基于蜜網技術的內網敏感信息泄露取證系統及方法
【專利摘要】本發明涉及計算機網絡安全【技術領域】,尤其涉及基于蜜網技術的內網敏感信息泄露取證系統及方法。該取證系統,包括:蜜網、企業內網及連接于企業內網中的用戶終端;蜜網中包括蜜餌服務器、蜜墻及取證服務器;蜜餌服務器通過蜜墻連接于企業內網中;取證服務器與蜜墻連接;蜜餌服務器,用于預先設置蜜餌;蜜墻,用于過濾和抓取用戶終端通過企業內網訪問蜜餌的交互數據包,并傳輸給取證服務器;取證服務器,用于根據接收的交互數據對企業內網中的敏感信息泄露行為進行取證。本發明的基于蜜網技術的內網敏感信息泄露取證系統及方法,提高了企業內網敏感信息泄露取證的有效性,更能滿足企業內部網絡安全的實際需求。
【專利說明】基于蜜網技術的內網敏感信息泄露取證系統及方法
【技術領域】
[0001]本發明涉及計算機網絡安全【技術領域】,具體而言,涉及基于蜜網技術的內網敏感信息泄露取證系統及方法。
【背景技術】
[0002]隨著互聯網技術的發展,網絡掃描、蠕蟲與病毒代碼的傳播以及黑客惡意攻擊等已經是網絡上每臺主機隨時可能遇到的危險。當前已有相對數量的方法應對上述危險。而對于企業內網來說,網內終端的惡意攻擊、內網敏感信息泄漏等行為對企業內網來說也存在著巨大威脅。
[0003]當前,對企業內網中敏感信息泄露行為進行取證的方法主要是基于日志數據的審計行為,通過對記錄在服務器、防火墻、入侵檢測及數據泄露防護設備DLP等安全設備中的安全日志進行分析,獲知企業內網人員的敏感信息泄露行為。
[0004]但,由于日志數據記錄在不同的設備上,上述方法在取證過程中無法完整記錄敏感信息泄露的行為過程,且日志數據龐大,無法保證取證結果的準確性和科學性;進一步地,基于日志數據對敏感信息泄露行為進行取證,一般是敏感信息已經泄露出去,錯失了防護和取證的最佳時機,無法做到事先偵測和主動防護。
[0005]由此可見,基于日志數據審計行為進行敏感信息泄露的取證不能滿足企業內部網絡安全的實際需求。
【發明內容】
[0006]本發明的目的在于提供基于蜜網技術的內網敏感信息泄露取證系統及方法,以提高企業內網敏感信息泄露取證的有效性,滿足企業內部網絡安全的實際需求。
[0007]本發明實施例提供了一種基于蜜網技術的內網敏感信息泄露取證系統,包括:蜜網、企業內網及連接于所述企業內網中的用戶終端;所述蜜網中包括蜜餌服務器、蜜墻及取證服務器;所述蜜餌服務器通過蜜墻連接于所述企業內網中;所述取證服務器與所述蜜墻連接;所述蜜餌服務器,用于預先設置蜜餌;所述蜜墻,用于過濾和抓取所述用戶終端通過所述企業內網訪問所述蜜餌的交互數據包,并傳輸給所述取證服務器;
[0008]所述取證服務器,用于根據接收的所述交互數據對企業內網中的敏感信息泄露行為進行取證。
[0009]優選地,所述取證服務器包括:可疑終端確定模塊,用于根據接收的所述交互數據,確定與所述交互數據對應的用戶終端是否為可疑終端;過濾規則生成模塊,用于確定所述用戶終端為可疑終端時,對所述可疑終端進行標識,并生成針對所述可疑終端的過濾規則;傳輸模塊,用于將所述過濾規則傳輸給所述蜜墻,以使所述蜜墻基于所述過濾規則獲取所述可疑終端與所述蜜餌服務器的所有通信信息,并傳輸給所述取證服務器。
[0010]本發明實施例還提供了一種基于蜜網技術的內網敏感信息泄露取證方法,包括:位于蜜網中的蜜餌服務器預先設置蜜餌,其中所述蜜餌服務器通過蜜墻連接于企業內網中,所述企業內網中連接有用戶終端,所述蜜墻還與取證服務器連接;所述蜜墻過濾和抓取所述用戶終端通過所述企業內網訪問所述蜜餌的交互數據,并傳輸給所述取證服務器;所述取證服務器根據接收的所述交互數據對企業內網中的敏感信息泄露行為進行取證。
[0011]優選地,所述蜜餌包括:數據庫服務、空口令虛擬機、弱口令虛擬機或虛擬機中存儲的既定文件。
[0012]優選地,所述取證服務器根據接收的所述交互數據對企業內網中的敏感信息泄露行為進行取證,包括:所述取證服務器根據接收的所述交互數據,確定與所述交互數據對應的用戶終端是否為可疑終端;所述取證服務器確定所述用戶終端為可疑終端時,對所述可疑終端進行標識,并生成針對所述可疑終端的過濾規則;所述取證服務器將所述過濾規則傳輸給所述蜜墻,以使所述蜜墻基于所述過濾規則獲取所述可疑終端與所述蜜餌服務器的所有通信信息并傳輸給所述取證服務器。
[0013]優選地,所述生成針對所述可疑終端的過濾規則包括:生成針對所述可疑終端的伯克利數據包過濾器BPF過濾規則。
[0014]優選地,所述取證服務器根據接收的所述交互數據,確定與所述交互數據對應的用戶終端是否為可疑終端,包括:所述取證服務器根據接收的所述交互數據,統計與所述交互數據對應的用戶終端在預設時間范圍內,嘗試訪問所述蜜餌的嘗試次數;所述取證服務器判斷所述嘗試次數是否大于預設的閾值次數,如果是,則確定對應的用戶終端為可疑終端。
[0015]優選地,所述取證服務器依據所述可疑終端與所述蜜餌服務器的通信信息,對所述可疑終端的訪問行為的危險程度進行分級,分別為初級危險、中級危險及高級危險。
[0016]優選地,當所述蜜餌為數據庫類型蜜餌時,所述取證服務器依據所述可疑終端與所述蜜餌服務器的通信信息,對所述可疑終端的訪問行為的危險程度進行分級,包括:
[0017]將一般連接請求和/或嘗試連接數據庫端口的訪問行為確定為初級危險訪問行為;
[0018]將數據庫登錄請求和/或嘗試猜解數據庫登錄口令的訪問行為確定為中級危險訪問行為;
[0019]將暴力破解、成功登錄數據庫、登錄數據庫后進行的操作過程、登錄數據庫后訪問的數據庫信息和/或嘗試刪除訪問記錄的訪問行為確定為高級危險訪問行為。
[0020]優選地,該方法還包括:取證服務器根據可疑終端對蜜餌的訪問嘗試過程行為,生成取證報告,其中所述取證報告包括所述可疑終端的訪問時間、IP地址、所述可疑終端的危險行為、危險級別及所述可疑終端訪問行為的界定。
[0021]本發明實施例的基于蜜網技術的內網敏感信息泄露取證系統及方法,在企業內網中部署蜜網,利用蜜網中的蜜餌服務器設置蜜餌,其中蜜餌是人為設置的模擬敏感信息的誘餌,在正常符合企業安全策略的情況下,不會存在對蜜餌的授權訪問。當蜜墻監測到位于企業內網中的用戶終端對蜜餌的訪問滿足一定條件時,可以認為該用戶終端存在泄露企業內網敏感信息的可疑行為,蜜墻將該用戶終端與蜜餌服務器的交互數據傳輸給取證服務器,由取證服務器基于上述交互數據對企業內網中的敏感信息泄露行為進行取證。
[0022]本發明實施例的上述取證系統及方法,以蜜餌模擬敏感信息引誘用戶終端對蜜餌進行訪問,在取證過程中不存在對企業內網中真正敏感信息的泄露行為,且該取證方法是主動防御技術,可以及時發現、識別出潛在的泄露行為,可以有效避免取證滯后的情況;而且用戶終端對蜜餌的訪問過程中形成的交互數據集中到取證服務器上,在取證服務器中可以獲取泄密終端完整的泄密行為過程,取證過程中涉及的數據量少,且取證服務器中用于取證的數據均為有效數據,不存在錯報、漏報的情況,保證取證結果的準確有效性。因此,本發明實施例的基于蜜網技術的內網敏感信息泄露取證系統及方法,提高了企業內網敏感信息泄露取證的有效性,更能滿足企業內部網絡安全的實際需求。
[0023]為使本發明的上述目的、特征和優點能更明顯易懂,下文特舉較佳實施例,并配合所附附圖,作詳細說明如下。
【專利附圖】
【附圖說明】
[0024]為了更清楚地說明本發明實施例的技術方案,下面將對實施例中所需要使用的附圖作簡單地介紹,應當理解,以下附圖僅示出了本發明的某些實施例,因此不應被看作是對范圍的限定,對于本領域普通技術人員來講,在不付出創造性勞動的前提下,還可以根據這些附圖獲得其他相關的附圖。
[0025]圖1示出了本發明實施例所提供的一種基于蜜網技術的內網敏感信息泄露取證系統;
[0026]圖2示出了本發明實施例所提供的一種取證服務器的結構示意圖;
[0027]圖3示出了本發明實施例所提供的一種基于蜜網技術的內網敏感信息泄露取證方法的流程圖;
[0028]圖4示出了本發明實施例所提供的一種基于蜜網技術的內網敏感信息泄露取證方法的信息流轉圖。
【具體實施方式】
[0029]下面將結合本發明實施例中附圖,對本發明實施例中的技術方案進行清楚、完整地描述,顯然,所描述的實施例僅僅是本發明一部分實施例,而不是全部的實施例。通常在此處附圖中描述和示出的本發明實施例的組件可以以各種不同的配置來布置和設計。因此,以下對在附圖中提供的本發明的實施例的詳細描述并非旨在限制要求保護的本發明的范圍,而是僅僅表示本發明的選定實施例。基于本發明的實施例,本領域技術人員在沒有做出創造性勞動的前提下所獲得的所有其他實施例,都屬于本發明保護的范圍。
[0030]鑒于相關技術中,基于日志數據對企業內網敏感信息泄露行為進行取證的種種弊端,本發明實施例提供了一種基于蜜網技術的內網敏感信息泄露取證系統及方法,該系統及方法中利用蜜網設置蜜餌,蜜餌是用于識別潛在敏感信息泄露源的誘餌,通過記錄分析用戶終端對蜜餌的訪問過程,實現對企業內網中泄露敏感信息行為的取證。
[0031]基于上述取證思想,本發明實施例提供了一種基于蜜網技術的內網敏感信息泄露取證系統,如圖1所示,該系統包括:蜜網、企業內網3及連接于企業內網3中的用戶終端4 ;蜜網中包括蜜餌服務器1、蜜墻2及取證服務器5 ;蜜餌服務器I通過蜜墻2連接于企業內網3中;取證服務器5與蜜墻2連接。該系統正常運行時,蜜墻2工作在網橋模式下,蜜餌服務器I對企業內網3中的用戶終端4均可見。蜜餌服務器1,用于預先設置蜜餌,蜜餌的作用是用于識別潛在敏感信息泄露源的誘餌;蜜墻2,用于過濾和抓取用戶終端4通過企業內網3訪問蜜餌的交互數據包,并傳輸給取證服務器5 ;取證服務器5,用于根據接收的交互數據對企業內網3中的敏感信息泄露行為進行取證。
[0032]本發明實施例的上述取證系統,以蜜餌模擬敏感信息引誘用戶終端4對蜜餌進行訪問,在取證過程中不存在對企業內網3中真正敏感信息的泄露行為,且該取證方法是主動防御技術,可以及時發現、識別出潛在的泄露行為,可以有效避免取證滯后的情況;而且用戶終端4對蜜餌的訪問過程中形成的交互數據集中到取證服務器5上,在取證服務器5中可以獲取泄密終端完整的泄密行為過程,取證過程中涉及的數據量少,且取證服務器5中用于取證的數據均為有效數據,不存在錯報、漏報的情況,保證取證結果的準確有效性。因此,本發明實施例的基于蜜網技術的內網敏感信息泄露取證系統及方法,提高了企業內網3敏感信息泄露取證的有效性,更能滿足企業內部網絡安全的實際需求。
[0033]本發明實施例的取證系統中,取證服務器5是整個系統的核心,取證服務器5的主要功能是對蜜墻2傳輸的交互數據進行存儲、分析用戶終端4對蜜餌服務器I的訪問信息、識別可疑終端、記錄可疑終端對蜜餌服務器I的訪問過程,為了實現取證服務器5的各項功能,取證服務器5的主要結構如圖2所示,包括:
[0034]可疑終端確定模塊51,用于根據接收的交互數據,確定與交互數據對應的用戶終端4是否為可疑終端;
[0035]過濾規則生成模塊52,用于確定用戶終端4為可疑終端時,對可疑終端進行標識,并生成針對可疑終端的過濾規則;
[0036]傳輸模塊53,用于將過濾規則傳輸給蜜墻2,以使蜜墻2基于過濾規則獲取可疑終端與蜜餌服務器I的所有通信信息并傳輸給取證服務器5。
[0037]與上述基于蜜網技術的內網敏感信息泄露取證系統相對應的,本發明實施例還提供了一種取證方法,如圖3所示,主要處理步驟包括:
[0038]步驟Sll:位于蜜網中的蜜餌服務器預先設置蜜餌,其中蜜餌服務器通過蜜墻連接于企業內網中,企業內網中連接有用戶終端,蜜墻還與取證服務器連接;
[0039]步驟S12:蜜墻過濾和抓取用戶終端通過企業內網訪問蜜餌的交互數據,并傳輸給取證服務器;
[0040]步驟S13:取證服務器根據接收的交互數據對企業內網中的敏感信息泄露行為進行取證。
[0041 ] 本發明實施例的取證方法中,蜜網中的蜜餌是人為設置的模擬敏感信息的誘餌,在正常符合企業安全策略的情況下,不會存在對蜜餌的授權訪問,因而任何對于蜜餌服務器的掃描和對于蜜餌的訪問嘗試,都是違反企業安全策略的惡意行為,是一種對于敏感信息的非授權獲取行為。因此通過記錄、分析訪問蜜餌的用戶終端的終端信息及對蜜餌的訪問過程,能夠及時發現潛在的泄露者,實現對于泄露行為的主動取證。
[0042]本發明中,蜜餌有多種類型和形式,可以根據實際取證需要進行設置,具體地,蜜餌服務器設置的蜜餌可以包括數據庫服務(該數據庫服務可以為ORACE數據庫服務,具體可以為開啟tcpl521端口)、空口令虛擬機、弱口令虛擬機或虛擬機中存儲的既定文件,通過對訪問蜜餌的用戶終端的監測可以識別潛在敏感信息泄露源。
[0043]本方法中,取證服務器是敏感信息泄露取證的核心,其取證的過程如圖4所示,包括:蜜墻2對用戶終端4與蜜餌服務器的交互數據進行過濾和抓取,并將抓取的交互數據發送給取證服務器5。取證服務器5對接收的交互數據進行存儲,并根據接收到的交互數據,確定與交互數據對應的用戶終端4是否為可疑終端,其中,取證服務器5接收到的每條交互數據中均包括訪問蜜餌的用戶終端4的IP地址、用戶終端4訪問的端口及訪問時間等;取證服務器5確定用戶終端4為可疑終端時,在數據庫6中對可疑終端進行標識,并生成針對可疑終端的過濾規則;取證服務器5將過濾規則傳輸給蜜墻2,以使蜜墻2基于過濾規則獲取可疑終端與蜜餌服務器的所有通信信息,蜜墻2將獲取的可疑終端的所有通信信息傳輸給取證服務器5,在取證服務器5中記錄可疑終端通信的全過程,實現對可疑終端泄露敏感信息的取證過程。取證服務器5根據可疑終端對蜜餌的訪問全過程生成取證報告。
[0044]上述方法中,取證服務器生成的針對可疑終端的過濾規則包括:取證服務器生成針對可疑終端的伯克利數據包過濾器BPF過濾規則。
[0045]取證服務器根據接收的交互數據,確定與交互數據對應的用戶終端是否為可疑終端的具體方法包括:取證服務器根據接收的交互數據,統計與交互數據對應的用戶終端在預設時間范圍內,嘗試訪問蜜餌的嘗試次數;取證服務器判斷嘗試次數是否大于預設的閾值次數,如果是,則確定對應的用戶終端為可疑終端。
[0046]取證服務器參照信息安全界對可疑終端的訪問行為的危險程度進行分級,分別為初級危險、中級危險和高級危險,其中,初級危險性最小,其它級別的危險性逐級提高。
[0047]當蜜餌為數據庫類型蜜餌時,對可疑終端的訪問行為的危險程度進行分級,包括:將一般連接請求和/或嘗試連接數據庫端口的訪問行為確定為初級危險訪問行為;將數據庫登錄請求和/或嘗試猜解數據庫登錄口令的訪問行為確定為中級危險訪問行為;將暴力破解、成功登錄數據庫、登錄數據庫后進行的操作過程、登錄數據庫后訪問的數據庫信息和/或嘗試刪除訪問記錄的訪問行為確定為高級危險訪問行為。
[0048]該方法還包括:取證服務器根據可疑終端對蜜餌的訪問嘗試過程行為,生成取證報告,其中所述取證報告包括所述可疑終端的訪問時間、IP地址、所述可疑終端的危險行為、危險級別及所述可疑終端訪問行為的界定。
[0049]以上所述,僅為本發明的【具體實施方式】,但本發明的保護范圍并不局限于此,任何熟悉本【技術領域】的技術人員在本發明揭露的技術范圍內,可輕易想到變化或替換,都應涵蓋在本發明的保護范圍之內。因此,本發明的保護范圍應所述以權利要求的保護范圍為準。
【權利要求】
1.基于蜜網技術的內網敏感信息泄露取證系統,其特征在于,包括:蜜網、企業內網及連接于所述企業內網中的用戶終端; 所述蜜網中包括蜜餌服務器、蜜墻及取證服務器;所述蜜餌服務器通過蜜墻連接于所述企業內網中;所述取證服務器與所述蜜墻連接; 所述蜜餌服務器,用于預先設置蜜餌; 所述蜜墻,用于過濾和抓取所述用戶終端通過所述企業內網訪問所述蜜餌的交互數據包,并傳輸給所述取證服務器; 所述取證服務器,用于根據接收的所述交互數據對企業內網中的敏感信息泄露行為進行取證。
2.根據權利要求1所述的系統,其特征在于,所述取證服務器包括: 可疑終端確定模塊,用于根據接收的所述交互數據,確定與所述交互數據對應的用戶終端是否為可疑終端; 過濾規則生成模塊,用于確定所述用戶終端為可疑終端時,對所述可疑終端進行標識,并生成針對所述可疑終端的過濾規則; 傳輸模塊,用于將所述過濾規則傳輸給所述蜜墻,以使所述蜜墻基于所述過濾規則獲取所述可疑終端與所述蜜餌服務器的所有通信信息并傳輸給所述取證服務器。
3.基于蜜網技術的內網敏感信息泄露取證方法,其特征在于,包括: 位于蜜網中的蜜餌服務器預先設置蜜餌,其中所述蜜餌服務器通過蜜墻連接于企業內網中,所述企業內網中連接有用戶終端,所述蜜墻還與取證服務器連接; 所述蜜墻過濾和抓取所述用戶終端通過所述企業內網訪問所述蜜餌的交互數據,并傳輸給所述取證服務器; 所述取證服務器根據接收的所述交互數據對企業內網中的敏感信息泄露行為進行取證。
4.根據權利要求3所述的方法,其特征在于,所述蜜餌包括:數據庫服務、空口令虛擬機、弱口令虛擬機或虛擬機中存儲的既定文件。
5.根據權利要求3所述的方法,其特征在于,所述取證服務器根據接收的所述交互數據對企業內網中的敏感信息泄露行為進行取證,包括: 所述取證服務器根據接收的所述交互數據,確定與所述交互數據對應的用戶終端是否為可疑終端; 所述取證服務器確定所述用戶終端為可疑終端時,對所述可疑終端進行標識,并生成針對所述可疑終端的過濾規則; 所述取證服務器將所述過濾規則傳輸給所述蜜墻,以使所述蜜墻基于所述過濾規則獲取所述可疑終端與所述蜜餌服務器的所有通信信息并傳輸給所述取證服務器。
6.根據權利要求5所述的方法,其特征在于,所述生成針對所述可疑終端的過濾規則包括: 生成針對所述可疑終端的伯克利數據包過濾器BPF過濾規則。
7.根據權利要求5所述的方法,其特征在于,所述取證服務器根據接收的所述交互數據,確定與所述交互數據對應的用戶終端是否為可疑終端,包括: 所述取證服務器根據接收的所述交互數據,統計與所述交互數據對應的用戶終端在預設時間范圍內,嘗試訪問所述蜜餌的嘗試次數; 所述取證服務器判斷所述嘗試次數是否大于預設的閾值次數,如果是,則確定對應的用戶終端為可疑終端。
8.根據權利要求3所述的方法,其特征在于,該方法還包括:所述取證服務器依據所述可疑終端與所述蜜餌服務器的通信信息,對所述可疑終端的訪問行為的危險程度進行分級,分別為初級危險、中級危險及高級危險。
9.根據權利要求8所述的方法,其特征在于,當所述蜜餌為數據庫類型蜜餌時,所述取證服務器依據所述可疑終端與所述蜜餌服務器的通信信息,對所述可疑終端的訪問行為的危險程度進行分級,包括: 將一般連接請求和/或嘗試連接數據庫端口的訪問行為確定為初級危險訪問行為; 將數據庫登錄請求和/或嘗試猜解數據庫登錄口令的訪問行為確定為中級危險訪問行為; 將暴力破解、成功登錄數據庫、登錄數據庫后進行的操作過程、登錄數據庫后訪問的數據庫信息和/或嘗試刪除訪問記錄的訪問行為確定為高級危險訪問行為。
10.根據權利要求9所述的方法,其特征在于,該方法還包括:取證服務器根據可疑終端對蜜餌的訪問嘗試過程行為,生成取證報告,其中所述取證報告包括所述可疑終端的訪問時間、IP地址、所述可疑終端的危險行為、危險級別及所述可疑終端訪問行為的界定。
【文檔編號】H04L29/06GK104486320SQ201410752894
【公開日】2015年4月1日 申請日期:2014年12月10日 優先權日:2014年12月10日
【發明者】顧廣宇, 張淑娟, 孫建, 王瀟 申請人:國家電網公司, 國網安徽省電力公司電力科學研究院, 國網安徽省電力公司六安供電公司