CN103607399B - 基于暗网的专用ip网络安全监测系统及方法 - Google Patents
基于暗网的专用ip网络安全监测系统及方法 Download PDFInfo
- Publication number
- CN103607399B CN103607399B CN201310603661.9A CN201310603661A CN103607399B CN 103607399 B CN103607399 B CN 103607399B CN 201310603661 A CN201310603661 A CN 201310603661A CN 103607399 B CN103607399 B CN 103607399B
- Authority
- CN
- China
- Prior art keywords
- virtual machine
- honey jar
- network
- attack
- module
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Abstract
本发明公开一种基于暗网的专用IP网络安全监测系统及方法,能准确、快速识别、发现攻击者,还能处理未知网络攻击行为。系统包括与被监测网络相连的暗网感应器和与暗网感应器相连的蜜罐服务器;暗网感应器包括流量导入模块、数据控制模块、攻击检测模块、记录模块、报警显示模块、未知网络攻击提取模块、数据库和日志文件;蜜罐服务器包括虚拟机蜜罐群和虚拟机蜜罐群控制模块,虚拟机蜜罐群由多个正在运行的虚拟机蜜罐组成。方法包括将目的IP地址属于所监测暗网的报文导入监测系统,控制攻击者与蜜罐服务器的通信,检测所有报文是否包含攻击特征,记录报文,分析并显示当前系统监测到的攻击信息,提取形成未知网络攻击样本步骤。
Description
技术领域
本发明属于网络安全监测技术领域,特别是一种基于暗网的专用IP网络安全监测系统及方法。
背景技术
专用IP网络是某些特殊行业或系统为本系统工作需要而专门建立的网络。军队、公安、铁路和电力等系统都有本系统的专用IP网络。专用IP网络与因特网采用了相同的体系结构,具有相同数目的地址空间,但是其中的主机数量远远小于因特网,因此具有大量的未用IP地址。
蠕虫是因特网上最主要的安全威胁之一,它能在短时间内快速传播,在破坏目标计算机的同时往往造成网络的拥塞甚至瘫痪。而僵尸网络能够通过多种手段快速传播僵尸程序,通过控制感染主机对攻击目标发起分布式拒绝服务攻击,导致特定服务甚至整个网络无法使用。这些攻击手段同样能够在专用IP网络中发挥作用。
暗网是未使用的IP地址的集合,进入暗网的流量除了由于错误配置导致的流量外,都是攻击流量,因此可利用暗网检测网络攻击。利用暗网对网络进行安全监测的技术大致可分为三种。第一种,在暗网的基础上利用轻量级的响应与攻击者交互从而获得攻击者的攻击特征,以此来判断攻击类型。这类的系统包括InternetMotionSensor(IMS)、iSink、Honeyd等。这些系统虽然能够监测巨量的地址空间,但是由于它们只是对攻击者的攻击报文进行简单地响应而无法进行深入交互,因此无法准确识别攻击特征。第二种,利用在暗网中静态布设一定数目的高交互蜜罐,详细记录它们与攻击者的交互过程,从而获得攻击的特征。初期的做法是布设一定数目的物理蜜罐,例如Honeynet最初的版本。但是,布设大量的物理蜜罐需要消耗较多资源。为了解决这一问题,出现了虚拟机蜜罐。虚拟机蜜罐是在主机上运行多个虚拟机,每个虚拟机配置一个或者多个IP地址,这类系统的代表如Honeystat系统。这种利用物理蜜罐或者虚拟机蜜罐进行静态布设的方式,虽然能够与攻击者深入交互,但是却无法监测巨量的暗网地址空间,因此这种方式灵敏度较低。第三种,根据攻击者的攻击报文,动态生成指定暗网IP地址的高交互蜜罐。这类系统的典型代表是Honeyfarm系统。但是该系统只能够动态地生成运行Linux系统的虚拟机蜜罐,即目前这些系统通用性比较弱,无法广泛适用于各种操作系统,包括Windows系统、UNIX系统、MacOS系统等。
另外,上述方法都只能识别已知攻击特征的攻击,对于未知攻击无法处理。
综上所述,现有技术存在的问题是:无法准确识别攻击特征,灵敏度较低,通用性差,不能处理未知网络攻击行为。
发明内容
本发明的目的在于提供一种基于暗网的专用IP网络安全监测系统,能准确识别攻击者的攻击特征,快速发现攻击者,通用性强,还能够处理未知网络攻击行为。
本发明的另一目的在于提供一种基于暗网的专用IP网络安全监测方法,能准确识别攻击者的攻击特征,快速发现攻击者,通用性强,还能够处理未知网络攻击行为。
实现本发明目的的技术解决方案为:一种基于暗网的专用IP网络安全监测系统,包括与被监测网络相连的暗网感应器和与所述暗网感应器相连的蜜罐服务器;
所述暗网感应器包括流量导入模块、数据控制模块、攻击检测模块、记录模块、报警显示模块、未知网络攻击提取模块、数据库和日志文件;
所述蜜罐服务器包括虚拟机蜜罐群和虚拟机蜜罐群控制模块,所述虚拟机蜜罐群由多个正在运行的虚拟机蜜罐组成;
所述流量导入模块的输入端与被监测网络相连,其输出端同时与数据控制模块、攻击检测模块、记录模块的输入端相连,所述数据控制模块的双向接口与虚拟机蜜罐群相连,其一个输出端与被监测网络相连的同时还与攻击检测模块、记录模块的输入端相连,所述数据控制模块的另一个输出端与虚拟机蜜罐群控制模块的输入端相连,所述虚拟机蜜罐群控制模块的输出端与虚拟机蜜罐群相连,所述记录模块的第二输入端与攻击检测模块的输出端相连,所述记录模块的输出端与日志文件的输入端相连,所述日志文件的输出端与未知网络攻击提取模块相连,所述数据库的输出端同时与报警显示模块和未知网络攻击提取模块相连;
所述流量导入模块,用于将目的IP地址属于所监测暗网的报文导入监测系统,导入的报文转交至数据控制模块、攻击检测模块和记录模块;
所述数据控制模块,用于控制攻击者与蜜罐服务器的通信;
所述攻击检测模块,用于检测流量导入模块接收和数据控制模块发出的所有报文是否包含攻击特征;
所述记录模块,用于记录流量导入模块接收和数据控制模块发出的所有报文和攻击检测模块的输出,并将攻击检测模块的检测结果输出至数据库,将通过流量导入模块接收和数据库控制模块转发出系统的所有报文输出至数据库和日志文件;
所述报警显示模块,用于分析并显示当前系统监测到的攻击信息,这些信息包括攻击的攻击特征、源IP地址、目的IP地址、源端口、目的端口和攻击时间等;
所述未知网络攻击提取模块,用于将以数据库和日志文件形式存储的未知网络攻击的攻击交互报文提取出来,形成未知网络攻击样本;
所述虚拟机蜜罐群由多个正在运行的虚拟机蜜罐组成,用于组成蜜罐池,每一个虚拟机蜜罐包含一个IP地址切换模块;
所述虚拟机蜜罐群控制模块,用于控制虚拟机蜜罐群,实现虚拟机蜜罐的更新。
实现本发明另一目的的技术解决方案为:一种基于暗网的专用IP网络安全监测方法,其特征在于,包括如下步骤:
51)流量导入模块将目的IP地址属于所监测暗网的报文导入监测系统,导入的报文转交至数据控制模块、攻击检测模块和记录模块;
52)数据控制模块控制攻击者与蜜罐服务器的通信;
53)攻击检测模块检测流量导入模块接收和数据控制模块发出的所有报文是否包含攻击特征;
54)记录模块录流量导入模块接收和数据控制模块发出的所有报文和攻击检测模块的输出,并将攻击检测模块的检测结果输出至数据库,将通过流量导入模块接收和数据库控制模块转发出系统的所有报文输出至数据库和日志文件;
55)报警显示模块分析并显示当前系统监测到的攻击信息,这些信息包括攻击的攻击特征、源IP地址、目的IP地址、源端口、目的端口和攻击时间等;
56)未知网络攻击提取模块将以数据库和日志文件形式存储的未知网络攻击的攻击交互报文提取出来,形成未知网络攻击样本;
57)由多个正在运行的虚拟机蜜罐组成的虚拟机蜜罐群组成蜜罐池,每一个虚拟机蜜罐包含一个IP地址切换模块;
58)虚拟机蜜罐群控制模块控制虚拟机蜜罐群,实现虚拟机蜜罐的更新。
本发明与现有技术相比,其显著优点:
1、本发明具有高准确度的特点,本发明利用在暗网中布设高交互蜜罐可与攻击者进行深度交互,从而准确识别攻击者的攻击特征;
2、本发明具有高灵敏度的特点,本发明利用高交互蜜罐监测巨量的暗网地址空间,使攻击者的攻击流量有极高的概率进入被监测地址空间,与高交互蜜罐进行深度交互,从而快速被监测系统发现;
3、本发明具有通用性强的特点,本发明可动态生成运行Linux、Windows、UNIX和MacOS等多种常用操作系统的虚拟机蜜罐,可适用于大多数专用IP网络的应用需求;
4、本发明能够处理未知网络攻击行为,通过未知网络攻击提取模块能够发现网络中未知网络攻击行为。
下面结合附图对本发明作进一步详细描述。
附图说明
图1是本发明基于暗网的专用IP网络安全监测系统的总体结构示意图。
图2是本发明基于暗网的专用IP网络安全监测系统结构框图。
图3是图2中数据控制模块接收到攻击者发起的TCP连接建立报文处理过程的流程图。
图4是图2中数据控制模块接收到攻击者发送的TCP其它报文处理过程的流程图。
图5是图2中控制虚拟机蜜罐过程的流程图。
图6是图2中未知网络攻击样本提取流程图。
图7是生成符合攻击者要求的虚拟机蜜罐过程示意图。
图8是攻击检测模块和记录模块实现案例示意图。
图9是未知网络攻击样本提取示意图。
图10是本发明分层等级结构布设示意图。
图11是本发明应用场景1配置图。
图12是本发明应用场景2配置图。
具体实施方式
如图1和图2所示,本发明基于暗网的专用IP网络安全监测系统,包括与被监测网络相连的暗网感应器10和与所述暗网感应器相连的蜜罐服务器20;
暗网感应器10可以在一台计算机上实现,该计算机需配置两块网卡,分别称这两块网卡为入口网卡与出口网卡,入口网卡通过网线与被监测网络的交换机或者路由器连接,出口网卡通过网线与蜜罐服务器连接;暗网感应器将目的IP地址属于系统所监测暗网的报文导入监测系统,对于TCP连接根据连接建立报文的源IP地址和目的IP地址对分配虚拟机蜜罐资源,并通知蜜罐服务器生成IP地址为连接建立报文目的IP地址的虚拟机蜜罐,确保攻击者与虚拟机蜜罐的深入交互;暗网感应器同时将攻击报文记录到数据库和日志文件中,根据攻击者与蜜罐服务器交互报文内容的特征检测攻击特征,并汇报网络中的攻击情况;
蜜罐服务器可由一台或者多台计算机组成,负责提供虚拟机蜜罐与攻击者进行深入交互,并且控制所生成的虚拟机蜜罐;所述的暗网是指网络中未使用的IP地址的集合。当由一台计算机组成蜜罐服务器时,该计算机的网卡与暗网感应器所在计算机的出口网卡直接通过网线连接;当由多台计算机组成蜜罐服务器时,这些计算机的网卡与暗网感应器所在计算机的出口网卡利用网线通过集线器连接。
所述暗网感应器10包括流量导入模块11、数据控制模块12、攻击检测模块13、记录模块14、报警显示模块15、未知网络攻击提取模块16、数据库17和日志文件18;
所述蜜罐服务器20包括虚拟机蜜罐群21和虚拟机蜜罐群控制模块22,所述虚拟机蜜罐群21由多个正在运行的虚拟机蜜罐组成;
所述流量导入模块11的输入端与被监测网络相连,其输出端同时与数据控制模块12、攻击检测模块13、记录模块14的输入端相连,所述数据控制模块12的双向接口与虚拟机蜜罐群21相连,其一个输出端与被监测网络相连的同时还与攻击检测模块13、记录模块14的输入端相连,所述数据控制模块12的另一个输出端与虚拟机蜜罐群控制模块22的输入端相连,所述虚拟机蜜罐群控制模块22的输出端与虚拟机蜜罐群21相连,所述记录模块14的第二输入端与攻击检测模块13的输出端相连,所述记录模14的输出端与数据库17和日志文件18的输入端相连,所述日志文件18的输出端与未知网络攻击提取模块16相连,所述数据库17的输出端同时与报警显示模块15和未知网络攻击提取模块16相连;
所述流量导入模块11,用于将目的IP地址属于所监测暗网的报文导入监测系统,导入的报文转交至数据控制模块12、攻击检测模块13和记录模块14;
图2中流量导入模块采用虚线,表示在下述第一种情况下不需要流量导入模块,而在第二种情况下需要流量导入模块。在导入报文时,区分两种情况:
一是当监测的暗网地址跨越多个局域网时,通过在监测系统的第一跳路由器上配置静态路由将进入暗网的报文转发至暗网感应器所在计算机的IP地址,此时暗网感应器无需流量导入模块;
二是当暗网感应器用于监测系统所在子网的暗网空间时,流量导入模块采用ARP欺骗的方式将目的IP地址属于系统所监测暗网的报文导入监测系统。
所述数据控制模块12,用于控制攻击者与蜜罐服务器的通信;
所述攻击检测模块13,用于检测流量导入模块11接收和数据控制模块12发出的所有报文是否包含攻击特征;
检测方法为将报文内容与系统的攻击特征库中的规则进行匹配,如果某个报文的内容与特征库中的某个规则匹配,那么攻击检测模块将攻击特征信息输出至记录模块。所述攻击特征库是当前已经识别的攻击特征的集合,它通过特征字符串标识攻击特征。
所述记录模块14,用于记录流量导入模块11接收和数据控制模块12发出的所有报文和攻击检测模块13的输出;
分为两种记录方式:一种记录在数据库17中,对于攻击检测模块的输出记录至数据库中对应的报文记录中,标明该报文的攻击特征,同时记录进入监测系统和数据控制模块转发至入口网卡的所有报文;另一种以tcpdump格式存储为日志文件18这种方式记录进入监测系统和数据控制模块转发至入口网卡的所有报文。
所述报警显示模块15,用于分析并显示当前系统监测到的攻击信息,这些信息包括攻击的攻击特征、源IP地址、目的IP地址、源端口、目的端口和攻击时间等;
所述未知网络攻击提取模块16,用于将以数据库和日志文件形式存储的未知网络攻击的攻击交互报文提取出来,形成未知网络攻击样本;
如图6所示,所述的未知网络攻击提取算法只针对利用TCP协议发起攻击的网络攻击;提取算法首先查找完成TCP三次握手连接建立过程的TCP连接,对于这样的TCP连接如果在整个TCP连接数据交互部分的报文攻击检测模块都无法检测出攻击特征,那么此次TCP连接就是由未知网络攻击发起的,提取这次TCP连接的所有报文。
所述虚拟机蜜罐群21由多个正在运行的虚拟机蜜罐组成,用于组成蜜罐池,每一个虚拟机蜜罐包含一个IP地址切换模块;
所述的IP地址切换模块工作过程如下:当暗网感应器的数据控制模块接收到TCP连接建立报文并准备分配虚拟机蜜罐时,数据控制模块向虚拟机蜜罐群发送的IP地址切换命令,每个虚拟机蜜罐判断是否是目的虚拟机蜜罐,如果是则根据报文内容切换IP地址,否则丢弃报文。
所述虚拟机蜜罐群可由虚拟机软件实现。例如可由VMwareserver实现,在VMwareserver中同时运行多个Windows系统的虚拟机蜜罐。虚拟机蜜罐中包括IP地址切换模块,它根据暗网感应器数据控制模块的指令动态切换IP地址。在其它环境下,如果需要运行Linux等其它系统的虚拟机蜜罐,同样可以利用VMwareserver实现。
在上述的虚拟机蜜罐群的实现下,蜜罐群控制模块通过VIXAPI控制运行在VMwareserver中的虚拟机蜜罐,它根据暗网感应器数据控制模块的指令关闭、删除VMwareserver中指定的虚拟机蜜罐,然后复制一个新的虚拟机蜜罐并启动该虚拟机蜜罐。
所述虚拟机蜜罐群控制模块22,用于控制虚拟机蜜罐群21,实现虚拟机蜜罐的更新。
其工作过程如下:
(1)关闭正在运行的虚拟机蜜罐;
(2)从蜜罐池中删除虚拟机蜜罐;
(3)复制一个新的虚拟机蜜罐至蜜罐池;
(4)启动新复制的虚拟机蜜罐。
所述蜜罐服务器20由多台计算机组成,这些计算机的网卡与暗网感应器所在计算机的出口网卡利用网线通过集线器连接。
本发明基于暗网的专用IP网络安全监测方法,包括如下步骤:
51)流量导入模块11将目的IP地址属于所监测暗网的报文导入监测系统,导入的报文转交至数据控制模块12、攻击检测模块13和记录模块14;
52)数据控制模块12控制攻击者与蜜罐服务器的通信;
所述52)数据控制模块12控制攻击者与蜜罐服务器的通信步骤具体为:
61)当导入的报文是UDP、ICMP报文时,过滤报文,不转交至蜜罐服务器;
当攻击者利用UDP、ICMP协议发起攻击时,系统记录攻击者发送的报文,并利用攻击检测模块检测。
62)当导入的报文是TCP连接建立报文时,执行如下操作:
621)利用报文的源IP地址和目的IP地址检查系统当前是否为该IP地址对分配虚拟机蜜罐,如果已经分配,判断攻击者是否已经与虚拟机蜜罐完成TCP连接建立过程,如果没有完成则转发报文至对应的虚拟机蜜罐,否则丢弃报文;
622)如果没有为该IP地址对分配虚拟机蜜罐,则检查蜜罐池中是否有可分配的虚拟机蜜罐,如果没有可分配的虚拟机蜜罐则丢弃报文,否则从蜜罐池中分配虚拟机蜜罐给该IP地址对,并且发送IP地址切换命令给虚拟机蜜罐群,使指定的虚拟机蜜罐根据IP地址对的目的IP地址切换虚拟机蜜罐的IP地址,动态生成IP地址为该连接建立报文目的IP地址的虚拟机蜜罐;
63)当导入的报文是TCP其它报文时,通过源IP地址、目的IP地址对检查是否已经为该TCP连接分配虚拟机蜜罐资源,如果已经分配虚拟机蜜罐资源则将TCP报文转发至对应虚拟机蜜罐,否则将报文丢弃;
64)当虚拟机蜜罐的响应报文发送至暗网感应器时,数据控制模块将报文通过入口网卡转发;
65)当虚拟机蜜罐主动对外发起连接时,数据控制模块停止将虚拟机蜜罐发送的报文转发,阻断虚拟机蜜罐与外界的通信,同时通知虚拟机蜜罐群控制模块该虚拟机蜜罐成为攻击源。虚拟机蜜罐群控制模块将关闭并删除该虚拟机蜜罐,然后重新复制一个新的虚拟机蜜罐并启动该虚拟机蜜罐;
66)如虚拟机蜜罐没有主动对外发起连接,当虚拟机蜜罐与某一攻击者交互达到预先设定的最大时间时,通知虚拟机蜜罐群控制模块该虚拟机蜜罐达到最大交互时间,虚拟机蜜罐群控制模块同样将该虚拟机蜜罐关闭、删除,然后复制一个新的虚拟机蜜罐并启动该虚拟机蜜罐。
如图7所示,攻击者与虚拟机蜜罐的交互过程由攻击者发送目的IP地址属于系统所监测的暗网空间的TCP连接建立报文开始。系统从蜜罐池中选择虚拟机蜜罐与攻击者交互,通过发送IP地址切换命令使选定的虚拟机蜜罐切换IP地址,从而使该虚拟机蜜罐能够与攻击者进行深入交互。当数据控制模块发现虚拟机蜜罐主动对外发起连接时,在阻断虚拟机蜜罐与外界通信的同时,通知虚拟机蜜罐群控制模块将指定的虚拟机蜜罐关闭、删除,然后复制一个新的虚拟机蜜罐并启动该虚拟机蜜罐。如果虚拟机蜜罐没有主动对外发起连接,当虚拟机蜜罐与某一攻击者交互达到预先设定的最大时间时,虚拟机蜜罐群控制模块同样将该虚拟机蜜罐关闭、删除,然后复制一个新的虚拟机蜜罐并启动该虚拟机蜜罐。
当多个攻击者同时扫描时,需要分别对这些攻击进行响应,这需要在暗网感应器保留攻击者与虚拟机蜜罐的状态,维护攻击者与对应虚拟机蜜罐之间的连接。对于每一个连接,利用报文的源IP、目的IP地址对标识攻击,并与分配给该IP地址对的虚拟机蜜罐对应起来。当暗网感应器接收到TCP协议的数据报文时,首先利用IP地址对判断是否已经分配虚拟机蜜罐给该IP地址对,如果已经分配,可直接将报文转发给对应的虚拟机蜜罐,否则报文将被丢弃。
53)攻击检测模块13检测流量导入模块11接收和数据控制模块12发出的所有报文是否包含攻击特征;
54)记录模块14记录流量导入模块11接收和数据控制模块12发出的所有报文和攻击检测模块13的输出,并将攻击检测模块13的检测结果输出至数据库17,将通过流量导入模块11接收和数据库控制模块12转发出系统的所有报文输出至数据库17和日志文件18;
55)报警显示模块15分析并显示当前系统监测到的攻击信息,这些信息包括攻击的攻击特征、源IP地址、目的IP地址、源端口、目的端口和攻击时间等;
56)未知网络攻击提取模块16将以数据库和日志文件形式存储的未知网络攻击的攻击交互报文提取出来,形成未知网络攻击样本;
所述56)未知网络攻击提取模块16将以数据库和日志文件形式存储的未知网络攻击的攻击交互报文提取出来,形成未知网络攻击样本步骤具体为:
71)在MySQL数据库中找到存在标志位SYN和ACK同时置位的报文,利用TCP套接字以及时间信息找出该TCP连接的所有报文;
72)从MySQL数据库中的攻击特征检测结果判断该TCP连接的报文是否包含攻击特征;
73)如果包含攻击特征,则忽略该TCP连接,继续查找;
74)如果不包含攻击特征,则利用TCP套接字以及时间信息从日志文件中将该TCP连接的所有报文提取作为未知网络攻击样本。
如图8所示,攻击检测模块与记录模块可利用现有的检测系统实现,例如可利用Snort系统实现。攻击检测模块检测进出监测系统的所有报文,根据攻击特征匹配识别攻击种类,检测结果由攻击记录模块存入MySQL数据库。攻击记录模块详细记录蠕虫与蜜罐服务器之间的交互报文以及攻击检测模块的检测结果,主要提供两种记录方式,一种将攻击检测模块的检测结果存入MySQL数据库并记录所有进出监测系统的报文,另一种则将以tcpdump格式的日志文件记录所有进出监测系统的报文。攻击显示模块利用MySQL数据库,显示当前监测到的攻击的情况,而未知网络攻击提取模块结合MySQL数据库中的信息和日志文件提取未知网络攻击。
攻击显示模块利用MySQL数据库显示当前监测到的攻击的情况,这些信息包括攻击的攻击特征、源IP地址、目的IP地址、源端口、目的端口和攻击时间等,可以详细查看每一条攻击记录。
如图9所示,未知网络攻击提取模块用于从攻击记录中提取未知网络攻击的攻击样本。所有的攻击过程都以日志文件进行了存储,通过未知网络攻击提取算法将未知网络攻击的攻击交互报文提取出来,形成未知网络攻击的攻击样本。未知网络攻击提取基本思想是对于利用TCP协议发起攻击的网络攻击,如果是已知网络攻击那么通过攻击检测模块将被识别,而其它与蜜罐服务器进行深入交互的TCP连接则是由未知网络攻击造成的。结合MySQL数据库的攻击检测结果与日志文件,可以从日志文件中提取未知网络攻击的样本。未知网络攻击样本经过人工分析,可以成为新的攻击检测规则用于检测网络攻击。
提取未知网络攻击的过程如下:如果TCP连接建立过程完成,则至少存在标志位SYN和ACK同时置位的报文。在MySQL数据库中找到这种报文后,利用TCP套接字以及时间信息找出该TCP连接的所有报文,从MySQL数据库中的攻击特征检测结果判断该TCP连接的报文是否包含攻击特征,如果包含攻击特征,则说明本次TCP连接是由已知网络攻击发起,忽略该TCP连接继续在查找,否则就是由未知网络攻击引起,利用TCP套接字以及时间信息从日志文件中将该TCP连接的所有报文提取作为未知网络攻击样本。
57)由多个正在运行的虚拟机蜜罐组成的虚拟机蜜罐群21组成蜜罐池,每一个虚拟机蜜罐包含一个IP地址切换模块;
58)虚拟机蜜罐群控制模块22控制虚拟机蜜罐群21,实现虚拟机蜜罐的更新。
本发明可进一步将多个基本单元根据被监测网络的结构布设,构成分层的等级结构。如图10所示,两级结构的分布式监测系统结构,布设于二级路由器的基本单元负责监测分配的部分暗网空间,可称这些基本单元为分节点,布设于一级路由器的基本单元负责监测剩余的暗网空间,可称这个节点为中心节点,中心节点除了监测所负责的暗网空间外,还可接收来自各个分节点的报警汇报信息,显示整个网络的攻击情况,使整个系统构成监测暗网空间更大、灵敏度更强的监测系统。
下面是两个实际布设的场景。
应用场景1如图11所示:系统所监测的暗网空间与暗网感应器属于同一个子网,暗网感应器的入口网卡IP地址为192.0.1.200、出口网卡的IP地址为5.5.5.10,入口网卡与交换机相连;监测系统监测的暗网地址范围为192.0.1.3至192.0.1.199;攻击计算机A的IP地址为192.0.1.1,攻击计算机B的IP地址为192.1.1.1,通过路由器与系统通信。
应用场景2如图12所示:监测的暗网空间跨越多个局域网,暗网感应器的入口网卡IP地址为9.9.9.2、出口网卡的IP地址为5.5.5.10,入口网卡与交换机相连;监测系统监测的暗网地址范围为2.2.3.0至2.255.255.255;交换机与路由器相连,路由器与交换机相连的接口的IP地址为9.9.9.9;攻击计算机的IP地址为2.2.2.1;攻击计算机直接与路由器相连,路由器与攻击计算机相连的接口的IP地址为2.2.2.2。
本发明利用在暗网中布设高交互蜜罐可与攻击者进行深度交互,从而准确识别攻击者的攻击特征,具有高准确度的特点;
利用高交互蜜罐监测巨量的暗网地址空间,使攻击者的攻击流量有极高的概率进入被监测地址空间,与高交互蜜罐进行深度交互,从而快速被监测系统发现,具有高灵敏度;
动态生成的虚拟机蜜罐不仅可以是运行Linux系统的虚拟机蜜罐,也可以是运行Windows系统的虚拟机蜜罐,可适用于大多数专用IP网络的应用需求,具有通用性强的特点;
通过未知网络攻击提取模块能够发现网络中未知网络攻击行为,能够处理未知网络攻击行为。
Claims (7)
1.一种基于暗网的专用IP网络安全监测系统,包括与被监测网络相连的暗网感应器(10)和与所述暗网感应器相连的蜜罐服务器(20),其特征在于:
所述暗网感应器(10)包括流量导入模块(11)、数据控制模块(12)、攻击检测模块(13)、记录模块(14)、报警显示模块(15)、未知网络攻击提取模块(16)、数据库(17)和日志文件(18);
所述蜜罐服务器(20)包括虚拟机蜜罐群(21)和虚拟机蜜罐群控制模块(22),所述虚拟机蜜罐群(21)由多个正在运行的虚拟机蜜罐组成;
所述流量导入模块(11)的输入端与被监测网络相连,其输出端同时与数据控制模块(12)、攻击检测模块(13)、记录模块(14)的输入端相连,所述数据控制模块(12)的双向接口与虚拟机蜜罐群(21)相连,其一个输出端与被监测网络相连的同时还与攻击检测模块(13)、记录模块(14)的输入端相连,所述数据控制模块(12)的另一个输出端与虚拟机蜜罐群控制模块(22)的输入端相连,所述虚拟机蜜罐群控制模块(22)的输出端与虚拟机蜜罐群(21)相连,所述记录模块(14)的第二输入端与攻击检测模块(13)的输出端相连,所述记录模块(14)的输出端与数据库(17)和日志文件(18)的输入端相连,所述日志文件(18)的输出端与未知网络攻击提取模块(16)相连,所述数据库(17)的输出端同时与报警显示模块(15)和未知网络攻击提取模块(16)相连;
所述流量导入模块(11),用于将目的IP地址属于所监测暗网的报文导入监测系统,导入的报文转交至数据控制模块(12)、攻击检测模块(13)和记录模块(14);
所述数据控制模块(12),用于控制攻击者与蜜罐服务器的通信;
所述攻击检测模块(13),用于检测流量导入模块(11)接收和数据控制模块(12)发出的所有报文是否包含攻击特征;
所述记录模块(14),用于记录流量导入模块(11)接收和数据控制模块(12)发出的所有报文和攻击检测模块(13)的输出;
所述报警显示模块(15),用于分析并显示当前系统监测到的攻击信息,这些信息包括攻击的攻击特征、源IP地址、目的IP地址、源端口、目的端口和攻击时间等;
所述未知网络攻击提取模块(16),用于将以数据库和日志文件形式存储的未知网络攻击的攻击交互报文提取出来,形成未知网络攻击样本;
所述虚拟机蜜罐群(21)由多个正在运行的虚拟机蜜罐组成,用于组成蜜罐池,每一个虚拟机蜜罐包含一个IP地址切换模块;
所述虚拟机蜜罐群控制模块(22),用于控制虚拟机蜜罐群(21),实现虚拟机蜜罐的更新。
2.根据权利要求1所述的基于暗网的专用IP网络安全监测系统,其特征在于:所述虚拟机蜜罐群由虚拟机软件实现。
3.根据权利要求1所述的基于暗网的专用IP网络安全监测系统,其特征在于:所述实现虚拟机蜜罐群的虚拟机软件为VMwareserver。
4.根据权利要求1所述的基于暗网的专用IP网络安全监测系统,其特征在于:所述蜜罐服务器(20)由多台计算机组成,这些计算机的网卡与暗网感应器所在计算机的出口网卡利用网线通过集线器连接。
5.一种基于暗网的专用IP网络安全监测方法,其特征在于,包括如下步骤:
51)流量导入模块(11)将目的IP地址属于所监测暗网的报文导入监测系统,导入的报文转交至数据控制模块(12)、攻击检测模块(13)和记录模块(14);
52)数据控制模块(12)控制攻击者与蜜罐的通信;
53)攻击检测模块(13)检测流量导入模块(11)接收和数据控制模块(12)发出的所有报文是否包含攻击特征;
54)记录模块(14)记录流量导入模块(11)接收和数据控制模块(12)发出的所有报文和攻击检测模块(13)的输出,并将攻击检测模块(13)的检测结果输出至数据库(17),将通过流量导入模块(11)接收和数据库控制模块(12)转发出系统的所有报文输出至数据库(17)和日志文件(18);
55)报警显示模块(15)分析并显示当前系统监测到的攻击信息,这些信息包括攻击的攻击特征、源IP地址、目的IP地址、源端口、目的端口和攻击时间等;
56)未知网络攻击提取模块(16)将以数据库和日志文件形式存储的未知网络攻击的攻击交互报文提取出来,形成未知网络攻击样本;
57)由多个正在运行的虚拟机蜜罐组成的虚拟机蜜罐群(21)组成蜜罐池,每一个虚拟机蜜罐包含一个IP地址切换模块;
58)虚拟机蜜罐群控制模块(22)控制虚拟机蜜罐群(21),实现虚拟机蜜罐的更新。
6.根据权利要求5所述的基于暗网的专用IP网络安全监测方法,其特征在于,所述52)数据控制模块(12)控制攻击者与蜜罐服务器的通信步骤包括:
61)当导入的报文是UDP、ICMP报文时,过滤报文,不转交至蜜罐服务器;
62)当导入的报文是TCP连接建立报文时,执行如下操作:
621)利用报文的源IP地址和目的IP地址检查系统当前是否为该IP地址对分配虚拟机蜜罐,如果已经分配,判断攻击者是否已经与虚拟机蜜罐完成TCP连接建立过程,如果没有完成则转发报文至对应的虚拟机蜜罐,否则丢弃报文;
622)如果没有为该IP地址对分配虚拟机蜜罐,则检查蜜罐池中是否有可分配的虚拟机蜜罐,如果没有可分配的虚拟机蜜罐则丢弃报文,否则从蜜罐池中分配虚拟机蜜罐给该IP地址对,并且发送IP地址切换命令给虚拟机蜜罐群,使指定的虚拟机蜜罐根据IP地址对的目的IP地址切换虚拟机蜜罐的IP地址,动态生成IP地址为该连接建立报文目的IP地址的虚拟机蜜罐;
63)当导入的报文是TCP其它报文时,通过源IP地址、目的IP地址对检查是否已经为该TCP连接分配虚拟机蜜罐资源,如果已经分配虚拟机蜜罐资源则将TCP报文转发至对应虚拟机蜜罐,否则将报文丢弃;
64)当虚拟机蜜罐的响应报文发送至暗网感应器时,数据控制模块将报文通过入口网卡转发;
65)当虚拟机蜜罐主动对外发起连接时,数据控制模块停止将虚拟机蜜罐发送的报文转发,阻断虚拟机蜜罐与外界的通信,同时通知虚拟机蜜罐群控制模块该虚拟机蜜罐成为攻击源。虚拟机蜜罐群控制模块将关闭并删除该虚拟机蜜罐,然后重新复制一个新的虚拟机蜜罐并启动该虚拟机蜜罐;
66)如虚拟机蜜罐没有主动对外发起连接,当虚拟机蜜罐与某一攻击者交互达到预先设定的最大时间时,通知虚拟机蜜罐群控制模块该虚拟机蜜罐达到最大交互时间,虚拟机蜜罐群控制模块同样将该虚拟机蜜罐关闭、删除,然后复制一个新的虚拟机蜜罐并启动该虚拟机蜜罐。
7.根据权利要求5所述的基于暗网的专用IP网络安全监测方法,其特征在于,所述56)未知网络攻击提取模块(16)将以数据库和日志文件形式存储的未知网络攻击的攻击交互报文提取出来,形成未知网络攻击样本步骤具体为:
71)在MySQL数据库中找到存在标志位SYN和ACK同时置位的报文,利用TCP套接字以及时间信息找出该TCP连接的所有报文;
72)从MySQL数据库中的攻击特征检测结果判断该TCP连接的报文是否包含攻击特征;
73)如果包含攻击特征,则忽略该TCP连接,继续查找;
74)如果不包含攻击特征,则利用TCP套接字以及时间信息从日志文件中将该TCP连接的所有报文提取作为未知网络攻击样本。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201310603661.9A CN103607399B (zh) | 2013-11-25 | 2013-11-25 | 基于暗网的专用ip网络安全监测系统及方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201310603661.9A CN103607399B (zh) | 2013-11-25 | 2013-11-25 | 基于暗网的专用ip网络安全监测系统及方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN103607399A CN103607399A (zh) | 2014-02-26 |
CN103607399B true CN103607399B (zh) | 2016-07-27 |
Family
ID=50125599
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201310603661.9A Active CN103607399B (zh) | 2013-11-25 | 2013-11-25 | 基于暗网的专用ip网络安全监测系统及方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN103607399B (zh) |
Families Citing this family (32)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US11507663B2 (en) | 2014-08-11 | 2022-11-22 | Sentinel Labs Israel Ltd. | Method of remediating operations performed by a program and system thereof |
US9710648B2 (en) | 2014-08-11 | 2017-07-18 | Sentinel Labs Israel Ltd. | Method of malware detection and system thereof |
EP3041190B1 (en) * | 2014-12-30 | 2020-11-25 | Juniper Networks, Inc. | Dynamic service handling using a honeypot |
CN106506435B (zh) * | 2015-09-08 | 2019-08-06 | 中国电信股份有限公司 | 用于检测网络攻击的方法和防火墙系统 |
CN105610813B (zh) * | 2015-12-28 | 2018-10-16 | 中国人民解放军信息工程大学 | 一种移动通信网间蜜罐系统及方法 |
CN106961414B (zh) * | 2016-01-12 | 2020-12-25 | 阿里巴巴集团控股有限公司 | 一种基于蜜罐的数据处理方法、装置及系统 |
CN107046518A (zh) * | 2016-02-05 | 2017-08-15 | 阿里巴巴集团控股有限公司 | 网络攻击的检测方法及装置 |
GB201603118D0 (en) * | 2016-02-23 | 2016-04-06 | Eitc Holdings Ltd | Reactive and pre-emptive security system based on choice theory |
CN106534181A (zh) * | 2016-12-09 | 2017-03-22 | 商洛学院 | 一种家用网络安全控制器及控制方法 |
US11616812B2 (en) | 2016-12-19 | 2023-03-28 | Attivo Networks Inc. | Deceiving attackers accessing active directory data |
US11695800B2 (en) | 2016-12-19 | 2023-07-04 | SentinelOne, Inc. | Deceiving attackers accessing network data |
CN106651361A (zh) * | 2016-12-20 | 2017-05-10 | 张涉应 | 一种金融ic卡互联网终端及其交易方法 |
US10462171B2 (en) | 2017-08-08 | 2019-10-29 | Sentinel Labs Israel Ltd. | Methods, systems, and devices for dynamically modeling and grouping endpoints for edge networking |
CN107426242B (zh) * | 2017-08-25 | 2020-03-31 | 中国科学院计算机网络信息中心 | 网络安全防护方法、装置及存储介质 |
US11470115B2 (en) | 2018-02-09 | 2022-10-11 | Attivo Networks, Inc. | Implementing decoys in a network environment |
CN110290098B (zh) * | 2018-03-19 | 2020-12-25 | 华为技术有限公司 | 一种防御网络攻击的方法及装置 |
CN109167767A (zh) * | 2018-08-17 | 2019-01-08 | 苏州亮磊知识产权运营有限公司 | 一种对于DHCP架构的DDoS攻击防御系统的工作方法 |
CN109347881B (zh) * | 2018-11-30 | 2021-11-23 | 东软集团股份有限公司 | 基于网络欺骗的网络防护方法、装置、设备及存储介质 |
CN110099040B (zh) * | 2019-03-01 | 2021-11-30 | 江苏极元信息技术有限公司 | 一种基于大量部署诱饵主机探测拦截内网攻击源的防御方法 |
CN109768993A (zh) * | 2019-03-05 | 2019-05-17 | 中国人民解放军32082部队 | 一种高覆盖内网蜜罐系统 |
EP3973427A4 (en) | 2019-05-20 | 2023-06-21 | Sentinel Labs Israel Ltd. | SYSTEMS AND METHODS FOR EXECUTABLE CODE DETECTION, AUTOMATIC FEATURE EXTRACTION, AND POSITION-INDEPENDENT CODE DETECTION |
CN110830457B (zh) * | 2019-10-25 | 2022-06-21 | 腾讯科技(深圳)有限公司 | 一种基于蜜罐诱导的攻击感知方法、装置、设备及介质 |
CN114531259B (zh) * | 2020-11-06 | 2024-03-22 | 奇安信科技集团股份有限公司 | 攻击结果检测方法、装置、系统、计算机设备和介质 |
CN112383538B (zh) * | 2020-11-11 | 2022-11-25 | 西安热工研究院有限公司 | 一种混合式高交互工业蜜罐系统及方法 |
US11579857B2 (en) | 2020-12-16 | 2023-02-14 | Sentinel Labs Israel Ltd. | Systems, methods and devices for device fingerprinting and automatic deployment of software in a computing network using a peer-to-peer approach |
CN112788023B (zh) * | 2020-12-30 | 2023-02-24 | 成都知道创宇信息技术有限公司 | 基于安全网络的蜜罐管理方法及相关装置 |
US11899782B1 (en) | 2021-07-13 | 2024-02-13 | SentinelOne, Inc. | Preserving DLL hooks |
CN113630417B (zh) * | 2021-08-12 | 2023-09-26 | 杭州安恒信息安全技术有限公司 | 基于waf的数据发送方法、装置、电子装置和存储介质 |
CN114866298B (zh) * | 2022-04-21 | 2023-03-24 | 武汉大学 | 结合包标记与包日志的电力工控系统网络攻击溯源方法 |
CN114866326A (zh) * | 2022-05-16 | 2022-08-05 | 上海磐御网络科技有限公司 | 基于linux系统的摄像头蜜罐构建方法 |
CN114978708A (zh) * | 2022-05-25 | 2022-08-30 | 上海磐御网络科技有限公司 | 一种基于蜜罐数据的图神经网络预测攻击意图方法 |
CN114978768B (zh) * | 2022-07-13 | 2023-04-18 | 上海大学 | 一种基于Conpot的网络化控制系统蜜罐 |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101185063A (zh) * | 2005-04-18 | 2008-05-21 | 纽约市哥伦比亚大学理事会 | 用于使用“蜜罐”检测和阻止攻击的系统和方法 |
CN102216900A (zh) * | 2008-09-12 | 2011-10-12 | 马来西亚微电子系统有限公司 | 蜜罐主机 |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7549166B2 (en) * | 2002-12-05 | 2009-06-16 | International Business Machines Corporation | Defense mechanism for server farm |
-
2013
- 2013-11-25 CN CN201310603661.9A patent/CN103607399B/zh active Active
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101185063A (zh) * | 2005-04-18 | 2008-05-21 | 纽约市哥伦比亚大学理事会 | 用于使用“蜜罐”检测和阻止攻击的系统和方法 |
CN102216900A (zh) * | 2008-09-12 | 2011-10-12 | 马来西亚微电子系统有限公司 | 蜜罐主机 |
Non-Patent Citations (1)
Title |
---|
基于动态IP的主动式蠕虫诱捕技术研究;梁晓阳,李亮,贺建民;《电力系统通信(2009)》;20091230(第12期);第2878-2881页 * |
Also Published As
Publication number | Publication date |
---|---|
CN103607399A (zh) | 2014-02-26 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN103607399B (zh) | 基于暗网的专用ip网络安全监测系统及方法 | |
KR100942456B1 (ko) | 클라우드 컴퓨팅을 이용한 DDoS 공격 탐지 및 차단 방법 및 서버 | |
US9491189B2 (en) | Revival and redirection of blocked connections for intention inspection in computer networks | |
CN102487339B (zh) | 一种网络设备攻击防范方法及装置 | |
CN109194680B (zh) | 一种网络攻击识别方法、装置及设备 | |
WO2018080976A1 (en) | Detection of vulnerable devices in wireless networks | |
CN103297433B (zh) | 基于网络数据流的http僵尸网络检测方法及系统 | |
CN108270722B (zh) | 一种攻击行为检测方法和装置 | |
US10581880B2 (en) | System and method for generating rules for attack detection feedback system | |
US20110154492A1 (en) | Malicious traffic isolation system and method using botnet information | |
KR101375813B1 (ko) | 디지털 변전소의 실시간 보안감사 및 이상징후 탐지를 위한 능동형 보안 센싱 장치 및 방법 | |
KR20140027616A (ko) | 웹 트랜잭션 밀집도 기반 에이치티티피 봇넷 탐지 장치 및 방법 | |
KR100996288B1 (ko) | 가상 mac 주소를 이용하여 arp 스푸핑 공격에 대응하는 방법 | |
KR101615045B1 (ko) | 지능형 보안 네트워킹 시스템 및 그 방법 | |
Aldabbas et al. | A novel mechanism to handle address spoofing attacks in SDN based IoT | |
US20190319923A1 (en) | Network data control method, system and security protection device | |
US9350754B2 (en) | Mitigating a cyber-security attack by changing a network address of a system under attack | |
JP6592196B2 (ja) | 悪性イベント検出装置、悪性イベント検出方法および悪性イベント検出プログラム | |
CN111010362B (zh) | 一种异常主机的监控方法及装置 | |
Satrya et al. | The detection of DDOS flooding attack using hybrid analysis in IPv6 networks | |
US11595419B2 (en) | Communication monitoring system, communication monitoring apparatus, and communication monitoring method | |
Salim et al. | Preventing ARP spoofing attacks through gratuitous decision packet | |
CN115664833B (zh) | 基于局域网安全设备的网络劫持检测方法 | |
Brahmi et al. | A Snort-based mobile agent for a distributed intrusion detection system | |
Leu et al. | Detecting dos and ddos attacks by using an intrusion detection and remote prevention system |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant |