本技术涉及网络安全,主要涉及一种孪生诱捕网络设计方法。
背景技术:
1、目前主流的网络安全运营体系以检测响应体系为主,检测能力以特征检测和行为检测为主,为了应对当前严峻的网络安全态势和及时发现更具隐蔽性和多样性的攻击行为,构建以欺骗防御(蜜罐)为主的主动防御体系作为补充,增强对于0day、apt等无特征攻击或非攻击类非法网络访问行为识别能力,成为一种技术趋势。
2、欺骗防御(俗称蜜罐)技术近几年有了很大的发展,完整的蜜罐涵盖3个核心技术点,即网络欺骗(诱捕环境构建)、监控记录(监控入侵行为)和处置措施(将监控获取的数据进行提取、分析从而实现追踪溯源等目的)。其中网络欺骗是蜜罐技术体系的核心技术,将原本假的、非真实的、没有价值的信息伪装成看似真实、有价值的信息,从而达到欺骗攻击者的目的。
3、传统的蜜罐对于仿真环境的构建,包括单维仿真技术、多维仿真技术:单维仿真,仿真对象包括特定的主机、服务、应用环境,其中环境仿真技术主要包括软件仿真技术、容器仿真技术、虚拟机仿真技术等;多维仿真技术,能够结合更多对业务的理解和威胁的认知,通过结合真实网络环境和企业业务环境,定制环境仿真配置及相关数据,通过端口重定向在蜜罐中模拟出一个非工作任务,在与提供真实服务主机相同类型和配置的主机上绑定虚拟服务,从而增加“真实性”,实现更高欺骗性。
4、然而,目前蜜罐对于仿真的环境的构建,缺乏智能化、自动化方法,普遍采用手动配置进行,需要现场安全工程师基于网络环境、业务特征进行配置、调参,在使用过程中,当现场网络于业务系统进行变更时,也需要安全工程师进行手动调整,这造成了蜜罐的应用效果极大依赖人员运维以及工程师的个人经验,已经成为了蜜罐产品市场化的瓶颈。
5、蜜罐的主要问题如下:
6、1、蜜罐在现场部署时,需要工程师调研现场用户的网络拓扑、网络中资产的详细信息,包括操作系统、软硬件信息、数据库、业务系统的协议、端口信息等,然后基于蜜罐的硬件资源情况,合理设计蜜罐网络网络,包括高交互系统、中交互系统、低交互系统、蜜标的分布、数量,并进行逐项创建、保存;
7、2、蜜罐的日常应用过程中,当发现针对于某些特定业务系统的大量网络攻击时,由于蜜罐的硬件资源的有限性,现场工程师需要手动调整蜜罐网络,关闭一些针对于其它系统的仿真节点以节省硬件资源,针对受攻击的业务系统开启更多仿真节点,以实现更高的捕获率,从而获取更全面的攻击信息实现溯源反制;
8、3、当用户现场网络、业务系统进行升级、变更时,现场工程师需要基于网络、业务系统的变动,手动进行现场蜜罐网络的调整、优化。
技术实现思路
1、为了解决上述问题,本发明专利基于传统蜜罐功能,创新设计孪生诱捕网络技术,是一种欺骗防御智能化应用技术,与网络空间探测、攻击面分析等新型安全技术进行耦合,采用数字孪生技术、ai技术、sdn技术、模式识别技术,构建智能型仿真、诱捕能力,解决传统蜜罐的应用难题,实现包括安装部署、运营使用、扩展升级的蜜网全生命周期免运维能力。
2、孪生诱捕网络包括管理中心和构建的诱捕网络两部分组成,其中管理中心中,本发明创新的ai仿真引擎模块,实现ai智能环境仿真,还包括配合应用的知识库,此外,还包括事件管理、溯源取证、告警管理、系统管理等模块。诱捕网络包括创建的仿真节点、诱捕探针,其中仿真节点是网络侧诱捕单元,执行虚拟机仿真、容器仿真、软件仿真、流量管理、攻击监控等功能;诱捕探针是终端侧在终端上部署的轻量化诱捕单元,执行软件仿真、虚拟服务、流量转发、蜜标管理、攻击监控等功能。
3、与传统蜜罐不同,本发明采用与外部网络空间探测模块进行联动实现对于用户网络及资产详细信息的自动化、实时采集,避免了人工进行信息采集的繁琐过程,并且实现采集的网络与资产信息数据标准化,采集的数据进入ai仿真引擎,通过算法进行蜜网仿真环境分析,并进行自动参数配置,创建仿真节点、下发诱捕探针,实现蜜网创建。
4、根据本发明的一方面,提出了一种孪生诱捕网络设计方法,所述技术方法包括:
5、采集数据,将所述数据传入ai仿真引擎;
6、创建仿真网络环境,进行蜜网仿真环境分析;
7、应用仿真网络环境,调整仿真节点,下发诱捕探针,实现蜜网的优化调整。
8、进一步的,所述采集数据包括来自网络空间探测模块采集的用户业务网络、资产、业务特征的数据以及攻击面分析模块采集的网络攻击状态信息的数据。
9、所述用户业务网络的网络、资产、业务特征的数据包括:业务网络的拓扑、业务网络的硬件资产、软件资产、业务系统的分布、协议、流量和连接关系。
10、所述网络攻击状态信息的数据具体包括:攻击源ip、攻击对象ip、协议、端口、时间、攻击方式、攻击载荷和攻击过程;
11、其中,所述攻击对象包括硬件资产、以及操作系统、软件和业务系统的软件资产。
12、进一步的,所述创建仿真网络环境具体包括:
13、网络空间探测模块对用户业务网络的网络、资产、业务特征的数据数据进行自动化采集,将所述数据输入编译器;
14、编译器将所述数据进行范式化和归一化处理,生成网络特征向量集合数据,将所述数据输入模式识别引擎;
15、模式识别引擎采用机器学习算法,进行多分类计算,所述多分类计算采用局部因子通过“局部可达密度”来反映分类的接近程度,计算公式如下:
16、1)xi到xj的可达距离为:
17、rdk(xi-xj)=max(dk(xi),||xi-xj||)
18、其中,dk表示距离点p第k近(但不包括p)的点与点p的距离,xi和xj表示两个不同的样本点;
19、2)样本xi的局部可达密度为:
20、
21、其中,n表示总体的样本数量,xi表示样本点;
22、3)计算局部因子:
23、
24、其中,n表示总体的样本数量,xi表示样本点,lrdk(xi)表示样本xi的局部可达密度;
25、分类器采用仿真模板训练得到的分类单元,当分类完成后,将分类结果及网络参数输入蜜网调度引擎,对无法分类的网络给出告警,同时采用交互式人工编辑方式进行网络创建,生成对应的蜜网单元模板,其中蜜网单元是一个异构数组,每个数据域用于描述蜜网单元的数据属性;
26、蜜网调度引擎通过接收到的分类结果及网络参数,调取蜜网单元模板,进行蜜网创建,生成孪生诱捕网络。
27、所述蜜网单元模板,具体包括:
28、基于典型行业、典型资产及属性、典型业务网络进行设计的仿真网络模型,包括多级网络拓扑、硬件类、操作系统类、网络服务类、数据库类、中间件类、应用类、it、ot、iot类、自定义类元素组合构成。
29、进一步的,所述应用仿真网络环境根据具体包括:
30、攻击面分析模块采集包括攻击对象、攻击方式和攻击过程的网络攻击状态信息数据,将所述数据传入编译器;
31、编译器将所述数据进行范式化和归一化处理,将数据格式处理为满足蜜网评估引擎所能识别并应用的数据格式,并将处理后的数据传入蜜网评估引擎;
32、蜜网评估引擎将所述数据处理为攻击面向量矩阵,矩阵公式表示为:
33、aij=f[t(n)] aij∈[0,1]
34、a=(aij)m×n
35、其中,t(n)表示攻击向量,f表示攻击向量的攻击效果函数,m表示网络拓扑层数,n表示网络拓扑位置值,i∈[1,m],j∈[1,n];
36、所述攻击面向量矩阵与孪生诱捕网络的诱捕检测数据进行乘积,生成结果数据,具体公式如下:
37、h=a×b'
38、其中,a表示攻击面向量矩阵,b表示(bij)m×n,bij表示诱捕检测告警威胁值,bij∈[0,1],m表示诱捕网络拓扑层数,n表示诱捕网络拓扑位置值,i∈[1,m],j∈[1,n];
39、基于结果数据,进行孪生诱捕网络的有效性评估,当有效性数值低于设定阀值时,蜜网评估引擎调用模拟器,对孪生诱捕网络进行训练,得到孪生诱捕网络的优化矩阵,矩阵公式如下:
40、s=f[a,b]
41、其中,a表示攻击面向量矩阵,b表示孪生诱捕网络的诱捕检测数据矩阵,f表示蜜网评估引擎设计优化函数;
42、将所述优化矩阵输入蜜网调度引擎;
43、蜜网调度引擎基于所述优化矩阵进行诱捕网络的优化调整。
44、所述蜜网评估引擎根据评估结果,调整诱捕网络参数,得到孪生诱捕网络的优化矩阵。
45、进一步的,所述ai仿真引擎,具体结构包括:编译器、仿真模板、模式识别引擎、数字孪生网络模型、蜜网评估引擎、蜜网调度引擎和蜜网单元模板,自动实现蜜网的创建、应用和优化调整。
46、根据本发明的另一方面,提出了一种孪生诱捕网络设计系统,具体包括:
47、数据采集模块,配置用于收集各种攻击数据,将所述数据传入ai仿真引擎;
48、创建仿真网络环境模块,配置用于创建仿真网络环境,并进行蜜网仿真环境分析;
49、应用仿真网络环境模块,配置用于运用所述仿真网络环境,并调整仿真节点,下发诱捕探针,实现蜜网的优化调整。
50、本实施例提供的技术方案带来的有益效果至少包括:
51、产品实施效率大幅提升、实施成本大幅下降,本发明采用与外部网络空间探测模块进行联动实现对于用户网络及资产详细信息的自动化、实时采集,采用ai仿真引擎进行孪生诱捕网络自动化创建,改变了传统蜜罐现场部署实施工作量巨大的难题,能够极大的加速蜜罐产品的市场化应用;
52、产品应用效果大幅提升,本发明对采集的网络与资产信息数据标准化,并且实现孪生诱捕网络模型的标准化与可视化,并采用蜜网评估引擎实现蜜网有效性评估,能够定量分析蜜网绩效,改变了传统蜜罐实施只能依赖个人经验,现场实施效果难以保障的难题,能够定量评估实施效果且能够复制至其他客户现场;
53、产品硬件资源应用效率提升、成本下降,本发明能够基于蜜网有效性评估进行蜜网的自动调整优化,能够充分利用蜜网产品的硬件资源,避免了传统蜜罐手工配置硬件资源,往往造成硬件资源的利用率较低,资源浪费的情况;
54、产品应用效果大幅提升、成本下降,本发明能够基于网络攻击攻击面进行蜜网的优化调整,避免了传统蜜罐创建诱捕单元只能基于个人经验估计的可能网络攻击风险创建,往往现场应用时和实施网络攻击不匹配,创建的诱捕网络诱捕效率很低的情形。
1.一种孪生诱捕网络设计方法,其特征在于,包括以下步骤:
2.根据权利要求1所述的设计方法,其特征在于,所述采集数据包括来自网络空间探测模块采集的用户业务网络、资产、业务特征的数据以及攻击面分析模块采集的网络攻击状态信息的数据。
3.根据权利要求2所述的设计方法,其特征在于,所述用户业务网络的网络、资产、业务特征的数据包括:业务网络的拓扑、业务网络的硬件资产、软件资产、业务系统的分布、协议、流量和连接关系。
4.根据权利要求2所述的设计方法,其特征在于,所述网络攻击状态信息的数据具体包括:攻击源ip、攻击对象ip、协议、端口、时间、攻击方式、攻击载荷和攻击过程;
5.根据权利要求1所述的设计方法,其特征在于,所述创建仿真网络环境具体包括:
6.根据权利要求5所述的设计方法,其特征在于,所述蜜网单元模板,具体包括:
7.根据权利要求1所述的设计方法,其特征在于,所述应用仿真网络环境根据具体包括:
8.根据权利要求7所述的设计方法,其特征在于,所述蜜网评估引擎根据评估结果,调整诱捕网络参数,得到孪生诱捕网络的优化矩阵。
9.根据权利要求1所述的设计方法,其特征在于,所述ai仿真引擎,具体结构包括:编译器、仿真模板、模式识别引擎、数字孪生网络模型、蜜网评估引擎、蜜网调度引擎和蜜网单元模板,自动实现蜜网的创建、应用和优化调整。
10.一种孪生诱捕网络设计系统,其特征在于,具体包括:
11.一种计算机可读介质,其中存储有计算机程序,所述计算机程序在被处理器执行时实施如权利要求1-9中任一项所述的方法。
