CN101087196B - 多层次蜜网数据传输方法及系统 - Google Patents
多层次蜜网数据传输方法及系统 Download PDFInfo
- Publication number
- CN101087196B CN101087196B CN2006101696769A CN200610169676A CN101087196B CN 101087196 B CN101087196 B CN 101087196B CN 2006101696769 A CN2006101696769 A CN 2006101696769A CN 200610169676 A CN200610169676 A CN 200610169676A CN 101087196 B CN101087196 B CN 101087196B
- Authority
- CN
- China
- Prior art keywords
- honey
- data flow
- virtual machine
- network
- pot system
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明涉及一种多层次蜜网数据传输方法及系统,由蜜网网关统一接收外部网络数据流;蜜网网关对所接收的数据流进行网络入侵检测分析;将正常数据流放行,发送给该数据流的目标主机;将非正常数据流按照威胁级别分为高、中、低三类;将高威胁级数据流重定向至物理蜜罐系统,将中威胁级数据流重定向至虚拟机蜜罐系统,将低威胁级数据流重定向至虚拟蜜罐系统。本发明有效利用低交互蜜罐系统和高交互蜜罐系统各自的优点,节省系统资源,提高了蜜罐系统的覆盖面和获取网络攻击活动信息、捕获恶意代码样本的能力;有效对抗反蜜罐技术。可以广泛应用于计算机网络安全技术领域。
Description
技术领域
本发明属于计算机网络安全技术领域,具体涉及一种利用多层次蜜网的数据传输方法,及一种多层次蜜网数据传输系统。
背景技术
随着互联网技术的发展,网络扫描、蠕虫与病毒代码的传播以及黑客恶意攻击等是网络上每台主机随时都可能面对到的危险。其中,大部分的网络攻击活动是由攻击工具或由四处传播的恶意代码自动完成的,除此以外,攻击脚本和工具等也变得很容易得到和使用,也就是说无高交互需求的随机的网络扫描、有高交互需求的系统攻击活动和对有识别蜜罐系统威胁的攻击活动在所有攻击活动中所占的比例依次迅速的降低。
蜜罐和蜜网技术的提出正是为了主动出击研究互联网上这些安全威胁而产生的,蜜罐是指部署在网络上,伪装成真实的网络、主机和服务,诱惑恶意攻击行为的诱饵,其价值在于收集网络上的攻击活动信息,并对这些攻击活动进行监视、检测和分析。蜜罐技术的详细信息可参见Lance.Spitzner,“Honeypots:Tracking Hackers”,Addison-Wesley,2002。
蜜网是指诱捕这些攻击活动的整体网络体系架构,一个蜜网系统中通常包含一个或多个蜜罐。按照部署的复杂程度来分,目前蜜网的部署主要有低交互的虚拟蜜罐、高交互的虚拟机蜜罐和高交互的物理蜜罐三大类,这几类蜜罐各有优点,但也有各自的局限性。
低交互的虚拟蜜罐工具能够模拟虚拟的网络拓扑、操作系统和网络服务,并根据模拟的网络系统特点对扫描攻击行为做出回应,从而达到欺骗的目的,有些虚拟蜜罐工具还可以模拟系统存在的漏洞,诱骗黑客或蠕虫在扫描后进一步传送攻击代码,从而达到抓取恶意代码样本的目的。虚拟蜜罐技术的详细信息可参见Niels Provos,″Honeyd,a virtual honeypotdaemon″,10th DFN-CERT Workshop,Hamburg,Germany,february 2003;以及Jamie Riden,″Using Nepenthes Honeypots to Detect Common Malware″,November,2006,http://www.securityfocus.com/infocus/1880。
虚拟蜜罐部署很方便,但其交互程度低,不能捕获高交互的网络攻击活动,容易被黑客识别,因此比较合适用于捕获自动攻击工具或网络蠕虫等发动的攻击活动。
高交互虚拟机蜜罐是指在一台主机上配置若干台虚拟主机,并在虚拟主机中安装真实的操作系统和网络服务的蜜罐系统。虚拟机蜜罐技术可见于:Honeynet Project,“Know YourEnemy:Defining Virtual Honeynets”,http://www.honeynet.org;以及Honeynet Project.“Know Your Enemy:Learning with VMware-Building Virutal Honeynets using VMware”,http://www.honeynet.org。
虚拟机蜜罐与攻击者进行高交互活动,完整的记录攻击者在攻入一个真实系统时的所有的行为;虚拟机蜜罐的优点是主机节省资源,一台机器可以当若干台机器使用,而且方便进行主机系统的集中管理,可以快速恢复系统的状态。但有经验的黑客很可能会根据虚拟机存在的信息发现蜜罐主机的存在。因此,高交互虚拟机蜜罐比较适宜用于追踪脚本小子一类的黑客的攻击活动,对于技术高超的黑客人群则还是存有不足。
高交互物理蜜罐系统是指使用真实的物理主机,安装真实的操作系统并开放真实的服务的蜜罐系统。物理蜜罐既能提供高交互的环境,又不存在虚拟环境的痕迹信息,不易被黑客发觉,是最为隐蔽的蜜罐系统。但真实主机蜜罐系统对系统资源要求很高,一台物理主机只能部署一个物理蜜罐,物理蜜罐比较适合用于追踪数量很少的技术高超的黑客,但要利用有限的主机资源部署蜜网网络,捕获网络上存在的恶意代码针对大型网络的扫描活动信息等,物理蜜罐就显出了其局限性。
蜜场技术是指将蜜罐技术与攻击检测技术结合在一起,是一种面向大规模网络的新型主动防护技术,其基本思想为:通过在安全操作中心集中式地部署蜜罐系统,构建蜜场环境,然后在大规模业务网络中分布式地部署攻击检测器和网络重定向器,攻击检测器检测出攻击行为后,将其重定向到蜜场环境,对攻击行为进行分析、取证、跟踪。
蜜场技术的详细信息可见于Lance Spitzner,“Honeypot Farms”,August 13,2003,http://www.securityfocus.com/infocus/1720;以及Michael Vrable,Justin Ma,JayChen,David Moore,Erik Vandekieft,Alex C.Snoeren,Geoffrey M.Voelker,StefanSavage,”Scalability,fidelity,and containment in the potemkin virtual honeyfarm”,proceedings of the twentieth ACM symposium on Operating systems principles,Brighton,United Kingdom。
一般的蜜网系统虽然在部署的时候可能部署一种以上的蜜罐,但采用的是固定的目标IP绑定到固定类型的蜜罐系统的方法,对同一个或者多个目标的不同攻击只会由同一套蜜罐系统来响应处理。
这样的技术方案有以下两方面问题:其一,蜜罐系统的资源利用率低下,高交互的物理蜜罐系统和虚拟机蜜罐系统的资源往往被浪费在简单扫描和简单蠕虫攻击上;其二,攻击者在发现了一个蜜罐系统主机后,可以很容易的识别针对真实目标系统的攻击是否成功,并采取规避措施。
此外,蜜罐技术的出现和发展,也促进了反蜜罐技术的发展。目前攻击者主要从网络和系统两个方面来识别蜜罐系统,其中最主要的方法是通过检查被攻击主机的硬件和系统信息来判断是否虚拟主机,如果是虚拟主机,则是蜜罐的风险就会很大,攻击者在发现这些痕迹之后便很可能放弃攻击或者消灭攻击痕迹,甚至可能将被攻击主机的网络地址等设入攻击黑名单,使蜜罐系统无法捕获攻击信息,具体可见蜜罐识别技术:Thorsten Hol,FredericRaynal,″Detecting Honeypots and other suspicious environments″,Proceedings of the2005 IEEE Workshop on Information Assurance and Security,United States MilitaryAcademy,West Point,NY。
发明内容
本发明的目的在于提供一种数据传输方法,提升蜜罐系统的资源利用效率,有效对抗反蜜罐技术,增加对目标系统的保护能力。
本发明的多层次蜜网数据传输方法,其步骤包括:
1.由蜜网网关统一接收外部网络数据流;
2.蜜网网关对所接收的数据流进行网络入侵检测分析;
3.将正常数据流放行,发送给该数据流的目标主机;
4.将非正常数据流按照成胁级别分为高级、中级、低级三类;
5.将高威胁级数据流重定向至物理蜜罐系统,将中威胁级数据流重定向至虚拟机蜜罐系统,将低威胁级数据流重定向至虚拟蜜罐系统。
对于重定向至虚拟机蜜罐系统的数据流,分析该数据流是否包含虚拟机蜜罐识别操作信息,如包含该信息,则将该数据流重定向至具有相同操作系统的物理蜜罐系统;或模拟网络断开现象,断开该数据流对虚拟机蜜罐系统的访问。
本发明的数据流传输方法还可先对网络数据流进行用户定义规则检测,对于满足用户定义规则的数据流,可按照定义规则进行威胁等级分类。
本发明在虚拟机蜜罐系统中设置若干虚拟机,每台虚拟机配置多种操作系统;物理蜜罐系统设置一台或若干台物理主机,每台物理主机配置一种操作系统,各台物理主机的操作系统可以不同。
上述各物理主机的操作系统与服务配置与虚拟机蜜罐中的部分主机相同,但总数少于虚拟机蜜罐。
本发明的多层次蜜网数据传输系统,包括一蜜网网关,和分层部署的虚拟蜜罐系统、虚拟机蜜罐系统和物理蜜罐系统,所述蜜网网关包括网络入侵检测系统分析模块,用于分析网络数据流是否包含网络攻击特征信息,然后将正常数据流放行,发送给该数据流的目标主机,将非正常数据流发送给威胁等级分析模块;威胁等级分析模块,将非正常数据流按照威胁等级分为高级、中级、低级三类;和数据重定向模快,按照高级、中级、低级三类分别将非正常数据流重定向至物理蜜罐系统,虚拟机蜜罐系统和虚拟蜜罐系统。
所述虚拟机蜜罐系统还包括虚拟机蜜罐识别操作信息检测模块,用于检测重定向至该系统的数据流是否包含虚拟机蜜罐识别操作信息。
所述蜜网网关还包括一用户定义规则模块,用于判定网络数据流是否满足用户自定义规则,并可按照定义规则对数据流进行威胁分级。
上述虚拟机蜜罐系统中设置若干虚拟机,每台虚拟机配置多种操作系统;物理蜜罐系统设置一台或若干台物理主机,每台物理主机配置一种操作系统,各物理主机的操作系统可不相同。
上述物理主机的操作系统与服务配置与虚拟机蜜罐中的部分主机相同,但总数少于虚拟机蜜罐。
为提供一种多层次蜜网数据传输方法,需要解决以下问题:
1.真实安全的业务数据的判断问题,即什么样的数据流可以被认为是真实安全的业务数据,什么样的数据流会被认为是具有潜在威胁的网络数据。
2.威胁分级与分级数据与不同部署的蜜罐系统之间的对应问题,即该如何划分攻击数据的威胁等级,以及不同威胁等级的数据应该映射到怎样部署的蜜罐系统之中。
3.如何避免针对虚拟机特征的虚拟机蜜罐识别。
本发明对这些问题的处理方式如下:
1.真实安全的业务数据与潜在威胁数据的判断:
a)真实安全的业务数据其目标IP和端口应是目标主机对外提供的有效的主机IP和端口;
b)真实安全的业务数据应不含有一般网络入侵检测系统中包含的攻击特征信息;
c)对于同时符合以上a)、b)特征的数据,可以认为是真实安全的业务数据,不符合的,都可以认为是具有潜在威胁的网络数据。
2.威胁分级与分级后的数据的处理的问题:
a)对于一般的蠕虫病毒等恶意代码和自动工具对网络的自动扫描攻击,因为没有人工参与活动,不会有识别蜜罐系统的危险,我们可以认为是威胁等级较低的网络攻击,这类攻击可以重定向到虚拟蜜罐系统中;
b)对于常见的网络攻击手法和已知特征的脚本攻击,可以认为是一般的脚本小子参与的网络服务攻击,这类攻击需要有交互的系统环境,我们可以认为这是中等威胁等级的网络攻击,此类攻击会被重定向到虚拟机蜜罐系统中;
c)对于未知特征网络攻击手法,应被视为具有最高的优先级而被格外关注,这类攻击者很可能是具有深厚的网络攻击经验,普通的虚拟机蜜罐很容易被他们识别, 所以需要将这类攻击归类为高威胁等级,并将攻击数据重定向到真实的蜜罐主机中。
3.避免针对虚拟机特征的虚拟机蜜罐识别
a)如果重定向到虚拟机蜜罐中的攻击活动有检验系统硬件信息,特别是检验网卡信息、使用虚拟机接口探察等活动时,我们便认为此次攻击含有针对虚拟机特征的虚拟机蜜罐识别的活动。
b)对包含针对虚拟机特征的虚拟机蜜罐识别的攻击活动,如果物理蜜罐系统中与虚拟机蜜罐系统主机中对应的操作系统,则将该网络连接进行重新定向,转移到对应的物理主机蜜罐系统;如果物理蜜罐中没有对应的操作系统,则模拟网络断开现象,断开该攻击源对虚拟机蜜罐的访问,避免虚拟机蜜罐被识别。
本发明的技术效果在于:
1.分层部署蜜罐系统,有效利用低交互蜜罐系统和高交互蜜罐系统各自的优点,节省系统资源,提高了蜜罐系统的覆盖面和获取网络攻击活动信息、捕获恶意代码样本的能力;
2.实现了对网络数据安全等级的判断和对不同威胁等级数据的针对性处理,有针对性的将不同等级威胁的攻击数据重定向到不同交互和真实程度的蜜罐;
3.增强了对恶意攻击者的迷惑与欺骗,可以有效对抗目前常用的通过检查虚拟主机的存在来识别蜜罐系统这一类的反蜜罐技术;
4.为网络安全防护人员提供了很好的对抗平台,可以通过蜜罐系统的选择和重定向,有效地迷惑攻击者,并充分的发掘攻击者的行为、能力和意图。
本装置可以部署于服务器网络安全网关,或公司局域网网关入口,分析处理进入网关的网络数据流,区别正常业务数据流和疑似恶意行为数据流,并按照疑似恶意数据流的威胁程度将数据流重新定向到多层次的后端蜜罐网络系统中。
本发明采用分层处理的方法,利用网络数据流重定向技术,分析处理将流向服务主机IP的数据流,将服务主机的安全防护和分层部署的蜜罐系统结合起来,一方面能充分发挥各类蜜罐的效率,有效提升子蜜罐系统的资源利用效率,增加捕获率,高效安全地收集网络攻击信息,另一方面与传统蜜网或蜜场技术相比,能有效提升对抗各种安全威胁的能力,避免蜜罐系统被识别的风险,提升对真实的目标主机的保护作用。
附图说明
图1为本发明多层次处理网络安全威胁的蜜网系统的系统结构示意图,说明了外部网络、真实目标主机和多层次蜜网系统之间网络拓扑关系;
图2为本发明多层次处理网络安全威胁的蜜网系统的数据包处理流程图。
具体实施方式
本发明提供了一种多层次分析处理发送到服务主机或内部网络的数据流的方法,该方法在分析到达分层处理网关的网络数据流时:
1.首先,根据用户定义的规则对流经网关的数据进行分析匹配,如果匹配合适,则按照用户定义的规则来决定数据流的处理方式;
2.对于用户没有明确定义的数据流,则交由网络入侵检测系统进行分析处理,判定是否正常的业务数据。对于正常的业务数据,允许该数据从蜜网网关通过;
3.对于非正常业务数据流的数据,根据数据的威胁等级将数据重定向到不同部署方式的蜜罐系统。
4.对于进入虚拟主机蜜罐系统的攻击数据流,需要避免针对虚拟机特征的虚拟机蜜罐识别。
下面将参照本发明的附图,结合最佳实施例详细描述本发明。
如图1所示,是多层次蜜网系统的示意图。多层蜜网系统由分层蜜网网关和后台分层蜜网系统构成,其中多层次蜜网网关连接了外部网络、对外提供服务的目标服务主机和后台的多层蜜罐系统,采用linux操作系统裁减而成,并安装配置了入侵检测系统工具snort和网络数据包管理工具netfilter。
后台分层蜜网系统包含3套不同部署方式的蜜罐系统,其中虚拟蜜罐系统采用目前已经比较成熟的虚拟蜜罐工具honeyd,Nepenthes等部署;虚拟机蜜罐系统中的虚拟机采用目前最常用的商业虚拟机软件Vmware,在一台物理主机中部署了3-5台虚拟主机,每台虚拟主机安装不同的操作系统和服务,如Windows2000、windowsXP,linux等;物理蜜罐则采用真实主机安装典型的操作系统和服务,物理主机的操作系统与服务配置与虚拟机蜜罐中的部分主机相同,总数少于虚拟机蜜罐。
如图2所示,表示多层次蜜网系统中的数据包处理流程图。
1)首先,假定一个来自外部网络的数据包到达此多层次蜜网网关;
2)在多层次蜜网网关上,首先由用户定义规则模块查询数据包中的信息是否满足用户定义的处理规则。如果有符合用户定义的处理规则中的条件,则将该数据包传递到用户处理规则模块5);如果不符合,则将数据包传递到3)步中进行处理;
3)检查数据报包中的目标地址和目标端口信息,如果不属于真实目标主机IP和端口的范围内,则说明这些数据不是真实的业务数据,可以转交威胁等级分析模块6)处理;如果在真实目标主机的IP和端口的范围内,则需要将这些数据包传递到网络入侵检 测系统4)步中进行进一步的安全分析;该步可通过设一目标主机服务端口列表编辑模块来完成;
4)通过网络入侵检测系统进一步检查传送到这一步的数据包的安全性。如果数据包中包含攻击信息特征,则可以认为该数据包中包含恶意行为,该数据包将转交7)威胁等级分析模块进行处理;如果数据包中不包含攻击信息特征,则可以认为该数据是正常的业务数据流,蜜网网关会将这些数据按照其目标信息传递到原目标主机;
5)用户处理规则是由用户定义的针对网络可疑数据包的处理规则,用户可以按照数据包中的不同字段设定威胁级别,这些规则将优先于威胁等级分析模块中的其他处理规则;
6)所有未放行到目标模块的数据都被认为是网络攻击数据。这些数据可以按照其数据包中的内容分为低威胁数据流、中级威胁数据流和高威胁数据流,威胁分析模块利用预定的威胁等级特征和数据包的内容进行智能匹配分析,按照特征将攻击数据区分为高中低三级。分级后的数据会转由网络数据流重定向模块7)处理;
7)数据流重定向模块会根据数据的威胁等级将攻击数据重定向到不同部署方式的蜜罐系统中。对于低威胁数据流,重定向模块会将其重定向到虚拟蜜罐系统,中级威胁数据流,会被重定向到虚拟机蜜罐系统中,高威胁数据流则会被重定向到物理蜜罐系统;
8)为了避免在虚拟机蜜罐中也会出现虚拟机识别一类的操作,虚拟机蜜罐中还运行着系统活动监测工具,动态监控攻击者与系统的交互。当虚拟机蜜罐中监测到攻击者有查询网卡、视频卡等典型的虚拟机监测活动,则会向网关报告,网关会修改定向规则,将此类数据流重定向到物理蜜罐系统中。
如上所述,本发明通过分析检查外部网络流向目标主机的数据包的安全性来确定网络数据的安全等级,并针对不同安全等级的数据进行分类处理。这使得本系统中部署的不等等级的蜜网系统针对性强,不易被攻击者识别,既可以保护目标主机的安全又可以高效安全的获得网络攻击数据以供安全管理人员进行监控和分析。
本发明已经在申请人研制的基于网络处理器的网络安全处理平台和千兆级安全网关上应用,取得了很好的效果,实现了本发明的目的。本发明具有很好的实用性和推广应用前景。
尽管为说明目的公开了本发明的具体实施例和附图,其目的在于帮助理解本发明的内容并据以实施,但是本领域的技术人员可以理解:在不脱离本发明及所附的权利要求的精神和范围内,各种替换、变化和修改都是可能的。因此,本发明不应局限于最佳实施例和附图所公开的内容,本发明要求保护的范围以权利要求书界定的范围为准。
Claims (10)
1.一种多层次蜜网数据传输方法,其步骤包括:
1)由蜜网网关统一接收外部网络数据流;
2)蜜网网关对所接收的数据流进行网络入侵检测分析;
3)将正常数据流放行,发送给该数据流的目标主机;
4)将非正常数据流按照威胁级别分为高级、中级、低级三类;
5)将高威胁级数据流重定向至物理蜜罐系统,将中威胁级数据流重定向至虚拟机蜜罐系统,将低威胁级数据流重定向至虚拟蜜罐系统。
2.如权利要求1所述的多层次蜜网数据传输方法,其特征在于对于重定向至虚拟机蜜罐系统的数据流,分析该数据流是否包含虚拟机蜜罐识别操作信息,如包含该信息,则将该数据流重定向至具有相同操作系统的物理蜜罐系统;或模拟网络断开现象,断开该数据流对虚拟机蜜罐系统的访问。
3.如权利要求1所述的多层次蜜网数据传输方法,其特征在于在网络入侵检测前对网络数据流进行用户定义规则分析,对于满足用户定义规则的数据流,按照定义规则进行威胁等级分级。
4.如权利要求1或2所述的多层次蜜网数据传输方法,其特征在于所述虚拟机蜜罐系统中设置若干虚拟机,每台虚拟机配置多种操作系统;所述物理蜜罐系统设置一台或若干台物理主机,每物理主机配置一种操作系统。
5.如权利要求4所述的多层次蜜网数据传输方法,其特征在于上述物理主机的操作系统与服务配置与虚拟机蜜罐中的部分主机相同,但总数少于虚拟机蜜罐。
6.一种多层次蜜网数据传输系统,包括一蜜网网关,和分层部署的虚拟蜜罐系统、虚拟机蜜罐系统和物理蜜罐系统,其特征在于所述蜜网网关包括网络入侵检测系统分析模块,用于分析网络数据流是否包含网络攻击特征信息,然后将正常数据流放行,发送给该数据流的目标主机,将非正常数据流发送给威胁等级分析模块;威胁等级分析模块,将非正常数据流按照威胁等级分为高级、中级、低级三类;和数据重定向模快,按照高级、中级、低级三类分别将非正常数据流重定向至物理蜜罐系统,虚拟机蜜罐系统和虚拟蜜罐系统。
7.如权利要求6所述的多层次蜜网数据传输系统,其特征在于所述虚拟机蜜罐系统包括一虚拟机蜜罐识别操作信息检测模块,以检测重定向至该系统的数据流是否包含虚拟机蜜罐识别操作信息。
8.如权利要求6所述的多层次蜜网数据传输系统,其特征在于所述蜜网网关还包括一用户规则定义模块,用于判定网络数据流是否满足用户自定义规则,并进行威胁分类级。
9.如权利要求6或7或8所述的多层次蜜网数据传输系统,其特征在于所述虚拟机蜜罐系统中设置若干虚拟机,每台虚拟机配置多种操作系统;所述物理蜜罐系统设置一台或若干台物理主机,每物理主机配置一种操作系统。
10.如权利要求9所述的多层次蜜网数据传输系统,其特征在于上述物理主机的操作系统与服务配置与虚拟机蜜罐中的部分主机相同,但总数少于虚拟机蜜罐。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2006101696769A CN101087196B (zh) | 2006-12-27 | 2006-12-27 | 多层次蜜网数据传输方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2006101696769A CN101087196B (zh) | 2006-12-27 | 2006-12-27 | 多层次蜜网数据传输方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101087196A CN101087196A (zh) | 2007-12-12 |
| CN101087196B true CN101087196B (zh) | 2011-01-26 |
Family
ID=38937979
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2006101696769A Expired - Fee Related CN101087196B (zh) | 2006-12-27 | 2006-12-27 | 多层次蜜网数据传输方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101087196B (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111183612A (zh) * | 2017-12-27 | 2020-05-19 | 西门子股份公司 | 一种网络流量的发送方法、装置及混合蜜罐系统 |
Families Citing this family (57)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101309180B (zh) * | 2008-06-21 | 2010-12-08 | 华中科技大学 | 一种适用于虚拟机环境的安全网络入侵检测系统 |
| CN101645119B (zh) * | 2008-08-07 | 2012-05-23 | 中国科学院软件研究所 | 一种基于虚拟硬件环境的恶意代码自动分析方法及系统 |
| CN101567887B (zh) * | 2008-12-25 | 2012-05-23 | 中国人民解放军总参谋部第五十四研究所 | 一种漏洞拟真超载蜜罐方法 |
| US20100251329A1 (en) * | 2009-03-31 | 2010-09-30 | Yottaa, Inc | System and method for access management and security protection for network accessible computer services |
| CN101582817B (zh) * | 2009-06-29 | 2012-07-04 | 华中科技大学 | 网络交互行为模式提取及相似性分析方法 |
| CN102185858B (zh) * | 2011-05-06 | 2014-03-19 | 山东中创软件商用中间件股份有限公司 | 一种应用于应用层的web入侵防御方法及系统 |
| CN102882884B (zh) * | 2012-10-13 | 2014-12-24 | 国家电网公司 | 信息化生产环境下基于蜜网的风险预警系统及方法 |
| CN103051615B (zh) * | 2012-12-14 | 2015-07-29 | 陈晶 | 一种蜜场系统中抗大流量攻击的动态防御系统 |
| CN103327134B (zh) * | 2013-06-13 | 2016-09-21 | 国家电网公司 | 一种基于dhcp服务的网络数据重定向方法及装置 |
| CN103368972A (zh) * | 2013-07-26 | 2013-10-23 | 国家计算机网络与信息安全管理中心 | 基于诱导分析的高级网络攻击检测分析方法及其系统 |
| CN104144164A (zh) * | 2014-08-06 | 2014-11-12 | 武汉安问科技发展有限责任公司 | 基于网络入侵的扩展防御方法 |
| JP6081031B2 (ja) * | 2014-09-17 | 2017-02-15 | 三菱電機株式会社 | 攻撃観察装置、及び攻撃観察方法 |
| CN105376210B (zh) * | 2014-12-08 | 2018-09-07 | 哈尔滨安天科技股份有限公司 | 一种账户威胁识别和防御方法及系统 |
| CN104506507B (zh) * | 2014-12-15 | 2017-10-10 | 蓝盾信息安全技术股份有限公司 | 一种sdn网络的蜜网安全防护系统及方法 |
| CN105488393B (zh) * | 2014-12-27 | 2018-07-03 | 哈尔滨安天科技股份有限公司 | 一种基于数据库蜜罐的攻击行为意图分类方法及系统 |
| CN105303109A (zh) * | 2015-09-22 | 2016-02-03 | 电子科技大学 | 一种恶意代码情报检测分析方法及系统 |
| CN105282176B (zh) * | 2015-11-16 | 2019-07-19 | 上海斐讯数据通信技术有限公司 | 一种云计算环境下的数据安全系统和方法 |
| CN105721417A (zh) * | 2015-11-16 | 2016-06-29 | 哈尔滨安天科技股份有限公司 | 一种挂载于工控系统中的蜜罐装置及工控系统 |
| CN105491063A (zh) * | 2015-12-30 | 2016-04-13 | 深圳市深信服电子科技有限公司 | 防御网络入侵的方法及装置 |
| CN106961414B (zh) * | 2016-01-12 | 2020-12-25 | 阿里巴巴集团控股有限公司 | 一种基于蜜罐的数据处理方法、装置及系统 |
| GB201603118D0 (en) * | 2016-02-23 | 2016-04-06 | Eitc Holdings Ltd | Reactive and pre-emptive security system based on choice theory |
| CN107222515B (zh) * | 2016-03-22 | 2021-05-04 | 阿里巴巴集团控股有限公司 | 蜜罐部署方法、装置及云端服务器 |
| CN105938437B (zh) * | 2016-05-30 | 2019-03-22 | 北京大学 | 一种云环境下抗同驻的虚拟机部署方法 |
| CN106789865B (zh) * | 2016-07-14 | 2020-06-02 | 深圳市永达电子信息股份有限公司 | 一种基于gre网络结合sdn技术和蜜罐技术的网络安全防护方法 |
| CN106911662B (zh) * | 2016-10-12 | 2020-11-03 | 深圳市安之天信息技术有限公司 | 一种恶意样本养殖高交互转化低交互的系统及方法 |
| CN107979562A (zh) * | 2016-10-21 | 2018-05-01 | 北京计算机技术及应用研究所 | 一种基于云平台的混合型蜜罐动态部署系统 |
| CN106603541A (zh) * | 2016-12-21 | 2017-04-26 | 哈尔滨安天科技股份有限公司 | 一种基于差异化流量处理机制的蜜网系统 |
| CN106790090A (zh) * | 2016-12-23 | 2017-05-31 | 北京奇虎科技有限公司 | 基于ssl的通信方法、装置及系统 |
| CN109257326B (zh) * | 2017-07-14 | 2021-05-04 | 东软集团股份有限公司 | 防御数据流攻击的方法、装置和存储介质及电子设备 |
| CN108306860A (zh) * | 2017-12-28 | 2018-07-20 | 广州锦行网络科技有限公司 | 基于真实网络环境的蜜网实现系统及方法 |
| CN109995716B (zh) * | 2017-12-29 | 2021-07-30 | 北京安天网络安全技术有限公司 | 基于高交互蜜罐系统的行为激发方法及装置 |
| US10685116B2 (en) * | 2018-02-23 | 2020-06-16 | Mcafee, Llc | Anti-ransomware systems and methods using a sinkhole at an electronic device |
| CN110290098B (zh) | 2018-03-19 | 2020-12-25 | 华为技术有限公司 | 一种防御网络攻击的方法及装置 |
| CN108521406A (zh) * | 2018-03-21 | 2018-09-11 | 沈阳化工大学 | 一种基于蜜罐技术捕获网络蠕虫的方法 |
| CN108809950B (zh) * | 2018-05-21 | 2020-10-16 | 中国科学院信息工程研究所 | 一种基于云端影子系统的无线路由器保护方法和系统 |
| PL3588897T3 (pl) | 2018-06-30 | 2020-07-27 | Ovh | Sposób i system obrony infrastruktury przed rozproszonym atakiem odmowy usługi |
| CN109164786B (zh) * | 2018-08-24 | 2020-05-29 | 杭州安恒信息技术股份有限公司 | 一种基于时间相关基线的异常行为检测方法、装置及设备 |
| CN109218327A (zh) * | 2018-10-15 | 2019-01-15 | 西安电子科技大学 | 基于云容器的主动防御技术 |
| CN109302426B (zh) * | 2018-11-30 | 2021-04-13 | 东软集团股份有限公司 | 未知漏洞攻击检测方法、装置、设备及存储介质 |
| CN109962912A (zh) * | 2019-03-06 | 2019-07-02 | 中国信息安全测评中心 | 一种基于蜜罐流量引流的防御方法及系统 |
| CN110071929B (zh) * | 2019-04-28 | 2021-03-16 | 江苏极元信息技术有限公司 | 一种基于虚拟化平台的海量诱饵捕获攻击源的防御方法 |
| CN110401638B (zh) * | 2019-06-28 | 2021-05-25 | 奇安信科技集团股份有限公司 | 一种网络流量分析方法及装置 |
| CN110391937B (zh) * | 2019-07-25 | 2022-03-04 | 哈尔滨工业大学 | 一种基于soap服务模拟的物联网蜜网系统 |
| CN110881052A (zh) * | 2019-12-25 | 2020-03-13 | 成都知道创宇信息技术有限公司 | 网络安全的防御方法、装置及系统、可读存储介质 |
| CN111404935B (zh) * | 2020-03-16 | 2020-12-04 | 广州锦行网络科技有限公司 | 基于攻击行为分析的蜜罐服务端口自适应应用方法及系统 |
| CN111641620A (zh) * | 2020-05-21 | 2020-09-08 | 黄筱俊 | 用于检测进化DDoS攻击的新型云蜜罐方法及架构 |
| CN111953671B (zh) * | 2020-07-31 | 2022-08-26 | 中国工商银行股份有限公司 | 一种基于区块链的动态蜜网数据处理方法及系统 |
| CN111683106B (zh) * | 2020-08-13 | 2021-06-18 | 云盾智慧安全科技有限公司 | 主动防护系统及方法 |
| CN114650153B (zh) * | 2020-12-17 | 2024-04-05 | 浙江宇视科技有限公司 | 一种视频网络安全风险防范系统及防范方法 |
| CN112788023B (zh) * | 2020-12-30 | 2023-02-24 | 成都知道创宇信息技术有限公司 | 基于安全网络的蜜罐管理方法及相关装置 |
| CN114338203B (zh) * | 2021-12-31 | 2023-10-03 | 河南信大网御科技有限公司 | 一种基于拟态蜜罐的内网检测系统及方法 |
| CN114465795B (zh) * | 2022-01-27 | 2024-03-29 | 杭州默安科技有限公司 | 一种干扰网络扫描器的方法及系统 |
| CN114553524B (zh) * | 2022-02-21 | 2023-10-10 | 北京百度网讯科技有限公司 | 流量数据处理方法、装置、电子设备及网关 |
| CN114598510B (zh) * | 2022-02-23 | 2024-08-09 | 奇安信科技集团股份有限公司 | 蜜场网络流量重定向系统、方法、电子设备、介质及产品 |
| CN115022077B (zh) * | 2022-06-30 | 2023-05-16 | 绿盟科技集团股份有限公司 | 网络威胁防护方法、系统及计算机可读存储介质 |
| CN115460002B (zh) * | 2022-09-13 | 2024-07-05 | 北京天融信网络安全技术有限公司 | 一种蜜网动态部署方法及系统 |
| CN116502226B (zh) * | 2023-06-27 | 2023-09-08 | 浙江大学 | 一种基于固件仿真的高交互物联网蜜罐部署方法与系统 |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1585346A (zh) * | 2004-05-28 | 2005-02-23 | 南京邮电学院 | 一种实现诱骗网络数据流重定向的方法 |
-
2006
- 2006-12-27 CN CN2006101696769A patent/CN101087196B/zh not_active Expired - Fee Related
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1585346A (zh) * | 2004-05-28 | 2005-02-23 | 南京邮电学院 | 一种实现诱骗网络数据流重定向的方法 |
Non-Patent Citations (2)
| Title |
|---|
| 李文剑.蜜网技术的研究与应用.网络安全技术与应用2006 9.2006,2006(9),46-48. |
| 李文剑.蜜网技术的研究与应用.网络安全技术与应用2006 9.2006,2006(9),46-48. * |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111183612A (zh) * | 2017-12-27 | 2020-05-19 | 西门子股份公司 | 一种网络流量的发送方法、装置及混合蜜罐系统 |
| CN111183612B (zh) * | 2017-12-27 | 2023-08-29 | 西门子股份公司 | 一种网络流量的发送方法、装置及混合蜜罐系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101087196A (zh) | 2007-12-12 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101087196B (zh) | 多层次蜜网数据传输方法及系统 | |
| CN103023924B (zh) | 基于内容分发网络的云分发平台的DDoS攻击防护方法和系统 | |
| KR101070614B1 (ko) | 봇넷 정보를 이용한 악성 트래픽 격리 시스템과 봇넷 정보를 이용한 악성 트래픽 격리 방법 | |
| KR100942456B1 (ko) | 클라우드 컴퓨팅을 이용한 DDoS 공격 탐지 및 차단 방법 및 서버 | |
| CN105915532B (zh) | 一种失陷主机的识别方法及装置 | |
| CN100471172C (zh) | 一种黑名单实现的方法 | |
| CN108289088A (zh) | 基于业务模型的异常流量检测系统及方法 | |
| Seufert et al. | Machine learning for automatic defence against distributed denial of service attacks | |
| US20070180107A1 (en) | Security incident manager | |
| CN103561004A (zh) | 基于蜜网的协同式主动防御系统 | |
| CN106992955A (zh) | Apt防火墙 | |
| CN1889573A (zh) | 一种主动诱骗方法与系统 | |
| CN1794661A (zh) | 一种基于IPv6的网络性能分析报告系统及实现方法 | |
| CN103297433A (zh) | 基于网络数据流的http僵尸网络检测方法及系统 | |
| CN112087413A (zh) | 一种基于主动侦测的网络攻击智能动态防护和诱捕系统及方法 | |
| Katkar et al. | Detection of DoS/DDoS attack against HTTP servers using naive Bayesian | |
| CN102130920A (zh) | 一种僵尸网络的发现方法及其系统 | |
| Kondra et al. | Honeypot-based intrusion detection system: A performance analysis | |
| Li et al. | The research and design of honeypot system applied in the LAN security | |
| CN105447385A (zh) | 一种多层次检测的应用型数据库蜜罐实现系统及方法 | |
| CN115987531A (zh) | 一种基于动态欺骗式“平行网络”的内网安全防护系统及方法 | |
| JP3652661B2 (ja) | サービス不能攻撃の防御方法および装置ならびにそのコンピュータプログラム | |
| Tian et al. | An architecture for intrusion detection using honey pot | |
| Kazienko et al. | Intrusion detection systems (IDS) Part 2-Classification; methods; techniques | |
| Prasad et al. | IP traceback for flooding attacks on Internet threat monitors (ITM) using Honeypots |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20110126 Termination date: 20151227 |
|
| EXPY | Termination of patent right or utility model |