專利名稱::主動網(wǎng)絡防御方法和系統(tǒng)的制作方法
技術領域:
:本發(fā)明涉及的是一種計算機網(wǎng)絡安全技術,特別涉及的是一種通過在網(wǎng)絡中架設虛擬機,誘使黑客掃描、攻擊所述的虛擬機,相應記錄黑客的行蹤和攻擊手段等信息,迷惑黑客的網(wǎng)絡防御方法和系統(tǒng)。
背景技術:
:在計算機網(wǎng)絡中,防火墻、入侵檢測和漏洞掃描是保護網(wǎng)絡安全的基本手段。防火墻安裝在受保護網(wǎng)絡的外圍起到防御來在外部攻擊的作用,入侵檢測系統(tǒng)安裝在受保護網(wǎng)絡的內(nèi)部起到防御來自網(wǎng)絡內(nèi)部的攻擊。然而這些技術都屬于被動防御,只有當黑客發(fā)動攻擊后,才會做出反應,因此,要想有效防御,必須了解黑客的一些信息。不幸的是,在網(wǎng)絡攻防的兩端存在著極大的不對稱性,黑客可以利用掃描、探測等技術手段全面掌握被攻擊者的信息而防御者對黑客的來源、攻擊方法和攻擊目標等信息卻一無所知。隨著人們對網(wǎng)絡安全的研究,一種蜜罐原理應運而生,所述的蜜罐是一種資源,其價值在于它在網(wǎng)絡中會受到黑客的探測、攻擊或攻陷。由其延伸出蜜網(wǎng),其是由若干臺蜜罐服務器、防火墻和IDS等組成的蜜罐網(wǎng)絡。蜜罐并不修正任何問題,它們僅為我們提供額外的、有價值的信息。也就是說,蜜罐本身并不直接為網(wǎng)絡提供保護。相反,蜜罐是專門用來被人入侵的一種資源,是給攻擊者的一個誘飾。一般情況下,蜜罐上不會部署業(yè)務應用,因此進出蜜罐的通信都是非授權的。蜜罐最根本的特征是故意留有漏洞的虛擬服務。這些服務是架設在一定系統(tǒng)之上的。鑒于上述缺陷,本發(fā)明創(chuàng)作者經(jīng)過長時間的研究和實驗終于獲得了本創(chuàng)作
發(fā)明內(nèi)容本發(fā)明的目的在于,提供一種主動網(wǎng)絡防御方法和系統(tǒng),用以克服上述的缺陷。為實現(xiàn)上述目的,本發(fā)明采用的技術方案在于,首先提供一種主動網(wǎng)絡防御方法,其包括的步驟是步驟a:在網(wǎng)絡中虛擬設置至少一臺存在明顯安全漏洞的服務器或路由器;步驟b:網(wǎng)絡攻擊者利用所述的漏洞取得了所述服務器或路由器的管理員命令解釋程序;步驟c:對網(wǎng)絡攻擊者運行命令解釋程序進行監(jiān)視,并將運行過程進行記錄,用以耳又i正。較佳的,所述的服務器或路由器通過配置防火墻隔離開同一網(wǎng)絡中的其他設備。較佳的,所述的步驟c:對網(wǎng)絡攻擊者運行命令解釋程序進行監(jiān)視,并將運行過程進行記錄,用以取證;其包括的步驟為步驟cl:監(jiān)控上傳后門并執(zhí)行后門的整個過程,記錄后門的進程標識符或者后門進程注入的目標進程;步驟c2:將后門程序拷貝到相關目錄存儲;步驟c3:對網(wǎng)絡攻擊者的攻擊信息,以日志的形式進行存儲并發(fā)送給一曰志模塊。較佳的,所述的存儲的日志包含黑客登入時間、黑客注銷時間、黑客源IP地址、黑客源MAC地址、黑客上后門命令、黑客后門程序進程標識符/后門程序注入的目標程序的進程標識符以及黑客后門程序名稱。較佳的,所述的日志,其格式采用snort日志格式,采用其中的兩種格式XML和純文本。其次提供一種主動網(wǎng)絡防御系統(tǒng),其是基于上述的主動網(wǎng)絡防御方法實現(xiàn)的,其包括復數(shù)臺虛擬機,其受操作系統(tǒng)支持,并分別運行具有漏洞的服務程序;一取證模塊,其監(jiān)視網(wǎng)絡攻擊者利用漏洞取得了所述虛擬機的管理員命令解釋程序,將運行過程進.行記錄,用以取j正;一日志模塊,其接收所述的取證模塊提供的記錄,并進行存儲。較佳的,所述的復數(shù)臺虛擬機運行的操作系統(tǒng)分別為Linux,FreeBSD,WindowNT和Solaris其中之一。較佳的,所述的復數(shù)臺虛擬機、取證模塊以及日志模塊都設置在一宿主主機上;或者是所述復數(shù)臺虛擬機、取證模塊設置在一宿主主機上,所述的日志模塊設置一日志服務器上。'與現(xiàn)有技術比較本發(fā)明的有益效果在于,通過在網(wǎng)絡中架設蜜罐或者蜜網(wǎng),誘使黑客掃描、攻擊蜜罐或蜜網(wǎng),蜜罐或蜜網(wǎng)來記錄黑客的行蹤和攻擊手段等信息,迷惑黑客,同時分擔其它處于網(wǎng)絡中的設備被攻擊的危險。圖1為本發(fā)明主動網(wǎng)絡防御方法的流程圖2為本發(fā)明主動網(wǎng)絡防御系統(tǒng)所處網(wǎng)絡架構簡圖。具體實施例方式以下結合附圖,對本發(fā)明上述的和另外的技術特征和優(yōu)點作更詳細的說明。請參閱圖l所示,其為本發(fā)明主動網(wǎng)絡防御方法的流程圖,其包括的步驟是步驟a:在網(wǎng)絡中虛擬設置至少一臺存在明顯安全漏洞的服務器或路由器;令解釋程序;步驟c:對網(wǎng)絡攻擊者運行命令解釋程序進行監(jiān)視,并將運行過程進行記錄,用以耳又i正。其中,所述的在網(wǎng)絡中虛擬設置的至少一臺存在明顯安全漏洞的服務器或路由器就是所述的蜜罐,其最根本的特征是故意留有漏洞的虛擬服務。這些服務是架設在一定系統(tǒng)之上的。蜜罐可以虛擬一臺Linux下的http服務器,如apache-2.2,也可以虛擬一臺Cisco路由器,或者一臺AIX下的MySQL服務;其不但能夠在一臺主機上虛擬一種或幾種服務器,也可以由一臺主機虛擬出一個網(wǎng)絡拓樸結構,路由器和各種服務器,這就是蜜網(wǎng)。所述的服務器或路由器通過配置防火墻隔離開同一網(wǎng)絡中的其他設備。蜜罐無論虛擬哪種服務,除了吸引黑客以外,這些服務都是沒有實際功用的。蜜罐盡量防止黑客攻陷蜜罐/蜜網(wǎng)系統(tǒng),但蜜罐/蜜網(wǎng)系統(tǒng)并不保證不被攻陷。所述的步驟c:對網(wǎng)絡攻擊者運行命令解釋程序進行監(jiān)視,并將運行過程進行記錄,用以取證;其包括的步驟為步驟Cl:監(jiān)控上傳后門并執(zhí)行后門的整個過程,記錄后門的進程標識符或者后門進程注入的目標進程;步驟c2:將后門程序拷貝到相關目錄存儲;步驟c3:對網(wǎng)絡攻擊者的攻擊信息,以日志的形式進行存儲并發(fā)送給一日志模塊。其中,所述的存儲的日志包含黑客登入時間、黑客注銷時間、黑客源IP地址、黑客源MAC地址、黑客上后門命令、黑客后門程序進程標識符/后門程序注入的目標程序的進程標識符以及黑客后門程序名稱。所述的日志,其格式采用snort日志才各式,采用其中的兩種才各式XML和純文本。其次提供一種主動網(wǎng)絡防御系統(tǒng),其是基于上述的主動網(wǎng)絡防御方法實現(xiàn)的,請參閱圖2所示,為本發(fā)明主動網(wǎng)絡防御系統(tǒng)所處網(wǎng)絡架構簡圖;蜜罐和真實服務器在整個網(wǎng)絡中的位置是相同的,位于同一個網(wǎng)段,比如DMZ區(qū)。如附圖所示。蜜罐器不是防火墻,也不是入侵檢測,它的存在的意思在于吸引黑客的攻擊。蜜罐自身有可能被攻破,也有可能成為黑客攻擊真實服務器的跳板。但蜜罐上的程序是沒有任何價值的,是通過吸引黑客的攻擊,分擔了真實服務器的收到攻擊的壓力,采集了黑客的攻擊代碼,取得了黑客入侵蜜罐的證據(jù)。蜜罐/蜜網(wǎng)與防火墻,入侵檢測聯(lián)動使用會起到很好的效果。對于本主動網(wǎng)絡防御系統(tǒng)其可以是建立在一宿主主機上的軟件實現(xiàn)的程序結構,其包括復數(shù)臺虛擬機,取證模塊以及日子模塊,其中復數(shù)臺虛擬機是由宿主主機使用Vmware虛擬機軟件運行多臺虛擬機,分別運行Linux,FreeBSD,WindowNT和Solaris等操作系統(tǒng)。所述的虛擬機都運行了帶有漏洞的服務,同真實服務器在同一網(wǎng)段,這四臺服務器也成為"蜜罐"。在其上同時運行了多種操作系統(tǒng)與應用程序,這些操作系統(tǒng)與應用程序共享硬件裝置,但在邏輯上各自獨立運行互不干擾。虛擬層映射實體的硬件資源到自己本身的虛擬機器資源,因此每個虛擬機都有各自的CPU,內(nèi)存,硬盤,1/0設備等…所以虛擬機器完全等同于一個標準的計算機。虛擬機可以虛擬x86、x86—64、ARM、SPARC、PowerPC和MIPS等不同架構。宿主主機是一臺高性能主機,運行Windowsxp系統(tǒng)。虛擬機程序以虛擬硬盤的方式存在,可以存放其本地硬盤,移動存儲設備或光存儲設備中,四臺蜜罐處于同等地位,下文中"蜜罐"特指Li皿x的蜜罐。蜜罐運行Linux2.6操作系統(tǒng),Linux2.6操作系統(tǒng)上運行帶有漏洞的ApacheGroupApache2.0.46,其mod—rewrite模塊在轉義絕對URI主題時存在單字節(jié)緩沖區(qū)溢出漏洞,攻擊者可能利用此漏洞在服務器上執(zhí)行任意指令。蜜罐關閉除了Apache以外的其它服務,并通過配置其防火墻iptables僅開放本地的http服務。假設黑客占據(jù)了內(nèi)網(wǎng)的一臺主機,以下簡稱黑客主機。黑客主機通過掃描工具mmap掃描某網(wǎng)段內(nèi)在線的主機,mmap在探測蜜罐的80端口是后者做出正確的ICMP應答。黑客主機發(fā)現(xiàn)蜜罐開放了HTTP服務,蜜罐返回的banner判斷服務器為Apache服務器。黑客主機隨后使用ApacheHackerTool對的蜜罐80端口進行重新掃描,發(fā)現(xiàn)了其存在緩沖區(qū)溢出的漏洞。黑客主機利用該漏洞取得了蜜罐服務器的管理員命令解釋程序。在黑客主機取得蜜罐管理員命令解釋程序的同時,由蜜罐上的取證模塊監(jiān)視黑客所取得的命令解釋程序。所述的取證模塊采用黑客常用的注入方式,在新命令解釋程序啟動的同時注入到命令解釋程序中。這段命令解釋程序代碼(shellcode)可以監(jiān)控上傳后門并執(zhí)行后門的整個過程,記錄后門的PID(進程標識符)或者后門進程注入的目標進程等的相關信息,可以將后門程序拷貝到相關目錄存儲,以備研究之用。所述的取證模塊以簡單文本的形式存儲日志,黑客取證模塊在記錄的同時將記錄內(nèi)容發(fā)送給日志模塊。在黑客主機與蜜罐進行交互的同時,運行在宿主主機上的日志模塊將將黑客服務器的數(shù)據(jù)包記錄下來,其中含有黑客攻擊蜜罐的代碼,日志模塊記錄曰志的格式采用snort日志格式,采用其中的兩種才各式XML和純文本,可以通過友好的方式查看黑客服務器與蜜罐之間通信的數(shù)據(jù)包。宿主主機上的日志記錄才莫塊可以通過3,平臺的socket編矛呈或libpcap/winpcap編禾呈來實現(xiàn)。對于本主動網(wǎng)絡防御系統(tǒng)也可以建立在一宿主主機和一硬件構成日志才莫塊的基礎上的,所述的日志模塊可以是硬盤、移動存儲設備、光存儲等設備上,也可以是遠端的日志服務器蜜罐系統(tǒng)通過日志模塊和取證模塊將記錄黑客的攻擊手段和非法入侵的證據(jù)。宿主主機及其日志模塊、客戶主機虛擬服務器及其取證模塊以及日志服務器的聯(lián)動很好的起到誘捕黑客,采集黑客信息的作用,采用這種方式的蜜罐系統(tǒng)有可能記錄到零日攻擊,即以前沒有發(fā)現(xiàn)的攻擊。蜜罐也可以通過純硬件或者軟硬件結合的方式實現(xiàn)。類似于防火墻和入侵才企測系統(tǒng),蜜罐可以搭載在PowerPC等其它架構上,通過裁剪Li皿x內(nèi)核,去掉內(nèi)核中無用的模塊,通過內(nèi)核級虛擬機來實現(xiàn)嵌入式蜜罐。通過在網(wǎng)絡中架設蜜罐或者蜜網(wǎng),誘使黑客掃描、攻擊蜜罐或蜜網(wǎng),蜜罐或蜜網(wǎng)來記錄黑客的行蹤和攻擊手段等信息,迷惑黑客,同時分擔其它處于網(wǎng)絡中的設備被攻擊的危險。以上所述僅為本發(fā)明的較佳實施例,對本發(fā)明而言僅僅是說明性的,而非限制性的。本專業(yè)技術人員理解,在本發(fā)明權利要求所限定的精神和范圍內(nèi)可對其進行許多改變,修改,甚至等效,但都將落入本發(fā)明的保護范圍內(nèi)。權利要求1、一種主動網(wǎng)絡防御方法,其特征在于,其包括的步驟是步驟a在網(wǎng)絡中虛擬設置至少一臺存在明顯安全漏洞的服務器或路由器;步驟b網(wǎng)絡攻擊者利用所述的漏洞取得了所述服務器或路由器的管理員命令解釋程序;步驟c對網(wǎng)絡攻擊者運行命令解釋程序進行監(jiān)視,并將運行過程進行記錄,用以取證。2、根據(jù)權利要求1所述的主動網(wǎng)絡防御方法,其特征在于,所述的服務器或路由器通過配置防火墻隔離開同一網(wǎng)絡中的其他設備。3、根據(jù)權利要求1所述的主動網(wǎng)絡防御方法,其特征在于,所述的步驟c:對網(wǎng)絡攻擊者運行命令解釋程序進行監(jiān)視,并將運行過程進行記錄,用以取證;其包括的步驟為步驟cl:監(jiān)控上傳后門并執(zhí)行后門的整個過程,記錄后門的進程標識符或者后門進程注入的目標進程;步驟c2:將后門程序拷貝到相關目錄存儲;步驟c3:對網(wǎng)絡攻擊者的攻擊信息,以日志的形式進行存儲并發(fā)送給一日志模塊。4、根據(jù)權利要求3所述的主動網(wǎng)絡防御方法,其特征在于,所述的存儲的日志包含黑客登入時間、黑客注銷時間、黑客源IP地址、黑客源MAC地址、黑客上后門命令、黑客后門程序進程標識符/后門程序注入的目標程序的進程標識符以及黑客后門程序名稱。5、根據(jù)權利要求4所述的主動網(wǎng)絡防御方法,其特征在于,所述的日志,其格式采用snort日志才各式,采用其中的兩種格式XML和純文本。6、一種主動網(wǎng)絡防御系統(tǒng),其是基于上述的主動網(wǎng)絡防御方法實現(xiàn)的,其特征在于其包括復數(shù)臺虛擬機,其受操作系統(tǒng)支持,并分別運行具有漏洞的服務程序;一取證模塊,其監(jiān)視網(wǎng)絡攻擊者利用漏洞取得了所述虛擬機的管理員命令解釋程序,將運行過程進行記錄,用以取證;一日志模塊,其接收所述的取證模塊提供的記錄,并進行存儲。7、根據(jù)權利要求6所述的主動網(wǎng)絡防御系統(tǒng),其特征在于,所述的復數(shù)臺虛擬機運行的操作系統(tǒng)分別為Linux,F(xiàn)reeBSD,WindowNT和Solaris其中之8、根據(jù)權利要求6所述的主動網(wǎng)絡防御系統(tǒng),其特征在于,所述的復數(shù)臺虛擬機、取證模塊以及日志模塊都設置在一宿主主機上;或者是所述復數(shù)臺虛擬機、取證模塊設置在一宿主主機上,所述的日志模塊設置一日志服務器上。全文摘要本發(fā)明為一種主動網(wǎng)絡防御方法和系統(tǒng),其實現(xiàn)的方法包括的步驟是步驟a在網(wǎng)絡中虛擬設置至少一臺存在明顯安全漏洞的服務器或路由器;步驟b網(wǎng)絡攻擊者利用所述的漏洞取得了所述服務器或路由器的管理員命令解釋程序;步驟c對網(wǎng)絡攻擊者運行命令解釋程序進行監(jiān)視,并將運行過程進行記錄,用以取證。文檔編號H04L9/36GK101471783SQ200710304568公開日2009年7月1日申請日期2007年12月28日優(yōu)先權日2007年12月28日發(fā)明者瑤丁,凈媛媛,張慶勝,磊王,程登峰申請人:航天信息股份有限公司