一種主動誘騙方法與系統的製作方法
2023-06-15 21:34:01 1
專利名稱:一種主動誘騙方法與系統的製作方法
技術領域:
本發明涉及網絡安全領域,尤其涉及一種主動誘騙方法與系統。
背景技術:
計算機信息系統及網絡的安全,一直是業界面臨的一個重要問題。為了對抗來自外部網絡的各種黑客攻擊,一些典型的安全技術和產品,如防火牆、入侵檢測系統等,已經應用和部署在現有網絡中。一般來說,防火牆放在用戶服務網絡的網絡邊界,對來自外部網絡的數據流量起到粗略的過濾和防護作用。入侵檢測系統則分為基於主機的和基於網絡兩種,前者部署在伺服器、工作站等主機上,起到對本地數據和系統的安全防護作用,而後者則部署在網絡的關鍵位置或網絡設備上,對某一服務網段的出入數據包進行監控,以達到發現入侵防止破壞的目的。總的來說,這些技術和產品都是對現有網絡系統的安全特性的補充,有各自的缺點和相對局限性。尤其是在安全性、實時保護、可擴展性、可管理等方面,面對日益先進複雜的網絡黑客攻擊技術,網絡規模,以及帶寬和流量的持續增加,越來越顯出在架構設計上的問題。
近年來,另一種有效的信息安全技術是網絡欺騙技術。誘騙機(Honeypot)技術就是其中的一個最為典型和廣為人知的一種。多個誘騙機構成一個誘騙系統,又稱為密罐系統。它是一個或多個包含各種常見漏洞的系統,通過模擬一個或多個易受攻擊的主機,給黑客提供一個容易攻擊的目標,從而引誘入侵者對其進行攻擊,進而記錄其一切活動。通過仔細分析從誘騙環境收集的信息,人們通過誘騙系統可以觀察入侵者的行為,研究入侵者的水平、入侵目的、所用的工具、入侵手段等,從而為防禦未知攻擊、提高運行系統的動態防禦能力奠定基礎。
現有技術一如圖1所示,若檢測到黑客試圖對計算機400上的開放服務進程埠進行異常訪問,則透明地改變其訪問方向,將黑客誘騙到honeypot伺服器406上,該伺服器模擬目標主機,因此可以誤導黑客使其認為之前的訪問成功了。該方法可提高計算機的安全性並且可以幫助監測和追蹤黑客。
現有技術二如圖2所示。一個或多個honeypot系統通過虛擬專用網和一個或多個目標網絡或者客戶網絡相連接。目標網絡320是一個區域網(LAN),連接到Internet/WAN 300和各種伺服器計算機,例如計算機325、326。在LAN 320中,有一個虛擬私有專網網關330與另一個虛擬私有專網網關340建立了一條隧道以傳遞數據包。虛擬私有專網網關340提供到honeypot系統網絡350(同時是另一個區域網)的接入功能。通過350,可以連接到一個honeypot陷阱系統360。裡面有兩個「籠子(cage)」的應用系統,用以誘騙攻擊者進入。還有一個「獵手」(hunter)應用系統放在另一個機器裡實現,以監控和檢測攻擊者在籠子裡的攻擊活動。除了實現檢測外,還有一個包嗅探器(sniffer)382用以記錄所有進出honeypot系統360的流量信息。最後,還可以提供一個後端的私有區域網LAN 370,LAN 370僅與honeypot系統網絡相連接,裡面的監控臺385用以遠程監控honeypot系統自身的運行。
採用該種系統結構,攻擊被通過一個虛擬專用網網關導入honeypot系統,因而限制了攻擊者對其他的目標網絡和公用數據網絡的訪問。這樣,honeypot通過簡單的增加一個虛擬專用網關而進行一個新的服務網絡的配置,使得網絡流量都轉移到honeypot系統中,從而實現對目標網絡的保護。但是,該方法對於高速和大量的數據流量會有一定的局限性。
上述現有技術一和現有技術二都存在一個共同的缺點是僅是簡單地將誘騙子網接入區域網,採取被動的方式等候入侵者進入;沒有採取主動的實時檢測的方法對可疑的數據流量進行及時處理,並對黑客的攻擊進行跟蹤和分析,得出新的黑客攻擊行為特徵信息來指導判定當前數據流是否為正常數據流。也就是說,現有技術中的誘騙子網不具備實時檢測及自我學習能力,不能根據黑客攻擊手段的更新而相應提高自身的防禦能力。
發明內容
本發明提供一種主動誘騙方法與系統,用以解決現有技術中不能對黑客攻擊進行實時檢測、主動誘騙及自主更新攻擊檢測規則的問題。
本發明方法包括對數據流進行採樣,將採樣數據與保存的黑客攻擊行為特徵信息進行匹配,根據匹配結果判定為可疑/異常數據流時,將所述數據流重定向到誘騙網絡處理。
根據本發明的上述方法,進一步包括捕獲黑客在誘騙網絡中的攻擊行為數據,分析得出新的黑客攻擊行為特徵信息,加入到保存的黑客攻擊行為特徵信息中。
根據本發明的上述方法,當判定當前數據流為正常數據流時,將所述數據流重定向到目標網絡處理。
根據本發明的上述方法,應用分布式抽樣技術對所述數據流進行採樣。
根據本發明的上述方法,所述重定向到誘騙網絡或目標網絡,具體方法為解析數據流中的數據包,獲取數據包攜帶的地址和埠號信息;對正常數據包,查詢目標網絡地址轉換表,用查詢出的對應地址和埠號信息重新封裝正常數據包內容,發送到目標網絡;對可疑或異常數據包,查詢誘騙網絡地址轉換表,用查詢出的對應地址和埠號信息重新封裝可疑或異常數據包內容,發送到誘騙網絡。
根據本發明的上述方法,還包括將黑客在誘騙網絡中的攻擊行為數據或經分析得出的黑客攻擊行為特徵信息進行處理後採用圖形化方式顯示。
本發明提供一種主動誘騙系統,包括檢測分流子系統、誘騙網絡和數據分析子系統;所述檢測分流子系統對發向目標網絡的數據流進行採樣,將採樣數據與保存的黑客攻擊行為特徵信息進行匹配,根據匹配結果將判定為可疑/異常的數據流重定向到所述誘騙網絡,將正常數據流重定向到目標網絡;所述誘騙網絡與所述目標網絡分離,模擬所述目標網絡處理可疑/異常數據,並捕獲黑客在誘騙網絡中的攻擊行為數據發送到所述數據分析子系統;所述數據分析子系統分析捕獲的黑客攻擊行為數據,得出黑客攻擊行為特徵信息。
所述檢測分流子系統包括採樣模塊、檢測模塊和重定向模塊;所述採樣模塊對發往目標網絡的數據進行採樣,並將採樣數據發送到所述檢測模塊;所述檢測模塊用所述採樣數據與保存的黑客攻擊行為特徵信息進行匹配;根據匹配結果判定當前數據流為可疑/異常數據流或正常數據流,發送到所述重定向模塊;所述重定向模塊將正常數據流重定向到目標網絡,將可疑/異常數據流重定向到所述誘騙網絡。
所述誘騙網絡包括至少一個誘騙網關和一個或多個誘騙機;所述誘騙網關接收發送到誘騙網絡的全部數據,進行判斷分類後發送到所述誘騙機處理;並控制誘騙網絡的外發數據量,捕獲黑客在誘騙網絡中的攻擊行為數據發送給所述數據分析子系統;所述誘騙機模擬真實主機所提供的各種服務。
所述誘騙網關具體包括第一網卡,與所述檢測分流子系統中的重定向模塊相連接,接收發送到誘騙網絡的全部數據,並控制誘騙網絡的外發數據量;第二網卡,與所述誘騙機相連接,將不同類別的數據分別發送到實現不同功能的誘騙機處理;並捕獲黑客在誘騙網絡中的攻擊行為數據,發送給第三網卡;第三網卡,與所述數據分析子系統相連接,將捕獲到的黑客在誘騙網絡中的攻擊行為數據發送給所述數據分析子系統。
所述數據分析子系統包括數據提取模塊和數據處理模塊;所述數據提取模塊接收所述誘騙網絡傳送過來的黑客攻擊行為數據,進行解包後發送到所述數據處理模塊;所述數據處理模塊基於關聯規則的數據挖掘策略對黑客在誘騙網絡中的攻擊行為數據進行分析,得出新的黑客攻擊行為特徵信息加入到檢測模塊保存的黑客攻擊行為特徵信息中。
所述數據分析子系統還包括數據監控模塊,將黑客在誘騙網絡中的攻擊行為數據或經分析得出的黑客攻擊行為特徵信息進行處理後採用圖形化方式顯示。
本發明的有益效果如下(1)本發明採用檢測分流子系統對網絡中的大量數據流量進行採樣,通過實時檢測後將可疑/異常的數據流導入誘騙網絡,分流了大量的攻擊數據,實現了對目標網絡的實時保護。
(2)本發明通過誘騙網絡中的各種誘騙機提供模擬真實網絡的各種服務功能,實現對黑客的主動誘騙。
(3)本發明通過數據分析子系統對誘騙網絡中獲取的可疑/異常數據進行分析,提取黑客攻擊行為特徵信息,生成攻擊檢測規則存入知識庫中,實現系統自學習功能,能根據黑客攻擊手段的變化提升系統自身的防禦能力。
圖1為現有技術一訪問控制方法示意圖;圖2為現有技術二誘騙系統結構示意圖;
圖3為本發明誘騙系統的結構模塊示意圖;圖4為本發明重定向模塊重定向算法流程圖;圖5為本發明誘騙網絡實施例的邏輯結構圖。
具體實施例方式
參見圖3,為本發明誘騙系統的結構模塊示意圖,包括檢測分流子系統1、誘騙網絡2和數據分析子系統3。
其中,檢測分流子系統1對發向目標網絡的數據流進行採樣,將採樣數據與檢測模塊中保存的黑客攻擊行為特徵信息(可以將黑客攻擊行為特徵信息單獨保存到一個知識庫中)進行匹配,根據匹配結果將判定為可疑/異常的數據流重定向到誘騙網絡2,將正常數據流重定向到目標網絡;誘騙網絡2與所述目標網絡分離,模擬目標網絡處理可疑/異常數據,並捕獲黑客在誘騙網絡中的攻擊行為數據發送到數據分析子系統3;數據分析子系統3分析捕獲的黑客攻擊行為數據,得出新的黑客攻擊行為特徵信息,加入到檢測模塊中用於保存黑客攻擊行為特徵信息的知識庫中。
下面具體描述各模塊的相應功能。
採樣模塊11,採用高效的採樣算法對外部網絡發向目標網絡的數據流量進行採樣,並將採樣數據發送到檢測模塊12。
針對大規模高速IP網絡流量的抽樣,在本發明中,主要應用分布式抽樣技術。分布式抽樣技術,是指抽樣事件事先確定,但在報文到達之前不能確定其是否被抽樣,只有當報文到達以後根據報文內容才能決定抽樣與否。其中隨機性和效率是兩個關鍵指標。抽樣是從通過網絡的報文中隨機選擇部分報文。抽樣方法的核心是選擇合適的報文匹配比特串(也稱抽樣掩碼),這些比特必須在統計上具有隨機性,同時又和流量統計特性無關。以IP報文為例,根據對IP報頭中的各段進行分析研究,可得到IP報頭中的ID,源IP和目的IP的後16位可以考慮作為抽樣掩碼匹配比特串。再對它們的隨機測度進行分析,可以得出結論,選用ID欄位16比特中的部分作為抽樣掩碼匹配串,能很好地實現抽樣樣本的統計隨機特性。
在進行採樣時,當包到達的速率在系統的處理速率範圍內時,使採樣率趨於無窮大,即對所有的包都進行解碼和模式匹配,並做相應的重定向。而當包到達的速率超過系統處理包的最大速率時,選擇合適的採樣率對到達的包有選擇地進行模式匹配,使系統既能保證一定的檢測精確率,又不引起包阻塞。通過引入採樣點機制使系統能靈活的適應各種包到達的速率。
檢測模塊12,初步判斷採樣到的數據是否正常,並將採樣數據和判斷結果發送到重定向模塊13。
通過將採樣點數據與知識庫中數據進行模式匹配,在網絡數據包中搜索攻擊包特徵。匹配通過的,即符合某種攻擊的數據特徵的流量,被作為可疑/異常流量,其他則作為正常流量。
由於知識庫中存儲的是一些黑客攻擊特徵、攻擊規律數據,一般以特徵規則樹或規則鍊表的形式存在,即包含一個典型攻擊行為的相關特徵欄位、時間、頻度等等信息。一條規則是規則鍊表中的一個路徑,代表一個攻擊行為。當進行匹配時,先對規則頭(即鍊表的最上一級)進行精確匹配,當規則頭匹配失敗時,沿著橫向鍊表匹配下一個規則頭。當規則頭匹配成功時,開始沿著縱向鍊表匹配規則選項,和規則頭匹配過程相似,當某個規則選項匹配失敗時,匹配下一個規則選項,當匹配成功時,入侵行為被確定。一個典型的攻擊行為,例如特定的攻擊代碼序列(如shellcode)特徵字串,或者已知可以被用來利用的有漏洞的文件名等,都可能作為對應攻擊檢測規則中選項的數據內容。
重定向模塊13,將判定為正常的數據流量重定向到該數據流量的目標網絡,將判定為可疑/異常的數據流量重定向到誘騙網絡。
重定向模塊13的重定向算法如圖4所示,包括如下步驟步驟S11、對接收的IP包進行解析,分別區分其IP首部(IH)、傳輸控制協議TCP首部(TH)、埠P和內容C,並放入指定的數據結構中;並通過檢測得出該IP包為正常數據還是入侵數據(即可疑/異常數據);步驟S12、對數據結構進行解析,對IP包的埠號,執行步驟S13;對IP包的首部,執行步驟S14;對IP包的內容執行步驟S15;步驟S13、對埠號P按照網絡地址轉換(NAT)表S,查詢獲得其映射的IP位址和埠Y;網絡中存儲有兩張NAT表S,一張是針對正常數據的真實系統的IP/PORT表,另一張是針對入侵數據的誘騙NAT表,提供到誘騙機honeypot的映射;步驟S14、用映射Y分別替換數據結構中IP首部IH裡的IP位址和TCP首部TH裡的埠號;步驟S15、對IH、TH、C按IP首部、TCP首部、內容的順序重組數據包,使之成為一個完整的IP包後發送。
本發明的誘騙網絡包括至少一個誘騙網關(Honeywall)21和一系列誘騙機(Honeypot)22。完成數據控制、數據捕獲和誘騙實現等功能。
誘騙網關21一方面通過對誘騙機的監聽,實現對黑客在誘騙機上入侵行為的捕獲。另一方面,採用一定的檢測算法,將導入誘騙網絡的異常流量進行具體判斷分類。
具體檢測算法包括利用已知攻擊檢測規則庫的模式匹配算法,也包括基於關聯規則的數據挖掘算法,以挖掘出新的攻擊規則。判斷分類是指根據檢測結果,對確定為攻擊行為的具體事件分類判定。
為了研究黑客在誘騙網絡的行為,具體應用中,可以利用智能的移動代理技術,在網絡內部設置多個不同功能的移動代理,由代理來實現對黑客行為的監視,攻擊行為數據的捕獲,以及相關信息的保存和傳送。接著,可以將誘騙網絡中記錄下來的黑客行為數據傳送到數據分析平臺,由數據分析平臺採用基於關聯規則的數據挖掘算法,對捕獲到的數據進行自動分析,得出黑客入侵的方式、竊取資料的手段,異常流量的IP包特徵等信息,根據這些信息,對攻擊行為進行歸類。
同時,為了保證誘騙網絡可以和外部網絡接觸,增加其真實性,Honeywall提供了「寬進嚴出」的訪問控制,它限制對外發送數據包的最大外發連接數,攔截或修改具有攻擊特徵的外發數據包,從而控制對外流量;但也給黑客以一定的自由,如可以獲取工具,測試連接等等,實現其誘騙功能。
誘騙網關21具體包括第一網卡,與檢測分流子系統中的重定向模塊連接,接收發送到誘騙網絡的全部數據,並控制誘騙網絡的外發數據量;第二網卡,與系列誘騙機相連接,將不同類別的數據分別發送到實現不同功能的誘騙機處理;並捕獲黑客在誘騙網絡中的攻擊行為數據;第三網卡,與數據分析子系統連接,將捕獲到的黑客在誘騙網絡中的攻擊行為數據發送給數據分析子系統中的數據提取模塊。
所述系列誘騙機22模擬真實主機所提供的各種服務。如FTP服務、email服務、web服務等等,它們與真實作業系統一樣,具有系統自身的漏洞,但是並不存放任何機密數據。黑客在攻擊過程中所採用的攻擊方式會被記錄下來,這樣就可以為研究黑客的攻擊手段提供數據資料。
圖5是本發明誘騙網關的一個具體實例的邏輯結構圖。
由誘騙網關中的第一網卡接收發送到誘騙網絡的全部數據,存入資料庫DB中;由第二網卡實現資源管理代理,包括信息收集代理、遍歷代理、跟蹤代理等,對模擬各種功能的誘騙機(如WWW伺服器、FTP伺服器和Email伺服器等)進行控制並獲取黑客的攻擊行為數據;由第三網卡實現與數據分析子系統的連接,發送獲取的攻擊行為數據。
本發明提供的數據分析子系統3包括數據提取模塊31、數據處理模塊32和數據監控制模塊33。
數據提取模塊31接收誘騙網絡傳送過來的黑客攻擊行為數據,進行解包後發送到所述數據處理模塊32;
數據處理模塊32基於關聯規則的數據挖掘策略對黑客在誘騙網絡中的攻擊行為數據進行分析,得出黑客攻擊行為特徵信息;具體方法包括根據獲取的攻擊數據提取入侵者的擊鍵信息、對話和所用工具;對黑客的某些特殊操作(如對某一部分信息的複製)進行分析,用一個權值來記錄某種異常行為的出現頻度,估計各種攻擊的威脅程度,形成新的攻擊檢測規則存入到知識庫中,用於下一次的檢測匹配;數據監控模塊33,將黑客在誘騙網絡中的攻擊行為數據或經分析得出的黑客攻擊行為特徵信息進行處理後(如採用預定的算法)採用圖形化方式顯示出來,為整個實時主動誘騙系統提供一個可視化的人機接口。
綜上所述,本發明通過採用檢測分流子系統對網絡中的大量數據流量進行採樣,通過實時檢測後將可疑/異常的數據流導入誘騙網絡,分流了大量的攻擊數據,實現了對目標網絡的實時保護。
本發明通過誘騙網絡中的各種誘騙機提供模擬真實網絡的各種服務功能,實現對黑客的主動誘騙。
本發明通過數據分析子系統對誘騙網絡中獲取的可疑/異常數據進行分析,提取黑客攻擊行為特徵信息,生成攻擊檢測規則存入知識庫中,實現系統自學習功能,能根據黑客攻擊手段的變化提升系統自身的防禦能力。
顯然,本領域的技術人員可以對本發明進行各種改動和變型而不脫離本發明的精神和範圍。這樣,倘若本發明的這些修改和變型屬於本發明權利要求及其等同技術的範圍之內,則本發明也意圖包含這些改動和變型在內。
權利要求
1.一種主動誘騙方法,其特徵在於,包括對數據流進行採樣,將採樣數據與保存的黑客攻擊行為特徵信息進行匹配,根據匹配結果判定為可疑/異常數據流時,將所述數據流重定向到誘騙網絡處理。
2.如權利要求1所述的方法,其特徵在於,進一步包括捕獲黑客在誘騙網絡中的攻擊行為數據,分析得出新的黑客攻擊行為特徵信息,加入到保存的黑客攻擊行為特徵信息中。
3.如權利要求1或2所述的方法,其特徵在於,當判定當前數據流為正常數據流時,將所述數據流重定向到目標網絡處理。
4.如權利要求1或2所述的方法,其特徵在於,應用分布式抽樣技術對所述數據流進行採樣。
5.如權利要求3所述的方法,其特徵在於,所述重定向到誘騙網絡或目標網絡,具體方法為解析數據流中的數據包,獲取數據包攜帶的地址和埠號信息;對正常數據包,查詢目標網絡地址轉換表,用查詢出的對應地址和埠號信息重新封裝正常數據包內容,發送到目標網絡;對可疑或異常數據包,查詢誘騙網絡地址轉換表,用查詢出的對應地址和埠號信息重新封裝可疑或異常數據包內容,發送到誘騙網絡。
6.如權利要求2所述的方法,其特徵在於,還包括將黑客在誘騙網絡中的攻擊行為數據或經分析得出的黑客攻擊行為特徵信息進行處理後採用圖形化方式顯示。
7.一種主動誘騙系統,其特徵在於,包括檢測分流子系統、誘騙網絡和數據分析子系統;所述檢測分流子系統對發向目標網絡的數據流進行採樣,將採樣數據與保存的黑客攻擊行為特徵信息進行匹配,根據匹配結果將判定為可疑/異常的數據流重定向到所述誘騙網絡,將正常數據流重定向到目標網絡;所述誘騙網絡與所述目標網絡分離,模擬所述目標網絡處理可疑/異常數據,並捕獲黑客在誘騙網絡中的攻擊行為數據發送到所述數據分析子系統;所述數據分析子系統分析捕獲的黑客攻擊行為數據,得出黑客攻擊行為特徵信息。
8.如權利要求7所述的系統,其特徵在於,所述檢測分流子系統包括採樣模塊、檢測模塊和重定向模塊;所述採樣模塊對發往目標網絡的數據進行採樣,並將採樣數據發送到所述檢測模塊;所述檢測模塊用所述採樣數據與保存的黑客攻擊行為特徵信息進行匹配;根據匹配結果判定當前數據流為可疑/異常數據流或正常數據流,發送到所述重定向模塊;所述重定向模塊將正常數據流重定向到目標網絡,將可疑/異常數據流重定向到所述誘騙網絡。
9.如權利要求7所述的系統,其特徵在於,所述誘騙網絡包括至少一個誘騙網關和一個或多個誘騙機;所述誘騙網關接收發送到誘騙網絡的全部數據,進行判斷分類後發送到所述誘騙機處理;並控制誘騙網絡的外發數據量,捕獲黑客在誘騙網絡中的攻擊行為數據發送給所述數據分析子系統;所述誘騙機模擬真實主機所提供的各種服務。
10.如權利要求9所述的系統,其特徵在於,所述誘騙網關具體包括第一網卡,與所述檢測分流子系統中的重定向模塊相連接,接收發送到誘騙網絡的全部數據,並控制誘騙網絡的外發數據量;第二網卡,與所述誘騙機相連接,將不同類別的數據分別發送到實現不同功能的誘騙機處理;並捕獲黑客在誘騙網絡中的攻擊行為數據,發送給第三網卡;第三網卡,與所述數據分析子系統相連接,將捕獲到的黑客在誘騙網絡中的攻擊行為數據發送給所述數據分析子系統。
11.如權利要求7所述的系統,其特徵在於,所述數據分析子系統包括數據提取模塊和數據處理模塊;所述數據提取模塊接收所述誘騙網絡傳送過來的黑客攻擊行為數據,進行解包後發送到所述數據處理模塊;所述數據處理模塊基於關聯規則的數據挖掘策略對黑客在誘騙網絡中的攻擊行為數據進行分析,得出新的黑客攻擊行為特徵信息加入到檢測模塊保存的黑客攻擊行為特徵信息中。
12.如權利要求11所述的系統,其特徵在於,所述數據分析子系統還包括數據監控模塊,將黑客在誘騙網絡中的攻擊行為數據或經分析得出的黑客攻擊行為特徵信息進行處理後採用圖形化方式顯示。
全文摘要
本發明公開了一種主動誘騙方法,包括對數據流進行採樣,將採樣數據與保存的黑客攻擊行為特徵信息進行匹配,根據匹配結果判定為可疑/異常數據流時,將所述數據流重定向到誘騙網絡處理;捕獲黑客在誘騙網絡中的攻擊行為數據,分析得出新的黑客攻擊行為特徵信息,加入到保存的黑客攻擊行為特徵信息中。本發明還公開了一種主動誘騙系統,包括檢測分流子系統、誘騙網絡和數據分析子系統。採用本發明能對黑客的攻擊進行實時檢測並實現主動誘騙,有效保護目標網絡不受攻擊。
文檔編號H04L9/00GK1889573SQ200610099150
公開日2007年1月3日 申請日期2006年7月31日 優先權日2006年7月31日
發明者位繼偉, 孫知信 申請人:華為技術有限公司