[发明专利]基于蜜网的逆向数据连接控制方法

说明书

技术领域

本发明涉及密网，尤其涉及访问控制。

背景技术

本发明是为智能蜜网设计的专门的连接控制技术，它不但具有传统控制技术的功能，并且还智能化。以下描述了基于密网的逆向数据连接控制方法的研究背景。

连接控制在蜜网系统中起着中枢的作用，因为它不仅决定了蜜网对使用者的价值，也决定了使用者使用蜜网必须面对的风险代价。连接控制就需要在风险与价值之间找到一个平衡，保证蜜网系统是一个安全的系统，不会对外界造成破坏性的影响。连接控制负责检测和控制整个蜜网中的流进流出数据，蜜网系统的安全问题就需要连接控制来解决。

一些传统的连接控制技术只能起到一些简单的控制作用，比如对连接信息的记录，对端口的限制，对地址的限制，但是这蜜网的安全将起不到重要的作用。本专利为智能蜜网设计了专门的连接控制技术，它不但具有传统控制技术的功能，并且还智能化。它可以检测出流进流出蜜网的数据流，对于危险的数据流做智能化的处理，让这些危险的数据流按照规定意图改变。在连接控制中很多技术都是把连接控制本身暴露在外，这样极易遭到外界的攻击，一旦连接控制的功能失效，那整个蜜网将不会有任何意义，只会成为攻击者巨大的跳板。但是智能蜜网的连接控制本身是被隐藏起来的，外界觉察不到它的存在，外界对它将无从攻击。这样连接控制本身绝对安全了，整个智能蜜网的安全才有保障。

目前关于连接控制也有一些专利。专利200710074539.1“网络设备攻击防范的方法和装置”涉及通信领域，尤其涉及一种防范网络攻击的方法和装置。它提供实现网络设备智能攻击防范的方法和装置，解决目前通信网络中无法智能防范攻击的问题。该方法获取网络设备的流量过载丢包信息、网络设备的流量限制阈值和网络设备的资源信息；根据所述流量过载丢包信息和所述资源信息，对业务报文流的所述流量限制阈值做出相应调整。该方法和装置，采用智能调整措施，可以在系统资源占用不多的情况下，动态调大设备上送流量限制阈值，智能提升设备的性能，使设备处理业务的性能达到最佳。采用智能防范措施，可以在系统资源占用过载的情况下，动态调小设备上送流量限制的阈值，达到保护设备的目的。相比之下，本发明对流出子网的数据进行检测控制，防止该子网作为攻击者攻击外部网络的工具。同时，专利200710074539.1所述方法没有解决对流出数据的安全性的检测及控制，而且主要是对DDos攻击进行防范，因而对攻击数据的防范相当有限

本发明的困难性是灵活。连接控制的主要目的是阻止攻击者利用保护子网作为跳板去攻击别的机器，但是它只是尽量的减少，而不是杜绝这种行为。在受保护的子网中，接受任何的扫描、探测、连接，但是对从该子网网出去的扫描、探测、连接，却必需要条件的放行，如果发现出去的数据包有异常，那必须加以制止，不然该子网就成了攻击者的帮凶，有可能就会发生法律上的纠纷。当然，能否从攻击者的行动获取多大有价值的信息，也在于对往外连接的控制。控制程度低，攻击者的活动空间就比较大，同时子网获取的信息的价值也会比较高；反之，获取的价值也会比较低。而且必须保证在攻击者不察觉行为已经受到监视。

蜜网的功能就是吸引恶意用户的攻击从而捕获一些未知的攻击方法，所以蜜网随时都面临着被攻击的危险。但对蜜网的攻击不能让其到达公共网络。本专利可以避免蜜网系统在被攻击后成为攻击方的工具危害外部网络。蜜网的另一个作用是收集尽可能多的攻击信息。本专利可以在限制流出蜜网的数据的同时，让攻击者不会怀疑其攻击的是一个蜜网，从而让攻击者在蜜网中驻留时间。

发明内容

本发明提供了一种基于密网的逆向数据连接控制的方法，它具有传统控制技术的功能，并且还智能化，为整个智能蜜网的安全提供了保障。

首先由人工设置连接控制中的开放端口、连接频率范围和包内容检测规则。在运行连接控制系统后，该系统截获所有流出蜜网的数据包，然后对数据包进行处理，数据包将根据处理的不同结果决定是否流出蜜网。

本专利系统包括以下四个模块：

端口检测模块：在该模块中，需要根据蜜网的不同部署人为设置哪些端口的数据可以流出蜜网和蜜网数据可以连接外部网络的哪些端口。在接受到蜜网流出的数据包后检测包头信息，根据设置的端口判断该数据包是否合法。

频率检测模块：在频率连接控制模块中，需要设置连接频率。通过检测蜜网发起的连接频率，如果超过了设置的频率值，则将连接全部断掉，否则认为数据连接频率合法，让其通过到达下一模块。