[发明专利]一种网络动态防御系统及方法

说明书

本发明提供一种网络动态防御系统及方法。该系统包括：路由分配子系统、靶标子系统和主动防御子系统；所述路由分配子系统包括路由器、客户机和服务器；所述路由器，用于检测来自客户机的用户的合法性，将通过检测的合法用户转至所述服务器，将未通过检测的可疑用户转至靶标子系统；靶标子系统，用于记录可疑用户的攻击行为，对可疑用户进行基于所述身份知识库的二次身份甄别，将正常用户重新转至路由分配子系统，将可疑用户转至主动防御子系统；主动防御子系统，用于对攻击特征进行提取和分析，对重要数据进行备份和/或恢复。本发明通过增加防御系统的动态性、随机性和不确定性，内生出系统防御能力，增大攻击方攻击复杂度，有效应对网络攻击。

技术领域

本发明涉及网络安全技术领域，尤其涉及一种网络动态防御系统及方法。

背景技术

现今，网络渗透到工作生活的方方面面，成为了不可或缺的第五维空间。但新型网络攻击层出不穷，网络安全形势日益严峻。漏洞是网络攻击的前提，由于网络安全漏洞的客观存在性，加之系统的静态性、相似性和确定性，使得网络安全问题无法通过挖漏洞、堵漏洞来彻底解决。防守方即使及时修补了大部分漏洞，攻击方只需利用少量漏洞就可对防守方造成不对称优势，形成了“易攻难守”的不对称局面。

由于以防火墙、入侵检测和安全审计等技术为代表的传统网络防御体系是静态、封闭和被动的，在应对形式多样的新型网络攻击时往往力不从心。自2008年1月美国发布的《国家综合网络安全倡议》起，移动目标防御（Moving target defense ；MTD）引起了美国的高度重视，后来又发布了一系列与之相关的网络安全政策和方案。其中，美国国家科学技术委员会于2011年12月发布的《可信网络空间：联邦网络空间安全研发战略规划》确立移动目标防御为“改变游戏规则”的四个研发主题之一。美国国土安全部将MTD技术定义为改变游戏规则的新型网络安全技术， 2016年美国第一个MTD技术的专利被颁发，之后国内外学者针对MTD技术开展了研究，移动目标防御技术已经成为网络空间安全研究的热点。

移动目标防御是指通过动态化、虚拟化和随机化方法，破除网络各要素的静态性、确定性和相似性，使信息系统各组成部分不断改变其形态特征以此来抵御攻击的技术。移动目标防御相关技术主要有：动态网络地址转换技术、网络地址空间随机化分配技术、端信息跳变防护技术以及基于覆盖网络的相关动态防护技术。

（1）动态网络地址转换技术

动态网络地址转换技术的核心思想是通过改变终端节点固定编址，提供相应的机制和方法不断改变终端节点标识。该技术可用于防御攻击者攻击个人终端主机，破坏中间人嗅探的效果，防范扫描攻击，阻碍攻击者的信息搜集工作。

但是，该技术虽然增加了攻击者的工作量，但无法阻止攻击者收集所需信息，攻击者可通过对流量进行分析来获取网络流的类型或通过对数据分组的数据载荷进行分析来收集相关信息。

（2）网络地址空间随机化分配技术

基于DHCP协议实现的网络地址空间随机化技术，其本质是IP地址跳变技术，能用于防范基于IP地址列表进行的蠕虫传播和攻击。

同时，该技术的局限性也十分明显，该技术只能减慢某些特定类型的攻击，并且需要依赖于其他积极防御手段才能发挥整体功能，针对攻击者通过其他类别协议（即除了DHCP协议之外的协议）到达主机的情形无法进行防御。

（3）基于同步的端信息跳变防护技术

基于同步的端信息跳变防护技术是指在端到端的数据传输中，通信双方伪随机地改变端口、地址和时隙等端信息，使攻击者的攻击无效，从而实现主动网络防护。该技术具有很强的抗攻击性和抗截获性，能够有效抵御DDoS攻击和截获攻击。

但是，该技术的同步和全局协调非常复杂，对通信双方合作的默契度要求较高，对用户不透明，在实际部署中难度较大。

（4）覆盖网络防护技术