专利名称:一种基于网络陷阱的DDoS攻击防御系统的制作方法
技术领域:
本发明是属于网络安全技术领域,尤其涉及一种基于网络陷阱的分布式拒绝服务攻击(DDoS)的防御系统,其用于在自治域网络或局域网中发生DDoS攻击的情况下,能对攻击快速响应,诱导攻击进入网络陷阱,并有效地分离合法数据流和攻击数据流。
背景技术:
随着互联网的迅速发展,网络安全已经成为一个备受关注的问题,人们也越来越重视对网络攻击的检测和防范。在众多网络攻击中,分布式拒绝服务攻击(DDoS)是一种简单有效但很难防御的攻击方式。DDoS攻击是一种分布式、协作的大规模拒绝服务攻击,具有攻击范围广、隐蔽性强等特点。目前,在技术手段上尚无完全有效的防范方法,因为它是利用缓冲区溢出或TCP/IP协议自身的缺陷,产生大量“合法”的数据包来攻击目标,如·TFN2K, Ping of death,SYN攻击种类等。经过流量分析,DDoS攻击数据流量一般具有例如攻击流量目的地址过于集中且无拥塞控制;流向目的主机的TCP/UDP流量目的端口过多或目的端口过于集中;流向目的主机中流量包含大量的相同标志位数据包等特点。DDoS攻击的实质是使服务器处理超过其正常限度的数据量,因此实施监控和分析这些数据量的变化,区分正常和异常的特征,是DDoS攻击检测和防护的有效途径。为了能够更加有效地对抗DDoS攻击,一些研究机构和学者从控制网络数据流量这一角度出发,把网络陷阱技术引入进来。网络陷阱是一种主动的网络保护技术,由放置在网络中的多个蜜罐系统和一个远程的蜜罐控制台组成。网络陷阱建立一个诱骗环境来吸引攻击者,观察并记录其攻击行为,使攻击者在网络陷阱中耗费精力和技术,从而保护了真实的系统和资源;通过分析蜜罐系统记录的数据还可以了解攻击者的动向、使用和新攻击方法等。网络陷阱技术使抵抗攻击行为变被动为主动,打破了防火墙、入侵检测系统等被动防御的网络安全机制。但传统的网络陷阱对于DDoS攻击只是简单地进行丢弃数据包的处理,造成正常用户也不能访问网络资源的结果。
发明内容
基于现有技术中的问题,本发明提出了一种基于网络陷阱的DDoS攻击防御系统。它能够抵御已知的DDoS攻击,引诱攻击者进入陷阱系统,减少攻击者对网络中其它系统的危害,同时对网络中的数据流量进行分流处理,把正常流和DDoS攻击流区分开,并过滤掉DDoS攻击流,使正常流根据源路由访问目的主机。本发明的技术方案是一种基于网络陷阱的DDoS攻击防御系统,包括蜜罐控制台、多个蜜罐系统、报警代理和数据分流器,其特征在于
所述蜜罐系统安装在主机设备上,并挂入主机设备的操作系统,通过模拟正常服务的网络流量,对网络探测、扫描和访问进行欺骗,吸引攻击者进入;并在日志中记录进入陷阱网络的攻击者的所有活动;
所述蜜罐控制台安装在服务器设备上,用于对蜜罐系统上捕获的网络数据进行分析,当发现DDoS攻击数据流时,向数据分流器发送警报信号;所述蜜罐控制台还用于对网络中部署的所有蜜罐系统进行管理和监控,完成对蜜罐系统的配置和信息查询;
所述警报代理安装在主机设备上,用于向数据分流器和/或网络管理员发出报警;
所述数据分流器安装在服务器设备上,用于根据过滤策略对数据流进行分流,过滤掉DDoS攻击数据流,保证合法数据包继续传送到目的主机。所述蜜罐系统和蜜罐控制台构成网络陷阱。进一步,所述蜜罐系统包括数据欺骗模块、数据捕获模块和数据通信模块,
所述数据欺骗模块用于对网络探测、扫描和访问进行欺骗,模拟正常服务的网络流量, 吸引攻击者进入;
所述数据捕获模块用户实时监听陷阱系统中的各种探测、扫描和访问,并对各种行为进行记录,形成标准格式的信息;
所述数据通信模块用于在蜜罐系统和蜜罐控制台之间的通信,其包括加密和解密模块。进一步,所述数据捕获模块捕获的数据通过所述数据通信模块保存于蜜罐控制台的数据库模块中。进一步,所述数据欺骗模块欺骗的方式为伪装服务、开放端口或放置敏感文件。作为优化方案,所述蜜罐控制台包括数据库模块和数据分析模块,
所述数据库模块用于捕获数据的处理和存储,并根据需要提供查询、打印和统计的功倉泛。所述数据分析模块用于对可疑的攻击流进行进一步的分析,以确定是否是DDoS攻击。作为再一优化方案,所述数据分流器包括规则数据库模块和过滤模块,
所述规则数据库模块用于通过知识发现,形成了描述数据流的行为特征的规则集,所述规则用于描述各种DDoS攻击流的特征。所述过滤模块用于根据规则数据库中的规则对数据流进行分析和过滤,将合法流和攻击流分开,并将合法数据流导向正常服务区,滤掉已知的攻击流。进一步地,还包括防火墙,所述防火墙设置在网络入口处,直接与因特网相连,用于监听和阻塞向外发送的数据包;所述防火墙还用于动态分流将可疑数据流转接到陷阱系统中。又进一步地,还包括路由器,所述路由器设置在防火墙和蜜罐系统之间,用于保护蜜罐系统不被用做攻击其他系统的跳板。再进一步地,还包括入侵检测系统,所述入侵检测系统设置在防火墙之后,用于初步检测流入的数据流,针对可疑攻击主动向所述防火墙,并通过所述防火墙的将后续的数据流转向蜜罐系统中。本发明的有益效果是与现有的DDoS攻击防御系统相比,具有以下优点
I.提供了全自动的防御和分流方法
以往的一些方案,攻击防御需要人工参与,当发生DDoS攻击时,往往得不到及时处理,此外误报率也很大。本发明提出的系统中所有的监控、检测、报警和分流都可以自动进行处理,不需要人工的参与,因此,响应攻击更及时,反映更快速。
2.具有自学习性
本发明提出的系统采用聚类k-means方法和Apriori关联规则数据挖掘方法进行知识发现,并根据数据流的特征产生新的流量规则,系统能发现并检测新的DDoS攻击。3.不会影响正常用户对网络的访问
本发明的系统中采用数据分流技术,能够把正常数据流从DDoS攻击流中分离出来,不会对正常用户访问网络资源造成影响。
图I是本发明系统结构示意图 图2是蜜罐系统结构示意图
图3是蜜罐控制台结构示意图 图4是数据分析模块具体流程图 图5是数据分流器结构示意图
具体实施例方式图I所示的本发明系统结构示意图,物理上由一个蜜罐控制台、多个蜜罐系统、一个警报代理和一个数据分流服务器组成。这些在网络中部署的蜜罐系统可以形成一个安全防御体系。其中每一个蜜罐系统就是一台欺骗主机,它具有的外部特征能够吸引攻击者的入侵,蜜罐系统可建立多个操作系统伪装环境,其操作系统和主机操作系统相同。攻击者可通过两种途径进入蜜罐系统,一是攻击者发现蜜罐系统上的敏感信息或系统漏洞借助攻击工具进入;二是入侵检测系统检测出当前数据流是可疑攻击数据流,通过防火墙的地址转向功能将可疑数据转向到蜜罐系统中。在实际组网中,蜜罐系统与蜜罐控制台异地部署,并由防火墙分隔开来,它们之间的联系采用TCP方式,设置为只有蜜罐系统中捕获的数据加密后才可到达蜜罐控制台。蜜罐控制台可以对网络中所有的蜜罐进行远程的监控,并根据检测数据判别是否发生DDoS攻击,以及是否发出警报启动数据分流程序。警报代理,用来检测到DDoS攻击流后向数据分流器发出报警,由数据分流器对攻击数据流进行分流处理,也可向网络管理员发出警报,实现对攻击数据流进行人工干预。数据分流器安装在服务器设备上,其作用是根据一定的过滤策略对数据流量进行分流,如符合某条DDoS攻击流特征就进行丢弃处理,如果是正常数据流就进行网络地址转换。经过数据分流器处理的是被入侵检测系统检测出存在威胁的数据流,再通过蜜罐控制台的细化分析是否发生DDoS攻击,对警报事件动态地进行过滤措施,把合法数据包和DDoS攻击包分离开。合法包将沿原来的路由到达目的主机,DDoS攻击包则被过滤掉。蜜罐控制台和多个蜜罐系统构成网络陷阱系统,网络陷阱系统中还包括防火墙、路由器和入侵检测系统(IDS)。防火墙设置在网络入口处,直接与因特网相连,在其出口处进行控制,允许所有的进入的连接,控制出去的连接,一旦蜜罐系统向因特网的连接达到一定的数目,防火墙就阻断所以后续的连接企图,避免蜜罐系统成为攻击者的跳板。此外,防火墙具有动态分流的作用,当入侵检测系统检测到可疑数据流时,可以将可疑数据流转接到陷阱系统中。路由器设置在防火墙和蜜罐系统之间,首先,路由器隐藏了防火墙;当攻击者进入蜜罐系统后,发现蜜罐系统由路由器连接着外网,这种布局更符合一个真实的网络,其次,路由器可以作为第二层访问控制设备成为防火墙的补充,在路由器上设置着访问控制表,可以把所有源地址不是蜜罐系统的数据包都过滤掉,防止攻击者在控制蜜罐系统后,伪造源IP地址向其它主机发起攻击。入侵检测系统设置在防火墙之后。入侵检测系统用于初步检测流入的数据流,当入侵检测系统认为当前流量正常时,就放行流量;当检测到可疑攻击时,入侵检测系统主动向防火墙发出信息,通过防火墙的地址转向功能将后续的数据流转向蜜罐系统中,进一步观察其行为。入侵检测系统也具有知识学习的能力,当发现新的入侵行为时,蜜罐控制台分析数据产生新的攻击规则,入侵检测系统的规则库随之更新,从而使入侵检测系统可以检测出新的入侵行为。这里所使用的入侵检测系统是开放源码的Snort。如图2所示是蜜罐系统结构示意图。对蜜罐系统的部署涉及三个模块,包括·
数据欺骗模块,以实现对网络攻击的诱导功能。一般用伪装服务、开放端口和放置敏感文件等形式对网络探测、扫描和访问进行欺骗,通过网络流量仿真软件模拟正常服务的网络流量,吸引攻击者进入。数据捕获模块,以实现对网络数据的捕获功能。在攻击者没有察觉的情况下,尽可能多地捕获有关攻击者的行为数据,进行实时监听蜜罐系统中的各种探测、扫描和访问,也包括攻击者对蜜罐系统中的文件的读取、数据删改等操作,并对各种行为进行记录,并形成标准格式的信息。数据捕获模块要从各种不同的数据源收集数据,分层次地进行数据捕获,像防火墙日志、入侵检测系统日志和蜜罐系统日志都要包含在内。为了更全面完整地捕获攻击者的有关信息,还可以使用第三方软件来记录攻击者的网络通信和系统活动。数据通信模块,以实现蜜罐系统和蜜罐控制台数据通信的功能。为了防止攻击者对捕获地数据进行破坏,捕获到的数据不能保存在蜜罐系统中,捕获到的数据通过数据通信模块存储到控制台的数据库模块中。在各蜜罐系统和控制台服务器都有通信模块,它使用统一的数据传输格式传输数据,发送数据前进行加密,接收数据后进行解密,保证传输在网络上的数据都是加密状态传送的,常用的加密方法有MD5等。如图3所示是蜜罐控制台结构示意图。对蜜罐控制台的部署涉及两个模块,包括 数据库模块,以实现将数据捕获模块获取的数据存储在数据库的功能,数据库模块作
为远程数据处理和存储中心,可以根据需要查询、打印和统计各种原始数据。数据库模块中的数据包含防火墙日志、入侵检测系统日志和蜜罐系统的系统日志等。系统可设置一定的时间间隔或人工地对数据库中信息进行分类,以方便规则的提取。数据分析模块,以实现数对数据库模块上的信息进行处理。数据分析模块对有可疑的攻击流进行进一步的分析,如果这种可疑攻击可能是DDoS攻击,则向警报代理发出预警,将网络数据导向数据分流器。数据分析的过程如图4所示,具体的步骤如下
步骤I利用数据库模块获取的蜜罐系统捕获的数据,通过预处理转化为连接记录。对蜜罐系统捕获的数据预处理,转化为连接记录,每个连接记录中包含9个属性time, flag, direction, src—host, dst host, src byte, dst—byte, src—port, service。其含义分别为time表示一个连接发生的时间;flag表示连接结束的状态;direction根据数据包的从源地址到目的地址的方向;src- host表示源主机IP ;dste host表示目的主机IP ;srcwe byte表示发送方发出的字节数;dst_byte表示目的方发送的字节数;src_port表示发送方的端口号;service表示服务类型。其中,src byte和dst-byte字段是数值属性的统计量。步骤2采用聚类k-means方法对连接记录进行处理,将连接记录转化为流量特征。步骤2. I选k个初始聚类中心^1(I) ,Z2(I),…,Zi(I),聚类中心的向量值可以任意设定,一般可用开始k样本点作为初始聚类中心。步骤2. 2 逐个将需分类的数据包样本{x}按最小距离原则分配给聚类中心的某一个Zj⑴。假如i=j时,Dj⑴=min{ ||n/0|,i=l, 2,…,k},则X e Sj(I),其中I为迭代运算次序号,第一次迭代则1=1,S」表
示第j个聚类,其聚类中心为Zj。步骤2. 3计算各个聚类中心的新的向量值,即求各聚类域中包含样本的均值向量Zj(l+l)=| Σ1, j=l,2,···,k,其中M是第J个聚类域Sy中所包含的样本数。以均
值向量为新的聚类中心,使聚类准则函数+ Μ最小,其中j=l,2,一,k。步骤2.4如果Zy (1+1)古Zj(I),j=l, 2,…,k,则1=1+1,回到步骤2. 2,将样本逐个重新分类,重复迭代计算。如果Z7(Rl)=Z7(I), J =1,2,···,1则算法收敛,计算完毕。这样就将原有的包含数值属性的字段全部替换为布尔型,形成数据的流量特征。步骤3进行DDoS攻击数据流的判别,当发现DDoS攻击时,向警报代理发出信号。步骤4采用Apriori关联规则数据挖掘方法进行知识发现,并根据数据流的特征产生的新规则。可以得到如下的关联规则(service: http&duration: O&src 一byte:0&dst_byte: O — flag:sO) [support=5. 14%, confidence=95. 68%] 其意思是当某外部主机用http进行时,其连接时间为0,源和目标之间的传送数据也为0,仅发送出一个数据包的支持度为5. 14%,可信度为95. 68%,这样的连接可视为不正常。根据新规则对入侵检测系统的规则库进行更新,从而使入侵检测系统可以检测出新的入侵行为。特别地,当攻击类型是DDoS攻击时,将提取出的规则发送到数据分流器的规则数据库模块中,从而使数据分流器可以过滤到新型DDoS攻击数据流。如图5所示是数据分流器结构示意图,对数据分流器的部署涉及两个模块
规则数据库模块,以实现保存可描述的所有DDoS攻击流的规则的功能。根据长时间的
知识发现,形成了比较完整地描述数据流的行为特征的规则集,可描述出各种DDoS攻击流的特征。当发生DDoS攻击时,由控制台服务器的数据分析模块传送新规则,实现实时更新规则数据库。规则数据库模块是实现分流机制的数据基础,过滤模块正是使用规则数据库的规则对数据流进行过滤的。实际操作的过程是首先,接收从蜜罐控制台的数据分析模块传送过来的新规则。其次,分析新规则的实用性。如果产生的是无用的规则,系统就丢弃掉;如果新规则比原来的规则更精确,就更新原有规则;如果是新的DDoS攻击规则,就把此规则加入到数据库中,更新数据库。过滤模块收到警报器发出的警报后,比对规则数据库中的DDoS攻击流的特征,根据已有的规则对数据流进行过滤,将合法流和攻击流分开,将合法数据流导向正常服务区,并过滤掉的攻击流。该防御系统主要解决了三个问题
(I)使用网络陷阱吸引攻击者的注意,来保护实际运行的网络和系统。(2)实时检测当前网络流量的异常状态,发现可疑攻击时,把后续数据流导向网络陷阱中。(3)利用网络陷阱的数据分析功能,分析可疑数据流的特征,当确定是DDoS攻击时,根据已有的规则对数据流进行过滤,将合法流和DDoS攻击流分开,将合法数据流导向正常服务区,并过滤掉的攻击流。·以上所述的实例只是用于说明本发明,而不构成对本发明的限制。本领域的技术人员可以根据本发明公开的这些技术启示做出各种不脱离本发明实质的其它各种修改和变更,这些修改和变更仍然在本发明的保护范围内。
权利要求
1.一种基于网络陷阱的DDoS攻击防御系统,包括蜜罐控制台、多个蜜罐系统、报警代理和数据分流器,其特征在于 所述蜜罐系统安装在主机设备上,并挂入主机设备的操作系统,通过模拟正常服务的网络流量,对网络探测、扫描和访问进行欺骗,吸引攻击者进入;并在日志中记录进入陷阱网络的攻击者的所有活动; 所述蜜罐控制台安装在服务器设备上,用于对蜜罐系统上捕获的网络数据进行分析,当发现DDoS攻击数据流时,向数据分流器发送警报信号;所述蜜罐控制台还用于对网络中部署的所有蜜罐系统进行管理和监控,完成对蜜罐系统的配置和信息查询; 所述警报代理安装在主机设备上,用于向数据分流器或网络管理员发出报警; 所述数据分流器安装在服务器设备上,用于根据过滤策略对数据流进行分流,过滤掉DDoS攻击数据流,保证合法数据包继续传送到目的主机。
2.根据权利要求I所述的一种基于网络陷阱的DDoS攻击防御系统,其特征在于所述蜜罐系统包括数据欺骗模块、数据捕获模块和数据通信模块, 所述数据欺骗模块用于对网络探测、扫描和访问进行欺骗,模拟正常服务的网络流量,吸引攻击者进入; 所述数据捕获模块用于用户实时监听陷阱系统中的各种探测、扫描和访问,并对各种行为进行记录,形成标准格式的信息; 所述数据通信模块用于在蜜罐系统和蜜罐控制台之间的通信,其包括加密和解密模块。
3.根据权利要求I所述的一种基于网络陷阱的DDoS攻击防御系统,其特征在于所述蜜罐控制台包括数据库模块和数据分析模块; 所述数据库模块用于捕获数据的处理和存储,并根据需要提供查询、打印和统计的功; 所述数据分析模块用于对可疑的攻击流进行分析,以确定是否是DDoS攻击。
4.根据权利要求I所述的一种基于网络陷阱的DDoS攻击防御系统,其特征在于所述数据分流器包括规则数据库模块和过滤模块; 所述规则数据库模块用于形成描述数据流的行为特征的规则集,所述规则用于描述各种DDoS攻击流的特征; 所述过滤模块用于根据规则数据库中的规则对数据流进行分析和过滤,将合法流和攻击流分开,并将合法数据流导向正常服务区,滤掉已知的DDoS攻击流。
5.根据权利要求2所述的一种基于网络陷阱的DDoS攻击防御系统,其特征在于所述数据捕获模块捕获的数据通过所述数据通信模块保存于蜜罐控制台的数据库模块中;所述数据欺骗模块欺骗的方式为伪装服务、开放端口或放置敏感文件。
6.根据权利要求I所述的一种基于网络陷阱的DDoS攻击防御系统,其特征在于还包括防火墙,所述防火墙设置在网络入口处,直接与因特网相连,用于监听和阻塞向外发送的数据包;所述防火墙还用于动态分流将可疑数据流转接到陷阱系统中。
7.根据权利要求6所述的一种基于网络陷阱的DDoS攻击防御系统,其特征在于还包括路由器,所述路由器设置在防火墙和蜜罐系统之间,用于保护蜜罐系统不被用做攻击其它系统的跳板。
8.根据权利要求7所述的一种基于网络陷阱的DDoS攻击防御系统,其特征在于还包括入侵检测系统,所述入侵检测系统设置在防火墙之后,用于初步检测流入的数据流,针对可疑攻击主动向所述防火墙,并通过所述防火墙将后续的数据流转向蜜罐系统中。
9.根据权利要求4所述的一种基于网络陷阱的DDoS攻击防御系统,其特征在于所述规则集形成的步骤为 步骤I利用所述数据库模块获取的蜜罐系统捕获的数据,通过预处理转化为连接记录; 步骤2采用聚类k-means方法对连接记录进行处理,将连接记录转化为流量特征;步骤3进行DDoS攻击数据流的判别,当发现DDoS攻击时,向警报代理发出信号;步骤4采用Apriori关联规则数据挖掘方法进行知识发现,根据数据流的特征产生的新规则,并根据新规则对入侵检测系统的规则库进行更新。
10.根据权利要求9所述的一种基于网络陷阱的DDoS攻击防御系统,其特征在于所述步骤2的具体步骤为 步骤2. I选k个初始聚类中心C1(I), Z2(I),…,Zi(I); 步骤2. 2逐个将需分类的数据包样本{x}按最小距离原则分配给聚类中心的任意值Zj(I);假如i=j时,Dy(I) =min{, i=l, 2,…,k},则x e S7.⑴,其中I为迭代运算次序号,第一次迭代则7=1,S」表示第j个聚类,其聚类中心为Zj ; 步骤2. 3计算各聚类域中包含样本的均值向量
全文摘要
本发明公开一种基于网络陷阱的DDoS攻击防御系统,该系统包括蜜罐控制台、多个蜜罐系统、报警代理和数据分流器,所述蜜罐系统是一台欺骗主机,其操作系统和主机操作系统相同,其外部特征能够吸引攻击者的入侵,并通过蜜罐控制台将攻击数据引入数据分流器,实现对网络的保护。该系统能够抵御已知的DDoS攻击,引诱攻击者进入陷阱系统,减少攻击者对网络中其它系统的危害,同时对网络中的数据流量进行分流处理,把正常流和DDoS攻击流区分开,并过滤掉DDoS攻击流,使正常流根据源路由访问目的主机。
文档编号H04L12/26GK102790778SQ20121029932
公开日2012年11月21日 申请日期2012年8月22日 优先权日2012年8月22日
发明者丁辉, 倪彤光, 汪巍, 顾晓清 申请人:常州大学