[发明专利]一种事件触发式的MTD防护系统及方法

权利要求书

1.一种事件触发式的MTD防护系统，其特征在于，包括指纹探测包判定系统、指纹探测事件判定系统和特性值MTD修改系统；

所述指纹探测包判定系统，其用于接收并判断客户端发来的请求数据包是否为指纹探测包，如果是，则进一步判断所述指纹探测包的探测类型并调用指纹探测事件判定系统，否则直接返回响应数据包；

所述指纹探测事件判定系统，其用于判断所述指纹探测包所属的探测事件在相应探测类型的指纹探测事件集中是否已存在，如果存在，将所述指纹探测事件探测的特性值传递给特性值MTD修改系统，否则将该类型的探测事件定义为一条新增的探测事件，记录并存储在探测事件集中，将所述指纹探测事件探测的特性值传递给特性值MTD修改系统；

所述指纹探测事件判定系统包括探测事件数据库和探测事件分类模块；

所述探测事件数据库，用于预先存储不同协议类型指纹探测包对应的指纹探测事件集；

所述探测事件分类模块，用于将所述指纹探测包的所属的探测事件与相应探测类型的指纹探测事件集进行匹配，如果存在相匹配的指纹探测事件，则向特性值MTD修改系统发送进行该类指纹探测事件特性值修改的指令，如果不存在相匹配的指纹探测事件，则将所述探测事件按探测事件数据库的格式新增一条事件规则，将所述探测事件所要探测的特性值传递给特性值MTD修改系统；

所述MTD修改系统，其用于将所述指纹探测包所要探测的特性值进行欺骗性修改，将修改后的特性值封装成响应数据包返回给指纹探测方。

2.根据权利要求1所述一种事件触发式的MTD防护系统，其特征在于，所述指纹探测包判定系统包括数据包解析模块、数据包类型判断模块、数据包目标端口判断模块、数据包内容判断模块和探测类型判断模块；

所述数据包解析模块，其用于解析收到的请求数据包；

所述数据包类型判断模块，其用于根据已解析的请求数据包判断所述请求数据包的协议类型；

所述数据包目标端口判断模块，其用于根据已解析的请求数据包判断所述请求数据包的目标端口；

所述数据包内容判断模块，其用于根据已解析的请求数据包判断所述请求数据包的内容；

所述数据包类型判断模块、数据包目标端口判断模块和数据包内容判断模块相互配合完成所述请求数据包为正常业务数据包或者为指纹探测包的判断；

所述探测类型判断模块，其用于进一步判断所述指纹探测包的探测类型。

3.根据权利要求2所述一种事件触发式的MTD防护系统，其特征在于，所述数据包类型判断模块、数据包目标端口判断模块和数据包内容判断模块相互配合完成所述请求数据包为正常业务数据包或者为指纹探测包的判断，当判断为指纹探测包时进一步判断所述指纹探测包的探测类型具体为：

所述数据包类型判断模块判断所述请求数据包的协议类型，如果是ICMP协议，直接将所述请求数据包定义为指纹探测包，并将其探测类型标签定义为ICMP；如果是TCP或UDP协议，则调用数据包目标端口判断模块，如果是IP协议，则调用数据包内容判断模块；

所述数据包目标端口判断模块判断所述请求数据包中目标端口是否开放，如果开放，则调用数据包内容判断模块；如果关闭，则将所述请求数据包定义为指纹探测包，并将其探测类型标签定义为TCP或UDP；

所述数据包内容判断模块判断所述请求数据包数据部分是否为空，如果数据部分为空，则将当前请求数据包定义为指纹探测包，将其探测类型标签定义为TCP、UDP或IP；如果数据部分不为空，则判定当前请求数据包为正常业务数据包；

所述探测类型判断模块对指纹探测包按协议类型进行分类，类型标签分为ICMP、IP、TCP和UDP四种，将指纹探测包传递给指纹探测事件判定系统进行后续操作。

4.根据权利要求1所述一种事件触发式的MTD防护系统，其特征在于，所述指纹探测事件判定系统还包括探测事件定义模块，其用于当一个所述指纹探测包包括对多个特性值的探测时，将每个特性值的探测定义为一个指纹探测事件，进而与指纹探测事件集单独进行匹配，单独进行特性值的MTD修改。