一種積極的自動檢測http攻擊的信息安全管理框架的制作方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及一種積極的安全管理框架的設(shè)計和實現(xiàn)方法,尤其涉及基于威脅檢測的信息安全的方法�。本方法可以運(yùn)用到防火墻、入侵檢測�����、入侵防御���、DDOS保護(hù)�����、Web應(yīng)用防火墻和網(wǎng)絡(luò)設(shè)備之中��。
【背景技術(shù)】
[0002]本發(fā)明中包含的英文簡稱如下:
IDS:Intrus1n Detect1n Systems 入侵檢測系統(tǒng)����;
DMZ: De-Militarised Zone 非軍事區(qū);
DE -Detect1n Engine 檢測引擎����;
SGE:Signature Generat1n Engine 數(shù)字簽名生成引擎;
LCS: Longest Common Subsequence 最長公共子序列算法�����;
DDOS -Distributed Denial of Service 分布式拒絕服務(wù)����;
APT:Advanced Persistent Threat 高級持續(xù)性威脅�;
HTTP:HyperText Transfer Protocol 超文本傳輸協(xié)議;
NIPS:Network Intrus1n Prevent1n System 網(wǎng)絡(luò)入侵防護(hù)系統(tǒng)���。
[0003]隨著企業(yè)IT基礎(chǔ)構(gòu)架的不斷完善����,信息化程度的不斷提高,企業(yè)的運(yùn)營與發(fā)展對計算機(jī)網(wǎng)絡(luò)的依賴性越來越大�。面對著日益嚴(yán)重的企業(yè)網(wǎng)絡(luò)安全問題,企業(yè)也采取了種種措施加以防范����。例如,限制可疑流量���,但是�����,像80和443這樣的端口是不可能被關(guān)閉的��,因為不開放這樣的端口�,網(wǎng)頁就無法瀏覽����,網(wǎng)站就失去了它存在的意義;因此��,HTTP流量一般被認(rèn)為是合法的流量����。然而��,這種理念可能被HTTP攻擊者所利用�,網(wǎng)絡(luò)犯罪分子用來進(jìn)行網(wǎng)絡(luò)破壞活動�。
[0004]本專利提出了一種積極的安全管理框架,基于這種框架能夠?qū)崟r和自動地檢測�����、分析和預(yù)防網(wǎng)路攻擊���。它不僅能夠檢測到已知的諸如HTTP攻擊�����,而且還能夠預(yù)防新的網(wǎng)絡(luò)攻擊�。新的攻擊利用目前還沒有解決方案的計算機(jī)漏洞���,并且這些漏洞一般來說是很難檢測到的,任憑采用積極的�,還是被動的安全管理方法。
[0005]目前���,業(yè)界有兩種基于威脅檢測的方法�����,即:一種是基于數(shù)字簽名的檢測方法�,另一種是基于異常的檢測方法?��;跀?shù)字簽名的檢測方法采用數(shù)字簽名匹配攻擊模型���;這種方法只能匹配已知的攻擊,但不能檢測出未知的網(wǎng)絡(luò)攻擊����。基于異常的檢測方法需要維護(hù)一些常用的配置文件���,從中發(fā)出異常與偏差的告警���。基于異常的檢測方法能夠檢測出新的攻擊���,但它會出現(xiàn)數(shù)量較多的誤報��。這兩種方法都需要人工更新數(shù)字簽名庫和修改配置文件�。然而,這兩個工作是非常費時間的�,因為手工修改配置文件和更新或同步數(shù)字簽名庫的速度是非常之慢,甚至于堪比網(wǎng)絡(luò)攻擊手段的推出速度還要慢許多����。新的攻擊的發(fā)現(xiàn)需要通過更新或同步網(wǎng)絡(luò)攻擊庫來達(dá)到檢測和防御網(wǎng)絡(luò)攻擊的目的。這幾乎不可能通過手工的方式來完成更新或同步�,因為手工更新和同步的速度太慢了。必需要一種自動更新的裝置來實時地�、動態(tài)地更新或同步網(wǎng)絡(luò)攻擊數(shù)字簽名庫以達(dá)到及時預(yù)防新的網(wǎng)絡(luò)攻擊的目的。
[0006]自動地檢測攻擊和數(shù)字簽名生成系統(tǒng)能夠協(xié)助入侵檢測系統(tǒng)檢測到這些新的網(wǎng)絡(luò)攻擊并發(fā)出告警����。目前,還沒有任何單一的技術(shù)可以幫助解決這個問題�����。一個融合的方法���,諸如,蜜罐(HoneyPots)�、入侵檢測系統(tǒng)(IDS)���、數(shù)字簽名生成算法、跟蹤技術(shù)和分析方法�����,都是必需要的�����。
[0007]本專利采用混合方法����,采用了基于數(shù)字簽名的方法,并結(jié)合蜜罐技術(shù)�����,提出了一種通過對HTTP攻擊的實時檢測和動態(tài)更新數(shù)字簽名攻擊庫的信息安全管理方法����,來保護(hù)企業(yè)IT網(wǎng)絡(luò)在線資源免遭網(wǎng)絡(luò)入侵攻擊、保持業(yè)務(wù)不中斷�、服務(wù)不停止,做到零損失或?qū)p失降低到最小。本方法也可以運(yùn)用到防火墻�����、入侵檢測�����、入侵防御�、DDOS保護(hù)、Web應(yīng)用防火墻和網(wǎng)絡(luò)設(shè)備之中����。
[0008]現(xiàn)有的專利文獻(xiàn)包括:專利申請?zhí)枮镃N200810242179 (公開號:CN101478387A,公開日:2009.07.08)的華為賽門鐵克科技有限公司專利“超文本傳輸協(xié)議攻擊防御方法���、裝置和系統(tǒng)”���。該專利公開了一種基于重定向的超文本傳輸協(xié)議攻擊防御方法,包括:響應(yīng)客戶端的HTTP請求����,發(fā)送重定向命令,將HTTP請求重定向到一個虛擬的地址���,斷開為HTTP請求建立的網(wǎng)絡(luò)連接��,所述虛擬地址能夠到達(dá)服務(wù)器�����;接收客戶端新的HTTP請求��,根據(jù)虛擬地址信息判斷出重定向后的HTTP請求���,并判斷出具有合法數(shù)據(jù)包的HTTP請求;將具有合法數(shù)據(jù)包的HTTP請求中的虛擬地址修改為原來地址���,并發(fā)送給服務(wù)器����。
[0009]現(xiàn)有的專利文獻(xiàn)還包括:專利申請?zhí)枮镃N201310455652 (公開號:CN103516727A����,公開日:2014.01.15)的重慶電子工程職業(yè)學(xué)院專利“網(wǎng)絡(luò)主動防御系統(tǒng)及其更新方法”。該專利公開了一種網(wǎng)絡(luò)主動防御系統(tǒng)及其更新方法��,包括規(guī)則庫�、更新緩沖器、過濾器和云更新服務(wù)器,以及狀態(tài)檢測引擎模塊���、拒絕服務(wù)攻擊引擎模塊����、蠕蟲攻擊引擎模塊��、Web防護(hù)引擎模塊�����、流量異常引擎模塊���、入侵響應(yīng)引擎模塊和規(guī)則更新引擎模塊七大功能模塊���。本發(fā)明主要解決NIPS網(wǎng)絡(luò)主動防御系統(tǒng)不能隨攻擊技術(shù)的更新即時變換防范策略的問題,此外���,還針對Web滲透攻擊技術(shù)專門開發(fā)了相應(yīng)防御過濾模塊�����。技術(shù)實現(xiàn)上�����,采用非人工參與情況下���,在不影響NIPS自身正常防御工作的前提下��,自動響應(yīng)更新,安全��、可靠�����、高效��。此外�����,該專利在產(chǎn)品功能上注重開發(fā)了 Web防護(hù)引擎模塊和規(guī)則更新引擎模塊����,使本NIPS產(chǎn)品適用性和安全性更強(qiáng)。
[0010]現(xiàn)有的專利文獻(xiàn)還包括:專利申請?zhí)枮镃N201410577668 (公開號:CN104378361A��,公開日:2015.02.25)的蘇州闊地網(wǎng)絡(luò)科技有限公司專利“一種網(wǎng)絡(luò)入侵檢測方法及系統(tǒng)”。該專利公開了一種網(wǎng)絡(luò)入侵檢測方法及系統(tǒng)��。包括以下步驟:獲取預(yù)定時間段內(nèi)的訪問數(shù)據(jù)����;從所述訪問數(shù)據(jù)中提取訪問參數(shù)特征信息;根據(jù)所述訪問參數(shù)特征信息判斷是否存在可疑訪問��。根據(jù)本發(fā)明提供的網(wǎng)絡(luò)入侵檢測方法及系統(tǒng)����,能夠高效檢測出利用HTTP隧道穿透技術(shù)的遠(yuǎn)控程序,提高系統(tǒng)安全性��,并且無需在防火墻后面增加入侵檢測系統(tǒng)�����,減少系統(tǒng)成本�。
[0011]現(xiàn)有的專利文獻(xiàn)還包括:專利申請?zhí)枮镃N201410557060 (公開號:CN104283889A,公開日:2015.01.14)的國網(wǎng)重慶市電力公司電力科學(xué)研究院專利“基于網(wǎng)絡(luò)架構(gòu)的電力系統(tǒng)內(nèi)部APT攻擊檢測及預(yù)警系統(tǒng)”�����。該專利公開了一種基于網(wǎng)絡(luò)架構(gòu)的電力系統(tǒng)內(nèi)部APT攻擊檢測及預(yù)警系統(tǒng)�,包括有:用戶終端監(jiān)控子系統(tǒng)����、服務(wù)器監(jiān)控子系統(tǒng)和云平臺管理子系統(tǒng)�。針對APT攻擊無孔不入的特性,設(shè)計了涵蓋用戶終端和系統(tǒng)服務(wù)器的APT攻擊檢測及預(yù)警系統(tǒng)���。該檢測及預(yù)警系統(tǒng)不僅具備常見的網(wǎng)絡(luò)安全管理功能����,同時能對日志和事件做出異常分析�����,對系統(tǒng)的漏洞進(jìn)行挖掘和修復(fù)�����,并能在網(wǎng)絡(luò)系統(tǒng)遭受APT攻擊后�,迅速的恢復(fù)被攻擊設(shè)備的數(shù)據(jù)�,協(xié)助安全管理員反向追蹤攻擊來源
上述已有中國專利 CN101478387A、CN103516727A���、CN104378361A和 CN104283889A存在以下不足:
1��、不支持積極的網(wǎng)絡(luò)攻擊預(yù)防的架構(gòu)�����,是一種靜態(tài)的方法���;
2�����、不能實時地預(yù)防新的攻擊�,只能基于已知的攻擊模式進(jìn)行匹配和識別�����;
3���、不能自動更新攻擊庫����、或數(shù)字簽名攻擊庫�,主要靠手工方式改變安全策略;
4���、業(yè)務(wù)中斷���、或服務(wù)停止�����,不能將攻擊所造成的損失降到零(零損失)����、或最小�����。
[0012]為此�,如何設(shè)計出一種積極的信息安全管理框架����,使得它能夠?qū)崟r地檢測新的網(wǎng)絡(luò)攻擊,即成為尤其是信息安全管理設(shè)計上必須要解決的一個重要課題�����。
【發(fā)明內(nèi)容】
[0013]本發(fā)明所要解決的技術(shù)問題是要提供一種積極的信息安全管理的方法��,解決現(xiàn)有技術(shù)不能實時、自動地檢測到新的網(wǎng)絡(luò)攻擊的技術(shù)問題���。
[0014]為達(dá)到上述目的�����,本發(fā)明提供了一種積極的信息安全管理的框架及其攻擊數(shù)據(jù)包自動��、實時地檢測和數(shù)字簽名生成的方法�,其特點在于���,包括:一個企業(yè)IT網(wǎng)絡(luò)����,與該網(wǎng)絡(luò)通信的兩個網(wǎng)絡(luò)入侵檢測系統(tǒng)�����,它們分別被部署在生產(chǎn)區(qū)和仿真區(qū)�����,每一個網(wǎng)絡(luò)入侵檢測系統(tǒng)分別含有一個數(shù)字簽名庫,數(shù)字簽名庫里存儲網(wǎng)絡(luò)各種攻擊數(shù)據(jù)���。
[0015]上述的方法����,其特點在于����,所述框架,包含一個獨立的蜜罐��、一個檢測引擎����、一個數(shù)字簽名生成系統(tǒng)。所述蜜罐具有一個仿真Web服務(wù)器�����。
[0016]上述的方法���,其特點在于,所述框架�����,包含一個攻擊數(shù)據(jù)包自動、實時地檢測和數(shù)