公开/公告号CN105488393A
专利类型发明专利
公开/公告日2016-04-13
原文格式PDF
申请/专利权人 哈尔滨安天科技股份有限公司;
申请/专利号CN201410824964.8
申请日2014-12-27
分类号G06F21/55(20130101);
代理机构
代理人
地址 150090 黑龙江省哈尔滨市开发区南岗集中区红旗大街162号506室
入库时间 2023-12-18 15:29:11
法律状态公告日
法律状态信息
法律状态
2019-08-09
专利权质押合同登记的生效 IPC(主分类):G06F21/55 登记号:2019230000007 登记生效日:20190718 出质人:哈尔滨安天科技集团股份有限公司 质权人:龙江银行股份有限公司哈尔滨利民支行 发明名称:一种基于数据库蜜罐的攻击行为意图分类方法及系统 授权公告日:20180703 申请日:20141227
专利权质押合同登记的生效、变更及注销
2019-04-02
专利权人的姓名或者名称、地址的变更 IPC(主分类):G06F21/55 变更前: 变更后: 申请日:20141227
专利权人的姓名或者名称、地址的变更
2018-07-03
授权
授权
2016-05-11
实质审查的生效 IPC(主分类):G06F21/55 申请日:20141227
实质审查的生效
2016-04-13
公开
公开
技术领域
本发明涉及网络安全领域,特别涉及一种基于数据库蜜罐的攻击行为意图分类方法及系统。
背景技术
目前数据库审计系统和数据库型蜜罐均可以获取黑客攻击的行为轨迹。当黑客对数据库进行操作后,其留下的行为轨迹一般被用于事后定案的关键证据。在取证过程中,如何区别其行为是一种简单用于学习为目的行为,还是有计划和目标式的攻击并窃密非常重要,其能够根据行为目的,明确当前网络环境安全的真实状况。
发明内容
基于上述需求,本发明提供了一种基于数据库蜜罐的攻击行为意图分类方法及系统。通过本发明的方法解决了现有技术无法对行为意图进行分类,无法明确攻击行为真正意图的问题。
一种基于数据库蜜罐的攻击行为意图分类方法,包括:
标记蜜罐所能模拟的入侵攻击行为;
将全部带标记的入侵攻击行为按预设的入侵阶段划分层级;
根据层级和标记的入侵攻击行为,枚举全部入侵攻击路径及对应的攻击行为意图类别,建立攻击行为意图库;
检测攻击者的入侵攻击行为,并记录所述攻击者的入侵攻击行为路径在各层级对应的入侵行为的标记;
将入侵行为的标记与攻击行为意图库进行比对,如果各入侵行为的标记与攻击行为意图库中的入侵攻击路径相同,则攻击者的攻击行为意图为入侵攻击路径所对应的攻击行为意图类别,否则为未知类别。
所述的方法中,所述的预设的入侵阶段包括:主机发现和端口扫描阶段、渗透攻击阶段及主机利用阶段。
所述的方法中,所述检测攻击者的入侵攻击行为,并记录所述攻击者的入侵攻击行为路径在各层级对应的入侵行为的标记,若存在两条以上入侵攻击行为路径,则选取层级数量较多的入侵攻击行为路径;若存在两条以上入侵攻击行为路径,且层级数量相同,则根据预设的最终行为的优先级,选取最终行为优先级较高的入侵攻击行为路径。
一种基于数据库蜜罐的攻击行为意图分类系统,包括:
攻击行为意图库建立模块,用于标记蜜罐所能模拟的入侵攻击行为;
将全部带标记的入侵攻击行为按预设的入侵阶段划分层级;
根据层级和标记的入侵攻击行为,枚举全部入侵攻击路径及对应的攻击行为意图类别,建立攻击行为意图库;
攻击行为检测模块,用于检测攻击者的入侵攻击行为,并记录所述攻击者的入侵攻击行为路径在各层级对应的入侵行为的标记;
攻击行为对比分类模块,用于将入侵行为的标记与攻击行为意图库进行比对,如果各入侵行为的标记与攻击行为意图库中的入侵攻击路径相同,则攻击者的攻击行为意图为入侵攻击路径所对应的攻击行为意图类别,否则为未知类别。
所述的系统中,所述的预设的入侵阶段包括:主机发现和端口扫描阶段、渗透攻击阶段及主机利用阶段。
所述的系统中,所述检测攻击者的入侵攻击行为,并记录所述攻击者的入侵攻击行为路径在各层级对应的入侵行为的标记,若存在两条以上入侵攻击行为路径,则选取层级数量较多的入侵攻击行为路径;若存在两条以上入侵攻击行为路径,且层级数量相同,则根据预设的最终行为的优先级,选取最终行为优先级较高的入侵攻击行为路径。
本发明提供了一种基于数据库蜜罐的攻击行为意图分类方法及系统,本发明方法通过对已知的攻击行为进行标记并分层,枚举全部可能的入侵攻击行为标记链接,建立入侵攻击行为意图库,并检测入侵攻击行为,对入侵攻击行为进行同样的标记,将入侵攻击行为的标记与入侵攻击行为意图库进行对比,如果匹配,则为对应的行为类别,否则为未知分类。通过本发明的方法,在检测入侵攻击的同时,能够确定入侵攻击的意图,对网络环境安全状况进行评估,反映网络安全态势的真正情况。
附图说明
为了更清楚地说明本发明或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明中记载的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明一种基于数据库蜜罐的攻击行为意图分类方法实施例流程图;
图2为本发明一种基于数据库蜜罐的攻击行为意图分类系统实施例结构示意图。
具体实施方式
为了使本技术领域的人员更好地理解本发明实施例中的技术方案,并使本发明的上述目的、特征和优点能够更加明显易懂,下面结合附图对本发明中技术方案作进一步详细的说明。
基于上述需求,本发明提供了一种基于数据库蜜罐的攻击行为意图分类方法及系统。通过本发明的方法解决了现有技术无法对行为意图进行分类,无法明确攻击行为真正意图的问题。
一种基于数据库蜜罐的攻击行为意图分类方法,如图1所示,包括:
S101:标记蜜罐所能模拟的入侵攻击行为;
S102:将全部带标记的入侵攻击行为按预设的入侵阶段划分层级;
S103:根据层级和标记的入侵攻击行为,枚举全部入侵攻击路径及对应的攻击行为意图类别,建立攻击行为意图库;
S104:检测攻击者的入侵攻击行为,并记录所述攻击者的入侵攻击行为路径在各层级对应的入侵行为的标记;
S105:将入侵行为的标记与攻击行为意图库进行比对,判断各入侵行为路径的标记与攻击行为意图库中的入侵攻击路径相同,如果是,则攻击者的攻击行为意图为入侵攻击路径所对应的攻击行为意图类别,否则为未知类别。
所述的方法中,所述的预设的入侵阶段包括:主机发现和端口扫描阶段、渗透攻击阶段及主机利用阶段。
所述的方法中,所述检测攻击者的入侵攻击行为,并记录所述攻击者的入侵攻击行为路径在各层级对应的入侵行为的标记,若存在两条以上入侵攻击行为路径,则选取层级数量较多的入侵攻击行为路径;若存在两条以上入侵攻击行为路径,且层级数量相同,则根据预设的最终行为的优先级,选取最终行为优先级较高的入侵攻击行为路径。
举例来说:假设入侵阶段包括:主机发现和端口扫描阶段、渗透攻击阶段及主机利用阶段,各阶段中的行为节点及标记如下:
主机发现,端口扫描阶段:
A.ICMP协议Ping操作;
B.直接端口扫描;
C.快速自定义扫描关心的端口;
D.全端口区间扫描;
E.所关心的端口服务协议探测;
渗透攻击阶段:
F.溢出攻击;
G.暴力破解攻击;
主机利用阶段:当入侵后,可以实施的操作更为复杂,但可以收敛到如下几个方向:
a.访问主机文件系统并搜索-存储窃蜜行为;
b.修改本操作系统用户权限,创建用户等-安装后门;
c.枚举数据库系统所有数据库及表-数据库窃密行为;
d.创建,修改数据库用户权限安装后门-数据库窃密行为;
e.注册数据库扩展插件并安装后门-安装后门;
f.上传已知后门程序,并开启常见DDos远控服务-僵尸网络;
g.上传未知后门程序-未知;
h.直接退出—无恶意,学习目的。
那么枚举出全部攻击路径,则攻击行为意图库中的入侵攻击路径即可为AFa、AFb、AFc等等,每个入侵攻击路径在每个层级只能包含一种行为。如果在检测时,攻击者的攻击行为AF和AFc,则根据所涉及层级数量,选择AFc进行检测。如果攻击者的攻击路径为AFc及AFh,则根据最后一个行为的预设的优先级,选择AFc进行检测。优先级可根据行为的威胁程度进行设定。
一种基于数据库蜜罐的攻击行为意图分类系统,如图2所示,包括:
攻击行为意图库建立模块201,用于标记蜜罐所能模拟的入侵攻击行为;
将全部带标记的入侵攻击行为按预设的入侵阶段划分层级;
根据层级和标记的入侵攻击行为,枚举全部入侵攻击路径及对应的攻击行为意图类别,建立攻击行为意图库;
攻击行为检测模块202,用于检测攻击者的入侵攻击行为,并记录所述攻击者的入侵攻击行为路径在各层级对应的入侵行为的标记;
攻击行为对比分类模块203,用于将入侵行为的标记与攻击行为意图库进行比对,如果各入侵行为的标记与攻击行为意图库中的入侵攻击路径相同,则攻击者的攻击行为意图为入侵攻击路径所对应的攻击行为意图类别,否则为未知类别。
所述的系统中,所述的预设的入侵阶段包括:主机发现和端口扫描阶段、渗透攻击阶段及主机利用阶段。
所述的系统中,所述检测攻击者的入侵攻击行为,并记录所述攻击者的入侵攻击行为路径在各层级对应的入侵行为的标记,若存在两条以上入侵攻击行为路径,则选取层级数量较多的入侵攻击行为路径;若存在两条以上入侵攻击行为路径,且层级数量相同,则根据预设的最终行为的优先级,选取最终行为优先级较高的入侵攻击行为路径。
本发明提供了一种基于数据库蜜罐的攻击行为意图分类方法及系统,本发明方法通过对已知的攻击行为进行标记并分层,枚举全部可能的入侵攻击行为标记链接,建立入侵攻击行为意图库,并检测入侵攻击行为,对入侵攻击行为进行同样的标记,将入侵攻击行为的标记与入侵攻击行为意图库进行对比,如果匹配,则为对应的行为类别,否则为未知分类。通过本发明的方法,在检测入侵攻击的同时,能够确定入侵攻击的意图,对网络环境安全状况进行评估,反映网络安全态势的真正情况。
通过对入侵路径的分析,一旦在某个时间点爆发大量的针对特定服务的入侵行为,我们的应急响应人员就可以重点分析此阶段此类事件的攻击载荷,确认时候是该服务爆出了新的漏洞,为漏洞分析提供资料。
通过以上的实施方式的描述可知,本领域的技术人员可以清楚地了解到本发明可借助软件加必需的通用硬件平台的方式来实现。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例或者实施例的某些部分所述的方法。
本说明书中的各个实施例均采用递进的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于系统实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
本发明可用于众多通用或专用的计算系统环境或配置中。例如:个人计算机、服务器计算机、手持设备或便携式设备、平板型设备、多处理器系统、基于微处理器的系统、置顶盒、可编程的消费电子设备、网络PC、小型计算机、大型计算机、包括以上任何系统或设备的分布式计算环境等等。
本发明可以在由计算机执行的计算机可执行指令的一般上下文中描述,例如程序模块。一般地,程序模块包括执行特定任务或实现特定抽象数据类型的例程、程序、对象、组件、数据结构等等。也可以在分布式计算环境中实践本发明,在这些分布式计算环境中,由通过通信网络而被连接的远程处理设备来执行任务。在分布式计算环境中,程序模块可以位于包括存储设备在内的本地和远程计算机存储介质中。
虽然通过实施例描绘了本发明,本领域普通技术人员知道,本发明有许多变形和变化而不脱离本发明的精神,希望所附的权利要求包括这些变形和变化而不脱离本发明的精神。
