CN105721457A - 基于动态变换的网络安全防御***和网络安全防御方法 - Google Patents
基于动态变换的网络安全防御***和网络安全防御方法 Download PDFInfo
- Publication number
- CN105721457A CN105721457A CN201610062939.XA CN201610062939A CN105721457A CN 105721457 A CN105721457 A CN 105721457A CN 201610062939 A CN201610062939 A CN 201610062939A CN 105721457 A CN105721457 A CN 105721457A
- Authority
- CN
- China
- Prior art keywords
- communication
- network
- session information
- data packet
- vip
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/45—Network directories; Name-to-address mapping
- H04L61/4505—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
- H04L61/4511—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/50—Address allocation
- H04L61/5007—Internet protocol [IP] addresses
- H04L61/5014—Internet protocol [IP] addresses using dynamic host configuration protocol [DHCP] or bootstrap protocol [BOOTP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提出一种基于动态变换的网络安全防御***和方法,所述网络安全防御***包括通信处理单元、终端信息单元和动态变换单元,通信处理单元为内网中的每一个网络终端配置一个终端信息表,所述终端信息表包括分配给网络终端的真实IP地址、虚拟IP地址和外网访问IP地址,动态变换单元动态变换虚拟IP地址,通信处理单元使内网中的网络终端之间采用vIP进行通信,内网中的网络终端和外网之间采用wIP进行通信。本发明打破传统内网的静态性特征,通过动态变换内网中网络终端的IP地址信息,使得攻击者无法获得内网的拓扑结构,无法准确获得内网中网络终端的真实信息,从而有效防御了内网攻击行为,提高了内网的安全。
Description
技术领域
本发明涉及网络安全领域,尤其涉及一种基于动态变换的网络安全防御***和网络安全防御方法。
背景技术
内网安全在实际网络环境中非常重要,但被大多数网络安全设备忽视。现有的方法普遍通过采集流量来检测攻击行为,但是异常流量往往在攻击行为之后产生,因而此类方法无法对攻击行为进行实时防御。另一种方法是在接入网络的主机上部署网络安全防御***,虽然能够防御部分攻击行为,但无法防御未知的内网攻击行为。静态的互联网协议地址分配使得攻击者可以通过扫描本地或远程的网络精确快速地确定攻击目标。在目标网络中确定活动主机的IP地址是大部分攻击的首要步骤,扫描工具和蠕虫通常对网络中一定范围内的IP地址发送探针来发现目标,一旦目标响应,即可确定目标并进行攻击。
大部分网络即使部署了防火墙也存在很多公共的和私有的主机可以被外部访问,而且所有的网络对于内部的扫描者缺乏有效的防御手段,一旦攻击者潜入内网,即可探测网络的拓扑结构并进行相应的攻击。使用动态主机配置协议(DynamicHostConfigurationProtocol,简称DHCP)或网络地址转换(NetworkAddressTranslation,简称NAT)可以动态分配IP地址,但是仍然不能主动地进行防御,因为IP地址的变换并不频繁且容易被追踪。
申请号为200510036269.6的发明专利公开了一种网络病毒防护领域的主动探测病毒防护***及其防护方法,该***包括嵌入于三层交换机中的探针模块、存储器、安全策略模块以及安装于信息监控服务器中的外部访问管理***,该发明解决了现有局域网病毒防护***无法防范局域网子网间病毒攻击的缺点,但是该专利提供的方法不能检测交换机下物理端口之间流量中存在的攻击,内网攻击检测仍有空白;
申请号为200410017802.X的发明专利公开了一种网络安全防护的分布式入侵检测与内网监控***及方法,该***为三层分布式结构,包括网络和主机检测器、中央控制器、管理监控中心、后台数据库,检测器根据安全规则按IP地址和MAC地址进行入侵检测和内网监控;发现入侵或违规及时阻断,报警并记入后台数据库;根据记录的信息进行审计,对被破坏的数据进行还原,其问题在于不能检测单台交换机设备之下各端口之间流量中的异常,不能深入到网络底层检测攻击;
申请号为02115957.2的发明专利公开了一种分布式网络安全保护***,配置汇总决策模块和策略发布模块,网络按照树型结构分为N个子网,各子网管理台上均配置汇总决策模块和策略发布模块,子网中每个节点都安装微入侵检测模块和微防火墙模块,策略发布模块采用移动代理技术;本***的分布式微入侵检测模块以单个节点机为保护对象,从而实现双重细粒度的安全保护,问题在于需要在每台被监测主机上安装入侵检测和防火墙***,部署成本大大增加,特别是网络规模较大的情况下,部署难度很大;
申请号为200810122357.1的发明专利公开了一种用于内网攻击检测的报警和响应***,其检测机的异常检测算法模块对内网进行异常信息检测,获取异常检测信息并确定该信息的可信度,当该异常检测信息的可信度到达预设值时发出报警信息,其问题在于组成模块多,结构复杂,且被动地对流量进行分析,不能从根本上阻止内网攻击。
总的来说,现有内网防御技术包括杀毒软件技术、入侵检测技术、数据加密技术等,在一定程度上保护了内网的安全。但是,由于现有网络的拓扑信息的静态性,攻击者往往有充足的时间分析内网架构和网络地址信息,从而逐步渗透内网,达到攻击目标。
发明内容
本发明的目的在于克服上述已有技术的缺点,打破传统内网的静态性特征,提出一种基于动态变换的网络安全防御***和网络安全防御方法,其基本思想是:通过动态变换内网中网络终端的IP地址信息,使得攻击者无法获得内网的拓扑结构,无法准确获得内网中网络终端的真实信息,从而有效防御了内网攻击行为,提高了内网的安全。
为实现上述发明目的,本发明所提供的技术方案是:
一种基于动态变换的网络安全防御***,包括通信处理单元13、终端信息单元14和动态变换单元15,所述通信处理单元13连接所述终端信息单元14,所述动态变换单元15连接所述终端信息单元14,所述通信处理单元13为布置所述网络安全防御***的内网中的每一个网络终端配置一个终端信息表,并存储于所述终端信息单元14中,所述终端信息表包括分配给网络终端的rIP、vIP和wIP,其中rIP为分配给网络终端的真实IP地址,vIP为分配给网络终端的虚拟IP地址,wIP为分配给网络终端的外网访问IP地址,所述动态变换单元15动态变换所述终端信息单元14中存储的vIP,所述通信处理单元13基于所述终端信息表处理网络终端的通信数据包,并使内网中的网络终端之间采用vIP进行通信,内网中的网络终端和外网之间采用wIP进行通信。
进一步的根据本发明所述的网络安全防御***,其中所述终端信息单元14存储的rIP、vIP和wIP相互之间具有一一对应关系,每个网络终端的终端信息表中包括有相互对应的一组rIP、vIP和wIP,所述通信数据包包括有源IP、目的IP、源端口、目的端口和通信协议;对于内网中的两个网络终端进行通信时,所述通信处理单元13将通信数据包中的源IP替换为发送该通信数据包的网络终端的终端信息表中与所述源IP对应的vIP,将通信数据包中的目的IP替换为接收该通信数据包的网络终端的终端信息表中与所述目的IP对应的rIP;对于内网中的网络终端访问外网时,所述通信处理单元13将通信数据包中的源IP替换为发送该通信数据包的网络终端的终端信息表中与所述源IP对应的wIP;对于外网访问内网中的网络终端时,所述通信处理单元13将来自外网的通信数据包中的目的IP替换为接收该通信数据包的网络终端的终端信息表中与所述目的IP对应的rIP。
进一步的根据本发明所述的网络安全防御***,其中所述网络安全防御***还包括有数据单元12,所述数据单元12连接于所述通信处理单元13,所述通信处理单元13包括IP地址分配模块31、域名解析模块32、会话信息存储模块33和IP地址变换模块34,所述IP地址分配模块31连接于所述数据单元12和所述终端信息单元14,所述域名解析模块32连接于所述数据单元12和所述终端信息单元14,所述会话信息存储模块33连接于所述IP地址变换模块34,所述IP地址变换模块34连接于所述数据单元12和所述终端信息单元14;所述IP地址分配模块31为接入内网的每一个网络终端分配一个rIP,并为每一个rIP分配对应的一个vIP和对应的一个wIP,为每一个vIP生成对应的一个vDomain,为每一个vIP生成对应的vIPtime,为每一个vDomain生成对应的vDomaintime,并获得每一个网络终端的rMac,其中所述vDomain为vIP对应的虚拟域名,所述vIPtime为vIP生成的当前时间,所述vDomaintime为vDomain生成的当前时间,所述rMac为网络终端的物理网卡地址,所述IP地址分配模块31生成各网络终端的终端信息表并存储于终端信息单元14中,每个网络终端的终端信息表包括对应的一组rIP、vIP、wIP、vDomain、vIPtime、vDomaintime和rMac;所述域名解析模块32基于终端信息单元14中存储的终端信息表解析DNS数据包;所述IP地址变换模块34执行通信数据包的IP替换操作;所述数据单元12作为通信处理单元13的数据包收发单元,并将接收的DHCP数据包发往IP地址分配模块31,将接收的DNS数据包发往域名解析模块32,将DHCP数据包和DNS数据包之外的其他数据包发往所述IP地址变换模块34。
进一步的根据本发明所述的网络安全防御***,其中所述IP地址变换模块34按照以下方式执行通信数据包的IP替换操作:
(一)、对于内网中的两个网络终端进行通信时,首先所述IP地址变换模块34建立本次通信的会话信息,所述会话信息包括通信数据包的源IP、目的IP、源端口、目的端口、通信协议以及与源IP对应的vIP、与目的IP对应的rIP,并将建立的所述会话信息存储于会话信息存储模块33;接着所述IP地址变换模块34基于本次通信的会话信息,将通信数据包中的源IP替换为会话信息中与所述源IP对应的vIP,将通信数据包中的目的IP替换为会话信息中与所述目的IP对应的rIP;然后所述IP地址变换模块34根据本次通信的会话信息重新计算数据包校验和后把数据包发送给数据单元12;最后所述IP地址变换模块34删除会话信息存储模块33中存储的本次通信的会话信息;
(二)、对于内网中的网络终端访问外网时,首先所述IP地址变换模块34建立本次通信的会话信息,所述会话信息包括通信数据包的源IP、目的IP、源端口、目的端口、通信协议以及与源IP对应的wIP,并将建立的所述会话信息存储于会话信息存储模块33;接着所述IP地址变换模块34基于本次通信的会话信息,将通信数据包中的源IP替换为会话信息中与所述源IP对应的wIP;然后所述IP地址变换模块34根据本次通信的会话信息重新计算数据包校验和后把数据包发送给数据单元12;最后所述IP地址变换模块34删除会话信息存储模块33中存储的本次通信的会话信息;
(三)、对于外网访问内网中的网络终端时,首先所述IP地址变换模块34建立本次通信的会话信息,所述会话信息包括通信数据包的源IP、目的IP、源端口、目的端口、通信协议以及与目的IP对应的rIP,并将建立的所述会话信息存储于会话信息存储模块33;接着所述IP地址变换模块34基于本次通信的会话信息,将来自外网的通信数据包中的目的IP替换为会话信息中与所述目的IP对应的rIP;然后所述IP地址变换模块34根据本次通信的会话信息重新计算数据包校验和后把数据包发送给数据单元12;最后所述IP地址变换模块34删除会话信息存储模块33中存储的本次通信的会话信息。
进一步的根据本发明所述的网络安全防御***,其中对于内网中的两个网络终端进行通信时,所述IP地址变换模块34在建立会话信息之前先对通信数据包的目的IP类型进行判定,如果通信数据包的目的IP是一个rIP或wIP,则将此通信数据包丢弃并直接结束本次通信。
进一步的根据本发明所述的网络安全防御***,其中还包括有管理单元11,所述管理单元11连接于所述数据单元12、通信处理单元13和动态变换单元15,所述管理单元11生成用户配置信息并发送至所述数据单元12、通信处理单元13和动态变换单元15,所述用户配置信息包括分配给内网中的网络终端的rIP的范围、vIP的范围、wIP的范围、vIP动态变换的时间间隔和vDomain动态变换的时间间隔。
进一步的根据本发明所述的网络安全防御***,其中所述管理单元还连接于所述终端信息单元14,通过所述管理单元11能够将终端信息单元14中存储的特定网络终端对应的终端信息表中的wIP设置为静态wIP,使得对于内网中的网络终端进行通信时,所述IP地址变换模块34在建立会话信息之前先对通信数据包的目的IP类型进行判定,如果通信数据包的目的IP是一个rIP,则将此通信数据包丢弃并直接结束本次通信,如果通信数据包的目的IP是一个wIP,则进一步判定所述wIP是否是静态wIP,若不是静态wIP则将此通信数据包丢弃并直接结束本次通信,若通信数据包的目的IP是静态wIP或vIP,则按照上述内网中两个网络终端的通信方式进行通信。
进一步的根据本发明所述的网络安全防御***,其中所述动态变换单元15包括虚拟IP修改模块41和虚拟域名修改模块42,所述虚拟IP修改模块41遍历所述终端信息单元14,动态修改终端信息单元14中的vIP并保证vIP不重复出现,所述虚拟域名修改模块42遍历所述终端信息单元14,动态修改终端信息单元14中的vDomain并保证vDomain不重复出现。
进一步的根据本发明所述的网络安全防御***,其中所述虚拟IP修改模块41包括虚拟IP修改子模块51和虚拟IP重复查询子模块52,所述虚拟IP修改子模块51遍历终端信息单元14中存储的终端信息表,并判定终端信息表中vIP对应的vIPtime和当前时间的时间间隔是否达到或超出预先配置的虚拟IP动态变换时间间隔,若是则从预先配置的虚拟IP范围中随机生成一个新的vIP替换原有vIP,并将其对应的vIPtime更新为当前时间,所述虚拟IP重复查询子模块52对虚拟IP修改子模块51的修改进行去重查询,并通知虚拟IP修改子模块51修改重复出现的vIP;所述虚拟域名修改模块42包括虚拟域名修改子模块61和虚拟域名重复查询子模块62,所述虚拟域名修改子模块61遍历终端信息单元14中存储的终端信息表,并判定终端信息表中vDomain对应的vDomaintime和当前时间的时间间隔是否达到或超出预先配置的虚拟域名动态变换时间间隔,若是则虚拟域名修改子模块61随机生成一个新的vDomain替换原有vDomain,并将其对应的vDomaintime更新为当前时间,所述虚拟域名重复查询子模块62对虚拟域名修改子模块61的修改进行去重查询,并通知虚拟域名修改子模块61修改重复出现的vDomain。
一种基于动态变换的网络安全防御方法,包括以下步骤:
步骤(1)、为内网中的每一个网络终端生成对应的一个终端信息表,所述终端信息表包括分配给网络终端的rIP、与rIP对应的vIP、与rIP对应的wIP、与vIP对应的vDomain、与vIP对应的vIPtime、与vDomain对应的vDomaintime、rMac,其中所述rIP为分配给网络终端的真实IP地址,所述vIP为分配给网络终端的虚拟IP地址,所述wIP为分配给网络终端的外网访问IP地址,所述vDomain为vIP对应的虚拟域名,所述vIPtime为vIP分配的当前时间,所述vDomaintime为vDomain分配的当前时间,所述rMac为网络终端的物理网卡地址;
步骤(2)、按照以下方式对通信数据包进行IP替换操作,使得内网中的网络终端之间采用vIP进行通信,内网中的网络终端和外网之间采用wIP进行通信:
(2-1):对于内网中的两个网络终端进行通信时,首先提取一个网络终端发出的通信数据包中的源IP,然后在终端信息表中查询得到与所述源IP对应的vIP,同时提取所述通信数据包中的目的IP,并在终端信息表中查询得到与所述目的IP对应的rIP;接着根据通信数据包的源IP、目的IP、源端口、目的端口、通信协议以及查询到的与源IP对应的vIP、与目的IP对应的rIP,建立本次通信的会话信息;然后将通信数据包中的源IP替换为本次通信的会话信息中与所述源IP对应的vIP,将通信数据包中的目的IP替换为本次通信的会话信息中与所述目的IP对应的rIP,并根据本次通信的会话信息重新计算通信数据包校验和后将通信数据包发送给另一个网络终端;最后删除本次通信的会话信息;
(2-2):对于内网中的网络终端访问外网时,首先提取内网网络终端发出的通信数据包中的源IP,然后在终端信息表中查询得到与所述源IP对应的wIP;接着根据通信数据包的源IP、目的IP、源端口、目的端口、通信协议以及查询到的与源IP对应的wIP,建立本次通信的会话信息;然后将通信数据包中的源IP替换为本次通信的会话信息中与所述源IP对应的wIP,并根据本次通信的会话信息重新计算通信数据包校验和后将通信数据包发送至外网;最后删除本次通信的会话信息;
(2-3):对于外网访问内网中的网络终端时,首先提取来自外网的通信数据包中的目的IP,然后在终端信息表中查询得到与所述目的IP对应的rIP;接着根据通信数据包的源IP、目的IP、源端口、目的端口、通信协议以及查询到的与目的IP对应的rIP,建立本次通信的会话信息;然后将通信数据包中的目的IP替换为本次通信的会话信息中与所述目的IP对应的rIP,并根据本次通信的会话信息重新计算通信数据包校验和后将通信数据包发送至内网中的网络终端;最后删除本次通信的会话信息。
本发明的有益效果:
1)、本发明创新了一种网络通信方式,使内网中网络终端之间通过动态变换的vIP进行通信,从而有效阻止了对内网的探测和渗透。当内网中的某个网络终端A需要和内网中另外一个网络终端B通信时,需要知道B的vIP或者首先获得B的vDomain,然后发送DNS请求数据包获取B的vDomain对应的vIP,然后基于动态变换的vIP进行内网通信,并为内网中的网络终端配置wIP进行外网访问,从而在内外网的数据访问中不会泄露内网中各终端的真实IP。
2)、本发明打破传统内网的静态性特征,通过动态变换内网中网络终端的IP地址信息,使得攻击者无法获得内网的拓扑结构,无法准确获得内网中网络终端的真实信息,从而有效防御了内网攻击行为,提高了内网的安全。
3)、本发明可通过进一步将wIP设置为静态wIP,使得接入内网的两个网络终端不仅可以利用vIP进行通信,也可以利用静态wIP进行通信,这样在部署本发明所述基于动态变换的网络安全防御***后,内网中用户仍然能够按原来的方式使用静态的IP地址访问网络打印机、服务器等特定终端,在保证网络安全的同时,提高了对特定终端的内网访问效率,大大提升了所述网络安全防御***实用价值。
4)、经样机使用实践证明,本发明能有效阻止内网攻击行为,且本发明所述方案实现在各类局域网中容易布置、操作简单、安全可靠,具有显著的经济社会效益和广阔的市场推广应用前景。
附图说明
图1是本发明所述基于动态变换的网络安全防御***第一优选实施方式的总体结构框图;
图2是本发明所述网络安全防御***中数据单元的结构框图;
图3是本发明所述网络安全防御***中通信处理单元的结构框图;
图4是本发明所述网络安全防御***中动态变换单元的结构框图;
图5是本发明所述动态变换单元中虚拟IP修改模块的结构框图;
图6是本发明所述动态变换单元中虚拟域名修改模块的结构框图;
图7是本发明所述基于动态变换的网络安全防御***第二优选实施方式的总体结构框图;
图中各附图标记的含义如下:
11-管理单元,12-数据单元,13-通信处理单元,14-终端信息单元,15-动态变换单元;
21-数据包接收模块,22-数据包发送模块;
31-IP地址分配模块,32-域名解析模块,33-会话信息存储模块,34-IP地址变换模块;
41-虚拟IP修改模块,42-虚拟域名修改模块;
51-虚拟IP修改子模块,52-虚拟IP重复查询子模块;
61-虚拟域名修改子模块,62-虚拟域名重复查询子模块。
具体实施方式
以下结合附图对本发明的技术方案进行详细的描述,以使本领域技术人员能够更加清楚的理解本发明的方案,但并不因此限制本发明的保护范围。
随着攻击技术的不断发展,针对不断出现的新型攻击进行一对一的内网防御难度很大。攻击者在发动内网攻击前往往要利用一些扫描探测工具对内网进行信息刺探,以获取内网拓扑和内网中接入网络的网络终端的真实信息,其中网络终端包括主机、服务器、智能移动终端、网络打印机、路由器;由于当前网络架构的静态性特点,攻击者往往有充足的时间对内网进行分析和探测。因此,针对内网攻击,可以采取动态变换的思路,将网络拓扑、主机信息的静态性变为动态性,从而使攻击者难以收集发起内网攻击时所需的IP地址信息。
首先说明本发明的技术创新原理,本发明所述的基于动态变换的网络安全防御***部署在内网的网络出口处,给内网中接入网络的每一个网络终端分配三个IP地址且每一个IP地址都不能重复,其中一个IP地址是利用DHCP(DynamicHostConfigurationProtocol,动态主机配置协议)协议分配的,通过查看网络终端的网卡连接信息可以查看到的,称为真实IP(rIP),DHCP协议是一个用于内网的网络协议,主要用于给内网中接入网络的网络终端分配IP地址。基于动态变换的网络安全防御***在给内网中每一个接入网络的网络终端分配rIP的同时,会对应地为每一个网络终端生成一个虚拟IP(vIP)和一个访问外网的IP(wIP),同时为每一个vIP生成对应的虚拟域名vDomain,网络终端通过发送DNS(DomainNameSystem,域名***)请求数据包解析vDomain可以得到该vDomain对应的vIP;内网中网络终端之间利用vIP进行通信,内网中的网络终端利用wIP访问外网;内网中每一个接入网络的网络终端的rIP、vIP、wIP、vDomain、网络终端物理网卡地址rMac、vIP生成的当前时间vIPtime和vDomain生成的当前时间vDomaintime构成该网络终端的终端信息表,内网中各网络终端的终端信息表共同存储在***的终端信息单元14中;
布置本发明所述基于动态变换的网络安全防御***的局域网(即上述内网),局域网中的网络终端之间利用vIP进行通信,而不能利用rIP进行通信,当内网中的某台网络终端A需要和内网中另外一台网络终端B通信时,需要知道网络终端B的vIP或者首先获得网络终端B的vDomain,然后发送DNS请求数据包获取网络终端B的vDomain对应的vIP,然后进行通信。与此同时,本发明引入动态变换的思想,每隔一段时间对分配给每一个网络终端的vIP和vDomain进行修改,这有效地阻止了攻击者对内网的探测和渗透,使得攻击者无法准确获得内网拓扑结构和内网中网络终端的真实信息,进而有效防御了内网攻击行为,提升了内网的安全防护。下面结合附图具体描述本发明所述基于动态变换的网络安全防御***的结构原理和工作过程,优选的包括如下实施方式。
第一优选实施方式
如图1所示,作为第一优选实施方式,本发明所述的基于动态变换的网络安全防御***包括管理单元11、数据单元12、通信处理单元13、终端信息单元14和动态变换单元15;其中所述管理单元11连接于数据单元12、通信处理单元13和动态变换单元15,数据单元12连接于通信处理单元13、内网和外网,通信处理单元13连接于数据单元12和终端信息单元14,终端信息单元14连接于通信处理单元13,动态变换单元15连接于终端信息单元14。
用户通过管理单元11生成用户配置信息发送至数据单元12、通信处理单元13和动态变换单元15,用户配置信息包括分配给内网中接入网络的网络终端的rIP的范围、vIP的范围、wIP的范围、vIP动态变换的时间间隔和vDomain动态变换的时间间隔。
数据单元12接收来自内网和外网的数据包,发送给通信处理单元13进行处理,通信处理单元13处理后把数据包发送给数据单元12,数据单元12依据数据包的目的IP地址进行转发处理,把发往内网的数据包发送至内网,把发往外网的数据包发送至外网。具体的如图2所示,数据单元12包括数据包接收模块21和数据包发送模块22;数据包接收模块21接收内网和外网发送过来的数据包,发送给通信处理单元13进行处理,具体的数据包接收模块21基于数据包的基本信息将数据包分为DHCP数据包、DNS数据包和除此之外的其他数据包,并将三类数据包分别发送至通信处理单元中的对应处理模块,数据包发送模块22用于接收通信处理单元13处理后的数据包,依据管理单元11提供的用户配置信息中设定的rIP的范围、vIP的范围和wIP的范围(这三个IP范围是内网中网络终端可获得的IP地址的范围,属于内网IP),对数据包的目的IP地址进行判断,如果数据包的目的IP地址在内网,则把数据包发送至内网,如果数据包的目的IP地址在外网,则把数据包发送至外网。
终端信息单元14用于为内网中每一个接入网络的网络终端维护一个终端信息表,终端信息表包括以下信息:(1)分配给网络终端的真实IP地址,记为rIP;(2)分配给网络终端的虚拟IP地址,记为vIP;(3)分配给网络终端的用于访问外网的IP地址,记为wIP;(4)分配给网络终端的用于获取vIP的虚拟域名,记为vDomain;(5)网络终端网卡的物理地址,记为rMac;(6)vIP分配的当前时间,记为vIPtime;(7)vDomain分配的当前时间,记为vDomaintime;终端信息单元中每个网络终端的终端信息表由下属通信处理单元建立。
所述通信处理单元13用于处理数据单元12发送过来的数据包,实现内网和外网之间、内网之间的正常通信。通信处理单元13首先为内网中接入网络的每一个网络终端分配rIP、vIP、wIP和vDomain,同时生成终端信息表存储到终端信息单元14中。通信处理单元13使内网之间采用vIP进行通信,内网和外网之间采用wIP进行通信,此外,由于DHCP协议是内网中用于分配IP地址的协议,vDomain用于获取vIP进行内网通信,因此通信处理单元13有两个单独的模块对这两种数据包进行处理,其中通信处理单元13的IP地址分配模块用于处理DHCP数据包,域名解析模块用于处理请求解析vDomain的DNS数据包。具体的如图3所示,通信处理单元13负责处理数据单元12发送过来的数据包,包括IP地址分配模块31、域名解析模块32、会话信息存储模块33、IP地址变换模块34。所述IP地址分配模块31负责处理DHCP数据包,并配置内网中各网络终端的终端信息表。IP地址分配模块31收到内网中每一个网络终端发来的用请求分配IP地址的DHCP数据包时,依据用户配置信息中设定的rIP地址的范围给内网中接入网络的每一个网络终端分配一个真实IP即rIP,通过查看网络终端的网卡连接信息可以查看分配给该网络终端的rIP,IP地址分配模块31在给内网中每一个接入网络的网络终端分配rIP时,会根据用户配置信息中设定的vIP和wIP的范围对应地为每一个网络终端分配与其rIP对应的一个vIP和一个wIP,同时为每一个vIP生成对应的虚拟域名vDomain,并同时生成每一个vIP分配的当前时间vIPtime和每一个vDomain分配的当前时间vDomaintime,且保证任何一个IP不会重复出现,并获得每个网络终端的物理网卡地址rMac。内网中每一个接入网络的网络终端的rIP、vIP、wIP、vDomain、网络终端物理网卡地址rMac、vIP分配的当前时间vIPtime和vDomain分配的当前时间vDomaintime相互对应并构成该网络终端的终端信息表,获得网络终端中的任何一个信息(如vIP)即可通过查询该网络终端的终端信息表得到该网络终端的所有其他信息(如rIP、wIP、vDomain、rMac、vIPtime和vDomaintime)。IP地址分配模块31生成各网络终端的终端信息表,并将生成的各网络终端的终端信息表存储到终端信息单元14中。所述域名解析模块32负责处理请求解析vDomain的DNS请求数据包,域名解析模块32在终端信息单元14中查询请求解析的vDomain,如果查询到所述vDomain,则依据终端信息单元14中vDomain所对应的vIP生成DNS响应数据包,发送给数据单元12,然后再基于解析得到的所述vIP进行相关网络访问。如果查询不到请求解析的vDomain则直接将此DNS请求数据包丢弃。这样基于所述域名解析模块32,网络终端通过发送DNS请求数据包解析vDomain就可以得到vDomain对应的vIP。
本发明所述网络安全防御***中重要创新在于通过使内网中网络终端之间利用vIP进行通信,内网中的网络终端利用wIP访问外网,从而不会泄露内网中各终端的真实IP,进而无法扫描探测到内网的主机信息和拓扑结构,进而无法攻击。借助通信处理单元中的会话信息存储模块33和IP地址变换模块34来实现这一功能。进行通信的每个数据包必须包括有五元组信息即源IP、目的IP、源端口、目的端口和通信协议,这在本领域是熟知的,故后续内容直接在此基础上进行描述。所述的会话信息存储模块33用于存储进行通信的两个IP的会话信息,所存储的会话信息包括源IP、目的IP、源端口、目的端口、通信协议以及在终端信息单元14中源IP、目的IP所对应的rIP、wIP等信息。内网中的两个终端之间、外网与内网之间两个IP的每次通信都会建立一个对应的会话信息,其中的IP地址变换模块用来建立每次通信对应的会话信息并将其存储在会话信息存储模块33中,在每次通信的具体通信过程中,依据其对应的会话信息处理通信中的数据包,并待通信完成后删除本次通信所对应的会话信息。所述的IP地址变换模块34处理除DHCP数据包和请求解析vDomain的DNS请求数据包以外的数据包。下面具体说明每种类型的通信过程。
如果是内网和外网之间的通信,有两种情况即内网访问外网和外网访问内网,根据数据包中的IP即可进行这种判定。对于内网访问外网的情况,内网向外网发送数据包,内网的数据包经数据单元分析判定后首先发送至IP地址变换模块34,在通信开始建立时IP地址变换模块34为本次内网和外网间的通信建立对应的会话信息,如上所述数据包包括源IP、目的IP、源端口、目的端口和通信协议,所述IP地址变换模块34提取该数据包中的源IP,并在终端信息单元14中利用该源IP进行查询,得到与其对应的wIP(如果所述数据包真正来源于内网的网络终端,其中的源IP应该是网络终端在内网中的真实IP即所述源IP为rIP,如前所述终端信息单元中存储有每个内网终端的终端信息表,所述终端信息表中的rIP、vIP、wIP、vDomain、rMac、vIPtime和vDomaintime相互对应,根据rIP即可查询得到对应的wIP,如果查询不到则将此数据包直接丢弃,下同),然后将所述rIP、目的IP、源端口、目的端口、通信协议以及查询到的wIP组成本次通信的会话信息,并存储到会话信息存储模块33中,在接下来的通信过程中,依据该会话信息对数据包进行处理。接着进行IP变换操作,IP地址变换模块34利用所述数据包中的源IP、目的IP、源端口、目的端口和通信协议对会话信息存储模块33进行查询,如果查询不到则直接将此数据包丢弃,如果查询到,则所查询到的包括所述源IP、目的IP、源端口、目的端口和通信协议在内在会话信息即为对应于本次通信的会话信息,所述IP地址变换模块34将数据包中的源IP替换为查询到的会话信息中的wIP,然后根据所述会话信息重新计算数据包校验和后把数据包发送给数据单元12的数据包发送模块22,数据包发送模块22在根据数据包中的目的IP、目的端口和通信协议等信息将数据包发送至外网。在本次通信结束后,IP地址变换模块34再次利用所述数据包中的源IP、目的IP、源端口、目的端口和通信协议在会话信息存储模块33中查询得到本次通信所对应的所述会话信息,并将该会话信息删除。这样当外网接收到内网发送的数据包时,通过提取数据包中的源IP信息得到的是内网中网络终端的wIP,并不是网络终端的真实IP,通过这种IP变换实现了内网中网络终端利用wIP访问外网的目的,保证了网络安全。
同理,对于外网访问内网的情况,外网向内网发送数据包,外网的数据包经数据单元分析判定后首先发送至IP地址变换模块34,在通信开始建立时IP地址变换模块34为本次外网和内网间的通信建立对应的会话信息,所述数据包包括源IP、目的IP、源端口、目的端口和通信协议,所述数据包用于访问内网的网络终端(外网数据访问一般不会得到内网终端的真实IP,而且构成安全隐患的外网数据访问一般都是基于内网先访问外网时获取内网中的IP进行,如上所述本发明在内网访问外网时使用的是wIP,所以外网访问内网时其目的IP一般为内网中的网络终端的wIP,这对于本领域技术人员是容易理解的),所述IP地址变换模块34提取该数据包中的目的IP,并在终端信息单元14中利用该目的IP进行查询,如果查询不到则将此数据包直接丢弃,如果能查询到,则提取与该目的IP对应的rIP,然后将所述数据包的源IP、目的IP、源端口、目的端口、通信协议以及查询到的rIP组成本次通信的会话信息,并存储到会话信息存储模块33中,在接下来的通信过程中,依据该会话信息对数据包进行处理。接着进行IP变换操作,IP地址变换模块34利用所述数据包中的源IP、目的IP、源端口、目的端口和通信协议对会话信息存储模块33进行查询,如果查询不到则直接将此数据包丢弃,如果查询到,则所查询到的包括所述源IP、目的IP、源端口、目的端口和通信协议在内在会话信息即为对应于本次通信的会话信息,所述IP地址变换模块34将数据包中的目的IP替换为查询到的会话信息中的rIP,然后根据所述会话信息重新计算数据包校验和后把数据包发送给数据单元12的数据包发送模块22,数据包发送模块22在根据数据包中的rIP、目的端口等信息找到对应的内网终端,完成数据通信。在本次通信结束后,IP地址变换模块34再次利用所述数据包中的源IP、目的IP、源端口、目的端口和通信协议在会话信息存储模块33中查询得到本次通信所对应的所述会话信息,并将该会话信息删除。这样当外网向内网发送数据包时,通过上述变换能够找到与数据包中目的IP对应的内网终端的真实IP,保证了外网数据能够准确达到内网终端。
如果是内网和内网之间的通信,即内网中一个网络终端向另一个网络终端发送访问数据包,首先在通信开始建立之前,IP地址变换模块34提取数据包中的目的IP,并对其类型进行判定(因vIP、rIP、wIP分别对应于不同的IP段,因此容易实现这种类型判定),如果数据包的目的IP是一个rIP或wIP,则将此数据包直接丢弃,因为内网间不允许用rIP或wIP进行访问,如果数据包的目的IP是一个vIP,则执行如下通信变换过程。首先在通信开始建立时,IP地址变换模块34为本次内网间的通信建立对应的会话信息,所述数据包包括源IP、目的IP、源端口、目的端口和通信协议,所述IP地址变换模块34提取该数据包中的源IP,并在终端信息单元14中利用该源IP进行查询,得到与其对应的vIP(如果数据包真正来源于内网中的网络终端,则所述数据包的源IP必然是发送该数据包的网络终端在内网中的真实IP即所述源IP为rIP,此时根据rIP即可查询到该网络终端的vIP),同时所述IP地址变换模块34提取该数据包中的目的IP,并在终端信息单元14中利用该目的IP进行查询,得到与其对应的rIP(若查询不到,则直接将数据包丢弃),然后将所述源IP、目的IP、源端口、目的端口、通信协议以及查询到的与源IP对应的vIP、与目的IP对应的rIP组成本次通信的会话信息,并存储到会话信息存储模块33中,在接下来的通信过程中,依据该会话信息对数据包进行处理。然后由IP地址变换模块34执行IP变换操作,IP地址变换模块34利用所述数据包中的源IP、目的IP、源端口、目的端口和通信协议对会话信息存储模块33进行查询,如果查询不到则直接将此数据包丢弃,如果查询到,则所查询到的包括所述源IP、目的IP、源端口、目的端口和通信协议在内在会话信息即为对应于本次通信的会话信息,接着所述IP地址变换模块34将数据包中的源IP替换为查询到的会话信息中与源IP对应的vIP,将数据包中的目的IP替换为查询到的会话信息中该目的IP对应的rIP,然后根据所述会话信息重新计算数据包校验和后把数据包发送给数据单元12的数据包发送模块22,数据包发送模块22在根据数据包中的rIP、目的端口等信息找到对应的内网终端,完成数据通信。在本次通信结束后,IP地址变换模块34再次利用所述数据包中的源IP、目的IP、源端口、目的端口和通信协议在会话信息存储模块33中查询得到本次通信所对应的所述会话信息,并将该会话信息删除。这样内网中发送数据包时,发送方利用vIP进行数据发送,接收方利用rIP进行数据接收,内网中网络终端之间利用vIP进行通信,保证了网络安全和通信数据的顺利到达。
动态变换单元15包括虚拟IP修改模块和虚拟域名修改模块,用于动态变换终端信息单元14中存储的终端信息表,其中虚拟IP修改模块遍历终端信息单元14,动态修改终端信息单元14中的vIP并保证vIP不重复出现,虚拟域名修改模块遍历终端信息单元14,动态修改终端信息单元14中的vDomain并保证vDomain不重复出现。具体的如图4-6所示,动态变换单元15包括虚拟IP修改模块41和虚拟域名修改模块42,用于动态修改终端信息单元14中存储的终端信息表;虚拟IP修改模块41又包括虚拟IP修改子模块51和虚拟IP重复查询子模块52,根据用户配置信息中设定的虚拟IP动态变换的时间间隔和虚拟IP的范围,虚拟IP修改子模块51不停地遍历终端信息单元14中存储的终端信息表,如果某个终端信息表中vIP对应的vIPtime和当前时间的时间间隔达到或超出虚拟IP动态变换的时间间隔,则虚拟IP修改子模块51从设定的虚拟IP的范围中随机生成一个新的vIP替换该终端信息表中vIPtime所对应的vIP,并同时将所述vIPtime更新为该新vIP的生成时间,虚拟IP重复查询子模块52对终端信息单元14中的虚拟IP进行去重查询,在终端信息单元中查询是否已经包括有新生成的所述vIP,若是则通知虚拟IP修改子模块51再次修改重复出现的vIP,并更新其对应的vIPtime,直至终端信息单元中没有包括新修改的vIP,完成对vIP的动态修改;虚拟域名修改模块42包括虚拟域名修改子模块61和虚拟域名重复查询子模块62,根据用户配置信息中设定的虚拟域名动态变换的时间间隔,虚拟域名修改子模块61遍历终端信息单元14中存储的终端信息表,如果某个终端信息表的vDomaintime和当前时间的时间间隔达到或超过虚拟域名动态变换的时间间隔,虚拟域名修改子模块61随机生成一个新的vDomain替换原来的vDomain,并同时将所述vDomaintime更新为该新vDomain的生成时间,虚拟域名重复查询子模块62对终端信息单元14中的虚拟域名进行去重查询,并通知虚拟域名修改子模块61修改重复出现的vDomain。
这样在布置本发明所述基于动态变换的网络安全防御***的局域网中,无论是内网之间,还是外网和内网之间,进行数据通信时,使用的是虚拟的可动态变换的vIP以及特定的wIP,并不使用网络终端的真实IP,有效地阻止了攻击者对内网的探测和渗透,使得攻击者无法准确获得内网拓扑结构和内网中网络终端的真实信息,进而有效防御了内网攻击行为,实现了内网的安全防护。
本发明进一步的提出基于上述网络安全防御***的动态变换网络安全防御方法,包括以下步骤:
步骤(1)、为内网中的每一个网络终端生成对应的一个终端信息表,所述终端信息表包括分配给网络终端的rIP、与rIP对应的vIP、与rIP对应的wIP、与vIP对应的vDomain、与vIP对应的vIPtime、与vDomain对应的vDomaintime、rMac,其中所述rIP为分配给网络终端的真实IP地址,所述vIP为分配给网络终端的虚拟IP地址,所述wIP为分配给网络终端的外网访问IP地址,所述vDomain为vIP对应的虚拟域名,所述vIPtime为vIP分配的当前时间,所述vDomaintime为vDomain分配的当前时间,所述rMac为网络终端的物理网卡地址;
步骤(2)、按照以下方式对通信数据包进行IP替换操作,使得内网中的网络终端之间采用vIP进行通信,内网中的网络终端和外网之间采用wIP进行通信:
(2-1):对于内网中的两个网络终端进行通信时,首先提取一个网络终端发出的通信数据包中的源IP,然后在终端信息表中查询得到与所述源IP对应的vIP,同时提取所述通信数据包中的目的IP,并在终端信息表中查询得到与所述目的IP对应的rIP;接着根据通信数据包的源IP、目的IP、源端口、目的端口、通信协议以及查询到的与源IP对应的vIP、与目的IP对应的rIP,建立本次通信的会话信息;然后将通信数据包中的源IP替换为本次通信的会话信息中与所述源IP对应的vIP,将通信数据包中的目的IP替换为本次通信的会话信息中与所述目的IP对应的rIP,并根据本次通信的会话信息重新计算通信数据包校验和后将通信数据包发送给另一个网络终端;最后删除本次通信的会话信息;
(2-2):对于内网中的网络终端访问外网时,首先提取内网网络终端发出的通信数据包中的源IP,然后在终端信息表中查询得到与所述源IP对应的wIP;接着根据通信数据包的源IP、目的IP、源端口、目的端口、通信协议以及查询到的与源IP对应的wIP,建立本次通信的会话信息;然后将通信数据包中的源IP替换为本次通信的会话信息中与所述源IP对应的wIP,并根据本次通信的会话信息重新计算通信数据包校验和后将通信数据包发送至外网;最后删除本次通信的会话信息;
(2-2):对于外网访问内网中的网络终端时,首先提取来自外网的通信数据包中的目的IP,然后在终端信息表中查询得到与所述目的IP对应的rIP;接着根据通信数据包的源IP、目的IP、源端口、目的端口、通信协议以及查询到的与目的IP对应的rIP,建立本次通信的会话信息;然后将通信数据包中的目的IP替换为本次通信的会话信息中与所述目的IP对应的rIP,并根据本次通信的会话信息重新计算通信数据包校验和后将通信数据包发送至内网中的网络终端;最后删除本次通信的会话信息。
第二优选实施方式
本发明的第二优选实施方式所述的基于动态变换的网络安全防御***与上述第一优选实施方式的区别仅在于,如图7所示,用户可以通过管理单元11设置终端信息存储单元14中存储的终端信息表中的wIP的静态特性,即可以将内网中接入网络的特定网络终端的wIP设置为静态wIP,优选的可在特定网络终端的终端信息表中设置标志位,通过在标志位中设置对应的标志值来区分特定网络终端的wIP是否是静态wIP。这样内网中接入网络的两个网络终端除了可以用vIP进行通信,也可以用静态配置的wIP进行通信。进行这样的修改,是因为在现有的内网架构中,为了访问方便,网络打印机和某些特定的服务器往往会设置静态的IP地址,在部署了基于动态变换的网络安全防御***后,由于vIP是动态变换的,为了使内网中用户能按原来的方式使用静态的IP地址访问网络打印机和某些特定的服务器,本实施方式增加了上述功能,使得内网中接入网络的两个网络终端不仅可以利用vIP进行通信,也可以利用配置的静态wIP进行通信,因此在第二实施方式中内网和外网之间的通信过程与上述第一实施方式完全相同,在此不做重复描述,仅仅是内网中的两个网络终端之间处理可按照第一实施方式中所述的基于vIP进行通信外,还可利用静态wIP进行通信,下面仅对第二实施方式中内网的数据通信过程进行描述。
对于本实施方式中内网和内网之间的通信,首先在通信开始建立之前,IP地址变换模块34提取数据包中的目的IP,并对其类型进行判定(因vIP、rIP、wIP分别对应于不同的IP段,因此容易实现这种类型判定),如果数据包的目的IP是一个rIP,则将此数据包直接丢弃,因为内网间不允许用rIP进行访问,如果数据包中目的IP是一个wIP,则IP地址变换模块34利用该wIP查询在终端信息单元中查询其是否对应有静态标志位,以判定该wIP是否是静态设置的wIP,如果该wIP不是用户静态设置的wIP,则将该数据包直接丢弃,并结束通信。如果IP地址变换模块34提取的数据包中的目的IP是一个vIP或者是一个处于静态设置的wIP,则执行如下通信变换过程。在通信开始时IP地址变换模块34建立对应的会话信息,数据包包括源IP、目的IP、源端口、目的端口和通信协议,其中的源IP代表网络终端在内网中的真实IP即所述源IP为rIP,所述IP地址变换模块34提取该数据包中的源IP,并在终端信息单元14中利用该源IP进行查询,得到与其对应的vIP,同时所述IP地址变换模块34提取该数据包中的目的IP,并在终端信息单元14中利用该目的IP进行查询,得到与其对应的rIP(若查询不到,则直接将数据包丢弃),然后将所述源IP、目的IP、源端口、目的端口、通信协议以及查询到的与源IP对应的vIP、与目的IP对应的rIP组成本次通信的会话信息,并存储到会话信息存储模块33中,在接下来的通信过程中,依据该会话信息对数据包进行处理。然后IP地址变换模块34进行IP变换操作,先由IP地址变换模块34利用所述数据包中的源IP、目的IP、源端口、目的端口和通信协议在会话信息存储模块33查询与之对应的会话信息,如果查询不到则直接将此数据包丢弃,如果查询到则所述IP地址变换模块34将数据包中的源IP替换为查询到的会话信息中与源IP对应的vIP(因为该源IP如上所述为rIP),将数据包中的目的IP替换为查询到的会话信息中该目的IP对应的rIP(对于目的IP是静态wIP的情况时,由于该静态wIP在目的网络终端的终端信息表中不发生变化,因此不论目的网络终端的vIP如何变化,数据包的目的IP始终为静态wIP,而根据该静态wIP即可容易地找到目的网络终端的rIP,因为wIP与rIP也是一一对应的,从而能够快速的与静态wIP所在的目的网络终端进行通信),然后根据所述会话信息重新计算数据包校验和后把数据包发送给数据单元12的数据包发送模块22,数据包发送模块22在根据数据包中的rIP、目的端口等信息找到对应的内网终端,完成数据通信;在本次通信结束后,IP地址变换模块34再次利用所述数据包中的源IP、目的IP、源端口、目的端口和通信协议在会话信息存储模块33中查询得到本次通信所对应的所述会话信息,并将该会话信息删除。这样本实施方式中对于内网中的类似于打印机、服务器等网络终端通过设置静态的IP地址,使得对其进行访问的数据包
在部署了基于动态变换的网络安全防御***后,内网中用户仍然能够按原来的方式使用静态的IP地址访问网络打印机、服务器等终端,在保证网络安全的同时,提高了对打印机、服务器等特定终端的内网访问效率。
本发明打破传统内网的静态性特征,提出一种基于动态变换的网络安全防御***,通过动态变换内网中网络终端的IP地址信息,使得攻击者无法获得内网的拓扑结构,无法准确获得内网中网络终端的真实信息,从而有效防御了内网攻击行为,提高了内网的安全。
以上仅是对本发明的优选实施方式进行了描述,并不将本发明的技术方案限制于此,本领域技术人员在本发明的主要技术构思的基础上所作的任何公知变形都属于本发明所要保护的技术范畴,本发明具体的保护范围以权利要求书的记载为准。
Claims (10)
1.一种基于动态变换的网络安全防御***,其特征在于,包括通信处理单元(13)、终端信息单元(14)和动态变换单元(15),所述通信处理单元(13)连接所述终端信息单元(14),所述动态变换单元(15)连接所述终端信息单元(14),所述通信处理单元(13)为布置所述网络安全防御***的内网中的每一个网络终端配置一个终端信息表,并存储于所述终端信息单元(14)中,所述终端信息表包括分配给网络终端的rIP、vIP和wIP,其中rIP为分配给网络终端的真实IP地址,vIP为分配给网络终端的虚拟IP地址,wIP为分配给网络终端的外网访问IP地址,所述动态变换单元(15)动态变换所述终端信息单元(14)中存储的vIP,所述通信处理单元(13)基于所述终端信息表处理网络终端的通信数据包,并使内网中的网络终端之间采用vIP进行通信,内网中的网络终端和外网之间采用wIP进行通信。
2.根据权利要求1所述的网络安全防御***,其特征在于,所述终端信息单元(14)存储的rIP、vIP和wIP相互之间具有一一对应关系,每个网络终端的终端信息表中包括有相互对应的一组rIP、vIP和wIP,所述通信数据包包括有源IP、目的IP、源端口、目的端口和通信协议;对于内网中的两个网络终端进行通信时,所述通信处理单元(13)将通信数据包中的源IP替换为发送该通信数据包的网络终端的终端信息表中与所述源IP对应的vIP,将通信数据包中的目的IP替换为接收该通信数据包的网络终端的终端信息表中与所述目的IP对应的rIP;对于内网中的网络终端访问外网时,所述通信处理单元(13)将通信数据包中的源IP替换为发送该通信数据包的网络终端的终端信息表中与所述源IP对应的wIP;对于外网访问内网中的网络终端时,所述通信处理单元(13)将来自外网的通信数据包中的目的IP替换为接收该通信数据包的网络终端的终端信息表中与所述目的IP对应的rIP。
3.根据权利要求2所述的网络安全防御***,其特征在于,所述网络安全防御***还包括有数据单元(12),所述数据单元(12)连接于所述通信处理单元(13),所述通信处理单元(13)包括IP地址分配模块(31)、域名解析模块(32)、会话信息存储模块(33)和IP地址变换模块(34),所述IP地址分配模块(31)连接于所述数据单元(12)和所述终端信息单元(14),所述域名解析模块(32)连接于所述数据单元(12)和所述终端信息单元(14),所述会话信息存储模块(33)连接于所述IP地址变换模块(34),所述IP地址变换模块(34)连接于所述数据单元(12)和所述终端信息单元(14);所述IP地址分配模块(31)为接入内网的每一个网络终端分配一个rIP,并为每一个rIP分配对应的一个vIP和对应的一个wIP,为每一个vIP生成对应的一个vDomain,为每一个vIP生成对应的vIPtime,为每一个vDomain生成对应的vDomaintime,并获得每一个网络终端的rMac,其中所述vDomain为vIP对应的虚拟域名,所述vIPtime为vIP生成的当前时间,所述vDomaintime为vDomain生成的当前时间,所述rMac为网络终端的物理网卡地址,所述IP地址分配模块(31)生成各网络终端的终端信息表并存储于终端信息单元(14)中,每个网络终端的终端信息表包括对应的一组rIP、vIP、wIP、vDomain、vIPtime、vDomaintime和rMac;所述域名解析模块(32)基于终端信息单元(14)中存储的终端信息表解析DNS数据包;所述IP地址变换模块(34)执行通信数据包的IP替换操作;所述数据单元(12)作为通信处理单元(13)的数据包收发单元,并将接收的DHCP数据包发往IP地址分配模块(31),将接收的DNS数据包发往域名解析模块(32),将DHCP数据包和DNS数据包之外的其他数据包发往所述IP地址变换模块(34)。
4.根据权利要求3所述的网络安全防御***,其特征在于,所述IP地址变换模块(34)按照以下方式执行通信数据包的IP替换操作:
(一)、对于内网中的两个网络终端进行通信时,首先所述IP地址变换模块(34)建立本次通信的会话信息,所述会话信息包括通信数据包的源IP、目的IP、源端口、目的端口、通信协议以及与源IP对应的vIP、与目的IP对应的rIP,并将建立的所述会话信息存储于会话信息存储模块(33);接着所述IP地址变换模块(34)基于本次通信的会话信息,将通信数据包中的源IP替换为会话信息中与所述源IP对应的vIP,将通信数据包中的目的IP替换为会话信息中与所述目的IP对应的rIP;然后所述IP地址变换模块(34)根据本次通信的会话信息重新计算数据包校验和后把数据包发送给数据单元(12);最后所述IP地址变换模块(34)删除会话信息存储模块(33)中存储的本次通信的会话信息;
(二)、对于内网中的网络终端访问外网时,首先所述IP地址变换模块(34)建立本次通信的会话信息,所述会话信息包括通信数据包的源IP、目的IP、源端口、目的端口、通信协议以及与源IP对应的wIP,并将建立的所述会话信息存储于会话信息存储模块(33);接着所述IP地址变换模块(34)基于本次通信的会话信息,将通信数据包中的源IP替换为会话信息中与所述源IP对应的wIP;然后所述IP地址变换模块(34)根据本次通信的会话信息重新计算数据包校验和后把数据包发送给数据单元(12);最后所述IP地址变换模块(34)删除会话信息存储模块(33)中存储的本次通信的会话信息;
(三)、对于外网访问内网中的网络终端时,首先所述IP地址变换模块(34)建立本次通信的会话信息,所述会话信息包括通信数据包的源IP、目的IP、源端口、目的端口、通信协议以及与目的IP对应的rIP,并将建立的所述会话信息存储于会话信息存储模块(33);接着所述IP地址变换模块(34)基于本次通信的会话信息,将来自外网的通信数据包中的目的IP替换为会话信息中与所述目的IP对应的rIP;然后所述IP地址变换模块(34)根据本次通信的会话信息重新计算数据包校验和后把数据包发送给数据单元(12);最后所述IP地址变换模块(34)删除会话信息存储模块(33)中存储的本次通信的会话信息。
5.根据权利要求4所述的网络安全防御***,其特征在于,对于内网中的两个网络终端进行通信时,所述IP地址变换模块(34)在建立会话信息之前先对通信数据包的目的IP类型进行判定,如果通信数据包的目的IP是一个rIP或wIP,则将此通信数据包丢弃并直接结束本次通信。
6.根据权利要求4所述的网络安全防御***,其特征在于,还包括有管理单元(11),所述管理单元(11)连接于所述数据单元(12)、通信处理单元(13)和动态变换单元(15),所述管理单元(11)生成用户配置信息并发送至所述数据单元(12)、通信处理单元(13)和动态变换单元(15),所述用户配置信息包括分配给内网中的网络终端的rIP的范围、vIP的范围、wIP的范围、vIP动态变换的时间间隔和vDomain动态变换的时间间隔。
7.根据权利要求6所述的网络安全防御***,其特征在于,所述管理单元还连接于所述终端信息单元(14),通过所述管理单元(11)能够将终端信息单元(14)中存储的特定网络终端对应的终端信息表中的wIP设置为静态wIP,使得对于内网中的网络终端进行通信时,所述IP地址变换模块(34)在建立会话信息之前先对通信数据包的目的IP类型进行判定,如果通信数据包的目的IP是一个rIP,则将此通信数据包丢弃并直接结束本次通信,如果通信数据包的目的IP是一个wIP,则进一步判定所述wIP是否是静态wIP,若不是静态wIP则将此通信数据包丢弃并直接结束本次通信,若通信数据包的目的IP是静态wIP或vIP,则按照上述内网中两个网络终端的通信方式进行通信。
8.根据权利要求3-7所述的网络安全防御***,其特征在于,所述动态变换单元(15)包括虚拟IP修改模块(41)和虚拟域名修改模块(42),所述虚拟IP修改模块(41)遍历所述终端信息单元(14),动态修改终端信息单元(14)中的vIP并保证vIP不重复出现,所述虚拟域名修改模块(42)遍历所述终端信息单元(14),动态修改终端信息单元(14)中的vDomain并保证vDomain不重复出现。
9.根据权利要求8所述的网络安全防御***,其特征在于,所述虚拟IP修改模块(41)包括虚拟IP修改子模块(51)和虚拟IP重复查询子模块(52),所述虚拟IP修改子模块(51)遍历终端信息单元(14)中存储的终端信息表,并判定终端信息表中vIP对应的vIPtime和当前时间的时间间隔是否达到或超出预先配置的虚拟IP动态变换时间间隔,若是则从预先配置的虚拟IP范围中随机生成一个新的vIP替换原有vIP,并将其对应的vIPtime更新为当前时间,所述虚拟IP重复查询子模块(52)对虚拟IP修改子模块(51)的修改进行去重查询,并通知虚拟IP修改子模块(51)修改重复出现的vIP;所述虚拟域名修改模块(42)包括虚拟域名修改子模块(61)和虚拟域名重复查询子模块(62),所述虚拟域名修改子模块(61)遍历终端信息单元(14)中存储的终端信息表,并判定终端信息表中vDomain对应的vDomaintime和当前时间的时间间隔是否达到或超出预先配置的虚拟域名动态变换时间间隔,若是则虚拟域名修改子模块(61)随机生成一个新的vDomain替换原有vDomain,并将其对应的vDomaintime更新为当前时间,所述虚拟域名重复查询子模块(62)对虚拟域名修改子模块(61)的修改进行去重查询,并通知虚拟域名修改子模块(61)修改重复出现的vDomain。
10.一种基于动态变换的网络安全防御方法,其特征在于,包括以下步骤:
步骤(1)、为内网中的每一个网络终端生成对应的一个终端信息表,所述终端信息表包括分配给网络终端的rIP、与rIP对应的vIP、与rIP对应的wIP、与vIP对应的vDomain、与vIP对应的vIPtime、与vDomain对应的vDomaintime、rMac,其中所述rIP为分配给网络终端的真实IP地址,所述vIP为分配给网络终端的虚拟IP地址,所述wIP为分配给网络终端的外网访问IP地址,所述vDomain为vIP对应的虚拟域名,所述vIPtime为vIP分配的当前时间,所述vDomaintime为vDomain分配的当前时间,所述rMac为网络终端的物理网卡地址;
步骤(2)、按照以下方式对通信数据包进行IP替换操作,使得内网中的网络终端之间采用vIP进行通信,内网中的网络终端和外网之间采用wIP进行通信:
(2-1):对于内网中的两个网络终端进行通信时,首先提取一个网络终端发出的通信数据包中的源IP,然后在终端信息表中查询得到与所述源IP对应的vIP,同时提取所述通信数据包中的目的IP,并在终端信息表中查询得到与所述目的IP对应的rIP;接着根据通信数据包的源IP、目的IP、源端口、目的端口、通信协议以及查询到的与源IP对应的vIP、与目的IP对应的rIP,建立本次通信的会话信息;然后将通信数据包中的源IP替换为本次通信的会话信息中与所述源IP对应的vIP,将通信数据包中的目的IP替换为本次通信的会话信息中与所述目的IP对应的rIP,并根据本次通信的会话信息重新计算通信数据包校验和后将通信数据包发送给另一个网络终端;最后删除本次通信的会话信息;
(2-2):对于内网中的网络终端访问外网时,首先提取内网网络终端发出的通信数据包中的源IP,然后在终端信息表中查询得到与所述源IP对应的wIP;接着根据通信数据包的源IP、目的IP、源端口、目的端口、通信协议以及查询到的与源IP对应的wIP,建立本次通信的会话信息;然后将通信数据包中的源IP替换为本次通信的会话信息中与所述源IP对应的wIP,并根据本次通信的会话信息重新计算通信数据包校验和后将通信数据包发送至外网;最后删除本次通信的会话信息;
(2-3):对于外网访问内网中的网络终端时,首先提取来自外网的通信数据包中的目的IP,然后在终端信息表中查询得到与所述目的IP对应的rIP;接着根据通信数据包的源IP、目的IP、源端口、目的端口、通信协议以及查询到的与目的IP对应的rIP,建立本次通信的会话信息;然后将通信数据包中的目的IP替换为本次通信的会话信息中与所述目的IP对应的rIP,并根据本次通信的会话信息重新计算通信数据包校验和后将通信数据包发送至内网中的网络终端;最后删除本次通信的会话信息。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610062939.XA CN105721457B (zh) | 2016-01-30 | 2016-01-30 | 基于动态变换的网络安全防御***和网络安全防御方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610062939.XA CN105721457B (zh) | 2016-01-30 | 2016-01-30 | 基于动态变换的网络安全防御***和网络安全防御方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN105721457A true CN105721457A (zh) | 2016-06-29 |
| CN105721457B CN105721457B (zh) | 2019-04-30 |
Family
ID=56155278
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201610062939.XA Active CN105721457B (zh) | 2016-01-30 | 2016-01-30 | 基于动态变换的网络安全防御***和网络安全防御方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN105721457B (zh) |
Cited By (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106657053A (zh) * | 2016-12-19 | 2017-05-10 | 中国人民解放军国防信息学院 | 一种基于端状态迁移的网络安全防御方法 |
| CN106790764A (zh) * | 2017-01-24 | 2017-05-31 | 广州捷轻信息技术有限公司 | 一种基于外网端口定位内网ip地址的方法及*** |
| CN107070951A (zh) * | 2017-05-25 | 2017-08-18 | 北京北信源软件股份有限公司 | 一种内网安全防护***和方法 |
| CN107071075A (zh) * | 2016-11-16 | 2017-08-18 | 国家数字交换***工程技术研究中心 | 网络地址动态跳变的装置及方法 |
| CN107426021A (zh) * | 2017-07-19 | 2017-12-01 | 北京锐安科技有限公司 | 冗余***的构建方法、装置及冗余*** |
| CN109495440A (zh) * | 2018-09-06 | 2019-03-19 | 国家电网有限公司 | 一种内网动态防御的随机方法 |
| CN109862003A (zh) * | 2019-01-24 | 2019-06-07 | 深信服科技股份有限公司 | 本地威胁情报库的生成方法、装置、***及存储介质 |
| CN110365496A (zh) * | 2019-07-23 | 2019-10-22 | 泰州学院 | 一种基于动态变换的网络安全防御*** |
| CN111031075A (zh) * | 2020-03-03 | 2020-04-17 | 网御安全技术(深圳)有限公司 | 网络服务安全访问方法、终端、***和可读存储介质 |
| CN111131169A (zh) * | 2019-11-30 | 2020-05-08 | 中国人民解放军战略支援部队信息工程大学 | 一种面向交换网络的动态id隐藏方法 |
| CN112311810A (zh) * | 2020-11-13 | 2021-02-02 | 国网冀北电力有限公司张家口供电公司 | 一种动态适应攻击的网络动态防御方法 |
| CN114024933A (zh) * | 2020-07-17 | 2022-02-08 | ***通信有限公司研究院 | 一种地址保护方法、装置、网络设备和计算机存储介质 |
| CN117118746A (zh) * | 2023-10-20 | 2023-11-24 | 明阳时创(北京)科技有限公司 | 一种基于动态dnat的dns攻击防御方法、***、介质及设备 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104506511A (zh) * | 2014-12-15 | 2015-04-08 | 蓝盾信息安全技术股份有限公司 | 一种sdn网络动态目标防御***及方法 |
| WO2015092876A1 (ja) * | 2013-12-18 | 2015-06-25 | 株式会社 日立製作所 | 接続管理システム、接続管理方法、および接続管理装置 |
| CN104883410A (zh) * | 2015-05-21 | 2015-09-02 | 深圳颐和网络科技有限公司 | 一种网络传输方法和网络传输装置 |
| CN105141641A (zh) * | 2015-10-14 | 2015-12-09 | 武汉大学 | 一种基于SDN的Chaos移动目标防御方法及*** |
-
2016
- 2016-01-30 CN CN201610062939.XA patent/CN105721457B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2015092876A1 (ja) * | 2013-12-18 | 2015-06-25 | 株式会社 日立製作所 | 接続管理システム、接続管理方法、および接続管理装置 |
| CN104506511A (zh) * | 2014-12-15 | 2015-04-08 | 蓝盾信息安全技术股份有限公司 | 一种sdn网络动态目标防御***及方法 |
| CN104883410A (zh) * | 2015-05-21 | 2015-09-02 | 深圳颐和网络科技有限公司 | 一种网络传输方法和网络传输装置 |
| CN105141641A (zh) * | 2015-10-14 | 2015-12-09 | 武汉大学 | 一种基于SDN的Chaos移动目标防御方法及*** |
Non-Patent Citations (3)
| Title |
|---|
| 布日古德: "动态网络伪装安全模型研究", 《中国优秀硕士学位论文全文数据库信息科技辑》 * |
| ***: "网络地址转换技术及其应用", 《电脑知识与技术》 * |
| 陈松、战学刚: "基于双向NAT和智能DNS内网服务器安全快速访问策略", 《计算机工程与设计》 * |
Cited By (18)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107071075A (zh) * | 2016-11-16 | 2017-08-18 | 国家数字交换***工程技术研究中心 | 网络地址动态跳变的装置及方法 |
| CN107071075B (zh) * | 2016-11-16 | 2020-07-21 | 国家数字交换***工程技术研究中心 | 网络地址动态跳变的装置及方法 |
| CN106657053B (zh) * | 2016-12-19 | 2019-11-08 | 中国人民解放军国防信息学院 | 一种基于端状态迁移的网络安全防御方法 |
| CN106657053A (zh) * | 2016-12-19 | 2017-05-10 | 中国人民解放军国防信息学院 | 一种基于端状态迁移的网络安全防御方法 |
| CN106790764A (zh) * | 2017-01-24 | 2017-05-31 | 广州捷轻信息技术有限公司 | 一种基于外网端口定位内网ip地址的方法及*** |
| CN107070951A (zh) * | 2017-05-25 | 2017-08-18 | 北京北信源软件股份有限公司 | 一种内网安全防护***和方法 |
| CN107426021A (zh) * | 2017-07-19 | 2017-12-01 | 北京锐安科技有限公司 | 冗余***的构建方法、装置及冗余*** |
| CN109495440A (zh) * | 2018-09-06 | 2019-03-19 | 国家电网有限公司 | 一种内网动态防御的随机方法 |
| CN109862003A (zh) * | 2019-01-24 | 2019-06-07 | 深信服科技股份有限公司 | 本地威胁情报库的生成方法、装置、***及存储介质 |
| CN109862003B (zh) * | 2019-01-24 | 2022-02-22 | 深信服科技股份有限公司 | 本地威胁情报库的生成方法、装置、***及存储介质 |
| CN110365496A (zh) * | 2019-07-23 | 2019-10-22 | 泰州学院 | 一种基于动态变换的网络安全防御*** |
| CN111131169A (zh) * | 2019-11-30 | 2020-05-08 | 中国人民解放军战略支援部队信息工程大学 | 一种面向交换网络的动态id隐藏方法 |
| CN111031075A (zh) * | 2020-03-03 | 2020-04-17 | 网御安全技术(深圳)有限公司 | 网络服务安全访问方法、终端、***和可读存储介质 |
| CN111031075B (zh) * | 2020-03-03 | 2020-06-23 | 网御安全技术(深圳)有限公司 | 网络服务安全访问方法、终端、***和可读存储介质 |
| CN114024933A (zh) * | 2020-07-17 | 2022-02-08 | ***通信有限公司研究院 | 一种地址保护方法、装置、网络设备和计算机存储介质 |
| CN112311810A (zh) * | 2020-11-13 | 2021-02-02 | 国网冀北电力有限公司张家口供电公司 | 一种动态适应攻击的网络动态防御方法 |
| CN117118746A (zh) * | 2023-10-20 | 2023-11-24 | 明阳时创(北京)科技有限公司 | 一种基于动态dnat的dns攻击防御方法、***、介质及设备 |
| CN117118746B (zh) * | 2023-10-20 | 2024-01-09 | 明阳时创(北京)科技有限公司 | 一种基于动态dnat的dns攻击防御方法、***、介质及设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN105721457B (zh) | 2019-04-30 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN105721457A (zh) | 基于动态变换的网络安全防御***和网络安全防御方法 | |
| CN101572701B (zh) | 针对DNS服务器的抗DDoS安全网关*** | |
| US20150288604A1 (en) | Sensor Network Gateway | |
| EP1722535A2 (en) | Method and apparatus for identifying and disabling worms in communication networks | |
| EP3111712A1 (en) | Sensor network gateway | |
| CN105262738A (zh) | 一种路由器及其防arp攻击的方法 | |
| CN103916490B (zh) | 一种域名***dns防篡改方法及装置 | |
| CN104506511A (zh) | 一种sdn网络动态目标防御***及方法 | |
| RU2006143768A (ru) | Ароматическое ограничение сетевого нарушителя | |
| JP6737610B2 (ja) | 通信装置 | |
| CN112688900B (zh) | 一种防御arp欺骗和网络扫描的局域网安全防护***及方法 | |
| US7596808B1 (en) | Zero hop algorithm for network threat identification and mitigation | |
| KR20170017867A (ko) | 라우팅 정보의 유지 | |
| US20220174072A1 (en) | Data Processing Method and Device | |
| Rohatgi et al. | A detailed survey for detection and mitigation techniques against ARP spoofing | |
| CN102984031B (zh) | 一种使编码设备安全接入监控网络的方法和装置 | |
| KR101064382B1 (ko) | 통신 네트워크에서의 arp 공격 차단 시스템 및 방법 | |
| WO2014206152A1 (zh) | 一种网络安全监控方法和*** | |
| CN103327134A (zh) | 一种基于dhcp服务的网络数据重定向方法及装置 | |
| CN114268491A (zh) | 一种基于蜜罐技术的网络安防*** | |
| US20180212982A1 (en) | Network system, network controller, and network control method | |
| WO2015130752A1 (en) | Sensor network gateway | |
| US20120096548A1 (en) | Network attack detection | |
| US20160020971A1 (en) | Node information detection apparatus, node information detection method, and program | |
| CN101197830A (zh) | 上报式防攻击信息通讯网络安全防御方法及防御*** |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| TA01 | Transfer of patent application right | ||
| TA01 | Transfer of patent application right |
Effective date of registration: 20170315 Address after: Chaoyang District City, Jiuxianqiao, 100016 Beijing Road No. 14 Building 5 floor room 98112 Applicant after: Beijing Weida Information Technology Co., Ltd. Address before: 710065 Shaanxi Province, Xi'an Yanta District Jinye road green waters B building room 1902 Applicant before: Geng Tongtong |
|
| GR01 | Patent grant | ||
| GR01 | Patent grant |