CN106209867B - 一种高级威胁防御方法及系统 - Google Patents
一种高级威胁防御方法及系统 Download PDFInfo
- Publication number
- CN106209867B CN106209867B CN201610561110.4A CN201610561110A CN106209867B CN 106209867 B CN106209867 B CN 106209867B CN 201610561110 A CN201610561110 A CN 201610561110A CN 106209867 B CN106209867 B CN 106209867B
- Authority
- CN
- China
- Prior art keywords
- terminal
- virtual
- carrying
- monitoring
- threat
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开了一种高级威胁防御方法,包括如下步骤:监控携带有虚拟资源的终端;当监控到高级威胁攻击所述携带有虚拟资源的终端后,在网卡驱动上切断与所述高级威胁所属IP地址的通信连接;向其它终端下发携带有所述IP地址的告警信息。本发明中,实现了有效拦截、检测APT、TA、未知威胁攻击,发现0Day漏洞,完善了信息安全解决方案,提高了信息安全性。
Description
技术领域
本发明涉及信息安全技术领域,特别是涉及一种高级威胁防御方法及系统。
背景技术
随着网络信息技术的不断发展,越来越多的人开始依赖电子设备处理重要事件,一些高级威胁,例如APT(Advanced Persistent Threat,高级持续威胁)、TA(TargetAttack,目标攻击)、0Day和未知威胁攻击频繁出现,已经对用户造成了难以估量的损失。目前存在的特征比对、大数据分析、沙箱技术不能有效防御这几类攻击。
由于现有绝大部分信息安全产品均采用特征比对的方式检测、拦截各类攻击;或者采用大数据或沙箱行为分析方法检测恶意行为,而对于APT、TA、0Day、未知威胁等攻击往往无效。随着新技术的快速发展,数据的价值越来越高,APT、TA、0Day攻击越来越频繁,给用户带来极大的困扰。
发明内容
本发明提供一种高级威胁防御方法及系统,以有效拦截、检测APT、TA、未知威胁攻击,发现0Day漏洞,完善信息安全解决方案,并提高信息安全性。
为了达到上述目的,本发明提供一种高级威胁防御方法,包括如下步骤:
监控携带有虚拟资源的终端;
当监控到高级威胁攻击所述携带有虚拟资源的终端后,在网卡驱动上切断与所述高级威胁所属IP地址的通信连接;
向其它终端下发携带有所述IP地址的告警信息。
进一步地,所述监控携带有虚拟资源的终端之前,还包括:
采集资源属性信息,根据所述资源属性信息生成相应的虚拟资源,将所述虚拟资源携带于终端上。
进一步地,所述资源属性信息为终端的属性信息和/或操作系统的属性信息,所述根据所述资源属性信息生成相应的虚拟资源,将所述虚拟资源携带于终端上,具体包括:
根据所述终端的属性信息生成虚拟文件和虚拟进程,并将所述虚拟文件和虚拟进程携带于所述终端上;和/或,
根据所述操作系统的属性信息生成虚拟操作系统,并将所述虚拟操作系统携带于所述终端上。
进一步地,所述监控到高级威胁攻击所述虚拟资源,具体包括:
监控所述终端,当监控到某个IP地址的程序试图进入所述终端所携带的虚拟文件或虚拟进程时,确定该IP地址携带有高级威胁;和/或,
监控所述终端,当监控到某个IP地址的程序试图进入所述终端所携带的虚拟操作系统时,确定该IP地址携带有高级威胁。
进一步地,所述资源属性信息为网络拓扑结构,所述根据所述资源属性信息生成相应的虚拟资源,将所述虚拟资源携带于终端上,具体包括:
根据所述网络拓朴结构生成虚拟终端属性信息,将所述虚拟终端属性信息携带于终端上,构成虚拟终端。
进一步地,所述监控到高级威胁攻击所述虚拟资源,具体包括:
监控所述终端,当监控到某个IP地址的程序试图进入所述虚拟终端时,确定该IP地址携带有高级威胁。
本发明还公开了一种高级威胁防御系统,包括监控模块、处理模块和通知模块,
所述监控模块,用于监控携带有虚拟资源的终端;
所述处理模块,用于当所述监控模块监控到高级威胁攻击所述携带有虚拟资源的终端后,在网卡驱动上切断与所述高级威胁所属IP地址的通信连接;
所述通知模块,用于向其它终端下发携带有所述IP地址的告警信息
进一步地,还包括采集模块和生成模块,
所述采集模块,用于采集资源属性信息;
所述生成模块,用于根据所述资源属性信息生成相应的虚拟资源,将所述虚拟资源携带于终端上。
与现有技术相比,本发明至少具有以下优点:
实现了有效拦截、检测APT、TA、未知威胁攻击,发现0Day漏洞,完善了信息安全解决方案,提高了信息安全性。
附图说明
图1是本发明所提供的高级威胁防御方法的步骤示意图。
具体实施方式
本发明提出一种高级威胁防御方法及系统,下面结合附图,对本发明具体实施方式进行详细说明。
如图1所示,具体包括如下步骤:
步骤101,监控携带有虚拟资源的终端。
其中,所述监控携带有虚拟资源的终端之前,还包括:
采集资源属性信息,根据所述资源属性信息生成相应的虚拟资源,将所述虚拟资源携带于终端上。
具体的,所述资源属性信息为终端的属性信息和/或操作系统的属性信息,所述根据所述资源属性信息生成相应的虚拟资源,将所述虚拟资源携带于终端上,具体包括:
根据所述终端的属性信息生成虚拟文件和虚拟进程,并将所述虚拟文件和虚拟进程携带于所述终端上;和/或,
根据所述操作系统的属性信息生成虚拟操作系统,并将所述虚拟操作系统携带于所述终端上;和/或,
根据所述网络拓朴结构生成虚拟终端属性信息,将所述虚拟终端属性信息携带于终端上,构成虚拟终端。
当监控到高级威胁攻击所述携带有虚拟资源的终端后,转到步骤102。
步骤102,在网卡驱动上切断与所述高级威胁所属IP地址的通信连接。
具体的,
所述监控到高级威胁攻击所述虚拟资源,具体包括:
监控所述终端,当监控到某个IP地址的程序试图进入所述终端所携带的虚拟文件或虚拟进程时,确定该IP地址携带有高级威胁;和/或,
监控所述终端,当监控到某个IP地址的程序试图进入所述终端所携带的虚拟操作系统时,确定该IP地址携带有高级威胁和/或,
监控所述终端,当监控到某个IP地址的程序试图进入所述虚拟终端时,确定该IP地址携带有高级威胁。
步骤103,向其它终端下发携带有所述IP地址的告警信息。
通过将该IP地址分发给内网中所有终端,可以做到‘单点检测,全网收益’,使所有终端受到保护。
其中,上述所提及的虚拟文件具体可以包括接收到的正常文件(例如终端上面已经存在的)和/或接收到的混淆、欺骗、伪装文件;虚拟进程具体可以包括接收到的正常进程(例如终端上面已经存在的)和/或接收到的混淆、欺骗、伪装进程;虚拟资源包括但不仅限于文件、进程、网络等。
在具体实施例中,在终端侧,
(1)采集操作系统属性、终端属性。
(2)根据不同的操作系统属性(Linux/Windows/Mac等)以及终端属性(DB/APP/WEB等),在不同文件目录中生成不同的文件、生成不同的进程、在登陆和进入终端之间部署关卡,并且监控这些文件、进程。根据不同的操作系统产生一个轻量级的微型操作系统。根据现有的网络拓扑结构构造一些不存在的网络拓扑等一系列手段。以上所有的手段我们称之为幻影技术,通过幻影技术来迷惑高级威胁攻击。并且该技术中的一些手法是可以根据硬件配合来授权是否生效。
(3)当高级威胁攻击命中幻影技术中的迷惑手段后,我们可以通过报警形式来通知管理员该终端受到高级威胁攻击,并且可以在网卡驱动上来进行掐断与来源IP的通信或者封锁登陆帐户来保护该终端。迷惑手段包括:是否打开监控的文件、进程、在登陆之后的关卡中的行为等等。
(4)当一台终端检测到有问题的攻击来源IP后,将该来源IP分发至内网中所有终端,可以做到‘单点检测,全网收益’。
在网络侧,
(1)采集当前网络拓扑结构。
(2)通过幻影技术来虚拟出一些虚拟终端,进行对网络拓扑结构的混淆。
(3)当有高级威胁入侵网络时,如果访问虚拟终端,我们可以通过报警形式来通知管理员网络受到高级威胁攻击,并且可以在网卡驱动上来进行掐断与来源IP的通信来保护该服务器。
(4)被访问的虚拟终端将来源IP分发至所有终端,使所有终端受到保护。
本发明还公开了一种高级威胁防御系统,包括监控模块、处理模块、通知模块、采集模块和生成模块,
所述监控模块,用于监控携带有虚拟资源的终端;
所述处理模块,用于当所述监控模块监控到高级威胁攻击所述携带有虚拟资源的终端后,在网卡驱动上切断与所述高级威胁所属IP地址的通信连接;
所述通知模块,用于向其它终端下发携带有所述IP地址的告警信息
所述采集模块,用于采集资源属性信息;
所述生成模块,用于根据所述资源属性信息生成相应的虚拟资源,将所述虚拟资源携带于终端上。
其中,本发明装置的各个模块可以集成于一体,也可以分离部署。上述模块可以合并为一个模块,也可以进一步拆分成多个子模块。
本领域技术人员可以理解附图只是一个优选实施例的示意图,附图中的模块或流程并不一定是实施本发明所必须的。
本领域技术人员可以理解实施例中的装置中的模块可以按照实施例描述进行分布于实施例的装置中,也可以进行相应变化位于不同于本实施例的一个或多个装置中。上述实施例的模块可以合并为一个模块,也可以进一步拆分成多个子模块。
上述本发明序号仅仅为了描述,不代表实施例的优劣。
以上公开的仅为本发明的几个具体实施例,但是,本发明并非局限于此,任何本领域的技术人员能思之的变化都应落入本发明的保护范围。
Claims (7)
1.一种高级威胁防御方法,其特征在于,包括如下步骤:
监控携带有虚拟资源的终端,具体包括:
监控所述终端,当监控到某个IP地址的程序试图进入所述终端所携带的虚拟文件或虚拟进程时,确定该IP地址携带有高级威胁;
和/或,
监控所述终端,当监控到某个IP地址的程序试图进入所述终端所携带的虚拟操作系统时,确定该IP地址携带有高级威胁;
和/或,
监控所述终端,当监控到某个IP地址的程序试图进入所述终端时,确定该IP地址携带有高级威胁;
通过幻影技术虚拟出一些携带有虚拟资源的终端,进行对网络拓扑结构的混淆;
当监控到高级威胁攻击所述携带有虚拟资源的终端后,在网卡驱动上切断与所述高级威胁所属IP地址的通信连接;
向其它终端下发携带有所述IP地址的告警信息;
在所述终端侧,具体包括:
(1)采集操作系统属性、终端属性;
(2)根据不同的操作系统属性以及终端属性,在不同文件目录中生成不同的文件、生成不同的进程,在登录和进入终端之间部署关卡,并且监控所述文件、进程;根据不同的操作系统产生一个轻量级的微型操作系统,根据现有的网络拓扑结构构造不存在的网络拓扑手段,以上所有的手段称之为幻影技术,通过幻影技术来迷惑高级威胁攻击;所述幻影技术中的一些手法是根据硬件配合来授权是否生效;
(3)当高级威胁攻击命中幻影技术中的迷惑手段后,通过报警形式来通知管理员该终端受到高级威胁攻击,并且在网卡驱动上来进行掐断与来源IP的通信或者封锁登录帐户来保护该终端,迷惑手段包括:是否打开监控的文件、进程、在登录之后的关卡中的行为;
(4)当一台终端检测到有问题的攻击来源IP后,将该来源IP分发至内网中所有终端,做到‘单点检测,全网受益’;
在网络侧,具体包括:
(1)采集当前网络拓扑结构;
(2)通过幻影技术来虚拟出虚拟终端,进行对网络拓扑结构的混淆;
(3)当有高级威胁入侵网络时,如果访问虚拟终端,通过报警形式来通知管理员网络受到高级威胁攻击,并且在网卡驱动上进行掐断与来源IP的通信来保护服务器;
(4)被访问的虚拟终端将来源IP分发至所有终端,使所有终端受到保护。
2.如权利要求1所述的高级威胁防御方法,其特征在于,所述监控携带有虚拟资源的终端之前,还包括:
采集资源属性信息,根据所述资源属性信息生成相应的虚拟资源,将所述虚拟资源携带于终端上。
3.如权利要求2所述的高级威胁防御方法,其特征在于,所述资源属性信息为终端的属性信息和/或操作系统的属性信息,所述根据所述资源属性信息生成相应的虚拟资源,将所述虚拟资源携带于终端上,具体包括:
根据所述终端的属性信息生成虚拟文件和虚拟进程,并将所述虚拟文件和虚拟进程携带于所述终端上;和/或,
根据所述操作系统的属性信息生成虚拟操作系统,并将所述虚拟操作系统携带于所述终端上。
4.如权利要求2所述的高级威胁防御方法,其特征在于,所述资源属性信息为网络拓扑结构,所述根据所述资源属性信息生成相应的虚拟资源,将所述虚拟资源携带于终端上,具体包括:
根据所述网络拓扑结构生成虚拟终端属性信息,将所述虚拟终端属性信息携带于终端上,构成虚拟终端。
5.如权利要求4所述的高级威胁防御方法,其特征在于,所述监控携带有虚拟资源的终端,具体包括:
监控所述终端,当监控到某个IP地址的程序试图进入所述虚拟终端时,确定该IP地址携带有高级威胁。
6.一种高级威胁防御系统,其特征在于,包括监控模块,处理模块和通知模块,
所述监控模块,用于监控携带有虚拟资源的终端,所述携带有虚拟资源的终端还包括通过幻影技术来虚拟出一些携带有虚拟资源的终端;
所述处理模块,用于当所述监控模块监控到高级威胁攻击所述携带有虚拟资源的终端后,在网卡驱动上切断与所述高级威胁所属IP地址的通信连接;
所述通知模块,用于向其它终端下发携带有所述IP地址的告警信息;
在所述终端侧,具体包括:
(1)采集操作系统属性、终端属性;
(2)根据不同的操作系统属性以及终端属性,在不同文件目录中生成不同的文件、生成不同的进程、在登录和进入终端之间部署关卡,并且监控所述文件、进程;根据不同的操作系统产生一个轻量级的微型操作系统,根据现有的网络拓扑结构构造不存在的网络拓扑手段,以上所有的手段称之为幻影技术,通过幻影技术来迷惑高级威胁攻击;并且所述幻影技术中的一些手法是根据硬件配合来授权是否生效;
(3)当高级威胁攻击命中幻影技术中的迷惑手段后,通过报警形式来通知管理员该终端受到高级威胁攻击,并且在网卡驱动上来进行掐断与来源IP的通信或者封锁登录帐户来保护该终端,迷惑手段包括:是否打开监控的文件、进程、在登录之后的关卡中的行为;
(4)当一台终端检测到有问题的攻击来源IP后,将该来源IP分发至内网中所有终端,做到‘单点检测,全网受益’;
在网络侧,具体包括:
(1)采集当前网络拓扑结构;
(2)通过幻影技术来虚拟出虚拟终端,进行对网络拓扑结构的混淆;
(3)当有高级威胁入侵网络时,如果访问虚拟终端,通过报警形式来通知管理员网络受到高级威胁攻击,并且在网卡驱动上进行掐断与来源IP的通信来保护服务器;
(4)被访问的虚拟终端将来源IP分发至所有终端,使所有终端受到保护。
7.如权利要求6所述的高级威胁防御系统,其特征在于,还包括采集模块和生成模块,
所述采集模块,用于采集资源属性信息;
所述生成模块,用于根据所述资源属性信息生成相应的虚拟资源,将所述虚拟资源携带于终端上。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201610561110.4A CN106209867B (zh) | 2016-07-15 | 2016-07-15 | 一种高级威胁防御方法及系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201610561110.4A CN106209867B (zh) | 2016-07-15 | 2016-07-15 | 一种高级威胁防御方法及系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN106209867A CN106209867A (zh) | 2016-12-07 |
CN106209867B true CN106209867B (zh) | 2020-09-01 |
Family
ID=57475577
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201610561110.4A Active CN106209867B (zh) | 2016-07-15 | 2016-07-15 | 一种高级威胁防御方法及系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN106209867B (zh) |
Families Citing this family (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108259449B (zh) * | 2017-03-27 | 2020-03-06 | 新华三技术有限公司 | 一种防御apt攻击的方法和系统 |
CN111541655A (zh) * | 2020-04-08 | 2020-08-14 | 国家计算机网络与信息安全管理中心 | 网络异常流量检测方法、控制器及介质 |
CN113676491B (zh) * | 2021-09-17 | 2023-01-24 | 西北工业大学 | 一种基于共同邻居数和图卷积神经网络的网络拓扑混淆方法 |
Family Cites Families (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101471783A (zh) * | 2007-12-28 | 2009-07-01 | 航天信息股份有限公司 | 主动网络防御方法和系统 |
CN103561004B (zh) * | 2013-10-22 | 2016-10-12 | 西安交通大学 | 基于蜜网的协同式主动防御系统 |
US9392007B2 (en) * | 2013-11-04 | 2016-07-12 | Crypteia Networks S.A. | System and method for identifying infected networks and systems from unknown attacks |
CN105024976B (zh) * | 2014-04-24 | 2018-06-26 | 中国移动通信集团山西有限公司 | 一种高级持续威胁攻击识别方法及装置 |
-
2016
- 2016-07-15 CN CN201610561110.4A patent/CN106209867B/zh active Active
Also Published As
Publication number | Publication date |
---|---|
CN106209867A (zh) | 2016-12-07 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11025664B2 (en) | Identifying security actions for responding to security threats based on threat state information | |
US11102223B2 (en) | Multi-host threat tracking | |
CN109829310B (zh) | 相似攻击的防御方法及装置、系统、存储介质、电子装置 | |
US10560434B2 (en) | Automated honeypot provisioning system | |
CN107426242B (zh) | 网络安全防护方法、装置及存储介质 | |
US10095866B2 (en) | System and method for threat risk scoring of security threats | |
US20180309787A1 (en) | Deploying deception campaigns using communication breadcrumbs | |
EP2889798A1 (en) | Method and apparatus for improving network security | |
CN101621428B (zh) | 一种僵尸网络检测方法及系统以及相关设备 | |
Wafi et al. | Implementation of a modern security systems honeypot honey network on wireless networks | |
US10142360B2 (en) | System and method for iteratively updating network attack mitigation countermeasures | |
CN106209867B (zh) | 一种高级威胁防御方法及系统 | |
CN111859374B (zh) | 社会工程学攻击事件的检测方法、装置以及系统 | |
Jeremiah | Intrusion detection system to enhance network security using raspberry pi honeypot in kali linux | |
Kim et al. | Agent-based honeynet framework for protecting servers in campus networks | |
Kang et al. | Whitelists based multiple filtering techniques in SCADA sensor networks | |
US20210058414A1 (en) | Security management method and security management apparatus | |
CN112751861A (zh) | 一种基于密网和网络大数据的恶意邮件检测方法及系统 | |
Mahajan et al. | Performance analysis of honeypots against flooding attack | |
Tsochev et al. | Some security model based on multi agent systems | |
Yang et al. | Cyber threat detection and application analysis | |
Kang et al. | Whitelist generation technique for industrial firewall in SCADA networks | |
Ochieng et al. | A tour of the computer worm detection space | |
WO2020176066A1 (en) | Multi-dimensional visualization of cyber threats serving as a base for operator guidance | |
Alhomoud et al. | A next-generation approach to combating botnets |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
CB03 | Change of inventor or designer information |
Inventor after: Ren Junbo Inventor after: Jiang Xuejin Inventor before: Ren Junbo Inventor before: Ma Yunhai |
|
CB03 | Change of inventor or designer information | ||
CB03 | Change of inventor or designer information |
Inventor after: Ren Junbo Inventor before: Ren Junbo Inventor before: Jiang Xuejin |
|
CB03 | Change of inventor or designer information | ||
GR01 | Patent grant | ||
GR01 | Patent grant |