用于信息系统的信息安全威胁智能预警方法和装置与流程

1.本发明涉及信息安全相关技术领域，具体涉及一种用于信息系统的信息安全威胁智能预警方法和装置。


背景技术：

2.当前，世界各国信息化快速发展，信息技术的应用促进了全球资源的优化配置和发展模式的创新，互联网对政治、经济、社会和文化的影响更加深刻，信息化渗透到国民生活的各个领域，网络和信息系统已经成为关键基础设施乃至整个经济社会的神经中枢，围绕信息获取、利用和控制的国际竞争日趋激烈，保障信息安全成为各国重要议题。进一步的，电力、石化、钢铁、轨道交通等行业信息系统是国家关键信息基础设施的重要组成部分，其信息系统的运行状况可直接作用于物理世界。这些信息系统对于信息安全方向的需求更加的迫切。一旦这些信息系统面对信息安全威胁时发生了信息安全事故，会造成巨大的损失。现有的技术方案中，可以通过搭建蜜网的方式减少信息系统面对信息安全威胁时发生了信息安全事故的概率。但是面对网络中各种各样的未知的威胁，固定死板的蜜网并不能有效的保护信息系统。
3.所以，现在需求一种用于信息系统信息安全威胁智能预警方法，以减少信息系统在信息安全发生事故的概率。


技术实现要素：

4.有鉴于此，提供一种用于信息系统的信息安全威胁智能预警方法和装置，以至少一定程度缓解相关技术中信息系统面对信息安全威胁，可能会发生信息安全事故的问题。
5.本发明采用如下技术方案：
6.第一方面，本发明实施例提供了一种用于信息系统的信息安全威胁智能预警方法，该方法包括：
7.基于预设的用于保护信息系统的诱捕节点，判断信息系统是否受到攻击；
8.当信息系统受到攻击时，通过诱捕节点采集攻击数据，并将攻击数据引流至后端蜜网中；
9.基于所述攻击数据和预设的自适应蜜网策略模型，调整所述蜜网内蜜罐的部署规则，以提高蜜网对攻击行为的防御能力。
10.可选的，所述蜜罐分别设置在信息系统的各个子模块用于诱捕攻击。
11.可选的，所述蜜罐还设置在可访问外网区域。
12.可选的，所述蜜罐包括：报警蜜罐和主机蜜罐；
13.所述报警蜜罐为部署于信息系统的各个区域，发现攻击行为并采集攻击信息的蜜罐；
14.所述主机蜜罐为部署于核心区域和关键路径，采集攻击行为在核心区域和关键路径进行操作的蜜罐。
15.可选的，所述蜜罐包括：windows系统蜜罐、linux系统蜜罐和/或sass云蜜罐。
16.可选的，所述当信息系统受到攻击时，通过诱捕节点采集攻击数据，并将攻击数据引流至后端蜜网中，包括：
17.当信息系统受到攻击时，通过诱捕节点采集攻击数据，将攻击数据引流至后端蜜网中，并实时提取并保存攻击数据。
18.可选的，所述基于所述攻击数据和预设的自适应蜜网策略模型，调整所述蜜网内蜜罐的部署规则，以提高蜜网对攻击行为的判断能力包括：
19.基于所述攻击数据，分析攻击的业务场景、攻击的关键路径和攻击的习惯特征；
20.汇总预设时间内受到攻击时，业务场景、攻击的关键路径和攻击的习惯，得到攻击语境；
21.基于所述攻击语境和预设的自适应蜜网策略模型，调整所述蜜网内蜜罐的部署规则；其中，所述蜜网内蜜罐的部署规则包括：各个部署区域内部署蜜网的数量，各个部署区域内部署的蜜网的类型。
22.第二方面，本发明实施例提供了一种用于信息系统的信息安全威胁智能预警装置，包括：
23.判断模块，用于基于预设的用于保护信息系统的诱捕节点，判断信息系统是否受到攻击；
24.采集模块，用于当信息系统受到攻击时，通过诱捕节点采集攻击数据，并将攻击数据引流至后端蜜网中；
25.调整模块，用于基于所述攻击数据和预设的自适应蜜网策略模型，调整所述蜜网内蜜罐的部署规则，以提高蜜网对攻击行为的防御能力。
26.本发明采用以上技术方案，基于预设的用于保护信息系统的诱捕节点，判断信息系统是否受到攻击；当信息系统受到攻击时，通过诱捕节点采集攻击数据，并将攻击数据引流至后端蜜网中；
27.基于所述攻击数据和预设的自适应蜜网策略模型，调整所述蜜网内蜜罐的部署规则，以提高蜜网对攻击行为的防御能力。如此设置，可以基于攻击数据灵活的设置蜜罐的位置，避免蜜网中一些蜜罐因为位置部署不合理造成蜜罐无效的问题。基于攻击数据，合理的进行蜜罐的部署，更大限度的发挥各个蜜罐的作用，以提高提供蜜网对于攻击(即：信息安全威胁)的判断能力，进而提高整体提高当前网络的主动防御能力，在一定程度上减少信息系统面对信息安全威胁时发生信息安全事故的概率。
附图说明
28.为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
29.图1是本发明实施例提供的一种用于信息系统的信息安全威胁智能预警方法的流程图；
30.图2是本发明实施例提供的一种用于信息系统的蜜网系统的结构示意图；
31.图3是本发明实施例提供的一种用于信息系统的信息安全威胁智能预警装置的结构示意图。
具体实施方式
32.为使本发明的目的、技术方案和优点更加清楚，下面将对本发明的技术方案进行详细的描述。显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动的前提下所得到的所有其它实施方式，都属于本发明所保护的范围。
33.首先对本发明实施例的应用场景进行说明，当前，世界各国信息化快速发展，信息技术的应用促进了全球资源的优化配置和发展模式的创新，互联网对政治、经济、社会和文化的影响更加深刻，信息化渗透到国民生活的各个领域，网络和信息系统已经成为关键基础设施乃至整个经济社会的神经中枢，围绕信息获取、利用和控制的国际竞争日趋激烈，保障信息安全成为各国重要议题。进一步的，电力、石化、钢铁、轨道交通等行业信息系统是国家关键信息基础设施的重要组成部分，其信息系统的运行状况可直接作用于物理世界。这些信息系统对于信息安全方向的需求更加的迫切。一旦这些信息系统面对信息安全威胁时发生了信息安全事故，会造成巨大的损失。现有的技术方案中，可以通过搭建蜜网的方式减少信息系统面对信息安全威胁时发生了信息安全事故的概率。但是面对网络中各种各样的未知的威胁，固定死板的蜜网并不能有效的保护信息系统。所以，现在需求一种用于信息系统信息安全威胁智能预警方法，以减少信息系统在信息安全发生事故的概率。本技术针对这一需求提出了对应的解决方案。
34.实施例
35.图1为本发明实施例提供的一种用于信息系统的信息安全威胁智能预警方法的流程图，该方法可以由本发明实施例提供的用于信息系统的信息安全威胁智能预警装置来执行。参考图1，该方法具体可以包括如下步骤：
36.s101、基于预设的用于保护信息系统的诱捕节点，判断信息系统是否受到攻击；
37.s102、当信息系统受到攻击时，通过诱捕节点采集攻击数据，并将攻击数据引流至后端蜜网中；
38.其中，在攻击数据是通过诱捕节点(也可以叫攻击流量牵引器)来采集的，诱捕节点相当于是后台蜜罐的透明代理。所谓蜜网的含义是多个蜜罐组成的网络，叫做蜜网。
39.s103、基于所述攻击数据和预设的自适应蜜网策略模型，调整所述蜜网内蜜罐的部署规则，以提高蜜网对攻击行为的防御能力。
40.需要说明的是，蜜网的核心为攻击欺骗技术，攻击欺骗技术是以攻击者而非攻击本身为导向的防御技术。它的理念基础是，尽管攻击的手段和技术在不断的变化和发展，但实际上攻击背后的主体是人，人都有天生的弱点，是人都会犯错，都会上当受骗。攻击欺骗技术通过在攻击者的攻击过程、攻击路径、攻击范围内设置若干精心布置的虚假目标(诱捕陷阱)，吸引攻击者进行攻击，扰乱和混淆攻击者对攻击目标和攻击路径的正确识别，从而达到保护真实目标，甚至诱捕攻击者的目的。其中，蜜网中的的蜜罐本质上利用了对攻击方进行欺骗的技术，通过布置一些作为诱饵的主机、网络服务或者信息，诱使攻击方对它们实施攻击，从而可以对攻击行为进行捕获和分析。但是，现有技术中，蜜网的蜜罐一旦进行部
署，则位置基本不会改变，在部署时受限于部署者的自身能力的影响，一些蜜罐的部署位置并不合理，成为无效蜜罐。进一步的，随着时间的改变，攻击者的攻击攻击方式的改变，也会使得原本部署合理的蜜罐，变为无效蜜罐。
41.本技术提供的方案中，首先基于预设的用于保护信息系统的诱捕节点，判断信息系统是否受到攻击；当信息系统受到攻击时，通过诱捕节点采集攻击数据，并将攻击数据引流至后端蜜网中；基于所述攻击数据和预设的自适应蜜网策略模型，调整所述蜜网内蜜罐的部署规则，以提高蜜网对攻击行为的防御能力。即，本技术提供的方案中，可以基于攻击数据调节蜜罐的部署，使得蜜罐的部署更加的合理，蜜罐的部署对于攻击行为更加的具有针对性，更大限度的发挥各个蜜罐的作用，以提高提供蜜网对于攻击(即：信息安全威胁)的判断能力，进而提高整体提高当前网络的主动防御能力，在一定程度上减少信息系统面对信息安全威胁时，发生信息安全事故的概率。
42.进一步的，参照图2，本技术以一个具体的电力系统及其蜜网为例，对本技术提供的用于信息系统的信息安全威胁智能预警方法进行进一步的说明：
43.以某电力企业内网结构为例，企业的内网环境规模很大，网络节点众多，结构复杂，往往会依据功能角色和安全策略划分为许多不同的区域，比如外部服务区、内部服务区、管理区、办公区、核心数据区等。蜜罐(即诱捕节点)设置在部署在电力系统的各个区，模仿主机、应用和服务对攻击进行诱捕。部署过后的，电力系统中会新增加大量的主机、应用和服务等。成倍增加企业内网的规模和复杂程度，指数级提高攻击者在内网渗透中对网络结构分析、攻击路径选取、目标判断的难度。值得一提的是：所有新加入的主机、应用、服务等都是在不改动企业原有网络结构的基础上，以新增的轻量级节点方式引入，因此这些新增加的主机、应用、服务等不会对企业原有的网络环境和业务系统产生任何影响。这些在攻击者视角看来与企业内网中真实主机没有任何差异的主机、应用、服务等实际上都是诱捕节点，每个诱捕节点都指向中心蜜网中的虚拟主机，攻击者一旦对诱捕节点进行攻击，欺骗防御系统会立即检测到攻击并将攻击转移到与企业真实网络环境相隔离的蜜网环境中，而这背后发生的一切对于攻击者来说都无法察觉。虽然攻击的手段不断升级变化，但是内网渗透的过程却是基本不变的。
44.攻击者通过先进技术手段突破边界防御，成功进入到企业内网后，由于内网区域的划分和策略的限制，导致内网中所有的主机与设备并不是全部连通的，因此攻击者是不能够直接接触到他的目标(核心数据)的，所以黑客必须要通过一定的手段从一台机器跳转到另一台机器，按照一定的攻击路径最终抵达目标所在的位置，这就是我们说的横向移动。而进行横向移动所依赖的条件，就是主机与主机之间的信任凭证，帐号密码、证书、cookies、漏洞利用等。而欺骗防御技术对内网攻击的介入并不是只针对于某一个阶段和环节的，而是针对于整个攻击过程全程介入的，通过在攻击者内网渗透的各个可能的路线上设置多种虚假信任凭证和误导信息，实现对攻击者进行内网渗透的任何阶段和环节的干预和介入。
45.欺骗防御技术在攻击者内网渗透的必经之路上铺设大量的诱捕节点(蜜罐)，诱捕节点覆盖攻击者进行横向移动所需要的凭证、帐号密码、证书以及有漏洞的网络服务等，混淆和误导攻击者在内网渗透过程中路径和目标的正确选择，成倍提高攻击难度，并诱导攻击者一步一步进入蜜场中，实现对客户真实系统的攻击隔离。
46.进一步的，各个子区域蜜罐与真实服务器的数量比例为1：4～1：2之间，也就是说蜜罐节点的数量占该网络区域已用ip数的20％～50％之间。这主要基于的理由是:结合信息安全领域多年来的应急响应服务和apt案例过程的分析研究得出的结论：平均一次局部网络区域的成功入侵行为，会触碰该区域内80％的主机。
47.对于蜜罐类型的分配和选择，可以进行有针对性的选择部署，以达到最佳的效果和性价比，按交互程度和作用划分，蜜罐主要分为报警蜜罐和主机蜜罐，报警蜜罐主要用于攻击发现，成本较低，可大规模扩容，实现广泛覆盖，主机蜜罐主要用于深度攻击行为数据的捕获，可以提取有价值的威胁情报，但成本较高，可以进行有针对性的部署，如部署在核心资产周围，关键路径点等。进一步的，在办公网，可以针对能够接触到开发或者测试区域核心代码、业务数据等的开发人员和运维人员区域周围做重点针对性部署。蜜罐的操作系统和服务类型也可以根据周围业务和网络环境进行有针对性的选择，比如数据区、生产服务区等可多部署一些数据库、中间件类型蜜罐，windows服务器居多的区域可部署windows系统蜜罐、linux系统居多的区域可部署linux蜜罐、外围区域及非核心区域以报警蜜罐部署为主，主要起早期预警作用。除在内网中部署蜜网外，还可以在一些可访问外网区域采用sass云蜜罐形式作为补充，可将部分攻击从早期阶段直接向外引向公司外部端蜜网。
48.进一步的，本技术提供的方案中，当信息系统受到攻击时，通过诱捕节点采集攻击数据，将攻击数据引流至后端蜜网中，并实时提取并保存攻击数据。
49.实时提取并保存攻击数据，就是如同在客户网络中安装了监视器，可以及时识别可疑活动，真实记录和保存现场证据，并动态回放整个攻击过程，迅速生成有价值的电子证据，减少取证时间，提高取证效率，使客户化被动为主动，及早识别和防范网络威胁。
50.进一步的，本技术提供的方案中所述基于所述攻击数据和预设的自适应蜜网策略模型，调整所述蜜网内蜜罐的部署规则，以提高蜜网对攻击行为的判断能力包括：
51.基于所述攻击数据，分析攻击的业务场景、攻击的关键路径和攻击的习惯特征；
52.汇总预设时间内受到攻击时，业务场景、攻击的关键路径和攻击的习惯，得到攻击语境；
53.基于所述攻击语境和预设的自适应蜜网策略模型，调整所述蜜网内蜜罐的部署规则；其中，所述蜜网内蜜罐的部署规则包括：各个部署区域内部署蜜网的数量，各个部署区域内部署的蜜网的类型。
54.需要说明的是，当前，信息安全领域关注的主要焦点在于恶意程序识别以及入侵状态检测，其中恶意程序识别主要包括对二进制文件的特征以及其运行时的动态特征进行静态分析，入侵检测主要包括基于网络和主机的入侵检测。通过对该领域已有研究的调研发现，研究者主要通过采集系统调用、注册表访问状态、文件系统访问状态等底层信息作为数据源，然后使用特定的策略对这些数据进行预处理，并使用特定的模型对其进行描述，最后使用机器学习、数据挖掘等技术对样本进行判断。为了在信息安全的攻防战中夺得先机，防御方不应仅仅满足于对恶意程序的识别以及入侵检测，而应将目光延伸到操纵恶意程序以及实施入侵的幕后黑客。研究这些黑客的作案规律、特点和习惯将对增强信息安全的防护能力具有重要意义。建立一个可以描述木马等恶意程序活动规律的高级行为模型会是一个不错的方案。在信息安全领域针对攻击者的研究方向中，对攻击者行为的分析已经成为重要的一环。攻击者在针对目标展开攻击的时候，会采用各种技术手段以图达成其最终的
攻击目的，针对这个过程中的行为数据进行全面分析，可以获知攻击者的所采用的具体攻击手法、攻击的特征等对识别攻击者意图非常有价值的信息，并对后续的攻击者“画像”也有重要意义。
55.为此，发明人基于语境的攻击行为智能分类算法的研究，根据实际情况定义一个高级行为模型，然后借鉴恶意程序识别以及入侵检测的数据采集方案，并采用合适的数据格式化策略(如数据流整合等)，最后使用某些机器学习分类算法将这些数据融入到这个高级行为模型中。如果这个高级行为模型足够丰富，并且具有较高的准确率，那么就有可能通过它对幕后黑客的行为习惯、规律进行高层次地描写。
56.此外，基于情报感知的信息安全是目前国际上普遍认为的下一代信息安全发展方向。情景感知具体包括who、what、to what、where、how。简单的情境可包括：
57.1)who：低信誉的客户；
58.2)what：来自it不支持的linux客户端的访问；
59.3)to what：对敏感数据的访问；
60.4)when：非工作时间的访问；
61.5)where，来自没有业务的海外的访问。
62.而攻击语境即攻击场景下的行为环境，它包括行为上下文、攻击时间、所处业务场景、目标对象等与攻击有关的语境因素。
63.传统的威胁情报采集往往只注重收录攻击者攻击过程中所使用的一些资源和工具，比如攻击者使用的ip、域名、样本、工具等，这在一定程度上可以了解到攻击者的技术水平、攻击特征。然而，这些数据并非基于真实的攻击语境，具有零散、碎片化不连贯的特点，很有可能得出片面，甚至错误的分析结果。因此，只有针对基于真实攻击语境的攻击行为数据进行关联分析，才能产生准确的、全面的威胁情报。
64.业务场景：本技术提供的方案中的欺骗环境是由不同的业务场景组成的，比如有外部服务区、内部服务区、管理区、办公区、核心数据区等，那么不同场景下相同的动作就会有不同的含义，我们的分析都是在特定的业务场景中展开的。
65.重要环节：在攻击过程中，攻击者在不同的环节，会有不同的动作特点，比如刚进入内网时的探测、探测之后的渗透、得手之后的获取数据、走的时候清除痕迹等，这些都是攻击过程中的重要环节，针对重要环节分析的研究可以从纷繁复杂的数据中整理出一个有序的过程，整个分析的结果会更加清晰。
66.关键路径：攻击者在攻击过程中会形成一定的攻击路径，也就是攻击者是如何一步步的达成目标的，经过哪些关键的位置，这个过程中比如攻击者是如何挑选不同的进攻路径的，比如如何从办公区进入核心数据区，攻击者需要先找到运维人员或者管理员的那台机器进入，那么这个运维人员或者管理员就是攻击路径中的关键点，通过对关键路径的分析，可以看出攻击者的进攻思路和攻击技巧
67.习惯特征：攻击者在攻击时不可避免的会呈现出个人的习惯特点，比如输入的指令，有的攻击者进去之后会习惯经常性查看是否有其他用户在线，有的攻击者习惯经常性的查看进程，有的习惯一进去就翻文件，从这些特征入手，研究并分析攻击者的习惯特征，用来给攻击者画像。
68.本技术提供的方案中，可获取丰富的攻击行为数据，包括网络层的数据、主机层的
数据，具体表现为ip、域名、工具、样本、指令、行为特征等内容。由于这些数据是在一个完整的业务场景中连续不间断的记录下来的，具有完整连贯性，基于真实的上下文攻击语境，其中隐含大量的攻击者操作习惯和攻击指纹，不再是碎片化的、离散的数据，那么就具有攻击语境的特点，也就是上下文环境。在这种语境下对攻击行为进行分析，所获取的威胁情报就会极有价值。本系统可对这些丰富的攻击行为数据进行分析，从中了解攻击者的完整攻击过程，分辨出攻击者的攻击路径、识别预测攻击意图、对攻击者进行“画像”。
69.综上所述，本技术提供的方案中，可以基于所述攻击语境和预设的自适应蜜网策略模型，调整所述蜜网内蜜罐的部署规则，使得蜜网的部署更加的对于近期的攻击更加的具有针对性，可以更加提供蜜网对近期的攻击的防御性。
70.图3是本发明实施例提供的一种用于信息系统的信息安全威胁智能预警装置的结构示意图。参照图3，本技术提供一种用于信息系统的信息安全威胁智能预警装置，包括：
71.判断模块31，用于基于预设的用于保护信息系统的诱捕节点，判断信息系统是否受到攻击；
72.采集模块32，用于当信息系统受到攻击时，通过诱捕节点采集攻击数据，并将攻击数据引流至后端蜜网中；
73.调整模块33，用于基于所述攻击数据和预设的自适应蜜网策略模型，调整所述蜜网内蜜罐的部署规则，以提高蜜网对攻击行为的防御能力。
74.本技术提供的用于信息系统的信息安全威胁智能预警装置，可以基于攻击数据灵活的设置蜜罐的位置，避免蜜网中一些蜜罐因为位置设置不合理造成蜜罐无效的问题。基于攻击数据，合理的进行蜜罐的部署，更大限度的发挥各个蜜罐的作用，以提高提供蜜网对于攻击(即：信息安全威胁)的判断能力，进而提高整体提高当前网络的主动防御能力，在一定程度上减少信息系统面对信息安全威胁时发生信息安全事故的概率。
75.可以理解的是，上述各实施例中相同或相似部分可以相互参考，在一些实施例中未详细说明的内容可以参见其他实施例中相同或相似的内容。
76.需要说明的是，在本发明的描述中，术语“第一”、“第二”等仅用于描述目的，而不能理解为指示或暗示相对重要性。此外，在本发明的描述中，除非另有说明，“多个”的含义是指至少两个。
77.流程图中或在此以其他方式描述的任何过程或方法描述可以被理解为，表示包括一个或更多个用于实现特定逻辑功能或过程的步骤的可执行指令的代码的模块、片段或部分，并且本发明的优选实施方式的范围包括另外的实现，其中可以不按所示出或讨论的顺序，包括根据所涉及的功能按基本同时的方式或按相反的顺序，来执行功能，这应被本发明的实施例所属技术领域的技术人员所理解。
78.应当理解，本发明的各部分可以用硬件、软件、固件或它们的组合来实现。在上述实施方式中，多个步骤或方法可以用存储在存储器中且由合适的指令执行系统执行的软件或固件来实现。例如，如果用硬件来实现，和在另一实施方式中一样，可用本领域公知的下列技术中的任一项或他们的组合来实现：具有用于对数据信号实现逻辑功能的逻辑门电路的离散逻辑电路，具有合适的组合逻辑门电路的专用集成电路，可编程门阵列(pga)，现场可编程门阵列(fpga)等。
79.本技术领域的普通技术人员可以理解实现上述实施例方法携带的全部或部分步
骤是可以通过程序来指令相关的硬件完成，所述的程序可以存储于一种计算机可读存储介质中，该程序在执行时，包括方法实施例的步骤之一或其组合。
80.此外，在本发明各个实施例中的各功能单元可以集成在一个处理模块中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个模块中。上述集成的模块既可以采用硬件的形式实现，也可以采用软件功能模块的形式实现。所述集成的模块如果以软件功能模块的形式实现并作为独立的产品销售或使用时，也可以存储在一个计算机可读取存储介质中。
81.上述提到的存储介质可以是只读存储器，磁盘或光盘等。
82.在本说明书的描述中，参考术语“一个实施例”、“一些实施例”、“示例”、“具体示例”、或“一些示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本发明的至少一个实施例或示例中。在本说明书中，对上述术语的示意性表述不一定指的是相同的实施例或示例。而且，描述的具体特征、结构、材料或者特点可以在任何的一个或多个实施例或示例中以合适的方式结合。
83.尽管上面已经示出和描述了本发明的实施例，可以理解的是，上述实施例是示例性的，不能理解为对本发明的限制，本领域的普通技术人员在本发明的范围内可以对上述实施例进行变化、修改、替换和变型。