[发明专利]一种网络追踪系统

说明书

技术领域

本发明涉及计算机网络通信安全技术领域，尤其涉及网络追踪系统。

背景技术

随着网络安全的威胁日益严重，网络追踪已成为网络安全研究领域的热点问题。然而，网络追踪的实现受到多方面因素的制约，主要体现在以下方面：首先，用于Internet的TCP/IP协议设计之初没有考虑到安全问题，没有对可疑用户活动进行阻止的有效机制，没有对用户活动进行追踪的设计；第二，网络流量和带宽的迅速发展以及隧道技术的使用增大了网络追踪的难度；第三，网络攻击手段的发展和代理、跳板技术的使用使得网络追踪难以奏效。

目前，针对不同形式和特点的网络攻击，提出了许多采用不同网络追踪方法的网络追踪系统。网络追踪方法主要有链路测试法、入口过滤法、数据包记录法、路径记录法、ICMP追踪法、日志记录法、Ipsec鉴别法和数据包标记法等。现有的网络追踪技术存在或多或少的不足，没有一种解决方案可以实现有效追踪所规定的所有需求。第一，要对网络攻击、入侵进行追踪，则先要发现网络攻击与入侵，但是，现有的入侵检测技术还不能完全解决入侵漏报和虚警的问题。第二，目前研究和讨论最多的网络追踪技术是基于报文或数据包的追踪方法，而基于报文或数据包的追踪方法的关键技术是在报文或数据包中添加标志数据或字段，然后通过对这些标志数据或字段的检测与追踪来实现对攻击与入侵的追踪。不管采用哪种方式来添加标志数据，都会增加路由器或其它追踪设备的开销，并增加网络的流量，并且这些添加的标志数据或字段有可能会被攻击者察觉而伪造数据包来逃避追踪，因此，现有的基于报文或数据包的追踪方法有其固有的缺点。

数字水印技术是20世纪90年代出现的一门崭新的技术，它通过在数字产品(如图像、视频、音频、文本等)中嵌入可感知或不可感知的特定信息来确定数字产品的所有权或检验数字内容的原始性，这些特定的信息包括作者的序列号、公司标志、有意义的文本等等。数字水印技术通过一定的算法将一些标志性信息嵌入被保护的对象当中，只有通过专用的检测器或阅读器才能正确检测或提取。这些信息不影响原数据使用效果，并可以部分或全部从混合数据中恢复出来。一般来讲，密码技术不能对解密后数据提供进一步保护，数字签名难以在原始数据中一次性嵌入大量信息，数字标签容易被修改和剔除，而数字水印技术却很好地弥补了这些不足。

蜜网项目组(The Honeynet Project)的创始人Lance Spitzner对蜜罐的定义是：蜜罐是一种安全资源，其价值在于被扫描、攻击和攻陷。这个定义表明蜜罐并无其他实际作用，因此所有进出蜜罐的网络流量都可能预示了扫描、攻击和攻陷。而蜜罐的核心价值就在于对这些攻击活动进行监视、检测和分析。蜜罐是一种安全资源而并非一种安全解决方案，其价值体现在被探测、攻击或者摧毁的时候。这意味着无论将何物指定为蜜罐，部署者的期望和目标就是让系统被别人探测、攻击并有被攻破的可能。蜜罐作为一种伪装成真实目标的资源库，它可以模拟各种操作系统及漏洞，也可以虚拟出各种网络服务。它是设计用来对入侵的攻击行为进行记录的诱捕系统，通过对攻击者行为的记录分析可以获得攻击者的相关信息，从而掌握攻击者的攻击技术和攻击意图，对重要防护目标采取有针对性的防御措施，同时也可以实现对攻击的追踪等。

发明内容

本发明所要解决的技术问题是提供一种网络追踪系统，它不仅增强了追踪的主动性，减轻了追踪的各种开销，而且在实现和效果上具有更高的准确性、有效性和可操作性。

为了实现上述目的，本发明提供了一种利用数字水印和蜜罐技术的网络追踪系统，其特征为，包括：

蜜罐系统模块，安装在主机设备上，并挂入主机设备的操作系统；它以伪装服务、开放访问端口和设置敏感信息文件等方式对网络扫描、探测和访问进行欺骗，并引诱攻击者对其实施攻击；监听网络上的扫描、探测事件，判断该事件是否符合系统安全策略，若不符合，则蜜罐系统根据欺骗、诱导策略对攻击者进行欺骗，将攻击连接引向蜜罐主机，并诱导其访问敏感信息文件；一旦蜜罐系统监控到有对数字水印系统的访问，马上生成追踪申请信息发送到追踪服务控制台，并且接收追踪服务控制台的返回结果；

数字水印系统模块，安装在主机设备上，并挂入主机设备的操作系统；其主要用于生成数字水印，并将数字水印嵌入到所述蜜罐系统的敏感信息文件中；