CN115022077A - 网络威胁防护方法、***及计算机可读存储介质 - Google Patents
网络威胁防护方法、***及计算机可读存储介质 Download PDFInfo
- Publication number
- CN115022077A CN115022077A CN202210766493.4A CN202210766493A CN115022077A CN 115022077 A CN115022077 A CN 115022077A CN 202210766493 A CN202210766493 A CN 202210766493A CN 115022077 A CN115022077 A CN 115022077A
- Authority
- CN
- China
- Prior art keywords
- threat
- client
- protection
- access request
- server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1491—Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Storage Device Security (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明实施例提供一种网络威胁防护方法、***及计算机可读存储介质,其中防护服务器用于接收客户端发送的对业务服务器的访问请求;根据威胁情报确定客户端为威胁客户端,且根据防护规则确定威胁客户端的访问请求不满足告警条件时,将访问请求发送至对应的业务服务器;接收业务服务器返回的页面数据,在页面数据中增加溯源脚本并发送给威胁客户端;溯源脚本用于在威胁客户端运行溯源脚本时获取威胁客户端的身份信息并提供给蜜罐;威胁分析端用于向防护服务器提供威胁情报;业务服务器用于接收防护服务器转发的访问请求,根据访问请求向防护服务器返回页面数据;蜜罐用于接收威胁客户端的身份信息,生成蜜罐告警数据上报至威胁分析端。
Description
技术领域
本发明涉及网络安全技术领域,尤指一种网络威胁防护方法、***及计算机可读存储介质。
背景技术
在网络安全领域,为了能够对业务***进行防护,并对遭受的网络攻击进行分析,可以通过蜜罐技术对网络攻击进行诱捕。蜜罐技术是一种对攻击方进行欺骗的技术,通过布置一些作为诱饵的主机、网络服务等,诱使攻击方对它们实施攻击,从而可以对攻击行为进行捕获和分析,了解攻击方所使用的工具与方法,推测攻击意图和动机,以此通过技术和管理手段来增强业务***的安全防护能力。更进一步地,还可以通过对攻击方的身份信息进行溯源,以便于追踪攻击者,对攻击者进行取证。
但是,蜜罐往往与真正的业务***之间存在差异,采用蜜罐直接进行诱捕可能会被攻击者发现差异,从而放弃攻击,导致诱捕失败,无法追踪攻击者的身份。
发明内容
本发明实施例提供一种网络威胁防护方法、***及计算机可读存储介质,用以解决现有技术中设置的蜜罐与真正的业务***之间存在差异而被攻击者发现从而放弃攻击,导致难以追踪攻击者的身份问题。
本发明实施例提供了一种网络威胁防护方法,包括:
威胁分析端确定威胁情报,并通过应用程序接口API向防护服务器下发所述威胁情报;
所述防护服务器接收客户端发送的对业务服务器的访问请求;
所述防护服务器根据所述威胁情报确定所述客户端为威胁客户端,且根据防护规则确定所述威胁客户端的访问请求不满足告警条件时,将所述访问请求发送至所述业务服务器;
所述业务服务器接收通过对应的防护服务器转发的访问请求,根据所述访问请求向所述防护服务器返回与所述访问请求对应的页面数据;
所述防护服务器接收所述业务服务器返回的页面数据,在所述页面数据中增加溯源脚本并发送给所述威胁客户端;其中,所述溯源脚本用于在所述威胁客户端运行所述溯源脚本时获取所述威胁客户端的身份信息并提供给蜜罐;
所述蜜罐接收威胁客户端发送的身份信息,根据所述身份信息生成蜜罐告警数据上报至威胁分析端。
可选地,所述方法还包括:
所述防护服务器根据所述防护规则确定所述客户端的访问请求满足告警条件时,确定所述客户端为恶意客户端并将所述访问请求重定向至所述蜜罐;
所述蜜罐与所述恶意客户端进行交互,并根据所述恶意客户端对所述蜜罐的攻击行为生成蜜罐告警数据上报至威胁分析端。
或者,可选地,所述方法还包括:
所述防护服务器根据所述防护规则确定所述客户端的访问请求满足告警条件时,确定所述客户端为恶意客户端并丢弃所述访问请求。
可选地,所述防护服务器在所述页面数据中增加溯源脚本,包括:
所述防护服务器将所述溯源脚本的部分代码使用密钥进行加密后,在所述页面数据中增加包含所述密钥的溯源脚本;
和/或,所述防护服务器将所述溯源脚本进行混淆处理后,在所述页面数据中增加溯源脚本。
可选地,所述防护服务器通过如下方式确定客户端是否为威胁客户端:
所述防护服务器判断客户端是否属于威胁情报中的威胁客户端名单中的设备,若是则确定所述客户端为威胁客户端;否则确定所述客户端不为威胁客户端;
所述防护服务器通过下列方式判断访问请求是否满足告警条件:
所述防护服务器判断所述访问请求中是否包含所述防护规则包括的至少一种攻击行为,若是,则确定所述访问请求满足告警条件;否则确定所述访问请求不满足告警条件。
可选地,所述威胁客户端的身份信息包括如下至少一种:
所述威胁客户端的用户身份识别模块SIM卡信息;
所述威胁客户端的相关终端的SIM卡信息;
所述威胁客户端的历史账号信息;
所述威胁客户端的硬件信息;
所述威胁客户端的软件信息;
所述威胁客户端的键盘记录;
其中,所述威胁客户端的SIM卡信息和所述威胁客户端的相关终端的SIM卡信息是在所述威胁客户端运行所述溯源脚本时通过网关预登陆技术和/或SIM卡识别技术获取的;所述威胁客户端的历史账号信息是在所述威胁客户端运行所述溯源脚本时通过跨域信息访问jsonp技术获取的。
可选地,所述防护服务器根据所述防护规则确定所述客户端的访问请求满足告警条件之前,所述方法还包括:
所述威胁分析端确定防护规则,并通过应用程序接口API向防护服务器下发所述防护规则。
可选地,所述防护服务器根据所述防护规则确定所述客户端的访问请求满足告警条件之后,所述方法还包括:
所述防护服务器根据所述恶意客户端的攻击行为生成防护服务器告警数据并上报至威胁分析端。
可选地,威胁分析端确定威胁情报,包括:
所述威胁分析端获取告警数据并根据妥协指标IOC对所述告警数据进行聚合,生成所述威胁情报;
所述威胁分析端确定防护规则,包括:
所述威胁分析端获取告警数据并根据妥协指标IOC对所述告警数据进行聚合,生成所述防护规则;
其中,所述告警数据包括如下至少一种数据:
所述蜜罐告警数据;
所述防护服务器告警数据;
互联网中的公网告警数据;
本地的威胁情报数据。
基于同一发明构思,本发明实施例还提供了一种网络威胁防护***,包括至少一个防护服务器、至少一个业务服务器、至少一个蜜罐、威胁分析端;
所述防护服务器,用于接收客户端发送的对业务服务器的访问请求;根据威胁分析端提供的威胁情报确定所述客户端为威胁客户端,且根据防护规则确定所述威胁客户端的访问请求不满足告警条件时,将所述访问请求发送至对应的业务服务器;接收所述业务服务器返回的页面数据,在所述页面数据中增加溯源脚本并发送给所述威胁客户端;其中,所述溯源脚本用于在所述威胁客户端运行所述溯源脚本时获取所述威胁客户端的身份信息并提供给蜜罐;
所述威胁分析端,用于确定威胁情报,并通过应用程序接口API向所述防护服务器提供威胁情报;
所述业务服务器,用于接收通过对应的防护服务器转发的访问请求,根据所述访问请求向所述防护服务器返回与所述访问请求对应的页面数据;
所述蜜罐,用于接收所述威胁客户端运行所述溯源脚本时发送的所述威胁客户端的身份信息,根据所述身份信息生成蜜罐告警数据上报至所述威胁分析端。
基于同一发明构思,本发明实施例还提供了一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,所述计算机程序被用于实现如第一方面或第二方面或第三方面所述的网络威胁防护方法。
本发明有益效果如下:
本发明实施例提供的网络威胁防护方法、***及计算机可读存储介质,通过直接以真实的业务服务器来引诱存在潜在威胁的威胁客户端,在威胁客户端未触发告警时仍然将真实的业务服务器的页面数据返回给威胁客户端,避免伪装蜜罐始终与真实的业务服务器之间存在差异而可能会被攻击者发现而采取规避措施,并通过在真实的业务服务器的页面数据中增加溯源脚本,能够追踪攻击者的身份,便于进行取证与调查,从而保护业务服务器的网络安全。
附图说明
图1为本发明实施例提供的网络威胁防护***的结构示意图;
图2为本发明实施例提供的网络威胁防护方法的流程图之一;
图3为本发明实施例提供的网络威胁防护方法的流程图之二;
图4为本发明实施例提供的网络威胁防护装置的结构示意图之一;
图5为本发明实施例提供的网络威胁防护装置的结构示意图之一;
图6为本发明实施例提供的网络威胁防护装置的结构示意图之一;
图7为本发明实施例提供的电子设备的结构示意图。
具体实施方式
为使本发明的上述目的、特征和优点能够更为明显易懂,下面将结合附图和实施例对本发明做进一步说明。然而,示例实施方式能够以多种形式实施,且不应被理解为限于在此阐述的实施方式;相反,提供这些实施方式使得本发明更全面和完整,并将示例实施方式的构思全面地传达给本领域的技术人员。在图中相同的附图标记表示相同或类似的结构,因而将省略对它们的重复描述。本发明中所描述的表达位置与方向的词,均是以附图为例进行的说明,但根据需要也可以做出改变,所做改变均包含在本发明保护范围内。本发明的附图仅用于示意相对位置关系不代表真实比例。
需要说明的是,在以下描述中阐述了具体细节以便于充分理解本发明。但是本发明能够以多种不同于在此描述的其它方式来实施,本领域技术人员可以在不违背本发明内涵的情况下做类似推广。因此本发明不受下面公开的具体实施方式的限制。说明书后续描述为实施本申请的较佳实施方式,然所述描述乃以说明本申请的一般原则为目的,并非用以限定本申请的范围。本申请的保护范围当视所附权利要求所界定者为准。
下面结合附图,对本发明实施例提供的网络威胁防护方法、***及计算机可读存储介质进行具体说明。
第一方面,本发明实施例提供了一种网络威胁防护***,如图1所示,包括至少一个防护服务器S1、至少一个业务服务器S2、至少一个蜜罐S3、威胁分析端S4。
在具体实施过程中,所述防护服务器可以为网页应用防护***(Web ApplicationFirewall,WAF)、入侵防御***(Intrusion Prevention System,IPS)等设备,在此不做限定。
所述蜜罐可以为在云端防护平台部署的云端蜜罐,也可以出于数据私有化的目的在本地服务器进行部署的本地蜜罐,在此不做限定。
所述威胁分析端可以包括由IPS、威胁分析***(Threat Analysis Center,TAC)、终端检测响应(Endpoint Detection and Response,EDR)、统一威胁探针(Unified ThreatSensor,UTS)中至少一个设备组成。
下面以某个客户端向所述业务服务器进行一次页面访问的情况为例具体介绍所述网络威胁防护***的工作流程。如图2所示,包括:
S101、威胁分析端确定威胁情报,并通过应用程序接口(ApplicationProgramming Interface,API)向防护服务器下发所述威胁情报。
在具体实施过程中,为了保证防护服务器对威胁客户端的监控的实时性与对恶意客户端的攻击行为的及时响应,可以较高的频率定期向防护服务器下发威胁情报(例如每5分钟下发一次威胁情报),使防护服务器始终以最新的威胁情报处置攻击。
S110、所述防护服务器接收客户端发送的对业务服务器的访问请求。
S120、所述防护服务器根据威胁分析端提供的威胁情报判断所述客户端是否为威胁客户端。
S130、所述防护服务器根据防护规则判断所述客户端的访问请求是否满足告警条件。
在具体实施过程中,所述步骤S130可以由防护服务器的语义分析引擎实现。
若所述步骤S130的结果为否,执行步骤S140。
S140、所述防护服务器将所述访问请求发送至所述业务服务器。
S150、所述业务服务器接收通过对应的防护服务器转发的访问请求,根据所述访问请求向所述防护服务器返回与所述访问请求对应的页面数据。
S160、所述防护服务器接收所述业务服务器返回的页面数据。若所述步骤S120的结果为是,执行步骤S170。
S170、所述防护服务器在所述页面数据中增加溯源脚本并发送给所述威胁客户端。
其中,所述溯源脚本用于在所述威胁客户端运行所述溯源脚本时获取所述威胁客户端的身份信息并提供给蜜罐。
在具体实施过程中,为了防止被攻击者发现异常,所述溯源脚本对所述页面数据的显示没有任何影响,仅用于在后台获取所述威胁客户端的身份信息。例如,防护服务器在页面数据中以如下方式***添加溯源脚本:“<script src="https://**.**.**.**/mod.min.js"></script>”。
S180、所述蜜罐接收威胁客户端发送的身份信息,根据所述身份信息生成蜜罐告警数据上报至所述威胁分析端。
这样,通过直接以真实的业务服务器来引诱存在潜在威胁的威胁客户端,在威胁客户端未触发告警时仍然将真实的业务服务器的页面数据返回给威胁客户端,避免伪装蜜罐始终与真实的业务服务器之间存在差异而可能会被攻击者发现而采取规避措施,并通过在真实的业务服务器的页面数据中增加溯源脚本,能够追踪攻击者的身份,便于进行取证与调查,从而保护业务服务器的网络安全。
在具体实施过程中,通过下列方式判断访问请求是否满足告警条件:
判断所述访问请求中是否包含所述防护规则包括的至少一种攻击行为,若是,则确定所述访问请求满足告警条件;否则确定所述访问请求不满足告警条件。
所述威胁情报包括威胁客户端名单。
即通过下列方式判断客户端是否为威胁客户端:
判断客户端是否属于威胁情报中的威胁客户端名单中的设备,若是,则确定所述客户端为威胁客户端;否则确定所述客户端不为威胁客户端。
在具体实施过程中,所述威胁客户端名单可以为威胁客户端的网际互连协议(Internet Protocol,IP)地址名单、威胁客户端的媒体访问控制(Media Access ControlAddress,MAC)地址名单、威胁客户端的传输层安全协议(Transport Layer Security,TLS)指纹等,在此不作限定。
作为一种可选的实施方式,如图2所示,所述方法还包括:
若所述步骤S130的结果为是,所述防护服务器确定当前客户端为发起攻击行为的恶意客户端,执行步骤S201。
S201、所述防护服务器将所述访问请求重定向至蜜罐。
S210、所述蜜罐与所述恶意客户端进行交互,并根据所述恶意客户端对所述蜜罐的攻击行为生成蜜罐告警数据上报至威胁分析端。
在具体是实施过程中,根据所述恶意客户端对所述蜜罐的攻击行为生成蜜罐告警数据可以包括恶意客户端的身份信息、攻击行为的有效负载payload或者攻击行为的触发路径等,在此不作限定。
这样,将恶意客户端的攻击行为从真正的业务服务器引开,以保护业务服务器的网络安全和正常的业务不受影响;同时为蜜罐进行引流,使蜜罐能够获得大量的攻击访问,能够更加有效地对攻击者进行分析。
作为另一种可选的实施方式,如图3所示,所述方法还包括:
若所述步骤S130的结果为是,执行步骤S202。
S202、所述防护服务器丢弃所述访问请求。
这样,通过直接阻断恶意客户端的访问请求,能够保护业务服务器的网络安全。
而对于正常的客户端,那么其既不是在威胁情报中有记录的威胁客户端,也不是在对业务服务器的访问过程中发起攻击的恶意客户端,那么防护服务器对于业务服务器返回的页面数据不做处理直接进行转发即可。即若所述步骤S120的结果为否,所述步骤S160之后执行步骤S220。
S220、所述防护服务器将所述页面数据发送给所述客户端。
可选地,若所述步骤S130的结果为是,所述防护服务器确定当前客户端为发起攻击行为的恶意客户端之后,在执行所述步骤S201/S202之前,所述方法还包括:
S190、所述防护服务器根据恶意客户端的攻击行为生成防护服务器告警数据并上报至威胁分析端。
可选地,所述防护服务器在所述页面数据中增加溯源脚本,包括如下至少一种方式:
(1)所述防护服务器将所述溯源脚本的部分代码使用密钥进行加密后,在所述页面数据中增加包含所述密钥的溯源脚本。
在具体实施过程中,通过对溯源脚本的至少部分代码进行对称加密,以避免攻击者能够直接阅读到有意义的脚本代码,从而发现溯源代码的工作原理。恶意客户端接收到包含密钥的溯源脚本后,溯源脚本运行时使用密钥对加密过的代码进行解密运行。
(2)所述防护服务器将所述溯源脚本进行混淆处理后,在所述页面数据中增加溯源脚本。
在具体实施过程中,混淆处理包括:
①将溯源脚本中的各种元素(例如变量、函数、类)的名字改写成无意义的名字。比如将变量的名称改写成单个字母,或是简短的无意义字母组合,甚至改写成符号组合,使得阅读的人无法根据名字猜测其用途。
②重写溯源脚本代码中的部分逻辑,将其变成功能上等价,但是更难理解的形式。比如将for循环改写成while循环,将循环改写成递归,精简中间变量等。
③打乱代码的格式。比如删除空格,将多行代码挤到一行中,或者将一行代码断成多行等等。
这样,通过对溯源脚本进行加密和/或混淆处理,能够降低攻击者发现溯源脚本的工作原理的可能性,提高对攻击者的身份进行溯源的成功率。如果对溯源脚本进行加密和混淆处理两项操作,将大幅提高攻击者发现溯源脚本的工作原理的可能性。
可选地,所述威胁客户端的身份信息包括如下至少一种:
(1)所述威胁客户端的用户身份识别模块(Subscriber Identity Module,SIM)卡信息。
(2)所述威胁客户端的相关终端的SIM卡信息。
其中,所述威胁客户端的SIM卡信息和所述威胁客户端的相关终端的SIM卡信息是在所述威胁客户端运行所述溯源脚本时通过网关预登陆技术和/或SIM卡识别技术获取的。
在具体实施过程中,所述威胁客户端可能为不使用蜂窝移动网络技术连接至互联网的设备(例如台式电脑等),那么所述威胁客户端的相关设备可以为与所述威胁客户端连接在同一无线局域网(Wireless Local Area Network,WLAN)的移动终端(例如手机等),通过所述威胁客户端的相关终端来反推出操作威胁客户端的攻击者的身份。
(3)所述威胁客户端的历史账号信息。其中,所述威胁客户端的历史账号信息是在所述威胁客户端运行所述溯源脚本时通过跨域访问(json with padding,jsonp)技术获取的。
由于攻击者通常并不会直接使用自身IP地址发起攻击,在进行攻击时为了防止被追溯通常会设置了多层代理,这导致直接利用获取的威胁客户端的IP地址不能反应攻击者的真实地理位置。但如果能够获取曾经在所述威胁客户端上登陆过的账号信息,尤其是社交账号信息,将能够确定攻击者较为精准的身份信息。
(4)所述威胁客户端的硬件信息。
例如,所述威胁客户端的显示器的尺寸、威胁客户端的生产厂商、威胁客户端的中央处理器(Central Processing Unit,CPU)型号、威胁客户端的图形处理器(GraphicsProcessing Unit,GPU)型号等。
(5)所述威胁客户端的软件信息。
例如,所述威胁客户端的操作***信息、所述威胁客户端的浏览器信息、威胁客户端使用的语言等。
(6)所述威胁客户端的键盘记录。
对于所述威胁防护***而言,防护服务器的所述防护规则可以本地配置,也可以由威胁分析端不断进行更新并提供给防护服务器进行配置。
那么作为一种可选的实施方式,所述防护服务器根据所述防护规则确定所述客户端的访问请求满足告警条件之前,所述方法还包括:
S102、所述威胁分析端确定防护规则,并通过应用程序接口API向防护服务器下发所述防护规则。
具体地,所述步骤S101、威胁分析端确定威胁情报,具体包括:
所述威胁分析端获取告警数据并根据妥协指标(Indicators of Compromise,IOC)对所述告警数据进行聚合,生成所述威胁情报。
所述步骤S102、所述威胁分析端确定防护规则,具体包括:
所述威胁分析端获取告警数据并根据妥协指标IOC对所述告警数据进行聚合,生成所述防护规则。
在具体实施过程中,所述步骤S101与所述步骤S102可以同时执行,根据告警数据同时得到威胁情报和防护规则,并同时向防护服务器下发。
那么,所述步骤S101和所述步骤S102中涉及的所述告警数据包括如下至少一种数据:
①蜜罐上报的蜜罐告警数据。
②防护服务器上报的防护服务器告警数据。
③互联网中的公网告警数据。
例如,从互联网中的威胁情报共享平台获取公网告警数据。
④本地的威胁情报数据。
在具体实施过程中,根据IOC对所述告警数据进行聚合的过程,具体可以首先对告警数据中的各攻击事件进行语义分析,基于战术、技术、过程(Tactics,Techniques,andProcedures,TTPs)进行攻击手法拆解,根据攻击的有效负载或触发路径进行分析后,提取出恶意客户端的IP地址、恶意客户端用户代理(User Agent,UA)、统一资源标识符(UniformResource Identifier,URI)、访问请求中的Cookies和攻击的payload等IOC指标,与历史的威胁情报进行相似度分析并对相似的攻击事件关联,最终将IOC具有关联的多个告警数据聚合为同一种攻击行为。更进一步地,还可以对威胁情报按照恶意客户端的IP地址类型进行分类(例如将威胁情报按照虚拟专用服务器(Virtual Private Server,VPS)IP、境外IP、商用专线IP进行分类),以便于防护服务器自主设置防护规则。
第二方面,本发明实施例还提供了一种网络威胁防护方法。由于所述网络威胁防护方法实施方式即为所述第一方面中涉及的网络威胁防护***的工作流程,故可以参见上文对应内容实施,此处不再赘述。
第三方面,基于同一发明构思,如图4所示,本发明实施例还提供了一种网络威胁防护装置,包括:
请求接收模块M101,用于接收客户端发送的对业务服务器的访问请求;
威胁客户端判断模块M102,用于根据威胁分析端提供的威胁情报确定所述客户端为威胁客户端,且根据防护规则确定所述威胁客户端的访问请求不满足告警条件时,将所述访问请求发送至所述业务服务器;其中所述威胁情报威胁分析端通过API向所述网络威胁防护装置下发;
溯源模块M103,用于接收所述业务服务器返回的页面数据,在所述页面数据中增加溯源脚本并发送给所述威胁客户端;其中,所述溯源脚本用于在所述威胁客户端运行所述溯源脚本时获取所述威胁客户端的身份信息并提供给蜜罐。
可选地,所述网络威胁防护装置还包括:
防护模块M104,用于根据所述防护规则确定所述客户端的访问请求满足告警条件时,确定所述客户端为恶意客户端并将所述访问请求重定向至所述蜜罐以使所述客户端与所述蜜罐进行交互;或者,丢弃所述访问请求。
可选地,在所述页面数据中增加溯源脚本,包括:
将所述溯源脚本的部分代码使用密钥进行加密后,在所述页面数据中增加包含所述密钥的溯源脚本;
和/或,将所述溯源脚本进行混淆处理后,在所述页面数据中增加溯源脚本。
可选地,通过如下方式确定客户端是否为威胁客户端:
判断客户端是否属于威胁情报中的威胁客户端名单中的设备,若是则确定所述客户端为威胁客户端;否则确定所述客户端不为威胁客户端;
通过下列方式判断访问请求是否满足告警条件:
判断所述访问请求中是否包含所述防护规则包括的至少一种攻击行为,若是,则确定所述访问请求满足告警条件;否则确定所述访问请求不满足告警条件。
可选地,所述威胁客户端的身份信息包括如下至少一种:
所述威胁客户端的用户身份识别模块SIM卡信息;
所述威胁客户端的相关终端的SIM卡信息;
所述威胁客户端的历史账号信息;
所述威胁客户端的硬件信息;
所述威胁客户端的软件信息;
所述威胁客户端的键盘记录;
其中,所述威胁客户端的SIM卡信息和所述威胁客户端的相关终端的SIM卡信息是在所述威胁客户端运行所述溯源脚本时通过网关预登陆技术和/或SIM卡识别技术获取的;所述威胁客户端的历史账号信息是在所述威胁客户端运行所述溯源脚本时通过跨域信息访问jsonp技术获取的。
可选地,所述防护规则是所述威胁分析端通过应用程序接口API向防护服务器下发的规则。
可选地,所述网络威胁防护装置还包括:
上报模块M105,用于根据所述恶意客户端的攻击行为生成防护服务器告警数据并上报至威胁分析端。
可选地,所述威胁情报是所述威胁分析端获取告警数据并根据妥协指标IOC对所述告警数据进行聚合生成的情报;
所述防护规则是所述威胁分析端获取告警数据并根据妥协指标IOC对所述告警数据进行聚合生成的规则;
其中,所述告警数据包括如下至少一种数据:
所述蜜罐告警数据;
所述防护服务器告警数据;
互联网中的公网告警数据;
本地的威胁情报数据。
第四方面,基于同一发明构思,如图5所示,本发明实施例还提供了一种网络威胁防护装置,包括:
身份信息接收模块M201,用于接收威胁客户端发送的身份信息;
溯源上报模块M202,用于根据所述身份信息生成蜜罐告警数据上报至威胁分析端;
其中,所述身份信息是所述威胁客户端执行溯源脚本后发送的,所述溯源脚本是防护服务器发送给所述威胁客户端的页面数据中添加的,所述页面数据是业务服务器响应于所述防护服务器发送的访问请求返回给所述防护服务器的数据,所述访问请求是所述威胁客户端发送给所述防护服务器后由所述防护服务器转发给所述业务服务器的请求。
可选地,所述网络威胁防护装置还包括:
诱捕模块M203,用于与恶意客户端进行交互,并根据所述恶意客户端对所述蜜罐的攻击行为生成蜜罐告警数据上报至威胁分析端;
其中,所述恶意客户端是对所述业务服务器的访问请求被重定向至所述蜜罐的客户端,所述访问请求在所述防护服务器确定所述客户端的访问请求满足告警条件时被重定向至所述蜜罐。
可选地,所述威胁客户端的身份信息包括如下至少一种:
所述威胁客户端的用户身份识别模块SIM卡信息;
所述威胁客户端的相关终端的SIM卡信息;
所述威胁客户端的历史账号信息;
所述威胁客户端的硬件信息;
所述威胁客户端的软件信息;
所述威胁客户端的键盘记录;
其中,所述威胁客户端的SIM卡信息和所述威胁客户端的相关终端的SIM卡信息是在所述威胁客户端运行所述溯源脚本时通过网关预登陆技术和/或SIM卡识别技术获取的;所述威胁客户端的历史账号信息是在所述威胁客户端运行所述溯源脚本时通过跨域信息访问jsonp技术获取的。
第五方面,基于同一发明构思,如图6所示,本发明实施例还提供了一种网络威胁防护装置,包括:
情报获取模块M301,用于确定威胁情报;
情报下发模块M302,用于通过应用程序接口API向防护服务器下发威胁情报,以使所述防护服务器根据所述威胁情报确定向业务服务器发送访问请求的客户端为威胁客户端,并根据防护规则确定所述威胁客户端的访问请求不满足告警条件时在所述业务服务器返回的页面数据中增加溯源脚本后发送给所述威胁客户端;
告警数据接收模块M303,用于接收蜜罐上报的蜜罐告警数据;
其中,所述溯源脚本用于在所述威胁客户端运行所述溯源脚本时获取所述威胁客户端的身份信息并提供给所述蜜罐。
可选地,所述网络威胁防护装置还包括:
规则获取模块M304,用于确定防护规则;
规则下发模块M305,用于通过应用程序接口API向所述防护服务器下发所述防护规则。
可选地,所述告警数据接收模块M303还用于:
接收所述防护服务器上报的防护服务器告警数据。可选地,所述情报获取模块M301具体用于:
获取告警数据并根据妥协指标IOC对所述告警数据进行聚合,生成所述威胁情报;
所述规则获取模块M304具体用于:
获取告警数据并根据妥协指标IOC对所述告警数据进行聚合,生成所述防护规则;
其中,所述告警数据包括如下至少一种数据:
蜜罐上报的蜜罐告警数据;
防护服务器上报的防护服务器告警数据;
互联网中的公网告警数据;
本地的威胁情报数据。
在本申请所提供的实施例中,应该理解到,以上所描述的装置实施例仅仅是示意性的,例如,所述模块的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个模块或组件可以结合或者可以集成到另一个***,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或模块的间接耦合或通信连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的模块可以是或者也可以不是物理上分开的,作为模块显示的部件可以是或者也可以不是物理模块,即可以位于一个地方,或者也可以分布到多个网络模块上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。
另外,在本申请各个实施例中的各功能模块可以集成在一个处理模块中,也可以是各个模块单独物理存在,也可以两个或两个以上模块集成在一个模块中。上述集成的模块既可以采用硬件的形式实现,也可以采用软件功能模块的形式实现。所述集成的模块如果以软件功能模块的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读存储介质中。
由于第五方面至第七方面所提供的网络威胁防护装置的工作原理分别与上文第一方面至第三方面所述的网络威胁防护方法的工作原理基本一致,故可以分别参见对应方法的实施方式,此处不再赘述。
第六方面,基于同一发明构思,本发明实施例还提供了一种电子设备,如图7所示,包括:处理器110和用于存储所述处理器110可执行指令的存储器120;其中,所述处理器110被配置为执行所述指令,以实现如第二方面所述的网络威胁防护方法。
在具体实施过程中,所述设备可因配置或性能不同而产生比较大的差异,可以包括一个或一个以上处理器110、存储器120、计算机可读存储介质130,所述存储器120和/或计算机可读存储介质130中包括一个或一个以上应用程序131或数据132。所述存储器120和/或计算机可读存储介质130中还可以包括一个或一个以上操作***133,例如Windows、Mac OS、Linux、IOS、Android、Unix、FreeBSD等。其中,存储器120和计算机可读存储介质130可以是短暂存储或持久存储。所述应用程序131可以包括一个或一个以上所述模块(图7中未示出),每个模块可以包括一系列指令操作。更进一步地,处理器110可以设置为与计算机可读存储介质130通信,在所述设备上执行计算机可读存储介质130中的一系列指令操作。所述设备还可以包括一个或一个以上电源(图7中未示出);一个或一个以上网络接口140,所述网络接口140包括有线网络接口141和/或无线网络接口142;一个或一个以上输入/输出接口143。
第七方面,基于同一发明构思,本发明实施例还提供了一种计算机存储介质,所述计算机存储介质存储有计算机程序,所述计算机程序被用于实现如第二方面所述的网络威胁防护方法。
本发明实施例提供一种网络威胁防护方法、***及计算机可读存储介质,通过直接以真实的业务服务器来引诱存在潜在威胁的威胁客户端,在威胁客户端未触发告警时仍然将真实的业务服务器的页面数据返回给威胁客户端,避免伪装蜜罐始终与真实的业务服务器之间存在差异而可能会被攻击者发现而采取规避措施,并通过在真实的业务服务器的页面数据中增加溯源脚本,能够追踪攻击者的身份,便于进行取证与调查,从而保护业务服务器的网络安全。
本领域内的技术人员应明白,本申请的实施例可提供为方法、***、或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本申请是参照根据本申请的方法、设备(***)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
显然,本领域的技术人员可以对本申请进行各种改动和变型而不脱离本申请的精神和范围。这样,倘若本申请的这些修改和变型属于本申请权利要求及其等同技术的范围之内,则本申请也意图包含这些改动和变型在内。
Claims (10)
1.一种网络威胁防护方法,其特征在于,包括:
威胁分析端确定威胁情报,并通过应用程序接口API向防护服务器下发所述威胁情报;
所述防护服务器接收客户端发送的对业务服务器的访问请求;
所述防护服务器根据所述威胁情报确定所述客户端为威胁客户端,且根据防护规则确定所述威胁客户端的访问请求不满足告警条件时,将所述访问请求发送至所述业务服务器;
所述业务服务器接收通过对应的防护服务器转发的访问请求,根据所述访问请求向所述防护服务器返回与所述访问请求对应的页面数据;
所述防护服务器接收所述业务服务器返回的页面数据,在所述页面数据中增加溯源脚本并发送给所述威胁客户端;其中,所述溯源脚本用于在所述威胁客户端运行所述溯源脚本时获取所述威胁客户端的身份信息并提供给蜜罐;
所述蜜罐接收威胁客户端发送的身份信息,根据所述身份信息生成蜜罐告警数据上报至威胁分析端。
2.如权利要求1所述的方法,其特征在于,还包括:
所述防护服务器根据所述防护规则确定所述客户端的访问请求满足告警条件时,确定所述客户端为恶意客户端并将所述访问请求重定向至所述蜜罐;
所述蜜罐与所述恶意客户端进行交互,并根据所述恶意客户端对所述蜜罐的攻击行为生成蜜罐告警数据上报至威胁分析端;
或者,
所述防护服务器根据所述防护规则确定所述客户端的访问请求满足告警条件时,确定所述客户端为恶意客户端并丢弃所述访问请求。
3.如权利要求1所述的方法,其特征在于,所述防护服务器在所述页面数据中增加溯源脚本,包括:
所述防护服务器将所述溯源脚本的部分代码使用密钥进行加密后,在所述页面数据中增加包含所述密钥的溯源脚本;
和/或,所述防护服务器将所述溯源脚本进行混淆处理后,在所述页面数据中增加溯源脚本。
4.如权利要求2所述的方法,其特征在于,所述防护服务器通过如下方式确定客户端是否为威胁客户端:
所述防护服务器判断客户端是否属于威胁情报中的威胁客户端名单中的设备,若是则确定所述客户端为威胁客户端;否则确定所述客户端不为威胁客户端;
所述防护服务器通过下列方式判断访问请求是否满足告警条件:
所述防护服务器判断所述访问请求中是否包含所述防护规则包括的至少一种攻击行为,若是,则确定所述访问请求满足告警条件;否则确定所述访问请求不满足告警条件。
5.如权利要求1所述的方法,其特征在于,所述威胁客户端的身份信息包括如下至少一种:
所述威胁客户端的用户身份识别模块SIM卡信息;
所述威胁客户端的相关终端的SIM卡信息;
所述威胁客户端的历史账号信息;
所述威胁客户端的硬件信息;
所述威胁客户端的软件信息;
所述威胁客户端的键盘记录;
其中,所述威胁客户端的SIM卡信息和所述威胁客户端的相关终端的SIM卡信息是在所述威胁客户端运行所述溯源脚本时通过网关预登陆技术和/或SIM卡识别技术获取的;所述威胁客户端的历史账号信息是在所述威胁客户端运行所述溯源脚本时通过跨域信息访问jsonp技术获取的。
6.如权利要求2所述的方法,其特征在于,所述防护服务器根据所述防护规则确定所述客户端的访问请求满足告警条件之前,所述方法还包括:
所述威胁分析端确定防护规则,并通过应用程序接口API向防护服务器下发所述防护规则。
7.如权利要求6所述的方法,其特征在于,所述防护服务器根据所述防护规则确定所述客户端的访问请求满足告警条件之后,所述方法还包括:
所述防护服务器根据所述恶意客户端的攻击行为生成防护服务器告警数据并上报至威胁分析端。
8.如权利要求7所述的方法,其特征在于,威胁分析端确定威胁情报,包括:
所述威胁分析端获取告警数据并根据妥协指标IOC对所述告警数据进行聚合,生成所述威胁情报;
所述威胁分析端确定防护规则,包括:
所述威胁分析端获取告警数据并根据妥协指标IOC对所述告警数据进行聚合,生成所述防护规则;
其中,所述告警数据包括如下至少一种数据:
所述蜜罐告警数据;
所述防护服务器告警数据;
互联网中的公网告警数据;
本地的威胁情报数据。
9.一种网络威胁防护***,其特征在于,包括至少一个防护服务器、至少一个业务服务器、至少一个蜜罐、威胁分析端;
所述防护服务器,用于接收客户端发送的对业务服务器的访问请求;根据威胁分析端提供的威胁情报确定所述客户端为威胁客户端,且根据防护规则确定所述威胁客户端的访问请求不满足告警条件时,将所述访问请求发送至对应的业务服务器;接收所述业务服务器返回的页面数据,在所述页面数据中增加溯源脚本并发送给所述威胁客户端;其中,所述溯源脚本用于在所述威胁客户端运行所述溯源脚本时获取所述威胁客户端的身份信息并提供给蜜罐;
所述威胁分析端,用于确定威胁情报,并通过应用程序接口API向所述防护服务器提供威胁情报;
所述业务服务器,用于接收通过对应的防护服务器转发的访问请求,根据所述访问请求向所述防护服务器返回与所述访问请求对应的页面数据;
所述蜜罐,用于接收所述威胁客户端运行所述溯源脚本时发送的所述威胁客户端的身份信息,根据所述身份信息生成蜜罐告警数据上报至所述威胁分析端。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有计算机程序,所述计算机程序被用于实现如权利要求1-8任一项所述的网络威胁防护方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210766493.4A CN115022077B (zh) | 2022-06-30 | 2022-06-30 | 网络威胁防护方法、***及计算机可读存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210766493.4A CN115022077B (zh) | 2022-06-30 | 2022-06-30 | 网络威胁防护方法、***及计算机可读存储介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN115022077A true CN115022077A (zh) | 2022-09-06 |
CN115022077B CN115022077B (zh) | 2023-05-16 |
Family
ID=83079342
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202210766493.4A Active CN115022077B (zh) | 2022-06-30 | 2022-06-30 | 网络威胁防护方法、***及计算机可读存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN115022077B (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN115720171A (zh) * | 2022-11-30 | 2023-02-28 | 国网山东省电力公司信息通信公司 | 一种安全智能网关***、数据传输方法 |
Citations (18)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101087196A (zh) * | 2006-12-27 | 2007-12-12 | 北京大学 | 多层次蜜网数据传输方法及*** |
CN104980423A (zh) * | 2014-11-26 | 2015-10-14 | 哈尔滨安天科技股份有限公司 | 一种高级可持续威胁诱捕***及方法 |
CN105376210A (zh) * | 2014-12-08 | 2016-03-02 | 哈尔滨安天科技股份有限公司 | 一种账户威胁识别和防御方法及*** |
CN105471883A (zh) * | 2015-12-10 | 2016-04-06 | 中国电子科技集团公司第三十研究所 | 基于web注入的Tor网络溯源***、溯源方法 |
CN105743878A (zh) * | 2014-12-30 | 2016-07-06 | 瞻博网络公司 | 使用蜜罐的动态服务处理 |
US20160337384A1 (en) * | 2015-05-15 | 2016-11-17 | Oracle International Corporation | Threat protection for real-time communications gateways |
CN107360155A (zh) * | 2017-07-10 | 2017-11-17 | 中国科学院信息工程研究所 | 一种基于威胁情报和沙箱技术的网络攻击自动溯源方法和*** |
CN108959572A (zh) * | 2018-07-04 | 2018-12-07 | 北京知道创宇信息技术有限公司 | 一种网络溯源方法、装置、电子设备及存储介质 |
US20190007451A1 (en) * | 2017-06-30 | 2019-01-03 | Stp Ventures, Llc | System and method of automatically collecting and rapidly aggregating global security threat indicators to customer environments |
CN110138770A (zh) * | 2019-05-13 | 2019-08-16 | 四川长虹电器股份有限公司 | 一种基于物联网威胁情报生成和共享***及方法 |
CN111404934A (zh) * | 2020-03-16 | 2020-07-10 | 广州锦行网络科技有限公司 | 基于动静结合方式和蜜标技术的网络攻击溯源方法及*** |
CN111885007A (zh) * | 2020-06-30 | 2020-11-03 | 北京长亭未来科技有限公司 | 信息溯源方法、装置、***及存储介质 |
CN112134837A (zh) * | 2020-08-06 | 2020-12-25 | 瑞数信息技术(上海)有限公司 | Web攻击行为的检测方法和*** |
CN112600822A (zh) * | 2020-12-09 | 2021-04-02 | 国网四川省电力公司信息通信公司 | 一种基于自动化引流工具的网络安全***及方法 |
CN112910907A (zh) * | 2021-02-07 | 2021-06-04 | 深信服科技股份有限公司 | 一种防御方法、装置、客户机、服务器、存储介质及*** |
CN113014597A (zh) * | 2021-03-17 | 2021-06-22 | 恒安嘉新(北京)科技股份公司 | 蜜罐防御*** |
CN113645242A (zh) * | 2021-08-11 | 2021-11-12 | 杭州安恒信息技术股份有限公司 | 一种蜜罐溯源方法、装置及相关设备 |
CN113992444A (zh) * | 2021-12-28 | 2022-01-28 | 中孚安全技术有限公司 | 一种基于主机防御的网络攻击溯源与反制*** |
-
2022
- 2022-06-30 CN CN202210766493.4A patent/CN115022077B/zh active Active
Patent Citations (18)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101087196A (zh) * | 2006-12-27 | 2007-12-12 | 北京大学 | 多层次蜜网数据传输方法及*** |
CN104980423A (zh) * | 2014-11-26 | 2015-10-14 | 哈尔滨安天科技股份有限公司 | 一种高级可持续威胁诱捕***及方法 |
CN105376210A (zh) * | 2014-12-08 | 2016-03-02 | 哈尔滨安天科技股份有限公司 | 一种账户威胁识别和防御方法及*** |
CN105743878A (zh) * | 2014-12-30 | 2016-07-06 | 瞻博网络公司 | 使用蜜罐的动态服务处理 |
US20160337384A1 (en) * | 2015-05-15 | 2016-11-17 | Oracle International Corporation | Threat protection for real-time communications gateways |
CN105471883A (zh) * | 2015-12-10 | 2016-04-06 | 中国电子科技集团公司第三十研究所 | 基于web注入的Tor网络溯源***、溯源方法 |
US20190007451A1 (en) * | 2017-06-30 | 2019-01-03 | Stp Ventures, Llc | System and method of automatically collecting and rapidly aggregating global security threat indicators to customer environments |
CN107360155A (zh) * | 2017-07-10 | 2017-11-17 | 中国科学院信息工程研究所 | 一种基于威胁情报和沙箱技术的网络攻击自动溯源方法和*** |
CN108959572A (zh) * | 2018-07-04 | 2018-12-07 | 北京知道创宇信息技术有限公司 | 一种网络溯源方法、装置、电子设备及存储介质 |
CN110138770A (zh) * | 2019-05-13 | 2019-08-16 | 四川长虹电器股份有限公司 | 一种基于物联网威胁情报生成和共享***及方法 |
CN111404934A (zh) * | 2020-03-16 | 2020-07-10 | 广州锦行网络科技有限公司 | 基于动静结合方式和蜜标技术的网络攻击溯源方法及*** |
CN111885007A (zh) * | 2020-06-30 | 2020-11-03 | 北京长亭未来科技有限公司 | 信息溯源方法、装置、***及存储介质 |
CN112134837A (zh) * | 2020-08-06 | 2020-12-25 | 瑞数信息技术(上海)有限公司 | Web攻击行为的检测方法和*** |
CN112600822A (zh) * | 2020-12-09 | 2021-04-02 | 国网四川省电力公司信息通信公司 | 一种基于自动化引流工具的网络安全***及方法 |
CN112910907A (zh) * | 2021-02-07 | 2021-06-04 | 深信服科技股份有限公司 | 一种防御方法、装置、客户机、服务器、存储介质及*** |
CN113014597A (zh) * | 2021-03-17 | 2021-06-22 | 恒安嘉新(北京)科技股份公司 | 蜜罐防御*** |
CN113645242A (zh) * | 2021-08-11 | 2021-11-12 | 杭州安恒信息技术股份有限公司 | 一种蜜罐溯源方法、装置及相关设备 |
CN113992444A (zh) * | 2021-12-28 | 2022-01-28 | 中孚安全技术有限公司 | 一种基于主机防御的网络攻击溯源与反制*** |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN115720171A (zh) * | 2022-11-30 | 2023-02-28 | 国网山东省电力公司信息通信公司 | 一种安全智能网关***、数据传输方法 |
Also Published As
Publication number | Publication date |
---|---|
CN115022077B (zh) | 2023-05-16 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Cabaj et al. | Using software-defined networking for ransomware mitigation: the case of cryptowall | |
Modi et al. | A survey of intrusion detection techniques in cloud | |
EP2837131B1 (en) | System and method for determining and using local reputations of users and hosts to protect information in a network environment | |
US20160164893A1 (en) | Event management systems | |
KR101554809B1 (ko) | 프로토콜 핑거프린팅 및 평판 상관을 위한 시스템 및 방법 | |
Carlin et al. | Defence for distributed denial of service attacks in cloud computing | |
Inayat et al. | Cloud-based intrusion detection and response system: open research issues, and solutions | |
Mokhtar et al. | X-search: revisiting private web search using intel sgx | |
US8713674B1 (en) | Systems and methods for excluding undesirable network transactions | |
CN113411297A (zh) | 基于属性访问控制的态势感知防御方法及*** | |
Gupta | HoneyKube: designing a honeypot using microservices-based architecture | |
CN114024709B (zh) | 防御方法、xss漏洞的查寻方法、流量检测设备及存储介质 | |
Huber et al. | Social networking sites security: Quo Vadis | |
CN115022077A (zh) | 网络威胁防护方法、***及计算机可读存储介质 | |
Repetto | Adaptive monitoring, detection, and response for agile digital service chains | |
Liu et al. | Real-time detection of covert channels in highly virtualized environments | |
Tsiatsikas et al. | Realtime ddos detection in sip ecosystems: Machine learning tools of the trade | |
CN113328976B (zh) | 一种安全威胁事件识别方法、装置及设备 | |
Naaz et al. | Enhancement of network security through intrusion detection | |
Prathyusha et al. | A study on cloud security issues | |
Zhuang et al. | Enhancing intrusion detection system with proximity information | |
CN113726799B (zh) | 针对应用层攻击的处理方法、装置、***和设备 | |
Tan et al. | Catch, clean, and release: A survey of obstacles and opportunities for network trace sanitization | |
CN117201189B (zh) | 一种防火墙联动方法、装置、计算机设备和存储介质 | |
Čech | The first comprehensive report on the state of the security of mobile phones of civil society. |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |