專利名稱:一種實(shí)現(xiàn)誘騙網(wǎng)絡(luò)數(shù)據(jù)流重定向的方法
技術(shù)領(lǐng)域:
本發(fā)明涉及一種保護(hù)網(wǎng)絡(luò)的方法,特別是一種實(shí)現(xiàn)誘騙網(wǎng)絡(luò)數(shù)據(jù)流重定向的方法。
背景技術(shù):
近幾年來互聯(lián)網(wǎng)以及通信網(wǎng)在全球范圍內(nèi)得到了迅猛的的發(fā)展,它對人類社會的生活方式產(chǎn)生了極大的影響和改變,而隨之而來的網(wǎng)絡(luò)信息安全問題就顯得越來越重要。網(wǎng)絡(luò)黑客、病毒、信息竊取和干擾等手段的出現(xiàn),使網(wǎng)絡(luò)的安全面臨嚴(yán)重的挑釁。全球每年都為之付出巨大的代價,高達(dá)數(shù)億美元之多,如銀行帳戶系統(tǒng)被侵入、病毒發(fā)作、軍事網(wǎng)絡(luò)干擾等。
傳統(tǒng)的網(wǎng)絡(luò)安全技術(shù)主要有防火墻技術(shù)和入侵檢測系統(tǒng)。防火墻的主要功能是防止非法入侵者進(jìn)入網(wǎng)絡(luò),使被懷疑的用戶不能進(jìn)入相應(yīng)的網(wǎng)絡(luò),在某種程度上保護(hù)了網(wǎng)絡(luò)的安全。但人們又面臨新的問題1)由于防火墻技術(shù)和入侵檢測系統(tǒng)等將可疑者拒之門外,使攻擊者不能得手,這將使攻擊者不斷謀求新的技術(shù)手段進(jìn)行進(jìn)攻,增加了網(wǎng)絡(luò)安全防護(hù)的難度和不可測性。2)由于可疑者被拒,就無法知道其真正意圖,想破壞哪些數(shù)據(jù),或想得到哪些數(shù)據(jù),這些信息在軍事上可以使我們了解敵人的意圖,以采取相應(yīng)的措施。在民用上可以使我們了解攻擊者的手段和方法,如了解病毒衍生的過程,從而進(jìn)行有效防衛(wèi)。3)由于可疑者被拒,系統(tǒng)沒有被入侵者進(jìn)入,沒有無法知道系統(tǒng)的漏洞在哪里?由此而產(chǎn)生了“誘騙網(wǎng)絡(luò)”(honeypot)技術(shù),使網(wǎng)絡(luò)的防御在一定程度上由被動轉(zhuǎn)為主動。
傳統(tǒng)的誘騙網(wǎng)絡(luò)如圖1所示,LAN表示要保護(hù)的局域網(wǎng)。從因特網(wǎng)(Internet)來的可疑入侵者可以進(jìn)入誘騙網(wǎng)絡(luò),也可以進(jìn)入局域網(wǎng)。這種情況下誘騙網(wǎng)絡(luò)是一種某種意義上的愿者上鉤的模式,它被動的等待黑客的侵入,然后記錄其一舉一動,這種模式下的誘騙網(wǎng)絡(luò)大部分時間都是無所事事,從而起不到協(xié)助保護(hù)局域網(wǎng)的作用。
發(fā)明內(nèi)容
本發(fā)明的目的就是為了彌補(bǔ)傳統(tǒng)誘騙網(wǎng)絡(luò)的不足,提出一種可使被動的誘騙網(wǎng)絡(luò)變成主動引誘網(wǎng)絡(luò)的實(shí)現(xiàn)誘騙網(wǎng)絡(luò)數(shù)據(jù)流重定向的方法。
本發(fā)明的技術(shù)解決方案一種實(shí)現(xiàn)誘騙網(wǎng)絡(luò)數(shù)據(jù)流重定向的方法,其特征在于它是對進(jìn)入網(wǎng)絡(luò)的所有數(shù)據(jù)進(jìn)行重定向處理,其規(guī)則如下1、如果數(shù)據(jù)報來自Internet,查其源地址是否在可疑IP列表中,具體做法是a)如果是在可疑IP列表中,將其目的MAC地址替換為誘騙網(wǎng)絡(luò)對應(yīng)主機(jī)的MAC地址,再發(fā)往誘騙網(wǎng)絡(luò);b)如果不是在可疑IP列表中,按防火墻檢測規(guī)則或入侵檢測系統(tǒng)的檢測規(guī)則進(jìn)行檢測,具體檢測方法為I)如果規(guī)則不匹配,表明該數(shù)據(jù)報是正常的,則發(fā)往要保護(hù)的網(wǎng)絡(luò);II)如果規(guī)則匹配,則表明該數(shù)據(jù)報是可疑的,把其源地址加入可疑IP列表,然后發(fā)往誘騙網(wǎng)絡(luò);2、如果數(shù)據(jù)報來自局域網(wǎng)LAN,直接從Internet接口發(fā)送出去;3、如果數(shù)據(jù)報來自Honeypot,將其源MAC地址通過誘騙網(wǎng)絡(luò)與局域網(wǎng)LAN中主機(jī)的MAC地址與IP地址對應(yīng)表替換為局域網(wǎng)LAN中對應(yīng)主機(jī)的MAC地址后,再從Internet接口發(fā)送出去。
本發(fā)明方法的優(yōu)點(diǎn)是1)使被動的誘騙網(wǎng)絡(luò)變成主動引誘網(wǎng)絡(luò),任何可疑的用戶都將被引入誘騙網(wǎng)絡(luò)。2)由于可疑的用戶被引入誘騙網(wǎng)絡(luò)起到了保護(hù)局域網(wǎng)的目的。3)在誘騙網(wǎng)絡(luò)中提供與實(shí)際網(wǎng)絡(luò)相同的環(huán)境,包括FTP、HTTP、E-MAIL等業(yè)務(wù),使入侵者沒有感覺到被誘騙到誘騙網(wǎng)絡(luò)。4)由于本發(fā)明方法是在計算機(jī)網(wǎng)絡(luò)的第二層處理,即數(shù)據(jù)鏈路層處理,處理速度快,因為調(diào)用的都是系統(tǒng)最底層的函數(shù),對LAN、Honeypot和Internet均是透明的,不易被可疑入侵者發(fā)現(xiàn),且通過Mac地址轉(zhuǎn)換,可達(dá)到充分偽裝的目的。5)通過誘騙網(wǎng)絡(luò),可以觀測入侵者的意圖和手段,如想破壞哪些數(shù)據(jù),或想得到哪些數(shù)據(jù),以及病毒衍生的過程等等,為網(wǎng)絡(luò)的安全提供新的手段。
圖1是傳統(tǒng)的實(shí)現(xiàn)誘騙網(wǎng)絡(luò)的原理圖。
圖2是本發(fā)明的帶有重定向機(jī)制的實(shí)現(xiàn)誘騙網(wǎng)絡(luò)的原理圖。
圖3是實(shí)現(xiàn)本發(fā)明誘騙網(wǎng)絡(luò)的系統(tǒng)示意圖。
圖4是實(shí)現(xiàn)本發(fā)明誘騙網(wǎng)絡(luò)的系統(tǒng)算法流程圖。
圖5是圖4中的HanleOutP函數(shù)算法流程圖。
圖6是圖4中的HanleSusP函數(shù)算法流程圖。
具體實(shí)施例方式
本發(fā)明方法提出了一種新的思路,即在誘騙網(wǎng)絡(luò)(honeypot)之前增加一個重定向機(jī)制,來自Internet的用戶將首先被進(jìn)行過慮,正常的流量將導(dǎo)入局域網(wǎng)LAN,而將可疑的流量導(dǎo)入誘騙網(wǎng)絡(luò)(如圖2所示)。
本發(fā)明的實(shí)現(xiàn)誘騙網(wǎng)絡(luò)數(shù)據(jù)流重定向的方法是對進(jìn)入網(wǎng)絡(luò)的所有數(shù)據(jù)進(jìn)行重定向處理,其規(guī)則如下1、如果數(shù)據(jù)報來自Internet,查其源地址是否在可疑IP(InternetProtocol)列表中(該列表由用戶自己建立,用于記載可疑IP地址),具體做法是a)如果是在可疑IP列表中,將其目的MAC(Media Access Control)地址替換為誘騙網(wǎng)絡(luò)(Honeypot)對應(yīng)主機(jī)的MAC地址,再發(fā)往誘騙網(wǎng)絡(luò)。
b)如果不是在可疑IP列表中,按防火墻檢測規(guī)則或入侵檢測系統(tǒng)的檢測規(guī)則進(jìn)行檢測,具體檢測方法為I)如果規(guī)則不匹配,說明該數(shù)據(jù)報是正常的,則發(fā)往要保護(hù)的網(wǎng)絡(luò)(如局域網(wǎng)LAN)。
II)如果規(guī)則匹配,則說明該數(shù)據(jù)報是可疑的,把其源地址加入可疑IP列表,然后發(fā)往Honeypot。
2、如果數(shù)據(jù)報來自局域網(wǎng)LAN,直接從Internet接口發(fā)送出去。
3、如果數(shù)據(jù)報來自Honeypot,將其源MAC地址通過誘騙網(wǎng)絡(luò)與局域網(wǎng)LAN中主機(jī)的MAC地址與IP地址對應(yīng)表(該對應(yīng)表用來記錄誘騙網(wǎng)絡(luò)和局域網(wǎng)LAN的IP地址與MAC地址的對應(yīng)關(guān)系)替換為局域網(wǎng)LAN中對應(yīng)主機(jī)的MAC地址后,再從Internet接口發(fā)送出去。
在本發(fā)明對網(wǎng)絡(luò)數(shù)據(jù)流進(jìn)行重定向后,就可以方便地對進(jìn)入誘騙網(wǎng)絡(luò)的數(shù)據(jù)報行為進(jìn)行觀察,了解入侵者的意圖,分析入侵者的行為,發(fā)現(xiàn)網(wǎng)絡(luò)的漏洞,尋找保護(hù)方法。
本發(fā)明方法中,需要維護(hù)兩項重要的數(shù)據(jù),一項為可疑IP列表,另一項為誘騙網(wǎng)絡(luò)與局域網(wǎng)LAN中主機(jī)的MAC地址與IP地址對應(yīng)表。同時對來自局域網(wǎng)的數(shù)據(jù)也可以進(jìn)行類似于來自Internet的數(shù)據(jù)檢測方法,以增強(qiáng)對來自局域網(wǎng)的入侵者的防范。
上述維護(hù)可疑IP列表的方法是1)建立一個初始為空的可疑IP列表。
2)每當(dāng)檢測模塊檢測到一個可疑的數(shù)據(jù)報,便記錄其源IP地址,同時打上時間戳,以標(biāo)識當(dāng)時的時間。
3)當(dāng)列表中可疑的IP地址時間戳到期,則將其IP從列表中刪除。
上述維護(hù)MAC與IP地址對應(yīng)表的方法是1)每當(dāng)在該對應(yīng)表中沒有查到需要的誘騙網(wǎng)絡(luò)或局域網(wǎng)LAN中主機(jī)的MAC地址時,則向誘騙網(wǎng)絡(luò)或局域網(wǎng)LAN中發(fā)送ARP請求(arp request)數(shù)據(jù)報。
2)根據(jù)計算機(jī)網(wǎng)絡(luò)中的ARP協(xié)議,對來自誘騙網(wǎng)絡(luò)和局域網(wǎng)LAN的數(shù)據(jù)報進(jìn)行檢測,判斷其是否為ARP應(yīng)答(arp repley)數(shù)據(jù)報;3)如果是則取出發(fā)送者M(jìn)AC地址和IP地址,存入MAC與IP地址對應(yīng)表。
實(shí)施例本發(fā)明系統(tǒng)如圖3所示。它由普通PC機(jī)A1-A4構(gòu)成,其中PC機(jī)A1模仿INTERNET數(shù)據(jù)源,設(shè)定其IP地址為10.10.139.10、MAC地址為00:05:5d:e7:70:94。PC機(jī)A3為誘騙網(wǎng)絡(luò),設(shè)定其IP地址為192.186.1.1、MAC地址為00:05:5d:e8:52:75(誘騙網(wǎng)絡(luò)可以由普通的PC機(jī)安裝操作系統(tǒng)構(gòu)成,也可以在此基礎(chǔ)上,再通過編程模仿一個局域網(wǎng)對用戶提供服務(wù),并捕捉用戶的行為,進(jìn)行分析統(tǒng)計等處理)。被保護(hù)網(wǎng)絡(luò)為PC機(jī)A4(它可以是一臺,也可以是多臺PC機(jī)構(gòu)成的局域網(wǎng)),設(shè)定其IP地址為192.186.1.1,MAC地址為00:e0:4c:89:eb:a0。系統(tǒng)的算法可通過圖4的流程圖實(shí)現(xiàn),該流程圖中的HanleOutP函數(shù)對發(fā)往Internet的包做一些MAC地址的處理工作,主要是偷換源MAC地址和維護(hù)IP地址與MAC地址的對應(yīng)表,該表的每個表項包括一個IP地址和對應(yīng)的兩個MAC地址誘騙網(wǎng)絡(luò)的主機(jī)MAC地址(HoneyMac)和局域網(wǎng)中主機(jī)MAC地址(ProdMac)。HanleOutP函數(shù)的算法流程圖見圖5。
圖4中的HanleSusP函數(shù)主要將可疑數(shù)據(jù)報的目的MAC地址改為HoneyMac,其算法流程圖見圖6。
本發(fā)明的發(fā)明點(diǎn)就在于在它們之間設(shè)置了重定向模塊(Redirectmodule),它由PC機(jī)A2構(gòu)成,它有三個網(wǎng)絡(luò)接口,分別為eth0、eth1和eth2,并分別與PC機(jī)A1、A3和A4相連。
本發(fā)明方法的具體工作過程如下1、如果數(shù)據(jù)來自INTERNET,即PC機(jī)A1,則通過eth0接口進(jìn)入重定向模塊,重定向模塊檢查其源地址是否在可疑IP列表中,檢查處理方法如下a)如果是在可疑IP列表中,將其目的MAC地址替換為誘騙網(wǎng)絡(luò)(Honeypot)對應(yīng)主機(jī)的MAC地址00:05:5d:e8:52:75,通過網(wǎng)絡(luò)接口eth1發(fā)往誘騙網(wǎng)絡(luò),即PC機(jī)A3。
b)如果不是在可疑IP列表中,按入侵檢測系統(tǒng)(如開放源代碼入侵檢測系統(tǒng)SNORT)的檢測規(guī)則進(jìn)行檢測(對于商用入侵檢測系統(tǒng)或防火墻只需開發(fā)商提供其開發(fā)接口即可)。檢測方法為I)如果檢測規(guī)則不匹配,則說明該數(shù)據(jù)報是正常的,通過網(wǎng)絡(luò)接口eth2發(fā)往要保護(hù)的網(wǎng)絡(luò),即PC機(jī)A4。
II)如果規(guī)則匹配,則說明該數(shù)據(jù)報是可疑的,把其源IP地址加入可疑IP列表,并打上時間戳,將其目的MAC地址替換為誘騙網(wǎng)絡(luò)(Honeypot)對應(yīng)主機(jī)的MAC地址00:05:5d:e8:52:75,然后通過網(wǎng)絡(luò)接口eth1發(fā)往Honeypot,即PC機(jī)A3。
2、如果數(shù)據(jù)報來自保護(hù)的網(wǎng)絡(luò),即PC機(jī)A4,則可直接從Internet接口,即接口eth0發(fā)送出去。
3、如果數(shù)據(jù)報來自Honeypot,即PC機(jī)A3,將其源MAC地址替換要保護(hù)的網(wǎng)絡(luò)中對應(yīng)主機(jī)的MAC地址,即PC機(jī)A4的MAC地址00:e0:4c:89:eb:a0,再從Internet接口發(fā)送出去。
對進(jìn)入誘騙網(wǎng)絡(luò)(即PC機(jī)A3)的數(shù)據(jù)報行為進(jìn)行觀察,可以通過系統(tǒng)日志等手段查看入侵者的行為,從而了解入侵者的意圖,分析入侵者的行為,發(fā)現(xiàn)網(wǎng)絡(luò)的漏洞,尋找保護(hù)網(wǎng)絡(luò)的方法。
權(quán)利要求
1.一種實(shí)現(xiàn)誘騙網(wǎng)絡(luò)數(shù)據(jù)流重定向的方法,其特征在于它是對進(jìn)入網(wǎng)絡(luò)的所有數(shù)據(jù)進(jìn)行重定向處理,其規(guī)則如下1)、如果數(shù)據(jù)報來自Internet,查其源地址是否在可疑IP列表中,具體做法是a)如果是在可疑IP列表中,將其目的MAC地址替換為誘騙網(wǎng)絡(luò)對應(yīng)主機(jī)的MAC地址,再發(fā)往誘騙網(wǎng)絡(luò);b)如果不是在可疑IP列表中,按防火墻檢測規(guī)則或入侵檢測系統(tǒng)的檢測規(guī)則進(jìn)行檢測,具體檢測方法為I)如果規(guī)則不匹配,表明該數(shù)據(jù)報是正常的,則發(fā)往要保護(hù)的網(wǎng)絡(luò);II)如果規(guī)則匹配,則表明該數(shù)據(jù)報是可疑的,把其源地址加入可疑IP列表,然后發(fā)往誘騙網(wǎng)絡(luò);2)、如果數(shù)據(jù)報來自局域網(wǎng)LAN,直接從Internet接口發(fā)送出去;3)、如果數(shù)據(jù)報來自Honeypot,將其源MAC地址通過誘騙網(wǎng)絡(luò)與局域網(wǎng)LAN中主機(jī)的MAC地址與IP地址對應(yīng)表替換為局域網(wǎng)LAN中對應(yīng)主機(jī)的MAC地址后,再從Internet接口發(fā)送出去。
2.按權(quán)利要求1所述的一種實(shí)現(xiàn)誘騙網(wǎng)絡(luò)數(shù)據(jù)流重定向的方法,其特征在于所述可疑IP列表的維護(hù)方法是1)建立一個初始為空的可疑IP列表;2)每當(dāng)檢測模塊檢測到一個可疑的數(shù)據(jù)報,便記錄其源IP地址,同時打上時間戳,以標(biāo)識當(dāng)時的時間;3)當(dāng)列表中可疑的IP地址時間戳到期,則將其IP從列表中刪除。
3.按權(quán)利要求1所述的一種實(shí)現(xiàn)誘騙網(wǎng)絡(luò)數(shù)據(jù)流重定向的方法,其特征在于所述誘騙網(wǎng)絡(luò)與局域網(wǎng)LAN中主機(jī)的MAC地址與IP地址對應(yīng)表的維護(hù)方法是1)每當(dāng)在該對應(yīng)表中沒有查到需要的誘騙網(wǎng)絡(luò)或局域網(wǎng)LAN中主機(jī)的MAC地址時,則向誘騙網(wǎng)絡(luò)或局域網(wǎng)LAN中發(fā)送arp request數(shù)據(jù)報。2)根據(jù)計算機(jī)網(wǎng)絡(luò)中的ARP協(xié)議,對來自誘騙網(wǎng)絡(luò)和局域網(wǎng)LAN的數(shù)據(jù)報進(jìn)行檢測,判斷其是否為arp repley數(shù)據(jù)報;3)如果是則取出發(fā)送者M(jìn)AC地址和IP地址,存入MAC與IP地址對應(yīng)表。
全文摘要
本發(fā)明涉及一種實(shí)現(xiàn)誘騙網(wǎng)絡(luò)數(shù)據(jù)流重定向的方法,它對進(jìn)入網(wǎng)絡(luò)的所有數(shù)據(jù)進(jìn)行重定向處理,如果數(shù)據(jù)報來自Internet,查其源地址是否在可疑IP列表中,若在可疑IP列表中,將其目的MAC地址替換為誘騙網(wǎng)絡(luò)對應(yīng)主機(jī)的MAC地址,再發(fā)往誘騙網(wǎng)絡(luò)。若不在可疑IP列表中,按防火墻檢測規(guī)則或入侵檢測系統(tǒng)的檢測規(guī)則進(jìn)行檢測,如果檢測規(guī)則不匹配,表明該數(shù)據(jù)報是正常的,則發(fā)往要保護(hù)的網(wǎng)絡(luò);如果規(guī)則匹配,則表明該數(shù)據(jù)報是可疑的,把其源地址加入可疑IP列表,然后發(fā)往誘騙網(wǎng)絡(luò)。如果數(shù)據(jù)報來自局域網(wǎng)LAN,直接從Internet接口發(fā)送出去。如果數(shù)據(jù)報來自Honeypot,將其源MAC地址替換為局域網(wǎng)LAN中對應(yīng)主機(jī)的MAC地址后,再從Internet接口發(fā)送出去。
文檔編號H04L9/00GK1585346SQ20041004487
公開日2005年2月23日 申請日期2004年5月28日 優(yōu)先權(quán)日2004年5月28日
發(fā)明者楊庚, 彭雷, 戴云平 申請人:南京郵電學(xué)院