本发明涉及计算机领域,特别涉及一种网络攻击诱导方法、装置、设备及介质。
背景技术:
当前,信息技术发展日新月异,信息系统软硬件设备存在的漏洞及后门更是花样繁多,加之当前被动防御体系的脆弱性及主动免疫能力的缺失,导致网络空间安全处于攻防不对等、易攻难守的非平衡态势。通用技术中,通过蜜罐技术诱导网络中的攻击者进行攻击,进而对攻击行为进行捕获和分析,然而,大多数基于蜜罐模拟的仿真环境是一个静态、相对固定的陷阱,对于一些防范意识强且攻击手段高明的攻击者来说很容易识破,并且,攻击者同时也会对攻击对象进行分析,避免落入蜜罐的诱导。因此,如何提高对网络攻击的诱导力和欺骗性是当前持续关注的问题。
技术实现要素:
有鉴于此,本发明的目的在于提供一种网络攻击诱导方法、装置、设备及介质,能够提高对网络攻击的诱导力和欺骗性。其具体方案如下:
第一方面,本申请公开了一种网络攻击诱导方法,包括:
获取任务清单,并基于所述任务清单和预设策略库确定目标部署策略和目标欺骗策略;所述目标欺骗策略包括拟态变化类策略和蜜网诱导类策略;
根据所述目标部署策略进行资源分配,然后根据分配后资源和所述目标欺骗策略构建攻击诱导系统,并根据所述目标欺骗策略确定相应的欺骗载荷;
将所述欺骗载荷部署在所述攻击诱导系统中,以便在攻击者发起请求后将所述欺骗载荷返回给所述攻击者。
可选的,所述基于所述任务清单和预设策略库确定目标部署策略和目标欺骗策略,包括:
查看所述策略库中是否存在与所述任务清单对应的部署策略和欺骗策略;所述任务清单包括目标节点数据信息、部署策略任务和欺骗策略任务;
若存在,则将所述部署策略作为所述目标部署策略,将所述欺骗策略作为所述目标欺骗策略;
若不存在,则生成与所述任务清单对应的目标部署策略和目标欺骗策略;其中,所述目标部署策略为基于所述目标节点的控制环境确定的策略;所述目标欺骗策略为基于所述目标节点的运行特征确定的策略。
可选的,所述根据所述目标部署策略进行资源分配,包括:
若所述目标节点处于受控环境,则根据对应的受控环境类部署策略对ip资源、硬件资源、网络拓扑和安全资源进行部署;
若所述目标节点处于非受控环境,则根据对应的非受控环境类部署策略,利用虚拟化技术对虚拟化后的资源进行部署。
可选的,所述根据分配后资源和所述目标欺骗策略构建攻击诱导系统,包括:
若所述目标欺骗策略为所述拟态变化类策略,则根据所述目标欺骗策略对分配后资源中的节点ip地址、设备参数、协议类型、网络拓扑和业务系统进行动态变换,得到仿真业务环境。
可选的,所述根据分配后资源和所述目标欺骗策略构建攻击诱导系统,包括:
若所述目标欺骗策略为所述蜜网诱导类策略,则基于所述目标欺骗策略和分配后资源构建包含低交互蜜罐和高交互蜜罐的蜜网系统,以便利用所述低交互蜜罐监测攻击者的扫描渗透行为,利用所述高交互蜜罐诱导攻击者攻击。
可选的,所述根据所述目标欺骗策略确定相应的欺骗载荷,包括:
根据所述目标欺骗策略生成与所述目标节点对应的欺骗载荷;所述欺骗载荷包括虚假响应信息、虚假文件和虚假情报。
可选的,所述网络攻击诱导方法,还包括:
若未确定出所述目标部署策略和所述目标欺骗策略,则在攻击者发起请求后延时返回随机响应数据,或延时返回与所述请求中协议类型对应的响应数据。
第二方面,本申请公开了一种网络攻击诱导装置,包括:
策略确定模块,用于获取任务清单,并基于所述任务清单和预设策略库确定目标部署策略和目标欺骗策略;所述目标欺骗策略包括拟态变化类策略和蜜网诱导类策略;
资源调度模块,用于根据所述目标部署策略进行资源分配,然后根据分配后资源和所述目标欺骗策略构建攻击诱导系统,并根据所述目标欺骗策略确定相应的欺骗载荷;
攻击诱导模块,用于将所述欺骗载荷部署在所述攻击诱导系统中,以便在攻击者发起请求后将所述欺骗载荷返回给所述攻击者。
第三方面,本申请公开了一种电子设备,包括:
存储器,用于保存计算机程序;
处理器,用于执行所述计算机程序,以实现前述的网络攻击诱导方法。
第四方面,本申请公开了一种计算机可读存储介质,用于存储计算机程序;其中计算机程序被处理器执行时实现前述的网络攻击诱导方法。
本申请中,通过获取任务清单,并基于所述任务清单和预设策略库确定目标部署策略和目标欺骗策略;所述目标欺骗策略包括拟态变化类策略和蜜网诱导类策略;根据所述目标部署策略进行资源分配,然后根据分配后资源和所述目标欺骗策略构建攻击诱导系统,并根据所述目标欺骗策略确定相应的欺骗载荷;将所述欺骗载荷部署在所述攻击诱导系统中,以便在攻击者发起请求后将所述欺骗载荷返回给所述攻击者。可见,本申请根据任务清单和预设策略库确定出目标部署策略和目标欺骗策略,由此可以针对任务清单中的节点采取相应的策略,并且结合拟态变化和蜜网诱导等战术策略性的构建相应的攻击诱导系统,通过动态改变攻击诱导系统中的数据使攻击者难以通过一次或多次的入侵探测就摸透节点的相关信息;并通过蜜网深入引诱攻击者的攻击,使得踏入蜜罐网络中的攻击者受骗而不自知、深陷而无法自拔,有效提升了对网络攻击的诱导力和欺骗性。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。
图1为本申请提供的一种网络攻击诱导方法流程图;
图2为本申请提供的一种具体的网络攻击诱导方法流程图;
图3为本申请提供的一种攻击诱导欺骗系统架构示意图;
图4为本申请提供的一种网络攻击诱导装置结构示意图;
图5为本申请提供的一种电子设备结构图。
具体实施方式
现有技术中,利用蜜罐模技术模拟的仿真环境是一个静态、相对固定的陷阱,对于一些防范意识强且攻击手段高明的攻击者来说很容易识破,并且,攻击者同时也会对攻击对象进行分析,避免落入蜜罐的诱导,导致蜜罐的诱导力和欺骗能力较差。为克服上述问题,本申请提供了一种基于蜜罐的网络攻击诱导方法,可以提高对网络攻击的诱导力和欺骗性。
本申请实施例公开了一种网络攻击诱导方法,参见图1所示,该方法可以包括以下步骤:
步骤s11:获取任务清单,并基于所述任务清单和预设策略库确定目标部署策略和目标欺骗策略;所述目标欺骗策略包括拟态变化类策略和蜜网诱导类策略。
本实施例中,首先获取系统下发的任务清单,然后根据上述任务清单和预设策略库确定出目标部署策略和目标欺骗策略;其中,上述任务清单中可以包括目标节点的数据信息、部署策略任务和欺骗策略任务,可以理解的是,上述部署策略任务和欺骗策略任务为针对上述目标节点的策略任务;具体的,通过通用api接口接受上级系统下发的任务,并对任务进行理解,明确需要保护的目标节点,及需要的载荷数量、载荷种类和载荷投递方式,然后与本地已有策略库库进行同步,并判断本地是否有需要的欺骗策略;将任务清单及本地策略库进行语义分析,整理,流程化,并转换成攻击诱导欺骗中的可执行软件语言。其中,上述目标欺骗策略包括拟态变化类策略和蜜网诱导类策略。
步骤s12:根据所述目标部署策略进行资源分配,然后根据分配后资源和所述目标欺骗策略构建攻击诱导系统,并根据所述目标欺骗策略确定相应的欺骗载荷。
本实施例中,确定出目标部署策略和目标欺骗策略后,根据上述目标部署策略对网络中的资源进行分配,即为此次攻击诱导部署相应的网络资源,上述网络资源可以包括但不限于ip资源、硬件资源、网络拓扑和安全资源。然后根据分配的网络资源和上述目标欺骗策略为上述目标节点构建相应的攻击诱导系统;具体的,当上述目标策略为拟态变化类策略时,构建相应的仿真业务环境,并根据上述目标欺骗策略对所述仿真业务环境中的网络资源的参数进行动态变换。当上述目标策略为蜜网诱导类策略时,为上述目标节点构建相应的蜜网系统。并根据上述目标欺骗策略确定出与目标节点对应的欺骗载荷,上述欺骗载荷包括但不限于虚假响应信息、虚假文件和虚假情报。
步骤s13:将所述欺骗载荷部署在所述攻击诱导系统中,以便在攻击者发起请求后将所述欺骗载荷返回给所述攻击者。
本实施例中,将得到的欺骗载荷部署在攻击系统中,当攻击者对目标节点发起请求后,将该欺骗载荷返回给攻击者,以扰乱攻击者的攻击。并且,对各类欺骗载荷运行状态和全生命周期进行管理,运行状态包括实时反映载荷是否被启动、载荷的启动运行时间、载荷的名称和类型。全生命周期管理包括对载荷生成、载荷部署、载荷回收进行管理,包括对载荷进行分类存储和集中化管理,新的载荷会适配对应策略并部署在相应的蜜罐中,并把回收或重置蜜罐中的载荷进行回收等。
本实施例中,还可以包括,若未确定出目标部署策略和目标欺骗策略,则在攻击者发起请求后延时返回随机响应数据,或延时返回与所述请求中协议类型对应的响应数据。即当策略库无法匹配到下发任务所需的相关策略时,或任务没有携带任何策略时,在接收到攻击者的扫描数据后可以随机延迟一定时间,或延迟预设时间再将响应数据返回给攻击者,以达到减缓攻击者扫描进度,为发出预警信号争取时间。
上述响应数据可以为随机响应数据,即在接收到攻击者的扫描数据后,随机挑选一个服务作为端口服务,对于扫描数据如果服务类型不匹配则返回一个错误响应,以此干扰攻击者的判断;上述响应数据可以为请求中协议类型对应的响应数据,即查看扫描数据中的协议类型,并认定当前端口就是该协议的服务;例如,攻击者的扫描器对部署了攻击诱导的目标节点6379端口尝试建立连接并发送了redis服务的探测数据,在收到数据后发现是redis服务的探测数据,便返回redis服务的响应数据,欺骗攻击者认为该目标主机的6379端口存在redis服务,以此迷惑攻击者的认知,打乱攻击者的后续攻击计划。由此,可以提升系统的迷惑性和欺骗性,干扰攻击者的行动计划和进程。
由上可见,本实施例中通过获取任务清单,并基于所述任务清单和预设策略库确定目标部署策略和目标欺骗策略;所述目标欺骗策略包括拟态变化类策略和蜜网诱导类策略;根据所述目标部署策略进行资源分配,然后根据分配后资源和所述目标欺骗策略构建攻击诱导系统,并根据所述目标欺骗策略确定相应的欺骗载荷;将所述欺骗载荷部署在所述攻击诱导系统中,以便在攻击者发起请求后将所述欺骗载荷返回给所述攻击者。可见,根据任务清单和预设策略库确定出目标部署策略和目标欺骗策略,由此可以针对任务清单中的节点采取相应的策略,并且结合拟态变化和蜜网诱导等战术策略性的构建相应的攻击诱导系统,通过动态改变攻击诱导系统中的数据使攻击者难以通过一次或多次的入侵探测就摸透节点的相关信息;并通过蜜网深入引诱攻击者的攻击,使得踏入蜜罐网络中的攻击者受骗而不自知、深陷而无法自拔,有效提升了对网络攻击的诱导力和欺骗性。
本申请实施例公开了一种具体的网络攻击诱导方法,参见图2所示,该方法可以包括以下步骤:
步骤s21:获取任务清单,查看策略库中是否存在与所述任务清单对应的部署策略和欺骗策略;所述任务清单包括目标节点数据信息、部署策略任务和欺骗策略任务;所述目标欺骗策略包括拟态变化类策略和蜜网诱导类策略。
步骤s22:若存在,则将所述部署策略作为所述目标部署策略,将所述欺骗策略作为所述目标欺骗策略。
本实施例中,获取任务清单后,首先查看本地策略库中是否存在与任务清单对应的部署策略和欺骗策略,如果本地策略库中存在,则将本地策略库中的部署策略作为目标部署策略,将欺骗策略作为目标欺骗策略,
步骤s23:若不存在,则生成与所述任务清单对应的目标部署策略和目标欺骗策略;其中,所述目标部署策略为基于所述目标节点的控制环境确定的策略;所述目标欺骗策略为基于所述目标节点的运行特征确定的策略。
如果本地策略库中不存在任务清单对应的策略,则根据任务清单中目标节点的控制环境确定出目标部署策略,并根据目标节点的运行特点确定出目标欺骗策略;上述控制环境包括受控环境和非受控环境。上述目标部署策略包括受控环境类部署策略和非受控环境类部署策略。并将生成的策略同步到策略库,以便后续直接使用。
步骤s24:若所述目标节点处于受控环境,则根据对应的受控环境类部署策略对ip资源、硬件资源、网络拓扑和安全资源进行部署。
如果上述目标节点处于受控环境,则根据对应的受控环境类部署策略部署需要的ip资源、硬件资源、网络拓扑和安全资源。
步骤s25:若所述目标节点处于非受控环境,则根据对应的非受控环境类部署策略,利用虚拟化技术对虚拟化后的资源进行部署。
如果上述目标节点处于非受控环境,则根据对应的非受控环境类部署策略,采用kvm虚拟化技术对目标节点的虚拟化环境的资源进行部署。
步骤s26:若所述目标欺骗策略为所述拟态变化类策略,则根据所述目标欺骗策略对分配后资源中的节点ip地址、设备参数、协议类型、网络拓扑和业务系统进行动态变换,得到仿真业务环境。
可以理解的是,若上述目标欺骗策略为拟态变化类策略,则根据目标欺骗策略对分配后资源中的节点ip地址、设备参数、协议类型、网络拓扑和业务系统进行动态变换,得到仿真业务环境;例如,动态或周期性地变换节点ip地址、设备类型、web服务端口,使攻击者难以通过一次或多次的入侵探测就获取目标节点的相关信息,更无法通过先验信息顺利执行其后续攻击计划,以此迷惑攻击者的认知,可有效提升受威胁节点的不可预测性和欺骗性。
具体的,可以通过可视化、可便捷操作的指令或接口以对已部署节点的ip地址进行即时更新,还可通过dhcp协议,在部署节点的初期或后期变更节点ip地址获取类型为自动模式,在具有dhcp服务的环境中动态获取ip地址或dns解析地址。针对网络拓扑的变化可以通过可视化、便捷化的操作实例化网络设备蜜罐,增加逻辑网络拓扑节点;或实例化网络服务蜜罐,增加逻辑网络范围,实现网络拓扑变换。进而提升网络拓扑复杂程度,诱导攻击者对仿真系统发起进一步的扫描、渗透等攻击行为。
步骤s27:若所述目标欺骗策略为所述蜜网诱导类策略,则基于所述目标欺骗策略和分配后资源构建包含低交互蜜罐和高交互蜜罐的蜜网系统,以便利用所述低交互蜜罐监测攻击者的扫描渗透行为,利用所述高交互蜜罐诱导攻击者攻击。
本实施例中,如果上述目标欺骗策略为蜜网诱导类策略,则根据上述目标策略构建包含低交互蜜罐和高交互蜜罐的蜜网系统,以便利用低交互蜜罐监测攻击者的扫描渗透行为,利用高交互蜜罐进一步诱导攻击者攻击。上述蜜网系统可以理解为通过高低交互蜜罐组合搭配而形成的,可以在仿真环境中动态地监测攻击者的入侵路径以及蜜罐自身状态,动态地调整诱导欺骗策略并同步生成具有吸引力的载荷,能够更大程度地诱导攻击者的深入攻击。上述蜜网系统包含一个或多个蜜罐。由此一来,通过高低交互蜜罐构成的蜜网系统具备营造包括单一网络设备、业务系统、工控系统等在内的各类仿真环境,可有效隐匿真实资产,同时全面捕获侵入蜜罐系统攻击者行为数据,通过对攻击者恶意行为及意图的分析,帮助防守者制定对策抵抗攻击,实现针对性主动防御。
具体的,首先可以通过低交互蜜罐监测扫描渗透行为,然后根据攻击者的工具和行为,创建对应的高交互蜜罐,进一步的诱导其通向新攻击路径;整个诱导过程由各类蜜罐与欺骗载荷动态调整、相互协作来完成,最终目的是诱导攻击者在模拟的网络中不断地发起攻击行为和渗透操作,让攻击者深陷其中,不能自拔,从而达到干扰其攻击行为的目的。当攻击者闯入由高低交互蜜罐形成的蜜网中时,系统实时检查攻击者的入侵路径以及蜜罐自身状态,判断和识别攻击者的入侵点;根据攻击者的入侵点针对性定制欺骗策略,制作欺骗载荷,以构建得到新的蜜罐,并在蜜罐中释放欺骗载荷;并且,如果该蜜罐已经失去价值,进行资源回收,包括回收载荷,防止载荷扩散。
上述低交互蜜罐可以为基于docker容器技术的低交互蜜罐,即支持开放服务可选择的能力,具备轻量可移植的特点,可根据需求模拟不同的协议,例如web服务、ssh服务、ftp服务等。上述高交互蜜罐可以为采用基于虚拟机的高交互蜜罐,可以支持模拟,如oa服务、数据库服务、文件服务器等。
上述蜜网系统可以为基于docker、沙箱技术实现的中心化web渗透检测蜜罐系统。可以通过请求转发的方式,将不同模拟不同业务系统的web蜜罐接收到的请求统一转发到web渗透检测中心,由渗透检测中心集中检测web请求中是否包含恶意信息,并返回web端请求的恶意信息情况。由此,只需要一套蜜网系统,即可对业务环境中不同web蜜罐提供渗透检测服务,而无需对每一套业务都部署同时具备web模拟及渗透检测能力的蜜罐。
步骤s28:根据所述目标欺骗策略生成与所述目标节点对应的欺骗载荷;所述欺骗载荷包括虚假响应信息、虚假文件和虚假情报。
本实施例中,根据确定的目标策略和任务清单中的目标节点的数据信息,生成与目标节点对应的欺骗载荷,上述欺骗载荷包括但不限于虚假响应信息、虚假文件和虚假情报,即生成待返回给攻击者的虚假信息。
步骤s29:将所述欺骗载荷部署在所述仿真业务环境或所述蜜网系统中,以便在攻击者发起请求后将所述欺骗载荷返回给所述攻击者。
本实施例中,将生成的欺骗载荷部署在与上述拟态变化类策略对应的仿真业务环境中,或部署在与上述蜜网诱导类策略对应的蜜网系统中,当攻击者对目标节点发起请求或进行扫描时,将上述欺骗载荷返回给攻击者,以干扰攻击者的攻击。
为保证上述欺骗策略传输的可靠性,可以利用消息队列(即mq)在构建的分布式蜜罐节点之间进行欺骗载荷的可靠传输,可有效避免欺骗载荷在传输过程中被外部嗅探或篡改。具体的传输过程可以包括连接加密阶段、发送确认阶段、接收确认阶段和分片传输阶段。
上述连接加密阶段,可以包括蜜罐所在节点使用非对称加密连接至消息队列,节点启动后首先尝试连接至消息队列服务器的指定端口,当成功建立连接后,节点与服务器双方交换证书,节点所用的证书在蜜罐构建时由中心签发给相应节点。当双方确认对方提供的证书确实有效后,再进行加密密钥与加密方式的协商与确定,否则断开连接。双方确认证书既可以避免中间人攻击造成蜜罐节点的mq账户信息泄漏的情况,也能防止其他未授权的客户端连接至消息队列进行账户爆破。并且,非对称加密可以避免将加密密钥硬编码至代码中,避免由加密密钥遗失造成的安全隐患。
由于在消息队列上使用事务会严重的影响到性能,为了在消息发送效率与消息传递的可靠性间做出平衡,故采用发送方确认的方式确保投递的消息可以可靠的被投递到消息队列服务。上述发送确认阶段,可以包括节点在发送消息前先对消息进行编号;尝试将已编号的消息推送到消息队列,并将消息置于本地缓存中;消息队列在收到消息后,对先进行消息的持久化工作,当消息成功的被持久化到本地后,返回包含消息编号的确认信息;节点在一定时间内收到消息的确认信息后,即判断消息投递成功,将投递成功的消息从缓存中移除;否则,认为消息投递失败,重新尝试将已编号的消息推送到消息队列。上述对消息进行持久化可以避免服务崩溃,断电等意外情况出现,造成消息丢失的情况。
上述蜜罐所在节点作为生产者产生消息,蜜罐中心的服务器作为消息的消费者连接至消息队列,处理并持久化消息。为了避免消费者在处理消息时因处理逻辑抛出异常导致意外遗失数据,消费者在消费消息时使用消息接收确认机制。具体的,上述接收确认阶段可以包括当消息队列将消息推送给消费者时,消息队列会先将此消息标记为待确认,直至消费者在处理完消息并将数据持久化后,向消息队列发送一个确认消息,消息队列才会从持久化存储区域中删除消息。当消费者处理逻辑抛出异常向消息队列发送一个拒绝消息,或消费者在接收消息后意外与消息队列断开连接,消息队列都会将消息重新放回队列,再次投递给其他正在工作的消费者进程。
消息队列处于对自身的性能和效率考虑,大多都对单条消息最大负载量做出了限制,当需要传输的欺骗载荷大小超过消息队列的单条消息负载限制时就需要对恶意文件先进行分片,再将各分片传输至蜜罐中心的服务器,由服务端程序进行拼接。为防止切片、合并与传输间欺骗载荷完整性不被破坏,分片传输阶段可以包括:对文件按固定的大小进行切分;例如,一个欺骗载荷大小为3.25mb,则将其切片为4片(1mb*3 0.25mb)。然后挑选一种哈希算法,计算欺骗载荷和各分片的哈希值,例如使用md5哈希算法,欺骗载荷的哈希结果是efe30fbc5ce6c52a13e286a71e47df09,分片1的哈希结果为cf95aa512d3da18c572fa33a36459275,分片2的哈希结果为b314e60d9828a4d1e943a87a05bc9b71,分片3的哈希结果为c8ffdc081ba1ab0bc7882ee5b786504f,分片4的哈希结果为8cc3c2faf93489fc779ab0e771b71f48。然后将各分片装入消息正文中,由于消息队列可能会打乱消息顺序,所以在消息头添加消息标识,上述消息标识包括但不限于恶意样本文件名(filename)、恶意样本总大小(total)、恶意样本哈希值(hash)、哈希算法名(hash_algorithm)、当前分片大小(frag_size)、当前分片偏移(frag_offset)、当前分片哈希(frag_hash)。当前分片大小表示消息体中存放的文件分片大小,单位为字节,上述前三个分片的大小为1*1024*1024=1048576,第四个分片的大小为0.5*1024*1024=524288。当前分片偏移表示当前分片在原文件中的偏移量,单位为字节,例如,上述第一分片的偏移量为0,第二分片的偏移量为1*1024*1024=1048576,第三分片的偏移量为2*1024*1024=2097152。
蜜罐中心服务器在收到消息后,先从消息头中取出哈希算法,分片大小和分片哈希,检查当前文件分片是否完整,如果检查不通过,则要求蜜罐节点重传。分片检查通过后,将文件持久化到服务器硬盘中,先根据消息头中的信息创建文件和元数据,如果文件和元数据已经存在,则说明此分片前已有其他分片到达,则跳过此步。然后根据消息头中的分配偏移在本地文件指定位置填充数据,写入完成后,在元数据中标记此分片已写入完成,并检查所有的分片是否都已经写入完毕,如果还没有,就继续等待其他分片。如果所有分片已经全部传输完毕,则对本地拼接完成的文件整体计算哈希,并检查是否与消息头中的恶意样本哈希是否一致,如果不一致则表示样本在传输过程中完整性已遭到破坏,要求蜜罐节点重传此文件并放弃此文件;反之代表传输成功,向节点返回成功消息。
其中,关于上述步骤s21的具体过程可以参考前述实施例公开的相应内容,在此不再进行赘述。
由上可见,根据目标节点的控制环境确定目标部署策略是受控环境类部署策略还是非受控环境类部署策略,并根据目标节点确定出相应的目标欺骗策略是拟态变化类策略还是蜜网诱导类策略,然后根据上述目标欺骗策略得到相应的仿真业务环境或蜜网系统,由此可以针对任务清单中的节点采取相应的策略,结合拟态变化和蜜网诱导等战术策略性的构建相应的攻击诱导系统,通过动态改变攻击诱导系统中的数据使攻击者难以通过一次或多次的入侵探测就摸透节点的相关信息;并通过蜜网深入引诱攻击者的攻击,有效提升了对网络攻击的诱导力和欺骗性。
例如图3所示的与上述攻击诱导方法对应的一种攻击诱导欺骗系统架构,包含策略库、任务管理、任务调度和载荷欺骗四个模块,策略库是部署策略和欺骗策略的集散及管理中心,支持两类策略的生命周期管理,包括新增、编辑、查询、删除等操作。任务管理模块主要完成仿真业务场景任务的创建、下发,任务执行进度跟进及任务执行结果反馈等。任务管理会收到可执行软件语言到具体模块后执行的回执,确定执行是否成功;同时,任务管理将接收攻击欺骗载荷的运行回应,确定任务的执行效果,并结合执行回执反馈任务结果。任务调度负责部署策略和欺骗策略的接收、分解及完成任务所需相关资源的调配,是载荷部署的前提和保障。载荷欺骗主要实现载荷部署和载荷投递,载荷部署将诱导欺骗所需的ip地址、mac地址、dns、端口、操作系统、设备信息、软件信息等载荷资源策略性地部署在攻击诱导系统当中,当攻击者对蜜罐进行嗅探或扫描时,载荷投递模块将对应欺骗载荷返回给攻击者,实现诱导欺骗。
相应的,本申请实施例还公开了一种网络攻击诱导装置,参见图4所示,该装置包括:
策略确定模块11,用于获取任务清单,并基于所述任务清单和预设策略库确定目标部署策略和目标欺骗策略;所述目标欺骗策略包括拟态变化类策略和蜜网诱导类策略;
资源调度模块12,用于根据所述目标部署策略进行资源分配,然后根据分配后资源和所述目标欺骗策略构建攻击诱导系统,并根据所述目标欺骗策略确定相应的欺骗载荷;
攻击诱导模块13,用于将所述欺骗载荷部署在所述攻击诱导系统中,以便在攻击者发起请求后将所述欺骗载荷返回给所述攻击者。
由上可见,本实施例中根据任务清单和预设策略库确定出目标部署策略和目标欺骗策略,由此可以针对任务清单中的节点采取相应的策略,并且结合拟态变化和蜜网诱导等战术策略性的构建相应的攻击诱导系统,通过动态改变攻击诱导系统中的数据使攻击者难以通过一次或多次的入侵探测就摸透节点的相关信息;并通过蜜网深入引诱攻击者的攻击,使得踏入蜜罐网络中的攻击者受骗而不自知、深陷而无法自拔,有效提升了对网络攻击的诱导力和欺骗性。
在一些具体实施例中,所述策略确定模块11具体可以包括:
查询单元,用于查看所述策略库中是否存在与所述任务清单对应的部署策略和欺骗策略;所述任务清单包括目标节点数据信息、部署策略任务和欺骗策略任务;
第一策略确定单元,用于若所述查询模块的查询结果为是,则将所述部署策略作为所述目标部署策略,将所述欺骗策略作为所述目标欺骗策略;
第二策略确定单元,用于若所述查询模块的查询结果为否,则生成与所述任务清单对应的目标部署策略和目标欺骗策略;其中,所述目标部署策略为基于所述目标节点的控制环境确定的策略;所述目标欺骗策略为基于所述目标节点的运行特征确定的策略。
在一些具体实施例中,所述资源调度模块12具体可以包括:
第一资源分配单元,用于若所述目标节点处于受控环境,则根据对应的受控环境类部署策略对ip资源、硬件资源、网络拓扑和安全资源进行部署;
第二资源分配单元,用于若所述目标节点处于非受控环境,则根据对应的非受控环境类部署策略,利用虚拟化技术对虚拟化后的资源进行部署;
第一系统构建单元,用于若所述目标欺骗策略为所述拟态变化类策略,则根据所述目标欺骗策略对分配后资源中的节点ip地址、设备参数、协议类型、网络拓扑和业务系统进行动态变换,得到仿真业务环境;
第二系统构建单元,用于若所述目标欺骗策略为所述蜜网诱导类策略,则基于所述目标欺骗策略和分配后资源构建包含低交互蜜罐和高交互蜜罐的蜜网系统,以便利用所述低交互蜜罐监测攻击者的扫描渗透行为,利用所述高交互蜜罐诱导攻击者攻击;
欺骗载荷生成单元,用于根据所述目标欺骗策略生成与所述目标节点对应的欺骗载荷;所述欺骗载荷包括虚假响应信息、虚假文件和虚假情报。
在一些具体实施例中,所述网络攻击诱导装置具体可以包括:
随机策略单元,用于若未确定出所述目标部署策略和所述目标欺骗策略,则在攻击者发起请求后延时返回随机响应数据,或延时返回与所述请求中协议类型对应的响应数据。
进一步的,本申请实施例还公开了一种电子设备,参见图5所示,图中的内容不能被认为是对本申请的使用范围的任何限制。
图5为本申请实施例提供的一种电子设备20的结构示意图。该电子设备20,具体可以包括:至少一个处理器21、至少一个存储器22、电源23、通信接口24、输入输出接口25和通信总线26。其中,所述存储器22用于存储计算机程序,所述计算机程序由所述处理器21加载并执行,以实现前述任一实施例公开的网络攻击诱导方法中的相关步骤。
本实施例中,电源23用于为电子设备20上的各硬件设备提供工作电压;通信接口24能够为电子设备20创建与外界设备之间的数据传输通道,其所遵循的通信协议是能够适用于本申请技术方案的任意通信协议,在此不对其进行具体限定;输入输出接口25,用于获取外界输入数据或向外界输出数据,其具体的接口类型可以根据具体应用需要进行选取,在此不进行具体限定。
另外,存储器22作为资源存储的载体,可以是只读存储器、随机存储器、磁盘或者光盘等,其上所存储的资源包括操作系统221、计算机程序222及包括任务清单在内的数据223等,存储方式可以是短暂存储或者永久存储。
其中,操作系统221用于管理与控制电子设备20上的各硬件设备以及计算机程序222,以实现处理器21对存储器22中海量数据223的运算与处理,其可以是windowsserver、netware、unix、linux等。计算机程序222除了包括能够用于完成前述任一实施例公开的由电子设备20执行的网络攻击诱导方法的计算机程序之外,还可以进一步包括能够用于完成其他特定工作的计算机程序。数据223可以包括电子设备20获取到的任务清单。
进一步的,本申请实施例还公开了一种计算机存储介质,所述计算机存储介质中存储有计算机可执行指令,所述计算机可执行指令被处理器加载并执行时,实现前述任一实施例公开的网络攻击诱导方法步骤。
本说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其它实施例的不同之处,各个实施例之间相同或相似部分互相参见即可。对于实施例公开的装置而言,由于其与实施例公开的方法相对应,所以描述的比较简单,相关之处参见方法部分说明即可。
结合本文中所公开的实施例描述的方法或算法的步骤可以直接用硬件、处理器执行的软件模块,或者二者的结合来实施。软件模块可以置于随机存储器(ram)、内存、只读存储器(rom)、电可编程rom、电可擦除可编程rom、寄存器、硬盘、可移动磁盘、cd-rom、或技术领域内所公知的任意其它形式的存储介质中。
最后,还需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
以上对本发明所提供的一种网络攻击诱导方法、装置、设备及介质进行了详细介绍,本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想;同时,对于本领域的一般技术人员,依据本发明的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本发明的限制。
1.一种网络攻击诱导方法,其特征在于,包括:
获取任务清单,并基于所述任务清单和预设策略库确定目标部署策略和目标欺骗策略;所述目标欺骗策略包括拟态变化类策略和蜜网诱导类策略;
根据所述目标部署策略进行资源分配,然后根据分配后资源和所述目标欺骗策略构建攻击诱导系统,并根据所述目标欺骗策略确定相应的欺骗载荷;
将所述欺骗载荷部署在所述攻击诱导系统中,以便在攻击者发起请求后将所述欺骗载荷返回给所述攻击者。
2.根据权利要求1所述的网络攻击诱导方法,其特征在于,所述基于所述任务清单和预设策略库确定目标部署策略和目标欺骗策略,包括:
查看所述策略库中是否存在与所述任务清单对应的部署策略和欺骗策略;所述任务清单包括目标节点数据信息、部署策略任务和欺骗策略任务;
若存在,则将所述部署策略作为所述目标部署策略,将所述欺骗策略作为所述目标欺骗策略;
若不存在,则生成与所述任务清单对应的目标部署策略和目标欺骗策略;其中,所述目标部署策略为基于所述目标节点的控制环境确定的策略;所述目标欺骗策略为基于所述目标节点的运行特征确定的策略。
3.根据权利要求2所述的网络攻击诱导方法,其特征在于,所述根据所述目标部署策略进行资源分配,包括:
若所述目标节点处于受控环境,则根据对应的受控环境类部署策略对ip资源、硬件资源、网络拓扑和安全资源进行部署;
若所述目标节点处于非受控环境,则根据对应的非受控环境类部署策略,利用虚拟化技术对虚拟化后的资源进行部署。
4.根据权利要求1所述的网络攻击诱导方法,其特征在于,所述根据分配后资源和所述目标欺骗策略构建攻击诱导系统,包括:
若所述目标欺骗策略为所述拟态变化类策略,则根据所述目标欺骗策略对分配后资源中的节点ip地址、设备参数、协议类型、网络拓扑和业务系统进行动态变换,得到仿真业务环境。
5.根据权利要求1所述的网络攻击诱导方法,其特征在于,所述根据分配后资源和所述目标欺骗策略构建攻击诱导系统,包括:
若所述目标欺骗策略为所述蜜网诱导类策略,则基于所述目标欺骗策略和分配后资源构建包含低交互蜜罐和高交互蜜罐的蜜网系统,以便利用所述低交互蜜罐监测攻击者的扫描渗透行为,利用所述高交互蜜罐诱导攻击者攻击。
6.根据权利要求1所述的网络攻击诱导方法,其特征在于,所述根据所述目标欺骗策略确定相应的欺骗载荷,包括:
根据所述目标欺骗策略生成与所述目标节点对应的欺骗载荷;所述欺骗载荷包括虚假响应信息、虚假文件和虚假情报。
7.根据权利要求1至6任一项所述的网络攻击诱导方法,其特征在于,还包括:
若未确定出所述目标部署策略和所述目标欺骗策略,则在攻击者发起请求后延时返回随机响应数据,或延时返回与所述请求中协议类型对应的响应数据。
8.一种网络攻击诱导装置,其特征在于,包括:
策略确定模块,用于获取任务清单,并基于所述任务清单和预设策略库确定目标部署策略和目标欺骗策略;所述目标欺骗策略包括拟态变化类策略和蜜网诱导类策略;
资源调度模块,用于根据所述目标部署策略进行资源分配,然后根据分配后资源和所述目标欺骗策略构建攻击诱导系统,并根据所述目标欺骗策略确定相应的欺骗载荷;
攻击诱导模块,用于将所述欺骗载荷部署在所述攻击诱导系统中,以便在攻击者发起请求后将所述欺骗载荷返回给所述攻击者。
9.一种电子设备,其特征在于,包括:
存储器,用于保存计算机程序;
处理器,用于执行所述计算机程序,以实现如权利要求1至7任一项所述的网络攻击诱导方法。
10.一种计算机可读存储介质,其特征在于,用于存储计算机程序;其中计算机程序被处理器执行时实现如权利要求1至7任一项所述的网络攻击诱导方法。
技术总结