一种基于蜜洞的攻击溯源方法与流程

1.本发明涉及网络安全监测技术领域，尤其涉及一种基于蜜洞的攻击溯源方法。


背景技术：

2.随着互联网技术的发展，网络安全隐患出现在越来越多的应用场景中。近年来，互联网行业中网络攻击事件频繁发生，给企业乃至国家都带来了极大的损失和负面影响，网络安全也因此备受重视。
3.为防范网络攻击，蜜点、蜜网和蜜罐等系统通过对真实目标的克隆和对攻击者的诱导，欺骗攻击者对虚假目标进行攻击，一方面使攻击者远离真实目标，另一方面通过与攻击者的交互分析其攻击手段。然而，这些系统均被部署在“近保护对象侧”，攻击者可以长期、慢速、持续的对保护对象进行探测从而积累足够多的有效情报，而无需担心溯源风险。此外，无论是服务白名单还是威胁情报系统，都不能草率地直接拦截可疑攻击，以免错误拦截合法用户访问。这增加了攻击者渗透至被保护对象进行破坏的风险，易导致攻击者对被保护对象造成不可逆的破坏。如何将网络攻防的战场移动到近入侵侧，在攻击者接近被保护对象前将其拦截，越来越成为网络安全的焦点。
4.蜜网是一种故意设计成有漏洞，引诱攻击者攻击，从而捕获攻击者行为的一种主动安全防御系统，它是由多个蜜罐和网络分析系统一起组成的一个具有诱捕网络攻击功能的仿真网络。其中蜜罐被定义为“一种虚假的、具备吸引性和诱骗性的资源，其价值在于被探测、被攻击甚至被攻陷”。通过在蜜网中部署没有攻击价值的服务器、主机和其他资源来诱骗攻击者，捕获攻击者对目标网络的攻击行为并提供给网络管理人员进行研究分析，判断入侵者的攻击方法、策略与目的，从而更新自身防御措施，保护真实的网络资源。
5.蜜罐系统存在着仿真度与可控性之间的矛盾问题，在部署中因缺少真实业务而容易被入侵者识别，因此在实际构建蜜罐系统的过程中，构建者经常会在蜜罐中增加多种虚假面包屑信息和蜜饵数据或文件，以增强蜜罐系统的吸引力，引入蜜标技术增加系统的追踪溯源能力。蜜标技术就是在构建的陷阱网络中通过脚本捆绑或标识嵌入等技术部署各种虚假业务信息，增加蜜罐系统的业务真实性，引诱入侵者触碰或攻击，以便实现对入侵者追踪溯源。从概念上来说，蜜标就是蜜罐的延伸和改进，蜜标文件不仅仅是一种信息资源，更多的时候是用于诱捕非法入侵者的信息实体或资源，包含有用于跟踪攻击者的诱饵的数字数据，包括虚假电子邮件地址、用户账户、数据库信息和虚假程序等，是一种合法访问都不会去访问的资源，因此任何访问者都是潜在的非法入侵者。
6.上述现有技术中的基于蜜点、蜜网和蜜罐的攻击溯源方法的缺点为：
7.1、对攻击者入侵响应不够及时，可能会导致攻击者对被保护对象进行渗透后才发现其攻击行为，对被保护对象造成不可逆的损坏。
8.2、对攻击者溯源难度高。由于防御系统只能获取攻击者的攻击手段和攻击时间等信息，对攻击者的身份认证工作难度大、耗时长，攻击溯源效率低。


技术实现要素：

9.本发明的实施例提供了一种基于蜜洞的攻击溯源方法，以实现有效地对对可疑用户进行拦截和攻击溯源。
10.为了实现上述目的，本发明采取了如下技术方案。
11.一种基于蜜洞的攻击溯源方法，包括：
12.将蜜洞系统部署于近入侵侧的真实网络中，该蜜洞系统包括数据采集模块、行为分析模块、安全系统和攻击溯源模块；
13.通过蜜洞系统中的数据采集模块对客户端的数据流量和操作日志进行采集，将采集的一段时间内的原始数据进行存储；
14.通过蜜洞系统中的行为分析模块对数据采集模块存储的原始数据进行解析和抽取，生成描述该用户访问特征的访问基线和操作链路，判断用户的风险等级，当根据用户的风险等级判断检测到可疑用户，将告警信息和用户访问数据信息发送给蜜洞系统中的攻击溯源模块；
15.所述攻击溯源模块根据接收到的告警信息和用户访问数据信息向可疑用户释放木马类溯源认证工具，根据可疑用户返回的信用凭据决定是否允许该可疑用户访问网络。
16.优选地，所述的将蜜洞系统部署于近入侵侧的真实网络中，该蜜洞系统包括数据采集模块、行为分析模块、安全系统和攻击溯源模块，包括；
17.将蜜洞系统中的数据采集模块和行为分析模块部署于近客户端的网络接口，该蜜洞系统包括数据采集模块、行为分析模块、安全系统和攻击溯源模块，用户访问被保护系统的流量数据经过蜜洞系统的数据采集模块，实现对流量数据的实时采集和分析；
18.蜜洞系统中的安全系统部署于内网服务器与外界通信的接口，内网服务器通过安全系统来进行域名-地址映射，用户经过安全系统访问内网服务器，安全系统通过添加用户ip实现对特定用户的访问拦截；
19.蜜洞系统中的攻击溯源模块部署于服务器端内网，与内网服务器共享接口，仅与蜜洞进行通信，用户ip无法访问该模块。
20.优选地，所述的通过蜜洞系统中的数据采集模块对客户端的数据流量和操作日志进行采集，将采集的一段时间内的原始数据进行存储，包括；
21.蜜洞系统中的数据采集模块对客户端的数据流量和操作日志进行监控，使用数据流量探针和操作日志探针对用户的数据流量和操作日志进行采集，对一段时间内的访问和操作数据进行存储，具体操作包括：
22.蜜洞系统中的数据采集模块检测用户在客户端收发的流量数据，使用数据流量探针对经过数据采集模块的所有类型的用户数据流量进行采集；
23.数据采集模块检测客户端日志，使用操作日志探针对用户操作行为和用户操作信息进行采集，用户操作信息包括：客户端信息、事件信息和用户信息；
24.数据采集模块将采集到的流量数据和操作日志进行存储，根据可能发生的网络攻击生命周期设置时间节点，保存时间节点内的用户访问和操作数据。
25.优选地，所述的通过蜜洞系统中的行为分析模块对数据采集模块存储的原始数据进行解析和抽取，生成描述该用户访问特征的访问基线和操作链路，当根据用户的风险等级判断检测到可疑用户，将告警信息和用户访问数据信息发送给蜜洞系统中的攻击溯源模
块，包括；
26.蜜洞系统中的行为分析模块对数据采集模块存储的用户访问和操作数据进行解析，提取其中的结构化和非结构化数据，所述结构化数据包括：访问时间、用户ip、目标ip、目标端口和用户操作系统信息，所述非结构化数据包括：请求报文、响应报文和操作行为；
27.根据事件发生的时间节点，依托现有的结构化和非结构化数据，将用户的访问整理为访问基线和操作链路，所述访问基线为访问时间和数据流量曲线，描述了用户在各个时间节点与内网服务器连接产生的数据流量大小，所述操作链路为时间和操作行为列表，描述了用户通过客户端在各个时间点与内网服务器交互产生的行为信息；
28.根据用户访问基线和操作链路通过与开放的威胁数据之间的接口和现有的威胁数据库进行匹配，根据匹配结果判断此用户访问行为的威胁程度，并将威胁程度划分为低危、中危和高危三个等级；
29.当检测到用户威胁程度达到中危及以上，行为分析模块向安全系统发出告警信息，安全系统将该用户ip信息加入黑名单，阻止其访问，向攻击溯源模块发出告警信息和用户访问数据。
30.优选地，所述的攻击溯源模块根据接收到的告警信息和用户访问数据向可疑用户释放木马类溯源认证工具，根据可疑用户返回的信用凭据决定是否允许该可疑用户访问网络，包括；
31.攻击溯源模块接收到对某一用户的告警信息后，在客户端强制向用户索取信用凭据，用户客户端通过无线网络或有线网络向攻击溯源模块提交信用凭据；
32.若用户提供了有效的信用凭据，则攻击溯源模块将信用凭据留存，并向安全系统发出允许访问命令，安全系统将该用户ip移出黑名单，用户继续通过客户端访问内网服务器；若用户没有及时提交或提交了无效的信用凭据，则安全系统将用户ip保留在黑名单，始终拦截该用户的访问。
33.优选地，所述的方法还包括；
34.若后续针对内网服务器的攻击发生后，攻击溯源模块将存储的用户凭据与历史访问信息进行映射，针对每个已认证信用凭据的用户构建攻击树，所述已认证信用凭据包括：信用证明及认证、用户ip、用户设备类型、用户操作时间、访问基线和操作链路；
35.根据当前检测到的攻击手段与映射得到的攻击树进行同源分析、交叉分析，判断是否存在匹配的攻击树，若发现匹配攻击树，则针对此用户进行溯源。
36.由上述本发明的实施例提供的技术方案可以看出，本发明实施例在攻击者接近被保护对象前就对其进行拦截。在近入侵侧部署蜜洞，为了防止对正常用户的误拦截，让可能存在威胁的用户提交信用凭据，既能对可疑用户进行拦截，又不会影响正常用户的访问。发生攻击事件后对攻击者进行溯源。要求可能存在威胁的用户提交信用凭据，在攻击发生后就可以结合攻击手段和用户信用凭据进行攻击溯源，提高溯源效率。
37.本发明附加的方面和优点将在下面的描述中部分给出，这些将从下面的描述中变得明显，或通过本发明的实践了解到。
附图说明
38.为了更清楚地说明本发明实施例的技术方案，下面将对实施例描述中所需要使用
的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
39.图1为本发明实施例提供的一种基于蜜洞的攻击溯源方法的处理流程图；
40.图2为本发明实施例提供的蜜洞系统的框架图；
41.图3为本发明实施例提供的一种基于蜜洞的攻击溯源系统的模型示意图。
具体实施方式
42.下面详细描述本发明的实施方式，所述实施方式的示例在附图中示出，其中自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过参考附图描述的实施方式是示例性的，仅用于解释本发明，而不能解释为对本发明的限制。
43.本技术领域技术人员可以理解，除非特意声明，这里使用的单数形式“一”、“一个”、“所述”和“该”也可包括复数形式。应该进一步理解的是，本发明的说明书中使用的措辞“包括”是指存在所述特征、整数、步骤、操作、元件和/或组件，但是并不排除存在或添加一个或多个其他特征、整数、步骤、操作、元件、组件和/或它们的组。应该理解，当我们称元件被“连接”或“耦接”到另一元件时，它可以直接连接或耦接到其他元件，或者也可以存在中间元件。此外，这里使用的“连接”或“耦接”可以包括无线连接或耦接。这里使用的措辞“和/或”包括一个或更多个相关联的列出项的任一单元和全部组合。
44.本技术领域技术人员可以理解，除非另外定义，这里使用的所有术语(包括技术术语和科学术语)具有与本发明所属领域中的普通技术人员的一般理解相同的意义。还应该理解的是，诸如通用字典中定义的那些术语应该被理解为具有与现有技术的上下文中的意义一致的意义，并且除非像这里一样定义，不会用理想化或过于正式的含义来解释。
45.为便于对本发明实施例的理解，下面将结合附图以几个具体实施例为例做进一步的解释说明，且各个实施例并不构成对本发明实施例的限定。
46.本发明实施例提出了一种基于蜜洞的攻击溯源方法，该方法的处理流程图如图1所示，包括如下的处理过程：
47.(1)部署于近入侵侧的蜜洞对用户的流量数据和操作行为进行采集，将采集的原始数据进行保存；
48.(2)对保存的原始数据进行处理，生成用户的访问与操作数据链，保存一段时间内的用户的访问与操作数据链；
49.(3)对比现有威胁信息，分析用户威胁等级，判断是否存在非法访问或违规操作行为；
50.(4)若发现非法访问或违规操作用户，则阻断用户的访问，并向该可疑用户释放木马类溯源认证工具来强制远程用户提供信用凭据；
51.(5)根据可疑用户提供的信用凭据结果决定是否继续对该可疑用户的访问进行拦截。
52.(6)若后续出现攻击行为，则通过用户提交的信用凭据结果与之前记录到的攻击数据进行映射，构建攻击树，溯源攻击者。
53.本发明实施例提供的一种蜜洞系统的框架示意图如图2所示，包括数据采集模块、
安全系统、行为分析模块和攻击溯源模块。本发明实施例提供的一种近客户端应用场景下的基于蜜洞的攻击溯源系统的模型示意图如图3所示。在近入侵侧部署蜜洞，对用户的访问数据和操作行为进行实时采集，检测可疑用户并要求其提交有效信用凭证，以实现在访问源头一侧拦截攻击者，并为后续攻击溯源和反制提供了支撑环境和条件。
54.上述基于蜜洞的攻击溯源系统的应用过程包括以下处理步骤：
55.步骤1、将蜜洞系统部署于近入侵侧的真实网络中。
56.针对攻击者可能用来接入目标服务器的近客户端侧部署蜜洞系统。在实际部署过程中，需要将蜜洞系统部署在客户端网络接口，采集分析用户的全部流量数据，而安全系统和攻击溯源模块分别部署于内网服务器与外网的接口以及服务器端的内网。具体可以进行如下部署，包括：
57.(1)将蜜洞系统部署于近客户端的网络接口，用户访问被保护系统的流量数据都会经过蜜洞的数据采集模块，以实现对流量数据的实时采集和分析。
58.(2)将蜜洞系统中的安全系统部署于内网服务器与外界通信的接口，内网服务器通过安全系统来进行域名-地址映射，用户必须经过安全系统才能访问内网服务器，安全系统可以通过添加用户ip实现对特定用户的访问拦截。
59.(3)将蜜洞系统中的攻击溯源模块部署于服务器端内网，与内网服务器共享接口，仅与蜜洞进行通信，用户ip无法访问该模块。
60.步骤2、蜜洞系统中的数据采集模块对客户端的数据流量和操作日志进行监控，使用数据流量探针和操作日志探针对用户的数据流量和操作日志进行采集，对一段时间内的访问和操作数据进行存储，具体操作包括：
61.步骤2.1、检测用户在客户端收发的核心流量数据，使用数据流量探针经过数据采集模块的所有类型的用户数据流量进行采集。上述用户数据流量可以为http、smtp等协议的用户数据流量。
62.步骤2.2、检测客户端日志，使用操作日志探针对用户操作行为进行采集，用户操作信息包括：
63.(1)客户端信息，包括客户端系统、客户端版本等客户端信息；
64.(2)事件信息，包括id、类型和发生时间等行为信息。
65.(3)用户信息，执行该操作的终端用户等，即登录用户。
66.步骤2.3、将采集到的流量数据和操作日志进行存储，根据可能发生的网络攻击生命周期设置时间节点，如7天内、30天内或一年内，数据采集模块仅保存时间节点内的访问和操作数据。
67.步骤3、蜜洞系统中的行为分析模块对数据采集模块采集到的原始数据进行解析和抽取，生成描述该用户访问特征的访问基线和操作链路，对比现有威胁信息判断用户的风险等级，并将结果发送给安全系统和攻击溯源模块。
68.步骤3.1、行为分析模块对原始http等协议的流量数据和用户操作信息数据进行解析，提取其中的结构化和非结构化数据，包括：
69.(1)结构化数据：访问时间、用户ip、目标ip、目标端口、用户操作系统等信息；
70.(2)非结构化数据：请求报文、响应报文、操作行为等。
71.步骤3.2、根据事件发生的时间节点，依托现有的结构化和非结构化数据，将用户
的访问整理为访问基线和操作链路，包括：
72.(1)访问基线为访问时间和数据流量曲线，描述了用户在各个时间节点与内网服务器连接产生的数据流量大小；
73.(2)操作链路为时间和操作行为列表，描述了用户通过客户端在各个时间点与内网服务器交互产生的行为信息。
74.步骤3.3、根据用户访问基线和操作链路，通过与开放的威胁数据接口和现有的威胁数据库进行匹配，判断此用户访问行为的威胁程度，并将威胁程度划分为低危、中危和高危三个等级；
75.步骤3.4、当检测到用户威胁程度达到中危及以上，行为分析模块向安全系统发出告警信息，安全系统将该用户ip等信息加入黑名单，阻止其访问；向攻击溯源模块发出告警信息和用户访问数据信息，以使攻击溯源模块根据用户访问数据信息找到该用户，并采取相应措施。
76.步骤4、攻击溯源模块接收到相关信息后，首先向可疑用户释放木马类溯源认证工具来强制远程用户提供信用凭据，根据信用凭据提交结果决定是否允许用户访问。包括：
77.步骤4.1、攻击溯源模块接收到对某一用户的告警信息，首先在客户端强制向用户索取信用凭据，若客户端位于移动设备，则可以通过刷脸认证、支付宝扫码认证等提交信用信息；若客户端位于个人pc等设备，则可以通过提交由政府认证的、分信用等级的、可保护用户隐私的出勤证明协议(proof of attendance protocol，poap)证明等信用凭证，以获取访问权限。poap属于一种方法，其他方法如刷脸、扫码等都属于信用凭据提交方法。
78.步骤4.2、若用户提供了有效的信用凭据，则攻击溯源模块将信用凭据留存，并向安全系统发出允许访问命令，安全系统将该用户ip移出黑名单，用户可继续通过客户端访问内网服务器；若用户没有及时提交或提交了无效的信用凭据，则安全系统将用户ip保留在黑名单，始终拦截其访问。
79.步骤5、若后续发生攻击，则将存储的用户信用凭据与历史访问信息进行映射，构建攻击树，追溯攻击源头，达到对攻击者溯源的效果。
80.步骤5.1、针对内网服务器的攻击发生后，攻击溯源模块首先将存储的用户凭据与历史访问信息进行映射，针对每个已认证信用凭据的用户构建攻击树，主要包括以下内容：
81.(1)信用证明及认证：信用证明及用户真实信息；
82.(3)用户ip：历史访问ip；
83.(4)用户设备类型：用户在客户端侧所使用的设备或操作系统类型；
84.(5)用户操作时间：用户开始操作与结束操作时间；
85.(6)访问基线：用户历史访问基线；
86.(7)操作链路：用户历史操作链路。
87.步骤5.2、根据当前检测到的攻击手段与映射得到的攻击树进行同源分析、交叉分析，判断是否存在匹配的攻击树，若发现匹配攻击树，则针对此用户进行溯源，达到追溯攻击者的目的。
88.综上所述，本发明实施例所采用的蜜洞技术可以有效地克服传统的蜜点、蜜网和蜜罐等技术部署在“近保护对象侧”，容易被攻击者逐步渗透的问题，在实际应用场景中主动防御、用户协作参与和决策精准的优点。
89.本发明所提出的基于蜜洞的攻击溯源方法部署于近入侵侧，可以实现在攻击者接近攻击目标前拦截其访问，避免对于被保护系统不可逆的远程操作，通过自动化索要身份证明，既保障了合法用户的正常访问，又提升了攻击成本、增加了攻击者的溯源风险，提升了对攻击者的震慑作用和出现攻击后溯源的能力，并且贴合网络安全的实际应用场景。
90.本领域普通技术人员可以理解：附图只是一个实施例的示意图，附图中的模块或流程并不一定是实施本发明所必须的。
91.通过以上的实施方式的描述可知，本领域的技术人员可以清楚地了解到本发明可借助软件加必需的通用硬件平台的方式来实现。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品可以存储在存储介质中，如rom/ram、磁碟、光盘等，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本发明各个实施例或者实施例的某些部分所述的方法。
92.本说明书中的各个实施例均采用递进的方式描述，各个实施例之间相同相似的部分互相参见即可，每个实施例重点说明的都是与其他实施例的不同之处。尤其，对于装置或系统实施例而言，由于其基本相似于方法实施例，所以描述得比较简单，相关之处参见方法实施例的部分说明即可。以上所描述的装置及系统实施例仅仅是示意性的，其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性劳动的情况下，即可以理解并实施。
93.以上所述，仅为本发明较佳的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，可轻易想到的变化或替换，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应该以权利要求的保护范围为准。