CN112087413A - 一种基于主动侦测的网络攻击智能动态防护和诱捕系统及方法 - Google Patents

Abstract

本发明提出一种基于主动侦测的网络攻击智能动态防护和诱捕系统及方法。其基本技术思想是，根据用户配置的网段，利用主动侦测的方法进行网络节点测绘，智能自动地学习用户网络中未使用的IP地址并构建网络哨兵。这些网络哨兵对正常用户是不可见的，但攻击者对目标网络进行扫描侦察时，会以很高的概率碰到系统自动生成的网络哨兵，系统可以对攻击流量进行虚假响应或是转发至蜜罐中。系统能智能感知网络中的IP地址变化情况(如主机上下线、新主机接入等)，自动对构建的网络哨兵进行动态变换，使目标网络变成一个难以侦测的“网络迷宫”。系统可以自动地、实时地识别针对目标网络的侦察攻击。

Description

一种基于主动侦测的网络攻击智能动态防护和诱捕系统及 方法

技术领域

本发明涉及网络安全领域，尤其涉及一种基于主动侦测的网络攻击智能动态防护和诱捕系统及方法。

背景技术

随着信息技术的快速发展，网络已经成为人类生产和生活中不可获取的一部分，网络在给人们带来快捷、高速、新颖和海量的服务体验的同时，与之俱来的网络安全问题也日益严重。与过去利用恶意篡改网页内容、破坏主机系统等手段以宣泄政治诉求或炫耀黑客术不同的是，近年来，攻击者倾向于通过隐蔽性更高、攻击性更强、危害更大的技术，获取经济利益和政治利益。因此，如何有效检测和阻断网络攻击事件的发生，已经成为网络安全领域的热点研究问题。

网络侦察作为大多数网络攻击的第一步和至关重要的一步，其危害性不言而喻，如近年来爆发的勒索病毒“WannaCry”利用网络扫描工具侦察并感染局域网中存活的主机。而APT(Advanced Persistent Threat)攻击中，黑客在成功入侵目标网络后，通常会潜伏一段时问，利用已经控制的“肉机”作为跳板，在目标网络内部扫描并持续搜集网络拓扑结构、IP地址、操作系统类型、开放服务、弱口令、主机漏洞等信息，当接收到特定指令或者检测到环境参数满足一定条件时，开始执行后续的攻击动作。网络侦察是网络攻击链的重要一环，无论是有针对性的攻击还是无目的的蠕虫病毒的传播，往往都依赖于网络侦察的结果。因此，如果对攻击者的网络侦察行为进行实时准确的检测，能有效减少网络安全事件的发生，极大地提高网络空间的安全防护水平。

现有的方法普遍通过异常流量分析的方法来检测网络攻击，如一个时间窗口内单台主机发起主动连接的次数是否超过设定的阀值、对外发起的连接是否有关联的DNS请求、网络数据包和数据流的统计特征是否偏离正常时的范围等。这类方法往往误报率偏高，且对于隐蔽性较强的网络侦察行为检测能力较差，攻击者可以通过新型的攻击手段避过安全防护系统，伪装成正常用户，那么就可以不被发现地在目标网络中进行扫描和信息探测。此外，现有的防护手段往往采用被动流量分析的方法，很难做到实时主动防御。

蜜罐是进行网络攻击诱捕和分析的重要工具，但是只能对访问蜜罐的攻击流量进行检测，或者需要借助其它手段对攻击流量进行牵引，单个蜜罐的防护范围有限，无法对较大规模的网络侦察行为进行检测。此外，由于网络拓扑和网络组成要素的静态性，攻击者往往有充足的时间，利用多次网络侦察的结果不断积累在目标网络中获得的知识，进而全面掌握目标网络的网络架构和内部主机信息，从而逐步渗透并控制整个网络，实现攻击目标。

发明内容

为了克服上述已有技术的缺点，有效防御网络侦察攻击，斩断网络攻击链，提高对侦察攻击的检测精度和蜜罐的防护范围，本发明另辟蹊径，提出一种基于主动侦测的网络攻击智能动态防护和诱捕系统及方法。其基本技术思想是，根据用户配置的网段，利用主动侦测的方法进行网络节点测绘，智能自动地学习用户网络中未使用的IP地址并构建网络哨兵。这些网络哨兵对正常用户是不可见的，但是对攻击者而言，无论攻击者用任何形式的方式(包括已知和未知的网络侦察工具)对目标网络进行扫描侦察，都会以很高的概率碰到系统自动生成的网络哨兵，可选的，网络哨兵可以根据攻击者的不同访问自动响应虚假信息，也可以将攻击流量自动牵引至一个或多个蜜罐中，从而扩大了蜜罐的防护范围。系统能智能感知网络中的IP地址变化情况(如主机上下线、新主机接入等)，自动对构建的网络哨兵节点进行动态变换，使目标网络变成一个难以侦测的“网络迷宫”。系统可以自动地、实时地对攻击者进行检测和诱捕，准确识别针对目标网络的侦察攻击，打破攻击积累，使其无法准确获得目标网络的拓扑结构和主机信息，从而失去了开展下一步攻击的基础。

为实现上述发明目的，本发明所提供的技术方案是：

一种基于主动侦测的网络攻击智能动态防护和诱捕系统，包括：

管理单元，用于管理信息的配置；

网络哨兵单元，利用主动侦测的结果构建网络哨兵，实现网络侦察攻击检测和诱捕的环境；

流量处理单元，处理双向的网络通信数据包；

网络节点测绘单元，用于实时对目标网络进行侦测并学习网络中当前正在使用的IP地址；

攻击检测单元，根据访问目标的不同检测攻击流量；

动态响应单元，用于构建虚假响应数据包，针对可疑的网络侦察，生成虚假响应信息；

动态变换单元，定期通知所述网络哨兵单元重新生成网络哨兵，实现动态网络环境；

日志单元，用于生成多维日志信息。

进一步的根据前述的基于主动侦测的网络攻击智能动态防护和诱捕系统，所述管理单元(1)用于管理信息的配置，对所述网络哨兵单元(2)配置网络哨兵动态生成的基本网络元素信息，包括但不限于虚假的IP地址范围、虚假的MAC地址范围、虚假的操作系统类型和版本、虚假的开放端口范围、响应数据包中IP头部的OPTION字段、TTL字段等、响应数据包中TCP头部的窗口大小和选项字段的类型及排列顺序等，同时为网络哨兵节点下发攻击处理策略，包括系统自动虚假响应和重定向至蜜罐等；对所述网络节点测绘单元(4)配置主动侦测和被动学习的IP地址范围(用户网段)、端口范围等信息；对所述动态变换单元(7)配置动态变换时间间隔等信息。

进一步的根据前述的基于主动侦测的网络攻击智能动态防护和诱捕系统，所述网络哨兵单元(2)根据所述网络节点测绘单元(4)提供的网络中未使用的IP地址、端口分布等信息，随机选择一部分所述未使用的IP地址构建网络哨兵，为每一个网络哨兵配置包括但不限于节点编号、虚假的IP地址、虚假的MAC地址、虚假的操作系统类型和版本、虚假的开放端口、响应数据包中IP头部的OPTION字段和TTL字段等、响应数据包中TCP头部的窗口大小和选项字段的类型及排列顺序等信息。当某个IP地址由未使用状态变成使用状态时，需要将其从生成的网络哨兵里移除。此外，所述网络哨兵单元(2)根据所述动态变换单元(7)发送的变换信息，周期性地重新生成新的网络哨兵，从而实现动态网络环境。

进一步的根据前述的基于主动侦测的网络攻击智能动态防护和诱捕系统，所述流量处理单元(3)处理双向的网络通信数据包，匹配数据包的目的IP，如果目的IP地址是所述网络节点测绘单元(4)的所述主动侦测模块(41)使用的IP地址，则将该数据包判定为主动侦测的响应数据包并发送至所述网络节点测绘单元(4)，用于学习目标网络中当前正在使用的IP地址、端口分布等，否则将数据包发送至所述攻击检测单元(5)。所述流量处理单元(3)通过采用DPDK技术提升数据包的处理性能，所述DPDK技术提供了一套用于快速处理数据包的API接口，不需要修改内核就可以让网卡驱动运行在用户空间，从而消除了内核和用户空间之间的数据拷贝，减少报文转发过程中拷贝的次数以及共享总线操作的次数，有效地降低通信延迟，增加网络吞吐率，大大提升了数据包处理性能。

进一步的根据前述的基于主动侦测的网络攻击智能动态防护和诱捕系统，所述网络节点测绘单元(4)包括所述主动侦测模块(41)和所述流量学习模块(42)，所述主动侦测模块(41)包括ARP侦测子模块、IP侦测子模块、TCP端口侦测子模块、UDP端口侦测子模块，设置主动侦测定时器，根据管理单元(1)下发的配置信息，周期性发送ARP、ICMP、TCP、UDP等侦测数据包对目标网络进行侦测；所述流量学习模块(42)包括MAC地址学习子模块、IP地址学习子模块、TCP端口学习子模块、UDP端口学习子模块，接收所述流量处理单元(3)发送过来的侦测响应数据包，提取响应数据包中的MAC地址、IP、端口等数据，构建网络节点在线列表并发送至所述网络哨兵单元(2)。

进一步的根据前述的基于主动侦测的网络攻击智能动态防护和诱捕系统，所述攻击检测单元(5)实时检测所述流量处理单元(3)发送过来的数据包，查询所述网络哨兵单元(2)生成的网络哨兵，如果访问目标是网络哨兵，则发送至所述动态响应单元(6)或者重定向至蜜罐中，否则认为是正常数据包而返回给所述流量处理单元(3)并放行。

进一步的根据前述的基于主动侦测的网络攻击智能动态防护和诱捕系统，所述动态响应单元(6)包括二层响应模块、IP响应模块、TCP响应模块、UDP响应模块，查询所述网络哨兵单元(2)生成的网络哨兵，依据不同的协议类型构建虚假响应数据包对攻击流量进行响应，所述虚假响应信息包括但不限于虚假的IP地址、虚假的MAC地址、虚假的操作系统的类型和版本以及虚假的开放端口等，响应数据包经过二层封装后发送至所述流量处理单元(3)，最后发送至攻击者。所述动态响应单元(6)的处理结果发送至所述日志单元(8)用于生成日志信息。

进一步的根据前述的基于主动侦测的网络攻击智能动态防护和诱捕系统，所述动态变换单元(7)依据所述管理单元(1)下发的动态变换间隔，定期通知所述网络哨兵单元(2)重新生成新的网络哨兵。

进一步的根据前述的基于主动侦测的网络攻击智能动态防护和诱捕系统，所述日志单元(8)用于生成日志信息，包括攻击日志、上下行流量统计日志、虚假响应日志、网络哨兵日志等，通过丰富的多源日志，实现侦察攻击和网络流量的多维采集和展示。

进一步的根据前述的基于主动侦测的网络攻击智能动态防护和诱捕系统，可采用静态配置和主动侦测相结合的方式生成网络哨兵。除了所述主动侦测的方法以外，还可根据用户配置的IP范围，随机地选取若干IP地址生成网络哨兵，此时要求用户配置地IP范围不与目标网络内正在使用的IP地址冲突。

一种基于主动侦测的网络攻击智能动态防护和诱捕方法，包括以下步骤：

步骤(1)、配置用户网段、端口范围、动态变换间隔等信息；

步骤(2)、设置主动侦测定时器，根据步骤(1)中的配置的用户网段和端口范围，周期性发送ARP、ICMP、TCP、UDP等侦测数据包对目标网络进行侦测，收到侦测响应数据包后，提取响应数据包中的MAC地址、IP、端口等数据，构建网络节点在线列表；

步骤(3)、随机选择一部分未使用的IP地址构建网络哨兵，为每一个网络哨兵配置包括但不限于节点编号、虚假的IP地址、虚假的MAC地址、虚假的操作系统类型和版本、虚假的开放端口、响应数据包中IP头部的OPTION字段和TTL字段等、响应数据包中TCP头部的窗口大小和选项字段的类型及排列顺序等信息，同时检查生成的网络哨兵，如果某个IP地址出现在网络节点在线列表中，将其从生成的网络哨兵里移除；

步骤(4)处理双向的网络通信数据包，查询所述生成的网络哨兵，如果访问目标不是网络哨兵，则认为是正常数据包而放行，否则将该数据包重定向至蜜罐中或者依据生成的网络哨兵构建虚假响应数据包对攻击流量进行响应，所述虚假响应信息包括但不限于虚假的IP地址、虚假的MAC地址、虚假的操作系统的类型和版本以及虚假的开放端口等；

步骤(5)定期执行动态变换操作，重新生成新的网络哨兵。

本发明所述的基于主动侦测的网络攻击智能动态防护和诱捕系统部署在网络的二层或三层出口处，或是连接于交换机/路由器的某个端口上，系统可以采用串接的方式部署，也可以采用旁路的方式部署，本发明不对系统的部署位置和接入方式进行限制，无论采取何种方式部署使用所述的基于主动侦测的网络攻击智能动态防护和诱捕系统，都是本发明的保护范围。

本发明的有益效果：

1)、布置本发明提出的基于主动侦测的网络攻击智能动态防护和诱捕系统，通过主动侦测的手段对目标网络进行拓扑探测和IP地址学习，能智能动态地利用网络中未使用的IP地址构建网络哨兵，这些网络哨兵能对攻击行为进行检测和诱捕，具有很高的检测精度，且无需人工干预，能自动适应各种网络环境，极大地降低了网络运维和管理成本。

2)、布置本发明提出的基于主动侦测的网络攻击智能动态防护和诱捕系统，能与目标网络中已经存在的蜜罐配合使用，通过动态流量牵引，可将针对不同网络哨兵的攻击流量牵引至一个或多个蜜罐中，网络哨兵是在未使用的IP地址中随机生成且可动态变化，因此有效提高了蜜罐的防护范围。

3)、布置本发明提出的基于主动侦测的网络攻击智能动态防护和诱捕系统，能有效斩断网络攻击链，攻击者对目标网络进行侦察得到的是网络哨兵或蜜罐响应的虚假信息，从而能有效推迟甚至阻断攻击者开展下一步攻击行动。

4)、布置本发明提出的基于主动侦测的网络攻击智能动态防护和诱捕系统，无需改变目标网络原来的物理拓扑结构，无需在终端主机上安装客户端程序，不改变用户的访问习惯，能与目标网络中已有的安全防护产品兼容，安装和维护成本低。

5)、经样机使用实践证明，本发明能有效抵御针对目标网络的侦察攻击，且本发明所述方案在现有网络中容易布置、操作简单、安全可靠，具有显著的经济社会效益和广阔的市场推广应用前景。

附图说明

图1是本发明所述基于主动侦测的网络攻击智能动态防护和诱捕系统示意图；

图2是本发明所述网络节点测绘单元的主动侦测模块和流量学习模块结构图；

图3是利用网络侦察工具Superscan扫描网络哨兵得到的部分响应结果示意图。

图中各附图标记的含义如下：

1-管理单元，2-网络哨兵单元，3-流量处理单元，4-网络节点测绘单元，5-攻击检测单元，6-动态响应单元，7-动态变换单元，8-日志单元；

41-主动侦测模块，42-流量学习模块。

具体实施方式

以下结合附图对本发明的技术方案进行详细的描述，以使本领域技术人员能够更加清楚的理解本发明的方案，但并不因此限制本发明的保护范围。

随着信息全球化的发展，互联网己经应用到了人们工作、生活中的方方面面，给我们带来了更多的便捷，与此同时网络攻击行为也越发严重，很多网络安全问题随即产生，威胁着系统中的设备和数据。病毒、木马在网络中传播，成为网络用户、企业面临的主要威胁，信息在通信网络中的传播和存储很有可能遭到黑客的非法窃取和毁坏，从而导致不可估量的损失。近年来网络中出现了各种各样的新型攻击，其中高级持续性威胁(AdvancedPersistent Threat，APT)越来越频繁，攻击者通过技术手段和社会工程等多种方法进入网络系统，进而窃取秘密数据、破坏系统、恶意欺骗等，不但影响了普通民众的工作生活，也成为了威胁经济、社会甚至国家安全的重大问题。

攻击链来源于军事术语，用来描述攻击行动的过程。洛克希德-马丁公司提出入侵攻击链来描述网络入侵活动。在该模型中入侵活动被分为七个阶段，越早打断入侵攻击链就能越早阻止攻击活动，七个阶段包括网络侦察、武器化、投送、漏洞利用、安装、命令和控制、行动。对于不同目的的入侵型攻击来说，差异在于最后的行动阶段。网络侦察是入侵攻击链的第一环节，攻击者需要识别和确定目标，根据要攻击目标的环境信息决定采取的方法，如确定目标操作系统类型、安全防护软件类型、应用软件信息、存在的漏洞信息等。在此阶段可以通过隐藏操作系统类型、提供虚假设备信息、提供虚假服务等手段，误导攻击者武器的研制以挫败攻击，或将攻击者注意力转移到虚假目标上从而诱捕攻击。

现有的网络防御体系在网络层面中通常采用的网络安全防护产品主要是防火墙、入侵检测、隔离网关、流量检测等各类软/硬件产品，对需要保护的网络实现网络攻击检测、网络攻击防护。这些产品在一定程度上保护了网络的安全。但是，由于网络架构的静态性和攻击手段的不断演进，网络安全技术在不断发展的攻击技术面前往往显得力不从心，攻击者往往有充足的时间通过网络侦察分析内网架构、主机系统、安全技术并找出其中的漏洞，从而逐步渗透网络，达到攻击目标。

本发明所述基于主动侦测的网络攻击智能动态防护和诱捕系统及方法，主要针对所述入侵攻击链的网络侦察环节进行防御。首先说明本发明的技术创新原理。本发明基于移动目标防御(MTD，Moving Target Defense)的新型网络防御思想，利用网络欺骗技术构建动态环境。移动目标防御，它不同于以往的网络安全思路，旨在部署和运行不确定、随机动态的网络和系统，让攻击者难以发现目标，可以大大降低系统弱点被暴露的概率，改变网络防御被动的态势，真正实现“主动”防御。本发明基于移动目标防御的思路，保持原有网络配置的完整性，并最小化操作管理，使用户正常网络应用不受影响的情况下，实现网络拓扑的复杂化和动态化，把网络变成一个无法侦察和预测的迷宫，大大提高对网络侦察攻击的检测和诱捕能力。

本发明的基本技术思想是，根据用户配置的网段，利用主动侦测的方法进行网络节点测绘，智能自动地学习用户网络中未使用的IP地址并构建网络哨兵。这些网络哨兵对正常用户是不可见的，但是对攻击者而言，无论攻击者用任何形式的方式(包括已知和未知的网络侦察工具)对目标网络进行扫描侦察，都会以很高的概率碰到系统自动生成的网络哨兵，可选的，网络哨兵可以根据攻击者的不同访问自动响应虚假信息，也可以将攻击流量自动牵引至一个或多个蜜罐中，从而扩大了蜜罐的防护范围。系统能智能感知网络中的IP地址变化情况(如主机上下线、新主机接入等)，自动对构建的网络哨兵节点进行动态变换，使目标网络变成一个难以侦测的“网络迷宫”，通过将攻击者引入布置的虚假环境中，不是阻断入侵攻击链，而是让攻击者在欺骗环境中完成攻击链，使得防御者可以在欺骗环境中对攻击行为进行深入完整的分析。系统可以自动地、实时地对攻击者进行检测和诱捕，准确识别针对目标网络的侦察攻击，打破攻击积累，使其无法准确获得目标网络的拓扑结构和主机信息，从而失去了开展下一步攻击的基础。

本发明所述的基于主动侦测的网络攻击智能动态防护和诱捕系统部署在网络的二层或三层出口处，或是连接于交换机/路由器的某个端口上，系统可以采用串接的方式部署，也可以采用旁路的方式部署，本发明不对系统的部署位置和接入方式进行限制，无论采取何种方式部署使用所述的基于主动侦测的网络攻击智能动态防护和诱捕系统，都是本发明的保护范围。

下面结合附图详细描述基于主动侦测的网络攻击智能动态防护和诱捕系统及方法的原理和工作过程，优选的包括如下第一优选实施方式和第二优选实施方式。

第一优选实施方式

如图1所示，作为第一优选实施方式，本发明所述的基于主动侦测的网络攻击智能动态防护和诱捕系统包括管理单元(1)、网络哨兵单元(2)、流量处理单元(3)、网络节点测绘单元(4)、攻击检测单元(5)、动态响应单元(6)、动态变换单元(7)和日至单元(8)；所述管理单元(1)连接于所述网络哨兵单元(2)、所述网络节点测绘单元(4)和所述动态变换单元(7)，所述网络哨兵单元(2)连接于所述攻击检测单元(5)和所述动态响应单元(6)，所述流量处理单元(3)连接于所述网络节点测绘单元(4)和所述攻击检测单元(5)，所述网络节点测绘单元(4)连接于所述网络哨兵单元(2)和所述流量处理单元(3)，所述攻击检测单元(5)连接于所述流量处理单元(3)和所述动态响应单元(6)，所述动态响应单元(6)连接于所述日志单元(8)，所述动态变换单元(7)连接于所述网络哨兵单元(2)。

所述管理单元(1)用于管理信息的配置，对所述网络哨兵单元(2)配置网络哨兵动态生成的基本网络元素信息，包括但不限于虚假的IP地址范围、虚假的MAC地址范围、虚假的操作系统类型和版本、虚假的开放端口范围、响应数据包中IP头部的OPTION字段和TTL字段、响应数据包中TCP头部的窗口大小和选项字段的类型及排列顺序等，同时为网络哨兵节点下发攻击处理策略，包括系统自动虚假响应和重定向至蜜罐等；对所述网络节点测绘单元(4)配置主动侦测和被动学习的IP地址范围(用户网段)、端口范围等信息；对所述动态变换单元(7)配置动态变换时间间隔等信息。

所述网络哨兵单元(2)根据所述网络节点测绘单元(4)提供的网络中未使用的IP地址、端口分布等信息，随机选择一部分所述未使用的IP地址构建网络哨兵，为每一个网络哨兵配置包括但不限于节点编号、虚假的IP地址、虚假的MAC地址、虚假的操作系统类型和版本、虚假的开放端口、响应数据包中IP头部的OPTION字段和TTL字段、响应数据包中TCP头部的窗口大小和选项字段的类型及排列顺序等信息。当某个IP地址由未使用状态变成使用状态时，需要将其从生成的网络哨兵里移除。此外，所述网络哨兵单元(2)根据所述动态变换单元(7)发送的变换信息，周期性地重新生成新的网络哨兵，从而实现动态网络环境。

所述流量处理单元(3)处理双向的网络通信数据包，匹配数据包的目的IP，如果目的IP地址是所述网络节点测绘单元(4)的所述主动侦测模块(41)使用的IP地址，则将该数据包判定为主动侦测的响应数据包并发送至所述网络节点测绘单元(4)，用于学习目标网络中当前正在使用的IP地址、端口分布等，否则将数据包发送至所述攻击检测单元(5)。所述流量处理单元(3)通过采用DPDK技术提升数据包的处理性能，所述DPDK技术提供了一套用于快速处理数据包的API接口，不需要修改内核就可以让网卡驱动运行在用户空间，从而消除了内核和用户空间之间的数据拷贝，减少报文转发过程中拷贝的次数以及共享总线操作的次数，有效地降低通信延迟，增加网络吞吐率，大大提升了数据包处理性能。

所述网络节点测绘单元(4)包括所述主动侦测模块(41)和所述流量学习模块(42)，所述主动侦测模块(41)包括ARP侦测子模块、IP侦测子模块、TCP端口侦测子模块、UDP端口侦测子模块，设置主动侦测定时器，根据管理单元(1)下发的配置信息，周期性发送ARP、ICMP、TCP、UDP等侦测数据包对目标网络进行侦测；所述流量学习模块(42)包括MAC地址学习子模块、IP地址学习子模块、TCP端口学习子模块、UDP端口学习子模块，接收所述流量处理单元(3)发送过来的侦测响应数据包，提取响应数据包中的MAC地址、IP、端口等数据，构建网络节点在线列表并发送至所述网络哨兵单元(2)。

所述攻击检测单元(5)实时检测所述流量处理单元(3)发送过来的数据包，查询所述网络哨兵单元(2)生成的网络哨兵，如果访问目标是网络哨兵，则发送至所述动态响应单元(6)或者重定向至蜜罐中，否则认为是正常数据包而返回给所述流量处理单元(3)并放行。

所述动态响应单元(6)包括二层响应模块、IP响应模块、TCP响应模块、UDP响应模块，查询所述网络哨兵单元(2)生成的网络哨兵，依据不同的协议类型构建虚假响应数据包对攻击流量进行响应，所述虚假响应信息包括但不限于虚假的IP地址、虚假的MAC地址、虚假的操作系统的类型和版本以及虚假的开放端口等，响应数据包经过二层封装后发送至所述流量处理单元(3)，最后发送至攻击者。所述动态响应单元(6)的处理结果发送至所述日志单元(8)用于生成日志信息。

所述动态变换单元(7)依据所述管理单元(1)下发的动态变换间隔，定期通知所述网络哨兵单元(2)重新生成网络哨兵。

所述日志单元(8)用于生成日志信息，包括攻击日志、上下行流量统计日志、虚假响应日志、网络哨兵日志等，通过丰富的多源日志，实现侦察攻击和网络流量的多维采集和展示。

这样在互联网上布置本发明所述基于主动侦测的网络攻击智能动态防护和诱捕系统，无论攻击者用任何形式的方式(包括已知和未知的网络侦察工具)对目标网络进行扫描侦察，都会以很高的概率碰到系统自动生成的网络哨兵，可选的，网络哨兵可以根据攻击者的不同访问自动响应虚假信息，也可以将攻击流量自动牵引至一个或多个蜜罐中，从而扩大了蜜罐的防护范围。系统能智能感知网络中的IP地址变化情况(如主机上下线、新主机接入等)，自动对构建的网络哨兵节点进行动态变换，使目标网络变成一个难以侦测的“网络迷宫”，且无需人工干预，能自动适应各种网络环境，极大地降低了网络运维和管理成本。通过将攻击者引入布置的虚假环境中，不是阻断入侵攻击链，而是让攻击者在欺骗环境中完成攻击链，使得防御者可以在欺骗环境中对攻击行为进行深入完整的分析。

本发明进一步的提出基于上述系统的网络攻击智能动态防护和诱捕方法，包括以下步骤：

步骤(1)、配置用户网段、端口范围、动态变换间隔等信息；

步骤(2)、设置主动侦测定时器，根据步骤(1)中的配置的用户网段和端口范围，周期性发送ARP、ICMP、TCP、UDP等侦测数据包对目标网络进行侦测，收到侦测响应数据包后，提取响应数据包中的MAC地址、IP、端口等数据，构建网络节点在线列表；

步骤(3)、随机选择一部分未使用的IP地址构建网络哨兵，为每一个网络哨兵配置包括但不限于节点编号、虚假的IP地址、虚假的MAC地址、虚假的操作系统类型和版本、虚假的开放端口、响应数据包中IP头部的OPTION字段和TTL字段、响应数据包中TCP头部的窗口大小和选项字段的类型及排列顺序等信息，同时检查生成的网络哨兵，如果某个IP地址出现在网络节点在线列表中，将其从生成的网络哨兵里移除；

步骤(4)处理双向的网络通信数据包，查询所述生成的网络哨兵，如果访问目标不是网络哨兵，则认为是正常数据包而放行，否则将该数据包重定向至蜜罐中或者依据生成的网络哨兵构建虚假响应数据包对攻击流量进行响应，所述虚假响应信息包括但不限于虚假的IP地址、虚假的MAC地址、虚假的操作系统的类型和版本以及虚假的开放端口等；

步骤(5)定期执行动态变换操作，重新生成新的网络哨兵。

本领域技术人员可在第一实施方式的基础上，进一步地根据需要将更多的信息包括于网络哨兵的网络属性中，这取决于系统的具体应用领域，但都属于本发明的技术构思范畴。

第二优选实施方式

本发明的第二优选实施方式所述的基于主动侦测的网络攻击智能动态防护和诱捕系统及方法，与上述第一优选实施方式的区别在于，采用静态配置和主动侦测相结合的方式生成网络哨兵。除了主动侦测的方法以外，第二优选实施方式所述的基于主动侦测的网络攻击智能动态防护和诱捕系统及方法还可根据用户配置的IP范围，随机地选取若干IP地址生成网络哨兵，此时要求用户配置地IP范围不与目标网络内正在使用的IP地址冲突。

以上仅是对本发明的优选实施方式进行了描述，并不将本发明的技术方案限制于此，本领域技术人员在本发明的主要技术构思的基础上所作的任何公知变形都属于本发明所要保护的技术范畴，本发明具体的保护范围以权利要求书的记载为准。

Claims (7)

1.一种基于主动侦测的网络攻击智能动态防护和诱捕系统，其特征在于，包括网络哨兵单元、网络节点测绘单元、攻击检测单元、动态响应单元和动态变换单元，所述网络哨兵单元利用主动侦测的结果构建网络哨兵，实现网络侦察攻击检测和诱捕的环境，所述网络节点测绘单元，用于实时对目标网络进行主动侦测并学习网络中当前正在使用的IP地址，所述攻击检测单元，用于检测网络侦察攻击行为，所述动态响应单元，用于构建虚假响应数据包，针对可疑的网络侦察攻击，生成虚假响应信息，所述动态变换单元，定期通知所述网络哨兵单元重新生成网络哨兵。

2.根据权利要求1所述基于主动侦测的网络攻击智能动态防护和诱捕系统，其特征在于，所述网络哨兵单元根据所述网络节点测绘单元提供的网络中未使用的IP地址、端口分布等信息，随机选择一部分所述未使用的IP地址构建网络哨兵，当某个IP地址由未使用状态变成使用状态时，需要将其从生成的网络哨兵里移除。

3.根据权利要求1-2所述基于主动侦测的网络攻击智能动态防护和诱捕系统，其特征在于，所述网络哨兵单元为每一个网络哨兵配置包括但不限于节点编号、虚假的IP地址、虚假的MAC地址、虚假的操作系统类型和版本、虚假的开放端口、响应数据包中IP头部的OPTION字段和TTL字段、响应数据包中TCP头部的窗口大小和选项字段的类型及排列顺序等信息。

4.根据权利要求1-3所述基于主动侦测的网络攻击智能动态防护和诱捕系统，其特征在于，所述网络节点测绘单元包括主动侦测模块和流量学习模块，所述主动侦测模块包括ARP侦测子模块、IP侦测子模块、TCP端口侦测子模块、UDP端口侦测子模块，设置主动侦测定时器，根据管理单元下发的配置信息，周期性发送ARP、ICMP、TCP、UDP等侦测数据包对目标网络进行主动侦测；所述流量学习模块包括MAC地址学习子模块、IP地址学习子模块、TCP端口学习子模块、UDP端口学习子模块，处理主动侦测响应数据包，提取响应数据包中的MAC地址、IP、端口等数据，构建网络节点在线列表并发送至所述网络哨兵单元。

5.根据权利要求1-4所述基于主动侦测的网络攻击智能动态防护和诱捕系统，其特征在于，所述攻击检测单元实时检测所述流量处理单元发送过来的数据包，查询所述网络哨兵单元生成的网络哨兵，如果访问目标是网络哨兵，则发送至所述动态响应单元或者重定向至蜜罐中，否则认为是正常数据包而返回给所述流量处理单元并放行。

6.根据权利要求1-5所述基于主动侦测的网络攻击智能动态防护和诱捕系统，其特征在于，所述动态响应单元包括二层响应模块、IP响应模块、TCP响应模块、UDP响应模块，查询所述网络哨兵单元生成的网络哨兵，依据不同的协议类型构建虚假响应数据包对攻击流量进行响应，响应数据包经过二层封装后发送至所述流量处理单元。

7.一种基于主动侦测的网络攻击智能动态防护和诱捕方法，其特征在于，包括以下步骤：

步骤(1)、配置用户网段、端口范围、动态变换间隔等信息；

步骤(2)、设置主动侦测定时器，根据步骤(1)中的配置的用户网段和端口范围，周期性发送ARP、ICMP、TCP、UDP等侦测数据包对目标网络进行侦测，收到侦测响应数据包后，提取响应数据包中的MAC地址、IP、端口等数据，构建网络节点在线列表；

步骤(3)、随机选择一部分未使用的IP地址构建网络哨兵，为每一个网络哨兵配置包括但不限于节点编号、虚假的IP地址、虚假的MAC地址、虚假的操作系统类型和版本、虚假的开放端口、响应数据包中IP头部的OPTION字段和TTL字段、响应数据包中TCP头部的窗口大小和选项字段的类型及排列顺序等信息，同时检查生成的网络哨兵，如果某个IP地址出现在网络节点在线列表中，将其从生成的网络哨兵里移除；

步骤(4)处理双向的网络通信数据包，查询所述生成的网络哨兵，如果访问目标不是网络哨兵，则认为是正常数据包而放行，否则将该数据包重定向至蜜罐中或者依据生成的网络哨兵构建虚假响应数据包对攻击流量进行响应，所述虚假响应信息包括但不限于虚假的IP地址、虚假的MAC地址、虚假的操作系统的类型和版本以及虚假的开放端口等；

步骤(5)定期执行动态变换操作，重新生成新的网络哨兵。

Images