CN108540441A - 一种基于真实性虚拟网络的主动防御系统及方法 - Google Patents

Abstract

本发明公开了一种基于真实性虚拟网络的主动防御系统及方法，包括以下信号循环相通的模块：攻击检测模块，诱骗引导模块，弱点仿真模块，攻击隔离模块，行为记录模块，智能分析模块，攻击回放模块，攻击反制模块。所述的基于真实性虚拟网络的主动防御系统的实现方法，遵循D3I网络主动防御模型，所述的D3I网络主动防御模型包括以下信号循环相通的模块：检测模块(Detection)，欺骗模块(Deception)，诱导模块(Incepiton)，反制模块(Defense counterattack)。该主动防御系统实现准确识别攻击者，有效诱骗并隔离攻击者远离真正的业务网络，全面记录、回放和智能分析攻击行为，更加有效反制攻击者。

Description

一种基于真实性虚拟网络的主动防御系统及方法

技术领域

本发明涉及一种网络防御系统，尤其是一种基于真实性虚拟网络 的主动防御系统及方法，属于网络安全技术领域。

背景技术

敏感数据和个人信息泄露带来的危害不断扩大，欺诈勒索软件 在互联网上肆虐，在此严峻的安全形势之下，需求完善的安全防御 体系面，但是，目前的安全防御体系面临如下普遍问题：

1)目前各种各样的安全产品被用于检测网络中的攻击威胁，维 护网络的安全运行。但这些安全手段一般只能在一定范围内发挥特定 的作用，互相之间缺乏有效的数据融合和协同管理机制。面对众多分 散的信息，用户无法全面直观地了解系统安全脆弱点、整体攻击状况 以及安全防护效果，无法满足预判系统安全脆弱点并提前实施防御措 施的需求。

2)随着攻击手段的不断变化，目前部分高级攻击隐蔽性很强， 传统的安全防护手段更多依靠静态规则来检测攻击事件，无法应对利 用未公开漏洞进行的攻击。

3)漏洞被发现到漏洞被修补中间存在防御空白窗口，此窗口时 间跟公司的网络规模成正比。换言之，越是大型企业，安全制度越完 善，修补漏洞所经历的内部流程就越复杂，导致防御空白窗口期越长。 在此窗口时间内，攻击者完全可以利用漏洞进行内网攻击平移，在其 它位置建立隐蔽控制通道，此时整个网络变为不可信状态，漏洞修补 只能防御后续攻击，对于已成功的攻击行为没有任何意义。

4)由于相关法律条文的限制，使得攻防技术成为高度敏感区域， 导致具备攻防实战经验的人才大量流失。目前传统安全厂商在安全攻 防的理解层次过于注重终端防御，对于传统核心企业内网现阶段的攻 防态势一无所知。

5)媒体从业人员本身信息安全技术水平参差不齐，涉及到信息 安全事件的报道往往存在对普通公众甚至企业安全管理人员的误导。

6)不敢正视漏洞的存在，导致大量重复的安全建设局限于边界 防御，试图打造一个不可攻破的系统，而对于内部网络的安全威胁重 视不足。

7)对网络攻击的概念理解不够，使得多数的安全管理设备不能 起到应有的作用，甚至在使用不当的情况下反而成为安全隐患。

综上所述，在现有的安全防御体系所采用的技术中，有如下缺点：

1)于规则和经验的判断，一旦出现未知安全问题，无法有效应 对；

2)难以准确的识别攻击者、全面记录攻击者的攻击路径；

3)基于被动防御技术，难以有效诱导攻击者远离真实业务系统；

4)在攻防对抗中，无法有效反制攻击者，难以实现有效的溯源。

网络安全的技术市场需求巨大，具有广阔的前景。由于当前的安 全防御体系存在诸多问题，所以，急需一套能够有效应对当前复杂安 全形势的主动防御体系。

发明内容

鉴于以上所述，本发明要解决的技术问题为：提供一种基于真实 性虚拟网络的主动防御系统及方法，从而准确识别攻击者，有效诱骗 并隔离攻击者远离真正的业务网络，全面记录、回放和智能分析攻击 行为，更加有效反制攻击者。

为解决上述技术问题，本发明采用如下技术方案：

一种基于真实性虚拟网络的主动防御系统，包括以下信号循环相 通的模块：

攻击检测模块，用于检测多种类型的攻击行为，并做到实时报警；

诱骗引导模块，用于诱骗攻击者持续攻击本系统内的虚假目标；

弱点仿真模块，通过使用真实虚拟主机和网络构建真实弱点系 统，吸引攻击者攻击成功；

攻击隔离模块，攻击者在本系统的真实性虚拟网络中与真实环境 完全隔离，本系统的真实性虚拟网络不会成为攻击者的跳板；

行为记录模块，用于全面记录攻击者的各种攻击行为；

智能分析模块，用于智能分析攻击者的攻击水平、攻击路径、攻 击模式、攻击意图等攻击特征；

攻击回放模块，通过使用友好交互的手段清晰动态的回放攻击者 的进攻过程；

攻击反制模块，通过使用隐蔽的手段获取攻击者的信息并反制攻 击者。

以上所述的基于真实性虚拟网络的主动防御系统的实现方法，遵 循D3I网络主动防御模型，所述的D3I网络主动防御模型包括以下信 号循环相通的模块：

检测模块(Detection)，用于检测并响应攻击信号；

欺骗模块(Deception)，用于利用弱防御手段欺骗和吸引攻击者 攻击错误目标；

诱导模块(Incepiton)，用于通过不断反馈各种次真实信息给攻 击者，逐渐将攻击者诱导至虚拟用户环境，将用户真实网络从攻击者 的攻击链路上剥离；

反制模块(Defense counterattack)，用于通过技术手段在法律允 许的框架下实现对攻击者真实信息的采集。

本发明提供一种基于真实性虚拟网络的主动防御系统及方法，实 施本发明实施例，具有如下有益效果：

1)高准确度：本系统可以准确识别用户内部网络中的攻击行为， 理论上除了用户自身测试外不会发生误报，可以做到报警即发现，减 轻安全运维工作的负担。

2)高灵敏度：对常规安全设备无法检测出的攻击行为可以做到精 确识别，同时将网络中已被攻破的设备准确定位，实时通报给用户；

3)隔离攻击：系统发现有来自用户真实网络的攻击行为，除实时 通报外，还可将已发生的攻击行为通过技术手段转移至与用户真实网 络隔离的环境中，吸引攻击者对虚拟的用户网络进行下一步攻击，拖 延攻击者的动作，从而给用户争取响应时间，及时对该事件进行处理， 最终将用户真实环境从攻击者的攻击链路上脱离，在攻击者难以察觉 的情况下用本系统环境替代用户真实环境；

4)反制攻击：常规的溯源手段通常是根据来源IP、客户端信息等 等来确定攻击者身份，但是在目前虚拟化已经非常成熟的情况下，此 类信息很难标识攻击者的真实身份，本系统可通过技术手段对攻击者 本身进行反制动作，通过对攻击者具体的攻击行为进行分析，可以有 很高概率精确认定攻击者真实身份信息；

5)高智能化：系统可通过分析攻击者的行为自动将相应的次真实 (近似真实信息，但实际结果相反)信息反馈给攻击者，使攻击者的 认知产生偏差，逐步将攻击行为从用户真实网络环境剥离，此过程通 常情况下无需用户参与；

6)攻击重现：通过网络和操作系统底层双重记录攻击者的攻击操 作数据，实现全方位无死角的记录完整的攻击行为，可以在任意时刻 回放攻击者的具体操作。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面 将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而 易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域 普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些 附图获得其他的附图。

图1为发明实施例中结构示意图；

图2为发明实施例2中方法模型示意图。

附图标记说明：1、攻击检测模块；2、诱骗引导模块；3、弱点 仿真模块；4、攻击隔离模块；5、行为记录模块；6、智能分析模块； 7、攻击回放模块；8、攻击反制模块。

具体实施方式

实施例1

如图1，一种基于真实性虚拟网络的主动防御系统，包括以下信 号循环相通的模块：

攻击检测模块1，用于检测多种类型的攻击行为，并做到实时报 警；

诱骗引导模块2，用于诱骗攻击者持续攻击本系统内的虚假目标；

弱点仿真模块3，通过使用真实虚拟主机和网络构建真实弱点系 统，吸引攻击者攻击成功；

攻击隔离模块4，攻击者在本系统的真实性虚拟网络中与真实环 境完全隔离，本系统的真实性虚拟网络不会成为攻击者的跳板；

行为记录模块5，用于全面记录攻击者的各种攻击行为；

智能分析模块6，用于智能分析攻击者的攻击水平、攻击路径、 攻击模式、攻击意图等攻击特征；

攻击回放模块7，通过使用友好交互的手段清晰动态的回放攻击 者的进攻过程；

攻击反制模块8，通过使用隐蔽的手段获取攻击者的信息并反制 攻击者。

实施例2

如图1及图2，一种基于真实性虚拟网络的主动防御系统，包括 以下信号循环相通的模块：

攻击检测模块1，用于检测多种类型的攻击行为，并做到实时报 警；

诱骗引导模块2，用于诱骗攻击者持续攻击本系统内的虚假目标；

弱点仿真模块3，通过使用真实虚拟主机和网络构建真实弱点系 统，吸引攻击者攻击成功；

攻击隔离模块4，攻击者在本系统的真实性虚拟网络中与真实环 境完全隔离，本系统的真实性虚拟网络不会成为攻击者的跳板；

行为记录模块5，用于全面记录攻击者的各种攻击行为；

智能分析模块6，用于智能分析攻击者的攻击水平、攻击路径、 攻击模式、攻击意图等攻击特征；

攻击回放模块7，通过使用友好交互的手段清晰动态的回放攻击 者的进攻过程；

攻击反制模块8，通过使用隐蔽的手段获取攻击者的信息并反制 攻击者。

以上所述的基于真实性虚拟网络的主动防御系统的实现方法，遵 循D3I网络主动防御模型，所述的D3I网络主动防御模型包括以下信 号循环相通的模块：

检测模块(Detection)，用于检测并响应攻击信号；

欺骗模块(Deception)，用于利用弱防御手段欺骗和吸引攻击者 攻击错误目标；

诱导模块(Incepiton)，用于通过不断反馈各种次真实信息给攻 击者，逐渐将攻击者诱导至虚拟用户环境，将用户真实网络从攻击者 的攻击链路上剥离；

反制模块(Defense counterattack)，用于通过技术手段在法律允 许的框架下实现对攻击者真实信息的采集。

实施本发明实施例，具有如下有益效果：

1)高准确度：本系统可以准确识别用户内部网络中的攻击行为， 理论上除了用户自身测试外不会发生误报，可以做到报警即发现，减 轻安全运维工作的负担。

2)高灵敏度：对常规安全设备无法检测出的攻击行为可以做到精 确识别，同时将网络中已被攻破的设备准确定位，实时通报给用户；

3)隔离攻击：系统发现有来自用户真实网络的攻击行为，除实时 通报外，还可将已发生的攻击行为通过技术手段转移至与用户真实网 络隔离的环境中，吸引攻击者对虚拟的用户网络进行下一步攻击，拖 延攻击者的动作，从而给用户争取响应时间，及时对该事件进行处理， 最终将用户真实环境从攻击者的攻击链路上脱离，在攻击者难以察觉 的情况下用本系统环境替代用户真实环境；

4)反制攻击：常规的溯源手段通常是根据来源IP、客户端信息等 等来确定攻击者身份，但是在目前虚拟化已经非常成熟的情况下，此 类信息很难标识攻击者的真实身份，本系统可通过技术手段对攻击者 本身进行反制动作，通过对攻击者具体的攻击行为进行分析，可以有 很高概率精确认定攻击者真实身份信息；

5)高智能化：系统可通过分析攻击者的行为自动将相应的次真实 (近似真实信息，但实际结果相反)信息反馈给攻击者，使攻击者的 认知产生偏差，逐步将攻击行为从用户真实网络环境剥离，此过程通 常情况下无需用户参与；

6)攻击重现：通过网络和操作系统底层双重记录攻击者的攻击操 作数据，实现全方位无死角的记录完整的攻击行为，可以在任意时刻 回放攻击者的具体操作。

以上所述，仅为本发明的具体实施方式，但本发明的保护范围并 不局限于此，任何不经过创造性劳动想到的变化或替换，都应涵盖在 本发明的保护范围之内。

Claims (2)

1.一种基于真实性虚拟网络的主动防御系统，其特征在于：包括以下信号循环相通的模块：

攻击检测模块，用于检测多种类型的攻击行为，并做到实时报警；

诱骗引导模块，用于诱骗攻击者持续攻击本系统内的虚假目标；

弱点仿真模块，通过使用真实虚拟主机和网络构建真实弱点系统，吸引攻击者攻击成功；

攻击隔离模块，攻击者在本系统的真实性虚拟网络中与真实环境完全隔离，本系统的真实性虚拟网络不会成为攻击者的跳板；

行为记录模块，用于全面记录攻击者的各种攻击行为；

智能分析模块，用于智能分析攻击者的攻击水平、攻击路径、攻击模式、攻击意图等攻击特征；

攻击回放模块，通过使用友好交互的手段清晰动态的回放攻击者的进攻过程；

攻击反制模块，通过使用隐蔽的手段获取攻击者的信息并反制攻击者。

2.一种基于真实性虚拟网络的主动防御系统的实现方法，其特征在于：遵循D3I网络主动防御模型，所述的D3I网络主动防御模型包括以下信号循环相通的模块：

检测模块(Detection)，用于检测并响应攻击信号；

欺骗模块(Deception)，用于利用弱防御手段欺骗和吸引攻击者攻击错误目标；

诱导模块(Incepiton)，用于通过不断反馈各种次真实信息给攻击者，逐渐将攻击者诱导至虚拟用户环境，将用户真实网络从攻击者的攻击链路上剥离；

反制模块(Defense counterattack)，用于通过技术手段在法律允许的框架下实现对攻击者真实信息的采集。