專利名稱:一種實(shí)現(xiàn)誘騙網(wǎng)絡(luò)數(shù)據(jù)流重定向的方法
技術(shù)領(lǐng)域:
本發(fā)明涉及一種保護(hù)網(wǎng)絡(luò)的方法�,特別是一種實(shí)現(xiàn)誘騙網(wǎng)絡(luò)數(shù)據(jù)流重定向的方法。
背景技術(shù):
近幾年來互聯(lián)網(wǎng)以及通信網(wǎng)在全球范圍內(nèi)得到了迅猛的的發(fā)展�,它對(duì)人類社會(huì)的生活方式產(chǎn)生了極大的影響和改變,而隨之而來的網(wǎng)絡(luò)信息安全問題就顯得越來越重要�����。網(wǎng)絡(luò)黑客���、病毒���、信息竊取和干擾等手段的出現(xiàn),使網(wǎng)絡(luò)的安全面臨嚴(yán)重的挑釁���。全球每年都為之付出巨大的代價(jià)���,高達(dá)數(shù)億美元之多,如銀行帳戶系統(tǒng)被侵入����、病毒發(fā)作���、軍事網(wǎng)絡(luò)干擾等。
傳統(tǒng)的網(wǎng)絡(luò)安全技術(shù)主要有防火墻技術(shù)和入侵檢測(cè)系統(tǒng)���。防火墻的主要功能是防止非法入侵者進(jìn)入網(wǎng)絡(luò)�����,使被懷疑的用戶不能進(jìn)入相應(yīng)的網(wǎng)絡(luò)���,在某種程度上保護(hù)了網(wǎng)絡(luò)的安全。但人們又面臨新的問題1)由于防火墻技術(shù)和入侵檢測(cè)系統(tǒng)等將可疑者拒之門外��,使攻擊者不能得手�,這將使攻擊者不斷謀求新的技術(shù)手段進(jìn)行進(jìn)攻,增加了網(wǎng)絡(luò)安全防護(hù)的難度和不可測(cè)性��。2)由于可疑者被拒���,就無法知道其真正意圖,想破壞哪些數(shù)據(jù)�,或想得到哪些數(shù)據(jù)�,這些信息在軍事上可以使我們了解敵人的意圖����,以采取相應(yīng)的措施。在民用上可以使我們了解攻擊者的手段和方法�,如了解病毒衍生的過程,從而進(jìn)行有效防衛(wèi)�����。3)由于可疑者被拒�,系統(tǒng)沒有被入侵者進(jìn)入,沒有無法知道系統(tǒng)的漏洞在哪里��?由此而產(chǎn)生了“誘騙網(wǎng)絡(luò)”(honeypot)技術(shù)�,使網(wǎng)絡(luò)的防御在一定程度上由被動(dòng)轉(zhuǎn)為主動(dòng)。
傳統(tǒng)的誘騙網(wǎng)絡(luò)如圖1所示����,LAN表示要保護(hù)的局域網(wǎng)。從因特網(wǎng)(Internet)來的可疑入侵者可以進(jìn)入誘騙網(wǎng)絡(luò)�,也可以進(jìn)入局域網(wǎng)。這種情況下誘騙網(wǎng)絡(luò)是一種某種意義上的愿者上鉤的模式��,它被動(dòng)的等待黑客的侵入���,然后記錄其一舉一動(dòng)���,這種模式下的誘騙網(wǎng)絡(luò)大部分時(shí)間都是無所事事���,從而起不到協(xié)助保護(hù)局域網(wǎng)的作用。
發(fā)明內(nèi)容
本發(fā)明的目的就是為了彌補(bǔ)傳統(tǒng)誘騙網(wǎng)絡(luò)的不足���,提出一種可使被動(dòng)的誘騙網(wǎng)絡(luò)變成主動(dòng)引誘網(wǎng)絡(luò)的實(shí)現(xiàn)誘騙網(wǎng)絡(luò)數(shù)據(jù)流重定向的方法����。
本發(fā)明的技術(shù)解決方案一種實(shí)現(xiàn)誘騙網(wǎng)絡(luò)數(shù)據(jù)流重定向的方法�����,其特征在于它是對(duì)進(jìn)入網(wǎng)絡(luò)的所有數(shù)據(jù)進(jìn)行重定向處理�,其規(guī)則如下1、如果數(shù)據(jù)報(bào)來自Internet��,查其源地址是否在可疑IP列表中��,具體做法是a)如果是在可疑IP列表中�,將其目的MAC地址替換為誘騙網(wǎng)絡(luò)對(duì)應(yīng)主機(jī)的MAC地址,再發(fā)往誘騙網(wǎng)絡(luò)�����;b)如果不是在可疑IP列表中��,按防火墻檢測(cè)規(guī)則或入侵檢測(cè)系統(tǒng)的檢測(cè)規(guī)則進(jìn)行檢測(cè)����,具體檢測(cè)方法為I)如果規(guī)則不匹配,表明該數(shù)據(jù)報(bào)是正常的����,則發(fā)往要保護(hù)的網(wǎng)絡(luò);II)如果規(guī)則匹配�,則表明該數(shù)據(jù)報(bào)是可疑的,把其源地址加入可疑IP列表��,然后發(fā)往誘騙網(wǎng)絡(luò)����;2、如果數(shù)據(jù)報(bào)來自局域網(wǎng)LAN��,直接從Internet接口發(fā)送出去���;3��、如果數(shù)據(jù)報(bào)來自Honeypot����,將其源MAC地址通過誘騙網(wǎng)絡(luò)與局域網(wǎng)LAN中主機(jī)的MAC地址與IP地址對(duì)應(yīng)表替換為局域網(wǎng)LAN中對(duì)應(yīng)主機(jī)的MAC地址后,再從Internet接口發(fā)送出去��。
本發(fā)明方法的優(yōu)點(diǎn)是1)使被動(dòng)的誘騙網(wǎng)絡(luò)變成主動(dòng)引誘網(wǎng)絡(luò)�����,任何可疑的用戶都將被引入誘騙網(wǎng)絡(luò)��。2)由于可疑的用戶被引入誘騙網(wǎng)絡(luò)起到了保護(hù)局域網(wǎng)的目的�����。3)在誘騙網(wǎng)絡(luò)中提供與實(shí)際網(wǎng)絡(luò)相同的環(huán)境��,包括FTP��、HTTP���、E-MAIL等業(yè)務(wù)��,使入侵者沒有感覺到被誘騙到誘騙網(wǎng)絡(luò)��。4)由于本發(fā)明方法是在計(jì)算機(jī)網(wǎng)絡(luò)的第二層處理����,即數(shù)據(jù)鏈路層處理���,處理速度快�����,因?yàn)檎{(diào)用的都是系統(tǒng)最底層的函數(shù)���,對(duì)LAN、Honeypot和Internet均是透明的�����,不易被可疑入侵者發(fā)現(xiàn)�,且通過Mac地址轉(zhuǎn)換,可達(dá)到充分偽裝的目的�����。5)通過誘騙網(wǎng)絡(luò),可以觀測(cè)入侵者的意圖和手段���,如想破壞哪些數(shù)據(jù)��,或想得到哪些數(shù)據(jù)����,以及病毒衍生的過程等等����,為網(wǎng)絡(luò)的安全提供新的手段。
圖1是傳統(tǒng)的實(shí)現(xiàn)誘騙網(wǎng)絡(luò)的原理圖���。
圖2是本發(fā)明的帶有重定向機(jī)制的實(shí)現(xiàn)誘騙網(wǎng)絡(luò)的原理圖���。
圖3是實(shí)現(xiàn)本發(fā)明誘騙網(wǎng)絡(luò)的系統(tǒng)示意圖。
圖4是實(shí)現(xiàn)本發(fā)明誘騙網(wǎng)絡(luò)的系統(tǒng)算法流程圖�。
圖5是圖4中的HanleOutP函數(shù)算法流程圖。
圖6是圖4中的HanleSusP函數(shù)算法流程圖����。
具體實(shí)施例方式
本發(fā)明方法提出了一種新的思路,即在誘騙網(wǎng)絡(luò)(honeypot)之前增加一個(gè)重定向機(jī)制����,來自Internet的用戶將首先被進(jìn)行過慮�����,正常的流量將導(dǎo)入局域網(wǎng)LAN����,而將可疑的流量導(dǎo)入誘騙網(wǎng)絡(luò)(如圖2所示)�����。
本發(fā)明的實(shí)現(xiàn)誘騙網(wǎng)絡(luò)數(shù)據(jù)流重定向的方法是對(duì)進(jìn)入網(wǎng)絡(luò)的所有數(shù)據(jù)進(jìn)行重定向處理�,其規(guī)則如下1��、如果數(shù)據(jù)報(bào)來自Internet����,查其源地址是否在可疑IP(InternetProtocol)列表中(該列表由用戶自己建立,用于記載可疑IP地址)����,具體做法是a)如果是在可疑IP列表中,將其目的MAC(Media Access Control)地址替換為誘騙網(wǎng)絡(luò)(Honeypot)對(duì)應(yīng)主機(jī)的MAC地址���,再發(fā)往誘騙網(wǎng)絡(luò)�。
b)如果不是在可疑IP列表中,按防火墻檢測(cè)規(guī)則或入侵檢測(cè)系統(tǒng)的檢測(cè)規(guī)則進(jìn)行檢測(cè)���,具體檢測(cè)方法為I)如果規(guī)則不匹配���,說明該數(shù)據(jù)報(bào)是正常的,則發(fā)往要保護(hù)的網(wǎng)絡(luò)(如局域網(wǎng)LAN)�����。
II)如果規(guī)則匹配�,則說明該數(shù)據(jù)報(bào)是可疑的,把其源地址加入可疑IP列表���,然后發(fā)往Honeypot����。
2��、如果數(shù)據(jù)報(bào)來自局域網(wǎng)LAN���,直接從Internet接口發(fā)送出去�����。
3���、如果數(shù)據(jù)報(bào)來自Honeypot�����,將其源MAC地址通過誘騙網(wǎng)絡(luò)與局域網(wǎng)LAN中主機(jī)的MAC地址與IP地址對(duì)應(yīng)表(該對(duì)應(yīng)表用來記錄誘騙網(wǎng)絡(luò)和局域網(wǎng)LAN的IP地址與MAC地址的對(duì)應(yīng)關(guān)系)替換為局域網(wǎng)LAN中對(duì)應(yīng)主機(jī)的MAC地址后�,再從Internet接口發(fā)送出去��。
在本發(fā)明對(duì)網(wǎng)絡(luò)數(shù)據(jù)流進(jìn)行重定向后��,就可以方便地對(duì)進(jìn)入誘騙網(wǎng)絡(luò)的數(shù)據(jù)報(bào)行為進(jìn)行觀察���,了解入侵者的意圖,分析入侵者的行為����,發(fā)現(xiàn)網(wǎng)絡(luò)的漏洞,尋找保護(hù)方法�。
本發(fā)明方法中,需要維護(hù)兩項(xiàng)重要的數(shù)據(jù)�����,一項(xiàng)為可疑IP列表,另一項(xiàng)為誘騙網(wǎng)絡(luò)與局域網(wǎng)LAN中主機(jī)的MAC地址與IP地址對(duì)應(yīng)表��。同時(shí)對(duì)來自局域網(wǎng)的數(shù)據(jù)也可以進(jìn)行類似于來自Internet的數(shù)據(jù)檢測(cè)方法���,以增強(qiáng)對(duì)來自局域網(wǎng)的入侵者的防范���。
上述維護(hù)可疑IP列表的方法是1)建立一個(gè)初始為空的可疑IP列表。
2)每當(dāng)檢測(cè)模塊檢測(cè)到一個(gè)可疑的數(shù)據(jù)報(bào)���,便記錄其源IP地址���,同時(shí)打上時(shí)間戳,以標(biāo)識(shí)當(dāng)時(shí)的時(shí)間��。
3)當(dāng)列表中可疑的IP地址時(shí)間戳到期��,則將其IP從列表中刪除�����。
上述維護(hù)MAC與IP地址對(duì)應(yīng)表的方法是1)每當(dāng)在該對(duì)應(yīng)表中沒有查到需要的誘騙網(wǎng)絡(luò)或局域網(wǎng)LAN中主機(jī)的MAC地址時(shí)�����,則向誘騙網(wǎng)絡(luò)或局域網(wǎng)LAN中發(fā)送ARP請(qǐng)求(arp request)數(shù)據(jù)報(bào)。
2)根據(jù)計(jì)算機(jī)網(wǎng)絡(luò)中的ARP協(xié)議���,對(duì)來自誘騙網(wǎng)絡(luò)和局域網(wǎng)LAN的數(shù)據(jù)報(bào)進(jìn)行檢測(cè)����,判斷其是否為ARP應(yīng)答(arp repley)數(shù)據(jù)報(bào)�����;3)如果是則取出發(fā)送者M(jìn)AC地址和IP地址���,存入MAC與IP地址對(duì)應(yīng)表�����。
實(shí)施例本發(fā)明系統(tǒng)如圖3所示。它由普通PC機(jī)A1-A4構(gòu)成�����,其中PC機(jī)A1模仿INTERNET數(shù)據(jù)源�,設(shè)定其IP地址為10.10.139.10����、MAC地址為00:05:5d:e7:70:94�����。PC機(jī)A3為誘騙網(wǎng)絡(luò)��,設(shè)定其IP地址為192.186.1.1��、MAC地址為00:05:5d:e8:52:75(誘騙網(wǎng)絡(luò)可以由普通的PC機(jī)安裝操作系統(tǒng)構(gòu)成����,也可以在此基礎(chǔ)上,再通過編程模仿一個(gè)局域網(wǎng)對(duì)用戶提供服務(wù)�����,并捕捉用戶的行為����,進(jìn)行分析統(tǒng)計(jì)等處理)。被保護(hù)網(wǎng)絡(luò)為PC機(jī)A4(它可以是一臺(tái)�,也可以是多臺(tái)PC機(jī)構(gòu)成的局域網(wǎng)),設(shè)定其IP地址為192.186.1.1��,MAC地址為00:e0:4c:89:eb:a0。系統(tǒng)的算法可通過圖4的流程圖實(shí)現(xiàn)����,該流程圖中的HanleOutP函數(shù)對(duì)發(fā)往Internet的包做一些MAC地址的處理工作,主要是偷換源MAC地址和維護(hù)IP地址與MAC地址的對(duì)應(yīng)表�����,該表的每個(gè)表項(xiàng)包括一個(gè)IP地址和對(duì)應(yīng)的兩個(gè)MAC地址誘騙網(wǎng)絡(luò)的主機(jī)MAC地址(HoneyMac)和局域網(wǎng)中主機(jī)MAC地址(ProdMac)�。HanleOutP函數(shù)的算法流程圖見圖5。
圖4中的HanleSusP函數(shù)主要將可疑數(shù)據(jù)報(bào)的目的MAC地址改為HoneyMac����,其算法流程圖見圖6。
本發(fā)明的發(fā)明點(diǎn)就在于在它們之間設(shè)置了重定向模塊(Redirectmodule)��,它由PC機(jī)A2構(gòu)成�,它有三個(gè)網(wǎng)絡(luò)接口,分別為eth0�、eth1和eth2,并分別與PC機(jī)A1�、A3和A4相連。
本發(fā)明方法的具體工作過程如下1�、如果數(shù)據(jù)來自INTERNET���,即PC機(jī)A1�,則通過eth0接口進(jìn)入重定向模塊,重定向模塊檢查其源地址是否在可疑IP列表中�����,檢查處理方法如下a)如果是在可疑IP列表中���,將其目的MAC地址替換為誘騙網(wǎng)絡(luò)(Honeypot)對(duì)應(yīng)主機(jī)的MAC地址00:05:5d:e8:52:75����,通過網(wǎng)絡(luò)接口eth1發(fā)往誘騙網(wǎng)絡(luò)�����,即PC機(jī)A3���。
b)如果不是在可疑IP列表中����,按入侵檢測(cè)系統(tǒng)(如開放源代碼入侵檢測(cè)系統(tǒng)SNORT)的檢測(cè)規(guī)則進(jìn)行檢測(cè)(對(duì)于商用入侵檢測(cè)系統(tǒng)或防火墻只需開發(fā)商提供其開發(fā)接口即可)��。檢測(cè)方法為I)如果檢測(cè)規(guī)則不匹配,則說明該數(shù)據(jù)報(bào)是正常的���,通過網(wǎng)絡(luò)接口eth2發(fā)往要保護(hù)的網(wǎng)絡(luò)����,即PC機(jī)A4�。
II)如果規(guī)則匹配,則說明該數(shù)據(jù)報(bào)是可疑的�����,把其源IP地址加入可疑IP列表�����,并打上時(shí)間戳�����,將其目的MAC地址替換為誘騙網(wǎng)絡(luò)(Honeypot)對(duì)應(yīng)主機(jī)的MAC地址00:05:5d:e8:52:75�����,然后通過網(wǎng)絡(luò)接口eth1發(fā)往Honeypot��,即PC機(jī)A3。
2�����、如果數(shù)據(jù)報(bào)來自保護(hù)的網(wǎng)絡(luò)��,即PC機(jī)A4���,則可直接從Internet接口,即接口eth0發(fā)送出去��。
3����、如果數(shù)據(jù)報(bào)來自Honeypot,即PC機(jī)A3����,將其源MAC地址替換要保護(hù)的網(wǎng)絡(luò)中對(duì)應(yīng)主機(jī)的MAC地址,即PC機(jī)A4的MAC地址00:e0:4c:89:eb:a0���,再從Internet接口發(fā)送出去���。
對(duì)進(jìn)入誘騙網(wǎng)絡(luò)(即PC機(jī)A3)的數(shù)據(jù)報(bào)行為進(jìn)行觀察,可以通過系統(tǒng)日志等手段查看入侵者的行為,從而了解入侵者的意圖��,分析入侵者的行為����,發(fā)現(xiàn)網(wǎng)絡(luò)的漏洞,尋找保護(hù)網(wǎng)絡(luò)的方法����。
權(quán)利要求
1.一種實(shí)現(xiàn)誘騙網(wǎng)絡(luò)數(shù)據(jù)流重定向的方法,其特征在于它是對(duì)進(jìn)入網(wǎng)絡(luò)的所有數(shù)據(jù)進(jìn)行重定向處理�,其規(guī)則如下1)、如果數(shù)據(jù)報(bào)來自Internet�,查其源地址是否在可疑IP列表中,具體做法是a)如果是在可疑IP列表中���,將其目的MAC地址替換為誘騙網(wǎng)絡(luò)對(duì)應(yīng)主機(jī)的MAC地址�����,再發(fā)往誘騙網(wǎng)絡(luò)���;b)如果不是在可疑IP列表中,按防火墻檢測(cè)規(guī)則或入侵檢測(cè)系統(tǒng)的檢測(cè)規(guī)則進(jìn)行檢測(cè)�,具體檢測(cè)方法為I)如果規(guī)則不匹配����,表明該數(shù)據(jù)報(bào)是正常的���,則發(fā)往要保護(hù)的網(wǎng)絡(luò)�����;II)如果規(guī)則匹配,則表明該數(shù)據(jù)報(bào)是可疑的�����,把其源地址加入可疑IP列表���,然后發(fā)往誘騙網(wǎng)絡(luò)����;2)�、如果數(shù)據(jù)報(bào)來自局域網(wǎng)LAN,直接從Internet接口發(fā)送出去����;3)��、如果數(shù)據(jù)報(bào)來自Honeypot�,將其源MAC地址通過誘騙網(wǎng)絡(luò)與局域網(wǎng)LAN中主機(jī)的MAC地址與IP地址對(duì)應(yīng)表替換為局域網(wǎng)LAN中對(duì)應(yīng)主機(jī)的MAC地址后����,再從Internet接口發(fā)送出去。
2.按權(quán)利要求1所述的一種實(shí)現(xiàn)誘騙網(wǎng)絡(luò)數(shù)據(jù)流重定向的方法����,其特征在于所述可疑IP列表的維護(hù)方法是1)建立一個(gè)初始為空的可疑IP列表;2)每當(dāng)檢測(cè)模塊檢測(cè)到一個(gè)可疑的數(shù)據(jù)報(bào)�,便記錄其源IP地址,同時(shí)打上時(shí)間戳�,以標(biāo)識(shí)當(dāng)時(shí)的時(shí)間;3)當(dāng)列表中可疑的IP地址時(shí)間戳到期�����,則將其IP從列表中刪除��。
3.按權(quán)利要求1所述的一種實(shí)現(xiàn)誘騙網(wǎng)絡(luò)數(shù)據(jù)流重定向的方法��,其特征在于所述誘騙網(wǎng)絡(luò)與局域網(wǎng)LAN中主機(jī)的MAC地址與IP地址對(duì)應(yīng)表的維護(hù)方法是1)每當(dāng)在該對(duì)應(yīng)表中沒有查到需要的誘騙網(wǎng)絡(luò)或局域網(wǎng)LAN中主機(jī)的MAC地址時(shí)�����,則向誘騙網(wǎng)絡(luò)或局域網(wǎng)LAN中發(fā)送arp request數(shù)據(jù)報(bào)。2)根據(jù)計(jì)算機(jī)網(wǎng)絡(luò)中的ARP協(xié)議��,對(duì)來自誘騙網(wǎng)絡(luò)和局域網(wǎng)LAN的數(shù)據(jù)報(bào)進(jìn)行檢測(cè)��,判斷其是否為arp repley數(shù)據(jù)報(bào)����;3)如果是則取出發(fā)送者M(jìn)AC地址和IP地址,存入MAC與IP地址對(duì)應(yīng)表�����。
全文摘要
本發(fā)明涉及一種實(shí)現(xiàn)誘騙網(wǎng)絡(luò)數(shù)據(jù)流重定向的方法�,它對(duì)進(jìn)入網(wǎng)絡(luò)的所有數(shù)據(jù)進(jìn)行重定向處理��,如果數(shù)據(jù)報(bào)來自Internet�����,查其源地址是否在可疑IP列表中����,若在可疑IP列表中,將其目的MAC地址替換為誘騙網(wǎng)絡(luò)對(duì)應(yīng)主機(jī)的MAC地址��,再發(fā)往誘騙網(wǎng)絡(luò)。若不在可疑IP列表中��,按防火墻檢測(cè)規(guī)則或入侵檢測(cè)系統(tǒng)的檢測(cè)規(guī)則進(jìn)行檢測(cè)�����,如果檢測(cè)規(guī)則不匹配���,表明該數(shù)據(jù)報(bào)是正常的�,則發(fā)往要保護(hù)的網(wǎng)絡(luò)����;如果規(guī)則匹配,則表明該數(shù)據(jù)報(bào)是可疑的�,把其源地址加入可疑IP列表,然后發(fā)往誘騙網(wǎng)絡(luò)����。如果數(shù)據(jù)報(bào)來自局域網(wǎng)LAN,直接從Internet接口發(fā)送出去��。如果數(shù)據(jù)報(bào)來自Honeypot����,將其源MAC地址替換為局域網(wǎng)LAN中對(duì)應(yīng)主機(jī)的MAC地址后�,再從Internet接口發(fā)送出去�。
文檔編號(hào)H04L9/00GK1585346SQ20041004487
公開日2005年2月23日 申請(qǐng)日期2004年5月28日 優(yōu)先權(quán)日2004年5月28日
發(fā)明者楊庚, 彭雷, 戴云平 申請(qǐng)人:南京郵電學(xué)院