CN106209867A - 一种高级威胁防御方法及系统 - Google Patents
一种高级威胁防御方法及系统 Download PDFInfo
- Publication number
- CN106209867A CN106209867A CN201610561110.4A CN201610561110A CN106209867A CN 106209867 A CN106209867 A CN 106209867A CN 201610561110 A CN201610561110 A CN 201610561110A CN 106209867 A CN106209867 A CN 106209867A
- Authority
- CN
- China
- Prior art keywords
- terminal
- virtual
- advanced threat
- resource
- address
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开了一种高级威胁防御方法,包括如下步骤:监控携带有虚拟资源的终端;当监控到高级威胁攻击所述携带有虚拟资源的终端后,在网卡驱动上切断与所述高级威胁所属IP地址的通信连接;向其它终端下发携带有所述IP地址的告警信息。本发明中,实现了有效拦截、检测APT、TA、未知威胁攻击,发现0Day漏洞,完善了信息安全解决方案,提高了信息安全性。
Description
技术领域
本发明涉及信息安全技术领域,特别是涉及一种高级威胁防御方法及系统。
背景技术
随着网络信息技术的不断发展,越来越多的人开始依赖电子设备处理重要事件,一些高级威胁,例如APT(Advanced Persistent Threat,高级持续威胁)、TA(TargetAttack,目标攻击)、0Day和未知威胁攻击频繁出现,已经对用户造成了难以估量的损失。目前存在的特征比对、大数据分析、沙箱技术不能有效防御这几类攻击。
由于现有绝大部分信息安全产品均采用特征比对的方式检测、拦截各类攻击;或者采用大数据或沙箱行为分析方法检测恶意行为,而对于APT、TA、0Day、未知威胁等攻击往往无效。随着新技术的快速发展,数据的价值越来越高,APT、TA、0Day攻击越来越频繁,给用户带来极大的困扰。
发明内容
本发明提供一种高级威胁防御方法及系统,以有效拦截、检测APT、TA、未知威胁攻击,发现0Day漏洞,完善信息安全解决方案,并提高信息安全性。
为了达到上述目的,本发明提供一种高级威胁防御方法,包括如下步骤:
监控携带有虚拟资源的终端;
当监控到高级威胁攻击所述携带有虚拟资源的终端后,在网卡驱动上切断与所述高级威胁所属IP地址的通信连接;
向其它终端下发携带有所述IP地址的告警信息。
进一步地,所述监控携带有虚拟资源的终端之前,还包括:
采集资源属性信息,根据所述资源属性信息生成相应的虚拟资源,将所述虚拟资源携带于终端上。
进一步地,所述资源属性信息为终端的属性信息和/或操作系统的属性信息,所述根据所述资源属性信息生成相应的虚拟资源,将所述虚拟资源携带于终端上,具体包括:
根据所述终端的属性信息生成虚拟文件和虚拟进程,并将所述虚拟文件和虚拟进程携带于所述终端上;和/或,
根据所述操作系统的属性信息生成虚拟操作系统,并将所述虚拟操作系统携带于所述终端上。
进一步地,所述监控到高级威胁攻击所述虚拟资源,具体包括:
监控所述终端,当监控到某个IP地址的程序试图进入所述终端所携带的虚拟文件或虚拟进程时,确定该IP地址携带有高级威胁;和/或,
监控所述终端,当监控到某个IP地址的程序试图进入所述终端所携带的虚拟操作系统时,确定该IP地址携带有高级威胁。
进一步地,所述资源属性信息为网络拓扑结构,所述根据所述资源属性信息生成相应的虚拟资源,将所述虚拟资源携带于终端上,具体包括:
根据所述网络拓朴结构生成虚拟终端属性信息,将所述虚拟终端属性信息携带于终端上,构成虚拟终端。
进一步地,所述监控到高级威胁攻击所述虚拟资源,具体包括:
监控所述终端,当监控到某个IP地址的程序试图进入所述虚拟终端时,确定该IP地址携带有高级威胁。
本发明还公开了一种高级威胁防御系统,包括监控模块、处理模块和通知模块,
所述监控模块,用于监控携带有虚拟资源的终端;
所述处理模块,用于当所述监控模块监控到高级威胁攻击所述携带有虚拟资源的终端后,在网卡驱动上切断与所述高级威胁所属IP地址的通信连接;
所述通知模块,用于向其它终端下发携带有所述IP地址的告警信息
进一步地,还包括采集模块和生成模块,
所述采集模块,用于采集资源属性信息;
所述生成模块,用于根据所述资源属性信息生成相应的虚拟资源,将所述虚拟资源携带于终端上。
与现有技术相比,本发明至少具有以下优点:
实现了有效拦截、检测APT、TA、未知威胁攻击,发现0Day漏洞,完善了信息安全解决方案,提高了信息安全性。
附图说明
图1是本发明所提供的高级威胁防御方法的步骤示意图。
具体实施方式
本发明提出一种高级威胁防御方法及系统,下面结合附图,对本发明具体实施方式进行详细说明。
如图1所示,具体包括如下步骤:
步骤101,监控携带有虚拟资源的终端。
其中,所述监控携带有虚拟资源的终端之前,还包括:
采集资源属性信息,根据所述资源属性信息生成相应的虚拟资源,将所述虚拟资源携带于终端上。
具体的,所述资源属性信息为终端的属性信息和/或操作系统的属性信息,所述根据所述资源属性信息生成相应的虚拟资源,将所述虚拟资源携带于终端上,具体包括:
根据所述终端的属性信息生成虚拟文件和虚拟进程,并将所述虚拟文件和虚拟进程携带于所述终端上;和/或,
根据所述操作系统的属性信息生成虚拟操作系统,并将所述虚拟操作系统携带于所述终端上;和/或,
根据所述网络拓朴结构生成虚拟终端属性信息,将所述虚拟终端属性信息携带于终端上,构成虚拟终端。
当监控到高级威胁攻击所述携带有虚拟资源的终端后,转到步骤102。
步骤102,在网卡驱动上切断与所述高级威胁所属IP地址的通信连接。
具体的,
所述监控到高级威胁攻击所述虚拟资源,具体包括:
监控所述终端,当监控到某个IP地址的程序试图进入所述终端所携带的虚拟文件或虚拟进程时,确定该IP地址携带有高级威胁;和/或,
监控所述终端,当监控到某个IP地址的程序试图进入所述终端所携带的虚拟操作系统时,确定该IP地址携带有高级威胁和/或,
监控所述终端,当监控到某个IP地址的程序试图进入所述虚拟终端时,确定该IP地址携带有高级威胁。
步骤103,向其它终端下发携带有所述IP地址的告警信息。
通过将该IP地址分发给内网中所有终端,可以做到‘单点检测,全网收益’,使所有终端受到保护。
其中,上述所提及的虚拟文件具体可以包括接收到的正常文件(例如终端上面已经存在的)和/或接收到的混淆、欺骗、伪装文件;虚拟进程具体可以包括接收到的正常进程(例如终端上面已经存在的)和/或接收到的混淆、欺骗、伪装进程;虚拟资源包括但不仅限于文件、进程、网络等。
在具体实施例中,在终端侧,
(1)采集操作系统属性、终端属性。
(2)根据不同的操作系统属性(Linux/Windows/Mac等)以及终端属性(DB/APP/WEB等),在不同文件目录中生成不同的文件、生成不同的进程、在登陆和进入终端之间部署关卡,并且监控这些文件、进程。根据不同的操作系统产生一个轻量级的微型操作系统。根据现有的网络拓扑结构构造一些不存在的网络拓扑等一系列手段。以上所有的手段我们称之为幻影技术,通过幻影技术来迷惑高级威胁攻击。并且该技术中的一些手法是可以根据硬件配合来授权是否生效。
(3)当高级威胁攻击命中幻影技术中的迷惑手段后,我们可以通过报警形式来通知管理员该终端受到高级威胁攻击,并且可以在网卡驱动上来进行掐断与来源IP的通信或者封锁登陆帐户来保护该终端。迷惑手段包括:是否打开监控的文件、进程、在登陆之后的关卡中的行为等等。
(4)当一台终端检测到有问题的攻击来源IP后,将该来源IP分发至内网中所有终端,可以做到‘单点检测,全网收益’。
在网络侧,
(1)采集当前网络拓扑结构。
(2)通过幻影技术来虚拟出一些虚拟终端,进行对网络拓扑结构的混淆。
(3)当有高级威胁入侵网络时,如果访问虚拟终端,我们可以通过报警形式来通知管理员网络受到高级威胁攻击,并且可以在网卡驱动上来进行掐断与来源IP的通信来保护该服务器。
(4)被访问的虚拟终端将来源IP分发至所有终端,使所有终端受到保护。
本发明还公开了一种高级威胁防御系统,包括监控模块、处理模块、通知模块、采集模块和生成模块,
所述监控模块,用于监控携带有虚拟资源的终端;
所述处理模块,用于当所述监控模块监控到高级威胁攻击所述携带有虚拟资源的终端后,在网卡驱动上切断与所述高级威胁所属IP地址的通信连接;
所述通知模块,用于向其它终端下发携带有所述IP地址的告警信息
所述采集模块,用于采集资源属性信息;
所述生成模块,用于根据所述资源属性信息生成相应的虚拟资源,将所述虚拟资源携带于终端上。
其中,本发明装置的各个模块可以集成于一体,也可以分离部署。上述模块可以合并为一个模块,也可以进一步拆分成多个子模块。
本领域技术人员可以理解附图只是一个优选实施例的示意图,附图中的模块或流程并不一定是实施本发明所必须的。
本领域技术人员可以理解实施例中的装置中的模块可以按照实施例描述进行分布于实施例的装置中,也可以进行相应变化位于不同于本实施例的一个或多个装置中。上述实施例的模块可以合并为一个模块,也可以进一步拆分成多个子模块。
上述本发明序号仅仅为了描述,不代表实施例的优劣。
以上公开的仅为本发明的几个具体实施例,但是,本发明并非局限于此,任何本领域的技术人员能思之的变化都应落入本发明的保护范围。
Claims (8)
1.一种高级威胁防御方法,其特征在于,包括如下步骤:
监控携带有虚拟资源的终端;
当监控到高级威胁攻击所述携带有虚拟资源的终端后,在网卡驱动上切断与所述高级威胁所属IP地址的通信连接;
向其它终端下发携带有所述IP地址的告警信息。
2.如权利要求1所述的高级威胁防御方法,其特征在于,所述监控携带有虚拟资源的终端之前,还包括:
采集资源属性信息,根据所述资源属性信息生成相应的虚拟资源,将所述虚拟资源携带于终端上。
3.如权利要求2所述的高级威胁防御方法,其特征在于,所述资源属性信息为终端的属性信息和/或操作系统的属性信息,所述根据所述资源属性信息生成相应的虚拟资源,将所述虚拟资源携带于终端上,具体包括:
根据所述终端的属性信息生成虚拟文件和虚拟进程,并将所述虚拟文件和虚拟进程携带于所述终端上;和/或,
根据所述操作系统的属性信息生成虚拟操作系统,并将所述虚拟操作系统携带于所述终端上。
4.如权利要求3所述的高级威胁防御方法,其特征在于,所述监控到高级威胁攻击所述虚拟资源,具体包括:
监控所述终端,当监控到某个IP地址的程序试图进入所述终端所携带的虚拟文件或虚拟进程时,确定该IP地址携带有高级威胁;和/或,
监控所述终端,当监控到某个IP地址的程序试图进入所述终端所携带的虚拟操作系统时,确定该IP地址携带有高级威胁。
5.如权利要求2所述的高级威胁防御方法,其特征在于,所述资源属性信息为网络拓扑结构,所述根据所述资源属性信息生成相应的虚拟资源,将 所述虚拟资源携带于终端上,具体包括:
根据所述网络拓朴结构生成虚拟终端属性信息,将所述虚拟终端属性信息携带于终端上,构成虚拟终端。
6.如权利要求5所述的高级威胁防御方法,其特征在于,所述监控到高级威胁攻击所述虚拟资源,具体包括:
监控所述终端,当监控到某个IP地址的程序试图进入所述虚拟终端时,确定该IP地址携带有高级威胁。
7.一种高级威胁防御系统,其特征在于,包括监控模块、处理模块和通知模块,
所述监控模块,用于监控携带有虚拟资源的终端;
所述处理模块,用于当所述监控模块监控到高级威胁攻击所述携带有虚拟资源的终端后,在网卡驱动上切断与所述高级威胁所属IP地址的通信连接;
所述通知模块,用于向其它终端下发携带有所述IP地址的告警信息。
8.如权利要求7所述的高级威胁防御系统,其特征在于,还包括采集模块和生成模块,
所述采集模块,用于采集资源属性信息;
所述生成模块,用于根据所述资源属性信息生成相应的虚拟资源,将所述虚拟资源携带于终端上。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610561110.4A CN106209867B (zh) | 2016-07-15 | 2016-07-15 | 一种高级威胁防御方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610561110.4A CN106209867B (zh) | 2016-07-15 | 2016-07-15 | 一种高级威胁防御方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN106209867A true CN106209867A (zh) | 2016-12-07 |
| CN106209867B CN106209867B (zh) | 2020-09-01 |
Family
ID=57475577
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201610561110.4A Active CN106209867B (zh) | 2016-07-15 | 2016-07-15 | 一种高级威胁防御方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN106209867B (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108259449A (zh) * | 2017-03-27 | 2018-07-06 | 新华三技术有限公司 | 一种防御apt攻击的方法和系统 |
| CN111541655A (zh) * | 2020-04-08 | 2020-08-14 | 国家计算机网络与信息安全管理中心 | 网络异常流量检测方法、控制器及介质 |
| CN113676491A (zh) * | 2021-09-17 | 2021-11-19 | 西北工业大学 | 一种基于共同邻居数和图卷积神经网络的网络拓扑混淆方法 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101471783A (zh) * | 2007-12-28 | 2009-07-01 | 航天信息股份有限公司 | 主动网络防御方法和系统 |
| CN103561004A (zh) * | 2013-10-22 | 2014-02-05 | 西安交通大学 | 基于蜜网的协同式主动防御系统 |
| US20150128274A1 (en) * | 2013-11-04 | 2015-05-07 | Crypteia Networks S.A. | System and method for identifying infected networks and systems from unknown attacks |
| CN105024976A (zh) * | 2014-04-24 | 2015-11-04 | 中国移动通信集团山西有限公司 | 一种高级持续威胁攻击识别方法及装置 |
-
2016
- 2016-07-15 CN CN201610561110.4A patent/CN106209867B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101471783A (zh) * | 2007-12-28 | 2009-07-01 | 航天信息股份有限公司 | 主动网络防御方法和系统 |
| CN103561004A (zh) * | 2013-10-22 | 2014-02-05 | 西安交通大学 | 基于蜜网的协同式主动防御系统 |
| US20150128274A1 (en) * | 2013-11-04 | 2015-05-07 | Crypteia Networks S.A. | System and method for identifying infected networks and systems from unknown attacks |
| CN105024976A (zh) * | 2014-04-24 | 2015-11-04 | 中国移动通信集团山西有限公司 | 一种高级持续威胁攻击识别方法及装置 |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108259449A (zh) * | 2017-03-27 | 2018-07-06 | 新华三技术有限公司 | 一种防御apt攻击的方法和系统 |
| WO2018177210A1 (zh) * | 2017-03-27 | 2018-10-04 | 新华三技术有限公司 | 防御apt攻击 |
| CN108259449B (zh) * | 2017-03-27 | 2020-03-06 | 新华三技术有限公司 | 一种防御apt攻击的方法和系统 |
| US11405419B2 (en) | 2017-03-27 | 2022-08-02 | New H3C Technologies Co., Ltd. | Preventing advanced persistent threat attack |
| CN111541655A (zh) * | 2020-04-08 | 2020-08-14 | 国家计算机网络与信息安全管理中心 | 网络异常流量检测方法、控制器及介质 |
| CN113676491A (zh) * | 2021-09-17 | 2021-11-19 | 西北工业大学 | 一种基于共同邻居数和图卷积神经网络的网络拓扑混淆方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN106209867B (zh) | 2020-09-01 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10467411B1 (en) | System and method for generating a malware identifier | |
| US11102223B2 (en) | Multi-host threat tracking | |
| CN106411562B (zh) | 一种电力信息网络安全联动防御方法及系统 | |
| Bhatt et al. | Towards a framework to detect multi-stage advanced persistent threats attacks | |
| Ashoor et al. | Importance of intrusion detection system (IDS) | |
| CN106534114B (zh) | 基于大数据分析的防恶意攻击系统 | |
| WO2015120752A1 (zh) | 网络威胁处理方法及设备 | |
| CN110881049A (zh) | 一种计算机网络安全智能控制系统 | |
| CN111786966A (zh) | 浏览网页的方法和装置 | |
| CN107770125A (zh) | 一种网络安全应急响应方法及应急响应平台 | |
| CN110381041B (zh) | 分布式拒绝服务攻击态势检测方法及装置 | |
| CN106209867A (zh) | 一种高级威胁防御方法及系统 | |
| Do Xuan et al. | Detecting C&C server in the APT attack based on network traffic using machine learning | |
| CN106973051B (zh) | 建立检测网络威胁模型的方法、装置和存储介质 | |
| CN108040075B (zh) | 一种apt攻击检测系统 | |
| CN114363080A (zh) | 一种网络终端的监控分析方法、装置、设备及存储介质 | |
| Ali et al. | Detection and prevention cyber-attacks for smart buildings via private cloud environment | |
| Dhangar et al. | Analysis of proposed intrusion detection system | |
| Mahajan et al. | Performance analysis of honeypots against flooding attack | |
| Wonghirunsombat et al. | A centralized management framework of network-based intrusion detection and prevention system | |
| KR101615587B1 (ko) | 전자전에서 사이버 공격 탐지와 분석을 위한 dpi 구현 시스템 및 이의 구현 방법 | |
| CN106993005A (zh) | 一种网络服务器的预警方法及系统 | |
| Panimalar et al. | A review on taxonomy of botnet detection | |
| CN112769847A (zh) | 物联网设备的安全防护方法、装置、设备及存储介质 | |
| CN105337983A (zh) | 一种防御DoS攻击的方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB03 | Change of inventor or designer information | ||
| CB03 | Change of inventor or designer information |
Inventor after: Ren Junbo Inventor after: Jiang Xuejin Inventor before: Ren Junbo Inventor before: Ma Yunhai |
|
| CB03 | Change of inventor or designer information | ||
| CB03 | Change of inventor or designer information |
Inventor after: Ren Junbo Inventor before: Ren Junbo Inventor before: Jiang Xuejin |
|
| GR01 | Patent grant | ||
| GR01 | Patent grant |