[发明专利]一种网络数据流的安全检测方法及其系统

说明书

技术领域

本发明属于计算机网络安全技术领域，涉及一种网络数据流的安全检测方法，以及一种网络数据流的安全检测系统。

背景技术

一个拥有多台主机的内部网络往往通过一个网关接入internet互联网，在该网关上通常要对进出的数据流进行安全检查，以防止内部网络被internet上的不怀好意者攻击，或者防止内部网络中已经被感染的主机攻击internet上的其他主机。

这样的网关在对数据流做安全检查时通常是根据已经配置好的安全规则来判断该数据流是否安全，通常可以配置类似如下的安全规则：

1、禁止外部主机访问不公开的内部主机。

2、禁止未被许可的外部主机访问内部主机。

3、禁止某些内部主机访问外部网络。

当网关检测到一条新的数据流时立即提取该数据流的相关信息，用该信息去匹配安全规则，如果匹配，则将该数据流截断，以防止对内部网络或者外部internet造成危害。

但是这样安全检查过程存在一些问题，特别是不能做基于行为的检查，比如：

A、检查非法内容的传送。

B、检查攻击者对主机重要文件和设置的非法操作。

C、观察和记录危险数据流侵害主机的完整过程及其影响。

然而在已知的现有技术中，目前没有能够恰当地解决上述几个问题的方案。通常比较接近的方法是：

1、尽可能逼近地制定更加详细和复杂的匹配规则来剔除危险数据流。

2、应用日志文件记录危险数据流的相关信息。

这些方法存在的问题是：

A、不能通过它的行为进行分析判定；

B、通过日志分析来做事后分析，是滞后的，且并不是完整过程的记录，不能发现有害数据流的对主机的具体危害效果；

C、难于发现新型的恶意攻击源、攻击方式。

也就是说，现有技术中还没有能够解决上述不足的满意方法。

随着互联网技术的发展，网络扫描、蠕虫与病毒代码的传播以及黑客恶意攻击等是网络上每台主机随时都可能面对到的危险。其中，大部分的网络攻击活动是由攻击工具或由四处传播的恶意代码自动完成的，除此以外，攻击脚本和工具等也变得很容易得到和使用，也就是说无高交互需求的随机的网络扫描、有高交互需求的系统攻击活动和对有识别蜜罐系统威胁的攻击活动在所有攻击活动中所占的比例依次迅速的降低。

蜜罐技术的提出正是为了主动出击研究互联网上这些安全威胁而产生的，所述的蜜罐是一台看上去象普通主机的机器，部署在网络上，伪装成真实的网络、主机和服务，诱惑恶意攻击行为的诱饵，在其外部数据通道上安装了检测装置用于检测和分析进出的数据流，在其内部安装了检测装置用于检测和分析内部系统在网络攻击期间受到哪些侵害，其价值在于收集网络上的攻击活动信息，并对这些攻击活动进行监视、检测和分析。蜜罐技术的详细信息可参见Lance.Spitzner，“Honeypots：Tracking Hackers”，Addison-Wesley，2002。

所述的蜜罐系统是一套包含蜜罐的分析装置，在其中可以有若干台蜜罐，可以模拟多种不同操作系统并提供不同服务的主机，蜜罐系统能够根据蜜罐的数据流情况以及内部系统的侵害情况分析出该数据流的危险性。

发明内容

本发明的目的是提供一种网络数据流安全检测方法，利用蜜罐来配合网关对数据流做行为分析并根据分析结果进行相应处理。

本发明的另一目的是提供一种网络数据流安全检测系统，通过蜜罐系统检查数据流是否安全，是否合法，然后由网关对该数据流作相应处理。

本发明的网络数据流的安全检测方法，其步骤包括：

1、网关根据其配置的规则检测网络数据流，将确定为危险的数据流重定向到蜜罐系统，阻断其到达目标主机；

2.蜜罐系统接受该数据流，并模拟该数据流的目标主机与该数据流的源主机进行交互；

3.蜜罐系统记录交互过程，对该数据流是否存在危险进行判断，并将判断结果返回网关；

4.网关根据蜜罐系统的判断结果，按照设定的处理规则对该数据流进行处理。

所述处理规则为如数据流为危险数据流，网关切断与该数据流源主机的链接，否则放行该数据流。

上述网关配置的规则为该数据流的特征符合网关设定的危险数据流匹配规则；或该数据流的源主机是否在网关设定的黑名单或灰名单上；或者该数据流的目标主机是否为受限制的内部主机。