[0001] 本发明涉及主动攻击防御系统领域，具体涉及一种基于攻击图的网络攻击者行为分析方法。

[0002] 随着计算机网络的迅速发展，网络攻击的方式越来越多。传统的网络入侵防御技术，如防火墙、入侵检测系统等，已经难以应对层出不穷的攻击手段。尤其是这些实用的技术大都是被动防御型的，不能及时地对最新出现的攻击进行防御。防火墙虽然在一定的程度上可以预防网络的攻击并提高网络的安全性，但随着网络攻击技术的发展和工具的不断出现，防火墙的弱点就会慢慢地暴露出来，攻击者会很轻易地突破这层防护，另外一个致命缺陷是无法防护病毒的攻击。入侵检测是对入侵行为的检测，它可以通过收集到的网络行为、日志信息、通信数据来分析入侵者的入侵行为，并且检测和监视系统入侵。但由于入侵检测系统规则数据库和入侵分析模块要随着新的攻击技术的不断出现而要不断变化，同时该系统不能检测规则库中没有的攻击，入侵检测会出现对攻击不能及时响应和响应错误的现象。为此，一个基于攻击行为分析的主动防御系统显得尤为重要。本发明基于攻击图的网络攻击者行为分析方法可以为主动防御系统设计奠定很好的基础。

[0030] 下面结合实施例和附图对本发明做更进一步地解释。下列实施例仅用于说明本发明，但并不用来限定本发明的实施范围。

[0031] 一种基于攻击图的网络攻击者行为分析方法，如图1所示，包括如下步骤：

[0032] 1)、构建网络攻击行为分析模型，吸引攻击者的攻击。网络攻击行为分析模型即蜜罐的部署网络结构图如图2所示，由SSH网关(SSH Gateway)、主机(Host)和控制器(Collector)组成，它们分成三个网段，组成主从体系结构；SSH网关与主机系列机器处于蜜罐网段，主机系列机器与控制器处于管理网段，SSH网关与控制器处于互联网网段，这三个网段通过三个交换机相连，从而模拟成真实的主机网络，诱骗各类行为攻击与蜜罐主机进行交互。其中，SSH网关是通过SSH协议对访问者口令或者密钥进行安全验证。主机是通过构建OpenVZ，在其上创建多个隔离的虚拟专用服务器(VPS)并在内部构建多个虚拟机，每个虚拟机内部用的是Linux操作系统，由于Linux系统是开源的，攻击者对此系统琢磨较多，更容易发现其中的安全漏洞进行攻击。控制器作为该模型的核心部分，主要是对攻击数据的收集和处理。

[0033] 2)、数据收集：利用数据捕获机制对攻击数据进行全面的捕获。蜜罐系统的配置目的以及意义主要依靠数据采集来体现，详细的捕获数据能够重现攻击者的攻击过程。利用数据捕获机制对攻击数据进行全面的捕获，以保证为下一阶段的行为分析提供详细的信息。数据捕获机制体系如图3所示，攻击者攻击的数据记录首先通过iptables防火墙对其流入的连接进行记录，然后直接跳过snort_inline，但Snort会记录下全部的流出信息，从而可以用于攻击分析；在蜜罐主机上，通过部署Sebek的客户端，对攻击者在其上的攻击行为进行记录，并将记录到的信息发送到Sebek服务器。

[0034] 3)、行为分析：基于攻击图的行为分析，主要结合有限状态机的原理使用状态机中的节点表示攻击达到的状态，根据攻击时间的顺序，并采用攻击行为的变化来表示状态的转移，通过实时的监测攻击者的攻击行为，结合有限状态机刻画出攻击者的攻击过程，从而生成攻击状态转移图；再通过攻击行为的可能性指标、攻击者的技能水平指标、攻击者的目的指标来分析攻击者的行为。

[0035] 下面给出攻击行为的有限状态机的相关定义；

[0036] 定义1(攻击状态机)攻击行为的有限状态机可以定义一个3元组：M＝{S,Σ,δ}其中，S为攻击行为有限状态的集合，∑为事件集合，δ为攻击行为状态转换函数，它是一个S×Σ→S的映射函数；

[0037] 定义2(节点)入侵过程中根据当前的状态以及前面的成功的攻击，入侵者可能达到的下一个可能攻击状态；

[0038] 定义3(边)有限状态机中攻击者采取任一攻击行为通过攻击状态转移函数从一个状态到另一个状态之间的连接，如安装新的流氓软件，增加漏洞等；

[0039] 定义4(攻击线路)攻击状态图中的一条路径即一段攻击序列，起始状态为S0∈S,终止于Se∈S；例如一条攻击线路可表示S1→S2→...→Si→...Se；

[0040] 定义5(攻击目的)攻击者的攻击目的表示为Dgoal，对于部署的蜜罐系统入侵者为了达到攻击目的的攻击线路为Sunsafe，则攻击状态图就是表示从S0到Dgoal的所有Sunsafe的集合。

[0041] 结合对蜜罐系统攻击行为的分析，和对网络系统的现状了解，从攻击者入侵蜜罐主机时发出的攻击为初始状态，直到攻击者退出蜜罐主机为结束状态，找出所有攻击者的攻击线路。

[0042] 状态转移图生成算法：

[0043] 输入：M＝{S,Σ,δ}//有限状态机模型；

[0044] 输出：G//攻击状态图。

[0045] 生成攻击状态转移图的流程如下：

[0046] 31)、建立攻击行为的初始状态集合即S0；

[0047] 32)、建立攻击线路集合attack_state；从初始状态S0开始监测攻击者的每一个攻击行为，使节点状态发生变化或自身转变的状态加入到attack_state中，并给每条边赋予量化的权重值W；

[0048] 33)、While(攻击者的连接未断开&&attack_state->next不为空)重复32)的操作；

[0049] 34)、If(攻击者与蜜罐主机连接断开)生成状态转移图并且在attack_state的最合加上结束状态Se。

[0050] 与状态转移相关的命令集合如下：

[0051] M(s)：修改系统文件命令的集合；H(s)：查看和修改登录日志命令，隐藏攻击痕迹；D(s)：下载命令集合；I(s)：安装软件和程序命令集合；R(s)：运行恶意软件和程序命令集合；CH(s)：查看系统软硬件信息命令集合；C(s)：创建新用户和修改密码命令集合。有限状态机状态转化如图4所示。

[0052] 由于攻击行为的不确定性，不可能通过主观的猜测来评估攻击者的行为，为此本发明通过制定以下三个指标来分析攻击者的行为，分别为：攻击行为的可能性指标，攻击者的技能水平指标，攻击者的目的指标。

[0053] 攻击行为的可能性指标：通过生成的攻击状态转移图统计生成每个状态的可能发生概率，假设从一个状态到另一个状态的概率即设从Si-1状态到Si状态的转移概率为pk，k＝1,2,…,i，则当前的攻击行为的可能性为：

[0054]

[0055] 攻击者的技能水平指标：通过制定以下四个比较通用的标准来综合分析攻击者的技能水平，并对满足条件的攻击者进行打分：

[0056] a、攻击者是否关心被发现

[0057] 通常这类攻击者行事比较谨慎，定四个标准来看他是否关心被发现。I、删除包括攻击者活动痕迹的日志文件；II、如果删除了日志文件，攻击者通常会发现日志文件减少，他们就会对日志文件进行恢复；III、在攻击时他们还会检查系统是否有其他用户在使用；IV、他们还会对自己从互联网上导入到机器内的文件进行删除。

[0058] b、在攻击之前，攻击者是否关心目标的环境

[0059] 制定两个标准：I、攻击者在攻击前会不会对目标机器进行了解，还有是否对环境(尤其是网络环境)关注；II、在攻击前是否关注有其他用户存在。

[0060] c、攻击者对恶意软件的熟悉程度

[0061] 制定三个标准：I、看攻击者对流氓软件是否熟悉了解，好比有些恶意软件具有网络功能，而他却将其安装在了网络端口被封锁的目标机器内；II、在安装流氓软件时，攻击者是否会修改系统的配置文件；III、攻击者最终是否将流氓软件安装成功并且修改了整个系统。

[0062] d、攻击者是否会对被攻破的电脑采取一定的保护措施

[0063] I、假如某个攻击者通过暴力破解攻破了某一台机器，而他下一次攻击行为仍然是通过暴力破解，那么就证明这个攻击者对自己已经攻入的机器的用户名/密码的账户凭证比较弱；反之，比较强。II、看攻击者在攻入后会不会建一个新的用户名和密码以便于下一次登录。

[0064] 本发明根据系统的部署，针对攻击者的技能评估制定一系列的可测标准，主要包括：1.隐藏：对登录时的日志文件的删除或取消，这可以通过攻击者对登录日志文件隐藏的数量比来评估；2.恢复已删除文件：对已删除的文件进行恢复，这可以通过恢复的被删除文件的数量比来评估；3.删除下载文件：当下载使用流氓软件后删除它，这可以通过如果删除记为0，否则记为1来评估；4.检查当前用户：对系统当前是否有其他用户进行检查，这可以通过对检查是否有其他用户来评估；5.检查系统：对系统的配置和状态进行观察，如果被检测就记为1，否则为0；6.编辑配置文件：在整个过程中，通过流氓软件对配置文件进行修改，如果修改记为1，否则为0；7.更改系统：对系统的配置文件或状态进行修改，若更改记为1；否则为0；8.创建新用户：增加新的用户名和密码，如果增加记为1，否则为0；9.安装流氓软件：攻击者在目标机器中安装流氓软件，如果安装上记为1，否则为0；10.改变密码：对用户密码进行修改，如果修改记为1，否则为0。

[0065] 攻击者攻击目的的确定是十分困难的，因为其中带大量的主观因素和偶然性，因此只能从表象上给出攻击者攻击目标的臆测。在这里，主要通过甄别攻击者使用的不同的流氓软件来推测出攻击者的攻击目的。如，1.有些攻击者想安装IRCbot这样的软件来在僵尸网络中注册一台被攻破的主机通过IRC协议来进行通信；2.安装类似Bouncer IRC这样的软件在IRC协议下进行IP地址欺骗；3.安装类似Backdoor这样的软件允许攻击者以其他的途径再次回来；4.安装类似Scanner这样的端口扫描工具寻找潜在的安全漏洞；5.下载文件编辑器，使用隐藏脚本来帮助他更好地对主机进行攻击；6.安装类似Flooder这样的软件来使其他的IP地址传输大容量的数据包，从而使它们拒绝服务等。

[0066] 按如上所述攻击图的思路以及攻击指标的分析，即可构建基于攻击图的网络攻击者行为分析，如图5所示。