(19)中华人民共和国国家知识产权局
(12)发明专利申请
(10)申请公布号 (43)申请公布日 (21)申请号 201811237328.X
(22)申请日 2018.10.23
(71)申请人 中国人民解放军战略支援部队信息
工程大学
地址 450000 河南省郑州市高新区科学大
道62号
(72)发明人 刘小虎 张玉臣 刘璟 张柏赞
谭晶磊 王硕
(74)专利代理机构 郑州大通专利商标代理有限
公司 41111
代理人 陈勇
(51)Int.Cl.
H04L 29/06(2006.01)
(54)发明名称
(57)摘要
本发明提供一种网络动态防御系统及方法。
动防御子系统;所述路由分配子系统包括路由
器、客户机和服务器;所述路由器,用于检测来自
转至所述服务器,将未通过检测的可疑用户转至
靶标子系统;靶标子系统,用于记录可疑用户的
攻击行为,对可疑用户进行基于所述身份知识库
的二次身份甄别,将正常用户重新转至路由分配
子系统,将可疑用户转至主动防御子系统;主动
防御子系统,用于对攻击特征进行提取和分析,
对重要数据进行备份和/或恢复。本发明通过增
加防御系统的动态性、随机性和不确定性,内生
出系统防御能力,增大攻击方攻击复杂度,有效
应对网络攻击。权利要求书2页 说明书12页 附图3页CN 109347830 A 2019.02.15
C N 109347830
A
1.一种网络动态防御系统,其特征在于,包括:路由分配子系统、靶标子系统和主动防御子系统;
所述路由分配子系统包括路由器、客户机和服务器;所述路由器预连接存有会话知识库和身份知识库的外存模块;所述路由器、客户机和所述服务器基于所述会话知识库进行网络节点间认证;所述路由器,用于检测来自客户机的用户的合法性,将通过检测的合法用户转至所述服务器,将未通过检测的可疑用户转至靶标子系统;
所述靶标子系统,用于记录可疑用户的攻击行为,对可疑用户进行基于所述身份知识库的二次身份甄别,将通过二次身份甄别的可疑用户重新转至所述路由分配子系统,将未通过二次身份甄别的可疑用户转至主动防御子系统;
所述主动防御子系统,用于根据预设的攻击模式库对可疑用户的异常行为提取攻击特征,实时更新攻击模式库,以及根据安全等级标签管理策略对网络动态防御系统的内部文件进行备份和/或恢复。
2.根据权利要求1所述的网络动态防御系统,其特征在于,所述路由器上存储有一五维数组,所述五维数组的前两维数组用于表示网域空间大小,所述五维数组的后三维数组分别用于表示网域空间内每个网络节点的身份标识、IP合法跳变范围和每跳IP的有效生存期。
3.根据权利要求1或2所述的网络动态防御系统,其特征在于,所述会话知识库和身份知识库通过基于挑战应答的随机数变化策略及多种网络标识规定,并采用国产密码算法SM3进行加密。
4.根据权利要求1所述的网络动态防御系统,其特征在于,所述攻击模式库包括行为知识库和统一特征库;所述行为知识库,用于存储已知的攻击行为,所述统一特征库,用于存储严重违反安全策略的攻击特征。
5.一种网络动态防御方法,其特征在于,包括:
步骤1、路由器分配子系统在用户数据的数据帧中插入特征标识,并对插入特征标识后的用户数据进行基于特征帧的合法性检测;
步骤2、当路由器分配子系统检测到不符合会话知识库变化规则的可疑用户数据时,路由分配子系统将与所述可疑用户数据对应的可疑用户引入靶标子系统的蜜罐中,靶标子系统对所述可疑用户进行基于身份知识库的二次身份甄别;
步骤3、若所述可疑用户通过二次身份甄别,靶标子系统为所述可疑用户重新分发身份认证协议,并将所述可疑用户转至路由器分配子系统;
步骤4、路由器分配子系统对靶标子系统转发的所述可疑用户进行基于图形填充行为的图灵测试,并在
通过所述图灵测试的所述可疑用户的浏览器Cookie中加入身份认证证书;
步骤5、若所述可疑用户未通过二次身份甄别,靶标子系统将所述可疑用户在蜜罐中的异常行为发送至主动防御子系统,主动防御子系统基于攻击模式库对所述异常行为进行分析,提取攻击特征。
6.根据权利要求5所述的方法,其特征在于,所述步骤2中的所述靶标子系统对所述可疑用户进行基于身份知识库的二次身份甄别具体为:
若所述可疑用户在蜜罐中能够发现用于授权的隐蔽端口,且连续三次无误地完成基于
身份知识库的特征询问,则所述可疑用户通过二次身份甄别。
7.根据权利要求5所述的方法,其特征在于,所述步骤5中的所述主动防御子系统对所述异常行为进行分析具体为:
当检测到所述异常行为满足至少一个一级攻击条件时,将所述异常行为与预设安全模式对比,进行模式匹配,所述一级攻击条件是根据攻击模式库中的已知攻击行为生成的,所述预设安全模式为由已知的安全行为编码而成的、与安全审计记录相符合的安全模式;
若未匹配成功,则所述异常行为为二级攻击,并将所述异常行为与已知的入侵行为特征相结合,形成二级攻击库;
将所述异常行为与攻击模式库中存储的严重违反安全策略的攻击特征进行匹配,若匹配成功,则将所述异常行为升级为三级攻击。
8.根据权利要求5所述的方法,其特征在于,还包括:
主动防御子系统根据网络动态防御系统的内部文件的文件等级、创建时间和使用频率,将不同的内部文件加上不同的安全等级标签得到安全等级标签管理策略,根据所述安全等级标签管理策略对内部文件进行冗余备份;
主动防御子系统若检测到违规管理行为毁坏重要数据,制止与所述违规管理行为对应的管理用户的相关操作,并根据所述重要数据的损坏程度,对路由分配子系统中相应的服务器进行数据恢复。
一种网络动态防御系统及方法
[0001]本发明涉及网络安全技术领域,尤其涉及一种网络动态防御系统及方法。
背景技术
[0002]现今,网络渗透到工作生活的方方面面,成为了不可或缺的第五维空间。但新型网络攻击层出不穷,网络安全形势日益严峻。漏洞是网络攻击的前提,由于网络安全漏洞的客观存在性,加之系统的静态性、相似性和确定性,使得网络安全问题无法通过挖漏洞、堵漏洞来彻底解决。防守方即使及时修补了大部分漏洞,攻击方只需利用少量漏洞就可对防守方造成不对称优势,形成了“易攻难守”的不对称局面。
[0003]由于以防火墙、入侵检测和安全审计等技术为代表的传统网络防御体系是静态、封闭和被动的,在应对形式多样的新型网络攻击时往往力不从心。自2008年1月美国发布的《国家综合网络安全倡议》起,移动目标防御(Moving target defense ;MTD)引起了美国的高度重视,后来又发布了一系列与之相关的网络安全政策和方案。其中,美国国家科学技术委员会于2011年12月发布的《可信网络空间:联邦网络空间安全研发战略规划》确立移动目标防御为“改变游戏规则”的四个研发主题之一。美国国土安全部将MTD技术定义为改变游戏规则的新型网络安全技术, 2016年美国第一个MTD技术的专利被颁发,之后国内外学者针对MTD技术开展了研究,移动目标防御技术已经成为网络空间安全研究的热点。[0004]移动目标防御是指通过动态化、虚拟化和随机化方法,破除网络各要素的静态性、确定性和相似性,使信息系统各组成部分不断改变其形态特征以此来抵御攻击的技术。移动目标防御相关技术主要有:动态网络地址转换技术、网络地址空间随机化分配技术、端信息跳变防护技术以及基于覆盖网络的相关动态防护技术。
[0005](1)动态网络地址转换技术
动态网络地址转换技术的核心思想是通过改变终端节点固定编址,提供相应的机制和方法不断改变终端节点标识。该技术可用于防御攻击者攻击个人终端主机,破坏中间人嗅探的效果,防范扫描攻击,阻碍攻击者的信息搜集工作。
[0006]但是,该技术虽然增加了攻击者的工作量,但无法阻止攻击者收集所需信息,攻击者可通过对流量进行分析来获取网络流的类型或通过对数据分组的数据载荷进行分析来收集相关信息。
[0007](2)网络地址空间随机化分配技术
基于DHCP协议实现的网络地址空间随机化技术,其本质是IP地址跳变技术,能用于防范基于IP地址列表进行的蠕虫传播和攻击。
[0008]同时,该技术的局限性也十分明显,该技术只能减慢某些特定类型的攻击,并且需要依赖于其他积极防御手段才能发挥整体功能,针对攻击者通过其他类别协议(即除了DHCP协议之外的协议)到达主机的情形无法进行防御。
[0009](3)基于同步的端信息跳变防护技术
基于同步的端信息跳变防护技术是指在端到端的数据传输中,通信双方伪随机地改变
端口、地址和时隙等端信息,使攻击者的攻击无效,从而实现主动网络防护。该技术具有很强的抗攻击性和抗截获性,能够有效抵御DDoS攻击和截获攻击。
[0010]但是,该技术的同步和全局协调非常复杂,对通信双方合作的默契度要求较高,对用户不透明,在实际部署中难度较大。
[0011](4)覆盖网络防护技术
基于覆盖网络的安全防护技术的核心思想是在应用层构建一种动态生成的网络,这种可信网络能改变内容分发路径、重新配置节点,并对链路或节点的动态变化及时做出响应,是一种应用级的动态网络应用模式。
[0012]但是,该技术严重依赖于基础网络的健壮性和稳定性,并且依赖于完善的检测机制,防护能力有限。一旦攻击者到达某台主机后,相关技术便无法再提供任何保护。
发明内容
[0013]针对现有防御技术中存在的不足,通过借鉴移动目标防御的思想,本发明提供一种网络动态防御系统及方法,该系统及方法能够实现防御系统的动态跳变,识别并隔断攻击行为,内生系统免疫能力从而有效应对网络攻击。
[0014]一方面,本发明提供一种网络动态防御系统,该系统包括:路由分配子系统、靶标子系统和主动防御子系统;
所述路由分配子系统包括路由器、客户机和服务器;所述路由器预连接存有会话知识库和身份知识库的外存模块;所述路由器、客户机和所述服务器基于所述会话知识库进行网络节点间认证;所述路由器,用于检测来自客户机的用户的合法性,将通过检测的合法用户转至所述服务器,将未通过检测的可疑用户转至靶标子系统;
所述靶标子系统,用于记录可疑用户的攻击行为,对可疑用户进行基于所述身份知识库的二次身份甄别,将通过二次身份甄别的可疑用户重新转至所述路由分配子系统,将未通过二次身份甄别的可疑用户转至主动防御子系统;
所述主动防御子系统,用于根据预设的攻击模式库对可疑用户的异常行为提取攻击特征,实时更新攻击模式库,以及根据安全等级标签管理策略对网络动态防御系统的内部文件进行备份和/或恢复。进一步地,所述路由器上存储有一五维数组,所述五维数组的前两维数组用于表示网域空间大小,所述五维数组的后三维数组分别用于表示网域空间内每个网络节点的身份标识、IP合法跳变范围和每跳IP的有效生存期。
[0015]进一步地,所述会话知识库和身份知识库通过基于挑战应答的随机数变化策略及多种网络标识规
定,并采用国产密码算法SM3进行加密。
[0016]进一步地,所述攻击模式库包括行为知识库和统一特征库;所述行为知识库,用于存储已知的攻击行为,所述统一特征库,用于存储严重违反安全策略的攻击特征。[0017]另一方面,本发明提供一种网路动态防御方法,该方法包括:
步骤1、路由器分配子系统在用户数据的数据帧中插入特征标识,并对插入特征标识后的用户数据进行基于特征帧的合法性检测;
步骤2、当路由器分配子系统检测到不符合会话知识库变化规则的可疑用户数据时,路由分配子系统将与所述可疑用户数据对应的可疑用户引入靶标子系统的蜜罐中,靶标子系统对所述可疑用户进行基于身份知识库的二次身份甄别;
豫公网安备41160202000603
站长QQ:729038198
关于我们
投诉建议