一種基于蜜網(wǎng)的協(xié)同式主動防御方法
【專利摘要】本發(fā)明涉及一種基于蜜網(wǎng)的協(xié)同式主動防御方法���,包括以下步驟:數(shù)據(jù)預(yù)處理�、關(guān)聯(lián)度分析�����、威脅度分析、脆弱度分析和黑名單生成��。本發(fā)明以分布在不同子網(wǎng)中的分布式蜜網(wǎng)遭受到的攻擊者信息為數(shù)據(jù)源��,采用協(xié)同式防御思想���,通過對不同子網(wǎng)與攻擊者之間的關(guān)聯(lián)度分析、威脅度分析和脆弱度分析���,最終基于融合分析為每個子網(wǎng)預(yù)測出個性化的最有可能攻擊該子網(wǎng)的攻擊者名單���,即高預(yù)測性黑名單。本發(fā)明不僅具有很高的防御率��、命中率�、實時性和預(yù)測性,可以達到很低的漏防率和誤防率�����;而且�����,由于采用蜜網(wǎng)捕獲攻擊者信息,無需普通用戶上報惡意攻擊者���,不會對普通用戶的正常通信造成影響����,更不會侵犯用戶的隱私�。
【專利說明】一種基于蜜網(wǎng)的協(xié)同式主動防御方法【技術(shù)領(lǐng)域】[0001]本發(fā)明涉及計算機網(wǎng)絡(luò)安全領(lǐng)域,尤其涉及一種基于蜜網(wǎng)的協(xié)同式主動防御方 法�。【背景技術(shù)】[0002]隨著互聯(lián)網(wǎng)的發(fā)展���,網(wǎng)絡(luò)安全面臨著越來越嚴(yán)重的威脅����。傳統(tǒng)的基于行為特征的 被動防御方法已經(jīng)難以保護網(wǎng)絡(luò)的安全�。實際應(yīng)用中的入侵檢測模型僅能處理一種特殊的 審計數(shù)據(jù)源,更新費用較高��,速度也較慢��,故基于蜜網(wǎng)(honeynet)的防火墻技術(shù)將成為了 解決網(wǎng)絡(luò)安全威脅的一種全新的更加自動和高效的方法����。[0003]蜜罐(honeypot)是一種安全資源����,其價值在于被掃描��、攻擊和攻陷�����。所有流入�����、流 出蜜罐的網(wǎng)絡(luò)流量都可能預(yù)示了掃描�����、攻擊和攻陷�����。蜜網(wǎng)構(gòu)成了一個黑客誘捕網(wǎng)絡(luò)體系架 構(gòu)��,包含一個或多個蜜罐����,同時保證了網(wǎng)絡(luò)的高度可控性,以及提供多種工具以方便對攻擊 信息的采集和分析����。利用蜜網(wǎng)可以有效的改變防御者與攻擊源之間的信息不對稱。目前�, 高交互蜜網(wǎng)主要用于數(shù)據(jù)的攻擊數(shù)據(jù)的提取、分析和研究�,主要是通過大量人工分析蜜網(wǎng) 提取到的數(shù)據(jù),得出攻擊源使用的攻擊策略��、攻擊代碼和攻擊位置等等��,雖然最終可以達到 防御的目的����,但是往往具有滯后性,主要體現(xiàn)了蜜網(wǎng)的研究價值�����,但很難作為一個功能化的女口廣叩ο[0004]為了實現(xiàn)主動防御����,防火墻或者帶有防火墻功能的路由器是必不可少的�。防火墻 技術(shù)的主要功能是對受保護網(wǎng)絡(luò)的非法訪問進行控制����,它通過監(jiān)視、限制��、更改網(wǎng)絡(luò)的數(shù)據(jù) 流���,一方面盡可能屏蔽內(nèi)部網(wǎng)的拓撲結(jié)構(gòu)�����,另一方面對內(nèi)屏蔽外部危險站點���,用以防范外對 內(nèi)、內(nèi)對外的非法訪問�����。[0005]目前�,利用黑名單進行防御是主要的包過濾防火墻或者狀態(tài)檢測防火墻的防御策 略���,而防御效果取決于從蜜網(wǎng)或者用戶網(wǎng)中獲取的攻擊信息中生成黑名單的方法���。信息融 合下黑名單的生成方法主要有:[0006]GffOL(Global Worst Offender List):全局最壞攻擊源名單��。在綜合運算服務(wù)器 中對所有子網(wǎng)的所遭遇的攻擊源根據(jù)威脅程度進行排序���,對于所有子網(wǎng),都按照這個順序 取前幾位作為黑名單���。[0007]LffOL(Local Worst Offender List):本地最壞攻擊源名單����。根據(jù)每個子網(wǎng)的被攻 擊情況����,將其所遭遇的攻擊源根據(jù)威脅程度進行排序,為每個子網(wǎng)生成特定的黑名單�。[0008]但兩種機制各有優(yōu)缺點。對于GW0L���,盡管它為每個子網(wǎng)防御了那些最具威脅的攻 擊源����,但可能有些攻擊源選擇攻擊都有較強的目的性�����,即只會攻擊特定的一些子網(wǎng),所以可 能造成的情況是子網(wǎng)黑名單中所防御的攻擊源也許根本不會來攻擊他���,而這些攻擊源又占 據(jù)了黑名單��,以至于真正該防御的攻擊源沒有得到防御���。而對于LW0L,盡管它彌補了 GWOL 的上述缺點��,但由于其只能根據(jù)已受攻擊的情況列舉黑名單���,所以不能達到對攻擊的預(yù)測�����, 無法主動防御���。
【發(fā)明內(nèi)容】
[0009]針對現(xiàn)有技術(shù)的不足�����,本發(fā)明提出一種基于蜜網(wǎng)的協(xié)同防御方法。它依托于蜜網(wǎng)技術(shù)��,采用協(xié)同式防御思想�,能夠?qū)崿F(xiàn)網(wǎng)絡(luò)層的主動防御,主要適用于大規(guī)模的企業(yè)網(wǎng)�。
[0010]為實現(xiàn)以上發(fā)明目的,本發(fā)明的技術(shù)方案為:
[0011]一種具有高可預(yù)測性的黑名單生成方法����,其特征在于,包括以下步驟:
[0012]步驟1:數(shù)據(jù)預(yù)處理
[0013]對捕獲到的數(shù)據(jù)包的包頭進行解析��,從中提取攻擊事件屬性五元組���,所述攻擊事件屬性五元組為攻擊源IP�����、受害子網(wǎng)網(wǎng)絡(luò)地址�����、受害端口����、攻擊持續(xù)時間和數(shù)據(jù)包累計大小;
[0014]步驟2:關(guān)聯(lián)度分析
[0015]首先利用攻擊源對受害子網(wǎng)的攻擊關(guān)系圖G = (V,E)計算各受害子網(wǎng)之間的關(guān)聯(lián)矩陣W���,其中V = {vl����,v2���,...�����,VlOI�,即攻擊關(guān)系圖中的每個節(jié)點��,代表每個子網(wǎng)�����,E是由節(jié)
mii mi}
點對組成的集合,矩陣W的矩陣元素Wtf代表子網(wǎng)Vi和子網(wǎng)Vj的相似程度,其中����,
mi為子網(wǎng)vi被攻擊的次數(shù),mj為子網(wǎng)vj被攻擊的次數(shù),mij為vi和vj被相同的攻擊源s攻擊的次數(shù)����;
[0016]然后計算每個攻擊源與各受害子網(wǎng)的關(guān)聯(lián)程度�����,計算公式如下:
[0017]
【權(quán)利要求】
1.一種具有高可預(yù)測性的黑名單生成方法�,其特征在于,包括以下步驟: 步驟1:數(shù)據(jù)預(yù)處理 對捕獲到的數(shù)據(jù)包的包頭進行解析�����,從中提取攻擊事件屬性五元組����,所述攻擊事件屬性五元組為攻擊源IP、受害子網(wǎng)網(wǎng)絡(luò)地址���、受害端口��、攻擊持續(xù)時間和數(shù)據(jù)包累計大??���;步驟2:關(guān)聯(lián)度分析 首先利用攻擊源對受害子網(wǎng)的攻擊關(guān)系圖G= (V�����,E)計算各受害子網(wǎng)之間的關(guān)聯(lián)矩陣W��,其中V= Iv1, v2�,...����,vk},即攻擊關(guān)系圖中的每個節(jié)點��,代表每個子網(wǎng)�,k為受害子網(wǎng)的
數(shù)目,E是由節(jié)點對組成的集合�,矩陣W的矩陣元素
2.根據(jù)權(quán)利要求1所述的步驟,所述步驟5具體為: 對每個子網(wǎng)�,從其候選名單中去除本子網(wǎng)內(nèi)部的攻擊主機; 對每個子網(wǎng)���,根據(jù)各個攻擊源與其的關(guān)聯(lián)程度從大到小排序后取前c*Ls個攻擊源�,其中�����,Ls稱為理想黑名單長度,c為初次截取因子�����; 對這前c*Ls個攻擊源,綜合考慮其威脅度,進行重新排序�; 利用子網(wǎng)脆弱度為每一子網(wǎng)V確定各自的黑名單長度L(V)�����; 最后�,對于每個子網(wǎng)V,根據(jù)所述黑名單長度L(V)���,從與該子網(wǎng)對應(yīng)的�、經(jīng)重新排序后的攻擊源中選擇前L(V)個攻擊源����,由此生成該子網(wǎng)的黑名單。
3.根據(jù)權(quán)利要求2所述的方法���,其特征在于�����,所述進行重新排序的步驟具體為: 設(shè)攻擊源S在子網(wǎng)V中的序數(shù)為k(V��,S)��,通過下式對序數(shù)進行修正:
F (v, s) = k (v, s) - a XLsXF (s) 其中��,F(xiàn)(V����,s)表示攻擊源s對子網(wǎng)V的威脅程度,F(xiàn)(S)表示攻擊源s的威脅程度��,α> O����,稱為威脅權(quán)重系數(shù),反映了威脅程度相對于關(guān)聯(lián)程度對最終結(jié)果的權(quán)重�����,對于每個受害子網(wǎng)���,將攻擊源按照F(v�����,s)的取值大小�����,從小到大重新排序�����。
4.如權(quán)利要求2所述的方法���,其特征在于,所述利用子網(wǎng)脆弱度為每一子網(wǎng)V確定各自的黑名單長度L(V)的步驟具體為:采用最小-最大規(guī)范化制定脆弱度相關(guān)的黑名單長度:
5.如權(quán)利要求4所述的方法���,其特征在于��,采用下式確定最長黑名單長度和最短黑名單長度:Lmax = round(L(I 十 δ ))Lmin = round(L(1-δ ))上式中δ為黑名單伸縮因子��,O < δ <1�。
【文檔編號】H04L29/06GK103561003SQ201310500442
【公開日】2014年2月5日 申請日期:2013年10月22日 優(yōu)先權(quán)日:2013年10月22日
【發(fā)明者】陶敬, 田決, 馬小博, 李劍鋒, 韓婷, 鄒孫穎, 胡文君 申請人:西安交通大學(xué)