The invention provides a stochastic method for dynamic defense of intranet, which relates to the technical field of network security, in which a dynamic environment is formed by active jump and rapid migration of the network, and a dynamic and constantly changing \network maze\ is constructed so that the attacker can not find the attack target, thereby destroying the basic conditions for the implementation of network attacks; Behavior, actively changing network defense strategy, increasing the difficulty of attackers, so as to achieve a comprehensive and effective defense, identification and positioning of network attacks, including APT attacks.
【技术实现步骤摘要】
一种内网动态防御的随机方法
本专利技术涉及网络安全领域,具体而言,涉及一种内网动态防御的随机方法。
技术介绍
随着网络安全曝光事件在不断增加,高水准的攻击手法、系统化的攻击平台、商用木马、网络军火、0day漏洞不断涌现,对国家、企业和个人的网络空间安全都造成了严重的威胁,如何保障网络互联安全,实现有效防御,已成为目前急需解决的问题,目前,网络安全防御是在现有网络体系架构的基础上建立包括防火墙和安全网关、入侵检测、病毒查杀、访问控制、数据加密等多层次的防御体系来提升网络及应用的安全性,但是上述防御技术都是基于静态网络配置下的,即网络中的节点地址、网络结构、网络协议等均固定不变,这些配置信息一旦被入侵者搜集得到,就可以根据网络特点有针对性地入侵,达到事半功倍的效果。从理论上说,攻击者有无限的时间研究这些结构设施及其潜在的弱点,以达成目的。
技术实现思路
有鉴于此,本专利技术实施例的目的在于提供一种内网动态防御的随机方法,实现对内网的有效防御。第一方面,本专利技术实施例提供了一种内网动态防御的随机方法,所述方法包括:如图3所示。通过网络空间地址随机化,及大量全息伪装节点来减少系统的攻击面。在本文中,每个主机拥有两个IP地址:外网IP(wIP)和虚拟IP(vIP)。主机使用vIP与内网的其他主机通信,而使用wIP和外网主机进行通信,同时wIP保持不变,而vIP则间隔特定时间,从该主机被分配的地址空间中随机变化。同时,在网络中虚拟大量全息伪装且随机变化的高仿真节点,对攻击进行诱捕。必须保证即使可用的地址空间很小时,依然能够保证主机的IP地址的跳变频率,并且在一个合理时间 ...
【技术保护点】
1.一种内网动态防御的随机方法,其特征在于,所述方法包括:通过不断随机跳变通信过程中的网络拓扑和节点网络属性,使得内网中已被渗透的节点难以获得其他用户的真实信息,从而无法寻找攻击目标,虚拟出大量的随机的全息仿真节点,这些节点正常的用户不会访问,一旦攻击者在内网中尝试在内网中扫描和渗透,会以极大的概率命中虚假节点,这些虚假节点变成了风险感知的探针,可以定位攻击来源,防御系统可以对攻击进行封堵和隔离,从而瓦解威胁,通信过程中IP地址的变化对主机而言是透明无感的,即不影响主机的正常通信。
【技术特征摘要】
1.一种内网动态防御的随机方法,其特征在于,所述方法包括:通过不断随机跳变通信过程中的网络拓扑和节点网络属性,使得内网中已被渗透的节点难以获得其他用户的真实信息,从而无法寻找攻击目标,虚拟出大量的随机的全息仿真节点,这些节点正常的用户不会访问,一旦攻击者在内网中尝试在内网中扫描和渗透,会以极大的概率命中虚假节点,这些虚假节点变成了风险感知的探针,可以定位攻击来源,防御系统可以对攻击进行封堵和隔离,从而瓦解威胁,通信过程中IP地址的变化对主机而言是透明无感的,即不影响主机的正常通信。2.根据权利要求1所述的方法,其特征在于,不断随机跳变通信真节点,包括:如图1所示,不断随机跳变通信过程中的网络拓扑及节点网络属性,每个主机拥有两个IP地址:外网IP(wIP)和虚拟IP(vIP),主机使用vIP与内网的其他主机通信,而使用wIP和外网主机进行通信,同时wIP保持不变,而vIP则间隔特定时间,从该主机被分配的地址空间中随机变化,虚拟大量随机的全息仿真节点,对攻击进行诱捕,须保证即使可用的地址空间很小时,依然能够保证主机的IP地址的跳变频率,并且在一个合理时间内,IP地址没有被重用(一个IP没有被分配给任何主机两次)。3.根据权利要求2所述的方法,其特征在于,所述动态防御技术是基于软件定义网络的基本架构进行设计,系统主要分为控制层和数据层,包括:所有主机属性需进行动态变换,以增加网络的探测难度,使得接入主机看到动态的虚拟拓扑,且使管理员对网络中渗透情况进行审计,通过软件定义网络的应用,保证虚拟IP动态变化的同时,保证用户的正常通信不受影响,实现系统的无感接入。4.根据权利要求3所述方法,其特征在于,所述控制层添加相应IP替换和转发操作的流表。5.根据权利要求4所述方法,其特征在于,所述控制层会成为数据层生成的流表项的根据,而后数据层对数据...
【专利技术属性】
技术研发人员:李坚,娄竞,张长河,杨一民,王毅,王海,罗冰冰,高阳,于洋,张宝英,阎秩娟,
申请(专利权)人:国家电网有限公司,国网冀北电力有限公司张家口供电公司,
类型:发明
国别省市:北京,11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。