CN101262351B - 一种网络追踪系统 - Google Patents

一种网络追踪系统 Download PDF

Info

Publication number
CN101262351B
CN101262351B CN200810047068XA CN200810047068A CN101262351B CN 101262351 B CN101262351 B CN 101262351B CN 200810047068X A CN200810047068X A CN 200810047068XA CN 200810047068 A CN200810047068 A CN 200810047068A CN 101262351 B CN101262351 B CN 101262351B
Authority
CN
China
Prior art keywords
tracking
trail
module
network
information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
CN200810047068XA
Other languages
English (en)
Other versions
CN101262351A (zh
Inventor
易再尧
黄本雄
黄辰
潘柳青
胡海
王芙蓉
何娟
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Huazhong University of Science and Technology
Original Assignee
Huazhong University of Science and Technology
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Huazhong University of Science and Technology filed Critical Huazhong University of Science and Technology
Priority to CN200810047068XA priority Critical patent/CN101262351B/zh
Publication of CN101262351A publication Critical patent/CN101262351A/zh
Application granted granted Critical
Publication of CN101262351B publication Critical patent/CN101262351B/zh
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种利用数字水印和蜜罐技术的网络追踪系统,其包括陷阱系统和攻击追踪系统,其中陷阱系统主要由蜜罐系统模块和数字水印系统模块构成。本发明提供的网络追踪系统,相比现有的网络追踪系统,不仅增强了追踪的主动性,减轻了追踪的各种开销,而且在实现和效果上具有更高的准确性、有效性和可操作性。

Description

一种网络追踪系统
技术领域
本发明涉及计算机网络通信安全技术领域,尤其涉及网络追踪系统。
背景技术
随着网络安全的威胁日益严重,网络追踪已成为网络安全研究领域的热点问题。然而,网络追踪的实现受到多方面因素的制约,主要体现在以下方面:首先,用于Internet的TCP/IP协议设计之初没有考虑到安全问题,没有对可疑用户活动进行阻止的有效机制,没有对用户活动进行追踪的设计;第二,网络流量和带宽的迅速发展以及隧道技术的使用增大了网络追踪的难度;第三,网络攻击手段的发展和代理、跳板技术的使用使得网络追踪难以奏效。
目前,针对不同形式和特点的网络攻击,提出了许多采用不同网络追踪方法的网络追踪系统。网络追踪方法主要有链路测试法、入口过滤法、数据包记录法、路径记录法、ICMP追踪法、日志记录法、Ipsec鉴别法和数据包标记法等。现有的网络追踪技术存在或多或少的不足,没有一种解决方案可以实现有效追踪所规定的所有需求。第一,要对网络攻击、入侵进行追踪,则先要发现网络攻击与入侵,但是,现有的入侵检测技术还不能完全解决入侵漏报和虚警的问题。第二,目前研究和讨论最多的网络追踪技术是基于报文或数据包的追踪方法,而基于报文或数据包的追踪方法的关键技术是在报文或数据包中添加标志数据或字段,然后通过对这些标志数据或字段的检测与追踪来实现对攻击与入侵的追踪。不管采用哪种方式来添加标志数据,都会增加路由器或其它追踪设备的开销,并增加网络的流量,并且这些添加的标志数据或字段有可能会被攻击者察觉而伪造数据包来逃避追踪,因此,现有的基于报文或数据包的追踪方法有其固有的缺点。
数字水印技术是20世纪90年代出现的一门崭新的技术,它通过在数字产品(如图像、视频、音频、文本等)中嵌入可感知或不可感知的特定信息来确定数字产品的所有权或检验数字内容的原始性,这些特定的信息包括作者的序列号、公司标志、有意义的文本等等。数字水印技术通过一定的算法将一些标志性信息嵌入被保护的对象当中,只有通过专用的检测器或阅读器才能正确检测或提取。这些信息不影响原数据使用效果,并可以部分或全部从混合数据中恢复出来。一般来讲,密码技术不能对解密后数据提供进一步保护,数字签名难以在原始数据中一次性嵌入大量信息,数字标签容易被修改和剔除,而数字水印技术却很好地弥补了这些不足。
蜜网项目组(The Honeynet Project)的创始人Lance Spitzner对蜜罐的定义是:蜜罐是一种安全资源,其价值在于被扫描、攻击和攻陷。这个定义表明蜜罐并无其他实际作用,因此所有进出蜜罐的网络流量都可能预示了扫描、攻击和攻陷。而蜜罐的核心价值就在于对这些攻击活动进行监视、检测和分析。蜜罐是一种安全资源而并非一种安全解决方案,其价值体现在被探测、攻击或者摧毁的时候。这意味着无论将何物指定为蜜罐,部署者的期望和目标就是让系统被别人探测、攻击并有被攻破的可能。蜜罐作为一种伪装成真实目标的资源库,它可以模拟各种操作系统及漏洞,也可以虚拟出各种网络服务。它是设计用来对入侵的攻击行为进行记录的诱捕系统,通过对攻击者行为的记录分析可以获得攻击者的相关信息,从而掌握攻击者的攻击技术和攻击意图,对重要防护目标采取有针对性的防御措施,同时也可以实现对攻击的追踪等。
发明内容
本发明所要解决的技术问题是提供一种网络追踪系统,它不仅增强了追踪的主动性,减轻了追踪的各种开销,而且在实现和效果上具有更高的准确性、有效性和可操作性。
为了实现上述目的,本发明提供了一种利用数字水印和蜜罐技术的网络追踪系统,其特征为,包括:
蜜罐系统模块,安装在主机设备上,并挂入主机设备的操作系统;它以伪装服务、开放访问端口和设置敏感信息文件等方式对网络扫描、探测和访问进行欺骗,并引诱攻击者对其实施攻击;监听网络上的扫描、探测事件,判断该事件是否符合系统安全策略,若不符合,则蜜罐系统根据欺骗、诱导策略对攻击者进行欺骗,将攻击连接引向蜜罐主机,并诱导其访问敏感信息文件;一旦蜜罐系统监控到有对数字水印系统的访问,马上生成追踪申请信息发送到追踪服务控制台,并且接收追踪服务控制台的返回结果;
数字水印系统模块,安装在主机设备上,并挂入主机设备的操作系统;其主要用于生成数字水印,并将数字水印嵌入到所述蜜罐系统的敏感信息文件中;
追踪服务控制台系统模块,安装在所述追踪服务控制台设备上,其作用在于,追踪服务控制台系统接收到蜜罐系统的追踪申请信息后,对该追踪申请信息进行编号,提取该追踪申请信息中的数字水印特征,然后对追踪Agent发出追踪该水印的追踪指令;追踪服务控制台接收追踪Agent的初步追踪结果并进行数据融合分析,构造出攻击路径,确定攻击源,形成追踪事件信息,包括编号、发起追踪申请源、发起追踪时间、各追踪Agent返回的追踪结果及证据数据、融合处理后的追踪结果,存入数据库模块,并提供统计查询功能;
追踪Agent系统模块,安装在所述追踪Agent设备上,其作用在于,追踪Agent收到所述追踪指令后,对最近滑动时间窗内网络的入流量和出流量进行分析,并根据该追踪指令包含的数字水印特征进行水印检测,根据检测结果,形成初步追踪结果返回到追踪服务控制台系统。
上述蜜罐系统模块和数字水印系统模块构成网络追踪系统中的陷阱系统,追踪服务控制台系统模块和追踪Agent系统模块构成网络追踪系统中攻击追踪系统。
作为优化方案,所述蜜罐系统模块包括,
网络欺骗功能模块,其作用在于以伪装服务、开放访问端口和设置敏感信息等方式对网络扫描、探测和访问进行欺骗,并引诱攻击者对其实施攻击;
信息捕获功能模块,其作用在于实时地监听各种事件,包括来自网络中的各种扫描、探测和访问,也包括攻击者侵入到蜜罐系统后进行的文件读取、数据删改等操作,并对各种行为进行记录;当监听到某事件后,先判断其行为是否符合系统安全策略,若不符合,则根据欺骗、诱导策略进行欺骗和诱导,将攻击连接引向蜜罐主机,并诱导其对数字水印文件进行访问,一旦监控到有对数字水印文件的访问,马上生成追踪申请信息并提交通信控制功能模块。其中,追踪申请信息包含水印文件的水印特征信息、水印文件的大小、访问时间和水印文件接收方的目的IP地址;
信息控制功能模块,其用于对进入蜜罐系统的行为进行限制,一旦蜜罐系统被攻陷,将阻止攻击者利用蜜罐作为跳板去攻击其它系统;
第三通信控制功能模块,其用于对接收到信息捕获功能模块提交的追踪申请信息后立即上报追踪服务控制台系统并负责接收追踪服务控制台系统返回的最终追踪结果。
作为又一优化方案,所述追踪服务控制台系统模块包括,
第一时统模块,其用于为追踪服务控制台系统提供与追踪Agent系统相一致的时间,为系统进行时间关联追踪提供条件,同时为追踪事件信息记录入库提供统一的时间;
数据融合处理模块,其用于对追踪Agent系统返回的追踪信息进行融合处理,构造攻击路径,形成最终追踪结果,并提交数据库模块存储;
数据库模块,其提供两方面的功能,一方面存储记录追踪事件信息,包括攻击事件的编号、发起追踪申请源、发起追踪时间、各追踪Agent返回的追踪结果及证据数据、融合处理后的追踪结果等;另一方面是对所有追踪事件信息提供统计查询功能,提供统计查询界面,根据查询条件,自动生成相关查询结果;
第一通信控制模块,其作用在于,一方面接收蜜罐系统发来的追踪申请信息,并返回最终追踪结果;另一方面对追踪申请进行编号,向各追踪Agent系统发送追踪指令,并接收追踪Agent系统返回的追踪结果信息与证据数据,即含有数字水印的数据包。
作为再一优化方案,所述追踪Agent系统模块包括,
第二时统模块,其用于为追踪Agent提供与追踪服务控制台相一致的时间,为系统进行时间关联追踪提供条件,同时为追踪事件的相关信息记录入库提供统一的时间;
流量存储模块,其用于为追踪分析提供数据来源,由于系统从攻击发生到攻击追踪的过程全部由程序自动实现,从时间上来讲反应很迅速,也就是说攻击流量经过追踪Agent到追踪Agent收到追踪服务台的追踪指令的时间间隔很短,因此,追踪Agent只需要对最近较短时间经过的流量进行保存,设置一个滑动时间窗,循环记录窗口里的入流量和出流量数据;
数据分析模块,其用于实现对追踪Agent记录的数据进行分析,提取出入追踪Agent流量的源地址和目标地址,对流量中的数字水印进行检测,最后形成分析结果。
第二通信控制模块,其用于接收追踪服务台的追踪指令并返回追踪结果,还要向追踪服务台传送追踪的证据数据,即含有数字水印的数据包。
进一步地,本网络追踪系统还包括防火墙,防火墙设置在在蜜罐系统主机前端,它用于对蜜罐系统主机往外发的每一个连接进行跟踪,当某蜜罐系统主机向外发送的信息包数量达到设定上限时,防火墙便会阻塞发送,避免蜜罐系统主机成为入侵者扫描、探测及攻击他人系统的跳板。
又进一步地,本网络追踪系统还包括路由器,该路由器安装在防火墙与蜜罐系统主机组成的网络之间;其用于隐藏防火墙,同时,在数据链路层上作为访问控制设备成为防火墙的补充。
进一步地,本网络追踪系统还包括日志服务器,日志服务器异地安装,与蜜罐系统主机所在的网络远程通信,其作用在于,日志服务器异地存储和备份所述信息捕获功能模块从防火墙日志、IDS日志和蜜罐系统主机的系统日志等数据源收集和捕获的数据,保证收集和捕获的数据完整和安全。
本发明所提供的利用数字水印与蜜罐技术的网络追踪系统,与现有的网络追踪系统相比,具有以下优点:
一、提出了对单个报文追踪的有效方法
在本网络追踪系统中,只要追踪Agent检测到一个含有数字水印的单个报文就能确定该Agent所连接主机是否处于攻击链上,是处于攻击链的中间节点还是最终节点。
二、提供了全自动的网络追踪途径
在本网络追踪系统中,所有的监控、检测、记录和处理都可以由软件自动进行处理,不需要人工的参与,因此,本系统具有更高的追踪效率。
三、模糊化处理攻击进行时与攻击结束后追踪概念的界限
在本网络追踪系统中,当监测到攻击的发生到各追踪Agent开始执行追踪指令,这个过程都是由程序自动实施的,在很短的时间内即可完成,而追踪Agent是针对最近记录的数据包进行分析的。因此,不管攻击是否还在继续进行还是已经结束,本追踪系统并不关心,因此,本系统的追踪方法不同于以往追踪手段严格区分是攻击时的进行的追踪还是事后进行的追踪的情况,不用区分攻击进行时和攻击结束后进行追踪概念的界限。
四、实现了对基于代理和跨越跳板攻击的网络追踪
本网络追踪系统通过追踪Agent对入流量和出流量同时进行检测,根据检测结果可以判定该Agent所连接主机在攻击链上所处位置。因为对于代理和跳板主机来说,其入流量和出流量中都会检测到数字水印的存在,而真正的攻击主机则只在入流量中存在数字水印。
五、解决了传统追踪方法对路由器性能、ISP之间协作和网络管理人员素质的依赖问题。
本网络追踪系统由于采用了追踪服务控制台和分布式追踪Agent,其指令发送接收、数据检测分析和融合处理都是由程序自动处理,并且不需要路由器对数据进行记录和标记,不需要各级ISP之间的相互配合和网络管理人员的手工操作。因此,本系统的追踪性能并不依赖路由器性能、各级ISP之间协作和网络管理人员的素质。
附图说明
图1为本发明网络追踪系统整体构成示意图;
图2为本发明陷阱系统构成示意图;
图3为本发明攻击追踪系统构成示意图;
图4为本发明追踪Agent系统模块构成示意图;
图5本发明网络追踪系统的建立和总括运行流程图;
图6为本发明陷阱系统设置过程示意图;
图7为本发明蜜罐系统模块的部署过程示意图;
图8为本发明实施例中对一个三级代理的网络攻击的追踪示意图;
图9为本发明实施例中攻击追踪系统实施网络追踪的流程图;
图10为本发明实施例中各追踪Agent系统实施水印检测的流程图。
下面结合附图和具体实施方式对本发明作进一步的详细说明。
具体实施方式
图1所示的网络追踪系统整体构成示意图。物理上由一个或多个追踪服务控制台、多个分散部署的追踪Agent和安装蜜罐系统模块和数字水印系统模块的蜜罐主机三部分组成。如图2所示,蜜罐系统模块和数字水印系统模块构成陷阱系统,蜜罐系统模块包括网络欺骗功能模块、信息捕获功能模块、信息控制功能模块、通信控制功能模块。数字水印系统模块主要包括水印设置模块,用于生成数字水印,并将数字水印嵌入到所述蜜罐系统的敏感信息文件中;
如图3所示攻击追踪系统由一个或多个追踪服务控制台系统模块、多个分散部署的追踪Agent系统模块构成。其中,追踪服务控制台系统模块包括第一时统模块、数据融合处理模块、数据库模块、通信控制模块。
如图4所示为追踪Agent系统模块,其包括第二时统模块、流量存储模块、数据分析模块、第二通信控制模块。
图5本发明网络追踪系统的建立和总括运行流程图,包括:
步骤100,对该网络追踪系统中的陷阱系统进行设置,以欺骗、诱导攻击者对蜜罐主机中设置的数字水印数据进行访问,一旦监控到有对水印文件的访问,马上生成追踪申请信息并提交通信模块,再上报追踪服务控制台并负责接收追踪服务控制台返回的追踪结果。步骤100设置陷阱系统过程具体包括如下步骤,如图6所示:
步骤110,对水印系统的部署。水印系统部署在蜜罐系统中的蜜罐主机中,水印设置是它的主要功能模块,主要负责设计含有特定数字水印的敏感资料。这样,网络攻击或入侵者访问的信息是一个带有特定数字水印的伪造的敏感信息,以使得对该网络攻击者的追踪就转化为对特定数字水印的追踪。要设计好水印文件的形式,可以是音频、视频、图像和文本文件,这些文件中的水印要容易检测和提取,且对攻击者来说不可见,并且该水印在传输过程中经过分段操作后仍能进行检测和提取;其次,水印文件的命名与放置要精心设计,一方面要能让攻击者容易发现并引起极大兴趣,另一方面又不要让攻击者引起怀疑而识别出蜜罐的陷阱系统,具体的有基于空域算法的水印、基于变换域算法的水印、基于JPEG和MPEG标准的压缩域的数字水印、基于NEC算法的水印等等可供选择;
步骤120,对蜜罐系统的部署,具体如图7所示,包括:
步骤121,设置网络欺骗功能模块,以实现对网络扫描、探测的欺骗以及对网络攻击的诱导功能。网络欺骗一般以伪装服务、开放访问端口和设置敏感信息等方式对网络扫描、探测和访问进行欺骗,并引诱攻击者对其实施攻击;
步骤122,设置信息捕获功能模块,实时地监听各种事件,包括来自网络中的各种扫描、探测和访问,也包括攻击者侵入到蜜罐系统后进行的文件读取、数据删改等操作,并对各种行为进行记录。当监听到某事件后,先判断其行为是否符合系统安全策略,若不符合,则根据欺骗、诱导策略进行欺骗和诱导,将攻击连接引向蜜罐主机,并诱导其对数字水印数据进行访问,一旦监控到有对水印文件的访问,马上生成追踪申请信息并提交通信模块。其中,追踪信息包含水印文件的水印特征信息、水印文件的大小、访问时间和水印文件接收方的目的IP地址,为了在攻击者没有察觉的情况下,尽量多地捕获有关攻击者行为的数据,并使到达蜜罐的数据尽量真实,信息捕获功能模块要从各种不同的数据源收集数据,分层次地进行数据的捕获,一般采取“三重捕获”措施,即防火墙日志、IDS日志和蜜罐主机的系统日志;为了防止攻击者对捕获信息的记录或日志造成破坏,要将捕获的信息和日志记录转发到远程安全的主机上即日志服务器进行异地存储和备份,以充分保证捕获信息的完整和安全;为了更全面、完整地捕获攻击者的有关信息,还可以使用第三方软件来记录攻击者的网络通信和系统活动以加固日志功能;
步骤123,设置信息控制功能模块,以对进入蜜罐系统的行为进行限制。一旦蜜罐系统被攻陷,必须保证攻击者不会利用它攻击其它系统并造成危害,以阻止攻击者利用蜜罐作为跳板去攻击别的机器。信息控制功能模块应当能够截获进出网络的所有连接,因此,在蜜罐系统前端设置一个防火墙,所有的信息包都必须通过防火墙,防火墙能够对网络中所有欺骗主机往外发的每一个连接进行跟踪,当某欺骗主机外发的数量达到预先设定的上限时,防火墙便会阻塞那些信息包。这样就可避免欺骗主机成为入侵者扫描、探测及攻击他人系统的跳板。另外在防火墙与欺骗网络之间还可以放置一个路由器。首先,路由器隐藏了防火墙。这种布局更像一个真实网络环境,没人会注意到在路由器的外面还有一台防火墙;其次,路由器可以作为第而二层访问控制设备成为防火墙的补充,以确保欺骗主机不会被用来攻击欺骗网络以外的机器。防火墙与路由器的配合使用可以在技术上十分完善地对外出的信息包进行过滤。这可以最大程度地让入侵者做他们想做的事情而不致产生怀疑。一般地,通过防火墙与路由器的配合使用以及限制蜜罐带宽速率等可以较好地实现信息控制的目的;
步骤124,设置通信控制功能模块,以对接收到信息捕获模块提交的追踪申请信息后立即上报追踪服务控制台并负责接收追踪服务控制台返回的追踪结果。这里,通信控制模块上报的追踪申请信息中数字水印的特征信息是必不可少的,而追踪的目标地址信息则是可作为可选项;另外,基于信息安全与保密考虑,攻击追踪系统的追踪结果不一定会返回到追踪申请者即蜜罐系统,具体情况要根据具体应用而定。
上述步骤完成后再如图5所示,进入步骤200,对该网络追踪系统中的攻击追踪系统进行部署,以在接收到蜜罐系统的追踪请求后,对攻击源进行追踪。
考虑到攻击者为了隐蔽自己,常常通过代理主机和跳板主机向目标发起攻击,在本发明实施例中本网络追踪系统是对一个在可控网络范围内通过三级代理发起的网络攻击实施的追踪。如图8所示,攻击者分别将代理主机1、代理主机2和代理主机3作为第一、第二和第三级代理,对应地,代理主机1、代理主机2和代理主机3所在的网络中部署了追踪Agent 1、追踪Agent 2和追踪Agent 3。下面结合图8所示的一个三级代理的网络攻击的追踪示意图,说明步骤200中对该网络追踪系统中的攻击追踪系统在接收到蜜罐系统的追踪请求信息后,对攻击源进行追踪的具体步骤。如图9所示:
步骤210,追踪服务控制台的通信控制模块收到追踪请求和相关水印信息后,对其进行记录与编号,以区别与网络中其它的追踪事件,同时追踪服务控制台的数据库模块存储记录追踪事件的相关信息,包括攻击事件编号、发起追踪申请源、发起追踪时间等。然后,追踪服务控制台的通信功能模块向网络中的追踪Agent下达追踪指令,同时,将追踪的水印信息发送到各追踪Agent;
步骤220,各追踪Agent的通信控制模块接收到追踪指令后,其数据分析模块立即对其所在网络的入流量和出流量进行水印检测,包括以下步骤,具体如图10所示:
步骤221,追踪Agent3在其网络中进行水印检测,在入流量中检测到水印数据并获得水印数据的目的地址为代理主机3的地址,在出流量中检测到数字水印并获得水印数据的目的地址为代理主机2的地址,将追踪结果返回追踪服务控制台;
步骤222,追踪Agent2在其网络中进行水印检测,在入流量中检测到水印数据并获得水印数据的目的地址为代理主机2的地址,在出流量中检测到数字水印并获得水印数据的目的地址为代理主机1的地址,将追踪结果返回追踪服务控制台;
步骤223,追踪Agent1在其网络中进行水印检测,在入流量中检测到水印数据并获得水印数据的目的地址为代理主机1的地址,在出流量中检测到数字水印并获得水印数据的目的地址为攻击主机的地址,将追踪结果返回追踪服务控制台;
步骤224,追踪Agent4在其网络中进行水印检测,在入流量中检测到水印数据并获得水印数据的目的地址为攻击者的地址,在出流量中检测不到数字水印,将追踪结果返回追踪服务控制台;
步骤225,在其它网络中,各追踪Agent对其所在网络的流量进行水印检测。不会在其入流量或出流量中发现水印,将追踪结果返回追踪服务控制台。
步骤230,各追踪Agent将追踪结果返回追踪服务控制台后,追踪服务控制台的通信控制模块接收结果信息和证据数据,其数据融合处理模块对这些追踪信息进行融合处理、分析,很容易可以看出,攻击的逆路径是经过了代理主机3,再到代理主机2,再到代理主机1,最后到攻击者的过程。至此,追踪服务控制台获得最终的追踪结果,找到了发起攻击的真正凶手,清晰地重构了攻击路径。
步骤240,为了更深入对攻击的规律、意图等进行分析和研究,追踪服务控制台将所有追踪的结果一起保存到数据库进行管理,以供研究人员对其进行查询、统计。
步骤250,追踪服务控制台将最终的追踪结果返回追踪申请者。
最后所应说明的是,以上实施例仅用以说明本发明的技术方案而非限制,尽管参照较佳实施例对本发明进行了详细说明,本领域的普通技术人员应当理解,可对本发明的技术方案进修改或者等同替换,而不脱离本发明技术方案的精神和范围,其均应涵盖在本发明的权利要求范围当中。

Claims (7)

1.一种利用数字水印和蜜罐技术的网络追踪系统,其特征在于,它包括,
蜜罐系统模块,安装在主机设备上,并挂入主机设备的操作系统;它以伪装服务、开放访问端口和设置敏感信息文件方式对网络扫描、探测和访问进行欺骗,并引诱攻击者对其实施攻击;监听网络上的扫描、探测事件,判断该事件是否符合系统安全策略,若不符合,则蜜罐系统根据欺骗、诱导策略对攻击者进行欺骗,将攻击连接引向蜜罐主机,并诱导其访问敏感信息文件;一旦蜜罐系统监控到有对数字水印系统的访问,马上生成追踪申请信息发送到追踪服务控制台,并且接收追踪服务控制台的返回结果;
数字水印系统模块,安装在主机设备上,并挂入主机设备的操作系统;其主要包括水印设置模块,用于生成数字水印,并将数字水印嵌入到所述蜜罐系统的敏感信息文件中;
追踪服务控制台系统模块,安装在追踪服务控制台设备上,其作用在于,追踪服务控制台系统接收到蜜罐系统的追踪申请信息后,对该追踪申请信息进行编号,提取该追踪申请信息中的数字水印特征,然后对追踪Agent发出追踪该水印的追踪指令;追踪服务控制台接收追踪Agent的初步追踪结果并进行数据融合分析,构造出攻击路径,确定攻击源,形成追踪事件信息,包括编号、发起追踪申请源、发起追踪时间、各追踪Agent返回的追踪结果及证据数据、融合处理后的追踪结果,存入数据库模块,并提供统计查询功能;
追踪Agent系统模块,安装在所述追踪Agent设备上,其作用在于,追踪Agent收到所述追踪指令后,对最近滑动时间窗内网络的入流量和出流量进行分析,并根据该追踪指令包含的数字水印特征进行水印检测,根据检测结果,形成初步追踪结果返回到追踪服务控制台系统;
上述蜜罐系统模块和数字水印系统模块构成网络追踪系统中的陷阱系统,追踪服务控制台系统模块和追踪Agent系统模块构成网络追踪系统中攻击追踪系统。
2.根据权利要求1所述的利用数字水印和蜜罐技术的网络追踪系统,其特征在于,所述蜜罐系统模块包括,
网络欺骗功能模块,其作用在于以伪装服务、开放访问端口和设置敏感信息方式对网络扫描、探测和访问进行欺骗,并引诱攻击者对其实施攻击;信息捕获功能模块,其作用在于实时地监听各种事件,包括来自网络中的各种扫描、探测和访问,也包括攻击者侵入到蜜罐系统后进行的文件读取、数据删改操作,并对各种行为进行记录;当监听到某事件后,先判断其行为是否符合系统安全策略,若不符合,则根据欺骗、诱导策略进行欺骗和诱导,将攻击连接引向蜜罐主机,并诱导其对数字水印文件进行访问,一旦监控到有对数字水印文件的访问,马上生成追踪申请信息并提交通信控制功能模块;其中,追踪申请信息包含水印文件的水印特征信息、水印文件的大小、访问时间和水印文件接收方的目的IP地址;信息控制功能模块,其用于对进入蜜罐系统的行为进行限制,一旦蜜罐系统被攻陷,将阻止攻击者利用蜜罐作为跳板去攻击其它系统;第三通信控制功能模块,其用于对接收到信息捕获功能模块提交的追踪申请信息后立即上报追踪服务控制台系统并负责接收追踪服务控制台系统返回的最终追踪结果。
3.根据权利要求1所述的利用数字水印和蜜罐技术的网络追踪系统,其特征在于,所述追踪服务控制台系统模块包括,
第一时统模块,其用于为追踪服务控制台系统提供与追踪Agent系统相一致的时间,为系统进行时间关联追踪提供条件,同时为追踪事件信息记录入库提供统一的时间;
数据融合处理模块,其用于对追踪Agent系统返回的追踪信息进行融合处理,构造攻击路径,形成最终追踪结果,并提交数据库模块存储;
数据库模块,其提供两方面的功能,一方面存储记录追踪事件信息,包括攻击事件的编号、发起追踪申请源、发起追踪时间、各追踪Agent返回的追踪结果及证据数据、融合处理后的追踪结果;另一方面是对所有追踪事件信息提供统计查询功能,提供统计查询界面,根据查询条件,自动生成相关查询结果;
第一通信控制模块,其作用在于,一方面接收蜜罐系统发来的追踪申请信息,并返回最终追踪结果;另一方面对追踪申请进行编号,向各追踪Agent系统发送追踪指令,并接收追踪Agent系统返回的追踪结果信息与证据数据,即含有数字水印的数据包。
4.根据权利要求1所述的利用数字水印和蜜罐技术的网络追踪系统,其特征在于,所述追踪Agent系统模块包括,
第二时统模块,其用于为追踪Agent提供与追踪服务控制台相一致的时间,为系统进行时间关联追踪提供条件,同时为追踪事件的相关信息记录入库提供统一的时间;
流量存储模块,其用于为追踪分析提供数据来源,由于系统从攻击发生到攻击追踪的过程全部由程序自动实现,从时间上来讲反应很迅速,也就是说攻击流量经过追踪Agent到追踪Agent收到追踪服务控制台的追踪指令的时间间隔很短,因此,追踪Agent只需要对最近较短时间经过的流量进行保存,设置一个滑动时间窗,循环记录窗口里的入流量和出流量数据;
数据分析模块,其用于实现对追踪Agent记录的数据进行分析,提取出入追踪Agent流量的源地址和目标地址,对流量中的数字水印进行检测,最后形成分析结果;
第二通信控制模块,其用于接收追踪服务控制台的追踪指令并返回追踪结果,还要向追踪服务控制台传送追踪的证据数据,即含有数字水印的数据包。
5.根据权利要求2所述的利用数字水印和蜜罐技术的网络追踪系统,其特征在于包括防火墙,防火墙设置在蜜罐系统主机前端,它用于对蜜罐系统主机往外发的每一个连接进行跟踪,当某蜜罐系统主机向外发送的信息包数量达到设定上限时,防火墙便会阻塞发送,避免蜜罐系统主机成为入侵者扫描、探测及攻击他人系统的跳板。
6.根据权利要求5所述的利用数字水印和蜜罐技术的网络追踪系统,其特征在于还包括路由器,该路由器安装在防火墙与蜜罐系统主机组成的网络之间;其用于隐藏防火墙,同时,在数据链路层上作为访问控制设备成为防火墙的补充。
7.根据权利要求6所述的利用数字水印和蜜罐技术的网络追踪系统,其特征在于,还包括日志服务器,日志服务器异地安装,与蜜罐系统主机所在的网络远程通信,其作用在于,日志服务器异地存储和备份所述信息捕获功能模块从防火墙日志、IDS日志和蜜罐系统主机的系统日志数据源收集和捕获的数据,保证收集和捕获的数据完整和安全。
CN200810047068XA 2008-05-13 2008-05-13 一种网络追踪系统 Expired - Fee Related CN101262351B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN200810047068XA CN101262351B (zh) 2008-05-13 2008-05-13 一种网络追踪系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN200810047068XA CN101262351B (zh) 2008-05-13 2008-05-13 一种网络追踪系统

Publications (2)

Publication Number Publication Date
CN101262351A CN101262351A (zh) 2008-09-10
CN101262351B true CN101262351B (zh) 2010-07-07

Family

ID=39962577

Family Applications (1)

Application Number Title Priority Date Filing Date
CN200810047068XA Expired - Fee Related CN101262351B (zh) 2008-05-13 2008-05-13 一种网络追踪系统

Country Status (1)

Country Link
CN (1) CN101262351B (zh)

Families Citing this family (21)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102006290B (zh) * 2010-08-12 2013-08-07 清华大学 Ip源地址追溯的方法
CN102855423A (zh) * 2011-06-29 2013-01-02 盛乐信息技术(上海)有限公司 一种文字作品的追踪方法和装置
CN102932320A (zh) * 2011-08-12 2013-02-13 西安秦码软件科技有限公司 一种基于分流的IPv6千兆分布式入侵检测方法
CN103581104A (zh) * 2012-07-18 2014-02-12 江苏中科慧创信息安全技术有限公司 一种基于行为捕捉的主动诱捕方法
CN103685171A (zh) * 2012-09-10 2014-03-26 江苏中科慧创信息安全技术有限公司 保护账号系统的攻击控制方法
CN103716289A (zh) * 2012-10-08 2014-04-09 江苏中科慧创信息安全技术有限公司 保护服务系统的攻击控制方法
CN105024977A (zh) * 2014-04-25 2015-11-04 湖北大学 基于数字水印和蜜罐技术的网络追踪系统
CN105763529A (zh) * 2015-12-12 2016-07-13 哈尔滨安天科技股份有限公司 一种网络环境下攻击链获取方法及系统
CN107404465B (zh) * 2016-05-20 2020-08-04 阿里巴巴集团控股有限公司 网络数据分析方法及服务器
CN106302433B (zh) * 2016-08-11 2019-12-31 华侨大学 一种基于网络流量预测与熵的网络流水印检测方法及系统
CN106549960A (zh) * 2016-10-27 2017-03-29 北京安天电子设备有限公司 一种基于网络监控追踪攻击者的方法及系统
CN107046535B (zh) * 2017-03-24 2019-11-29 中国科学院信息工程研究所 一种异常感知和追踪方法及系统
CN107154939B (zh) * 2017-05-10 2020-12-01 深信服科技股份有限公司 一种数据追踪的方法及系统
CN107809425A (zh) * 2017-10-20 2018-03-16 杭州默安科技有限公司 一种蜜罐部署系统
CN107911244A (zh) * 2017-11-17 2018-04-13 华南理工大学 一种云网结合的多用户蜜罐终端系统及其实现方法
CN108768989A (zh) * 2018-05-18 2018-11-06 刘勇 一种采用拟态技术的apt攻击防御方法、系统
CN109617885B (zh) * 2018-12-20 2021-04-16 北京神州绿盟信息安全科技股份有限公司 攻陷主机自动判定方法、装置、电子设备及存储介质
CN110602104B (zh) * 2019-09-17 2022-02-18 北京丁牛科技有限公司 一种防止公有云盘被僵尸网络恶意利用的方法及装置
CN111526135A (zh) * 2020-04-15 2020-08-11 北京丁牛科技有限公司 一种网络活动数据的回溯方法及装置
CN111935114A (zh) * 2020-07-29 2020-11-13 浙江德迅网络安全技术有限公司 一种基于SYN攻击保护的反向追踪DDoS攻击防护方法及系统
CN114422248B (zh) * 2022-01-20 2024-07-09 深信服科技股份有限公司 一种攻击处理方法、系统、网络安全设备及存储介质

Also Published As

Publication number Publication date
CN101262351A (zh) 2008-09-10

Similar Documents

Publication Publication Date Title
CN101262351B (zh) 一种网络追踪系统
CN105024977A (zh) 基于数字水印和蜜罐技术的网络追踪系统
CN103227798B (zh) 一种免疫网络系统
CN104811447B (zh) 一种基于攻击关联的安全检测方法和系统
CN101350745B (zh) 一种入侵检测方法及装置
CN106657025A (zh) 网络攻击行为检测方法及装置
CN107046543A (zh) 一种面向攻击溯源的威胁情报分析系统
CN109885562A (zh) 一种基于网络空间安全的大数据智能分析系统
CN107070929A (zh) 一种工控网络蜜罐系统
CN107888887A (zh) 一种监测燃气管道第三方破坏的视频监控预警方法及系统
Dongxia et al. An intrusion detection system based on honeypot technology
WO2010056379A1 (en) Systems, methods, and devices for detecting security vulnerabilities in ip networks
CN106992955A (zh) Apt防火墙
CN111885067A (zh) 一种面向流量的集成式蜜罐威胁数据捕获方法
Suo et al. Research on the application of honeypot technology in intrusion detection system
CN109271790A (zh) 一种基于流量分析的恶意站点访问拦截方法及检测系统
CN105871775B (zh) 一种安全防护方法及dpma防护模型
Shrivastava et al. Network forensics: Today and tomorrow
CN115987531A (zh) 一种基于动态欺骗式“平行网络”的内网安全防护系统及方法
CN111478912A (zh) 一种区块链入侵检测系统及方法
TW201141155A (en) Alliance type distributed network intrusion prevention system and method thereof
CN102932145A (zh) 一种基于第三方签名的协同网络电子取证技术
Da-Yu Cybercrime countermeasure of insider threat investigation
Harrison et al. The honey community: Use of combined organizational data for community protection
Kao Using the actionable intelligence approach for the dpi of cybercrime insider investigation

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C14 Grant of patent or utility model
GR01 Patent grant
C17 Cessation of patent right
CF01 Termination of patent right due to non-payment of annual fee

Granted publication date: 20100707

Termination date: 20120513