CN110099040B - 一种基于大量部署诱饵主机探测拦截内网攻击源的防御方法 - Google Patents

一种基于大量部署诱饵主机探测拦截内网攻击源的防御方法 Download PDF

Info

Publication number
CN110099040B
CN110099040B CN201910154168.0A CN201910154168A CN110099040B CN 110099040 B CN110099040 B CN 110099040B CN 201910154168 A CN201910154168 A CN 201910154168A CN 110099040 B CN110099040 B CN 110099040B
Authority
CN
China
Prior art keywords
intranet
host
bait
hosts
network
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201910154168.0A
Other languages
English (en)
Other versions
CN110099040A (zh
Inventor
卿婷
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Jiangsu Jiyuan Information Technology Co ltd
Original Assignee
Jiangsu Jiyuan Information Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Jiangsu Jiyuan Information Technology Co ltd filed Critical Jiangsu Jiyuan Information Technology Co ltd
Priority to CN201910154168.0A priority Critical patent/CN110099040B/zh
Publication of CN110099040A publication Critical patent/CN110099040A/zh
Application granted granted Critical
Publication of CN110099040B publication Critical patent/CN110099040B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1491Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/146Tracing the source of attacks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/10Active monitoring, e.g. heartbeat, ping or trace-route
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/09Mapping addresses
    • H04L61/10Mapping addresses of different types
    • H04L61/103Mapping addresses of different types across network layers, e.g. resolution of network layer into physical layer addresses or address resolution protocol [ARP]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种基于大量部署诱饵主机探测拦截内网攻击源的防御方法,包括如下步骤:步骤1:设计交换设备,组建网桥br0;步骤2:将计算机或者工业控制计算机通过网线连接到交换设备;步骤3:在内网中,交换设备进行ARP Ping存活探测;步骤4:交换设备虚拟出诱饵主机;步骤5:黑客进入内网,进行内网渗透,黑客探测到诱饵主机,并进行攻击;步骤6:抵御黑客或者勒索病毒的攻击。本发明可以结合基于CPU的交换设备,部署在基于TCP/IP的所有内网系统中,具有广泛的应用前景。

Description

一种基于大量部署诱饵主机探测拦截内网攻击源的防御方法
技术领域
本发明涉及计算机网络内网防护领域,具体涉及一种基于大量部署诱饵主机探测拦截内网攻击源的防御方法。
背景技术
“南北”向流量指由外网流向内网的流量,一般防火墙部署在网络的出口处,用于“南北”向流量的安全防护。“东西”向流量指网络内部服务器彼此相互访问所产生的内部流量,据统计,目前数据中心75%以上的流量为“东西”向流量。无论是窃取私人信息还是破坏他人声誉,无论是摧毁政府关键基础设施还是让企业处于风险之中,当今的网络犯罪分子正在不断试探网络的安全性和适应性的底线。
尽管技术的发展,随着计算能力、存储能力的大幅度提升,同时“南北”向流量通过边界安全防护已经得到极大的保护,但是“东西”流量(内部边界)的安全,始终是安全防护最薄弱的地方。近期的勒索病毒、黑客的内网渗透,更是撕开了“东西”向流量防护的缺口,任意攻击破坏,给内网安全带来了极大的风险。
(1)传统内网安全防护是采用安全域划分的方式,一般通过划分VLAN/子网的方式进行隔离,并通过防火墙进行控制,这样传统的管理方式带来了以下几个问题:
a)主机数量的增加,使得过大的VLAN/子网划分会给攻击者提供较大的攻击范围,一旦有一台主机被控制,东西流量的防护就会彻底奔溃;
b)安全域的细分,部署大量的防火墙做内网访问控制,是很难实现的;
c)在新增或者改变原有业务的时候,安全人员必须手动修改安全策略,容易造成配置错误;
d)网络拓扑体量大了以后,防火墙的配置容易出错;
e)0day新发现的安全漏洞的每天更新,导致了传统的防护措施不能及时更新,会导致攻击、病毒大量传播;
f)内部人员的外部访问、带来的外部U盘导致外部病毒、木马在内部网络传播无法得到有效的控制。
(2)传统的蜜罐技术本质上是一种对攻击方进行欺骗的技术,通过布置一些作为诱饵的主机、网络服务或者信息,诱使攻击方对它们实施攻击,从而可以对攻击行为进行捕获和分析,了解攻击方所使用的工具与方法,推测攻击意图和动机,能够让防御方清晰地了解他们所面对的安全威胁,并通过技术和管理手段来增强实际系统的安全防护能力。部署蜜罐存在以下无法解决的问题:
a)蜜罐技术通过虚拟化技术,需要消耗大量的计算和存储资源,一般产生的蜜罐主机数量有限,一般在10个以内。攻击者进入蜜罐环境的概率很低;
b)部署一个蜜罐或蜜网时,保密极为重要。如果攻击者知道这是一个陷阱,除一些自动化的攻击工具(如一些蠕虫)外,攻击者不会尝试攻击它;
c)一些低交互性的蜜罐,其模拟的服务,会很容易被攻击者识别出蜜罐的身份。对于一个复杂系统的任何模仿总与真实的系统有不同点;
d)如果一个高交互性的蜜罐被破坏或利用,那么攻击者会尝试将它用作一个破坏或控制其它系统的中转跳板;
e)由于内网的交换环境是一个完全放行的环境,蜜罐无法快速对内网的攻击者做出快速的拦截措施;
因此,需要一种能够解决当前内网东西向流量安全防护问题的方法。
发明内容
为了克服现有技术中存在的不足,提供了一种基于大量部署诱饵主机探测拦截内网攻击源的防御方法,是一种防止勒索病毒爆发和阻止黑客渗透的攻击发现和安全防护技术,解决了内网中网络攻击难以发现和拦截的问题。
为实现上述目的,本发明提供了一种基于大量部署诱饵主机探测拦截内网攻击源的防御方法,包括如下步骤:
步骤1:设计交换设备,组建网桥br0;
步骤2:将计算机或者工业控制计算机通过网线连接到交换设备;
步骤3:在内网中,交换设备进行ARP Ping存活探测;
步骤4:交换设备虚拟出诱饵主机;
步骤5:黑客进入内网,进行内网渗透,黑客探测到诱饵主机,并进行攻击;
步骤6:抵御黑客或者勒索病毒的攻击。
进一步改进,所述的步骤1:设计交换设备,组建网桥br0的具体步骤如下:
1)设计一种交换设备,该交换设备上有多个网络接口,每个网络接口连接到网络芯片,每个网络接口均可独立控制;
2)网络芯片通过PCI-E Switch芯片连接到CPU的PCI-E总线;
3)交换设备连接有用于安装运行嵌入式操作系统的存储设备;
4)在交换设备上面运行一个嵌入式操作系统;
5)在嵌入式操作系统中将多个网络接口组成一个网桥br0,并给网桥br0绑定一个内网地址。
进一步改进,所述步骤3:在内网中,交换设备进行ARP Ping存活探测的具体步骤为:
3-1:通过网桥br0的内网地址向整个内网发送ARP Ping广播报文;
3-2:通过ARP Ping判断内网存活的主机,并记录没有存活主机的IP和MAC地址。
进一步改进,所述的ARP Ping存活探测具体为对整个内网发送ARP Ping广播报文,确认内网存活的真实主机IP地址。
进一步改进,所述步骤4:交换设备虚拟出诱饵主机的具体步骤为:
4-1:在网桥br0上面批量绑定没有存活主机的IP和MAC地址,作为诱饵主机的IP和MAC地址;
4-2:在没有存活主机的IP上面开启监听常用网络端口,如22/139/445/1433/1521/3389等常用端口,作为诱饵端口;
4-3:交换设备通过CPU和内存在网络里面虚拟产生超过真实主机数量1万台诱饵主机,那么攻击者在进行攻击时,有极大的概率访问到诱饵主机。
进一步改进,所述步骤5:黑客进入内网,进行内网渗透,黑客探测到诱饵主机,并进行攻击的具体步骤为:当攻击者访问到诱饵主机的诱饵端口,通过病毒或木马进行攻击,来获取控制权,诱饵主机立即记录攻击者的IP。
进一步改进,所述步骤6:抵御黑客或者勒索病毒的攻击的具体步骤为:
6-1:在网桥br0上丢弃所有来自于攻击者IP地址的数据包,阻止内网黑客攻击或者勒索病毒的传播;
6-2:诱饵主机受到攻击并到达3次以上的攻击次数,诱饵主机会通知交换设备攻击机的IP地址,交换设备会立刻对该黑客攻击主机进行阻断并封锁所有端口,避免攻击主机去攻击其它真实主机或诱饵主机,从而抵御黑客或者勒索病毒的攻击。
进一步改进,所述的交换设备为通过CPU、网络芯片和多个网络接口组合而成的工业计算机,该工业计算机包括主板、CPU、DDRIII 2G内存、128G SSD存储设备、Inter I211AT网络芯片以及电源,组装成该交换设备;该主板包括CPU,与与CPU通过PCI-E Switch交换芯片相连接的48个RJ45网络接口,1个VGA接口,1个SATA接口,1个mSATA接口,4个USB接口、1个DDR3L SO-DIMM Slot接口以及1个Super I/O输入端口;所述的48个RJ45网络接口分为多组通过1转3转换插座、1转15转换插座分别对应与网络芯片的多个PCI-E接口相连。
进一步改进,所述的Super I/O输入端口连接2个COM接口。
进一步改进,所述网络芯片为Intel Celeron J1900或其他处理器系统芯片。
该交换设备部署在内网中,替代传统的交换机;通过对整个内网发送ARP PING(ARP,Address Resolution Protocol,是根据IP地址获取物理地址的一个TCP/IP协议)广播报文,确认内网存活的真实主机IP地址;接着,在不存活主机的IP地址中投放大量的虚拟的诱饵主机;该交换设备通过CPU和内存在网络层虚拟出可达真实主机1万倍数量的诱饵主机(比如真实主机100台,诱饵主机为100万台);诱饵主机有虚拟的IP地址和TCP端口,内部或者外部设备可以PING通并可以访问这些诱饵主机开放端口。
当黑客进行内网渗透时,从内网中获得真实的主机概率为0.001%(扫描所有主机的成本过高,也难以实现),因此,黑客攻击到诱饵主机的概率将高达99.99%。一旦诱饵主机受到攻击并到达一定次数,诱饵主机会通知交换设备攻击机的IP地址,交换设备会立刻对该黑客攻击主机进行阻断并封锁所有端口,避免攻击主机去攻击其它真实主机或诱饵主机,从而抵御黑客或者勒索病毒的攻击。
与现有技术相比,本发明的有益效果在于:
本发明提供了一种有效地进行内网(“东西”向流量)的安全防护,提高了引诱攻击者进入诱饵主机的概率,降低了攻击者访问到真实主机的概率,能用于解决勒索病毒爆发、黑客进行内网渗透的安全问题,而且能准确定位攻击主机的IP地址,并有效封锁。本发明可以结合基于CPU的交换设备,部署在基于TCP/IP的所有内网系统中,具有广泛的应用前景。
附图说明
图1为本发明的交换设备的主板结构示意图;
图2为本发明的流程图。
具体实施方式
下面结合附图和具体实施例,进一步阐明本发明,应理解这些实施例仅用于说明本发明而不用于限制本发明的范围,在阅读了本发明之后,本领域技术人员对本发明的各种等价形式的修改均落于本申请所附权利要求所限定的范围。
本发明提供一种交换设备,该交换设备为通过CPU、网络芯片和多个网络接口组合而成的工业计算机,该工业计算机主要包括主板、CPU(Inter CeleronJ1900)、DDRIII 2G内存、128G SSD存储设备、Inter I211AT网络芯片以及电源,组装成该交换设备;如图1所示,该主板上包括CPU(Intel Celeron j1900处理器系统芯片),与CPU通过PCI-E Switch交换芯片相连接的48个RJ45网络接口,1个VGA接口,1个SATA接口,1个mSATA接口,4个USB接口、1个DDR3L SO-DIMM Slot接口以及1个Super I/O输入端口;所述的48个RJ45网络接口分为多组通过多个Inter I211AT网络芯片与1转3转换插座(1转3Switch芯片)、1转15转换插座(1转15Switch芯片)相接,再通过1转3转换插座(1转3Switch芯片)、1转15转换插座(1转15Switch芯片)分别对应与CPU(Intel Celeron J1900处理器系统芯片)的多个PCI-E接口相连,所述的Super I/O输入端口连接2个COM接口。该主板连接有用于安装运行嵌入式操作系统的128G SSD存储设备,在嵌入式操作系统中将多个网络接口组成一个网桥br0,并给网桥br0绑定一个内网地址。
如图2所示,一种基于大量部署诱饵主机探测拦截内网攻击源的防御方法,包括如下步骤:
步骤1:设计交换设备,组建网桥br0:具体步骤为:
1-1:设计一种交换设备,该交换设备上有48个网络接口,每个网络接口连接到网络芯片,每个网络接口均可独立控制;
1-2:网络芯片通过PCI-E Switch芯片连接到CPU的PCI-E总线;
1-3:交换设备连接有用于安装运行嵌入式操作系统的存储设备;
1-4:在交换设备上面运行一个嵌入式操作系统,如Linux操作系统;
1-5:在嵌入式操作系统中将48个网络接口组成一个网桥br0,并给网桥br0绑定一个内网地址;
步骤2:将计算机或者工业控制计算机通过网线连接到交换设备;
步骤3:在内网中,交换设备进行ARP Ping存活探测:具体步骤为:
3-1:通过网桥br0的内网地址向整个内网发送ARP Ping广播报文;
3-2:通过ARP Ping判断内网存活的主机,并记录没有存活主机的IP和MAC地址;
步骤4:交换设备虚拟出诱饵主机:具体步骤为:
4-1:在网桥br0上面批量绑定没有存活主机的IP和MAC地址,作为诱饵主机的IP和MAC地址;
4-2:在没有存活主机的IP上面开启监听常用网络端口,如22/139/445/1433/1521/3389等常用端口,作为诱饵端口;
4-3:交换设备通过CPU和内存在网络里面虚拟产生超过真实主机数量1万台诱饵主机(例如真实主机100台,诱饵主机为100万台),那么攻击者在进行攻击时,有极大的概率访问到诱饵主机;
步骤5:黑客进入内网,进行内网渗透,黑客探测到诱饵主机,并进行攻击:具体步骤为当攻击者访问到诱饵主机的诱饵端口,通过病毒或木马进行攻击,来获取控制权,诱饵主机立即记录攻击者的IP;
步骤6:抵御黑客或者勒索病毒的攻击:具体步骤为:
6-1:在网桥br0上丢弃所有来自于攻击者IP地址的数据包,阻止内网黑客攻击或者勒索病毒的传播;
6-2:诱饵主机受到攻击并到达所设定好的攻击次数(大于3次),诱饵主机会通知交换设备攻击机的IP地址,交换设备会立刻对该黑客攻击主机进行阻断并封锁所有端口,避免攻击主机去攻击其它真实主机或诱饵主机,从而抵御黑客或者勒索病毒的攻击。
实施例1:
某内网里有20台计算机,30台CNC数控工业控制计算机(具有计算机CPU、硬盘、内存、外设及接口、并有实时的操作系统、控制网络和协议、计算能力,友好的人机界面等),通过TCP/IP协议进行连接,之前通过48口的交换机2台组成局域网;现利用本申请的方法,用2台交换设备替换传统的交换机。主要工作原理如下:
1)交换设备组成一个网桥br0,并给网桥br0绑定一个内网地址(192.168.5.2),通过ARP Ping探测到20台计算机和30台CNC数控工业控制计算机的IP和MAC;
2)交换设备通过CPU和内存在网络层虚拟出500000个具有虚拟的IP和MAC的诱饵主机,并在网桥br0上面批量绑定;
3)当20台计算机里有一台计算机(192.168.5.88)被黑客控制,进行内网攻击其它计算机或CNC数控工业控制计算机;
4)黑客攻击到真实主机的概率为0.01%,攻击到诱饵主机的概率为99.99%;
5)当诱饵主机(192.168.6.55)受到黑客攻击的次数达到3次以后,通过网桥告知交换设备攻击者的计算机IP(192.168.5.88);
6)交换设备会立即对攻击者的计算机(192.168.5.88)阻断并封锁所有端口,黑客无法进行端口探测或攻击;
7)黑客攻击失败,东西向流量安全(内网安全)得到了保障。
上述方法有效地进行内网(“东西”向流量)的安全防护,提高了引诱攻击者进入诱饵主机的概率,降低了攻击者访问到真实主机的概率,能用于解决勒索病毒爆发、黑客进行内网渗透的安全问题,而且能准确定位攻击主机的IP地址,并有效封锁。本发明可以结合基于CPU的交换设备,部署在基于TCP/IP的所有内网系统中,具有广泛的应用前景。
以上所述仅是本发明的优选实施方式,应当指出,对于本领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以做出若干变型和改进,这些也应视为属于本发明的保护范围。

Claims (4)

1.一种基于大量部署诱饵主机探测拦截内网攻击源的防御方法,其特征在于:包括如下步骤:
步骤1:设计交换设备,组建网桥br0:
1.1:设计一种交换设备,该交换设备上有多个网络接口,每个网络接口连接到网络芯片;
1.2:网络芯片通过PCI-E Switch芯片连接到CPU的PCI-E总线;
1.3:交换设备的主板连接有用于安装运行嵌入式操作系统的存储设备;
1.4:在交换设备上面运行一个嵌入式操作系统;
1.5:在嵌入式操作系统中将多个网络接口组成一个网桥br0,并给网桥br0绑定一个内网地址;
步骤2:将计算机或者工业控制计算机通过网线连接到交换设备;
步骤3:在内网中,交换设备进行ARP Ping存活探测:
3.1:通过网桥br0的内网地址向整个内网发送ARP Ping 广播报文;
3.2:通过ARP Ping判断内网存活的主机,并记录没有存活主机的IP和MAC地址;
步骤4:交换设备虚拟出诱饵主机:
4.1:在网桥br0上面批量绑定没有存活主机的IP和MAC地址,作为诱饵主机的IP和MAC地址;
4.2:在没有存活主机的IP上面开启监听常用网络端口,作为诱饵端口;
4.3:交换设备通过CPU和内存在网络里面虚拟产生超过真实主机数量1万台诱饵主机,那么攻击者在进行攻击时,有极大的概率访问到诱饵主机;
步骤5:黑客进入内网,进行内网渗透,黑客探测到诱饵主机,并进行攻击:
当攻击者访问到诱饵主机的诱饵端口,通过病毒或木马进行攻击,来获取控制权,诱饵主机立即记录攻击者的IP;
步骤6:抵御黑客或者勒索病毒的攻击:
6.1:在网桥br0上丢弃所有来自于攻击者IP地址的数据包,阻止内网黑客攻击或者勒索病毒的传播;
6.2:诱饵主机受到攻击并到达3次以上的攻击次数,诱饵主机会通知交换设备攻击机的IP地址,交换设备会立刻对该黑客攻击主机进行阻断并封锁所有端口,避免攻击主机去攻击其它真实主机或诱饵主机,从而抵御黑客或者勒索病毒的攻击。
2.根据权利要求1所述的基于大量部署诱饵主机探测拦截内网攻击源的防御方法,其特征在于:所述的交换设备为一种工业计算机,该工业计算机主要包括主板、CPU、内存、存储设备、网络芯片以及电源,所述主板上包括CPU、与CPU通过PCI-E Switch交换芯片相连接的48个RJ45网络接口,1个VGA接口,1个SATA接口,1个mSATA接口,4个USB接口、1个DDR3LSO-DIMM Slot接口以及1个Super I/O输入端口。
3.根据权利要求2所述的基于大量部署诱饵主机探测拦截内网攻击源的防御方法,其特征在于:所述的Super I/O输入端口连接2个COM接口。
4.根据权利要求2所述的基于大量部署诱饵主机探测拦截内网攻击源的防御方法,其特征在于:所述交换设备的CPU为Intel CeleronJ1900或者其他处理器系统芯片。
CN201910154168.0A 2019-03-01 2019-03-01 一种基于大量部署诱饵主机探测拦截内网攻击源的防御方法 Active CN110099040B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201910154168.0A CN110099040B (zh) 2019-03-01 2019-03-01 一种基于大量部署诱饵主机探测拦截内网攻击源的防御方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201910154168.0A CN110099040B (zh) 2019-03-01 2019-03-01 一种基于大量部署诱饵主机探测拦截内网攻击源的防御方法

Publications (2)

Publication Number Publication Date
CN110099040A CN110099040A (zh) 2019-08-06
CN110099040B true CN110099040B (zh) 2021-11-30

Family

ID=67443131

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201910154168.0A Active CN110099040B (zh) 2019-03-01 2019-03-01 一种基于大量部署诱饵主机探测拦截内网攻击源的防御方法

Country Status (1)

Country Link
CN (1) CN110099040B (zh)

Families Citing this family (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110752989A (zh) * 2019-10-18 2020-02-04 苏州浪潮智能科技有限公司 一种东西向流量转发方法与装置
CN111565202B (zh) * 2020-07-15 2020-10-27 腾讯科技(深圳)有限公司 一种内网漏洞攻击防御方法及相关装置
CN112584383B (zh) * 2021-02-26 2021-06-11 深圳市乙辰科技股份有限公司 基于无线网络设备多网口的智能防火墙配置方法及装置
CN115134098B (zh) * 2021-03-12 2024-03-01 北京沃东天骏信息技术有限公司 一种黑客信息获取方法、装置、电子设备及存储介质
CN113660282A (zh) * 2021-08-23 2021-11-16 公安部第三研究所 一种基于可信计算的勒索病毒防御方法、系统及相关设备
CN113726802B (zh) * 2021-09-02 2023-02-03 中国人民解放军国防科技大学 一种网络病毒传播分析方法、装置、计算机设备和介质
CN114157454B (zh) * 2021-11-16 2024-04-02 中国工商银行股份有限公司 攻击反制方法、装置、计算机设备和存储介质
CN114157479B (zh) * 2021-12-01 2022-09-02 北京航空航天大学 一种基于动态欺骗的内网攻击防御方法
CN116055445A (zh) * 2022-12-21 2023-05-02 安天科技集团股份有限公司 一种蜜罐技术实现方法、装置及电子设备
CN117061253B (zh) * 2023-10-12 2023-12-22 南京赛宁信息技术有限公司 一种动态部署蜜罐的检测方法与系统

Citations (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101197649A (zh) * 2008-01-03 2008-06-11 福建星网锐捷网络有限公司 外部设备互联高速总线接口与交换机端口测试方法及系统
CN101277195A (zh) * 2007-03-30 2008-10-01 杭州华三通信技术有限公司 一种交换网通信系统、实现方法及交换装置
CN101299757A (zh) * 2008-05-23 2008-11-05 华为技术有限公司 一种数据共享方法及通讯系统以及相关设备
CN103749001B (zh) * 2010-06-09 2012-02-08 北京理工大学 内部网络安全监控系统的自身防护通用单元
CN103139184A (zh) * 2011-12-02 2013-06-05 中国电信股份有限公司 智能网络防火墙设备及网络攻击防护方法
CN103607399A (zh) * 2013-11-25 2014-02-26 中国人民解放军理工大学 基于暗网的专用ip网络安全监测系统及方法
CN103746956A (zh) * 2012-09-28 2014-04-23 瞻博网络公司 虚拟蜜罐
CN104702571A (zh) * 2013-12-06 2015-06-10 北京天地超云科技有限公司 一种Xen虚拟化环境下网络数据的入侵检测方法
CN107370756A (zh) * 2017-08-25 2017-11-21 北京神州绿盟信息安全科技股份有限公司 一种蜜网防护方法及系统
CN107809425A (zh) * 2017-10-20 2018-03-16 杭州默安科技有限公司 一种蜜罐部署系统
CN108683682A (zh) * 2018-06-04 2018-10-19 上海交通大学 一种基于软件定义网络的DDoS攻击检测及防御方法和系统

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103024028B (zh) * 2012-12-07 2015-05-13 武汉邮电科学研究院 一种云计算中虚拟机ip地址探测系统及方法
US9338183B2 (en) * 2013-11-18 2016-05-10 Harris Corporation Session hopping
US9525697B2 (en) * 2015-04-02 2016-12-20 Varmour Networks, Inc. Delivering security functions to distributed networks
CN106789865B (zh) * 2016-07-14 2020-06-02 深圳市永达电子信息股份有限公司 一种基于gre网络结合sdn技术和蜜罐技术的网络安全防护方法
CN108156163A (zh) * 2017-12-28 2018-06-12 广州锦行网络科技有限公司 基于蜜罐技术的多维欺骗诱饵实现系统及方法

Patent Citations (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101277195A (zh) * 2007-03-30 2008-10-01 杭州华三通信技术有限公司 一种交换网通信系统、实现方法及交换装置
CN101197649A (zh) * 2008-01-03 2008-06-11 福建星网锐捷网络有限公司 外部设备互联高速总线接口与交换机端口测试方法及系统
CN101299757A (zh) * 2008-05-23 2008-11-05 华为技术有限公司 一种数据共享方法及通讯系统以及相关设备
CN103749001B (zh) * 2010-06-09 2012-02-08 北京理工大学 内部网络安全监控系统的自身防护通用单元
CN103139184A (zh) * 2011-12-02 2013-06-05 中国电信股份有限公司 智能网络防火墙设备及网络攻击防护方法
CN103746956A (zh) * 2012-09-28 2014-04-23 瞻博网络公司 虚拟蜜罐
CN103607399A (zh) * 2013-11-25 2014-02-26 中国人民解放军理工大学 基于暗网的专用ip网络安全监测系统及方法
CN104702571A (zh) * 2013-12-06 2015-06-10 北京天地超云科技有限公司 一种Xen虚拟化环境下网络数据的入侵检测方法
CN107370756A (zh) * 2017-08-25 2017-11-21 北京神州绿盟信息安全科技股份有限公司 一种蜜网防护方法及系统
CN107809425A (zh) * 2017-10-20 2018-03-16 杭州默安科技有限公司 一种蜜罐部署系统
CN108683682A (zh) * 2018-06-04 2018-10-19 上海交通大学 一种基于软件定义网络的DDoS攻击检测及防御方法和系统

Also Published As

Publication number Publication date
CN110099040A (zh) 2019-08-06

Similar Documents

Publication Publication Date Title
CN110099040B (zh) 一种基于大量部署诱饵主机探测拦截内网攻击源的防御方法
CN110071929B (zh) 一种基于虚拟化平台的海量诱饵捕获攻击源的防御方法
Birkinshaw et al. Implementing an intrusion detection and prevention system using software-defined networking: Defending against port-scanning and denial-of-service attacks
DeCusatis et al. Implementing zero trust cloud networks with transport access control and first packet authentication
US10091238B2 (en) Deception using distributed threat detection
US10440055B2 (en) Apparatus and method for implementing network deception
EP2570954B1 (en) Method, device and system for preventing distributed denial of service attack in cloud system
Marin et al. An in-depth look into SDN topology discovery mechanisms: Novel attacks and practical countermeasures
US10033745B2 (en) Method and system for virtual security isolation
US20170026387A1 (en) Monitoring access of network darkspace
US20160191545A1 (en) Systems and methods for monitoring virtual networks
US11252183B1 (en) System and method for ransomware lateral movement protection in on-prem and cloud data center environments
KR20080063209A (ko) 엔드포인트 리소스를 사용하는 네트워크 보안 요소
Mell et al. A denial-of-service resistant intrusion detection architecture
US11303669B1 (en) System and method for tunneling endpoint traffic to the cloud for ransomware lateral movement protection
KR101156005B1 (ko) 네트워크 공격 탐지 및 분석 시스템 및 그 방법
Li et al. Evaluation of security vulnerabilities by using ProtoGENI as a launchpad
Khan et al. FML: A novel forensics management layer for software defined networks
CN112583845A (zh) 一种访问检测方法、装置、电子设备和计算机存储介质
Rahman et al. Holistic approach to arp poisoning and countermeasures by using practical examples and paradigm
KR101593897B1 (ko) 방화벽, ids 또는 ips를 우회하는 네트워크 스캔 방법
Mehta Distributed Denial of service Attacks on Cloud Environment.
CN105025067A (zh) 一种信息安全技术研究平台
Mutaher et al. OPENFLOW CONTROLLER-BASED SDN: SECURITY ISSUES AND COUNTERMEASURES.
Narwal et al. Game-theory based detection and prevention of DoS attacks on networking node in open stack private cloud

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant