专利名称:一种有效防御未知攻击手法的网络入侵安全防御系统的制作方法
技术领域:
本发明涉及一种网络安全的保护方法,确切说是涉及一种通过将入侵检测和防火墙技术有效结合,从而起到察觉入侵扫描、伪装系统服务、防御黑客入侵的功效。特别是在对黑客入侵的检测方法上,创造了“通过过程和结果来判断客户端的请求是否是一种入侵行为”的程序判断方法,不但能有效的防止入侵者利用已知的攻击手段攻击系统,并能防御入侵者利用未知的攻击手段对系统进行攻击的一种安全保护方法。
发明内容
本发明的目的在于为用户提供一种不但能防止入侵者利用已知攻击手段攻击系统,还能有效地防御入侵者用未知的攻击手段攻击系统保护网络安全的防御系统。
本发明的目的是通过下述技术方案来实现的如果能最有效的提取非法入侵行为的特征,并建立特性库,最有效地提取漏洞、缺陷的基本特征并建立特性库,就能有效防御各种未知的非法入侵,并能发现网络的缺陷然后加以完善,同时也可以有效的避免入侵者利用系统的漏洞、网络缺陷编制网络病毒对系统攻击所造成的侵害。通过收集、整理了96年至今3000多条出现过的安全漏洞,对这些漏洞发生的原因,造成的结果做了深入的研究和分析,同时对大量的入侵行为进行分析,对网络的漏洞及缺陷进行了大量的分析,并提取它们的共同特性,独特设计了一种OTR(Origin TOResult)分析测算方法,对这些已经出现过的漏洞进行分析和研究,建立了漏洞攻击、非法入侵特性库,然后对其进行了多种测试,发现使用了漏洞特性库后,面对来自WEB的请求,可以不再需要通过漏洞库来判断它的合法性,可以根据特性库判断请求的特性,进行有效地过滤或处理(从外至内保护系统的安全性)。同时,当一个请求在经过检查进入系统并经过响应后,会再次利用特性库对它的合法性进行检测(从内至外保护系统的安全)。在上述工作基础上,创造了一种能有效防御未知攻击手法的网络入侵安全防御系统。该系统由入侵端口扫描察觉、伪装系统服务、WEB入侵防御应用防火墙、传统包过滤防火墙等子系统组成,其特征在于该系统还包括装有漏洞库和入侵特性库的数据检入及检出、判断来自WEB请求合法性的过滤程序子系统。该过滤程序子系统,由数据检入及数据检出程序组成;数据检入程序,依序由建立端口监听、接受WEB请求、漏洞库比较、特性库比较及WEB服务器正常处理各子程序组成,还包括有未通过漏洞库检测的和未通过特性库检测的,转入发送错误信息提示及关闭客户端连接的子程序,数据检出程序,依序由WEB服务器正常处理、特性库比较、漏洞库比较、将数据发送客户端、关闭客户端连接各子程序组成,还包括有未通过漏洞库检测的和未通过特性库检测的,转入发送错误信息提示及关闭客户端连接的子程序。本发明中的入侵端口扫描察觉子系统,依序由端口监听、接受数据请求、关闭监听端口程序循环执行而成,并在监听端口设置记录扫描信息程序,恢复初始监听端程序。本发明中的伪装系统服务子系统,依序由端口监听、接收客户端连接请求、输出伪装的欢迎信息、接收用户验证请求、输出其它伪装信息、输出失败信息、关闭和客户端的连接、以及连接监听端口上的日 记录各程序组成。
本发明的优点在于①由于本系统中设置有入侵端口扫描察觉子系统,可以即时判断端口是否存在入侵扫描,改换与关闭被扫描的端口,可防止黑客获取信息及阻断端口入侵;②设置伪装系统服务子系统,可以误导入侵者的攻击目标,有效地保护防火墙后面薄弱的WEB服务;③设置包括过滤防火墙,可以有效地过滤掉来自局域网外的访问;④设置的WEB入侵防御应用防火墙,对客户端发送的请求被该防火墙截获并对其进行检测,检测完成后发送错误信息或直接将客户端的请求进行转发;该防火墙得到响应后,再次对响应的数据进行检测,完成后发送错误信息或将响应信息直接发送给客户端,保证了网络安全;⑤由于设置了包括有漏洞库与特性库的数据检入与检出过滤程序,对客户端的请求首先进行依据漏洞库的常规检测,再进行依据特性库的检测,检测完成后将请求转发;当得到响应后,再次对响应的数据进行依据结果的逆向检测,通过这个流程可以最终判断客户端的请求是否合法。本系统具有配置简单、综合防御性能强、可以有效地防御黑客采用未知攻击手法对网络系统攻击等突出优点。
图1为本发明系统结构功能原理示意2为数据检入、检出、判断来自WEB请求合法性过滤程序子系统3为入侵端口扫描察觉子系统4为伪装系统服务子系统图部分代码ServerSocket ss=new ServerSocket(80)2)接受HTTP请求。
部分代码Socket s=ss.accept ()3)利用漏洞库比较HTTP请求中的URI。
说明将HTTP请求中的URI和漏洞库中存放的数百条可能对服务器造成危害的URI进行比较,如果匹配则发送错误信息,否则进入下环节。
4)利用特性库比较HTTP请求中的URI。
说明分析HTTP请求中的URI会产生的效果,并将分析后的结果和特性库中的数据进行比较(如是否越界访问),判断是否存在匹配,如果匹配则发送错误信息,否则进入下一环节。
5)将HTTP请求转发给WEB服务器。
说明将HTTP请求原封不动的发送给WEB服务器。数据检出流程为1)接收服务器处理完HTTP请求后信息。
部分代码DataInputStream dis=newDataInputStream(s.getInputStream ());2)利用特性库进行比较。
说明分析服务器端返回的数据,并将分析后的结果和特性库中的数据进行比较(如是否包含程序源代码),判断是否存在匹配,如果匹配则发送错误信息,否则进入下一环节。
3)将服务器处理完的数据转发给客户端。
说明将服务器端返回的数据原封不动的发送给客户端。
4)关闭客户端连接。
部分代码s.close ()
权利要求
1.一种有效防御未知攻击手法的网络入侵安全防御系统,由入侵端口扫描察觉、伪装系统服务、WEB入侵防御应用防火墙、传统包过滤防火墙等子系统组成,其特征在于该系统还包括装有漏洞库和入侵特性库的数据检入及检出、判断来自WEB请求合法性的过滤程序子系统;该过滤程序子系统,由数据检入及数据检出程序组成;数据检入程序依序由建立端口监听、接受WEB请求、漏洞库比较、特性库比较及WEB服务器正常处理各子程序组成,还包括有未通过漏洞库检测的和未通过特性库检测的转入发送错误信息提示及关闭客户端连接的子程序;数据检出程序依序由WEB服务器正常处理、特性库比较、漏洞库比较、将数据发送客户端、关闭客户端连接各子程序组成,还包括有未通过漏洞库检测的和未通过特性库检测的转入发送错误信息提示及关闭客户端连接的子程序。
2.按照权利要求1所述的一种有效防御未知攻击手法的网络入侵安全防御系统,其特征在于入侵端口扫描察觉子系统依序由端口监听、接受数据请求、关闭监听端口程序循环执行而成,并在监听端口设置记录扫描信息程序、恢复初始监听端程序。
3.按照权利要求1所述的一种有效防御未知攻击手法的网络入侵安全防御系统,其特征在于伪装系统服务子系统依序由端口监听、接收客户端连接请求、输出伪装的欢迎信息、接收用户验证请求、输出其它伪装信息、输出失败信息、关闭和客户端的连接、以及连接监听端口上的日记录各程序组成。
全文摘要
传统的防护系统采用漏洞库里的数据与来自客户端的请求进行比较的方法,来判断请求的合法性,因而不能有效地防御未知漏洞的入侵。本发明采用多重防护手段,对已知漏洞攻击手段及未知漏洞攻击手段进行有效防御。它由入侵端口扫描察觉、伪装系统服务、WEB入侵防御应用防火墙、传统包过滤防火墙等子系统组成,特征是系统中还有装有漏洞库和入侵特性库的数据检入、检出判断来自WEB请求合法性的过滤程序子系统。该过滤程序子系统不但能过滤已知漏洞攻击,还能有效地过滤掉未知漏洞的攻击,这些功能模块经过简单地配置,安装到WEB服务器上,就可起到全面的系统保护作用。
文档编号G06F9/40GK1421771SQ01129118
公开日2003年6月4日 申请日期2001年11月27日 优先权日2001年11月27日
发明者王云 申请人:四川安盟科技有限责任公司