技術(shù)領(lǐng)域

本發(fā)明涉及網(wǎng)絡(luò)安全技術(shù)領(lǐng)域，具體地說，本發(fā)明涉及一種補(bǔ)丁分發(fā) 方法。

背景技術(shù)

當(dāng)前，計算機(jī)與互聯(lián)網(wǎng)已經(jīng)廣泛深入到人們?nèi)粘Ｉ钪校蔀槿藗兘?jīng) 常使用的工具，而現(xiàn)在的絕大多數(shù)個人計算機(jī)所用的操作系統(tǒng)和應(yīng)用軟件 都包含系統(tǒng)漏洞或軟件漏洞。所謂系統(tǒng)漏洞，是操作系統(tǒng)自身的漏洞，這 些漏洞在安裝了操作系統(tǒng)后或者安裝了系統(tǒng)補(bǔ)丁后都可能存在或新產(chǎn)生； 所謂軟件漏洞，是用戶在操作系統(tǒng)上安裝軟件后引入的漏洞，比如中國常 用的聊天軟件QQ、MSN，郵件軟件Foxmail、Outlook?Express，媒體播放 軟件暴風(fēng)影音、千千靜聽等，都存在可被惡意代碼利用的軟件漏洞，其中 有些漏洞已經(jīng)被大規(guī)模利用實(shí)施惡意攻擊。

近年來，對操作系統(tǒng)漏洞的利用數(shù)量比較平穩(wěn)，而對軟件漏洞的利用 則呈遞增趨勢。特別是對瀏覽器軟件(如微軟的IE7)漏洞的利用，更是 廣泛存在。例如，網(wǎng)站掛馬就是利用了瀏覽器漏洞，或者瀏覽器嵌入的軟 件(如媒體播放器)漏洞而入侵用戶計算機(jī)系統(tǒng)的攻擊行為。

消除漏洞的根本辦法就是安裝軟件補(bǔ)丁。如何有效地分發(fā)補(bǔ)丁，是眾 多網(wǎng)絡(luò)安全管理人員所面臨的一個重要任務(wù)。以微軟(Windows操作系統(tǒng) 生產(chǎn)商)為例，其各種系統(tǒng)安全補(bǔ)丁幾乎每周都會出現(xiàn)，而具有大面積客 戶端的網(wǎng)絡(luò)靠手工進(jìn)行補(bǔ)丁升級是不現(xiàn)實(shí)的，一般的用戶本身也不具有為 系統(tǒng)打補(bǔ)丁的意識，很多用戶本身也不知道需要安裝哪些補(bǔ)丁，甚至更有 部分用戶無法獨(dú)立安裝操作系統(tǒng)補(bǔ)丁，這些都已經(jīng)造成網(wǎng)絡(luò)中的客戶端出 現(xiàn)安全漏洞，成為安全隱患。鑒于補(bǔ)丁分發(fā)存在難度，微軟推出了SUS、 WSUS和SMS等補(bǔ)丁分發(fā)工具，這些工具提供了相對牢固的補(bǔ)丁和更新 支持，但是存在一個致命性的弱點(diǎn)：一旦補(bǔ)丁分發(fā)客戶端程序被惡意代碼 關(guān)閉，則失去了自動下載補(bǔ)丁的功能。

綜上所述，計算機(jī)系統(tǒng)受到網(wǎng)絡(luò)攻擊的重要原因是存在漏洞，如果能 夠?yàn)橛脩粝到y(tǒng)及時地打上新補(bǔ)丁，則會有效降低被攻擊成功的概率。 在最短的時間內(nèi)安裝補(bǔ)丁將會極大地保護(hù)網(wǎng)絡(luò)和其所承載的機(jī)密，同時也 可以使更少的用戶免受蠕蟲的侵襲。對于機(jī)器眾多的用戶，繁雜的手工補(bǔ) 丁安裝已經(jīng)不能適應(yīng)大規(guī)模網(wǎng)絡(luò)的管理，而SUS、WSUS和SMS等補(bǔ)丁 分發(fā)工具本身易于成為惡意代碼的攻擊目標(biāo)，因此它們并不能確保計算機(jī) 系統(tǒng)的安全。因此，當(dāng)前還迫切需要依靠新的技術(shù)手段來實(shí)現(xiàn)對操作系統(tǒng) 的漏洞自動修補(bǔ)方案，以作為對現(xiàn)有補(bǔ)丁分發(fā)工具的補(bǔ)充，及時為更多的 計算機(jī)系統(tǒng)打上相應(yīng)的補(bǔ)丁。

發(fā)明內(nèi)容

本發(fā)明的目的是提供一種具有全新機(jī)制的補(bǔ)丁分發(fā)方案，以作為對現(xiàn) 有補(bǔ)丁分發(fā)工具的補(bǔ)充，及時為更多的存在漏洞的計算機(jī)系統(tǒng)打上相應(yīng)的 補(bǔ)丁。

為實(shí)現(xiàn)上述發(fā)明目的，本發(fā)明提供了一種補(bǔ)丁分發(fā)方法，包括下列步 驟：

1)蜜罐機(jī)被掃描性蠕蟲感染；

2)蜜罐機(jī)作為攻擊源攻擊其它計算機(jī)系統(tǒng)；

3)用補(bǔ)丁程序替換用于攻擊活動的惡意代碼；

4)將補(bǔ)丁程序投遞到遠(yuǎn)程受攻擊計算機(jī)系統(tǒng)。

其中，所述步驟2)還包括：蜜罐機(jī)作為攻擊源隨機(jī)向遠(yuǎn)程主機(jī)發(fā)送 攻擊報文，遠(yuǎn)程主機(jī)執(zhí)行攻擊報文的代碼，打開命令通道。

其中，所述步驟3)還包括：攔截并檢測蜜罐機(jī)發(fā)送出去的報文，當(dāng) 報文中包含惡意代碼時，用相應(yīng)補(bǔ)丁程序替換所述惡意代碼。

其中，所述步驟3)還包括：蜜罐機(jī)上的驅(qū)動程序攔截并檢測蜜罐機(jī) 發(fā)送出去的所有報文，當(dāng)發(fā)現(xiàn)從蜜罐機(jī)發(fā)出的報文中含有“下載蠕蟲文件 命令”時，將“下載蠕蟲文件命令”替換為“下載補(bǔ)丁文件命令”。

其中，所述步驟4)還包括：蜜罐機(jī)以所述掃描性蠕蟲的攻擊機(jī)制將 所述補(bǔ)丁程序復(fù)制到受攻擊計算機(jī)系統(tǒng)，并使受攻擊計算機(jī)系統(tǒng)運(yùn)行所述 補(bǔ)丁程序。

其中，所述步驟4)包括下列子步驟：

41)蜜罐機(jī)向遠(yuǎn)程主機(jī)打開的命令通道發(fā)送替換后的攻擊報文；

42)遠(yuǎn)程主機(jī)收到替換后的攻擊報文后，從蜜罐機(jī)下載并運(yùn)行補(bǔ)丁。

其中，所述蜜罐機(jī)安裝有防火墻軟件并設(shè)置防火墻規(guī)則以攔截蜜罐機(jī) 發(fā)往非授權(quán)IP地址段的報文。

其中，所述蜜罐機(jī)上拷貝一個或多個重要漏洞的補(bǔ)丁安裝文件。

其中，所述步驟4)中，所述蜜罐機(jī)為所述遠(yuǎn)程受攻擊計算機(jī)系統(tǒng)提 供補(bǔ)丁安裝文件下載服務(wù)。