专利名称:一种实现诱骗网络数据流重定向的方法
技术领域:
本发明涉及一种保护网络的方法,特别是一种实现诱骗网络数据流重定向的方法。
背景技术:
近几年来互联网以及通信网在全球范围内得到了迅猛的的发展,它对人类社会的生活方式产生了极大的影响和改变,而随之而来的网络信息安全问题就显得越来越重要。网络黑客、病毒、信息窃取和干扰等手段的出现,使网络的安全面临严重的挑衅。全球每年都为之付出巨大的代价,高达数亿美元之多,如银行帐户系统被侵入、病毒发作、军事网络干扰等。
传统的网络安全技术主要有防火墙技术和入侵检测系统。防火墙的主要功能是防止非法入侵者进入网络,使被怀疑的用户不能进入相应的网络,在某种程度上保护了网络的安全。但人们又面临新的问题1)由于防火墙技术和入侵检测系统等将可疑者拒之门外,使攻击者不能得手,这将使攻击者不断谋求新的技术手段进行进攻,增加了网络安全防护的难度和不可测性。2)由于可疑者被拒,就无法知道其真正意图,想破坏哪些数据,或想得到哪些数据,这些信息在军事上可以使我们了解敌人的意图,以采取相应的措施。在民用上可以使我们了解攻击者的手段和方法,如了解病毒衍生的过程,从而进行有效防卫。3)由于可疑者被拒,系统没有被入侵者进入,没有无法知道系统的漏洞在哪里?由此而产生了“诱骗网络”(honeypot)技术,使网络的防御在一定程度上由被动转为主动。
传统的诱骗网络如图1所示,LAN表示要保护的局域网。从因特网(Internet)来的可疑入侵者可以进入诱骗网络,也可以进入局域网。这种情况下诱骗网络是一种某种意义上的愿者上钩的模式,它被动的等待黑客的侵入,然后记录其一举一动,这种模式下的诱骗网络大部分时间都是无所事事,从而起不到协助保护局域网的作用。
发明内容
本发明的目的就是为了弥补传统诱骗网络的不足,提出一种可使被动的诱骗网络变成主动引诱网络的实现诱骗网络数据流重定向的方法。
本发明的技术解决方案一种实现诱骗网络数据流重定向的方法,其特征在于它是对进入网络的所有数据进行重定向处理,其规则如下1、如果数据报来自Internet,查其源地址是否在可疑IP列表中,具体做法是a)如果是在可疑IP列表中,将其目的MAC地址替换为诱骗网络对应主机的MAC地址,再发往诱骗网络;b)如果不是在可疑IP列表中,按防火墙检测规则或入侵检测系统的检测规则进行检测,具体检测方法为I)如果规则不匹配,表明该数据报是正常的,则发往要保护的网络;II)如果规则匹配,则表明该数据报是可疑的,把其源地址加入可疑IP列表,然后发往诱骗网络;2、如果数据报来自局域网LAN,直接从Internet接口发送出去;3、如果数据报来自Honeypot,将其源MAC地址通过诱骗网络与局域网LAN中主机的MAC地址与IP地址对应表替换为局域网LAN中对应主机的MAC地址后,再从Internet接口发送出去。
本发明方法的优点是1)使被动的诱骗网络变成主动引诱网络,任何可疑的用户都将被引入诱骗网络。2)由于可疑的用户被引入诱骗网络起到了保护局域网的目的。3)在诱骗网络中提供与实际网络相同的环境,包括FTP、HTTP、E-MAIL等业务,使入侵者没有感觉到被诱骗到诱骗网络。4)由于本发明方法是在计算机网络的第二层处理,即数据链路层处理,处理速度快,因为调用的都是系统最底层的函数,对LAN、Honeypot和Internet均是透明的,不易被可疑入侵者发现,且通过Mac地址转换,可达到充分伪装的目的。5)通过诱骗网络,可以观测入侵者的意图和手段,如想破坏哪些数据,或想得到哪些数据,以及病毒衍生的过程等等,为网络的安全提供新的手段。
图1是传统的实现诱骗网络的原理图。
图2是本发明的带有重定向机制的实现诱骗网络的原理图。
图3是实现本发明诱骗网络的系统示意图。
图4是实现本发明诱骗网络的系统算法流程图。
图5是图4中的HanleOutP函数算法流程图。
图6是图4中的HanleSusP函数算法流程图。
具体实施例方式
本发明方法提出了一种新的思路,即在诱骗网络(honeypot)之前增加一个重定向机制,来自Internet的用户将首先被进行过虑,正常的流量将导入局域网LAN,而将可疑的流量导入诱骗网络(如图2所示)。
本发明的实现诱骗网络数据流重定向的方法是对进入网络的所有数据进行重定向处理,其规则如下1、如果数据报来自Internet,查其源地址是否在可疑IP(InternetProtocol)列表中(该列表由用户自己建立,用于记载可疑IP地址),具体做法是a)如果是在可疑IP列表中,将其目的MAC(Media Access Control)地址替换为诱骗网络(Honeypot)对应主机的MAC地址,再发往诱骗网络。
b)如果不是在可疑IP列表中,按防火墙检测规则或入侵检测系统的检测规则进行检测,具体检测方法为I)如果规则不匹配,说明该数据报是正常的,则发往要保护的网络(如局域网LAN)。
II)如果规则匹配,则说明该数据报是可疑的,把其源地址加入可疑IP列表,然后发往Honeypot。
2、如果数据报来自局域网LAN,直接从Internet接口发送出去。
3、如果数据报来自Honeypot,将其源MAC地址通过诱骗网络与局域网LAN中主机的MAC地址与IP地址对应表(该对应表用来记录诱骗网络和局域网LAN的IP地址与MAC地址的对应关系)替换为局域网LAN中对应主机的MAC地址后,再从Internet接口发送出去。
在本发明对网络数据流进行重定向后,就可以方便地对进入诱骗网络的数据报行为进行观察,了解入侵者的意图,分析入侵者的行为,发现网络的漏洞,寻找保护方法。
本发明方法中,需要维护两项重要的数据,一项为可疑IP列表,另一项为诱骗网络与局域网LAN中主机的MAC地址与IP地址对应表。同时对来自局域网的数据也可以进行类似于来自Internet的数据检测方法,以增强对来自局域网的入侵者的防范。
上述维护可疑IP列表的方法是1)建立一个初始为空的可疑IP列表。
2)每当检测模块检测到一个可疑的数据报,便记录其源IP地址,同时打上时间戳,以标识当时的时间。
3)当列表中可疑的IP地址时间戳到期,则将其IP从列表中删除。
上述维护MAC与IP地址对应表的方法是1)每当在该对应表中没有查到需要的诱骗网络或局域网LAN中主机的MAC地址时,则向诱骗网络或局域网LAN中发送ARP请求(arp request)数据报。
2)根据计算机网络中的ARP协议,对来自诱骗网络和局域网LAN的数据报进行检测,判断其是否为ARP应答(arp repley)数据报;3)如果是则取出发送者MAC地址和IP地址,存入MAC与IP地址对应表。
实施例本发明系统如图3所示。它由普通PC机A1-A4构成,其中PC机A1模仿INTERNET数据源,设定其IP地址为10.10.139.10、MAC地址为00:05:5d:e7:70:94。PC机A3为诱骗网络,设定其IP地址为192.186.1.1、MAC地址为00:05:5d:e8:52:75(诱骗网络可以由普通的PC机安装操作系统构成,也可以在此基础上,再通过编程模仿一个局域网对用户提供服务,并捕捉用户的行为,进行分析统计等处理)。被保护网络为PC机A4(它可以是一台,也可以是多台PC机构成的局域网),设定其IP地址为192.186.1.1,MAC地址为00:e0:4c:89:eb:a0。系统的算法可通过图4的流程图实现,该流程图中的HanleOutP函数对发往Internet的包做一些MAC地址的处理工作,主要是偷换源MAC地址和维护IP地址与MAC地址的对应表,该表的每个表项包括一个IP地址和对应的两个MAC地址诱骗网络的主机MAC地址(HoneyMac)和局域网中主机MAC地址(ProdMac)。HanleOutP函数的算法流程图见图5。
图4中的HanleSusP函数主要将可疑数据报的目的MAC地址改为HoneyMac,其算法流程图见图6。
本发明的发明点就在于在它们之间设置了重定向模块(Redirectmodule),它由PC机A2构成,它有三个网络接口,分别为eth0、eth1和eth2,并分别与PC机A1、A3和A4相连。
本发明方法的具体工作过程如下1、如果数据来自INTERNET,即PC机A1,则通过eth0接口进入重定向模块,重定向模块检查其源地址是否在可疑IP列表中,检查处理方法如下a)如果是在可疑IP列表中,将其目的MAC地址替换为诱骗网络(Honeypot)对应主机的MAC地址00:05:5d:e8:52:75,通过网络接口eth1发往诱骗网络,即PC机A3。
b)如果不是在可疑IP列表中,按入侵检测系统(如开放源代码入侵检测系统SNORT)的检测规则进行检测(对于商用入侵检测系统或防火墙只需开发商提供其开发接口即可)。检测方法为I)如果检测规则不匹配,则说明该数据报是正常的,通过网络接口eth2发往要保护的网络,即PC机A4。
II)如果规则匹配,则说明该数据报是可疑的,把其源IP地址加入可疑IP列表,并打上时间戳,将其目的MAC地址替换为诱骗网络(Honeypot)对应主机的MAC地址00:05:5d:e8:52:75,然后通过网络接口eth1发往Honeypot,即PC机A3。
2、如果数据报来自保护的网络,即PC机A4,则可直接从Internet接口,即接口eth0发送出去。
3、如果数据报来自Honeypot,即PC机A3,将其源MAC地址替换要保护的网络中对应主机的MAC地址,即PC机A4的MAC地址00:e0:4c:89:eb:a0,再从Internet接口发送出去。
对进入诱骗网络(即PC机A3)的数据报行为进行观察,可以通过系统日志等手段查看入侵者的行为,从而了解入侵者的意图,分析入侵者的行为,发现网络的漏洞,寻找保护网络的方法。
权利要求
1.一种实现诱骗网络数据流重定向的方法,其特征在于它是对进入网络的所有数据进行重定向处理,其规则如下1)、如果数据报来自Internet,查其源地址是否在可疑IP列表中,具体做法是a)如果是在可疑IP列表中,将其目的MAC地址替换为诱骗网络对应主机的MAC地址,再发往诱骗网络;b)如果不是在可疑IP列表中,按防火墙检测规则或入侵检测系统的检测规则进行检测,具体检测方法为I)如果规则不匹配,表明该数据报是正常的,则发往要保护的网络;II)如果规则匹配,则表明该数据报是可疑的,把其源地址加入可疑IP列表,然后发往诱骗网络;2)、如果数据报来自局域网LAN,直接从Internet接口发送出去;3)、如果数据报来自Honeypot,将其源MAC地址通过诱骗网络与局域网LAN中主机的MAC地址与IP地址对应表替换为局域网LAN中对应主机的MAC地址后,再从Internet接口发送出去。
2.按权利要求1所述的一种实现诱骗网络数据流重定向的方法,其特征在于所述可疑IP列表的维护方法是1)建立一个初始为空的可疑IP列表;2)每当检测模块检测到一个可疑的数据报,便记录其源IP地址,同时打上时间戳,以标识当时的时间;3)当列表中可疑的IP地址时间戳到期,则将其IP从列表中删除。
3.按权利要求1所述的一种实现诱骗网络数据流重定向的方法,其特征在于所述诱骗网络与局域网LAN中主机的MAC地址与IP地址对应表的维护方法是1)每当在该对应表中没有查到需要的诱骗网络或局域网LAN中主机的MAC地址时,则向诱骗网络或局域网LAN中发送arp request数据报。2)根据计算机网络中的ARP协议,对来自诱骗网络和局域网LAN的数据报进行检测,判断其是否为arp repley数据报;3)如果是则取出发送者MAC地址和IP地址,存入MAC与IP地址对应表。
全文摘要
本发明涉及一种实现诱骗网络数据流重定向的方法,它对进入网络的所有数据进行重定向处理,如果数据报来自Internet,查其源地址是否在可疑IP列表中,若在可疑IP列表中,将其目的MAC地址替换为诱骗网络对应主机的MAC地址,再发往诱骗网络。若不在可疑IP列表中,按防火墙检测规则或入侵检测系统的检测规则进行检测,如果检测规则不匹配,表明该数据报是正常的,则发往要保护的网络;如果规则匹配,则表明该数据报是可疑的,把其源地址加入可疑IP列表,然后发往诱骗网络。如果数据报来自局域网LAN,直接从Internet接口发送出去。如果数据报来自Honeypot,将其源MAC地址替换为局域网LAN中对应主机的MAC地址后,再从Internet接口发送出去。
文档编号H04L9/00GK1585346SQ20041004487
公开日2005年2月23日 申请日期2004年5月28日 优先权日2004年5月28日
发明者杨庚, 彭雷, 戴云平 申请人:南京邮电学院