一种虚拟变换系统、方法及网络安全系统与方法技术方案

本发明专利技术提出一种基于实时响应的虚拟变换系统、方法及网络安全系统与方法，所述虚拟变换系统包括虚拟虚假变换信息配置单元和虚拟实时响应单元，虚拟虚假变换信息配置单元根据用户配置信息配置可实时响应的、至少包括虚假网络地址和虚假MAC地址的虚假响应信息，虚拟实时响应单元基于虚假响应信息构造虚假响应数据包对可疑的扫描探测数据包进行虚假响应。本发明专利技术通过对攻击者的扫描探测行为进行虚假响应，且虚假响应可根据配置进行实时响应，从而使攻击者无法获得网络的拓扑结构，无法准确获得网络中主机的真实信息，从而有效防御了网络渗透攻击行为，维护了网络的安全稳定。维护了网络的安全稳定。维护了网络的安全稳定。

A virtual transformation system, method and network security system and method

【技术实现步骤摘要】
一种虚拟变换系统、方法及网络安全系统与方法


[0001]本专利技术涉及网络安全领域，尤其涉及一种基于实时响应的虚拟变换系统、虚假响应方法以及基于此的网络安全系统和网络安全防御方法。

技术介绍

[0002]随着计算机网络和信息技术的迅猛发展，全球信息化进程不断加速，网络在当今社会中的作用越来越重要，成为了涵盖政府、商业、金融、通信等重要领域的国家战略资源。与此同时，网络安全威胁也是层出不穷，攻击者通过技术手段或社会工程学的方法进入网络系统，进行信息窃取，系统破坏，恶意欺骗等活动，不但影响了普通民众的工作生活，也成为了威胁经济、社会乃至国家安全的重大问题。
[0003]内网随着网络的发展而逐渐在政府、企业、高校等单位中广泛应用。由于内网的管理和维护较为方便，并且能有效提高企事业单位和员工的工作效率，因此，在上世纪90年代和本世纪初，内网在我国各个行业取得空前发展。内网的安全在实际网络环境中非常重要，但被大多数网络安全设备忽视。现有的方法普遍通过采集流量来检测攻击行为，但是异常流量往往在攻击行为之后产生，因而此类方法无法对攻击行为进行实时防御。另一种方法是在接入网络的主机上部署网络安全防御系统，虽然能够防御部分攻击行为，但依赖于操作系统且无法做到对用户透明。扫描探测通常是攻击者进行内网渗透攻击的首要步骤，攻击者可以利用扫描探测工具对本地网络进行探测，根据响应结果精确快速地确定当前网络中主机的存活状态、主机端口开放的状态、主机操作系统的类型和版本、可能存在的漏洞等信息等，为后续的网络攻击和长期控守奠定基础。因此，阻断内网渗透攻击可以将多数入侵行为扼杀在萌芽状态，从而达到防患于未然的效果，减少恶意攻击带来的损失。
[0004]申请号为200910085033.X的专利技术专利公开了一种检测端口扫描行为的方法和系统，包括：将受保护的各客户端的1P地址与其开放的端口号的对应关系写入配置文件中；监测受保护的各客户端被访问情况，维护各访问客户端对受保护的客户端的开放端口访问列表和未开放端口访问列表；根据各访问客户端对受保护的客户端的开放端口访问列表和未开放端口访问列表，分别计算各受保护客户端的开放端口以及未开放端口被各访问客户端平均访问过的个数；按照预置的扫描判断准则进行扫描判断。该方法对快速扫描行为具有较好的检测效果，但是对慢扫描行为检测效果较差。
[0005]申请号为201510018050.7的专利技术专利公开了一种基于多源报警日志的网络攻击场景生成方法，首先收集多种网络安全防护设备产生的报警日志，通过预处理提取有效报警日志数据；针对单个设备得到的报警日志，通过单源日志聚合与映射，屏蔽不同设备日志格式差异，分析提取攻击事件信息；对从不同源提取的攻击事件，进行融合分析，生成具有较高可信度的网络攻击事件；进而通过攻击事件关联分析，生成网络攻击场景图，分析出一次攻击行动的整个攻击过程。由于融合了多源日志，所以分析出的攻击事件信息可以更完整地刻画网络遭受的攻击。但是该方法没有考虑每一个报警源的可信度，此外如果攻击者仅仅是进行扫描探测而没有进行下一步的攻击活动，该方法会失效。
[0006]申请号为201220157554.9的专利技术专利公开了一种基于多可信级别的内网的监控系统，包括高带宽数据分析机构、层次式内容分析机构、网络资源访问机构、多层防信息泄密机构、病毒木马自动免疫模块、多重防非法接入模块；所述高宽带数据分析机构的数据线连接所述层次式内容分析和所述网络资源访问机构，所述多层防信息泄密机构、所述病毒木马自动免疫模块与所述多重防非法接入模块与所述网络资源访问机构连接。该系统在一定程度上能提供内网资源的合法性管理与行为审计，防止来源于内部的攻击和非授权访问行为，但是由于涉及模块较多，部署复杂，其实用性和通用性较差。
[0007]总的来说，现有的网络渗透攻击检测方法无法在实际应用中获得较好的效果，其根本原因在于，攻击者利用扫描探测工具对目标网络进行扫描，得到的响应信息往往是真实的、确定的。攻击者可以通过多次扫描来分析网络架构、主机系统并找出其中的漏洞，最终逐步渗透并控制网络，达到攻击目的。

技术实现思路

[0008]为了有效防御网络渗透攻击行为，本专利技术另辟蹊径，提出一种基于实时响应的虚拟变换系统及虚假响应方法，并提出基于实时响应虚假响应的网络安全系统和方法。其基本技术思想是：通过对攻击者的扫描探测行为进行虚假响应，且虚假响应可根据配置进行实时响应，从而使攻击者无法获得网络的拓扑结构，无法准确获得网络中主机的真实信息，从而有效防御了网络渗透攻击行为，维护了网络的安全稳定。
[0009]本专利技术解决上述技术问题所采取的技术方案如下：一种基于实时响应的虚拟变换系统，包括：虚拟虚假变换信息配置单元和虚拟实时响应单元，所述虚拟虚假变换信息配置单元连接于所述虚拟实时响应单元，所述虚拟虚假变换信息配置单元根据用户配置信息配置可实时响应的虚假响应信息，所述虚假响应信息至少包括虚假的网络地址和虚假的MAC地址，所述虚拟实时响应单元基于所述虚假响应信息对发送至虚拟实时响应单元的请求数据包构造虚假响应数据包。
[0010]进一步的根据本专利技术所述的虚拟变换系统，其中所述虚假响应信息包括虚假网络地址、虚假网络地址所对应的虚假MAC地址和虚假网络地址所对应的虚假端口，所述请求数据包包括ARP请求数据包、ICMP请求数据包、TCP SYN请求数据包中的至少一种；对于ARP请求数据包，所述虚拟实时响应单元提取ARP请求数据包中的目标网络地址，并根据包含有该目标网络地址的虚假响应信息构造ARP虚假响应数据包；对于ICMP请求数据包，所述虚拟实时响应单元提取ICMP请求数据包中的目标网络地址，并根据包含有该目标网络地址的虚假响应信息构造ICMP虚假响应数据包；对于TCP SYN请求数据包，所述虚拟实时响应单元提取TCP SYN请求数据包中的目标网络地址和目标端口，并根据包含有该目标网络地址和目标端口的虚假响应信息构造TCP SYN+ACK虚假响应数据包。
[0011]进一步的根据本专利技术所述的虚拟变换系统，其中所述虚拟虚假变换信息配置单元包括虚假响应信息存储单元12、虚假响应信息生成单元13和虚假响应信息实时响应单元17，所述虚假响应信息生成单元13和虚假响应信息实时响应单元17连接于所述虚假响应信息存储单元12，所述虚假响应信息生成单元13根据用户配置信息生成若干条虚假响应信息并存储于所述虚假响应信息存储单元12中，所述虚假响应信息实时响应单元17根据用户配置信息实时响应虚假响应信息存储单元12中存储的虚假响应信息，所述虚拟实时响应单元
连接于所述虚假响应信息存储单元12；所述用户配置信息包括可进行虚假响应的网络地址范围、可进行虚假响应的MAC地址范围、可进行虚假响应的端口范围及每个端口进行虚假响应的概率、可进行虚假响应的操作系统类型与版本范围和虚假响应信息进行实时响应的时间间隔信息。
[0012]进一步的根据本专利技术所述的虚拟变换系统，其中所述虚假响应信息生成单元13包含：响应IP生成模块21、响应MAC生成模块22、响应端口本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于实时响应的虚拟变换系统，其特征在于，包括：虚拟虚假变换信息配置单元和虚拟实时响应单元，所述虚拟虚假变换信息配置单元连接于所述虚拟实时响应单元，所述虚拟虚假变换信息配置单元根据用户配置信息配置可实时响应的虚假响应信息，所述虚假响应信息至少包括虚假的网络地址和虚假的MAC地址，所述虚拟实时响应单元基于所述虚假响应信息对发送至虚拟实时响应单元的请求数据包构造虚假响应数据包。2.根据权利要求1所述的虚拟变换系统，其特征在于，所述虚假响应信息包括虚假网络地址、虚假网络地址所对应的虚假MAC地址和虚假网络地址所对应的虚假端口，所述请求数据包包括ARP请求数据包、ICMP请求数据包、TCP SYN请求数据包中的至少一种；对于ARP请求数据包，所述虚拟实时响应单元提取ARP请求数据包中的目标网络地址，并根据包含有该目标网络地址的虚假响应信息构造ARP虚假响应数据包；对于ICMP请求数据包，所述虚拟实时响应单元提取ICMP请求数据包中的目标网络地址，并根据包含有该目标网络地址的虚假响应信息构造ICMP虚假响应数据包；对于TCP SYN请求数据包，所述虚拟实时响应单元提取TCP SYN请求数据包中的目标网络地址和目标端口，并根据包含有该目标网络地址和目标端口的虚假响应信息构造TCP SYN+ACK虚假响应数据包。3.根据权利要求2所述的虚拟变换系统，其特征在于，所述虚拟虚假变换信息配置单元包括虚假响应信息存储单元（12）、虚假响应信息生成单元（13）和虚假响应信息实时响应单元（17），所述虚假响应信息生成单元（13）和虚假响应信息实时响应单元（17）连接于所述虚假响应信息存储单元（12），所述虚假响应信息生成单元（13）根据用户配置信息生成若干条虚假响应信息并存储于所述虚假响应信息存储单元（12）中，所述虚假响应信息实时响应单元（17）根据用户配置信息实时响应虚假响应信息存储单元（12）中存储的虚假响应信息，所述虚拟实时响应单元连接于所述虚假响应信息存储单元（12）；所述用户配置信息包括可进行虚假响应的网络地址范围、可进行虚假响应的MAC地址范围、可进行虚假响应的端口范围及每个端口进行虚假响应的概率、可进行虚假响应的操作系统类型与版本范围和虚假响应信息进行实时响应的时间间隔信息。4.根据权利要求3所述的虚拟变换系统，其特征在于，所述虚假响应信息生成单元（13）包含：响应IP生成模块（21）、响应MAC生成模块（22）、响应端口生成模块（23）和响应操作系统类型与版本生成模块（24），所述响应IP生成模块（21）根据用户配置信息中设定的可进行虚假响应的网络地址范围，随机选取一部分网络地址生成可进行虚假响应的网络地址列表；所述响应MAC生成模块（22）根据用户配置信息中设定的可进行虚假响应的MAC地址范围，为响应IP生成模块（21）生成的每一个网络地址随机生成对应的MAC地址；所述响应端口生成模块（23）根据用户配置信息中设定的可进行虚假响应的端口范围和每个端口进行虚假响应的概率，为响应IP生成模块（21）生成的每一个网络地址随机生成对应的若干端口以及每个端口进行虚假响应的概率；所述响应操作系统类型与版本生成模块（24）根据用户配置信息中设定的可进行虚假响应的操作系统类型与版本的范围，为响应IP生成模块（21）生成的每一个网络地址随机生成对应的操作系统类型与版本信息。5.根据权利要求3或4所述的虚拟变换系统，其特征在于，所述虚假响应信息实时响应单元（17）包含虚假响应信息修改模块（31）和虚假响应变换重复查询模块（32），所述虚假响应信息修改模块（31）和虚假响应变换重复查询模块（32）共同连接于所述虚假响应信息存储单元（12），所述虚假响应信息修改模块（31）根据用户配置信息中设定的虚假响应信息进
行实时响应的时间间隔信息来定时修改虚假响应信息存储单元（12）中所存储的虚假响应信息，所述虚假响应变换重复查询模块（32）对修改的虚假响应信息进行去重查询，并通知虚假响应信息修改模块（31）删除或修改重复出现的虚假响应信息；所述虚假响应信息修改模块（31）按照以下两种方式之一修改虚假响应信息：一、所述虚假响应信息修改模块（31）根据用户配置信息随机生成若干条新的虚假响应信息，同时随机删除若干条原有的虚假响应信息；二、所述虚假响应信息修改模块（31）根据用户配置信息中设定的每条虚假响应信息的修改概率对每条虚假响应信息中的网络地址、MAC地址、端口和/或操作系统类型与版本进行修改。6.根据权利要求2-5任一项所述的虚拟变换系统，其特征在于，所述虚拟实时响应单元包括ARP响应单元（14）、ICMP响应单元（15）和端口响应单...

【专利技术属性】
技术研发人员：ꢀ五一IntClH零四L二九零六，
申请(专利权)人：西安跃亿智产信息科技有限公司，
类型：发明
国别省市：