CN102882884B - 信息化生产环境下基于蜜网的风险预警***及方法 - Google Patents
信息化生产环境下基于蜜网的风险预警***及方法 Download PDFInfo
- Publication number
- CN102882884B CN102882884B CN201210388461.1A CN201210388461A CN102882884B CN 102882884 B CN102882884 B CN 102882884B CN 201210388461 A CN201210388461 A CN 201210388461A CN 102882884 B CN102882884 B CN 102882884B
- Authority
- CN
- China
- Prior art keywords
- data
- analysis
- client
- honey
- net
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开了一种信息化生产环境下基于蜜网的风险预警***及方法,至少拥有一个网络分析仪。蜜罐被攻击时,蜜罐可以告知其攻击的客户端,以便客户端能够采取适当的措施。此外,被攻击的蜜罐,也可通知其他蜜网的攻击。这种通信的目的是提醒收到相同或类似的攻击的客户端。更重要的是,在适当的情况下,该告警可以预警其他客户采取适当的措施以防止这种攻击,以此循环,通过智能的分析技术,将采取措施客户端并执行之后生成的报表传输给管理员,供其查看。由于该方案属于模块化***,可以很容易实现***升级或者扩展,以致可以实现分布式的设计优势。
Description
技术领域
本发明涉及计算机网络安全技术领域,尤其涉及一种信息化生产环境下基于蜜网的风险预警***及方法。
背景技术
目前,随着互联网技术的发展,网络扫描、蠕虫与病毒代码的传播以及黑客恶意攻击等已经是网络上每台主机随时可能遇到的危险。为了应对上述危险,防病毒软件和防火墙技术发展起来,但是他们都是被动的。蜜罐和蜜网技术的提出正式为了主动出击研究网络上这些安全威胁而产生的。
蜜网是在蜜罐技术上逐渐发展起来的一个新的概念,又可成为诱捕网络。一个蜜网中通常包含一个或多个蜜罐,蜜罐技术实质上还是一类研究型的高交互蜜罐技术。其主要目的是收集黑客的攻击信息。但与传统的蜜罐技术的差异在于,蜜网构成了一个黑客诱捕网络体系架构,在这个架构中,可以包含一个或多个蜜罐,同时保证网络的高度可控性,以及提供多种工具以方便对攻击信息的采集和分析。
蜜罐是指部署在网络上的,能够伪装成真实的网络、主机和服务,诱惑恶意攻击的诱饵,其价值在于能够收集网络上的攻击活动信息,并对这些信息进行监视、检测和分析。
蜜网***是为了收集入侵者的攻击信息,因而,如何发出网络警报、如何做出实时防护是蜜网***的一个重要的组成部分。
蜜网是一种架构,而不是产品(如计算机软件),即由一个或多个蜜罐组成。蜜罐是一个普遍通用的工具,它可以诱骗攻击者进入该网络,从而分析该网络数据源的相关信息,获取入侵者的登录情况。通常,一个蜜网没有生产价值,相反,它的价值在于检测是否未将授权而非法使用信息***资源。任何进入或离开一个蜜罐的数据可能被视为探针,攻击或妥协。通过学习如何诱骗攻击者进入网络中,管理员可以学习这些知识,以增强其网络的防御能力,关闭在实际网络中的相关漏洞。
值得特别关注的是,蜜网是用来捕捉构成威胁的数据类型的一种高交互蜜罐,该蜜罐是一般黑客使用的实时操作***、应用或者是服务,它的优势就是在于允许网络管理员可以看到攻击者使用什么工具捕获更多攻击者的入侵信息,此外,这种具备高交互式的蜜罐很难被攻击者发现,由于他的复杂性,也难以部署和维护。
高交互式的蜜罐不同于低交互式蜜罐,这往往提供有限的交互模拟操作***、应用程序和服务,但是低交互蜜罐可能更易于部署和维护,这些较复杂的***,更不易察觉。此外,管理员往往只能获得有限的信息包括攻击者的相关战术。
蜜罐既不是一台计算机,也不作为一台计算机来使用。蜜网通常是由一个是由一个或多个蜜罐***架构组成。该***可以包含多个相似或不同的数据库、服务器、网络服务器、路由器或打印机。此外,在这个架构中,网络***设计为允许黑客相互互动,可监控该发生的所有活动。
蜜网架构一旦被创建,需要及时的部署,以吸引敌对活动。众所周知,成功的部署,要求数据控制和数据采集相结合。数据控制要求在黑客不知道的情况下,***自动记录黑客的各种活动,并且采集黑客所有的相关信息,综上所述,数据控制阶段优先对数据进行采集并集中分析。
在一般情况下,数据控制主要遏制相关活动并有助于减少黑客使用蜜网来攻击非蜜网***的风险。数据控制要求给予黑客进入蜜网并限制其活动的自由,当黑客获取更多的自由时,黑客会绕过数据控制并损害非蜜网的***,从而给***增加风险。然而,当更多的活动受到限制时,它变得更难了解黑客如何渗透到组织内网。想要成功部署实施就要利用多层次的数据控制的实施方案,层次包括但不仅限于这些,比如说:出站连接、入侵防御网关或者是宽带限制等等,结合几种不同的机制,可有助于防止单一故障点,尤其在处理新的或者是未知的攻击。蜜网项目也公开建议在一个被封闭的实验环境下运作。当然,如果有任何机制的失败(例如,一个进程死掉,硬盘驱动器已满,或规则配置错误)蜜网的架构可能会阻止所有的出站活动。
普通的蜜网环境必须要求有数据控制,以满足特定的目标。比如说,他应该同时可实现自定义以及全自动,同时至少有两个数据控制层,以防止故障。当数据控制***出现故障时,不允许在一个开放的状态下离开***,只能允许在蜜罐中访问,也应该保持所有入站和出站的连接状态,管理员可以在任何时间能够在本地或者是远程配置数据控制中心,连接应该是难以察觉,当一个蜜罐被攻破时,自动报警应立即生效。
数据采集主要是在蜜网中监测和记录黑客的活动。一旦数据被捕获,它将主动被分析,以了解黑客的工具、战术和动机。像数据控制以及捕捉信息相结合组成机制都是至关重要的,一般条件下,层数越多,被捕获的信息往往获得的信息越多。
数据控制、数据采集也需要满足某些目标。例如,蜜网捕获的数据不应该存储在本地的蜜罐,数据采集时应排列有序,减少数据污染。数据污染,可能进一步污染蜜网,这样,捕获的数据也就无效。数据污染在任何环境中都是一个非标准活动。一个实例也就是管理员通过攻击蜜网测试收费***,其包括:所有的入站出站连接(防火墙日志记录)、网络活动(也就是数据包的捕获)以及***活动等等捕获的的数据包存档至少1年。所有的数据包都是实时可视的,数据并视为自动存档,供日后分析。标准化的日志时刻记录蜜罐的各种部署以及工作模式。所有被攻陷的蜜罐应予以标准化、详细化的记录日志,再就是蜜网网关数据采集应保持时刻一致,捕获到的数据资源不能有任何修改,以保证数据的完整性保护。
然而,数据控制,其最低标准不是因为有不同的可执的技术和方法就可以,往往数据采集需要一个最低标准,在蜜罐数据捕获中,应首先确定什么样的数据以及什么格式的数据。此外,防火墙日志应转换为iptables的ASCII格式,至于***本身的活动可使用一个比如Sebek的工具,作为***隐藏的内核模块,专门用来捕获和转储主机活动的网络,同时预防黑客非法嗅探网络。
除了数据控制和数据捕获,第三个要求也就是数据采集,这也是必要的。通常适用于在分布式环境中对多个蜜网进行数据采集。这方面可能会比较特殊,因为蜜网是分布式网络的一部分,对于此来说,这样做是有用的,在中心位置收集和捕获不管是逻辑上还是物理上处在不同位置的网络数据。但是,企业只有一个蜜网,拥有数据控制和数据采集就足够了。
就像数据控制和数据采集,数据采集也有一定的实现目标。例如,应该有某种形式的蜜网命名定义,这样可以保持每个蜜罐网站拥有一个唯一的标识符类型。这样,从传感器捕获的数据能够确保数据的保密性、完整性、真实性。相关机构或者是测评组织应将数据匿名,这样可是组织保持其原IP地址和其他信息的保密。分布式蜜网就像一个网络标准化的时间协议,要时刻保持数据的正确同步。
类似数据捕获,数据采集也有相关的标准需要遵循,这些标准能够确定什么数据,这些数据使用的格式以及命名方式,到最后发送到的中央节点。比如说,蜜网的数据类型可包括PCAP ASCII格式的二进制日志和防火墙日志,并每天自动转发到中央节点。例如,时间命名惯例可遵循的格式为:年月日(对应文件可为ROO-20050825-001A-pcap.log),防火墙日志也可以这样命名:对应文件为(例如20050825roo-001A-fwlogs.txt)。此外,各组织的蜜网都有一个唯一的标识符。
当然,蜜罐的地址的泄漏存在风险,风险包括:危害、探测、禁用和提权,当蜜网用来攻击或伤害其他非蜜网***时,危害也就存在啦。例如,黑客可以非法进入蜜网中,并向目的受害者发出攻击,探测是指在蜜网中各身份的识别或曝光,一旦蜜网被发现或暴露,其价值会大大降低,因为黑客现在可以忽略或者绕过蜜罐,从而让蜜网失去捕获信息的能力。比如说,如果蜜网区拥有10个出站连接尝试,但黑客已经发现其身份,此时只需要11次或者更多次数的出站连接尝试,并查看第11次或其他次数是否出站成功。另外,黑客在进入蜜网后,如果数据包被修改,将修改后的数据包发往有效载荷***,进而在传输过程中查看是否修改,此外,如果在蜜网服务器中流量是通过专门的通道来传输的,那么增加的延迟表明,蜜网就在其中某个位置。在蜜罐上,黑客使用这些方法来检测检测数据采集功能。如果禁用蜜网相关功能,将构成风险,之所以这么说,是因为黑客可以在管理员不知情的情况下禁用数据控制/数据采集功能,一旦被禁用,黑客可以继续伪造数据,让管理员认为仍在运行数据采集等功能。
由于风险不能完全消除,所以要最大限度的减少风险,这也是未来的最佳途径。为帮助减少这些风险,人们提出各种各样的意见,专业部门指出要有一个相当专业的实时监视的蜜罐。可自定义修改,以适应自己的蜜罐,故最终显示出的结果是不一样的,因为蜜罐技术是开源和公开的,因此,任何人,包括黑客,都具有默认设置的访问。
发明内容
本发明的目的就是为了解决上述问题,提供信息化生产环境下基于蜜网的风险预警***及方法,它可以自动生成一个可操作的早期预警***的决策方案,它可以不断的扫描恶意活动的流量,其结果可智能的分析,并对多个客户端采取智能行动。
为了实现上述目的,本发明采用如下技术方案:
一种信息化生产环境下基于蜜网的风险预警***,包括若干个客户端、蜜网、蜜网与客户端之间通过互联网连接,所述蜜网包括蜜罐、服务器、滤器、交换机、数据库、至少一个网络分析仪、交换机、业务信息发送器、自动决策装置,所述自动决策装置包括入侵检测***控制台、分析控制台,所述蜜网是通过互联网连接的,所述服务器通过交换机与数据库连接,数据库通过网络分析仪与交换机连接,所述交换机连接自动决策装置,所述交换机还通过互联网与业务信息发送器连接,所述滤器分别与网络分析仪和数据库连接,所述客户端包括反攻击盒,交换机和远端客户,所述反攻击盒通过交换机与远端客户连接;
当某一蜜网中的一个蜜罐被攻击时,蜜罐提前预警,告知即将被攻击的客户端,这样客户端能够采取适当的措施;被攻击的蜜罐同时通知其他蜜网;其他蜜网也预警其对应的客户端提前采取适当的措施防止攻击,蜜网中的分析控制台通过智能分析,将客户端采取措施后生成的报表传输给管理员。
所述预警方法的工作流程如下:
步骤一:蜜网的网络分析仪监听端口的网络流量;
步骤二:蜜网的滤器进行过滤,将监听结果存储到数据库;
步骤三:蜜网进入三种并行分析阶段:签名分析,统计异常分析和基于数据流的分析;
步骤四:将三种分析的结果直接送入分析控制台和入侵检测***控制台,其中送入分析控制台的数据经分析控制台处理后进入自动决策,然后进入入侵检测***控制台;或者,将三种分析结果先存入数据库,然后由数据库中的数据再分别送入分析控制台和入侵检测***控制台,其中送入分析控制台的数据经分析控制台处理后进入自动决策,然后进入入侵检测***控制台。
所述步骤四中的分析控制台的具体工作步骤如下:
步骤一:开始;
步骤二:网络分析仪接收数据,接收至少来自一个网络分析仪的数据;同时所述网络分析仪至少是一个蜜网的一部分;
步骤三:生成分类数据,通过把数据按照一定的层次结构属性进行筛选分类;
步骤四:对分类的数据进行排序,至少使用一个预先确定的属性;
步骤五:与一个客户端进行会话,至少有一个相关的属性;
步骤六:接收来自客户端的请求,执行一个话题;
步骤七:根据客户的有关信息的请求,发送相关材料,并及时通知。
所述签名分析方法是在入侵检测***的实现,是基于字符串匹配,字符串匹配,也就是一串代码,通常表示通过比较传入的数据包来检测特定的恶意流量特征;签名包括一个短语或经常攻击的命令,如果找到一个匹配,就会产生警报;如果没有,分组对比名单上的签名;直到所有的签名已经过检查;一旦完成,下一个数据包会被读入内存,其中签名检查的过程中会又重新开始。
所述统计异常分析方法是通过比较观察到的行为与预期的行为来试图寻找入侵;统计异常分析是基于特征分析的,它用于检测新的未知的攻击,而不必依赖于匹配观测数据与数据库中已知的攻击。
所述基于数据流的分析是比较当前蜜罐的流量以及网络总的流量;观察网络流量,集中在一些恶意流量,互联网的最终用户是看到恶意流量的数量、识别恶意流量来源的特点、网络流量的类型、传输层协议、并根据五元组,其中包括源目的IP地址,源和目标端口和TLP;对于每个流,统计数据收集不同的时间,发送或接收数据包的数量,源和目标参数,故障标志,窗口大小,每个流,甚至仅有一个本地IP和端口号和远程IP及端口号;本地计算机通常是指客户端运行并收集信息的主机,远程机通常是指在当前网络的其他主机;从本地IP和远端IP收集后一定量的数据,每个数据集进行比较,并使用一个特定的格式,分析最后确定数据。
所述网络分析仪用来接收数据,并根据数据进行分分类显示,并尽可能的达到预定的属性层次结构,排列按照预定属性的涉密数据,传达一个或多个预定到客户端的属性相关主题,收到从另一个客户端传达的请求。
所述预定的属性包括来源、地理位置、主题、严重性、频率、时间、网络协议,详见如图七所述。
本发明的有益效果:
1它是一个多代理的分布式***,可以收集和共享数据。
2它可以不断的扫描恶意活动的流量,其结果可智能的分析,并对多个客户端采取智能行动。
3可以自动激活基于事件数据的脚本。当然,也可以使其自主式的反应,如在防火墙上实时的改变防火墙策略作为防御措施或者开始进攻性策略调整来反击入侵。
4它可以定制个性化以满足特定需求。
5它只需要或根本不需要特殊的网络通信条件就能使硬件升级,由于该方案属于模块化***,可以很容易实现***升级或者扩展,以致可以实现分布式的设计优势。
附图说明
图1是一个交互式蜜罐服务器场的一个实例
图2和图3都是显示的是每一个基于可操作预警***的蜜网服务器场的实施例;
图4是信息化生产环境下基于风险预警的蜜网***的流程图;
图5是多种自动决策点、分支点以及代理人之间关系图;
图6是蜜罐安装的大体网络结构图;
图7是蜜网详细的设置实例图;
图8是自动决策点、分支点和使用java监听代理之间的关系图;
具体实施方式
下面结合附图与实施例对本发明作进一步说明。
如图1所示,蜜罐被攻击时,蜜罐可以告知其攻击的客户端,以便客户端能够采取适当的措施。此外,被攻击的蜜罐,也可通知其他蜜网的攻击。这种通信的目的是提醒收到相同或类似的攻击的客户端。更重要的是,在适当的情况下,该告警可以预警其他客户采取适当的措施以防止这种攻击。
如图2所示,基于早期预警***的一个关于本发明蜜网服务器场的相关活动。一个蜜网服务器场包含多个蜜网,他为每个蜜罐的网络流量进行检测并将结果进行排序。配置相关的过滤器,可确定哪些活动或数据被视为攻击,相关的数据或过滤器可被存储或打包成数据库存储,在数据库中存储的数据可被检索。此外,该过滤器还可过滤网络流量中的数据形成一个可视化的工具,方便查看。然而,这样的网络可视化工具纳入到网络分析仪中也不是非常必要的。
本发明实例是基于可操作预警***的蜜网服务器场,计算机等可读介质组成一个或多个蜜网,可帮助用户或管理员学习入侵的网络技术。它允许潜在的攻击者访问该蜜罐,该蜜罐可作为一个虚拟网络,并学习各种渗透技术,该计算机等可读介质可自动生成用户/管理员对当前或者潜在未经授权的访问,然后决定保卫或者是反击该网络。
网络分析仪,可获取和分析从过滤器发过来的流量数据。这是网络分析仪可作为一个入侵检测***(IDS)。IDS是能够实时分析和IP网络的数据包记录。有些IDS是开源的,而另一些则不是开源的。使用灵活的规则语言,IDS可执行并可寻找或匹配相关规则,并检测出各种攻击或嗅探,可扫描和嗅探不仅于以下这些:缓冲区溢出、隐形端口扫描、CGI攻击、SMB探测、操作***指纹的尝试等等。
网络分析仪分析出的结果,这些结果可会被转发到一个情报中心,可包括第二个数据库、分析控制台、反馈控制器还有一个全自动自动分析控制台。相关结果可能先被转发到第二个数据库。并存储相关结果,并将结果传输到反馈控制器,来进一步分析相关结果.在这里,反馈控制器是可自定义的,并不是必要的,因为并不是每一个网络分析模块都有一个相关的反馈控制器。
如图3所示,本发明可实时操作,可带有相关的数据库。若没有数据库,可直接将结果转到分析控制台或反馈控制器之一或两者皆发送。
自动分析仪收到来自分析控制台的相关结果并进行分析。这些数据包括网络分析仪/分析控制台生成的告警,此外,自动分析仪能够收到来自反馈控制器的数据,其包括信息的概述、详细说明以及流量数据等等。
如图5所示,自动分析仪接收并处理相关数据自动分析仪可将结果进行归类(比如通过分组、排序等等),相关属性包括但不仅限于:数据环境、主题、严重性、频率、时间、网络协议等等相关组合。
此外,自动分析仪可自动比较相关攻击方法,并建议或决定采取适当的措施。相关举例包括但不限于这些,有一个行动计划,需重新配置防火墙,若有潜在的攻击或关闭***会通知管理员,在图示5中可演示出相关分发点的表示,并且是加密安全的。这也是集中在蜜网服务器场或其他远程或分布式的环境中来操作的。
客户端可选择要求执行一个或多个主题。本发明或自动转发请求,并通知正在执行或已经执行的客户端,客户端可以人工操作或机器自动进行,一个完整的例子包括但不仅限于蜜网、生产网络、虚拟网和模拟网等。
如图4所示,在一个基于可操作的早期预警***的蜜网服务器场中,指令是由一些有形的计算机可读介质的编码,是由一台计算机或计算机相关设备的可执行文件,如个人数字助理(PDA),光碟(CD),CD播放机,手机,USB闪存驱动器,软盘等可以使用任何计算机语言或格式编写的指令。计算机语言或格式的例子包括JAVA,C++,COBOL,XML等等,该说明包括来自一个或多个网络分析仪的数据(如攻击或嗅探数据)。接收到的数据可能基本上和前面提到的结果相同。虽然每个网络分析仪,可能是一个蜜网的一部分,每个网络分析仪是另外一个蜜罐服务器场的一部分。此外,每个网络分析仪,可能是一个或多个蜜网的够成组件。
接收到的数据可以被归类(例如分组等等)成预定的属性等层次结构。同样,这些属性包括,但不仅限于测试环境、主题、严重性、频率、时间、使用的网络协议等等。属性设置可根据管理员的需求,由管理员设置。分类后,数据至少可使用这些预定的属性进行排序。此外,这些属性会被加入相关格式(例如,表格,图形,图表,字母等),方便和客户端通讯。这种通讯的目的之一是允许客户端确定哪些主题(S)。例如(主题包括,但不仅限于以下几方面),提出了一项活动计划,重新配置防火墙,描述了接收数据的类型,发动反击,或关闭***等,识别潜在攻击并告知管理员,从客户端收到一个或多个预定的属性请求,计算机通知客户端请求的信息,如攻击,加强安全功能的确认,发起了反击,等相关信息。
基于可操作的早期预警***的蜜网服务器场包含众多组件。这些组件可能包括,但不仅限于以下一个或更多的路由器、交换机、防火墙、服务器,流量检测和存储服务器。例如,体现基于可操作的早期预警***的蜜往服务器场包括一个思科7204VXR路由器,思科2950交换机,思科PLX515E防火墙和VPN,Cisco PIX501防火墙,十网关935系列服务器,四个1U LINUX服务器,两个Sun ultra park服务器,Arbornet的网络流量发生器和Dell Terra byte存储服务器。
如图6和图7所示,互联网可以直接连接到Cisco PIX515E防火墙,PIX上的DMZ区可以连接到Cisco2950交换机。DMZ1可以承载所有适用的服务器。思科2950交换机上的一个单端口可配置为一个SPAN端口。服务器托管的Snort可以连接到SPAN端口,这个端口也可以共享由Dell Terra byte存储服务器来承担,可能位于后面的第二道防火墙(思科PIX501)Arbornet网络流量发生器。一个流量发生器的目的是产生模拟交通上的DMZ。服务和交易都应该是模拟的。多个Web服务器运行的大批量交易可能会让入侵者更诱人。此外,e-mail服务器可运行IMAP和其他电子邮件协议,因为当今的大多数攻击是通过电子邮件和相关服务进行。因此,入侵者可以绕过防火墙或者隧道等电子邮件的协议,因为一个典型的防火墙不能防止这样的电子邮件攻击。这种功能是可能会更加吸引入侵者。
Cisco PIX501防火墙基本上只发送***外的流量。它通常不接受任何从蜜网域的流量。因此,入侵者将有可能看到仅在Honeynet的流量,而不能看到在防火墙后面的流量发生器。
思科PIX515E防火墙,可以有多个接口。一个接口可用于DMZ1。记录和监测在Cisco2950交换机通过SPAN端口的流量。从这个端口的监测***收集到的信息可被解析。如Snort和tcpdump,都可使用。
第二接口(如内部接口)可以连接到现有的实验室,其中包括两部分,第一部分包括普通电脑连接到互联网;第二部分可以由防火墙隔开。
数据流的相关策略会使用不同的防火墙过滤规则来实现。例如,该策略可能:
(1)允许的HTTP,SMTP,ICMP等,对PIX515E进入到DMZ1
(2)只允许设立的交通到内部接口的PIX515E的.
(3)不允许从外部到PIX501的任何流量。
以下命令行充分体现了对思科PIX515的示例代码。
TABLE1
Sample Code on a Cisco PIX515E.
Sample Code
interface ethernetO 10baset
interface ethernetl100full
Nameif thernetO outside securityO
nameif ethernetl inside security1OO
enable password AL8sZHguc0aiRyab encrypted
passwd AL8sZHguc0aiRyab encrypted
hostname STOP
domain-name xyz.com
access-list101permit tcp any host192.168.6.12eq4125
access-list101permit tcp any host192.168.6.12eq https
access-list101permit tcp any host192.168.6.12eq444
access-list101permit tcp any host192.168.6.12eq smtp
access-list101permit tcp any host192.168.6.6eq4899
access-list101permit tcp any host192.168.6.80eq4899
ip address outside10.1.10.2255.255.255.0
ip address inside192.168.6.1255.255.255.0
global(outside)1interface
nat(inside)10.0.0.00.0.0.000
access-group101in interface outside
route outside0.0.0.00.0.0.010.1.10.11
sysopt connection permit-ipsec
流量发生器可用于发送Honeynet的攻击数据包。Honeynet的检测时,可会发送一个通知到N+1***。这种检测和通知,可根据不同的网络分析设备实现编程逻辑。
时间延迟可以计算出使用的数据共享机制。数据共享机制可以提醒目的***和相关业务***。这个过程可以通过发送一个标志链接的连接,如VPN连接。策略失效(如防火墙规则)和恢复的新策略也可能进行整合。在使用非思科防火墙***,删除的或具有恢复机制的策略可以是定制开发。
Cisco PIX515E防火墙能够支持小型办公网络的流量带宽。如果网络中发生泛洪攻击并且此攻击行为未被检测出来,便会形成DoS攻击或者因流量过大而造成网络阻塞。为了阻止DoS攻击或是网络***阻塞,PIX基于防火墙技术实现了一种流量清洗机制。原理上讲PIX515E防火墙会执行arp清除命令用来清空arp高速缓存。
保障生产网络安全而构建蜜网***,为了从蜜网***中取得数据,产品必须允许用户能够对网络流量进行采集、加以理解并且能够做出及时的反应。为了实现这一目标,对于蜜网***物理体系结构,外部模块是必要的。此模块可以通过思科2950交换机上的span端口(镜像端口)连接到蜜网***。利用这种收集方式可以捕获流量并发送给蜜网***。
至少要有两个数据采集模块才能达到最佳效果。一般情况下,受独立的物理技术和物理位置的限制,流量以Pcap的格式收集而来。许多产品都整合了libpcap库文件,所以这些产品通常以Pcap的格式读取数据。为了能够读取Pcap格式的数据***和软件,需要应用诸如TCPDUMP等软件。TCPDUMP可以将流量重定向到另一个应用程序进行分析或是将抓到的数据存储下来做进一步分析。此外,许多分析软件拥有基于libpcap的数据包捕获能力作为即时分析来用。最佳方法是利用TCPDUMP抓取的数据来做数据流分析和即时数据包捕获,并利用snort开源的冲突检测引擎做签名和异常检测。
本发明可使用三种类型的分析:签名分析,统计异常和基于数据流的分析。
签名分析,第一种方法是在入侵检测***的实现,是基于字符串匹配(也称为模式匹配)。字符串匹配,也就是一串代码,通常表示通过比较传入的数据包来检测特定的恶意流量特征。签名可包括一个短语或经常攻击的命令,如果找到一个匹配,就会产生警报。如果没有,可分组对比名单上的签名。签名可能会产生重复,直到所有的签名已经过检查。一旦完成,下一个数据包可会被读入内存,其中签名检查的过程中会又重新开始。
最好是使用基于签名的分析的Snort入侵检测引擎。Snort是当前非常流行的且开源的、易于扩展的网络流量分析引擎。引擎可包括相当广泛的规则集(例如,签名)和一个自定义规则生成灵活的语言。Snort还包括它自己的数据包捕获接口,可以采取对太网交换机的SPAN端口配置为读取tcpdump的数据文件。这些规则的设置可从远程控制台来进行管理。
统计异常分析,通过比较观察到的行为与预期的行为来试图寻找入侵。统计部分,可有助于描述特定的或预期行为的概率模型。统计异常分析的优势是,基于特征分析的,它可以用于检测新的未知的攻击,而不必依赖于匹配观测数据与数据库中已知的攻击。从本质上讲,这种分析可有助于实时的入侵检测。
在统计异常分析时,最好是使用统计数据包异常检测引擎(SPADE)。SPADE是一开源的应用程序,提供基于异常的分析能力。实际上,SPADE是Snort的插件,Snort和使用统计相互作用,通过分配为每个数据包的异常得分可试图找出不寻常的或可疑的数据包。通过匹配常见的包头域值,可确定异常分数。例如,目的IP地址192.168.1.10的80端口的数据是一种包。然而,若数据包的源IP地址158.187.1.22,目的IP地址192.168.1.10,这就是另一种数据包。SPADE一般维护此概率表的信息,可通过加权计算相关概率。因此,包目标IP地址192.168.1.10(例如,Web服务器)和目标端口80的概率是相当高(P(x)=0.5),这意味着网络流量的一半,可以直接流经网络服务器。然而,一个外部IP地址,158.187.1.22发送一个数据包到Web服务器与FIN标志集,概率可能会低得多(P(Y)=0.001)。实际的异常可能源自这些概率得分,根据公式A(X)=-log2(P(X))(1),因此,前面的例子,(X)=1,而A(y)=9.965。这些不常见的事件,往往能够更加反常。SPADE在可允许设置的阈值内,并将警报发送到的详细的数据资料库。
基于数据流的分析一般比较当前蜜罐的流量以及网络总的流量。观察网络流量,通常集中在一些恶意流量,互联网的最终用户是看到恶意流量的数量、识别恶意流量来源的特点、网络流量的类型、传输层协议(如:TCP,UDP,ICMP和IGMP,TLP)、并可以根据五元组,其中包括源目的IP地址,源和目标端口和TLP。对于每个流,统计数据收集可能包括不同的时间,发送或接收数据包的数量,源和目标参数,故障标志,窗口大小等,每个流,甚至仅有一个本地IP和端口号和远程IP及端口号。本地计算机通常是指客户端运行并收集信息的主机,远程机通常是指在当前网络的其他主机。从本地IP和远端IP收集后一定量的数据,每个数据集进行比较,并使用一个特定的格式,如图形,图,表等分析最后确定数据。
对于这些分析工具,配置方法推荐使用。此外,每个被推荐到本地进行管理的工具或主机,必须通过其基本接口。但是Snort往往被SnortCenter管理,管理应用程序,远程管理根据其引擎状态通过一个GUI界面来配置相应规则集。该软件可与Snort引擎共同配合使用,但需要安装一个支持PHP脚本功能的Apache Webserver。
实施例
本发明可分为两个阶段进行。第一阶段之间流量检测性主要依据类型I和类型II错误(如网络流量)。第二阶段,确定报警时间。众所周知,基于异常的检测方法往往具有较高的误报率。
测定检测的时间和精度,可帮助用户确定合适的蜜网。这其中有两个重要因素,对当前活动网络的确定性以及警告的及时性。图2和3显示这些模块之间的交互以及相关数据流。tcpdump的数据流可能被送入三个模块,用于检测签名,异常和流量。其输出的警告结果可通过反应模块对其审计进行提交。
如图7所示,当前某生产网络环境中运行背靠背思科PIX515E防火墙,网络被设置在远程区域。VPN会话可从蜜罐建立到远程网络。攻击可被发送到Honeynet用于测试响应时间,还原远程网络的访问控制列表。一旦被攻击,就会监控使用交换机的端口,如思科2950交换机。其可在接口运行监控流量。控制软件运行在引擎中,通过VPN隧道,思科PIX515防火墙可以发送一个信号给远程防火墙。另一个模块中,其位于另一个生产网络,可以分析代码,做出决定,并建立一个新的防火墙的访问控制列表,整个事务的延迟可在不同负载条件下进一步优化。
本实验假设每个网络只有一个入口点,或所有入口点执行同样的策略。这种假设使网络能够采取更多的预防措施。然而,本发明还可以允许一个以上的网络入口点。同样,本发明在多网络流量方向中允许执行多条策略。
本发明可删除以前的策略或覆盖至少有一个新的策略以保证安全策略更改。新策略可以是一个安全的或不安全的策略。但两者必须要在文件中预先编写。此过程在一个或多个防火墙中可被迅速执行。
本发明可创建(或实例化一个参数化的访问控制列表)相应的访问控制列表。使用网络管理***,如思科网络,相应列表可被自动加载。这些管理***是基于基于Web进行管理的。这种方法可允许用户为每一种情况创建单一的访问控制列表并允许蜜网服务器场自动执行。
时间可作为实验的输出的成果之一,以确定该架构的有效性。例如,用户可能会估计改变交换机策略执行后的时间。在通信过程中,可避免预先警告的攻击,而且可以将攻击进行分类。此外,当数据分析单元产生告警时,用户可估计攻击蜜网、生产网络,保卫自己收紧其周边之间的总时间。根据不同的负载条件和攻击,可重复这个过程。
非实时活动和其他工具
入侵检测分析控制台(ACID)是一个开源的应用程序,可以解析不同的日志数据格式,包括Snort和SPADE。此外,ACID可能会显示在一个简单的并使用网络接口等不同的日志数据格式。告警以及搜索使用一个相当复杂的查询生成器并进行分组。ACID控制台可具备显示第3层和4层头信息并将其数据包进行解码的能力。ACID可提供一些有用的可视化功能,包括图形随着时间的推移等相关告警和多种统计图表。ACID需要一个Web服务器和PHP的支持,同时与数据库搭配使用。
本发明需要两个数据库。一个可用于存储捕获的网络流量,这个库可能需要大量的存储空间;另一种可用于支持结构化数据,这有助于分析,管理或监视组件。后者容量相对比较小。例如,后者库是MySQL或PostgreSQL。
可视化一般作为一个单独的网络流量分析并体现本发明的结构组件。然而,可视化也可能被列入为在一个或多个网络分析仪,或在一个或多个分析控制台的工具。其中软件能够提供可视化功能的例子包括ACID和CoralReef。此外,一个开源的工具,为高层次的网络流量的可视化,如Etherape,可用于显示每两点之间线的两个IP地址之间的连接。行代表是彩色编码来表示不同的协议,端点和线条的大小,可用于引用每个连接的流量。etherape可能被分开安装,这样可实时的生成生成树端口。反过来,可直接发送到决策者中。
蜜网服务器场以及分布式实验
本发明所述的蜜罐可涉及到其他***的数据。所描述的软件模块,也就是蜜网中的进程数据流,可以处理来自多个蜜罐的数据。本发明可作为源预警***的蜜网的集合。为了实现这一目标,决策单元的能力可会被扩大。
代理***,可用于管理在线告警和反应模块。任何一种计算机语言或格式等,如Java,可用于创建***,如图8所示。该***可实现使用不同分发点实现***之间发送消息。分发点相关实例是Java消息服务器(JMS)。检测代理(如Snort),可将通知发送到一个自动决策,如Java(JDM)。Snort可发送SNMP告警到JDM。此时,JDM可配置,因此,这将是可以设定不同的策略应对JDM的告警。JDM主要功能往往是发送JMS消息到JMS。然而,本发明可使用OpenJMS,这是一个基于JMS规范实现的开源工具。将来,OpenJMS可有助于替代其他JMS。侦听代理,如Java侦听代理(JLA),可完成JMS监听敏感事件的完整响应过程,这些事件可基于不同的队列和主题并将其分类,将它们发送到不同的JDMs。如果JLAs是外部***,JLAs可通过VPN进行通信,此时操作JMS,以保证JLAs会得到相关敏感消息。根据当前运行的JLAs***,各种JLAs可以不同的方式处理这些消息。例如,在特定的告警,目的是要改变防火墙设置,从而改变它正在运行的***上的IP表配置。在本实验中使用的代码可附在计算机程序清单中。
此外,蜜网通过他们的垃圾邮件的端口可以用来互相通信,如图7和1所示。本发明可体现出基于现成产品来使用蜜罐软件。由于自动告警,策略会动态变化,蜜罐可基于内部输入(来自另一个蜜罐的流量)或外部输入来修改策略。例如,蜜罐1运行在远程站点,并与前端防火墙相连,通过VPN建立从蜜罐1到蜜罐2的连接,如图7所示。此时攻击被发送到蜜罐1,恢复蜜罐2的访问控制列表并测试相关反应时间。另一次攻击,则通过网络流量发生器在防火墙之外进行,一旦发生攻击,用户通过监视交换机的SPAM端口。SNORT在接口处运行并镜像流量,控制软件运行在决策中心,决策中心会通过VPN隧道从一个防火墙到另一个防火墙发出一个信号。决策中心在另一个生产网络中可分析代码。以上这些分析,决策中心往往作出决定和并向防火墙的添加新的访问控制列表。事务的延迟在不同负载条件下,还可以进行优化。
上述虽然结合附图对本发明的具体实施方式进行了描述,但并非对本发明保护范围的限制,所属领域技术人员应该明白,在本发明的技术方案的基础上,本领域技术人员不需要付出创造性劳动即可做出的各种修改或变形仍在本发明的保护范围以内。
Claims (4)
1.一种信息化生产环境下基于蜜网的风险预警***,其特征是,包括若干个客户端、蜜网,蜜网与客户端之间通过互联网连接,所述蜜网包括蜜罐、服务器、滤器、第一交换机、数据库、至少一个网络分析仪、第二交换机、业务信息发送器、自动决策装置,所述自动决策装置包括入侵检测***控制台、分析控制台,所述蜜网是通过互联网连接的,所述服务器通过第一交换机与数据库连接,数据库通过网络分析仪与第二交换机连接,所述第二交换机连接自动决策装置,所述第一交换机还通过互联网与业务信息发送器连接,所述滤器分别与网络分析仪和数据库连接,所述客户端包括反攻击盒,第三交换机和远端客户,所述反攻击盒通过第三交换机与远端客户连接;当某一蜜网中的一个蜜罐被攻击时,蜜罐提前预警,告知即将被攻击的客户端,这样客户端能够采取适当的措施;被攻击的蜜罐同时通知其他蜜网;其他蜜网也预警其对应的客户端提前采取适当的措施防止攻击,蜜网中的分析控制台通过智能分析,将客户端采取措施后生成的报表传输给管理员;分析控制台的具体工作步骤如下:
步骤一:开始;
步骤二:网络分析仪接收数据,接收至少来自一个网络分析仪的数据;同时所述网络分析仪至少是一个蜜网的一部分;
步骤三:生成分类数据,通过把数据按照一定的层次结构属性进行筛选分类;
步骤四:对分类的数据进行排序,至少使用一个预先确定的属性;
步骤五:与一个客户端进行会话,至少有一个相关的属性;
步骤六:接收来自客户端的请求,执行一个话题;
步骤七:根据客户的有关信息的请求,发送相关材料,并及时通知。
2.一种使用权利要求1所述风险预警***执行的信息化生产环境下基于蜜网的风险预警方法,其特征是,具体步骤如下:
步骤一:蜜网的网络分析仪监听端口的网络流量;
步骤二:蜜网的滤器进行过滤,将监听结果存储到数据库;
步骤三:蜜网进入三种并行分析阶段:签名分析,统计异常分析和基于数据流的分析;
步骤四:蜜网将三种分析的结果直接送入分析控制台和入侵检测***控制台,其中送入分析控制台的数据经分析控制台处理后进入自动决策,然后进入入侵检测***控制台;或者,将三种分析结果先存入数据库,然后由数据库中的数据再分别送入分析控制台和入侵检测***控制台,其中送入分析控制台的数据经分析控制台处理后进入自动决策,然后进入入侵检测***控制台。
3.如权利要求2所述的一种信息化生产环境下基于蜜网的风险预警方法,其特征是,所述签名分析是在入侵检测***的实现,是基于字符串匹配,字符串匹配,也就是一串代码,表示通过比较传入的数据包来检测特定的恶意流量特征;签名包括一个短语或经常攻击的命令,如果找到一个匹配,就会产生警报;如果没有,分组对比名单上的签名;直到所有的签名已经过检查;一旦完成,下一个数据包会被读入内存,其中签名检查的过程又会重新开始。
4.如权利要求2所述的一种信息化生产环境下基于蜜网的风险预警方法,其特征是,所述统计异常分析是通过比较观察到的行为与预期的行为来试图寻找入侵;统计异常分析是基于特征分析的,它用于检测新的未知的攻击,而不必依赖于匹配观测数据与数据库中已知的攻击。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210388461.1A CN102882884B (zh) | 2012-10-13 | 2012-10-13 | 信息化生产环境下基于蜜网的风险预警***及方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210388461.1A CN102882884B (zh) | 2012-10-13 | 2012-10-13 | 信息化生产环境下基于蜜网的风险预警***及方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102882884A CN102882884A (zh) | 2013-01-16 |
| CN102882884B true CN102882884B (zh) | 2014-12-24 |
Family
ID=47484027
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201210388461.1A Active CN102882884B (zh) | 2012-10-13 | 2012-10-13 | 信息化生产环境下基于蜜网的风险预警***及方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102882884B (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| RU2761542C1 (ru) * | 2021-03-15 | 2021-12-09 | Акционерное общество "Лаборатория Касперского" | Система и способ формирования системы ресурсов-ловушек |
Families Citing this family (26)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104144164A (zh) * | 2014-08-06 | 2014-11-12 | 武汉安问科技发展有限责任公司 | 基于网络入侵的扩展防御方法 |
| CN105488393B (zh) * | 2014-12-27 | 2018-07-03 | 哈尔滨安天科技股份有限公司 | 一种基于数据库蜜罐的攻击行为意图分类方法及*** |
| CN107645398A (zh) * | 2016-07-22 | 2018-01-30 | 北京金山云网络技术有限公司 | 一种诊断网络性能和故障的方法和装置 |
| CN107465663A (zh) * | 2017-07-06 | 2017-12-12 | 广州锦行网络科技有限公司 | 一种网络无痕蜜罐的实现方法及装置 |
| US10609068B2 (en) * | 2017-10-18 | 2020-03-31 | International Business Machines Corporation | Identification of attack flows in a multi-tier network topology |
| CN107819633B (zh) * | 2017-11-30 | 2021-05-28 | 国网河南省电力公司商丘供电公司 | 一种快速发现并处理网络故障的方法 |
| CN108134797A (zh) * | 2017-12-28 | 2018-06-08 | 广州锦行网络科技有限公司 | 基于蜜罐技术的攻击反制实现***及方法 |
| CN109995716B (zh) * | 2017-12-29 | 2021-07-30 | 北京安天网络安全技术有限公司 | 基于高交互蜜罐***的行为激发方法及装置 |
| CN108521406A (zh) * | 2018-03-21 | 2018-09-11 | 沈阳化工大学 | 一种基于蜜罐技术捕获网络蠕虫的方法 |
| CN109495472A (zh) * | 2018-11-19 | 2019-03-19 | 南京邮电大学 | 一种针对内外网摄像头配置弱口令漏洞的防御方法 |
| CN109347881B (zh) * | 2018-11-30 | 2021-11-23 | 东软集团股份有限公司 | 基于网络欺骗的网络防护方法、装置、设备及存储介质 |
| CN109696892A (zh) * | 2018-12-21 | 2019-04-30 | 上海瀚之友信息技术服务有限公司 | 一种安全自动化***及其控制方法 |
| CN109711173B (zh) * | 2019-02-03 | 2020-10-09 | 北京大学 | 一种口令文件泄漏检测方法 |
| CN110493238A (zh) * | 2019-08-26 | 2019-11-22 | 杭州安恒信息技术股份有限公司 | 基于蜜罐的防御方法、装置、蜜罐***和蜜罐管理服务器 |
| TWI742799B (zh) * | 2019-10-18 | 2021-10-11 | 臺灣銀行股份有限公司 | 網路攻擊分析方法 |
| CN111541670A (zh) * | 2020-04-17 | 2020-08-14 | 广州锦行网络科技有限公司 | 一种新型动态蜜罐*** |
| CN111885041A (zh) * | 2020-07-17 | 2020-11-03 | 福建奇点时空数字科技有限公司 | 一种基于蜜罐威胁数据的攻击场景重构方法 |
| CN111865996A (zh) * | 2020-07-24 | 2020-10-30 | 中国工商银行股份有限公司 | 数据检测方法、装置和电子设备 |
| CN112788023B (zh) * | 2020-12-30 | 2023-02-24 | 成都知道创宇信息技术有限公司 | 基于安全网络的蜜罐管理方法及相关装置 |
| CN113162948B (zh) * | 2021-05-12 | 2022-07-26 | 上海交通大学宁波人工智能研究院 | 一种模块化工控蜜罐*** |
| CN113824745A (zh) * | 2021-11-24 | 2021-12-21 | 武汉大学 | 一种基于循环神经网络模型的网络安全应急处置*** |
| CN113904878B (zh) * | 2021-12-10 | 2022-03-25 | 浙江木链物联网科技有限公司 | 一种基于大节点数的数据处理方法、***和可读存储介质 |
| CN114189568B (zh) * | 2022-02-14 | 2022-05-31 | 北京华御数观科技有限公司 | 一种快速处理udp数据包的方法及*** |
| CN114598504B (zh) * | 2022-02-21 | 2023-11-03 | 烽台科技(北京)有限公司 | 一种风险评估方法、装置、电子设备及可读存储介质 |
| CN114640537A (zh) * | 2022-03-31 | 2022-06-17 | 杭州安恒信息技术股份有限公司 | 一种内网横向移动检测方法、装置、设备及介质 |
| CN116436668B (zh) * | 2023-04-12 | 2023-11-10 | 广州市点易资讯科技有限公司 | 信息安全管控方法、装置,计算机设备,存储介质 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101087196A (zh) * | 2006-12-27 | 2007-12-12 | 北京大学 | 多层次蜜网数据传输方法及*** |
| CN102546621A (zh) * | 2010-12-27 | 2012-07-04 | 阿瓦雅公司 | 用于融合的voip服务的voip蜜罐的***和方法 |
| CN102724176A (zh) * | 2012-02-23 | 2012-10-10 | 北京市计算中心 | 一种面向云计算环境的入侵检测*** |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7526541B2 (en) * | 2003-07-29 | 2009-04-28 | Enterasys Networks, Inc. | System and method for dynamic network policy management |
-
2012
- 2012-10-13 CN CN201210388461.1A patent/CN102882884B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101087196A (zh) * | 2006-12-27 | 2007-12-12 | 北京大学 | 多层次蜜网数据传输方法及*** |
| CN102546621A (zh) * | 2010-12-27 | 2012-07-04 | 阿瓦雅公司 | 用于融合的voip服务的voip蜜罐的***和方法 |
| CN102724176A (zh) * | 2012-02-23 | 2012-10-10 | 北京市计算中心 | 一种面向云计算环境的入侵检测*** |
Non-Patent Citations (1)
| Title |
|---|
| "大型网络终端IT运维安全监控与风险预警***";徐沛沛 等;《电路信息化》;20110930;全文 * |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| RU2761542C1 (ru) * | 2021-03-15 | 2021-12-09 | Акционерное общество "Лаборатория Касперского" | Система и способ формирования системы ресурсов-ловушек |
Also Published As
| Publication number | Publication date |
|---|---|
| CN102882884A (zh) | 2013-01-16 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102882884B (zh) | 信息化生产环境下基于蜜网的风险预警***及方法 | |
| EP3528462B1 (en) | A method for sharing cybersecurity threat analysis and defensive measures amongst a community | |
| Khan et al. | Network forensics: Review, taxonomy, and open challenges | |
| Pilli et al. | Network forensic frameworks: Survey and research challenges | |
| US20060101516A1 (en) | Honeynet farms as an early warning system for production networks | |
| US8209759B2 (en) | Security incident manager | |
| KR101070614B1 (ko) | 봇넷 정보를 이용한 악성 트래픽 격리 시스템과 봇넷 정보를 이용한 악성 트래픽 격리 방법 | |
| US20030188189A1 (en) | Multi-level and multi-platform intrusion detection and response system | |
| CN106992955A (zh) | Apt防火墙 | |
| Akbar et al. | Intrusion detection system methodologies based on data analysis | |
| Bidou | Security operation center concepts & implementation | |
| Vacas et al. | Detecting network threats using OSINT knowledge-based IDS | |
| Beg et al. | Feasibility of intrusion detection system with high performance computing: A survey | |
| Priya et al. | Containerized cloud-based honeypot deception for tracking attackers | |
| Golling et al. | Towards multi-layered intrusion detection in high-speed networks | |
| Baláž et al. | ModSecurity IDMEF module | |
| RU2703329C1 (ru) | Способ обнаружения несанкционированного использования сетевых устройств ограниченной функциональности из локальной сети и предотвращения исходящих от них распределенных сетевых атак | |
| Roponena et al. | Towards a Human-in-the-Loop Intelligent Intrusion Detection System. | |
| Wu et al. | Study of intrusion detection systems (IDSs) in network security | |
| CN113194087A (zh) | 一种用于不同信息域的安全风险高强度监测*** | |
| Mishra et al. | Artificial intelligent firewall | |
| Singh et al. | A review on intrusion detection system | |
| Grant | Distributed detection and response for the mitigation of distributed denial of service attacks | |
| Prabhu et al. | Network intrusion detection system | |
| Portokalidis et al. | SweetBait: Zero-hour worm detection and containment using honeypots |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| ASS | Succession or assignment of patent right |
Owner name: STATE GRID CORPORATION OF CHINA Free format text: FORMER OWNER: ELECTRIC POWER RESEARCH INSTITUTE, STATE GRID SHANDONG ELECTRIC POWER COMPANY Effective date: 20141115 Owner name: ELECTRIC POWER RESEARCH INSTITUTE, STATE GRID SHAN Free format text: FORMER OWNER: STATE GRID CORPORATION OF CHINA Effective date: 20141115 |
|
| C41 | Transfer of patent application or patent right or utility model | ||
| C53 | Correction of patent of invention or patent application | ||
| CB02 | Change of applicant information |
Address after: Wang Yue Central Road Ji'nan City, Shandong province 250002 City No. 2000 Applicant after: ELECTRIC POWER RESEARCH INSTITUTE OF STATE GRID SHANDONG ELECTRIC POWER Co. Applicant after: State Grid Corporation of China Address before: 250002, No. 1, South Second Ring Road, Shizhong District, Shandong, Ji'nan Applicant before: ELECTRIC POWER RESEARCH INSTITUTE OF SHANDONG ELECTRIC POWER Corp. Applicant before: State Grid Corporation of China |
|
| CB03 | Change of inventor or designer information |
Inventor after: Ren Tiancheng Inventor after: Liu Xin Inventor after: Jing Junshuang Inventor after: Ma Lei Inventor after: Meng Yu Inventor after: Xu Naiyuan Inventor after: Wu Guanbin Inventor before: Ren Tiancheng Inventor before: Liu Xin Inventor before: Jing Junshuang Inventor before: Ma Lei Inventor before: Meng Yu |
|
| COR | Change of bibliographic data |
Free format text: CORRECT: INVENTOR; FROM: REN TIANCHENG LIU XIN JING JUNSHUANG MA LEI MENG YU TO: REN TIANCHENG LIU XIN JING JUNSHUANG MA LEI MENG YU XU NAIYUAN WU GUANBIN Free format text: CORRECT: ADDRESS; FROM: 250002 JINAN, SHANDONG PROVINCE TO: 100031 XICHENG, BEIJING Free format text: CORRECT: APPLICANT; FROM: SHANDONG ELECTRIC POWER SCIENCE AND RESEARCH INSTITUTE, SHANDONG ELECTRICPOWER CORPORATION TO: ELECTRIC POWER RESEARCH INSTITUTE, STATE GRID SHANDONG ELECTRIC POWER COMPANY |
|
| TA01 | Transfer of patent application right |
Effective date of registration: 20141115 Address after: 100031 Xicheng District West Chang'an Avenue, No. 86, Beijing Applicant after: State Grid Corporation of China Applicant after: ELECTRIC POWER RESEARCH INSTITUTE OF STATE GRID SHANDONG ELECTRIC POWER Co. Address before: Wang Yue Central Road Ji'nan City, Shandong province 250002 City No. 2000 Applicant before: ELECTRIC POWER RESEARCH INSTITUTE OF STATE GRID SHANDONG ELECTRIC POWER Co. Applicant before: State Grid Corporation of China |
|
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |