CN110830457A - 一种基于蜜罐诱导的攻击感知方法、装置、设备及介质 - Google Patents
一种基于蜜罐诱导的攻击感知方法、装置、设备及介质 Download PDFInfo
- Publication number
- CN110830457A CN110830457A CN201911024482.3A CN201911024482A CN110830457A CN 110830457 A CN110830457 A CN 110830457A CN 201911024482 A CN201911024482 A CN 201911024482A CN 110830457 A CN110830457 A CN 110830457A
- Authority
- CN
- China
- Prior art keywords
- data packet
- target data
- target
- analyzed
- rule
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
- H04L63/205—Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开了一种基于蜜罐诱导的攻击感知方法、装置、设备及介质,所述方法包括过滤捕获的数据包以得到第一目标数据包,将所述第一目标数据包输出至用户态进程;在用户态进程中确定所述第一目标数据包对应的目标通信诱导策略,基于所述目标通信诱导策略与所述第一目标数据包对应的源互联网协议地址通信以捕获所述源互联网协议地址发出的至少一个第二目标数据包;将第一目标数据包和/或其对应的第二目标数据包确定为待解析数据包,基于预设的解析规则集对所述待解析数据包进行解析,根据解析结果分析攻击行为。本发明兼具了入侵检测系统和蜜罐系统的双重优势,能够更加全面地捕获攻击信息,保护网络的安全。
Description
技术领域
本发明涉及入侵检测领域,尤其涉及一种基于蜜罐诱导的攻击感知方法、装置、设备及介质。
背景技术
入侵检测系统是指依照一定的安全策略,对网络、系统的运行状况进行监视,尽可能发现各种攻击企图、攻击行为或者攻击结果,并提出告警的系统。传统的入侵检测系统通过安全策略对入侵行为进行行为匹配,从而达到检测目的。但是,这种传统的检测方法无法对攻击行为进行诱导,并且对于未能匹配安全策略的攻击行为无法识别。
发明内容
为了解决现有技术中传统的检测方法无法对攻击行为进行诱导,并且对于未能匹配安全策略的攻击行为无法识别的技术问题。本发明实施例提供一种基于蜜罐诱导的攻击感知方法、装置、设备及介质。
一方面,本发明提供了一种基于蜜罐诱导的攻击感知方法,所述方法包括:
过滤捕获的数据包以得到第一目标数据包,将所述第一目标数据包输出至用户态进程;
在用户态进程中确定所述第一目标数据包对应的目标通信诱导策略,基于所述目标通信诱导策略与所述第一目标数据包对应的源互联网协议地址通信以捕获所述源互联网协议地址发出的至少一个第二目标数据包;
将第一目标数据包和/或其对应的第二目标数据包确定为待解析数据包,基于预设的解析规则集对所述待解析数据包进行解析,根据解析结果分析攻击行为。
另一方面,本发明提供一种基于蜜罐诱导的攻击感知装置,所述装置包括:
数据包捕获模块,用于过滤捕获的数据包以得到第一目标数据包,将所述第一目标数据包输出至用户态进程;
诱导模块,用于在用户态进程中确定所述第一目标数据包对应的目标通信诱导策略,基于所述目标通信诱导策略与所述第一目标数据包对应的源互联网协议地址通信以捕获所述源互联网协议地址发出的至少一个第二目标数据包;
解析模块,用于将第一目标数据包和/或其对应的第二目标数据包确定为待解析数据包,基于预设的解析规则集对所述待解析数据包进行解析,根据解析结果分析攻击行为。
另一方面,本发明提供了一种基于蜜罐诱导的攻击感知设备,其特征在于,所述设备包括处理器和存储器,所述存储器中存储有至少一条指令、至少一段程序、代码集或指令集,所述至少一条指令、所述至少一段程序、所述代码集或指令集由所述处理器加载并执行以实现一种基于蜜罐诱导的攻击感知方法。
另一方面,本发明提供了一种计算机存储介质,其特征在于,所述存储介质中存储有至少一条指令、至少一段程序、代码集或指令集,所述至少一条指令、至少一段程序、代码集或指令集由处理器加载并执行一种基于蜜罐诱导的攻击感知方法。
本发明提供了一种基于蜜罐诱导的攻击感知方法、装置、设备及介质。本发明先对捕获的数据包进行过滤,并通过向数据包的源网络协议地址返回回复数据包,诱导源网络协议地址发出后续数据包,得到待解析数据包,并对待解析数据进行解析进而分析攻击行为,从而兼具了入侵检测系统和蜜罐系统的双重优势,能够更加全面地捕获攻击信息,保护网络的安全。本发明可以对于各种端口进行攻击感知,并且在诱导过程中实施指纹欺骗,提升诱导成功率,以便于感知各种类型的攻击。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案和优点,下面将对实施例或现有技术描述中所需要使用的附图作简单的介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其它附图。
图1是本发明提供的一种基于蜜罐诱导的攻击感知方法的实施环境示意图;
图2是本发明提供的一种基于蜜罐诱导的攻击感知方法流程图;
图3是本发明提供的第一目标数据包过滤逻辑示意图;
图4是本发明提供的确定所述第一目标数据包对应的目标通信诱导策略流程图;
图5是本发明提供的若所述传输协议为传输控制协议,则基于所述目标通信诱导策略与所述第一目标数据包对应的源互联网协议地址通信以捕获所述源互联网协议地址发出的至少一个第二目标数据包流程图;
图6是本发明提供的三次握手和四次挥手流程图;
图7是本发明提供的TCP协议中回复数据包生成示意图;
图8是本发明提供的若所述传输协议为用户数据报协议,则基于所述目标通信诱导策略与所述第一目标数据包对应的源互联网协议地址通信以捕获所述源互联网协议地址发出的至少一个第二目标数据包流程图;
图9是本发明提供的基于预设的解析规则集对所述待解析数据包进行解析,根据解析结果分析攻击行为流程图;
图10是本发明提供的IDS引擎的运行逻辑示意图;
图11是本发明提供的规则组集示意图;
图12是本发明提供的一种基于蜜罐诱导的攻击感知方法的流程示意图;
图13是本发明提供的一种基于蜜罐诱导的攻击感知装置框图;
图14是本发明提供的一种用于实现本发明实施例所提供的方法的设备的硬件结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本发明保护的范围。
需要说明的是,本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本发明的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或服务器不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
为了使本发明实施例公开的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明实施例进行进一步详细说明。应当理解,此处描述的具体实施例仅仅用以解释本发明实施例,并不用于限定本发明实施例。
以下,术语“第一”、“第二”仅用于描述目的,而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此,限定有“第一”、“第二”的特征可以明示或者隐含地包括一个或者更多个该特征。在本实施例的描述中,除非另有说明,“多个”的含义是两个或两个以上。为了便于理解本发明实施例所述的技术方案及其产生的技术效果,本发明实施例首先对于相关专业名词进行解释:
Scapy:Scapy是一个功能强大的交互式数据包操作程序,它能够伪造或解码大量协议的数据包,通过线路对数据包进行发送和捕获,匹配相关请求以及进行回复。
NetfilterQueue:NetfilterQueue提供对Linux中对IPTABLES规则匹配的数据包的访问,可以对匹配的数据包进行接受、删除、更改或者给予标记等操作。
IPTABLES:IPTABLES可以用于设置、维护和检查Linux内核的数据包过滤规则。
蜜罐技术:蜜罐技术本质上是一种对攻击方进行欺骗的技术,通过布置诱饵主机、网络服务或者信息,诱使攻击方对它们实施攻击,从而可以对攻击行为进行捕获和分析,了解攻击方所使用的工具与方法,推测攻击意图和动机,能够让防御方清晰地了解他们所面对的安全威胁,并通过技术和管理手段来增强实际系统的安全防护能力。现有的蜜罐技术方案较多,比较知名的蜜罐方案有Honeyd、T-Pot、Dionaea等。
IDS:即入侵检测系统,依照一定的安全策略,对网络、系统的运行状况进行监视,尽可能发现各种攻击企图、攻击行为或者攻击结果,并提出告警的系统。现有的IDS技术方案同样较多,开源的IDS方案有Snort、Suricata、OSSEC等。
TCP:TCP(Transmission Control Protocol,传输控制协议)是一种面向连接的、可靠的、基于字节流的传输层通信协议。
UDP:UDP(User Datagram Protocol,用户数据报协议)是一种为应用程序提供无需建立连接就可以发送封装的数据包的协议。
JSON:JSON(JavaScript Object Notation,JS对象简谱)是一种轻量级的数据交换格式。
MONGODB:一种基于分布式文件存储的数据库。
IP:网络之间互连的协议。
传统蜜罐技术更多的是针对某几个协议、某几个软件或者某几个漏洞进行攻击欺骗,收集到的攻击信息较为深入,但感知到的攻击面较为狭隘,无法针对特殊的攻击进行信息收集和预警。单一的IDS系统主要是针对网络和系统进行监视,但是无法对攻击行为进行诱导,同时会忽略未能匹配安全策略的攻击行为。为了能够使得入侵检测系统具备诱导攻击的能力,本发明实施例将蜜罐技术与入侵检测技术相结合,提供一种基于蜜罐诱导的攻击感知方法。
首先,本发明实施例公开了在一个可行的实施例中所述一种基于蜜罐诱导的攻击感知方法的实施环境。
参见图1,该实施环境包括:数据包捕获服务器01和攻击分析服务器03。数据包捕获服务器01和攻击分析服务器03通信连接。
所述数据包捕获服务器01可以对于各种针对各种端口发布的数据包进行捕获和过滤,以得到目标数据包,通过预设的诱导策略诱导数据包的发布者对于数据包捕获服务器进行进一步的攻击,以便于获得更多的数据包。
攻击分析服务器03可以分析数据包捕获服务器01获得的各种数据包,并基于预设的规则解析集对数据包进行解析,从而根据解析结果分析攻击类型。
数据包捕获服务器01和攻击分析服务器03均可以包括一个独立运行的服务器,或者分布式服务器,或者由多个服务器组成的服务器集群。
请参考图2,其示出了一种基于蜜罐诱导的攻击感知方法,所述方法可以包括:
S101.过滤捕获的数据包以得到第一目标数据包,将所述第一目标数据包输出至用户态进程。
对于操作系统而言,创建一个进程会消耗很多物理资源。比如分配物理内存,父子进程拷贝信息,拷贝设置页目录页表等等,为了科学管理资源,需要对进程进行特权分级,以减少有限资源的访问和使用冲突。比如常见的x86架构有四个级别,0-3级,0级特权级最高,3级特权级最低。
当一个进程在执行用户自己可控的代码时处于用户运行态(用户态),此时特权级最低,为3级,是普通的用户进程运行的特权级。当一个进程因为操作系统调用陷入内核代码中执行时处于内核运行态(内核态),此时特权级最高,为0级。执行的内核代码会使用当前进程的内核栈,每个进程都有自己的内核栈。
当网络数据包流入操作系统后,运行于内核态进程之中,无法对该网络数据包进行处理,因此,本发明实施例首先通过过滤捕获的数据包,并将过滤后得到的第一目标数据包输出至用户态进程达到在后续步骤中对第一目标数据包可处理的目的。
为了精确过滤数据包,从而达到有选择处理第一目标数据包的目的,本发明实施例依赖Netfiter框架使用NetfilterQueue技术,将符合过滤规则的数据包压入由数字标识的队列中,以队列的形式将第一目标数据包传输至用户态进程。而在具体实现上,则可以基于IPTABLES实现过滤规则以决定将哪些数据包确定为第一目标数据包传入用户态。IPTABLES过滤规则可以基于实际需要进行定制,比如过滤规则“IPTABLES-A INPUT-p tcp-m set--match-set tcp_ports dst-j NFQUEUE”用于过滤基于TCP协议传输的某种数据包,过滤规则“IPTABLES-A INPUT-p udp-m set--match-set udp_ports dst-j NFQUEUE”用于过滤基于UDP协议传输的某种数据包。
其中,tcp_ports和udp_ports用来定义要将哪些端口的数据包确定为第一目标数据包,可以由IPSET实现。IPSET是IPTABLES的扩展,允许创建匹配整个地址集合的规则,而不像普通的IPTABLES链只能单IP匹配,IP集合存储在带索引的数据结构中,这种结构即使集合比较大也可以进行高效的查找。
基于IPSET创建规则的示例可以为:
IPSET create tcp_ports bitmap:port range 1-65535
IPSET add tcp_ports 1-65535
IPSET create udp_ports bitmap:port range 1-65535
IPSET add udp_ports 1-65535
进一步地,还可以使用如下指令排除一些特殊的端口,如SSH远程登录端口:IPSETdel tcp_ports 22。其中,SSH为SecureShell的缩写,SSH为建立在应用层基础上的安全协议,是目前较可靠,专为远程登录会话和其他网络服务提供安全性的协议。
在一个具体的实施例中,如图3所示,可以将基于TCP和UDP传输的数据包确定为第一目标数据包,一些特殊端口,比如SSH远程登录端口和ICMP数据包不确定为第一目标数据包,而是交由内核态进程进行处理。其中,ICMP(Internet Control Message Protocol,控制报文协议),是用于在主机、路由器之间传递控制消息的协议。
S103.在用户态进程中确定所述第一目标数据包对应的目标通信诱导策略,基于所述目标通信诱导策略与所述第一目标数据包对应的源互联网协议地址通信以捕获所述源互联网协议地址发出的至少一个第二目标数据包。
本发明实施例中通过设置通信诱导策略达到了诱使疑似攻击方与用户态进程进行进一步的通信的目的,通过诱使攻击方与用户态进程进行通信可以捕获一个或多个第二目标数据包,从而可以在后续流程中基于对于第一目标数据包以及第二目标数据包的解析结果判断所述疑似攻击方是否为真实攻击方,并进而分析真实攻击方的攻击行为。本发明实施例通过部署通信诱导策略使得用户态进程所在的设备成为了蜜罐,以达到将蜜罐技术与入侵检测技术相结合的目的。
在一个可行的实施例中,所述确定所述第一目标数据包对应的目标通信诱导策略,如图4所示,包括:
S1031.获取所述第一目标数据包对应的传输协议。
具体地,所述传输协议可以为传输控制协议或用户数据报协议。
S1033.将所述传输协议对应的目标诱导策略确定为目标通信诱导策略。
具体地,若所述传输协议为传输控制协议,则基于所述目标通信诱导策略与所述第一目标数据包对应的源互联网协议地址通信以捕获所述源互联网协议地址发出的至少一个第二目标数据包,如图5所示,包括:
S1.获取第一目标数据包中报文头部的标志位。
具体地,本发明实施例可以基于Scapy框架解析TCP报文结构,从而获取报文头部的标志位。
S3.根据所述标志位生成回复数据包。
根据所述标志位生成回复数据包的目的在于能够与所述第一目标数据包对应的源互联网协议地址持续通信,通信过程符合TCP协议的通信规则,因此,本发明实施例首先对于TCP协议的通信规则进行介绍,所述通信规则可以被概括为三次握手和四次挥手。
如图6所示,三次握手过程用于建立基于TCP的通信链接,四次挥手用于断开基于TCP的通信链接。
三次握手过程如下:
第一次握手:客户端发送标志位为SYN的数据包(seq=x,其中seq为序列号)到服务器,并进入SYN_SEND状态,等待服务器确认;
第二次握手:服务器收到标志位为SYN的数据包,回复标志位为ACK的数据包,并且ACK数据包中序列号为x+1,同时再发送一个标志位为SYN的数据包(seq=y),即SYN+ACK包,此时服务器进入SYN_RECV状态;
第三次握手:客户端收到服务器的SYN+ACK包,向服务器发送标志位为ACK的确认数据包,并且确认数据包中序列号为x+1。
至此,客户端和服务器进入ESTABLISHED状态,完成三次握手,建立通信链接,可以开始传输数据。理想状态下,TCP连接一旦建立,在通信双方中的任何一方主动关闭连接之前,TCP连接都将被一直保持下去。
四次挥手过程如下:
第一次挥手:主动关闭方发送一个标志位为FIN的数据包,用来关闭主动方到被动关闭方的数据传送。
第二次挥手:被动关闭方收到标志位为FIN的数据包后,发送标志位为ACK的数据包给主动关闭方。
第三次挥手:被动关闭方再次发送一个标志位为FIN的数据包,用来关闭被动关闭方到主动关闭方的数据传送。
第四次挥手:主动关闭方收到标志位为FIN的数据包后,发送一个标志位为ACK的数据包给被动关闭方。至此,完成四次挥手。
基于上述TCP通信规则,如图7所示,本发明实施例中根据所述标志位生成回复数据包包括:
若所述标志位为SYN,则根据三次握手过程生成标志位为ACK的数据包和标志位为SYN的数据包,将所述标志位为ACK的数据包和标志位为SYN的数据包作为回复数据包。
若所述标志位为SYN,则表征第一目标数据包为TCP三次握手的第一次握手过程中发出的数据包,因此用户态进程需要生成第二次握手所需的SYN/ACK数据包,以便于对方再发送第三次握手ACK确认包,完成三次握手,建立通信链接。即用户态进程接收到SYN数据包后,需要模拟SYN/ACK数据包进行响应,欺骗对方回复第三个握手包,从而让对方系统得出其希望连接的端口已经被开放,并成功与之建立连接的假象。
若所述标志位为PSH,则获取所述第一目标数据包指向的端口,判断所述端口是否存在对应的指纹信息,若存在,则根据所述指纹信息生成回复数据包;若不存在,直接生成标志为ACK的确认数据包。
连接建立后,对方开始发送数据,带数据的数据包标志位是PSH,用户态进程根据端口查看指纹库是否存在对应指纹信息,如果存在指纹信息,则返回指纹信息;如果不存在指纹信息,则返回ACK确认包,表示已经收到该数据包。根据返回的指纹信息可以欺骗对方存在使用该端口的应用程序,诱使对方进行攻击,从而获取第二目标数据包。
具体地,本发明实施例并不对所述端口进行特殊限定,其可以支持包括TCP和UDP等多种协议使用的端口在内的编号为0至65535的全部端口。相应的,本发明实施例能够感知针对特殊目标的攻击,如物联网设备、工控设备等,这些设备通常运行在较为冷门的端口,容易被防护者忽略。
若所述标志位为FIN,则根据四次挥手过程生成标志位为ACK的数据包和标志位为FIN的数据包,将所述标志位为ACK的数据包和标志位为FIN的数据包作为回复数据包。
所述标志位为FIN,则表示对方想关闭连接。若用户态进程不模拟四次挥手流程,对方就会在一段时间内停在某个固定的状态,容易让对方怀疑其访问的对象是一个蜜罐,导致引诱攻击的失败。
而对于其他的标志位,用户态可以将数据包传回给内核态,让操作系统自行处理,比如生成某个回复数据包。
S5.将所述回复数据包发送至所述第一目标数据包的源互联网协议地址。
具体地,如图8所示,若所述传输协议为用户数据报协议,则基于所述目标通信诱导策略与所述第一目标数据包对应的源互联网协议地址通信以捕获所述源互联网协议地址发出的至少一个第二目标数据包,包括:
S2.解析第一目标数据包以得到所述第一目标数据包指向的端口。
S4.判断所述端口是否存在对应的指纹信息。
S6.若存在,则根据所述指纹信息生成回复数据包。
具体地,本发明实施例并不对所述端口进行特殊限定,其可以支持包括TCP和UDP等多种协议使用的端口在内的编号为0至65535的全部端口。
若不存在,则将所述第一目标数据包回传至内核态进程。将第一目标数据包回传至内核态进程,可以让操作系统自行处理,比如生成某个回复数据包。
S8.将所述回复数据包发送至所述第一目标数据包的源互联网协议地址。
S105.将第一目标数据包和/或其对应的第二目标数据包确定为待解析数据包,基于预设的解析规则集对所述待解析数据包进行解析,根据解析结果分析攻击行为。
在一个优选的实施例中,还可以对待解析数据包和其解析结果进行存储。
在一个可行的实施例中,可以对用户态进程中截获的各种数据包,第一目标数据包和其对应的第二目标数据包均进行解析,即将第一目标数据包和其对应的第二目标数据包均确定为待解析数据包。
具体地,可以将待解析数据包传输至IDS引擎进行解析,所述IDS引擎可以构建规则组集,所述规则组集中包括至少一个规则组,每个规则组对应一种传输协议,每个规则组中包括至少一条规则。在一个优选的实施例中,每个规则组还包括至少一个标签集,所述标签集中的标签与所述规则组中的规则子集存在映射关系。
比如A协议对应规则组1,规则组1中可以包括10条规则{规则1,规则2,……,规则10},规则组1还包括2个标签,其中标签1与规则子集{规则1,规则3,规则5}存在映射关系,所述映射关系为或关系;标签2与规则子集{规则2,规则4,规则6}存在映射关系所述映射关系为与关系。即若某个数据包匹配规则1,规则3,规则5中的任意一条规则,其可以被打上标签1;若某个数据包同时匹配规则2,规则4,规则6,则其可以被打上标签2。
具体地,IDS引擎的规则可以JSON格式保存在MONGODB数据库中,规则选项如下:源IP地址(sip)、源端口(sport)、目标IP(dip)、目标端口(dport)、内容(connect)、协议(proto)、分组类型(group_type)、数据标签(data_label),例如针对SSH的某条规则:
相应的,所述基于预设的解析规则集对所述待解析数据包进行解析,根据解析结果分析攻击行为,如图9所示,包括:
S1051.获取待解析数据包的传输协议。
S1053.在预设的规则组集中获取所述传输协议对应的规则组,所述规则组包括规则和标签。
S1055.基于所述规则组对所述待解析数据包进行解析,以得到所述待解析数据包与所述规则组中各个规则的匹配结果。
S1057.根据所述匹配结果为所述待解析数据包增加标签。
具体地,所述标签即可指向某种攻击行为,或作为用户分析某种攻击行为的依据。
在一个优选的实施例中,若所述匹配结果为空,即不存在与所述待解析数据包匹配的规则,则将所述待解析数据包确定为待分析数据包,基于所述待解析数据包更新所述规则组。
有别于传统的IDS引擎对于无法匹配的数据包采取忽略策略的现有技术,本发明实施例可以将所述待解析数据包确定为待分析数据包,以便于自动或后续由安全人员对数据包进行分析,然后更新其对应的规则。在一个优选的实施例中,用户态进程还可以定期调用当前最新的规则组集对待分析数据包进行再次解析,以解析之前未能成功解析的数据包。
如图10所示,其示出了本发明实施例中IDS引擎的运行逻辑示意图。IDS引擎由用户态进程所调用,其可以对于各个待解析数据包按照其对应的规则组的规则进行解析以得到其对应的标签,还能够在无法进行成功解析时更新规则组,以达到自适应更新规则组集的目的,从而提升IDS引擎识别攻击的能力。
在一个优选的实施例中,为了加快解析速度,IDS引擎可以为规则组进一步设置快捷解析规则集,可以基于快捷解析规则集中的快捷解析规则对所述待解析数据包进行解析,若解析失败(匹配结果为空),再按照步骤S1055中的流程对所述待解析数据包进行解析,以达到提升解析速度的目的。
在一个可行的实施例中,如图11所示,可以将规则组集划分为TCP组,UDP组和ICMP组,TCP组,UDP组和ICMP组中均设置两个快捷解析规则,分别为黑名单和白名单,若待解析数据包被黑名单命中,则为其增加黑名单对应的标签;若所述待解析数据包被白名单命中,则为其增加白名单对应的标签。
本发明实施例可以被应用于情报溯源体系的蜜罐群中,从而帮助安全人员收集大量的攻击数据和病毒样本,其可以覆盖全部端口,以便于捕获到针对特殊设备的攻击,比如,使用本发明实施例可以捕获针对某种路由器后门的攻击:
如图12所示,其示出了本发明实施例提供的一种基于蜜罐诱导的攻击感知方法的流程示意图,其先对捕获的数据包进行过滤,并通过向数据包的源网络协议地址返回回复数据包,诱导源网络协议地址发出后续数据包,得到待解析数据包,并对待解析数据进行解析进而分析攻击行为,从而兼具了入侵检测系统和蜜罐系统的双重优势,能够更加全面地捕获攻击信息,保护网络的安全。本发明实施例可以对于各种端口进行攻击感知,并且在诱导过程中实施指纹欺骗,提升诱导成功率,以便于感知各种类型的攻击。
本发明实施例还公开一种基于蜜罐诱导的攻击感知装置,如图13所示,所述装置包括:
数据包捕获模块201,用于过滤捕获的数据包以得到第一目标数据包,将所述第一目标数据包输出至用户态进程;
诱导模块203,用于在用户态进程中确定所述第一目标数据包对应的目标通信诱导策略,基于所述目标通信诱导策略与所述第一目标数据包对应的源互联网协议地址通信以捕获所述源互联网协议地址发出的至少一个第二目标数据包;
解析模块205,用于将第一目标数据包和/或其对应的第二目标数据包确定为待解析数据包,基于预设的解析规则集对所述待解析数据包进行解析,根据解析结果分析攻击行为。
具体地,本发明实施例所述一种基于蜜罐诱导的攻击感知装置与方法实施例均基于相同发明构思。详情请参见方法实施例,在此不再赘述。
本发明实施例还提供了一种计算机存储介质,所述计算机存储介质可以存储有多条指令。所述指令可以适于由处理器加载并执行本发明实施例所述的一种基于蜜罐诱导的攻击感知方法,所述方法至少包括下述步骤:
一种基于蜜罐诱导的攻击感知方法,所述方法包括:
过滤捕获的数据包以得到第一目标数据包,将所述第一目标数据包输出至用户态进程;
在用户态进程中确定所述第一目标数据包对应的目标通信诱导策略,基于所述目标通信诱导策略与所述第一目标数据包对应的源互联网协议地址通信以捕获所述源互联网协议地址发出的至少一个第二目标数据包;
将第一目标数据包和/或其对应的第二目标数据包确定为待解析数据包,基于预设的解析规则集对所述待解析数据包进行解析,根据解析结果分析攻击行为。
在一个优选的实施例中,所述在用户态进程中确定所述第一目标数据包对应的目标通信诱导策略,包括:
获取所述第一目标数据包对应的传输协议;
将所述传输协议对应的目标诱导策略确定为目标通信诱导策略。
在一个优选的实施例中,若所述传输协议为传输控制协议,则基于所述目标通信诱导策略与所述第一目标数据包对应的源互联网协议地址通信以捕获所述源互联网协议地址发出的至少一个第二目标数据包,包括:
获取第一目标数据包中报文头部的标志位;
根据所述标志位生成回复数据包;
将所述回复数据包发送至所述第一目标数据包的源互联网协议地址。
一个优选的实施例中,所述根据所述标志位生成回复数据包,包括:
若所述标志位为SYN,则根据三次握手过程生成标志位为ACK的数据包和标志位为SYN的数据包,将所述标志位为ACK的数据包和标志位为SYN的数据包作为回复数据包;
若所述标志位为PSH,则获取所述第一目标数据包指向的端口,判断所述端口是否存在对应的指纹信息,若存在,则根据所述指纹信息生成回复数据包;若不存在,直接生成标志为ACK的确认数据包;
若所述标志位为FIN,则根据四次挥手过程生成标志位为ACK的数据包和标志位为FIN的数据包,将所述标志位为ACK的数据包和标志位为FIN的数据包作为回复数据包。
一个优选的实施例中,若所述传输协议为用户数据报协议,则基于所述目标通信诱导策略与所述第一目标数据包对应的源互联网协议地址通信以捕获所述源互联网协议地址发出的至少一个第二目标数据包,包括:
解析第一目标数据包以得到所述第一目标数据包指向的端口;
判断所述端口是否存在对应的指纹信息,若存在,则根据所述指纹信息生成回复数据包;
将所述回复数据包发送至所述第一目标数据包的源互联网协议地址。
一个优选的实施例中,所述基于预设的解析规则集对所述待解析数据包进行解析,根据解析结果分析攻击行为,包括:
获取待解析数据包的传输协议;
在预设的规则组集中获取所述传输协议对应的规则组,所述规则组包括规则和标签;
基于所述规则组对所述待解析数据包进行解析,以得到所述待解析数据包与所述规则组中各个规则的匹配结果;
根据所述匹配结果为所述待解析数据包增加标签。
一个优选的实施例中,所述基于所述规则组对所述待解析数据包进行解析,以得到所述待解析数据包与所述规则组中各个规则的匹配结果,之后还包括:
若所述匹配结果为空,即不存在与所述待解析数据包匹配的规则,则将所述待解析数据包确定为待分析数据包,基于所述待解析数据包更新所述规则组。
进一步地,图14示出了一种用于实现本发明实施例所提供的方法的设备的硬件结构示意图,所述设备可以参与构成或包含本发明实施例所提供的装置或系统。如图14所示,设备10可以包括一个或多个(图中采用102a、102b,……,102n来示出)处理器102(处理器102可以包括但不限于微处理器MCU或可编程逻辑器件FPGA等的处理装置)、用于存储数据的存储器104、以及用于通信功能的传输装置106。除此以外,还可以包括:显示器、输入/输出接口(I/O接口)、通用串行总线(USB)端口(可以作为I/O接口的端口中的一个端口被包括)、网络接口、电源和/或相机。本领域普通技术人员可以理解,图14所示的结构仅为示意,其并不对上述电子装置的结构造成限定。例如,设备10还可包括比图14中所示更多或者更少的组件,或者具有与图14所示不同的配置。
应当注意到的是上述一个或多个处理器102和/或其他数据处理电路在本文中通常可以被称为“数据处理电路”。该数据处理电路可以全部或部分的体现为软件、硬件、固件或其他任意组合。此外,数据处理电路可为单个独立的处理模块,或全部或部分的结合到设备10(或移动设备)中的其他元件中的任意一个内。如本申请实施例中所涉及到的,该数据处理电路作为一种处理器控制(例如与接口连接的可变电阻终端路径的选择)。
存储器104可用于存储应用软件的软件程序以及模块,如本发明实施例中所述的方法对应的程序指令/数据存储装置,处理器102通过运行存储在存储器104内的软件程序以及模块,从而执行各种功能应用以及数据处理,即实现上述的一种基于蜜罐诱导的攻击感知方法。存储器104可包括高速随机存储器,还可包括非易失性存储器,如一个或者多个磁性存储装置、闪存、或者其他非易失性固态存储器。在一些实例中,存储器104可进一步包括相对于处理器102远程设置的存储器,这些远程存储器可以通过网络连接至设备10。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
传输装置106用于经由一个网络接收或者发送数据。上述的网络具体实例可包括设备10的通信供应商提供的无线网络。在一个实例中,传输装置106包括一个网络适配器(NetworkInterfaceController,NIC),其可通过基站与其他网络设备相连从而可与互联网进行通讯。在一个实例中,传输装置106可以为射频(RadioFrequency,RF)模块,其用于通过无线方式与互联网进行通讯。
显示器可以例如触摸屏式的液晶显示器(LCD),该液晶显示器可使得用户能够与设备10(或移动设备)的用户界面进行交互。
需要说明的是:上述本发明实施例先后顺序仅仅为了描述,不代表实施例的优劣。且上述对本说明书特定实施例进行了描述。其它实施例在所附权利要求书的范围内。在一些情况下,在权利要求书中记载的动作或步骤可以按照不同于实施例中的顺序来执行并且仍然可以实现期望的结果。另外,在附图中描绘的过程不一定要求示出的特定顺序或者连续顺序才能实现期望的结果。在某些实施方式中,多任务处理和并行处理也是可以的或者可能是有利的。
本说明书中的各个实施例均采用递进的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于装置和服务器实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
本领域普通技术人员可以理解实现上述实施例的全部或部分步骤可以通过硬件来完成,也可以通过程序来指令相关的硬件完成,所述的程序可以存储于一种计算机可读存储介质中,上述提到的存储介质可以是只读存储器,磁盘或光盘等。
以上所述仅为本发明的较佳实施例,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (10)
1.一种基于蜜罐诱导的攻击感知方法,其特征在于,所述方法包括:
过滤捕获的数据包以得到第一目标数据包,将所述第一目标数据包输出至用户态进程;
在用户态进程中确定所述第一目标数据包对应的目标通信诱导策略,基于所述目标通信诱导策略与所述第一目标数据包对应的源互联网协议地址通信以捕获所述源互联网协议地址发出的至少一个第二目标数据包;
将第一目标数据包和/或其对应的第二目标数据包确定为待解析数据包,基于预设的解析规则集对所述待解析数据包进行解析,根据解析结果分析攻击行为。
2.根据权利要求1所述的方法,其特征在于,所述在用户态进程中确定所述第一目标数据包对应的目标通信诱导策略,包括:
获取所述第一目标数据包对应的传输协议;
将所述传输协议对应的目标诱导策略确定为目标通信诱导策略。
3.根据权利要求2所述的方法,其特征在于,若所述传输协议为传输控制协议,则基于所述目标通信诱导策略与所述第一目标数据包对应的源互联网协议地址通信以捕获所述源互联网协议地址发出的至少一个第二目标数据包,包括:
获取第一目标数据包中报文头部的标志位;
根据所述标志位生成回复数据包;
将所述回复数据包发送至所述第一目标数据包的源互联网协议地址。
4.根据权利要求3所述的方法,其特征在于,所述根据所述标志位生成回复数据包,包括:
若所述标志位为SYN,则根据三次握手过程生成标志位为ACK的数据包和标志位为SYN的数据包,将所述标志位为ACK的数据包和标志位为SYN的数据包作为回复数据包;
若所述标志位为PSH,则获取所述第一目标数据包指向的端口,判断所述端口是否存在对应的指纹信息,若存在,则根据所述指纹信息生成回复数据包;若不存在,直接生成标志为ACK的确认数据包;
若所述标志位为FIN,则根据四次挥手过程生成标志位为ACK的数据包和标志位为FIN的数据包,将所述标志位为ACK的数据包和标志位为FIN的数据包作为回复数据包。
5.根据权利要求2所述的方法,其特征在于,若所述传输协议为用户数据报协议,则基于所述目标通信诱导策略与所述第一目标数据包对应的源互联网协议地址通信以捕获所述源互联网协议地址发出的至少一个第二目标数据包,包括:
解析第一目标数据包以得到所述第一目标数据包指向的端口;
判断所述端口是否存在对应的指纹信息,若存在,则根据所述指纹信息生成回复数据包;
将所述回复数据包发送至所述第一目标数据包的源互联网协议地址。
6.根据权利要求1所述的方法,其特征在于,所述基于预设的解析规则集对所述待解析数据包进行解析,根据解析结果分析攻击行为,包括:
获取待解析数据包的传输协议;
在预设的规则组集中获取所述传输协议对应的规则组,所述规则组包括规则和标签;
基于所述规则组对所述待解析数据包进行解析,以得到所述待解析数据包与所述规则组中各个规则的匹配结果;
根据所述匹配结果为所述待解析数据包增加标签。
7.根据权利要求6所述的方法,其特征在于,所述基于所述规则组对所述待解析数据包进行解析,以得到所述待解析数据包与所述规则组中各个规则的匹配结果,之后还包括:
若所述匹配结果为空,即不存在与所述待解析数据包匹配的规则,则将所述待解析数据包确定为待分析数据包,基于所述待解析数据包更新所述规则组。
8.一种基于蜜罐诱导的攻击感知装置,其特征在于,所述装置包括:
数据包捕获模块,用于过滤捕获的数据包以得到第一目标数据包,将所述第一目标数据包输出至用户态进程;
诱导模块,用于在用户态进程中确定所述第一目标数据包对应的目标通信诱导策略,基于所述目标通信诱导策略与所述第一目标数据包对应的源互联网协议地址通信以捕获所述源互联网协议地址发出的至少一个第二目标数据包;
解析模块,用于将第一目标数据包和/或其对应的第二目标数据包确定为待解析数据包,基于预设的解析规则集对所述待解析数据包进行解析,根据解析结果分析攻击行为。
9.一种计算机存储介质,其特征在于,所述存储介质中存储有至少一条指令、至少一段程序、代码集或指令集,所述至少一条指令、至少一段程序、代码集或指令集由处理器加载并执行以实现如权利要求1-7任一项所述的一种基于蜜罐诱导的攻击感知方法。
10.一种基于蜜罐诱导的攻击感知设备,其特征在于,所述设备包括处理器和存储器,所述存储器中存储有至少一条指令、至少一段程序、代码集或指令集,所述至少一条指令、所述至少一段程序、所述代码集或指令集由所述处理器加载并执行如权利要求1-7任一项所述的一种基于蜜罐诱导的攻击感知方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911024482.3A CN110830457B (zh) | 2019-10-25 | 2019-10-25 | 一种基于蜜罐诱导的攻击感知方法、装置、设备及介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911024482.3A CN110830457B (zh) | 2019-10-25 | 2019-10-25 | 一种基于蜜罐诱导的攻击感知方法、装置、设备及介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110830457A true CN110830457A (zh) | 2020-02-21 |
| CN110830457B CN110830457B (zh) | 2022-06-21 |
Family
ID=69550588
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201911024482.3A Active CN110830457B (zh) | 2019-10-25 | 2019-10-25 | 一种基于蜜罐诱导的攻击感知方法、装置、设备及介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110830457B (zh) |
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111431881A (zh) * | 2020-03-18 | 2020-07-17 | 广州锦行网络科技有限公司 | 一种基于windows操作系统的诱捕节点实现方法及装置 |
| CN112104613A (zh) * | 2020-08-24 | 2020-12-18 | 广州锦行网络科技有限公司 | 基于数据流量包分析的蜜网测试系统及其测试方法 |
| CN113014597A (zh) * | 2021-03-17 | 2021-06-22 | 恒安嘉新(北京)科技股份公司 | 蜜罐防御系统 |
| CN113746810A (zh) * | 2021-08-13 | 2021-12-03 | 哈尔滨工大天创电子有限公司 | 一种网络攻击诱导方法、装置、设备及存储介质 |
| CN113965409A (zh) * | 2021-11-15 | 2022-01-21 | 北京天融信网络安全技术有限公司 | 一种网络诱捕方法、装置、电子设备及存储介质 |
| CN113972994A (zh) * | 2020-07-24 | 2022-01-25 | 奇安信科技集团股份有限公司 | 基于工控蜜罐的流量分析方法、装置、计算机设备和可读存储介质 |
| CN114021147A (zh) * | 2021-11-17 | 2022-02-08 | 山东云天安全技术有限公司 | 基于bitmap预测工控网漏洞的系统 |
| CN114079576A (zh) * | 2020-08-18 | 2022-02-22 | 奇安信科技集团股份有限公司 | 安全防御方法、装置、电子设备及介质 |
| CN114143099A (zh) * | 2021-12-03 | 2022-03-04 | 中国电信集团系统集成有限责任公司 | 网络安全策略自检攻防测试的方法及装置 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20040128543A1 (en) * | 2002-12-31 | 2004-07-01 | International Business Machines Corporation | Method and system for morphing honeypot with computer security incident correlation |
| CN103607399A (zh) * | 2013-11-25 | 2014-02-26 | 中国人民解放军理工大学 | 基于暗网的专用ip网络安全监测系统及方法 |
| CN106961414A (zh) * | 2016-01-12 | 2017-07-18 | 阿里巴巴集团控股有限公司 | 一种基于蜜罐的数据处理方法、装置及系统 |
| CN108092948A (zh) * | 2016-11-23 | 2018-05-29 | 中国移动通信集团湖北有限公司 | 一种网络攻击模式的识别方法和装置 |
-
2019
- 2019-10-25 CN CN201911024482.3A patent/CN110830457B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20040128543A1 (en) * | 2002-12-31 | 2004-07-01 | International Business Machines Corporation | Method and system for morphing honeypot with computer security incident correlation |
| CN103607399A (zh) * | 2013-11-25 | 2014-02-26 | 中国人民解放军理工大学 | 基于暗网的专用ip网络安全监测系统及方法 |
| CN106961414A (zh) * | 2016-01-12 | 2017-07-18 | 阿里巴巴集团控股有限公司 | 一种基于蜜罐的数据处理方法、装置及系统 |
| CN108092948A (zh) * | 2016-11-23 | 2018-05-29 | 中国移动通信集团湖北有限公司 | 一种网络攻击模式的识别方法和装置 |
Non-Patent Citations (1)
| Title |
|---|
| 王斐等: "基于Libpcap的低交互Honeypot诱捕蜜罐的研究与设计", 《计算机应用与软件》 * |
Cited By (16)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111431881B (zh) * | 2020-03-18 | 2020-11-20 | 广州锦行网络科技有限公司 | 一种基于windows操作系统的诱捕节点实现方法及装置 |
| CN111431881A (zh) * | 2020-03-18 | 2020-07-17 | 广州锦行网络科技有限公司 | 一种基于windows操作系统的诱捕节点实现方法及装置 |
| CN113972994A (zh) * | 2020-07-24 | 2022-01-25 | 奇安信科技集团股份有限公司 | 基于工控蜜罐的流量分析方法、装置、计算机设备和可读存储介质 |
| CN113972994B (zh) * | 2020-07-24 | 2023-12-26 | 奇安信科技集团股份有限公司 | 基于工控蜜罐的流量分析方法、装置、计算机设备和可读存储介质 |
| CN114079576B (zh) * | 2020-08-18 | 2024-06-11 | 奇安信科技集团股份有限公司 | 安全防御方法、装置、电子设备及介质 |
| CN114079576A (zh) * | 2020-08-18 | 2022-02-22 | 奇安信科技集团股份有限公司 | 安全防御方法、装置、电子设备及介质 |
| CN112104613A (zh) * | 2020-08-24 | 2020-12-18 | 广州锦行网络科技有限公司 | 基于数据流量包分析的蜜网测试系统及其测试方法 |
| CN113014597B (zh) * | 2021-03-17 | 2023-09-08 | 恒安嘉新(北京)科技股份公司 | 蜜罐防御系统 |
| CN113014597A (zh) * | 2021-03-17 | 2021-06-22 | 恒安嘉新(北京)科技股份公司 | 蜜罐防御系统 |
| CN113746810A (zh) * | 2021-08-13 | 2021-12-03 | 哈尔滨工大天创电子有限公司 | 一种网络攻击诱导方法、装置、设备及存储介质 |
| CN113746810B (zh) * | 2021-08-13 | 2023-04-18 | 哈尔滨工大天创电子有限公司 | 一种网络攻击诱导方法、装置、设备及存储介质 |
| CN113965409A (zh) * | 2021-11-15 | 2022-01-21 | 北京天融信网络安全技术有限公司 | 一种网络诱捕方法、装置、电子设备及存储介质 |
| CN114021147B (zh) * | 2021-11-17 | 2022-08-19 | 山东云天安全技术有限公司 | 基于bitmap预测工控网漏洞的系统 |
| CN114021147A (zh) * | 2021-11-17 | 2022-02-08 | 山东云天安全技术有限公司 | 基于bitmap预测工控网漏洞的系统 |
| CN114143099B (zh) * | 2021-12-03 | 2022-11-22 | 中电信数智科技有限公司 | 网络安全策略自检攻防测试的方法、装置及存储介质 |
| CN114143099A (zh) * | 2021-12-03 | 2022-03-04 | 中国电信集团系统集成有限责任公司 | 网络安全策略自检攻防测试的方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN110830457B (zh) | 2022-06-21 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110830457B (zh) | 一种基于蜜罐诱导的攻击感知方法、装置、设备及介质 | |
| Baykara et al. | A novel honeypot based security approach for real-time intrusion detection and prevention systems | |
| Kumari et al. | A comprehensive study of DDoS attacks over IoT network and their countermeasures | |
| US9954873B2 (en) | Mobile device-based intrusion prevention system | |
| Fichera et al. | OPERETTA: An OPEnflow-based REmedy to mitigate TCP SYNFLOOD Attacks against web servers | |
| CN103023906B (zh) | 针对远程过程调用协议进行状态跟踪的方法及系统 | |
| CN112995151A (zh) | 访问行为处理方法和装置、存储介质及电子设备 | |
| US20220263823A1 (en) | Packet Processing Method and Apparatus, Device, and Computer-Readable Storage Medium | |
| US10630708B2 (en) | Embedded device and method of processing network communication data | |
| Naik et al. | Discovering hackers by stealth: Predicting fingerprinting attacks on honeypot systems | |
| CN111865996A (zh) | 数据检测方法、装置和电子设备 | |
| EP3230886B1 (en) | Operating system fingerprint detection | |
| Naik et al. | D-FRI-Honeypot: A secure sting operation for hacking the hackers using dynamic fuzzy rule interpolation | |
| CN114826663A (zh) | 蜜罐识别方法、装置、设备及存储介质 | |
| Tahir et al. | A novel DDoS floods detection and testing approaches for network traffic based on linux techniques | |
| Erhard et al. | Network traffic analysis and security monitoring with UniMon | |
| Kamtam et al. | Artificial intelligence approaches in cyber security | |
| Xiong | An SDN-based IPS development framework in cloud networking environment | |
| de Carvalho Bertoli et al. | Evaluation of netfilter and eBPF/XDP to filter TCP flag-based probing attacks | |
| Mantoo et al. | A machine learning model for detection of man in the middle attack over unsecured devices | |
| Selvaraj | Distributed Denial of Service Attack Detection, Prevention and Mitigation Service on Cloud Environment | |
| AU2021103735A4 (en) | A honeypot based network security system | |
| Bukac | IDS system evasion techniques | |
| CN112003839B (zh) | 设备反身份识别方法、装置、电子装置和存储介质 | |
| Alotaibi et al. | Distributed denial of service attacks simulation and defense |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| REG | Reference to a national code |
Ref country code: HK Ref legal event code: DE Ref document number: 40021484 Country of ref document: HK |
|
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |