CN102790778A - 一种基于网络陷阱的DDoS攻击防御系统 - Google Patents
一种基于网络陷阱的DDoS攻击防御系统 Download PDFInfo
- Publication number
- CN102790778A CN102790778A CN2012102993221A CN201210299322A CN102790778A CN 102790778 A CN102790778 A CN 102790778A CN 2012102993221 A CN2012102993221 A CN 2012102993221A CN 201210299322 A CN201210299322 A CN 201210299322A CN 102790778 A CN102790778 A CN 102790778A
- Authority
- CN
- China
- Prior art keywords
- data
- ddos attack
- network
- attack
- module
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开一种基于网络陷阱的DDoS攻击防御系统,该系统包括蜜罐控制台、多个蜜罐系统、报警代理和数据分流器,所述蜜罐系统是一台欺骗主机,其操作系统和主机操作系统相同,其外部特征能够吸引攻击者的入侵,并通过蜜罐控制台将攻击数据引入数据分流器,实现对网络的保护。该系统能够抵御已知的DDoS攻击,引诱攻击者进入陷阱系统,减少攻击者对网络中其它系统的危害,同时对网络中的数据流量进行分流处理,把正常流和DDoS攻击流区分开,并过滤掉DDoS攻击流,使正常流根据源路由访问目的主机。
Description
技术领域
本发明是属于网络安全技术领域,尤其涉及一种基于网络陷阱的分布式拒绝服务攻击(DDoS)的防御系统,其用于在自治域网络或局域网中发生DDoS攻击的情况下,能对攻击快速响应,诱导攻击进入网络陷阱,并有效地分离合法数据流和攻击数据流。
背景技术
随着互联网的迅速发展,网络安全已经成为一个备受关注的问题,人们也越来越重视对网络攻击的检测和防范。在众多网络攻击中,分布式拒绝服务攻击(DDoS)是一种简单有效但很难防御的攻击方式。DDoS攻击是一种分布式、协作的大规模拒绝服务攻击,具有攻击范围广、隐蔽性强等特点。目前,在技术手段上尚无完全有效的防范方法,因为它是利用缓冲区溢出或TCP/IP协议自身的缺陷,产生大量“合法”的数据包来攻击目标,如TFN2K,Ping of death,SYN攻击种类等。经过流量分析,DDoS攻击数据流量一般具有例如:攻击流量目的地址过于集中且无拥塞控制;流向目的主机的TCP/UDP流量目的端口过多或目的端口过于集中;流向目的主机中流量包含大量的相同标志位数据包等特点。DDoS攻击的实质是使服务器处理超过其正常限度的数据量,因此实施监控和分析这些数据量的变化,区分正常和异常的特征,是DDoS攻击检测和防护的有效途径。
为了能够更加有效地对抗DDoS攻击,一些研究机构和学者从控制网络数据流量这一角度出发,把网络陷阱技术引入进来。网络陷阱是一种主动的网络保护技术,由放置在网络中的多个蜜罐系统和一个远程的蜜罐控制台组成。网络陷阱建立一个诱骗环境来吸引攻击者,观察并记录其攻击行为,使攻击者在网络陷阱中耗费精力和技术,从而保护了真实的系统和资源;通过分析蜜罐系统记录的数据还可以了解攻击者的动向、使用和新攻击方法等。网络陷阱技术使抵抗攻击行为变被动为主动,打破了防火墙、入侵检测系统等被动防御的网络安全机制。但传统的网络陷阱对于DDoS攻击只是简单地进行丢弃数据包的处理,造成正常用户也不能访问网络资源的结果。
发明内容
基于现有技术中的问题,本发明提出了一种基于网络陷阱的DDoS攻击防御系统。它能够抵御已知的DDoS攻击,引诱攻击者进入陷阱系统,减少攻击者对网络中其它系统的危害,同时对网络中的数据流量进行分流处理,把正常流和DDoS攻击流区分开,并过滤掉DDoS攻击流,使正常流根据源路由访问目的主机。
本发明的技术方案是:一种基于网络陷阱的DDoS攻击防御系统,包括蜜罐控制台、多个蜜罐系统、报警代理和数据分流器,其特征在于:
所述蜜罐系统安装在主机设备上,并挂入主机设备的操作系统,通过模拟正常服务的网络流量,对网络探测、扫描和访问进行欺骗,吸引攻击者进入;并在日志中记录进入陷阱网络的攻击者的所有活动;
所述蜜罐控制台安装在服务器设备上,用于对蜜罐系统上捕获的网络数据进行分析,当发现DDoS攻击数据流时,向数据分流器发送警报信号;所述蜜罐控制台还用于对网络中部署的所有蜜罐系统进行管理和监控,完成对蜜罐系统的配置和信息查询;
所述警报代理安装在主机设备上,用于向数据分流器和/或网络管理员发出报警;
所述数据分流器安装在服务器设备上,用于根据过滤策略对数据流进行分流,过滤掉DDoS攻击数据流,保证合法数据包继续传送到目的主机。
所述蜜罐系统和蜜罐控制台构成网络陷阱。
进一步,所述蜜罐系统包括数据欺骗模块、数据捕获模块和数据通信模块,
所述数据欺骗模块用于对网络探测、扫描和访问进行欺骗,模拟正常服务的网络流量,吸引攻击者进入;
所述数据捕获模块用户实时监听陷阱系统中的各种探测、扫描和访问,并对各种行为进行记录,形成标准格式的信息;
所述数据通信模块用于在蜜罐系统和蜜罐控制台之间的通信,其包括加密和解密模块。
进一步,所述数据捕获模块捕获的数据通过所述数据通信模块保存于蜜罐控制台的数据库模块中。
进一步,所述数据欺骗模块欺骗的方式为伪装服务、开放端口或放置敏感文件。
作为优化方案,所述蜜罐控制台包括数据库模块和数据分析模块,
所述数据库模块用于捕获数据的处理和存储,并根据需要提供查询、打印和统计的功能。
所述数据分析模块用于对可疑的攻击流进行进一步的分析,以确定是否是DDoS攻击。
作为再一优化方案,所述数据分流器包括规则数据库模块和过滤模块,
所述规则数据库模块用于通过知识发现,形成了描述数据流的行为特征的规则集,所述规则用于描述各种DDoS攻击流的特征。
所述过滤模块用于根据规则数据库中的规则对数据流进行分析和过滤,将合法流和攻击流分开,并将合法数据流导向正常服务区,滤掉已知的攻击流。
进一步地,还包括防火墙,所述防火墙设置在网络入口处,直接与因特网相连,用于监听和阻塞向外发送的数据包;所述防火墙还用于动态分流将可疑数据流转接到陷阱系统中。
又进一步地,还包括路由器,所述路由器设置在防火墙和蜜罐系统之间,用于保护蜜罐系统不被用做攻击其他系统的跳板。
再进一步地,还包括入侵检测系统,所述入侵检测系统设置在防火墙之后,用于初步检测流入的数据流,针对可疑攻击主动向所述防火墙,并通过所述防火墙的将后续的数据流转向蜜罐系统中。
本发明的有益效果是:与现有的DDoS攻击防御系统相比,具有以下优点:
1.提供了全自动的防御和分流方法
以往的一些方案,攻击防御需要人工参与,当发生DDoS攻击时,往往得不到及时处理,此外误报率也很大。本发明提出的系统中所有的监控、检测、报警和分流都可以自动进行处理,不需要人工的参与,因此,响应攻击更及时,反映更快速。
2.具有自学习性
本发明提出的系统采用聚类k-means方法和Apriori关联规则数据挖掘方法进行知识发现,并根据数据流的特征产生新的流量规则,系统能发现并检测新的DDoS攻击。
3.不会影响正常用户对网络的访问
本发明的系统中采用数据分流技术,能够把正常数据流从DDoS攻击流中分离出来,不会对正常用户访问网络资源造成影响。
附图说明
图1是本发明系统结构示意图
图2是蜜罐系统结构示意图
图3是蜜罐控制台结构示意图
图4是数据分析模块具体流程图
图5是数据分流器结构示意图
具体实施方式
图1所示的本发明系统结构示意图,物理上由一个蜜罐控制台、多个蜜罐系统、一个警报代理和一个数据分流服务器组成。这些在网络中部署的蜜罐系统可以形成一个安全防御体系。其中每一个蜜罐系统就是一台欺骗主机,它具有的外部特征能够吸引攻击者的入侵,蜜罐系统可建立多个操作系统伪装环境,其操作系统和主机操作系统相同。攻击者可通过两种途径进入蜜罐系统,一是攻击者发现蜜罐系统上的敏感信息或系统漏洞借助攻击工具进入;二是入侵检测系统检测出当前数据流是可疑攻击数据流,通过防火墙的地址转向功能将可疑数据转向到蜜罐系统中。
在实际组网中,蜜罐系统与蜜罐控制台异地部署,并由防火墙分隔开来,它们之间的联系采用TCP方式,设置为只有蜜罐系统中捕获的数据加密后才可到达蜜罐控制台。蜜罐控制台可以对网络中所有的蜜罐进行远程的监控,并根据检测数据判别是否发生DDoS攻击,以及是否发出警报启动数据分流程序。
警报代理,用来检测到DDoS攻击流后向数据分流器发出报警,由数据分流器对攻击数据流进行分流处理,也可向网络管理员发出警报,实现对攻击数据流进行人工干预。
数据分流器安装在服务器设备上,其作用是根据一定的过滤策略对数据流量进行分流,如符合某条DDoS攻击流特征就进行丢弃处理,如果是正常数据流就进行网络地址转换。经过数据分流器处理的是被入侵检测系统检测出存在威胁的数据流,再通过蜜罐控制台的细化分析是否发生DDoS攻击,对警报事件动态地进行过滤措施,把合法数据包和DDoS攻击包分离开。合法包将沿原来的路由到达目的主机,DDoS攻击包则被过滤掉。
蜜罐控制台和多个蜜罐系统构成网络陷阱系统,网络陷阱系统中还包括防火墙、路由器和入侵检测系统(IDS)。防火墙设置在网络入口处,直接与因特网相连,在其出口处进行控制,允许所有的进入的连接,控制出去的连接,一旦蜜罐系统向因特网的连接达到一定的数目,防火墙就阻断所以后续的连接企图,避免蜜罐系统成为攻击者的跳板。此外,防火墙具有动态分流的作用,当入侵检测系统检测到可疑数据流时,可以将可疑数据流转接到陷阱系统中。
路由器设置在防火墙和蜜罐系统之间,首先,路由器隐藏了防火墙;当攻击者进入蜜罐系统后,发现蜜罐系统由路由器连接着外网,这种布局更符合一个真实的网络,其次,路由器可以作为第二层访问控制设备成为防火墙的补充,在路由器上设置着访问控制表,可以把所有源地址不是蜜罐系统的数据包都过滤掉,防止攻击者在控制蜜罐系统后,伪造源IP地址向其它主机发起攻击。
入侵检测系统设置在防火墙之后。入侵检测系统用于初步检测流入的数据流,当入侵检测系统认为当前流量正常时,就放行流量;当检测到可疑攻击时,入侵检测系统主动向防火墙发出信息,通过防火墙的地址转向功能将后续的数据流转向蜜罐系统中,进一步观察其行为。入侵检测系统也具有知识学习的能力,当发现新的入侵行为时,蜜罐控制台分析数据产生新的攻击规则,入侵检测系统的规则库随之更新,从而使入侵检测系统可以检测出新的入侵行为。这里所使用的入侵检测系统是开放源码的Snort。
如图2所示是蜜罐系统结构示意图。对蜜罐系统的部署涉及三个模块,包括:
数据欺骗模块,以实现对网络攻击的诱导功能。一般用伪装服务、开放端口和放置敏感文件等形式对网络探测、扫描和访问进行欺骗,通过网络流量仿真软件模拟正常服务的网络流量,吸引攻击者进入。
数据捕获模块,以实现对网络数据的捕获功能。在攻击者没有察觉的情况下,尽可能多地捕获有关攻击者的行为数据,进行实时监听蜜罐系统中的各种探测、扫描和访问,也包括攻击者对蜜罐系统中的文件的读取、数据删改等操作,并对各种行为进行记录,并形成标准格式的信息。数据捕获模块要从各种不同的数据源收集数据,分层次地进行数据捕获,像防火墙日志、入侵检测系统日志和蜜罐系统日志都要包含在内。为了更全面完整地捕获攻击者的有关信息,还可以使用第三方软件来记录攻击者的网络通信和系统活动。
数据通信模块,以实现蜜罐系统和蜜罐控制台数据通信的功能。为了防止攻击者对捕获地数据进行破坏,捕获到的数据不能保存在蜜罐系统中,捕获到的数据通过数据通信模块存储到控制台的数据库模块中。在各蜜罐系统和控制台服务器都有通信模块,它使用统一的数据传输格式传输数据,发送数据前进行加密,接收数据后进行解密,保证传输在网络上的数据都是加密状态传送的,常用的加密方法有MD5等。
如图3所示是蜜罐控制台结构示意图。对蜜罐控制台的部署涉及两个模块,包括:
数据库模块,以实现将数据捕获模块获取的数据存储在数据库的功能,数据库模块作为远程数据处理和存储中心,可以根据需要查询、打印和统计各种原始数据。数据库模块中的数据包含防火墙日志、入侵检测系统日志和蜜罐系统的系统日志等。系统可设置一定的时间间隔或人工地对数据库中信息进行分类,以方便规则的提取。
数据分析模块,以实现数对数据库模块上的信息进行处理。数据分析模块对有可疑的攻击流进行进一步的分析,如果这种可疑攻击可能是DDoS攻击,则向警报代理发出预警,将网络数据导向数据分流器。数据分析的过程如图4所示,具体的步骤如下:
步骤1 利用数据库模块获取的蜜罐系统捕获的数据,通过预处理转化为连接记录。
对蜜罐系统捕获的数据预处理,转化为连接记录,每个连接记录中包含9个属性:time, flag, direction,src-host,dst host,src byte,dst-byte,src_port,service。其含义分别为:time表示一个连接发生的时间;flag表示连接结束的状态;direction根据数据包的从源地址到目的地址的方向;src- host表示源主机IP;dste host表示目的主机IP;srcwe byte表示发送方发出的字节数;dst-byte表示目的方发送的字节数;src_port表示发送方的端口号;service表示服务类型。其中,src byte和dst-byte字段是数值属性的统计量。
步骤2 采用聚类k-means方法对连接记录进行处理,将连接记录转化为流量特征。
步骤2.1 选k个初始聚类中心:z1(1),z2(1),…,z k (1),聚类中心的向量值可以任意设定,一般可用开始k样本点作为初始聚类中心。
步骤2.2 逐个将需分类的数据包样本{x}按最小距离原则分配给聚类中心的某一个zj(1)。假如i=j时,Dj(l)=min{ ,i=1,2,…,k},则x∈Sj(l),其中l为迭代运算次序号,第一次迭代则l=1,Sj表示第j个聚类,其聚类中心为zj。
步骤2.3 计算各个聚类中心的新的向量值,即求各聚类域中包含样本的均值向量:zj(l+1)=
,j=1,2,…,k,其中N j 是第j个聚类域S j 中所包含的样本数。以均值向量为新的聚类中心,使聚类准则函数Jj=
最小,其中j=1,2,…,k。
步骤2.4 如果z j (l+1)≠z j (l),j=1,2,…,k,则l=l+1,回到步骤2.2,将样本逐个重新分类,重复迭代计算。如果z j (l+1)=z j (l),j =1,2,…,k,则算法收敛,计算完毕。这样就将原有的包含数值属性的字段全部替换为布尔型,形成数据的流量特征。
步骤3 进行DDoS攻击数据流的判别,当发现DDoS攻击时,向警报代理发出信号。
步骤4 采用Apriori关联规则数据挖掘方法进行知识发现,并根据数据流的特征产生的新规则。可以得到如下的关联规则:(service:http&duration:0&src一byte:0&dst_byte:()→flag:s0) [support=5.14%,confidence=95.68%]。其意思是:当某外部主机用http进行时,其连接时间为0,源和目标之间的传送数据也为0,仅发送出一个数据包的支持度为5.14%,可信度为95.68%,这样的连接可视为不正常。
根据新规则对入侵检测系统的规则库进行更新,从而使入侵检测系统可以检测出新的入侵行为。特别地,当攻击类型是DDoS攻击时,将提取出的规则发送到数据分流器的规则数据库模块中,从而使数据分流器可以过滤到新型DDoS攻击数据流。
如图5所示是数据分流器结构示意图,对数据分流器的部署涉及两个模块:
规则数据库模块,以实现保存可描述的所有DDoS攻击流的规则的功能。根据长时间的知识发现,形成了比较完整地描述数据流的行为特征的规则集,可描述出各种DDoS攻击流的特征。当发生DDoS攻击时,由控制台服务器的数据分析模块传送新规则,实现实时更新规则数据库。规则数据库模块是实现分流机制的数据基础,过滤模块正是使用规则数据库的规则对数据流进行过滤的。
实际操作的过程是:首先,接收从蜜罐控制台的数据分析模块传送过来的新规则。其次,分析新规则的实用性。如果产生的是无用的规则,系统就丢弃掉;如果新规则比原来的规则更精确,就更新原有规则;如果是新的DDoS攻击规则,就把此规则加入到数据库中,更新数据库。
过滤模块:收到警报器发出的警报后,比对规则数据库中的DDoS攻击流的特征,根据已有的规则对数据流进行过滤,将合法流和攻击流分开,将合法数据流导向正常服务区,并过滤掉的攻击流。
该防御系统主要解决了三个问题:
(1)使用网络陷阱吸引攻击者的注意,来保护实际运行的网络和系统。
(2)实时检测当前网络流量的异常状态,发现可疑攻击时,把后续数据流导向网络陷阱中。
(3)利用网络陷阱的数据分析功能,分析可疑数据流的特征,当确定是DDoS攻击时,根据已有的规则对数据流进行过滤,将合法流和DDoS攻击流分开,将合法数据流导向正常服务区,并过滤掉的攻击流。
以上所述的实例只是用于说明本发明,而不构成对本发明的限制。本领域的技术人员可以根据本发明公开的这些技术启示做出各种不脱离本发明实质的其它各种修改和变更,这些修改和变更仍然在本发明的保护范围内。
Claims (10)
1.一种基于网络陷阱的DDoS攻击防御系统,包括蜜罐控制台、多个蜜罐系统、报警代理和数据分流器,其特征在于:
所述蜜罐系统安装在主机设备上,并挂入主机设备的操作系统,通过模拟正常服务的网络流量,对网络探测、扫描和访问进行欺骗,吸引攻击者进入;并在日志中记录进入陷阱网络的攻击者的所有活动;
所述蜜罐控制台安装在服务器设备上,用于对蜜罐系统上捕获的网络数据进行分析,当发现DDoS攻击数据流时,向数据分流器发送警报信号;所述蜜罐控制台还用于对网络中部署的所有蜜罐系统进行管理和监控,完成对蜜罐系统的配置和信息查询;
所述警报代理安装在主机设备上,用于向数据分流器或网络管理员发出报警;
所述数据分流器安装在服务器设备上,用于根据过滤策略对数据流进行分流,过滤掉DDoS攻击数据流,保证合法数据包继续传送到目的主机。
2.根据权利要求1所述的一种基于网络陷阱的DDoS攻击防御系统,其特征在于:所述蜜罐系统包括数据欺骗模块、数据捕获模块和数据通信模块,
所述数据欺骗模块用于对网络探测、扫描和访问进行欺骗,模拟正常服务的网络流量,吸引攻击者进入;
所述数据捕获模块用于用户实时监听陷阱系统中的各种探测、扫描和访问,并对各种行为进行记录,形成标准格式的信息;
所述数据通信模块用于在蜜罐系统和蜜罐控制台之间的通信,其包括加密和解密模块。
3.根据权利要求1所述的一种基于网络陷阱的DDoS攻击防御系统,其特征在于:所述蜜罐控制台包括数据库模块和数据分析模块;
所述数据库模块用于捕获数据的处理和存储,并根据需要提供查询、打印和统计的功;
所述数据分析模块用于对可疑的攻击流进行分析,以确定是否是DDoS攻击。
4.根据权利要求1所述的一种基于网络陷阱的DDoS攻击防御系统,其特征在于:所述数据分流器包括规则数据库模块和过滤模块;
所述规则数据库模块用于形成描述数据流的行为特征的规则集,所述规则用于描述各种DDoS攻击流的特征;
所述过滤模块用于根据规则数据库中的规则对数据流进行分析和过滤,将合法流和攻击流分开,并将合法数据流导向正常服务区,滤掉已知的DDoS攻击流。
5.根据权利要求2所述的一种基于网络陷阱的DDoS攻击防御系统,其特征在于:所述数据捕获模块捕获的数据通过所述数据通信模块保存于蜜罐控制台的数据库模块中;所述数据欺骗模块欺骗的方式为伪装服务、开放端口或放置敏感文件。
6.根据权利要求1所述的一种基于网络陷阱的DDoS攻击防御系统,其特征在于:还包括防火墙,所述防火墙设置在网络入口处,直接与因特网相连,用于监听和阻塞向外发送的数据包;所述防火墙还用于动态分流将可疑数据流转接到陷阱系统中。
7.根据权利要求6所述的一种基于网络陷阱的DDoS攻击防御系统,其特征在于:还包括路由器,所述路由器设置在防火墙和蜜罐系统之间,用于保护蜜罐系统不被用做攻击其它系统的跳板。
8.根据权利要求7所述的一种基于网络陷阱的DDoS攻击防御系统,其特征在于:还包括入侵检测系统,所述入侵检测系统设置在防火墙之后,用于初步检测流入的数据流,针对可疑攻击主动向所述防火墙,并通过所述防火墙将后续的数据流转向蜜罐系统中。
9.根据权利要求4所述的一种基于网络陷阱的DDoS攻击防御系统,其特征在于:所述规则集形成的步骤为:
步骤1 利用所述数据库模块获取的蜜罐系统捕获的数据,通过预处理转化为连接记录;
步骤2 采用聚类k-means方法对连接记录进行处理,将连接记录转化为流量特征;
步骤3 进行DDoS攻击数据流的判别,当发现DDoS攻击时,向警报代理发出信号;
步骤4 采用Apriori关联规则数据挖掘方法进行知识发现,根据数据流的特征产生的新规则,并根据新规则对入侵检测系统的规则库进行更新。
10.根据权利要求9所述的一种基于网络陷阱的DDoS攻击防御系统,其特征在于:所述步骤2的具体步骤为:
步骤2.1 选k个初始聚类中心:z1(1),z2(1),…,z k (1);
步骤2.2 逐个将需分类的数据包样本{x}按最小距离原则分配给聚类中心的任意值zj(1);假如i=j时,D j (l)=min{,i=1,2,…,k},则x∈S j (l),其中l为迭代运算次序号,第一次迭代则l=1,Sj表示第j个聚类,其聚类中心为zj;
步骤2.3 计算各聚类域中包含样本的均值向量:
zj(l+1)= 
,j=1,2,…,k;其中Nj是第j个聚类域S j 中所包含的样本数,以均值向量为新的聚类中心,使聚类准则函数Jj=最小,其中j =1,2,…,k;
步骤2.4 如果z j (l+1)≠z j (l),j=1,2,…,k,则l=l+1,回到步骤2.2;如果z j (l+1)=z j (l),j =1,2,…,k,则计算完毕,形成数据的流量特征。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2012102993221A CN102790778A (zh) | 2012-08-22 | 2012-08-22 | 一种基于网络陷阱的DDoS攻击防御系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2012102993221A CN102790778A (zh) | 2012-08-22 | 2012-08-22 | 一种基于网络陷阱的DDoS攻击防御系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN102790778A true CN102790778A (zh) | 2012-11-21 |
Family
ID=47156078
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2012102993221A Pending CN102790778A (zh) | 2012-08-22 | 2012-08-22 | 一种基于网络陷阱的DDoS攻击防御系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102790778A (zh) |
Cited By (44)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103051615A (zh) * | 2012-12-14 | 2013-04-17 | 陈晶 | 一种蜜场系统中抗大流量攻击的动态防御系统 |
| CN103281341A (zh) * | 2013-06-27 | 2013-09-04 | 福建伊时代信息科技股份有限公司 | 网络事件处理方法及装置 |
| CN103368979A (zh) * | 2013-08-08 | 2013-10-23 | 电子科技大学 | 一种基于改进K-means算法的网络安全性验证装置 |
| CN104486320A (zh) * | 2014-12-10 | 2015-04-01 | 国家电网公司 | 基于蜜网技术的内网敏感信息泄露取证系统及方法 |
| CN104850093A (zh) * | 2014-02-13 | 2015-08-19 | 西门子公司 | 用于监控自动化网络中的安全性的方法以及自动化网络 |
| US9535731B2 (en) | 2014-11-21 | 2017-01-03 | International Business Machines Corporation | Dynamic security sandboxing based on intruder intent |
| CN107070929A (zh) * | 2017-04-20 | 2017-08-18 | 中国电子技术标准化研究院 | 一种工控网络蜜罐系统 |
| CN107332823A (zh) * | 2017-06-06 | 2017-11-07 | 北京明朝万达科技股份有限公司 | 一种基于机器学习的服务器伪装方法和系统 |
| CN107347067A (zh) * | 2017-07-07 | 2017-11-14 | 深信服科技股份有限公司 | 一种网络风险监控方法、系统及安全网络系统 |
| CN107360145A (zh) * | 2017-06-30 | 2017-11-17 | 北京航空航天大学 | 一种多节点蜜罐系统及其数据分析方法 |
| CN107465663A (zh) * | 2017-07-06 | 2017-12-12 | 广州锦行网络科技有限公司 | 一种网络无痕蜜罐的实现方法及装置 |
| CN107547546A (zh) * | 2017-09-05 | 2018-01-05 | 山东师范大学 | 基于卡片电脑的轻量级高交互蜜网数据传输方法、系统 |
| CN107579997A (zh) * | 2017-09-30 | 2018-01-12 | 北京奇虎科技有限公司 | 无线网络入侵检测系统 |
| CN107707576A (zh) * | 2017-11-28 | 2018-02-16 | 深信服科技股份有限公司 | 一种基于蜜罐技术的网络防御方法及系统 |
| CN107819731A (zh) * | 2016-09-13 | 2018-03-20 | 北京长亭科技有限公司 | 一种网络安全防护系统及相关方法 |
| CN107911244A (zh) * | 2017-11-17 | 2018-04-13 | 华南理工大学 | 一种云网结合的多用户蜜罐终端系统及其实现方法 |
| CN108134781A (zh) * | 2017-12-12 | 2018-06-08 | 浪潮云上(贵州)技术有限公司 | 一种重要信息数据保密监控系统 |
| CN108183884A (zh) * | 2017-11-30 | 2018-06-19 | 高旭磊 | 一种网络攻击判定方法及装置 |
| CN108366088A (zh) * | 2017-12-28 | 2018-08-03 | 广州华夏职业学院 | 一种用于教学网络系统的信息安全预警系统 |
| CN108429762A (zh) * | 2018-04-13 | 2018-08-21 | 中国石油大学(华东) | 一种基于服务角色变换的动态蜜罐防御方法 |
| CN108768989A (zh) * | 2018-05-18 | 2018-11-06 | 刘勇 | 一种采用拟态技术的apt攻击防御方法、系统 |
| CN108833333A (zh) * | 2018-04-12 | 2018-11-16 | 中国科学院信息工程研究所 | 一种基于dcs分布式控制的蜜罐系统 |
| CN109257389A (zh) * | 2018-11-23 | 2019-01-22 | 北京金山云网络技术有限公司 | 一种攻击处理方法、装置及电子设备 |
| CN109347794A (zh) * | 2018-09-06 | 2019-02-15 | 国家电网有限公司 | 一种Web服务器安全防御方法 |
| CN109547250A (zh) * | 2018-11-26 | 2019-03-29 | 深信服科技股份有限公司 | 云蜜网装置及云蜜网配置方法、系统、设备、计算机介质 |
| CN109696892A (zh) * | 2018-12-21 | 2019-04-30 | 上海瀚之友信息技术服务有限公司 | 一种安全自动化系统及其控制方法 |
| CN110581836A (zh) * | 2018-06-11 | 2019-12-17 | 阿里巴巴集团控股有限公司 | 一种数据处理方法、装置及设备 |
| CN110659487A (zh) * | 2018-06-30 | 2020-01-07 | Ovh公司 | 用于保护基础设施免受分布式拒绝服务攻击的方法和系统 |
| CN111083117A (zh) * | 2019-11-22 | 2020-04-28 | 上海交通大学 | 一种基于蜜罐的僵尸网络的追踪溯源系统 |
| CN111212091A (zh) * | 2020-02-28 | 2020-05-29 | 太仓红码软件技术有限公司 | 一种基于目标诱导的引导式网络安全系统 |
| CN111556068A (zh) * | 2020-05-12 | 2020-08-18 | 上海有孚智数云创数字科技有限公司 | 基于流量特征识别的分布式拒绝服务的监控和防控方法 |
| CN111654493A (zh) * | 2020-06-02 | 2020-09-11 | 山东汇贸电子口岸有限公司 | Openstack中拦截指定流量的方法、系统、存储介质及电子设备 |
| CN111835761A (zh) * | 2020-07-11 | 2020-10-27 | 福建奇点时空数字科技有限公司 | 一种基于系统仿真器的网络攻击诱骗环境构建方法 |
| CN111885020A (zh) * | 2020-07-08 | 2020-11-03 | 福建奇点时空数字科技有限公司 | 一种分布式架构的网络攻击行为实时捕获与监控系统 |
| CN111935114A (zh) * | 2020-07-29 | 2020-11-13 | 浙江德迅网络安全技术有限公司 | 一种基于SYN攻击保护的反向追踪DDoS攻击防护方法及系统 |
| CN112134833A (zh) * | 2020-05-07 | 2020-12-25 | 北京国腾创新科技有限公司 | 一种虚实融合的流欺骗防御方法 |
| CN112242974A (zh) * | 2019-07-16 | 2021-01-19 | 中国移动通信集团浙江有限公司 | 基于行为的攻击检测方法、装置、计算设备及存储介质 |
| CN112600822A (zh) * | 2020-12-09 | 2021-04-02 | 国网四川省电力公司信息通信公司 | 一种基于自动化引流工具的网络安全系统及方法 |
| CN112738077A (zh) * | 2020-12-26 | 2021-04-30 | 北京珞安科技有限责任公司 | 一种工控网络安全检测系统 |
| CN114389863A (zh) * | 2021-12-28 | 2022-04-22 | 绿盟科技集团股份有限公司 | 一种蜜罐交互的方法、装置、蜜罐网络、设备及存储介质 |
| CN114726600A (zh) * | 2022-03-28 | 2022-07-08 | 慧之安信息技术股份有限公司 | 基于物联网的网关防护方法 |
| CN114978731A (zh) * | 2022-05-30 | 2022-08-30 | 北京计算机技术及应用研究所 | 一种基于多样性扩展的诱捕蜜罐实现系统及方法 |
| CN115065528A (zh) * | 2022-06-14 | 2022-09-16 | 上海磐御网络科技有限公司 | 一种基于ftp服务的攻击反制系统及方法 |
| CN115208593A (zh) * | 2021-03-26 | 2022-10-18 | 南宁富联富桂精密工业有限公司 | 安全性监测方法、终端及计算机可读存储介质 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20080271151A1 (en) * | 2002-12-31 | 2008-10-30 | Blake Kenneth W | Method and system for morphing honeypot with computer security incident correlation |
| CN101572701A (zh) * | 2009-02-10 | 2009-11-04 | 中科正阳信息安全技术有限公司 | 针对DNS服务的抗DDoS攻击安全网关系统 |
-
2012
- 2012-08-22 CN CN2012102993221A patent/CN102790778A/zh active Pending
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20080271151A1 (en) * | 2002-12-31 | 2008-10-30 | Blake Kenneth W | Method and system for morphing honeypot with computer security incident correlation |
| CN101572701A (zh) * | 2009-02-10 | 2009-11-04 | 中科正阳信息安全技术有限公司 | 针对DNS服务的抗DDoS攻击安全网关系统 |
Non-Patent Citations (2)
| Title |
|---|
| 杨长春,倪彤光,薛恒新: "一种基于数据挖掘的DDoS攻击入侵检测系统", 《计算机工程》, no. 12, 31 December 2007 (2007-12-31), pages 167 - 169 * |
| 马宇驰: "针对僵尸网络DDoS攻击的蜜网系统的研究与设计", 《万方学位论文数据库》, 29 October 2010 (2010-10-29), pages 25 - 35 * |
Cited By (63)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103051615B (zh) * | 2012-12-14 | 2015-07-29 | 陈晶 | 一种蜜场系统中抗大流量攻击的动态防御系统 |
| CN103051615A (zh) * | 2012-12-14 | 2013-04-17 | 陈晶 | 一种蜜场系统中抗大流量攻击的动态防御系统 |
| CN103281341A (zh) * | 2013-06-27 | 2013-09-04 | 福建伊时代信息科技股份有限公司 | 网络事件处理方法及装置 |
| CN103368979A (zh) * | 2013-08-08 | 2013-10-23 | 电子科技大学 | 一种基于改进K-means算法的网络安全性验证装置 |
| CN104850093A (zh) * | 2014-02-13 | 2015-08-19 | 西门子公司 | 用于监控自动化网络中的安全性的方法以及自动化网络 |
| US10574671B2 (en) | 2014-02-13 | 2020-02-25 | Siemens Aktiengesellschaft | Method for monitoring security in an automation network, and automation network |
| US9535731B2 (en) | 2014-11-21 | 2017-01-03 | International Business Machines Corporation | Dynamic security sandboxing based on intruder intent |
| CN104486320A (zh) * | 2014-12-10 | 2015-04-01 | 国家电网公司 | 基于蜜网技术的内网敏感信息泄露取证系统及方法 |
| CN104486320B (zh) * | 2014-12-10 | 2018-10-26 | 国家电网公司 | 基于蜜网技术的内网敏感信息泄露取证系统及方法 |
| CN107819731A (zh) * | 2016-09-13 | 2018-03-20 | 北京长亭科技有限公司 | 一种网络安全防护系统及相关方法 |
| CN107070929A (zh) * | 2017-04-20 | 2017-08-18 | 中国电子技术标准化研究院 | 一种工控网络蜜罐系统 |
| CN107332823A (zh) * | 2017-06-06 | 2017-11-07 | 北京明朝万达科技股份有限公司 | 一种基于机器学习的服务器伪装方法和系统 |
| CN107360145B (zh) * | 2017-06-30 | 2020-12-25 | 北京航空航天大学 | 一种多节点蜜罐系统及其数据分析方法 |
| CN107360145A (zh) * | 2017-06-30 | 2017-11-17 | 北京航空航天大学 | 一种多节点蜜罐系统及其数据分析方法 |
| CN107465663A (zh) * | 2017-07-06 | 2017-12-12 | 广州锦行网络科技有限公司 | 一种网络无痕蜜罐的实现方法及装置 |
| CN107347067A (zh) * | 2017-07-07 | 2017-11-14 | 深信服科技股份有限公司 | 一种网络风险监控方法、系统及安全网络系统 |
| CN107547546A (zh) * | 2017-09-05 | 2018-01-05 | 山东师范大学 | 基于卡片电脑的轻量级高交互蜜网数据传输方法、系统 |
| CN107547546B (zh) * | 2017-09-05 | 2019-11-12 | 山东师范大学 | 基于卡片电脑的轻量级高交互蜜网数据传输方法、系统 |
| CN107579997A (zh) * | 2017-09-30 | 2018-01-12 | 北京奇虎科技有限公司 | 无线网络入侵检测系统 |
| CN107911244A (zh) * | 2017-11-17 | 2018-04-13 | 华南理工大学 | 一种云网结合的多用户蜜罐终端系统及其实现方法 |
| CN107707576A (zh) * | 2017-11-28 | 2018-02-16 | 深信服科技股份有限公司 | 一种基于蜜罐技术的网络防御方法及系统 |
| CN108183884A (zh) * | 2017-11-30 | 2018-06-19 | 高旭磊 | 一种网络攻击判定方法及装置 |
| CN108183884B (zh) * | 2017-11-30 | 2020-11-06 | 高旭磊 | 一种网络攻击判定方法及装置 |
| CN108134781A (zh) * | 2017-12-12 | 2018-06-08 | 浪潮云上(贵州)技术有限公司 | 一种重要信息数据保密监控系统 |
| CN108366088A (zh) * | 2017-12-28 | 2018-08-03 | 广州华夏职业学院 | 一种用于教学网络系统的信息安全预警系统 |
| CN108833333A (zh) * | 2018-04-12 | 2018-11-16 | 中国科学院信息工程研究所 | 一种基于dcs分布式控制的蜜罐系统 |
| CN108833333B (zh) * | 2018-04-12 | 2020-07-10 | 中国科学院信息工程研究所 | 一种基于dcs分布式控制的蜜罐系统 |
| CN108429762B (zh) * | 2018-04-13 | 2020-09-01 | 中国石油大学(华东) | 一种基于服务角色变换的动态蜜罐防御方法 |
| CN108429762A (zh) * | 2018-04-13 | 2018-08-21 | 中国石油大学(华东) | 一种基于服务角色变换的动态蜜罐防御方法 |
| CN108768989A (zh) * | 2018-05-18 | 2018-11-06 | 刘勇 | 一种采用拟态技术的apt攻击防御方法、系统 |
| CN110581836A (zh) * | 2018-06-11 | 2019-12-17 | 阿里巴巴集团控股有限公司 | 一种数据处理方法、装置及设备 |
| CN110581836B (zh) * | 2018-06-11 | 2021-11-30 | 阿里巴巴集团控股有限公司 | 一种数据处理方法、装置及设备 |
| US11528295B2 (en) | 2018-06-30 | 2022-12-13 | Ovh | Methods and systems for defending an infrastructure against a distributed denial of service attack |
| CN110659487B (zh) * | 2018-06-30 | 2021-11-09 | Ovh公司 | 用于保护基础设施免受分布式拒绝服务攻击的方法和系统 |
| CN110659487A (zh) * | 2018-06-30 | 2020-01-07 | Ovh公司 | 用于保护基础设施免受分布式拒绝服务攻击的方法和系统 |
| CN109347794A (zh) * | 2018-09-06 | 2019-02-15 | 国家电网有限公司 | 一种Web服务器安全防御方法 |
| CN109257389A (zh) * | 2018-11-23 | 2019-01-22 | 北京金山云网络技术有限公司 | 一种攻击处理方法、装置及电子设备 |
| CN109257389B (zh) * | 2018-11-23 | 2021-09-17 | 北京金山云网络技术有限公司 | 一种攻击处理方法、装置及电子设备 |
| CN109547250A (zh) * | 2018-11-26 | 2019-03-29 | 深信服科技股份有限公司 | 云蜜网装置及云蜜网配置方法、系统、设备、计算机介质 |
| CN109547250B (zh) * | 2018-11-26 | 2022-08-09 | 深信服科技股份有限公司 | 云蜜网装置及云蜜网配置方法、系统、设备、计算机介质 |
| CN109696892A (zh) * | 2018-12-21 | 2019-04-30 | 上海瀚之友信息技术服务有限公司 | 一种安全自动化系统及其控制方法 |
| CN112242974A (zh) * | 2019-07-16 | 2021-01-19 | 中国移动通信集团浙江有限公司 | 基于行为的攻击检测方法、装置、计算设备及存储介质 |
| CN111083117A (zh) * | 2019-11-22 | 2020-04-28 | 上海交通大学 | 一种基于蜜罐的僵尸网络的追踪溯源系统 |
| CN111212091A (zh) * | 2020-02-28 | 2020-05-29 | 太仓红码软件技术有限公司 | 一种基于目标诱导的引导式网络安全系统 |
| CN112134833A (zh) * | 2020-05-07 | 2020-12-25 | 北京国腾创新科技有限公司 | 一种虚实融合的流欺骗防御方法 |
| CN112134833B (zh) * | 2020-05-07 | 2022-07-08 | 北京国腾创新科技有限公司 | 一种虚实融合的流欺骗防御方法 |
| CN111556068B (zh) * | 2020-05-12 | 2020-12-22 | 上海有孚智数云创数字科技有限公司 | 基于流量特征识别的分布式拒绝服务的监控和防控方法 |
| CN111556068A (zh) * | 2020-05-12 | 2020-08-18 | 上海有孚智数云创数字科技有限公司 | 基于流量特征识别的分布式拒绝服务的监控和防控方法 |
| CN111654493A (zh) * | 2020-06-02 | 2020-09-11 | 山东汇贸电子口岸有限公司 | Openstack中拦截指定流量的方法、系统、存储介质及电子设备 |
| CN111654493B (zh) * | 2020-06-02 | 2022-04-12 | 浪潮云信息技术股份公司 | Openstack中拦截指定流量的方法、系统、存储介质及电子设备 |
| CN111885020A (zh) * | 2020-07-08 | 2020-11-03 | 福建奇点时空数字科技有限公司 | 一种分布式架构的网络攻击行为实时捕获与监控系统 |
| CN111835761A (zh) * | 2020-07-11 | 2020-10-27 | 福建奇点时空数字科技有限公司 | 一种基于系统仿真器的网络攻击诱骗环境构建方法 |
| CN111935114A (zh) * | 2020-07-29 | 2020-11-13 | 浙江德迅网络安全技术有限公司 | 一种基于SYN攻击保护的反向追踪DDoS攻击防护方法及系统 |
| CN112600822A (zh) * | 2020-12-09 | 2021-04-02 | 国网四川省电力公司信息通信公司 | 一种基于自动化引流工具的网络安全系统及方法 |
| CN112738077A (zh) * | 2020-12-26 | 2021-04-30 | 北京珞安科技有限责任公司 | 一种工控网络安全检测系统 |
| CN115208593A (zh) * | 2021-03-26 | 2022-10-18 | 南宁富联富桂精密工业有限公司 | 安全性监测方法、终端及计算机可读存储介质 |
| CN115208593B (zh) * | 2021-03-26 | 2023-08-18 | 南宁富联富桂精密工业有限公司 | 安全性监测方法、终端及计算机可读存储介质 |
| CN114389863A (zh) * | 2021-12-28 | 2022-04-22 | 绿盟科技集团股份有限公司 | 一种蜜罐交互的方法、装置、蜜罐网络、设备及存储介质 |
| CN114389863B (zh) * | 2021-12-28 | 2024-02-13 | 绿盟科技集团股份有限公司 | 一种蜜罐交互的方法、装置、蜜罐网络、设备及存储介质 |
| CN114726600A (zh) * | 2022-03-28 | 2022-07-08 | 慧之安信息技术股份有限公司 | 基于物联网的网关防护方法 |
| CN114726600B (zh) * | 2022-03-28 | 2023-01-10 | 慧之安信息技术股份有限公司 | 基于物联网的网关防护方法 |
| CN114978731A (zh) * | 2022-05-30 | 2022-08-30 | 北京计算机技术及应用研究所 | 一种基于多样性扩展的诱捕蜜罐实现系统及方法 |
| CN115065528A (zh) * | 2022-06-14 | 2022-09-16 | 上海磐御网络科技有限公司 | 一种基于ftp服务的攻击反制系统及方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102790778A (zh) | 一种基于网络陷阱的DDoS攻击防御系统 | |
| Choudhary et al. | Intrusion detection systems for networked unmanned aerial vehicles: A survey | |
| US10721243B2 (en) | Apparatus, system and method for identifying and mitigating malicious network threats | |
| CN103561004B (zh) | 基于蜜网的协同式主动防御系统 | |
| ES2560109T3 (es) | Procedimiento y sistema de clasificación de tráfico | |
| EP3171567A1 (en) | Advanced persistent threat detection | |
| CN102882884A (zh) | 信息化生产环境下基于蜜网的风险预警系统及方法 | |
| CN106992955A (zh) | Apt防火墙 | |
| CN105915532A (zh) | 一种失陷主机的识别方法及装置 | |
| Saxena et al. | An analysis of DDoS attacks in a smart home networks | |
| CN111970300A (zh) | 一种基于行为检查的网络入侵防御系统 | |
| Beg et al. | Feasibility of intrusion detection system with high performance computing: A survey | |
| Li et al. | The research and design of honeypot system applied in the LAN security | |
| CN114978731B (zh) | 一种基于多样性扩展的诱捕蜜罐实现系统及方法 | |
| Bartwal et al. | Security orchestration, automation, and response engine for deployment of behavioural honeypots | |
| Thu | Integrated intrusion detection and prevention system with honeypot on cloud computing environment | |
| CN116827690A (zh) | 基于分布式的抗DDoS攻击及云WAF防御方法 | |
| Karekar et al. | Perspective of decoy technique using mobile fog computing with effect to wireless environment | |
| Keshri et al. | DoS attacks prevention using IDS and data mining | |
| CN113489694B (zh) | 一种蜜场系统中抗大流量攻击的动态防御系统 | |
| CN115987531A (zh) | 一种基于动态欺骗式“平行网络”的内网安全防护系统及方法 | |
| Blumbergs | Specialized cyber red team responsive computer network operations | |
| Gu et al. | Misleading and defeating importance-scanning malware propagation | |
| Agrawal et al. | Proposed multi-layers intrusion detection system (MLIDS) model | |
| Kotenko et al. | The software environment for multi-agent simulation of defense mechanisms against ddos attacks |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C02 | Deemed withdrawal of patent application after publication (patent law 2001) | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20121121 |