CN109617865A - 一种基于移动边缘计算的网络安全监测与防御方法 - Google Patents
一种基于移动边缘计算的网络安全监测与防御方法 Download PDFInfo
- Publication number
- CN109617865A CN109617865A CN201811440507.3A CN201811440507A CN109617865A CN 109617865 A CN109617865 A CN 109617865A CN 201811440507 A CN201811440507 A CN 201811440507A CN 109617865 A CN109617865 A CN 109617865A
- Authority
- CN
- China
- Prior art keywords
- security
- attack
- defence
- safety monitoring
- monitoring
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
- Telephonic Communication Services (AREA)
Abstract
本发明公开了一种基于移动边缘计算的网络安全监测与防御方法,包括安全监测响应中心,安全管控代理,安全监测和防御装置。本发明无需对终端和MEC节点内业务应用服务提出安全增强改动要求,提供解决终端面临的木马病毒感染、漏洞攻击等威胁的框架和途径;可分布式的识别出终端针对核心网和MEC平台发起的攻击行为并在临近攻击源头的位置加以遏制;能够对指定终端和MEC平台内应用交互流量进行分析,及时识别出恶意终端和恶意MEC应用服务,便于后续采取措施;通过分布集总式的安全态势分析、生成、上报的机制,确保运营商或第三方用户能够掌握全网所有MEC平台的安全态势并提供协同防御能力。
Description
技术领域
本发明涉及一种基于移动边缘计算的网络安全监测与防御方法。
背景技术
针对传统移动云计算在时延、抖动、拥塞等方面存在的不足,一种新的构想是将计算、存储资源迁移到离用户最近的移动网络边缘,欧洲标准化组织(ETSI)称之为移动边缘计算(MEC),2017年更名为多接入边缘计算。MEC是指在移动网络的边缘(基站、终端)引入计算和存储资源,通过与云端计算中心相配合,为无线接入网提供IT资源和计算服务。换言之,即将计算资源和缓存资源边缘化、本地化,从而实现加速移动网络中各项内容、应用的部署、提供就近服务。
另一方面,近些年来无线移动通信技术得益于不断发展的IT技术,也得到了快速发展,从2G、3G、4G,到目前的5G,移动通信网络在带宽、延时、容量等关键指标方面得到了巨大的提升,计算处理能力下沉是移动通信网络发展的大势所趋。对5G而言,移动边缘计算(MEC)将是关键实现技术之一,是5G实现uRLLC和mMTC两个场景延时、容量关键性能指标的重要手段。
随着5G的加速推进,MEC将逐渐得到普及并大量存在于5G网络边缘,并会使移动通信承载网发生较大的改变。这种改变集中体现在承载网首次在靠近终端的位置拥有了大量具备计算处理能力的分布式节点,同时承载网内部也出现了大量的东西向业务流量,这些特性在4G时代都是不存在的;同时在整合MEC技术的5G网络中,终端和网络的某些安全问题更为凸显,但部分传统安全防护手段将面临失效或实现成本急剧上升的窘况:
1)终端面临的潜在攻击面扩大
可能的攻击者可以从互联网上经过核心网向终端发起攻击,也可以在MEC区域内向终端发起攻击。这些攻击可以是针对终端漏洞的攻击,例如终端基带固件的漏洞、终端操作系统漏洞,等等;也可能是在访问互联网上或者MEC区域中的恶意网页过程中感染木马、病毒,也可能从互联网或者MEC区域中被入侵的业务应用服务器上下载恶意文件。在4G时代,在终端应用层面上的安全威胁,传统的安全防护措施一般是在智能终端上进行安全增强,如安装杀毒软件、漏洞补丁、上网保镖之类的软件,但是由于5G时代终端种类扩展到其他类型的终端如IoT设备,对这些处理能力、功耗受限的终端,这些方法并不现实。因此5G时代需要一种不改动终端却能够及时检测并处理这些安全威胁的普适方法以满足这些安全需求。
2)MEC节点和核心网面临的潜在攻击面扩大
由于5G时代下MEC的广泛部署,终端可接入的地理位置和数量得到了较大的扩张,间接扩大了MEC本地网络或者核心网的可能攻击面。例如,恶意终端可能在MEC区域间移动切换从而更加隐蔽,数量也可能更多,这使得针对核心网或者MEC网络的DDoS等攻击更难于察觉;又如某个MEC区域内被感染的IoT僵尸网络,不仅可以攻击MEC区域内的本地IoT业务应用服务器,还可以对核心网发起DDoS攻击。传统的解决DDoS攻击的方法,一般是在攻击目标位置边界处,如互联网DC(数据中心)部署IDS/IPS、高防DDoS网关以监测、防御这些攻击。这些传统方法无法解决MEC区域内部的安全问题,同时也由于5G时代流量较4G有指数级提升,对这些集总式安全设备的处理能力提出了过高要求,会造成DC安全防护成本急剧增大,因此需要新的低成本防护手段加以解决。
3)运营商或第三方用户缺乏对MEC应用的安全监控手段
由于在MEC场景下的本地流量不经过核心网,故运营商或第三方用户均缺乏在核心网中监控MEC应用在终端与节点之间交互情况的能力。如果某个应用服务器被黑客攻陷,企图感染该MEC区域之内安装了该应用的终端,运营商或第三方用户将缺乏手段及时知悉这些威胁,也无法组织起防御手段进行阻断。这种新安全问题,传统防护手段未考虑,因此需要利用MEC的计算能力,引入对MEC应用交互的监控,在网络边缘满足这一安全需求。
4)运营商或第三方用户缺乏对边缘网络的安全态势感知导致无法进行协同防御
由于MEC使计算能力下沉,边缘网络以各级MEC平台为节点具备了业务处理能力可能成为攻击目标或攻击发起源;如果MEC区域内的恶意实体对本区域内的其他实体甚至其他区域内的实体发起攻击,核心网因无法获取边缘网络内部流量,故无法感知单个MEC区域的安全态势,也无法采取针对措施进行攻击防御;运营商或第三方用户也无法结合多个MEC区域的安全情况形成整个边缘网络的安全态势,综合识别出跨MEC区域的攻击行为,并在全网范围内组织各MEC节点进行协同防御。这对5G强调的安全管理来说是个盲区。
因此,迫切需要一种基于移动边缘计算的网络安全监测与防御方法,以满足5GMEC场景下的安全需要。
发明内容
为了克服现有技术的上述缺点,本发明提供了一种基于移动边缘计算的网络安全监测与防御方法,能够在无需对终端和MEC平台内业务应用服务软件提出安全增强改动要求的情况下,提供解决终端面临的木马病毒感染、漏洞攻击等威胁的途径;分布式的识别出终端针对核心网和MEC平台发起的攻击行为并分布式的在临近攻击源头的位置加以遏制,避免攻击流量占用带宽,提升回传网通信资源利用率,同时减小安全防护成本;及时识别出恶意终端和恶意MEC应用服务,便于后续采取措施进行处理;为运营商或第三方用户提供获悉所有MEC平台的安全态势并组织多MEC平台协同防御的途径,从而解决MEC场景下缺乏安全态势感知的安全管理问题。
本发明解决其技术问题所采用的技术方案是:一种基于移动边缘计算的网络安全监测与防御方法,包括安全监测响应中心,安全管控代理,安全监测和防御装置;该方法与ETSI提出的MEC技术及5G回传网架构相融合,分布式的进行安全事件采集、攻击监测和执行防御动作,为运营商或租户提供了MEC安全态势感知及防御的能力,其中:
所述安全监测响应中心位于ETSI定义的MEC System Level,统一管理各个安全管控代理,收集各个安全管控代理上报的局域安全态势,形成全局安全态势并向管理员呈现,同时根据全局安全态势为整个回传网边缘提供全局入侵检测服务;针对发现的全局安全威胁,计算防御方案并分解为一系列的防御命令,下发到各个安全管控代理以组织全局协同防御;
所述安全管控代理与所述安全监测和防御装置位于ETSI定义的MEC Host Level,以配对组合的方式,散布在回传网边缘中的各个MEC平台附近;一个安全管控代理与安全监测和防御装置配对(下文简称为“配对”)负责一个MEC平台服务范围内的边缘网络安全监测与防御;
所述安全管控代理以物理或虚拟的方式部署在MEC平台内部,主要负责对配对中的安全监测和防御装置进行安全监测与防御功能的管理配置,并负责综合分析安全事件,智能计算生成该MEC平台附近的局域安全态势并上报给安全监测响应中心,同时接受安全监测响应中心的指示,针对分析出的攻击行为产生防御方案,并通知对应安全监测和防御装置执行防御动作;
所述安全监测和防御装置相当于一个安全增强且具有MEC分流能力的UPF网元,部署在紧邻该MEC平台的流量分流处,其通信功能受5GC(5G核心网)管理,安全功能受对应安全管控代理管理;在安全方面负责南北向/东西向流量监测,对能识别能处理的攻击行为按照安全管控代理预设策略进行防御,将分析出的各种安全事件报告给安全管控代理,并根据安全管控代理的命令执行进一步防御动作。
与现有技术相比,本发明的积极效果是:
通过采用以上技术方案,本发明的有益效果体现为以下方面:其一,无需对终端和MEC节点内业务应用服务提出安全增强改动要求,提供解决终端面临的木马病毒感染、漏洞攻击等威胁的框架和途径。其二,可分布式的识别出终端针对核心网和MEC平台发起的攻击行为并在临近攻击源头的位置加以遏制,特别是DDoS攻击,避免攻击流量占用带宽,提升回传网通信资源利用率;同时多个低处理能力小单元的分布式处理方式,较建设单个超强处理能力大平台的方式成本更低。其三,能够对指定终端和MEC平台内应用交互流量进行分析,及时识别出恶意终端和恶意MEC应用服务,便于后续采取措施。其四,通过分布集总式的安全态势分析、生成、上报的机制,确保运营商或第三方用户能够掌握全网所有MEC平台的安全态势并提供协同防御能力,解决MEC场景下缺乏安全态势感知的安全管理问题。
附图说明
本发明将通过例子并参照附图的方式说明,其中:
图1为本发明与5G回传网及MEC融合部署的架构示意图;
图2为装置独自处理局域安全威胁情况交互流程;
图3为代理和装置共同处理局域安全威胁的交互流程;
图4为代理向中心申请进行协同防御情况下的交互流程;
图5为中心主动发现威胁并组织协同防御情况下的交互流程。
具体实施方式
一、架构及原理
本发明由安全监测响应中心,安全管控代理,安全监测和防御装置三部分组成;底层的安全监测和防御装置与5G UPF相结合,与安全管控代理以配对方式部署于回传网边缘的MEC平台附近,并依托MEC平台的处理能力,对部署位置的东西向/南北向网状流量进行分布式的监测,识别恶意流量及攻击行为;多个配对受同一安全监测响应中心管理;各个配对中的安全管控代理持续使用安全监测和防御装置的局域流量分析情况作为重要依据提炼安全事件及本地局域安全态势,持续上报局域安全态势至安全监测响应中心以供后者综合形成全局安全态势;配对对于识别出的本地局域攻击行为,视攻击类别和安全策略设置,可以在本地进行防御,也可以通过安全监测响应中心干预,在多个配对之间组织协同防御;对安全监测响应中心根据全局安全态势分析出的全局攻击行为,由安全监测响应中心在多个配对之间组织协同防御。架构示意图如图1所示。
对以上架构的解释:
根据目前MEC标准化进展,MEC平台部署在5G回传网中会存在与gNB/eNB共址部署、与CU共址部署、与边缘DC共址部署三种场景;三种场景下,MEC平台的位置均处于5G回传网网络边缘,如图1所示,本方法对以上三种场景均能覆盖。
另一方面,由于众多MEC平台会在5G回传网边缘处进行部署,这些平台之间的通信会为回传网边缘带来较为复杂的东西向流量;此时,部署了MEC回传网中既具有传统的南北向流量,又具有了网状的东西向流量。南北向的流量包括终端与核心网之间、MEC平台与核心网之间的流量,东西向的流量包括MEC平台之间、终端与MEC平台之间的流量。由于东西向流量不会经过核心网,因此为了解其安全情况,需进行分布式的流量监控与防御,该功能应与MEC平台一一对应,并与散布的MEC平台紧邻部署或部署在其内部;同时,分散的流量监控与防御功能彼此工作是异步的,需要在管理层面进行局域安全态势的整合,并协同这些单元间的防御行为。图1中的架构符合以上功能要求:管理层面的工作由安全监测响应中心负责;分散的流量监控与防御功能由安全管控代理与安全监测和防御装置配对组成,紧邻各个MEC平台部署。
二、功能实体详述
1、安全监测响应中心
安全监测响应中心位于MEC系统层面(ETSI定义的MEC System Level),与MEC OSS处于同一层次,部署位置如图1所示。
安全监测响应中心的主要功能有:
(1)全局安全态势分析及呈现;收集各个安全管控代理上报的局域安全态势,结合MEC OSS(MEC运维支撑系统)、5GC提供的管理信息,内部进行大数据分析,综合各方面安全数据以形成全局安全态势并向管理员予以呈现;
(2)全局入侵检测分析及响应:基于全局安全态势进行全局入侵检测,综合发现在MEC Host Level监测不出的攻击行为,结合从MEC OSS、5GC获取的管理信息,综合进行全局防御方案的计算;全局防御方案在经过人工或半人工的确认之后,分解防御方案至各个安全管控代理粒度,以下发指令的方式通知各个安全管控代理进行协同防御;
(3)安全运维管理工作:负责对所有安全管控代理的管理,含安全知识库、安全策略到各个安全管控代理的分发和维护。
2、安全管控代理
安全管控代理位于MEC主机层面(ETSI定义的MEC Host Level),以物理或虚拟的方式部署在MEC平台内部,负责管理对应安全监测和防御装置的安全功能,综合分析安全监测和防御装置上报的安全事件,智能计算生成本平台安全态势并上报给安全监测响应中心,同时接受安全监测响应中心的指示,针对分析出的攻击行为决策本地防御动作,并通知对应安全监测和防御装置执行防御动作。
安全管控代理是负责局域监测与防御决策过程的本地化局域管理单元,其功能主要有:
(1)局域安全知识库存储:存储自身所属配对在局域安全监测与防御工作方面所需的计算、决策相关的支撑性数据。安全知识库中包含了MEC平台本地的安全策略和支撑数据,含关注安全事件列表及事件特征、攻击监测特征库、允许不经询问立即执行防御的攻击方法列表、攻击对应的防御方法、局域安全态势分析参数、局域安全态势分析引擎。
(2)局域安全事件分析:持续对安全监测和防御装置上报的安全事件进行预处理,过滤重复安全事件,对众多安全事件以时间窗口为跨度进行统计,按照会话的粒度进行关联分析,提取安全事件特征供安全态势评估进行进一步处理。
(3)局域安全态势评估:使用安全知识库中的参数调用局域安全态势分析引擎,在较长时间跨度上对安全事件分析的预处理结果使用大数据或人工智能技术进行深度分析,判断安全事件是否属于异常、攻击是否正在发生,若是则标注提取关键安全事件(含攻击类型、IP/端口、协议等信息),更新局域安全态势并上报安全监测响应中心。
(4)局域防御方案生成及监督执行:在判断本地发生了攻击事件后,对在所属配对能力范围内可以应对的局域攻击行为,参照提取的攻击事件关键参数,自动计算防御方案,下发到安全监测和防御装置加以执行,并向安全监测响应中心进行报告攻击及防御事件。
(5)全局防御方案监督执行:接受安全监测响应中心下达到本地的防御行为指示,下发到安全监测和防御装置加以监督执行。
3、安全监测和防御装置
安全监测和防御装置相当于一个安全增强且具有MEC分流能力的UPF网元,部署在紧邻该MEC平台的流量分流处,其通信功能与UPF一致,负责5GC用户面的转发和分流,而安全功能受对应安全管控代理管理;安全监测和防御装置在安全方面,主要使用类似于IDS(入侵监测)/WAF(应用级防火墙)的技术对分流处的南北向/东西向流量进行实时监测,内部根据安全管控代理的设置,对能识别能处理的攻击行为按照预设策略进行防御,同时将攻击事件、可疑事件、流量特征等安全事件及时报告给安全管控代理,并根据后者的通知执行进一步的防御动作。
安全监测和防御装置功能主要有以下几点:
(1)分流受控转发:与5G UPF相结合,根据5GC的管理命令将流量分为南北向、东西向流量,并在安全管控代理指挥下将两股流量受控转发至回传网汇聚节点和本地MEC平台。
(2)恶意流量监测:对南北向、东西向流量内容进行在线分析,根据安全管控代理设置的安全事件列表、安全事件判断依据、攻击流量特征,从流量中提取相应的安全事件,并上报给安全管控代理。
(3)防御动作执行:对安全管控代理预设的不经询问立即执行防御的攻击方法列表中的攻击方法,一旦识别出攻击流量特征,立即按照预设的防御方法加以执行,并向安全管控代理报告该攻击事件并报告防御结果;对安全管控代理下达的局域或全局的防御命令,按命令内容加以执行。
三、安全监测与防御机制
1、安全知识库下发及安全策略预设
该过程发生在初始化阶段,以及正常工作阶段;涉及的实体为安全监测响应中心,安全管控代理,安全监测和防御装置。
(1)初始化阶段
1)安全监测响应中心以自顶向下的方式,将包含安全策略和支撑数据的安全知识库,包含关注安全事件列表及事件特征、攻击监测特征库、允许不经询问立即执行防御的攻击方法列表、攻击对应的防御方法、局域安全态势分析参数、局域安全态势分析引擎,下发至各个安全管控代理;
2)各个安全管控代理在收到安全知识库后,保存在本地,解析其内容,对自身进行初始化配置,如局域安全态势分析引擎和分析参数;
3)安全管控代理完成自身配置后,再依据安全知识库对所辖安全监测和防御装置进行初始设置,如安全事件列表、安全事件特征/判断依据、攻击流量特征、允许不经询问立即执行防御的攻击方法列表、攻击对应的防御方法。
(2)运行阶段
1)安全监测响应中心根据管理员输入,通过增量下发的方式,实时更新各个安全管控代理的安全知识库内容;
2)安全管控代理根据安全知识库的更新内容,对自身设置进行更新,随后对所辖安全监测和防御装置的安全设置进行对应调整。
2、局域攻击行为监测与防御
该过程发生在正常工作阶段;涉及实体为安全管控代理,安全监测和防御装置。目的是在5G回传网边缘实现攻击监测与防御的分布式本地化处理。
安全管控代理是该过程中监测、防御判断的决策管理单元;安全监测和防御装置是该过程中监测、防御动作的具体执行装置。
局域攻击行为监测与防御过程可按对威胁的应对方式分为两种子过程:安全监测和防御装置自己能够处理的;需要与安全管控代理共同处理的。
在安全监测和防御装置自己应对安全威胁情况下,两者间的交互流程如图2所示。此种情况下的处理过程可简述为:当安全监测和防御装置发现特征匹配的攻击流量且根据安全管控代理的设置允许本地处理时,执行预设防御操作,然后向安全管控代理报告攻击及防御事件,随后安全管控代理向安全监测响应中心更新和上报局域安全态势。
在安全监测和防御装置需要安全管控代理协助判断安全威胁情况下,两者间的交互流程如图3所示,图中虚线框表示安全管控代理判定攻击发生的情况下需要执行的步骤,否则不执行。此种情况下的处理过程可简述为:当安全监测和防御装置发现特征匹配的攻击流量和安全事件但根据设置需要上报时,向安全管控代理报告安全事件;安全管控代理随后进行安全事件分析及局域安全态势评估;当安全管控代理判断发生了攻击且在配对范围内能够处理时,计算本地防御动作,并命令安全监测和防御装置执行防御动作,安全监测和防御装置加以执行,最后安全管控代理向安全监测响应中心更新上报局域安全态势。
局域攻击行为监测与防御可以起到以下安全防护效果:
对网状恶意流量,如MEC平台或互联网网页向终端发送的病毒,以及被感染终端通过移动通信网络传播的木马,安全监测和防御装置能够及时根据特征匹配结果发现并终止传播过程,保护终端、MEC应用、核心网应用的安全。
对局域可检测的网络攻击,安全管控代理能通过在一定时间窗口内发生安全事件的统计分析予以发现,并能在不需要安全监测响应中心干预的情况下,在网络边缘进行了离散的分布式防御,通过拦截流量、屏蔽终端等手段,使攻击流量不会进入MEC平台和回传网,提升网络安全性并减小了攻击占用的通信资源,如局域范围内大量IoT终端发起的DDoS攻击。
借助MEC应用的IP、端口、协议等信息,安全管控代理可以修改安全监测和防御装置的设置,使之专门监视该应用通信方面的行为,这对于及时发现MEC平台中的恶意应用,以及发现安装了恶意应用的终端有较大帮助。
3、全局攻击行为监测与防御
该过程发生在正常工作阶段;涉及实体为安全管控代理,安全监测响应中心。目的是在整个5G回传网边缘层面实现跨MEC平台的攻击行为监测,并组织各个配对对此类攻击进行协同防御。
安全管控代理是该过程中提供局域安全事件、接受防御指示的下层实体;安全监测响应中心是该过程中实现全局监测、防御判断的决策管理单元。
全局攻击行为监测与防御过程中,多个安全管控代理与安全监测响应中心间的交互流程按安全威胁的发现位置可分为两种子过程:
一是安全管控代理已识别攻击威胁,但单凭自身无法处理,需要安全监测响应中心组织协同防御的。此种情况下的处理过程可简述为:当安全管控代理在发现局域攻击行为并判断在配对范围内无法组织有效防御时,通过增量上报局域安全态势将这一攻击事件上报给安全监测中心;安全监测中心根据该攻击事件信息,在整个回传网范围内,计算全局防御方案,并根据攻击源特征借助OSS提供的辅助管理信息对攻击源进行精确定位;随后安全监测中心针对不同的攻击源,指挥对应位置的安全管控代理操控安全监测和防御装置就近进行防御,从而达到遏制攻击行为于源头的效果。
二是安全管控代理未意识到攻击威胁,但安全监测响应中心通过综合整个边缘网络的安全事件,判断有攻击威胁,需要执行全局协同防御的。此种情况下的处理过程可简述为:当攻击特征因未达阀值未触发局域安全管控代理的攻击判定,但安全监测中心在综合分析各个安全管控代理上报的局域安全态势形成全局安全态势的过程中发现这一攻击事件时,安全监测中心判断出攻击源和攻击目标,并根据攻击源、目标的特征,借助OSS提供的辅助管理信息对源和目标进行精确定位;随后安全监测中心针对源和目标,指挥对应位置的安全管控代理操控安全监测和防御装置对不同攻击源进行防御和监控,在网络边缘就阻止其恶意流量进入回传网。
假设有一个被攻击应用目标部署于MEC平台A中,对应安全代理为A;攻击源来自于其他两个MEC平台B、C管辖范围内的恶意实体,以及来自回互联网中的恶意实体D,以上两种情况下的交互流程图分别如图4和图5所示,图中虚线实体表示非关键实体,虚线表示可选流程。
全局攻击行为监测与防御可以起到以下安全防护效果:
对针对局部MEC平台发起的网络攻击,攻击目标附近的安全管控代理能通过在一定时间窗口内发生安全事件的统计分析在本地予以发现,例如DDoS攻击目标附近的安全管控代理可以提取攻击流量的特征,如具体DDoS攻击类型、攻击源IP等,但如果仅在本地进行防御,攻击流量仍然会占用边缘网络和回传网络带宽资源,链路仍然拥塞;而本发明中安全管控代理将这一攻击事件上报给安全监测中心,由安全监测中心在整个回传网范围内,根据攻击IP借助OSS提供的地理位置信息进行精确定位;随后安全监测中心针对不同的攻击源,指挥对应位置的安全管控代理操控安全监测和防御装置就近进行流量拦截,可以使攻击流量不会进入回传网,极大减小了攻击占用的通信资源。
对本地安全管控代理不能有效监测出,但安全监测中心结合安全态势分析能够发现的安全威胁,例如边缘网络突然涌现具有某种特性的大量流量(病毒、木马、蠕虫爆发),或者分散源向同一目标发起的渗透行为,安全监测中心可以根据流量特征判定各个攻击源,并根据安全事件中包含的IP信息,借助OSS提供的地理位置信息对这些攻击源和攻击目标进行精确定位;随后安全监测中心针对源和目标,指挥对应位置的安全管控代理操控安全监测和防御装置对不同攻击源进行防御和监控,在网络边缘就阻止其恶意流量。
Claims (8)
1.一种基于移动边缘计算的网络安全监测与防御方法,其特征在于:由安全监测响应中心,安全管控代理,安全监测和防御装置三种功能实体组成,共同完成对边缘网络中南北向/东西向流量的监测分析及防御功能,其中:
所述安全监测响应中心位于ETSI定义的MEC System Level,统一管理各个安全管控代理,收集各个安全管控代理上报的局域安全态势,形成全局安全态势并向管理员呈现,同时根据全局安全态势为整个回传网边缘提供全局入侵检测服务;针对发现的全局安全威胁,计算防御方案并分解为一系列的防御命令,下发到各个安全管控代理以组织全局协同防御;
所述安全管控代理与所述安全监测和防御装置位于ETSI定义的MEC Host Level,以配对组合的方式,散布在回传网边缘中的各个MEC平台附近;一个安全管控代理与安全监测和防御装置配对负责一个MEC平台服务范围内的边缘网络安全监测与防御;
所述安全管控代理以物理或虚拟的方式部署在MEC平台内部,主要负责对配对中的安全监测和防御装置进行安全监测与防御功能的管理配置,并负责综合分析安全事件,智能计算生成该MEC平台附近的局域安全态势并上报给安全监测响应中心,同时接受安全监测响应中心的指示,针对分析出的攻击行为产生防御方案,并通知对应安全监测和防御装置执行防御动作;
所述安全监测和防御装置相当于一个安全增强且具有MEC分流能力的UPF网元,部署在紧邻该MEC平台的流量分流处,其通信功能受5GC管理,安全功能受对应安全管控代理管理;在安全方面负责南北向/东西向流量监测,对能识别能处理的攻击行为按照安全管控代理预设策略进行防御,将分析出的各种安全事件报告给安全管控代理,并根据安全管控代理的命令执行进一步防御动作。
所述南北向的流量包括终端与核心网之间、MEC平台与核心网之间的流量;所述东西向的流量包括MEC平台之间、终端与MEC平台之间的流量。
2.根据权利要求1所述的一种基于移动边缘计算的网络安全监测与防御方法,所述安全监测响应中心的主要功能特征包括:
(1)全局安全态势分析及呈现;收集各个安全管控代理上报的局域安全态势,结合MECOSS、5GC提供的管理信息,内部进行大数据分析,综合各方面安全数据以形成全局安全态势并向管理员予以呈现;
(2)全局入侵检测分析及响应:基于全局安全态势进行全局入侵检测,综合发现在MECHost Level监测不出的攻击行为,结合从MEC OSS、5GC获取的管理信息,综合进行全局防御方案的计算;全局防御方案在经过人工或半人工的确认之后,分解防御方案至各个安全管控代理粒度,以下发指令的方式通知各个安全管控代理进行协同防御;
(3)安全运维管理工作:负责对所有安全管控代理的管理,含安全知识库、安全策略到各个安全管控代理的分发和维护。
3.根据权利要求1所述的一种基于移动边缘计算的网络安全监测与防御方法,其特征在于:所述安全管控代理的主要功能特征包括:
(1)局域安全知识库存储:安全管控代理存储自身所属配对在局域安全监测与防御工作方面所需的计算、决策相关的支撑性数据;
(2)局域安全事件分析:安全管控代理持续使用安全监测和防御装置的上报事件作为重要依据提炼安全事件;
(3)局域安全态势评估:安全管控代理基于安全知识库内容,在时间跨度上对安全事件进行深度分析,提取标识异常、攻击行为的关键安全事件,更新局域安全态势并上报安全监测响应中心;
(4)局域防御方案生成及监督执行:安全管控代理在判断本地发生了攻击事件后,对在所属配对能力范围内可以应对的局域攻击行为,计算防御方案,下发到安全监测和防御装置加以执行,并向安全监测响应中心进行报告;
(5)全局防御方案监督执行:安全管控代理接受安全监测响应中心下达到本地的防御命令,下发到安全监测和防御装置加以监督执行。
4.根据权利要求1所述的一种基于移动边缘计算的网络安全监测与防御方法,其特征在于:所述安全监测和防御装置的主要功能特征包括:
(1)分流受控转发:安全监测和防御装置与5G UPF相结合,根据5GC的管理命令将流量分为南北向、东西向流量,并在安全管控代理指挥下将两股流量受控转发至回传网汇聚节点和本地MEC平台;
(2)恶意流量监测:安全监测和防御装置对南北向、东西向流量内容进行在线分析,根据安全管控代理设置的安全事件列表、安全事件判断依据、攻击流量特征,从流量中提取相应的安全事件,并上报给安全管控代理;
(3)防御动作执行:安全监测和防御装置根据安全管控代理的预设,对自身能力范围内可以应对的局域攻击行为,自动进行防御并及时向安全管控代理报告处理结果;对安全管控代理下达的局域或全局的防御命令,按命令内容加以执行。
5.根据权利要求1所述的一种基于移动边缘计算的网络安全监测与防御方法,其特征在于:具有如下工作机制:
(1)安全知识库下发及安全策略预设:在初始化阶段和正常工作阶段,由安全监测响应中心向各个安全管控代理进行安全知识库下发及安全策略预设;
(2)局域攻击行为监测与防御机制:在正常工作阶段,由配对的安全管控代理与安全监测和防御装置,相互配合进行局域攻击行为监测与防御,在5G回传网边缘实现攻击监测与防御的分布式本地化处理;
(3)全局攻击行为监测与防御机制:在正常工作阶段,由安全监测响应中心与各个配对中的安全管控代理,相互配合进行全局攻击行为监测与防御,在整个5G回传网边缘层面实现跨MEC平台的攻击监测,并组织各个配对对攻击行为进行协同防御。
6.根据权利要求5所述的一种基于移动边缘计算的网络安全监测与防御方法,其特征在于:所述安全知识库下发及安全策略预设包括如下内容:
(1)初始化阶段
1)安全监测响应中心以自顶向下的方式,将含有安全策略和支撑数据的安全知识库,包含关注安全事件列表及事件特征、攻击监测特征库、允许不经询问立即执行防御的攻击方法列表、攻击对应的防御方法、局域安全态势分析参数、局域安全态势分析引擎,下发至各个安全管控代理;
2)各个安全管控代理在收到安全知识库后,保存在本地,解析其内容,对自身进行初始化配置;
3)安全管控代理完成自身配置后,再依据安全知识库对配对的安全监测和防御装置进行初始设置;
(2)运行阶段
1)安全监测响应中心根据管理员输入,通过增量下发的方式,实时更新各个安全管控代理的安全知识库内容;
2)安全管控代理根据安全知识库的更新内容,对自身设置进行更新,随后对配对的安全监测和防御装置的安全设置进行对应调整。
7.根据权利要求5所述的一种基于移动边缘计算的网络安全监测与防御方法,其特征在于:所述局域攻击行为监测与防御机制按对安全威胁的应对处理方式分为两种子过程:
(1)安全监测和防御装置自己能够处理的:当安全监测和防御装置发现特征匹配的攻击流量且根据安全管控代理的设置允许本地处理时,执行预设防御操作,然后向安全管控代理报告攻击及防御事件,随后安全管控代理向安全监测响应中心更新和上报局域安全态势;
(2)需要安全监测和防御装置与安全管控代理协同处理的:当安全监测和防御装置发现特征匹配的攻击流量和安全事件但根据设置需要上报时,向安全管控代理报告安全事件;安全管控代理随后进行安全事件分析及局域安全态势评估;当安全管控代理判断发生了攻击且在配对范围内能够处理时,计算本地防御动作,并命令安全监测和防御装置执行防御动作,安全监测和防御装置加以执行,最后安全管控代理向安全监测响应中心更新上报局域安全态势。
8.根据权利要求5所述的一种基于移动边缘计算的网络安全监测与防御方法,其特征在于:所述全局攻击行为监测与防御机制按安全威胁的发现位置分为两种子过程:
(1)安全管控代理已识别攻击威胁,但单凭自身无法处理,需要安全监测响应中心组织协同防御的:当安全管控代理在发现局域攻击行为并判断在配对范围内无法组织有效防御时,通过增量上报局域安全态势将这一攻击事件上报给安全监测中心;安全监测中心根据该攻击事件信息,在整个回传网范围内,计算全局防御方案,并根据攻击源特征借助OSS提供的辅助管理信息对攻击源进行精确定位;随后安全监测中心针对不同的攻击源,指挥对应位置的安全管控代理操控安全监测和防御装置就近进行防御,从而达到遏制攻击行为于源头的效果;
(2)安全管控代理未意识到攻击威胁,但安全监测响应中心通过分析全局安全态势,判断有攻击威胁,需要执行全局协同防御的:当攻击特征因未达阀值未触发局域安全管控代理的攻击判定,但安全监测中心在综合分析各个安全管控代理上报的局域安全态势形成全局安全态势的过程中发现这一攻击事件时,安全监测中心判断出攻击源和攻击目标,并根据攻击源、目标的特征,借助OSS提供的辅助管理信息对源和目标进行精确定位;随后安全监测中心针对源和目标,指挥对应位置的安全管控代理操控安全监测和防御装置对不同攻击源进行防御和监控,在网络边缘就阻止其恶意流量进入回传网。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811440507.3A CN109617865B (zh) | 2018-11-29 | 2018-11-29 | 一种基于移动边缘计算的网络安全监测与防御方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811440507.3A CN109617865B (zh) | 2018-11-29 | 2018-11-29 | 一种基于移动边缘计算的网络安全监测与防御方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN109617865A true CN109617865A (zh) | 2019-04-12 |
| CN109617865B CN109617865B (zh) | 2021-04-13 |
Family
ID=66006357
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201811440507.3A Active CN109617865B (zh) | 2018-11-29 | 2018-11-29 | 一种基于移动边缘计算的网络安全监测与防御方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109617865B (zh) |
Cited By (17)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110221581A (zh) * | 2019-04-26 | 2019-09-10 | 工业互联网创新中心(上海)有限公司 | 工业控制网络监测装置和方法 |
| CN110913508A (zh) * | 2019-11-25 | 2020-03-24 | 广州爱浦路网络技术有限公司 | 一种部署了upf的5g基站及其数据报文处理方法 |
| CN111641613A (zh) * | 2020-05-20 | 2020-09-08 | 郝鹏 | 基于区块链和大数据的数据处理方法及人工智能信息平台 |
| CN111683057A (zh) * | 2020-05-18 | 2020-09-18 | 东南大学 | 一种基于动态攻击面的威胁信息的传递与共享方法 |
| CN111935089A (zh) * | 2020-07-04 | 2020-11-13 | 吴静昱 | 基于大数据和边缘计算的数据处理方法及人工智能服务器 |
| CN112073989A (zh) * | 2020-08-21 | 2020-12-11 | 北京天元特通科技有限公司 | 一种基于sdn引流的流量审计方法 |
| CN112287345A (zh) * | 2020-10-29 | 2021-01-29 | 中南大学 | 基于智能风险检测的可信边缘计算系统 |
| CN112367331A (zh) * | 2020-11-18 | 2021-02-12 | 简和网络科技(南京)有限公司 | 基于计算机系统运行状态对拒绝服务攻击的实时处理系统及方法 |
| WO2021031864A1 (en) * | 2019-08-19 | 2021-02-25 | Telefonaktiebolaget Lm Ericsson (Publ) | Method and apparatus for performing protection control in a core network |
| CN112688822A (zh) * | 2021-02-07 | 2021-04-20 | 浙江御安信息技术有限公司 | 基于多点协同的边缘计算故障或安全威胁监测系统与方法 |
| CN112968885A (zh) * | 2021-02-02 | 2021-06-15 | 中国信息通信研究院 | 一种边缘计算平台安全防护方法和装置 |
| CN113726865A (zh) * | 2021-08-24 | 2021-11-30 | 浙江御安信息技术有限公司 | 基于边缘计算的数据传输与协同系统 |
| CN113748658A (zh) * | 2020-04-30 | 2021-12-03 | 新华三技术有限公司 | 设备保护方法及设备 |
| CN115320538A (zh) * | 2022-07-20 | 2022-11-11 | 国汽智控(北京)科技有限公司 | 智能网联汽车入侵检测系统及方法 |
| CN115811428A (zh) * | 2022-11-28 | 2023-03-17 | 济南大学 | 一种抵御DDoS攻击的防御方法、系统、设备及存储介质 |
| CN116805923A (zh) * | 2023-08-25 | 2023-09-26 | 淳安华数数字电视有限公司 | 基于边缘计算的宽带通信方法 |
| CN117134999A (zh) * | 2023-10-26 | 2023-11-28 | 四川万物纵横科技股份有限公司 | 一种边缘计算网关的安全防护方法、存储介质及网关 |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20240171979A1 (en) * | 2021-07-15 | 2024-05-23 | Telefonaktiebolaget Lm Ericsson (Publ) | Detecting anomalous behaviour in an edge communication network |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2017100640A1 (en) * | 2015-12-11 | 2017-06-15 | Interdigital Patent Holdings, Inc. | Method and apparatus for enabling third party edge clouds at the mobile edge |
| CN107404733A (zh) * | 2017-08-22 | 2017-11-28 | 山东省计算中心(国家超级计算济南中心) | 一种基于mec和分层sdn的5g移动通信方法及系统 |
| CN107529178A (zh) * | 2017-08-30 | 2017-12-29 | 南京中科智达物联网系统有限公司 | 一种基于mec技术的校园手机管理系统和方法 |
| WO2018095537A1 (en) * | 2016-11-25 | 2018-05-31 | Nokia Technologies Oy | Application provisioning to mobile edge |
| WO2018196793A1 (en) * | 2017-04-28 | 2018-11-01 | Huawei Technologies Co., Ltd. | Nssmf nsmf interaction connecting virtual 5g networks and subnets |
-
2018
- 2018-11-29 CN CN201811440507.3A patent/CN109617865B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2017100640A1 (en) * | 2015-12-11 | 2017-06-15 | Interdigital Patent Holdings, Inc. | Method and apparatus for enabling third party edge clouds at the mobile edge |
| WO2018095537A1 (en) * | 2016-11-25 | 2018-05-31 | Nokia Technologies Oy | Application provisioning to mobile edge |
| WO2018196793A1 (en) * | 2017-04-28 | 2018-11-01 | Huawei Technologies Co., Ltd. | Nssmf nsmf interaction connecting virtual 5g networks and subnets |
| CN107404733A (zh) * | 2017-08-22 | 2017-11-28 | 山东省计算中心(国家超级计算济南中心) | 一种基于mec和分层sdn的5g移动通信方法及系统 |
| CN107529178A (zh) * | 2017-08-30 | 2017-12-29 | 南京中科智达物联网系统有限公司 | 一种基于mec技术的校园手机管理系统和方法 |
Non-Patent Citations (1)
| Title |
|---|
| 冯登国 等: "《5G移动通信网络安全研究》", 《软件学报》 * |
Cited By (29)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110221581A (zh) * | 2019-04-26 | 2019-09-10 | 工业互联网创新中心(上海)有限公司 | 工业控制网络监测装置和方法 |
| CN110221581B (zh) * | 2019-04-26 | 2022-03-15 | 工业互联网创新中心(上海)有限公司 | 工业控制网络监测装置和方法 |
| CN114223178A (zh) * | 2019-08-19 | 2022-03-22 | 瑞典爱立信有限公司 | 用于在核心网络中执行保护控制的方法和设备 |
| CN114223178B (zh) * | 2019-08-19 | 2024-06-07 | 瑞典爱立信有限公司 | 用于在核心网络中执行保护控制的方法和设备 |
| WO2021031864A1 (en) * | 2019-08-19 | 2021-02-25 | Telefonaktiebolaget Lm Ericsson (Publ) | Method and apparatus for performing protection control in a core network |
| CN110913508A (zh) * | 2019-11-25 | 2020-03-24 | 广州爱浦路网络技术有限公司 | 一种部署了upf的5g基站及其数据报文处理方法 |
| CN113748658B (zh) * | 2020-04-30 | 2024-01-23 | 新华三技术有限公司 | 设备保护方法及设备 |
| CN113748658A (zh) * | 2020-04-30 | 2021-12-03 | 新华三技术有限公司 | 设备保护方法及设备 |
| CN111683057A (zh) * | 2020-05-18 | 2020-09-18 | 东南大学 | 一种基于动态攻击面的威胁信息的传递与共享方法 |
| CN111683057B (zh) * | 2020-05-18 | 2022-03-11 | 东南大学 | 一种基于动态攻击面的威胁信息的传递与共享方法 |
| CN111641613B (zh) * | 2020-05-20 | 2021-05-07 | 中铁云网信息科技有限公司 | 基于区块链和大数据的数据处理方法及人工智能信息平台 |
| CN111641613A (zh) * | 2020-05-20 | 2020-09-08 | 郝鹏 | 基于区块链和大数据的数据处理方法及人工智能信息平台 |
| CN111935089A (zh) * | 2020-07-04 | 2020-11-13 | 吴静昱 | 基于大数据和边缘计算的数据处理方法及人工智能服务器 |
| CN112073989A (zh) * | 2020-08-21 | 2020-12-11 | 北京天元特通科技有限公司 | 一种基于sdn引流的流量审计方法 |
| CN112287345A (zh) * | 2020-10-29 | 2021-01-29 | 中南大学 | 基于智能风险检测的可信边缘计算系统 |
| CN112287345B (zh) * | 2020-10-29 | 2024-04-16 | 中南大学 | 基于智能风险检测的可信边缘计算系统 |
| CN112367331A (zh) * | 2020-11-18 | 2021-02-12 | 简和网络科技(南京)有限公司 | 基于计算机系统运行状态对拒绝服务攻击的实时处理系统及方法 |
| CN112367331B (zh) * | 2020-11-18 | 2023-07-04 | 简和网络科技(南京)有限公司 | 基于计算机系统运行状态对拒绝服务攻击的实时处理系统及方法 |
| CN112968885B (zh) * | 2021-02-02 | 2023-03-24 | 中国信息通信研究院 | 一种边缘计算平台安全防护方法和装置 |
| CN112968885A (zh) * | 2021-02-02 | 2021-06-15 | 中国信息通信研究院 | 一种边缘计算平台安全防护方法和装置 |
| CN112688822A (zh) * | 2021-02-07 | 2021-04-20 | 浙江御安信息技术有限公司 | 基于多点协同的边缘计算故障或安全威胁监测系统与方法 |
| CN113726865B (zh) * | 2021-08-24 | 2023-10-17 | 浙江御安信息技术有限公司 | 基于边缘计算的数据传输与协同系统 |
| CN113726865A (zh) * | 2021-08-24 | 2021-11-30 | 浙江御安信息技术有限公司 | 基于边缘计算的数据传输与协同系统 |
| CN115320538A (zh) * | 2022-07-20 | 2022-11-11 | 国汽智控(北京)科技有限公司 | 智能网联汽车入侵检测系统及方法 |
| CN115811428A (zh) * | 2022-11-28 | 2023-03-17 | 济南大学 | 一种抵御DDoS攻击的防御方法、系统、设备及存储介质 |
| CN116805923A (zh) * | 2023-08-25 | 2023-09-26 | 淳安华数数字电视有限公司 | 基于边缘计算的宽带通信方法 |
| CN116805923B (zh) * | 2023-08-25 | 2023-11-10 | 淳安华数数字电视有限公司 | 基于边缘计算的宽带通信方法 |
| CN117134999A (zh) * | 2023-10-26 | 2023-11-28 | 四川万物纵横科技股份有限公司 | 一种边缘计算网关的安全防护方法、存储介质及网关 |
| CN117134999B (zh) * | 2023-10-26 | 2023-12-22 | 四川万物纵横科技股份有限公司 | 一种边缘计算网关的安全防护方法、存储介质及网关 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN109617865B (zh) | 2021-04-13 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109617865A (zh) | 一种基于移动边缘计算的网络安全监测与防御方法 | |
| CN103561004B (zh) | 基于蜜网的协同式主动防御系统 | |
| CN101087196B (zh) | 多层次蜜网数据传输方法及系统 | |
| US7770223B2 (en) | Method and apparatus for security management via vicarious network devices | |
| CN103023924A (zh) | 基于内容分发网络的云分发平台的DDoS攻击防护方法和系统 | |
| CN109218327A (zh) | 基于云容器的主动防御技术 | |
| CN109347847A (zh) | 一种智慧城市信息安全保障系统 | |
| CN108965210A (zh) | 基于场景式攻防模拟的安全试验平台 | |
| CN110381041A (zh) | 分布式拒绝服务攻击态势检测方法及装置 | |
| Umamaheswari et al. | Honeypot TB-IDS: trace back model based intrusion detection system using knowledge based honeypot construction model | |
| Wang et al. | Distributed denial of service attack defence simulation based on honeynet technology | |
| CN114363080A (zh) | 一种网络终端的监控分析方法、装置、设备及存储介质 | |
| Chen et al. | Effective allied network security system based on designed scheme with conditional legitimate probability against distributed network attacks and intrusions | |
| Prasad et al. | IP traceback for flooding attacks on Internet threat monitors (ITM) using Honeypots | |
| KR100518119B1 (ko) | 네트워크 기반의 보안 솔루션 시스템 | |
| Vokorokos et al. | Sophisticated honeypot mechanism-the autonomous hybrid solution for enhancing computer system security | |
| Yuan et al. | Resource investment for DDoS attack resistant SDN: a practical assessment | |
| CN111107035B (zh) | 基于行为辨识的安全态势感知与防护方法及装置 | |
| Khirwadkar | Defense against network attacks using game theory | |
| Abou Haidar et al. | High perception intrusion detection system using neural networks | |
| Preetha et al. | Combat model-based DDoS detection and defence using experimental testbed: a quantitative approach | |
| Singh et al. | Comparative analysis of state-of-the-art EDoS mitigation techniques in cloud computing environment | |
| Blumbergs | Specialized cyber red team responsive computer network operations | |
| Merien et al. | A human-centred model for network flow analysis | |
| CN109218315A (zh) | 一种安全管理方法和安全管理装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |