本發明提出一種基于動態變換虛假響應系統、方法及網絡安全系統與方法，所述虛假響應系統包括虛假響應信息配置單元和虛假響應單元，虛假響應信息配置單元根據用戶配置信息配置可動態變換的、至少包括虛假IP地址和虛假MAC地址的虛假響應信息，虛假響應單元基于虛假響應信息構造虛假響應數據包對可疑的掃描探測數據包進行虛假響應。本發明通過對攻擊者的掃描探測行為進行虛假響應，且虛假響應可根據配置進行動態變換，從而使攻擊者無法獲得網絡的拓撲結構，無法準確獲得網絡中主機的真實信息，從而有效防御了網絡滲透攻擊行為，維護了網絡的安全穩定。

技術領域

本發明涉及網絡安全領域，尤其涉及一種基于動態變換的虛假響應系統、虛假響應方法以及基于此的網絡安全系統和網絡安全防御方法。

背景技術

隨著計算機網絡和信息技術的迅猛發展，全球信息化進程不斷加速，網絡在當今社會中的作用越來越重要，成為了涵蓋政府、商業、金融、通信等重要領域的國家戰略資源。與此同時，網絡安全威脅也是層出不窮，攻擊者通過技術手段或社會工程學的方法進入網絡系統，進行信息竊取，系統破壞，惡意欺騙等活動，不但影響了普通民眾的工作生活，也成為了威脅經濟、社會乃至國家安全的重大問題。

內網隨著網絡的發展而逐漸在政府、企業、高校等單位中廣泛應用。由于內網的管理和維護較為方便，并且能有效提高企事業單位和員工的工作效率，因此，在上世紀90年代和本世紀初，內網在我國各個行業取得空前發展。內網的安全在實際網絡環境中非常重要，但被大多數網絡安全設備忽視。現有的方法普遍通過采集流量來檢測攻擊行為，但是異常流量往往在攻擊行為之后產生，因而此類方法無法對攻擊行為進行實時防御。另一種方法是在接入網絡的主機上部署網絡安全防御系統，雖然能夠防御部分攻擊行為，但依賴于操作系統且無法做到對用戶透明。掃描探測通常是攻擊者進行內網滲透攻擊的首要步驟，攻擊者可以利用掃描探測工具對本地網絡進行探測，根據響應結果精確快速地確定當前網絡中主機的存活狀態、主機端口開放的狀態、主機操作系統的類型和版本、可能存在的漏洞等信息等，為后續的網絡攻擊和長期控守奠定基礎。因此，阻斷內網滲透攻擊可以將多數入侵行為扼殺在萌芽狀態，從而達到防患于未然的效果，減少惡意攻擊帶來的損失。

申請號為200910085033.X的發明專利公開了一種檢測端口掃描行為的方法和系統，包括：將受保護的各客戶端的IP地址與其開放的端口號的對應關系寫入配置文件中；監測受保護的各客戶端被訪問情況，維護各訪問客戶端對受保護的客戶端的開放端口訪問列表和未開放端口訪問列表；根據各訪問客戶端對受保護的客戶端的開放端口訪問列表和未開放端口訪問列表，分別計算各受保護客戶端的開放端口以及未開放端口被各訪問客戶端平均訪問過的個數；按照預置的掃描判斷準則進行掃描判斷。該方法對快速掃描行為具有較好的檢測效果，但是對慢掃描行為檢測效果較差。

申請號為201510018050.7的發明專利公開了一種基于多源報警日志的網絡攻擊場景生成方法，首先收集多種網絡安全防護設備產生的報警日志，通過預處理提取有效報警日志數據；針對單個設備得到的報警日志，通過單源日志聚合與映射，屏蔽不同設備日志格式差異，分析提取攻擊事件信息；對從不同源提取的攻擊事件，進行融合分析，生成具有較高可信度的網絡攻擊事件；進而通過攻擊事件關聯分析，生成網絡攻擊場景圖，分析出一次攻擊行動的整個攻擊過程。由于融合了多源日志，所以分析出的攻擊事件信息可以更完整地刻畫網絡遭受的攻擊。但是該方法沒有考慮每一個報警源的可信度，此外如果攻擊者僅僅是進行掃描探測而沒有進行下一步的攻擊活動，該方法會失效。

申請號為201220157554.9的發明專利公開了一種基于多可信級別的內網的監控系統，包括高帶寬數據分析機構、層次式內容分析機構、網絡資源訪問機構、多層防信息泄密機構、病毒木馬自動免疫模塊、多重防非法接入模塊；所述高寬帶數據分析機構的數據線連接所述層次式內容分析和所述網絡資源訪問機構，所述多層防信息泄密機構、所述病毒木馬自動免疫模塊與所述多重防非法接入模塊與所述網絡資源訪問機構連接。該系統在一定程度上能提供內網資源的合法性管理與行為審計，防止來源于內部的攻擊和非授權訪問行為，但是由于涉及模塊較多，部署復雜，其實用性和通用性較差。