CN101471783A - 主动网络防御方法和系统 - Google Patents
主动网络防御方法和系统 Download PDFInfo
- Publication number
- CN101471783A CN101471783A CNA2007103045682A CN200710304568A CN101471783A CN 101471783 A CN101471783 A CN 101471783A CN A2007103045682 A CNA2007103045682 A CN A2007103045682A CN 200710304568 A CN200710304568 A CN 200710304568A CN 101471783 A CN101471783 A CN 101471783A
- Authority
- CN
- China
- Prior art keywords
- hacker
- network
- active networks
- evidence obtaining
- server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明为一种主动网络防御方法和系统,其实现的方法包括的步骤是:步骤a:在网络中虚拟设置至少一台存在明显安全漏洞的服务器或路由器;步骤b:网络攻击者利用所述的漏洞取得了所述服务器或路由器的管理员命令解释程序;步骤c:对网络攻击者运行命令解释程序进行监视,并将运行过程进行记录,用以取证。
Description
技术领域
本发明涉及的是一种计算机网络安全技术,特别涉及的是一种通过在网络中架设虚拟机,诱使黑客扫描、攻击所述的虚拟机,相应记录黑客的行踪和攻击手段等信息,迷惑黑客的网络防御方法和系统。
背景技术
在计算机网络中,防火墙、入侵检测和漏洞扫描是保护网络安全的基本手段。防火墙安装在受保护网络的外围起到防御来在外部攻击的作用,入侵检测系统安装在受保护网络的内部起到防御来自网络内部的攻击。然而这些技术都属于被动防御,只有当黑客发动攻击后,才会做出反应,因此,要想有效防御,必须了解黑客的一些信息。不幸的是,在网络攻防的两端存在着极大的不对称性,黑客可以利用扫描、探测等技术手段全面掌握被攻击者的信息而防御者对黑客的来源、攻击方法和攻击目标等信息却一无所知。
随着人们对网络安全的研究,一种蜜罐原理应运而生,所述的蜜罐是一种资源,其价值在于它在网络中会受到黑客的探测、攻击或攻陷。由其延伸出蜜网,其是由若干台蜜罐服务器、防火墙和IDS等组成的蜜罐网络。蜜罐并不修正任何问题,它们仅为我们提供额外的、有价值的信息。也就是说,蜜罐本身并不直接为网络提供保护。相反,蜜罐是专门用来被人入侵的一种资源,是给攻击者的一个诱饵。一般情况下,蜜罐上不会部署业务应用,因此进出蜜罐的通信都是非授权的。
蜜罐最根本的特征是故意留有漏洞的虚拟服务。这些服务是架设在一定系统之上的。
鉴于上述缺陷,本发明创作者经过长时间的研究和实验终于获得了本创作。
发明内容
本发明的目的在于,提供一种主动网络防御方法和系统,用以克服上述的缺陷。
为实现上述目的,本发明采用的技术方案在于,首先提供一种主动网络防御方法,其包括的步骤是:
步骤a:在网络中虚拟设置至少一台存在明显安全漏洞的服务器或路由器;
步骤b:网络攻击者利用所述的漏洞取得了所述服务器或路由器的管理员命令解释程序;
步骤c:对网络攻击者运行命令解释程序进行监视,并将运行过程进行记录,用以取证。
较佳的,所述的服务器或路由器通过配置防火墙隔离开同一网络中的其他设备。
较佳的,所述的步骤c:对网络攻击者运行命令解释程序进行监视,并将运行过程进行记录,用以取证;其包括的步骤为:
步骤c1:监控上传后门并执行后门的整个过程,记录后门的进程标识符或者后门进程注入的目标进程;
步骤c2:将后门程序拷贝到相关目录存储;
步骤c3:对网络攻击者的攻击信息,以日志的形式进行存储并发送给一日志模块。
较佳的,所述的存储的日志包含:黑客登入时间、黑客注销时间、黑客源IP地址、黑客源MAC地址、黑客上后门命令、黑客后门程序进程标识符/后门程序注入的目标程序的进程标识符以及黑客后门程序名称。
较佳的,所述的日志,其格式采用snort日志格式,采用其中的两种格式XML和纯文本。
其次提供一种主动网络防御系统,其是基于上述的主动网络防御方法实现的,其包括:
复数台虚拟机,其受操作系统支持,并分别运行具有漏洞的服务程序;
一取证模块,其监视网络攻击者利用漏洞取得了所述虚拟机的管理员命令解释程序,将运行过程进行记录,用以取证;
一日志模块,其接收所述的取证模块提供的记录,并进行存储。
较佳的,所述的复数台虚拟机运行的操作系统分别为Linux,FreeBSD,Window NT和Solaris其中之一。
较佳的,所述的复数台虚拟机、取证模块以及日志模块都设置在一宿主主机上;或者是所述复数台虚拟机、取证模块设置在一宿主主机上,所述的日志模块设置一日志服务器上。
与现有技术比较本发明的有益效果在于,通过在网络中架设蜜罐或者蜜网,诱使黑客扫描、攻击蜜罐或蜜网,蜜罐或蜜网来记录黑客的行踪和攻击手段等信息,迷惑黑客,同时分担其它处于网络中的设备被攻击的危险。
附图说明
图1为本发明主动网络防御方法的流程图;
图2为本发明主动网络防御系统所处网络架构简图。
具体实施方式
以下结合附图,对本发明上述的和另外的技术特征和优点作更详细的说明。
请参阅图1所示,其为本发明主动网络防御方法的流程图,其包括的步骤是:
步骤a:在网络中虚拟设置至少一台存在明显安全漏洞的服务器或路由器;
步骤b:网络攻击者利用所述的漏洞取得了所述服务器或路由器的管理员命令解释程序;
步骤c:对网络攻击者运行命令解释程序进行监视,并将运行过程进行记录,用以取证。
其中,所述的在网络中虚拟设置的至少一台存在明显安全漏洞的服务器或路由器就是所述的蜜罐,其最根本的特征是故意留有漏洞的虚拟服务。这些服务是架设在一定系统之上的。蜜罐可以虚拟一台Linux下的http服务器,如apache-2.2,也可以虚拟一台Cisco路由器,或者一台AIX下的MySQL服务;其不但能够在一台主机上虚拟一种或几种服务器,也可以由一台主机虚拟出一个网络拓扑结构,路由器和各种服务器,这就是蜜网。所述的服务器或路由器通过配置防火墙隔离开同一网络中的其他设备。蜜罐无论虚拟哪种服务,除了吸引黑客以外,这些服务都是没有实际功用的。蜜罐尽量防止黑客攻陷蜜罐/蜜网系统,但蜜罐/蜜网系统并不保证不被攻陷。
所述的步骤c:对网络攻击者运行命令解释程序进行监视,并将运行过程进行记录,用以取证;其包括的步骤为:
步骤c1:监控上传后门并执行后门的整个过程,记录后门的进程标识符或者后门进程注入的目标进程;
步骤c2:将后门程序拷贝到相关目录存储;
步骤c3:对网络攻击者的攻击信息,以日志的形式进行存储并发送给一日志模块。
其中,所述的存储的日志包含:黑客登入时间、黑客注销时间、黑客源IP地址、黑客源MAC地址、黑客上后门命令、黑客后门程序进程标识符/后门程序注入的目标程序的进程标识符以及黑客后门程序名称。所述的日志,其格式采用snort日志格式,采用其中的两种格式XML和纯文本。
其次提供一种主动网络防御系统,其是基于上述的主动网络防御方法实现的,请参阅图2所示,为本发明主动网络防御系统所处网络架构简图;蜜罐和真实服务器在整个网络中的位置是相同的,位于同一个网段,比如DMZ区。如附图所示。蜜罐器不是防火墙,也不是入侵检测,它的存在的意思在于吸引黑客的攻击。蜜罐自身有可能被攻破,也有可能成为黑客攻击真实服务器的跳板。但蜜罐上的程序是没有任何价值的,是通过吸引黑客的攻击,分担了真实服务器的收到攻击的压力,采集了黑客的攻击代码,取得了黑客入侵蜜罐的证据。蜜罐/蜜网与防火墙,入侵检测联动使用会起到很好的效果。
对于本主动网络防御系统其可以是建立在一宿主主机上的软件实现的程序结构,其包括:复数台虚拟机,取证模块以及日子模块,其中复数台虚拟机是由宿主主机使用Vmware虚拟机软件运行多台虚拟机,分别运行Linux,FreeBSD,Window NT和Solaris等操作系统。所述的虚拟机都运行了带有漏洞的服务,同真实服务器在同一网段,这四台服务器也成为“蜜罐”。在其上同时运行了多种操作系统与应用程序,这些操作系统与应用程序共享硬件装置,但在逻辑上各自独立运行互不干扰。虚拟层映射实体的硬件资源到自己本身的虚拟机器资源,因此每个虚拟机都有各自的CPU,内存,硬盘,I/O设备等...所以虚拟机器完全等同于一个标准的计算机。虚拟机可以虚拟x86、x86_64、ARM、SPARC、PowerPC和MIPS等不同架构。
宿主主机是一台高性能主机,运行Windows xp系统。虚拟机程序以虚拟硬盘的方式存在,可以存放其本地硬盘,移动存储设备或光存储设备中,四台蜜罐处于同等地位,下文中“蜜罐”特指Linux的蜜罐。蜜罐运行Linux2.6操作系统,Linux2.6操作系统上运行带有漏洞的ApacheGroupApache2.0.46,其mod_rewrite模块在转义绝对URI主题时存在单字节缓冲区溢出漏洞,攻击者可能利用此漏洞在服务器上执行任意指令。蜜罐关闭除了Apache以外的其它服务,并通过配置其防火墙iptables仅开放本地的http服务。
假设黑客占据了内网的一台主机,以下简称黑客主机。黑客主机通过扫描工具mmap扫描某网段内在线的主机,mmap在探测蜜罐的80端口是后者做出正确的ICMP应答。黑客主机发现蜜罐开放了HTTP服务,蜜罐返回的banner判断服务器为Apache服务器。黑客主机随后使用ApacheHackerTool对的蜜罐80端口进行重新扫描,发现了其存在缓冲区溢出的漏洞。黑客主机利用该漏洞取得了蜜罐服务器的管理员命令解释程序。
在黑客主机取得蜜罐管理员命令解释程序的同时,由蜜罐上的取证模块监视黑客所取得的命令解释程序。所述的取证模块采用黑客常用的注入方式,在新命令解释程序启动的同时注入到命令解释程序中。这段命令解释程序代码(shell code)可以监控上传后门并执行后门的整个过程,记录后门的PID(进程标识符)或者后门进程注入的目标进程等的相关信息,可以将后门程序拷贝到相关目录存储,以备研究之用。所述的取证模块以简单文本的形式存储日志,黑客取证模块在记录的同时将记录内容发送给日志模块。
在黑客主机与蜜罐进行交互的同时,运行在宿主主机上的日志模块将将黑客服务器的数据包记录下来,其中含有黑客攻击蜜罐的代码,日志模块记录日志的格式采用snort日志格式,采用其中的两种格式XML和纯文本,可以通过友好的方式查看黑客服务器与蜜罐之间通信的数据包。宿主主机上的日志记录模块可以通过跨平台的socket编程或libpcap/winpcap编程来实现。
对于本主动网络防御系统也可以建立在一宿主主机和一硬件构成日志模块的基础上的,所述的日志模块可以是硬盘、移动存储设备、光存储等设备上,也可以是远端的日志服务器
蜜罐系统通过日志模块和取证模块将记录黑客的攻击手段和非法入侵的证据。宿主主机及其日志模块、客户主机虚拟服务器及其取证模块以及日志服务器的联动很好的起到诱捕黑客,采集黑客信息的作用,采用这种方式的蜜罐系统有可能记录到零日攻击,即以前没有发现的攻击。
蜜罐也可以通过纯硬件或者软硬件结合的方式实现。类似于防火墙和入侵检测系统,蜜罐可以搭载在PowerPC等其它架构上,通过裁剪Linux内核,去掉内核中无用的模块,通过内核级虚拟机来实现嵌入式蜜罐。
通过在网络中架设蜜罐或者蜜网,诱使黑客扫描、攻击蜜罐或蜜网,蜜罐或蜜网来记录黑客的行踪和攻击手段等信息,迷惑黑客,同时分担其它处于网络中的设备被攻击的危险。
以上所述仅为本发明的较佳实施例,对本发明而言仅仅是说明性的,而非限制性的。本专业技术人员理解,在本发明权利要求所限定的精神和范围内可对其进行许多改变,修改,甚至等效,但都将落入本发明的保护范围内。
Claims (8)
1、一种主动网络防御方法,其特征在于,其包括的步骤是:
步骤a:在网络中虚拟设置至少一台存在明显安全漏洞的服务器或路由器;
步骤b:网络攻击者利用所述的漏洞取得了所述服务器或路由器的管理员命令解释程序;
步骤c:对网络攻击者运行命令解释程序进行监视,并将运行过程进行记录,用以取证。
2、根据权利要求1所述的主动网络防御方法,其特征在于,所述的服务器或路由器通过配置防火墙隔离开同一网络中的其他设备。
3、根据权利要求1所述的主动网络防御方法,其特征在于,所述的步骤c:对网络攻击者运行命令解释程序进行监视,并将运行过程进行记录,用以取证;其包括的步骤为:
步骤c1:监控上传后门并执行后门的整个过程,记录后门的进程标识符或者后门进程注入的目标进程;
步骤c2:将后门程序拷贝到相关目录存储;
步骤c3:对网络攻击者的攻击信息,以日志的形式进行存储并发送给一日志模块。
4、根据权利要求3所述的主动网络防御方法,其特征在于,所述的存储的日志包含:黑客登入时间、黑客注销时间、黑客源IP地址、黑客源MAC地址、黑客上后门命令、黑客后门程序进程标识符/后门程序注入的目标程序的进程标识符以及黑客后门程序名称。
5、根据权利要求4所述的主动网络防御方法,其特征在于,所述的日志,其格式采用snort日志格式,采用其中的两种格式XML和纯文本。
6、一种主动网络防御系统,其是基于上述的主动网络防御方法实现的,其特征在于:其包括:
复数台虚拟机,其受操作系统支持,并分别运行具有漏洞的服务程序;
一取证模块,其监视网络攻击者利用漏洞取得了所述虚拟机的管理员命令解释程序,将运行过程进行记录,用以取证;
一日志模块,其接收所述的取证模块提供的记录,并进行存储。
7、根据权利要求6所述的主动网络防御系统,其特征在于,所述的复数台虚拟机运行的操作系统分别为Linux,FreeBSD,Window NT和Solaris其中之一。
8、根据权利要求6所述的主动网络防御系统,其特征在于,所述的复数台虚拟机、取证模块以及日志模块都设置在一宿主主机上;或者是所述复数台虚拟机、取证模块设置在一宿主主机上,所述的日志模块设置一日志服务器上。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNA2007103045682A CN101471783A (zh) | 2007-12-28 | 2007-12-28 | 主动网络防御方法和系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNA2007103045682A CN101471783A (zh) | 2007-12-28 | 2007-12-28 | 主动网络防御方法和系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN101471783A true CN101471783A (zh) | 2009-07-01 |
Family
ID=40828925
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNA2007103045682A Pending CN101471783A (zh) | 2007-12-28 | 2007-12-28 | 主动网络防御方法和系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101471783A (zh) |
Cited By (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103092680A (zh) * | 2013-01-28 | 2013-05-08 | 北京航空航天大学 | 计算机网络防御方案仿真执行系统 |
| CN105007191A (zh) * | 2015-07-31 | 2015-10-28 | 上海红神信息技术有限公司 | 拟态路由交换系统的感知、决策与执行分离方法 |
| CN105262730A (zh) * | 2015-09-14 | 2016-01-20 | 北京华青融天技术有限责任公司 | 基于企业域名安全的监控方法及装置 |
| CN106209867A (zh) * | 2016-07-15 | 2016-12-07 | 北京元支点信息安全技术有限公司 | 一种高级威胁防御方法及系统 |
| CN106961442A (zh) * | 2017-04-20 | 2017-07-18 | 中国电子技术标准化研究院 | 一种基于蜜罐的网络诱捕方法 |
| CN107819731A (zh) * | 2016-09-13 | 2018-03-20 | 北京长亭科技有限公司 | 一种网络安全防护系统及相关方法 |
| CN108183884A (zh) * | 2017-11-30 | 2018-06-19 | 高旭磊 | 一种网络攻击判定方法及装置 |
| CN110071929A (zh) * | 2019-04-28 | 2019-07-30 | 江苏极元信息技术有限公司 | 一种基于虚拟化平台的海量诱饵捕获攻击源的防御方法 |
| CN110557405A (zh) * | 2019-09-30 | 2019-12-10 | 河海大学 | 一种高交互ssh蜜罐实现方法 |
| CN111181998A (zh) * | 2020-01-09 | 2020-05-19 | 南京邮电大学 | 面向物联网终端设备的蜜罐捕获系统的设计方法 |
| CN112242974A (zh) * | 2019-07-16 | 2021-01-19 | 中国移动通信集团浙江有限公司 | 基于行为的攻击检测方法、装置、计算设备及存储介质 |
| CN114826787A (zh) * | 2022-06-29 | 2022-07-29 | 北京长亭未来科技有限公司 | 一种针对后门攻击的主动对抗方法、系统、设备及介质 |
| CN116132090A (zh) * | 2022-11-09 | 2023-05-16 | 中国电子科技集团公司第三十研究所 | 一种面向Web安全防护的欺骗防御系统 |
-
2007
- 2007-12-28 CN CNA2007103045682A patent/CN101471783A/zh active Pending
Cited By (22)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103092680B (zh) * | 2013-01-28 | 2016-01-20 | 北京航空航天大学 | 计算机网络防御方案仿真执行系统 |
| CN103092680A (zh) * | 2013-01-28 | 2013-05-08 | 北京航空航天大学 | 计算机网络防御方案仿真执行系统 |
| CN105007191A (zh) * | 2015-07-31 | 2015-10-28 | 上海红神信息技术有限公司 | 拟态路由交换系统的感知、决策与执行分离方法 |
| CN105007191B (zh) * | 2015-07-31 | 2018-09-11 | 上海红神信息技术有限公司 | 拟态路由交换系统的感知、决策与执行分离方法 |
| CN105262730A (zh) * | 2015-09-14 | 2016-01-20 | 北京华青融天技术有限责任公司 | 基于企业域名安全的监控方法及装置 |
| CN105262730B (zh) * | 2015-09-14 | 2018-07-17 | 北京华青融天技术有限责任公司 | 基于企业域名安全的监控方法及装置 |
| CN106209867A (zh) * | 2016-07-15 | 2016-12-07 | 北京元支点信息安全技术有限公司 | 一种高级威胁防御方法及系统 |
| CN107819731A (zh) * | 2016-09-13 | 2018-03-20 | 北京长亭科技有限公司 | 一种网络安全防护系统及相关方法 |
| CN106961442A (zh) * | 2017-04-20 | 2017-07-18 | 中国电子技术标准化研究院 | 一种基于蜜罐的网络诱捕方法 |
| CN108183884B (zh) * | 2017-11-30 | 2020-11-06 | 高旭磊 | 一种网络攻击判定方法及装置 |
| CN108183884A (zh) * | 2017-11-30 | 2018-06-19 | 高旭磊 | 一种网络攻击判定方法及装置 |
| CN110071929A (zh) * | 2019-04-28 | 2019-07-30 | 江苏极元信息技术有限公司 | 一种基于虚拟化平台的海量诱饵捕获攻击源的防御方法 |
| CN110071929B (zh) * | 2019-04-28 | 2021-03-16 | 江苏极元信息技术有限公司 | 一种基于虚拟化平台的海量诱饵捕获攻击源的防御方法 |
| CN112242974A (zh) * | 2019-07-16 | 2021-01-19 | 中国移动通信集团浙江有限公司 | 基于行为的攻击检测方法、装置、计算设备及存储介质 |
| CN110557405A (zh) * | 2019-09-30 | 2019-12-10 | 河海大学 | 一种高交互ssh蜜罐实现方法 |
| CN110557405B (zh) * | 2019-09-30 | 2021-09-17 | 河海大学 | 一种高交互ssh蜜罐实现方法 |
| CN111181998A (zh) * | 2020-01-09 | 2020-05-19 | 南京邮电大学 | 面向物联网终端设备的蜜罐捕获系统的设计方法 |
| CN111181998B (zh) * | 2020-01-09 | 2022-07-26 | 南京邮电大学 | 面向物联网终端设备的蜜罐捕获系统的设计方法 |
| CN114826787A (zh) * | 2022-06-29 | 2022-07-29 | 北京长亭未来科技有限公司 | 一种针对后门攻击的主动对抗方法、系统、设备及介质 |
| CN114826787B (zh) * | 2022-06-29 | 2022-09-23 | 北京长亭未来科技有限公司 | 一种针对后门攻击的主动对抗方法、系统、设备及介质 |
| CN116132090A (zh) * | 2022-11-09 | 2023-05-16 | 中国电子科技集团公司第三十研究所 | 一种面向Web安全防护的欺骗防御系统 |
| CN116132090B (zh) * | 2022-11-09 | 2024-04-02 | 中国电子科技集团公司第三十研究所 | 一种面向Web安全防护的欺骗防御系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101471783A (zh) | 主动网络防御方法和系统 | |
| CN112769821B (zh) | 一种基于威胁情报和att&ck的威胁响应方法及装置 | |
| CN107888607A (zh) | 一种网络威胁检测方法、装置及网络管理设备 | |
| ES2560109T3 (es) | Procedimiento y sistema de clasificación de tráfico | |
| CN104468632A (zh) | 防御漏洞攻击的方法、设备及系统 | |
| CN110875904A (zh) | 实现攻击处理的方法、蜜罐部署方法及介质和设备 | |
| Martin et al. | Raspberry Pi Malware: An analysis of cyberattacks towards IoT devices | |
| Li et al. | The research and design of honeypot system applied in the LAN security | |
| CN108234400A (zh) | 一种攻击行为确定方法、装置及态势感知系统 | |
| Wang et al. | Detecting targeted attacks by multilayer deception | |
| Song et al. | Cooperation of intelligent honeypots to detect unknown malicious codes | |
| Borys et al. | An evaluation of IoT DDoS cryptojacking malware and Mirai Botnet | |
| Ojugo et al. | Forging A Smart Dependable Data Integrity And Protection System Through Hybrid-Integration Honeypot In Web and Database Server | |
| Chang et al. | IoT sandbox: to analysis IoT malware Zollard | |
| Fuertes et al. | Alternative engine to detect and block port scan attacks using virtual network environments | |
| Rutherford et al. | Using an improved cybersecurity kill chain to develop an improved honey community | |
| LaBar et al. | Honeypots: Security by deceiving threats | |
| US20230156037A1 (en) | Methods and system for providing security to critical systems connected to a computer network | |
| Betts et al. | Developing a state of the art methodology and toolkit for ICS SCADA forensics | |
| CN116760558A (zh) | 一种安全蜜罐系统及其实现方法 | |
| Li et al. | A new type of intrusion prevention system | |
| AT&T | sample_cyber_security | |
| Sikos et al. | CamDec: Advancing Axis P1435-LE video camera security using honeypot-based deception | |
| Tian et al. | A Study of Intrusion Signature Based on Honeypot | |
| Rajbhar | Intrusion Detection & Prevention Using Honeypot |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C12 | Rejection of a patent application after its publication | ||
| RJ01 | Rejection of invention patent application after publication |
Open date: 20090701 |