专利名称:基于高交互蜜罐的网络安全系统及实现方法
技术领域:
本发明涉及计算机技术领域,特别是涉及ー种基于高交互蜜罐的网络安全系统及实现方法。
背景技术:
在现有技术中,蜜罐技术是ー种网络诱捕技术,被广泛用于网络安全领域,特别是恶意代码的捕获、以及网络攻击事件的跟踪分析。从蜜罐数据的交互程度可以将蜜罐技术分为两类低交互蜜罐和高交互蜜罐。低 交互蜜罐采用模拟技术,没有真实的操作系统和服务,交互程度低,且只能根据已知漏洞模拟操作系统和应用程序的应答行为;高交互蜜罐运行在真实的操作系统上,部署真实的应用程序,可以构造真实的服务环境,捕获更丰富的攻击数据。由于蜜罐环境需要定期恢复到干净状态,因此需要定期重置,为了便于管理和恢复,高交互蜜罐环境一般部署在虚拟机上,而不是直接运行在物理主机上。目前,高交互蜜罐方案一般运行在虚拟机环境中,通过一定的系统监控方法,收集蜜罐上特定种类的攻击日志,这种单一的日志获取方式根本无法形成对攻击事件进行分析的能力,也就无法发现未知事件。具体地,在现有技术中,蜜罐应用的主要不足表现在I、基于低交互蜜罐模拟受害主机,因此只能捕获针对已知漏洞的攻击日志。2、即使采用了高交互蜜罐,但对攻击日志的捕获和关联分析能力不足,无法实现攻击场景的自动关联与还原,难以从众多的事件日志中发现未知攻击。3、仅以被动方式捕获攻击者在蜜罐上留下的痕迹,不能主动分析提取由攻击者掌控的分布在互联网上的恶意资源。
发明内容
为了解决上述问题,本发明提供一种基于高交互蜜罐的网络安全系统及实现方法,能够从众多高交互蜜罐日志中自动发现未知攻击事件、并还原攻击场景,并支持对攻击者掌控的互联网上的恶意下载资源进行主动探測。本发明提供一种基于高交互蜜罐的网络安全系统,包括上级节点、以及分布式部署于上级节点下的蜜网站点,其中,蜜网站点包括蜜网网关节点、蜜罐节点、以及站点管理节点,蜜网网关节点和蜜罐节点上布置有蜜罐监测模块,站点管理节点上布置有站点关联分析模块,上级节点上布置有汇总分析展示模块;蜜罐监测模块,用于对攻击事件网络行为日志和主机行为日志进行分类采集;站点关联分析模块,用于对攻击事件网络行为日志和主机行为日志进行汇总和自动关联分析,根据自动关联分析结果过滤无效网络告警、捕获已知攻击事件、自动发现未知攻击事件、以及提取隐蔽的互联网恶意资源信息;汇总分析展示模块,用于汇总并统计所有蜜网站点上捕获的已知攻击事件和/或未知攻击事件,为用户展示还原选定攻击事件的场景,井根据隐蔽的互联网恶意资源信息对隐蔽的互联网恶意资源进行自动探測。
优选地,蜜网站点设置至少两块网卡,分别为攻击者可见的网络攻击链路和攻击者不可见的数据采集链路提供服务,其中,网络攻击链路用于实现各类网络安全事件的交互,数据采集链路用于实现蜜罐配置数据的下发以及攻击事件网络行为日志和主机行为日志的分类采集和传输。优选地,蜜罐监测模块具体包括部署于蜜罐节点上的主机监测子模块,用于通过挂钩技术对操作系统进行监控,获取站点管理节点下发的系统白名单,根据系统白名单实时采集操作系统的变化信息,生成标准化格式的主机行为日志,并汇总恶意代码样本文件;部署于蜜网网关节点上的网络监测子模块,用于获取站点管理节点下发的网络检测规则,通过入侵检测技术,根据获取的网络检测规则对流入流出的网络攻击数据进行特征匹配,获取告警事件,根据告警事件生成攻击事件网络行为日志,并提取原始网络数据包。优选地,蜜网网关节点上设置三块网卡,井分别对应于三个网络接ロ 攻击者可见的外网口和内网ロ、以及攻击者不可见的管理ロ,其中,外网ロ与内网ロ构成透明网桥,用于实现网络攻击数据的流入流出,管理ロ用于实现蜜网网关节点配置数据的下发以及攻击事件网络行为日志和原始网络数据包的传输。 优选地,站点关联分析模块具体包括下发子模块,用于向网络监测子模块下发网络检测规则,向主机监测子模块下发系统白名单;汇总子模块,用于通过数据采集链路接收主机监测子模块发送的主机行为日志,对主机行为日志进行解析,生成主机监测日志,并定期删除过期的主机监测日志;通过数据采集链路接收网络监测子模块发送的攻击事件网络行为日志和原始网络数据包,按照标准格式从原始网络数据包中提取网络流信息并保存,基于预先配置的HTTP请求报文及DNS解析请求报文的网络规则,从原始网络数据包中获取相关网络原始报文,并提取相关网络原始报文中的URL信息和IP地址信息,汇总生成包含IP地址信息和URL信息的列表;关联分析子模块,用于根据主机监测日志和攻击事件网络行为日志依次判断攻击事件是否存在、攻击事件是否成功、以及攻击事件属于已知攻击事件还是未知攻击事件,对攻击事件进行提取,并对提取的攻击事件的相关日志进行提取,生成关联事件表。优选地,汇总分析展示模块具体用于为用户展示选定蜜网站点上某个攻击事件的发生过程,按照攻击事件发生的时间序列展示蜜罐节点的主机变化情況;跟踪互联网上已知攻击事件的活跃程度、以及地域分布,对未知攻击事件进行宏观统计和预警;根据关联事件表及规则库信息,更新已有的网络检测规则;提取未知攻击事件的特征,完善网络检测规则。本发明还提供了一种基于高交互蜜罐的网络安全实现方法,包括上级节点、以及分布式部署于上级节点下的蜜网站点,其中,蜜网站点包括蜜网网关节点、蜜罐节点、以及站点管理节点,蜜网网关节点和蜜罐节点上布置有蜜罐监测模块,站点管理节点上布置有站点关联分析模块,上级节点上布置有汇总分析展示模块;步骤1,通过蜜罐监测模块对攻击事件网络行为日志和主机行为日志进行分类采集;步骤2,通过站点关联分析模块对攻击事件网络行为日志和主机行为日志进行汇总和自动关联分析,根据自动关联分析结果过滤无效网络告警、捕获已知攻击事件、自动发现未知攻击事件、以及提取隐蔽的互联网恶意资源信息;步骤3,通过汇总分析展示模块汇总并统计所有蜜网站点上捕获的已知攻击事件和/或未知攻击事件,为用户展示还原选定攻击事件的场景,井根据隐蔽的互联网恶意资源信息对隐蔽的互联网恶意资源进行自动探測。优选地,步骤I具体包括通过部署于蜜罐节点上的主机监测子模块,通过挂钩技术对操作系统进行监控,获取站点管理节点下发的系统白名单,根据系统白名单实时采集操作系统的变化信息,生成标准化格式的主机行为日志,并汇总恶意代码样本文件;通过部署于蜜网网关节点上的网络监测子模块,获取站点管理节点下发的网络检测规则,通过入侵检测技术,根据获取的网络检测规则对流入流出的网络攻击数据进行特征匹配,获取告警事件,根据告警事件生成攻击事件网络行为日志,并提取原始网络数据包。优选地,步骤2具体包括通过下发子模块向网络监测子模块下发网络检测规则,向主机监测子模块下发系统白名単;通过汇总子模块从数据采集链路接收主机监测子模块发送的主机行为日志,对主机行为日志进行解析,生成主机监测日志,并定期删除过期的主机监测日志;通过汇总子模块从数据采集链路接收网络监测子模块发送的攻击事件网络行为日志和原始网络数据包,按照标准格式从原始网络数据包中提取网络流信息并保存,基于预先配置的HTTP请求报文及DNS解析请求报文的网络规则,从原始网络数据包中获取相 关网络原始报文,并提取相关网络原始报文中的URL信息和IP地址信息,汇总生成包含IP 地址信息和URL信息的列表;通过关联分析子模块根据主机监测日志和攻击事件网络行为日志依次判断攻击事件是否存在、攻击事件是否成功、以及攻击事件属于已知攻击事件还是未知攻击事件,对攻击事件进行提取,并对提取的攻击事件的相关日志进行提取,生成关联事件表。优选地,步骤3具体包括为用户展示选定蜜网站点上某个攻击事件的发生过程,按照攻击事件发生的时间序列展示蜜罐节点的主机变化情况;跟踪互联网上已知攻击事件的活跃程度、以及地域分布,对未知攻击事件进行宏观统计和预警;根据关联事件表及规则库信息,更新已有的网络检测规则;提取未知攻击事件的特征,根据提取的特征完善网络检测规则。本发明有益效果如下通过利用高交互蜜罐技术可以捕获未知攻击的特点,基于高交互蜜罐技术构建分布式蜜网,关联分析蜜网采集的各类日志,能够实现对已知、特别是未知攻击事件的自动发现、隐蔽恶意资源的获取、攻击场景的还原和展示,从而提升了高交互蜜罐技术的应用价值。
图I是本发明实施例的基于高交互蜜罐的网络安全系统的结构示意图;图2是本发明实施例的基于高交互蜜罐的网络安全系统的原理示意图;图3是本发明实施例的蜜网站点内三个节点间的数据流的示意图;图4是本发明实施例的基于高交互蜜罐的网络安全实现方法的流程图。
具体实施例方式为了解决现有技术中的上述技术问题,本发明提供了一种基于高交互蜜罐的网络安全系统及实现方法,能够从众多高交互蜜罐日志中自动发现未知攻击事件、并还原攻击场景,并支持对攻击者掌控的互联网上的恶意下载资源进行主动探測。以下结合附图以及实施例,对本发明进行进一歩详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不限定本发明。系统实施例根据本发明的实施例,提供了一种基于高交互蜜罐的网络安全系统,图I是本发明实施例的基于高交互蜜罐的网络安全系统的结构示意图,如图I所示,根据本发明实施例的基于高交互蜜罐的网络安全系统包括蜜罐监测模块10、站点关联分析模块12、以及汇总分析展示模块14,以下对本发明实施例的各个模块进行详细的说明。
具体地,根据本发明实施例的基于高交互蜜罐的网络安全系统包括上级节点、以及分布式部署于上级节点下的蜜网站点,其中,蜜网站点包括蜜网网关节点、蜜罐节点、以及站点管理节点,蜜网网关节点和蜜罐节点上布置有蜜罐监测模块10,站点管理节点上布置有站点关联分析模块12,上级节点上布置有汇总分析展示模块14 ;优选地,蜜网站点设置至少两块网卡,分别为攻击者可见的网络攻击链路和攻击者不可见的数据采集链路提供服务,其中,网络攻击链路用于实现各类网络安全事件的交互,数据采集链路用于实现蜜罐配置数据的下发以及攻击事件网络行为日志和主机行为日志的分类采集和传输。优选地,蜜网网关节点上设置三块网卡,井分别对应于三个网络接ロ 攻击者可见的外网口和内网ロ、以及攻击者不可见的管理ロ,其中,外网ロ与内网ロ构成透明网桥,用于实现网络攻击数据的流入流出,管理ロ用于实现蜜网网关节点配置数据的下发以及攻击事件网络行为日志和原始网络数据包的传输。在实际应用中,蜜网站点中的蜜网网关节点、蜜罐节点、以及站点管理节点中设置网卡的情况略有不同,其中,蜜罐节点设置有两块网卡,一块网卡为攻击者可见的网络攻击链路提供服务,另ー块网卡为攻击者不可见的数据采集链路提供服务。站点管理节点设置有两块网卡,一块用于站点内数据采集,一块用于为蜜网系统的使用者提供web服务和向上级节点回传日志数据;需要说明的是,站点管理节点不包含攻击链路,也就是说网络攻击路径不经过站点管理节点。蜜网网关节点上需要设置有三块网卡,其中两块用来构建透明网桥,作为网络攻击链路,使得网关对攻击者不可见,但同时还可以捕获攻击该蜜网下所有蜜罐节点的网络流量;另ー块作为数据采集链路,攻击者不可见。以下对本发明实施例的蜜罐监测模块10、站点关联分析模块12、以及汇总分析展示模块14进行详细的说明。蜜罐监测模块10,用于对攻击事件网络行为日志和主机行为日志进行分类采集;蜜罐监测模块10具体包括部署于蜜罐节点上的主机监测子模块以及部署于蜜网网关节点上的网络监测子模块。部署于蜜罐节点上的主机监测子模块,用于通过挂钩技术对操作系统进行监控,获取站点管理节点下发的系统白名单,根据系统白名单实时采集操作系统的变化信息,生成标准化格式的主机行为日志,并汇总恶意代码样本文件;部署于蜜网网关节点上的网络监测子模块,用于获取站点管理节点下发的网络检测规则,通过入侵检测技术,根据获取的网络检测规则对流入流出的网络攻击数据进行特征匹配,获取告警事件,根据告警事件生成攻击事件网络行为日志,并提取原始网络数据包。
站点关联分析模块12,用于对攻击事件网络行为日志和主机行为日志进行汇总和自动关联分析,根据自动关联分析结果过滤无效网络告警、捕获已知攻击事件、自动发现未知攻击事件、以及提取隐蔽的互联网恶意资源信息;站点关联分析模块12具体包括下发子模块,用于向网络监测子模块下发网络检测规则,向主机监测子模块下发系统白名单;汇总子模块,用于通过数据采集链路接收主机监测子模块发送的主机行为日志,对主机行为日志进行解析,生成主机监测日志,并定期删除过期的主机监测日志;通过数据采集链路接收网络监测子模块发送的攻击事件网络行为日志和原始网络数据包,按照标准格式从原始网络数据包中提取网络流信息并保存,基于预先配置的HTTP请求报文及DNS解析请求报文(在实际应用中,包括但不限于上述两种请求报文)的网络规则,从原始网络数据包中获取相关网络原始报文,并提取相关网络原始报文中的URL信息和IP地址信息,汇总生成包含IP地址信息和URL信息的列表;
·
关联分析子模块,用于根据主机监测日志和攻击事件网络行为日志依次判断攻击事件是否存在、攻击事件是否成功、以及攻击事件属于已知攻击事件还是未知攻击事件,对攻击事件进行提取,并对提取的攻击事件的相关日志进行提取,生成关联事件表。汇总分析展示模块14,用于汇总并统计所有蜜网站点上捕获的已知攻击事件和/或未知攻击事件,为用户展示还原选定攻击事件的场景,井根据隐蔽的互联网恶意资源信息对隐蔽的互联网恶意资源进行自动探測。汇总分析展示模块14具体用于为用户展示选定蜜网站点上某个攻击事件的发生过程,按照攻击事件发生的时间序列展示蜜罐节点的主机变化情況;跟踪互联网上已知攻击事件的活跃程度、以及地域分布,对未知攻击事件进行宏观统计和预警;根据关联事件表及规则库信息,更新已有的网络检测规则;提取未知攻击事件的特征,完善网络检测规贝1J。综上所述,本发明实施例基于高交互蜜罐技术,实现了对网络扫描攻击活动进行全面捕获的系统架构;基于该系统架构,对攻击活动的网络行为和主机行为变化进行全面记录和关联分析,在关联分析基础上,可对已知和未知的网络安全事件进行告警,并对攻击场景进行自动还原,帮助用户全面掌握当前互联网上扫描探测类型攻击的趋势,跟踪最新的网络攻击方法和攻击源信息,为用户做好网络安全防范和预警工作提供及时、有效的数据。以下结合附图,对本发明实施例的上述技术方案进行详细说明。图2是本发明实施例的基于高交互蜜罐的网络安全系统的原理示意图,如图2所示,在本发明实施例中,主要包括三大功能模块蜜罐监测模块、站点关联分析模块、以及汇总分析展示模块。其中,蜜罐监测模块部署在蜜网站点的网关和蜜罐节点上,支持分布式部署于分布在不同地域的蜜网站点,蜜罐监测模块主要包括网络检测与主机监测两个子模块,分别完成攻击事件网络行为和主机行为日志的分类采集。站点关联分析模块部署在站点管理节点上,实现攻击事件网络行为日志与主机行为日志的汇总和自动关联分析,过滤无效网络告警、自动发现未知攻击事件、提取隐蔽的互联网恶意资源信息。汇总分析展示模块汇总并统计所有蜜网站点上捕获的已知、未知攻击事件,并为用户展示还原选定攻击事件的场景,同时,支持自动探测隐蔽的互联网恶意资源。其中,蜜罐监测模块和站点关联分析模块分布式部署在每个蜜网站点上,汇总分析展示模块采用集中式部署。蜜网站点主要以数据的采集和分析为主,实现蜜罐监测和关联分析功能。在本发明实施例中,每个蜜网站点包括三个节点蜜罐节点、蜜网网关节点、站点管理节点。每个节点都支持以虚拟机方式部署,其中蜜罐节点可以包含ー个或多个。图3是本发明实施例的蜜网站点内三个节点间的数据流的示意图,如图3所示,蜜网站点数据链路分为两种网络攻击链路、数据采集链路。前者对攻击者是可见的,蜜罐中发生的各类网络安全事件的交互过程都在此链路中完成;后者对攻击者是不可见的,用来下发蜜罐的配置数据、采集并回传事件日志。因此每个节点上至少有2块网卡,同时,在蜜网网关中通过构建透明网桥的方式完成网络攻击数据的交互过程。每个节点的数据采集链路通过管理网络接ロ实现,通过采用深度隐藏机制使得数据采集链路对攻击者不可见,保证数据采集的有效性和可用新。 蜜罐节点上部署主机监测模块,主机监测模块基于挂钩技术实现对操作系统中文件、网络、进程、注册表、系统服务等功能的监控,实时采集上述各类变化信息,生成标准化格式的主机日志,并汇总恶意代码样本文件。由于windows系统运行过程中,系统本身会进行文件读/写、进程创建/删除、注册表读/写等行为,为了过滤系统正常变化产生的上述信息,在主机监测模块中引入系统白名单机制,由站点管理节点下发至蜜罐节点。白名单包括两部分文件白名单、进程白名単。文件白名单基于文件完整性检查,可发现正常系统文件被恶意修改;进程白名单基于提供可信的系统进程名称列表。对于新创建进程的行为,首先判断其可执行文件是否可信(即在文件白名单中),若可信,再检查进程白名单确认进程是否可信,两者有ー个不通过,那么该进程都会被标识为不可信进程,其行为都会被记录。设置双重白名单机制是为了解决系统进程运行过程中被恶意代码注入的问题,SP文件可信而进程不可信,例如,系统的iexplore. exe和svchost. exe,即使文件可信,但运行后可被其它恶意代码注入从而执行恶意操作,因此只有不易被注入的系统进程才能加入白名単。此外,在攻击开始阶段,总是通过系统中的漏洞实现代码溢出获取系统权限,这中间通常都包括网络行为和创建可执行文件的行为,且被溢出的对象总是可信的,因此任何创建可执行文件行为和网络行为都不受白名单约束。蜜网网关上部署网络检测模块,通过蜜网网关的数据主要是蜜罐与外部攻击者的交互数据和蜜罐主动向外发出的数据。蜜网网关使用入侵检测技术,根据预先定义的网络检测规则对流入流出的数据进行特征匹配,并生成网络告警日志。同时,为了对攻击事件的场景进行还原,提取告警事件对应的原始网络数据包(即pcap日志)。蜜网网关有三个网络接ロ 外网ロ、内网ロ、以及管理ロ。外网ロ与内网ロ构成透明网桥,实现网络攻击数据的流入与流出,通过管理ロ实现网络捕获数据向站点的传输。按照不同方式处理流入和流出的网络攻击数据一、从外网ロ流入的数据,除了限流避免大流量攻击外,不做任何其它限制,所有原始网络数据全部采集,并同时基于检测规则进行攻击事件匹配;ニ、对于从内网ロ流出的数据,可分为四类I、蜜罐中对外开放的应用提供的数据,包括SSH、Web服务、数据库服务等;2、蜜罐主动发起对外连接的数据,包括域名解析数据,即蜜罐主动发起对外连接时请求解析的域名信息;3、常用下载协议数据,包括ftp、http等,一般用来获取恶意代码文件;4、不在上述范围内的其它潜在攻击数据。为全面捕获攻击,仅对上述数据中超速发出的数据进行限速;同时对所有数据基于检测规则进行攻击事件匹配。三、管理ロ流入流出的数据流出数据用于向站点管理节点发送网络日志和数据文件,流入数据主要是站点管理节点下发的蜜网网关配置信息。其中对管理ロ的网卡采用深度隐藏机制,使得流经此网ロ的数据对攻击者不可见。站点管理节点部署站点关联分析模块,主要完成蜜罐主机监测日志、网络检测日志的汇总管理和求精处理,并做进ー步的日志关联分析;同时接收井向蜜罐及蜜网网关下发用户配置的网络检测规则和蜜罐环境相关配置(包括白名单信息及蜜罐上应用、服务的配置)。主机监测日志由蜜罐节点经内部管理链路发送到蜜网站点,站点的相应模块负责接收并解析来蜜罐的主机行为记录数据,转换成主机监测日志,并定期删除过期的日志。网络原始监测数据由蜜网网关发送到蜜网站点,主要包括原始网络数据包(pcap日志)和网络告警日志。站点服务器对应模块接收蜜网网关数据后,从原始网络数据包中按照标准格式提取netflow信息入库。同时,基于预先配置的HTTP请求报文及DNS解析请求报文的相关网 络规则设置,获取相关网络原始报文,并提取报文中的URL信息、域名解析的IP地址信息,汇总生成可疑域名、URL的列表,完成数据的求精操作。通过站点侧日志的汇总处理,为关联分析提供了标准化的数据输入,从而进一歩实现对已知攻击事件的分类和未知攻击事件的自动提取。已知攻击事件依靠网络检测规则生成的告警日志来识别,并结合同时段内的主机变化日志过滤出攻击不成功的事件,也包括一般性扫描探測事件;未知攻击事件通过主机监测日志判定,并关联同时段捕获的网络原始数据,提取生成事件相关的网络日志。首先进行攻击是否存在的判定步骤1,网络检测是否存在告警日志;步骤2,蜜罐主机是否产生非正常的变化,特别是创建新文件、主动向外发起网络连接等。上述条件满足其一,即可认定攻击事件已发生。随后进行攻击事件成功的判定,蜜罐主机上是否产生了异常变化行为,包括文件、进程、服务、注册表的非正常变化,即不在白名单中的变化行为。按照上述原则,关联分析可分两步进行。第一步是事件提取,即哪些时间段存在哪些事件;第二步是攻击过程还原,提取事件对应的各类日志,还原攻击事件的场景。按照上述判定原贝1J,事件提取过程在后台周期性进行,提取并生成“关联事件表”,每条记录的生成用到ー个关键数据结构,即“关联因子”,关联因子如表I所示表I
第几位
~~O是否存在网络告警日志
默认高交互蜜罐为ο (低交互蜜罐则置I)
~是否存在文件变化日志(对低交互蜜罐总为O)
I是否存在进程变化日志(对低交互蜜罐总为ο)
~是否存在注册表变化日志(对低交互蜜罐总为O)
权利要求
1.一种基于高交互蜜罐的网络安全系统,其特征在于,包括上级节点、以及分布式部署于所述上级节点下的蜜网站点,其中,所述蜜网站点包括蜜网网关节点、蜜罐节点、以及站点管理节点,所述蜜网网关节点和所述蜜罐节点上布置有蜜罐监测模块,所述站点管理节点上布置有站点关联分析模块,上级节点上布置有汇总分析展示模块; 所述蜜罐监测模块,用于对攻击事件网络行为日志和主机行为日志进行分类采集; 所述站点关联分析模块,用于对所述攻击事件网络行为日志和所述主机行为日志进行汇总和自动关联分析,根据自动关联分析结果过滤无效网络告警、捕获已知攻击事件、自动发现未知攻击事件、以及提取隐蔽的互联网恶意资源信息; 所述汇总分析展示模块,用于汇总并统计所有蜜网站点上捕获的已知攻击事件和/或未知攻击事件,为用户展示还原选定攻击事件的场景,并根据所述隐蔽的互联网恶意资源信息对隐蔽的互联网恶意资源进行自动探测。
2.如权利要求I所述的系统,其特征在于,所述蜜网站点设置至少两块网卡,分别为攻击者可见的网络攻击链路和攻击者不可见的数据采集链路提供服务,其中,所述网络攻击链路用于实现各类网络安全事件的交互,所述数据采集链路用于实现蜜罐配置数据的下发以及所述攻击事件网络行为日志和所述主机行为日志的分类采集和传输。
3.如权利要求2所述的系统,其特征在于,所述蜜罐监测模块具体包括 部署于所述蜜罐节点上的主机监测子模块,用于通过挂钩技术对操作系统进行监控,获取所述站点管理节点下发的系统白名单,根据所述系统白名单实时采集所述操作系统的变化信息,生成标准化格式的主机行为日志,并汇总恶意代码样本文件; 部署于所述蜜网网关节点上的网络监测子模块,用于获取所述站点管理节点下发的网络检测规则,通过入侵检测技术,根据获取的网络检测规则对流入流出的网络攻击数据进行特征匹配,获取告警事件,根据所述告警事件生成所述攻击事件网络行为日志,并提取原始网络数据包。
4.如权利要求3所述的系统,其特征在于,所述蜜网网关节点上设置三块网卡,并分别对应于三个网络接口 攻击者可见的外网口和内网口、以及攻击者不可见的管理口,其中,所述外网口与所述内网口构成透明网桥,用于实现所述网络攻击数据的流入流出,所述管理口用于实现蜜网网关节点配置数据的下发以及所述攻击事件网络行为日志和所述原始网络数据包的传输。
5.如权利要求4所述的系统,其特征在于,所述站点关联分析模块具体包括 下发子模块,用于向所述网络监测子模块下发所述网络检测规则,向所述主机监测子模块下发所述系统白名单; 汇总子模块,用于通过所述数据采集链路接收所述主机监测子模块发送的主机行为日志,对所述主机行为日志进行解析,生成主机监测日志,并定期删除过期的主机监测日志;通过所述数据采集链路接收所述网络监测子模块发送的攻击事件网络行为日志和所述原始网络数据包,按照标准格式从所述原始网络数据包中提取网络流信息并保存,基于预先配置的HTTP请求报文及DNS解析请求报文的网络规则,从所述原始网络数据包中获取相关网络原始报文,并提取所述相关网络原始报文中的URL信息核IP地址信息,汇总生成包含IP地址信息和URL信息的列表; 关联分析子模块,用于根据所述主机监测日志和所述攻击事件网络行为日志依次判断攻击事件是否存在、所述攻击事件是否成功、以及所述攻击事件属于已知攻击事件还是未知攻击事件,对攻击事件进行提取,并对提取的所述攻击事件的相关日志进行提取,生成关联事件表。
6.如权利要求5所述的系统,其特征在于,所述汇总分析展示模块具体用于为用户展示选定蜜网站点上某个攻击事件的发生过程,按照攻击事件发生的时间序列展示蜜罐节点的主机变化情况;跟踪互联网上已知攻击事件的活跃程度、以及地域分布,对未知攻击事件进行宏观统计和预警;根据所述关联事件表及规则库信息,更新已有的网络检测规则;提取未知攻击事件的特征,完善网络检测规则。
7.一种基于高交互蜜罐的网络安全实现方法,其特征在于,包括上级节点、以及分布式部署于所述上级节点下的蜜网站点,其中,所述蜜网站点包括蜜网网关节点、蜜罐节点、以及站点管理节点,所述蜜网网关节点和所述蜜罐节点上布置有蜜罐监测模块,所述站点管理节点上布置有站点关联分析模块,上级节点上布置有汇总分析展示模块; 步骤1,通过所述蜜罐监测模块对攻击事件网络行为日志和主机行为日志进行分类采集; 步骤2,通过所述站点关联分析模块对所述攻击事件网络行为日志和所述主机行为日志进行汇总和自动关联分析,根据自动关联分析结果过滤无效网络告警、捕获已知攻击事件、自动发现未知攻击事件、以及提取隐蔽的互联网恶意资源信息; 步骤3,通过所述汇总分析展示模块汇总并统计所有蜜网站点上捕获的已知攻击事件和/或未知攻击事件,为用户展示还原选定攻击事件的场景,并根据所述隐蔽的互联网恶意资源信息对隐蔽的互联网恶意资源进行自动探测。
8.如权利要求7所述的方法,其特征在于,所述步骤I具体包括 通过部署于所述蜜罐节点上的主机监测子模块,通过挂钩技术对操作系统进行监控,获取所述站点管理节点下发的系统白名单,根据所述系统白名单实时采集所述操作系统的变化信息,生成标准化格式的主机行为日志,并汇总恶意代码样本文件; 通过部署于所述蜜网网关节点上的网络监测子模块,获取所述站点管理节点下发的网络检测规则,通过入侵检测技术,根据获取的网络检测规则对流入流出的网络攻击数据进行特征匹配,获取告警事件,根据所述告警事件生成所述攻击事件网络行为日志,并提取原始网络数据包。
9.如权利要求8所述的方法,其特征在于,所述步骤2具体包括 通过下发子模块向所述网络监测子模块下发所述网络检测规则,向所述主机监测子模块下发所述系统白名单; 通过汇总子模块从所述数据采集链路接收所述主机监测子模块发送的主机行为日志,对所述主机行为日志进行解析,生成主机监测日志,并定期删除过期的主机监测日志; 通过所述汇总子模块从所述数据采集链路接收所述网络监测子模块发送的攻击事件网络行为日志和所述原始网络数据包,按照标准格式从所述原始网络数据包中提取网络流信息并保存,基于预先配置的HTTP请求报文及DNS解析请求报文的网络规则,从所述原始网络数据包中获取相关网络原始报文,并提取所述相关网络原始报文中的URL信息核IP地址信息,汇总生成包含IP地址信息和URL信息的列表; 通过关联分析子模块根据所述主机监测日志和所述攻击事件网络行为日志依次判断攻击事件是否存在、所述攻击事件是否成功、以及所述攻击事件属于已知攻击事件还是未知攻击事件,对攻击事件进行提取,并对提取的所述攻击事件的相关日志进行提取,生成关联事件表。
10.如权利要求9所述的方法,其特征在于,所述步骤3具体包括 为用户展示选定蜜网站点上某个攻击事件的发生过程,按照攻击事件发生的时间序列展示蜜罐节点的主机变化情况; 跟踪互联网上已知攻击事件的活跃程度、以及地域分布,对未知攻击事件进行宏观统计和预警; 根据所述关联事件表及规则库信息,更新已有的网络检测规则; 提取未知攻击事件的特征,根据提取的所述特征完善网络检测规则。
全文摘要
本发明公开了一种基于高交互蜜罐的网络安全系统及实现方法。该系统包括蜜罐监测模块,用于对攻击事件网络行为日志和主机行为日志进行分类采集;站点关联分析模块,用于对攻击事件网络行为日志和主机行为日志进行汇总和自动关联分析,根据自动关联分析结果过滤无效网络告警、捕获已知攻击事件、自动发现未知攻击事件、以及提取隐蔽的互联网恶意资源信息;汇总分析展示模块,用于汇总并统计所有蜜网站点上捕获的已知攻击事件和/或未知攻击事件,为用户展示还原选定攻击事件的场景,并根据隐蔽的互联网恶意资源信息对隐蔽的互联网恶意资源进行自动探测。
文档编号H04L29/06GK102739647SQ20121016170
公开日2012年10月17日 申请日期2012年5月23日 优先权日2012年5月23日
发明者刘阳, 周勇林, 徐娜, 王营康, 陈云飞, 陈景妹 申请人:国家计算机网络与信息安全管理中心