一种透明网关的信息伪装与欺骗方法技术

本发明专利技术公开了一种透明网关的信息伪装与欺骗方法，涉及网络安全技术领域，具体包括以下步骤：部署单独的信息伪装与欺骗网关设备作为前置设备；把部署的前置设备通过透明串接的方式接入到被保护网络或设备前；前置设备监听并分析网络报文；网络报文中存在网络扫描行为时，根据探测报文的内容返回相应的伪造报文，网络报文中未存在网络扫描行为时，直接转发报文。该透明网关的信息伪装与欺骗方法，能够零误报第一时间发现网络攻击行为，提高网络的安全性；前置设备采用透明串接的接入方式串接到被保护设备或网络的上游，不需要对网络结构做任何改动；且业务流中设备本身无IP/MAC,带外管理采用SPA单包认证管理，设备本身有极高的安全性。安全性。安全性。

【技术实现步骤摘要】
一种透明网关的信息伪装与欺骗方法


[0001]本专利技术涉及网络安全
，具体为一种透明网关的信息伪装与欺骗方法。

技术介绍

[0002]美国洛克希德
·
马丁公司提出的网络杀伤链是当今世界主流认可的概念。用来描述网络攻击生命周期中各个不同的步骤，包括侦察、武器化、交付、利用、安装、命令与控制、针对目标物的活动。其中侦察是网络攻击的第一个步骤，网络攻击者在侦察阶段利用如NMAP，MASSCAN等工具对目标网络发起如主机存活探测、主机操作系统类型探测、主机端口开放情况探测和主机服务探测等方式的信息收集，网络扫描和网络测绘是网络攻击者恶意攻击前或攻击得手后进一步扩大战果的必须动作，而当前传统的网络安全防御设备如防火墙、入侵防御系统等对网络扫描和网络测绘行为都没有做专项的识别和处理动作，且没有对网络攻击者侦察阶段获取的信息进行保护，为此，提出一种透明网关的信息伪装与欺骗方法。

技术实现思路

[0003]本专利技术提供了一种透明网关的信息伪装与欺骗方法，针对网络扫描和网络测绘进行专项识别，识别后进行报警、阻止扫描结果返回或修改扫描结果，让网络攻击者得到错误的扫描结果，达到信息隐藏和信息伪装的目的，能够在网络攻击者侦察阶段获得的信息进行伪造，解决了上述
技术介绍
中提出的现有的网络安全防御设备没有对网络扫描和网络测绘行为都没有做专项的识别和处理动作，且没有对网络攻击者侦察阶段获取的信息进行保护的问题。
[0004]本专利技术提供如下技术方案：一种透明网关的信息伪装与欺骗方法，包括以下步骤：
[0005]步骤一、部署单独的信息伪装与欺骗网关设备作为前置设备；
[0006]步骤二、把步骤一中部署的前置设备通过透明串接的方式接入到被保护网络或设备前；
[0007]步骤三、前置设备采用网络扫描识别知识库实时监听发送给被保护网络或设备的网络流量、对进出设备或网络的双向数据流进行检查并分析网络报文；
[0008]步骤四、前置设备监测到网络流中存在网络扫描行为时，根据探测报文的内容返回相应的伪造报文，前置设备监测到网络流中未存在网络扫描行为时，直接转发报文。
[0009]优选的，步骤三中的网络扫描识别知识库是需要提前建立、采用自研的方式构建的专用数据库。
[0010]优选的，监听并分析网络报文的方法为：前置设备采集串接的末端节点网卡的网络报文，对网络报文做报文的协议解析，然后对协议解析结果进行分析处理。
[0011]优选的，网络扫描行为有端口探测、OS探测和服务探测三种，且前置设备内对应设置有操作系统伪装，端口开放伪装和应用服务类型与应用服务版本伪装的混合欺骗伪装方案。
[0012]优选的，双向数据流指前置设备会同时采集两边串联的末端节点的网络流量并做分析，且前置设备本身无IP/MAC,带外管理采用SPA单包认证管理。
[0013]与现有技术对比，本专利技术具备以下有益效果：
[0014]1、该透明网关的信息伪装与欺骗方法，能够零误报第一时间发现网络攻击行为，提高网络的安全性；前置设备采用透明串接的接入方式串接到被保护设备或网络的上游，不需要对网络结构做任何改动；且业务流中设备本身无IP/MAC,带外管理采用SPA单包认证管理，设备本身有极高的安全性。
[0015]2、该透明网关的信息伪装与欺骗方法，在网络攻击者侦察阶段获取的信息进行伪造，阻止网络攻击者收集到正确的目标网络中的主机信息，起到保护目标网络的目的。
附图说明
[0016]图1为本专利技术实施例流程示意图。
具体实施方式
[0017]下面将结合本专利技术实施例中的附图，对本专利技术实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本专利技术一部分实施例，而不是全部的实施例。基于本专利技术中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本专利技术保护的范围。
[0018]本专利技术提供了一种透明网关的信息伪装与欺骗方法，包括以下步骤：
[0019]步骤一、部署单独的信息伪装与欺骗网关设备作为前置设备，且前置设备内导入提前建立、采用自研的方式构建的专用数据库，该专用数据库作为网络扫描识别知识库监听并分析网络报文，前置设备内设置有操作系统伪装，端口开放伪装和应用服务类型与应用服务版本伪装的混合欺骗伪装方案；
[0020]步骤二、把步骤一中部署的前置设备通过透明串接的方式接入到被保护网络或设备前，不需要对网络结构做出任何改动，且前置设备本身无IP/MAC,带外管理采用SPA单包认证管理，设备本身有极高的安全性；
[0021]步骤三、前置设备采用网络扫描识别知识库实时监听发送给被保护网络或设备的网络流量、对进出设备或网络的双向数据流进行检查并分析网络报文；
[0022]监听并分析网络报文的具体方法为：前置设备采集串接的末端节点网卡的网络报文，对网络报文做报文的协议解析，然后对协议解析结果进行分析处理，且前置设备会同时采集两边串联的末端节点的网络流量并做分析；
[0023]步骤四、前置设备监测到网络流中存在包含端口探测、OS探测和服务探测三种中任一一种的网络扫描行为时，根据探测报文的内容返回相应的伪造报文，前置设备监测到网络流中未存在网络扫描行为时，直接转发报文。
[0024]请参阅图1，本申请的一种实施例为：
[0025]一种透明网关的信息伪装与欺骗方法，包括以下步骤：
[0026](1)、部署单独的信息伪装与欺骗网关设备作为前置设备，并导入自研的网络扫描知识库，把前置设备通过透明串接的方式接入到被保护的网络中；
[0027](2)、网络扫描知识库监听并分析网络报文；
[0028](3)、网络报文与网络扫描知识库比对来判断是否是扫描报文；
[0029]如果是进入步骤(4)；
[0030]如果否进入步骤(10)；
[0031](4)、分析网络扫描报文；
[0032](5)、网络报文与网络扫描知识库比对来判断是否是端口探测报文；
[0033]如果是进入步骤(8)；
[0034]如果否进入步骤(6)；
[0035](6)、网络报文与网络扫描知识库比对来判断是否是OS探测报文；
[0036]如果是进入步骤(8)；
[0037]如果否进入步骤(7)；
[0038](7)、网络报文与网络扫描知识库比对来判断是否是服务探测报文；
[0039]如果是进入步骤(8)；
[0040]如果否进入步骤(10)；
[0041](8)、返回伪造报文；
[0042](9)、返回步骤(2)；
[0043](10)、直接转发报文；
[0044](11)、返回步骤(2)。
[0045]尽管已经示出和描述了本专利技术的实施例，对于本领域的普通技术人员而言，可以理解在不脱离本专利技术的原理和精神的情况下可以对这些实施例进行多种变化、修改、替换和变型，本专利技术的范围由所附权利要求及其等本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种透明网关的信息伪装与欺骗方法，其特征在于：包括以下步骤：步骤一、部署单独的信息伪装与欺骗网关设备作为前置设备；步骤二、把步骤一中部署的前置设备通过透明串接的方式接入到被保护网络或设备前；步骤三、前置设备采用网络扫描识别知识库实时监听发送给被保护网络或设备的网络流量、对进出设备或网络的双向数据流进行检查并分析网络报文；步骤四、前置设备监测到网络流中存在网络扫描行为时，根据探测报文的内容返回相应的伪造报文，前置设备监测到网络流中未存在网络扫描行为时，直接转发报文。2.根据权利要求1所述的一种透明网关的信息伪装与欺骗方法，其特征在于：步骤三中的网络扫描识别知识库是需要提前建立、采用自研的方式构建的专用数据库。3.根...

【专利技术属性】
技术研发人员：陈林顺，徐君，
申请(专利权)人：青兰数据安全技术北京有限公司，
类型：发明
国别省市：