[發明專利]一種網絡動態防御系統及方法有效
| 申請號: | 201811237328.X | 申請日: | 2018-10-23 |
| 公開(公告)號: | CN109347830B | 公開(公告)日: | 2021-04-20 |
| 發明(設計)人: | 劉小虎;張玉臣;劉璟;張柏贊;譚晶磊;王碩 | 申請(專利權)人: | 中國人民解放軍戰略支援部隊信息工程大學 |
| 主分類號: | H04L29/06 | 分類號: | H04L29/06 |
| 代理公司: | 鄭州大通專利商標代理有限公司 41111 | 代理人: | 陳勇 |
| 地址: | 450000 河*** | 國省代碼: | 河南;41 |
| 權利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關鍵詞: | 一種 網絡 動態 防御 系統 方法 | ||
1.一種網絡動態防御系統,其特征在于,包括:路由分配子系統、靶標子系統和主動防御子系統;
所述路由分配子系統包括路由器、客戶機和服務器;所述路由器預連接存有會話知識庫和身份知識庫的外存模塊;所述路由器、客戶機和所述服務器基于所述會話知識庫進行網絡節點間認證;所述路由器,用于檢測來自客戶機的用戶的合法性,將通過檢測的合法用戶轉至所述服務器,將未通過檢測的可疑用戶轉至靶標子系統;其中,所述來自客戶機的用戶的用戶數據的數據幀中預先插入有特征標識,所述檢測來自客戶機的用戶的合法性指對插入特征標識后的用戶數據的數據幀進行基于特征幀的合法性檢測;
所述靶標子系統,用于記錄可疑用戶的攻擊行為,對可疑用戶進行基于所述身份知識庫的二次身份甄別,若所述可疑用戶通過二次身份甄別,為所述可疑用戶重新分發身份認證協議,然后將所述可疑用戶重新轉至所述路由分配子系統;若所述可疑用戶未通過二次身份甄別,將所述可疑用戶在蜜罐中的異常行為轉至主動防御子系統;
所述主動防御子系統,用于根據預設的攻擊模式庫對可疑用戶在蜜罐中的異常行為提取攻擊特征,實時更新攻擊模式庫,以及根據安全等級標簽管理策略對網絡動態防御系統的內部文件進行備份和/或恢復。
2.根據權利要求1所述的網絡動態防御系統,其特征在于,所述路由器上存儲有一五維數組,所述五維數組的前兩維數組用于表示網域空間大小,所述五維數組的后三維數組分別用于表示網域空間內每個網絡節點的身份標識、IP合法跳變范圍和每跳IP的有效生存期。
3.根據權利要求1或2所述的網絡動態防御系統,其特征在于,所述會話知識庫和身份知識庫通過基于挑戰應答的隨機數變化策略及多種網絡標識規定,并采用國產密碼算法SM3進行加密。
4.根據權利要求1所述的網絡動態防御系統,其特征在于,所述攻擊模式庫包括行為知識庫和統一特征庫;所述行為知識庫,用于存儲已知的攻擊行為,所述統一特征庫,用于存儲嚴重違反安全策略的攻擊特征。
5.一種網絡動態防御方法,其特征在于,包括:
步驟1、路由器分配子系統在用戶數據的數據幀中插入特征標識,并對插入特征標識后的用戶數據進行基于特征幀的合法性檢測;
步驟2、當路由器分配子系統檢測到不符合會話知識庫變化規則的可疑用戶數據時,路由分配子系統將與所述可疑用戶數據對應的可疑用戶引入靶標子系統的蜜罐中,靶標子系統對所述可疑用戶進行基于身份知識庫的二次身份甄別;
步驟3、若所述可疑用戶通過二次身份甄別,靶標子系統為所述可疑用戶重新分發身份認證協議,并將所述可疑用戶轉至路由器分配子系統;
步驟4、路由器分配子系統對靶標子系統轉發的所述可疑用戶進行基于圖形填充行為的圖靈測試,并在通過所述圖靈測試的所述可疑用戶的瀏覽器Cookie中加入身份認證證書;
步驟5、若所述可疑用戶未通過二次身份甄別,靶標子系統將所述可疑用戶在蜜罐中的異常行為發送至主動防御子系統,主動防御子系統基于攻擊模式庫對所述異常行為進行分析,提取攻擊特征。
6.根據權利要求5所述的方法,其特征在于,所述步驟2中的所述靶標子系統對所述可疑用戶進行基于身份知識庫的二次身份甄別具體為:
若所述可疑用戶在蜜罐中能夠發現用于授權的隱蔽端口,且連續三次無誤地完成基于身份知識庫的特征詢問,則所述可疑用戶通過二次身份甄別。
7.根據權利要求5所述的方法,其特征在于,所述步驟5中的所述主動防御子系統對所述異常行為進行分析具體為:
當檢測到所述異常行為滿足至少一個一級攻擊條件時,將所述異常行為與預設安全模式對比,進行模式匹配,所述一級攻擊條件是根據攻擊模式庫中的已知攻擊行為生成的,所述預設安全模式為由已知的安全行為編碼而成的、與安全審計記錄相符合的安全模式;
若未匹配成功,則所述異常行為為二級攻擊,并將所述異常行為與已知的入侵行為特征相結合,形成二級攻擊庫;
將所述異常行為與攻擊模式庫中存儲的嚴重違反安全策略的攻擊特征進行匹配,若匹配成功,則將所述異常行為升級為三級攻擊。
8.根據權利要求5所述的方法,其特征在于,還包括:
主動防御子系統根據網絡動態防御系統的內部文件的文件等級、創建時間和使用頻率,將不同的內部文件加上不同的安全等級標簽得到安全等級標簽管理策略,根據所述安全等級標簽管理策略對內部文件進行冗余備份;
主動防御子系統若檢測到違規管理行為毀壞重要數據,制止與所述違規管理行為對應的管理用戶的相關操作,并根據所述重要數據的損壞程度,對路由分配子系統中相應的服務器進行數據恢復。
該專利技術資料僅供研究查看技術是否侵權等信息,商用須獲得專利權人授權。該專利全部權利屬于中國人民解放軍戰略支援部隊信息工程大學,未經中國人民解放軍戰略支援部隊信息工程大學許可,擅自商用是侵權行為。如果您想購買此專利、獲得商業授權和技術合作,請聯系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/201811237328.X/1.html,轉載請聲明來源鉆瓜專利網。
