一种网络动态防御系统及方法与流程

本发明涉及网络安全技术领域，尤其涉及一种网络动态防御系统及方法。

背景技术：

现今，网络渗透到工作生活的方方面面，成为了不可或缺的第五维空间。但新型网络攻击层出不穷，网络安全形势日益严峻。漏洞是网络攻击的前提，由于网络安全漏洞的客观存在性，加之系统的静态性、相似性和确定性，使得网络安全问题无法通过挖漏洞、堵漏洞来彻底解决。防守方即使及时修补了大部分漏洞，攻击方只需利用少量漏洞就可对防守方造成不对称优势，形成了“易攻难守”的不对称局面。

由于以防火墙、入侵检测和安全审计等技术为代表的传统网络防御体系是静态、封闭和被动的，在应对形式多样的新型网络攻击时往往力不从心。自2008年1月美国发布的《国家综合网络安全倡议》起，移动目标防御（movingtargetdefense；mtd）引起了美国的高度重视，后来又发布了一系列与之相关的网络安全政策和方案。其中，美国国家科学技术委员会于2011年12月发布的《可信网络空间：联邦网络空间安全研发战略规划》确立移动目标防御为“改变游戏规则”的四个研发主题之一。美国国土安全部将mtd技术定义为改变游戏规则的新型网络安全技术，2016年美国第一个mtd技术的专利被颁发，之后国内外学者针对mtd技术开展了研究，移动目标防御技术已经成为网络空间安全研究的热点。

移动目标防御是指通过动态化、虚拟化和随机化方法，破除网络各要素的静态性、确定性和相似性，使信息系统各组成部分不断改变其形态特征以此来抵御攻击的技术。移动目标防御相关技术主要有：动态网络地址转换技术、网络地址空间随机化分配技术、端信息跳变防护技术以及基于覆盖网络的相关动态防护技术。

（1）动态网络地址转换技术

动态网络地址转换技术的核心思想是通过改变终端节点固定编址，提供相应的机制和方法不断改变终端节点标识。该技术可用于防御攻击者攻击个人终端主机，破坏中间人嗅探的效果，防范扫描攻击，阻碍攻击者的信息搜集工作。

但是，该技术虽然增加了攻击者的工作量，但无法阻止攻击者收集所需信息，攻击者可通过对流量进行分析来获取网络流的类型或通过对数据分组的数据载荷进行分析来收集相关信息。

（2）网络地址空间随机化分配技术

基于dhcp协议实现的网络地址空间随机化技术，其本质是ip地址跳变技术，能用于防范基于ip地址列表进行的蠕虫传播和攻击。

同时，该技术的局限性也十分明显，该技术只能减慢某些特定类型的攻击，并且需要依赖于其他积极防御手段才能发挥整体功能，针对攻击者通过其他类别协议（即除了dhcp协议之外的协议）到达主机的情形无法进行防御。

（3）基于同步的端信息跳变防护技术

基于同步的端信息跳变防护技术是指在端到端的数据传输中，通信双方伪随机地改变端口、地址和时隙等端信息，使攻击者的攻击无效，从而实现主动网络防护。该技术具有很强的抗攻击性和抗截获性，能够有效抵御ddos攻击和截获攻击。

但是，该技术的同步和全局协调非常复杂，对通信双方合作的默契度要求较高，对用户不透明，在实际部署中难度较大。

（4）覆盖网络防护技术

基于覆盖网络的安全防护技术的核心思想是在应用层构建一种动态生成的网络，这种可信网络能改变内容分发路径、重新配置节点，并对链路或节点的动态变化及时做出响应，是一种应用级的动态网络应用模式。

但是，该技术严重依赖于基础网络的健壮性和稳定性，并且依赖于完善的检测机制，防护能力有限。一旦攻击者到达某台主机后，相关技术便无法再提供任何保护。

技术实现要素：

针对现有防御技术中存在的不足，通过借鉴移动目标防御的思想，本发明提供一种网络动态防御系统及方法，该系统及方法能够实现防御系统的动态跳变，识别并隔断攻击行为，内生系统免疫能力从而有效应对网络攻击。

一方面，本发明提供一种网络动态防御系统，该系统包括：路由分配子系统、靶标子系统和主动防御子系统；

所述路由分配子系统包括路由器、客户机和服务器；所述路由器预连接存有会话知识库和身份知识库的外存模块；所述路由器、客户机和所述服务器基于所述会话知识库进行网络节点间认证；所述路由器，用于检测来自客户机的用户的合法性，将通过检测的合法用户转至所述服务器，将未通过检测的可疑用户转至靶标子系统；

所述靶标子系统，用于记录可疑用户的攻击行为，对可疑用户进行基于所述身份知识库的二次身份甄别，将通过二次身份甄别的可疑用户重新转至所述路由分配子系统，将未通过二次身份甄别的可疑用户转至主动防御子系统；

所述主动防御子系统，用于根据预设的攻击模式库对可疑用户的异常行为提取攻击特征，实时更新攻击模式库，以及根据安全等级标签管理策略对网络动态防御系统的内部文件进行备份和/或恢复。进一步地，所述路由器上存储有一五维数组，所述五维数组的前两维数组用于表示网域空间大小，所述五维数组的后三维数组分别用于表示网域空间内每个网络节点的身份标识、ip合法跳变范围和每跳ip的有效生存期。

进一步地，所述会话知识库和身份知识库通过基于挑战应答的随机数变化策略及多种网络标识规定，并采用国产密码算法sm3进行加密。

进一步地，所述攻击模式库包括行为知识库和统一特征库；所述行为知识库，用于存储已知的攻击行为，所述统一特征库，用于存储严重违反安全策略的攻击特征。

另一方面，本发明提供一种网路动态防御方法，该方法包括：

步骤1、路由器分配子系统在用户数据的数据帧中插入特征标识，并对插入特征标识后的用户数据进行基于特征帧的合法性检测；

步骤2、当路由器分配子系统检测到不符合会话知识库变化规则的可疑用户数据时，路由分配子系统将与所述可疑用户数据对应的可疑用户引入靶标子系统的蜜罐中，靶标子系统对所述可疑用户进行基于身份知识库的二次身份甄别；

步骤3、若所述可疑用户通过二次身份甄别，靶标子系统为所述可疑用户重新分发身份认证协议，并将所述可疑用户转至路由器分配子系统；

步骤4、路由器分配子系统对靶标子系统转发的所述可疑用户进行基于图形填充行为的图灵测试，并在通过所述图灵测试的所述可疑用户的浏览器cookie中加入身份认证证书；

步骤5、若所述可疑用户未通过二次身份甄别，靶标子系统将所述可疑用户在蜜罐中的异常行为发送至主动防御子系统，主动防御子系统基于攻击模式库对所述异常行为进行分析，提取攻击特征。

进一步地，所述步骤2中的所述靶标子系统对所述可疑用户进行基于身份知识库的二次身份甄别具体为：

若所述可疑用户在蜜罐中能够发现用于授权的隐蔽端口，且连续三次无误地完成基于身份知识库的特征询问，则所述可疑用户通过二次身份甄别。

进一步地，所述步骤5中的所述主动防御子系统对所述异常行为进行分析具体为：

当检测到所述异常行为满足至少一个一级攻击条件时，将所述异常行为与预设安全模式对比，进行模式匹配，所述一级攻击条件是根据攻击模式库中的已知攻击行为生成的，所述预设安全模式为由已知的安全行为编码而成的、与安全审计记录相符合的安全模式；

若未匹配成功，则所述异常行为为二级攻击，并将所述异常行为与已知的入侵行为特征相结合，形成二级攻击库；

将所述异常行为与攻击模式库中存储的严重违反安全策略的攻击特征进行匹配，若匹配成功，则将所述异常行为升级为三级攻击。

进一步地，该方法还包括：主动防御子系统根据网络动态防御系统的内部文件的文件等级、创建时间和使用频率，将不同的内部文件加上不同的安全等级标签得到安全等级标签管理策略，根据所述安全等级标签管理策略对内部文件进行冗余备份；

主动防御子系统若检测到违规管理行为毁坏重要数据，制止与所述违规管理行为对应的管理用户的相关操作，并根据所述重要数据的损坏程度，对路由分配子系统中相应的服务器进行数据恢复。

本发明的有益效果：

（1）构建了一个全周期闭环防御系统。通过路由分配子系统、靶标子系统和主动防御子系统的协同防御，实现了防御系统的动态变化、用户身份的识别、用户数据的过滤与检测、网络攻击行为的隔离以及系统重要数据的备份与恢复。

（2）建立了一个软硬件结合强安全机制。通过软硬件结合的方式实现用户身份认证、路由器地址跳变信息的加密存储保护以及对系统重要数据的恢复和响应。

（3）设计了一个基于连通图的网络动态跳变模型。防御系统基于连通图而非路由表的数据结构定义网络拓扑，通过国产密码算法的多重轮循实现网络状态的动态变化，使攻击者展开网络嗅探时的空间复杂度激增，难以对真实目标进行有效探测。

（4）采用了基于异常行为而非先验知识的检测算法。通过异常行为实现事件关联，降低了网络安全设备的误报率和漏报率，降低了对真实隐匿攻击的识别难度。

附图说明

图1为本发明实施例提供的网络动态防御系统的功能框图；

图2为本发明实施例提供的网络动态防御方法的流程示意图；

图3为本发明实施例提供的网络动态防御系统的网络拓扑示意图；

图4为本发明实施提供的nessus扫描探测显示ip地址动态跳变图。

具体实施方式

为使本发明的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

流沙是一种自然现象，简单地说就是沙像液体一样可以流动，即流动的沙。流沙的外表与普通沙质无异，但是，一旦有重物置于沙体之上，就会被流沙强大的吸附力吞没，难以逃脱。

本发明所称网络动态防御系统，正是参考自然界中流沙的运行方式进行设计，以下简称流沙动态防御系统。流沙动态防御系统通过配置专用路由器和相应辅助系统，实现在用户与服务器之间建立动态变化的防护层。这个防护层能有效防范网络攻击，保护防护层内的目标服务器。

图1为本发明实施例提供的网络动态防御系统的功能框图。如图1所示，该系统包括：路由分配子系统、靶标子系统和主动防御子系统；

所述路由分配子系统包括路由器、客户机和服务器；所述路由器预连接存有会话知识库和身份知识库的外存模块；所述路由器、客户机和所述服务器基于所述会话知识库进行网络节点间认证；所述路由器，用于检测来自客户机的用户的合法性，将通过检测的合法用户转至所述服务器，将未通过检测的可疑用户转至靶标子系统；

所述靶标子系统，用于记录可疑用户的攻击行为，对可疑用户进行基于所述身份知识库的二次身份甄别，将通过二次身份甄别的可疑用户重新转至所述路由分配子系统，将未通过二次身份甄别的可疑用户转至主动防御子系统；

所述主动防御子系统，用于根据预设的攻击模式库对可疑用户的异常行为提取攻击特征，实时更新攻击模式库，以及根据安全等级标签管理策略对网络动态防御系统的内部文件进行备份和/或恢复。

具体地，外存模块可以是支持写保护的sd卡和相应的usb读卡器。本发明实施例中的路由器与现有技术中的传统路由器的不同之处在于，本发明实施例中的路由器预连接有外存模块，即在传统路由器的基础上，通过传统路由器上冗余的异步串行口usart搭建外存模块，该外存模块预先存储有会话知识库和身份知识库。所述会话知识库用于形成路由器、客户机和服务器之间的网络认证协议。所述身份知识库则是用于靶标子系统对可疑用户进行二次身份甄别。

下面具体介绍路由分配子系统内部组成部分之间的通信流程。为了区分传统路由器与本发明中的路由器，以下称本发明中的路由器为绿洲路由器。

路由分配子系统的软件部分由路由器版“绿洲”网络认证协议、pc机版“绿洲”网络认证协议、服务器版“绿洲”网络认证协议、“绿洲”知识库和基于openwrt开发环境的绿洲操作系统组成。

三个版本的网络认证协议的区别主要在于对各自物理部分的标识序列号不同，其作用都是完成连接设备相互间网络动态变化的完整、可信和可用。网络认证协议的运行过程下面会具体介绍。

上述三个版本的网络认证协议主要依赖于会话知识库实现。绿洲知识库共包括五套知识库，防御系统基于所述5套知识库对数据帧进行特征标识以实现数据的可追踪，实现在物理链路层上的ip过滤功能，以及完成对有效网络变化的协商和规范。五套知识库里有四套在功能上是等效的，是绿洲路由器相互协商的唯一标准，称为“会话知识库”；另外一套知识库主要由靶标子系统负责实现对用户身份的二次甄别，称为“身份知识库”。

（1）绿洲路由器间建立合法通信的流程（括号内部表示通信失败的流程）。

步骤1.1、路由器1在物理层检测到路由器2，根据会话知识库发出连接口令，并等待路由器2给予正确回令；

步骤1.2、路由器2收到路由器1的连接口令。查询会话知识库后，依据口令中暗示的通信策略给予口令；

步骤1.3、路由器1收到路由器2的回令。若路由器1基于会话知识库判定回令为正确回令，则根据回令中的相关信息发出基于sm2国产密码的口令信息，并等待路由器2解密该口令信息；（若路由器1基于会话知识库中的知识库a判定回令存在问题，则换用会话知识库中的知识库b第二次与路由器2进行通讯判定。）

步骤1.4、路由器2收到路由器1的加密口令。根据会话知识库和sm2国产密码算法将解密出的信息作为标识id，供路由器2解析转接服务；（路由器2收到路由器1第2次的连接口令，查询知识库策略给予回令。）

步骤1.5、路由器1和路由器2通信成功；（路由器2基于知识库b判定路由器1的回令仍存在问题，则将路由器2交予靶标子系统。）

（2）绿洲路由器与客户机建立合法通信的流程（括号内部表示通信失败的流程）。

步骤2.1、路由器询问客户机是否安装tcp/ip协议；

步骤2.2、客户机向路由器给予回应；

步骤2.3、路由器询问客户机是否安装绿洲协议；

步骤2.4、客户机向路由器给予回应；

步骤2.5、路由器根据知识库向客户机发出连接口令，并等待客户机给予正确回令；

步骤2.6、客户机根据接收到的连接口令，按照知识库对口令的解析，生成相应回令；（客户机收到路由器的连接口令，未能给予正确口令；）

步骤2.7、路由器收到客户机的正确回令，根据知识库和sm2国产密码算法生成加密口令；（路由器收到客户机的错误口令，根据知识库发出第2次连接口令并等待客户机给予正确口令；）

步骤2.8、客户机根据sm2算法，将解密出的口令作为用户的标识id，供路由器url转接服务使用；（客户机收到路由器的第2次的连接口令，依旧未能给予正确回令；）

步骤2.9、路由器与客户机通信成功；（路由器将客户机直连至靶标子系统。）

（3）绿洲路由器与服务器建立连接关系。

服务器在网络中将被特殊标识，使得服务器在物理上仅与绿洲路由器相连。绿洲路由器在完成对服务器的特殊标识（对服务器赋予身份id）后，通过知识库中基于sm2国产密码算法的加密定义，使路由器之间能够通过动态变化的特殊字符串完成路由器对服务器的搜索与连接。

整个过程对访问用户而言是不可揣测的，也就是说用户只能把访问以url的方式将访问请求交付给绿洲路由器，绿洲路由器再进行相应的解析与连接。

（4）客户机访问服务器的通信流程（括号内为访问失败的流程）。

步骤4.1、用户通过客户机第一次使用浏览器向绿洲路由器发送访问请求；

步骤4.2、绿洲路由器向用户发起图灵测试；

步骤4.3、用户通过图灵测试；（用户未能通过图灵测试；）

步骤4.4、绿洲路由器向浏览器cookie中添加动态权限信息；（绿洲服务器将客户机交予靶标子系统，访问失败。）

步骤4.5、客户机依照动态url的生成规则（即用户id+传统域名+sm2加密标识），将所有的访问转化为url形式，并发送至绿洲路由器；

步骤4.6、绿洲路由器解析出url中涉及的服务器，并交付下一跳节点；

步骤4.7、下一节点绿洲服务器根据解析的信息逐层建立与服务器的连接，访问成功。

靶标子系统为在物理设备（计算机集群）上采用虚拟化技术（容器）形成虚拟机，并对虚拟机操作系统（ubuntu麒麟操作系统）进行二次开发而成，通过虚拟化技术可提高计算机集群的工作效率和性能表现。靶标子系统内部构建有蜜罐系统。计算机集群可采用通用计算机，配置灵活多样、易于升级换代，并且在维护更新过程中对整个系统影响较小。为了方便与下面将提及的主动防御子系统所用的计算机集群进行区分，将靶标子系统对应的计算机集群称为暗河计算机集群，将主动防御子系统对应的计算机集群称为沙丘计算机集群。

下面介绍靶标子系统的具体运行过程。

（1）当绿洲路由器中没有发现可疑用户时，暗河计算机集群处于休眠状态，靶标子系统未激活，绿洲路由器对网络数据进行基于特征帧的合法性检测。

（2）当绿洲路由器检测到非法行为时，暗河计算机集群解除休眠，进入工作模式，靶标子系统随之激活，将非法行为引至蜜罐，为非法行为提供活动空间。

（3）同时，靶标子系统对非法行为进行二次身份甄别，为甄别出的正常用户重新分发绿洲身份认证协议，并将相关用户交付绿洲路由器。绿洲路由器会对新用户进行基于用户行为的图灵测试，并在通过测试的用户浏览器cookie中加入身份认证证书。

（4）可疑行为被隔离到靶标子系统后，若未通过靶标子系统对其的身份甄别，靶标子系统与主动防御子系统协调沟通，共同完成对可疑行为的深度分析与主动防御。在此过程中，主动防御子系统负责为靶标子系统中动态蜜罐的变化行为提供方案。

主动防御子系统运行在沙丘计算机集群中，物理上只与靶标子系统形成连接关系，逻辑上与路由分配子系统形成网络飞地。沙丘计算机集群采用支持并行处理的异构计算机集群，软件上允许集群中的计算机同时使用windows和linux操作系统。本发明中使用三级攻击特征库结构搭建主动防御子系统的攻击模式库。该主动防御子系统可对攻击行为进行归纳与学习，及时更新和维护攻击模式库和安全活动轮廓，以及承担系统备份和重要数据恢复任务。

下面介绍主动防御子系统的具体运行过程。

容纳在暗河计算机集群的非法行为一旦被靶标子系统定性，主动防御子系统便依据安全活动轮廓检测到的攻击特征及时变化暗河计算机集群中的动态蜜罐。安全活动轮廓是主动防御子系统中提供统一威胁管理的安全策略，其具体过程如下：

（1）主动防御子系统中的utm（统一威胁管理）

主动防御子系统可在沙丘计算机集群中构建集中管理与数据分析中心统一形成安全策略，该集成管理与数据分析中心包括：管理员管理模块、接入用户管理模块、安全标记管理模块、统一威胁管理模块、标记绑定管理模块、数据备份管理模块及数据恢复管理模块。通过内部的行为知识库和统一特征库构建网络行为攻击模式库，并且进行相应的行为分析和模式识别。

在逻辑上，集中管理与数据分析中心与靶标子系统中的蜜罐形成主奴机制，由集中管理与数据分析中心负责调配蜜罐的动态变化。

（2）主动防御子系统中攻击模式库的运行机制

传统的异常检测难以对整个系统内的所有用户行为进行全面描述，而且每个用户的行为时常有变动的可能，导致建立正常行为特征困难，所以传统的异常检测存在的主要缺陷是误报率较高，特别是在用户数多、工作目的经常改变的环境中。此外，传统的异常检测在通过比较用户行为的长期行为特征和短期行为特征测出用户行为的异常后，只能模糊地报告异常行为的存在，不能精确报告异常行为的攻击类型和/或方式，不方便有效阻止攻击。再者，异常检测的过程通常也是学习的过程，这个过程有可能被入侵者利用。

主动防御子系统针对上述传统入侵检测技术的弊端，创造性地提出结合行为知识库和统一特征库的攻击模式库。本发明采用三级攻击特征库的结构来表述攻击模式库。

绿洲路由器负责收集、分析网段内的数据包，检测主机间网络连接、流量，以及服务访问情况的安全状态等，将分析的异常事件发至主动防御子系统的集中管理与数据分析中心。集中管理与数据分析中心将行为知识库中有关入侵的行为，如端口扫描、常驻内存、释放木马、非法夺权和非法改变路径等标志行为转化成if-then结构的规则，构成一级入侵条件，也称为一级攻击。

当检测到某异常行为满足某个或多个一级攻击条件时，主动防御子系统就判定有可疑入侵行为。集中管理与数据分析中心将该可疑入侵行为与安全模式（由已知的安全行为编码而成的、与安全审计记录相符合的模式）进行模式匹配，未匹配成功的用户行为将被认定为二级攻击，同时主动防御子系统会结合一些已知的入侵行为特征归纳总结二级攻击，形成便于快速识别攻击的二级攻击库。之后，集中管理与数据分析中心将该可疑入侵行为与统一特征库（存储有严重违反安全策略的攻击特征）匹配，匹配成功的攻击行为将被认定为三级攻击，三级攻击大部分是系统自主发现的新型攻击；未匹配成功的，仍被认定为是二级攻击。

（3）系统备份与灾难恢复

由于导致数据灾难的原因多种多样，对数据的威胁通常比较难于防范，这些威胁一旦变为现实，不仅会损坏数据，也会毁坏访问数据的系统。所以主动防御子系统会构建管理行为分析引擎，依据文件的等级、创建的时间和使用的频率把重要数据文件加上安全等级标签，利用沙丘计算机集群结合安全等级标签管理策略对其进行系统的冗余备份。

一旦管理行为分析引擎检测到违规管理行为毁坏重要数据，主动防御子系统便会制止该管理用户的相关操作，并根据重要数据的损坏程度，通过暗河计算机集群连接绿洲路由器的重要服务器进行灾难恢复。

由上述实施例可知：首先，路由分配子系统通过采用现有的随机路由跳变策略作为跳变路由生成机制，产生丰富的网络跳变，进而实现隐蔽真实应用服务器ip地址，同时为访问者提供网络应用服务。由于绿洲路由器的代理服务功能是动态可变的，其能够根据主动防御子系统的控制策略，在代理池中随机选择代理服务器为用户提供服务，进而确保真正服务器能够高效率地提供服务，并不受威胁，一方面不能被黑客攻击，另一方面不能被黑客探测和扫描。无论是正常访问者，还是攻击者都无法获取真实服务器的ip，从而实现隐匿真实服务器的效果。

其次，靶标子系统（1）为整个防御系统提供容纳攻击和可疑行为的“动态蜜罐”，使攻击行为成为受控的靶标。靶标子系统能根据主动防御子系统对异常行为的学习和分析，动态改变内部参数，使攻击者难以发现真实目标，进而实现了对网络目标的保护，消耗的系统资源相对较低，安全效果更好。（在传统蜜罐系统中，蜜罐主机在逻辑上与真实主机等价。这种行为依靠的是通过冗余被动降低主机受攻击概率的静态过程，该过程很容易被攻击者识别和发现。另外，真实主机被攻击的概率仍然很高，主要通过提高蜜罐数量被动降低受攻击概率，消耗的代价非常大。）（2）靶标子系统中的防守方在整个过程中占据支配资源的有利地位，攻守双方构成了“易守难攻”的攻守格局。由于异常行为已经被路由分配子系统隔离到了靶标子系统中，攻击者展开的各种行为均与真实的内部通信网络无关。但是因为靶标子系统构建了与真实内部网络环境高度仿真的若干动态蜜罐，所以攻击者难以察觉自身已处于受控状态。这样就使真实内部网络遭到有效攻击的概率大大降低，进而保障系统安全。（3）靶标子系统通过基于“身份知识库”的二次甄别方案，在保证减小对正常目标误判的同时，筛选出大多数非法用户，也可以对借此对网络行为进行随机检验。这种方式极大提高了整个动态防御系统的安全性，也是发现未知攻击行为的关键。（4）靶标子系统在硬件上采用通用计算机，配置灵活、扩展方便、兼容性和可维护性都很强。软件上采用虚拟化技术，极大地提高了计算机集群的工作效率和使用性能。且使用ubuntu麒麟操作系统，软件资源丰富、兼容性强、有利于二次开发和系统升级，其操作系统的开源性极大地保障了整个动态防御系统的安全性。

最后，主动防御子系统是“流沙”动态防御系统中唯一一个具备主动学习功能的模块，是构成完整pdrr（protection-防护-detection-检测—response-反应-recovery-恢复）动态安全理论体系的关键。其特有的学习型三级攻击特征库安全模型机制，为系统防范未知攻击与apt攻击提供了有效的应对方式，能够有效提高系统察觉隐蔽攻击的概率，通过基于知识的学习、归纳实现创建用户的正常行为特征库。并且，主动防御子系统改善了动态蜜罐管理复杂的状况，使蜜罐的动态变化更高效地贴近实际要求，极大地降低了真实目标被发现、被捕捉和被攻击的概率。

在上述实施例的基础上，所述路由器上存储有一五维数组，所述五维数组的前两维数组用于表示网域空间大小，所述五维数组的后三维数组分别用于表示网域空间内每个网络节点的身份标识、ip合法跳变范围和每跳ip的有效生存期。

具体地，绿洲路由器使用五维数组用来标识网络路径，在数据结构上意味着一种有向连通图，这是整个动态防御系统的网络体系有效抵御攻击方嗅探攻击的第一道防线。通过采用五维数组结构所表述的连通图而非路由表的数据结构来分配网络拓扑，使得真实的网络链路具有极强的时效性和动态性。（如果仍采用路由表的数据结构，此时网络的跳变及拓扑结构的保密就很难实现。）如此，攻击者在有效时间内遍历网络结构的成本承几何倍率提高，造成窥探者在嗅探过程中的面临空间复杂度激增的困难，大量提高了入侵成本。

在上述实施例的基础上，所述会话知识库和身份知识库通过基于挑战应答的随机数变化策略及多种网络标识规定，并采用国产密码算法sm3进行加密。

在上述实施例的基础上，所述攻击模式库包括行为知识库和统一特征库；所述行为知识库，用于存储已知的攻击行为，所述统一特征库，用于存储严重违反安全策略的攻击特征。

图2为本发明实施例提供的网络动态防御方法的流程示意图。如图2所示，该方法包括：

s201、路由器分配子系统在用户数据的数据帧中插入特征标识，并对插入特征标识后的用户数据进行基于特征帧的合法性检测；

s202、当路由器分配子系统检测到不符合会话知识库变化规则的可疑用户数据时，路由分配子系统将与所述可疑用户数据对应的可疑用户引入靶标子系统的蜜罐中，靶标子系统对所述可疑用户进行基于身份知识库的二次身份甄别；

s203、若所述可疑用户通过二次身份甄别，靶标子系统为所述可疑用户重新分发身份认证协议，并将所述可疑用户转至路由器分配子系统；

s204、路由器分配子系统对靶标子系统转发的所述可疑用户进行基于图形填充行为的图灵测试，并在通过所述图灵测试的所述可疑用户的浏览器cookie中加入身份认证证书；

s205、若所述可疑用户未通过二次身份甄别，靶标子系统将所述可疑用户在蜜罐中的异常行为发送至主动防御子系统，主动防御子系统基于攻击模式库对所述异常行为进行分析，提取攻击特行。

由上述可知，本发明提供的网络动态防御方法，（1）构建了一个全周期闭环防御系统。通过路由分配子系统、靶标子系统和主动防御子系统的协同防御，实现了防御系统的动态变化、用户身份的识别、用户数据的过滤与检测、网络攻击行为的隔离以及系统重要数据的备份与恢复。

（2）建立了一个软硬件结合强安全机制。通过软硬件结合的方式实现用户身份认证、路由器地址跳变信息的加密存储保护以及对系统重要数据的恢复和响应。

（3）设计了一个基于连通图的网络动态跳变模型。防御系统基于连通图而非路由表的数据结构定义网络拓扑，通过国产密码算法的多重轮循实现网络状态的动态变化，使攻击者展开网络嗅探时的空间复杂度激增，难以对真实目标进行有效探测。

（4）采用了基于异常行为而非先验知识的检测算法。通过异常行为实现事件关联，降低了网络安全设备的误报率和漏报率，降低了对真实隐匿攻击的识别难度。

在上述实施例的基础上，所述s202中的所述靶标子系统对所述可疑用户进行基于身份知识库的二次身份甄别具体为：

若所述可疑用户在蜜罐中能够发现用于授权的隐蔽端口，且连续三次无误地完成基于身份知识库的特征询问，则所述可疑用户通过二次身份甄别。

在上述各实施例的基础上，所述s205中的所述主动防御子系统对所述异常行为进行分析具体为：

当检测到所述异常行为满足至少一个一级攻击条件时，将所述异常行为与预设安全模式对比，进行模式匹配，所述一级攻击条件是根据攻击模式库中的已知攻击行为生成的，所述预设安全模式为由已知的安全行为编码而成的、与安全审计记录相符合的安全模式；

若未匹配成功，则所述异常行为为二级攻击，并将所述异常行为与已知的入侵行为特征相结合，形成二级攻击库；

将所述异常行为与攻击模式库中存储的严重违反安全策略的攻击特征进行匹配，若匹配成功，则将所述异常行为升级为三级攻击。

在上述各实施例的基础上，该方法还包括：主动防御子系统根据网络动态防御系统的内部文件的文件等级、创建时间和使用频率，将不同的内部文件加上不同的安全等级标签得到安全等级标签管理策略，根据所述安全等级标签管理策略对内部文件进行冗余备份；

主动防御子系统若检测到违规管理行为毁坏重要数据，制止与所述违规管理行为对应的管理用户的相关操作，并根据所述重要数据的损坏程度，对路由分配子系统中相应的服务器进行数据恢复。

具体地，文件等级是文件的一个属性，由管理员提前设定。不同身份用户拥有不同的访问权限，可设置高权限用户可访问文件，低权限用户不能访问文件。

本发明提供的网络动态防御方法采用基于时间、行为和对象等多重混合策略改变网络结构，使攻击方难以窥探出真实的网络拓扑。通过绿洲路由器构造出的大量冗余通路，将真实的网络信息混淆或分散在庞大的信息通道里，并进行特征藏匿，使攻击方对网络目标难以进行有效提取和正确分析。

并且，在数据链路层就在网络数据的帧结构中插入特殊标识，进而实现在底层抵御ip欺骗和数据包伪造。如此，使非法用户在网络中难以藏匿，非法行为暴露无遗。本发明中这种实时的检测手段，能够实现对抵御存在不符合标识数据帧变化规律的可疑用户进行管理和控制，将其引入一个有进无出的靶标子系统，从而使防御方占据分配空间和资源的主动地位。

用户展开的行为一旦被系统评估为逾越安全关系的事件关联（eventcorrelation），相关系统便会立即对网域内的用户操作连接进行隔离和管控。此时，容纳用户的靶标子系统会根据用户行为的违规程度通过主动防御子系统对网域内的用户进行管理控制。

下面通过实验对本发明提供的网络动态系统及方法进行渗透测试。

一、系统实现

openwrt是基于linux的智能路由器操作系统，用户可通过自定义安装应用软件和功能插件来管理路由器。在本发明提供的动态防御方案基础上，对openwrt智能路由器操作系统进行二次开发。

在本系统的硬件实现上，首先，将som9331开发板配置为支持动态跳变的4端口路由器。som9331单片机是深圳欧比特推出的一款小型工业控制器，用户可根据按照自己的需求二次开发成路由器。本步骤中使用的som9331开发板由som9331单片机核心板和底板共同构成。底板为根据som9331单片机核心板接口扩展出来的路由器功能，包括usbhost接口模块、lan口模块、microusb接口模块、复位按键和用于指示开关状态的led，其中microusb接口既是供电接口，又是串口调试接口，通过板载的siliconlabsusb-to-uart芯片进行实现。

然后，设计som9331扩展板。即增加外存模块以及该外存模块的写保护模块。该外存模块用于存储知识库。

最后，结合视频服务器、蜜罐服务器、攻击主机和合法用户主机实现动态防御原型系统—流沙动态防御系统。

在本系统的软件实现上，动态防御系统的系统软件分为基于openwrt开发环境的操作系统，基于容器虚拟化技术的ubuntukylin和容纳windows操作系统和linux操作系统的分布式异构计算机管理软件gambit2.4.6。

动态网络防御系统的目的是保护合法用户正常访问视频服务器，防止攻击方对防御系统的探测扫描和攻击。

原型系统基于b/s模式。用户通过浏览器访问系统时，首先经过图灵测试和身份认证，系统强制网页转换到门户网页，用户手动选择服务（视频服务）。路由器具备域名解析功能（ddns），存储着视频服务器的mac地址和物理端口，通过路由选择算法（例如随机路径选择算法）实现用户数据包与视频服务器的交互，从而完成视频服务。若攻击者在外部进行渗透测试，则会触发入侵检测系统警报；若攻击者在内部进行渗透测试，没有采用有效生存周期内的ip地址，则判定为可疑行为，拒绝其扫描探测，同时将该类数据包引入到蜜罐。原型系统的网络拓扑如图3所示。

原型系统所用的硬件、软件及其数量和主要功能如表1所示。

表1软硬件表

二、测试实验

metasploit是一款开源免费软件，它集成了安全漏洞扫描器如nessus、nexpose、openvas和wmap等，可用于执行渗透测试。实验中，攻击方电脑采用metasploit中的nessus插件。

渗透测试实验结果如图4所示。由图4可知ip地址是动态变化的，验证了防御系统的动态性。

本发明提供的网络动态防御系统及方法是对网络主动防御的一种研究和探索，总之，所述动态防御系统基于移动目标防御思想，采用了多重安全增强机制，具有安全性高、可用性强等特点，能够有效增强系统防御能力，应对网络攻击，其研究思路和方法对于网络主动防御研究具有一定的借鉴意义。

最后应说明的是：以上实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。