本發明提出一種基于實時響應的數據系統配置保障裝置和方法，所述數據系統配置保障裝置包括交互模塊、用戶設備和實時響應單元，交互模塊為內網中的每一個用戶終端配置一個用戶狀態記錄表，所述用戶狀態記錄表包括分配給用戶終端的真實網絡地址、虛擬網絡地址和外網訪問網絡地址，實時響應單元實時響應虛擬網絡地址，交互模塊使內網中的用戶終端之間采用v?IP進行通信，內網中的用戶終端和外網之間采用w?IP進行通信。本發明打破傳統內網的靜態性特征，通過實時響應內網中用戶終端的網絡地址信息，使得攻擊者無法獲得內網的拓撲結構，無法準確獲得內網中用戶終端的真實信息，從而有效防御了內網攻擊行為，提高了內網的安全。

技術領域

本發明涉及數據系統配置領域，尤其涉及一種基于實時響應的數據系統配置保障裝置和數據系統配置防御方法。

背景技術

內網安全在實際網絡環境中非常重要，但被大多數數據系統配置設備忽視。現有的方法普遍通過采集流量來檢測攻擊行為，但是異常流量往往在攻擊行為之后產生，因而此類方法無法對攻擊行為進行實時防御。另一種方法是在接入網絡的主機上部署數據系統配置保障裝置，雖然能夠防御部分攻擊行為，但無法防御未知的內網攻擊行為。靜態的互聯網協議地址分配使得攻擊者可以通過掃描本地或遠程的網絡精確快速地確定攻擊目標。在目標網絡中確定活動主機的網絡地址是大部分攻擊的首要步驟，掃描工具和蠕蟲通常對網絡中一定范圍內的網絡地址發送探針來發現目標，一旦目標響應，即可確定目標并進行攻擊。

大部分網絡即使部署了防火墻也存在很多公共的和私有的主機可以被外部訪問，而且所有的網絡對于內部的掃描者缺乏有效的防御手段，一旦攻擊者潛入內網，即可探測網絡的拓撲結構并進行相應的攻擊。使用動態主機配置協議（Dynamic HostConfiguration Protocol，簡稱DHCP）或網絡地址轉換（Network Address Translation，簡稱NAT）可以動態分配網絡地址，但是仍然不能主動地進行防御，因為網絡地址的變換并不頻繁且容易被追蹤。

申請號為 200510036269.6 的發明專利公開了一種網絡病毒防護領域的主動探測病毒防護系統及其防護方法，該系統包括嵌入于三層交換機中的探針模塊、存儲器、安全策略模塊以及安裝于信息監控服務器中的外部訪問管理系統，該發明解決了現有局域網病毒防護系統無法防范局域網子網間病毒攻擊的缺點，但是該專利提供的方法不能檢測交換機下物理端口之間流量中存在的攻擊，內網攻擊檢測仍有空白；

申請號為 200410017802.X 的發明專利公開了一種數據系統配置防護的分布式入侵檢測與內網監控系統及方法，該系統為三層分布式結構，包括網絡和主機檢測器、中央控制器、管理監控中心、后臺數據庫，檢測器根據安全規則按網絡地址和MAC地址進行入侵檢測和內網監控；發現入侵或違規及時阻斷，報警并記入后臺數據庫；根據記錄的信息進行審計，對被破壞的數據進行還原，其問題在于不能檢測單臺交換機設備之下各端口之間流量中的異常，不能深入到網絡底層檢測攻擊；

申請號為 02115957.2 的發明專利公開了一種分布式數據系統配置保護系統，配置匯總決策模塊和策略發布模塊，網絡按照樹型結構分為N個子網，各子網管理臺上均配置匯總決策模塊和策略發布模塊，子網中每個節點都安裝微入侵檢測模塊和微防火墻模塊，策略發布模塊采用移動代理技術；本系統的分布式微入侵檢測模塊以單個節點機為保護對象，從而實現雙重細粒度的安全保護，問題在于需要在每臺被監測主機上安裝入侵檢測和防火墻系統，部署成本大大增加，特別是網絡規模較大的情況下，部署難度很大；

申請號為200810122357.1的發明專利公開了一種用于內網攻擊檢測的報警和響應系統，其檢測機的異常檢測算法模塊對內網進行異常信息檢測，獲取異常檢測信息并確定該信息的可信度，當該異常檢測信息的可信度到達預設值時發出報警信息，其問題在于組成模塊多，結構復雜，且被動地對流量進行分析，不能從根本上阻止內網攻擊。

總的來說，現有內網防御技術包括殺毒軟件技術、入侵檢測技術、數據加密技術等，在一定程度上保護了內網的安全。但是，由于現有網絡的拓撲信息的靜態性，攻擊者往往有充足的時間分析內網架構和網絡地址信息，從而逐步滲透內網，達到攻擊目標。