本发明涉及安全防护,具体为一种基于rasp的攻击防护系统。
背景技术:
1、rasp(runtime application self-protection)是一种新型应用安全保护技术。它将保护程序像疫苗一样注入到应用程序中,应用程序融为一体,能实时检测和阻断安全攻击,使应用程序具备自我保护能力。当应用程序遭受到实际攻击伤害,就可以自动对其进行防御,而不需要进行人工干预。
2、在当前新型电力系统建设背景下,攻击手法层出不穷,伴随着僵木蠕病毒的传播,系统0day威胁,apt攻击,社会工程学攻击的出现,面对五花八门的攻击手法,防不胜防的组合攻击链,使得基于特征匹配的传统检测防御技术很难有效检测出攻击。
3、欺骗防御是基于攻击者的行为偏好,在攻击路径上设置多重陷阱,对攻击者进行诱捕,并且基于规则特征的传统安全误报相对较高,欺骗防御基于行为偏好检测发现攻击行为,精准度更高,基本无误报。相比传统安全的被动防御而言,欺骗防御这种安全手段是主动防御,它可以和传统的安全手段形成有效互补,为企业构建更加安全的防御体系。
4、公告号cn114091039a公开了一种基于rasp的攻击防护补丁方法及系统,采用的技术方案为:所述系统包括web应用端、server控制端,server控制端包括portal端和分析引擎;所述方法是:在web应用端加载探针与server控制端进行实时数据交换;在portal端进行安全防护补丁设置,其中安全防护补丁中可以设置补丁名称、补丁的相关描述、要阻断的url、阻断url的参数设置和参数匹配等信息;在安全防护补丁设置完成之后,通过server控制端自动下发安全防护补丁到web应用端加载的探针中去形成有效的防护,分析引擎接收探针处产生的实时防护信息汇总成攻击事件信息返回给portal端显示出来供用户进行相关决策。本发明通过rasp技术对产在线的应用进行实时的保护,实现了攻击防护的实时性。
5、当前主要采用服务端管理配置蜜罐实现基础的欺骗防御能力,但是还存在一些局限性。主要包括:
6、1、与业务系统主辅融合度不高,业务仿真度较差,蜜罐容器被攻击者辨识,诱捕成功率不高。
7、2、欺骗防御能力单一,没有形成立体式的全局欺骗能力。
8、3、发现攻击者后,除了基于ip和钓鱼进行溯源,无法做更进一步的整个攻击团队攻击时间周期行为跟踪分析
技术实现思路
1、本发明的目的之一在于提供一种基于rasp的攻击防护系统,通过建立立体化欺骗防御体系,在攻击者进行攻击时,通过诱导攻击者攻击的方式,来确定数据交互过程中攻击者的身份,并根据攻击者对于敏感路径的攻击来确定攻击者的危险程度,在攻击者攻击的过程中,对攻击者身份进行溯源。
2、为实现以上目的,本发明通过以下技术方案予以实现:一种基于rasp的攻击防护系统,包括:
3、业务层,采用元数据方式进行数据建模,建立筛选模型,该筛选模型包含至少一个虚拟交互层,虚拟交互层用于反馈用户的交互行为,筛选模型获取用户请求信息和终端设备指纹,确定用户身份;
4、应用层,包括业务系统,通过表、视图、文件、消息为各级各层用户提供应用支持;
5、整合层,采用自底向上建模方式,对数据进行统一清洗、编码转换、合规性检查、整个后形成,对用户与虚拟交互层的交互行为进行识别,并通过用户的最终操作来确定交互行为中的噪声,将交互行为精简为必要行为;
6、接口层,存储来自业务层的数据,并设置实时接口和延迟接口实现整合层与应用层之间的交互;
7、业务层还包括采集单元,采集单元包括rasp探针以及密网探针,rasp探针及密网探针实时监测用户与筛选模型的交互。
8、在本发明一或多个实施方式中,接口层的实时接口与延迟接口分别用于连接应用层及整合层,实时接口与应用层连接,实现业务系统与接口层的实时传输,延迟接口与整合层连接,整合层与接口层之间形成延迟数据传输,在虚拟交互层发出调取指令时,整合层实时调取接口层数据。
9、在本发明一或多个实施方式中,筛选模型包括至少一个由业务系统多条敏感路径建立的蜜罐网络,蜜罐网络包含多个子蜜罐,且子蜜罐之间彼此连通,蜜罐网络模拟业务系统的功能和行为;
10、每个子蜜罐包含至少一个敏感路径,密网探针布置于每个子蜜罐内部对敏感路径的状态进行监测,获取攻击者的攻击时间生成攻击日志,在子蜜罐遭受攻击时,与遭受攻击的子蜜罐相连通的蜜罐通过暴露敏感路径的方式诱导攻击者攻击。
11、在本发明一或多个实施方式中,蜜罐网络还包括基于业务系统的仿真页面,筛选模型通过rasp字节码程序插桩技术在由业务系统建立的筛选模型特定位置植入探针代码,形成rasp探针,监测到攻击者的请求时,通过伪造响应的方式,在筛选模型中域名下增加不存在于虚拟交互层中的诱导web路径,攻击者访问诱导web路径时,跳转至蜜罐网络的仿真页面。
12、在本发明一或多个实施方式中,攻击者溯源方法如下:
13、在终端浏览器请求数据时,加载一段js脚本,获取终端设备指纹信息;
14、用户通过浏览器发出http请求,web业务系统返回带有指纹采集脚本的html页面;
15、浏览器自动执行javascript脚本渲染页面,收集浏览器信息上传至业务系统;
16、基于相同指纹采集脚本在同一设备浏览器执行结果相同,通过指纹匹配算法追踪用户,分析用户行为。
17、在本发明一或多个实施方式中,蜜罐网络可实现攻击者密码破解、漏洞利用、攻击横移动作,通过密网探针获取攻击者的行为,分析攻击者的攻击手段和策略;
18、筛选模型中设置的rasp探针用于监测用户的交互请求,并根据用户的交互请求来确定用户危险权重,分析该用户是否为攻击者。
19、在本发明一或多个实施方式中,确定用户危险权重方法如下:
20、获取用户请求类型、请求频率、请求内容、用户行为以及终端设备指纹,识别请求内容以及用户行为是否存在危险;
21、确定用户请求类型中是否包含敏感路径,确定每个敏感路径的权重值;
22、计算用户请求频率权重值;
23、获取终端设备指纹是否被记录;
24、确定最终权重值。
25、在本发明一或多个实施方式中,用户危险权重值w计算公式如下:
26、w=1.x*r+i(y*t)+l*k;
27、其中,x为用户行为中过去发送恶意请求的次数,r为敏感路径权重总值,t为用户异常请求权重值,y为用户异常请求次数,l为用户正常请求次数,k为用户正常请求权重值;
28、敏感路径权重总值r为用户请求类型中所包含所有的敏感路径权重值之和,r=r1+r2+...+rn。
29、在本发明一或多个实施方式中,用户危险权重值w计算中,用户正常请求权重值为负值,且每个敏感路径的权重值随着敏感路径的访问改变,敏感路径权重值最大为1,最小为0.2,敏感路径权重值一段时间进行一次修改,根据敏感路径被请求的次数调整敏感路径的权重值。
30、在本发明一或多个实施方式中,整合层获取用户与虚拟交互层之间的交互行为,并确定用户与虚拟交互层交互后产生的数据变化结果,根据数据变化结果精简交互行为,步骤如下:
31、获取用户交互行为,确定数据变化结果;
32、基于用户初始交互行为以及数据变化结果确定必要行为;
33、合并不存在数据变化结果的相同交互行为,剔除交互行为中的噪声;
34、确定必要行为步骤,并对必要行为步骤进行监测,确保必要行为的安全性;
35、将必要行为传输至接口层,接口层传输至应用层,由业务系统复刻。
36、通过上述技术方案,本发明具备以下有益效果:
37、1、本发明建立立体化欺骗防御体系,对进行数据交互的用户进行筛选,通过rasp探针来监测数据交互过程中的行为,根据请求内容和终端设备指纹,确定用户是否为攻击者,在确定攻击者后,基于终端指纹技术对攻击者进行溯源,生成攻击者画像,方便防守方针对此攻击者的取证调查和溯源追踪。
38、2、基于业务系统建立筛选模型,获取通过模拟业务系统中的敏感路径来建立蜜罐网,对出现异常行为的数据交互行为进行伪装牵引,提高诱捕成功率,在攻击者攻击的过程中会不断引导攻击者发现新的敏感路径,从而混淆攻击者的攻击目标。
39、3、在混淆攻击者攻击目标的过程中,结合终端指纹技术实现对攻击者攻击设备的指纹提取,精准感知,为溯源工作中串并案提供支持,而不断提供新的敏感路径来延长攻击者的攻击时间,通过还原攻击过程,溯源追踪攻击者身份,形成攻击者画像。
40、4、筛选模型中包括交互层,用户在需要与业务系统进行交互时,会由筛选模型中的交互层进行交互操作,根据用户的交互行为来确定交互过程中的安全性,确定交互过程安全后,对用户的交互行为进行精简,之后将精简后的必要行为复刻至业务系统中,实现交互操作。
1.一种基于rasp的攻击防护系统,其特征在于,一种基于rasp的攻击防护系统,包括:
2.根据权利要求1所述的一种基于rasp的攻击防护系统,其特征在于,接口层的实时接口与延迟接口分别用于连接应用层及整合层,实时接口与应用层连接,实现业务系统与接口层的实时传输,延迟接口与整合层连接,整合层与接口层之间形成延迟数据传输,在虚拟交互层发出调取指令时,整合层实时调取接口层数据。
3.根据权利要求2所述的一种基于rasp的攻击防护系统,其特征在于,筛选模型包括至少一个由业务系统多条敏感路径建立的蜜罐网络,蜜罐网络包含多个子蜜罐,且子蜜罐之间彼此连通,蜜罐网络模拟业务系统的功能和行为;
4.根据权利要求3所述的一种基于rasp的攻击防护系统,其特征在于,蜜罐网络还包括基于业务系统的仿真页面,筛选模型通过rasp字节码程序插桩技术在由业务系统建立的筛选模型特定位置植入探针代码,形成rasp探针,监测到攻击者的请求时,通过伪造响应的方式,在筛选模型中域名下增加不存在于虚拟交互层中的诱导web路径,攻击者访问诱导web路径时,跳转至蜜罐网络的仿真页面。
5.根据权利要求4所述的一种基于rasp的攻击防护系统,其特征在于,攻击者溯源方法如下:
6.根据权利要求5所述的一种基于rasp的攻击防护系统,其特征在于,蜜罐网络可实现攻击者密码破解、漏洞利用、攻击横移动作,通过密网探针获取攻击者的行为,分析攻击者的攻击手段和策略;
7.根据权利要求6所述的一种基于rasp的攻击防护系统,其特征在于,确定用户危险权重方法如下:
8.根据权利要求7所述的一种基于rasp的攻击防护系统,其特征在于,用户危险权重值w计算公式如下:
9.根据权利要求8所述的一种基于rasp的攻击防护系统,其特征在于,用户危险权重值w计算中,用户正常请求权重值为负值,且每个敏感路径的权重值随着敏感路径的访问改变,敏感路径权重值最大为1,最小为0.2,敏感路径权重值一段时间进行一次修改,根据敏感路径被请求的次数调整敏感路径的权重值。
10.根据权利要求9所述的一种基于rasp的攻击防护系统,其特征在于,整合层获取用户与虚拟交互层之间的交互行为,并确定用户与虚拟交互层交互后产生的数据变化结果,根据数据变化结果精简交互行为,步骤如下:
