CN102045366A - 主动发现网络遭受病毒攻击的方法 - Google Patents
主动发现网络遭受病毒攻击的方法 Download PDFInfo
- Publication number
- CN102045366A CN102045366A CN 201110001025 CN201110001025A CN102045366A CN 102045366 A CN102045366 A CN 102045366A CN 201110001025 CN201110001025 CN 201110001025 CN 201110001025 A CN201110001025 A CN 201110001025A CN 102045366 A CN102045366 A CN 102045366A
- Authority
- CN
- China
- Prior art keywords
- network
- virus
- switch
- packet
- local area
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Computer And Data Communications (AREA)
- Small-Scale Networks (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
一种主动发现网络遭受病毒攻击的方法,以网管软件的物理拓扑图为基础,在物理拓扑图上显示有核心交换机,分支交换机,网络数据采集器,网管服务器以及包括各地方交换机的局域网;采用网络数据采集器在网络信息未进入核心交换机、分支交换机、网管服务器和局域网之前首先采集捕获网络数据,并将采集捕获到的网路数据包传送给网管服务器,网管服务器接收到该网络数据包后与病毒发作时的行为特征进行对比判断筛选出含有病毒特征数据包,并依据物理拓扑图定位该含有病毒特征数据包的网络位置,及时阻止该含有病毒特征数据包对核心交换机、分支交换机以及包括各地方交换机的局域网的攻击。
Description
技术领域
本发明涉及一种发现网络遭受病毒攻击的方法,特别是涉及一种主动发现网络遭受病毒攻击的方法。也就是说能够主动及时发现网络上有中毒设备或未公布的新病毒在疯狂地攻击网络,并及时、准确定位该中毒设备的位置以及阻止其病毒的攻击。
背景技术
用户当前的网络环境正受各类病毒的严重威胁,因此需要依赖网络防病毒产品来提高安全性。
新型病毒不断涌现,严重威胁着当前的计算机环境。一些新型病毒不但具有通过电子邮件进行传播的特征,而且能够利用网络功能快速搜索企业网络存在的安全漏洞,从而造成更大的灾难。
病毒发展趋势:
(1)感染速度更快:世界上第一只现身的计算机病毒传遍全球用了几年时间,而新型病毒能够在瞬间传遍全球网络的每一个角落。
(2)扩散面更广:借助网络技术,新型病毒扩散非常快,扩散范围很大,能够迅速传染局域网内所有计算机,还能在瞬间通过远程工作站将病毒传播到千里之外。
(3)感染新型设备:近期出现的病毒还可以感染一些新型设备,比如手机,掌上电脑,信息家电等。
(4)难于彻底清除:以往人们可以通过删除带病毒文件、低级格式化硬盘等措施将病毒彻底清除。而现在,只要企业网(局域网)里有一台工作站未能消毒干净,就可能使整个网络重新被病毒感染。
(5)破坏性更大:病毒将直接影响网络的工作,轻则降低速度,影响工作效率,重则使网络崩溃,使网络服务陷于瘫痪。
(6)智能化程度更高:新型病毒寻找并利用系统漏洞进行传播,具有黑客攻击性质,传播方式更加诡秘和难以琢磨。网上随处可得的后门、监控程序和系统漏洞为新型病毒的传播提供了便利。甚至有些病毒在感染不同的系统时自我变异,换上不同的面目,给查杀工作带来更大难度。
为了对付病毒的扩散,企业的网络管理员是疲于奔命,现在采用的手段主要有几种:
(1)从入口拦截病毒:设置网络防火墙和入侵检测等安全系统,最大程度的限制外部网络的攻击行为。
(2)强化内部设备的防毒能力:及时升级各种操作系统补丁;定期更新、升级杀毒软件病毒库。
这几种做法是目前网络管理员所常用的,也是有成效的。但是这些做法比较消极,处于被动挨打的地位。
举个简单的例子:类似于篱笆承建商(微软和杀毒软件厂商)帮用户修建了一道篱笆(防火墙等),而用户(网络管理员)成天在房子(电脑)里守着。承建商经常打电话过来说他们当初修建篱笆上有一个洞,并告诉用户的修补方案,用户就赶紧出来根据承建商提供的方案把这个洞给补上,稍微通知晚了(很有这个可能,承建商们通常是等到有狼(病毒)真正钻进(攻进)了其篱笆后才知道有了漏洞),狼(病毒)可能已经进来把羊给叼走了(将电脑或设备弄瘫痪了)。当然,可以考虑主动出击,在篱笆(防火墙)外面派一个“巡逻兵”,发现有狼(病毒)在钻洞(在攻击)的时候,及时通知用户,可以在承建商打电话之前,先把洞口暂时给堵(封闭)上,防止狼(病毒)进入,然后等待承建商完整的修补方案。
发明内容
本发明的目的是在病毒还未来得及攻击核心交换机等之前就及时发现攻击网络的含有病毒特征数据包,并将其网路位置展现在网管软件的物理拓扑图上,以达到及时阻止其攻击核心交换机等设备的目的。
本发明为了达到上述的目的,所采取的技术方案是:提供一种主动发现网络遭受病毒攻击的方法,以网管软件的物理拓扑图为基础,在物理拓扑图上显示有核心交换机,分支交换机,网络数据采集器,网管服务器以及包括各地方交换机的局域网;采用网络数据采集器在网络信息未进入核心交换机、分支交换机、网管服务器和局域网之前首先采集捕获网络数据,并将采集捕获到的网路数据包传送给网管服务器,网管服务器接收到该网络数据包后与病毒发作时的行为特征进行对比判断,筛选出含有病毒特征数据包,并依据物理拓扑图定位该含有病毒特征数据包的网络位置,及时阻止该含有病毒特征数据包对核心交换机、分支交换机以及包括各地方交换机的局域网的攻击。
本发明用于主动发现网络遭受病毒攻击的方法效果显著。
●如上述本发明的方法,因为本发明采用网络数据采集器对网路信息还未进入核心交换机、分支交换机以及局域网之前就进行采集捕获网路数据,并将捕获海量的网络数据包及时传送给网管服务器,网管服务器对捕获到的数据包依据病毒发作时的行为特征进行对比判断,筛选出含有病毒特征数据包,并及时对于该含有病毒特征数据包进行处理。为此能够在病毒还没有攻击到时就发现它,及时阻止了它的攻击和扩散。起到了上述的“巡逻兵”作用。
●如上述本发明的方法,因为以网管软件的物理拓扑图为基础,上述所筛选出的含有病毒特征数据包可以在物理拓扑图上显示出其网络位置以及中毒设备(PC机等)的连接状况。如该数据包的源MAC地址,源IP地址,以及是哪台设备(PC客户端)那个连接端口等的定位。
●如上述本发明的方法,因为通过在网络软件的物理拓扑图上的定位各个分支和地方的交换机(PC客户端)连接在哪个网络交换机的哪个设备的端口上。因此可以清楚地显示出中毒设备在物理拓扑图上的位置。这就能够为用户对中毒设备及时进行处理提供了宝贵时间。可以立即关闭中毒设备所连网络交换机的端口,使之与网络隔离,避免病毒的进一步扩散。
附图说明
图1是本发明方法所采用物理拓扑图一实施例的部署示意图。
图2是图1应用本发明的方法后显示中毒设备所连设备端口的示意图。
具体实施方式
本发明方法的具体方法步骤是:
(1)以网管软件的物理拓扑图为基础,在物理拓扑图上显示有核心交换机,与核心交换机相连接的分支交换机,网络数据采集器以及包括各地方交换机的局域网,网络数据采集器通过局域网连接的网管服务器。在本实施例中,所述物理拓扑图是由上海北塔软件股份有限公司提供的BTNM3.6网管软件(以下简称网管软件)中的物理拓扑图。如图1所示,所述核心交换机在该物理拓扑图上为总公司核心交换机2。与总公司核心交换机2连接的分支交换机1包括西南分公司、华南分公司、华北分公司以及东北分公司等交换机。局域网中所包括的各地方交换机如图1中所示,包括办公楼核心交换机3(如图1示,在本实施例中,包括办公楼A核心交换机、办公楼B核心交换机)以及各楼层交换机4(在本实施例中,包括A楼2F交换机、A楼3F交换机、A楼4F交换机、A楼5F交换机)。所述网络数据采集器5内至少置放两块网卡,其中一块网卡与核心交换机相连接,另一块网卡通过局域网与网管服务器相连接。在本实施例中,如图1所示,在网络数据采集器5内置放两块非光纤网卡,一块网卡与总公司核心交换机2相连接,用于采集捕获未进入总公司核心交换机2的网络数据包;另一块网卡通过局域网中的A楼2F交换机与网管服务器6相连接,用于正常网络通信等。
(2)采用网络数据采集器在网络信息未进入核心交换机之前进行采集捕获网络数据,并将采集捕获到的包括源MAC地址、源IP地址、目的IP地址、目的IP协议端口号和数据帧长度(或平均帧长度)的网络数据包发送给网管服务器。
在本实施例中,假设总公司核心交换机2总共有20个端口,网络数据采集器5中一网卡连接在总公司核心交换机2的物理端口20上。在总公司核心交换机2上进行物理端口镜像设置操作(可网管的网络交换机都具有该功能),将物理端口01至19的流量都镜像到物理端口20上,这样流经物理端口01至19的网络数据包将会自动复制一份发送到物理端口20上。
在本实施例中,所述网络数据采集器5所能实现的功能有:
1)网络数据采集器5用于采集捕获网络数据包的网卡连接在总公司核心交换机2的物理端口20上,便可以捕获所有将要进入总公司核心交换机2物理端口01至19的网络数据包。
2)所述网络数据采集器5解析数据包,提取数据包头的信息,包括:
a)以太帧类型:ARP、IP......;
b)IP协议类型:TCP、UDP、ICMP......;
c)源IP地址、目的IP地址;
d)源IP协议端口、目的IP协议端口;
e)数据帧长度。
3)在本实施例中,所述网络数据采集器5每隔10秒钟进行一次采集捕获网络数据包。该网络数据包内包括源MAC地址、源IP地址、目的IP地址、目的IP协议端口号和数据帧长度(或平均帧长度)如表1所示。
表1
4)所述网络数据采集器5使用另一网卡通过局域网中的楼层交换机4(A楼2F交换机)将上述网络数据包发送给网管服务器6。
(3)网管服务器6接收到上述网络数据采集器5发送来的网络数据包后,依据病毒在网络上发作时的行为特征进行分析判断,筛选出含有病毒特征数据包。
在本实施例中,从分析网络(流量)数据包的角度看,大部分病毒攻击网络的显著行为特征-即病毒在网络上发作时的行为特征主要有:
1、源MAC地址和源IP地址固定,是从中毒设备上发起的攻击。
2、目的IP地址不固定,且是连续的。因为病毒要扩散自己,必须完整的扫描内部网络或外部网络寻找新的攻击目标。
3、目的IP协议端口号固定,因为基本上每个病毒都是针对操作系统的某个特定的漏洞而开发出来的,所以目的IP协议端口号是比较固定的。
4、数据帧长度(平均帧长度)很小,通常小于150字节,没有冗余代码。因为大部分的病毒要更好的隐藏自己,都比较短小精悍,没有什么冗余代码,攻击的代码片段一般也很小。
在本实施例中,网管服务器6接收到上述网络数据采集器5发送来的网络数据包后,就是依据上述4条病毒在网络上发作时的行为特征进行分析判断,筛选找出含有病毒特征数据包。在本实施例中,网管服务器6接收到网络数据采集器5发来如表2所示的网路数据包。
表2:
网管服务器6将表2的网络数据包与上述4条病毒在网络上发作时的行为特征进行对照分析判断:
1、首先判断该网络数据包中是否有符合上述行为特征的第1和第2条:
A、以源MAC地址和源IP地址为索引,统计每个设备各自访问了多少个目的IP地址;
B、判断是否有设备访问了大量的目的IP:设定一个阀值(100),将在10秒钟内访问目的IP地址超过指定阀值的源MAC地址和源IP地址过滤出来。保存在一个临时列表中,临时列表的格式如表3所示:
表3
C、判断所访问的目的IP地址是否连续:依次根据源MAC地址和源IP地址从表格中提取数据,对访问目的中的目的IP地址列表进行离散分析,目的IP地址在某个小区间内比较集中时,则认为这个源IP和源MAC地址的设备确实是在对网络进行扫描;否则这个源MAC地址的设备可能只是在网络上进行BT(英文“BitTorrent”的简称,中文全称:“比特流”,是一种互联网上新兴的P2P传输协议)下载等P2P(英文“Peer-to-Peer”的简称,又称为“点对点”。下载术语,意思是在你自己下载的同时,自己的电脑还要继续做主机上传)行为,因为P2P行为所访问的是互联网上各个不同网段的IP地址,目的IP地址非常分散,需要将这个源IP和源MAC地址过滤掉。
2、判断临时列表3中剩下的数据包是否为上述的行为特征3:依次根据源IP地址和源MAC地址从剩下的临时列表中提取数据,分析所访问目的IP协议端口号。病毒数据包的特征是访问一个固定的目的IP协议端口。因为每一个病毒都是针对操作系统或应用系统上的某一个特定漏洞而开发出来的。而这个漏洞暴露在网络上的是一个可供访问的IP协议端口(TCP或UDP)。所以病毒需要扫描网络上某个特定IP协议端口,即目的IP协议端口号固定,以便寻找攻击的机会。因此根据上述原因,需要将访问不同IP目的协议端口的内容过滤掉。
3、判断临时列表3中剩下的数据包是否为上述的行为特征4:此时临时列表表3中剩下的内容是扫描网络的内容,继续进行分析,查看平均帧长度。病毒数据包的一个特征是短小精悍,所以在网络上的表现行为是帧流量大,但数据帧长度很小,一般小于150字节。因此可以将平均帧长度较大的,即大于150个字节的内容过滤掉(大于150个字节数据包可认为是正常的应用数据包)。
4、通过上述步骤的对比过滤,临时列表3中剩下的数据包如表4所示。表4中的数据包就是值得关注的数据包。
表4:
表4中MAC地址02 11 05 07 0c 0d,IP地址192.168.2.3的设备所访问的IP地址从192.168.0.8至192.168.3.5,完整的扫描了网络,它符合上述病毒在网络上发作时(攻击网络)的行为特征1和2;访问的目的IP协议端口号都是1433,符合病毒攻击网络的行为特征3;访问网络的平均帧长度是78字节(小于150字节),符合病毒攻击网络的行为特征4。所以,综合上述分析判断,筛选出表4中的数据包就是危险的含有病毒特征数据包。
(4)网管服务器6依据物理拓扑图通过IP地址簿(表5)定位上述含有病毒特征数据包的网络位置以及含有病毒特征数据包的设备所连接的交换机和所连接的端口,在物理拓扑图上显示出其位置并及时阻止该含有病毒特征数据包对核心交换机、分支交换机以及包括各地方交换机的局域网的攻击。
在本实施例中,网管服务器6对通过上述对比分析后,筛选出的含有病毒特征数据包(表4所示)的设备(PC机)根据其MAC地址02 11 05 070c 0d,IP地址192.168.2.3,进行定位这台设备(PC机)的位置。网管服务器6利用网管软件现有的(上海北塔软件股份有限公司提供的)IP地址簿(表5所示)的功能可以确定各个设备(PC机客户端)所连接的交换机和所连接的端口。因此,根据IP地址簿(表5)明确定位MAC地址02 1105 07 0c 0d,IP地址192.168.2.3的设备,它是连接在A楼4F交换机的端口16上。网管服务器6将该中毒设备(PC机)显著标注在物理拓扑图上。如图2所示,中毒设备7连接在A楼4F交换机8的16号端口9上。用户此时可以采用临时措施,关闭A楼4F交换机的16号端口,使得中毒设备与网络隔离,首先避免病毒进一步扩散,然后可以进一步对中毒设备7进行查杀病毒或重装操作系统的操作等。
表5:IP地址簿
| IP | MAC | 所连设备 | 所连端口 |
| 192.168.2.1 | 00-15-29-F2-12-6F | A楼4F交换机 | 4 |
| 192.168.2.2 | 00-0C-37-F2-12-83 | A楼4F交换机 | 6 |
| 192.168.2.5 | 00-16-29-F2-12-24 | A楼3F交换机 | 22 |
| 192.168.2.38 | 00-0C-9U-F2-12-3O | A楼3F交换机 | 5 |
| 192.168.2.4 | 00-4E-29-F2-12-5R | A楼4F交换机 | 21 |
| 192.168.2.3 | 02-11-05-07-0C-0D | A楼4F交换机 | 16 |
| 192.168.2.7 | 00-7Q-29-F2-12-46 | A楼4F交换机 | 21 |
| 192.168.2.6 | 00-0C-3T-46-12-6F | A楼3F交换机 | 18 |
| 192.168.2.9 | 00-0C-29-78-12-6F | A楼4F交换机 | 8 |
| 192.168.2.10 | 00-0C-30-F2-12-6F | A楼5F交换机 | 2 |
| 192.168.2.15 | 00-21-29-F2-12-6F | A楼5F交换机 | 9 |
上述表5是上海北塔软件股份有限公司的网管软件提供的IP地址簿的数据表格。该IP地址簿给出了以IP地址和MAC地址所代表的设备(PC机客户端),它确切连接在哪个交换机的哪个端口上。
综上所述,显然采用本发明的方法,可以及时发现攻击网络的病毒,甚至对于未公布的新病毒。在杀毒软件公司或操作系统厂商发布新的漏洞补丁之前,即可捕获该异常行为的病毒,及时进行处理,能够更好的保护用户网络的安全运行。
Claims (3)
1.一种主动发现网络遭受病毒攻击的方法,以网管软件的物理拓扑图为基础,在物理拓扑图上显示有核心交换机,分支交换机,网络数据采集器,网管服务器以及包括各地方交换机的局域网,其特征在于采用网络数据采集器在网络信息未进入核心交换机、分支交换机、网管服务器和局域网之前首先采集捕获网络数据,并将采集捕获到的网路数据包传送给网管服务器,网管服务器接收到该网络数据包后与病毒发作时的行为特征进行对比判断筛选出含有病毒特征数据包,并依据物理拓扑图定位该含有病毒特征数据包的网络位置,及时阻止该含有病毒特征数据包对核心交换机、分支交换机以及包括各地方交换机的局域网的攻击。
2.根据权利要求1所述的主动发现网络遭受病毒攻击的方法,其特征在于具体方法步骤是:
(1)以网管软件的物理拓扑图为基础,在物理拓扑图上显示有核心交换机,与核心交换机相连接的分支交换机,网络数据采集器以及包括各地方交换机的局域网,网络数据采集器通过局域网与网管服务器相连接,所述网络数据采集器内至少置放两块网卡,其中一块网卡与核心交换机相连接,另一块网卡通过局域网与网管服务器相连接;
(2)采用网络数据采集器在网络信息未进入核心交换机之前进行采集捕获网络数据,并将采集捕获到的包括源MAC地址、源IP地址、目的IP地址、目的IP协议端口号和数据帧长度的网络数据包发送给网管服务器;
(3)网管服务器接收到上述网络数据采集器发送来的网络数据包后,依据病毒在网络上发作时的行为特征进行分析判断,筛选出含有病毒特征数据包;
(4)网管服务器依据物理拓扑图通过IP地址簿定位上述含有病毒特征数据包的网络位置以及含有病毒特征数据包的设备所连接的交换机和所连接的端口,在物理拓扑图上显示出并及时阻止该含有病毒特征数据包对核心交换机、分支交换机以及包括各地方交换机的局域网的攻击。
3.根据权利要求1或2所述的主动发现网络遭受病毒攻击的方法,其特征在于所述病毒在网络上发作时的行为特征有:
<1>源MAC地址和源IP地址固定,是从中毒设备上发起的攻击;
<2>目的IP地址不固定,且是连续的;
<3>目的IP协议端口号固定;
<4>数据帧长度小于150字节,没有冗余代码。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 201110001025 CN102045366A (zh) | 2011-01-05 | 2011-01-05 | 主动发现网络遭受病毒攻击的方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 201110001025 CN102045366A (zh) | 2011-01-05 | 2011-01-05 | 主动发现网络遭受病毒攻击的方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN102045366A true CN102045366A (zh) | 2011-05-04 |
Family
ID=43911136
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN 201110001025 Pending CN102045366A (zh) | 2011-01-05 | 2011-01-05 | 主动发现网络遭受病毒攻击的方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102045366A (zh) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102394786A (zh) * | 2011-12-14 | 2012-03-28 | 武汉钢铁(集团)公司 | 一种手持式网络协议及威胁分析仪 |
| CN105897571A (zh) * | 2016-04-07 | 2016-08-24 | 周文奇 | 一种工业通信安全网关 |
| CN108712406A (zh) * | 2018-05-07 | 2018-10-26 | 广东电网有限责任公司 | 非法数据源追溯方法、装置、用户终端和计算机存储介质 |
| CN108881145A (zh) * | 2017-12-26 | 2018-11-23 | 北京安天网络安全技术有限公司 | 入侵检测规则优化方法、装置、电子设备及存储介质 |
| CN111224997A (zh) * | 2020-01-17 | 2020-06-02 | 杭州迪普科技股份有限公司 | 一种抑制病毒在局域网中传播的方法及装置 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1905471A (zh) * | 2005-07-28 | 2007-01-31 | 深圳市世纪大吉网络通讯有限公司 | 一种主动探测病毒防护系统及其防护方法 |
| CN101477364A (zh) * | 2008-12-29 | 2009-07-08 | 上海昊沧系统控制技术有限责任公司 | 系统数据库之间转发数据系统 |
| CN101547126A (zh) * | 2008-03-27 | 2009-09-30 | 北京启明星辰信息技术股份有限公司 | 一种基于网络数据流的网络病毒检测方法及装置 |
| CN101815017A (zh) * | 2010-03-08 | 2010-08-25 | 国电南瑞科技股份有限公司 | 基于混杂模式的电力系统全通道在线双向监听分析方法 |
| CN101931559A (zh) * | 2010-09-02 | 2010-12-29 | 上海北塔软件股份有限公司 | 展现访问业务流量分布的方法 |
-
2011
- 2011-01-05 CN CN 201110001025 patent/CN102045366A/zh active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1905471A (zh) * | 2005-07-28 | 2007-01-31 | 深圳市世纪大吉网络通讯有限公司 | 一种主动探测病毒防护系统及其防护方法 |
| CN101547126A (zh) * | 2008-03-27 | 2009-09-30 | 北京启明星辰信息技术股份有限公司 | 一种基于网络数据流的网络病毒检测方法及装置 |
| CN101477364A (zh) * | 2008-12-29 | 2009-07-08 | 上海昊沧系统控制技术有限责任公司 | 系统数据库之间转发数据系统 |
| CN101815017A (zh) * | 2010-03-08 | 2010-08-25 | 国电南瑞科技股份有限公司 | 基于混杂模式的电力系统全通道在线双向监听分析方法 |
| CN101931559A (zh) * | 2010-09-02 | 2010-12-29 | 上海北塔软件股份有限公司 | 展现访问业务流量分布的方法 |
Non-Patent Citations (1)
| Title |
|---|
| 《电力信息化》 20061231 上海北塔通讯网络科技发展有限公司 内网安全保障--三分技术 七分管理 108-109 1-3 第4卷, 第9期 * |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102394786A (zh) * | 2011-12-14 | 2012-03-28 | 武汉钢铁(集团)公司 | 一种手持式网络协议及威胁分析仪 |
| CN105897571A (zh) * | 2016-04-07 | 2016-08-24 | 周文奇 | 一种工业通信安全网关 |
| CN108881145A (zh) * | 2017-12-26 | 2018-11-23 | 北京安天网络安全技术有限公司 | 入侵检测规则优化方法、装置、电子设备及存储介质 |
| CN108712406A (zh) * | 2018-05-07 | 2018-10-26 | 广东电网有限责任公司 | 非法数据源追溯方法、装置、用户终端和计算机存储介质 |
| CN111224997A (zh) * | 2020-01-17 | 2020-06-02 | 杭州迪普科技股份有限公司 | 一种抑制病毒在局域网中传播的方法及装置 |
| US11736514B2 (en) | 2020-01-17 | 2023-08-22 | Hangzhou Dptech Technologies Co., Ltd. | Suppressing virus propagation in a local area network |
| US12095809B2 (en) | 2020-01-17 | 2024-09-17 | Hangzhou Dptech Technologies Co., Ltd. | Suppressing virus propagation in a local area network |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11757836B2 (en) | Management of internet of things (IoT) by security fabric | |
| AU2019218747B2 (en) | Enhanced device updating | |
| EP3171572B1 (en) | Network security protection method and device | |
| CA3083913A1 (en) | Contextual risk monitoring | |
| Portokalidis et al. | Sweetbait: Zero-hour worm detection and containment using low-and high-interaction honeypots | |
| US20150326587A1 (en) | Distributed system for bot detection | |
| CN100435513C (zh) | 网络设备与入侵检测系统联动的方法 | |
| CN112738071B (zh) | 一种攻击链拓扑的构建方法及装置 | |
| KR101156005B1 (ko) | 네트워크 공격 탐지 및 분석 시스템 및 그 방법 | |
| CN110798482B (zh) | 基于linux网络过滤器的系统级蜜罐网络隔离系统 | |
| CN102045366A (zh) | 主动发现网络遭受病毒攻击的方法 | |
| Song et al. | Cooperation of intelligent honeypots to detect unknown malicious codes | |
| Kumar et al. | Integrating intrusion detection system with network monitoring | |
| US20230319094A1 (en) | Matching common vulnerabilities and exposures | |
| Araújo et al. | EICIDS-elastic and internal cloud-based detection system | |
| KR101375375B1 (ko) | 좀비 컴퓨터 블랙리스트 수집에 기초한 좀비 컴퓨터 탐지 및 방어 시스템 | |
| Luo et al. | DDOS Defense Strategy in Software Definition Networks | |
| Raju et al. | Network Intrusion Detection System Using KMP Pattern Matching Algorithm | |
| Pao et al. | Netflow based intrusion detection system | |
| Tang | The generation of attack signatures based on virtual honeypots | |
| Rodrigues et al. | Design and implementation of a low-cost low interaction IDS/IPS system using virtual honeypot approach | |
| Portokalidis et al. | SweetBait: Zero-hour worm detection and containment using honeypots | |
| Bhumika et al. | Use of honeypots to increase awareness regarding network security | |
| Scandariato et al. | An automated defense system to counter internet worms | |
| Chehab | An adaptive intrusion detection and defense system based on mobile agents |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C02 | Deemed withdrawal of patent application after publication (patent law 2001) | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20110504 |