CN109088901A - 基于sdn构建动态网络的欺骗防御方法和*** - Google Patents
基于sdn构建动态网络的欺骗防御方法和*** Download PDFInfo
- Publication number
- CN109088901A CN109088901A CN201811285868.5A CN201811285868A CN109088901A CN 109088901 A CN109088901 A CN 109088901A CN 201811285868 A CN201811285868 A CN 201811285868A CN 109088901 A CN109088901 A CN 109088901A
- Authority
- CN
- China
- Prior art keywords
- attacker
- hexa
- atomic group
- data
- group information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1491—Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开一种基于SDN构建动态网络的欺骗防御方法,首先对攻击者进行识别和记录,根据所述攻击者的相关信息调用SDN接口,将从攻击者服务器的IP到被攻击者服务器的IP和相应端口的流量数据转发到蜜罐的相同端口上;若所述蜜罐捕捉到攻击者的流量数据,则将攻击者服务器IP地址定义为高危IP地址并对所述高危IP地址进行拦截封堵。本发明是将蜜罐网络的分配调度与SDN技术结合,根据攻击者的行为,动态调整攻击者流量走向,将静态的网络动态化;蜜罐网络对高危IP地址进行拦截封堵,让攻击者再也无法得到攻击目标的端口、服务或***等真实的信息,从而主动诱导攻击者针对蜜罐发起攻击,捕获攻击者行为,隔离攻击。
Description
技术领域
本发明涉及防御网络攻击技术领域,尤其涉及一种基于SDN构建动态网络的欺骗防御方法和***。
背景技术
九十年代蜜罐的概念被提出,最开始Fred Cohen,Niels Provos等安全研究者使用低交互蜜罐来欺骗攻击者,由于容易被识破,后来,大部分安全研究者都使用真实***构建蜜罐网络,蜜罐技术发展到现在,独立的蜜罐网络已经比较成熟,但仍存在一些比较明显的缺陷,如密网***仍是独立静态的,难以进行主动防御,只能被动的等待攻击者进入蜜罐网络,然后捕捉攻击行为。传统的IPS产品存在大量的误报,当发现攻击之后,只能选择阻断攻击来止损,无法获取更多的攻击者信息,无法给予攻击者更多的威慑。并且,云计算盛行的今天,也鲜有蜜罐网络技术与云计算结合的安全技术,一些在云上的蜜罐网络也只是独立的静态的等待攻击者的攻击,无法做到动态构建,主动诱导。
发明内容
本发明针对现有技术中的缺点,提供了一种基于SDN构建动态网络的欺骗防御方法和***。
为了解决上述技术问题,本发明通过下述技术方案得以解决:
一种基于SDN构建动态网络的欺骗防御方法,包括以下步骤:
采用旁路模式监控云平台的所有流量数据,从中获取六元组信息数据,并存储至流量数据库中;
根据相关正则表达式匹配策略,建立恶意特征库和威胁情报库;
根据威胁情报库依次对流量数据库的每个六元组信息数据进行相似度匹配,判断六元组信息数据是否存在携带威胁情报,若是,则将所述六元组信息数据初步识别为攻击者;若不是,则与恶意特征库继续匹配,判断六元组信息数据是否匹配,若匹配,则将所述六元组信息数据初步识别为攻击者;
记录所述攻击者的相关信息,所述攻击者的相关信息包括攻击者服务器的IP、攻击者服务器的端口、被攻击服务器的IP、被攻击服务器的端口、网络协议类型和数据内容;
根据所述攻击者的相关信息调用SDN接口,将从攻击者服务器的IP到被攻击者服务器的IP和相应端口的流量数据转发到蜜罐的相同端口上;
若所述蜜罐捕捉到攻击者的流量数据,则将攻击者服务器IP地址定义为高危IP地址并对所述高危IP地址进行拦截封堵。
作为一种可实施方式,所述六元组信息数据包括源IP、源端口、目标IP、目标端口、协议以及数据内容;
所述恶意特征库中包含至少两条正则表达式匹配策略,所述威胁情报库中包含至少两条恶意IP。
作为一种可实施方式,所述根据威胁情报库依次对流量数据库的每个六元组信息数据进行相似度匹配,判断六元组信息数据是否存在携带威胁情报,若是,则将所述六元组信息数据初步识别为攻击者;若不是,则与恶意特征库继续匹配,判断六元组信息数据是否匹配,若匹配,则将所述六元组信息数据初步识别为攻击者,具体是指:将威胁情报库中的IP依次轮询取出与所述六元组中源IP进行对比,若两者相同,则认为是攻击者;将恶意特征库中的正则表达式匹配策略依次轮询取出与六元组中数据内容进行匹配,若匹配成功,则识别为攻击者。
作为一种可实施方式,所述判断六元组信息数据是否存在恶意特征或携带威胁情报,还包括,若六元组信息数据不存在恶意特征或携带威胁情报,则统计选定时间间隔内访问目标IP的目标端口的六元组信息数据并判断是否大于预设数值,若大于,则将所述六元组信息数据初步识别为攻击者,若不大于,则认定为非攻击者。
作为一种可实施方式,所述时间间隔为25S-30S;所述预设数值为8-12。
一种基于SDN构建动态网络的欺骗防御***,包括获取模块、建立模块、判断模块、记录模块、调用模块和拦截模块;
所述获取模块,用于采用旁路模式监控云平台的所有流量数据,从中获取六元组信息数据,并存储至流量数据库中;
所述建立模块,用于根据相关正则表达式匹配策略,建立恶意特征库和威胁情报库;
所述判断模块,用于根据威胁情报库依次对流量数据库的每个六元组信息数据进行相似度匹配,判断六元组信息数据是否存在携带威胁情报,若是,则将所述六元组信息数据初步识别为攻击者;若不是,则与恶意特征库继续匹配,判断六元组信息数据是否匹配,若匹配,则将所述六元组信息数据初步识别为攻击者;
所述记录模块,用于记录所述攻击者的相关信息,所述攻击者的相关信息包括攻击者服务器的IP、攻击者服务器的端口、被攻击服务器的IP、被攻击服务器的端口、网络协议类型和数据内容;
所述调用模块,用于根据所述攻击者的相关信息调用SDN接口,将从攻击者服务器的IP到被攻击者服务器的IP和相应端口的流量数据转发到蜜罐的相同端口上;
所述拦截模块,用于若所述蜜罐捕捉到攻击者的流量数据,则将攻击者服务器IP地址定义为高危IP地址并对所述高危IP地址进行拦截封堵。
作为一种可实施方式,所述获取模块被设置为:所述六元组信息数据包括源IP、源端口、目标IP、目标端口、协议以及数据内容;
所述建立模块被设置为:所述恶意特征库中包含至少两条正则表达式匹配策略,所述威胁情报库中包含至少两条恶意IP。
作为一种可实施方式,所述判断模块被设置为:将威胁情报库中的IP依次轮询取出与所述六元组中源IP进行对比,若两者相同,则认为是攻击者;将恶意特征库中的正则表达式匹配策略依次轮询取出与六元组中数据内容进行匹配,若匹配成功,则识别为攻击者。
作为一种可实施方式,所述判断模块还用于若六元组信息数据不存在恶意特征或携带威胁情报,则统计选定时间间隔内访问目标IP的目标端口的六元组信息数据并判断是否大于预设数值,若大于,则将所述六元组信息数据初步识别为攻击者,若不大于,则认定为非攻击者。
作为一种可实施方式,所述判断模块被设置为:所述时间间隔为25S-30S,所述预设数值为8-12。
本发明由于采用了以上技术方案,具有显著的技术效果:
本发明将蜜罐网络的分配调度与SDN技术结合,根据攻击者的行为,动态调整攻击者流量走向,将静态的网络动态化;蜜罐网络对高危IP地址进行拦截封堵,让攻击者再也无法得到攻击目标的端口、服务或***等真实的信息,从而主动诱导攻击者针对蜜罐发起攻击,捕获攻击者行为,隔离攻击。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1是本发明的整体流程示意图;
图2是本发明的整体结构示意图;
图3是本发明的详细流程图。
具体实施方式
下面结合实施例对本发明做进一步的详细说明,以下实施例是对本发明的解释而本发明并不局限于以下实施例。
实施例1:
一种基于SDN构建动态网络的欺骗防御方法,如图1所示,包括以下步骤:
S100、采用旁路模式监控云平台的所有流量数据,从中获取六元组信息数据,并存储至流量数据库中;
S200、根据相关正则表达式匹配策略,建立恶意特征库和威胁情报库;
S300、根据威胁情报库依次对流量数据库的每个六元组信息数据进行相似度匹配,判断六元组信息数据是否存在携带威胁情报,若是,则将所述六元组信息数据初步识别为攻击者;若不是,则与恶意特征库继续匹配,判断六元组信息数据是否匹配,若匹配,则将所述六元组信息数据初步识别为攻击者;
S400、记录所述攻击者的相关信息,所述攻击者的相关信息包括攻击者服务器的IP、攻击者服务器的端口、被攻击服务器的IP、被攻击服务器的端口、网络协议类型和数据内容;
S500、根据所述攻击者的相关信息调用SDN接口,将从攻击者服务器的IP到被攻击者服务器的IP和相应端口的流量数据转发到蜜罐的相同端口上;
S600、若所述蜜罐捕捉到攻击者的流量数据,则将攻击者服务器IP地址定义为高危IP地址并对所述高危IP地址进行拦截封堵。
更进一步地,所述六元组信息数据包括源IP、源端口、目标IP、目标端口、协议以及数据内容。
在此,所述攻击者的相关信息和六元组信息数据的内容是相同的,只是当六元组信息数据被初步识别为初步攻击者后,六元组信息数据就被称作攻击者的相关信息,并且,其包含的内容也换了一种称呼:即攻击者服务器的IP、攻击者服务器的端口、被攻击服务器的IP、被攻击服务器的端口、网络协议类型和数据内容。
在步骤S300中,依次对流量数据库的每个六元组信息数据进行相似度匹配具体过程为:流量数据库中存在很多六元组信息数据,而建立的个恶意特征库,这个里面保存的是多个正则表达式策略,威胁情报库里面包含的是恶意IP或恶意url,每个流量数据都可以提取出来一个六元组信息数据,把每个六元组信息数据的的数据内容与恶意特征库进行中的每个正则表达式策略,如果匹配上了,则认为该流量数据是恶意的,如果没匹配上,则将六元组信息数据中的源IP与威胁情报库中的恶意IP进行匹配,如果匹配上了,则认为是该流量数据是恶意数据。
在步骤S300中,所述判断六元组信息数据是否存在恶意特征或携带威胁情报还包括,若六元组信息数据不存在恶意特征或携带威胁情报,则统计选定时间间隔内访问目标IP的目标端口的六元组信息数据并判断是否大于预设数值,若大于,则将所述六元组信息数据初步识别为攻击者,若不大于,则认定为非攻击者。也就是说,如果由于误差或者其他原因,如果没有识别出攻击者,那么,有可能未被识别的六元组信息数据还是攻击者,所以,需要进一步的进行判断,就是通过在选定的时间间隔内通过目标端口的六元组信息数据六元组信息数据的访问量与预设数值进行比较,加入访问的特别频繁,比预设数值大,那么,就有可能是攻击者,就会将其初步识别为攻击者。经多个环境实测,时间间隔为25s-30s,预设数值为8-12之间,识别效果最佳。
在步骤500中,具体操作可参见以下实例:
假设六元组信息数据中,攻击者服务器的IP为47.90.44.133,被攻击服务器的IP为101.32.14.55,其中蜜罐的IP为192.168.10.14,攻击者对被攻击服务器的IP(101.32.14.55)发起扫描行为,流量监控平台识别到扫描行为后,攻击者服务器的IP(47.90.44.133)连接被攻击服务器的IP(101.32.14.55)的2222端口的流量转发到蜜罐(192.168.10.14)的22端口上,则在攻击者的视角,被攻击服务器的IP(101.32.14.55)的2222端口为一个ssh服务,存在漏洞可被攻击,实际上攻击者的行为被隔离到了蜜罐中。
在步骤S600中,所述拦截封堵一般为:规定时间内禁止该恶意IP访问云平台内的某个特定主机;规定时间内禁止该恶意IP访问云平台内所有主机;永久禁止该恶意IP访问云平台内某个特定主机;永久禁止该恶意IP访问云平台内所有主机,这样,才能真正的实现防御。详细的流程图可参见附图3。
本发明的方法是将蜜罐网络的分配调度与SDN技术结合,根据攻击者的行为,动态调整攻击者流量走向,将静态的网络动态化;蜜罐网络对高危IP地址进行拦截封堵,让攻击者再也无法得到攻击目标的端口、服务或***等真实的信息,从而主动诱导攻击者针对蜜罐发起攻击,捕获攻击者行为,隔离攻击。
实施例2:
一种基于SDN构建动态网络的欺骗防御***,如图2所示,包括获取模块100、建立模块200、判断模块300、记录模块400、调用模块500和拦截模块600;
所述获取模块100,用于采用旁路模式监控云平台的所有流量数据,从中获取六元组信息数据,并存储至流量数据库中;
所述建立模块200,用于根据相关正则表达式匹配策略,建立恶意特征库和威胁情报库;
所述判断模块300,用于根据威胁情报库依次对流量数据库的每个六元组信息数据进行相似度匹配,判断六元组信息数据是否存在携带威胁情报,若是,则将所述六元组信息数据初步识别为攻击者;若不是,则与恶意特征库继续匹配,判断六元组信息数据是否匹配,若匹配,则将所述六元组信息数据初步识别为攻击者;
所述记录模块400,用于记录所述攻击者的相关信息,所述攻击者的相关信息包括攻击者服务器的IP、攻击者服务器的端口、被攻击服务器的IP、被攻击服务器的端口、网络协议类型和数据内容;
所述调用模块500,用于根据所述攻击者的相关信息调用SDN接口,将从攻击者服务器的IP到被攻击者服务器的IP和相应端口的流量数据转发到蜜罐的相同端口上;
所述拦截模块600,用于若所述蜜罐捕捉到攻击者的流量数据,则将攻击者服务器IP地址定义为高危IP地址并对所述高危IP地址进行拦截封堵。
所述获取模块100被设置为:所述六元组信息数据包括源IP、源端口、目标IP、目标端口、协议以及数据内容;
所述建立模块200被设置为:所述恶意特征库中包含至少两条正则表达式匹配策略,所述威胁情报库中包含至少两条恶意IP。
更进一步地,所述判断模块300被设置为:将威胁情报库中的IP依次轮询取出与所述六元组中源IP进行对比,若两者相同,则认为是攻击者;将恶意特征库中的正则表达式匹配策略依次轮询取出与六元组中数据内容进行匹配,若匹配成功,则识别为攻击者。若初步判断都不为攻击者后,所述判断模块300还用于若六元组信息数据不存在恶意特征或携带威胁情报,则统计选定时间间隔内访问目标IP的目标端口的六元组信息数据并判断是否大于预设数值,若大于,则将所述六元组信息数据初步识别为攻击者,若不大于,则认定为非攻击者。在判断的过程中,将时间间隔设置为25S-30S,将预设数值设置为8-12。
通过本发明的***,也是将蜜罐网络的分配调度与SDN技术结合,根据攻击者的行为,动态调整攻击者流量走向,将静态的网络动态化;蜜罐网络对高危IP地址进行拦截封堵,让攻击者再也无法得到攻击目标的端口、服务或***等真实的信息,从而主动诱导攻击者针对蜜罐发起攻击,捕获攻击者行为,隔离攻击。
对于装置实施例而言,由于其与方法实施例基本相似,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
本说明书中的各个实施例均采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似的部分互相参见即可。
本领域内的技术人员应明白,本发明的实施例可提供为方法、装置、或计算机程序产品。因此,本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本发明是参照根据本发明的方法、终端设备(***)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理终端设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理终端设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理终端设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理终端设备上,使得在计算机或其他可编程终端设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程终端设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
需要说明的是:
说明书中提到的“一个实施例”或“实施例”意指结合实施例描述的特定特征、结构或特性包括在本发明的至少一个实施例中。因此,说明书通篇各个地方出现的短语“一个实施例”或“实施例”并不一定均指同一个实施例。
尽管已描述了本发明的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例做出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本发明范围的所有变更和修改。
此外,需要说明的是,本说明书中所描述的具体实施例,其零、部件的形状、所取名称等可以不同。凡依本发明专利构思所述的构造、特征及原理所做的等效或简单变化,均包括于本发明专利的保护范围内。本发明所属技术领域的技术人员可以对所描述的具体实施例做各种各样的修改或补充或采用类似的方式替代,只要不偏离本发明的结构或者超越本权利要求书所定义的范围,均应属于本发明的保护范围。
Claims (10)
1.一种基于SDN构建动态网络的欺骗防御方法,其特征在于,包括以下步骤:
采用旁路模式监控云平台的所有流量数据,从中获取六元组信息数据,并存储至流量数据库中;
根据相关正则表达式匹配策略,建立恶意特征库和威胁情报库;
根据威胁情报库依次对流量数据库的每个六元组信息数据进行相似度匹配,判断六元组信息数据是否存在携带威胁情报,若是,则将所述六元组信息数据初步识别为攻击者;若不是,则与恶意特征库继续匹配,判断六元组信息数据是否匹配,若匹配,则将所述六元组信息数据初步识别为攻击者;
记录所述攻击者的相关信息,所述攻击者的相关信息包括攻击者服务器的IP、攻击者服务器的端口、被攻击服务器的IP、被攻击服务器的端口、网络协议类型和数据内容;
根据所述攻击者的相关信息调用SDN接口,将从攻击者服务器的IP到被攻击者服务器的IP和相应端口的流量数据转发到蜜罐的相同端口上;
若所述蜜罐捕捉到攻击者的流量数据,则将攻击者服务器IP地址定义为高危IP地址并对所述高危IP地址进行拦截封堵。
2.根据权利要求1所述的基于SDN构建动态网络的欺骗防御方法,其特征在于,所述六元组信息数据包括源IP、源端口、目标IP、目标端口、协议以及数据内容;
所述恶意特征库中包含至少两条正则表达式匹配策略,所述威胁情报库中包含至少两条恶意IP。
3.根据权利要求2所述的基于SDN构建动态网络的欺骗防御方法,其特征在于,所述根据威胁情报库依次对流量数据库的每个六元组信息数据进行相似度匹配,判断六元组信息数据是否存在携带威胁情报,若是,则将所述六元组信息数据初步识别为攻击者;若不是,则与恶意特征库继续匹配,判断六元组信息数据是否匹配,若匹配,则将所述六元组信息数据初步识别为攻击者,具体是指:将威胁情报库中的IP依次轮询取出与所述六元组中源IP进行对比,若两者相同,则认为是攻击者;将恶意特征库中的正则表达式匹配策略依次轮询取出与六元组中数据内容进行匹配,若匹配成功,则识别为攻击者。
4.根据权利要求2所述的基于SDN构建动态网络的欺骗防御方法,其特征在于,所述判断六元组信息数据是否存在恶意特征或携带威胁情报,还包括,若六元组信息数据不存在恶意特征或携带威胁情报,则统计选定时间间隔内访问目标IP的目标端口的六元组信息数据并判断是否大于预设数值,若大于,则将所述六元组信息数据初步识别为攻击者,若不大于,则认定为非攻击者。
5.根据权利要求4所述的基于SDN构建动态网络的欺骗防御方法,其特征在于,所述时间间隔为25S-30S;所述预设数值为8-12。
6.一种基于SDN构建动态网络的欺骗防御***,其特征在于,包括获取模块、建立模块、判断模块、记录模块、调用模块和拦截模块;
所述获取模块,用于采用旁路模式监控云平台的所有流量数据,从中获取六元组信息数据,并存储至流量数据库中;
所述建立模块,用于根据相关正则表达式匹配策略,建立恶意特征库和威胁情报库;
所述判断模块,用于根据威胁情报库依次对流量数据库的每个六元组信息数据进行相似度匹配,判断六元组信息数据是否存在携带威胁情报,若是,则将所述六元组信息数据初步识别为攻击者;若不是,则与恶意特征库继续匹配,判断六元组信息数据是否匹配,若匹配,则将所述六元组信息数据初步识别为攻击者;
所述记录模块,用于记录所述攻击者的相关信息,所述攻击者的相关信息包括攻击者服务器的IP、攻击者服务器的端口、被攻击服务器的IP、被攻击服务器的端口、网络协议类型和数据内容;
所述调用模块,用于根据所述攻击者的相关信息调用SDN接口,将从攻击者服务器的IP到被攻击者服务器的IP和相应端口的流量数据转发到蜜罐的相同端口上;
所述拦截模块,用于若所述蜜罐捕捉到攻击者的流量数据,则将攻击者服务器IP地址定义为高危IP地址并对所述高危IP地址进行拦截封堵。
7.根据权利要求6所述的基于SDN构建动态网络的欺骗防御***,其特征在于,所述获取模块被设置为:所述六元组信息数据包括源IP、源端口、目标IP、目标端口、协议以及数据内容;
所述建立模块被设置为:所述恶意特征库中包含至少两条正则表达式匹配策略,所述威胁情报库中包含至少两条恶意IP。
8.根据权利要求7所述的基于SDN构建动态网络的欺骗防御***,其特征在于,所述判断模块被设置为:将威胁情报库中的IP依次轮询取出与所述六元组中源IP进行对比,若两者相同,则认为是攻击者;将恶意特征库中的正则表达式匹配策略依次轮询取出与六元组中数据内容进行匹配,若匹配成功,则识别为攻击者。
9.根据权利要求6所述的基于SDN构建动态网络的欺骗防御***,其特征在于,所述判断模块还用于若六元组信息数据不存在恶意特征或携带威胁情报,则统计选定时间间隔内访问目标IP的目标端口的六元组信息数据并判断是否大于预设数值,若大于,则将所述六元组信息数据初步识别为攻击者,若不大于,则认定为非攻击者。
10.根据权利要求9所述的基于SDN构建动态网络的欺骗防御***,其特征在于,所述判断模块被设置为:所述时间间隔为25S-30S,所述预设数值为8-12。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811285868.5A CN109088901A (zh) | 2018-10-31 | 2018-10-31 | 基于sdn构建动态网络的欺骗防御方法和*** |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811285868.5A CN109088901A (zh) | 2018-10-31 | 2018-10-31 | 基于sdn构建动态网络的欺骗防御方法和*** |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN109088901A true CN109088901A (zh) | 2018-12-25 |
Family
ID=64844567
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201811285868.5A Pending CN109088901A (zh) | 2018-10-31 | 2018-10-31 | 基于sdn构建动态网络的欺骗防御方法和*** |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109088901A (zh) |
Cited By (22)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109862045A (zh) * | 2019-04-01 | 2019-06-07 | 中科天御(苏州)科技有限公司 | 一种基于sdn的工业控制***动态防御方法及装置 |
| CN110677408A (zh) * | 2019-07-09 | 2020-01-10 | 腾讯科技(深圳)有限公司 | 攻击信息的处理方法和装置、存储介质及电子装置 |
| CN111181926A (zh) * | 2019-12-13 | 2020-05-19 | 中国人民解放军战略支援部队信息工程大学 | 一种基于拟态防御思想的安全设备及其运行方法 |
| CN111680294A (zh) * | 2020-06-15 | 2020-09-18 | 杭州安恒信息技术股份有限公司 | 一种基于高交互蜜罐技术的数据库监控方法、装置、设备 |
| CN111901348A (zh) * | 2020-07-29 | 2020-11-06 | 北京宏达隆和科技有限公司 | 主动网络威胁感知与拟态防御的方法及*** |
| CN111901329A (zh) * | 2020-07-22 | 2020-11-06 | 浙江军盾信息科技有限公司 | 一种识别网络安全事件方法和装置 |
| CN112511559A (zh) * | 2020-12-17 | 2021-03-16 | 中国农业银行股份有限公司 | 内网横向移动攻击的检测方法及*** |
| CN113328992A (zh) * | 2021-04-23 | 2021-08-31 | 国网辽宁省电力有限公司电力科学研究院 | 一种基于流量分析的动态蜜网*** |
| CN113452670A (zh) * | 2021-04-30 | 2021-09-28 | 恒安嘉新(北京)科技股份公司 | 基于sdn网络的网络诈骗封堵方法、装置、设备及介质 |
| CN113691504A (zh) * | 2021-08-04 | 2021-11-23 | 中国电子科技集团公司第五十四研究所 | 一种基于软件定义网络的网络诱捕方法及*** |
| WO2021233373A1 (zh) * | 2020-05-20 | 2021-11-25 | 北京北斗弘鹏科技有限公司 | 一种网络安全防护方法、装置、储存介质及电子设备 |
| CN113709130A (zh) * | 2021-08-20 | 2021-11-26 | 江苏通付盾科技有限公司 | 基于蜜罐***的风险识别方法及装置 |
| CN113783848A (zh) * | 2021-08-25 | 2021-12-10 | 张惠冰 | 基于欺骗性人工智能的网络主动防御方法及装置 |
| CN113810408A (zh) * | 2021-09-16 | 2021-12-17 | 杭州安恒信息技术股份有限公司 | 网络攻击组织的探测方法、装置、设备及可读存储介质 |
| CN113965409A (zh) * | 2021-11-15 | 2022-01-21 | 北京天融信网络安全技术有限公司 | 一种网络诱捕方法、装置、电子设备及存储介质 |
| CN114205161A (zh) * | 2021-12-13 | 2022-03-18 | 北京影安电子科技有限公司 | 一种网络攻击者的发现和追踪方法 |
| CN114531258A (zh) * | 2020-11-05 | 2022-05-24 | 腾讯科技(深圳)有限公司 | 网络攻击行为的处理方法和装置、存储介质及电子设备 |
| CN114978580A (zh) * | 2022-04-08 | 2022-08-30 | 中国电信股份有限公司 | 网络检测方法及装置、存储介质及电子设备 |
| CN115051875A (zh) * | 2022-08-02 | 2022-09-13 | 软极网络技术(北京)有限公司 | 一种基于新型蜜罐的攻击检测方法 |
| CN115051836A (zh) * | 2022-05-18 | 2022-09-13 | 中国人民解放军战略支援部队信息工程大学 | 基于sdn的apt攻击动态防御方法及*** |
| CN115208670A (zh) * | 2022-07-15 | 2022-10-18 | 北京天融信网络安全技术有限公司 | 蜜网构建方法、装置、电子设备及计算机可读取存储介质 |
| CN116996326A (zh) * | 2023-09-26 | 2023-11-03 | 国网江西省电力有限公司信息通信分公司 | 基于蜜网的协同式主动防御方法 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106470204A (zh) * | 2015-08-21 | 2017-03-01 | 阿里巴巴集团控股有限公司 | 基于请求行为特征的用户识别方法、装置、设备及*** |
| CN107370756A (zh) * | 2017-08-25 | 2017-11-21 | 北京神州绿盟信息安全科技股份有限公司 | 一种蜜网防护方法及*** |
| CN107968785A (zh) * | 2017-12-03 | 2018-04-27 | 浙江工商大学 | 一种SDN数据中心中防御DDoS攻击的方法 |
| CN108712364A (zh) * | 2018-03-22 | 2018-10-26 | 西安电子科技大学 | 一种sdn网络的安全防御***及方法 |
| KR20190029486A (ko) * | 2017-09-11 | 2019-03-20 | 숭실대학교산학협력단 | 탄력적 허니넷 시스템 및 그 동작 방법 |
-
2018
- 2018-10-31 CN CN201811285868.5A patent/CN109088901A/zh active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106470204A (zh) * | 2015-08-21 | 2017-03-01 | 阿里巴巴集团控股有限公司 | 基于请求行为特征的用户识别方法、装置、设备及*** |
| CN107370756A (zh) * | 2017-08-25 | 2017-11-21 | 北京神州绿盟信息安全科技股份有限公司 | 一种蜜网防护方法及*** |
| KR20190029486A (ko) * | 2017-09-11 | 2019-03-20 | 숭실대학교산학협력단 | 탄력적 허니넷 시스템 및 그 동작 방법 |
| CN107968785A (zh) * | 2017-12-03 | 2018-04-27 | 浙江工商大学 | 一种SDN数据中心中防御DDoS攻击的方法 |
| CN108712364A (zh) * | 2018-03-22 | 2018-10-26 | 西安电子科技大学 | 一种sdn网络的安全防御***及方法 |
Cited By (35)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109862045A (zh) * | 2019-04-01 | 2019-06-07 | 中科天御(苏州)科技有限公司 | 一种基于sdn的工业控制***动态防御方法及装置 |
| CN109862045B (zh) * | 2019-04-01 | 2021-06-01 | 中科天御(苏州)科技有限公司 | 一种基于sdn的工业控制***动态防御方法及装置 |
| CN110677408A (zh) * | 2019-07-09 | 2020-01-10 | 腾讯科技(深圳)有限公司 | 攻击信息的处理方法和装置、存储介质及电子装置 |
| CN110677408B (zh) * | 2019-07-09 | 2021-07-09 | 腾讯科技(深圳)有限公司 | 攻击信息的处理方法和装置、存储介质及电子装置 |
| CN111181926A (zh) * | 2019-12-13 | 2020-05-19 | 中国人民解放军战略支援部队信息工程大学 | 一种基于拟态防御思想的安全设备及其运行方法 |
| CN111181926B (zh) * | 2019-12-13 | 2022-04-05 | 中国人民解放军战略支援部队信息工程大学 | 一种基于拟态防御思想的安全设备及其运行方法 |
| WO2021233373A1 (zh) * | 2020-05-20 | 2021-11-25 | 北京北斗弘鹏科技有限公司 | 一种网络安全防护方法、装置、储存介质及电子设备 |
| CN111680294A (zh) * | 2020-06-15 | 2020-09-18 | 杭州安恒信息技术股份有限公司 | 一种基于高交互蜜罐技术的数据库监控方法、装置、设备 |
| CN111901329A (zh) * | 2020-07-22 | 2020-11-06 | 浙江军盾信息科技有限公司 | 一种识别网络安全事件方法和装置 |
| CN111901348A (zh) * | 2020-07-29 | 2020-11-06 | 北京宏达隆和科技有限公司 | 主动网络威胁感知与拟态防御的方法及*** |
| CN114531258A (zh) * | 2020-11-05 | 2022-05-24 | 腾讯科技(深圳)有限公司 | 网络攻击行为的处理方法和装置、存储介质及电子设备 |
| CN112511559A (zh) * | 2020-12-17 | 2021-03-16 | 中国农业银行股份有限公司 | 内网横向移动攻击的检测方法及*** |
| CN112511559B (zh) * | 2020-12-17 | 2023-06-16 | 中国农业银行股份有限公司 | 内网横向移动攻击的检测方法及*** |
| CN113328992B (zh) * | 2021-04-23 | 2023-03-24 | 国网辽宁省电力有限公司电力科学研究院 | 一种基于流量分析的动态蜜网*** |
| CN113328992A (zh) * | 2021-04-23 | 2021-08-31 | 国网辽宁省电力有限公司电力科学研究院 | 一种基于流量分析的动态蜜网*** |
| CN113452670A (zh) * | 2021-04-30 | 2021-09-28 | 恒安嘉新(北京)科技股份公司 | 基于sdn网络的网络诈骗封堵方法、装置、设备及介质 |
| CN113691504A (zh) * | 2021-08-04 | 2021-11-23 | 中国电子科技集团公司第五十四研究所 | 一种基于软件定义网络的网络诱捕方法及*** |
| CN113691504B (zh) * | 2021-08-04 | 2022-06-10 | 中国电子科技集团公司第五十四研究所 | 一种基于软件定义网络的网络诱捕方法及*** |
| CN113709130A (zh) * | 2021-08-20 | 2021-11-26 | 江苏通付盾科技有限公司 | 基于蜜罐***的风险识别方法及装置 |
| CN113783848A (zh) * | 2021-08-25 | 2021-12-10 | 张惠冰 | 基于欺骗性人工智能的网络主动防御方法及装置 |
| CN113810408A (zh) * | 2021-09-16 | 2021-12-17 | 杭州安恒信息技术股份有限公司 | 网络攻击组织的探测方法、装置、设备及可读存储介质 |
| CN113810408B (zh) * | 2021-09-16 | 2023-04-07 | 杭州安恒信息技术股份有限公司 | 网络攻击组织的探测方法、装置、设备及可读存储介质 |
| CN113965409A (zh) * | 2021-11-15 | 2022-01-21 | 北京天融信网络安全技术有限公司 | 一种网络诱捕方法、装置、电子设备及存储介质 |
| CN114205161A (zh) * | 2021-12-13 | 2022-03-18 | 北京影安电子科技有限公司 | 一种网络攻击者的发现和追踪方法 |
| CN114205161B (zh) * | 2021-12-13 | 2024-03-29 | 北京影安电子科技有限公司 | 一种网络攻击者的发现和追踪方法 |
| CN114978580A (zh) * | 2022-04-08 | 2022-08-30 | 中国电信股份有限公司 | 网络检测方法及装置、存储介质及电子设备 |
| CN114978580B (zh) * | 2022-04-08 | 2023-09-29 | 中国电信股份有限公司 | 网络检测方法及装置、存储介质及电子设备 |
| CN115051836A (zh) * | 2022-05-18 | 2022-09-13 | 中国人民解放军战略支援部队信息工程大学 | 基于sdn的apt攻击动态防御方法及*** |
| CN115051836B (zh) * | 2022-05-18 | 2023-08-04 | 中国人民解放军战略支援部队信息工程大学 | 基于sdn的apt攻击动态防御方法及*** |
| CN115208670A (zh) * | 2022-07-15 | 2022-10-18 | 北京天融信网络安全技术有限公司 | 蜜网构建方法、装置、电子设备及计算机可读取存储介质 |
| CN115208670B (zh) * | 2022-07-15 | 2023-10-13 | 北京天融信网络安全技术有限公司 | 蜜网构建方法、装置、电子设备及计算机可读取存储介质 |
| CN115051875A (zh) * | 2022-08-02 | 2022-09-13 | 软极网络技术(北京)有限公司 | 一种基于新型蜜罐的攻击检测方法 |
| CN115051875B (zh) * | 2022-08-02 | 2024-05-24 | 软极网络技术(北京)有限公司 | 一种基于新型蜜罐的攻击检测方法 |
| CN116996326A (zh) * | 2023-09-26 | 2023-11-03 | 国网江西省电力有限公司信息通信分公司 | 基于蜜网的协同式主动防御方法 |
| CN116996326B (zh) * | 2023-09-26 | 2023-12-26 | 国网江西省电力有限公司信息通信分公司 | 基于蜜网的协同式主动防御方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109088901A (zh) | 基于sdn构建动态网络的欺骗防御方法和*** | |
| CN107819731B (zh) | 一种网络安全防护***及相关方法 | |
| WO2021233373A1 (zh) | 一种网络安全防护方法、装置、储存介质及电子设备 | |
| Osanaiye | Short Paper: IP spoofing detection for preventing DDoS attack in Cloud Computing | |
| Shetu et al. | A survey of botnet in cyber security | |
| CN103428224B (zh) | 一种智能防御DDoS攻击的方法和装置 | |
| CN107888607A (zh) | 一种网络威胁检测方法、装置及网络管理设备 | |
| CN109347814A (zh) | 一种基于Kubernetes构建的容器云安全防护方法与*** | |
| CN107888546A (zh) | 网络攻击防御方法、装置以及*** | |
| CN111818103B (zh) | 一种网络靶场中基于流量的溯源攻击路径方法 | |
| CN104768139B (zh) | 一种短信发送的方法及装置 | |
| KR101219796B1 (ko) | 분산 서비스 거부 방어 장치 및 그 방법 | |
| CN110493238A (zh) | 基于蜜罐的防御方法、装置、蜜罐***和蜜罐管理服务器 | |
| CN108429762B (zh) | 一种基于服务角色变换的动态蜜罐防御方法 | |
| CN107241338A (zh) | 网络防攻击装置、***和方法,可读介质和存储控制器 | |
| CN109587156A (zh) | 异常网络访问连接识别与阻断方法、***、介质和设备 | |
| CN109981629A (zh) | 病毒防护方法、装置、设备及存储介质 | |
| CN105447385A (zh) | 一种多层次检测的应用型数据库蜜罐实现***及方法 | |
| CN110113333A (zh) | 一种tcp/ip协议指纹动态化处理方法及装置 | |
| CN112738002A (zh) | 一种基于虚实结合的搭建工控蜜网的技术 | |
| Rutherford et al. | Using an improved cybersecurity kill chain to develop an improved honey community | |
| CN106411951A (zh) | 网络攻击行为检测方法及装置 | |
| CN114157479B (zh) | 一种基于动态欺骗的内网攻击防御方法 | |
| Hussain et al. | An adaptive SYN flooding attack mitigation in DDOS environment | |
| CN114389898B (zh) | 一种基于靶场的Web防御方法、装置及*** |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB02 | Change of applicant information | ||
| CB02 | Change of applicant information |
Address after: 311100 10th floor, Block E, building 1, 1378 Wenyi West Road, Cangqian street, Yuhang District, Hangzhou City, Zhejiang Province Applicant after: HANGZHOU MOAN TECHNOLOGY Co.,Ltd. Address before: Room 306-3, North Building 5, 1288 liangmu Road, Cangqian street, Yuhang District, Hangzhou, Zhejiang 311100 Applicant before: HANGZHOU MOAN TECHNOLOGY Co.,Ltd. |
|
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20181225 |