一种基于蜜网的协同式主动防御方法
【专利摘要】本发明涉及一种基于蜜网的协同式主动防御方法,包括以下步骤:数据预处理、关联度分析、威胁度分析、脆弱度分析和黑名单生成。本发明以分布在不同子网中的分布式蜜网遭受到的攻击者信息为数据源,采用协同式防御思想,通过对不同子网与攻击者之间的关联度分析、威胁度分析和脆弱度分析,最终基于融合分析为每个子网预测出个性化的最有可能攻击该子网的攻击者名单,即高预测性黑名单。本发明不仅具有很高的防御率、命中率、实时性和预测性,可以达到很低的漏防率和误防率;而且,由于采用蜜网捕获攻击者信息,无需普通用户上报恶意攻击者,不会对普通用户的正常通信造成影响,更不会侵犯用户的隐私。
【专利说明】一种基于蜜网的协同式主动防御方法【技术领域】[0001]本发明涉及计算机网络安全领域,尤其涉及一种基于蜜网的协同式主动防御方 法。【背景技术】[0002]随着互联网的发展,网络安全面临着越来越严重的威胁。传统的基于行为特征的 被动防御方法已经难以保护网络的安全。实际应用中的入侵检测模型仅能处理一种特殊的 审计数据源,更新费用较高,速度也较慢,故基于蜜网(honeynet)的防火墙技术将成为了 解决网络安全威胁的一种全新的更加自动和高效的方法。[0003]蜜罐(honeypot)是一种安全资源,其价值在于被扫描、攻击和攻陷。所有流入、流 出蜜罐的网络流量都可能预示了扫描、攻击和攻陷。蜜网构成了一个黑客诱捕网络体系架 构,包含一个或多个蜜罐,同时保证了网络的高度可控性,以及提供多种工具以方便对攻击 信息的采集和分析。利用蜜网可以有效的改变防御者与攻击源之间的信息不对称。目前, 高交互蜜网主要用于数据的攻击数据的提取、分析和研究,主要是通过大量人工分析蜜网 提取到的数据,得出攻击源使用的攻击策略、攻击代码和攻击位置等等,虽然最终可以达到 防御的目的,但是往往具有滞后性,主要体现了蜜网的研究价值,但很难作为一个功能化的女口广叩ο[0004]为了实现主动防御,防火墙或者带有防火墙功能的路由器是必不可少的。防火墙 技术的主要功能是对受保护网络的非法访问进行控制,它通过监视、限制、更改网络的数据 流,一方面尽可能屏蔽内部网的拓扑结构,另一方面对内屏蔽外部危险站点,用以防范外对 内、内对外的非法访问。[0005]目前,利用黑名单进行防御是主要的包过滤防火墙或者状态检测防火墙的防御策 略,而防御效果取决于从蜜网或者用户网中获取的攻击信息中生成黑名单的方法。信息融 合下黑名单的生成方法主要有:[0006]GffOL(Global Worst Offender List):全局最坏攻击源名单。在综合运算服务器 中对所有子网的所遭遇的攻击源根据威胁程度进行排序,对于所有子网,都按照这个顺序 取前几位作为黑名单。[0007]LffOL(Local Worst Offender List):本地最坏攻击源名单。根据每个子网的被攻 击情况,将其所遭遇的攻击源根据威胁程度进行排序,为每个子网生成特定的黑名单。[0008]但两种机制各有优缺点。对于GW0L,尽管它为每个子网防御了那些最具威胁的攻 击源,但可能有些攻击源选择攻击都有较强的目的性,即只会攻击特定的一些子网,所以可 能造成的情况是子网黑名单中所防御的攻击源也许根本不会来攻击他,而这些攻击源又占 据了黑名单,以至于真正该防御的攻击源没有得到防御。而对于LW0L,尽管它弥补了 GWOL 的上述缺点,但由于其只能根据已受攻击的情况列举黑名单,所以不能达到对攻击的预测, 无法主动防御。
【发明内容】
[0009]针对现有技术的不足,本发明提出一种基于蜜网的协同防御方法。它依托于蜜网技术,采用协同式防御思想,能够实现网络层的主动防御,主要适用于大规模的企业网。
[0010]为实现以上发明目的,本发明的技术方案为:
[0011]一种具有高可预测性的黑名单生成方法,其特征在于,包括以下步骤:
[0012]步骤1:数据预处理
[0013]对捕获到的数据包的包头进行解析,从中提取攻击事件属性五元组,所述攻击事件属性五元组为攻击源IP、受害子网网络地址、受害端口、攻击持续时间和数据包累计大小;
[0014]步骤2:关联度分析
[0015]首先利用攻击源对受害子网的攻击关系图G = (V,E)计算各受害子网之间的关联矩阵W,其中V = {vl,v2,...,VlOI,即攻击关系图中的每个节点,代表每个子网,E是由节
mii mi}
点对组成的集合,矩阵W的矩阵元素Wtf代表子网Vi和子网Vj的相似程度,其中,
mi为子网vi被攻击的次数,mj为子网vj被攻击的次数,mij为vi和vj被相同的攻击源s攻击的次数;
[0016]然后计算每个攻击源与各受害子网的关联程度,计算公式如下:
[0017]
【权利要求】
1.一种具有高可预测性的黑名单生成方法,其特征在于,包括以下步骤: 步骤1:数据预处理 对捕获到的数据包的包头进行解析,从中提取攻击事件属性五元组,所述攻击事件属性五元组为攻击源IP、受害子网网络地址、受害端口、攻击持续时间和数据包累计大小;步骤2:关联度分析 首先利用攻击源对受害子网的攻击关系图G= (V,E)计算各受害子网之间的关联矩阵W,其中V= Iv1, v2,...,vk},即攻击关系图中的每个节点,代表每个子网,k为受害子网的
数目,E是由节点对组成的集合,矩阵W的矩阵元素
2.根据权利要求1所述的步骤,所述步骤5具体为: 对每个子网,从其候选名单中去除本子网内部的攻击主机; 对每个子网,根据各个攻击源与其的关联程度从大到小排序后取前c*Ls个攻击源,其中,Ls称为理想黑名单长度,c为初次截取因子; 对这前c*Ls个攻击源,综合考虑其威胁度,进行重新排序; 利用子网脆弱度为每一子网V确定各自的黑名单长度L(V); 最后,对于每个子网V,根据所述黑名单长度L(V),从与该子网对应的、经重新排序后的攻击源中选择前L(V)个攻击源,由此生成该子网的黑名单。
3.根据权利要求2所述的方法,其特征在于,所述进行重新排序的步骤具体为: 设攻击源S在子网V中的序数为k(V,S),通过下式对序数进行修正:
F (v, s) = k (v, s) - a XLsXF (s) 其中,F(V,s)表示攻击源s对子网V的威胁程度,F(S)表示攻击源s的威胁程度,α> O,称为威胁权重系数,反映了威胁程度相对于关联程度对最终结果的权重,对于每个受害子网,将攻击源按照F(v,s)的取值大小,从小到大重新排序。
4.如权利要求2所述的方法,其特征在于,所述利用子网脆弱度为每一子网V确定各自的黑名单长度L(V)的步骤具体为:采用最小-最大规范化制定脆弱度相关的黑名单长度:
5.如权利要求4所述的方法,其特征在于,采用下式确定最长黑名单长度和最短黑名单长度:Lmax = round(L(I 十 δ ))Lmin = round(L(1-δ ))上式中δ为黑名单伸缩因子,O < δ <1。
【文档编号】H04L29/06GK103561003SQ201310500442
【公开日】2014年2月5日 申请日期:2013年10月22日 优先权日:2013年10月22日
【发明者】陶敬, 田决, 马小博, 李剑锋, 韩婷, 邹孙颖, 胡文君 申请人:西安交通大学