一種積極的自動檢測HTTP攻擊的信息安全管理框架制造技術

本發明專利技術公開了一種積極的信息安全管理的框架及其攻擊數據包自動檢測和數字簽名生成的方法，其特點在于，包括：一個企業IT網絡，與該網絡通信的兩個網絡入侵檢測系統，它們分別被部署在生產區和仿真區，一個獨立的蜜罐、一個檢測引擎、一個數字簽名生成系統。所述蜜罐包含一個仿真Web服務器，每一個入侵檢測系統分別含有一個數字簽名庫，數字簽名庫里存儲各種網絡攻擊數據。這種基于威脅檢測的信息安全管理的方法，不僅能夠檢測到已知的網絡攻擊數據包，而且還能夠實時地檢測到新的網絡攻擊數據并加以阻止，使得企業的IT網絡免遭入侵之損害，保持業務不中斷、服務不停止，做到零損失或將損失降低到最小。本方法也可以運用到防火墻、入侵檢測、入侵防御、DDOS保護、Web應用防火墻和網絡設備之中。

【技術實現步驟摘要】

本專利技術涉及一種積極的安全管理框架的設計和實現方法，尤其涉及基于威脅檢測的信息安全的方法。本方法可以運用到防火墻、入侵檢測、入侵防御、DDOS保護、Web應用防火墻和網絡設備之中。
技術介紹
本專利技術中包含的英文簡稱如下：IDS：IntrusionDetectionSystems入侵檢測系統；DMZ:De-MilitarisedZone非軍事區；DE：DetectionEngine檢測引擎；SGE：SignatureGenerationEngine數字簽名生成引擎；LCS:LongestCommonSubsequence最長公共子序列算法；DDOS：DistributedDenialofService分布式拒絕服務；APT：AdvancedPersistentThreat高級持續性威脅；HTTP：HyperTextTransferProtocol超文本傳輸協議；NIPS：NetworkIntrusionPreventionSystem網絡入侵防護系統。隨著企業IT基礎構架的不斷完善，信息化程度的不斷提高，企業的運營與發展對計算機網絡的依賴性越來越大。面對著日益嚴重的企業網絡安全問題，企業也采取了種種措施加以防范。例如，限制可疑流量，但是，像80和443這樣的端口是不可能被關閉的，因為不開放這樣的端口，網頁就無法瀏覽，網站就失去了它存在的意義；因此，HTTP流量一般被認為是合法的流量。然而，這種理念可能被HTTP攻擊者所利用，網絡犯罪分子用來進行網絡破壞活動。本專利提出了一種積極的安全管理框架，基于這種框架能夠實時和自動地檢測、分析和預防網路攻擊。它不僅能夠檢測到已知的諸如HTTP攻擊，而且還能夠預防新的網絡攻擊。新的攻擊利用目前還沒有解決方案的計算機漏洞，并且這些漏洞一般來說是很難檢測到的，任憑采用積極的，還是被動的安全管理方法。目前，業界有兩種基于威脅檢測的方法，即：一種是基于數字簽名的檢測方法，另一種是基于異常的檢測方法?；跀底趾灻臋z測方法采用數字簽名匹配攻擊模型；這種方法只能匹配已知的攻擊，但不能檢測出未知的網絡攻擊。基于異常的檢測方法需要維護一些常用的配置文件，從中發出異常與偏差的告警?；诋惓５臋z測方法能夠檢測出新的攻擊，但它會出現數量較多的誤報。這兩種方法都需要人工更新數字簽名庫和修改配置文件。然而，這兩個工作是非常費時間的，因為手工修改配置文件和更新或同步數字簽名庫的速度是非常之慢，甚至于堪比網絡攻擊手段的推出速度還要慢許多。新的攻擊的發現需要通過更新或同步網絡攻擊庫來達到檢測和防御網絡攻擊的目的。這幾乎不可能通過手工的方式來完成更新或同步，因為手工更新和同步的速度太慢了。必需要一種自動更新的裝置來實時地、動態地更新或同步網絡攻擊數字簽名庫以達到及時預防新的網絡攻擊的目的。自動地檢測攻擊和數字簽名生成系統能夠協助入侵檢測系統檢測到這些新的網絡攻擊并發出告警。目前，還沒有任何單一的技術可以幫助解決這個問題。一個融合的方法，諸如，蜜罐（HoneyPots）、入侵檢測系統（IDS）、數字簽名生成算法、跟蹤技術和分析方法，都是必需要的。本專利采用混合方法，采用了基于數字簽名的方法，并結合蜜罐技術，提出了一種通過對HTTP攻擊的實時檢測和動態更新數字簽名攻擊庫的信息安全管理方法，來保護企業IT網絡在線資源免遭網絡入侵攻擊、保持業務不中斷、服務不停止，做到零損失或將損失降低到最小。本方法也可以運用到防火墻、入侵檢測、入侵防御、DDOS保護、Web應用防火墻和網絡設備之中。現有的專利文獻包括：專利申請號為CN200810242179（公開號：CN101478387A，公開日：2009.07.08）的華為賽門鐵克科技有限公司專利“超文本傳輸協議攻擊防御方法、裝置和系統”。該專利公開了一種基于重定向的超文本傳輸協議攻擊防御方法，包括：響應客戶端的HTTP請求，發送重定向命令，將HTTP請求重定向到一個虛擬的地址，斷開為HTTP請求建立的網絡連接，所述虛擬地址能夠到達服務器；接收客戶端新的HTTP請求，根據虛擬地址信息判斷出重定向后的HTTP請求，并判斷出具有合法數據包的HTTP請求；將具有合法數據包的HTTP請求中的虛擬地址修改為原來地址，并發送給服務器?，F有的專利文獻還包括：專利申請號為CN201310455652（公開號：CN103516727A，公開日：2014.01.15）的重慶電子工程職業學院專利“網絡主動防御系統及其更新方法”。該專利公開了一種網絡主動防御系統及其更新方法，包括規則庫、更新緩沖器、過濾器和云更新服務器，以及狀態檢測引擎模塊、拒絕服務攻擊引擎模塊、蠕蟲攻擊引擎模塊、Web防護引擎模塊、流量異常引擎模塊、入侵響應引擎模塊和規則更新引擎模塊七大功能模塊。本專利技術主要解決NIPS網絡主動防御系統不能隨攻擊技術的更新即時變換防范策略的問題，此外，還針對Web滲透攻擊技術專門開發了相應防御過濾模塊。技術實現上，采用非人工參與情況下，在不影響NIPS自身正常防御工作的前提下，自動響應更新，安全、可靠、高效。此外，該專利在產品功能上注重開發了Web防護引擎模塊和規則更新引擎模塊，使本NIPS產品適用性和安全性更強?，F有的專利文獻還包括：專利申請號為CN201410577668（公開號：CN104378361A，公開日：2015.02.25）的蘇州闊地網絡科技有限公司專利“一種網絡入侵檢測方法及系統”。該專利公開了一種網絡入侵檢測方法及系統。包括以下步驟：獲取預定時間段內的訪問數據；從所述訪問數據中提取訪問參數特征信息；根據所述訪問參數特征信息判斷是否存在可疑訪問。根據本專利技術提供的網絡入侵檢測方法及系統，能夠高效檢測出利用HTTP隧道穿透技術的遠控程序，提高系統安全性，并且無需在防火墻后面增加入侵檢測系統，減少系統成本。現有的專利文獻還包括：專利申請號為CN201410557060（公開號：CN104283889A，公開日：2015.01.14）的國網重慶市電力公司電力科學研究院專利“基于網絡架構的電力系統內部APT攻擊檢測及預警系統”。該專利公開了一種基于網絡架構的電力系統內部APT攻擊檢測及預警系統,包括有：用戶終端監控子系統、服務器監控子系統和云平臺管理子系統。針對APT攻擊無孔不入的特性，設計了涵蓋用戶終端和系統服務器的APT攻擊檢測及預警系統。該檢測及預警系統不僅具備常見的網絡安全管理功能，同時能對日志和事件做出異常分析，對系統的漏洞進行挖掘和修復，并能在網絡系統遭受APT攻擊后，迅速的恢復被攻擊設備的數據，協助安全管理員反向追蹤攻擊來源上述已有中國專利CN101478387A、CN103516727A、CN104378361A和CN104283889A存在以下不足：1、不支持積極的網絡攻擊預防的架構，是一種靜態的方法；2、不能實時地預防新的攻擊，只能基于已知的攻擊模式進行匹配和識別；3、不能自動更新攻擊庫、或數字簽名攻擊庫，主要靠手工方式改變安全策略；4、業務中本文檔來自技高網...

【技術保護點】
本專利技術提供了一種積極的自動檢測HTTP攻擊的信息安全管理框架，其特點在于，包括：一個企業IT網絡，與該網絡通信的兩個入侵檢測系統，它們分別被部署在生產區和仿真區，一個獨立的蜜罐，一個檢測引擎，一個數字簽名生成系統，每一個入侵檢測系統含有一個數字簽名庫，每一個蜜罐具有一個仿真Web服務器，●所述數字簽名庫具有：存儲已知的網絡攻擊數據，存儲新的網絡攻擊數據；●所述仿真Web服務器具有：仿真服務器接收數據包，形成日志，以便進一步的處理；●所述檢測引擎具有：閱讀、分析所述日志數據包，負責從這些日志中識別出可疑的攻擊，發送給數字簽名生成系統；●所述數字簽名生成系統具有：接收來自檢測引擎的數據包，生成數字簽名。

【技術特征摘要】
1.本發明提供了一種積極的自動檢測HTTP攻擊的信息安全管理框架，其特點在于，包括：一個企業IT網絡，與該網絡通信的兩個入侵檢測系統，它們分別被部署在生產區和仿真區，一個獨立的蜜罐，一個檢測引擎，一個數字簽名生成系統，每一個入侵檢測系統含有一個數字簽名庫，每一個蜜罐具有一個仿真Web服務器，
●所述數字簽名庫具有：
存儲已知的網絡攻擊數據，
存儲新的網絡攻擊數據；
●所述仿真Web服務器具有：
仿真服務器接收數據包，
形成日志，以便進一步的處理；
●所述檢測引擎具有：
閱讀、分析所述日志數據包，
負責從這些日志中識別出可疑的攻擊，
發送給數字簽名生成系統；
●所述數字簽名生成系統具有：
接收來自檢測引擎的數據包，
生成數字簽名。
2.根據權利要求1所述的一種積極的自動檢測HTTP攻擊的信息安全管理框架...

【專利技術屬性】
技術研發人員：凌飛，李木金，
申請(專利權)人：南京聯成科技發展有限公司，
類型：發明
國別省市：江蘇;32