响应信息动态变换单元17,所述的虚假响应信息生成单元13和虚假响应信息动态变换单元17同时连接于所述虚假响应信息存储单元12。所述的虚假响应信息生成单元13用于根据用户配置信息生成若干虚假响应信息并存储于虚假响应信息存储单元12中,所述虚假响应信息存储单元12将其中存储的虚假响应信息提供给虚假响应单元,所述的虚假响应信息动态变换单元17根据用户配置信息动态变换虚假响应信息存储单元12中存储的虚假响应信息。其中所述的用户配置信息包括可进行虚假响应的IP地址的范围、可进行虚假响应的MAC地址的范围、可进行虚假响应的端口范围及每个端口进行响应的概率和可进行虚假响应的操作系统类型与版本范围、虚假响应信息进行动态变化的时间间隔信息,因为IP地址、MAC地址、端口以及操作系统类型与版本是攻击者进行扫描探测需要的基本信息,对这些信息进行虚假变换,足以迷惑攻击者而达到网络安全防御的目的。为进一步提高安全性,本领域技术人员可在上述用户配置信息的基础上进一步增加其它多种用于虚假响应的配置信息,如可增加进行虚假响应的漏洞信息等。
[0025]具体的所述虚假响应信息生成单元13如附图2所示的,包含响应IP生成模块21、响应Mac生成模块22、响应端口生成模块23和响应操作系统类型与版本生成模块24,其中的响应IP生成模块21根据用户配置信息中设定的可进行虚假响应的IP地址范围,随机选取一部分IP地址生成可以进行虚假响应的IP地址列表;其中的响应Mac生成模块22根据用户配置信息中设定的可进行虚假响应的MAC地址范围,为响应IP生成模块21生成的每一个IP地址随机生成对应的Mac地址;其中的响应端口生成模块23根据用户配置信息中设定的可进行虚假响应的端口范围和每个端口进行虚假响应的概率,为响应IP生成模块21生成的每一个IP地址随机生成对应的若干端口以及每个端口进行虚假响应的概率;其中的响应操作系统类型与版本生成模块24根据用户配置信息中设定的可进行虚假响应的操作系统类型与版本的范围,为响应IP生成模块21生成的每一个IP地址随机生成对应的操作系统类型与版本信息;最后虚假响应信息生成单元13把生成的虚假响应信息存储到虚假响应信息存储单元12中。
[0026]所述的虚假响应信息存储单元12中存储有若干条虚假响应信息,每一条虚假响应信息包括IP地址、IP地址所对应的MAC地址、端口和操作系统类型与版本,其中每条虚假响应信息中的一个IP地址对应于一个MAC地址,但可对应于若干端口且每个端口各自具有进行虚假响应的概率,不同的IP具有不同的MAC地址,但可具有同一个操作系统类型与版本。
[0027]所述的虚假响应信息动态变换单元17根据用户配置信息动态变换虚假响应信息存储单元12中存储的虚假响应信息,具体的所述虚假响应信息动态变换单元17包含虚假响应信息修改模块31和虚假响应变换重复查询模块32,如图3所示,所述虚假响应信息修改模块31和虚假响应变换重复查询模块32连接,并共同连接于虚假响应信息存储单元12,所述虚假响应信息修改模块31根据用户配置信息中设定的虚假响应信息动态变化时间间隔来定时修改虚假响应信息存储单元12中所存储的虚假响应信息,进行修改时,根据用户配置信息中设定的可进行虚假响应的IP地址范围、可进行虚假响应的MAC地址范围、可进行虚假响应的端口范围和每个端口进行响应的概率、可进行虚假响应的操作系统类型与版本范围,随机生成若干条新的虚假响应信息,具体生成方式与上述虚假响应信息生成单元13中虚假响应信息的生成方式相同,每条新的虚假响应信息包括IP地址以及与IP地址对应的MAC地址、端口和操作系统类型与版本,同时随机删除虚假响应信息存储单元12中存储的若干条原有的虚假响应信息;且在修改过程中虚假响应变换重复查询模块32对虚假响应信息存储单元12中的虚假响应信息进行实时查询,通过查询判定虚假响应信息存储单元12中是否出现重复的虚假响应信息,如其中存储的IP地址和Mac地址是否重复出现,如果出现重复,则虚假响应变换重复查询模块32向虚假响应信息修改模块31发出删除修改信号,由虚假响应信息修改模块31将重复出现的虚假响应信息进行删除。通过虚假响应信息动态变换单元17按照预定的时间间隔动态变换虚假响应信息,能够更加确保扫描探测数据包无法从响应数据中获得任何有价值的攻击信息。
[0028]所述的虚假响应单元连接于所述虚假响应信息配置单元和日志单元,用于对扫描探测网络的请求数据包生成响应数据包,且所生成的响应数据包中提供虚假的响应信息。攻击者对网络进行扫描探测时,必须发送ARP(Address Resolut1n Protocol,地址解析协议)请求数据包、ICMP(Internet Control Message Protocol,Internet控制报文协议)请求数据包和TCP SYNCTCP !Transmiss1n Control Protoco I,传输控制协议,SYN:Synchronous,TCP/IP建立连接时使用的握手信号)请求数据包中的一种或几种,因此在应对扫描探测攻击时只要对可疑的ARP请求数据包、ICMP请求数据包和TCP SYN请求数据包进行虚假响应,即能有效地防御对网络的信息探测和渗透攻击,使攻击者无法准确获取内网拓扑结构和主机的真实信息。所以本发明所述的虚假响应单元包括有ARP响应单元14、ICMP响应单元15和端口响应单元16,如图1所示,所述的ARP响应单元14、ICMP响应单元15和端口响应单元16作为对三种类型数据包的响应单元均连接于所述虚假响应信息存储单元12,并根据虚假响应信息存储单元12中配置的虚假响应信息分别生成对应类型的虚假响应数据包,并将响应结果发送给日志单元18生成日志信息。
[0029]具体的所述ARP响应单元14对ARP请求数据包进行虚假响应,根据虚假响应信息存储单元12中的虚假响应信息构造ARP虚假响应数据包,同时把响应结果发送给日志单元18生成日志信息;具体过程为:首先ARP响应单元14提取ARP请求数据包中需要查询Mac地址的目标IP地址,将目标IP地址在虚假响应信息存储单元12中进行查询,如果查询不到,则直接将此数据包丢弃,如果能查询到,则根据包括该目标IP地址的虚假响应信息构造ARP虚假响应数据包,具体的通过提取该目标IP地址和该目标IP地址在虚假响应信息中对应的Mac地址来构造ARP虚假响应数据包,同时将响应结果发送给日志单元18的ARP日志模块41生成日志信息。
[0030]所述的ICMP响应单元15对ICMP请求数据包进行虚假响应,根据虚假响应信息存储单元12中的虚假响应信息构造ICMP虚假响应数据包,同时把响应结果发送给日志单元18生成日志信息;具体过程为:所述ICMP响应单元15首先提取ICMP请求数据包中的目标IP地址,将目标IP地址在虚假响应信息存储单元12中进行查询,如果查询不到,则直接将此数据包丢弃,如果能查询到,则根据包括该目标IP地址的虚假响应信息构造ICMP虚假响应数据包,具体的通过提取该目标IP地址和该目标IP地址在虚假响应信息中对应的Mac地址来构造ICMP虚假响应数据包,同时将响应结果发送给日志单元18的ICMP日志模块42生成日志信息
所述的端口响应单元16对请求建立TCP连接的TCP SYN请求数据包进行虚假响应,根据虚假响应信息存储单元12中的虚假响应信息构造TCP SYN+ACK虚假响应数据包,同时把响应结果发送给日志单元18生成日志信息;具体的所述端口响应单元16首先提取TCP SYN请求数据包中的目标IP地址和目标端口,将目标IP地址在虚假响应信息存储单元12中进行查询,如果查询不到,则直接将此数据包丢弃,如果能查询到,则进一步查询目标端口是否包含在虚假响应信息存储单元12中与目标IP地址对应的端口中,如果不包含,则直接将此数据包丢弃,如果包含目标端口,则根据包括该目标IP地址和目标端口的虚假响应信息构造TCP SYN+ACK虚假响应数包,具体的通过提取该目标IP地址、目标端口、目标IP地址在虚假响应信息中对应的MAC地址、对应的操作系统类型与版本信息构造TCP SYN+ACK虚假响应数据包,同时将响应结果发送给日志单元18的端口日志模块43生成日志信息。
[0031 ] 所述的日志单元18如附图4所示的,对应于三种响应单元包括有ARP日志模块41、ICMP日志模块42和端口日志模块43,其中所述ICMP日志模块42用于接收ICMP响应单元15发送过来的ICMP响应结果,根据响应结果生成ICMP虚假响应日志信息;ARP日志模块41接收ARP响应单元14发送过来的ARP响应结果,根据响应结果生成ARP虚假响应日志信息;端口日志模块43接收端口响应单元16发送过来的端口响应结果,根据响应结果生成端口虚假响应日志信息。这些日志信息有助于网络管理员分析攻击行为并调整网络的安全防护策略,如通过分析端口日志模块43收集的端口虚假响应日志信息可以确定攻击者对哪些主机端口和主机服务进行了探测,由此可以初步确定攻击者的意图和攻击者可能用到的恶意代码,便于后续采取进一步的安全防护策略。