中所述虚假响应单元包括ARP响应单元14、ICMP响应单元15和端口响应单元16,所述ARP响应单元14、ICMP响应单元15和端口响应单元16均连接于所述虚假响应信息配置单元;所述ARP响应单元14构造ARP虚假响应数据包的过程为:首先ARP响应单元14提取ARP请求数据包中的目标IP地址,将目标IP地址在虚假响应信息中进行查询,如果查询不到,则直接将此ARP请求数据包丢弃,如果能查询到,则通过提取该目标IP地址和该目标IP地址在虚假响应信息中对应的MAC地址来构造ARP虚假响应数据包;所述ICMP响应单元15构造ICMP虚假响应数据包的过程为:首先ICMP响应单元15提取ICMP请求数据包中的目标IP地址,将目标IP地址在虚假响应信息中进行查询,如果查询不到,则直接将此ICMP请求数据包丢弃,如果能查询到,则通过提取该目标IP地址和该目标IP地址在虚假响应信息中对应的MAC地址来构造ICMP虚假响应数据包;所述端口响应单元16构造TCP SYN+ACK虚假响应数据包的过程为:首先端口响应单元16提取TCP SYN请求数据包中的目标IP地址和目标端口,将目标IP地址在虚假响应信息中进行查询,如果查询不到,则直接将此TCP SYN请求数据包丢弃,如果能查询到,则进一步查询目标端口是否包含在已查询到的包括目标IP地址的虚假响应信息的端口中,如果不包含,则直接将此TCPSYN请求数据包丢弃,如果包含,则通过提取该目标IP地址、目标端口、目标IP地址在虚假响应信息中对应的MAC地址和目标IP地址在虚假响应信息中对应的操作系统类型与版本信息来构造TCP SYN+ACK虚假响应数据包。
[0015]进一步的根据本发明所述的虚假响应系统,其中还包括有日志单元18,所述日志单元18连接于所述虚假响应单元,并根据虚假响应单元对请求数据包的响应结果生成日志
?目息O
[0016]—种基于动态变换的虚假响应方法,包括以下步骤:
(1)、根据预设的可进行虚假响应的IP地址范围、可进行虚假响应的MAC地址范围、可进行虚假响应的端口范围及每个端口进行虚假响应的概率和可进行虚假响应的操作系统类型与版本范围生成若干条虚假响应信息,每条虚假响应信息包括有虚假IP地址、虚假IP地址所对应的虚假MAC地址、虚假IP地址所对应的虚假端口和虚假IP地址所对应的虚假操作系统类型与版本,并根据预设的时间间隔动态修改所述虚假响应信息;
(2)、按照下述方式对相关请求数据包进行响应,生成对应的虚假响应数据包:
(2-1 )、对于ARP请求数据包,首先提取ARP请求数据包中的目标IP地址,将目标IP地址在步骤(I)所生成的虚假响应信息中进行查询,如果查询不到,则将此ARP请求数据包丢弃,如果能查询到,则根据查询到的包括该目标IP地址的虚假响应信息构造ARP虚假响应数据包;
(2-2)、对于ICMP请求数据包,首先提取ICMP请求数据包中的目标IP地址,将目标IP地址在步骤(I)所生成的虚假响应信息中进行查询,如果查询不到,则将此ICMP请求数据包丢弃,如果能查询到,则根据查询到的包括该目标IP地址的虚假响应信息构造ICMP虚假响应数据包;
(2-3),对于TCP SYN请求数据包,首先提取TCP SYN请求数据包中的目标IP地址和目标端口,将目标IP地址在步骤(I)所生成的虚假响应信息中进行查询,如果查询不到,则将此TCP SYN请求数据包丢弃,如果能查询到,则进一步查询目标端口是否包含在已查询到的包括目标IP地址的虚假响应信息的端口中,如果不包含,则将此TCP SYN请求数据包丢弃,如果包含则根据查询到的包括该目标IP地址和目标端口的虚假响应信息构造TCP SYN+ACK虚假响应数据包;
(3)、根据各类请求数据包的响应结果生成日志信息。
[0017]一种网络安全系统,包括:数据包预处理单元和本发明所述的虚假响应系统,所述数据包预处理单元连接于所述虚假响应系统中虚假响应单元的输入端,用于判定请求数据包是否可疑并将可疑的请求数据包提供给所述虚假响应单元进行虚假响应。
[0018]一种网络安全防御方法,包括以下步骤:
(1)、对访问网络的请求数据包进行可疑性判定,若某个时间段内发送的具有相同源IP地址的请求数据包的个数超过某一阈值,则判定该请求数据包是可疑的请求数据包,否则判定该请求数据包是正常的请求数据包;
(2)、对于步骤(I)判定的属于可疑的请求数据包,按照本发明所述的虚假响应方法,对可疑的请求数据包通过生成虚假响应数据包来进行虚假响应,并记录日志信息;
(3)、对于步骤(I)判定的属于正常的请求数据包,则直接放行。
[0019]本发明所述的技术方案具有以下技术创新和技术效果:
本发明首创的提出可基于动态变换的虚假响应系统及方法,当攻击者对网络(优选内网)进行扫描探测时,对攻击者发送的扫描探测数据包进行虚假响应,使其无法获得网络(优选内网)拓扑结构和网络(优选内网)中主机的真实信息,其中虚假响应信息至少包含虚假的IP地址、虚假的MAC地址、虚假的操作系统的类型和版本以及虚假的开放端口;同时引入动态变换的思想,每隔一段时间对构建的虚假响应信息进行修改,攻击者最终因无法搜集到网络(优选内网)的真实信息而无法开展后续的攻击行为,基于此有效防御了网络(优选内网)的渗透攻击行为,维护了网络的安全稳定,实现了一种全新的网络安全技术,具有广泛的推广应用价值。
【附图说明】
[0020]图1是本发明所述虚假响应系统的总体结构框图;
图2是本发明所述虚假响应系统中虚假响应信息生成单元的第一优选结构框图;
图3是本发明所述虚假响应系统中虚假响应信息动态变换单元的结构框图;
图4是本发明所述虚假响应系统中日志单元的结构框图;
图5是包括本发明所述虚假响应系统的网络安全系统的总体结构框图;
图6是本发明所述虚假响应系统中虚假响应信息生成单元的第二优选结构框图; 图中各附图标记的含义如下:
11-请求数据包,12-虚假响应信息存储单元,13-虚假响应信息生成单元,14-ARP响应单元,15-1CMP响应单元,16-端口响应单元,17-虚假响应信息动态变换单元,18-日志单元,19-数据包预处理单元;
21-响应IP生成模块,22-响应Mac生成模块,23-响应端口生成模块,24-响应操作系统类型与版本生成模块,25-漏洞信息生成模块;
31-虚假响应信息修改模块,32-虚假响应变换重复查询模块;
41-ARP日志模块,42-1CMP日志模块,43-端口日志模块。
【具体实施方式】
[0021]以下结合附图对本发明的技术方案进行详细的描述,以使本领域技术人员能够更加清楚的理解本发明的方案,但并不因此限制本发明的保护范围。
[0022]本发明所述的基于动态变换的虚假响应系统,包括虚假响应信息配置单元、虚假响应单元和日志单元,所述虚假响应信息配置单元连接于虚假响应单元,所述虚假响应单元连接于日志单元,其中所述虚假响应信息配置单元根据用户配置信息配置可动态变换的虚假响应信息,这些虚假响应信息包括虚假的IP地址、虚假的MAC地址、虚假的操作系统类型与版本以及虚假的开放端口,所述的虚假响应单元根据虚假响应信息配置单元中配置的虚假响应信息构建虚假响应数据包,对可疑的请求数据包进行虚假响应。这些虚假响应数据包中包含的IP地址、MAC地址、端口以及操作系统类型与版本等信息均是虚假构建的,并非是真实的,所述的日志单元用于收集虚假响应单元的响应结果,以便于网络管理员对攻击行为进行深层次的分析。这样基于本发明所述的虚假响应系统,攻击者的扫描探测数据包并不能获得网络的拓扑结构和网络中主机的真实信息。从而使得本发明所述的这种虚假响应系统应用于网络安全防御时能够完全抑制网络渗透攻击行为,网络渗透攻击就是攻击者利用扫描探测工具对目标网络进行频繁扫描,基于扫描过程中得到的真实响应信息来分析和确定网络拓扑结构、内网架构、主机系统信息,进而找出其中的漏洞,最终逐步渗透并控制网络,达到攻击目的,而基于本发明创新提出的虚假响应系统构建的网络安全系统,对攻击者的扫描探测数据包响应的是虚假配置的响应信息,从而攻击者无论扫描多少次都无法获取网络的拓扑结构和网络中主机的真实信息,从而失去了开展进一步攻击的基础,有效的防御了网络安全,应用于内网时具有非常突出的安全保护效果。
[0023]下面结合附图详细描述本发明所述基于动态变换的虚假响应系统和方法,以及基于这种虚假响应系统的网络安全系统,优选的包括如下实施方式。
[0024]第一优选实施方式
如附图1所示的,本发明所述的基于动态变换的虚假响应系统包括虚假响应信息配置单元、虚假响应单元和日志单元,其中所述的虚假响应信息配置单元具体包括虚假响应信息存储单元12、虚假响应信息生成单元13和虚假