CN1359072A - 网络资源访问侦测与响应系统 - Google Patents
网络资源访问侦测与响应系统 Download PDFInfo
- Publication number
- CN1359072A CN1359072A CN 01139039 CN01139039A CN1359072A CN 1359072 A CN1359072 A CN 1359072A CN 01139039 CN01139039 CN 01139039 CN 01139039 A CN01139039 A CN 01139039A CN 1359072 A CN1359072 A CN 1359072A
- Authority
- CN
- China
- Prior art keywords
- module
- network
- protocol
- handled
- layer protocol
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Landscapes
- Computer And Data Communications (AREA)
Abstract
网络资源访问侦测与响应系统包括:内部网、旁路监听模块、协议处理模块、资源访问规则库模块、智能代理模块、网络监控中心模块和响应模块,其连接方式为:内部网与旁路监听模块连接,旁路监听模块与协议处理模块连接,协议处理模块通过连接数据库又分别与智能代理模块、网络监控中心模块和响应模块连接,网络监控中心模块进一步与响应模块连接。本发明具有实质性特点和显著性进步,在技术上主要解决了以下几个难点:(1)在旁路监听模块中,实现对网卡全收模式的设计;(2)协议处理模块是本系统中的重中之重,在这个模块中,包含了HTTP还原模块,此模块将用户所访问的网面以及用户通过浏览器提交的用户、口令等住处较完整地还原出来。
Description
技术领域:本发明涉及的是一种网络安全系统,特别是一种网络资源访问侦测与响应系统,属于网络技术领域。
背景技术:近年来,在网络服务与网络资源共享技术的发展使网络越来越成为一种方便、快捷的交流方式的同时,网络的问题也变得日益严重,网络的连通与开放为网络资源的窃取、非法的增、删、改及各种扰乱破坏造成了可乘之机,使得网络信息资源有可能遭受非人为因素,以及有意或无意的人为因素威胁,以到造成无法挽回的损失,在Internet/Intranet大量应用的今天,如何使网络信息资源安全地访问,显得尤为重要。因此,在人们热衷和沉醉于Internet及其Web和FTP的使用时候,千百不可忽视,安全问题,应采取有效的措施,如对资源访问进行审计,以保证计算机网络资源的安全,保护信息的安全,减少危害和损失。尽管对于目前这些访问方式都有相应的审计技术。如对Web服务器及客户采取:主机和网络的配置工具和技术;Web应用程序的配置;Web服务的认证机制;代理服务器;日志和监视。对FTP也是类似的如使用代理服务器与日志。在NT上也有相应的安全措施,如:用NTFS,而不用FAT文件系统;将系统管理员帐号改名;打开审计系统,对一些事件日志进行审计;天闭不必要的向内TCP/IP端口等。该技术存在以下一些缺陷:
无实时报警,需由系统员对日志进行分析,而此时网络资源可能已遭破坏;日志无法集中管理,目前大多数服务器操作系统都有日志而这些日志是分散在各个操作系统中的日志需要用户管理员分别察看,进行人工的综合、分析判断实际上是很难奏效的;日志难以控制,服务器往往是处于无人看守状况下自己运行的,所以被攻克或者违规操作的时候管理员不在现场,日志文件有可能被删除或修改,在这些被修改的日志上进行侦破可能根本没有效果,甚至可能产生误导,起到相反的作用。目前在同际互联网上已有各种修改操作系统日志的工具,用这些工具就可轻松修改操作系统的日志;占用大量的系统资源,为了保存这些日志,往往需要占用大量的系统资源;日志溢出,日志的信息息量非常大,不加分析的全部记录,很容易造成溢出。
再就是虽然目前大多数系统都有不同程度的日志功能,但这些日志根本不能保障系统的安全,而且也无法满足事后的侦察和取证需求,还有些系统采用内存而不采用硬盘记录日志、方旁路监听模块式、空间有限,关键信息很容易被覆盖,特别是违规人员在试探阶段的活动的记录往往不能保存,采用内存方式进行的日志,掉电后无法恢复。
以下结合附图对本发明内容和具体实施方式详细说明:
附图说明:图1本发明结构示意框图
发明内容和具体实施方式:为了克服现有技术的不足,本发明提供一种网络资源访问侦测与响应系统,提出了一种基于Agent的分布式网络资源侦测技术,即采用在网络上进行旁路式监听,获取网络上的数据包,进行解码,提取相应的信息与设置的相应的网络资源规则进行匹配,智能地判断出违规行为,并对违规行为进行记录、报警和阻断,可有效地阻拦来自网络内部和外部,特别是来自Internet的对网络资源的恶意破坏行为。并且系统自身的数据具有防销毁,防篡改的特性,能够为网络犯罪的侦破和取证,提供精确、宝贵的数据。本发明是一个实时的网络资源访问违规识别和响应系统,能对危及网络资源的违规行为采用即时措施。本发明包括:内部网、旁路监听模块、协议处理模块、资源访问规则库模块、智能代理模块、网络监控中心模块和响应模块,其连接方式为:内部网与旁路监听模块连接,旁路监听模块与协议处理模块连接,协议处理模块通过连接数据库又分别与智能代理模块、网络监控中心模块和响应模块连接,网络监控中心模块进一步与响应模块连接。本发明是一个基于智能代理的资源访问侦测系统,通过监听器进行旁路式监听采集网络传输信息。记录下该内部网的数据,再通过协议处理,将收集到的IP层数据还原到应用层,并且记入到连接数据库。系统中的智能代理根据资源访问规则库中的规则,初步处理连接数据库中的数据,并将不能处理的连接信息交给管理员处理,然后根据管理员的反馈,进行自适应学习,再将新的规则和非法连接记下来。这种方法综合使用了自动处理和手工处理。
各组成部分的工作过程及原理
a.旁路监听模块
网络信息的采集以旁路方式接在网络的出口处,修改网卡的接收方式,即工作于混杂模式,使其能获得通过本网段的所有通信信息,这样既不影响网络的性能,又能达到监控的目的,旁路监听系统根据不同的网络协议,如:HTTP、FTP等,在固定端口截取信息后,传给协议处理。
b.协议处理模块
协议处理分为IP层协议处理、TCP层协议处理、应用层协议处理3个部分。
①.IP层协议的处理较为简单,因为IP数据的传递是一种面向无连接的传递。不同的网络造成不同的最大数据报文长度,从而导致IP数据报文的分片,在IP层协议的处理中应在接收方将分割后的多个碎片拼装起来,还原成完整的原始数据报,再交给TCP层。
②.TCP层协议处理,在TCP协议层的处理中,TCP连接是一个重要的基本单位,因此应当了解每条TCP连接的状态,为此,需要为每一条连接分配一个连接控制块TCB,在这个连接控制块中应当保存与这条TCP连接有关的信息,包括两端的IP地址、两端的端口号、连接当前的状态等,TCP层协议处理可以根据这些信息把IP层的报文还原到TCP层,并交应用层作进一步处理。
③.应用层协议处理,应用层协议处理模块对TCP层传递上来的数据根据的协议,如:FTP、HTTP等作出相应的解释,并把最后还原的结果写入数据库。下面以FTP为例简要说明一下应用层协议处理。FTP有2个端口:控制端口和数据端口,根据这2个端口获得的内部命令序列和应答码序列信息,并利用FTP有限自动机模型,可以得出用户执行的命令序列以及传输文件及图片的具体信息。对FTP不同的文件传送操作命令、文件类型、文件格式、文件结构传送模式进行不同的处理。
c.网络资源访问规则库模块
访问规则规定若干条件,在这些条件下可准许访问一个资源。一般地讲,规则使用户和资源配对,然后指定该用户可该文件上执行哪些操作,如只读,不许执行或不许访问。由负责实施安全政策的系统管理人员来应用这些规则。这些规则可以用一个访问控制模型来表示。本系统规则库具有不断扩充更新的特点。
d.智能代理模块
智能代理的特点是采用模糊逻辑方法初步处理连接,并能够根据管理员反馈进行自适应学习。本系统中,智能代理把不能处理的情况交给管理员处理,从管理员处得到处理的结果,再增加或修改网络资源访问规则库。随着使用时间的增加,策略会越来越多,智能代理能够处理的连接也越来越多。智能代理平时处于空闲状态,定期查询连接数据库。如果有新的连接数据,则检查有无相应的网络资源规则库。如果有的话,并且策略不冲突,那么就进行非法连接数据库的更新。否则的话,智能代理进行初步处理,并把要解决的冲突和要管理员查看的信息告诉管理员。智能代理定期看有没有管理员的处理结果。如果有的话,就根据管理员的处理结果进行自适应学习,并把新的网络资源规则库和非法连接记入数据库。
e.网络监控中心模块
f.响应模块
本系统可以实现实时阻断和报警响应,允许用户在设定规则的时候,指定所采用的响应措施,报警和阻断是最基本的响应措施。
阻断:系统可以采用旁路阻断的方式对基于TCP连接上的应用,出现违规操作的情况下进行连接阻断使违规操作不能继续下去,旁路式的阻断不同于传统防火墙的过漏措施对现有网络传输不产生影响不影响正常的应用。
报警:可在控制台的界面上显示报警信息和进行声音报警。用户可以对不同的报警级别,指定使用不同的报警声音。
此外,也可以用Email或寻呼来通知系统管理员,使管理员及时到现场采取相应的安全措施。
本发明具有实质性特点和显著性进步,在技术上主要解决了以下几个难点:
(1)在旁路监听模块中,实现对网卡全收模式的设计,而本系统的实现是在Linux平台下,它主要是利用了Linux通过的一个直接访问设备的套接字。
Socket(PE INETSOCK PACKET,htons(0×0003));
它的具体过程如下:
打开套接字:
socket(PE-INETSOCK-PACKET,htons(0×0003));
用ioctl的SIOCGIFFLAGS命令,读取eth0网卡的标志,在eth0网卡的标志中加入IFF-PROMISC标志,并用ioctl的SIOSGLI-FFLAGS设置;
注意:所谓IFF-PROMISC方式是指:在一般情况下,网卡只读取那些宿MAC地址是自己的。而IFF-PROMISC方式下,网卡将读取网络中所有MAC包,而不论这些包的MAC地址是什么。所在这种方式下,就可以实现对以下太网中所有流量的控制、监听。
(2)、协议处理模块是本系统中的重中之重,在这个模块中,包含了HTTP还原模块,此模块将用户所访问的网面以及用户通过浏览器提交的用户、口令等住处较完整地还原出来。通过对截取的原如数据的分析,参照HTTP/1.规范发现,要浏览一个网页,通常要建立多个连接以加快传送速度。这是与SMTP等协议仅需要一个连接最本质的区别。显然,这给HITP的还原带来一定的困难。因此,确定哪些连接(指利用该连接传送的内容)属于哪一个网页就成为原的核心问题。在解决这一问题时,要考虑如下HTTP协议特征及所采取的方法。
端口的单调递增性和局部性:从客户端浏览HTTP服务器发送第一个请求开始,即建立第一个连接开始,操作系统为后续连接分配的端口号单调递增,而且,属于一个网页的连接的端口号具有局部性特征,即所分配的端口号相对连续,偶尔有跳跃。这取决于用户应用程序消耗端口的具体情况。这为网页的成功还原奠定了技术基础。
原始数据的组织方式:该模块的原始数据来自于TCP/IP协议还原模块的还原结果。为了表示一个连接,数据文件的命名体现了连接的四无组:原IP地址、源端口号、宿IP地址、宿端口号。即:
源IP地址.源端口号-宿IP地址.宿端口号
例如:202.127.0.55.1091-207.82.250.251.80和207.82.250.251.80-202.127.0.551.091
分别代表一个连接的两个方向上所传递的信息。也就是客户端浏览器发送给服务器的请求信息和服务器回送给客户端济览器应答信息。这些信息包含了合成一个网页所必需的基本信息。
本发明的实施实现了以下的资源访问审计:
HTTP审计:
能够对用户访问Internet进行审计,选择需要审计的HTTP应用,对于满足审计条件的HTTP应用,能够记录HTTP连接的信息,根据vt100标准将用户访问的信息还原出来。
用户可以选择的条件包括:
URL访问守护:审计所有针对所设定URL地址访问的HTTP访问。
主机监控:审计所有针对所设定的主机(IP)的HTTP访问。
目录守护:审计所有在HTTP连接中,对所设定目录进行访问(例如:进入/scripts/目录)的HTTP访问。
文件守护:审计所有在HTTP连接中,对所设定文件进行访问(例如浏览某些网页)的HTTP访问。
FTP审计:
能够通过用户设置条件,对网络中的数据包进行分析,对于满足审计条件的应用,能够记录FTP连接的所有信息,包括输入的命令和传输的文件,并且系统能够根据vt100标准将用户操作的命令还原出来。
用户可以选择的条件包括:
用户追踪:审计所有针对所设定用户名登录的FTP操作。
主机定位:审计所有针对所设定的主机(IP)的FTP操作。
目录守护:审计所有在FTP连接中,对所设定目录进行操作(例如进入etc目录)的FTP操作。
文件守护:审计所有在FTP连接中,对所设定文件进行操作(例如删某些文件)的FTP操作。
特殊命令监察:审计所有执行了所设定命令的FTP操作。
文件共享审计:
系统提供的文件共享审计是指对在Windows(98,NT)中使用的基NetbiosOverTCP/IP的文件共享应用进行审计。用户可以指定受到审计的机器(通常是重要任务使用的客户机)以及文件名或目录名列表(通常是重要文件)。凡是对指定的机器或文件采用“网上邻居”方式进行文件共享的活动将会被记录和报警。文件共享记录的内容包括:采用的用户名;对文件进行的操作(如读,写,删除等);相关的文件名。
文件共享审计的功能主要适用于在大量使用Windows系统的办公自动化环境下或内部网环境下,对于重要PC和重要文件进行访问记录和报警,是保护内部资源的有效手段。
Claims (3)
1、一种网络资源访问侦测与响应系统,其特征在于包括:内部网、旁路监听模块、协议处理模块、资源访问规则库模块、智能代理模块、网络监控中心模块和响应模块,其连接方式为:内部网与旁路监听模块连接,旁路监听模块与协议处理模块连接,协议处理模块通过连接数据库又分别与智能代理模块、网络监控中心模块和响应模块连接,网络监控中心模块进一步与响应模块连接。
2、根据权利要求1所述的这种网络资源访问侦测与响应系统,其特征是网络信息的采集以旁路方式接在网络的出口处,在固定端口截取信息后,传给协议处理。
3、根据权利要求1所述的这种网络资源访问侦测与响应系统,其特征是协议处理模块包括IP层协议处理、TCP层协议处理、应用层协议处理3个部分,在IP层协议的处理中应在接收方将分割后的多个碎片拼装起来,还原成完整的原始数据报,再交给TCP层;TCP层协议处理可以根据这些信息把IP层的报文还原到TCP层,并交应用层作进一步处理;应用层协议处理,应用层协议处理模块对TCP层传递上来的数据根据的协议。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 01139039 CN1359072A (zh) | 2001-12-04 | 2001-12-04 | 网络资源访问侦测与响应系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 01139039 CN1359072A (zh) | 2001-12-04 | 2001-12-04 | 网络资源访问侦测与响应系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN1359072A true CN1359072A (zh) | 2002-07-17 |
Family
ID=4674970
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN 01139039 Pending CN1359072A (zh) | 2001-12-04 | 2001-12-04 | 网络资源访问侦测与响应系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN1359072A (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN100407089C (zh) * | 2004-10-15 | 2008-07-30 | 国际商业机器公司 | 检测非法访问计算机网络的系统和方法 |
| CN102999867A (zh) * | 2004-04-15 | 2013-03-27 | 尼菲克斯有限公司 | 实时或接近实时地跟踪交易活动质量的方法和系统 |
-
2001
- 2001-12-04 CN CN 01139039 patent/CN1359072A/zh active Pending
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102999867A (zh) * | 2004-04-15 | 2013-03-27 | 尼菲克斯有限公司 | 实时或接近实时地跟踪交易活动质量的方法和系统 |
| US10796364B2 (en) | 2004-04-15 | 2020-10-06 | Nyse Group, Inc. | Process for providing timely quality indication of market trades |
| US11030694B2 (en) | 2004-04-15 | 2021-06-08 | Nyse Group, Inc. | Process for providing timely quality indication of market trades |
| US11170444B2 (en) | 2004-04-15 | 2021-11-09 | Nyse Group, Inc. | Process for providing timely quality indication of market trades |
| US11430064B2 (en) | 2004-04-15 | 2022-08-30 | Nyse Group, Inc. | Process for providing timely quality indication of market trades |
| CN100407089C (zh) * | 2004-10-15 | 2008-07-30 | 国际商业机器公司 | 检测非法访问计算机网络的系统和方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10104095B2 (en) | Automatic stability determination and deployment of discrete parts of a profile representing normal behavior to provide fast protection of web applications | |
| US7185366B2 (en) | Security administration server and its host server | |
| US11238366B2 (en) | Adaptive object modeling and differential data ingestion for machine learning | |
| KR101010302B1 (ko) | Irc 및 http 봇넷 보안 관제를 위한 관리 시스템 및 그 방법 | |
| US9253060B2 (en) | System and method of monitoring and controlling application files | |
| US20020026507A1 (en) | Browser proxy client application service provider (ASP) interface | |
| US20060206715A1 (en) | Media analysis method and system for locating and reporting the presence of steganographic activity | |
| KR102033169B1 (ko) | 지능형 보안로그 분석방법 | |
| US20110289583A1 (en) | Correlation engine for detecting network attacks and detection method | |
| CN1415099A (zh) | 在线阻挡有害信息的系统和方法及其计算机可读介质 | |
| GB2377783A (en) | Controlling access by software agents to a distributed processing system | |
| CN116074075A (zh) | 基于关联规则的安全事件关联行为分析方法、系统及设备 | |
| Singhal | Data warehousing and data mining techniques for cyber security | |
| CN1360261A (zh) | 旁路式数据库访问侦听与还原的方法 | |
| KR20020012855A (ko) | 통합로그 분석 및 관리 시스템 및 그 방법 | |
| CN1359072A (zh) | 网络资源访问侦测与响应系统 | |
| XinXin et al. | Research and design of network behavior management system based on B/S architecture | |
| Patil et al. | Preprocessing web logs for web intrusion detection | |
| KR101156584B1 (ko) | 리소스 액세스 필터링 시스템 및 방법 | |
| Colajanni et al. | Selective alerts for runtime protection of distributed systems | |
| Dagorn | Cooperative intrusion detection for web applications | |
| Yamoyany et al. | Utilizing Fuzzy Logic and Audit Logs for Effective Intrusion Detection | |
| Xynos et al. | D1: Design Specification of the| Digital Forensics Toolset | |
| Chen et al. | The Study and Implementation of Network-Based Auditing System with Session Tracking and Monitoring | |
| Bhilare | Architecture for a Distributed, Sharable Information Security Threat Management |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C06 | Publication | ||
| PB01 | Publication | ||
| C12 | Rejection of a patent application after its publication | ||
| RJ01 | Rejection of invention patent application after publication |