一种基于行为捕捉的主动诱捕方法
【专利摘要】本发明提出了一种基于行为捕捉的主动诱捕方法,在制定的网络区域中构建诱捕系统,包括如下三个环节:(1)在网络防御体系中的事前防御建立主动诱捕系统,采用主动诱捕引擎技术;在计算机所包含的若干系统中建立主动诱捕引擎、目标欺骗、攻击捕获、攻击控制、攻击分析与特征提取;(2)利用动态深度目标欺骗攻击行为,诱捕出攻击者的真实攻击目的;(3)主动诱捕系统依据上述判断结果,使攻击者确信这是攻击目标,从而诱捕出攻击者的真实攻击目的。本发明的基于行为捕捉的主动诱捕方法,能捕获已知和未知的攻击行为,把握全网安全态势,提高网络安全水平。
【专利说明】一种基于行为捕捉的主动诱捕方法
【技术领域】
[0001]本发明具体涉及一种基于行为捕捉的主动诱捕方法,用于网络上的PC终端、服务 器、工作站进行主动、高效、系统级的安全防御。
[0002]
【背景技术】
[0003]如今随着网络技术的广泛应用,网络攻击事件层出不穷,网络安全成为当今研究 热点和社会关注的焦点,现有网络安全技术以防火墙(firewall)和入侵检测系统(IDS)为 核心的防御技术通常滞后于各种各样的攻击技术。蜜罐技术作为一种新的网络安全技术, 逐渐受到人们的关注。它采取主动的方式,用其特有的特征吸引攻击者,同时对攻击者的各 种攻击行为进行分析并找到有效的对付方法。
[0004]数据捕捉技术是现有的蜜罐的关键技术之一。可以捕捉防火墙日志、网络流量、系 统活动等重要数据,然后传送至远端日志服务器并给予分析。
[0005]当前出现非特征式的未知攻击对现有安全防御体系形成了严重威胁。未知攻击就 是未知威胁,是指尚未被发现的具有未知特征同时对信息系统存在潜在威胁的活动类型。 未知威胁可能是由未知的病毒、木马、黑客引起,或者是一种对资源的非法滥用。
[0006]虽然蜜罐技术在网络防火墙、入侵检测系统等安全措施的配合下,能弥补原有被 动安全防御的不足,但仍然具有一些无法克服的缺点:捕捉到的数据不全面,没有针对性, 很难分析出真正的攻击数据,对未知攻击无法起到有效的防护。
[0007]
【发明内容】
[0008]本发明正是为了解决现有蜜罐系统技术的缺点而产生,其目的在于提供一种基 于行为捕捉的主动诱捕方法,对特征码式已知攻击有良好防御效果,对应对潜在威胁的未 知攻击能更有效捕捉,保证计算机的安全。
[0009]为实现上述发明目的,本发明所采用的技术方案是:
本发明的基于行为捕捉的主动诱捕方法,本发明实施例提供了一种基于行为捕捉的主 动诱捕方法,包括如下三个环节:
(1)在网络防御体系中的事前防御建立主动诱捕系统,采用主动诱捕引擎技术;在计算 机的操作系统内核系统、后台服务系统、应用程序、通信系统、账号系统、文件系统等建立主 动诱捕引擎、目标欺骗、攻击捕获、攻击控制、攻击分析与特征提取;
(2)动态深度目标欺骗攻击行为,诱捕出攻击者的真实攻击目的;
(3)主动诱捕系统依据上述判断结果,使攻击者确信这是攻击目标,从而诱捕出攻击者 的真实攻击目的;
用上述方法,在制定的网络区域中构建诱捕系统。目标欺骗、攻击捕获、攻击控制、攻击 分析与特征提取,提前发现该区域的存在的网络、主机及应用攻击。[0010]本发明还提供了一种基于行为捕捉的主动诱捕方法另一种实施方式,包括: 在计算机的计算机的操作系统内核系统、后台服务系统、应用程序、通信系统、账号系
统、文件系统建立行为检测引擎、分析引擎、主动防御引擎;通过整个防御系统组成主动诱 捕引擎,同时通过行为捕捉技术,在相关系统部署攻击行为捕获引擎,对程序行为进行深度 分析,并对某一运行程序的各种行为进行组合分析,通过程序行为特征算法库(各种恶意代 码行为特征算法模型库)对组合行为进行分析判断,把判断结果实时送到各个防御引擎;实 现能够捕获已知和未知的攻击行为和安全策略控制。
[0011]进一步的,所述恶意代码行为包括进程创建、线程创建、文件操作、网络操作、注册 表操作、堆栈操作、线程注入、高级持续性威胁攻击,以及用户账号的操作。可通过钩子技术 来获得恶意代码行为,获取主要有三种途径:截获系统服务分配表、截获可移植的执行体、 截获系统服务的软件终端。
[0012]相对于现有技术,本发明的基于行为捕捉的主动诱捕方法,具有以下有益的技术 效果:
本发明的有益效果是,能主动对运行在计算机系统上的程序行为进行目标欺骗、攻击 捕获、攻击控制、攻击分析与特征提取,从而防止网络主机被恶意代码入侵、攻击及破坏。同 时通过行为捕捉技术,实现能够捕获已知和未知的攻击行为,把握全网安全态势,提高网络 安全水平。
【专利附图】
【附图说明】
[0013]图1为本发明的一种基于行为捕捉的主动诱捕方法的一种实施例的流程图。
[0014]图2为基于图1的本发明的基于行为捕捉的主动诱捕方法的实施例的组成图。
[0015]
【具体实施方式】
[0016]本发明实施例提供了一种基于行为捕捉主动诱捕的方法及系统,以解决现有蜜罐 系统采用的数据捕捉技术的缺陷,主要用于网络上的PC终端、服务器、工作站进行主动、高 效、系统级的安全防御。
[0017]为使本发明的目的、技术方案、及优点更加清楚明白,以下参照附图并举实施例, 对本发明进一步详细说明。
[0018]本发明所防御的一些恶意行为包括:进程创建、线程创建、文件操作、网络操作、注 册表操作、堆栈操作、线程注入、高级持续性威胁攻击(APT攻击),以及用户账号的操作等, 可以通过钩子技术来获得程序行为,获取主要有三种途径,截获系统服务分配表(SSDT)、截 获可移植的执行体(HOOK PE)、截获系统服务的软件终端(HOOK INT 2E)。
[0019]结合图1的行为捕捉主动诱捕的方法实施例的流程图。
[0020]步骤101:来自网络的行为;
步骤102:通过行为捕捉主动诱捕引擎,对网络行为进行深度检测,获取程序行为; 步骤103:恶意代码判断器,如果该程序该步行为正常,则转入105步骤,行为捕捉主动 诱捕引擎允许程序继续执行。如果恶意代码判断器判断该程序该步行为为异常,则转入104 步骤;步骤104:对某一程序的行为进行预分析,如果程序的行为(指众多行为中的一个行为) 无恶意或危险,则进入下一步骤;如果程序行为异常,含恶意或危险行为,则这一行为同该 程序以前的恶意或危险进程进行组合,根据行为算法库判断这组异常行为的危害程度。之 后,进入下一步骤。
[0021]步骤106:恶意程序判断器,根据网络系统要求的安全等级及程序的危害级别,判 断是否为恶意代码或恶意程序,如果只为轻度危险,则转到110步骤,如果恶意程序判断器 通过程序异常行为组合判断,确定为严重危害,则进入108步骤,继续该程序后续行为的执 行,108步骤和110步骤同时进入下一步骤;
步骤111:行为捕捉主动诱捕引擎将数据发送至GMC,并由控制台分析数据。
[0022]通过以上实施例的流程描述,对来自网络的攻击行为进行了行为捕捉,同一程序 多个异常行为组合判断危害程度,这样对恶意程序(代码)的判断就更加精准,大大提高了 捕捉能力。
[0023]本发明采用行为捕捉的方法,提供了行为捕捉的主动诱捕系统。
[0024]结合图2的行为捕捉主动诱捕的方法实施例的组成图。
[0025]行为捕捉主动诱捕系统是一个基于行为的主动诱捕方案,它包括主动诱捕系统服 务端软件专用硬件平台、GMC、控制台、专用安全硬件平台组成。
[0026]如图2的201为主动诱捕系统服务端软件专用硬件平台,部署真实的办公环境,通 过系统漏洞、SQL漏洞、账号漏洞、web漏洞等,诱捕来自网络的攻击行为。通过行为算法库 及安全规则,准确预警恶意行为的危害程度,应急处理恶意行为。
[0027]如图2的202为GMC数据采集平台,它完成从主动诱捕系统服务端软件专用硬件 平台发送过来的数据的采集,存储。
[0028]如图2的203为控制台,它完成对GMC中数据的分析,实施监控恶意行为,记录到 安全档案,同时在预警地图上实时呈现恶意行为的动态。
[0029]上述实施例只是为了说明本发明的技术构思及特点,其目的是在于让本领域内的 普通技术人员能够了解本发明的内容并据以实施,并不能以此限制本发明的保护范围。凡 是根据本
【发明内容】
的实质所作出的等效的变化或修饰,都应涵盖在本发明的保护范围内。
【权利要求】
1.一种基于行为捕捉的主动诱捕方法,其特征在于,在制定的网络区域中构建诱捕系 统,包括如下三个环节:(1)在网络防御体系中的事前防御建立主动诱捕系统,采用主动诱捕引擎技术;在计算 机所包含的若干系统中建立主动诱捕引擎、目标欺骗、攻击捕获、攻击控制、攻击分析与特 征提取;(2)利用动态深度目标欺骗攻击行为,诱捕出攻击者的真实攻击目的;(3)主动诱捕系统依据上述判断结果,使攻击者确信这是攻击目标,从而诱捕出攻击者 的真实攻击目的。
2.根据权利要求1所述的基于行为捕捉的主动诱捕方法,其特征在于,在制定的网络 区域中构建诱捕系统,还包括如下环节:在计算机所包含的若干系统中建立行为检测引擎、分析引擎、主动防御引擎;通过整个 防御系统组成主动诱捕引擎,同时通过行为捕捉技术,在相关系统部署攻击行为捕获引擎, 对程序行为进行深度分析,并对某一运行程序的各种行为进行组合分析,通过程序行为特 征算法库对组合行为进行分析判断,把判断结果实时送到各个防御引擎;实现能够捕获已 知和未知的攻击行为和安全策略控制。
3.根据权利要求1或2所述的基于行为捕捉的主动诱捕方法,其特征在于,所述计算机 所包含的若干系统包括操作系统内核系统、后台服务系统、应用程序、通信系统、账号系统 及文件系统。
4.根据权利要求2所述的基于行为捕捉的主动诱捕方法,其特征在于,所述特征算法 模型库包括各种恶意代码行为。
5.根据权利要求4所述的基于行为捕捉的主动诱捕方法,其特征在于,所述恶意代码行为包括进程创建、线程创建、文件操作、网络操作、注册表操作、堆栈操 作、线程注入、高级持续性威胁攻击,以及用户账号的操作。
6.根据权利要求5所述的基于行为捕捉的主动诱捕方法,其特征在于,可通过钩子技 术来获得恶意代码行为,获取主要有三种途径:截获系统服务分配表、截获可移植的执行 体、截获系统服务的软件终端。
【文档编号】G06F21/56GK103581104SQ201210247893
【公开日】2014年2月12日 申请日期:2012年7月18日 优先权日:2012年7月18日
【发明者】赵象元 申请人:江苏中科慧创信息安全技术有限公司