專利名稱：一種實現(xiàn)誘騙網(wǎng)絡(luò)數(shù)據(jù)流重定向的方法
技術(shù)領(lǐng)域：
本發(fā)明涉及一種保護網(wǎng)絡(luò)的方法，特別是一種實現(xiàn)誘騙網(wǎng)絡(luò)數(shù)據(jù)流重定向的方法。
背景技術(shù)：
近幾年來互聯(lián)網(wǎng)以及通信網(wǎng)在全球范圍內(nèi)得到了迅猛的的發(fā)展，它對人類社會的生活方式產(chǎn)生了極大的影響和改變，而隨之而來的網(wǎng)絡(luò)信息安全問題就顯得越來越重要。網(wǎng)絡(luò)黑客、病毒、信息竊取和干擾等手段的出現(xiàn)，使網(wǎng)絡(luò)的安全面臨嚴重的挑釁。全球每年都為之付出巨大的代價，高達數(shù)億美元之多，如銀行帳戶系統(tǒng)被侵入、病毒發(fā)作、軍事網(wǎng)絡(luò)干擾等。
傳統(tǒng)的網(wǎng)絡(luò)安全技術(shù)主要有防火墻技術(shù)和入侵檢測系統(tǒng)。防火墻的主要功能是防止非法入侵者進入網(wǎng)絡(luò)，使被懷疑的用戶不能進入相應的網(wǎng)絡(luò)，在某種程度上保護了網(wǎng)絡(luò)的安全。但人們又面臨新的問題1)由于防火墻技術(shù)和入侵檢測系統(tǒng)等將可疑者拒之門外，使攻擊者不能得手，這將使攻擊者不斷謀求新的技術(shù)手段進行進攻，增加了網(wǎng)絡(luò)安全防護的難度和不可測性。2)由于可疑者被拒，就無法知道其真正意圖，想破壞哪些數(shù)據(jù)，或想得到哪些數(shù)據(jù)，這些信息在軍事上可以使我們了解敵人的意圖，以采取相應的措施。在民用上可以使我們了解攻擊者的手段和方法，如了解病毒衍生的過程，從而進行有效防衛(wèi)。3)由于可疑者被拒，系統(tǒng)沒有被入侵者進入，沒有無法知道系統(tǒng)的漏洞在哪里？由此而產(chǎn)生了“誘騙網(wǎng)絡(luò)”(honeypot)技術(shù)，使網(wǎng)絡(luò)的防御在一定程度上由被動轉(zhuǎn)為主動。
傳統(tǒng)的誘騙網(wǎng)絡(luò)如圖1所示，LAN表示要保護的局域網(wǎng)。從因特網(wǎng)(Internet)來的可疑入侵者可以進入誘騙網(wǎng)絡(luò)，也可以進入局域網(wǎng)。這種情況下誘騙網(wǎng)絡(luò)是一種某種意義上的愿者上鉤的模式，它被動的等待黑客的侵入，然后記錄其一舉一動，這種模式下的誘騙網(wǎng)絡(luò)大部分時間都是無所事事，從而起不到協(xié)助保護局域網(wǎng)的作用。

發(fā)明內(nèi)容
本發(fā)明的目的就是為了彌補傳統(tǒng)誘騙網(wǎng)絡(luò)的不足，提出一種可使被動的誘騙網(wǎng)絡(luò)變成主動引誘網(wǎng)絡(luò)的實現(xiàn)誘騙網(wǎng)絡(luò)數(shù)據(jù)流重定向的方法。
本發(fā)明的技術(shù)解決方案一種實現(xiàn)誘騙網(wǎng)絡(luò)數(shù)據(jù)流重定向的方法，其特征在于它是對進入網(wǎng)絡(luò)的所有數(shù)據(jù)進行重定向處理，其規(guī)則如下1、如果數(shù)據(jù)報來自Internet，查其源地址是否在可疑IP列表中，具體做法是a)如果是在可疑IP列表中，將其目的MAC地址替換為誘騙網(wǎng)絡(luò)對應主機的MAC地址，再發(fā)往誘騙網(wǎng)絡(luò)；b)如果不是在可疑IP列表中，按防火墻檢測規(guī)則或入侵檢測系統(tǒng)的檢測規(guī)則進行檢測，具體檢測方法為I)如果規(guī)則不匹配，表明該數(shù)據(jù)報是正常的，則發(fā)往要保護的網(wǎng)絡(luò)；II)如果規(guī)則匹配，則表明該數(shù)據(jù)報是可疑的，把其源地址加入可疑IP列表，然后發(fā)往誘騙網(wǎng)絡(luò)；2、如果數(shù)據(jù)報來自局域網(wǎng)LAN，直接從Internet接口發(fā)送出去；3、如果數(shù)據(jù)報來自Honeypot，將其源MAC地址通過誘騙網(wǎng)絡(luò)與局域網(wǎng)LAN中主機的MAC地址與IP地址對應表替換為局域網(wǎng)LAN中對應主機的MAC地址后，再從Internet接口發(fā)送出去。
本發(fā)明方法的優(yōu)點是1)使被動的誘騙網(wǎng)絡(luò)變成主動引誘網(wǎng)絡(luò)，任何可疑的用戶都將被引入誘騙網(wǎng)絡(luò)。2)由于可疑的用戶被引入誘騙網(wǎng)絡(luò)起到了保護局域網(wǎng)的目的。3)在誘騙網(wǎng)絡(luò)中提供與實際網(wǎng)絡(luò)相同的環(huán)境，包括FTP、HTTP、E-MAIL等業(yè)務(wù)，使入侵者沒有感覺到被誘騙到誘騙網(wǎng)絡(luò)。4)由于本發(fā)明方法是在計算機網(wǎng)絡(luò)的第二層處理，即數(shù)據(jù)鏈路層處理，處理速度快，因為調(diào)用的都是系統(tǒng)最底層的函數(shù)，對LAN、Honeypot和Internet均是透明的，不易被可疑入侵者發(fā)現(xiàn)，且通過Mac地址轉(zhuǎn)換，可達到充分偽裝的目的。5)通過誘騙網(wǎng)絡(luò)，可以觀測入侵者的意圖和手段，如想破壞哪些數(shù)據(jù)，或想得到哪些數(shù)據(jù)，以及病毒衍生的過程等等，為網(wǎng)絡(luò)的安全提供新的手段。


圖1是傳統(tǒng)的實現(xiàn)誘騙網(wǎng)絡(luò)的原理圖。
圖2是本發(fā)明的帶有重定向機制的實現(xiàn)誘騙網(wǎng)絡(luò)的原理圖。
圖3是實現(xiàn)本發(fā)明誘騙網(wǎng)絡(luò)的系統(tǒng)示意圖。
圖4是實現(xiàn)本發(fā)明誘騙網(wǎng)絡(luò)的系統(tǒng)算法流程圖。
圖5是圖4中的HanleOutP函數(shù)算法流程圖。
圖6是圖4中的HanleSusP函數(shù)算法流程圖。
具體實施例方式
本發(fā)明方法提出了一種新的思路，即在誘騙網(wǎng)絡(luò)(honeypot)之前增加一個重定向機制，來自Internet的用戶將首先被進行過慮，正常的流量將導入局域網(wǎng)LAN，而將可疑的流量導入誘騙網(wǎng)絡(luò)(如圖2所示)。
本發(fā)明的實現(xiàn)誘騙網(wǎng)絡(luò)數(shù)據(jù)流重定向的方法是對進入網(wǎng)絡(luò)的所有數(shù)據(jù)進行重定向處理，其規(guī)則如下1、如果數(shù)據(jù)報來自Internet，查其源地址是否在可疑IP(InternetProtocol)列表中(該列表由用戶自己建立，用于記載可疑IP地址)，具體做法是a)如果是在可疑IP列表中，將其目的MAC(Media Access Control)地址替換為誘騙網(wǎng)絡(luò)(Honeypot)對應主機的MAC地址，再發(fā)往誘騙網(wǎng)絡(luò)。
b)如果不是在可疑IP列表中，按防火墻檢測規(guī)則或入侵檢測系統(tǒng)的檢測規(guī)則進行檢測，具體檢測方法為I)如果規(guī)則不匹配，說明該數(shù)據(jù)報是正常的，則發(fā)往要保護的網(wǎng)絡(luò)(如局域網(wǎng)LAN)。
II)如果規(guī)則匹配，則說明該數(shù)據(jù)報是可疑的，把其源地址加入可疑IP列表，然后發(fā)往Honeypot。
2、如果數(shù)據(jù)報來自局域網(wǎng)LAN，直接從Internet接口發(fā)送出去。
3、如果數(shù)據(jù)報來自Honeypot，將其源MAC地址通過誘騙網(wǎng)絡(luò)與局域網(wǎng)LAN中主機的MAC地址與IP地址對應表(該對應表用來記錄誘騙網(wǎng)絡(luò)和局域網(wǎng)LAN的IP地址與MAC地址的對應關(guān)系)替換為局域網(wǎng)LAN中對應主機的MAC地址后，再從Internet接口發(fā)送出去。
在本發(fā)明對網(wǎng)絡(luò)數(shù)據(jù)流進行重定向后，就可以方便地對進入誘騙網(wǎng)絡(luò)的數(shù)據(jù)報行為進行觀察，了解入侵者的意圖，分析入侵者的行為，發(fā)現(xiàn)網(wǎng)絡(luò)的漏洞，尋找保護方法。
本發(fā)明方法中，需要維護兩項重要的數(shù)據(jù)，一項為可疑IP列表，另一項為誘騙網(wǎng)絡(luò)與局域網(wǎng)LAN中主機的MAC地址與IP地址對應表。同時對來自局域網(wǎng)的數(shù)據(jù)也可以進行類似于來自Internet的數(shù)據(jù)檢測方法，以增強對來自局域網(wǎng)的入侵者的防范。
上述維護可疑IP列表的方法是1)建立一個初始為空的可疑IP列表。
2)每當檢測模塊檢測到一個可疑的數(shù)據(jù)報，便記錄其源IP地址，同時打上時間戳，以標識當時的時間。
3)當列表中可疑的IP地址時間戳到期，則將其IP從列表中刪除。
上述維護MAC與IP地址對應表的方法是1)每當在該對應表中沒有查到需要的誘騙網(wǎng)絡(luò)或局域網(wǎng)LAN中主機的MAC地址時，則向誘騙網(wǎng)絡(luò)或局域網(wǎng)LAN中發(fā)送ARP請求(arp request)數(shù)據(jù)報。
2)根據(jù)計算機網(wǎng)絡(luò)中的ARP協(xié)議，對來自誘騙網(wǎng)絡(luò)和局域網(wǎng)LAN的數(shù)據(jù)報進行檢測，判斷其是否為ARP應答(arp repley)數(shù)據(jù)報；3)如果是則取出發(fā)送者MAC地址和IP地址，存入MAC與IP地址對應表。
實施例本發(fā)明系統(tǒng)如圖3所示。它由普通PC機A1-A4構(gòu)成，其中PC機A1模仿INTERNET數(shù)據(jù)源，設(shè)定其IP地址為10.10.139.10、MAC地址為00:05:5d:e7:70:94。PC機A3為誘騙網(wǎng)絡(luò)，設(shè)定其IP地址為192.186.1.1、MAC地址為00:05:5d:e8:52:75(誘騙網(wǎng)絡(luò)可以由普通的PC機安裝操作系統(tǒng)構(gòu)成，也可以在此基礎(chǔ)上，再通過編程模仿一個局域網(wǎng)對用戶提供服務(wù)，并捕捉用戶的行為，進行分析統(tǒng)計等處理)。被保護網(wǎng)絡(luò)為PC機A4(它可以是一臺，也可以是多臺PC機構(gòu)成的局域網(wǎng))，設(shè)定其IP地址為192.186.1.1，MAC地址為00:e0:4c:89:eb:a0。系統(tǒng)的算法可通過圖4的流程圖實現(xiàn)，該流程圖中的HanleOutP函數(shù)對發(fā)往Internet的包做一些MAC地址的處理工作，主要是偷換源MAC地址和維護IP地址與MAC地址的對應表，該表的每個表項包括一個IP地址和對應的兩個MAC地址誘騙網(wǎng)絡(luò)的主機MAC地址(HoneyMac)和局域網(wǎng)中主機MAC地址(ProdMac)。HanleOutP函數(shù)的算法流程圖見圖5。
圖4中的HanleSusP函數(shù)主要將可疑數(shù)據(jù)報的目的MAC地址改為HoneyMac，其算法流程圖見圖6。
本發(fā)明的發(fā)明點就在于在它們之間設(shè)置了重定向模塊(Redirectmodule)，它由PC機A2構(gòu)成，它有三個網(wǎng)絡(luò)接口，分別為eth0、eth1和eth2，并分別與PC機A1、A3和A4相連。
本發(fā)明方法的具體工作過程如下1、如果數(shù)據(jù)來自INTERNET，即PC機A1，則通過eth0接口進入重定向模塊，重定向模塊檢查其源地址是否在可疑IP列表中，檢查處理方法如下a)如果是在可疑IP列表中，將其目的MAC地址替換為誘騙網(wǎng)絡(luò)(Honeypot)對應主機的MAC地址00:05:5d:e8:52:75，通過網(wǎng)絡(luò)接口eth1發(fā)往誘騙網(wǎng)絡(luò)，即PC機A3。
b)如果不是在可疑IP列表中，按入侵檢測系統(tǒng)(如開放源代碼入侵檢測系統(tǒng)SNORT)的檢測規(guī)則進行檢測(對于商用入侵檢測系統(tǒng)或防火墻只需開發(fā)商提供其開發(fā)接口即可)。檢測方法為I)如果檢測規(guī)則不匹配，則說明該數(shù)據(jù)報是正常的，通過網(wǎng)絡(luò)接口eth2發(fā)往要保護的網(wǎng)絡(luò)，即PC機A4。
II)如果規(guī)則匹配，則說明該數(shù)據(jù)報是可疑的，把其源IP地址加入可疑IP列表，并打上時間戳，將其目的MAC地址替換為誘騙網(wǎng)絡(luò)(Honeypot)對應主機的MAC地址00:05:5d:e8:52:75，然后通過網(wǎng)絡(luò)接口eth1發(fā)往Honeypot，即PC機A3。
2、如果數(shù)據(jù)報來自保護的網(wǎng)絡(luò)，即PC機A4，則可直接從Internet接口，即接口eth0發(fā)送出去。
3、如果數(shù)據(jù)報來自Honeypot，即PC機A3，將其源MAC地址替換要保護的網(wǎng)絡(luò)中對應主機的MAC地址，即PC機A4的MAC地址00:e0:4c:89:eb:a0，再從Internet接口發(fā)送出去。
對進入誘騙網(wǎng)絡(luò)(即PC機A3)的數(shù)據(jù)報行為進行觀察，可以通過系統(tǒng)日志等手段查看入侵者的行為，從而了解入侵者的意圖，分析入侵者的行為，發(fā)現(xiàn)網(wǎng)絡(luò)的漏洞，尋找保護網(wǎng)絡(luò)的方法。
權(quán)利要求
1.一種實現(xiàn)誘騙網(wǎng)絡(luò)數(shù)據(jù)流重定向的方法，其特征在于它是對進入網(wǎng)絡(luò)的所有數(shù)據(jù)進行重定向處理，其規(guī)則如下1)、如果數(shù)據(jù)報來自Internet，查其源地址是否在可疑IP列表中，具體做法是a)如果是在可疑IP列表中，將其目的MAC地址替換為誘騙網(wǎng)絡(luò)對應主機的MAC地址，再發(fā)往誘騙網(wǎng)絡(luò)；b)如果不是在可疑IP列表中，按防火墻檢測規(guī)則或入侵檢測系統(tǒng)的檢測規(guī)則進行檢測，具體檢測方法為I)如果規(guī)則不匹配，表明該數(shù)據(jù)報是正常的，則發(fā)往要保護的網(wǎng)絡(luò)；II)如果規(guī)則匹配，則表明該數(shù)據(jù)報是可疑的，把其源地址加入可疑IP列表，然后發(fā)往誘騙網(wǎng)絡(luò)；2)、如果數(shù)據(jù)報來自局域網(wǎng)LAN，直接從Internet接口發(fā)送出去；3)、如果數(shù)據(jù)報來自Honeypot，將其源MAC地址通過誘騙網(wǎng)絡(luò)與局域網(wǎng)LAN中主機的MAC地址與IP地址對應表替換為局域網(wǎng)LAN中對應主機的MAC地址后，再從Internet接口發(fā)送出去。
2.按權(quán)利要求1所述的一種實現(xiàn)誘騙網(wǎng)絡(luò)數(shù)據(jù)流重定向的方法，其特征在于所述可疑IP列表的維護方法是1)建立一個初始為空的可疑IP列表；2)每當檢測模塊檢測到一個可疑的數(shù)據(jù)報，便記錄其源IP地址，同時打上時間戳，以標識當時的時間；3)當列表中可疑的IP地址時間戳到期，則將其IP從列表中刪除。
3.按權(quán)利要求1所述的一種實現(xiàn)誘騙網(wǎng)絡(luò)數(shù)據(jù)流重定向的方法，其特征在于所述誘騙網(wǎng)絡(luò)與局域網(wǎng)LAN中主機的MAC地址與IP地址對應表的維護方法是1)每當在該對應表中沒有查到需要的誘騙網(wǎng)絡(luò)或局域網(wǎng)LAN中主機的MAC地址時，則向誘騙網(wǎng)絡(luò)或局域網(wǎng)LAN中發(fā)送arp request數(shù)據(jù)報。2)根據(jù)計算機網(wǎng)絡(luò)中的ARP協(xié)議，對來自誘騙網(wǎng)絡(luò)和局域網(wǎng)LAN的數(shù)據(jù)報進行檢測，判斷其是否為arp repley數(shù)據(jù)報；3)如果是則取出發(fā)送者MAC地址和IP地址，存入MAC與IP地址對應表。
全文摘要
本發(fā)明涉及一種實現(xiàn)誘騙網(wǎng)絡(luò)數(shù)據(jù)流重定向的方法，它對進入網(wǎng)絡(luò)的所有數(shù)據(jù)進行重定向處理，如果數(shù)據(jù)報來自Internet，查其源地址是否在可疑IP列表中，若在可疑IP列表中，將其目的MAC地址替換為誘騙網(wǎng)絡(luò)對應主機的MAC地址，再發(fā)往誘騙網(wǎng)絡(luò)。若不在可疑IP列表中，按防火墻檢測規(guī)則或入侵檢測系統(tǒng)的檢測規(guī)則進行檢測，如果檢測規(guī)則不匹配，表明該數(shù)據(jù)報是正常的，則發(fā)往要保護的網(wǎng)絡(luò)；如果規(guī)則匹配，則表明該數(shù)據(jù)報是可疑的，把其源地址加入可疑IP列表，然后發(fā)往誘騙網(wǎng)絡(luò)。如果數(shù)據(jù)報來自局域網(wǎng)LAN，直接從Internet接口發(fā)送出去。如果數(shù)據(jù)報來自Honeypot，將其源MAC地址替換為局域網(wǎng)LAN中對應主機的MAC地址后，再從Internet接口發(fā)送出去。
文檔編號H04L9/00GK1585346SQ20041004487
公開日2005年2月23日 申請日期2004年5月28日 優(yōu)先權(quán)日2004年5月28日
發(fā)明者楊庚, 彭雷, 戴云平 申請人:南京郵電學院