[发明专利]一种基于随机镜像端口的分布式云防御系统及防御方法

权利要求书

1.一种基于随机镜像端口的分布式云防御系统，其特征在于：包括云端核心分析服务器以及实体服务器、云端镜像、控制路由器；实体服务器的端口包括在用端口和未使用随机镜像端口；所述云端镜像为实体服务器的镜像；通过控制路由器，将在用端口指向实体服务器，将未使用随机镜像端口指向云端镜像；云端核心分析服务器接受来自于云端镜像的流量数据并进行分析。

2.根据权利要求1所述的一种基于随机镜像端口的分布式云防御系统，其特征在于：一个实体服务器、一个控制路由器为一组分布式节点，云端服务器与多组分布式节点连接形成多个云端镜像，云端核心分析服务器接受来自于多个云端镜像的流量数据并进行分析。

3.一种基于随机镜像端口的分布式云防御方法，包括如下步骤：

步骤1，网络环境构建：在需防护的实体服务器上层，设置控制路由器；在控制路由器上设置与实体服务器相关的云端镜像；

步骤2，网络数据流向构建：排查梳理需防护的实体服务器的在用端口与未使用端口，其他端口保持关闭；通过控制路由器将在用端口指向实体服务器；通过控制路由器将未使用随机镜像端口指向云端镜像；

步骤3，入侵者IP识别：未使用端口理论上是不会有正常的通信流量的，因此与未使用随机镜像端口的通信流量很可能是入侵者的通信流量；在与云端镜像的通信流量中，包含入侵者扫描探测的流量、病毒木马、恶意程序自动探测的流量，将这些流量送到云端核心分析服务器，通过分析手段(统计分析、报文分析等)溯源出入侵者IP；

步骤4，入侵通信流拦截：云端核心分析服务器将已识别的入侵者IP进行标签化标识(归属国家区域、运营商)，同时将入侵者IP与白名单、常用IP列表进行比对分析，判断出符合入侵者IP特征后，系统自动将拦截指令下发给控制路由器进行拦截；

步骤5，取消拦截指令：拦截指令执行一定时间后，经检测无入侵流量，系统会自动发布取消拦截指令，控制路由器收到指令后取消拦截，并进行记录。

4.根据权利要求3所述的一种基于随机镜像端口的分布式云防御系统，其特征在于：步骤1中，所述控制路由器包括3个接口，分别与实体服务器、城域网和云端镜像。

5.根据权利要求3所述的一种基于随机镜像端口的分布式云防御系统，其特征在于：步骤1中，所述控制路由器与云端镜像采用MPLS-VPN方案连接。

6.根据权利要求3所述的一种基于随机镜像端口的分布式云防御系统，其特征在于：步骤2中，随机镜像端口分布离散。

7.根据权利要求3所述的一种基于随机镜像端口的分布式云防御系统，其特征在于：步骤3中，设置多个分布式节点，云端核心分析服务器检测到相同IP的网络入侵探测流量，则向整个城域网发布拦截指令。

8.根据权利要求3所述的一种基于随机镜像端口的分布式云防御系统，其特征在于：步骤4中，入侵通信流拦截具体为：

(1)统计源地址通信数量并分析数据流量特征及计算源IP的拦截权值；

(2)判断源地址是否在白名单中，如果在白名单中，则判断为非入侵者IP；

(3)判断源地址是否在城域网常用IP地址表中，防止被伪造IP地址干扰，如果在城域网常用IP地址表中，则判断为非入侵者IP；

(4)判断源地址是否已拦截或获取历史拦截记录，如果已拦截，则将IP拦截权值加倍，同时加倍拦截时间，并扩大拦截的分布式结点范围，直至整个城域网进行拦截；

(5)判断控制路由数是否超限，如果超限，则删除无流量时间最长的条目；

(6)判断出符合入侵者IP特征后，系统自动将拦截指令下发给控制路由器进行拦截。

9.根据权利要求3所述的一种基于随机镜像端口的分布式云防御系统，其特征在于：还包括步骤6，网络入侵前期态势分析可视化：通过对入侵者IP的多维度分析(IP归属国家、时间、频度、报文特征等)，以及对回程报文的全量分析(通信的IP数量，回程报文的特征)，勾画入侵前期的态势图，为后期安全决策提供数据。