专利名称:嵌入式病毒捕获设备和电路板的制作方法
技术领域:
本发明涉及网络安全技术领域,特别是涉及一种嵌入式病毒捕获设备和电路 板。
背景技术:
当前互联网对于捕获恶意代码病毒的手段有很多,蜜罐技术被认为是目前最有 效的工具之一。一直以来,蜜罐都是以软件形态发布,安装在X86架构的计算机,然后 部署到互联网上。当互联网上黑客或恶意代码扫描到这台主机的存在后,会进行远程攻 击,完成恶意代码的传播。这时蜜罐会保留黑客在这台主机的行为并保存恶意代码。而 自身实际运行状态并未受到恶意代码攻击的影响。而这样一台蜜罐机的成本是一台PC的 价格,并且携带不便。在现有技术中,TheHoneynetProject (国际著名蜜罐研究组织)的众多开源项 目运行在UNIX服务器上,且提供了足够的Windows系统服务模拟来愚弄大多数自动攻 击,如Honeytrap、honeybow等。新西兰的蜜罐项目在Debian系统上安装了猪笼草蜜罐 的0.17版本。这个蜜罐侦听了一个/24前缀的255个IP地址。在五天的时间里,它就 搜集到了 74个病毒样本。在上述蜜罐项目中,均能实现捕获病毒样本的目的,但现存的任何一款蜜罐都 有一个共性——难于管理和维护。几乎所有的蜜罐程序都有较复杂的安装配置步骤,且 对系统地依赖很高。目前蜜罐安装部署的方式主要是有两种PC机直接配置或在虚拟机 种部署。这样虽然能充分发挥蜜罐的作用,同时也增加了成本,尤其是在部署数量很大 的时候尤其明显。PC部署的另外一些问题也很明显,如占用物理空间大、功耗高,若 集群部署,还需额外提供附带设备,机架、UPS、散热设备等。
发明内容
本发明提供一种嵌入式病毒捕获设备和电路板,用于快速高效部署蜜罐系统。 通过移动设备部署的蜜罐,能够有效解决蜜罐携带不便、难于管理和维护的问题。一种嵌入式病毒捕获设备,包括嵌入式CPU、第一网络模块、RAM模块、Flash 模块;
所述第一网络模块,受嵌入式CPU控制,用于捕获来自外部网上主机的数据; 所述嵌入式CPU,用于将第一网络模块捕获的数据读取到RAM模块,加载Flash模 块中的蜜罐程序,使用蜜罐程序对第一网络模块捕获的数据进行特征匹配和漏洞识别的 分析,并产生病毒样本和模拟系统漏洞的过程中攻击源攻击行为的日志,记录恶意程序 文件对应的URL列表;
所述RAM模块,受嵌入式CPU控制,用于在嵌入式CPU加载蜜罐程序时,向蜜罐 程序提供和扩展数据分析和模拟漏洞的缓存环境,并接收和缓存来自第一网络模块捕获 的数据;所述Flash模块,受嵌入式CPU控制,用于存储蜜罐程序;
所述嵌入式病毒捕获设备,还包括第二网络模块,受嵌入式CPU控制,用于捕获 来自局域网上主机的数据;
所述嵌入式CPU,还将第二网络模块捕获接收的数据读取到RAM模块,加载Flash 模块中的蜜罐程序,使用蜜罐程序对第二网络模块捕获的数据进行特征匹配和漏洞识别 的分析,并产生病毒样本和模拟系统漏洞的过程中攻击源攻击行为的日志,记录恶意程 序文件对应的URL列表;
所述RAM模块,还接收和缓存来自第二网络模块捕获的数据。进一步的,第一网络模块或第二网络模块捕获的数据包括恶意程序文件和网 络流数据;
所述恶意程序文件,为嵌入式CPU使用蜜罐程序模拟系统漏洞时下载到RAM模块中 的恶意行为对应URL涉及的文件;
所述网络流数据,为第一网络设备模块或第二网络模块捕获的所有流数据以及捕获 恶意程序文件中产生的流数据。进一步的,嵌入式CPU使用特征串识别捕获的数据是否包含恶意内容,所述特 征串是包含恶意内容特征的特征串;
如果捕获的数据包含恶意内容,则产生病毒样本和模拟系统漏洞的过程中攻击源攻 击行为的日志,记录恶意程序文件对应的URL列表,否则,丢弃捕获的数据。所述嵌入式病毒捕获设备,还包括外部存储模块,用于存储病毒样本、日志 和记录恶意程序文件对应的URL列表;
嵌入式CPU还将产生的病毒样本、日志和记录的恶意程序文件对应的URL列表暂存 到Flash模块,并定期将Flash模块中暂存的病毒样本、日志和URL列表存储到外部存储 模块。所述嵌入式病毒捕获设备,还包括输出模块,受嵌入式CPU控制,指示嵌入 式病毒设备的工作状态;
嵌入式CPU还控制输出模块指示嵌入式病毒设备的工作状态。所述嵌入式病毒捕获设备,还包括输入模块,用于触发嵌入式CPU对嵌入式 病毒捕获设备进行升级;
嵌入式CPU还根据输入模块的触发,对嵌入式病毒捕获设备进行升级。进一步的,所述Flash模块还存储操作系统、配置文件、设备日志和服务程序; 所述配置文件,保存应用服务器远程控制及管理嵌入式病毒捕获设备的配置信息; 所述设备日志,记录所述嵌入式病毒捕获设备的运行状态和错误状态及错误自恢复
的处理信息;
所述服务程序,包括SSH服务程序、LED输出控制程序、升级程序、与服务器交 互服务程序和自检测/自修复服务程序。
一种电路板,其特征在于,包括嵌入式CPU、RAM、Flash、网卡芯片;
网卡芯片,受嵌入式CPU控制,用于捕获来自网络主机上的数据;
嵌入式CPU,与RAM、Flash和网卡芯片通过总线连接,用于将网卡芯片捕获的数据读取到RAM,加载Flash中的蜜罐程序,使用蜜罐程序对网卡芯片捕获的数据进行特 征匹配和漏洞识别的分析,并产生病毒样本和模拟系统漏洞的过程中攻击源攻击行为的 日志,记录恶意程序文件对应的URL列表;
RAM,受嵌入式CPU控制,用于在嵌入式CPU加载蜜罐程序时,向蜜罐程序提供和 扩展数据分析和模拟漏洞的缓存环境,并接收和缓存来自网卡芯片捕获的数据; Flash,受嵌入式CPU控制,用于存储蜜罐程序。进一步的,嵌入式CPU是ARM体系架构的嵌入式CPU。所述电路板,还包括外部存储接口,嵌入式CPU通过外部存储接口将病毒样 本、模拟系统漏洞的过程中攻击源攻击行为的日志和记录的恶意程序文件对应的URL列 表存储到外部存储模块中。进一步的,外部存储接口包括SD卡接口、CF卡接口、USB卡接口、TF卡接口 和便携式存储设备接口中的至少一种接口。所述电路板,还包括状态指示灯,受嵌入式CPU控制,用于指示所述电路板 所在的嵌入式病毒捕获设备的工作状态。进一步的,状态指示灯包括LED指示灯、数字管指示灯和LCD指示灯中的至少 一种指示灯。所述电路板,还包括输入控制开关,与嵌入式CPU连接,用于触发嵌入式 CPU对所述电路板所在的嵌入式病毒捕获设备进行升级。
本发明提供了一种嵌入式病毒捕获设备和电路板。所述嵌入式病毒捕获设备采用 ARM架构的蜜罐程序捕获病毒样本,用于快速高效部署蜜罐系统,并在一定程度上记录 病毒的行为和特征,建立恶意程序的捕获体系。相对X86架构,采用ARM架构的嵌入 式硬件设备具有成本低,体积小,功耗低,散热好,无噪音,部署简单,携带方便的优 点。X86架构下运行的病毒在ARM架构下无法运行,使得诱捕的系统不会被病毒攻击的 瘫痪而无法正常工作。
为了更清楚地说明本发明或现有技术中的技术方案,下面将对实施例或现有技 术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发 明中记载的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提 下,还可以根据这些附图获得其他的附图。图1为本发明提供的嵌入式病毒捕获设备的硬件整体框架图。图2为本发明提供的嵌入式病毒捕获设备的启动流程图。图3为本发明提供的嵌入式病毒捕获设备自启动/自恢复服务工作流程图。图4为本发明提供的嵌入式病毒捕获设备的工作原理示意图。
具体实施例方式为了使本技术领域的人员更好地理解本发明实施例中的技术方案,并使本发明的上述目的、特征和优点能够更加明显易懂,下面结合附图对本发明中技术方案作进一 步详细的说明。本发明提供一种嵌入式病毒捕获设备,解决了采用ARM架构的蜜罐系统捕获病 毒样本的问题。首先介绍本发明提供的一种嵌入式病毒捕获设备,如图1所示,包括嵌入式 CPUlOU第一网络模块102、RAM模块104、Flash模块105 ;
所述第一网络模块102,受嵌入式CPUlOl控制,用于捕获来自外部网上主机的数 据,并与管理中心的应用服务器进行通信;
所述嵌入式CPU101,用于将第一网络模块102捕获的数据读取到RAM模块104,加 载Flash模块105中的蜜罐程序,使用蜜罐程序对第一网络模块102捕获的数据进行特征 匹配和漏洞识别的分析,并产生病毒样本和模拟系统漏洞的过程中攻击源攻击行为的日 志,记录恶意程序文件对应的URL列表;
所述RAM模块104,受嵌入式CPUlOl控制,用于在嵌入式CPUlOl加载蜜罐程序 时,向蜜罐程序提供和扩展数据分析和模拟漏洞的缓存环境,并接收和缓存来自第一网 络模块102捕获的数据;
所述Flash模块105,受嵌入式CPUlOl控制,用于存储蜜罐程序。所述嵌入式病毒捕获设备,还包括第二网络模块103,受嵌入式CPUlOl控 制,用于捕获来自局域网上主机的数据;
所述嵌入式CPU101,还将第二网络模块捕获的数据读取到RAM模块104,加载 Flash模块105中的蜜罐程序,使用蜜罐程序对第二网络模块103捕获的数据进行特征 匹配和漏洞识别的分析,并产生病毒样本和模拟系统漏洞的过程中攻击源攻击行为的日 志,记录恶意程序文件对应的URL列表;
所述RAM模块104,还接收和缓存来自第二网络模块103捕获的数据。进一步的,所述管理中心,用于管理嵌入式病毒捕获设备,与所述嵌入式病毒 捕获设备通信的信息包括所述嵌入式病毒捕获设备的配置与管理、调试、策略和转储 数据。进一步的,第一网络模块102或第二网络模块103捕获的数据包括恶意程序文 件和网络流数据;
所述恶意程序文件,为嵌入式CPUlOl使用蜜罐程序模拟系统漏洞时下载到RAM模 块104中的恶意行为对应URL涉及的文件;
所述网络流数据,为第一网络设备模块102或第二网络模块103捕获的所有流数据以 及捕获恶意程序文件中产生的流数据。进一步的,嵌入式CPUlOl使用特征串识别捕获的数据是否包含恶意内容,所述 特征串是包含恶意内容特征的特征串;
如果捕获的数据包含恶意内容,则产生病毒样本和模拟系统漏洞的过程中攻击源攻 击行为的日志,记录恶意程序文件对应的URL列表,否则,丢弃捕获的数据。所述嵌入式病毒捕获设备,还包括外部存储模块106,用于存储病毒样本、 日志和记录恶意程序文件对应的URL列表;
嵌入式CPUlOl还将产生的病毒样本、日志和记录的恶意程序文件对应的URL列表暂存到Flash模块105,并定期将Flash模块105中暂存的病毒样本、日志和URL列表存 储到外部存储模块106。所述嵌入式病毒捕获设备,还包括输出模块107,受嵌入式CPUlOl控制,指 示嵌入式病毒设备的工作状态;
嵌入式CPUlOl还控制输出模块指示嵌入式病毒设备的工作状态。所述嵌入式病毒捕获设备,还包括输入模块108,用于触发嵌入式CPUlOl对 嵌入式病毒捕获设备进行升级;
嵌入式CPUlOl还根据输入模块的触发,对嵌入式病毒捕获设备进行升级。进一步的,所述Flash模块105还存储操作系统、配置文件、设备日志和服务程 序;
所述配置文件,保存应用服务器远程控制及管理嵌入式病毒捕获设备的配置信息; 所述设备日志,记录所述嵌入式病毒捕获设备的运行状态和错误状态及错误自恢复 的处理信息;
所述服务程序,包括SSH服务程序、LED输出控制程序、升级程序、与服务器交 互服务程序和自检测/自修复服务程序。
一种电路板,其特征在于,包括嵌入式CPU、RAM、Flash、网卡芯片;
网卡芯片,受嵌入式CPU控制,用于捕获来自网络主机上的数据; 嵌入式CPU,与RAM、Flash和网卡芯片通过总线连接,用于将网卡芯片捕获的数 据读取到RAM,加载Flash中的蜜罐程序,使用蜜罐程序对网卡芯片捕获的数据进行特 征匹配和漏洞识别的分析,并产生病毒样本和模拟系统漏洞的过程中攻击源攻击行为的 日志,记录恶意程序文件对应的URL列表;
RAM,受嵌入式CPU控制,用于在嵌入式CPU加载蜜罐程序时,向蜜罐程序提供和 扩展数据分析和模拟漏洞的缓存环境,并接收和缓存来自网卡芯片捕获的数据; Flash,受嵌入式CPU控制,用于存储蜜罐程序。进一步的,嵌入式CPU是ARM体系架构的嵌入式CPU。所述电路板,还包括外部存储接口,嵌入式CPU通过外部存储接口将病毒样 本和模拟系统漏洞的过程中攻击源攻击行为的日志,记录恶意程序文件对应的URL列表 存储到外部存储模块中。进一步的,外部存储接口包括SD卡接口、CF卡接口、USB卡接口、TF卡接口 和便携式存储设备接口中的至少一种接口。所述电路板,还包括状态指示灯,受嵌入式CPU控制,用于指示所述电路板 所在的嵌入式病毒捕获设备的工作状态。进一步的,状态指示灯包括LED指示灯、数字管指示灯和LCD指示灯中的至少 一种指示灯。所述状态指示灯与错误状态对应关系为
工作指示灯闪烁次数错误定义2系统异常3网络拨号异常4网络能拨号但网络不能连通
权利要求
1. 一种嵌入式病毒捕获设备,其特征在于,包括嵌入式CPU、第一网络模块、RAM 模块、Flash模块;所述第一网络模块,受嵌入式CPU控制,用于捕获来自外部网上主机的数据;所述嵌入式CPU,用于将第一网络模块捕获的数据读取到RAM模块,加载Flash模 块中的蜜罐程序,使用蜜罐程序对第一网络模块捕获的数据进行特征匹配和漏洞识别的 分析,并产生病毒样本和模拟系统漏洞的过程中攻击源攻击行为的日志,记录恶意程序 文件对应的URL列表;所述RAM模块,受嵌入式CPU控制,用于在嵌入式CPU加载蜜罐程序时,向蜜罐 程序提供和扩展数据分析和模拟漏洞的缓存环境,并接收和缓存来自第一网络模块捕获 的数据;所述Flash模块,受嵌入式CPU控制,用于存储蜜罐程序。
2.如权利要求1所述的嵌入式病毒捕获设备,其特征在于,还包括第二网络模 块,受嵌入式CPU控制,用于捕获来自局域网上主机的数据;所述嵌入式CPU,还将第二网络模块捕获的数据读取到RAM模块,加载Flash模块 中的蜜罐程序,使用蜜罐程序对第二网络模块捕获的数据进行特征匹配和漏洞识别的分 析,并产生病毒样本和模拟系统漏洞的过程中攻击源攻击行为的日志,记录恶意程序文 件对应的URL列表;所述RAM模块,还接收和缓存来自第二网络模块接收的数据。
3.如权利要求1或2所述的嵌入式病毒捕获设备,其特征在于,第一网络模块或第二 网络模块捕获的数据包括恶意程序文件和网络流数据;所述恶意程序文件,为嵌入式CPU使用蜜罐程序模拟系统漏洞时下载到RAM模块中 的恶意行为对应URL涉及的文件;所述网络流数据,为第一网络设备模块或第二网络模块捕获的所有流数据以及捕获 恶意程序文件中产生的流数据。
4.如权利要求1或2所述的嵌入式病毒捕获设备,其特征在于,嵌入式CPU使用特 征串识别捕获的数据是否包含恶意内容,所述特征串是包含恶意内容特征的特征串;如果捕获的数据包含恶意内容,则产生病毒样本和模拟系统漏洞的过程中攻击源攻 击行为的日志,记录恶意程序文件对应的URL记录,否则,丢弃捕获的数据。
5.如权利要求1或2所述的嵌入式病毒捕获设备,其特征在于,还包括外部存储模 块,用于存储病毒样本、日志和记录恶意程序文件对应的URL列表;嵌入式CPU还将产生的病毒样本、日志和记录的恶意程序文件对应的URL列表暂存 到Flash模块,并定期将Flash模块中暂存的病毒样本、日志和URL列表存储到外部存储 模块。
6.如权利要求1或2所述的嵌入式病毒捕获设备,其特征在于,还包括输出模块, 受嵌入式CPU控制,指示嵌入式病毒设备的工作状态;嵌入式CPU还控制输出模块指示嵌入式病毒设备的工作状态。
7.如权利要求1或2所述的嵌入式病毒捕获设备,其特征在于,还包括输入模块, 用于触发嵌入式CPU对嵌入式病毒捕获设备进行升级;嵌入式CPU还根据输入模块的触发,对嵌入式病毒捕获设备进行升级。
8.如权利要求1或2所述的嵌入式病毒捕获设备,其特征在于,所述Flash模块还存 储操作系统、配置文件、设备日志和服务程序;所述配置文件,保存应用服务器远程控制及管理嵌入式病毒捕获设备的配置信息;所述设备日志,记录所述嵌入式病毒捕获设备的运行状态和错误状态及错误自恢复 的处理信息;所述服务程序,包括SSH服务程序、LED输出控制程序、升级程序、与服务器交 互服务程序和自检测/自修复服务程序。
9.一种电路板,其特征在于,包括嵌入式CPU、RAM、Flash、网卡芯片;网卡芯片,受嵌入式CPU控制,用于捕获来自网络主机上的数据;嵌入式CPU,与RAM、Flash和网卡芯片通过总线连接,用于将网卡芯片捕获的数 据读取到RAM,加载Flash中的蜜罐程序,使用蜜罐程序对网卡芯片捕获的数据进行特 征匹配和漏洞识别的分析,并产生病毒样本和模拟系统漏洞的过程中攻击源攻击行为的 日志,记录恶意程序文件对应的URL列表;RAM,受嵌入式CPU控制,用于在嵌入式CPU加载蜜罐程序时,向蜜罐程序提供和 扩展数据分析和模拟漏洞的缓存环境,并接收和缓存来自网卡芯片捕获的数据;Flash,受嵌入式CPU控制,用于存储蜜罐程序。
10.如权利要求9所述的电路板,其特征在于,嵌入式CPU是ARM体系架构的嵌入 式 CPU。
11.如权利要求9所述的电路板,其特征在于,还包括外部存储接口,嵌入式CPU 通过外部存储接口将病毒样本、模拟系统漏洞的过程中攻击源攻击行为的日志和记录的 恶意程序文件对应的URL列表存储到外部存储模块中。
12.如权利要求11所述的电路板,其特征在于,外部存储接口包括SD卡接口、CF卡 接口、USB卡接口、TF卡接口和便携式存储设备接口中的至少一种接口。
13.如权利要求9所述的电路板,其特征在于,还包括状态指示灯,受嵌入式CPU 控制,用于指示所述电路板所在的嵌入式病毒捕获设备的工作状态。
14.如权利要求13所述的电路板,其特征在于,状态指示灯包括LED指示灯、数字 管指示灯和LCD指示灯中的至少一种指示灯。
15.如权利要求9所述的电路板,其特征在于,还包括输入控制开关,与嵌入式 CPU连接,用于触发嵌入式CPU对所述电路板所在的嵌入式病毒捕获设备进行升级。
全文摘要
本发明公开了一种嵌入式病毒捕获设备,该设备包括嵌入式CPU、第一网络模块、RAM模块、Flash模块,设备还包括第二网络模块、外部存储模块、输出模块和输入模块。本发明还公开了一种电路板,该电路板包括嵌入式CPU、RAM、Flash、网卡芯片,电路板还包括外部存储接口、状态指示灯和输入控制开关。本发明采用ARM架构,ARM设备具有成本低,体积小,功耗低,散热好,无噪音,部署简单,携带方便的优点。
文档编号H04L29/06GK102014138SQ201010591298
公开日2011年4月13日 申请日期2010年12月16日 优先权日2010年12月16日
发明者桑胜田, 王维, 赵长宇, 黄显澍 申请人:北京安天电子设备有限公司