[发明专利]一种计算机的网络隐身方法及基于该方法的网络隐身系统

说明书

技术领域

本发明涉及计算机安全通信技术领域，尤其是涉及一种计算机的网络隐身方法及基于该方法的网络隐身系统。

背景技术

自人类步入了信息化的时代以来，计算机技术与计算机网络以难以想象的速度发展着。在提供网络便利的同时，信息的安全传输就显得尤为重要，但与此同时，层出不穷的网络安全问题却时刻困扰着我们。针对目前已有的防护措施：防火墙，杀毒软件，流量监控，入侵检测等都存在着一些共同的或独特的缺陷，防火墙并不能灵活地进行主动防御，并且依赖于管理员大量添加的过滤规则；杀毒软件并不能查杀变幻多端的新型病毒，且只能在病毒感染之后才能进行补救工作；流量监控或入侵检测系统则会收集大量的没有使用价值的数据，增加了工作人员分析数据的负担，同时也只能在异常行为发生以后才进行报警或阻断。

可以看出现存的安全防护最大弱点是被动防御即都是在异常行为甚至安全事故发生后才进行修复，并不能满足实时保障用户安全的需求，而是有着比较大的滞后性，只有从根本上解决问题才能达到真正的安全防护。只有变被动为主动，提早在入侵之前就设法将安全隐患扼杀于摇篮，这正是我们网络隐身系统的特色功能。

当网络隐身系统开启之后，我们在正常享受互联网为我们带来的便利的同时，还能够安全隐身于网络，让入侵者“看不见”，无法确定攻击目标，而合法的用户又能与我们正常地进行通信。而对于未知的安全漏洞由于攻击者无法探测无法利用也就难以被发现利用。而对于恶意病毒因为隐身而找不到传播的宿主，也失去了效用，极大地增加了攻击者渗透或病毒侵染的难度。这样既能做到先知先觉，提前预判恶意网络行为，又能防患于未然，防范未知安全漏洞，做到百毒不侵，提前杜绝恶意访问。因此网络隐身系统及其策略有着很大的发展前景。

发明内容

本发明所要解决的技术问题是：提供一种计算机的网络隐身方法及基于该方法的网络隐身系统，能够提前阻断未知安全问题，在源头就阻断恶意网络行为的发生，真正的做到提前防护，由于隐身的特点，该系统能够真正防患于未然。很好地保证计算机安全。

为解决上述技术问题，本发明的技术方案是：一种计算机的网络隐身方法，所述网络隐身方法包括对探测数据包采取被动处理策略和主动处理策略，所述被动处理策略包括对出入所述计算机的数据分组判断其合法性，对不合法的数据流量采取不接受、不回应、不交予正常协议栈并写入不良记录的处理方式；所述主动处理策略包括如下三种方式：S1、在判断出探测行为正在进行时，回复虚假的信息迷惑探测者，增大其攻击难度；S2、伪造虚假数据流量与真实主机网络行为，扰乱嗅探行为；S3、把真实主机的IP地址作为跳变单元，动态随机跳变，达到真实主机的隐身，在S2中，所述真实主机隐于由伪造虚假数据流量伪造的一群计算机中，减小被探测的概率，所述虚假数据流量是指模拟服务器行为，在真实主机所在的网段内充分利用该网段下未使用的IP地址构造数据流量，模仿真实计算机的网络行为，为探测锁定目标增加难度。

为解决上述技术问题，本发明的另一技术方案是：一种计算机的网络隐身系统，包括：

接入行为控制模块，将正常的网络行为与异常的网络行为分别建立起一个状态链，对网络行为是否合法进行提前判断；

动态多址模块，用于计算机物理地址的动态变化和计算机IP地址的动态化；

流量混淆模块，用于计算机的伪造通信地址、伪造主动数据流量和伪造被动数据流量；

协议栈指纹混淆模块，对于主机接收到的数据进行分支利用双协议栈模型处理以及动态修改协议栈指纹特征混淆恶意者的判断。

进一步的，所述网络行为判断包括对服务器和个人计算机两个模块的区分，对于个人计算机，因其不为外界提供服务，故不会接受从外界发来的主动SYN请求，因此凡是接收到SYN的源IP地址都是可疑的，如果本计算机和某个远程主机未曾建立连接，对方却发来RST包或ACK+PUSH+URG包也是扫描行为的先兆；服务器由于需要向外提供服务，因此端口与地址不但不能更改并且还必须告知客户，需要对受到的数据包的状态链进行判断。