一種基于Netfilter的地址、端口跳變通信實(shí)現(xiàn)方法，步驟為：1)初始部署；2)配置服務(wù)器跳變參數(shù)，生成跳變密鑰，并保存；服務(wù)器將跳變參數(shù)發(fā)布到認(rèn)證分發(fā)代理；3)客戶端通過認(rèn)證分發(fā)中心的認(rèn)證，獲取服務(wù)器跳變參數(shù)；4)客戶端與服務(wù)器、地址跳變網(wǎng)關(guān)的時鐘同步，計算服務(wù)器當(dāng)前的跳變地址、跳變端口，修改本機(jī)發(fā)出和收到的數(shù)據(jù)報文對應(yīng)的地址及端口，實(shí)現(xiàn)通信；5)地址跳變網(wǎng)關(guān)收到客戶端和服務(wù)器的通信報文，地址跳變引擎根據(jù)地址跳變參數(shù)獲取服務(wù)器跳變地址，修改報文對應(yīng)地址，完成報文的轉(zhuǎn)發(fā)；6)服務(wù)器通過端口跳變引擎實(shí)現(xiàn)跳變端口，修改進(jìn)出服務(wù)器報文對應(yīng)的端口，完成通信。本發(fā)明具有原理簡單、易實(shí)現(xiàn)和推廣、安全性好等優(yōu)點(diǎn)。

技術(shù)領(lǐng)域

本發(fā)明主要涉及到網(wǎng)絡(luò)安全防護(hù)的移動目標(biāo)防御領(lǐng)域，特指一種基于Netfilter實(shí)現(xiàn)地址、端口跳變通信的方法，可以應(yīng)用于移動目標(biāo)防御方法。

背景技術(shù)

網(wǎng)絡(luò)安全防護(hù)是當(dāng)前計算機(jī)技術(shù)研究的一個熱門領(lǐng)域。隨著電子商務(wù)、電子政務(wù)、網(wǎng)絡(luò)新媒體等的快速發(fā)展，互聯(lián)網(wǎng)已經(jīng)融入到政治、經(jīng)濟(jì)、文化、生活等方方面面，互聯(lián)網(wǎng)在帶給人們便利的同時，網(wǎng)絡(luò)攻擊活動所造成的影響和破壞也越來越巨大。因此，加強(qiáng)網(wǎng)絡(luò)安全防護(hù)、提高網(wǎng)絡(luò)信息系統(tǒng)遭受網(wǎng)絡(luò)攻擊時的生存能力是當(dāng)前及以后相當(dāng)長一段時期內(nèi)研究人員的一個重要研究方向。

傳統(tǒng)的安全防護(hù)手段是以防火墻、入侵檢測系統(tǒng)為代表，通過對已有的攻擊方法的分析研究，獲取攻擊過程中的行為特征和流量特征，然后在防火墻上配置相應(yīng)的規(guī)則；或通過入侵檢測系統(tǒng)對流量特征進(jìn)行分析，檢測并控制攻擊活動。上述傳統(tǒng)方法的缺點(diǎn)是：針對已知攻擊方式效果較好，對于未知攻擊方式效果不理想，防護(hù)效果有限。由于傳統(tǒng)方法主要是基于對網(wǎng)絡(luò)流量的分析，檢測算法效率較低，高強(qiáng)度海量的攻擊流量(DoS/DDoS攻擊)會導(dǎo)致算法性能急劇下降，甚至影響正常用戶的訪問。

網(wǎng)絡(luò)攻擊活動在實(shí)施之前，攻擊者往往通過地址、端口掃描，信息探測、搜集等技術(shù)手段獲取目標(biāo)主機(jī)的相關(guān)配置信息，從而對目標(biāo)發(fā)起有針對性的攻擊。移動目標(biāo)防御的思想就是通過某種策略實(shí)現(xiàn)目標(biāo)主機(jī)某些網(wǎng)絡(luò)屬性的動態(tài)變化，改變或者增加攻擊面，增加攻擊成功的難度。IP地址是網(wǎng)絡(luò)節(jié)點(diǎn)標(biāo)識，傳統(tǒng)網(wǎng)絡(luò)中通常基于靜態(tài)地址進(jìn)行網(wǎng)絡(luò)通信和路由，因此攻擊者可以方便地對主機(jī)進(jìn)行掃描、探測進(jìn)而發(fā)起攻擊。傳統(tǒng)網(wǎng)絡(luò)中服務(wù)器通常遵循靜態(tài)周知端口的服務(wù)提供模式，服務(wù)所用端口是公開的，并且是固定不變的，這很容易被攻擊者利用并發(fā)起針對特定服務(wù)的攻擊。地址、端口跳變能夠?qū)崿F(xiàn)地址、端口的動態(tài)變化，使得攻擊者在攻擊偵察階段獲得的信息會很快失效，針對特定服務(wù)端口的指紋探測也難以成功，這樣就大大增加了攻擊成功的難度。

目前，實(shí)現(xiàn)地址、端口跳變的技術(shù)中具有代表性的有：

Henry c.J.Lee提出一種端口跳變技術(shù)，利用跳變函數(shù)實(shí)現(xiàn)跳變，系統(tǒng)時間、共享密鑰是跳變函數(shù)的參數(shù)。但是，它存在的問題是同步技術(shù)采用嚴(yán)格時鐘同步，在擁塞和網(wǎng)絡(luò)延遲下適應(yīng)性差。

DYNAT技術(shù)在網(wǎng)關(guān)添加代理實(shí)現(xiàn)地址的跳變，保護(hù)局域網(wǎng)主機(jī)；但是，它存在的問題是當(dāng)網(wǎng)絡(luò)地址配置動態(tài)性較高的情況下，代理成為了系統(tǒng)的瓶頸。

OF-RHM技術(shù)實(shí)現(xiàn)SDN網(wǎng)絡(luò)的地址變換，但是在傳統(tǒng)網(wǎng)絡(luò)難以部署，改進(jìn)的RHM可以在傳統(tǒng)網(wǎng)絡(luò)部署，實(shí)施難度較大。

石樂義、賈春福等提出了一個基于端口和地址信息的服務(wù)跳變機(jī)制，以及基于時間戳的同步機(jī)制，但是該方案不能防止監(jiān)聽攻擊。為此，改進(jìn)方案引入插件機(jī)制，但是插件機(jī)制中的路由器有成為系統(tǒng)新的性能瓶頸。

綜上可以看出，雖然已有一些地址、端口跳變技術(shù)，但都存在一些問題，導(dǎo)致已有技術(shù)未能大規(guī)模實(shí)施部署。

發(fā)明內(nèi)容

本發(fā)明要解決的技術(shù)問題就在于：針對現(xiàn)有技術(shù)存在的技術(shù)問題，本發(fā)明提供一種原理簡單、易實(shí)現(xiàn)和推廣、安全性好的基于Netfilter的地址、端口跳變通信實(shí)現(xiàn)方法。

為解決上述技術(shù)問題，本發(fā)明采用以下技術(shù)方案：