[发明专利]基于拓扑与操作系统的网络伪装系统

权利要求书

1.对操作系统的探测分为主动和被动两种方式，因此，对操作系统进行伪装时，也是通过主动和被动两种方式进行。操作系统主动伪装是网络主动伪装的组成部分。主动伪装函数f以伪装操作系统指纹为模板，对输出数据报的网络特征值进行伪装。操作系统伪装过程中需要记录、更新相应的伪装参数，这些参数一般与具体的伪装内容(指纹)相关。操作系统被动伪装是网络被动伪装的组成部分。检测函数g对输入的数据报进行检测，被动伪装函数f以伪装操作系统指纹为模板对主动探测数据报进行被动伪装。如何通过函数f进行被动伪装，即基于伪装模板构造响应数据报，需要根据探测方式的特征先确定探测数据报及其内容，然后根据具体的探测数据报造相应的响应数据报。协同检测防御模型中嵌入式入侵检测系统E-IDS的功能之一是检测探测扫描数据报。

2.对于伪装网络服务，由Telnet的登录过程可知，不同的登录方式只是体现了登录过程的差异性。如果把类似的服务状态及事件驱动的状态变迁进行归类，则可以大大简化基于事件驱动状态变迁来描述的伪装网络服务。借鉴有色Petri网，把类似服务状态抽象为一个(类)服务状态，其中的不同元素(服务状态)通过为其添加不同的颜色进行区分；同样把类似的事件驱动的服务状态变迁抽象为一个(类)服务状态变迁，其中的变迁通过为其添加不同的颜色进行区分，便形成了基于有色事件驱动状态变迁的网络服务模拟模型。对于网络服务，抽象后的某一服务状态中所包含的具体元素可能会由于新的漏洞的出现而变化，但对于整体网络服务，由于所运行程序的有限性、确定性和可执行性，由抽象后的服务状态构成的服务状态集合则是一个有限集。由此定义并实现了攻击行为的变迁路径及基于邻接矩阵的伪装网络服务的量化控制模型。

3.使用一种虚拟接口技术，使模拟的IP地址和真正的主机IP地址具有同样的行为特性，使anti-sniffle认为模拟的IP地址是真正的主机IP地址。网络拓扑结构伪装分为主动伪装和被动伪装，主动伪装指对流出的数据包进行伪装，使攻击者通过嗅探到的不是真正的网络拓扑结构；被动伪装指对攻击者的主动网络拓扑结构探测进行响应，从而给攻击者一个伪装的网络拓扑结构。网络拓扑结构伪装是基于基于网络拓扑结构伪装模板进行。

4.同一个广播域内的主机通过协同工作，竞争地址池中的IP地址，通过控制竞争状态的变化及周期性探测，实现无控制中心基于网络会话的IP动态伪装模型；通过改进DHCP的工作过程，建立一个基于DHCP控制中心的IP动态伪装模型。当网络会话结束时，释放IP地址到地址池。因此通过基于网络会话的IP动态伪装，可以很好的防止基于IP地址统计的网络嗅探攻击。