[发明专利]基于动态变换的网络安全防御系统和网络安全防御方法

说明书

本发明提出一种基于动态变换的网络安全防御系统和方法，所述网络安全防御系统包括通信处理单元、终端信息单元和动态变换单元，通信处理单元为内网中的每一个网络终端配置一个终端信息表，所述终端信息表包括分配给网络终端的真实IP地址、虚拟IP地址和外网访问IP地址，动态变换单元动态变换虚拟IP地址，通信处理单元使内网中的网络终端之间采用vIP进行通信，内网中的网络终端和外网之间采用wIP进行通信。本发明打破传统内网的静态性特征，通过动态变换内网中网络终端的IP地址信息，使得攻击者无法获得内网的拓扑结构，无法准确获得内网中网络终端的真实信息，从而有效防御了内网攻击行为，提高了内网的安全。

技术领域

本发明涉及网络安全领域，尤其涉及一种基于动态变换的网络安全防御系统和网络安全防御方法。

背景技术

内网安全在实际网络环境中非常重要，但被大多数网络安全设备忽视。现有的方法普遍通过采集流量来检测攻击行为，但是异常流量往往在攻击行为之后产生，因而此类方法无法对攻击行为进行实时防御。另一种方法是在接入网络的主机上部署网络安全防御系统，虽然能够防御部分攻击行为，但无法防御未知的内网攻击行为。静态的互联网协议地址分配使得攻击者可以通过扫描本地或远程的网络精确快速地确定攻击目标。在目标网络中确定活动主机的IP地址是大部分攻击的首要步骤，扫描工具和蠕虫通常对网络中一定范围内的IP地址发送探针来发现目标，一旦目标响应，即可确定目标并进行攻击。

大部分网络即使部署了防火墙也存在很多公共的和私有的主机可以被外部访问，而且所有的网络对于内部的扫描者缺乏有效的防御手段，一旦攻击者潜入内网，即可探测网络的拓扑结构并进行相应的攻击。使用动态主机配置协议（Dynamic HostConfiguration Protocol，简称DHCP）或网络地址转换（Network Address Translation，简称NAT）可以动态分配IP地址，但是仍然不能主动地进行防御，因为IP地址的变换并不频繁且容易被追踪。

申请号为 200510036269.6 的发明专利公开了一种网络病毒防护领域的主动探测病毒防护系统及其防护方法，该系统包括嵌入于三层交换机中的探针模块、存储器、安全策略模块以及安装于信息监控服务器中的外部访问管理系统，该发明解决了现有局域网病毒防护系统无法防范局域网子网间病毒攻击的缺点，但是该专利提供的方法不能检测交换机下物理端口之间流量中存在的攻击，内网攻击检测仍有空白；

申请号为 200410017802.X 的发明专利公开了一种网络安全防护的分布式入侵检测与内网监控系统及方法，该系统为三层分布式结构，包括网络和主机检测器、中央控制器、管理监控中心、后台数据库，检测器根据安全规则按IP地址和MAC地址进行入侵检测和内网监控；发现入侵或违规及时阻断，报警并记入后台数据库；根据记录的信息进行审计，对被破坏的数据进行还原，其问题在于不能检测单台交换机设备之下各端口之间流量中的异常，不能深入到网络底层检测攻击；

申请号为 02115957.2 的发明专利公开了一种分布式网络安全保护系统，配置汇总决策模块和策略发布模块，网络按照树型结构分为N个子网，各子网管理台上均配置汇总决策模块和策略发布模块，子网中每个节点都安装微入侵检测模块和微防火墙模块，策略发布模块采用移动代理技术；本系统的分布式微入侵检测模块以单个节点机为保护对象，从而实现双重细粒度的安全保护，问题在于需要在每台被监测主机上安装入侵检测和防火墙系统，部署成本大大增加，特别是网络规模较大的情况下，部署难度很大；

申请号为200810122357.1的发明专利公开了一种用于内网攻击检测的报警和响应系统，其检测机的异常检测算法模块对内网进行异常信息检测，获取异常检测信息并确定该信息的可信度，当该异常检测信息的可信度到达预设值时发出报警信息，其问题在于组成模块多，结构复杂，且被动地对流量进行分析，不能从根本上阻止内网攻击。