[发明专利]一种基于攻击图的网络攻击者行为分析方法

摘要

本发明公开了一种基于攻击图的网络攻击者行为分析方法，包括如下步骤：构建网络攻击行为分析模型，吸引攻击者的攻击；利用数据捕获机制对攻击数据进行全面的捕获；结合有限状态机生成攻击状态转移图，再通过攻击行为的可能性指标、攻击者的技能水平指标、攻击者的目的指标来分析攻击者的行为。本发明基于攻击图的网络攻击者行为分析方法可以为主动防御系统设计奠定很好的基础，不仅能够防御网络攻击，而且在网络攻击之前还能够对攻击进行预防并筛选出一部分攻击，有效地预防网络犯罪，提高防御效率、降低防御成本。

主权项

1.一种基于攻击图的网络攻击者行为分析方法，其特征在于，包括如下步骤：1)、构建网络攻击行为分析模型，吸引攻击者的攻击；网络攻击行为分析模型的网络结构由SSH网关、主机和控制器组成，分成三个网段，组成主从体系结构；SSH网关与主机系列机器处于蜜罐网段，主机系列机器与控制器处于管理网段，SSH网关与控制器处于互联网网段，这三个网段通过三个交换机相连，从而模拟成真实的主机网络，诱骗各类行为攻击与蜜罐主机进行交互；2)、数据收集：利用数据捕获机制对攻击数据进行全面的捕获；数据捕获机制：攻击者攻击的数据记录首先通过iptables防火墙对其流入的连接进行记录，然后直接跳过snort_inline，但Snort会记录下全部的流出信息；在蜜罐主机上，通过部署Sebek的客户端，对攻击者在其上的攻击行为进行记录，并将记录到的信息发送到Sebek服务器；3)、行为分析：结合有限状态机的原理使用状态机中的节点表示攻击达到的状态，根据攻击时间的顺序，并采用攻击行为的变化来表示状态的转移，通过实时的监测攻击者的攻击行为，结合有限状态机刻画出攻击者的攻击过程，从而生成攻击状态转移图；再通过攻击行为的可能性指标、攻击者的技能水平指标、攻击者的目的指标来分析攻击者的行为；其中，生成攻击状态转移图的流程如下：31)、建立攻击行为的初始状态集合即S₀；32)、建立攻击线路集合attack_state；从初始状态S₀开始监测攻击者的每一个攻击行为，使节点状态发生变化或自身转变的状态加入到attack_state中，并给每条边赋予量化的权重值W；33)、攻击者的连接未断开，重复32)的操作；34)、攻击者与蜜罐主机连接断开，生成状态转移图并且在attack_state的最合加上结束状态S_e；攻击行为的可能性指标：通过生成的攻击状态转移图统计生成每个状态的可能发生概率：从一个状态到另一个状态的概率即设从S_i‑1状态到S_i状态的转移概率为p_k，k＝1,2,…,i，则当前的攻击行为的可能性为：攻击者的技能水平指标：通过以下四个标准来综合分析攻击者的技能水平，并对满足条件的攻击者进行打分：a、攻击者是否关心被发现b、在攻击之前，攻击者是否关心目标的环境c、攻击者对恶意软件的熟悉程度d、攻击者是否会对被攻破的电脑采取一定的保护措施；攻击者的目的指标是通过甄别攻击者使用的不同的流氓软件来推测出攻击者的攻击目的。