[发明专利]一种基于动态伪装的网络安全漏洞防御系统

权利要求书

1.一种基于动态伪装的网络安全漏洞防御系统，其特征在于，包括漏洞分析单元、伪装单元和动态变换单元，所述漏洞分析单元实时处理网络通信流量，进行漏洞的识别和检测，所述伪装单元为每一台真实/虚假主机随机生成虚假漏洞库，所述动态变换单元定期通知伪装单元对虚假漏洞库进行随机动态变换；

所述的基于网络欺骗的动态防御系统还包括管理单元、流量收发单元；

所述管理单元连接于流量收发单元、伪装单元和动态变换单元；

所述流量收发单元连接于漏洞分析单元；

所述管理单元用于配置和展示，其中配置信息包括但不限于黑名单规则、虚假响应信息、动态变换间隔；

所述黑名单规则配置于流量收发单元，用于对通信数据包进行过滤，黑名单启用后，被列入到黑名单的用户的数据包不能通过；

所述虚假响应信息配置于伪装单元，所述虚假响应信息包括但不限于虚假主机的IP地址范围、真实主机IP地址和漏洞配置信息，所述漏洞配置信息包括每个漏洞的特征字段、针对该漏洞进行扫描时的响应内容和/或重定向蜜罐的IP地址和端口；

所述流量收发单元用于接收和发送网络数据包；所述流量收发单元采用DPDK技术提升数据包的处理性能；

所述漏洞分析单元包括协议还原和会话重组模块、虚假主机漏洞分析模块和真实主机漏洞分析模块，所述协议还原和会话重组模块依据流量收发单元的数据包，按照协议栈的顺序从底至上依次对数据包进行捕获和逐层分析，并最终还原出用户原始的会话信息；

所述协议还原和会话重组模块采用以下的还原流程：利用五元组信息提取出不同流的数据包，然后再按照顺序对其进行排序，待TCP/IP流数据包接收完毕后即可进行应用层协议解析的工作，其中所述五元组信息包括源目的IP地址、源目的端口号、协议号。

2.根据权利要求1所述基于动态伪装的网络安全漏洞防御系统，其特征在于，所述漏洞分析单元对数据包的目的IP地址进行匹配，如果匹配成功，则用数据包内容匹配该IP地址对应的漏洞特征字段，如果匹配成功，则根据伪装单元生成的该漏洞对应的响应内容进行虚假响应和/或发送至蜜罐中，同时生成对虚假漏洞的访问日志。

3.根据权利要求1所述基于动态伪装的网络安全漏洞防御系统，其特征在于，所述伪装单元包括主机伪装模块和漏洞伪装模块，所述主机伪装模块根据配置的虚假主机的IP地址范围随机生成若干虚假主机，所述漏洞伪装模块为每一台真实/虚假主机随机生成虚假漏洞库，包括每个漏洞的特征字段、针对该漏洞进行扫描时的响应内容和/或重定向蜜罐的IP地址和端口。

4.根据权利要求1-3任一项所述基于动态伪装的网络安全漏洞防御系统，其特征在于，在正常情况下，合法用户一般不会对虚假主机进行扫描和漏洞探测，对虚假主机的频繁访问或对虚假漏洞进行探测和利用都是疑似高危的攻击行为，通过将攻击流量重定向至蜜罐中作进一步的行为分析，可有效发现未知漏洞；此外，虚假构建的漏洞能够迷惑攻击者，虚假主机的IP地址、漏洞信息可以动态随机变化，大大增加网络的复杂性，从而能够打破攻击者对目标主机漏洞信息的认知积累。

5.根据权利要求1-3任一项所述基于动态伪装的网络安全漏洞防御系统，其特征在于，针对某些计算机漏洞难以及时修复的网络，可下发如下配置信息：真实主机IP、真实主机上真实存在的漏洞特征字段以及对应的虚假响应的内容、和/或重定向蜜罐的IP地址和端口，当防御系统发现攻击者对真实主机上真实存在的漏洞进行访问时，可对其进行虚假响应或重定向至蜜罐中，从而有效防御了攻击者对真实主机上真实存在的漏洞的利用。