CN112291246A - 一种在蜜罐场景下扩展攻击流量牵引能力的方法 - Google Patents
一种在蜜罐场景下扩展攻击流量牵引能力的方法 Download PDFInfo
- Publication number
- CN112291246A CN112291246A CN202011190150.5A CN202011190150A CN112291246A CN 112291246 A CN112291246 A CN 112291246A CN 202011190150 A CN202011190150 A CN 202011190150A CN 112291246 A CN112291246 A CN 112291246A
- Authority
- CN
- China
- Prior art keywords
- service
- attack
- honeypot
- message
- attacker
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1491—Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉属于网络安全领域,其公开了一种在蜜罐场景下扩展攻击流量牵引能力的方法,解决传统技术中攻击流量牵引方案采用路由协议或者网关控制存在的牵引流量有限、牵引控制粒度较大、兼容性差的问题。其技术方案概括为:通过报文修改模块在业务服务器应用层利用iptables+ipset进行攻击流量捕获修改,释放与正常业务的连接资源,修改请求目的端口和响应源端口重定向攻击流量到报文转发模块,细粒度控制报文的牵引转发,直接在被攻击业务服务器进行攻击流量牵引,且兼容性高;通过报文转发模块在业务服务器应用层监听攻击流量,与攻击流量建立代理连接后,将攻击流量封装转发给代理,代理将流量转发给真实蜜罐服务器,直接在被攻击业务服务器进行攻击流量牵引。
Description
技术领域
本发明涉属于网络安全领域,具体涉及一种在蜜罐场景下扩展攻击流量牵引能力的方法。
背景技术
目前在蜜罐场景下进行攻击流量牵引主要有两种方法,其一为通过路由协议牵引的方式,其二为通过网关方式进行将攻击者流量进行转发,具体说明如下:
一、通过路由协议牵引方式:
具体流程是发布BGP或者ARP通告,在路由设备或者交换机上将攻击目标IP的攻击流量到达路径修改为蜜罐或者清洗设备,清洗设备会将攻击流量进行清除,蜜罐***会将攻击流量牵引到蜜罐内部诱捕攻击,该技术方案存在的控制粒度大、需要控制入口路由设备或者交换机设备、攻击流量牵引覆盖面较窄、云环境下控制困难等缺陷,主要由于以下原因导致:
(1)路由协议本质上只能控制网络上以太帧的选路,无法控制某些来源IP或者访问某些端口的流量进行细粒度的攻击流量牵引;
(2)路由协议需要通过路由设备或者交换机设备才能进行控制选路,且部署在IDC入口,如果对应的攻击流量发生在内网,该方案无法进行牵引,访问流量通过该设备才能进行攻击流量牵引;
(3)在云环境下,云服务提供商无法提供适用于攻击流量牵引的路由控制。
二、通过网关方式进行将攻击者流量进行转发:
具体流程是所有访问流量通过网关转发给业务服务器,当网关检测到攻击后,将攻击者的流量单独转发给蜜罐***,该技术方案存在的缺陷是需要改造网关逻辑、攻击流量牵引覆盖面较窄等,主要是由于以下原因导致:
(1)需要在网关上将攻击流量单独区分,由于网关是外部访问流量入口,容易影响整体访问;
(2)访问流量通过该网关设备才能进行攻击流量牵引,如果对应的攻击流量发生在内网且流量不经过网关设备,则该方案无法进行牵引。
发明内容
本发明所要解决的技术问题是:提出一种在蜜罐场景下扩展攻击流量牵引能力的方法,解决传统技术中攻击流量牵引方案采用路由协议或者网关控制存在的牵引流量有限、牵引控制粒度较大、兼容性差的问题。
本发明解决上述技术问题采用的技术方案是:
一种在蜜罐场景下扩展攻击流量牵引能力的方法,应用于蜜罐场景下的攻击流量牵引,所述蜜罐场景中分开部署有业务区和蜜罐分析区,所述业务区用于部署业务服务器,在业务服务器上部署报文修改模块和报文转发模块;所述蜜罐分析区用于部署转发模块和真实蜜罐;
该方法包括以下步骤:
步骤1、根据需要牵引的服务类型配置多个ipset集合,并初始化端口映射关系;
步骤2、添加待牵引IP到各服务的ipset集合;
步骤3、通过iptables将各服务的ipset集合流量重定向到业务服务器的应用层;
步骤4、若接收到内核重定向的攻击者流量,则检测攻击者是否与业务服务器建立连接,若已建立连接,则构造并发送RST报文给业务服务器和攻击者,使得业务服务器和攻击者重置已建连接,释放资源;若未建立连接,则进入步骤5;
步骤5、则将攻击者流量中报文目的端口根据映射关系修改为报文转发模块监听端口,并计算报文校验和,并将报文重新注入内核;
步骤6、报文转发模块代理业务服务器与攻击者建立连接;
步骤7、报文转发模块将攻击载荷转发给蜜罐分析区;
步骤8、蜜罐分析区对攻击者的请求进行虚假响应,反馈给报文转发模块;
步骤9、报文转发模块根据不同蜜罐的响应,将响应返回给对应攻击者的代理连接;
步骤10、报文修改模块检测到是返回给攻击者的报文时,根据映射关系修改源端口,计算报文校验和,并将报文重新注入内核发给攻击者。
作为进一步优化,步骤1中,所述需要牵引的服务类型配置的多个ipset集合,具体包括:
sshd服务的ipset集合:用于22端口的sshd服务的攻击流量牵引IP集合,映射到报文转发模块的10000端口;
Mysql服务的ipset集合:用于3306端口的mysql服务的攻击流量牵引IP集合,映射到报文转发模块的10001端口;
Redis服务的ipset集合:用于6379端口的redis服务的攻击流量牵引IP集合,映射到报文转发模块的10002端口。
作为进一步优化,步骤2中,所述添加待牵引IP到各服务的ipset集合具体包括:
当检测到攻击IP攻击sshd服务,则将该IP添加到sshd服务的ipset集合;
当检测到攻击IP攻击mysql服务,则将该IP添加到mysql服务的ipset集合;
当检测到攻击IP攻击Redis服务,则将该IP添加到redis服务的ipset集合。
作为进一步优化,步骤6中,所述报文转发模块代理业务服务器与攻击者建立连接具体包括:sshd服务接收目标端口为10000端口的连接,Mysql服务接收目标端口为10001端口的连接,Redis服务接收目标端口为10002端口的连接。
作为进一步优化,步骤7中,所述报文转发模块将攻击载荷转发给蜜罐分析区具体包括:
将攻击者的攻击sshd服务的攻击payload转发给蜜罐分析区的sshd蜜罐;
将攻击者的攻击mysql服务的攻击payload转发给蜜罐分析区的mysql蜜罐;
将攻击者的攻击redis服务的攻击payload转发给蜜罐分析区的redis蜜罐。
作为进一步优化,步骤10中,所述根据映射关系修改源端口具体包括:
若返回给攻击者的报文的源端口为10000,则将源端口修改为22端口;
若返回给攻击者的报文的源端口为10001,则将源端口修改为3306端口;
若返回给攻击者的报文的源端口为10002,则将源端口修改为6379端口。
本发明的有益效果是:
(1)通过在业务服务器上牵引攻击流量,极大提高了攻击流量的牵引质量;
(2)通过IP集合的方式,将攻击者IP聚合在集合中用于提高查询和转发效率;
(3)通过内核功能将符合条件的流量重定向到应用层,提高了处理效率和程序兼容性;
(4)通过报文转发模块与蜜罐分析区、攻击者建立连接,避免业务服务器与蜜罐聚集存放,极大提高了业务服务器的安全性;
(5)通过区分攻击者IP和攻击目标服务的方式,可细粒度控制牵引的攻击流量。
附图说明
图1是本发明中的蜜罐场景具体部署结构示意图;
图2是本发明实施例中扩展攻击流量牵引能力的方法流程图。
具体实施方式
本发明旨在提出一种在蜜罐场景下扩展攻击流量牵引能力的方法,解决传统技术中攻击流量牵引方案采用路由协议或者网关控制存在的牵引流量有限、牵引控制粒度较大、兼容性差的问题。
本发明中的蜜罐场景具体部署如图1所示,分开部署有业务区和蜜罐分析区,所述业务区用于部署业务服务器,在业务服务器上部署报文修改模块和报文转发模块;所述蜜罐分析区用于部署转发模块和真实蜜罐。
其中,报文修改模块,在业务服务器应用层利用iptables+ipset进行攻击流量捕获修改,释放与正常业务的连接资源,修改请求目的端口和响应源端口重定向攻击流量到报文转发模块,细粒度控制报文的牵引转发,直接在被攻击业务服务器进行攻击流量牵引,且兼容性高;报文转发模块,在业务服务器应用层监听攻击流量,与攻击流量建立代理连接后,将攻击流量封装转发给代理,代理将流量转发给真实蜜罐服务器,直接在被攻击业务服务器进行攻击流量牵引。
实施例:
如图2所示,本实施例中的扩展攻击流量牵引能力的方法流程包括以下实现步骤:
一、根据需要牵引的服务类型配置多个ipset集合,初始化各服务ipset集合用于攻击流量牵引标记,初始化端口映射关系:
(1)sshd服务的ipset集合:用于22端口的sshd服务的攻击流量牵引IP集合,映射到报文转发模块的10000端口;
(2)Mysql服务的ipset集合:用于3306端口的mysql服务的攻击流量牵引IP集合,映射到报文转发模块的10001端口;
(3)Redis服务的ipset集合:用于6379端口的redis服务的攻击流量牵引IP集合,映射到报文转发模块的10002端口;
(4)其他服务的ipset集合:根据服务端口创建其服务的攻击流量牵引IP集合,映射到报文转发模块的其他端口。
二、添加待牵引IP到各服务对应ipset集合:
(1)检测攻击IP 10.2.3.2攻击sshd服务,将该IP添加到sshd的ipset集合;
(2)检测到攻击IP 22.1.2.3、4.23.2.3攻击mysql服务,将IP添加到mysql的ipset集合;
(3)检测到攻击IP 233.2.2.3攻击Redis服务,将IP添加到redis的ipset集合;
(4)攻击者攻击其他服务,将其IP添加到对应的ipset集合。
三、如果攻击检测模块动态检测某个攻击者IP,可实时将该攻击者IP添加至对应服务的ipset集合。
四、通过iptables将各服务ipset集合流量重定向到应用层:
(1)sshd服务:将处于sshd集合中的攻击者流量重定向到应用层:
iptables-I INPUT-m set--match-set sshd src-p tcp--dport 22-jNFQUEUE--queue-num 0
iptables-I OUTPUT-m set--match-set sshd dst-p tcp--sport 10000-jNFQUEUE--queue-num 0
(2)Mysql服务:将处于mysql集合中的攻击者流量重定向到应用层:
iptables-I INPUT-m set--match-set mysql src-p tcp--dport 3306-jNFQUEUE--queue-num 0
iptables-I OUTPUT-m set--match-set mysql dst-p tcp--sport 10001-jNFQUEUE--queue-num 0
(3)Redis服务:将处于redis集合中的攻击者流量重定向到应用层:
iptables-I INPUT-m set--match-set redis src-p tcp--dport 6379-jNFQUEUE--queue-num 0
iptables-I OUTPUT-m set--match-set redis dst-p tcp--sport 10002-jNFQUEUE--queue-num 0
(4)其他服务:类似以上服务的处理逻辑,将处于集合中的攻击者流量重定向到应用层。
五、接收到内核重定向的攻击者流量,检测该报文是否与业务服务器建立连接:
(1)如果攻击者已经与业务服务器建立连接,构造发送RST报文给业务服务器和攻击者,使得业务服务器和攻击者重置已建连接,释放资源;
(2)如果攻击者未与业务服务器建立连接,则将报文目的端口根据映射关系修改为报文转发模块监听端口,如果是目标端口为22端口的sshd流量,则将报文目的端口22修改为10000端口,并计算报文校验和,并将报文重新注入内核。
六、代理业务服务器与攻击者建立连接:
(1)sshd服务:接收目标端口为10000端口的连接,将攻击者的攻击sshd服务的攻击payload转发给蜜罐分析区的sshd蜜罐;
(2)Mysql服务:接收目标端口为10001端口的连接,将攻击者的攻击mysql服务的攻击payload转发给蜜罐分析区的mysql蜜罐;
(3)Redis服务:接收目标端口为10002端口的连接,将攻击者的攻击redis服务的攻击payload转发给蜜罐分析区的redis蜜罐;
(4)其他服务:接收其他端口连接,将攻击者的攻击其他服务的攻击payload转发给蜜罐分析区的其他服务蜜罐。
七、蜜罐分析区对请求进行虚假响应返回给报文转发模块。
八、蜜罐分析区根据不同蜜罐的响应,将响应返回给对应攻击者的代理连接。
九、报文修改模块检测到是返回给攻击者的报文,根据映射关系修改源端口,计算报文校验和,并将报文重新注入内核发给攻击者:
(1)源端口为10000:将源端口修改为22端口;
(2)源端口为10001:将源端口修改为3306端口;
(3)源端口为10002:将源端口修改为6379端口;
(4)其他源端口:将源端口修改为对应的业务服务端口;
十、攻击者拿到来源地址为业务服务器地址、来源端口为业务服务端口的响应内容,误导攻击者攻击的是真实的业务服务器。
Claims (6)
1.一种在蜜罐场景下扩展攻击流量牵引能力的方法,应用于蜜罐场景下的攻击流量牵引,其特征在于,所述蜜罐场景中分开部署有业务区和蜜罐分析区,所述业务区用于部署业务服务器,在业务服务器上部署报文修改模块和报文转发模块;所述蜜罐分析区用于部署转发模块和真实蜜罐;
该方法包括以下步骤:
步骤1、根据需要牵引的服务类型配置多个ipset集合,并初始化端口映射关系;
步骤2、添加待牵引IP到各服务的ipset集合;
步骤3、通过iptables将各服务的ipset集合流量重定向到业务服务器的应用层;
步骤4、若接收到内核重定向的攻击者流量,则检测攻击者是否与业务服务器建立连接,若已建立连接,则构造并发送RST报文给业务服务器和攻击者,使得业务服务器和攻击者重置已建连接,释放资源;若未建立连接,则进入步骤5;
步骤5、则将攻击者流量中报文目的端口根据映射关系修改为报文转发模块监听端口,并计算报文校验和,并将报文重新注入内核;
步骤6、报文转发模块代理业务服务器与攻击者建立连接;
步骤7、报文转发模块将攻击载荷转发给蜜罐分析区;
步骤8、蜜罐分析区对攻击者的请求进行虚假响应,反馈给报文转发模块;
步骤9、报文转发模块根据不同蜜罐的响应,将响应返回给对应攻击者的代理连接;
步骤10、报文修改模块检测到是返回给攻击者的报文时,根据映射关系修改源端口,计算报文校验和,并将报文重新注入内核发给攻击者。
2.如权利要求1所述的一种在蜜罐场景下扩展攻击流量牵引能力的方法,其特征在于,
步骤1中,所述需要牵引的服务类型配置的多个ipset集合,具体包括:
sshd服务的ipset集合:用于22端口的sshd服务的攻击流量牵引IP集合,映射到报文转发模块的10000端口;
Mysql服务的ipset集合:用于3306端口的mysql服务的攻击流量牵引IP集合,映射到报文转发模块的10001端口;
Redis服务的ipset集合:用于6379端口的redis服务的攻击流量牵引IP集合,映射到报文转发模块的10002端口。
3.如权利要求1所述的一种在蜜罐场景下扩展攻击流量牵引能力的方法,其特征在于,
步骤2中,所述添加待牵引IP到各服务的ipset集合具体包括:
当检测到攻击IP攻击sshd服务,则将该IP添加到sshd服务的ipset集合;
当检测到攻击IP攻击mysql服务,则将该IP添加到mysql服务的ipset集合;
当检测到攻击IP攻击Redis服务,则将该IP添加到redis服务的ipset集合。
4.如权利要求1所述的一种在蜜罐场景下扩展攻击流量牵引能力的方法,其特征在于,
步骤6中,所述报文转发模块代理业务服务器与攻击者建立连接具体包括:sshd服务接收目标端口为10000端口的连接,Mysql服务接收目标端口为10001端口的连接,Redis服务接收目标端口为10002端口的连接。
5.如权利要求1所述的一种在蜜罐场景下扩展攻击流量牵引能力的方法,其特征在于,
步骤7中,所述报文转发模块将攻击载荷转发给蜜罐分析区具体包括:
将攻击者的攻击sshd服务的攻击payload转发给蜜罐分析区的sshd蜜罐;
将攻击者的攻击mysql服务的攻击payload转发给蜜罐分析区的mysql蜜罐;
将攻击者的攻击redis服务的攻击payload转发给蜜罐分析区的redis蜜罐。
6.如权利要求1所述的一种在蜜罐场景下扩展攻击流量牵引能力的方法,其特征在于,
步骤10中,所述根据映射关系修改源端口具体包括:
若返回给攻击者的报文的源端口为10000,则将源端口修改为22端口;
若返回给攻击者的报文的源端口为10001,则将源端口修改为3306端口;
若返回给攻击者的报文的源端口为10002,则将源端口修改为6379端口。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202011190150.5A CN112291246B (zh) | 2020-10-30 | 2020-10-30 | 一种在蜜罐场景下扩展攻击流量牵引能力的方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202011190150.5A CN112291246B (zh) | 2020-10-30 | 2020-10-30 | 一种在蜜罐场景下扩展攻击流量牵引能力的方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN112291246A true CN112291246A (zh) | 2021-01-29 |
CN112291246B CN112291246B (zh) | 2022-01-28 |
Family
ID=74352622
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202011190150.5A Active CN112291246B (zh) | 2020-10-30 | 2020-10-30 | 一种在蜜罐场景下扩展攻击流量牵引能力的方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN112291246B (zh) |
Cited By (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112995162A (zh) * | 2021-02-07 | 2021-06-18 | 深信服科技股份有限公司 | 网络流量的处理方法及装置、电子设备、存储介质 |
CN113225314A (zh) * | 2021-04-08 | 2021-08-06 | 福建奇点时空数字科技有限公司 | 一种基于端口跳变MTD的SDN网络抗Dos方法 |
CN113872973A (zh) * | 2021-09-29 | 2021-12-31 | 武汉众邦银行股份有限公司 | 一种基于iptables的拟态蜜罐的实现方法及装置 |
CN114006772A (zh) * | 2021-12-30 | 2022-02-01 | 北京微步在线科技有限公司 | 一种反制黑客攻击的方法、装置、电子设备及存储介质 |
CN114553524A (zh) * | 2022-02-21 | 2022-05-27 | 北京百度网讯科技有限公司 | 流量数据处理方法、装置、电子设备及网关 |
CN114598510A (zh) * | 2022-02-23 | 2022-06-07 | 奇安信科技集团股份有限公司 | 蜜场网络流量重定向***、方法、电子设备、介质及产品 |
CN114978731A (zh) * | 2022-05-30 | 2022-08-30 | 北京计算机技术及应用研究所 | 一种基于多样性扩展的诱捕蜜罐实现***及方法 |
CN115150175A (zh) * | 2022-07-05 | 2022-10-04 | 云南电网有限责任公司 | 面向电力***独立网络攻击的边缘数据引流诱捕技术方法 |
CN115632893A (zh) * | 2022-12-26 | 2023-01-20 | 北京长亭未来科技有限公司 | 一种蜜罐生成方法和装置 |
CN116032641A (zh) * | 2023-01-09 | 2023-04-28 | 国网湖南省电力有限公司 | 基于攻击检测和负载调度的蜜罐防御方法及*** |
CN116032641B (zh) * | 2023-01-09 | 2024-07-30 | 国网湖南省电力有限公司 | 基于攻击检测和负载调度的蜜罐防御方法及*** |
Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20040117478A1 (en) * | 2000-09-13 | 2004-06-17 | Triulzi Arrigo G.B. | Monitoring network activity |
US20130242743A1 (en) * | 2007-12-10 | 2013-09-19 | Vinoo Thomas | System, method, and computer program product for directing predetermined network traffic to a honeypot |
US20170223052A1 (en) * | 2016-01-29 | 2017-08-03 | Sophos Limited | Honeypot network services |
CN109347881A (zh) * | 2018-11-30 | 2019-02-15 | 东软集团股份有限公司 | 基于网络欺骗的网络防护方法、装置、设备及存储介质 |
US20200067935A1 (en) * | 2018-08-27 | 2020-02-27 | Ciena Corporation | Network architecture providing device identification and redirection using whitelisting traffic classification |
CN111314281A (zh) * | 2019-12-04 | 2020-06-19 | 江苏天网计算机技术有限公司 | 一种攻击流量转发至蜜罐的方法 |
CN111431881A (zh) * | 2020-03-18 | 2020-07-17 | 广州锦行网络科技有限公司 | 一种基于windows操作***的诱捕节点实现方法及装置 |
CN111565199A (zh) * | 2020-07-14 | 2020-08-21 | 腾讯科技(深圳)有限公司 | 网络攻击信息处理方法、装置、电子设备及存储介质 |
-
2020
- 2020-10-30 CN CN202011190150.5A patent/CN112291246B/zh active Active
Patent Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20040117478A1 (en) * | 2000-09-13 | 2004-06-17 | Triulzi Arrigo G.B. | Monitoring network activity |
US20130242743A1 (en) * | 2007-12-10 | 2013-09-19 | Vinoo Thomas | System, method, and computer program product for directing predetermined network traffic to a honeypot |
US20170223052A1 (en) * | 2016-01-29 | 2017-08-03 | Sophos Limited | Honeypot network services |
US20200067935A1 (en) * | 2018-08-27 | 2020-02-27 | Ciena Corporation | Network architecture providing device identification and redirection using whitelisting traffic classification |
CN109347881A (zh) * | 2018-11-30 | 2019-02-15 | 东软集团股份有限公司 | 基于网络欺骗的网络防护方法、装置、设备及存储介质 |
CN111314281A (zh) * | 2019-12-04 | 2020-06-19 | 江苏天网计算机技术有限公司 | 一种攻击流量转发至蜜罐的方法 |
CN111431881A (zh) * | 2020-03-18 | 2020-07-17 | 广州锦行网络科技有限公司 | 一种基于windows操作***的诱捕节点实现方法及装置 |
CN111565199A (zh) * | 2020-07-14 | 2020-08-21 | 腾讯科技(深圳)有限公司 | 网络攻击信息处理方法、装置、电子设备及存储介质 |
Non-Patent Citations (2)
Title |
---|
李珍珍: "基于蜜罐技术的网络安全防御***的设计与实现", 《中国优秀硕士学位论文全文数据库(电子期刊)》 * |
祝帅: "城域网地域DoS及DDoS技术的研究", 《中国优秀硕士学位论文全文数据库(电子期刊)》 * |
Cited By (15)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112995162A (zh) * | 2021-02-07 | 2021-06-18 | 深信服科技股份有限公司 | 网络流量的处理方法及装置、电子设备、存储介质 |
CN113225314A (zh) * | 2021-04-08 | 2021-08-06 | 福建奇点时空数字科技有限公司 | 一种基于端口跳变MTD的SDN网络抗Dos方法 |
CN113872973B (zh) * | 2021-09-29 | 2023-07-07 | 武汉众邦银行股份有限公司 | 一种基于iptables的拟态蜜罐的实现方法及装置 |
CN113872973A (zh) * | 2021-09-29 | 2021-12-31 | 武汉众邦银行股份有限公司 | 一种基于iptables的拟态蜜罐的实现方法及装置 |
CN114006772A (zh) * | 2021-12-30 | 2022-02-01 | 北京微步在线科技有限公司 | 一种反制黑客攻击的方法、装置、电子设备及存储介质 |
CN114006772B (zh) * | 2021-12-30 | 2022-04-12 | 北京微步在线科技有限公司 | 一种反制黑客攻击的方法、装置、电子设备及存储介质 |
CN114553524A (zh) * | 2022-02-21 | 2022-05-27 | 北京百度网讯科技有限公司 | 流量数据处理方法、装置、电子设备及网关 |
CN114553524B (zh) * | 2022-02-21 | 2023-10-10 | 北京百度网讯科技有限公司 | 流量数据处理方法、装置、电子设备及网关 |
CN114598510A (zh) * | 2022-02-23 | 2022-06-07 | 奇安信科技集团股份有限公司 | 蜜场网络流量重定向***、方法、电子设备、介质及产品 |
CN114978731A (zh) * | 2022-05-30 | 2022-08-30 | 北京计算机技术及应用研究所 | 一种基于多样性扩展的诱捕蜜罐实现***及方法 |
CN115150175A (zh) * | 2022-07-05 | 2022-10-04 | 云南电网有限责任公司 | 面向电力***独立网络攻击的边缘数据引流诱捕技术方法 |
CN115150175B (zh) * | 2022-07-05 | 2024-05-24 | 云南电网有限责任公司 | 面向电力***独立网络攻击的边缘数据引流诱捕方法 |
CN115632893A (zh) * | 2022-12-26 | 2023-01-20 | 北京长亭未来科技有限公司 | 一种蜜罐生成方法和装置 |
CN116032641A (zh) * | 2023-01-09 | 2023-04-28 | 国网湖南省电力有限公司 | 基于攻击检测和负载调度的蜜罐防御方法及*** |
CN116032641B (zh) * | 2023-01-09 | 2024-07-30 | 国网湖南省电力有限公司 | 基于攻击检测和负载调度的蜜罐防御方法及*** |
Also Published As
Publication number | Publication date |
---|---|
CN112291246B (zh) | 2022-01-28 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN112291246B (zh) | 一种在蜜罐场景下扩展攻击流量牵引能力的方法 | |
EP3253025B1 (en) | Sdn-based ddos attack prevention method, device and system | |
CN108040057B (zh) | 适于保障网络安全、网络通信质量的sdn***的工作方法 | |
KR101900154B1 (ko) | DDoS 공격이 탐지가 가능한 소프트웨어 정의 네트워크 및 이에 포함되는 스위치 | |
EP3846406A1 (en) | Dynamic security actions for network tunnels against spoofing | |
CN101326771B (zh) | 操作虚拟网络的方法和设备以及数据网络*** | |
EP2555476A1 (en) | Method, system and device for protecting multicast in communication network | |
CN105591768B (zh) | 故障检测方法及装置 | |
Wang et al. | SDN-based hybrid honeypot for attack capture | |
CN101741670B (zh) | 一种多环以太网的保护方法 | |
KR101615045B1 (ko) | 지능형 보안 네트워킹 시스템 및 그 방법 | |
CN101617516A (zh) | 控制客户端和具有私有网络地址的服务器之间的应用消息的方法和设备 | |
US20210258226A1 (en) | Methods and systems for neighbor-acknowledged graceful insertion/removal protocol | |
CN112272194B (zh) | 一种可扩展的DDoS防御方法及*** | |
CN105681445A (zh) | 数据的点对点传输路径选择方法及装置 | |
CN106302525A (zh) | 一种基于伪装的网络空间安全防御方法及*** | |
CN105515816A (zh) | 检测层次信息的处理方法及装置 | |
CN112118258B (zh) | 在蜜罐场景下获取攻击者信息的***及方法 | |
CN107682342B (zh) | 一种基于openflow的DDoS流量牵引的方法和*** | |
US11082309B2 (en) | Dynamic and interactive control of a residential gateway connected to a communication network | |
CN104579832B (zh) | 一种OpenFlow网络安全检测方法及*** | |
CN105850091B (zh) | 用于提供通信服务提供方和提供服务的ip服务器之间的连接的方法、边界网络装置以及ip服务器 | |
CN102315962B (zh) | 探测以太网最大传输单元的方法及维护端点 | |
CN113556291B (zh) | 流量跟踪方法、装置、设备及计算机可读介质 | |
CN113037622B (zh) | 一种防止bfd震荡的***及方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |