技術領域

本發明涉及計算機網絡通信安全技術領域，尤其涉及網絡追蹤系統。

背景技術

隨著網絡安全的威脅日益嚴重，網絡追蹤已成為網絡安全研究領域的熱點問題。然而，網絡追蹤的實現受到多方面因素的制約，主要體現在一下方面：首先，用于Internet的TCP/IP協議設計之初沒有考慮到安全問題，沒有對可疑用戶活動進行阻止的有效機制，沒有對用戶活動進行追蹤的設計；第二，網絡流量和寬帶的迅速發展以及隧道技術的使用增大了網絡追蹤的難度；第三，網絡攻擊手段的發展和代理、跳板技術的使用使得網絡追蹤難以奏效。

目前，針對不同形式的特點的網絡攻擊，提出了許多采用不同網絡追蹤方法的網絡追蹤系統。網絡追蹤方法主要有鏈路測試法、入口過濾法數據包記錄法、路徑記錄法、ICMP追蹤法、日志記錄法、Ipsec鑒別法和數據包標記法等?，F有的網絡追蹤技術存在或多或少的不足，沒有一種解決方案可以實現有效追蹤所規定的所有需求。第一，要對網絡攻擊、入侵進行追蹤，則先要發現網絡攻擊與入侵，但是，現有的入侵檢測技術還不能完全解決入侵漏洞和虛警的問題。第二，目前研究和討論最多的網絡追蹤技術是基于報文或貨數據包的追蹤方法，而基于報文或數據包的追蹤方法的關鍵技術是在報文或貨數據包中添加標志數據或字段，然后通過對這些標志數據或字段的檢測與追蹤來實現對攻擊與入侵的追蹤。不管采用哪種方式來添加標志數據，都會增加路由器或其他追蹤設備的開銷，并增加網絡的流量，并且這些添加的標志數據或有效字段有可能會被攻擊者察覺而偽造數據包來逃避追蹤，因此，現有的基于報文或數據包的追蹤方法有其固有的缺點。

數字水印技術是20世紀90年代出現的一門嶄新的技術，它通過在數字產品（入圖像、視頻、音頻、文本等）中嵌入可感知或不可感知的特定信息來確定數字產品的所有權或檢驗數字內容的原始性，這些特定的信息系包括作者的序列號、公司標志、有意義的文本等等。數字水印技術通過一定的算法將一些標志性信息嵌入被保護的對象當中，只通過專用的檢測器或閱讀器才能準確檢測或提取。這些信息不影響元數據使用效果，并可以部分或全部從混合數據中恢復出來。一般來講，密碼技術不能對解密后數據提供進一步保護，數字難以在原始數據中一次性嵌入大量信息，數字標簽容易被修改和剔除，而數字水印技術卻很好地彌補了這些不足。

蜜網項目組（the?honey?project）的創始人lance?spitzner對蜜罐的定義是：蜜罐是一種安全資源，其價值在于被掃描、攻擊和攻陷。這個定義表明蜜罐并無其他實際作用，因此所有進出蜜罐的網絡流量都可能預示了掃描、攻擊和攻陷。而蜜罐的核心價值就這樣對這些攻擊活動進行監視、檢測盒分析。蜜罐是一種安全資源而并非一種安全解決方案，其價值體現在被探測、攻擊或者摧毀的時候。這意味著無論講何物指定為蜜罐，部署者的期望和目標就是讓系統被別人探測、攻擊并有可能被攻破的可能。蜜罐作為一種偽裝成真實目標的資源庫，它可以模擬各種操作系統及漏洞，也可以虛擬出各種網絡服務。它是設計用料對入侵的攻擊行為進行記錄的誘捕系統，通過對攻擊者行為的記錄分析可以獲得攻擊者的相關信息，從而掌握攻擊者的攻擊技術和攻擊意圖，對重要防護目標采取有針對性的防御措施，同時也可以實現對攻擊的追蹤等。

發明內容

本發明所要解決的技術問題是提供一種網絡追蹤系統，它不僅增強了追蹤的主動性，減輕了追蹤的各種開銷，而且在實現和效果上具有更高的準確性、有效性和可操作性。

為了實現上述目的，本發明提供了一種利用數字水印和蜜罐技術的網絡追蹤系統，其特征為，包括：

蜜罐系統模塊，安裝在主機設備上，并掛入主機設備的操作系統；它以偽裝服開放訪問端口和設置敏感信息文件等方式對掃描、探測和訪問進行欺騙，并引誘攻擊者對其實施攻擊；監聽網絡上的掃描、探測事件，判斷該事件是否符合系統安全策略，若不符合，則蜜罐系統根據欺騙、誘導策略對攻擊者進行欺騙，講攻擊連接引向蜜罐主機，并誘導其訪問敏感信息文件；一旦蜜罐系統監控到有對數字水印系統的訪問，馬上生成追蹤申請信息發送到追蹤服務控制臺，并且接收追蹤服務控制臺的返回結果。

數字水印系統模塊，安裝在主機設備上，并掛入主機設備的操作系統；其主要用于生成數字水印，并將數字水印嵌入到所述蜜罐系統的敏感信息文件中。