本发明专利技术公开了一种计算机的网络隐身方法及基于该方法的网络隐身系统,网络隐身方法采取被动处理策略和主动处理策略,主动处理策略包括:S1、在判断出探测行为正在进行时,回复虚假的信息迷惑探测者,增大其攻击难度;S2、伪造虚假数据流量与真实主机网络行为,扰乱嗅探行为;S3、把真实主机的IP地址作为跳变元,动态随机跳变达到真实主机的隐身。网络隐身系统采用四层网络隐形模型,包括接入行为控制模块、动态多址模块、流量混淆模块和协议栈指纹混淆模块,本发明专利技术能够提前阻断未知安全问题,在源头就阻断恶意网络行为的发生,真正的做到提前防护,由于隐身的特点,该系统能够真正防患于未然。很好地保证计算机安全。
【技术实现步骤摘要】
一种计算机的网络隐身方法及基于该方法的网络隐身系统
本专利技术涉及计算机安全通信
,尤其是涉及一种计算机的网络隐身方法及基于该方法的网络隐身系统。
技术介绍
自人类步入了信息化的时代以来,计算机技术与计算机网络以难以想象的速度发展着。在提供网络便利的同时,信息的安全传输就显得尤为重要,但与此同时,层出不穷的网络安全问题却时刻困扰着我们。针对目前已有的防护措施:防火墙,杀毒软件,流量监控,入侵检测等都存在着一些共同的或独特的缺陷,防火墙并不能灵活地进行主动防御,并且依赖于管理员大量添加的过滤规则;杀毒软件并不能查杀变幻多端的新型病毒,且只能在病毒感染之后才能进行补救工作;流量监控或入侵检测系统则会收集大量的没有使用价值的数据,增加了工作人员分析数据的负担,同时也只能在异常行为发生以后才进行报警或阻断。可以看出现存的安全防护最大弱点是被动防御即都是在异常行为甚至安全事故发生后才进行修复,并不能满足实时保障用户安全的需求,而是有着比较大的滞后性,只有从根本上解决问题才能达到真正的安全防护。只有变被动为主动,提早在入侵之前就设法将安全隐患扼杀于摇篮,这正是我们网络隐身系统的特色功能。当网络隐身系统开启之后,我们在正常享受互联网为我们带来的便利的同时,还能够安全隐身于网络,让入侵者“看不见”,无法确定攻击目标,而合法的用户又能与我们正常地进行通信。而对于未知的安全漏洞由于攻击者无法探测无法利用也就难以被发现利用。而对于恶意病毒因为隐身而找不到传播的宿主,也失去了效用,极大地增加了攻击者渗透或病毒侵染的难度。这样既能做到先知先觉,提前预判恶意网络行为,又能防患于未然,防范未知安全漏洞,做到百毒不侵,提前杜绝恶意访问。因此网络隐身系统及其策略有着很大的发展前景。
技术实现思路
本专利技术所要解决的技术问题是:提供一种计算机的网络隐身方法及基于该方法的网络隐身系统,能够提前阻断未知安全问题,在源头就阻断恶意网络行为的发生,真正的做到提前防护,由于隐身的特点,该系统能够真正防患于未然。很好地保证计算机安全。为解决上述技术问题,本专利技术的技术方案是:一种计算机的网络隐身方法,所述网络隐身方法包括对探测数据包采取被动处理策略和主动处理策略,所述被动处理策略包括对出入所述计算机的数据分组判断其合法性,对不合法的数据流量采取不接受、不回应、不交予正常协议栈并写入不良记录的处理方式;所述主动处理策略包括如下三种方式:S1、在判断出探测行为正在进行时,回复虚假的信息迷惑探测者,增大其攻击难度;S2、伪造虚假数据流量与真实主机网络行为,扰乱嗅探行为;S3、把真实主机的IP地址作为跳变单元,动态随机跳变,达到真实主机的隐身,在S2中,所述真实主机隐于由伪造虚假数据流量伪造的一群计算机中,减小被探测的概率,所述虚假数据流量是指模拟服务器行为,在真实主机所在的网段内充分利用该网段下未使用的IP地址构造数据流量,模仿真实计算机的网络行为,为探测锁定目标增加难度。为解决上述技术问题,本专利技术的另一技术方案是:一种计算机的网络隐身系统,包括:接入行为控制模块,将正常的网络行为与异常的网络行为分别建立起一个状态链,对网络行为是否合法进行提前判断;动态多址模块,用于计算机物理地址的动态变化和计算机IP地址的动态化;流量混淆模块,用于计算机的伪造通信地址、伪造主动数据流量和伪造被动数据流量;协议栈指纹混淆模块,对于主机接收到的数据进行分支利用双协议栈模型处理以及动态修改协议栈指纹特征混淆恶意者的判断。进一步的,所述网络行为判断包括对服务器和个人计算机两个模块的区分,对于个人计算机,因其不为外界提供服务,故不会接受从外界发来的主动SYN请求,因此凡是接收到SYN的源IP地址都是可疑的,如果本计算机和某个远程主机未曾建立连接,对方却发来RST包或ACK+PUSH+URG包也是扫描行为的先兆;服务器由于需要向外提供服务,因此端口与地址不但不能更改并且还必须告知客户,需要对受到的数据包的状态链进行判断。进一步的,所述计算机物理地址的动态变化包括:首先利用ARP请求探测出活动的IP地址,筛选出未被使用的IP地址添加到地址池;然后创建一个线程,负责监听ARP并接受所有的请求。通过IP地址管理平台检查该ARP请求的IP地址是不是伪装主机的IP地址,如果是就发送一个ARP应答,否则不回复ARP;最后还需要维护IP地址的状态,即创建一个线程监听回复ARP的IP地址,若目的IP地址不是本机地址并且源IP地址不是我们虚假的IP地址,那么可以判断出该IP地址已被占用。另外定时更新IP状态,即一段时间没有收到该IP地址的ARP回复这把该IP地址的状态置为“空闲”。进一步的,所述计算机IP地址的动态化包括:真实主机的IP地址的动态变化和虚拟主机的IP地址的动态变化。进一步的,所述伪造通信地址包括虚假IP地址、MAC地址和端口号,虚假的IP地址均为本网段无人使用的IP地址。进一步的,所述伪造主动数据流量包括带有TCP协议负载的连接控制的数据包、带载荷的UDP数据包和带有应用层载荷的TCP数据包。进一步的,所述伪造被动数据流量是用虚拟协议栈响应虚拟主机接收到的探测数据包,包括ARP协议回复、ICMP回复,SYN扫描的回复和ACK扫描的回复。进一步的,所述协议栈指纹是通过操作系统协议栈特征指纹探测和应用程序特征指纹探测。采用了上述技术方案,本专利技术的有益效果为:1、内核动态过滤;主机需要在数据包到达协议栈拆包之前做出判断,是恶意扫描或探测的数据包直接过滤或者提交由隐身协议栈处理,回复虚假信息迷惑探测者。2、内核数据指纹修改;内核通过对发送出去的数据的指纹特征进行修改,混淆恶意者的判断,避免恶意者从数据包的特征指纹获取有利用价值信息。3、动态地址池构建与维护;为了隐身主机需要动态变化其IP地址和伪造多台虚假主机。首先需要获取局域网内未被使用的IP地址,其次需要动态更新IP地址状态,最后需要随机构建该网段的IP地址和MAC地址。4、真实主机IP地址动态跳变;为了影响恶意者的判断需要使真实主机的IP地址动态跳变,由用户层来操作跳变过程,通过延时来保证正常通信。5、伪造真实主机的网络通信;在伪造的计算机之间及外部网络之间主动构建数据流,避免嗅探,增加恶意者确定目标的难度。6、实时回复针对虚假主机的探测;在伪造主机后需要对探测的数据包予以回应,证明伪造的主机是活动的,并且需要回复扫描的探测数据包。7、模拟路由增加网络复杂度;伪造路由功能扩大网络拓扑增大网络复杂度,将真实主机完全隐身其中,由于网路拓扑的映射的更该,网络复杂度翻倍增加,攻击者探测到真实主机的难度也等比翻倍增加。综上所述,本专利技术充分挖掘网络协议各个字段的内在关系,由此提出了四层网络隐形模型,主要包括:接入行为控制层采用LKM方式使用Netfilter框架实现实时数据包监控和接入行为控制,为实现系统有效隐身提供决策和执行依据;动态多址层能有效改变协议分组的物理地址、逻辑地址、端口地址,与其它层协同模拟网络流量;流量混淆层能根据不同的隐身策略采用网络静默或虚假回应模式,产生多种网络协议流量,增加网络复杂度,迷惑或欺骗攻击者而不影响正常的网络通信;最后,协议栈指纹混淆层修改分组字段信息,干扰攻击者的信息获取。本专利技术能够提前阻断未知安全问本文档来自技高网...
【技术保护点】
一种计算机的网络隐身方法,其特征在于,所述网络隐身方法包括对探测数据包采取被动处理策略和主动处理策略,所述被动处理策略包括对出入所述计算机的数据分组判断其合法性,对不合法的数据流量采取不接受、不回应、不交予正常协议栈并写入不良记录的处理方式;所述主动处理策略包括如下三种方式:S1、在判断出探测行为正在进行时,回复虚假的信息迷惑探测者,增大其攻击难度;S2、伪造虚假数据流量与真实主机网络行为,扰乱嗅探行为;S3、把真实主机的IP地址作为跳变元,动态随机跳变达到真实主机的隐身。
【技术特征摘要】
1.一种计算机的网络隐身方法,其特征在于,所述网络隐身方法包括对探测数据包采取被动处理策略和主动处理策略,所述被动处理策略包括对出入所述计算机的数据分组判断其合法性,对不合法的数据流量采取不接受、不回应、不交予正常协议栈并写入不良记录的处理方式;所述主动处理策略包括如下三种方式:S1、在判断出探测行为正在进行时,回复虚假的信息迷惑探测者,增大其攻击难度;S2、伪造虚假数据流量与真实主机网络行为,扰乱嗅探行为;S3、把真实主机的IP地址作为跳变元,动态随机跳变达到真实主机的隐身,在S2中,所述真实主机隐于由伪造虚假数据流量伪造的一群计算机中,减小被探测的概率,所述虚假数据流量是指模拟服务器行为,在真实主机所在的网段内充分利用该网段下未使用的IP地址构造数据流量,模仿真实计算机的网络行为,为探测锁定目标增加难度。2.基于权利要求1所述的计算机的网络隐身方法的计算机的网络隐身系统,其特征在于,包括:接入行为控制模块,将正常的网络行为与异常的网络行为分别建立起一个状态链,对网络行为是否合法进行提前判断;动态多址模块,用于计算机物理地址的动态变化和计算机IP地址的动态化;流量混淆模块,用于计算机的伪造通信地址、伪造主动数据流量和伪造被动数据流量;协议栈指纹混淆模块,对于主机接收到的数据进行分支利用双协议栈模型处理以及动态修改协议栈指纹特征混淆恶意者的判断。3.如权利要求2所述的计算机的网络隐身系统,其特征在于,所述网络行为判断包括对服务器和个人计算机两个模块的区分,对于个人计算机,因其不为外界提供服务,故不会接受从外界发来的主动SYN请求,因此凡是接收到SYN的源IP地址都是可疑的,如果本计算机和某个远程主机未曾建立连接,对方却发来RST包或ACK+PUSH+URG包也是扫描行为的先兆;...
【专利技术属性】
技术研发人员:崔艳鹏,胡建伟,
申请(专利权)人:西安电子科技大学,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。