專利名稱::信息化生產(chǎn)環(huán)境下基于蜜網(wǎng)的風(fēng)險預(yù)警系統(tǒng)及方法
技術(shù)領(lǐng)域:
:本發(fā)明涉及計算機網(wǎng)絡(luò)安全
技術(shù)領(lǐng)域:
�����,尤其涉及一種信息化生產(chǎn)環(huán)境下基于蜜網(wǎng)的風(fēng)險預(yù)警系統(tǒng)及方法。
背景技術(shù):
:目前,隨著互聯(lián)網(wǎng)技術(shù)的發(fā)展�����,網(wǎng)絡(luò)掃描、蠕蟲與病毒代碼的傳播以及黑客惡意攻擊等已經(jīng)是網(wǎng)絡(luò)上每臺主機隨時可能遇到的危險�����。為了應(yīng)對上述危險���,防病毒軟件和防火墻技術(shù)發(fā)展起來����,但是他們都是被動的。蜜罐和蜜網(wǎng)技術(shù)的提出正式為了主動出擊研究網(wǎng)絡(luò)上這些安全威脅而產(chǎn)生的。蜜網(wǎng)是在蜜罐技術(shù)上逐漸發(fā)展起來的一個新的概念,又可成為誘捕網(wǎng)絡(luò)�����。一個蜜網(wǎng)中通常包含一個或多個蜜罐,蜜罐技術(shù)實質(zhì)上還是一類研究型的高交互蜜罐技術(shù)�。其主要目的是收集黑客的攻擊信息。但與傳統(tǒng)的蜜罐技術(shù)的差異在于,蜜網(wǎng)構(gòu)成了一個黑客誘捕網(wǎng)絡(luò)體系架構(gòu)����,在這個架構(gòu)中�����,可以包含一個或多個蜜罐���,同時保證網(wǎng)絡(luò)的高度可控性���,以及提供多種工具以方便對攻擊信息的采集和分析�����。蜜罐是指部署在網(wǎng)絡(luò)上的,能夠偽裝成真實的網(wǎng)絡(luò)�����、主機和服務(wù),誘惑惡意攻擊的誘餌,其價值在于能夠收集網(wǎng)絡(luò)上的攻擊活動信息��,并對這些信息進行監(jiān)視、檢測和分析�����。蜜網(wǎng)系統(tǒng)是為了收集入侵者的攻擊信息���,因而,如何發(fā)出網(wǎng)絡(luò)警報�����、如何做出實時防護是蜜網(wǎng)系統(tǒng)的一個重要的組成部分。蜜網(wǎng)是一種架構(gòu)��,而不是產(chǎn)品(如計算機軟件),即由一個或多個蜜罐組成�。蜜罐是一個普遍通用的工具,它可以誘騙攻擊者進入該網(wǎng)絡(luò)���,從而分析該網(wǎng)絡(luò)數(shù)據(jù)源的相關(guān)信息�,獲取入侵者的登錄情況����。通常�����,一個蜜網(wǎng)沒有生產(chǎn)價值���,相反�,它的價值在于檢測是否未將授權(quán)而非法使用信息系統(tǒng)資源���。任何進入或離開一個蜜罐的數(shù)據(jù)可能被視為探針���,攻擊或妥協(xié)。通過學(xué)習(xí)如何誘騙攻擊者進入網(wǎng)絡(luò)中��,管理員可以學(xué)習(xí)這些知識�����,以增強其網(wǎng)絡(luò)的防御能力,關(guān)閉在實際網(wǎng)絡(luò)中的相關(guān)漏洞�����。值得特別關(guān)注的是,蜜網(wǎng)是用來捕捉構(gòu)成威脅的數(shù)據(jù)類型的一種高交互蜜罐�,該蜜罐是一般黑客使用的實時操作系統(tǒng)、應(yīng)用或者是服務(wù)�,它的優(yōu)勢就是在于允許網(wǎng)絡(luò)管理員可以看到攻擊者使用什么工具捕獲更多攻擊者的入侵信息����,此外���,這種具備高交互式的蜜罐很難被攻擊者發(fā)現(xiàn)��,由于他的復(fù)雜性�,也難以部署和維護����。高交互式的蜜罐不同于低交互式蜜罐���,這往往提供有限的交互模擬操作系統(tǒng)、應(yīng)用程序和服務(wù)��,但是低交互蜜罐可能更易于部署和維護���,這些較復(fù)雜的系統(tǒng)����,更不易察覺��。此外��,管理員往往只能獲得有限的信息包括攻擊者的相關(guān)戰(zhàn)術(shù)��。蜜罐既不是一臺計算機��,也不作為一臺計算機來使用。蜜網(wǎng)通常是由一個是由一個或多個蜜罐系統(tǒng)架構(gòu)組成。該系統(tǒng)可以包含多個相似或不同的數(shù)據(jù)庫、服務(wù)器、網(wǎng)絡(luò)服務(wù)器、路由器或打印機��。此外�,在這個架構(gòu)中����,網(wǎng)絡(luò)系統(tǒng)設(shè)計為允許黑客相互互動��,可監(jiān)控該發(fā)生的所有活動��。蜜網(wǎng)架構(gòu)一旦被創(chuàng)建,需要及時的部署���,以吸引敵對活動。眾所周知,成功的部署�,要求數(shù)據(jù)控制和數(shù)據(jù)采集相結(jié)合�����。數(shù)據(jù)控制要求在黑客不知道的情況下�,系統(tǒng)自動記錄黑客的各種活動,并且采集黑客所有的相關(guān)信息���,綜上所述����,數(shù)據(jù)控制階段優(yōu)先對數(shù)據(jù)進行采集并集中分析���。在一般情況下��,數(shù)據(jù)控制主要遏制相關(guān)活動并有助于減少黑客使用蜜網(wǎng)來攻擊非蜜網(wǎng)系統(tǒng)的風(fēng)險�����。數(shù)據(jù)控制要求給予黑客進入蜜網(wǎng)并限制其活動的自由�,當(dāng)黑客獲取更多的自由時,黑客會繞過數(shù)據(jù)控制并損害非蜜網(wǎng)的系統(tǒng)����,從而給系統(tǒng)增加風(fēng)險�。然而,當(dāng)更多的活動受到限制時����,它變得更難了解黑客如何滲透到組織內(nèi)網(wǎng)���。想要成功部署實施就要利用多層次的數(shù)據(jù)控制的實施方案,層次包括但不僅限于這些�����,比如說出站連接�����、入侵防御網(wǎng)關(guān)或者是寬帶限制等等��,結(jié)合幾種不同的機制���,可有助于防止單一故障點�����,尤其在處理新的或者是未知的攻擊。蜜網(wǎng)項目也公開建議在一個被封閉的實驗環(huán)境下運作�。當(dāng)然�����,如果有任何機制的失敗(例如����,一個進程死掉���,硬盤驅(qū)動器已滿��,或規(guī)則配置錯誤)蜜網(wǎng)的架構(gòu)可能會阻止所有的出站活動�。普通的蜜網(wǎng)環(huán)境必須要求有數(shù)據(jù)控制�,以滿足特定的目標(biāo)。比如說���,他應(yīng)該同時可實現(xiàn)自定義以及全自動���,同時至少有兩個數(shù)據(jù)控制層�����,以防止故障。當(dāng)數(shù)據(jù)控制系統(tǒng)出現(xiàn)故障時,不允許在一個開放的狀態(tài)下離開系統(tǒng)���,只能允許在蜜罐中訪問�,也應(yīng)該保持所有入站和出站的連接狀態(tài)�����,管理員可以在任何時間能夠在本地或者是遠程配置數(shù)據(jù)控制中心,連接應(yīng)該是難以察覺�����,當(dāng)一個蜜罐被攻破時�����,自動報警應(yīng)立即生效��。數(shù)據(jù)采集主要是在蜜網(wǎng)中監(jiān)測和記錄黑客的活動����。一旦數(shù)據(jù)被捕獲,它將主動被分析�,以了解黑客的工具�����、戰(zhàn)術(shù)和動機���。像數(shù)據(jù)控制以及捕捉信息相結(jié)合組成機制都是至關(guān)重要的��,一般條件下����,層數(shù)越多�����,被捕獲的信息往往獲得的信息越多���。數(shù)據(jù)控制����、數(shù)據(jù)采集也需要滿足某些目標(biāo)。例如�����,蜜網(wǎng)捕獲的數(shù)據(jù)不應(yīng)該存儲在本地的蜜罐��,數(shù)據(jù)采集時應(yīng)排列有序�����,減少數(shù)據(jù)污染��。數(shù)據(jù)污染���,可能進一步污染蜜網(wǎng)�����,這樣���,捕獲的數(shù)據(jù)也就無效��。數(shù)據(jù)污染在任何環(huán)境中都是一個非標(biāo)準(zhǔn)活動����。一個實例也就是管理員通過攻擊蜜網(wǎng)測試收費系統(tǒng)�,其包括所有的入站出站連接(防火墻日志記錄)�����、網(wǎng)絡(luò)活動(也就是數(shù)據(jù)包的捕獲)以及系統(tǒng)活動等等捕獲的的數(shù)據(jù)包存檔至少I年。所有的數(shù)據(jù)包都是實時可視的�����,數(shù)據(jù)并視為自動存檔�,供日后分析。標(biāo)準(zhǔn)化的日志時刻記錄蜜罐的各種部署以及工作模式����。所有被攻陷的蜜罐應(yīng)予以標(biāo)準(zhǔn)化��、詳細化的記錄日志��,再就是蜜網(wǎng)網(wǎng)關(guān)數(shù)據(jù)采集應(yīng)保持時刻一致�,捕獲到的數(shù)據(jù)資源不能有任何修改��,以保證數(shù)據(jù)的完整性保護。然而,數(shù)據(jù)控制���,其最低標(biāo)準(zhǔn)不是因為有不同的可執(zhí)的技術(shù)和方法就可以���,往往數(shù)據(jù)采集需要一個最低標(biāo)準(zhǔn)�,在蜜罐數(shù)據(jù)捕獲中����,應(yīng)首先確定什么樣的數(shù)據(jù)以及什么格式的數(shù)據(jù)���。此外���,防火墻日志應(yīng)轉(zhuǎn)換為iptables的ASCII格式,至于系統(tǒng)本身的活動可使用一個比如Sebek的工具��,作為系統(tǒng)隱藏的內(nèi)核模塊,專門用來捕獲和轉(zhuǎn)儲主機活動的網(wǎng)絡(luò)�,同時預(yù)防黑客非法嗅探網(wǎng)絡(luò)���。除了數(shù)據(jù)控制和數(shù)據(jù)捕獲��,第三個要求也就是數(shù)據(jù)采集,這也是必要的�。通常適用于在分布式環(huán)境中對多個蜜網(wǎng)進行數(shù)據(jù)采集����。這方面可能會比較特殊����,因為蜜網(wǎng)是分布式網(wǎng)絡(luò)的一部分��,對于此來說,這樣做是有用的��,在中心位置收集和捕獲不管是邏輯上還是物理上處在不同位置的網(wǎng)絡(luò)數(shù)據(jù)�。但是����,企業(yè)只有一個蜜網(wǎng)����,擁有數(shù)據(jù)控制和數(shù)據(jù)采集就足夠了。就像數(shù)據(jù)控制和數(shù)據(jù)采集�����,數(shù)據(jù)采集也有一定的實現(xiàn)目標(biāo)�。例如,應(yīng)該有某種形式的蜜網(wǎng)命名定義��,這樣可以保持每個蜜罐網(wǎng)站擁有一個唯一的標(biāo)識符類型。這樣���,從傳感器捕獲的數(shù)據(jù)能夠確保數(shù)據(jù)的保密性�、完整性�����、真實性。相關(guān)機構(gòu)或者是測評組織應(yīng)將數(shù)據(jù)匿名�����,這樣可是組織保持其原IP地址和其他信息的保密。分布式蜜網(wǎng)就像一個網(wǎng)絡(luò)標(biāo)準(zhǔn)化的時間協(xié)議,要時刻保持數(shù)據(jù)的正確同步���。類似數(shù)據(jù)捕獲,數(shù)據(jù)采集也有相關(guān)的標(biāo)準(zhǔn)需要遵循��,這些標(biāo)準(zhǔn)能夠確定什么數(shù)據(jù)�,這些數(shù)據(jù)使用的格式以及命名方式��,到最后發(fā)送到的中央節(jié)點��。比如說��,蜜網(wǎng)的數(shù)據(jù)類型可包括PCAPASCII格式的二進制日志和防火墻日志��,并每天自動轉(zhuǎn)發(fā)到中央節(jié)點�。例如�����,時間命名慣例可遵循的格式為年月日(對應(yīng)文件可為R00-20050825-001A-pcap.log),防火墻日志也可以這樣命名對應(yīng)文件為(例如20050825roo-001A-fwlogs.txt)��。此外,各組織的蜜網(wǎng)都有一個唯一的標(biāo)識符。當(dāng)然,蜜罐的地址的泄漏存在風(fēng)險,風(fēng)險包括危害�����、探測��、禁用和提權(quán)���,當(dāng)蜜網(wǎng)用來攻擊或傷害其他非蜜網(wǎng)系統(tǒng)時����,危害也就存在啦。例如��,黑客可以非法進入蜜網(wǎng)中�����,并向目的受害者發(fā)出攻擊�,探測是指在蜜網(wǎng)中各身份的識別或曝光��,一旦蜜網(wǎng)被發(fā)現(xiàn)或暴露�,其價值會大大降低,因為黑客現(xiàn)在可以忽略或者繞過蜜罐��,從而讓蜜網(wǎng)失去捕獲信息的能力。比如說,如果蜜網(wǎng)區(qū)擁有10個出站連接嘗試��,但黑客已經(jīng)發(fā)現(xiàn)其身份�,此時只需要11次或者更多次數(shù)的出站連接嘗試,并查看第11次或其他次數(shù)是否出站成功�����。另外,黑客在進入蜜網(wǎng)后,如果數(shù)據(jù)包被修改����,將修改后的數(shù)據(jù)包發(fā)往有效載荷系統(tǒng)��,進而在傳輸過程中查看是否修改,此外�����,如果在蜜網(wǎng)服務(wù)器中流量是通過專門的通道來傳輸?shù)?��,那么增加的延遲表明���,蜜網(wǎng)就在其中某個位置���。在蜜罐上�,黑客使用這些方法來檢測檢測數(shù)據(jù)采集功能。如果禁用蜜網(wǎng)相關(guān)功能,將構(gòu)成風(fēng)險�,之所以這么說����,是因為黑客可以在管理員不知情的情況下禁用數(shù)據(jù)控制/數(shù)據(jù)采集功能�,一旦被禁用���,黑客可以繼續(xù)偽造數(shù)據(jù)���,讓管理員認為仍在運行數(shù)據(jù)采集等功能�。由于風(fēng)險不能完全消除����,所以要最大限度的減少風(fēng)險���,這也是未來的最佳途徑�����。為幫助減少這些風(fēng)險�,人們提出各種各樣的意見����,專業(yè)部門指出要有一個相當(dāng)專業(yè)的實時監(jiān)視的蜜罐���?����?勺远x修改,以適應(yīng)自己的蜜罐���,故最終顯示出的結(jié)果是不一樣的,因為蜜罐技術(shù)是開源和公開的,因此�����,任何人,包括黑客����,都具有默認設(shè)置的訪問���。
發(fā)明內(nèi)容本發(fā)明的目的就是為了解決上述問題�����,提供信息化生產(chǎn)環(huán)境下基于蜜網(wǎng)的風(fēng)險預(yù)警系統(tǒng)及方法,它可以自動生成一個可操作的早期預(yù)警系統(tǒng)的決策方案,它可以不斷的掃描惡意活動的流量��,其結(jié)果可智能的分析,并對多個客戶端采取智能行動��。為了實現(xiàn)上述目的�����,本發(fā)明采用如下技術(shù)方案一種信息化生產(chǎn)環(huán)境下基于蜜網(wǎng)的風(fēng)險預(yù)警系統(tǒng)�,包括若干個客戶端�����、蜜網(wǎng)��、蜜網(wǎng)與客戶端之間通過互聯(lián)網(wǎng)連接����,所述蜜網(wǎng)包括蜜罐���、服務(wù)器�����、濾器��、交換機���、數(shù)據(jù)庫、至少一個網(wǎng)絡(luò)分析儀�����、交換機、業(yè)務(wù)信息發(fā)送器�、自動決策裝置�����,所述自動決策裝置包括入侵檢測系統(tǒng)控制臺、分析控制臺�����,所述蜜網(wǎng)是通過互聯(lián)網(wǎng)連接的���,所述服務(wù)器通過交換機與數(shù)據(jù)庫連接,數(shù)據(jù)庫通過網(wǎng)絡(luò)分析儀與交換機連接����,所述交換機連接自動決策裝置���,所述交換機還通過互聯(lián)網(wǎng)與業(yè)務(wù)信息發(fā)送器連接���,所述濾器分別與網(wǎng)絡(luò)分析儀和數(shù)據(jù)庫連接,所述客戶端包括反攻擊盒,交換機和遠端客戶�����,所述反攻擊盒通過交換機與遠端客戶連接����;當(dāng)某一蜜網(wǎng)中的一個蜜罐被攻擊時,蜜罐提前預(yù)警���,告知即將被攻擊的客戶端,這樣客戶端能夠采取適當(dāng)?shù)拇胧?�;被攻擊的蜜罐同時通知其他蜜網(wǎng)���;其他蜜網(wǎng)也預(yù)警其對應(yīng)的客戶端提前采取適當(dāng)?shù)拇胧┓乐构?����,蜜網(wǎng)中的分析控制臺通過智能分析,將客戶端采取措施后生成的報表傳輸給管理員。所述預(yù)警方法的工作流程如下步驟一蜜網(wǎng)的網(wǎng)絡(luò)分析儀監(jiān)聽端口的網(wǎng)絡(luò)流量�����;步驟二蜜網(wǎng)的濾器進行過濾,將監(jiān)聽結(jié)果存儲到數(shù)據(jù)庫���;步驟三蜜網(wǎng)進入三種并行分析階段簽名分析����,統(tǒng)計異常分析和基于數(shù)據(jù)流的分析;步驟四將三種分析的結(jié)果直接送入分析控制臺和入侵檢測系統(tǒng)控制臺��,其中送入分析控制臺的數(shù)據(jù)經(jīng)分析控制臺處理后進入自動決策���,然后進入入侵檢測系統(tǒng)控制臺��;或者,將三種分析結(jié)果先存入數(shù)據(jù)庫�����,然后由數(shù)據(jù)庫中的數(shù)據(jù)再分別送入分析控制臺和入侵檢測系統(tǒng)控制臺����,其中送入分析控制臺的數(shù)據(jù)經(jīng)分析控制臺處理后進入自動決策���,然后進入入侵檢測系統(tǒng)控制臺����。所述步驟四中的分析控制臺的具體工作步驟如下步驟一開始�����;步驟二網(wǎng)絡(luò)分析儀接收數(shù)據(jù)���,接收至少來自一個網(wǎng)絡(luò)分析儀的數(shù)據(jù)��;同時所述網(wǎng)絡(luò)分析儀至少是一個蜜網(wǎng)的一部分�;步驟三生成分類數(shù)據(jù)�,通過把數(shù)據(jù)按照一定的層次結(jié)構(gòu)屬性進行篩選分類����;步驟四對分類的數(shù)據(jù)進行排序�����,至少使用一個預(yù)先確定的屬性��;步驟五與一個客戶端進行會話,至少有一個相關(guān)的屬性�����;步驟六接收來自客戶端的請求��,執(zhí)行一個話題���;步驟七根據(jù)客戶的有關(guān)信息的請求,發(fā)送相關(guān)材料����,并及時通知。所述簽名分析方法是在入侵檢測系統(tǒng)的實現(xiàn)�����,是基于字符串匹配,字符串匹配��,也就是一串代碼�����,通常表示通過比較傳入的數(shù)據(jù)包來檢測特定的惡意流量特征�����;簽名包括一個短語或經(jīng)常攻擊的命令���,如果找到一個匹配�,就會產(chǎn)生警報;如果沒有���,分組對比名單上的簽名�����;直到所有的簽名已經(jīng)過檢查����;一旦完成���,下一個數(shù)據(jù)包會被讀入內(nèi)存�����,其中簽名檢查的過程中會又重新開始��。所述統(tǒng)計異常分析方法是通過比較觀察到的行為與預(yù)期的行為來試圖尋找入侵;統(tǒng)計異常分析是基于特征分析的,它用于檢測新的未知的攻擊�,而不必依賴于匹配觀測數(shù)據(jù)與數(shù)據(jù)庫中已知的攻擊����。所述基于數(shù)據(jù)流的分析是比較當(dāng)前蜜罐的流量以及網(wǎng)絡(luò)總的流量��;觀察網(wǎng)絡(luò)流量�����,集中在一些惡意流量�,互聯(lián)網(wǎng)的最終用戶是看到惡意流量的數(shù)量、識別惡意流量來源的特點�、網(wǎng)絡(luò)流量的類型���、傳輸層協(xié)議����、并根據(jù)五元組,其中包括源目的IP地址����,源和目標(biāo)端口和TLP;對于每個流����,統(tǒng)計數(shù)據(jù)收集不同的時間���,發(fā)送或接收數(shù)據(jù)包的數(shù)量����,源和目標(biāo)參數(shù)���,故障標(biāo)志��,窗口大小����,每個流,甚至僅有一個本地IP和端口號和遠程IP及端口號;本地計算機通常是指客戶端運行并收集信息的主機�����,遠程機通常是指在當(dāng)前網(wǎng)絡(luò)的其他主機;從本地IP和遠端IP收集后一定量的數(shù)據(jù)�����,每個數(shù)據(jù)集進行比較,并使用一個特定的格式�,分析最后確定數(shù)據(jù)。所述網(wǎng)絡(luò)分析儀用來接收數(shù)據(jù)���,并根據(jù)數(shù)據(jù)進行分分類顯示��,并盡可能的達到預(yù)定的屬性層次結(jié)構(gòu)��,排列按照預(yù)定屬性的涉密數(shù)據(jù)����,傳達一個或多個預(yù)定到客戶端的屬性相關(guān)主題���,收到從另一個客戶端傳達的請求��。所述預(yù)定的屬性包括來源�、地理位置��、主題�、嚴(yán)重性、頻率�����、時間�、網(wǎng)絡(luò)協(xié)議�����,詳見如圖七所述�。本發(fā)明的有益效果I它是一個多代理的分布式系統(tǒng)����,可以收集和共享數(shù)據(jù)。2它可以不斷的掃描惡意活動的流量����,其結(jié)果可智能的分析,并對多個客戶端采取智能行動�。3可以自動激活基于事件數(shù)據(jù)的腳本��。當(dāng)然���,也可以使其自主式的反應(yīng)��,如在防火墻上實時的改變防火墻策略作為防御措施或者開始進攻性策略調(diào)整來反擊入侵。4它可以定制個性化以滿足特定需求���。5它只需要或根本不需要特殊的網(wǎng)絡(luò)通信條件就能使硬件升級,由于該方案屬于模塊化系統(tǒng),可以很容易實現(xiàn)系統(tǒng)升級或者擴展���,以致可以實現(xiàn)分布式的設(shè)計優(yōu)勢。圖I是一個交互式蜜罐服務(wù)器場的一個實例圖2和圖3都是顯示的是每一個基于可操作預(yù)警系統(tǒng)的蜜網(wǎng)服務(wù)器場的實施例����;圖4是信息化生產(chǎn)環(huán)境下基于風(fēng)險預(yù)警的蜜網(wǎng)系統(tǒng)的流程圖��;圖5是多種自動決策點��、分支點以及代理人之間關(guān)系圖���;圖6是蜜罐安裝的大體網(wǎng)絡(luò)結(jié)構(gòu)圖;圖7是蜜網(wǎng)詳細的設(shè)置實例圖�;圖8是自動決策點�、分支點和使用java監(jiān)聽代理之間的關(guān)系具體實施例方式下面結(jié)合附圖與實施例對本發(fā)明作進一步說明�����。如圖I所示���,蜜罐被攻擊時�,蜜罐可以告知其攻擊的客戶端�����,以便客戶端能夠采取適當(dāng)?shù)拇胧?。此外���,被攻擊的蜜罐���,也可通知其他蜜網(wǎng)的攻擊�����。這種通信的目的是提醒收到相同或類似的攻擊的客戶端�。更重要的是���,在適當(dāng)?shù)那闆r下��,該告警可以預(yù)警其他客戶采取適當(dāng)?shù)拇胧┮苑乐惯@種攻擊���。如圖2所示���,基于早期預(yù)警系統(tǒng)的一個關(guān)于本發(fā)明蜜網(wǎng)服務(wù)器場的相關(guān)活動��。一個蜜網(wǎng)服務(wù)器場包含多個蜜網(wǎng),他為每個蜜罐的網(wǎng)絡(luò)流量進行檢測并將結(jié)果進行排序����。配置相關(guān)的過濾器,可確定哪些活動或數(shù)據(jù)被視為攻擊�,相關(guān)的數(shù)據(jù)或過濾器可被存儲或打包成數(shù)據(jù)庫存儲��,在數(shù)據(jù)庫中存儲的數(shù)據(jù)可被檢索�����。此外,該過濾器還可過濾網(wǎng)絡(luò)流量中的數(shù)據(jù)形成一個可視化的工具����,方便查看����。然而�,這樣的網(wǎng)絡(luò)可視化工具納入到網(wǎng)絡(luò)分析儀中也不是非常必要的�����。本發(fā)明實例是基于可操作預(yù)警系統(tǒng)的蜜網(wǎng)服務(wù)器場��,計算機等可讀介質(zhì)組成一個或多個蜜網(wǎng)��,可幫助用戶或管理員學(xué)習(xí)入侵的網(wǎng)絡(luò)技術(shù)�����。它允許潛在的攻擊者訪問該蜜罐��,該蜜罐可作為一個虛擬網(wǎng)絡(luò)���,并學(xué)習(xí)各種滲透技術(shù),該計算機等可讀介質(zhì)可自動生成用戶/管理員對當(dāng)前或者潛在未經(jīng)授權(quán)的訪問����,然后決定保衛(wèi)或者是反擊該網(wǎng)絡(luò)。網(wǎng)絡(luò)分析儀�����,可獲取和分析從過濾器發(fā)過來的流量數(shù)據(jù)�。這是網(wǎng)絡(luò)分析儀可作為一個入侵檢測系統(tǒng)(IDS)���。IDS是能夠?qū)崟r分析和IP網(wǎng)絡(luò)的數(shù)據(jù)包記錄�。有些IDS是開源的����,而另一些則不是開源的��。使用靈活的規(guī)則語言�,IDS可執(zhí)行并可尋找或匹配相關(guān)規(guī)則����,并檢測出各種攻擊或嗅探���,可掃描和嗅探不僅于以下這些緩沖區(qū)溢出�、隱形端口掃描�����、CGI攻擊�����、SMB探測、操作系統(tǒng)指紋的嘗試等等�����。網(wǎng)絡(luò)分析儀分析出的結(jié)果����,這些結(jié)果可會被轉(zhuǎn)發(fā)到一個情報中心���,可包括第二個數(shù)據(jù)庫����、分析控制臺��、反饋控制器還有一個全自動自動分析控制臺��。相關(guān)結(jié)果可能先被轉(zhuǎn)發(fā)到第二個數(shù)據(jù)庫���。并存儲相關(guān)結(jié)果��,并將結(jié)果傳輸?shù)椒答伩刂破?���,來進一步分析相關(guān)結(jié)果.在這里��,反饋控制器是可自定義的�����,并不是必要的���,因為并不是每一個網(wǎng)絡(luò)分析模塊都有一個相關(guān)的反饋控制器����。如圖3所示�,本發(fā)明可實時操作,可帶有相關(guān)的數(shù)據(jù)庫�����。若沒有數(shù)據(jù)庫����,可直接將結(jié)果轉(zhuǎn)到分析控制臺或反饋控制器之一或兩者皆發(fā)送�?��!ぷ詣臃治鰞x收到來自分析控制臺的相關(guān)結(jié)果并進行分析����。這些數(shù)據(jù)包括網(wǎng)絡(luò)分析儀/分析控制臺生成的告警,此外,自動分析儀能夠收到來自反饋控制器的數(shù)據(jù)�����,其包括信息的概述、詳細說明以及流量數(shù)據(jù)等等��。如圖5所示���,自動分析儀接收并處理相關(guān)數(shù)據(jù)自動分析儀可將結(jié)果進行歸類(t匕如通過分組���、排序等等)��,相關(guān)屬性包括但不僅限于數(shù)據(jù)環(huán)境����、主題、嚴(yán)重性�����、頻率、時間��、網(wǎng)絡(luò)協(xié)議等等相關(guān)組合����。此外�����,自動分析儀可自動比較相關(guān)攻擊方法���,并建議或決定采取適當(dāng)?shù)拇胧?���。相關(guān)舉例包括但不限于這些�����,有一個行動計劃��,需重新配置防火墻��,若有潛在的攻擊或關(guān)閉系統(tǒng)會通知管理員,在圖示5中可演示出相關(guān)分發(fā)點的表示�����,并且是加密安全的。這也是集中在蜜網(wǎng)服務(wù)器場或其他遠程或分布式的環(huán)境中來操作的?����?蛻舳丝蛇x擇要求執(zhí)行一個或多個主題。本發(fā)明或自動轉(zhuǎn)發(fā)請求�,并通知正在執(zhí)行或已經(jīng)執(zhí)行的客戶端,客戶端可以人工操作或機器自動進行����,一個完整的例子包括但不僅限于蜜網(wǎng)、生產(chǎn)網(wǎng)絡(luò)�、虛擬網(wǎng)和模擬網(wǎng)等��。如圖4所示���,在一個基于可操作的早期預(yù)警系統(tǒng)的蜜網(wǎng)服務(wù)器場中����,指令是由一些有形的計算機可讀介質(zhì)的編碼,是由一臺計算機或計算機相關(guān)設(shè)備的可執(zhí)行文件����,如個人數(shù)字助理(PDA)�,光碟(⑶),⑶播放機��,手機�,USB閃存驅(qū)動器���,軟盤等可以使用任何計算機語言或格式編寫的指令���。計算機語言或格式的例子包括JAVA��,C++,COBOL,XML等等,該說明包括來自一個或多個網(wǎng)絡(luò)分析儀的數(shù)據(jù)(如攻擊或嗅探數(shù)據(jù))�����。接收到的數(shù)據(jù)可能基本上和前面提到的結(jié)果相同。雖然每個網(wǎng)絡(luò)分析儀����,可能是一個蜜網(wǎng)的一部分��,每個網(wǎng)絡(luò)分析儀是另外一個蜜罐服務(wù)器場的一部分。此外����,每個網(wǎng)絡(luò)分析儀���,可能是一個或多個蜜網(wǎng)的夠成組件。接收到的數(shù)據(jù)可以被歸類(例如分組等等)成預(yù)定的屬性等層次結(jié)構(gòu)��。同樣��,這些屬性包括����,但不僅限于測試環(huán)境���、主題��、嚴(yán)重性、頻率�、時間���、使用的網(wǎng)絡(luò)協(xié)議等等��。屬性設(shè)置可根據(jù)管理員的需求�,由管理員設(shè)置��。分類后�,數(shù)據(jù)至少可使用這些預(yù)定的屬性進行排序。此外,這些屬性會被加入相關(guān)格式(例如���,表格,圖形����,圖表��,字母等),方便和客戶端通訊。這種通訊的目的之一是允許客戶端確定哪些主題(S)�。例如(主題包括���,但不僅限于以下幾方面)�,提出了一項活動計劃,重新配置防火墻�,描述了接收數(shù)據(jù)的類型�����,發(fā)動反擊,或關(guān)閉系統(tǒng)等���,識別潛在攻擊并告知管理員����,從客戶端收到一個或多個預(yù)定的屬性請求��,計算機通知客戶端請求的信息�����,如攻擊�,加強安全功能的確認,發(fā)起了反擊���,等相關(guān)信息�?����;诳刹僮鞯脑缙陬A(yù)警系統(tǒng)的蜜網(wǎng)服務(wù)器場包含眾多組件���。這些組件可能包括����,但不僅限于以下一個或更多的路由器�、交換機�、防火墻��、服務(wù)器,流量檢測和存儲服務(wù)器��。例如,體現(xiàn)基于可操作的早期預(yù)警系統(tǒng)的蜜往服務(wù)器場包括一個思科7204VXR路由器,思科2950交換機,思科PLX515E防火墻和VPN,CiscoPIX501防火墻����,十網(wǎng)關(guān)935系列服務(wù)器�,四個IULINUX服務(wù)器,兩個Sunultrapark服務(wù)器��,Arbornet的網(wǎng)絡(luò)流量發(fā)生器和DellTerrabyte存儲服務(wù)器�。如圖6和圖7所示�,互聯(lián)網(wǎng)可以直接連接到CiscoPIX515E防火墻,PIX上的DMZ區(qū)可以連接到CiSco2950交換機����。DMZl可以承載所有適用的服務(wù)器。思科2950交換機上的一個單端口可配置為一個SPAN端口�����。服務(wù)器托管的Snort可以連接到SPAN端口�,這個端口也可以共享由DellTerrabyte存儲服務(wù)器來承擔(dān)��,可能位于后面的第二道防火墻(思科PIX501)Arbornet網(wǎng)絡(luò)流量發(fā)生器�����。一個流量發(fā)生器的目的是產(chǎn)生模擬交通上的DMZ。服務(wù)和交易都應(yīng)該是模擬的��。多個Web服務(wù)器運行的大批量交易可能會讓入侵者更誘人��。此外,e-mail服務(wù)器可運行IMAP和其他電子郵件協(xié)議����,因為當(dāng)今的大多數(shù)攻擊是通過電子郵件和相關(guān)服務(wù)進行。因此�,入侵者可以繞過防火墻或者隧道等電子郵件的協(xié)議��,因為一個典型的防火墻不能防止這樣的電子郵件攻擊��。這種功能是可能會更加吸引入侵者��。CiscoPIX501防火墻基本上只發(fā)送系統(tǒng)外的流量。它通常不接受任何從蜜網(wǎng)域的流量�。因此,入侵者將有可能看到僅在Honeynet的流量����,而不能看到在防火墻后面的流量發(fā)生器。思科PIX515E防火墻�,可以有多個接口��。一個接口可用于DMZl。記錄和監(jiān)測在Cisco2950交換機通過SPAN端口的流量���。從這個端口的監(jiān)測系統(tǒng)收集到的信息可被解析��。如Snort和tcpdump,都可使用。第二接口(如內(nèi)部接口)可以連接到現(xiàn)有的實驗室,其中包括兩部分���,第一部分包括普通電腦連接到互聯(lián)網(wǎng)��;第二部分可以由防火墻隔開���。數(shù)據(jù)流的相關(guān)策略會使用不同的防火墻過濾規(guī)則來實現(xiàn)����。例如,該策略可能(I)允許的HTTP�����,SMTP,ICMP等�����,對PIX515E進入到DMZl(2)只允許設(shè)立的交通到內(nèi)部接口的PIX515E的.(3)不允許從外部到PIX501的任何流量���。以下命令行充分體現(xiàn)了對思科PIX515的示例代碼�。TABLElSampleCodeonaCiscoPIX515E.SampleCodeinterfaceethernetOIObasetinterfaceethernetlIOOfulINameifthernetOoutsidesecurityOnameifethernetlinsidesecuritylOOenablepasswordAL8sZHguc0aiRyabencryptedpasswdAL8sZHguc0aiRyabencryptedhostnameSTOPdomain-namexyz.comaccess-1ist10lpermittcpanyhostl92.168.6.12eq4125access-1ist10lpermittcpanyhostl92.168.6.12eqhttpsaccess-1ist10lpermittcpanyhostl92.168.6.12eq444access-1ist10lpermittcpanyhostl92.168.6.12eqsmtpaccess-1ist10lpermittcpanyhostl92.168.6.6eq4899·access-1ist10lpermittcpanyhostl92.168.6.80eq4899ipaddressoutsidelO.I.10.2255.255.255.0ipaddressinsidel92.168.6.1255.255.255.0global(outside)linterfacenat(inside)10.0.0.00.0.0.000access-grouplOlininterfaceoutsiderouteoutsideO.0.0.00.0.0.010.I.10.11sysoptconnectionpermit-ipsec流量發(fā)生器可用于發(fā)送Honeynet的攻擊數(shù)據(jù)包��。Honeynet的檢測時,可會發(fā)送一個通知到N+1系統(tǒng)��。這種檢測和通知�����,可根據(jù)不同的網(wǎng)絡(luò)分析設(shè)備實現(xiàn)編程邏輯。時間延遲可以計算出使用的數(shù)據(jù)共享機制�。數(shù)據(jù)共享機制可以提醒目的系統(tǒng)和相關(guān)業(yè)務(wù)系統(tǒng)��。這個過程可以通過發(fā)送一個標(biāo)志鏈接的連接,如VPN連接。策略失效(如防火墻規(guī)則)和恢復(fù)的新策略也可能進行整合����。在使用非思科防火墻系統(tǒng)�����,刪除的或具有恢復(fù)機制的策略可以是定制開發(fā)��。CiscoPIX515E防火墻能夠支持小型辦公網(wǎng)絡(luò)的流量帶寬��。如果網(wǎng)絡(luò)中發(fā)生泛洪攻擊并且此攻擊行為未被檢測出來��,便會形成DoS攻擊或者因流量過大而造成網(wǎng)絡(luò)阻塞�。為了阻止DoS攻擊或是網(wǎng)絡(luò)系統(tǒng)阻塞���,PIX基于防火墻技術(shù)實現(xiàn)了一種流量清洗機制���。原理上講PIX515E防火墻會執(zhí)行arp清除命令用來清空arp高速緩存��。保障生產(chǎn)網(wǎng)絡(luò)安全而構(gòu)建蜜網(wǎng)系統(tǒng)�,為了從蜜網(wǎng)系統(tǒng)中取得數(shù)據(jù)�,產(chǎn)品必須允許用戶能夠?qū)W(wǎng)絡(luò)流量進行采集、加以理解并且能夠做出及時的反應(yīng)。為了實現(xiàn)這一目標(biāo)�,對于蜜網(wǎng)系統(tǒng)物理體系結(jié)構(gòu)���,外部模塊是必要的�����。此模塊可以通過思科2950交換機上的span端口(鏡像端口)連接到蜜網(wǎng)系統(tǒng)。利用這種收集方式可以捕獲流量并發(fā)送給蜜網(wǎng)系統(tǒng)。至少要有兩個數(shù)據(jù)采集模塊才能達到最佳效果�。一般情況下�����,受獨立的物理技術(shù)和物理位置的限制,流量以Pcap的格式收集而來�����。許多產(chǎn)品都整合了Iibpcap庫文件��,所以這些產(chǎn)品通常以Pcap的格式讀取數(shù)據(jù)���。為了能夠讀取Pcap格式的數(shù)據(jù)系統(tǒng)和軟件���,需要應(yīng)用諸如TCPDUMP等軟件。TCPDUMP可以將流量重定向到另一個應(yīng)用程序進行分析或是將抓到的數(shù)據(jù)存儲下來做進一步分析。此外�����,許多分析軟件擁有基于Iibpcap的數(shù)據(jù)包捕獲能力作為即時分析來用����。最佳方法是利用TCPDUMP抓取的數(shù)據(jù)來做數(shù)據(jù)流分析和即時數(shù)據(jù)包捕獲,并利用snort開源的沖突檢測引擎做簽名和異常檢測�����。本發(fā)明可使用三種類型的分析簽名分析,統(tǒng)計異常和基于數(shù)據(jù)流的分析��。簽名分析,第一種方法是在入侵檢測系統(tǒng)的實現(xiàn)�����,是基于字符串匹配(也稱為模式匹配)�。字符串匹配��,也就是一串代碼��,通常表示通過比較傳入的數(shù)據(jù)包來檢測特定的惡意流量特征��。簽名可包括一個短語或經(jīng)常攻擊的命令���,如果找到一個匹配��,就會產(chǎn)生警報。如果沒有�����,可分組對比名單上的簽名。簽名可能會產(chǎn)生重復(fù)���,直到所有的簽名已經(jīng)過檢查�����。一旦完成��,下一個數(shù)據(jù)包可會被讀入內(nèi)存����,其中簽名檢查的過程中會又重新開始。最好是使用基于簽名的分析的Snort入侵檢測引擎���。Snort是當(dāng)前非常流行的且開源的��、易于擴展的網(wǎng)絡(luò)流量分析引擎���。引擎可包括相當(dāng)廣泛的規(guī)則集(例如����,簽名)和一個自定義規(guī)則生成靈活的語言���。Snort還包括它自己的數(shù)據(jù)包捕獲接口,可以采取對太網(wǎng)交換機的SPAN端口配置為讀取tcpdump的數(shù)據(jù)文件�。這些規(guī)則的設(shè)置可從遠程控制臺來進行管理。統(tǒng)計異常分析�,通過比較觀察到的行為與預(yù)期的行為來試圖尋找入侵。統(tǒng)計部分���,可有助于描述特定的或預(yù)期行為的概率模型����。統(tǒng)計異常分析的優(yōu)勢是����,基于特征分析的�,它可以用于檢測新的未知的攻擊���,而不必依賴于匹配觀測數(shù)據(jù)與數(shù)據(jù)庫中已知的攻擊��。從本質(zhì)上講,這種分析可有助于實時的入侵檢測�。在統(tǒng)計異常分析時,最好是使用統(tǒng)計數(shù)據(jù)包異常檢測引擎(SPADE)���。SPADE是一開源的應(yīng)用程序,提供基于異常的分析能力����。實際上,SPADE是Snort的插件�,Snort和使用統(tǒng)計相互作用�,通過分配為每個數(shù)據(jù)包的異常得分可試圖找出不尋常的或可疑的數(shù)據(jù)包����。通過匹配常見的包頭域值,可確定異常分數(shù)���。例如�,目的IP地址192.168.I.10的80端口的數(shù)據(jù)是一種包��。然而��,若數(shù)據(jù)包的源IP地址158.187.I.22,目的IP地址192.168.I.10��,這就是另一種數(shù)據(jù)包。SPADE—般維護此概率表的信息��,可通過加權(quán)計算相關(guān)概率���。因此�����,包目標(biāo)IP地址192.168.I.10(例如���,Web服務(wù)器)和目標(biāo)端口80的概率是相當(dāng)高(P(x)=0.5)���,這意味著網(wǎng)絡(luò)流量的一半�����,可以直接流經(jīng)網(wǎng)絡(luò)服務(wù)器�����。然而���,一個外部IP地址��,158.187.1.22發(fā)送一個數(shù)據(jù)包到Web服務(wù)器與FIN標(biāo)志集,概率可能會低得多(P(Y)=O.001)�。實際的異?�?赡茉醋赃@些概率得分,根據(jù)公式A(X)=-log2(P(X))(I)�����,因此,前面的例子���,(X)=I�,而A(y)=9.965�。這些不常見的事件���,往往能夠更加反常����。SPADE在可允許設(shè)置的閾值內(nèi)����,并將警報發(fā)送到的詳細的數(shù)據(jù)資料庫?;跀?shù)據(jù)流的分析一般比較當(dāng)前蜜罐的流量以及網(wǎng)絡(luò)總的流量���。觀察網(wǎng)絡(luò)流量�,通常集中在一些惡意流量�����,互聯(lián)網(wǎng)的最終用戶是看到惡意流量的數(shù)量�、識別惡意流量來源的特點��、網(wǎng)絡(luò)流量的類型�����、傳輸層協(xié)議(如TCP,UDP,ICMP和IGMP���,TLP)、并可以根據(jù)五元組���,其中包括源目的IP地址��,源和目標(biāo)端口和TLP�����。對于每個流����,統(tǒng)計數(shù)據(jù)收集可能包括不同的時間�,發(fā)送或接收數(shù)據(jù)包的數(shù)量,源和目標(biāo)參數(shù)�,故障標(biāo)志��,窗口大小等,每個流,甚至僅有一個本地IP和端口號和遠程IP及端口號����。本地計算機通常是指客戶端運行并收集信息的主機����,遠程機通常是指在當(dāng)前網(wǎng)絡(luò)的其他主機。從本地IP和遠端IP收集后一定量的數(shù)據(jù)�,每個數(shù)據(jù)集進行比較���,并使用一個特定的格式��,如圖形�,圖,表等分析最后確定數(shù)據(jù)��。對于這些分析工具����,配置方法推薦使用。此外��,每個被推薦到本地進行管理的工具或主機,必須通過其基本接口��。但是Snort往往被SnortCenter管理,管理應(yīng)用程序,遠程管理根據(jù)其引擎狀態(tài)通過一個⑶I界面來配置相應(yīng)規(guī)則集。該軟件可與Snort引擎共同配合使用���,但需要安裝一個支持PHP腳本功能的ApacheWebserver�����。實施例本發(fā)明可分為兩個階段進行�。第一階段之間流量檢測性主要依據(jù)類型I和類型II錯誤(如網(wǎng)絡(luò)流量)。第二階段���,確定報警時間���。眾所周知��,基于異常的檢測方法往往具有較高的誤報率。測定檢測的時間和精度���,可幫助用戶確定合適的蜜網(wǎng)。這其中有兩個重要因素�,對當(dāng)前活動網(wǎng)絡(luò)的確定性以及警告的及時性。圖2和3顯示這些模塊之間的交互以及相關(guān)數(shù)據(jù)流。tcpdump的數(shù)據(jù)流可能被送入三個模塊�����,用于檢測簽名���,異常和流量���。其輸出的警告結(jié)果可通過反應(yīng)模塊對其審計進行提交�。如圖7所示����,當(dāng)前某生產(chǎn)網(wǎng)絡(luò)環(huán)境中運行背靠背思科PIX515E防火墻��,網(wǎng)絡(luò)被設(shè)置在遠程區(qū)域。VPN會話可從蜜罐建立到遠程網(wǎng)絡(luò)。攻擊可被發(fā)送到Honeynet用于測試響應(yīng)時間��,還原遠程網(wǎng)絡(luò)的訪問控制列表。一旦被攻擊���,就會監(jiān)控使用交換機的端口,如思科2950交換機�。其可在接口運行監(jiān)控流量?���?刂栖浖\行在引擎中,通過VPN隧道��,思科PIX515防火墻可以發(fā)送一個信號給遠程防火墻�����。另一個模塊中,其位于另一個生產(chǎn)網(wǎng)絡(luò)����,可以分析代碼,做出決定��,并建立一個新的防火墻的訪問控制列表,整個事務(wù)的延遲可在不同負載條件下進一步優(yōu)化�����。本實驗假設(shè)每個網(wǎng)絡(luò)只有一個入口點,或所有入口點執(zhí)行同樣的策略�。這種假設(shè)使網(wǎng)絡(luò)能夠采取更多的預(yù)防措施。然而�����,本發(fā)明還可以允許一個以上的網(wǎng)絡(luò)入口點����。同樣,本發(fā)明在多網(wǎng)絡(luò)流量方向中允許執(zhí)行多條策略。本發(fā)明可刪除以前的策略或覆蓋至少有一個新的策略以保證安全策略更改��。新策略可以是一個安全的或不安全的策略��。但兩者必須要在文件中預(yù)先編寫。此過程在一個或多個防火墻中可被迅速執(zhí)行��。本發(fā)明可創(chuàng)建(或?qū)嵗粋€參數(shù)化的訪問控制列表)相應(yīng)的訪問控制列表。使用網(wǎng)絡(luò)管理系統(tǒng)���,如思科網(wǎng)絡(luò)���,相應(yīng)列表可被自動加載�。這些管理系統(tǒng)是基于基于Web進行管理的。這種方法可允許用戶為每一種情況創(chuàng)建單一的訪問控制列表并允許蜜網(wǎng)服務(wù)器場自動執(zhí)行����。時間可作為實驗的輸出的成果之一��,以確定該架構(gòu)的有效性��。例如�,用戶可能會估計改變交換機策略執(zhí)行后的時間。在通信過程中����,可避免預(yù)先警告的攻擊��,而且可以將攻擊進行分類��。此外�����,當(dāng)數(shù)據(jù)分析單元產(chǎn)生告警時����,用戶可估計攻擊蜜網(wǎng)���、生產(chǎn)網(wǎng)絡(luò)�����,保衛(wèi)自己收緊其周邊之間的總時間�。根據(jù)不同的負載條件和攻擊,可重復(fù)這個過程�����。非實時活動和其他工具入侵檢測分析控制臺(ACID)是一個開源的應(yīng)用程序�����,可以解析不同的日志數(shù)據(jù)格式,包括Snort和SPADE�。此外,ACID可能會顯示在一個簡單的并使用網(wǎng)絡(luò)接口等不同的日志數(shù)據(jù)格式���。告警以及搜索使用一個相當(dāng)復(fù)雜的查詢生成器并進行分組�。ACID控制臺可具備顯示第3層和4層頭信息并將其數(shù)據(jù)包進行解碼的能力。ACID可提供一些有用的可視化功能,包括圖形隨著時間的推移等相關(guān)告警和多種統(tǒng)計圖表�。ACID需要一個Web服務(wù)器和PHP的支持����,同時與數(shù)據(jù)庫搭配使用。本發(fā)明需要兩個數(shù)據(jù)庫����。一個可用于存儲捕獲的網(wǎng)絡(luò)流量��,這個庫可能需要大量的存儲空間���;另一種可用于支持結(jié)構(gòu)化數(shù)據(jù),這有助于分析�����,管理或監(jiān)視組件����。后者容量相對比較小����。例如,后者庫是MySQL或PostgreSQL����?��?梢暬话阕鳛橐粋€單獨的網(wǎng)絡(luò)流量分析并體現(xiàn)本發(fā)明的結(jié)構(gòu)組件。然而�����,可視化也可能被列入為在一個或多個網(wǎng)絡(luò)分析儀,或在一個或多個分析控制臺的工具。其中軟件能夠提供可視化功能的例子包括ACID和CoralReef����。此外,一個開源的工具����,為高層次的網(wǎng)絡(luò)流量的可視化,如Etherape��,可用于顯示每兩點之間線的兩個IP地址之間的連接。行代表是彩色編碼來表示不同的協(xié)議,端點和線條的大小�,可用于引用每個連接的流量。etherape可能被分開安裝��,這樣可實時的生成生成樹端口�����。反過來,可直接發(fā)送到?jīng)Q策者中����。蜜網(wǎng)服務(wù)器場以及分布式實驗本發(fā)明所述的蜜罐可涉及到其他系統(tǒng)的數(shù)據(jù)�。所描述的軟件模塊�,也就是蜜網(wǎng)中的進程數(shù)據(jù)流,可以處理來自多個蜜罐的數(shù)據(jù)���。本發(fā)明可作為源預(yù)警系統(tǒng)的蜜網(wǎng)的集合��。為了實現(xiàn)這一目標(biāo),決策單元的能力可會被擴大�����。代理系統(tǒng)��,可用于管理在線告警和反應(yīng)模塊����。任何一種計算機語言或格式等�����,如Java,可用于創(chuàng)建系統(tǒng)���,如圖8所示。該系統(tǒng)可實現(xiàn)使用不同分發(fā)點實現(xiàn)系統(tǒng)之間發(fā)送消息��。分發(fā)點相關(guān)實例是Java消息服務(wù)器(JMS)。檢測代理(如Snort)���,可將通知發(fā)送到一個自動決策�,如Java(JDM)���。Snort可發(fā)送SNMP告警到JDM����。此時���,JDM可配置��,因此����,這將是可以設(shè)定不同的策略應(yīng)對JDM的告警�。JDM主要功能往往是發(fā)送JMS消息到JMS����。然而,本發(fā)明可使用OpenJMS����,這是一個基于JMS規(guī)范實現(xiàn)的開源工具�����。將來����,OpenJMS可有助于替代其他JMS。偵聽代理��,如Java偵聽代理(JLA),可完成JMS監(jiān)聽敏感事件的完整響應(yīng)過程����,這些事件可基于不同的隊列和主題并將其分類����,將它們發(fā)送到不同的JDMs。如果JLAs是外部系統(tǒng)�����,JLAs可通過VPN進行通信,此時操作JMS�����,以保證JLAs會得到相關(guān)敏感消息�����。根據(jù)當(dāng)前運行的幾As系統(tǒng)���,各種幾As可以不同的方式處理這些消息��。例如�����,在特定的告警�����,目的是要改變防火墻設(shè)置�,從而改變它正在運行的系統(tǒng)上的IP表配置。在本實驗中使用的代碼可附在計算機程序清單中��。此外,蜜網(wǎng)通過他們的垃圾郵件的端口可以用來互相通信�����,如圖7和I所示����。本發(fā)明可體現(xiàn)出基于現(xiàn)成產(chǎn)品來使用蜜罐軟件。由于自動告警���,策略會動態(tài)變化��,蜜罐可基于內(nèi)部輸入(來自另一個蜜罐的流量)或外部輸入來修改策略。例如���,蜜罐I運行在遠程站點�,并與前端防火墻相連,通過VPN建立從蜜罐I到蜜罐2的連接����,如圖7所示。此時攻擊被發(fā)送到蜜罐I,恢復(fù)蜜罐2的訪問控制列表并測試相關(guān)反應(yīng)時間�����。另一次攻擊,則通過網(wǎng)絡(luò)流量發(fā)生器在防火墻之外進行,一旦發(fā)生攻擊,用戶通過監(jiān)視交換機的SPAM端口。SNORT在接口處運行并鏡像流量�,控制軟件運行在決策中心���,決策中心會通過VPN隧道從一個防火墻到另一個防火墻發(fā)出一個信號��。決策中心在另一個生產(chǎn)網(wǎng)絡(luò)中可分析代碼����。以上這些分析�����,決策中心往往作出決定和并向防火墻的添加新的訪問控制列表�����。事務(wù)的延遲在不同負載條件下,還可以進行優(yōu)化�����。上述雖然結(jié)合附圖對本發(fā)明的具體實施方式進行了描述,但并非對本發(fā)明保護范圍的限制��,所屬領(lǐng)域技術(shù)人員應(yīng)該明白�,在本發(fā)明的技術(shù)方案的基礎(chǔ)上�����,本領(lǐng)域技術(shù)人員不需要付出創(chuàng)造性勞動即可做出的各種修改或變形仍在本發(fā)明的保護范圍以內(nèi)。權(quán)利要求1.一種信息化生產(chǎn)環(huán)境下基于蜜網(wǎng)的風(fēng)險預(yù)警系統(tǒng)��,其特征是,包括若干個客戶端、蜜網(wǎng)��,蜜網(wǎng)與客戶端之間通過互聯(lián)網(wǎng)連接�����,所述蜜網(wǎng)包括蜜罐����、服務(wù)器�、濾器����、交換機、數(shù)據(jù)庫��、至少一個網(wǎng)絡(luò)分析儀����、交換機�、業(yè)務(wù)信息發(fā)送器、自動決策裝置�,所述自動決策裝置包括入侵檢測系統(tǒng)控制臺�、分析控制臺����,所述蜜網(wǎng)是通過互聯(lián)網(wǎng)連接的���,所述服務(wù)器通過交換機與數(shù)據(jù)庫連接,數(shù)據(jù)庫通過網(wǎng)絡(luò)分析儀與交換機連接,所述交換機連接自動決策裝置��,所述交換機還通過互聯(lián)網(wǎng)與業(yè)務(wù)信息發(fā)送器連接,所述濾器分別與網(wǎng)絡(luò)分析儀和數(shù)據(jù)庫連接�,所述客戶端包括反攻擊盒���,交換機和遠端客戶,所述反攻擊盒通過交換機與遠端客戶連接���;當(dāng)某一蜜網(wǎng)中的一個蜜罐被攻擊時���,蜜罐提前預(yù)警����,告知即將被攻擊的客戶端,這樣客戶端能夠采取適當(dāng)?shù)拇胧槐还舻拿酃尥瑫r通知其他蜜網(wǎng);其他蜜網(wǎng)也預(yù)警其對應(yīng)的客戶端提前采取適當(dāng)?shù)拇胧┓乐构?��,蜜網(wǎng)中的分析控制臺通過智能分析,將客戶端采取措施后生成的報表傳輸給管理員��。2.如權(quán)利要求I所述的一種信息化生產(chǎn)環(huán)境下基于蜜網(wǎng)的風(fēng)險預(yù)警系統(tǒng),其特征是���,所述網(wǎng)絡(luò)分析儀用來接收數(shù)據(jù),并根據(jù)數(shù)據(jù)進行分分類顯示����,并盡可能的達到預(yù)定的屬性層次結(jié)構(gòu),排列按照預(yù)定屬性的涉密數(shù)據(jù)�,傳達一個或多個預(yù)定到客戶端的屬性相關(guān)主題�,收到從另一個客戶端傳達的請求。3.如權(quán)利要求2所述的一種信息化生產(chǎn)環(huán)境下基于蜜網(wǎng)的風(fēng)險預(yù)警系統(tǒng)�,其特征是,所述預(yù)定的屬性包括來源��、地理位置、主題、嚴(yán)重性�、頻率、時間��、網(wǎng)絡(luò)協(xié)議。4.如權(quán)利要求I所述的一種信息化生產(chǎn)環(huán)境下基于蜜網(wǎng)的風(fēng)險預(yù)警系統(tǒng)所采用的工作方法�,其特征是,具體步驟如下步驟一蜜網(wǎng)的網(wǎng)絡(luò)分析儀監(jiān)聽端口的網(wǎng)絡(luò)流量����;步驟二蜜網(wǎng)的濾器進行過濾,將監(jiān)聽結(jié)果存儲到數(shù)據(jù)庫�;步驟三蜜網(wǎng)進入三種并行分析階段簽名分析�����,統(tǒng)計異常分析和基于數(shù)據(jù)流的分析�;步驟四蜜網(wǎng)將三種分析的結(jié)果直接送入分析控制臺和入侵檢測系統(tǒng)控制臺���,其中送入分析控制臺的數(shù)據(jù)經(jīng)分析控制臺處理后進入自動決策�,然后進入入侵檢測系統(tǒng)控制臺��;或者��,將三種分析結(jié)果先存入數(shù)據(jù)庫��,然后由數(shù)據(jù)庫中的數(shù)據(jù)再分別送入分析控制臺和入侵檢測系統(tǒng)控制臺�����,其中送入分析控制臺的數(shù)據(jù)經(jīng)分析控制臺處理后進入自動決策�����,然后進入入侵檢測系統(tǒng)控制臺���。5.如權(quán)利要求4所述的一種信息化生產(chǎn)環(huán)境下基于蜜網(wǎng)的風(fēng)險預(yù)警方法,其特征是����,所述步驟四中的分析控制臺的具體工作步驟如下步驟一開始;步驟二網(wǎng)絡(luò)分析儀接收數(shù)據(jù)��,接收至少來自一個網(wǎng)絡(luò)分析儀的數(shù)據(jù);同時所述網(wǎng)絡(luò)分析儀至少是一個蜜網(wǎng)的一部分��;步驟三生成分類數(shù)據(jù),通過把數(shù)據(jù)按照一定的層次結(jié)構(gòu)屬性進行篩選分類�����;步驟四對分類的數(shù)據(jù)進行排序,至少使用一個預(yù)先確定的屬性����;步驟五與一個客戶端進行會話��,至少有一個相關(guān)的屬性;步驟六接收來自客戶端的請求�,執(zhí)行一個話題;步驟七根據(jù)客戶的有關(guān)信息的請求��,發(fā)送相關(guān)材料,并及時通知。6.如權(quán)利要求4所述的一種信息化生產(chǎn)環(huán)境下基于蜜網(wǎng)的風(fēng)險預(yù)警方法���,其特征是,所述簽名分析是在入侵檢測系統(tǒng)的實現(xiàn)�����,是基于字符串匹配����,字符串匹配��,也就是一串代碼�����,通常表示通過比較傳入的數(shù)據(jù)包來檢測特定的惡意流量特征;簽名包括一個短語或經(jīng)常攻擊的命令���,如果找到一個匹配�,就會產(chǎn)生警報��;如果沒有,分組對比名單上的簽名����;直到所有的簽名已經(jīng)過檢查�����;一旦完成,下一個數(shù)據(jù)包會被讀入內(nèi)存����,其中簽名檢查的過程中會又重新開始。7.如權(quán)利要求4所述的一種信息化生產(chǎn)環(huán)境下基于蜜網(wǎng)的風(fēng)險預(yù)警方法����,其特征是,所述統(tǒng)計異常分析是通過比較觀察到的行為與預(yù)期的行為來試圖尋找入侵�����;統(tǒng)計異常分析是基于特征分析的,它用于檢測新的未知的攻擊���,而不必依賴于匹配觀測數(shù)據(jù)與數(shù)據(jù)庫中已知的攻擊����。8.如權(quán)利要求4所述的一種信息化生產(chǎn)環(huán)境下基于蜜網(wǎng)的風(fēng)險預(yù)警方法����,其特征是,所述基于數(shù)據(jù)流的分析是比較當(dāng)前蜜罐的流量以及網(wǎng)絡(luò)總的流量����;觀察網(wǎng)絡(luò)流量,集中在一些惡意流量�����,互聯(lián)網(wǎng)的最終用戶是看到惡意流量的數(shù)量�、識別惡意流量來源的特點、網(wǎng)絡(luò)流量的類型、傳輸層協(xié)議��、并根據(jù)五元組���,其中包括源目的IP地址��,源和目標(biāo)端口和TLP;對于每個流��,統(tǒng)計數(shù)據(jù)收集不同的時間,發(fā)送或接收數(shù)據(jù)包的數(shù)量�,源和目標(biāo)參數(shù),故障標(biāo)志��,窗口大小���,每個流����,甚至僅有一個本地IP和端口號和遠程IP及端口號;本地計算機通常是指客戶端運行并收集信息的主機��,遠程機通常是指在當(dāng)前網(wǎng)絡(luò)的其他主機��;從本地IP和遠端IP收集后一定量的數(shù)據(jù)�����,每個數(shù)據(jù)集進行比較,并使用一個特定的格式��,分析最后確定數(shù)據(jù)���。全文摘要本發(fā)明公開了一種信息化生產(chǎn)環(huán)境下基于蜜網(wǎng)的風(fēng)險預(yù)警系統(tǒng)及方法,至少擁有一個網(wǎng)絡(luò)分析儀�。蜜罐被攻擊時���,蜜罐可以告知其攻擊的客戶端�����,以便客戶端能夠采取適當(dāng)?shù)拇胧?��。此外����,被攻擊的蜜罐��,也可通知其他蜜網(wǎng)的攻擊�。這種通信的目的是提醒收到相同或類似的攻擊的客戶端���。更重要的是,在適當(dāng)?shù)那闆r下���,該告警可以預(yù)警其他客戶采取適當(dāng)?shù)拇胧┮苑乐惯@種攻擊��,以此循環(huán)���,通過智能的分析技術(shù)�,將采取措施客戶端并執(zhí)行之后生成的報表傳輸給管理員,供其查看��。由于該方案屬于模塊化系統(tǒng),可以很容易實現(xiàn)系統(tǒng)升級或者擴展���,以致可以實現(xiàn)分布式的設(shè)計優(yōu)勢�。文檔編號H04L29/06GK102882884SQ20121038846公開日2013年1月16日申請日期2012年10月13日優(yōu)先權(quán)日2012年10月13日發(fā)明者任天成,劉新,井俊雙,馬雷,孟瑜申請人:山東電力集團公司電力科學(xué)研究院,國家電網(wǎng)公司