CN107707576A - 一种基于蜜罐技术的网络防御方法及系统 - Google Patents
一种基于蜜罐技术的网络防御方法及系统 Download PDFInfo
- Publication number
- CN107707576A CN107707576A CN201711214446.4A CN201711214446A CN107707576A CN 107707576 A CN107707576 A CN 107707576A CN 201711214446 A CN201711214446 A CN 201711214446A CN 107707576 A CN107707576 A CN 107707576A
- Authority
- CN
- China
- Prior art keywords
- attack
- traffic stream
- malicious traffic
- application scenarios
- web application
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1491—Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/56—Provisioning of proxy services
- H04L67/562—Brokering proxy services
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开了一种基于蜜罐技术的网络防御方法,通过代理服务器将恶意流量引入基于Docker的Web应用场景蜜罐,通过Web应用场景蜜罐拦截恶意流量的恶意攻击;可见,在本方案中,通过部署基于Docker的Web应用场景蜜罐,不仅能够主动防御网络攻击,延缓攻击者对真正目标的攻击,给防御者提供宝贵的攻击溯源时间,而且本方案基于Docker的Web应用场景蜜罐,还可以有效的避免不适应客户真实场景的缺点,通过虚拟化Docker技术有效减少了存储空间,同时隔离了网络,保证蜜罐与蜜罐之间不受互相的干扰,并通过持续集成保证了蜜罐的稳定性;本发明还公开了一种基于蜜罐技术的网络防御系统,同样能实现上述技术效果。
Description
技术领域
本发明涉及网络防御技术领域,更具体地说,涉及一种基于蜜罐技术的网络防御方法及系统。
背景技术
目前,蜜罐作为新兴的网络防御技术,不仅能够主动防御网络攻击,而且还可以收集攻击者的重要信息。但是当前的现状是业务系统的网络结构越来越复杂,重要应用和服务器的数量及种类日益增多,一旦被黑客入侵,就可能会极大的影响系统的正常运转。虽然这些情况的出现看似偶尔,但随着时间的推移,系统规模的增加,难免会成为必然。但是现有的蜜罐的不能模拟出客户的真实场景,很占存储空间,并且很多类似的蜜罐间没有网络隔离,会互相干扰。
因此,如何增加蜜罐的防御能力,提高蜜罐的防御效果是本领域技术人员需要解决的问题。
发明内容
本发明的目的在于提供一种基于蜜罐技术的网络防御方法及系统,以增加蜜罐的防御能力,提高蜜罐的防御效果。
为实现上述目的,本发明实施例提供了如下技术方案:
一种基于蜜罐技术的网络防御方法,包括:
代理服务器接收数据访问流量,利用攻击模型检测所述数据访问流量中是否存在具有攻击行为的恶意流量;
若存在恶意流量,则将所述恶意流量引入基于Docker的Web应用场景蜜罐,通过所述Web应用场景蜜罐拦截所述恶意流量的恶意攻击;
其中,所述Web应用场景蜜罐通过基础内容管理系统容器以及用户的网页标准系统模拟用户真实场景。
其中,述利用攻击模型检测所述数据访问流量中是否存在具有攻击行为的恶意流量包括:
检测所述数据访问流量是否符合攻击策略、陷阱文件访问策略、重点文件监控策略中的至少一种策略;
其中,若所述数据访问流量符合预定攻击策略、陷阱文件访问策略、重点文件监控策略中的至少一种策略,则判定所述数据访问流量为恶意流量。
其中,若存在恶意流量,则所述网络防御方法还包括:
所述代理服务器设置每个恶意流量的标识;
所述Web应用场景蜜罐拦截所述恶意流量的恶意攻击时,收集日志数据,并将所述日志数据发送至云端分析设备;其中,所述日志数据通过每个恶意流量的标识进行标记;
所述云端分析设备利用所述日志数据分析攻击者的攻击信息;所述攻击信息包括攻击者的攻击手法信息和攻击者特征信息。
其中,所述云端分析设备利用所述日志数据分析攻击者的攻击信息之后,还包括:
利用所述攻击信息训练所述代理服务器的攻击模型。
其中,所述云端分析设备利用所述日志数据分析攻击者的攻击信息之后,
利用所述攻击信息对攻击者进行溯源,获取攻击者信息。
其中,所述Web应用场景蜜罐拦截所述恶意流量的恶意攻击时,还包括:
检测所述恶意流量的是否存在破坏蜜罐行为;
若存在,则通过持续集成设备构建与被破坏的Web应用场景蜜罐相同的蜜罐,以替换被破坏的Web应用场景蜜罐。
一种基于蜜罐技术的网络防御系统,包括:
代理服务器,用于接收数据访问流量,利用攻击模型检测所述数据访问流量中是否存在具有攻击行为的恶意流量;若存在恶意流量,则将所述恶意流量引入基于Docker的Web应用场景蜜罐;
所述Web应用场景蜜罐,用于拦截所述恶意流量的恶意攻击;其中,所述Web应用场景蜜罐通过基础内容管理系统容器以及用户的网页标准系统模拟用户真实场景。
其中,所述代理服务器具体用于:
检测所述数据访问流量是否符合攻击策略、陷阱文件访问策略、重点文件监控策略中的至少一种策略;其中,若所述数据访问流量符合预定攻击策略、陷阱文件访问策略、重点文件监控策略中的至少一种策略,则判定所述数据访问流量为恶意流量。
其中,本方案还包括云端分析设备;其中,所述代理服务器还用于设置每个恶意流量的标识;
所述Web应用场景蜜罐还用于拦截所述恶意流量的恶意攻击时,收集日志数据,并将所述日志数据发送至云端分析设备;其中,所述日志数据通过每个恶意流量的标识进行标记;
所述云端分析设备用于利用所述日志数据分析攻击者的攻击信息;所述攻击信息包括攻击者的攻击手法信息和攻击者特征信息。
其中,所述云端分析设备还用于利用所述攻击信息训练所述代理服务器的攻击模型。
其中,所述云端分析设备还用于利用所述攻击信息对攻击者进行溯源,获取攻击者信息。
其中,所述Web应用场景蜜罐还用于检测所述恶意流量的是否存在破坏蜜罐行为;若存在,则通过持续集成设备构建与被破坏的Web应用场景蜜罐相同的蜜罐,以替换被破坏的Web应用场景蜜罐。
通过以上方案可知,本发明实施例提供的一种基于蜜罐技术的网络防御方法,包括:代理服务器接收数据访问流量,利用攻击模型检测所述数据访问流量中是否存在具有攻击行为的恶意流量;若存在恶意流量,则将所述恶意流量引入基于Docker的Web应用场景蜜罐,通过所述Web应用场景蜜罐拦截所述恶意流量的恶意攻击;其中,所述Web应用场景蜜罐通过基础内容管理系统容器以及用户的网页标准系统模拟用户真实场景。
可见,在本方案中,通过部署基于Docker的Web应用场景蜜罐,不仅能够主动防御网络攻击,延缓攻击者对真正目标的攻击,给防御者提供宝贵的攻击溯源时间,而且本方案基于Docker的Web应用场景蜜罐,还可以有效的避免不适应客户真实场景的缺点,通过虚拟化Docker技术有效减少了存储空间,同时隔离了网络,保证蜜罐与蜜罐之间不受互相的干扰,并通过持续集成保证了蜜罐的稳定性;本发明还公开了一种基于蜜罐技术的网络防御系统,同样能实现上述技术效果。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例公开的一种基于蜜罐技术的网络防御方法流程示意图;
图2为本发明实施例公开的一种具体的网络防御方法流程示意图;
图3为本发明实施例公开的一种基于蜜罐技术的网络防御系统结构示意图;
图4为本发明实施例公开的另一种基于蜜罐技术的网络防御系统结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明实施例公开了一种基于蜜罐技术的网络防御方法及系统,以增加蜜罐的防御能力,提高蜜罐的防御效果。
参见图1,本发明实施例提供的一种基于蜜罐技术的网络防御方法,包括:
S101、代理服务器接收数据访问流量,利用攻击模型检测所述数据访问流量中是否存在具有攻击行为的恶意流量;
具体的,在本实施例中,代理服务器用于接受所有的流量,确保所有的流量都会传输到代理服务器,在代理服务器中设置用来检测是否存在攻击的攻击模型,如果攻击模型判定流量可能存在攻击行为就设置成恶意流量,并引入Web应用场景蜜罐;可以理解的是,本方案中的代理服务器的作用不止可以集中的采集数据,还可以区分不同主机的响应,在本实施例中并不具体限定。
S102、若存在恶意流量,则将所述恶意流量引入基于Docker的Web应用场景蜜罐,通过所述Web应用场景蜜罐拦截所述恶意流量的恶意攻击;
其中,所述Web应用场景蜜罐通过基础内容管理系统容器以及用户的网页标准系统模拟用户真实场景。
目前,现阶段的蜜罐分析的重点放在三个方面:
1、渗透攻击阶段,主要研究在应用程序被攻下前攻击者的行为;
2、诱捕阶段,如何延缓攻击者对真正目标的攻击,给防御者提供宝贵的溯源时间;
3、后渗透攻击阶段,测试攻击者在拿下目标后进入内网都会做什么。
在本实施例中,将每个Web应用场景蜜罐设置在对应的Docker内;其中,Docker是一个开源的应用容器引擎,让开发者可以打包他们的应用以及依赖包到一个可移植的容器中,然后发布到任何流行的Linux机器上,也可以实现虚拟化。容器是完全使用沙箱机制,相互之间不会有任何接口。这样,通过将每个Web应用场景蜜罐设置在对应的Docker内,可以有效的避免不适应客户真实场景的缺点,有效减少了存储空间,同时隔离了网络,保证蜜罐与蜜罐之间不受互相的干扰。
具体来说,在本方案中,安装在每个网站上的蜜罐系统都是由索引文件、代理脚本和配置文件组成的。索引文件是网站的主页,它会连接到存在漏洞的Web应用上或是其他蜜罐网站,这些是根据配置文件的内容来定的。如果客户攻击代理服务器,代理服务器把流量引入Web应用场景蜜罐,通过Web应用场景蜜罐极大的模拟出客户的真实场景,进行网络防御。从Web应用场景来讲,每次漏洞分析后会保留大量的基础内容管理系统(CMS)容器,都可以作为基础数据,再加入用户本身网站的网页标准系统HTML+CSS+JS,极大的模拟客户的真实场景,这里的基础数据不仅可以由平时漏洞分析后积累搭建的各种各样的基于Docker的Web应用环境组成,也可以采用新版本的CMS。
综上可见,在本方案针对现有蜜罐技术的不足,提出了一种基于Docker的Web应用场景蜜罐,这种技术通过Web应用场景蜜罐与虚拟化技术深入分析结合在一起。通过基于Docker的Web应用场景蜜罐,可以有效的避免不适应客户真实场景的缺点,通过虚拟化Docker技术有效减少了存储空间,同时隔离了网络,保证蜜罐与蜜罐之间不受互相的干扰,通过日志收集传到云端进行分析。
基于上述方法实施例,在本实施例中,所述利用攻击模型检测所述数据访问流量中是否存在具有攻击行为的恶意流量包括:
检测所述数据访问流量是否符合攻击策略、陷阱文件访问策略、重点文件监控策略中的至少一种策略;其中,若所述数据访问流量符合预定攻击策略、陷阱文件访问策略、重点文件监控策略中的至少一种策略,则判定所述数据访问流量为恶意流量。
或者,检测所述数据访问流量是否存在暴力破解行为;其中,若所述数据访问流量存在暴力破解行为,则判定所述数据访问流量为恶意流量。
具体的,在本方案中,有两种方式来判定是否为恶意流量:
第一种方式包括:
通过在编写判定攻击策略,设置陷阱文件或者监控重点文件来判定;具体来说,符合攻击策略为:恶意流量的行为等条件满足预定攻击策略,则判定为恶意流量;符合陷阱文件访问策略为:该流量能访问到正常用户不可能访问到的目录/文件,则判定为恶意流量;符合重点文件监控策略为:该流量存在重点文件的上传操作,重点文件的下载频率超过预定阈值,重点文件的访问频率超过预定阈值,若满足任意一者,则判定为恶意流量;
需要说明的是,若该流量能访问到正常用户不可能访问到的目录/文件以及重点文件的访问频率超过预定阈值,判定系统接受到恶意爬虫的攻击,其他情况判定存在攻击者的探测攻击,然后将恶意流量引入蜜罐。
在本实施例中,以apache为例,提出两种方式检测上传和修改重点文件:一种是通过Web服务日志来检测重点文件的上传,另一种是通过监控的文件快照进行检测重点文件的修改;具体来说,Web服务日志上有上传文件的记录,每个通过蜜罐上传文件的过程都会在Apache的mod_secruity记录上,因此可通过Web服务日志检测上传重点文件;在虚拟机的监控目录的文件快照是修改或生产的原文件以及系统上的被解压的压缩文档或加密文件记录的主要来源,因此可通过其对文件的修改进行检测。
第二种方式包括:
检测数据访问流量是否存在暴力破解行为,本方案中的暴力破解行为包括暴力破解SSH服务、Tomcat服务、Mysql服务....,如果频率过快,就将此标识位的恶意流量全部引入蜜罐。
需要说明的是,若在S101中检测到存在恶意流量,则所述网络防御方法还包括:所述代理服务器设置每个恶意流量的标识;
这样所述Web应用场景蜜罐拦截所述恶意流量的恶意攻击时,收集日志数据,并将所述日志数据发送至云端分析设备;其中,所述日志数据通过每个恶意流量的标识进行标记;
所述云端分析设备利用所述日志数据分析攻击者的攻击信息;所述攻击信息包括攻击者的攻击手法信息和攻击者特征信息。
在本方案中,代理服务器里面有一个探针,探针可以通过代理服务器解析流量,并在每个访问者加入自定义的头,确保访问者标识唯一。并且Web应用场景蜜罐拦截恶意流量的恶意攻击时,不仅会通过部署的文件监控脚本拦截所有恶意攻击行为,而且还可以将日志数据上传到云端日志收集平台的云端分析设备;具体来说,本方案获取日志数据并上传至云平台分析设备时,可通过启动多个探针去检测配置文件指定的日志目录或文件,对于探针找出的每一个日志文件,依次读取每一个日志文件的新内容,并发送这些新的日志数据到云端进行分析。
可以理解的是,由于不同类型的数据所存储的位置不同,因此在本方案中,获取新存储的日志数据时,可以通过检测配置文件去寻找指定的日志目录和文件,从而更快的去获取日志文件。可见,本方案通过在蜜罐内部署文件监控脚本,可以收集流量,从而发现0day漏洞,达到事前预警的效果,与此同时还可以继续诱惑攻击者,减缓攻击者可以攻击真正服务器的进度。
具体的,本方案中的云端分析设备接收到日志数据后,会根据日志数据对应的恶意流量对标识,来根据标识位将日志划分处理,经过对日志数据的筛选、清理等处理,配合云端分析攻击者行为,从而可还原攻击者攻击手法(渗透路线),并且根据攻击行为等信息确定攻击者的攻击特征(上传特定的页面,留下特定的标志或者logo)。
进一步,本方案中的云端分析设备利用所述日志数据分析攻击者的攻击信息之后,还包括:
利用所述攻击信息训练所述代理服务器的攻击模型;和/或,利用所述攻击信息对攻击者进行溯源,获取攻击者信息。
具体的,在本方案中,通过云端分析后获得的攻击手法或攻击特征后,不仅可以锁定攻击者的个人主机或者组织,而且还可以通过分析后的攻击手法和采集到的攻击特征不断地训练攻击模型,在溯源的同时也能不断的提高蜜罐识别攻击的准确率。
可见,本方案中的代理服务器通过类攻击模型检测出了类攻击行为就将流量引入Web应用场景蜜罐集群,延缓攻击者对真正目标的攻击,也可以通过代理服务器解析流量后所打的特定标识,跟踪访问者行为,实时数据传到云端,方便对云端溯源,并对攻击者画像。
参见图2,为本实施例提供的一种具体的网络防御方法流程示意图,在本实施例中,Web应用场景蜜罐拦截所述恶意流量的恶意攻击时,还包括检测所述恶意流量的是否存在破坏蜜罐行为;若存在,则通过持续集成设备构建与被破坏的Web应用场景蜜罐相同的蜜罐,以替换被破坏的Web应用场景蜜罐。
具体来说,持续集成主要是为了自动化的构建Docker容器,持续集成会监控Docker容器的状态,有两种情况会销毁重建,一种是攻击者超时,另一种是容器被恶意破坏,无法访问。在满足上述破坏蜜罐行为后,便会通过持续集成实现蜜罐的重建,以替换被破坏的蜜罐,从而保证了蜜罐的稳定性。
下面对本发明实施例提供的网络防御系统进行介绍,下文描述的网络防御系统与上文描述的网络防御方法可以相互参照。
参见图3,本发明实施例提供的一种基于蜜罐技术的网络防御系统,包括:
代理服务器100,用于接收数据访问流量,利用攻击模型检测所述数据访问流量中是否存在具有攻击行为的恶意流量;若存在恶意流量,则将所述恶意流量引入基于Docker的Web应用场景蜜罐;
所述Web应用场景蜜罐200,用于拦截所述恶意流量的恶意攻击;其中,所述Web应用场景蜜罐通过基础内容管理系统容器以及用户的网页标准系统模拟用户真实场景。
其中,所述代理服务器100具体用于:
检测所述数据访问流量是否符合攻击策略、陷阱文件访问策略、重点文件监控策略中的至少一种策略;其中,若所述数据访问流量符合预定攻击策略、陷阱文件访问策略、重点文件监控策略中的至少一种策略,则判定所述数据访问流量为恶意流量。
其中,所述代理服务器100具体用于:
检测所述数据访问流量是否存在暴力破解行为;其中,若所述数据访问流量存在暴力破解行为,则判定所述数据访问流量为恶意流量。
参见图4,在本实施例还包括云端分析设备300;其中,所述代理服务器100还用于设置每个恶意流量的标识;
所述Web应用场景蜜罐200还用于拦截所述恶意流量的恶意攻击时,收集日志数据,并将所述日志数据发送至云端分析设备;其中,所述日志数据通过每个恶意流量的标识进行标记;
所述云端分析设备300用于利用所述日志数据分析攻击者的攻击信息;所述攻击信息包括攻击者的攻击手法信息和攻击者特征信息。
其中,所述云端分析设备300还用于利用所述攻击信息训练所述代理服务器的攻击模型;还用于利用所述攻击信息对攻击者进行溯源,获取攻击者信息。
其中,所述Web应用场景蜜罐200还用于检测所述恶意流量的是否存在破坏蜜罐行为;若存在,则通过持续集成设备构建与被破坏的Web应用场景蜜罐相同的蜜罐,以替换被破坏的Web应用场景蜜罐。
本方案中的代理服务器通过类攻击模型检测出了类攻击行为就将流量引入Web应用场景蜜罐集群,延缓攻击者对真正目标的攻击,也可以通过代理服务器解析流量后所打的特定标识,跟踪访问者行为,实时数据传到云端,方便对云端溯源,并对攻击者画像;可见,本方案基于Docker的Web应用场景蜜罐,还可以有效的避免不适应客户真实场景的缺点,通过虚拟化Docker技术有效减少了存储空间,同时隔离了网络,保证蜜罐与蜜罐之间不受互相的干扰,并通过持续集成保证了蜜罐的稳定性。
本说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似部分互相参见即可。
对所公开的实施例的上述说明,使本领域专业技术人员能够实现或使用本发明。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本发明的精神或范围的情况下,在其它实施例中实现。因此,本发明将不会被限制于本文所示的这些实施例,而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。
Claims (12)
1.一种基于蜜罐技术的网络防御方法,其特征在于,包括:
代理服务器接收数据访问流量,利用攻击模型检测所述数据访问流量中是否存在具有攻击行为的恶意流量;
若存在恶意流量,则将所述恶意流量引入基于Docker的Web应用场景蜜罐,通过所述Web应用场景蜜罐拦截所述恶意流量的恶意攻击;
其中,所述Web应用场景蜜罐通过基础内容管理系统容器以及用户的网页标准系统模拟用户真实场景。
2.根据权利要求1所述的网络防御方法,其特征在于,所述利用攻击模型检测所述数据访问流量中是否存在具有攻击行为的恶意流量包括:
检测所述数据访问流量是否符合攻击策略、陷阱文件访问策略、重点文件监控策略中的至少一种策略;
其中,若所述数据访问流量符合预定攻击策略、陷阱文件访问策略、重点文件监控策略中的至少一种策略,则判定所述数据访问流量为恶意流量。
3.根据权利要求1所述的网络防御方法,其特征在于,若存在恶意流量,则所述网络防御方法还包括:
所述代理服务器设置每个恶意流量的标识;
所述Web应用场景蜜罐拦截所述恶意流量的恶意攻击时,收集日志数据,并将所述日志数据发送至云端分析设备;其中,所述日志数据通过每个恶意流量的标识进行标记;
所述云端分析设备利用所述日志数据分析攻击者的攻击信息;所述攻击信息包括攻击者的攻击手法信息和攻击者特征信息。
4.根据权利要求3所述的网络防御方法,其特征在于,所述云端分析设备利用所述日志数据分析攻击者的攻击信息之后,还包括:
利用所述攻击信息训练所述代理服务器的攻击模型。
5.根据权利要求3所述的网络防御方法,其特征在于,所述云端分析设备利用所述日志数据分析攻击者的攻击信息之后,
利用所述攻击信息对攻击者进行溯源,获取攻击者信息。
6.根据权利要求1至5任意一项所述的网络防御方法,其特征在于,所述Web应用场景蜜罐拦截所述恶意流量的恶意攻击时,还包括:
检测所述恶意流量的是否存在破坏蜜罐行为;
若存在,则通过持续集成设备构建与被破坏的Web应用场景蜜罐相同的蜜罐,以替换被破坏的Web应用场景蜜罐。
7.一种基于蜜罐技术的网络防御系统,其特征在于,包括:
代理服务器,用于接收数据访问流量,利用攻击模型检测所述数据访问流量中是否存在具有攻击行为的恶意流量;若存在恶意流量,则将所述恶意流量引入基于Docker的Web应用场景蜜罐;
所述Web应用场景蜜罐,用于拦截所述恶意流量的恶意攻击;其中,所述Web应用场景蜜罐通过基础内容管理系统容器以及用户的网页标准系统模拟用户真实场景。
8.根据权利要求7所述的网络防御系统,其特征在于,所述代理服务器具体用于:
检测所述数据访问流量是否符合攻击策略、陷阱文件访问策略、重点文件监控策略中的至少一种策略;其中,若所述数据访问流量符合预定攻击策略、陷阱文件访问策略、重点文件监控策略中的至少一种策略,则判定所述数据访问流量为恶意流量。
9.根据权利要求7所述的网络防御系统,其特征在于,还包括云端分析设备;其中,所述代理服务器还用于设置每个恶意流量的标识;
所述Web应用场景蜜罐还用于拦截所述恶意流量的恶意攻击时,收集日志数据,并将所述日志数据发送至云端分析设备;其中,所述日志数据通过每个恶意流量的标识进行标记;
所述云端分析设备用于利用所述日志数据分析攻击者的攻击信息;所述攻击信息包括攻击者的攻击手法信息和攻击者特征信息。
10.根据权利要求9所述的网络防御系统,其特征在于,所述云端分析设备还用于利用所述攻击信息训练所述代理服务器的攻击模型。
11.根据权利要求9所述的网络防御系统,其特征在于,所述云端分析设备还用于利用所述攻击信息对攻击者进行溯源,获取攻击者信息。
12.根据权利要求7至11任意一项所述的网络防御系统,其特征在于,所述Web应用场景蜜罐还用于检测所述恶意流量的是否存在破坏蜜罐行为;若存在,则通过持续集成设备构建与被破坏的Web应用场景蜜罐相同的蜜罐,以替换被破坏的Web应用场景蜜罐。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201711214446.4A CN107707576A (zh) | 2017-11-28 | 2017-11-28 | 一种基于蜜罐技术的网络防御方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201711214446.4A CN107707576A (zh) | 2017-11-28 | 2017-11-28 | 一种基于蜜罐技术的网络防御方法及系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN107707576A true CN107707576A (zh) | 2018-02-16 |
Family
ID=61185508
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201711214446.4A Pending CN107707576A (zh) | 2017-11-28 | 2017-11-28 | 一种基于蜜罐技术的网络防御方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN107707576A (zh) |
Cited By (50)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108429762A (zh) * | 2018-04-13 | 2018-08-21 | 中国石油大学(华东) | 一种基于服务角色变换的动态蜜罐防御方法 |
| CN108769071A (zh) * | 2018-07-02 | 2018-11-06 | 腾讯科技(深圳)有限公司 | 攻击信息处理方法、装置和物联网蜜罐系统 |
| CN108809950A (zh) * | 2018-05-21 | 2018-11-13 | 中国科学院信息工程研究所 | 一种基于云端影子系统的无线路由器保护方法和系统 |
| CN108900467A (zh) * | 2018-05-31 | 2018-11-27 | 华东师范大学 | 一种基于Docker的自动化蜜罐搭建及威胁感知的方法 |
| CN109413048A (zh) * | 2018-09-30 | 2019-03-01 | 上海观安信息技术股份有限公司 | 基于文件型蜜罐检测勒索软件方法、电子设备及程序产品 |
| CN109617878A (zh) * | 2018-12-13 | 2019-04-12 | 烽台科技(北京)有限公司 | 一种蜜网的组建方法及系统、计算机可读存储介质 |
| CN110011982A (zh) * | 2019-03-19 | 2019-07-12 | 西安交通大学 | 一种基于虚拟化的攻击智能诱骗系统与方法 |
| CN110225064A (zh) * | 2019-07-02 | 2019-09-10 | 恒安嘉新(北京)科技股份公司 | 监测僵尸网络攻击行为的方法、装置、设备和存储介质 |
| CN110336811A (zh) * | 2019-06-29 | 2019-10-15 | 上海淇馥信息技术有限公司 | 一种基于蜜罐系统的网络威胁分析方法、装置和电子设备 |
| CN110381041A (zh) * | 2019-06-28 | 2019-10-25 | 奇安信科技集团股份有限公司 | 分布式拒绝服务攻击态势检测方法及装置 |
| CN110493238A (zh) * | 2019-08-26 | 2019-11-22 | 杭州安恒信息技术股份有限公司 | 基于蜜罐的防御方法、装置、蜜罐系统和蜜罐管理服务器 |
| CN110602032A (zh) * | 2019-06-19 | 2019-12-20 | 上海云盾信息技术有限公司 | 攻击识别方法及设备 |
| CN110719299A (zh) * | 2019-11-18 | 2020-01-21 | 中国移动通信集团内蒙古有限公司 | 防御网络攻击的蜜罐构建方法、装置、设备及介质 |
| CN110855659A (zh) * | 2019-11-07 | 2020-02-28 | 四川长虹电器股份有限公司 | redis蜜罐部署系统 |
| CN110875904A (zh) * | 2018-08-31 | 2020-03-10 | 阿里巴巴集团控股有限公司 | 实现攻击处理的方法、蜜罐部署方法及介质和设备 |
| CN110912887A (zh) * | 2019-11-22 | 2020-03-24 | 上海交通大学 | 一种基于Bro的APT监测系统和方法 |
| CN111083117A (zh) * | 2019-11-22 | 2020-04-28 | 上海交通大学 | 一种基于蜜罐的僵尸网络的追踪溯源系统 |
| CN111147513A (zh) * | 2019-12-31 | 2020-05-12 | 广州锦行网络科技有限公司 | 基于攻击行为分析的蜜网内横向移动攻击路径确定方法 |
| CN111368291A (zh) * | 2020-02-28 | 2020-07-03 | 山东爱城市网信息技术有限公司 | 一种类蜜罐防御的实现方法及系统 |
| CN111585972A (zh) * | 2020-04-16 | 2020-08-25 | 网御安全技术(深圳)有限公司 | 面向网闸的安全防护方法、装置及网络系统 |
| CN111628981A (zh) * | 2020-05-21 | 2020-09-04 | 公安部第三研究所 | 一种可与应用系统联动的网络安全系统及方法 |
| CN111698197A (zh) * | 2020-02-26 | 2020-09-22 | 中国银联股份有限公司 | 收集记名Web应用的信息的方法、系统、服务系统以及存储介质 |
| CN111835758A (zh) * | 2020-07-10 | 2020-10-27 | 四川长虹电器股份有限公司 | 基于tcp/udp透明代理实现的蜜罐攻击者溯源的方法 |
| CN111901348A (zh) * | 2020-07-29 | 2020-11-06 | 北京宏达隆和科技有限公司 | 主动网络威胁感知与拟态防御的方法及系统 |
| CN112003842A (zh) * | 2020-08-12 | 2020-11-27 | 杭州安恒信息安全技术有限公司 | 高交互蜜罐系统和蜜罐防护方法 |
| CN112134837A (zh) * | 2020-08-06 | 2020-12-25 | 瑞数信息技术(上海)有限公司 | Web攻击行为的检测方法和系统 |
| CN112367315A (zh) * | 2020-11-03 | 2021-02-12 | 浙江大学 | 一种内生安全waf蜜罐部署方法 |
| CN112367307A (zh) * | 2020-10-27 | 2021-02-12 | 中国电子科技集团公司第二十八研究所 | 一种基于容器级蜜罐群的入侵检测方法及系统 |
| CN112383538A (zh) * | 2020-11-11 | 2021-02-19 | 西安热工研究院有限公司 | 一种混合式高交互工业蜜罐系统及方法 |
| CN112804204A (zh) * | 2020-12-30 | 2021-05-14 | 上海磐御网络科技有限公司 | 一种基于大数据分析的智能网络安全系统 |
| CN112822147A (zh) * | 2019-11-18 | 2021-05-18 | 上海云盾信息技术有限公司 | 一种用于分析攻击链的方法、系统及设备 |
| CN113162948A (zh) * | 2021-05-12 | 2021-07-23 | 上海交通大学宁波人工智能研究院 | 一种模块化工控蜜罐系统 |
| CN113572730A (zh) * | 2021-06-15 | 2021-10-29 | 郑州云智信安安全技术有限公司 | 一种基于web的主动自动诱捕蜜罐的实现方法 |
| CN113645234A (zh) * | 2021-08-10 | 2021-11-12 | 东方财富信息股份有限公司 | 基于蜜罐的网络防御方法、系统、介质及装置 |
| CN113691527A (zh) * | 2021-08-23 | 2021-11-23 | 海尔数字科技(青岛)有限公司 | 安全处理方法、装置、电子设备、及存储介质 |
| CN113872973A (zh) * | 2021-09-29 | 2021-12-31 | 武汉众邦银行股份有限公司 | 一种基于iptables的拟态蜜罐的实现方法及装置 |
| CN113992444A (zh) * | 2021-12-28 | 2022-01-28 | 中孚安全技术有限公司 | 一种基于主机防御的网络攻击溯源与反制系统 |
| CN114006772A (zh) * | 2021-12-30 | 2022-02-01 | 北京微步在线科技有限公司 | 一种反制黑客攻击的方法、装置、电子设备及存储介质 |
| CN114205097A (zh) * | 2020-08-28 | 2022-03-18 | 奇安信科技集团股份有限公司 | 基于蜜罐系统的下载处理方法、装置和电子设备 |
| CN114500026A (zh) * | 2022-01-20 | 2022-05-13 | 深信服科技股份有限公司 | 一种网络流量处理方法、装置及存储介质 |
| CN114760123A (zh) * | 2022-04-07 | 2022-07-15 | 南京经纬信安科技有限公司 | 一种蜜针与蜜罐装置及其部署方法 |
| CN114826787A (zh) * | 2022-06-29 | 2022-07-29 | 北京长亭未来科技有限公司 | 一种针对后门攻击的主动对抗方法、系统、设备及介质 |
| CN114826670A (zh) * | 2022-03-23 | 2022-07-29 | 国家计算机网络与信息安全管理中心 | 一种分析网络流量检测大规模恶意代码传播的方法 |
| CN114884744A (zh) * | 2022-06-07 | 2022-08-09 | 中国软件评测中心(工业和信息化部软件与集成电路促进中心) | 一种攻击行为的分析方法及电子设备 |
| CN115051875A (zh) * | 2022-08-02 | 2022-09-13 | 软极网络技术(北京)有限公司 | 一种基于新型蜜罐的攻击检测方法 |
| CN115134166A (zh) * | 2022-08-02 | 2022-09-30 | 软极网络技术(北京)有限公司 | 一种基于蜜洞的攻击溯源方法 |
| CN115296909A (zh) * | 2022-08-04 | 2022-11-04 | 北京天融信网络安全技术有限公司 | 获得目标蜜罐系统的方法、装置、介质和攻击响应方法 |
| CN116996326A (zh) * | 2023-09-26 | 2023-11-03 | 国网江西省电力有限公司信息通信分公司 | 基于蜜网的协同式主动防御方法 |
| CN117040871A (zh) * | 2023-08-18 | 2023-11-10 | 广州唐邦信息科技有限公司 | 一种网络安全运营服务方法 |
| CN115051875B (zh) * | 2022-08-02 | 2024-05-24 | 软极网络技术(北京)有限公司 | 一种基于新型蜜罐的攻击检测方法 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20060059554A1 (en) * | 2004-09-13 | 2006-03-16 | Ofer Akerman | System and method for information technology intrusion prevention |
| CN102790778A (zh) * | 2012-08-22 | 2012-11-21 | 常州大学 | 一种基于网络陷阱的DDoS攻击防御系统 |
| CN104113538A (zh) * | 2014-07-09 | 2014-10-22 | 重庆大学 | 一种检测内部用户攻击行为的网络安全防护方案 |
| CN105376303A (zh) * | 2015-10-23 | 2016-03-02 | 深圳前海达闼云端智能科技有限公司 | 一种Docker实现系统及其通信方法 |
| CN105516073A (zh) * | 2014-10-20 | 2016-04-20 | 中国银联股份有限公司 | 网络入侵防御方法 |
| CN106941493A (zh) * | 2017-03-30 | 2017-07-11 | 北京奇艺世纪科技有限公司 | 一种网络安全态势感知结果输出方法及装置 |
-
2017
- 2017-11-28 CN CN201711214446.4A patent/CN107707576A/zh active Pending
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20060059554A1 (en) * | 2004-09-13 | 2006-03-16 | Ofer Akerman | System and method for information technology intrusion prevention |
| CN102790778A (zh) * | 2012-08-22 | 2012-11-21 | 常州大学 | 一种基于网络陷阱的DDoS攻击防御系统 |
| CN104113538A (zh) * | 2014-07-09 | 2014-10-22 | 重庆大学 | 一种检测内部用户攻击行为的网络安全防护方案 |
| CN105516073A (zh) * | 2014-10-20 | 2016-04-20 | 中国银联股份有限公司 | 网络入侵防御方法 |
| CN105376303A (zh) * | 2015-10-23 | 2016-03-02 | 深圳前海达闼云端智能科技有限公司 | 一种Docker实现系统及其通信方法 |
| CN106941493A (zh) * | 2017-03-30 | 2017-07-11 | 北京奇艺世纪科技有限公司 | 一种网络安全态势感知结果输出方法及装置 |
Non-Patent Citations (4)
| Title |
|---|
| 孙睿: "《基于恶意代码养殖的DDoS检测系统的设计与实现》", 《中国优秀硕士学位论文全文数据库 信息科技辑》 * |
| 王传极: "《基于APT攻击的蜜罐技术的研究》", 《信息网络安全》 * |
| 祝世雄: "《网络追踪溯源工具及系统》", 《国防工业出版社》 * |
| 郑显义,史岗,孟丹: "《系统安全隔离技术研究综述 》", 《计算机学报》 * |
Cited By (67)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108429762B (zh) * | 2018-04-13 | 2020-09-01 | 中国石油大学(华东) | 一种基于服务角色变换的动态蜜罐防御方法 |
| CN108429762A (zh) * | 2018-04-13 | 2018-08-21 | 中国石油大学(华东) | 一种基于服务角色变换的动态蜜罐防御方法 |
| CN108809950A (zh) * | 2018-05-21 | 2018-11-13 | 中国科学院信息工程研究所 | 一种基于云端影子系统的无线路由器保护方法和系统 |
| CN108900467B (zh) * | 2018-05-31 | 2020-12-22 | 华东师范大学 | 一种基于Docker的自动化蜜罐搭建及威胁感知的方法 |
| CN108900467A (zh) * | 2018-05-31 | 2018-11-27 | 华东师范大学 | 一种基于Docker的自动化蜜罐搭建及威胁感知的方法 |
| CN108769071A (zh) * | 2018-07-02 | 2018-11-06 | 腾讯科技(深圳)有限公司 | 攻击信息处理方法、装置和物联网蜜罐系统 |
| CN110875904A (zh) * | 2018-08-31 | 2020-03-10 | 阿里巴巴集团控股有限公司 | 实现攻击处理的方法、蜜罐部署方法及介质和设备 |
| CN109413048A (zh) * | 2018-09-30 | 2019-03-01 | 上海观安信息技术股份有限公司 | 基于文件型蜜罐检测勒索软件方法、电子设备及程序产品 |
| CN109617878A (zh) * | 2018-12-13 | 2019-04-12 | 烽台科技(北京)有限公司 | 一种蜜网的组建方法及系统、计算机可读存储介质 |
| CN110011982A (zh) * | 2019-03-19 | 2019-07-12 | 西安交通大学 | 一种基于虚拟化的攻击智能诱骗系统与方法 |
| CN110602032A (zh) * | 2019-06-19 | 2019-12-20 | 上海云盾信息技术有限公司 | 攻击识别方法及设备 |
| CN110381041A (zh) * | 2019-06-28 | 2019-10-25 | 奇安信科技集团股份有限公司 | 分布式拒绝服务攻击态势检测方法及装置 |
| CN110381041B (zh) * | 2019-06-28 | 2021-12-14 | 奇安信科技集团股份有限公司 | 分布式拒绝服务攻击态势检测方法及装置 |
| CN110336811A (zh) * | 2019-06-29 | 2019-10-15 | 上海淇馥信息技术有限公司 | 一种基于蜜罐系统的网络威胁分析方法、装置和电子设备 |
| CN110225064A (zh) * | 2019-07-02 | 2019-09-10 | 恒安嘉新(北京)科技股份公司 | 监测僵尸网络攻击行为的方法、装置、设备和存储介质 |
| CN110493238A (zh) * | 2019-08-26 | 2019-11-22 | 杭州安恒信息技术股份有限公司 | 基于蜜罐的防御方法、装置、蜜罐系统和蜜罐管理服务器 |
| CN110855659A (zh) * | 2019-11-07 | 2020-02-28 | 四川长虹电器股份有限公司 | redis蜜罐部署系统 |
| CN110719299A (zh) * | 2019-11-18 | 2020-01-21 | 中国移动通信集团内蒙古有限公司 | 防御网络攻击的蜜罐构建方法、装置、设备及介质 |
| CN112822147A (zh) * | 2019-11-18 | 2021-05-18 | 上海云盾信息技术有限公司 | 一种用于分析攻击链的方法、系统及设备 |
| CN111083117A (zh) * | 2019-11-22 | 2020-04-28 | 上海交通大学 | 一种基于蜜罐的僵尸网络的追踪溯源系统 |
| CN110912887B (zh) * | 2019-11-22 | 2021-08-20 | 上海交通大学 | 一种基于Bro的APT监测系统和方法 |
| CN110912887A (zh) * | 2019-11-22 | 2020-03-24 | 上海交通大学 | 一种基于Bro的APT监测系统和方法 |
| CN111147513A (zh) * | 2019-12-31 | 2020-05-12 | 广州锦行网络科技有限公司 | 基于攻击行为分析的蜜网内横向移动攻击路径确定方法 |
| CN111698197A (zh) * | 2020-02-26 | 2020-09-22 | 中国银联股份有限公司 | 收集记名Web应用的信息的方法、系统、服务系统以及存储介质 |
| CN111368291A (zh) * | 2020-02-28 | 2020-07-03 | 山东爱城市网信息技术有限公司 | 一种类蜜罐防御的实现方法及系统 |
| CN111585972B (zh) * | 2020-04-16 | 2021-02-19 | 网御安全技术(深圳)有限公司 | 面向网闸的安全防护方法、装置及网络系统 |
| CN111585972A (zh) * | 2020-04-16 | 2020-08-25 | 网御安全技术(深圳)有限公司 | 面向网闸的安全防护方法、装置及网络系统 |
| CN111628981A (zh) * | 2020-05-21 | 2020-09-04 | 公安部第三研究所 | 一种可与应用系统联动的网络安全系统及方法 |
| CN111628981B (zh) * | 2020-05-21 | 2022-09-23 | 公安部第三研究所 | 一种可与应用系统联动的网络安全系统及方法 |
| CN111835758A (zh) * | 2020-07-10 | 2020-10-27 | 四川长虹电器股份有限公司 | 基于tcp/udp透明代理实现的蜜罐攻击者溯源的方法 |
| CN111901348A (zh) * | 2020-07-29 | 2020-11-06 | 北京宏达隆和科技有限公司 | 主动网络威胁感知与拟态防御的方法及系统 |
| CN112134837A (zh) * | 2020-08-06 | 2020-12-25 | 瑞数信息技术(上海)有限公司 | Web攻击行为的检测方法和系统 |
| CN112003842A (zh) * | 2020-08-12 | 2020-11-27 | 杭州安恒信息安全技术有限公司 | 高交互蜜罐系统和蜜罐防护方法 |
| CN114205097A (zh) * | 2020-08-28 | 2022-03-18 | 奇安信科技集团股份有限公司 | 基于蜜罐系统的下载处理方法、装置和电子设备 |
| CN112367307A (zh) * | 2020-10-27 | 2021-02-12 | 中国电子科技集团公司第二十八研究所 | 一种基于容器级蜜罐群的入侵检测方法及系统 |
| CN112367315A (zh) * | 2020-11-03 | 2021-02-12 | 浙江大学 | 一种内生安全waf蜜罐部署方法 |
| CN112383538B (zh) * | 2020-11-11 | 2022-11-25 | 西安热工研究院有限公司 | 一种混合式高交互工业蜜罐系统及方法 |
| CN112383538A (zh) * | 2020-11-11 | 2021-02-19 | 西安热工研究院有限公司 | 一种混合式高交互工业蜜罐系统及方法 |
| CN112804204A (zh) * | 2020-12-30 | 2021-05-14 | 上海磐御网络科技有限公司 | 一种基于大数据分析的智能网络安全系统 |
| CN113162948A (zh) * | 2021-05-12 | 2021-07-23 | 上海交通大学宁波人工智能研究院 | 一种模块化工控蜜罐系统 |
| CN113162948B (zh) * | 2021-05-12 | 2022-07-26 | 上海交通大学宁波人工智能研究院 | 一种模块化工控蜜罐系统 |
| CN113572730A (zh) * | 2021-06-15 | 2021-10-29 | 郑州云智信安安全技术有限公司 | 一种基于web的主动自动诱捕蜜罐的实现方法 |
| CN113645234A (zh) * | 2021-08-10 | 2021-11-12 | 东方财富信息股份有限公司 | 基于蜜罐的网络防御方法、系统、介质及装置 |
| CN113691527A (zh) * | 2021-08-23 | 2021-11-23 | 海尔数字科技(青岛)有限公司 | 安全处理方法、装置、电子设备、及存储介质 |
| CN113872973A (zh) * | 2021-09-29 | 2021-12-31 | 武汉众邦银行股份有限公司 | 一种基于iptables的拟态蜜罐的实现方法及装置 |
| CN113872973B (zh) * | 2021-09-29 | 2023-07-07 | 武汉众邦银行股份有限公司 | 一种基于iptables的拟态蜜罐的实现方法及装置 |
| CN113992444A (zh) * | 2021-12-28 | 2022-01-28 | 中孚安全技术有限公司 | 一种基于主机防御的网络攻击溯源与反制系统 |
| CN114006772B (zh) * | 2021-12-30 | 2022-04-12 | 北京微步在线科技有限公司 | 一种反制黑客攻击的方法、装置、电子设备及存储介质 |
| CN114006772A (zh) * | 2021-12-30 | 2022-02-01 | 北京微步在线科技有限公司 | 一种反制黑客攻击的方法、装置、电子设备及存储介质 |
| CN114500026A (zh) * | 2022-01-20 | 2022-05-13 | 深信服科技股份有限公司 | 一种网络流量处理方法、装置及存储介质 |
| CN114826670B (zh) * | 2022-03-23 | 2024-03-29 | 国家计算机网络与信息安全管理中心 | 一种分析网络流量检测大规模恶意代码传播的方法 |
| CN114826670A (zh) * | 2022-03-23 | 2022-07-29 | 国家计算机网络与信息安全管理中心 | 一种分析网络流量检测大规模恶意代码传播的方法 |
| CN114760123B (zh) * | 2022-04-07 | 2024-04-05 | 南京经纬信安科技有限公司 | 一种蜜针与蜜罐装置及其部署方法 |
| CN114760123A (zh) * | 2022-04-07 | 2022-07-15 | 南京经纬信安科技有限公司 | 一种蜜针与蜜罐装置及其部署方法 |
| CN114884744A (zh) * | 2022-06-07 | 2022-08-09 | 中国软件评测中心(工业和信息化部软件与集成电路促进中心) | 一种攻击行为的分析方法及电子设备 |
| CN114826787B (zh) * | 2022-06-29 | 2022-09-23 | 北京长亭未来科技有限公司 | 一种针对后门攻击的主动对抗方法、系统、设备及介质 |
| CN114826787A (zh) * | 2022-06-29 | 2022-07-29 | 北京长亭未来科技有限公司 | 一种针对后门攻击的主动对抗方法、系统、设备及介质 |
| CN115134166A (zh) * | 2022-08-02 | 2022-09-30 | 软极网络技术(北京)有限公司 | 一种基于蜜洞的攻击溯源方法 |
| CN115134166B (zh) * | 2022-08-02 | 2024-01-26 | 软极网络技术(北京)有限公司 | 一种基于蜜洞的攻击溯源方法 |
| CN115051875A (zh) * | 2022-08-02 | 2022-09-13 | 软极网络技术(北京)有限公司 | 一种基于新型蜜罐的攻击检测方法 |
| CN115051875B (zh) * | 2022-08-02 | 2024-05-24 | 软极网络技术(北京)有限公司 | 一种基于新型蜜罐的攻击检测方法 |
| CN115296909B (zh) * | 2022-08-04 | 2023-11-10 | 北京天融信网络安全技术有限公司 | 获得目标蜜罐系统的方法、装置、介质和攻击响应方法 |
| CN115296909A (zh) * | 2022-08-04 | 2022-11-04 | 北京天融信网络安全技术有限公司 | 获得目标蜜罐系统的方法、装置、介质和攻击响应方法 |
| CN117040871A (zh) * | 2023-08-18 | 2023-11-10 | 广州唐邦信息科技有限公司 | 一种网络安全运营服务方法 |
| CN117040871B (zh) * | 2023-08-18 | 2024-03-26 | 广州唐邦信息科技有限公司 | 一种网络安全运营服务方法 |
| CN116996326A (zh) * | 2023-09-26 | 2023-11-03 | 国网江西省电力有限公司信息通信分公司 | 基于蜜网的协同式主动防御方法 |
| CN116996326B (zh) * | 2023-09-26 | 2023-12-26 | 国网江西省电力有限公司信息通信分公司 | 基于蜜网的协同式主动防御方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107707576A (zh) | 一种基于蜜罐技术的网络防御方法及系统 | |
| Wang et al. | Delving into internet DDoS attacks by botnets: characterization and analysis | |
| CN107070929A (zh) | 一种工控网络蜜罐系统 | |
| Pilli et al. | Network forensic frameworks: Survey and research challenges | |
| Lippmann et al. | The 1999 DARPA off-line intrusion detection evaluation | |
| CN101924757B (zh) | 追溯僵尸网络的方法和系统 | |
| CN111818103B (zh) | 一种网络靶场中基于流量的溯源攻击路径方法 | |
| CN103595732B (zh) | 一种网络攻击取证的方法及装置 | |
| CN106656922A (zh) | 一种基于流量分析的网络攻击防护方法和装置 | |
| CN104753946A (zh) | 一种基于网络流量元数据的安全分析框架 | |
| CN106657025A (zh) | 网络攻击行为检测方法及装置 | |
| Taylor et al. | Detecting malicious exploit kits using tree-based similarity searches | |
| SG10201900335PA (en) | Server and method to determine malicious files in network traffic | |
| CN106685984A (zh) | 一种基于数据包捕获技术的网络威胁分析系统及方法 | |
| CN108965349A (zh) | 一种监测高级持续性网络攻击的方法和系统 | |
| CN108768921B (zh) | 一种基于特征检测的恶意网页发现方法及系统 | |
| CN110381041B (zh) | 分布式拒绝服务攻击态势检测方法及装置 | |
| CN108334758A (zh) | 一种用户越权行为的检测方法、装置及设备 | |
| CN107302534A (zh) | 一种基于大数据平台的DDoS网络攻击检测方法及装置 | |
| CN111028085A (zh) | 一种基于主被动结合的网络靶场资产信息采集方法及装置 | |
| Gugelmann et al. | Hviz: HTTP (S) traffic aggregation and visualization for network forensics | |
| Chovancová et al. | Securing Distributed Computer Systems Using an Advanced Sophisticated Hybrid Honeypot Technology. | |
| CN107547490A (zh) | 一种扫描器识别方法、装置及系统 | |
| CN105159992A (zh) | 一种应用程序的页面内容及网络行为的检测方法及装置 | |
| CN106973051B (zh) | 建立检测网络威胁模型的方法、装置和存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20180216 |
|
| RJ01 | Rejection of invention patent application after publication |