CN103312689A - 一种计算机的网络隐身方法及基于该方法的网络隐身*** - Google Patents
一种计算机的网络隐身方法及基于该方法的网络隐身*** Download PDFInfo
- Publication number
- CN103312689A CN103312689A CN2013101320801A CN201310132080A CN103312689A CN 103312689 A CN103312689 A CN 103312689A CN 2013101320801 A CN2013101320801 A CN 2013101320801A CN 201310132080 A CN201310132080 A CN 201310132080A CN 103312689 A CN103312689 A CN 103312689A
- Authority
- CN
- China
- Prior art keywords
- address
- network
- computer
- behavior
- packet
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开了一种计算机的网络隐身方法及基于该方法的网络隐身***,网络隐身方法采取被动处理策略和主动处理策略,主动处理策略包括:S1、在判断出探测行为正在进行时,回复虚假的信息迷惑探测者,增大其攻击难度;S2、伪造虚假数据流量与真实主机网络行为,扰乱嗅探行为;S3、把真实主机的IP地址作为跳变元,动态随机跳变达到真实主机的隐身。网络隐身***采用四层网络隐形模型,包括接入行为控制模块、动态多址模块、流量混淆模块和协议栈指纹混淆模块,本发明能够提前阻断未知安全问题,在源头就阻断恶意网络行为的发生,真正的做到提前防护,由于隐身的特点,该***能够真正防患于未然。很好地保证计算机安全。
Description
技术领域
本发明涉及计算机安全通信技术领域,尤其是涉及一种计算机的网络隐身方法及基于该方法的网络隐身***。
背景技术
自人类步入了信息化的时代以来,计算机技术与计算机网络以难以想象的速度发展着。在提供网络便利的同时,信息的安全传输就显得尤为重要,但与此同时,层出不穷的网络安全问题却时刻困扰着我们。针对目前已有的防护措施:防火墙,杀毒软件,流量监控,入侵检测等都存在着一些共同的或独特的缺陷,防火墙并不能灵活地进行主动防御,并且依赖于管理员大量添加的过滤规则;杀毒软件并不能查杀变幻多端的新型病毒,且只能在病毒感染之后才能进行补救工作;流量监控或入侵检测***则会收集大量的没有使用价值的数据,增加了工作人员分析数据的负担,同时也只能在异常行为发生以后才进行报警或阻断。
可以看出现存的安全防护最大弱点是被动防御即都是在异常行为甚至安全事故发生后才进行修复,并不能满足实时保障用户安全的需求,而是有着比较大的滞后性,只有从根本上解决问题才能达到真正的安全防护。只有变被动为主动,提早在入侵之前就设法将安全隐患扼杀于摇篮,这正是我们网络隐身***的特色功能。
当网络隐身***开启之后,我们在正常享受互联网为我们带来的便利的同时,还能够安全隐身于网络,让入侵者“看不见”,无法确定攻击目标,而合法的用户又能与我们正常地进行通信。而对于未知的安全漏洞由于攻击者无法探测无法利用也就难以被发现利用。而对于恶意病毒因为隐身而找不到传播的宿主,也失去了效用,极大地增加了攻击者渗透或病毒侵染的难度。这样既能做到先知先觉,提前预判恶意网络行为,又能防患于未然,防范未知安全漏洞,做到百毒不侵,提前杜绝恶意访问。因此网络隐身***及其策略有着很大的发展前景。
发明内容
本发明所要解决的技术问题是:提供一种计算机的网络隐身方法及基于该方法的网络隐身***,能够提前阻断未知安全问题,在源头就阻断恶意网络行为的发生,真正的做到提前防护,由于隐身的特点,该***能够真正防患于未然。很好地保证计算机安全。
为解决上述技术问题,本发明的技术方案是:一种计算机的网络隐身方法,所述网络隐身方法包括对探测数据包采取被动处理策略和主动处理策略,所述被动处理策略包括对出入所述计算机的数据分组判断其合法性,对不合法的数据流量采取不接受、不回应、不交予正常协议栈并写入不良记录的处理方式;所述主动处理策略包括如下三种方式:S1、在判断出探测行为正在进行时,回复虚假的信息迷惑探测者,增大其攻击难度;S2、伪造虚假数据流量与真实主机网络行为,扰乱嗅探行为;S3、把真实主机的IP地址作为跳变单元,动态随机跳变,达到真实主机的隐身。
进一步的,在S2中,所述真实主机隐于由伪造虚假数据流量伪造的一群计算机中,减小被探测的概率,所述虚假数据流量是指模拟服务器行为,在真实主机所在的网段内充分利用该网段下未使用的IP地址构造数据流量,模仿真实计算机的网络行为,为探测锁定目标增加难度。
为解决上述技术问题,本发明的另一技术方案是:一种计算机的网络隐身***,包括:
接入行为控制模块,将正常的网络行为与异常的网络行为分别建立起一个状态链,对网络行为是否合法进行提前判断;
动态多址模块,用于计算机物理地址的动态变化和计算机IP地址的动态化;
流量混淆模块,用于计算机的伪造通信地址、伪造主动数据流量和伪造被动数据流量;
协议栈指纹混淆模块,对于主机接收到的数据进行分支利用双协议栈模型处理以及动态修改协议栈指纹特征混淆恶意者的判断。
进一步的,所述网络行为判断包括对服务器和个人计算机两个模块的区分,对于个人计算机,因其不为外界提供服务,故不会接受从外界发来的主动SYN请求,因此凡是接收到SYN的源IP地址都是可疑的,如果本计算机和某个远程主机未曾建立连接,对方却发来RST包或ACK+PUSH+URG包也是扫描行为的先兆;服务器由于需要向外提供服务,因此端口与地址不但不能更改并且还必须告知客户,需要对受到的数据包的状态链进行判断。
进一步的,所述计算机物理地址的动态变化包括:首先利用ARP询问探测出活动的IP地址,筛选出未被使用的IP地址添加到地址池;然后创建一个线程,负责监听ARP并接受所有的请求。通过IP地址管理平台检查该ARP请求的IP地址是不是伪装主机的IP地址,如果是就发送一个ARP应答,否则不回复ARP;最后还需要维护IP地址的状态,即创建一个线程监听回复ARP的IP地址,若目的IP地址不是本机地址并且源IP地址不是我们虚假的IP地址,那么可以判断出该IP地址已被占用。另外定时更新IP状态,即一段时间没有收到该IP地址的ARP回复这把该IP地址的状态置为“空闲”。
进一步的,所述计算机IP地址的动态化包括:真实主机的IP地址的动态变化和虚拟主机的IP地址的动态变化。
进一步的,所述伪造通信地址包括虚假IP地址、MAC地址和端口号,虚假的IP地址均为本网段无人使用的IP地址。
进一步的,所述伪造主动数据流量包括带有TCP协议负载的连接控制的数据包、带载荷的UDP数据包和带有应用层载荷的TCP数据包。
进一步的,所述伪造被动数据流量是用虚拟协议栈响应虚拟主机接收到的探测数据包,包括ARP协议回复、ICMP回复,SYN扫描的回复和ACK扫描的回复。
进一步的,所述协议栈指纹是通过操作***协议栈特征指纹探测和应用程序特征指纹探测。
采用了上述技术方案,本发明的有益效果为:
1、内核动态过滤;主机需要在数据包到达协议栈拆包之前做出判断,是恶意扫描或探测的数据包直接过滤或者提交由隐身协议栈处理,回复虚假信息迷惑探测者。
2、内核数据指纹修改;内核通过对发送出去的数据的指纹特征进行修改,混淆恶意者的判断,避免恶意者从数据包的特征指纹获取有利用价值信息。
3、动态地址池构建与维护;为了隐身主机需要动态变化其IP地址和伪造多台虚假主机。首先需要获取局域网内未被使用的IP地址,其次需要动态更新IP地址状态,最后需要随机构建该网段的IP地址和MAC地址。
4、真实主机IP地址动态跳变;为了影响恶意者的判断需要使真实主机的IP地址动态跳变,由用户层来操作跳变过程,通过延时来保证正常通信。
5、伪造真实主机的网络通信;在伪造的计算机之间及外部网络之间主动构建数据流,避免嗅探,增加恶意者确定目标的难度。
6、实时回复针对虚假主机的探测;在伪造主机后需要对探测的数据包予以回应,证明伪造的主机是活动的,并且需要回复扫描的探测数据包。
7、模拟路由增加网络复杂度;伪造路由功能扩大网络拓扑增大网络复杂度,将真实主机完全隐身其中,由于网路拓扑的映射的更该,网络复杂度翻倍增加,攻击者探测到真实主机的难度也等比翻倍增加。
综上所述,本发明充分挖掘网络协议各个字段的内在关系,由此提出了四层网络隐形模型,主要包括:接入行为控制层采用LKM方式使用Netfilter框架实现实时数据包监控和接入行为控制,为实现***有效隐身提供决策和执行依据;动态多址层能有效改变协议分组的物理地址、逻辑地址、端口地址,与其它层协同模拟网络流量;流量混淆层能根据不同的隐身策略采用网络静默或虚假回应模式,产生多种网络协议流量,增加网络复杂度,迷惑或欺骗攻击者而不影响正常的网络通信;最后,协议栈指纹混淆层修改分组字段信息,干扰攻击者的信息获取。本发明能够提前阻断未知安全问题,在源头就阻断恶意网络行为的发生,真正的做到提前防护,由于隐身的特点,该***能够真正防患于未然,很好地保证计算机安全。
附图说明
图1为本发明的动态多址处理流程图;
图2为本发明的ARP数据包结构图;
图3为本发明的ARP探测流程图;
图4为本发明的动态更新IP地址状态图;
图5为本发明的虚假网络操作流程图;
图6本发明的仿造路由网络效果图;
图7为本发明网络隐身***的结构示意图;
具体实施方式
下面结合附图和实施例对本发明进一步说明。
一种计算机的网络隐身方法,所述网络隐身方法包括对探测数据包采取被动处理策略和主动处理策略,所述被动处理策略包括对出入所述计算机的数据分组判断其合法性,对不合法的数据流量采取不接受、不回应、不交予正常协议栈并写入不良记录的处理方式;所述主动处理策略包括如下三种方式:S1、在判断出探测行为正在进行时,回复虚假的信息迷惑探测者,增大其攻击难度;S2、伪造虚假数据流量与真实主机网络行为,扰乱嗅探行为;S3、把真实主机的IP地址作为跳变元,动态随机跳变达到真实主机的隐身。
本实施例,在S2中,所述真实主机隐于由伪造虚假数据流量伪造的一群计算机中,减小被探测的概率,所述虚假数据流量是指模拟服务器行为,在真实主机所在的网段内充分利用该网段下未使用的IP地址构造数据流量,模仿真实计算机的网络行为,为探测锁定目标增加难度。
本发明还公开了一种计算机的网络隐身***,如图7所示,包括:
接入行为控制模块,将正常的网络行为与异常的网络行为分别建立起一个状态链,对网络行为是否合法进行提前判断;
动态多址模块,用于计算机物理地址的动态变化和计算机IP地址的动态化;
流量混淆模块,用于计算机的伪造通信地址、伪造主动数据流量和伪造被动数据流量;
协议栈指纹混淆模块,对于主机接收到的数据进行分支利用双协议栈模型处理以及动态修改协议栈指纹特征混淆恶意者的判断。
以下是网络行为判断更为详细的说明,网络行为判断包括对服务器和个人计算机两个模块的区分,对于个人计算机,因其不为外界提供服务,故不会接受从外界发来的主动SYN请求,因此凡是接收到SYN的源IP地址都是可疑的,如果本计算机和某个远程主机未曾建立连接,对方却发来RST包或ACK+PUSH+URG包也是扫描行为的先兆;服务器由于需要向外提供服务,因此端口与地址不但不能更改并且还必须告知客户,需要对受到的数据包的状态链进行判断。以下从个人***和服务器角度具体阐述接入行为控制准则:
在个人***中出现可疑行为即可初次判断该主机是可疑:
(1)出现端口误撞症状(请求的数据包请求了主机未开放的端口)则扔掉数据包,并将该源地址信息添加到可疑地址列表。
(2)个人***不会接收SYN数据包,凡是向其发送SYN的地址均可列为可疑对象。
(3)对应记录几个数据包的源IP地址和端口信息,若出现同一IP地址连续多次出现不同端口的数据包者可以扔掉该数据包,在协议栈响应后回复的数据包直接不向外发送。
(4)对于ACK数据包采取基于连接机制,记录前后建立连接的IP地址信息,若接收到ACK数据包,但在此之前并未建连接则该主机属于异常。
(5)对于出现TCP标识位异常即标识为NULL或FIN与除了ACK的其他标识的任何搭配的数据包,则该主机可能在扫描,可将其视为可疑地址。
(6)对于UDP的扫描数据包不回复ICMP的port状态数据包(由于UDP是利用ICMP回复来判断端口状态的,若端口关闭则回复port unreachable,若开放则没反应,也可混淆攻击者)。
在服务器中出现以下行为视为可疑对象:
(1)出现端口误撞,即请求了服务器没有提供服务的端口视为可疑。
(2)出现高频率的请求行为,比如多个SYN请求视为可疑。
(3)短时间一个源地址请求多个端口,视为可疑。
(4)接收到数据包TCP标识位异常出现NULL或FIN与除了ACK的搭配的标识信息视为可疑。
(5)接收到未建立连接的源地址的ACK数据包视源地址为可疑对象。
在众多规则中我们采用少数确定原则来判断,即只要在建立的规则中符合一条即可判断出该主机可能正在被扫描或探测,即可把该IP地址加入黑名单,禁止该地址的任何访问与请求。还可以根据满足规则的数目来动态为其设置权值。符合规则越少的权值越高,若符合4条以上则直接拉入黑名单,根据每个地址的权限来判断该IP地址的可疑来判断是否完全截断该IP地址对真实***的通信。
Linux网络内核--数据包处理流程如下所述。
数据包发包流程:该流程从网络应用程序的数据包发送函数开始,到网络设备的驱动的数据包发送函数结束。
(1)传输层处理,如果采用UDP协议发送,数据包就由sendto()经套接字接口进入UDP协议模块的udp_sending()。完成UDP协议封装后,再经ip_push_pending_frames()进入IP协议模块。如果采用TCP协议发送,数据包进入TCP协议模块的tcp_sendmsg()完成TCP协议封装后,再经ip_queue_xmit()进入IP协议模块,为能找到正确的数据发送路径需要调用路由模块的ip_route_output_flow()来查找路由信息。
(2)网络层处理,UDP和TCP处理后的数据进入IP协议模块的ip_output()。确定发送出口设备后,数据经ip_finish_output2和邻居子***进入dev_queue_xmit()接口函数,通过该函数,数据包进入网络设备。
(3)网络设备处理,根据底层设备设备的类型,dev_queue_xmit()函数把数据包交给设备的发送函数。如果底层设备是xx网卡,数据包由net_send_packet()函数进入网络,发送前,数据包会被封装成标准帧类型。对于采用了逻辑链路协议的网络,dev_queue_xmit函数会把数据包交给逻辑链路协议模式,再经底层的网络设备发送出去。
数据包接收流程:该流程从网络设备驱动的数据包接收函数开始,到网络应用程序的数据包接收函数结束。
(1)网络设备处理。数据包到达设备后,硬件中断被触发来完成数据的接收工作。中断处理程序调用net_rx对数据包做进一步处理。解析出帧中封装的内容后,数据包由ip_rcv函数递交给IP协议模块,如果网络设备上层是逻辑链路协议模块,那么数据包必须先被递交到其协议模块,在完成处理后,再由ip_rcv函数递交给IP协议模块。
(2)网络层处理。数据包进入IP协议模块后,ip_rcv_finish首先判断是本地接收数据包还是转发的数据包,如果是本地的进入ip_local_deliver函数完成IP协议的进一步处理。从IP分组解析出数据内容后,数据包会被ip_local_deliver_finish函数递交给传输层的接收函数。若是转发的数据包,则将数据包交给ip_route_input查找路由表,确定数据转发路径,然后将数据包交给ip_forward函数,再由ip_forward_finish进入ip_outpupt为转发数据包做准备。
(3)传输层处理,若果为UDP协议接收,进入UDP协议模块,若为TCP则进入TCP模块。
该模块通过对处理流程加载钩子,截获数据包,并查看数据包的各个字段的信息,例如数据包的类型,端口,TCP标识等信息,通过以上信息与正常网络协议规定进行比对做出判断,并动态生成判断规则添加过滤列表,为接入行为控制提供依据。
以下是对动态多址模块更为详细的描述。
计算机之间的通信是以地址来区分彼此的,这里的地址不是单一的IP地址。其包括MAC地址,IP地址和端口号。而在网络隐身***中需要建立动态地址池为地址的跳变提供地址信息,并且实时跳变真实主机的IP地址。动态多址在网络隐身***中占有很重要的地位,动态变化的地址信息,虚假主机的地址信息和网络拓扑重新映射的地址都来自于动态多址的处理。如图1所示为动态多址处理流程图。
其中,计算机物理地址的动态变化包括:首先利用ARP询问探测出活动的IP地址,筛选出未被使用的IP地址添加到地址池,ARP数据包结构如图2所示;然后创建一个线程,负责监听ARP并接受所有的请求。通过IP地址管理平台检查该ARP请求的IP地址是不是伪装主机的IP地址,如果是就发送一个ARP应答,否则不回复ARP,ARP探测流程如图3所示;最后还需要维护IP地址的状态,即创建一个线程监听回复ARP的IP地址,若目的IP地址不是本机地址并且源IP地址不是我们虚假的IP地址,那么可以判断出该IP地址已被占用。另外定时更新IP状态,即一段时间没有收到该IP地址的ARP回复这把该IP地址的状态置为“空闲”,动态更新IP地址状态如图4所示。
其中,计算机IP地址的动态化包括:真实主机的IP地址的动态变化和虚拟主机的IP地址的动态变化。
IP地址的动态变化主要包括两个方面:真实主机的IP地址的动态变化和虚拟主机的IP地址的动态变化。真实主机的IP地址动态变化是指在建立地址池后随机选出一定数目的可用的IP地址作为真实主机通信时可能用到的IP地址,由于地址池在初始化时是顺序填入每个IP地址的因此在选取时只需产生一个0-255的随机数,作为IP地址的最后一位,提取出IP地址,在提取该IP地址的状态信息,并判断其是否可用,若可用则将其加入变化IP列表,若不可用则重新产生随机数并且进行选择,直到选出用户要求个数的IP地址为止。虚假主机的IP地址动态变化是指在虚假主机之间和外部网络与真实主机之间的通信需要动态选出可用的IP地址作为通信的地址。在真实主机网段内IP选择方法与真实主机的IP地址选择相似。虚假网络需要实时处理网络数据包并对于扫描需要实时根据真实***予以响应。其虚假网络操作流程如图5。根据图5的理论基础,虚假模拟路由后的仿造路由网络效果如图6所示。
以下是对流量混淆模块更为详细的说明:
流量混淆即在网络中模拟真实计算机的通信,利用垃圾流量填充网络通信,增加网络复杂度,该***主要模拟填充TCP,UDP及应用层的HTTP的通信数据。在通信对象上的网络,若入侵者通过嗅探将发现网络中有许多通信连接。而真实通信也处于其中,正好隐身于其中。
其中,伪造通信地址包括虚假IP地址、MAC地址和端口号,虚假的IP地址均为本网段无人使用的IP地址。首先从地址池中获取相关地址信息,其次从中随机筛选出一定数目的可用的地址族作为虚假主机的地址,接着通过收集真实主机的网络行为的端口信息和协议类型信息,从而模拟真实主机的网络行为,在地址选好后需要利用libnet来构造各种各样的网络数据包,并发送到网络上。网络通信的双方主要包括虚假主机与虚假主机之间的通信,虚假主机与外部网络的通信,虚假主机与真实主机之间的通信。
针对地址的动态变化策略:
(1)通信源MAC地址:构建虚假IP时伪造的对应前三个字为真实生产商的MAC地址。
(2)通信目的MAC地址:虚假主机IP时伪造的对应虚假目的IP地址的MAC地址。
(3)通信源IP地址:虚假主机的地址,即真实主机网段未被使用的IP地址。
(4)通信目的IP地址:本机网段未被使用的IP地址,外部网络常见站点的IP地址,真实主机的IP地址。
(5)源端口地址:源端口地址可以随机生成(端口>1024的可被使用)。
(6)目的端口地址:根据虚假数据包类型的协议信息来确定端口号。
其中,伪造主动数据流量包括带有TCP协议负载的连接控制的数据包、带载荷的UDP数据包和带有应用层载荷的TCP数据包。
(1)TCP连接控制包主要模拟TCP三次握手,然后携带数据包发送。
(2)UDP带载荷数据包主要模拟QQ等使用UDP协议的应用层软件生成的数据包。利用libnet构造UDP数据包,一部分数据包携带的数据信息是QQ软件所产生的数据信息,另外一部分是数据段是利用随机序列填充的数据包,让其看起来像是经过加密的数据流量而更凸显伪装的真实性。
(3)应用层主要模拟HTTP的网络过程。由在真实局域网内进行抽查数据流量并进行统计得到的数据得知,一般个人主机使用频率最高的应用层行为为网页浏览,对应着HTTP协议,因此伪造HTTP流量很有代表性。由于前三层数据头已经封装好,在数据段加载HTTP相关的数据信息。接着组合这几部分为一体,封装成为网页浏览数据包。
其中,伪造被动数据流量是用虚拟协议栈响应虚拟主机接收到的探测数据包,包括ARP协议回复、ICMP回复,SYN扫描的回复和ACK扫描的回复。
ARP回复即创建一个线程实时监听是否有主机询问虚假主机IP对应的MAC地址,若探测到ARP询问则回复该IP对应的MAC地址。此功能主要利用libpcap和libnet实现。ICMP回显即实时监听是否有ICMP的探测包,若有则回复标识为reply的数据包。SYN回复是指当监听到有SYN请求时回复对方ACK或者RST数据包,若是伪造开放端口,则回复ACK,这可看做是TCP协议建立连接三次握手的第二步,告诉扫描者虚拟主机正在等待连接的建立;若是伪造关闭端口,则会回复一个RST数据包。若是虚假主机之间的通信则可利用这一机制继续连接操作和后续通信。而判断是扫描还是是虚假主机之间的连接的方法是查找SYN的源IP地址,若IP地址不是正在用来虚假通信的,则可以判断出该源IP地址的主机正在进行扫描,可以通知真实主机屏蔽该IP地址的请求。而虚假的主机按照正常协议流程回复ACK数据包。
以下是对协议栈指纹混淆模块更为详细的描述。
协议栈指纹是通过操作***协议栈特征指纹探测和应用程序特征指纹探测。
下面简单介绍几种操作***类型探测工具的实现技术。
(1)Nmap是一个功能全面的扫描软件,能对攻击目标的操作***类型进行主动探测。其中Nmap探测时所利用的网络特征值主要包括:TCP初始化序列ISN模式、不分段标识DF、ACK确认序列号模式、接收窗口的大小、TCP报头标识中flags内容及选项内容、不可达UDP数据报响应数据报内容。Nmap构造并发送七种TCP探测数据包(称为Tx)和一种UDP探测数据包(称为PU)。通过对每种探测数据分组的回应进行综合分析与已有的协议栈特征值对比进而判断目标主机的操作***类型。
(2)Xprobev通过发送UDP数据报到攻击目标的关闭端口来促发ICMP端口不可达消息,并对ICMP消息中网络特征值基于模糊算法和逻辑树进行分析判断。其网络特征值主要包括:IP总长度,IPID,IP头检验和准确与否,UDP包头校验和正确与否,优先权子段位(TOS的值),DF位响应,IP TTL的值,ICMP错误信息应用(Quoting)大小,ICMP错误信息应答完整性,ICMP时间戳请求,ICMP信息请求,ICMP地址掩码请求。
(3)RING使用了一个建立在常规、无危险TCP传输上的新的操作***探测技术。它模拟网络拥塞,不给目标主机及时发送响应数据报,通过分析目标主机在各次数据报之间的延时来判断目标主机的操作***类型。
以下是对应用程序特征指纹探测更为详细的描述。
工作在应用层的软件,由于软件工作平台、软件版本、代码编写人员的习惯的不同而在发送数据分组时会采用不同的策略。以Web服务器为例,工作在Linux***上的Apache服务器与工作在Microsoft-Windows***上的IIS系列服务器,在处理不同类型的请求时,会在数据包头或HTTP载荷部分采用具有自己特征的处理方式,这种特征通常被称为HTTP fingerprinting(HTTP指纹)利用这些特征我们可以轻易判断出服务器***使用的是何种HTTP服务器,甚至进一步推断出操作***,一些针对Web服务器的HTTP指纹探测方法如下所述:
(1)包头明文声明探测,对于无任何防范措施的Web服务器来说,HTTP包头的Server字段明文给出了对该HTTP数据分组进行处理的服务器类型,例如:
IIS7服务器数据分组头部:
HTTP/1.1404Not Found
Content-Type:text/html
Server:Microsoft-IIS/7.0
Date:Tue,07Aug 2012 00:02:19 GMT
Content-Length:1163
Apache/2.2.22服务器(运行于Linux***)数据分组头部:
HTTP/1.1 200 OK
Date:Mon,06 Aug 2012 08:18:44GMT
Server:Apache/2.2.22(Unix)mod_ssl/2.2.22
OpenSSL/1.0.1b DAV/2
Content-Length:563
Keep-Alive:timeout=5,max=100
Connection:Keep-Alive
Content-Type:text/html;charset=ISO-8859-1
在″Server:″后面紧跟着的字符串将处理本数据分组的服务器暴露出来。
(2)对特定协议的处理行为
1).在对正常请求HEAD/HTTP/1.1的回复数据分组中,Apache服务器与IIS服务器又在数据分组头部体现出了不同的特征,如(1)中例子所示,IIS7服务器的数据分组头部Server字段首先出现,然后才出现Date字段,而Apache服务器正好相反,这也是一个判别服务器软件类型的特征。
2).对类似于DELETE选项(无权限选项)的处理,Apache的回复是″HTTP/1.1405Method Not Allowed″,而IIS服务器的回复则通常为″HTTP/1.1403Forbidden″,这一点上存在着差别。
3).对不正确协议类型请求的处理,如本应处理HTTP协议的Web服务器,我们向其发送其它类型协议的请求,如编造的″JUNK″协议,则Apache服务器的通常回复为″HTTP/1.1200OK″,但IIS却回复″HTTP/1.1400Bad Request″,也可作为判别的依据。
综上所述,本发明充分挖掘网络协议各个字段的内在关系,由此提出了四层网络隐形模型,主要包括:接入行为控制层采用LKM方式使用Netfilter框架实现实时数据包监控和接入行为控制,为实现***有效隐身提供决策和执行依据;动态多址层能有效改变协议分组的物理地址、逻辑地址、端口地址,与其它层协同模拟网络流量;流量混淆层能根据不同的隐身策略采用网络静默或虚假回应模式,产生多种网络协议流量,增加网络复杂度,迷惑或欺骗攻击者而不影响正常的网络通信;最后,协议栈指纹混淆层修改分组字段信息,干扰攻击者的信息获取。本发明能够提前阻断未知安全问题,在源头就阻断恶意网络行为的发生,真正的做到提前防护,由于隐身的特点,该***能够真正防患于未然,很好地保证计算机安全。
本发明不局限于上述具体的实施方式,本领域的普通技术人员从上述构思出发,不经过创造性的劳动,所作出的种种变换,均落在本发明的保护范围之内。
Claims (10)
1.一种计算机的网络隐身方法,其特征在于,所述网络隐身方法包括对探测数据包采取被动处理策略和主动处理策略,所述被动处理策略包括对出入所述计算机的数据分组判断其合法性,对不合法的数据流量采取不接受、不回应、不交予正常协议栈并写入不良记录的处理方式;所述主动处理策略包括如下三种方式:S1、在判断出探测行为正在进行时,回复虚假的信息迷惑探测者,增大其攻击难度;S2、伪造虚假数据流量与真实主机网络行为,扰乱嗅探行为;S3、把真实主机的IP地址作为跳变元,动态随机跳变达到真实主机的隐身。
2.如权利要求1所述的一种计算机的网络隐身方法,其特征在于,在S2中,所述真实主机隐于由伪造虚假数据流量伪造的一群计算机中,减小被探测的概率,所述虚假数据流量是指模拟服务器行为,在真实主机所在的网段内充分利用该网段下未使用的IP地址构造数据流量,模仿真实计算机的网络行为,为探测锁定目标增加难度。
3.基于权利要求1或2所述的一种计算机的网络隐身***,其特征在于,包括:
接入行为控制模块,将正常的网络行为与异常的网络行为分别建立起一个状态链,对网络行为是否合法进行提前判断;
动态多址模块,用于计算机物理地址的动态变化和计算机IP地址的动态化;
流量混淆模块,用于计算机的伪造通信地址、伪造主动数据流量和伪造被动数据流量;
协议栈指纹混淆模块,对于主机接收到的数据进行分支利用双协议栈模型处理以及动态修改协议栈指纹特征混淆恶意者的判断。
4.如权利要求3所述的一种计算机的网络隐身***,其特征在于,所述网络行为判断包括对服务器和个人计算机两个模块的区分,对于个人计算机,因其不为外界提供服务,故不会接受从外界发来的主动SYN请求,因此凡是接收到SYN的源IP地址都是可疑的,如果本计算机和某个远程主机未曾建立连接,对方却发来RST包或ACK+PUSH+URG包也是扫描行为的先兆;服务器由于需要向外提供服务,因此端口与地址不但不能更改并且还必须告知客户,需要对受到的数据包的状态链进行判断。
5.如权利要求3所述的一种计算机的网络隐身***,其特征在于,所述计算机物理地址的动态变化包括:首先利用ARP询问探测出活动的IP地址,筛选出未被使用的IP地址添加到地址池;然后创建一个线程,负责监听ARP并接受所有的请求。通过IP地址管理平台检查该ARP请求的IP地址是不是伪装主机的IP地址,如果是就发送一个ARP应答,否则不回复ARP;最后还需要维护IP地址的状态,即创建一个线程监听回复ARP的IP地址,若目的IP地址不是本机地址并且源IP地址不是我们虚假的IP地址,那么可以判断出该IP地址已被占用。另外定时更新IP状态,即一段时间没有收到该IP地址的ARP回复这把该IP地址的状态置为“空闲”。
6.如权利要求3所述的一种计算机的网络隐身***,其特征在于,所述计算机IP地址的动态化包括:真实主机的IP地址的动态变化和虚拟主机的IP地址的动态变化。
7.如权利要求3所述的一种计算机的网络隐身***,其特征在于,所述伪造通信地址包括虚假IP地址、MAC地址和端口号,虚假的IP地址均为本网段无人使用的IP地址。
8.如权利要求3所述的一种计算机的网络隐身***,其特征在于,所述伪造主动数据流量包括带有TCP协议负载的连接控制的数据包、带载荷的UDP数据包和带有应用层载荷的TCP数据包。
9.如权利要求3所述的一种计算机的网络隐身***,其特征在于,所述伪造被动数据流量是用虚拟协议栈响应虚拟主机接收到的探测数据包,包括ARP协议回复、ICMP回复,SYN扫描的回复和ACK扫描的回复。
10.如权利要求3所述的一种计算机的网络隐身***,其特征在于,所述协议栈指纹是通过操作***协议栈特征指纹探测和应用程序特征指纹探测。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201310132080.1A CN103312689B (zh) | 2013-04-08 | 2013-04-08 | 一种计算机的网络隐身方法及基于该方法的网络隐身*** |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201310132080.1A CN103312689B (zh) | 2013-04-08 | 2013-04-08 | 一种计算机的网络隐身方法及基于该方法的网络隐身*** |
Publications (2)
Publication Number | Publication Date |
---|---|
CN103312689A true CN103312689A (zh) | 2013-09-18 |
CN103312689B CN103312689B (zh) | 2017-05-24 |
Family
ID=49137474
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201310132080.1A Expired - Fee Related CN103312689B (zh) | 2013-04-08 | 2013-04-08 | 一种计算机的网络隐身方法及基于该方法的网络隐身*** |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN103312689B (zh) |
Cited By (26)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104519068A (zh) * | 2014-12-26 | 2015-04-15 | 赵卫伟 | 一种基于操作***指纹跳变的移动目标防护方法 |
CN104660563A (zh) * | 2013-11-21 | 2015-05-27 | ***通信集团公司 | 一种主动探测响应的处理方法、设备和*** |
CN105227540A (zh) * | 2015-05-08 | 2016-01-06 | 中国科学院信息工程研究所 | 一种事件触发式的mtd防护***及方法 |
CN105612790A (zh) * | 2013-10-08 | 2016-05-25 | 高通股份有限公司 | 用于漫游的多维算法 |
CN106060184A (zh) * | 2016-05-11 | 2016-10-26 | 中国人民解放军国防信息学院 | 一种基于三维的ip地址跳变图案生成方法及跳变控制器 |
CN106161670A (zh) * | 2016-06-02 | 2016-11-23 | 黄小勇 | 地址转换处理方法和地址转换处理装置 |
CN106790641A (zh) * | 2017-01-11 | 2017-05-31 | 中国人民解放军国防信息学院 | 一种端信息跳变Web服务访问控制方法及装置 |
CN106878187A (zh) * | 2017-04-19 | 2017-06-20 | 天津微梦无界科技有限公司 | 一种分布式网络拓扑检测方法 |
CN107241297A (zh) * | 2016-03-28 | 2017-10-10 | 阿里巴巴集团控股有限公司 | 通信拦截方法及装置、服务器 |
CN107771320A (zh) * | 2015-05-08 | 2018-03-06 | 思杰***有限公司 | 用于改善安全套接字层(ssl)通信安全性的***和方法 |
CN107864119A (zh) * | 2017-09-04 | 2018-03-30 | 南京理工大学 | 一种Android平台上的网络流量混淆方法及*** |
CN110046498A (zh) * | 2018-01-16 | 2019-07-23 | 北京中科晶上超媒体信息技术有限公司 | 操作***执行体的调度方法 |
CN110113333A (zh) * | 2019-04-30 | 2019-08-09 | 中国人民解放军战略支援部队信息工程大学 | 一种tcp/ip协议指纹动态化处理方法及装置 |
CN110445794A (zh) * | 2019-08-13 | 2019-11-12 | 中科天御(苏州)科技有限公司 | 一种基于动态防御的工业互联网安全防护方法及*** |
CN110601878A (zh) * | 2019-08-28 | 2019-12-20 | 孙红波 | 一种构建隐身网络的方法 |
CN111355691A (zh) * | 2018-12-24 | 2020-06-30 | 国网信息通信产业集团有限公司 | 一种异构冗余干扰的关键节点拟态隐匿的方法 |
CN111628993A (zh) * | 2020-05-26 | 2020-09-04 | 中国电子科技集团公司第五十四研究所 | 一种基于主机指纹隐藏的网络欺骗防御方法及装置 |
CN112087413A (zh) * | 2019-06-14 | 2020-12-15 | 张长河 | 一种基于主动侦测的网络攻击智能动态防护和诱捕***及方法 |
CN112422483A (zh) * | 2019-08-23 | 2021-02-26 | 东北大学秦皇岛分校 | 一种用于泛在电力物联网的身份保护策略 |
CN112688900A (zh) * | 2019-10-18 | 2021-04-20 | 张长河 | 一种防御arp欺骗和网络扫描的局域网安全防护***及方法 |
CN112738032A (zh) * | 2020-12-17 | 2021-04-30 | 公安部第三研究所 | 一种用于防ip欺骗的通讯*** |
CN114244622A (zh) * | 2021-12-27 | 2022-03-25 | 北京天融信网络安全技术有限公司 | 一种网络设备的伪装方法、装置、电子设备和存储介质 |
CN114338155A (zh) * | 2021-12-28 | 2022-04-12 | 四川邦辰信息科技有限公司 | 基于多维度指纹混淆的网络隐私保护方法及*** |
CN114500118A (zh) * | 2022-04-15 | 2022-05-13 | 远江盛邦(北京)网络安全科技股份有限公司 | 卫星网络拓扑的隐藏方法及装置 |
CN114710309A (zh) * | 2021-09-28 | 2022-07-05 | 北京卫达信息技术有限公司 | 一种流量混淆方法、装置及*** |
CN115150076A (zh) * | 2022-06-27 | 2022-10-04 | 联信摩贝软件(北京)有限公司 | 一种基于量子随机数的加密***及方法 |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108282786B (zh) * | 2018-04-13 | 2020-10-16 | 上海连尚网络科技有限公司 | 一种用于检测无线局域网中dns欺骗攻击的方法与设备 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1784065A (zh) * | 2004-11-29 | 2006-06-07 | 北京三星通信技术研究有限公司 | 移动IPv6环境中移动主机的隐身方法 |
CN1822593A (zh) * | 2006-03-20 | 2006-08-23 | 赵洪宇 | 一种抵御拒绝服务攻击事件的网络安全保护方法 |
CN101159683A (zh) * | 2007-10-15 | 2008-04-09 | 华为技术有限公司 | 对数据流量进行控制的方法及装置 |
CN101771702A (zh) * | 2010-01-05 | 2010-07-07 | 中兴通讯股份有限公司 | 点对点网络中防御分布式拒绝服务攻击的方法及*** |
-
2013
- 2013-04-08 CN CN201310132080.1A patent/CN103312689B/zh not_active Expired - Fee Related
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1784065A (zh) * | 2004-11-29 | 2006-06-07 | 北京三星通信技术研究有限公司 | 移动IPv6环境中移动主机的隐身方法 |
CN1822593A (zh) * | 2006-03-20 | 2006-08-23 | 赵洪宇 | 一种抵御拒绝服务攻击事件的网络安全保护方法 |
CN101159683A (zh) * | 2007-10-15 | 2008-04-09 | 华为技术有限公司 | 对数据流量进行控制的方法及装置 |
CN101771702A (zh) * | 2010-01-05 | 2010-07-07 | 中兴通讯股份有限公司 | 点对点网络中防御分布式拒绝服务攻击的方法及*** |
Non-Patent Citations (1)
Title |
---|
胡若云等: "《利用地址解析协议的地址空间欺骗技术》", 《信息与电子工程》, 30 September 2005 (2005-09-30) * |
Cited By (41)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105612790A (zh) * | 2013-10-08 | 2016-05-25 | 高通股份有限公司 | 用于漫游的多维算法 |
CN104660563B (zh) * | 2013-11-21 | 2018-05-04 | ***通信集团公司 | 一种主动探测响应的处理方法、设备和*** |
CN104660563A (zh) * | 2013-11-21 | 2015-05-27 | ***通信集团公司 | 一种主动探测响应的处理方法、设备和*** |
CN104519068A (zh) * | 2014-12-26 | 2015-04-15 | 赵卫伟 | 一种基于操作***指纹跳变的移动目标防护方法 |
CN107771320A (zh) * | 2015-05-08 | 2018-03-06 | 思杰***有限公司 | 用于改善安全套接字层(ssl)通信安全性的***和方法 |
CN107771320B (zh) * | 2015-05-08 | 2021-08-31 | 思杰***有限公司 | 用于改善安全套接字层(ssl)通信安全性的***和方法 |
CN105227540B (zh) * | 2015-05-08 | 2018-05-08 | 中国科学院信息工程研究所 | 一种事件触发式的mtd防护***及方法 |
CN105227540A (zh) * | 2015-05-08 | 2016-01-06 | 中国科学院信息工程研究所 | 一种事件触发式的mtd防护***及方法 |
CN107241297A (zh) * | 2016-03-28 | 2017-10-10 | 阿里巴巴集团控股有限公司 | 通信拦截方法及装置、服务器 |
CN106060184A (zh) * | 2016-05-11 | 2016-10-26 | 中国人民解放军国防信息学院 | 一种基于三维的ip地址跳变图案生成方法及跳变控制器 |
CN106060184B (zh) * | 2016-05-11 | 2019-04-05 | 中国人民解放军国防信息学院 | 一种基于三维的ip地址跳变图案生成方法及跳变控制器 |
CN106161670A (zh) * | 2016-06-02 | 2016-11-23 | 黄小勇 | 地址转换处理方法和地址转换处理装置 |
CN106161670B (zh) * | 2016-06-02 | 2020-09-22 | 黄小勇 | 地址转换处理方法和地址转换处理装置 |
CN106790641A (zh) * | 2017-01-11 | 2017-05-31 | 中国人民解放军国防信息学院 | 一种端信息跳变Web服务访问控制方法及装置 |
CN106790641B (zh) * | 2017-01-11 | 2019-08-23 | 中国人民解放军国防信息学院 | 一种端信息跳变Web服务访问控制方法及装置 |
CN106878187A (zh) * | 2017-04-19 | 2017-06-20 | 天津微梦无界科技有限公司 | 一种分布式网络拓扑检测方法 |
CN107864119A (zh) * | 2017-09-04 | 2018-03-30 | 南京理工大学 | 一种Android平台上的网络流量混淆方法及*** |
CN110046498A (zh) * | 2018-01-16 | 2019-07-23 | 北京中科晶上超媒体信息技术有限公司 | 操作***执行体的调度方法 |
CN110046498B (zh) * | 2018-01-16 | 2020-12-01 | 北京中科晶上超媒体信息技术有限公司 | 操作***执行体的调度方法 |
CN111355691A (zh) * | 2018-12-24 | 2020-06-30 | 国网信息通信产业集团有限公司 | 一种异构冗余干扰的关键节点拟态隐匿的方法 |
CN110113333A (zh) * | 2019-04-30 | 2019-08-09 | 中国人民解放军战略支援部队信息工程大学 | 一种tcp/ip协议指纹动态化处理方法及装置 |
CN112087413A (zh) * | 2019-06-14 | 2020-12-15 | 张长河 | 一种基于主动侦测的网络攻击智能动态防护和诱捕***及方法 |
CN112087413B (zh) * | 2019-06-14 | 2023-01-31 | 张长河 | 一种基于主动侦测的网络攻击智能动态防护和诱捕***及方法 |
CN110445794A (zh) * | 2019-08-13 | 2019-11-12 | 中科天御(苏州)科技有限公司 | 一种基于动态防御的工业互联网安全防护方法及*** |
CN112422483A (zh) * | 2019-08-23 | 2021-02-26 | 东北大学秦皇岛分校 | 一种用于泛在电力物联网的身份保护策略 |
CN112422483B (zh) * | 2019-08-23 | 2022-04-08 | 东北大学秦皇岛分校 | 一种用于泛在电力物联网的身份保护策略 |
CN110601878A (zh) * | 2019-08-28 | 2019-12-20 | 孙红波 | 一种构建隐身网络的方法 |
CN110601878B (zh) * | 2019-08-28 | 2022-02-01 | 孙红波 | 一种构建隐身网络的方法 |
CN112688900A (zh) * | 2019-10-18 | 2021-04-20 | 张长河 | 一种防御arp欺骗和网络扫描的局域网安全防护***及方法 |
CN112688900B (zh) * | 2019-10-18 | 2022-10-11 | 张长河 | 一种防御arp欺骗和网络扫描的局域网安全防护***及方法 |
CN111628993A (zh) * | 2020-05-26 | 2020-09-04 | 中国电子科技集团公司第五十四研究所 | 一种基于主机指纹隐藏的网络欺骗防御方法及装置 |
CN111628993B (zh) * | 2020-05-26 | 2022-01-21 | 中国电子科技集团公司第五十四研究所 | 一种基于主机指纹隐藏的网络欺骗防御方法及装置 |
CN112738032A (zh) * | 2020-12-17 | 2021-04-30 | 公安部第三研究所 | 一种用于防ip欺骗的通讯*** |
CN114710309A (zh) * | 2021-09-28 | 2022-07-05 | 北京卫达信息技术有限公司 | 一种流量混淆方法、装置及*** |
CN114244622A (zh) * | 2021-12-27 | 2022-03-25 | 北京天融信网络安全技术有限公司 | 一种网络设备的伪装方法、装置、电子设备和存储介质 |
CN114244622B (zh) * | 2021-12-27 | 2024-02-09 | 天融信雄安网络安全技术有限公司 | 一种网络设备的伪装方法、装置、电子设备和存储介质 |
CN114338155A (zh) * | 2021-12-28 | 2022-04-12 | 四川邦辰信息科技有限公司 | 基于多维度指纹混淆的网络隐私保护方法及*** |
CN114338155B (zh) * | 2021-12-28 | 2024-04-30 | 四川邦辰信息科技有限公司 | 基于多维度指纹混淆的网络隐私保护方法及*** |
CN114500118A (zh) * | 2022-04-15 | 2022-05-13 | 远江盛邦(北京)网络安全科技股份有限公司 | 卫星网络拓扑的隐藏方法及装置 |
CN114500118B (zh) * | 2022-04-15 | 2022-07-01 | 远江盛邦(北京)网络安全科技股份有限公司 | 卫星网络拓扑的隐藏方法及装置 |
CN115150076A (zh) * | 2022-06-27 | 2022-10-04 | 联信摩贝软件(北京)有限公司 | 一种基于量子随机数的加密***及方法 |
Also Published As
Publication number | Publication date |
---|---|
CN103312689B (zh) | 2017-05-24 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN103312689A (zh) | 一种计算机的网络隐身方法及基于该方法的网络隐身*** | |
CN100556031C (zh) | 智能集成网络安全设备 | |
JP6378395B2 (ja) | 異常部分グラフの検出のための道探査及び異常/変更検出及び網状況認知のためのdns要求及びホストエージェントの使用 | |
KR102135024B1 (ko) | IoT 디바이스에 대한 사이버 공격의 종류를 식별하는 방법 및 그 장치 | |
US11038906B1 (en) | Network threat validation and monitoring | |
Maximov et al. | Hiding computer network proactive security tools unmasking features | |
Chapade et al. | Securing cloud servers against flooding based DDoS attacks | |
US11681804B2 (en) | System and method for automatic generation of malware detection traps | |
US20230115046A1 (en) | Network security system for preventing unknown network attacks | |
Eswari et al. | A survey on detection of ddos attacks using machine learning approaches | |
CN1326365C (zh) | 使用基于硬件的模式匹配的蠕虫阻击***和方法 | |
Rajaboevich et al. | Methods and intelligent mechanisms for constructing cyberattack detection components on distance-learning systems | |
Tahir et al. | A novel DDoS floods detection and testing approaches for network traffic based on linux techniques | |
CN105683943B (zh) | 使用基于逻辑多维标签的策略模型的分布式网络安全 | |
RU2705773C1 (ru) | Способ защиты информационно-вычислительной сети от вторжений | |
RU2703329C1 (ru) | Способ обнаружения несанкционированного использования сетевых устройств ограниченной функциональности из локальной сети и предотвращения исходящих от них распределенных сетевых атак | |
US20240114052A1 (en) | Network security system for preventing spoofed ip attacks | |
Yang et al. | Design a hybrid flooding attack defense scheme under the cloud computing environment | |
Hussain et al. | An adaptive SYN flooding attack mitigation in DDOS environment | |
Khaing et al. | IoT botnet detection mechanism based on UDP protocol | |
Kaur et al. | Investigation of application layer DDoS attacks in legacy and software-defined networks: A comprehensive review | |
Abou Haidar et al. | High perception intrusion detection system using neural networks | |
Kotenko et al. | Agent Teams in Cyberspace: Security Guards in the Global Internet | |
Liu et al. | Research of the ARP spoofing principle and a defensive algorithm | |
Singh et al. | Intrusion detection system and its variations |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant | ||
CF01 | Termination of patent right due to non-payment of annual fee | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20170524 Termination date: 20180408 |