CN109495440A - 一种内网动态防御的随机方法 - Google Patents

Abstract

本发明提供了一种内网动态防御的随机方法，涉及网络安全的技术领域，其中，通过网络的主动跳变、快速迁移形成动态环境，构建一个动态的、不断变化的“网络迷宫”，使攻击者无法找到攻击目标，从而破坏网络攻击能够实施的基础条件；分析和识别网络攻击行为，主动改变网络防御策略，增加攻击者的攻击难度，从而实现了全面有效地抵御、识别和定位包括APT攻击在内的网络攻击行为。

Description

一种内网动态防御的随机方法

技术领域

本发明涉及网络安全领域，具体而言，涉及一种内网动态防御的随机方法。

背景技术

随着网络安全曝光事件在不断增加，高水准的攻击手法、***化的攻击平台、商用木马、网络***、0day漏洞不断涌现，对国家、企业和个人的网络空间安全都造成了严重 的威胁，如何保障网络互联安全，实现有效防御，已成为目前急需解决的问题，

目前，网络安全防御是在现有网络体系架构的基础上建立包括防火墙和安全网关、入侵检 测、病毒查杀、访问控制、数据加密等多层次的防御体系来提升网络及应用的安全性，

但是上述防御技术都是基于静态网络配置下的，即网络中的节点地址、网络结构、网络协议 等均固定不变，这些配置信息一旦被入侵者搜集得到，就可以根据网络特点有针对性地入 侵，达到事半功倍的效果。从理论上说，攻击者有无限的时间研究这些结构设施及其潜在的 弱点，以达成目的。

发明内容

有鉴于此，本发明实施例的目的在于提供一种内网动态防御的 随机方法，实现对内网的有效防御。

第一方面，本发明实施例提供了一种内网动态防御的随机方法， 所述方法包括：

如图3所示。

通过网络空间地址随机化，及大量全息伪装节点来减少***的 攻击面。在本文中，每个主机拥有两个IP地址：外网IP(wIP)和 虚拟IP(vIP)。主机使用vIP与内网的其他主机通信，而使用wIP 和外网主机进行通信，同时wIP保持不变，而vIP则间隔特定时间， 从该主机被分配的地址空间中随机变化。同时，在网络中虚拟大量 全息伪装且随机变化的高仿真节点，对攻击进行诱捕。必须保证即 使可用的地址空间很小时，依然能够保证主机的IP地址的跳变频 率，并且在一个合理时间内，IP地址没有被重用(一个IP没有被分 配给任何主机两次)。

假设网络中有k台真实主机节点H＝{h₁…,h_k}，同时虚拟出n 个全息伪装的节点F＝{f₁…,f_m}，每个节点被分配的地址空间为S＝ {s₁…,s_n}，其中k+m≤n。每台节点所需的IP最小跳变频率为R_i， 在一定的时间间隔T内，一个vIP不会被分配给任何主机两次。设函 数A映射所有主机h_i到地址A(h_i)＝s，其中i≤k，s∈S.在一个变化周 期内，设攻击者生成一个j个元素的攻击列表攻击者则 第一次就能命中某个真实主机节点的概率为k/(k+m)，如果第一次 命中伪装节点，则立刻被发现和封堵。攻击者则第一次和第二次都 能命中真实主机节点，且不被发现的概率为攻击者 则从第一次直至第j次(其中j≤k)都能命中真实主机节点，且不被 发现的概率为

否则，如果其中某次命中伪装节点，则立刻被发现和封堵，所 以第j次攻击被发现的概率为

当k＜＜m时，攻击行为将以极大的概率被发现。通过公式可证 明，当攻击者的攻击范围越大，攻击者被发现和封堵的概率越大。

第二方面，本发明实施例提供了一种内网动态防御的随机方法， 所述方法包括：

内网动态防御***是基于软件定义网络的基本架构进行设计， ***主要分为控制层和数据层。***在控制层添加相应IP替换和转 发操作的流表，数据层则根据控制层生成的流表项对数据包进行操 作。为了保证***动态虚拟变换的特性，上述所有主机属性均需进行动态变换，以增加网络的探测难度，使得接入主机看到动态的虚 拟拓扑，且使管理员对网络中渗透情况进行审计。通过软件定义网 络的应用，保证虚拟IP动态变化的同时，保证用户的正常通信不受 影响，实现***的无感接入。

结合第二方面，本发明实施例提供了上述第二方面可能的实现 方式，通过网络的主动跳变、快速迁移形成动态环境，构建一个动 态的、不断变化的“网络迷宫”，使攻击者无法找到攻击目标，从而 破坏网络攻击能够实施的基础条件。通过终端身份动态随机跳变和 全息伪装混淆攻击者认知，打破攻击者知识和能力积累，由传统的 目标可期提升为三维空间防御。通过服务器全息复制、服务器端口 虚开等技术进一步的迷惑及诱捕攻击者，提升服务器内部网络安全。

结合第二方面，本发明实施例提供了上述第二方面可能的实现 方式，改变现有的网络交换模式，由现有的横向无边界交换模式(内 网终端之间可通过交换机端口转发表无阻碍随意通讯)提升为微隔 离交换模式(内网每台终端之间都被逻辑隔离，内网终端之间的非

结合第二方面，本发明实施例提供了上述第二方面可能的实现 方式，通过监控网络流量数据，对正常用户的行为进行深度学习， 可以智能或手动设置白名单。通过对网络行为日志的五元组信息、 流量信息、协议信息、行为习惯等信息进行关联分析，发现传统规 则检测手段无法发现的未知威胁，实现攻击早期的快速发现。提供 基于机器学习算法对用户行为习惯进行建模，通过历史行为模型， 实时地检测异常用户行为并产生预警，并且根据学习可以感知到网 络危险状态，主动改变网络防御策略，极大增加攻击者的攻击难度， 达到全面有效地抵御、识别和定位包括APT攻击在内的网络攻击行 为。

附图说明

图1***总体框架的示意图，

图2本发明实施例二的实施方式，

图3框架的局部示意图。

Claims (8)

1.一种内网动态防御的随机方法，其特征在于，所述方法包括：

通过不断随机跳变通信过程中的网络拓扑和节点网络属性，使得内网中已被渗透的节点难以获得其他用户的真实信息，从而无法寻找攻击目标，

虚拟出大量的随机的全息仿真节点，这些节点正常的用户不会访问，一旦攻击者在内网中尝试在内网中扫描和渗透，会以极大的概率命中虚假节点，这些虚假节点变成了风险感知的探针，可以定位攻击来源，防御***可以对攻击进行封堵和隔离，从而瓦解威胁，

通信过程中IP地址的变化对主机而言是透明无感的，即不影响主机的正常通信。

2.根据权利要求1所述的方法，其特征在于，不断随机跳变通信真节点，包括：

如图1所示，

不断随机跳变通信过程中的网络拓扑及节点网络属性，每个主机拥有两个IP地址：外网IP(wIP)和虚拟IP(vIP)，

主机使用vIP与内网的其他主机通信，而使用wIP和外网主机进行通信，同时wIP保持不变，而vIP则间隔特定时间，从该主机被分配的地址空间中随机变化，

虚拟大量随机的全息仿真节点，对攻击进行诱捕，

须保证即使可用的地址空间很小时，依然能够保证主机的IP地址的跳变频率，并且在一个合理时间内，IP地址没有被重用(一个IP没有被分配给任何主机两次)。

3.根据权利要求2所述的方法，其特征在于，所述动态防御技术是基于软件定义网络的基本架构进行设计，***主要分为控制层和数据层，

包括：

所有主机属性需进行动态变换，以增加网络的探测难度，使得接入主机看到动态的虚拟拓扑，且使管理员对网络中渗透情况进行审计，

通过软件定义网络的应用，保证虚拟IP动态变化的同时，保证用户的正常通信不受影响，实现***的无感接入。

4.根据权利要求3所述方法，其特征在于，所述控制层添加相应IP替换和转发操作的流表。

5.根据权利要求4所述方法，其特征在于，所述控制层会成为数据层生成的流表项的根据，而后数据层对数据包进行操作。

6.根据权利要求2所述方法，其特征在于，所述IP地址在一个合理时间内未被重用，通过将现有的横向无边界交换模式(内网终端之间可通过交换机端口转发表无阻碍随意通讯)提升为微隔离交换模式，即内网每台终端之间都被逻辑隔离，内网终端之间的非法通讯将被完全阻断，实现二层隔离的同时快速定位、封堵攻击，实现真正的PC到PC、Server到Server安全，

***在控制层添加相应IP替换和转发操作的流表，数据层则根据控制层生成的流表项对数据包进行操作，

为了保证***动态虚拟变换的特性，上述所有主机属性均需进行动态变换，以增加网络的探测难度，使得接入主机看到动态的虚拟拓扑，且使管理员对网络中渗透情况进行审计，

通过软件定义网络的应用，保证虚拟IP动态变化的同时，保证用户的正常通信不受影响，实现***的无感接入。

7.根据权利要求2所述方法，其特征在于，通过网络的主动跳变、快速迁移形成动态环境，构建一个动态的、不断变化的“网络迷宫”，使攻击者无法找到攻击目标，从而破坏网络攻击能够实施的基础条件，

通过终端身份动态随机跳变和全息伪装混淆攻击者认知，打破攻击者知识和能力积累，由传统的目标可期提升为三维空间防御，

通过服务器全息复制、服务器端口虚开等技术进一步的迷惑及诱捕攻击者，提升服务器内部网络安全。

8.一种内网动态防御的随机方法，其特征在于，所述方法包括：

如图2所示，

通过监控网络流量数据，对正常用户的行为进行深度学习，可以智能或手动设置白名单，

通过对网络行为日志的五元组信息、流量信息、协议信息、行为习惯等信息进行关联分析，发现传统规则检测手段无法发现的未知威胁，实现攻击早期的快速发现，

利用机器学习算法对用户行为习惯进行建模，通过历史行为模型，实时地检测异常用户行为并产生预警，并且根据学习可以感知到网络危险状态，主动改变网络防御策略，增加攻击者的攻击难度。