專利名稱:一種蜜場系統(tǒng)中抗大流量攻擊的動態(tài)防御系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及計算機網(wǎng)絡(luò)安全領(lǐng)域�,特別涉及一種蜜網(wǎng)系統(tǒng)中抗大流量攻擊的動態(tài)防御系統(tǒng)����。
背景技術(shù):
蜜罐是指部署在網(wǎng)絡(luò)上���,偽裝成真實的網(wǎng)絡(luò)、主機和服務(wù)�,誘惑惡意攻擊的誘餌,其價值在于收集網(wǎng)絡(luò)上的攻擊活動信息�����,并對這些信息進行監(jiān)視�����、檢測和分析���。蜜網(wǎng)是指誘捕這些攻擊活動的整體網(wǎng)絡(luò)體系架構(gòu)����,一個蜜網(wǎng)系統(tǒng)中通常包含一個或多個蜜罐�����。而在一個有多個子網(wǎng)構(gòu)成的分布式網(wǎng)絡(luò)中�����,分別部署大量分布式蜜網(wǎng)系統(tǒng)��,往往由于距離遙遠��、耗費大量人力物力��,同時很難對其進行統(tǒng)一管理�����。于是��,蜜場技術(shù)應(yīng)運而生��。蜜場是通過將多個蜜罐系統(tǒng)集中部署在一個安全子網(wǎng)����,組建成蜜場環(huán)境,同時在不同分布的受保護子網(wǎng)分別部署重定向器�����,將攻擊或者非業(yè)務(wù)流量重定向蜜場中���,由蜜場控制中心進行統(tǒng)一管理和分析�����。
蜜場技術(shù)的出現(xiàn)大大提高了資源利用率��,便于統(tǒng)一管理和分析��,但是這種技術(shù)方案存在以下幾個問題一�����、難以有效抵抗大流量攻擊�����。蜜場中接收的流量來自多個子網(wǎng)網(wǎng)關(guān)重定向器�,而這些重定向器主要重定向兩種流量,一種是非業(yè)務(wù)訪問流量����,即對業(yè)務(wù)子網(wǎng)中非活躍IP的訪問,以及對活躍主機上的非開放端口的流量���,第二種是業(yè)務(wù)訪問中檢測出的攻擊流量。而這兩種流量具有突發(fā)性強,流量大的特點��。在沒有受到網(wǎng)絡(luò)攻擊時對于這些重定向流量很少����,而大規(guī)模D0S,蠕蟲病毒等網(wǎng)絡(luò)攻擊出現(xiàn)時����,蜜場系統(tǒng)接收到的重定向流量會迅猛增力口,導(dǎo)致某些蜜罐負載過重而出現(xiàn)拒絕服務(wù)��。二�、孤立靜態(tài)防御,沒有實現(xiàn)系統(tǒng)整體聯(lián)動�,防護能力有限。蜜場技術(shù)相對于防火墻�,IDS等安全防護技術(shù)的優(yōu)點在于能夠有效主動防御,檢測出未知攻擊��。而防火墻����,IDS等安全技術(shù)則更擅長訪問控制,保護信息的機密性和完整性等�。在當(dāng)前技術(shù)方案中��,蜜場系統(tǒng)與防火墻��,IDS等其他安全防護系統(tǒng)相互孤立����,各個不同的安全組件沒有有效聯(lián)動���,有機結(jié)合���。蜜場檢測出的新攻擊難以及時更新到其他安全系統(tǒng)中,進行實時防護����,從而很難避免相對靜態(tài),滯后和孤立的防御所造成的損失���。而面對層出不窮的各種威脅��,任何單一安全系統(tǒng)的防御能力都是有限的�����,只有各個安全系統(tǒng)實現(xiàn)有效聯(lián)動�����,取長補短���,才能進行充分而有效的防護。
發(fā)明內(nèi)容
為了解決現(xiàn)有蜜場技術(shù)難以抵抗大流量攻擊和孤立靜態(tài)防御的不足����,本發(fā)明提出一種解決問題的技術(shù)方案,能夠在保證蜜場系統(tǒng)的隱蔽性的前提下抵抗大流量攻擊���,同時實現(xiàn)蜜場系統(tǒng)與防火墻和IDS有機結(jié)合����,互補長短���,從而大大提高了整個系統(tǒng)的高可靠性和高效性�����。
本發(fā)明的技術(shù)方案為一種蜜場系統(tǒng)中抗大流量攻擊的動態(tài)防御系統(tǒng)���,包括部署在每個受保護的子網(wǎng)的網(wǎng)關(guān)上的重定向器����、控制中心和蜜罐群����,所述重定向器包括數(shù)據(jù)捕獲模塊、數(shù)據(jù)檢測模塊�、數(shù)據(jù)轉(zhuǎn)發(fā)模塊和規(guī)則庫,所述控制中心部署有分發(fā)器��、數(shù)據(jù)預(yù)處理模塊�����、數(shù)據(jù)分析模塊和動態(tài)反饋模塊�����,所述蜜罐群中的每個蜜罐系統(tǒng)設(shè)置負載采集模塊和攻擊檢測模塊�;所述數(shù)據(jù)捕獲模塊,用于捕獲來自攻擊者的流量�����,并發(fā)送到數(shù)據(jù)檢測模塊���;所述數(shù)據(jù)檢測模塊���,用于調(diào)用規(guī)則庫中的攻擊規(guī)則對來自攻擊者的流量進行檢測分析��,如果為惡意流量�����,則將流量轉(zhuǎn)發(fā)給數(shù)據(jù)轉(zhuǎn)發(fā)模塊;所述數(shù)據(jù)轉(zhuǎn)發(fā)模塊���,用于將數(shù)據(jù)檢測模塊發(fā)送的流量轉(zhuǎn)發(fā)給分發(fā)器����,將控制中心的分發(fā)器回復(fù)的流量進行外網(wǎng)轉(zhuǎn)發(fā)或重定向�����;所述規(guī)則庫�,用于接受并保存動態(tài)反饋模塊發(fā)送的攻擊規(guī)則;所述分發(fā)器���,用于不斷接收重定向器的數(shù)據(jù)轉(zhuǎn)發(fā)模塊轉(zhuǎn)發(fā)的流量�,并將流量分發(fā)到各個蜜罐系統(tǒng),同時分發(fā)器記錄分發(fā)流量中的數(shù)據(jù)包��,并將數(shù)據(jù)包發(fā)送給數(shù)據(jù)預(yù)處理模塊����;分發(fā)器將流量分發(fā)到各個蜜罐系統(tǒng)過程中,實時接收來自各個蜜罐系統(tǒng)的負載采集模塊發(fā)送的負載信息反饋����,為每個蜜罐系統(tǒng)建立動態(tài)的等待隊列并根據(jù)負載信息實時調(diào)整隊列長度,分發(fā)器接收的重定向器的數(shù)據(jù)轉(zhuǎn)發(fā)模塊轉(zhuǎn)發(fā)的流量中所有數(shù)據(jù)包被添加到等待隊列��,當(dāng)?shù)却犃幸褲M時后面接收的數(shù)據(jù)包將被丟棄���;還將各個蜜罐系統(tǒng)返回的流量回復(fù)到重定向器的數(shù)據(jù)轉(zhuǎn)發(fā)模塊�,同時分發(fā)器記錄回復(fù)流量中的數(shù)據(jù)包��;所述數(shù)據(jù)預(yù)處理模塊����,用于對分發(fā)器發(fā)送的數(shù)據(jù)包進行會話重組,得到數(shù)據(jù)流并發(fā)送給數(shù)據(jù)分析模塊��;所述數(shù)據(jù)分析模塊,用于同時接收數(shù)據(jù)預(yù)處理模塊發(fā)送的數(shù)據(jù)流和蜜罐系統(tǒng)的攻擊檢測模塊檢測出的攻擊特征�,然后對接收的數(shù)據(jù)流和攻擊特征進行關(guān)聯(lián)和聚類分析,提取得到攻擊規(guī)則并發(fā)送到動態(tài)反饋模塊�;所述動態(tài)反饋模塊,用于將攻擊規(guī)則發(fā)送到規(guī)則庫�;所述攻擊檢測模塊,用于實時監(jiān)控攻擊者的行為��,并將檢測出的攻擊特征發(fā)送給控制中心的數(shù)據(jù)分析模塊����;所述負載采集模塊,用于獲取蜜罐系統(tǒng)負載信息并發(fā)送給分發(fā)器��。而且�����,分發(fā)器根據(jù)負載信息實時調(diào)整隊列長度的實現(xiàn)方式包括以下步驟�,步驟1�,截獲重定向器的數(shù)據(jù)轉(zhuǎn)發(fā)模塊轉(zhuǎn)發(fā)的流量中數(shù)據(jù)包;步驟2�,判斷是否到達預(yù)先設(shè)定的周期時間T,如果沒有到達則進入步驟6����,如果到達則進行步驟3 ����;步驟3�����,向各個蜜罐系統(tǒng)發(fā)送負載查詢命令��,接收各個蜜罐系統(tǒng)反饋的負載信息��,并對蜜罐負載信息進行臨時保存��;步驟4��,分發(fā)器利用步驟3保存的蜜罐負載信息���,根據(jù)概率論M/M/S/k排隊模型計算公式��,計算并更新等待隊列長度L ;如果更新 的等待隊列長度L小于或者等于當(dāng)前隊列已有數(shù)據(jù)包排隊的長度S����,則不再接收數(shù)據(jù)包直至數(shù)據(jù)包排隊長度小于等待隊列長度L�����,然后進入步驟5,步驟5����,根據(jù)步驟3保存的蜜罐負載信息,計算并更新記錄各個蜜罐系統(tǒng)的流量分配情況的流量分配權(quán)值表Q �;
步驟6,分發(fā)器根據(jù)當(dāng)前的流量分配權(quán)值表Q��,將流量分配給各個不同的蜜罐系統(tǒng)�。與現(xiàn)有蜜場技術(shù)相比,本發(fā)明通過在蜜場流量入口處部署流量分發(fā)器���,能夠根據(jù)蜜場中各個蜜罐的負載狀況調(diào)整等待隊列長度和流量分配����,從而使得蜜場能夠抵抗突發(fā)的大流量攻擊��。同時���,本發(fā)明通過在控制中心部署攻擊特征動態(tài)反饋模塊,將蜜場與重定向器的IDS�,防火墻有機結(jié)合到一起,系統(tǒng)整體聯(lián)動,動態(tài)防御���,增強了系統(tǒng)的防護性能��。
圖1為本發(fā)明實施例的運行系統(tǒng)結(jié)構(gòu)框圖�;圖2為本發(fā)明實施例的總體流程圖���。圖3為本發(fā)明實施例中流量分發(fā)器的流程圖�����。
具體實施例方式以下結(jié)合附圖和實施例詳細說明本發(fā)明技術(shù)方案����。如附圖1和附圖2所示�,本發(fā) 明提供的一種蜜場系統(tǒng)中抗大流量攻擊的動態(tài)防御系統(tǒng),主要三個部分����,重定向器、控制中心和蜜罐群��,其中重定向器和控制中心�����,為本發(fā)明的特色所在。下面對每部分做詳細說明(I)重定向器部分����。重定向器部署在每個受保護的子網(wǎng)的網(wǎng)關(guān)上,用于向控制中心轉(zhuǎn)發(fā)兩種流量�,一種是非業(yè)務(wù)訪問流量,即對業(yè)務(wù)子網(wǎng)中非活躍IP的訪問流量����,以及對活躍主機上的非開放端口的訪問流量,第二種是業(yè)務(wù)訪問中被檢測出的攻擊流量���。即被網(wǎng)關(guān)檢測系統(tǒng)分析處理后判定為非正常業(yè)務(wù)訪問流量���。非業(yè)務(wù)訪問流量和攻擊流量都被視為惡意流量。同時重定向器也將控制中心回復(fù)的數(shù)據(jù)轉(zhuǎn)發(fā)給攻擊者����。該部分可通過利用入侵防御系統(tǒng)snort_inline和Netfilter技術(shù)結(jié)合實現(xiàn)����,利用snort_inline的特征規(guī)則庫發(fā)現(xiàn)惡意流量����,通過Netfilter實現(xiàn)網(wǎng)絡(luò)流量重定向的方法,將惡意流量困在蜜場中����,從而有效的組織安全威脅的擴散。如附圖2所示����,實施例的重定向器包括數(shù)據(jù)捕獲,數(shù)據(jù)檢測�����,數(shù)據(jù)轉(zhuǎn)發(fā)三個模塊��,并且設(shè)置規(guī)則庫��,用于接受并保存動態(tài)反饋模塊發(fā)送的攻擊規(guī)則��。數(shù)據(jù)捕獲模塊捕獲來自攻擊者的流量�,數(shù)據(jù)檢測模塊利用本地的規(guī)則庫中對其進行檢測分析,如果為惡意流量�����,則將流量轉(zhuǎn)發(fā)給控制中心;如果不是惡意流量��,則進入正常通信流程���。同時��,數(shù)據(jù)轉(zhuǎn)發(fā)模塊將蜜罐回復(fù)給分發(fā)器的流量轉(zhuǎn)發(fā)給攻擊者�。重定向器也接收來自控制中心的攻擊規(guī)則�����,如果該規(guī)則為新規(guī)則���,則將其添加到規(guī)則庫中����。(2)控制中心部分��?����?刂浦行呢撠?zé)管理協(xié)調(diào)各個部件的工作����,是整個系統(tǒng)的核心部分?�?刂浦行氖占瘉碜愿鱾€子網(wǎng)重定向到蜜場的數(shù)據(jù)����,然后通過流量分發(fā)器按照一定策略分發(fā)到各個蜜罐。在這個分發(fā)的過程中��,控制中心記錄���,分析和處理所有流向蜜場的數(shù)據(jù)��,也周期性的查詢和監(jiān)控各個蜜罐系統(tǒng)的負載運行信息����。該部分可基于Linux操作系統(tǒng)實現(xiàn)�,例如通過加強Linux操作系統(tǒng)中的網(wǎng)絡(luò)流量分析模塊(snort, tcpdump, pOf)和取證模塊(sebek, argus)實現(xiàn)。如附圖2所示��,控制中心部分包括����,分發(fā)器�����,數(shù)據(jù)預(yù)處理��,數(shù)據(jù)分析和動態(tài)反饋四個模塊����。分發(fā)器具有數(shù)據(jù)截獲和數(shù)據(jù)分發(fā)的功能����,分發(fā)器不斷接收重定向器轉(zhuǎn)發(fā)的流量,并將流量分發(fā)到各個蜜罐��,同時分發(fā)器記錄重定向器轉(zhuǎn)發(fā)的流量中所有的數(shù)據(jù)包�����,并將數(shù)據(jù)包發(fā)送給數(shù)據(jù)預(yù)處理模塊���。數(shù)據(jù)預(yù)處理模塊對數(shù)據(jù)包進行會話重組����,得到數(shù)據(jù)流并將其發(fā)送給數(shù)據(jù)分析模塊。數(shù)據(jù)分析模塊同時接收蜜罐的攻擊檢測模塊檢測出的攻擊特征����,然后對接收的數(shù)據(jù)流和攻擊特征進行關(guān)聯(lián)和聚類分析,提取得到攻擊規(guī)則����,接著通過動態(tài)反饋模塊將攻擊規(guī)則反饋給重定向器����。同時,分發(fā)器接收來自蜜罐回復(fù)的負載信息反饋��,為每個蜜罐系統(tǒng)建立動態(tài)的等待隊列并根據(jù)負載信息實時調(diào)整隊列長度��,分發(fā)器接收的重定向器的數(shù)據(jù)轉(zhuǎn)發(fā)模塊轉(zhuǎn)發(fā)的流量中所有數(shù)據(jù)包被添加到等待隊列���,當(dāng)?shù)却犃幸褲M時后面接收的數(shù)據(jù)包將被丟棄��;分發(fā)器還將各個蜜罐系統(tǒng)返回的流量回復(fù)到重定向器的數(shù)據(jù)轉(zhuǎn)發(fā)模塊����,同時分發(fā)器記錄回復(fù)流量中的數(shù)據(jù)包���,重定向器的數(shù)據(jù)轉(zhuǎn)發(fā)模塊會將分發(fā)器回復(fù)的流量進行外網(wǎng)轉(zhuǎn)發(fā)或重定向��。為提高效率起見��,實施例的分發(fā)器進一步設(shè)計為具有三個主要功能1���、實時接收來自各個蜜罐系統(tǒng)的負載信息反饋���。該反饋信息由蜜罐系統(tǒng)的CPU利用率(CPU),內(nèi)存利用率(MEM)��,網(wǎng)絡(luò)帶寬占用率(NET)�����,磁盤I/O速率(DISK)四個參數(shù)決定�����。2���、為每個蜜罐系統(tǒng)建立動態(tài)等待隊列��,實時調(diào)整隊列長度�。為了減緩流量爆發(fā)式增長給蜜罐帶來壓力,本發(fā)明在分發(fā)器中建立了動態(tài)等待隊列���,分發(fā)器接收的重定向器的數(shù)據(jù)轉(zhuǎn)發(fā)模塊轉(zhuǎn)發(fā)的流量中所有數(shù)據(jù)包被添加到動態(tài)等待隊列��,當(dāng)?shù)却犃幸褲M時�����,后面接收的數(shù)據(jù)包將被丟棄。由于需要盡可能減少延遲等待時間提高蜜場系統(tǒng)的隱蔽性���,所以這個等待隊列不宜設(shè)置太長�。因此���,本發(fā)明實施例根據(jù)蜜場流量特點��,利用經(jīng)典概率論M/M/S/k排隊模型��,能夠根據(jù)各蜜罐系統(tǒng)的當(dāng)前負載信息動態(tài)調(diào)整等待隊列長度�,從而使得平均等待時間較短��,同時使得流量丟失率較低���。3���、接收重定向器轉(zhuǎn)發(fā)的流量�����,并將流量統(tǒng)一分發(fā)給各個不同的蜜罐�����。由于各個不同蜜罐系統(tǒng)的負載能力不同����,和處理不同數(shù)據(jù)連接所需系統(tǒng)資源不同���,所以為了使得各個蜜罐負載均衡�����,保證系統(tǒng)的可靠性和穩(wěn)定性�����,分發(fā)器能夠根據(jù)蜜罐當(dāng)前負載狀況調(diào)整各個蜜罐的流量分配�。當(dāng)某個蜜 罐系統(tǒng)上的流量迅猛增加,系統(tǒng)的負載進入預(yù)先設(shè)定的預(yù)警區(qū)間時����,分發(fā)器主動調(diào)整增加它的負載率,加速減少它的流量分配�����。實施例的各模塊分別執(zhí)行工作如下所述數(shù)據(jù)捕獲模塊�,用于捕獲來自攻擊者的流量,并發(fā)送到數(shù)據(jù)檢測模塊��;所述數(shù)據(jù)檢測模塊�����,用于調(diào)用規(guī)則庫中的攻擊規(guī)則對來自攻擊者的流量進行檢測分析����,如果為惡意流量���,則將流量轉(zhuǎn)發(fā)給數(shù)據(jù)轉(zhuǎn)發(fā)模塊���;所述數(shù)據(jù)轉(zhuǎn)發(fā)模塊�,用于將數(shù)據(jù)檢測模塊發(fā)送的流量轉(zhuǎn)發(fā)給分發(fā)器����,將控制中心的分發(fā)器回復(fù)的流量進行外網(wǎng)轉(zhuǎn)發(fā)或重定向;所述規(guī)則庫���,用于接受并保存動態(tài)反饋模塊發(fā)送的攻擊規(guī)則����;所述分發(fā)器�,用于不斷接收重定向器的數(shù)據(jù)轉(zhuǎn)發(fā)模塊轉(zhuǎn)發(fā)的流量,并將流量分發(fā)到各個蜜罐系統(tǒng)��,同時分發(fā)器記錄分發(fā)流量中的數(shù)據(jù)包�����,并將數(shù)據(jù)包發(fā)送給數(shù)據(jù)預(yù)處理模塊���;分發(fā)器將流量分發(fā)到各個蜜罐系統(tǒng)過程中�,實時接收來自各個蜜罐系統(tǒng)的負載采集模塊發(fā)送的負載信息反饋����,為每個蜜罐系統(tǒng)建立動態(tài)的等待隊列并根據(jù)負載信息實時調(diào)整隊列長度��,分發(fā)器接收的重定向器的數(shù)據(jù)轉(zhuǎn)發(fā)模塊轉(zhuǎn)發(fā)的流量中所有數(shù)據(jù)包被添加到等待隊列�,當(dāng)?shù)却犃幸褲M時后面接收的數(shù)據(jù)包將被丟棄�����;還將各個蜜罐系統(tǒng)返回的流量回復(fù)到重定向器的數(shù)據(jù)轉(zhuǎn)發(fā)模塊��,同時分發(fā)器記錄回復(fù)流量中的數(shù)據(jù)包���;所述數(shù)據(jù)預(yù)處理模塊�,用于對分發(fā)器發(fā)送的數(shù)據(jù)包進行會話重組�����,得到數(shù)據(jù)流并發(fā)送給數(shù)據(jù)分析模塊����;所述數(shù)據(jù)分析模塊�,用于同時接收數(shù)據(jù)預(yù)處理模塊發(fā)送的數(shù)據(jù)流和蜜罐系統(tǒng)的攻擊檢測模塊檢測出的攻擊特征,然后對接收的數(shù)據(jù)流和攻擊特征進行關(guān)聯(lián)和聚類分析�����,提取得到攻擊規(guī)則并發(fā)送到動態(tài)反饋模塊;所述動態(tài)反饋模塊�,用于將攻擊規(guī)則發(fā)送到規(guī)則庫;所述攻擊檢測模塊�����,用于實時監(jiān)控攻擊者的行為����,并將檢測出的攻擊特征發(fā)送給控制中心的數(shù)據(jù)分析模塊;所述負載采集模塊��,用于獲取蜜罐系統(tǒng)負載信息并發(fā)送給分發(fā)器�。附圖3為實施例的控制中心中分發(fā)器的詳細工作流程圖301:首先,分發(fā)器截獲來自各個子網(wǎng)重定向的數(shù)據(jù)包(即重定向器的數(shù)據(jù)轉(zhuǎn)發(fā)模塊轉(zhuǎn)發(fā)的流量中數(shù)據(jù)包)�,對數(shù)據(jù)包進行下一步處理�。302 :分發(fā)器判斷是否到達預(yù)先設(shè)定的周期時間T。如果沒有到達�����,則按照當(dāng)前的權(quán)值表為各個蜜罐分配流量,不調(diào)整等待隊列長度����,進入步驟306��。如果到達預(yù)先設(shè)定的周期時間T�����,則進行下一步操作303����,來調(diào)整等待隊列長度和各個蜜罐流量分配權(quán)值���。303:分發(fā)器向各個蜜罐系統(tǒng)發(fā)送負載查詢命令,接收各個蜜罐系統(tǒng)反饋的負載信息���,并對蜜罐負載信息進行臨時保存�����。304 :分發(fā)器利用步驟303保存的蜜罐負載信息�����,根據(jù)概率論M/M/S/k排隊模型計算公式,計算并更新等待隊列長度L����。當(dāng)分發(fā)器接收到重定向器轉(zhuǎn)發(fā)的數(shù)據(jù)包后�,在將其添加到等待隊列之前���,會判斷計算的新長度L與當(dāng)前隊列已有數(shù)據(jù)包排隊的長度S�����。如果計算出的新長度L小于或者等于當(dāng)前隊列已有數(shù)據(jù)包排隊的長度S���,則不再接收數(shù)據(jù)包直至數(shù)據(jù)包排隊長度小于新長度L,然后繼續(xù)后續(xù)步驟305�,306。如果新長度L大于當(dāng)前隊列已有數(shù)據(jù)包長度S�����,則返回步驟301繼續(xù)接收數(shù)據(jù)包���。為便于實施參考����,提供實施例的等待隊列長度L計算公式如下
權(quán)利要求
1.一種蜜場系統(tǒng)中抗大流量攻擊的動態(tài)防御系統(tǒng),包括部署在每個受保護的子網(wǎng)的網(wǎng)關(guān)上的重定向器�����、控制中心和蜜罐群��,所述重定向器包括數(shù)據(jù)捕獲模塊�����、數(shù)據(jù)檢測模塊��、數(shù)據(jù)轉(zhuǎn)發(fā)模塊和規(guī)則庫��,所述控制中心部署有分發(fā)器����、數(shù)據(jù)預(yù)處理模塊、數(shù)據(jù)分析模塊和動態(tài)反饋模塊����,所述蜜罐群中的每個蜜罐系統(tǒng)設(shè)置負載采集模塊和攻擊檢測模塊; 所述數(shù)據(jù)捕獲模塊�,用于捕獲來自攻擊者的流量,并發(fā)送到數(shù)據(jù)檢測模塊�; 所述數(shù)據(jù)檢測模塊����,用于調(diào)用規(guī)則庫中的攻擊規(guī)則對來自攻擊者的流量進行檢測分析����,如果為惡意流量�����,則將流量轉(zhuǎn)發(fā)給數(shù)據(jù)轉(zhuǎn)發(fā)模塊�����; 所述數(shù)據(jù)轉(zhuǎn)發(fā)模塊�,用于將數(shù)據(jù)檢測模塊發(fā)送的流量轉(zhuǎn)發(fā)給分發(fā)器,將控制中心的分發(fā)器回復(fù)的流量進行外網(wǎng)轉(zhuǎn)發(fā)或重定向�����; 所述規(guī)則庫����,用于接受并保存動態(tài)反饋模塊發(fā)送的攻擊規(guī)則; 所述分發(fā)器����,用于不斷接收重定向器的數(shù)據(jù)轉(zhuǎn)發(fā)模塊轉(zhuǎn)發(fā)的流量�,并將流量分發(fā)到各個蜜罐系統(tǒng)�,同時分發(fā)器記錄分發(fā)流量中的數(shù)據(jù)包,并將數(shù)據(jù)包發(fā)送給數(shù)據(jù)預(yù)處理模塊�;分發(fā)器將流量分發(fā)到各個蜜罐系統(tǒng)過程中,實時接收來自各個蜜罐系統(tǒng)的負載采集模塊發(fā)送的負載信息反饋��,為每個蜜罐系統(tǒng)建立動態(tài)的等待隊列并根據(jù)負載信息實時調(diào)整隊列長度����,分發(fā)器接收的重定向器的數(shù)據(jù)轉(zhuǎn)發(fā)模塊轉(zhuǎn)發(fā)的流量中所有數(shù)據(jù)包被添加到等待隊列,當(dāng)?shù)却犃幸褲M時后面接收的數(shù)據(jù)包將被丟棄���;還將各個蜜罐系統(tǒng)返回的流量回復(fù)到重定向器的數(shù)據(jù)轉(zhuǎn)發(fā)模塊��,同時分發(fā)器記錄回復(fù)流量中的數(shù)據(jù)包��; 所述數(shù)據(jù)預(yù)處理模塊���,用于對分發(fā)器發(fā)送的數(shù)據(jù)包進行會話重組,得到數(shù)據(jù)流并發(fā)送給數(shù)據(jù)分析模塊���; 所述數(shù)據(jù)分析模塊���,用于同時接收數(shù)據(jù)預(yù)處理模塊發(fā)送的數(shù)據(jù)流和蜜罐系統(tǒng)的攻擊檢測模塊檢測出的攻擊特征�,然后對接收的數(shù)據(jù)流和攻擊特征進行關(guān)聯(lián)和聚類分析����,提取得到攻擊規(guī)則并發(fā)送到動態(tài)反饋模塊���; 所述動態(tài)反饋模塊��,用于將攻擊規(guī)則發(fā)送到規(guī)則庫�; 所述攻擊檢測模塊�,用于實時監(jiān)控攻擊者的行為,并將檢測出的攻擊特征發(fā)送給控制中心的數(shù)據(jù)分析模塊��; 所述負載采集模塊���,用于獲取蜜罐系統(tǒng)負載信息并發(fā)送給分發(fā)器��。
2.如權(quán)利要求1所述一種蜜場系統(tǒng)中抗大流量攻擊的動態(tài)防御系統(tǒng)���,其特征在于分發(fā)器根據(jù)負載信息實時調(diào)整隊列長度的實現(xiàn)方式包括以下步驟, 步驟1�����,截獲重定向器的數(shù)據(jù)轉(zhuǎn)發(fā)模塊轉(zhuǎn)發(fā)的流量中數(shù)據(jù)包; 步驟2����,判斷是否到達預(yù)先設(shè)定的周期時間T,如果沒有到達則進入步驟6��,如果到達則進行步驟3 ����; 步驟3,向各個蜜罐系統(tǒng)發(fā)送負載查詢命令���,接收各個蜜罐系統(tǒng)反饋的負載信息�����,并對蜜罐負載信息進行臨時保存�����; 步驟4����,分發(fā)器利用步驟3保存的蜜罐負載信息,根據(jù)概率論M/M/S/k排隊模型計算公式�����,計算并更新等待隊列長度L ; 如果更新的等待隊列長度L小于或者等于當(dāng)前隊列已有數(shù)據(jù)包排隊的長度S����,則不再接收數(shù)據(jù)包直至數(shù)據(jù)包排隊長度小于等待隊列長度L,然后進入步驟5�����, 步驟5���,根據(jù)步驟3保存的蜜罐負載信息,計算并更新記錄各個蜜罐系統(tǒng)的流量分配情況的流量分配權(quán)值表Q ��;步 驟6���,分發(fā)器根據(jù)當(dāng)前的流量分配權(quán)值表Q��,將流量分配給各個不同的蜜罐系統(tǒng)���。
全文摘要
本發(fā)明提供一種蜜場系統(tǒng)中抗大流量攻擊的動態(tài)防御系統(tǒng)�,通過在蜜場流量入口處部署流量分發(fā)器���,能夠根據(jù)蜜場中各個蜜罐的負載狀況調(diào)整等待隊列長度和流量分配�,從而使得蜜場能夠抵抗突發(fā)的大流量攻擊�����。同時����,本發(fā)明通過在控制中心部署攻擊特征動態(tài)反饋模塊,將蜜場與重定向器的IDS�,防火墻有機結(jié)合到一起,系統(tǒng)整體聯(lián)動�,動態(tài)防御,增強了系統(tǒng)的防護性能����。
文檔編號H04L29/06GK103051615SQ20121054608
公開日2013年4月17日 申請日期2012年12月14日 優(yōu)先權(quán)日2012年12月14日
發(fā)明者陳晶, 杜瑞穎 申請人:陳晶, 杜瑞穎