一种局域网主动防御方法、装置、介质及设备与流程

本公开涉及互联网防御技术领域，更为具体来说，本公开涉及一种局域网主动防御方法、装置、介质及设备。

背景技术：

随着互联网的高速发展，越来越多的终端设备被接入到网络空间里，各式各样的软件在设备上运行着，给人们的生活带来了极大便利，而随之产生的网络空间的安全问题也突显出来。这些软件存在着大量的未知和已知的漏洞，黑客利用漏洞入侵网络，并利用扫描工具刺探网络的内部结构，最终将危险扩散到整个网络。

传统的网络防护手段基于安全策略规则和报文特征识别。通常是在攻击发生之后分析攻击的特征，再配置对应的规则来加以防护。这种被动式的网络防护具有明显的滞后性，当发现攻击时往往已对网络空间造成了损失，甚至已大范围扩散。

主动防御技术是网络安全领域的一门新兴技术，就是在入侵行为对网络或系统造成危害之前，识别可疑威胁行为，以便及时进行网络隔离或流量诱捕。近几年，网络空间的主动防御技术成为越来越重要的研究课题。

技术实现要素：

为解决现有技术的传统被动式防御滞后性导致的用户遭到网络攻击产生损失的技术问题。

为实现上述技术目的，本公开提供了一种基于dnac技术实现局域网主动防御方法，包括：

数据通讯设备通过解析dns应答报文建立dnac表项，其中所述dnac表项为域名请求者ip地址和域名ip地址的对应关系；

根据所述dnac表项对所述数据通讯设备接收的报文进行dnac检查，若检查通过则继续处理业务，若检查不通过则将报文诱捕至蜜罐。

进一步，

所述数据通讯设备通过解析dns应答报文建立dnac表项的过程具体为：

所述数据通讯设备对所述dns应答报文进行解析处理；

如果域名ip属于防护对象，则建立一个域名请求者ip地址和域名ip地址的对应关系，并记录所述表项的创建时间。

进一步，所述建立一个域名请求者ip地址和域名ip地址的对应关系后，还包括：

将dns应答报文的ttl字段修改为300。

进一步，

检查源ip或目的ip是否属于白名单，若属于，则跳过dnac检查继续处理业务；

若不属于则继续执行所述根据所述dnac表项对所述数据通讯设备接收的报文进行dnac检查的步骤。

进一步，若源ip或目的ip属于白名单，所述方法还包括：

检查源ip或目的ip是否属于dnac防护对象，若不属于，则跳过dnac检查继续处理业务；

若属于则继续执行所述根据所述dnac表项对所述数据通讯设备接收的报文进行dnac检查的步骤。

进一步，若源ip或目的ip不属于dnac防护对象，所述方法还包括：

检查是否为tcp－syn报文，若不是tcp－syn报文，则跳过dnac检查继续处理业务；

若是则继续执行所述根据所述dnac表项对所述数据通讯设备接收的报文进行dnac检查的步骤。

进一步，还包括：

设定所述dnac表项的老化时间为300s；

启动一个秒级定时器，周期性对所述dnac表项的创建时间进行检查，删除超过所述老化时间的所述dnac表项。

进一步，所述数据通讯设备包括：

防火墙、交换机和/或路由器。

为实现上述技术目的，本公开还能够提供一种基于dnac技术实现局域网主动防御的装置，包括：

dnac构建模块，用于数据通讯设备通过解析dns应答报文建立dnac表项，其中所述dnac表项为域名请求者ip地址和域名ip地址的对应关系；

dnac检查模块，用于根据所述dnac表项对报文进行dnac检查，若检查通过则继续处理业务，若检查不通过则将报文诱捕至蜜罐。

为实现上述技术目的，本公开还能够提供一种计算机存储介质，其上存储有计算机程序，计算机程序被处理器执行时用于实现上述的基于dnac技术实现局域网主动防御方法的步骤。

为实现上述技术目的，本公开还提供了一种电子设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，处理器执行计算机程序时实现上述的基于dnac技术实现局域网主动防御方法的步骤。

本公开的有益效果为：

本公开提出一种基于dnac技术实现局域网主动防御的方法，制定一种内网访问限制，将攻击者的可疑流量引向蜜罐，溯源其攻击意图。同时，用户可以定期自行变更复杂的主机名，实现主机之间的差异化防御。

附图说明

图1示出了本公开的实施例1的流程示意图；

图2示出了本公开的dnac报文检查过程示意图；

图3示出了本公开的实施例2的流程示意图；

图4示出了本公开的实施例3的结构示意图；

图5示出了本公开的实施例5的结构示意图。

具体实施方式

以下，将参照附图来描述本公开的实施例。但是应该理解，这些描述只是示例性的，而并非要限制本公开的范围。此外，在以下说明中，省略了对公知结构和技术的描述，以避免不必要地混淆本公开的概念。

在附图中示出了根据本公开实施例的各种结构示意图。这些图并非是按比例绘制的，其中为了清楚表达的目的，放大了某些细节，并且可能省略了某些细节。图中所示出的各种区域、层的形状以及它们之间的相对大小、位置关系仅是示例性的，实际中可能由于制造公差或技术限制而有所偏差，并且本领域技术人员根据实际所需可以另外设计具有不同形状、大小、相对位置的区域/层。

本公开涉及的术语解释：

dns：domainnamesystem，域名系统

dnac：domainnameaccesscontrol，域名访问限制

ttl：timetolive，生存时间值

在局域网里，每一台主机都有唯一的ip和主机名，主机之间既能使用ip来互访，也能使用主机名来互访。本公开在数据通讯设备上增加一种访问限制，规定指定网络内主机必须使用主机名来访问，并将这种访问限制通知所有内网用户。如果在网络里发现直接使用ip访问，则识别其为可疑访问，将其诱捕到蜜罐，溯源攻击意图。

基于上述技术构思，本公开提供了如下实施例：

实施例一：

如图1所示：

本公开提供了一种基于dnac技术实现局域网主动防御方法，包括：

s101：数据通讯设备通过解析dns应答报文建立dnac表项，其中所述dnac表项为域名请求者ip地址和域名ip地址的对应关系；

其中，本公开所指的数据通讯设备具体包括：

防火墙、交换机和/或路由器。

优选防火墙实施本公开的基于dnac技术实现局域网主动防御方法。

具体地，所述防火墙通过解析dns应答报文建立dnac表项的过程具体为：

防火墙通过解析dns应答报文，如果发现域名ip属于防护对象，则建立一个域名请求者ip地址和域名ip地址的对应关系即dnac表项，并记录所述表项的创建时间，将dns应答报文的ttl字段修改为300。

ttl的作用是限制ip数据包在计算机网络中的存在的时间。

虽然ttl从字面上翻译，是可以存活的时间，但实际上ttl是ip数据包在计算机网络中可以转发的最大跳数。ttl字段由ip数据包的发送者设置，在ip数据包从源到目的的整个转发路径上，每经过一个路由器，路由器都会修改这个ttl字段值，具体的做法是把该ttl的值减1，然后再将ip包转发出去。如果在ip包到达目的ip之前，ttl减少为0，路由器将会丢弃收到的ttl＝0的ip包并向ip包的发送者发送icmptimeexceeded消息。

ttl的主要作用是避免ip包在网络中的无限循环和收发，节省了网络资源，并能使ip包的发送者能收到告警消息。

ttl是由发送主机设置的，以防止数据包不断在ip互联网络上永不终止地循环。转发ip数据包时，要求路由器至少将ttl减小1。

生存时间，就是一条域名解析记录在dns服务器中的存留时间。当各地的dns服务器接受到解析请求时，就会向域名指定的dns服务器(权威域名服务器)发出解析请求从而获得解析记录；在获得这个记录之后，记录会在dns服务器(各地的缓存服务器，也叫递归域名服务器)中保存一段时间，这段时间内如果再接到这个域名的解析请求，dns服务器将不再向ns服务器发出请求，而是直接返回刚才获得的记录；而这个记录在dns服务器上保留的时间，就是ttl值。

s102：根据所述dnac表项对报文进行dnac检查，若检查通过则继续处理业务，若检查不通过则将报文诱捕至蜜罐。

本公开所述的蜜罐指蜜罐技术。

蜜罐技术本质上是一种对攻击方进行欺骗的技术，通过布置一些作为诱饵的主机、网络服务或者信息，诱使攻击方对它们实施攻击，从而可以对攻击行为进行捕获和分析，了解攻击方所使用的工具与方法，推测攻击意图和动机，能够让防御方清晰地了解他们所面对的安全威胁，并通过技术和管理手段来增强实际系统的安全防护能力。

蜜罐好比是情报收集系统。蜜罐好像是故意让人攻击的目标，引诱黑客前来攻击。所以攻击者入侵后，你就可以知道他是如何得逞的，随时了解针对服务器发动的最新的攻击和漏洞。还可以通过窃听黑客之间的联系，收集黑客所用的种种工具，并且掌握他们的社交网络。

具体地，如图2所示：

所述根据所述dnac表项对报文进行dnac检查之前还包括：

检查源ip或目的ip是否属于白名单，若属于，则跳过dnac检查继续处理业务；

进一步，若不属于则继续执行所述根据所述dnac表项对所述数据通讯设备接收的报文进行dnac检查的步骤。

若源ip或目的ip属于白名单，所述方法还包括：

检查源ip或目的ip是否属于dnac防护对象，若不属于，则跳过dnac检查继续处理业务；

若属于则继续执行所述根据所述dnac表项对所述数据通讯设备接收的报文进行dnac检查的步骤。

进一步，若源ip或目的ip不属于dnac防护对象，所述方法还包括：

检查是否为tcp－syn报文，若不是tcp－syn报文，则跳过dnac检查继续处理业务；

若是则继续执行所述根据所述dnac表项对所述数据通讯设备接收的报文进行dnac检查的步骤。

进一步地，dnac技术允许用户进行定期自行变更复杂的主机名，可以实现主机间的差异化防护。

举例：

某用户的个人主机不希望被其他人访问，可以将主机名修改成特殊的长字符串，来实现更高的安全需求，而不会影响自己的正常访问。

实施例二：

如图3所示：

本公开还可以在实施例一的技术方案上做如下改进：

还包括：

s103：设定所述dnac表项的老化时间为300s；

启动一个秒级定时器，周期性对所述dnac表项的创建时间进行检查，删除超过所述老化时间的所述dnac表项。

实施例三：

如图4所示，

本公开还提供了一种基于dnac技术实现局域网主动防御的装置，包括：

dnac构建模块401，用于数据通讯设备通过解析dns应答报文建立dnac表项，其中所述dnac表项为域名请求者ip地址和域名ip地址的对应关系；

dnac检查模块402，用于根据所述dnac表项对报文进行dnac检查，若检查通过则继续处理业务，若检查不通过则将报文诱捕至蜜罐。

实施例四：

本公开还能够提供一种计算机存储介质，其上存储有计算机程序，计算机程序被处理器执行时用于实现上述的基于dnac技术实现局域网主动防御方法的步骤。

本公开的计算机存储介质可以采用半导体存储器或磁芯存储器实现。

半导体存储器，主要用于计算机的半导体存储元件主要有mos和双极型两种。mos元件集成度高、工艺简单但速度较慢。双极型元件工艺复杂、功耗大、集成度低但速度快。nmos和cmos问世后，使mos存储器在半导体存储器中开始占主要地位。nmos速度快，如英特尔公司的1k位静态随机存储器的存取时间为45ns。而cmos耗电省，4k位的cmos静态存储器存取时间为300ns。上述半导体存储器都是随机存取存储器(ram)，即在工作过程中可随机进行读出和写入新内容。而半导体只读存储器(rom)在工作过程中可随机读出但不能写入，它用来存放已固化好的程序和数据。rom又分为不可改写的熔断丝式只读存储器──prom和可改写的只读存储器eprom两种。

磁芯存储器，具有成本低，可靠性高的特点，且有20多年的实际使用经验。70年代中期以前广泛使用磁芯存储器作为主存储器。其存储容量可达10位以上，存取时间最快为300ns。国际上典型的磁芯存储器容量为4ms～8mb，存取周期为1.0～1.5μs。在半导体存储快速发展取代磁芯存储器作为主存储器的位置之后，磁芯存储器仍然可以作为大容量扩充存储器而得到应用。

实施例五：

本公开还提供了一种电子设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，处理器执行计算机程序时实现上述的基于dnac技术实现局域网主动防御方法的步骤。

图5为一个实施例中电子设备的内部结构示意图。如图5所示，该电子设备包括通过系统总线连接的处理器、存储介质、存储器和网络接口。其中，该计算机设备的存储介质存储有操作系统、数据库和计算机可读指令，数据库中可存储有控件信息序列，该计算机可读指令被处理器执行时，可使得处理器实现一种基于dnac技术实现局域网主动防御方法。该电设备的处理器用于提供计算和控制能力，支撑整个计算机设备的运行。该计算机设备的存储器中可存储有计算机可读指令，该计算机可读指令被处理器执行时，可使得处理器执行一种基于dnac技术实现局域网主动防御方法。该计算机设备的网络接口用于与终端连接通信。本领域技术人员可以理解，图5中示出的结构，仅仅是与本申请方案相关的部分结构的框图，并不构成对本申请方案所应用于其上的计算机设备的限定，具体的计算机设备可以包括比图中所示更多或更少的部件，或者组合某些部件，或者具有不同的部件布置。

该电子设备包括但不限于智能电话、计算机、平板电脑、可穿戴智能设备、人工智能设备、移动电源等。

所述处理器在一些实施例中可以由集成电路组成，例如可以由单个封装的集成电路所组成，也可以是由多个相同功能或不同功能封装的集成电路所组成，包括一个或者多个中央处理器(centralprocessingunit，cpu)、微处理器、数字处理芯片、图形处理器及各种控制芯片的组合等。所述处理器是所述电子设备的控制核心(controlunit)，利用各种接口和线路连接整个电子设备的各个部件，通过运行或执行存储在所述存储器内的程序或者模块(例如执行远端数据读写程序等)，以及调用存储在所述存储器内的数据，以执行电子设备的各种功能和处理数据。

所述总线可以是外设部件互连标准(peripheralcomponentinterconnect，简称pci)总线或扩展工业标准结构(extendedindustrystandardarchitecture，简称eisa)总线等。该总线可以分为地址总线、数据总线、控制总线等。所述总线被设置为实现所述存储器以及至少一个处理器等之间的连接通信。

图5仅示出了具有部件的电子设备，本领域技术人员可以理解的是，图5示出的结构并不构成对所述电子设备的限定，可以包括比图示更少或者更多的部件，或者组合某些部件，或者不同的部件布置。

例如，尽管未示出，所述电子设备还可以包括给各个部件供电的电源(比如电池)，优选地，电源可以通过电源管理装置与所述至少一个处理器逻辑相连，从而通过电源管理装置实现充电管理、放电管理、以及功耗管理等功能。电源还可以包括一个或一个以上的直流或交流电源、再充电装置、电源故障检测电路、电源转换器或者逆变器、电源状态指示器等任意组件。所述电子设备还可以包括多种传感器、蓝牙模块、wi－fi模块等，在此不再赘述。

进一步地，所述电子设备还可以包括网络接口，可选地，所述网络接口可以包括有线接口和/或无线接口(如wi－fi接口、蓝牙接口等)，通常用于在该电子设备与其他电子设备之间建立通信连接。

可选地，该电子设备还可以包括用户接口，用户接口可以是显示器(display)、输入单元(比如键盘(keyboard))，可选地，用户接口还可以是标准的有线接口、无线接口。可选地，在一些实施例中，显示器可以是led显示器、液晶显示器、触控式液晶显示器以及oled(organiclight－emittingdiode，有机发光二极管)触摸器等。其中，显示器也可以适当的称为显示屏或显示单元，用于显示在电子设备中处理的信息以及用于显示可视化的用户界面。

进一步地，所述计算机可用存储介质可主要包括存储程序区和存储数据区，其中，存储程序区可存储操作系统、至少一个功能所需的应用程序等；存储数据区可存储根据区块链节点的使用所创建的数据等。

在本发明所提供的几个实施例中，应该理解到，所揭露的设备，装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，所述模块的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式。

所述作为分离部件说明的模块可以是或者也可以不是物理上分开的，作为模块显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。

另外，在本发明各个实施例中的各功能模块可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用硬件加软件功能模块的形式实现。

以上对本公开的实施例进行了描述。但是，这些实施例仅仅是为了说明的目的，而并非为了限制本公开的范围。本公开的范围由所附权利要求及其等价物限定。不脱离本公开的范围，本领域技术人员可以做出多种替代和修改，这些替代和修改都应落在本公开的范围之内。