[发明专利]基于攻击行为分析的蜜网内横向移动攻击路径确定方法

权利要求书

1.基于攻击行为分析的蜜网内横向移动攻击路径确定方法，其特征在于，包括如下步骤：

S1：部署多个蜜罐组成蜜网环境；所述蜜罐内设置有蜜罐监控模块，所述蜜罐监控模块用于精确识别当前蜜罐内活动攻击者，并将攻击行为数据和攻击者挂钩；

S2：对步骤S1中捕获到的所有蜜罐攻击数据，进行清洗和预处理，使得每一个蜜罐攻击数据均归属到相应的攻击源；

S3：将步骤S2中处理后的所有蜜罐攻击数据和相应的攻击源存储到数据库中进行持久化保存；

S4：判断蜜罐攻击数据相应的攻击源是否在蜜网环境内；若不在蜜网环境内，则当前蜜罐即为攻击者进入蜜网环境内的入口蜜罐；若在蜜网环境内，则当前蜜罐存在上游跳板蜜罐，进行步骤S5；

S5：结合步骤S3中数据库中保存的所有蜜罐攻击数据和相应的攻击源进行关联性分析，逐层追溯攻击者进入当前蜜罐使用的上游跳板蜜罐；直至成功追溯到所有上游跳板蜜罐；

S6：根据蜜罐间攻击行为的关联性逐层往上游跳板蜜罐进行路径回溯，描绘出攻击者进入蜜网环境内的入口蜜罐和在蜜网环境内横向移动攻击路径。

2.一种根据权利要求1所述的基于攻击行为分析的蜜网内横向移动攻击路径确定方法，其特征在于，所述攻击行为数据和攻击源挂钩，即是将蜜罐监控程序捕获到的攻击行为和产生这条攻击行为的网络连接挂钩，每条攻击行为数据在和攻击源挂钩后，攻击行为数据中包含一条网络连接信息“源IP/源端口-目标IP/目标端口”，此时目标IP即为被攻击的蜜罐IP，目标端口即为被攻击的蜜罐服务端口。

3.一种根据权利要求2所述的基于攻击行为分析的蜜网内横向移动攻击路径确定方法，其特征在于，所述蜜罐监控模块包括蜜罐监控程序，蜜罐监控程序实时监控蜜罐主机中的核心层、网络层和应用层，并将监控到的攻击行为数据和攻击者挂钩；所述蜜罐监控程序中的相关进程、文件、网络数据和网络连接具有深度隐藏特性。

4.一种根据权利要求3所述的基于攻击行为分析的蜜网内横向移动攻击路径确定方法，其特征在于，步骤S2中蜜罐攻击数据的清洗和预处理是将蜜罐监控程序中获取到的原始蜜罐攻击数据结构、内容转化为有效的、具备统一结构的标准数据；使得每一个蜜罐攻击数据均归属到相应的确定的攻击源，所述攻击源为“源IP+源端口”。

5.一种根据权利要求4所述的基于攻击行为分析的蜜网内横向移动攻击路径确定方法，其特征在于，步骤S2中的攻击数据包括以下两类数据：

a、每条攻击数据中包含产生该攻击行为的对应网络连接信息“源IP/源端口-目标IP/目标端口”，简称为link_in；

b、当攻击行为是向蜜罐外发起网络连接时，该攻击数据包含向外发起网络连接的连接信息，即“蜜罐IP/本地端口-外部IP/外部端，简称为link_out。

6.一种根据权利要求5所述的基于攻击行为分析的蜜网内横向移动攻击路径确定方法，其特征在于，步骤S4中判断蜜罐攻击数据相应的攻击源是否在蜜网环境内之前，蜜罐通过建立网络连接实现网络与蜜罐的交互，网络连接表现形式为“源IP/源端口-目标IP/目标端口”，攻击蜜罐时目标IP为蜜罐IP，目标端口为蜜罐开放的服务端口，源IP为攻击者发起攻击的平台主机IP，源端口为发起攻击平台主机与蜜罐服务端口建立网络连接的端口。

7.一种根据权利要求6所述的基于攻击行为分析的蜜网内横向移动攻击路径确定方法，其特征在于，步骤S4中根据“源IP/源端口-目标IP/目标端口”区分攻击数据的攻击源，并判断攻击数据的攻击源是否在蜜网环境内。