[发明专利]一种网络动态防御系统及方法

权利要求书

1.一种网络动态防御系统，其特征在于，包括：路由分配子系统、靶标子系统和主动防御子系统；

所述路由分配子系统包括路由器、客户机和服务器；所述路由器预连接存有会话知识库和身份知识库的外存模块；所述路由器、客户机和所述服务器基于所述会话知识库进行网络节点间认证；所述路由器，用于检测来自客户机的用户的合法性，将通过检测的合法用户转至所述服务器，将未通过检测的可疑用户转至靶标子系统；其中，所述来自客户机的用户的用户数据的数据帧中预先插入有特征标识，所述检测来自客户机的用户的合法性指对插入特征标识后的用户数据的数据帧进行基于特征帧的合法性检测；

所述靶标子系统，用于记录可疑用户的攻击行为，对可疑用户进行基于所述身份知识库的二次身份甄别，若所述可疑用户通过二次身份甄别，为所述可疑用户重新分发身份认证协议，然后将所述可疑用户重新转至所述路由分配子系统；若所述可疑用户未通过二次身份甄别，将所述可疑用户在蜜罐中的异常行为转至主动防御子系统；

所述主动防御子系统，用于根据预设的攻击模式库对可疑用户在蜜罐中的异常行为提取攻击特征，实时更新攻击模式库，以及根据安全等级标签管理策略对网络动态防御系统的内部文件进行备份和/或恢复。

2.根据权利要求1所述的网络动态防御系统，其特征在于，所述路由器上存储有一五维数组，所述五维数组的前两维数组用于表示网域空间大小，所述五维数组的后三维数组分别用于表示网域空间内每个网络节点的身份标识、IP合法跳变范围和每跳IP的有效生存期。

3.根据权利要求1或2所述的网络动态防御系统，其特征在于，所述会话知识库和身份知识库通过基于挑战应答的随机数变化策略及多种网络标识规定，并采用国产密码算法SM3进行加密。

4.根据权利要求1所述的网络动态防御系统，其特征在于，所述攻击模式库包括行为知识库和统一特征库；所述行为知识库，用于存储已知的攻击行为，所述统一特征库，用于存储严重违反安全策略的攻击特征。

5.一种网络动态防御方法，其特征在于，包括：

步骤1、路由器分配子系统在用户数据的数据帧中插入特征标识，并对插入特征标识后的用户数据进行基于特征帧的合法性检测；

步骤2、当路由器分配子系统检测到不符合会话知识库变化规则的可疑用户数据时，路由分配子系统将与所述可疑用户数据对应的可疑用户引入靶标子系统的蜜罐中，靶标子系统对所述可疑用户进行基于身份知识库的二次身份甄别；

步骤3、若所述可疑用户通过二次身份甄别，靶标子系统为所述可疑用户重新分发身份认证协议，并将所述可疑用户转至路由器分配子系统；

步骤4、路由器分配子系统对靶标子系统转发的所述可疑用户进行基于图形填充行为的图灵测试，并在通过所述图灵测试的所述可疑用户的浏览器Cookie中加入身份认证证书；

步骤5、若所述可疑用户未通过二次身份甄别，靶标子系统将所述可疑用户在蜜罐中的异常行为发送至主动防御子系统，主动防御子系统基于攻击模式库对所述异常行为进行分析，提取攻击特征。

6.根据权利要求5所述的方法，其特征在于，所述步骤2中的所述靶标子系统对所述可疑用户进行基于身份知识库的二次身份甄别具体为：

若所述可疑用户在蜜罐中能够发现用于授权的隐蔽端口，且连续三次无误地完成基于身份知识库的特征询问，则所述可疑用户通过二次身份甄别。

7.根据权利要求5所述的方法，其特征在于，所述步骤5中的所述主动防御子系统对所述异常行为进行分析具体为：

当检测到所述异常行为满足至少一个一级攻击条件时，将所述异常行为与预设安全模式对比，进行模式匹配，所述一级攻击条件是根据攻击模式库中的已知攻击行为生成的，所述预设安全模式为由已知的安全行为编码而成的、与安全审计记录相符合的安全模式；

若未匹配成功，则所述异常行为为二级攻击，并将所述异常行为与已知的入侵行为特征相结合，形成二级攻击库；

将所述异常行为与攻击模式库中存储的严重违反安全策略的攻击特征进行匹配，若匹配成功，则将所述异常行为升级为三级攻击。

8.根据权利要求5所述的方法，其特征在于，还包括：

主动防御子系统根据网络动态防御系统的内部文件的文件等级、创建时间和使用频率，将不同的内部文件加上不同的安全等级标签得到安全等级标签管理策略，根据所述安全等级标签管理策略对内部文件进行冗余备份；

主动防御子系统若检测到违规管理行为毁坏重要数据，制止与所述违规管理行为对应的管理用户的相关操作，并根据所述重要数据的损坏程度，对路由分配子系统中相应的服务器进行数据恢复。