CN107360145B - 一种多节点蜜罐系统及其数据分析方法 - Google Patents
一种多节点蜜罐系统及其数据分析方法 Download PDFInfo
- Publication number
- CN107360145B CN107360145B CN201710521614.8A CN201710521614A CN107360145B CN 107360145 B CN107360145 B CN 107360145B CN 201710521614 A CN201710521614 A CN 201710521614A CN 107360145 B CN107360145 B CN 107360145B
- Authority
- CN
- China
- Prior art keywords
- node
- data
- honeypot
- intermediate data
- address
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 33
- 238000007405 data analysis Methods 0.000 title claims abstract description 24
- 238000012216 screening Methods 0.000 claims abstract description 12
- 238000002372 labelling Methods 0.000 claims description 8
- 238000012847 principal component analysis method Methods 0.000 claims description 7
- 238000007621 cluster analysis Methods 0.000 abstract description 12
- 238000000513 principal component analysis Methods 0.000 abstract description 4
- 238000007726 management method Methods 0.000 description 14
- 238000010586 diagram Methods 0.000 description 8
- 230000006870 function Effects 0.000 description 7
- 238000004891 communication Methods 0.000 description 4
- 238000000605 extraction Methods 0.000 description 4
- 102100039207 Exportin-T Human genes 0.000 description 3
- 101000745703 Homo sapiens Exportin-T Proteins 0.000 description 3
- 230000008878 coupling Effects 0.000 description 3
- 238000010168 coupling process Methods 0.000 description 3
- 238000005859 coupling reaction Methods 0.000 description 3
- 238000013481 data capture Methods 0.000 description 3
- 239000000203 mixture Substances 0.000 description 3
- 238000004458 analytical method Methods 0.000 description 2
- 238000004140 cleaning Methods 0.000 description 2
- 238000012545 processing Methods 0.000 description 2
- 230000002159 abnormal effect Effects 0.000 description 1
- 230000006399 behavior Effects 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000013500 data storage Methods 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000001914 filtration Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000003909 pattern recognition Methods 0.000 description 1
- 238000007781 pre-processing Methods 0.000 description 1
- 238000004088 simulation Methods 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1491—Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/12—Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computing Systems (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Medical Informatics (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种多节点蜜罐系统及其数据分析方法,所述多节点蜜罐系统包括多个单节点蜜罐系统,所述多个单节点蜜罐系统互联形成网络拓扑结构;所述方法包括:获取各个单节点蜜罐系统的原始数据;利用主成分分析法对所述原始数据进行特征筛选,得到中间数据;对所述中间数据进行聚类分析以及监督学习,得到多个簇,其中,每个簇包括多个实例;在各个所述簇内针对恶意攻击命令进行关联规则提取;将提取出的关联规则作为攻击特征存储至特征标注集中。
Description
技术领域
本发明涉及工业控制系统安全技术领域,尤其涉及一种面向工业控制系统安全的多节点蜜罐系统及其数据分析方法。
背景技术
利用蜜罐模拟特定设备吸引攻击,进而分析攻击方式提取攻击签名和指纹是安全领域的普遍且成熟的解决方案。但在新兴的工业安全领域,仅有CONPOT、XPOT、DIGITALBONDSCADA HONEYNET等为数不多的蜜罐以单节点的方式基于特定的工业控制协议(如Modbus、Siemens S7Comm)模拟单个可编程逻辑控制(PLC,Programmable Logic Controller)设备。
CONPOT作为当下主流的开源低交互工业控制蜜罐,通过内嵌Modbus、SiemensS7Comm等协议并开放特定的502、102端口等,实现在主机上模拟单个PLC设备。
XPOT支持PLC程序编译和解释,支持专有S7通信协议和简单网络管理协议。同时为了对抗Nmap这样的操作系统(OS,Operating System)指纹识别工具,XPOT模拟可参考的PLC网络协议堆栈实现高交互单节点蜜罐仿真功能。
DIGITALBOND SCADA HONEYNET则因为仿真的协议过于陈旧,无人维护,且为低交互蜜罐无法欺骗及吸引攻击者攻击。
当下的所有解决方案都着眼于提高单节点的蜜罐仿真能力,对于实际工业系统而言,几乎不存在单一独立的PLC设备。尤其是在工业4.0到来之后,大量的设备联网,形成工业控制设备网暴露在互联网上。单个模拟工控设备的蜜罐即使仿真程度再高,也不可能吸引攻击者的扫描和读写操作。此外,蜜罐的最终目的是为了提取出关键的扫描及攻击签名指纹,如今工业界和科研界还没有可实现的针对PLC设备及系统的扫描攻击特征提取方法。
发明内容
为解决上述技术问题,本发明实施例提供了一种多节点蜜罐系统及其数据分析方法。
本发明实施例提供的多节点蜜罐系统的数据分析方法,包括:
获取各个单节点蜜罐系统的原始数据;
利用主成分分析法对所述原始数据进行特征筛选,得到中间数据;
对所述中间数据进行聚类分析以及监督学习,得到多个簇,其中,每个簇包括多个实例;
在各个所述簇内针对恶意攻击命令进行关联规则提取;
将提取出的关联规则作为攻击特征存储至特征标注集中。
本发明实施例中,所述获取各个单节点蜜罐系统的原始数据,包括:
获取各个单节点蜜罐系统接收到的数据包,所述数据包包括网络流量信息和恶意攻击命令,其中,所述网络流量信息至少包括:源IP地址、源端口、目的IP地址、目的端口、时间戳;
将预设时间段内具有相同源IP地址以及相同目的端口的所有数据包作为一个实例,其中,所述实例的属性信息至少包括:源IP地址、目的端口、时间戳、包头、包长、恶意攻击命令;
通过所有的实例组成所述原始数据。
本发明实施例中,所述对所述中间数据进行聚类分析,得到多个簇,包括:
依据所述中间数据的如下信息,对所述中间数据进行k-中心点聚类:时间戳、包头、包长、源IP地址;
依据所述中间数据的恶意攻击命令,对所述中间数据进行短文本聚类;
基于所述k-中心点聚类对应的权重和所述短文本聚类对应的权重,将所述中间数据划分为多个簇。
本发明实施例中,所述对所述中间数据进行监督学习,得到多个簇,包括:
根据威胁情报信息确定出攻击特征;
对所述攻击特征进行标注,生成特征标注集;
根据所述特征标注集对所述中间数据进行模式分类,得到多个簇。
本发明实施例中,同一个簇内的每个实例包括一个或多个恶意攻击命令。
本发明实施例提供的多节点蜜罐系统,包括:多个单节点蜜罐系统、统一管理系统,所述多个单节点蜜罐系统互联形成网络拓扑结构;其中,
所述统一管理系统,用于获取各个单节点蜜罐系统的原始数据;利用主成分分析法对所述原始数据进行特征筛选,得到中间数据;对所述中间数据进行聚类分析以及监督学习,得到多个簇,其中,每个簇包括多个实例;在各个所述簇内针对恶意攻击命令进行关联规则提取;将提取出的关联规则作为攻击特征存储至特征标注集中。
本发明实施例中,所述统一管理系统包括:数据获取模块,用于获取各个单节点蜜罐系统接收到的数据包,所述数据包包括网络流量信息和恶意攻击命令,其中,所述网络流量信息至少包括:源IP地址、源端口、目的IP地址、目的端口、时间戳;将预设时间段内具有相同源IP地址以及相同目的端口的所有数据包作为一个实例,其中,所述实例的属性信息至少包括:源IP地址、目的端口、时间戳、包头、包长、恶意攻击命令;通过所有的实例组成所述原始数据。
本发明实施例中,所述统一管理系统包括:第一数据分析模块,用于依据所述中间数据的如下信息,对所述中间数据进行k-中心点聚类:时间戳、包头、包长、源IP地址;依据所述中间数据的恶意攻击命令,对所述中间数据进行短文本聚类;基于所述k-中心点聚类对应的权重和所述短文本聚类对应的权重,将所述中间数据划分为多个簇。
本发明实施例中,所述统一管理系统包括:第二数据分析模块,用于根据威胁情报信息确定出攻击特征;对所述攻击特征进行标注,生成特征标注集;根据所述特征标注集对所述中间数据进行模式分类,得到多个簇。
本发明实施例中,同一个簇内的每个实例包括一个或多个恶意攻击命令。
本发明实施例的技术方案,多节点蜜罐系统包括多个单节点蜜罐系统,所述多个单节点蜜罐系统互联形成网络拓扑结构。通过统一管理系统获取各个单节点蜜罐系统的原始数据;利用主成分分析法对所述原始数据进行特征筛选,得到中间数据;对所述中间数据进行聚类分析以及监督学习,得到多个簇,其中,每个簇包括多个实例;在各个所述簇内针对恶意攻击命令进行关联规则提取;将提取出的关联规则作为攻击特征存储至特征标注集中。采用本发明实施例的技术方案,1)通过一种多节点的网络拓扑结构来实现蜜罐系统,使用蜜罐系统模拟各种工业控制设备,从而捕获针对工业控制设备的攻击信息;2)对通过多节点蜜罐系统收集到的能够进行聚类分析以及规则匹配,得到针对工业控制系统的攻击特征。
附图说明
图1为本发明实施例的单节点蜜罐系统的示意图;
图2为本发明实施例的多节点蜜罐系统的示意图一;
图3为本发明实施例的多节点蜜罐系统的数据分析方法的流程示意图一;
图4为本发明实施例的多节点蜜罐系统的数据分析方法的流程示意图二;
图5为本发明实施例的多节点蜜罐系统的工作架构;
图6为本发明实施例的多节点蜜罐系统的结构组成示意图二;
图7为本发明实施例的计算机设备的结构组成示意图。
具体实施方式
为了能够更加详尽地了解本发明实施例的特点与技术内容,下面结合附图对本发明实施例的实现进行详细阐述,所附附图仅供参考说明之用,并非用来限定本发明实施例。
本发明实施例的技术方案提出一种多节点蜜罐系统,该多节点蜜罐系统基于虚拟蜜罐技术搭建模拟工业控制系统。
本发明实施例的技术方案中,为了适应多节点的拓扑架构,对单节点蜜罐系统做出相应修改。为了便于理解多节点蜜罐系统,下面先对单节点蜜罐系统进行解释说明,其中,单节点蜜罐系统用于模拟工业控制系统中的工业控制设备。
图1为本发明实施例的单节点蜜罐系统的示意图,如图1所示,所述单节点蜜罐系统是在节点主机上通过虚拟蜜罐模拟出PLC设备,这里,PLC设备可以是工业控制设备。图1中描述的虚拟蜜罐有三个,当然,虚拟蜜罐的数目并不局限于三个,还可以是其他数目。通过这三个虚拟蜜罐在节点主机上分别模拟出PLC设备1、PLC设备2和PLC设备3。单节点蜜罐系统的工作流程如下:
(1):来自公网(也即Internet)的攻击者向节点主机发来包含有网络流量信息和恶意攻击命令的数据包;当数据包到达网关时,数据包中的网络流量信息被防火墙和入侵检测系统截获,并发送到数据捕获模块。这里,网络流量信息包括:时间戳、源IP地址、源端口、目的IP地址、目的端口等。
(2):当数据包经过网关之后,根据数据包的目的端口将该数据包分配到相应的虚拟蜜罐,这里,虚拟蜜罐模拟特定的PLC设备并使用特定的工业通信协议。虚拟蜜罐记录下数据包的恶意攻击命令,将恶意攻击命令汇总发送到数据捕获模块。
(3):数据捕获模块对接收到的网络流量信息和恶意攻击命令进行匹配,还原原始的攻击者发送的数据包,并存储到当前本地数据库内。
基于以上单节点蜜罐系统,在多个不同的节点上均部署上述单节点蜜罐系统,所述多个单节点蜜罐系统互联形成网络拓扑结构,将这个网络拓扑结构称为多节点蜜罐系统,如图2所示。构建完成多节点蜜罐系统后,对多节点蜜罐系统中的各个单节点蜜罐系统的数据进行统一存储并进行分析挖掘。
图3为本发明实施例的多节点蜜罐系统的数据分析方法的流程示意图一,如图3所示,所述多节点蜜罐系统的数据分析方法包括以下步骤:
步骤301:获取各个单节点蜜罐系统的原始数据。
如图2所示,通过多节点蜜罐统一管理系统对多节点蜜罐系统的所有数据进行集中分析并挖掘。
具体地,获取各个单节点蜜罐系统接收到的数据包,所述数据包包括网络流量信息和恶意攻击命令,其中,所述网络流量信息至少包括:源IP地址、源端口、目的IP地址、目的端口、时间戳;
将预设时间段内具有相同源IP地址以及相同目的端口的所有数据包作为一个实例,其中,所述实例的属性信息至少包括:源IP地址、目的端口、时间戳、包头、包长、恶意攻击命令;
通过所有的实例组成所述原始数据。
步骤302:利用主成分分析法对所述原始数据进行特征筛选,得到中间数据。
这里,利用主成分分析法对所述原始数据进行特征筛选,可以降低原始数据的维度和复杂度,节省后续数据处理的资源。
步骤303:对所述中间数据进行聚类分析以及监督学习,得到多个簇,其中,每个簇包括多个实例。
所述对所述中间数据进行聚类分析,得到多个簇,包括:
依据所述中间数据的如下信息,对所述中间数据进行k-中心点聚类:时间戳、包头、包长、源IP地址;
依据所述中间数据的恶意攻击命令,对所述中间数据进行短文本聚类;
基于所述k-中心点聚类对应的权重和所述短文本聚类对应的权重,将所述中间数据划分为多个簇。
所述对所述中间数据进行监督学习,得到多个簇,包括:
根据威胁情报信息确定出攻击特征;
对所述攻击特征进行标注,生成特征标注集;
根据所述特征标注集对所述中间数据进行模式分类,得到多个簇。
步骤304:在各个所述簇内针对恶意攻击命令进行关联规则提取。
这里,同一个簇内的每个实例包括一个或多个恶意攻击命令,因而,在各个所述簇内针对恶意攻击命令进行关联规则提取。
步骤305:将提取出的关联规则作为攻击特征存储至特征标注集中。
图4为本发明实施例的多节点蜜罐系统的数据分析方法的流程示意图二,如图4所示,所述多节点蜜罐系统的数据分析方法包括以下步骤:
步骤401:获取原始数据。
将一定时间段内来自同一个源IP地址针对同一个目的端口的所有数据包(例如“CPU Control request:STOP”)作为一个实例,这里,一个实例的属性信息包括:源IP地址、目的端口、时间戳、包头、包长、恶意命令等;所有的实例组成原始数据。
步骤402:对原始数据进行特征筛选。
这里,利用主成分分析法进行特征筛选,以降低每个实例的维度和复杂度。
步骤403:同时使用聚类分析法和监督学习法进行攻击特征的初步提取。
以下对两种方法分别进行描述:
(1):聚类分析法:对步骤402处理得到的数据的时间戳、包头、包长、源IP地址等定义距离,然后进行k-中心点聚类,同时,对恶意攻击命令进行短文本聚类;最后,为两个聚类方法予不同的权重,最终得到多个簇。
(2):监督学习法:根据掌握的威胁情报信息提取出相关的攻击特征,并对其进行标注,生成特征报标注集;同时,配合历史攻击特征标注集对新到达的数据包进行模式识别,得到多个簇。
步骤404:关联规则提取。
这里,同一个簇内的每个实例同时包含一个或多个恶意攻击命令,在簇内针对恶意攻击命令进行关联规则提取。
步骤405:生成攻击特征。
上述步骤404提取出的关联规则即为攻击特征,将攻击特征存入攻击特征标注集中。
图5为本发明实施例的多节点蜜罐系统的工作架构图,如图5所示,多个节点的数据包汇聚到一起,进行数据清洗、数据存储、监督学习及聚类分析、最后得到攻击特征。这里,数据清洗是指对数据进行特征筛选等预处理。
下面结合具体应用场景再对本发明实施例的技术方案做进一步描述。
利用上述多节点蜜罐系统的拓扑结构,本发明实施例部署多种协议的多个设备的蜜罐,分别为:s7comm、bacnet、modbus、Kamstrup、Guardian。对于收集到的攻击日志数据,利用本发明实施例的数据分析方法分析出针对多个协议、多种设备的攻击序列(也即攻击特征)。例如,对于modbus设备,一种常见的异常攻击行为是利用特定的功能码进行设备远程读写操作,其攻击序列如下表所示:
表1
如表1所示,黑体标定部分为进行读写操作的寄存器编号,斜体标定部分为连接使用的功能码。
图6为本发明实施例的多节点蜜罐系统的结构组成示意图二,如图6所示,所述多节点蜜罐系统包括:多个单节点蜜罐系统601、统一管理系统602,所述多个单节点蜜罐系统601互联形成网络拓扑结构;其中,
所述统一管理系统602,用于获取各个单节点蜜罐系统601的原始数据;利用主成分分析法对所述原始数据进行特征筛选,得到中间数据;对所述中间数据进行聚类分析以及监督学习,得到多个簇,其中,每个簇包括多个实例;在各个所述簇内针对恶意攻击命令进行关联规则提取;将提取出的关联规则作为攻击特征存储至特征标注集中。
本发明实施例中,所述统一管理系统602包括:数据获取模块6021,用于获取各个单节点蜜罐系统601接收到的数据包,所述数据包包括网络流量信息和恶意攻击命令,其中,所述网络流量信息至少包括:源IP地址、源端口、目的IP地址、目的端口、时间戳;将预设时间段内具有相同源IP地址以及相同目的端口的所有数据包作为一个实例,其中,所述实例的属性信息至少包括:源IP地址、目的端口、时间戳、包头、包长、恶意攻击命令;通过所有的实例组成所述原始数据。
本发明实施例中,所述统一管理系统602包括:第一数据分析模块6022,用于依据所述中间数据的如下信息,对所述中间数据进行k-中心点聚类:时间戳、包头、包长、源IP地址;依据所述中间数据的恶意攻击命令,对所述中间数据进行短文本聚类;基于所述k-中心点聚类对应的权重和所述短文本聚类对应的权重,将所述中间数据划分为多个簇。
本发明实施例中,所述统一管理系统602包括:第二数据分析模块6023,用于根据威胁情报信息确定出攻击特征;对所述攻击特征进行标注,生成特征标注集;根据所述特征标注集对所述中间数据进行模式分类,得到多个簇。
本发明实施例中,同一个簇内的每个实例包括一个或多个恶意攻击命令
本领域技术人员应当理解,图6所示的多节点蜜罐系统中的各系统级及模块的实现功能可参照前述多节点蜜罐系统的数据分析方法的相关描述而理解。
本发明提出了基于虚拟蜜罐的多节点蜜罐系统,通过多节点蜜罐统一管理系统、以及多个单节点蜜罐系统模拟复杂的工业控制系统。此外,通过对各个单节点蜜罐系统的蜜罐日志进行文本聚类,自动且准确的识别相应的协议功能码,而后通过关联规则分析形成由一连串非法访问形成的特定的攻击模式。
本发明实施例上述多节点蜜罐系统如果以软件功能模块的形式实现并作为独立的产品销售或使用时,也可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明实施例的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机、服务器、或者网络设备等)执行本发明各个实施例所述方法的全部或部分。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read Only Memory)、磁碟或者光盘等各种可以存储程序代码的介质。这样,本发明实施例不限制于任何特定的硬件和软件结合。
相应地,本发明实施例还提供一种计算机存储介质,其中存储有计算机可执行指令,该计算机可执行指令被处理器执行时实现本发明实施例的上述多节点蜜罐系统的数据分析方法。
图7为本发明实施例的计算机设备的结构组成示意图,如图7所示,所述计算机设备包括存储器701、处理器702及存储在存储器701上并可在处理器702上运行的计算机可执行指令,所述处理器702执行所述计算机可执行指令时实现如下方法步骤:
获取各个单节点蜜罐系统的原始数据;
利用主成分分析法对所述原始数据进行特征筛选,得到中间数据;
对所述中间数据进行聚类分析以及监督学习,得到多个簇,其中,每个簇包括多个实例;
在各个所述簇内针对恶意攻击命令进行关联规则提取;
将提取出的关联规则作为攻击特征存储至特征标注集中。
以上涉及计算机设备的描述,与上述方法描述是类似的,同方法的有益效果描述,不做赘述。
本发明实施例所记载的技术方案之间,在不冲突的情况下,可以任意组合。
在本发明所提供的几个实施例中,应该理解到,所揭露的方法和智能设备,可以通过其它的方式实现。以上所描述的设备实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,如:多个单元或组件可以结合,或可以集成到另一个系统,或一些特征可以忽略,或不执行。另外,所显示或讨论的各组成部分相互之间的耦合、或直接耦合、或通信连接可以是通过一些接口,设备或单元的间接耦合或通信连接,可以是电性的、机械的或其它形式的。
上述作为分离部件说明的单元可以是、或也可以不是物理上分开的,作为单元显示的部件可以是、或也可以不是物理单元,即可以位于一个地方,也可以分布到多个网络单元上;可以根据实际的需要选择其中的部分或全部单元来实现本实施例方案的目的。
另外,在本发明各实施例中的各功能单元可以全部集成在一个第二处理单元中,也可以是各单元分别单独作为一个单元,也可以两个或两个以上单元集成在一个单元中;上述集成的单元既可以采用硬件的形式实现,也可以采用硬件加软件功能单元的形式实现。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本发明的保护范围之内。
Claims (8)
1.一种多节点蜜罐系统的数据分析方法,其特征在于,所述多节点蜜罐系统包括多个单节点蜜罐系统,所述多个单节点蜜罐系统互联形成网络拓扑结构:所述方法包括:
获取各个单节点蜜罐系统的原始数据;
利用主成分分析法对所述原始数据进行特征筛选,得到中间数据;
依据所述中间数据的如下信息,对所述中间数据进行k-中心点聚类:时间戳、包头、包长、源IP地址;依据所述中间数据的恶意攻击命令,对所述中间数据进行短文本聚类;基于所述k-中心点聚类对应的权重和所述短文本聚类对应的权重,将所述中间数据划分为两个以上的簇,其中,每个簇包括多个实例;
在各个所述簇内针对恶意攻击命令进行关联规则提取;
将提取出的关联规则作为攻击特征存储至特征标注集中。
2.根据权利要求l所述的多节点蜜罐系统的数据分析方 法,其特征在于,所述获取各个单节点蜜罐系统的原始数据,包括:
获取各个单节点蜜罐系统接收到的数据包,所述数据包包括网络流量信息和恶意攻击命令,其中,所述网络流量信息至少包括:源IP地址、源端口、目的IP地址、目的端口、时间戳;
将预设时间段内具有相同源IP地址以及相同目的端口的所有数据包作为一个实例,其中,所述实例的属性信息至少包括:源IP地址、目的端口、时间戳、包头、包长、恶意攻击命令;
通过所有的实例组成所述原始数据。
3.根据权利要求1所述的多节点蜜罐系统的数据分析方法,其特征在于,所述对所述中间数据进行监督学习,得到多个簇,包括:
根据威胁情报信息确定出攻击特征;
对所述攻击特征进行标注,生成特征标注集;
根据所述特征标注集对所述中间数据进行模式分类,得到多个簇。
4.根据权利要求3所述的多节点蜜罐系统的数据分析方法,其特征在于,同一个簇内的每个实例包括一个或多个恶意攻击命令。
5.一种多节点蜜罐系统,其特征在于,所述系统包括:多个单节点蜜罐系统、统一管理系统,所述多个单节点蜜罐系统互联形成网络拓扑结构;其中,
所述统一管理系统,用于获取各个单节点蜜罐系统的原始数据;利用主成分分析法对所述原始数据进行特征筛选,得到中间数据;第一数据分析模块,用于依据所述中间数据的如下信息,对所述中间数据进行k-中心点聚类:时间戳、包头、包长、源IP地址;依据所述中间数据的恶意攻击命令,对所述中间数据进行短文本聚类;基于所述k-中心点聚类对应的权重和所述短文本聚类对应的权重,将所述中间数据划分为两个以上的簇,其中,每个簇包括多个实例;在各个所述簇内针对恶意攻击命令进行关联规则提取;将提取出的关联规则作为攻击特征存储至特征标注集中。
6.根据权利要求5所述的多节点蜜罐系统,其特征在于,所述统一管理系统包括:数据获取模块,用于获取各个单节点蜜罐系统接收到的数据包,所述数据包包括网络流量信息和恶意攻击命令,其中,所述网络流量信息至少包括:源IP地址、源端口、目的IP地址、目的端口、时间戳;将预设时间段内具有相同源IP地址以及相同目的端口的所有数据包作为一个实例,其中,所述实例的属性信息至少包括:源IP地址、目的端口、时间戳、包头、包长、恶意攻击命令;通过所有的实例组成所述原始数据。
7.根据权利要求5所述的多节点蜜罐系统,其特征在于,所述统一管理系统包括:第二数据分析模块,用于根据威胁情报信息确定出攻击特征;对所述攻击特征进行标注,生成特征标注集;根据所述特征标注集对所述中间数据进行模式分类,得到多个簇。
8.根据权利要求7所述的多节点蜜罐系统,其特征在于,同一个簇内的每个实例包括一个或多个恶意攻击命令。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710521614.8A CN107360145B (zh) | 2017-06-30 | 2017-06-30 | 一种多节点蜜罐系统及其数据分析方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710521614.8A CN107360145B (zh) | 2017-06-30 | 2017-06-30 | 一种多节点蜜罐系统及其数据分析方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN107360145A CN107360145A (zh) | 2017-11-17 |
| CN107360145B true CN107360145B (zh) | 2020-12-25 |
Family
ID=60273505
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201710521614.8A Active CN107360145B (zh) | 2017-06-30 | 2017-06-30 | 一种多节点蜜罐系统及其数据分析方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN107360145B (zh) |
Families Citing this family (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107819783A (zh) * | 2017-11-27 | 2018-03-20 | 深信服科技股份有限公司 | 一种基于威胁情报的网络安全检测方法及系统 |
| CN109995716B (zh) * | 2017-12-29 | 2021-07-30 | 北京安天网络安全技术有限公司 | 基于高交互蜜罐系统的行为激发方法及装置 |
| CN109711459B (zh) * | 2018-12-24 | 2019-11-15 | 广东德诚科教有限公司 | 用户个性化行为评测方法、装置、计算机设备和存储介质 |
| CN109981602B (zh) * | 2019-03-07 | 2021-04-13 | 浙江大学 | 利用物联网安全网关系统进行的物联网安全网关防护方法 |
| CN111212053B (zh) * | 2019-12-27 | 2022-03-11 | 太原理工大学 | 一种面向工控蜜罐的同源攻击分析方法 |
| CN111541670A (zh) * | 2020-04-17 | 2020-08-14 | 广州锦行网络科技有限公司 | 一种新型动态蜜罐系统 |
| CN112134857B (zh) * | 2020-09-07 | 2021-08-27 | 广州锦行网络科技有限公司 | 一种蜜罐系统多个节点绑定一个蜜罐的方法 |
| CN112565278A (zh) * | 2020-12-08 | 2021-03-26 | 浙江国利网安科技有限公司 | 一种捕获攻击的方法及蜜罐系统 |
| CN113098905B (zh) * | 2021-05-08 | 2022-04-19 | 广州锦行网络科技有限公司 | 基于蜜罐的窄带物联网终端设备的防攻击方法及系统 |
| CN114268491A (zh) * | 2021-12-21 | 2022-04-01 | 南方电网科学研究院有限责任公司 | 一种基于蜜罐技术的网络安防系统 |
| CN114679334B (zh) * | 2022-04-20 | 2023-08-25 | 哈尔滨工业大学(威海) | 一种基于多模式人工智能的工控安全检测系统 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102790778A (zh) * | 2012-08-22 | 2012-11-21 | 常州大学 | 一种基于网络陷阱的DDoS攻击防御系统 |
| JP2013085124A (ja) * | 2011-10-11 | 2013-05-09 | Nippon Telegr & Teleph Corp <Ntt> | 攻撃情報管理システム、攻撃情報管理装置、攻撃情報管理方法及びプログラム |
| CN103561004A (zh) * | 2013-10-22 | 2014-02-05 | 西安交通大学 | 基于蜜网的协同式主动防御系统 |
-
2017
- 2017-06-30 CN CN201710521614.8A patent/CN107360145B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2013085124A (ja) * | 2011-10-11 | 2013-05-09 | Nippon Telegr & Teleph Corp <Ntt> | 攻撃情報管理システム、攻撃情報管理装置、攻撃情報管理方法及びプログラム |
| CN102790778A (zh) * | 2012-08-22 | 2012-11-21 | 常州大学 | 一种基于网络陷阱的DDoS攻击防御系统 |
| CN103561004A (zh) * | 2013-10-22 | 2014-02-05 | 西安交通大学 | 基于蜜网的协同式主动防御系统 |
Non-Patent Citations (4)
| Title |
|---|
| Design and implementation of distributed intrusion detection system based on honeypot;Yun Yang等;《2010 2nd International Conference on Computer Engineering and Technology》;20100418;全文 * |
| 数据挖掘在蜜罐日志分析中的应用研究;金涛;《中国优秀硕士学位论文全文数据库》;20120315;第4.1节,第4.2节,第4.3节,第5.1节,第5.4节 * |
| 结合语义改进的K-means短文本聚类算法;邱云飞等;《计算机工程与应用》;20150624;全文 * |
| 蜜罐技术研究与应用进展;诸葛建伟等;《软件学报》;20130415;第24卷(第4期);全文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN107360145A (zh) | 2017-11-17 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107360145B (zh) | 一种多节点蜜罐系统及其数据分析方法 | |
| CN109600363B (zh) | 一种物联网终端网络画像及异常网络访问行为检测方法 | |
| CN109802953B (zh) | 一种工控资产的识别方法及装置 | |
| CN107659543B (zh) | 面向云平台apt攻击的防护方法 | |
| CN107135093B (zh) | 一种基于有限自动机的物联网入侵检测方法及检测系统 | |
| CN107070929A (zh) | 一种工控网络蜜罐系统 | |
| CN107667505A (zh) | 用于监控和管理数据中心的系统 | |
| CN110086810A (zh) | 基于特征行为分析的被动式工控设备指纹识别方法及装置 | |
| CN111262722A (zh) | 一种用于工业控制系统网络的安全监测方法 | |
| CN111709009A (zh) | 联网工业控制系统的探测方法、装置、计算机设备和介质 | |
| CN114679292B (zh) | 基于网络空间测绘的蜜罐识别方法、装置、设备及介质 | |
| CN113660273B (zh) | 超融合架构下基于深度学习的入侵检测方法及装置 | |
| CN110213124A (zh) | 基于tcp多会话的被动操作系统识别方法及装置 | |
| CN113965393B (zh) | 一种基于复杂网络和图神经网络的僵尸网络检测方法 | |
| CN107302534A (zh) | 一种基于大数据平台的DDoS网络攻击检测方法及装置 | |
| CN112688932A (zh) | 蜜罐生成方法、装置、设备及计算机可读存储介质 | |
| CN113268735A (zh) | 分布式拒绝服务攻击检测方法、装置、设备和存储介质 | |
| CN110276195A (zh) | 一种智能设备入侵检测方法、设备及存储介质 | |
| CN108712369B (zh) | 一种工业控制网多属性约束访问控制决策系统和方法 | |
| JP6962374B2 (ja) | ログ分析装置、ログ分析方法及びプログラム | |
| CN112822204A (zh) | 一种nat的检测方法、装置、设备及介质 | |
| CN112261046A (zh) | 一种基于机器学习的工控蜜罐识别方法 | |
| CN112235242A (zh) | 一种c&c信道检测方法及系统 | |
| Oujezsky et al. | Botnet C&C traffic and flow lifespans using survival analysis | |
| CN116668145A (zh) | 一种基于工控协议通信模型的工控设备厂商识别方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |