CN103051615A - 一种蜜场系统中抗大流量攻击的动态防御系统 - Google Patents

Abstract

本发明提供一种蜜场系统中抗大流量攻击的动态防御系统，通过在蜜场流量入口处部署流量分发器，能够根据蜜场中各个蜜罐的负载状况调整等待队列长度和流量分配，从而使得蜜场能够抵抗突发的大流量攻击。同时，本发明通过在控制中心部署攻击特征动态反馈模块，将蜜场与重定向器的IDS，防火墙有机结合到一起，系统整体联动，动态防御，增强了系统的防护性能。

Description

一种蜜场系统中抗大流量攻击的动态防御系统

技术领域

本发明涉及计算机网络安全领域，特别涉及一种蜜网系统中抗大流量攻击的动态防御系统。

背景技术

蜜罐是指部署在网络上，伪装成真实的网络、主机和服务，诱惑恶意攻击的诱饵，其价值在于收集网络上的攻击活动信息，并对这些信息进行监视、检测和分析。

蜜网是指诱捕这些攻击活动的整体网络体系架构，一个蜜网系统中通常包含一个或多个蜜罐。而在一个有多个子网构成的分布式网络中，分别部署大量分布式蜜网系统，往往由于距离遥远、耗费大量人力物力，同时很难对其进行统一管理。于是，蜜场技术应运而生。

蜜场是通过将多个蜜罐系统集中部署在一个安全子网，组建成蜜场环境，同时在不同分布的受保护子网分别部署重定向器，将攻击或者非业务流量重定向蜜场中，由蜜场控制中心进行统一管理和分析。

蜜场技术的出现大大提高了资源利用率，便于统一管理和分析，但是这种技术方案存在以下几个问题：

一、难以有效抵抗大流量攻击。蜜场中接收的流量来自多个子网网关重定向器,而这些重定向器主要重定向两种流量,一种是非业务访问流量，即对业务子网中非活跃IP的访问，以及对活跃主机上的非开放端口的流量，第二种是业务访问中检测出的攻击流量。而这两种流量具有突发性强，流量大的特点。在没有受到网络攻击时对于这些重定向流量很少，而大规模DOS，蠕虫病毒等网络攻击出现时，蜜场系统接收到的重定向流量会迅猛增加，导致某些蜜罐负载过重而出现拒绝服务。

二、孤立静态防御，没有实现系统整体联动，防护能力有限。蜜场技术相对于防火墙，IDS等安全防护技术的优点在于能够有效主动防御，检测出未知攻击。而防火墙，IDS等安全技术则更擅长访问控制，保护信息的机密性和完整性等。在当前技术方案中，蜜场系统与防火墙，IDS等其他安全防护系统相互孤立，各个不同的安全组件没有有效联动，有机结合。蜜场检测出的新攻击难以及时更新到其他安全系统中，进行实时防护，从而很难避免相对静态，滞后和孤立的防御所造成的损失。而面对层出不穷的各种威胁，任何单一安全系统的防御能力都是有限的，只有各个安全系统实现有效联动，取长补短，才能进行充分而有效的防护。

发明内容

为了解决现有蜜场技术难以抵抗大流量攻击和孤立静态防御的不足，本发明提出一种解决问题的技术方案，能够在保证蜜场系统的隐蔽性的前提下抵抗大流量攻击，同时实现蜜场系统与防火墙和IDS有机结合，互补长短，从而大大提高了整个系统的高可靠性和高效性。

本发明的技术方案为一种蜜场系统中抗大流量攻击的动态防御系统，包括部署在每个受保护的子网的网关上的重定向器、控制中心和蜜罐群，所述重定向器包括数据捕获模块、数据检测模块、数据转发模块和规则库，所述控制中心部署有分发器、数据预处理模块、数据分析模块和动态反馈模块，所述蜜罐群中的每个蜜罐系统设置负载采集模块和攻击检测模块；

所述数据捕获模块，用于捕获来自攻击者的流量，并发送到数据检测模块；

所述数据检测模块，用于调用规则库中的攻击规则对来自攻击者的流量进行检测分析，如果为恶意流量，则将流量转发给数据转发模块；

所述数据转发模块，用于将数据检测模块发送的流量转发给分发器，将控制中心的分发器回复的流量进行外网转发或重定向；

所述规则库，用于接受并保存动态反馈模块发送的攻击规则；

所述分发器，用于不断接收重定向器的数据转发模块转发的流量，并将流量分发到各个蜜罐系统，同时分发器记录分发流量中的数据包，并将数据包发送给数据预处理模块；分发器将流量分发到各个蜜罐系统过程中，实时接收来自各个蜜罐系统的负载采集模块发送的负载信息反馈，为每个蜜罐系统建立动态的等待队列并根据负载信息实时调整队列长度，分发器接收的重定向器的数据转发模块转发的流量中所有数据包被添加到等待队列，当等待队列已满时后面接收的数据包将被丢弃；还将各个蜜罐系统返回的流量回复到重定向器的数据转发模块，同时分发器记录回复流量中的数据包；

所述数据预处理模块，用于对分发器发送的数据包进行会话重组，得到数据流并发送给数据分析模块；

所述数据分析模块，用于同时接收数据预处理模块发送的数据流和蜜罐系统的攻击检测模块检测出的攻击特征，然后对接收的数据流和攻击特征进行关联和聚类分析，提取得到攻击规则并发送到动态反馈模块；

所述动态反馈模块，用于将攻击规则发送到规则库；

所述攻击检测模块，用于实时监控攻击者的行为，并将检测出的攻击特征发送给控制中心的数据分析模块；

所述负载采集模块，用于获取蜜罐系统负载信息并发送给分发器。

而且，分发器根据负载信息实时调整队列长度的实现方式包括以下步骤，

步骤1，截获重定向器的数据转发模块转发的流量中数据包；

步骤2，判断是否到达预先设定的周期时间T，如果没有到达则进入步骤6，如果到达则进行步骤3；

步骤3，向各个蜜罐系统发送负载查询命令，接收各个蜜罐系统反馈的负载信息，并对蜜罐负载信息进行临时保存；

步骤4，分发器利用步骤3保存的蜜罐负载信息，根据概率论M/M/S/k排队模型计算公式，计算并更新等待队列长度L；如果更新的等待队列长度L小于或者等于当前队列已有数据包排队的长度S，则不再接收数据包直至数据包排队长度小于等待队列长度L，然后进入步骤5，

步骤5，根据步骤3保存的蜜罐负载信息，计算并更新记录各个蜜罐系统的流量分配情况的流量分配权值表Q；

步骤6，分发器根据当前的流量分配权值表Q，将流量分配给各个不同的蜜罐系统。

与现有蜜场技术相比，本发明通过在蜜场流量入口处部署流量分发器，能够根据蜜场中各个蜜罐的负载状况调整等待队列长度和流量分配，从而使得蜜场能够抵抗突发的大流量攻击。同时，本发明通过在控制中心部署攻击特征动态反馈模块，将蜜场与重定向器的IDS，防火墙有机结合到一起，系统整体联动，动态防御，增强了系统的防护性能。

附图说明

图1为本发明实施例的运行系统结构框图；

图2为本发明实施例的总体流程图。

图3为本发明实施例中流量分发器的流程图。

具体实施方式

以下结合附图和实施例详细说明本发明技术方案。

如附图1和附图2所示,本发明提供的一种蜜场系统中抗大流量攻击的动态防御系统，主要三个部分，重定向器、控制中心和蜜罐群，其中重定向器和控制中心，为本发明的特色所在。下面对每部分做详细说明：

（1）重定向器部分。重定向器部署在每个受保护的子网的网关上，用于向控制中心转发两种流量，一种是非业务访问流量，即对业务子网中非活跃IP的访问流量，以及对活跃主机上的非开放端口的访问流量，第二种是业务访问中被检测出的攻击流量。即被网关检测系统分析处理后判定为非正常业务访问流量。非业务访问流量和攻击流量都被视为恶意流量。同时重定向器也将控制中心回复的数据转发给攻击者。该部分可通过利用入侵防御系统snort_inline和Netfilter技术结合实现，利用snort_inline的特征规则库发现恶意流量，通过Netfilter实现网络流量重定向的方法，将恶意流量困在蜜场中，从而有效的组织安全威胁的扩散。

如附图2所示，实施例的重定向器包括数据捕获，数据检测，数据转发三个模块，并且设置规则库，用于接受并保存动态反馈模块发送的攻击规则。数据捕获模块捕获来自攻击者的流量，数据检测模块利用本地的规则库中对其进行检测分析，如果为恶意流量，则将流量转发给控制中心；如果不是恶意流量，则进入正常通信流程。同时，数据转发模块将蜜罐回复给分发器的流量转发给攻击者。重定向器也接收来自控制中心的攻击规则，如果该规则为新规则，则将其添加到规则库中。

（2）控制中心部分。控制中心负责管理协调各个部件的工作，是整个系统的核心部分。控制中心收集来自各个子网重定向到蜜场的数据，然后通过流量分发器按照一定策略分发到各个蜜罐。在这个分发的过程中，控制中心记录，分析和处理所有流向蜜场的数据，也周期性的查询和监控各个蜜罐系统的负载运行信息。该部分可基于Linux操作系统实现，例如通过加强Linux操作系统中的网络流量分析模块(snort,tcpdump,p0f)和取证模块(sebek,argus)实现。

如附图2所示，控制中心部分包括，分发器，数据预处理，数据分析和动态反馈四个模块。分发器具有数据截获和数据分发的功能，分发器不断接收重定向器转发的流量，并将流量分发到各个蜜罐，同时分发器记录重定向器转发的流量中所有的数据包，并将数据包发送给数据预处理模块。数据预处理模块对数据包进行会话重组，得到数据流并将其发送给数据分析模块。数据分析模块同时接收蜜罐的攻击检测模块检测出的攻击特征，然后对接收的数据流和攻击特征进行关联和聚类分析，提取得到攻击规则，接着通过动态反馈模块将攻击规则反馈给重定向器。同时，分发器接收来自蜜罐回复的负载信息反馈，为每个蜜罐系统建立动态的等待队列并根据负载信息实时调整队列长度，分发器接收的重定向器的数据转发模块转发的流量中所有数据包被添加到等待队列，当等待队列已满时后面接收的数据包将被丢弃；分发器还将各个蜜罐系统返回的流量回复到重定向器的数据转发模块，同时分发器记录回复流量中的数据包，重定向器的数据转发模块会将分发器回复的流量进行外网转发或重定向。

为提高效率起见，实施例的分发器进一步设计为具有三个主要功能：

1、实时接收来自各个蜜罐系统的负载信息反馈。该反馈信息由蜜罐系统的CPU利用率(CPU)，内存利用率(MEM)，网络带宽占用率(NET)，磁盘I/O速率(DISK)四个参数决定。

2、为每个蜜罐系统建立动态等待队列，实时调整队列长度。为了减缓流量爆发式增长给蜜罐带来压力，本发明在分发器中建立了动态等待队列，分发器接收的重定向器的数据转发模块转发的流量中所有数据包被添加到动态等待队列，当等待队列已满时，后面接收的数据包将被丢弃。由于需要尽可能减少延迟等待时间提高蜜场系统的隐蔽性，所以这个等待队列不宜设置太长。因此，本发明实施例根据蜜场流量特点，利用经典概率论M/M/S/k排队模型，能够根据各蜜罐系统的当前负载信息动态调整等待队列长度，从而使得平均等待时间较短，同时使得流量丢失率较低。

3、接收重定向器转发的流量，并将流量统一分发给各个不同的蜜罐。由于各个不同蜜罐系统的负载能力不同，和处理不同数据连接所需系统资源不同，所以为了使得各个蜜罐负载均衡，保证系统的可靠性和稳定性，分发器能够根据蜜罐当前负载状况调整各个蜜罐的流量分配。当某个蜜罐系统上的流量迅猛增加，系统的负载进入预先设定的预警区间时，分发器主动调整增加它的负载率，加速减少它的流量分配。

实施例的各模块分别执行工作如下：

所述数据捕获模块，用于捕获来自攻击者的流量，并发送到数据检测模块；

所述数据检测模块，用于调用规则库中的攻击规则对来自攻击者的流量进行检测分析，如果为恶意流量，则将流量转发给数据转发模块；

所述数据转发模块，用于将数据检测模块发送的流量转发给分发器，将控制中心的分发器回复的流量进行外网转发或重定向；

所述规则库，用于接受并保存动态反馈模块发送的攻击规则；

所述分发器，用于不断接收重定向器的数据转发模块转发的流量，并将流量分发到各个蜜罐系统，同时分发器记录分发流量中的数据包，并将数据包发送给数据预处理模块；分发器将流量分发到各个蜜罐系统过程中，实时接收来自各个蜜罐系统的负载采集模块发送的负载信息反馈，为每个蜜罐系统建立动态的等待队列并根据负载信息实时调整队列长度，分发器接收的重定向器的数据转发模块转发的流量中所有数据包被添加到等待队列，当等待队列已满时后面接收的数据包将被丢弃；还将各个蜜罐系统返回的流量回复到重定向器的数据转发模块，同时分发器记录回复流量中的数据包；

所述数据预处理模块，用于对分发器发送的数据包进行会话重组，得到数据流并发送给数据分析模块；

所述数据分析模块，用于同时接收数据预处理模块发送的数据流和蜜罐系统的攻击检测模块检测出的攻击特征，然后对接收的数据流和攻击特征进行关联和聚类分析，提取得到攻击规则并发送到动态反馈模块；

所述动态反馈模块，用于将攻击规则发送到规则库；

所述攻击检测模块，用于实时监控攻击者的行为，并将检测出的攻击特征发送给控制中心的数据分析模块；

所述负载采集模块，用于获取蜜罐系统负载信息并发送给分发器。

附图3为实施例的控制中心中分发器的详细工作流程图：

301:首先，分发器截获来自各个子网重定向的数据包（即重定向器的数据转发模块转发的流量中数据包），对数据包进行下一步处理。

302：分发器判断是否到达预先设定的周期时间T。如果没有到达，则按照当前的权值表为各个蜜罐分配流量，不调整等待队列长度，进入步骤306。如果到达预先设定的周期时间T，则进行下一步操作303，来调整等待队列长度和各个蜜罐流量分配权值。

303：分发器向各个蜜罐系统发送负载查询命令，接收各个蜜罐系统反馈的负载信息，并对蜜罐负载信息进行临时保存。

304：分发器利用步骤303保存的蜜罐负载信息，根据概率论M/M/S/k排队模型计算公式，计算并更新等待队列长度L。当分发器接收到重定向器转发的数据包后，在将其添加到等待队列之前，会判断计算的新长度L与当前队列已有数据包排队的长度S。如果计算出的新长度L小于或者等于当前队列已有数据包排队的长度S，则不再接收数据包直至数据包排队长度小于新长度L，然后继续后续步骤305,306。如果新长度L大于当前队列已有数据包长度S，则返回步骤301继续接收数据包。

为便于实施参考，提供实施例的等待队列长度L计算公式如下：

$L=\left\{\begin{array}{c}\mathrm{CPU}\×X_1+\mathrm{MEM}\×X_3+\mathrm{NET}\×X_3+\mathrm{DISK}\×X_4\\ 1,\mathrm{others}\end{array}\right.,$ 其中

其中，CPU为CPU占用率，MEM为内存占用率，NET为网络带宽占用率，DISK为磁盘I/O占用率，X_i为参数系数。因为当CPU，内存等以上四个参数有一项非常高时，系统也难以响应新的请求，容易出现拒绝服务。例如当服务器CPU的利用率超过90%，其他几个参数很低时，这时服务器也很难正常稳定工作。

305：分发器根据步骤303保存的蜜罐负载信息，计算并更新记录各个蜜罐系统的流量分配情况的流量分配权值表Q。流量分配权值表Q的初值可以预设为平均的。通过减小流量分配权值表Q中某蜜罐系统的权值，相当于分发器主动调整增加它的负载率，加速减少它的流量分配。具体调整方式本领域技术人员可以自行设定，为便于实施参考，提供实施例对某蜜罐系统的权值C计算公式如下：

$C=\left\{\begin{array}{c}(L_{\mathrm{now}}-L_{\mathrm{basic}})/(L_{\max }-L_{\mathrm{basic}})-\mathrm{\Γ},L_{\mathrm{now}}\∈[L_{\mathrm{basic}},L_{\mathrm{warn}}]\\ (L_{\mathrm{now}}-L_{\mathrm{basic}})/(L_{\max }-L_{\mathrm{basic}})+\mathrm{\Γ},L_{\mathrm{now}}\∈[L_{\mathrm{warn}},L_{\mathrm{risk}}]\\ 1,L_{\mathrm{now}}\∈[L_{\mathrm{risk}},L_{\max }]\end{array}\right.$

其中，L_basic表示系统正常运行时的基本负载，L_now为当前负载，Г为预设的预警因子，L_warn表示预警负载阈值、L_risk表示危险负载阈值、L_max表示最大负载阈值。L_basic＜L_warn＜L_risk＜L_max，具体实施时，本领域技术人员可根据具体系统状况预先设定L_basic、L_warn、L_risk、L_max、Г。

系统正常运行时的基本负载L_basic表示没有对服务器增加额外负载，随着系统负载不断增加，当负载还未达到L_warn时，服务器响应时间保持稳定的状态，当达到L_warn时，服务器响应时间明显增加，此时系统进入预警区间；当负载达到L_risk时，系统进入危险状态，服务响应时间急剧增加。当负载达到L_max时，系统的服务能力已经饱满，出现拒绝服务。

系统的负载进入预先设定的预警区间时，控制中心主动调整增加它的负载率，在实际负载的基础上增加一个预警因子Г，以使流量分配时，加速减少它的负载分配，而还未进入预警区间时，在其实际负载的基础上减少一个预警因子Г，加速增加其流量分配，从而使得算法收敛。而对于系统负载进入预先设定的危险区间时，控制中心不再向它分配负载。具体实施时，预警因子Г可根据具体情况预设。

306：分发器根据当前的流量分配权值表Q，将流量分配给各个不同的蜜罐系统。然后可以返回302继续执行。

（3）蜜罐群部分。蜜罐群，又称蜜场，它是为减轻分布式蜜网中部署和管理工作量而提出的，是一个由大量不同高交互蜜罐集中部署组成的安全子网。当攻击者的流量被分配到某个蜜罐时，蜜罐提供了相应的网络服务，与攻击者进行交互，实时记录和检测攻击者的行为。当检测到有恶意代码溢出攻击时，及时向控制中心反馈攻击特征。同时蜜罐也周期性地接受控制中心查询反馈负载信息。该部分采用虚拟高交互蜜罐Argos，具体实施时可以安装Windows 7,Linux等操作系统，并安装各种网络服务和用于探测每个蜜罐中进程的活动情况的进程监控模块，Argos高交互蜜罐可以利用其动态污点分析技术准确检测出缓冲区溢出攻击，包括未知溢出攻击，提取出带有攻击特征的溢出代码(shellcode)。

如附图2所示，蜜场部分由许多不同的蜜罐系统构成。每个蜜罐系统包括负载采集模块和攻击检测模块。负载采集模块接收控制中心的查询命令，并获取本系统的CPU利用率，内存利用率，网络带宽占用率，磁盘I/O速率，作为本系统负载信息，发送给控制中心分发器以便计算等待队列长度L。攻击检测模块实时监控攻击者的行为，并将检测出的攻击特征发送给控制中心的数据分析模块。

具体实施时，基于本系统实现的动态反馈过程的详细步骤如下：

步骤1、控制中心上的分发器将恶意流量分发给蜜罐的同时，实时拷贝数据包（此处只包括外部网络向内部网络发送的数据），并将拷贝的数据包传送给数据预处理模块；

步骤2、蜜罐接收到恶意流量后与其交互时，蜜罐攻击检测模块实时检测攻击特征，并将攻击特征发送给数据分析模块；

步骤3、数据预处理模块对数据包进行会话重组，并对得到的数据流发送至数据分析模块；

步骤4、分析模块对获得的数据流和攻击特征进行聚类分析，并将得到的规则发送给动态反馈模块；

步骤5、动态反馈模块将产生的攻击规则反馈给到重定向器；

步骤6、重定向器用接收到的规则匹配本地攻击检测规则库，如果为新规则，则将其添加到攻击检测规则库。

本文中所描述的具体实施例仅仅是对本发明精神作举例说明。本发明所属技术领域的技术人员可以对所描述的具体实施例做各种各样的修改或补充或采用类似的方式替代，但并不会偏离本发明的精神或者超越所附权利要求书所定义的范围。

Claims (2)

1.一种蜜场系统中抗大流量攻击的动态防御系统，包括部署在每个受保护的子网的网关上的重定向器、控制中心和蜜罐群，所述重定向器包括数据捕获模块、数据检测模块、数据转发模块和规则库，所述控制中心部署有分发器、数据预处理模块、数据分析模块和动态反馈模块，所述蜜罐群中的每个蜜罐系统设置负载采集模块和攻击检测模块；

所述数据捕获模块，用于捕获来自攻击者的流量，并发送到数据检测模块；

所述数据检测模块，用于调用规则库中的攻击规则对来自攻击者的流量进行检测分析，如果为恶意流量，则将流量转发给数据转发模块；

所述数据转发模块，用于将数据检测模块发送的流量转发给分发器，将控制中心的分发器回复的流量进行外网转发或重定向；

所述规则库，用于接受并保存动态反馈模块发送的攻击规则；

所述分发器，用于不断接收重定向器的数据转发模块转发的流量，并将流量分发到各个蜜罐系统，同时分发器记录分发流量中的数据包，并将数据包发送给数据预处理模块；分发器将流量分发到各个蜜罐系统过程中，实时接收来自各个蜜罐系统的负载采集模块发送的负载信息反馈，为每个蜜罐系统建立动态的等待队列并根据负载信息实时调整队列长度，分发器接收的重定向器的数据转发模块转发的流量中所有数据包被添加到等待队列，当等待队列已满时后面接收的数据包将被丢弃；还将各个蜜罐系统返回的流量回复到重定向器的数据转发模块，同时分发器记录回复流量中的数据包；

所述数据预处理模块，用于对分发器发送的数据包进行会话重组，得到数据流并发送给数据分析模块；

所述数据分析模块，用于同时接收数据预处理模块发送的数据流和蜜罐系统的攻击检测模块检测出的攻击特征，然后对接收的数据流和攻击特征进行关联和聚类分析，提取得到攻击规则并发送到动态反馈模块；

所述动态反馈模块，用于将攻击规则发送到规则库；

所述攻击检测模块，用于实时监控攻击者的行为，并将检测出的攻击特征发送给控制中心的数据分析模块；

    所述负载采集模块，用于获取蜜罐系统负载信息并发送给分发器。

2.如权利要求1所述一种蜜场系统中抗大流量攻击的动态防御系统，其特征在于：分发器根据负载信息实时调整队列长度的实现方式包括以下步骤，

    步骤1，截获重定向器的数据转发模块转发的流量中数据包；

    步骤2，判断是否到达预先设定的周期时间T，如果没有到达则进入步骤6，如果到达则进行步骤3；

    步骤3，向各个蜜罐系统发送负载查询命令，接收各个蜜罐系统反馈的负载信息，并对蜜罐负载信息进行临时保存；

    步骤4，分发器利用步骤3保存的蜜罐负载信息，根据概率论M/M/S/k排队模型计算公式，计算并更新等待队列长度L；

如果更新的等待队列长度L小于或者等于当前队列已有数据包排队的长度S，则不再接收数据包直至数据包排队长度小于等待队列长度L，然后进入步骤5，

步骤5，根据步骤3保存的蜜罐负载信息，计算并更新记录各个蜜罐系统的流量分配情况的流量分配权值表Q；

步骤6，分发器根据当前的流量分配权值表Q，将流量分配给各个不同的蜜罐系统。

Images