CN104144164A - 基于网络入侵的扩展防御方法 - Google Patents
基于网络入侵的扩展防御方法 Download PDFInfo
- Publication number
- CN104144164A CN104144164A CN201410385574.5A CN201410385574A CN104144164A CN 104144164 A CN104144164 A CN 104144164A CN 201410385574 A CN201410385574 A CN 201410385574A CN 104144164 A CN104144164 A CN 104144164A
- Authority
- CN
- China
- Prior art keywords
- network
- invasion
- network node
- invader
- bait
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Landscapes
- Small-Scale Networks (AREA)
Abstract
本发明隶属网络安全技术领域,公开了一种基于网络入侵的扩展防御方法。通过构建诱捕网络并根据入侵者入侵行为的实际情况,分析判断入侵者的意图、目的,实时地断开、连接、新增或移除构成诱捕网络的相关诱饵网络节点设备,从而变换入侵者关注目标、变更入侵优先次序、调配诱饵资源部署配置、控制入侵渗透网络对象,对入侵者的入侵过程进行延缓、监控、跟踪、分析、溯源和取证,此方法可全新构建或部署于已有网络,能进一步提高网络的主动防御能力,是创新、深层、多维的网络防御策略。
Description
技术领域
本发明涉及计算机网络安全技术领域,特别是涉及一种基于网络入侵的扩展防御方法。
背景技术
随着网络技术的飞速发展,网络安全问题也日趋严峻。各种类型的网络入侵、渗透事件的频发,在给用户带来巨大危害的同时,也促进了当今网络防御技术的发展。传统被动型的网络防御技术,如防火墙、漏洞扫描工具等已越来越无法适应当今网络防护要求。另一方面,传统网络防御手段的处理流程对某种攻击、渗透的发现仅能获取最一般的表现特征,而就入侵者的行为、动机、方式、源头等深层次攻击流程往往获取不充分,这直接导致无法有效对攻击者进行实时监控、攻击延缓、溯源跟踪、行为分析和积极反制。因此,从长远来看,所面临的入侵风险并没有直接降低。
基于以上问题,蜜罐等主动防御手段逐渐流行起来,对整个攻击流程的捕获为当今的主动防御技术提供了积极的启示。但是,针对蜜罐等主动防御技术,网络入侵者相应的反制和识别技术也逐步发展起来,越来越多的蜜罐因构造和部署的固有特点,导致了网络入侵者可利用其缺陷对网络安全管理人员进行牵制和误导,因此蜜罐等主动防御手段依然存在明显应用局限。
所以更为主动先进的网络防御方法不仅对今后网络安全评估的全面、客观和准确带来直接影响,而且也为当今现行的网络防御手段提供了更多智能化学习策略以增强其鲁棒性、适用性和有效性。
发明内容
本发明所要解决的技术问题是提供一种对网络入侵者的扩展防御方法,以克服现有技术无法充分获取入侵者的行为、动机、方式、源头,直接导致不能有效对入侵攻击者进行实时监控、攻击延缓、溯源跟踪、行为分析和积极反制的缺陷。
为解决上述技术问题,本发明基于以下实施步骤:
1、针对入侵者采取的各类入侵行为,使诱捕网络及其诱饵网络节点设备具有被入侵攻击的缺陷;
2、根据入侵行为的实际情况对诱捕网络的结构进行动态变换;
3、在诱捕网络中对入侵行为执行包括但不限于实时监控、延缓、跟踪、分析、溯源和取证操作。
进一步的,所述缺陷包括但不限于:使诱捕网络及其相关诱饵网络节点设备存在一项或几项明显的网络漏洞、系统漏洞、软件漏洞、应用配置不当、虚假敏感资料或弱/无口令;
进一步的,入侵者不限于从可接入的任意接入点进入诱捕网络;
进一步的,入侵行为是指包括但不限于扫描、入侵、渗透、攻击、远程控制、病毒木马植入的行为及其数量、频次和相应入侵行为的组合;
进一步的,诱饵网络节点设备包括但不限于计算机、集线器、交换机、网桥、路由器、网关、网络接口卡、无线接入点、打印机和调制解调器的虚拟设备或实体设备形式;
进一步的,所述诱捕网络为实体网络、虚拟网络或其混合形式,可全新部署或部署于已有网络且不限于嵌套或非嵌套的网络结构;
进一步的,诱捕网络结构的动态变换是指根据入侵者入侵行为的实际情况,分析判断入侵者的意图、目的,从而实时地断开、连接、新增或移除构成诱捕网络的相关诱饵网络节点设备,通过变换入侵者关注目标、变更入侵优先次序、调配诱饵资源部署配置、控制入侵渗透网络对象的方式,对入侵者的入侵过程进行延缓、监控、跟踪、分析、溯源和取证。入侵者受诱捕程度将与入侵者入侵操作行为的捕捉数量、频率或行为组合成正相关,从而对入侵者特性的深度分析与发现提供数据支撑。其中断开、连接、新增或移除可通过物理或数字逻辑方式实现。
本发明利用诱捕网络及其诱饵网络节点设备,针对入侵者实施的入侵行为,利用诱捕网络在具备高度可控性,并根据入侵行为的实际情况动态变换网络结构,从而充分获取入侵者的行为、动机、方式、源头,有效对网络入侵者做到实时监控、溯源跟踪、行为分析、按需取证和积极反制。另一方面,也大大延缓了入侵者的入侵时间。因此,本发明对传统网络安全防御提供了创新、深层、多维的防御策略。
附图说明
下面结合附图和具体实施方式对本发明的技术方案作进一步具体说明。
图1为本发明总体框架图。
图2为本发明实施方式图。
具体实施方式
本发明具体实施可由多种方式实现,结合图1和图2所示,本领域一般技术人员可以通过以下步骤完成对方法的部署和实施:
1、建立诱捕网络,并在其中部署诱饵网络节点设备A、诱饵网络节点设备B或可能存在的诱饵网络节点设备……;
2、针对入侵者采取的各类入侵行为,使诱捕网络及其诱饵网络节点设备具有被入侵攻击的缺陷,方法包括但不限于:
使诱捕网络、诱饵网络节点设备A、B或可能存在的诱饵网络节点设备……存在一项或几项明显的网络漏洞、系统漏洞、软件漏洞、应用配置不当、虚假敏感资料或弱/无口令;
3、根据入侵者入侵行为实际情况,可通过控制诱饵网络节点设备彼此实时连接、断开、新增或移除动态变换网络结构进而控制入侵顺序和入侵对象。对诱饵网络节点设备彼此连接、断开、新增或移除的操作并不局限于特定的诱捕网络结构、诱饵网络节点设备和入侵行为,其中,箭头“→”表示入侵顺序由左侧至右侧移动,符号“√”表示可入侵,“×”表示不可入侵,具体方法如下:
就入侵顺序控制而言,
1)仅允许入侵诱饵诱捕节点设备A,断开/移除诱饵网络节点设备B和可能存在的诱饵网络节点设备……,所能控制的入侵顺序为:
入侵者→诱饵诱捕节点设备A;
2)仅允许入侵诱饵诱捕节点设备B,断开/移除诱饵网络节点设备A和可能存在的诱饵网络节点设备……,所能控制的入侵顺序为:
入侵者→诱饵诱捕节点设备B;
3)仅允许入侵诱饵诱捕节点设备……,断开/移除诱饵网络节点设备A和诱饵网络节点设备B,所能控制的入侵顺序为:入侵者→诱饵诱捕节点设备……;
4)允许入侵诱饵网络节点设备A和B,断开/移除可能存在的诱饵网络节点设备……,所能控制的入侵顺序为:
入侵者→诱饵网络节点设备A→诱饵网络节点设备B;
入侵者→诱捕网络节点设备B→诱捕网络节点设备A;
5)允许入侵诱饵网络节点设备A和可能存在的诱饵网络节点设备……,断开/移除诱饵网络节点设备B,所能控制的入侵顺序为:
入侵者→诱饵网络节点设备A→诱饵网络节点设备……;
入侵者→诱饵网络节点设备……→诱饵网络节点设备A;
6)允许入侵诱饵节点网络B和可能存在的诱饵网络节点设备……,断开/移除诱饵网络节点设备A,所能控制的入侵顺序为:
入侵者→诱饵网络节点设备B→诱饵网络节点设备……;
入侵者→诱饵网络节点设备……→诱饵网络节点设备B;
7)允许入侵诱饵节点设备A、B和新增/连接诱捕网络节点设备……,所能控制的入侵顺序为:
入侵者→诱饵网络节点设备A→诱饵网络节点设备B→诱饵网络节点设备……;
入侵者→诱饵网络节点设备B→诱饵网络节点设备A→诱饵网络节点设备……;
入侵者→诱饵网络节点设备A→诱饵网络节点设备……→诱饵网络节点设备B;
入侵者→诱饵网络节点设备B→诱饵网络节点设备……→诱饵网络节点设备A;
入侵者→诱饵网络节点设备……→诱饵网络节点设备A→诱饵网络节点设备B;
入侵者→诱饵网络节点设备……→诱饵网络节点设备B→诱饵网络节点设备A;
就入侵对象控制而言,
1)仅诱饵网络节点设备A连接,根据实际情况可进行允许入侵,拒绝入侵或先允许入侵后拒绝入侵的一次性或循环性操作:
入侵者√诱饵网络节点设备A;
入侵者×诱饵网络节点设备A;
2)仅诱饵网络节点设备B连接,根据实际情况可进行允许入侵,拒绝入侵或先允许入侵后拒绝入侵的一次性或循环性操作:
入侵者√诱饵网络节点设备B;
入侵者×诱饵网络节点设备B;
3)仅诱饵网络节点设备……连接,根据实际情况可进行允许入侵,拒绝入侵或先允许入侵后拒绝入侵的一次性或循环性操作:
入侵者√诱饵网络节点设备B;
入侵者×诱饵网络节点设备B;
4)入侵诱饵网络节点设备A和B新增/连接,根据实际情况可进行允许入侵,拒绝入侵或先允许入侵后拒绝入侵的一次性或循环性操作:
入侵者√诱饵网络节点设备A√诱饵网络节点设备B;
入侵者√诱饵网络节点设备A×诱饵网络节点设备B;
入侵者×诱饵网络节点设备A√诱饵网络节点设备B;
入侵者×诱饵网络节点设备A×诱饵网络节点设备B;
5)入侵诱饵网络节点设备A和……新增/连接,根据实际情况可进行允许入侵,拒绝入侵或先允许入侵后拒绝入侵的一次性或循环性操作
入侵者√诱饵网络节点设备A√诱饵网络节点设备……;
入侵者√诱饵网络节点设备A×诱饵网络节点设备……;
入侵者×诱饵网络节点设备A√诱饵网络节点设备……;
入侵者×诱饵网络节点设备A×诱饵网络节点设备……;
6)入侵诱饵网络节点设备B和……新增/连接,根据实际情况可进行允许入侵,拒绝入侵或先允许入侵后拒绝入侵的一次性或循环性操作
入侵者√诱饵网络节点设备……√诱饵网络节点设备B;
入侵者√诱饵网络节点设备……×诱饵网络节点设备B;
入侵者×诱饵网络节点设备……√诱饵网络节点设备B;
入侵者×诱饵网络节点设备……×诱饵网络节点设备B;
7)入侵诱饵节点设备A、B和诱捕网络节点设备……新增/连接,根据实际情况可进行允许入侵,拒绝入侵或先允许入侵后拒绝入侵的一次性或循环性操作;
入侵者√诱饵网络节点设备A√诱饵网络节点设备B√诱饵网络节点设备……;
入侵者√诱饵网络节点设备A√诱饵网络节点设备B×诱饵网络节点设备……;
入侵者√诱饵网络节点设备A×诱饵网络节点设备B√诱饵网络节点设备……;
入侵者√诱饵网络节点设备A×诱饵网络节点设备B×诱饵网络节点设备……;
入侵者√诱饵网络节点设备B×诱饵网络节点设备A√诱饵网络节点设备……;
入侵者×诱饵网络节点设备B×诱饵网络节点设备A×诱饵网络节点设备……;
4、在诱捕网络中,根据入侵行为实际情况和网络结构动态变换后的入侵顺序选用适合的实时监控、跟踪、分析、溯源和取证工具。
最后所应说明的是,以上具体实施方式仅用以说明本发明的技术方案而非限制,尽管参照较佳实施例对本发明进行了详细说明,本领域的普通技术人员应当理解,可以对本发明的技术方案进行修改或者等同替换,而不脱离本发明技术方案的精神和范围,其均应涵盖在本发明的权利要求范围当中。
Claims (7)
1.一种基于网络入侵的扩展防御方法,其特征在于,包括以下步骤:
1)针对入侵者采取的各类入侵行为,使诱捕网络及其诱饵网络节点设备具有被入侵攻击的缺陷;
2)根据入侵行为的实际情况对诱捕网络的结构进行动态变换;
3)在诱捕网络中对入侵行为执行包括但不限于实时监控、延缓、跟踪、分析、溯源和取证操作。
2.根据权利要求1所述的基于网络入侵的扩展防御方法,其特征在于:所述诱捕网络及其诱饵网络节点设备具有被入侵攻击的缺陷包括但不限于,存在一项或几项明显的网络漏洞、系统漏洞、软件漏洞、应用配置不当、虚假敏感资料或弱/无口令。
3.根据权利要求1所述的基于网络入侵的扩展防御方法,其特征在于:所述入侵者不限于从可接入的任意接入点进入诱捕网络。
4.根据权利要求1所述的基于网络入侵的扩展防御方法,其特征在于:所述入侵行为是指包括但不限于扫描、入侵、渗透、攻击、远程控制、病毒木马植入的行为及其数量、频次和上述行为的组合。
5.根据权利要求1所述的基于网络入侵的扩展防御方法,其特征在于:所述诱饵网络节点设备包括但不限于计算机、集线器、交换机、网桥、路由器、网关、网络接口卡、无线接入点、打印机和调制解调器的虚拟设备或实体设备形式。
6.根据权利要求1所述的基于网络入侵的扩展防御方法,其特征在于:所述诱捕网络为实体网络、虚拟网络或其混合形式,可全新构建或部署于已有网络且不限于嵌套或非嵌套的网络结构。
7.根据权利要求1所述的基于网络入侵的扩展防御方法,其特征在于:所述诱捕网络结构的动态变换是指根据入侵者入侵行为的实际情况,分析判断入侵者的意图、目的,从而实时地断开、连接、新增或移除构成诱捕网络相关的诱饵网络节点设备,通过变换入侵者关注目标、变更入侵优先次序、调配诱饵资源部署配置、控制入侵渗透网络对象,由此对入侵者的入侵过程进行延缓、监控、跟踪、分析、溯源和取证;入侵者受诱捕程度将与入侵者入侵操作行为的捕捉数量、频率或行为组合成正比,从而对入侵者特性的深度分析与发现提供数据支撑;其中断开、连接、新增或移除可通过物理或数字逻辑方式实现。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410385574.5A CN104144164A (zh) | 2014-08-06 | 2014-08-06 | 基于网络入侵的扩展防御方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410385574.5A CN104144164A (zh) | 2014-08-06 | 2014-08-06 | 基于网络入侵的扩展防御方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN104144164A true CN104144164A (zh) | 2014-11-12 |
Family
ID=51853232
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410385574.5A Pending CN104144164A (zh) | 2014-08-06 | 2014-08-06 | 基于网络入侵的扩展防御方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN104144164A (zh) |
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106657095A (zh) * | 2016-12-29 | 2017-05-10 | 北京安天电子设备有限公司 | 一种识别未知类远控木马的方法及系统 |
| CN106790169A (zh) * | 2016-12-29 | 2017-05-31 | 杭州迪普科技股份有限公司 | 扫描设备扫描的防护方法及装置 |
| CN107343011A (zh) * | 2017-09-04 | 2017-11-10 | 北京经纬信安科技有限公司 | 一种基于动态目标防御的内源威胁防御设备 |
| CN104935580B (zh) * | 2015-05-11 | 2018-09-11 | 国家电网公司 | 基于云平台的信息安全控制方法和系统 |
| CN109413046A (zh) * | 2018-09-29 | 2019-03-01 | 深圳开源互联网安全技术有限公司 | 一种网络防护方法、系统及终端设备 |
| CN110493238A (zh) * | 2019-08-26 | 2019-11-22 | 杭州安恒信息技术股份有限公司 | 基于蜜罐的防御方法、装置、蜜罐系统和蜜罐管理服务器 |
| CN110674496A (zh) * | 2019-09-24 | 2020-01-10 | 杭州安恒信息技术股份有限公司 | 程序对入侵终端进行反制的方法、系统以及计算机设备 |
| CN110798454A (zh) * | 2019-10-18 | 2020-02-14 | 中国科学院信息工程研究所 | 一种基于攻击组织能力评估对攻击进行防御的方法 |
| CN113014597A (zh) * | 2021-03-17 | 2021-06-22 | 恒安嘉新(北京)科技股份公司 | 蜜罐防御系统 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101087196A (zh) * | 2006-12-27 | 2007-12-12 | 北京大学 | 多层次蜜网数据传输方法及系统 |
| CN102882884A (zh) * | 2012-10-13 | 2013-01-16 | 山东电力集团公司电力科学研究院 | 信息化生产环境下基于蜜网的风险预警系统及方法 |
| US20130145468A1 (en) * | 2007-07-18 | 2013-06-06 | Research In Motion Limited | Security system based on input shortcuts for a computer device |
-
2014
- 2014-08-06 CN CN201410385574.5A patent/CN104144164A/zh active Pending
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101087196A (zh) * | 2006-12-27 | 2007-12-12 | 北京大学 | 多层次蜜网数据传输方法及系统 |
| US20130145468A1 (en) * | 2007-07-18 | 2013-06-06 | Research In Motion Limited | Security system based on input shortcuts for a computer device |
| CN102882884A (zh) * | 2012-10-13 | 2013-01-16 | 山东电力集团公司电力科学研究院 | 信息化生产环境下基于蜜网的风险预警系统及方法 |
Cited By (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104935580B (zh) * | 2015-05-11 | 2018-09-11 | 国家电网公司 | 基于云平台的信息安全控制方法和系统 |
| CN106657095B (zh) * | 2016-12-29 | 2020-07-28 | 北京安天网络安全技术有限公司 | 一种识别未知类远控木马的方法及系统 |
| CN106790169A (zh) * | 2016-12-29 | 2017-05-31 | 杭州迪普科技股份有限公司 | 扫描设备扫描的防护方法及装置 |
| CN106790169B (zh) * | 2016-12-29 | 2020-06-09 | 杭州迪普科技股份有限公司 | 扫描设备扫描的防护方法及装置 |
| CN106657095A (zh) * | 2016-12-29 | 2017-05-10 | 北京安天电子设备有限公司 | 一种识别未知类远控木马的方法及系统 |
| CN107343011A (zh) * | 2017-09-04 | 2017-11-10 | 北京经纬信安科技有限公司 | 一种基于动态目标防御的内源威胁防御设备 |
| CN109413046A (zh) * | 2018-09-29 | 2019-03-01 | 深圳开源互联网安全技术有限公司 | 一种网络防护方法、系统及终端设备 |
| CN110493238A (zh) * | 2019-08-26 | 2019-11-22 | 杭州安恒信息技术股份有限公司 | 基于蜜罐的防御方法、装置、蜜罐系统和蜜罐管理服务器 |
| CN110674496A (zh) * | 2019-09-24 | 2020-01-10 | 杭州安恒信息技术股份有限公司 | 程序对入侵终端进行反制的方法、系统以及计算机设备 |
| CN110798454A (zh) * | 2019-10-18 | 2020-02-14 | 中国科学院信息工程研究所 | 一种基于攻击组织能力评估对攻击进行防御的方法 |
| CN110798454B (zh) * | 2019-10-18 | 2020-10-27 | 中国科学院信息工程研究所 | 一种基于攻击组织能力评估对攻击进行防御的方法及系统 |
| CN113014597A (zh) * | 2021-03-17 | 2021-06-22 | 恒安嘉新(北京)科技股份公司 | 蜜罐防御系统 |
| CN113014597B (zh) * | 2021-03-17 | 2023-09-08 | 恒安嘉新(北京)科技股份公司 | 蜜罐防御系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN104144164A (zh) | 基于网络入侵的扩展防御方法 | |
| CN109617865B (zh) | 一种基于移动边缘计算的网络安全监测与防御方法 | |
| CN104506507A (zh) | 一种sdn网络的蜜网安全防护系统及方法 | |
| KR100942456B1 (ko) | 클라우드 컴퓨팅을 이용한 DDoS 공격 탐지 및 차단 방법 및 서버 | |
| CN110149350A (zh) | 一种告警日志关联的网络攻击事件分析方法及装置 | |
| KR101388090B1 (ko) | 이벤트 분석에 기반한 사이버 공격 탐지 장치 및 방법 | |
| CN109639634B (zh) | 一种物联网自适应安全防护方法及系统 | |
| CN106537406A (zh) | 一种网络安全系统及其方法 | |
| CN103561004A (zh) | 基于蜜网的协同式主动防御系统 | |
| Monge et al. | A novel self-organizing network solution towards crypto-ransomware mitigation | |
| CN104978519A (zh) | 一种应用型蜜罐的实现方法及装置 | |
| Lim et al. | Network anomaly detection system: The state of art of network behaviour analysis | |
| Lin et al. | Using signaling games to model the multi-step attack-defense scenarios on confidentiality | |
| CN117614745A (zh) | 一种用于处理器网络防护的协同防御方法及系统 | |
| CN115134166A (zh) | 一种基于蜜洞的攻击溯源方法 | |
| Hwoij et al. | SIEM architecture for the Internet of Things and smart city | |
| Thakur et al. | An analysis of information security event managers | |
| Mathew et al. | Real-time multistage attack awareness through enhanced intrusion alert clustering | |
| Li et al. | The optimized attribute attack graph based on APT attack stage model | |
| Grottke et al. | On the efficiency of sampling and countermeasures to critical-infrastructure-targeted malware campaigns | |
| Karekar et al. | Perspective of decoy technique using mobile fog computing with effect to wireless environment | |
| Tsarkova | Optimal cybersecurity management of an IP video surveillance system using neural network technologies | |
| Lim et al. | Proposal of Smart Segmentation Framework for preventing threats from spreading in IoT | |
| CN108667812A (zh) | 用于专用主机的多指标评分的白环境可信度分析方法 | |
| Ramprasath et al. | Virtual Guard Against DDoS Attack for IoT Network Using Supervised Learning Method |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20141112 |
|
| RJ01 | Rejection of invention patent application after publication |