CN109314698B - 保护计算机网络与系统的抢占式响应安全系统 - Google Patents
保护计算机网络与系统的抢占式响应安全系统 Download PDFInfo
- Publication number
- CN109314698B CN109314698B CN201780009128.6A CN201780009128A CN109314698B CN 109314698 B CN109314698 B CN 109314698B CN 201780009128 A CN201780009128 A CN 201780009128A CN 109314698 B CN109314698 B CN 109314698B
- Authority
- CN
- China
- Prior art keywords
- attacker
- users
- network traffic
- data
- computer
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1491—Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明提供了一种用于增强对基于计算机的系统或网络的安全保护的机制,其部分地涉及用于收集攻击者相关数据和/或转移恶意行为远离合法性资源的诱饵(也可称为“蜜罐”或“蜜网”)的使用。在一个实施例中,本发明提供了一种方法,包括步骤:接收、处理和记录多个用户的网络流量数据,其中,所述网络流量数据接收自多个参与用户;从所述网络流量数据中判认攻击者配置文件;基于所述攻击者配置文件,确定蜜罐或蜜网配置;以及在接收到所述多个用户中的一个用户发送的有效信息请求时,向用户提供确定的攻击者配置文件和配置。额外地或者可选地,本发明可提供一种计算机可执行的方法,包括步骤:接收、处理和记录网络流量数据;基于处理后的网络流量数据:判认网络流量是否来自攻击者,确定风险分类,以及基于所述风险分类,确定诱饵配置;和在接收到用户的有效信息请求时,向所述用户提供确定的风险分类和诱饵。
Description
技术领域
本公开涉及计算机网络安全、入侵检测和入侵保护。本发明特别适用于未经授权访问或误用基于计算机的设备或系统的监测、检测、响应和/或防护。本发明的实施例可涉及攻击者剖析和/或基于计算机的诱饵(蜜罐/蜜网)的使用。
背景技术
入侵检测系统(Intrusion detection systems,IDS)用于监测攻击者的网络活动。该系统可生成报告,并向特定网络的所有者或管理者发送报警信号。响应攻击的入侵检测系统(如,利用防火墙堵塞流量)可被称为入侵防御系统(Intrusion preventionsystem,IPS)或入侵检测与防御系统(Intrusion detection and prevention syetem,IDPS)。在一些实施例中,攻击者流量由一个或多个蜜罐检测和/或路由到一个或多个蜜罐。
蜜罐(Honeypot)是吸引攻击者的网络诱饵,旨在转移攻击者对网络上更具价值的生产机器的注意力。蜜罐通常被布置在未分配地址以及提供服务和/或数据吸引攻击者的网络中。由于蜜罐没有生产价值且通常设置在未分配地址上,因此,任何连接蜜罐的尝试都是可疑的。这就意味着蜜罐可用于识别攻击,因此,在攻击者使用蜜罐时,蜜罐可收集与攻击者的行为和身份识别有关的信息。反之,攻击者也可通过查看行为(如,提供的服务)来评估网络目标为蜜罐的可能性,从而避免使用蜜罐。
物理蜜罐是具有自己IP地址的真实机器,因此,实现起来价格昂贵;而另一方面,虚拟蜜罐需要较少物理机器,从而降低了成本。蜜罐提供的操作系统和服务根据特定蜜罐在当时的网络活动和预期目标来配置。由于蜜罐配置具有挑战性且复杂耗时,因此,可使用动态虚拟蜜罐进行自动化配置。动态蜜罐能够发现网络(如,通过指纹识别),决定使用哪种蜜罐配置,然后创建并配置蜜罐。
多个蜜罐可组合形成“蜜网”,“蜜网”是一种故意设有漏洞的诱骗网络。与单独的蜜罐一样,蜜网使得所有者/管理者能够观察和分析攻击者的行为,并利用收集到的信息来强化系统的安全机制。
本技术领域一般涉及背景资料WO2012/011070Al、US2015/0229656Al、US8661102、US20060242701、US2007271614、US2007192863、US2011214182、US2013152199、US2015106889、US2016080414、US2016065614、US2006212942、JP2005004617、US20040128543和US2010269175。
本说明书中已包含的关于文件、法规、材料、设备和物品等的任何讨论均不得被视为承认,任何或全部这些事项在本申请的每项权利要求的优先权日之前,构成现有技术基础的一部分,或者是与本公开相关的领域中的公知常识。
发明内容
对于每个新攻击者或攻击者的修改行为,IDPS都将监测其行为,更新关于攻击者的记录数据,并且还将更新响应策略。例如,可利用某个攻击者配置文件创建针对该攻击者的虚拟蜜罐。针对每个新攻击者重复该过程,并且如果攻击者的行为或配置文件的某些方面出现变化,也可重复该过程。这是一个复杂且耗时的过程。如果有一种简化的响应和更新检测到攻击者的响应的过程将是有利的。通过过程简化可更快速且有效地部署安全措施。此外,还需要改进入侵检测系统的数据通信和传输。通过改进将使保护系统更有效,能够更好地检测、防御和响应攻击。
本发明的各个方面和实施例提供了这样一种改进的安全解决方案,增强了对基于计算机的设备和网络以及存储其上的数据的保护。本发明可提供一种抢占式响应安全系统。该系统可基于选择理论。该系统可配置用于保护计算装置、网络及其相关数据。
根据本发明,可提供一种计算机可执行的方法,该方法,包括:
接收、处理和记录网络流量数据;
从网络流量数据中判认攻击者配置文件;
基于攻击者配置文件,确定蜜罐或蜜网配置;以及
在接收到用户的请求时,向用户提供确定的攻击者配置文件和配置。
网络流量数据可接收自多个用户,并且该多个用户可包括所述用户(发送请求的用户)。
为了提升蜜罐在网络中的运行,如果能够将蜜罐配置成引诱和吸引攻击者,优选地,以蜜罐不易于被攻击者识别的方式引诱和吸引将是有利的。其中一种方式就是根据更新的有关攻击者的信息重新配置蜜罐。例如,动态蜜罐可自动更新,基于记录的攻击者行为提供其他服务,其中,其他服务是指攻击者请求提供蜜罐之前未提供的服务。
该方法可包括步骤:使用基于计算机的资源来存储:
网络流量数据;
攻击者配置文件;蜜罐或蜜网配置;和/或
与用户有关的数据。
网络流量可被引导至蜜罐或蜜网,该蜜罐或蜜网根据该确定的蜜罐或蜜网配置生成或使用该确定的蜜罐或蜜网配置生成。多个用户可包括被指定为有效、授权或合法的用户。多个用户中的一些或全部可根据本发明在系统中注册或以其他方式被标记为授权用户。可保存或维护授权用户列表。授权用户可以是同意共享和/或提供网络流量相关数据的相互配合的参与者。
该方法可包括步骤:接收来自用户的请求,并判认该请求是来自授权用户,攻击者,还是其他非授权方。
该方法包括步骤:确定多个用户中的一个或多个用户的配置文件。
本发明可进一步提供一种配置为执行前述任一权利要求中所述方法的计算机执行(安全)系统,该系统,包括:基于计算机的存储资源,配置成存储由系统多个用户提供的网络流量数据;以及软件部件,配置为根据请求向一个或多个合法用户提供蜜罐或蜜网配置,其中,该配置基于攻击者配置文件,攻击者配置文件基于或利用网络流量数据导出。
该存储资源可配置成存储:
与多个用户中的一个或多个有关的配置文件;和/或
与一个或多个攻击者或群组或攻击者类型有关的配置文件;和/或
蜜罐/蜜网配置参数。
本发明的各个方面可提供一种入侵检测与防御系统(Intrusion detection andprotection system,IDPS)(以及相应方法)。该方法可包括提供数据库(或“资源库”)的步骤。该数据库可存储“正常”用户的配置文件,如,合法和/或注册用户。这可提供与流量有关的参考数据,对合法用户有用或有益。该数据库可存储与已知攻击者或攻击者群有关的数据(配置文件)。数据库还可存储攻击者分类数据和电子签名等,以及攻击防御数据,如,蜜罐/蜜网配置参数。
数据库可由数据管理器管理。多个用户可与数据管理器通信,如,通过网络。集中式数据可可向用户或其系统提供攻击者签名和/或配置文件等信息。这使用户可将其网络流量与提供的攻击者配置文件或签名进行匹配。通过实现具有互利信息的共享资源库,参与者不仅可以识别和响应当前攻击者,而且还能够基于其他参与者收集到的数据有效地保护自己避免受到潜在攻击者攻击。在一个或多个实施例中,参与用户可注册或订阅资源库。
数据管理器可以是单个计算装置,或者是包括多个计算装置或处理器,可进行分布式计算、网格计算或云计算的计算网络。数据库可通过通信链路连接至数据管理器。或者,数据库可以是数据管理器的一部分,以减少数据处理时间。在其他实施例中,数据库可通过通信网络连接至数据管理器。通信网络可以是任何形式的已知网络,如,广域网(Widearea network,WAN)。数据库可根据运行其上的数据库管理系统(Database managementsystem,DBMS)进行操作。数据库可包括多个基于不同DBMS系统运行的子数据库。
数据管理器可通过提供多种服务来管理数据库。这些服务可包括:
接收、处理和记录接收自IDPS用户的网络流量数据,并用网络流量数据更新集中式数据库,以形成源自多个用户流量数据的单个数据资源;和/或
确定保护数据,如,适于特定攻击者的蜜罐配置;和/或
为用户提供访问集中式数据库上共享信息的权限,使得用户能够识别攻击者,并采用适合的保护参数配置。
数据管理器可判认授权用户的请求是与流量配置数据请求有关,还是为了提供处理及记录流量数据。
数据管理器可接收原始流量数据。该原始数据可以以未处理的形式记录。或者另外地,也可处理该原始数据,以便将其归类为与正常用户流量或攻击者流量有关的数据。这可涉及已知检测方法和工具的使用,例如,包括签名或异常检测、状态检测和应用级检测。
本发明可包括可与数据库通信的服务器保护系统(System protection system,SPS)。该系统可与数据库直接通信或通过数据管理器通信。本发明可配置为判认呼叫请求是来自合法参与者(用户),还是恶意/未经授权的第三方(攻击者)。本发明可进一步配置为判认请求响应。如果判认请求来自攻击者,本发明可生成虚拟蜜罐和/蜜网(如,诱饵)以及数据库。该数据库可能是经过修改的数据库或虚假数据库。该数据库可能包含非商业或机密敏感数据。这些数据可能是随机数据。本发明可配置为将请求源引导至蜜罐和虚假数据库。
在识别出一个以上攻击者的情况下,可生成一个以上蜜罐及相应数据库。用于创建和/或配置蜜罐的参数可由SPS基于从数据库接收到的攻击者信息进行本地化确定。或者另外地,可从数据库中获取蜜罐参数。其他攻击者配置数据也可从数据库中获取。
上面描述的任何特征同样适用于下文中所述的实施例。
额外地或者另外地,本发明可提供计算机执行方法,该方法,包括:
接收攻击者配置文件信息;
监测网络地址的流量;
比较监测流量与攻击者配置文件;
在确定监测流量与攻击者有关联时,检索计算机诱饵的配置信息;和/或
基于检索到的配置,配置计算机诱饵。
攻击者配置文件信息可包括配置信息。配置计算机诱饵可包括创建计算机诱饵和/或重新配置计算机诱饵。诱饵也可被称作蜜罐或蜜网。
额外地或者另外地,本发明可进一步提供一种计算机可执行的方法,该方法,包括:
接收、处理和记录网络流量数据;
基于处理后的网络流量数据:
判认网络流量是否来自攻击者,
确定网络流量分类,以及
基于分类,确定诱饵配置,和/或
在接收到有效用户的请求时,向该用户提供确定的分类及诱饵。该请求可以是信息请求。
可利用监督学习模式识别,如,多层感知器(Multi-layer perceptions,MLP)确定分类。分类可以是攻击者分类、计算机系统/网络风险分类或流量分类。
分类可以是与攻击者复杂程度相关联的风险分类或严重等级分类。例如,可将某些行为与被视为威胁性相对较小的攻击者相关联,而将更复杂的行为与被视为更具潜在危险的攻击者相关联。
确定攻击者分类可包括根据与攻击者行为相关联的阈值对生成的流量类型或攻击者类型进行分类,例如,在阈值基于攻击者请求的服务情况下。
额外地或者另外地,特定计算系统或局域网络的风险特性可根据网络流量确定,如,根据网络流量特性给定系统/网络配置的攻击风险。
分类可以是基于规则的,或者通过诸如神经网络、感知或树学习(如,随机森林算法)等方法处理原始流量数据。例如,当使用基于神经网络感知的监测学习模式识别(如,多层感知器MLP)时,可采用每个输入对应一个神经元的输入层来映射IP选项、恶意软件、缓冲区溢流和选定攻击等情况。可用隐含层神经元处理感知器系统,其中,每个神经元表示输入组合,并基于当前数据结合未来预期数据、先验数据和外部系统数据计算响应。将该层中处理的数据馈送至输出层。神经网络可提供输出结果,如,作为风险函数。感知器可用于对本发明中选定的风险因子素建模,并计算随时间训练和更新的基础风险。
上面描述的关于本发明的一个方面或实施例的任何特征也可适用于并且与上面描述的任何其他方面或实施例相关。
在整个说明书中,“包括”(“comprise”)一词及其变体(如“comprises”和“comprising”)应被理解为,暗示包括所述元素、整数或步骤,或者元素、整数或步骤组,但不排除任何其他元素、整数或步骤,或者元素、整数或步骤组。
附图说明
下面将通过示例结合附图对本公开的实施例进行说明,其中:
图1是入侵检测与防御系统(IDPS)的实施例示意图;
图2是流量数据管理的示例性计算机系统示图;
图3是实现IDPS的实施例示意图;
图4是一种用于提供IDPS的方法的实施例的流程图;和
图5是一种使用入侵检测与防御系统的方法的实施例的流程图。
在附图中,相同的参考号是指相同的零部件。
具体实施方式
当计算机系统或网络受到攻击时,典型响应是使用防火墙阻止攻击,或者在某些情况下将攻击者连接到蜜罐,而这些攻击的详细信息不会与其他方共享,因此,实施的每次攻击都需单独处理。与其他群组之间无信息共享,这种共享缺失将使得攻击者为了寻找易受攻击对象而跨多个网络执行相同攻击策略的行为变得简单而经济。
因此,需要提供一种改进的安全解决方案,该方案可增强对基于计算机的设备和网络以及存储其上的数据的保护。
图1示出了一种入侵检测与防御系统(IDPS)100,该系统通过提供一种由数据管理器104管理的集中式数据库102来解决该项缺点。多个用户106、108、110与数据管理器104通信,如,通过网络112。集中式数据库102向用户106、108、110的各系统提供信息,如,攻击者签名,从而使得用户可将其网络上的流量与攻击者配置文件相匹配。通过实现具有互利信息的共享资源库,订阅用户106、108、110不仅可以识别和响应当前攻击者,而且还能够基于其他用户收集到的数据有效地保护自己避免受到潜在攻击者攻击。
数据管理器104可以是单个计算装置,或者是包括多个计算装置或处理器,可进行分布式计算、网格计算或云计算的计算网络。
图1中示出了数据库102,其通过通信链路连接至数据管理器104。然而,数据库102可以是数据管理器104一部分,以减少处理时间。在其他示例中,在不脱离本公开范围的情况下,数据库102可通过通信网络112连接至数据管理器104。
集中式数据库102根据运行其上的数据库管理系统(DBMS)进行操作。DBMS可包括MicrosoftSQL、Oracle、Sybase、IBMDB2、MySQL或OrientDB数据库。集中式数据库102可包括多个基于不同DBMS系统运行的子数据库。
通信网络112通常为广域网(WAN),并且可用有线网络、蜂窝式通信网络、无线局域网(WLAN)及光纤通信网等任何类型的网络来实现。通信网络112可以是适合网络的组合,如,因特网。通信网络112还可以是专门为IDPS100构建的专用通信网络。
图2示出了根据本公开的数据管理的示例性计算机系统120。计算机系统120是指上述数据管理器104的示例性结构。
该计算机系统120,包括:存储设备126、内存设备124、通信接口128和处理器122。计算机120进一步包括连接存储设备126、内存设备124、通信接口128和处理器122的总线130。
存储设备126配置为存储流量数据,其中,流量数据包括接收自多个用户的正常用户及攻击者的流量数据。虽然存储设备126被作为计算机系统120的一部分示出,但是,存储设备126可为连接至计算机系统120的单独实体,如,图1中所示的集中式数据库102。
内存设备124配置为存储与数据管理器104运行相关的指令,如本文其他地方结合图4和图5的描述。这些指令被当作包含在计算机软件程序中的机器可读指令来执行;当由处理器122执行时,使得处理器122执行这些操作和使用IDPS的方法。
通信接口128配置为通过计算机系统120与通信网络110之间的链路连接至通信网络,尤其是图1中所示的通信网络102。
处理器122连接至内存设备124、存储设备126和通信接口128。处理器122配置为在操作和使用IDPS时从内存设备124获取指令。
在如图2所示的示例中,存储设备126、内存设备124和处理器122配置为根据计算机操作系统运行,如,WindowsServer、MacOSXServer、Linux、Unix、Windows和MacOS。
处理器122可以是通用中央处理器(CPU),并且存储在内存设备124中的指令由以下程序语言中的一个或多个定义:HyperTextMarkupLanguage(HTML)、HTML5、JavaScript和JQuery。指令还可由以下程序语言中的一个或多个定义:JAVA、Python和PHP。指令还可由以下程序语言中的一个或多个定义:Objective-C、C++、C和Swift。
图3示出了使用上文中参照图1所述的IDPS服务的计算机网络200示例。在该示例中,接收自网络202的用户请求通过服务器保护系统(SPS)204传送至计算机网络200,其中,真实服务器206提供访问生产数据库208的权限。当然,许多不同类型的可提供不同类型服务的网络也可在与IDPS的通信中使用SPS。
SPS204可在计算机系统上执行,如,上文中结合图2描述的示例性计算机系统120。内存设备124配置为存储与SPS204操作有关的指令。这些指令被当作包含在计算机软件程序中的机器可读指令来执行;当由处理器122执行时,使得处理器122执行SPS204(如下所述)。
SPS204可访问来自集中式数据库102的信息。如图3中所示,集中式数据库102使用来自如上所述的用户群210的数据进行更新。来自数据库102的流量模式数据由SPS204用于判认接收到的用户请求是来自正常用户,还是攻击者。如果用户请求来自攻击者,则SPS204生成虚拟蜜罐212和变换数据库214,并将攻击者引导至蜜罐212和看似真实的虚假数据库214。
在识别出一个以上攻击者的情况下,可生成一个以上蜜罐216、218和响应的变化数据库220、222。用于创建和/或配置蜜罐的参数可由SPS基于从数据库102接收到的攻击者信息进行本地化确定。或者另外地,蜜罐参数可与其他攻击者配置文件数据一起从数据库102中获得。
如图3中的示例所示,SPS204可直接与数据库102通信,以检索所需信息。在图5所示的示例中(本文其他地方有更加详细的描述),数据库102与SPS204之间经由数据管理器104通信,且数据管理器104管理提供给SPS204的信息的内容及格式。管理提供给SPS204的服务的方法之一是根据与订阅用户(SPS所有者)相关联的订阅服务配置文件进行管理。
图4示出了用于提供图1中所示IDPS的方法示例的流程图。在步骤302中,数据管理器104接收来自授权用户的连接请求,例如,在建立连接时识别和授权的订阅SPS。
数据管理器104通过提供多项服务来管理集中式数据库102,其中的服务,包括:
(1)接收、处理和记录接收自IDPS用户的网络流量数据,并用网络流量数据更新集中式数据库,以形成源自多个用户流量数据的单个数据资源;
(2)确定保护数据,如,适于特定攻击者的蜜罐配置;和
(3)为用户提供访问集中式数据库102上共享信息的权限,使得用户能够识别攻击者,并采用适合的保护参数配置。
在步骤304中,数据管理器104判认来自授权用户的连接请求是否与请求流量配置文件数据306有关,或者流量数据是否提供用于处理和记录308。
在步骤310中,原始流量数据312由数据管理器104接收。该原始数据可以按原始形式记录,但也可经过处理,以确定一些事项。
首先,分析数据,以便将其归类为与正常用户流量或攻击者流量有关的数据。入侵检测系统可依赖于任意数量的检测方法及工具,包括签名或异常检测、状态检测和应用级检测。异常检测依赖于选择用于描述局域网环境的阈值,如,与网络流量、包计数、IP分片、IPID、IP选项和IP包头信息等。例如,流量是否被引导至未使用或受限的IP地址,是否请求受目标网络限制或未提供的服务是攻击者流量的典型指标。从流量数据中提取的用于确定数据源是否来自攻击者的其他信息可包括以下中的一个或多个:根据IP地址黑名单获知的IP地址、与攻击者相关联的代码签名和网络扫描行为。
如果判认流量与攻击者相关联,则在一些实施方式中,还可进一步分析数据,以确定攻击者的类型或分类。分类可以是与攻击者复杂程度相关联的风险分类或严重等级分类。例如,某些行为可能与威胁性降低的攻击者(如,未利用所有者已知的漏洞的攻击者,即脚本小子)有关,而更复杂的行为可能与更危险的攻击者(如,揭开代码签名等隐藏指标的熟练黑客)有关。
确定攻击者分类可包括根据与攻击者行为相关联的阈值对生成的流量类型或攻击者类型进行分类,例如,在阈值基于攻击者请求的服务情况下。
额外地或者另外地,特定计算系统或局域网络的风险特性可根据网络流量确定,如,根据网络流量特性给定系统/网络配置的攻击风险。
分类可以是基于规则的,或者通过诸如神经网络、感知或树学习(如,随机森林算法)等方法处理原始流量数据。例如,当使用基于神经网络感知的监测学习模式识别(如,多层感知器MLP)时,可采用每个输入对应一个神经元的输入层来映射IP选项、恶意软件、缓冲区溢流和选定攻击等情况。使用隐含层神经元处理感知器系统,其中,每个神经元表示输入组合,并基于当前数据结合未来预期数据、先验数据和外部系统数据计算响应。将该层中处理的数据馈送至输出层。神经网络提供输出结果,如,作为风险函数。感知器是该系统中的计算主力,可用于对系统中选定的风险因子建模,并计算随时间训练和更新的基础风险。
当监测系统运行或用户动作时,定义特征阈值,在阈值以上或以下时不提示、警报和报告异常。该活动范围被视为基线活动或常规活动。通过这种方式,可创建风险函数,不仅可根据现有和已知变量计算数据,还可以利用外部资源和趋势自动更新。在该示例中,外部资源是指用户群210收集的提供外部趋势和关联点的数据。
其次,在步骤310中,除确定流量数据来源(正常数据与攻击者数据)外,数据管理器104还需确定适合的响应,如,利用基于攻击者已知行为特征的查找表。在一些实施方式中,响应包括创建和/或配置蜜罐,使得攻击者流量重新定向,从而保护生产网络,并且还可提供机会,以提取更多关于特定攻击者的信息。在步骤314中,蜜罐配置参数与攻击者配置文件一起存储在数据库316中。
此外,还存储正常用户的配置文件,以便为真实用户提供流量参考数据。
如果来自授权用户的连接请求与流量配置数据306请求有关,则在步骤318中,从数据库316中检索配置数据,并将配置包320提供给授权用户。
配置包320中的内容取决于由数据管理器104管理的授权用户的信息权限或要求。配置包可以是数据库316中流量数据的综合汇编,在这种情况下,允许用户直接访问数据库中的所有信息。或者,根据流量数据与特定用户之间的关联性或特定用户的要求,配置包可仅包括一部分流量数据。例如,在一个实施方式中,数据请求可针对特定攻击者的配置文件(如,基于IP源地址)和与攻击者相关的信息。对于这种请求,配置包320中包括与攻击者身份有关的信息(如,攻击者行为配置文件、攻击者分类和代码签名等),并且还可包括攻击防御信息(如,蜜罐配置参数)。
提供给授权用户的数据还可包括可从数据库中获得的其他信息,如,不同格式的正常用户配置文件或攻击者配置文件(如,特定攻击者的配置文件或攻击群组的配置文件)。
图5示出了执行IDPS100的示例性方法的流程图。SPS204局部地负责用户系统(如,图1中所示的用户106、108和110)与IDPS100的数据管理器104之间的接口连接。在步骤402中,SPS204监测流量,并在步骤404中,基于接收自IDPS的数据320确定流量来源(正常用户与攻击者)。接收到的IDPS数据是上文中参照图4所述的一个或多个配置包,因此,如果在步骤406中识别出攻击者,则在步骤408中基于配置包中的信息执行保护响应。例如,该信息包括IDPS提供的蜜罐配置参数。在创建、配置和/或重新配置蜜罐后,在步骤410中,将攻击者流量发送给蜜罐。
在步骤412中,通过向IDPS提供原始流量数据312来记录描述攻击者行为的流量数据。同样地,如果确定流量来源是正常用户(而不是攻击者),则在步骤414中记录该正常流量数据。在步骤416中,将正常流量转发给真实服务器(如,图3中所示的真实服务器)。
与依赖于关于攻击者(如,其自身的网络流量)的单一信息来源的独立系统相比,提供共享流量数据的中央资源提高了计算机系统对攻击者的响应时间和效率。
本领域技术人员将会理解,在不脱离本公开的广泛的一般范围的情况下,可对上述实施例做多种变形和/或修正。因此,本发明在所有方面都被认为是说明性的,而非限制性的。
Claims (15)
1.一种计算机执行的安全方法,包括:
接收、处理和记录从多个用户接收到的网络流量数据;
将网络流量数据存储在基于计算机的存储资源中,所述网络流量数据包括与至少一个攻击者有关的网络流量数据;
从网络流量数据中确定攻击者配置文件;
基于所述攻击者配置文件,确定蜜罐或蜜网配置;
将确定的攻击者配置文件和相关联的确定的蜜罐或蜜网配置存储在所述存储资源中;以及
在接收到所述多个用户中的合法用户的请求时,向所述合法用户提供确定的攻击者配置文件和相关联的确定的蜜罐或蜜网配置,用于在与所述合法用户相关联的网络中使用。
2.根据权利要求1所述的方法,其中,所述蜜罐或蜜网配置基于所述多个用户的网络流量数据,且可供所述多个用户使用。
3.根据权利要求1或2所述的方法,包括步骤:使用基于计算机的存储资源,存储:
蜜罐或蜜网配置;和/或
与用户有关的数据。
4.根据权利要求1或2所述的方法,包括步骤:
将网络流量引导至蜜罐或蜜网,所述蜜罐或蜜网根据所述确定的蜜罐或蜜网配置生成或者使用所述确定的蜜罐或蜜网配置生成。
5.根据权利要求1或2所述的方法,其中,所述多个用户包括被指定为授权用户或合法用户的用户。
6.根据权利要求1或2所述的方法,包括步骤:
接收来自用户的请求,并判认所述请求是来自授权用户,还是攻击者。
7.根据权利要求1或2所述的方法,进一步包括步骤:
确定所述多个用户中的一个或多个用户的配置文件。
8.一种配置为执行前述任一权利要求中所述方法的计算机执行安全系统,包括:
基于计算机的存储资源,用于存储由系统多个用户提供的网络流量数据;以及
软件部件,用于根据请求向一个或多个合法用户提供蜜罐或蜜网配置,其中,所述配置基于攻击者配置文件,所述攻击者配置文件基于或利用所述网络流量数据导出。
9.根据权利要求8所述的系统,其中,所述存储资源进一步存储:
与所述多个用户中的一个或多个有关的配置文件;和/或
与一个或多个攻击者或群组或攻击者类型有关的配置文件;和/或
蜜罐/蜜网配置参数。
10.一种计算机可执行的方法,包括:
接收攻击者配置文件信息,所述攻击者配置文件信息是基于由多个用户提供的网络流量数据;
监测网络地址的流量;
比较所述监测的流量与攻击者配置文件信息;
在确定所述监测的流量与攻击者有关联时,检索计算机诱饵的与攻击者配置文件相关联的配置信息,其中攻击者配置文件信息以及相关联的配置信息是从所述多个用户能够使用的基于计算机的资源检索的;以及
基于所述检索到的配置信息,配置计算机诱饵。
11.根据权利要求10所述的方法,进一步包括步骤:
将流量引导至所述计算机诱饵。
12.一种计算机可执行的方法,包括:
接收、处理和记录网络流量数据;
基于处理后的网络流量数据:
判认网络流量是否来自攻击者,
确定风险分类,
基于所述风险分类,确定诱饵配置,以及
将所述诱饵配置与攻击者配置文件存储在存储资源中,其中所述攻击者配置文件是从所述网络流量确定的;和
在接收到合法用户的有效信息请求时,向所述合法用户提供确定的风险分类和诱饵以及所述攻击者配置文件。
13.根据权利要求12所述的方法,其中,利用监督学习模式识别确定所述分类。
14.根据权利要求13所述的方法,其中,所述监督学习模式识别包括使用多层感知器。
15.根据权利要求12至14中任一项所述的方法,其中,所述风险分类指示局域网故障风险。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210137064.0A CN114500080A (zh) | 2016-02-23 | 2017-02-14 | 保护计算机网络与系统的抢占式响应安全系统 |
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| GB1603118.9 | 2016-02-23 | ||
| GBGB1603118.9A GB201603118D0 (en) | 2016-02-23 | 2016-02-23 | Reactive and pre-emptive security system based on choice theory |
| PCT/IB2017/050811 WO2017145001A1 (en) | 2016-02-23 | 2017-02-14 | Reactive and pre-emptive security system for the protection of computer networks & systems |
Related Child Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210137064.0A Division CN114500080A (zh) | 2016-02-23 | 2017-02-14 | 保护计算机网络与系统的抢占式响应安全系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN109314698A CN109314698A (zh) | 2019-02-05 |
| CN109314698B true CN109314698B (zh) | 2022-03-08 |
Family
ID=55753050
Family Applications (2)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210137064.0A Pending CN114500080A (zh) | 2016-02-23 | 2017-02-14 | 保护计算机网络与系统的抢占式响应安全系统 |
| CN201780009128.6A Active CN109314698B (zh) | 2016-02-23 | 2017-02-14 | 保护计算机网络与系统的抢占式响应安全系统 |
Family Applications Before (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210137064.0A Pending CN114500080A (zh) | 2016-02-23 | 2017-02-14 | 保护计算机网络与系统的抢占式响应安全系统 |
Country Status (8)
| Country | Link |
|---|---|
| US (2) | US10735466B2 (zh) |
| EP (3) | EP3771173B1 (zh) |
| JP (2) | JP6878445B2 (zh) |
| KR (1) | KR20180115726A (zh) |
| CN (2) | CN114500080A (zh) |
| GB (2) | GB201603118D0 (zh) |
| WO (1) | WO2017145001A1 (zh) |
| ZA (2) | ZA201805018B (zh) |
Families Citing this family (39)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10354325B1 (en) | 2013-06-28 | 2019-07-16 | Winklevoss Ip, Llc | Computer-generated graphical user interface |
| US10068228B1 (en) | 2013-06-28 | 2018-09-04 | Winklevoss Ip, Llc | Systems and methods for storing digital math-based assets using a secure portal |
| US9892460B1 (en) | 2013-06-28 | 2018-02-13 | Winklevoss Ip, Llc | Systems, methods, and program products for operating exchange traded products holding digital math-based assets |
| GB201603118D0 (en) * | 2016-02-23 | 2016-04-06 | Eitc Holdings Ltd | Reactive and pre-emptive security system based on choice theory |
| US9979750B2 (en) | 2016-04-26 | 2018-05-22 | Acalvio Technologies, Inc. | Tunneling for network deceptions |
| US10326796B1 (en) * | 2016-04-26 | 2019-06-18 | Acalvio Technologies, Inc. | Dynamic security mechanisms for mixed networks |
| US10108850B1 (en) | 2017-04-24 | 2018-10-23 | Intel Corporation | Recognition, reidentification and security enhancements using autonomous machines |
| US10785258B2 (en) | 2017-12-01 | 2020-09-22 | At&T Intellectual Property I, L.P. | Counter intelligence bot |
| WO2019127141A1 (en) | 2017-12-27 | 2019-07-04 | Siemens Aktiengesellschaft | Network traffic sending method and apparatus, and hybrid honeypot system |
| US10826939B2 (en) | 2018-01-19 | 2020-11-03 | Rapid7, Inc. | Blended honeypot |
| US11909860B1 (en) | 2018-02-12 | 2024-02-20 | Gemini Ip, Llc | Systems, methods, and program products for loaning digital assets and for depositing, holding and/or distributing collateral as a token in the form of digital assets on an underlying blockchain |
| US10540654B1 (en) | 2018-02-12 | 2020-01-21 | Winklevoss Ip, Llc | System, method and program product for generating and utilizing stable value digital assets |
| US11308487B1 (en) | 2018-02-12 | 2022-04-19 | Gemini Ip, Llc | System, method and program product for obtaining digital assets |
| US10373129B1 (en) | 2018-03-05 | 2019-08-06 | Winklevoss Ip, Llc | System, method and program product for generating and utilizing stable value digital assets |
| US11475442B1 (en) | 2018-02-12 | 2022-10-18 | Gemini Ip, Llc | System, method and program product for modifying a supply of stable value digital asset tokens |
| US11200569B1 (en) | 2018-02-12 | 2021-12-14 | Winklevoss Ip, Llc | System, method and program product for making payments using fiat-backed digital assets |
| US10438290B1 (en) | 2018-03-05 | 2019-10-08 | Winklevoss Ip, Llc | System, method and program product for generating and utilizing stable value digital assets |
| US10373158B1 (en) | 2018-02-12 | 2019-08-06 | Winklevoss Ip, Llc | System, method and program product for modifying a supply of stable value digital asset tokens |
| US10785214B2 (en) | 2018-06-01 | 2020-09-22 | Bank Of America Corporation | Alternate user communication routing for a one-time credential |
| US10972472B2 (en) * | 2018-06-01 | 2021-04-06 | Bank Of America Corporation | Alternate user communication routing utilizing a unique user identification |
| US10785220B2 (en) | 2018-06-01 | 2020-09-22 | Bank Of America Corporation | Alternate user communication routing |
| US11108823B2 (en) * | 2018-07-31 | 2021-08-31 | International Business Machines Corporation | Resource security system using fake connections |
| US10601868B2 (en) | 2018-08-09 | 2020-03-24 | Microsoft Technology Licensing, Llc | Enhanced techniques for generating and deploying dynamic false user accounts |
| US11212312B2 (en) | 2018-08-09 | 2021-12-28 | Microsoft Technology Licensing, Llc | Systems and methods for polluting phishing campaign responses |
| US11038919B1 (en) * | 2018-09-14 | 2021-06-15 | Rapid7, Inc. | Multiple personality deception systems |
| TWI729320B (zh) * | 2018-11-01 | 2021-06-01 | 財團法人資訊工業策進會 | 可疑封包偵測裝置及其可疑封包偵測方法 |
| US11038920B1 (en) * | 2019-03-28 | 2021-06-15 | Rapid7, Inc. | Behavior management of deception system fleets |
| CN111917691A (zh) * | 2019-05-10 | 2020-11-10 | 张长河 | 一种基于虚假响应的web动态自适应防御系统及防御方法 |
| US11223651B2 (en) * | 2019-07-30 | 2022-01-11 | International Business Machines Corporation | Augmented data collection from suspected attackers of a computer network |
| KR102259732B1 (ko) | 2019-11-28 | 2021-06-02 | 광주과학기술원 | 네트워크 상의 허니팟 노드 배치방법 |
| KR102276753B1 (ko) * | 2019-12-13 | 2021-07-13 | 단국대학교 산학협력단 | 디코이 트랩을 이용한 이동 표적 방어 시스템 및 이를 통한 공격 표면 확장 방법 |
| CN111541670A (zh) * | 2020-04-17 | 2020-08-14 | 广州锦行网络科技有限公司 | 一种新型动态蜜罐系统 |
| US11689568B2 (en) * | 2020-05-08 | 2023-06-27 | International Business Machines Corporation | Dynamic maze honeypot response system |
| JP7413924B2 (ja) | 2020-05-25 | 2024-01-16 | 富士フイルムビジネスイノベーション株式会社 | 情報処理装置及び情報処理プログラム |
| WO2022002405A1 (en) * | 2020-07-02 | 2022-01-06 | Huawei Technologies Co., Ltd. | Device and method for generating, using and optimizing a honeypot |
| US11824894B2 (en) | 2020-11-25 | 2023-11-21 | International Business Machines Corporation | Defense of targeted database attacks through dynamic honeypot database response generation |
| CN114598512B (zh) * | 2022-02-24 | 2024-02-06 | 烽台科技(北京)有限公司 | 一种基于蜜罐的网络安全保障方法、装置及终端设备 |
| KR20230139984A (ko) | 2022-03-29 | 2023-10-06 | 주식회사 아이티스테이션 | 허니팟을 이용한 악성 파일 탐지 방법 및 이를 이용한 시스템 |
| KR102651735B1 (ko) * | 2023-05-26 | 2024-03-28 | 쿤텍 주식회사 | 가상 세션을 이용한 허니팟 시스템 및 허니팟 운영 방법 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2002023805A2 (en) * | 2000-09-13 | 2002-03-21 | Karakoram Limited | Monitoring network activity |
| CN101087196A (zh) * | 2006-12-27 | 2007-12-12 | 北京大学 | 多层次蜜网数据传输方法及系统 |
| CN103607399A (zh) * | 2013-11-25 | 2014-02-26 | 中国人民解放军理工大学 | 基于暗网的专用ip网络安全监测系统及方法 |
Family Cites Families (42)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20070192863A1 (en) | 2005-07-01 | 2007-08-16 | Harsh Kapoor | Systems and methods for processing data flows |
| US20020133603A1 (en) | 2001-03-13 | 2002-09-19 | Fujitsu Limited | Method of and apparatus for filtering access, and computer product |
| US7383577B2 (en) | 2002-05-20 | 2008-06-03 | Airdefense, Inc. | Method and system for encrypted network management and intrusion detection |
| US20050166072A1 (en) * | 2002-12-31 | 2005-07-28 | Converse Vikki K. | Method and system for wireless morphing honeypot |
| US7412723B2 (en) | 2002-12-31 | 2008-08-12 | International Business Machines Corporation | Method and system for morphing honeypot with computer security incident correlation |
| KR100877664B1 (ko) | 2003-05-30 | 2009-01-12 | 인터내셔널 비지네스 머신즈 코포레이션 | 어택 검출 방법, 어택 검출 장치, 데이터 통신 네트워크, 컴퓨터 판독 가능 기록 매체 및 침입 검출 애플리케이션의 전개 방법 |
| JP2005004617A (ja) | 2003-06-13 | 2005-01-06 | Mitsubishi Electric Corp | 不正侵入対策処理システム、攻撃分析・応答装置およびネットワーク遮断・模擬装置並びに不正侵入対策処理方法 |
| KR20050082681A (ko) * | 2004-02-20 | 2005-08-24 | 한국과학기술원 | 허니팟 시스템 |
| US7657735B2 (en) | 2004-08-19 | 2010-02-02 | At&T Corp | System and method for monitoring network traffic |
| US20060161982A1 (en) * | 2005-01-18 | 2006-07-20 | Chari Suresh N | Intrusion detection system |
| US8065722B2 (en) | 2005-03-21 | 2011-11-22 | Wisconsin Alumni Research Foundation | Semantically-aware network intrusion signature generator |
| US8171544B2 (en) | 2005-04-20 | 2012-05-01 | Cisco Technology, Inc. | Method and system for preventing, auditing and trending unauthorized traffic in network systems |
| US8015605B2 (en) | 2005-08-29 | 2011-09-06 | Wisconsin Alumni Research Foundation | Scalable monitor of malicious network traffic |
| JP2007079815A (ja) * | 2005-09-13 | 2007-03-29 | Canon Inc | 自己免疫型防御システム |
| US8661102B1 (en) | 2005-11-28 | 2014-02-25 | Mcafee, Inc. | System, method and computer program product for detecting patterns among information from a distributed honey pot system |
| US20140373144A9 (en) * | 2006-05-22 | 2014-12-18 | Alen Capalik | System and method for analyzing unauthorized intrusion into a computer network |
| US8429746B2 (en) | 2006-05-22 | 2013-04-23 | Neuraliq, Inc. | Decoy network technology with automatic signature generation for intrusion detection and intrusion prevention systems |
| US9083556B2 (en) * | 2007-05-31 | 2015-07-14 | Rpx Clearinghouse Llc | System and method for detectng malicious mail from spam zombies |
| US9009829B2 (en) * | 2007-06-12 | 2015-04-14 | The Trustees Of Columbia University In The City Of New York | Methods, systems, and media for baiting inside attackers |
| US9130986B2 (en) | 2008-03-19 | 2015-09-08 | Websense, Inc. | Method and system for protection against information stealing software |
| US20100071054A1 (en) * | 2008-04-30 | 2010-03-18 | Viasat, Inc. | Network security appliance |
| US8769684B2 (en) | 2008-12-02 | 2014-07-01 | The Trustees Of Columbia University In The City Of New York | Methods, systems, and media for masquerade attack detection by monitoring computer user behavior |
| US8949988B2 (en) | 2010-02-26 | 2015-02-03 | Juniper Networks, Inc. | Methods for proactively securing a web application and apparatuses thereof |
| CN102254111B (zh) * | 2010-05-17 | 2015-09-30 | 北京知道创宇信息技术有限公司 | 恶意网站检测方法及装置 |
| US9270690B2 (en) | 2010-07-21 | 2016-02-23 | Seculert Ltd. | Network protection system and method |
| US9215244B2 (en) * | 2010-11-18 | 2015-12-15 | The Boeing Company | Context aware network security monitoring for threat detection |
| US8682812B1 (en) * | 2010-12-23 | 2014-03-25 | Narus, Inc. | Machine learning based botnet detection using real-time extracted traffic features |
| US8752174B2 (en) * | 2010-12-27 | 2014-06-10 | Avaya Inc. | System and method for VoIP honeypot for converged VoIP services |
| US9060017B2 (en) * | 2012-02-21 | 2015-06-16 | Logos Technologies Llc | System for detecting, analyzing, and controlling infiltration of computer and network systems |
| US9288223B2 (en) | 2013-10-13 | 2016-03-15 | Skycure Ltd | Potential attack detection based on dummy network traffic |
| US9621568B2 (en) | 2014-02-11 | 2017-04-11 | Varmour Networks, Inc. | Systems and methods for distributed threat detection in a computer network |
| WO2015141640A1 (ja) * | 2014-03-19 | 2015-09-24 | 日本電信電話株式会社 | 抽出条件決定方法、通信監視システム、抽出条件決定装置及び抽出条件決定プログラム |
| IL232528A0 (en) | 2014-05-08 | 2014-08-31 | Rami Puzis | Honey trap for social networks |
| US20160197943A1 (en) * | 2014-06-24 | 2016-07-07 | Leviathan, Inc. | System and Method for Profiling System Attacker |
| EP2966828B1 (de) | 2014-07-11 | 2020-01-15 | Deutsche Telekom AG | Verfahren zum Erkennen eines Angriffs auf eine mit einem Kommunikationsnetzwerk verbundene Arbeitsumgebung |
| US9942250B2 (en) * | 2014-08-06 | 2018-04-10 | Norse Networks, Inc. | Network appliance for dynamic protection from risky network activities |
| US9992225B2 (en) | 2014-09-12 | 2018-06-05 | Topspin Security Ltd. | System and a method for identifying malware network activity using a decoy environment |
| US20160164886A1 (en) * | 2014-10-17 | 2016-06-09 | Computer Sciences Corporation | Systems and methods for threat analysis of computer data |
| US10205637B2 (en) * | 2015-01-27 | 2019-02-12 | Sri International | Impact analyzer for a computer network |
| US9735958B2 (en) | 2015-05-19 | 2017-08-15 | Coinbase, Inc. | Key ceremony of a security system forming part of a host computer for cryptographic transactions |
| GB201603118D0 (en) | 2016-02-23 | 2016-04-06 | Eitc Holdings Ltd | Reactive and pre-emptive security system based on choice theory |
| US10637864B2 (en) * | 2016-05-05 | 2020-04-28 | Ca, Inc. | Creation of fictitious identities to obfuscate hacking of internal networks |
-
2016
- 2016-02-23 GB GBGB1603118.9A patent/GB201603118D0/en not_active Ceased
-
2017
- 2017-02-14 KR KR1020187026168A patent/KR20180115726A/ko not_active Application Discontinuation
- 2017-02-14 CN CN202210137064.0A patent/CN114500080A/zh active Pending
- 2017-02-14 WO PCT/IB2017/050811 patent/WO2017145001A1/en active Application Filing
- 2017-02-14 EP EP20180073.7A patent/EP3771173B1/en active Active
- 2017-02-14 GB GB1806691.0A patent/GB2561468B/en active Active
- 2017-02-14 JP JP2018539363A patent/JP6878445B2/ja active Active
- 2017-02-14 US US16/079,076 patent/US10735466B2/en active Active
- 2017-02-14 EP EP22195455.5A patent/EP4156605A1/en active Pending
- 2017-02-14 EP EP17707409.3A patent/EP3420697B1/en active Active
- 2017-02-14 CN CN201780009128.6A patent/CN109314698B/zh active Active
-
2018
- 2018-07-25 ZA ZA2018/05018A patent/ZA201805018B/en unknown
-
2020
- 2020-08-03 US US16/983,583 patent/US20200366714A1/en active Pending
-
2021
- 2021-01-15 ZA ZA2021/00289A patent/ZA202100289B/en unknown
- 2021-04-28 JP JP2021075748A patent/JP7167240B6/ja active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2002023805A2 (en) * | 2000-09-13 | 2002-03-21 | Karakoram Limited | Monitoring network activity |
| CN101087196A (zh) * | 2006-12-27 | 2007-12-12 | 北京大学 | 多层次蜜网数据传输方法及系统 |
| CN103607399A (zh) * | 2013-11-25 | 2014-02-26 | 中国人民解放军理工大学 | 基于暗网的专用ip网络安全监测系统及方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| EP3771173A1 (en) | 2021-01-27 |
| EP3771173B1 (en) | 2022-10-19 |
| US20190058733A1 (en) | 2019-02-21 |
| GB201603118D0 (en) | 2016-04-06 |
| JP7167240B6 (ja) | 2022-11-28 |
| EP4156605A1 (en) | 2023-03-29 |
| CN109314698A (zh) | 2019-02-05 |
| US10735466B2 (en) | 2020-08-04 |
| JP2021114332A (ja) | 2021-08-05 |
| KR20180115726A (ko) | 2018-10-23 |
| EP3420697A1 (en) | 2019-01-02 |
| GB2561468A (en) | 2018-10-17 |
| JP6878445B2 (ja) | 2021-05-26 |
| GB201806691D0 (en) | 2018-06-06 |
| GB2561468B (en) | 2021-09-29 |
| ZA201805018B (en) | 2023-09-27 |
| JP7167240B2 (ja) | 2022-11-08 |
| WO2017145001A1 (en) | 2017-08-31 |
| ZA202100289B (en) | 2023-09-27 |
| EP3420697B1 (en) | 2020-10-14 |
| US20200366714A1 (en) | 2020-11-19 |
| JP2019512761A (ja) | 2019-05-16 |
| CN114500080A (zh) | 2022-05-13 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109314698B (zh) | 保护计算机网络与系统的抢占式响应安全系统 | |
| CN110381045B (zh) | 攻击操作的处理方法和装置、存储介质及电子装置 | |
| US11831609B2 (en) | Network security system with enhanced traffic analysis based on feedback loop | |
| Modi et al. | A survey of intrusion detection techniques in cloud | |
| US20190372934A1 (en) | Aggregating alerts of malicious events for computer security | |
| US20210200870A1 (en) | Performing threat detection by synergistically combining results of static file analysis and behavior analysis | |
| CN106537406A (zh) | 一种网络安全系统及其方法 | |
| CN105915532A (zh) | 一种失陷主机的识别方法及装置 | |
| Azam et al. | Defending the digital Frontier: IDPS and the battle against Cyber threat | |
| Sharma et al. | Survey of intrusion detection techniques and architectures in cloud computing | |
| Kizza | System intrusion detection and prevention | |
| Le et al. | Unsupervised monitoring of network and service behaviour using self organizing maps | |
| CN115211075A (zh) | 网络环境中的网络攻击识别 | |
| Chandak et al. | DDoS attack detection in smart home applications | |
| Pierrot et al. | Hybrid intrusion detection in information systems | |
| US20230362184A1 (en) | Security threat alert analysis and prioritization | |
| Awodele Simon et al. | Intrusion Detection System in Cloud Computing: A | |
| Nathiya et al. | An Effective Hybrid Intrusion Detection System for Use in Security Monitoring in the Virtual Network Layer of Cloud | |
| Kumari et al. | SmRM: Ensemble Learning Devised Solution for Smart Riskware Management in Android Machines | |
| Patel | A Comparative Study Between Intrusion Detection System And Intrusion Prevention System | |
| Rahim et al. | Improving the security of Internet of Things (IoT) using Intrusion Detection System (IDS) | |
| Khanday et al. | Intrusion Detection Systems for Trending Cyberattacks | |
| Dias | Automated Identification of Attacking Tools in a Honeypot | |
| Sharma et al. | Towards Configured Intrusion Detection Systems | |
| CN117278319A (zh) | 服务端风险控制的方法、装置、电子设备及介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |