网络入侵防御方法
【技术领域】
[0001]本发明涉及网络入侵防御方法,更具体地,涉及基于反向识别的网络入侵防御方法。
【背景技术】
[0002]目前,随着计算机和网络应用的日益广泛以及不同领域的业务种类的日益丰富,用于防止网络入侵的方法变得越来越重要。
[0003]在现有的技术方案中,通常采用在服务器上部署入侵防御系统或防护墙来阻挡和隔离来自外部的攻击。
[0004]然而,现有的技术方案存在如下问题:(I)针对有组织、有特定目标、持续时间极长的攻击和威胁或者针对未公开的漏洞的攻击,现有的入侵防御方法难于预防和阻挡,因为上述攻击手段不具有明显的攻击特征而难于识别;(2)由于攻击方常常通过代理隐藏攻击来源的地址,故常规的基于TCP/IP堆栈指纹以及IP地址的甄别方法难于识别攻击来源;
(3)由于常规的入侵防御系统或防护墙基于供应商定期提供的签名库来更新和涵盖可防御的攻击方式,故难于预防和阻挡仅针对特定应用中的业务逻辑的攻击。
[0005]因此,存在如下需求:提供能够有效防止有组织、有特定目标、持续时间极长的攻击和威胁或者针对未公开的漏洞的攻击的网络入侵防御方法。
【发明内容】
[0006]为了解决上述现有技术方案所存在的问题,本发明提出了能够有效防止有组织、有特定目标、持续时间极长的攻击和威胁或者针对未公开的漏洞的攻击的网络入侵防御方法。
[0007]本发明的目的是通过以下技术方案实现的:
一种网络入侵防御方法,所述网络入侵防御方法包括下列步骤:
(Al)拦截从外部发送至目标服务器以及从该目标服务器发送至外部的所有数据包;(A2)基于攻击方式签名库解析并甄别所拦截的数据包中未标记的每个数据包,如果数据包具有明显的攻击特征,则将其标记为恶意数据包,如果数据包具有规避甄别的特征,则将其标记为可疑数据包,如果数据包具有正常的特征,则将其标记为正常数据包;
(A3)仅将正常数据包转发到所述目标服务器或外部,并且将所有恶意数据包直接阻断以及将所有可疑数据包转发到可疑数据包处理服务器,以防止潜在的攻击。
[0008]在上面所公开的方案中,优选地,通过动态改写路由表的方式将所有可疑数据包转发到所述可疑数据包处理服务器。
[0009]在上面所公开的方案中,优选地,所述步骤(A3)进一步包括:所述动态路由表在超过预定的时间阈值后失效。
[0010]在上面所公开的方案中,优选地,所述可疑数据包处理服务器具有与所述目标服务器相同的Web应用环境,并且能够基于管理者指令创建一个或多个影子服务器。
[0011]在上面所公开的方案中,优选地,所述可疑数据包处理服务器执行如下过程:(1)监听指定网段的地址解析(ARP)请求;(2)如果发现存在地址解析(ARP)请求,则生成并发起相同的地址解析(ARP)请求;(3)确定是否存在对应的地址解析(ARP)响应,如果存在对应的地址解析(ARP)响应则返回步骤(I ),如果不存在对应的地址解析(ARP)响应则进入步骤(4) ; (4)伪造MAC地址并响应该地址解析(ARP)请求,随之判断该地址解析(ARP)请求所关联的服务请求是否指向所述可疑数据包处理服务器的应用端口,并且如果指向所述可疑数据包处理服务器的应用端口,则将其重定向到相应的影子服务器,而如果不指向所述可疑数据包处理服务器的应用端口,则响应该服务请求并建立相关联的会话以便随后接管与该会话相关的后续服务请求。
[0012]在上面所公开的方案中,优选地,所述可疑数据包处理服务器能够进一步执行如下反向识别过程:(I)在接收到可疑数据包后通过响应的方式警告发出该可疑数据包的访问者立刻终止恶意访问行为;(2)如果该访问者接受警告,则对其后续行为进行观察,并且如果在预定的时间阈值内没有发现进一步的恶意访问行为,则终止本次反向识别过程,而如果在预定的时间阈值内发现仍然存在进一步的恶意访问行为,则进入步骤(3),如果该访问者不接受警告,则直接进入步骤(3 ) ; (3 )通过建立会话的方式向所述可疑数据包的来源主机注入反向识别脚本;(4)向能够唯一识别该会话的域名发起HTTP请求以便从该域的授权DNS服务器获取该恶意访问者的主机的DNS地址;(5)通过所述反向识别脚本获取该恶意访问者的主机的其他特性信息并记录在特定的数据库中共系统管理者后续查阅和使用。
[0013]在上面所公开的方案中,优选地,所述可疑数据包处理服务器能够基于所接收到的可疑数据包收集潜在的攻击行为信息,并将所收集的潜在的攻击行为信息发送到行为分析和签名库更新服务器。
[0014]在上面所公开的方案中,优选地,所述行为分析和签名库更新服务器更够基于预定规则和算法分析所述潜在的攻击行为信息以提取出新类型的攻击特征,并在所述新类型的攻击特征经过人工审核后更新所述攻击方式签名库以使其包含经过审核的新类型的攻击特征。
[0015]本发明所公开的网络入侵防御方法具有以下优点:(1)能够识别和阻挡有组织、有特定目标、持续时间极长的攻击和威胁或者针对未公开的漏洞的攻击;(2)能够反向识别攻击者的来源主机;(3)能够通过自学习的方式持续和及时的更新攻击方式签名库。
【附图说明】
[0016]结合附图,本发明的技术特征以及优点将会被本领域技术人员更好地理解,其中:
图1是根据本发明的实施例的网络入侵防御方法的流程图。
【具体实施方式】
[0017]图1是根据本发明的实施例的网络入侵防御方法的流程图。如图1所示,本发明所公开的网络入侵防御方法包括下列步骤:(Al)拦截从外部发送至目标服务器以及从该目标服务器发送至外部的所有数据包;(A2)基于攻击方式签名库解析并甄别所拦截的数据包中未标记的每个数据包(即将所拦截的数据包的特征与攻击方式签名库中所记录的已知攻击特征相比较,所述已知的攻击特征例如包括数据包碎片攻击特征、编码混淆特征等等),如果数据包具有明显的攻击特征,则将其标记为恶意数据包,如果数据包具有规避甄别的特征,则将其标记为可疑数据包,如果数据包具有正常的特征,则将其标记为正常数据包;(A3)仅将正常数据包转发到所述目标服务器或外部,并且将所有恶意数据包直接阻断以及将所有可疑数据包转发到可疑数据包处理服务器,以防止潜在的攻击。
[0018]优选地,在本发明所公开的网络入侵防御方法中,通过动态改写路由表的方式将所有可疑数据包转发到所述可疑数据包处理服务器。
[0019]优选地,在本发明所公开的网络入侵防御方法中,所述步骤(A3)进一步包括:所述动态路由表在超过预定的时间阈值后失效。
[0020]优选地,在本发明所公开的网络入侵防御方法中,所述可疑数据包处理服务器(所谓的蜜罐服务器)具有与所述目标服务器相同的web应用环境,并且能够基于管理者指令创建一个或多个影子服务器(其是可疑数据包处理服务器的影子)。
[0021]优选地,在本发明所公开的网络入侵防御方法中,所述可疑数据包处理服务器执行如下过程:(I)监听指定网段的地址解析(ARP)请求;(2)如果发现存在地址解析(ARP)请求,则生成并发起相同的地址解析(ARP)请求;(3