买专利卖专利找龙图腾，真高效！ 查专利查商标用IPTOP,全免费！专利年费监控用IP管家,真方便！

申请/专利权人：北京中关村实验室

摘要：本发明公开了一种面向高级持续威胁的数字替身防御系统设计方法及装置，属于安全监控技术领域。所述方法包括：对真实业务系统进行业务仿真和系统克隆；构建真实业务系统与数字替身防御系统之间的数据单向传输通路，并在数据单向传输通路中对真实业务系统中的敏感数据进行脱敏处理以及创建高级持续威胁攻击感兴趣的诱饵数据；基于攻击者视角对高级持续威胁攻击涉及的过程进行全链条模拟仿真，以生成数字替身防御系统面临高级持续威胁攻击的工作状态；通过在数字替身防御系统中进行代码插桩和信息流采集，提取和处理工作状态中的行为要素，以记录高级持续威胁攻击的攻击过程。本发明提供了有效的APT攻击捕获和替身环境下的攻击行为长效监测机制。

主权项：1.一种面向高级持续威胁的数字替身防御系统设计方法，其特征在于，所述方法包括：对真实业务系统进行业务仿真和系统克隆，得到数字替身防御系统；构建真实业务系统与数字替身防御系统之间的数据单向传输通路，并在数据单向传输通路中对真实业务系统中的敏感数据进行脱敏处理以及创建高级持续威胁攻击感兴趣的诱饵数据；基于攻击者视角对高级持续威胁攻击涉及的过程进行全链条模拟仿真，以生成数字替身防御系统面临高级持续威胁攻击的工作状态；其中，所述高级持续威胁攻击涉及的过程包括高级持续威胁攻击对脱敏数据和诱饵数据的获取过程，所述基于攻击者视角对高级持续威胁攻击涉及的过程进行全链条模拟仿真，包括：构建数字替身防御系统中的仿真模拟器，所述仿真模拟器包括：网络设备仿真模拟器、DNS服务仿真模拟器、C2与样本武器仿真模拟器和业务终端仿真模拟器，所述网络设备仿真模拟器用于模拟高级持续威胁样本攻击目标的网络基础设施环境，所述DNS服务仿真模拟器用于复现DNS解析过程以及模拟DNS查询和响应行为，所述C2与样本武器仿真模拟器用于重现攻击者的C2和样本武器的分发、控制过程，模拟攻击载荷的生成、传输和执行过程，以及样本武器与C2之间的交互行为，所述业务终端仿真模拟器用于模拟各类潜在受害终端设备和操作系统环境、重构攻击目标的系统和应用程序特性以及评估攻击样本对业务系统的影响和渗透能力；获取高级持续威胁样本；无害化改造高级持续威胁样本后，将无害高级持续威胁样本按组织和类型分批注入到不同的业务终端仿真模拟器；其中，所述无害化改造高级持续威胁样本后，将无害高级持续威胁样本按组织和类型分批注入到不同的业务终端仿真模拟器，包括：使用沙箱环境对收集到的高级持续威胁样本进行隔离和预执行，通过分析该高级持续威胁样本的行为，识别和提取恶意功能部分；通过修改恶意功能部分中的恶意代码或动态执行路径，修改调整高级持续威胁样本中的恶意功能，确保无害高级持续威胁样本在仿真环境中不会造成实际危害；根据无害高级持续威胁样本原本的攻击目标和类型，分批次、有目的地分配给相应的业务终端仿真模拟器，以模拟真实的攻击场景；逆向分析无害高级持续威胁样本，得到样本核心参数；其中，所述样本核心参数包括：样本初始化启动参数、样本通联行为参数、样本注入行为参数和关键信息记录检查行为参数；基于样本核心参数对网络设备仿真模拟器、DNS服务仿真模拟器、C2与样本武器仿真模拟器和业务终端仿真模拟器进行资源调度和配置；其中，所述基于样本核心参数对网络设备仿真模拟器、DNS服务仿真模拟器、C2与样本武器仿真模拟器和业务终端仿真模拟器进行资源调度和配置，包括：基于样本初始化启动参数、样本通联行为参数和样本注入行为参数，调整仿真模拟器的网络环境和配置，确保准确再现样本的通信、注入和执行行为；基于样本通联行为参数，在DNS服务仿真模拟器中配置相应的DNS解析规则和响应行为，模拟样本的DNS查询和解析过程；基于样本通联行为参数，调整C2与样本武器仿真模拟器配置，根据样本的命令控制通信特征，设置模拟C2服务器的响应行为和下发命令策略；基于样本初始化启动参数、样本注入行为参数和关键信息记录检查行为参数，为业务终端仿真模拟器配置必要的操作系统和应用程序环境，以及对应的防御策略，以观察样本在不同防护背景下的行为差异；通过DNS服务仿真模拟器模拟解析无害高级持续威胁样本发起的DNS请求；其中，所述通过DNS服务仿真模拟器模拟解析无害高级持续威胁样本发起的DNS请求，包括：配置DNS服务仿真模拟器以识别和响应来自无害高级持续威胁样本的特定DNS查询，模拟真实的域名解析过程；记录和分析无害高级持续威胁样本的DNS查询行为，用于研究样本的域名生成算法和C2域名利用策略；其中，所述DNS查询行为包括：查询域名、查询频率和查询时间；将解析的IP地址定位到C2与样本武器仿真模拟器，通过实现的渗透、样本下发、CC通信以及信息回传，全链条模拟攻击者的行为；其中，所述将解析的IP地址定位到C2与样本武器仿真模拟器，通过实现的渗透、样本下发、CC通信以及信息回传，全链条模拟攻击者的行为，包括：设置C2与样本武器仿真模拟器以响应模拟解析出的IP地址，建立与无害高级持续威胁样本的通信连接；仿真C2服务器的指令下发和数据接收过程，模拟攻击者对受害者进行远程控制和数据窃取的操作；通过分析C2与样本武器仿真模拟器记录的数据，得到攻击者的行为模式、攻击策略和数据窃取目标；通过在数字替身防御系统中进行代码插桩和信息流采集，提取和处理所述工作状态中的行为要素，以记录高级持续威胁攻击的攻击过程。

全文数据：

权利要求：

百度查询： 北京中关村实验室 面向高级持续威胁的数字替身防御系统设计方法及装置