[发明专利]一种计算机的网络隐身方法及基于该方法的网络隐身系统

权利要求书

1.一种计算机的网络隐身方法，其特征在于，所述网络隐身方法包括对探测数据包采取被动处理策略和主动处理策略，所述被动处理策略包括对出入所述计算机的数据分组判断其合法性，对不合法的数据流量采取不接受、不回应、不交予正常协议栈并写入不良记录的处理方式；所述主动处理策略包括如下三种方式：S1、在判断出探测行为正在进行时，回复虚假的信息迷惑探测者，增大其攻击难度；S2、伪造虚假数据流量与真实主机网络行为，扰乱嗅探行为；S3、把真实主机的IP地址作为跳变元，动态随机跳变达到真实主机的隐身，在S2中，所述真实主机隐于由伪造虚假数据流量伪造的一群计算机中，减小被探测的概率，所述虚假数据流量是指模拟服务器行为，在真实主机所在的网段内充分利用该网段下未使用的IP地址构造数据流量，模仿真实计算机的网络行为，为探测锁定目标增加难度。

2.基于权利要求1所述的计算机的网络隐身方法的计算机的网络隐身系统，其特征在于，包括：

接入行为控制模块，将正常的网络行为与异常的网络行为分别建立起一个状态链，对网络行为是否合法进行提前判断；

动态多址模块，用于计算机物理地址的动态变化和计算机IP地址的动态化；

流量混淆模块，用于计算机的伪造通信地址、伪造主动数据流量和伪造被动数据流量；

协议栈指纹混淆模块，对于主机接收到的数据进行分支利用双协议栈模型处理以及动态修改协议栈指纹特征混淆恶意者的判断。

3.如权利要求2所述的计算机的网络隐身系统，其特征在于，所述网络行为判断包括对服务器和个人计算机两个模块的区分，对于个人计算机，因其不为外界提供服务，故不会接受从外界发来的主动SYN请求，因此凡是接收到SYN的源IP地址都是可疑的，如果本计算机和某个远程主机未曾建立连接，对方却发来RST包或ACK+PUSH+URG包也是扫描行为的先兆；服务器由于需要向外提供服务，因此端口与地址不但不能更改并且还必须告知客户，需要对收到的数据包的状态链进行判断。

4.如权利要求2所述的计算机的网络隐身系统，其特征在于，所述计算机物理地址的动态变化包括：首先利用ARP请求探测出活动的IP地址，筛选出未被使用的IP地址添加到地址池；然后创建一个线程，负责监听ARP并接受所有的请求；通过IP地址管理平台检查该ARP请求的IP地址是不是伪装主机的IP地址，如果是就发送一个ARP应答，否则不回复ARP；最后还需要维护IP地址的 状态，即创建一个线程监听回复ARP的IP地址，若目的IP地址不是本机地址并且源IP地址不是我们虚假的IP地址，那么可以判断出该IP地址已被占用；另外定时更新IP状态，即一段时间没有收到该IP地址的ARP回复则把该IP地址的状态置为“空闲”。

5.如权利要求2所述的计算机的网络隐身系统，其特征在于，所述计算机IP地址的动态化包括：真实主机的IP地址的动态变化和虚拟主机的IP地址的动态变化。

6.如权利要求2所述的计算机的网络隐身系统，其特征在于，所述伪造通信地址包括虚假IP地址、MAC地址和端口号，虚假的IP地址均为本网段无人使用的IP地址。

7.如权利要求2所述的一种计算机的网络隐身系统，其特征在于，所述伪造主动数据流量包括带有TCP协议负载的连接控制的数据包、带载荷的UDP数据包和带有应用层载荷的TCP数据包。

8.如权利要求2所述的计算机的网络隐身系统，其特征在于，所述伪造被动数据流量是用虚拟协议栈响应虚拟主机接收到的探测数据包，包括ARP协议回复、ICMP回复，SYN扫描的回复和ACK扫描的回复。

9.如权利要求2所述的计算机的网络隐身系统，其特征在于，所述协议栈指纹是通过操作系统协议栈特征指纹探测和应用程序特征指纹探测。