[发明专利]一种异构冗余干扰的关键节点拟态隐匿的方法

说明书

本发明提供了一种异构冗余干扰的关键节点拟态隐匿的方法，该方法包括：通过在内部网络中构建虚假网络拓扑、冗余干扰节点部署、节点行为虚假响应以及节点行为变换等跳变手段，利用伪装、隐藏等手段对关键节点进行保护，阻止攻击者在局域网内实施ARP欺骗、网络嗅探等攻击行为，大幅降低关键节点被攻击的可能性。

技术领域

本发明涉及网络安全领域，特别是涉及一种异构冗余干扰的关键节点拟态隐匿的方法。

背景技术

“震网”病毒、“乌克兰电网”等事件进一步表明，内部网络中存储关键信息或提供重要服务的节点往往是攻击者进行嗅探和攻击的重要目标，比如邮件服务器、数据库服务器等，对这类节点的保护显得尤为重要。对于渗透进入网络内部的攻击者而言，若想扩大攻击面、对整个内部网络进行内部资源拓展，则必须通过嗅探等手段来获取内部网络的拓扑、核心设备和关键服务节点的相关信息。因此，在攻击者嗅探阶段利用伪装、隐藏等手段对关键节点进行保护，就能有效斩断攻击链，大幅降低关键节点被攻击的可能性。

发明内容

图1所示为关键节点拟态隐匿示意图。

该关键节点拟态隐匿包括冗余干扰节点部署、节点行为虚假响应以及节点行为变换：

冗余干扰节点就是在关键节点周围部署的用于迷惑攻击者的虚拟节点，这些节点可根据其属性对网络访问或嗅探行为进行回应，从而在关键节点附近为潜在的攻击者构筑多个虚假目标，实现对关键节点的隐藏。

冗余干扰节点的干扰模式可分为两种：一种是同构冗余干扰，就是在关键节点周围部署多个功能与关键节点一样、但所用软件或软件版本有一定差异的虚拟节点，使得攻击者很难确定漏洞利用所依赖的软件环境，从而无法开展有效攻击；另外一种是异构冗余干扰，就是在关键节点周围部署多个功能与该关键节点完全不同的虚拟节点，从而达到转移攻击者视线的目的。

为避免攻击者通过观察各节点响应来区分虚拟节点和真实节点，应使冗余干扰节点模拟真实节点的行为，提高对关键节点的隐藏效果，通过机器学习对内部网络中各类关键节点的响应数据并进行样本收集、特征提取、训练学习，构建与真实业务行为相一致的响应流量样本库，实现对真实节点行为的逼真模拟，使冗余干扰节点能够实施逼真的响应行为。

当检测到异常嗅探数据包，将执行冗余干扰节点行为变换步骤：

第一，将真实关键节点替换为冗余干扰节点；

第二，识别嗅探包业务类型；

第三，冗余干扰节点伪造其它不同业务响应数据包代替关键节点响应，从而使关键节点对攻击者呈现出一种混杂的形态。

图2所示为虚假网络拓扑生成示意图。

虚假网络拓扑是根据用户安全需求在重点区域基础设施上构建的专用虚拟网络，能够动态调整与伸缩，具有高度灵活的传输能力。多个虚假网络拓扑可通过资源复用的形式在同一个底层物理网络上实现并存，每一个虚假网络拓扑都可以看作是底层网络的一个资源切片。

附图说明

图1关键节点拟态隐匿示意图。

图2虚假网络拓扑生成示意图。