CN109995716B - 基于高交互蜜罐系统的行为激发方法及装置 - Google Patents

基于高交互蜜罐系统的行为激发方法及装置 Download PDF

Info

Publication number
CN109995716B
CN109995716B CN201711487771.8A CN201711487771A CN109995716B CN 109995716 B CN109995716 B CN 109995716B CN 201711487771 A CN201711487771 A CN 201711487771A CN 109995716 B CN109995716 B CN 109995716B
Authority
CN
China
Prior art keywords
communication
traffic
flow
honeypot
interaction
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201711487771.8A
Other languages
English (en)
Other versions
CN109995716A (zh
Inventor
朱晴
梁月唯
康学斌
王小丰
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Antiy Network Technology Co Ltd
Original Assignee
Beijing Antiy Network Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Antiy Network Technology Co Ltd filed Critical Beijing Antiy Network Technology Co Ltd
Priority to CN201711487771.8A priority Critical patent/CN109995716B/zh
Publication of CN109995716A publication Critical patent/CN109995716A/zh
Application granted granted Critical
Publication of CN109995716B publication Critical patent/CN109995716B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1491Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种基于高交互蜜罐系统的行为激发方法及装置,其中,方法包括:获取高交互蜜罐系统的通信流量;判断通信流量是否满足预设放行条件;如果不满足预设放行条件,则确定为非蜜罐网断流量,并进一步判断是否为恶意通信流量;如果为恶意通信流量,则修改流量导向规则,以将通信流量随机牵引至其他蜜罐,并获取攻击动作。该方法可以在判定为恶意通信流量时,将恶意通信流量牵引至其他蜜罐,有效提高安全性。

Description

基于高交互蜜罐系统的行为激发方法及装置
技术领域
本发明涉及计算机安全技术领域,特别涉及一种基于高交互蜜罐系统的行为激发方法及装置。
背景技术
相关技术中,高交互蜜罐为真实的计算机系统,如个人PC(personal computer,个人计算机)、服务器等,通过暴露一些端口或者漏洞,诱使攻击者能够入侵蜜罐,与蜜罐进行交互,系统能针对攻击指令做出真实的系统行为反馈和网络反馈,通过蜜罐系统的监控分析,蜜罐能达到捕获攻击事件,分析攻击意图,加固自身防御的效果。
然而,高交互蜜罐在作为攻击入侵感知环境的同时,也存在被入侵者攻陷的风险,如果不进行相关处理,则蜜罐会被当做跳板机,方便入侵者进入内网,带来更为严重安全隐患,亟待解决。
发明内容
本发明旨在至少在一定程度上解决相关技术中的技术问题之一。
为此,本发明的一个目的在于提出一种基于高交互蜜罐系统的行为激发方法,可以。
本发明的另一个目的在于提出一种基于高交互蜜罐系统的行为激发装置。
为达到上述目的,本发明一方面实施例提出了一种基于高交互蜜罐系统的行为激发方法,包括以下步骤:获取高交互蜜罐系统的通信流量;判断所述通信流量是否满足预设放行条件;如果不满足所述预设放行条件,则确定为非蜜罐网断流量,并进一步判断是否为恶意通信流量;如果为所述恶意通信流量,则修改流量导向规则,以将所述通信流量随机牵引至其他蜜罐,并获取攻击动作。
本发明实施例的基于高交互蜜罐系统的行为激发方法,可以在判定为恶意通信流量时,将恶意通信流量牵引至其他蜜罐,使更多的蜜罐能感知,同时保证主机安全,有效提高安全性。
进一步地,在本发明的一个实施例中,还包括:获取蜜罐虚拟网卡流量;识别所述虚拟网卡流量的ddos流量,并进行丢包处理。
进一步地,在本发明的一个实施例中,所述预设放行条件为所述通信流量为所述高交互蜜罐系统的自身流量或者蜜罐虚拟机访问远程控制服务器流量。
进一步地,在本发明的一个实施例中,所述高交互蜜罐系统的自身流量为主机与所述蜜罐虚拟机的通信数据传输流量、所述蜜罐虚拟机监控感知的系统行为数据的传输流量,所述蜜罐系统网页端与后台服务器的通信数据传输流量。
进一步地,在本发明的一个实施例中,根据通信标识和通信特征判断满足所述预设放行条件,且根据通信规则检测是否为所述恶意通信流量。
为达到上述目的,本发明另一方面实施例提出了一种基于高交互蜜罐系统的行为激发装置,包括:第一获取模块,用于获取高交互蜜罐系统的通信流量;第一判断模块,用于判断所述通信流量是否满足预设放行条件;第二判断模块,用于如果不满足所述预设放行条件,则确定为非蜜罐网断流量,并进一步判断是否为恶意通信流量;牵引模块,用于如果为所述恶意通信流量,则修改流量导向规则,以将所述通信流量随机牵引至其他蜜罐,并获取攻击动作。
本发明实施例的基于高交互蜜罐系统的行为激发装置,可以在判定为恶意通信流量时,将恶意通信流量牵引至其他蜜罐,使更多的蜜罐能感知,同时保证主机安全,有效提高安全性。
进一步地,在本发明的一个实施例中,还包括:第二获取模块,用于获取蜜罐虚拟网卡流量;识别模块,用于识别所述虚拟网卡流量的ddos流量,并进行丢包处理。
进一步地,在本发明的一个实施例中,所述预设放行条件为所述通信流量为所述高交互蜜罐系统的自身流量或者蜜罐虚拟机访问远程控制服务器流量。
进一步地,在本发明的一个实施例中,所述高交互蜜罐系统的自身流量为主机与所述蜜罐虚拟机的通信数据传输流量、所述蜜罐虚拟机监控感知的系统行为数据的传输流量,所述蜜罐系统网页端与后台服务器的通信数据传输流量。
进一步地,在本发明的一个实施例中,根据通信标识和通信特征判断满足所述预设放行条件,且根据通信规则检测是否为所述恶意通信流量。
本发明附加的方面和优点将在下面的描述中部分给出,部分将从下面的描述中变得明显,或通过本发明的实践了解到。
附图说明
本发明上述的和/或附加的方面和优点从下面结合附图对实施例的描述中将变得明显和容易理解,其中:
图1为根据本发明实施例的基于高交互蜜罐系统的行为激发方法的流程图;
图2为根据本发明一个具体实施例的基于高交互蜜罐系统的行为激发方法的流程图;以及
图3为根据本发明实施例的基于高交互蜜罐系统的行为激发装置的结构示意图。
具体实施方式
下面详细描述本发明的实施例,所述实施例的示例在附图中示出,其中自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过参考附图描述的实施例是示例性的,旨在用于解释本发明,而不能理解为对本发明的限制。
下面参照附图描述根据本发明实施例提出的基于高交互蜜罐系统的行为激发方法及装置,首先将参照附图描述根据本发明实施例提出的基于高交互蜜罐系统的行为激发方法。
图1是本发明实施例的基于高交互蜜罐系统的行为激发方法的流程图。
如图1所示,该基于高交互蜜罐系统的行为激发方法包括以下步骤:
在步骤S101中,获取高交互蜜罐系统的通信流量。
可以理解的是,本发明实施例的蜜罐系统可以拥有多个节点设备,每个节点设备分为host主机和蜜罐虚拟机两部分。蜜罐系统自身通信流量的产生包括以下几个点:host主机与蜜罐虚拟机之间管理相关的通信数据传输、蜜罐虚拟机监控感知的系统行为数据的传输,蜜罐系统web端与后台服务器的通信数据传输,并对以上通信数据进行数据验证。
在步骤S102中,判断通信流量是否满足预设放行条件。
其中,在本发明的一个实施例中,预设放行条件为通信流量为高交互蜜罐系统的自身流量或者蜜罐虚拟机访问远程控制服务器流量。
可以理解的是,本发明实施例可以对通信流量判断是否满足预设放行条件,其中,通信流量为高交互蜜罐系统的自身流量或者蜜罐虚拟机访问远程控制服务器流量为允许放行条件。
也就是说,如果识别蜜罐系统自身通信流量或者利用通信特征识别出蜜罐访问远程控制端的通信流量,允许其正常通信,即满足预设放行条件,允许放行。
在步骤S103中,如果不满足预设放行条件,则确定为非蜜罐网断流量,并进一步判断是否为恶意通信流量。
其中,在本发明的一个实施例中,根据通信标识和通信特征判断满足预设放行条件,且根据通信规则检测是否为恶意通信流量。
可以理解的是,本发明实施例可以识别蜜罐虚拟机ip访问非蜜罐网段通信流量,并通过通信规则检测识别出是否为恶意通信流量。
在步骤S104中,如果为恶意通信流量,则修改流量导向规则,以将通信流量随机牵引至其他蜜罐,并获取攻击动作。
可以理解的是,本发明实施例可以通过动态修改流量导向规则,将流量牵引至另一个蜜罐虚拟机获取攻击动作同时保障其它非蜜罐系统安全。
进一步地,在本发明的一个实施例中,本发明实施例的方法还包括:获取蜜罐虚拟网卡流量;识别虚拟网卡流量的ddos流量,并进行丢包处理。
可以理解的是,本发明实施例可以实时获取蜜罐虚拟网卡流量,识别ddos流量,进行丢包处理。
进一步地,在本发明的一个实施例中,高交互蜜罐系统的自身流量为主机与蜜罐虚拟机的通信数据传输流量、蜜罐虚拟机监控感知的系统行为数据的传输流量,蜜罐系统网页端与后台服务器的通信数据传输流量。
举例而言,蜜罐虚拟机在运行的过程中,入侵者通过端口扫描器扫描到蜜罐虚拟机开放了445服务端口,该服务存在远程代码执行漏洞,对应漏洞编号cve-2017-0143,并通过漏洞利用工具,入侵者在向蜜罐虚拟机系统进程lsass.exe注入了下载者dll,系统进程加载下载者dll后,下载并执行了dll写入的url对应的木马样本,入侵者便可通过木马程序远程控制被入侵的蜜罐虚拟机,如果入侵者通过查看环境发现当前是个蜜罐虚拟机系统,而没有其他的途径进入内网时,入侵者可能会尝试入侵能与蜜罐虚拟机通信的主机系统,这时如果不采集流量牵引机制,主机就存在被攻陷的可能,主机被攻陷后,黑客便可进行内网漫游,感染传播其他的业务机器。通过流量迁移,本发明实施例可以将访问主机的流量导向其他的蜜罐机器,让黑客的入侵动作能够被其他的蜜罐虚拟机感知,同时也能保证主机的安全。
如图2所示,在本发明的一个具体实施例中,本发明实施例的基于高交互蜜罐系统的行为激发方法步骤如下:
在步骤S0中:蜜罐系统可以创建不同类型的蜜罐虚拟机pot0、pot1、pot3……potN,蜜罐系统统一管理创建的蜜罐虚拟机的流量,让创建的蜜罐虚拟机流量从同一个网卡进行流入与流出,当创建新的蜜罐虚拟机时,为蜜罐虚拟机分配唯一id,并且分配对应的蜜罐虚拟机ip地址,统一记录管理蜜罐虚拟机,防止蜜罐虚拟机脱离控制。
在步骤S1中:实时获取蜜罐虚拟网卡流量,通过流量检测程序,识别ddos流量,进行丢包处理。
在步骤S2中:蜜罐系统拥有多个节点设备,每个节点设备分为host主机和蜜罐虚拟机两部分。蜜罐系统自身通信流量的产生划分为以下几个点:
(1)host主机与蜜罐虚拟机之间管理相关的通信数据传输data0。
(2)蜜罐虚拟机监控感知的系统行为数据的传输data1。
(3)蜜罐系统web端与后台服务器的通信数据传输data2。
在步骤S3中:对产生data0、data1、data2数据的服务之间的通信进行通信标识。
在步骤S4中:通过蜜罐系统自身的通信标识,识别蜜罐系统自身通信流量data0、data1、data2三种类型的流量后,允许其正常通信。
在步骤S5中:利用通信特征识别出蜜罐虚拟机pot0访问远程控制端的通信流量,允许其正常通信。
在步骤S6中:识别蜜罐虚拟机pot0访问非蜜罐网段通信流量,通过通信规则检测、识别出为恶意通信流量,动态修改流量导向规则,将流量随机牵引至另一个蜜罐potN获取攻击动作同时保障其它非蜜罐系统安全。
根据本发明实施例提出的基于高交互蜜罐系统的行为激发方法,可以在判定为恶意通信流量时,将恶意通信流量牵引至其他蜜罐,有效的保护了非蜜罐系统的安全,使更多的蜜罐能感知,同时保证主机安全,有效提高安全性。
其次参照附图描述根据本发明实施例提出的基于高交互蜜罐系统的行为激发装置。
图3是本发明实施例的基于高交互蜜罐系统的行为激发装置的结构示意图。
如图3所示,该基于高交互蜜罐系统的行为激发装置10包括:第一获取模块100、第一判断模块200、第二判断模块300和牵引模块400。
其中,第一获取模块100用于获取高交互蜜罐系统的通信流量。第一判断模块200用于判断通信流量是否满足预设放行条件。第二判断模块300用于如果不满足预设放行条件,则确定为非蜜罐网断流量,并进一步判断是否为恶意通信流量。牵引模块400用于如果为恶意通信流量,则修改流量导向规则,以将通信流量随机牵引至其他蜜罐,并获取攻击动作。本发明实施例的装置10可以在判定为恶意通信流量时,将恶意通信流量牵引至其他蜜罐,有效提高安全性。
进一步地,在本发明的一个实施例中,本发明实施例的装置10还包括:第二获取模块和识别模块。其中,第二获取模块用于获取蜜罐虚拟网卡流量。识别模块用于识别虚拟网卡流量的ddos流量,并进行丢包处理。
进一步地,在本发明的一个实施例中,预设放行条件为通信流量为高交互蜜罐系统的自身流量或者蜜罐虚拟机访问远程控制服务器流量。
进一步地,在本发明的一个实施例中,高交互蜜罐系统的自身流量为主机与蜜罐虚拟机的通信数据传输流量、蜜罐虚拟机监控感知的系统行为数据的传输流量,蜜罐系统网页端与后台服务器的通信数据传输流量。
进一步地,在本发明的一个实施例中,根据通信标识和通信特征判断满足预设放行条件,且根据通信规则检测是否为恶意通信流量。
需要说明的是,前述对基于高交互蜜罐系统的行为激发方法实施例的解释说明也适用于该实施例的基于高交互蜜罐系统的行为激发装置,此处不再赘述。
根据本发明实施例提出的基于高交互蜜罐系统的行为激发装置,可以在判定为恶意通信流量时,将恶意通信流量牵引至其他蜜罐,有效的保护了非蜜罐系统的安全,使更多的蜜罐能感知,同时保证主机安全,有效提高安全性。
在本发明的描述中,需要理解的是,术语“中心”、“纵向”、“横向”、“长度”、“宽度”、“厚度”、“上”、“下”、“前”、“后”、“左”、“右”、“竖直”、“水平”、“顶”、“底”“内”、“外”、“顺时针”、“逆时针”、“轴向”、“径向”、“周向”等指示的方位或位置关系为基于附图所示的方位或位置关系,仅是为了便于描述本发明和简化描述,而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作,因此不能理解为对本发明的限制。
此外,术语“第一”、“第二”仅用于描述目的,而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此,限定有“第一”、“第二”的特征可以明示或者隐含地包括至少一个该特征。在本发明的描述中,“多个”的含义是至少两个,例如两个,三个等,除非另有明确具体的限定。
在本发明中,除非另有明确的规定和限定,术语“安装”、“相连”、“连接”、“固定”等术语应做广义理解,例如,可以是固定连接,也可以是可拆卸连接,或成一体;可以是机械连接,也可以是电连接;可以是直接相连,也可以通过中间媒介间接相连,可以是两个元件内部的连通或两个元件的相互作用关系,除非另有明确的限定。对于本领域的普通技术人员而言,可以根据具体情况理解上述术语在本发明中的具体含义。
在本发明中,除非另有明确的规定和限定,第一特征在第二特征“上”或“下”可以是第一和第二特征直接接触,或第一和第二特征通过中间媒介间接接触。而且,第一特征在第二特征“之上”、“上方”和“上面”可是第一特征在第二特征正上方或斜上方,或仅仅表示第一特征水平高度高于第二特征。第一特征在第二特征“之下”、“下方”和“下面”可以是第一特征在第二特征正下方或斜下方,或仅仅表示第一特征水平高度小于第二特征。
在本说明书的描述中,参考术语“一个实施例”、“一些实施例”、“示例”、“具体示例”、或“一些示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本发明的至少一个实施例或示例中。在本说明书中,对上述术语的示意性表述不必须针对的是相同的实施例或示例。而且,描述的具体特征、结构、材料或者特点可以在任一个或多个实施例或示例中以合适的方式结合。此外,在不相互矛盾的情况下,本领域的技术人员可以将本说明书中描述的不同实施例或示例以及不同实施例或示例的特征进行结合和组合。
尽管上面已经示出和描述了本发明的实施例,可以理解的是,上述实施例是示例性的,不能理解为对本发明的限制,本领域的普通技术人员在本发明的范围内可以对上述实施例进行变化、修改、替换和变型。

Claims (8)

1.一种基于高交互蜜罐系统的行为激发方法,其特征在于,包括以下步骤:
获取高交互蜜罐系统的通信流量;
判断所述通信流量是否满足预设放行条件;
如果不满足所述预设放行条件,则确定为非蜜罐网断流量,并进一步判断是否为恶意通信流量;以及
如果为所述恶意通信流量,则修改流量导向规则,以将所述通信流量随机牵引至其他蜜罐虚拟机,并获取攻击动作;
其中,根据通信标识和通信特征判断满足所述预设放行条件,且根据通信规则检测是否为所述恶意通信流量,所述通信标识是预设的产生所述高交互蜜罐系统的自身流量的服务之间的通信的标识。
2.根据权利要求1所述的基于高交互蜜罐系统的行为激发方法,其特征在于,还包括:
获取蜜罐虚拟网卡流量;
识别所述虚拟网卡流量的ddos流量,并进行丢包处理。
3.根据权利要求1所述的基于高交互蜜罐系统的行为激发方法,其特征在于,所述预设放行条件为所述通信流量为所述高交互蜜罐系统的自身流量或者蜜罐虚拟机访问远程控制服务器流量。
4.根据权利要求3所述的基于高交互蜜罐系统的行为激发方法,其特征在于,所述高交互蜜罐系统的自身流量为主机与所述蜜罐虚拟机的通信数据传输流量、所述蜜罐虚拟机监控感知的系统行为数据的传输流量,所述蜜罐系统网页端与后台服务器的通信数据传输流量。
5.一种基于高交互蜜罐系统的行为激发装置,其特征在于,包括:
第一获取模块,用于获取高交互蜜罐系统的通信流量;
第一判断模块,用于判断所述通信流量是否满足预设放行条件;
第二判断模块,用于如果不满足所述预设放行条件,则确定为非蜜罐网断流量,并进一步判断是否为恶意通信流量,第二判断模块具体用于根据通信标识和通信特征判断满足所述预设放行条件,且根据通信规则检测是否为所述恶意通信流量,所述通信标识是预设的产生所述高交互蜜罐系统的自身流量的服务之间的通信的标识;以及
牵引模块,用于如果为所述恶意通信流量,则修改流量导向规则,以将所述通信流量随机牵引至其他蜜罐虚拟机,并获取攻击动作。
6.根据权利要求5所述的基于高交互蜜罐系统的行为激发装置,其特征在于,还包括:
第二获取模块,用于获取蜜罐虚拟网卡流量;
识别模块,用于识别所述虚拟网卡流量的ddos流量,并进行丢包处理。
7.根据权利要求5所述的基于高交互蜜罐系统的行为激发装置,其特征在于,所述预设放行条件为所述通信流量为所述高交互蜜罐系统的自身流量或者蜜罐虚拟机访问远程控制服务器流量。
8.根据权利要求7所述的基于高交互蜜罐系统的行为激发装置,其特征在于,所述高交互蜜罐系统的自身流量为主机与所述蜜罐虚拟机的通信数据传输流量、所述蜜罐虚拟机监控感知的系统行为数据的传输流量,所述蜜罐系统网页端与后台服务器的通信数据传输流量。
CN201711487771.8A 2017-12-29 2017-12-29 基于高交互蜜罐系统的行为激发方法及装置 Active CN109995716B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201711487771.8A CN109995716B (zh) 2017-12-29 2017-12-29 基于高交互蜜罐系统的行为激发方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201711487771.8A CN109995716B (zh) 2017-12-29 2017-12-29 基于高交互蜜罐系统的行为激发方法及装置

Publications (2)

Publication Number Publication Date
CN109995716A CN109995716A (zh) 2019-07-09
CN109995716B true CN109995716B (zh) 2021-07-30

Family

ID=67110601

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201711487771.8A Active CN109995716B (zh) 2017-12-29 2017-12-29 基于高交互蜜罐系统的行为激发方法及装置

Country Status (1)

Country Link
CN (1) CN109995716B (zh)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110798482B (zh) * 2019-11-11 2022-06-07 杭州安恒信息技术股份有限公司 基于linux网络过滤器的系统级蜜罐网络隔离系统
CN113364723A (zh) * 2020-03-05 2021-09-07 奇安信科技集团股份有限公司 DDoS攻击监控方法及装置、存储介质、计算机设备
CN113259387B (zh) * 2021-06-21 2021-09-24 江苏天翼安全技术有限公司 一种基于虚拟交换的防止蜜罐被控成为跳板机的方法
CN115664786A (zh) * 2022-10-24 2023-01-31 惠州市德赛西威智能交通技术研究院有限公司 一种汽车防御方法、防御系统、蜜罐系统和存储介质

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101119369A (zh) * 2007-08-14 2008-02-06 北京大学 一种网络数据流的安全检测方法及其系统
CN107360145A (zh) * 2017-06-30 2017-11-17 北京航空航天大学 一种多节点蜜罐系统及其数据分析方法

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101087196B (zh) * 2006-12-27 2011-01-26 北京大学 多层次蜜网数据传输方法及系统
CN103139184B (zh) * 2011-12-02 2016-03-30 中国电信股份有限公司 智能网络防火墙设备及网络攻击防护方法
CN102739647A (zh) * 2012-05-23 2012-10-17 国家计算机网络与信息安全管理中心 基于高交互蜜罐的网络安全系统及实现方法
CN102882884B (zh) * 2012-10-13 2014-12-24 国家电网公司 信息化生产环境下基于蜜网的风险预警系统及方法
US9178899B2 (en) * 2013-08-28 2015-11-03 Bank Of America Corporation Detecting automated site scans
US9609019B2 (en) * 2014-05-07 2017-03-28 Attivo Networks Inc. System and method for directing malicous activity to a monitoring system

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101119369A (zh) * 2007-08-14 2008-02-06 北京大学 一种网络数据流的安全检测方法及其系统
CN107360145A (zh) * 2017-06-30 2017-11-17 北京航空航天大学 一种多节点蜜罐系统及其数据分析方法

Also Published As

Publication number Publication date
CN109995716A (zh) 2019-07-09

Similar Documents

Publication Publication Date Title
CN109995716B (zh) 基于高交互蜜罐系统的行为激发方法及装置
CN107659583B (zh) 一种检测事中攻击的方法及系统
CN109660502A (zh) 异常行为的检测方法、装置、设备及存储介质
CN109167781B (zh) 一种基于动态关联分析的网络攻击链识别方法和装置
CN103384888A (zh) 用于恶意软件的检测和扫描的系统和方法
CN109474625A (zh) 网络安全防护方法、装置及嵌入式系统
US10033761B2 (en) System and method for monitoring falsification of content after detection of unauthorized access
CN109413091A (zh) 一种基于物联网终端的网络安全监控方法和装置
KR20090121579A (ko) 서버의 취약점을 점검하기 위한 시스템 및 그 방법
CN113839935B (zh) 网络态势感知方法、装置及系统
CN109995705B (zh) 基于高交互蜜罐系统的攻击链检测方法及装置
CN107465702B (zh) 基于无线网络入侵的预警方法及装置
CN103150511A (zh) 一种安全防护系统
CN114257413B (zh) 基于应用容器引擎的反制阻断方法、装置和计算机设备
JP2014086821A (ja) 不正コネクション検出方法、ネットワーク監視装置及びプログラム
CN110336835A (zh) 恶意行为的检测方法、用户设备、存储介质及装置
CN110839025A (zh) 中心化web渗透检测蜜罐方法、装置、系统及电子设备
JP5656266B2 (ja) ブラックリスト抽出装置、抽出方法および抽出プログラム
CN109120626A (zh) 安全威胁处理方法、系统、安全感知服务器及存储介质
Kim et al. Agent-based honeynet framework for protecting servers in campus networks
CN108737421B (zh) 一种发现网络内潜在威胁的方法、系统、装置及存储介质
KR20090111416A (ko) 악성 사이트 검사 방법, 악성 사이트 정보 수집 방법,장치, 시스템 및 컴퓨터 프로그램이 기록된 기록매체
CN110099041A (zh) 一种物联网防护方法及设备、系统
KR101725404B1 (ko) 웹사이트 점검 장치 및 그 방법
CN112152972A (zh) 检测iot设备漏洞的方法和装置、路由器

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant