基於擬態防禦架構的零日攻擊檢測、分析和響應系統及其方法與流程
2023-09-21 05:00:25 1
本發明屬於網絡安全技術領域,特別涉及一種基於擬態防禦架構的零日攻擊檢測、分析和響應系統及其方法。
背景技術:
隨著網絡技術的不斷更新,網絡安全問題日益嚴峻。由於作業系統或應用程式在編碼過程中不可能做到百分之百的沒有錯誤,無時不在的零日攻擊已成為信息系統安全面臨的緊迫而嚴峻的挑戰。攻擊者針對各種作業系統、應用軟體中某些未被開發商知曉或未及時修補的漏洞發起的攻擊往往極具破壞力,正成為多數企業的災難,也嚴重危害國家安全。如今,受利益驅動的攻擊者們正不斷製造出各種專用且複雜的惡意軟體,企圖在特定系統、軟體開發或維護者發現或修復漏洞前利用漏洞。挖掘並利用零日漏洞進行零日攻擊是高級可持續威脅(Advanced Persistent Threats,APT)主要攻擊手段之一。
由於零日攻擊的特點,傳統的基於特徵庫的入侵檢測等無法對其進行防禦,新型主動防禦方法如移動目標防禦雖然可以通過不斷的變化降低攻擊成功的概率,但無法感知攻擊,且攻擊不可避免地仍會影響元功能的正常執行,元功能是指所設計系統的基本功能,雖然攻擊可能持續時間不長。現階段而言,要防範零日攻擊並降低其帶來的影響,最好的方法就是在零日攻擊活動開始進行時就及時發現並阻止它。
近些年,擬態防禦作為一種新型主動防禦技術迅速興起,並得到學術界和相關行業的廣泛關注,並已研製出數款不同類型的原理樣機,測試實驗證明了其技術的優越性。在機理上,擬態防禦可以從架構上發現異常、檢測到零日攻擊威脅並保證元功能的正常執行。由於擬態防禦機制的有效性,防禦方可以容忍執行體中存在漏洞,無需頻繁地對異構執行體中的漏洞打補丁,這導致漏洞將一直存在,即零日攻擊威脅持續存在,特別是那些可導致錯誤一致輸出的嚴重漏洞。擬態防禦機制中在線異構冗餘執行體集合的不斷切換雖然可以阻斷攻擊者並迷惑攻擊者的下一步行動,但可能獲取了擬態防禦系統內部信息的攻擊者仍可基於其掌握的部分漏洞信息對擬態防禦系統發起反覆攻擊,甚至攻擊者之間發起協同攻擊,這將導致頻繁的異常輸出和執行體切換,大大增加了防禦成本,進而導致事實上的元功能的喪失,已有機制面對零日攻擊時略顯被動,缺乏對攻擊進一步響應的手段,同時簡單的多數一致表決原則也有可能導致非元功能的多數一致性錯誤輸出發生,這將帶來嚴重的錯誤。
現有的擬態防禦框架在面臨上述問題時還有可改進的地方,因此需要一種能夠減輕防禦成本、及時發現並阻止攻擊者對同一零日漏洞反覆利用攻擊、並可對攻擊進行響應的防禦方法,以進一步增強擬態防禦架構的功能。
技術實現要素:
為克服現有技術中的不足,本發明提供一種基於擬態防禦架構的零日攻擊檢測、分析和響應系統及其方法,用於執行體在遭受同一攻擊手段或針對同一零日漏洞反覆攻擊及出現非元功能一致錯誤輸出時提供防護手段,對入侵進行響應,降低擬態防禦手段使用中面臨的安全威脅和成本壓力,增強擬態系統的穩健性。
按照本發明所提供的設計方案,一種基於擬態防禦架構的零日攻擊檢測、分析和響應系統,包含輸入代理單元、零日攻擊檢測單元、動態在線執行體集合、表決及元功能檢查單元、動態調度與管理單元、執行體池、異常統計與分析單元,其中,
輸入代理單元對請求數據包進行初步檢查,包括:根據入侵響應要求對請求數據包進行處理,同時動態改變網絡屬性和配置;
零日攻擊檢測單元,根據零日攻擊資料庫對輸入的請求數據進行檢測分析和異常判定;
動態在線執行體集合,包含蜜罐式執行體和M個異構執行體,M個異構執行體對輸入的請求數據進行獨立運算並將結果傳送至表決及元功能檢查單元,蜜罐式執行體對所有輸入的請求數據進行運算,對異常輸入進行分析,並將分析結果傳送至異常統計與分析單元,其中,M為大於1的整數;
表決與元功能檢查單元,對M個異構執行體的獨立運算結果進行比較表決,根據多數一致原則將表決結果作為最終輸出,並進行元功能檢查,將不符合元功能的執行體輸出視為異常輸出,同時將表決結果及異常輸出輸送至動態調度與管理單元,發出攻擊警告;
動態調度與管理單元,根據表決結果、異常輸出,及成本與收益因素進行統籌決策,決定執行體調度策略,從執行體池中選擇相應的執行體進入動態在線執行體集合;
執行體池,包含N個元功能等價的異構執行體,其中,N大於M;
異常統計與分析單元,根據異常輸出及蜜罐式執行體分析結果,對異常輸出的執行體進行統計分析,建立異常輸出與輸入的對應關係,若同一輸入多次導致異常輸出,則視為攻擊者發起零日攻擊,將相關攻擊數據寫入零日攻擊資料庫中,同時將統計分析結果反饋至入侵響應模塊;
入侵響應模塊,根據異常統計分析結果,採取入侵響應措施。
上述的,還包含漏洞發現及修復單元,根據異常統計分析結果,分析攻擊者攻擊過程,挖掘導致異常輸出原因,並將發現的零日攻擊反饋至動態調度與管理單元,對執行體池中的相關執行體進行修復。
上述的,元功能檢查,檢查執行體輸出結果是否符合其設計功能,對非元功能的輸出進行檢查並阻止;蜜罐式執行體,故意洩露執行體信息,誘使攻擊者對其進行攻擊,同時對檢測到的異常輸入進行分析,獲取攻擊者信息。
一種零日攻擊檢測、分析和響應方法,包含如下步驟:
步驟1、對輸入代理的輸入請求進行數據包初步檢查,包含:根據入侵響應要求對輸入請求進行初步處理,同時動態改變網絡屬性和配置;
步驟2、根據零日攻擊資料庫對輸入請求進行檢測,若輸入請求中存在有數據符合零日攻擊資料庫中規則,則判定為該輸入請求為異常輸入,對其進行異常處理,將其他輸入請求為正常輸入,將正常輸入分配給動態在線執行體集合的所有執行體,同時對輸入請求、檢測結果及異常處理結果進行記錄;
步驟3、通過M個異構執行體分別對正常輸入進行獨立運算,並將運算處理結果輸出至表決和元功能檢查單元;通過蜜罐式執行體對所有輸入進行所設計功能的處理,對異常輸入進行處理及攻擊分析,將處理及分析結果發送至異常統計與分析單元;
步驟4、對M個異構執行體獨立運算結果進行比較和表決,根據多數一致原則將表決結果作為最終結果輸出,並將異常輸出及相關執行體信息反饋至異常統計與分析單元;同時,進行元功能檢查,檢查執行體輸出結果是否符合其設計功能,將不符合元功能的執行體判定為異常輸出,將表決結果及異常輸出發送至動態調度與管理單元,並發出攻擊警告;
步驟5、根據表決結果、異常輸出,結合成本與收益因素進行統籌決策,從執行體池中選擇m個新的執行體進入動態在線執行體集合,以替換掉異常輸出的執行體和已經多個周期內使用的執行體,實現動態調度,其中,m小於等於M,被替換的執行體經清洗重置後進入執行體池;
步驟6、根據異常輸出、蜜罐式執行體分析結果對異常輸出的執行體進行異常統計分析,建立異常輸出與輸入的對應關係,若同一輸入多次導致異常輸出,則視為攻擊者發起零日攻擊,將相關攻擊數據寫入零日攻擊資料庫,同時將分析結果反饋至入侵響應模塊,入侵響應模塊根據異常統計分析結果,採取入侵響應措施。
上述的,還包含:步驟7、漏洞發現及修復,根據異常統計分析結果,分析攻擊者攻擊過程,挖掘導致異常輸出原因,並將發現的零日攻擊反饋至動態調度與管理單元,對執行體池中的相關執行體進行修復。
上述的,元功能檢查,檢查執行體輸出結果是否符合其設計功能,對非元功能的輸出進行檢查並阻止;蜜罐式執行體,故意洩露執行體信息,誘使攻擊者對其進行攻擊,同時對檢測到的異常輸入進行運行分析,獲取攻擊者信息。
上述的,步驟1中的根據入侵響應要求對輸入請求進行初步處理具體包含:斷開入侵者連接、隔離入侵者IP。
上述的,步驟6中的採取入侵響應措施具體包含:進行攻擊溯源、隔離入侵者IP、斷開攻擊連接。
本發明的有益效果:
本發明在擬態防禦原有架構的基礎上,利用異常輸出與輸入的對應關係,對異常進行統計分析和處理,構建零日攻擊資料庫,通過輸入檢測、處理及響應單元對可能的攻擊性輸入進行處理,同時基於異常統計分析結果對入侵進行進一步響應,並對多數一致的輸出進行是否符合元功能的檢查,根據表決情況和其他歷史信息等進行執行體動態調度決策,綜合各模塊的安全優勢,使得面臨安全威脅時,可對零日攻擊進行分析和阻止,能更好保證擬態防禦裝置運行的魯棒性、彈性和生存能力,降低防禦成本,進一步提高擬態防禦效能。
附圖說明:
圖1為本發明的系統原理圖;
圖2為實施例三的方法流程示意圖;
圖3為實施例四的方法流程示意圖。
具體實施方式:
下面結合附圖和技術方案對本發明作進一步詳細的說明,並通過優選的實施例詳細說明本發明的實施方式,但本發明的實施方式並不限於此。
實施例一,參見圖1所示,一種基於擬態防禦架構的零日攻擊檢測、分析和響應系統,包含輸入代理單元、零日攻擊檢測單元、動態在線執行體集合、表決及元功能檢查單元、動態調度與管理單元、執行體池、異常統計與分析單元,其中,
輸入代理單元對請求數據包進行初步檢查,包括:根據入侵響應要求對請求數據包進行處理,同時動態改變網絡屬性和配置;
零日攻擊檢測單元,根據零日攻擊資料庫對輸入的請求數據進行檢測分析和異常判定;
動態在線執行體集合,包含蜜罐式執行體和M個異構執行體,M個異構執行體對輸入的請求數據進行獨立運算並將結果傳送至表決及元功能檢查單元,蜜罐式執行體對所有輸入的請求數據進行運算,對異常輸入進行分析,並將分析結果傳送至異常統計與分析單元,其中,M為大於1的整數;
表決與元功能檢查單元,對M個異構執行體的獨立運算結果進行比較表決,根據多數一致原則將表決結果作為最終輸出,並進行元功能檢查,將不符合元功能的執行體輸出視為異常輸出,同時將表決結果及異常輸出輸送至動態調度與管理單元,發出攻擊警告;
動態調度與管理單元,根據表決結果、異常輸出,及成本與收益因素進行統籌決策,決定執行體調度策略,從執行體池中選擇相應的執行體進入動態在線執行體集合;
執行體池,包含N個元功能等價的異構執行體,其中,N大於M;
異常統計與分析單元,根據異常輸出及蜜罐式執行體分析結果,對異常輸出的執行體進行統計分析,建立異常輸出與輸入的對應關係,若同一輸入多次導致異常輸出,則視為攻擊者發起零日攻擊,將相關攻擊數據寫入零日攻擊資料庫中,同時將統計分析結果反饋至入侵響應模塊;
入侵響應模塊,根據異常統計分析結果,採取入侵響應措施。
用於執行體在遭受同一攻擊手段或針對同一零日漏洞反覆攻擊及出現非元功能一致錯誤輸出時提供防護手段,對入侵進行相應,降低擬態防禦手段使用中面臨的安全威脅和成本壓力,增強擬態系統的穩健性。
實施例二,與實施例一基本相同,不同之處在於:還包含漏洞發現及修復單元,根據異常統計分析結果,分析攻擊者攻擊過程,挖掘導致異常輸出原因,並將發現的零日攻擊反饋至動態調度與管理單元,對執行體池中的相關執行體進行修復。
上述的,元功能檢查,檢查執行體輸出結果是否符合其設計功能,對非元功能的輸出進行檢查並阻止;蜜罐式執行體,故意洩露執行體信息,誘使攻擊者對其進行攻擊,同時對檢測到的異常輸入進行分析,獲取攻擊者信息。
實施例三,參見圖1~2所示,一種基於實施例一所述的基於擬態防禦架構的零日攻擊檢測、分析和響應系統的零日攻擊檢測、分析和響應方法,包含如下步驟:
步驟1、對輸入代理的輸入請求進行數據包初步檢查,包括:根據入侵響應要求對輸入請求進行初步處理,同時動態改變網絡屬性和配置;
步驟2、根據零日攻擊資料庫對輸入請求進行檢測,若輸入請求中存在有數據符合零日攻擊資料庫中規則,則判定為該輸入請求為異常輸入,對其進行異常處理,將其他輸入請求為正常輸入,將正常輸入分配給動態在線執行體集合的所有執行體,同時對輸入請求、檢測結果及異常處理結果進行記錄;
步驟3、通過M個異構執行體分別對正常輸入進行獨立運算,並將運算處理結果輸出至表決和元功能檢查單元;通過蜜罐式執行體對所有輸入進行所設計功能的處理,對異常輸入進行處理及攻擊分析,將處理及分析結果發送至異常統計與分析單元;
步驟4、對M個異構執行體獨立運算結果進行比較和表決,根據多數一致原則將表決結果作為最終結果輸出,並將異常輸出及相關執行體信息反饋至異常統計與分析單元;同時,進行元功能檢查,檢查執行體輸出結果是否符合其設計功能,將不符合元功能的執行體判定為異常輸出,將表決結果及異常輸出發送至動態調度與管理單元,並發出攻擊警告;
步驟5、根據表決結果、異常輸出,結合成本與收益因素進行統籌決策,從執行體池中選擇m個新的執行體進入動態在線執行體集合,以替換掉異常輸出的執行體和已經多個周期內使用的執行體,實現動態調度,其中,m小於等於M,被替換的執行體經清洗重置後進入執行體池;
步驟6、根據異常輸出、蜜罐式執行體分析結果對異常輸出的執行體進行異常統計分析,建立異常輸出與輸入的對應關係,若同一輸入多次導致異常輸出,則視為攻擊者發起零日攻擊,將相關攻擊數據寫入零日攻擊資料庫,同時將分析結果反饋至入侵響應模塊,入侵響應模塊根據異常統計分析結果,採取入侵響應措施。
實施例四,參見圖3所示,一種基於實施例一所述的基於擬態防禦架構的零日攻擊檢測、分析和響應系統的零日攻擊檢測、分析和響應方法,包含如下步驟:
步驟1、對輸入代理的輸入請求進行數據包初步檢查,包括:根據入侵響應要求對輸入請求進行初步處理,例如:斷開入侵者連接、隔離入侵者IP等,丟棄相關數據包,並動態改變網絡屬性和配置;
步驟2、根據零日攻擊資料庫對輸入請求進行檢測,若輸入請求中存在有數據符合零日攻擊資料庫中規則,則判定為該輸入請求為異常輸入,對其進行異常處理,將其他輸入請求為正常輸入,將正常輸入分配給動態在線執行體集合的所有執行體,同時對輸入請求、檢測結果及異常處理結果進行記錄;
步驟3、通過M個異構執行體分別對正常輸入進行獨立運算,即完成執行所設計的功能,不同異構執行體的功能相同,只是實現方法不同,並將運算處理結果輸出至表決和元功能檢查單元;通過蜜罐式執行體對所有輸入進行所設計功能的處理,對異常輸入進行處理及攻擊分析,將處理及分析結果發送至異常統計與分析單元,其中,蜜罐式執行體,故意洩露執行體信息,誘使攻擊者對其進行攻擊,同時對檢測到的異常輸入進行運行分析,獲取攻擊者信息;
步驟4、對M個異構執行體獨立運算結果進行比較和表決,根據多數一致原則將表決結果作為最終結果輸出,並將異常輸出及相關執行體信息反饋至異常統計與分析單元,其中,多數一致原則即超過半數以上的異構執行體的輸出結果相同,蜜罐式執行體運算結果僅作參考;同時,進行元功能檢查,檢查執行體輸出結果是否符合其設計功能,對非元功能的輸出進行檢查並阻止,將不符合元功能的執行體判定為異常輸出,將表決結果及異常輸出發送至動態調度與管理單元,並發出攻擊警告,擬態防禦架構在保證系統元功能正常的同時,可以感知到零日攻擊的發生;
步驟5、根據表決結果、異常輸出,結合成本與收益因素進行統籌決策,從執行體池中選擇m個新的執行體進入動態在線執行體集合,以替換掉異常輸出的執行體和已經多個周期內使用的執行體,實現動態調度,其中,m小於等於M,被替換的執行體經清洗重置恢復至出廠狀態後進入執行體池,執行體池中共有N個元功能等價的異構執行體,其中,N大於M,即使沒有攻擊,動態調度與管理單元也按照一定的規則如執行體最大在線時間等進行執行體的動態調度;
步驟6、根據異常輸出、蜜罐式執行體分析結果對異常輸出的執行體進行異常統計分析,建立異常輸出與輸入的對應關係,若同一輸入多次導致異常輸出,則視為攻擊者發起零日攻擊,將相關攻擊數據寫入零日攻擊資料庫,同時將分析結果反饋至入侵響應模塊,入侵響應模塊根據異常統計分析結果,採取入侵響應措施,例如:進行攻擊溯源、隔離入侵者IP、斷開攻擊連接、根據零日攻擊資料庫對其進行過濾等,阻止其被反覆利用;
步驟7、漏洞發現及修復,根據異常統計分析結果,分析攻擊者攻擊過程,如攻擊者如何利用系統的漏洞與後門等,挖掘導致異常輸出原因,即零日漏洞挖掘,並將發現的零日攻擊反饋至動態調度與管理單元,對執行體池中的相關執行體進行修復。
本發明根據零日攻擊資料庫對輸入進行攻擊檢測和處理,通過蜜罐式執行體欺騙誘使攻擊者,並對異常輸入進行運行分析,對每個執行體的輸出進行是否符合元功能檢查;結合歷史異常信息及一段時間內輸入及其他信息對異常輸出進行統計分析,更新零日攻擊資料庫,並將分析結果反饋給入侵響應模塊,阻止攻擊者的持續攻擊;結合表決反饋情況、執行體調度歷史信息、異常輸出的執行體相關歷史信息等對在線執行體進行動態調整及管理,決定執行體調度策略,從執行體資源池中選擇執行體進入動態在線執行體集合;根據異常統計分析結果,分析發現異常輸出的執行體中的零日漏洞,對執行體池中的相關執行體進行修復,增強了擬態防禦架構的功能和彈性,充分利用異常輸出的價值,減少同一代碼的反覆攻擊,降低零日攻擊的威脅和防禦成本。
本發明不局限於上述具體實施方式,本領域技術人員還可據此做出多種變化,但任何與本發明等同或者類似的變化都應涵蓋在本發明權利要求的範圍內。