多层次蜜网数据传输方法及系统转让专利
申请号 : CN200610169676.9
文献号 : CN101087196B
文献日 : 2011-01-26
发明人 : 韦韬 , 梁知音 , 韩心慧 , 诸葛建伟 , 邹维 , 叶志远 , 游红宇
申请人 : 北京大学
摘要 :
本发明涉及一种多层次蜜网数据传输方法及系统,由蜜网网关统一接收外部网络数据流;蜜网网关对所接收的数据流进行网络入侵检测分析;将正常数据流放行,发送给该数据流的目标主机;将非正常数据流按照威胁级别分为高、中、低三类;将高威胁级数据流重定向至物理蜜罐系统,将中威胁级数据流重定向至虚拟机蜜罐系统,将低威胁级数据流重定向至虚拟蜜罐系统。本发明有效利用低交互蜜罐系统和高交互蜜罐系统各自的优点,节省系统资源,提高了蜜罐系统的覆盖面和获取网络攻击活动信息、捕获恶意代码样本的能力;有效对抗反蜜罐技术。可以广泛应用于计算机网络安全技术领域。
权利要求 :
1.一种多层次蜜网数据传输方法,其步骤包括:
1)由蜜网网关统一接收外部网络数据流;
2)蜜网网关对所接收的数据流进行网络入侵检测分析;
3)将正常数据流放行,发送给该数据流的目标主机;
4)将非正常数据流按照威胁级别分为高级、中级、低级三类;
5)将高威胁级数据流重定向至物理蜜罐系统,将中威胁级数据流重定向至虚拟机蜜罐系统,将低威胁级数据流重定向至虚拟蜜罐系统。
2.如权利要求1所述的多层次蜜网数据传输方法,其特征在于对于重定向至虚拟机蜜罐系统的数据流,分析该数据流是否包含虚拟机蜜罐识别操作信息,如包含该信息,则将该数据流重定向至具有相同操作系统的物理蜜罐系统;或模拟网络断开现象,断开该数据流对虚拟机蜜罐系统的访问。
3.如权利要求1所述的多层次蜜网数据传输方法,其特征在于在网络入侵检测前对网络数据流进行用户定义规则分析,对于满足用户定义规则的数据流,按照定义规则进行威胁等级分级。
4.如权利要求1或2所述的多层次蜜网数据传输方法,其特征在于所述虚拟机蜜罐系统中设置若干虚拟机,每台虚拟机配置多种操作系统;所述物理蜜罐系统设置一台或若干台物理主机,每物理主机配置一种操作系统。
5.如权利要求4所述的多层次蜜网数据传输方法,其特征在于上述物理主机的操作系统与服务配置与虚拟机蜜罐中的部分主机相同,但总数少于虚拟机蜜罐。
6.一种多层次蜜网数据传输系统,包括一蜜网网关,和分层部署的虚拟蜜罐系统、虚拟机蜜罐系统和物理蜜罐系统,其特征在于所述蜜网网关包括网络入侵检测系统分析模块,用于分析网络数据流是否包含网络攻击特征信息,然后将正常数据流放行,发送给该数据流的目标主机,将非正常数据流发送给威胁等级分析模块;威胁等级分析模块,将非正常数据流按照威胁等级分为高级、中级、低级三类;和数据重定向模快,按照高级、中级、低级三类分别将非正常数据流重定向至物理蜜罐系统,虚拟机蜜罐系统和虚拟蜜罐系统。
7.如权利要求6所述的多层次蜜网数据传输系统,其特征在于所述虚拟机蜜罐系统包括一虚拟机蜜罐识别操作信息检测模块,以检测重定向至该系统的数据流是否包含虚拟机蜜罐识别操作信息。
8.如权利要求6所述的多层次蜜网数据传输系统,其特征在于所述蜜网网关还包括一用户规则定义模块,用于判定网络数据流是否满足用户自定义规则,并进行威胁分类级。
9.如权利要求6或7或8所述的多层次蜜网数据传输系统,其特征在于所述虚拟机蜜罐系统中设置若干虚拟机,每台虚拟机配置多种操作系统;所述物理蜜罐系统设置一台或若干台物理主机,每物理主机配置一种操作系统。
10.如权利要求9所述的多层次蜜网数据传输系统,其特征在于上述物理主机的操作系统与服务配置与虚拟机蜜罐中的部分主机相同,但总数少于虚拟机蜜罐。
说明书 :
多层次蜜网数据传输方法及系统
技术领域
[0001] 本发明属于计算机网络安全技术领域,具体涉及一种利用多层次蜜网的数据传输方法,及一种多层次蜜网数据传输系统。
背景技术
[0002] 随着互联网技术的发展,网络扫描、蠕虫与病毒代码的传播以及黑客恶意攻击等是网络上每台主机随时都可能面对到的危险。其中,大部分的网络攻击活动是由攻击工具或由四处传播的恶意代码自动完成的,除此以外,攻击脚本和工具等也变得很容易得到和使用,也就是说无高交互需求的随机的网络扫描、有高交互需求的系统攻击活动和对有识别蜜罐系统威胁的攻击活动在所有攻击活动中所占的比例依次迅速的降低。 [0003] 蜜罐和蜜网技术的提出正是为了主动出击研究互联网上这些安全威胁而产生的,蜜罐是指部署在网络上,伪装成真实的网络、主机和服务,诱惑恶意攻击行为的诱饵,其价值在于收集网络上的攻击活动信息,并对这些攻击活动进行监视、检测和分析。蜜罐技术的详细信息可参见Lance.Spitzner,“Honeypots:Tracking Hackers”,Addison-Wesley,2002。
[0004] 蜜网是指诱捕这些攻击活动的整体网络体系架构,一个蜜网系统中通常包含一个或多个蜜罐。按照部署的复杂程度来分,目前蜜网的部署主要有低交互的虚拟蜜罐、高交互的虚拟机蜜罐和高交互的物理蜜罐三大类,这几类蜜罐各有优点,但也有各自的局限性。 [0005] 低交互的虚拟蜜罐工具能够模拟虚拟的网络拓扑、操作系统和网络服务,并根据模拟的网络系统特点对扫描攻击行为做出回应,从而达到欺骗的目的,有些虚拟蜜罐工具还可以模拟系统存在的漏洞,诱骗黑客或蠕虫在扫描后进一步传送攻击代码,从而达到抓取恶意代码样本的目的。虚拟蜜罐技术的详细信息可参见Niels Provos,″Honeyd,a virtual honeypotdaemon″,10th DFN-CERT Workshop,Hamburg,Germany,february2003;以及Jamie Riden,″Using Nepenthes Honeypots to Detect Common Malware″,November,2006,http://www.securityfocus.com/infocus/1880。
[0006] 虚拟蜜罐部署很方便,但其交互程度低,不能捕获高交互的网络攻击活动,容易被黑客识别,因此比较合适用于捕获自动攻击工具或网络蠕虫等发动的攻击活动。 [0007] 高交互虚拟机蜜罐是指在一台主机上配置若干台虚拟主机,并在虚拟主机中安装真实的操作系统和网络服务的蜜罐系统。虚拟机蜜罐技术可见于:Honeynet Project,“Know YourEnemy:Defining Virtual Honeynets”,http://www.honeynet.org;以 及Honeynet Project.“Know Your Enemy:Learning with VMware-Building Virutal Honeynets using VMware”,http://www.honeynet.org。
[0008] 虚拟机蜜罐与攻击者进行高交互活动,完整的记录攻击者在攻入一个真实系统时的所有的行为;虚拟机蜜罐的优点是主机节省资源,一台机器可以当若干台机器使用,而且方便进行主机系统的集中管理,可以快速恢复系统的状态。但有经验的黑客很可能会根据虚拟机存在的信息发现蜜罐主机的存在。因此,高交互虚拟机蜜罐比较适宜用于追踪脚本小子一类的黑客的攻击活动,对于技术高超的黑客人群则还是存有不足。 [0009] 高交互物理蜜罐系统是指使用真实的物理主机,安装真实的操作系统并开放真实的服务的蜜罐系统。物理蜜罐既能提供高交互的环境,又不存在虚拟环境的痕迹信息,不易被黑客发觉,是最为隐蔽的蜜罐系统。但真实主机蜜罐系统对系统资源要求很高,一台物理主机只能部署一个物理蜜罐,物理蜜罐比较适合用于追踪数量很少的技术高超的黑客,但要利用有限的主机资源部署蜜网网络,捕获网络上存在的恶意代码针对大型网络的扫描活动信息等,物理蜜罐就显出了其局限性。
[0010] 蜜场技术是指将蜜罐技术与攻击检测技术结合在一起,是一种面向大规模网络的新型主动防护技术,其基本思想为:通过在安全操作中心集中式地部署蜜罐系统,构建蜜场环境,然后在大规模业务网络中分布式地部署攻击检测器和网络重定向器,攻击检测器检测出攻击行为后,将其重定向到蜜场环境,对攻击行为进行分析、取证、跟踪。 [0011] 蜜场技术的详细信息可见于Lance Spitzner,“Honeypot Farms”,August 13,2003,http://www.securityfocus.com/infocus/1720;以 及 Michael Vrable,Justin Ma,JayChen,David Moore,Erik Vandekieft,Alex C.Snoeren,Geoffrey M.Voelker,StefanSavage,”Scalability,fidelity,and containment in the potemkin virtual honeyfarm”,proceedings of the twentieth ACM symposium on Operating systems principles,Brighton,United Kingdom。
[0012] 一般的蜜网系统虽然在部署的时候可能部署一种以上的蜜罐,但采用的是固定的目标IP绑定到固定类型的蜜罐系统的方法,对同一个或者多个目标的不同攻击只会由同一套蜜罐系统来响应处理。
[0013] 这样的技术方案有以下两方面问题:其一,蜜罐系统的资源利用率低下,高交互的物理蜜罐系统和虚拟机蜜罐系统的资源往往被浪费在简单扫描和简单蠕虫攻击上;其二,攻击者在发现了一个蜜罐系统主机后,可以很容易的识别针对真实目标系统的攻击是否成功,并采取规避措施。
[0014] 此外,蜜罐技术的出现和发展,也促进了反蜜罐技术的发展。目前攻击者主要从网络和系统两个方面来识别蜜罐系统,其中最主要的方法是通过检查被攻击主机的硬件和系统信息来判断是否虚拟主机,如果是虚拟主机,则是蜜罐的风险就会很大,攻击者在发现这些痕迹之后便很可能放弃攻击或者消灭攻击痕迹,甚至可能将被攻击主机的网络地址等设入攻击黑名单,使蜜罐系统无法捕获攻击信息,具体可见蜜罐识别技术:Thorsten Hol,FredericRaynal,″Detecting Honeypots and other suspicious environments″,Proceedings of the2005 IEEE Workshop on Information Assurance and Security,United States MilitaryAcademy,West Point,NY。
发明内容
[0015] 本发明的目的在于提供一种数据传输方法,提升蜜罐系统的资源利用效率,有效对抗反蜜罐技术,增加对目标系统的保护能力。
[0016] 本发明的多层次蜜网数据传输方法,其步骤包括:
[0017] 1.由蜜网网关统一接收外部网络数据流;
[0018] 2.蜜网网关对所接收的数据流进行网络入侵检测分析;
[0019] 3.将正常数据流放行,发送给该数据流的目标主机;
[0020] 4.将非正常数据流按照成胁级别分为高级、中级、低级三类; [0021] 5.将高威胁级数据流重定向至物理蜜罐系统,将中威胁级数据流重定向至虚拟机蜜罐系统,将低威胁级数据流重定向至虚拟蜜罐系统。
[0022] 对于重定向至虚拟机蜜罐系统的数据流,分析该数据流是否包含虚拟机蜜罐识别操作信息,如包含该信息,则将该数据流重定向至具有相同操作系统的物理蜜罐系统;或模拟网络断开现象,断开该数据流对虚拟机蜜罐系统的访问。
[0023] 本发明的数据流传输方法还可先对网络数据流进行用户定义规则检测,对于满足用户定义规则的数据流,可按照定义规则进行威胁等级分类。
[0024] 本发明在虚拟机蜜罐系统中设置若干虚拟机,每台虚拟机配置多种操作系统;物理蜜罐系统设置一台或若干台物理主机,每台物理主机配置一种操作系统,各台物理主机的操作系统可以不同。
[0025] 上述各物理主机的操作系统与服务配置与虚拟机蜜罐中的部分主机相同,但总数少于虚拟机蜜罐。
[0026] 本发明的多层次蜜网数据传输系统,包括一蜜网网关,和分层部署的虚拟蜜罐系统、虚拟机蜜罐系统和物理蜜罐系统,所述蜜网网关包括网络入侵检测系统分析模块,用于分析网络数据流是否包含网络攻击特征信息,然后将正常数据流放行,发送给该数据流的目标主机,将非正常数据流发送给威胁等级分析模块;威胁等级分析模块,将非正常数据流按照威胁等级分为高级、中级、低级三类;和数据重定向模快,按照高级、中级、低级三类分别将非正常数据流重定向至物理蜜罐系统,虚拟机蜜罐系统和虚拟蜜罐系统。 [0027] 所述虚拟机蜜罐系统还包括虚拟机蜜罐识别操作信息检测模块,用于检测重定向至该系统的数据流是否包含虚拟机蜜罐识别操作信息。
[0028] 所述蜜网网关还包括一用户定义规则模块,用于判定网络数据流是否满足用户自定义规则,并可按照定义规则对数据流进行威胁分级。
[0029] 上述虚拟机蜜罐系统中设置若干虚拟机,每台虚拟机配置多种操作系统;物理蜜罐系统设置一台或若干台物理主机,每台物理主机配置一种操作系统,各物理主机的操作系统可不相同。
[0030] 上述物理主机的操作系统与服务配置与虚拟机蜜罐中的部分主机相同,但总数少于虚拟机蜜罐。
[0031] 为提供一种多层次蜜网数据传输方法,需要解决以下问题:
[0032] 1.真实安全的业务数据的判断问题,即什么样的数据流可以被认为是真实安全的业务数据,什么样的数据流会被认为是具有潜在威胁的网络数据。
[0033] 2.威胁分级与分级数据与不同部署的蜜罐系统之间的对应问题,即该如何划分攻击数据的威胁等级,以及不同威胁等级的数据应该映射到怎样部署的蜜罐系统之中。 [0034] 3.如何避免针对虚拟机特征的虚拟机蜜罐识别。
[0035] 本发明对这些问题的处理方式如下:
[0036] 1.真实安全的业务数据与潜在威胁数据的判断:
[0037] a)真实安全的业务数据其目标IP和端口应是目标主机对外提供的有效的主机IP和端口;
[0038] b)真实安全的业务数据应不含有一般网络入侵检测系统中包含的攻击特征信息;
[0039] c)对于同时符合以上a)、b)特征的数据,可以认为是真实安全的业务数据,不符合的,都可以认为是具有潜在威胁的网络数据。
[0040] 2.威胁分级与分级后的数据的处理的问题:
[0041] a)对于一般的蠕虫病毒等恶意代码和自动工具对网络的自动扫描攻击,因为没有人工参与活动,不会有识别蜜罐系统的危险,我们可以认为是威胁等级较低的网络攻击,这类攻击可以重定向到虚拟蜜罐系统中;
[0042] b)对于常见的网络攻击手法和已知特征的脚本攻击,可以认为是一般的脚本小子参与的网络服务攻击,这类攻击需要有交互的系统环境,我们可以认为这是中等威胁等级的网络攻击,此类攻击会被重定向到虚拟机蜜罐系统中;
[0043] c)对于未知特征网络攻击手法,应被视为具有最高的优先级而被格外关注,这类攻击者很可能是具有深厚的网络攻击经验,普通的虚拟机蜜罐很容易被他们识别, 所以需要将这类攻击归类为高威胁等级,并将攻击数据重定向到真实的蜜罐主机中。 [0044] 3.避免针对虚拟机特征的虚拟机蜜罐识别
[0045] a)如果重定向到虚拟机蜜罐中的攻击活动有检验系统硬件信息,特别是检验网卡信息、使用虚拟机接口探察等活动时,我们便认为此次攻击含有针对虚拟机特征的虚拟机蜜罐识别的活动。
[0046] b)对包含针对虚拟机特征的虚拟机蜜罐识别的攻击活动,如果物理蜜罐系统中与虚拟机蜜罐系统主机中对应的操作系统,则将该网络连接进行重新定向,转移到对应的物理主机蜜罐系统;如果物理蜜罐中没有对应的操作系统,则模拟网络断开现象,断开该攻击源对虚拟机蜜罐的访问,避免虚拟机蜜罐被识别。
[0047] 本发明的技术效果在于:
[0048] 1.分层部署蜜罐系统,有效利用低交互蜜罐系统和高交互蜜罐系统各自的优点,节省系统资源,提高了蜜罐系统的覆盖面和获取网络攻击活动信息、捕获恶意代码样本的能力;
[0049] 2.实现了对网络数据安全等级的判断和对不同威胁等级数据的针对性处理,有针对性的将不同等级威胁的攻击数据重定向到不同交互和真实程度的蜜罐; [0050] 3.增强了对恶意攻击者的迷惑与欺骗,可以有效对抗目前常用的通过检查虚拟主机的存在来识别蜜罐系统这一类的反蜜罐技术;
[0051] 4.为网络安全防护人员提供了很好的对抗平台,可以通过蜜罐系统的选择和重定向,有效地迷惑攻击者,并充分的发掘攻击者的行为、能力和意图。
[0052] 本装置可以部署于服务器网络安全网关,或公司局域网网关入口,分析处理进入网关的网络数据流,区别正常业务数据流和疑似恶意行为数据流,并按照疑似恶意数据流的威胁程度将数据流重新定向到多层次的后端蜜罐网络系统中。
[0053] 本发明采用分层处理的方法,利用网络数据流重定向技术,分析处理将流向服务主机IP的数据流,将服务主机的安全防护和分层部署的蜜罐系统结合起来,一方面能充分发挥各类蜜罐的效率,有效提升子蜜罐系统的资源利用效率,增加捕获率,高效安全地收集网络攻击信息,另一方面与传统蜜网或蜜场技术相比,能有效提升对抗各种安全威胁的能力,避免蜜罐系统被识别的风险,提升对真实的目标主机的保护作用。 [0054] 附图说明
[0055] 图1为本发明多层次处理网络安全威胁的蜜网系统的系统结构示意图,说明了外部网络、真实目标主机和多层次蜜网系统之间网络拓扑关系;
[0056] 图2为本发明多层次处理网络安全威胁的蜜网系统的数据包处理流程图。 [0057] 具体实施方式
[0058] 本发明提供了一种多层次分析处理发送到服务主机或内部网络的数据流的方法,该方法在分析到达分层处理网关的网络数据流时:
[0059] 1.首先,根据用户定义的规则对流经网关的数据进行分析匹配,如果匹配合适,则按照用户定义的规则来决定数据流的处理方式;
[0060] 2.对于用户没有明确定义的数据流,则交由网络入侵检测系统进行分析处理,判定是否正常的业务数据。对于正常的业务数据,允许该数据从蜜网网关通过; [0061] 3.对于非正常业务数据流的数据,根据数据的威胁等级将数据重定向到不同部署方式的蜜罐系统。
[0062] 4.对于进入虚拟主机蜜罐系统的攻击数据流,需要避免针对虚拟机特征的虚拟机蜜罐识别。
[0063] 下面将参照本发明的附图,结合最佳实施例详细描述本发明。 [0064] 如图1所示,是多层次蜜网系统的示意图。多层蜜网系统由分层蜜网网关和后台分层蜜网系统构成,其中多层次蜜网网关连接了外部网络、对外提供服务的目标服务主机和后台的多层蜜罐系统,采用linux操作系统裁减而成,并安装配置了入侵检测系统工具snort和网络数据包管理工具netfilter。
[0065] 后台分层蜜网系统包含3套不同部署方式的蜜罐系统,其中虚拟蜜罐系统采用目前已经比较成熟的虚拟蜜罐工具honeyd,Nepenthes等部署;虚拟机蜜罐系统中的虚拟机采用目前最常用的商业虚拟机软件Vmware,在一台物理主机中部署了3-5台虚拟主机,每台虚拟主机安装不同的操作系统和服务,如Windows2000、windowsXP,linux等;物理蜜罐则采用真实主机安装典型的操作系统和服务,物理主机的操作系统与服务配置与虚拟机蜜罐中的部分主机相同,总数少于虚拟机蜜罐。
[0066] 如图2所示,表示多层次蜜网系统中的数据包处理流程图。
[0067] 1)首先,假定一个来自外部网络的数据包到达此多层次蜜网网关; [0068] 2)在多层次蜜网网关上,首先由用户定义规则模块查询数据包中的信息是否满足用户定义的处理规则。如果有符合用户定义的处理规则中的条件,则将该数据包传递到用户处理规则模块5);如果不符合,则将数据包传递到3)步中进行处理; [0069] 3)检查数据报包中的目标地址和目标端口信息,如果不属于真实目标主机IP和端口的范围内,则说明这些数据不是真实的业务数据,可以转交威胁等级分析模块6)处理;如果在真实目标主机的IP和端口的范围内,则需要将这些数据包传递到网络入侵检 测系统4)步中进行进一步的安全分析;该步可通过设一目标主机服务端口列表编辑模块来完成;
[0070] 4)通过网络入侵检测系统进一步检查传送到这一步的数据包的安全性。如果数据包中包含攻击信息特征,则可以认为该数据包中包含恶意行为,该数据包将转交7)威胁等级分析模块进行处理;如果数据包中不包含攻击信息特征,则可以认为该数据是正常的业务数据流,蜜网网关会将这些数据按照其目标信息传递到原目标主机; [0071] 5)用户处理规则是由用户定义的针对网络可疑数据包的处理规则,用户可以按照数据包中的不同字段设定威胁级别,这些规则将优先于威胁等级分析模块中的其他处理规则;
[0072] 6)所有未放行到目标模块的数据都被认为是网络攻击数据。这些数据可以按照其数据包中的内容分为低威胁数据流、中级威胁数据流和高威胁数据流,威胁分析模块利用预定的威胁等级特征和数据包的内容进行智能匹配分析,按照特征将攻击数据区分为高中低三级。分级后的数据会转由网络数据流重定向模块7)处理;
[0073] 7)数据流重定向模块会根据数据的威胁等级将攻击数据重定向到不同部署方式的蜜罐系统中。对于低威胁数据流,重定向模块会将其重定向到虚拟蜜罐系统,中级威胁数据流,会被重定向到虚拟机蜜罐系统中,高威胁数据流则会被重定向到物理蜜罐系统; [0074] 8)为了避免在虚拟机蜜罐中也会出现虚拟机识别一类的操作,虚拟机蜜罐中还运行着系统活动监测工具,动态监控攻击者与系统的交互。当虚拟机蜜罐中监测到攻击者有查询网卡、视频卡等典型的虚拟机监测活动,则会向网关报告,网关会修改定向规则,将此类数据流重定向到物理蜜罐系统中。
[0075] 如上所述,本发明通过分析检查外部网络流向目标主机的数据包的安全性来确定网络数据的安全等级,并针对不同安全等级的数据进行分类处理。这使得本系统中部署的不等等级的蜜网系统针对性强,不易被攻击者识别,既可以保护目标主机的安全又可以高效安全的获得网络攻击数据以供安全管理人员进行监控和分析。
[0076] 本发明已经在申请人研制的基于网络处理器的网络安全处理平台和千兆级安全网关上应用,取得了很好的效果,实现了本发明的目的。本发明具有很好的实用性和推广应用前景。
[0077] 尽管为说明目的公开了本发明的具体实施例和附图,其目的在于帮助理解本发明的内容并据以实施,但是本领域的技术人员可以理解:在不脱离本发明及所附的权利要求的精神和范围内,各种替换、变化和修改都是可能的。因此,本发明不应局限于最佳实施例和附图所公开的内容,本发明要求保护的范围以权利要求书界定的范围为准。