一种蜜网主动防御系统中的数据控制方法.pdf

本发明涉及一种蜜网主动防御系统中的数据控制方法，对失败连接进行计数统计，短期计数器对每个IP源地址的记录都有一个计数统计，当短期计数器超过阈值时认为检测到蠕虫异常行为，对该IP源地址发出的数据包进行抑制，但当短期计数器没有超过阈值时，开始触发多轮检测机制，将该IP源地址的记录存入长期检测表里，当长期计数器超时并且计数值超过门限值时，我们认为检测到蠕虫异常行为，进行抑制，如果没有超时，认为该数据包正常可以放行。其优点是：能够识别故意放缓攻击速率以期绕过防火墙控制的未知攻击行为或隐蔽型攻击行为，识别隐蔽型攻击行为和慢速攻击行为，特别能够分析鉴别黑客发明的新的攻击行为模式。

1、  一种蜜网主动防御系统中的数据控制方法，其特征是，所述方法包括如下步骤：
(1)在局域网的边界入口处放置检测和抑制设备，监测进出的数据流，抓取失败连接请求数据包，每当收到失败连接请求数据包就根据其中的IP源地址生成一条记录，并将该记录存入短期检测表里，同时判断该记录是否已存入过；短期计数器统计局域网内同一条记录在规定的较短单位时间内存入短期检测表的次数；
(2)判断是否短期计数器超过阈值，即短期计数器超时并且对某个IP源地址的计数值超过门限值，如果是，则认为检测到蠕虫异常行为，对该可疑IP源地址发出的数据包进行抑制，如果否，则将存入短期检测表里的该条记录存入长期检测表里，同时判断该记录是否已存入过；
(3)长期计数器统计局域网内同一条记录在规定的较长单位时间内存入长期检测表的次数；当某条记录中对应的IP源地址发生一次正常连接请求时，长期计数器对该记录的计数值减1；
(4)判断是否长期计数器超过阈值，即长期计数器超时并且对某个IP源地址的计数值超过门限值，如果是，则认为检测到慢速蠕虫异常行为，对该可疑IP源地址发出的数据包进行抑制，如果否，则对该IP源地址发出的数据包放行。

2、  如权利要求1所述的蜜网主动防御系统中的数据控制方法，其特征是：所述短期检测表用于存储局域网内每个IP源地址在规定的较短单位时间内的失败连接记录；如果存入短期检测表的记录已存在，则短期计数器对该记录的计数值加1，否则计数值等于1。

3、  如权利要求1所述的蜜网主动防御系统中的数据控制方法，其特征是：所述长期检测表用于存储局域网内到达长期检测表的IP源地址在规定的较长单位时间内的失败连接记录；如果存入长期检测表的记录已存在，则长期计数器对该记录的计数值加1；否则计数值等于1。

一种蜜网主动防御系统中的数据控制方法
技术领域
本发明涉及一种蜜网主动防御系统中的数据控制方法，属于信息安全技术领域。
背景技术
随着网络信息化建设的普及和推广，安全问题逐渐成为目前网络技术领域的一个研究重点和热点。蜜网系统作为主动式网络防御技术，诱骗黑客对虚拟系统进行攻击并对黑客攻击和恶意软件活动进行全面深入的跟踪和分析，达到保护主机的目的。
我国1986年发现第一起计算机犯罪。到1990年发现并破获130起，1993-1994年1200起。根据公安部2008年度全国信息网络安全状况与计算机病毒疫情调查报告，我国2008年信息网络安全事件发生比例为62.7％，而网络攻击、端口扫描、网页篡改等黑客案件又占其中的23％。专家预计到2010年我国的网络安全案件可能达到10万起/年以上；从统计上看国内外黑客攻击的目标主要包括政府、军工、国防、金融、大型连锁商业网络银行客户等领域里的网站及数据库，以非法盗取金融和经济信息。
近几年，随着网络攻击技术的日新月异，网络防御的代价也越来越大。黑客在不断地发明创新性的攻击模式，挖掘各种系统的弱点和对付各种防御手段的对策，攻击软件向功能强大化、智能化、自动化方向逐步发展。僵尸网络对在线商务网站进行拒绝服务攻击，发送垃圾邮件推销各类垃圾商品，架设钓鱼网站欺诈并盗用互联网用户的敏感信息，从而获取现实经济利益的行为也越来越频繁。为了维护网络环境的安全，作为主动防御技术的蜜网在近几年有了重大发展。
蜜网主动防御系统通过故意暴露系统漏洞吸引攻击者，捕获攻击数据，分析追踪攻击行为，为进一步对恶意行为进行控制提供了有效技术措施，而这些主动欺骗攻击者的防御思想在安全防御领域发挥了其他技术(防火墙，入侵检测系统)不可替代的作用。
蜜网的核心技术需求之一是数据控制。通过数据控制能够确保黑客不能利用蜜网危害第三方网络的安全，以减轻蜜网架设的风险，提高自身的防御性；数据控制是对攻击者在攻陷蜜罐后利用蜜罐向第三方发起攻击的行为进行限制的机制，对提高蜜网自身的防御性具有重要作用。通过数据控制技术可以有效降低蜜网带来的后期安全风险，加强蜜网自身的防御性。在第三代蜜网标准中，虽然蜜网通过防火墙对流经虚拟蜜网的数据流进行了控制，但是这种控制技术更多依赖于已知攻击特征模式的数据在单位时间内超过所设定的阈值而产生报警的思想，对于已知的蠕虫攻击和拒绝服务攻击能起到一定的作用。现有蜜网技术对故意放缓攻击速率以期绕过防火墙控制的未知攻击行为或隐蔽型攻击行为不能发现，并且对慢速攻击行为进行智能辨别也束手无策，有可能误将黑客精心构造的恶意数据放行。
发明内容
本发明的目的是克服现有技术中存在的不足，提供一种对蜜网系统的数据控制的方法，即采用一种多轮检测机制来改进蜜网在以上方面的不足，并且通过分析各种攻击行为方式之间的不同之处有针对性地加以控制，使得高效蜜网防御系统能够对慢速攻击数据流进行分类识别。
按照本发明提供的技术方案，一种蜜网主动防御系统中的数据控制方法包括如下步骤：
(1)在局域网的边界入口处放置检测和抑制设备，监测进出的数据流，抓取失败连接请求数据包，每当收到失败连接请求数据包就根据其中的IP源地址生成一条记录，并将该记录存入短期检测表里，同时判断该记录是否已存入过；短期计数器统计局域网内同一条记录在规定的较短单位时间内存入短期检测表的次数。
(2)判断是否短期计数器超过阈值，即短期计数器超时并且对某个IP源地址的计数值超过门限值，如果是，则认为检测到蠕虫异常行为，对该可疑IP源地址发出的数据包进行抑制，如果否，则将存入短期检测表里的该条记录存入长期检测表里，同时判断该记录是否已存入过。
(3)长期计数器统计局域网内同一条记录在规定的较长单位时间内存入长期检测表的次数；当某条记录中对应的IP源地址发生一次正常连接请求时，长期计数器对该记录的计数值减1。
(4)判断是否长期计数器超过阈值，即长期计数器超时并且对某个IP源地址的计数值超过门限值，如果是，则认为检测到慢速蠕虫异常行为，对该可疑IP源地址发出的数据包进行抑制，如果否，则对该IP源地址发出的数据包放行。
所述短期检测表用于存储局域网内每个IP源地址在规定的较短单位时间内的失败连接记录；如果存入短期检测表的记录已存在，则短期计数器对该记录的计数值加1，否则计数值等于1。
所述长期检测表用于存储局域网内到达长期检测表的IP源地址在规定的较长单位时间内的失败连接记录；如果存入长期检测表的记录已存在，则长期计数器对该记录的计数值加1；否则计数值等于1。
本发明的优点是：能够识别故意放缓攻击速率以期绕过防火墙控制的未知攻击行为或隐蔽型攻击行为，识别隐蔽型攻击行为和慢速攻击行为，特别能够分析鉴别黑客发明的新的攻击行为模式；有益于网络安全管理人员早期检测发现异常攻击行为，研究黑客行为模式，提取恶意样本，帮助网络安全管理人员定位可疑主机、分析数据、部署特定安全策略；对于帮助公安机关侦破黑客案件，防范黑客攻击我国政府、军工、国防、金融、大型连锁商业的网站窃取政治经济信息具有重要意义。
附图说明
图1是本发明所述方法的流程图。
具体实施方式
下面结合附图和实施例对本发明作进一步说明。
本发明旨在提供一种先进的蜜网防御系统中的数据控制方法，在蜜网的体系构架中使用多轮检测机制，完善数据控制和攻击行为特征分类技术；以解决困扰蜜网工作效率的数据控制的关键问题。
本发明通过分析各种攻击行为方式之间的不同之处有针对性地加以控制，使得高效蜜网防御系统能够对慢速攻击数据流进行分类识别。传统蜜网对故意放缓攻击速率以期绕过防火墙控制的未知攻击行为不够智能化，并且对隐蔽型攻击行为进行智能辨别也束手无策。本发明通过分析不同攻击行为之间本质的行为差别，引入多轮检测机制提高数据控制的效率。
为了改善目前多数蜜网数据控制机制不够完善的窘境，同时为了阐述的清晰方便，本发明就目前网络安全领域威胁最大的蠕虫攻击行为进行说明。针对蠕虫检测防御策略对慢速隐蔽性蠕虫无能为力的窘境，本发明引入了两个存储表——短期检测表和长期检测表，分别存储较短时间和较长时间内的失败连接记录，这样做的目的是为了对在短期检测表内如果慢速隐蔽性蠕虫病毒在计数器没有超过预先设定的阈值时，我们就把相应的记录放入长期检测表中进行较长时间的累加检测，最终达到甄别病毒的目的。
我们对失败连接进行计数统计，短期计数器对每个IP源地址(即发出连接请求的IP地址)的记录都有一个计数统计，当短期计数器超过阈值时认为检测到蠕虫异常行为，对该IP源地址发出的数据包进行抑制，但当短期计数器没有超过阈值时，开始触发多轮检测机制，将该IP源地址的记录存入长期检测表里，长期计数器对每个IP源地址的记录也都有一个计数统计，当长期计数器超时并且计数值超过门限值时，我们认为检测到蠕虫异常行为，进行抑制，如果没有超时，认为该数据包正常可以放行。
本发明的多轮检测机制，其核心思想是导入多个存储表分别存储较短时间和较长时间内的异常连接记录，这样做的目的是为了对在较短时间内如果蠕虫型恶意攻击数据没有超过预先设定的阈值以期躲避防火墙控制，就把相应的记录放入长期检测表中进行较长时间的累加检测。
如图1所示：
我们在局域网的边界入口处放置检测和抑制设备监测进出的数据流。在抓取数据包时，我们利用Linux平台下的tcpdump工具进行抓包，每当收到失败连接数据包就根据其中的IP源地址生成一条记录，如下表所示：