CN105915536A - 用于网络靶场的攻击行为实时跟踪分析方法 - Google Patents
用于网络靶场的攻击行为实时跟踪分析方法 Download PDFInfo
- Publication number
- CN105915536A CN105915536A CN201610351616.2A CN201610351616A CN105915536A CN 105915536 A CN105915536 A CN 105915536A CN 201610351616 A CN201610351616 A CN 201610351616A CN 105915536 A CN105915536 A CN 105915536A
- Authority
- CN
- China
- Prior art keywords
- attack
- chain
- judge
- kill
- behavior
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开了一种用于网络靶场的攻击行为实时跟踪分析方法,包括以下步骤:数据收集;数据分析;判断攻击行为是否是攻击杀伤链的第一步;判断攻击行为是否是攻击杀伤链的第二步,记录并计分;判断攻击行为是否是攻击杀伤链的第三步,记录并计分;判断攻击行为是否是攻击杀伤链的第四步,记录并计分;判断攻击行为是否是攻击杀伤链的第五步,记录并计分;判断攻击行为是否是攻击杀伤链的第六步,记录并计分;判断攻击行为是否是攻击杀伤链的第七步,阻断攻击,或记录并计分,结束。通过本发明,能判断是否为攻击行为的效率高,能跟踪攻击行为过程,判断是否为攻击行为的准确率高。
Description
技术领域
本发明涉及一种网络靶场的入侵检测技术,尤其涉及一种用于网络靶场的攻击行为实时跟踪分析方法。
背景技术
信息安全的重要性已经提升至国家战略层面,在中国信息化发展战略中,已将“构建可信、可管、可控的网络空间”列入信息安全发展的总体目标。中国设立了国家安全委员会,完善国家安全体制和国家安全战略,确保国家安全。为此,努力培养信息安全专业人才,成为国家安全战略的主力保障是当前国家安全战略层面非常紧迫的任务和要求。
信息安全人才除了要掌握大量理论知识外,更注重的是实践动手能力。但是很多信息安全方面的实践具有强大的破坏性,所以只有通过虚拟机或仿真平台来进行学习和训练。同样,加深理解和提高实际应用操作能力也是主要途径。因此建设专门用来学习和提高信息安全实际应用操作能力的网络靶场就显得非常重要。
网络靶场,是一个基于云计算架构的网络安全对抗战实验平台,可以实现模拟网络攻防对抗场景、记录网络攻防行为、提供大型实战网络攻防训练、支持网络安全事件复盘、为安全产品提供测试展示平台等功能。
网络靶场一个重要的功能就是要直观的给客户展示出整个动态攻击过程,因此需要对攻击行为实时跟踪分析,如何判断某个网络行为是否是攻击行为已是网络靶场的核心技术之一,即网络靶场需要具有入侵检测的功能。
传统的入侵检测技术的核心问题是如何截获所有的网络信息,通过对数据的分析来判断是否是入侵行为。传统的入侵检测技术分为异常检测和误用检测两大类。
异常检测的工作原理是指收集一段时期正常操作活动的历史数据,建立代表用户、主机或网络连接的正常行为库,将收集到的事件相关数据和正常行为库进行比较,如果该行为在正常值范围之外时,则判定是入侵行为,否则是正常行为。异赏检测的优点是可检测到未知的入侵和更为复杂的入侵;缺点是误报、漏报率高,且不适应用户正常行为的突然改变。
误用检测又称基于特征码的检测,是指对不正常的行为进行建模,即建立已知的入侵行为特征库,将收集到的事件相关数据和该入侵行为特征库进行比较,如果该行为在特征库中,则判定是入侵行为,否则是正常行为。误用检测的优点是检测准确率高,缺点是无法检测到从未出现过的攻击手段,特征库需要不断升级。
总之,无论是异常检测还是误用检测,传统的入侵检测技术主要存在着三方面的缺点:
一是传统的入侵检测技术严重依赖于特征库或正常行为库,需要及时对库进行更新,并且随时时间的推移,库的数据会越来越大,进行匹配判定的时间也会越来越长,大大降低了入侵检测的效率;
二是传统的入侵检测技术对入侵行为的判断结果只有是或否,而不能对攻击过程进行记录或判定,也不能根据攻击行为的整个过程进行计分;
三是传统的入侵检测技术由于采用的将事件的相关数据和库相匹配的模式,漏报或误报率比较高,对检测结果的准确率提出了严峻挑战。
因此传统的入侵检测技术用于网络靶场将不能对入侵行为进行实时的跟踪、分析和计分。因此,专业化、***化、智能化的攻击行为实时跟踪分析技术越来越显得尤为关键。
发明内容
本发明的目的就在于为了解决上述问题而提供一种在没有攻击行为特征库的前提下能准确判断该行为是否为攻击行为并能对其进行实时跟踪的用于网络靶场的攻击行为实时跟踪分析方法。
本发明通过以下技术方案来实现上述目的:
一种用于网络靶场的攻击行为实时跟踪分析方法,包括以下步骤:
(1) 数据收集:收集网络靶场所有用户的链路层、网络层、应用层的数据,并将其转化为syslog格式;
(2) 数据分析:使用“程序行为算法”,对收集到的数据进行分析,找出这些数据之间的关系,对具有相互关系的带攻击性质行为进行挖掘,判断是否是入侵行为或该入侵行为是攻击杀伤链的第几步的基础;所谓“程序行为算法”是判断某网络行为是否是一种入侵行为的传统方法,是指当恶意程序行为触发***API接口上的恶意行为感知点,对恶意程序行为进行主动感知并建模;所述的恶意程序行为包括遍历磁盘文件的恶意行为、修改文件属性的恶意行为、访问注册表的恶意行为、服务活动的恶意行为、终止***进程的恶意行为和挂钩行为的恶意行为等,具体见专利申请号为“201510262180.5”的发明专利申请的内容;
(3) 判断攻击行为是否是攻击杀伤链的第一步,即是否是侦测阶段,如果是,则判定攻击行为已经进行到攻击杀伤链的第一步并转至下一步骤;如果否,则判定该行为根本没有进入到攻击杀伤链的第一步,不是攻击行为,结束;
(4) 判断攻击行为是否是攻击杀伤链的第二步,即是否是武器化载体阶段,如果是,则判定攻击行为已经进行到攻击杀伤链的第二步并转至下一步骤;如果否,则判定攻击行为仅仅进行到攻击杀伤链的第一步,记录并计分,结束;
(5) 判断攻击行为是否是攻击杀伤链的第三步,即是否是投送阶段,如果是,则判定攻击行为已经进行到攻击杀伤链的第三步并转至下一步骤;如果否,则判定攻击行为仅仅进行到攻击杀伤链的第二步,记录并计分,结束;
(6) 判断攻击行为是否是攻击杀伤链的第四步,即是否是激活阶段,如果是,则判定攻击行为已经进行到攻击杀伤链的第四步并转至下一步骤;如果否,则判定攻击行为仅仅进行到攻击杀伤链的第三步,记录并计分,结束;
(7) 判断攻击行为是否是攻击杀伤链的第五步,即是否是命令与控制阶段,如果是,则判定攻击行为已经进行到攻击杀伤链的第五步并转至下一步骤;如果否,则判定攻击行为仅仅进行到攻击杀伤链的第四步,记录并计分,结束;
(8) 判断攻击行为是否是攻击杀伤链的第六步,即是否是安装阶段,如果是,则判定攻击行为已经进行到攻击杀伤链的第六步并转至下一步骤;如果否,则判定攻击行为仅仅进行到攻击杀伤链的第五步,记录并计分,结束;
(9) 判断攻击行为是否是攻击杀伤链的第七步,即是否是持续攻击阶段,如果是,则判定攻击行为已经进行到攻击杀伤链的第七步并阻断攻击;如果否,则判定攻击行为仅仅进行到攻击杀伤链的第六步,记录并计分,结束。
本发明的有益效果在于:
本发明采用对攻击行为的判断和记录的工作原理,不是根据传统入侵检测技术依赖的攻击行为特征库,而是根据攻击杀伤链的各个环节,对收集到的数据痕迹及其关系进行行为判断,从而判断出该行为是否是攻击行为,并且得到该行为已进行到攻击杀伤链的哪一步的结论,即不仅从总体上而且从细节上对攻击过程进行跟踪和记录;具有如下优点:
1、能判断是否为攻击行为的效率高:由于使用行为来判断是否为攻击,没有入侵行为特征库的匹配过程,因此效率高;
2、能跟踪攻击行为过程:根据攻击杀伤链过程分析,能准确判断攻击行为进行到哪一步,并记录下来,对攻击行为进行记分;
3、判断是否为攻击行为的准确率高:根据攻击杀伤链过程分析,只要符合杀伤链的任一个步骤,都可判定为攻击行为,漏报误报率低。
附图说明
图1是本发明所述用于网络靶场的攻击行为实时跟踪分析方法的流程图。
具体实施方式
下面结合附图对本发明作进一步说明:
如图1所示,本发明所述用于网络靶场的攻击行为实时跟踪分析方法,包括以下步骤:
(1) 数据收集101:收集网络靶场所有用户的链路层、网络层、应用层的数据,并将其转化为syslog格式;
(2) 数据分析102:使用“程序行为算法”,对收集到的数据进行分析,找出这些数据之间的关系,对具有相互关系的带攻击性质行为进行挖掘,判断是否是入侵行为或该入侵行为是攻击杀伤链的第几步的基础;
(3) 判断攻击行为是否是攻击杀伤链的第一步,即是否是侦测阶段103,如果是,则判定攻击行为已经进行到攻击杀伤链的第一步并转至下一步骤;如果否,则判定该行为根本没有进入到攻击杀伤链的第一步,不是攻击行为,结束;
(4) 判断攻击行为是否是攻击杀伤链的第二步,即是否是武器化载体阶段104,如果是,则判定攻击行为已经进行到攻击杀伤链的第二步并转至下一步骤;如果否,则判定攻击行为仅仅进行到攻击杀伤链的第一步,记录并计分,结束;
(5) 判断攻击行为是否是攻击杀伤链的第三步,即是否是投送阶段105,如果是,则判定攻击行为已经进行到攻击杀伤链的第三步并转至下一步骤;如果否,则判定攻击行为仅仅进行到攻击杀伤链的第二步,记录并计分,结束;
(6) 判断攻击行为是否是攻击杀伤链的第四步,即是否是激活阶段106,如果是,则判定攻击行为已经进行到攻击杀伤链的第四步并转至下一步骤;如果否,则判定攻击行为仅仅进行到攻击杀伤链的第三步,记录并计分,结束;
(7) 判断攻击行为是否是攻击杀伤链的第五步,即是否是命令与控制阶段107,如果是,则判定攻击行为已经进行到攻击杀伤链的第五步并转至下一步骤;如果否,则判定攻击行为仅仅进行到攻击杀伤链的第四步,记录并计分,结束;
(8) 判断攻击行为是否是攻击杀伤链的第六步,即是否是安装阶段108,如果是,则判定攻击行为已经进行到攻击杀伤链的第六步并转至下一步骤;如果否,则判定攻击行为仅仅进行到攻击杀伤链的第五步,记录并计分,结束;
(9) 判断攻击行为是否是攻击杀伤链的第七步,即是否是持续攻击阶段109,如果是,则判定攻击行为已经进行到攻击杀伤链的第七步并阻断攻击;如果否,则判定攻击行为仅仅进行到攻击杀伤链的第六步,记录并计分,结束。
经过上述步骤,根据攻击杀伤链的各个环节,对收集到的数据痕迹及其关系进行行为判断,从而判断出该行为是否是攻击行为,并且得到该行为已进行到攻击杀伤链的哪一步的结论,即不仅从总体上而且从细节上对攻击过程进行跟踪和记录。
上述实施例只是本发明的较佳实施例,并不是对本发明技术方案的限制,只要是不经过创造性劳动即可在上述实施例的基础上实现的技术方案,均应视为落入本发明专利的权利保护范围内。
Claims (1)
1.一种用于网络靶场的攻击行为实时跟踪分析方法,其特征在于:包括以下步骤:
(1)数据收集:收集网络靶场所有用户的链路层、网络层、应用层的数据,并将其转化为syslog格式;
(2)数据分析:使用“程序行为算法”,对收集到的数据进行分析,找出这些数据之间的关系,对具有相互关系的带攻击性质行为进行挖掘,判断是否是入侵行为或该入侵行为是攻击杀伤链的第几步的基础;
(3)判断攻击行为是否是攻击杀伤链的第一步,即是否是侦测阶段,如果是,则判定攻击行为已经进行到攻击杀伤链的第一步并转至下一步骤;如果否,则判定该行为根本没有进入到攻击杀伤链的第一步,不是攻击行为,结束;
(4)判断攻击行为是否是攻击杀伤链的第二步,即是否是武器化载体阶段,如果是,则判定攻击行为已经进行到攻击杀伤链的第二步并转至下一步骤;如果否,则判定攻击行为仅仅进行到攻击杀伤链的第一步,记录并计分,结束;
(5)判断攻击行为是否是攻击杀伤链的第三步,即是否是投送阶段,如果是,则判定攻击行为已经进行到攻击杀伤链的第三步并转至下一步骤;如果否,则判定攻击行为仅仅进行到攻击杀伤链的第二步,记录并计分,结束;
(6)判断攻击行为是否是攻击杀伤链的第四步,即是否是激活阶段,如果是,则判定攻击行为已经进行到攻击杀伤链的第四步并转至下一步骤;如果否,则判定攻击行为仅仅进行到攻击杀伤链的第三步,记录并计分,结束;
(7)判断攻击行为是否是攻击杀伤链的第五步,即是否是命令与控制阶段,如果是,则判定攻击行为已经进行到攻击杀伤链的第五步并转至下一步骤;如果否,则判定攻击行为仅仅进行到攻击杀伤链的第四步,记录并计分,结束;
(8)判断攻击行为是否是攻击杀伤链的第六步,即是否是安装阶段,如果是,则判定攻击行为已经进行到攻击杀伤链的第六步并转至下一步骤;如果否,则判定攻击行为仅仅进行到攻击杀伤链的第五步,记录并计分,结束;
(9)判断攻击行为是否是攻击杀伤链的第七步,即是否是持续攻击阶段,如果是,则判定攻击行为已经进行到攻击杀伤链的第七步并阻断攻击;如果否,则判定攻击行为仅仅进行到攻击杀伤链的第六步,记录并计分,结束。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201610351616.2A CN105915536A (zh) | 2016-05-25 | 2016-05-25 | 用于网络靶场的攻击行为实时跟踪分析方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201610351616.2A CN105915536A (zh) | 2016-05-25 | 2016-05-25 | 用于网络靶场的攻击行为实时跟踪分析方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN105915536A true CN105915536A (zh) | 2016-08-31 |
Family
ID=56742249
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201610351616.2A Pending CN105915536A (zh) | 2016-05-25 | 2016-05-25 | 用于网络靶场的攻击行为实时跟踪分析方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN105915536A (zh) |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107294971A (zh) * | 2017-06-23 | 2017-10-24 | 西安交大捷普网络科技有限公司 | 服务器攻击源的威胁度排序方法 |
CN107888607A (zh) * | 2017-11-28 | 2018-04-06 | 新华三技术有限公司 | 一种网络威胁检测方法、装置及网络管理设备 |
CN108900498A (zh) * | 2018-06-25 | 2018-11-27 | 哈尔滨工业大学 | 一种基于bgp网络靶场的调度僵尸机攻击方法 |
CN112087420A (zh) * | 2020-07-24 | 2020-12-15 | 西安电子科技大学 | 一种网络杀伤链检测方法、预测方法及*** |
-
2016
- 2016-05-25 CN CN201610351616.2A patent/CN105915536A/zh active Pending
Cited By (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107294971A (zh) * | 2017-06-23 | 2017-10-24 | 西安交大捷普网络科技有限公司 | 服务器攻击源的威胁度排序方法 |
CN107294971B (zh) * | 2017-06-23 | 2020-05-26 | 西安交大捷普网络科技有限公司 | 服务器攻击源的威胁度排序方法 |
CN107888607A (zh) * | 2017-11-28 | 2018-04-06 | 新华三技术有限公司 | 一种网络威胁检测方法、装置及网络管理设备 |
CN107888607B (zh) * | 2017-11-28 | 2020-11-06 | 新华三技术有限公司 | 一种网络威胁检测方法、装置及网络管理设备 |
CN108900498A (zh) * | 2018-06-25 | 2018-11-27 | 哈尔滨工业大学 | 一种基于bgp网络靶场的调度僵尸机攻击方法 |
CN108900498B (zh) * | 2018-06-25 | 2020-12-29 | 哈尔滨工业大学 | 一种基于bgp网络靶场的调度僵尸机攻击方法 |
CN112087420A (zh) * | 2020-07-24 | 2020-12-15 | 西安电子科技大学 | 一种网络杀伤链检测方法、预测方法及*** |
CN112087420B (zh) * | 2020-07-24 | 2022-06-14 | 西安电子科技大学 | 一种网络杀伤链检测方法、预测方法及*** |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN109302380B (zh) | 一种安全防护设备联动防御策略智能决策方法及*** | |
Manoharan et al. | Revolutionizing Cybersecurity: Unleashing the Power of Artificial Intelligence and Machine Learning for Next-Generation Threat Detection | |
Kayacik et al. | Selecting features for intrusion detection: A feature relevance analysis on KDD 99 intrusion detection datasets | |
CN109672671A (zh) | 基于智能行为分析的安全网关及安全防护*** | |
CN107070929A (zh) | 一种工控网络蜜罐*** | |
CN104753946A (zh) | 一种基于网络流量元数据的安全分析框架 | |
CN102945341A (zh) | 一种拦截弹窗的方法和装置 | |
CN105915536A (zh) | 用于网络靶场的攻击行为实时跟踪分析方法 | |
CN106790186A (zh) | 基于多源异常事件关联分析的多步攻击检测方法 | |
CN109962903A (zh) | 一种家庭网关安全监控方法、装置、***和介质 | |
CN105491055B (zh) | 一种基于移动代理的网络主机异常事件检测方法 | |
CN102088379A (zh) | 基于沙箱技术的客户端蜜罐网页恶意代码检测方法与装置 | |
CN102685180A (zh) | 一种面向云计算的网络安全预警方法 | |
CN103118036A (zh) | 一种基于云端的智能安全防御***和方法 | |
CN106549980A (zh) | 一种恶意c&c服务器确定方法及装置 | |
CN111431939A (zh) | 基于cti的sdn恶意流量防御方法及*** | |
CN103500307A (zh) | 一种基于行为模型的移动互联网恶意应用软件检测方法 | |
CN104683394A (zh) | 新技术的云计算平台数据库基准测试***及其方法 | |
CN104184728A (zh) | 一种Web应用***的安全检测方法及安全检测装置 | |
CN103957205A (zh) | 一种基于终端流量的木马检测方法 | |
CN102968590A (zh) | 弹窗抑制方法和*** | |
Chen et al. | Advanced persistent threat organization identification based on software gene of malware | |
CN108055166A (zh) | 一种嵌套的应用层协议的状态机提取***及其提取方法 | |
CN113746832B (zh) | 多方法混合的分布式apt恶意流量检测防御***及方法 | |
CN104683382A (zh) | 新型创新算法云计算平台数据库基准测试*** |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
WD01 | Invention patent application deemed withdrawn after publication | ||
WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20160831 |