[发明专利]一种基于行为分析的主动诱捕方法

说明书

技术领域

本发明具体涉及一种基于行为分析的主动诱捕方法，用于网络上的PC终端、服务器、工作站进行主动、高效、系统级的安全防御。

背景技术

如今随着网络技术的广泛应用，网络攻击事件层出不穷，网络安全成为当今研究热点和社会关注的焦点，现有网络安全技术以防火墙(firewall)和入侵检测系统(IDS)为核心的防御技术通常滞后于各种各样的攻击技术。蜜罐技术作为一种新的网络安全技术，逐渐受到人们的关注。它采取主动的方式，用其特有的特征吸引攻击者，同时对攻击者的各种攻击行为进行分析并找到有效的对付方法。

传统的诱捕系统将诱捕系统上的所有操作的反馈给用户，在海量的数据中分析真正的攻击行为。而当前出现非特征式的未知攻击对现有安全防御体系形成了严重威胁。未知攻击就是未知威胁，是指尚未被发现的具有未知特征同时对信息系统存在潜在威胁的活动类型。未知威胁可能是由未知的病毒、木马、黑客引起，或者是一种对资源的非法滥用。

虽然蜜罐技术在网络防火墙、入侵检测系统等安全措施的配合下，能弥补原有被动安全防御的不足，但仍然具有一些无法克服的缺点：传统的诱捕系统将诱捕系统上的所有操作的反馈给用户，用户需在海量的数据中分析真正的攻击行为，大大降低了发现攻击的概率及及时性。

发明内容

为解决上述问题，本发明提供一种基于行为分析的主动诱捕方法，能在海量的数据中准确、及时的定位攻击行为，无论是对特征码式已知攻击，还是对潜在威胁的未知攻击。

为实现上述技术目的，达到上述技术效果，本发明通过以下技术方案实现：

一种基于行为分析的主动诱捕方法，在制定的网络区域中构建诱捕系统，包括以下步骤：

步骤101：在网络防御体系中的事前防御建立主动诱捕系统，在计算机所包含的若干系统中建立行为检测引擎、分析引擎，通过整个防御系统组成主动诱捕引擎，接收来自网络的程序行为；

步骤102：监控进程动作行为，捕获危险动作；

步骤103：依据行为算法库进行计算；

步骤104：获取程序行为的算法参数值； 

步骤105：将获取到的程序行为的算法参数进行特征分析；

步骤106：将分析的结果进行判断，判断结果为是，则转入步骤107；判断结果为否，则返回步骤103；

步骤107：对行为的危险系数进行分析和计算；

步骤108：将恶意行为分类统计。

进一步的，所述计算机所包含的若干系统包括：操作系统内核系统、后台服务系统、应用程序、通信系统、账号系统及文件系统。

进一步的，所述恶意行为包括：进程创建、线程创建、文件操作、网络操作、注册表操作、堆栈操作、线程注入、高级持续性威胁攻击，以及用户账号的操作。

进一步的，通过钩子技术来获得所述程序行为，获取途径包括：截获系统服务分配表、截获可移植的执行体、截获系统服务的软件终端。

本发明的有益效果是：

本发明能主动对运行在计算机系统上的程序行为进行目标欺骗、攻击捕获、攻击控制、攻击分析与特征提取，从而防止网络主机被恶意代码入侵、攻击及破坏。同时通过行为分析技术，实现能够精准发现已知和未知的攻击行为，把握全网安全态势，提高网络安全水平。

附图说明

图1是本发明的一种基于行为分析的主动诱捕方法的一种实施例的流程图；

图2是基于图1的本发明基于行为分析的主动诱捕方法实施例的组成图。

具体实施方式

 本发明实施例提供了一种基于行为分析主动诱捕的方法及系统，以解决现有传统的诱捕系统需在海量的数据中分析真正的攻击行为的技术缺陷，主要用于网络上的PC终端、服务器、工作站进行主动、高效、系统级的安全防御。

为使本发明的目的、技术方案、及优点更加清楚明白，以下参照附图并举实施例，对本发明进一步详细说明。

计算机所包含的若干系统包括：操作系统内核系统、后台服务系统、应用程序、通信系统、账号系统及文件系统。

 

本发明所防御的一些恶意行为包括：进程创建、线程创建、文件操作、网络操作、注册表操作、堆栈操作、线程注入、高级持续性威胁攻击（APT攻击），以及用户账号的操作，通过钩子技术来获得程序行为，获取途径包括：截获系统服务分配表（SSDT）、截获可移植的执行体（HOOK PE）、截获系统服务的软件终端（HOOK INT 2E）。

结合图1的一种基于行为分析的主动诱捕方法实施例的流程图。