CN110753014A - 基于流量转发的威胁感知方法、设备、装置及存储介质 - Google Patents

基于流量转发的威胁感知方法、设备、装置及存储介质 Download PDF

Info

Publication number
CN110753014A
CN110753014A CN201810810299.5A CN201810810299A CN110753014A CN 110753014 A CN110753014 A CN 110753014A CN 201810810299 A CN201810810299 A CN 201810810299A CN 110753014 A CN110753014 A CN 110753014A
Authority
CN
China
Prior art keywords
port
source
honeypot
flow
forwarding
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201810810299.5A
Other languages
English (en)
Other versions
CN110753014B (zh
Inventor
康学斌
杨赛
王小丰
肖新光
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Harbin Antiy Technology Group Co Ltd
Original Assignee
Harbin Antiy Technology Group Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Harbin Antiy Technology Group Co Ltd filed Critical Harbin Antiy Technology Group Co Ltd
Priority to CN201810810299.5A priority Critical patent/CN110753014B/zh
Publication of CN110753014A publication Critical patent/CN110753014A/zh
Application granted granted Critical
Publication of CN110753014B publication Critical patent/CN110753014B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/30Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Technology Law (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明提出一种基于流量转发的威胁感知方法、设备、装置及存储介质,所述方法通过将蜜罐部署在公网,并设置公网IP;监听指定端口,当指定端口与蜜罐建立连接时,蜜罐反向连接来源IP对应端口;若所监听端口在预设时间内的连接次数达到预定值,则将所述端口添加到转发列表中;蜜罐将在转发列表中的端口流量全部转发回源IP对应端口;继续监控及转发交互流量,并将对应流量生成Pcap文件,进行深度分析;对Pcap包中的流量信息深度分析,解析出攻击源IP、时间戳、payload数据、URL及被攻击端口,提供给后续统计分析。本发明方法能够降低高交互蜜罐被攻破的风险,也弥补了低交互蜜罐的不足,能够有效获取流量信息。

Description

基于流量转发的威胁感知方法、设备、装置及存储介质
技术领域
本发明涉及计算机网络安全领域,特别涉及一种基于流量转发的威胁感知方法、设备、装置及存储介质。
背景技术
蜜罐技术本质上是一种对攻击方进行欺骗的技术,通过布置一些作为诱饵的主机、网络服务或者信息,诱使攻击方对它们实施攻击,从而可以对攻击行为进行捕获和分析,了解攻击方所使用的工具与方法,推测攻击意图和动机,能够让防御方清晰地了解他们所面对的安全威胁,并通过技术和管理手段来增强实际系统的安全防护能力。所有流入流出蜜罐的流量,都预示着扫描、攻击和攻陷的可能性。
现有的蜜罐技术,如一些低交互蜜罐,在监控僵尸网络或者C2时,由于其上部署的不是真实服务,只有简单的模拟,存在明显的交互不足问题,导致无法有效的实现自动化监控以及捕获其行为数据、无法实时并有效的感知威胁的爆发。而高交互蜜罐实质上是一个真实的系统,相当于提供了一个完全开放的系统给黑客,黑客完全可能通过这个开放的系统去攻击其他系统,这就导致高交互蜜罐成为“肉鸡”,所以自然的加大了部署和维护的复杂度,及风险的扩大。
发明内容
基于上述问题,本发明提出了一种基于流量转发的威胁感知方法、系统及存储介质,通过将蜜罐设置为代理,将收到的流量转发回相应端口,使得蜜罐能够完整获取并发送交互信息,并生成pcap包,提供后续分析,解决了低交互蜜罐无法有效感知威胁,高交互蜜罐容易被攻陷的问题。
首先本发明提出一种基于流量转发的威胁感知方法,包括:
将蜜罐部署在公网,并设置公网IP;
蜜罐监听指定端口,当指定端口与蜜罐建立连接时,蜜罐反向连接来源IP对应端口;
判断所监听端口在预设时间内的连接次数是否达到预定值,如果是,则将所述端口添加到转发列表中;否则继续监听;
蜜罐将在转发列表中的端口的流量全部转发回源IP对应端口;
判断源IP对应端口是否有响应,如果是,则继续监控及转发交互流量,并将对应流量生成Pcap文件,用于分析;否则,源IP对应端口不正确或非被感染主机,关闭连接;
对Pcap包中的流量信息深度分析,解析出攻击源IP、时间戳、payload数据、URL及被攻击端口,提供给后续统计分析。
所述的方法中,所述监听指定端口为监听一个或多个指定端口。
所述的方法中,所述判断所监听端口在预设时间内的连接次数是否达到预定值,具体为:判断所监听端口在预设时间内三次握手成功的次数是否达到预定值。
本发明还提出一种基于流量转发的威胁感知设备,所述设备包括:存储器和处理器;将设备部署在公网,并设置公网IP;
所述存储器存储可在处理器上运行的计算机程序,以及转发列表、交互流量及流量生成的Pcap文件;
所述处理器运行计算机程序时,实现如下步骤:
监听指定端口,当指定端口与设备建立连接时,所述设备反向连接来源IP对应端口;
判断所监听端口在预设时间内的连接次数是否达到预定值,如果是,则将所述端口添加到转发列表中;否则继续监听;
将在转发列表中的端口的流量全部转发回源IP对应端口;
判断源IP对应端口是否有响应,如果是,则继续监控及转发交互流量,并将对应流量生成Pcap文件,用于分析;否则,源IP对应端口不正确或非被感染主机,关闭连接;
对Pcap包中的流量信息深度分析,解析出攻击源IP、时间戳、payload数据、URL及被攻击端口,提供给后续统计分析。
所述的设备中,所述监听指定端口为监听一个或多个指定端口。
所述的设备中,所述判断所监听端口在预设时间内的连接次数是否达到预定值,具体为:判断所监听端口在预设时间内三次握手成功的次数是否达到预定值。
本发明另外提出一种基于流量转发的威胁感知装置,包括:蜜罐,将蜜罐部署在公网,并设置公网IP,所述蜜罐包括:
监听模块,蜜罐监听指定端口,当指定端口与蜜罐建立连接时,蜜罐反向连接来源IP对应端口;
连接判断模块,判断所监听端口在预设时间内的连接次数是否达到预定值,如果是,则将所述端口添加到转发列表中;否则继续监听;
转发模块,蜜罐将在转发列表中的端口的流量全部转发回源IP对应端口;
响应判断模块,判断源IP对应端口是否有响应,如果是,则继续监控及转发交互流量,并将对应流量生成Pcap文件,用于分析;否则,源IP对应端口不正确或非被感染主机,关闭连接;
文件生成模块,将对应流量生成Pcap文件;
分析模块,对Pcap包中的流量信息深度分析,解析出攻击源IP、时间戳、payload数据、URL及被攻击端口,提供给后续统计分析。
所述的装置中,所述监听指定端口为监听一个或多个指定端口。
所述的装置中,所述判断所监听端口在预设时间内的连接次数是否达到预定值,具体为:判断所监听端口在预设时间内三次握手成功的次数是否达到预定值。
一种非临时性计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现如上任一所述的基于流量转发的威胁感知方法。
本发明技术方案主要使蜜罐以流量转发为主要目的,将蜜罐作为代理进行流量转发,弥补了低交互蜜罐存在的不足,相当于在“肉鸡”感染其他主机时,通过蜜罐的流量转发同时感染其自身。由于蜜罐只是起到流量转发的作用,因此大大降低了高交互蜜罐被黑客攻破的风险,并且又弥补了低交互蜜罐的不足。
本发明提出一种基于流量转发的威胁感知方法及系统,所述方法通过将蜜罐部署在公网,并设置公网IP;监听指定端口,当指定端口与蜜罐建立连接时,蜜罐反向连接来源IP对应端口;若所监听端口在预设时间内的连接次数达到预定值,则将所述端口添加到转发列表中; 蜜罐将在转发列表中的端口的流量全部转发回源IP对应端口;若源IP对应端口有响应,则继续监控及转发交互流量,并将对应流量生成Pcap文件,进行深度分析;否则,源IP对应端口不正确或非被感染主机,关闭连接;对Pcap包中的流量信息深度分析,解析出攻击源IP、时间戳、payload数据、URL及被攻击端口,提供给后续统计分析。本发明方法能够降低高交互蜜罐被攻破的风险,也弥补了低交互蜜罐的不足,能够有效获取流量信息。
附图说明
为了更清楚地说明本发明或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明中记载的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明一种基于流量转发的威胁感知方法实施例流程图;
图2为本发明一种基于流量转发的威胁感知设备结构示意图;
图3为本发明一种基于流量转发的威胁感知装置结构示意图。
具体实施方式
为了使本技术领域的人员更好地理解本发明实施例中的技术方案,并使本发明的上述目的、特征和优点能够更加明显易懂,下面结合附图对本发明中技术方案作进一步详细的说明。
本发明提出了一种基于流量转发的威胁感知方法、系统及存储介质,通过将蜜罐设置为代理,将收到的流量转发回相应端口,使得蜜罐能够完整获取并发送交互信息,并生成pcap包,提供后续分析,解决了低交互蜜罐无法有效感知威胁,高交互蜜罐容易被攻陷的问题。
首先本发明提出一种基于流量转发的威胁感知方法,如图1所示,包括:
S101:将蜜罐部署在公网,并设置公网IP;
S102:蜜罐监听指定端口,当指定端口与蜜罐建立连接时,蜜罐反向连接来源IP对应端口;假设可监听1-65535之间任意端口;
S103:判断所监听端口在预设时间内的连接次数是否达到预定值,如果是,则执行S104;否则返回S102继续监听;
S104:将所述端口添加到转发列表中,执行S105;
预设时间内如,每隔三小时统计所开启端口的三次握手成功次数是否大于5000,如果大于5000,将此端口添加进转发列表,比如转发列表有80、8080两个端口;
S105:蜜罐将在转发列表中的端口的流量全部转发回源IP对应端口;
S106:判断源IP对应端口是否有响应,如果是,则继续监控及转发交互流量;否则,源IP对应端口不正确或非被感染主机,关闭连接;
S107:继续监控及转发交互流量,并将对应流量生成Pcap文件,用于分析;
判断源IP对应端口是否有响应,主要是因为,有响应则可初步认为源IP大概率为被感染主机,因此还需要完整监控交互流量、把对应流量转成pcap文件,以便深度分析;一般情况下,某主机向蜜罐发送漏洞验证poc或漏洞exp可能被认为是存在感染成为“肉鸡”的主机。
S108:对Pcap包中的流量信息深度分析,解析出攻击源IP、时间戳、payload数据、URL及被攻击端口,提供给后续统计分析。
所述的方法中,所述监听指定端口为监听一个或多个指定端口。
所述的方法中,所述判断所监听端口在预设时间内的连接次数是否达到预定值,具体为:判断所监听端口在预设时间内三次握手成功的次数是否达到预定值。
为更充分理解本发明能够获取到恶意主机与蜜罐间交互的流量信息,以被感染主机与蜜罐的交互为例进行举例说明;
假设某被蠕虫感染的主机利用某CVE漏洞向蜜罐81端口发送一个漏洞验证poc时,与蜜罐建立了一个socket A连接,蜜罐作为代理方式工作,同时尝试与僵尸主机的81端口建立一个Socket B连接,判断发现该主机与蜜罐在预设时间内的连接次数超过预定值,则将其添加到转发列表,在此之后,攻击主机通过socket A发送过来的漏洞poc同时转发给SocketB连接,由于这个时候蜜罐是设置成代理模式,流量又转发回给了僵尸主机,如果僵尸主机开启了81端口并且本身受此CVE漏洞感染了蠕虫病毒,僵尸主机会有相关响应,回显相关数据,这样就形成一个闭环,蜜罐能记录其攻击流程及手法。在攻击流程结束后,将全部流量省城Pcap文件,提供后续分析。
本发明还提出一种基于流量转发的威胁感知设备,如图2所示,所述设备包括:存储器201和处理器202;将设备部署在公网,并设置公网IP;
所述存储器存储可在处理器上运行的计算机程序,以及转发列表、交互流量及流量生成的Pcap文件;
所述处理器运行计算机程序时,实现如下步骤:
监听指定端口,当指定端口与设备建立连接时,所述设备反向连接来源IP对应端口;
判断所监听端口在预设时间内的连接次数是否达到预定值,如果是,则将所述端口添加到转发列表中;否则继续监听;
将在转发列表中的端口的流量全部转发回源IP对应端口;
判断源IP对应端口是否有响应,如果是,则继续监控及转发交互流量,并将对应流量生成Pcap文件,用于分析;否则,源IP对应端口不正确或非被感染主机,关闭连接;
对Pcap包中的流量信息深度分析,解析出攻击源IP、时间戳、payload数据、URL及被攻击端口,提供给后续统计分析。
所述的设备中,所述监听指定端口为监听一个或多个指定端口。
所述的设备中,所述判断所监听端口在预设时间内的连接次数是否达到预定值,具体为:判断所监听端口在预设时间内三次握手成功的次数是否达到预定值。
上述设备可以通过蜜罐或相似设备实现。
一种基于流量转发的威胁感知装置,如图3所示,包括:蜜罐,将蜜罐部署在公网,并设置公网IP,所述蜜罐包括:
监听模块301,蜜罐监听指定端口,当指定端口与蜜罐建立连接时,蜜罐反向连接来源IP对应端口;
连接判断模块302,判断所监听端口在预设时间内的连接次数是否达到预定值,如果是,则将所述端口添加到转发列表中;否则继续监听;
转发模块303,蜜罐将在转发列表中的端口的流量全部转发回源IP对应端口;
响应判断模块304,判断源IP对应端口是否有响应,如果是,则继续监控及转发交互流量,并将对应流量生成Pcap文件,用于分析;否则,源IP对应端口不正确或非被感染主机,关闭连接;
文件生成模块305,将对应流量生成Pcap文件;
分析模块306,对Pcap包中的流量信息深度分析,解析出攻击源IP、时间戳、payload数据、URL及被攻击端口,提供给后续统计分析。
所述的系统中,所述监听指定端口为监听一个或多个指定端口。
所述的系统中,所述判断所监听端口在预设时间内的连接次数是否达到预定值,具体为:判断所监听端口在预设时间内三次握手成功的次数是否达到预定值。
一种非临时性计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现如上任一所述的基于流量转发的威胁感知方法。
本发明技术方案主要使蜜罐以流量转发为主要目的,将蜜罐作为代理进行流量转发,弥补了低交互蜜罐存在的不足,相当于在“肉鸡”感染其他主机时,通过蜜罐的流量转发同时感染其自身。由于蜜罐只是起到流量转发的作用,因此大大降低了高交互蜜罐被黑客攻破的风险,并且又弥补了低交互蜜罐的不足。
本发明提出一种基于流量转发的威胁感知方法及系统,所述方法通过将蜜罐部署在公网,并设置公网IP;监听指定端口,当指定端口与蜜罐建立连接时,蜜罐反向连接来源IP对应端口;若所监听端口在预设时间内的连接次数达到预定值,则将所述端口添加到转发列表中; 蜜罐将在转发列表中的端口的流量全部转发回源IP对应端口;若源IP对应端口有响应,则继续监控及转发交互流量,并将对应流量生成Pcap文件,进行深度分析;否则,源IP对应端口不正确或非被感染主机,关闭连接;对Pcap包中的流量信息深度分析,解析出攻击源IP、时间戳、payload数据、URL及被攻击端口,提供给后续统计分析。本发明方法能够降低高交互蜜罐被攻破的风险,也弥补了低交互蜜罐的不足,能够有效获取流量信息。
本说明书中的各个实施例均采用递进的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于系统实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。虽然通过实施例描绘了本发明,本领域普通技术人员知道,本发明有许多变形和变化而不脱离本发明的精神,希望所附的权利要求包括这些变形和变化而不脱离本发明的精神。

Claims (10)

1.一种基于流量转发的威胁感知方法,其特征在于,包括:
将蜜罐部署在公网,并设置公网IP;
蜜罐监听指定端口,当指定端口与蜜罐建立连接时,蜜罐反向连接来源IP对应端口;
判断所监听端口在预设时间内的连接次数是否达到预定值,如果是,则将所述端口添加到转发列表中;否则继续监听;
蜜罐将在转发列表中的端口的流量全部转发回源IP对应端口;
判断源IP对应端口是否有响应,如果是,则继续监控及转发交互流量,并将对应流量生成Pcap文件,用于分析;否则,源IP对应端口不正确或非被感染主机,关闭连接;
对Pcap包中的流量信息深度分析,解析出攻击源IP、时间戳、payload数据、URL及被攻击端口,提供给后续统计分析。
2.如权利要求1所述的方法,其特征在于,所述监听指定端口为监听一个或多个指定端口。
3.如权利要求1所述的方法,其特征在于,所述判断所监听端口在预设时间内的连接次数是否达到预定值,具体为:判断所监听端口在预设时间内三次握手成功的次数是否达到预定值。
4.一种基于流量转发的威胁感知设备,其特征在于,包括:存储器和处理器;将设备部署在公网,并设置公网IP;
所述存储器存储可在处理器上运行的计算机程序,以及转发列表、交互流量及流量生成的Pcap文件;
所述处理器运行计算机程序时,实现如下步骤:
监听指定端口,当指定端口与设备建立连接时,所述设备反向连接来源IP对应端口;
判断所监听端口在预设时间内的连接次数是否达到预定值,如果是,则将所述端口添加到转发列表中;否则继续监听;
将在转发列表中的端口的流量全部转发回源IP对应端口;
判断源IP对应端口是否有响应,如果是,则继续监控及转发交互流量,并将对应流量生成Pcap文件,用于分析;否则,源IP对应端口不正确或非被感染主机,关闭连接;
对Pcap包中的流量信息深度分析,解析出攻击源IP、时间戳、payload数据、URL及被攻击端口,提供给后续统计分析。
5.如权利要求4所述的设备,其特征在于,所述监听指定端口为监听一个或多个指定端口。
6.如权利要求4所述的设备,其特征在于,所述判断所监听端口在预设时间内的连接次数是否达到预定值,具体为:判断所监听端口在预设时间内三次握手成功的次数是否达到预定值。
7.一种基于流量转发的威胁感知装置,其特征在于,包括:将装置部署在公网,并设置公网IP,所述装置包括:
监听模块,蜜罐监听指定端口,当指定端口与蜜罐建立连接时,蜜罐反向连接来源IP对应端口;
连接判断模块,判断所监听端口在预设时间内的连接次数是否达到预定值,如果是,则将所述端口添加到转发列表中;否则继续监听;
转发模块,蜜罐将在转发列表中的端口的流量全部转发回源IP对应端口;
响应判断模块,判断源IP对应端口是否有响应,如果是,则继续监控及转发交互流量,并将对应流量生成Pcap文件,用于分析;否则,源IP对应端口不正确或非被感染主机,关闭连接;
文件生成模块,将对应流量生成Pcap文件;
分析模块,对Pcap包中的流量信息深度分析,解析出攻击源IP、时间戳、payload数据、URL及被攻击端口,提供给后续统计分析。
8.如权利要求7所述的系统,其特征在于,所述监听指定端口为监听一个或多个指定端口。
9.如权利要求7所述的系统,其特征在于,所述判断所监听端口在预设时间内的连接次数是否达到预定值,具体为:判断所监听端口在预设时间内三次握手成功的次数是否达到预定值。
10.一种非临时性计算机可读存储介质,其上存储有计算机程序,其特征在于,该程序被处理器执行时实现如权利要求1-3中任一所述的基于流量转发的威胁感知方法。
CN201810810299.5A 2018-07-23 2018-07-23 基于流量转发的威胁感知方法、设备、装置及存储介质 Active CN110753014B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201810810299.5A CN110753014B (zh) 2018-07-23 2018-07-23 基于流量转发的威胁感知方法、设备、装置及存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201810810299.5A CN110753014B (zh) 2018-07-23 2018-07-23 基于流量转发的威胁感知方法、设备、装置及存储介质

Publications (2)

Publication Number Publication Date
CN110753014A true CN110753014A (zh) 2020-02-04
CN110753014B CN110753014B (zh) 2022-01-11

Family

ID=69274918

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201810810299.5A Active CN110753014B (zh) 2018-07-23 2018-07-23 基于流量转发的威胁感知方法、设备、装置及存储介质

Country Status (1)

Country Link
CN (1) CN110753014B (zh)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111404935A (zh) * 2020-03-16 2020-07-10 广州锦行网络科技有限公司 基于攻击行为分析的蜜罐服务端口自适应应用方法及系统
CN115499242A (zh) * 2022-10-11 2022-12-20 中电云数智科技有限公司 一种基于eBPF XDP从外网引流到内网蜜罐的方法和系统
CN117118760A (zh) * 2023-10-24 2023-11-24 北京派网科技有限公司 基于伪网络的流量转发的威胁感知方法、装置和存储介质

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102387151A (zh) * 2011-11-01 2012-03-21 天津大学 一种p2p网络中基于块的病毒检测方法
CN102739647A (zh) * 2012-05-23 2012-10-17 国家计算机网络与信息安全管理中心 基于高交互蜜罐的网络安全系统及实现方法
US20150013006A1 (en) * 2013-07-02 2015-01-08 Imperva Inc. Compromised insider honey pots using reverse honey tokens
CN104348794A (zh) * 2013-07-30 2015-02-11 深圳市腾讯计算机系统有限公司 网络层ddos攻击源识别方法、装置及系统
CN106357732A (zh) * 2016-08-25 2017-01-25 珠海迈科智能科技股份有限公司 一种分布式反向代理服务端和客户端的方法、装置及系统
CN107070861A (zh) * 2016-12-27 2017-08-18 深圳市安之天信息技术有限公司 抽样流量下物联网设备蠕虫受害节点的发现方法及系统
CN107273748A (zh) * 2017-05-23 2017-10-20 成都联宇云安科技有限公司 一种基于漏洞poc实现安卓系统漏洞检测的方法

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102387151A (zh) * 2011-11-01 2012-03-21 天津大学 一种p2p网络中基于块的病毒检测方法
CN102739647A (zh) * 2012-05-23 2012-10-17 国家计算机网络与信息安全管理中心 基于高交互蜜罐的网络安全系统及实现方法
US20150013006A1 (en) * 2013-07-02 2015-01-08 Imperva Inc. Compromised insider honey pots using reverse honey tokens
CN104348794A (zh) * 2013-07-30 2015-02-11 深圳市腾讯计算机系统有限公司 网络层ddos攻击源识别方法、装置及系统
CN106357732A (zh) * 2016-08-25 2017-01-25 珠海迈科智能科技股份有限公司 一种分布式反向代理服务端和客户端的方法、装置及系统
CN107070861A (zh) * 2016-12-27 2017-08-18 深圳市安之天信息技术有限公司 抽样流量下物联网设备蠕虫受害节点的发现方法及系统
CN107273748A (zh) * 2017-05-23 2017-10-20 成都联宇云安科技有限公司 一种基于漏洞poc实现安卓系统漏洞检测的方法

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
刘祺等: "基于异常感知的威胁综合防护模型研究", 《湖北电力》 *
王斐等: "基于Libpcap的低交互Honeypot诱捕蜜罐的研究与设计", 《计算机应用与软件》 *

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111404935A (zh) * 2020-03-16 2020-07-10 广州锦行网络科技有限公司 基于攻击行为分析的蜜罐服务端口自适应应用方法及系统
CN115499242A (zh) * 2022-10-11 2022-12-20 中电云数智科技有限公司 一种基于eBPF XDP从外网引流到内网蜜罐的方法和系统
CN115499242B (zh) * 2022-10-11 2023-12-26 中电云计算技术有限公司 一种基于eBPF XDP从外网引流到内网蜜罐的方法和系统
CN117118760A (zh) * 2023-10-24 2023-11-24 北京派网科技有限公司 基于伪网络的流量转发的威胁感知方法、装置和存储介质
CN117118760B (zh) * 2023-10-24 2024-01-23 北京派网科技有限公司 基于伪网络的流量转发的威胁感知方法、装置和存储介质

Also Published As

Publication number Publication date
CN110753014B (zh) 2022-01-11

Similar Documents

Publication Publication Date Title
Zarpelão et al. A survey of intrusion detection in Internet of Things
CN107888607B (zh) 一种网络威胁检测方法、装置及网络管理设备
Panjwani et al. An experimental evaluation to determine if port scans are precursors to an attack
Bringer et al. A survey: Recent advances and future trends in honeypot research
KR101070614B1 (ko) 봇넷 정보를 이용한 악성 트래픽 격리 시스템과 봇넷 정보를 이용한 악성 트래픽 격리 방법
Ganame et al. A global security architecture for intrusion detection on computer networks
CN107204965B (zh) 一种密码破解行为的拦截方法及系统
CN110753014B (zh) 基于流量转发的威胁感知方法、设备、装置及存储介质
Kaushik et al. Detection of attacks in an intrusion detection system
CA2564615A1 (en) Self-propagating program detector apparatus, method, signals and medium
CN103916288A (zh) 一种基于网关与本地的Botnet检测方法及系统
Kang et al. Cyber threats and defence approaches in SCADA systems
Lin et al. Implementation of an SDN-based security defense mechanism against DDoS attacks
RU2679219C1 (ru) СПОСОБ ЗАЩИТЫ СЕРВЕРА УСЛУГ ОТ DDoS АТАК
Darwish et al. Vulnerability Assessment and Experimentation of Smart Grid DNP3.
CN112398829A (zh) 一种电力系统的网络攻击模拟方法及系统
Kitana et al. Towards an Epidemic SMS-based Cellular Botnet.
CN114499915B (zh) 一种虚拟节点与蜜罐结合的诱捕攻击方法、装置及系统
Li et al. A lightweight DDoS flooding attack detection algorithm based on synchronous long flows
Korcák et al. Intrusion prevention/intrusion detection system (ips/ids) for wifi networks
Zhang et al. Unveiling malicious activities in lan with honeypot
CN106209867B (zh) 一种高级威胁防御方法及系统
CN112751861A (zh) 一种基于密网和网络大数据的恶意邮件检测方法及系统
Hussain et al. An adaptive SYN flooding attack mitigation in DDOS environment
KR101606088B1 (ko) 악성 코드 탐지 방법 및 장치

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
CB02 Change of applicant information

Address after: 150028 building 7, innovation and entrepreneurship square, science and technology innovation city, Harbin high tech Industrial Development Zone, Heilongjiang Province (No. 838, Shikun Road)

Applicant after: Antan Technology Group Co.,Ltd.

Address before: 150028 building 7, innovation and entrepreneurship square, science and technology innovation city, Harbin high tech Industrial Development Zone, Harbin, Heilongjiang Province (No. 838, Shikun Road)

Applicant before: Harbin Antian Science and Technology Group Co.,Ltd.

CB02 Change of applicant information
GR01 Patent grant
GR01 Patent grant