一种基于隐式遮端信息识别非法入侵的方法

技术领域

本发明属于信息技术领域，具体涉及一种基于隐式遮端信息识别非法入侵的方法。

背景技术

SSH最初是UNIX系统上的一个程序，后来迅速扩展到其他操作平台。首先，它是建立在应用层基础上的安全协议，是一种较可靠，专为远程登录会话和其他网络服务提供安全性的协议，利用SSH协议可以有效防止远程管理过程中的信息泄露问题。其次，它还是一组用于安全地访问远程计算机的连接工具，可对所有的传输数据进行加密，有效地阻止了窃听、连接劫持，以及其他网络级的攻击。最后，SSH不仅可以用于两台机器之间远程登录，还可以在多台机器之间通过多级跳转进行远程登录，给远程计算机登录维护提供了极大的便利。

通常入侵识别基于入侵行为特征，但是高等级持续攻击或渗透高手会通过隐藏攻击特征来规避检测，导致传统方法无法识别出来。通常攻击者使用自己惯用的SSH工具进行横向渗透，通过技术手段获取SSH用户名和密码信息后，通过已植入的代理转发程序进行横向渗透，不会触发监控报警。本方法提出一种非常规、易检测且不易被攻击者发觉的识别方法，从网络流量中提取SSH客户端的版本信息或开启SSH服务端的debug模式，结合源IP和用户名建立基线，SSH用户的正常使用行为不会触发基线报警，当攻击者使用自己惯用的SSH工具进行横向渗透时，就会触发基线监控报警，再结合对该SSH客户端版本信息进行溯源分析，还原出攻击者的攻击路径，便于提前采取对抗措施，降低安全风险。

发明内容

本发明的目的在于提供一种基于隐式遮端信息识别非法入侵的方法，以解决上述背景技术中提出的问题。

本发明提供如下技术方案：

一种基于隐式遮端信息识别非法入侵的方法，包括以下步骤，

S1：提取SSH协议数据；

S2：构建数据处理分析系统；

S3：获取SSH协议的流量信息，进行清洗、分析；

S4：在目标主机和源主机之间建立链路；

S5：对发起攻击的源主机提前采取对抗措施。

所述S1提取SSH协议数据，具体包括：设置交换机获取网络流量，从网络流量中提取SSH客户端的版本信息或开启SSH服务端的debug模式，对TCP流量进行分析获取SSH协议相关的数据。

所述网络流量的特征包括连接基本特征、连接内容特征、基于时间的流量统计特征、基于主机的流量统计特征。

所述S2构建数据处理分析系统，具体包括：统计每个重构TCP流量内指前指定个数包的流模式向量，并对流量统计信息构建特征工程，生成数据结果，通过对交换机进行配置，将镜像流量导出至数据解析器。

所述数据处理分析系统包括终端数据处理和服务分析处理器,服务分析处理器根据获取的SSH配置文件中的配置参数，控制终端的访问。

所述S3获取SSH协议的流量信息，进行清洗、分析，具体包括：通过数据解析器网络报文信息解析获取得到TCP的流量，每次TCP通讯记作一条流量数据；根据TCP报文中目的端口信息取出端口SSH协议的流量信息，对SSH协议的流量信息进行清洗和分析，通过技术手段获取SSH用户名和密码和源源端信息。

所述S4在目标主机和源主机之间建立链路，具体包括：更新程序单元和攻击追踪程序单元；更新程序单元用于目标主机在任意主机的SSH登录时，根据目标主机和原始发出SSH登录的源主机之间的所有连接依次进行拼接，形成目标主机和源主机之间的链路，结合源IP和用户名建立基线，SSH用户的正常使用行为不会触发基线报警。

所述的攻击追踪程序单元，在目标主机受到攻击时被启动；查找该攻击对应的目标主机和源主机之间的链路，获取得到源主机的IP地址，对发起攻击的源主机发起定位跟踪。

所述S5对发起攻击的源主机提前采取对抗措施，具体包括：攻击者使用自己惯用的SSH工具进行横向渗透时，会触发基线监控报警；对该SSH客户端版本信息进行溯源分析，还原出攻击者的攻击路径，提前采取对抗措施。

本发明的有益效果是：

1.本方法通过对SSH协议的数据清洗与分析，使目标主机能够在任意主机的SSH登陆，并与原始发出SSH登录的源主机建立链路，对于正常使用的用户不会触发报警，对于发出攻击的源主机，采取系列措施，既能保证其他用户的正常使用，又能有效地发现攻击，防止目标主机受到更大的威胁。

2.本方法能够在当目标主机受到攻击时，查找目标主机和发起攻击的源主机之间的链路，获取得到源主机的IP地址，实现对源主机的定位跟踪，并且，当攻击者使用自己惯用的SSH工具进行横向渗透时，就会触发基线监控报警，再结合对该SSH客户端版本信息进行溯源分析，可方便还原出攻击者的攻击路径，便于提前采取对抗措施。

3.本方法可以在保持计算机远程登录安全性和便利性的条件下，在SSH进行多级跳转登录时，能够对SSH路径从源主机到目的主机的路径进行追踪，在发生SSH登录攻击时，能够快速定位到发起攻击的源主机IP，提高整个系统安全防御系数。

附图说明

图1为本发明流程图；

图2为本发明的链路结构图；

图3为本发明的数据分析系统结构图。

具体实施方式

下面结合附图1-3，和具体实施方式对本发明进行进一步描述。

图1为本发明流程图。

结合图1，一种基于隐式遮端信息识别非法入侵的方法，包括以下步骤：

S1：提取SSH协议数据；

S2：构建数据处理分析系统；

S3：获取SSH协议的流量信息，进行清洗、分析；

S4：在目标主机和源主机之间建立链路；

S5：对发起攻击的源主机提前采取对抗措施。

S1中，通过设置交换机从而获取网络流量，从网络流量中提取SSH客户端的版本信息或开启SSH服务端的debug模式，通过对TCP流量进行分析获取得到SSH协议相关的数据，再对SSH协议数据进行清洗和分析，从数据集合中提取关键特征信息。

S2中，构建数据处理分析系统，统计每个重构TCP流量内指前指定个数包的流模式向量，并对流量统计信息构建特征工程，生成数据结果，通过对交换机进行配置，将镜像流量导出至数据解析器。

S3中，根据TCP报文中目的端口信息取出端口SSH协议的流量信息，对SSH协议的流量信息进行清洗和分析，通过技术手段获取SSH用户名和密码和源源端信息。数据处理分析系统包括终端数据处理和服务分析处理器。服务分析处理器根据获取的SSH配置文件中的配置参数，控制终端的访问；服务分析处理服务器采用预设端口替换与SSH连接的标准端口，对SSH配置文件中的配置参数进行设置，服务分析处理器接收终端数据处理发送的外部连接请求后，若识别出与访问端口对应的预定义的尝试序列即敲门序列后，则打开所述访问端口并向所述终端提示输入认证信息。

结合图3，本发明的数据分析系统结构图，数据处理分析系统包括终端数据处理和服务分析处理器，数据处理分析系统对输入的网络流量进行分析，网络流量特征包括连接基本特征、连接内容特征、基于时间的流量统计特征、基于主机的流量统计特征。

结合图2本发明的链路结构图，S4中，当目标主机在任意主机的SSH登录时，根据目标主机和原始发出SSH登录的源主机之间的所有连接依次进行拼接，形成目标主机和源主机之间的链路，目标主机和源主机之间的链路包括更新程序单元和攻击追踪程序单元。

更新程序单元，用于目标主机和源主机之间的链路形成时，结合源IP和用户名建立基线，SSH用户的正常使用行为不会触发基线报警。

当目标主机受到攻击时，攻击追踪程序单元被启动，查找该攻击对应的目标主机和源主机之间的链路，从而获取得到源主机的IP地址，实现对发起攻击的源主机的定位跟踪。

S5中，当攻击者使用自己惯用的SSH工具进行横向渗透时，通常就会触发基线监控报警，再结合对该SSH客户端版本信息进行溯源分析，还原出攻击者的攻击路径，提前采取措施。