本發(fā)明屬于安全監(jiān)控，涉及一種面向高級(jí)持續(xù)威脅的攻擊主動(dòng)誘捕方法及系統(tǒng)。

背景技術(shù)：

1、高級(jí)持續(xù)威脅(apt)攻擊日益泛濫，攻擊行為屢見(jiàn)不鮮。apt攻擊已嚴(yán)重威脅各類(lèi)重點(diǎn)領(lǐng)域、重點(diǎn)行業(yè)的網(wǎng)絡(luò)與信息安全。需要開(kāi)展apt威脅檢測(cè)和防范技術(shù)研究，提高apt檢測(cè)與防范能力。

2、現(xiàn)有的apt檢測(cè)與防范技術(shù)主要包括：基于指紋類(lèi)的攻擊檢測(cè)技術(shù)、被動(dòng)誘捕類(lèi)檢測(cè)技術(shù)和智能化檢測(cè)技術(shù)。

3、(1)基于指紋類(lèi)的攻擊檢測(cè)技術(shù)

4、當(dāng)前這類(lèi)技術(shù)是網(wǎng)絡(luò)安全檢測(cè)的主流技術(shù)，根據(jù)之前提取并部署的攻擊指紋檢測(cè)攻擊行為。如果攻擊流量為加密流量，或者采用了新的攻擊手段或者攻擊指紋沒(méi)有預(yù)先提取到，則無(wú)法檢測(cè)。這類(lèi)檢測(cè)技術(shù)的優(yōu)勢(shì)是檢測(cè)方式簡(jiǎn)單直接，能夠?qū)崟r(shí)準(zhǔn)確發(fā)現(xiàn)攻擊行為，且易于部署，一般部署在網(wǎng)絡(luò)出口或者接受交換設(shè)備分光的流量。防火墻、ids、ips均采用了這種機(jī)制。

5、(2)被動(dòng)誘捕類(lèi)檢測(cè)技術(shù)

6、這類(lèi)技術(shù)的思路是在系統(tǒng)內(nèi)部署高仿真度誘捕類(lèi)資產(chǎn)，如數(shù)據(jù)、服務(wù)、應(yīng)用，等待攻擊者探測(cè)發(fā)現(xiàn)和攻擊。由于這類(lèi)資產(chǎn)不被正常用戶使用，訪問(wèn)這類(lèi)資產(chǎn)的都可視為攻擊行為或者潛在攻擊行為。被動(dòng)誘捕技術(shù)不依賴于指紋，因而能夠發(fā)現(xiàn)新的攻擊方式和攻擊者。難點(diǎn)是如何實(shí)現(xiàn)高仿真以欺騙攻擊者認(rèn)為是真實(shí)的高價(jià)值目標(biāo)并進(jìn)行攻擊。除此之外，誘捕需要成體系化部署才能達(dá)成有效的檢測(cè)效果。此外，當(dāng)前的各項(xiàng)誘捕手段是被動(dòng)策略，如果攻擊者沒(méi)有發(fā)現(xiàn)誘捕類(lèi)資產(chǎn)，則無(wú)法發(fā)揮作用。

7、(3)智能化檢測(cè)技術(shù)

8、思路是通過(guò)分析攻擊和正常業(yè)務(wù)的區(qū)別，提取特征，構(gòu)建分類(lèi)器，實(shí)時(shí)分析流量或者各類(lèi)業(yè)務(wù)日志，發(fā)現(xiàn)攻擊行為。此外，某些研究工作也通過(guò)深度學(xué)習(xí)來(lái)檢測(cè)。相比于指紋類(lèi)檢測(cè)技術(shù)，這類(lèi)技術(shù)具備更好的檢測(cè)能力，但依賴于全面的數(shù)據(jù)來(lái)提取特征構(gòu)建分類(lèi)器，但獲取數(shù)據(jù)和分析數(shù)據(jù)工作量極大，安全廠商極少采用這種方法，這類(lèi)方法未能在實(shí)際應(yīng)用中廣泛使用。

9、但是基于指紋類(lèi)的攻擊檢測(cè)技術(shù)只能檢測(cè)到已知攻擊，被動(dòng)誘捕類(lèi)檢測(cè)技術(shù)只有攻擊者探測(cè)到后才能起效果，智能化檢測(cè)技術(shù)訓(xùn)練所需數(shù)據(jù)的獲取和分析成本極高且可解釋性差，因此，目前急需一種方法以克服上述問(wèn)題。

技術(shù)實(shí)現(xiàn)思路

1、針對(duì)當(dāng)前重要信息系統(tǒng)面臨的apt攻擊，本發(fā)明提出了一種面向高級(jí)持續(xù)威脅的攻擊主動(dòng)誘捕方法及系統(tǒng)。本發(fā)明同樣不依賴于已有特征和攻擊指紋，檢測(cè)準(zhǔn)確，不產(chǎn)生誤報(bào)。相比于被動(dòng)apt攻擊誘捕方案，本發(fā)明能夠主動(dòng)暴露攻擊面和高價(jià)值資產(chǎn)給攻擊者，誘導(dǎo)攻擊者進(jìn)行探查和攻擊，從而獲取攻擊手段，捕獲惡意代碼。此外，攻擊者對(duì)誘捕系統(tǒng)的攻擊，也起到了吸引攻擊者注意力、保護(hù)真實(shí)信息系統(tǒng)的作用。

2、為實(shí)現(xiàn)上述發(fā)明目的，本發(fā)明的技術(shù)方案包括以下內(nèi)容。

3、一種面向高級(jí)持續(xù)威脅的攻擊主動(dòng)誘捕方法，所述方法包括：

4、生成誘捕目標(biāo)，以使誘導(dǎo)攻擊者基于高級(jí)持續(xù)威脅對(duì)保護(hù)對(duì)象、誘捕服務(wù)器或/和誘捕內(nèi)網(wǎng)區(qū)發(fā)動(dòng)攻擊；其中，所述誘捕目標(biāo)的ip地址與真實(shí)信息系統(tǒng)處于同一個(gè)子網(wǎng)，所述保護(hù)對(duì)象包括與真實(shí)信息系統(tǒng)相似的服務(wù)和內(nèi)容，所述誘捕服務(wù)器上部署真實(shí)服務(wù)軟件和高仿真數(shù)據(jù)，所述誘捕內(nèi)網(wǎng)區(qū)為包含常規(guī)內(nèi)網(wǎng)的服務(wù)、應(yīng)用和數(shù)據(jù)的仿真網(wǎng)絡(luò)；

5、基于攻擊過(guò)程所產(chǎn)生的流量，識(shí)別該高級(jí)持續(xù)威脅對(duì)應(yīng)的惡意代碼文件；

6、獲取攻擊者對(duì)保護(hù)對(duì)象、誘捕服務(wù)器或內(nèi)網(wǎng)系統(tǒng)攻擊時(shí)產(chǎn)生的活動(dòng)記錄，并結(jié)合攻擊情況，感知該高級(jí)持續(xù)威脅的攻擊狀態(tài)。

7、進(jìn)一步地，所述生成誘捕目標(biāo)，以使誘導(dǎo)攻擊者基于高級(jí)持續(xù)威脅對(duì)保護(hù)對(duì)象、誘捕服務(wù)器或/和誘捕內(nèi)網(wǎng)區(qū)發(fā)動(dòng)攻擊，包括：

8、生成誘捕目標(biāo)，所述誘捕目標(biāo)包括：誘捕域名，所述誘捕域名與正常域名的相似度大于一閾值，且基于所述誘捕域名無(wú)法訪問(wèn)真實(shí)信息系統(tǒng)；

9、將所述誘捕目標(biāo)暴露給攻擊者，以使攻擊者基于高級(jí)持續(xù)威脅攻陷所述誘捕目標(biāo)對(duì)應(yīng)的誘捕服務(wù)器之后，以該誘捕服務(wù)器為跳板，對(duì)誘捕內(nèi)網(wǎng)區(qū)進(jìn)行攻擊。

10、進(jìn)一步地，所述生成誘捕目標(biāo)，以使誘導(dǎo)攻擊者基于高級(jí)持續(xù)威脅對(duì)保護(hù)對(duì)象、誘捕服務(wù)器或/和誘捕內(nèi)網(wǎng)區(qū)發(fā)動(dòng)攻擊，包括：

11、生成誘捕目標(biāo)，所述誘捕目標(biāo)包括：誘捕服務(wù)器對(duì)目的地址不是真實(shí)信息系統(tǒng)的探測(cè)數(shù)據(jù)包的應(yīng)答；

12、將所述誘捕目標(biāo)暴露給攻擊者，以使攻擊者基于高級(jí)持續(xù)威脅攻陷所述誘捕目標(biāo)對(duì)應(yīng)的誘捕服務(wù)器之后，以該誘捕服務(wù)器為跳板，對(duì)誘捕內(nèi)網(wǎng)區(qū)進(jìn)行攻擊。

13、進(jìn)一步地，生成所述誘捕服務(wù)器對(duì)目的地址不是真實(shí)信息系統(tǒng)的探測(cè)數(shù)據(jù)包的應(yīng)答，包括：

14、截獲攻擊者對(duì)真實(shí)信息系統(tǒng)的掃描，所述掃描用于探測(cè)所述真實(shí)信息系統(tǒng)存在的ip地址和開(kāi)放的端口；

15、針對(duì)所述掃描中目的地址不是真實(shí)信息系統(tǒng)的探測(cè)數(shù)據(jù)包，將目的地址修改為誘捕服務(wù)器的地址，以告知攻擊者其欲攻擊的服務(wù)器在線以及開(kāi)放的端口和操作系統(tǒng)信息；

16、將誘捕服務(wù)器的地址修改為應(yīng)答ip地址，以對(duì)攻擊者的進(jìn)一步攻擊進(jìn)行應(yīng)答。

17、進(jìn)一步地，所述生成誘捕目標(biāo)，以使誘導(dǎo)攻擊者基于高級(jí)持續(xù)威脅對(duì)保護(hù)對(duì)象、誘捕服務(wù)器或/和誘捕內(nèi)網(wǎng)區(qū)發(fā)動(dòng)攻擊，包括：

18、生成誘捕目標(biāo)，所述誘捕目標(biāo)包括：植入誘捕信息的真實(shí)信息系統(tǒng)應(yīng)答，所述誘捕信息為真實(shí)信息系統(tǒng)對(duì)應(yīng)的誘捕服務(wù)器鏈接和內(nèi)容鏈接；

19、將所述誘捕目標(biāo)暴露給攻擊者，以使攻擊者基于高級(jí)持續(xù)威脅攻陷所述誘捕目標(biāo)對(duì)應(yīng)的誘捕服務(wù)器之后，以該誘捕服務(wù)器為跳板，對(duì)保護(hù)對(duì)象和誘捕內(nèi)網(wǎng)區(qū)進(jìn)行攻擊。

20、進(jìn)一步地，所述生成誘捕目標(biāo)，以使誘導(dǎo)攻擊者基于高級(jí)持續(xù)威脅對(duì)保護(hù)對(duì)象、誘捕服務(wù)器或/和誘捕內(nèi)網(wǎng)區(qū)發(fā)動(dòng)攻擊，包括：

21、生成誘捕目標(biāo)，所述誘捕目標(biāo)包括：基于失陷主機(jī)的掃描拉起的保護(hù)對(duì)象；

22、將拉起的保護(hù)對(duì)象所生成的應(yīng)答數(shù)據(jù)發(fā)送給失陷主機(jī)，以告知所述失陷主機(jī)存在的可攻擊目標(biāo)。

23、進(jìn)一步地，所述基于攻擊過(guò)程所產(chǎn)生的流量，識(shí)別該高級(jí)持續(xù)威脅對(duì)應(yīng)的惡意代碼文件，包括：

24、基于攻擊過(guò)程所產(chǎn)生的流量，提取可疑文件；其中，所述可疑文件包括：所述誘捕目標(biāo)的代理獲取的文件和基于sdn交換機(jī)的分光流量所提取的文件；

25、將所述可疑文件進(jìn)行惡意代碼識(shí)別，得到該高級(jí)持續(xù)威脅對(duì)應(yīng)的惡意代碼文件。

26、進(jìn)一步地，將所述可疑文件進(jìn)行惡意代碼識(shí)別，得到該高級(jí)持續(xù)威脅對(duì)應(yīng)的惡意代碼文件之后，還包括：

27、在包含多個(gè)類(lèi)型操作系統(tǒng)和操作系統(tǒng)版本的沙箱中嘗試運(yùn)行所述惡意代碼文件，以得到該惡意代碼文件的分析報(bào)告。

28、進(jìn)一步地，所述獲取攻擊者對(duì)保護(hù)對(duì)象、誘捕服務(wù)器或內(nèi)網(wǎng)系統(tǒng)攻擊時(shí)產(chǎn)生的活動(dòng)記錄，并結(jié)合攻擊情況，感知該高級(jí)持續(xù)威脅的攻擊狀態(tài)，包括：

29、基于攻擊者對(duì)保護(hù)對(duì)象、誘捕服務(wù)器或內(nèi)網(wǎng)系統(tǒng)攻擊時(shí)產(chǎn)生的活動(dòng)記錄，生成攻擊日志；其中，所述攻擊日志包括：系統(tǒng)運(yùn)行日志和服務(wù)軟件日志；

30、根據(jù)攻擊日志和攻擊情況，感知該高級(jí)持續(xù)威脅的攻擊狀態(tài)；其中，所述攻擊狀態(tài)包括：攻擊目標(biāo)、攻擊過(guò)程和攻擊手段。

31、一種面向高級(jí)持續(xù)威脅的攻擊主動(dòng)誘捕系統(tǒng)，所述系統(tǒng)包括：

32、保護(hù)對(duì)象誘捕區(qū)，用于提供保護(hù)對(duì)象，所述保護(hù)對(duì)象包括與真實(shí)信息系統(tǒng)相似的服務(wù)和內(nèi)容；

33、誘捕dmz區(qū)，用于提供部署真實(shí)服務(wù)軟件和高仿真數(shù)據(jù)的誘捕服務(wù)器；

34、誘捕內(nèi)網(wǎng)區(qū)，用于提供誘捕內(nèi)網(wǎng)，所述誘捕內(nèi)網(wǎng)為包含常規(guī)內(nèi)網(wǎng)的服務(wù)、應(yīng)用和數(shù)據(jù)的仿真網(wǎng)絡(luò)；

35、數(shù)據(jù)分析和執(zhí)行區(qū)，用于生成誘捕目標(biāo)，以使誘導(dǎo)攻擊者基于高級(jí)持續(xù)威脅對(duì)保護(hù)對(duì)象、誘捕服務(wù)器或/和誘捕內(nèi)網(wǎng)區(qū)發(fā)動(dòng)攻擊；基于攻擊過(guò)程所產(chǎn)生的流量，識(shí)別該高級(jí)持續(xù)威脅對(duì)應(yīng)的惡意代碼文件；獲取攻擊者對(duì)保護(hù)對(duì)象、誘捕服務(wù)器或內(nèi)網(wǎng)系統(tǒng)攻擊時(shí)產(chǎn)生的活動(dòng)記錄，并結(jié)合攻擊情況，感知該高級(jí)持續(xù)威脅的攻擊狀態(tài)；其中，所述誘捕目標(biāo)的ip地址與真實(shí)信息系統(tǒng)處于同一個(gè)子網(wǎng)。

36、與現(xiàn)有技術(shù)先比，本發(fā)明至少具有以下技術(shù)優(yōu)勢(shì)：

37、(1)誘捕系統(tǒng)和真實(shí)信息系統(tǒng)的邏輯隔離。

38、誘捕系統(tǒng)給攻擊者提供了攻擊目標(biāo)，誘捕系統(tǒng)可以被用攻擊跳板對(duì)下一個(gè)攻擊目標(biāo)進(jìn)行攻擊。為了保證真實(shí)信息系統(tǒng)不被攻擊，應(yīng)做好誘捕系統(tǒng)和真實(shí)信息系統(tǒng)間的邏輯隔離?？梢赞D(zhuǎn)發(fā)從真實(shí)信息系統(tǒng)發(fā)起的到誘捕系統(tǒng)的數(shù)據(jù)，對(duì)于從誘捕系統(tǒng)發(fā)起，目的地址為真實(shí)信息系統(tǒng)的數(shù)據(jù)包不予轉(zhuǎn)發(fā)。

39、(2)誘捕系統(tǒng)和真實(shí)信息系統(tǒng)的ip設(shè)置。

40、為了保證攻擊者能夠發(fā)現(xiàn)到誘捕系統(tǒng)內(nèi)的誘捕目標(biāo)，誘捕dmz區(qū)的誘捕目標(biāo)的ip地址與真實(shí)信息系統(tǒng)處于同一個(gè)子網(wǎng)，在攻擊者在對(duì)真實(shí)信息系統(tǒng)進(jìn)行子網(wǎng)掃描時(shí)，能夠探測(cè)到誘捕dmz區(qū)的誘捕目標(biāo)的存在。

41、(3)快速動(dòng)態(tài)部署誘捕服務(wù)

42、為了達(dá)到有效誘捕的目的，攻擊者探測(cè)的服務(wù)需要能夠秒級(jí)部署，可以通過(guò)容器化部署實(shí)現(xiàn)，通過(guò)預(yù)先制作好包含特定服務(wù)的容器，需要時(shí)再迅速啟動(dòng)進(jìn)行誘捕。

43、具體操作方式為預(yù)先配置一批部署了常用服務(wù)的容器，這些服務(wù)的選擇根據(jù)威脅情報(bào)提供的最近流行的攻擊手段、攻擊者經(jīng)常攻擊的服務(wù)、本信息系統(tǒng)常用的服務(wù)這幾個(gè)策略來(lái)進(jìn)行。誘捕系統(tǒng)對(duì)掃描行為進(jìn)行分析，識(shí)別或者推測(cè)出攻擊者想攻擊的服務(wù)后，迅速啟動(dòng)部署了對(duì)應(yīng)服務(wù)的容器，等待攻擊者進(jìn)行探測(cè)和攻擊。

44、比如，攻擊者對(duì)若干ip的某個(gè)固定端口進(jìn)行了探測(cè)，誘捕系統(tǒng)推測(cè)其嘗試探測(cè)某服務(wù)是否部署，如果部署則并進(jìn)行攻擊。誘捕系統(tǒng)迅速拉起了部署了端口對(duì)應(yīng)服務(wù)的容器，并部署合適的網(wǎng)絡(luò)地址，等待攻擊者探測(cè)并提供攻擊目標(biāo)。

45、相比于靜態(tài)誘捕，誘捕服務(wù)的動(dòng)態(tài)部署顯著節(jié)省了計(jì)算資源和存儲(chǔ)資源。