專利名稱：一種有效防御未知攻擊手法的網(wǎng)絡(luò)入侵安全防御系統(tǒng)的制作方法
技術(shù)領(lǐng)域：
本發(fā)明涉及一種網(wǎng)絡(luò)安全的保護(hù)方法，確切說(shuō)是涉及一種通過將入侵檢測(cè)和防火墻技術(shù)有效結(jié)合，從而起到察覺入侵掃描、偽裝系統(tǒng)服務(wù)、防御黑客入侵的功效。特別是在對(duì)黑客入侵的檢測(cè)方法上，創(chuàng)造了“通過過程和結(jié)果來(lái)判斷客戶端的請(qǐng)求是否是一種入侵行為”的程序判斷方法，不但能有效的防止入侵者利用已知的攻擊手段攻擊系統(tǒng)，并能防御入侵者利用未知的攻擊手段對(duì)系統(tǒng)進(jìn)行攻擊的一種安全保護(hù)方法。

發(fā)明內(nèi)容
本發(fā)明的目的在于為用戶提供一種不但能防止入侵者利用已知攻擊手段攻擊系統(tǒng)，還能有效地防御入侵者用未知的攻擊手段攻擊系統(tǒng)保護(hù)網(wǎng)絡(luò)安全的防御系統(tǒng)。
本發(fā)明的目的是通過下述技術(shù)方案來(lái)實(shí)現(xiàn)的如果能最有效的提取非法入侵行為的特征，并建立特性庫(kù)，最有效地提取漏洞、缺陷的基本特征并建立特性庫(kù)，就能有效防御各種未知的非法入侵，并能發(fā)現(xiàn)網(wǎng)絡(luò)的缺陷然后加以完善，同時(shí)也可以有效的避免入侵者利用系統(tǒng)的漏洞、網(wǎng)絡(luò)缺陷編制網(wǎng)絡(luò)病毒對(duì)系統(tǒng)攻擊所造成的侵害。通過收集、整理了96年至今3000多條出現(xiàn)過的安全漏洞，對(duì)這些漏洞發(fā)生的原因，造成的結(jié)果做了深入的研究和分析，同時(shí)對(duì)大量的入侵行為進(jìn)行分析，對(duì)網(wǎng)絡(luò)的漏洞及缺陷進(jìn)行了大量的分析，并提取它們的共同特性，獨(dú)特設(shè)計(jì)了一種OTR(Origin TOResult)分析測(cè)算方法，對(duì)這些已經(jīng)出現(xiàn)過的漏洞進(jìn)行分析和研究，建立了漏洞攻擊、非法入侵特性庫(kù)，然后對(duì)其進(jìn)行了多種測(cè)試，發(fā)現(xiàn)使用了漏洞特性庫(kù)后，面對(duì)來(lái)自WEB的請(qǐng)求，可以不再需要通過漏洞庫(kù)來(lái)判斷它的合法性，可以根據(jù)特性庫(kù)判斷請(qǐng)求的特性，進(jìn)行有效地過濾或處理(從外至內(nèi)保護(hù)系統(tǒng)的安全性)。同時(shí)，當(dāng)一個(gè)請(qǐng)求在經(jīng)過檢查進(jìn)入系統(tǒng)并經(jīng)過響應(yīng)后，會(huì)再次利用特性庫(kù)對(duì)它的合法性進(jìn)行檢測(cè)(從內(nèi)至外保護(hù)系統(tǒng)的安全)。在上述工作基礎(chǔ)上，創(chuàng)造了一種能有效防御未知攻擊手法的網(wǎng)絡(luò)入侵安全防御系統(tǒng)。該系統(tǒng)由入侵端口掃描察覺、偽裝系統(tǒng)服務(wù)、WEB入侵防御應(yīng)用防火墻、傳統(tǒng)包過濾防火墻等子系統(tǒng)組成，其特征在于該系統(tǒng)還包括裝有漏洞庫(kù)和入侵特性庫(kù)的數(shù)據(jù)檢入及檢出、判斷來(lái)自WEB請(qǐng)求合法性的過濾程序子系統(tǒng)。該過濾程序子系統(tǒng)，由數(shù)據(jù)檢入及數(shù)據(jù)檢出程序組成；數(shù)據(jù)檢入程序，依序由建立端口監(jiān)聽、接受WEB請(qǐng)求、漏洞庫(kù)比較、特性庫(kù)比較及WEB服務(wù)器正常處理各子程序組成，還包括有未通過漏洞庫(kù)檢測(cè)的和未通過特性庫(kù)檢測(cè)的，轉(zhuǎn)入發(fā)送錯(cuò)誤信息提示及關(guān)閉客戶端連接的子程序，數(shù)據(jù)檢出程序，依序由WEB服務(wù)器正常處理、特性庫(kù)比較、漏洞庫(kù)比較、將數(shù)據(jù)發(fā)送客戶端、關(guān)閉客戶端連接各子程序組成，還包括有未通過漏洞庫(kù)檢測(cè)的和未通過特性庫(kù)檢測(cè)的，轉(zhuǎn)入發(fā)送錯(cuò)誤信息提示及關(guān)閉客戶端連接的子程序。本發(fā)明中的入侵端口掃描察覺子系統(tǒng)，依序由端口監(jiān)聽、接受數(shù)據(jù)請(qǐng)求、關(guān)閉監(jiān)聽端口程序循環(huán)執(zhí)行而成，并在監(jiān)聽端口設(shè)置記錄掃描信息程序，恢復(fù)初始監(jiān)聽端程序。本發(fā)明中的偽裝系統(tǒng)服務(wù)子系統(tǒng)，依序由端口監(jiān)聽、接收客戶端連接請(qǐng)求、輸出偽裝的歡迎信息、接收用戶驗(yàn)證請(qǐng)求、輸出其它偽裝信息、輸出失敗信息、關(guān)閉和客戶端的連接、以及連接監(jiān)聽端口上的日 記錄各程序組成。
本發(fā)明的優(yōu)點(diǎn)在于①由于本系統(tǒng)中設(shè)置有入侵端口掃描察覺子系統(tǒng)，可以即時(shí)判斷端口是否存在入侵掃描，改換與關(guān)閉被掃描的端口，可防止黑客獲取信息及阻斷端口入侵；②設(shè)置偽裝系統(tǒng)服務(wù)子系統(tǒng)，可以誤導(dǎo)入侵者的攻擊目標(biāo)，有效地保護(hù)防火墻后面薄弱的WEB服務(wù)；③設(shè)置包括過濾防火墻，可以有效地過濾掉來(lái)自局域網(wǎng)外的訪問；④設(shè)置的WEB入侵防御應(yīng)用防火墻，對(duì)客戶端發(fā)送的請(qǐng)求被該防火墻截獲并對(duì)其進(jìn)行檢測(cè)，檢測(cè)完成后發(fā)送錯(cuò)誤信息或直接將客戶端的請(qǐng)求進(jìn)行轉(zhuǎn)發(fā)；該防火墻得到響應(yīng)后，再次對(duì)響應(yīng)的數(shù)據(jù)進(jìn)行檢測(cè)，完成后發(fā)送錯(cuò)誤信息或?qū)㈨憫?yīng)信息直接發(fā)送給客戶端，保證了網(wǎng)絡(luò)安全；⑤由于設(shè)置了包括有漏洞庫(kù)與特性庫(kù)的數(shù)據(jù)檢入與檢出過濾程序，對(duì)客戶端的請(qǐng)求首先進(jìn)行依據(jù)漏洞庫(kù)的常規(guī)檢測(cè)，再進(jìn)行依據(jù)特性庫(kù)的檢測(cè)，檢測(cè)完成后將請(qǐng)求轉(zhuǎn)發(fā)；當(dāng)?shù)玫巾憫?yīng)后，再次對(duì)響應(yīng)的數(shù)據(jù)進(jìn)行依據(jù)結(jié)果的逆向檢測(cè)，通過這個(gè)流程可以最終判斷客戶端的請(qǐng)求是否合法。本系統(tǒng)具有配置簡(jiǎn)單、綜合防御性能強(qiáng)、可以有效地防御黑客采用未知攻擊手法對(duì)網(wǎng)絡(luò)系統(tǒng)攻擊等突出優(yōu)點(diǎn)。


圖1為本發(fā)明系統(tǒng)結(jié)構(gòu)功能原理示意2為數(shù)據(jù)檢入、檢出、判斷來(lái)自WEB請(qǐng)求合法性過濾程序子系統(tǒng)3為入侵端口掃描察覺子系統(tǒng)4為偽裝系統(tǒng)服務(wù)子系統(tǒng)圖部分代碼ServerSocket ss＝new ServerSocket(80)2)接受HTTP請(qǐng)求。
部分代碼Socket s＝ss.accept ()3)利用漏洞庫(kù)比較HTTP請(qǐng)求中的URI。
說(shuō)明將HTTP請(qǐng)求中的URI和漏洞庫(kù)中存放的數(shù)百條可能對(duì)服務(wù)器造成危害的URI進(jìn)行比較，如果匹配則發(fā)送錯(cuò)誤信息，否則進(jìn)入下環(huán)節(jié)。
4)利用特性庫(kù)比較HTTP請(qǐng)求中的URI。
說(shuō)明分析HTTP請(qǐng)求中的URI會(huì)產(chǎn)生的效果，并將分析后的結(jié)果和特性庫(kù)中的數(shù)據(jù)進(jìn)行比較(如是否越界訪問)，判斷是否存在匹配，如果匹配則發(fā)送錯(cuò)誤信息，否則進(jìn)入下一環(huán)節(jié)。
5)將HTTP請(qǐng)求轉(zhuǎn)發(fā)給WEB服務(wù)器。
說(shuō)明將HTTP請(qǐng)求原封不動(dòng)的發(fā)送給WEB服務(wù)器。數(shù)據(jù)檢出流程為1)接收服務(wù)器處理完HTTP請(qǐng)求后信息。
部分代碼DataInputStream dis＝newDataInputStream(s.getInputStream ())；2)利用特性庫(kù)進(jìn)行比較。
說(shuō)明分析服務(wù)器端返回的數(shù)據(jù)，并將分析后的結(jié)果和特性庫(kù)中的數(shù)據(jù)進(jìn)行比較(如是否包含程序源代碼)，判斷是否存在匹配，如果匹配則發(fā)送錯(cuò)誤信息，否則進(jìn)入下一環(huán)節(jié)。
3)將服務(wù)器處理完的數(shù)據(jù)轉(zhuǎn)發(fā)給客戶端。
說(shuō)明將服務(wù)器端返回的數(shù)據(jù)原封不動(dòng)的發(fā)送給客戶端。
4)關(guān)閉客戶端連接。
部分代碼s.close ()
權(quán)利要求
1.一種有效防御未知攻擊手法的網(wǎng)絡(luò)入侵安全防御系統(tǒng)，由入侵端口掃描察覺、偽裝系統(tǒng)服務(wù)、WEB入侵防御應(yīng)用防火墻、傳統(tǒng)包過濾防火墻等子系統(tǒng)組成，其特征在于該系統(tǒng)還包括裝有漏洞庫(kù)和入侵特性庫(kù)的數(shù)據(jù)檢入及檢出、判斷來(lái)自WEB請(qǐng)求合法性的過濾程序子系統(tǒng)；該過濾程序子系統(tǒng)，由數(shù)據(jù)檢入及數(shù)據(jù)檢出程序組成；數(shù)據(jù)檢入程序依序由建立端口監(jiān)聽、接受WEB請(qǐng)求、漏洞庫(kù)比較、特性庫(kù)比較及WEB服務(wù)器正常處理各子程序組成，還包括有未通過漏洞庫(kù)檢測(cè)的和未通過特性庫(kù)檢測(cè)的轉(zhuǎn)入發(fā)送錯(cuò)誤信息提示及關(guān)閉客戶端連接的子程序；數(shù)據(jù)檢出程序依序由WEB服務(wù)器正常處理、特性庫(kù)比較、漏洞庫(kù)比較、將數(shù)據(jù)發(fā)送客戶端、關(guān)閉客戶端連接各子程序組成，還包括有未通過漏洞庫(kù)檢測(cè)的和未通過特性庫(kù)檢測(cè)的轉(zhuǎn)入發(fā)送錯(cuò)誤信息提示及關(guān)閉客戶端連接的子程序。
2.按照權(quán)利要求1所述的一種有效防御未知攻擊手法的網(wǎng)絡(luò)入侵安全防御系統(tǒng)，其特征在于入侵端口掃描察覺子系統(tǒng)依序由端口監(jiān)聽、接受數(shù)據(jù)請(qǐng)求、關(guān)閉監(jiān)聽端口程序循環(huán)執(zhí)行而成，并在監(jiān)聽端口設(shè)置記錄掃描信息程序、恢復(fù)初始監(jiān)聽端程序。
3.按照權(quán)利要求1所述的一種有效防御未知攻擊手法的網(wǎng)絡(luò)入侵安全防御系統(tǒng)，其特征在于偽裝系統(tǒng)服務(wù)子系統(tǒng)依序由端口監(jiān)聽、接收客戶端連接請(qǐng)求、輸出偽裝的歡迎信息、接收用戶驗(yàn)證請(qǐng)求、輸出其它偽裝信息、輸出失敗信息、關(guān)閉和客戶端的連接、以及連接監(jiān)聽端口上的日記錄各程序組成。
全文摘要
傳統(tǒng)的防護(hù)系統(tǒng)采用漏洞庫(kù)里的數(shù)據(jù)與來(lái)自客戶端的請(qǐng)求進(jìn)行比較的方法，來(lái)判斷請(qǐng)求的合法性，因而不能有效地防御未知漏洞的入侵。本發(fā)明采用多重防護(hù)手段，對(duì)已知漏洞攻擊手段及未知漏洞攻擊手段進(jìn)行有效防御。它由入侵端口掃描察覺、偽裝系統(tǒng)服務(wù)、WEB入侵防御應(yīng)用防火墻、傳統(tǒng)包過濾防火墻等子系統(tǒng)組成，特征是系統(tǒng)中還有裝有漏洞庫(kù)和入侵特性庫(kù)的數(shù)據(jù)檢入、檢出判斷來(lái)自WEB請(qǐng)求合法性的過濾程序子系統(tǒng)。該過濾程序子系統(tǒng)不但能過濾已知漏洞攻擊，還能有效地過濾掉未知漏洞的攻擊，這些功能模塊經(jīng)過簡(jiǎn)單地配置，安裝到WEB服務(wù)器上，就可起到全面的系統(tǒng)保護(hù)作用。
文檔編號(hào)G06F9/40GK1421771SQ01129118
公開日2003年6月4日 申請(qǐng)日期2001年11月27日 優(yōu)先權(quán)日2001年11月27日
發(fā)明者王云 申請(qǐng)人:四川安盟科技有限責(zé)任公司