CN101119369A - 一种网络数据流的安全检测方法及其系统 - Google Patents
一种网络数据流的安全检测方法及其系统 Download PDFInfo
- Publication number
- CN101119369A CN101119369A CNA2007101202443A CN200710120244A CN101119369A CN 101119369 A CN101119369 A CN 101119369A CN A2007101202443 A CNA2007101202443 A CN A2007101202443A CN 200710120244 A CN200710120244 A CN 200710120244A CN 101119369 A CN101119369 A CN 101119369A
- Authority
- CN
- China
- Prior art keywords
- data flow
- gateway
- network
- main frame
- data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Abstract
本发明涉及一种网络数据流的安全检测方法及其系统。网关根据其配置的规则检测网络数据流,将确定为危险的数据流重定向到蜜罐系统,阻断其到达目标主机,蜜罐系统接受该数据流,并模拟该数据流的目标主机与该数据流的源主机进行交互,蜜罐系统记录交互过程,对该数据流是否存在危险进行判断,并将判断结果返回网关,网关根据蜜罐系统的判断结果,按照设定的处理规则对该数据流进行处理。本发明能够进行完整的基于行为的检查,能够检测非法内容或者危险数据并进行阻断,能够发现未登记过的新型攻击。可广泛应用于计算机网络安全技术领域。
Description
技术领域
本发明属于计算机网络安全技术领域,涉及一种网络数据流的安全检测方法,以及一种网络数据流的安全检测系统。
背景技术
一个拥有多台主机的内部网络往往通过一个网关接入internet互联网,在该网关上通常要对进出的数据流进行安全检查,以防止内部网络被internet上的不怀好意者攻击,或者防止内部网络中已经被感染的主机攻击internet上的其他主机。
这样的网关在对数据流做安全检查时通常是根据已经配置好的安全规则来判断该数据流是否安全,通常可以配置类似如下的安全规则:
1、禁止外部主机访问不公开的内部主机。
2、禁止未被许可的外部主机访问内部主机。
3、禁止某些内部主机访问外部网络。
当网关检测到一条新的数据流时立即提取该数据流的相关信息,用该信息去匹配安全规则,如果匹配,则将该数据流截断,以防止对内部网络或者外部internet造成危害。
但是这样安全检查过程存在一些问题,特别是不能做基于行为的检查,比如:
A、检查非法内容的传送。
B、检查攻击者对主机重要文件和设置的非法操作。
C、观察和记录危险数据流侵害主机的完整过程及其影响。
然而在已知的现有技术中,目前没有能够恰当地解决上述几个问题的方案。通常比较接近的方法是:
1、尽可能逼近地制定更加详细和复杂的匹配规则来剔除危险数据流。
2、应用日志文件记录危险数据流的相关信息。
这些方法存在的问题是:
A、不能通过它的行为进行分析判定;
B、通过日志分析来做事后分析,是滞后的,且并不是完整过程的记录,不能发现有害数据流的对主机的具体危害效果;
C、难于发现新型的恶意攻击源、攻击方式。
也就是说,现有技术中还没有能够解决上述不足的满意方法。
随着互联网技术的发展,网络扫描、蠕虫与病毒代码的传播以及黑客恶意攻击等是网络上每台主机随时都可能面对到的危险。其中,大部分的网络攻击活动是由攻击工具或由四处传播的恶意代码自动完成的,除此以外,攻击脚本和工具等也变得很容易得到和使用,也就是说无高交互需求的随机的网络扫描、有高交互需求的系统攻击活动和对有识别蜜罐系统威胁的攻击活动在所有攻击活动中所占的比例依次迅速的降低。
蜜罐技术的提出正是为了主动出击研究互联网上这些安全威胁而产生的,所述的蜜罐是一台看上去象普通主机的机器,部署在网络上,伪装成真实的网络、主机和服务,诱惑恶意攻击行为的诱饵,在其外部数据通道上安装了检测装置用于检测和分析进出的数据流,在其内部安装了检测装置用于检测和分析内部系统在网络攻击期间受到哪些侵害,其价值在于收集网络上的攻击活动信息,并对这些攻击活动进行监视、检测和分析。蜜罐技术的详细信息可参见Lance.Spitzner,“Honeypots:Tracking Hackers”,Addison-Wesley,2002。
所述的蜜罐系统是一套包含蜜罐的分析装置,在其中可以有若干台蜜罐,可以模拟多种不同操作系统并提供不同服务的主机,蜜罐系统能够根据蜜罐的数据流情况以及内部系统的侵害情况分析出该数据流的危险性。
发明内容
本发明的目的是提供一种网络数据流安全检测方法,利用蜜罐来配合网关对数据流做行为分析并根据分析结果进行相应处理。
本发明的另一目的是提供一种网络数据流安全检测系统,通过蜜罐系统检查数据流是否安全,是否合法,然后由网关对该数据流作相应处理。
本发明的网络数据流的安全检测方法,其步骤包括:
1、网关根据其配置的规则检测网络数据流,将确定为危险的数据流重定向到蜜罐系统,阻断其到达目标主机;
2.蜜罐系统接受该数据流,并模拟该数据流的目标主机与该数据流的源主机进行交互;
3.蜜罐系统记录交互过程,对该数据流是否存在危险进行判断,并将判断结果返回网关;
4.网关根据蜜罐系统的判断结果,按照设定的处理规则对该数据流进行处理。
所述处理规则为如数据流为危险数据流,网关切断与该数据流源主机的链接,否则放行该数据流。
上述网关配置的规则为该数据流的特征符合网关设定的危险数据流匹配规则;或该数据流的源主机是否在网关设定的黑名单或灰名单上;或者该数据流的目标主机是否为受限制的内部主机。
上述数据流的源主机为外部网络中的主机,目标主机为内部网络中的主机;上述数据流的源主机也可为内部网络中的主机,目标主机为外部网络中的主机。
本发明的网络数据流的安全检测系统,包括一网关,可通过内部网络数据通道与内部网络中的主机连接,可通过外部网络数据通道与外部网络中的主机链接;还包括一蜜罐系统,与所述网关通过一数据通道链接。
所述蜜罐系统与网关之间的数据通道为内部网络数据通道。
所述蜜罐系统与网关之间的数据通道也可为外部网络数据通道。
一条危险的数据流通常可能一端是危险源,一端是可能受害者,其中危险源可能是攻击者,也可能是被感染的主机。如果网关检测到一条新的数据流,或者被报告某条数据流可能有潜在的危险,则网关断开危险源,并将数据流重定向到蜜罐系统,形成一条“危险源---网关---蜜罐系统”的数据链路。蜜罐系统接收该数据流并伪装成那台可能受害者主机,与攻击者进行交互;蜜罐系统记录并分析对方的行为,判断对方是否为攻击者,或者该数据流中是否有非法或者危险内容,然后将判断结果返回给网关;网关根据判断结果和预先设定的处理规则处理该数据流。
本发明的技术效果在于:
1)蜜网系统模拟主机和攻击者交互,使得交互可以深入和逼真,能够进行完整的基于行为的检查。
2)能够检测非法内容或者危险数据并进行阻断。
3)能够发现未登记过的新型攻击。
附图说明
图1为本发明的安全检测系统示意图
图2为本发明的安全检测方法流程图
具体实施方式
下面参照本发明的附图,结合最佳实施例详细描述本发明。
如图1所示,是网关连接外部网络、内部网络主机和蜜罐系统的示意图。在本实施中网关采用一台三网卡的计算机系统,分别连接外部网络、内部网络主机、蜜罐系统。
如图2所示,表示本发明的方法流程图。
(1)网关根据如下途径判断某数据流可能存在危险:
A、某数据流的特征符合网关的危险数据流匹配规则;
B、数据流的某一端在黑名单上,或者数据流访问的是受限制的内部主机资源;
C、数据流的某一端在灰名单上,即该端发出的数据是未知的数据流。
本案例假定发现了一条可疑的数据流,该数据流由外部网络一侧的主机(数据流的源主机)发起并连向内部一台机密主机(数据流的目标主机)。当然,该数据流也可由内部网络一侧的主机发起并连向外部网络一侧的主机。
(2)根据上述报告可以得知可疑的危险源是外部的主机,可能的受害者是内部的机密主机。于是网关切断数据流和内部机密主机的联系,把数据流重定向到蜜罐系统,形成一条“外部危险源---网关---蜜罐系统”链路。
(3)蜜罐系统中的蜜罐模拟机密主机并继续和危险源交互。蜜罐上的检测系统记录交互的过程并判断攻击危害程度。
(4)蜜罐系统将交互的信息及判断的结果反馈给网关。
(5)网关根据蜜罐系统返回的信息并结合预先确定的处理规则对数据流做对应处理,处理方式包括:如果该数据流存在危险的话,根据本网关的规则将切断这条数据流以防止外部危险源攻击内部机密主机。否则,放行该数据流,建立源主机和目标主机的会话,允许继续交互。
如上所述,本发明通过网关配合蜜罐系统来分析危险数据流,最后切断数据流。由于蜜罐特有的行为检查功能以及网关特有的对数据流的管理功能,这使得本网关具有对数据流的行为检查能力,这能大大增强网关防范网络攻击的能力。本发明适用于各种需要基于行为检查的网关,具有良好的可扩展性和实用性。
所述的实施例已经在申请人研制的千兆级网关上应用,取得了很好的效果,实现了对危险数据流基于行为的检查,圆满地实现了本发明的目的。本发明具有很好的实用性和推广应用前景。
尽管为说明目的公开了本发明的具体实施例和附图,其目的在于帮助理解本发明的内容并据以实施,但是本领域的技术人员可以理解:在不脱离本发明及所附的权利要求的精神和范围内,各种替换、变化和修改都是可能的。例如,当网络攻击是从内部主机发向外部被害主机时,则需要将外部被害主机断开,形成“内部主机——网关——蜜罐系统”的链路,然后观察该数据流的危害性。又如,蜜罐系统存在于安全域中,蜜罐系统与网关之间只是一条逻辑上的数据通道,而该数据通道可以借用现有的网关到内部或者外部的数据通道来承载,故可能只有两块网卡。因此,本发明不应局限于本说明书最佳实施例和附图所公开的内容,本发明要求保护的范围以权利要求书界定的范围为准。
Claims (10)
1.一种网络数据流的安全检测方法,其步骤包括:
1)网关根据其配置的规则检测网络数据流,将确定为危险的数据流重定向到蜜罐系统,阻断其到达目标主机;
2)蜜罐系统接受该数据流,并模拟该数据流的目标主机与该数据流的源主机进行交互;
3)蜜罐系统记录交互过程,对该数据流是否存在危险进行判断,并将判断结果返回网关;
4)网关根据蜜罐系统的判断结果,按照设定的处理规则对该数据流进行处理。
2.如权利要求1所述的方法,其特征在于4)所述处理规则为如数据流为危险数据流,网关切断与该数据流源主机的链接,否则放行该数据流。
3.如权利要求1或2所述的方法,其特征在于1)所述网关配置的规则包括该数据流的特征符合网关设定的危险数据流匹配规则。
4.如权利要求1或2所述的方法,其特征在于1)所述网关配置的规则包括该数据流的源主机是否在网关设定的黑名单或灰名单上。
5.如权利要求1或2所述的方法,其特征在于1)所述网关配置的规则包括该数据流的目标主机是否为受限制的内部主机。
6.如权利要求1或2所述的方法,其特征在于所述数据流的源主机为外部网络中的主机,目标主机为内部网络中的主机。
7.如权利要求1或2所述的方法,其特征在于所述数据流的源主机为内部网络中的主机,目标主机为外部网络中的主机。
8.一种网络数据流的安全检测系统,包括一网关,可通过内部网络数据通道与内部网络中的主机连接,可通过外部网络数据通道与外部网络中的主机链接;其特征在于还包括一蜜罐系统,与所述网关通过一数据通道链接。
9.如权利要求8所述的系统,其特征在于所述蜜罐系统与网关之间的数据通道为内部网络数据通道。
10.如权利要求8所述的系统,其特征在于所述蜜罐系统与网关之间的数据通道为外部网络数据通道。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNA2007101202443A CN101119369A (zh) | 2007-08-14 | 2007-08-14 | 一种网络数据流的安全检测方法及其系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNA2007101202443A CN101119369A (zh) | 2007-08-14 | 2007-08-14 | 一种网络数据流的安全检测方法及其系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN101119369A true CN101119369A (zh) | 2008-02-06 |
Family
ID=39055303
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNA2007101202443A Pending CN101119369A (zh) | 2007-08-14 | 2007-08-14 | 一种网络数据流的安全检测方法及其系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101119369A (zh) |
Cited By (19)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101990200A (zh) * | 2009-07-31 | 2011-03-23 | 北京大学 | 一种收集移动终端恶意代码的方法 |
| CN102216900A (zh) * | 2008-09-12 | 2011-10-12 | 马来西亚微电子系统有限公司 | 蜜罐主机 |
| CN103749001B (zh) * | 2010-06-09 | 2012-02-08 | 北京理工大学 | 内部网络安全监控系统的自身防护通用单元 |
| CN102571855A (zh) * | 2010-12-17 | 2012-07-11 | 北大方正集团有限公司 | 一种查处网络非法信息的系统及方法 |
| CN103051615A (zh) * | 2012-12-14 | 2013-04-17 | 陈晶 | 一种蜜场系统中抗大流量攻击的动态防御系统 |
| CN103327134A (zh) * | 2013-06-13 | 2013-09-25 | 国家电网公司 | 一种基于dhcp服务的网络数据重定向方法及装置 |
| CN105721417A (zh) * | 2015-11-16 | 2016-06-29 | 哈尔滨安天科技股份有限公司 | 一种挂载于工控系统中的蜜罐装置及工控系统 |
| CN106209919A (zh) * | 2016-09-18 | 2016-12-07 | 深圳市深信服电子科技有限公司 | 一种网络安全防护方法及网络安全防护系统 |
| CN106603541A (zh) * | 2016-12-21 | 2017-04-26 | 哈尔滨安天科技股份有限公司 | 一种基于差异化流量处理机制的蜜网系统 |
| CN106843970A (zh) * | 2017-01-23 | 2017-06-13 | 郑州云海信息技术有限公司 | 一种安装包获取方法、上位机、安装服务器及业务系统 |
| CN107332823A (zh) * | 2017-06-06 | 2017-11-07 | 北京明朝万达科技股份有限公司 | 一种基于机器学习的服务器伪装方法和系统 |
| CN107370724A (zh) * | 2017-06-09 | 2017-11-21 | 北京易华录信息技术股份有限公司 | 一种分布式云计算系统 |
| CN108449201A (zh) * | 2018-02-05 | 2018-08-24 | 中国工程物理研究院计算机应用研究所 | 一种内网业务数据流安全管控效能的评价方法 |
| CN109257326A (zh) * | 2017-07-14 | 2019-01-22 | 东软集团股份有限公司 | 防御数据流攻击的方法、装置和存储介质及电子设备 |
| CN109962912A (zh) * | 2019-03-06 | 2019-07-02 | 中国信息安全测评中心 | 一种基于蜜罐流量引流的防御方法及系统 |
| CN109995716A (zh) * | 2017-12-29 | 2019-07-09 | 北京安天网络安全技术有限公司 | 基于高交互蜜罐系统的行为激发方法及装置 |
| CN110401638A (zh) * | 2019-06-28 | 2019-11-01 | 奇安信科技集团股份有限公司 | 一种网络流量分析方法及装置 |
| CN111404935A (zh) * | 2020-03-16 | 2020-07-10 | 广州锦行网络科技有限公司 | 基于攻击行为分析的蜜罐服务端口自适应应用方法及系统 |
| CN113162912A (zh) * | 2021-03-12 | 2021-07-23 | 中航智能建设(深圳)有限公司 | 基于大数据的网络安全保护方法、系统及存储设备 |
-
2007
- 2007-08-14 CN CNA2007101202443A patent/CN101119369A/zh active Pending
Cited By (27)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102216900A (zh) * | 2008-09-12 | 2011-10-12 | 马来西亚微电子系统有限公司 | 蜜罐主机 |
| CN102216900B (zh) * | 2008-09-12 | 2014-04-30 | 马来西亚微电子系统有限公司 | 蜜罐主机 |
| CN101990200A (zh) * | 2009-07-31 | 2011-03-23 | 北京大学 | 一种收集移动终端恶意代码的方法 |
| CN103749001B (zh) * | 2010-06-09 | 2012-02-08 | 北京理工大学 | 内部网络安全监控系统的自身防护通用单元 |
| CN102571855A (zh) * | 2010-12-17 | 2012-07-11 | 北大方正集团有限公司 | 一种查处网络非法信息的系统及方法 |
| CN103051615A (zh) * | 2012-12-14 | 2013-04-17 | 陈晶 | 一种蜜场系统中抗大流量攻击的动态防御系统 |
| CN103051615B (zh) * | 2012-12-14 | 2015-07-29 | 陈晶 | 一种蜜场系统中抗大流量攻击的动态防御系统 |
| CN103327134A (zh) * | 2013-06-13 | 2013-09-25 | 国家电网公司 | 一种基于dhcp服务的网络数据重定向方法及装置 |
| CN103327134B (zh) * | 2013-06-13 | 2016-09-21 | 国家电网公司 | 一种基于dhcp服务的网络数据重定向方法及装置 |
| CN105721417A (zh) * | 2015-11-16 | 2016-06-29 | 哈尔滨安天科技股份有限公司 | 一种挂载于工控系统中的蜜罐装置及工控系统 |
| CN106209919A (zh) * | 2016-09-18 | 2016-12-07 | 深圳市深信服电子科技有限公司 | 一种网络安全防护方法及网络安全防护系统 |
| CN106603541A (zh) * | 2016-12-21 | 2017-04-26 | 哈尔滨安天科技股份有限公司 | 一种基于差异化流量处理机制的蜜网系统 |
| CN106843970A (zh) * | 2017-01-23 | 2017-06-13 | 郑州云海信息技术有限公司 | 一种安装包获取方法、上位机、安装服务器及业务系统 |
| CN107332823A (zh) * | 2017-06-06 | 2017-11-07 | 北京明朝万达科技股份有限公司 | 一种基于机器学习的服务器伪装方法和系统 |
| CN107370724A (zh) * | 2017-06-09 | 2017-11-21 | 北京易华录信息技术股份有限公司 | 一种分布式云计算系统 |
| CN109257326B (zh) * | 2017-07-14 | 2021-05-04 | 东软集团股份有限公司 | 防御数据流攻击的方法、装置和存储介质及电子设备 |
| CN109257326A (zh) * | 2017-07-14 | 2019-01-22 | 东软集团股份有限公司 | 防御数据流攻击的方法、装置和存储介质及电子设备 |
| CN109995716A (zh) * | 2017-12-29 | 2019-07-09 | 北京安天网络安全技术有限公司 | 基于高交互蜜罐系统的行为激发方法及装置 |
| CN109995716B (zh) * | 2017-12-29 | 2021-07-30 | 北京安天网络安全技术有限公司 | 基于高交互蜜罐系统的行为激发方法及装置 |
| CN108449201A (zh) * | 2018-02-05 | 2018-08-24 | 中国工程物理研究院计算机应用研究所 | 一种内网业务数据流安全管控效能的评价方法 |
| CN108449201B (zh) * | 2018-02-05 | 2020-12-01 | 中国工程物理研究院计算机应用研究所 | 一种内网业务数据流安全管控效能的评价方法 |
| CN109962912A (zh) * | 2019-03-06 | 2019-07-02 | 中国信息安全测评中心 | 一种基于蜜罐流量引流的防御方法及系统 |
| CN110401638A (zh) * | 2019-06-28 | 2019-11-01 | 奇安信科技集团股份有限公司 | 一种网络流量分析方法及装置 |
| CN110401638B (zh) * | 2019-06-28 | 2021-05-25 | 奇安信科技集团股份有限公司 | 一种网络流量分析方法及装置 |
| CN111404935B (zh) * | 2020-03-16 | 2020-12-04 | 广州锦行网络科技有限公司 | 基于攻击行为分析的蜜罐服务端口自适应应用方法及系统 |
| CN111404935A (zh) * | 2020-03-16 | 2020-07-10 | 广州锦行网络科技有限公司 | 基于攻击行为分析的蜜罐服务端口自适应应用方法及系统 |
| CN113162912A (zh) * | 2021-03-12 | 2021-07-23 | 中航智能建设(深圳)有限公司 | 基于大数据的网络安全保护方法、系统及存储设备 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101119369A (zh) | 一种网络数据流的安全检测方法及其系统 | |
| CN106790023B (zh) | 网络安全联合防御方法和装置 | |
| CN104937886B (zh) | 日志分析装置、信息处理方法 | |
| KR101689295B1 (ko) | 보안이벤트 자동 검증 방법 및 장치 | |
| CN105915532B (zh) | 一种失陷主机的识别方法及装置 | |
| US10417420B2 (en) | Malware detection and classification based on memory semantic analysis | |
| CN107360118B (zh) | 一种高级持续威胁攻击防护方法及装置 | |
| CN101753562B (zh) | 僵尸网络的检测方法、装置及网络安全防护设备 | |
| CN107046543A (zh) | 一种面向攻击溯源的威胁情报分析系统 | |
| CN104135474B (zh) | 基于主机出入度的网络异常行为检测方法 | |
| CN101176331A (zh) | 计算机网络入侵检测系统和方法 | |
| CN101978376A (zh) | 用于抵御信息窃取软件的方法及系统 | |
| CN102970309B (zh) | 僵尸主机的检测方法、检测装置及防火墙 | |
| CN104486320B (zh) | 基于蜜网技术的内网敏感信息泄露取证系统及方法 | |
| CN113079185B (zh) | 实现深度数据包检测控制的工业防火墙控制方法及设备 | |
| CN102546641A (zh) | 一种在应用安全系统中进行精确风险检测的方法及系统 | |
| CN114363080A (zh) | 一种网络终端的监控分析方法、装置、设备及存储介质 | |
| KR101499470B1 (ko) | 악성코드 전이 탐지를 이용한 apt 공격 방어 시스템 및 그 방어 방법 | |
| Asiri et al. | Investigating usable indicators against cyber-attacks in industrial control systems | |
| Yamada et al. | Using abnormal TTL values to detect malicious IP packets | |
| KR20070072835A (ko) | 실시간 웹로그 수집을 통한 웹해킹 대응 방법 | |
| Aswani et al. | Topic modeling of SSH logs using latent dirichlet allocation for the application in cyber security | |
| KR100977827B1 (ko) | 악성 웹 서버 시스템의 접속탐지 장치 및 방법 | |
| CN114124453A (zh) | 网络安全信息的处理方法、装置、电子设备及储存介质 | |
| CN112887288B (zh) | 基于互联网的电商平台入侵检测的前端计算机扫描系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C02 | Deemed withdrawal of patent application after publication (patent law 2001) | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Open date: 20080206 |