The invention provides a network dynamic defense system and method. The system includes: a routing allocation subsystem, a target subsystem and an active defense subsystem; the routing allocation subsystem includes a router, a client and a server; the router is used to detect the legitimacy of the user from the client, and the legitimate user will be transferred to the server through the detection, and the suspicious user who has not passed the detection will be transferred to the target subsystem; and the target subsystem. It is used to record the attacking behavior of suspicious users, to identify suspicious users twice based on the identity knowledge base, to redirect normal users to the routing allocation subsystem, to transfer suspicious users to the active defense subsystem, and to extract and analyze the attacking features, to backup and/or restore important data. By increasing the dynamics, randomness and uncertainty of the defense system, the invention endows the defense capability of the system, increases the attack complexity of the attacker, and effectively copes with the network attack.
【技术实现步骤摘要】
一种网络动态防御系统及方法
本专利技术涉及网络安全
,尤其涉及一种网络动态防御系统及方法。
技术介绍
现今,网络渗透到工作生活的方方面面,成为了不可或缺的第五维空间。但新型网络攻击层出不穷,网络安全形势日益严峻。漏洞是网络攻击的前提,由于网络安全漏洞的客观存在性,加之系统的静态性、相似性和确定性,使得网络安全问题无法通过挖漏洞、堵漏洞来彻底解决。防守方即使及时修补了大部分漏洞,攻击方只需利用少量漏洞就可对防守方造成不对称优势,形成了“易攻难守”的不对称局面。由于以防火墙、入侵检测和安全审计等技术为代表的传统网络防御体系是静态、封闭和被动的,在应对形式多样的新型网络攻击时往往力不从心。自2008年1月美国发布的《国家综合网络安全倡议》起,移动目标防御(Movingtargetdefense;MTD)引起了美国的高度重视,后来又发布了一系列与之相关的网络安全政策和方案。其中,美国国家科学技术委员会于2011年12月发布的《可信网络空间:联邦网络空间安全研发战略规划》确立移动目标防御为“改变游戏规则”的四个研发主题之一。美国国土安全部将MTD技术定义为改变游戏规则的新型网络安全技术,2016年美国第一个MTD技术的专利被颁发,之后国内外学者针对MTD技术开展了研究,移动目标防御技术已经成为网络空间安全研究的热点。移动目标防御是指通过动态化、虚拟化和随机化方法,破除网络各要素的静态性、确定性和相似性,使信息系统各组成部分不断改变其形态特征以此来抵御攻击的技术。移动目标防御相关技术主要有:动态网络地址转换技术、网络地址空间随机化分配技术、端信息跳变防护技术以及 ...
【技术保护点】
1.一种网络动态防御系统,其特征在于,包括:路由分配子系统、靶标子系统和主动防御子系统;所述路由分配子系统包括路由器、客户机和服务器;所述路由器预连接存有会话知识库和身份知识库的外存模块;所述路由器、客户机和所述服务器基于所述会话知识库进行网络节点间认证;所述路由器,用于检测来自客户机的用户的合法性,将通过检测的合法用户转至所述服务器,将未通过检测的可疑用户转至靶标子系统;所述靶标子系统,用于记录可疑用户的攻击行为,对可疑用户进行基于所述身份知识库的二次身份甄别,将通过二次身份甄别的可疑用户重新转至所述路由分配子系统,将未通过二次身份甄别的可疑用户转至主动防御子系统;所述主动防御子系统,用于根据预设的攻击模式库对可疑用户的异常行为提取攻击特征,实时更新攻击模式库,以及根据安全等级标签管理策略对网络动态防御系统的内部文件进行备份和/或恢复。
【技术特征摘要】
1.一种网络动态防御系统,其特征在于,包括:路由分配子系统、靶标子系统和主动防御子系统;所述路由分配子系统包括路由器、客户机和服务器;所述路由器预连接存有会话知识库和身份知识库的外存模块;所述路由器、客户机和所述服务器基于所述会话知识库进行网络节点间认证;所述路由器,用于检测来自客户机的用户的合法性,将通过检测的合法用户转至所述服务器,将未通过检测的可疑用户转至靶标子系统;所述靶标子系统,用于记录可疑用户的攻击行为,对可疑用户进行基于所述身份知识库的二次身份甄别,将通过二次身份甄别的可疑用户重新转至所述路由分配子系统,将未通过二次身份甄别的可疑用户转至主动防御子系统;所述主动防御子系统,用于根据预设的攻击模式库对可疑用户的异常行为提取攻击特征,实时更新攻击模式库,以及根据安全等级标签管理策略对网络动态防御系统的内部文件进行备份和/或恢复。2.根据权利要求1所述的网络动态防御系统,其特征在于,所述路由器上存储有一五维数组,所述五维数组的前两维数组用于表示网域空间大小,所述五维数组的后三维数组分别用于表示网域空间内每个网络节点的身份标识、IP合法跳变范围和每跳IP的有效生存期。3.根据权利要求1或2所述的网络动态防御系统,其特征在于,所述会话知识库和身份知识库通过基于挑战应答的随机数变化策略及多种网络标识规定,并采用国产密码算法SM3进行加密。4.根据权利要求1所述的网络动态防御系统,其特征在于,所述攻击模式库包括行为知识库和统一特征库;所述行为知识库,用于存储已知的攻击行为,所述统一特征库,用于存储严重违反安全策略的攻击特征。5.一种网络动态防御方法,其特征在于,包括:步骤1、路由器分配子系统在用户数据的数据帧中插入特征标识,并对插入特征标识后的用户数据进行基于特征帧的合法性检测;步骤2、当路由器分配子系统检测到不符合会话知识库变化规则的可疑用户数据时,路由分配子系统将与所述可疑用户数据对应的可疑用户引入靶标子系统的蜜罐中,靶标子系统对所述可疑用户进行基于身份知...
【专利技术属性】
技术研发人员:刘小虎,张玉臣,刘璟,张柏赞,谭晶磊,王硕,
申请(专利权)人:中国人民解放军战略支援部队信息工程大学,
类型:发明
国别省市:河南,41
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。