[发明专利]基于诱导分析的高级网络攻击检测分析方法及其系统

说明书

技术领域

本发明涉及一种基于诱导分析的高级网络攻击检测分析方法及其系统，更具体地讲，涉及一种基于网络特征识别的高级网络攻击检测方法以及涉及攻击行为诱导的网络攻击行为步骤和目的分析与检测系统。

背景技术

随着互联网的普及，网络信息安全变得越来越重要，网络信息安全也成为一个备受关注的重要研究领域。由于互联网本身设计上的缺陷及其具有的开放性，使其极易受到攻击。随着“震网”、“DUQU”、“火焰”等超级网络武器病毒的出现，网络空间安全已经进入到更高级别的网络安全技术对抗阶段。这些新阶段网络安全威胁具有攻击过程持续、攻击技术复杂、攻击手段精巧、攻击行为隐蔽、攻击资源巨大、攻击对象精确的特点，对国家基础网络设施和重要信息系统的安全造成了严重威胁。

现有的防火墙、IDS、IPS等网络攻击检测和防护设备仅能基于已有攻击特征规则开展网络攻击检测，而无法发现新型的未知攻击，如零日漏洞攻击等，因此传统的网络安全设备无法对高级网络攻击的攻击链条进行持续检测分析，难以发现攻击的行为步骤路线和最终目的。这给高级网络攻击的全面检测分析和防护工作带来了极大的挑战。

发明内容

因此，本发明的目的在于提出一种基于网络特征识别的高级网络攻击检测方法以及涉及攻击行为诱导的网络攻击行为步骤和目的分析与检测系统。

本发明提供了一种网络攻击检测分析方法，包括以下步骤：

在被保护网络的连接互联网链路上串联部署网络数据包转发设备和网络攻击监测发现设备，开展网络探测，监控所有的网络报文，获得原始网络数据；部署网络攻击诱导分析设备并联在被保护网络的连接互联网链路上，并与网络数据包转发设备和网络攻击监测发现设备相连接；通过网络攻击监测发现设备对原始网络数据进行监测，利用网络攻击数据包特征匹配技术，监测发现网络攻击行为；网络攻击监测发现设备将发现的网络攻击数据包转发至网络攻击诱导分析设备，同时网络攻击监测发现设备向网络数据包转发设备下达配置指令将攻击来源的所有后续数据包转发至网络攻击诱导分析设备；网络攻击诱导分析设备模拟被攻击的主机和网络环境条件，对攻击数据包进行持续响应，使得攻击行为能够继续，通过网络攻击诱导分析设备上部署的主机和网络资源监控系统分析网络攻击的行为步骤路线和最终目的。

其中，所述网络攻击诱导分析设备具有存储装置、服务端和客户端。

其中，所述客户端具有数据捕获、数据记录、数据包生成和数据包传输步骤。

其中，所述服务端将从客户端获得的数据包依次进行数据包采集、数据解析和数据存储步骤。

本发明还提供了一种网络攻击检测分析系统，包括：网络数据包转发设备和网络攻击监测发现设备，用于开展网络探测，监控所有的网络报文，获得原始网络数据；以及网络攻击诱导分析设备，其并联在被保护网络的连接互联网链路上，并与网络数据包转发设备和网络攻击监测发现设备相连接，用于嗅探网络中的数据，根据可配置的规则抓取指定特征的数据包。

其中，所述网络攻击诱导分析设备具有存储装置、服务端和客户端。

本发明所述目的，以及在此未列出的其他目的，在本申请独立权利要求的范围内得以满足。本发明的实施例限定在独立权利要求中，具体特征限定在其从属权利要求中。

附图说明

以下参照附图来详细说明本发明的技术方案，其中：

图1显示了本发明所述的网络攻击检测分析系统；

图2显示了本发明中的网络攻击诱导分析设备框图；

具体实施方式

以下详细说明本发明技术方案的特征及其技术效果。本发明提出一种基于诱导分析的高级网络攻击检测分析方法及其系统，进行网络攻击行为步骤和目的分析。

本发明提供了一种高级网络攻击行为的检测分析方法，包括以下步骤：

1.在被保护网络的连接互联网链路上串联部署网络数据包转发设备和网络攻击监测发现设备，从而开展网络探测，监控所有的网络报文，获得原始网络数据；部署网络攻击诱导分析设备并联在被保护网络的连接互联网链路上，并与网络数据包转发设备和网络攻击监测发现设备相连接；

2.通过网络攻击监测发现设备对原始网络数据进行监测，利用网络攻击数据包特征匹配技术，监测发现网络攻击行为；

3.网络攻击监测发现设备将发现的网络攻击数据包转发至网络攻击诱导分析设备，同时网络攻击监测发现设备向网络数据包转发设备下达配置指令将攻击来源的所有后续数据包转发至网络攻击诱导分析设备；