一种攻击行为确定方法、装置及态势感知系统与流程

文档序号：14843421发布日期：2018-06-30 14:28阅读：173来源：国知局

本发明涉及网络安全技术领域，特别涉及一种攻击行为确定方法、装置及态势感知系统。

背景技术：

随着计算机网络的迅速普及和各种网络新业务的不断兴起，网络安全问题已经逐渐渗透到社会生活的各个领域，并且变得越来越严峻。为了更好地保证网络安全，阻止破坏资源完整性、可用性和保密性等的攻击行为，及时发现攻击行为并采取相应的抵御措施来避免进一步的攻击，减少攻击造成的危害，已成为目前网络安全研究的热点。

网络态势是指各种网络设备运行状况、网络行为以及用户行为等因素所构成的整个网络当前状态和变化趋势，网络态势感知是指在大规模网络环境中，对能够引起网络态势发生变化的安全要素进行获取、理解、显示以及预测未来的发展趋势。对于网络安全的态势感知，现有技术是基于业务日志来进行分析的，从业务日志中分析出攻击行为，并根据分析出的攻击行为对业务系统进行态势感知，业务日志为业务系统实际运行时产生的日志。

由于现有的业务系统在层层防御体系之后，业务日志中的攻击日志更多是较浅层面的泛扫描攻击行为，因而从业务日志中并不能捕获到足够多的数据来确定深入的攻击路径，进而也就无法了解攻击者对业务的关注度和深度攻击手法，及攻击者意图窃取的关键业务数据。也就是说，现有技术中的态势感知方法不能全面准确的感知攻击者的攻击行为。

技术实现要素：

本发明实施例的目的在于提供一种攻击行为确定方法、装置及态势感知系统，以全面准确的感知攻击行为。具体技术方案如下：

为达到上述目的，本发明实施例公开了一种攻击行为确定方法，所述方法包括：

根据目标访问行为的访问路径节点以及所述目标访问行为在所述访问路径节点的访问触发时刻，确定所述目标访问行为的访问路径时间轴；

判断所述访问路径时间轴是否与预设的攻击路径信息库中记录的攻击路径时间轴匹配，其中，所述攻击路径时间轴为：根据攻击行为的攻击路径节点以及所述攻击行为在所述攻击路径节点的攻击触发时刻确定的；

如果是，将所述目标访问行为确定为第一攻击行为。

可选的，所述目标访问行为存在于业务系统中。

可选的，所述预设的攻击路径信息库按照以下方式生成：

获取预设的蜜罐系统中的蜜罐日志；

确定所述蜜罐日志所对应的第二攻击行为的攻击路径时间轴；

根据所确定的攻击路径时间轴，生成所述预设的攻击路径信息库。

可选的，所述蜜罐系统为：根据所述业务系统中的服务搭建的。

可选的，所述确定所述蜜罐日志所对应的第二攻击行为的攻击路径时间轴，包括：

根据预设的攻击行为特征，确定所述蜜罐日志所对应的第二攻击行为；

根据所述第二攻击行为的目标攻击路径节点以及所述第二攻击行为在所述目标攻击路径节点的目标攻击触发时刻，确定所述第二攻击行为的攻击路径时间轴。

可选的，所述根据所述第二攻击行为的目标攻击路径节点以及所述第二攻击行为在所述目标攻击路径节点的目标攻击触发时刻，确定所述第二攻击行为的攻击路径时间轴，包括：

根据所述蜜罐系统中的流量，确定所述第二攻击行为的目标攻击路径节点以及所述第二攻击行为在所述目标攻击路径节点的目标攻击触发时刻；

根据所述目标攻击路径节点以及所述目标攻击触发时刻，确定所述第二攻击行为的攻击路径时间轴。

可选的，所述蜜罐日志为：

通过应用层替换bash记录的bash操作日志；和/或

通过内核模块补丁记录的键盘操作日志。

为达到上述目的，本发明实施例还公开了一种攻击行为确定装置，所述装置包括：

第一确定模块，用于根据目标访问行为的访问路径节点以及所述目标访问行为在所述访问路径节点的访问触发时刻，确定所述目标访问行为的访问路径时间轴；

判断模块，用于判断所述访问路径时间轴是否与预设的攻击路径信息库中记录的攻击路径时间轴匹配，其中，所述攻击路径时间轴为：根据攻击行为的攻击路径节点以及所述攻击行为在所述攻击路径节点的攻击触发时刻确定的；

第二确定模块，用于在所述判断模块判断出所述访问路径时间轴与预设的攻击路径信息库中记录的攻击路径时间轴匹配时，将所述目标访问行为确定为第一攻击行为。

可选的，所述目标访问行为存在于业务系统中。

可选的，所述装置还包括：

生成模块，用于生成所述预设的攻击路径信息库；

其中，所述生成模块，包括：

获取子模块，用于获取预设的蜜罐系统中的蜜罐日志，其中，所述蜜罐系统为：根据所述业务系统中的服务搭建的；

确定子模块，用于确定所述蜜罐日志所对应的第二攻击行为的攻击路径时间轴；

生成子模块，用于根据所确定的攻击路径时间轴，生成所述预设的攻击路径信息库。

可选的，所述蜜罐系统为：根据所述业务系统中的服务搭建的。

可选的，所述确定子模块，包括：

第一确定单元，用于根据预设的攻击行为特征，确定所述蜜罐日志所对应的第二攻击行为；

第二确定单元，用于根据所述第二攻击行为的目标攻击路径节点以及所述第二攻击行为在所述目标攻击路径节点的目标攻击触发时刻，确定所述第二攻击行为的攻击路径时间轴。

可选的，所述第二确定单元，包括：

第一确定子单元，用于根据所述蜜罐系统中的流量，确定所述第二攻击行为的目标攻击路径节点以及所述第二攻击行为在所述目标攻击路径节点的目标攻击触发时刻；

第二确定子单元，用于根据所述目标攻击路径节点以及所述目标攻击触发时刻，确定所述第二攻击行为的攻击路径时间轴。

可选的，所述蜜罐日志为：

通过应用层替换bash记录的bash操作日志；和/或

通过内核模块补丁记录的键盘操作日志。

为达到上述目的，本发明实施例还公开了一种态势感知系统，所述系统包括：态势感知分析平台、业务系统、蜜罐系统，其中：

所述业务系统，用于向所述态势感知分析平台反馈自身的目标访问行为；

所述态势感知分析平台，用于接收所述业务系统反馈的目标访问行为；根据所述目标访问行为的访问路径节点以及所述目标访问行为在所述访问路径节点的访问触发时刻，确定所述目标访问行为的访问路径时间轴；判断所述访问路径时间轴是否与预设的攻击路径信息库中记录的攻击路径时间轴匹配，其中，所述攻击路径时间轴为：根据攻击行为的攻击路径节点以及所述攻击行为在所述攻击路径节点的攻击触发时刻确定的；如果是，将所述目标访问行为确定为第一攻击行为；

所述蜜罐系统，用于向所述态势感知分析平台反馈自身的蜜罐日志；

所述态势感知分析平台，还用于接收所述蜜罐系统反馈的蜜罐日志；确定所述蜜罐日志所对应的第二攻击行为的攻击路径时间轴；根据所确定的攻击路径时间轴，生成所述预设的攻击路径信息库。

可选的，所述蜜罐系统为：根据所述业务系统中的服务搭建的。

可选的，所述态势感知分析平台，具体用于根据预设的攻击行为特征，确定所述蜜罐日志所对应的第二攻击行为；根据所述第二攻击行为的目标攻击路径节点以及所述第二攻击行为在所述目标攻击路径节点的目标访问触发时刻，确定所述第二攻击行为的攻击路径时间轴。

可选的，所述态势感知分析平台，具体用于根据所述蜜罐系统中的流量，确定所述第二攻击行为的目标攻击路径节点以及所述第二攻击行为在所述目标攻击路径节点的目标攻击触发时刻；根据所述目标攻击路径节点以及所述目标攻击触发时刻，确定所述第二攻击行为的攻击路径时间轴。

可选的，所述蜜罐日志为：

通过应用层替换bash记录的bash操作日志；和/或

通过内核模块补丁记录的键盘操作日志。

可选的，所述蜜罐系统包括：

蜜罐控制服务器、日志服务器蜜罐、应用数据库蜜罐、应用服务器蜜罐；

其中，所述应用数据库蜜罐，用于提供数据库服务，生成针对数据库服务的日志，并向所述日志服务器蜜罐发送所生成的日志；

所述应用服务器蜜罐，用于提供应用服务，生成针对应用服务的日志，并向所述日志服务器蜜罐发送所生成的日志；

所述日志服务器蜜罐，用于接收并存储所述应用数据库蜜罐和所述应用服务器蜜罐发送的日志；

所述蜜罐控制服务器，用于获取所述日志服务器蜜罐中存储的蜜罐日志，并向所述态势感知分析平台反馈所获取的蜜罐日志。

可选的，所述蜜罐控制服务器，用于对所述日志服务器蜜罐、应用数据库蜜罐、应用服务器蜜罐中的流量进行备份；并将备份的流量反馈给所述态势感知分析平台；

所述态势感知分析平台，具体用于根据备份的流量，确定所述第二攻击行为的攻击路径节点以及所述第二攻击行为在所述攻击路径节点的攻击触发时刻；根据所确定的所述第二攻击行为的攻击路径节点以及所述第二攻击行为在所述攻击路径节点的攻击触发时刻，确定所述第二攻击行为的攻击路径时间轴。

可选的，所述业务系统，还用于对其中的业务数据进行脱密处理，并将脱密处理后的业务数据发送至所述应用数据库蜜罐；

所述应用数据库蜜罐，还用于接收并存储所述业务系统发送的经过脱密处理的业务数据。

可选的，所述业务系统，还用于对其中的业务日志进行脱密处理，并将脱密处理后的业务数据发送至所述日志服务器蜜罐；

所述日志服务器蜜罐，还用于接收并存储所述业务系统发送的经过脱密处理的业务日志。

由以上可知，本发明实施例所提供的方案中，根据目标访问行为的访问路径节点以及目标访问行为在访问路径节点的访问触发时刻，确定目标访问行为的访问路径时间轴；判断访问路径时间轴是否与预设的攻击路径信息库中记录的攻击路径时间轴匹配，其中，攻击路径时间轴为：根据攻击行为的攻击路径节点以及攻击行为在攻击路径节点的攻击触发时刻确定的；如果是，将目标访问行为确定为攻击行为。与现有技术相比，本发明实施例提供的方案中，通过建立攻击路径时间轴的方式来生成攻击路径信息库，而攻击路径时间轴能够准确的反映攻击行为的攻击路径和攻击手法，因此本发明实施例的方案能够全面准确的感知攻击行为。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本发明实施例提供的一种攻击行为确定方法的流程示意图；

图2为本发明实施例提供的一种攻击路径信息库生成方法的流程示意图；

图3为本发明实施例提供的一种攻击行为确定装置的结构示意图；

图4为本发明实施例提供的另一种攻击行为确定装置的结构示意图；

图5为本发明实施例提供的一种攻击路径信息库生成装置的结构示意图；

图6为本发明实施例提供的一种态势感知系统的结构示意图；

图7为本发明实施例提供的另一种态势感知系统的结构示意图；

图8为本发明实施例提供的一个具体实施例的示意图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

为解决现有技术问题，本发明实施例提供了一种攻击行为确定方法及装置。下面首先对本发明实施例所提供的一种攻击行为确定方法进行详细说明。

图1为本发明实施例提供的一种攻击行为方法的流程示意图，该方法包括：

S101，根据目标访问行为的访问路径节点以及目标访问行为在访问路径节点的访问触发时刻，确定目标访问行为的访问路径时间轴。

其中，目标访问行为可以是业务系统中的访问行为。具体的，目标访问行为的信息可以是从业务系统中的业务日志中获得的，也可以是实时从业务系统中获得的，本实施例对此不做限定。上述目标访问行为的信息可以包括：目标访问行为的访问路径节点、目标访问行为在访问路径节点的访问触发时刻等信息。

用户从进入业务系统开始访问到离开业务系统，为一次访问行为。在一次访问行为中，用户会访问业务系统中不同的节点，如业务服务器、数据库服务器等，这些节点按照访问的先后顺序可以构成一次访问行为中的访问路径。因此，可以根据业务系统中访问行为的访问路径节点以及访问行为在访问路径节点的访问触发时刻，来确定访问行为的访问路径时间轴。

示例性的，用户访问业务系统时，业务系统可以记录此次访问行为的用户标识如IP地址、所访问的服务的标识、以及访问该服务的时刻等信息，根据所记录的信息，可以确定该访问行为的访问路径时间轴，例如，所确定的访问路径时间轴可以为：IP地址为36.7.72.139的用户于2015年11月30日10点10分20秒访问服务A、又于10点15分40秒访问服务B、又于10点16分40秒到18分50秒之间连续5次访问服务B。

当然，访问触发时刻可以使用上述实际发生的时刻表示，还可以以第一个节点对应的访问触发时刻为起始时刻，根据各个节点之间的访问触发时刻的相对差值的方式来表示。例如，上述访问路径时间轴还可以表示为：IP地址为36.7.72.139的用户于2015年11月30日10点10分20秒访问服务A、又于5分20秒后访问服务B、又于1分钟后在2分10秒内连续5次访问服务B。

S102，判断访问路径时间轴是否与预设的攻击路径信息库中记录的攻击路径时间轴匹配。

其中，攻击路径时间轴为：根据攻击行为的攻击路径节点以及攻击行为在攻击路径节点的攻击触发时刻确定的。

预设的攻击路径信息库用于记录蜜罐系统中的攻击行为的攻击路径时间轴，攻击路径信息库的具体生成过程可以参见图2所示实施例，这里暂不详述。

判断访问路径时间轴与攻击路径时间轴是否匹配，可以将访问路径时间轴与攻击路径信息库中记录的攻击路径时间轴逐一进行比对，根据时间轴所记录的信息是否一致来判断，也可以预先设置相似度阈值，当访问路径时间轴与攻击路径时间轴的相似度达到阈值时，判定访问路径时间轴与攻击路径时间轴匹配，也可以根据其他方式进行判断，本实施例对此不做限定。

示例性的，若访问路径时间轴A中的各个访问路径节点与某一攻击路径时间轴A’中的各个攻击路径节点均相同，只是各个节点所对应的相对触发时刻略有不同，比如，访问路径时间轴A显示访问节点M与访问节点N的访问触发时刻的相对差值为10分钟，而攻击路径时间轴A’显示攻击节点M’与攻击节点N’的攻击触发时刻的相对差值为8分钟，可见，A和A’的相似度较高，则可以判定访问路径时间轴A与攻击路径时间轴A’匹配。

S103，如果是，将目标访问行为确定为第一攻击行为。

由以上可知，本实施例所提供的方案中，根据目标访问行为的访问路径节点以及目标访问行为在访问路径节点的访问触发时刻，确定目标访问行为的访问路径时间轴；判断访问路径时间轴是否与预设的攻击路径信息库中记录的攻击路径时间轴匹配，其中，攻击路径时间轴为：根据攻击行为的攻击路径节点以及攻击行为在攻击路径节点的攻击触发时刻确定的；如果是，将目标访问行为确定为攻击行为。与现有技术相比，本实施例提供的方案中，通过建立攻击路径时间轴的方式来生成攻击路径信息库，而攻击路径时间轴能够准确的反映攻击行为的攻击路径和攻击手法，因此本实施例的方案能够全面准确的感知攻击行为。

下面通过具体实施例详细介绍前面涉及到的预设的攻击路径信息库。

图2为本发明实施例提供的一种攻击路径信息库生成方法的流程示意图，该方法包括：

S201，获取预设的蜜罐系统中的蜜罐日志。

其中，蜜罐系统可以为：根据业务系统中的服务搭建的。这是为了达到模拟真实业务系统、最大程度的迷惑攻击者的目的，蜜罐系统与业务系统相一致，包含了与业务系统同样的机器设备，并且在机器设备上部署同样的应用服务，例如，在蜜罐系统中部署与业务系统相同的服务器，并且服务器所包含的服务程序也相同。

其中，蜜罐日志可以为：

通过应用层替换bash记录的bash操作日志；和/或

通过内核模块补丁记录的键盘操作日志。

为保证蜜罐日志的可记录性，通过应用层替换bash，记录蜜罐系统中的访问者的bash操作日志，应用层bash为操作系统自带的执行shell的应用程序，替换bash是使用修改的bash替换系统自带的shell执行程序，修改的bash的主要功能是：在bash执行命令的时候，可以将所执行命令记录到系统日志syslog中，在蜜罐系统中系统日志syslog是蜜罐日志的一部分。bash是一个为GNU计划编写的Unix shell，是大多数Linux系统以及Mac OS X v10.4默认的shell，它能运行于大多数Unix风格的操作系统之上，甚至被移植到了Microsoft Windows上的Cygwin系统中，以实现windows的POSIX虚拟接口。

还可以通过内核模块补丁，例如ttyrpld，进行键盘记录，避免由于上述应用层记录缺失导致蜜罐日志记录不完整。

S202，确定蜜罐日志所对应的第二攻击行为的攻击路径时间轴。

具体的，确定蜜罐日志所对应的第二攻击行为的攻击路径时间轴，可以包括：

根据预设的攻击行为特征，确定蜜罐日志所对应的第二攻击行为；

根据第二攻击行为的目标攻击路径节点以及第二攻击行为在目标攻击路径节点的目标攻击触发时刻，确定第二攻击行为的攻击路径时间轴。

由于蜜罐系统也有可能会被网络爬虫爬取到，因此蜜罐日志中记录的访问行为不全是攻击者的攻击行为。这种情况下，还需要根据预设的攻击行为特征，确定蜜罐日志对应的攻击行为。例如，预设的攻击行为特征可以为攻击行为短时间内多次访问特定服务、攻击行为意图调取用户数据，等等，当然，攻击行为特征还可以设置为其他类型的异常访问的行为特征，本实施例对此不做限定。

攻击者从进入蜜罐系统开始攻击到离开蜜罐系统，为一次攻击行为。在一次攻击行为中，攻击者会攻击蜜罐系统中不同的节点，如业务服务器蜜罐、数据库服务器蜜罐等，这些节点按照攻击的先后顺序可以构成一次攻击行为中的攻击路径。因此，可以根据业攻击行为的攻击路径节点以及攻击行为在攻击路径节点的攻击触发时刻，来确定攻击行为的攻击路径时间轴。

示例性的，攻击者访问蜜罐系统时，蜜罐系统可以通过蜜罐日志记录此次攻击行为的用户标识如IP地址、所攻击的服务的标识、以及攻击该服务的时刻等信息，根据所记录的信息，可以确定该攻击行为的攻击路径时间轴，例如，所确定的攻击路径时间轴可以为：IP地址为36.7.72.139的攻击者于2015年11月30日10点10分20秒访问服务A、又于10点15分40秒访问服务B、再于10点16分40秒到18分50秒之间连续5次访问服务B。

当然，攻击触发时刻可以使用上述实际发生的时刻表示，还可以以第一个节点对应的攻击触发时刻为起始时刻，根据各个节点之间的攻击触发时刻的相对差值的方式来表示。例如，上述攻击路径时间轴还可以表示为：IP地址为36.7.72.139的攻击者于2015年11月30日10点10分20秒攻击服务A、又于5分20秒后攻击服务B、又于1分钟后在2分10秒内连续5次攻击服务B。

进一步的，由于蜜罐日志中记录的攻击行为的信息有限，比如攻击者成功入侵蜜罐系统后，在蜜罐系统中种植木马程序以及向木马控制端建立的连接，或者对蜜罐系统发送的恶意流量攻击，这些都需要通过蜜罐系统的流量来查看，蜜罐日志一般没有记录。因此，还可以实时对蜜罐系统中的流量进行保存，以便于后续根据流量来更深入的了解攻击行为。

因此，可以根据蜜罐系统中的流量，确定第二攻击行为的目标攻击路径节点以及第二攻击行为在目标攻击路径节点的目标攻击触发时刻；根据目标攻击路径节点以及目标攻击触发时刻，确定第二攻击行为的攻击路径时间轴。

以上述攻击行为为例，如果根据蜜罐系统中的流量，发现IP地址为36.7.72.139的攻击者还于10点20分10秒在服务B中种植了木马程序X，此时，还可以将该信息添加到该攻击行为的攻击路径时间轴上。

S203，根据所确定的攻击路径时间轴，生成预设的攻击路径信息库。

可以理解的，由于不断会有攻击者进入蜜罐系统进行攻击行为，所以蜜罐日志中的第二攻击行为是不断更新和增加的，因此，需不断更新上述预设的攻击路径信息库，例如，可以是按照固定的时间间隔更新上述预设的攻击路径信息库，如，一天更新一次、一周更新一次等等。

需要说明的是，攻击者在蜜罐系统中的活动可以由蜜罐日志进行记录，由于蜜罐系统可以吸引或者迷惑更多的攻击者在其中进行攻击活动，因此相对于业务日志，蜜罐日志可以记录攻击者更多深入的攻击行为，进而帮助业务人员了解攻击者对业务的关注度和深度攻击手法，及攻击者意图窃取的关键业务数据。基于蜜罐日志分析出的攻击路径时间轴对业务系统中的访问行为进行态势感知分析，可以提升对业务系统中的攻击态势的感知发现能力。

由以上可知，本实施例所提供的方案中，搭建与业务系统中的服务相同的蜜罐系统，根据蜜罐系统中的蜜罐日志，确定蜜罐系统中的攻击行为的攻击路径时间轴，并建立攻击路径信息库以记录攻击路径时间轴。当业务系统中的访问行为的访问路径时间轴与攻击路径信息库中的攻击路径时间轴相匹配时，将该访问行为确定为攻击行为。与现有技术相比，本实施例利用了与业务系统相同的蜜罐系统，从蜜罐日志中能够获得足够多的数据来分析更多深入的攻击路径，并建立攻击路径信息库，因此本实施例的方案能够全面准确的感知攻击行为。

与上述的攻击行为确定方法相对应，本发明实施例还提供了一种攻击行为确定装置。

与图1所示的方法实施例相对应，图3为本发明实施例提供的一种攻击行为确定装置的结构示意图，该装置可以包括：

第一确定模块301，用于根据目标访问行为的访问路径节点以及所述目标访问行为在所述访问路径节点的访问触发时刻，确定所述目标访问行为的访问路径时间轴；

判断模块302，用于判断所述访问路径时间轴是否与预设的攻击路径信息库中记录的攻击路径时间轴匹配，其中，所述攻击路径时间轴为：根据攻击行为的攻击路径节点以及所述攻击行为在所述攻击路径节点的攻击触发时刻确定的；

第二确定模块303，用于在所述判断模块302判断出所述访问路径时间轴与预设的攻击路径信息库中记录的攻击路径时间轴匹配时，将所述目标访问行为确定为第一攻击行为。

具体的，所述目标访问行为可以存在于业务系统中。

在一种优选的实施方式中，如图4所示，在图3所示实施例的基础上，该攻击行为确定装置还可以包括：生成模块304，用于生成所述预设的攻击路径信息库。

下面通过具体实施例详细介绍前面涉及到的预设的攻击路径信息库。

与图2所示的方法实施例相对应，图5为本发明实施例提供的一种攻击路径信息库生成装置的结构示意图，该装置为生成模块304的一种具体装置，包括：

获取子模块3041，用于获取预设的蜜罐系统中的蜜罐日志；

确定子模块3042，用于确定所述蜜罐日志所对应的第二攻击行为的攻击路径时间轴；

生成子模块3043，用于根据所确定的攻击路径时间轴，生成所述预设的攻击路径信息库。

具体的，所述蜜罐系统可以为：根据所述业务系统中的服务搭建的。

具体的，所述确定子模块3042，可以包括：

第一确定单元(图中未示出)，用于根据预设的攻击行为特征，确定所述蜜罐日志所对应的第二攻击行为；

第二确定单元(图中未示出)，用于根据所述第二攻击行为的目标攻击路径节点以及所述第二攻击行为在所述目标攻击路径节点的目标攻击触发时刻，确定所述第二攻击行为的攻击路径时间轴。

具体的，所述第二确定单元，可以包括：

第一确定子单元(图中未示出)，用于根据所述蜜罐系统中的流量，确定所述第二攻击行为的目标攻击路径节点以及所述第二攻击行为在所述目标攻击路径节点的目标攻击触发时刻；

第二确定子单元(图中未示出)，用于根据所述目标攻击路径节点以及所述目标攻击触发时刻，确定所述第二攻击行为的攻击路径时间轴。

具体的，所述蜜罐日志可以为：

通过应用层替换bash记录的bash操作日志；和/或

通过内核模块补丁记录的键盘操作日志。

与上述的攻击行为确定方法、装置相对应，本发明实施例还提供了一种态势感知系统。

图6为本发明实施例提供的一种态势感知系统的结构示意图，该系统可以包括：态势感知分析平台601、业务系统602、蜜罐系统603，其中：

所述业务系统602，用于向所述态势感知分析平台601反馈自身的目标访问行为；

所述态势感知分析平台601，用于接收所述业务系统602反馈的目标访问行为；根据所述目标访问行为的访问路径节点以及所述目标访问行为在所述访问路径节点的访问触发时刻，确定所述目标访问行为的访问路径时间轴；判断所述访问路径时间轴是否与预设的攻击路径信息库中记录的攻击路径时间轴匹配，其中，所述攻击路径时间轴为：根据攻击行为的攻击路径节点以及所述攻击行为在所述攻击路径节点的攻击触发时刻确定的；如果是，将所述目标访问行为确定为第一攻击行为；

所述蜜罐系统603，用于向所述态势感知分析平台601反馈自身的蜜罐日志；

所述态势感知分析平台601，还用于接收所述蜜罐系统603反馈的蜜罐日志；确定所述蜜罐日志所对应的第二攻击行为的攻击路径时间轴；根据所确定的攻击路径时间轴，生成所述预设的攻击路径信息库。

具体的，所述蜜罐系统可以为：根据所述业务系统602中的服务搭建的。

可以理解的是，预设的攻击路径信息库也可以由蜜罐系统根据蜜罐日志按照上述方法生成并反馈给态势感知分析平台的，以使态势感知分析平台根据攻击路径信息库对业务系统的业务日志进行态势感知分析。

具体的，所述态势感知分析平台601，具体用于根据预设的攻击行为特征，确定所述蜜罐日志所对应的第二攻击行为；根据所述第二攻击行为的目标攻击路径节点以及所述第二攻击行为在所述目标攻击路径节点的目标访问触发时刻，确定所述第二攻击行为的攻击路径时间轴。

具体的，所述态势感知分析平台601，具体用于根据所述蜜罐系统中的流量，确定所述第二攻击行为的目标攻击路径节点以及所述第二攻击行为在所述目标攻击路径节点的目标攻击触发时刻；根据所述目标攻击路径节点以及所述目标攻击触发时刻，确定所述第二攻击行为的攻击路径时间轴。

具体的，所述蜜罐日志为：

通过应用层替换bash记录的bash操作日志；和/或

通过内核模块补丁记录的键盘操作日志。

图7为本发明实施例提供的另一种态势感知系统的结构示意图，在图6所示实施例的基础上，所述蜜罐系统603可以包括：

蜜罐控制服务器6031、日志服务器蜜罐6032、应用数据库蜜罐6033、应用服务器蜜罐6034；

其中，所述应用数据库蜜罐6033，用于提供数据库服务，生成针对数据库服务的日志，并向所述日志服务器蜜罐6032发送所生成的日志；

所述应用服务器蜜罐6034，用于提供应用服务，生成针对应用服务的日志，并向所述日志服务器蜜罐6032发送所生成的日志；

所述日志服务器蜜罐6032，用于接收并存储所述应用数据库蜜罐6033和所述应用服务器蜜罐6034发送的日志；

所述蜜罐控制服务器6031，用于获取所述日志服务器蜜罐6032中存储的蜜罐日志，并向所述态势感知分析平台601反馈所获取的蜜罐日志。

可以理解的，业务系统中可以是由应用数据库、应用服务器、日志服务器等组成，为了搭建与业务系统一致的蜜罐系统，在蜜罐系统中可以设置与业务系统相同的应用数据库蜜罐、应用服务器蜜罐、日志服务器蜜罐。另外，还可以在蜜罐系统中设置蜜罐控制服务器，来对各个日志服务器蜜罐、应用数据库蜜罐、应用服务器蜜罐进行统一管理和控制。

并且，在应用数据库蜜罐和应用服务器蜜罐可以设置可控数量和类型的安全漏洞，以便于攻击者能够较为容易地进入蜜罐系统访问其中的数据。

具体的，所述蜜罐控制服务器6031，用于对所述日志服务器蜜罐6032、应用数据库蜜罐6033、应用服务器蜜罐6034中的流量进行备份；并将备份的流量反馈给所述态势感知分析平台601；

所述态势感知分析平台601，具体用于根据备份的流量，确定所述第二攻击行为的攻击路径节点以及所述第二攻击行为在所述攻击路径节点的攻击触发时刻；根据所确定的所述第二攻击行为的攻击路径节点以及所述第二攻击行为在所述攻击路径节点的攻击触发时刻，确定所述第二攻击行为的攻击路径时间轴。

具体的，所述业务系统602，还用于对其中的业务数据进行脱密处理，并将脱密处理后的业务数据发送至所述应用数据库蜜罐6033；

所述应用数据库蜜罐6033，还用于接收并存储所述业务系统602发送的经过脱密处理的业务数据。

业务数据可以理解为业务系统中与用户有关的数据，例如用户的基本信息，用户的历史访问信息等。为保证蜜罐系统的真实性，可以将业务系统中的业务数据进行脱密处理并导入到应用数据库蜜罐中，达到既不泄露用户信息、又使蜜罐中的数据看起来合理、进而迷惑攻击者的目的，脱密处理是指对某些敏感信息进行数据的变形，实现敏感隐私数据的可靠保护。

具体的，所述业务系统602，还用于对其中的业务日志进行脱密处理，并将脱密处理后的业务数据发送至所述日志服务器蜜罐6034；

所述日志服务器蜜罐6034，还用于接收并存储所述业务系统602发送的经过脱密处理的业务日志。

可以理解的，为保证蜜罐系统真实性，还可以定期或实时将业务系统中的脱密处理过的业务日志导入到日志服务器蜜罐中，并定期对导入到的业务日志进行备份及删除操作，以保持蜜罐系统活跃性，使其更接近真实的业务系统，从而能够吸引攻击者进入蜜罐系统，并且不容易被攻击者发现自身进入的是蜜罐系统。

攻击者在蜜罐系统中的活动可以由蜜罐日志进行记录，由于蜜罐系统可以吸引或者迷惑更多的攻击者在其中进行攻击活动，因此相对于业务日志，蜜罐日志可以记录攻击者更多深入的攻击行为，进而帮助业务人员了解攻击者对业务的关注度和深度攻击手法，及攻击者意图窃取的关键业务数据。

下面以一个具体实施例对本发明实施例提供的态势感知系统进行详细说明。

如图8所示的基于蜜罐的态势感知系统的示意图。将关键业务组成业务系统，包括业务系统的应用服务器、业务系统的数据库服务器、业务系统的日志服务器，业务系统在图8中未示出。搭建与业务系统一致的蜜罐系统，蜜罐系统包括：与业务系统的应用服务器相对应的应用服务器蜜罐(即蜜罐B)、与业务系统的数据库服务器相对应的应用数据库蜜罐(即蜜罐A)、与业务系统的日志服务器相对应的日志服务器蜜罐，以及用于对各个日志服务器蜜罐、应用数据库蜜罐、应用服务器蜜罐进行统一管理和控制的蜜罐控制服务器。

其中，蜜罐A所模拟的是应用数据库，可在蜜罐A中设置可控数量和类型的安全漏洞，蜜罐B所模拟的是应用服务，同样可在蜜罐B中设置可控数量和类型的安全漏洞，以便于攻击者能够较为容易地进入对应的蜜罐访问其中的数据。

日志服务器蜜罐用于存储蜜罐A中的数据库日志和蜜罐B中的登录日志。当攻击者攻击蜜罐B时，蜜罐B可以以日志的形式记录攻击者的攻击行为，并将日志传输给日志服务器蜜罐；当攻击者攻击蜜罐A时，蜜罐A同样可以以日志的形式记录攻击者的攻击行为，并将日志传输给日志服务器蜜罐。

蜜罐控制服务器可以获取日志服务器蜜罐中存储的蜜罐日志，并向态势感知分析平台反馈所获取的蜜罐日志。同样的，业务系统也可以将自身的业务日志反馈给态势感知分析系统。

态势感知分析系统根据蜜罐日志分析出其中的攻击行为，建立每个攻击行为对应的攻击路径时间轴，并组成攻击路径信息库；将攻击路径信息库中的攻击路径时间轴作为特征因子，对业务日志进行态势感知分析，确定出业务日志中的攻击行为。使用蜜罐系统中的蜜罐日志对业务系统中业务日志进行态势感知分析，可以提高态势感知分析系统对业务系统中的攻击行为的发现能力。

为保证蜜罐系统的真实性，可以将真实的业务数据经过脱密处理后存储在模拟业务系统应用数据库服务器的蜜罐A中。在日志服务器蜜罐也需要定期输入真实的脱密实际业务应用日志，并定期对业务日志进行备份及删除操作。

为保证蜜罐日志的可记录性，可以通过应用层替换bash记录攻击者的bash操作日志，以及通过内核模块补丁(ttyrpld)进行键盘记录，避免由于应用层记录导致的缺失。还可以对蜜罐系统的流量进行旁路备份，存储蜜罐系统中流量，用于分析攻击行为的攻击路径时间轴。

由以上可知，本具体实施例中，在态势感知系统中搭建与业务系统的服务相同的蜜罐系统，根据蜜罐系统中的蜜罐日志，确定蜜罐系统中的攻击行为的攻击路径时间轴，并建立攻击路径信息库以记录攻击路径时间轴。可见，本具体实施例利用了与业务系统相同的蜜罐系统，从蜜罐日志中能够获得足够多的数据来分析更多深入的攻击路径，并建立攻击路径信息库，因此本具体实施例的方案能够全面准确的感知攻击行为。

需要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。

本说明书中的各个实施例均采用相关的方式描述，各个实施例之间相同相似的部分互相参见即可，每个实施例重点说明的都是与其他实施例的不同之处。尤其，对于装置和系统实施例而言，由于其基本相似于方法实施例，所以描述的比较简单，相关之处参见方法实施例的部分说明即可。

以上所述仅为本发明的较佳实施例而已，并非用于限定本发明的保护范围。凡在本发明的精神和原则之内所作的任何修改、等同替换、改进等，均包含在本发明的保护范围内。

完整全部详细技术资料下载

当前第1页1 2 3

该技术已申请专利。仅供学习研究，如用于商业用途，请联系技术所有人。
技术研发人员：邱雁杰
技术所有人：北京金山云网络技术有限公司;北京金山云科技有限公司
我是此专利的发明人

上一篇：一种对业务系统授权的方法及装置与流程
上一篇：一种接口通信方法及终端与流程

该领域下的技术专家
如您需求助技术专家，请点此查看客服电话进行咨询。
1、王老师：1.数字信号处理 2.传感器技术及应用 3.机电一体化产品开发 4.机械工程测试技术 5.逆向工程技术研究
2、王老师：1.机器人 2.嵌入式控制系统开发
3、孙老师：1.振动信号时频分析理论与测试系统设计 2.汽车检测系统设计 3.汽车电子控制系统设计
4、毕老师：机构动力学与控制
5、袁老师：1.计算机视觉 2.无线网络及物联网
如您是高校老师，可以点此联系我们加入专家库。