[发明专利]基于动静结合方式和蜜标技术的网络攻击溯源方法及系统

说明书

本发明涉及一种基于动静结合方式和蜜标技术的网络攻击溯源方法及系统，本方法包括步骤如下：S01.初始化系统；S02.设置蜜罐主机；S03.模拟主机传输过程，生成蜜标数据；S04.攻击者扫描或截取蜜标数据后传送至攻击者主机；S05.攻击者打开蜜标数据后，蜜标被触发，收集溯源信息；S06.自动将攻击者的溯源信息回传至数据库服务器；S07.安全管理员依据传回的溯源信息制定安全防范策略，其中S03生成的蜜标数据包括静态蜜标数据和动态蜜标数据，通过采用静态蜜标和动态蜜标模拟系统之间的数据流通，解决了现有技术中蜜标数据真实度低，无法有效诱骗攻击者的问题，增强了蜜罐的真实度，提高了网络溯源追踪的成功率。

技术领域

本发明涉及网络安全技术领域，具体的说是一种基于动静结合方式和蜜标技术的网络攻击溯源方法及系统。

背景技术

随着互联网和工控网络的不断发展和应用，政府和企业更加重视信息安全的建设。传统的网络安全防御技术是被动防御，无法对未知的网络攻击提取有效的攻击数据，以此分析和识别攻击来源。

目前业界主要是通过蜜罐技术对网络攻击进行捕获和分析，并结合单一、静态的蜜标数据，通过回传的主机信息和蜜罐捕获的行为数据作关联分析等方式追踪和溯源攻击者。但由于现有蜜罐环境比较纯净、单一，往往是一些初始化版本的操作系统或软件应用系统，容易被攻击者识破导致捕获到的攻击行为数据有限，同时现有的蜜标技术利用的敏感数据颗粒度较粗，诱惑性差，无法有效精准溯源攻击者身份信息。

现有蜜罐、蜜标技术在网络攻击溯源上存在以下缺点：蜜罐环境较纯净、单一，基本没有利用蜜标技术仿真的敏感数据，易被攻击者识别，导致捕获的攻击行为数据有限；蜜标数据仅限静态数据/文件，缺乏动态蜜标流量数据，无法形成动静结合的欺骗机制，吸引攻击者注意并成功获取和利用蜜标数据；蜜标数据颗粒度较粗，仅限文件、程序等，无法覆盖IP、MAC地址、域名或者蜜罐系统的正常业务操作产生的数据、操作日志等等，欺骗性和诱惑性较差，无法有效被攻击者利用；。

中国专利文献CN108156163A公开了一种基于蜜罐技术的多维欺骗诱饵实现系统及方法，包括蜜罐主机、以及蜜罐环境部署模块、攻击行为处理分析模块及诱饵部署模块，在蜜罐主机中设置有攻击行为获取模块及蜜罐，所述蜜罐包括服务诱饵、文件诱饵、网络诱饵及痕迹诱饵，该基于蜜罐技术的多维欺骗诱饵实现方法简单，可长时间拖住攻击者，且不影响原有的客户环境，但该技术中蜜标数据为静态数据/文件，缺乏动态流量数据，无法吸引攻击者注意，欺骗性和诱惑性较差，无法有效被攻击者利用，因此成功率较低。

发明内容

针对上述现有技术中存在的问题，本发明公布了一种基于动静结合方式和蜜标技术的网络攻击溯源方法及系统，本发明利用静态蜜标和动态蜜标模拟系统之间的数据流通，解决了现有技术中蜜标数据真实度低，无法有效诱骗攻击者的问题。

本发明所公开的具体的技术方案如下：一种基于动静结合方式和蜜标技术的网络攻击溯源方法，包括如下步骤：

S01.初始化系统；

S02.设置蜜罐主机；

S03.模拟蜜罐主机传输过程，生成蜜标数据；

S04.攻击者扫描或截取蜜标数据后传送至攻击者主机；

S05.攻击者打开蜜标数据后，蜜标被触发，收集溯源信息；

S06.自动将攻击者的溯源信息回传至数据库服务器；

S07.安全管理员依据传回的溯源信息制定安全防范策略；

所述步骤S03中生成的蜜标数据包括静态蜜标数据和动态蜜标数据，所述静态蜜标数据和动态蜜标数据均包括敏感文件、特定标识和脚本组成。