[发明专利]一种网络诱骗与反攻击的主动防御方法

说明书

技术领域

本发明涉及通信网络安全防御领域，具体涉及一种网络诱骗与反攻击的主动防御方法。

背景技术

近几年，随着通信网络技术的发展，各种类型的网络应用应运而生，政府和个人对网络的依赖程度越来越大。同时，针对网络的攻击事件源源不断。尽管人们采用了各种方法和工具来加强网络通信的安全，但攻击成功的事件数量还是在不断上升。从最初的端口扫描攻击、缓冲区溢出攻击，到现在的分布式拒绝服务攻击（Distributed Denial of Service）、网络监听和中间人攻击，新的攻击手段和方法层出不穷，千变万化。

传统的网络安全防护体系，如防火墙和入侵检测系统，主要是采用静态策略，对网络攻击采取被动防卫的手段。但是面对不断出现的新攻击方法，传统的被动防御的手段越来越显得力不从心；同时，随着网络环境复杂性的不断增加使得网络管理员的工作越来越繁重，一时的疏忽便可能留下严重的安全隐患。针对传统的网络安全防护体系存在的安全问题，主动防御系统已开始逐渐替代传统的被动防御系统。通过加强系统安全的动态性和管理的持续性，以入侵检测、漏洞评估和自适应调整为循环来提高网络安全。

现有的主动防御方法，如蜜罐、蜜网、蜜场和传统的动态目标防御等，主要是防御网络中的主机系统的安全，并没有考虑数据在传输过程中的安全性。蜜罐主要是设置陷阱，吸引黑客的攻击，使其在陷阱机上浪费时间并且捕获其行为，通过记录黑客的攻击方法为以后制定防御策略来提供依据。传统的动态目标防御，即让网络系统中的各个节点变成一个个动态目标来抵御攻击。这些主动防御方法都是保护主机系统不被攻击，而数据在传输过程中，也会遭到截获、篡改等攻击。如何保证数据在传输过程中的安全，又如何对攻击行为作出反制，这些问题都亟待解决。

发明内容

针对现有技术的不足，本发明的目的在于提供一种网络诱骗与反攻击的主动防御方法，一方面可以诱骗攻击者对虚假的数据进行攻击，加强真实数据在传输时候的安全保密性，降低真实数据被攻击的概率；另一方面能够对攻击源作出相应的反向攻击。

为了解决上述问题，本发明提供一种网络诱骗与反攻击的主动防御方法。网络通信系统包括发送方、中间节点、网络管理员和接收方。发送方和接收方在网络中均由多台主机组成，并各设计一个地址端口跳变服务器进行控制；中间节点由代理-管理器组成，代理进程主要负责节点之间数据转发、校验、检测等工作，管理进程主要负责维护和调整协议参数，向管理器告警；网络管理器负责监控网络中节点的安全状态，动态选择安全的传输路径供通信双方使用。

本发明提供的一种网络诱骗与反攻击的主动防御方法，包括以下步骤：

（1）发送方根据地址端口跳变服务器随机地选择一台主机作为当前通信主机，然后选择一条或多条传输链路发送诱骗报文，以检测传输链路的安全性和信道质量，检测结果包括节点安全状态、链路传输延迟和丢包率；

（2）中间节点收到转发的数据报后，首先进行节点校验，通过检测报文的状态来判断是否有攻击发生和攻击类型，并根据具体的攻击行为向网络管理员发出相应的告警；

（3）网络管理员监听整个网络的安全状态，接收通信链路中节点发来的告警，若发现某个节点遭到了攻击，则标记该节点为不安全节点并启动该节点上的入侵检测系统，对包括流量和网络连接服务的状况进行分析，定位攻击源并作出相应的反向攻击；

（4）发送方在发送诱骗报文的同时监听网络管理员发来的决策，若收到网络管理员发来的安全告警，则重新选择一条新的路径并继续发送诱骗报文探测链路的安全性和信道质量；若管理员未发出告警，则开始发送带反向攻击性的真实数据；

（5）接收方根据地址端口跳变服务器随机地选择一台主机作为当前通信主机，收到数据报后，根据报文的类型来决定接收或丢弃报文，并动态监听网络管理员的决策，若接收方收到网络管理员的告警，说明之前接收到的数据可能遭到了破坏，则丢弃这段时间的数据并等待重传；若通信结束后还未收到网络管理员的告警，则存储数据并解密恢复出真实有用的数据。

本发明具有以下的优点和有益效果：

1、本发明根据传输链路的安全可靠性，动态地选择安全、稳定的传输链路，保证了通信链路上节点的动态性，使攻击者无从发起攻击；

2、本发明能够迷惑攻击者对网络中传输的诱骗数据发起攻击，降低真实数据被攻击的机率，能实时的检测攻击行为并采取防御措施；

3、本发明能对攻击源进行反向攻击，从源头对攻击者进行反制，阻断攻击发生。

附图说明