基于數(shù)字水印和蜜罐技術(shù)的網(wǎng)絡(luò)追蹤系統(tǒng)的制作方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及計(jì)算機(jī)網(wǎng)絡(luò)通信安全技術(shù)領(lǐng)域���,尤其涉及網(wǎng)絡(luò)追蹤系統(tǒng)。
【背景技術(shù)】
[0002]隨著網(wǎng)絡(luò)安全的威脅日益嚴(yán)重��,網(wǎng)絡(luò)追蹤已成為網(wǎng)絡(luò)安全研究領(lǐng)域的熱點(diǎn)問題����。然而,網(wǎng)絡(luò)追蹤的實(shí)現(xiàn)受到多方面因素的制約��,主要體現(xiàn)在一下方面:首先���,用于Internet的TCP/IP協(xié)議設(shè)計(jì)之初沒有考慮到安全問題���,沒有對(duì)可疑用戶活動(dòng)進(jìn)行阻止的有效機(jī)制,沒有對(duì)用戶活動(dòng)進(jìn)行追蹤的設(shè)計(jì)����;第二�����,網(wǎng)絡(luò)流量和寬帶的迅速發(fā)展以及隧道技術(shù)的使用增大了網(wǎng)絡(luò)追蹤的難度�����;第三��,網(wǎng)絡(luò)攻擊手段的發(fā)展和代理���、跳板技術(shù)的使用使得網(wǎng)絡(luò)追蹤難以奏效。
[0003]目前��,針對(duì)不同形式的特點(diǎn)的網(wǎng)絡(luò)攻擊��,提出了許多采用不同網(wǎng)絡(luò)追蹤方法的網(wǎng)絡(luò)追蹤系統(tǒng)�。網(wǎng)絡(luò)追蹤方法主要有鏈路測(cè)試法、入口過(guò)濾法數(shù)據(jù)包記錄法�����、路徑記錄法��、ICMP追蹤法、日志記錄法���、Ipsec鑒別法和數(shù)據(jù)包標(biāo)記法等。現(xiàn)有的網(wǎng)絡(luò)追蹤技術(shù)存在或多或少的不足���,沒有一種解決方案可以實(shí)現(xiàn)有效追蹤所規(guī)定的所有需求����。第一��,要對(duì)網(wǎng)絡(luò)攻擊���、入侵進(jìn)行追蹤����,則先要發(fā)現(xiàn)網(wǎng)絡(luò)攻擊與入侵�����,但是��,現(xiàn)有的入侵檢測(cè)技術(shù)還不能完全解決入侵漏洞和虛警的問題���。第二�����,目前研究和討論最多的網(wǎng)絡(luò)追蹤技術(shù)是基于報(bào)文或貨數(shù)據(jù)包的追蹤方法�,而基于報(bào)文或數(shù)據(jù)包的追蹤方法的關(guān)鍵技術(shù)是在報(bào)文或貨數(shù)據(jù)包中添加標(biāo)志數(shù)據(jù)或字段,然后通過(guò)對(duì)這些標(biāo)志數(shù)據(jù)或字段的檢測(cè)與追蹤來(lái)實(shí)現(xiàn)對(duì)攻擊與入侵的追蹤�����。不管采用哪種方式來(lái)添加標(biāo)志數(shù)據(jù)���,都會(huì)增加路由器或其他追蹤設(shè)備的開銷��,并增加網(wǎng)絡(luò)的流量���,并且這些添加的標(biāo)志數(shù)據(jù)或有效字段有可能會(huì)被攻擊者察覺而偽造數(shù)據(jù)包來(lái)逃避追蹤,因此���,現(xiàn)有的基于報(bào)文或數(shù)據(jù)包的追蹤方法有其固有的缺點(diǎn)�。
[0004]數(shù)字水印技術(shù)是20世紀(jì)90年代出現(xiàn)的一門嶄新的技術(shù)����,它通過(guò)在數(shù)字產(chǎn)品(入圖像、視頻、音頻��、文本等)中嵌入可感知或不可感知的特定信息來(lái)確定數(shù)字產(chǎn)品的所有權(quán)或檢驗(yàn)數(shù)字內(nèi)容的原始性�����,這些特定的信息系包括作者的序列號(hào)����、公司標(biāo)志�����、有意義的文本等等�����。數(shù)字水印技術(shù)通過(guò)一定的算法將一些標(biāo)志性信息嵌入被保護(hù)的對(duì)象當(dāng)中�����,只通過(guò)專用的檢測(cè)器或閱讀器才能準(zhǔn)確檢測(cè)或提取��。這些信息不影響元數(shù)據(jù)使用效果���,并可以部分或全部從混合數(shù)據(jù)中恢復(fù)出來(lái)����。一般來(lái)講,密碼技術(shù)不能對(duì)解密后數(shù)據(jù)提供進(jìn)一步保護(hù)��,數(shù)字難以在原始數(shù)據(jù)中一次性嵌入大量信息�,數(shù)字標(biāo)簽容易被修改和剔除,而數(shù)字水印技術(shù)卻很好地彌補(bǔ)了這些不足����。
[0005]蜜網(wǎng)項(xiàng)目組(the honey project)的創(chuàng)始人lance spitzner對(duì)蜜罐的定義是:蜜罐是一種安全資源,其價(jià)值在于被掃描���、攻擊和攻陷�����。這個(gè)定義表明蜜罐并無(wú)其他實(shí)際作用��,因此所有進(jìn)出蜜罐的網(wǎng)絡(luò)流量都可能預(yù)示了掃描����、攻擊和攻陷���。而蜜罐的核心價(jià)值就這樣對(duì)這些攻擊活動(dòng)進(jìn)行監(jiān)視����、檢測(cè)盒分析。蜜罐是一種安全資源而并非一種安全解決方案��,其價(jià)值體現(xiàn)在被探測(cè)����、攻擊或者摧毀的時(shí)候���。這意味著無(wú)論講何物指定為蜜罐�,部署者的期望和目標(biāo)就是讓系統(tǒng)被別人探測(cè)�����、攻擊并有可能被攻破的可能����。蜜罐作為一種偽裝成真實(shí)目標(biāo)的資源庫(kù),它可以模擬各種操作系統(tǒng)及漏洞��,也可以虛擬出各種網(wǎng)絡(luò)服務(wù)�。它是設(shè)計(jì)用料對(duì)入侵的攻擊行為進(jìn)行記錄的誘捕系統(tǒng)����,通過(guò)對(duì)攻擊者行為的記錄分析可以獲得攻擊者的相關(guān)信息����,從而掌握攻擊者的攻擊技術(shù)和攻擊意圖,對(duì)重要防護(hù)目標(biāo)采取有針對(duì)性的防御措施����,同時(shí)也可以實(shí)現(xiàn)對(duì)攻擊的追蹤等。
【發(fā)明內(nèi)容】
[0006]本發(fā)明所要解決的技術(shù)問題是提供一種網(wǎng)絡(luò)追蹤系統(tǒng)����,它不僅增強(qiáng)了追蹤的主動(dòng)性,減輕了追蹤的各種開銷�,而且在實(shí)現(xiàn)和效果上具有更高的準(zhǔn)確性、有效性和可操作性�����。
[0007]為了實(shí)現(xiàn)上述目的����,本發(fā)明提供了一種利用數(shù)字水印和蜜罐技術(shù)的網(wǎng)絡(luò)追蹤系統(tǒng),其特征為�����,包括:
蜜罐系統(tǒng)模塊,安裝在主機(jī)設(shè)備上���,并掛入主機(jī)設(shè)備的操作系統(tǒng)��;它以偽裝服開放訪問端口和設(shè)置敏感信息文件等方式對(duì)掃描����、探測(cè)和訪問進(jìn)行欺騙��,并引誘攻擊者對(duì)其實(shí)施攻擊��;監(jiān)聽網(wǎng)絡(luò)上的掃描��、探測(cè)事件��,判斷該事件是否符合系統(tǒng)安全策略���,若不符合,則蜜罐系統(tǒng)根據(jù)欺騙��、誘導(dǎo)策略對(duì)攻擊者進(jìn)行欺騙�����,講攻擊連接引向蜜罐主機(jī),并誘導(dǎo)其訪問敏感信息文件�����;一旦蜜罐系統(tǒng)監(jiān)控到有對(duì)數(shù)字水印系統(tǒng)的訪問�����,馬上生成追蹤申請(qǐng)信息發(fā)送到追蹤服務(wù)控制臺(tái)���,并且接收追蹤服務(wù)控制臺(tái)的返回結(jié)果���。
[0008]數(shù)字水印系統(tǒng)模塊,安裝在主機(jī)設(shè)備上�,并掛入主機(jī)設(shè)備的操作系統(tǒng);其主要用于生成數(shù)字水印����,并將數(shù)字水印嵌入到所述蜜罐系統(tǒng)的敏感信息文件中。
[0009]追蹤服務(wù)控制臺(tái)系統(tǒng)模塊�,安裝在所述追蹤服務(wù)控制臺(tái)設(shè)備上,其作用在于����,追蹤服務(wù)控制臺(tái)系統(tǒng)接收到蜜罐系統(tǒng)的追蹤申請(qǐng)信息后��,對(duì)該追蹤申請(qǐng)信息進(jìn)行編號(hào)�����,提取該追蹤申請(qǐng)信息中的數(shù)字水印特征���,然后對(duì)追蹤Agent發(fā)出追蹤該水印的追蹤指令;追蹤服務(wù)控制臺(tái)接收追蹤Agent的初步追蹤結(jié)果并進(jìn)行數(shù)據(jù)融合分析����,構(gòu)造出攻擊路徑,確定攻擊源�,形成追蹤事件信息,報(bào)告編號(hào)���、發(fā)起追蹤申請(qǐng)?jiān)础l(fā)起追蹤時(shí)間�����、各追蹤Agent返回的追蹤結(jié)果及證據(jù)數(shù)據(jù)�����、融合處理后的追蹤結(jié)果等存入數(shù)據(jù)庫(kù)模塊,并提供統(tǒng)計(jì)查詢功能�����。
[0010]追蹤Agent系統(tǒng)模塊,安裝在所述追蹤Agent設(shè)備是,其作用在于,追蹤Agent收到所述追蹤指令后�,對(duì)最近滑動(dòng)時(shí)間窗內(nèi)網(wǎng)絡(luò)的入流量和出流量進(jìn)行分析,并根據(jù)該追蹤指令包含的數(shù)字水印特征進(jìn)行水印檢測(cè)�����,根據(jù)檢測(cè)結(jié)果���,形成初步追蹤結(jié)果返回到追蹤服務(wù)控制臺(tái)系統(tǒng)��。
[0011]上述蜜罐系統(tǒng)模塊的數(shù)字水印系統(tǒng)模塊構(gòu)成網(wǎng)絡(luò)追蹤系統(tǒng)中的陷阱系統(tǒng)��,追蹤服務(wù)控制臺(tái)系統(tǒng)t旲塊和追S示Agent系統(tǒng)I旲塊構(gòu)成網(wǎng)絡(luò)追S示系統(tǒng)中攻擊追S示系統(tǒng)���。
[0012]作為優(yōu)化方案,所述蜜罐系統(tǒng)模塊包括�����,
網(wǎng)絡(luò)欺騙功能模塊,其作用在于以偽裝服務(wù)�����、開放訪問端口和設(shè)置敏感信息等方式對(duì)網(wǎng)絡(luò)掃描�����、探測(cè)和訪問進(jìn)行欺騙�,并引誘攻擊者對(duì)實(shí)施攻擊。
[0013]信息捕獲功能模塊�,其作用在于實(shí)時(shí)地監(jiān)聽各種事件,包括來(lái)自網(wǎng)絡(luò)中的各種掃描���、探測(cè)和訪問���,也包括攻擊者侵入到蜜罐系統(tǒng)后進(jìn)行的文件讀取、數(shù)據(jù)刪改等操作���,并對(duì)各種行為進(jìn)行記錄;當(dāng)監(jiān)聽到某事件后����,先判斷其行為是否符合系統(tǒng)安全策略��,若不符合���,則根據(jù)欺騙、誘導(dǎo)策略進(jìn)行欺騙和誘導(dǎo)�����,將攻擊鏈接引向蜜罐主機(jī)��,并誘導(dǎo)期對(duì)數(shù)字水印文件進(jìn)行訪問��,一旦監(jiān)控到有對(duì)數(shù)字水印文件的訪問�,馬上生成追蹤申請(qǐng)信息并提交通信控制功能模塊。其中�����,追蹤信息包含水印文件的水印特征信息�、水印文件的大小、訪問時(shí)間和水印文件接收方的目的IP地址����。
[0014]信息控制功能模塊,其用于對(duì)進(jìn)入蜜罐系統(tǒng)的行為進(jìn)行限制,一旦蜜罐系統(tǒng)被攻陷�����,將阻止攻擊者利用蜜罐作為跳板去估計(jì)其他系統(tǒng)���。
[0015]第三通信控制功能模塊��,其用于對(duì)接收到信息捕獲模塊提交的追蹤申請(qǐng)最終追蹤結(jié)果��。
[0016]作為又一優(yōu)化方案�,所述追蹤服務(wù)控制臺(tái)系統(tǒng)模塊包括���,
第一時(shí)間模塊���,其用于為追蹤服務(wù)控制臺(tái)系統(tǒng)提供與追蹤Agent系統(tǒng)相一致的時(shí)間,為系統(tǒng)進(jìn)彳丁時(shí)丨司關(guān)聯(lián)追蹤提供條件����,同時(shí)為追蹤事件彳目息記錄入庫(kù)提供統(tǒng)一的時(shí)間。
[0017]數(shù)據(jù)融合處理模塊��,其用于對(duì)追蹤A