CN113660282A - 一种基于可信计算的勒索病毒防御方法、***及相关设备 - Google Patents
一种基于可信计算的勒索病毒防御方法、***及相关设备 Download PDFInfo
- Publication number
- CN113660282A CN113660282A CN202110968832.2A CN202110968832A CN113660282A CN 113660282 A CN113660282 A CN 113660282A CN 202110968832 A CN202110968832 A CN 202110968832A CN 113660282 A CN113660282 A CN 113660282A
- Authority
- CN
- China
- Prior art keywords
- network
- trusted
- defense
- isolation
- lesox
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1491—Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种基于可信计算的勒索病毒防御方法、***及相关设备,本方案自动获取网络中的流量信息,判断各种网络资产之间的业务数据流量关系;根据可信访问列表,建立访问控制策略,并将网络中的逻辑网络隔离开来,重新划分网络区域,对网络内部形成微观隔离区;虚拟化相应的虚拟IP和端口,形成对应的蜜罐组,并与网络中的实际主机混合;当蜜罐访问次数超过设定次数时,将该IP视为不可信对象进行拦截。本发明提供的基于可信计算的勒索病毒防御方案,可快速检测到勒索病毒等恶意程序的行为,并有效及时地遏制,或者将勒索病毒等恶意程序的风险控制在一个微隔离的区域内,从而大大提高网络“东西”流量(内部边界)的安全性。
Description
技术领域
本发明涉及网络安全技术,具体涉及内网安全技术。
背景技术
尽管技术的发展,随着计算能力、存储能力的大幅度提升,同时网络“南北”向流量通过边界安全防护已经得到极大的保护,但是“东西”流量(内部边界)的安全,始终是安全防护最薄弱的地方。内部攻击成为了内部安全最大的风险。勒索病毒更是撕开了“东西”向流量防护的缺口,任意攻击破坏,给内网安全带来了极大的风险。
仅依靠防火墙、网关、IPS、IDS、WAF、APT等传统的被动式防御手段已经难以应对当前网络人为攻击,且容易被攻击者及勒索病毒利用,扫描漏洞、打补丁的传统思路已不利于整体安全。
由此可见如何以主动的方式来提高内网安全为本领域亟需解决的问题。
发明内容
针对现有网络安全技术基本采用被动式防御手段所存在的问题,本发明的目的在于提供一种基于可信计算的勒索病毒防御方法,其可面向具体的应用场景和安全要求,对重要网络资产进行重构,形成定制化的新的可信体系结构,能够迅速发现勒索病毒等恶意程序的行为,并有效及时的进行遏止,或将勒索病毒等恶意程序的风险控制在一个较小的范围内,由此有效提高网络安全。
在此基础上,本发明还进一步提供了能够实现该勒索病毒防御方法的勒索病毒防御***,以及相关设备。
为了达到上述目的,本发明提供的基于可信计算的勒索病毒防御方法,包括:
自动获取网络中的流量信息,判断各种网络资产之间的业务数据流量关系;
根据可信访问列表,建立访问控制策略,并将网络中的逻辑网络隔离开来,重新划分网络区域,对网络内部形成微观隔离区;
虚拟化相应的虚拟IP和端口,形成对应的蜜罐组,并与网络中的实际主机混合;当蜜罐访问次数超过设定次数时,将该IP视为不可信对象进行拦截。
进一步的,所述勒索病毒防御方法在对网络东西方流量自学习后,通过策略计算绘制出完整的业务流模型图。
进一步的,所述勒索病毒防御方法还通过对网络东西方流量自学习,将根据识别策略列出相应的接入源和目标IP、端口号和数据流。
为了达到上述目的,本发明提供的基于可信计算的勒索病毒防御***,包括:数据池、安全可视化和策略交互单元、展示层和操作层组;
所述数据池导入自动获取的网络中的流量数据信息;
所述安全可视化和策略交互单元自动监控网络中的流量,通过自主学习判断各种网络资产之间的业务数据流量关系,根据可信访问列表,建立对应的可信访问控制策略;同时针对网络资产进行逻辑网络隔离形成对应的微观隔离区;所述安全可视化和策略交互单元还虚拟化对应的虚拟IP和端口,形成大量的蜜罐,并与网络中的实际主机混合;
所述展示层用于显示漏洞、恶意软件、业务关系和勒索病毒;
所述操作层用于控制微观隔离、蜜罐和处置模块,并通过微观隔离和蜜罐控制业务可信访问控制和调整可信访问关系,通过处理模块阻断发现的勒索病毒。
进一步的,所述安全可视化和策略交互单元中可在整个网络中创建可信访问模板,并基于可信访问模板来调整可信访问控制策略,并根据需要划分微观隔离区。
进一步的,所述安全可视化和策略交互单元还通过对网络东西方流量自学习,对信息进行汇总,然后通过策略计算绘制出完整的业务流模型图。
为了达到上述目的,本发明提供了一种计算机可读存储介质,其上存储有程序,该程序被处理器执行时实现上述勒索病毒防御方法的步骤。
为了达到上述目的,本发明提供了一种处理器,所述处理器用于运行程序,所述程序运行时执行上述勒索病毒防御方法的步骤。
为了达到上述目的,本发明提供了一种终端设备,设备包括处理器、存储器及存储在存储器上并可在处理器上运行的程序,所述程序代码由所述处理器加载并执行以实现上述勒索病毒防御方法的步骤。
为了达到上述目的,本发明提供了一种计算机程序产品,当在数据处理设备上执行时,适于执行上述勒索病毒防御方法的步骤。
本发明提供的基于可信计算的勒索病毒防御方案,面向特定的应用场景和安全需求,形成重要网络资产的定制可信体系结构,本方案可快速检测到勒索病毒等恶意程序的行为,并有效及时地遏制,或者将勒索病毒等恶意程序的风险控制在一个微隔离的区域内,从而大大提高网络“东西”流量(内部边界)的安全性。
附图说明
以下结合附图和具体实施方式来进一步说明本发明。
图1为本发明实例中勒索病毒防御***的架构示例图;
图2为本发明实例中勒索病毒防御***的拦截示例图。
具体实施方式
为了使本发明实现的技术手段、创作特征、达成目的与功效易于明白了解,下面结合具体图示,进一步阐述本发明。
针对依靠传统的防御手段,信息***容易受到勒索病毒的攻击。本专利给出一种基于可信计算的勒索病毒防御方案,其面向特定的应用场景和安全需求,对重要网络资产进行重构,形成重要网络资产的定制可信体系结构。
据此,本勒索病毒防御方案能够识别确定可信主、客体,控制制定可信主、客体间访问规则,审计主客体访问行为,监控主客体运行时状态,对危险行为进行报警,能够迅速发现勒索病毒等恶意程序的行为,并有效及时的进行遏止,或将勒索病毒等恶意程序的风险控制在一个较小的范围内,如一个微隔离区域内。
具体的,本勒索病毒防御方案基于可信访问列表构建白名单,建立访问控制策略;同时将信息网络公共区域、关键区域等逻辑网络进行隔离,避免不安全因素的扩散,这样通过合理划分网络区域,可以更有效地实施安全策略。在此基础上,本勒索病毒防御方案形成大量的蜜罐,以拦截捕获的不可信IP,并阻止其访问真实主机,本方案不会截获不可信IP继续访问蜜罐,并继续让不可信IP访问蜜罐。本勒索病毒防御方案可以快速检测到勒索病毒等恶意程序的行为,并有效及时地遏制它们,或者将勒索病毒等恶意程序的风险控制在一个微隔离的区域内。
本勒索病毒防御方案在运行时主要通过可信访问控制和非可信客体拦截两方面来实现提高信息网络***的安全性。
(1)可信访问控制
本勒索病毒防御方案可实现可信访问控制,本方案通过自动获取信息网络***中的流量信息,判断各种网络资产之间的业务数据流量关系。
对于本方案中针对网络资产之间的业务数据流量关系的判断手段,此处不加以限定,具体可根据实际需求而定。
基于所获取到的流量信息,本勒索病毒防御方案建立自主流量分析模型,通过一个阶段的网络东西方流量自学习,对流量信息进行汇总,然后通过策略计算绘制出完整的业务流模型图,辅助管理者对整个企业内部网进行管理。
对于本方案中形成业务流模型图的策略计算绘制手段,此处不加以限定,具体可根据实际需求而定。
进一步的,本方案在自学习过程中,自主流量分析模型通过相应的识别策略列出信息网络***中相应的接入源和目标IP、端口号和数据流。通过该模型可以快速掌握信息网络***中整个信息资产的逻辑应用图,并据此实现将可信访问的所有主体和对象都显示在网络中。
本方案在由自主流量分析模型对所获取到的流量信息完成学习分析后,根据可信访问列表构建相应的白名单,并据此进一步建立访问控制策略。
同时,为了避免不安全因素的扩散,本方案根据将信息网络***的公共区域、关键区域等逻辑网络隔离开来,由此实现合理划分网络区域,形成相应的微隔离区,同时在每个微隔离内分别实施对应的访问控制策略。
作为优选方案,本方案中的访问控制策略基于五元组的白名单模式,只允许IP访问IP端口,不允许其他端口。
同时,本勒索病毒防御方案可以自定义和调整策略:添加、打开、关闭、调整和重构五元组。
(2)非可信客体拦截
在高层信息***的结构设计中,信息***防御的目标是消除***组件之间的相互干扰,建立严格的交互结构,防止安全功能被绕过和篡改。
据此,本勒索病毒防御方案通过对不可信对象拦截,以对信息***中构件之间的可信性进行验证,保证严格的交互结构,防止安全功能被绕过和篡改。
本方案将大量的虚拟IP和端口进行虚拟化,形成大量的蜜罐,当蜜罐访问次数超过设定次数时,本方案将该IP视为不可信对象。
本勒索病毒防御方案中的虚拟IP会自动批量生成,并打开IP上的公共端口(如138、139、445等)。生成的IP范围和地址可按需进行定制。可以访问自动生成的IP和端口号,形成蜜罐组,并与实际主机混合。当蜜罐组访问超过某个阈值时,决定将源IP更改为不受信任的IP。
本方案在不可信对象拦截技术捕获不可信IP后,将立即拦截不可信IP,由此实现立即拦截全息图捕获的不可信IP,防止其访问真实主机,但不会拦截不可信IP继续访问蜜罐,并继续让不可信IP进入蜜罐。
为进一步产生本勒索病毒防御方案,以下通过相应的实例来进一步说明本勒索病毒防御方案。
本实例基于勒索病毒防御方案,给出一种能够实现该勒索病毒防御方案的勒索病毒防御***。
参见图1所示,本实例勒索病毒防御***100(或可信防护***)在构成上主要由数据池110、安全可视化和策略交互单元120、展示层组130和操作层组140相互配合构成。
本***中的数据池110导入自动获取的网络中的流量数据信息;
本***中的安全可视化和策略交互单元120,通过构建相应的自主流量分析模型,自动监控网络中的流量,再通过自主学习判断各种网络资产之间的业务数据流量关系,根据可信访问列表,建立对应的可信访问控制策略;同时针对网络资产进行逻辑网络隔离形成对应的微观隔离区。本安全可视化和策略交互单元120还虚拟化对应的虚拟IP和端口,形成大量的蜜罐,并与网络中的实际主机混合。
本***中的展示层组130与安全可视化和策略交互单元120进行数据交互,用于显示漏洞、恶意软件、业务关系和勒索病毒。
本***中的操作层组140用于控制微观隔离区、蜜罐和处置模块,并通过微观隔离区和蜜罐控制业务可信访问控制和调整可信访问关系,通过处理模块阻断发现的勒索病毒。
本***中通过微隔离来实现对网络东西向进行有效的安全管控。为此,本***中的安全可视化和策略交互单元120通过对信息网络***的资产进行梳理,根据业务的逻辑关系、业务之间的数据流向、协议来进行隔离,构建一个完整、准确的可信访问架构,由此实现准确的微隔离。
作为优选方案,本***中的安全可视化和策略交互单元120基于建立的自主流量分析模型自动监测网络中的流量,对信息进行汇总,以及梳理出内网中的资产以及各类资产的逻辑应用关系,形成对应的业务流模型图和资产逻辑应用图,并可通过相应的展示层组130进行显示,使得业务流可视化。并据此快速、主动的创建出整个网络中的可信访问模版。由此本***中由操作层组140基于可信访问模版,根据需求调整可信访问策略,划分微隔离区域。
本***中在划分构建微隔离区时,根据实体的不同性质将信息网络***资产分为主体和客体。其中,信息主体是使信息在***中流动或改变***状态的用户或过程。对象可以是被动实体,例如文件或内存块,它们可以包含或接收信息。本***据此原理来划分构建相应的微隔离区域。
本***中针对划分构建的微隔离区域分别建立对应的可信访问控制策略,使得每个微隔离区域都有自己独立的可信访问控制策略,由此进一步提高整个信息网络***的安全性。
由此,本***在运行时,基于微隔离功能,当微隔离区内的主机受到勒索病毒等恶意程序攻击时,勒索病毒只能尝试在微隔离区内感染。同时,由于每个微隔离区域都运行有各自的可信访问控制策略,这样基于建立的可信白名单机制,同时并且封锁勒索病毒所使用的端口,勒索病毒不会造成更大的影响。如果使用的端口未被阻止,勒索病毒只能感染微隔离区中打开端口的其他主机。这样,勒索病毒的影响范围就最小化了。
以下举例说明一下本实例给出的勒索病毒防御***100的运行过程。
参见图1,本勒索病毒防御***100由数据池、安全可视化和策略交互、展示层和操作层组成,具体如上。本***整体布设在相应的信息网络***中。
如此设置下,布设在信息网络***中的勒索病毒防御***100导入信息网络***的流量数据信息,从填充叉、业务流、漏洞扫描、第三方数据等方面进行分析。展示层用于显示漏洞、恶意软件、业务关系和勒索病毒。操作层用于控制微隔离、蜜罐和管理。通过微隔离和蜜罐控制业务可信访问控制和调整可信访问关系。操作层管理用于自动阻断和手动阻断发现的勒索病毒。
参见图2,本勒索病毒防御***通过信息网络***的资产进行梳理,并根据业务的逻辑关系、业务之间的数据流向、协议等信息,将信息网络***划分成五个微隔离区:微隔离区域1-微隔离区域5。并针对每个微隔离区域建立相应的可信访问控制策略,分别运行各自的可信访问控制策略。
作为举例,本实例所形成的5个微隔离区域中,微隔离区域1和微隔离区域5中的主机可允许139端口访问。
本勒索病毒防御***在运行时,可实现可信防御,如果信息网络***中的主机被勒索病毒或其他恶意程序植入,当勒索病毒开始感染时,它必然会试图感染被捕获的主机。
此时,本勒索病毒防御***中的安全可视化和策略交互单元,将通过对网络流量的自主学习分析,所建立的可信访问控制策略以及所形成的蜜罐能够及时发现勒索病毒,此时将会立即封锁物理端口的主机,并在***中发出警报,即由展示层进行展示。
与此同时,本勒索病毒防御***基于微隔离功能,当微隔离区域中某台主机被植入了勒索病毒等恶意程序,勒索病毒只会在微隔离区域的范围内进行感染尝试;同时在可信白名单机制已经建立的情况下,如果勒索病毒利用的端口已经被屏蔽访问,那么勒索病毒无法造成更大的影响;如果勒索病毒利用的端口没有被屏蔽访问,那么勒索病毒也只能感染微隔离区域中开启该端口的其他主机,从而将勒索病毒的影响范围控制到最小范围。
继续上述案例(结合图2),信息网络***中隔离区域5中的主机被勒索病毒感染。该勒索病毒只能够在隔离区域5内感染本隔离区域内的其它主机,同时基于本隔离区域配置的可信访问控制策略。
由于该勒索病毒主要利用139端口感染相应的主机,本案例中,所形成的微隔离区域2、微隔离区域3以及微隔离区域4,分别基于自身的可信访问控制策略屏蔽拒绝139端口的访问,继而该勒索病毒从而利用139端口进入到微隔离区域2、微隔离区域3以及微隔离区域4中;同时,由于微隔离区域1基于自身的可信访问控制策略允许139端口的访问,继而该勒索病毒可利用139端口进入到微隔离区域1中。由此,能够实现将勒索病毒的影响范围控制在微隔离区域5和微隔离区域1的范围内。
另外,在上述过程中,基于非可信客体拦截技术,当微隔离区域内的某台主机被植入了勒索病毒等恶意程序,当勒索病毒开始感染时,必然会去尝试感染蜜罐,此时可信防御***会立刻将该主机在接入的物理端口处进行阻断并在***中告警。
由上实例可知,本勒索病毒防御***在具体实现时,其体系结构可实现安全事件的分析、监控和审计。可采用规则模型、关联分析和机器学习等方法,建立相应的可信防御***的网络安全专家知识库,使***能够及时应对各种风险。
本勒索病毒防御***通过相应的微观隔离技术,实现访问控制与授权相结合,来防止未经授权的访问和资源滥用。微观隔离是通过对信息网络***中资产进行分类,并根据业务的逻辑关系进行隔离。可信访问体系结构是建立在业务和协议之间的数据流。而授权主体根据数据分类和层次结构配置访问控制策略,控制粒度可达到数据组织的适当粒度。
本勒索病毒防御***可以接入层交换机的角色接入网络,交换口接入真实服务器或终端,将控制节点下沉到各服务器的接入端口,实现端到端级别的微隔离功能、全息诱捕功能,多个勒索病毒防御***可以通过集群方式进行统一管控、下发策略。
通过对勒索病毒防御***的访问和部署,可以实现特定的应用场景和安全需求。为了避免不安全因素的扩散,将公共区域、关键区域等逻辑网络隔离开来。合理划分网络区域,可以更有效地实现安全策略。本勒索病毒防御***可以立即拦截捕获的不可信IP,防止其访问真实主机。本***不会拦截不可信IP继续访问蜜罐,并继续让不可信IP进入蜜罐。它能快速检测到勒索病毒等恶意程序的行为,并能有效及时地遏制,或在小范围内控制勒索病毒等恶意程序的风险,如微隔离区。
另外,在前述方案的基础上,本发明实施例还提供了一种计算机可读存储介质,其上存储有程序,该程序被处理器执行时实现上述勒索病毒防御方法的步骤。
进一步的,本发明实施例还提供了一种处理器,所述处理器用于运行程序,其中,所述程序运行时执行上述勒索病毒防御的实现方法的步骤。
进一步的,本发明实施例还提供了一种终端设备,设备包括处理器、存储器及存储在存储器上并可在处理器上运行的程序,所述程序代码由所述处理器加载并执行以实现上述勒索病毒防御的实现方法的步骤。
进一步的,本发明还提供了一种计算机程序产品,当在数据处理设备上执行时,适于执行上述勒索病毒防御的实现方法的步骤。
在上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述的部分,可以参见其他实施例的相关描述。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的***,装置和模块的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
本领域内的技术人员应明白,本发明的实施例可提供为方法、***、或计算机程序产品。因此,本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本发明是参照本发明实施例的方法、设备(***)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
在一个典型的配置中,计算设备包括一个或多个处理器(CPU)、输入/输出接口、网络接口和内存。
存储器可能包括计算机可读介质中的非永久性存储器,随机存取存储器(RAM)和/或非易失性内存等形式,如只读存储器(ROM)或闪存(flash RAM)。存储器是计算机可读介质的示例。
计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括,但不限于相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器(CD-ROM)、数字多功能光盘(DVD)或其他光学存储、磁盒式磁带,磁带磁盘存储或其他磁性存储设备或任何其他非传输介质,可用于存储可以被计算设备访问的信息。
还需要说明的是,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、商品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、商品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括要素的过程、方法、商品或者设备中还存在另外的相同要素。
本领域技术人员应明白,本发明的实施例可提供为方法、***或计算机程序产品。因此,本发明可采用完全硬件实施例、完全软件实施例或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
以上显示和描述了本发明的基本原理、主要特征和本发明的优点。本行业的技术人员应该了解,本发明不受上述实施例的限制,上述实施例和说明书中描述的只是说明本发明的原理,在不脱离本发明精神和范围的前提下,本发明还会有各种变化和改进,这些变化和改进都落入要求保护的本发明范围内。本发明要求保护范围由所附的权利要求书及其等效物界定。
Claims (10)
1.基于可信计算的勒索病毒防御方法,其特征在于,包括:
自动获取网络中的流量信息,判断各种网络资产之间的业务数据流量关系;
根据可信访问列表,建立访问控制策略,并将网络中的逻辑网络隔离开来,重新划分网络区域,对网络内部形成微观隔离区;
虚拟化相应的虚拟IP和端口,形成对应的蜜罐组,并与网络中的实际主机混合;当蜜罐访问次数超过设定次数时,将该IP视为不可信对象进行拦截。
2.根据权利要求1所述的勒索病毒防御方法,其特征在于,所述勒索病毒防御方法在对网络东西方流量自学习后,通过策略计算绘制出完整的业务流模型图。
3.根据权利要求1所述的勒索病毒防御方法,其特征在于,所述勒索病毒防御方法还通过对网络东西方流量自学习,将根据识别策略列出相应的接入源和目标IP、端口号和数据流。
4.基于可信计算的勒索病毒防御***,其特征在于,包括:数据池、安全可视化和策略交互单元、展示层和操作层组;
所述数据池导入自动获取的网络中的流量数据信息;
所述安全可视化和策略交互单元自动监控网络中的流量,通过自主学习判断各种网络资产之间的业务数据流量关系,根据可信访问列表,建立对应的可信访问控制策略;同时针对网络资产进行逻辑网络隔离形成对应的微观隔离区;所述安全可视化和策略交互单元还虚拟化对应的虚拟IP和端口,形成大量的蜜罐,并与网络中的实际主机混合;
所述展示层用于显示漏洞、恶意软件、业务关系和勒索病毒;
所述操作层用于控制微观隔离、蜜罐和处置模块,并通过微观隔离和蜜罐控制业务可信访问控制和调整可信访问关系,通过处理模块阻断发现的勒索病毒。
5.根据权利要求4所述的勒索病毒防御***,其特征在于,所述安全可视化和策略交互单元中可在整个网络中创建可信访问模板,并基于可信访问模板来调整可信访问控制策略,并根据需要划分微观隔离区。
6.根据权利要求4所述的勒索病毒防御***,其特征在于,所述安全可视化和策略交互单元还通过对网络东西方流量自学习,对信息进行汇总,然后通过策略计算绘制出完整的业务流模型图。
7.一种计算机可读存储介质,其上存储有程序,其特征在于,所述程序被处理器执行时实现权利要求1-3中任一项所述勒索病毒防御方法的步骤。
8.一种处理器,所述处理器用于运行程序,其特征在于,所述程序运行时执行权利要求1-3中任一项所述勒索病毒防御方法的步骤。
9.一种终端设备,设备包括处理器、存储器及存储在存储器上并可在处理器上运行的程序,其特征在于,所述程序代码由所述处理器加载并执行以实现权利要求1-3中任一项所述勒索病毒防御方法的步骤。
10.一种计算机程序产品,其特征在于,当在数据处理设备上执行时,适于执行权利要求1-3中任一项所述勒索病毒防御方法的步骤。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110968832.2A CN113660282A (zh) | 2021-08-23 | 2021-08-23 | 一种基于可信计算的勒索病毒防御方法、***及相关设备 |
| PCT/CN2021/115509 WO2023024125A1 (zh) | 2021-08-23 | 2021-08-31 | 一种基于可信计算的勒索病毒防御方法、***及相关设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110968832.2A CN113660282A (zh) | 2021-08-23 | 2021-08-23 | 一种基于可信计算的勒索病毒防御方法、***及相关设备 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN113660282A true CN113660282A (zh) | 2021-11-16 |
Family
ID=78491993
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110968832.2A Pending CN113660282A (zh) | 2021-08-23 | 2021-08-23 | 一种基于可信计算的勒索病毒防御方法、***及相关设备 |
Country Status (2)
| Country | Link |
|---|---|
| CN (1) | CN113660282A (zh) |
| WO (1) | WO2023024125A1 (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114374535A (zh) * | 2021-12-09 | 2022-04-19 | 北京和利时***工程有限公司 | 一种基于虚拟化技术的控制器网络攻击防御方法与*** |
| CN114615077A (zh) * | 2022-03-30 | 2022-06-10 | 中国农业银行股份有限公司 | 一种基于蜜罐的网络准入控制方法、装置及设备 |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116506208B (zh) * | 2023-05-17 | 2023-12-12 | 河南省电子信息产品质量检验技术研究院 | 一种基于局域网内计算机软件信息安全维护*** |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20190007451A1 (en) * | 2017-06-30 | 2019-01-03 | Stp Ventures, Llc | System and method of automatically collecting and rapidly aggregating global security threat indicators to customer environments |
| CN110071929A (zh) * | 2019-04-28 | 2019-07-30 | 江苏极元信息技术有限公司 | 一种基于虚拟化平台的海量诱饵捕获攻击源的防御方法 |
| CN110099040A (zh) * | 2019-03-01 | 2019-08-06 | 江苏极元信息技术有限公司 | 一种基于大量部署诱饵主机探测拦截内网攻击源的防御方法 |
| CN112398844A (zh) * | 2020-11-10 | 2021-02-23 | 国网浙江省电力有限公司双创中心 | 基于内外网实时引流数据的流量分析实现方法 |
| CN112788023A (zh) * | 2020-12-30 | 2021-05-11 | 成都知道创宇信息技术有限公司 | 基于安全网络的蜜罐管理方法及相关装置 |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP3711261B1 (en) * | 2017-12-27 | 2023-04-12 | Siemens Aktiengesellschaft | Network traffic sending method and apparatus, and hybrid honeypot system |
| CN111277539B (zh) * | 2018-11-16 | 2022-09-02 | 慧盾信息安全科技(苏州)股份有限公司 | 一种服务器勒索病毒防护***和方法 |
| US11882137B2 (en) * | 2019-10-21 | 2024-01-23 | Avast Software, S.R.O. | Network security blacklist derived from honeypot statistics |
| CN112565197A (zh) * | 2020-11-10 | 2021-03-26 | 国网浙江省电力有限公司双创中心 | 基于内外网引流异常第三方交互式蜜罐实现方法 |
-
2021
- 2021-08-23 CN CN202110968832.2A patent/CN113660282A/zh active Pending
- 2021-08-31 WO PCT/CN2021/115509 patent/WO2023024125A1/zh unknown
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20190007451A1 (en) * | 2017-06-30 | 2019-01-03 | Stp Ventures, Llc | System and method of automatically collecting and rapidly aggregating global security threat indicators to customer environments |
| CN110099040A (zh) * | 2019-03-01 | 2019-08-06 | 江苏极元信息技术有限公司 | 一种基于大量部署诱饵主机探测拦截内网攻击源的防御方法 |
| CN110071929A (zh) * | 2019-04-28 | 2019-07-30 | 江苏极元信息技术有限公司 | 一种基于虚拟化平台的海量诱饵捕获攻击源的防御方法 |
| CN112398844A (zh) * | 2020-11-10 | 2021-02-23 | 国网浙江省电力有限公司双创中心 | 基于内外网实时引流数据的流量分析实现方法 |
| CN112788023A (zh) * | 2020-12-30 | 2021-05-11 | 成都知道创宇信息技术有限公司 | 基于安全网络的蜜罐管理方法及相关装置 |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114374535A (zh) * | 2021-12-09 | 2022-04-19 | 北京和利时***工程有限公司 | 一种基于虚拟化技术的控制器网络攻击防御方法与*** |
| CN114374535B (zh) * | 2021-12-09 | 2024-01-23 | 北京和利时***工程有限公司 | 一种基于虚拟化技术的控制器网络攻击防御方法与*** |
| CN114615077A (zh) * | 2022-03-30 | 2022-06-10 | 中国农业银行股份有限公司 | 一种基于蜜罐的网络准入控制方法、装置及设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2023024125A1 (zh) | 2023-03-02 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Tabrizchi et al. | A survey on security challenges in cloud computing: issues, threats, and solutions | |
| Coppolino et al. | Cloud security: Emerging threats and current solutions | |
| US20200389502A1 (en) | Automated Enforcement of Security Policies in Cloud and Hybrid Infrastructure Environments | |
| Mehmood et al. | Intrusion detection system in cloud computing: Challenges and opportunities | |
| CN113660282A (zh) | 一种基于可信计算的勒索病毒防御方法、***及相关设备 | |
| Carlin et al. | Intrusion detection and countermeasure of virtual cloud systems-state of the art and current challenges | |
| US10826933B1 (en) | Technique for verifying exploit/malware at malware detection appliance through correlation with endpoints | |
| CN104104679B (zh) | 一种基于私有云的数据处理方法 | |
| Kumar et al. | A survey on intrusion detection systems for cloud computing environment | |
| CN112398844A (zh) | 基于内外网实时引流数据的流量分析实现方法 | |
| Achbarou et al. | Securing cloud computing from different attacks using intrusion detection systems | |
| Lemoudden et al. | A Survey of Cloud Computing Security Overview of Attack Vectors and Defense Mechanisms. | |
| Chung et al. | Non-intrusive process-based monitoring system to mitigate and prevent VM vulnerability explorations | |
| Mukhopadhyay et al. | Heuristic intrusion detection and prevention system | |
| CN116707980A (zh) | 一种基于零信任的免疫安全防御方法 | |
| Shyam et al. | Achieving Cloud Security Solutions through Machine and Non-Machine Learning Techniques: A Survey. | |
| CN111683063B (zh) | 消息处理方法、***、装置、存储介质及处理器 | |
| CN106598713A (zh) | 虚拟机安全动态迁移的方法及*** | |
| Shyam et al. | Machine vs Non-Machine Learning Approaches to Cloud Security Solutions: A Survey | |
| Stewart | Advanced technologies/tactics techniques, procedures: Closing the attack window, and thresholds for reporting and containment | |
| Patel et al. | An approach to detect and prevent distributed denial of service attacks using blockchain technology in cloud environment | |
| CN110855653A (zh) | 一种私有云的云平台数据处理方法 | |
| Che et al. | Towards secure local area network (LAN) using OPNSENSE firewall | |
| TOUMI et al. | COOPERATIVE TRUST FRAMEWORK BASED ON HY-IDS, FIREWALLS, AND MOBILE AGENTS TO ENHANCE SECURITY IN A CLOUD ENVIRONMENT | |
| Medaram et al. | Malware mitigation in cloud computing architecture |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |