CN116055185A - 分布式网络信息发布系统的主动网络安全防御方法和系统 - Google Patents

Abstract

本发明涉及一种分布式网络信息发布系统的主动网络安全防御方法和系统，属于主动网络安全防御技术领域，解决了现有技术中网络安全防御方法难度大实施困难、效率低、成本高的问题。方法包括以下步骤：在分布式网络信息发布系统中设置诱饵机器；在诱饵机器可访问的内网机器的访问端口处设置监听器，监听器监听来自诱饵机器的嗅探包，根据嗅探包进行IP溯源得到疑似黑客IP，构建疑似黑客IP的特征向量；基于疑似黑客IP特征向量计算疑似黑客IP的危险度；根据疑似黑客IP的危险度对疑似黑客IP进行主动攻击。实现了简单高效快捷的主动安全防御。

Description

分布式网络信息发布系统的主动网络安全防御方法和系统

技术领域

本发明涉及主动网络安全防御技术领域，尤其涉及一种分布式网络信息发布系统的主动网络安全防御方法和系统。

背景技术

分布式网络信息发布系统作为公网典型服务系统，具有透明IP和网络服务协议，一般作为新闻和中枢单位的信息中心平台，也容易遭到黑客或敌对势力的攻击。如何应对网络攻击是庞大的技术知识体系，比如0day漏洞、权限破解、DDoS流量攻击等。

以往的设计方式已经归纳出防火墙模式、内部网络协议模式和实时运营检查模式。其中防火墙模式定义各类网络单位的访问IP访问、协议类型、连接条件，不满足规则的一律阻塞。而权限破解类方法的方法是通过复杂的软件工程解耦，将前端、业务逻辑、数据库等分开权限甚至分开硬件管理，而且建立多重热备份和冷备份防止一起被攻克。第3类更具有灵活性和高效性的方法是白帽实时运营监测模式，因为0day或系统很多漏洞很可能超出原始软硬件开发者的能力范围，专业的白帽团队实时监测流量和网络包变化，基于经验判断风险，关停服务或增加服务器应对DDoS攻击，目前是最有效也是网络安全的最高防护级别

但以上3种方式都存在很大问题。首先防火墙设置繁琐，稍有遗漏就会造成攻击漏洞，甚至防火墙本身就会引起黑客的兴趣，因为可能保护的数据资源重大；其次权限破解类的防范需要较高水平的设计模型，解耦后软件模块协作难度加大，容易出现授权混乱甚至权限死循环状态，而且万一被攻破最高权限账户一样存在崩溃风险；第3，白帽人工监测主要受限于人员水平，如果不是精通网络攻防的人很难从流量和网络数据包中判断异动，而且，人工需要精力集中，而且互联网信息服务一般都是24小时如果是全球服务，就没有闲忙时段区分，而无论3班倒还是其他方式，都会增加人员压力和提高用工成本。

发明内容

鉴于上述的分析，本发明实施例旨在提供一种分布式网络信息发布系统的主动网络安全防御方法和系统，用以解决现有网络安全防御方法难度大实施困难、效率低、成本高的问题。

一方面，本发明实施例提供了一种分布式网络信息发布系统的主动网络安全防御方法，包括以下步骤：

在分布式网络信息发布系统中设置诱饵机器；

在诱饵机器可访问的内网机器的访问端口处设置监听器，监听器监听来自诱饵机器的嗅探包，根据嗅探包进行IP溯源得到疑似黑客IP，构建疑似黑客IP的特征向量；

基于疑似黑客IP特征向量计算疑似黑客IP的危险度；

根据疑似黑客IP的危险度对疑似黑客IP进行主动攻击。

基于上述技术方案的进一步改进，根据嗅探包进行IP溯源得到疑似黑客IP，构建疑似黑客IP的特征向量，包括：

采用单播反向路由查找技术得到每个嗅探包的嗅探源IP，记录每个嗅探包的嗅探源IP、网络流量和协议版本；所述嗅探源IP为疑似黑客IP；

每个疑似黑客IP的累计网络流量、累计协议版本数量和累计嗅探次数，构成每个疑似黑客IP的特征向量。

基于上述技术方案的进一步改进，根据疑似黑客IP的危险度对疑似黑客IP进行主动攻击，包括：

根据每个疑似黑客IP的危险度计算每个疑似黑客IP的攻击频率；

根据每个疑似黑客IP的攻击频率对该疑似黑客IP进行主动攻击。

基于上述技术方案的进一步改进，采用以下公式计算每个疑似黑客IP的危险度：

其中，R_i表示第i个疑似黑客IP的危险度，W_i表示第i个疑似黑客IP的危险权重，B_i表示第i个疑似黑客IP到监听器所在内网机器的路由节点数，X_ij表示第i个疑似黑客IP的特征向量的第j个元素，m表示特征向量的元素数量。

基于上述技术方案的进一步改进，采用以下公式计算疑似黑客IP的危险权重：

其中，T_current表示当前时间，Tlast_i表示第i个疑似黑客IP最后一次嗅探的时间，ATT_i表示第i个疑似黑客IP的累计嗅探次数。

基于上述技术方案的进一步改进，采用以下公式计算每个疑似黑客IP的攻击频率：

其中，R_i表示第i个疑似黑客IP的危险度，T_current表示当前时间，T_start网络信息发布时间，W_news表示发布信息的影响时效，Mod(·)表示取整。

基于上述技术方案的进一步改进，采用以下公式计算发布信息的影响时效：

根据W_news＝a*P计算发布信息的影响时效，其中，a表示信息基本影响时间；

其中，

其中，L表示发布信息的特征向量，W表示特征权重，P表示发布信息的重要性。

另一方面，本发明实施例提供了一种分布式网络信息发布系统的主动网络安全防御系统，包括：

诱饵机器，所述诱饵机器设置在分布式网络信息发布系统中；

监听器模块，设置在诱饵机器可访问的内网机器的访问端口处，用于监听来自诱饵机器的嗅探包，根据嗅探包进行IP溯源得到疑似黑客IP，构建疑似黑客IP的特征向量；

危险度计算模块，用于基于疑似黑客IP特征向量计算疑似黑客IP的危险度；

主动攻击模块，用于根据疑似黑客IP的危险度对疑似黑客IP进行主动攻击。

基于上述技术方案的进一步改进，所述监听器模块采用以下方式根据嗅探包进行IP溯源得到疑似黑客IP，构建疑似黑客IP的特征向量：

采用单播反向路由查找技术得到每个嗅探包的嗅探源IP，记录每个嗅探包的嗅探源IP、网络流量和协议版本；所述嗅探源IP为疑似黑客IP；

每个疑似黑客IP的累计网络流量、累计协议版本数量和累计嗅探次数，构成每个疑似黑客IP的特征向量。

基于上述技术方案的进一步改进，所述主动攻击模块根据疑似黑客IP的危险度对疑似黑客IP进行主动攻击，包括：

根据每个疑似黑客IP的危险度计算每个疑似黑客IP的攻击频率；

根据每个疑似黑客IP的攻击频率对该疑似黑客IP进行主动攻击。

与现有技术相比，本发明通过在分布式网络信息发布系统中设置诱饵机器，诱使黑客进行嗅探，通过获取并分析嗅探数据包从而找出疑似黑客IP，在黑客全面攻击前对其进行主动攻击，在一定时间内封锁攻击方的行动能力，从而提前进行防御，进而提高了分布式信息发布系统的预防能力，高效快捷的进行安全预防，方法简单，便于实施，并且降低了人工成本。

本发明中，上述各技术方案之间还可以相互组合，以实现更多的优选组合方案。本发明的其他特征和优点将在随后的说明书中阐述，并且，部分优点可从说明书中变得显而易见，或者通过实施本发明而了解。本发明的目的和其他优点可通过说明书以及附图中所特别指出的内容中来实现和获得。

附图说明

附图仅用于示出具体实施例的目的，而并不认为是对本发明的限制，在整个附图中，相同的参考符号表示相同的部件。

图1为本发明实施例分布式网络信息发布系统的主动网络安全防御方法的流程图；

图2为本发明实施例分布式网络信息发布系统的主动网络安全防御系统的框图。

具体实施方式

下面结合附图来具体描述本发明的优选实施例，其中，附图构成本申请一部分，并与本发明的实施例一起用于阐释本发明的原理，并非用于限定本发明的范围。

分布式网络信息发布系统的主动网络安全防御的设计目标是尽可能少的资源取得最大的防御效果。基于此，我们调研了黑客攻击的一般流程，可以总结如下

1、如果是公开网址网站，收集dns的ip列表

2、对每个ip进行简单的权限密码测试

3、如果权限密码复杂、安全防火墙到位无法联通，则购买操作系统或其他中间件的oday漏洞进行溢出攻击

4、如果能获取账号，尝试升级账号到最高权限

5、获取该机器上所有数据信息

6、通过该机器进入分布式系统其他机器，因为内网具有更高链接权限

7、在指定时间点进行全面攻击，瘫痪主机或篡改数据进行勒索

所以，根据以上黑客攻击流程，对于完全无法防范的软硬件0day漏洞显然无法进行自动防御。但oday漏洞除了开发者本身之外的发现者也都是更高级别的计算机用户，国际0day漏洞的出售价格一向高昂，对于以获利为主的黑客来说，0day攻击不是优先选择。

那么，尽量在黑客发动全面攻击前洞察并且降低黑客的攻击级别才是本发明所考虑的方式。

基于此，本发明的一个具体实施例，公开了一种分布式网络信息发布系统的主动网络安全防御方法，如图1所示，包括以下步骤：

S1、在分布式网络信息发布系统中设置诱饵机器；

S2、在诱饵机器可访问的内网机器的访问端口处设置监听器，监听器监听来自诱饵机器的嗅探包；根据嗅探包进行IP溯源得到疑似黑客IP，构建疑似黑客IP的特征向量；

S3、基于疑似黑客IP特征向量计算疑似黑客IP的危险度；

S4、根据疑似黑客IP的危险度对疑似黑客IP进行主动攻击。

通过在分布式网络信息发布系统中设置诱饵机器，诱使黑客进行嗅探，通过获取并分析嗅探数据包从而找出疑似黑客IP，在黑客全面攻击前对其进行主动攻击，在一定时间内封锁攻击方的行动能力，从而提前进行防御，进而提高了分布式信息发布系统的预防能力，高效快捷的进行安全预防，方法简单，便于实施，并且降低了人工成本。

实施时，诱饵要足够逼真，因此诱饵机器必须保有同样的发布静态数据(即无数据库常见网站数据)比如html数据和公开访问接口比如http的80端口，在刷新时或通过ip直连时与其他受保护网站相同。

为了确保系统安全性，诱饵机器要足够隔离。实施时，诱饵机器保有发布数据的方式只有2种，物理隔离的硬拷贝或者单向从其他服务拉取数据。实施时，拉取数据只能通过自定义通信协议实现，自定义通信协议可在tcp协议基础上实现，通信协作中包括通信双方的IP地址和通信方向，协议限制发起数据通信方向只能由诱饵机器发起，通信数据限制在服务器的固定独立静态文件夹中，从而只能从服务器的固定位置拉取数据，不会被入侵的黑客攻击。

实施时，诱饵机器要广而告知。诱饵机器的ip需要设置在发布门户地址的所有dns列表的首位，同步到所有可见的dns服务器上。

实施时，为了安全性，诱饵机器上不保存任何其他数据。实施时，诱饵机器所有账户密码采用满足条件的弱密码。

按照目前文献和网络安全攻防案例，黑客进入一个具有内网地址的机器后都会主动嗅探内网所有机器，这也成为标准的攻击步骤。为了锁定疑似黑客IP，在诱饵机器可访问的内网机器的访问端口处设置监听器，例如，在内网机器的标准网络协议接口处，如tcp的21端口和http的80端口处均设置端口监听器，接到诱饵机器的访问信号作为触发。

具体的，监听器监听来自诱饵机器的嗅探包，不回应来自诱饵机器的任何请求，根据嗅探包进行IP溯源得到疑似黑客IP，构建疑似黑客IP的特征向量。具体包括：

S21、采用单播反向路由查找技术得到每个嗅探包的嗅探源IP，记录每个嗅探包的嗅探源IP、网络流量和协议版本；所述嗅探源IP为疑似黑客IP；

S22、每个疑似黑客IP的累计网络流量、累计协议版本数量和累计嗅探次数，构成每个疑似黑客IP的特征向量。

实施时，可采用wireshark监听嗅探数据包，采用单播反向路由查找技术进行溯源，获取嗅探包的源IP(即嗅探包的嗅探源IP)、数据包协议名称和版本、以及数据包的大小，数据包大小即网络流量。

实施时，若当前嗅探包的协议与历史嗅探包的协议均不同，或协议相同但版本不同，则累计协议版本数量加一。

网络协议是分层的，不同的协议意味着权限的不同，黑客采用的协议种类越多说明其危险性更大。数据包大小也反应黑客攻击的意愿和潜在能力，数据包越大，数据包潜在的攻击能力越强。嗅探次数越多也意味着意愿越强烈，因此，实施时，采用嗅探源IP的累计网络流量、累计协议版本数量和累计访问次数作为嗅探源IP的特征向量，即疑似黑客IP的特征向量。

需要说明的是，疑似黑客IP的特征向量的元素为归一化后的数据。例如，对于累计网络流量这个维度来说，首先计算所有疑似黑客IP的累计网络流量的均值和方差，根据公式

计算每个疑似黑客IP归一化后的累计网络流量x_i，其中，x_mean表示所有疑似黑客IP的累计网络流量的均值，x_std表示所有疑似黑客IP的累计网络流量的方差。

具体的，步骤S3中采用以下公式计算每个疑似黑客IP的危险度：

其中，R_i表示第i个疑似黑客IP的危险度，W_i表示第i个疑似黑客IP的危险权重，B_i表示第i个疑似黑客IP到监听器所在内网机器的路由节点数，X_ij表示第i个疑似黑客IP的特征向量的第j个元素，m表示特征向量的元素数量。

路由节点与发布系统服务器的路由节点更近，则其危险度越大，因此，采用将疑似黑客IP到监听器所在内网机器的路由节点数的倒数加入疑似黑客IP的危险度计算中，从而进一步更准确的计算每个疑似黑客IP的危险度，从而便于后续根据危险度进行主动防御攻击，进而提高信息发布系统的安全性。

具体的，采用以下公式计算疑似黑客IP的危险权重：

其中，T_current表示当前时间，Tlast_i表示第i个疑似黑客IP最后一次嗅探的时间，ATT_i表示第i个疑似黑客IP的累计嗅探次数。

上次攻击的时间越近，说明黑客服务器热机状态，越热说明配置现成攻击性越高。因此采用上述公式计算疑似黑客IP的危险权重。

计算每个疑似黑客IP的危险度后，根据疑似黑客IP的危险度对疑似黑客IP进行主动攻击，具体的，步骤S4包括：

S41、根据每个疑似黑客IP的危险度计算每个疑似黑客IP的攻击频率；

S42、根据每个疑似黑客IP的攻击频率对该疑似黑客IP进行主动攻击。

具体的，步骤S41中采用以下公式计算每个疑似黑客IP的攻击频率：

其中，R_i表示第i个疑似黑客IP的危险度，T_current表示当前时间，T_start网络信息发布时间，W_news表示发布信息的影响时效，Mod(·)表示取整。

信息是具有时效性的，一般来说，越新颖、越及时的信息，其价值越高，信息的价值会随着时间的推移而降低。因此，距离信息发布时间越近，攻击频率越高，距离信息发布时间越远，攻击频率越低。

具体的，采用以下公式计算发布信息的影响时效：

根据W_news＝a*P计算发布信息的影响时效，其中，a表示信息基本影响时间，P表示发布信息的重要性。

不同类型的信息，其基本影响时间可能不同，例如，新闻信息通常可设置为48小时，政府通告信息可为720小时。

具体的，根据以下公式计算发布信息的重要性：

其中，L表示发布信息的特征向量，W表示特征权重。

实施时，公开信息的特征向量L可由预期访问量、预期单位时间网络流量、公开信息长度和公开信息类型构成。

预期访问量、预期单位时间网络流量可根据历史同类型信息的平均访问量、平均单位时间网络流量得到。

公开信息类型为公开信息的重要等级，越重要等级越高，例如重要等级总共分为6级，则第6级的信息重要性更高。

实施时，特征权重W的元素与发布信息的特征向量的元素一一对应，其值可根据历史所有发布信息得到。例如，对于访问量特征，计算信息发布系统历史发布信息的访问量均值和方差，方差除以均值得到特征权重W中访问量维度的权重。

计算每个疑似黑客IP的攻击频率后，根据每个疑似黑客IP的攻击频率对该疑似黑客IP进行主动攻击。

由于黑客在入侵系统的其自身的端口也处于标准协议的连接状态，因此，可对其进行主动攻击，实施时根据标准协议加端口进行轮训DDos攻击。攻击顺序可按照疑似黑客IP的危险度从大到小的顺序。根据疑似黑客IP的危险度对疑似黑客IP进行主动攻击。

需要说明的是，计算得到的攻击频率为理论攻击频率，实施时，不是必须严格按照此频率进行后续的主动攻击，可按照此频率进行攻击，也可以该理论攻击频率作为依据计算出实际攻击频率。

例如，攻击机群的总体攻击能力为θ，则对每个疑似黑客IP的实际攻击频率可根据公式

计算得到，其中，F_i表示第i个疑似黑客IP的理论攻击频率，

表示第i个疑似黑客IP的实际攻击频率。

实施时，设置停止攻击阈值，若某个疑似黑客IP的实际攻击频率小于攻击阈值，则停止对该疑似黑客IP进行攻击。

本发明的一个具体实施例，公开了一种分布式网络信息发布系统的主动网络安全防御系统，如图2所示，包括：

诱饵机器，所述诱饵机器设置在分布式网络信息发布系统中；

监听器模块，设置在诱饵机器可访问的内网机器的访问端口处，用于监听来自诱饵机器的嗅探包，根据嗅探包进行IP溯源得到疑似黑客IP，构建疑似黑客IP的特征向量；

危险度计算模块，用于基于疑似黑客IP特征向量计算疑似黑客IP的危险度；

主动攻击模块，用于根据疑似黑客IP的危险度对疑似黑客IP进行主动攻击。

优选的，所述监听器模块采用以下方式根据嗅探包进行IP溯源得到疑似黑客IP，构建疑似黑客IP的特征向量：

采用单播反向路由查找技术得到每个嗅探包的嗅探源IP，记录每个嗅探包的嗅探源IP、网络流量和协议版本；所述嗅探源IP为疑似黑客IP；

每个疑似黑客IP的累计网络流量、累计协议版本数量和累计嗅探次数，构成每个疑似黑客IP的特征向量。

优选的，所述主动攻击模块根据疑似黑客IP的危险度对疑似黑客IP进行主动攻击，包括：

根据每个疑似黑客IP的危险度计算每个疑似黑客IP的攻击频率；

根据每个疑似黑客IP的攻击频率对该疑似黑客IP进行主动攻击。

上述方法实施例和系统实施例，基于相同的原理，其相关之处可相互借鉴，且能达到相同的技术效果。具体实施过程参见前述实施例，此处不再赘述。

本领域技术人员可以理解，实现上述实施例方法的全部或部分流程，可以通过计算机程序来指令相关的硬件来完成，所述的程序可存储于计算机可读存储介质中。其中，所述计算机可读存储介质为磁盘、光盘、只读存储记忆体或随机存储记忆体等。

以上所述，仅为本发明较佳的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，可轻易想到的变化或替换，都应涵盖在本发明的保护范围之内。

Claims (10)

1.分布式网络信息发布系统的主动网络安全防御方法，其特征在于，包括以下步骤：

在分布式网络信息发布系统中设置诱饵机器；

在诱饵机器可访问的内网机器的访问端口处设置监听器，监听器监听来自诱饵机器的嗅探包，根据嗅探包进行IP溯源得到疑似黑客IP，构建疑似黑客IP的特征向量；

基于疑似黑客IP特征向量计算疑似黑客IP的危险度；

根据疑似黑客IP的危险度对疑似黑客IP进行主动攻击。

2.根据权利要求1所述分布式网络信息发布系统的主动网络安全防御方法，其特征在于，根据嗅探包进行IP溯源得到疑似黑客IP，构建疑似黑客IP的特征向量，包括：

采用单播反向路由查找技术得到每个嗅探包的嗅探源IP，记录每个嗅探包的嗅探源IP、网络流量和协议版本；所述嗅探源IP为疑似黑客IP；

每个疑似黑客IP的累计网络流量、累计协议版本数量和累计嗅探次数，构成每个疑似黑客IP的特征向量。

3.根据权利要求1所述的分布式网络信息发布系统的主动网络安全防御方法，其特征在于，根据疑似黑客IP的危险度对疑似黑客IP进行主动攻击，包括：

根据每个疑似黑客IP的危险度计算每个疑似黑客IP的攻击频率；

根据每个疑似黑客IP的攻击频率对该疑似黑客IP进行主动攻击。

4.根据权利要求1所述的分布式网络信息发布系统的主动网络安全防御方法，其特征在于，采用以下公式计算每个疑似黑客IP的危险度：

其中，R_i表示第i个疑似黑客IP的危险度，W_i表示第i个疑似黑客IP的危险权重，B_i表示第i个疑似黑客IP到监听器所在内网机器的路由节点数，X_ij表示第i个疑似黑客IP的特征向量的第j个元素，m表示特征向量的元素数量。

5.根据权利要求4所述的分布式网络信息发布系统的主动网络安全防御方法，其特征在于，采用以下公式计算疑似黑客IP的危险权重：

其中，T_current表示当前时间，Tlast_i表示第i个疑似黑客IP最后一次嗅探的时间，ATT_i表示第i个疑似黑客IP的累计嗅探次数。

6.根据权利要求3所述的分布式网络信息发布系统的主动网络安全防御方法，其特征在于，采用以下公式计算每个疑似黑客IP的攻击频率：

其中，R_i表示第i个疑似黑客IP的危险度，T_current表示当前时间，T_start网络信息发布时间，W_news表示发布信息的影响时效，Mod(·)表示取整。

7.根据权利要求6所述的分布式网络信息发布系统的主动网络安全防御方法，其特征在于，采用以下公式计算发布信息的影响时效：

根据W_news＝a*P计算发布信息的影响时效，其中，a表示信息基本影响时间；

其中，

其中，L表示发布信息的特征向量，W表示特征权重，P表示发布信息的重要性。

8.分布式网络信息发布系统的主动网络安全防御系统，其特征在于，包括：

诱饵机器，所述诱饵机器设置在分布式网络信息发布系统中；

监听器模块，设置在诱饵机器可访问的内网机器的访问端口处，用于监听来自诱饵机器的嗅探包，根据嗅探包进行IP溯源得到疑似黑客IP，构建疑似黑客IP的特征向量；

危险度计算模块，用于基于疑似黑客IP特征向量计算疑似黑客IP的危险度；

主动攻击模块，用于根据疑似黑客IP的危险度对疑似黑客IP进行主动攻击。

9.根据权利要求8所述分布式网络信息发布系统的主动网络安全防御系统，其特征在于，所述监听器模块采用以下方式根据嗅探包进行IP溯源得到疑似黑客IP，构建疑似黑客IP的特征向量：

采用单播反向路由查找技术得到每个嗅探包的嗅探源IP，记录每个嗅探包的嗅探源IP、网络流量和协议版本；所述嗅探源IP为疑似黑客IP；

每个疑似黑客IP的累计网络流量、累计协议版本数量和累计嗅探次数，构成每个疑似黑客IP的特征向量。

10.根据权利要求8所述的分布式网络信息发布系统的主动网络安全防御系统，其特征在于，所述主动攻击模块根据疑似黑客IP的危险度对疑似黑客IP进行主动攻击，包括：

根据每个疑似黑客IP的危险度计算每个疑似黑客IP的攻击频率；

根据每个疑似黑客IP的攻击频率对该疑似黑客IP进行主动攻击。

Images