一种网络安全蜜罐系统指标的评估方法及装置与流程

1.本发明涉及网络安全技术领域，尤其涉及一种网络安全蜜罐系统指标的评估方法及装置。


背景技术：

2.蜜罐技术是一种欺骗性防御技术，它通过诱骗入侵者进行攻击，从而监视和跟踪入侵者的行为并已日志形式记录，然后借助一定的工具进行分析，知晓入侵者的工具、策略和方法，从而相应的采取措施进行防御，实现防御能力的提升。
3.一般会通过提供拟定的业务场景的蜜罐系统来满足不同客户的需求，客户会根据实际的情况要求蜜罐系统进行定制开发来满足需求，而实际的业务安全需求可能存在描述不清晰，表述不明白，重点不突出等问题，导致定制开发这种方式效率低下，最终的成效不明显，客户评价不高等问题。
4.因此，现有蜜罐技术具有如下问题：
5.1、蜜罐技术在当前客户业务场景的适用性无有效评估；
6.2、监控指标的评估方法缺失；
7.3、当前场景或改进的方向无准确的表述，定制开发方向不明确。


技术实现要素：

8.本发明旨在提供一种克服上述问题或者至少部分地解决上述问题的网络安全蜜罐系统指标的评估方法及装置。
9.为达到上述目的，本发明的技术方案具体是这样实现的：
10.本发明的一个方面提供了一种网络安全蜜罐系统指标的评估方法，包括：获取入侵者的攻击数据，其中，所述攻击数据包括：入侵者ip、入侵时间、行为类别、危害等级和详情，所述入侵时间包括监测到所述入侵者ip的攻击行为的时间点，以及攻击行为间隔的时间区间，所述危害等级按攻击行为类别分为低危、中危和高危；根据所述入侵者的攻击数据，计算攻击者吸引程度指数、捕获行为程度指数、攻击者停滞时间指数、攻击风险程度指数；根据所述攻击者吸引程度指数、捕获行为程度指数、攻击者停滞时间指数、攻击风险程度指数，生成评估结果，并展示所述评估结果。
11.其中，所述计算攻击者吸引程度指数包括：通过如下计算公式计算所述攻击者吸引程度指数：所述其中，m表示统计周期内ip访问总量，n表示统计周期内重复出现的ip访问总量，f
t
为重复访问因子；x
tmax
表示在保证有值的情况下统计日期取最大值时的重复访问ip量，μ为均值，σ为标准差，t为时间周期长度，ki为重复i天时的ip访问
量，其中，i≥2，i∈n。
12.其中，所述计算捕获行为程度指数包括：所述捕获行为程度指数包括：攻击行为平均类别、攻击行为平均总量、攻击行为集中程度、高危攻击行为频率；计算所述攻击行为平均类别包括：计算监测到的攻击行为类别量均值；计算所述攻击行为平均总量包括：计算监测到的攻击行为总量均值；计算所述攻击行为集中程度包括：确定监测到的不同危险等级类别下频数最高的攻击行为类，计算各攻击行为在该等级下的集中程度，计算公式为：其中，pj为单日某一危害等级下某一攻击行为量，该类危害等级下共n类攻击行为指标，p
max
，p
min
分别为发生量最高值和最低值；计算所述高危攻击行为频率包括：计算周期内风险等级确定为高危等级的攻击类总频率占攻击总量的比率；通过如下公式计算所述捕获行为程度指数：所述其中，a，p分别为预设时间段内攻击类别统计量和攻击频数总量，分别为统计周期内攻击类别及攻击频数均值。
13.其中，所述计算攻击者停滞时间指数包括：所述攻击者停滞时间指数包括：预设时长的ip被滞留时间，其中，所述预设时长包括一天或者连续多天，同一ip滞留时间为首次攻击行为时间点和最后一次攻击行为记录点之间滞留时间之和；计算所有ip被滞留时间总量，其中，连续多天被滞留时间为所有连续多天访问蜜罐的ip在连续时长内被滞留时间总量。
14.其中，所述计算所述攻击风险程度指数包括：所述攻击风险程度指数包括：风险级别总量、高危风险量；计算所述风险级别总量包括：获取统计周期内发生的所有攻击行为类别风险级别统计值，通过如下方式计算风险级别总量指数：其中p
ij
为统计周期内第i天时攻击类别j的发生量，q为对应危险等级权重，p为统计周期内攻击行为发生总量；
15.计算所述高危风险量包括：计算统计周期内发生高危攻击数量占攻击类别总量的比率。
16.本发明另一方面提供了一种网络安全蜜罐系统指标的评估装置，包括：数据采集模块，用于获取入侵者的攻击数据，其中，所述攻击数据包括：入侵者ip、入侵时间、行为类别、危害等级和详情，所述入侵时间包括监测到所述入侵者ip的攻击行为的时间点，以及攻击行为间隔的时间区间，所述危害等级按攻击行为类别分为低危、中危和高危；数据分析模块，用于根据所述入侵者的攻击数据，计算攻击者吸引程度指数、捕获行为程度指数、攻击者停滞时间指数、攻击风险程度指数；数据展示模块，用于根据所述攻击者吸引程度指数、捕获行为程度指数、攻击者停滞时间指数、攻击风险程度指数，生成评估结果，并展示所述评估结果。
17.其中，所述数据分析模块通过如下方式计算攻击者吸引程度指数：通过如下计算
公式计算所述攻击者吸引程度指数：所述其中，m表示统计周期内ip访问总量，n表示统计周期内重复出现的ip访问总量，f
t
为重复访问因子；x
tmax
表示在保证有值的情况下统计日期取最大值时的重复访问ip量，μ为均值，σ为标准差，t为时间周期长度，ki为重复i天时的ip访问量，其中，i≥2，i∈n。
18.其中，所述数据分析模块通过如下方式计算捕获行为程度指数：所述捕获行为程度指数包括：攻击行为平均类别、攻击行为平均总量、攻击行为集中程度、高危攻击行为频率；计算所述攻击行为平均类别包括：计算监测到的攻击行为类别量均值；计算所述攻击行为平均总量包括：计算监测到的攻击行为总量均值；计算所述攻击行为集中程度包括：确定监测到的不同危险等级类别下频数最高的攻击行为类，计算各攻击行为在该等级下的集中程度，计算公式为：其中，pj为单日某一危害等级下某一攻击行为量，该类危害等级下共n类攻击行为指标，p
max
，p
min
分别为发生量最高值和最低值；计算所述高危攻击行为频率包括：计算周期内风险等级确定为高危等级的攻击类总频率占攻击总量的比率；通过如下公式计算所述捕获行为程度指数：所述其中，a，p分别为预设时间段内攻击类别统计量和攻击频数总量，分别为统计周期内攻击类别及攻击频数均值。
19.其中，所述数据分析模块通过如下方式计算攻击者停滞时间指数：所述攻击者停滞时间指数包括：预设时长的ip被滞留时间，其中，所述预设时长包括一天或者连续多天，同一ip滞留时间为首次攻击行为时间点和最后一次攻击行为记录点之间滞留时间之和；计算所有ip被滞留时间总量，其中，连续多天被滞留时间为所有连续多天访问蜜罐的ip在连续时长内被滞留时间总量。
20.其中，所述数据分析模块通过如下方式计算所述攻击风险程度指数：所述攻击风险程度指数包括：风险级别总量、高危风险量；计算所述风险级别总量包括：获取统计周期内发生的所有攻击行为类别风险级别统计值，通过如下方式计算风险级别总量指数：其中p
ij
为统计周期内第i天时攻击类别j的发生量，q为对应危险等级权重，p为统计周期内攻击行为发生总量；计算所述高危风险量包括：计算统计周期内发生高危攻击数量占攻击类别总量的比率。
21.由此可见，通过本发明提供的网络安全蜜罐系统指标的评估方法及装置，通过在标准的业务场景中对攻击者的操作行为上进行触发点采集，根据触发点行为类型、触发成功失败情况等进行综合研判分析，得出适合当前客户场景下的安全指数以及筛选出关键监控指标，并推荐给客户，让客户知道当前面临的主要威胁，并可规划下一步的安全措施。如
果和客户当前面临的威胁认知偏差较大，可由此知道当前蜜罐指标体系的不足，当前标准的业务场景的改进方向会明晰，便于后续场景的改进，最终形成能反映当前客户实际情况的蜜罐技术落地。解决了现有技术中蜜罐业务场景和实际客户环境有效对接的问题，使蜜罐技术更加能简单、直接、有效的反馈当前客户(通过蜜罐环境)面临的威胁情况，并给出最优化的威胁分析，同时为客户进一步提升蜜罐技术在实际环境的落地，取得更多成效，指明了需求方向，有利于形成蜜罐的正向循环。
附图说明
22.为了更清楚地说明本发明实施例的技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域的普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他附图。
23.图1为本发明实施例提供的网络安全蜜罐系统指标的评估方法的流程图；
24.图2为本发明实施例提供的网络安全蜜罐系统指标的评估方法的一个具体流程图；
25.图3为本发明实施例提供的网络安全蜜罐系统指标的评估装置的结构示意图。
具体实施方式
26.下面将参照附图更详细地描述本公开的示例性实施例。虽然附图中显示了本公开的示例性实施例，然而应当理解，可以以各种形式实现本公开而不应被这里阐述的实施例所限制。相反，提供这些实施例是为了能够更透彻地理解本公开，并且能够将本公开的范围完整的传达给本领域的技术人员。
27.本发明从标准化的业务场景(不做客户所述的定制开发)出发，通过对业务场景中的监控行为进行定义，根据实际应用情况产生的监测数据进行分析，并进行权重分析和模型建立，得出适合当前客户场景中适用的重点监控行为，得出当前的安全性评估模型和全局的安全措施建议，便于客户了解当前需要重点关注的方向和内容，快速决策开展下一步的安全部署工作。如果评估方向有偏差或不足的地方，可针对性给出反馈意见，用于业务场景的定制开发。
28.图1示出了本发明实施例提供的网络安全蜜罐系统指标的评估方法的流程图，图2示出了本发明实施例提供的网络安全蜜罐系统指标的评估方法的一个具体流程图，参见图1和图2，本发明实施例提供的网络安全蜜罐系统指标的评估方法，包括：
29.s1，获取入侵者的攻击数据，其中，攻击数据包括：入侵者ip、入侵时间、行为类别、危害等级和详情，入侵时间包括监测到入侵者ip的攻击行为的时间点，以及攻击行为间隔的时间区间，危害等级按攻击行为类别分为低危、中危和高危。
30.具体地，将蜜罐主机初始化并部署在客户环境，投入在实际环境中运行一段时间。蜜罐主机(蜜罐场景)会监测入侵者的攻击数据，获取入侵者的攻击数据。
31.其中，攻击数据包括入侵者ip、入侵时间、行为类别、危害等级、详情等信息。入侵时间包括监测到入侵ip的攻击行为的时间点，以及攻击行为间隔的时间区间；危害等级按攻击行为类别分为低危、中危、高危三类。
32.s2，根据入侵者的攻击数据，计算攻击者吸引程度指数、捕获行为程度指数、攻击者停滞时间指数、攻击风险程度指数。
33.具体地，本发明通过引入蜜罐的场景评估，提出攻击者吸引程度指数、捕获行为程度指数、攻击者停滞时间指数、攻击风险程度指数。
34.作为本发明实施例的一个可选实施方式，计算攻击者吸引程度指数包括：通过如下计算公式计算攻击者吸引程度指数：其中，m表示统计周期内ip访问总量，n表示统计周期内重复出现的ip访问总量，f
t
为重复访问因子；x
tmax
表示在保证有值的情况下统计日期取最大值时的重复访问ip量，μ为均值，σ为标准差，t为时间周期长度，ki为重复i天时的ip访问量，其中，i≥2，i∈n。
35.具体地，攻击者吸引程度指数，指场景受攻击者欢迎的程度，是衡量一个蜜罐有效性的重要标准。m表示统计周期内ip访问总量，n表示统计周期内重复出现的ip访问总量,f
t
为重复访问因子。x
tmax
表示在保证有值的情况下统计日期取最大值时的重复访问ip量。μ为均值，σ为标准差。t为时间周期长度，ki为重复i天时的ip访问量(i≥2，i∈n)，以7天为一个周期计算。
36.作为本发明实施例的一个可选实施方式，计算捕获行为程度指数包括：捕获行为程度指数包括：攻击行为平均类别、攻击行为平均总量、攻击行为集中程度、高危攻击行为频率；计算攻击行为平均类别包括：计算监测到的攻击行为类别量均值；计算攻击行为平均总量包括：计算监测到的攻击行为总量均值；计算攻击行为集中程度包括：确定监测到的不同危险等级类别下频数最高的攻击行为类，计算各攻击行为在该等级下的集中程度，计算公式为：其中，pj为单日某一危害等级下某一攻击行为量，该类危害等级下共n类攻击行为指标，p
max
，p
min
分别为发生量最高值和最低值；计算高危攻击行为频率包括：计算周期内风险等级确定为高危等级的攻击类总频率占攻击总量的比率；通过如下公式计算捕获行为程度指数：其中，a，p分别为预设时间段内攻击类别统计量和攻击频数总量，分别为统计周期内攻击类别及攻击频数均值。
37.具体地，捕获行为程度指数，以场景受到的攻击行为类别为主要参考数据，是衡量一个蜜罐是否能够捕获到有效攻击行为的重要指标。该衡量指数包括攻击行为平均类别、攻击行为平均总量、攻击行为集中程度、高危攻击行为频率。
38.攻击行为平均类别：监测到的攻击行为类别量均值，反映统计周期内蜜罐捕获攻击类别统计；
39.攻击行为平均总量：监测到的攻击行为总量均值，反映统计周期内总共发生攻击行为频数统计；
40.攻击行为集中程度：提供两类描述：一、统计监测到的不同危险等级类别下频数最高的攻击行为类，二、以集中程度指数描述各攻击行为在该等级下的集中程度，计算公式为：pj为单日某一危害等级下某一攻击行为量，该类危害等级下共n类攻击行为指标。p
max
，p
min
分别为发生量最高值和最低值，以7天为一个周期计算。
41.高危攻击行为频率：统计周期内风险等级确定为高危等级的攻击类总频率占攻击总量的比率。
42.捕获行为程度指数为描述蜜罐整体捕获能力的综合指标，计算公式为：其中a，p分别为最近统计日期的攻击类别统计量和攻击频数总量，分别为统计周期内攻击类别及攻击频数均值。以7天为一个周期计算。
43.作为本发明实施例的一个可选实施方式，计算攻击者停滞时间指数包括：攻击者停滞时间指数包括：预设时长的ip被滞留时间，其中，预设时长包括一天或者连续多天，同一ip滞留时间为首次攻击行为时间点和最后一次攻击行为记录点之间滞留时间之和；计算所有ip被滞留时间总量，其中，连续多天被滞留时间为所有连续多天访问蜜罐的ip在连续时长内被滞留时间总量。
44.具体地，攻击者停滞时间指数，指场景有效困住攻击者的程度，是衡量一个蜜罐的诱骗能力的重要指标。该衡量指数包括：单日ip被滞留时间、连续2天被滞留时间、连续3天被滞留时间、连续5天被滞留时间，滞留时间，表示从监测攻击者进行攻击行为的时间点算起，观测时间区间长度为5分钟，观测区间内若再发生同ip的攻击行为，则以两次记录点之间时长记录为滞留时间；若观测区间内未发生攻击行为，则放弃上一攻击点时间记录。同一ip滞留时间为首次攻击行为时间点和最后一次攻击行为记录点之间滞留时间之和。衡量指数计算所有ip被滞留时间总量。
45.连续多天被滞留时间为所有连续多天访问蜜罐的ip在连续时长内被滞留时间总量，以7天为一个统计周期计算。
46.作为本发明实施例的一个可选实施方式，计算攻击风险程度指数包括：攻击风险程度指数包括：风险级别总量、高危风险量；计算风险级别总量包括：获取统计周期内发生的所有攻击行为类别风险级别统计值，通过如下方式计算风险级别总量指数：其中p
ij
为统计周期内第i天时攻击类别j的发生量，q为对应危险等级权重，p为统计周期内攻击行为发生总量；计算高危风险量包括：计算统计周期内发生高危攻击数量占攻击类别总量的比率。
47.具体地，攻击风险程度指数，指场景内置漏洞的被成功利用的程度，是衡量一个蜜罐的漏洞被攻击者引爆的重要指标。该衡量指数包括：风险级别总量、高危风险量；
48.风险级别总量展示两方面数据：一、统计周期内发生的所有攻击行为类别风险级别统计值，二、风险级别总量指数计算公式为其中p
ij
为统计周期内第i天时攻击类别j的发生量，q为对应危险等级权重，p为统计周期内攻击行为发生总量。
49.高危风险量为统计周期内发生高危攻击数量占攻击类别总量的比率，用于描述该统计周期内高危风险发生情况。以7天为一个统计周期计算。
50.s3，根据攻击者吸引程度指数、捕获行为程度指数、攻击者停滞时间指数、攻击风险程度指数，生成评估结果，并展示评估结果。
51.具体地，10、通过汇聚得出整个业务场景的整体安全指数；给出当前的安全风险方向及建议，给出关键审计监控点和威胁风险级别，便于客户查阅和提供后续的安全配置建议。
52.由此可见，本发明实施例提供的网络安全蜜罐系统指标的评估方法，通过在标准的业务场景中对攻击者的操作行为上进行触发点采集，根据触发点行为类型、触发成功失败情况等进行综合研判分析，得出适合当前客户场景下的安全指数以及筛选出关键监控指标，并推荐给客户，让客户知道当前面临的主要威胁，并可规划下一步的安全措施。如果和客户当前面临的威胁认知偏差较大，可由此知道当前蜜罐指标体系的不足，当前标准的业务场景的改进方向会明晰，便于后续场景的改进，最终形成能反映当前客户实际情况的蜜罐技术落地。解决了现有技术中蜜罐业务场景和实际客户环境有效对接的问题，使蜜罐技术更加能简单、直接、有效的反馈当前客户(通过蜜罐环境)面临的威胁情况，并给出最优化的威胁分析，同时为客户进一步提升蜜罐技术在实际环境的落地，取得更多成效，指明了需求方向，有利于形成蜜罐的正向循环。
53.图3示出了本发明实施例提供的网络安全蜜罐系统指标的评估装置的结构示意图，该网络安全蜜罐系统指标的评估装置应用上述方法，以下仅对网络安全蜜罐系统指标的评估装置的结构进行简单说明，其他未尽事宜，请参照上述网络安全蜜罐系统指标的评估方法中的相关描述，参见图3，本发明实施例提供的网络安全蜜罐系统指标的评估装置，包括：
54.数据采集模块，用于获取入侵者的攻击数据，其中，攻击数据包括：入侵者ip、入侵时间、行为类别、危害等级和详情，入侵时间包括监测到入侵者ip的攻击行为的时间点，以及攻击行为间隔的时间区间，危害等级按攻击行为类别分为低危、中危和高危；
55.数据分析模块，用于根据入侵者的攻击数据，计算攻击者吸引程度指数、捕获行为程度指数、攻击者停滞时间指数、攻击风险程度指数；
56.数据展示模块，用于根据攻击者吸引程度指数、捕获行为程度指数、攻击者停滞时间指数、攻击风险程度指数，生成评估结果，并展示评估结果。
57.具体地，本发明提供一种蜜罐指标的实现系统，包含如下几个模块：数据采集模块、数据分析模块、数据展示模块；其中：
58.数据采集模块，通过部署在蜜罐主机上，采集入侵者在整个攻击过程中的监控数据点行为，发送给蜜罐管理系统进行解析和分析
59.数据分析模块，部署在蜜罐管理系统上，通过内置的算法和模型进行监控数据的
分析，给出基于客户环境的数据分析结果
60.数据展示模块，将分析结果以可视化的界面进行展示，提供人性化的报告界面，实现人机交互。
61.作为本发明实施例的一个可选实施方式，数据分析模块通过如下方式计算攻击者吸引程度指数：通过如下计算公式计算攻击者吸引程度指数：其中，m表示统计周期内ip访问总量，n表示统计周期内重复出现的ip访问总量，f
t
为重复访问因子；x
tmax
表示在保证有值的情况下统计日期取最大值时的重复访问ip量，μ为均值，σ为标准差，t为时间周期长度，ki为重复i天时的ip访问量，其中，i≥2，i∈n。
62.作为本发明实施例的一个可选实施方式，数据分析模块通过如下方式计算捕获行为程度指数：捕获行为程度指数包括：攻击行为平均类别、攻击行为平均总量、攻击行为集中程度、高危攻击行为频率；计算攻击行为平均类别包括：计算监测到的攻击行为类别量均值；计算攻击行为平均总量包括：计算监测到的攻击行为总量均值；计算攻击行为集中程度包括：确定监测到的不同危险等级类别下频数最高的攻击行为类，计算各攻击行为在该等级下的集中程度，计算公式为：其中，pj为单日某一危害等级下某一攻击行为量，该类危害等级下共n类攻击行为指标，p
max
，p
min
分别为发生量最高值和最低值；计算高危攻击行为频率包括：计算周期内风险等级确定为高危等级的攻击类总频率占攻击总量的比率；通过如下公式计算捕获行为程度指数：其中，a，p分别为预设时间段内攻击类别统计量和攻击频数总量，分别为统计周期内攻击类别及攻击频数均值。
63.作为本发明实施例的一个可选实施方式，数据分析模块通过如下方式计算攻击者停滞时间指数：攻击者停滞时间指数包括：预设时长的ip被滞留时间，其中，预设时长包括一天或者连续多天，同一ip滞留时间为首次攻击行为时间点和最后一次攻击行为记录点之间滞留时间之和；计算所有ip被滞留时间总量，其中，连续多天被滞留时间为所有连续多天访问蜜罐的ip在连续时长内被滞留时间总量。
64.作为本发明实施例的一个可选实施方式，数据分析模块通过如下方式计算攻击风险程度指数：攻击风险程度指数包括：风险级别总量、高危风险量；计算风险级别总量包括：获取统计周期内发生的所有攻击行为类别风险级别统计值，通过如下方式计算风险级别总量指数：其中p
ij
为统计周期内第i天时攻击类别j的发生量，q为对应危险等级权重，p为统计周期内攻击行为发生总量；计算高危风险量包括：计算统计周期内发生高危攻
击数量占攻击类别总量的比率。
65.由此可见，本发明实施例提供的网络安全蜜罐系统指标的评估装置，通过在标准的业务场景中对攻击者的操作行为上进行触发点采集，根据触发点行为类型、触发成功失败情况等进行综合研判分析，得出适合当前客户场景下的安全指数以及筛选出关键监控指标，并推荐给客户，让客户知道当前面临的主要威胁，并可规划下一步的安全措施。如果和客户当前面临的威胁认知偏差较大，可由此知道当前蜜罐指标体系的不足，当前标准的业务场景的改进方向会明晰，便于后续场景的改进，最终形成能反映当前客户实际情况的蜜罐技术落地。解决了现有技术中蜜罐业务场景和实际客户环境有效对接的问题，使蜜罐技术更加能简单、直接、有效的反馈当前客户(通过蜜罐环境)面临的威胁情况，并给出最优化的威胁分析，同时为客户进一步提升蜜罐技术在实际环境的落地，取得更多成效，指明了需求方向，有利于形成蜜罐的正向循环。
66.以上仅为本技术的实施例而已，并不用于限制本技术。对于本领域技术人员来说，本技术可以有各种更改和变化。凡在本技术的精神和原理之内所作的任何修改、等同替换、改进等，均应包含在本技术的权利要求范围之内。