[发明专利]一种基于动态伪装的网络安全漏洞防御系统

说明书

本发明提出一种基于动态伪装的网络安全漏洞防御系统。其基本技术思想是：基于移动目标防御的理念，构建网络动态环境，利用网络欺骗技术在被保护的主机周围构建大量的动态虚假主机并构建动态虚假漏洞库对攻击者进行诱捕；此外，针对真实存在的主机，可为其随机动态生成若干虚假漏洞库。不管黑客用已知或未知的漏洞扫描工具对目标主机进行漏洞扫描，都会难以避免地触碰到虚假主机或真实主机上的虚假漏洞，对虚假漏洞进行探测和利用会触发防御系统的告警，防御系统可以自动、实时地对攻击者进行定位，斩断网络攻击链的第一环，从而做到事前防御并有效降低未知漏洞的威胁。

技术领域

本发明涉及网络安全领域，尤其涉及一种基于动态伪装的网络安全漏洞防御系统。

背景技术

随着网络技术的快速发展，互联网已经成为人类生产和生活中不可或缺的一部分，信息化的浪潮影响着现代文明社会的每一个角落。根据中国互联网络信息中心发布的统计报告，截至2018年6月30日，我国网民规模达8.02亿，普及率为57.7％；手机网民规模达7.88亿，我国网络支付用户规模达到5.69亿。在信息化不断推进的同时，由于互联网的开放性，各种网络安全问题也不断产生，攻击者利用扫描、监听、探测、欺骗等技术手段，可以轻易对目标网络进行入侵和攻击，如拒绝服务攻击、非授权访问、机密信息窃取、后门程序安装、蠕虫病毒传播等。多样化的网络服务和丰富的应用背景使攻击手段日益复杂，给网络安全造成了巨大威胁。

网络安全漏洞(简称漏洞)是计算机信息系统在需求、设计、实现、配置、运行等过程中，有意或无意产生的缺陷。这些缺陷以不同的形式存在于计算机信息系统的各个层次和环节之中，一旦被恶意主体所利用，就会对计算机信息系统的安全造成损害，从而影响计算机信息系统的正常运行。利用程序中的某些漏洞，来获取计算机的控制权(使自己编写的代码越过具有漏洞的程序的限制，从而获得运行权限)，是大多数网络攻击中必不可少的一个环节。

现有防御体系在网络横向边界普遍缺乏管控技术，一旦某台终端计算机被攻击或感染病毒后，很可能在网络内大量扩散。虽然在交换机上关闭了已知的风险端口，但由于操作系统和软件的漏洞会不断出现，现今认为安全的端口，很可能在未来成为被攻击的对象，这种情况在计算机技术发展的历史中多次发生。因此我们不能排除新型恶意病毒利用漏洞进行传播。一旦某种新型恶意病毒在网络中扩散，产生的危害难以预计。

另外，现有网络安全体系是常见的静态架构，网络结构静态化，设备IP地址固定，容易分析出网络拓扑。一旦某台计算机通过U盘摆渡等方式，被植入恶意软件，成为“肉机”，即使该计算机上没有重要信息，但通过这台计算机恶意程序可以进行嗅探、漏洞扫描等手段，分析网络拓扑和架构，发现其它主机或服务器的漏洞，从而达到控制整个网络的目的。

最后，无法抵御未知的网络攻击。当前网络纵向边界虽然较为可靠，但计算机技术发展迅猛，现有纵向边界对未知网络攻击的抵御能力较弱。操作系统和软件的漏洞会不断出现，针对未知漏洞的攻击在现有体系下难以应对，即使网络防御者可以再通过关端口、打补丁的方式进行应对，但漏洞修复存在滞后性，只能进行亡羊补牢，并且这种方式工作量大，往往收效甚微。

总的来说，现有防御体系主要集中于加强网络静态防御的能力，在一定程度上保护了网络的安全。由于种种原因，网络安全漏洞的存在不可避免，一旦某些较严重的漏洞被攻击者发现，就有可能被其利用，在未授权的情况下访问或破坏计算机系统。现有的防御技术在面对层出不穷的漏洞时显得力不从心，攻击者往往有充足的时间分析网络架构、主机系统、防御技术并找出其中的漏洞，从而逐步渗透网络，达到攻击目的。

发明内容