專利名稱:一種阻斷蠕蟲攻擊的系統(tǒng)和方法
技術(shù)領(lǐng)域:
本發(fā)明涉及一種阻斷蠕蟲攻擊的系統(tǒng)和方法,確切地說,涉及一種基于端口進(jìn)行訪問控制的阻斷蠕蟲攻擊的系統(tǒng)和方法,屬于數(shù)據(jù)通信的網(wǎng)絡(luò)安全
背景技術(shù):
自從1988年蠕蟲病毒問世以來,計算機蠕蟲病毒以其快速、多樣化的傳播方式不斷給網(wǎng)絡(luò)世界帶來災(zāi)害。特別是1999年以來,高危的網(wǎng)絡(luò)蠕蟲(Worm)病毒的不斷出現(xiàn),使世界經(jīng)濟(jì)蒙受了輕則幾十億、重則幾百億美元的巨大損失。
網(wǎng)絡(luò)蠕蟲是一種通過網(wǎng)絡(luò)傳播的惡性病毒,它既具有病毒的許多共性,如傳播性,隱蔽性,破壞性等等,同時又有自己的一些特征,如不利用文件寄生(有的只存在于內(nèi)存中),對網(wǎng)絡(luò)造成拒絕服務(wù),以及與黑客技術(shù)相結(jié)合等等!因此,網(wǎng)絡(luò)蠕蟲病毒實際上是黑客技術(shù)與病毒技術(shù)融合后形成的“惡意代碼”。這種病毒徹底改變了傳統(tǒng)病毒在人們腦海中的印象。以往大家認(rèn)為病毒的傳播和破壞是被動式的,只要不使用盜版光盤、不打開來歷不明的郵件、不下載一些危險程序,一般不會感染病毒,也就是通常所說的“不吃不潔食物就不會得病”一樣。但是,這種融合病毒與黑客兩種技術(shù)于一體而形成的“新一代主動式惡意代碼”的特點是具有自我復(fù)制的自動繁殖能力,利用系統(tǒng)或網(wǎng)絡(luò)服務(wù)的各種漏洞自動入侵進(jìn)行傳播;會在極短時間內(nèi),利用優(yōu)化掃描的方法,感染數(shù)以萬計的有漏洞的計算機系統(tǒng)。
蠕蟲病毒的主要危害是產(chǎn)生巨大的網(wǎng)絡(luò)攻擊流量,極大浪費網(wǎng)絡(luò)帶寬,對網(wǎng)絡(luò)的正常通暢運行造成嚴(yán)重影響。其作用機理是感染蠕蟲病毒的計算機系統(tǒng)首先會通過大面積地搜索找到網(wǎng)絡(luò)上其他存在漏洞的計算機系統(tǒng),這將產(chǎn)生大量的網(wǎng)絡(luò)數(shù)據(jù)流量;當(dāng)蠕蟲成功入侵其它計算機系統(tǒng)后,會在被感染的計算機上產(chǎn)生自身的多個副本,每個副本又啟動搜索程序?qū)ふ倚碌墓裟繕?biāo),從而形成巨量的網(wǎng)絡(luò)流量,造成整個網(wǎng)絡(luò)擁塞、甚至癱瘓。
目前,主要利用在網(wǎng)絡(luò)中部署入侵檢測系統(tǒng)(IDS,Intrusion DetectionSystem)對網(wǎng)絡(luò)流量進(jìn)行分析來發(fā)現(xiàn)網(wǎng)絡(luò)蠕蟲攻擊,并進(jìn)行一定的處理。由于入侵檢測系統(tǒng)并聯(lián)在網(wǎng)絡(luò)中,只能被動地檢測網(wǎng)絡(luò)遭到了何種攻擊,其阻斷攻擊的能力非常有限,一般只能通過發(fā)送TCP reset(TCP重置)包或者與防火墻聯(lián)動來阻止攻擊。如果入侵檢測系統(tǒng)采用發(fā)送TCP reset包的方式來阻止蠕蟲傳播,又將進(jìn)一步增加網(wǎng)絡(luò)流量,加重網(wǎng)絡(luò)負(fù)擔(dān)。如果采用與防火墻聯(lián)動的方式,僅能阻擋來自外部的蠕蟲攻擊流量,對阻止網(wǎng)絡(luò)內(nèi)部的蠕蟲攻擊流量則無能為力。
發(fā)明內(nèi)容
有鑒于此,本發(fā)明的目的是提供一種基于端口進(jìn)行訪問控制的阻斷蠕蟲攻擊的系統(tǒng)和方法,本發(fā)明是在蠕蟲檢測裝置發(fā)現(xiàn)感染網(wǎng)絡(luò)蠕蟲病毒的主機后,在接入端口阻止該主機接入網(wǎng)絡(luò),以防止網(wǎng)絡(luò)內(nèi)部的其它主機感染蠕蟲病毒,也可阻止網(wǎng)絡(luò)內(nèi)部感染蠕蟲病毒的主機向外網(wǎng)發(fā)動蠕蟲攻擊,從而迅速、有針對性地阻斷蠕蟲病毒的泛濫,保障網(wǎng)絡(luò)系統(tǒng)的安全。
為了達(dá)到上述目的,本發(fā)明提供了一種阻斷蠕蟲攻擊的系統(tǒng),其特征在于該系統(tǒng)至少包括客戶端,其內(nèi)部安裝有采集所在網(wǎng)絡(luò)蠕蟲信息的客戶端軟件,以將蠕蟲信息經(jīng)由蠕蟲阻斷裝置發(fā)送給訪問控制裝置進(jìn)行匹配處理;蠕蟲阻斷裝置,為用戶提供接入的網(wǎng)絡(luò)設(shè)備,其內(nèi)部設(shè)有端口反查模塊、多個用戶接入的控制端口及提供相應(yīng)服務(wù)的網(wǎng)元;每個控制端口由一個控制單元和一個受控單元組成,不同的受控單元所連接的網(wǎng)元能夠提供不同服務(wù);收到訪問控制裝置返回的訪問控制指令后,對應(yīng)的控制端口執(zhí)行相關(guān)操作;訪問控制裝置,至少包括訪問控制服務(wù)器,其內(nèi)部設(shè)有兩個數(shù)據(jù)庫,分別存儲網(wǎng)絡(luò)中已知的蠕蟲類型和蠕蟲阻斷裝置的端口訪問控制策略;其中端口訪問控制策略是針對不同控制端口、且與每個端口一一對應(yīng)的訪問控制策略文件,每個訪問控制策略文件包含多條訪問控制策略;該裝置讀取蠕蟲信息,并以蠕蟲信息中的蠕蟲類型和相關(guān)信息在蠕蟲類型數(shù)據(jù)庫和端口訪問控制策略數(shù)據(jù)庫中進(jìn)行查找匹配,再根據(jù)匹配結(jié)果向蠕蟲阻斷裝置發(fā)回相應(yīng)的訪問控制指令。
所述蠕蟲信息內(nèi)容包括但不限于感染蠕蟲的主機的源MAC地址、源IP地址和蠕蟲類型。
所述客戶端是安裝有采集蠕蟲信息的客戶端軟件的入侵檢測設(shè)備。
所述蠕蟲阻斷裝置中的各組成構(gòu)件的功能是端口反查模塊,負(fù)責(zé)與客戶端的接口,從客戶端接收蠕蟲信息并針對其中的源MAC地址和/或源IP地址進(jìn)行端口反查,再根據(jù)端口反查的結(jié)果將蠕蟲信息送往相應(yīng)的控制端口的控制單元;控制單元,將蠕蟲信息發(fā)送給匹配蠕蟲的訪問控制裝置,并負(fù)責(zé)接收訪問控制裝置發(fā)回的訪問控制指令,同時根據(jù)訪問控制指令控制受控單元的操作;受控單元,為一個授權(quán)設(shè)備,根據(jù)訪問控制指令分別進(jìn)入三種工作狀態(tài)授權(quán)狀態(tài),與其相連的主機能夠訪問該端口連接的所有網(wǎng)元,進(jìn)而獲取這些網(wǎng)元提供的各種服務(wù);部分授權(quán)狀態(tài),允許接入主機訪問該端口連接的部分或特定網(wǎng)元;非授權(quán)狀態(tài),阻止接入主機訪問該端口;提供服務(wù)的網(wǎng)元,為與蠕蟲阻斷裝置相連接的主機所能訪問的網(wǎng)絡(luò)資源。
所述蠕蟲阻斷裝置是交換機,此時所述網(wǎng)絡(luò)為內(nèi)部局域網(wǎng)。
所述訪問控制裝置,可進(jìn)一步包括認(rèn)證服務(wù)器,以便采用用戶名/密碼對接入主機的用戶身份進(jìn)行認(rèn)證。
為了達(dá)到上述目的,本發(fā)明還提供了一種阻斷網(wǎng)絡(luò)蠕蟲攻擊的方法,其特征在于至少包括如下步驟(1)客戶端軟件輪詢其所在入侵檢測設(shè)備是否檢測發(fā)現(xiàn)蠕蟲攻擊,一旦發(fā)現(xiàn)蠕蟲攻擊,客戶端軟件提取該蠕蟲攻擊的相關(guān)信息,以“類型、長度、內(nèi)容”格式封裝后,使用網(wǎng)絡(luò)通訊協(xié)議將該蠕蟲信息包發(fā)送給蠕蟲阻斷裝置;
(2)蠕蟲阻斷裝置先將蠕蟲信息送到端口反查模塊進(jìn)行反查處理,查找出與蠕蟲信息中源MAC地址和/或源IP地址對應(yīng)的用戶接入端口后,將蠕蟲信息移交給該接入端口對應(yīng)的控制單元;(3)所述控制單元通過與訪問控制裝置的接口將蠕蟲信息發(fā)送給訪問控制裝置;(4)訪問控制裝置將蠕蟲信息中的蠕蟲類型信息與蠕蟲類型數(shù)據(jù)庫進(jìn)行匹配,如果找到匹配項,則從對應(yīng)的端口訪問控制策略文件中選擇相應(yīng)的端口訪問控制策略,并以訪問控制裝置與蠕蟲阻斷裝置之間通信的網(wǎng)絡(luò)協(xié)議的格式封裝后,發(fā)送給蠕蟲阻斷裝置的控制單元;如果沒有找到匹配項,則直接發(fā)送默認(rèn)的訪問控制指令給蠕蟲阻斷裝置的控制單元;(5)控制單元讀取訪問控制指令,根據(jù)該指令設(shè)置對應(yīng)受控單元的授權(quán)狀態(tài)如果是默認(rèn)的訪問控制指令,則將對應(yīng)受控單元設(shè)置為非授權(quán)狀態(tài);如果訪問控制指令中包含具體的訪問控制策略,則將該策略配置到對應(yīng)的受控單元。
所述步驟(1)中客戶端軟件發(fā)送蠕蟲信息包使用的網(wǎng)絡(luò)通訊協(xié)議包括但不限于傳輸控制協(xié)議TCP(Transport Control Protocol)、用戶數(shù)據(jù)報協(xié)議UDP(UserDatagram Protocol)、因特網(wǎng)控制消息協(xié)議ICMP(Internet Control MessageProtocol)、局域網(wǎng)擴展認(rèn)證協(xié)議EAPOL(Extensible Authentication Protocol OverLAN)。
所述步驟(1)封裝格式中的類型字段為3bit的標(biāo)識,其中第一個bit位表明該數(shù)據(jù)包為蠕蟲信息包,后兩個bit位用于決定蠕蟲阻斷裝置中端口反查模塊所使用的端口反查方式,默認(rèn)方式為根據(jù)源MAC地址進(jìn)行反查。
所述步驟(2)中端口反查模塊進(jìn)行的反查處理有三種可選擇的反查方式,分別是根據(jù)源MAC地址進(jìn)行反查將蠕蟲信息中的源MAC地址與蠕蟲阻斷裝置中存儲的MAC地址數(shù)據(jù)庫進(jìn)行比對,該MAC地址數(shù)據(jù)庫標(biāo)明MAC地址與蠕蟲阻斷裝置各個控制端口的對應(yīng)關(guān)系,如果在MAC地址數(shù)據(jù)庫中找到該源MAC地址,則將蠕蟲信息轉(zhuǎn)送至與該源MAC地址對應(yīng)的控制端口;否則,丟棄該蠕蟲信息包;根據(jù)源IP地址進(jìn)行反查先向蠕蟲信息中的源IP地址廣播地址解析協(xié)議ARP(Address Resolution Protocol)請求,如果沒有收到ARP請求的回應(yīng),即未收到與該源IP地址對應(yīng)的MAC地址響應(yīng),丟棄該蠕蟲信息包;如果收到與該源IP地址對應(yīng)的MAC地址響應(yīng),則將該MAC地址與MAC地址數(shù)據(jù)庫進(jìn)行比對,如果在MAC地址數(shù)據(jù)庫中找到該源MAC地址,則將蠕蟲信息轉(zhuǎn)送至相應(yīng)的控制端口;否則,丟棄該蠕蟲信息包;根據(jù)MAC地址和IP地址進(jìn)行反查先按照蠕蟲信息的源MAC地址進(jìn)行反查,如果在MAC地址數(shù)據(jù)庫中沒有找到該源MAC地址,則進(jìn)一步通過該蠕蟲信息的源IP地址進(jìn)行第二次端口反查。
本發(fā)明是一種基于端口進(jìn)行訪問控制的阻斷蠕蟲攻擊的系統(tǒng)和方法,具有以下優(yōu)點有效性發(fā)現(xiàn)蠕蟲病毒后,本發(fā)明能夠及時阻止或限制感染病毒的主機或設(shè)備訪問網(wǎng)絡(luò),截斷了其感染其他網(wǎng)絡(luò)設(shè)備的途徑,從而有效防止了網(wǎng)絡(luò)中蠕蟲攻擊的泛濫。同時可以在受控單元中配置訪問控制策略,使得感染蠕蟲病毒的主機或設(shè)備只被允許訪問網(wǎng)絡(luò)中的補丁服務(wù)器,使該主機或設(shè)備及時打上補丁修補漏洞,從而降低再次感染蠕蟲病毒的可能。
有針對性本發(fā)明基于端口進(jìn)行訪問控制,直接將接入該端口的主機或設(shè)備進(jìn)行隔離,而其他端口的接入設(shè)備對網(wǎng)絡(luò)的訪問不受影響。訪問控制服務(wù)器中配置有多個不同端口的訪問控制策略,能夠針對不同的接入設(shè)備發(fā)送相應(yīng)的訪問控制指令。
投資較少本發(fā)明的結(jié)構(gòu)相當(dāng)簡單,客戶端僅需收集蠕蟲信息并以某種格式發(fā)送給蠕蟲阻斷裝置,功能較為簡單,實際實施時只需在現(xiàn)有的蠕蟲檢測裝置(如入侵檢測設(shè)備)中添加客戶端軟件。蠕蟲阻斷裝置可利用現(xiàn)有支持IEEE802.1x協(xié)議并具有端口反查功能的網(wǎng)絡(luò)設(shè)備,只需對控制單元的功能進(jìn)行相應(yīng)的開發(fā)和擴充。
綜上所述,本發(fā)明阻斷蠕蟲攻擊的方法是將蠕蟲信息作為接入主機的一種安全健康指紋來對主機進(jìn)行基于端口的訪問控制,通過訪問控制服務(wù)器下發(fā)針對該網(wǎng)絡(luò)設(shè)備具體接入端口的訪問控制策略,能夠在其他主機或設(shè)備正常訪問網(wǎng)絡(luò)的情況下,有效阻止蠕蟲病毒在網(wǎng)絡(luò)中的蔓延、泛濫,同時通過合理的設(shè)置,還能使用戶及時為感染蠕蟲病毒的主機或設(shè)備打上補丁,降低再一次感染蠕蟲病毒的可能。因此,本發(fā)明可以廣泛應(yīng)用于企業(yè)內(nèi)網(wǎng)的安全防御,能夠有效隔離網(wǎng)絡(luò)蠕蟲,極大降低網(wǎng)絡(luò)蠕蟲攻擊對主機和網(wǎng)絡(luò)的影響。
圖1是本發(fā)明進(jìn)行訪問控制的阻斷蠕蟲攻擊的系統(tǒng)結(jié)構(gòu)組成示意圖。
圖2是本發(fā)明進(jìn)行訪問控制的阻斷蠕蟲攻擊的方法流程方框圖。
圖3是本發(fā)明阻斷蠕蟲攻擊的系統(tǒng)的實施例結(jié)構(gòu)組成示意圖。
圖4是圖3所示的實施例在網(wǎng)絡(luò)中的部署結(jié)構(gòu)示意圖。
具體實施例方式
為使本發(fā)明的目的、技術(shù)方案和優(yōu)點更加清楚,下面結(jié)合附圖和實施例對本發(fā)明作進(jìn)一步的詳細(xì)描述。
本發(fā)明的工作機理是網(wǎng)絡(luò)中的主機通常經(jīng)由交換機連接其他網(wǎng)段或Internet,如果直接在交換機上將感染蠕蟲病毒的主機進(jìn)行隔離,就能夠有效阻斷蠕蟲攻擊。由于IEEE802.1x基于端口的訪問控制協(xié)議能夠阻止未通過驗證的用戶訪問網(wǎng)絡(luò),本發(fā)明是在該協(xié)議功能和原理的基礎(chǔ)上加以改進(jìn)和擴展,實現(xiàn)了阻止感染蠕蟲病毒的主機或設(shè)備訪問網(wǎng)絡(luò)的預(yù)期功能。
參見圖1,介紹本發(fā)明系統(tǒng)的組成結(jié)構(gòu),它是通過蠕蟲阻斷裝置及其與客戶端和訪問控制裝置的兩個接口來實現(xiàn)發(fā)明目的。其主要構(gòu)件包括有客戶端1,其內(nèi)部安裝的客戶端軟件收集蠕蟲信息,并將蠕蟲信息經(jīng)由蠕蟲阻斷裝置發(fā)送給訪問控制裝置進(jìn)行匹配處理;蠕蟲信息包括但不僅限于感染蠕蟲的源主機MAC地址、源IP地址、蠕蟲類型等。
蠕蟲阻斷裝置2,為用戶提供接入的網(wǎng)絡(luò)設(shè)備,其內(nèi)部設(shè)有一個端口反查模塊、多個為用戶提供接入的控制端口以及提供相應(yīng)服務(wù)的網(wǎng)元;每個控制端口由一個控制單元和一個受控單元組成,不同的受控單元所連接的網(wǎng)元能夠提供不同的服務(wù);收到訪問控制裝置返回的訪問控制指令后,對應(yīng)的控制端口執(zhí)行相關(guān)操作。
其中端口反查模塊負(fù)責(zé)與客戶端的接口,從客戶端接收蠕蟲信息并針對其中的源MAC地址和/或源IP地址進(jìn)行端口反查,然后根據(jù)端口反查的結(jié)果將蠕蟲信息送往相應(yīng)的控制單元k,由控制單元與訪問控制裝置進(jìn)行交互。
控制單元將蠕蟲信息發(fā)送給訪問控制裝置,并負(fù)責(zé)接收訪問控制裝置發(fā)回的訪問控制指令,同時根據(jù)訪問控制指令控制受控單元的操作行為。
受控單元為一個授權(quán)系統(tǒng),在正常情況下受控單元處于授權(quán)狀態(tài),與之相連的主機或設(shè)備能夠訪問該端口提供的所有服務(wù);受控單元還可被控制單元設(shè)置為另外兩種狀態(tài)非授權(quán)狀態(tài)-阻止接入主機訪問該端口提供的服務(wù);部分授權(quán)狀態(tài)-允許接入主機訪問該端口提供的部分服務(wù),如訪問補丁服務(wù)器等。
訪問控制裝置3,通常為一個訪問控制服務(wù)器,其內(nèi)部設(shè)有兩個數(shù)據(jù)庫,分別存儲網(wǎng)絡(luò)中已知的蠕蟲類型和蠕蟲阻斷裝置的端口訪問控制策略;其中端口訪問控制策略是針對不同控制端口、且與每個端口一一對應(yīng)的訪問控制策略文件,每個訪問控制策略文件包含多條訪問控制策略;該裝置讀取蠕蟲信息后,以蠕蟲信息中的蠕蟲類型和相關(guān)信息在蠕蟲類型數(shù)據(jù)庫和端口訪問控制策略數(shù)據(jù)庫中進(jìn)行查找匹配,再根據(jù)匹配結(jié)果向蠕蟲阻斷裝置發(fā)回相應(yīng)的訪問控制指令。
參見圖2,一旦發(fā)生蠕蟲攻擊事件時,本發(fā)明能夠及時阻斷攻擊的蔓延和泛濫,具體方法和步驟為(1)客戶端軟件輪詢其所在入侵檢測設(shè)備是否檢測發(fā)現(xiàn)蠕蟲攻擊,一旦發(fā)現(xiàn)蠕蟲攻擊,客戶端軟件提取該蠕蟲攻擊的相關(guān)信息,以“類型、長度、內(nèi)容”格式封裝后,使用TCP、UDP、ICMP、EAPOL等網(wǎng)絡(luò)通訊協(xié)議將該蠕蟲信息包發(fā)送給蠕蟲阻斷裝置;(2)蠕蟲阻斷裝置先將蠕蟲信息送到端口反查模塊進(jìn)行反查處理,查找出與蠕蟲信息中源MAC地址和/或源IP地址對應(yīng)的用戶接入端口后,再將蠕蟲信息移交給該接入端口對應(yīng)的控制單元;(3)所述控制單元通過與訪問控制裝置的接口將蠕蟲信息發(fā)送給訪問控制裝置;(4)訪問控制裝置將蠕蟲信息中的蠕蟲類型信息與蠕蟲類型數(shù)據(jù)庫進(jìn)行匹配,如果找到匹配項,則從對應(yīng)的端口訪問控制策略文件中選擇相應(yīng)的端口訪問控制策略,并以訪問控制裝置與蠕蟲阻斷裝置之間通信的網(wǎng)絡(luò)協(xié)議的格式封裝后,發(fā)送給蠕蟲阻斷裝置的控制單元;如果沒有找到匹配項,則直接發(fā)送默認(rèn)的訪問控制指令給蠕蟲阻斷裝置的控制單元;(5)控制單元讀取訪問控制指令,根據(jù)該指令設(shè)置對應(yīng)受控單元的授權(quán)狀態(tài)如果是默認(rèn)的訪問控制指令,則將對應(yīng)受控單元設(shè)置為非授權(quán)狀態(tài);如果訪問控制指令中包含具體的訪問控制策略,則將該策略配置到對應(yīng)的受控單元。
圖2中的①、②、③分別表示客戶端、蠕蟲阻斷裝置和訪問控制裝置中的各自操作流程。
本發(fā)明能夠在IEEE802.1x基于端口的訪問控制技術(shù)的基礎(chǔ)上進(jìn)行實施試驗,下面具體介紹該實施例的情況。
參見圖3,本發(fā)明系統(tǒng)的實施例組成結(jié)構(gòu)主要包括四個部分客戶端1(入侵檢測設(shè)備)、蠕蟲阻斷裝置2、認(rèn)證服務(wù)器31和訪問控制服務(wù)器32。
在IEEE802.1x接入認(rèn)證體系中一般將用戶終端作為客戶端1,該終端通常安裝一個客戶端軟件,用戶通過啟動該客戶端軟件發(fā)起用戶身份認(rèn)證,認(rèn)證系統(tǒng)根據(jù)認(rèn)證的結(jié)果允許或阻止用戶訪問網(wǎng)絡(luò)。
在本實施例中,入侵檢測設(shè)備相當(dāng)于客戶端1,其中安裝了本發(fā)明的客戶端軟件,當(dāng)入侵檢測設(shè)備發(fā)現(xiàn)蠕蟲攻擊時,該軟件自動獲得蠕蟲信息,并將該信息用EAPOL協(xié)議封裝成IEEE802.1x協(xié)議的認(rèn)證數(shù)據(jù)包格式發(fā)送給蠕蟲阻斷裝置2。認(rèn)證數(shù)據(jù)包以“類型、長度、內(nèi)容”格式封裝,其中類型字段為3bit的特殊標(biāo)識,其中第一個bit位表明該認(rèn)證數(shù)據(jù)包是由入侵檢測設(shè)備發(fā)出的蠕蟲信息包,后兩個bit位用于決定蠕蟲阻斷裝置中端口反查模塊所使用的端口反查方式。
通常支持IEEE802.1x認(rèn)證方式的網(wǎng)絡(luò)設(shè)備對應(yīng)于不同用戶的端口(物理端口,或用戶設(shè)備的MAC地址、VLAN、IP等)有兩個邏輯端口受控端口和不受控端口。不受控端口始終處于雙向連通狀態(tài),主要用來傳遞EAPOL協(xié)議幀,可保證客戶端1始終可以發(fā)出或接受認(rèn)證。受控端口只有在認(rèn)證通過的狀態(tài)下才打開,用于傳遞網(wǎng)絡(luò)資源和服務(wù)。如果用戶未通過認(rèn)證,則受控端口處于未授權(quán)狀態(tài),用戶無法訪問認(rèn)證系統(tǒng)提供的服務(wù)。開始時用戶受控端口處于未授權(quán)狀態(tài),無法訪問任何網(wǎng)絡(luò)資源,經(jīng)過用戶身份認(rèn)證后,受控端口被設(shè)為授權(quán)狀態(tài)。在本實施例中蠕蟲阻斷裝置2就是采用支持IEEE802.1x協(xié)議的網(wǎng)絡(luò)設(shè)備-交換機-實現(xiàn)的,其中的受控端口即為本發(fā)明中的受控單元,非受控端口作為本發(fā)明中的控制單元,但是對非受控端口需要進(jìn)行改進(jìn)才能滿足本發(fā)明對控制單元的要求。
由于入侵檢測設(shè)備通常通過一個鏡像端口監(jiān)控網(wǎng)絡(luò)中多臺主機的流量,監(jiān)控到的蠕蟲信息中只包含有感染蠕蟲病毒主機的信息,沒有網(wǎng)絡(luò)接入設(shè)備端口的信息,而本發(fā)明要求基于訪問端口進(jìn)行控制,因此,本實施例在支持IEEE802.1x協(xié)議的網(wǎng)絡(luò)接入設(shè)備中還需增加端口反查模塊才能滿足本發(fā)明中蠕蟲阻斷裝置2的設(shè)計要求。端口反查模塊對客戶端軟件發(fā)送來的包含蠕蟲信息的EAPOL協(xié)議幀進(jìn)行解包分析,找出與其中MAC地址或IP地址信息對應(yīng)的端口,并在該端口的控制單元將蠕蟲信息重新封裝為EAPOL協(xié)議幀,然后用RADIUS協(xié)議發(fā)送給認(rèn)證服務(wù)器31。
由于EAPOL協(xié)議是IEEE802.1x協(xié)議所定義的,通常支持IEEE802.1x協(xié)議的設(shè)備都能支持EAPOL協(xié)議,因此,本實施例引入認(rèn)證服務(wù)器31用于蠕蟲阻斷裝置2和訪問控制服務(wù)器32之間交換信息。認(rèn)證服務(wù)器31除了采用用戶名/密碼對接入主機的用戶身份進(jìn)行認(rèn)證以外,還要負(fù)責(zé)將用RADIUS協(xié)議封裝的EAPOL協(xié)議幀中的蠕蟲信息提取出來,然后重新用RADIUS包格式封裝發(fā)送給訪問控制服務(wù)器32。認(rèn)證服務(wù)器31使用標(biāo)準(zhǔn)的RADIUS協(xié)議與訪問控制服務(wù)器32通信,在此過程中,認(rèn)證服務(wù)器31作為RADIUS的客戶端,訪問控制服務(wù)器32作為RADIUS的服務(wù)器端。蠕蟲指紋信息的內(nèi)容以“類型、長度、內(nèi)容”格式封裝在RADIUS包中,其中類型字段的值必須由客戶端1、蠕蟲阻斷裝置2、認(rèn)證服務(wù)器31和訪問控制服務(wù)器32四者統(tǒng)一定義,使得四者都可以了解該特定字段的含義。
訪問控制服務(wù)器32為蠕蟲阻斷裝置2提供正確的端口配置策略。該服務(wù)器32在收到認(rèn)證服務(wù)器31發(fā)送的認(rèn)證請求數(shù)據(jù)包后,從中提取出蠕蟲信息,并將蠕蟲信息中的蠕蟲類型信息與其數(shù)據(jù)庫存儲的蠕蟲類型進(jìn)行匹配,若沒有匹配項,則發(fā)送驗證失敗消息給認(rèn)證服務(wù)器31,認(rèn)證服務(wù)器31轉(zhuǎn)換消息格式后,將該指令發(fā)送給蠕蟲阻斷裝置2的控制單元,從而阻塞相應(yīng)的受控單元,阻止接入該端口的主機訪問網(wǎng)絡(luò)。若有蠕蟲類型匹配項,則訪問控制服務(wù)器32查找相應(yīng)的端口訪問控制策略,同樣由認(rèn)證服務(wù)器31充當(dāng)信使將該控制策略指令發(fā)送給蠕蟲阻斷裝置2的控制單元,從而設(shè)置相應(yīng)的受控單元,以限制接入該端口的主機訪問的網(wǎng)絡(luò)資源。
其中認(rèn)證服務(wù)器31和訪問控制服務(wù)器32共同組成了本發(fā)明方案中的訪問控制裝置3。
本實施例在網(wǎng)絡(luò)中的部署結(jié)構(gòu)如圖4所示,內(nèi)部局域網(wǎng)的各主機通過交換機連入外部網(wǎng)絡(luò),該處的交換設(shè)備即為本發(fā)明中所述的蠕蟲阻斷裝置。
此時,若內(nèi)網(wǎng)中某臺主機A感染了蠕蟲病毒,當(dāng)入侵檢測設(shè)備發(fā)現(xiàn)主機A不斷向外發(fā)送流量,從而識別出該蠕蟲攻擊后,將蠕蟲信息發(fā)送給蠕蟲阻斷裝置,該蠕蟲信息包括主機A的MAC地址、IP地址、蠕蟲攻擊的類型等。然后通過認(rèn)證服務(wù)器和訪問控制服務(wù)器對該信息進(jìn)行處理后,將結(jié)果反饋給蠕蟲阻斷裝置。最后由蠕蟲阻斷裝置根據(jù)該結(jié)果控制主機A向外發(fā)送的流量,從而避免了蠕蟲病毒進(jìn)一步感染網(wǎng)絡(luò)中的其他主機。
權(quán)利要求
1.一種阻斷蠕蟲攻擊的系統(tǒng),其特征在于該系統(tǒng)至少包括客戶端,其內(nèi)部安裝有采集所在網(wǎng)絡(luò)蠕蟲信息的客戶端軟件,以將蠕蟲信息經(jīng)由蠕蟲阻斷裝置發(fā)送給訪問控制裝置進(jìn)行匹配處理;蠕蟲阻斷裝置,為用戶提供接入的網(wǎng)絡(luò)設(shè)備,其內(nèi)部設(shè)有端口反查模塊、多個用戶接入的控制端口及提供相應(yīng)服務(wù)的網(wǎng)元;每個控制端口由一個控制單元和一個受控單元組成,不同的受控單元所連接的網(wǎng)元能夠提供不同服務(wù);收到訪問控制裝置返回的訪問控制指令后,對應(yīng)的控制端口執(zhí)行相關(guān)操作;訪問控制裝置,至少包括訪問控制服務(wù)器,其內(nèi)部設(shè)有兩個數(shù)據(jù)庫,分別存儲網(wǎng)絡(luò)中已知的蠕蟲類型和蠕蟲阻斷裝置的端口訪問控制策略;其中端口訪問控制策略是針對不同控制端口、且與每個端口一一對應(yīng)的訪問控制策略文件,每個訪問控制策略文件包含多條訪問控制策略;該裝置讀取蠕蟲信息,并以蠕蟲信息中的蠕蟲類型和相關(guān)信息在蠕蟲類型數(shù)據(jù)庫和端口訪問控制策略數(shù)據(jù)庫中進(jìn)行查找匹配,再根據(jù)匹配結(jié)果向蠕蟲阻斷裝置發(fā)回相應(yīng)的訪問控制指令。
2.根據(jù)權(quán)利要求1所述的阻斷蠕蟲攻擊的系統(tǒng),其特征在于所述蠕蟲信息內(nèi)容包括但不限于感染蠕蟲的主機的源MAC地址、源IP地址和蠕蟲類型。
3.根據(jù)權(quán)利要求1所述的阻斷蠕蟲攻擊的系統(tǒng),其特征在于所述客戶端是安裝有采集蠕蟲信息的客戶端軟件的入侵檢測設(shè)備。
4.根據(jù)權(quán)利要求1所述的阻斷蠕蟲攻擊的系統(tǒng),其特征在于所述蠕蟲阻斷裝置中的各組成構(gòu)件的功能是端口反查模塊,負(fù)責(zé)與客戶端的接口,從客戶端接收蠕蟲信息并針對其中的源MAC地址和/或源IP地址進(jìn)行端口反查,再根據(jù)端口反查的結(jié)果將蠕蟲信息送往相應(yīng)的控制端口的控制單元;控制單元,將蠕蟲信息發(fā)送給匹配蠕蟲的訪問控制裝置,并負(fù)責(zé)接收訪問控制裝置發(fā)回的訪問控制指令,同時根據(jù)訪問控制指令控制受控單元的操作;受控單元,為一個授權(quán)設(shè)備,根據(jù)訪問控制指令分別進(jìn)入三種工作狀態(tài)授權(quán)狀態(tài),與其相連的主機能夠訪問該端口連接的所有網(wǎng)元,進(jìn)而獲取這些網(wǎng)元提供的各種服務(wù);部分授權(quán)狀態(tài),允許接入主機訪問該端口連接的部分或特定網(wǎng)元;非授權(quán)狀態(tài),阻止接入主機訪問該端口;提供服務(wù)的網(wǎng)元,為與蠕蟲阻斷裝置相連接的主機所能訪問的網(wǎng)絡(luò)資源。
5.根據(jù)權(quán)利要求1或4所述的阻斷蠕蟲攻擊的系統(tǒng),其特征在于所述蠕蟲阻斷裝置是交換機,此時所述網(wǎng)絡(luò)為內(nèi)部局域網(wǎng)。
6.根據(jù)權(quán)利要求1所述的阻斷蠕蟲攻擊的系統(tǒng),其特征在于所述訪問控制裝置,可進(jìn)一步包括認(rèn)證服務(wù)器,以便采用用戶名/密碼對接入主機的用戶身份進(jìn)行認(rèn)證。
7.一種采用權(quán)利要求1所述的阻斷蠕蟲攻擊的系統(tǒng)阻斷網(wǎng)絡(luò)蠕蟲攻擊的方法,其特征在于至少包括如下步驟(1)客戶端軟件輪詢其所在入侵檢測設(shè)備是否檢測發(fā)現(xiàn)蠕蟲攻擊,一旦發(fā)現(xiàn)蠕蟲攻擊,客戶端軟件提取該蠕蟲攻擊的相關(guān)信息,以“類型、長度、內(nèi)容”格式封裝后,使用網(wǎng)絡(luò)通訊協(xié)議將該蠕蟲信息包發(fā)送給蠕蟲阻斷裝置;(2)蠕蟲阻斷裝置先將蠕蟲信息送到端口反查模塊進(jìn)行反查處理,查找出與蠕蟲信息中源MAC地址和/或源IP地址對應(yīng)的用戶接入端口后,將蠕蟲信息移交給該接入端口對應(yīng)的控制單元;(3)所述控制單元通過與訪問控制裝置的接口將蠕蟲信息發(fā)送給訪問控制裝置;(4)訪問控制裝置將蠕蟲信息中的蠕蟲類型信息與蠕蟲類型數(shù)據(jù)庫進(jìn)行匹配,如果找到匹配項,則從對應(yīng)的端口訪問控制策略文件中選擇相應(yīng)的端口訪問控制策略,并以訪問控制裝置與蠕蟲阻斷裝置之間通信的網(wǎng)絡(luò)協(xié)議的格式封裝后,發(fā)送給蠕蟲阻斷裝置的控制單元;如果沒有找到匹配項,則直接發(fā)送默認(rèn)的訪問控制指令給蠕蟲阻斷裝置的控制單元;(5)控制單元讀取訪問控制指令,根據(jù)該指令設(shè)置對應(yīng)受控單元的授權(quán)狀態(tài)如果是默認(rèn)的訪問控制指令,則將對應(yīng)受控單元設(shè)置為非授權(quán)狀態(tài);如果訪問控制指令中包含具體的訪問控制策略,則將該策略配置到對應(yīng)的受控單元。
8.根據(jù)權(quán)利要求7所述的阻斷網(wǎng)絡(luò)蠕蟲攻擊的方法,其特征在于所述步驟(1)中客戶端軟件發(fā)送蠕蟲信息包使用的網(wǎng)絡(luò)通訊協(xié)議包括但不限于傳輸控制協(xié)議TCP、用戶數(shù)據(jù)報協(xié)議UDP、因特網(wǎng)控制消息協(xié)議ICMP、局域網(wǎng)擴展認(rèn)證協(xié)議EAPOL。
9.根據(jù)權(quán)利要求7所述的阻斷網(wǎng)絡(luò)蠕蟲攻擊的方法,其特征在于所述步驟(1)封裝格式中的類型字段為3bit的標(biāo)識,其中第一個bit位表明該數(shù)據(jù)包為蠕蟲信息包,后兩個bit位用于決定蠕蟲阻斷裝置中端口反查模塊所使用的端口反查方式,默認(rèn)方式為根據(jù)源MAC地址進(jìn)行反查。
10.根據(jù)權(quán)利要求7或9所述的阻斷網(wǎng)絡(luò)蠕蟲攻擊的方法,其特征在于所述步驟(2)中端口反查模塊進(jìn)行的反查處理有三種可選擇的反查方式,分別是根據(jù)源MAC地址進(jìn)行反查將蠕蟲信息中的源MAC地址與蠕蟲阻斷裝置中存儲的MAC地址數(shù)據(jù)庫進(jìn)行比對,該MAC地址數(shù)據(jù)庫標(biāo)明MAC地址與蠕蟲阻斷裝置各個控制端口的對應(yīng)關(guān)系,如果在MAC地址數(shù)據(jù)庫中找到該源MAC地址,則將蠕蟲信息轉(zhuǎn)送至與該源MAC地址對應(yīng)的控制端口;否則,丟棄該蠕蟲信息包;根據(jù)源IP地址進(jìn)行反查先向蠕蟲信息中的源IP地址廣播地址解析協(xié)議ARP請求,如果沒有收到ARP請求的回應(yīng),即未收到與該源IP地址對應(yīng)的MAC地址響應(yīng),丟棄該蠕蟲信息包;如果收到與該源IP地址對應(yīng)的MAC地址響應(yīng),則再將該MAC地址與MAC地址數(shù)據(jù)庫進(jìn)行比對,如果在MAC地址數(shù)據(jù)庫中找到該源MAC地址,則將蠕蟲信息轉(zhuǎn)送至相應(yīng)的控制端口;否則,丟棄該蠕蟲信息包;根據(jù)MAC地址和IP地址進(jìn)行反查先按照蠕蟲信息的源MAC地址進(jìn)行反查,如果在MAC地址數(shù)據(jù)庫中沒有找到該源MAC地址,則進(jìn)一步通過該蠕蟲信息的源IP地址進(jìn)行第二次端口反查。
全文摘要
一種基于端口進(jìn)行訪問控制的阻斷蠕蟲攻擊的系統(tǒng)和方法,該系統(tǒng)由采集蠕蟲信息的客戶端,蠕蟲阻斷裝置和匹配蠕蟲信息的訪問控制裝置所組成,本發(fā)明是在蠕蟲檢測裝置發(fā)現(xiàn)感染網(wǎng)絡(luò)蠕蟲病毒的主機后,將蠕蟲信息作為接入主機的一種安全健康指紋來對主機進(jìn)行基于端口的訪問控制,通過蠕蟲阻斷裝置和訪問控制裝置的交互,由訪問控制服務(wù)器下發(fā)針對該主機接入端口的訪問控制策略,能夠在其他主機或設(shè)備正常訪問網(wǎng)絡(luò)的情況下,阻止該主機接入網(wǎng)絡(luò),有效防止蠕蟲病毒在網(wǎng)絡(luò)中的蔓延、泛濫,還能使用戶及時為感染病毒的主機打上補丁。本發(fā)明可廣泛應(yīng)用于企業(yè)內(nèi)網(wǎng)的安全防御,能夠有效隔離網(wǎng)絡(luò)蠕蟲,極大降低網(wǎng)絡(luò)蠕蟲攻擊對主機和網(wǎng)絡(luò)的影響。
文檔編號H04L12/24GK1744607SQ200510112710
公開日2006年3月8日 申請日期2005年10月10日 優(yōu)先權(quán)日2005年10月10日
發(fā)明者王帥, 陳珣, 金華敏, 莊一嶸, 余曉光 申請人:廣東省電信有限公司研究院