CN102790778A - 一种基于网络陷阱的DDoS攻击防御*** - Google Patents
一种基于网络陷阱的DDoS攻击防御*** Download PDFInfo
- Publication number
- CN102790778A CN102790778A CN2012102993221A CN201210299322A CN102790778A CN 102790778 A CN102790778 A CN 102790778A CN 2012102993221 A CN2012102993221 A CN 2012102993221A CN 201210299322 A CN201210299322 A CN 201210299322A CN 102790778 A CN102790778 A CN 102790778A
- Authority
- CN
- China
- Prior art keywords
- data
- ddos attack
- network
- attack
- module
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开一种基于网络陷阱的DDoS攻击防御***,该***包括蜜罐控制台、多个蜜罐***、报警代理和数据分流器,所述蜜罐***是一台欺骗主机,其操作***和主机操作***相同,其外部特征能够吸引攻击者的入侵,并通过蜜罐控制台将攻击数据引入数据分流器,实现对网络的保护。该***能够抵御已知的DDoS攻击,引诱攻击者进入陷阱***,减少攻击者对网络中其它***的危害,同时对网络中的数据流量进行分流处理,把正常流和DDoS攻击流区分开,并过滤掉DDoS攻击流,使正常流根据源路由访问目的主机。
Description
技术领域
本发明是属于网络安全技术领域,尤其涉及一种基于网络陷阱的分布式拒绝服务攻击(DDoS)的防御***,其用于在自治域网络或局域网中发生DDoS攻击的情况下,能对攻击快速响应,诱导攻击进入网络陷阱,并有效地分离合法数据流和攻击数据流。
背景技术
随着互联网的迅速发展,网络安全已经成为一个备受关注的问题,人们也越来越重视对网络攻击的检测和防范。在众多网络攻击中,分布式拒绝服务攻击(DDoS)是一种简单有效但很难防御的攻击方式。DDoS攻击是一种分布式、协作的大规模拒绝服务攻击,具有攻击范围广、隐蔽性强等特点。目前,在技术手段上尚无完全有效的防范方法,因为它是利用缓冲区溢出或TCP/IP协议自身的缺陷,产生大量“合法”的数据包来攻击目标,如TFN2K,Ping of death,SYN攻击种类等。经过流量分析,DDoS攻击数据流量一般具有例如:攻击流量目的地址过于集中且无拥塞控制;流向目的主机的TCP/UDP流量目的端口过多或目的端口过于集中;流向目的主机中流量包含大量的相同标志位数据包等特点。DDoS攻击的实质是使服务器处理超过其正常限度的数据量,因此实施监控和分析这些数据量的变化,区分正常和异常的特征,是DDoS攻击检测和防护的有效途径。
为了能够更加有效地对抗DDoS攻击,一些研究机构和学者从控制网络数据流量这一角度出发,把网络陷阱技术引入进来。网络陷阱是一种主动的网络保护技术,由放置在网络中的多个蜜罐***和一个远程的蜜罐控制台组成。网络陷阱建立一个诱骗环境来吸引攻击者,观察并记录其攻击行为,使攻击者在网络陷阱中耗费精力和技术,从而保护了真实的***和资源;通过分析蜜罐***记录的数据还可以了解攻击者的动向、使用和新攻击方法等。网络陷阱技术使抵抗攻击行为变被动为主动,打破了防火墙、入侵检测***等被动防御的网络安全机制。但传统的网络陷阱对于DDoS攻击只是简单地进行丢弃数据包的处理,造成正常用户也不能访问网络资源的结果。
发明内容
基于现有技术中的问题,本发明提出了一种基于网络陷阱的DDoS攻击防御***。它能够抵御已知的DDoS攻击,引诱攻击者进入陷阱***,减少攻击者对网络中其它***的危害,同时对网络中的数据流量进行分流处理,把正常流和DDoS攻击流区分开,并过滤掉DDoS攻击流,使正常流根据源路由访问目的主机。
本发明的技术方案是:一种基于网络陷阱的DDoS攻击防御***,包括蜜罐控制台、多个蜜罐***、报警代理和数据分流器,其特征在于:
所述蜜罐***安装在主机设备上,并挂入主机设备的操作***,通过模拟正常服务的网络流量,对网络探测、扫描和访问进行欺骗,吸引攻击者进入;并在日志中记录进入陷阱网络的攻击者的所有活动;
所述蜜罐控制台安装在服务器设备上,用于对蜜罐***上捕获的网络数据进行分析,当发现DDoS攻击数据流时,向数据分流器发送警报信号;所述蜜罐控制台还用于对网络中部署的所有蜜罐***进行管理和监控,完成对蜜罐***的配置和信息查询;
所述警报代理安装在主机设备上,用于向数据分流器和/或网络管理员发出报警;
所述数据分流器安装在服务器设备上,用于根据过滤策略对数据流进行分流,过滤掉DDoS攻击数据流,保证合法数据包继续传送到目的主机。
所述蜜罐***和蜜罐控制台构成网络陷阱。
进一步,所述蜜罐***包括数据欺骗模块、数据捕获模块和数据通信模块,
所述数据欺骗模块用于对网络探测、扫描和访问进行欺骗,模拟正常服务的网络流量,吸引攻击者进入;
所述数据捕获模块用户实时监听陷阱***中的各种探测、扫描和访问,并对各种行为进行记录,形成标准格式的信息;
所述数据通信模块用于在蜜罐***和蜜罐控制台之间的通信,其包括加密和解密模块。
进一步,所述数据捕获模块捕获的数据通过所述数据通信模块保存于蜜罐控制台的数据库模块中。
进一步,所述数据欺骗模块欺骗的方式为伪装服务、开放端口或放置敏感文件。
作为优化方案,所述蜜罐控制台包括数据库模块和数据分析模块,
所述数据库模块用于捕获数据的处理和存储,并根据需要提供查询、打印和统计的功能。
所述数据分析模块用于对可疑的攻击流进行进一步的分析,以确定是否是DDoS攻击。
作为再一优化方案,所述数据分流器包括规则数据库模块和过滤模块,
所述规则数据库模块用于通过知识发现,形成了描述数据流的行为特征的规则集,所述规则用于描述各种DDoS攻击流的特征。
所述过滤模块用于根据规则数据库中的规则对数据流进行分析和过滤,将合法流和攻击流分开,并将合法数据流导向正常服务区,滤掉已知的攻击流。
进一步地,还包括防火墙,所述防火墙设置在网络入口处,直接与因特网相连,用于监听和阻塞向外发送的数据包;所述防火墙还用于动态分流将可疑数据流转接到陷阱***中。
又进一步地,还包括路由器,所述路由器设置在防火墙和蜜罐***之间,用于保护蜜罐***不被用做攻击其他***的跳板。
再进一步地,还包括入侵检测***,所述入侵检测***设置在防火墙之后,用于初步检测流入的数据流,针对可疑攻击主动向所述防火墙,并通过所述防火墙的将后续的数据流转向蜜罐***中。
本发明的有益效果是:与现有的DDoS攻击防御***相比,具有以下优点:
1.提供了全自动的防御和分流方法
以往的一些方案,攻击防御需要人工参与,当发生DDoS攻击时,往往得不到及时处理,此外误报率也很大。本发明提出的***中所有的监控、检测、报警和分流都可以自动进行处理,不需要人工的参与,因此,响应攻击更及时,反映更快速。
2.具有自学习性
本发明提出的***采用聚类k-means方法和Apriori关联规则数据挖掘方法进行知识发现,并根据数据流的特征产生新的流量规则,***能发现并检测新的DDoS攻击。
3.不会影响正常用户对网络的访问
本发明的***中采用数据分流技术,能够把正常数据流从DDoS攻击流中分离出来,不会对正常用户访问网络资源造成影响。
附图说明
图1是本发明***结构示意图
图2是蜜罐***结构示意图
图3是蜜罐控制台结构示意图
图4是数据分析模块具体流程图
图5是数据分流器结构示意图
具体实施方式
图1所示的本发明***结构示意图,物理上由一个蜜罐控制台、多个蜜罐***、一个警报代理和一个数据分流服务器组成。这些在网络中部署的蜜罐***可以形成一个安全防御体系。其中每一个蜜罐***就是一台欺骗主机,它具有的外部特征能够吸引攻击者的入侵,蜜罐***可建立多个操作***伪装环境,其操作***和主机操作***相同。攻击者可通过两种途径进入蜜罐***,一是攻击者发现蜜罐***上的敏感信息或***漏洞借助攻击工具进入;二是入侵检测***检测出当前数据流是可疑攻击数据流,通过防火墙的地址转向功能将可疑数据转向到蜜罐***中。
在实际组网中,蜜罐***与蜜罐控制台异地部署,并由防火墙分隔开来,它们之间的联系采用TCP方式,设置为只有蜜罐***中捕获的数据加密后才可到达蜜罐控制台。蜜罐控制台可以对网络中所有的蜜罐进行远程的监控,并根据检测数据判别是否发生DDoS攻击,以及是否发出警报启动数据分流程序。
警报代理,用来检测到DDoS攻击流后向数据分流器发出报警,由数据分流器对攻击数据流进行分流处理,也可向网络管理员发出警报,实现对攻击数据流进行人工干预。
数据分流器安装在服务器设备上,其作用是根据一定的过滤策略对数据流量进行分流,如符合某条DDoS攻击流特征就进行丢弃处理,如果是正常数据流就进行网络地址转换。经过数据分流器处理的是被入侵检测***检测出存在威胁的数据流,再通过蜜罐控制台的细化分析是否发生DDoS攻击,对警报事件动态地进行过滤措施,把合法数据包和DDoS攻击包分离开。合法包将沿原来的路由到达目的主机,DDoS攻击包则被过滤掉。
蜜罐控制台和多个蜜罐***构成网络陷阱***,网络陷阱***中还包括防火墙、路由器和入侵检测***(IDS)。防火墙设置在网络入口处,直接与因特网相连,在其出口处进行控制,允许所有的进入的连接,控制出去的连接,一旦蜜罐***向因特网的连接达到一定的数目,防火墙就阻断所以后续的连接企图,避免蜜罐***成为攻击者的跳板。此外,防火墙具有动态分流的作用,当入侵检测***检测到可疑数据流时,可以将可疑数据流转接到陷阱***中。
路由器设置在防火墙和蜜罐***之间,首先,路由器隐藏了防火墙;当攻击者进入蜜罐***后,发现蜜罐***由路由器连接着外网,这种布局更符合一个真实的网络,其次,路由器可以作为第二层访问控制设备成为防火墙的补充,在路由器上设置着访问控制表,可以把所有源地址不是蜜罐***的数据包都过滤掉,防止攻击者在控制蜜罐***后,伪造源IP地址向其它主机发起攻击。
入侵检测***设置在防火墙之后。入侵检测***用于初步检测流入的数据流,当入侵检测***认为当前流量正常时,就放行流量;当检测到可疑攻击时,入侵检测***主动向防火墙发出信息,通过防火墙的地址转向功能将后续的数据流转向蜜罐***中,进一步观察其行为。入侵检测***也具有知识学习的能力,当发现新的入侵行为时,蜜罐控制台分析数据产生新的攻击规则,入侵检测***的规则库随之更新,从而使入侵检测***可以检测出新的入侵行为。这里所使用的入侵检测***是开放源码的Snort。
如图2所示是蜜罐***结构示意图。对蜜罐***的部署涉及三个模块,包括:
数据欺骗模块,以实现对网络攻击的诱导功能。一般用伪装服务、开放端口和放置敏感文件等形式对网络探测、扫描和访问进行欺骗,通过网络流量仿真软件模拟正常服务的网络流量,吸引攻击者进入。
数据捕获模块,以实现对网络数据的捕获功能。在攻击者没有察觉的情况下,尽可能多地捕获有关攻击者的行为数据,进行实时监听蜜罐***中的各种探测、扫描和访问,也包括攻击者对蜜罐***中的文件的读取、数据删改等操作,并对各种行为进行记录,并形成标准格式的信息。数据捕获模块要从各种不同的数据源收集数据,分层次地进行数据捕获,像防火墙日志、入侵检测***日志和蜜罐***日志都要包含在内。为了更全面完整地捕获攻击者的有关信息,还可以使用第三方软件来记录攻击者的网络通信和***活动。
数据通信模块,以实现蜜罐***和蜜罐控制台数据通信的功能。为了防止攻击者对捕获地数据进行破坏,捕获到的数据不能保存在蜜罐***中,捕获到的数据通过数据通信模块存储到控制台的数据库模块中。在各蜜罐***和控制台服务器都有通信模块,它使用统一的数据传输格式传输数据,发送数据前进行加密,接收数据后进行解密,保证传输在网络上的数据都是加密状态传送的,常用的加密方法有MD5等。
如图3所示是蜜罐控制台结构示意图。对蜜罐控制台的部署涉及两个模块,包括:
数据库模块,以实现将数据捕获模块获取的数据存储在数据库的功能,数据库模块作为远程数据处理和存储中心,可以根据需要查询、打印和统计各种原始数据。数据库模块中的数据包含防火墙日志、入侵检测***日志和蜜罐***的***日志等。***可设置一定的时间间隔或人工地对数据库中信息进行分类,以方便规则的提取。
数据分析模块,以实现数对数据库模块上的信息进行处理。数据分析模块对有可疑的攻击流进行进一步的分析,如果这种可疑攻击可能是DDoS攻击,则向警报代理发出预警,将网络数据导向数据分流器。数据分析的过程如图4所示,具体的步骤如下:
步骤1 利用数据库模块获取的蜜罐***捕获的数据,通过预处理转化为连接记录。
对蜜罐***捕获的数据预处理,转化为连接记录,每个连接记录中包含9个属性:time, flag, direction,src-host,dst host,src byte,dst-byte,src_port,service。其含义分别为:time表示一个连接发生的时间;flag表示连接结束的状态;direction根据数据包的从源地址到目的地址的方向;src- host表示源主机IP;dste host表示目的主机IP;srcwe byte表示发送方发出的字节数;dst-byte表示目的方发送的字节数;src_port表示发送方的端口号;service表示服务类型。其中,src byte和dst-byte字段是数值属性的统计量。
步骤2 采用聚类k-means方法对连接记录进行处理,将连接记录转化为流量特征。
步骤2.1 选k个初始聚类中心:z1(1),z2(1),…,z k (1),聚类中心的向量值可以任意设定,一般可用开始k样本点作为初始聚类中心。
步骤2.2 逐个将需分类的数据包样本{x}按最小距离原则分配给聚类中心的某一个zj(1)。假如i=j时,Dj(l)=min{ ,i=1,2,…,k},则x∈Sj(l),其中l为迭代运算次序号,第一次迭代则l=1,Sj表示第j个聚类,其聚类中心为zj。
步骤2.3 计算各个聚类中心的新的向量值,即求各聚类域中包含样本的均值向量:zj(l+1)=,j=1,2,…,k,其中N j 是第j个聚类域S j 中所包含的样本数。以均值向量为新的聚类中心,使聚类准则函数Jj=最小,其中j=1,2,…,k。
步骤2.4 如果z j (l+1)≠z j (l),j=1,2,…,k,则l=l+1,回到步骤2.2,将样本逐个重新分类,重复迭代计算。如果z j (l+1)=z j (l),j =1,2,…,k,则算法收敛,计算完毕。这样就将原有的包含数值属性的字段全部替换为布尔型,形成数据的流量特征。
步骤3 进行DDoS攻击数据流的判别,当发现DDoS攻击时,向警报代理发出信号。
步骤4 采用Apriori关联规则数据挖掘方法进行知识发现,并根据数据流的特征产生的新规则。可以得到如下的关联规则:(service:http&duration:0&src一byte:0&dst_byte:()→flag:s0) [support=5.14%,confidence=95.68%]。其意思是:当某外部主机用http进行时,其连接时间为0,源和目标之间的传送数据也为0,仅发送出一个数据包的支持度为5.14%,可信度为95.68%,这样的连接可视为不正常。
根据新规则对入侵检测***的规则库进行更新,从而使入侵检测***可以检测出新的入侵行为。特别地,当攻击类型是DDoS攻击时,将提取出的规则发送到数据分流器的规则数据库模块中,从而使数据分流器可以过滤到新型DDoS攻击数据流。
如图5所示是数据分流器结构示意图,对数据分流器的部署涉及两个模块:
规则数据库模块,以实现保存可描述的所有DDoS攻击流的规则的功能。根据长时间的知识发现,形成了比较完整地描述数据流的行为特征的规则集,可描述出各种DDoS攻击流的特征。当发生DDoS攻击时,由控制台服务器的数据分析模块传送新规则,实现实时更新规则数据库。规则数据库模块是实现分流机制的数据基础,过滤模块正是使用规则数据库的规则对数据流进行过滤的。
实际操作的过程是:首先,接收从蜜罐控制台的数据分析模块传送过来的新规则。其次,分析新规则的实用性。如果产生的是无用的规则,***就丢弃掉;如果新规则比原来的规则更精确,就更新原有规则;如果是新的DDoS攻击规则,就把此规则加入到数据库中,更新数据库。
过滤模块:收到警报器发出的警报后,比对规则数据库中的DDoS攻击流的特征,根据已有的规则对数据流进行过滤,将合法流和攻击流分开,将合法数据流导向正常服务区,并过滤掉的攻击流。
该防御***主要解决了三个问题:
(1)使用网络陷阱吸引攻击者的注意,来保护实际运行的网络和***。
(2)实时检测当前网络流量的异常状态,发现可疑攻击时,把后续数据流导向网络陷阱中。
(3)利用网络陷阱的数据分析功能,分析可疑数据流的特征,当确定是DDoS攻击时,根据已有的规则对数据流进行过滤,将合法流和DDoS攻击流分开,将合法数据流导向正常服务区,并过滤掉的攻击流。
以上所述的实例只是用于说明本发明,而不构成对本发明的限制。本领域的技术人员可以根据本发明公开的这些技术启示做出各种不脱离本发明实质的其它各种修改和变更,这些修改和变更仍然在本发明的保护范围内。
Claims (10)
1.一种基于网络陷阱的DDoS攻击防御***,包括蜜罐控制台、多个蜜罐***、报警代理和数据分流器,其特征在于:
所述蜜罐***安装在主机设备上,并挂入主机设备的操作***,通过模拟正常服务的网络流量,对网络探测、扫描和访问进行欺骗,吸引攻击者进入;并在日志中记录进入陷阱网络的攻击者的所有活动;
所述蜜罐控制台安装在服务器设备上,用于对蜜罐***上捕获的网络数据进行分析,当发现DDoS攻击数据流时,向数据分流器发送警报信号;所述蜜罐控制台还用于对网络中部署的所有蜜罐***进行管理和监控,完成对蜜罐***的配置和信息查询;
所述警报代理安装在主机设备上,用于向数据分流器或网络管理员发出报警;
所述数据分流器安装在服务器设备上,用于根据过滤策略对数据流进行分流,过滤掉DDoS攻击数据流,保证合法数据包继续传送到目的主机。
2.根据权利要求1所述的一种基于网络陷阱的DDoS攻击防御***,其特征在于:所述蜜罐***包括数据欺骗模块、数据捕获模块和数据通信模块,
所述数据欺骗模块用于对网络探测、扫描和访问进行欺骗,模拟正常服务的网络流量,吸引攻击者进入;
所述数据捕获模块用于用户实时监听陷阱***中的各种探测、扫描和访问,并对各种行为进行记录,形成标准格式的信息;
所述数据通信模块用于在蜜罐***和蜜罐控制台之间的通信,其包括加密和解密模块。
3.根据权利要求1所述的一种基于网络陷阱的DDoS攻击防御***,其特征在于:所述蜜罐控制台包括数据库模块和数据分析模块;
所述数据库模块用于捕获数据的处理和存储,并根据需要提供查询、打印和统计的功;
所述数据分析模块用于对可疑的攻击流进行分析,以确定是否是DDoS攻击。
4.根据权利要求1所述的一种基于网络陷阱的DDoS攻击防御***,其特征在于:所述数据分流器包括规则数据库模块和过滤模块;
所述规则数据库模块用于形成描述数据流的行为特征的规则集,所述规则用于描述各种DDoS攻击流的特征;
所述过滤模块用于根据规则数据库中的规则对数据流进行分析和过滤,将合法流和攻击流分开,并将合法数据流导向正常服务区,滤掉已知的DDoS攻击流。
5.根据权利要求2所述的一种基于网络陷阱的DDoS攻击防御***,其特征在于:所述数据捕获模块捕获的数据通过所述数据通信模块保存于蜜罐控制台的数据库模块中;所述数据欺骗模块欺骗的方式为伪装服务、开放端口或放置敏感文件。
6.根据权利要求1所述的一种基于网络陷阱的DDoS攻击防御***,其特征在于:还包括防火墙,所述防火墙设置在网络入口处,直接与因特网相连,用于监听和阻塞向外发送的数据包;所述防火墙还用于动态分流将可疑数据流转接到陷阱***中。
7.根据权利要求6所述的一种基于网络陷阱的DDoS攻击防御***,其特征在于:还包括路由器,所述路由器设置在防火墙和蜜罐***之间,用于保护蜜罐***不被用做攻击其它***的跳板。
8.根据权利要求7所述的一种基于网络陷阱的DDoS攻击防御***,其特征在于:还包括入侵检测***,所述入侵检测***设置在防火墙之后,用于初步检测流入的数据流,针对可疑攻击主动向所述防火墙,并通过所述防火墙将后续的数据流转向蜜罐***中。
9.根据权利要求4所述的一种基于网络陷阱的DDoS攻击防御***,其特征在于:所述规则集形成的步骤为:
步骤1 利用所述数据库模块获取的蜜罐***捕获的数据,通过预处理转化为连接记录;
步骤2 采用聚类k-means方法对连接记录进行处理,将连接记录转化为流量特征;
步骤3 进行DDoS攻击数据流的判别,当发现DDoS攻击时,向警报代理发出信号;
步骤4 采用Apriori关联规则数据挖掘方法进行知识发现,根据数据流的特征产生的新规则,并根据新规则对入侵检测***的规则库进行更新。
10.根据权利要求9所述的一种基于网络陷阱的DDoS攻击防御***,其特征在于:所述步骤2的具体步骤为:
步骤2.1 选k个初始聚类中心:z1(1),z2(1),…,z k (1);
步骤2.2 逐个将需分类的数据包样本{x}按最小距离原则分配给聚类中心的任意值zj(1);假如i=j时,D j (l)=min{,i=1,2,…,k},则x∈S j (l),其中l为迭代运算次序号,第一次迭代则l=1,Sj表示第j个聚类,其聚类中心为zj;
步骤2.3 计算各聚类域中包含样本的均值向量:
步骤2.4 如果z j (l+1)≠z j (l),j=1,2,…,k,则l=l+1,回到步骤2.2;如果z j (l+1)=z j (l),j =1,2,…,k,则计算完毕,形成数据的流量特征。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2012102993221A CN102790778A (zh) | 2012-08-22 | 2012-08-22 | 一种基于网络陷阱的DDoS攻击防御*** |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2012102993221A CN102790778A (zh) | 2012-08-22 | 2012-08-22 | 一种基于网络陷阱的DDoS攻击防御*** |
Publications (1)
Publication Number | Publication Date |
---|---|
CN102790778A true CN102790778A (zh) | 2012-11-21 |
Family
ID=47156078
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN2012102993221A Pending CN102790778A (zh) | 2012-08-22 | 2012-08-22 | 一种基于网络陷阱的DDoS攻击防御*** |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN102790778A (zh) |
Cited By (44)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103051615A (zh) * | 2012-12-14 | 2013-04-17 | 陈晶 | 一种蜜场***中抗大流量攻击的动态防御*** |
CN103281341A (zh) * | 2013-06-27 | 2013-09-04 | 福建伊时代信息科技股份有限公司 | 网络事件处理方法及装置 |
CN103368979A (zh) * | 2013-08-08 | 2013-10-23 | 电子科技大学 | 一种基于改进K-means算法的网络安全性验证装置 |
CN104486320A (zh) * | 2014-12-10 | 2015-04-01 | 国家电网公司 | 基于蜜网技术的内网敏感信息泄露取证***及方法 |
CN104850093A (zh) * | 2014-02-13 | 2015-08-19 | 西门子公司 | 用于监控自动化网络中的安全性的方法以及自动化网络 |
US9535731B2 (en) | 2014-11-21 | 2017-01-03 | International Business Machines Corporation | Dynamic security sandboxing based on intruder intent |
CN107070929A (zh) * | 2017-04-20 | 2017-08-18 | 中国电子技术标准化研究院 | 一种工控网络蜜罐*** |
CN107332823A (zh) * | 2017-06-06 | 2017-11-07 | 北京明朝万达科技股份有限公司 | 一种基于机器学习的服务器伪装方法和*** |
CN107347067A (zh) * | 2017-07-07 | 2017-11-14 | 深信服科技股份有限公司 | 一种网络风险监控方法、***及安全网络*** |
CN107360145A (zh) * | 2017-06-30 | 2017-11-17 | 北京航空航天大学 | 一种多节点蜜罐***及其数据分析方法 |
CN107465663A (zh) * | 2017-07-06 | 2017-12-12 | 广州锦行网络科技有限公司 | 一种网络无痕蜜罐的实现方法及装置 |
CN107547546A (zh) * | 2017-09-05 | 2018-01-05 | 山东师范大学 | 基于卡片电脑的轻量级高交互蜜网数据传输方法、*** |
CN107579997A (zh) * | 2017-09-30 | 2018-01-12 | 北京奇虎科技有限公司 | 无线网络入侵检测*** |
CN107707576A (zh) * | 2017-11-28 | 2018-02-16 | 深信服科技股份有限公司 | 一种基于蜜罐技术的网络防御方法及*** |
CN107819731A (zh) * | 2016-09-13 | 2018-03-20 | 北京长亭科技有限公司 | 一种网络安全防护***及相关方法 |
CN107911244A (zh) * | 2017-11-17 | 2018-04-13 | 华南理工大学 | 一种云网结合的多用户蜜罐终端***及其实现方法 |
CN108134781A (zh) * | 2017-12-12 | 2018-06-08 | 浪潮云上(贵州)技术有限公司 | 一种重要信息数据保密监控*** |
CN108183884A (zh) * | 2017-11-30 | 2018-06-19 | 高旭磊 | 一种网络攻击判定方法及装置 |
CN108366088A (zh) * | 2017-12-28 | 2018-08-03 | 广州华夏职业学院 | 一种用于教学网络***的信息安全预警*** |
CN108429762A (zh) * | 2018-04-13 | 2018-08-21 | 中国石油大学(华东) | 一种基于服务角色变换的动态蜜罐防御方法 |
CN108768989A (zh) * | 2018-05-18 | 2018-11-06 | 刘勇 | 一种采用拟态技术的apt攻击防御方法、*** |
CN108833333A (zh) * | 2018-04-12 | 2018-11-16 | 中国科学院信息工程研究所 | 一种基于dcs分布式控制的蜜罐*** |
CN109257389A (zh) * | 2018-11-23 | 2019-01-22 | 北京金山云网络技术有限公司 | 一种攻击处理方法、装置及电子设备 |
CN109347794A (zh) * | 2018-09-06 | 2019-02-15 | 国家电网有限公司 | 一种Web服务器安全防御方法 |
CN109547250A (zh) * | 2018-11-26 | 2019-03-29 | 深信服科技股份有限公司 | 云蜜网装置及云蜜网配置方法、***、设备、计算机介质 |
CN109696892A (zh) * | 2018-12-21 | 2019-04-30 | 上海瀚之友信息技术服务有限公司 | 一种安全自动化***及其控制方法 |
CN110581836A (zh) * | 2018-06-11 | 2019-12-17 | 阿里巴巴集团控股有限公司 | 一种数据处理方法、装置及设备 |
CN110659487A (zh) * | 2018-06-30 | 2020-01-07 | Ovh公司 | 用于保护基础设施免受分布式拒绝服务攻击的方法和*** |
CN111083117A (zh) * | 2019-11-22 | 2020-04-28 | 上海交通大学 | 一种基于蜜罐的僵尸网络的追踪溯源*** |
CN111212091A (zh) * | 2020-02-28 | 2020-05-29 | 太仓红码软件技术有限公司 | 一种基于目标诱导的引导式网络安全*** |
CN111556068A (zh) * | 2020-05-12 | 2020-08-18 | 上海有孚智数云创数字科技有限公司 | 基于流量特征识别的分布式拒绝服务的监控和防控方法 |
CN111654493A (zh) * | 2020-06-02 | 2020-09-11 | 山东汇贸电子口岸有限公司 | Openstack中拦截指定流量的方法、***、存储介质及电子设备 |
CN111835761A (zh) * | 2020-07-11 | 2020-10-27 | 福建奇点时空数字科技有限公司 | 一种基于***仿真器的网络攻击诱骗环境构建方法 |
CN111885020A (zh) * | 2020-07-08 | 2020-11-03 | 福建奇点时空数字科技有限公司 | 一种分布式架构的网络攻击行为实时捕获与监控*** |
CN111935114A (zh) * | 2020-07-29 | 2020-11-13 | 浙江德迅网络安全技术有限公司 | 一种基于SYN攻击保护的反向追踪DDoS攻击防护方法及*** |
CN112134833A (zh) * | 2020-05-07 | 2020-12-25 | 北京国腾创新科技有限公司 | 一种虚实融合的流欺骗防御方法 |
CN112242974A (zh) * | 2019-07-16 | 2021-01-19 | ***通信集团浙江有限公司 | 基于行为的攻击检测方法、装置、计算设备及存储介质 |
CN112600822A (zh) * | 2020-12-09 | 2021-04-02 | 国网四川省电力公司信息通信公司 | 一种基于自动化引流工具的网络安全***及方法 |
CN112738077A (zh) * | 2020-12-26 | 2021-04-30 | 北京珞安科技有限责任公司 | 一种工控网络安全检测*** |
CN114389863A (zh) * | 2021-12-28 | 2022-04-22 | 绿盟科技集团股份有限公司 | 一种蜜罐交互的方法、装置、蜜罐网络、设备及存储介质 |
CN114726600A (zh) * | 2022-03-28 | 2022-07-08 | 慧之安信息技术股份有限公司 | 基于物联网的网关防护方法 |
CN114978731A (zh) * | 2022-05-30 | 2022-08-30 | 北京计算机技术及应用研究所 | 一种基于多样性扩展的诱捕蜜罐实现***及方法 |
CN115065528A (zh) * | 2022-06-14 | 2022-09-16 | 上海磐御网络科技有限公司 | 一种基于ftp服务的攻击反制***及方法 |
CN115208593A (zh) * | 2021-03-26 | 2022-10-18 | 南宁富联富桂精密工业有限公司 | 安全性监测方法、终端及计算机可读存储介质 |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20080271151A1 (en) * | 2002-12-31 | 2008-10-30 | Blake Kenneth W | Method and system for morphing honeypot with computer security incident correlation |
CN101572701A (zh) * | 2009-02-10 | 2009-11-04 | 中科正阳信息安全技术有限公司 | 针对DNS服务的抗DDoS攻击安全网关*** |
-
2012
- 2012-08-22 CN CN2012102993221A patent/CN102790778A/zh active Pending
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20080271151A1 (en) * | 2002-12-31 | 2008-10-30 | Blake Kenneth W | Method and system for morphing honeypot with computer security incident correlation |
CN101572701A (zh) * | 2009-02-10 | 2009-11-04 | 中科正阳信息安全技术有限公司 | 针对DNS服务的抗DDoS攻击安全网关*** |
Non-Patent Citations (2)
Title |
---|
杨长春,倪彤光,薛恒新: "一种基于数据挖掘的DDoS攻击入侵检测***", 《计算机工程》, no. 12, 31 December 2007 (2007-12-31), pages 167 - 169 * |
马宇驰: "针对僵尸网络DDoS攻击的蜜网***的研究与设计", 《万方学位论文数据库》, 29 October 2010 (2010-10-29), pages 25 - 35 * |
Cited By (63)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103051615B (zh) * | 2012-12-14 | 2015-07-29 | 陈晶 | 一种蜜场***中抗大流量攻击的动态防御*** |
CN103051615A (zh) * | 2012-12-14 | 2013-04-17 | 陈晶 | 一种蜜场***中抗大流量攻击的动态防御*** |
CN103281341A (zh) * | 2013-06-27 | 2013-09-04 | 福建伊时代信息科技股份有限公司 | 网络事件处理方法及装置 |
CN103368979A (zh) * | 2013-08-08 | 2013-10-23 | 电子科技大学 | 一种基于改进K-means算法的网络安全性验证装置 |
CN104850093A (zh) * | 2014-02-13 | 2015-08-19 | 西门子公司 | 用于监控自动化网络中的安全性的方法以及自动化网络 |
US10574671B2 (en) | 2014-02-13 | 2020-02-25 | Siemens Aktiengesellschaft | Method for monitoring security in an automation network, and automation network |
US9535731B2 (en) | 2014-11-21 | 2017-01-03 | International Business Machines Corporation | Dynamic security sandboxing based on intruder intent |
CN104486320A (zh) * | 2014-12-10 | 2015-04-01 | 国家电网公司 | 基于蜜网技术的内网敏感信息泄露取证***及方法 |
CN104486320B (zh) * | 2014-12-10 | 2018-10-26 | 国家电网公司 | 基于蜜网技术的内网敏感信息泄露取证***及方法 |
CN107819731A (zh) * | 2016-09-13 | 2018-03-20 | 北京长亭科技有限公司 | 一种网络安全防护***及相关方法 |
CN107070929A (zh) * | 2017-04-20 | 2017-08-18 | 中国电子技术标准化研究院 | 一种工控网络蜜罐*** |
CN107332823A (zh) * | 2017-06-06 | 2017-11-07 | 北京明朝万达科技股份有限公司 | 一种基于机器学习的服务器伪装方法和*** |
CN107360145B (zh) * | 2017-06-30 | 2020-12-25 | 北京航空航天大学 | 一种多节点蜜罐***及其数据分析方法 |
CN107360145A (zh) * | 2017-06-30 | 2017-11-17 | 北京航空航天大学 | 一种多节点蜜罐***及其数据分析方法 |
CN107465663A (zh) * | 2017-07-06 | 2017-12-12 | 广州锦行网络科技有限公司 | 一种网络无痕蜜罐的实现方法及装置 |
CN107347067A (zh) * | 2017-07-07 | 2017-11-14 | 深信服科技股份有限公司 | 一种网络风险监控方法、***及安全网络*** |
CN107547546A (zh) * | 2017-09-05 | 2018-01-05 | 山东师范大学 | 基于卡片电脑的轻量级高交互蜜网数据传输方法、*** |
CN107547546B (zh) * | 2017-09-05 | 2019-11-12 | 山东师范大学 | 基于卡片电脑的轻量级高交互蜜网数据传输方法、*** |
CN107579997A (zh) * | 2017-09-30 | 2018-01-12 | 北京奇虎科技有限公司 | 无线网络入侵检测*** |
CN107911244A (zh) * | 2017-11-17 | 2018-04-13 | 华南理工大学 | 一种云网结合的多用户蜜罐终端***及其实现方法 |
CN107707576A (zh) * | 2017-11-28 | 2018-02-16 | 深信服科技股份有限公司 | 一种基于蜜罐技术的网络防御方法及*** |
CN108183884A (zh) * | 2017-11-30 | 2018-06-19 | 高旭磊 | 一种网络攻击判定方法及装置 |
CN108183884B (zh) * | 2017-11-30 | 2020-11-06 | 高旭磊 | 一种网络攻击判定方法及装置 |
CN108134781A (zh) * | 2017-12-12 | 2018-06-08 | 浪潮云上(贵州)技术有限公司 | 一种重要信息数据保密监控*** |
CN108366088A (zh) * | 2017-12-28 | 2018-08-03 | 广州华夏职业学院 | 一种用于教学网络***的信息安全预警*** |
CN108833333A (zh) * | 2018-04-12 | 2018-11-16 | 中国科学院信息工程研究所 | 一种基于dcs分布式控制的蜜罐*** |
CN108833333B (zh) * | 2018-04-12 | 2020-07-10 | 中国科学院信息工程研究所 | 一种基于dcs分布式控制的蜜罐*** |
CN108429762B (zh) * | 2018-04-13 | 2020-09-01 | 中国石油大学(华东) | 一种基于服务角色变换的动态蜜罐防御方法 |
CN108429762A (zh) * | 2018-04-13 | 2018-08-21 | 中国石油大学(华东) | 一种基于服务角色变换的动态蜜罐防御方法 |
CN108768989A (zh) * | 2018-05-18 | 2018-11-06 | 刘勇 | 一种采用拟态技术的apt攻击防御方法、*** |
CN110581836A (zh) * | 2018-06-11 | 2019-12-17 | 阿里巴巴集团控股有限公司 | 一种数据处理方法、装置及设备 |
CN110581836B (zh) * | 2018-06-11 | 2021-11-30 | 阿里巴巴集团控股有限公司 | 一种数据处理方法、装置及设备 |
US11528295B2 (en) | 2018-06-30 | 2022-12-13 | Ovh | Methods and systems for defending an infrastructure against a distributed denial of service attack |
CN110659487B (zh) * | 2018-06-30 | 2021-11-09 | Ovh公司 | 用于保护基础设施免受分布式拒绝服务攻击的方法和*** |
CN110659487A (zh) * | 2018-06-30 | 2020-01-07 | Ovh公司 | 用于保护基础设施免受分布式拒绝服务攻击的方法和*** |
CN109347794A (zh) * | 2018-09-06 | 2019-02-15 | 国家电网有限公司 | 一种Web服务器安全防御方法 |
CN109257389A (zh) * | 2018-11-23 | 2019-01-22 | 北京金山云网络技术有限公司 | 一种攻击处理方法、装置及电子设备 |
CN109257389B (zh) * | 2018-11-23 | 2021-09-17 | 北京金山云网络技术有限公司 | 一种攻击处理方法、装置及电子设备 |
CN109547250A (zh) * | 2018-11-26 | 2019-03-29 | 深信服科技股份有限公司 | 云蜜网装置及云蜜网配置方法、***、设备、计算机介质 |
CN109547250B (zh) * | 2018-11-26 | 2022-08-09 | 深信服科技股份有限公司 | 云蜜网装置及云蜜网配置方法、***、设备、计算机介质 |
CN109696892A (zh) * | 2018-12-21 | 2019-04-30 | 上海瀚之友信息技术服务有限公司 | 一种安全自动化***及其控制方法 |
CN112242974A (zh) * | 2019-07-16 | 2021-01-19 | ***通信集团浙江有限公司 | 基于行为的攻击检测方法、装置、计算设备及存储介质 |
CN111083117A (zh) * | 2019-11-22 | 2020-04-28 | 上海交通大学 | 一种基于蜜罐的僵尸网络的追踪溯源*** |
CN111212091A (zh) * | 2020-02-28 | 2020-05-29 | 太仓红码软件技术有限公司 | 一种基于目标诱导的引导式网络安全*** |
CN112134833A (zh) * | 2020-05-07 | 2020-12-25 | 北京国腾创新科技有限公司 | 一种虚实融合的流欺骗防御方法 |
CN112134833B (zh) * | 2020-05-07 | 2022-07-08 | 北京国腾创新科技有限公司 | 一种虚实融合的流欺骗防御方法 |
CN111556068B (zh) * | 2020-05-12 | 2020-12-22 | 上海有孚智数云创数字科技有限公司 | 基于流量特征识别的分布式拒绝服务的监控和防控方法 |
CN111556068A (zh) * | 2020-05-12 | 2020-08-18 | 上海有孚智数云创数字科技有限公司 | 基于流量特征识别的分布式拒绝服务的监控和防控方法 |
CN111654493A (zh) * | 2020-06-02 | 2020-09-11 | 山东汇贸电子口岸有限公司 | Openstack中拦截指定流量的方法、***、存储介质及电子设备 |
CN111654493B (zh) * | 2020-06-02 | 2022-04-12 | 浪潮云信息技术股份公司 | Openstack中拦截指定流量的方法、***、存储介质及电子设备 |
CN111885020A (zh) * | 2020-07-08 | 2020-11-03 | 福建奇点时空数字科技有限公司 | 一种分布式架构的网络攻击行为实时捕获与监控*** |
CN111835761A (zh) * | 2020-07-11 | 2020-10-27 | 福建奇点时空数字科技有限公司 | 一种基于***仿真器的网络攻击诱骗环境构建方法 |
CN111935114A (zh) * | 2020-07-29 | 2020-11-13 | 浙江德迅网络安全技术有限公司 | 一种基于SYN攻击保护的反向追踪DDoS攻击防护方法及*** |
CN112600822A (zh) * | 2020-12-09 | 2021-04-02 | 国网四川省电力公司信息通信公司 | 一种基于自动化引流工具的网络安全***及方法 |
CN112738077A (zh) * | 2020-12-26 | 2021-04-30 | 北京珞安科技有限责任公司 | 一种工控网络安全检测*** |
CN115208593A (zh) * | 2021-03-26 | 2022-10-18 | 南宁富联富桂精密工业有限公司 | 安全性监测方法、终端及计算机可读存储介质 |
CN115208593B (zh) * | 2021-03-26 | 2023-08-18 | 南宁富联富桂精密工业有限公司 | 安全性监测方法、终端及计算机可读存储介质 |
CN114389863A (zh) * | 2021-12-28 | 2022-04-22 | 绿盟科技集团股份有限公司 | 一种蜜罐交互的方法、装置、蜜罐网络、设备及存储介质 |
CN114389863B (zh) * | 2021-12-28 | 2024-02-13 | 绿盟科技集团股份有限公司 | 一种蜜罐交互的方法、装置、蜜罐网络、设备及存储介质 |
CN114726600A (zh) * | 2022-03-28 | 2022-07-08 | 慧之安信息技术股份有限公司 | 基于物联网的网关防护方法 |
CN114726600B (zh) * | 2022-03-28 | 2023-01-10 | 慧之安信息技术股份有限公司 | 基于物联网的网关防护方法 |
CN114978731A (zh) * | 2022-05-30 | 2022-08-30 | 北京计算机技术及应用研究所 | 一种基于多样性扩展的诱捕蜜罐实现***及方法 |
CN115065528A (zh) * | 2022-06-14 | 2022-09-16 | 上海磐御网络科技有限公司 | 一种基于ftp服务的攻击反制***及方法 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN102790778A (zh) | 一种基于网络陷阱的DDoS攻击防御*** | |
Choudhary et al. | Intrusion detection systems for networked unmanned aerial vehicles: A survey | |
US10721243B2 (en) | Apparatus, system and method for identifying and mitigating malicious network threats | |
CN103561004B (zh) | 基于蜜网的协同式主动防御*** | |
ES2560109T3 (es) | Procedimiento y sistema de clasificación de tráfico | |
EP3171567A1 (en) | Advanced persistent threat detection | |
CN109495440A (zh) | 一种内网动态防御的随机方法 | |
CN106992955A (zh) | Apt防火墙 | |
CN105915532A (zh) | 一种失陷主机的识别方法及装置 | |
Akbar et al. | Intrusion detection system methodologies based on data analysis | |
Saxena et al. | An analysis of DDoS attacks in a smart home networks | |
CN111970300A (zh) | 一种基于行为检查的网络入侵防御*** | |
Beg et al. | Feasibility of intrusion detection system with high performance computing: A survey | |
Li et al. | The research and design of honeypot system applied in the LAN security | |
CN114978731B (zh) | 一种基于多样性扩展的诱捕蜜罐实现***及方法 | |
Bartwal et al. | Security orchestration, automation, and response engine for deployment of behavioural honeypots | |
CN116827690A (zh) | 基于分布式的抗DDoS攻击及云WAF防御方法 | |
Thu | Integrated intrusion detection and prevention system with honeypot on cloud computing environment | |
Karekar et al. | Perspective of decoy technique using mobile fog computing with effect to wireless environment | |
Keshri et al. | DoS attacks prevention using IDS and data mining | |
CN115987531A (zh) | 一种基于动态欺骗式“平行网络”的内网安全防护***及方法 | |
Blumbergs | Specialized cyber red team responsive computer network operations | |
Gu et al. | Misleading and defeating importance-scanning malware propagation | |
CN113489694B (zh) | 一种蜜场***中抗大流量攻击的动态防御*** | |
Agrawal et al. | Proposed multi-layers intrusion detection system (MLIDS) model |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C02 | Deemed withdrawal of patent application after publication (patent law 2001) | ||
WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20121121 |