(19)中华人民共和国国家知识产权局(12)发明专利申请(10)申请公布号CN113660252A(43)申请公布日2021.11.16(21)申请号202110924204.4(22)申请日2021.08.12(71)申请人江苏亨通工控安全研究院有限公司地址215137江苏省苏州市相城区高铁新城南天成路8号天成大厦8楼(72)发明人蔡艳林吴志华秦岳陈夏裕章明飞(74)专利代理机构苏州国诚专利代理有限公司32293代理人马振华(51)Int.Cl.H04L29/06(2006.01)权利要求书2页说明书5页附图4页(54)发明名称主动防御系统及方法(57)摘要本发明提供一种主动防御系统及方法，其中，系统包括：应用层、控制层、转发层以及防御网络层；转发层接收外部的网络流量请求；控制层对网络流量请求进行拆包和分析，并发送流量包至应用层；应用层对流量包进行分析，并根据分析结果，选择放行或者进行安全防御动作；防御网络层执行安全防御动作时，接收发送的攻击请求，并生成攻击请求所需的目标地址ip，且防御网络层改写攻击请求内的目标地址ip为防御网络主机ip，并将攻击请求重新封包后通过转发层发送给控制层，控制层对回包重新拆包后，将源地址ip改写为原攻击请求的目标地址ip。本发明通过模拟多层虚拟网络，实现在最小扰动甚至不扰动实时传输过程的同时，完成对入侵攻击的防御。CN113660252ACN113660252A权利要求书1/2页1.一种主动防御系统，其特征在于，所述主动防御系统包括：应用层、控制层、转发层以及防御网络层；所述转发层接收外部的网络流量请求；所述控制层对所述网络流量请求进行拆包和分析，并发送流量包至所述应用层；所述应用层对流量包进行分析，并根据分析结果，选择放行或者进行安全防御动作；所述防御网络层执行安全防御动作时，接收发送的攻击请求，并生成攻击请求所需的目标地址ip，且所述防御网络层改写攻击请求内的目标地址ip为防御网络主机ip，并将攻击请求重新封包后通过所述转发层发送给所述控制层，所述控制层对回包重新拆包后，将源地址ip改写为原攻击请求的目标地址ip。2.根据权利要求1所述的主动防御系统，其特征在于，所述转发层包括SDN交换网络，所述SDN交换网络包括多个能够进行交互的网络节点，各网络节点与所述控制层进行数据传输。3.根据权利要求2所述的主动防御系统，其特征在于，所述控制层包括：策略下发模块和SDN控制器；所述策略下发模块与所述SDN控制器进行数据传输，且所述策略下发模块还与各网络节点进行数据传输；所述SDN控制器对所述网络流量请求进行拆包和分析，并发送流量包至所述应用层。4.根据权利要求1所述的主动防御系统，其特征在于，所述应用层包括安全监测模块和安全防护模块；所述安全监测模块对流量包进行分析，并根据分析结果，选择放行或者由所述安全防护模块进行安全防御动作。5.根据权利要求4所述的主动防御系统，其特征在于，所述安全监测模块还包括流量学习单元，所述流量学习单元在进行安全防御动作之前获取白名单ip。6.根据权利要求4所述的主动防御系统，其特征在于，所述安全防御动作还包括：在分析判断为白名单ip被动接受具有威胁的流量请求时，对白名单ip进行保护，其包括：通过传输跳变的方式，改写攻击流量包的攻击目标ip为空闲ip，并将空闲ip实例化，将攻击请求转入所述防御网络层，等待防御网络层响应后，所述控制层将回包重新封装，将源地址ip改写为原攻击请求的目标地址ip。7.根据权利要求6所述的主动防御系统，其特征在于，所述安全防御动作还包括：在分析判断为当攻击者发起范围扫描请求时，进行空闲ip实例化，其包括：检索是否存在空闲ip，通过SDN控制器实现将空闲ip分配到所述防御网络层的主机中，完成IP实例化过程，通过传输跳变的方式，直接将范围扫描请求转入所述防御网络层。8.根据权利要求4所述的主动防御系统，其特征在于，所述安全防护模块还包括上报模块，所述上报模块将进行安全防御动作过程中的攻击记录进行上传。9.一种主动防御方法，其特征在于，所述主动防御方法包括如下步骤：接收外部的网络流量请求；对所述网络流量请求进行拆包和分析，并发送相应的流量包；接收发送的流量包，对其进行分析并根据分析结果，选择放行或者进行安全防御动作；进行安全防御动作时，接收发送的攻击请求，并生成攻击请求所需的目标地址ip，改写2CN113660252A权利要求书2/2页攻击请求内的目标地址ip为防御网络主机ip，并将攻击请求重新封包后进行发送，对回包重新拆包后，将源地址ip改写为原攻击请求的目标地址ip。10.根据权利要求9所述的主动防御方法，其特征在于，所述安全防御动作还包括：在分析判断为白名单ip被动接受具有威胁的流量请求时，对白名单ip进行保护，其包括：通过传输跳变的方式，改写攻