基于OODA流程欺骗诱捕构建大规模事件发生的应急决策方法与流程

基于ooda流程欺骗诱捕构建大规模事件发生的应急决策方法
技术领域
1.本发明涉及信息安全技术领域，更具体的说是涉及一种基于ooda流程的欺骗诱捕构建大规模事件发生时的应急响应决策的方法。

背景技术：

2.当前，网络攻击每天都在增加，入侵手段具有产业化、组织化、多样化。现有的的入侵检测系统在面对层出不穷的漏洞、apt高级持续威胁攻击时难以有效的检测、分析，攻击者常常绕过现有的安全检测系统，利用新的攻击技术和武器直接进入内网进行数据窃取和破坏，导致防守方一直处于被动的地位，难以实现用户对主动防护的诉求。因此要对攻击者形成威慑，需要一种能够主动对抗攻击的技术方法。
3.现有的技术中，边界安全防护与网站安全防护过于依赖自身的特征库或病毒库，于新型网络攻击、0day漏洞等攻击方式存在误报、漏报等问题，终端检测与响应无法获取整体网络安全状态和趋势，无法准确反应攻击者对整个网络的威胁，防御处置不能全面覆盖，安全管理平台/态势感知产品通过收集多种安全产品数据并进行关联分析、预测，每天面对大量告警，运维效率低、难度大，数据可靠性差，缺乏对攻击行为自动响应及处置，使得无法对防御决策的有效性进行准确评估，从而不利于对网络攻击的的应急响应与决策，因此需要更加准确地、全面的、细颗粒度的感知攻击者每一个攻击动作，提取捕获的全链条攻击数据，精准预测攻击意图，提高用户应急响应决策的高效率。

技术实现要素：

4.有鉴于此，本发明提供了一种基于ooda流程的欺骗诱捕构建大规模事件发生时的应急响应决策的方法。
5.为实现上述目的，本发明提供如下技术方案，主要包括：
6.基于ooda流程的欺骗诱捕构建大规模事件发生时的应急响应决策的方法，其具体包括以下步骤：
7.步骤一：在网络中，构建部署大量的探针节点，仿真各种业务场景、服务、协议、漏洞陷阱的一种或多种；
8.步骤二：在主机终端中，构建部署大量的诱饵，包括文件诱饵、数据诱饵、凭据诱饵、网络诱饵浏览器类诱饵的一种或多种；
9.步骤三：在网络中采集探针节点攻击者发送的数据，在主机终端中采集触碰诱饵数据，同时采集主机内核中网络数据、文件数据、进程数据、注册表数据的一种或多种；
10.步骤四：将采集的攻击数据上传至分析组件；
11.步骤五：通过分析引擎，分类，预处理，分析告警事件，构建ooda决策组态；
12.步骤六：动态调整欺骗策略；
13.步骤七：触发响应处理流程，做响应处置决策；
14.步骤八：下发决策动作到网络中、终端节点中。
15.优选的，所述步骤五，通过分析引擎，分类，预处理，分析告警事件，构建ooda决策组态，具体包括以下步骤：
16.a)告警及联动相应的安全防护设备，收集攻击者情报；
17.b)借助智能事件关联分析引擎，出事件中存在的关联关系；
18.c)研判网络安全事件。
19.优选的，所述步骤8下发决策动作到网络中、终端节点中，具体包括以下步骤：
20.a)告警，邮件、短信、工单的一种或多种方式；
21.b)抑制、根除、恢复。
22.优选的，所述b)中，具体包括有以下步骤：
[0023]ⅰ.基于主机的防御策略，关闭进程、关闭服务、安装补丁、病毒扫描；
[0024]ⅱ.基于网络的策略：隔离主机、断开端口、断开网络、阻断ip；
[0025]ⅲ.对接其他安管平台，通过防火墙、ips、waf封堵网络；
[0026]ⅳ.进行系统加固；
[0027]
ⅴ
.恢复。
[0028]
优选的，在进行步骤五中的数据分类、预处理时，联动三方安全设备收集攻击者数据。
[0029]
优选的，所述步骤五中，通过分析装置对事件进行分析，将分析结果发送判断装置中，判断装置对分析结果进行判断，若判断为非攻击事件则返回分析装置，反之则发送至决策装置进行决策，再发送至处置装置进行处理。
[0030]
优选的，所述步骤六若为动态调整欺骗策略，则将信息返回至欺骗策略组件。
[0031]
优选的，在所述步骤ⅰ、步骤ⅱ以及步骤ⅲ完成后均下发策略脚本。
[0032]
优选的，所述步骤
ⅴ
.恢复，为恢复还原攻击链以及攻击过程。
[0033]
经由上述的技术方案可知，与现有技术相比，本发明的欺骗诱捕通过部署的伪装环境、业务应用系统的终端诱饵等，诱使攻击者对其攻击，暴露其攻击手法、战术和技术，分别从网络层、系统层、应用层、数据层实现对对其交互行为进行检测,特点具有网络全覆盖、业务场景全覆盖、不依赖特征库、误报率0，同时根据网络突发事件应急响应特点，结合欺骗技术构建一个由观察-检测(observation)、判断-分析(orientation)、决策-策略(decision)和行动-处置(action)4个阶段构成的事件应急响应决策闭环，融入现有安全防护体系中，实现自决策、自配置、自调整的网络安全事件应急方法，提升现有防御应急机制的循环迭代和能力演化。
附图说明
[0034]
为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据提供的附图获得其他的附图。
[0035]
图1为本发明的流程图。
具体实施方式
[0036]
下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。
[0037]
实施例
[0038]
如图1所示，基于ooda流程的欺骗诱捕构建大规模事件发生时的应急响应决策的方法，其具体包括以下步骤：
[0039]
步骤一：在网络中，构建部署大量的探针节点，仿真各种业务场景、服务、协议、漏洞陷阱的一种或多种；
[0040]
步骤二：在主机终端中，构建部署大量的诱饵，包括文件诱饵、数据诱饵、凭据诱饵、网络诱饵浏览器类诱饵的一种或多种；
[0041]
步骤三：在网络中采集探针节点攻击者发送的数据，在主机终端中采集触碰诱饵数据，同时采集主机内核中网络数据、文件数据、进程数据、注册表数据的一种或多种；
[0042]
步骤四：将采集的攻击数据上传至分析组件；
[0043]
步骤五：通过分析引擎，分类，预处理，分析告警事件，构建ooda决策组态；
[0044]
步骤六：动态调整欺骗策略；
[0045]
步骤七：触发响应处理流程，做响应处置决策；
[0046]
步骤八：下发决策动作到网络中、终端节点中。
[0047]
为了进一步优化上述方案，所述步骤五，通过分析引擎，分类，预处理，分析告警事件，构建ooda决策组态，具体包括以下步骤：
[0048]
a)告警及联动相应的安全防护设备，收集攻击者情报；
[0049]
b)借助智能事件关联分析引擎，出事件中存在的关联关系；
[0050]
c)研判网络安全事件。
[0051]
为了进一步优化上述方案，所述步骤8下发决策动作到网络中、终端节点中，具体包括以下步骤：
[0052]
a)告警，邮件、短信、工单的一种或多种方式；
[0053]
b)抑制、根除、恢复。
[0054]
为了进一步优化上述方案，所述b)中，具体包括有以下步骤：
[0055]ⅰ.基于主机的防御策略，关闭进程、关闭服务、安装补丁、病毒扫描；
[0056]ⅱ.基于网络的策略：隔离主机、断开端口、断开网络、阻断ip；
[0057]ⅲ.对接其他安管平台，通过防火墙、ips、waf封堵网络；
[0058]ⅳ.进行系统加固；
[0059]
ⅴ
.恢复。
[0060]
为了进一步优化上述方案，在进行步骤五中的数据分类、预处理时，联动三方安全设备收集攻击者数据。
[0061]
为了进一步优化上述方案，所述步骤五中，通过分析装置对事件进行分析，将分析结果发送判断装置中，判断装置对分析结果进行判断，若判断为非攻击事件则返回分析装置，反之则发送至决策装置进行决策，再发送至处置装置进行处理。
[0062]
为了进一步优化上述方案，所述步骤六若为动态调整欺骗策略，则将信息返回至欺骗策略组件。
[0063]
为了进一步优化上述方案，在所述步骤ⅰ、步骤ⅱ以及步骤ⅲ完成后均下发策略脚本。
[0064]
为了进一步优化上述方案，所述步骤
ⅴ
.恢复，为恢复还原攻击链以及攻击过程。
[0065]
经由上述的技术方案可知，与现有技术相比，本发明的欺骗诱捕通过部署的伪装环境、业务应用系统的终端诱饵等，诱使攻击者对其攻击，暴露其攻击手法、战术和技术，分别从网络层、系统层、应用层、数据层实现对对其交互行为进行检测,特点具有网络全覆盖、业务场景全覆盖、不依赖特征库、误报率0，同时根据网络突发事件应急响应特点，结合欺骗技术构建一个由观察-检测(observation)、判断-分析(orientation)、决策-策略(decision)和行动-处置(action)4个阶段构成的事件应急响应决策闭环，融入现有安全防护体系中，实现自决策、自配置、自调整的网络安全事件应急方法，提升现有防御应急机制的循环迭代和能力演化。
[0066]
本说明书中各个实施例采用递进的方式描述，每个实施例重点说明的都是与其他实施例的不同之处，各个实施例之间相同相似部分互相参见即可。对于实施例公开的装置而言，由于其与实施例公开的方法相对应，所以描述的比较简单，相关之处参见方法部分说明即可。
[0067]
对所公开的实施例的上述说明，使本领域专业技术人员能够实现或使用本发明。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的，本文中所定义的一般原理可以在不脱离本发明的精神或范围的情况下，在其它实施例中实现。因此，本发明将不会被限制于本文所示的这些实施例，而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。

技术特征：

1.基于ooda流程的欺骗诱捕构建大规模事件发生时的应急响应决策的方法，其特征在于，其具体包括以下步骤：步骤一：在网络中，构建部署大量的探针节点，仿真各种业务场景、服务、协议、漏洞陷阱的一种或多种；步骤二：在主机终端中，构建部署大量的诱饵，包括文件诱饵、数据诱饵、凭据诱饵、网络诱饵浏览器类诱饵的一种或多种；步骤三：在网络中采集探针节点攻击者发送的数据，在主机终端中采集触碰诱饵数据，同时采集主机内核中网络数据、文件数据、进程数据、注册表数据的一种或多种；步骤四：将采集的攻击数据上传至分析组件；步骤五：通过分析引擎，分类，预处理，分析告警事件，构建ooda决策组态；步骤六：动态调整欺骗策略；步骤七：触发响应处理流程，做响应处置决策；步骤八：下发决策动作到网络中、终端节点中。2.根据权利要求1所述的基于ooda流程的欺骗诱捕构建大规模事件发生时的应急响应决策的方法，其特征在于，所述步骤五，通过分析引擎，分类，预处理，分析告警事件，构建ooda决策组态，具体包括以下步骤：a)告警及联动相应的安全防护设备，收集攻击者情报；b)借助智能事件关联分析引擎，出事件中存在的关联关系；c)研判网络安全事件。3.根据权利要求1所述的基于ooda流程的欺骗诱捕构建大规模事件发生时的应急响应决策的方法，其特征在于，所述步骤8下发决策动作到网络中、终端节点中，具体包括以下步骤：a)告警，邮件、短信、工单的一种或多种方式；b)抑制、根除、恢复。4.根据权利要求1所述的基于ooda流程的欺骗诱捕构建大规模事件发生时的应急响应决策的方法，其特征在于，优选的，所述b)中，具体包括有以下步骤：ⅰ.基于主机的防御策略，关闭进程、关闭服务、安装补丁、病毒扫描；ⅱ.基于网络的策略：隔离主机、断开端口、断开网络、阻断ip；ⅲ.对接其他安管平台，通过防火墙、ips、waf封堵网络；ⅳ.进行系统加固；
ⅴ
.恢复。5.根据权利要求1所述的基于ooda流程的欺骗诱捕构建大规模事件发生时的应急响应决策的方法，其特征在于，在进行步骤五中的数据分类、预处理时，联动三方安全设备收集攻击者数据。6.根据权利要求1所述的基于ooda流程的欺骗诱捕构建大规模事件发生时的应急响应决策的方法，其特征在于，所述步骤五中，通过分析装置对事件进行分析，将分析结果发送判断装置中，判断装置对分析结果进行判断，若判断为非攻击事件则返回分析装置，反之则发送至决策装置进行决策，再发送至处置装置进行处理。7.根据权利要求1所述的基于ooda流程的欺骗诱捕构建大规模事件发生时的应急响应
决策的方法，其特征在于，所述步骤六若为动态调整欺骗策略，则将信息返回至欺骗策略组件。8.根据权利要求4所述的基于ooda流程的欺骗诱捕构建大规模事件发生时的应急响应决策的方法，其特征在于，在所述步骤ⅰ、步骤ⅱ以及步骤ⅲ完成后均下发策略脚本。9.根据权利要求4所述的基于ooda流程的欺骗诱捕构建大规模事件发生时的应急响应决策的方法，其特征在于，所述步骤
ⅴ
.恢复，为恢复还原攻击链以及攻击过程。

技术总结

本发明涉及基于OODA流程的欺骗诱捕构建大规模事件发生时的应急响应决策的方法，属于信息安全技术领域。通过部署的伪装环境、业务应用系统的终端诱饵等，诱使攻击者对其攻击，暴露其攻击手法、战术和技术，分别从网络层、系统层、应用层、数据层实现对对其交互行为进行检测,特点具有网络全覆盖、业务场景全覆盖、不依赖特征库、误报率0，同时根据网络突发事件应急响应特点，结合欺骗技术构建一个由观察-检测(observation)、判断-分析(orientation)、决策-策略(decision)和行动-处置(action)4个阶段构成的事件应急响应决策闭环，融入现有安全防护体系中，实现自决策、自配置、自调整的网络安全事件应急方法，提升现有防御应急机制的循环迭代和能力演化。环迭代和能力演化。