CN104486320B - 基于蜜网技术的内网敏感信息泄露取证系统及方法 - Google Patents

基于蜜网技术的内网敏感信息泄露取证系统及方法 Download PDF

Info

Publication number
CN104486320B
CN104486320B CN201410752894.XA CN201410752894A CN104486320B CN 104486320 B CN104486320 B CN 104486320B CN 201410752894 A CN201410752894 A CN 201410752894A CN 104486320 B CN104486320 B CN 104486320B
Authority
CN
China
Prior art keywords
sweet
server
bait
evidence obtaining
evidence
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201410752894.XA
Other languages
English (en)
Other versions
CN104486320A (zh
Inventor
顾广宇
张淑娟
孙建
王潇
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
State Grid Corp of China SGCC
Electric Power Research Institute of State Grid Anhui Electric Power Co Ltd
Liuan Power Supply Co of State Grid Anhui Electric Power Co Ltd
Original Assignee
State Grid Corp of China SGCC
Electric Power Research Institute of State Grid Anhui Electric Power Co Ltd
Liuan Power Supply Co of State Grid Anhui Electric Power Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by State Grid Corp of China SGCC, Electric Power Research Institute of State Grid Anhui Electric Power Co Ltd, Liuan Power Supply Co of State Grid Anhui Electric Power Co Ltd filed Critical State Grid Corp of China SGCC
Priority to CN201410752894.XA priority Critical patent/CN104486320B/zh
Publication of CN104486320A publication Critical patent/CN104486320A/zh
Application granted granted Critical
Publication of CN104486320B publication Critical patent/CN104486320B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0245Filtering by information in the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1491Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

本发明涉及计算机网络安全技术领域,尤其涉及基于蜜网技术的内网敏感信息泄露取证系统及方法。该取证系统,包括:蜜网、企业内网及连接于企业内网中的用户终端;蜜网中包括蜜饵服务器、蜜墙及取证服务器;蜜饵服务器通过蜜墙连接于企业内网中;取证服务器与蜜墙连接;蜜饵服务器,用于预先设置蜜饵;蜜墙,用于过滤和抓取用户终端通过企业内网访问蜜饵的交互数据包,并传输给取证服务器;取证服务器,用于根据接收的交互数据对企业内网中的敏感信息泄露行为进行取证。本发明的基于蜜网技术的内网敏感信息泄露取证系统及方法,提高了企业内网敏感信息泄露取证的有效性,更能满足企业内部网络安全的实际需求。

Description

基于蜜网技术的内网敏感信息泄露取证系统及方法
技术领域
本发明涉及计算机网络安全技术领域,具体而言,涉及基于蜜网技术的内网敏感信息泄露取证系统及方法。
背景技术
随着互联网技术的发展,网络扫描、蠕虫与病毒代码的传播以及黑客恶意攻击等已经是网络上每台主机随时可能遇到的危险。当前已有相对数量的方法应对上述危险。而对于企业内网来说,网内终端的恶意攻击、内网敏感信息泄漏等行为对企业内网来说也存在着巨大威胁。
当前,对企业内网中敏感信息泄露行为进行取证的方法主要是基于日志数据的审计行为,通过对记录在服务器、防火墙、入侵检测及数据泄露防护设备DLP等安全设备中的安全日志进行分析,获知企业内网人员的敏感信息泄露行为。
但,由于日志数据记录在不同的设备上,上述方法在取证过程中无法完整记录敏感信息泄露的行为过程,且日志数据庞大,无法保证取证结果的准确性和科学性;进一步地,基于日志数据对敏感信息泄露行为进行取证,一般是敏感信息已经泄露出去,错失了防护和取证的最佳时机,无法做到事先侦测和主动防护。
由此可见,基于日志数据审计行为进行敏感信息泄露的取证不能满足企业内部网络安全的实际需求。
发明内容
本发明的目的在于提供基于蜜网技术的内网敏感信息泄露取证系统及方法,以提高企业内网敏感信息泄露取证的有效性,满足企业内部网络安全的实际需求。
本发明实施例提供了一种基于蜜网技术的内网敏感信息泄露取证系统,包括:蜜网、企业内网及连接于所述企业内网中的用户终端;所述蜜网中包括蜜饵服务器、蜜墙及取证服务器;所述蜜饵服务器通过蜜墙连接于所述企业内网中;所述取证服务器与所述蜜墙连接;所述蜜饵服务器,用于预先设置蜜饵;所述蜜墙,用于过滤和抓取所述用户终端通过所述企业内网访问所述蜜饵的交互数据包,并传输给所述取证服务器;
所述取证服务器,用于根据接收的所述交互数据对企业内网中的敏感信息泄露行为进行取证。
优选地,所述取证服务器包括:可疑终端确定模块,用于根据接收的所述交互数据,确定与所述交互数据对应的用户终端是否为可疑终端;过滤规则生成模块,用于确定所述用户终端为可疑终端时,对所述可疑终端进行标识,并生成针对所述可疑终端的过滤规则;传输模块,用于将所述过滤规则传输给所述蜜墙,以使所述蜜墙基于所述过滤规则获取所述可疑终端与所述蜜饵服务器的所有通信信息,并传输给所述取证服务器。
本发明实施例还提供了一种基于蜜网技术的内网敏感信息泄露取证方法,包括:位于蜜网中的蜜饵服务器预先设置蜜饵,其中所述蜜饵服务器通过蜜墙连接于企业内网中,所述企业内网中连接有用户终端,所述蜜墙还与取证服务器连接;所述蜜墙过滤和抓取所述用户终端通过所述企业内网访问所述蜜饵的交互数据,并传输给所述取证服务器;所述取证服务器根据接收的所述交互数据对企业内网中的敏感信息泄露行为进行取证。
优选地,所述蜜饵包括:数据库服务、空口令虚拟机、弱口令虚拟机或虚拟机中存储的既定文件。
优选地,所述取证服务器根据接收的所述交互数据对企业内网中的敏感信息泄露行为进行取证,包括:所述取证服务器根据接收的所述交互数据,确定与所述交互数据对应的用户终端是否为可疑终端;所述取证服务器确定所述用户终端为可疑终端时,对所述可疑终端进行标识,并生成针对所述可疑终端的过滤规则;所述取证服务器将所述过滤规则传输给所述蜜墙,以使所述蜜墙基于所述过滤规则获取所述可疑终端与所述蜜饵服务器的所有通信信息并传输给所述取证服务器。
优选地,所述生成针对所述可疑终端的过滤规则包括:生成针对所述可疑终端的伯克利数据包过滤器BPF过滤规则。
优选地,所述取证服务器根据接收的所述交互数据,确定与所述交互数据对应的用户终端是否为可疑终端,包括:所述取证服务器根据接收的所述交互数据,统计与所述交互数据对应的用户终端在预设时间范围内,尝试访问所述蜜饵的尝试次数;所述取证服务器判断所述尝试次数是否大于预设的阈值次数,如果是,则确定对应的用户终端为可疑终端。
优选地,所述取证服务器依据所述可疑终端与所述蜜饵服务器的通信信息,对所述可疑终端的访问行为的危险程度进行分级,分别为初级危险、中级危险及高级危险。
优选地,当所述蜜饵为数据库类型蜜饵时,所述取证服务器依据所述可疑终端与所述蜜饵服务器的通信信息,对所述可疑终端的访问行为的危险程度进行分级,包括:
将一般连接请求和/或尝试连接数据库端口的访问行为确定为初级危险访问行为;
将数据库登录请求和/或尝试猜解数据库登录口令的访问行为确定为中级危险访问行为;
将暴力破解、成功登录数据库、登录数据库后进行的操作过程、登录数据库后访问的数据库信息和/或尝试删除访问记录的访问行为确定为高级危险访问行为。
优选地,该方法还包括:取证服务器根据可疑终端对蜜饵的访问尝试过程行为,生成取证报告,其中所述取证报告包括所述可疑终端的访问时间、IP地址、所述可疑终端的危险行为、危险级别及所述可疑终端访问行为的界定。
本发明实施例的基于蜜网技术的内网敏感信息泄露取证系统及方法,在企业内网中部署蜜网,利用蜜网中的蜜饵服务器设置蜜饵,其中蜜饵是人为设置的模拟敏感信息的诱饵,在正常符合企业安全策略的情况下,不会存在对蜜饵的授权访问。当蜜墙监测到位于企业内网中的用户终端对蜜饵的访问满足一定条件时,可以认为该用户终端存在泄露企业内网敏感信息的可疑行为,蜜墙将该用户终端与蜜饵服务器的交互数据传输给取证服务器,由取证服务器基于上述交互数据对企业内网中的敏感信息泄露行为进行取证。
本发明实施例的上述取证系统及方法,以蜜饵模拟敏感信息引诱用户终端对蜜饵进行访问,在取证过程中不存在对企业内网中真正敏感信息的泄露行为,且该取证方法是主动防御技术,可以及时发现、识别出潜在的泄露行为,可以有效避免取证滞后的情况;而且用户终端对蜜饵的访问过程中形成的交互数据集中到取证服务器上,在取证服务器中可以获取泄密终端完整的泄密行为过程,取证过程中涉及的数据量少,且取证服务器中用于取证的数据均为有效数据,不存在错报、漏报的情况,保证取证结果的准确有效性。因此,本发明实施例的基于蜜网技术的内网敏感信息泄露取证系统及方法,提高了企业内网敏感信息泄露取证的有效性,更能满足企业内部网络安全的实际需求。
为使本发明的上述目的、特征和优点能更明显易懂,下文特举较佳实施例,并配合所附附图,作详细说明如下。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本发明的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1示出了本发明实施例所提供的一种基于蜜网技术的内网敏感信息泄露取证系统;
图2示出了本发明实施例所提供的一种取证服务器的结构示意图;
图3示出了本发明实施例所提供的一种基于蜜网技术的内网敏感信息泄露取证方法的流程图;
图4示出了本发明实施例所提供的一种基于蜜网技术的内网敏感信息泄露取证方法的信息流转图。
具体实施方式
下面将结合本发明实施例中附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。通常在此处附图中描述和示出的本发明实施例的组件可以以各种不同的配置来布置和设计。因此,以下对在附图中提供的本发明的实施例的详细描述并非旨在限制要求保护的本发明的范围,而是仅仅表示本发明的选定实施例。基于本发明的实施例,本领域技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本发明保护的范围。
鉴于相关技术中,基于日志数据对企业内网敏感信息泄露行为进行取证的种种弊端,本发明实施例提供了一种基于蜜网技术的内网敏感信息泄露取证系统及方法,该系统及方法中利用蜜网设置蜜饵,蜜饵是用于识别潜在敏感信息泄露源的诱饵,通过记录分析用户终端对蜜饵的访问过程,实现对企业内网中泄露敏感信息行为的取证。
基于上述取证思想,本发明实施例提供了一种基于蜜网技术的内网敏感信息泄露取证系统,如图1所示,该系统包括:蜜网、企业内网3及连接于企业内网3中的用户终端4;蜜网中包括蜜饵服务器1、蜜墙2及取证服务器5;蜜饵服务器1通过蜜墙2连接于企业内网3中;取证服务器5与蜜墙2连接。该系统正常运行时,蜜墙2工作在网桥模式下,蜜饵服务器1对企业内网3中的用户终端4均可见。蜜饵服务器1,用于预先设置蜜饵,蜜饵的作用是用于识别潜在敏感信息泄露源的诱饵;蜜墙2,用于过滤和抓取用户终端4通过企业内网3访问蜜饵的交互数据包,并传输给取证服务器5;取证服务器5,用于根据接收的交互数据对企业内网3中的敏感信息泄露行为进行取证。
本发明实施例的上述取证系统,以蜜饵模拟敏感信息引诱用户终端4对蜜饵进行访问,在取证过程中不存在对企业内网3中真正敏感信息的泄露行为,且该取证方法是主动防御技术,可以及时发现、识别出潜在的泄露行为,可以有效避免取证滞后的情况;而且用户终端4对蜜饵的访问过程中形成的交互数据集中到取证服务器5上,在取证服务器5中可以获取泄密终端完整的泄密行为过程,取证过程中涉及的数据量少,且取证服务器5中用于取证的数据均为有效数据,不存在错报、漏报的情况,保证取证结果的准确有效性。因此,本发明实施例的基于蜜网技术的内网敏感信息泄露取证系统及方法,提高了企业内网3敏感信息泄露取证的有效性,更能满足企业内部网络安全的实际需求。
本发明实施例的取证系统中,取证服务器5是整个系统的核心,取证服务器5的主要功能是对蜜墙2传输的交互数据进行存储、分析用户终端4对蜜饵服务器1的访问信息、识别可疑终端、记录可疑终端对蜜饵服务器1的访问过程,为了实现取证服务器5的各项功能,取证服务器5的主要结构如图2所示,包括:
可疑终端确定模块51,用于根据接收的交互数据,确定与交互数据对应的用户终端4是否为可疑终端;
过滤规则生成模块52,用于确定用户终端4为可疑终端时,对可疑终端进行标识,并生成针对可疑终端的过滤规则;
传输模块53,用于将过滤规则传输给蜜墙2,以使蜜墙2基于过滤规则获取可疑终端与蜜饵服务器1的所有通信信息并传输给取证服务器5。
与上述基于蜜网技术的内网敏感信息泄露取证系统相对应的,本发明实施例还提供了一种取证方法,如图3所示,主要处理步骤包括:
步骤S11:位于蜜网中的蜜饵服务器预先设置蜜饵,其中蜜饵服务器通过蜜墙连接于企业内网中,企业内网中连接有用户终端,蜜墙还与取证服务器连接;
步骤S12:蜜墙过滤和抓取用户终端通过企业内网访问蜜饵的交互数据,并传输给取证服务器;
步骤S13:取证服务器根据接收的交互数据对企业内网中的敏感信息泄露行为进行取证。
本发明实施例的取证方法中,蜜网中的蜜饵是人为设置的模拟敏感信息的诱饵,在正常符合企业安全策略的情况下,不会存在对蜜饵的授权访问,因而任何对于蜜饵服务器的扫描和对于蜜饵的访问尝试,都是违反企业安全策略的恶意行为,是一种对于敏感信息的非授权获取行为。因此通过记录、分析访问蜜饵的用户终端的终端信息及对蜜饵的访问过程,能够及时发现潜在的泄露者,实现对于泄露行为的主动取证。
本发明中,蜜饵有多种类型和形式,可以根据实际取证需要进行设置,具体地,蜜饵服务器设置的蜜饵可以包括数据库服务(该数据库服务可以为ORACE数据库服务,具体可以为开启tcp1521端口)、空口令虚拟机、弱口令虚拟机或虚拟机中存储的既定文件,通过对访问蜜饵的用户终端的监测可以识别潜在敏感信息泄露源。
本方法中,取证服务器是敏感信息泄露取证的核心,其取证的过程如图4所示,包括:蜜墙2对用户终端4与蜜饵服务器的交互数据进行过滤和抓取,并将抓取的交互数据发送给取证服务器5。取证服务器5对接收的交互数据进行存储,并根据接收到的交互数据,确定与交互数据对应的用户终端4是否为可疑终端,其中,取证服务器5接收到的每条交互数据中均包括访问蜜饵的用户终端4的IP地址、用户终端4访问的端口及访问时间等;取证服务器5确定用户终端4为可疑终端时,在数据库6中对可疑终端进行标识,并生成针对可疑终端的过滤规则;取证服务器5将过滤规则传输给蜜墙2,以使蜜墙2基于过滤规则获取可疑终端与蜜饵服务器的所有通信信息,蜜墙2将获取的可疑终端的所有通信信息传输给取证服务器5,在取证服务器5中记录可疑终端通信的全过程,实现对可疑终端泄露敏感信息的取证过程。取证服务器5根据可疑终端对蜜饵的访问全过程生成取证报告。
上述方法中,取证服务器生成的针对可疑终端的过滤规则包括:取证服务器生成针对可疑终端的伯克利数据包过滤器BPF过滤规则。
取证服务器根据接收的交互数据,确定与交互数据对应的用户终端是否为可疑终端的具体方法包括:取证服务器根据接收的交互数据,统计与交互数据对应的用户终端在预设时间范围内,尝试访问蜜饵的尝试次数;取证服务器判断尝试次数是否大于预设的阈值次数,如果是,则确定对应的用户终端为可疑终端。
取证服务器参照信息安全界对可疑终端的访问行为的危险程度进行分级,分别为初级危险、中级危险和高级危险,其中,初级危险性最小,其它级别的危险性逐级提高。
当蜜饵为数据库类型蜜饵时,对可疑终端的访问行为的危险程度进行分级,包括:将一般连接请求和/或尝试连接数据库端口的访问行为确定为初级危险访问行为;将数据库登录请求和/或尝试猜解数据库登录口令的访问行为确定为中级危险访问行为;将暴力破解、成功登录数据库、登录数据库后进行的操作过程、登录数据库后访问的数据库信息和/或尝试删除访问记录的访问行为确定为高级危险访问行为。
该方法还包括:取证服务器根据可疑终端对蜜饵的访问尝试过程行为,生成取证报告,其中所述取证报告包括所述可疑终端的访问时间、IP地址、所述可疑终端的危险行为、危险级别及所述可疑终端访问行为的界定。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应所述以权利要求的保护范围为准。

Claims (8)

1.基于蜜网技术的内网敏感信息泄露取证系统,其特征在于,包括:蜜网、企业内网及连接于所述企业内网中的用户终端;
所述蜜网中包括蜜饵服务器、蜜墙及取证服务器;所述蜜饵服务器通过蜜墙连接于所述企业内网中;所述取证服务器与所述蜜墙连接;
所述蜜饵服务器,用于预先设置蜜饵;
所述蜜墙,用于过滤和抓取所述用户终端通过所述企业内网访问所述蜜饵的交互数据包,并传输给所述取证服务器;
所述取证服务器,用于根据接收的所述交互数据对企业内网中的敏感信息泄露行为进行取证;
所述取证服务器包括:
可疑终端确定模块,用于根据接收的所述交互数据,确定与所述交互数据对应的用户终端是否为可疑终端;
过滤规则生成模块,用于确定所述用户终端为可疑终端时,对所述可疑终端进行标识,并生成针对所述可疑终端的过滤规则;
传输模块,用于将所述过滤规则传输给所述蜜墙,以使所述蜜墙基于所述过滤规则获取所述可疑终端与所述蜜饵服务器的所有通信信息并传输给所述取证服务器。
2.基于蜜网技术的内网敏感信息泄露取证方法,其特征在于,包括:
位于蜜网中的蜜饵服务器预先设置蜜饵,其中所述蜜饵服务器通过蜜墙连接于企业内网中,所述企业内网中连接有用户终端,所述蜜墙还与取证服务器连接;
所述蜜墙过滤和抓取所述用户终端通过所述企业内网访问所述蜜饵的交互数据,并传输给所述取证服务器;
所述取证服务器根据接收的所述交互数据对企业内网中的敏感信息泄露行为进行取证;
所述取证服务器根据接收的所述交互数据对企业内网中的敏感信息泄露行为进行取证,包括:
所述取证服务器根据接收的所述交互数据,确定与所述交互数据对应的用户终端是否为可疑终端;
所述取证服务器确定所述用户终端为可疑终端时,对所述可疑终端进行标识,并生成针对所述可疑终端的过滤规则;
所述取证服务器将所述过滤规则传输给所述蜜墙,以使所述蜜墙基于所述过滤规则获取所述可疑终端与所述蜜饵服务器的所有通信信息并传输给所述取证服务器。
3.根据权利要求2所述的方法,其特征在于,所述蜜饵包括:数据库服务、空口令虚拟机、弱口令虚拟机或虚拟机中存储的既定文件。
4.根据权利要求2所述的方法,其特征在于,所述生成针对所述可疑终端的过滤规则包括:
生成针对所述可疑终端的伯克利数据包过滤器BPF过滤规则。
5.根据权利要求2所述的方法,其特征在于,所述取证服务器根据接收的所述交互数据,确定与所述交互数据对应的用户终端是否为可疑终端,包括:
所述取证服务器根据接收的所述交互数据,统计与所述交互数据对应的用户终端在预设时间范围内,尝试访问所述蜜饵的尝试次数;
所述取证服务器判断所述尝试次数是否大于预设的阈值次数,如果是,则确定对应的用户终端为可疑终端。
6.根据权利要求2所述的方法,其特征在于,该方法还包括:所述取证服务器依据所述可疑终端与所述蜜饵服务器的通信信息,对所述可疑终端的访问行为的危险程度进行分级,分别为初级危险、中级危险及高级危险。
7.根据权利要求6所述的方法,其特征在于,当所述蜜饵为数据库类型蜜饵时,所述取证服务器依据所述可疑终端与所述蜜饵服务器的通信信息,对所述可疑终端的访问行为的危险程度进行分级,包括:
将一般连接请求和/或尝试连接数据库端口的访问行为确定为初级危险访问行为;
将数据库登录请求和/或尝试猜解数据库登录口令的访问行为确定为中级危险访问行为;
将暴力破解、成功登录数据库、登录数据库后进行的操作过程、登录数据库后访问的数据库信息和/或尝试删除访问记录的访问行为确定为高级危险访问行为。
8.根据权利要求7所述的方法,其特征在于,该方法还包括:取证服务器根据可疑终端对蜜饵的访问尝试过程行为,生成取证报告,其中所述取证报告包括所述可疑终端的访问时间、IP地址、所述可疑终端的危险行为、危险级别及所述可疑终端访问行为的界定。
CN201410752894.XA 2014-12-10 2014-12-10 基于蜜网技术的内网敏感信息泄露取证系统及方法 Active CN104486320B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201410752894.XA CN104486320B (zh) 2014-12-10 2014-12-10 基于蜜网技术的内网敏感信息泄露取证系统及方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201410752894.XA CN104486320B (zh) 2014-12-10 2014-12-10 基于蜜网技术的内网敏感信息泄露取证系统及方法

Publications (2)

Publication Number Publication Date
CN104486320A CN104486320A (zh) 2015-04-01
CN104486320B true CN104486320B (zh) 2018-10-26

Family

ID=52760824

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201410752894.XA Active CN104486320B (zh) 2014-12-10 2014-12-10 基于蜜网技术的内网敏感信息泄露取证系统及方法

Country Status (1)

Country Link
CN (1) CN104486320B (zh)

Families Citing this family (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106230807A (zh) * 2016-07-28 2016-12-14 安徽易联众信息技术有限公司 政务数据交互管理方法
CN107483422B (zh) * 2017-08-03 2020-10-27 深信服科技股份有限公司 数据泄密追溯方法、设备及计算机可读存储介质
CN110324313B (zh) * 2019-05-23 2022-12-13 平安科技(深圳)有限公司 基于蜜罐系统的恶意用户的识别方法及相关设备
CN110971605B (zh) * 2019-12-05 2022-03-08 福建天晴在线互动科技有限公司 一种通过捕获数据包获取盗版游戏服务器信息的方法
CN112804192A (zh) * 2020-12-21 2021-05-14 网神信息技术(北京)股份有限公司 暗网泄露监测方法、装置、电子设备、程序和介质
TWI828505B (zh) * 2023-01-03 2024-01-01 中華電信股份有限公司 基於蜜餌的資安系統與其方法

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102790778A (zh) * 2012-08-22 2012-11-21 常州大学 一种基于网络陷阱的DDoS攻击防御系统
CN103294950A (zh) * 2012-11-29 2013-09-11 北京安天电子设备有限公司 一种基于反向追踪的高威窃密恶意代码检测方法及系统
CN103561003A (zh) * 2013-10-22 2014-02-05 西安交通大学 一种基于蜜网的协同式主动防御方法
CN103561004A (zh) * 2013-10-22 2014-02-05 西安交通大学 基于蜜网的协同式主动防御系统

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20070117593A1 (en) * 2005-11-22 2007-05-24 Nextel Communications, Inc. System and method for detection and notification of improper access of a wireless device

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102790778A (zh) * 2012-08-22 2012-11-21 常州大学 一种基于网络陷阱的DDoS攻击防御系统
CN103294950A (zh) * 2012-11-29 2013-09-11 北京安天电子设备有限公司 一种基于反向追踪的高威窃密恶意代码检测方法及系统
CN103561003A (zh) * 2013-10-22 2014-02-05 西安交通大学 一种基于蜜网的协同式主动防御方法
CN103561004A (zh) * 2013-10-22 2014-02-05 西安交通大学 基于蜜网的协同式主动防御系统

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
利用蜜罐技术捕捉来自内部的威胁;应锦鑫,曹元大;《网络安全技术与应用》;20050101;第37-39页 *
基于蜜罐技术的企业网络安全模型研究;王宏群,张宇国;《湖南理工学院学报(自然科学版)》;20140315;第39-42页 *

Also Published As

Publication number Publication date
CN104486320A (zh) 2015-04-01

Similar Documents

Publication Publication Date Title
CN104486320B (zh) 基于蜜网技术的内网敏感信息泄露取证系统及方法
KR101890272B1 (ko) 보안이벤트 자동 검증 방법 및 장치
RU2622870C2 (ru) Система и способ оценки опасности веб-сайтов
US10135862B1 (en) Testing security incident response through automated injection of known indicators of compromise
CN103026345B (zh) 用于事件监测优先级的动态多维模式
CN111800395A (zh) 一种威胁情报防御方法和系统
CN107046543A (zh) 一种面向攻击溯源的威胁情报分析系统
CN107295021B (zh) 一种基于集中管理的主机的安全检测方法及系统
Mualfah et al. Network forensics for detecting flooding attack on web server
CN114598525A (zh) 一种针对网络攻击的ip自动封禁的方法和装置
CN105306445A (zh) 用于检测服务器的漏洞的系统和方法
CN107347047A (zh) 攻击防护方法和装置
CN115134099B (zh) 基于全流量的网络攻击行为分析方法及装置
CN107465702A (zh) 基于无线网络入侵的预警方法及装置
Saputra et al. Network forensics analysis of man in the middle attack using live forensics method
Chawda et al. Dynamic & hybrid honeypot model for scalable network monitoring
CN113411295A (zh) 基于角色的访问控制态势感知防御方法及系统
CN113411297A (zh) 基于属性访问控制的态势感知防御方法及系统
Crandall et al. Forgive Us our SYNs: Technical and Ethical Considerations for Measuring Internet Filtering.
Malderle et al. Gathering and analyzing identity leaks for a proactive warning of affected users
KR101201629B1 (ko) 멀티테넌시 환경에서 테넌트 별 보안 관제를 위한 클라우드 컴퓨팅 시스템 및 그 방법
US20130160074A1 (en) Apparatus and method for analyzing rule-based security event association
CN117544335A (zh) 诱饵激活方法、装置、设备及存储介质
KR100772177B1 (ko) 보안 기능 시험을 위한 침입 탐지 이벤트 생성 방법 및장치
JP2006295232A (ja) セキュリティ監視装置、セキュリティ監視方法、及びプログラム

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant