专利名称:基于拓扑与操作系统的网络伪装系统的制作方法
技术领域:
·
本发明专利属于信息应用技术领域,尤其是涉及ー种网络伪装技木。
背景技术:
网络伪装部分主要研究如何对传统网络进行伪装的理论及其实现技木,从而提高网络的安全性并解决网络中ー些突出的安全问题,如通过网络伪装,可以避免受到DoS攻击;可以阻止主动和被动远程操作系统类型、网络拓扑结构等的探測和攻击;可以检测并阻止垃圾邮件的传播、检测蠕虫病毒的特征等。
发明专利内容本发明专利所要解决的技术问题在于针对上述现有的技术中的不足,提供ー种技术先进、功能強大、高安全性、高适应性、易于配置和管理的通过主动伪装,即对流出的数据包进行伪装,使POF等被动探测软件无法正确识别主机的操作系统类型,或得到与真正操作系统类型不同的其它类型;通过被动伪装,即对攻击者的主动探测信息进行区分,井根据其探測目的返回相应的伪装信息,从而使攻击者得到与真正操作系统类型不同的其它类型。为解决上述问题,本发明专利采用的技术方案是通过设置一些伪装的网络服务,如模拟的Telnet可以跟踪攻击者的行为,并对其攻击行为进行分析,以发现新的攻击方法;如模拟ー些系统漏洞来检测蠕虫病毒等的攻击;如模型SMTP来诱骗、检测垃圾邮件,并阻止垃圾邮件的传播等。上述网络安全网络伪装技术对全网的安全作统ー规划,实现网络伪装服务。对于伪装网络服务,由Telnet的登录过程可知,不同的登录方式只是体现了登录过程的差异性。如果把类似的服务状态及事件驱动的状态变迁进行归类,则可以大大筒化基于事件驱动状态变迁来描述的伪装网络服务
上述网络伪装技术,其特征是借鉴有色Petri网,把类似服务状态抽象为ー个(类)服务状态,其中的不同元素(服务状态)通过为其添加不同的颜色进行区分上述网络伪装技术,其特征是同样把类似的事件驱动的服务状态变迁抽象为ー个(类)服务状态变迁,其中的变迁通过为其添加不同的颜色进行区分,便形成了基于有色事件驱动状态变迁的网络服务模拟模型上述网络安全协同防卫系统,其特征是由抽象后的服务状态构成的服务状态集合则是ー个有限集。由此定义并实现了攻击行为的变迁路径及基于邻接矩阵的伪装网络服务的量化控制模型。上述网络安全协同防卫系统,其特征是使用一种虚拟接ロ技术,使模拟的IP地址和真正的主机IP地址具有同样的行为特性,使anti-sniffle认为模拟的IP地址是真正的主机IP地址。上述网络安全协同防卫系统,其特征是同一个广播域内的主机通过协同工作,竞争地址池中的IP地址,通过控制竞争状态的变化及周期性探測,实现无控制中心基于网络
3会话的IP动态伪装模型上述网络安全协同防卫系统,其特征是通过基于网络会话的IP动态伪装,可以很好的防止基于IP地址统计的网络嗅探攻击。上述网络安全协同防卫系统,其特征是通过伪装IP地址的竞争机制,同一伪装IP地址在不同时刻可能应用于不同主机的网络会话,从而増加了根据IP地址准确定位攻击目标和分析网络通信及通信内容的难度。上述网络安全协同防卫系统,其特征是两层IDS指基于网络内核的IDS和基于应用的IDS,嵌入内核的IDS主要对网络层、传输层报头进行检测,而基于应用的IDS主要对数据报所携帯的内容进行检测,同时结合网络服务模拟,可以很好的解决对未知攻击的检测与预防。上述网络安全协同防卫系统,其特征是两层IDS给网络伪装核心提供被动伪装的信号激励,即什么样的网络会话需要进行被动伪装等本发明专利与现有的技术相比具有以下优点(I)网络伪装在防御主动、被动探测攻击的同时,又可扩展IDS和防火墙的功能范围(2) IDS在检测主动探测攻击的发生,并为被动网络伪装和防火墙发送激励信号并使其采取相应的防御措施的同时,又可通过网络伪装计算未知攻击方式的检测特征值(3)防火墙实时响应网络伪装的检测结果并对网络攻击进行过滤阻止。
图I为本发明专利的总体研究内容I-主动伪装2-被动伪装
具体实施例方式如图I所示,本发明专利通过接受计算机的控制请求I-通过主动伪装请求,即对流出的数据包进行伪装,判断该网段剰余的IP地址是否小于某个值K该网段剰余的IP地址小于某个值K,把剩下的ip地址选出,然后再随机选出K个IP值地址2-通过被动伪装,即对攻击者的主动探测信息进行区分,并根据其探測目的返回相应的伪装信息,判断请求的网段是否别分配给别的主机判断请求的网段需要分配给别的主机,就分配给网段给请求主机把I和2判断选出与分配出的数据与I中分配出中随机选出的KWH ip地址ー并发给电脑控制端,通过基于网络会话的IP动态伪装,可以很好的防止基于IP地址统计的网络嗅探攻击。综上所述,实际工作过程中,此图为主要功能分解图以上所述,仅是本发明专利的较佳实施例,并非对本发明专利作任何限制,凡是根据本发明专利技术实质对以上实施例所作的任何简单修改、变更以及等效结构变化,均仍
4属于本发明专利技术方案的保护范围内。
权利要求
1.对操作系统的探測分为主动和被动两种方式,因此,对操作系统进行伪装吋,也是通过主动和被动两种方式进行。操作系统主动伪装是网络主动伪装的组成部分。主动伪装函数f以伪装操作系统指纹为模板,对输出数据报的网络特征值进行伪装。操作系统伪装过程中需要记录、更新相应的伪装參数,这些參数一般与具体的伪装内容(指紋)相关。操作系统被动伪装是网络被动伪装的组成部分。检测函数g对输入的数据报进行检测,被动伪装函数f以伪装操作系统指纹为模板对主动探測数据报进行被动伪装。如何通过函数f进行被动伪装,即基于伪装模板构造响应数据报,需要根据探测方式的特征%ム先确定探测数据报及其内容,然后根据具体的探測数据报造相应的响应数据报。协同检测防御模型中嵌入式入侵检测系统E-IDS的功能之一是检测探测扫描数据报。
2.对于伪装网络服务,由Telnet的登录过程可知,不同的登录方式只是体现了登录过程的差异性。如果把类似的服务状态及事件驱动的状态变迁进行归类,则可以大大筒化基于事件驱动状态变迁来描述的伪装网络服务。借鉴有色Petri网,把类似服务状态抽象为ー个(类)服务状态,其中的不同元素(服务状态)通过为其添加不同的颜色进行区分;同样把类似的事件驱动的服务状态变迁抽象为ー个(类)服务状态变迁,其中的变迁通过为其添加不同的颜色进行区分,便形成了基于有色事件驱动状态变迁的网络服务模拟模型。对于网络服务,抽象后的某一服务状态中所包含的具体元素可能会由于新的漏洞的出现而变化,但对于整体网络服务,由于所运行程序的有限性、确定性和可执行性,由抽象后的服务状态构成的服务状态集合则是ー个有限集。由此定义并实现了攻击行为的变迁路径及基于邻接矩阵的伪装网络服务的量化控制模型。
3.使用一种虚拟接ロ技术,使模拟的IP地址和真正的主机IP地址具有同样的行为特性,使anti-sniffle认为模拟的IP地址是真正的主机IP地址。网络拓扑结构伪装分为主动伪装和被动伪装,主动伪装指对流出的数据包进行伪装,使攻击者通过嗅探到的不是真正的网络拓扑结构;被动伪装指对攻击者的主动网络拓扑结构探测进行响应,从而给攻击者ー个伪装的网络拓扑结构。网络拓扑结构伪装是基于基于网络拓扑结构伪装模板进行。
4.同一个广播域内的主机通过协同工作,竞争地址池中的IP地址,通过控制竞争状态的变化及周期性探測,实现无控制中心基于网络会话的IP动态伪装模型;通过改进DHCP的工作过程,建立一个基于DHCP控制中心的IP动态伪装模型。当网络会话结束时,释放IP地址到地址池。因此通过基于网络会话的IP动态伪装,可以很好的防止基于IP地址统计的网络嗅探攻击。全文摘要
基于拓扑与操作系统的网络伪装系统,该系统应用于信息安全领域,包括对OS伪装、服务伪装、拓扑结构伪装、数据包伪装、数据流伪装。主要研究如何对传统网络进行伪装的理论及其实现技术,从而提高网络的安全性并解决网络中一些突出的安全问题~通过网络伪装,可以避免受到DoS攻击;可以阻止主动和被动远程操作系统类型、网络拓扑结构等的探测和攻击;可以检测并阻止垃圾邮件的传播、检测蠕虫病毒的特征等。
文档编号H04L29/08GK102916934SQ20111022170
公开日2013年2月6日 申请日期2011年8月3日 优先权日2011年8月3日
发明者邓正宏, 郑玉山, 夏杰 申请人:西安秦码软件科技有限公司