專利名稱:一種網(wǎng)絡(luò)追蹤系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及計(jì)算機(jī)網(wǎng)絡(luò)通信安全技術(shù)領(lǐng)域,尤其涉及網(wǎng)絡(luò)追蹤系統(tǒng)��。
技術(shù)背景隨著網(wǎng)絡(luò)安全的威脅日益嚴(yán)重�����,網(wǎng)絡(luò)追蹤已成為網(wǎng)絡(luò)安全研究領(lǐng)域的熱 點(diǎn)問題。然而��,網(wǎng)絡(luò)追蹤的實(shí)現(xiàn)受到多方面因素的制約�,主要體現(xiàn)在以下方面首先,用于Internet的TCP/IP協(xié)議設(shè)計(jì)之初沒有考慮到安全問題�,沒 有對(duì)可疑用戶活動(dòng)進(jìn)行阻止的有效機(jī)制,沒有對(duì)用戶活動(dòng)進(jìn)行追蹤的設(shè)計(jì)��; 第二�,網(wǎng)絡(luò)流量和帶寬的迅速發(fā)展以及隧道技術(shù)的使用增大了網(wǎng)絡(luò)追蹤的難 度;第三��,網(wǎng)絡(luò)攻擊手段的發(fā)展和代理����、跳板技術(shù)的使用使得網(wǎng)絡(luò)追蹤難以 奏效。目前���,針對(duì)不同形式和特點(diǎn)的網(wǎng)絡(luò)攻擊���,提出了許多采用不同網(wǎng)絡(luò)追蹤 方法的網(wǎng)絡(luò)追蹤系統(tǒng)。網(wǎng)絡(luò)追蹤方法主要有鏈路測(cè)試法���、入口過濾法���、數(shù)據(jù) 包記錄法���、路徑記錄法、ICMP追蹤法�、日志記錄法、Ipsec鑒別法和數(shù)據(jù)包 標(biāo)記法等?��,F(xiàn)有的網(wǎng)絡(luò)追蹤技術(shù)存在或多或少的不足�,沒有一種解決方案可 以實(shí)現(xiàn)有效追蹤所規(guī)定的所有需求���。第一���,要對(duì)網(wǎng)絡(luò)攻擊、入侵進(jìn)行追蹤�, 則先要發(fā)現(xiàn)網(wǎng)絡(luò)攻擊與入侵,但是��,現(xiàn)有的入侵檢測(cè)技術(shù)還不能完全解決入 侵漏報(bào)和虛警的問題����。第二���,目前研究和討論最多的網(wǎng)絡(luò)追蹤技術(shù)是基于報(bào) 文或數(shù)據(jù)包的追蹤方法�����,而基于報(bào)文或數(shù)據(jù)包的追蹤方法的關(guān)鍵技術(shù)是在報(bào) 文或數(shù)據(jù)包中添加標(biāo)志數(shù)據(jù)或字段�����,然后通過對(duì)這些標(biāo)志數(shù)據(jù)或字段的檢測(cè) 與追蹤來實(shí)現(xiàn)對(duì)攻擊與入侵的追蹤���。不管采用哪種方式來添加標(biāo)志數(shù)據(jù)���,都 會(huì)增加路由器或其它追蹤設(shè)備的開銷,并增加網(wǎng)絡(luò)的流量�����,并且這些添加的 標(biāo)志數(shù)據(jù)或字段有可能會(huì)被攻擊者察覺而偽造數(shù)據(jù)包來逃避追蹤����,因此,現(xiàn) 有的基于報(bào)文或數(shù)據(jù)包的追蹤方法有其固有的缺點(diǎn)�����。數(shù)字水印技術(shù)是20世紀(jì)90年代出現(xiàn)的一門嶄新的技術(shù),它通過在數(shù)字產(chǎn)品(如圖像��、視頻����、音頻、文本等)中嵌入可感知或不可感知的特定信息 來確定數(shù)字產(chǎn)品的所有權(quán)或檢驗(yàn)數(shù)字內(nèi)容的原始性����,這些特定的信息包括作 者的序列號(hào)、公司標(biāo)志��、有意義的文本等等����。數(shù)字水印技術(shù)通過一定的算法 將一些標(biāo)志性信息嵌入被保護(hù)的對(duì)象當(dāng)中,只有通過專用的檢測(cè)器或閱讀器 才能正確檢測(cè)或提取�����。這些信息不影響原數(shù)據(jù)使用效果�����,并可以部分或全部 從混合數(shù)據(jù)中恢復(fù)出來。 一般來講�����,密碼技術(shù)不能對(duì)解密后數(shù)據(jù)提供進(jìn)一步 保護(hù)�����,數(shù)字簽名難以在原始數(shù)據(jù)中一次性嵌入大量信息�����,數(shù)字標(biāo)簽容易被修 改和剔除��,而數(shù)字水印技術(shù)卻很好地彌補(bǔ)了這些不足��。蜜網(wǎng)項(xiàng)目組(The Honeynet Project)的創(chuàng)始人Lance Spitzner對(duì)蜜 罐的定義是蜜罐是一種安全資源�����,其價(jià)值在于被掃描����、攻擊和攻陷��。這個(gè) 定義表明蜜罐并無其他實(shí)際作用,因此所有進(jìn)出蜜罐的網(wǎng)絡(luò)流量都可能預(yù)示 了掃描���、攻擊和攻陷���。而蜜罐的核心價(jià)值就在于對(duì)這些攻擊活動(dòng)進(jìn)行監(jiān)視、 檢測(cè)和分析�����。蜜罐是一種安全資源而并非一種安全解決方案�����,其價(jià)值體現(xiàn)在 被探測(cè)���、攻擊或者摧毀的時(shí)候�����。這意味著無論將何物指定為蜜罐�����,部署者的 期望和目標(biāo)就是讓系統(tǒng)被別人探測(cè)�、攻擊并有被攻破的可能。蜜罐作為一種 偽裝成真實(shí)目標(biāo)的資源庫�����,它可以模擬各種操作系統(tǒng)及漏洞����,也可以虛擬出 各種網(wǎng)絡(luò)服務(wù)��。它是設(shè)計(jì)用來對(duì)入侵的攻擊行為進(jìn)行記錄的誘捕系統(tǒng)����,通過 對(duì)攻擊者行為的記錄分析可以獲得攻擊者的相關(guān)信息,從而掌握攻擊者的攻 擊技術(shù)和攻擊意圖���,對(duì)重要防護(hù)目標(biāo)采取有針對(duì)性的防御措施���,同時(shí)也可以 實(shí)現(xiàn)對(duì)攻擊的追蹤等。發(fā)明內(nèi)容本發(fā)明所要解決的技術(shù)問題是提供一種網(wǎng)絡(luò)追蹤系統(tǒng)��,它不僅增強(qiáng)了追 蹤的主動(dòng)性����,減輕了追蹤的各種開銷,而且在實(shí)現(xiàn)和效果上具有更高的準(zhǔn)確 性、有效性和可操作性����。為了實(shí)現(xiàn)上述目的,本發(fā)明提供了一種利用數(shù)字水印和蜜罐技術(shù)的網(wǎng)絡(luò) 追蹤系統(tǒng)�,其特征為,包括蜜罐系統(tǒng)模塊���,安裝在主機(jī)設(shè)備上��,并掛入主機(jī)設(shè)備的操作系統(tǒng)�����;它以偽裝服務(wù)����、開放訪問端口和設(shè)置敏感信息文件等方式對(duì)網(wǎng)絡(luò)掃描���、探測(cè)和訪問進(jìn)行欺騙����,并引誘攻擊者對(duì)其實(shí)施攻擊���;監(jiān)聽網(wǎng)絡(luò)上的掃描�����、探測(cè)事件����, 判斷該事件是否符合系統(tǒng)安全策略,若不符合�,則蜜罐系統(tǒng)根據(jù)欺騙、誘導(dǎo) 策略對(duì)攻擊者進(jìn)行欺騙�,將攻擊連接引向蜜罐主機(jī)�����,并誘導(dǎo)其訪問敏感信息 文件��; 一旦蜜罐系統(tǒng)監(jiān)控到有對(duì)數(shù)字水印系統(tǒng)的訪問��,馬上生成追蹤申請(qǐng)信 息發(fā)送到追蹤服務(wù)控制臺(tái)��,并且接收追蹤服務(wù)控制臺(tái)的返回結(jié)果�;數(shù)字水印系統(tǒng)模塊,安裝在主機(jī)設(shè)備上�����,并掛入主機(jī)設(shè)備的操作系統(tǒng); 其主要用于生成數(shù)字水印��,并將數(shù)字水印嵌入到所述蜜罐系統(tǒng)的敏感信息文 件中��;追蹤服務(wù)控制臺(tái)系統(tǒng)模塊�����,安裝在所述追蹤服務(wù)控制臺(tái)設(shè)備上��,其作用 在于�,追蹤服務(wù)控制臺(tái)系統(tǒng)接收到蜜罐系統(tǒng)的追蹤申請(qǐng)信息后,對(duì)該追蹤申 請(qǐng)信息進(jìn)行編號(hào)���,提取該追蹤申請(qǐng)信息中的數(shù)字水印特征�,然后對(duì)追蹤Agent 發(fā)出追蹤該水印的追蹤指令���;追蹤服務(wù)控制臺(tái)接收追蹤Agent的初步追蹤結(jié) 果并進(jìn)行數(shù)據(jù)融合分析�����,構(gòu)造出攻擊路徑�,確定攻擊源,形成追蹤事件信息��, 包括編號(hào)�、發(fā)起追蹤申請(qǐng)?jiān)础l(fā)起追蹤時(shí)間�、各追蹤Agent返回的追蹤結(jié)果 及證據(jù)數(shù)據(jù)、融合處理后的追蹤結(jié)果等存入數(shù)據(jù)庫模塊����,并提供統(tǒng)計(jì)查詢功 能;追蹤Agent系統(tǒng)模塊���,安裝在所述追蹤Agent設(shè)備上���,其作用在于�,追 蹤Agent收到所述追蹤指令后,對(duì)最近滑動(dòng)時(shí)間窗內(nèi)網(wǎng)絡(luò)的入流量和出流量 進(jìn)行分析�,并根據(jù)該追蹤指令包含的數(shù)字水印特征進(jìn)行水印檢測(cè),根據(jù)檢測(cè) 結(jié)果����,形成初步追蹤結(jié)果返回到追蹤服務(wù)控制臺(tái)系統(tǒng)。上述蜜罐系統(tǒng)模塊和數(shù)字水印系統(tǒng)模塊構(gòu)成網(wǎng)絡(luò)追蹤系統(tǒng)中的陷阱系 統(tǒng)����,追蹤服務(wù)控制臺(tái)系統(tǒng)模塊和追蹤Agent系統(tǒng)模塊構(gòu)成網(wǎng)絡(luò)追蹤系統(tǒng)中攻 擊追蹤系統(tǒng)��。作為優(yōu)化方案����,所述蜜罐系統(tǒng)模塊包括��,網(wǎng)絡(luò)欺騙功能模塊�,其作用在于以偽裝服務(wù)、開放訪問端口和設(shè)置敏感 信息等方式對(duì)網(wǎng)絡(luò)掃描�、探測(cè)和訪問進(jìn)行欺騙,并引誘攻擊者對(duì)其實(shí)施攻擊��;信息捕獲功能模塊��,其作用在于實(shí)時(shí)地監(jiān)聽各種事件��,包括來自網(wǎng)絡(luò)中 的各種掃描�����、探測(cè)和訪問�����,也包括攻擊者侵入到蜜罐系統(tǒng)后進(jìn)行的文件讀取、 數(shù)據(jù)刪改等操作���,并對(duì)各種行為進(jìn)行記錄�����;當(dāng)監(jiān)聽到某事件后�����,先判斷其行為是否符合系統(tǒng)安全策略��,若不符合����,則根據(jù)欺騙�����、誘導(dǎo)策略進(jìn)行欺騙和誘 導(dǎo)����,將攻擊連接引向蜜罐主機(jī)�,并誘導(dǎo)其對(duì)數(shù)字水印文件進(jìn)行訪問�, 一旦監(jiān) 控到有對(duì)數(shù)字水印文件的訪問���,馬上生成追蹤申請(qǐng)信息并提交通信控制功能 模塊�����。其中�����,追蹤信息包含水印文件的水印特征信息���、水印文件的大小、訪 問時(shí)間和水印文件接收方的目的IP地址���;信息控制功能模塊�,其用于對(duì)進(jìn)入蜜罐系統(tǒng)的行為進(jìn)行限制�����, 一旦蜜罐 系統(tǒng)被攻陷��,將阻止攻擊者利用蜜罐作為跳板去攻擊其它系統(tǒng);第三通信控制功能模塊�,其用于對(duì)接收到信息捕獲模塊提交的追蹤申請(qǐng) 信息后立即上報(bào)追蹤服務(wù)控制臺(tái)系統(tǒng)并負(fù)責(zé)接收追蹤服務(wù)控制臺(tái)系統(tǒng)返回的 最終追蹤結(jié)果。作為又一優(yōu)化方案�,所述追蹤服務(wù)控制臺(tái)系統(tǒng)模塊包括,第一時(shí)統(tǒng)模塊���,其用于為追蹤服務(wù)控制臺(tái)系統(tǒng)提供與追蹤Agent系統(tǒng)相 一致的時(shí)間�����,為系統(tǒng)進(jìn)行時(shí)間關(guān)聯(lián)追蹤提供條件�����,同時(shí)為追蹤事件信息記錄 入庫提供統(tǒng)一的時(shí)間��;數(shù)據(jù)融合處理模塊����,其用于對(duì)追蹤Agent系統(tǒng)返回的追蹤信息進(jìn)行融合 處理�,構(gòu)造攻擊路徑,形成最終追蹤結(jié)果�,并提交數(shù)據(jù)庫模塊存儲(chǔ);數(shù)據(jù)庫模塊�����,其提供兩方面的功能�, 一方面存儲(chǔ)記錄追蹤事件信息,包 括攻擊事件的編號(hào)�、發(fā)起追蹤申請(qǐng)?jiān)础l(fā)起追蹤時(shí)間�、各追蹤Agent返回的 追蹤結(jié)果及證據(jù)數(shù)據(jù)、融合處理后的追蹤結(jié)果等�����;另一方面是對(duì)所有追蹤事 件信息提供統(tǒng)計(jì)查詢功能���,提供統(tǒng)計(jì)査詢界面�,根據(jù)査詢條件����,自動(dòng)生成相 關(guān)查詢結(jié)果;第一通信控制模塊���,其作用在于�, 一方面接收蜜罐系統(tǒng)發(fā)來的追蹤申請(qǐng) 信息����,并返回最終追蹤結(jié)果��;另一方面對(duì)追蹤申請(qǐng)進(jìn)行編號(hào)��,向各追蹤Agent 系統(tǒng)發(fā)送追蹤指令����,并接收追蹤Agent系統(tǒng)返回的追蹤結(jié)果信息與證據(jù)數(shù)據(jù)��, 即含有數(shù)字水印的數(shù)據(jù)包�����。作為再一優(yōu)化方案�����,所述追蹤Agent系統(tǒng)模塊包括����,第二時(shí)統(tǒng)模塊,其用于為追蹤Agent提供與追蹤服務(wù)控制臺(tái)相一致的時(shí) 間���,為系統(tǒng)進(jìn)行時(shí)間關(guān)聯(lián)追蹤提供條件�����,同時(shí)為追蹤事件的相關(guān)信息記錄入 庫提供統(tǒng)一的時(shí)間�����;流量存儲(chǔ)模塊�,其用于為追蹤分析提供數(shù)據(jù)來源�����,由于系統(tǒng)從攻擊發(fā)生 到攻擊追蹤的過程全部由程序自動(dòng)實(shí)現(xiàn)�����,從時(shí)間上來講反應(yīng)很迅速��,也就是說攻擊流量經(jīng)過追蹤Agent到追蹤Agent收到追蹤服務(wù)臺(tái)的追蹤指令的時(shí)間 間隔很短�����,因此��,追蹤Agent只需要對(duì)最近較短時(shí)間經(jīng)過的流量進(jìn)行保存�����, 設(shè)置一個(gè)滑動(dòng)時(shí)間窗,循環(huán)記錄窗口里的入流量和出流量數(shù)據(jù)�;數(shù)據(jù)分析模塊,其用于實(shí)現(xiàn)對(duì)追蹤Agent記錄的數(shù)據(jù)進(jìn)行分析�,提取出 入追蹤Agent流量的源地址和目標(biāo)地址,對(duì)流量中的數(shù)字水印進(jìn)行檢測(cè)�,最 后形成分析結(jié)果。第二通信控制模塊�����,其用于接收追蹤服務(wù)臺(tái)的追蹤指令并返回追蹤結(jié)果�, 還要向追蹤服務(wù)臺(tái)傳送追蹤的證據(jù)數(shù)據(jù),即含有數(shù)字水印的數(shù)據(jù)包�。進(jìn)一步地,本網(wǎng)絡(luò)追蹤系統(tǒng)還包括防火墻��,防火墻設(shè)置在在蜜罐系統(tǒng) 主機(jī)前端�����,它用于對(duì)蜜罐系統(tǒng)主機(jī)往外發(fā)的每一個(gè)連接進(jìn)行跟蹤�����,當(dāng)某蜜 罐系統(tǒng)主機(jī)向外發(fā)送的信息包數(shù)量達(dá)到設(shè)定上限時(shí),防火墻便會(huì)阻塞發(fā) 送����,避免蜜罐系統(tǒng)主機(jī)成為入侵者掃描、探測(cè)及攻擊他人系統(tǒng)的跳板��。又進(jìn)一歩地����,本網(wǎng)絡(luò)追蹤系統(tǒng)還包括路由器���,該路由器安裝在防火墻 與蜜罐系統(tǒng)主機(jī)組成的網(wǎng)絡(luò)之間�����;其用于隱藏防火墻��,同時(shí)��,在數(shù)據(jù)鏈路 層上作為訪問控制設(shè)備成為防火墻的補(bǔ)充����。進(jìn)一步地�,本網(wǎng)絡(luò)追蹤系統(tǒng)還包括日志服務(wù)器�����,日志服務(wù)器異地安裝�����, 與蜜罐系統(tǒng)主機(jī)所在網(wǎng)絡(luò)的遠(yuǎn)程通信����,其作用在于�����,日志服務(wù)器異地存儲(chǔ)和 備份所述信息捕獲功能模塊從防火墻日志��、IDS日志和蜜罐系統(tǒng)主機(jī)的系統(tǒng) 日志等數(shù)據(jù)源收集和捕獲的數(shù)據(jù)���,保證收集和捕獲的數(shù)據(jù)完整和安全�。本發(fā)明所提供的利用數(shù)字水印與蜜罐技術(shù)的網(wǎng)絡(luò)追蹤系統(tǒng)�����,與現(xiàn)有的網(wǎng) 絡(luò)追蹤系統(tǒng)相比,具有以下優(yōu)點(diǎn)一��、 提出了對(duì)單個(gè)報(bào)文追蹤的有效方法在本網(wǎng)絡(luò)追蹤系統(tǒng)中���,只要追蹤Agent檢測(cè)到一個(gè)含有數(shù)字水印的單個(gè) 報(bào)文就能確定該Agent所連接主機(jī)是否處于攻擊鏈上���,是處于攻擊鏈的中間 節(jié)點(diǎn)還是最終節(jié)點(diǎn)。二����、 提供了全自動(dòng)的網(wǎng)絡(luò)追蹤途徑在本網(wǎng)絡(luò)追蹤系統(tǒng)中,所有的監(jiān)控�����、檢測(cè)�����、記錄和處理都可以由軟件自動(dòng)進(jìn)行處理�,不需要人工的參與�,因此,本系統(tǒng)具有更高的追蹤效率�。三、 模糊化處理攻擊進(jìn)行時(shí)與攻擊結(jié)束后追蹤概念的界限在本網(wǎng)絡(luò)追蹤系統(tǒng)中����,當(dāng)監(jiān)測(cè)到攻擊的發(fā)生到各追蹤Agent開始執(zhí)行追 蹤指令����,這個(gè)過程都是由程序自動(dòng)實(shí)施的����,在很短的時(shí)間內(nèi)即可完成,而追 蹤Agent是針對(duì)最近記錄的數(shù)據(jù)包進(jìn)行分析的�。因此,不管攻擊是否還在繼 續(xù)進(jìn)行還是已經(jīng)結(jié)束����,本追蹤系統(tǒng)并不關(guān)心,因此��,本系統(tǒng)的追蹤方法不同 于以往追蹤手段嚴(yán)格區(qū)分是攻擊時(shí)的進(jìn)行的追蹤還是事后進(jìn)行的追蹤的情 況��,不用區(qū)分攻擊進(jìn)行時(shí)和攻擊結(jié)束后進(jìn)行追蹤概念的界限����。四、 實(shí)現(xiàn)了對(duì)基于代理和跨越跳板攻擊的網(wǎng)絡(luò)追蹤 本網(wǎng)絡(luò)追蹤系統(tǒng)通過追蹤Agent對(duì)入流量和出流量同時(shí)進(jìn)行檢測(cè)�,根據(jù)檢測(cè)結(jié)果可以判定該Agent所連接主機(jī)在攻擊鏈上所處位置。因?yàn)閷?duì)于代理 和跳板主機(jī)來說,其入流量和出流量中都會(huì)檢測(cè)到數(shù)字水印的存在����,而真正 的攻擊主機(jī)則只在入流量中存在數(shù)字水印。五���、 解決了傳統(tǒng)追蹤方法對(duì)路由器性能�、ISP之間協(xié)作和網(wǎng)絡(luò)管理人員 素質(zhì)的依賴問題����。本網(wǎng)絡(luò)追蹤系統(tǒng)由于采用了追蹤服務(wù)控制臺(tái)和分布式追蹤Agent,其指 令發(fā)送接收���、數(shù)據(jù)檢測(cè)分析和融合處理都是由程序自動(dòng)處理�,并且不需要路 由器對(duì)數(shù)據(jù)進(jìn)行記錄和標(biāo)記���,不需要各級(jí)ISP之間的相互配合和網(wǎng)絡(luò)管理人 員的手工操作。因此���,本系統(tǒng)的追蹤性能并不依賴路由器性能�����、各級(jí)ISP之 間協(xié)作和網(wǎng)絡(luò)管理人員的素質(zhì)�。
圖1為本發(fā)明網(wǎng)絡(luò)追蹤系統(tǒng)整體構(gòu)成示意圖;圖2為本發(fā)明陷阱系統(tǒng)構(gòu)成示意圖�;圖3為本發(fā)明攻擊追蹤系統(tǒng)構(gòu)成示意圖;圖4為本發(fā)明追蹤Agent系統(tǒng)模塊構(gòu)成示意圖����;圖5本發(fā)明網(wǎng)絡(luò)追蹤系統(tǒng)的建立和總括運(yùn)行流程圖;圖6為本發(fā)明陷阱系統(tǒng)設(shè)置過程示意圖���;圖7為本發(fā)明蜜罐系統(tǒng)模塊的部署過程示意圖����;圖8為本發(fā)明實(shí)施例中對(duì)一個(gè)三級(jí)代理的網(wǎng)絡(luò)攻擊的追蹤示意圖���; 圖9為本發(fā)明實(shí)施例中攻擊追蹤系統(tǒng)實(shí)施網(wǎng)絡(luò)追蹤的流程圖����;圖10為本發(fā)明實(shí)施例中各追蹤Agent系統(tǒng)實(shí)施水印檢測(cè)的流程圖�。 下面結(jié)合附圖和具體實(shí)施方式
對(duì)本發(fā)明作進(jìn)一步的詳細(xì)說明。
具體實(shí)施方式
圖l所示的網(wǎng)絡(luò)追蹤系統(tǒng)整體構(gòu)成示意圖�。物理上由一個(gè)或多個(gè)追蹤 服務(wù)控制臺(tái)、多個(gè)分散部署的追蹤Agent和安裝蜜罐系統(tǒng)模塊和數(shù)字水印系 統(tǒng)模塊的蜜罐主機(jī)三部分組成����。如圖2所示����,蜜罐系統(tǒng)模塊和數(shù)字水印系統(tǒng) 模塊構(gòu)成陷阱系統(tǒng)����,蜜罐系統(tǒng)模塊包括網(wǎng)絡(luò)欺騙功能模塊、信息捕獲功能 模塊����、.信息控制功能模塊、通信控制功能模塊�����。數(shù)字水印系統(tǒng)模塊主要包 括水印設(shè)置模塊����,用于生成數(shù)字水印,并將數(shù)字水印嵌入到所述蜜罐系統(tǒng) 的敏感信息文件中�����;如圖3所示攻擊追蹤系統(tǒng)由一個(gè)或多個(gè)追蹤服務(wù)控制臺(tái)系統(tǒng)模塊�、多 個(gè)分散部署的追蹤Agent系統(tǒng)模塊構(gòu)成。其中����,追蹤服務(wù)控制臺(tái)系統(tǒng)模塊包 括第一時(shí)統(tǒng)模塊、數(shù)據(jù)融合處理模塊����、數(shù)據(jù)庫模塊、通信控制模塊�����。如圖4所示為追蹤Agent系統(tǒng)模塊�,其包括第二時(shí)統(tǒng)模塊、流量存儲(chǔ) 模塊����、數(shù)據(jù)分析模塊、第二通信控制模塊��。圖5本發(fā)明網(wǎng)絡(luò)追蹤系統(tǒng)的建立和總括運(yùn)行流程圖���,包括歩驟IOO�,對(duì)該網(wǎng)絡(luò)追蹤系統(tǒng)中的陷阱系統(tǒng)進(jìn)行設(shè)置��,以欺騙、誘導(dǎo)攻 擊者對(duì)蜜罐主機(jī)中設(shè)置的數(shù)字水印數(shù)據(jù)進(jìn)行訪問��, 一旦監(jiān)控到有對(duì)水印文 件的訪問�,馬上生成追蹤申請(qǐng)信息并提交通信模塊,再上報(bào)追蹤服務(wù)控制 臺(tái)并負(fù)責(zé)接收追蹤服務(wù)控制臺(tái)返回的追蹤結(jié)果����。歩驟100設(shè)置陷阱系統(tǒng)過 程具體包括如下步驟,如圖6所示步驟110�,對(duì)水印系統(tǒng)的部署。水印系統(tǒng)部署在蜜罐系統(tǒng)中的蜜罐主機(jī) 中����,水印設(shè)置是它的主要功能模塊,主要負(fù)責(zé)設(shè)計(jì)含有特定數(shù)字水印的敏感 資料���。這樣����,網(wǎng)絡(luò)攻擊或入侵者訪問的信息是一個(gè)帶有特定數(shù)字水印的偽造 的敏感信息�����,以使得對(duì)該網(wǎng)絡(luò)攻擊者的追蹤就轉(zhuǎn)化為對(duì)特定數(shù)字水印的追 蹤�。要設(shè)計(jì)好水印文件的形式�,可以是音頻���、視頻、圖像和文本文件�,這些文件中的水印要容易檢測(cè)和提取,且對(duì)攻擊者來說不可見���,并且該水印在傳 輸過程中經(jīng)過分段操作后仍能進(jìn)行檢測(cè)和提?��。黄浯?���,水印文件的命名與放 置要精心設(shè)計(jì), 一方面要能讓攻擊者容易發(fā)現(xiàn)并引起極大興趣����,另一方面又 不要讓攻擊者引起懷疑而識(shí)別出蜜罐的陷阱系統(tǒng),具體的有基于空域算法的水印��、基于變換域算法的水印�����、基于JPEG和MPEG標(biāo)準(zhǔn)的壓縮域的數(shù)字水印、 基于NEC算法的水印等等可供選擇�;步驟120,對(duì)蜜罐系統(tǒng)的部署��,具體如圖7所示��,包括步驟121��,設(shè)置網(wǎng)絡(luò)欺騙功能模塊��,以實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)掃描�����、探測(cè)的欺騙以及對(duì)網(wǎng)絡(luò)攻擊的誘導(dǎo)功能��。網(wǎng)絡(luò)欺騙一般以偽裝服務(wù)����、開放訪問端口和 設(shè)置敏感信息等方式對(duì)網(wǎng)絡(luò)掃描、探測(cè)和訪問進(jìn)行欺騙�����,并引誘攻擊者對(duì)其實(shí)施攻擊;步驟122��,設(shè)置信息捕獲功能模塊�,實(shí)時(shí)地監(jiān)聽各種事件,包括來自網(wǎng) 絡(luò)中的各種掃描��、探測(cè)和訪問��,也包括攻擊者侵入到蜜罐系統(tǒng)后進(jìn)行的文件 讀取�����、數(shù)據(jù)刪改等操作��,并對(duì)各種行為進(jìn)行記錄���。當(dāng)監(jiān)聽到某事件后,先判 斷其行為是否符合系統(tǒng)安全策略���,若不符合����,則根據(jù)欺騙�、誘導(dǎo)策略進(jìn)行欺 騙和誘導(dǎo),將攻擊連接引向蜜罐主機(jī),并誘導(dǎo)其對(duì)數(shù)字水印數(shù)據(jù)進(jìn)行訪問��, 一旦監(jiān)控到有對(duì)水印文件的訪問�,馬上生成追蹤申請(qǐng)信息并提交通信模塊。 其中�,追蹤信息包含水印文件的水印特征信息、水印文件的大小����、訪問時(shí)間 和水印文件接收方的目的IP地址,為了在攻擊者沒有察覺的情況下��,盡量多 地捕獲有關(guān)攻擊者行為的數(shù)據(jù)���,并使到達(dá)蜜罐的數(shù)據(jù)盡量真實(shí)���,信息捕獲功 能模塊要從各種不同的數(shù)據(jù)源收集數(shù)據(jù),分層次地進(jìn)行數(shù)據(jù)的捕獲��, 一般采 取"三重捕獲"措施����,即防火墻日志、IDS日志和蜜罐主機(jī)的系統(tǒng)日志����;為 了防止攻擊者對(duì)捕獲信息的記錄或日志造成破壞�����,要將捕獲的信息和日志記 錄轉(zhuǎn)發(fā)到遠(yuǎn)程安全的主機(jī)上即日志服務(wù)器進(jìn)行異地存儲(chǔ)和備份�����,以充分保證 捕獲信息的完整和安全��;為了更全面、完整地捕獲攻擊者的有關(guān)信息����,還可 以使用第三方軟件來記錄攻擊者的網(wǎng)絡(luò)通信和系統(tǒng)活動(dòng)以加固日志功能;步驟123��,設(shè)置信息控制功能模塊���,以對(duì)進(jìn)入蜜罐系統(tǒng)的行為進(jìn)行限 制����。 一旦蜜罐系統(tǒng)被攻陷����,必須保證攻擊者不會(huì)利用它攻擊其它系統(tǒng)并造 成危害���,以阻止攻擊者利用蜜罐作為跳板去攻擊別的機(jī)器。信息控制功能模塊應(yīng)當(dāng)能夠截獲進(jìn)出網(wǎng)絡(luò)的所有連接�����,因此���,在蜜罐系統(tǒng)前端設(shè)置一個(gè) 防火墻�,所有的信息包都必須通過防火墻���,防火墻能夠?qū)W(wǎng)絡(luò)中所有欺騙 主機(jī)往外發(fā)的每一個(gè)連接進(jìn)行跟蹤��,當(dāng)某欺騙主機(jī)外發(fā)的數(shù)量達(dá)到預(yù)先設(shè) 定的上限時(shí)��,防火墻便會(huì)阻塞那些信息包�����。這樣就可避免欺騙主機(jī)成為入 侵者掃描�、探測(cè)及攻擊他人系統(tǒng)的跳板����。另外在防火墻與欺騙網(wǎng)絡(luò)之間還 可以放置一個(gè)路由器���。首先,路由器隱藏了防火墻����。這種布局更像一個(gè)真 實(shí)網(wǎng)絡(luò)環(huán)境,沒人會(huì)注意到在路由器的外面還有一臺(tái)防火墻�����;其次���,路由 器可以作為第而二層訪問控制設(shè)備成為防火墻的補(bǔ)充,以確保欺騙主機(jī)不 會(huì)被用來攻擊欺騙網(wǎng)絡(luò)以外的機(jī)器����。防火墻與路由器的配合使用可以在技 術(shù)上十分完善地對(duì)外出的信息包進(jìn)行過濾。這可以最大程度地讓入侵者做 他們想做的事情而不致產(chǎn)生懷疑�����。 一般地��,通過防火墻與路由器的配合使 用以及限制蜜罐帶寬速率等可以較好地實(shí)現(xiàn)信息控制的目的;
步驟124���,設(shè)置通信控制功能模塊�,以對(duì)接收到信息捕獲模塊提交的 追蹤申請(qǐng)信息后立即上報(bào)追蹤服務(wù)控制臺(tái)并負(fù)責(zé)接收追蹤服務(wù)控制臺(tái)返 回的追蹤結(jié)果�����。這里�����,通信控制模塊上報(bào)的追蹤申請(qǐng)信息中數(shù)字水印的特
征信息是必不可少的�����,而追蹤的目標(biāo)地址信息則是可作為可選項(xiàng)���;另外�,
基于信息安全與保密考慮�,攻擊追蹤系統(tǒng)的追蹤結(jié)果不一定會(huì)返回到追蹤 申請(qǐng)者即蜜罐系統(tǒng),具體情況要根據(jù)具體應(yīng)用而定���。
上述步驟完成后再如圖5所示���,進(jìn)入步驟200�����,對(duì)該網(wǎng)絡(luò)追蹤系統(tǒng)中 的攻擊追蹤系統(tǒng)進(jìn)行部署�����,以在接收到蜜罐系統(tǒng)的追蹤請(qǐng)求后�,對(duì)攻擊源 進(jìn)行追蹤��。
考慮到攻擊者為了隱蔽自己�,常常通過代理主機(jī)和跳板主機(jī)向目標(biāo)發(fā) 起攻擊,在本發(fā)明實(shí)施例中本網(wǎng)絡(luò)追蹤系統(tǒng)是對(duì)一個(gè)在可控網(wǎng)絡(luò)范圍內(nèi)通 過三級(jí)代理發(fā)起的網(wǎng)絡(luò)攻擊實(shí)施的追蹤���。如圖8所示��,攻擊者分別將代理 主機(jī)1、代理主機(jī)2和代理主機(jī)3作為第一�、第二和第三級(jí)代理,對(duì)應(yīng)地�����, 代理主機(jī)1、代理主機(jī)2和代理主機(jī)3所在的網(wǎng)絡(luò)中部署了追蹤Agent 1��、 追蹤Agent 2和追蹤Agent 3����。下面結(jié)合圖8所示的一個(gè)三級(jí)代理的網(wǎng)絡(luò) 攻擊的追蹤示意圖,說明步驟200中對(duì)該網(wǎng)絡(luò)追蹤系統(tǒng)中的攻擊追蹤系統(tǒng) 在接收到蜜罐系統(tǒng)的追蹤請(qǐng)求信息后����,對(duì)攻擊源進(jìn)行追蹤的具體步驟。如圖9所示
步驟210�,追蹤服務(wù)控制臺(tái)的通信控制模塊收到追蹤請(qǐng)求和相關(guān)水印 信息后,對(duì)其進(jìn)行記錄與編號(hào)����,以區(qū)別與網(wǎng)絡(luò)中其它的追蹤事件,同時(shí)追 蹤服務(wù)控制臺(tái)的數(shù)據(jù)庫模塊存儲(chǔ)記錄追蹤事件的相關(guān)信息�,包括攻擊事件 編號(hào)����、發(fā)起追蹤申請(qǐng)?jiān)础l(fā)起追蹤時(shí)間等��。然后����,追蹤服務(wù)控制臺(tái)的通信
功能模塊向網(wǎng)絡(luò)中的追蹤Agent下達(dá)追蹤指令,同時(shí)����,將追蹤的水印信息 發(fā)送到各追蹤Agent;
步驟220,各追蹤Agent的通信控制模塊接收到追蹤指令后��,其數(shù)據(jù) 分析模塊立即對(duì)其所在網(wǎng)絡(luò)的入流量和出流量進(jìn)行水印檢測(cè)���,包括以下步 驟�,具體如圖IO所示
歩驟221��,追蹤Agent3在其網(wǎng)絡(luò)中進(jìn)行水印檢測(cè)�,在入流量中檢測(cè) 到水印數(shù)據(jù)并獲得水印數(shù)據(jù)的目的地址為代理主機(jī)3的地址,在出流量中 檢測(cè)到數(shù)字水印并獲得水印數(shù)據(jù)的目的地址為代理主機(jī)2的地址��,將追蹤 結(jié)果返回追蹤服務(wù)控制臺(tái)��;
步驟222�����,追蹤Agent2在其網(wǎng)絡(luò)中進(jìn)行水印檢測(cè)����,在入流量中檢測(cè) 到水印數(shù)據(jù)并獲得水印數(shù)據(jù)的目的地址為代理主機(jī)2的地址,在出流量中 檢測(cè)到數(shù)字水印并獲得水印數(shù)據(jù)的目的地址為代理主機(jī)1的地址��,將追蹤 結(jié)果返回追蹤服務(wù)控制臺(tái)����;
步驟223,追蹤Agentl在其網(wǎng)絡(luò)中進(jìn)行水印檢測(cè)�����,在入流量中檢測(cè) 到水印數(shù)據(jù)并獲得水印數(shù)據(jù)的目的地址為代理主機(jī)1的地址�,在出流量中 檢測(cè)到數(shù)字水印并獲得水印數(shù)據(jù)的目的地址為攻擊主機(jī)的地址,將追蹤結(jié) 果返回追蹤服務(wù)控制臺(tái)�;
步驟224,追蹤Agent4在其網(wǎng)絡(luò)中進(jìn)行水印檢測(cè)�����,在入流量中檢測(cè) 到水印數(shù)據(jù)并獲得水印數(shù)據(jù)的目的地址為攻擊者的地址,在出流量中檢測(cè) 不到數(shù)字水印�,將追蹤結(jié)果返回追蹤服務(wù)控制臺(tái);
步驟225�,在其它網(wǎng)絡(luò)中,各追蹤Agent對(duì)其所在網(wǎng)絡(luò)的流量進(jìn)行水 印檢測(cè)����。不會(huì)在其入流量或出流量中發(fā)現(xiàn)水印,將追蹤結(jié)果返回追蹤服務(wù) 控制臺(tái)�����。
步驟230����,各追蹤Agent將追蹤結(jié)果返回追蹤服務(wù)控制臺(tái)后,追蹤服
15務(wù)控制臺(tái)的通信控制模塊接收結(jié)果信息和證據(jù)數(shù)據(jù)����,其數(shù)據(jù)融合處理模塊 對(duì)這些追蹤信息進(jìn)行融合處理、分析�,很容易可以看出,攻擊的逆路徑是 經(jīng)過了代理主機(jī)3�����,再到代理主機(jī)2,再到代理主機(jī)1�,最后到攻擊者的 過程。至此�,追蹤服務(wù)控制臺(tái)獲得最終的追蹤結(jié)果��,找到了發(fā)起攻擊的真 正兇手���,清晰地重構(gòu)了攻擊路徑��。
步驟240���,為了更深入對(duì)攻擊的規(guī)律、意圖等進(jìn)行分析和研究�,追蹤 服務(wù)控制臺(tái)將所有追蹤的結(jié)果一起保存到數(shù)據(jù)庫進(jìn)行管理,以供研究人員 對(duì)其進(jìn)行査詢�、統(tǒng)計(jì)。
步驟250�,追蹤服務(wù)控制臺(tái)將最終的追蹤結(jié)果返回追蹤申請(qǐng)者。 最后所應(yīng)說明的是����,以上實(shí)施例僅用以說明本發(fā)明的技術(shù)方案而非限 制,盡管參照較佳實(shí)施例對(duì)本發(fā)明進(jìn)行了詳細(xì)說明�,本領(lǐng)域的普通技術(shù)人 員應(yīng)當(dāng)理解,可對(duì)本發(fā)明的技術(shù)方案進(jìn)修改或者等同替換,而不脫離本發(fā) 明技術(shù)方案的精神和范圍��,其均應(yīng)涵蓋在本發(fā)明的權(quán)利要求范圍當(dāng)中���。
權(quán)利要求
1. 一種利用數(shù)字水印和蜜罐技術(shù)的網(wǎng)絡(luò)追蹤系統(tǒng)�,其特征在于����,它包括,蜜罐系統(tǒng)模塊����,安裝在主機(jī)設(shè)備上,并掛入主機(jī)設(shè)備的操作系統(tǒng)�;它以偽裝服務(wù)、開放訪問端口和設(shè)置敏感信息文件等方式對(duì)網(wǎng)絡(luò)掃描����、探測(cè)和訪問進(jìn)行欺騙,并引誘攻擊者對(duì)其實(shí)施攻擊����;監(jiān)聽網(wǎng)絡(luò)上的掃描、探測(cè)事件��,判斷該事件是否符合系統(tǒng)安全策略,若不符合���,則蜜罐系統(tǒng)根據(jù)欺騙��、誘導(dǎo)策略對(duì)攻擊者進(jìn)行欺騙�����,將攻擊連接引向蜜罐主機(jī),并誘導(dǎo)其訪問敏感信息文件���;一旦蜜罐系統(tǒng)監(jiān)控到有對(duì)數(shù)字水印系統(tǒng)的訪問�,馬上生成追蹤申請(qǐng)信息發(fā)送到追蹤服務(wù)控制臺(tái)�����,并且接收追蹤服務(wù)控制臺(tái)的返回結(jié)果���;數(shù)字水印系統(tǒng)模塊���,安裝在主機(jī)設(shè)備上,并掛入主機(jī)設(shè)備的操作系統(tǒng)����;其主要包括水印設(shè)置模塊��,用于生成數(shù)字水印��,并將數(shù)字水印嵌入到所述蜜罐系統(tǒng)的敏感信息文件中���;追蹤服務(wù)控制臺(tái)系統(tǒng)模塊,安裝在所述追蹤服務(wù)控制臺(tái)設(shè)備上�,其作用在于,追蹤服務(wù)控制臺(tái)系統(tǒng)接收到蜜罐系統(tǒng)的追蹤申請(qǐng)信息后����,對(duì)該追蹤申請(qǐng)信息進(jìn)行編號(hào),提取該追蹤申請(qǐng)信息中的數(shù)字水印特征���,然后對(duì)追蹤Agent發(fā)出追蹤該水印的追蹤指令���;追蹤服務(wù)控制臺(tái)接收追蹤Agent的初步追蹤結(jié)果并進(jìn)行數(shù)據(jù)融合分析,構(gòu)造出攻擊路徑���,確定攻擊源���,形成追蹤事件信息�,包括編號(hào)�����、發(fā)起追蹤申請(qǐng)?jiān)?、發(fā)起追蹤時(shí)間、各追蹤Agent返回的追蹤結(jié)果及證據(jù)數(shù)據(jù)��、融合處理后的追蹤結(jié)果等存入數(shù)據(jù)庫模塊����,并提供統(tǒng)計(jì)查詢功能�����;追蹤Agent系統(tǒng)模塊��,安裝在所述追蹤Agent設(shè)備上�,其作用在于,追蹤Agent收到所述追蹤指令后�,對(duì)最近滑動(dòng)時(shí)間窗內(nèi)網(wǎng)絡(luò)的入流量和出流量進(jìn)行分析,并根據(jù)該追蹤指令包含的數(shù)字水印特征進(jìn)行水印檢測(cè)��,根據(jù)檢測(cè)結(jié)果�����,形成初步追蹤結(jié)果返回到追蹤服務(wù)控制臺(tái)系統(tǒng);上述蜜罐系統(tǒng)模塊和數(shù)字水印系統(tǒng)模塊構(gòu)成網(wǎng)絡(luò)追蹤系統(tǒng)中的陷阱系統(tǒng)���,追蹤服務(wù)控制臺(tái)系統(tǒng)模塊和追蹤Agent系統(tǒng)模塊構(gòu)成網(wǎng)絡(luò)追蹤系統(tǒng)中攻擊追蹤系統(tǒng)�。
2���、 根據(jù)權(quán)利要求l所述的利用數(shù)字水印和蜜罐技術(shù)的網(wǎng)絡(luò)追蹤系統(tǒng)��,其 特征在于����,所述蜜罐系統(tǒng)模塊包括�����,網(wǎng)絡(luò)欺騙功能模塊����,其作用在于以偽裝服務(wù)、開放訪問端口和設(shè)置敏感信息等方式對(duì)網(wǎng)絡(luò)掃描���、探測(cè)和訪問進(jìn)行欺騙��,并引誘攻擊者對(duì)其實(shí)施攻擊���; 信息捕獲功能模塊�,其作用在于實(shí)時(shí)地監(jiān)聽各種事件���,包括來自網(wǎng)絡(luò)中 的各種掃描���、探測(cè)和訪問,也包括攻擊者侵入到蜜罐系統(tǒng)后進(jìn)行的文件讀取���、 數(shù)據(jù)刪改等操作���,并對(duì)各種行為進(jìn)行記錄��;當(dāng)監(jiān)聽到某事件后�,先判斷其行 為是否符合系統(tǒng)安全策略,若不符合�����,則根據(jù)欺騙�、誘導(dǎo)策略進(jìn)行欺騙和誘 導(dǎo)�,將攻擊連接引向蜜罐主機(jī)��,并誘導(dǎo)其對(duì)數(shù)字水印文件進(jìn)行訪問���, 一旦監(jiān) 控到有對(duì)數(shù)字水印文件的訪問�����,馬上生成追蹤申請(qǐng)信息并提交通信控制功能 模塊��。其中�,追蹤信息包含水印文件的水印特征信息����、水印文件的大小、訪問時(shí)間和水印文件接收方的目的IP地址�����;信息控制功能模塊���,其用于對(duì)進(jìn)入蜜罐系統(tǒng)的行為進(jìn)行限制�����, 一旦蜜罐系統(tǒng)被攻陷���,將阻止攻擊者利用蜜罐作為跳板去攻擊其它系統(tǒng)�;第三通信控制功能模塊��,其用于對(duì)接收到信息捕獲模塊提交的追蹤申請(qǐng) 信息后立即上報(bào)追蹤服務(wù)控制臺(tái)系統(tǒng)并負(fù)責(zé)接收追蹤服務(wù)控制臺(tái)系統(tǒng)返回的 最終追蹤結(jié)果����。
3、根據(jù)權(quán)利要求l所述的利用數(shù)字水印和蜜罐技術(shù)的網(wǎng)絡(luò)追蹤系統(tǒng)�,其 特征在于,所述追蹤服務(wù)控制臺(tái)系統(tǒng)模塊包括��,第一時(shí)統(tǒng)模塊��,其用于為追蹤服務(wù)控制臺(tái)系統(tǒng)提供與追蹤Agent系統(tǒng)相 一致的時(shí)間���,為系統(tǒng)進(jìn)行時(shí)間關(guān)聯(lián)追蹤提供條件,同時(shí)為追蹤事件信息記錄 入庫提供統(tǒng)一的時(shí)間�;數(shù)據(jù)融合處理模塊,其用于對(duì)追蹤Agent系統(tǒng)返回的追蹤信息進(jìn)行融合 處理�,構(gòu)造攻擊路徑,形成最終追蹤結(jié)果,并提交數(shù)據(jù)庫模塊存儲(chǔ)�����;數(shù)據(jù)庫模塊�����,其提供兩方面的功能����, 一方面存儲(chǔ)記錄追蹤事件信息,包 括攻擊事件的編號(hào)����、發(fā)起追蹤申請(qǐng)?jiān)础l(fā)起追蹤時(shí)間��、各追蹤Agent返回的 追蹤結(jié)果及證據(jù)數(shù)據(jù)�、融合處理后的追蹤結(jié)果等;另一方面是對(duì)所有追蹤事 件信息提供統(tǒng)計(jì)查詢功能���,提供統(tǒng)計(jì)查詢界面��,根據(jù)査詢條件�,自動(dòng)生成相 關(guān)查詢結(jié)果;第一通信控制模塊�����,其作用在于�, 一方面接收蜜罐系統(tǒng)發(fā)來的追蹤申請(qǐng) 信息,并返回最終追蹤結(jié)果����;另一方面對(duì)追蹤申請(qǐng)進(jìn)行編號(hào),向各追蹤Agent系統(tǒng)發(fā)送追蹤指令��,并接收追蹤Agent系統(tǒng)返回的追蹤結(jié)果信息與證據(jù)數(shù)據(jù)���, 即含有數(shù)字水印的數(shù)據(jù)包����。
4��、 根據(jù)權(quán)利要求l所述的利用數(shù)字水印和蜜罐技術(shù)的網(wǎng)絡(luò)追蹤系統(tǒng)��,其 特征在于����,所述追蹤Agent系統(tǒng)模塊包括,第二時(shí)統(tǒng)模塊��,其用于為追蹤Agent提供與追蹤服務(wù)控制臺(tái)相一致的時(shí) 間����,為系統(tǒng)進(jìn)行時(shí)間關(guān)聯(lián)追蹤提供條件,同時(shí)為追蹤事件的相關(guān)信息記錄入 庫提供統(tǒng)一的時(shí)間�����;流量存儲(chǔ)模塊�����,其用于為追蹤分析提供數(shù)據(jù)來源��,由于系統(tǒng)從攻擊發(fā)生 到攻擊追蹤的過程全部由程序自動(dòng)實(shí)現(xiàn)�����,從時(shí)間上來講反應(yīng)很迅速����,也就是 說攻擊流量經(jīng)過追蹤Agent到追蹤Agent收到追蹤服務(wù)臺(tái)的追蹤指令的時(shí)間 間隔很短,因此���,追蹤Agent只需要對(duì)最近較短時(shí)間經(jīng)過的流量進(jìn)行保存�, 設(shè)置一個(gè)滑動(dòng)時(shí)間窗,循環(huán)記錄窗口里的入流量和出流量數(shù)據(jù)�����;數(shù)據(jù)分析模塊��,其用于實(shí)現(xiàn)對(duì)追蹤Agent記錄的數(shù)據(jù)進(jìn)行分析��,提取出 入追蹤Agent流量的源地址和目標(biāo)地址�,對(duì)流量中的數(shù)字水印進(jìn)行檢測(cè),最 后形成分析結(jié)果,-第二通信控制模塊�����,其用于接收追蹤服務(wù)臺(tái)的追蹤指令并返回追蹤結(jié)果���, 還要向追蹤服務(wù)臺(tái)傳送追蹤的證據(jù)數(shù)據(jù)����,即含有數(shù)字水印的數(shù)據(jù)包���。
5����、 根據(jù)權(quán)利要求2所述的利用數(shù)字水印和蜜罐技術(shù)的網(wǎng)絡(luò)追蹤系統(tǒng), 其特征在于包括防火墻�����,防火墻設(shè)置在在蜜罐系統(tǒng)主機(jī)前端����,它用于對(duì)蜜 罐系統(tǒng)主機(jī)往外發(fā)的每一個(gè)連接進(jìn)行跟蹤����,當(dāng)某蜜罐系統(tǒng)主機(jī)向外發(fā)送的 信息包數(shù)量達(dá)到設(shè)定上限時(shí),防火墻便會(huì)阻塞發(fā)送�,避免蜜罐系統(tǒng)主機(jī)成 為入侵者掃描、探測(cè)及攻擊他人系統(tǒng)的跳板�����。
6����、 根據(jù)權(quán)利要求5所述的利用數(shù)字水印和蜜罐技術(shù)的網(wǎng)絡(luò)追蹤系統(tǒng), 其特征在于還包括路由器���,該路由器安裝在防火墻與蜜罐系統(tǒng)主機(jī)組成的 網(wǎng)絡(luò)之間�;其用于隱藏防火墻,同時(shí)�����,在數(shù)據(jù)鏈路層上作為訪問控制設(shè)備 成為防火墻的補(bǔ)充�。
7、 根據(jù)權(quán)利要求6所述的利用數(shù)字水印和蜜罐技術(shù)的網(wǎng)絡(luò)追蹤系統(tǒng)�,其 特征在于,還包括日志服務(wù)器�,日志服務(wù)器異地安裝���,與蜜罐系統(tǒng)主機(jī)所在 網(wǎng)絡(luò)的遠(yuǎn)程通信�����,其作用在于�,日志服務(wù)器異地存儲(chǔ)和備份所述信息捕獲功能模塊從防火墻日志�����、IDS日志和蜜罐系統(tǒng)主機(jī)的系統(tǒng)日志等數(shù)據(jù)源收集和捕 獲的數(shù)據(jù),保證收集和捕獲的數(shù)據(jù)完整和安全�����。
全文摘要
本發(fā)明公開了一種利用數(shù)字水印和蜜罐技術(shù)的網(wǎng)絡(luò)追蹤系統(tǒng)�����,其包括陷阱系統(tǒng)和攻擊追蹤系統(tǒng)�����,其中陷阱系統(tǒng)主要由蜜罐系統(tǒng)模塊和數(shù)字水印系統(tǒng)模塊構(gòu)成�����。本發(fā)明提供的網(wǎng)絡(luò)追蹤系統(tǒng)�,相比現(xiàn)有的網(wǎng)絡(luò)追蹤系統(tǒng)��,不僅增強(qiáng)了追蹤的主動(dòng)性�����,減輕了追蹤的各種開銷���,而且在實(shí)現(xiàn)和效果上具有更高的準(zhǔn)確性�、有效性和可操作性��。
文檔編號(hào)H04L9/36GK101262351SQ200810047068
公開日2008年9月10日 申請(qǐng)日期2008年5月13日 優(yōu)先權(quán)日2008年5月13日
發(fā)明者娟 何, 易再堯, 潘柳青, 王芙蓉, 海 胡, 辰 黃, 黃本雄 申請(qǐng)人:華中科技大學(xué)