一種面向蜜罐系統(tǒng)進(jìn)行入侵行為識別和分類的方法及系統(tǒng)的制作方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及網(wǎng)絡(luò)安全技術(shù)領(lǐng)域，尤其涉及一種面向蜜罐系統(tǒng)進(jìn)行入侵行為識別和分類的方法及系統(tǒng)。
【背景技術(shù)】
[0002]采用蜜罐技術(shù)可以一定程度地抵御未知攻擊，并分擔(dān)其它業(yè)務(wù)系統(tǒng)的受攻擊風(fēng)險(xiǎn)。在網(wǎng)絡(luò)安全領(lǐng)域的蜜罐一般指通過部署模擬正常的，有價(jià)值的網(wǎng)絡(luò)節(jié)點(diǎn)，誘使黑客或惡意程序攻擊，以暴露其黑客行徑和攻擊手段的目的。
[0003]當(dāng)黑客對蜜罐系統(tǒng)進(jìn)行入侵后，蜜罐會記錄下黑客對系統(tǒng)發(fā)出的所有指令，這個(gè)指令序列我們稱之為黑客的行為軌跡，它將作為入侵事件進(jìn)行評估，網(wǎng)絡(luò)環(huán)境分析的重要證據(jù)。
[0004]通過搭建模型系統(tǒng)，在真實(shí)的網(wǎng)絡(luò)環(huán)境中進(jìn)行采樣，我們發(fā)現(xiàn)，存在大量的惡意事件都是以相似的手段進(jìn)行入侵的，它們或是基于某類入侵框架工具，或是某些病毒生成器生產(chǎn)的惡意代碼的通用行為，這類攻擊事件往往僅僅在有效的攻擊載荷上存在差異，此類事件作為證據(jù)屬性的重要性是毋庸置疑的，但是相比較更為重要的具有首發(fā)性，個(gè)性化，針對性的事件也會淹沒其中，如何將我們的關(guān)注點(diǎn)從泛型事件聚焦到此類具有首發(fā)性，個(gè)性化，針對性的事件上來將成為重中之重。

【發(fā)明內(nèi)容】

[0005]本發(fā)明提供了一種面向蜜罐系統(tǒng)進(jìn)行入侵行為識別和分類的方法及系統(tǒng)，針對現(xiàn)有蜜罐系統(tǒng)存在的問題，提出基于全時(shí)序指令的模糊哈希值比較的方式，來識別新入侵事件是已有類型攻擊事件，還是首發(fā)事件，從而輔助評估入侵事件的嚴(yán)重等級。
[0006]本發(fā)明采用如下方法來實(shí)現(xiàn):一種面向蜜罐系統(tǒng)進(jìn)行入侵行為識別和分類的方法，包括:
計(jì)算所有已入侵事件的全時(shí)序指令和各單步指令的模糊哈希值，生成事件信息庫；
捕獲新入侵事件；
計(jì)算新入侵事件的全時(shí)序指令的模糊哈希值，并與事件信息庫中的所有全時(shí)序指令的模糊哈希值進(jìn)行相似度比較；
判斷是否存在相似度達(dá)到預(yù)設(shè)閾值的已入侵事件，若存在，則新入侵事件與所述已入侵事件屬于同類型事件，否則新入侵事件為首發(fā)事件。
[0007]進(jìn)一步地，若判定新入侵事件與所述已入侵事件屬于同類型事件，則還包括:
計(jì)算新入侵事件的各單步指令的模糊哈希值，并與所述已入侵事件的各單步指令的模糊哈希值，按照笛卡爾積的方式兩兩進(jìn)行相似度比較，找出新入侵事件中與所述已入侵事件的各單步指令都不具備關(guān)聯(lián)的部分，則為該同類型事件的新增攻擊載荷。
[0008]進(jìn)一步地，將新入侵事件的全時(shí)序指令和各單步指令的模糊哈希值錄入事件信息庫。
[0009]本發(fā)明采用如下系統(tǒng)來實(shí)現(xiàn):一種面向蜜罐系統(tǒng)進(jìn)行入侵行為識別和分類的系統(tǒng)，包括:
事件信息庫生成模塊，用于計(jì)算所有已入侵事件的全時(shí)序指令和各單步指令的模糊哈希值，生成事件信息庫；
入侵事件捕獲模塊，用于捕獲新入侵事件；
相似度比較模塊，用于計(jì)算新入侵事件的全時(shí)序指令的模糊哈希值，并與事件信息庫中的所有全時(shí)序指令的模糊哈希值進(jìn)行相似度比較；
類型識別模塊，用于判斷是否存在相似度達(dá)到預(yù)設(shè)閾值的已入侵事件，若存在，則新入侵事件與所述已入侵事件屬于同類型事件，否則新入侵事件為首發(fā)事件。
[0010]進(jìn)一步地，若類型識別模塊判定新入侵事件與所述已入侵事件屬于同類型事件，則還包括新增攻擊載荷定位模塊:
計(jì)算新入侵事件的各單步指令的模糊哈希值，并與所述已入侵事件的各單步指令的模糊哈希值，按照笛卡爾積的方式兩兩進(jìn)行相似度比較，找出新入侵事件中與所述已入侵事件的各單步指令都不具備關(guān)聯(lián)的部分，則為該同類型事件的新增攻擊載荷。
[0011]進(jìn)一步地，將新入侵事件的全時(shí)序指令和各單步指令的模糊哈希值錄入事件信息庫。
[0012]綜上所述，本發(fā)明提供了一種面向蜜罐系統(tǒng)進(jìn)行入侵行為識別和分類的方法及系統(tǒng)，通過計(jì)算所有已入侵事件的全時(shí)序指令和各單步指令的模糊哈希值形成事件信息庫；如果捕獲到新入侵事件，則計(jì)算新入侵事件的全時(shí)序指令的模糊哈希值，并與事件信息庫中的全時(shí)序指令的模糊哈希值進(jìn)行比較，若存在相似度達(dá)到預(yù)設(shè)閾值的已入侵事件，則認(rèn)為新入侵事件與所述已入侵事件為同類型事件，否則認(rèn)定為首發(fā)事件。
[0013]本發(fā)明的有益效果為:通過計(jì)算已入侵事件和新入侵事件的全時(shí)序指令的模糊哈希值，從而利用模糊哈希值之間的比較來判斷新入侵事件是否是已知類型事件，本發(fā)明通過量化比較的方法，有效感知首發(fā)事件，從而及時(shí)提交給應(yīng)急響應(yīng)人員進(jìn)行分析。
【附圖說明】
[0014]為了更清楚地說明本發(fā)明的技術(shù)方案，下面將對實(shí)施例中所需要使用的附圖作簡單地介紹，顯而易見地，下面描述中的附圖僅僅是本發(fā)明中記載的一些實(shí)施例，對于本領(lǐng)域普通技術(shù)人員來講，在不付出創(chuàng)造性勞動的前提下，還可以根據(jù)這些附圖獲得其他的附圖。
[0015]圖1為本發(fā)明提供的一種面向蜜罐系統(tǒng)進(jìn)行入侵行為識別和分類的方法實(shí)施例流程圖；
圖2為本發(fā)明提供的一種面向蜜罐系統(tǒng)進(jìn)行入侵行為識別和分類的系統(tǒng)實(shí)施例結(jié)構(gòu)圖。
【具體實(shí)施方式】
[0016]本發(fā)明給出了一種面向蜜罐系統(tǒng)進(jìn)行入侵行為識別和分類的方法及系統(tǒng)，為了使本技術(shù)領(lǐng)域的人員更好地理解本發(fā)明實(shí)施例中的技術(shù)方案，并使本發(fā)明的上述目的、特征和優(yōu)點(diǎn)能夠更加明顯易懂，下面結(jié)合附圖對本發(fā)明中技術(shù)方案作進(jìn)一步詳細(xì)的說明:
本發(fā)明首先提供了一種面向蜜罐系統(tǒng)進(jìn)行入侵行為識別和分類的方法實(shí)施例，如圖1所示，包括:
S101計(jì)算所有已入侵事件的全時(shí)序指令和各單步指令的模糊哈希值，生成事件信息庫；
例如:我們的蜜罐系統(tǒng)捕獲到了一次完整的入侵行為，它用38步向蜜罐系統(tǒng)發(fā)送了 38條指令，我們采用開源工具ssdeep中實(shí)現(xiàn)的模糊哈希算法，將這個(gè)具有時(shí)序性的38條語句作為對象進(jìn)行計(jì)算模糊哈希值，假定為fhash_all。然后分別對這38條指令單獨(dú)計(jì)算模糊哈希，假定為fhas_l, fhas_2......fhas_38。這些哈希值將作為我們隊(duì)此次事件的量化依據(jù)；
上述入侵行為作為已入侵事件，已入侵事件可以為一個(gè)或者多個(gè)；
S102捕獲新入侵事件；
S103計(jì)算新入侵事件的全時(shí)序指令的模糊哈希值，并與事件信息庫中的所有全時(shí)序指令的模糊哈希值進(jìn)行相似度比較；
例如:我們又捕獲了一次新入侵事件，同樣它也使用38步向蜜罐系統(tǒng)發(fā)送了 38條指令，我們采用上面的方法得到了本次具有時(shí)序性的38條語句作為對象進(jìn)行計(jì)算模糊哈希，假定為 fhash_air ；
S104判斷是否存在相似度達(dá)到預(yù)設(shè)閾值的已入侵事件，若存在，則新入侵事件與所述已入侵事件屬于同類型事件，否則新入侵事件為首發(fā)事件。
[0017]例如:通過對比fhash_all和fhash_all ’，發(fā)現(xiàn)他們的相似度很高；因此，認(rèn)為這兩次攻擊事件屬于同類型事件；
其中，所述首發(fā)事件是指在本系統(tǒng)的范圍之內(nèi)，此類型的攻擊事件在此之前系統(tǒng)