一种数据系统配置保障装置和数据系统配置防御方法制造方法及图纸

本发明专利技术提出一种基于实时响应的数据系统配置保障装置和方法，所述数据系统配置保障装置包括交互模块、用户设备和实时响应单元，交互模块为内网中的每一个用户终端配置一个用户状态记录表，所述用户状态记录表包括分配给用户终端的真实网络地址、虚拟网络地址和外网访问网络地址，实时响应单元实时响应虚拟网络地址，交互模块使内网中的用户终端之间采用v-IP进行通信，内网中的用户终端和外网之间采用w-IP进行通信。本发明专利技术打破传统内网的静态性特征，通过实时响应内网中用户终端的网络地址信息，使得攻击者无法获得内网的拓扑结构，无法准确获得内网中用户终端的真实信息，从而有效防御了内网攻击行为，提高了内网的安全。提高了内网的安全。提高了内网的安全。

A data system configuration support device and a data system configuration defense method

【技术实现步骤摘要】
一种数据系统配置保障装置和数据系统配置防御方法


[0001]本专利技术涉及数据系统配置领域，尤其涉及一种基于实时响应的数据系统配置保障装置和数据系统配置防御方法。

技术介绍

[0002]内网安全在实际网络环境中非常重要，但被大多数数据系统配置设备忽视。现有的方法普遍通过采集流量来检测攻击行为，但是异常流量往往在攻击行为之后产生，因而此类方法无法对攻击行为进行实时防御。另一种方法是在接入网络的主机上部署数据系统配置保障装置，虽然能够防御部分攻击行为，但无法防御未知的内网攻击行为。静态的互联网协议地址分配使得攻击者可以通过扫描本地或远程的网络精确快速地确定攻击目标。在目标网络中确定活动主机的网络地址是大部分攻击的首要步骤，扫描工具和蠕虫通常对网络中一定范围内的网络地址发送探针来发现目标，一旦目标响应，即可确定目标并进行攻击。
[0003]大部分网络即使部署了防火墙也存在很多公共的和私有的主机可以被外部访问，而且所有的网络对于内部的扫描者缺乏有效的防御手段，一旦攻击者潜入内网，即可探测网络的拓扑结构并进行相应的攻击。使用动态主机配置协议（Dynamic Host Configuration Protocol，简称DHCP）或网络地址转换（Network Address Translation，简称NAT）可以动态分配网络地址，但是仍然不能主动地进行防御，因为网络地址的变换并不频繁且容易被追踪。
[0004]申请号为 200510036269.6 的专利技术专利公开了一种网络病毒防护领域的主动探测病毒防护系统及其防护方法，该系统包括嵌入于三层交换机中的探针模块、存储器、安全策略模块以及安装于信息监控服务器中的外部访问管理系统，该专利技术解决了现有局域网病毒防护系统无法防范局域网子网间病毒攻击的缺点，但是该专利提供的方法不能检测交换机下物理端口之间流量中存在的攻击，内网攻击检测仍有空白；申请号为 200410017802.X 的专利技术专利公开了一种数据系统配置防护的分布式入侵检测与内网监控系统及方法，该系统为三层分布式结构，包括网络和主机检测器、中央控制器、管理监控中心、后台数据库，检测器根据安全规则按网络地址和MAC地址进行入侵检测和内网监控；发现入侵或违规及时阻断，报警并记入后台数据库；根据记录的信息进行审计，对被破坏的数据进行还原，其问题在于不能检测单台交换机设备之下各端口之间流量中的异常，不能深入到网络底层检测攻击；申请号为 02115957.2 的专利技术专利公开了一种分布式数据系统配置保护系统，配置汇总决策模块和策略发布模块，网络按照树型结构分为N个子网，各子网管理台上均配置汇总决策模块和策略发布模块，子网中每个节点都安装微入侵检测模块和微防火墙模块，策略发布模块采用移动代理技术；本系统的分布式微入侵检测模块以单个节点机为保护对象，从而实现双重细粒度的安全保护，问题在于需要在每台被监测主机上安装入侵检测和防火墙系统，部署成本大大增加，特别是网络规模较大的情况下，部署难度很大；
申请号为200810122357.1的专利技术专利公开了一种用于内网攻击检测的报警和响应系统，其检测机的异常检测算法模块对内网进行异常信息检测，获取异常检测信息并确定该信息的可信度，当该异常检测信息的可信度到达预设值时发出报警信息，其问题在于组成模块多，结构复杂，且被动地对流量进行分析，不能从根本上阻止内网攻击。
[0005]总的来说，现有内网防御技术包括杀毒软件技术、入侵检测技术、数据加密技术等，在一定程度上保护了内网的安全。但是，由于现有网络的拓扑信息的静态性，攻击者往往有充足的时间分析内网架构和网络地址信息，从而逐步渗透内网，达到攻击目标。

技术实现思路

[0006]本专利技术的目的在于克服上述已有技术的缺点，打破传统内网的静态性特征，提出一种基于实时响应的数据系统配置保障装置和数据系统配置防御方法，其基本思想是：通过实时响应内网中用户终端的网络地址信息，使得攻击者无法获得内网的拓扑结构，无法准确获得内网中用户终端的真实信息，从而有效防御了内网攻击行为，提高了内网的安全。
[0007]为实现上述专利技术目的，本专利技术所提供的技术方案是：一种基于实时响应的数据系统配置保障装置，包括交互模块13、用户设备14和实时响应单元15，所述交互模块13连接所述用户设备14，所述实时响应单元15连接所述用户设备14，所述交互模块13为布置所述数据系统配置保障装置的内网中的每一个用户终端配置一个用户状态记录表，并存储于所述用户设备14中，所述用户状态记录表包括分配给用户终端的r-IP、v-IP和w-IP，其中r-IP为分配给用户终端的真实网络地址，v-IP为分配给用户终端的虚拟网络地址，w-IP为分配给用户终端的外网访问网络地址，所述实时响应单元15实时响应所述用户设备14中存储的v-IP，所述交互模块13基于所述用户状态记录表处理用户终端的通信数据包，并使内网中的用户终端之间采用v-IP进行通信，内网中的用户终端和外网之间采用w-IP进行通信。
[0008]进一步的根据本专利技术所述的数据系统配置保障装置，其中所述用户设备14存储的r-IP、v-IP和w-IP相互之间具有一一对应关系，每个用户终端的用户状态记录表中包括有相互对应的一组r-IP、v-IP和w-IP，所述通信数据包包括有源IP、目的IP、源端口、目的端口和通信协议；对于内网中的两个用户终端进行通信时，所述交互模块13将通信数据包中的源IP替换为发送该通信数据包的用户终端的用户状态记录表中与所述源IP对应的v-IP,将通信数据包中的目的IP替换为接收该通信数据包的用户终端的用户状态记录表中与所述目的IP对应的r-IP；对于内网中的用户终端访问外网时，所述交互模块13将通信数据包中的源IP替换为发送该通信数据包的用户终端的用户状态记录表中与所述源IP对应的w-IP；对于外网访问内网中的用户终端时，所述交互模块13将来自外网的通信数据包中的目的IP替换为接收该通信数据包的用户终端的用户状态记录表中与所述目的IP对应的r-IP。
[0009]进一步的根据本专利技术所述的数据系统配置保障装置，其中所述数据系统配置保障装置还包括有数据单元12，所述数据单元12连接于所述交互模块13，所述交互模块13包括网络地址分配模块31、域名解析模块32、会话信息存储模块33和网络地址变换模块34，所述网络地址分配模块31连接于所述数据单元12和所述用户设备14，所述域名解析模块32连接于所述数据单元12和所述用户设备14，所述会话信息存储模块33连接于所述网络地址变换模块34，所述网络地址变换模块34连接于所述数据单元12和所述用户设备14；所述网络地
址分配模块31为接入内网的每一个用户终端分配一个r-IP，并为每一个r-IP分配对应的一个v-IP和对应的一个w-IP,为每一个v-IP生成对应的一个vDomain，为每一个v-IP生成对应的v-IPtime，为每一个vDomain生成对应的vDomaintime，并获得每一个用户终端的rMac，其中所述vDomain为v-IP对应的虚拟域名，所述v-I本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于实时响应的数据系统配置保障装置，其特征在于，包括交互模块（13）、用户设备（14）和实时响应单元（15），所述交互模块（13）连接所述用户设备（14），所述实时响应单元（15）连接所述用户设备（14），所述交互模块（13）为布置所述数据系统配置保障装置的内网中的每一个用户终端配置一个用户状态记录表，并存储于所述用户设备（14）中，所述用户状态记录表包括分配给用户终端的r-IP、v-IP和w-IP，其中r-IP为分配给用户终端的真实网络地址，v-IP为分配给用户终端的虚拟网络地址，w-IP为分配给用户终端的外网访问网络地址，所述实时响应单元（15）实时响应所述用户设备（14）中存储的v-IP，所述交互模块（13）基于所述用户状态记录表处理用户终端的通信数据包，并使内网中的用户终端之间采用v-IP进行通信，内网中的用户终端和外网之间采用w-IP进行通信。2.根据权利要求1所述的数据系统配置保障装置，其特征在于，所述用户设备（14）存储的r-IP、v-IP和w-IP相互之间具有一一对应关系，每个用户终端的用户状态记录表中包括有相互对应的一组r-IP、v-IP和w-IP，所述通信数据包包括有源IP、目的IP、源端口、目的端口和通信协议；对于内网中的两个用户终端进行通信时，所述交互模块（13）将通信数据包中的源IP替换为发送该通信数据包的用户终端的用户状态记录表中与所述源IP对应的v-IP,将通信数据包中的目的IP替换为接收该通信数据包的用户终端的用户状态记录表中与所述目的IP对应的r-IP；对于内网中的用户终端访问外网时，所述交互模块（13）将通信数据包中的源IP替换为发送该通信数据包的用户终端的用户状态记录表中与所述源IP对应的w-IP；对于外网访问内网中的用户终端时，所述交互模块（13）将来自外网的通信数据包中的目的IP替换为接收该通信数据包的用户终端的用户状态记录表中与所述目的IP对应的r-IP。3.根据权利要求2所述的数据系统配置保障装置，其特征在于，所述数据系统配置保障装置还包括有数据单元（12），所述数据单元（12）连接于所述交互模块（13），所述交互模块（13）包括网络地址分配模块（31）、域名解析模块（32）、会话信息存储模块（33）和网络地址变换模块（34），所述网络地址分配模块（31）连接于所述数据单元（12）和所述用户设备（14），所述域名解析模块（32）连接于所述数据单元（12）和所述用户设备（14），所述会话信息存储模块（33）连接于所述网络地址变换模块（34），所述网络地址变换模块（34）连接于所述数据单元（12）和所述用户设备（14）；所述网络地址分配模块（31）为接入内网的每一个用户终端分配一个r-IP，并为每一个r-IP分配对应的一个v-IP和对应的一个w-IP,为每一个v-IP生成对应的一个vDomain，为每一个v-IP生成对应的v-IPtime，为每一个vDomain生成对应的vDomaintime，并获得每一个用户终端的rMac，其中所述vDomain为v-IP对应的虚拟域名，所述v-IPtime为v-IP生成的当前时间，所述vDomaintime为vDomain生成的当前时间，所述rMac为用户终端的物理网卡地址，所述网络地址分配模块（31）生成各用户终端的用户状态记录表并存储于用户设备（14）中，每个用户终端的用户状态记录表包括对应的一组r-IP、v-IP、w-IP、vDomain、v-IPtime、vDomaintime和rMac；所述域名解析模块（32）基于用户设备（14）中存储的用户状态记录表解析DNS数据包；所述网络地址变换模块（34）执行通信数据包的IP替换操作；所述数据单元（12）作为交互模块（13）的数据包收发单元，并将接收的DHCP数据包发往网络地址分配模块（31），将接收的DNS数据包发往域名解析模块（32），将DHCP数据包和DNS数据包之外的其他数据包发往所述网络地址变换模块（34）。4.根据权利要求3所述的数据系统配置保障装置，其特征在于，所述网络地址变换模块
IP,则按照上述内网中两个用户终端的通信方式进行通信。8.根据权利要求3-7所述的数据系统配置保障装置，其特征在于，所述实时响应单元（15）包括虚拟IP修改模块（41）和虚拟域名修改模块（42），所述虚拟IP修改模块（41）遍历所述用户设备（14），动态修改用户设备（14）中的v-IP并保证v-IP不重复出现，所述虚拟域名修改模块（4...

【专利技术属性】
技术研发人员：ꢀ五一IntClH零四L二九零六，
申请(专利权)人：西安跃亿智产信息科技有限公司，
类型：发明
国别省市：