能够提供给网络安全防护人员对防御手段更加贴切的感知。同时针对具体的指标项能够提供给网络安全防护人员修改威胁诱捕环境构建，补齐短板，进一步保障企业的网络安全。基于随机Perti网(Stochastic Petri net，SPN)对威胁诱捕过程的分析中，以往的专家已经对普通蜜罐、业务仿真系统和动态蜜罐等威胁诱捕环境进行了分析。但是缺乏对混合蜜罐的威胁诱捕过程的分析。

发明内容

本发明的目的在于提供一种混合蜜罐的威胁诱捕过程评估的方法及系统，旨在解决混合蜜罐的威胁诱捕过程评估问题。

本发明提供一种混合蜜罐的威胁诱捕过程评估的方法，包括：

S1、建立混合蜜罐的威胁诱捕过程的系统模型；

S2、基于系统模型建立SPN模型图；

S3、基于SPN模型图构造出同构的马尔科夫链；

S4、基于同构的马尔科夫链对混合蜜罐的威胁诱捕过程的各项指标进行评估。

本发明还提供一种混合蜜罐的威胁诱捕过程评估系统，包括：

过程模块，用于建立混合蜜罐的威胁诱捕过程的系统模型；

SPN模块，用于基于系统模型建立SPN模型图；

马尔科夫链，用于基于SPN模型图构造出同构的马尔科夫链；

评估模块，用于基于同构的马尔科夫链对混合蜜罐的威胁诱捕过程的各项指标进行评估。

采用本发明实施例，可以实现混合蜜罐的威胁诱捕过程评估。

上述说明仅是本发明技术方案的概述，为了能够更清楚了解本发明的技术手段，依照说明书的内容予以实施，并且为了让本发明的上述和其它目的、特征和优点能够更明显易懂，以下特举本发明的具体实施方式。

附图说明

为了更清楚地说明本发明具体实施方式或现有技术中的技术方案，下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图是本发明的一些实施方式，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1是本发明实施例的混合蜜罐的威胁诱捕过程评估的方法的流程图；

图2是本发明实施例的混合蜜罐的威胁诱捕过程评估的方法的混合蜜罐威胁诱捕模型马尔科夫链示意图；

图3是本发明实施例的混合蜜罐的威胁诱捕过程评估的方法的基于服务代理混合蜜罐威胁诱捕模型马尔科夫链示意图；

图4是本发明实施例的混合蜜罐的威胁诱捕过程评估的系统的示意图。

具体实施方式

下面将结合实施例对本发明的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

方法实施例

根据本发明实施例，提供了一种混合蜜罐的威胁诱捕过程评估的方法，图1是本发明实施例的混合蜜罐的威胁诱捕过程评估的方法的流程图，如图1所示，具体包括：

S1、建立混合蜜罐的威胁诱捕过程的系统模型；

S2、基于系统模型建立SPN模型图；

S3、基于SPN模型图构造出同构的马尔科夫链；

S4、基于同构的马尔科夫链对混合蜜罐的威胁诱捕过程的各项指标进行评估。

基于系统模型建立SPN模型图具体包括：基于系统模型中状态和状态之间的相互关系，利用SPN的构成元素对系统模型的活动和状态之间的变迁进行描述，将库所与系统的状态、变迁与系统活动过程中发生的事件联系起来，建立系统的SPN模型图。

基于SPN模型图构造出同构的马尔科夫链具体包括：构造系统模型状态的可达图，基于可达图，用每个变迁的平均实施速率替代可达图中的变迁集合后获得与SPN模型图同构的马尔科夫链。

构造系统模型状态的可达图具体包括：从初始状态开始，根据能够发生的变迁逐渐产生新的状态，直到没有可实施的变迁，再对下一个状态进行分析，将所有的实施变迁和产生的状态标记出来，直到完成系统模型所有状态的分析，完成可达图的构建。

基于同构的马尔科夫链对混合蜜罐的威胁诱捕过程的各项指标进行评估具体包括：基于同构的马尔科夫链计算可达图标识的稳定概率，基于稳定概率对性能指标进行求解得到评估结果。

具体实施方法如下：

基于以往专家学者通过部署Conpot、Gridpot等工控蜜罐搜集的连接信息来看，在工控网络的攻防过程当中，存在一定比例的扫描和恶意连接攻击意图不明显、攻击杀伤力不强。很多攻击者并不具备工控网络的渗透经验，或只是通过自动化的扫描进行蠕虫或病毒的植入获取计算和网络资源的控制权限。针对这部分攻击而言，诱捕的效果主要体现在对外暴露的虚假服务与真实服务所占的比例。为更好的分析增加服务代理在抵御具备一定工控网络渗透经验、具有一定针对性的网络攻击的防御效果，本发明对进行渗透入侵的攻击方做出以下的假设。

攻击方应当具备一定的工控网络的渗透经验，能够识别出基本的蜜罐特征，具有避开工控蜜罐的意识；攻击方在进行渗透攻击前通过工业互联网信息平台、信息收集等方式对要攻击的网络具有一定了解，并准备的相应攻击资源，包括IP代理池、Nday漏洞、0day漏洞等；攻击方的渗入攻击具有一定的意图，希望通过渗透获取工控网络未公开的运行数据或掌握关键设备的控制权限等，而并不是通过部署蠕虫、木马等建立连接为进行分布式拒绝攻击等其他恶意攻击做准备。依据以上对攻击方的假设，以攻击方的视角展开对诱捕过程进行建模和分析。

在连续时间随机Petri网中，变迁的实施从可实施状态到完成实施需要一个时延，被描述为一个连续随机变量x

SPN的性能分析分为三个步骤：首先需要完成系统过程的建模，给出相应的SPN模型。之后在SPN模型的基础上构造出同构的马尔科夫链(Markov chain，MC)。最后基于同构的对系统的各项性能指标进行分析。

系统的SPN的建模过程是对系统的运行流程的抽象，需要判断出系统在运行过程中可能存在的状态和能够引起系统状态变化的变迁，并明确给系统状态和变迁的物理意义。

根据系统存在的状态和发生变迁的时间来确定系统的状态集合和事件集合。依据系统的状态和状态之间的相互关系，利用SPN的构成元素对系统的活动和状态之间的变迁进行描述。将库所与系统的状态、变迁与系统活动过程中发生的事件联系起来，建立系统的SPN模型图。

构造与系统SPN模型图同构的MC需要首先构造出系统状态的可达图。从初始状态开始，根据能够发生的变迁逐渐产生新的状态，直到没有可实施的变迁，再对下一个状态进行分析。将所有的可实施变迁和产生的状态标记出来，直到完成系统所有状态的分析，也就完成了可达图的构造。

假定该模型的变迁平均实施速率分别为λ＝{λ

(1)当i≠j时，

else：q

(2)当i＝j时，

其中，k≠i且M'∈[M

设MC中n个状态的稳定状态概率是一个行向量X＝(x

通过求解这个由n+1个等式构造的方程组可以解出n个可达标识的稳定概率的解P[M

混合蜜罐分析：

本发明对提取出以混合蜜罐进行威胁诱捕的过程中进行整理分析，得出状态(库所)集合：

P＝{P

变迁(事件)集合：

T＝{T

混合蜜罐威胁诱捕过程中的状态和变迁集合的具体含义如表5、6所示，并依据以上的状态和变迁对混合蜜罐的威胁诱捕过程的进行分析和构建。

表5混合蜜罐威胁诱捕过程状态集合

表6混合蜜罐诱捕过程变迁集合

混合蜜罐威胁诱捕过程的SPN模型的构建如下：混合蜜罐最初处于诱骗的初始状态P

假定在获取的诸多网络服务中，攻击者首先与某个蜜罐服务进行交互T

本发明构建过程不考虑攻击者对真实系统的响应产生误判即将真实系统当作蜜罐而绕开躲避的情况。如果攻击者尝试与真实系统进行交互T

依照SPN的性能分析过程，首先对威胁诱捕过程中所有可能的状态即可达状态进行分析。依据可达状态集合构造出与SPN同构的马尔科夫链，构造的过程需要将变迁替换成对应的实施速率。本发明所构造的混合蜜罐的威胁诱捕过程的可达状态以S＝{S

图2是本发明实施例的混合蜜罐的威胁诱捕过程评估的方法的混合蜜罐威胁诱捕模型马尔科夫链示意图；

如图2所示。结合混合蜜罐威胁诱捕模型的马尔科夫链以及随机Petri网性能分析中对转移矩阵的定义，可以求得当前转移矩阵Q＝[q

表7混合蜜罐威胁诱捕过程可达状态

假设混合蜜罐威胁诱捕过程的随机Petri网模型中每个状态的稳定概率组成的行向量为P＝{P

对方程组求解可得各状态的稳定概率如下：

在获得的各个状态稳定概率的基础上，对诱捕过程的性能评价评价指标进行计算。本发明以蜜罐系统捕获攻击的概率、防御成功的概率以及系统沦陷概率对诱捕过程的性能进行评价。其中系统的沦陷概率为表达攻击者成功入侵并实施破坏的状态S

图3是本发明实施例的混合蜜罐的威胁诱捕过程评估的方法的基于服务代理混合蜜罐威胁诱捕模型马尔科夫链示意图；

基于服务代理的混合蜜罐分析：

基于以上对混合蜜罐的威胁诱捕过程分析和研究，在其中加入服务代理对基于服务代理的混合蜜罐的威胁诱捕过程进行分析。服务代理能够给诱捕过程在攻击者入侵真实服务时增加一条管理人员感知威胁的路径。增加服务代理的告警信息处理状态和表达攻击者接触诱饵文件以及诱饵文件发出告警信息的变迁，可以得到基于服务代理的混合蜜罐的威胁诱捕过程的变迁集合状态集合P

表7基于服务代理的混合蜜罐威胁诱捕过程增加的状态集合

表8基于服务代理的混合蜜罐威胁诱捕过程增加的变迁集合

依据混合蜜罐的威胁诱捕过程进行分析和新确定的状态和变迁集合，完成基于服务代理的混合蜜罐威胁诱捕过程SPN模型的构建如上图所示。攻击者完成扫描后与混合蜜罐进行交互的威胁诱捕过程与上小节所述威胁诱捕过程相同。当攻击者渗入真实主机进行信息收集等破坏行为时，如果攻击者触碰提前部署的诱饵文件T

依据随机Petri网的性能分析过程对基于服务代理的混合蜜罐进行相同的性能分析过程。首先对可达的状态进行分析，基于服务代理的混合蜜罐模型的可达状态采用S'＝{S'

表9基于服务代理的混合蜜罐可达状态

同样采用变迁的实施速率代替可达状态之间的变迁得到同构的马尔科夫链。结合基于服务代理的混合蜜罐威胁诱捕模型的马尔科夫链，将变迁替换为相应的实施速率，按照随机Petri网性能分析中对转移矩阵的定义，可以求得当前转移矩阵Q'＝[q

对方程组求解可得各个状态的稳定概率如下：

/>

依据所获得各状态稳定概率构造与混合蜜罐模型相同的性能评价指标，其中系统的沦陷概率为状态S

系统实施例一

根据本发明实施例，提供了一种混合蜜罐的威胁诱捕过程评估的系统，图4是本发明实施例的混合蜜罐的威胁诱捕过程评估的系统的示意图，如图4所示，具体包括：

过程模块，用于建立混合蜜罐的威胁诱捕过程的系统模型；

SPN模块，用于基于系统模型建立SPN模型图；

马尔科夫链，用于基于SPN模型图构造出同构的马尔科夫链；

评估模块，用于基于同构的马尔科夫链对混合蜜罐的威胁诱捕过程的各项指标进行评估。

SPN模块具体用于：基于系统模型中状态和状态之间的相互关系，利用SPN的构成元素对系统模型的活动和状态之间的变迁进行描述，将库所与系统的状态、变迁与系统活动过程中发生的事件联系起来，建立系统的SPN模型图。

马尔科夫链模块具体用于：构造系统模型状态的可达图，基于可达图，用每个变迁的平均实施速率替代可达图中的变迁集合后获得与SPN模型图同构的马尔科夫链。

马尔科夫链模块具体用于：从初始状态开始，根据能够发生的变迁逐渐产生新的状态，直到没有可实施的变迁，再对下一个状态进行分析，将所有的实施变迁和产生的状态标记出来，直到完成系统模型所有状态的分析，完成可达图的构建。

评估模块具体用于：基于同构的马尔科夫链计算可达图标识的稳定概率，基于稳定概率对性能指标进行求解得到评估结果。

本发明实施例是与上述方法实施例对应的系统实施例，各个模块的具体操作可以参照方法实施例的描述进行理解，在此不再赘述。

最后应说明的是：以上各实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述各实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分或者全部技术特征进行等同替换；而这些修改或者替换本发明各实施例技术方案，并不使相应技术方案的本质脱离本方案的范围。