[发明专利]基于动态变换虚假响应系统、方法及网络安全系统与方法

说明书

本发明提出一种基于动态变换虚假响应系统、方法及网络安全系统与方法，所述虚假响应系统包括虚假响应信息配置单元和虚假响应单元，虚假响应信息配置单元根据用户配置信息配置可动态变换的、至少包括虚假IP地址和虚假MAC地址的虚假响应信息，虚假响应单元基于虚假响应信息构造虚假响应数据包对可疑的扫描探测数据包进行虚假响应。本发明通过对攻击者的扫描探测行为进行虚假响应，且虚假响应可根据配置进行动态变换，从而使攻击者无法获得网络的拓扑结构，无法准确获得网络中主机的真实信息，从而有效防御了网络渗透攻击行为，维护了网络的安全稳定。

技术领域

本发明涉及网络安全领域，尤其涉及一种基于动态变换的虚假响应系统、虚假响应方法以及基于此的网络安全系统和网络安全防御方法。

背景技术

随着计算机网络和信息技术的迅猛发展，全球信息化进程不断加速，网络在当今社会中的作用越来越重要，成为了涵盖政府、商业、金融、通信等重要领域的国家战略资源。与此同时，网络安全威胁也是层出不穷，攻击者通过技术手段或社会工程学的方法进入网络系统，进行信息窃取，系统破坏，恶意欺骗等活动，不但影响了普通民众的工作生活，也成为了威胁经济、社会乃至国家安全的重大问题。

内网随着网络的发展而逐渐在政府、企业、高校等单位中广泛应用。由于内网的管理和维护较为方便，并且能有效提高企事业单位和员工的工作效率，因此，在上世纪90年代和本世纪初，内网在我国各个行业取得空前发展。内网的安全在实际网络环境中非常重要，但被大多数网络安全设备忽视。现有的方法普遍通过采集流量来检测攻击行为，但是异常流量往往在攻击行为之后产生，因而此类方法无法对攻击行为进行实时防御。另一种方法是在接入网络的主机上部署网络安全防御系统，虽然能够防御部分攻击行为，但依赖于操作系统且无法做到对用户透明。扫描探测通常是攻击者进行内网渗透攻击的首要步骤，攻击者可以利用扫描探测工具对本地网络进行探测，根据响应结果精确快速地确定当前网络中主机的存活状态、主机端口开放的状态、主机操作系统的类型和版本、可能存在的漏洞等信息等，为后续的网络攻击和长期控守奠定基础。因此，阻断内网渗透攻击可以将多数入侵行为扼杀在萌芽状态，从而达到防患于未然的效果，减少恶意攻击带来的损失。

申请号为200910085033.X的发明专利公开了一种检测端口扫描行为的方法和系统，包括：将受保护的各客户端的IP地址与其开放的端口号的对应关系写入配置文件中；监测受保护的各客户端被访问情况，维护各访问客户端对受保护的客户端的开放端口访问列表和未开放端口访问列表；根据各访问客户端对受保护的客户端的开放端口访问列表和未开放端口访问列表，分别计算各受保护客户端的开放端口以及未开放端口被各访问客户端平均访问过的个数；按照预置的扫描判断准则进行扫描判断。该方法对快速扫描行为具有较好的检测效果，但是对慢扫描行为检测效果较差。

申请号为201510018050.7的发明专利公开了一种基于多源报警日志的网络攻击场景生成方法，首先收集多种网络安全防护设备产生的报警日志，通过预处理提取有效报警日志数据；针对单个设备得到的报警日志，通过单源日志聚合与映射，屏蔽不同设备日志格式差异，分析提取攻击事件信息；对从不同源提取的攻击事件，进行融合分析，生成具有较高可信度的网络攻击事件；进而通过攻击事件关联分析，生成网络攻击场景图，分析出一次攻击行动的整个攻击过程。由于融合了多源日志，所以分析出的攻击事件信息可以更完整地刻画网络遭受的攻击。但是该方法没有考虑每一个报警源的可信度，此外如果攻击者仅仅是进行扫描探测而没有进行下一步的攻击活动，该方法会失效。

申请号为201220157554.9的发明专利公开了一种基于多可信级别的内网的监控系统，包括高带宽数据分析机构、层次式内容分析机构、网络资源访问机构、多层防信息泄密机构、病毒木马自动免疫模块、多重防非法接入模块；所述高宽带数据分析机构的数据线连接所述层次式内容分析和所述网络资源访问机构，所述多层防信息泄密机构、所述病毒木马自动免疫模块与所述多重防非法接入模块与所述网络资源访问机构连接。该系统在一定程度上能提供内网资源的合法性管理与行为审计，防止来源于内部的攻击和非授权访问行为，但是由于涉及模块较多，部署复杂，其实用性和通用性较差。