(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111388627.5 (22)申请日 2021.11.22 (71)申请人 中国电子科技 集团公司第五十四研 究所 地址 050081 河北省石家庄市中山西路589 号第五十四所通信网信息传输与分发 技术重点实验室 (72)发明人 高小涵　贾哲　贾紫艺　焦利彬　 刘丽哲　赵宾华　张翼飞　王强　 吴向博　 (74)专利代理 机构 河北东尚律师事务所 13124 代理人 王文庆 (51)Int.Cl. H04L 9/40(2022.01) H04L 61/5007(2022.01)H04L 101/622(2022.01) (54)发明名称 一种零信任与网络诱捕相结合的网络防御 系统及方法 (57)摘要 本发明公开了一种零信任与网络诱捕相结 合的网络防御系统及方法， 属于网络空间安全技 术领域。 本发明结合零信任与网络诱捕思想， 能 有效地对网络内的真实用户提供可靠的保护， 也 能逼真地模拟虚假网络资源诱骗攻击者， 使攻击 者只能与虚假网络资源交互， 对攻击者的攻击行 为进行诱捕和分析。 权利要求书2页 说明书5页 附图3页 CN 114124523 A 2022.03.01 CN 114124523 A 1.一种零信任与网络诱捕相结合的网络防御系统， 其特征在于， 包括控制模块、 诱捕模 块、 分析模块、 终端模块； 控制模块包括权限管理模块、 认证模块、 网络控制模块； 其中， 认证模块负责对用户进 行认证， 接 收用户发送的认证包， 根据认证包中的信息确定网络内的用户是否属于可认证 用户； 权限管理模块负责对网络内用户的权限进 行管理， 包括对用户的权限的添加、 分配和 修改， 对认证后的用户进 行权限判定， 判断用户有权访问的网络 资源； 网络控制模块负责对 网络进行管理控制， 根据生成的蜜罐的IP地址和 MAC地址以及下一跳交换节点的MAC地址， 向各个交换机下发流表， 使网络流 量按照设定的路线传递并到 达目的地址； 诱捕模块包括诱捕环境管理模块、 诱饵流量生成模块； 其中， 诱捕环境管理模块负责对 生成的蜜 罐进行管理和控制， 包括随机动态创建蜜 罐、 根据最近最少使用算法删除蜜 罐； 诱 饵流量生成模块负责根据网络内真实流量， 随机动态生成诱饵流量， 欺骗攻击者并诱捕攻 击者； 分析模块负责 分析蜜罐日志、 蜜罐状态， 分析攻击者的攻击状态； 终端模块包括终端认证模块、 终端访问控制模块； 其中， 终端认证模块负责用户的认 证， 包括向认证模块发送认证包， 对接收的认证包进 行认证； 终端访问控制模块负责为用户 提供终端 级别的保护， 控制用户能否进行访问； 控制模块和诱捕模块部署在网络中的不同设备上， 连接在不同的交换机上； 终端认证 模块和终端访问控制模块部署在网络中的用户设备 上。 2.一种基于如权利要求1所述网络防御系统的服务正常访问方法， 其特征在于， 包括以 下步骤： 步骤S101.  网络中用户的终端访问控制模块进行初始设置， 仅允许控制模块的流量通 过， 源地址为 其他的流量均不允许通过； 步骤S102.  对向其他用户提供服务的服务用户， 通过其终端认证模块向认证模块发送 认证包， 认证包的内容包括该用户的用户名、 口令、 IP地址、 MAC地址、 向其他用户提供的服 务名称； 步骤S103.  认证模块对服务用户发送的认证包认证通过后， 在权限管理模块中的服务 列表中添加该服 务名称和IP地址信息， 然后认证模块向该服 务用户返回认证通过信息； 步骤S104.  对于访问其他用户提供的服务的访问用户， 通过其终端认证模块向认证模 块发送认证包， 认证包的内容包括该用户的用户名、 口令、 IP地址、 MAC地址； 步骤S105.  认证模块对访问用户发送的认证包认证通过后， 在权限管理模块中的访问 列表中添加该访问用户的用户名和IP地址信息； 然后权限管理模块根据该访问用户的权 限， 确认其当前可访问的服务列 表， 所述服务列表中包括可访问服务名称和IP地址信息； 认 证模块向该访问用户返回该用户当前 可访问的服 务列表； 步骤S106.  访问用户根据收到的当前可访问的服务列表， 确定要访问的服务的IP地 址； 访问用户的终端访问控制模块使服务用户到认证用户的流量到达认证模块； 访问用户 通过其终端认证模块向要访问的服务用户发送认证包， 认证包的内容包括该访问用户的用 户名和口令； 步骤S107.  服务用户的终端认证模块接收到访问用户的认证包， 认证通过之后进行权 限判定， 判断该访问用户是否有权限访问服务； 权限判定通过后， 服务用户的终端认证模块权　利　要　求　书 1/2 页 2 CN 114124523 A 2向访问用户返回认证通过信息； 终端访问控制模块使访问用户到服务的流量能够到达服 务； 步骤S108.  访问用户向服 务用户的服 务发起访问， 二 者进行交 互， 正常工作； 步骤S109.  服务用户和访问用户每隔1分钟向认证模块重新认证， 发送 认证包。 3.一种基于如权利要求1所述网络防御系统的非正常流量诱捕方法， 其特征在于， 包括 以下步骤： 步骤S201.  诱捕环境管理模块生成多个蜜罐， 蜜罐的IP地址和MAC地址由两种生成方 式生成： 第一种生成方式， 根据权限管理模块的服务列表中的已有设备信息， 使用相同的IP地 址和MAC地址； 第二种生成方式， 随机动态生成， 但是生成的IP地址和MAC地址不与权限管理模块的服 务列表和访问列表中的已有地址相同； 步骤S202.  网络控制模块根据由第二种生成方式生成的蜜罐的IP地址和MAC地址向网 络中的交换机下发流表， 使得目的地址为第二种蜜罐IP的流 量能够通过流表到 达蜜罐； 步骤S203.  诱饵流量生成模块根据网络内真实业务流量， 随机动态生成诱饵流量， 其 源地址或目的地址为蜜罐地址， 并在网络中动态传递； 步骤S204.  当有访问用户在认证模块认证失败时， 认证模块向该访问用户返回蜜罐列 表中的2至5个第一种生成方式生成的蜜 罐IP地址； 网络控制模块向网络中的交换机下发流 表， 使得该访问用户访问上述IP地址的流量能够优先通过流表到达蜜罐， 而不是到达真实 用户； 步骤S205.  当有访问用户在网络中对终端进行访问时， 在终端为真实用户设备的情况 下， 若访问用户向终端发送认证包， 则终端对访问用户发送的认证包进 行认证； 若访问用户 向终端发送非认证包， 则有两种情况： a） 若访问用户已认证， 则 访问用户可以与终端进 行交 互； b） 若访问用户未认证， 则终端阻止访问用户的访问； 在终端为蜜罐设备的情况下， 访问 用户与蜜罐进行交 互； 步骤S206. 蜜罐中模拟真实服 务， 攻击者与蜜罐的虚假 服务进行交 互； 步骤S207.  蜜罐记录攻击者和蜜罐的交 互信息； 步骤S208.  分析模块根据攻击者和蜜罐的交互信息以及蜜罐的日志和状态信息， 分析 攻击者的行为， 实现对攻击者的诱捕和分析。权　利　要　求　书 2/2 页 3 CN 114124523 A 3