专利名称::主动网络防御方法和系统的制作方法
技术领域:
:本发明涉及的是一种计算机网络安全技术,特别涉及的是一种通过在网络中架设虚拟机,诱使黑客扫描、攻击所述的虚拟机,相应记录黑客的行踪和攻击手段等信息,迷惑黑客的网络防御方法和系统。
背景技术:
:在计算机网络中,防火墙、入侵检测和漏洞扫描是保护网络安全的基本手段。防火墙安装在受保护网络的外围起到防御来在外部攻击的作用,入侵检测系统安装在受保护网络的内部起到防御来自网络内部的攻击。然而这些技术都属于被动防御,只有当黑客发动攻击后,才会做出反应,因此,要想有效防御,必须了解黑客的一些信息。不幸的是,在网络攻防的两端存在着极大的不对称性,黑客可以利用扫描、探测等技术手段全面掌握被攻击者的信息而防御者对黑客的来源、攻击方法和攻击目标等信息却一无所知。随着人们对网络安全的研究,一种蜜罐原理应运而生,所述的蜜罐是一种资源,其价值在于它在网络中会受到黑客的探测、攻击或攻陷。由其延伸出蜜网,其是由若干台蜜罐服务器、防火墙和IDS等组成的蜜罐网络。蜜罐并不修正任何问题,它们仅为我们提供额外的、有价值的信息。也就是说,蜜罐本身并不直接为网络提供保护。相反,蜜罐是专门用来被人入侵的一种资源,是给攻击者的一个诱饰。一般情况下,蜜罐上不会部署业务应用,因此进出蜜罐的通信都是非授权的。蜜罐最根本的特征是故意留有漏洞的虚拟服务。这些服务是架设在一定系统之上的。鉴于上述缺陷,本发明创作者经过长时间的研究和实验终于获得了本创作
发明内容本发明的目的在于,提供一种主动网络防御方法和系统,用以克服上述的缺陷。为实现上述目的,本发明采用的技术方案在于,首先提供一种主动网络防御方法,其包括的步骤是步骤a:在网络中虚拟设置至少一台存在明显安全漏洞的服务器或路由器;步骤b:网络攻击者利用所述的漏洞取得了所述服务器或路由器的管理员命令解释程序;步骤c:对网络攻击者运行命令解释程序进行监视,并将运行过程进行记录,用以耳又i正。较佳的,所述的服务器或路由器通过配置防火墙隔离开同一网络中的其他设备。较佳的,所述的步骤c:对网络攻击者运行命令解释程序进行监视,并将运行过程进行记录,用以取证;其包括的步骤为步骤cl:监控上传后门并执行后门的整个过程,记录后门的进程标识符或者后门进程注入的目标进程;步骤c2:将后门程序拷贝到相关目录存储;步骤c3:对网络攻击者的攻击信息,以日志的形式进行存储并发送给一曰志模块。较佳的,所述的存储的日志包含黑客登入时间、黑客注销时间、黑客源IP地址、黑客源MAC地址、黑客上后门命令、黑客后门程序进程标识符/后门程序注入的目标程序的进程标识符以及黑客后门程序名称。较佳的,所述的日志,其格式采用snort日志格式,采用其中的两种格式XML和纯文本。其次提供一种主动网络防御系统,其是基于上述的主动网络防御方法实现的,其包括复数台虚拟机,其受操作系统支持,并分别运行具有漏洞的服务程序;一取证模块,其监视网络攻击者利用漏洞取得了所述虚拟机的管理员命令解释程序,将运行过程进.行记录,用以取j正;一日志模块,其接收所述的取证模块提供的记录,并进行存储。较佳的,所述的复数台虚拟机运行的操作系统分别为Linux,FreeBSD,WindowNT和Solaris其中之一。较佳的,所述的复数台虚拟机、取证模块以及日志模块都设置在一宿主主机上;或者是所述复数台虚拟机、取证模块设置在一宿主主机上,所述的日志模块设置一日志服务器上。'与现有技术比较本发明的有益效果在于,通过在网络中架设蜜罐或者蜜网,诱使黑客扫描、攻击蜜罐或蜜网,蜜罐或蜜网来记录黑客的行踪和攻击手段等信息,迷惑黑客,同时分担其它处于网络中的设备被攻击的危险。图1为本发明主动网络防御方法的流程图2为本发明主动网络防御系统所处网络架构简图。具体实施例方式以下结合附图,对本发明上述的和另外的技术特征和优点作更详细的说明。请参阅图l所示,其为本发明主动网络防御方法的流程图,其包括的步骤是步骤a:在网络中虚拟设置至少一台存在明显安全漏洞的服务器或路由器;令解释程序;步骤c:对网络攻击者运行命令解释程序进行监视,并将运行过程进行记录,用以耳又i正。其中,所述的在网络中虚拟设置的至少一台存在明显安全漏洞的服务器或路由器就是所述的蜜罐,其最根本的特征是故意留有漏洞的虚拟服务。这些服务是架设在一定系统之上的。蜜罐可以虛拟一台Linux下的http服务器,如apache-2.2,也可以虚拟一台Cisco路由器,或者一台AIX下的MySQL服务;其不但能够在一台主机上虚拟一种或几种服务器,也可以由一台主机虚拟出一个网络拓朴结构,路由器和各种服务器,这就是蜜网。所述的服务器或路由器通过配置防火墙隔离开同一网络中的其他设备。蜜罐无论虛拟哪种服务,除了吸引黑客以外,这些服务都是没有实际功用的。蜜罐尽量防止黑客攻陷蜜罐/蜜网系统,但蜜罐/蜜网系统并不保证不被攻陷。所述的步骤c:对网络攻击者运行命令解释程序进行监视,并将运行过程进行记录,用以取证;其包括的步骤为步骤Cl:监控上传后门并执行后门的整个过程,记录后门的进程标识符或者后门进程注入的目标进程;步骤c2:将后门程序拷贝到相关目录存储;步骤c3:对网络攻击者的攻击信息,以日志的形式进行存储并发送给一日志模块。其中,所述的存储的日志包含黑客登入时间、黑客注销时间、黑客源IP地址、黑客源MAC地址、黑客上后门命令、黑客后门程序进程标识符/后门程序注入的目标程序的进程标识符以及黑客后门程序名称。所述的日志,其格式采用snort日志才各式,采用其中的两种才各式XML和纯文本。其次提供一种主动网络防御系统,其是基于上述的主动网络防御方法实现的,请参阅图2所示,为本发明主动网络防御系统所处网络架构简图;蜜罐和真实服务器在整个网络中的位置是相同的,位于同一个网段,比如DMZ区。如附图所示。蜜罐器不是防火墙,也不是入侵检测,它的存在的意思在于吸引黑客的攻击。蜜罐自身有可能被攻破,也有可能成为黑客攻击真实服务器的跳板。但蜜罐上的程序是没有任何价值的,是通过吸引黑客的攻击,分担了真实服务器的收到攻击的压力,采集了黑客的攻击代码,取得了黑客入侵蜜罐的证据。蜜罐/蜜网与防火墙,入侵检测联动使用会起到很好的效果。对于本主动网络防御系统其可以是建立在一宿主主机上的软件实现的程序结构,其包括复数台虚拟机,取证模块以及日子模块,其中复数台虚拟机是由宿主主机使用Vmware虚拟机软件运行多台虚拟机,分别运行Linux,FreeBSD,WindowNT和Solaris等操作系统。所述的虚拟机都运行了带有漏洞的服务,同真实服务器在同一网段,这四台服务器也成为"蜜罐"。在其上同时运行了多种操作系统与应用程序,这些操作系统与应用程序共享硬件装置,但在逻辑上各自独立运行互不干扰。虚拟层映射实体的硬件资源到自己本身的虚拟机器资源,因此每个虚拟机都有各自的CPU,内存,硬盘,1/0设备等…所以虛拟机器完全等同于一个标准的计算机。虚拟机可以虚拟x86、x86—64、ARM、SPARC、PowerPC和MIPS等不同架构。宿主主机是一台高性能主机,运行Windowsxp系统。虚拟机程序以虚拟硬盘的方式存在,可以存放其本地硬盘,移动存储设备或光存储设备中,四台蜜罐处于同等地位,下文中"蜜罐"特指Li皿x的蜜罐。蜜罐运行Linux2.6操作系统,Linux2.6操作系统上运行带有漏洞的ApacheGroupApache2.0.46,其mod—rewrite模块在转义绝对URI主题时存在单字节緩沖区溢出漏洞,攻击者可能利用此漏洞在服务器上执行任意指令。蜜罐关闭除了Apache以外的其它服务,并通过配置其防火墙iptables仅开放本地的http服务。假设黑客占据了内网的一台主机,以下简称黑客主机。黑客主机通过扫描工具mmap扫描某网段内在线的主机,mmap在探测蜜罐的80端口是后者做出正确的ICMP应答。黑客主机发现蜜罐开放了HTTP服务,蜜罐返回的banner判断服务器为Apache服务器。黑客主机随后使用ApacheHackerTool对的蜜罐80端口进行重新扫描,发现了其存在緩冲区溢出的漏洞。黑客主机利用该漏洞取得了蜜罐服务器的管理员命令解释程序。在黑客主机取得蜜罐管理员命令解释程序的同时,由蜜罐上的取证模块监视黑客所取得的命令解释程序。所述的取证模块采用黑客常用的注入方式,在新命令解释程序启动的同时注入到命令解释程序中。这段命令解释程序代码(shellcode)可以监控上传后门并执行后门的整个过程,记录后门的PID(进程标识符)或者后门进程注入的目标进程等的相关信息,可以将后门程序拷贝到相关目录存储,以备研究之用。所述的取证模块以简单文本的形式存储日志,黑客取证模块在记录的同时将记录内容发送给日志模块。在黑客主机与蜜罐进行交互的同时,运行在宿主主机上的日志模块将将黑客服务器的数据包记录下来,其中含有黑客攻击蜜罐的代码,日志模块记录曰志的格式采用snort日志格式,采用其中的两种才各式XML和纯文本,可以通过友好的方式查看黑客服务器与蜜罐之间通信的数据包。宿主主机上的日志记录才莫块可以通过3,平台的socket编矛呈或libpcap/winpcap编禾呈来实现。对于本主动网络防御系统也可以建立在一宿主主机和一硬件构成日志才莫块的基础上的,所述的日志模块可以是硬盘、移动存储设备、光存储等设备上,也可以是远端的日志服务器蜜罐系统通过日志模块和取证模块将记录黑客的攻击手段和非法入侵的证据。宿主主机及其日志模块、客户主机虚拟服务器及其取证模块以及日志服务器的联动很好的起到诱捕黑客,采集黑客信息的作用,采用这种方式的蜜罐系统有可能记录到零日攻击,即以前没有发现的攻击。蜜罐也可以通过纯硬件或者软硬件结合的方式实现。类似于防火墙和入侵才企测系统,蜜罐可以搭载在PowerPC等其它架构上,通过裁剪Li皿x内核,去掉内核中无用的模块,通过内核级虚拟机来实现嵌入式蜜罐。通过在网络中架设蜜罐或者蜜网,诱使黑客扫描、攻击蜜罐或蜜网,蜜罐或蜜网来记录黑客的行踪和攻击手段等信息,迷惑黑客,同时分担其它处于网络中的设备被攻击的危险。以上所述仅为本发明的较佳实施例,对本发明而言仅仅是说明性的,而非限制性的。本专业技术人员理解,在本发明权利要求所限定的精神和范围内可对其进行许多改变,修改,甚至等效,但都将落入本发明的保护范围内。权利要求1、一种主动网络防御方法,其特征在于,其包括的步骤是步骤a在网络中虚拟设置至少一台存在明显安全漏洞的服务器或路由器;步骤b网络攻击者利用所述的漏洞取得了所述服务器或路由器的管理员命令解释程序;步骤c对网络攻击者运行命令解释程序进行监视,并将运行过程进行记录,用以取证。2、根据权利要求1所述的主动网络防御方法,其特征在于,所述的服务器或路由器通过配置防火墙隔离开同一网络中的其他设备。3、根据权利要求1所述的主动网络防御方法,其特征在于,所述的步骤c:对网络攻击者运行命令解释程序进行监视,并将运行过程进行记录,用以取证;其包括的步骤为步骤cl:监控上传后门并执行后门的整个过程,记录后门的进程标识符或者后门进程注入的目标进程;步骤c2:将后门程序拷贝到相关目录存储;步骤c3:对网络攻击者的攻击信息,以日志的形式进行存储并发送给一日志模块。4、根据权利要求3所述的主动网络防御方法,其特征在于,所述的存储的日志包含黑客登入时间、黑客注销时间、黑客源IP地址、黑客源MAC地址、黑客上后门命令、黑客后门程序进程标识符/后门程序注入的目标程序的进程标识符以及黑客后门程序名称。5、根据权利要求4所述的主动网络防御方法,其特征在于,所述的日志,其格式采用snort日志才各式,采用其中的两种格式XML和纯文本。6、一种主动网络防御系统,其是基于上述的主动网络防御方法实现的,其特征在于其包括复数台虚拟机,其受操作系统支持,并分别运行具有漏洞的服务程序;一取证模块,其监视网络攻击者利用漏洞取得了所述虚拟机的管理员命令解释程序,将运行过程进行记录,用以取证;一日志模块,其接收所述的取证模块提供的记录,并进行存储。7、根据权利要求6所述的主动网络防御系统,其特征在于,所述的复数台虚拟机运行的操作系统分别为Linux,FreeBSD,WindowNT和Solaris其中之8、根据权利要求6所述的主动网络防御系统,其特征在于,所述的复数台虚拟机、取证模块以及日志模块都设置在一宿主主机上;或者是所述复数台虚拟机、取证模块设置在一宿主主机上,所述的日志模块设置一日志服务器上。全文摘要本发明为一种主动网络防御方法和系统,其实现的方法包括的步骤是步骤a在网络中虚拟设置至少一台存在明显安全漏洞的服务器或路由器;步骤b网络攻击者利用所述的漏洞取得了所述服务器或路由器的管理员命令解释程序;步骤c对网络攻击者运行命令解释程序进行监视,并将运行过程进行记录,用以取证。文档编号H04L9/36GK101471783SQ200710304568公开日2009年7月1日申请日期2007年12月28日优先权日2007年12月28日发明者瑶丁,净媛媛,张庆胜,磊王,程登峰申请人:航天信息股份有限公司