基于动态变换虚假响应系统、方法及网络安全系统与方法
【技术领域】
[0001]本发明涉及网络安全领域,尤其涉及一种基于动态变换的虚假响应系统、虚假响应方法以及基于此的网络安全系统和网络安全防御方法。
【背景技术】
[0002]随着计算机网络和信息技术的迅猛发展,全球信息化进程不断加速,网络在当今社会中的作用越来越重要,成为了涵盖政府、商业、金融、通信等重要领域的国家战略资源。与此同时,网络安全威胁也是层出不穷,攻击者通过技术手段或社会工程学的方法进入网络系统,进行信息窃取,系统破坏,恶意欺骗等活动,不但影响了普通民众的工作生活,也成为了威胁经济、社会乃至国家安全的重大问题。
[0003]内网随着网络的发展而逐渐在政府、企业、高校等单位中广泛应用。由于内网的管理和维护较为方便,并且能有效提高企事业单位和员工的工作效率,因此,在上世纪90年代和本世纪初,内网在我国各个行业取得空前发展。内网的安全在实际网络环境中非常重要,但被大多数网络安全设备忽视。现有的方法普遍通过采集流量来检测攻击行为,但是异常流量往往在攻击行为之后产生,因而此类方法无法对攻击行为进行实时防御。另一种方法是在接入网络的主机上部署网络安全防御系统,虽然能够防御部分攻击行为,但依赖于操作系统且无法做到对用户透明。扫描探测通常是攻击者进行内网渗透攻击的首要步骤,攻击者可以利用扫描探测工具对本地网络进行探测,根据响应结果精确快速地确定当前网络中主机的存活状态、主机端口开放的状态、主机操作系统的类型和版本、可能存在的漏洞等信息等,为后续的网络攻击和长期控守奠定基础。因此,阻断内网渗透攻击可以将多数入侵行为扼杀在萌芽状态,从而达到防患于未然的效果,减少恶意攻击带来的损失。
[0004]申请号为200910085033.X的发明专利公开了一种检测端口扫描行为的方法和系统,包括:将受保护的各客户端的IP地址与其开放的端口号的对应关系写入配置文件中;监测受保护的各客户端被访问情况,维护各访问客户端对受保护的客户端的开放端口访问列表和未开放端口访问列表;根据各访问客户端对受保护的客户端的开放端口访问列表和未开放端口访问列表,分别计算各受保护客户端的开放端口以及未开放端口被各访问客户端平均访问过的个数;按照预置的扫描判断准则进行扫描判断。该方法对快速扫描行为具有较好的检测效果,但是对慢扫描行为检测效果较差。
[0005]申请号为201510018050.7的发明专利公开了一种基于多源报警日志的网络攻击场景生成方法,首先收集多种网络安全防护设备产生的报警日志,通过预处理提取有效报警日志数据;针对单个设备得到的报警日志,通过单源日志聚合与映射,屏蔽不同设备日志格式差异,分析提取攻击事件信息;对从不同源提取的攻击事件,进行融合分析,生成具有较高可信度的网络攻击事件;进而通过攻击事件关联分析,生成网络攻击场景图,分析出一次攻击行动的整个攻击过程。由于融合了多源日志,所以分析出的攻击事件信息可以更完整地刻画网络遭受的攻击。但是该方法没有考虑每一个报警源的可信度,此外如果攻击者仅仅是进行扫描探测而没有进行下一步的攻击活动,该方法会失效。
[0006]申请号为201220157554.9的发明专利公开了一种基于多可信级别的内网的监控系统,包括高带宽数据分析机构、层次式内容分析机构、网络资源访问机构、多层防信息泄密机构、病毒木马自动免疫模块、多重防非法接入模块;所述高宽带数据分析机构的数据线连接所述层次式内容分析和所述网络资源访问机构,所述多层防信息泄密机构、所述病毒木马自动免疫模块与所述多重防非法接入模块与所述网络资源访问机构连接。该系统在一定程度上能提供内网资源的合法性管理与行为审计,防止来源于内部的攻击和非授权访问行为,但是由于涉及模块较多,部署复杂,其实用性和通用性较差。
[0007]总的来说,现有的网络渗透攻击检测方法无法在实际应用中获得较好的效果,其根本原因在于,攻击者利用扫描探测工具对目标网络进行扫描,得到的响应信息往往是真实的、确定的。攻击者可以通过多次扫描来分析网络架构、主机系统并找出其中的漏洞,最终逐步渗透并控制网络,达到攻击目的。
【发明内容】
[0008]为了有效防御网络渗透攻击行为,本发明另辟蹊径,提出一种基于动态变换的虚假响应系统及虚假响应方法,并提出基于动态变换虚假响应的网络安全系统和方法。其基本技术思想是:通过对攻击者的扫描探测行为进行虚假响应,且虚假响应可根据配置进行动态变换,从而使攻击者无法获得网络的拓扑结构,无法准确获得网络中主机的真实信息,从而有效防御了网络渗透攻击行为,维护了网络的安全稳定。
[0009]本发明解决上述技术问题所采取的技术方案如下:
一种基于动态变换的虚假响应系统,包括:虚假响应信息配置单元和虚假响应单元,所述虚假响应信息配置单元连接于所述虚假响应单元,所述虚假响应信息配置单元根据用户配置信息配置可动态变换的虚假响应信息,所述虚假响应信息至少包括虚假的IP地址和虚假的MAC地址,所述虚假响应单元基于所述虚假响应信息对发送至虚假响应单元的请求数据包构造虚假响应数据包。
[0010]进一步的根据本发明所述的虚假响应系统,其中所述虚假响应信息包括虚假IP地址、虚假IP地址所对应的虚假MAC地址和虚假IP地址所对应的虚假端口,所述请求数据包包括ARP请求数据包、ICMP请求数据包、TCP SYN请求数据包中的至少一种;对于ARP请求数据包,所述虚假响应单元提取ARP请求数据包中的目标IP地址,并根据包含有该目标IP地址的虚假响应信息构造ARP虚假响应数据包;对于ICMP请求数据包,所述虚假响应单元提取ICMP请求数据包中的目标IP地址,并根据包含有该目标IP地址的虚假响应信息构造ICMP虚假响应数据包;对于TCP SYN请求数据包,所述虚假响应单元提取TCP SYN请求数据包中的目标IP地址和目标端口,并根据包含有该目标IP地址和目标端口的虚假响应信息构造TCP SYN+ACK虚假响应数据包。
[0011]进一步的根据本发明所述的虚假响应系统,其中所述虚假响应信息配置单元包括虚假响应信息存储单元12、虚假响应信息生成单元13和虚假响应信息动态变换单元17,所述虚假响应信息生成单元13和虚假响应信息动态变换单元17连接于所述虚假响应信息存储单元12,所述虚假响应信息生成单元13根据用户配置信息生成若干条虚假响应信息并存储于所述虚假响应信息存储单元12中,所述虚假响应信息动态变换单元17根据用户配置信息动态变换虚假响应信息存储单元12中存储的虚假响应信息,所述虚假响应单元连接于所述虚假响应信息存储单元12;所述用户配置信息包括可进行虚假响应的IP地址范围、可进行虚假响应的MAC地址范围、可进行虚假响应的端口范围及每个端口进行虚假响应的概率、可进行虚假响应的操作系统类型与版本范围和虚假响应信息进行动态变换的时间间隔信息。
[0012]进一步的根据本发明所述的虚假响应系统,其中所述虚假响应信息生成单元13包含:响应IP生成模块21、响应MAC生成模块22、响应端口生成模块23和响应操作系统类型与版本生成模块24,所述响应IP生成模块21根据用户配置信息中设定的可进行虚假响应的IP地址范围,随机选取一部分IP地址生成可进行虚假响应的IP地址列表;所述响应MAC生成模块22根据用户配置信息中设定的可进行虚假响应的MAC地址范围,为响应IP生成模块21生成的每一个IP地址随机生成对应的MAC地址;所述响应端口生成模块23根据用户配置信息中设定的可进行虚假响应的端口范围和每个端口进行虚假响应的概率,为响应IP生成模块21生成的每一个IP地址随机生成对应的若干端口以及每个端口进行虚假响应的概率;所述响应操作系统类型与版本生成模块24根据用户配置信息中设定的可进行虚假响应的操作系统类型与版本的范围,为响应IP生成模块21生成的每一个IP地址随机生成对应的操作系统类型与版本信息。
[0013]进一步的根据本发明所述的虚假响应系统,其中所述虚假响应信息动态变换单元17包含虚假响应信息修改模块31和虚假响应变换重复查询模块32,所述虚假响应信息修改模块31和虚假响应变换重复查询模块32共同连接于所述虚假响应信息存储单元12,所述虚假响应信息修改模块31根据用户配置信息中设定的虚假响应信息进行动态变换的时间间隔信息来定时修改虚假响应信息存储单元12中所存储的虚假响应信息,所述虚假响应变换重复查询模块32对修改的虚假响应信息进行去重查询,并通知虚假响应信息修改模块31删除或修改重复出现的虚假响应信息;所述虚假响应信息修改模块31按照以下两种方式之一修改虚假响应信息:一、所述虚假响应信息修改模块31根据用户配置信息随机生成若干条新的虚假响应信息,同时随机删除若干条原有的虚假响应信息;二、所述虚假响应信息修改模块31根据用户配置信息中设定的每条虚假响应信息的修改概率对每条虚假响应信息中的IP地址、MAC地址、端口和/或操作系统类型与版本进行修改。
[0014]进一步的根据本发明所述的虚假响应系统,其