CN112003853B - 一种支持ipv6的网络安全应急响应*** - Google Patents
一种支持ipv6的网络安全应急响应*** Download PDFInfo
- Publication number
- CN112003853B CN112003853B CN202010839795.0A CN202010839795A CN112003853B CN 112003853 B CN112003853 B CN 112003853B CN 202010839795 A CN202010839795 A CN 202010839795A CN 112003853 B CN112003853 B CN 112003853B
- Authority
- CN
- China
- Prior art keywords
- emergency response
- terminal
- cloud platform
- network
- mobile phone
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/12—Detection or prevention of fraud
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D30/00—Reducing energy consumption in communication networks
- Y02D30/70—Reducing energy consumption in communication networks in wireless communication networks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Telephonic Communication Services (AREA)
Abstract
本发明公开了一种支持ipv6的网络安全应急响应***,涉及网络安全技术领域,包括手机终端、应急响应云平台、与应急响应终端,所述手机终端与所述应急响应云平台通信连接,所述应急响应云平台与所述应急响应终端连接;所述手机终端用于存储每个用户控制的应急响应设备,并对每个防御终端发送应急响应的指令;所述应急响应云平台用于负责用户数据的存储,监测应急响应终端的运行状态,并接受手机终端发送的应急响应的指令,对应急响应指令进行存储,与其余网络安全设备进行威胁情报的共享;所述应急响应终端用于从应急响应云平台应急响应的数据库中取走相对应的指令,并对其所连接的路由器、服务器、防火墙发送指令进行具体的操作。
Description
技术领域
本发明涉及网络安全技术领域,具体为一种支持ipv6的网络安全应急响应***。
背景技术
随着移动互联网、物联网和云计算的不断发展,以及移动终端设备、网络设备数量的不断增加,基于IP协议的这些设备,对IP地址有极大的需求。IP地址已成匮乏之态,2011年 2月3日国际互联网名称与数字地址分配机构(ICANN)官方宣布全球最后一批IPv4地址分配完毕,因此,IPv4过渡到Ipv6已成必然。
而随着网络技术的发展,网络规模和复杂性不断增大,网络的脆弱性越来越多,网络的攻击技术不断革新,新型的攻击工具大量涌现,传统的网络安全技术显得力不从心,网络安全问题越发严峻。信息加密技术、防火墙技术、网络数据包审计和入侵检测技术等传统的安全技术,不可否认地在某一方面上的确是保障了网络的安全,但是,在当前复杂化的网络环境中,这些技术的单一使用难以对整个网络的安全动态变化做出准确的监控和管制,已经远远不能达到人们心目中的网络安全目标。当前我国网络安全产业正处于转型升级期。现在,人们普遍形成了一个共识,就是:我们必须假定我们的网络已经遭受入侵。我们必须在这个假设前提上来构建全新的安全防护体系。安全防护体系的构建思想已经从过去的被动/消极防御逐步迈向主动/积极防护和智能/自适应防护,从单纯防御走向积极对抗,从独立防护走向协同防护。实践证明,现实中再昂贵的安全保护也无法发现和抵御所有的危害,“今天的入侵检测工具离完善还有很大距离”。因此,完善的网络安全体系要求在保护体系之外必须建立应急响应体系。
发明内容
本发明的目的在于克服现有技术的不足,提供一种支持ipv6的网络安全应急响应***。
本发明的目的是通过以下技术方案来实现的:
一种支持ipv6的网络安全应急响应***,包括手机终端、应急响应云平台、与应急响应终端,所述手机终端与所述应急响应云平台通信连接,所述应急响应云平台与所述应急响应终端连接;
所述手机终端用于存储每个用户控制的应急响应设备,并根据每个手机终端可以控制的防御终端的编号向云平台发送应急响应的指令,这些指令格根据每个设备不同存入相应的数据库中,并等待应急响应终端向应急响应云平台调取指令;
所述应急响应云平台用于负责用户数据的存储,监测应急响应终端的运行状态,应急响应数据的存储,威胁情报数据的存储,并接受手机终端发送的应急响应的指令,对应急响应指令进行存储,与其余网络安全设备进行威胁情报的共享;
所述应急响应终端用于从应急响应云平台应急响应的数据库中取走相对应的指令,并对其所连接的路由器、服务器、防火墙发送指令进行具体的操作,所述应急响应终端中会根据不同的设备型号与类型存储有运行不同防御指令的脚本,来对网络环境中的设备进行操作。
优选的,所述应急响应云平台采用B/S架构,使用python的Django web框架进行开发。
优选的,所述应急响应终端选用树莓派为其运行平台,所述树莓派上预留IPv4与Ipv6 的双栈接口。
优选的,所述手机终端内设置有应急响应APP,所述应急响应APP含有使用者所能控制的路由器或交换机的设备列表,并设置有软断网或硬断网的方式。
优选的,所述硬断网方式便是应急响应终端中的树莓派通过控制继电器的闭合来控制连接的路由器或者交换机的电源,实现物理上的切断网络连接;所述软断网的方式便是树莓派会运行其所控制的交换机或是路由器的控制脚本,修改ACL表来限制IP的范围从而限制网络的访问。
优选的,所述应急响应云平台采用STIX,并使用TAXII进行威胁信息的共享。
优选的,所述TAXII是基于HTTPS协议实现的威胁信息共享的传输协议,所述STIX是以json格式对威胁信息进行定义。
本发明的有益效果是:
本发明设计和实现了一个支持Ipv6环境和树莓派为载体网络安全应急响应***。本***将态势感知,威胁情报共享,网络安全应急响应进行深度融合,实现了入侵前的预警和威胁信息的共享,入侵时的应急响应,它将严格依照国家和国际通用的应急响应的标准及方法,充分协调地理分布的资源协同应对网络安全事件,以防止进一步的破坏或者攻封锁下一波攻击,因此具有重要的现实意义。
附图说明
图1为本发明***的整体结构示意图;
图2为本发明APP的用例图;
图3为本发明云平台管理员的用例图;
图4为本发明应急响应终端的用例图;
图5为本发明API Root组件之间的关系图;
图6为本发明的请求与响应图;
图7为本发明中对STIX的所有资源以唯一ID值进行区分的示意图;
图8为本发明中获得所有的STIX打包好的bundle包的示意图;
图9为本发明中威胁信息上传至TAXII的示意图;
图10为本发明信息安全技术网络安全威胁信息格式规范模型图。
具体实施方式
下面结合附图进一步详细描述本发明的技术方案,但本发明的保护范围不局限于以下所述。
随着网络技术的发展,网络规模和复杂性不断增大,网络的脆弱性越来越多,网络的攻击技术不断革新,新型的攻击工具大量涌现,传统的网络安全技术显得力不从心,网络安全问题越发严峻,当前我国网络安全产业正处于转型升级期。现在,人们普遍形成了一个共识,就是:我们必须假定我们的网络已经遭受入侵。我们必须在这个假设前提上来构建全新的安全防护体系。安全防护体系的构建思想已经从过去的被动/消极防御逐步迈向主动/积极防护和智能/自适应防护,从单纯防御走向积极对抗,从独立防护走向协同防护。实践证明,现实中再昂贵的安全保护也无法发现和抵御所有的危害,“今天的入侵检测工具离完善还有很大距离”。因此,完善的网络安全体系要求在保护体系之外必须建立应急响应体系。
因此,如图1所示,一种支持ipv6的网络安全应急响应***,包括手机终端、应急响应云平台、与应急响应终端,所述手机终端与所述应急响应云平台通信连接,所述应急响应云平台与所述应急响应终端连接;
所述手机终端用于存储每个用户控制的应急响应设备,并对每个防御终端发送应急响应的指令,这些指令格根据每个设备不同存入相应的数据库中,并等待应急响应终端向应急响应云平台调取指令;
所述应急响应云平台用于负责用户数据的存储,监测应急响应终端的运行状态,应急响应数据的存储,威胁情报数据的存储,并接受手机终端发送的应急响应的指令,对应急响应指令进行存储,与其余网络安全设备进行威胁情报的共享;
所述应急响应终端用于从应急响应云平台应急响应的数据库中取走相对应的指令,并对其所连接的路由器、服务器、防火墙发送指令进行具体的操作,所述应急响应终端中会根据不同的设备型号与类型存储有运行不同防御指令的脚本,来对网络环境中的设备进行操作。
需要说明的是,应急响应云平台是整个应急响应***的核心,其承载着数据的录入,监测应急响应终端的存活状态,接受指令诸多功能。需要在保证其稳定的同时也可以高效的进行响应。而应急响应云平台的开发选择现在最流行的B/S架构,即使管理员在不同的操作***上也可以对应急响应云平台进行管理。
其中,应急响应***以应急响应云平台为中心,执行具体指令的应急响应终端都需要考虑对Ipv6环境进行支持。应急响应云平台以python Django框架进行开发,Django框架是一个基于纯python实现的成熟的web框架,其本身对Ipv6协议具有良好的支持,并在使用Django开发时注重安全编码,可以有效抵御SQL注入、命令注入等高危险性的渗透操作。而应急响应终端的硬件主体平台树莓派也对Ipv6具有良好的支持,但树莓派上自身只带有一个硬件网络接口,需对树莓派的硬件网络接口进行扩展,提供IPv4与Ipv6的双栈网络接口,兼容IPv4与Ipv6网络环境。
需要说明的是,所述手机终端内设置有应急响应APP,手机客户端将开发android*** app,使用官方的java语言进行开发,并使用Android NDK将一些加密的需要高安全性的开发在NDK中实现,应急响应APP会根据用户的手机号从应急响应云平台将其对应的所可以控制的设备的列表进行返回存在手机本地,而这些数据一旦手机被黑客入侵,这些数据就会落入黑客的手中,这种情况及其危险,所以当数据被保存在本地后会对本地保存的数据进行加密,这样即使黑客得到了这些数据也无法理解这些数据所表示的意思,增加安全性。并且为了进一步保护数据的安全性,还会对手机APP本身进行加壳,增大其逆向的难度,使数据的安全性得到进一步的保证,在APP与应急响应云平台进行通信的过程中同样存在风险,如在一个局域网下会受到中间人攻击的影响,黑客监听到这些数据时便会明白这些数据的意思,所以在APP与应急响应云平台通信的过程中,强制必须使用https协议,禁用http 明文传输,从而保护通信中的数据安全;
另外,从手机端发出的指令类型只包含“软硬断联网指令”,即如果在极端情况下,出现误判发送了断网指令,一个***网络连接被切断,还可以再次发送联网指令控制***再次联网。
需要说明的是,应急响应APP含有使用者所能控制的路由器或交换机的设备列表,可通过点击设备列表来控制路由器与交换机的网络连接情况,并可选择进行的是软断网还是硬断网的方式。硬断网方式便是应急响应终端中的树莓派通过控制继电器的闭合来控制连接的路由器或者交换机的电源,使之实现物理上的切断网络连接。若使用软断网的方式则树莓派会运行其所控制的交换机或是路由器的控制脚本,修改ACL表来限制IP的范围从而限制网络的访问。APP的用例图如图2所示:
应急响应云平台是整个***的核心,功能涵盖了存储使用应急响应终端的用户信息,如使用用户的手机号,所属单位,官职头衔等信息。存储单位所使用应急响应终端的个数,每个应急响应终端所可以控制的路由器与交换机的信息,如所控制的交换机的型号,何种远程协议进行控制(SSH、Telnet等),应急响应终端主体树莓派的ID及其所控制的交换机与路由器的子ID等。存储由监测点所发来的威胁情报共享信息,将其推送到各个注册的用户手机中。并可接收用户手机APP所发送的断联网指令,也可当用户手机APP发送指令失败之后,通过应急响应云平台对所有应急响应终端状态的监控列表,来进行辅助的断网操作。应急响应云平台的用例图如图3所示:
应急响应终端主体由树莓派组成,主要功能是执行从应急响应云平台取到的断联网指令,并根据指令类型来选择所要执行的断网操作,应急响应终端用例图如图4所示,应急响应是整个***的核心内容,在安全事件发生时,采取必要的措施将安全事件解决。应急响应将使用国家新出台的《信息安全技术网络安全威胁信息格式规范》统一标准,规范应急响应的格式。《信息安全技术网络安全威胁信息格式规范》所定义的模型如图10所示:
1、组成模块
从图中可以看出在国标制定的标准中将威胁分类为了3大模块,分别是事件域、对象域、方法域。此种分类方法与国际上使用的威胁情报交换协议STIX与威胁情报表达式TAXII有着类似的划分标准,国标大量参考了STIX、TAXII、CybOX等标准的制定方法,将其结合形成了新的国家标准。可以看出国标根据在网络安全威胁发生时各个情景的不同以及各个角色的不同进行划分,每个模块与其余两个模块联系紧密,随着网络攻击威胁的进行其在一个域中所展示出来的行为进行到了不同的情景与角色之中,拥有与之前截然不同的属性与行为。
2、各模块分别分析
1)事件域
在整个网络安全威胁发生的过程中,其中最重要也是最先发生起到承上启下作用的便是事件域。事件域负责在不同的层面描述网络安全威胁相关的事件,包括四个组件:“攻击活动”(以经济或政治为攻击目标)、“安全事件”(对完整信息***进行渗透的行为)、“攻击指标”(对终端或设备实施的单步攻击)和“可观测数据”(在网络或主机层面捕获的基础事件)。
a.攻击活动
攻击活动是在整个网络安全威胁情报发生时第一个开始的步骤。攻击者需要先确定所攻击的目标,如是教育网站,政府或是工业机构。当攻击活动确定之后,攻击者便会发起此次攻击活动,当攻击活动建立起之后,攻击活动所确定的目标也就是教育,政府或是工业机构便会变为“攻击目标”,此时对象域也就随之建立,而伴随着攻击活动,一定伴有相应的攻击方法,此时方法域也会伴随着随之产生。此时有了攻击活动以及攻击方法那么安全事件也随之产生。
b.安全事件
安全事件对应了对完整信息***进行渗透的行为。安全事件一旦定义好之后其会与活动与主体一起构成威胁主体也就是攻击者,而此时的对象域就包含了网络安全事件中的两个对象主体,也就是攻击者与受害者,也就是国标中的威胁主体与攻击目标,所有活动都是围绕这两个对象进行展开。
c.攻击指标
当威胁主体确定攻击目标之后,就会选择对应的攻击指标进行攻击,也就是对目标的网站,端口,网络服务进行攻击,而一旦这些攻击指标攻击成功就会形成可观测的数据。
d.可观测数据
如果对攻击指标实施成功那么可观测数据就会产生。如对目标的Web站点进行了攻击,此Web站点存在文件上传漏洞,那么威胁主体通过上传木马便获得了目标计算机的权限,那么这个时候威胁主体可以继续上传网站黑页将攻击目标的主页修改成黑页,那么就产生了可观测的数据,当访问网站首页的时候就可以看到网站的首页已被篡改。
2)对象域
通过事件域所产生的一系列事件与活动产生了在威胁中所产生的对象,即威胁主体与攻击目标。
a.威胁主体
威胁主体即所谓的黑客,他们通过攻击方法进入了方法域中,威胁主体在方法域中找到了漏洞从而进行利用,此时攻击目标就会受到威胁主体所利用的漏洞所产生的危害,导致***被攻陷等一系列恶劣事件的发生。
b.攻击目标
当威胁主体通过漏洞将攻击目标攻陷之后,整个攻击流程就转到了方法域之中,而方法域中的功能便是应急响应中心所做的工作流程。
3)方法域
在方法域中不仅将威胁主体的攻击方法加入到方法域的描述之中,而且与之对应的应急措施也加入到了方法域之中。
a.攻击方法
威胁主体使用攻击方法将***攻陷,此时***已经被威胁主体所攻破,数据等机密信息很有可能已经完全泄露,所以在整个国标所给的图中,在方法域中已经对应到了整个渗透流程的后渗透阶段,即服务器的权限已经被黑客所拥有,所以在此时间节点上就需要采取有效的措施即图中的应对措施。
b.应对措施
应急响应中心便是在方法域中所应用的***,当攻击事件发生时,黑客已经获取到了目标的权限,此时各种敏感数据可能已经完全泄露,应急响应中心在遇到此种情况时,便会根据国标所给定格式来发送应急响应指令来使受到安全事件影响的***进行断网,符合应对措施中的采取措施以及有效措施,当安全事件进行到后期之后,即黑客所攻击的***已经被修复,安全事件所造成的影响已经被平息,此时应急响应中心也可根据国标发送标准格式的指令来将服务器进行恢复运行,使整个安全事件的周期完全结束掉,在安全事件发生的过程中,在事件域建立起来的同时可以通过威胁情报共享而降入侵事件共享给其余的入侵检测设备,来共享威胁情报,达到态势感知的目的。
应对措施所对应的国标中的格式表1与表2所示:
表1应对措施字段描述
字段名 | 字段描述 | 字段格式 | 字段必要性 |
id | 标识号 | String | 必选项 |
idref | 引用标识号 | String | 可选项 |
timestamp | 时间段 | String | 可选项 |
version | 版本 | String | 必选项 |
title | 名称 | String | 可选项 |
stage | 阶段 | String | 可选项 |
表2
字段名 | 字段描述 | 字段格式 | 字段必要性 |
type | 类型 | JSON Array | 可选项 |
description | 描述 | String | 可选项 |
sbort_description | 简要描述 | String | 可选项 |
objective | 对象 | JSON Array | 可选项 |
parameter_observables | 参数 | String | 可选项 |
structured_COA | 结构化描述 | String | 可选项 |
impact | 影响 | String | 可选项 |
cost | 成本 | String | 可选项 |
efficacy | 效果 | String | 可选项 |
information_source | 信息来源 | String | 可选项 |
related_COAs | 相关应对措施 | JSON Array | 可选项 |
需要说明的是,所述应急响应云平台采用STIX,并使用TAXII进行威胁信息的共享。
其中,态势感知与威胁信息共享将采用STIX,并使用TAXII来进行信息的共享。TAXII 是一款基于python flask web框架的威胁信息共享的传输协议,其本质使用HTTPS作为传输协议,而STIX是以json格式来对威胁信息进行定义,使STIX与TAXII两者相互独立不具有过多的相互依赖性,降低***之间的耦合性,同时应急响应终端在与应急响应云平台通信时使用WebSocket协议代替HTTPS协议,WebSocket协议可以有效提高通信质量,减少云平台TCP/IP栈中的连接资源的消耗,从而大大减少TCP连接中TIME_WAIT状态对应急响应云平台TCP/IP栈的占用。
STIX的组成规则包括以下内容:
STIX中的对象有两种,SDO(STIX域对象)此指示符包含一种模式,例如检测到的恶意活动的文件哈希,它提供了在指标和其他STIX对象之间创建关系的基础。SRO(STIX关系对象)表示指标与恶意软件之间的关系。
API Roots是TAXII频道,集合和相关功能的逻辑分组。TAXII服务器实例可以支持一个或多个API Roots。API Roots可以被认为是在不同URL处可用的TAXII API的实例,其中每个API Root是该TAXII API的特定实例的“根”URL。将频道和集合组织到API Root 中允许通过信任组或任何其他逻辑分组来划分内容和访问控制。例如,单个TAXII服务器可以托管多个API Root-一个用于共享组A使用的通道和集合的API Root,另一个用于共享组B使用的通道和集合的API Root。每个API Root包含一组TAXII客户端联系的端点,以便与TAXII服务器进行交互。这种互动可以采取几种形式:
每个API Root可能支持零个或多个集合。与集合的交互包括发现该集合中包含的CTI 类型,将新CTI推送到该集合,或从该集合中检索CTI。集合中的每个CTI内容都称为对象。
每个API Root可能托管零个或多个Channel。
每个API Root还允许TAXII客户端检查TAXII服务器的某些类型的请求的状态。例如,如果TAXII客户端提交了新的CTI,则状态请求可以允许客户端检查是否接受了新的CTI。API Root组件之间的关系如图5所示,
1)对TAXII服务器的发现
TAXII规范中规定使用HTTPS作为所有通信的传输。当某一站点运行TAXII时通过访问https://taxii.example.com:443/taxii/来获得taxii API Root,请求与响应如图6所示。
2)获取STIX的打包信息
当获取TAXII的API Roots之后,在TAXII服务器的Response中我们可以得到APIRoots路径,在Collections中存有STIX的所有资源,以唯一ID值进行区分,如图7 所示,而在Collections所对应的id下的Objects中,便可获得所有的STIX打包好的bundle 包,如图8所示,
3)威胁信息上传至TAXII
在STIX将威胁信息上传至TAXII服务器时,其采用了一种非常巧妙的设计。在获取STIX 信息时使用GET请求,而在上传bundle包至TAXII时还是保存在相同的路径下,即Collections下的对应id的Objects路径下,其上传功能如图9所示
以上所述仅是本发明的优选实施方式,应当理解所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。本发明并非局限于本文所披露的形式,不应看作是对其他实施例的排除,而可用于各种其他组合、修改和环境,并能够在本文所述构想范围内,通过上述教导或相关领域的技术或知识进行改动。而本领域人员所进行的改动和变化不脱离本发明的精神和范围,则都应在本发明所附权利要求的保护范围内。
Claims (1)
1.一种支持ipv6的网络安全应急响应***,其特征在于,包括手机终端、应急响应云平台、与应急响应终端,所述手机终端与所述应急响应云平台通信连接,所述应急响应云平台与所述应急响应终端连接;
所述手机终端用于存储每个用户控制的应急响应终端,并根据每个手机终端可以控制的应急响应终端的编号向云平台发送应急响应的指令,这些指令根据每个设备不同存入相应的数据库中,并等待应急响应终端向应急响应云平台调取指令;
所述应急响应云平台用于负责用户数据的存储,监测应急响应终端的运行状态,应急响应数据的存储,威胁情报数据的存储,并接受手机终端发送的应急响应的指令,对应急响应指令进行存储,与其余网络安全设备进行威胁情报的共享;
所述应急响应终端用于从应急响应云平台应急响应的数据库中取走相对应的指令,并对其所连接的路由器、服务器、防火墙发送指令进行具体的操作,所述应急响应终端中会根据不同的设备型号与类型存储有运行不同防御指令的脚本,来对网络环境中的设备进行操作;
所述应急响应云平台采用 B/S 架构,使用 python的 Django web 框架进行开发;
所述应急响应终端选用树莓派为其运行平台,所述树莓派上预留 IPv4 与 Ipv6 的双栈接口;
所述手机终端内设置有应急响应APP,所述应急响应 APP 含有使用者所能控制的路由器或交换机的设备列表,并设置有软断网或硬断网的方式;
所述硬断网方式便是应急响应终端中的树莓派通过控制继电器的闭合来控制连接的路由器或者交换机的电源,实现物理上的切断网络连接;所述软断网的方式便是树莓派会运行其所控制的交换机或是路由器的控制脚本,修改 ACL 表来限制 IP 的范围从而限制网络的访问;
所述应急响应云平台采用STIX作为威胁情报共享的字段标准,并使用 TAXII作为威胁情报的传输协议进行威胁信息的共享;
所述TAXII 是基于HTTPS协议实现的威胁信息共享的传输协议,所述 STIX 是以 json格式对威胁信息进行定义。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010839795.0A CN112003853B (zh) | 2020-08-19 | 2020-08-19 | 一种支持ipv6的网络安全应急响应*** |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010839795.0A CN112003853B (zh) | 2020-08-19 | 2020-08-19 | 一种支持ipv6的网络安全应急响应*** |
Publications (2)
Publication Number | Publication Date |
---|---|
CN112003853A CN112003853A (zh) | 2020-11-27 |
CN112003853B true CN112003853B (zh) | 2023-04-18 |
Family
ID=73473915
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202010839795.0A Active CN112003853B (zh) | 2020-08-19 | 2020-08-19 | 一种支持ipv6的网络安全应急响应*** |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN112003853B (zh) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN115250191A (zh) * | 2021-04-28 | 2022-10-28 | ***通信集团北京有限公司 | 网络安全应急响应方法及装置 |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107770125A (zh) * | 2016-08-16 | 2018-03-06 | 深圳市深信服电子科技有限公司 | 一种网络安全应急响应方法及应急响应平台 |
CN109361690A (zh) * | 2018-11-19 | 2019-02-19 | 中国科学院信息工程研究所 | 一种网络中的威胁处置策略生成方法及*** |
CN110177100A (zh) * | 2019-05-28 | 2019-08-27 | 哈尔滨工程大学 | 一种协同网络防御的安全设备数据通信协议 |
CN110191118A (zh) * | 2019-05-28 | 2019-08-30 | 哈尔滨工程大学 | 一种面向网络安全设备的统一指控方法及*** |
CN110247934A (zh) * | 2019-07-15 | 2019-09-17 | 杭州安恒信息技术股份有限公司 | 物联网终端异常检测与响应的方法与*** |
CN111221258A (zh) * | 2020-01-19 | 2020-06-02 | 格尔软件股份有限公司 | 一种智能家居用网络链路访问控制*** |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
GB201507594D0 (en) * | 2015-05-01 | 2015-06-17 | Intamac Systems Ltd | Intamac 1 |
-
2020
- 2020-08-19 CN CN202010839795.0A patent/CN112003853B/zh active Active
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107770125A (zh) * | 2016-08-16 | 2018-03-06 | 深圳市深信服电子科技有限公司 | 一种网络安全应急响应方法及应急响应平台 |
CN109361690A (zh) * | 2018-11-19 | 2019-02-19 | 中国科学院信息工程研究所 | 一种网络中的威胁处置策略生成方法及*** |
CN110177100A (zh) * | 2019-05-28 | 2019-08-27 | 哈尔滨工程大学 | 一种协同网络防御的安全设备数据通信协议 |
CN110191118A (zh) * | 2019-05-28 | 2019-08-30 | 哈尔滨工程大学 | 一种面向网络安全设备的统一指控方法及*** |
CN110247934A (zh) * | 2019-07-15 | 2019-09-17 | 杭州安恒信息技术股份有限公司 | 物联网终端异常检测与响应的方法与*** |
CN111221258A (zh) * | 2020-01-19 | 2020-06-02 | 格尔软件股份有限公司 | 一种智能家居用网络链路访问控制*** |
Also Published As
Publication number | Publication date |
---|---|
CN112003853A (zh) | 2020-11-27 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN112383546B (zh) | 一种处理网络攻击行为的方法、相关设备及存储介质 | |
US11888897B2 (en) | Implementing decoys in a network environment | |
Yan et al. | Software-defined networking (SDN) and distributed denial of service (DDoS) attacks in cloud computing environments: A survey, some research issues, and challenges | |
US10567431B2 (en) | Emulating shellcode attacks | |
US10560434B2 (en) | Automated honeypot provisioning system | |
US10476891B2 (en) | Monitoring access of network darkspace | |
US20160234236A1 (en) | Network infrastructure obfuscation | |
US9942270B2 (en) | Database deception in directory services | |
US9609019B2 (en) | System and method for directing malicous activity to a monitoring system | |
Tsikerdekis et al. | Approaches for preventing honeypot detection and compromise | |
Johnson et al. | Assessing DER network cybersecurity defences in a power‐communication co‐simulation environment | |
CA2868054A1 (en) | Path scanning for the detection of anomalous subgraphs and use of dns requests and host agents for anomaly/change detection and network situational awareness | |
Dalamagkas et al. | A survey on honeypots, honeynets and their applications on smart grid | |
Zolotukhin et al. | Reinforcement learning for attack mitigation in SDN-enabled networks | |
WO2016081561A1 (en) | System and method for directing malicious activity to a monitoring system | |
Khalaf et al. | A simulation study of syn flood attack in cloud computing environment | |
CN112003853B (zh) | 一种支持ipv6的网络安全应急响应*** | |
Min et al. | OWASP IoT top 10 based attack dataset for machine learning | |
Johnson et al. | Soar4der: Security orchestration, automation, and response for distributed energy resources | |
Mayorga et al. | Honeypot network configuration through cyberattack patterns | |
Ragupathy et al. | Detecting Denial of Service Attacks by Analysing Network Traffic in Wireless Networks | |
Rodrigues et al. | Design and implementation of a low-cost low interaction IDS/IPS system using virtual honeypot approach | |
Amponis et al. | Generating full-stack 5G security datasets: IP-layer and core network persistent PDU session attacks | |
Mikki et al. | NetworkMonitoring System (NMS) | |
Alshaya | Software-Defined Networking Security Techniques and the Digital Forensics of the SDN Control Plane |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |