买专利卖专利找龙图腾，真高效！ 查专利查商标用IPTOP,全免费！专利年费监控用IP管家,真方便！

申请/专利权人：哈尔滨工程大学

摘要：本发明公开了一种混合蜜罐的威胁诱捕过程评估的方法及系统，包括：S1、建立混合蜜罐的威胁诱捕过程的系统模型；S2、基于系统模型建立SPN模型图；S3、基于SPN模型图构造出同构的马尔科夫链；S4、基于同构的马尔科夫链对混合蜜罐的威胁诱捕过程的各项指标进行评估。本发明可以实现混合蜜罐的威胁诱捕过程评估。

主权项：1.一种混合蜜罐的威胁诱捕过程评估的方法，其特征在于，包括：S1、建立混合蜜罐的威胁诱捕过程的系统模型；S2、基于系统模型建立SPN模型图；S3、基于SPN模型图构造出同构的马尔科夫链；S4、基于同构的马尔科夫链对混合蜜罐的威胁诱捕过程的各项指标进行评估；所述基于系统模型建立SPN模型图具体包括：根据系统存在的状态和发生变迁的时间来确定系统的状态集合和事件集合；依据系统的状态和状态之间的相互关系，利用SPN的构成元素对系统的活动和状态之间的变迁进行描述；将库所与系统的状态、变迁与系统活动过程中发生的事件联系起来，建立系统的SPN模型图；库所集合：P＝{Pnoraml,Panalyse,Pcheckhoney,PcheckREAL,Plserveract,Plserverpoc,POOC}；变迁集合：T＝{Tscan,Tinteracthoney,TinteractREAL,Tchangetarget,Tattackhoney,Thoneywarnact,TattackREAL,Tsystemwarndes}；Pnormal威胁诱捕环境处于初始化诱捕状态；Panalyse攻击者对扫描结果进行分析；Pcheckhoney攻击者分析对仿真PLC的入侵方法并对仿真PLC给出的响应进行辨别；PcheckREAL攻击者分析对真实服务的入侵方法并对真实服务给出的响应进行辨别；Plserveract混合蜜罐对交互过程过程进行记录和整理；Plserverpoc混合蜜罐对交互过程和攻击载荷进行记录和整理；POOC攻击者成功入侵真实系统；Tscan攻击者对整个网络环境进行扫描和服务探测；Tinteracthoney攻击者与混合蜜罐进行交互；TinteractREAL攻击者与真实服务进行交互；Tchangetargethoney攻击者识别出混合蜜罐的蜜罐特征并更换攻击资源和目标；Tattackhoney攻击者利用准备好的武器资源攻击混合蜜罐的虚假服务；Thoneywarnact混合蜜罐整理交互过程发出告警信息；Thoneywarnpoc混合蜜罐整理交互过程和攻击载荷发出告警信息；TattackREAL攻击者利用准备的攻击资源对真实服务实施攻击；Tsystemwarndes攻击者达成攻击目的，系统遭到维护人员感知到的破坏；混合蜜罐威胁诱捕过程的SPN模型的构建如下：混合蜜罐最初处于诱骗的初始状态；当攻击者开始对工控网络进行入侵时，首先对整个网络进行扫描获取到所有的主机节点和服务；随后攻击者开始对获取的扫描结果进行分析，确定要进攻的主机或服务；假定在获取的诸多网络服务中，攻击者首先与某个蜜罐服务进行交互；随后根据混合蜜罐服务给出的响应结果对混合蜜罐所提供服务的真实性进行分析和判断；如果攻击者判定混合蜜罐提供的服务是虚假服务，攻击者会更换IP代理和其他攻击资源并放弃对当前服务发起攻击；此时蜜罐进入状态对交互的过程进行记录，随后蜜罐依据交互过程发出告警信息；如果攻击者没有识别出虚假服务，会通过提前准备的攻击载荷向仿真设备发起攻击；混合蜜罐会对攻击者投递的攻击载荷和交互过程进行记录，并依据记录的交互过程和攻击载荷向管理员发出告警信息；S3具体为：所述基于SPN模型图构造出同构的马尔科夫链具体包括：构造系统模型状态的可达图，基于可达图，用每个变迁的平均实施速率替代可达图中的变迁集合后获得与SPN模型图同构的马尔科夫链；对威胁诱捕过程中所有可能的状态进行分析，基于所述库所集合，得到可达状态集合，所述可达状态集合中每一行代表一个可达状态，每一列代表可达状态中是否包含这一库所；可达状态如下表所示： 利用实施速率替换所述可达状态集合中的变迁状态，构建同构的马尔科夫链；根据所述同构的马尔科夫链，基于随机Petri网性能分析中对转移矩阵的定义，得到转移矩阵；所述转移矩阵Q为： 其中，λ1-λ9为变迁平均实施速率；根据转移矩阵，确定稳定概率方程组； 其中，p0-p7用于表征稳定概率；求解所述方程组得到稳定概率； 所述基于同构的马尔科夫链对混合蜜罐的威胁诱捕过程的各项指标进行评估具体包括：基于同构的马尔科夫链计算可达图标识的稳定概率，基于稳定概率对性能指标进行求解得到评估结果；在获得的各个状态稳定概率的基础上，对诱捕过程的性能评价评价指标进行计算；以蜜罐系统捕获攻击的概率、防御成功的概率以及系统沦陷概率对诱捕过程的性能进行评价；其中系统的沦陷概率为表达攻击者成功入侵并实施破坏的状态S6的概率Pfall＝P6，系统安全的概率为Psuccsess＝1-P3-P6，蜜罐系统捕获攻击的概率为攻击者与混合蜜罐存在交互的概率的和Pdefense＝P2+P4+P5。

全文数据：

权利要求：

百度查询： 哈尔滨工程大学 混合蜜罐的威胁诱捕过程评估的方法及系统