[发明专利]一种事件触发式的MTD防护系统及方法

说明书

本发明涉及一种事件触发式的MTD防护系统及方法。本发明首先判断请求数据包是否为指纹探测包，如果是进一步判断探测类型，将所述探测包所属探测事件与预先存储的指纹探测事件集进行比较，判断该类探测事件是否已存在，如果已存在则按既定方法对相应特性值进行修改，如果不存在则判断特性值的类型，根据特性值的类型进行相应修改，进而将修改后的特性值封装成响应数据包返回给指纹探测方。本发明实现了被防护目标每次收到指纹探测方的指纹探测包时，自动更改该探测项对应特性，使探测方收集到的指纹特征是错误的信息，从而使被欺骗或混淆为其他设备类型，使一些重要基础设备得到有效的抗远程指纹识别的防护机制。

技术领域

本发明涉及国家重要基础设备隐藏防护领域，尤其涉及一种事件触发式的MTD防护系统及方法。

背景技术

在当前环境下，信息技术系统是建立在相对静态的配置中运行。例如，地址、名称、软件栈、网络和各种配置参数在较长的时间段内保持相对静态。这种静态的方法使意图对系统进行恶意漏洞利用(exploit)的攻击者可以有充足的时间搜索、探测和识别目标系统的版本和配置等信息，其中最具代表性的就是操作系统指纹探测和识别(OperatingSystem Fingerprinting Detection)，即通过对网络上的主机进行主动的(active)或被动的(passive)指纹探测包的特性(feature)差异信息收集来确定所使用的操作系统，通常被攻击者作为攻击前信息采集中最重要的一步。

MTD(Moving Target Defense)思想是基于控制跨多个系统维度的变化，增加系统的不确定性和复杂性，从而减少攻击者的攻击表面(attack surface)和增加攻击成本而提出的一个新概念。自2011年MTD被提出来后，已逐渐发展成系统防护领域的研究热点，并被美国白宫确定为未来发展的四大网络空间安全防护战略技术之一。

作为一种重要的安全防范系统，近年来，MTD思想不仅在软件系统防范漏洞扫描和服务及版本防泄漏方面获得了应用，而且也逐渐在对抗远程操作系统指纹探测和识别上获得了大规模的推广。

MTD思想在防范安全防范操作系统指纹识别系统方面的研究，在2011年主要集中在IP地址配置在一定周期内的随机化，使指纹探测方无法对目标主机的IP变换的时间窗口内完成信息采集和探测。在2013年的研究开始在远程操作系统指纹识别领域的MTD上，对TCP协议栈特性值进行周期性修改和防护。但是，由于周期性的MTD防护本身存在的安全缺陷以及安全隐患目前，如果探测方利用每个周期内只探测一个特性的方法，利用多个周期汇总每个特性的探测结果，就可以使MTD防护系统的安全机制和性能大大降低。另外考虑到指纹探测方如果采用分布式探测和信息采集的话，使MTD面对的攻击表面更加难以防范，使对抗指纹探测的情况更加复杂，周期性MTD防护的缺陷也更加凸显。

发明内容

本发明所要解决的技术问题是针对现有技术的不足，提供一种事件触发式的MTD防护系统及方法。

本发明解决上述技术问题的技术方案如下：一种事件触发式的MTD防护系统，包括指纹探测包判定系统、指纹探测事件判定系统和特性值MTD修改系统；

所述指纹探测包判定系统，其用于接收并判断客户端发来的请求数据包是否为指纹探测包，如果是，则进一步判断所述指纹探测包的探测类型并调用指纹探测事件判定系统，否则直接返回响应数据包；

所述指纹探测事件判定系统，其用于判断所述指纹探测包所属的探测事件在相应探测类型的指纹探测事件集中是否已存在，如果存在，将所述指纹探测事件探测的特性值传递给特性值MTD修改系统，否则将该类型的探测事件定义为一条新增的探测事件，记录并存储在探测事件集中，将所述指纹探测事件探测的特性值传递给特性值MTD修改系统；

所述MTD修改系统，其用于将所述指纹探测包所要探测的特性值进行欺骗性修改，将修改后的特性值封装成响应数据包返回给指纹探测方。