【技术实现步骤摘要】
本专利技术涉及网络安全,尤其涉及一种基于动态变换的网络安全防御方法。
技术介绍
1、内网安全在实际网络环境中非常重要,但被大多数网络安全设备忽视。现有的。法普遍通过采集流量来检测攻击行为,但是异常流量往往在攻击行为之后产生,因而此类方法无法对攻击行为进行实时防御。另一种方法是在接入网络的主机上部署网络安全防御系统,虽然能够防御部分攻击行为,但无法防御未知的内网攻击行为。静态的互联网协议地址分配使得攻击者可以通过扫描本地或远程的网络精确快速地确定攻击目标。在目标网络中确定活动主机的ip地址是大部分攻击的首要步骤,扫描工具和蠕虫通常对网络中一定范围内的ip地址发送探针来发现目标,一旦目标响应,即可确定目标并进行攻击。
2、大部分网络即使部署了防火墙也存在很多公共的和私有的主机可以被外部访问,而且所有的网络对于内部的扫描者缺乏有效的防御手段,一旦攻击者潜入内网,即可探测网络的拓扑结构并进行相应的攻击。使用动态主机配置协议(d y n a m i c h o stconfiguration protocol,简称dhcp)或网络地址转换(networkaddress translation,简称nat)可以动态分配ip地址,但是仍然不能主动地进行防御,因为ip地址的变换并不频繁且容易被追踪。因此需要设计一种东变化的网络安全防御方法。
技术实现思路
1、本专利技术的目的在于提供一种基于动态变换的网络安全防御方法,解决现有网络访问ip地址的变换并不频繁且容易被追踪的技术问题。>
2、为了实现上述目的,本专利技术采用的技术方案如下:
3、一种基于动态变换的网络安全防御方法,实现该方法的系统包括固定地址单元、定时初始变化地址单元、初始变化地址输出与时间标记单元、时间标记地址存储单元、域名解析单元、存入数据缓存单元、数据缓存单元和外部特定地址表单元,固定地址单元与定时初始变化地址单元连接,定时初始变化地址单元与初始变化地址输出与时间标记单元连接,初始变化地址输出与时间标记单元与时间标记地址存储单元连接,时间标记地址存储单元与域名解析单元连接,域名解析单元分别与数据缓存单元和外部特定地址表单元连接,存入数据缓存单元分别与时间标记地址存储单元和内部网路连接;
4、定时初始变化地址单元用于定时对固定地址单元中的地址一一映射生成初始虚拟地址,初始变化地址输出与时间标记单元对生成的虚拟地址进行时间和内部设备标记,得到标记虚拟地址,并传给时间标记地址存储单元进行存储,域名解析单元将外部特定地址表单元中的固定地址进行构建与时间标记地址存储单元之间的映射,当外部设备访问内部网络时,访问的地址为外部特定地址表单元中的任意一个地址,外部特定地址表单元中的地址与内部网络的设备具有隐藏对应关系,外部设备向外部特定地址表单元发出请求时,外部特定地址表单元接收请求,并将请求告知域名解析单元,域名解析单元解析相应的外部特定地址,然后查找时间标记地址存储单元中最近时间的时间比较虚拟地址,然后时间标记地址存储单元从内部网络中查找相应的数据传给域名解析单元然后放入数据缓存单元,外部特定地址表单元从数据缓存单元中获取相应的数据回应外部的请求;
5、当内部网络需要访问外网时,内网的每个设备都是以外部特定地址表单元中的一个地址作为访问ip,然后访问外部或者数据后,回传经过域名解析单元,然后查找时间标记地址存储单元中相应的时间标记虚拟地址,然后时间标记地址存储单元将获取的数据传给存入数据缓存单元,然后过了特定时间后,内网设备将存入数据缓存单元中的数据存入相应的数据库或者设备上;
6、当内网的设备需要相互通信时,从时间标记地址存储单元中获取最新的虚拟时间地址,并根据相应的设备标记作为地址识别,没台内部设备的标记都是特定的,同时在生成虚拟地址时已经生成。
7、进一步地,内网中还包括地址转换单元,固定地址单元存储的是内网中各个设备对应的ip地址,当内网增加设备时,固定地址单元更新增加设备的ip地址,在内网设备的相互通信时,通过虚拟ip地址上的特定标记进行识别设备,然后虚拟地址请求时,由内网的地址转换单元进行对虚拟设备识别,然后再跟时间标记地址存储单元内的虚拟地址查找相应的真实设备的地址,实现相互通信,外网设备访问时,由域名解析单元进行解析出外部的固定设定的ip地址,然后把外部固定的ip地址进行转为内部的响应请求,然后再从时间标记地址存储单元获取对应的虚拟地址,然后再进过地址转换单元转换单元转为固定地址,然后查找对应的数据传给数据缓存单元,然后外部设备再对数据缓存单元中的数据获取,完成外部设备向内部网络访问请求,隔绝外部设备访问内部的设备和具体的ip地址,保护内网的安全。
8、进一步地,定时初始变化地址单元在设定的时间内对内网的每个设备的固定ip地址进行变换为虚拟ip地址,变换后的虚拟ip地址包含内网设备特定识别码,用于后期内网设备之间相互通信。
9、进一步地,初始变化地址输出与时间标记单元用于对变换好的虚拟ip地址进行输出,同时对变换的地址进行时间标记,时间标记即为什么时候变换的虚拟地址,当内网设备跟外部设备通信时,根据时间标记能够找到相应的虚拟地址,当生成新的虚拟地址后,更换成新的虚拟地址。
10、进一步地,存入数据缓存单元用于将从外部获取的数据固定时间内缓存,边获取数据具有潜在病毒,同时也不把存储数据的地址想不透露,存数据和往外发数据都只能由内网的设备主动操作,避免地址外漏,提高安全性。
11、本专利技术由于采用了上述技术方案,具有以下有益效果:
12、本专利技术的定时初始变化地址单元将内网的固定ip地址进行定时变换,从更好的从源头上避免了内网设备的ip泄露,进行动态变换保护,然后再通过外部特定地址表单元对虚拟变换的地址进行外侧防护,从实现变换的虚拟地址也不直接与外联系,使得攻击者无法获得内网的拓扑结构,无法准确获得内网中网络终端的真实信息,从而有效防御了内网攻击行为,提高了内网的安全,进行隔离式防护。
本文档来自技高网...【技术保护点】
1.一种基于动态变换的网络安全防御方法,其特征在于:实现该方法的系统包括固定地址单元、定时初始变化地址单元、初始变化地址输出与时间标记单元、时间标记地址存储单元、域名解析单元、存入数据缓存单元、数据缓存单元和外部特定地址表单元,固定地址单元与定时初始变化地址单元连接,定时初始变化地址单元与初始变化地址输出与时间标记单元连接,初始变化地址输出与时间标记单元与时间标记地址存储单元连接,时间标记地址存储单元与域名解析单元连接,域名解析单元分别与数据缓存单元和外部特定地址表单元连接,存入数据缓存单元分别与时间标记地址存储单元和内部网路连接;
2.根据权利要求1所述的一种基于动态变换的网络安全防御方法,其特征在于:内网中还包括地址转换单元,固定地址单元存储的是内网中各个设备对应的IP地址,当内网增加设备时,固定地址单元更新增加设备的IP地址,在内网设备的相互通信时,通过虚拟IP地址上的特定标记进行识别设备,然后虚拟地址请求时,由内网的地址转换单元进行对虚拟设备识别,然后再跟时间标记地址存储单元内的虚拟地址查找相应的真实设备的地址,实现相互通信,外网设备访问时,由域名解析单元进行
3.根据权利要求2所述的一种基于动态变换的网络安全防御方法,其特征在于:定时初始变化地址单元在设定的时间内对内网的每个设备的固定IP地址进行变换为虚拟IP地址,变换后的虚拟IP地址包含内网设备特定识别码,用于后期内网设备之间相互通信。
4.根据权利要求3所述的一种基于动态变换的网络安全防御方法,其特征在于:初始变化地址输出与时间标记单元用于对变换好的虚拟IP地址进行输出,同时对变换的地址进行时间标记,时间标记即为什么时候变换的虚拟地址,当内网设备跟外部设备通信时,根据时间标记能够找到相应的虚拟地址,当生成新的虚拟地址后,更换成新的虚拟地址。
5.根据权利要求4所述的一种基于动态变换的网络安全防御方法,其特征在于:存入数据缓存单元用于将从外部获取的数据固定时间内缓存,边获取数据具有潜在病毒,同时也不把存储数据的地址想不透露,存数据和往外发数据都只能由内网的设备主动操作,避免地址外漏,提高安全性。
...【技术特征摘要】
1.一种基于动态变换的网络安全防御方法,其特征在于:实现该方法的系统包括固定地址单元、定时初始变化地址单元、初始变化地址输出与时间标记单元、时间标记地址存储单元、域名解析单元、存入数据缓存单元、数据缓存单元和外部特定地址表单元,固定地址单元与定时初始变化地址单元连接,定时初始变化地址单元与初始变化地址输出与时间标记单元连接,初始变化地址输出与时间标记单元与时间标记地址存储单元连接,时间标记地址存储单元与域名解析单元连接,域名解析单元分别与数据缓存单元和外部特定地址表单元连接,存入数据缓存单元分别与时间标记地址存储单元和内部网路连接;
2.根据权利要求1所述的一种基于动态变换的网络安全防御方法,其特征在于:内网中还包括地址转换单元,固定地址单元存储的是内网中各个设备对应的ip地址,当内网增加设备时,固定地址单元更新增加设备的ip地址,在内网设备的相互通信时,通过虚拟ip地址上的特定标记进行识别设备,然后虚拟地址请求时,由内网的地址转换单元进行对虚拟设备识别,然后再跟时间标记地址存储单元内的虚拟地址查找相应的真实设备的地址,实现相互通信,外网设备访问时,由域名解析单元进行解析出外部的固定设定的ip地址,然后把外部固定的ip地址进行转为内部的响应请求,然后再从时间标记...
【专利技术属性】
技术研发人员:朱磊,赵云程,韦宇星,王晨昕,苏雪妮,熊恒,周小莹,黄信,
申请(专利权)人:广西警察学院,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。