本發明提出一種基于動態偽裝的網絡安全漏洞防御系統。其基本技術思想是：基于移動目標防御的理念，構建網絡動態環境，利用網絡欺騙技術在被保護的主機周圍構建大量的動態虛假主機并構建動態虛假漏洞庫對攻擊者進行誘捕；此外，針對真實存在的主機，可為其隨機動態生成若干虛假漏洞庫。不管黑客用已知或未知的漏洞掃描工具對目標主機進行漏洞掃描，都會難以避免地觸碰到虛假主機或真實主機上的虛假漏洞，對虛假漏洞進行探測和利用會觸發防御系統的告警，防御系統可以自動、實時地對攻擊者進行定位，斬斷網絡攻擊鏈的第一環，從而做到事前防御并有效降低未知漏洞的威脅。

技術領域

本發明涉及網絡安全領域，尤其涉及一種基于動態偽裝的網絡安全漏洞防御系統。

背景技術

隨著網絡技術的快速發展，互聯網已經成為人類生產和生活中不可或缺的一部分，信息化的浪潮影響著現代文明社會的每一個角落。根據中國互聯網絡信息中心發布的統計報告，截至2018年6月30日，我國網民規模達8.02億，普及率為57.7％；手機網民規模達7.88億，我國網絡支付用戶規模達到5.69億。在信息化不斷推進的同時，由于互聯網的開放性，各種網絡安全問題也不斷產生，攻擊者利用掃描、監聽、探測、欺騙等技術手段，可以輕易對目標網絡進行入侵和攻擊，如拒絕服務攻擊、非授權訪問、機密信息竊取、后門程序安裝、蠕蟲病毒傳播等。多樣化的網絡服務和豐富的應用背景使攻擊手段日益復雜，給網絡安全造成了巨大威脅。

網絡安全漏洞(簡稱漏洞)是計算機信息系統在需求、設計、實現、配置、運行等過程中，有意或無意產生的缺陷。這些缺陷以不同的形式存在于計算機信息系統的各個層次和環節之中，一旦被惡意主體所利用，就會對計算機信息系統的安全造成損害，從而影響計算機信息系統的正常運行。利用程序中的某些漏洞，來獲取計算機的控制權(使自己編寫的代碼越過具有漏洞的程序的限制，從而獲得運行權限)，是大多數網絡攻擊中必不可少的一個環節。

現有防御體系在網絡橫向邊界普遍缺乏管控技術，一旦某臺終端計算機被攻擊或感染病毒后，很可能在網絡內大量擴散。雖然在交換機上關閉了已知的風險端口，但由于操作系統和軟件的漏洞會不斷出現，現今認為安全的端口，很可能在未來成為被攻擊的對象，這種情況在計算機技術發展的歷史中多次發生。因此我們不能排除新型惡意病毒利用漏洞進行傳播。一旦某種新型惡意病毒在網絡中擴散，產生的危害難以預計。

另外，現有網絡安全體系是常見的靜態架構，網絡結構靜態化，設備IP地址固定，容易分析出網絡拓撲。一旦某臺計算機通過U盤擺渡等方式，被植入惡意軟件，成為“肉機”，即使該計算機上沒有重要信息，但通過這臺計算機惡意程序可以進行嗅探、漏洞掃描等手段，分析網絡拓撲和架構，發現其它主機或服務器的漏洞，從而達到控制整個網絡的目的。

最后，無法抵御未知的網絡攻擊。當前網絡縱向邊界雖然較為可靠，但計算機技術發展迅猛，現有縱向邊界對未知網絡攻擊的抵御能力較弱。操作系統和軟件的漏洞會不斷出現，針對未知漏洞的攻擊在現有體系下難以應對，即使網絡防御者可以再通過關端口、打補丁的方式進行應對，但漏洞修復存在滯后性，只能進行亡羊補牢，并且這種方式工作量大，往往收效甚微。

總的來說，現有防御體系主要集中于加強網絡靜態防御的能力，在一定程度上保護了網絡的安全。由于種種原因，網絡安全漏洞的存在不可避免，一旦某些較嚴重的漏洞被攻擊者發現，就有可能被其利用，在未授權的情況下訪問或破壞計算機系統。現有的防御技術在面對層出不窮的漏洞時顯得力不從心，攻擊者往往有充足的時間分析網絡架構、主機系統、防御技術并找出其中的漏洞，從而逐步滲透網絡，達到攻擊目的。

發明內容