專利名稱：基于蜜網(wǎng)的逆向數(shù)據(jù)連接控制方法
技術(shù)領(lǐng)域：
本發(fā)明涉及密網(wǎng)，尤其涉及訪問控制。
背景技術(shù)：
本發(fā)明是為智能蜜網(wǎng)設(shè)計(jì)的專門的連接控制技術(shù)，它不但具有傳統(tǒng)控制技術(shù)的功
能，并且還智能化。以下描述了基于密網(wǎng)的逆向數(shù)據(jù)連接控制方法的研究背景。 連接控制在蜜網(wǎng)系統(tǒng)中起著中樞的作用，因?yàn)樗粌H決定了蜜網(wǎng)對(duì)使用者的價(jià)
值，也決定了使用者使用蜜網(wǎng)必須面對(duì)的風(fēng)險(xiǎn)代價(jià)。連接控制就需要在風(fēng)險(xiǎn)與價(jià)值之間找
到一個(gè)平衡，保證蜜網(wǎng)系統(tǒng)是一個(gè)安全的系統(tǒng)，不會(huì)對(duì)外界造成破壞性的影響。連接控制負(fù)
責(zé)檢測(cè)和控制整個(gè)蜜網(wǎng)中的流進(jìn)流出數(shù)據(jù)，蜜網(wǎng)系統(tǒng)的安全問題就需要連接控制來解決。 —些傳統(tǒng)的連接控制技術(shù)只能起到一些簡單的控制作用，比如對(duì)連接信息的記
錄，對(duì)端口的限制，對(duì)地址的限制，但是這蜜網(wǎng)的安全將起不到重要的作用。本專利為智能
蜜網(wǎng)設(shè)計(jì)了專門的連接控制技術(shù)，它不但具有傳統(tǒng)控制技術(shù)的功能，并且還智能化。它可以
檢測(cè)出流進(jìn)流出蜜網(wǎng)的數(shù)據(jù)流，對(duì)于危險(xiǎn)的數(shù)據(jù)流做智能化的處理，讓這些危險(xiǎn)的數(shù)據(jù)流
按照規(guī)定意圖改變。在連接控制中很多技術(shù)都是把連接控制本身暴露在外，這樣極易遭到
外界的攻擊，一旦連接控制的功能失效，那整個(gè)蜜網(wǎng)將不會(huì)有任何意義，只會(huì)成為攻擊者巨
大的跳板。但是智能蜜網(wǎng)的連接控制本身是被隱藏起來的，外界覺察不到它的存在，外界對(duì)
它將無從攻擊。這樣連接控制本身絕對(duì)安全了 ，整個(gè)智能蜜網(wǎng)的安全才有保障。 目前關(guān)于連接控制也有一些專利。專利200710074539. 1 "網(wǎng)絡(luò)設(shè)備攻擊防范的
方法和裝置"涉及通信領(lǐng)域，尤其涉及一種防范網(wǎng)絡(luò)攻擊的方法和裝置。它提供實(shí)現(xiàn)網(wǎng)絡(luò)
設(shè)備智能攻擊防范的方法和裝置，解決目前通信網(wǎng)絡(luò)中無法智能防范攻擊的問題。該方法
獲取網(wǎng)絡(luò)設(shè)備的流量過載丟包信息、網(wǎng)絡(luò)設(shè)備的流量限制閾值和網(wǎng)絡(luò)設(shè)備的資源信息；根
據(jù)所述流量過載丟包信息和所述資源信息，對(duì)業(yè)務(wù)報(bào)文流的所述流量限制閾值做出相應(yīng)調(diào)
整。該方法和裝置，采用智能調(diào)整措施，可以在系統(tǒng)資源占用不多的情況下，動(dòng)態(tài)調(diào)大設(shè)備
上送流量限制閾值，智能提升設(shè)備的性能，使設(shè)備處理業(yè)務(wù)的性能達(dá)到最佳。采用智能防范
措施，可以在系統(tǒng)資源占用過載的情況下，動(dòng)態(tài)調(diào)小設(shè)備上送流量限制的閾值，達(dá)到保護(hù)設(shè)
備的目的。相比之下，本發(fā)明對(duì)流出子網(wǎng)的數(shù)據(jù)進(jìn)行檢測(cè)控制，防止該子網(wǎng)作為攻擊者攻擊
外部網(wǎng)絡(luò)的工具。同時(shí)，專利200710074539. 1所述方法沒有解決對(duì)流出數(shù)據(jù)的安全性的檢
測(cè)及控制，而且主要是對(duì)DDos攻擊進(jìn)行防范，因而對(duì)攻擊數(shù)據(jù)的防范相當(dāng)有限 本發(fā)明的困難性是靈活。連接控制的主要目的是阻止攻擊者利用保護(hù)子網(wǎng)作為跳
板去攻擊別的機(jī)器，但是它只是盡量的減少，而不是杜絕這種行為。在受保護(hù)的子網(wǎng)中，接
受任何的掃描、探測(cè)、連接，但是對(duì)從該子網(wǎng)網(wǎng)出去的掃描、探測(cè)、連接，卻必需要條件的放
行，如果發(fā)現(xiàn)出去的數(shù)據(jù)包有異常，那必須加以制止，不然該子網(wǎng)就成了攻擊者的幫兇，有
可能就會(huì)發(fā)生法律上的糾紛。當(dāng)然，能否從攻擊者的行動(dòng)獲取多大有價(jià)值的信息，也在于對(duì)
往外連接的控制?？刂瞥潭鹊?，攻擊者的活動(dòng)空間就比較大，同時(shí)子網(wǎng)獲取的信息的價(jià)值也
會(huì)比較高；反之，獲取的價(jià)值也會(huì)比較低。而且必須保證在攻擊者不察覺行為已經(jīng)受到監(jiān)
蜜網(wǎng)的功能就是吸引惡意用戶的攻擊從而捕獲一些未知的攻擊方法，所以蜜網(wǎng)隨 時(shí)都面臨著被攻擊的危險(xiǎn)。但對(duì)蜜網(wǎng)的攻擊不能讓其到達(dá)公共網(wǎng)絡(luò)。本專利可以避免蜜網(wǎng) 系統(tǒng)在被攻擊后成為攻擊方的工具危害外部網(wǎng)絡(luò)。蜜網(wǎng)的另一個(gè)作用是收集盡可能多的攻 擊信息。本專利可以在限制流出蜜網(wǎng)的數(shù)據(jù)的同時(shí)，讓攻擊者不會(huì)懷疑其攻擊的是一個(gè)蜜 網(wǎng)，從而讓攻擊者在蜜網(wǎng)中駐留時(shí)間。

發(fā)明內(nèi)容
本發(fā)明提供了一種基于密網(wǎng)的逆向數(shù)據(jù)連接控制的方法，它具有傳統(tǒng)控制技術(shù)的 功能，并且還智能化，為整個(gè)智能蜜網(wǎng)的安全提供了保障。 首先由人工設(shè)置連接控制中的開放端口、連接頻率范圍和包內(nèi)容檢測(cè)規(guī)則。在運(yùn) 行連接控制系統(tǒng)后，該系統(tǒng)截獲所有流出蜜網(wǎng)的數(shù)據(jù)包，然后對(duì)數(shù)據(jù)包進(jìn)行處理，數(shù)據(jù)包將 根據(jù)處理的不同結(jié)果決定是否流出蜜網(wǎng)。
本專利系統(tǒng)包括以下四個(gè)模塊 端口檢測(cè)模塊在該模塊中，需要根據(jù)蜜網(wǎng)的不同部署人為設(shè)置哪些端口的數(shù)據(jù) 可以流出蜜網(wǎng)和蜜網(wǎng)數(shù)據(jù)可以連接外部網(wǎng)絡(luò)的哪些端口。在接受到蜜網(wǎng)流出的數(shù)據(jù)包后檢 測(cè)包頭信息，根據(jù)設(shè)置的端口判斷該數(shù)據(jù)包是否合法。 頻率檢測(cè)模塊在頻率連接控制模塊中，需要設(shè)置連接頻率。通過檢測(cè)蜜網(wǎng)發(fā)起的 連接頻率，如果超過了設(shè)置的頻率值，則將連接全部斷掉，否則認(rèn)為數(shù)據(jù)連接頻率合法，讓 其通過到達(dá)下一模塊。 包內(nèi)容檢測(cè)模塊流出蜜網(wǎng)網(wǎng)的數(shù)據(jù)包到達(dá)包內(nèi)容檢測(cè)模塊后，讀取數(shù)據(jù)包的包 內(nèi)容，然后與我們的連接控制的包內(nèi)容檢測(cè)規(guī)則進(jìn)行匹配，對(duì)包內(nèi)容合法與不合法的數(shù)據(jù) 包進(jìn)行不同的處理。 非法數(shù)據(jù)包處理模塊該模塊用于處理各種檢測(cè)出來的非法數(shù)據(jù)包，在該模塊中 可以有多種不同的方法對(duì)非法數(shù)據(jù)進(jìn)行處理。 本專利實(shí)施在蜜網(wǎng)與外部網(wǎng)絡(luò)的接口，主要用于對(duì)從蜜網(wǎng)到外部網(wǎng)絡(luò)的連接控 制。當(dāng)有數(shù)據(jù)從蜜網(wǎng)連向外部網(wǎng)絡(luò)是，經(jīng)過本專利中的連接控制系統(tǒng)。首先解析得到數(shù)據(jù) 包的包頭信息，根據(jù)連接控制系統(tǒng)設(shè)置的開放端口 ，將合法的數(shù)據(jù)包轉(zhuǎn)到連接頻率控制模 塊，將非法的數(shù)據(jù)包轉(zhuǎn)到非法數(shù)據(jù)包處理模塊。連接頻率控制模塊接受到數(shù)據(jù)包后，檢查該 數(shù)據(jù)連接的頻率是否在被允許的頻率范圍內(nèi)，將頻率合法的數(shù)據(jù)包轉(zhuǎn)到數(shù)據(jù)包內(nèi)容檢測(cè)模 塊，將頻率不合法的數(shù)據(jù)包轉(zhuǎn)到非法數(shù)據(jù)包處理模塊。數(shù)據(jù)包內(nèi)容檢測(cè)模塊接收到數(shù)據(jù)包 后，解析數(shù)據(jù)包的的內(nèi)容，根據(jù)包內(nèi)容檢測(cè)規(guī)則進(jìn)行匹配，將規(guī)則匹配的數(shù)據(jù)包轉(zhuǎn)到非法數(shù) 據(jù)包處理模塊，將規(guī)則不匹配的數(shù)據(jù)包轉(zhuǎn)到合法數(shù)據(jù)包處理模塊。


圖1為本專利的具體流程圖； 圖2為包頭信息檢測(cè)的具體過程的框架圖； 圖3為進(jìn)入連接控制系統(tǒng)的數(shù)據(jù)流具體實(shí)施例方式
下面結(jié)合附圖對(duì)本發(fā)明的技術(shù)方案作詳細(xì)說明。
圖l顯示了具體執(zhí)行本發(fā)明的步驟圖，為了清楚地描述本發(fā)明，下面描述一個(gè)具
體的實(shí)施例，細(xì)化圖1各步驟如下 步驟101，檢測(cè)到流出蜜網(wǎng)的數(shù)據(jù)包。 步驟102，首先對(duì)數(shù)據(jù)包的包頭進(jìn)行檢測(cè)，如果包頭信息檢測(cè)正常轉(zhuǎn)到103，否則
轉(zhuǎn)到105 ;包頭檢測(cè)又分為端口檢測(cè)和連接頻率檢測(cè)，附圖2對(duì)其詳細(xì)說明。 步驟103，對(duì)包的內(nèi)容進(jìn)行檢測(cè)，如果結(jié)果正常轉(zhuǎn)到104，否則轉(zhuǎn)到105。 步驟104，連接數(shù)據(jù)經(jīng)連接控制系統(tǒng)檢測(cè)后是正常的，可以通過連接控制系統(tǒng)流出蜜網(wǎng)。 步驟105，連接數(shù)據(jù)經(jīng)連接控制系統(tǒng)檢測(cè)后是非法的，對(duì)它進(jìn)行非法數(shù)據(jù)包操作， 具體方法是(1)隨機(jī)選取一些數(shù)據(jù)包將其丟棄；(2)選擇一些丟棄非法的連接返回連接不 可達(dá)的信息；(3)將非法的數(shù)據(jù)包的內(nèi)容進(jìn)行修改，然后發(fā)送出去。 不難發(fā)現(xiàn)通過對(duì)流出子網(wǎng)的所有數(shù)據(jù)包進(jìn)行端口檢測(cè)、連接頻率檢測(cè)和包內(nèi)容
檢測(cè)，找出流出的非法數(shù)據(jù)，可以避免保護(hù)的子網(wǎng)成為惡意用戶的攻擊工具。這比專利
200710074539. 1所述方法對(duì)攻擊數(shù)據(jù)的防范廣泛很多。 圖4表示包頭信息檢測(cè)的具體過程，它包含了以下步驟 步驟201，檢測(cè)到流出蜜網(wǎng)的數(shù)據(jù)包。 步驟202，檢測(cè)端口信息，如果端口是合法的轉(zhuǎn)到步驟203，否則轉(zhuǎn)到步驟205。
步驟203，連接頻率進(jìn)行檢測(cè)，如果連接頻率合法轉(zhuǎn)到步驟204，否則轉(zhuǎn)到步驟 205。 步驟205，連接數(shù)據(jù)經(jīng)連接控制系統(tǒng)檢測(cè)后是非法的，對(duì)它進(jìn)行非法數(shù)據(jù)包操作， 具體方法是(1)隨機(jī)選取一些數(shù)據(jù)包將其丟棄；(2)選擇一些丟棄非法的連接返回連接不 可達(dá)的信息；(3)將非法的數(shù)據(jù)包的內(nèi)容進(jìn)行修改，然后發(fā)送出去。 雖然本說明書只描述了所述方法的細(xì)節(jié)，而未更多地談及本發(fā)明的應(yīng)用，但由于 基于密網(wǎng)的逆向數(shù)據(jù)連接控制方法在密網(wǎng)、訪問控制等研究中的重要價(jià)值，其應(yīng)用面是非 常廣泛的，所以，本發(fā)明的精神和范圍不應(yīng)該局限于此處所描述的實(shí)施例。
權(quán)利要求
一種基于蜜網(wǎng)的逆向數(shù)據(jù)連接控制的方法，其特征在于為智能蜜網(wǎng)設(shè)計(jì)了專門的智能化的連接控制技術(shù)。連接控制負(fù)責(zé)檢測(cè)和控制整個(gè)密網(wǎng)中流進(jìn)流出的數(shù)據(jù)，對(duì)危險(xiǎn)的數(shù)據(jù)流做智能化處理，讓這些危險(xiǎn)的數(shù)據(jù)流按照規(guī)定意圖改變。這種基于蜜網(wǎng)的逆向數(shù)據(jù)連接控制的方法避免了蜜網(wǎng)系統(tǒng)在被攻擊后成為攻擊方的工具危害外部網(wǎng)絡(luò)，限制流出蜜網(wǎng)的數(shù)據(jù)的同時(shí)，讓攻擊者不會(huì)懷疑其攻擊的是一個(gè)蜜網(wǎng)，從而讓攻擊者在蜜網(wǎng)中駐留時(shí)間更長。這個(gè)系統(tǒng)包括以下四個(gè)模塊端口檢測(cè)模塊，頻率檢測(cè)模塊，包內(nèi)容檢測(cè)模塊，非法數(shù)據(jù)包處理模塊。
2. 如權(quán)利l所述的基于蜜網(wǎng)的逆向數(shù)據(jù)連接控制的方法，其特征在于，連接控制本身 是被隱藏起來的，外界覺察不到它的存在，將對(duì)它無從攻擊。
3. 如權(quán)利1所述的基于蜜網(wǎng)的逆向數(shù)據(jù)連接控制的方法，其特征在于，保護(hù)的子網(wǎng)中， 接受任何的掃描、探測(cè)、連接，但是對(duì)從該子網(wǎng)出去的掃描、探測(cè)、連接，卻必需要條件的放 行，如果發(fā)現(xiàn)出去的數(shù)據(jù)包有異常，那必須加以制止。
4. 如權(quán)利l所述的基于蜜網(wǎng)的逆向數(shù)據(jù)連接控制的方法，其特征在于，當(dāng)檢測(cè)出非法 的數(shù)據(jù)包后，對(duì)其進(jìn)行如下的操作隨機(jī)選取一些數(shù)據(jù)包將其丟棄；選擇一些丟棄非法的 連接返回連接不可達(dá)的信息；將非法的數(shù)據(jù)包的內(nèi)容進(jìn)行修改，然后發(fā)送出去。
5. 如權(quán)利3所述的基于蜜網(wǎng)的逆向數(shù)據(jù)連接控制的方法，其特征在于，對(duì)流出子網(wǎng)的 所有數(shù)據(jù)包進(jìn)行檢測(cè)，經(jīng)端口檢測(cè)、連接頻率檢測(cè)和包內(nèi)容檢測(cè)三種檢測(cè)方法，找出流出的 非法數(shù)據(jù)。
6. 如權(quán)利3所述的基于蜜網(wǎng)的逆向數(shù)據(jù)連接控制的方法，其特征在于，對(duì)于外界訪問 我們的子網(wǎng)，將不會(huì)設(shè)置任何限制，但是在這些訪問中有可能存在攻擊子網(wǎng)的數(shù)據(jù)流，為了 后面做分析時(shí)能夠定位到攻擊者，需要對(duì)數(shù)據(jù)流進(jìn)行一些簡單的記錄，如連接的時(shí)間、方 向、源地址、目的地址、源端口、目的端口等，有了這些信息，分析時(shí)就能很快的了解攻擊者 的攻擊途徑。
7. 如權(quán)利5所述的基于蜜網(wǎng)的逆向數(shù)據(jù)連接控制的方法，其特征在于，對(duì)流出子網(wǎng)的 數(shù)據(jù)流要做限制，但是不能限制的太嚴(yán)格，要有一定的靈活度。
8. 如權(quán)利6所述的基于蜜網(wǎng)的逆向數(shù)據(jù)連接控制的方法，其特征在于，在連接控制中 增加黑名單，防火墻對(duì)源地址或者目的地址屬于黑名單的主機(jī)，將丟棄所有的數(shù)據(jù)包，并不 做任何日志記錄；白名單，對(duì)于源地址或者目的地址屬于白名單的主機(jī)，防火墻將接受這些 連接但并不做日志記錄；防護(hù)名單，防火墻不允許蜜罐連往屬于防護(hù)名單內(nèi)的主機(jī)。
全文摘要
本發(fā)明設(shè)計(jì)了一種基于蜜網(wǎng)的逆向數(shù)據(jù)連接控制的方法，能夠檢測(cè)出流進(jìn)流出蜜網(wǎng)的數(shù)據(jù)流，對(duì)于危險(xiǎn)的數(shù)據(jù)流做智能化的處理，讓這些危險(xiǎn)的數(shù)據(jù)流按照規(guī)定意圖改變，并且連接控制本身是被隱藏起來的，外界覺察不到它的存在，外界對(duì)它將無從攻擊。在一個(gè)實(shí)例中，本發(fā)明對(duì)流出子網(wǎng)的數(shù)據(jù)進(jìn)行檢測(cè)控制，防止該子網(wǎng)作為攻擊者攻擊外部網(wǎng)絡(luò)的工具。對(duì)流出子網(wǎng)的所有數(shù)據(jù)包進(jìn)行檢測(cè)，經(jīng)端口檢測(cè)、連接頻率檢測(cè)和包內(nèi)容檢測(cè)三種檢測(cè)方法，找出流出的非法數(shù)據(jù)。從而避免保護(hù)的子網(wǎng)成為惡意用戶的攻擊工具。此外本專利還可以在限制流出蜜網(wǎng)的數(shù)據(jù)的同時(shí)，讓攻擊者不會(huì)懷疑其攻擊的是一個(gè)蜜網(wǎng)，從而讓攻擊者在蜜網(wǎng)中駐留時(shí)間更長。
文檔編號(hào)H04L9/36GK101741570SQ20081004656
公開日2010年6月16日 申請(qǐng)日期2008年11月14日 優(yōu)先權(quán)日2008年11月14日
發(fā)明者余圣, 周世杰, 周佩穎, 秦志光, 陳晉福 申請(qǐng)人:電子科技大學(xué)