所示。本文针对常见的网络攻击场景设
计响应策略(其他如社会工程学攻击不在本文讨论范围内)。当决策引擎决定
将流量导向蜜罐系统时,首先对攻击阶段进行判断。如果为网络探测阶段,再进一
步判断是拓扑探测还是端口扫描。当攻击者对网络拓扑进行探测时,由网络欺骗
模块生成虚假拓扑结构,返回攻击者,使其无法掌握真实网络结构;若为端口扫描,
则会通过低交互蜜罐,随机生成端口信息返回。如果为漏洞利用阶段,再利用攻击
图把多步骤的攻击行为拆分成不同的阶段,分别使用不同类型的中交互蜜罐模拟
不同的协议进行针对性响应。在选择不同中交互蜜罐进行响应之前,通过蜜罐动
态部署模块进行检测,如果不存在所需的蜜罐,则进行动态生成,以便使用。如果为
网络攻击阶段,则在完成攻击后,将攻击者继续诱骗到高交互蜜罐所模拟的系统服
务中,通过攻击数据收集模块进行攻击数据的捕获,用于之后的观察分析。
图 2
图 2多阶段攻击响应工作流程
本文提出了基于攻击图
[28
]
的攻击阶段划分方法,攻击图的生成过程如下:
1)对要生成攻击图的网络进行相关信息采集,包括连接列表(不同主机之间
的连接关系),漏洞列表(每个主机上可能存在的漏洞)以及主机信息(如硬件
类型、操作系统、可用服务和端口等),并对收集到的信息进行归纳和整理。