CN1322712C - 一种实现诱骗网络数据流重定向的方法 - Google Patents
一种实现诱骗网络数据流重定向的方法 Download PDFInfo
- Publication number
- CN1322712C CN1322712C CNB2004100448739A CN200410044873A CN1322712C CN 1322712 C CN1322712 C CN 1322712C CN B2004100448739 A CNB2004100448739 A CN B2004100448739A CN 200410044873 A CN200410044873 A CN 200410044873A CN 1322712 C CN1322712 C CN 1322712C
- Authority
- CN
- China
- Prior art keywords
- network
- datagram
- lan
- address
- suspicious
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
Abstract
本发明涉及一种实现诱骗网络数据流重定向的方法,它对进入网络的所有数据进行重定向处理,如果数据报来自Internet,查其源地址是否在可疑IP列表中,若在可疑IP列表中,将其目的MAC地址替换为诱骗网络对应主机的MAC地址,再发往诱骗网络。若不在可疑IP列表中,按防火墙检测规则或入侵检测系统的检测规则进行检测,如果检测规则不匹配,表明该数据报是正常的,则发往要保护的网络;如果规则匹配,则表明该数据报是可疑的,把其源地址加入可疑IP列表,然后发往诱骗网络。如果数据报来自局域网LAN,直接从Internet接口发送出去。如果数据报来自Honeypot,将其源MAC地址替换为局域网LAN中对应主机的MAC地址后,再从Internet接口发送出去。
Description
技术领域
本发明涉及一种保护网络的方法,特别是一种实现诱骗网络数据流重定向的方法。
背景技术
近几年来互联网以及通信网在全球范围内得到了迅猛的的发展,它对人类社会的生活方式产生了极大的影响和改变,而随之而来的网络信息安全问题就显得越来越重要。网络黑客、病毒、信息窃取和干扰等手段的出现,使网络的安全面临严重的挑衅。全球每年都为之付出巨大的代价,高达数亿美元之多,如银行帐户系统被侵入、病毒发作、军事网络干扰等。
传统的网络安全技术主要有防火墙技术和入侵检测系统。防火墙的主要功能是防止非法入侵者进入网络,使被怀疑的用户不能进入相应的网络,在某种程度上保护了网络的安全。但人们又面临新的问题:1)由于防火墙技术和入侵检测系统等将可疑者拒之门外,使攻击者不能得手,这将使攻击者不断谋求新的技术手段进行进攻,增加了网络安全防护的难度和不可测性。2)由于可疑者被拒,就无法知道其真正意图,想破坏哪些数据,或想得到哪些数据,这些信息在军事上可以使我们了解敌人的意图,以采取相应的措施。在民用上可以使我们了解攻击者的手段和方法,如了解病毒衍生的过程,从而进行有效防卫。3)由于可疑者被拒,系统没有被入侵者进入,没有无法知道系统的漏洞在哪里?由此而产生了“诱骗网络”(honeypot)技术,使网络的防御在一定程度上由被动转为主动。
传统的诱骗网络如图1所示,LAN表示要保护的局域网。从因特网(Internet)来的可疑入侵者可以进入诱骗网络,也可以进入局域网。这种情况下诱骗网络是一种某种意义上的愿者上钩的模式,它被动的等待黑客的侵入,然后记录其一举一动,这种模式下的诱骗网络大部分时间都是无所事事,从而起不到协助保护局域网的作用。
发明内容
本发明的目的就是为了弥补传统诱骗网络的不足,提出一种可使被动的诱骗网络变成主动引诱网络的实现诱骗网络数据流重定向的方法。
本发明的技术解决方案:
一种实现诱骗网络数据流重定向的方法,其特征在于它是对进入网络的所有数据进行重定向处理,其规则如下:
1、如果数据报来自Internet,查其源地址是否在可疑IP列表中,具体做法是:
a)如果是在可疑IP列表中,将数据报目的MAC地址替换为诱骗网络对应主机的MAC地址,再发往诱骗网络;
b)如果不是在可疑IP列表中,按防火墙检测规则或入侵检测系统的检测规则进行检测,具体检测方法为:
I)如果规则不匹配,表明该数据报是正常的,则发往要保护的网络;
II)如果规则匹配,则表明该数据报是可疑的,把数据报源地址加入可疑IP列表,然后发往诱骗网络;
2、如果数据报来自局域网LAN,直接从Internet接口发送出去;
3、如果数据报来自Honeypot,将其源MAC地址通过诱骗网络与局域网LAN中主机的MAC地址与IP地址对应表替换为局域网LAN中对应主机的MAC地址后,再从Internet接口发送出去。
本发明方法的优点是:1)使被动的诱骗网络变成主动引诱网络,任何可疑的用户都将被引入诱骗网络。2)由于可疑的用户被引入诱骗网络起到了保护局域网的目的。3)在诱骗网络中提供与实际网络相同的环境,包括FTP、HTTP、E-MAIL等业务,使入侵者没有感觉到被诱骗到诱骗网络。4)由于本发明方法是在计算机网络的第二层处理,即数据链路层处理,处理速度快,因为调用的都是系统最底层的函数,对LAN、Honeypot和Internet均是透明的,不易被可疑入侵者发现,且通过Mac地址转换,可达到充分伪装的目的。5)通过诱骗网络,可以观测入侵者的意图和手段,如想破坏哪些数据,或想得到哪些数据,以及病毒衍生的过程等等,为网络的安全提供新的手段。
附图说明
图1是传统的实现诱骗网络的原理图。
图2是本发明的带有重定向机制的实现诱骗网络的原理图。
图3是实现本发明诱骗网络的系统示意图。
图4是实现本发明诱骗网络的系统算法流程图。
图5是图4中的HanleOutP函数算法流程图。
图6是图4中的HanleSusP函数算法流程图。
具体实施方式
本发明方法提出了一种新的思路,即在诱骗网络(honeypot)之前增加一个重定向机制,来自Internet的用户将首先被进行过虑,正常的流量将导入局域网LAN,而将可疑的流量导入诱骗网络(如图2所示)。
本发明的实现诱骗网络数据流重定向的方法是对进入网络的所有数据进行重定向处理,其规则如下:
1、如果数据报来自Internet,查其源地址是否在可疑IP(InternetProtocol)列表中(该列表由用户自己建立,用于记载可疑IP地址),具体做法是:
a)如果是在可疑IP列表中,将其目的MAC(Media Access Control)地址替换为诱骗网络(Honeypot)对应主机的MAC地址,再发往诱骗网络。
b)如果不是在可疑IP列表中,按防火墙检测规则或入侵检测系统的检测规则进行检测,具体检测方法为:
I)如果规则不匹配,说明该数据报是正常的,则发往要保护的网络(如局域网LAN)。
II)如果规则匹配,则说明该数据报是可疑的,把其源地址加入可疑IP列表,然后发往Honeypot。
2、如果数据报来自局域网LAN,直接从Internet接口发送出去。
3、如果数据报来自Honeypot,将其源MAC地址通过诱骗网络与局域网LAN中主机的MAC地址与IP地址对应表(该对应表用来记录诱骗网络和局域网LAN的IP地址与MAC地址的对应关系)替换为局域网LAN中对应主机的MAC地址后,再从Internet接口发送出去。
在本发明对网络数据流进行重定向后,就可以方便地对进入诱骗网络的数据报行为进行观察,了解入侵者的意图,分析入侵者的行为,发现网络的漏洞,寻找保护方法。
本发明方法中,需要维护两项重要的数据,一项为可疑IP列表,另一项为诱骗网络与局域网LAN中主机的MAC地址与IP地址对应表。同时对来自局域网的数据也可以进行类似于来自Internet的数据检测方法,以增强对来自局域网的入侵者的防范。
上述维护可疑IP列表的方法是:
1)建立一个初始为空的可疑IP列表。
2)每当检测模块检测到一个可疑的数据报,便记录其源IP地址,同时打上时间戳,以标识当时的时间。
3)当列表中可疑的IP地址时间戳到期,则将其IP从列表中删除。
上述维护MAC与IP地址对应表的方法是:
1)每当在该对应表中没有查到需要的诱骗网络或局域网LAN中主机的MAC地址时,则向诱骗网络或局域网LAN中发送ARP请求(arp request)数据报。
2)根据计算机网络中的ARP协议,对来自诱骗网络和局域网LAN的数据报进行检测,判断其是否为ARP应答(arp repley)数据报;
3)如果是则取出发送者MAC地址和IP地址,存入MAC与IP地址对应表。
实施例
本发明系统如图3所示。它由普通PC机A1-A4构成,其中PC机A1模仿INTERNET数据源,设定其IP地址为10.10.139.10、MAC地址为00:05:5d:e7:70:94。PC机A3为诱骗网络,设定其IP地址为192.186.1.1、MAC地址为00:05:5d:e8:52:75(诱骗网络可以由普通的PC机安装操作系统构成,也可以在此基础上,再通过编程模仿一个局域网对用户提供服务,并捕捉用户的行为,进行分析统计等处理)。被保护网络为PC机A4(它可以是一台,也可以是多台PC机构成的局域网),设定其IP地址为192.186.1.1,MAC地址为00:e0:4c:89:eb:a0。系统的算法可通过图4的流程图实现,该流程图中的HanleOutP函数对发往Internet的包做一些MAC地址的处理工作,主要是偷换源MAC地址和维护IP地址与MAC地址的对应表,该表的每个表项包括一个IP地址和对应的两个MAC地址:诱骗网络的主机MAC地址(HoneyMac)和局域网中主机MAC地址(ProdMac)。HanleOutP函数的算法流程图见图5。
图4中的HanleSusP函数主要将可疑数据报的目的MAC地址改为HoneyMac,其算法流程图见图6。
本发明的发明点就在于在它们之间设置了重定向模块(Redirectmodule),它由PC机A2构成,它有三个网络接口,分别为eth0、eth1和eth2,并分别与PC机A1、A3和A4相连。
本发明方法的具体工作过程如下:
1、如果数据来自INTERNET,即PC机A1,则通过eth0接口进入重定向模块,重定向模块检查其源地址是否在可疑IP列表中,检查处理方法如下:
a)如果是在可疑IP列表中,将其目的MAC地址替换为诱骗网络(Honeypot)对应主机的MAC地址00:05:5d:e8:52:75,通过网络接口eth1发往诱骗网络,即PC机A3。
b)如果不是在可疑IP列表中,按入侵检测系统(如开放源代码入侵检测系统SNORT)的检测规则进行检测(对于商用入侵检测系统或防火墙只需开发商提供其开发接口即可)。检测方法为:
I)如果检测规则不匹配,则说明该数据报是正常的,通过网络接口eth2发往要保护的网络,即PC机A4。
II)如果规则匹配,则说明该数据报是可疑的,把其源IP地址加入可疑IP列表,并打上时间戳,将其目的MAC地址替换为诱骗网络(Honeypot)对应主机的MAC地址00:05:5d:e8:52:75,然后通过网络接口eth1发往Honeypot,即PC机A3。
2、如果数据报来自保护的网络,即PC机A4,则可直接从Internet接口,即接口eth0发送出去。
3、如果数据报来自Honeypot,即PC机A3,将其源MAC地址替换要保护的网络中对应主机的MAC地址,即PC机A4的MAC地址00:e0:4c:89:eb:a0,再从Internet接口发送出去。
对进入诱骗网络(即PC机A3)的数据报行为进行观察,可以通过系统日志等手段查看入侵者的行为,从而了解入侵者的意图,分析入侵者的行为,发现网络的漏洞,寻找保护网络的方法。
Claims (3)
1、一种实现诱骗网络数据流重定向的方法,其特征在于它是对进入网络的所有数据进行重定向处理,其规则如下:
1)、如果数据报来自Internet,查其源地址是否在可疑IP列表中,
具体做法是:
a)如果是在可疑IP列表中,将数据报目的MAC地址替换为诱骗网络对应主机的MAC地址,再发往诱骗网络;
b)如果不是在可疑IP列表中,按防火墙检测规则或入侵检测系统的检测规则进行检测,具体检测方法为:
I)如果规则不匹配,表明该数据报是正常的,则发往要保护的网络;
II)如果规则匹配,则表明该数据报是可疑的,把数据报源地址加入可疑IP列表,然后发往诱骗网络;
2)、如果数据报来自局域网LAN,直接从Internet接口发送出去;
3)、如果数据报来自Honeypot,将其源MAC地址通过诱骗网络与局域网LAN中主机的MAC地址与IP地址对应表替换为局域网LAN中对应主机的MAC地址后,再从Internet接口发送出去。
2、按权利要求1所述的一种实现诱骗网络数据流重定向的方法,其特征在于所述可疑IP列表的维护方法是:
1)建立一个初始为空的可疑IP列表;
2)每当检测模块检测到一个可疑的数据报,便记录其源IP地址,同时打上时间戳,以标识当时的时间;
3)当列表中可疑的IP地址时间戳到期,则将其IP从列表中删除。
3、按权利要求1所述的一种实现诱骗网络数据流重定向的方法,其特征在于所述诱骗网络与局域网LAN中主机的MAC地址与IP地址对应表的维护方法是:
1)每当在该对应表中没有查到需要的诱骗网络或局域网LAN中主机的MAC地址时,则向诱骗网络或局域网LAN中发送arp request数据报;
2)根据计算机网络中的ARP协议,对来自诱骗网络和局域网LAN的数据报进行检测,判断其是否为arp repley数据报;
3)如果是则取出发送者MAC地址和IP地址,存入MAC与IP地址对应表。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNB2004100448739A CN1322712C (zh) | 2004-05-28 | 2004-05-28 | 一种实现诱骗网络数据流重定向的方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNB2004100448739A CN1322712C (zh) | 2004-05-28 | 2004-05-28 | 一种实现诱骗网络数据流重定向的方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN1585346A CN1585346A (zh) | 2005-02-23 |
| CN1322712C true CN1322712C (zh) | 2007-06-20 |
Family
ID=34601792
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNB2004100448739A Expired - Fee Related CN1322712C (zh) | 2004-05-28 | 2004-05-28 | 一种实现诱骗网络数据流重定向的方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN1322712C (zh) |
Families Citing this family (16)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN100450080C (zh) * | 2005-05-17 | 2009-01-07 | 华为技术有限公司 | 收敛二层mac地址的方法及设备 |
| JP4546402B2 (ja) * | 2006-01-23 | 2010-09-15 | Necディスプレイソリューションズ株式会社 | 装置制御システムおよび装置制御方法 |
| US8219679B2 (en) * | 2006-02-28 | 2012-07-10 | International Business Machines Corporation | Detection and control of peer-to-peer communication |
| CN101076013B (zh) * | 2006-05-19 | 2012-08-22 | 上海三零卫士信息安全有限公司 | 一种网络数据智能漂移引导系统及其数据漂移引导方法 |
| CN101087196B (zh) * | 2006-12-27 | 2011-01-26 | 北京大学 | 多层次蜜网数据传输方法及系统 |
| CN101325495B (zh) * | 2008-07-10 | 2012-02-01 | 成都市华为赛门铁克科技有限公司 | 一种应用于检测黑客服务器的检测方法、装置及系统 |
| US8925080B2 (en) * | 2011-12-20 | 2014-12-30 | Sap Se | Deception-based network security using false positive responses to unauthorized access requests |
| CN103051605B (zh) * | 2012-11-21 | 2016-06-29 | 国家计算机网络与信息安全管理中心 | 一种数据包处理方法、装置和系统 |
| CN103905373B (zh) * | 2012-12-24 | 2018-02-16 | 珠海市君天电子科技有限公司 | 一种基于云端的拦截网络攻击的方法及其装置 |
| CN103368972A (zh) * | 2013-07-26 | 2013-10-23 | 国家计算机网络与信息安全管理中心 | 基于诱导分析的高级网络攻击检测分析方法及其系统 |
| CN104917729A (zh) * | 2014-03-12 | 2015-09-16 | 国基电子(上海)有限公司 | 网络设备及其防止地址解析协议报文攻击的方法 |
| CN104883410B (zh) * | 2015-05-21 | 2018-03-02 | 上海沪景信息科技有限公司 | 一种网络传输方法和网络传输装置 |
| CN105978916A (zh) * | 2016-07-19 | 2016-09-28 | 北京工业大学 | 一种sdn网络的安全审计系统 |
| CN107332823A (zh) * | 2017-06-06 | 2017-11-07 | 北京明朝万达科技股份有限公司 | 一种基于机器学习的服务器伪装方法和系统 |
| CN109996201B (zh) * | 2018-01-02 | 2021-01-15 | 中国移动通信有限公司研究院 | 一种网络访问方法及网络设备 |
| CN109962912A (zh) * | 2019-03-06 | 2019-07-02 | 中国信息安全测评中心 | 一种基于蜜罐流量引流的防御方法及系统 |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6654882B1 (en) * | 2002-05-24 | 2003-11-25 | Rackspace, Ltd | Network security system protecting against disclosure of information to unauthorized agents |
-
2004
- 2004-05-28 CN CNB2004100448739A patent/CN1322712C/zh not_active Expired - Fee Related
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6654882B1 (en) * | 2002-05-24 | 2003-11-25 | Rackspace, Ltd | Network security system protecting against disclosure of information to unauthorized agents |
Non-Patent Citations (5)
| Title |
|---|
| ARP协议中安全性的研究 陈宜冬,哈尔滨理工大学学报,第8卷第3期 2003 * |
| ARP协议中安全性的研究 陈宜冬,哈尔滨理工大学学报,第8卷第3期 2003;防Dos攻击算法的分析和实现 吉文华,于慧敏,计算机应用,第23卷第6期 2003;入侵诱骗模型的研究与建立 夏春和,吴震,赵勇,王海泉,计算机应用研究,第4期 2002;网络入侵检测与对抗的技术及实现 翟健宏,计算机工程,第30卷第5期 2004 * |
| 入侵诱骗模型的研究与建立 夏春和,吴震,赵勇,王海泉,计算机应用研究,第4期 2002 * |
| 网络入侵检测与对抗的技术及实现 翟健宏,计算机工程,第30卷第5期 2004 * |
| 防Dos攻击算法的分析和实现 吉文华,于慧敏,计算机应用,第23卷第6期 2003 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN1585346A (zh) | 2005-02-23 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN1322712C (zh) | 一种实现诱骗网络数据流重定向的方法 | |
| Jansen | Intrusion detection with mobile agents | |
| Libicki | Cyberdeterrence and cyberwar | |
| Sandhu et al. | A survey of intrusion detection & prevention techniques | |
| WO2020237124A1 (en) | Systems and methods for detecting and mitigating cyber security threats | |
| CN110572412A (zh) | 云环境下基于入侵检测系统反馈的防火墙及其实现方法 | |
| Osuagwu et al. | Mitigating social engineering for improved cybersecurity | |
| Wanda et al. | A survey of intrusion detection system | |
| Li et al. | The research and design of honeypot system applied in the LAN security | |
| CN116132090B (zh) | 一种面向Web安全防护的欺骗防御系统 | |
| CN101557394A (zh) | 一种蜜网主动防御系统中的数据控制方法 | |
| Zhu et al. | Research on the security technology of big data information | |
| Saed et al. | Detection of man in the middle attack using machine learning | |
| Bartwal et al. | Security orchestration, automation, and response engine for deployment of behavioural honeypots | |
| Rizvi et al. | Advocating for hybrid intrusion detection prevention system and framework improvement | |
| Ahmad et al. | Performance analysis of intrusion detection systems for smartphone security enhancements | |
| Vattikuti et al. | Ddos attack detection and mitigation using anomaly detection and machine learning models | |
| Mehresh et al. | A deception framework for survivability against next generation cyber attacks | |
| Yadav et al. | Comparative study of datasets used in cyber security intrusion detection | |
| Li-Juan | Honeypot-based defense system research and design | |
| Hutchinson et al. | Information Warfare: using the viable system model as a framework to attack organisations | |
| Sibai et al. | Countering network-centric insider threats through self-protective autonomic rule generation | |
| Teo et al. | Defeating internet attacks using risk awareness and active honeypots | |
| Rana et al. | Honeypots in digital economy: an analysis of intrusion detection and prevention | |
| Luo et al. | DDOS Defense Strategy in Software Definition Networks |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| EE01 | Entry into force of recordation of patent licensing contract |
Assignee: Shanghai Runxin Science & Technology Co., Ltd. Assignor: Nanjing Post & Telecommunication College Contract fulfillment period: 2007.11.16 to 2012.11.15 contract change Contract record no.: 2008990000506 Denomination of invention: Method for realizing chaff network data flow heavy orientation Granted publication date: 20070620 License type: Exclusive license Record date: 2008.9.26 |
|
| LIC | Patent licence contract for exploitation submitted for record |
Free format text: EXCLUSIVE LICENCE; TIME LIMIT OF IMPLEMENTING CONTACT: 2007.11.16 TO 2012.11.15 Name of requester: SHANGHAI RUN XIN TECHNOLOGY CO., LTD. Effective date: 20080926 |
|
| C17 | Cessation of patent right | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20070620 Termination date: 20120528 |