一种提升蜜罐系统告警输出精准性的方法及系统与流程

本发明涉及网络技术与安全技术领域，尤其涉及一种提升蜜罐系统告警输出精准性的方法及系统。

背景技术：

蜜罐系统是指有目的被部署，以用于由恶意软件探测、攻击和盗用，以便发现、识别和特征化这种软件的系统；随着互联网技术的发展，网络扫描、蠕虫与病毒代码的传播以及黑客恶意攻击等使得网络上每台主机随时都可能面临危险，而蜜罐以及蜜罐系统的提出正是为了主动出击研究这位安全威胁而产生，通过收集网络上的攻击活动信息来对这些攻击活动进行监视、检测和分析。

现有技术中蜜罐技术种类繁多，但总体上大多是采用被动侦听和诱惑攻击的方式实现，由于在云资源系统环境中安全事件发现能力差，常用安全设备误报警率高，使得蜜罐系统将大量无关业务行为和正常业务行为也作为告警进行输出，基于特征和智能分析的蜜罐系统无法排除大量业务正常访问而触发的误告警情况，进而导致蜜罐系统告警输出的精准性低，需要人工干预的程度高，发生安全事件后无法快速匹配信息和快速处置。

技术实现要素：

根据现有技术中存在的上述问题，现提供一种提升蜜罐系统告警输出精准性的方法及系统，通过将蜜罐系统输出的安全告警事件分别与多源安全数据进行匹配，以破除各网络安全设备之间信息孤岛，实现信息联动，提高蜜罐系统告警输出的精准性，避免网络安全事件响应处置中的不必要的人力资源浪费，提高安全事件的快速处置能力。

上述技术方案具体包括：

一种提升蜜罐系统告警输出精准性的方法，其中，提供一云资源系统，所述云资源系统中包括多个安全日志采集源，所述云资源系统还部署有一蜜罐系统，所述方法进一步包括：

步骤s1，于所述多个安全日志采集源中提取安全事件日志，并提取所述安全事件日志中记录的第一安全告警事件；

步骤s2，根据所述安全事件日志对所述第一安全告警事件添加特征标签，所述特征标签包括时序特征标签，ip地址特征标签和攻击类型特征标签；

步骤s3，提取所述蜜罐系统采集的攻击日志数据，并提取所述攻击日志数据中的第二安全告警事件；

步骤s4，根据所述时序特征标签判断所述第二安全告警事件发生的时间节点附近是否存在相应的所述第一安全告警事件：

若存在，则转向步骤s5；

若不存在，则退出；

步骤s5，根据所述ip地址特征标签判断所述第二安全告警事件发生的ip地址对应的水平方向ip地址空间是否存在相应的所述第一安全告警事件：

若存在，则转向步骤s6；

若不存在，则退出；

步骤s6，根据所述攻击类型特征标签判断是否存在与所述第二安全告警事件攻击类型相同的所述第一安全告警事件：

若存在，则转向步骤s7；

若不存在，则退出；

步骤s7，采集所述云资源系统中各个应用程序与ip地址之间对应关系，并根据所述对应关系为所述第二告警事件添加详细的业务描述和全面基础信息，随后作为所述蜜罐系统告警进行输出。

优选地，其中，所述多个安全日志采集源包括一业务系统和至少一个网络安全设备，所述安全事件日志包括从所述网络安全设备中采集的网络安全日志和从所述业务系统中采集的操作系统日志。

优选地，其中，所述第一安全告警事件包括从所述网络安全日志中提取的攻击告警内容，以及从所述操作系统日志提取的攻击与异常登录尝试内容。

优选地，其中，所述网络安全日志为ips、和/或ids、和/或waf、和/或fw安全防护设备日志。

优选地，其中，所述蜜罐系统由多个蜜罐节点组成，所述蜜罐节点通过虚拟机的方式部署于所述业务系统中。

一种蜜罐系统告警输出系统，其中，提供一云资源系统，所述云资源系统中包括多个安全日志采集源，所述云资源系统还部署有一蜜罐系统，所述告警输出系统进一步包括：

第一提取模块，连接所述多个安全日志采集源，用以于所述多个安全日志采集源中提取安全事件日志，并提取所述安全事件日志中记录的第一安全告警事件；

标记模块，连接所述第一提取模块，用于根据所述安全事件日志对所述第一安全告警事件添加特征标签，所述特征标签包括时序特征标签，ip地址特征标签和攻击类型特征标签；

第二提取模块，连接所述蜜罐系统，用于提取所述蜜罐系统采集的攻击日志数据，并提取所述攻击日志数据中的第二安全告警事件；

匹配模块，连接所述第二提取模块和所述标记模块，用以于所述第二安全告警事件发生的时间节点附近存在相应的所述第一安全告警事件，且所述第二安全告警事件发生的ip地址对应的水平方向ip地址空间存在相应的所述第一安全告警事件，且存在与所述第二安全告警事件攻击类型相同的所述第一安全告警事件时，将所述第二安全告警事件输出为第一匹配数据。

采集模块，连接所述云资源系统，用于采集所述云资源系统中各个应用程序与ip地址之间对应关系；

输出模块，连接所述匹配模块和所述采集模块，用于根据所述对应关系为所述第一匹配数据添加详细的业务描述和全面基础信息，随后作为所述蜜罐系统告警进行输出。

优选地，其中，所述多个安全日志采集源包括一业务系统和至少一个网络安全设备，所述安全事件日志包括从所述网络安全设备中采集的网络安全日志和从所述业务系统中采集的操作系统日志。

优选地，其中，所述第一安全告警事件包括从所述网络安全日志中提取的攻击告警内容，以及从所述操作系统日志提取的攻击与异常登录尝试内容。

优选地，其中，所述网络安全日志为ips、和/或ids、和/或waf、和/或fw安全防护设备日志。

优选地，其中，所述蜜罐系统由多个蜜罐节点组成，所述蜜罐节点通过虚拟机的方式部署于所述业务系统中。

上述技术方案的有益效果在于：

提供一种提升蜜罐系统告警输出精准性的方法及系统，通过将蜜罐系统输出的安全告警事件分别与多源安全数据进行匹配，以破除各网络安全设备之间信息孤岛，实现信息联动，提高蜜罐系统告警输出的精准性，避免网络安全事件响应处置中的不必要的人力资源浪费，提高安全事件的快速处置能力。

附图说明

图1是本发明的较佳实施例中，一种提升蜜罐系统告警输出精准性的方法的步骤流程示意图；

图2是本发明的较佳实施例中，一种蜜罐系统告警输出系统的结构示意图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动的前提下所获得的所有其他实施例，都属于本发明保护的范围。

需要说明的是，在不冲突的情况下，本发明中的实施例及实施例中的特征可以相互组合。

下面结合附图和具体实施例对本发明作进一步说明，但不作为本发明的限定。

一种提升蜜罐系统告警输出精准性的方法，其中，提供一云资源系统，云资源系统中包括多个安全日志采集源，云资源系统还部署有一蜜罐系统，方法进一步包括：

步骤s1，于多个安全日志采集源中提取安全事件日志，并提取安全事件日志中记录的第一安全告警事件；

步骤s2，根据安全事件日志对第一安全告警事件添加特征标签，特征标签包括时序特征标签，ip地址特征标签和攻击类型特征标签；

步骤s3，提取蜜罐系统采集的攻击日志数据，并提取攻击日志数据中的第二安全告警事件；

步骤s4，根据时序特征标签判断第二安全告警事件发生的时间节点附近是否存在相应的第一安全告警事件：

若存在，则转向步骤s5；

若不存在，则退出；

步骤s5，根据ip地址特征标签判断第二安全告警事件发生的ip地址对应的水平方向ip地址空间是否存在相应的第一安全告警事件：

若存在，则转向步骤s6；

若不存在，则退出；

步骤s6，根据攻击类型特征标签判断是否存在与第二安全告警事件攻击类型相同的第一安全告警事件：

若存在，则转向步骤s7；

若不存在，则退出；

步骤s7，采集云资源系统中各个应用程序与ip地址之间对应关系，并根据对应关系为第二告警事件添加详细的业务描述和全面基础信息，随后作为蜜罐系统告警进行输出。

作为优选的实施方式，根据时间和空间的定义，依据采集的日志数据中记录的内容为安全告警事件、攻击告警内容以及攻击与异常登陆尝试内容均打上时序特征标签，其中时序特征标签用来表示上述各个时间发生的具体时间；根据时序特征标签进行时间序列的匹配，具体的，通过判断蜜罐系统采集的安全告警事件发生的时间节点前后，是否存在其他数据源的安全告警提示内容，即是否存在网络安全设备采集的攻击告警内容或者业务系统采集的攻击与异常登录常识内容，如果存在，则表示时间序列的匹配成功。

随后，根据采集的日志数据中记录的内容为安全告警事件、攻击告警内容以及攻击与异常登陆尝试内容分别打上ip地址特征标签，其中ip地址特征标签用于表示攻击所指向的ip地址；根据ip地址特征标签进行地址空间的匹配，具体的，通过判断蜜罐系统采集的安全告警事件发生的节点处，其水平方向ip地址空间是否存在近似攻击行为来，如果存在，则表示地址空间匹配成功。最后，对前两项匹配均通过的安全告警事件进行攻击类型的匹配，首先根据采集的日志数据中记录的内容为安全告警事件、攻击告警内容以及攻击与异常登陆尝试内容分别打上攻击类型特征标签，然后根据安全告警事件发生的网络报文特征判断是否有第二源数据的告警可以匹配佐证。

在本发明的较佳实施例中，网络安全日志为ips、和/或ids、和/或waf、和/或fw安全防护设备日志。

具体的，在本实施例中，云资源系统中的云资源池环境对安全事件发现能力较差，很多常用的安全设备的误报警率高，云资源池环境中采用蜜罐方式实现安全态势感知时，基于特征和智能分析的蜜罐系统无法排除大量正常业务访问带来的误触发告警情况，进而造成入侵响应系统不计成本的进行响应，本发明中运用网络安全事件数据聚合及信息安全技术有关理论,提出了一种蜜罐系统中基于多源数据匹配提升精准命中的方法，该方法可以提高蜜罐系统告警输出的精准性，避免网络安全事件响应处置中不必要的人力资源浪费，实现信息保护和资源可用之间的平衡。本发明将蜜罐系统中的安全告警事件通过多源数据匹配的方式来降低误报警率，多源数据主要包括三个部分，第一源数据通常选择来自网络出口的ips、ids、waf、fw等网络安全防护设备的安全日志，在一个具体实施例中，可以通过后台日志服务器将重要及以上等级的攻击告警内容进行收敛汇总。

在发明的较佳实施例中，第一安全告警事件包括从网络安全日志中提取的攻击告警内容，以及从操作系统日志提取的攻击与异常登录尝试内容。

在本发明的一个具体实施例中，通过一日志文本聚合检索平台，来采集对接业务系统中非蜜罐节点设备的主机安全日志，同时采集对接ips、ids、waf、fw等网络安全防护设备的安全日志，进而进行多源日志聚类聚合处理，聚合安全事件和归纳时序特征。日志文本聚合检索平台使用开源elasticstack架构。以机器学习统计算法和大数据运算技术，实现多源安全事件的特征标签和特征升维。利用hadoop/spark大数据运算技术，完成基于用户标签组的安全事件数据联动匹配，建设和对接态势感知系统、运维数据库系统、可视化系统，实现数据价值。具体的，在本实施例中，通过面向目前最为通用的云资源池组网环境，可以应用于目前绝大部分云环境中，且多源数据也可覆盖主流安全设备和操作系统，具备很强的推广能力和落地条件。

在本发明的较佳实施例中，蜜罐系统由多个蜜罐节点组成，蜜罐节点通过虚拟机的方式部署于业务系统中。

在本发明的一个具体实施例中，蜜罐系统通过虚拟机的方式部署在业务系统中，通过对蜜罐系统所在虚拟机的操作系统日志进行实时采集，并筛选得到其中包含攻击和异常登陆尝试内容的日志作为第二源数据。第三源数据为云资源系统中，ip地址与应用程序之间的匹配关系。通过将蜜罐系统采集的疑似攻击日志数据分别与第一源数据和第二源数据进行匹配，随后再对匹配成功的安全告警事件与第三源数据进行联动，以形成具有详细业务描述，全面基础信息和误报警率极低的蜜罐系统告警。

一种蜜罐系统告警输出系统，其中，提供一云资源系统，云资源系统中包括多个安全日志采集源，云资源系统还部署有一蜜罐系统，告警输出系统进一步包括：

第一提取模块1，连接多个安全日志采集源，用以于多个安全日志采集源中提取安全事件日志，并提取安全事件日志中记录的第一安全告警事件；

标记模块2，连接第一提取模块1，用于根据安全事件日志对第一安全告警事件添加特征标签，特征标签包括时序特征标签，ip地址特征标签和攻击类型特征标签；

第二提取模块3，连接蜜罐系统，用于提取蜜罐系统采集的攻击日志数据，并提取攻击日志数据中的第二安全告警事件；

匹配模块4，连接第二提取模块3和标记模块2，用以于第二安全告警事件发生的时间节点附近存在相应的第一安全告警事件，且第二安全告警事件发生的ip地址对应的水平方向ip地址空间存在相应的第一安全告警事件，且存在与第二安全告警事件攻击类型相同的第一安全告警事件时，将第二安全告警事件输出为第一匹配数据。

采集模块5，连接云资源系统，用于采集云资源系统中各个应用程序与ip地址之间对应关系；

输出模块6，连接匹配模块4和采集模块5，用于根据对应关系为第一匹配数据添加详细的业务描述和全面基础信息，随后作为蜜罐系统告警进行输出。

在本发明的较佳实施例中，多个安全日志采集源包括一业务系统和至少一个网络安全设备，安全事件日志包括从网络安全设备中采集的网络安全日志和从业务系统中采集的操作系统日志。

在本发明的较佳实施例中，第一安全告警事件包括从网络安全日志中提取的攻击告警内容，以及从操作系统日志提取的攻击与异常登录尝试内容。

在本发明的较佳实施例中，网络安全日志为ips、和/或ids、和/或waf、和/或fw安全防护设备日志。

在本发明的较佳实施例中，蜜罐系统由多个蜜罐节点组成，蜜罐节点通过虚拟机的方式部署于业务系统中。

上述技术方案的有益效果在于：

提供一种提升蜜罐系统告警输出精准性的方法及系统，通过将蜜罐系统输出的安全告警事件分别与多源安全数据进行匹配，以破除各网络安全设备之间信息孤岛，实现信息联动，提高蜜罐系统告警输出的精准性，避免网络安全事件响应处置中的不必要的人力资源浪费，提高安全事件的快速处置能力。

以上所述仅为本发明较佳的实施例，并非因此限制本发明的实施方式及保护范围，对于本领域技术人员而言，应当能够意识到凡运用本发明说明书及图示内容所作出的等同替换和显而易见的变化所得到的方案，均应当包含在本发明的保护范围内。