CN108259472A - 基于攻击行为分析的动态联防机制实现系统及方法 - Google Patents

基于攻击行为分析的动态联防机制实现系统及方法 Download PDF

Info

Publication number
CN108259472A
CN108259472A CN201711453566.XA CN201711453566A CN108259472A CN 108259472 A CN108259472 A CN 108259472A CN 201711453566 A CN201711453566 A CN 201711453566A CN 108259472 A CN108259472 A CN 108259472A
Authority
CN
China
Prior art keywords
module
attack
attacker
honey jar
environment
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201711453566.XA
Other languages
English (en)
Inventor
胡鹏
王俊卿
吴建亮
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Guangzhou Jin Xing Network Technology Co Ltd
Guangzhou Jeeseen Network Technologies Co Ltd
Original Assignee
Guangzhou Jin Xing Network Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Guangzhou Jin Xing Network Technology Co Ltd filed Critical Guangzhou Jin Xing Network Technology Co Ltd
Priority to CN201711453566.XA priority Critical patent/CN108259472A/zh
Publication of CN108259472A publication Critical patent/CN108259472A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1491Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/146Tracing the source of attacks

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Other Investigation Or Analysis Of Materials By Electrical Means (AREA)
  • Photometry And Measurement Of Optical Pulse Characteristics (AREA)
  • Adornments (AREA)

Abstract

本发明公开了基于攻击行为分析的动态联防机制实现系统,包括蜜罐部署模块、攻击行为分析模块、威胁情报生成模块、威胁情报联动模块以及蜜罐环境,在蜜罐环境中设置有攻击者识别模块以及攻击行为获取模块;所述的蜜罐部署模块替换为蜜网部署模块,所述的蜜罐环境替换为蜜网环境;所述的威胁情报联动模块线路连接于外部的安全防护设备。本发明的基于攻击行为分析的动态联防机制实现系统的结构设置合理稳定,精准识别攻击者,攻击者行为特征实时分析,动态协同联防机制;基于攻击行为分析的动态联防机制实现方法简单,解决了对攻击者的行为进行精准识别和有效分析,并动态调整防御体系的技术问题,容易规模推广使用。

Description

基于攻击行为分析的动态联防机制实现系统及方法
技术领域
本发明属于网络安全技术领域,更具体地说,尤其涉及基于攻击行为分析的动态联防机制实现系统及方法。
背景技术
随着计算机网络规模的不断扩大以及新的应用不断涌现,威胁网络安全的潜在危险性也在增加,使得网络安全问题日趋复杂。对网络系统及其数据安全的挑战也随之增加。网络在使通信和信息的共享变得更为容易的同时,其自身也更多地被暴露在危险之中。
网络安全问题已成为信息时代人类共同面临的挑战,国内的网络安全问题也日益突出。具体表现为:计算机系统受病毒感染和破坏的情况相当严重;电脑黑客活动已形成重要威胁;信息基础设施面临网络安全的挑战;信息系统在预测、反应、防范和恢复能力方面存在许多薄弱环节。
在应对攻击者的过程中,之前由于技术所限,往往是被动僵硬的等待攻击者触碰网络安全设备并报警,难以持续有效的应对攻击者在攻击过程中的变化。当前,需要能够实时动态分析攻击者的行为特征,并作出动态联合防御的技术方法,以达到能够有针对性的应对攻击者的目的。
在现有技术中,防御机制难以根据攻击者在攻击过程中所展示出的行为特征进行动态调整和相应,难以形成有针对性的防御体系,其存在明显的缺陷:
1、攻击者在攻击过程中往往会根据当前的环境和自身的目的做出多次变化,其攻击方式和攻击手法都会有所改变,但是现有的防御体系难以有效察觉这种变化;
2、由于无法精准识别攻击者的变化,就更难以对现有防御体系做出调整,难以有针对性的防御攻击者。
计算机网络是一个开放和自由的空间,它在大大增强信息服务灵活性的同时,也带来了众多安全隐患,黑客和反黑客、破坏和反破坏的斗争愈演愈烈,不仅影响了网络稳定运行和用户的正常使用,造成重大经济损失,而且还可能威胁到国家安全。如何更有效地保护重要的信息数据、提高计算机网络系统的安全性已经成为影响一个国家的政治、经济、军事和人民生活的重大关键问题。
因而,市场需求一种新的基于攻击行为分析的动态联防机制实现系统,以解决对攻击者的行为进行精准识别和有效分析,并动态调整防御体系的技术问题。
发明内容
针对现有技术存在的不足,本发明的目的在于提供基于攻击行为分析的动态联防机制实现系统及方法。
为实现上述目的,本发明提供了如下技术方案:
基于攻击行为分析的动态联防机制实现系统,包括蜜罐部署模块、攻击行为分析模块、威胁情报生成模块、威胁情报联动模块以及蜜罐环境,在蜜罐环境中设置有攻击者识别模块以及攻击行为获取模块;
所述的蜜罐部署模块将信号发送于蜜罐环境,所述的攻击者识别模块将信号发送于威胁情报生成模块,所述的攻击行为获取模块将信号发送于攻击行为分析模块,所述的攻击行为分析模块将信号发送于威胁情报生成模块,所述的威胁情报生成模块将信号发送于威胁情报联动模块。
作为优选,所述的蜜罐部署模块替换为蜜网部署模块,所述的蜜罐环境替换为蜜网环境。
作为优选,所述的威胁情报联动模块线路连接于外部的安全防护设备。
以上所述的基于攻击行为分析的动态联防机制实现方法,包括如下步骤:
步骤一:初始化系统;
步骤二:设置蜜罐或蜜网环境;
步骤三:实时精准识别攻击者;
步骤四:分析攻击行为;
步骤五:形成通用威胁情报数据;
步骤六:与其他安全设备联动;
步骤七:判断是否已清除攻击者;
步骤八:未清除攻击者,返回步骤二,继续设置蜜罐或蜜网环境;
步骤九:已清除攻击者,结束。
作为优选,所述步骤三中实时精准识别攻击者包括攻击时间、攻击者所在位置以及攻击行为。
本发明提供基于攻击行为分析的动态联防机制实现系统及方法,具有如下的有益效果:
本发明的基于攻击行为分析的动态联防机制实现系统的结构设置合理稳定,精准识别攻击者,攻击者行为特征实时分析,动态协同联防机制;同时,基于攻击行为分析的动态联防机制实现方法简单,解决了对攻击者的行为进行精准识别和有效分析,并动态调整防御体系的技术问题,容易规模推广使用。
附图说明
图1为发明实施例1中结构示意图;
图2为发明实施例2中结构正视图;
图3为发明实施例3中方法流程示意图。
附图标记说明:1、蜜罐部署模块;2、蜜网部署模块;3、攻击行为分析模块;4、威胁情报生成模块;5、威胁情报联动模块;6、蜜罐环境;7、蜜网环境;101、攻击者识别模块;102、攻击行为获取模块。
具体实施方式
下面结合实施例,对本发明的具体实施方式作进一步详细描述。以下实施例用于说明本发明,但不用来限制本发明的范围。
实施例1
参见图1,基于攻击行为分析的动态联防机制实现系统,包括蜜罐部署模块1、攻击行为分析模块3、威胁情报生成模块4、威胁情报联动模块5以及蜜罐环境6,在蜜罐环境6中设置有攻击者识别模块101以及攻击行为获取模块102;
所述的蜜罐部署模块1将信号发送于蜜罐环境6,所述的攻击者识别模块101将信号发送于威胁情报生成模块4,所述的攻击行为获取模块102将信号发送于攻击行为分析模块3,所述的攻击行为分析模块3将信号发送于威胁情报生成模块4,所述的威胁情报生成模块4将信号发送于威胁情报联动模块5。
在本实施例中,所述的威胁情报联动模块5线路连接于外部的安全防护设备。
实施例2
参见图2,基于攻击行为分析的动态联防机制实现系统,包括蜜网部署模块2、攻击行为分析模块3、威胁情报生成模块4、威胁情报联动模块5以及蜜网环境7,在蜜网环境7中设置有攻击者识别模块101以及攻击行为获取模块102;
所述的蜜网部署模块2将信号发送于蜜网环境7,所述的攻击者识别模块101将信号发送于威胁情报生成模块4,所述的攻击行为获取模块102将信号发送于攻击行为分析模块3,所述的攻击行为分析模块3将信号发送于威胁情报生成模块4,所述的威胁情报生成模块4将信号发送于威胁情报联动模块5。
在本实施例中,所述的威胁情报联动模块5线路连接于外部的安全防护设备。
实施例3
本实施例中的基于攻击行为分析的动态联防机制实现系统与实施例1及实施例2中的结构相同。
参见图1至图3,在本较佳实施例中,以上所述的基于攻击行为分析的动态联防机制实现方法,包括如下步骤:
步骤一:初始化系统;
步骤二:设置蜜罐或蜜网环境7;
步骤三:实时精准识别攻击者;
步骤四:分析攻击行为;
步骤五:形成通用威胁情报数据;
步骤六:与其他安全设备联动;
步骤七:判断是否已清除攻击者;
步骤八:未清除攻击者,返回步骤二,继续设置蜜罐或蜜网环境7;
步骤九:已清除攻击者,结束。
在本实施例中,所述步骤三中实时精准识别攻击者包括攻击时间、攻击者所在位置以及攻击行为。
工作原理:在本方法中,使用蜜罐或蜜网来精准识别攻击者,并获取大量攻击者的攻击行为,通过行为分析,识别攻击者的攻击特点及变化情况,通过协同机制,与其他网络安全设备联动,以达到动态、全面防御攻击者的目的。
具体的技术内容如下:
1、利用蜜罐或蜜网精准识别攻击者,动态、实时获取攻击者的攻击时间、攻击来源IP、攻击特征等大量价值信息,并通过攻击行为分析形成通用的威胁情报信息;
2、通过通用的威胁情报信息与其他网络安全设备及时联动,根据攻击者的时间、位置、特征等进行动态调整。
本发明的基于攻击行为分析的动态联防机制实现系统的结构设置合理稳定,精准识别攻击者,攻击者行为特征实时分析,动态协同联防机制;同时,基于攻击行为分析的动态联防机制实现方法简单,解决了对攻击者的行为进行精准识别和有效分析,并动态调整防御体系的技术问题,容易规模推广使用。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何不经过创造性劳动想到的变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应该以权利要求书所限定的保护范围为准。

Claims (5)

1.基于攻击行为分析的动态联防机制实现系统,其特征在于:包括蜜罐部署模块、攻击行为分析模块、威胁情报生成模块、威胁情报联动模块以及蜜罐环境,在蜜罐环境中设置有攻击者识别模块以及攻击行为获取模块;
所述的蜜罐部署模块将信号发送于蜜罐环境,所述的攻击者识别模块将信号发送于威胁情报生成模块,所述的攻击行为获取模块将信号发送于攻击行为分析模块,所述的攻击行为分析模块将信号发送于威胁情报生成模块,所述的威胁情报生成模块将信号发送于威胁情报联动模块。
2.根据权利要求1所述的基于攻击行为分析的动态联防机制实现系统,其特征在于:所述的蜜罐部署模块替换为蜜网部署模块,所述的蜜罐环境替换为蜜网环境。
3.根据权利要求1或2所述的基于攻击行为分析的动态联防机制实现系统,其特征在于:所述的威胁情报联动模块线路连接于外部的安全防护设备。
4.基于攻击行为分析的动态联防机制实现方法,其特征在于,包括如下步骤:
步骤一:初始化系统;
步骤二:设置蜜罐或蜜网环境;
步骤三:实时精准识别攻击者;
步骤四:分析攻击行为;
步骤五:形成通用威胁情报数据;
步骤六:与其他安全设备联动;
步骤七:判断是否已清除攻击者;
步骤八:未清除攻击者,返回步骤二,继续设置蜜罐或蜜网环境;
步骤九:已清除攻击者,结束。
5.根据权利要求4所述的基于攻击行为分析的动态联防机制实现方法,其特征在于:所述步骤三中实时精准识别攻击者包括攻击时间、攻击者所在位置以及攻击行为。
CN201711453566.XA 2017-12-28 2017-12-28 基于攻击行为分析的动态联防机制实现系统及方法 Pending CN108259472A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201711453566.XA CN108259472A (zh) 2017-12-28 2017-12-28 基于攻击行为分析的动态联防机制实现系统及方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201711453566.XA CN108259472A (zh) 2017-12-28 2017-12-28 基于攻击行为分析的动态联防机制实现系统及方法

Publications (1)

Publication Number Publication Date
CN108259472A true CN108259472A (zh) 2018-07-06

Family

ID=62724125

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201711453566.XA Pending CN108259472A (zh) 2017-12-28 2017-12-28 基于攻击行为分析的动态联防机制实现系统及方法

Country Status (1)

Country Link
CN (1) CN108259472A (zh)

Cited By (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111866007A (zh) * 2020-07-28 2020-10-30 福建奇点时空数字科技有限公司 一种面向蜜罐威胁数据的聚类与归因分析方法
CN111885020A (zh) * 2020-07-08 2020-11-03 福建奇点时空数字科技有限公司 一种分布式架构的网络攻击行为实时捕获与监控系统
CN112333166A (zh) * 2020-10-27 2021-02-05 国网重庆市电力公司电力科学研究院 一种基于物联网的攻击方式自动识别系统
CN113079157A (zh) * 2021-03-31 2021-07-06 广州锦行网络科技有限公司 获取网络攻击者位置的方法、装置、电子设备
CN113542262A (zh) * 2021-07-13 2021-10-22 北京华圣龙源科技有限公司 用于信息系统的信息安全威胁智能预警方法和装置
CN113642005A (zh) * 2021-08-17 2021-11-12 安天科技集团股份有限公司 安全防护产品的防御性评估方法、装置、设备及介质
CN113810423A (zh) * 2021-09-22 2021-12-17 中能融合智慧科技有限公司 一种工控蜜罐
US11394766B2 (en) 2020-04-15 2022-07-19 Wells Fargo Bank, N.A. Systems and methods for establishing, using, and recovering universal digital identifiers
CN115051875A (zh) * 2022-08-02 2022-09-13 软极网络技术(北京)有限公司 一种基于新型蜜罐的攻击检测方法
CN117040871A (zh) * 2023-08-18 2023-11-10 广州唐邦信息科技有限公司 一种网络安全运营服务方法

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103051615A (zh) * 2012-12-14 2013-04-17 陈晶 一种蜜场系统中抗大流量攻击的动态防御系统
CN106961442A (zh) * 2017-04-20 2017-07-18 中国电子技术标准化研究院 一种基于蜜罐的网络诱捕方法
CN107370756A (zh) * 2017-08-25 2017-11-21 北京神州绿盟信息安全科技股份有限公司 一种蜜网防护方法及系统
CN107465702A (zh) * 2017-09-30 2017-12-12 北京奇虎科技有限公司 基于无线网络入侵的预警方法及装置

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103051615A (zh) * 2012-12-14 2013-04-17 陈晶 一种蜜场系统中抗大流量攻击的动态防御系统
CN106961442A (zh) * 2017-04-20 2017-07-18 中国电子技术标准化研究院 一种基于蜜罐的网络诱捕方法
CN107370756A (zh) * 2017-08-25 2017-11-21 北京神州绿盟信息安全科技股份有限公司 一种蜜网防护方法及系统
CN107465702A (zh) * 2017-09-30 2017-12-12 北京奇虎科技有限公司 基于无线网络入侵的预警方法及装置

Cited By (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11394766B2 (en) 2020-04-15 2022-07-19 Wells Fargo Bank, N.A. Systems and methods for establishing, using, and recovering universal digital identifiers
CN111885020A (zh) * 2020-07-08 2020-11-03 福建奇点时空数字科技有限公司 一种分布式架构的网络攻击行为实时捕获与监控系统
CN111866007A (zh) * 2020-07-28 2020-10-30 福建奇点时空数字科技有限公司 一种面向蜜罐威胁数据的聚类与归因分析方法
CN112333166A (zh) * 2020-10-27 2021-02-05 国网重庆市电力公司电力科学研究院 一种基于物联网的攻击方式自动识别系统
CN113079157A (zh) * 2021-03-31 2021-07-06 广州锦行网络科技有限公司 获取网络攻击者位置的方法、装置、电子设备
CN113542262A (zh) * 2021-07-13 2021-10-22 北京华圣龙源科技有限公司 用于信息系统的信息安全威胁智能预警方法和装置
CN113642005B (zh) * 2021-08-17 2023-07-21 安天科技集团股份有限公司 安全防护产品的防御性评估方法、装置、设备及介质
CN113642005A (zh) * 2021-08-17 2021-11-12 安天科技集团股份有限公司 安全防护产品的防御性评估方法、装置、设备及介质
CN113810423A (zh) * 2021-09-22 2021-12-17 中能融合智慧科技有限公司 一种工控蜜罐
CN115051875A (zh) * 2022-08-02 2022-09-13 软极网络技术(北京)有限公司 一种基于新型蜜罐的攻击检测方法
CN115051875B (zh) * 2022-08-02 2024-05-24 软极网络技术(北京)有限公司 一种基于新型蜜罐的攻击检测方法
CN117040871A (zh) * 2023-08-18 2023-11-10 广州唐邦信息科技有限公司 一种网络安全运营服务方法
CN117040871B (zh) * 2023-08-18 2024-03-26 广州唐邦信息科技有限公司 一种网络安全运营服务方法

Similar Documents

Publication Publication Date Title
CN108259472A (zh) 基于攻击行为分析的动态联防机制实现系统及方法
CN106534114B (zh) 基于大数据分析的防恶意攻击系统
Chen et al. Special issue on advanced persistent threat
Harrop et al. Cyber resilience: A review of critical national infrastructure and cyber security protection measures applied in the UK and USA
CN107070929A (zh) 一种工控网络蜜罐系统
Subbulakshmi et al. Detection of DDoS attacks using Enhanced Support Vector Machines with real time generated dataset
CN103023924A (zh) 基于内容分发网络的云分发平台的DDoS攻击防护方法和系统
CN104978519A (zh) 一种应用型蜜罐的实现方法及装置
CN105915532A (zh) 一种失陷主机的识别方法及装置
CN102333313A (zh) 移动僵尸网络特征码生成方法和移动僵尸网络检测方法
IL253987B (en) A system and method for identifying cyber threats
CN108965210A (zh) 基于场景式攻防模拟的安全试验平台
CN106209867B (zh) 一种高级威胁防御方法及系统
Guan et al. Notice of Retraction: An New Intrusion Prevention Attack System Model Based on Immune Principle
Choi et al. A fusion framework of IDS alerts and darknet traffic for effective incident monitoring and response
CN112003853B (zh) 一种支持ipv6的网络安全应急响应系统
CN109873796A (zh) 一种计算机网络安全入侵检测系统
Panimalar et al. A review on taxonomy of botnet detection
CN206270962U (zh) 一种计算机安全控制系统
Sayegh Predicting what 2022 holds for cybersecurity
Zhao et al. DDoS attack detection based on self-organizing mapping network in software defined networking
Jain et al. A hybrid honeyfarm based technique for defense against worm attacks
Agrawal et al. Proposed multi-layers intrusion detection system (MLIDS) model
Kim et al. Threat analysis of incubation period in malware epidemics
CN103152225A (zh) 一种基于VC++和tshark的流量监测和病毒防御方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
WD01 Invention patent application deemed withdrawn after publication
WD01 Invention patent application deemed withdrawn after publication

Application publication date: 20180706