基于暗网的专用IP网络安全监测系统及方法技术方案

本发明专利技术公开一种基于暗网的专用IP网络安全监测系统及方法，能准确、快速识别、发现攻击者，还能处理未知网络攻击行为。系统包括与被监测网络相连的暗网感应器和与暗网感应器相连的蜜罐服务器；暗网感应器包括流量导入模块、数据控制模块、攻击检测模块、记录模块、报警显示模块、未知网络攻击提取模块、数据库和日志文件；蜜罐服务器包括虚拟机蜜罐群和虚拟机蜜罐群控制模块，虚拟机蜜罐群由多个正在运行的虚拟机蜜罐组成。方法包括将目的IP地址属于所监测暗网的报文导入监测系统，控制攻击者与蜜罐服务器的通信，检测所有报文是否包含攻击特征，记录报文，分析并显示当前系统监测到的攻击信息，提取形成未知网络攻击样本步骤。

【技术实现步骤摘要】
基于暗网的专用IP网络安全监测系统及方法
本专利技术属于网络安全监测
，特别是一种基于暗网的专用IP网络安全监测系统及方法。
技术介绍
专用IP网络是某些特殊行业或系统为本系统工作需要而专门建立的网络。军队、公安、铁路和电力等系统都有本系统的专用IP网络。专用IP网络与因特网采用了相同的体系结构，具有相同数目的地址空间，但是其中的主机数量远远小于因特网，因此具有大量的未用IP地址。蠕虫是因特网上最主要的安全威胁之一，它能在短时间内快速传播，在破坏目标计算机的同时往往造成网络的拥塞甚至瘫痪。而僵尸网络能够通过多种手段快速传播僵尸程序，通过控制感染主机对攻击目标发起分布式拒绝服务攻击，导致特定服务甚至整个网络无法使用。这些攻击手段同样能够在专用IP网络中发挥作用。暗网是未使用的IP地址的集合，进入暗网的流量除了由于错误配置导致的流量外，都是攻击流量，因此可利用暗网检测网络攻击。利用暗网对网络进行安全监测的技术大致可分为三种。第一种，在暗网的基础上利用轻量级的响应与攻击者交互从而获得攻击者的攻击特征，以此来判断攻击类型。这类的系统包括Internet Motion Se本文档来自技高网...

【技术保护点】
一种基于暗网的专用IP网络安全监测系统，包括与被监测网络相连的暗网感应器（10）和与所述暗网感应器相连的蜜罐服务器（20），其特征在于：????所述暗网感应器（10）包括流量导入模块（11）、数据控制模块（12）、攻击检测模块（13）、记录模块（14）、报警显示模块（15）、未知网络攻击提取模块（16）、数据库（17）和日志文件（18）；???????所述蜜罐服务器（20）包括虚拟机蜜罐群（21）和虚拟机蜜罐群控制模块（22），所述虚拟机蜜罐群（21）由多个正在运行的虚拟机蜜罐组成；????所述流量导入模块（11）的输入端与被监测网络相连，其输出端同时与数据控制模块（12）、攻击检测模块（13...

【技术特征摘要】
1.一种基于暗网的专用IP网络安全监测系统，包括与被监测网络相连的暗网感应器(10)和与所述暗网感应器相连的蜜罐服务器(20)，其特征在于: 所述暗网感应器(10)包括流量导入模块(11)、数据控制模块(12)、攻击检测模块(13)、记录模块(14)、报警显示模块(15)、未知网络攻击提取模块(16)、数据库(17)和日志文件(18)； 所述蜜罐服务器(20 )包括虚拟机蜜罐群(21)和虚拟机蜜罐群控制模块(22 )，所述虚拟机蜜罐群(21)由多个正在运行的虚拟机蜜罐组成； 所述流量导入模块(11)的输入端与被监测网络相连，其输出端同时与数据控制模块(12)、攻击检测模块(13)、记录模块(14)的输入端相连，所述数据控制模块(12)的双向接口与虚拟机蜜罐群(21)相连，其一个输出端与被监测网络相连的同时还与攻击检测模块(13)、记录模块(14)的输入端相连，所述数据控制模块(12)的另一个输出端与虚拟机蜜罐群控制模块(22)的输入端相连，所述虚拟机蜜罐群控制模块(22)的输出端与虚拟机蜜罐群(21)相连，所述记录模块(14)的第二输入端与攻击检测模块(13)的输出端相连，所述记录模块(14)的输出端与数据库(17)和日志文件(18)的输入端相连，所述日志文件(18)的输出端与未知网络攻击提取模块(16)相连，所述数据库(17)的输出端同时与报警显示模块(15)和未知网络攻击提取模块(16)相连； 所述流量导入模块(11)，用于将目的IP地址属于所监测暗网的报文导入监测系统，导入的报文转交至数据控制模块(12)、攻击检测模块(13)和记录模块(14)； 所述数据控制模 块(12)，用于控制攻击者与蜜罐服务器的通信； 所述攻击检测模块(13)，用于检测流量导入模块(11)接收和数据控制模块(12)发出的所有报文是否包含攻击特征； 所述记录模块(14)，用于记录流量导入模块(11)接收和数据控制模块(12)发出的所有报文和攻击检测模块(13)的输出； 所述报警显示模块(15)，用于分析并显示当前系统监测到的攻击信息，这些信息包括攻击的攻击特征、源IP地址、目的IP地址、源端口、目的端口和攻击时间等； 所述未知网络攻击提取模块(16)，用于将以数据库和日志文件形式存储的未知网络攻击的攻击交互报文提取出来，形成未知网络攻击样本； 所述虚拟机蜜罐群(21)由多个正在运行的虚拟机蜜罐组成，用于组成蜜罐池，每一个虚拟机蜜罐包含一个IP地址切换模块； 所述虚拟机蜜罐群控制模块(22)，用于控制虚拟机蜜罐群(21)，实现虚拟机蜜罐的更新。2.根据权利要求1所述的基于暗网的专用IP网络安全监测系统，其特征在于:所述虚拟机蜜罐群由虚拟机软件实现。3.根据权利要求1所述的基于暗网的专用IP网络安全监测系统，其特征在于:所述实现虚拟机蜜罐群的虚拟机软件为VMware server。4.根据权利要求1所述的基于暗网的专用IP网络安全监测系统，其特征在于:所述蜜罐服务器(20 )由多台计算机组成，这些计算机的网卡与暗网感应器所在计算机的出口网卡利用网线通过集线器连接。5.一种基于暗网的专用IP网络安全监测方法，其特征在于，包括如下步骤:. 51)流量导入模块(11)将目的IP地址属于所监测暗网的报文导入监测系统，导入的报文转交至数据控制模块(12)、攻击检测模块(13)和记录模块(14)； . 52)数据控制模块(12)控制攻击者与蜜罐的通信； .53)攻击检测模块(13)检测流量导入模块(11)接收和数据控制模块(12)发出的所有报文是否包含攻击特征； .54)记录模块(...

【专利技术属性】
技术研发人员：齐望东，袁恩，刘鹏，薛卫娟，张文宇，
申请(专利权)人：中国人民解放军理工大学，
类型：发明
国别省市：