一种主动防御方法和系统与流程

本发明涉及网络攻击，具体而言，涉及一种主动防御方法和系统。

背景技术：

1、随着网络的广泛普及和各种计算机技术的快速发展，网络空间作为除陆、海、空、天外的“第五空间”而被受到高度重视。现有的防火墙、入侵检测系统等传统的防御技术由于静态、被动、滞后的局限性，无法抵御越来越自动化、多样化和智能化的攻击方式，因此蜜罐作为一种主动防御技术重新回到安全专家的视野中。蜜罐通过欺骗、诱捕攻击者，捕获攻击数据和生产威胁情报，保护正常生产系统的安全。现有的蜜罐依靠对攻击流量的识别，将针对不同服务的攻击流量重定向到对应的蜜罐中以希望智能地捕获到不同类型的攻击行为，虽然现有蜜罐使用了docker构建高交互蜜罐能与业务系统联系更为紧密，但蜜罐始终不是真实的业务系统，并且现有的蜜罐、蜜网体系大多采用静态的部署方法，难以随着攻击手段的变化而动态响应，很容易被经验丰富的攻击者识别。

2、有鉴于此，本发明提供了一种主动防御方法和系统，针对现有技术无法应付攻击手段多变的攻击者，蜜罐容易被攻击者识别造成蜜罐可用性降低的问题，提出使用可信度推理的c-f模型降低攻击者识别的概率，并结合q-learning对蜜罐的请求顺序进行优化来提高系统整体的健壮性和欺骗性。

技术实现思路

1、本发明的目的在于提供一种主动防御方法，包括：接收攻击者的请求，并生成攻击流量；基于所述攻击流量和映射列表，判断所述攻击者是否为历史攻击者；若所述攻击者是历史攻击者，则使用对应的蜜罐响应该攻击者的请求；若所述攻击者不是历史攻击者，则将所述攻击流量转发至蜜罐集群，分别得到所述蜜罐集群内多个蜜罐的蜜罐响应；基于蜜罐请求顺序，判断所述蜜罐响应是否在拒绝域内；将不在拒绝域内的蜜罐响应对应的蜜罐作为响应所述攻击者请求的蜜罐；若多个所述蜜罐响应均在拒绝域内，则采取随机响应策略混淆所述攻击者；将响应所述攻击者的蜜罐生成的响应报文和攻击者特征记录到所述日志中；所述日志还包括映射列表，所述映射列表包括历史攻击者及响应该历史攻击者的蜜罐的对应关系。

2、进一步的，所述判断所述蜜罐响应是否在拒绝域内，包括：依照所述蜜罐请求顺序将所述攻击流量转发至蜜罐，该蜜罐生成蜜罐响应；判断所述蜜罐响应是否在拒绝域内；若所述蜜罐响应在所述拒绝域内，则将该蜜罐的响应报文发送给所述攻击者并更新所述映射列表；若所述蜜罐响应不在所述拒绝域内，则将所述攻击流量转发至下一个蜜罐，并重复判断过程。

3、进一步的，所述蜜罐请求顺序通过强化学习得到，包括：将所述日志输入强化学习模型中，所述强化学习模型根据历史访问数据使用q-learning算法对初始蜜罐请求顺序进行调整。

4、进一步的，所述初始蜜罐请求顺序通过蜜罐中对应的攻击向量和个性化配置程度评分得到。

5、进一步的，所述判断所述攻击者是否为历史攻击者，包括：获取所述攻击者的ip，并基于所述映射列表判断该ip是否已经访问过；若该ip已经访问过，则判定所述攻击者为历史攻击者；若该ip未访问过，则判断所述攻击者是否通过搜索引擎进行访问；若通过搜索引擎进行访问，则判定所述攻击者不是历史攻击者；若未通过搜索引擎进行访问，则获取攻击信息；将所述攻击信息与所述日志中的攻击者特征进行比对，基于可信度推理，得到攻击相似度；若所述攻击相似度大于相似度阈值，则认为所述攻击者为历史攻击者；否则，认为所述攻击者不是历史攻击者。

6、进一步的，所述随机响应策略包括随机发送拒绝响应、无响应或默认响应。

7、本发明的目的在于提供一种主动防御系统，包括重定向模块、协同控制模块、蜜罐机群和日志记录模块；所述重定向模块用于接收攻击流量，并将所述攻击流量转发到所述协同控制模块；所述协同控制模块用于负责蜜罐簇的协同功能；所述协同功能包括判断攻击者是否为历史攻击者，并根据判断结果响应所述攻击者；所述蜜罐机群用于吸引攻击者并监测他们的行为；所述日志记录模块用于记录日志并生成映射列表；所述记录日志包括响应所述攻击者的蜜罐生成的响应报文和攻击者特征。

8、进一步的，还包括强化学习模块；所述强化学习模块用于基于所述记录日志调整所述协同控制模块中蜜罐的请求数据，并更新蜜罐请求顺序。

9、进一步的，所述协同控制模块包括历史攻击者判断模块、流量转发模块、蜜罐判断模块和随机响应模块；所述历史攻击者判断模块用于基于所述攻击流量和映射列表，判断所述攻击者是否为历史攻击者；所述流量转发模块用于在所述攻击者是历史攻击者时，使用对应的蜜罐响应该攻击者的请求；当所述攻击者不是历史攻击者时，将所述攻击流量转发至蜜罐集群，分别得到所述蜜罐集群内多个蜜罐的蜜罐响应；所述蜜罐判断模块用于基于蜜罐请求顺序，判断所述蜜罐响应是否在拒绝域内；将不在拒绝域内的蜜罐响应对应的蜜罐作为响应所述攻击者的请求的蜜罐；所述随机响应模块用于在多个所述蜜罐响应均在拒绝域内时，采取随机响应策略混淆所述攻击者。

10、进一步的，所述判断所述蜜罐响应是否在拒绝域内，包括：依照所述蜜罐请求顺序将所述攻击流量转发至蜜罐，该蜜罐生成蜜罐响应；判断所述蜜罐响应是否在拒绝域内；若所述蜜罐响应在所述拒绝域内，则将该蜜罐的响应报文发送给所述攻击者并更新所述映射列表；若所述蜜罐响应不在所述拒绝域内，则将所述攻击流量转发至下一个蜜罐，并重复判断过程。

11、本发明实施例的技术方案至少具有如下优点和有益效果：

12、本发明提出的主动防御方法和系统，通过先判断攻击者是否为过往访问过的历史攻击者，防止了攻击者识别出该系统为蜜罐系统，加强了系统的可用性和健壮性。

13、本发明提出的主动防御方法和系统还可以根据过往访问和攻击的情况利用q-learning对web蜜罐的请求顺序进行更改，通过对默认蜜罐的修改大大提高了系统捕获攻击的能力，对蜜罐请求顺序的更改提高了系统的响应效率，并且更具智能化能够很好地应付攻击方式多变的攻击者；对于较少被访问的web蜜罐，可以当捕捉到有相关的攻击请求后再发送指令启动对应的容器，进一步缩小了资源的消耗。

技术特征：

1.一种主动防御方法，其特征在于，包括：

2.根据权利要求1所述的主动防御方法，其特征在于，所述判断所述蜜罐响应是否在拒绝域内，包括：

3.根据权利要求1所述的主动防御方法，其特征在于，所述蜜罐请求顺序通过强化学习得到，包括：

4.根据权利要求3所述的主动防御方法，其特征在于，所述初始蜜罐请求顺序通过蜜罐中对应的攻击向量和个性化配置程度评分得到。

5.根据权利要求1所述的主动防御方法，其特征在于，所述判断所述攻击者是否为历史攻击者，包括：

6.根据权利要求1所述的主动防御方法，其特征在于，所述随机响应策略包括随机发送拒绝响应、无响应或默认响应。

7.根据权利要求1-6任意一项所述的主动防御方法的主动防御系统，其特征在于，包括重定向模块、协同控制模块、蜜罐机群和日志记录模块；

8.根据权利要求7所述的主动防御方法，其特征在于，还包括强化学习模块；所述强化学习模块用于基于所述记录日志调整所述协同控制模块中蜜罐的请求数据，并更新蜜罐请求顺序。

9.根据权利要求7所述的主动防御方法，其特征在于，所述协同控制模块包括历史攻击者判断模块、流量转发模块、蜜罐判断模块和随机响应模块；

10.根据权利要求9所述的主动防御方法，其特征在于，所述判断所述蜜罐响应是否在拒绝域内，包括：

技术总结
本发明提供了一种主动防御方法和系统，包括：判断攻击者是否为历史攻击者；对于历史攻击者，使用对应的蜜罐响应该攻击者的请求；对于非历史攻击者，将攻击流量转发至蜜罐集群，得到蜜罐响应；判断蜜罐响应是否在拒绝域内；将不在拒绝域内的蜜罐响应对应的蜜罐作为响应攻击者请求的蜜罐；若多个蜜罐响应均在拒绝域内，则采取随机响应策略混淆所述攻击者；将响应攻击者的蜜罐生成的响应报文和攻击者特征记录到所述日志中；日志还包括映射列表；以提高系统整体的健壮性和欺骗性。

技术研发人员：崔艳鹏,胡建伟,宋靖阳
受保护的技术使用者：西安胡门网络技术有限公司
技术研发日：
技术公布日：2024/1/15