[发明专利]一种基于Snort和OpenFlow启发式诱导APT攻击引入蜜罐的方法

权利要求书

1.一种基于Snort和OpenFlow启发式诱导APT攻击引入蜜罐的方法，其特征在于，所述基于Snort和OpenFlow启发式诱导APT攻击引入蜜罐的方法，包括：

步骤S1、基于ATTCK模型针对APT攻击的特征形成Snort规则，包括：

步骤S11、取ATTCK模型中初始访问阶段和执行阶段的APT攻击的特征；

步骤S12、基于APT攻击的特征生成初始访问阶段和执行阶段中APT攻击使用的攻击手法；

步骤S13、根据生成的攻击手法形成初始访问阶段和执行阶段对应的Snort规则；

步骤S2、根据所述Snort规则采用Snort设备捕获待识别流量；

步骤S3、将捕获的待识别流量传入OpenFlow交换机；

步骤S4、基于OpenFlow交换机对传入的待识别流量进行识别区分为APT攻击流量或正常流量，并将所述APT攻击流量引入蜜罐，包括：

步骤S41、采用TF-IDF算法对传入OpenFlow交换机的待识别流量进行特征提取；

步骤S42、基于提取的特征，利用预训练的逻辑回归模型进行分类输出APT攻击流量或正常流量；

步骤S43、将所述正常流量引入真实主机，将所述APT攻击流量引入蜜罐。

2.如权利要求1所述的基于Snort和OpenFlow启发式诱导APT攻击引入蜜罐的方法，其特征在于，所述初始访问阶段的攻击手法包括：偷渡式劫持，面向公众的应用程序，外部远程服务，硬件添加，网络钓鱼，可移动介质复制，有效账户；

所述初始访问阶段与攻击手法一一对应的Snort规则包括：

通过检测端点判断是否存在入侵的行为；

检测应用程序日志中是否存在异常行为；

收集身份验证日志并分析异常访问模式、活动窗口以及正常工作时间以外的访问；

结合资产管理系统检测网络上不应该存在的计算机系统或网络设备，建立网络访问控制策略，限制对网络的访问，限制硬件的安装；

对电子邮件中的URL检查；

监视可移动媒体上的文件访问，检测可移动介质安装后或用户启动后可移动介质执行的进程；

管理好信任关系中各方使用的账户和权限，在系统中查找可信账户的行为。

3.如权利要求1所述的基于Snort和OpenFlow启发式诱导APT攻击引入蜜罐的方法，其特征在于，所述执行阶段的攻击手法包括：命令和脚本解释器，利用客户端执行，进程间通讯，本机API，共享模块，软件部署工具，用户执行，Windows管理规范；

所述执行阶段与攻击手法一一对应的Snort规则包括：

通过过滤非法命令行参数捕获非法命令行和脚本活动；

通过拦截浏览器或Office的进程的异常行为；

通过监视文件和命令中的字符串、已加载的DLL库、IPC机制滥用生成的进程；

通过监视DLL负载；

将DLL模块的加载限制在％SystemRoot％和％ProgramFiles％目录中，检测来自不安全路径的模块加载；

从注册表中反映出Windows服务的更改，监视异常命令行调用；

捕捉攻击者用来获取用户交互的访问权限的应用程序执行和命令行参数；

监视WMI连接的网络流量，执行过程监视捕获“wmic”的命令行参数，并检测用于远程行为的命令。

4.如权利要求1所述的基于Snort和OpenFlow启发式诱导APT攻击引入蜜罐的方法，其特征在于，所述逻辑回归模型的预训练包括：

获取HTTP CSIC 2010数据集，所述HTTP CSIC 2010数据集中包含APT攻击流量和正常流量；

对HTTP CSIC 2010数据集进行格式化处理，保留HTTP CSIC 2010数据集中的各流量对应的HTTP方法、路径和参数；

利用TF-IDF算法对格式化处理后的HTTP CSIC 2010数据集进行特征提取；

为格式化后的HTTP CSIC 2010数据集中的各流量添加相应标签，关联流量与其对应的特征后将流量划分为训练集和测试集；

取训练集对逻辑回归模型进行训练，并在训练时引入网格搜索法进行交叉验证得到逻辑回归模型的最优参数，完成对逻辑回归模型的预训练。