一種海量終端蜜罐自動(dòng)化部署與撤銷的方法和裝置與流程
1.本發(fā)明涉及網(wǎng)絡(luò)攻擊蜜罐部署防護(hù)技術(shù)領(lǐng)域,特別提供了一種海量終端蜜罐自動(dòng)化部署與撤銷的方法和裝置。
背景技術(shù):
2.隨著計(jì)算機(jī)信息系統(tǒng)應(yīng)用的深入,計(jì)算機(jī)信息系統(tǒng)正逐步從單機(jī)向局域網(wǎng)、廣域網(wǎng)發(fā)展,特別是internet的迅速發(fā)展,網(wǎng)絡(luò)變得更加復(fù)雜,計(jì)算機(jī)信息系統(tǒng)安全面臨新的、更嚴(yán)峻的挑戰(zhàn)。同時(shí)現(xiàn)有的網(wǎng)絡(luò)安全防護(hù)技術(shù),包括防火墻技術(shù)、入侵檢測(cè)技術(shù)、病毒防護(hù)技術(shù)、數(shù)據(jù)加密和認(rèn)證技術(shù)等,主要都是基于已知的事實(shí)和攻擊模式,在攻擊者攻擊時(shí)對(duì)系統(tǒng)只能進(jìn)行被動(dòng)的防護(hù),面對(duì)復(fù)雜而多變的網(wǎng)絡(luò)攻擊常常力不從心。
3.傳統(tǒng)網(wǎng)絡(luò)安全理念注重構(gòu)建安全的網(wǎng)絡(luò)環(huán)境,旨在將安全威脅抵御在網(wǎng)絡(luò)之外。隨著ids規(guī)避和防火墻穿透技術(shù)的發(fā)展,網(wǎng)絡(luò)安全面臨著嚴(yán)峻挑戰(zhàn)。近年來,蜜罐(honey pot)成為安全界關(guān)注與研究的熱點(diǎn)。它采取主動(dòng)方式,利用虛假的服務(wù)或信息來迷惑攻擊者,轉(zhuǎn)移并容納有限度的威脅,將攻擊從網(wǎng)絡(luò)中比較重要的機(jī)器上轉(zhuǎn)移開,同時(shí)在黑客攻擊蜜罐期間對(duì)其行為和過程進(jìn)行深入分析和研究,發(fā)現(xiàn)新型攻擊,檢索新型黑客工具,了解黑客和黑客團(tuán)體的背景、目的、活動(dòng)規(guī)律等。蜜罐不但具有準(zhǔn)確的威脅、判定能力,還能發(fā)現(xiàn)新的攻擊手段和工具。這樣一來,當(dāng)攻擊者入侵時(shí),蜜罐來拖延攻擊者對(duì)真正目標(biāo)的攻擊,讓攻擊者在蜜罐上浪費(fèi)時(shí)間,有效防護(hù)業(yè)務(wù)網(wǎng)絡(luò),同時(shí)了解對(duì)手,研究自身受到的威脅。
4.相似方案:一種基于docker的自動(dòng)化蜜罐搭建及威脅感知方法。相似方案中方法只是單純利用docker技術(shù)搭建蜜罐,但仍需要人工判斷搭建時(shí)間位置與操作,本發(fā)明真正實(shí)現(xiàn)了自動(dòng)化,根據(jù)入侵檢測(cè)系統(tǒng)結(jié)果進(jìn)行自動(dòng)化搭建。相似方案中方法是對(duì)蜜罐中數(shù)據(jù)進(jìn)行分析再進(jìn)行威脅感知,本發(fā)明是先判斷流量異常,將異常流量引入蜜罐,響應(yīng)速度更快,安全性更高。
5.蜜罐系統(tǒng)是一個(gè)模擬真實(shí)系統(tǒng),但存在一定漏洞的系統(tǒng),面向攻擊者時(shí),該系統(tǒng)表現(xiàn)出的特性與真實(shí)系統(tǒng)并無(wú)明顯差別;面向用戶時(shí),蜜罐系統(tǒng)又是可以定制的,用戶可以根據(jù)自己的系統(tǒng)類型,部署相似的蜜罐系統(tǒng)。蜜罐系統(tǒng)的部署,可以將攻擊者絕大部分的攻擊流量流向蜜罐系統(tǒng)中,進(jìn)而在很大程度上減輕用戶主系統(tǒng)的負(fù)擔(dān)。所以,在使用各種防范技術(shù)的同時(shí),也需要制造大量蜜罐以迷惑已知與未知的惡意攻擊并保護(hù)網(wǎng)絡(luò)信息,蜜罐中的行為數(shù)據(jù)也可用于后期惡意行為的溯源分析。但是,在部署與刪除過程中過度依賴人工,布置繁瑣,蜜罐的自動(dòng)化配置有一定的難度。
技術(shù)實(shí)現(xiàn)要素:
6.為了解決上述技術(shù)問題,本發(fā)明提供了一種海量終端蜜罐自動(dòng)化部署與撤銷的方法和裝置。
7.本發(fā)明是這樣實(shí)現(xiàn)的,提供一種海量終端蜜罐自動(dòng)化部署與撤銷的方法,包括如下步驟:
1)在主機(jī)上部署虛擬操作系統(tǒng)docker,形成不同的容器;2)對(duì)容器之間的通信流量數(shù)據(jù)包進(jìn)行捕獲,并根據(jù)數(shù)據(jù)包的目的地進(jìn)行分類;3)將分類好的數(shù)據(jù)包進(jìn)行特征提取,根據(jù)提取的特征,將通信流量數(shù)據(jù)包分為正常數(shù)據(jù)包和異常數(shù)據(jù)包,將正常數(shù)據(jù)包發(fā)送到目的地,將異常數(shù)據(jù)包的特征進(jìn)行處理;4)將處理后的異常數(shù)據(jù)包的特征進(jìn)行入侵檢測(cè),當(dāng)異常數(shù)據(jù)包被認(rèn)定為正常數(shù)據(jù)包時(shí),將其發(fā)送到目的地,當(dāng)異常數(shù)據(jù)包被認(rèn)定為惡意數(shù)據(jù)包或不能進(jìn)行準(zhǔn)確判斷時(shí),自動(dòng)建立蜜罐,將惡意數(shù)據(jù)包引入到相應(yīng)的蜜罐中,進(jìn)一步進(jìn)行檢測(cè)分析;5)一定時(shí)間段內(nèi),統(tǒng)計(jì)各個(gè)蜜罐內(nèi)部api調(diào)用次數(shù)與時(shí)間的關(guān)系,如果蜜罐內(nèi)api調(diào)用頻繁度較高,高于設(shè)定閾值,則繼續(xù)保留該蜜罐;若低于設(shè)定閾值,則該蜜罐被訪問次數(shù)較低,或已經(jīng)被識(shí)別為蜜罐,則撤銷該蜜罐。
8.優(yōu)選的,所述步驟2)中,通過利用現(xiàn)有軟件監(jiān)聽主機(jī)網(wǎng)卡接口的方式來捕獲容器之間的通信流量數(shù)據(jù)包。
9.進(jìn)一步優(yōu)選,所述步驟3)中,依據(jù)基于pca的特征提取模型對(duì)通信流量數(shù)據(jù)包進(jìn)行特征提取,具體包括如下步驟:1)將分類后的通信流量數(shù)據(jù)包進(jìn)行pca特征提取:計(jì)算原始樣本空間x的協(xié)方差矩陣s;通過協(xié)方差矩陣s計(jì)算其正交矩陣q及特征值λ1≥λ2≥
…
≥λn;設(shè)置累計(jì)貢獻(xiàn)率t的閾值,計(jì)算得到標(biāo)準(zhǔn)正交向量ui及降維后的樣本空間u={u1,u2,
…
ud},并得到投影后的主分量特征 y={u1,u2,
…
ud}
t
xi,形成新的候選特征子集f1,n、d、i均代表常數(shù),t代表轉(zhuǎn)置;2)自適應(yīng)選擇pca的二次特征選擇模塊:201)當(dāng)需要確定降維后特征子集f1的關(guān)鍵特征時(shí),進(jìn)行基于關(guān)聯(lián)過濾器的特征選擇,檢查每個(gè)特征的相關(guān)性,即,使屬性特征與類屬性關(guān)聯(lián)度最大化,且使屬性與屬性之間的冗余度最小化,結(jié)合啟發(fā)式序列后向算法搜索策略,得到候選的關(guān)鍵特征子集f2;202)當(dāng)不需要確定特征子集f1的關(guān)鍵特征時(shí),跳過特征提取,獲得相對(duì)較高的分類精度;3)在pca特征提取模型、pca二次特征選擇模型的最優(yōu)特征子集上,形成數(shù)據(jù)集并進(jìn)行svm分類訓(xùn)練,在測(cè)試集上得到通信流量數(shù)據(jù)包的分類結(jié)果,即分類為正常數(shù)據(jù)包和異常數(shù)據(jù)包。
10.進(jìn)一步優(yōu)選,所述步驟4)中,通過蜜罐進(jìn)一步對(duì)惡意數(shù)據(jù)包進(jìn)行檢測(cè)分析后,如果仍被認(rèn)定為有入侵行為的惡意數(shù)據(jù)包,則執(zhí)行黑名單策略,將對(duì)應(yīng)的惡意數(shù)據(jù)包丟棄,或執(zhí)行報(bào)警策略。
11.本發(fā)明還提供一種海量終端蜜罐自動(dòng)化部署與撤銷的裝置,包括如下單元:虛擬操作系統(tǒng)docker,用于部署在主機(jī)上;數(shù)據(jù)捕獲模塊,用于對(duì)容器之間的通信流量數(shù)據(jù)包進(jìn)行捕獲,并根據(jù)數(shù)據(jù)包的目的地進(jìn)行分類;特征提取模塊,用于將分類好的數(shù)據(jù)包進(jìn)行特征提取,根據(jù)提取的特征,將通信流量數(shù)據(jù)包分為正常數(shù)據(jù)包和異常數(shù)據(jù)包,將正常數(shù)據(jù)包發(fā)送到目的地,將異常數(shù)據(jù)包的特征進(jìn)行處理;入侵檢測(cè)模塊,用于將處理后的異常數(shù)據(jù)包的特征進(jìn)行入侵檢測(cè);蜜罐,用于對(duì)被認(rèn)定為惡意數(shù)據(jù)包或不能進(jìn)行準(zhǔn)確判斷的數(shù)據(jù)包,進(jìn)一步進(jìn)行檢
測(cè)分析;頻繁度計(jì)算模塊,用于在一定時(shí)間段內(nèi),統(tǒng)計(jì)各個(gè)蜜罐內(nèi)部api調(diào)用次數(shù)與時(shí)間的關(guān)系,如果蜜罐內(nèi)api調(diào)用頻繁度較高,高于設(shè)定閾值,則繼續(xù)保留該蜜罐;若低于設(shè)定閾值,則該蜜罐被訪問次數(shù)較低,或已經(jīng)被識(shí)別為蜜罐,則撤銷該蜜罐。
12.與現(xiàn)有技術(shù)相比,本發(fā)明的優(yōu)點(diǎn)在于:本發(fā)明可以自動(dòng)化部署海量終端蜜罐,節(jié)省人力與成本,使部署蜜罐方法簡(jiǎn)單,可操作性強(qiáng),可對(duì)網(wǎng)絡(luò)進(jìn)行有效防護(hù)。
13.(1)減少資源的消耗且部署便捷:傳統(tǒng)的入侵檢測(cè)系統(tǒng)是需要根據(jù)不同的要求進(jìn)行配置,但在本發(fā)明中,為了簡(jiǎn)化入侵檢測(cè)系統(tǒng)的部署,使用了docker技術(shù)中的容器。在容器中可以運(yùn)行不同的入侵檢測(cè)系統(tǒng),同時(shí)運(yùn)行在容器中的入侵檢測(cè)系統(tǒng)在啟動(dòng)時(shí)僅僅需要一些配置腳本就可以啟動(dòng),這就大大簡(jiǎn)化了配置操作。同時(shí)本設(shè)計(jì)中的入侵檢測(cè)系統(tǒng)并不依賴于環(huán)境,具有很好的可移植性,只要主機(jī)環(huán)境中將docker的相關(guān)環(huán)境配置好,就可以運(yùn)行相關(guān)的腳本實(shí)現(xiàn)入侵檢測(cè)。
14.傳統(tǒng)的蜜罐都是基于主機(jī)進(jìn)行相同硬件環(huán)境的配置,在配置過程中,不僅配置過程繁瑣復(fù)雜,而且還需要相同的硬件環(huán)境。相比傳統(tǒng)的蜜罐技術(shù),減少了配置過程,因?yàn)榭梢愿鶕?jù)鏡像來建立多個(gè)容器實(shí)例,這樣就使得配置過程大大簡(jiǎn)化。建立好環(huán)境后可以直接將攻擊者引誘到建立的蜜罐中,進(jìn)一步對(duì)攻擊者的行為進(jìn)行分析和鑒別。
15.(2)以較少資源開銷同時(shí)建立自適應(yīng)的多個(gè)蜜罐:無(wú)需人工設(shè)計(jì)部署蜜罐,可在需要的時(shí)間及時(shí)部署蜜罐,不需要時(shí)及時(shí)撤銷。一臺(tái)主機(jī)就可以實(shí)現(xiàn)整個(gè)集數(shù)據(jù)控制,是數(shù)據(jù)捕獲和數(shù)據(jù)分析于一體的多功能多蜜罐高交互蜜網(wǎng)的體系架構(gòu)。
附圖說明
16.圖1為本發(fā)明提供的海量終端蜜罐自動(dòng)化部署與撤銷的方法流程圖;圖2為本發(fā)明提供的海量終端蜜罐自動(dòng)化部署與撤銷的裝置模塊連接圖。
具體實(shí)施方式
17.為了使本發(fā)明的目的、技術(shù)方案及優(yōu)點(diǎn)更加清楚明白,下面結(jié)合實(shí)施例,對(duì)本發(fā)明進(jìn)行進(jìn)一步詳細(xì)說明。應(yīng)當(dāng)理解,此處所描述的具體實(shí)施例僅僅用于解釋本發(fā)明,并不用于限定本發(fā)明。
18.目前,單一的蜜罐系統(tǒng)不能很好的應(yīng)用于今天的互聯(lián)網(wǎng)系統(tǒng),主要有著以下幾個(gè)方面的問題:1)系統(tǒng)架構(gòu)部署和維護(hù)還比較復(fù)雜,批量自動(dòng)化部署難,難以有效控制風(fēng)險(xiǎn),不能滿足大規(guī)模網(wǎng)絡(luò)環(huán)境的需要;2)模擬服務(wù)交互程度低,容易被識(shí)別;3)若被黑客攻擊第三方網(wǎng)絡(luò)造成破壞,就會(huì)被受害方提出訴訟,觸犯法律問題;4)模擬服務(wù)交互程度低,難以實(shí)現(xiàn)自適應(yīng)網(wǎng)絡(luò)變化。
19.傳統(tǒng)的蜜罐都是基于主機(jī)進(jìn)行相同硬件環(huán)境的配置,在配置過程中,不僅配置過程繁瑣復(fù)雜,不能自動(dòng)化部署,而且還需要相同的硬件環(huán)境。針對(duì)這些問題,本發(fā)明利用虛
擬操作系統(tǒng)docker,集合入侵檢測(cè)系統(tǒng)完成蜜罐自動(dòng)構(gòu)建,運(yùn)行;基于調(diào)用api頻繁度完成蜜罐撤銷,以實(shí)現(xiàn)海量終端蜜罐的自動(dòng)化部署。
20.參考圖1,本發(fā)明提供一種海量終端蜜罐自動(dòng)化部署與撤銷的方法,包括如下步驟:1)在主機(jī)上部署虛擬操作系統(tǒng)docker,形成不同的容器;2)對(duì)容器之間的通信流量數(shù)據(jù)包進(jìn)行捕獲,并根據(jù)數(shù)據(jù)包的目的地進(jìn)行分類;在本步驟中,通過利用現(xiàn)有軟件監(jiān)聽主機(jī)網(wǎng)卡接口的方式來捕獲容器之間的通信流量數(shù)據(jù)包。
21.3)將分類好的數(shù)據(jù)包進(jìn)行特征提取,根據(jù)提取的特征,將通信流量數(shù)據(jù)包分為正常數(shù)據(jù)包和異常數(shù)據(jù)包,將正常數(shù)據(jù)包發(fā)送到目的地,將異常數(shù)據(jù)包的特征進(jìn)行處理;本步驟中,依據(jù)基于pca的特征提取模型對(duì)通信流量數(shù)據(jù)包進(jìn)行特征提取,具體包括如下步驟:1)將分類后的通信流量數(shù)據(jù)包進(jìn)行pca特征提取:計(jì)算原始樣本空間x的協(xié)方差矩陣s;通過協(xié)方差矩陣s計(jì)算其正交矩陣q及特征值λ1≥λ2≥
…
≥λn;設(shè)置累計(jì)貢獻(xiàn)率t的閾值,計(jì)算得到標(biāo)準(zhǔn)正交向量ui及降維后的樣本空間u={u1,u2,
…
ud},并得到投影后的主分量特征 y={u1,u2,
…
ud}
t
xi,形成新的候選特征子集f1,n、d、i均代表常數(shù),t代表轉(zhuǎn)置;2)自適應(yīng)選擇pca的二次特征選擇模塊:201)當(dāng)需要確定降維后特征子集f1的關(guān)鍵特征時(shí),進(jìn)行基于關(guān)聯(lián)過濾器的特征選擇,檢查每個(gè)特征的相關(guān)性,即,使屬性特征與類屬性關(guān)聯(lián)度最大化,且使屬性與屬性之間的冗余度最小化,結(jié)合啟發(fā)式序列后向算法搜索策略,得到候選的關(guān)鍵特征子集f2;202)當(dāng)不需要確定特征子集f1的關(guān)鍵特征時(shí),跳過特征提取,獲得相對(duì)較高的分類精度;3)在pca特征提取模型、pca二次特征選擇模型的最優(yōu)特征子集上,形成數(shù)據(jù)集并進(jìn)行svm分類訓(xùn)練,在測(cè)試集上得到通信流量數(shù)據(jù)包的分類結(jié)果,即分類為正常數(shù)據(jù)包和異常數(shù)據(jù)包。
22.4)將處理后的異常數(shù)據(jù)包的特征進(jìn)行入侵檢測(cè),當(dāng)異常數(shù)據(jù)包被認(rèn)定為正常數(shù)據(jù)包時(shí),將其發(fā)送到目的地,當(dāng)異常數(shù)據(jù)包被認(rèn)定為惡意數(shù)據(jù)包或不能進(jìn)行準(zhǔn)確判斷時(shí),自動(dòng)建立蜜罐,將惡意數(shù)據(jù)包引入到相應(yīng)的蜜罐中,進(jìn)一步進(jìn)行檢測(cè)分析;在本步驟中,通過蜜罐進(jìn)一步對(duì)惡意數(shù)據(jù)包進(jìn)行檢測(cè)分析后,如果仍被認(rèn)定為有入侵行為的惡意數(shù)據(jù)包,則執(zhí)行黑名單策略,將對(duì)應(yīng)的惡意數(shù)據(jù)包丟棄,或執(zhí)行報(bào)警策略。
23.5)一定時(shí)間段內(nèi),統(tǒng)計(jì)各個(gè)蜜罐內(nèi)部api調(diào)用次數(shù)與時(shí)間的關(guān)系,如果蜜罐內(nèi)api調(diào)用頻繁度較高,高于設(shè)定閾值,則繼續(xù)保留該蜜罐;若低于設(shè)定閾值,則該蜜罐被訪問次數(shù)較低,或已經(jīng)被識(shí)別為蜜罐,則撤銷該蜜罐。即:其中,為調(diào)用頻繁度,為t時(shí)間段內(nèi)調(diào)用api次數(shù),為固定的檢測(cè)時(shí)間段。若t大于閾值則繼續(xù)隔段時(shí)間檢測(cè);若t小于閾值則啟動(dòng)撤銷腳本撤銷該蜜罐。
24.參考圖2,本發(fā)明還提供一種海量終端蜜罐自動(dòng)化部署與撤銷的裝置,包括如下單
元:虛擬操作系統(tǒng)docker,用于部署在主機(jī)上;數(shù)據(jù)捕獲模塊,用于對(duì)容器之間的通信流量數(shù)據(jù)包進(jìn)行捕獲,并根據(jù)數(shù)據(jù)包的目的地進(jìn)行分類;特征提取模塊,用于將分類好的數(shù)據(jù)包進(jìn)行特征提取,根據(jù)提取的特征,將通信流量數(shù)據(jù)包分為正常數(shù)據(jù)包和異常數(shù)據(jù)包,將正常數(shù)據(jù)包發(fā)送到目的地,將異常數(shù)據(jù)包的特征進(jìn)行處理;入侵檢測(cè)模塊,用于將處理后的異常數(shù)據(jù)包的特征進(jìn)行入侵檢測(cè);蜜罐,用于對(duì)被認(rèn)定為惡意數(shù)據(jù)包或不能進(jìn)行準(zhǔn)確判斷的數(shù)據(jù)包,進(jìn)一步進(jìn)行檢測(cè)分析;頻繁度計(jì)算模塊,用于在一定時(shí)間段內(nèi),統(tǒng)計(jì)各個(gè)蜜罐內(nèi)部api調(diào)用次數(shù)與時(shí)間的關(guān)系,如果蜜罐內(nèi)api調(diào)用頻繁度較高,高于設(shè)定閾值,則繼續(xù)保留該蜜罐;若低于設(shè)定閾值,則該蜜罐被訪問次數(shù)較低,或已經(jīng)被識(shí)別為蜜罐,則撤銷該蜜罐。
25.綜上所述,本發(fā)明設(shè)計(jì)了一種海量終端蜜罐自動(dòng)化部署方法,可以自動(dòng)化完成蜜罐的構(gòu)建,運(yùn)行,撤銷。
26.在構(gòu)建方面,根據(jù)入侵檢測(cè)系統(tǒng)的結(jié)果判斷是否自啟動(dòng)蜜罐生成腳本,若檢測(cè)到惡意流量則自動(dòng)觸發(fā)腳本生成蜜罐。生成的蜜罐可與流量進(jìn)行不同程度的交互。
27.在撤銷方面,可以根據(jù)調(diào)用api頻繁度觸發(fā)撤銷腳本,自動(dòng)撤銷蜜罐,節(jié)約成本。頻繁度閾值可根據(jù)實(shí)際情況自己設(shè)定,若資源充足可將閾值調(diào)高,保留一些交互不頻繁的蜜罐,若資源有限,可只保留最易受攻擊的蜜罐以保證最高效率。
28.上面對(duì)本發(fā)明的實(shí)施方式做了詳細(xì)說明,但是本發(fā)明并不限于上述實(shí)施方式,在本領(lǐng)域普通技術(shù)人員所具備的知識(shí)范圍內(nèi),還可以在不脫離本發(fā)明宗旨的前提下作出各種變化。
