CN112311810A - 一种动态适应攻击的网络动态防御方法 - Google Patents
一种动态适应攻击的网络动态防御方法 Download PDFInfo
- Publication number
- CN112311810A CN112311810A CN202011272961.XA CN202011272961A CN112311810A CN 112311810 A CN112311810 A CN 112311810A CN 202011272961 A CN202011272961 A CN 202011272961A CN 112311810 A CN112311810 A CN 112311810A
- Authority
- CN
- China
- Prior art keywords
- attack
- port
- nodes
- network
- real
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明提供了一种能够动态适应攻击的网络动态防御方法,让网络节点部分指纹信息(IP地址、端口、协议)的变化频率随受到的攻击强度和攻击持续时间自适应变化,既满足正常通信需要,又能够保证一定的安全强度,使得网络攻击方难以探测出有效信息而无法开展攻击,从而达到保护网络安全的目的。该方法包括:根据受保护网络的规模生成对应规模的虚拟网络节点,以受保护网络中真实节点间单次网络访问的平均时长为周期动态变换真实节点的指纹信息(IP地址、端口)和虚拟节点的指纹信息(IP地址、端口、协议)。当真实节点或虚拟节点有异常网络访问时,则说明可能遇到了攻击,则根据受到的攻击强度和攻击持续时间动态调整真实节点和虚拟节点的指纹变化周期;当检测到攻击行为结束后将节点的指纹变化周期再调整为受保护网络中真实节点间单次网络访问的平均时长。
Description
技术领域
本发明涉及网络安全领域,特别涉及一种动态适应攻击的网络动态防御方法。
背景技术
由于网络安全防护的需要,受保护网络既希望攻击方无法有效探测己方网络的有效信息并展开攻击,同时也希望己方能够安全顺畅的进行通信。通过该方法,根据受保护网络的节点规模动态生成对等规模的虚拟节点,在未感知到有攻击行为的情况下,以受保护网络中真实节点间单次网络访问的平均时长为周期动态变换真实节点和虚拟节点的指纹信息;当感知到存在攻击行为的情况下,根据攻击强度和攻击持续时间动态调整节点指纹信息的变换频率,增大攻击者探测受保护网络信息并展开攻击的难度,从而达到保护网络安全的目的。
发明内容
图1为动态适应攻击的网络动态防御示意图。
受控网络的IP地址变换空间为sip={ip1,ip2,…,ipm},端口变换空间为Sport={port1,port2,…,portm},协议的变换为Sprot={prot1,prot2,…,protk}。
动态变换控制器根据受保护网络节点规模动态生成对等的虚拟网络节点,并按照以下方法分别为虚拟节点生成指纹信息(ip,port,protocl)的配置策略,其中:t为当前时刻,random为随机数,ip′、port′、prot′分别为该节点上一次被分配的ip地址、端口号和协议。
动态变换控制器在未发现网络攻击时,根据变换周期T=tperiod(tperiod为受保护网络中真实节点间单次网络访问的平均时长),按照上述①②的方法分别为真实节点生成动态变换ip和端口的策略,按照上述①②③的方法为虚拟节点生成动态变换ip、端口和协议的策略。这样能够有效提升受控网络和节点指纹信息的不可预测性和时效性。
当真实节点和虚拟节点有未授权的网络访问时,动态变换控制器即可认为有外部攻击行为,此时变换周期T会根据攻击强度和攻击持续的时间动态调整,其中:攻击强度是指受控网络中单位时间内检测到的攻击次数,记为pattack,tmix为受保护网络内真实节点间单次网络访问可接受的最小时长,thold为攻击强度持续的时间。
因此,在尽可能保证受保护网络内真实结点间业务连续性的基础上,根据受到攻击的强度和攻击时间,动态缩小节点指纹信息变换周期,增大受保护网络和节点指纹信息的不可预测性,使攻击者无法有效搜集信息进而无法开展有效攻击,从而大大提升受保护网络的安全性。
图2为动态变换控制器流程示意图。
Claims (5)
1.一种动态适应攻击的网络动态防御方法,其特征在于,包括:根据受保护网络的真实节点规模动态生成对等规模的虚拟节点,在未感知到有攻击行为的情况下,按照真实节点间单次网络访问的平均时长为周期动态变换真实节点和虚拟节点的指纹信息;当感知到存在攻击行为的情况下,根据攻击强度和攻击持续时间动态加强节点指纹信息的变换频率。
2.根据权利要求1所述的方法,其特征在于,根据受保护网络的真实节点规模动态生成对等规模的虚拟节点,即真实节点有k个,则对应生成的虚拟节点也为k个,为其配置并根据变换周期T动态变换指纹信息,包括(ip,端口,协议)。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202011272961.XA CN112311810B (zh) | 2020-11-13 | 2020-11-13 | 一种动态适应攻击的网络动态防御方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202011272961.XA CN112311810B (zh) | 2020-11-13 | 2020-11-13 | 一种动态适应攻击的网络动态防御方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN112311810A true CN112311810A (zh) | 2021-02-02 |
CN112311810B CN112311810B (zh) | 2022-11-15 |
Family
ID=74334326
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202011272961.XA Active CN112311810B (zh) | 2020-11-13 | 2020-11-13 | 一种动态适应攻击的网络动态防御方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN112311810B (zh) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113329029A (zh) * | 2021-06-18 | 2021-08-31 | 上海纽盾科技股份有限公司 | 一种针对apt攻击的态势感知节点防御方法及*** |
CN113467314A (zh) * | 2021-07-15 | 2021-10-01 | 广州赛度检测服务有限公司 | 一种基于大数据和边缘计算的信息安全风险评估***及方法 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105721457A (zh) * | 2016-01-30 | 2016-06-29 | 耿童童 | 基于动态变换的网络安全防御***和网络安全防御方法 |
CN109495440A (zh) * | 2018-09-06 | 2019-03-19 | 国家电网有限公司 | 一种内网动态防御的随机方法 |
CN111385236A (zh) * | 2018-12-27 | 2020-07-07 | 北京卫达信息技术有限公司 | 一种基于网络诱骗的动态防御*** |
-
2020
- 2020-11-13 CN CN202011272961.XA patent/CN112311810B/zh active Active
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105721457A (zh) * | 2016-01-30 | 2016-06-29 | 耿童童 | 基于动态变换的网络安全防御***和网络安全防御方法 |
CN109495440A (zh) * | 2018-09-06 | 2019-03-19 | 国家电网有限公司 | 一种内网动态防御的随机方法 |
CN111385236A (zh) * | 2018-12-27 | 2020-07-07 | 北京卫达信息技术有限公司 | 一种基于网络诱骗的动态防御*** |
Non-Patent Citations (3)
Title |
---|
张涛等: "一种基于软件定义网络的主机指纹抗探测模型", 《信息网络安全》, no. 07, 10 July 2020 (2020-07-10), pages 2 - 3 * |
张连成等: "基于路径与端址跳变的SDN网络主动防御技术", 《计算机研究与发展》, no. 12, 15 December 2017 (2017-12-15) * |
范晓诗等: "基于可变时隙与动态同步的端口跳变技术研究", 《计算机工程与设计》, no. 10, 16 October 2013 (2013-10-16) * |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113329029A (zh) * | 2021-06-18 | 2021-08-31 | 上海纽盾科技股份有限公司 | 一种针对apt攻击的态势感知节点防御方法及*** |
CN113329029B (zh) * | 2021-06-18 | 2022-10-14 | 上海纽盾科技股份有限公司 | 一种针对apt攻击的态势感知节点防御方法及*** |
CN113467314A (zh) * | 2021-07-15 | 2021-10-01 | 广州赛度检测服务有限公司 | 一种基于大数据和边缘计算的信息安全风险评估***及方法 |
CN113467314B (zh) * | 2021-07-15 | 2022-04-26 | 广州赛度检测服务有限公司 | 一种基于大数据和边缘计算的信息安全风险评估***及方法 |
Also Published As
Publication number | Publication date |
---|---|
CN112311810B (zh) | 2022-11-15 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Barbosa et al. | Flow whitelisting in SCADA networks | |
EP1379029B1 (en) | Method of guaranteeing users' anonymity and wireless local area network (LAN) system therefor | |
CN112311810B (zh) | 一种动态适应攻击的网络动态防御方法 | |
CN103051633B (zh) | 一种防御攻击的方法和设备 | |
CN101127649B (zh) | 一种防御网络攻击的方法和*** | |
US20030200441A1 (en) | Detecting randomness in computer network traffic | |
KR100996288B1 (ko) | 가상 mac 주소를 이용하여 arp 스푸핑 공격에 대응하는 방법 | |
CN108173812A (zh) | 防止网络攻击的方法、装置、存储介质和设备 | |
TWI506472B (zh) | 網路設備及其防止位址解析協定報文攻擊的方法 | |
EP2634954A2 (en) | Identity of a group shared secret | |
CN106797378B (zh) | 用于控制通信网络的装置和方法 | |
CN111131448B (zh) | ADSL Nat的运维管理的边缘管理方法、边缘端代理设备及计算机可读存储介质 | |
CN113612783B (zh) | 一种蜜罐防护*** | |
Tripathi et al. | Analysis of various ARP poisoning mitigation techniques: A comparison | |
CN105959282A (zh) | Dhcp攻击的防护方法及装置 | |
CN107241313A (zh) | 一种防mac泛洪攻击的方法及装置 | |
CN106209837A (zh) | Arp欺骗检测方法及*** | |
WO2013103640A2 (en) | Methods and apparatuses for maintaining secure communication between a group of users in a social network | |
CN102427452B (zh) | 同步报文发送方法、装置和网络设备 | |
CN114115068A (zh) | 一种内生安全交换机的异构冗余防御策略下发方法 | |
CN109413018B (zh) | 一种端口扫描方法及装置 | |
CN106357661B (zh) | 一种基于交换机轮换的分布式拒绝服务攻击防御方法 | |
CN106878302B (zh) | 一种云平台***及设置方法 | |
CN108173791A (zh) | 基于平滑技术的时变衰落信道的物理层盲认证方法及*** | |
CN106411892A (zh) | Ddos***地址信息传输、访问请求过滤方法、装置及服务器 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |