>[0032]本发明进一步的在上述虚假响应系统的基础上提出一种基于动态变换的虚假响应方法,包括以下步骤:
(1)、根据预设的可进行虚假响应的IP地址范围、可进行虚假响应的MAC地址范围、可进行虚假响应的端口范围及每个端口进行响应的概率和可进行虚假响应的操作系统类型与版本范围生成若干条虚假响应信息,每条虚假响应信息包括有IP地址、IP地址所对应的MAC地址、端口和操作系统类型与版本,其中每条虚假响应信息中的一个IP地址对应于一个MAC地址,并根据预设的时间间隔动态修改虚假响应信息;
(2)、按照下述方式对各类请求数据包进行响应,并生成对应的虚假响应数据包:
(2-1 )、对于ARP请求数据包,首先提取ARP请求数据包中的目标IP地址,将目标IP地址在步骤(I)所生成的虚假响应信息中进行查询,如果查询不到,则将此数据包丢弃,如果能查询到,则根据查询到的包括该目标IP地址的虚假响应信息构造ARP虚假响应数据包;
(2-2)、对于ICMP请求数据包,首先提取ICMP请求数据包中的目标IP地址,将目标IP地址在步骤(I)所生成的虚假响应信息中进行查询,如果查询不到,则将此数据包丢弃,如果能查询到,则根据查询到的包括该目标IP地址的虚假响应信息构造ICMP虚假响应数据包
(2-3),对于TCP SYN请求数据包,首先提取TCP SYN请求数据包中的目标IP地址和目标端口,将目标IP地址在步骤(I)所生成的虚假响应信息中进行查询,如果查询不到,则将此数据包丢弃,如果能查询到,则进一步查询目标端口是否包含在已查询到的包括目标IP地址的虚假响应信息的端口中,如果不包含,则将此数据包丢弃,如果包含则根据查询到的包括该目标IP地址和目标端口的虚假响应信息构造TCP SYN+ACK虚假响应数据包;
(3)、根据各类请求数据包的响应结果生成日志信息。
[0033]这样通过本发明的虚假响应系统和方法能够对可疑的扫描探测数据包响应虚假的响应数据包,从而使得攻击者通过扫描探测无法获取网络的拓扑结构和网络中主机的真实信息,从而所述的虚假响应系统应用于网络安全防御系统时,能够完全抑制网络渗透攻击行为,因为网络渗透攻击就是攻击者利用扫描探测工具对目标网络进行频繁扫描,基于扫描过程中得到的真实响应信息来分析和确定网络拓扑结构、内网架构、主机系统信息,进而找出其中的漏洞,最终逐步渗透并控制网络,达到攻击目的,而基于本发明所述虚假响应系统构建的网络安全系统,对攻击者的扫描探测数据包响应的是虚假配置的响应信息,从而攻击者无论扫描多少次都不会获取网络拓扑结构和网络中主机的真实信息,从而失去了开展进一步攻击的基础,有效的防御了网络安全。因此本发明创新提出的网络完全系统是指包括前述虚假响应系统的网络安全系统。
[0034]为进一步的提高系统的安全防护效率,在上述网络安全系统的基础上,本发明进一步提出一种具有数据包可疑预判功能的网络安全系统,如附图5所示,所述的网络安全系统在上述虚假响应系统的基础上进一步增加数据包预处理单元19,所述的数据包预处理单元19连接于虚假响应单元的输入端,这样请求数据包需要先经过数据包预处理单元19进行可疑预判,具体地数据包预处理单元19对访问网络的ARP请求数据包、ICMP请求数据包和TCP SYN请求数据包进行可疑判断处理,经判断对于正常的请求数据包则直接放行,不再进行虚假响应处理,对于可疑的ARP请求数据包、ICMP请求数据包和TCP SYN请求数据包则按照前述方式进行虚假响应。优选的所述数据包预处理单元19根据本领域熟知的单位时间内同样请求数判断方法进行数据包可疑预判,即判断ARP请求数据包、ICMP请求数据包和TCPSYN请求数据包是否可疑是以一个时间段内发送具有相同源IP地址的ARP请求数据包、ICMP请求数据包或TCP SYN请求数据包的个数为依据,若某个时间段内发送的具有相同源IP地址的ARP请求数据包、ICMP请求数据包或TCP SYN请求数据包的个数超过某一阈值,则认为是可疑的请求数据包,需要通过虚假响应单元对其进行虚假响应。通过设置数据包预处理单元19能够省去对网络中正常访问数据包的虚假响应过程,在保证安全性能的同时提高了运行效率,属于本发明的一种优选网络安全防御手段。
[0035]第二优选实施方式
本发明的第二优选实施方式所述的虚假响应系统及安全系统与上述第一优选实施方式的区别仅在于,其中的虚假响应信息生成单元13进一步包括有漏洞信息生成模块25,如附图6所示,其中的用户配置信息中也对应的包括有可进行虚假响应的若干系统漏洞信息及每条漏洞信息进行虚假响应的概率,由漏洞信息生成模块25根据用户配置信息中的可进行虚假响应的若干系统漏洞信息及每条漏洞信息进行虚假响应的概率,为响应IP生成模块21生成的每一个IP地址随机生成对应的若干漏洞信息以及每个漏洞信息进行虚假响应的概率,并将其存储于虚假响应信息存储单元12中,这样通过本实施方式构建的虚假响应信息除包括IP地址、IP地址所对应的MAC地址、端口和操作系统类型与版本外,还包括有漏洞信息,从而使得响应单元构造的虚假响应数据包进一步包括有更容易迷惑攻击行为的漏洞信息,因为多数扫描渗透攻击是通过找出网络系统中的漏洞来渗透并控制网络的,这样通过本实施方式的虚假响应系统,能够更进一步的提高虚假响应质量,可最大限度的保证系统安全。除此之外,本实施方式所述虚假响应系统及安全系统的具体结构及其工作过程与上述第一实施方式的完全相同,再次不做重复描述。另外本领域技术人员可在第二实施方式的基础上,进一步的根据需要将更多的信息包括于虚假响应信息中,这取决于系统的具体应用领域,但都属于本发明的技术构思范畴。
[0036]第三优选实施方式
本发明的第三优选实施方式所述的虚假响应系统及安全系统与上述第一优选实施方式或第二优选实施方式的区别仅在于,其中的虚假响应信息动态变换单元17对虚假响应信息的动态变换工作过程不同,在本实施方式中所述虚假响应信息动态变换单元17仍然包含虚假响应信息修改模块31和虚假响应变换重复查询模块32,但是虚假响应信息修改模块31根据用户配置信息中设定的虚假响应信息动态变化时间间隔来定时对虚假响应信息存储单元12中所存储的虚假响应信息进行修改的方式不同于第一实施方式,在第三实施方式中,用户配置信息包括虚假响应信息进行动态变化的时间间隔以及每次动态变化时每一条虚假响应信息进行修改的概率,虚假响应信息修改模块31根据用户配置信息中设定的动态变化时间间隔,按照每一条虚假响应信息对应的修改概率来对每一条虚假响应信息进行修改,同时由虚假响应变换重复查询模块32对修改的虚假响应信息进行去重查询,将重复出现的虚假响应信息删除。除此之外,本实施方式所述虚假响应系统及安全系统的具体结构及其工作过程与上述第一实施方式或第二实施方式的完全相同,再次不做重复描述。
[0037]本发明突破传统网络静态被动防御的思维,提出一种基于动态变换的虚假响应系统及方法,当攻击者对网络进行扫描探测时,对攻击者发送的扫描探测数据包进行虚假响应,使其无法获得网络拓扑结构和网络中主机的真实信息,其中虚假响应信息包含虚假的IP地址、虚假的MAC地址、虚假的操作系统类型和版本以及虚假的开放端口,同时引入动态变换的思想,每隔一段时间对构建的虚假响应信息进行修改,这有效减少了网络尤其是内网的确定性、相似性和静态性,使得攻击者无法通过扫描探测获取内网拓扑结构和内网中主机的真实信息,不能积累在内网中获得的知识,从而打破攻击者的优势,从源头上阻断了渗透攻击行为,维护了网络的安全稳定。本发明所述的虚假响应系统尤其适用于内网(局域网),经试验在内网中具有非常好的安全防护性能。
[0038]以上仅是对本发明的优选实施方式进行了描述,并不将本发明的技术方案限制于此,本领域技术人员在本发明的主要技术构思的基础上所作的任何公知变形都属于本发明所要保护的技术范畴,本发明具体的保护范围以权利要求书的记载为准。
【主权项】
1.一种基于动态变换的虚假响应系统,其特征在于,包括:虚假响应信息配置单元和虚假响应单元,所述虚假响应信息配置单元连接于所述虚假响应单元,所述虚假响应信息配置单元根据用户配置信息配置可动态变换的虚假响应信息,所述虚假响应信息至少包括虚假的IP地址和虚假的MAC地址,所述虚假响应单元基于所述虚假响应信息对发送至虚假响应单元的请求数据包构造虚假响应数据包。2.根据权利要求1所述的虚假响应系统,其特征在于,所述虚假响应信息包括虚假IP地址、虚假IP地址所对应的虚假MAC地址和虚假IP地址所对应的虚假端口,所述请求数据包包括ARP请求数据包、ICMP请求数据包、TCP SYN请求数据包中的至少一种;对于ARP请求数据包,所述虚假响应单元提取ARP请求数据包中的目标IP地址,并根据包含有该目标IP地址的虚假响应信息构造ARP虚假响应数据包;对于ICMP请求数据包,所述虚假响应单元提取ICMP请求数据包中的目标IP地址,并根据包含有该目标IP地址的虚假响应信息构造