[发明专利]一种网络诱骗与反攻击的主动防御方法

权利要求书

1.一种网络诱骗与反攻击的主动防御方法，其特征在于，包括以下步骤：

（1）发送方根据地址端口跳变服务器随机地选择一台主机作为当前通信主机，然后选择一条或多条传输链路发送诱骗报文，以检测传输链路的安全性和信道质量，检测结果包括节点安全状态、链路传输延迟和丢包率；

（2）中间节点收到转发的数据报后，首先进行节点校验，通过检测报文的状态来判断是否有攻击发生和攻击类型，并根据具体的攻击行为向网络管理员发出相应的告警；

（3）网络管理员监听整个网络的安全状态，接收通信链路中节点发来的告警，若发现某个节点遭到了攻击，则标记该节点为不安全节点并启动该节点上的入侵检测系统，对包括流量和网络连接服务的状况进行分析，定位攻击源并作出相应的反向攻击；

（4）发送方在发送诱骗报文的同时监听网络管理员发来的决策，若收到网络管理员发来的安全告警，则重新选择一条新的路径并继续发送诱骗报文探测链路的安全性和信道质量；若管理员未发出告警，则开始发送带反向攻击性的真实数据；

（5）接收方根据地址端口跳变服务器随机地选择一台主机作为当前通信主机，收到数据报后，根据报文的类型来决定接收或丢弃报文，并动态监听网络管理员的决策，若接收方收到网络管理员的告警，说明之前接收到的数据可能遭到了破坏，则丢弃这段时间的数据并等待重传；若通信结束后还未收到网络管理员的告警，则存储数据并解密恢复出真实有用的数据。

2.根据权利要求1所述的网络诱骗与反攻击的主动防御步骤，其特征在于，步骤（1）包括下述步骤：

（1.1）采用流密码加密系统产生的序列作为报文的数据部分；

（1.2）在网络各个节点都安装流密码加密系统，同步产生随机序列；

（1.3）对原始的IP数据报格式重新设计，新增IP选路、时间-ID、类型标识和摘要信息4个字段，并将这4个字段隐藏在IP报文的数据部中；

（1.4）发送方通过地址端口跳变服务器动态选择一台主机发送诱骗报文检测传输链路的安全性和信道质量。

3.根据权利要求1所述的网络诱骗与反攻击的主动防御方法，其特征在于，步骤（2）包括下述步骤：

（2.1）判断报文的摘要信息是否正确，如果不正确，则表示报文已经遭到了篡改攻击，标记该节点并向网络管理员告警；否则执行步骤（2.2）；

（2.2）判断报文路径是否合法，如果途经节点的IP地址不存在于IP选路中，则表示网络已经遭到了截获攻击，标记该节点并告警网络管理员；否则执行步骤（2.3）；

（2.3）判断报文时间是否有效，若报文的发送时间、本地当前时间、延迟时间三者的差值（即本地当前时间-发送时间-延迟时间）不在门限阀值以内，则表明遭到了重放攻击，标记该节点并预警网络管理员；否则在缓存表中查找是存在此报文的ID项，若包含则说明此报文是一个快重放报文，丢弃该报文后告警网络管理员，若不存在，则将该报文的IP源、目的地址、IP发送时间和唯一标识ID存放于缓存表中，然后执行步骤（2.4）；

（2.4）判断报文的类型：若报文类型是真实报文，则更新报文的发送时间，然后将报文向下个节点转发；若该报文是诱骗报文，则比较本节点产生的动态随机序列和收到的报文数据部分随机序列的值，如果值不相同，表明该数据已被篡改，则标记此节点并告警网络管理员，同时用节点产生的随机序列来填充数据报文的数据部分，然后更新报文的发送时间并向下个节点转发该数据；如果值相同，则更新报文的发送时间并向下个节点转发。

4.根据权利要求1所述的网络诱骗与反攻击的主动防御方法，其特征在于，步骤（3）包括下述步骤：

（3.1）根据步骤（2）的检测结果，分析节点发来的告警信息，将告警节点标记为不安全节点并启动节点上的入侵检测系统，分析该节点的流量和网络连接服务，定位攻击源并对攻击源发起包括阻塞、扫描、拒绝服务的攻击；

（3.2）通知发送方另选一条传输路径并重传之前的数据，通知接收方删除之前收到的数据并等待重传。