基于攻击行为分析的动态联防机制实现系统及方法与流程

本发明属于网络安全技术领域，更具体地说，尤其涉及基于攻击行为分析的动态联防机制实现系统及方法。

背景技术：

随着计算机网络规模的不断扩大以及新的应用不断涌现,威胁网络安全的潜在危险性也在增加,使得网络安全问题日趋复杂。对网络系统及其数据安全的挑战也随之增加。网络在使通信和信息的共享变得更为容易的同时,其自身也更多地被暴露在危险之中。

网络安全问题已成为信息时代人类共同面临的挑战，国内的网络安全问题也日益突出。具体表现为：计算机系统受病毒感染和破坏的情况相当严重；电脑黑客活动已形成重要威胁；信息基础设施面临网络安全的挑战；信息系统在预测、反应、防范和恢复能力方面存在许多薄弱环节。

在应对攻击者的过程中，之前由于技术所限，往往是被动僵硬的等待攻击者触碰网络安全设备并报警，难以持续有效的应对攻击者在攻击过程中的变化。当前，需要能够实时动态分析攻击者的行为特征，并作出动态联合防御的技术方法，以达到能够有针对性的应对攻击者的目的。

在现有技术中，防御机制难以根据攻击者在攻击过程中所展示出的行为特征进行动态调整和相应，难以形成有针对性的防御体系，其存在明显的缺陷：

1、攻击者在攻击过程中往往会根据当前的环境和自身的目的做出多次变化，其攻击方式和攻击手法都会有所改变，但是现有的防御体系难以有效察觉这种变化；

2、由于无法精准识别攻击者的变化，就更难以对现有防御体系做出调整，难以有针对性的防御攻击者。

计算机网络是一个开放和自由的空间，它在大大增强信息服务灵活性的同时，也带来了众多安全隐患，黑客和反黑客、破坏和反破坏的斗争愈演愈烈，不仅影响了网络稳定运行和用户的正常使用，造成重大经济损失，而且还可能威胁到国家安全。如何更有效地保护重要的信息数据、提高计算机网络系统的安全性已经成为影响一个国家的政治、经济、军事和人民生活的重大关键问题。

因而，市场需求一种新的基于攻击行为分析的动态联防机制实现系统，以解决对攻击者的行为进行精准识别和有效分析，并动态调整防御体系的技术问题。

技术实现要素：

针对现有技术存在的不足，本发明的目的在于提供基于攻击行为分析的动态联防机制实现系统及方法。

为实现上述目的，本发明提供了如下技术方案：

基于攻击行为分析的动态联防机制实现系统，包括蜜罐部署模块、攻击行为分析模块、威胁情报生成模块、威胁情报联动模块以及蜜罐环境，在蜜罐环境中设置有攻击者识别模块以及攻击行为获取模块；

所述的蜜罐部署模块将信号发送于蜜罐环境，所述的攻击者识别模块将信号发送于威胁情报生成模块，所述的攻击行为获取模块将信号发送于攻击行为分析模块，所述的攻击行为分析模块将信号发送于威胁情报生成模块，所述的威胁情报生成模块将信号发送于威胁情报联动模块。

作为优选，所述的蜜罐部署模块替换为蜜网部署模块，所述的蜜罐环境替换为蜜网环境。

作为优选，所述的威胁情报联动模块线路连接于外部的安全防护设备。

以上所述的基于攻击行为分析的动态联防机制实现方法，包括如下步骤：

步骤一：初始化系统；

步骤二：设置蜜罐或蜜网环境；

步骤三：实时精准识别攻击者；

步骤四：分析攻击行为；

步骤五：形成通用威胁情报数据；

步骤六：与其他安全设备联动；

步骤七：判断是否已清除攻击者；

步骤八：未清除攻击者，返回步骤二，继续设置蜜罐或蜜网环境；

步骤九：已清除攻击者，结束。

作为优选，所述步骤三中实时精准识别攻击者包括攻击时间、攻击者所在位置以及攻击行为。

本发明提供基于攻击行为分析的动态联防机制实现系统及方法，具有如下的有益效果：

本发明的基于攻击行为分析的动态联防机制实现系统的结构设置合理稳定，精准识别攻击者，攻击者行为特征实时分析，动态协同联防机制；同时，基于攻击行为分析的动态联防机制实现方法简单，解决了对攻击者的行为进行精准识别和有效分析，并动态调整防御体系的技术问题，容易规模推广使用。

附图说明

图1为发明实施例1中结构示意图；

图2为发明实施例2中结构正视图；

图3为发明实施例3中方法流程示意图。

附图标记说明：1、蜜罐部署模块；2、蜜网部署模块；3、攻击行为分析模块；4、威胁情报生成模块；5、威胁情报联动模块；6、蜜罐环境；7、蜜网环境；101、攻击者识别模块；102、攻击行为获取模块。

具体实施方式

下面结合实施例，对本发明的具体实施方式作进一步详细描述。以下实施例用于说明本发明，但不用来限制本发明的范围。

实施例1

参见图1，基于攻击行为分析的动态联防机制实现系统，包括蜜罐部署模块1、攻击行为分析模块3、威胁情报生成模块4、威胁情报联动模块5以及蜜罐环境6，在蜜罐环境6中设置有攻击者识别模块101以及攻击行为获取模块102；

所述的蜜罐部署模块1将信号发送于蜜罐环境6，所述的攻击者识别模块101将信号发送于威胁情报生成模块4，所述的攻击行为获取模块102将信号发送于攻击行为分析模块3，所述的攻击行为分析模块3将信号发送于威胁情报生成模块4，所述的威胁情报生成模块4将信号发送于威胁情报联动模块5。

在本实施例中，所述的威胁情报联动模块5线路连接于外部的安全防护设备。

实施例2

参见图2，基于攻击行为分析的动态联防机制实现系统，包括蜜网部署模块2、攻击行为分析模块3、威胁情报生成模块4、威胁情报联动模块5以及蜜网环境7，在蜜网环境7中设置有攻击者识别模块101以及攻击行为获取模块102；

所述的蜜网部署模块2将信号发送于蜜网环境7，所述的攻击者识别模块101将信号发送于威胁情报生成模块4，所述的攻击行为获取模块102将信号发送于攻击行为分析模块3，所述的攻击行为分析模块3将信号发送于威胁情报生成模块4，所述的威胁情报生成模块4将信号发送于威胁情报联动模块5。

在本实施例中，所述的威胁情报联动模块5线路连接于外部的安全防护设备。

实施例3

本实施例中的基于攻击行为分析的动态联防机制实现系统与实施例1及实施例2中的结构相同。

参见图1至图3，在本较佳实施例中，以上所述的基于攻击行为分析的动态联防机制实现方法，包括如下步骤：

步骤一：初始化系统；

步骤二：设置蜜罐或蜜网环境7；

步骤三：实时精准识别攻击者；

步骤四：分析攻击行为；

步骤五：形成通用威胁情报数据；

步骤六：与其他安全设备联动；

步骤七：判断是否已清除攻击者；

步骤八：未清除攻击者，返回步骤二，继续设置蜜罐或蜜网环境7；

步骤九：已清除攻击者，结束。

在本实施例中，所述步骤三中实时精准识别攻击者包括攻击时间、攻击者所在位置以及攻击行为。

工作原理：在本方法中，使用蜜罐或蜜网来精准识别攻击者，并获取大量攻击者的攻击行为，通过行为分析，识别攻击者的攻击特点及变化情况，通过协同机制，与其他网络安全设备联动，以达到动态、全面防御攻击者的目的。

具体的技术内容如下：

1、利用蜜罐或蜜网精准识别攻击者，动态、实时获取攻击者的攻击时间、攻击来源ip、攻击特征等大量价值信息，并通过攻击行为分析形成通用的威胁情报信息；

2、通过通用的威胁情报信息与其他网络安全设备及时联动，根据攻击者的时间、位置、特征等进行动态调整。

本发明的基于攻击行为分析的动态联防机制实现系统的结构设置合理稳定，精准识别攻击者，攻击者行为特征实时分析，动态协同联防机制；同时，基于攻击行为分析的动态联防机制实现方法简单，解决了对攻击者的行为进行精准识别和有效分析，并动态调整防御体系的技术问题，容易规模推广使用。

以上所述，仅为本发明的具体实施方式，但本发明的保护范围并不局限于此，任何不经过创造性劳动想到的变化或替换，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应该以权利要求书所限定的保护范围为准。