一種有效防禦未知攻擊手法的網絡入侵安全防禦系統的製作方法
2023-09-19 05:48:45 1
專利名稱:一種有效防禦未知攻擊手法的網絡入侵安全防禦系統的製作方法
技術領域:
本發明涉及一種網絡安全的保護方法,確切說是涉及一種通過將入侵檢測和防火牆技術有效結合,從而起到察覺入侵掃描、偽裝系統服務、防禦黑客入侵的功效。特別是在對黑客入侵的檢測方法上,創造了「通過過程和結果來判斷客戶端的請求是否是一種入侵行為」的程序判斷方法,不但能有效的防止入侵者利用已知的攻擊手段攻擊系統,並能防禦入侵者利用未知的攻擊手段對系統進行攻擊的一種安全保護方法。
發明內容
本發明的目的在於為用戶提供一種不但能防止入侵者利用已知攻擊手段攻擊系統,還能有效地防禦入侵者用未知的攻擊手段攻擊系統保護網絡安全的防禦系統。
本發明的目的是通過下述技術方案來實現的如果能最有效的提取非法入侵行為的特徵,並建立特性庫,最有效地提取漏洞、缺陷的基本特徵並建立特性庫,就能有效防禦各種未知的非法入侵,並能發現網絡的缺陷然後加以完善,同時也可以有效的避免入侵者利用系統的漏洞、網絡缺陷編制網絡病毒對系統攻擊所造成的侵害。通過收集、整理了96年至今3000多條出現過的安全漏洞,對這些漏洞發生的原因,造成的結果做了深入的研究和分析,同時對大量的入侵行為進行分析,對網絡的漏洞及缺陷進行了大量的分析,並提取它們的共同特性,獨特設計了一種OTR(Origin TOResult)分析測算方法,對這些已經出現過的漏洞進行分析和研究,建立了漏洞攻擊、非法入侵特性庫,然後對其進行了多種測試,發現使用了漏洞特性庫後,面對來自WEB的請求,可以不再需要通過漏洞庫來判斷它的合法性,可以根據特性庫判斷請求的特性,進行有效地過濾或處理(從外至內保護系統的安全性)。同時,當一個請求在經過檢查進入系統並經過響應後,會再次利用特性庫對它的合法性進行檢測(從內至外保護系統的安全)。在上述工作基礎上,創造了一種能有效防禦未知攻擊手法的網絡入侵安全防禦系統。該系統由入侵埠掃描察覺、偽裝系統服務、WEB入侵防禦應用防火牆、傳統包過濾防火牆等子系統組成,其特徵在於該系統還包括裝有漏洞庫和入侵特性庫的數據檢入及檢出、判斷來自WEB請求合法性的過濾程序子系統。該過濾程序子系統,由數據檢入及數據檢出程序組成;數據檢入程序,依序由建立埠監聽、接受WEB請求、漏洞庫比較、特性庫比較及WEB伺服器正常處理各子程序組成,還包括有未通過漏洞庫檢測的和未通過特性庫檢測的,轉入發送錯誤信息提示及關閉客戶端連接的子程序,數據檢出程序,依序由WEB伺服器正常處理、特性庫比較、漏洞庫比較、將數據發送客戶端、關閉客戶端連接各子程序組成,還包括有未通過漏洞庫檢測的和未通過特性庫檢測的,轉入發送錯誤信息提示及關閉客戶端連接的子程序。本發明中的入侵埠掃描察覺子系統,依序由埠監聽、接受數據請求、關閉監聽埠程序循環執行而成,並在監聽埠設置記錄掃描信息程序,恢復初始監聽端程序。本發明中的偽裝系統服務子系統,依序由埠監聽、接收客戶端連接請求、輸出偽裝的歡迎信息、接收用戶驗證請求、輸出其它偽裝信息、輸出失敗信息、關閉和客戶端的連接、以及連接監聽埠上的日 記錄各程序組成。
本發明的優點在於①由於本系統中設置有入侵埠掃描察覺子系統,可以即時判斷埠是否存在入侵掃描,改換與關閉被掃描的埠,可防止黑客獲取信息及阻斷埠入侵;②設置偽裝系統服務子系統,可以誤導入侵者的攻擊目標,有效地保護防火牆後面薄弱的WEB服務;③設置包括過濾防火牆,可以有效地過濾掉來自區域網外的訪問;④設置的WEB入侵防禦應用防火牆,對客戶端發送的請求被該防火牆截獲並對其進行檢測,檢測完成後發送錯誤信息或直接將客戶端的請求進行轉發;該防火牆得到響應後,再次對響應的數據進行檢測,完成後發送錯誤信息或將響應信息直接發送給客戶端,保證了網絡安全;⑤由於設置了包括有漏洞庫與特性庫的數據檢入與檢出過濾程序,對客戶端的請求首先進行依據漏洞庫的常規檢測,再進行依據特性庫的檢測,檢測完成後將請求轉發;當得到響應後,再次對響應的數據進行依據結果的逆向檢測,通過這個流程可以最終判斷客戶端的請求是否合法。本系統具有配置簡單、綜合防禦性能強、可以有效地防禦黑客採用未知攻擊手法對網絡系統攻擊等突出優點。
圖1為本發明系統結構功能原理示意2為數據檢入、檢出、判斷來自WEB請求合法性過濾程序子系統3為入侵埠掃描察覺子系統4為偽裝系統服務子系統圖部分代碼ServerSocket ss=new ServerSocket(80)2)接受HTTP請求。
部分代碼Socket s=ss.accept 3)利用漏洞庫比較HTTP請求中的URI。
說明將HTTP請求中的URI和漏洞庫中存放的數百條可能對伺服器造成危害的URI進行比較,如果匹配則發送錯誤信息,否則進入下環節。
4)利用特性庫比較HTTP請求中的URI。
說明分析HTTP請求中的URI會產生的效果,並將分析後的結果和特性庫中的數據進行比較(如是否越界訪問),判斷是否存在匹配,如果匹配則發送錯誤信息,否則進入下一環節。
5)將HTTP請求轉發給WEB伺服器。
說明將HTTP請求原封不動的發送給WEB伺服器。數據檢出流程為1)接收伺服器處理完HTTP請求後信息。
部分代碼DataInputStream dis=newDataInputStream(s.getInputStream );2)利用特性庫進行比較。
說明分析伺服器端返回的數據,並將分析後的結果和特性庫中的數據進行比較(如是否包含程序原始碼),判斷是否存在匹配,如果匹配則發送錯誤信息,否則進入下一環節。
3)將伺服器處理完的數據轉發給客戶端。
說明將伺服器端返回的數據原封不動的發送給客戶端。
4)關閉客戶端連接。
部分代碼s.close
權利要求
1.一種有效防禦未知攻擊手法的網絡入侵安全防禦系統,由入侵埠掃描察覺、偽裝系統服務、WEB入侵防禦應用防火牆、傳統包過濾防火牆等子系統組成,其特徵在於該系統還包括裝有漏洞庫和入侵特性庫的數據檢入及檢出、判斷來自WEB請求合法性的過濾程序子系統;該過濾程序子系統,由數據檢入及數據檢出程序組成;數據檢入程序依序由建立埠監聽、接受WEB請求、漏洞庫比較、特性庫比較及WEB伺服器正常處理各子程序組成,還包括有未通過漏洞庫檢測的和未通過特性庫檢測的轉入發送錯誤信息提示及關閉客戶端連接的子程序;數據檢出程序依序由WEB伺服器正常處理、特性庫比較、漏洞庫比較、將數據發送客戶端、關閉客戶端連接各子程序組成,還包括有未通過漏洞庫檢測的和未通過特性庫檢測的轉入發送錯誤信息提示及關閉客戶端連接的子程序。
2.按照權利要求1所述的一種有效防禦未知攻擊手法的網絡入侵安全防禦系統,其特徵在於入侵埠掃描察覺子系統依序由埠監聽、接受數據請求、關閉監聽埠程序循環執行而成,並在監聽埠設置記錄掃描信息程序、恢復初始監聽端程序。
3.按照權利要求1所述的一種有效防禦未知攻擊手法的網絡入侵安全防禦系統,其特徵在於偽裝系統服務子系統依序由埠監聽、接收客戶端連接請求、輸出偽裝的歡迎信息、接收用戶驗證請求、輸出其它偽裝信息、輸出失敗信息、關閉和客戶端的連接、以及連接監聽埠上的日記錄各程序組成。
全文摘要
傳統的防護系統採用漏洞庫裡的數據與來自客戶端的請求進行比較的方法,來判斷請求的合法性,因而不能有效地防禦未知漏洞的入侵。本發明採用多重防護手段,對已知漏洞攻擊手段及未知漏洞攻擊手段進行有效防禦。它由入侵埠掃描察覺、偽裝系統服務、WEB入侵防禦應用防火牆、傳統包過濾防火牆等子系統組成,特徵是系統中還有裝有漏洞庫和入侵特性庫的數據檢入、檢出判斷來自WEB請求合法性的過濾程序子系統。該過濾程序子系統不但能過濾已知漏洞攻擊,還能有效地過濾掉未知漏洞的攻擊,這些功能模塊經過簡單地配置,安裝到WEB伺服器上,就可起到全面的系統保護作用。
文檔編號G06F9/40GK1421771SQ01129118
公開日2003年6月4日 申請日期2001年11月27日 優先權日2001年11月27日
發明者王雲 申請人:四川安盟科技有限責任公司