CN110401638A - 一种网络流量分析方法及装置 - Google Patents
一种网络流量分析方法及装置 Download PDFInfo
- Publication number
- CN110401638A CN110401638A CN201910577110.7A CN201910577110A CN110401638A CN 110401638 A CN110401638 A CN 110401638A CN 201910577110 A CN201910577110 A CN 201910577110A CN 110401638 A CN110401638 A CN 110401638A
- Authority
- CN
- China
- Prior art keywords
- network
- flow
- virtual
- virtual lan
- analysis
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000004458 analytical method Methods 0.000 title claims abstract description 101
- 238000000034 method Methods 0.000 claims abstract description 122
- 244000035744 Hura crepitans Species 0.000 claims abstract description 105
- 238000005206 flow analysis Methods 0.000 claims abstract description 74
- 241000700605 Viruses Species 0.000 claims abstract description 71
- 230000008569 process Effects 0.000 claims description 37
- 238000010801 machine learning Methods 0.000 claims description 33
- 230000005856 abnormality Effects 0.000 claims description 30
- 239000011800 void material Substances 0.000 claims description 17
- 238000004590 computer program Methods 0.000 claims description 7
- 230000035515 penetration Effects 0.000 claims description 7
- 230000001052 transient effect Effects 0.000 claims description 4
- 238000012544 monitoring process Methods 0.000 abstract description 44
- 230000006399 behavior Effects 0.000 description 15
- 238000004891 communication Methods 0.000 description 13
- 235000012907 honey Nutrition 0.000 description 13
- 230000008595 infiltration Effects 0.000 description 10
- 238000001764 infiltration Methods 0.000 description 10
- 238000005516 engineering process Methods 0.000 description 9
- 239000000243 solution Substances 0.000 description 8
- 238000001514 detection method Methods 0.000 description 7
- 239000008186 active pharmaceutical agent Substances 0.000 description 4
- 230000005540 biological transmission Effects 0.000 description 4
- 238000004422 calculation algorithm Methods 0.000 description 4
- 238000010586 diagram Methods 0.000 description 4
- 230000008901 benefit Effects 0.000 description 3
- 238000004088 simulation Methods 0.000 description 3
- 230000000903 blocking effect Effects 0.000 description 2
- 230000006378 damage Effects 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 230000006870 function Effects 0.000 description 2
- 208000015181 infectious disease Diseases 0.000 description 2
- 238000009434 installation Methods 0.000 description 2
- 230000003612 virological effect Effects 0.000 description 2
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000004364 calculation method Methods 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 201000010099 disease Diseases 0.000 description 1
- 208000037265 diseases, disorders, signs and symptoms Diseases 0.000 description 1
- 230000005611 electricity Effects 0.000 description 1
- 238000002347 injection Methods 0.000 description 1
- 239000007924 injection Substances 0.000 description 1
- 230000009545 invasion Effects 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000006855 networking Effects 0.000 description 1
- 230000035699 permeability Effects 0.000 description 1
- 239000002574 poison Substances 0.000 description 1
- 231100000614 poison Toxicity 0.000 description 1
- 239000004576 sand Substances 0.000 description 1
- 238000000926 separation method Methods 0.000 description 1
- 230000001960 triggered effect Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1491—Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/144—Detection or countermeasures against botnets
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明实施例提供一种网络流量分析方法及装置,方法包括:利用沙箱作为虚拟节点构建虚拟局域网;将虚拟局域网部署为网络蜜罐用于收集僵尸网络病毒;在每个沙箱对应的虚拟网卡处进行第一流量分析,获取沙箱对虚拟局域网中其他沙箱的第一网络攻击信息;在虚拟局域网的虚拟网关处进行第二流量分析,获取虚拟局域网对外的第二网络攻击信息。由于本发明在虚拟网卡和虚拟网关处进行流量监控和分析而不是在沙箱的虚拟主机中进行流量监控和分析,因而采用本发明提供的网络流量分析方法不但可以保证分析环境的透明性,使得僵尸网络病毒的攻击行为尽可能触发,而且不用假设僵尸网络病毒的具体实现方法,可有效拦截僵尸网络病毒对内和对外的任何网络数据。
Description
技术领域
本发明涉及计算机技术领域,尤其涉及一种网络流量分析方法及装置。
背景技术
随着互联网不断普及,越来越多的单位和个人计算机都连接上互联网,随之网络安全问题也日益严重,互联网上的每台主机都有可能受到攻击。近年来不断发生黑客入侵企业网络的事件,如何保障企业网络安全,构筑一个安全可靠的企业网络成了当前迫切需要解决问题。
蜜罐好比是情报收集系统,蜜罐好像是故意让人攻击的目标,引诱黑客前来攻击。所以攻击者入侵后,你就可以知道他是如何得逞的,随时了解针对服务器发动的最新的攻击和漏洞。蜜罐还可以通过窃听黑客之间的联系,收集黑客所用的种种工具,并且掌握黑客之间的社交网络。
现有技术中,在利用蜜罐技术进行网络安全分析时,都是在蜜罐主机中安装监控程序分析样本程序的主机行为,包括其感染传播、系统破坏等。这种方式容易被样本程序感知,且在网络行为监控方面,样本程序往往采用多种实现手段绕过检测防御,如注入IE、利用底层驱动等,使得主机蜜罐的监控方式难以有效发现所有的网络行为。
发明内容
针对现有技术中的问题,本发明实施例提供一种网络流量分析方法及装置。
第一方面,本发明实施例提供了一种网络流量分析方法,包括:
利用沙箱作为虚拟节点构建虚拟局域网;其中,所述虚拟局域网中包含有至少两个虚拟节点;
将所述虚拟局域网部署为网络蜜罐,用于收集僵尸网络病毒;
在每个所述沙箱对应的虚拟网卡处进行第一流量分析,获取所述沙箱对所述虚拟局域网中其他沙箱的第一网络攻击信息;
在所述虚拟局域网的虚拟网关处进行第二流量分析,获取所述虚拟局域网对外的第二网络攻击信息。
进一步地,所述在每个所述沙箱对应的虚拟网卡处进行第一流量分析,获取所述沙箱对所述虚拟局域网中其他沙箱的第一网络攻击信息,具体包括:
在每个所述沙箱对应的虚拟网卡处采用第一类流量内容特征匹配方法、第一类流量大小异常检测方法或基于机器学习的第一类智能分析方法进行第一流量分析,获取所述沙箱对所述虚拟局域网中其他沙箱的第一网络攻击信息;
其中,所述第一类流量内容特征匹配方法、所述第一类流量大小异常检测方法和所述基于机器学习的第一类智能分析方法为适用于分析所述虚拟局域网内部横向渗透攻击的方法。
进一步地,所述在所述虚拟局域网的虚拟网关处进行第二流量分析,获取所述虚拟局域网对外的第二网络攻击信息,具体包括:
在所述虚拟局域网的虚拟网关处采用第二类流量内容特征匹配方法、第二类流量大小异常检测方法或基于机器学习的第二类智能分析方法进行第二流量分析,获取所述虚拟局域网对外的第二网络攻击信息;
其中,所述第二类流量内容特征匹配方法、所述第二类流量大小异常检测方法和所述基于机器学习的第二类智能分析方法为适用于分析所述虚拟局域网对外通信或攻击的方法。
进一步地,所述网络流量分析方法还包括:
若检测到所述虚拟局域网对预设服务器发起的分布式拒绝服务攻击DDoS流量超过对应的预设阈值,则对所述虚拟局域网针对所述预设服务器发起的DDoS流量进行阻断。
第二方面,本发明实施例还提供了一种网络流量分析装置,包括:
构建模块,用于利用沙箱作为虚拟节点构建虚拟局域网;其中,所述虚拟局域网中包含有至少两个虚拟节点;
部署模块,用于将所述虚拟局域网部署为网络蜜罐,用于收集僵尸网络病毒;
第一分析模块,用于在每个所述沙箱对应的虚拟网卡处进行第一流量分析,获取所述沙箱对所述虚拟局域网中其他沙箱的第一网络攻击信息;
第二分析模块,用于在所述虚拟局域网的虚拟网关处进行第二流量分析,获取所述虚拟局域网对外的第二网络攻击信息。
进一步地,所述第一分析模块,具体用于:
在每个所述沙箱对应的虚拟网卡处采用第一类流量内容特征匹配方法、第一类流量大小异常检测方法或基于机器学习的第一类智能分析方法进行第一流量分析,获取所述沙箱对所述虚拟局域网中其他沙箱的第一网络攻击信息;
其中,所述第一类流量内容特征匹配方法、所述第一类流量大小异常检测方法和所述基于机器学习的第一类智能分析方法为适用于分析所述虚拟局域网内部横向渗透攻击的方法。
进一步地,所述第二分析模块,具体用于:
在所述虚拟局域网的虚拟网关处采用第二类流量内容特征匹配方法、第二类流量大小异常检测方法或基于机器学习的第二类智能分析方法进行第二流量分析,获取所述虚拟局域网对外的第二网络攻击信息;
其中,所述第二类流量内容特征匹配方法、所述第二类流量大小异常检测方法和所述基于机器学习的第二类智能分析方法为适用于分析所述虚拟局域网对外通信或攻击的方法。
进一步地,所述网络流量分析装置还包括:
阻断模块,用于若检测到所述虚拟局域网对预设服务器发起的分布式拒绝服务攻击DDoS流量超过对应的预设阈值,则对所述虚拟局域网针对所述预设服务器发起的DDoS流量进行阻断。
第三方面,本发明实施例还提供了一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现如第一方面所述网络流量分析方法的步骤。
第四方面,本发明实施例还提供了一种非暂态计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现如第一方面所述网络流量分析方法的步骤。
由上面技术方案可知,本发明实施例提供的网络流量分析方法及装置,利用沙箱作为虚拟节点来构建虚拟局域网,并将所述虚拟局域网部署为网络蜜罐用于收集僵尸网络病毒,然后在每个所述沙箱对应的虚拟网卡处进行第一流量分析,获取所述沙箱对所述虚拟局域网中其他沙箱的第一网络攻击信息,以及,在所述虚拟局域网的虚拟网关处进行第二流量分析,获取所述虚拟局域网对外的第二网络攻击信息。需要说明的是,由于僵尸网络病毒运行在沙箱的虚拟主机中,而在本发明实施例中,流量监控和分析工作在虚拟网卡和虚拟网关处进行,因而不需要在沙箱的虚拟主机内安装任何流量监控分析程序,从而可以保证整个分析环境的透明性,使得僵尸网络病毒的攻击行为在沙箱的虚拟主机中尽可能的触发而不会隐藏攻击行为。此外,由于本发明实施例的流量监控和分析工作在虚拟网卡和虚拟网关处进行,而不是在沙箱的虚拟主机中进行,因而整个流量监控分析过程不会受到运行在虚拟主机中的僵尸网络病毒的干扰,因而无论僵尸网络病毒采取了什么样的技术手段,只要僵尸网络病毒实现了网络通信,就一定可以虚拟网卡或虚拟网关中获取到相关流量数据,因而采用本发明实施例提供的网络流量分析方法不但可以保证分析环境的透明性,使得僵尸网络病毒的攻击行为尽可能触发,而且不用假设僵尸网络病毒的具体技术实现方法,因而可有效拦截僵尸网络病毒对内和对外的任何网络数据。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明一实施例提供的网络流量分析方法的流程图;
图2是本发明一实施例提供的沙箱的部署结构示意图;
图3为本发明一实施例提供的网络流量分析装置的结构示意图;
图4为本发明一实施例提供的电子设备的结构示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
在介绍本发明实施例提供的方案之前,先对蜜罐这一概念进行解释说明。随着互联网的飞速发展,其开放性、交互性和分散性等特点满足了人们对于信息共享、开放、灵活和快速等需求。但同时,随着网络规模的不断扩大,网络上的攻击行为也变得越来越多,已经严重威胁到网络与信息的安全。在互联网的安全现状中,攻击者与防御者之间在进行着一场不对称的博弈,特别是信息上的不对称。因此安全管理人员需要对攻击着有深入的了解,包括他们的攻击技术、攻击技巧、攻击战术、攻击习惯等。而蜜罐正是在这一背景下被提出的。蜜罐相对于传统的网络被动防御具有较为突出的优势,它可以对攻击活动进行监视,部署蜜罐的目的就是让系统被攻击者探测、攻击并且甚至被攻陷,是用来对入侵者的攻击行为进行记录的监控和诱捕系统。本发明实施例为了分析僵尸网络病毒在局域网内部的横向渗透攻击以及对外的与攻击者通信或者对某个外部节点的攻击,正是利用了蜜罐的这一特性,通过构建虚拟局域网作为网络蜜罐的方式来收集僵尸网络病毒,从而使得构建的虚拟局域网中存在大量各种各样的现网上的活跃僵尸网络病毒,因此使得构建的虚拟局域网中的虚拟节点受到现网上各个真实的有实力的攻击者的控制(掌握了大量僵尸网络主机的攻击者)。也就是说,构建的虚拟局域网就相当于现网的一个投影。这样,通过分析构建的虚拟局域网的内部攻击流量和外部攻击流量就可以从一定程度上了解现实局域网上的真实攻击行为和攻击趋势。下面将通过具体实施例对本发明提供的网络流量分析方法及装置进行详细说明。
图1示出了本发明实施例提供的网络流量分析方法的流程图。如图1所示,本发明实施例提供的网络流量分析方法包括如下步骤:
步骤101:利用沙箱作为虚拟节点构建虚拟局域网;其中,所述虚拟局域网中包含有至少两个虚拟节点。
在本步骤中,一个虚拟节点就是指一个沙箱,通过建立多个沙箱,使得这些沙箱组成一个子网,这个子网就模拟了一个局域网环境,也就是这里所说的虚拟局域网。需要说明的是,每个沙箱对应有一个虚拟网卡,所述虚拟网卡用于供沙箱的虚拟主机(虚拟操作系统)进行网络通信使用,每个沙箱与所述虚拟局域网内的其他沙箱之间的数据传输都会经过该沙箱对应的虚拟网卡。所述虚拟网卡是采用纯软件形式模拟的硬件网卡。
在本步骤中,所述虚拟局域网对应有一个虚拟网关,所述虚拟局域网对外的所有流量数据都会流经所述虚拟网关,所述虚拟网关也是采用纯软件形式模拟的硬件网关,例如可以采用软件定义网络SDN(Software Defined Network)构建所述虚拟网关。
步骤102:将所述虚拟局域网部署为网络蜜罐,用于收集僵尸网络病毒。
在本步骤中,在利用虚拟节点构建完虚拟局域网后,需要将该虚拟局域网部署成网络蜜罐,以收集现网(现网指当前真实网络)上的活跃僵尸网络病毒,从而使得构建的虚拟局域网中存在大量各种各样的现网上的活跃僵尸网络病毒,从而便于后续对该虚拟局域网进行网络流量分析。
在本步骤中,目的就是是要构建一个虚拟局域网(比如一个虚拟的办公网),然后分析运行在某个虚拟节点中的僵尸网络病毒是否有对外网的攻击行为、窃密行为或对其它虚拟节点的渗透行为。
在本步骤中,在将所述虚拟局域网部署成网络蜜罐时,需要进行一些诱饵设定,例如在所述虚拟局域网的虚拟节点中放置一些工作文档,安装一些办公软件,开放ftp服务、web服务、文件共享服务等,从而使得所述虚拟局域网尽可能地接近真实的办公局域网或业务局域网,从而吸引现网上的活跃僵尸网络病毒进来。
步骤103:在每个所述沙箱对应的虚拟网卡处进行第一流量分析,获取所述沙箱对所述虚拟局域网中其他沙箱的第一网络攻击信息。
步骤104:在所述虚拟局域网的虚拟网关处进行第二流量分析,获取所述虚拟局域网对外的第二网络攻击信息。
在本实施例中,对于上述步骤103和104,需要说明的是,当虚拟局域网(网络蜜罐)中的某个虚拟节点失陷了(即有僵尸网络病毒成功进入并运行在网络蜜罐中的某一台沙箱中),该僵尸网络病毒可能的网络攻击会有两种形式:(1)针对虚拟局域网内部其它节点的渗透,即攻击虚拟局域网内的其它虚拟主机,实现传播到越来越多的其它虚拟主机上(从而获取越来越多的内部资料);(2)和虚拟局域网外某个网络主机(通常是攻击者自身)进行通信,比如将获取的资料发送给攻击者,再如接收攻击者的指令并进行相应恶意行为(比如对某个外部服务器展开DDoS攻击)。
针对上述两种形式的攻击,现有技术在利用蜜罐技术进行网络安全分析时,都是在蜜罐主机(也即沙箱的虚拟主机)中安装监控程序分析样本程序的主机行为,包括其感染传播、系统破坏等。这种方式容易被僵尸网络病毒感知,从而使得僵尸网络病毒隐藏自身的攻击行为,且在网络行为监控方面,僵尸网络病毒往往采用多种实现手段绕过检测防御,如注入IE、利用底层驱动等,使得主机蜜罐的监控方式难以有效发现所有的网络行为。为解决该问题,本实施例针对第一类攻击(对内的,虚拟局域网内部的横向渗透)和第二类攻击(对外的,与攻击者通信或者攻击某个外部节点),不像现有技术那样在沙箱的虚拟主机中进行流量分析,而是在沙箱的虚拟网卡处和虚拟局域网的虚拟网关处进行流量分析。需要说明的是,由于僵尸网络病毒在沙箱的虚拟主机中通过调用API等发生实现网络通信。如果在沙箱的虚拟主机内部安装监控程序进行监控的话,监控程序就需要去拦截相关的API实现监控。这种方式下,监控程序和僵尸网络病毒是运行在同一层的,非常容易受到干扰。例如僵尸网络病毒可以调用比拦截点更底层的API,或者利用自身实现的API库进行网络通信;甚至加载驱动,直接在内核中对网卡进行I/O操作从而绕过监控点;或者注入IE等进程,伪装成IE的网络行为进行网络通信,绕过监控点(监控程序一般只会监控僵尸网络病毒,默认会放过IE等合法的具有网络行为的程序)。这样的方法还有很多,因为监控程序和僵尸网络病毒在同一层级,所以就一定有互相对抗的可能,监控程序容易受到僵尸网络病毒的干扰。而在本实施例中,直接在虚拟网卡处进行流量监控和分析,直接监控虚拟网卡上的读写操作,这样相对于现有技术中在虚拟主机上进行监控分析的方式更加底层,不再依赖虚拟主机中的任何接口,因而也就不会受到僵尸网络病毒的干扰。也就是说,无论僵尸网络病毒采用了什么样的技术手段,只要它实现了网络通信,数据就一定会流经虚拟网卡,因而通过网卡就能够把数据直接截获下来。换句话来说,无论僵尸网络病毒采用了什么样的技术手段,都逃不过本实施例的监控和分析,因为僵尸网络病毒的所有技术手段都是在虚拟主机(虚拟操作系统层)上实现的,而本实施例的监测和分析过程位于虚拟网卡和虚拟网关处,而虚拟网卡和虚拟网关属于虚拟硬件层,虚拟硬件层位于虚拟操作系统层之下,因而无论僵尸网络病毒采用了什么样的技术手段,都逃不过本实施例的监控和分析。此外,不同于普通僵尸网络病毒,很多有价值的高级样本(其实网络蜜罐的价值也在于捕获这样的样本)都有很强的隐蔽性,当它探测到有监控程序的存在时,当它发现有监控程序在分析它时,就会隐藏恶意行为,即故意不执行攻击操作,以免暴露。而本实施例不需要在虚拟主机中安装任何监控程序和分析工具,因而自然就保持了虚拟主机的纯净,僵尸网络病毒探测不到有任何监控程序在分析它,因而使得僵尸网络病毒能够尽可能展开攻击行为。
需要说明的是,由于虚拟局域网中任意两个沙箱之间的攻击,一定会通过沙箱的虚拟网卡进行流量传输,因而,针对第一类攻击(对内),在虚拟网卡上进行流量分析能够获知沙箱对虚拟局域网中其他沙箱的攻击流量。类似地,由于对于虚拟局域网来说,无论多少个沙箱失陷、无论攻击数据从哪些沙箱的虚拟网卡上发起,最终都会经过虚拟网关到达外部,因而,针对第二类攻击(对外),在虚拟网关上进行流量分析是最直接有效的。
由上面技术方案可知,本发明实施例提供的网络流量分析方法,利用沙箱作为虚拟节点来构建虚拟局域网,并将所述虚拟局域网部署为网络蜜罐用于收集僵尸网络病毒,然后在每个所述沙箱对应的虚拟网卡处进行第一流量分析,获取所述沙箱对所述虚拟局域网中其他沙箱的第一网络攻击信息,以及,在所述虚拟局域网的虚拟网关处进行第二流量分析,获取所述虚拟局域网对外的第二网络攻击信息。需要说明的是,由于僵尸网络病毒运行在沙箱的虚拟主机中,而在本发明实施例中,流量监控和分析工作在虚拟网卡和虚拟网关处进行,因而不需要在沙箱的虚拟主机内安装任何流量监控分析程序,从而可以保证整个分析环境的透明性,使得僵尸网络病毒的攻击行为在沙箱的虚拟主机中尽可能的触发而不会隐藏攻击行为。此外,由于本发明实施例的流量监控和分析工作在虚拟网卡和虚拟网关处进行,而不是在沙箱的虚拟主机中进行,因而整个流量监控分析过程不会受到运行在虚拟主机中的僵尸网络病毒的干扰,因而无论僵尸网络病毒采取了什么样的技术手段,只要僵尸网络病毒实现了网络通信,就一定可以虚拟网卡或虚拟网关中获取到相关流量数据,因而采用本发明实施例提供的网络流量分析方法不但可以保证分析环境的透明性,使得僵尸网络病毒的攻击行为尽可能触发,而且不用假设僵尸网络病毒的具体技术实现方法,因而可有效拦截僵尸网络病毒对内和对外的任何网络数据。
在本实施例中,结合图2所示的沙箱对本发明实施例提供的网络流量分析方法进行简单说明。如图2所示,在一个安装有沙箱的终端设备上,共设置有四层结构,分别为:物理硬件层、宿主机操作系统层、虚拟硬件层和虚拟操作系统层;其中:
物理硬件层:真正的硬件,即终端设备上插的CPU、内存、硬盘等等;
宿主机操作系统层:安装在终端设备上的操作系统。即按电源按钮后,终端设备启动进入的操作系统,如可以为Linux;
虚拟硬件层:在宿主机操作系统上运行的一个程序,这个程序会用纯软件的形式模拟出CPU、内存、硬盘等一系列硬件,即实现虚拟硬件层,也就是实现了虚拟机的功能。因为是纯软件模拟的,因此可以模拟出和真实物理硬件层完全不一样的虚拟硬件。例如在x86架构的CPU的终端设备上,其虚拟硬件层中的虚拟CPU可以是ARM架构的;
虚拟操作系统层:即虚拟机操作系统,直接安装在虚拟硬件层上,可以是linux、windows、android等等,取决于待分析的僵尸网络病毒样本程序希望运行在什么系统中。
在上面介绍完安装有沙箱的终端设备的结构后可知,一个终端设备上,设置有四层:物理硬件层、宿主机操作系统层、虚拟硬件层、虚拟操作系统层;也就是说,在宿主机操作系统层运行了一个程序,这个程序的作用就是用纯软件的形式模拟CPU、内存、硬盘等一系列硬件,即实现虚拟硬件层,也就是实现了虚拟机的功能。然后再在虚拟硬件层上安装虚拟操作系统,并把要分析的僵尸网络病毒样本程序放到虚拟操作系统中运行。本实施例在对僵尸网络病毒的攻击流量分析过程中,不在这个虚拟操作系统中安装任何监控程序或分析工具来进行流量分析,也就是说本发明实施例不对虚拟操作系统进行任何修改,保持虚拟操作系统的纯净状态。本发明实施例采取的方式是,在网卡(虚拟硬件层)直接进行流量监控和分析,直接监控僵尸网络病毒在虚拟网卡上的读写操作,这样相对于现有技术中在虚拟操作系统(虚拟主机)上进行监控分析的方式,不再依赖虚拟主机中的任何接口,因而也就不会受到僵尸网络病毒的干扰。也就是说,无论僵尸网络病毒采用了什么样的技术手段,只要它实现了网络通信,数据就一定会流经虚拟网卡,因而通过网卡就能够把数据直接截获下来。换句话来说,无论僵尸网络病毒采用了什么样的技术手段,都逃不过本实施例的监控和分析,因为僵尸网络病毒的所有技术手段都是在虚拟主机(虚拟操作系统层)上实现的,而本实施例的监测和分析过程位于虚拟网卡处,而虚拟网卡属于虚拟硬件层,虚拟硬件层位于虚拟操作系统层之下,因而无论僵尸网络病毒采用了什么样的技术手段,都逃不过本实施例的监控和分析。此外,不同于普通僵尸网络病毒,很多有价值的高级样本(其实网络蜜罐的价值也在于捕获这样的样本)都有很强的隐蔽性,当它探测到有监控程序的存在时,当它发现有监控程序在分析它时,就会隐藏恶意行为,即故意不执行攻击操作,以免暴露。而本实施例不需要在虚拟主机中安装任何监控程序和分析工具,因而自然就保持了虚拟主机的纯净,僵尸网络病毒探测不到有任何监控程序在分析它,因而使得僵尸网络病毒能够尽可能展开攻击行为。
在本实施例中,需要说明的是,在恶意代码分析领域,沙箱一般指“虚拟机”+“分析手段”。现有技术中是在虚拟操作系统中运行僵尸网络病毒样本程序并在虚拟操作系统中安装分析程序进行流量监控和分析,因此现有技术中的关系是:虚拟机层(用于实现虚拟化)+虚拟操作系统层(用于运行僵尸网络病毒样本程序和分析);而本实施例中是在虚拟操作系统中运行僵尸网络病毒样本程序而在硬件虚拟层(网卡处)安装分析程序进行流量监控和分析。因此,本实施例中的关系是:虚拟硬件层(用于实现虚拟化和分析)+虚拟操作系统层(用于运行僵尸网络病毒样本程序)。也就是说,本实施例把网络流量分析从虚拟操作系统层下移到了虚拟硬件层。
基于上述实施例的内容,在本实施例中,上述步骤103可通过如下方式实现:
在每个所述沙箱对应的虚拟网卡处采用第一类流量内容特征匹配方法、第一类流量大小异常检测方法或基于机器学习的第一类智能分析方法进行第一流量分析,获取所述沙箱对所述虚拟局域网中其他沙箱的第一网络攻击信息;
其中,所述第一类流量内容特征匹配方法、所述第一类流量大小异常检测方法和所述基于机器学习的第一类智能分析方法为适用于分析所述虚拟局域网内部横向渗透攻击的方法。
在本实施例中,需要说明的是,当网络蜜罐中的某个虚拟节点失陷了(即有僵尸网络病毒成功进入并运行在网络蜜罐中的某一台沙箱中),该僵尸网络病毒可能的网络攻击会有两种形式,这也正是网络蜜罐需要去发现的两类攻击:(1)针对虚拟局域网内部其它节点的渗透,即攻击虚拟局域网内的其它虚拟主机,实现传播到越来越多的其它虚拟主机上(从而获取越来越多的内部资料);(2)和虚拟局域网外某个网络主机(通常是攻击者自身)进行通信,比如将获取的资料发送给攻击者,再如接收攻击者的指令并进行相应恶意行为(比如对某个外部服务器展开DDoS攻击);
针对第一类攻击(对内的,虚拟局域网内部的横向渗透),需要在虚拟网卡处进行流量分析,因为两台虚拟节点之间的攻击,需要在两个虚拟网卡之间进行数据传输;
针对第二类攻击(对外的,与攻击者通信或者攻击某个外部节点),需要在虚拟网关处进行流量分析,因为无论多少个虚拟节点失陷、无论攻击数据从哪些虚拟网卡上发起,最终都会经过网关到达外部,所以在虚拟网关上进行流量分析是最直接有效的。
针对第一类攻击,在进行网络流量检测和分析时,一般会重点关注虚拟局域网内部的横向渗透攻击行为,故是否有暴力破解服务密码、是否有局域网蠕虫等。因此,上述步骤103在每个所述沙箱对应的虚拟网卡处进行第一流量分析,获取所述沙箱对所述虚拟局域网中其他沙箱的第一网络攻击信息时,一般可以采用第一类流量内容特征匹配方法、第一类流量大小异常检测方法或基于机器学习的第一类智能分析方法进行流量分析,这里的第一类流量内容特征匹配方法、所述第一类流量大小异常检测方法和所述基于机器学习的第一类智能分析方法为适用于分析所述虚拟局域网内部横向渗透攻击的方法,例如,根据局域网内部横向渗透攻击流量的流量内容特征(如暴力破解服务密码流量内容特征),在采用第一类流量内容特征匹配方法时,可以将在虚拟网卡处检测到的流量与预设的暴力破解服务密码流量内容特征进行匹配,看是否存在暴力破解服务密码的流量。类似地,对于第一类流量大小异常检测方法也是一样的道理,即根据局域网内部横向渗透攻击流量的大小特征,设定不同的流量阈值区间(如局域网蠕虫的流量阈值区间为[a-b],因此当在虚拟网卡处检测到的流量与所述流量阈值区间[a-b]匹配时,可以判断存在局域网蠕虫攻击。此外,对于基于机器学习的第一类智能分析方法也是类似的道理,可以将在虚拟网卡处检测到的流量输入至预先训练好的智能分析模型中,从而输出该流量对应的分析结果类型,例如是暴力破解服务密码攻击流量,还是局域网蠕虫攻击流量。其中,所述智能分析模型为基于机器学习算法预先建立好的模型。在基于机器学习算法建立所述智能分析模型时,一般需要先获取样本输入数据(局域网内部横向渗透攻击的流量数据)和样本输出数据(局域网内部横向渗透攻击的流量数据对应的分析结果类型),然后将所述样本输入数据和所述样本输出数据输入到初始模型中对初始模型进行训练直至模型收敛,进而得到训练好的智能分析模型。
基于上述实施例的内容,在本实施例中,上述步骤104可通过如下方式实现:
在所述虚拟局域网的虚拟网关处采用第二类流量内容特征匹配方法、第二类流量大小异常检测方法或基于机器学习的第二类智能分析方法进行第二流量分析,获取所述虚拟局域网对外的第二网络攻击信息;
其中,所述第二类流量内容特征匹配方法、所述第二类流量大小异常检测方法和所述基于机器学习的第二类智能分析方法为适用于分析所述虚拟局域网对外通信或攻击的方法。
在本实施例中,正如上面所述,针对第二类攻击,在进行网络流量检测和分析时,一般会重点关注虚拟局域网对外的攻击行为,如检测是否与攻击者通信,将内部敏感数据流出,或者,是否有分布式拒绝服务攻击DDoS(Distributed Denial of Service)攻击流量,攻击某个外部节点等。因此,上述步骤104在所述虚拟局域网的虚拟网关处进行第二流量分析,获取所述虚拟局域网对外的第二网络攻击信息时可以采用第二类流量内容特征匹配方法、第二类流量大小异常检测方法或基于机器学习的第二类智能分析方法进行流量分析,获取所述虚拟局域网对外的第二网络攻击信息。这里的第二类流量内容特征匹配方法、所述第二类流量大小异常检测方法和所述基于机器学习的第二类智能分析方法为适用于分析所述虚拟局域网对外通信和攻击的方法,例如,根据局域网对外通信或攻击的流量内容特征(如DDoS攻击流量内容特征),在采用第二类流量内容特征匹配方法时,可以将在虚拟网关处检测到的流量与预设的DDoS攻击流量内容特征进行匹配,看是否存在DDoS攻击流量。类似地,对于第二类流量大小异常检测方法也是一样的道理,即根据局域网对外攻击的流量大小特征,设定不同的流量阈值(如DDoS攻击流量的流量阈值为F),因此当在虚拟网关处检测到的流量大于流量阈值F时,可以判断存在DDoS攻击流量。此外,对于基于机器学习的第二类智能分析方法也是类似的道理,可以将在虚拟网关处检测到的流量输入至预先训练好的智能分析模型中,从而输出该流量对应的分析结果类型,例如是DDoS攻击流量,还是内部敏感数据流出流量。其中,所述智能分析模型为基于机器学习算法预先建立好的模型。在基于机器学习算法建立所述智能分析模型时,一般需要先获取样本输入数据(局域网对外攻击的流量数据)和样本输出数据(局域网对外攻击的流量数据对应的分析结果类型),然后将所述样本输入数据和所述样本输出数据输入到初始模型中对初始模型进行训练直至模型收敛,进而得到训练好的智能分析模型。
基于上述实施例的内容,在本实施例中,所述网络流量分析方法还包括:
步骤105:若检测到所述虚拟局域网对预设服务器发起的分布式拒绝服务攻击DDoS流量超过对应的预设阈值,则对所述虚拟局域网针对所述预设服务器发起的DDoS流量进行阻断。
在本实施例中,由于虚拟局域网(网络蜜罐)中的虚拟节点(沙箱)中运行的僵尸网络病毒会根据攻击者的指令对真实目标发起攻击,因此,为避免分析用的网络蜜罐被攻击者用于真实攻击,故当针对某个目标服务器的DDoS流量超过一定规模时需要进行阻断处理。这个一定规模是可以动态配置的,原则上只要不会真的干扰目标服务器的正常业务就无需阻断。这个规模对应的阈值相对比较灵活,可以根据需要或根据不同的目标服务器抵御攻击的能力进行动态设置。
图3示出了本发明实施例提供的网络流量分析装置的结构示意图。如图3所示,本发明实施例提供的网络流量分析装置包括:构建模块21、部署模块22、第一分析模块23和第二分析模块24,其中:
构建模块21,用于利用沙箱作为虚拟节点构建虚拟局域网;其中,所述虚拟局域网中包含有至少两个虚拟节点;
部署模块22,用于将所述虚拟局域网部署为网络蜜罐,用于收集僵尸网络病毒;
第一分析模块23,用于在每个所述沙箱对应的虚拟网卡处进行第一流量分析,获取所述沙箱对所述虚拟局域网中其他沙箱的第一网络攻击信息;
第二分析模块24,用于在所述虚拟局域网的虚拟网关处进行第二流量分析,获取所述虚拟局域网对外的第二网络攻击信息。
基于上述实施例的内容,在本实施例中,所述第一分析模块23,具体用于:
在每个所述沙箱对应的虚拟网卡处采用第一类流量内容特征匹配方法、第一类流量大小异常检测方法或基于机器学习的第一类智能分析方法进行第一流量分析,获取所述沙箱对所述虚拟局域网中其他沙箱的第一网络攻击信息;
其中,所述第一类流量内容特征匹配方法、所述第一类流量大小异常检测方法和所述基于机器学习的第一类智能分析方法为适用于分析所述虚拟局域网内部横向渗透攻击的方法。
基于上述实施例的内容,在本实施例中,所述第二分析模块24,具体用于:
在所述虚拟局域网的虚拟网关处采用第二类流量内容特征匹配方法、第二类流量大小异常检测方法或基于机器学习的第二类智能分析方法进行第二流量分析,获取所述虚拟局域网对外的第二网络攻击信息;
其中,所述第二类流量内容特征匹配方法、所述第二类流量大小异常检测方法和所述基于机器学习的第二类智能分析方法为适用于分析所述虚拟局域网对外通信或攻击的方法。
基于上述实施例的内容,在本实施例中,所述网络流量分析装置还包括:
阻断模块,用于若检测到所述虚拟局域网对预设服务器发起的分布式拒绝服务攻击DDoS流量超过对应的预设阈值,则对所述虚拟局域网针对所述预设服务器发起的DDoS流量进行阻断。
由于本发明实施例提供的网络流量分析装置,可以用于执行上述实施例所述的网络流量分析方法,其工作原理和有益效果类似,故此处不再详述,具体内容可参见上述实施例的介绍。
基于相同的发明构思,本发明又一实施例提供了一种电子设备,参见图4,所述电子设备具体包括如下内容:处理器301、存储器302、通信接口303和通信总线304;
其中,所述处理器301、存储器302、通信接口303通过所述通信总线304完成相互间的通信;
所述处理器301用于调用所述存储器302中的计算机程序,所述处理器执行所述计算机程序时实现上述网络流量分析方法的全部步骤,例如,所述处理器执行所述计算机程序时实现下述过程:利用沙箱作为虚拟节点构建虚拟局域网;其中,所述虚拟局域网中包含有至少两个虚拟节点;将所述虚拟局域网部署为网络蜜罐,用于收集僵尸网络病毒;在每个所述沙箱对应的虚拟网卡处进行第一流量分析,获取所述沙箱对所述虚拟局域网中其他沙箱的第一网络攻击信息;在所述虚拟局域网的虚拟网关处进行第二流量分析,获取所述虚拟局域网对外的第二网络攻击信息。
基于相同的发明构思,本发明又一实施例提供了一种非暂态计算机可读存储介质,该非暂态计算机可读存储介质上存储有计算机程序,该计算机程序被处理器执行时实现上述网络流量分析方法的全部步骤,例如,所述处理器执行所述计算机程序时实现下述过程:利用沙箱作为虚拟节点构建虚拟局域网;其中,所述虚拟局域网中包含有至少两个虚拟节点;将所述虚拟局域网部署为网络蜜罐,用于收集僵尸网络病毒;在每个所述沙箱对应的虚拟网卡处进行第一流量分析,获取所述沙箱对所述虚拟局域网中其他沙箱的第一网络攻击信息;在所述虚拟局域网的虚拟网关处进行第二流量分析,获取所述虚拟局域网对外的第二网络攻击信息。
此外,上述的存储器中的逻辑指令可以通过软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本发明实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下,即可以理解并实施。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件。基于这样的理解,上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在计算机可读存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行各个实施例或者实施例的某些部分所述的网络流量分析方法。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
Claims (10)
1.一种网络流量分析方法,其特征在于,包括:
利用沙箱作为虚拟节点构建虚拟局域网;其中,所述虚拟局域网中包含有至少两个虚拟节点;
将所述虚拟局域网部署为网络蜜罐,用于收集僵尸网络病毒;
在每个所述沙箱对应的虚拟网卡处进行第一流量分析,获取所述沙箱对所述虚拟局域网中其他沙箱的第一网络攻击信息;
在所述虚拟局域网的虚拟网关处进行第二流量分析,获取所述虚拟局域网对外的第二网络攻击信息。
2.根据权利要求1所述的网络流量分析方法,其特征在于,所述在每个所述沙箱对应的虚拟网卡处进行第一流量分析,获取所述沙箱对所述虚拟局域网中其他沙箱的第一网络攻击信息,具体包括:
在每个所述沙箱对应的虚拟网卡处采用第一类流量内容特征匹配方法、第一类流量大小异常检测方法或基于机器学习的第一类智能分析方法进行第一流量分析,获取所述沙箱对所述虚拟局域网中其他沙箱的第一网络攻击信息;
其中,所述第一类流量内容特征匹配方法、所述第一类流量大小异常检测方法和所述基于机器学习的第一类智能分析方法为适用于分析所述虚拟局域网内部横向渗透攻击的方法。
3.根据权利要求1所述的网络流量分析方法,其特征在于,所述在所述虚拟局域网的虚拟网关处进行第二流量分析,获取所述虚拟局域网对外的第二网络攻击信息,具体包括:
在所述虚拟局域网的虚拟网关处采用第二类流量内容特征匹配方法、第二类流量大小异常检测方法或基于机器学习的第二类智能分析方法进行第二流量分析,获取所述虚拟局域网对外的第二网络攻击信息;
其中,所述第二类流量内容特征匹配方法、所述第二类流量大小异常检测方法和所述基于机器学习的第二类智能分析方法为适用于分析所述虚拟局域网对外通信或攻击的方法。
4.根据权利要求1所述的网络流量分析方法,其特征在于,所述网络流量分析方法还包括:
若检测到所述虚拟局域网对预设服务器发起的分布式拒绝服务攻击DDoS流量超过对应的预设阈值,则对所述虚拟局域网针对所述预设服务器发起的DDoS流量进行阻断。
5.一种网络流量分析装置,其特征在于,包括:
构建模块,用于利用沙箱作为虚拟节点构建虚拟局域网;其中,所述虚拟局域网中包含有至少两个虚拟节点;
部署模块,用于将所述虚拟局域网部署为网络蜜罐,用于收集僵尸网络病毒;
第一分析模块,用于在每个所述沙箱对应的虚拟网卡处进行第一流量分析,获取所述沙箱对所述虚拟局域网中其他沙箱的第一网络攻击信息;
第二分析模块,用于在所述虚拟局域网的虚拟网关处进行第二流量分析,获取所述虚拟局域网对外的第二网络攻击信息。
6.根据权利要求5所述的网络流量分析装置,其特征在于,所述第一分析模块,具体用于:
在每个所述沙箱对应的虚拟网卡处采用第一类流量内容特征匹配方法、第一类流量大小异常检测方法或基于机器学习的第一类智能分析方法进行第一流量分析,获取所述沙箱对所述虚拟局域网中其他沙箱的第一网络攻击信息;
其中,所述第一类流量内容特征匹配方法、所述第一类流量大小异常检测方法和所述基于机器学习的第一类智能分析方法为适用于分析所述虚拟局域网内部横向渗透攻击的方法。
7.根据权利要求5所述的网络流量分析装置,其特征在于,所述第二分析模块,具体用于:
在所述虚拟局域网的虚拟网关处采用第二类流量内容特征匹配方法、第二类流量大小异常检测方法或基于机器学习的第二类智能分析方法进行第二流量分析,获取所述虚拟局域网对外的第二网络攻击信息;
其中,所述第二类流量内容特征匹配方法、所述第二类流量大小异常检测方法和所述基于机器学习的第二类智能分析方法为适用于分析所述虚拟局域网对外通信或攻击的方法。
8.根据权利要求5所述的网络流量分析装置,其特征在于,所述网络流量分析装置还包括:
阻断模块,用于若检测到所述虚拟局域网对预设服务器发起的分布式拒绝服务攻击DDoS流量超过对应的预设阈值,则对所述虚拟局域网针对所述预设服务器发起的DDoS流量进行阻断。
9.一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时实现如权利要求1至4任一项所述网络流量分析方法的步骤。
10.一种非暂态计算机可读存储介质,其上存储有计算机程序,其特征在于,该计算机程序被处理器执行时实现如权利要求1至4任一项所述网络流量分析方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910577110.7A CN110401638B (zh) | 2019-06-28 | 2019-06-28 | 一种网络流量分析方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910577110.7A CN110401638B (zh) | 2019-06-28 | 2019-06-28 | 一种网络流量分析方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110401638A true CN110401638A (zh) | 2019-11-01 |
| CN110401638B CN110401638B (zh) | 2021-05-25 |
Family
ID=68323620
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910577110.7A Active CN110401638B (zh) | 2019-06-28 | 2019-06-28 | 一种网络流量分析方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110401638B (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113364723A (zh) * | 2020-03-05 | 2021-09-07 | 奇安信科技集团股份有限公司 | DDoS攻击监控方法及装置、存储介质、计算机设备 |
| CN113656799A (zh) * | 2021-08-18 | 2021-11-16 | 浙江国利网安科技有限公司 | 一种工控病毒的分析方法、装置、存储介质和设备 |
| CN115102758A (zh) * | 2022-06-21 | 2022-09-23 | 新余学院 | 异常网络流量的检测方法、装置、设备及存储介质 |
| CN115695029A (zh) * | 2022-11-07 | 2023-02-03 | 杭州融至兴科技有限公司 | 一种企业内网攻击防御系统 |
Citations (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20050044418A1 (en) * | 2003-07-25 | 2005-02-24 | Gary Miliefsky | Proactive network security system to protect against hackers |
| CN101087196A (zh) * | 2006-12-27 | 2007-12-12 | 北京大学 | 多层次蜜网数据传输方法及系统 |
| CN101119369A (zh) * | 2007-08-14 | 2008-02-06 | 北京大学 | 一种网络数据流的安全检测方法及其系统 |
| CN101188613A (zh) * | 2007-12-11 | 2008-05-28 | 北京大学 | 一种结合路由和隧道重定向网络攻击的方法 |
| CN101567887A (zh) * | 2008-12-25 | 2009-10-28 | 中国人民解放军总参谋部第五十四研究所 | 一种漏洞拟真超载蜜罐方法 |
| CN101582907A (zh) * | 2009-06-24 | 2009-11-18 | 成都市华为赛门铁克科技有限公司 | 一种增强蜜网诱骗力度的方法和蜜网系统 |
| CN102739647A (zh) * | 2012-05-23 | 2012-10-17 | 国家计算机网络与信息安全管理中心 | 基于高交互蜜罐的网络安全系统及实现方法 |
| CN103078753A (zh) * | 2012-12-27 | 2013-05-01 | 华为技术有限公司 | 一种邮件的处理方法、装置和系统 |
| CN103139184A (zh) * | 2011-12-02 | 2013-06-05 | 中国电信股份有限公司 | 智能网络防火墙设备及网络攻击防护方法 |
| CN107809425A (zh) * | 2017-10-20 | 2018-03-16 | 杭州默安科技有限公司 | 一种蜜罐部署系统 |
| CN109361670A (zh) * | 2018-10-21 | 2019-02-19 | 北京经纬信安科技有限公司 | 利用蜜罐有针对性的动态部署捕获恶意样本的装置及方法 |
-
2019
- 2019-06-28 CN CN201910577110.7A patent/CN110401638B/zh active Active
Patent Citations (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20050044418A1 (en) * | 2003-07-25 | 2005-02-24 | Gary Miliefsky | Proactive network security system to protect against hackers |
| CN101087196A (zh) * | 2006-12-27 | 2007-12-12 | 北京大学 | 多层次蜜网数据传输方法及系统 |
| CN101119369A (zh) * | 2007-08-14 | 2008-02-06 | 北京大学 | 一种网络数据流的安全检测方法及其系统 |
| CN101188613A (zh) * | 2007-12-11 | 2008-05-28 | 北京大学 | 一种结合路由和隧道重定向网络攻击的方法 |
| CN101567887A (zh) * | 2008-12-25 | 2009-10-28 | 中国人民解放军总参谋部第五十四研究所 | 一种漏洞拟真超载蜜罐方法 |
| CN101582907A (zh) * | 2009-06-24 | 2009-11-18 | 成都市华为赛门铁克科技有限公司 | 一种增强蜜网诱骗力度的方法和蜜网系统 |
| CN103139184A (zh) * | 2011-12-02 | 2013-06-05 | 中国电信股份有限公司 | 智能网络防火墙设备及网络攻击防护方法 |
| CN102739647A (zh) * | 2012-05-23 | 2012-10-17 | 国家计算机网络与信息安全管理中心 | 基于高交互蜜罐的网络安全系统及实现方法 |
| CN103078753A (zh) * | 2012-12-27 | 2013-05-01 | 华为技术有限公司 | 一种邮件的处理方法、装置和系统 |
| CN107809425A (zh) * | 2017-10-20 | 2018-03-16 | 杭州默安科技有限公司 | 一种蜜罐部署系统 |
| CN109361670A (zh) * | 2018-10-21 | 2019-02-19 | 北京经纬信安科技有限公司 | 利用蜜罐有针对性的动态部署捕获恶意样本的装置及方法 |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113364723A (zh) * | 2020-03-05 | 2021-09-07 | 奇安信科技集团股份有限公司 | DDoS攻击监控方法及装置、存储介质、计算机设备 |
| CN113656799A (zh) * | 2021-08-18 | 2021-11-16 | 浙江国利网安科技有限公司 | 一种工控病毒的分析方法、装置、存储介质和设备 |
| CN113656799B (zh) * | 2021-08-18 | 2024-05-28 | 浙江国利网安科技有限公司 | 一种工控病毒的分析方法、装置、存储介质和设备 |
| CN115102758A (zh) * | 2022-06-21 | 2022-09-23 | 新余学院 | 异常网络流量的检测方法、装置、设备及存储介质 |
| CN115695029A (zh) * | 2022-11-07 | 2023-02-03 | 杭州融至兴科技有限公司 | 一种企业内网攻击防御系统 |
| CN115695029B (zh) * | 2022-11-07 | 2023-08-18 | 杭州融至兴科技有限公司 | 一种企业内网攻击防御系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN110401638B (zh) | 2021-05-25 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110401638A (zh) | 一种网络流量分析方法及装置 | |
| US9954872B2 (en) | System and method for identifying unauthorized activities on a computer system using a data structure model | |
| Bhatt et al. | Towards a framework to detect multi-stage advanced persistent threats attacks | |
| Mairh et al. | Honeypot in network security: a survey | |
| Artail et al. | A hybrid honeypot framework for improving intrusion detection systems in protecting organizational networks | |
| US8943594B1 (en) | Cyber attack disruption through multiple detonations of received payloads | |
| EP2106085B1 (en) | System and method for securing a network from zero-day vulnerability exploits | |
| CN110381041B (zh) | 分布式拒绝服务攻击态势检测方法及装置 | |
| Kholidy et al. | A finite state hidden markov model for predicting multistage attacks in cloud systems | |
| WO2019222662A1 (en) | Methods and apparatuses to evaluate cyber security risk by establishing a probability of a cyber-attack being successful | |
| US20140157415A1 (en) | Information security analysis using game theory and simulation | |
| KR101156005B1 (ko) | 네트워크 공격 탐지 및 분석 시스템 및 그 방법 | |
| CN112398844A (zh) | 基于内外网实时引流数据的流量分析实现方法 | |
| CN114726557A (zh) | 一种网络安全防护方法及装置 | |
| CN114143096A (zh) | 安全策略配置方法、装置、设备、存储介质及程序产品 | |
| Ojugo et al. | Forging A Smart Dependable Data Integrity And Protection System Through Hybrid-Integration Honeypot In Web and Database Server | |
| Abuzaid et al. | An efficient trojan horse classification (ETC) | |
| Zouhair et al. | A review of intrusion detection systems in cloud computing | |
| Lysenko et al. | Spyware detection technique based on reinforcement learning | |
| Almutairi et al. | Survey of high interaction honeypot tools: Merits and shortcomings | |
| Mirvaziri | A new method to reduce the effects of HTTP-Get Flood attack | |
| CN117375942A (zh) | 基于节点清洗防范DDoS攻击的方法及装置 | |
| Paddalwar et al. | Cyber threat mitigation using machine learning, deep learning, artificial intelligence, and blockchain | |
| Chovancová et al. | The Security of Heterogeneous Systems based on Cluster High-interaction Hybrid Honeypot | |
| Chen et al. | An autonomic detection and protection system for denial of service attack |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |