CN105024977A - 基于数字水印和蜜罐技术的网络追踪系统 - Google Patents
基于数字水印和蜜罐技术的网络追踪系统 Download PDFInfo
- Publication number
- CN105024977A CN105024977A CN201410168682.7A CN201410168682A CN105024977A CN 105024977 A CN105024977 A CN 105024977A CN 201410168682 A CN201410168682 A CN 201410168682A CN 105024977 A CN105024977 A CN 105024977A
- Authority
- CN
- China
- Prior art keywords
- tracking
- module
- trail
- network
- agent
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开了一种基于数字水印和蜜罐技术的网络追踪系统,其包括陷阱系统和攻击追踪系统,其中陷阱系统主要由蜜罐系统模块和数字水印系统模块构成。本发明提供的网络追踪系统,相比现有的网络追踪系统,不仅增强了追踪的主动性,减轻了追踪的各种开销,而且在实现和效果上具有更高的准确性、有效性和可操作性。
Description
技术领域
本发明涉及计算机网络通信安全技术领域,尤其涉及网络追踪系统。
背景技术
随着网络安全的威胁日益严重,网络追踪已成为网络安全研究领域的热点问题。然而,网络追踪的实现受到多方面因素的制约,主要体现在一下方面:首先,用于Internet的TCP/IP协议设计之初没有考虑到安全问题,没有对可疑用户活动进行阻止的有效机制,没有对用户活动进行追踪的设计;第二,网络流量和宽带的迅速发展以及隧道技术的使用增大了网络追踪的难度;第三,网络攻击手段的发展和代理、跳板技术的使用使得网络追踪难以奏效。
目前,针对不同形式的特点的网络攻击,提出了许多采用不同网络追踪方法的网络追踪系统。网络追踪方法主要有链路测试法、入口过滤法数据包记录法、路径记录法、ICMP追踪法、日志记录法、Ipsec鉴别法和数据包标记法等。现有的网络追踪技术存在或多或少的不足,没有一种解决方案可以实现有效追踪所规定的所有需求。第一,要对网络攻击、入侵进行追踪,则先要发现网络攻击与入侵,但是,现有的入侵检测技术还不能完全解决入侵漏洞和虚警的问题。第二,目前研究和讨论最多的网络追踪技术是基于报文或货数据包的追踪方法,而基于报文或数据包的追踪方法的关键技术是在报文或货数据包中添加标志数据或字段,然后通过对这些标志数据或字段的检测与追踪来实现对攻击与入侵的追踪。不管采用哪种方式来添加标志数据,都会增加路由器或其他追踪设备的开销,并增加网络的流量,并且这些添加的标志数据或有效字段有可能会被攻击者察觉而伪造数据包来逃避追踪,因此,现有的基于报文或数据包的追踪方法有其固有的缺点。
数字水印技术是20世纪90年代出现的一门崭新的技术,它通过在数字产品(入图像、视频、音频、文本等)中嵌入可感知或不可感知的特定信息来确定数字产品的所有权或检验数字内容的原始性,这些特定的信息系包括作者的序列号、公司标志、有意义的文本等等。数字水印技术通过一定的算法将一些标志性信息嵌入被保护的对象当中,只通过专用的检测器或阅读器才能准确检测或提取。这些信息不影响元数据使用效果,并可以部分或全部从混合数据中恢复出来。一般来讲,密码技术不能对解密后数据提供进一步保护,数字难以在原始数据中一次性嵌入大量信息,数字标签容易被修改和剔除,而数字水印技术却很好地弥补了这些不足。
蜜网项目组(the honey project)的创始人lance spitzner对蜜罐的定义是:蜜罐是一种安全资源,其价值在于被扫描、攻击和攻陷。这个定义表明蜜罐并无其他实际作用,因此所有进出蜜罐的网络流量都可能预示了扫描、攻击和攻陷。而蜜罐的核心价值就这样对这些攻击活动进行监视、检测盒分析。蜜罐是一种安全资源而并非一种安全解决方案,其价值体现在被探测、攻击或者摧毁的时候。这意味着无论讲何物指定为蜜罐,部署者的期望和目标就是让系统被别人探测、攻击并有可能被攻破的可能。蜜罐作为一种伪装成真实目标的资源库,它可以模拟各种操作系统及漏洞,也可以虚拟出各种网络服务。它是设计用料对入侵的攻击行为进行记录的诱捕系统,通过对攻击者行为的记录分析可以获得攻击者的相关信息,从而掌握攻击者的攻击技术和攻击意图,对重要防护目标采取有针对性的防御措施,同时也可以实现对攻击的追踪等。
发明内容
本发明所要解决的技术问题是提供一种网络追踪系统,它不仅增强了追踪的主动性,减轻了追踪的各种开销,而且在实现和效果上具有更高的准确性、有效性和可操作性。
为了实现上述目的,本发明提供了一种利用数字水印和蜜罐技术的网络追踪系统,其特征为,包括:
蜜罐系统模块,安装在主机设备上,并挂入主机设备的操作系统;它以伪装服开放访问端口和设置敏感信息文件等方式对扫描、探测和访问进行欺骗,并引诱攻击者对其实施攻击;监听网络上的扫描、探测事件,判断该事件是否符合系统安全策略,若不符合,则蜜罐系统根据欺骗、诱导策略对攻击者进行欺骗,讲攻击连接引向蜜罐主机,并诱导其访问敏感信息文件;一旦蜜罐系统监控到有对数字水印系统的访问,马上生成追踪申请信息发送到追踪服务控制台,并且接收追踪服务控制台的返回结果。
数字水印系统模块,安装在主机设备上,并挂入主机设备的操作系统;其主要用于生成数字水印,并将数字水印嵌入到所述蜜罐系统的敏感信息文件中。
追踪服务控制台系统模块,安装在所述追踪服务控制台设备上,其作用在于,追踪服务控制台系统接收到蜜罐系统的追踪申请信息后,对该追踪申请信息进行编号,提取该追踪申请信息中的数字水印特征,然后对追踪Agent发出追踪该水印的追踪指令;追踪服务控制台接收追踪Agent的初步追踪结果并进行数据融合分析,构造出攻击路径,确定攻击源,形成追踪事件信息,报告编号、发起追踪申请源、发起追踪时间、各追踪Agent返回的追踪 结果及证据数据、融合处理后的追踪结果等存入数据库模块,并提供统计查询功能。
追踪Agent系统模块,安装在所述追踪Agent设备是,其作用在于,追踪Agent收到所述追踪指令后,对最近滑动时间窗内网络的入流量和出流量进行分析,并根据该追踪指令包含的数字水印特征进行水印检测,根据检测结果,形成初步追踪结果返回到追踪服务控制台系统。
上述蜜罐系统模块的数字水印系统模块构成网络追踪系统中的陷阱系统,追踪服务控制台系统模块和追踪Agent系统模块构成网络追踪系统中攻击追踪系统。
作为优化方案,所述蜜罐系统模块包括,
网络欺骗功能模块,其作用在于以伪装服务、开放访问端口和设置敏感信息等方式对网络扫描、探测和访问进行欺骗,并引诱攻击者对实施攻击。
信息捕获功能模块,其作用在于实时地监听各种事件,包括来自网络中的各种扫描、探测和访问,也包括攻击者侵入到蜜罐系统后进行的文件读取、数据删改等操作,并对各种行为进行记录;当监听到某事件后,先判断其行为是否符合系统安全策略,若不符合,则根据欺骗、诱导策略进行欺骗和诱导,将攻击链接引向蜜罐主机,并诱导期对数字水印文件进行访问,一旦监控到有对数字水印文件的访问,马上生成追踪申请信息并提交通信控制功能模块。其中,追踪信息包含水印文件的水印特征信息、水印文件的大小、访问时间和水印文件接收方的目的IP地址。
信息控制功能模块,其用于对进入蜜罐系统的行为进行限制,一旦蜜罐系统被攻陷,将阻止攻击者利用蜜罐作为跳板去估计其他系统。
第三通信控制功能模块,其用于对接收到信息捕获模块提交的追踪申请最终追踪结果。
作为又一优化方案,所述追踪服务控制台系统模块包括,
第一时间模块,其用于为追踪服务控制台系统提供与追踪Agent系统相一致的时间,为系统进行时间关联追踪提供条件,同时为追踪事件信息记录入库提供统一的时间。
数据融合处理模块,其用于对追踪Agent系统返回的追踪信息进行融合处理,构造攻击路径,形成最终追踪结果,并提交数据库模块存储。
数据库模块,其提供两方面的功能,一方面存储记录追踪事件信息,包括攻击事件的编号、发起追踪申请源、发起追踪时间、各追踪Agent返回的追踪结果及证据数据、融合处理后的追踪结果等;另一方面是对所有追踪时间信息提供统计查询功能,提供统计查询界面,根据查询条件,自动生成相关查询结果。
第一通信控制模块,其作用在于,一方面接收蜜罐系统发来的追踪申请信息,并返回最终追踪结果;另一方面对追踪申请进行编号,向各追踪Agent系统发送追踪指令,并接收追踪Agent系统返回的追踪结果信息与证据数据,即含有数字水印的数据包。
作为再一优化方案,所述追踪Agent系统模块包括,
第二时间模块,其用于为追踪分析Agent提供与追踪服务控制台相一致的时间,为系统进行时间关联追踪提供条件。同时为追踪事件的相关信息记录入库提供统一的时间。
流量存储模块,其用于为追踪分析提供数据来源,由于系统从国际发送到攻击追踪的过程全部由程序自动实现,从时间上来讲反应很迅速,也就是说攻击流量结果追踪Agent到追踪Agent收到追踪服务台的追踪指令的时间间隔很短,因此,追踪Agent只需要对最近较短时间经过的流量进行保存,设置一个滑动时间窗,循环记录窗口里的入流量和出流量数据。
数据分析模块,其用于实现对追踪Agent记录的数据进行分析,提取出入追踪Agent流量的源地址和目标地址,对流量中的数字水印进行检测,最后形成分析结果。
第二通信控制模块,其用于接收追踪服务台的追踪指令并发挥追踪结果,还要向追踪服务台传送追踪的证据数据,即含有数字水印的数据包。
进一步地,本网络追踪系统还包括防火墙,防火墙设置在在蜜罐系统主机前端,它用于对蜜罐系统主机往外发的每一个连接进行追踪,当某蜜罐系统主机向外发送的信息包数量达到设定上限时,防火墙变回阻塞发送,避免蜜罐系统主机成为入侵者扫描、探测及攻击他人系统的跳板。
又进一步地,本网络追踪系统还包括路由器,该路由器安装在防火墙与蜜罐系统主机组成的网络之间;其用于隐藏防火墙,同时,在数据链路层上作为访问控制设备成为防火墙的补充。
进一步地,本网络追踪系统还包括日志服务器,日志服务器异地安装,与蜜罐系统主机所在网络的远程通信,其作用在于,日志服务器异地存储和北方所述信息捕获功能模块从防火墙日志、IDS日志和蜜罐系统主机的系统日志等数据源收集和捕获的数据,保证收集和捕获的数据完整和安全。
本发明所提供的利用数字水印与蜜罐技术的网络追踪系统,与现有的网络追踪系统相比,具有以下优点:
一、提出了对单个报告追踪的有效方法
在本网络追踪系统中,只要追踪Agent检测到一个含有数字水印的当报文就能确定该Agent所连接主机是否处于攻击链上,是出于攻击链的中间节点还是最终节点。
二、提供了全自动的网络追踪途径
在本网络追踪系统中,所有的监控、检测、记录和处理都可以由软件自动进行处理,不需要人工的参与,因此,本系统具有更高的追踪效率。
三、模糊化处理攻击进行时与攻击结束后追踪概念的界限
在本网络追踪系统中,当监测到攻击的发生到各追踪Agent开始执行追踪指令,这个过程都是有程序自动实施的,在很短的时间内即可完成,而追踪Agent是针对最近记录的数据包进行分析的.因此,不管攻击是否还在继续进行还是已经结束,本追踪系统并不关心,因此本系统的追踪方法不同于以往追踪手段严格区分是攻击时的进行的追踪还是事后进行的追踪的情况,不用区分攻击进行时和攻击结束后进行追踪概念的界限。
四、实现了对基于代理和跨越跳板攻击的网络追踪
本网络追踪系统通过追踪Agent对入流量和出流量同时进行检测,根据检测结果可以判定该Agent所连接主机在攻击链上所处位置。因为对于代理和跳板主机来说,其入流量和出流量中都会检测到数字水印的存在,而真正的攻击主机则只在入流量中存在数字水印。解决了传统追踪方法对路由器性能、IPS之间协作和网络管理人员素质的依赖问题。
本网络追踪系统由于采用了追踪服务控制台和分布式追踪Agent,其指令发送接收、数据监测分析和融合处理都是有程序自动处理,并且不需要路由器对数据进行记录和标记,不需要各级IPS之间的相互配合和网络管理人员的手工操作。因此,本系统的追踪性能并不依赖路由器性能、各级IPS之间协作和网络管理人员的素质。
附图说明
图1为本发明网络追踪系统整体构成示意图。
图2为本发明陷阱系统构成示意图。
图3为本发明各级追踪系统构成示意图。
图4为本发明追踪Agent系统模块构成示意图。
图5为本发明网络追踪系统的建立和总括运行流程图。
图6为本发明陷阱系统设置过程示意图。
图7为本发明蜜罐系统模块的部署过程示意图。
图8为本发明实施案例中对一个三级代理的网络攻击的追踪示意图。
图9为本发明实施案例中攻击追踪系统实施网络追踪的流程图。
图10为本发明实施案例中各追踪Agent系统实施水印检测的流程图。
下面结合附属图和具体实施方式对本发明作进一步的详细说明。
具体实施方式
如图1所示,网络追踪系统整体构成示意图,物理上由一个或多个追踪服务控制台、多个分散部署的追踪Agent和安装蜜罐系统模块和数字水印系统模块的蜜罐主机三部分组成。
如图2所示,蜜罐系统模块和数字水印系统模块构成陷阱系统蜜罐系统模块包括欺骗功能模块、信息捕获功能模块、信息控制功能模块、通信系统功能模块,数字水印系统模块主要包括水印设置模块,用于生成数字水印,并将数字水印嵌入到所述蜜罐系统的敏感信息中。
如图3所示,所述攻击追踪系统有由一个或多个追踪服务控制台、多个分散部署的追踪Agent系统模块构成。
如图4所示,追踪服务控制台系统模块包括第一时统模块,其包括第二时统模块、流量存储模块、数据分析模块、第二通信控制模块。
图5为本发明网络追踪系统的建立和总括运行流程图,包括:
步骤100,对该网络追踪系统中的陷阱系统进行设置,以欺骗、诱导攻击者对蜜罐主机中设置的数字水印数据进行访问,一旦监控到有对水印文件的访问,马上生成追踪申请信息并提交通信模块,再上报追踪服务控制台并负责接收追踪服务控制台返回的追踪结果。步骤100设置陷阱系统过程具体包括如下步骤,具体如图6所示。
步骤110,对水印系统的部署。水印系统部署在蜜罐系统的蜜罐主机中,水印设置是它的主要功能模块,主要负责设计含有特定数字水印的敏感资料。这样,网络攻击或入侵者访问的信息是一个带有数字水印的伪造的敏感信息,以使得对该网络攻击者的追踪就转化为对特定数字水印的追踪。要设计好水印文件的形式,可以是音频、视频、图像和文本文件,这些文件中的水印要容易检测和提取,且对攻击者来说不可见,并且该水印在传输过程中经过分段操作后仍能进行检测和提取;其次,水印文件的命名与放置要精心设计,一方面要能让攻击者容易发现并引起极大兴趣,另一方面有不要让攻击者引起怀疑而识别出蜜罐的陷阱系统,具有的基于空域算法的水印、基于变换域算法的水印、基于JPEG和MPEG标准的压缩域的数字水印、基于NEC算法的水印等等可供选择。
步骤120,对蜜罐系统的部署包括如下步骤,具体如图7所示。
步骤121,设置网络欺骗功能模块,以实现对网络扫描、探测的欺骗以及对网络攻击的诱导功能,网络欺骗一般以伪装服务、开放访问端口和设置敏感信息文件等方式对网络扫描、探测和访问进行欺骗,并引诱攻击者对其实施攻击。
步骤122,设置信息捕获功能模块,实时地监听各种事件,包括来自网络上的扫描、探测事件,判断该事件是否符合系统安全策略,若不符合,则蜜罐系统根据欺骗、诱导策略对攻击者进行欺骗,将攻击连接引向蜜罐主机,并诱导其访问敏感信息文件;一旦蜜罐系统监控到有对数字水印系统的访问,马上生成追踪申请信息并提交通信模块。其中,追踪信息包含水印文件的水印特征信息、水印文件的大小、访问时间和水印文件接收方的目的IP地址,为了在攻击者没有察觉的情况下,尽量多的捕获有关攻击者行为的数据,并使到达蜜罐的数据尽量真实,信息捕获功能模块要从各个不同的数据源收集数据,分层次的进行数据的捕获,一般采取“三重捕获”措施,即防火墙日志、IDS日志和蜜罐系统主机的系统日志;为了防止攻击者对捕获信息的记录或日志造成破坏,要将捕获的信息和日志记录转发到远程安全的主机上即日志服务器进行异地存储和备份,以充分保证捕获信息的完整和安全;为了更全面、完整的捕获攻击者的有关信息们还可以使用第三方软件来记录攻击者的网络通信和系统活动以加固日志功能。
步骤123,设置信息控制功能模块,以对进入蜜罐系统的行为进行限制。一旦蜜罐系统被攻陷,必须保证攻击者不会利用它攻击其他系统并造成危害,以阻止攻击者利用蜜罐作为跳板去攻击别的机器。信息控制功能模块应当能截获进出网络的所有连接,因此,在蜜罐系统前端设置一个防火墙,所有的信息包都必须通过防火墙,防火墙能够对网络中所有的欺骗主机往外发的每一个连接进行追踪,当某欺骗主机外发的数量达到预先设定的上限时,防火墙便会阻塞那些信息包。这样就可避免欺骗主机成为入侵者扫描、探测及攻击在防火墙与他人系统的跳板。另外在防火墙与欺骗网络之间还可以放置一个路由器。首先,路由器隐藏了防火墙。这种布局更像一个真实网络环境,没人会注意到在路由器的外面还有一台防火墙;其次,路由器可以作为第二层访问控制设备成为防火墙的补充,以确保欺骗主机不会被用来攻击欺骗网络以外的机器。防火墙与路由器的配合使用可以在技术上十分完善的对外出的信息进行过滤。这可以最大程度的让入侵者做他们想做的事情而不致产生怀疑。一般的,通过防火墙与路由器的配合使用以及限制蜜罐带宽速率等可以较好地实现信息控制目的。
步骤124,设置通信控制功能模块,以对接收到信息捕获模块提交的追踪申请信息后立即上报追踪服务控制台并负责接收追踪服务控制台返回的追踪结果。这里,通信控制模块上报的追踪申请信息中数字水印的特征信息是必不可少的,而追踪的目标地址信息则是可作为可选项;另外,基于信息安全域保密考虑,攻击追踪系统的追踪结果不一定会返回到追踪申请者即蜜罐系统,具体情况要根据具体应用而定。
上述步骤完成后再如图5所示,进入步骤200,对该网络追踪系统中向攻击系统进行部署,以在接收到蜜罐系统的追踪请求后,对攻击源进行追踪。
考虑到攻击源为了隐蔽自己,常常通过代理主机向目标发起攻击,在本发明实施案例中本了网络追踪系统是对一个在可控网络范围内通过三级代理发起的网络攻击实施的追踪。如图8所示,攻击者分别将代理主机1、代理主机2、代理主机3作为第一、第二、第三级代理,对应的,代理主机1、代理主机2、代理主机3所在的网络中部署了追踪Agent1、追踪Agent2、追踪Agent3.下面结合图8所示的一个三级代理的网络攻击的追踪示意图,说明步骤200中对改完了追踪系统中的攻击追踪系统在接收到蜜罐系统的追踪请求信息后,对攻击源进行追踪的具体步骤,具体如图9所示。
步骤210,追踪服务控制台的通信控制模块收到追踪请求和相关水印信息后,对其进行记录和编号,以区别于网络中其他的追踪事件同时追踪服务控制台的数据库模块存储记录追踪事件的相关信息,包括攻击信息编号、发起追踪申请源、发起追踪时间等。然后,追踪服务控制台的通信功能模块向网络中的追踪Agent下达追踪指令,同时,将追踪的水印信息发送到各追踪Agent。
步骤220,各追踪Agent的通信控制模块接收到追踪指令后,其数据分析模块立即对其所在的网络的入流量和出流量进行水印检测,包括以下步骤,具体如图10所示。
步骤221,追踪Agent3在其网络中进行水印检测,在入流量中检测到水印数据并获得水印数据是目的地址为代理主机3的地址,在出流量中监测到水印数据并获得水印数据是目的地址为代理主机2的地址,将追踪结果返回追踪服务控制台。
步骤222,追踪Agent2在其网络中进行水印检测,在入流量中检测到水印数据并获得水印数据是目的地址为代理主机2的地址,在出流量中监测到水印数据并获得水印数据是目的地址为代理主机1的地址,将追踪结果返回追踪服务控制台。
步骤224,追踪Agent4在其网络中进行水印检测,在入流量中检测到水印数据并获得水印数据是目的地址为攻击者的地址,在出流量中检测不到数字水印,将追踪结果返回追踪服务控制台。
步骤225,在其网络中,各追踪Agent对其所在网络的流量进行水印检测。不会在入流量和出流量中发现水印,将追踪结果返回追踪服务控制台。
步骤230,各追踪Agent讲追踪结果返回追踪服务控制台后,追踪服务控制台的控制模块接收结果信息和证据数据,其数据融合处理模块对这些追踪信息进行融合处理、分析,很容易可以看出,攻击的逆路径是经过了代理主机3,再到代理主机2,再到代理主机1,最后到攻击者的过程。至此,追踪服务控制台获得最终的追踪结果,找到了发起攻击的真正凶手,清晰地重构了攻击路径。
步骤240,为了更深入对攻击的规律、意图等进行分析和研究,追踪服务控制台将所有追踪的结果一起保存到数据库进行管理,以供研究人员对其进行查询、统计。
步骤250,追踪服务控制台将最终的结果返回追踪申请者。
最后所应说明的是,以上实施案例仅用以说明本发明的技术方案而非限制,尽管参照较佳实施案例对本发明进行了详细说明,本领域的普通技术人员应当理解,可对本发明的技术方案进行修改或者等她替换,而不脱离本发明技术方案的精神和范围,其均应涵盖在本发明的权利要求范围当中。
Claims (7)
1.一种利用数字水印和蜜罐技术的网络追踪系统,其特征在于,它包括,蜜罐系统模块,安装在主机设备的操作系统;它以伪装服务、开放访问端口和设置敏感信息文件等方式对网络扫描、探测和访问进行欺骗,并引诱攻击者对其实施攻击;监听网络上的扫描、探测事件,判断该事件是否符合系统安全策略,若不符合,则蜜罐系统根据欺骗、诱导策略对攻击者进行欺骗,将攻击连接引向蜜罐主机,并诱导其访问敏感信息文件;一旦蜜罐系统监控到有对数字水印系统的访问,马上生成追踪申请信息发送到追踪服务控制台,并且接受追踪服务控制台的返回结果;
数字水印系统模块,安装在主机设备上,并挂入主机设备的操作系统;其主要包括水印设置模块,用于生成数字水印,并将数字水印嵌入到所述蜜罐系统的敏感信息文件中;
追踪服务控制台系统模块,安装在所述追踪服务控制台设备上,其作用在于,追踪服务控制台系统接收到蜜罐系统的追踪申请信息后,对该追踪申请信息进行编号,提取该追踪申请信息中的数字水印特征,然后对追踪Agent发出追踪该水印的追踪指令;追踪服务控制台接收追踪Agent的初步追踪结果并进行数据融合分析,构造出攻击路径,确定攻击源,形成追踪事件信息,报告编号、发起追踪申请源、发起追踪时间、各追踪Agent返回的追踪 结果及证据数据、融合处理后的追踪结果等存入数据库模块,并提供统计查询功能;
追踪Agent系统模块,安装在所述追踪Agent设备是,其作用在于,追踪Agent收到所述追踪指令后,对最近滑动时间窗内网络的入流量和出流量进行分析,并根据该追踪指令包含的数字水印特征进行水印检测,根据检测结果,形成初步追踪结果返回到追踪服务控制台系统;
上述蜜罐系统模块的数字水印系统模块构成网络追踪系统中的陷阱系统,追踪服务控制台系统模块和追踪Agent系统模块构成网络追踪系统中攻击追踪系统。
2.根据权利要求1所述的利用数字水印和蜜罐技术的网络追踪系统,其特征在于,所述蜜罐系统模块包括,
网络欺骗功能模块,其作用在于以伪装服务、开放访问端口和设置敏感信息等方式对网络扫描、探测和访问进行欺骗,并引诱攻击者对实施攻击;
信息捕获功能模块,其作用在于实时地监听各种事件,包括来自网络中的各种扫描、探测和访问,也包括攻击者侵入到蜜罐系统后进行的文件读取、数据删改等操作,并对各种行为进行记录;当监听到某事件后,先判断其行为是否符合系统安全策略,若不符合,则根据欺骗、诱导策略进行欺骗和诱导,将攻击链接引向蜜罐主机,并诱导期对数字水印文件进行访问,一旦监控到有对数字水印文件的访问,马上生成追踪申请信息并提交通信控制功能模块,其中,追踪信息包含水印文件的水印特征信息、水印文件的大小、访问时间和水印文件接收方的目的IP地址,
信息控制功能模块,其用于对进入蜜罐系统的行为进行限制,一旦蜜罐系统被攻陷,将阻止攻击者利用蜜罐作为跳板去估计其他系统;
第三通信控制功能模块,其用于对接收到信息捕获模块提交的追踪申请最终追踪结果。
3.根据权利要求1所述的利用数字水印和蜜罐技术的网络追踪系统,其特征在于,所述追踪服务控制台系统模块包括,
第一时间模块,其用于为追踪服务控制台系统提供与追踪Agent系统相一致的时间,为系统进行时间关联追踪提供条件,同时为追踪事件信息记录入库提供统一的时间;
数据融合处理模块,其用于对追踪Agent系统返回的追踪信息进行融合处理,构造攻击路径,形成最终追踪结果,并提交数据库模块存储;
数据库模块,其提供两方面的功能,一方面存储记录追踪事件信息,包括攻击事件的编号、发起追踪申请源、发起追踪时间、各追踪Agent返回的追踪结果及证据数据、融合处理后的追踪结果等;另一方面是对所有追踪时间信息提供统计查询功能,提供统计查询界面,根据查询条件,自动生成相关查询结果;
第一通信控制模块,其作用在于,一方面接收蜜罐系统发来的追踪申请信息,并返回最终追踪结果;另一方面对追踪申请进行编号,向各追踪Agent系统发送追踪指令,并接收追踪Agent系统返回的追踪结果信息与证据数据,即含有数字水印的数据包。
4.根据权利要求1所述的利用数字水印和蜜罐技术的网络追踪系统,其特征在于,所述追踪Agent系统模块包括,
第二时间模块,其用于为追踪分析Agent提供与追踪服务控制台相一致的时间,为系统进行时间关联追踪提供条件,同时为追踪事件的相关信息记录入库提供统一的时间;
流量存储模块,其用于为追踪分析提供数据来源,由于系统从国际发送到攻击追踪的过程全部由程序自动实现,从时间上来讲反应很迅速,也就是说攻击流量结果追踪Agent到追踪Agent收到追踪服务台的追踪指令的时间间隔很短,因此,追踪Agent只需要对最近较短时间经过的流量进行保存,设置一个滑动时间窗,循环记录窗口里的入流量和出流量数据;
数据分析模块,其用于实现对追踪Agent记录的数据进行分析,提取出入追踪Agent流量的源地址和目标地址,对流量中的数字水印进行检测,最后形成分析结果;
第二通信控制模块,其用于接收追踪服务台的追踪指令并发挥追踪结果,还要向追踪服务台传送追踪的证据数据,即含有数字水印的数据包。
5.根据权利要求2所述的利用数字水印和蜜罐技术的网络追踪系统,其特征在于包括防火墙,防火墙设置在在蜜罐系统主机前端,它用于对蜜罐系统主机往外发的每一个连接进行追踪,当某蜜罐系统主机向外发送的信息包数量达到设定上限时,防火墙变回阻塞发送,避免蜜罐系统主机成为入侵者扫描、探测及攻击他人系统的跳板。
6.根据权利要求5所述的利用数字水印和蜜罐技术的网络追踪系统,其特征在于还包括路由器,该路由器安装在防火墙与蜜罐系统主机组成的网络之间;其用于隐藏防火墙,同时,在数据链路层上作为访问控制设备成为防火墙的补充。
7.根据权利要求6所述的利用数字水印和蜜罐技术的网络追踪系统,其特征在于,还包括日志服务器,日志服务器异地安装,与蜜罐系统主机所在网络的远程通信,其作用在于,日志服务器异地存储和北方所述信息捕获功能模块从防火墙日志、IDS日志和蜜罐系统主机的系统日志等数据源收集和捕获的数据,保证收集和捕获的数据完整和安全。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410168682.7A CN105024977A (zh) | 2014-04-25 | 2014-04-25 | 基于数字水印和蜜罐技术的网络追踪系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410168682.7A CN105024977A (zh) | 2014-04-25 | 2014-04-25 | 基于数字水印和蜜罐技术的网络追踪系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN105024977A true CN105024977A (zh) | 2015-11-04 |
Family
ID=54414691
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410168682.7A Pending CN105024977A (zh) | 2014-04-25 | 2014-04-25 | 基于数字水印和蜜罐技术的网络追踪系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN105024977A (zh) |
Cited By (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105763529A (zh) * | 2015-12-12 | 2016-07-13 | 哈尔滨安天科技股份有限公司 | 一种网络环境下攻击链获取方法及系统 |
| CN106302525A (zh) * | 2016-09-27 | 2017-01-04 | 黄小勇 | 一种基于伪装的网络空间安全防御方法及系统 |
| CN106549960A (zh) * | 2016-10-27 | 2017-03-29 | 北京安天电子设备有限公司 | 一种基于网络监控追踪攻击者的方法及系统 |
| CN106686007A (zh) * | 2017-03-03 | 2017-05-17 | 南京理工大学 | 一种发现内网被控重路由节点的主动流量分析方法 |
| CN107154939A (zh) * | 2017-05-10 | 2017-09-12 | 深信服科技股份有限公司 | 一种数据追踪的方法及系统 |
| CN107819731A (zh) * | 2016-09-13 | 2018-03-20 | 北京长亭科技有限公司 | 一种网络安全防护系统及相关方法 |
| CN108234400A (zh) * | 2016-12-15 | 2018-06-29 | 北京金山云网络技术有限公司 | 一种攻击行为确定方法、装置及态势感知系统 |
| CN108322456A (zh) * | 2018-01-22 | 2018-07-24 | 深圳市联软科技股份有限公司 | 一种防网络攻击的幻影设备建立方法、介质及设备 |
| CN109413046A (zh) * | 2018-09-29 | 2019-03-01 | 深圳开源互联网安全技术有限公司 | 一种网络防护方法、系统及终端设备 |
| CN110677438A (zh) * | 2019-11-15 | 2020-01-10 | 杭州安恒信息技术股份有限公司 | 一种攻击链构建方法、装置、设备、介质 |
| CN110808997A (zh) * | 2019-11-11 | 2020-02-18 | 恒安嘉新(北京)科技股份公司 | 对服务器远程取证的方法、装置、电子设备、及存储介质 |
| CN112637150A (zh) * | 2020-12-10 | 2021-04-09 | 广东睿江云计算股份有限公司 | 一种基于nginx的蜜罐分析方法及其系统 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101262351A (zh) * | 2008-05-13 | 2008-09-10 | 华中科技大学 | 一种网络追踪系统 |
| CN101923669A (zh) * | 2008-07-18 | 2010-12-22 | 史迪芬·凯斯 | 智能的适应式设计 |
| US8176173B2 (en) * | 2008-09-12 | 2012-05-08 | George Mason Intellectual Properties, Inc. | Live botmaster traceback |
-
2014
- 2014-04-25 CN CN201410168682.7A patent/CN105024977A/zh active Pending
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101262351A (zh) * | 2008-05-13 | 2008-09-10 | 华中科技大学 | 一种网络追踪系统 |
| CN101923669A (zh) * | 2008-07-18 | 2010-12-22 | 史迪芬·凯斯 | 智能的适应式设计 |
| US8176173B2 (en) * | 2008-09-12 | 2012-05-08 | George Mason Intellectual Properties, Inc. | Live botmaster traceback |
Cited By (16)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105763529A (zh) * | 2015-12-12 | 2016-07-13 | 哈尔滨安天科技股份有限公司 | 一种网络环境下攻击链获取方法及系统 |
| CN107819731A (zh) * | 2016-09-13 | 2018-03-20 | 北京长亭科技有限公司 | 一种网络安全防护系统及相关方法 |
| CN106302525A (zh) * | 2016-09-27 | 2017-01-04 | 黄小勇 | 一种基于伪装的网络空间安全防御方法及系统 |
| CN106302525B (zh) * | 2016-09-27 | 2021-02-02 | 黄小勇 | 一种基于伪装的网络空间安全防御方法及系统 |
| CN106549960A (zh) * | 2016-10-27 | 2017-03-29 | 北京安天电子设备有限公司 | 一种基于网络监控追踪攻击者的方法及系统 |
| CN108234400A (zh) * | 2016-12-15 | 2018-06-29 | 北京金山云网络技术有限公司 | 一种攻击行为确定方法、装置及态势感知系统 |
| CN106686007B (zh) * | 2017-03-03 | 2020-06-02 | 南京理工大学 | 一种发现内网被控重路由节点的主动流量分析方法 |
| CN106686007A (zh) * | 2017-03-03 | 2017-05-17 | 南京理工大学 | 一种发现内网被控重路由节点的主动流量分析方法 |
| CN107154939B (zh) * | 2017-05-10 | 2020-12-01 | 深信服科技股份有限公司 | 一种数据追踪的方法及系统 |
| CN107154939A (zh) * | 2017-05-10 | 2017-09-12 | 深信服科技股份有限公司 | 一种数据追踪的方法及系统 |
| CN108322456A (zh) * | 2018-01-22 | 2018-07-24 | 深圳市联软科技股份有限公司 | 一种防网络攻击的幻影设备建立方法、介质及设备 |
| CN109413046A (zh) * | 2018-09-29 | 2019-03-01 | 深圳开源互联网安全技术有限公司 | 一种网络防护方法、系统及终端设备 |
| CN110808997A (zh) * | 2019-11-11 | 2020-02-18 | 恒安嘉新(北京)科技股份公司 | 对服务器远程取证的方法、装置、电子设备、及存储介质 |
| CN110808997B (zh) * | 2019-11-11 | 2021-09-28 | 恒安嘉新(北京)科技股份公司 | 对服务器远程取证的方法、装置、电子设备、及存储介质 |
| CN110677438A (zh) * | 2019-11-15 | 2020-01-10 | 杭州安恒信息技术股份有限公司 | 一种攻击链构建方法、装置、设备、介质 |
| CN112637150A (zh) * | 2020-12-10 | 2021-04-09 | 广东睿江云计算股份有限公司 | 一种基于nginx的蜜罐分析方法及其系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101262351B (zh) | 一种网络追踪系统 | |
| CN105024977A (zh) | 基于数字水印和蜜罐技术的网络追踪系统 | |
| Wang et al. | Attack detection and distributed forensics in machine-to-machine networks | |
| CN107046543A (zh) | 一种面向攻击溯源的威胁情报分析系统 | |
| CN101087196B (zh) | 多层次蜜网数据传输方法及系统 | |
| CN106657025A (zh) | 网络攻击行为检测方法及装置 | |
| CN105915532B (zh) | 一种失陷主机的识别方法及装置 | |
| CN107872456A (zh) | 网络入侵防御方法、装置、系统及计算机可读存储介质 | |
| CN107070929A (zh) | 一种工控网络蜜罐系统 | |
| CN102790778A (zh) | 一种基于网络陷阱的DDoS攻击防御系统 | |
| CN111885067A (zh) | 一种面向流量的集成式蜜罐威胁数据捕获方法 | |
| Li et al. | The research and design of honeypot system applied in the LAN security | |
| CN115549943B (zh) | 一种基于四蜜的一体化网络攻击检测方法 | |
| Karthikeyan et al. | Honeypots for network security | |
| CN104486320A (zh) | 基于蜜网技术的内网敏感信息泄露取证系统及方法 | |
| CN112600822A (zh) | 一种基于自动化引流工具的网络安全系统及方法 | |
| CN115134166A (zh) | 一种基于蜜洞的攻击溯源方法 | |
| Wang et al. | Catching the wily hacker: A multilayer deception system | |
| Shrivastava et al. | Network forensics: Today and tomorrow | |
| Yasinsac et al. | Honeytraps, a network forensic tool | |
| CN115987531A (zh) | 一种基于动态欺骗式“平行网络”的内网安全防护系统及方法 | |
| TW201141155A (en) | Alliance type distributed network intrusion prevention system and method thereof | |
| Bijalwan et al. | Examining the Crimninology using Network Forensic | |
| Harrison et al. | The honey community: Use of combined organizational data for community protection | |
| CN115834092A (zh) | 一种基于混合式蜜罐的实时入侵防护系统和方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| WD01 | Invention patent application deemed withdrawn after publication | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20151104 |