專(zhuān)利名稱(chēng):多層次蜜網(wǎng)數(shù)據(jù)傳輸方法及系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明屬于計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)領(lǐng)域,具體涉及一種利用多層次蜜網(wǎng)的數(shù)據(jù)傳輸方法,及一種多層次蜜網(wǎng)數(shù)據(jù)傳輸系統(tǒng)。
背景技術(shù):
隨著互聯(lián)網(wǎng)技術(shù)的發(fā)展,網(wǎng)絡(luò)掃描、蠕蟲(chóng)與病毒代碼的傳播以及黑客惡意攻擊等是網(wǎng)絡(luò)上每臺(tái)主機(jī)隨時(shí)都可能面對(duì)到的危險(xiǎn)。其中,大部分的網(wǎng)絡(luò)攻擊活動(dòng)是由攻擊工具或由四處傳播的惡意代碼自動(dòng)完成的,除此以外,攻擊腳本和工具等也變得很容易得到和使用,也就是說(shuō)無(wú)高交互需求的隨機(jī)的網(wǎng)絡(luò)掃描、有高交互需求的系統(tǒng)攻擊活動(dòng)和對(duì)有識(shí)別蜜罐系統(tǒng)威脅的攻擊活動(dòng)在所有攻擊活動(dòng)中所占的比例依次迅速的降低。
蜜罐和蜜網(wǎng)技術(shù)的提出正是為了主動(dòng)出擊研究互聯(lián)網(wǎng)上這些安全威脅而產(chǎn)生的,蜜罐是指部署在網(wǎng)絡(luò)上,偽裝成真實(shí)的網(wǎng)絡(luò)、主機(jī)和服務(wù),誘惑惡意攻擊行為的誘餌,其價(jià)值在于收集網(wǎng)絡(luò)上的攻擊活動(dòng)信息,并對(duì)這些攻擊活動(dòng)進(jìn)行監(jiān)視、檢測(cè)和分析。蜜罐技術(shù)的詳細(xì)信息可參見(jiàn)Lance.spitzner,“HoneypotsTracking Hackers”,Addison-Wesley,2002。
蜜網(wǎng)是指誘捕這些攻擊活動(dòng)的整體網(wǎng)絡(luò)體系架構(gòu),一個(gè)蜜網(wǎng)系統(tǒng)中通常包含一個(gè)或多個(gè)蜜罐。按照部署的復(fù)雜程度來(lái)分,目前蜜網(wǎng)的部署主要有低交互的虛擬蜜罐、高交互的虛擬機(jī)蜜罐和高交互的物理蜜罐三大類(lèi),這幾類(lèi)蜜罐各有優(yōu)點(diǎn),但也有各自的局限性。
低交互的虛擬蜜罐工具能夠模擬虛擬的網(wǎng)絡(luò)拓?fù)?、操作系統(tǒng)和網(wǎng)絡(luò)服務(wù),并根據(jù)模擬的網(wǎng)絡(luò)系統(tǒng)特點(diǎn)對(duì)掃描攻擊行為做出回應(yīng),從而達(dá)到欺騙的目的,有些虛擬蜜罐工具還可以模擬系統(tǒng)存在的漏洞,誘騙黑客或蠕蟲(chóng)在掃描后進(jìn)一步傳送攻擊代碼,從而達(dá)到抓取惡意代碼樣本的目的。虛擬蜜罐技術(shù)的詳細(xì)信息可參見(jiàn)Niels Provos,″Honeyd,a virtual honeypotdaemon″,10th DFN-CERT Workshop,Hamburg,Germany,february 2003;以及Jamie Riden,″Using Nepenthes Honeypots to Detect Common Malware″,November,2006,http://www.securityfocus.com/infocus/1880。
虛擬蜜罐部署很方便,但其交互程度低,不能捕獲高交互的網(wǎng)絡(luò)攻擊活動(dòng),容易被黑客識(shí)別,因此比較合適用于捕獲自動(dòng)攻擊工具或網(wǎng)絡(luò)蠕蟲(chóng)等發(fā)動(dòng)的攻擊活動(dòng)。
高交互虛擬機(jī)蜜罐是指在一臺(tái)主機(jī)上配置若干臺(tái)虛擬主機(jī),并在虛擬主機(jī)中安裝真實(shí)的操作系統(tǒng)和網(wǎng)絡(luò)服務(wù)的蜜罐系統(tǒng)。虛擬機(jī)蜜罐技術(shù)可見(jiàn)于Honeynet Project,“Know YourEnemyDefining Virtual Honeynets”,http://www.honeynet.org;以及Honeynet Project.“Know Your EnemyLearning with VMware-Building Virutal Honeynets using VMware”,http://www.honeynet.org。
虛擬機(jī)蜜罐與攻擊者進(jìn)行高交互活動(dòng),完整的記錄攻擊者在攻入一個(gè)真實(shí)系統(tǒng)時(shí)的所有的行為;虛擬機(jī)蜜罐的優(yōu)點(diǎn)是主機(jī)節(jié)省資源,一臺(tái)機(jī)器可以當(dāng)若干臺(tái)機(jī)器使用,而且方便進(jìn)行主機(jī)系統(tǒng)的集中管理,可以快速恢復(fù)系統(tǒng)的狀態(tài)。但有經(jīng)驗(yàn)的黑客很可能會(huì)根據(jù)虛擬機(jī)存在的信息發(fā)現(xiàn)蜜罐主機(jī)的存在。因此,高交互虛擬機(jī)蜜罐比較適宜用于追蹤腳本小子一類(lèi)的黑客的攻擊活動(dòng),對(duì)于技術(shù)高超的黑客人群則還是存有不足。
高交互物理蜜罐系統(tǒng)是指使用真實(shí)的物理主機(jī),安裝真實(shí)的操作系統(tǒng)并開(kāi)放真實(shí)的服務(wù)的蜜罐系統(tǒng)。物理蜜罐既能提供高交互的環(huán)境,又不存在虛擬環(huán)境的痕跡信息,不易被黑客發(fā)覺(jué),是最為隱蔽的蜜罐系統(tǒng)。但真實(shí)主機(jī)蜜罐系統(tǒng)對(duì)系統(tǒng)資源要求很高,一臺(tái)物理主機(jī)只能部署一個(gè)物理蜜罐,物理蜜罐比較適合用于追蹤數(shù)量很少的技術(shù)高超的黑客,但要利用有限的主機(jī)資源部署蜜網(wǎng)網(wǎng)絡(luò),捕獲網(wǎng)絡(luò)上存在的惡意代碼針對(duì)大型網(wǎng)絡(luò)的掃描活動(dòng)信息等,物理蜜罐就顯出了其局限性。
蜜場(chǎng)技術(shù)是指將蜜罐技術(shù)與攻擊檢測(cè)技術(shù)結(jié)合在一起,是一種面向大規(guī)模網(wǎng)絡(luò)的新型主動(dòng)防護(hù)技術(shù),其基本思想為通過(guò)在安全操作中心集中式地部署蜜罐系統(tǒng),構(gòu)建蜜場(chǎng)環(huán)境,然后在大規(guī)模業(yè)務(wù)網(wǎng)絡(luò)中分布式地部署攻擊檢測(cè)器和網(wǎng)絡(luò)重定向器,攻擊檢測(cè)器檢測(cè)出攻擊行為后,將其重定向到蜜場(chǎng)環(huán)境,對(duì)攻擊行為進(jìn)行分析、取證、跟蹤。
蜜場(chǎng)技術(shù)的詳細(xì)信息可見(jiàn)于Lance Spitzner,“Honeypot Farms”,August 13,2003,http://www.securityfocus.com/infocus/1720;以及Michael Vrable,Justin Ma,JayChen,David Moore,Erik Vandekieft,Alex C.Snoeren,Geoffrey M.Voelker,StefanSavage,”Scalability,fidelity,and containment in the potemkin virtual honeyfarm”,proceedings of the twentieth ACM symposium on Operating systems principles,Brighton,United Kingdom。
一般的蜜網(wǎng)系統(tǒng)雖然在部署的時(shí)候可能部署一種以上的蜜罐,但采用的是固定的目標(biāo)IP綁定到固定類(lèi)型的蜜罐系統(tǒng)的方法,對(duì)同一個(gè)或者多個(gè)目標(biāo)的不同攻擊只會(huì)由同一套蜜罐系統(tǒng)來(lái)響應(yīng)處理。
這樣的技術(shù)方案有以下兩方面問(wèn)題其一,蜜罐系統(tǒng)的資源利用率低下,高交互的物理蜜罐系統(tǒng)和虛擬機(jī)蜜罐系統(tǒng)的資源往往被浪費(fèi)在簡(jiǎn)單掃描和簡(jiǎn)單蠕蟲(chóng)攻擊上;其二,攻擊者在發(fā)現(xiàn)了一個(gè)蜜罐系統(tǒng)主機(jī)后,可以很容易的識(shí)別針對(duì)真實(shí)目標(biāo)系統(tǒng)的攻擊是否成功,并采取規(guī)避措施。
此外,蜜罐技術(shù)的出現(xiàn)和發(fā)展,也促進(jìn)了反蜜罐技術(shù)的發(fā)展。目前攻擊者主要從網(wǎng)絡(luò)和系統(tǒng)兩個(gè)方面來(lái)識(shí)別蜜罐系統(tǒng),其中最主要的方法是通過(guò)檢查被攻擊主機(jī)的硬件和系統(tǒng)信息來(lái)判斷是否虛擬主機(jī),如果是虛擬主機(jī),則是蜜罐的風(fēng)險(xiǎn)就會(huì)很大,攻擊者在發(fā)現(xiàn)這些痕跡之后便很可能放棄攻擊或者消滅攻擊痕跡,甚至可能將被攻擊主機(jī)的網(wǎng)絡(luò)地址等設(shè)入攻擊黑名單,使蜜罐系統(tǒng)無(wú)法捕獲攻擊信息,具體可見(jiàn)蜜罐識(shí)別技術(shù)Thorsten Hol,F(xiàn)redericRaynal,″Detecting Honeypots and other suspicious environments″,Proceedings of the2005 IEEE Workshop on Information As surance and Security,United States MilitaryAcademy,West Point,NY。
發(fā)明內(nèi)容
本發(fā)明的目的在于提供一種數(shù)據(jù)傳輸方法,提升蜜罐系統(tǒng)的資源利用效率,有效對(duì)抗反蜜罐技術(shù),增加對(duì)目標(biāo)系統(tǒng)的保護(hù)能力。
本發(fā)明的多層次蜜網(wǎng)數(shù)據(jù)傳輸方法,其步驟包括1.由蜜網(wǎng)網(wǎng)關(guān)統(tǒng)一接收外部網(wǎng)絡(luò)數(shù)據(jù)流;2.蜜網(wǎng)網(wǎng)關(guān)對(duì)所接收的數(shù)據(jù)流進(jìn)行網(wǎng)絡(luò)入侵檢測(cè)分析;3.將正常數(shù)據(jù)流放行,發(fā)送給該數(shù)據(jù)流的目標(biāo)主機(jī);4.將非正常數(shù)據(jù)流按照威脅級(jí)別分為高級(jí)、中級(jí)、低級(jí)三類(lèi);5.將高威脅級(jí)數(shù)據(jù)流重定向至物理蜜罐系統(tǒng),將中威脅級(jí)數(shù)據(jù)流重定向至虛擬機(jī)蜜罐系統(tǒng),將低成脅級(jí)數(shù)據(jù)流重定向至虛擬蜜罐系統(tǒng)。
對(duì)于重定向至虛擬機(jī)蜜罐系統(tǒng)的數(shù)據(jù)流,分析該數(shù)據(jù)流是否包含虛擬機(jī)蜜罐識(shí)別操作信息,如包含該信息,則將該數(shù)據(jù)流重定向至具有相同操作系統(tǒng)的物理蜜罐系統(tǒng);或模擬網(wǎng)絡(luò)斷開(kāi)現(xiàn)象,斷開(kāi)該數(shù)據(jù)流對(duì)虛擬機(jī)蜜罐系統(tǒng)的訪問(wèn)。
本發(fā)明的數(shù)據(jù)流傳輸方法還可先對(duì)網(wǎng)絡(luò)數(shù)據(jù)流進(jìn)行用戶定義規(guī)則檢測(cè),對(duì)于滿足用戶定義規(guī)則的數(shù)據(jù)流,可按照定義規(guī)則進(jìn)行威脅等級(jí)分類(lèi)。
本發(fā)明在虛擬機(jī)蜜罐系統(tǒng)中設(shè)置若干虛擬機(jī),每臺(tái)虛擬機(jī)配置多種操作系統(tǒng);物理蜜罐系統(tǒng)設(shè)置一臺(tái)或若干臺(tái)物理主機(jī),每臺(tái)物理主機(jī)配置一種操作系統(tǒng),各臺(tái)物理主機(jī)的操作系統(tǒng)可以不同。
上述各物理主機(jī)的操作系統(tǒng)與服務(wù)配置與虛擬機(jī)蜜罐中的部分主機(jī)相同,但總數(shù)少于虛擬機(jī)蜜罐。
本發(fā)明的多層次蜜網(wǎng)數(shù)據(jù)傳輸系統(tǒng),包括一蜜網(wǎng)網(wǎng)關(guān),和分層部署的虛擬蜜罐系統(tǒng)、虛擬機(jī)蜜罐系統(tǒng)和物理蜜罐系統(tǒng),所述蜜網(wǎng)網(wǎng)關(guān)包括網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)分析模塊,用于分析網(wǎng)絡(luò)數(shù)據(jù)流是否包含網(wǎng)絡(luò)攻擊特征信息;威脅等級(jí)分析模塊,將非正常數(shù)據(jù)流按照威脅等級(jí)分為高級(jí)、中級(jí)、低級(jí)三類(lèi);和數(shù)據(jù)重定向???,按照高級(jí)、中級(jí)、低級(jí)三類(lèi)分別將非正常數(shù)據(jù)流重定向至物理蜜罐系統(tǒng),虛擬機(jī)蜜罐系統(tǒng)和虛擬蜜罐系統(tǒng)。
所述虛擬機(jī)蜜罐系統(tǒng)還包括虛擬機(jī)蜜罐識(shí)別操作信息檢測(cè)模塊,用于檢測(cè)重定向至該系統(tǒng)的數(shù)據(jù)流是否包含虛擬機(jī)蜜罐識(shí)別操作信息。
所述蜜網(wǎng)網(wǎng)關(guān)還包括一用戶定義規(guī)則模塊,用于判定網(wǎng)絡(luò)數(shù)據(jù)流是否滿足用戶自定義規(guī)則,并可按照定義規(guī)則對(duì)數(shù)據(jù)流進(jìn)行威脅分級(jí)。
上述虛擬機(jī)蜜罐系統(tǒng)中設(shè)置若干虛擬機(jī),每臺(tái)虛擬機(jī)配置多種操作系統(tǒng);物理蜜罐系統(tǒng)設(shè)置一臺(tái)或若干臺(tái)物理主機(jī),每臺(tái)物理主機(jī)配置一種操作系統(tǒng),各物理主機(jī)的操作系統(tǒng)可不相同。
上述物理主機(jī)的操作系統(tǒng)與服務(wù)配置與虛擬機(jī)蜜罐中的部分主機(jī)相同,但總數(shù)少于虛擬機(jī)蜜罐。
為提供一種多層次蜜網(wǎng)數(shù)據(jù)傳輸方法,需要解決以下問(wèn)題1.真實(shí)安全的業(yè)務(wù)數(shù)據(jù)的判斷問(wèn)題,即什么樣的數(shù)據(jù)流可以被認(rèn)為是真實(shí)安全的業(yè)務(wù)數(shù)據(jù),什么樣的數(shù)據(jù)流會(huì)被認(rèn)為是具有潛在威脅的網(wǎng)絡(luò)數(shù)據(jù)。
2.威脅分級(jí)與分級(jí)數(shù)據(jù)與不同部署的蜜罐系統(tǒng)之間的對(duì)應(yīng)問(wèn)題,即該如何劃分攻擊數(shù)據(jù)的威脅等級(jí),以及不同威脅等級(jí)的數(shù)據(jù)應(yīng)該映射到怎樣部署的蜜罐系統(tǒng)之中。
3.如何避免針對(duì)虛擬機(jī)特征的虛擬機(jī)蜜罐識(shí)別。
本發(fā)明對(duì)這些問(wèn)題的處理方式如下1.真實(shí)安全的業(yè)務(wù)數(shù)據(jù)與潛在威脅數(shù)據(jù)的判斷a)真實(shí)安全的業(yè)務(wù)數(shù)據(jù)其目標(biāo)IP和端口應(yīng)是目標(biāo)主機(jī)對(duì)外提供的有效的主機(jī)IP和端口;b)真實(shí)安全的業(yè)務(wù)數(shù)據(jù)應(yīng)不含有一般網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)中包含的攻擊特征信息;c)對(duì)于同時(shí)符合以上a)、b)特征的數(shù)據(jù),可以認(rèn)為是真實(shí)安全的業(yè)務(wù)數(shù)據(jù),不符合的,都可以認(rèn)為是具有潛在威脅的網(wǎng)絡(luò)數(shù)據(jù)。
2.威脅分級(jí)與分級(jí)后的數(shù)據(jù)的處理的問(wèn)題a)對(duì)于一般的蠕蟲(chóng)病毒等惡意代碼和自動(dòng)工具對(duì)網(wǎng)絡(luò)的自動(dòng)掃描攻擊,因?yàn)闆](méi)有人工參與活動(dòng),不會(huì)有識(shí)別蜜罐系統(tǒng)的危險(xiǎn),我們可以認(rèn)為是威脅等級(jí)較低的網(wǎng)絡(luò)攻擊,這類(lèi)攻擊可以重定向到虛擬蜜罐系統(tǒng)中;b)對(duì)于常見(jiàn)的網(wǎng)絡(luò)攻擊手法和已知特征的腳本攻擊,可以認(rèn)為是一般的腳本小子參與的網(wǎng)絡(luò)服務(wù)攻擊,這類(lèi)攻擊需要有交互的系統(tǒng)環(huán)境,我們可以認(rèn)為這是中等威脅等級(jí)的網(wǎng)絡(luò)攻擊,此類(lèi)攻擊會(huì)被重定向到虛擬機(jī)蜜罐系統(tǒng)中;c)對(duì)于未知特征網(wǎng)絡(luò)攻擊手法,應(yīng)被視為具有最高的優(yōu)先級(jí)而被格外關(guān)注,這類(lèi)攻擊者很可能是具有深厚的網(wǎng)絡(luò)攻擊經(jīng)驗(yàn),普通的虛擬機(jī)蜜罐很容易被他們識(shí)別,所以需要將這類(lèi)攻擊歸類(lèi)為高威脅等級(jí),并將攻擊數(shù)據(jù)重定向到真實(shí)的蜜罐主機(jī)中。
3.避免針對(duì)虛擬機(jī)特征的虛擬機(jī)蜜罐識(shí)別a)如果重定向到虛擬機(jī)蜜罐中的攻擊活動(dòng)有檢驗(yàn)系統(tǒng)硬件信息,特別是檢驗(yàn)網(wǎng)卡信息、使用虛擬機(jī)接口探察等活動(dòng)時(shí),我們便認(rèn)為此次攻擊含有針對(duì)虛擬機(jī)特征的虛擬機(jī)蜜罐識(shí)別的活動(dòng)。
b)對(duì)包含針對(duì)虛擬機(jī)特征的虛擬機(jī)蜜罐識(shí)別的攻擊活動(dòng),如果物理蜜罐系統(tǒng)中與虛擬機(jī)蜜罐系統(tǒng)主機(jī)中對(duì)應(yīng)的操作系統(tǒng),則將該網(wǎng)絡(luò)連接進(jìn)行重新定向,轉(zhuǎn)移到對(duì)應(yīng)的物理主機(jī)蜜罐系統(tǒng);如果物理蜜罐中沒(méi)有對(duì)應(yīng)的操作系統(tǒng),則模擬網(wǎng)絡(luò)斷開(kāi)現(xiàn)象,斷開(kāi)該攻擊源對(duì)虛擬機(jī)蜜罐的訪問(wèn),避免虛擬機(jī)蜜罐被識(shí)別。
本發(fā)明的技術(shù)效果在于1.分層部署蜜罐系統(tǒng),有效利用低交互蜜罐系統(tǒng)和高交互蜜罐系統(tǒng)各自的優(yōu)點(diǎn),節(jié)省系統(tǒng)資源,提高了蜜罐系統(tǒng)的覆蓋面和獲取網(wǎng)絡(luò)攻擊活動(dòng)信息、捕獲惡意代碼樣本的能力;2.實(shí)現(xiàn)了對(duì)網(wǎng)絡(luò)數(shù)據(jù)安全等級(jí)的判斷和對(duì)不同威脅等級(jí)數(shù)據(jù)的針對(duì)性處理,有針對(duì)性的將不同等級(jí)威脅的攻擊數(shù)據(jù)重定向到不同交互和真實(shí)程度的蜜罐;3.增強(qiáng)了對(duì)惡意攻擊者的迷惑與欺騙,可以有效對(duì)抗目前常用的通過(guò)檢查虛擬主機(jī)的存在來(lái)識(shí)別蜜罐系統(tǒng)這一類(lèi)的反蜜罐技術(shù);4.為網(wǎng)絡(luò)安全防護(hù)人員提供了很好的對(duì)抗平臺(tái),可以通過(guò)蜜罐系統(tǒng)的選擇和重定向,有效地迷惑攻擊者,并充分的發(fā)掘攻擊者的行為、能力和意圖。
本裝置可以部署于服務(wù)器網(wǎng)絡(luò)安全網(wǎng)關(guān),或公司局域網(wǎng)網(wǎng)關(guān)入口,分析處理進(jìn)入網(wǎng)關(guān)的網(wǎng)絡(luò)數(shù)據(jù)流,區(qū)別正常業(yè)務(wù)數(shù)據(jù)流和疑似惡意行為數(shù)據(jù)流,并按照疑似惡意數(shù)據(jù)流的威脅程度將數(shù)據(jù)流重新定向到多層次的后端蜜罐網(wǎng)絡(luò)系統(tǒng)中。
本發(fā)明采用分層處理的方法,利用網(wǎng)絡(luò)數(shù)據(jù)流重定向技術(shù),分析處理將流向服務(wù)主機(jī)IP的數(shù)據(jù)流,將服務(wù)主機(jī)的安全防護(hù)和分層部署的蜜罐系統(tǒng)結(jié)合起來(lái),一方面能充分發(fā)揮各類(lèi)蜜罐的效率,有效提升子蜜罐系統(tǒng)的資源利用效率,增加捕獲率,高效安全地收集網(wǎng)絡(luò)攻擊信息,另一方面與傳統(tǒng)蜜網(wǎng)或蜜場(chǎng)技術(shù)相比,能有效提升對(duì)抗各種安全威脅的能力,避免蜜罐系統(tǒng)被識(shí)別的風(fēng)險(xiǎn),提升對(duì)真實(shí)的目標(biāo)主機(jī)的保護(hù)作用。
圖1為本發(fā)明多層次處理網(wǎng)絡(luò)安全威脅的蜜網(wǎng)系統(tǒng)的系統(tǒng)結(jié)構(gòu)示意圖,說(shuō)明了外部網(wǎng)絡(luò)、真實(shí)目標(biāo)主機(jī)和多層次蜜網(wǎng)系統(tǒng)之間網(wǎng)絡(luò)拓?fù)潢P(guān)系;圖2為本發(fā)明多層次處理網(wǎng)絡(luò)安全威脅的蜜網(wǎng)系統(tǒng)的數(shù)據(jù)包處理流程圖。
具體實(shí)施例方式
本發(fā)明提供了一種多層次分析處理發(fā)送到服務(wù)主機(jī)或內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)流的方法,該方法在分析到達(dá)分層處理網(wǎng)關(guān)的網(wǎng)絡(luò)數(shù)據(jù)流時(shí)1.首先,根據(jù)用戶定義的規(guī)則對(duì)流經(jīng)網(wǎng)關(guān)的數(shù)據(jù)進(jìn)行分析匹配,如果匹配合適,則按照用戶定義的規(guī)則來(lái)決定數(shù)據(jù)流的處理方式;2.對(duì)于用戶沒(méi)有明確定義的數(shù)據(jù)流,則交由網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)進(jìn)行分析處理,判定是否正常的業(yè)務(wù)數(shù)據(jù)。對(duì)于正常的業(yè)務(wù)數(shù)據(jù),允許該數(shù)據(jù)從蜜網(wǎng)網(wǎng)關(guān)通過(guò);3.對(duì)于非正常業(yè)務(wù)數(shù)據(jù)流的數(shù)據(jù),根據(jù)數(shù)據(jù)的威脅等級(jí)將數(shù)據(jù)重定向到不同部署方式的蜜罐系統(tǒng)。
4.對(duì)于進(jìn)入虛擬主機(jī)蜜罐系統(tǒng)的攻擊數(shù)據(jù)流,需要避免針對(duì)虛擬機(jī)特征的虛擬機(jī)蜜罐識(shí)別。
下面將參照本發(fā)明的附圖,結(jié)合最佳實(shí)施例詳細(xì)描述本發(fā)明。
如圖1所示,是多層次蜜網(wǎng)系統(tǒng)的示意圖。多層蜜網(wǎng)系統(tǒng)由分層蜜網(wǎng)網(wǎng)關(guān)和后臺(tái)分層蜜網(wǎng)系統(tǒng)構(gòu)成,其中多層次蜜網(wǎng)網(wǎng)關(guān)連接了外部網(wǎng)絡(luò)、對(duì)外提供服務(wù)的目標(biāo)服務(wù)主機(jī)和后臺(tái)的多層蜜罐系統(tǒng),采用linux操作系統(tǒng)裁減而成,并安裝配置了入侵檢測(cè)系統(tǒng)工具snort和網(wǎng)絡(luò)數(shù)據(jù)包管理工具netfilter。
后臺(tái)分層蜜網(wǎng)系統(tǒng)包含3套不同部署方式的蜜罐系統(tǒng),其中虛擬蜜罐系統(tǒng)采用目前已經(jīng)比較成熟的虛擬蜜罐工具h(yuǎn)oneyd,Nepenthes等部署;虛擬機(jī)蜜罐系統(tǒng)中的虛擬機(jī)采用目前最常用的商業(yè)虛擬機(jī)軟件Vmware,在一臺(tái)物理主機(jī)中部署了3-5臺(tái)虛擬主機(jī),每臺(tái)虛擬主機(jī)安裝不同的操作系統(tǒng)和服務(wù),如Windows2000、windowsXP,linux等;物理蜜罐則采用真實(shí)主機(jī)安裝典型的操作系統(tǒng)和服務(wù),物理主機(jī)的操作系統(tǒng)與服務(wù)配置與虛擬機(jī)蜜罐中的部分主機(jī)相同,總數(shù)少于虛擬機(jī)蜜罐。
如圖2所示,表示多層次蜜網(wǎng)系統(tǒng)中的數(shù)據(jù)包處理流程圖。
1)首先,假定一個(gè)來(lái)自外部網(wǎng)絡(luò)的數(shù)據(jù)包到達(dá)此多層次蜜網(wǎng)網(wǎng)關(guān);2)在多層次蜜網(wǎng)網(wǎng)關(guān)上,首先由用戶定義規(guī)則模塊查詢(xún)數(shù)據(jù)包中的信息是否滿足用戶定義的處理規(guī)則。如果有符合用戶定義的處理規(guī)則中的條件,則將該數(shù)據(jù)包傳遞到用戶處理規(guī)則模塊5);如果不符合,則將數(shù)據(jù)包傳遞到3)步中進(jìn)行處理;3)檢查數(shù)據(jù)報(bào)包中的目標(biāo)地址和目標(biāo)端口信息,如果不屬于真實(shí)目標(biāo)主機(jī)IP和端口的范圍內(nèi),則說(shuō)明這些數(shù)據(jù)不是真實(shí)的業(yè)務(wù)數(shù)據(jù),可以轉(zhuǎn)交威脅等級(jí)分析模塊6)處理;如果在真實(shí)目標(biāo)主機(jī)的IP和端口的范圍內(nèi),則需要將這些數(shù)據(jù)包傳遞到網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)4)步中進(jìn)行進(jìn)一步的安全分析;該步可通過(guò)設(shè)一目標(biāo)主機(jī)服務(wù)端口列表編輯模塊來(lái)完成;4)通過(guò)網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)進(jìn)一步檢查傳送到這一步的數(shù)據(jù)包的安全性。如果數(shù)據(jù)包中包含攻擊信息特征,則可以認(rèn)為該數(shù)據(jù)包中包含惡意行為,該數(shù)據(jù)包將轉(zhuǎn)交7)威脅等級(jí)分析模塊進(jìn)行處理;如果數(shù)據(jù)包中不包含攻擊信息特征,則可以認(rèn)為該數(shù)據(jù)是正常的業(yè)務(wù)數(shù)據(jù)流,蜜網(wǎng)網(wǎng)關(guān)會(huì)將這些數(shù)據(jù)按照其目標(biāo)信息傳遞到原目標(biāo)主機(jī);5)用戶處理規(guī)則是由用戶定義的針對(duì)網(wǎng)絡(luò)可疑數(shù)據(jù)包的處理規(guī)則,用戶可以按照數(shù)據(jù)包中的不同字段設(shè)定威脅級(jí)別,這些規(guī)則將優(yōu)先于威脅等級(jí)分析模塊中的其他處理規(guī)則;6)所有未放行到目標(biāo)模塊的數(shù)據(jù)都被認(rèn)為是網(wǎng)絡(luò)攻擊數(shù)據(jù)。這些數(shù)據(jù)可以按照其數(shù)據(jù)包中的內(nèi)容分為低威脅數(shù)據(jù)流、中級(jí)威脅數(shù)據(jù)流和高威脅數(shù)據(jù)流,威脅分析模塊利用預(yù)定的威脅等級(jí)特征和數(shù)據(jù)包的內(nèi)容進(jìn)行智能匹配分析,按照特征將攻擊數(shù)據(jù)區(qū)分為高中低三級(jí)。分級(jí)后的數(shù)據(jù)會(huì)轉(zhuǎn)由網(wǎng)絡(luò)數(shù)據(jù)流重定向模塊7)處理;7)數(shù)據(jù)流重定向模塊會(huì)根據(jù)數(shù)據(jù)的威脅等級(jí)將攻擊數(shù)據(jù)重定向到不同部署方式的蜜罐系統(tǒng)中。對(duì)于低威脅數(shù)據(jù)流,重定向模塊會(huì)將其重定向到虛擬蜜罐系統(tǒng),中級(jí)威脅數(shù)據(jù)流,會(huì)被重定向到虛擬機(jī)蜜罐系統(tǒng)中,高威脅數(shù)據(jù)流則會(huì)被重定向到物理蜜罐系統(tǒng);8)為了避免在虛擬機(jī)蜜罐中也會(huì)出現(xiàn)虛擬機(jī)識(shí)別一類(lèi)的操作,虛擬機(jī)蜜罐中還運(yùn)行著系統(tǒng)活動(dòng)監(jiān)測(cè)工具,動(dòng)態(tài)監(jiān)控攻擊者與系統(tǒng)的交互。當(dāng)虛擬機(jī)蜜罐中監(jiān)測(cè)到攻擊者有查詢(xún)網(wǎng)卡、視頻卡等典型的虛擬機(jī)監(jiān)測(cè)活動(dòng),則會(huì)向網(wǎng)關(guān)報(bào)告,網(wǎng)關(guān)會(huì)修改定向規(guī)則,將此類(lèi)數(shù)據(jù)流重定向到物理蜜罐系統(tǒng)中。
如上所述,本發(fā)明通過(guò)分析檢查外部網(wǎng)絡(luò)流向目標(biāo)主機(jī)的數(shù)據(jù)包的安全性來(lái)確定網(wǎng)絡(luò)數(shù)據(jù)的安全等級(jí),并針對(duì)不同安全等級(jí)的數(shù)據(jù)進(jìn)行分類(lèi)處理。這使得本系統(tǒng)中部署的不等等級(jí)的蜜網(wǎng)系統(tǒng)針對(duì)性強(qiáng),不易被攻擊者識(shí)別,既可以保護(hù)目標(biāo)主機(jī)的安全又可以高效安全的獲得網(wǎng)絡(luò)攻擊數(shù)據(jù)以供安全管理人員進(jìn)行監(jiān)控和分析。
本發(fā)明已經(jīng)在申請(qǐng)人研制的基于網(wǎng)絡(luò)處理器的網(wǎng)絡(luò)安全處理平臺(tái)和千兆級(jí)安全網(wǎng)關(guān)上應(yīng)用,取得了很好的效果,實(shí)現(xiàn)了本發(fā)明的目的。本發(fā)明具有很好的實(shí)用性和推廣應(yīng)用前景。
盡管為說(shuō)明目的公開(kāi)了本發(fā)明的具體實(shí)施例和附圖,其目的在于幫助理解本發(fā)明的內(nèi)容并據(jù)以實(shí)施,但是本領(lǐng)域的技術(shù)人員可以理解在不脫離本發(fā)明及所附的權(quán)利要求的精神和范圍內(nèi),各種替換、變化和修改都是可能的。因此,本發(fā)明不應(yīng)局限于最佳實(shí)施例和附圖所公開(kāi)的內(nèi)容,本發(fā)明要求保護(hù)的范圍以權(quán)利要求書(shū)界定的范圍為準(zhǔn)。
權(quán)利要求
1.一種多層次蜜網(wǎng)數(shù)據(jù)傳輸方法,其步驟包括1)由蜜網(wǎng)網(wǎng)關(guān)統(tǒng)一接收外部網(wǎng)絡(luò)數(shù)據(jù)流;2)蜜網(wǎng)網(wǎng)關(guān)對(duì)所接收的數(shù)據(jù)流進(jìn)行網(wǎng)絡(luò)入侵檢測(cè)分析;3)將正常數(shù)據(jù)流放行,發(fā)送給該數(shù)據(jù)流的目標(biāo)主機(jī);4)將非正常數(shù)據(jù)流按照威脅級(jí)別分為高級(jí)、中級(jí)、低級(jí)三類(lèi);5)將高威脅級(jí)數(shù)據(jù)流重定向至物理蜜罐系統(tǒng),將中威脅級(jí)數(shù)據(jù)流重定向至虛擬機(jī)蜜罐系統(tǒng),將低威脅級(jí)數(shù)據(jù)流重定向至虛擬蜜罐系統(tǒng)。
2.如權(quán)利要求1所述的多層次蜜網(wǎng)數(shù)據(jù)傳輸方法,其特征在于對(duì)于重定向至虛擬機(jī)蜜罐系統(tǒng)的數(shù)據(jù)流,分析該數(shù)據(jù)流是否包含虛擬機(jī)蜜罐識(shí)別操作信息,如包含該信息,則將該數(shù)據(jù)流重定向至具有相同操作系統(tǒng)的物理蜜罐系統(tǒng);或模擬網(wǎng)絡(luò)斷開(kāi)現(xiàn)象,斷開(kāi)該數(shù)據(jù)流對(duì)虛擬機(jī)蜜罐系統(tǒng)的訪問(wèn)。
3.如權(quán)利要求1所述的多層次蜜網(wǎng)數(shù)據(jù)傳輸方法,其特征在于在網(wǎng)絡(luò)入侵檢測(cè)前對(duì)網(wǎng)絡(luò)數(shù)據(jù)流進(jìn)行用戶定義規(guī)則分析,對(duì)于滿足用戶定義規(guī)則的數(shù)據(jù)流,按照定義規(guī)則進(jìn)行威脅等級(jí)分級(jí)。
4.如權(quán)利要求1或2所述的多層次蜜網(wǎng)數(shù)據(jù)傳輸方法,其特征在于所述虛擬機(jī)蜜罐系統(tǒng)中設(shè)置若干虛擬機(jī),每臺(tái)虛擬機(jī)配置多種操作系統(tǒng);所述物理蜜罐系統(tǒng)設(shè)置一臺(tái)或若干臺(tái)物理主機(jī),每物理主機(jī)配置一種操作系統(tǒng)。
5.如權(quán)利要求4所述的多層次蜜網(wǎng)數(shù)據(jù)傳輸方法,其特征在于上述物理主機(jī)的操作系統(tǒng)與服務(wù)配置與虛擬機(jī)蜜罐中的部分主機(jī)相同,但總數(shù)少于虛擬機(jī)蜜罐。
6.一種多層次蜜網(wǎng)數(shù)據(jù)傳輸系統(tǒng),包括一蜜網(wǎng)網(wǎng)關(guān),和分層部署的虛擬蜜罐系統(tǒng)、虛擬機(jī)蜜罐系統(tǒng)和物理蜜罐系統(tǒng),其特征在于所述蜜網(wǎng)網(wǎng)關(guān)包括網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)分析模塊,用于分析網(wǎng)絡(luò)數(shù)據(jù)流是否包含網(wǎng)絡(luò)攻擊特征信息;成脅等級(jí)分析模塊,將非正常數(shù)據(jù)流按照成脅等級(jí)分為高級(jí)、中級(jí)、低級(jí)三類(lèi);和數(shù)據(jù)重定向??欤凑崭呒?jí)、中級(jí)、低級(jí)三類(lèi)分別將非正常數(shù)據(jù)流重定向至物理蜜罐系統(tǒng),虛擬機(jī)蜜罐系統(tǒng)和虛擬蜜罐系統(tǒng)。
7.如權(quán)利要求6所述的多層次蜜網(wǎng)數(shù)據(jù)傳輸系統(tǒng),其特征在于所述虛擬機(jī)蜜罐系統(tǒng)包括一虛擬機(jī)蜜罐識(shí)別操作信息檢測(cè)模塊,以檢測(cè)重定向至該系統(tǒng)的數(shù)據(jù)流是否包含虛擬機(jī)蜜罐識(shí)別操作信息。
8.如權(quán)利要求6所述的多層次蜜網(wǎng)數(shù)據(jù)傳輸系統(tǒng),其特征在于所述蜜網(wǎng)網(wǎng)關(guān)還包括一用戶規(guī)則定義模塊,用于判定網(wǎng)絡(luò)數(shù)據(jù)流是否滿足用戶自定義規(guī)則,并進(jìn)行威脅分類(lèi)級(jí)。
9.如權(quán)利要求6或7或8所述的多層次蜜網(wǎng)數(shù)據(jù)傳輸系統(tǒng),其特征在于所述虛擬機(jī)蜜罐系統(tǒng)中設(shè)置若干虛擬機(jī),每臺(tái)虛擬機(jī)配置多種操作系統(tǒng);所述物理蜜罐系統(tǒng)設(shè)置一臺(tái)或若干臺(tái)物理主機(jī),每物理主機(jī)配置一種操作系統(tǒng)。
10.如權(quán)利要求9所述的多層次蜜網(wǎng)數(shù)據(jù)傳輸系統(tǒng),其特征在于上述物理主機(jī)的操作系統(tǒng)與服務(wù)配置與虛擬機(jī)蜜罐中的部分主機(jī)相同,但總數(shù)少于虛擬機(jī)蜜罐。
全文摘要
本發(fā)明涉及一種多層次蜜網(wǎng)數(shù)據(jù)傳輸方法及系統(tǒng),由蜜網(wǎng)網(wǎng)關(guān)統(tǒng)一接收外部網(wǎng)絡(luò)數(shù)據(jù)流;蜜網(wǎng)網(wǎng)關(guān)對(duì)所接收的數(shù)據(jù)流進(jìn)行網(wǎng)絡(luò)入侵檢測(cè)分析;將正常數(shù)據(jù)流放行,發(fā)送給該數(shù)據(jù)流的目標(biāo)主機(jī);將非正常數(shù)據(jù)流按照威脅級(jí)別分為高、中、低三類(lèi);將高威脅級(jí)數(shù)據(jù)流重定向至物理蜜罐系統(tǒng),將中威脅級(jí)數(shù)據(jù)流重定向至虛擬機(jī)蜜罐系統(tǒng),將低威脅級(jí)數(shù)據(jù)流重定向至虛擬蜜罐系統(tǒng)。本發(fā)明有效利用低交互蜜罐系統(tǒng)和高交互蜜罐系統(tǒng)各自的優(yōu)點(diǎn),節(jié)省系統(tǒng)資源,提高了蜜罐系統(tǒng)的覆蓋面和獲取網(wǎng)絡(luò)攻擊活動(dòng)信息、捕獲惡意代碼樣本的能力;有效對(duì)抗反蜜罐技術(shù)??梢詮V泛應(yīng)用于計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)領(lǐng)域。
文檔編號(hào)H04L12/66GK101087196SQ20061016967
公開(kāi)日2007年12月12日 申請(qǐng)日期2006年12月27日 優(yōu)先權(quán)日2006年12月27日
發(fā)明者韋韜, 梁知音, 韓心慧, 諸葛建偉, 鄒維, 葉志遠(yuǎn), 游紅宇 申請(qǐng)人:北京大學(xué)