一种基于欺骗诱捕的攻击与入侵影响面评估系统及方法

技术领域

本发明涉及网络安全技术领域，具体涉及一种基于欺骗诱捕的攻击与入侵影响面评估系统及方法。

背景技术

通过开展攻击与入侵影响面评估研究，对防范系统遭受二次攻击具有重要意义。当前应用的攻击与入侵影响面评估方法大多站在防御者视角下，通过分析业务系统中部署的安全防护设备产生的告警日志，以人工方式对攻击与入侵产生的影响进行评估，耗费了大量的人力。此外，安全设备是通过分析业务系统中的全流量信息产生告警日志，产生的告警是针对单一节点的信息攻击，以此为依据评估攻击与破坏对电力系统造成的影响，具有很大的局限性，准确率相对较低。最后，当前从安全设备上获取的日志，通常是已发生的攻击事件告警，对其进行分析评估属于事后处理环节，采取的应急处置方式具有滞后性，对防御者来说处于劣势状态。因此，以攻防对抗思路出发，从攻方视角下，在网络中部署大量“诱饵”、“陷阱”，仿真各种不同类型的真实环境，形成一张“欺骗网络”，诱骗出潜伏的黑客行为和恶意程序。该种方式可直接提取攻击发生过程中的特征要素，形成汇总协同攻击信息，为后续攻击与入侵影响面评估提供数据源，此方式下获得的攻击与入侵影响面评估结果较准确，更能反映出黑客的真实攻击意图。

当下，攻击与入侵影响面评估所使用的数据源来自安全设备产生的告警，产生的告警是针对单一节点的信息攻击，不能充分反映攻击者的真实意图，因此攻击与入侵影响面评估结果具有较大的局限性，准确率较低。采用人工方式分析安全设备告警信息，获得攻击与入侵影响面数据，具有成本高、效率低、耗时长的问题。将安全设备产生的告警信息作为攻击与入侵影响面评估的数据源，具有较强的滞后性，对防御者来说处于劣势。在当前网络形势下，新型的攻击手法层出不穷，僵木蠕病毒的传播，系统0day威胁，APT攻击，社会工程学攻击等奇技淫巧的出现，企业面临五花八门的攻击手法，防不胜防的组合攻击链。现阶段停留在分析已知攻击方式或攻击手法的影响面评估，这是远远不够的。

发明内容

本发明的目的就是针对现有技术的缺陷，提供一种基于欺骗诱捕的攻击与入侵影响面评估系统及方法，通过诱骗黑客攻击陷阱，捕捉攻击记录信息，同时建立历史攻击影响面数据仓库，将攻击记录信息通过攻击树分析并与历史攻击影响面数据仓库中的关键词匹配，进而输出当下攻击与入侵破坏力影响面分析结果。

本发明提供一种基于欺骗诱捕的攻击与入侵影响面评估系统，包括欺骗诱捕系统、攻击信息记录系统、攻击信息分析系统、历史攻击影响面数据仓库构建系统和安全专家分析系统。所述欺骗诱捕系统用于在计算机系统中埋藏诱骗信息，诱导黑客攻击欺骗诱捕系统，所述欺骗诱捕系统产生并发送攻击流量信息至所述攻击信息记录系统。所述攻击信息记录系统用于根据所述攻击流量信息对黑客的攻击行为用文本进行全方位详细记录，得到攻击记录信息。所述攻击信息分析系统用于建立攻击树模型分析所述攻击记录信息以还原黑客的攻击过程，所得分析结果以攻击数据文本呈现，并将所述攻击数据文本作为数据源输入安全专家分析系统进行后续分析处理。所述安全专家分析系统用于通过比较所述攻击数据文本与历史攻击影响面数据仓库内的历史攻击影响面数据文本之间的关键词重叠程度，来判断它们之间的关联性，进而输出当下攻击与入侵破坏力影响面分析结果。

进一步的，所述欺骗诱捕系统在计算机系统中埋藏诱骗信息，诱导黑客攻击的具体方法包括以下途径：

途径一：收集已经社交平台网站上公布的邮箱信息，在邮件网关处开放白名单，并定向投递到指定终端上，所述终端设置安全访问控制策略，所属策略包括划定VLAN、与生产网络隔离、指定专用上网环境，并在所述终端上放置假的密码文件、浏览器内留有假的缓存；

途径二：在现有的系统页面当中夹杂欺骗域名、虚假路径，伪造成信息泄露的假象诱导黑客点击访问；

途径三：将程序设计漏洞布置选择在经常发生漏洞的系统，所述经常发生漏洞的系统包括struts2框架、VPN；

途径四：将防卫者内部网络所有空闲IP地址均设置为诱饵地址，通过trunk技术，将汇聚交换机上不同VLAN的空闲IP绑定到感知节点上，一旦黑客探测到此类空闲IP，感知节点将会转发流量至攻击信息记录系统，记录攻击信息；

途径五：在社交平台网站上投放诱饵地址、诱饵邮箱地址和运维通道；

途径六：设置伪装代理，通过端口混淆，与真实流量实现真假不分，将黑客攻击诱导至欺骗诱捕系统。

进一步的，所述攻击信息记录系统得到攻击记录信息的具体方法如下：

通过提取所述攻击流量信息中的文件操作行为、网络探测行为和进程操作行为得到所述攻击记录信息。

进一步的，所述攻击信息分析系统建立攻击树模型分析所述攻击记录信息以还原黑客的攻击过程的具体方法为：

建立攻击树模型，所述攻击树模型由5个层级构成，相邻层级的划分标准为：低层级为达成高层级的攻击事件，高层级为低层级的目标事件，高层级至低层级依次为根节点N、分节点N

其中，根节点N表示黑客的最终攻击目标，分节点N

子分节点N

叶节点N

根据攻击诱捕模块发送的攻击流量信息，分别对应各叶节点N

进一步的，所述历史攻击影响面数据仓库按如下步骤建立：

步骤1：建立关键词词典，将待匹配的历史报告拆分为一个个词语，再将每一个词语与关键词词典中的所有关键词进行遍历匹配，若某个关键词与某个词语完全相同或者是词语的一部分，则将包含该词语的该段文本记录下来，继续遍历待匹配的报告，直到报告中的所有词语都被匹配并记录完毕；

步骤2：构建去噪词词典，将步骤1中记录的文本遍历匹配去噪词词典，对匹配成功的词语进行删除，得到价值文本；

步骤3：采用共现矩阵法重构价值文本，具体方法为：

步骤3.1：将价值文本划分为词语，将所有词语放入一个集合中；

步骤3.2：确定窗口的步长L，L＝1,2,...，所述步长L表示文字数目；

步骤3.3：以步长L遍历价值文本，将价值文本分割为多个窗口；

步骤3.4：对于每个窗口中互不相同的一对关键词，记录它们在窗口中同时出现的次数，所述同时出现的次数称为共现次数；

步骤3.5：将所有关键词以及它们在文本中的共现次数记录到N×N的矩阵中，构建共现矩阵，其中N为关键词的个数。

进一步的，所述安全专家分析系统输出当下攻击与入侵破坏力影响面分析结果的具体方法为：

对所述攻击数据文本中的攻击目标和攻击行为提取出来，与攻击影响面数据文本的关键词进行重叠程度匹配，将匹配度最高的攻击影响面数据文本的关键词输出，进而得到当下攻击与入侵破坏力影响面分析结果。

一种基于欺骗诱捕的攻击与入侵影响面评估方法，包括以下步骤：

步骤1：在计算机系统中埋藏诱骗信息，诱导黑客攻击，获得攻击流量信息；

步骤2：根据所述攻击流量信息对黑客的攻击行为，得到攻击记录信息；

步骤3：建立攻击树模型分析所述攻击记录信息以还原黑客的攻击过程，获得攻击数据文本；

步骤4：通过比较所述攻击数据文本与历史攻击影响面数据仓库内的历史攻击影响面数据文本之间的关键词重叠程度，判断它们之间的关联性，确定当下攻击与入侵破坏力影响面分析结果。

进一步的，步骤1中，在计算机系统中埋藏诱骗信息，诱导黑客攻击的具体方法包括以下途径：

途径一：收集已经社交平台网站上公布的邮箱信息，在邮件网关处开放白名单，并定向投递到指定终端上，所述终端设置安全访问控制策略，所属策略包括划定VLAN、与生产网络隔离、指定专用上网环境，并在所述终端上放置假的密码文件、浏览器内留有假的缓存；

途径二：在现有的系统页面当中夹杂欺骗域名、虚假路径，伪造成信息泄露的假象诱导黑客点击访问；

途径三：将程序设计漏洞布置选择在经常发生漏洞的系统，所述经常发生漏洞的系统包括struts2框架、VPN；

途径四：将防卫者内部网络所有空闲IP地址均设置为诱饵地址，通过trunk技术，将汇聚交换机上不同VLAN的空闲IP绑定到感知节点上，一旦黑客探测到此类空闲IP，感知节点将会转发流量至攻击信息记录系统，记录攻击信息；

途径五：在社交平台网站上投放诱饵地址、诱饵邮箱地址和运维通道；

途径六：设置伪装代理，通过端口混淆，与真实流量实现真假不分，将黑客攻击诱导至欺骗诱捕系统。

步骤2中，得到攻击记录信息的具体方法如下：

通过提取所述攻击流量信息中的文件操作行为、网络探测行为和进程操作行为得到所述攻击记录信息；

步骤3中，建立攻击树模型分析所述攻击记录信息以还原黑客的攻击过程的具体方法为：

建立攻击树模型，所述攻击树模型由5个层级构成，相邻层级的划分标准为：低层级为达成高层级的攻击事件，高层级为低层级的目标事件，高层级至低层级依次为根节点N、分节点N

其中，根节点N表示黑客的最终攻击目标，分节点N

子分节点N

叶节点N

根据攻击诱捕模块发送的攻击流量信息，分别对应各叶节点N

进一步的，步骤4中，得到历史攻击影响面数据仓库的具体方法为：

步骤4.1：建立关键词词典，将待匹配的历史报告拆分为一个个词语，再将每一个词语与关键词词典中的所有关键词进行遍历匹配，若某个关键词与某个词语完全相同或者是词语的一部分，则将包含该词语的该段文本记录下来，继续遍历待匹配的报告，直到报告中的所有词语都被匹配并记录完毕；

步骤4.2：构建去噪词词典，将步骤4.1中记录的文本遍历匹配去噪词词典，对匹配成功的词语进行删除，得到价值文本；

步骤4.3：采用共现矩阵法重构价值文本，具体方法为：

步骤4.3.1：将价值文本划分为词语，将所有词语放入一个集合中；

步骤4.3.2：确定窗口的步长L，L＝1,2,...，所述步长L表示文字数目；

步骤4.3.3：以步长L遍历价值文本，将价值文本分割为多个窗口；

步骤4.3.4：对于每个窗口中互不相同的一对关键词，记录它们在窗口中同时出现的次数，所述同时出现的次数称为共现次数；

步骤4.3.5：将所有关键词以及它们在文本中的共现次数记录到N×N的矩阵中，构建共现矩阵，其中N为关键词的个数。

步骤5中，对所述攻击数据文本中的攻击目标和攻击行为提取出来，与攻击影响面数据文本的关键词进行重叠程度匹配，将匹配度最高的攻击影响面数据文本的关键词输出，进而得到当下攻击与入侵破坏力影响面分析结果。

一种计算机可读介质，所述计算机可读介质上存储有计算机程序，所述计算机程序在运行时执行上述的信息交互方法。

本发明的有益效果为：

(1)本发明依托于欺骗诱捕技术，主动探查攻击者攻击方式或作案手法，并分析评估此次攻击带来的影响，有利于掌握新的攻击方式，抵御新型攻击。

(2)本发明将充分考虑攻击实施链条，获得攻击协调信息，形成多维度攻击特征要素，全面评估攻击与入侵影响面，同时提高评估结果的准确性。

(3)本发明将以智能化手段，从海量样本数据中提取关键因素，作为攻击与入侵影响面评估的比对依据。

(4)本发明将从攻击发生过程中提取特征数据，作为攻击与入侵影响面评估的数据源，第一时间感知攻击信息，为后续攻击与入侵影响面评估，及时采取较准确的应急响应措施赢得时间。

附图说明

图1为本发明的系统框图；

图2为本发明实施例中的攻击信息分析系统得到的攻击树模型。

具体实施方式

为了使本申请所要解决的技术问题、技术方案及有益效果更加清楚明白，以下结合附图及实施例，对本申请进行进一步详细说明。应当理解，此处所描述的具体实施例仅仅用以解释本申请，并不用于限定本申请。

一种基于欺骗诱捕的攻击与入侵影响面评估系统，包括欺骗诱捕系统、攻击信息记录系统、攻击信息分析系统和安全专家分析系统。欺骗诱捕系统用于在计算机系统中埋藏诱骗信息，诱导黑客通过应用软件攻击欺骗诱捕系统，欺骗诱捕系统产生并发送攻击流量信息至攻击信息记录系统。攻击信息记录系统用于根据攻击流量信息对黑客的攻击行为用文本进行全方位详细记录，得到攻击记录信息。攻击信息分析系统用于建立攻击树模型分析攻击记录信息以还原黑客的攻击过程，所得分析结果以攻击数据文本呈现，并将攻击数据文本作为数据源输入安全专家分析系统进行后续分析处理。安全专家分析系统用于通过比较攻击数据文本与历史攻击影响面数据仓库内的历史攻击影响面数据文本之间的关键词重叠程度，来判断它们之间的关联性，进而输出当下攻击与入侵破坏力影响面分析结果。

各系统的具体方法如下所述：

(1)欺骗诱捕系统：

在计算机系统中埋藏诱骗信息，诱导黑客攻击的具体方法包括以下途径：

途径一：收集已经社交平台网站上公布的邮箱信息，在邮件网关处开放白名单，并定向投递到指定终端上，所述终端设置安全访问控制策略，所属策略包括划定VLAN、与生产网络隔离、指定专用上网环境，并在所述终端上放置假的密码文件、浏览器内留有假的缓存；

途径二：在现有的系统页面当中夹杂欺骗域名、虚假路径，伪造成信息泄露的假象诱导黑客点击访问；

途径三：将程序设计漏洞布置选择在经常发生漏洞的系统，所述经常发生漏洞的系统包括struts2框架、VPN；

途径四：将防卫者内部网络所有空闲IP地址均设置为诱饵地址，通过trunk技术，将汇聚交换机上不同VLAN的空闲IP绑定到感知节点上，一旦黑客探测到此类空闲IP，感知节点将会转发流量至攻击信息记录系统，记录攻击信息；

途径五：在社交平台网站上投放诱饵地址、诱饵邮箱地址和运维通道；

途径六：设置伪装代理，通过端口混淆，与真实流量实现真假不分，将黑客攻击诱导至欺骗诱捕系统。

(2)攻击信息记录系统：

得到攻击记录信息的具体方法如下：

通过提取攻击流量信息中的文件操作行为、网络探测行为和进程操作行为得到攻击记录信息。

(3)攻击信息分析系统：

建立攻击树模型分析攻击记录信息以还原黑客的攻击过程的具体方法为：

由于攻击过程一般具有阶段性，而攻击信息记录系统只对攻击信息进行了记录，得到碎片化的信息。为此我们通过构建攻击树模型，直观的表现具体攻击过程，并使用文本方式来刻画。

建立攻击树模型，攻击树模型由5个层级构成，相邻层级的划分标准为：低层级为达成高层级的攻击事件，高层级为低层级的目标事件，高层级至低层级依次为根节点N、分节点N

其中，根节点N表示黑客的最终攻击目标，分节点N

子分节点N

叶节点N

根据攻击诱捕模块发送的攻击流量信息，分别对应各叶节点N

攻击树模型示例如图2所示，各节点所代表的事件如表1、2、3所示：

表1攻击树分节点

表2攻击树叶子节点

表3攻击树子分支节点

(5)安全专家分析系统：

输出当下攻击与入侵破坏力影响面分析结果的具体方法为：

对所述攻击数据文本中的攻击目标和攻击行为提取出来，与攻击影响面数据文本的关键词进行重叠程度匹配，将匹配度最高的攻击影响面数据文本的关键词输出，进而得到当下攻击与入侵破坏力影响面分析结果。

得到历史攻击影响面数据仓库的具体方法为：

步骤1：建立关键词词典，将待匹配的报告拆分为一个个词语，再将每一个词语与关键词词典中的所有关键词进行遍历匹配，若某个关键词与某个词语完全相同或者是词语的一部分，则将包含该词语的该段文本记录下来，继续遍历待匹配的报告，直到报告中的所有词语都被匹配并记录完毕；

步骤2：构建去噪词词典，将步骤一中记录的文本遍历匹配去噪词词典，对匹配成功的词语进行删除，得到价值文本；

经过关键词词典处理后的报告内，会存在无意义、混淆结果的词语，为此需去除对记录报告没有价值的多余词语，避免占用更多的存储空间，分析时耗费更多的硬件资源。去噪词字典包括但不限于以下内容：“之”、“乎”、“则”、“些”、“来”、“时”等。

步骤3：采用共现矩阵法重构价值文本，了解词语之间的相关性和层次结构，揭示词语之间的关系，从而将具有逻辑关系的攻击影响面语句共同呈现出来，增强知识表达能力。在报告中，大部分关键词都不是孤立存在的，一个关键词的出现往往伴随着另一个关键词的出现，本发明中采用共现矩阵法，计算关键词之间的共现频率，以探索文本语句之间的逻辑关系。

具体方法为：

步骤3.1：将价值文本划分为词语，将所有词语放入一个集合中；

步骤3.2：确定窗口的步长L，L＝1,2,...，步长L表示文字数目；

步骤3.3：以步长L遍历价值文本，将价值文本分割为多个窗口；

步骤3.4：对于每个窗口中互不相同的一对关键词，记录它们在窗口中同时出现的次数，同时出现的次数称为共现次数；

步骤3.5：将所有关键词以及它们在文本中的共现次数记录到N×N的矩阵中，构建共现矩阵，其中N为关键词的个数。

构建的N x N结构矩阵，示例如表4：

表4共现矩阵

经过此步骤，我们可以得出关键词之间的频率关系。随后，通过人工分析进一步细化高频共现词之间的逻辑关系，找出其中的因果关系、条件关系等，从而进一步发现语句间潜在的结构关系，强化输出结果的逻辑性、可读性。由此，我们就构建了历史攻击影响面数据仓库。

本说明书未作详细描述的内容属于本领域专业技术人员公知的现有技术。本领域内的技术人员应明白，本发明的实施例可提供为方法、系统、或计算机程序产品。因此，本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。

本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

最后应当说明的是:以上实施例仅用于说明本发明的技术方案而非对其保护范围的限制，尽管参照上述实施例对本发明进行了详细的说明，所属领域的普通技术人员应当理解:本领域技术人员阅读本发明后依然可对发明的具体实施方式进行种种变更、修改或者等同替换，但这些变更、修改或者等同替换，均在发明待批的权利要求保护范围之内。