CN101741570A - 基于蜜网的逆向数据连接控制方法 - Google Patents
基于蜜网的逆向数据连接控制方法 Download PDFInfo
- Publication number
- CN101741570A CN101741570A CN200810046564A CN200810046564A CN101741570A CN 101741570 A CN101741570 A CN 101741570A CN 200810046564 A CN200810046564 A CN 200810046564A CN 200810046564 A CN200810046564 A CN 200810046564A CN 101741570 A CN101741570 A CN 101741570A
- Authority
- CN
- China
- Prior art keywords
- data
- net
- subnet
- connect
- honey
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明设计了一种基于蜜网的逆向数据连接控制的方法,能够检测出流进流出蜜网的数据流,对于危险的数据流做智能化的处理,让这些危险的数据流按照规定意图改变,并且连接控制本身是被隐藏起来的,外界觉察不到它的存在,外界对它将无从攻击。在一个实例中,本发明对流出子网的数据进行检测控制,防止该子网作为攻击者攻击外部网络的工具。对流出子网的所有数据包进行检测,经端口检测、连接频率检测和包内容检测三种检测方法,找出流出的非法数据。从而避免保护的子网成为恶意用户的攻击工具。此外本专利还可以在限制流出蜜网的数据的同时,让攻击者不会怀疑其攻击的是一个蜜网,从而让攻击者在蜜网中驻留时间更长。
Description
技术领域
本发明涉及密网,尤其涉及访问控制。
背景技术
本发明是为智能蜜网设计的专门的连接控制技术,它不但具有传统控制技术的功能,并且还智能化。以下描述了基于密网的逆向数据连接控制方法的研究背景。
连接控制在蜜网系统中起着中枢的作用,因为它不仅决定了蜜网对使用者的价值,也决定了使用者使用蜜网必须面对的风险代价。连接控制就需要在风险与价值之间找到一个平衡,保证蜜网系统是一个安全的系统,不会对外界造成破坏性的影响。连接控制负责检测和控制整个蜜网中的流进流出数据,蜜网系统的安全问题就需要连接控制来解决。
一些传统的连接控制技术只能起到一些简单的控制作用,比如对连接信息的记录,对端口的限制,对地址的限制,但是这蜜网的安全将起不到重要的作用。本专利为智能蜜网设计了专门的连接控制技术,它不但具有传统控制技术的功能,并且还智能化。它可以检测出流进流出蜜网的数据流,对于危险的数据流做智能化的处理,让这些危险的数据流按照规定意图改变。在连接控制中很多技术都是把连接控制本身暴露在外,这样极易遭到外界的攻击,一旦连接控制的功能失效,那整个蜜网将不会有任何意义,只会成为攻击者巨大的跳板。但是智能蜜网的连接控制本身是被隐藏起来的,外界觉察不到它的存在,外界对它将无从攻击。这样连接控制本身绝对安全了,整个智能蜜网的安全才有保障。
目前关于连接控制也有一些专利。专利200710074539.1“网络设备攻击防范的方法和装置”涉及通信领域,尤其涉及一种防范网络攻击的方法和装置。它提供实现网络设备智能攻击防范的方法和装置,解决目前通信网络中无法智能防范攻击的问题。该方法获取网络设备的流量过载丢包信息、网络设备的流量限制阈值和网络设备的资源信息;根据所述流量过载丢包信息和所述资源信息,对业务报文流的所述流量限制阈值做出相应调整。该方法和装置,采用智能调整措施,可以在系统资源占用不多的情况下,动态调大设备上送流量限制阈值,智能提升设备的性能,使设备处理业务的性能达到最佳。采用智能防范措施,可以在系统资源占用过载的情况下,动态调小设备上送流量限制的阈值,达到保护设备的目的。相比之下,本发明对流出子网的数据进行检测控制,防止该子网作为攻击者攻击外部网络的工具。同时,专利200710074539.1所述方法没有解决对流出数据的安全性的检测及控制,而且主要是对DDos攻击进行防范,因而对攻击数据的防范相当有限
本发明的困难性是灵活。连接控制的主要目的是阻止攻击者利用保护子网作为跳板去攻击别的机器,但是它只是尽量的减少,而不是杜绝这种行为。在受保护的子网中,接受任何的扫描、探测、连接,但是对从该子网网出去的扫描、探测、连接,却必需要条件的放行,如果发现出去的数据包有异常,那必须加以制止,不然该子网就成了攻击者的帮凶,有可能就会发生法律上的纠纷。当然,能否从攻击者的行动获取多大有价值的信息,也在于对往外连接的控制。控制程度低,攻击者的活动空间就比较大,同时子网获取的信息的价值也会比较高;反之,获取的价值也会比较低。而且必须保证在攻击者不察觉行为已经受到监视。
蜜网的功能就是吸引恶意用户的攻击从而捕获一些未知的攻击方法,所以蜜网随时都面临着被攻击的危险。但对蜜网的攻击不能让其到达公共网络。本专利可以避免蜜网系统在被攻击后成为攻击方的工具危害外部网络。蜜网的另一个作用是收集尽可能多的攻击信息。本专利可以在限制流出蜜网的数据的同时,让攻击者不会怀疑其攻击的是一个蜜网,从而让攻击者在蜜网中驻留时间。
发明内容
本发明提供了一种基于密网的逆向数据连接控制的方法,它具有传统控制技术的功能,并且还智能化,为整个智能蜜网的安全提供了保障。
首先由人工设置连接控制中的开放端口、连接频率范围和包内容检测规则。在运行连接控制系统后,该系统截获所有流出蜜网的数据包,然后对数据包进行处理,数据包将根据处理的不同结果决定是否流出蜜网。
本专利系统包括以下四个模块:
端口检测模块:在该模块中,需要根据蜜网的不同部署人为设置哪些端口的数据可以流出蜜网和蜜网数据可以连接外部网络的哪些端口。在接受到蜜网流出的数据包后检测包头信息,根据设置的端口判断该数据包是否合法。
频率检测模块:在频率连接控制模块中,需要设置连接频率。通过检测蜜网发起的连接频率,如果超过了设置的频率值,则将连接全部断掉,否则认为数据连接频率合法,让其通过到达下一模块。
包内容检测模块:流出蜜网网的数据包到达包内容检测模块后,读取数据包的包内容,然后与我们的连接控制的包内容检测规则进行匹配,对包内容合法与不合法的数据包进行不同的处理。
非法数据包处理模块:该模块用于处理各种检测出来的非法数据包,在该模块中可以有多种不同的方法对非法数据进行处理。
本专利实施在蜜网与外部网络的接口,主要用于对从蜜网到外部网络的连接控制。当有数据从蜜网连向外部网络是,经过本专利中的连接控制系统。首先解析得到数据包的包头信息,根据连接控制系统设置的开放端口,将合法的数据包转到连接频率控制模块,将非法的数据包转到非法数据包处理模块。连接频率控制模块接受到数据包后,检查该数据连接的频率是否在被允许的频率范围内,将频率合法的数据包转到数据包内容检测模块,将频率不合法的数据包转到非法数据包处理模块。数据包内容检测模块接收到数据包后,解析数据包的的内容,根据包内容检测规则进行匹配,将规则匹配的数据包转到非法数据包处理模块,将规则不匹配的数据包转到合法数据包处理模块。
附图说明
图1为本专利的具体流程图;
图2为包头信息检测的具体过程的框架图;
图3为进入连接控制系统的数据流图;
具体实施方式
下面结合附图对本发明的技术方案作详细说明。
图1显示了具体执行本发明的步骤图,为了清楚地描述本发明,下面描述一个具体的实施例,细化图1各步骤如下:
步骤101,检测到流出蜜网的数据包。
步骤102,首先对数据包的包头进行检测,如果包头信息检测正常转到103,否则转到105;包头检测又分为端口检测和连接频率检测,附图2对其详细说明。
步骤103,对包的内容进行检测,如果结果正常转到104,否则转到105。
步骤104,连接数据经连接控制系统检测后是正常的,可以通过连接控制系统流出蜜网。
步骤105,连接数据经连接控制系统检测后是非法的,对它进行非法数据包操作,具体方法是(1)随机选取一些数据包将其丢弃;(2)选择一些丢弃非法的连接返回连接不可达的信息;(3)将非法的数据包的内容进行修改,然后发送出去。
不难发现通过对流出子网的所有数据包进行端口检测、连接频率检测和包内容检测,找出流出的非法数据,可以避免保护的子网成为恶意用户的攻击工具。这比专利200710074539.1所述方法对攻击数据的防范广泛很多。
图4表示包头信息检测的具体过程,它包含了以下步骤:
步骤201,检测到流出蜜网的数据包。
步骤202,检测端口信息,如果端口是合法的转到步骤203,否则转到步骤205。
步骤203,连接频率进行检测,如果连接频率合法转到步骤204,否则转到步骤205。
步骤205,连接数据经连接控制系统检测后是非法的,对它进行非法数据包操作,具体方法是(1)随机选取一些数据包将其丢弃;(2)选择一些丢弃非法的连接返回连接不可达的信息;(3)将非法的数据包的内容进行修改,然后发送出去。
虽然本说明书只描述了所述方法的细节,而未更多地谈及本发明的应用,但由于基于密网的逆向数据连接控制方法在密网、访问控制等研究中的重要价值,其应用面是非常广泛的,所以,本发明的精神和范围不应该局限于此处所描述的实施例。
Claims (8)
1.一种基于蜜网的逆向数据连接控制的方法,其特征在于为智能蜜网设计了专门的智能化的连接控制技术。连接控制负责检测和控制整个密网中流进流出的数据,对危险的数据流做智能化处理,让这些危险的数据流按照规定意图改变。这种基于蜜网的逆向数据连接控制的方法避免了蜜网系统在被攻击后成为攻击方的工具危害外部网络,限制流出蜜网的数据的同时,让攻击者不会怀疑其攻击的是一个蜜网,从而让攻击者在蜜网中驻留时间更长。这个系统包括以下四个模块:端口检测模块,频率检测模块,包内容检测模块,非法数据包处理模块。
2.如权利1所述的基于蜜网的逆向数据连接控制的方法,其特征在于,连接控制本身是被隐藏起来的,外界觉察不到它的存在,将对它无从攻击。
3.如权利1所述的基于蜜网的逆向数据连接控制的方法,其特征在于,保护的子网中,接受任何的扫描、探测、连接,但是对从该子网出去的扫描、探测、连接,却必需要条件的放行,如果发现出去的数据包有异常,那必须加以制止。
4.如权利1所述的基于蜜网的逆向数据连接控制的方法,其特征在于,当检测出非法的数据包后,对其进行如下的操作:随机选取一些数据包将其丢弃;选择一些丢弃非法的连接返回连接不可达的信息;将非法的数据包的内容进行修改,然后发送出去。
5.如权利3所述的基于蜜网的逆向数据连接控制的方法,其特征在于,对流出子网的所有数据包进行检测,经端口检测、连接频率检测和包内容检测三种检测方法,找出流出的非法数据。
6.如权利3所述的基于蜜网的逆向数据连接控制的方法,其特征在于,对于外界访问我们的子网,将不会设置任何限制,但是在这些访问中有可能存在攻击子网的数据流,为了后面做分析时能够定位到攻击者,需要对数据流进行一些简单的记录,如连接的时间、方向、源地址、目的地址、源端口、目的端口等,有了这些信息,分析时就能很快的了解攻击者的攻击途径。
7.如权利5所述的基于蜜网的逆向数据连接控制的方法,其特征在于,对流出子网的数据流要做限制,但是不能限制的太严格,要有一定的灵活度。
8.如权利6所述的基于蜜网的逆向数据连接控制的方法,其特征在于,在连接控制中增加黑名单,防火墙对源地址或者目的地址属于黑名单的主机,将丢弃所有的数据包,并不做任何日志记录;白名单,对于源地址或者目的地址属于白名单的主机,防火墙将接受这些连接但并不做日志记录;防护名单,防火墙不允许蜜罐连往属于防护名单内的主机。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN200810046564A CN101741570A (zh) | 2008-11-14 | 2008-11-14 | 基于蜜网的逆向数据连接控制方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN200810046564A CN101741570A (zh) | 2008-11-14 | 2008-11-14 | 基于蜜网的逆向数据连接控制方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN101741570A true CN101741570A (zh) | 2010-06-16 |
Family
ID=42464509
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN200810046564A Pending CN101741570A (zh) | 2008-11-14 | 2008-11-14 | 基于蜜网的逆向数据连接控制方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN101741570A (zh) |
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103051615A (zh) * | 2012-12-14 | 2013-04-17 | 陈晶 | 一种蜜场系统中抗大流量攻击的动态防御系统 |
US8613094B1 (en) | 2012-12-17 | 2013-12-17 | Google Inc. | Using a honeypot workflow for software review |
CN103561003A (zh) * | 2013-10-22 | 2014-02-05 | 西安交通大学 | 一种基于蜜网的协同式主动防御方法 |
CN103561004A (zh) * | 2013-10-22 | 2014-02-05 | 西安交通大学 | 基于蜜网的协同式主动防御系统 |
CN105681276A (zh) * | 2015-12-25 | 2016-06-15 | 亿阳安全技术有限公司 | 一种敏感信息泄露主动监控与责任认定方法与装置 |
CN112383517A (zh) * | 2020-10-30 | 2021-02-19 | 杭州安恒信息安全技术有限公司 | 网络连接信息的隐藏方法、装置、设备和可读存储介质 |
-
2008
- 2008-11-14 CN CN200810046564A patent/CN101741570A/zh active Pending
Cited By (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103051615A (zh) * | 2012-12-14 | 2013-04-17 | 陈晶 | 一种蜜场系统中抗大流量攻击的动态防御系统 |
CN103051615B (zh) * | 2012-12-14 | 2015-07-29 | 陈晶 | 一种蜜场系统中抗大流量攻击的动态防御系统 |
US8613094B1 (en) | 2012-12-17 | 2013-12-17 | Google Inc. | Using a honeypot workflow for software review |
CN103561003A (zh) * | 2013-10-22 | 2014-02-05 | 西安交通大学 | 一种基于蜜网的协同式主动防御方法 |
CN103561004A (zh) * | 2013-10-22 | 2014-02-05 | 西安交通大学 | 基于蜜网的协同式主动防御系统 |
CN103561004B (zh) * | 2013-10-22 | 2016-10-12 | 西安交通大学 | 基于蜜网的协同式主动防御系统 |
CN105681276A (zh) * | 2015-12-25 | 2016-06-15 | 亿阳安全技术有限公司 | 一种敏感信息泄露主动监控与责任认定方法与装置 |
CN105681276B (zh) * | 2015-12-25 | 2019-07-05 | 亿阳安全技术有限公司 | 一种敏感信息泄露主动监控与责任认定方法与装置 |
CN112383517A (zh) * | 2020-10-30 | 2021-02-19 | 杭州安恒信息安全技术有限公司 | 网络连接信息的隐藏方法、装置、设备和可读存储介质 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP4480422B2 (ja) | 不正アクセス阻止方法、装置及びシステム並びにプログラム | |
KR100609170B1 (ko) | 네트워크 보안 시스템 및 그 동작 방법 | |
CN101202742B (zh) | 一种防止拒绝服务攻击的方法和系统 | |
US8418252B2 (en) | Intelligent network interface controller | |
CN101252467B (zh) | 用于保护网络的装置和方法 | |
US7725936B2 (en) | Host-based network intrusion detection systems | |
US7930740B2 (en) | System and method for detection and mitigation of distributed denial of service attacks | |
KR101231975B1 (ko) | 차단서버를 이용한 스푸핑 공격 방어방법 | |
CN102006246B (zh) | 一种可信隔离网关 | |
CN101741570A (zh) | 基于蜜网的逆向数据连接控制方法 | |
JP2006135963A (ja) | 悪性コード検出装置及び検出方法 | |
CN104424438B (zh) | 一种反病毒文件检测方法、装置及网络设备 | |
JP2005079706A (ja) | ネットワークへの不正接続防止システム、及びネットワークへの不正接続防止装置 | |
CN110099027A (zh) | 业务报文的传输方法和装置、存储介质、电子装置 | |
CN1326365C (zh) | 使用基于硬件的模式匹配的蠕虫阻击系统和方法 | |
CN113973015A (zh) | 一种蜜罐隔离装置、系统及方法 | |
KR101006372B1 (ko) | 유해 트래픽 격리 시스템 및 방법 | |
JP2006060599A (ja) | アプリケーションサービス拒絶攻撃防御方法及びシステム並びにプログラム | |
CN106790310A (zh) | 分布式拒绝服务攻击防护与负载均衡一体化的方法和系统 | |
CN102970186A (zh) | 设备的性能检测方法及装置 | |
KR100635130B1 (ko) | 윈도우 네트워크 감시를 통한 커널 백도어 탐지 시스템 및방법 | |
CN109688136A (zh) | 一种伪造ip攻击行为的检测方法、系统及相关组件 | |
JP2003264595A (ja) | パケット中継装置、パケット中継システムおよびオトリ誘導システム | |
CN101300807A (zh) | 通信网络的网络接入节点计算机、通信系统以及用于操作通信系统的方法 | |
KR20100048105A (ko) | 네트워크 관리 장치 및 그 방법과 이를 위한 사용자 단말기및 그의 기록 매체 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C02 | Deemed withdrawal of patent application after publication (patent law 2001) | ||
WD01 | Invention patent application deemed withdrawn after publication |
Open date: 20100616 |