随着互联网技术的不断发展,网络入侵的机会和风险性也急剧增多,因此设计安全措施来防范未经授权就访问系统资源和数掘的行为,成为当前网络安全领域研究的一个重要而迫切需要解决的问题。 目前,在网络安全技术领域,已有一些广为使用的成熟的技术用于保护信息安全,如防火墙、入侵检测、加密等,然而,这些常见的网络防范手段都属被动防御类型,且一般多是针对现有已知攻击技术和基于规则和特征匹配的方式工作。但攻击技术是在不断发展的,且现有防护技术对新的攻击技术手段又往往不能识别,总处于被动地位:加之数据报报头在网络中传输时的透明性,传统安全措施还不足以保护数据报网络特征(数据报报头信息)的机密性,故攻击者很容易通过主动或被动综合分析网络特征信息,得出攻击目标的操作系统类型、IP地址分布、网络拓扑结构、网络服务类型及漏洞等,而这些信息对成功入侵是具有重要作用的。 为此,本文以伪装学为基础,提出了“动态网络伪装安全模型”。该模型通过被动IP地址伪装、被动操作系统伪装和被动网络拓扑结构伪装,建立一个由虚拟网和真实网交错的复杂仿真网;该仿真网可以隐藏真正网络拓扑结构,扩大IP地址搜索空间,再利用伪装网络服务使黑客在仿真网上花费大量的时间和精力;利用嵌入式防火墙中的拒绝和黑洞策略来延长黑客的嗅探时间,用重定向策略来跟踪监控黑客的攻击过程和发现研究未知攻击方式,用粘性网络策略来延长蠕虫病毒的传播和黑客的攻击时间;实现动态维护嵌入式防火墙的检测过滤规则,利用黑客访问虚拟主机来尽早发现黑客的攻击,相应的对策可以动态的加入检测过滤规则中;利用主动IP地址伪装、主动操作系统伪装和主动网络拓扑结构伪装来分流信息流量和隐减关键主机。 本课题在动态网络伪装安全模型理论的指导下,成功研制出了动态网络伪装安全系统。通过网络探测攻击工具对其有效性进行了测试,达到了满意的效果。