[发明专利]基于攻击行为分析的蜜罐弱口令自适应匹配方法及系统

说明书

本发明涉及一种基于攻击行为分析的蜜罐弱口令自适应匹配方法及系统，包括如下步骤：S01.蜜罐将采集到的登陆口令数据完整传输至数据分析系统；S02.数据分析系统对采集到的登陆口令进行判定，获得判定结果；S03.判定结果输入弱口令数据库进行匹配，并将匹配结果和分析判定结果输出至蜜罐控制系统；S04.蜜罐控制系统调用弱口令数据库的口令，并下发对应的弱口令变更策略脚本至蜜罐；S05.蜜罐运行脚本，更换登陆口令，本发明通过分析攻击者的攻击行为数据来自动对弱口令进行适应性修改匹配，解决了现有技术中蜜罐弱口令自适应性低、匹配性差的问题，实现了弱口令快速匹配，降低维护成本，提高维护效率，并且增强了蜜罐诱捕效率。

技术领域

本发明涉及计算机安全领域，具体的说是一种基于攻击行为分析的蜜罐弱口令自适应匹配方法及系统。

背景技术

蜜罐技术通过虚拟带有漏洞、登陆弱口令的操作系统、应用服务，并对外开设应用服务端口，暴露弱点，以便诱捕攻击者主动攻击，并对其进行监控，记录其攻击行为和数据。

自适应是在数据处理和分析过程中，根据数据特征自动调整处理方法和约束条件，使其与所处理数据的统计分布特征、结构特征相适应，以取得最佳的处理效果的过程。

蜜罐弱口令是在登陆蜜罐本身模拟的操作系统或应用服务后台时需要输入的账号密码，弱口令即形式简单、易被猜测的账号密码。

攻击者在对蜜罐进行攻击时，会对其模拟的操作系统和应用系统进行尝试登陆，不断利用自身掌握的账号密码对其进行持续尝试匹配，直到成功登陆操作系统或应用系统后台，拿到管理员权限及账号密码，但其攻击行为数据和尝试登陆的所有账号密码已经被记录。由于不同攻击者本身掌握的弱口令是存在一定的数量限度的，而蜜罐口令应当具备能够被轻易登陆或快速匹配到攻击者本身掌握的弱口令库，以此来增加蜜罐的诱捕性和提升可利用价值。目前蜜罐口令生成技术仅是将蜜罐弱口令生成与模拟的操作系统或业务应用相关的账号密码，无法随攻击者的弱口令库改变而变换，不足以快速让攻击者登陆蜜罐进行下一步的攻击操作，实现蜜罐更多被攻击者利用的价值，从而获取更多丰富数据。

目前的现有技术多存在以下缺点：

1.现有方法对蜜罐的弱口令基本不会自动改变，一旦被攻击者利用成功并修改后，则需要不断手动调整才能保证蜜罐对其他攻击者可被利用。

2.现有方法维护成本高，效率低下，需要人工手动不断调整蜜罐登陆弱口令，费时费力。

3.现有方法对蜜罐弱口令的设置，仅仅是依据伪装的操作系统和应用服务相关的账号密码，而不是结合攻击者的攻击行为特征和账号密码库进行实时、高效的变换登陆口令，无法快速匹配到攻击者的账号密码库，无法有效将攻击者引导到蜜罐后台内部做更加深入的攻击操作。

中国专利文献CN110557405A公开了一种高交互SSH蜜罐实现方法，包括以下步骤：对系统SSH端口进行连接，判断是否具有SSH服务，具有SSH服务进入到下一步骤；利用logit函数和OpenSSH中authctxt结构体在口令身份认证时对认证的用户名/密码进行捕获；在口令认证成功后，利用SSH服务通过管道和用户处理交互会话模块对客户端数据处理的特性，对相关模块代码进行修改，从而完成对shell口令的记录；对蜜罐流出流量进行控制，包括对外数据包限制和对外攻击包抑制两个过程；针对蜜罐捕获的数据，利用javaweb技术进行分析处理展示，该专利中蜜罐交互度高，提高了对SSH服务的安全防御能力，但专利中蜜罐的登陆口令仅仅是依据伪装的操作系统和应用服务相关的账号密码，不能结合攻击者的攻击行为特征和账号密码库进行实时、高效的变换登陆口令，蜜罐运行时间长后，容易被识破，诱捕率下降。