一种内网动态防御的随机方法技术

本发明专利技术提供了一种内网动态防御的随机方法，涉及网络安全的技术领域，其中，通过网络的主动跳变、快速迁移形成动态环境，构建一个动态的、不断变化的“网络迷宫”，使攻击者无法找到攻击目标，从而破坏网络攻击能够实施的基础条件；分析和识别网络攻击行为，主动改变网络防御策略，增加攻击者的攻击难度，从而实现了全面有效地抵御、识别和定位包括APT攻击在内的网络攻击行为。

A Stochastic Method for Intranet Dynamic Defense

The invention provides a stochastic method for dynamic defense of intranet, which relates to the technical field of network security, in which a dynamic environment is formed by active jump and rapid migration of the network, and a dynamic and constantly changing \network maze\ is constructed so that the attacker can not find the attack target, thereby destroying the basic conditions for the implementation of network attacks; Behavior, actively changing network defense strategy, increasing the difficulty of attackers, so as to achieve a comprehensive and effective defense, identification and positioning of network attacks, including APT attacks.

【技术实现步骤摘要】
一种内网动态防御的随机方法
本专利技术涉及网络安全领域，具体而言，涉及一种内网动态防御的随机方法。
技术介绍
随着网络安全曝光事件在不断增加，高水准的攻击手法、系统化的攻击平台、商用木马、网络军火、0day漏洞不断涌现，对国家、企业和个人的网络空间安全都造成了严重的威胁，如何保障网络互联安全，实现有效防御，已成为目前急需解决的问题，目前，网络安全防御是在现有网络体系架构的基础上建立包括防火墙和安全网关、入侵检测、病毒查杀、访问控制、数据加密等多层次的防御体系来提升网络及应用的安全性，但是上述防御技术都是基于静态网络配置下的，即网络中的节点地址、网络结构、网络协议等均固定不变，这些配置信息一旦被入侵者搜集得到，就可以根据网络特点有针对性地入侵，达到事半功倍的效果。从理论上说，攻击者有无限的时间研究这些结构设施及其潜在的弱点，以达成目的。
技术实现思路
有鉴于此，本专利技术实施例的目的在于提供一种内网动态防御的随机方法，实现对内网的有效防御。第一方面，本专利技术实施例提供了一种内网动态防御的随机方法，所述方法包括：如图3所示。通过网络空间地址随机化，及大量全息伪装节点来减少系统的攻击面。在本文中，每个主机拥有两个IP地址：外网IP(wIP)和虚拟IP(vIP)。主机使用vIP与内网的其他主机通信，而使用wIP和外网主机进行通信，同时wIP保持不变，而vIP则间隔特定时间，从该主机被分配的地址空间中随机变化。同时，在网络中虚拟大量全息伪装且随机变化的高仿真节点，对攻击进行诱捕。必须保证即使可用的地址空间很小时，依然能够保证主机的IP地址的跳变频率，并且在一个合理时间内，IP地址没有被重用(一个IP没有被分配给任何主机两次)。假设网络中有k台真实主机节点H＝{h1…,hk}，同时虚拟出n个全息伪装的节点F＝{f1…,fm}，每个节点被分配的地址空间为S＝{s1…,sn}，其中k+m≤n。每台节点所需的IP最小跳变频率为Ri，在一定的时间间隔T内，一个vIP不会被分配给任何主机两次。设函数A映射所有主机hi到地址A(hi)＝s，其中i≤k，s∈S.在一个变化周期内，设攻击者生成一个j个元素的攻击列表攻击者则第一次就能命中某个真实主机节点的概率为k/(k+m)，如果第一次命中伪装节点，则立刻被发现和封堵。攻击者则第一次和第二次都能命中真实主机节点，且不被发现的概率为攻击者则从第一次直至第j次(其中j≤k)都能命中真实主机节点，且不被发现的概率为否则，如果其中某次命中伪装节点，则立刻被发现和封堵，所以第j次攻击被发现的概率为当k＜＜m时，攻击行为将以极大的概率被发现。通过公式可证明，当攻击者的攻击范围越大，攻击者被发现和封堵的概率越大。第二方面，本专利技术实施例提供了一种内网动态防御的随机方法，所述方法包括：内网动态防御系统是基于软件定义网络的基本架构进行设计，系统主要分为控制层和数据层。系统在控制层添加相应IP替换和转发操作的流表，数据层则根据控制层生成的流表项对数据包进行操作。为了保证系统动态虚拟变换的特性，上述所有主机属性均需进行动态变换，以增加网络的探测难度，使得接入主机看到动态的虚拟拓扑，且使管理员对网络中渗透情况进行审计。通过软件定义网络的应用，保证虚拟IP动态变化的同时，保证用户的正常通信不受影响，实现系统的无感接入。结合第二方面，本专利技术实施例提供了上述第二方面可能的实现方式，通过网络的主动跳变、快速迁移形成动态环境，构建一个动态的、不断变化的“网络迷宫”，使攻击者无法找到攻击目标，从而破坏网络攻击能够实施的基础条件。通过终端身份动态随机跳变和全息伪装混淆攻击者认知，打破攻击者知识和能力积累，由传统的目标可期提升为三维空间防御。通过服务器全息复制、服务器端口虚开等技术进一步的迷惑及诱捕攻击者，提升服务器内部网络安全。结合第二方面，本专利技术实施例提供了上述第二方面可能的实现方式，改变现有的网络交换模式，由现有的横向无边界交换模式(内网终端之间可通过交换机端口转发表无阻碍随意通讯)提升为微隔离交换模式(内网每台终端之间都被逻辑隔离，内网终端之间的非结合第二方面，本专利技术实施例提供了上述第二方面可能的实现方式，通过监控网络流量数据，对正常用户的行为进行深度学习，可以智能或手动设置白名单。通过对网络行为日志的五元组信息、流量信息、协议信息、行为习惯等信息进行关联分析，发现传统规则检测手段无法发现的未知威胁，实现攻击早期的快速发现。提供基于机器学习算法对用户行为习惯进行建模，通过历史行为模型，实时地检测异常用户行为并产生预警，并且根据学习可以感知到网络危险状态，主动改变网络防御策略，极大增加攻击者的攻击难度，达到全面有效地抵御、识别和定位包括APT攻击在内的网络攻击行为。附图说明图1系统总体框架的示意图，图2本专利技术实施例二的实施方式，图3框架的局部示意图。本文档来自技高网...

【技术保护点】
1.一种内网动态防御的随机方法，其特征在于，所述方法包括：通过不断随机跳变通信过程中的网络拓扑和节点网络属性，使得内网中已被渗透的节点难以获得其他用户的真实信息，从而无法寻找攻击目标，虚拟出大量的随机的全息仿真节点，这些节点正常的用户不会访问，一旦攻击者在内网中尝试在内网中扫描和渗透，会以极大的概率命中虚假节点，这些虚假节点变成了风险感知的探针，可以定位攻击来源，防御系统可以对攻击进行封堵和隔离，从而瓦解威胁，通信过程中IP地址的变化对主机而言是透明无感的，即不影响主机的正常通信。

【技术特征摘要】
1.一种内网动态防御的随机方法，其特征在于，所述方法包括：通过不断随机跳变通信过程中的网络拓扑和节点网络属性，使得内网中已被渗透的节点难以获得其他用户的真实信息，从而无法寻找攻击目标，虚拟出大量的随机的全息仿真节点，这些节点正常的用户不会访问，一旦攻击者在内网中尝试在内网中扫描和渗透，会以极大的概率命中虚假节点，这些虚假节点变成了风险感知的探针，可以定位攻击来源，防御系统可以对攻击进行封堵和隔离，从而瓦解威胁，通信过程中IP地址的变化对主机而言是透明无感的，即不影响主机的正常通信。2.根据权利要求1所述的方法，其特征在于，不断随机跳变通信真节点，包括：如图1所示，不断随机跳变通信过程中的网络拓扑及节点网络属性，每个主机拥有两个IP地址：外网IP(wIP)和虚拟IP(vIP)，主机使用vIP与内网的其他主机通信，而使用wIP和外网主机进行通信，同时wIP保持不变，而vIP则间隔特定时间，从该主机被分配的地址空间中随机变化，虚拟大量随机的全息仿真节点，对攻击进行诱捕，须保证即使可用的地址空间很小时，依然能够保证主机的IP地址的跳变频率，并且在一个合理时间内，IP地址没有被重用(一个IP没有被分配给任何主机两次)。3.根据权利要求2所述的方法，其特征在于，所述动态防御技术是基于软件定义网络的基本架构进行设计，系统主要分为控制层和数据层，包括：所有主机属性需进行动态变换，以增加网络的探测难度，使得接入主机看到动态的虚拟拓扑，且使管理员对网络中渗透情况进行审计，通过软件定义网络的应用，保证虚拟IP动态变化的同时，保证用户的正常通信不受影响，实现系统的无感接入。4.根据权利要求3所述方法，其特征在于，所述控制层添加相应IP替换和转发操作的流表。5.根据权利要求4所述方法，其特征在于，所述控制层会成为数据层生成的流表项的根据，而后数据层对数据...

【专利技术属性】
技术研发人员：李坚，娄竞，张长河，杨一民，王毅，王海，罗冰冰，高阳，于洋，张宝英，阎秩娟，
申请(专利权)人：国家电网有限公司，国网冀北电力有限公司张家口供电公司，
类型：发明
国别省市：北京,11