WO2019179375A1

WO2019179375A1 - 一种防御网络攻击的方法及装置

Info

Publication number: WO2019179375A1
Application number: PCT/CN2019/078391
Authority: WO
Inventors: 王雨晨
Original assignee: 华为技术有限公司
Priority date: 2018-03-19
Filing date: 2019-03-16
Publication date: 2019-09-26
Also published as: CN110290098A; EP3761589A4; US20210006594A1; US11570212B2; CN110290098B; EP3761589A1

Abstract

本申请公开了一种防御网络攻击的方法及装置，用以解决网络防御成本较高的问题。该方法包括：网络安全设备接收外部设备发送的第一报文，并将第一报文的目的IP地址与虚假网络的配置信息进行匹配。若虚假网络的配置信息中的一个节点的IP地址与目的IP地址具有相同的子网前缀，则网络安全设备基于虚假网络策略处理第一报文，若虚假网络的配置信息中不存在一个节点的IP地址与目的IP地址具有相同的子网前缀，则网络安全设备基于防火墙策略处理第一报文。

Description

一种防御网络攻击的方法及装置

本申请要求于2018年3月19日提交中国国家知识产权局、申请号为201810226068.X、申请名称为“一种防御网络攻击的方法及装置”的中国专利申请的优先权，其全部内容通过引用结合在本申请中。

技术领域

本申请涉及网络技术领域，尤其涉及一种防御网络攻击的方法及装置。

背景技术

随着互联网技术的发展，网络扫描、蠕虫与病毒代码的传播以及黑客恶意攻击等是网络上每台主机随时都可能面对的危险。当前的网络安全防御技术希望能在攻击破坏发生前阻止攻击活动，因此需要基于虚拟执行的检测技术，如蜜罐、蜜网等技术。当前的主流做法是通过在网络系统中布置一些蜜罐作为诱饵，诱使攻击方对它们实施攻击，从而可以对攻击行为进行捕获和分析，了解攻击方所使用的工具与方法，推测攻击意图和动机，能够让防御方清晰地了解他们所面对的安全威胁，并通过技术和管理手段来增强被保护系统的安全防护能力。蜜罐是指一种在互联网上运行的计算机系统，它通过模拟成易受攻击的真实网络、主机和服务等，作为诱惑恶意攻击的诱饵，其价值在于收集网络上的攻击活动信息，并对这些信息进行监视、检测和分析。蜜网是指诱捕这些攻击活动的整体网络体系架构，一个蜜网系统中通常包含一个或多个蜜罐。蜜网系统是为了收集入侵者的攻击信息，因而如何引诱攻击者对蜜网进行攻击是蜜网系统中一个重要的组成部分。

为了对网络系统进行全方位的安全防御，需要在网络系统中部署大量的蜜罐，而部署蜜罐需要的成本比较高，从而导致网络防御成本较高。

发明内容

本申请提供一种防御网络攻击的方法及装置，用以解决现有技术中存在网络防御成本较高的问题。

第一方面，本申请提供了一种防御网络攻击的方法，该方法包括：网络安全设备接收外部设备发送的第一报文，并将所述第一报文的目的网络协议(internet protocol，IP)地址与所述虚假网络的配置信息进行匹配。若所述虚假网络的配置信息中的一个节点的IP地址与所述目的IP地址具有相同的子网前缀，则所述网络安全设备基于虚假网络策略处理所述第一报文，若所述虚假网络的配置信息中不存在一个节点的IP地址与所述目的IP地址具有相同的子网前缀，则所述网络安全设备基于防火墙策略处理所述第一报文。其中，所述网络安全设备部署于受保护网络和所述外部设备所在的外部网络之间，所述网络安全设备中保存虚假网络的配置信息，所述配置信息中包括所述虚假网络的各个节点的网络协议IP地址，每个所述虚假网络策略包括匹配条件，以及与所述匹配条件对应的动作，所述动作包括构造并发送响应报文，或者禁止对所述第一报文进行应答，或者将所述第一报文重定向到蜜罐设备。上述设计中，网络安全设备通过将接收到的报文与虚假网络的配置信息进行匹配，并基于虚假网络策略对接收到的报文进行响应或者不应答等处理，来向攻击者展现虚假网络拓扑，使得攻击者误以为虚假网络中的各个节点在受保护网络中真实存在，并且无法简单的通过扫描来分清这些节点中哪些是真实节点哪些是虚假节点。相比于现有技术中部署大量蜜罐的方法，本申请实施例中通过网关设备利用现有的报文匹配技术向攻击者展现虚假网络拓扑，从而可以降低真实系统首次被攻击概率，并且这种方法可以使攻击者付出更多成本进行数据分析来判断真实节点和虚假节点，从而可以以较低的成本实现干扰、误导攻击者的攻击活动的目的。

一种可能的设计中，所述网络安全设备基于虚假网络策略处理所述第一报文，包括：所述网络安全设备确定所述第一报文的匹配信息，将所述第一报文的匹配信息分别与至少一个所述虚假网络策略中包含的匹配条件进行匹配，选择出与所述第一报文匹配的虚假网络策略，其中所述第一报文的匹配信息符合选择出的所述虚假网络策略中的匹配条件，之后执行选择出的所述虚假网络策略中的动作。其中，所述匹配信息包括以下至少一项：所述第一报文的协议类型、所述第一报文的目的IP地址、所述第一报文的目的端口号。上述设计中，网络安全设备可以利用现有的报文匹配技术将第一报文的匹配信息与至少一个虚假网络策略中包含的匹配条件进行匹配来选择虚假网络策略，对接收到的报文进行响应或者不应答等处理，使得攻击者误以为虚假网络中的各个节点在受保护网络中真实存在，从而可以降低真实系统首次被攻击概率，进而可以以较低的成本实现干扰、误导攻击者的攻击活动的目的。

一种可能的设计中，选择出的所述虚假网络策略中的匹配条件为：协议类型为网络控制报文协议(internet control message protocol，ICMP)、目的IP地址是所述虚假网络中的第一节点的IP地址，选择出的所述虚假网络策略中的动作是：构造并发送响应报文，或者将所述第一报文重定向到蜜罐设备，其中所述响应报文用于指示所述目的IP地址可达。ICMP报文是一种用于探测IP地址是否可达的报文，上述设计中，网络安全设备通过在第一报文为ICMP报文、且第一报文的目的IP地址是虚假网络中的第一节点的IP地址时，利用现有的报文匹配技术向外部设备响应用于指示所述目的IP地址可达的报文，以使攻击者误以为受保护网络中真实存在所述第一节点，从而可以以较低的成本实现干扰、误导攻击者的攻击活动的目的，或者，将第一报文重定向到蜜罐设备，使得第一报文可以被蜜罐设备进行分析检测，从而可以通过部署较少的蜜罐设备实现网络安全防御，进而可以降低网络安全防御的成本。

一种可能的设计中，所述配置信息中还包括所述虚假网络的各个节点的拓扑关系，所述响应报文携带生存时间，所述生存时间为所述网络安全设备基于所述拓扑关系所确定的，且所述生存时间表示报文在发往所述第一节点过程中所经过的路由节点的个数。上述设计中，网络安全设备通过告诉攻击者报文在到达所述第一节点之前进行路由转发的次数，以向攻击者展示虚假网络拓扑，从而可以以较低的成本实现干扰、误导攻击者的攻击活动的目的。

一种可能的设计中，选择出的所述虚假网络策略中的匹配条件为：协议类型为ICMP、目的IP地址不是所述虚假网络中的任一节点的IP地址，选择出的所述虚假网络策略中的动作是：构造并发送响应报文，或者将所述第一报文重定向到蜜罐设备，其中所述响应报文用于指示所述目的IP地址不可达、且所述目的IP地址的子网前缀所对应网关设备的IP 地址可达。上述设计中，网络安全设备通过在第一报文为ICMP报文、且第一报文的目的IP地址不是虚假网络中的任一节点的IP地址时，利用现有的报文匹配技术向外部设备响应用于所述目的IP地址不可达、且所述目的IP地址的子网前缀所对应网关设备的IP地址可达的报文，以使攻击者误以为受保护网络中虽然不存在目的IP地址对应的网络设备，但是真实存在所述目的IP地址的子网前缀所对应网关设备，从而可以以较低的成本实现干扰、误导攻击者的攻击活动的目的，或者，将第一报文重定向到蜜罐设备，使得第一报文可以被蜜罐设备进行分析检测，从而可以通过部署较少的蜜罐设备实现网络安全防御，进而可以降低网络安全防御的成本。

一种可能的设计中，所述配置信息中还包括所述虚假网络的各个节点的拓扑关系，所述响应报文携带生存时间，所述生存时间为所述网络安全设备基于所述拓扑关系所确定的，且所述生存时间表示报文在到达所述目的IP地址的子网前缀所对应的网关设备之前进行路由转发的次数。上述设计中，网络安全设备通过告诉攻击者报文在发往所述目的IP地址的子网前缀所对应的网关设备过程中所经过的路由节点的个数，以向攻击者展示虚假网络拓扑，从而可以以较低的成本实现干扰、误导攻击者的攻击活动的目的。

一种可能的设计中，选择出的所述虚假网络策略中的匹配条件为：协议类型为传输控制协议(transmission control protocol，TCP)、目的端口为所述虚假网络中的第一端口，所述目的端口根据目的IP地址以及目的端口号所确定，选择出的所述虚假网络策略中的动作是：构造并发送响应报文，或者将所述第一报文重定向到蜜罐设备，其中所述响应报文用于指示目的端口为开放状态。TCP报文是一种用于探测网络设备中目的端口是否存在TCP服务(即端口是否为开放状态)的报文，上述设计中，网络安全设备通过在第一报文为TCP报文、目的端口为所述虚假网络中的第一端口时，利用现有的报文匹配技术向外部设备响应用于指示目的端口为开放状态的报文，以使攻击者误以为受保护网络中在所述目的IP地址对应的节点上所述目的端口号对应的端口存在开放的TCP服务，从而可以以较低的成本实现干扰、误导攻击者的攻击活动的目的，或者，将第一报文重定向到蜜罐设备，使得第一报文可以被蜜罐设备进行分析检测，从而可以提高受保护网络的安全性，并且可以通过部署较少的蜜罐设备实现网络安全防御，进而可以降低网络安全防御的成本。

一种可能的设计中，选择出的所述虚假网络策略中的匹配条件为：协议类型为TCP、目的端口不为所述虚假网络中的第一端口，选择出的所述虚假网络策略中的动作是：构造并发送响应报文，或者将所述第一报文重定向到蜜罐设备，其中所述响应报文用于指示目的端口为未开放状态。上述设计中，网络安全设备通过在第一报文为TCP报文、且目的端口为所述虚假网络中的第一端口时，利用现有的报文匹配技术向外部设备响应用于指示目的端口为未开放状态的报文，以使攻击者误以为受保护网络中在所述目的IP地址对应的节点上所述目的端口号对应的端口不存在开放的TCP服务，从而可以以较低的成本实现干扰、误导攻击者的攻击活动的目的，或者，将第一报文重定向到蜜罐设备，使得第一报文可以被蜜罐设备进行分析检测，从而可以提高受保护网络的安全性，并且可以通过部署较少的蜜罐设备实现网络安全防御，进而可以降低网络安全防御的成本。

其中，第一端口可以为根据实际需求进行设置，如第一端口可以为虚假网络的所有节点中任意一个端口号包含在第一集合中的端口，所述第一集合包括至少一个端口号；或者，第一端口还可以为所述虚假网络中第二节点上任意一个端口号包含在第二集合中的端口，所述第二集合包括至少一个端口号，等等。

若第一端口可以为虚假网络的所有节点中任意一个端口号包含在第一集合中的端口，则选择出的所述虚假网络策略中的匹配条件为：协议类型为TCP、目的端口号是第一集合中的端口号，选择出的所述虚假网络策略中的动作是：构造并发送响应报文，或者将所述第一报文重定向到蜜罐设备，其中所述响应报文用于指示目的设备上所述目的端口号对应的端口为开放状态、且所述目的设备的IP地址与所述目的IP地址相同。或者，选择出的所述虚假网络策略中的匹配条件为：协议类型为TCP、目的端口号不是第一集合中的端口号，选择出的所述虚假网络策略中的动作是：构造并发送响应报文，或者将所述第一报文重定向到蜜罐设备，其中所述响应报文用于指示目的设备上所述目的端口号对应的端口为未开放状态、且所述目的设备的IP地址与所述目的IP地址相同。

若第一端口为所述虚假网络中第二节点上任意一个端口号包含在第二集合中的端口，则选择出的所述虚假网络策略中的匹配条件为：协议类型为TCP、目的IP地址是所述虚假网络中的第二节点的IP地址、目的端口号为第二集合中包括的端口号，选择出的所述虚假网络策略中的动作是：构造并发送响应报文，或者将所述第一报文重定向到蜜罐设备，其中所述响应报文用于指示第二节点中所述目的端口号对应的端口为开放状态。或者，选择出的所述虚假网络策略中的匹配条件为：协议类型为TCP、目的IP地址不为所述虚假网络中的第二节点的IP地址和/或目的端口号不是第二集合中包括的端口号，选择出的所述虚假网络策略中的动作是：构造并发送响应报文，或者将所述第一报文重定向到蜜罐设备，其中所述响应报文用于指示目的IP地址对应的节点上所述目的端口号对应的端口为未开放状态。

一种可能的设计中，选择出的所述虚假网络策略中的匹配条件为：协议类型为用户数据包协议(user datagram protocol，UDP)、目的端口为所述虚假网络中的第二端口，所述目的端口根据目的IP地址以及目的端口号所确定，选择出的所述虚假网络策略中的动作是：禁止对所述第一报文进行应答，或者将所述第一报文重定向到蜜罐设备。UDP报文是一种用于探测网络设备中目的端口是否存在UDP服务(即端口是否为开放状态)的报文，上述设计中，网络安全设备通过在第一报文为UDP报文、且目的端口为所述虚假网络中的第二端口时，利用现有的报文匹配技术不对第一报文进行应答，以使攻击者误以为受保护网络中目的端口存在开放的UDP服务，从而可以以较低的成本实现干扰、误导攻击者的攻击活动的目的，或者，将第一报文重定向到蜜罐设备，使得第一报文可以被蜜罐设备进行分析检测，从而可以提高受保护网络的安全性，并且可以通过部署较少的蜜罐设备实现网络安全防御，进而可以降低网络安全防御的成本。

一种可能的设计中，选择出的所述虚假网络策略中的匹配条件为：协议类型为UDP、所目的端口不为所述虚假网络中的第二端口，选择出的所述虚假网络策略中的动作是：构造并发送响应报文，其中所述响应报文用于指示目的端口不可达，或者将所述第一报文重定向到蜜罐设备。上述设计中，网络安全设备通过在第一报文为UDP报文、且不为所述虚假网络中的第二端口时，利用现有的报文匹配技术向外部设备响应用于指示目的设备中所述目的端口号对应的端口不可达的报文，以使攻击者误以为受保护网络中目的IP地址对应的节点上目的端口号对应的端口不存在开放的UDP服务，从而可以以较低的成本实现干扰、误导攻击者的攻击活动的目的，或者，将第一报文重定向到蜜罐设备，使得第一报文可以被蜜罐设备进行分析检测，从而可以提高受保护网络的安全性，并且可以通过部署较少的蜜罐设备实现网络安全防御，进而可以降低网络安全防御的成本。

其中，第二端口可以为根据实际需求进行设置，如第二端口可以为虚假网络的所有节点中任意一个端口号包含在第三集合中的端口，所述第三集合包括至少一个端口号；或者，第二端口还可以为所述虚假网络中第三节点上任意一个端口号包含在第四集合中的端口，所述第四集合包括至少一个端口号，等等。

若第二端口可以为虚假网络的所有节点中任意一个端口号包含在第三集合中的端口，则选择出的所述虚假网络策略中的匹配条件为：协议类型为UDP、目的端口号为第三集合中包括的端口号，选择出的所述虚假网络策略中的动作是：禁止对所述第一报文进行应答，或者将所述第一报文重定向到蜜罐设备。或者，选择出的所述虚假网络策略中的匹配条件为：协议类型为UDP、所述目的端口号不是第三集合中包括的端口号，选择出的所述虚假网络策略中的动作是：构造并发送响应报文，其中所述响应报文用于指示目的设备中所述目的端口号对应的端口不可达，所述目的设备的IP地址与所述目的IP地址相同，或者将所述第一报文重定向到蜜罐设备。

若第二端口还可以为所述虚假网络中第三节点上任意一个端口号包含在第四集合中的端口，则选择出的所述虚假网络策略中的匹配条件为：协议类型为UDP、目的IP地址是所述虚假网络中的第四节点的IP地址、目的端口号为第四集合中包括的端口号，选择出的所述虚假网络策略中的动作是：禁止对所述第一报文进行应答，或者将所述第一报文重定向到蜜罐设备。或者，选择出的所述虚假网络策略中的匹配条件为：协议类型为UDP、目的IP地址不为所述虚假网络中的第四节点的IP地址和/或所述目的端口号不是第四集合中包括的端口号，选择出的所述虚假网络策略中的动作是：构造并发送响应报文，或者将所述第一报文重定向到蜜罐设备，其中所述响应报文用于指示目的IP地址对应的节点上所述目的端口号对应的端口不可达。

一种可能的设计中，所述网络安全设备在构造并发送响应报文时，首先构造响应报文，并延迟预设时长后发送所述响应报文。上述设计中，通过延迟发送响应报文，可以迟滞攻击活动，进而可以延长预警时间。

一种可能的设计中，选择出的所述虚假网络策略中的匹配条件为：目的IP地址是所述虚假网络中的第五节点的IP地址，选择出的所述虚假网络策略中的动作是：将所述第一报文重定向到蜜罐设备。上述设计中，网络安全设备通过在第一报文的目的IP地址为虚假网络中的第五节点的IP地址时，将第一报文重定向到蜜罐设备，使得第一报文可以被蜜罐设备进行分析检测，从而可以通过部署较少的蜜罐设备实现网络安全防御，进而可以降低网络安全防御的成本。

一种可能的设计中，所述网络安全设备在基于防火墙策略处理所述第一报文时，首先基于防火墙策略构造第一报文格式的响应报文，并向所述外部设备发送所述第一报文格式的响应报文。所述第一报文格式为第一系统类型对应的报文格式，所述第一系统类型与第一内部设备对应的第二系统类型不一致，所述第一内部设备位于所述受保护网络中，且所述第一内部设备的IP地址与所述目的IP地址相同。不同类型的操作系统发送的报文的格式不同，攻击者通过分析报文的格式确定发送该报文的网络设备的系统类型，由于不同类型的操作系统存在的漏洞不同，并攻击者针对该网络设备的系统类型存在的漏洞进行网络攻击。上述设计中，网络安全设备通过修改第一报文格式的响应报文的报文格式，以伪装网络设备的系统类型，从而隐藏了网络设备的漏洞信息，进而可以使攻击者判断网络设备的操作系统类型时得到错误的判断结果。

一种可能的设计中，所述网络安全设备接收第二内部设备发送的第二报文之后，将所述第二报文的报文格式修改为第二报文格式，并将第二报文格式的所述第二报文进行转发。其中，所述第二内部设备为所述受保护网络中的任一设备，所述第二报文格式对应的第三系统类型与所述第二内部设备对应的第四系统类型不一致。上述设计中，网络安全设备通过修改第二报文格式的响应报文的报文格式，以伪装第二内部设备的系统类型，从而隐藏了第二内部设备的漏洞信息，进而可以使攻击者判断第二内部设备的操作系统类型时得到错误的判断结果。

第二方面，本申请提供了一种网络安全设备，执行第一方面或第一方面的任意一种可能的实现方式中的方法。具体地，该网络安全设备包括用于执行第一方面或第一方面的任意一种可能的实现方式中的方法的单元。这些单元可以由程序模块实现，也可以由硬件或固件实现，具体参见实施例中的详细描述，此处不再赘述。

第三方面，本申请提供了一种网络安全设备，该装置包括网络接口、存储器以及处理器，存储器用于存储处理器所需执行的程序代码。网络接口用于接收或发送报文。处理器用于执行存储器所存储的程序代码，具体用于执行第一方面或第一方面的任一种设计所述的方法。

第四方面，本申请还提供了一种计算机可读存储介质，用于存储为执行上述第一方面、第一方面的任意一种设计的功能所用的计算机软件指令，其包含用于执行上述第一方面、第一方面的任意一种设计的方法所设计的程序。

第五方面，本申请实施例提供一种包含指令的计算机程序产品，当其在计算机上运行时，使得计算机执行上述第一方面或第一方面的任意可能的设计方式中的方法。

第六方面，本申请实施例提供一种芯片系统，该芯片系统包括处理器，用于支持网络安全设备实现上述第一方面或第一方面的任意可能的设计方式中所涉及的功能。在一种可能的设计中，芯片系统还包括存储器，用于保存网络安全设备必要的程序指令和数据。芯片系统，可以由芯片构成，也可以包含芯片和其他分立器件。

应理解，本申请实施例的第二至六方面与本申请实施例的第一方面的技术方案一致，各方面及对应的可实施的设计方式所取得的有益效果相似，不再赘述。

附图说明

图1为本申请提供的一种网络系统的架构示意图；

图2为本申请提供的一种虚假网络的拓扑示意图；

图3为本申请提供的一种防御网络攻击的方法流程图；

图4为本申请提供的一种应答主机扫描的方法流程图；

图5为本申请提供的一种应答TCP端口扫描的方法流程图；

图6为本申请提供的一种应答UDP端口扫描的方法流程图；

图7为本申请提供的一种延迟发送响应报文的方法流程图；

图8为本申请提供的一种防御网络攻击的方法流程图；

图9为本申请提供的一种防御网络攻击的方法流程图；

图10为本申请提供的一种处理外发报文的方法流程图；

图11为本申请提供的一种网络安全设备的结构示意图；

图12为本申请提供的一种网络安全设备的结构示意图。

具体实施方式

为了使本申请的目的、技术方案和优点更加清楚，下面将结合附图对本申请作进一步地详细描述。

本申请提供一种防御网络攻击的方法及装置，用以解决网络防御成本较高的问题。其中，方法和装置是基于同一发明构思的，由于方法及装置解决问题的原理相似，因此装置与方法的实施可以相互参见，重复之处不再赘述。

本申请中的防御网络攻击的方法可适用于多种系统架构，图1为本申请适用的一种网络系统架构示意图。该系统包括外部设备，网络安全设备以及受保护网络，其中，网络安全设备部署于受保护网络和所述外部设备所在的外部网络之间。网络安全设备可以用于将外部设备发送给受保护网络的报文进行过滤，如允许合法报文通过或限制攻击报文通过，从而保护受保护网络免受非法用户的侵入。网络安全设备可以是一个单独的设备，也可以部署在其他设备上，如路由器设备、防火墙设备、网关设备等等。外部设备可以但不限于是计算机设备、路由器设备等。受保护网络中包括至少一个真实节点，该真实节点可以但不限于是路由器设备、计算机设备等。

攻击者进行网络攻击的过程为：首先对受保护网络进行网络扫描，其中，网络扫描包括主机扫描、传输控制协议(transmission control protocol，TCP)端口扫描以及用户数据包协议(user datagram protocol，UDP)端口扫描。主机扫描的过程为攻击者通过向受保护网络中的节点发送网络控制报文协议(internet control message protocol，ICMP)报文探测目的IP地址是否可达，受保护网络中的节点根据受保护网络的实际情况对ICMP报文进行应答，攻击者在进行了大量的ICMP报文探测之后根据接收到响应报文可以获取受保护网络的网络拓扑结构。TCP端口扫描的过程为攻击者首先向受保护网络中的节点的端口发送TCP SYN报文，如果该端口存在开放的TCP服务则该节点响应TCP SYN ACK报文，否则响应TCP RST报文。攻击者过接收到的响应报文判断该端口是否存在开放的TCP服务。在TCP报文的报头中，有几个标志字段，如SYN，ACK，RST等等，其中，SYN为同步连接序号标志位，TCP SYN报文就是把这个标志设置为1，来请求建立连接。ACK为请求/应答状态标志位，0为请求，1为应答，TCP SYN ACK报文就是把这个标志设置为1。RST为连线复位标志位，TCP RST报文就是把这个标志设置为1。UDP端口扫描的过程为攻击者首先向在进行了大量的ICMP报文探测之后发送请求连接的UDP报文，如果该端口存在开放的UDP服务则该节点不应答该UDP报文，否则应答用于指示端口不可达的ICMP报文，攻击者通过接收到的响应报文判断该端口是否存在开放的UDP服务。攻击者在进行了网络扫描之后，根据网络扫描过程中接收到的响应报文的报文格式分析受保护网络中各个节点的系统类型，并针对各个节点，根据其系统类型的漏洞对该节点进行攻击。

传统的网络安全防御技术遵循发现、分析、响应三个步骤，即：攻击者对目的设备发起攻击之后，网络安全设备采集攻击行为并对攻击行为进行分析，提取攻击特征识别码之后才能对攻击进行有效防御。但是通过这种方法使得防御滞后于攻击。以SQL Slammer为例，在它发起攻击的头10分钟里就感染了百分之九十的易攻击服务器，而特征码在48小时之后才被提取。针对上述问题，当前的主流做法是通过在系统中部署蜜罐、蜜网等，蜜罐是指一种在互联网上运行的计算机系统，它通过模拟成易受攻击的真实网络、主机和服务等，作为诱惑恶意攻击的诱饵，其价值在于收集网络上的攻击活动信息，并对这些信息进行监视、检测和分析。蜜网是指诱捕这些攻击活动的整体网络体系架构，一个蜜网系统中通常包含一个或多个蜜罐。蜜网系统是为了收集入侵者的攻击信息，因而如何引诱攻击者对蜜网进行攻击是蜜网系统中一个重要的组成部分。部署蜜罐、蜜网的防御方法可以在攻击对真实系统造成实质破坏前实现预警和检测。蜜罐、蜜网等技术是建立在数据分析的基础上，数据分析与生成数据相比技术难度大，成本高，攻击者通过有意的构造一些数据，就很容易规避和逃逸蜜罐的检测，而蜜罐如果想识别数据的真伪，必须付出大量的技术成本。攻击者使用信息混淆技术发动攻击，就好比在一堆白米中撒入一把沙子一样容易，而蜜罐要有效实现网络安全防御，好比把沙子一粒粒从大米中筛检出来，可见，防御技术成本远远高于攻击成本。

基于此，本申请实施例通过在网络安全设备上引入发送混淆报文的技术，使网络安全设备在攻击者的网络扫描过程中应答构造的混淆报文，从而对受保护网络中的真实信息进行混淆，让受保护网络中的真实信息混杂在大量虚假信息当中，让攻击者无法识别受保护网络中的真实情况，从而要么放弃攻击，要么通过复杂的数据分析来识别信息真伪。本申请实施例中网络安全设备可以不维护TCP等网络连接状态，也可以不对网络报文在目的设备落地之后进行分析处理，而是由攻击报文触发，之后按照预定策略发送混淆报文，从而可以较低的成本实现隐藏受保护网络中的真实情况，向攻击者发送虚假信息，把攻击活动引入歧途。从而在攻击产生实际破坏前让攻击活动暴露的目的，并且发送混淆报文的方式可以将复杂的数据分析、网络连接状态维护等工作交给攻击者，使得攻击者的攻击成本增加，从而扭转攻防成本不对称问题。

本申请中所涉及的多个，是指两个或两个以上。

另外，需要理解的是，在本申请的描述中，“第一”、“第二”等词汇，仅用于区分描述的目的，而不能理解为指示或暗示相对重要性，也不能理解为指示或暗示顺序。

防火墙设备是一个对接收到的网络报文进行匹配(Match)，基于匹配结果进行操作(Action)，其中Action包括阻止(block)、转发(forward)、网络地址转换(network address translation，NAT)等等，从而进行报文控制实现安全防护的设备。本申请实施例中网络安全设备保持防火墙设备的基本工作流程，通过保存虚假网络的配置信息，使网络安全设备可以在攻击者进行网络扫描时基于虚假网络策略构造响应报文来欺骗攻击者，从而可以隐藏受保护网络的真实信息，诱导攻击者向虚假网络发动攻击，降低受保护网络被攻击的概率。其中，虚假网络的配置信息中包括虚假网络的各个节点的网络协议IP地址，还可以包括各个节点的拓扑关系，例如，如图2所示，虚假网络的配置信息中可以包括三个网关节点，网络协议(internet protocol，IP)地址分别为202.14.235.254、202.14.236.254、202.14.237.254。其中，IP地址为202.14.235.254的网关节点分别与IP地址为202.14.236.254的网关节点以及IP地址为202.14.237.254的网关节点相连接。IP地址为202.14.235.254的网关节点连接一个端节点，该端节点的IP地址为202.14.235.1。IP地址为202.14.236.254的网关节点连接两个端节点，这两个端节点的IP地址分别为202.14.236.1以及202.14.236.2。IP地址为202.14.237.254的网关节点连接两个端节点，这两个端节点的IP地址分别为202.14.237.1以及202.14.237.2。每个虚假网络策略包括匹配条件，以及与所述匹配条件对应的动作，所述动作包括构造并发送响应报文，或者禁止对所述第一报文进行应答，或者将所述第一报文重定向到蜜罐设备等等。

参见图3，为本申请提供的网络安全设备防御网络攻击的方法流程图。该方法可以用于图1所示的网络系统中，该方法包括：

S301，网络安全设备接收外部设备发送的第一报文。

S302，所述网络安全设备将所述第一报文的目的IP地址与所述虚假网络的配置信息进行匹配。

具体的，网络安全设备可以先获取第一报文的五元组信息，其中，五元组信息指网络报文的协议类型、源IP、源端口、目的IP地址、目的端口，并将第一报文的五元组信息中的目的IP地址与虚假网络的配置信息进行匹配。

若所述虚假网络的配置信息中的一个节点的IP地址与所述目的IP地址具有相同的子网前缀，则执行步骤S303。

S303，所述网络安全设备基于虚假网络策略处理所述第一报文。

若所述虚假网络的配置信息中不存在一个节点的IP地址与所述目的IP地址具有相同的子网前缀，则执行步骤S304。

S304，所述网络安全设备基于防火墙策略处理所述第一报文。

其中，防火墙策略为现有技术中防火墙设备处理网络报文时所采用的策略。现有技术中的防火墙策略可以包括两部分，即匹配部分和操作部分，匹配部分即对网络报文进行五元组信息匹配，操作部分为根据匹配部分得到的匹配结果按照预设策略对网络报文或者流量进行操作，操作可以为丢弃(Drop)、拒绝(Reject)、接受(Accept)、跳转(Jump)等等，具体的，防火墙策略可以通过如下代码实现：

-p TCP-s 192.168.0.0/16-d 0.0.0.0/0--dport＝80-j DROP//防火墙在接收到源IP地址的子网前缀为192.168.0.0/16，目的端口号为80的TCP报文后，丢弃该TCP报文；

-p TCP-s 192.168.0.0/16-d 10.10.10.1/32--dport＝22-j Accept//防火墙允许源IP地址的子网前缀为192.168.0.0/16，目的IP地址为10.10.10.1，目的端口号为22的TCP报文通过。

本申请实施例中网络安全设备通过将接收到的报文与虚假网络的配置信息进行匹配，并基于虚假网络策略对接收到的报文进行响应或者不应答等处理，来向攻击者展现虚假网络拓扑，使得攻击者误以为虚假网络中的各个节点在受保护网络中真实存在，并且无法简单的通过扫描来分清这些节点中哪些是真实节点哪些是虚假节点。相比于现有技术中部署大量蜜罐的方法，本申请实施例中通过网关设备利用现有的报文匹配技术向攻击者展现虚假网络拓扑，从而可以降低真实系统首次被攻击概率，并且这种方法可以使攻击者付出更多成本进行数据分析来判断真实节点和虚假节点，从而可以以较低的成本实现干扰、误导攻击者的攻击活动的目的。

以图2所示的虚假网络为例，网络安全设备在将第一报文的五元组信息与虚假网络的配置信息进行匹配时，可以通过如下代码实现，在如下代码中在“：”之前的代码为匹配条件，在“：”之后的代码为该匹配条件对应的动作：

<Any_Potocal><Any_SourceIP><Any_SourcePort>—><202.14.235.0/24> <Any_DestPort>：报文处理；//针对目的IP地址的子网前缀为202.14.235.0/24的报文，基于虚假网络策略对其进行报文处理，如构造响应报文、不应答、重定向到蜜罐设备；

<Any_Potocal><Any_SourceIP><Any_SourcePort>—><202.14.236.0/24><Any_DestPort>：报文处理；//针对目的IP地址的子网前缀为202.14.236.0/24的报文，基于虚假网络策略对其进行报文处理，如构造响应报文、不应答、重定向到蜜罐设备；

<Any_Potocal><Any_SourceIP><Any_SourcePort>—><202.14.237.0/24><Any_DestPort>：报文处理；//针对目的IP地址的子网前缀为202.14.237.0/24的报文，基于虚假网络策略对其进行报文处理，如构造响应报文、不应答、重定向到蜜罐设备。

网络安全设备在基于虚假网络策略处理第一报文时，可以通过如下方式实现：

A1，所述网络安全设备确定所述第一报文的匹配信息，所述匹配信息包括以下至少一项：所述第一报文的协议类型，所述第一报文的目的IP地址，所述第一报文的目的端口号。

具体的，网络安全设备可以通过分析第一报文的五元组信息确定所述第一报文的匹配信息。

A2，所述网络安全设备将所述第一报文的匹配信息分别与至少一个所述虚假网络策略中包含的匹配条件进行匹配，选择出与所述第一报文匹配的虚假网络策略，其中所述第一报文的匹配信息符合选择出的所述虚假网络策略中的匹配条件。

A3，所述网络安全设备执行选择出的所述虚假网络策略中的动作。

为了更好地理解本发明实施例，下面以图2所示的虚假网络为例，结合攻击者的网络扫描过程对本申请实施例提供的虚假网络策略进行具体说明。

针对攻击者发起的主机扫描，本申请实施例中网络安全设备通过保存虚假网络的配置信息，并将攻击者发送的ICMP报文的IP地址与虚假网络的配置信息进行匹配，并基于虚假网络策略构造响应报文，从而向攻击者展现虚假的网络拓扑，如图4所示：

S401，网络安全设备接收外部设备发送的ICMP报文。

S402，网络安全设备将ICMP报文的五元组信息与各个虚假网络策略中的匹配条件进行匹配，并基于匹配结果选择虚假网络策略，其中，选择的虚假网络策略中的匹配条件与ICMP报文的五元组信息相匹配。

S403，网络安全设备基于选择的虚假网络策略构造响应报文。

S404，网络安全设备将构造的响应报文发送给外部设备。

其中，选择的虚假网络策略可以为虚假网络策略一。虚假网络策略一为：匹配条件为：协议类型为ICMP、目的IP地址是所述虚假网络中的某个节点的IP地址，该虚假网络策略中的动作是：构造并发送响应报文，其中所述响应报文用于指示所述目的IP地址可达。此外，所述响应报文还可以携带生存时间，所述生存时间为所述网络安全设备基于所述虚假网络的拓扑关系所确定的，且所述生存时间表示报文在发送所述第一节点过程中所经过的路由节点的个数。根据图2所示的虚假网络的配置信息，网络安全设备可以通过如下代码实现该虚假网络策略一，在如下代码中在“：”之前的代码为匹配条件，在“：”之后的代码为该虚假网络策略中的动作：

<ICMP_Potocal><Any_SourceIP><Any_SourcePort>—><202.14.235.254/32><Any_DestPort>：<NODE><TTL-0>//说明受保护网络中存在网络节点的IP地址为202.14.235.254，且应答的TTL需要减0；

<ICMP_Potocal><Any_SourceIP><Any_SourcePort>—><202.14.236.254/32><Any_DestPort>：<NODE><TTL-1>//说明202.14.236.254对应的节点为受保护网络中的网络节点，且应答的TTL需要减1；

<ICMP_Potocal><Any_SourceIP><Any_SourcePort>—><202.14.237.254/32><Any_DestPort>：<NODE><TTL-1>//说明202.14.237.254对应的节点为受保护网络中的网络节点，且应答的TTL需要减1；

<ICMP_Potocal><Any_SourceIP><Any_SourcePort>—><202.14.235.5/32><Any_DestPort>：<NODE><TTL-1>//说明202.14.235.5对应的节点为受保护网络中的网络节点，且应答的TTL需要减1；

<ICMP_Potocal><Any_SourceIP><Any_SourcePort>—><202.14.236.1/32><Any_DestPort>：<NODE><TTL-2>//说明202.14.236.1对应的节点为受保护网络中的网络节点，且应答的TTL需要减2；

<ICMP_Potocal><Any_SourceIP><Any_SourcePort>—><202.14.236.2/32><Any_DestPort>：<NODE><TTL-2>//说明202.14.236.2对应的节点为受保护网络中的网络节点，且应答的TTL需要减2；

<ICMP_Potocal><Any_SourceIP><Any_SourcePort>—><202.14.237.1/32><Any_DestPort>：<NODE><TTL-2>//说明202.14.237.1对应的节点为受保护网络中的网络节点，且应答的TTL需要减2；

<ICMP_Potocal><Any_SourceIP><Any_SourcePort>—><202.14.237.2/32><Any_DestPort>：<NODE><TTL-2>//说明202.14.237.2对应的节点为受保护网络中的网络节点，且应答的TTL需要减2。

选择的虚假网络策也可以为虚假网络策略二。虚假网络策略二为：匹配条件为：协议类型为ICMP、目的IP地址为第一IP地址，其中，所述第一IP地址不是所述虚假网络中的任一节点的IP地址且所述第一IP地址与所述虚假网络中某个节点具有相同的子网前缀，该虚假网络策略中的动作是：构造并发送响应报文，其中所述响应报文用于指示所述目的IP地址不可达、且所述目的IP地址的子网前缀所对应网关设备的IP地址可达。此外，所述响应报文还可以携带生存时间，所述生存时间为所述网络安全设备基于所述虚假网络的拓扑关系所确定的，且所述生存时间表示报文在发送所述目的IP地址的子网前缀所对应网关设备过程中所经过的路由节点的个数。根据图2所示的虚假网络的配置信息，以所述第一IP地址为202.14.235.8/32为例，网络安全设备可以通过如下代码实现该虚假网络策略二，在如下代码中在“：”之前的代码为匹配条件，在“：”之后的代码为该虚假网络策略中的动作：

<ICMP_Potocal><Any_SourceIP><Any_SourcePort>—><202.14.235.8/32><Any_DestPort>：<NETWORK><GW＝202.14.235.254><TTL-1>//受保护网络中不存在IP地址为202.14.235.8/32的节点，且存在IP地址为202.14.235.254的网关。且应答的TTL需要减1。

此外，若所述虚假网络的配置信息中不存在一个节点的IP地址与所述目的IP地址具有相同的子网前缀，且受保护网络中也不存在一个节点的IP地址与所述目的IP地址具有相同的子网前缀，则网络设备还可以构造并发送响应报文，所述响应报文用于指示所述目的IP地址不可达。网络安全设备可以通过如下代码实现，在如下代码中在“：”之前的代码为匹配条件，在“：”之后的代码为该匹配条件对应的动作：

<ICMP_Potocal><Any_SourceIP><Any_SourcePort>-><Some_DestIP><Any_DestPort>:<UNREACHABLE>//对于目的IP地址为Some_DestIP的报文，都返回主机不可达报文，其中，Some_DestIP既不在虚假网络中，也不在受保护网络中。

以既不在虚假网络中，也不在受保护网络中的202.14.230.0/24为例，网络安全设备可以向目的IP地址的子网前缀为202.14.230.0/24的ICMP报文响应主机不可达报文，可以通过如下代码实现，在如下代码中在“：”之前的代码为匹配条件，在“：”之后的代码为该匹配条件对应的动作：

<ICMP_Potocal><Any_SourceIP><Any_SourcePort>-><202.14.230.0/24><Any_DestPort>:<UNREACHABLE>：//对于目的IP地址的子网前缀为202.14.230.0/24的ICMP报文，发送主机不可达报文。

以该第一报文为目的IP地址为202.14.237.2的ICMP回应请求(Echo Request)报文为例，网络安全设备确定该ICMP Echo Request报文符合“<ICMP_Potocal><Any_SourceIP><Any_SourcePort>—><202.14.237.2/32><Any_DestPort>”，则根据虚假网络策略一中“<ICMP_Potocal><Any_SourceIP><Any_SourcePort>—><202.14.237.2/32><Any_DestPort>：<NODE><TTL-2>”构造一个源IP地址为202.14.237.2，TTL减2的ICMP响应(Echo Reply)报文，并发送给外部设备，使外部设备认为202.14.237.2在网络安全设备的受保护网络中真实存在，并且使外部设备确定202.14.237.2在受保护网络中的位置，即在第一报文在发送202.14.237.2过程中，需要经过2个路由节点。

以该第一报文为目的IP地址为202.14.235.8的ICMP Echo Request报文为例，网络安全设备确定该ICMP Echo Request报文符合“<ICMP_Potocal><Any_SourceIP><Any_SourcePort>—><202.14.235.8/32><Any_DestPort>”，则根据虚假网络策略二中“<ICMP_Potocal><Any_SourceIP><Any_SourcePort>—><202.14.235.8/32><Any_DestPort>：<NETWORK><GW＝202.14.235.254><TTL-2>”构造一个“存在IP地址为202.14.235.254的网关节点，且TTL减1”的ICMP Echo Reply报文，并发送给外部设备，使外部设备相信202.14.235.8在网络安全设备的受保护网络中不存在，且其子网前缀对应的网关节点在受保护网络中真实存在，该网关节点的IP地址为202.14.235.254，且在第一报文在发往202.14.235.254过程中，需要经过2个路由节点。

以第一报文为IP地址为202.14.239.11/32的ICMP Echo Request报文为例，网络安全设备确定该ICMP Echo Request报文的目的IP地址既不在虚假网络中，也不在受保护网络中，则构造一个主机不可达报文。

这样，当攻击者进行了大量的ICMP报文探测后，将会获取网络安全设备的受保护网络的网络拓扑图。本申请实施例中网络安全设备基于虚假网络的配置信息以及虚假网络策略构造响应报文向攻击者进行发送，可以使攻击者获取到不真实的网络拓扑图，从而可以干扰、误导攻击者的攻击行为，进而可以降低受保护网络的被攻击的概率，并且还可以促使攻击者进行数据分析以辨别信息的真伪，从而增加攻击者的攻击成本。

针对攻击者发起的TCP端口扫描过程，本申请实施例中网络安全设备在接收到攻击者发送的TCP报文后，与虚假网络策略中的匹配条件进行匹配，并基于匹配成功的虚假网络策略构造SYN ACK报文或者RST报文来对攻击者展现虚假网络中不存在的TCP服务，如图5所示：

S501，网络安全设备接收外部设备发送的TCP报文。

S502，网络安全设备将TCP报文的五元组信息与各个虚假网络策略中的匹配条件进行匹配，并基于匹配结果选择虚假网络策略，其中，选择的虚假网络策略中的匹配条件与TCP报文的五元组信息相匹配。

S503，网络安全设备基于选择的虚假网络策略构造响应报文。

S504，网络安全设备将构造的响应报文发送给外部设备。

其中，选择的虚假网络策略可以为虚假网络策略三。虚假网络策略三为：匹配条件为：协议类型为TCP、目的端口为虚假网络中的第一端口，其中，目的端口根据目的IP地址以及目的端口所确定，则对应的动作是：构造并发送响应报文，其中所述响应报文用于指示目的端口为开放状态。

选择的虚假网络策略也可以为虚假网络策略四。虚假网络策略四为：匹配条件为：协议类型为TCP、目的端口为虚假网络中的第二端口，该虚假网络策略中的动作是：构造并发送响应报文，其中所述响应报文用于指示目的端口不为开放状态。

所述第一端口可以为虚假网络中的任意端口，如，所述第一端口可以为虚假网络中IP地址的子网前缀为202.14.236.0/24的所有节点上端口号为1～1024的端口，或者，所述第一端口可以为虚假网络中IP地址为202.14.236.1的节点上端口号为1～1024的端口，等等，本申请实施例在这里不做具体限定。所述第二端口可以为虚假网络中与所述第一端口不同的任意端口。

以所述第一端口为虚假网络中IP地址的子网前缀为202.14.236.0/24的所有节点上端口号为1～1024的端口，所述第二端口为虚假网络中目的IP地址的子网前缀为202.14.235.0/24的节点的任一端口、或者目的IP地址的子网前缀为202.14.237.0/24的节点的任一端口、或者目的IP地址的子网前缀为202.14.236.0/24的所有节点上端口号为1025～65535的端口为例，虚假网络策略三可以为：匹配条件为：协议类型为TCP、目的IP地址的子网前缀为202.14.236.0/24，目的端口号包含在{1，2，3……1023，1024}中，该虚假网络策略中的动作是：构造并发送响应报文，其中所述响应报文用于指示目的设备中所述目的端口号对应的端口为开放状态、且所述目的设备的IP地址与所述目的IP地址相同。网络安全设备可以通过如下代码实现该虚假网络策略三，在如下代码中在“：”之前的代码为匹配条件，在“：”之后的代码为该虚假网络策略中的动作：

<TCP_Potocal><Any_SourceIP><Any_SourcePort><TCP_SYN＝1>—><202.14.236.0/24><TCP_Port＝1:1024>:<TCP><TCP_SYN ACK>//IP地址的子网前缀为202.14.236.0/24的节点中端口号为1至1024的端口存在开放的TCP服务。

虚假网络策略四可以为：匹配条件为：协议类型为TCP、且目的IP地址的子网前缀为202.14.235.0/24，或者，匹配条件为：协议类型为TCP、且目的IP地址的子网前缀为202.14.237.0/24，或者，匹配条件为：协议类型为TCP、且目的IP地址的子网前缀为 202.14.236.0/24、目的端口号包含在{1025，1026，1027……65534，65535}中，该虚假网络策略中的动作是：构造并发送响应报文，其中所述响应报文用于指示目的设备中所述目的端口号对应的端口为未开放状态、且所述目的设备的IP地址与所述目的IP地址相同。网络安全设备可以通过如下代码实现该虚假网络策略四，在如下代码中在“：”之前的代码为匹配条件，在“：”之后的代码为该虚假网络策略中的动作：

<TCP_Potocal><Any_SourceIP><Any_SourcePort><TCP_SYN＝1>—><202.14.235.0/24><Any_DestPort>:<TCP><TCP_RST>//IP地址的子网前缀为202.14.235.0/24的节点中的端口不存在开放的TCP服务；

<TCP_Potocal><Any_SourceIP><Any_SourcePort><TCP_SYN＝1>—><202.14.237.0/24><Any_DestPort>:<TCP><TCP_RST>//IP地址的子网前缀为202.14.237.0/24的节点中的端口不存在开放的TCP服务；

<TCP_Potocal><Any_SourceIP><Any_SourcePort><TCP_SYN＝1>—><202.14.236.0/24><TCP_Port＝1025:65535>:<TCP_RST>//IP地址的子网前缀为202.14.236.0/24的节点中端口号为1025至65535的端口不存在开放的TCP服务。

以该第一报文为目的IP地址为202.14.236.2，目的端口号为566的TCP报文为例，网络安全设备确定该TCP报文符合“<TCP_Potocal><Any_SourceIP><Any_SourcePort><TCP_SYN＝1>—><202.14.236.0/24><TCP_Port＝1:1024>”，则根据虚假网络策略三中“<TCP_Potocal><Any_SourceIP><Any_SourcePort><TCP_SYN＝1>—><202.14.236.0/24><TCP_Port＝1:1024>:<TCP><TCP_SYN ACK>”构造SYN ACK报文并向外部设备进行发送，使外部设备相信202.14.236.2的端口号为566的端口存在开放的TCP服务。

以该第一报文为目的IP地址为202.14.237.2，目的端口号为2566的TCP报文为例，网络安全设备确定该TCP报文符合“<TCP_Potocal><Any_SourceIP><Any_SourcePort><TCP_SYN＝1>—><202.14.237.0/24><Any_DestPort>”，则基于虚假网络策略四中“<TCP_Potocal><Any_SourceIP><Any_SourcePort><TCP_SYN＝1>—><202.14.237.0/24><Any_DestPort>:<TCP><TCP_RST>”构造RST报文并向外部设备进行发送，使外部设备相信202.14.237.2的端口号为2566的端口不存在开放的TCP服务。

这样，当攻击者进行了大量的TCP端口扫描后，会认为虚假网络中子网前缀为202.14.236.0/24的所有IP对应的节点中端口号为1～1024的端口存在开放的TCP服务，虚假网络中的其他端口不存在开放的TCP服务。

以所述第一端口为虚假网络中IP地址为202.14.236.1的节点中端口号为1～1024的端口，所述第二端口为虚假网络中目的IP地址的子网前缀为202.14.235.0/24的节点上的任一端口、或者目的IP地址的子网前缀为202.14.237.0/24的节点上的任一端口、或者目的IP地址为202.14.236.2/32的节点上的任一端口、或者目的IP地址为202.14.236.1/32的节点上端口号为1025～65535的端口为例，虚假网络策略三可以为：匹配条件为：协议类型为TCP、目的IP地址为202.14.236.1、目的端口号包含在{1，2，3……1023，1024}中，该虚假网络策略中的动作是：构造并发送响应报文，其中所述响应报文用于指示目的IP地址对应的节点上所述目的端口号对应的端口为开放状态。网络安全设备可以通过如下代码实现该虚假网络策略，在如下代码中在“：”之前的代码为匹配条件，在“：”之后的代码为该虚假网络策略中的动作：

<TCP_Potocal><Any_SourceIP><Any_SourcePort><TCP_SYN＝1>—><202.14.236.1/32><TCP_Port＝1:1024>:<TCP><TCP_SYN ACK>//IP地址为202.14.236.1的节点中端口号为1至1024的端口存在开放的TCP服务。

虚假网络策略四可以为：匹配条件为：协议类型为TCP、目的IP地址的子网前缀为202.14.235.0/24，或者，匹配条件为：协议类型为TCP、目的IP地址的子网前缀为202.14.237.0/24，或者，匹配条件为：协议类型为TCP、目的IP地址为202.14.236.2/32，或者，匹配条件为：协议类型为TCP、目的IP地址为202.14.236.1/32、目的端口号包含在{1025，1026，1027……65534，65535}中，该虚假网络策略中的动作是：构造并发送响应报文，其中所述响应报文用于指示目的IP地址对应的节点上所述目的端口号对应的端口为未开放状态。网络安全设备可以通过如下代码实现该虚假网络策略，在如下代码中在“：”之前的代码为匹配条件，在“：”之后的代码为该虚假网络策略中的动作：

<TCP_Potocal><Any_SourceIP><Any_SourcePort><TCP_SYN＝1>—><202.14.236.2/32><Any_DestPort>:<TCP_RST>//IP地址为202.14.236.2的节点中端口均不存在开放的TCP服务；

<TCP_Potocal><Any_SourceIP><Any_SourcePort><TCP_SYN＝1>—><202.14.236.1/32><TCP_Port＝1025:65535>:<TCP_RST>//IP地址为202.14.236.1的节点中端口号为1025至65535的端口不存在开放的TCP服务。

以该第一报文为目的IP地址为202.14.236.1，目的端口号为566的TCP报文为例，网络安全设备确定该TCP报文符合“<TCP_Potocal><Any_SourceIP><Any_SourcePort><TCP_SYN＝1>—><202.14.236.1/32><TCP_Port＝1:1024>”，则基于虚假网络策略三种“<TCP_Potocal><Any_SourceIP><Any_SourcePort><TCP_SYN＝1>—><202.14.236.1/32><TCP_Port＝1:1024>:<TCP><TCP_SYN ACK>”构造SYN ACK报文并向外部设备进行发送，使外部设备相信202.14.236.1的端口号为566的端口存在开放的TCP服务。

这样，当攻击者进行了大量的TCP端口扫描后，会认为虚假网络中IP地址为 202.14.236.1的节点中端口号为1～1024的端口存在开放的TCP服务，虚假网络中的其他端口不存在开放的TCP服务。

针对攻击者发起的UDP端口扫描过程，本申请实施例中网络安全设备在接收到攻击者发送的UDP报文后，与虚假网络策略中的匹配条件进行匹配，并基于匹配成功的虚假网络策略不应答或者构造用于指示端口不可达的ICMP报文来对攻击者展现虚假网络中不存在的UDP服务，如图6所示：

S601，网络安全设备接收外部设备发送的UDP报文。

S602，网络安全设备将UDP报文的五元组信息与各个虚假网络策略中的匹配条件进行匹配，并基于匹配结果选择虚假网络策略，其中，选择的虚假网络策略中的匹配条件与TCP报文的五元组信息相匹配。

S603，网络安全设备基于选择的虚假网络策略构造响应报文或者不应答。

S604，网络安全设备将构造的响应报文发送给外部设备。

其中，选择的虚假网络策略可以为虚假网络策略五。虚假网络策略五为：匹配条件为：协议类型为UDP、目的端口为虚假网络中的第三端口，则对应的动作是：不对所述UDP报文进行应答。

选择的虚假网络策略也可以为虚假网络策略六。虚假网络策略六为：匹配条件为：协议类型为UDP、目的端口为虚假网络中的第四端口，则对应的动作是：构造并发送响应报文，其中所述响应报文用于指示目的端口不可达。

所述第三端口可以为虚假网络中的任意端口，如，所述第三端口可以为虚假网络中IP地址为202.14.237.1的节点中端口号为53的端口，所述第三端口也可以为虚假网络中IP地址的子网前缀为202.14.236.0/24的所有节点上端口号1～1024的端口，等等，本申请实施例在这里不做具体限定。所述第四端口可以为虚假网络中与所述第三端口不同的任意端口。

以所述第三端口为虚假网络中IP地址为202.14.237.1的节点中端口号为53的端口，所述第四端口为虚假网络中目的IP地址的子网前缀为202.14.235.0/24的节点的任一端口、或者目的IP地址的子网前缀为202.14.236.0/24的节点的任一端口、或者目的IP地址为202.14.237.1/32的节点上端口号为1～52以及54～65535的端口、或者目的IP地址为202.14.237.2/32的节点上的任一端口为例，虚假网络策略五可以为：匹配条件为：协议类型为UDP、目的IP地址为202.14.237.1、目的端口号为53，该虚假网络策略中的动作是：不应答。网络安全设备可以通过如下代码实现该虚假网络策略五，在如下代码中在“：”之前的代码为匹配条件，在“：”之后的代码为该虚假网络策略中的动作：

<UDP_Potocal><Any_SourceIP><Any_SourcePort><UDP_SYN＝1>—><202.14.237.1/32><UDP_Port＝53>:<不应答>//IP地址为202.14.237.1的节点中端口号为53的端口存在开放的UDP服务。

虚假网络策略六可以为：匹配条件为：协议类型为UDP、且目的IP地址的子网前缀为202.14.235.0/24，或者，匹配条件为协议类型为UDP、且目的IP地址的子网前缀为202.14.236.0/24，或者，匹配条件为协议类型为UDP、目的IP地址为202.14.237.1/32、目的端口号包含在{1，2，3……51，52，54，55……65534，65535}中，或者，匹配条件为协议类型为UDP、目的IP地址为202.14.237.2/32，该虚假网络策略中的动作是：构造并发送响应报文，其中所述响应报文用于指示第三节点中所述目的端口号对应的端口为未开放状态。网络安全设备可以通过如下代码实现该虚假网络策略，在如下代码中在“：”之前的代码为匹配条件，在“：”之后的代码为该虚假网络策略中的动作：

<UDP_Potocal><Any_SourceIP><Any_SourcePort><UDP_SYN＝1>—><202.14.235.0/24><Any_DestPort>:<ICMP><端口不可达>//IP地址的子网前缀为202.14.235.0/24的节点中的端口均不存在开放的UDP服务；

<UDP_Potocal><Any_SourceIP><Any_SourcePort><UDP_SYN＝1>—><202.14.236.0/24><Any_DestPort>:<ICMP><端口不可达>//IP地址的子网前缀为202.14.236.0/24的节点中的端口均不存在开放的UDP服务；

<UDP_Potocal><Any_SourceIP><Any_SourcePort><UDP_SYN＝1>—><202.14.237.1/32><UDP_Port＝1:52、54：65535>:<ICMP><端口不可达>//IP地址为202.14.236.1的节点中端口号为1025至65535的端口不存在开放的UDP服务；

<UDP_Potocal><Any_SourceIP><Any_SourcePort><UDP_SYN＝1>—><202.14.237.2/32><Any_DestPort>:<ICMP><端口不可达>//IP地址为202.14.237.2的节点中的端口均不存在开放的UDP服务。

以该第一报文为目的IP地址为202.14.237.1，目的端口号为53的UDP报文为例，网络安全设备确定该UDP报文符合“<UDP_Potocal><Any_SourceIP><Any_SourcePort><UDP_SYN＝1>—><202.14.237.1/32><UDP_Port＝53>”，则基于虚假网络策略五中“<UDP_Potocal><Any_SourceIP><Any_SourcePort><UDP_SYN＝1>—><202.14.237.1/32><UDP_Port＝53>:<不应答>”不对所述UDP报文进行应答，从而使外部设备相信IP地址为202.14.237.1的节点中端口号为53的端口存在开放的UDP服务。

以该第一报文为目的IP地址为202.14.237.2，目的端口号为2566的UDP报文为例，网络安全设备确定该UDP报文符合“<UDP_Potocal><Any_SourceIP><Any_SourcePort><UDP_SYN＝1>—><202.14.237.2/32><Any_DestPort>”，则基于虚假网络策略六中“<UDP_Potocal><Any_SourceIP><Any_SourcePort><UDP_SYN＝1>—><202.14.237.2/32><Any_DestPort>:<ICMP><端口不可达>”构造用于指示IP地址为202.14.237.2的节点上端口号为2566的端口不可达的ICMP报文并向外部设备进行发送，使外部设备相信202.14.237.2的端口号为2566的端口不存在开放的UDP服务

因此，当攻击者进行了大量的UDP端口扫描后，会认为虚假网络中IP地址为202.14.236.1的节点中端口号为1～1024的端口存在开放的UDP服务，虚假网络中的其他端口不存在服务。

以所述第三端口为虚假网络中IP地址的子网前缀为202.14.236.0/24的所有节点上端口号1～1024的端口，所述第四端口为虚假网络中目的IP地址的子网前缀为202.14.235.0/24的节点的任一端口、或者目的IP地址的子网前缀为202.14.237.0/24的节点的任一端口、或者目的IP地址的子网前缀为202.14.236.0/24的节点上端口号为1025～65535的端口为例，虚假网络策略五可以为：匹配条件为：协议类型为UDP、目的IP地址的子网前缀为202.14.236.0/24，目的端口号包含在{1，2，3……1023，1024}中，该虚假网络策略中的动作是：不应答。网络安全设备可以通过如下代码实现该虚假网络策略，在如下代码中在“：”之前的代码为匹配条件，在“：”之后的代码为该虚假网络策略中的动作：

<UDP_Potocal><Any_SourceIP><Any_SourcePort><UDP_SYN＝1>—> <202.14.236.0/24><UDP_Port＝1:1024>:<不应答>//IP地址的子网前缀为202.14.236.0/24的节点中端口号为1至1024的端口存在开放的UDP服务。

虚假网络策略六可以为：匹配条件为：协议类型为UDP、且目的IP地址的子网前缀为202.14.235.0/24，或者，匹配条件为协议类型为UDP、且目的IP地址的子网前缀为202.14.237.0/24，或者，匹配条件为协议类型为UDP、目的IP地址的子网前缀为202.14.236.0/24、目的端口号包含在{1025，1025……65534，65535}中，该虚假网络策略中的动作是：构造并发送响应报文，其中所述响应报文用于指示目的设备中所述目的端口号对应的端口为未开放状态、且所述目的设备的IP地址与所述目的IP地址相同。网络安全设备可以通过如下代码实现该虚假网络策略，在如下代码中在“：”之前的代码为匹配条件，在“：”之后的代码为该虚假网络策略中的动作：

<UDP_Potocal><Any_SourceIP><Any_SourcePort><UDP_SYN＝1>—><202.14.235.0/24><Any_DestPort>:<ICMP><端口不可达>//IP地址的子网前缀为202.14.235.0/24的节点中的端口不存在开放的UDP服务；

<UDP_Potocal><Any_SourceIP><Any_SourcePort><UDP_SYN＝1>—><202.14.237.0/24><Any_DestPort>:<ICMP><端口不可达>//IP地址的子网前缀为202.14.237.0/24的节点中的端口不存在开放的UDP服务；

<UDP_Potocal><Any_SourceIP><Any_SourcePort><UDP_SYN＝1>—><202.14.236.0/24><UDP_Port＝1025:65535>:<ICMP><端口不可达>//IP地址的子网前缀为202.14.236.0/24的节点中端口号为1025至65535的端口不存在开放的UDP服务。

以该第一报文为目的IP地址为202.14.236.2，目的端口号为566的UDP报文为例，网络安全设备确定该UDP报文符合“<UDP_Potocal><Any_SourceIP><Any_SourcePort><UDP_SYN＝1>—><202.14.236.0/24><Any_DestPort>”，则基于虚假网络策略五中“<UDP_Potocal><Any_SourceIP><Any_SourcePort><UDP_SYN＝1>—><202.14.236.0/24><UDP_Port＝1:1024>:<不应答>”不应答所述UDP报文，使外部设备相信202.14.236.2的端口号为566的端口存在开放的UDP服务。

以该第一报文为目的IP地址为202.14.237.2，目的端口号为2566的UDP报文为例，网络安全设备确定该UDP报文符合“<UDP_Potocal><Any_SourceIP><Any_SourcePort><UDP_SYN＝1>—><202.14.237.0/24><Any_DestPort>”，则基于虚假网络策略六中“<UDP_Potocal><Any_SourceIP><Any_SourcePort><UDP_SYN＝1>—><202.14.237.0/24><Any_DestPort>:<ICMP><端口不可达>”构造用于指示IP地址为202.14.237.2的节点上端口号为2566的端口不可达的ICMP报文并向外部设备进行发送，使外部设备相信202.14.237.2的端口号为2566的端口不存在开放的UDP服务。因此，当攻击者进行了大量的UDP端口扫描后，会认为虚假网络中子网前缀为202.14.236.0/24的所有IP对应的节点中端口号为1～1024的端口存在开放的UDP服务，虚假网络中的其他端口不存在开放的UDP服务。

网络安全设备在攻击者发起的网络扫描过程中，还可以在基于虚假网络策略构造响应报文之后，延迟预设时长后发送该响应报文，如图7所示，从而可以拖延建立每个会话的时间。在延时过程中，攻击者需要保持等待回话的状态，从而可以消耗攻击者大量的资源，进而减慢了攻击者进行网络扫描的速度。假设正常情况下，网络设备对一个TCP报文进行响应的时间为2秒，那么攻击者完成对254个网络设备的TCP端口扫描用时大概8分钟，而本申请实施例中网络安全设备在构造响应报文之后延迟预设时长后发送响应报文，若所述预设时长为20秒，则攻击者完成对254个网络设备的TCP端口扫描需要花费大概85分钟，从而可以极大的降低攻击者的扫描速度。

网络安全设备可以在虚假网络策略中指定延迟的时间，如，以所述第一端口为虚假网络中IP地址的子网前缀为202.14.236.0/24的所有节点上端口号为1～1024的端口时的虚假网络策略三，预设时间为40秒为例，在该虚假网络策略三指定延迟的时间可以通过如下代码实现，在如下代码中在“：”之前的代码为匹配条件，在“：”之后的代码为该虚假网络策略中的动作：

<TCP_Potocal><Any_SourceIP><Any_SourcePort><TCP_SYN＝1>—><202.14.236.0/24><TCP_Port＝1:1024>:<TCP><TCP_SYN ACK><Delay＝40>//发送SYN ACK报文前延迟40秒。

通过延迟发送响应报文的方法，攻击者在对虚假网络中节点的端口做TCP端口扫描时，攻击者发送的TCP报文会在延迟40秒钟后得到应答，而在此期间攻击者必须维护等待TCP报文应答的状态，从而可以会极大消耗攻击者的资源，迫使攻击者降低扫描和攻击的速度，减缓了攻击扩散。

网络安全设备接收到的发送给虚假网络的报文，无论行为是否包含已知攻击特征，都是需要高度怀疑的行为，因此网络安全设备还可以将发送给虚假网络的报文重定向到蜜罐设备进行分析。网络安全设备将发送给虚假网络的报文重定向到蜜罐设备时，可以将所有发送给虚假网络的报文重定向到蜜罐设备，也可以将部分发送给虚假网络的报文重定向到蜜罐设备，本申请实施例在这里不做具体限定。

下面以网络安全设备将发送给虚假网络的TCP报文重定向到蜜罐为例，对网络安全设备基于虚假网络策略处理第一报文的过程进行具体说明，如图8所示：

S801，网络安全设备接收第一报文。

若所述第一报文为ICMP报文，执行步骤S802。

S802，网络安全设备基于虚假网络策略一或者虚假网络策略二构造响应报文。

若所述第一报文为TCP报文，执行步骤S803。

S803，网络安全设备将第一报文重定向到蜜罐设备。网络安全设备可以通过如下代码实现，在如下代码中在“：”之前的代码为匹配条件，在“：”之后的代码为对应的动作：

<TCP_Potocal><Any_SourceIP><Any_SourcePort>—><202.14.235.0/24><Any_DestPort>:<重定向><蜜罐所在IP地址>//将目的IP地址的子网前缀为202.14.235.0/24的TCP报文重定向到蜜罐设备；

<TCP_Potocal><Any_SourceIP><Any_SourcePort>—><202.14.236.0/24><Any_DestPort>:<重定向><蜜罐所在IP地址>//将目的IP地址的子网前缀为202.14.236.0/24的TCP报文重定向到蜜罐设备；

<TCP_Potocal><Any_SourceIP><Any_SourcePort>—><202.14.237.0/24><Any_DestPort>:<重定向><蜜罐所在IP地址>//将目的IP地址的子网前缀为202.14.237.0/24的TCP报文重定向到蜜罐设备。

若所述第一报文为UDP报文，执行步骤S804。

S804，网络安全设备基于虚假网络策略五或者虚假网络策略六构造响应报文。

下面以网络安全设备将发送给虚假网络的所有报文重定向到蜜罐为例，对网络安全设备基于虚假网络策略处理第一报文的过程进行具体说明，如图9所示：

S901，网络安全设备接收第一报文。

S902，网络安全设备将第一报文重定向到蜜罐设备。

网络安全设备可以通过如下代码实现，在如下代码中在“：”之前的代码为匹配条件，在“：”之后的代码为对应的动作：

<Any_Potocal><Any_SourceIP><Any_SourcePort>—><202.14.235.0/24><Any_DestPort>:<重定向><蜜罐所在IP地址>//将目的IP地址的子网前缀为202.14.235.0/24的报文重定向到蜜罐设备；

<Any_Potocal><Any_SourceIP><Any_SourcePort>—><202.14.236.0/24><Any_DestPort>:<重定向><蜜罐所在IP地址>//将目的IP地址的子网前缀为202.14.236.0/24的报文重定向到蜜罐设备；

<Any_Potocal><Any_SourceIP><Any_SourcePort>—><202.14.237.0/24><Any_DestPort>:<重定向><蜜罐所在IP地址>//将目的IP地址的子网前缀为202.14.237.0/24的报文重定向到蜜罐设备。

网络安全设备在将第一报文重定向到蜜罐设备时，可以通过端口转发技术，即网络安全设备将虚假网络中各节点的端口与蜜罐设备的端口映射起来，之后网络安全设备在接收到发送给虚假网络的TCP报文时将该TCP报文转发给蜜罐设备。

或者，网络安全设备也可以通过隧道技术将第一报文重定向到蜜罐设备，即在网络安全设备和蜜罐设备之间建立一条网络隧道，网络安全设备将第一报文直接封装在网络隧道中转发到蜜罐设备，蜜罐设备可以通过隧道获得第一报文并且进行处理，处理之后可把需要返回的网络报文通过隧道返回网络安全设备，再由网络安全设备发送给外部设备或者受保护网络。

或者，网络安全设备也可以其他等技术将第一报文重定向到蜜罐设备，本申请实施例在这里不做具体限定。

通过将怀疑度较高的报文重定向到蜜罐设备进行分析，可以提高受保护网络的安全性。相比于现有技术中蜜罐设备处理大量的报文，本申请实施例将怀疑度比较高的报文提交该蜜罐设备进行分析，可以把蜜罐等设备从处理大量正常流量中解放出来，提高了蜜罐等设备的使用效率，进而降低网络安全防御的成本。

攻击者在进行网络扫描之后，根据网络扫描过程中接收的响应报文的某些可以暴露系统类型的特征字段确定节点的系统类型，从而针对该系统类型的漏洞发动网络攻击。在IP、TCP、UDP协议中，能够暴露系统类型的特征字段有：IP分组字段：该字段包括IP ID标识等，而不同类型的系统发送的IP报文中的IP ID不同。TCP分组字段：该字段包括初始序列号(ISN)、TCP初始窗口大小(initial window size)、TCP选项(TCP options)中的类型、数值以及它们在分组中的顺序，而不同类型的系统发送的TCP报文中的初始序列号(ISN)、TCP初始窗口大小(initial window size)、TCP选项(TCP options)中的类型、数值以及它们在分组中的顺序不同。UDP分组字段：当网络设备接收到一个针对不存在的UDP服务端口的UDP服务请求报文时，会回应一种ICMP差错控制报文，即端口不可达报文，它是“ICMP目的不可到达”报文中的一种，而不同类型的系统对“ICMP消息引用”部分的实现不同，也就是，不同类型的系统实现“ICMP消息引用”的相关字段不同。

下面是攻击者常用的一些系统类型识别方法，这些方法中所涉及的TCP/IP协议中特定的字段即能够暴露系统类型的特征字段：

一种方法为，根据TCP传输控制协议RFC793的规定，节点在接收到TCP FIN报文后不会响应该报文，但是系统类型为MS Windows、BSDI、CISCO、HP/UX、MVS和IRIX等的节点在接收到TCP FIN报文后会发回一个RESET响应报文。因此攻击者可以利用这个特征来识别系统类型。

另一种方法为，系统类型为新版本的Solaris、IRIX、FreeBSD、Digital UNIX、Cray等的节点在响应一个TCP SYN报文时选择的初始化序列数(initial sequence number，ISN)为随机增量。系统类型为老版本UNIX的节点在响应一个TCP SYN报文时选择的ISN为64K，系统类型为Linux 2.0.x，OpenVMS，新的AIX等的节点在响应一个TCP SYN报文时选择的ISN为真随机数。系统类型为Windows的节点在响应一个TCP SYN报文时选择的ISN是用一个时间相关模型确定的，每过一段时间ISN就被加上一个固定的数等等。因此攻击者可以根据根据节点响应一个TCP连接请求时所选择的ISN来识别系统类型。

另一种方法为，系统类型为AIX的节点发送的TCP报文的TCP窗口大小为0x3F25，系统类型为Windows2000、OpenBSD、FreeBSD的节点发送的TCP报文的TCP窗口大小为0x402E。因此攻击者可以利用这个特征来识别系统类型。

另一种方法为，大多数系统类型的节点上一个关闭的TCP端口在接收到设定了FIN|PSH|URG标志的报文时，会将返回报文的ACK设置为接收到的初始序列数，而系统系统为Windows的节点和一些网络打印机设备会将ACK加1。若系统为Windows的节点上一个开放的TCP端口在接收到设定了FIN|PSH|URG标志的报文时，在某些时候会返回序列号，但也有可能将序列号加1，甚至还可能送回一个随机数。因此攻击者可以利用这个特征来识别系统类型。

除上述几种方法之外，攻击者还可以根据ICMP错误信息、ICMP消息引用，ICMP错误消息回应完整性、服务类型、IP分片重组、TCP选项、SYN Flood限度等等来识别系统类型，或者，还可以根据IP总长度、IP ID字段、IP头校验和、UDP头校验和、优先权字段、DF位响应、IP ID字段、IP TTL字段、TOS字段等等来识别系统类型。

因此，网络安全设备还可以将发送给外部设备的外发报文的报文格式进行调整，从而可以使外部设备根据接收到的报文中能够暴露系统类型的特征字段判断出错误的系统类型。其中，外发报文可以为网络安全设备基于防火墙策略构造的第一报文的响应报文，或者，外发报文可以为受保护网络中的内部设备通过网络安全设备转发的报文。

具体的，网络安全设备可以基于伪装策略将外发报文按照为伪装模板调整报文格式，但是不修改响应报文的载荷。伪装策略包括匹配条件，以及匹配条件对应的动作，即按照伪装模板调整外发报文的报文格式，其中，伪装模板定义了至少一个需要改写的协议字段，在协议字段被改写之后，对报文的载荷没有影响，但是可以使报文暴露出不真实的系统类型。让攻击者无法根据接收到的报文判断内部设备的系统类型时得到错误的结论，从而无法获取内部设备的漏洞。所述需要改写的协议字段可以为ICMP错误信息、ICMP消息引用、ICMP错误消息回应完整性、服务类型、IP分片重组、TCP选项、SYN Flood限度等等可以暴露系统类型的特征字段。

其中，伪装策略中的匹配条件可以根据需要自行设置，如，匹配条件可以为源IP地址为受保护网络中的任一IP地址、源端口号为任一端口号；或者，匹配条件也可以为协议类型为TCP、源IP地址为受保护网络中的任一IP地址、源端口号为80；或者，匹配条件也可以为其他，本申请实施例在这里不做具体限定。

网络安全设备处理外发报文的过程，如图10所示，具体为：

S1001，网络安全设备将外发报文的五元组信息与伪装策略中的匹配条件进行匹配。

若外发报文的五元组信息与伪装策略中的匹配条件相匹配，则执行步骤S1002。

S1002，网络安全设备按照伪装模板调整外发报文的报文格式，并将调整后的外发报文进行转发。

若外发报文的五元组信息与伪装策略中的匹配条件不匹配，则执行步骤S1003。

S1003，网络安全设备将外发报文进行转发。

以伪装策略中的匹配条件为源端口号为80，协议类型为TCP为例，网络安全设备可以通过如下代码实现伪装策略，在如下代码中在“：”之前的代码为匹配条件，在“：”之后的代码为伪装策略中的动作：

<TCP_Potocal><Any_SourceIP><TCP_Port＝80>—><Any_DestIP><Any_DestPort>:<报文伪装><伪装模板>//针对源端口号为80，协议类型为TCP的外发报文，采用伪装模板中的描述，对该外发报文的协议字段进行改写。

其中，伪装模板可以为某一个系统类型对应的报文格式。

通过伪装策略的方法，攻击者或者普通用户接收到的是对系统类型进行伪装之后的网络报文。由于报文载荷未变，因此普通用户不受影响，但是攻击者无法通过接收到网络报文的协议字段识别受保护网络中的内部设备的系统类型。

基于与方法实施例同样的发明构思，本申请还提供了一种网络安全设备，如图11所示，所述网络安全设备部署于受保护网络和所述外部设备所在的外部网络之间，所述网络安全设备中保存虚假网络的配置信息，所述配置信息中包括所述虚假网络的各个节点的网络协议IP地址，所述网络安全设备包括接收单元1101、匹配单元1102、第一处理单元1103以及第二处理单元1104。其中，接收单元1101，用于接收外部设备发送的第一报文。匹配单元1102，用于将所述接收单元1101接收的所述第一报文的目的IP地址与所述虚假网络的配置信息进行匹配。第一处理单元1103，用于在所述虚假网络的配置信息中的一个节点的IP地址与所述目的IP地址具有相同的子网前缀时，基于虚假网络策略处理所述第一报文，每个所述虚假网络策略包括匹配条件，以及与所述匹配条件对应的动作，所述动作包括构造并发送响应报文，或者禁止对所述第一报文进行应答，或者将所述第一报文重定向到蜜罐设备。第二处理单元1104，用于在所述虚假网络的配置信息中不存在一个节点的IP地址与所述目的IP地址具有相同的子网前缀时，基于防火墙策略处理所述第一报文。

可选的，所述第一处理单元1103，具体用于确定所述第一报文的匹配信息，并将所述第一报文的匹配信息分别与至少一个所述虚假网络策略中包含的匹配条件进行匹配，选择出与所述第一报文匹配的虚假网络策略，并执行选择出的所述虚假网络策略中的动作。其中，所述匹配信息包括以下至少一项：所述第一报文的协议类型，所述第一报文的目的IP地址，所述第一报文的目的端口号。所述第一报文的匹配信息符合选择出的所述虚假网络策略中的匹配条件；

在一种可能的实现方式中，选择出的所述虚假网络策略中的匹配条件为：协议类型为网络控制报文协议ICMP、目的IP地址是所述虚假网络中的第一节点的IP地址，选择出的所述虚假网络策略中的动作是：构造并发送响应报文，或者将所述第一报文重定向到蜜罐设备，其中所述响应报文用于指示所述目的IP地址可达。所述配置信息中还可以包括所述虚假网络的各个节点的拓扑关系，所述响应报文还可以携带生存时间，所述生存时间为所述网络安全设备基于所述拓扑关系所确定的，且所述生存时间表示报文在发往所述第一节点过程中所经过的路由节点的个数。

在另一种可能的实现方式中，选择出的所述虚假网络策略中的匹配条件为：协议类型为ICMP、目的IP地址不是所述虚假网络中的任一节点的IP地址，选择出的所述虚假网络策略中的动作是：构造并发送响应报文，或者将所述第一报文重定向到蜜罐设备，其中所述响应报文用于指示所述目的IP地址不可达、且所述目的IP地址的子网前缀所对应网关设备的IP地址可达。所述配置信息中还可以包括所述虚假网络的各个节点的拓扑关系，所述响应报文还可以携带生存时间，所述生存时间为所述网络安全设备基于所述拓扑关系所确定的，且所述生存时间表示报文在发往所述目的IP地址的子网前缀所对应的网关设备过程中所经过的路由节点的个数。

在另一种可能的实现方式中，选择出的所述虚假网络策略中的匹配条件为：协议类型为传输控制协议TCP、目的端口号是第一集合中的端口号，所述第一集合包括至少一个端口号，选择出的所述虚假网络策略中的动作是：构造并发送响应报文，或者将所述第一报文重定向到蜜罐设备，其中所述响应报文用于指示目的设备中所述目的端口号对应的端口为开放状态、且所述目的设备的IP地址与所述目的IP地址相同。

在另一种可能的实现方式中，选择出的所述虚假网络策略中的匹配条件为：协议类型为TCP、目的端口号不是第一集合中的端口号，所述第一集合包括至少一个端口号，选择出的所述虚假网络策略中的动作是：构造并发送响应报文，或者将所述第一报文重定向到蜜罐设备，其中所述响应报文用于指示目的设备中所述目的端口号对应的端口为未开放状态、且所述目的设备的IP地址与所述目的IP地址相同。

在另一种可能的实现方式中，选择出的所述虚假网络策略中的匹配条件为：协议类型为用户数据包协议UDP、目的IP地址是所述虚假网络中的第二节点的IP地址、所述目的端口号不是第二集合中包括的端口号，所述第二集合包括至少一个端口号，选择出的所述虚假网络策略中的动作是：构造并发送响应报文，或者将所述第一报文重定向到蜜罐设备，其中所述响应报文用于指示所述第二节点中所述目的端口号对应的端口不可达。

在另一种可能的实现方式中，选择出的所述虚假网络策略中的匹配条件为：协议类型为UDP、目的IP地址是所述虚假网络中的第三节点的IP地址、目的端口号为第二集合中包括的端口号，所述第二集合包括至少一个端口号，选择出的所述虚假网络策略中的动作是：禁止对所述第一报文进行应答，或者将所述第一报文重定向到蜜罐设备。

所述第一处理单元1103在构造并发送响应报文时，可以具体用于构造响应报文，并在延迟预设时长后发送所述响应报文。

在另一种可能的实现方式中，选择出的所述虚假网络策略中的匹配条件为：目的IP地址是所述虚假网络中的第四节点的IP地址，选择出的所述虚假网络策略中的动作是：将所述第一报文重定向到蜜罐设备。

可选的，所述第二处理单元1104，具体用于基于防火墙策略构造第一报文格式的响应报文，并向所述外部设备发送所述第一报文格式的响应报文。所述第一报文格式为第一系统类型对应的报文格式，所述第一系统类型与第一内部设备对应的第二系统类型不一致，所述第一内部设备位于所述受保护网络中，且所述第一内部设备的IP地址与所述目的IP 地址相同。

所述接收单元1101，还可以用于接收第二内部设备发送的第二报文，所述第二内部设备为所述受保护网络中的任一设备。所述网络安全设备还可以包括修改单元1105以及转发单元1106。其中，所述修改单元1105，用于将所述接收单元1101接收的所述第二报文的报文格式修改为第二报文格式，所述第二报文格式对应的第三系统类型与所述第二内部设备对应的第四系统类型不一致。所述转发单元1106，用于将经过所述修改单元1105修改后的第二报文格式的所述第二报文进行转发。

本申请实施例中对模块的划分是示意性的，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，另外，在本申请各个实施例中的各功能模块可以集成在一个处理器中，也可以是单独物理存在，也可以两个或两个以上模块集成在一个模块中。上述集成的模块既可以采用硬件的形式实现，也可以采用软件功能模块的形式实现。

其中，集成的模块既可以采用硬件的形式实现时，如图12所示，网络安全设备可以包括处理器1202。上述模块对应的实体的硬件可以为处理器1202。处理器1202，可以是一个中央处理模块(英文：central processing unit，简称CPU)，或者为数字处理模块等等。网络安全设备还可以包括通信接口1201，处理器1202通过通信接口1201收发报文。该装置还包括：存储器1203，用于存储处理器1202执行的程序。存储器1203可以是非易失性存储器，比如硬盘(英文：hard disk drive，缩写：HDD)或固态硬盘(英文：solid-state drive，缩写：SSD)等，还可以是易失性存储器(英文：volatile memory)，例如随机存取存储器(英文：random-access memory，缩写：RAM)。存储器1203是能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其他介质，但不限于此。

处理器1202用于执行存储器1203存储的程序代码，具体用于执行图3至图10所示实施例所述的方法，本申请在此不再赘述。

本申请实施例中不限定上述通信接口1201、处理器1202以及存储器1203之间的具体连接介质。本申请实施例在图12中以存储器1203、处理器1202以及通信接口1201之间通过总线1204连接，总线在图12中以粗线表示，其它部件之间的连接方式，仅是进行示意性说明，并不引以为限。所述总线可以分为地址总线、数据总线、控制总线等。为便于表示，图12中仅用一条粗线表示，但并不表示仅有一根总线或一种类型的总线。

本发明实施例还提供了一种计算机可读存储介质，用于存储为执行上述处理器所需执行的计算机软件指令，其包含用于执行上述处理器所需执行的程序。

本申请实施例提供一种包含指令的计算机程序产品，当其在计算机上运行时，使得计算机执行图3至图10所述的防御网络攻击的方法。

本申请实施例提供一种芯片系统，该芯片系统包括处理器，用于支持网络安全设备实现图3至图10中所述的防御网络攻击的方法中所涉及的功能。在一种可能的设计中，芯片系统还包括存储器，用于保存网络安全设备必要的程序指令和数据。芯片系统，可以由芯片构成，也可以包含芯片和其他分立器件。

本领域内的技术人员应明白，本申请的实施例可提供为方法、系统、或计算机程序产品。因此，本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。

本申请是参照根据本申请的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

显然，本领域的技术人员可以对本申请进行各种改动和变型而不脱离本申请的范围。这样，倘若本申请的这些修改和变型属于本申请权利要求及其等同技术的范围之内，则本申请也意图包含这些改动和变型在内。

Claims

一种防御网络攻击的方法，其特征在于，所述方法包括：

网络安全设备接收外部设备发送的第一报文，所述网络安全设备部署于受保护网络和所述外部设备所在的外部网络之间，所述网络安全设备中保存虚假网络的配置信息，所述配置信息中包括所述虚假网络的各个节点的网络协议IP地址；

所述网络安全设备将所述第一报文的目的IP地址与所述虚假网络的配置信息进行匹配；

如果所述虚假网络的配置信息中的一个节点的IP地址与所述目的IP地址具有相同的子网前缀，所述网络安全设备基于虚假网络策略处理所述第一报文，每个所述虚假网络策略包括匹配条件，以及与所述匹配条件对应的动作，所述动作包括构造并发送响应报文，或者禁止对所述第一报文进行应答，或者将所述第一报文重定向到蜜罐设备；或者，

如果所述虚假网络的配置信息中不存在一个节点的IP地址与所述目的IP地址具有相同的子网前缀，所述网络安全设备基于防火墙策略处理所述第一报文。
如权利要求1所述的方法，其特征在于，所述网络安全设备基于虚假网络策略处理所述第一报文，包括：

所述网络安全设备确定所述第一报文的匹配信息，所述匹配信息包括以下至少一项：所述第一报文的协议类型，所述第一报文的目的IP地址，所述第一报文的目的端口号；

所述网络安全设备将所述第一报文的匹配信息分别与至少一个所述虚假网络策略中包含的匹配条件进行匹配，选择出与所述第一报文匹配的虚假网络策略，其中所述第一报文的匹配信息符合选择出的所述虚假网络策略中的匹配条件；

所述网络安全设备执行选择出的所述虚假网络策略中的动作。
如权利要求2所述的方法，其特征在于，选择出的所述虚假网络策略中的匹配条件为：协议类型为网络控制报文协议ICMP、目的IP地址是所述虚假网络中的第一节点的IP地址，选择出的所述虚假网络策略中的动作是：构造并发送响应报文，或者将所述第一报文重定向到蜜罐设备，其中所述响应报文用于指示所述目的IP地址可达。
如权利要求3所述的方法，其特征在于，所述配置信息中还包括所述虚假网络的各个节点的拓扑关系，所述响应报文携带生存时间，所述生存时间为所述网络安全设备基于所述拓扑关系所确定的，且所述生存时间表示报文在发往所述第一节点过程中所经过的路由节点的个数。
如权利要求2所述的方法，其特征在于，选择出的所述虚假网络策略中的匹配条件为：协议类型为ICMP、目的IP地址不是所述虚假网络中的任一节点的IP地址，选择出的所述虚假网络策略中的动作是：构造并发送响应报文，或者将所述第一报文重定向到蜜罐设备，其中所述响应报文用于指示所述目的IP地址不可达、且所述目的IP地址的子网前缀所对应网关设备的IP地址可达。
如权利要求5所述的方法，其特征在于，所述配置信息中还包括所述虚假网络的各个节点的拓扑关系，所述响应报文携带生存时间，所述生存时间为所述网络安全设备基于所述拓扑关系所确定的，且所述生存时间表示报文在发往所述目的IP地址的子网前缀所对应的网关设备过程中所经过的路由节点的个数。
如权利要求2所述的方法，其特征在于，选择出的所述虚假网络策略中的匹配条件为：协议类型为传输控制协议TCP、目的端口为所述虚假网络中的第一端口，所述目的端口根据目的IP地址以及目的端口号所确定，选择出的所述虚假网络策略中的动作是：构造并发送响应报文，或者将所述第一报文重定向到蜜罐设备，其中所述响应报文用于指示目的端口为开放状态。
如权利要求2所述的方法，其特征在于，选择出的所述虚假网络策略中的匹配条件为：协议类型为TCP、目的端口不为所述虚假网络中的第一端口，所述目的端口根据目的IP地址以及目的端口号所确定，选择出的所述虚假网络策略中的动作是：构造并发送响应报文，或者将所述第一报文重定向到蜜罐设备，其中所述响应报文用于指示目的端口为未开放状态。
如权利要求2所述的方法，其特征在于，选择出的所述虚假网络策略中的匹配条件为：协议类型为用户数据包协议UDP、目的端口不为所述虚假网络中的第二端口，所述目的端口根据目的IP地址以及目的端口号所确定，选择出的所述虚假网络策略中的动作是：构造并发送响应报文，或者将所述第一报文重定向到蜜罐设备，其中所述响应报文用于指示目的端口不可达。
如权利要求2所述的方法，其特征在于，选择出的所述虚假网络策略中的匹配条件为：协议类型为UDP、目的端口为所述虚假网络中的第二端口，所述目的端口根据目的IP地址以及目的端口号所确定，选择出的所述虚假网络策略中的动作是：禁止对所述第一报文进行应答，或者将所述第一报文重定向到蜜罐设备。
如权利要求1至9中任一项所述的方法，其特征在于，所述网络安全设备构造并发送响应报文，包括：

所述网络安全设备构造响应报文，并在延迟预设时长后发送所述响应报文。
如权利要求2所述的方法，其特征在于，选择出的所述虚假网络策略中的匹配条件为：目的IP地址是所述虚假网络中的第四节点的IP地址，选择出的所述虚假网络策略中的动作是：将所述第一报文重定向到蜜罐设备。
如权利要求1至12任一项所述的方法，其特征在于，所述网络安全设备基于防火墙策略处理所述第一报文，包括：

所述网络安全设备基于防火墙策略构造第一报文格式的响应报文，所述第一报文格式为第一系统类型对应的报文格式，所述第一系统类型与第一内部设备对应的第二系统类型不一致，所述第一内部设备位于所述受保护网络中，且所述第一内部设备的IP地址与所述目的IP地址相同；

所述网络安全设备向所述外部设备发送所述第一报文格式的响应报文。
如权利要求1至13任一项所述的方法，其特征在于，所述方法还包括：

所述网络安全设备接收第二内部设备发送的第二报文，所述第二内部设备为所述受保护网络中的任一设备；

所述网络安全设备将所述第二报文的报文格式修改为第二报文格式，所述第二报文格式对应的第三系统类型与所述第二内部设备对应的第四系统类型不一致；

所述网络安全设备将第二报文格式的所述第二报文进行转发。
一种网络安全设备，其特征在于，所述网络安全设备部署于受保护网络和所述外部设备所在的外部网络之间，所述网络安全设备中保存虚假网络的配置信息，所述配置信息中包括所述虚假网络的各个节点的网络协议IP地址，所述网络安全设备包括：

接收单元，用于接收外部设备发送的第一报文；

匹配单元，用于将所述接收单元接收的所述第一报文的目的IP地址与所述虚假网络的配置信息进行匹配；

第一处理单元，用于在所述虚假网络的配置信息中的一个节点的IP地址与所述目的IP地址具有相同的子网前缀时，基于虚假网络策略处理所述第一报文，每个所述虚假网络策略包括匹配条件，以及与所述匹配条件对应的动作，所述动作包括构造并发送响应报文，或者禁止对所述第一报文进行应答，或者将所述第一报文重定向到蜜罐设备；

第二处理单元，用于在所述虚假网络的配置信息中不存在一个节点的IP地址与所述目的IP地址具有相同的子网前缀时，基于防火墙策略处理所述第一报文。
如权利要求15所述的网络安全设备，其特征在于，所述第一处理单元，具体用于：

确定所述第一报文的匹配信息，所述匹配信息包括以下至少一项：所述第一报文的协议类型，所述第一报文的目的IP地址，所述第一报文的目的端口号；

将所述第一报文的匹配信息分别与至少一个所述虚假网络策略中包含的匹配条件进行匹配，选择出与所述第一报文匹配的虚假网络策略，其中所述第一报文的匹配信息符合选择出的所述虚假网络策略中的匹配条件；

执行选择出的所述虚假网络策略中的动作。
如权利要求16所述的网络安全设备，其特征在于，选择出的所述虚假网络策略中的匹配条件为：协议类型为网络控制报文协议ICMP、目的IP地址是所述虚假网络中的第一节点的IP地址，选择出的所述虚假网络策略中的动作是：构造并发送响应报文，或者将所述第一报文重定向到蜜罐设备，其中所述响应报文用于指示所述目的IP地址可达。
如权利要求17所述的网络安全设备，其特征在于，所述配置信息中还包括所述虚假网络的各个节点的拓扑关系，所述响应报文携带生存时间，所述生存时间为所述网络安全设备基于所述拓扑关系所确定的，且所述生存时间表示报文在发往所述第一节点过程中所经过的路由节点的个数。
如权利要求16所述的网络安全设备，其特征在于，选择出的所述虚假网络策略中的匹配条件为：协议类型为ICMP、目的IP地址不是所述虚假网络中的任一节点的IP地址，选择出的所述虚假网络策略中的动作是：构造并发送响应报文，或者将所述第一报文重定向到蜜罐设备，其中所述响应报文用于指示所述目的IP地址不可达、且所述目的IP地址的子网前缀所对应网关设备的IP地址可达。
如权利要求19所述的网络安全设备，其特征在于，所述配置信息中还包括所述虚假网络的各个节点的拓扑关系，所述响应报文携带生存时间，所述生存时间为所述网络安全设备基于所述拓扑关系所确定的，且所述生存时间表示报文在发往所述目的IP地址的子网前缀所对应的网关设备过程中所经过的路由节点的个数。
如权利要求16所述的网络安全设备，其特征在于，选择出的所述虚假网络策略中的匹配条件为：协议类型为传输控制协议TCP、目的端口为所述虚假网络中的第一端口，所述目的端口根据目的IP地址以及目的端口号所确定，选择出的所述虚假网络策略中的动作是：构造并发送响应报文，或者将所述第一报文重定向到蜜罐设备，其中所述响应报文用于指示目的端口为开放状态。
如权利要求15至21中任一项所述的网络安全设备，其特征在于，所述第一处理单元在构造并发送响应报文时，具体用于：

构造响应报文，并在延迟预设时长后发送所述响应报文。
一种计算机存储介质，其特征在于，所述计算机可读存储介质存储有计算机可执行指令，所述计算机可执行指令用于使所述计算机执行权利要求1至14任一项所述的方法。