CN103561004B - 基于蜜网的协同式主动防御*** - Google Patents
基于蜜网的协同式主动防御*** Download PDFInfo
- Publication number
- CN103561004B CN103561004B CN201310500444.7A CN201310500444A CN103561004B CN 103561004 B CN103561004 B CN 103561004B CN 201310500444 A CN201310500444 A CN 201310500444A CN 103561004 B CN103561004 B CN 103561004B
- Authority
- CN
- China
- Prior art keywords
- server
- data
- attack
- honey
- overall situation
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Landscapes
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提出了一种基于蜜网的协同式主动防御***,包括数据捕获模块、数据分析模块和数据控制模块,其特征在于:所述数据捕获模块、数据分析模块和数据控制模块分布式地存在于一个蜜网中心和多个子网中。本发明依托蜜网技术,采用协同式主动防御思想,实时共享不同蜜网捕获到的攻击者信息,实现网络层的主动防御,提高了防御的主动性和实时性,适用于大规模的企业网。本方法构建的***具有很高的防御率、命中率和稳健性,大大缩减了从第一次发现攻击者到全网布控的时间延迟。
Description
技术领域
本发明涉及网络安全领域,尤其涉及一种基于蜜网的协同式主动防御***。
背景技术
随着互联网的发展,网络安全面临着越来越严重的威胁。当前几种主要的网络安全威胁:木马,蠕虫,僵尸网络,网络侦听,IPv6威胁,间谍软件与广告软件,零日漏洞,DDoS(分布式拒绝服务)攻击。对网络安全威胁进行有效的防御便成了当务之急。
网络安全防御的类型按防御位置的不同可以分为基于主机层和基于网络层的防御;按防御时机不同可以分为被动防御和主动防御。传统的基于主机层的被动防御方法已经难以保护现有网络的安全,所以产生了主动防御的概念,通常是指通过程序自主发现的用户特征,使攻击者无法完成对攻击目标的攻击。
主动防御的代表是入侵检测***IDS(Intrusion Detect ion System),即依照一定的安全策略,对网络、***的运行状况进行监视,尽可能发现各种攻击企图、攻击行为或者攻击结果,以保证网络***资源的机密性、完整性和可用性,其实时性、主动性是传统安全措施难企及的,同时也弥补了被动防御***不能保护未知类型攻击的缺点。但传统的入侵检测***仍存在缺陷,由于入侵检测要处理的信息量非常大,对于攻击行为分类模型的好坏将直接影响到检测的效率。建立一个有效的入侵检测***是一个巨大的知识工程,由于开发过程是手工的,致使目前入侵检测***的可扩展性和适应性都受到限制。实际应用中的入侵检测模型仅能处理一种特殊的审计数据源,更新费用较高,速度也较慢。
为了克服传统入侵检测***的局限性,应该采用一种更加自动和高效的机制,蜜罐(Honeypot)便是这样的一个***。“蜜网项目组”(The Honeynet Project)的创始人LanceSpitzner给出了对蜜罐的权威定义:蜜罐是一种安全资源,其价值在于被扫描、攻击和攻陷。所有流入、流出蜜罐的网络流量都可能预示了扫描、攻击和攻陷。蜜罐按部署目的可分为产品型蜜罐和研究型蜜罐两类。蜜罐按其交互度的等级可分为低交互蜜罐和高交互蜜罐两类。蜜罐技术的优点包括:收集数据的保真度高,能够收集到新的攻击工具和攻击方法,不需要强大的资源支持、资金投入,比较容易掌握。
一个蜜网包含一个或多个蜜罐,在保证网络的高度可控的同时,可以提供多种工具以方便对攻击信息的采集和分析。利用蜜网可以有效的改变防御者与攻击者之间的信息不对称。目前,高交互蜜网主要用于数据的攻击数据的提取、分析和研究,主要是对蜜网提取到的海量数据进行人工分析,发掘攻击者的攻击策略、攻击代码和攻击位置等相关信息。虽然最终可以达到防御的目的,但属于被动防御,需要大量的人工参与,并具有严重的滞后性,很难***化与产品化。
发明内容
针对现有技术的不足,本发明的目的是提出一种基于蜜网的协同式主动防御***,它依托蜜网技术,采用协同式防御思想,能够实现网络层的主动防御,适用于大规模的企业网。
为了实现以上发明目的,本发明采用以下技术方案:
一种基于蜜网的协同式主动防御***,包括数据捕获模块、数据分析模块和数据控制模块,其特征在于:
所述数据捕获模块、数据分析模块和数据控制模块分布式地存在于一个蜜网中心和多个子网中,其中,
所述数据捕获模块包括位于蜜网中心的全局日志记录数据库和各子网中的蜜墙、多台蜜罐主机、远程日志记录服务器、入侵检测服务器;
所述数据分析模块包括位于蜜网中心的统计服务器、攻击模式提取服务器、全局恶意代码分析服务器、综合运算服务器、全局可视化服务器、全局统计数据库和全局特征数据库,以及各子网中的本地在线数据分析服务器;
所述数据控制模块包括位于蜜网中心的全局控制服务器、全局控制数据库和全局入侵行为规则数据库,以及各子网中的可重定向路由器、防火墙。
本发明具有以下有益效果:
1、将蜜网技术与主动防御技术相结合,改善了传统蜜网技术被动防御的滞后性,降低了人工分析的工作量,提高了防御的实时性与准确性。
2、多个子网间的协同防御,弥补了单个子网的蜜网规模小、结构简单、信息单一等不足,进一步提高了防御的主动性与实时性。
3、采用了简单、高效的数据分析算法,制定的防御策略具有很高的防御率、命中率和很低的漏防率和命中率。
4、蜜网收集的数据具有高可靠性和可控性,低成本。不需要用户上报,不会影响用户的正常通信,更不会泄露用户隐私。
5、在网络层实现防御,减轻了防火墙的负荷以及采用基于主机层防病毒软件的用户主机负担。
6、欺骗模块增加了***的稳健性。
附图说明
图1是基于蜜网的自主防御子***的主要模块框架图
图2是基于蜜网的自主防御子***的网络部署图
图3是基于蜜网的协同式主动防御***的主要模块框架图
图4是基于蜜网的协同式主动防御***的网络部署图
图5是加入了欺骗模块的基于蜜网的自主防御子***的模块框架图
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及示例性实施例,对本发明进行进一步详细说明。应当理解,此处所描述的示例性实施例仅用以解释本发明,并不用于限定本发明的适用范围。
在介绍本发明的协同式主动防御***之前,首先需要说明基于蜜网的自主防御子***的工作机制。企业网可划分为多个子网,一般在C类网内按照每个的网段划分,在A、B类网内按照子网掩码划分。基于蜜网的自主式防御子***就布置在单个子网内,它具有三个主要模块和一个附加模块。如图1、5所示,三个主要模块为数据捕获模块、数据分析模块和数据控制模块,附加模块为入侵欺骗模块。
基于蜜网的自主防御子***部署在单个子网内,即蜜网和用户网络位于同一网段中,如图2所示,在图中不仅标出了主要硬件,而且标出了模块分布及数据流方向。其中,数据捕获模块包括蜜墙(honeywall)、多台蜜罐主机、远程日志记录服务器、日志记录数据库和入侵检测服务器。数据分析模块包括离线数据分析服务器、在线数据分析服务器、可视化服务器、恶意代码分析服务器、统计数据库和特征数据库。数据控制模块包括控制服务器、控制数据库、路由器、蜜墙、防火墙和入侵行为规则数据库。
1、数据捕获模块
数据捕获模块属于输入模块,包括蜜墙、多台蜜罐主机、远程日志记录服务器、日志记录数据库和入侵检测服务器。
(1)蜜墙(蜜网网关)
蜜网可以布置在防火墙的外部、内部或者DMZ(非军事区)内,通常布置在用户网和外网的DMZ内,即可信用户内网与不可信外网之间的区域。对于用户网来说,蜜网是一个危险的区域,因为蜜罐是十分容易被攻击的主机,一旦攻击者利用蜜罐为跳板对用户网发动攻击,那么主动防御***将得不偿失。而蜜墙就是蜜网与用户网之间唯一的屏障。蜜墙包括三个网络接口,eth0接入外网,eth1连接蜜网,而eth2作为一个秘密通道,连接到一个监控网络。蜜墙是一个对黑客不可见的链路层桥接设备,作为蜜网与其他网络的唯一连接点,所有流入流出蜜网的网络流量都将通过蜜墙,并受其控制和审计。同时,由于蜜墙是一个工作在链路层的桥接设备,不会对网络数据包进行TTL递减和网络路由,也不会提供本身的MAC地址,因此对攻击者而言,蜜墙是完全不可见的。
(2)蜜罐主机
在三台蜜罐主机上安装有运行在ring0级的恶意代码捕获程序,由于运行于ring0级,不易于被攻击者发现,它可以将被攻击蜜罐主机上的恶意代码自动或手动经过秘密通道传输至恶意代码分析服务器。在此服务器的虚拟机中运行有沙盒(sandbox)程序,在沙盒中分析恶意代码,分析结果可以被应用到数据控制模块中去。所有蜜罐主机过一段时间后需要进行一次维护。
(3)客户端蜜罐工具
为了增加蜜网的主动性,可以在部分蜜罐上运行具有网页爬虫功能的客户端蜜罐工具,如capture-HPC,它可以实现自动地搜索恶意服务器,实现对网页挂马的检测,加强数据捕获模块的功能。
(4)远程日志记录服务器与日志记录数据库
远程日志记录服务器负责将蜜网传输来的数据实时存储在日志记录数据库中,并周期性地将日志记录数据库中的数据传输至数据分析模块。
(5)入侵检测服务器
考虑到攻击者有可能直接或首先入侵用户网络,为了增加***的稳健性,将蜜网与基于行为特征的入侵检测***结合起来,在用户网前面布置一个入侵检测服务器,它通过路由器的端口镜像功能检测通过用户网络的所有流量,一旦匹配了入侵行为规则数据库中的规则,则判定为入侵行为,将判定结果发送给控制服务器,由控制服务器直接修改防火墙规则,以弥补蜜网失效时的主动防御。另外,给蜜罐主机分配域名,将使蜜罐吸引更多攻击,但这会增加用户网络的潜在危险性。
2、数据分析模块
数据分析模块将不同的数据捕获模块捕获的信息进行融合、挖掘、分析,及时发现网络中可能存在的危险信息,将控制策略及时传输给各子网的数据分析模块,以实现提前预警,实时维护,周期性修正。作为示例,该模块中可以应用已经成熟的信息融合、数据挖掘、蜜网攻击事件分析等技术。比如,采用聚类、矩阵变换等数学方法,产生防御黑名单用于更改防火墙规则,提取攻击模式、恶意代码用于更改入侵行为规则。该模块是本***的核心模块。数据分析模块包括离线分析服务器、在线分析服务器、可视化服务器、恶意代码分析服务器、统计数据库和特征数据库。
(1)在线分析服务器
蜜网的所有流量数据从远程日志记录服务器传输到在线分析服务器,在线分析服务器实时地将数据包头信息与特征数据库中的攻击特征进行匹配,制定一些简单的防御策略,将需要防御的黑名单实时地传输至控制服务器。
(2)离线分析服务器
蜜网的所有流量数据从远程日志记录服务器传输至离线分析服务器,离线分析服务器的特点是精确性和复杂性,它统计一个周期(小时、天、周)内数据的指标,更新统计数据库,提取攻击特征和模式,更新特征数据库,并根据之前周期的数据预测攻击趋势,制定防御策略,将需要防御的黑名单周期性地传输至控制服务器。
(3)恶意代码分析服务器
蜜罐捕获的恶意代码自动地或手动地传输至恶意代码分析服务器,在其沙盒中运行恶意代码,提取其特征,更新特征数据库。
(4)可视化服务器
可视化服务器从统计数据库和特征数据库读取数据,将数据绘成图表,使管理者可以及时得了解整个***的运行状况。
3、数据控制模块
数据控制模块是主动防御的最终执行模块,是***的输出模块,包括控制服务器、控制数据库、路由器、蜜墙、防火墙和入侵行为规则数据库。数据控制可以分为两方面,一方面是对内控制,包括路由器和蜜墙;另一方面是对外控制,包括防火墙和入侵行为规则数据库。
(1)对内控制
对内控制是指防止内部主机的攻击,主要防止蜜罐主机的攻击,包括路由器和蜜墙。路由器可以修改路由规则辅助蜜墙进行数据控制。蜜墙对流入的网络包不进行任何限制,使得黑客能攻入蜜网,但对黑客使用蜜网对外发起的跳板攻击进行严格控制。控制方法包括攻击包抑制和对外连接数限制两种手段。
(2)对外控制
对外控制是指防止外部主机的攻击,包括防火墙和入侵行为规则数据库。防火墙可以通过防御黑名单防御已知攻击者位置和攻击模式的攻击,可以通过保护白名单保证信任的主机地址不被误防御,防火墙通过反向路由器查询及过滤保留IP等方法可以拦截伪造IP发送的数据包。入侵行为规则数据库可以为数据捕获模块的入侵检测服务器提供防御已知攻击模式。
(3)控制服务器
控制服务器是数据控制模块的核心,它综合在线分析服务器的命令、离线分析服务器命令和控制数据库中的数据修改蜜墙、防火墙、入侵行为数据库的规则,实现对所有攻击的防御,特别是对于新出现的攻击,甚至是未知的攻击。
(4)控制数据库
控制数据库中存储控制服务器所有接收到和发出的命令,一旦故障出现可以进行查看和恢复。
4、入侵欺骗模块
为了增强***的稳健性,考虑到攻击者会用蜜罐主机作为跳板攻击子网内的其余主机,而数据控制模块中的防火墙将蜜罐发往用户网络中的数据包截获,攻击者的二次攻击没有响应,很可能会发现所侵入的主机为蜜罐主机。一旦被攻击者发现真实属性,蜜罐主机便失去了作用。
如图2所示,入侵欺骗模块包括蜜场(honeyfarm)主机、蜜墙服务器和重定向路由器,蜜场是用户网络的镜像,模拟了用户网络的IP、端口、操作***等,可以采用虚拟蜜罐技术在一台主机的缓存中实现。在路由器上采用重定向技术,将蜜罐发往用户网络中的数据包发往蜜场主机,蜜场发给蜜罐的数据可以通过蜜墙发送至攻击者,于是攻击者以为攻击成功,而***则达到了防御的目的,并且使得蜜网不被攻击者所发现,达到了欺骗的目的。加入入侵欺骗模块的基于蜜网的自主防御子***的模块框架图如图5所示。
以上主要考虑的是***的逻辑实现,下面考虑***的物理实现,仍然考虑用户网在同一个网段中的情况。在一个实施例中,蜜网可以采用3台高交互服务器端蜜罐主机(操作***分别为Linux,win2k,winxp)。由于用户网络的规模不是很大,运算负担不是很大,可以将多个服务合并在一个主机上完成。IDS采用snort软件实现,恶意代码捕捉采用北京大学的HoneyBow软件或者西安交大的malbox软件实现,蜜墙和数据分析模块可以都安置在一台主机上,honeynet组织的蜜墙软件拥有图形用户界面,可直接用于***配置、管理、数据分析,或者采用西安交大的botwall软件,将截获到的pcap文件解析,从中读取攻击数据,统计每个周期内攻击主机的分布信息,受害端口的分布信息,攻击协议的分布信息等等,根据攻击主机数量、攻击协议、攻击端口、数据包平均大小等聚类出攻击模式,可以由这些数据画出趋势图,并进行适当预测,最后将黑名单发往防火墙控制规则,黑名单包括源IP地址和目标端口。
在以上介绍基于蜜网的自主防御子***的基础上,下面详细说明本发明的基于蜜网的协同式主动防御***。
随着用户网络的扩大,上述自主防御子***的负担将不断扩大,性能将受到严重影响,通过不断分离服务器可以解决性能问题。但是,随着用户网络不在一个网段内,用户网络的复杂性增加,用户网络的脆弱性也增加,防御难度增加了。无论增加多少台蜜罐主机,都难以反映不同类型不同网段内的用户网的不同特征,由此蜜网制定出的防御策略对于其他网段内的用户并不适用。因此,有必要采用分布式蜜网,即在每一个子网内布置几台蜜罐主机,在此,将一个网段看作一个子网。多个子网间相互协作进行协同式的主动防御,能够有效克服用户网络的脆弱性,会取得更好的主动防御效果。另外,采用集中式的分析和控制,结构简单,易于部署,降低了***的工作量,提高了效率,更为重要的是实现了多个子蜜网的数据共享、交互、协调、同步,提高了防御的主动性。此处实现的协同式是针对各个子网来说的,强调的是各个子网的相互协同的方法,对于整个用户网络来说仍然是自主式的主动防御。
具体而言,基于蜜网的协同式主动防御***的模块框图如图3所示。从各子网分离出来集成在一起的数据分析模块是整个***的核心模块,另外,一些数据库也集中在一起。将这个加强了的数据分析模块称为蜜网中心(honeycenter),包括运算单元、数据单元、控制单元和可视化单元。运算单元包括统计服务器、攻击模式提取服务器、全局恶意代码分析服务器、综合运算服务器,数据单元包括全局日志记录数据库、全局统计数据库、全局特征数据库、全局控制数据库和全局入侵行为规则数据库,控制单元包括全局控制服务器,可视化单元包括全局可视化服务器。
另外,为了保证子网的健壮性和***的实时性,在每个子网中仍然保留有自己的本地在线分析服务器,主要针对子网制定简单的实时自我防御策略。***部署如图4所示,标出了子网和蜜网中心分布及数据流方向,略去了各模块分布的标注。协同式主动防御***同样包括数据捕获模块、数据分析模块和数据控制模块,不过,与自主防御子***相比,协同式主动防御***的数据捕获模块、数据分析模块和数据控制模块的各个组成部件分布式地存在于蜜网中心和多个子网中。
数据捕获模块包括全局日志记录数据库和各子网中的蜜墙、多台蜜罐主机、远程日志记录服务器、入侵检测服务器。
数据分析模块包括统计服务器、攻击模式提取服务器、全局恶意代码分析服务器、综合运算服务器、全局可视化服务器、全局统计数据库和全局特征数据库和各子网中的本地在线数据分析服务器。
数据控制模块包括全局控制服务器、全局控制数据库、全局入侵行为规则数据库和各子网中的可重定向路由器、防火墙。
下面主要介绍蜜网中心的各个模块功能。
(1)远程日志记录服务器
远程日志记录服务器将所在的子网数据捕获***捕获到的攻击数据传输到全局日志记录数据库。
(2)全局日志记录数据库
全局日志记录数据库保存远程日志记录服务器传输来的子网数据捕获***捕获到的攻击数据,供统计服务器、攻击模式提取服务器、综合运算服务器使用。
(3)统计服务器
统计服务器从全局日志记录数据库中提取所有数据,可以统计的项目包括:数据包协议的分布、数据包大小的分布、端口的分布、持续时间的分布、IP地域的分布、流量的分布、受攻击端口的分布、攻击源的分布、受攻击蜜罐的分布、攻击时段的分布等等,所有的统计项目可以对于全局统计,也可以对于部分子网进行统计。将所有统计的信息存入全局统计数据库,根据随时间变化统计分布信息,可以有效地预测攻击发生的趋势,可以作为制定防御策略的依据,并且所有统计信息可以处理为各种图标,直观地反映网络安全的变化趋势和整个***运行状况。
(4)攻击模式提取服务器
攻击模式提取服务器主要使用数据挖掘和信息融合方法从日志数据中提取未知的攻击模式、攻击方式,以还原出攻击场景。首先,它对全局日志记录数据库中提取的所有数据进行攻击事件过滤,仅保留表示攻击事件的数据包。然后,它通过聚类算法对攻击时间数据包头数据进行处理,这些数据包括平均包大小、攻击持续时间、攻击端口、攻击数量、受害子网数量等等,从而提取出多种攻击模式,从攻击模式中可以进一步聚类得到攻击方式,如DDOS攻击、漏洞扫描攻击、漏洞注入攻击、蠕虫攻击等等。最后,它根据时间序列分析还原出攻击场景,得到的结果被存入全局特征数据库,作为综合运算服务器和在线分析服务器的防御策略制定依据,并通过可视化服务器直观地表现出来。最终,攻击模式提取服务器将攻击模式等攻击特征通过全局控制服务传输至全局入侵行为规则数据库,对直接攻击用户网的攻击进行主动防御。
(5)综合运算服务器
综合运算服务器综合利用数据单元中的数据,分别针对每个子网产生相应的防御策略。首先,它对全局日志记录数据库中提取的所有数据进行攻击事件过滤。然后,它采用一些算法,如可以采用高可预测性的黑名单生成算法,通过统计数据库和特征数据库确定相关参数,通过受害子网关联度分析,攻击行为的威胁度分析和攻击者关联度分析确定最终防御策略,如需修改的防火墙黑名单和需通知的高危子网名单、需报警的内网外网攻击主机名单等。最后,综合运算服务器将运算结果传输至全局控制服务器。
此外,如同前述自主防御子***中那样,为了增强***的稳健性,协同式主动防御***还可以包括入侵欺骗模块。该入侵欺骗模块包括蜜场(honeyfarm)主机、蜜墙服务器和重定向路由器,用于欺骗攻击者,保护蜜网。
由此,利用集成的数据分析模块,协同式主动防御***拥有自主式主动防御的所有功能。
对于整个网络来说:
如果攻击者位于外网,一个已知攻击位置的攻击将被防火墙直接拦截,一个已知攻击模式的攻击如果先攻击用户网,则将被入侵检测服务器发现,由控制服务器修改防火墙规则,阻拦该攻击者位置的数据包。如果已知攻击模式的攻击先攻击蜜网,在线分析服务器分析其攻击者位置,由控制服务器修改防火墙规则阻拦。如果未知攻击模式的攻击先攻击蜜网,通过运算单元的分析,从流量特征和恶意代码分析中提取攻击特征和攻击模式,更新特征数据库,并由控制服务器更新全部或者一部分子网的防火强规则和入侵行为规则库,当同一类攻击再次攻击这些蜜网或者用户网时,由防火墙将其截获,整个实现了用户网的主动防御。
对于单个子网来说:
如果攻击者为内网用户,一个已知攻击模式的攻击如果先攻击子网内其他用户,则将被入侵检测服务器发现,由控制服务器对其进行通知并对子网报警,如果已知攻击模式的攻击先攻击蜜网,本地在线分析服务器分析其攻击者位置,由本地控制服务器对其进行通知并对子网报警。如果未知攻击模式的攻击先攻击蜜网,通过蜜网中心的分析,从流量特征和恶意代码分析中提取攻击特征和攻击模式,更新特征数据库,并由控制服务器对其进行通知并对子网报警,并且更新入侵行为规则库实现了对内网攻击的主动防御。
如果攻击者为其他子网内用户,一个已知攻击模式的攻击如果先攻击该子网内其他用户,则将被入侵检测服务器发现,由本地控制服务器修改防火墙规则,阻拦该攻击者位置的数据包,由全局控制服务器对其进行通知并对整个网络报警。如果已知攻击模式的攻击先攻击蜜网,在线分析服务器分析其攻击者位置,由本地控制服务器修改防火墙规则对其进行阻拦,由全局控制服务器对其进行通知并对整个网络报警。如果未知攻击模式的攻击先攻击蜜网,通过蜜网中心的分析,从流量特征和恶意代码分析中提取攻击特征和攻击模式,更新特征数据库,并由本地控制服务器修改防火墙规则对其进行阻拦,由全局控制服务器对其进行通知并对子网报警,并且更新入侵行为规则库实现了对内网攻击的主动防御。
由于信息共享,单一子网可以利用其他子网中的蜜网捕获的数据来进行防御,主动性和预见性大幅得提高,原来对于它来说是未知的攻击,现在都成为已知的攻击,受攻击的几率大幅减小。另外,该***为了提高拦截成功率,充分考虑到了各个子网的复杂性,即给各子网制定不同的防御策略,相似度越高的子网,防御策略越相似。一旦蜜罐被攻陷,蜜墙阻止蜜罐攻击用户,并且路由器将攻击数据流重定向至蜜场,以防止蜜罐被攻击者发现。防御效果与数据单元的分析速度成正相关,与分析周期成逆相关,离线分析越快,主动防御的效果越好。另外,防御效果与蜜网的分布广度也成正相关,即蜜网分布越多越散,主动防御的效果越好。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等,均应包含在本发明的保护范围之内。
Claims (5)
1.一种基于蜜网的协同式主动防御***,包括数据捕获模块、数据分析模块和数据控制模块,其特征在于:
所述数据捕获模块、数据分析模块和数据控制模块分布式地存在于一个蜜网中心和多个子网中,其中,
所述数据捕获模块包括位于蜜网中心的全局日志记录数据库和各子网中的蜜墙、多台蜜罐主机、远程日志记录服务器、入侵检测服务器;
所述数据分析模块包括位于蜜网中心的统计服务器、攻击模式提取服务器、全局恶意代码分析服务器、综合运算服务器、全局可视化服务器、全局统计数据库和全局特征数据库,以及各子网中的本地在线数据分析服务器;
所述数据控制模块包括位于蜜网中心的全局控制服务器、全局控制数据库和全局入侵行为规则数据库,以及各子网中的可重定向路由器、防火墙;
其中,所述远程日志记录服务器将所在子网捕获到的攻击数据传输到全局日志记录数据库,全局日志记录数据库保存远程日志记录服务器传输来的攻击数据,供统计服务器、攻击模式提取服务器和综合运算服务器使用;
所述统计服务器从全局日志记录数据库中提取所有数据,将所有统计信息存入全局统计数据库,作为制定防御策略的依据;
所述攻击模式提取服务器基于从全局日志记录数据库中提取的数据,提取出多种攻击模式,将包括攻击模式的攻击特征通过全局控制服务器传输至全局入侵行为规则数据库,对直接攻击用户网的攻击进行主动防御;
所述综合运算服务器对从全局日志记录数据库中提取的所有数据进行攻击事件过滤,然后采用高可预测性的黑名单生成算法,通过全局统计数据库和全局特征数据库确定相关参数,通过受害子网关联度分析、攻击行为的威胁度分析和攻击者关联度分析确定最终防御策略,并将结果传输至全局控制服务器。
2.根据权利要求1所述的基于蜜网的协同式主动防御***,其中,所述统计服务器统计的项目包括:数据包协议的分布、数据包大小的分布、端口的分布、持续时间的分布、IP地域的分布、流量的分布、受攻击端口的分布、攻击源的分布、受攻击蜜罐的分布、攻击时段的分布。
3.根据权利要求1所述的基于蜜网的协同式主动防御***,其中,所述攻击模式提取服务器具体用于:
首先,对从全局日志记录数据库中提取的所有数据进行攻击事件过滤,仅保留表示攻击事件的数据包;
然后,利用聚类算法对攻击时间数据包头数据进行处理,提取出多种攻击模式,根据时间序列分析还原出攻击场景,将得到的结果存入全局特征数据库,作为综合运算服务器和各子网中的本地在线数据分析服务器制定防御策略的依据,并通过全局可视化服务器直观地展现出来;
最后,将包括攻击模式的攻击特征通过全局控制服务器传输至全局入侵行为规则数据库,对直接攻击用户网的攻击进行主动防御。
4.根据权利要求3所述的基于蜜网的协同式主动防御***,其中,所述数据包头数据包括平均包大小、攻击持续时间、攻击端口、攻击数量、受害子网数量。
5.根据权利要求1所述的基于蜜网的协同式主动防御***,还包括用于欺骗攻击者的入侵欺骗模块,所述入侵欺骗模块包括蜜场主机、蜜墙服务器和重定向路由器。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310500444.7A CN103561004B (zh) | 2013-10-22 | 2013-10-22 | 基于蜜网的协同式主动防御*** |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310500444.7A CN103561004B (zh) | 2013-10-22 | 2013-10-22 | 基于蜜网的协同式主动防御*** |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN103561004A CN103561004A (zh) | 2014-02-05 |
| CN103561004B true CN103561004B (zh) | 2016-10-12 |
Family
ID=50015154
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201310500444.7A Active CN103561004B (zh) | 2013-10-22 | 2013-10-22 | 基于蜜网的协同式主动防御*** |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103561004B (zh) |
Families Citing this family (47)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104410617B (zh) * | 2014-11-21 | 2018-04-17 | 西安邮电大学 | 一种云平台的信息安全攻防体系架构 |
| CN104486320B (zh) * | 2014-12-10 | 2018-10-26 | 国家电网公司 | 基于蜜网技术的内网敏感信息泄露取证***及方法 |
| CN104579841B (zh) * | 2015-01-09 | 2018-09-14 | 北京京东尚科信息技术有限公司 | 根据接收的udp报文产生对特定统计数据项的统计结果的*** |
| CN104935580B (zh) * | 2015-05-11 | 2018-09-11 | 国家电网公司 | 基于云平台的信息安全控制方法和*** |
| CN104967628B (zh) * | 2015-07-16 | 2017-12-26 | 浙江大学 | 一种保护web应用安全的诱骗方法 |
| CN106506435B (zh) * | 2015-09-08 | 2019-08-06 | 中国电信股份有限公司 | 用于检测网络攻击的方法和防火墙*** |
| CN106534042A (zh) * | 2015-09-09 | 2017-03-22 | 阿里巴巴集团控股有限公司 | 基于数据分析的服务器入侵识别方法、装置和云安全*** |
| CN105718801A (zh) * | 2016-01-26 | 2016-06-29 | 国家信息技术安全研究中心 | 一种基于编程模式和模式匹配的漏洞聚类方法 |
| CN107404465B (zh) * | 2016-05-20 | 2020-08-04 | 阿里巴巴集团控股有限公司 | 网络数据分析方法及服务器 |
| RU2634173C1 (ru) * | 2016-06-24 | 2017-10-24 | Акционерное общество "Лаборатория Касперского" | Система и способ обнаружения приложения удалённого администрирования |
| CN106209867B (zh) * | 2016-07-15 | 2020-09-01 | 北京元支点信息安全技术有限公司 | 一种高级威胁防御方法及*** |
| CN106375384B (zh) * | 2016-08-28 | 2019-06-18 | 北京瑞和云图科技有限公司 | 一种虚拟网络环境中镜像网络流量的管理***和控制方法 |
| CN106911662B (zh) * | 2016-10-12 | 2020-11-03 | 深圳市安之天信息技术有限公司 | 一种恶意样本养殖高交互转化低交互的***及方法 |
| CN106330964B (zh) * | 2016-10-14 | 2019-10-11 | 成都信息工程大学 | 一种网络入侵探测与主动防御联动控制装置 |
| CN106534114B (zh) * | 2016-11-10 | 2020-10-02 | 北京红马传媒文化发展有限公司 | 基于大数据分析的防恶意攻击*** |
| CN106878438A (zh) * | 2017-03-03 | 2017-06-20 | 久远谦长(北京)技术服务有限公司 | 一种https环境下用户行为分析的方法和*** |
| CN107070929A (zh) * | 2017-04-20 | 2017-08-18 | 中国电子技术标准化研究院 | 一种工控网络蜜罐*** |
| CN107241338A (zh) * | 2017-06-29 | 2017-10-10 | 北京北信源软件股份有限公司 | 网络防攻击装置、***和方法,可读介质和存储控制器 |
| CN107360145B (zh) * | 2017-06-30 | 2020-12-25 | 北京航空航天大学 | 一种多节点蜜罐***及其数据分析方法 |
| CN107277039B (zh) * | 2017-07-18 | 2020-01-14 | 河北省科学院应用数学研究所 | 一种网络攻击数据分析及智能处理方法 |
| CN107547546B (zh) * | 2017-09-05 | 2019-11-12 | 山东师范大学 | 基于卡片电脑的轻量级高交互蜜网数据传输方法、*** |
| CN108366088A (zh) * | 2017-12-28 | 2018-08-03 | 广州华夏职业学院 | 一种用于教学网络***的信息安全预警*** |
| CN108183916B (zh) * | 2018-01-15 | 2020-08-14 | 华北电力科学研究院有限责任公司 | 一种基于日志分析的网络攻击检测方法及装置 |
| CN110290098B (zh) | 2018-03-19 | 2020-12-25 | 华为技术有限公司 | 一种防御网络攻击的方法及装置 |
| CN109033825B (zh) * | 2018-06-04 | 2021-07-30 | 温州市图盛科技有限公司 | 一种基于区块链的防攻击电力网络*** |
| CN108769071B (zh) * | 2018-07-02 | 2021-02-09 | 腾讯科技(深圳)有限公司 | 攻击信息处理方法、装置和物联网蜜罐*** |
| CN109255243B (zh) * | 2018-09-28 | 2022-06-21 | 深信服科技股份有限公司 | 一种终端内潜在威胁的修复方法、***、装置及存储介质 |
| CN109696892A (zh) * | 2018-12-21 | 2019-04-30 | 上海瀚之友信息技术服务有限公司 | 一种安全自动化***及其控制方法 |
| TWI682644B (zh) * | 2019-01-07 | 2020-01-11 | 中華電信股份有限公司 | 網路節點的移動防護方法及網路防護伺服器 |
| CN110011982B (zh) * | 2019-03-19 | 2020-08-25 | 西安交通大学 | 一种基于虚拟化的攻击智能诱骗***与方法 |
| CN110035429B (zh) * | 2019-04-09 | 2021-11-09 | 重庆邮电大学 | WiFi与ZigBee共存模式下抗干扰最小冗余方法 |
| CN109818985B (zh) * | 2019-04-11 | 2021-06-22 | 江苏亨通工控安全研究院有限公司 | 一种工控***漏洞趋势分析与预警方法及*** |
| CN110505195A (zh) * | 2019-06-26 | 2019-11-26 | 中电万维信息技术有限责任公司 | 虚拟主机的部署方法以及*** |
| CN110516444B (zh) * | 2019-07-23 | 2023-04-07 | 成都理工大学 | 基于kernel的跨终端跨版本Root攻击检测与防护*** |
| CN113079124B (zh) * | 2020-01-03 | 2023-04-07 | ***通信集团广东有限公司 | 入侵行为检测方法、***及电子设备 |
| CN111416810B (zh) * | 2020-03-16 | 2022-03-08 | 北京计算机技术及应用研究所 | 一种基于群体智能的多个安全组件协同响应方法 |
| CN111478912A (zh) * | 2020-04-10 | 2020-07-31 | 厦门慢雾科技有限公司 | 一种区块链入侵检测***及方法 |
| CN111641620A (zh) * | 2020-05-21 | 2020-09-08 | 黄筱俊 | 用于检测进化DDoS攻击的新型云蜜罐方法及架构 |
| CN111669403A (zh) * | 2020-06-24 | 2020-09-15 | 广州锦行网络科技有限公司 | 一种多引流多诱捕节点部署*** |
| CN111756742B (zh) * | 2020-06-24 | 2021-07-13 | 广州锦行网络科技有限公司 | 一种蜜罐欺骗防御***及其欺骗防御方法 |
| CN112187825B (zh) * | 2020-10-13 | 2022-08-02 | 网络通信与安全紫金山实验室 | 一种基于拟态防御的蜜罐防御方法、***、设备及介质 |
| CN112788008B (zh) * | 2020-12-30 | 2022-04-26 | 上海磐御网络科技有限公司 | 一种基于大数据的网络安全动态防御***及方法 |
| CN112866259A (zh) * | 2021-01-22 | 2021-05-28 | 杭州木链物联网科技有限公司 | 工控蜜罐节点管理方法、装置、计算机设备和存储介质 |
| CN112910917B (zh) * | 2021-02-25 | 2023-04-07 | 深信服科技股份有限公司 | 网络隔离方法、装置、设备及可读存储介质 |
| CN112995187B (zh) * | 2021-03-09 | 2022-12-06 | 中国人民解放军空军工程大学 | 一种基于社团结构的网络协同防御***及方法 |
| CN113395288B (zh) * | 2021-06-24 | 2022-06-24 | 浙江德迅网络安全技术有限公司 | 基于sdwan主动防御ddos*** |
| CN114866326A (zh) * | 2022-05-16 | 2022-08-05 | 上海磐御网络科技有限公司 | 基于linux***的摄像头蜜罐构建方法 |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101741570A (zh) * | 2008-11-14 | 2010-06-16 | 电子科技大学 | 基于蜜网的逆向数据连接控制方法 |
-
2013
- 2013-10-22 CN CN201310500444.7A patent/CN103561004B/zh active Active
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101741570A (zh) * | 2008-11-14 | 2010-06-16 | 电子科技大学 | 基于蜜网的逆向数据连接控制方法 |
Non-Patent Citations (3)
| Title |
|---|
| Honeynet-based Collaborative Defense using Improved Highly Predictive Blacklisting Algorithm;xiaobo Ma etc;《IEEE》;20100731;第1283-1288页 * |
| 基于主动安全策略的蜜网***的设计与实现;熊明辉等;《计算机工程与设计》;20050930;第26卷(第9期);第2470-2472页 * |
| 基于协同的虚拟蜜网实现与分析;董国锋;《华东师范大学硕士学位论文》;20101222;第13-60页 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN103561004A (zh) | 2014-02-05 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103561004B (zh) | 基于蜜网的协同式主动防御*** | |
| Prasad et al. | An efficient detection of flooding attacks to Internet Threat Monitors (ITM) using entropy variations under low traffic | |
| CN109617865B (zh) | 一种基于移动边缘计算的网络安全监测与防御方法 | |
| Loukas et al. | Protection against denial of service attacks: A survey | |
| CN103428224B (zh) | 一种智能防御DDoS攻击的方法和装置 | |
| CN102882884B (zh) | 信息化生产环境下基于蜜网的风险预警***及方法 | |
| CN102801738B (zh) | 基于概要矩阵的分布式拒绝服务攻击检测方法及*** | |
| CN106657025A (zh) | 网络攻击行为检测方法及装置 | |
| CN109327426A (zh) | 一种防火墙攻击防御方法 | |
| CN106992955A (zh) | Apt防火墙 | |
| CN108768917A (zh) | 一种基于网络日志的僵尸网络检测方法及*** | |
| CN109347847A (zh) | 一种智慧城市信息安全保障*** | |
| CN106209814A (zh) | 一种分布式网络入侵防御*** | |
| CN112398844A (zh) | 基于内外网实时引流数据的流量分析实现方法 | |
| CN105227559A (zh) | 一种积极的自动检测http攻击的信息安全管理框架 | |
| Sharma et al. | Attack prevention methods for DDOS attacks in MANETs | |
| Das et al. | Flood control: Tcp-syn flood detection for software-defined networks using openflow port statistics | |
| Wang et al. | Distributed denial of service attack defence simulation based on honeynet technology | |
| Fuertes et al. | Alternative engine to detect and block port scan attacks using virtual network environments | |
| Prasad et al. | IP traceback for flooding attacks on Internet threat monitors (ITM) using Honeypots | |
| CN111478912A (zh) | 一种区块链入侵检测***及方法 | |
| Li-Juan | Honeypot-based defense system research and design | |
| Mudgal et al. | Spark-Based Network Security Honeypot System: Detailed Performance Analysis | |
| Luo et al. | DDOS Defense Strategy in Software Definition Networks | |
| Singhrova | A host based intrusion detection system for DDoS attack in WLAN |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |