专利名称:一种蜜网主动防御系统中的数据控制方法
技术领域:
本发明涉及一种蜜网主动防御系统中的数据控制方法,属于信息安全技术 领域。
技术背景随着网络信息化建设的普及和推广,安全问题逐渐成为目前网络技术领域 的一个研究重点和热点。蜜网系统作为主动式网络防御技术,诱骗黑客对虚拟 系统进行攻击并对黑客攻击和恶意软件活动进行全面深入的跟踪和分析,达到 保护主机的目的。我国1986年发现第一起计算机犯罪。到1990年发现并破获130起, 1993-1994年1200起。根据公安部2008年度全国信息网络安全状况与计算机病 毒疫情调查报告,我国2008年信息网络安全事件发生比例为62.7%,而网络攻 击、端口扫描、网页篡改等黑客案件又占其中的23%。专家预计到2010年我国 的网络安全案件可能达到10万起/年以上;从统计上看国内外黑客攻击的目标主 要包括政府、军工、国防、金融、大型连锁商业网络银行客户等领域里的网站 及数据库,以非法盗取金融和经济信息。近几年,随着网络攻击技术的日新月异,网络防御的代价也越来越大。黑客在 不断地发明创新性的攻击模式,挖掘各种系统的弱点和对付各种防御手段的对策, 攻击软件向功能强大化、智能化、自动化方向逐步发展。僵尸网络对在线商务 网站进行拒绝服务攻击,发送垃圾邮件推销各类垃圾商品,架设钓鱼网站欺诈 并盗用互联网用户的敏感信息,从而获取现实经济利益的行为也越来越频繁。 为了维护网络环境的安全,作为主动防御技术的蜜网在近几年有了重大发展。蜜网主动防御系统通过故意暴露系统漏洞吸引攻击者,捕获攻击数据,分 析追踪攻击行为,为进一步对恶意行为进行控制提供了有效技术措施,而这些 主动欺骗攻击者的防御思想在安全防御领域发挥了其他技术(防火墙,入侵检 测系统)不可替代的作用。蜜网的核心技术需求之一是数据控制。通过数据控制能够确保黑客不能利 用蜜网危害第三方网络的安全,以减轻蜜网架设的风险,提高自身的防御性; 数据控制是对攻击者在攻陷蜜罐后利用蜜罐向第三方发起攻击的行为进行限制 的机制,对提高蜜网自身的防御性具有重要作用。通过数据控制技术可以有效 降低蜜网带来的后期安全风险,加强蜜网自身的防御性。在第三代蜜网标准中, 虽然蜜网通过防火墙对流经虚拟蜜网的数据流进行了控制,但是这种控制技术 更多依赖于已知攻击特征模式的数据在单位时间内超过所设定的阈值而产生报 警的思想,对于已知的蠕虫攻击和拒绝服务攻击能起到一定的作用。现有蜜网 技术对故意放缓攻击速率以期绕过防火墙控制的未知攻击行为或隐蔽型攻击行 为不能发现,并且对慢速攻击行为进行智能辨别也束手无策,有可能误将黑客3精心构造的恶意数据放行。 发明内容本发明的目的是克服现有技术中存在的不足,提供一种对蜜网系统的数据 控制的方法,即采用一种多轮检测机制来改进蜜网在以上方面的不足,并且通 过分析各种攻击行为方式之间的不同之处有针对性地加以控制,使得高效蜜网 防御系统能够对慢速攻击数据流进行分类识别。按照本发明提供的技术方案, 一种蜜网主动防御系统中的数据控制方法包 括如下步骤(1) 在局域网的边界入口处放置检测和抑制设备,监测进出的数据流,抓 取失败连接请求数据包,每当收到失败连接请求数据包就根据其中的IP源地址 生成一条记录,并将该记录存入短期检测表里,同时判断该记录是否己存入过; 短期计数器统计局域网内同一条记录在规定的较短单位时间内存入短期检测表 的次数。(2) 判断是否短期计数器超过阈值,即短期计数器超时并且对某个IP源地 址的计数值超过门限值,如果是,则认为检测到蠕虫异常行为,对该可疑IP源 地址发出的数据包进行抑制,如果否,则将存入短期检测表里的该条记录存入 长期检测表里,同时判断该记录是否已存入过。(3) 长期计数器统计局域网内同一条记录在规定的较长单位时间内存入长 期检测表的次数;当某条记录中对应的IP源地址发生一次正常连接请求时,长 期计数器对该记录的计数值减1。(4) 判断是否长期计数器超过阈值,即长期计数器超时并且对某个IP源地 址的计数值超过门限值,如果是,则认为检测到慢速蠕虫异常行为,对该可疑 IP源地址发出的数据包进行抑制,如果否,则对该IP源地址发出的数据包放行。所述短期检测表用于存储局域网内每个IP源地址在规定的较短单位时间内 的失败连接记录;如果存入短期检测表的记录已存在,则短期计数器对该记录 的计数值加l,否则计数值等于l。所述长期检测表用于存储局域网内到达长期检测表的IP源地址在规定的较 长单位时间内的失败连接记录;如果存入长期检测表的记录已存在,则长期计 数器对该记录的计数值加1;否则计数值等于l。本发明的优点是能够识别故意放缓攻击速率以期绕过防火墙控制的未知 攻击行为或隐蔽型攻击行为,识别隐蔽型攻击行为和慢速攻击行为,特别能够 分析鉴别黑客发明的新的攻击行为模式;有益于网络安全管理人员早期检测发 现异常攻击行为,研究黑客行为模式,提取恶意样本,帮助网络安全管理人员 定位可疑主机、分析数据、部署特定安全策略;对于帮助公安机关侦破黑客案 件,防范黑客攻击我国政府、军工、国防、金融、大型连锁商业的网站窃取政 治经济信息具有重要意义。
图1是本发明所述方法的流程图。
具体实施方式
下面结合附图和实施例对本发明作进一步说明。本发明旨在提供一种先进的蜜网防御系统中的数据控制方法,在蜜网的体 系构架中使用多轮检测机制,完善数据控制和攻击行为特征分类技术;以解决 困扰蜜网工作效率的数据控制的关键问题。本发明通过分析各种攻击行为方式之间的不同之处有针对性地加以控制, 使得高效蜜网防御系统能够对慢速攻击数据流进行分类识别。传统蜜网对故意 放缓攻击速率以期绕过防火墙控制的未知攻击行为不够智能化,并且对隐蔽型 攻击行为进行智能辨别也束手无策。本发明通过分析不同攻击行为之间本质的 行为差别,弓I入多轮检测机制提高数据控制的效率。为了改善目前多数蜜网数据控制机制不够完善的窘境,同时为了阐述的清 晰方便,本发明就目前网络安全领域威胁最大的蠕虫攻击行为进行说明。针对 蠕虫检测防御策略对慢速隐蔽性蠕虫无能为力的窘境,本发明引入了两个存储 表一一短期检测表和长期检测表,分别存储较短时间和较长时间内的失败连接 记录,这样做的目的是为了对在短期检测表内如果慢速隐蔽性蠕虫病毒在计数 器没有超过预先设定的阈值时,我们就把相应的记录放入长期检测表中进行较 长时间的累加检测,最终达到甄别病毒的目的。我们对失败连接进行计数统计,短期计数器对每个IP源地址(即发出连接 请求的IP地址)的记录都有一个计数统计,当短期计数器超过阈值时认为检测 到蠕虫异常行为,对该IP源地址发出的数据包进行抑制,但当短期计数器没有 超过阈值时,开始触发多轮检测机制,将该IP源地址的记录存入长期检测表里, 长期计数器对每个IP源地址的记录也都有一个计数统计,当长期计数器超时并 且计数值超过门限值时,我们认为检测到蠕虫异常行为,进行抑制,如果没有 超时,认为该数据包正常可以放行。本发明的多轮检测机制,其核心思想是导入多个存储表分别存储较短时间 和较长时间内的异常连接记录,这样做的目的是为了对在较短时间内如果蠕虫 型恶意攻击数据没有超过预先设定的阈值以期躲避防火墙控制,就把相应的记 录放入长期检,表中进行较长时间的累加检测。如图1所示我们在局域网的边界入口处放置检测和抑制设备监测进出的数据流。在抓 取数据包时,我们利用Linux平台下的tcpdump工具进行抓包,每当收到失败连 接数据包就根据其中的IP源地址生成一条记录,如下表所示记录1源地址计数值存在时间记录2源地址计数值存在时间所述存在时间记载了该记录存在于短期检测表或长期检测表的时间,可以 用于统计在每个时间点对该记录的计数值。短期检测表用于存储较短时间内的 失败连接记录,如果记录已存入则每个局域网内IP源地址在单位时间内失败连 接次数的短期计数值(即短期计数器的计数值)加1,没存入则令短期计数值为 1。做短期计数器超时并且计数值超过门限值(即超阈值)的判断,如果超过阈 值时认为检测到蠕虫异常行为,对该IP源地址发出的数据包进行抑制,如果没5超时也先不对其放行,而是触发多轮检测机制,将其添加到长期检测表,将其 放到较长时间内的失败连接记录里,进行较长时间的累加检测。对这些记录进 行判断,如果记录已存入则该记录的长期计数值(即长期计数器的计数值)增 l,如果记录没有被存入,则令长期计数值为l。特别的,当检测到长期检测表里 的记录发生一次正常连接请求时,判断此前发生过正常用户出现的偶然失误行 为,长期计数值减l。接着判断是否长期计数器超时并且计数值超过门限值,在规定的较长时间 内若该记录的累加超过阈值,我们就认为这是一种慢速蠕虫的扫描行为,对该 记录对应的数据包进行抑制,如果没有超过阈值时则对该数据包放行。
权利要求
1、一种蜜网主动防御系统中的数据控制方法,其特征是,所述方法包括如下步骤(1)在局域网的边界入口处放置检测和抑制设备,监测进出的数据流,抓取失败连接请求数据包,每当收到失败连接请求数据包就根据其中的IP源地址生成一条记录,并将该记录存入短期检测表里,同时判断该记录是否已存入过;短期计数器统计局域网内同一条记录在规定的较短单位时间内存入短期检测表的次数;(2)判断是否短期计数器超过阈值,即短期计数器超时并且对某个IP源地址的计数值超过门限值,如果是,则认为检测到蠕虫异常行为,对该可疑IP源地址发出的数据包进行抑制,如果否,则将存入短期检测表里的该条记录存入长期检测表里,同时判断该记录是否已存入过;(3)长期计数器统计局域网内同一条记录在规定的较长单位时间内存入长期检测表的次数;当某条记录中对应的IP源地址发生一次正常连接请求时,长期计数器对该记录的计数值减1;(4)判断是否长期计数器超过阈值,即长期计数器超时并且对某个IP源地址的计数值超过门限值,如果是,则认为检测到慢速蠕虫异常行为,对该可疑IP源地址发出的数据包进行抑制,如果否,则对该IP源地址发出的数据包放行。
2、 如权利要求l所述的蜜网主动防御系统中的数据控制方法,其特征是 所述短期检测表用于存储局域网内每个IP源地址在规定的较短单位时间内的失 败连接记录;如果存入短期检测表的记录已存在,则短期计数器对该记录的计 数值加l,否则计数值等于l。
3、 如权利要求l所述的蜜网主动防御系统中的数据控制方法,其特征是-所述长期检测表用于存储局域网内到达长期检测表的IP源地址在规定的较长单 位时间内的失败连接记录;如果存入长期检测表的记录已存在,则长期计数器 对该记录的计数值加l;否则计数值等于l。
全文摘要
本发明涉及一种蜜网主动防御系统中的数据控制方法,对失败连接进行计数统计,短期计数器对每个IP源地址的记录都有一个计数统计,当短期计数器超过阈值时认为检测到蠕虫异常行为,对该IP源地址发出的数据包进行抑制,但当短期计数器没有超过阈值时,开始触发多轮检测机制,将该IP源地址的记录存入长期检测表里,当长期计数器超时并且计数值超过门限值时,我们认为检测到蠕虫异常行为,进行抑制,如果没有超时,认为该数据包正常可以放行。其优点是能够识别故意放缓攻击速率以期绕过防火墙控制的未知攻击行为或隐蔽型攻击行为,识别隐蔽型攻击行为和慢速攻击行为,特别能够分析鉴别黑客发明的新的攻击行为模式。
文档编号H04L29/06GK101557394SQ20091002935
公开日2009年10月14日 申请日期2009年4月10日 优先权日2009年4月10日
发明者雄 扬, 朱宇光, 涛 段, 明 祝 申请人:无锡智高志科技有限公司