技術領域

本發明涉及網絡安全領域，尤其涉及一種基于蜜網的協同式主動防御系統。

背景技術

隨著互聯網的發展，網絡安全面臨著越來越嚴重的威脅。當前幾種主要的網絡安全威脅：木馬，蠕蟲，僵尸網絡，網絡偵聽，IPv6威脅，間諜軟件與廣告軟件，零日漏洞，DDoS(分布式拒絕服務)攻擊。對網絡安全威脅進行有效的防御便成了當務之急。

網絡安全防御的類型按防御位置的不同可以分為基于主機層和基于網絡層的防御；按防御時機不同可以分為被動防御和主動防御。傳統的基于主機層的被動防御方法已經難以保護現有網絡的安全，所以產生了主動防御的概念，通常是指通過程序自主發現的用戶特征，使攻擊者無法完成對攻擊目標的攻擊。

主動防御的代表是入侵檢測系統IDS(Intrusion?Detect?ion?System)，即依照一定的安全策略，對網絡、系統的運行狀況進行監視，盡可能發現各種攻擊企圖、攻擊行為或者攻擊結果，以保證網絡系統資源的機密性、完整性和可用性，其實時性、主動性是傳統安全措施難企及的，同時也彌補了被動防御系統不能保護未知類型攻擊的缺點。但傳統的入侵檢測系統仍存在缺陷，由于入侵檢測要處理的信息量非常大，對于攻擊行為分類模型的好壞將直接影響到檢測的效率。建立一個有效的入侵檢測系統是一個巨大的知識工程，由于開發過程是手工的，致使目前入侵檢測系統的可擴展性和適應性都受到限制。實際應用中的入侵檢測模型僅能處理一種特殊的審計數據源，更新費用較高，速度也較慢。

為了克服傳統入侵檢測系統的局限性，應該采用一種更加自動和高效的機制，蜜罐(Honeypot)便是這樣的一個系統。“蜜網項目組”(The?Honeynet?Project)的創始人Lance?Spitzner給出了對蜜罐的權威定義：蜜罐是一種安全資源，其價值在于被掃描、攻擊和攻陷。所有流入、流出蜜罐的網絡流量都可能預示了掃描、攻擊和攻陷。蜜罐按部署目的可分為產品型蜜罐和研究型蜜罐兩類。蜜罐按其交互度的等級可分為低交互蜜罐和高交互蜜罐兩類。蜜罐技術的優點包括：收集數據的保真度高，能夠收集到新的攻擊工具和攻擊方法，不需要強大的資源支持、資金投入，比較容易掌握。

一個蜜網包含一個或多個蜜罐，在保證網絡的高度可控的同時，可以提供多種工具以方便對攻擊信息的采集和分析。利用蜜網可以有效的改變防御者與攻擊者之間的信息不對稱。目前，高交互蜜網主要用于數據的攻擊數據的提取、分析和研究，主要是對蜜網提取到的海量數據進行人工分析，發掘攻擊者的攻擊策略、攻擊代碼和攻擊位置等相關信息。雖然最終可以達到防御的目的，但屬于被動防御，需要大量的人工參與，并具有嚴重的滯后性，很難系統化與產品化。

發明內容

針對現有技術的不足，本發明的目的是提出一種基于蜜網的協同式主動防御系統，它依托蜜網技術，采用協同式防御思想，能夠實現網絡層的主動防御，適用于大規模的企業網。

為了實現以上發明目的，本發明采用以下技術方案：

一種基于蜜網的協同式主動防御系統，包括數據捕獲模塊、數據分析模塊和數據控制模塊，其特征在于：

所述數據捕獲模塊、數據分析模塊和數據控制模塊分布式地存在于一個蜜網中心和多個子網中，其中，

所述數據捕獲模塊包括位于蜜網中心的全局日志記錄數據庫和各子網中的蜜墻、多臺蜜罐主機、遠程日志記錄服務器、入侵檢測服務器；

所述數據分析模塊包括位于蜜網中心的統計服務器、攻擊模式提取服務器、全局惡意代碼分析服務器、綜合運算服務器、全局可視化服務器、全局統計數據庫和全局特征數據庫，以及各子網中的本地在線數據分析服務器；

所述數據控制模塊包括位于蜜網中心的全局控制服務器、全局控制數據庫和全局入侵行為規則數據庫，以及各子網中的可重定向路由器、防火墻。

本發明具有以下有益效果：

1、將蜜網技術與主動防御技術相結合，改善了傳統蜜網技術被動防御的滯后性，降低了人工分析的工作量，提高了防御的實時性與準確性。

2、多個子網間的協同防御，彌補了單個子網的蜜網規模小、結構簡單、信息單一等不足，進一步提高了防御的主動性與實時性。

3、采用了簡單、高效的數據分析算法，制定的防御策略具有很高的防御率、命中率和很低的漏防率和命中率。

4、蜜網收集的數據具有高可靠性和可控性，低成本。不需要用戶上報，不會影響用戶的正常通信，更不會泄露用戶隱私。

5、在網絡層實現防御，減輕了防火墻的負荷以及采用基于主機層防病毒軟件的用戶主機負擔。

6、欺騙模塊增加了系統的穩健性。