基于動態(tài)變換虛假響應(yīng)系統(tǒng)、方法及網(wǎng)絡(luò)安全系統(tǒng)與方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及網(wǎng)絡(luò)安全領(lǐng)域,尤其涉及一種基于動態(tài)變換的虛假響應(yīng)系統(tǒng)、虛假響應(yīng)方法以及基于此的網(wǎng)絡(luò)安全系統(tǒng)和網(wǎng)絡(luò)安全防御方法。
【背景技術(shù)】
[0002]隨著計算機網(wǎng)絡(luò)和信息技術(shù)的迅猛發(fā)展,全球信息化進程不斷加速,網(wǎng)絡(luò)在當今社會中的作用越來越重要,成為了涵蓋政府、商業(yè)、金融、通信等重要領(lǐng)域的國家戰(zhàn)略資源。與此同時,網(wǎng)絡(luò)安全威脅也是層出不窮,攻擊者通過技術(shù)手段或社會工程學(xué)的方法進入網(wǎng)絡(luò)系統(tǒng),進行信息竊取,系統(tǒng)破壞,惡意欺騙等活動,不但影響了普通民眾的工作生活,也成為了威脅經(jīng)濟、社會乃至國家安全的重大問題。
[0003]內(nèi)網(wǎng)隨著網(wǎng)絡(luò)的發(fā)展而逐漸在政府、企業(yè)、高校等單位中廣泛應(yīng)用。由于內(nèi)網(wǎng)的管理和維護較為方便,并且能有效提高企事業(yè)單位和員工的工作效率,因此,在上世紀90年代和本世紀初,內(nèi)網(wǎng)在我國各個行業(yè)取得空前發(fā)展。內(nèi)網(wǎng)的安全在實際網(wǎng)絡(luò)環(huán)境中非常重要,但被大多數(shù)網(wǎng)絡(luò)安全設(shè)備忽視?,F(xiàn)有的方法普遍通過采集流量來檢測攻擊行為,但是異常流量往往在攻擊行為之后產(chǎn)生,因而此類方法無法對攻擊行為進行實時防御。另一種方法是在接入網(wǎng)絡(luò)的主機上部署網(wǎng)絡(luò)安全防御系統(tǒng),雖然能夠防御部分攻擊行為,但依賴于操作系統(tǒng)且無法做到對用戶透明。掃描探測通常是攻擊者進行內(nèi)網(wǎng)滲透攻擊的首要步驟,攻擊者可以利用掃描探測工具對本地網(wǎng)絡(luò)進行探測,根據(jù)響應(yīng)結(jié)果精確快速地確定當前網(wǎng)絡(luò)中主機的存活狀態(tài)、主機端口開放的狀態(tài)、主機操作系統(tǒng)的類型和版本、可能存在的漏洞等信息等,為后續(xù)的網(wǎng)絡(luò)攻擊和長期控守奠定基礎(chǔ)。因此,阻斷內(nèi)網(wǎng)滲透攻擊可以將多數(shù)入侵行為扼殺在萌芽狀態(tài),從而達到防患于未然的效果,減少惡意攻擊帶來的損失。
[0004]申請?zhí)枮?00910085033.X的發(fā)明專利公開了一種檢測端口掃描行為的方法和系統(tǒng),包括:將受保護的各客戶端的IP地址與其開放的端口號的對應(yīng)關(guān)系寫入配置文件中;監(jiān)測受保護的各客戶端被訪問情況,維護各訪問客戶端對受保護的客戶端的開放端口訪問列表和未開放端口訪問列表;根據(jù)各訪問客戶端對受保護的客戶端的開放端口訪問列表和未開放端口訪問列表,分別計算各受保護客戶端的開放端口以及未開放端口被各訪問客戶端平均訪問過的個數(shù);按照預(yù)置的掃描判斷準則進行掃描判斷。該方法對快速掃描行為具有較好的檢測效果,但是對慢掃描行為檢測效果較差。
[0005]申請?zhí)枮?01510018050.7的發(fā)明專利公開了一種基于多源報警日志的網(wǎng)絡(luò)攻擊場景生成方法,首先收集多種網(wǎng)絡(luò)安全防護設(shè)備產(chǎn)生的報警日志,通過預(yù)處理提取有效報警日志數(shù)據(jù);針對單個設(shè)備得到的報警日志,通過單源日志聚合與映射,屏蔽不同設(shè)備日志格式差異,分析提取攻擊事件信息;對從不同源提取的攻擊事件,進行融合分析,生成具有較高可信度的網(wǎng)絡(luò)攻擊事件;進而通過攻擊事件關(guān)聯(lián)分析,生成網(wǎng)絡(luò)攻擊場景圖,分析出一次攻擊行動的整個攻擊過程。由于融合了多源日志,所以分析出的攻擊事件信息可以更完整地刻畫網(wǎng)絡(luò)遭受的攻擊。但是該方法沒有考慮每一個報警源的可信度,此外如果攻擊者僅僅是進行掃描探測而沒有進行下一步的攻擊活動,該方法會失效。
[0006]申請?zhí)枮?01220157554.9的發(fā)明專利公開了一種基于多可信級別的內(nèi)網(wǎng)的監(jiān)控系統(tǒng),包括高帶寬數(shù)據(jù)分析機構(gòu)、層次式內(nèi)容分析機構(gòu)、網(wǎng)絡(luò)資源訪問機構(gòu)、多層防信息泄密機構(gòu)、病毒木馬自動免疫模塊、多重防非法接入模塊;所述高寬帶數(shù)據(jù)分析機構(gòu)的數(shù)據(jù)線連接所述層次式內(nèi)容分析和所述網(wǎng)絡(luò)資源訪問機構(gòu),所述多層防信息泄密機構(gòu)、所述病毒木馬自動免疫模塊與所述多重防非法接入模塊與所述網(wǎng)絡(luò)資源訪問機構(gòu)連接。該系統(tǒng)在一定程度上能提供內(nèi)網(wǎng)資源的合法性管理與行為審計,防止來源于內(nèi)部的攻擊和非授權(quán)訪問行為,但是由于涉及模塊較多,部署復(fù)雜,其實用性和通用性較差。
[0007]總的來說,現(xiàn)有的網(wǎng)絡(luò)滲透攻擊檢測方法無法在實際應(yīng)用中獲得較好的效果,其根本原因在于,攻擊者利用掃描探測工具對目標網(wǎng)絡(luò)進行掃描,得到的響應(yīng)信息往往是真實的、確定的。攻擊者可以通過多次掃描來分析網(wǎng)絡(luò)架構(gòu)、主機系統(tǒng)并找出其中的漏洞,最終逐步滲透并控制網(wǎng)絡(luò),達到攻擊目的。
【發(fā)明內(nèi)容】
[0008]為了有效防御網(wǎng)絡(luò)滲透攻擊行為,本發(fā)明另辟蹊徑,提出一種基于動態(tài)變換的虛假響應(yīng)系統(tǒng)及虛假響應(yīng)方法,并提出基于動態(tài)變換虛假響應(yīng)的網(wǎng)絡(luò)安全系統(tǒng)和方法。其基本技術(shù)思想是:通過對攻擊者的掃描探測行為進行虛假響應(yīng),且虛假響應(yīng)可根據(jù)配置進行動態(tài)變換,從而使攻擊者無法獲得網(wǎng)絡(luò)的拓撲結(jié)構(gòu),無法準確獲得網(wǎng)絡(luò)中主機的真實信息,從而有效防御了網(wǎng)絡(luò)滲透攻擊行為,維護了網(wǎng)絡(luò)的安全穩(wěn)定。
[0009]本發(fā)明解決上述技術(shù)問題所采取的技術(shù)方案如下:
一種基于動態(tài)變換的虛假響應(yīng)系統(tǒng),包括:虛假響應(yīng)信息配置單元和虛假響應(yīng)單元,所述虛假響應(yīng)信息配置單元連接于所述虛假響應(yīng)單元,所述虛假響應(yīng)信息配置單元根據(jù)用戶配置信息配置可動態(tài)變換的虛假響應(yīng)信息,所述虛假響應(yīng)信息至少包括虛假的IP地址和虛假的MAC地址,所述虛假響應(yīng)單元基于所述虛假響應(yīng)信息對發(fā)送至虛假響應(yīng)單元的請求數(shù)據(jù)包構(gòu)造虛假響應(yīng)數(shù)據(jù)包。
[0010]進一步的根據(jù)本發(fā)明所述的虛假響應(yīng)系統(tǒng),其中所述虛假響應(yīng)信息包括虛假IP地址、虛假IP地址所對應(yīng)的虛假MAC地址和虛假IP地址所對應(yīng)的虛假端口,所述請求數(shù)據(jù)包包括ARP請求數(shù)據(jù)包、ICMP請求數(shù)據(jù)包、TCP SYN請求數(shù)據(jù)包中的至少一種;對于ARP請求數(shù)據(jù)包,所述虛假響應(yīng)單元提取ARP請求數(shù)據(jù)包中的目標IP地址,并根據(jù)包含有該目標IP地址的虛假響應(yīng)信息構(gòu)造ARP虛假響應(yīng)數(shù)據(jù)包;對于ICMP請求數(shù)據(jù)包,所述虛假響應(yīng)單元提取ICMP請求數(shù)據(jù)包中的目標IP地址,并根據(jù)包含有該目標IP地址的虛假響應(yīng)信息構(gòu)造ICMP虛假響應(yīng)數(shù)據(jù)包;對于TCP SYN請求數(shù)據(jù)包,所述虛假響應(yīng)單元提取TCP SYN請求數(shù)據(jù)包中的目標IP地址和目標端口,并根據(jù)包含有該目標IP地址和目標端口的虛假響應(yīng)信息構(gòu)造TCP SYN+ACK虛假響應(yīng)數(shù)據(jù)包。
[0011]進一步的根據(jù)本發(fā)明所述的虛假響應(yīng)系統(tǒng),其中所述虛假響應(yīng)信息配置單元包括虛假響應(yīng)信息存儲單元12、虛假響應(yīng)信息生成單元13和虛假響應(yīng)信息動態(tài)變換單元17,所述虛假響應(yīng)信息生成單元13和虛假響應(yīng)信息動態(tài)變換單元17連接于所述虛假響應(yīng)信息存儲單元12,所述虛假響應(yīng)信息生成單元13根據(jù)用戶配置信息生成若干條虛假響應(yīng)信息并存儲于所述虛假響應(yīng)信息存儲單元12中,所述虛假響應(yīng)信息動態(tài)變換單元17根據(jù)用戶配置信息動態(tài)變換虛假響應(yīng)信息存儲單元12中存儲的虛假響應(yīng)信息,所述虛假響應(yīng)單元連接于所述虛假響應(yīng)信息存儲單元12;所述用戶配置信息包括可進行虛假響應(yīng)的IP地址范圍、可進行虛假響應(yīng)的MAC地址范圍、可進行虛假響應(yīng)的端口范圍及每個端口進行虛假響應(yīng)的概率、可進行虛假響應(yīng)的操作系統(tǒng)類型與版本范圍和虛假響應(yīng)信息進行動態(tài)變換的時間間隔信息。
[0012]進一步的根據(jù)本發(fā)明所述的虛假響應(yīng)系統(tǒng),其中所述虛假響應(yīng)信息生成單元13包含:響應(yīng)IP生成模塊21、響應(yīng)MAC生成模塊22、響應(yīng)端口生成模塊23和響應(yīng)操作系統(tǒng)類型與版本生成模塊24,所述響應(yīng)IP生成模塊21根據(jù)用戶配置信息中設(shè)定的可進行虛假響應(yīng)的IP地址范圍,隨機選取一部分IP地址生成可進行虛假響應(yīng)的IP地址列表;所述響應(yīng)MAC生成模塊22根據(jù)用戶配置信息中設(shè)定的可進行虛假響應(yīng)的MAC地址范圍,為響應(yīng)IP生成模塊21生成的每一個IP地址隨機生成對應(yīng)的MAC地址;所述響應(yīng)端口生成模塊23根據(jù)用戶配置信息中設(shè)定的可進行虛假響應(yīng)的端口范圍和每個端口進行虛假響應(yīng)的概率,為響應(yīng)IP生成模塊21生成的每一個IP地址隨機生成對應(yīng)的若干端口以及每個端口進行虛假響應(yīng)的概率;所述響應(yīng)操作系統(tǒng)類型與版本生成模塊24根據(jù)用戶配置信息中設(shè)定的可進行虛假響應(yīng)的操作系統(tǒng)類型與版本的范圍,為響應(yīng)IP生成模塊21生成的每一個IP地址隨機生成對應(yīng)的操作系統(tǒng)類型與版本信息。
[0013]進一步的根據(jù)本發(fā)明所述的虛假響應(yīng)系統(tǒng),其中所述虛假響應(yīng)信息動態(tài)變換單元17包含虛假響應(yīng)信息修改模塊31和虛假響應(yīng)變換重復(fù)查詢模塊32,所述虛假響應(yīng)信息修改模塊31和虛假響應(yīng)變換重復(fù)查詢模塊32共同連接于所述虛假響應(yīng)信息存儲單元12,所述虛假響應(yīng)信息修改模塊31根據(jù)用戶配置信息中設(shè)定的虛假響應(yīng)信息進行動態(tài)變換的時間間隔信息來定時修改虛假響應(yīng)信息存儲單元12中所存儲的虛假響應(yīng)信息,所述虛假響應(yīng)變換重復(fù)查詢模塊32對修改的虛假響應(yīng)信息進行去重查詢,并通知虛假響應(yīng)信息修改模塊31刪除或修改重復(fù)出現(xiàn)的虛假響應(yīng)信息;所述虛假響應(yīng)信息修改模塊31按照以下兩種方式之一修改虛假響應(yīng)信息:一、所述虛假響應(yīng)信息修改模塊31根據(jù)用戶配置信息隨機生成若干條新的虛假響應(yīng)信息,同時隨機刪除若干條原有的虛假響應(yīng)信息;二、所述虛假響應(yīng)信息修改模塊31根據(jù)用戶配置信息中設(shè)定的每條虛假響應(yīng)信息的修改概率對每條虛假響應(yīng)信息中的IP地址、MAC地址、端口和/或操作系統(tǒng)類型與版本進行修改。
[0014]進一步的根據(jù)本發(fā)明所述的虛假響應(yīng)系統(tǒng),其