一种网络诱骗与反攻击的主动防御方法

摘要

本发明公开了一种网络诱骗与反攻击的主动防御方法，包括以下步骤：通信双方设置多台主机进行数据的发送和接收，并通过一个地址和端口跳变服务器动态随机选择一台主机作为通信主机；发送方选择一条或多条传输链路发送诱骗报文，以检测传输链路的安全性和信道质量，如果链路安全就构造并发送带反攻击性的真实数据，与此同时，发送方继续发送诱骗报文进行链路探测；中间节点负责检测传输链路的安全状况并反馈给网络管理员；网络管理员根据节点的安全状况来更新传输路径，并采取安全防御措施。本发明能有效地预防与检测网络通信中常见的安全攻击，并能对攻击方进行一定的反向攻击。

说明书

技术领域

本发明涉及通信网络安全防御领域，具体涉及一种网络诱骗与反 攻击的主动防御方法。

背景技术

近几年，随着通信网络技术的发展，各种类型的网络应用应运而 生，政府和个人对网络的依赖程度越来越大。同时，针对网络的攻击 事件源源不断。尽管人们采用了各种方法和工具来加强网络通信的安 全，但攻击成功的事件数量还是在不断上升。从最初的端口扫描攻击、 缓冲区溢出攻击，到现在的分布式拒绝服务攻击（Distributed Denial of  Service）、网络监听和中间人攻击，新的攻击手段和方法层出不穷， 千变万化。

传统的网络安全防护体系，如防火墙和入侵检测系统，主要是采 用静态策略，对网络攻击采取被动防卫的手段。但是面对不断出现的 新攻击方法，传统的被动防御的手段越来越显得力不从心；同时，随 着网络环境复杂性的不断增加使得网络管理员的工作越来越繁重，一 时的疏忽便可能留下严重的安全隐患。针对传统的网络安全防护体系 存在的安全问题，主动防御系统已开始逐渐替代传统的被动防御系 统。通过加强系统安全的动态性和管理的持续性，以入侵检测、漏洞 评估和自适应调整为循环来提高网络安全。

现有的主动防御方法，如蜜罐、蜜网、蜜场和传统的动态目标防 御等，主要是防御网络中的主机系统的安全，并没有考虑数据在传输 过程中的安全性。蜜罐主要是设置陷阱，吸引黑客的攻击，使其在陷 阱机上浪费时间并且捕获其行为，通过记录黑客的攻击方法为以后制 定防御策略来提供依据。传统的动态目标防御，即让网络系统中的各 个节点变成一个个动态目标来抵御攻击。这些主动防御方法都是保护 主机系统不被攻击，而数据在传输过程中，也会遭到截获、篡改等攻 击。如何保证数据在传输过程中的安全，又如何对攻击行为作出反制， 这些问题都亟待解决。

发明内容

针对现有技术的不足，本发明的目的在于提供一种网络诱骗与反 攻击的主动防御方法，一方面可以诱骗攻击者对虚假的数据进行攻 击，加强真实数据在传输时候的安全保密性，降低真实数据被攻击的 概率；另一方面能够对攻击源作出相应的反向攻击。

为了解决上述问题，本发明提供一种网络诱骗与反攻击的主动防 御方法。网络通信系统包括发送方、中间节点、网络管理员和接收方。 发送方和接收方在网络中均由多台主机组成，并各设计一个地址端口 跳变服务器进行控制；中间节点由代理-管理器组成，代理进程主要 负责节点之间数据转发、校验、检测等工作，管理进程主要负责维护 和调整协议参数，向管理器告警；网络管理器负责监控网络中节点的 安全状态，动态选择安全的传输路径供通信双方使用。

本发明提供的一种网络诱骗与反攻击的主动防御方法，包括以下 步骤：

（1）发送方根据地址端口跳变服务器随机地选择一台主机作为 当前通信主机，然后选择一条或多条传输链路发送诱骗报文，以检测 传输链路的安全性和信道质量，检测结果包括节点安全状态、链路传 输延迟和丢包率；

（2）中间节点收到转发的数据报后，首先进行节点校验，通过 检测报文的状态来判断是否有攻击发生和攻击类型，并根据具体的攻 击行为向网络管理员发出相应的告警；

（3）网络管理员监听整个网络的安全状态，接收通信链路中节 点发来的告警，若发现某个节点遭到了攻击，则标记该节点为不安全 节点并启动该节点上的入侵检测系统，对包括流量和网络连接服务的 状况进行分析，定位攻击源并作出相应的反向攻击；

（4）发送方在发送诱骗报文的同时监听网络管理员发来的决策， 若收到网络管理员发来的安全告警，则重新选择一条新的路径并继续 发送诱骗报文探测链路的安全性和信道质量；若管理员未发出告警， 则开始发送带反向攻击性的真实数据；

（5）接收方根据地址端口跳变服务器随机地选择一台主机作为 当前通信主机，收到数据报后，根据报文的类型来决定接收或丢弃报 文，并动态监听网络管理员的决策，若接收方收到网络管理员的告警， 说明之前接收到的数据可能遭到了破坏，则丢弃这段时间的数据并等 待重传；若通信结束后还未收到网络管理员的告警，则存储数据并解 密恢复出真实有用的数据。

本发明具有以下的优点和有益效果：

1、本发明根据传输链路的安全可靠性，动态地选择安全、稳定 的传输链路，保证了通信链路上节点的动态性，使攻击者无从发起攻 击；

2、本发明能够迷惑攻击者对网络中传输的诱骗数据发起攻击， 降低真实数据被攻击的机率，能实时的检测攻击行为并采取防御措 施；

3、本发明能对攻击源进行反向攻击，从源头对攻击者进行反制， 阻断攻击发生。

附图说明

图1为本发明提供的一种网络诱骗与反攻击的主动防御方法具 体实施方式的流程图。

图2为本发明提供的节点校验与攻击检测流程图。

图3为本发明提供的反攻击数据设计流程图。

具体实施方式

下面结合附图对本发明的具体实施方式作进一步详细说明。在此 需要说明的是，对于这些实施方式的说明用于帮助理解本发明，但并 不构成对本发明的限定。此外，下面所描述的本发明各个实施方式中 所涉及到的技术特征只要彼此之间未构成冲突就可以相互组合。

网络通信系统包括发送方、中间节点、网络管理员和接收方。发 送方和接收方在网络中均设置多个节点进行数据的发送和接收，并各 设计一个地址端口跳变服务器来动态地选择节点进行通信；中间节点 在通信过程中进行数据报的校验和转发；网络管理员实时监控整个网 络的安全状态。如图1所示，本实施例的主动防御方法包括以下步骤：

（1）发送方发送诱骗报文，以检测传输链路的安全性和信道质 量，诱骗报文的数据部分具有与真实密文相同的统计特性。具体包括 以下几个步骤：

（1.1）采用混沌流密码加密系统产生的密钥序列作为报文的数 据部分。该加密系统产生的密钥序列具有串分布均匀、随机统计特性 良好、相邻密钥相关性小等特点，密码系统的混淆与扩散性能良好， 并且，该密码系统的工作密钥空间巨大，足以抵抗穷举密钥攻击；

（1.2）在网络各个节点和通信双方中都安装混沌流密码加密系 统，该系统可以同步产生混沌随机序列。藉此，诱骗报文在传输过程 中一旦被篡改就能很快能被当前节点所检测到（报文数据部分与节点 自己当前产生的随机序列不相等），并能重新修复原始的诱骗报文并 继续向目的节点转发报文来探测链路安全性；

（1.3）对原始的IP数据报格式重新设计，新增IP选路、时间-ID、 类型标识和摘要信息4个字段，并将这4个字段隐藏在IP报文的数 据部分中。IP选路中存放一次通信过程中传输路径中节点的IP地址； 时间-ID记录的是报文由节点发出的时间和标识该报文唯一性的标识 符，报文发送前，网络中的所有节点先同步产生一个相同的随机数 random1，假设报文数据部分长度为N个字节，则r1=random1%N表 示报文数据部分的第r1个字节，若r1=0，则r1=r1+1，取数据部分的 第r1个字节来填充ID。在本实施例中，主要包括两种报文：诱骗报 文和真实报文，利用类型标识用来区别这两种报文，同样，网络中所 有节点产生另一个相同的随机数random2，r2=random2%N表示报文 中数据部分的第r2个字节，若r2=0，则r2=r2+1，然后用数据部分的 第r2个字节来填充报文的类型标识字段，而不是用固定的0或1。这 样做的最大好处是可以让攻击者无法轻易分析出有效和无效的数据 而有选择性的进行攻击，另外，由于网络中所有节点都能动态同步产 生诱骗随机数，所以节点很容易鉴别报文的类型。摘要信息域是对新 增加的4个控制字段签名，检测传输过程中控制字段是否被篡改破 坏。

（1.4）发送方通过地址和端口跳变服务器动态选择一台主机并 确定一条或多条传输链路来发送诱骗报文进行链路安全性和信道质 量探测。

（2）中间节点收到转发的数据报文后，首先进行节点校验，通 过检测报文的状态来判断是否有攻击发生，并根据具体的攻击行为向 管理员发出相应的告警；

如图2所示，节点收到数据报文后，要按以下步骤进行处理：

（2.1）判断报文的摘要信息是否正确。如果不正确，则表示报文 已经遭到了篡改攻击，标记该节点并向网络管理员告警；否则执行步 骤（2.2）；

（2.2）判断报文路径是否合法。如果途经节点的IP地址不存在于 IP选路中，则表示报文已经遭到了截获攻击，标记该节点并向网络管 理员告警；否则执行步骤（2.3）；

（2.3）判断报文时间是否有效。若报文的发送时间、本地当前 时间、延迟时间三者的差值，即“本地当前时间-发送时间-延迟时间” 不在门限阀值以内，则表明遭到了重放攻击，标记该节点并向网络管 理员告警。例如数据报的发送时间是T0，到达节点的时间是T1，检 测到上一跳节点发送来的报文的延迟时间平均值为t（在网络相对安 全的情况下，每个节点保存的t值可以根据多次测得的T1-T0取平均 值得到，在网络运作过程中，t的值可以每隔一段时间自适应重新计 算并更新），现在取某个阀值△T，若∣T1-T0-t∣>△T，则认为此报 文是一个重放的非法报文，丢弃该报文后告警管理员；否则在节点的 缓存表中查找是否存在此报文的ID项，若存在，则说明此报文是一 个快速重放报文，丢弃该报文后向网络管理员告警；若不存在，则将 该报文的IP源、目的地址、IP发送时间和唯一标识ID存放与缓存表 中，然后执行步骤（2.4）；

（2.4）判断报文的类型：若报文类型是真实报文，则更新报文 的发送时间，然后向下个节点转发；若是诱骗报文，则比较本节点产 生的动态随机序列PS1和报文数据部分随机序列的值PS2。如果PS1 与PS2值不相同，表明该数据已被篡改，则表示报文遭到了篡改攻击， 标记此节点并向网络管理员告警，同时用PS1来填充数据报文的数据 部分(PS1替换PS2)，然后更新报文的发送时间并向下个节点转发； 如果PS1与PS2值相同，则更新报文的发送时间并向下个节点转发；

（3）网络管理员实时监控整个网络的安全状态，包括以下几个 步骤：

（3.1）若收到节点发来的告警，则将该节点标记为不安全节点 并启动节点上的入侵检测系统，分析该节点的异常流量和网络连接服 务，定位攻击源并发起反向攻击；

（3.2）通知发送方选择一条新的传输路径并重传之前的数据， 通知接收方删除之前收到的数据并等待重传；

（4）发送方在发送诱骗报文的同时监听网络管理员发来的决策， 若收到管理员发来的安全告警，则重新选择一条新的路径并继续发送 诱骗报文探测链路的安全性和信道质量；若管理员未发出告警，则可 以开始发送真实数据；

本实施例中的真实数据是经过如下处理后而具有反向攻击性的 数据，这样一来，即使真实数据被攻击者成功截获了，也能对其进行 有效的反制，具体实施步骤如图3所示：

（4.1）用密钥K1对要传输的明文数据Plaintext进行加密，得到 密文数据Ciphertext，同样用密钥K1对口令Password进行加密，得 到密文口令CipherPd，并将密文口令隐藏在密文数据中；

（4.2）计算K1的摘要值得到密钥K2，用密钥K2加密一段病 毒程序Virus，得到被加密后的病毒程序Mvrius；

（4.3）将密文口令CipherPd、密文数据Ciphertext和加密过的病 毒程序Mvrius进行捆绑，组合成一个新的应用程序 New=Mvrius+CipherPd+Ciphertext，此时的程序New就是要发送的真 实数据。它主要根据用户的解密情况来判断CipherPd经过解密后的 值是否与之前的Password相等，从而决定是触发病毒程序Virus（该 病毒程序一方面通过执行恶意代码来破坏当前的计算机使其无法正 常运作，另一方面可以将Ciphertext进行置乱或直接删除，同时将攻 击者的IP地址和端口号发往管理员让其处理）还是提取密文数据 Ciphertext；

（5）接收方接收报文的同时，动态监听网络管理员的决策，根 据报文的类型来接收或丢弃报文，并对最后数据进行解密提取有用数 据。具体包括以下步骤：

（5.1）判断报文的类型，如果是真实报文，则接收报文，如果 是诱骗报文，则丢弃报文；

（5.2）若收到管理员的告警，说明之前接收到的报文可能遭到 了破坏，则丢弃这段时间的报文并等待重传；若通信结束后还未收到 管理员的告警，则对报文进行重组恢复出数据；

（5.3）解密数据，合法用户可以利用共享的密钥K1和K1的摘 要信息K2对数据进行完整的解密，最后得到需要的有用数据；对于 非法攻击者，如果只对数据的前部分破密成功或者利用了错误的密钥 对口令进行了解密，那么就会触发隐藏在其中的病毒程序，从而对攻 击者进行反制。

其中上述方法中，步骤（1）和步骤（4）是同时进行的，即发送 真实数据报文的同时，节点也发送诱骗报文以检测传输链路的安全性 和稳定性，这样一来可以根据节点的安全状态反馈来动态的改变传输 链路，确保通信过程中的安全。

本领域的技术人员容易理解，以上所述仅为本发明的较佳实施例 而已，并不用以限制本发明，凡在本发明的精神和原则之内所作的任 何修改、等同替换和改进等，均应包含在本发明的保护范围之内。