一种基于端口模糊处理响应的MTD反网络扫描方法与流程

本发明涉及网络安全技术领域，尤其涉及一种基于端口模糊处理响应的mtd反网络扫描方法。

背景技术：

互联网又称网际网路或音译为因特网、英特网，是网络与网络之间所串连成的庞大网络，这些网络以一组通用的协定相连，形成逻辑上的单一巨大国际网络；这种将计算机网络互相联接在一起的方法可称作网络互联，在这基础上发展出覆盖全世界的全球性互联网络称互联网，即是互相连接一起的网络，互联网并不等同万维网，万维网只是一建基于超文本相互链接而成的全球性系统，且是互联网所能提供的服务其中之一；单独提起互联网，一般都是互联网或接入其中的某网络，有时将其简称为网或网络，用于通讯、社交或网上贸易；

随着互联网的不断发展，网络安全日益受到人们的重视，关于网络安全方面的技术也在不断的进步，针对当前网络固有的攻防不对称特性，为了平衡现有网络的攻防环境，移动目标防御技术(mtd)作为应对新型网络攻击的新概念应运而生；mtd的核心思想是利用受攻击面的变化使网络系统动态化，通过化静为动、反客为主的机制策略，提供动态、主动的网络防御功能，使系统具有更少的确定性、静态性、同构性，利用随机化和多样化为攻击者造成困难和障碍，使攻击者难以完成攻击任务，以此减少攻击者攻击成功的可能性，从而让防守方取得有利局面；目前针对网络攻击时所采用的的反网络扫描方法较为简单，攻击者能够轻松地正确识别服务版本和操作系统，攻击者的攻破时间短，攻击成本低，网络安全性能不佳，有待进行改善。

技术实现要素：

(一)发明目的

为解决背景技术中存在的技术问题，本发明提出一种基于端口模糊处理响应的mtd反网络扫描方法，能够混淆攻击者的攻击行为，确保服务版本和操作系统不被攻击者正确识别，显著加大了攻击者的攻击时间和流量成本，增加了攻击者的攻击开销，使用效果好，网络安全性能较佳，适合推广使用。

(二)技术方案

本发明提出了一种基于端口模糊处理响应的mtd反网络扫描方法，包括以下步骤：

s1、针对网络映射攻击，设定基于mtd的反网络侦察算法；

s2、通过反网络侦查算法响应tcp端口扫描，执行mtd模糊处理；

s3、对每个数据分组进行操作，并将操作保存在缓冲区中，确保一致的行为；

s4、基于反网络侦查算法进行运算，以使随机端口作为开放端口出现在扫描阶段；

s5、设定针对操作系统指纹的mtd算法，该算法用于确保服务版本和操作系统不被攻击者正确识别；

s6、将服务端口动态随机映射到未使用的端口，使攻击者无法准确找到网路服务所使用的开放端口，混淆攻击者的攻击行为。

优选的，在s1中，mtd由mtd网络模型、分析引擎、适应引擎、计算引擎、配置管理以及可编程插件构成，且不局限于在控制层部署。

优选的，还包括以下步骤：

网络设备端口接收异常报文，提取异常报文特征并保存；

根据异常报文特征对相应端口设置访问控制列表规则，禁止端口转发具有异常报文特征的报文；

对设置访问控制列表规则的端口启动采样任务，对该端口接收的报文进行采样，提取接收报文的报文特征，并将采样得到的报文特征与保存的异常报文特征进行比较。

优选的，在对采样所得报文特征和异常报文特征进行比较时，若采样得到的报文特征和保存的异常报文特征不匹配，则取消设置的访问控制列表规则，允许端口接收报文，反之，则不允许端口接收报文。

优选的，在接收报文时，还需对报文的长度是否大于阈值进行判断，若报文的长度大于阈值，则将长度大于阈值的报文镜像到从处理芯片，根据相关报文的数量和频率判断是否受到攻击。

优选的，在判断是否受到攻击时，若判断结果为受到攻击，则对长度大于阈值的报文进行处理，处理过程具体如下：

阻止向主处理芯片发送长度大于阈值的报文，以及限制向主处理芯片发送长度大于阈值的报文的流量。

优选的，在s1中，通过sdn网络对mtd安全模型进行适应性调整，控制器对当前的网络状态进行抽象，适应性引擎定期执行随机网络适应策略，分析引擎从网络元素和当前配置导出实时数据事件，以评估sdn网络对威胁和攻击的暴露程度。

优选的，在s6中，端口跳变的具体过程具体如下：

s61、端口跳变控制器生成基于时空二维的随机端口跳变图案，端口跳变控制器生成虚拟机映射表；

s62、端口跳变控制器从虚拟机映射表中提取跳变逻辑节点、ip地址、端口的信息，生成服务实例定义表；

s63、端口跳变代理设备遍历跳变图案，并从服务实例定义表中查询到当前跳变逻辑节点对应的实际的ip地址和端口，执行具体的每一跳。

优选的，s61的具体过程如下：

对跳变逻辑节点进行混沌随机处理，得到一组逻辑节点空间序列，生成一组经过混沌随机处理后的时间序列，将空间序列和时间序列匹配起来，最终得到跳变图案。

优选的，跳变图案包括跳变逻辑节点和对应的驻留时间，虚拟机映射表包括跳变逻辑节点与虚拟机名称、ip地址、端口、镜像的映射关系。

本发明的上述技术方案具有如下有益的技术效果：

针对网络映射攻击，提出了基于mtd的反网络侦察算法，以便响应tcp端口扫描来执行mtd模糊处理，每个数据分组的操作都保存在缓冲区中以确保一致的行为，作为这种算法的结果，随机端口将作为开放端口出现在扫描阶段，攻击者需要更多资源深入挖掘以识别运行在这些虚假开放端口上的服务；接着又提出针对操作系统指纹的mtd算法，确保服务版本和操作系统不被攻击者正确识别；并且通过将服务端口动态随机映射到未使用的端口，使攻击者无法准确找到网路服务所使用的开放端口，以此达到混淆攻击者攻击行为的目的，经过对攻击者的时间和流量成本的评估，相关实验结果表明，该方法可以显著增加攻击者的攻击开销，使用效果好，网络安全性能较佳，适合推广使用。

附图说明

图1为本发明提出的一种基于端口模糊处理响应的mtd反网络扫描方法的流程图。

具体实施方式

为使本发明的目的、技术方案和优点更加清楚明了，下面结合具体实施方式并参照附图，对本发明进一步详细说明。应该理解，这些描述只是示例性的，而并非要限制本发明的范围。此外，在以下说明中，省略了对公知结构和技术的描述，以避免不必要地混淆本发明的概念。

如图1所示，本发明提出的一种基于端口模糊处理响应的mtd反网络扫描方法，包括以下步骤：

s1、针对网络映射攻击，设定基于mtd的反网络侦察算法；

s2、通过反网络侦查算法响应tcp端口扫描，执行mtd模糊处理；

s3、对每个数据分组进行操作，并将操作保存在缓冲区中，确保一致的行为；

s4、基于反网络侦查算法进行运算，以使随机端口作为开放端口出现在扫描阶段；

s5、设定针对操作系统指纹的mtd算法，该算法用于确保服务版本和操作系统不被攻击者正确识别；

s6、将服务端口动态随机映射到未使用的端口，使攻击者无法准确找到网路服务所使用的开放端口，混淆攻击者的攻击行为。

在一个可选的实施例中，在s1中，mtd由mtd网络模型、分析引擎、适应引擎、计算引擎、配置管理以及可编程插件构成，且不局限于在控制层部署；通过sdn网络对mtd安全模型进行适应性调整，控制器对当前的网络状态进行抽象，适应性引擎定期执行随机网络适应策略，分析引擎从网络元素和当前配置导出实时数据事件，以评估sdn网络对威胁和攻击的暴露程度。

在一个可选的实施例中，还包括以下步骤：网络设备端口接收异常报文，提取异常报文特征并保存；根据异常报文特征对相应端口设置访问控制列表规则，禁止端口转发具有异常报文特征的报文；对设置访问控制列表规则的端口启动采样任务，对该端口接收的报文进行采样，提取接收报文的报文特征，并将采样得到的报文特征与保存的异常报文特征进行比较；在对采样所得报文特征和异常报文特征进行比较时，若采样得到的报文特征和保存的异常报文特征不匹配，则取消设置的访问控制列表规则，允许端口接收报文，反之，则不允许端口接收报文。

在一个可选的实施例中，在接收报文时，还需对报文的长度是否大于阈值进行判断，若报文的长度大于阈值，则将长度大于阈值的报文镜像到从处理芯片，根据相关报文的数量和频率判断是否受到攻击；在判断是否受到攻击时，若判断结果为受到攻击，则对长度大于阈值的报文进行处理，处理过程具体如下：阻止向主处理芯片发送长度大于阈值的报文，以及限制向主处理芯片发送长度大于阈值的报文的流量。

在一个可选的实施例中，在s6中，端口跳变的具体过程具体如下：s61、端口跳变控制器生成基于时空二维的随机端口跳变图案，跳变图案包括跳变逻辑节点和对应的驻留时间，端口跳变控制器生成虚拟机映射表，虚拟机映射表包括跳变逻辑节点与虚拟机名称、ip地址、端口、镜像的映射关系，具体操作如下：对跳变逻辑节点进行混沌随机处理，得到一组逻辑节点空间序列，生成一组经过混沌随机处理后的时间序列，将空间序列和时间序列匹配起来，最终得到跳变图案；s62、端口跳变控制器从虚拟机映射表中提取跳变逻辑节点、ip地址、端口的信息，生成服务实例定义表；s63、端口跳变代理设备遍历跳变图案，并从服务实例定义表中查询到当前跳变逻辑节点对应的实际的ip地址和端口，执行具体的每一跳。

本发明中，使用时，首先针对网络映射攻击设定基于mtd的反网络侦察算法，通过反网络侦查算法响应tcp端口扫描，执行mtd模糊处理；然后对每个数据分组进行操作，并将操作保存在缓冲区中，确保一致的行为；之后基于反网络侦查算法进行运算，以使随机端口作为开放端口出现在扫描阶段；然后设定针对操作系统指纹的mtd算法，该算法用于确保服务版本和操作系统不被攻击者正确识别，最后将服务端口动态随机映射到未使用的端口，使攻击者无法准确找到网路服务所使用的开放端口，混淆攻击者的攻击行为；

针对网络映射攻击，提出了基于mtd的反网络侦察算法，以便响应tcp端口扫描来执行mtd模糊处理，每个数据分组的操作都保存在缓冲区中以确保一致的行为，作为这种算法的结果，随机端口将作为开放端口出现在扫描阶段，攻击者需要更多资源深入挖掘以识别运行在这些虚假开放端口上的服务；接着又提出针对操作系统指纹的mtd算法，确保服务版本和操作系统不被攻击者正确识别；并且通过将服务端口动态随机映射到未使用的端口，使攻击者无法准确找到网路服务所使用的开放端口，以此达到混淆攻击者攻击行为的目的，经过对攻击者的时间和流量成本的评估，相关实验结果表明，该方法可以显著增加攻击者的攻击开销，使用效果好，网络安全性能较佳，适合推广使用。

应当理解的是，本发明的上述具体实施方式仅仅用于示例性说明或解释本发明的原理，而不构成对本发明的限制。因此，在不偏离本发明的精神和范围的情况下所做的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。此外，本发明所附权利要求旨在涵盖落入所附权利要求范围和边界、或者这种范围和边界的等同形式内的全部变化和修改例。