CN101076013B - 一种网络数据智能漂移引导系统及其数据漂移引导方法 - Google Patents
一种网络数据智能漂移引导系统及其数据漂移引导方法 Download PDFInfo
- Publication number
- CN101076013B CN101076013B CN2006100267408A CN200610026740A CN101076013B CN 101076013 B CN101076013 B CN 101076013B CN 2006100267408 A CN2006100267408 A CN 2006100267408A CN 200610026740 A CN200610026740 A CN 200610026740A CN 101076013 B CN101076013 B CN 101076013B
- Authority
- CN
- China
- Prior art keywords
- module
- network
- data
- address
- expert
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
- 238000000034 method Methods 0.000 title claims abstract description 22
- 238000001514 detection method Methods 0.000 claims abstract description 31
- 230000008569 process Effects 0.000 claims abstract description 10
- 230000005856 abnormality Effects 0.000 claims description 14
- 238000004891 communication Methods 0.000 claims description 7
- 235000012907 honey Nutrition 0.000 claims description 7
- 230000005465 channeling Effects 0.000 claims description 5
- 230000008859 change Effects 0.000 claims description 4
- 238000006243 chemical reaction Methods 0.000 claims description 2
- 238000000605 extraction Methods 0.000 claims description 2
- 238000013507 mapping Methods 0.000 claims description 2
- 230000007123 defense Effects 0.000 abstract 2
- 238000005516 engineering process Methods 0.000 description 11
- 238000010586 diagram Methods 0.000 description 3
- 230000007246 mechanism Effects 0.000 description 2
- 239000008186 active pharmaceutical agent Substances 0.000 description 1
- 230000032683 aging Effects 0.000 description 1
- 230000008485 antagonism Effects 0.000 description 1
- 230000006399 behavior Effects 0.000 description 1
- 238000009795 derivation Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000018109 developmental process Effects 0.000 description 1
- 230000004069 differentiation Effects 0.000 description 1
- 230000002265 prevention Effects 0.000 description 1
- 230000009467 reduction Effects 0.000 description 1
- 230000009897 systematic effect Effects 0.000 description 1
- 238000013519 translation Methods 0.000 description 1
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种网络数据智能漂移引导系统,其特征在于:网络接口分别与异常检测模块、主动路由模块连接,异常检测模块与专家智能推理系统模块连接,专家智能推理系统模块与主动路由模块连接,其特点在于:1、转变传统信息安全领域采用的被动防御为主动防御,在信息安全对抗中使防御方保持优势。2、与IDS的结合的智能路由机制,提高了IDS的检测准确性。3、在信息安全领域里,对于未知的检测提供了通用的处理模型,大大提高数据检测的能力。
Description
技术领域:
本发明涉及电子信息技术领域,具体的说是一种网络数据智能漂移引导系统及其数据漂移引导方法。
背景技术:
近年来,一些传统的信息安全技术及相关产品已取得了突破性的发展,但是却普遍缺乏网络防御的主动性和时效性;与此同时,在与入侵者周旋的过程中,信息安全的防范手段往往滞后于层出不穷的网络攻击行为,处于相当被动的局面。
在信息安全领域,对待未知攻击的解决方案一直不太理想。目前很多安全防御产品对待已知攻击行为可以正确检测和抵制,而对于新出现的攻击却很少能正确检测和进行相应的防御。
发明内容:
本发明的目的在于提供一种网络数据智能漂移引导系统及其数据漂移引导方法,其实用性强,应用性广,可用于蜜罐、攻击导向、主动路由、区别恶意数据流、电子取证等等方面,而且对正常数据不产生影响,核心是利用专家智能推导算法得出漂移规则,然后根据该规则将网络攻击数据引导到指定的目标,不仅转移了遭受的攻击同时也迷惑了攻击者,它可克服现有技术中存在的缺点。
为了实现上述目的,本发明的技术方案是:一种网络数据智能漂移引导系统,它主要包括网络接口,其特征在于:所述网络接口分别与异常检测模块、主动路由模块连接,异常检测模块与专家智能推理系统模块连接,专家智能推理系统模块与主动路由模块连接。
一种网络数据智能漂移引导系统数据漂移引导方法,其特征在于:数据漂移引导方法如下所述,网络数据经网络接口经过异常检测模块的检测之后,专家智能推理系统模块得出数据的一个引导方向,最后由主动路由模块将数据引导到指定的目的,其中包括蜜罐陷阱系统、反攻击目标系统、恶意数据区系统、电子取证系统、攻击向导系统,而正常数据和区别恶意数据流则被传送到访问目标。
本发明公开了一种网络数据智能漂移引导系统及其数据漂移引导方法,其特点在于:1、转变传统信息安全领域采用的被动防御为主动防御,在信息安全对抗中使防御方保持优势。2、与IDS的结合的智能路由机制,提高了IDS的检测准确性。3、在信息安全领域里,对于未知的检测提供了通用的处理模型,大大提高数据检测的能力。
附图说明:
图1为本发明系统原理图
图2为发明网络拓扑图
图3为发明专家智能推理系统模块推理原理图
具体实施方式:
下面参照附图,对本发明进一步进行描述
本发明为一种网络数据智能漂移引导系统及其数据漂移引导方法,如图1中所示,它主要包括网络接口1,其区别于现有技术在于:网络接口1分别与异常检测模块2、主动路由模块3连接,异常检测模块2与专家智能推理系统模块4连接,专家智能推理系统模块4与主动路由模块3连接,网络数据经网络接口经过异常检测模块2的检测之后,专家智能推理系统模块4得出数据的一个引导方向,最后由主动路由模块3将数据引导到指定的目的,其中包括蜜罐陷阱系统、反攻击目标系统、恶意数据区系统、电子取证系统、攻击向导系统,而正常数据和区别恶意数据流则被传送到访问目标,如图3中所示,专家智能推理系统模块4由知识库模块和推理机模块组成,其中知识库模块为安全事件规则库,推理机模块则负责逻辑处理,逻辑处理的内容包括路由漂移、关闭应用、切断连接、重启服务。
本发明实现的技术基础是网络路由技术,在此基础之上结合智能推理原理、IDS检测技术完成了数据的智能引导。网络数据在经过异常检测模块的IDS检测之后,专家智能推理系统将得出数据的一个引导方向,最后由主动路由模块将数据引导到指定的目的(包括蜜罐陷阱、反攻击目标、恶意数据区、电子取证)。本发明集多种信息技术于一体,提供了灵活机动的信息安全解决方案,而且针对信息安全的领域的一些疑难问题提供了通用的参考模型。
本发明采用传统的IDS异常检测,该检测模型存在很高的误报率,本发明在对于误报的数据并不和防火墙一样处理(立即丢弃或阻断),而是通过智能路由技术引导到相对安全的区域进行二次区分大大地降低IDS的误报率。
如图2中所示,本发明主要用于对内部网络资源的保护,在内部网络与公共网络的连接处安置一台采用本发明技术的智能路由网关完成对数据的智能引导。本发明的适用性和拓展性非常好,数据引导的目标可以根据不同的应用要求而异。例如,将一些网络黑客的攻击目标引导到蜜罐系统,不仅可以保护受保护的目标还可以将其引入预先设置好的陷阱。
核心技术为智能路由技术,为了减少所需的IPv4地址和增强内部网络的安全性,将多台网络终端连接在一起,并采用同样的IPv4地址与公共网络通信的方法称为共享IP地址。而实现共享IP地址的核心技术是NAT技术。NAT英文全称是“Network AddressTranslation”,中文意思是“网络地址转换”,它是一个IETF(Internet Engineering Task Force,Internet工程任务组)标准,允许一个整体机构以一个公用IP(Internet Protocol)地址出现在Internet上。它是一种把内部私有网络地址(IP地址)翻译成合法网络IP地址的技术。而通常内部私有网络地址所做的NAT都是一一对应的关系,即1个私有IP地址对应1次连接(某次连接的始终只对应建立连接的唯一私有IP地址)。本发明中的智能路由技术则改变了这种对应关系,采用动态的映射关系。在一次网络通信的过程中可以改变连接所对应的私有IP地址对象,例如内部的a地址与外部网络的b地址建立连接进行通信,智能路由可以在通信的过程中将a与b的通信转变成内部地址c与b的通信。这样在外部网络不知情的情况下改变了b的通信对象。智能路由是在结合智能推理系统和IDS检测一起完成数据的智能引导,即在改变通信的对象是通过IDS检测和智能推理系统所得出的结论。
拥有知识是专家系统区别于其他计算机软件系统的重要标志,知识的质量和数量是决定专家系统性能的关键因素,知识的获取是一个与领域专家、专家系统建造者与专家系统自身都密切相关的复杂问题。知识的获取的任务就是为专家系统获取知识,建立起健全、完善、有效的知识库,以满足求解领域问题的需要。所以它需要做以下的工作:知识的抽取;知识的转换;知识的输入与知识的检测。
推理机制有两种推理方法:正向推理机、反向推理机。正向推理机也称数据驱动法,主要根据用户提供的信息,在逻辑网络上正向移动推理。反向推理机也称客体驱动,从结果开始,进行假设,根据知识库提供的信息,对该假定加以肯定或否定,来逐步推进。在本系统中我们倾向于正向推理和反向推理的结合,在已知来源的情况下用正向推理得出结论,在不明来源的情况下用反向推理来假设。
Claims (2)
1.一种网络数据智能漂移引导系统,主要包括网络接口(1),异常检测模块(2)、主动路由模块(3)和专家智能推理系统模块(4),其特征在于:网络接口(1)分别与异常检测模块(2)、主动路由模块(3)连接,所述异常检测模块(2)分别与所述网络接口(1)和专家智能推理系统模块(4)连接,专家智能推理系统模块(4)分别与所述异常检测模块(2)和主动路由模块(3)连接,所述主动路由模块(3)分别与所述网络接口(1)和所述专家智能推理系统模块(4)连接;网络接口(1)接收到的网络数据经过异常检测模块(2)的IDS检测之后,由专家智能推理系统模块(4)得出所述网络数据的一个引导方向,最后由主动路由模块(3)将可疑数据或恶意数据引导到指定的目的,将正常数据引导到访问目标,所述指定的目的包括蜜罐陷阱系统、反攻击目标系统、恶意数据区系统、电子取证系统、攻击向导系统;主动路由模块(3)采用动态的映射关系,在一次网络通信的过程中能够改变连接所对应的私有IP地址对象,即当内部网络的a地址与外部网络的b地址建立连接并进行通信时,主动路由模块(3)能够在通信的过程中将内部网络地址a与外部网络地址b的通信转变成内部网络地址c与外部网络地址b的通信,这样在外部网络不知情的情况下改变了b的通信对象;所述专家智能推理系统模块(4)由知识库模块和推理机模块组成,其中知识库模块为安全事件规则库,推理机模块则负责逻辑处理,逻辑处理的内容包括路由漂移、关闭应用、切断连接、重启服务,所述专家智能推理系统模块(4)通过知识的抽取、知识的转换、知识的输入与知识的检测来获取知识,并采用正向推理和反向推理相结合的方式,在已知来源的情况下用正向推理得出结论,在不明来源的情况下用反向推理来假设。
2.一种如权利要求1所述的网络数据智能漂移引导系统中的数据漂移引导方法,其特征在于:网络接口(1)接收到的网络数据经过异常检测模块(2)的IDS检测之后,由专家智能推理系统模块(4)得出所述网络数据的一个引导方向,最后由主动路由模块(3)将可疑数据或恶意数据引导到指定的目的,将正常数据引导到访问目标,其中所述指定的目的包括蜜罐陷阱系统、反攻击目标系统、恶意数据区系统、电子取证系统、攻击向导系统。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2006100267408A CN101076013B (zh) | 2006-05-19 | 2006-05-19 | 一种网络数据智能漂移引导系统及其数据漂移引导方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2006100267408A CN101076013B (zh) | 2006-05-19 | 2006-05-19 | 一种网络数据智能漂移引导系统及其数据漂移引导方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101076013A CN101076013A (zh) | 2007-11-21 |
| CN101076013B true CN101076013B (zh) | 2012-08-22 |
Family
ID=38976837
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2006100267408A Expired - Fee Related CN101076013B (zh) | 2006-05-19 | 2006-05-19 | 一种网络数据智能漂移引导系统及其数据漂移引导方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101076013B (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105681274B (zh) * | 2015-12-18 | 2019-02-01 | 北京神州绿盟信息安全科技股份有限公司 | 一种原始告警信息处理的方法及装置 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1422039A (zh) * | 2001-11-29 | 2003-06-04 | 上海交通大学 | 可控计算机网络的分布式黑客追踪系统 |
| CN1547353A (zh) * | 2003-12-05 | 2004-11-17 | 浩 李 | 一种高性能多业务的网络安全处理设备 |
| CN1585346A (zh) * | 2004-05-28 | 2005-02-23 | 南京邮电学院 | 一种实现诱骗网络数据流重定向的方法 |
| EP1509014A2 (en) * | 2003-08-19 | 2005-02-23 | Sophos Plc | Method and apparatus for filtering electronic mail |
-
2006
- 2006-05-19 CN CN2006100267408A patent/CN101076013B/zh not_active Expired - Fee Related
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1422039A (zh) * | 2001-11-29 | 2003-06-04 | 上海交通大学 | 可控计算机网络的分布式黑客追踪系统 |
| EP1509014A2 (en) * | 2003-08-19 | 2005-02-23 | Sophos Plc | Method and apparatus for filtering electronic mail |
| CN1547353A (zh) * | 2003-12-05 | 2004-11-17 | 浩 李 | 一种高性能多业务的网络安全处理设备 |
| CN1585346A (zh) * | 2004-05-28 | 2005-02-23 | 南京邮电学院 | 一种实现诱骗网络数据流重定向的方法 |
Non-Patent Citations (1)
| Title |
|---|
| 王荣强.网络安全体系中蜜网系统的研究与设计.《兰州大学 硕士学位论文》.2005,24-27. * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101076013A (zh) | 2007-11-21 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Zhou et al. | A fog computing based approach to DDoS mitigation in IIoT systems | |
| CN108683682B (zh) | 一种基于软件定义网络的DDoS攻击检测及防御方法和系统 | |
| CN106713371B (zh) | 一种基于DNS异常挖掘的Fast Flux僵尸网络检测方法 | |
| US20170339109A1 (en) | Method for controlling transmission security of industrial communications flow based on sdn architecture | |
| Miller et al. | The role of machine learning in botnet detection | |
| CN101404658B (zh) | 一种检测僵尸网络的方法及其系统 | |
| US10581880B2 (en) | System and method for generating rules for attack detection feedback system | |
| US20200153861A1 (en) | Decoy apparatus and method for expanding fake attack surface using deception network | |
| CN105681250A (zh) | 一种僵尸网络分布式实时检测方法和系统 | |
| CN101009706B (zh) | 保护基于sip的应用的方法 | |
| Amini et al. | Botnet detection using NetFlow and clustering | |
| CN112039865A (zh) | 一种威胁驱动的网络攻击检测与响应方法 | |
| Seo et al. | A study on efficient detection of network-based IP spoofing DDoS and malware-infected Systems | |
| Garba et al. | SDN-based detection and mitigation of DDoS attacks on smart homes | |
| CN101076013B (zh) | 一种网络数据智能漂移引导系统及其数据漂移引导方法 | |
| CN110855711A (zh) | 一种基于scada系统白名单矩阵的工控网络安全监控方法 | |
| Chen et al. | Effective allied network security system based on designed scheme with conditional legitimate probability against distributed network attacks and intrusions | |
| CN104205745A (zh) | 报文处理的方法与设备 | |
| Miller et al. | The impact of different botnet flow feature subsets on prediction accuracy using supervised and unsupervised learning methods | |
| Godefroy et al. | Automatic generation of correlation rules to detect complex attack scenarios | |
| Sourour et al. | Network security alerts management architecture for signature-based intrusions detection systems within a NAT environment | |
| Tian et al. | DS evidence theory and its data fusion application in intrusion detection | |
| Xiao et al. | Alert fusion based on cluster and correlation analysis | |
| Mohammed et al. | Accurate signature generation for polymorphic worms using principal component analysis | |
| Patel et al. | An intelligent collaborative intrusion detection and prevention system for smart grid environments |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| ASS | Succession or assignment of patent right |
Free format text: FORMER OWNER: SHANGHAI 30WISH INFORMATION SECURITY LIMITED Effective date: 20120906 |
|
| C41 | Transfer of patent application or patent right or utility model | ||
| COR | Change of bibliographic data |
Free format text: CORRECT: ADDRESS; FROM: 201204 PUDONG NEW AREA, SHANGHAI TO: 201100 XUHUI, SHANGHAI |
|
| TR01 | Transfer of patent right |
Effective date of registration: 20120906 Address after: 201100, 3, 11, Wu Long Road, 777, Shanghai, Xuhui District Patentee after: Shanghai Sanling Safeguard Information Safety Co., Ltd. Address before: 201204, No. 200 Zhang Heng Road, Shanghai, building 2, 4F Patentee before: Shanghai Sanling Safeguard Information Safety Co., Ltd. Patentee before: Shanghai 30Wish Information Security Limited |
|
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20120822 Termination date: 20190519 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |