本发明涉及网络安全与蜜罐,具体涉及一种基于流量分析的用户业务网络仿真方法和系统。
背景技术:
1、近几年来,欺骗防御技术(蜜罐技术)有了很大的发展,欺骗防御技术(蜜罐技术)是以攻防对抗思路为基础,让防守者得以观察攻击者行为的新兴网络安全防御技术,通过欺骗防御可以有效改变攻防不对称问题,变被动为主动,是对传统防御技术的有力增强和有益补充。
2、蜜罐的仿真能力是蜜罐诱捕的核心能力,目前对于仿真的环境的构建普遍缺乏智能化、自动化的技术手段,一般需要采用手动进行配置,蜜罐在现场部署时需要现场安全工程师详细调研网络拓扑、网络中资产的详细信息,包括操作系统、软硬件信息、数据库、业务系统的协议以及端口信息,再基于蜜罐的硬件资源情况,包括沙箱的分布、配置以及数量,合理设计蜜罐网络,包括高交互系统、中交互系统和高交互系统,蜜标的分布和数量,并进行逐项创建、保存和调参;同时,在蜜罐的日常应用过程中,当发现针对特定业务系统的大量网络攻击时,由于蜜罐的硬件资源的有限性,现场工程师需要手动调整蜜罐网络并关闭一些针对其它系统的仿真节点以节省硬件资源,针对受攻击的业务系统开启更多仿真节点,以实现更高的捕获率,从而获取更全面的攻击信息实现溯源反制;除此之外,当用户现场网络、业务系统进行升级、变更时,现场工程师需要基于网络、业务系统的变动,手动进行现场蜜罐网络的调整、优化。
3、在蜜罐的使用过程中需要安全工程师进行手动调整,蜜罐的应用效果极大依赖现场安全工程师的技术能力、个人经验以及人员工作量投入,实际项目中对于业务网络的仿真程度往往较低。一方面,对于未进行仿真的业务系统类型、资产类型,实际上等同于未进行“诱捕防护”;另一方面,对于仿真贴合度不足的业务系统类型、资产类型,蜜罐“甜度”不足,容易被攻击者识别,形成攻击逃逸。在蜜罐产品市场化应用过程中,过高的实施成本、应用成本成为了蜜罐产品市场推广的瓶颈,是制约蜜罐应用的“最后一公里”。
4、为了解决上述问题,本发明设计了一种基于流量分析技术的用户业务网络仿真方法和系统,是一种欺骗防御智能化、自动化仿真技术,解决传统蜜罐的仿真采用人工方式,仿真度低、效率低的应用难题。
技术实现思路
1、本发明针对上述现有技术中一个或多个技术缺陷,提出了如下技术方案。
2、基于本发明的第一方面,提出了一种基于流量分析的用户业务网络仿真方法,包括:
3、s1:部署网络流量采集处理设备,通过所述网络流量采集处理设备采集网络交换机中的流量数据,再对所述流量数据进行识别和解析并发送到蜜罐管理中心;
4、s2:所述蜜罐管理中心对所述流量数据进行实时分析并建立多维的业务网络全景拓扑模型,具体地,根据所述流量数据中的网络拓扑数据生成网络层级拓扑和网络资产节点,对网络节点矢量和网络连接线矢量进行赋值,再建立所述多维的业务网络全景拓扑模型;
5、s3:所述蜜罐管理中心根据硬件资源情况以及拟合算法,使用异构蜜网组件生成仿真蜜网模型;
6、s4:所述蜜罐管理中心根据所述仿真蜜网模型,调度仿真组件并创建仿真蜜网。
7、本发明提出的基于流量分析的用户业务网络仿真办法是一种欺骗防御智能化、自动化的仿真技术,采用流量采集处理设备进行联动实现了用户网络和资产详细信息的实时采集和处理,改变了传统蜜罐对业务网络及其属性的识别、分析采用的人工模式,解决了传统蜜罐现场部署实施工作量巨大的难题,极大地加速了蜜罐产品的市场化应用。
8、更进一步地,所述流量数据包括网络拓扑数据、操作系统数据、网络服务数据、数据库数据和中间件数据。
9、更进一步地,所述网络节点矢量是包括网络坐标、网络拓扑、资产、操作系统、网络服务、数据库和中间件的复合向量;
10、所述网络连接线矢量是包括协议、端口、连接、流量和频率的复合向量。
11、通过定义数据采集的标准格式,可以增加数据采集的效率,并且解决传统人工采集的模式下受个人经验影响导致的数据采集完备性较低的问题。
12、更进一步地,所述多维的业务网络全景拓扑模型按照所述网络节点的网络拓扑数据维度、资产数据维度、操作系统数据维度、网络服务数据维度、数据库数据维度和中间件数据维度,以及所述网络连接线的数据维度构建。
13、从多个维度出发构建业务网络全景拓扑模型能够对采集的流量数据进行更加全面完整的分析,增强蜜罐数据的完备性。
14、更进一步地,所述异构蜜网组件包括高交互单元组件、中交互单元组件、低交互单元组件和蜜饵组件;
15、其中,所述高交互组件包括操作系统、数据库和大型应用服务;
16、所述中交互单元组件包括网络服务、中型应用服务和中间件;
17、所述低交互单元组件包括接口模拟单元和访问模拟单元;
18、所述蜜饵组件包括部署在主机的agent单元。
19、更进一步地,步骤s3具体包括:
20、s301:对所述多维的业务网络全景拓扑模型中的网络节点进行价值评级,所述价值评级包括极高、高、中和低,分别对应高交互单元、中交互单元、低交互单元和蜜饵单元;
21、s302:按照所述价值评级对所述网络节点赋予权重值i;
22、s303:计算所述网络节点的高交互单元的权重k并得到网段包含的网络节点的高交互节点数,公式如下:
23、
24、其中,k表示所述网络节点的高交互单元的权重,i表示按照所述网络节点的价值评级所赋予的权重值,按照所述价值评级从高到低对应的高交互单元、中交互单元、低交互单元和蜜饵单元所赋予的权重值i分别为1、0.75、0.5和0.25,j表示所述网络节点位置坐标的权重值,j=网段包含的网络节点数/网络总节点数;
25、所述网段包含的网络节点的高交互节点数=网络总节点数×k;
26、s304:通过计算所述网络节点的中交互单元的权重p得到网段包含的网络节点的中交互节点数,公示如下:
27、
28、其中,p表示所述网络节点的中交互单元的权重,i表示按照所述网络节点的价值评级所赋予的权重值,按照所述价值评级从高到低对应的中交互单元、低交互单元和蜜饵单元所赋予的权重值i分别为0.75、0.5和0.25,m表示所述网络节点位置坐标的权重值,m=(网段包含的网络节点数-网段包含的高交互节点数)/(网络总节点数-网络中包含的高交互节点数);
29、所述网段包含的网络节点的中交互节点数=(网络总节点数-网络中包含的高交互节点数)×p;
30、s305:将所述网段包含的网络节点数除去高交互节点数和中交互节点数后剩下的网络节点数按照1:n的比例分配,分别作为低交互节点数和蜜饵节点数;
31、s306:结合网段包含的网络节点的所述高交互节点数、所述中交互节点数、所述低交互节点数和所述蜜饵节点数,并根据所述网络节点的属性选择所述异构蜜网组件生成初始仿真网络拓扑模型;
32、s307:计算所述初始仿真网络拓扑模型的硬件资源总量,结合所述蜜罐管理中心的硬件资源计算所述初始仿真网络拓扑模型的仿真比例;
33、s308:按照所述仿真比例对所述初始仿真网络拓扑模型进行等比例缩减进行,生成所述仿真蜜网模型。
34、采用拟合算法生成仿真蜜网模型能够尽可能减少误差,确保利用所述仿真蜜网模型生成的仿真蜜网的仿真度和准确性。
35、更进一步地,所述网络拓扑数据维度包括网络层级设置、ip段、资产(ip)数量、it/ot/iot属性、固定ip/动态ip区域、外联域属性、业务系统类型和经济价值;
36、所述资产数据维度包括ip段、i t/ot/iot属性、实体/虚拟机属性、资产属性和经济价值;
37、所述操作系统数据维度包括类型和版本;
38、所述网络服务数据维度包括类型、版本和业务价值;
39、所述数据库数据维度包括类型、版本和业务价值;
40、所述中间件数据维度包括类型、版本和业务价值;
41、所述数据维度包括实时值、时域统计值和频域统计值。
42、更进一步地,优选地,n的数值范围为[3,10]区间的整数。
43、基于本发明的第二方面,还提出了一种基于流量分析的用户业务网络仿真系统,包括:
44、流量采集模块:部署网络流量采集处理设备,通过所述网络流量采集处理设备采集网络交换机中的流量数据,再对所述流量数据进行识别和解析并发送到蜜罐管理中心;
45、业务网络全景拓扑模型模块:所述蜜罐管理中心对所述流量数据进行实时分析并建立多维的业务网络全景拓扑模型,具体地,根据所述流量数据中的网络拓扑数据生成网络层级拓扑和网络资产节点,对网络节点矢量和网络连接线矢量进行赋值,再建立所述多维的业务网络全景拓扑模型;
46、仿真蜜网模型模块:所述蜜罐管理中心根据硬件资源情况以及拟合算法,使用异构蜜网组件生成仿真蜜网模型;
47、生成仿真蜜网模块:所述蜜罐管理中心根据所述仿真蜜网模型,调度仿真组件并创建仿真蜜网。
48、基于本发明的第三方面,还提出了一种计算机可存储介质,其上存储有一个或多个计算机程序,所述一个或多个计算机程序在被计算机处理器执行时实施如上述之任一项所述的方法。
49、本发明的技术效果在于:本发明是一种欺骗防御智能化、自动化仿真技术,采用与流量采集处理设备进行联动实现了对于用户网络及资产详细信息的实时采集、处理,再输入蜜罐管理中心进行业务网络自动化仿真,生成业务网络仿真模型,蜜罐管理中心网络基于仿真网络模型进行仿真网络的自动化创建,改变了传统蜜罐现场部署实施工作量巨大的难题,能够极大的加速蜜罐产品的市场化应用,解决了传统蜜罐对于业务网络及属性的识别、分析采用的人工模式,导致的仿真度低、效率低的应用难题,使得产品实施效率大幅提升、实施成本大幅下降,大幅提升了仿真的效率与准确性。
1.一种基于流量分析的用户业务网络仿真方法,其特征在于,包括:
2.根据权利要求1所述的方法,其特征在于,所述流量数据包括网络拓扑数据、操作系统数据、网络服务数据、数据库数据和中间件数据。
3.根据权利要求1所述的方法,其特征在于,所述网络节点矢量是包括网络坐标、网络拓扑、资产、操作系统、网络服务、数据库和中间件的复合向量;
4.根据权利要求1所述的方法,其特征在于,所述多维的业务网络全景拓扑模型按照所述网络节点的网络拓扑数据维度、资产数据维度、操作系统数据维度、网络服务数据维度、数据库数据维度和中间件数据维度,以及所述网络连接线的数据维度构建。
5.根据权利要求1所述的方法,其特征在于,所述异构蜜网组件包括高交互单元组件、中交互单元组件、低交互单元组件和蜜饵组件;
6.根据权利要求1所述的方法,其特征在于,步骤s3具体包括:
7.根据权利要求4所述的方法,其特征在于,
8.根据权利要求6所述的方法,优选地,n的数值范围为[3,10]区间的整数。
9.一种基于流量分析的用户业务网络仿真系统,其特征在于,包括:
10.一种计算机可存储介质,其上存储有一个或多个计算机程序,其特征在于,所述一个或多个计算机程序在被计算机处理器执行时实施如权利要求1-8之任一项所述的方法。
