CN111183612B - 一种网络流量的发送方法、装置及混合蜜罐系统 - Google Patents
一种网络流量的发送方法、装置及混合蜜罐系统 Download PDFInfo
- Publication number
- CN111183612B CN111183612B CN201780095673.1A CN201780095673A CN111183612B CN 111183612 B CN111183612 B CN 111183612B CN 201780095673 A CN201780095673 A CN 201780095673A CN 111183612 B CN111183612 B CN 111183612B
- Authority
- CN
- China
- Prior art keywords
- attack
- honeypot
- traffic
- response
- request type
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1491—Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N20/00—Machine learning
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N5/00—Computing arrangements using knowledge-based models
- G06N5/04—Inference or reasoning models
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D30/00—Reducing energy consumption in communication networks
- Y02D30/50—Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Mathematical Physics (AREA)
- Artificial Intelligence (AREA)
- Data Mining & Analysis (AREA)
- Evolutionary Computation (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Medical Informatics (AREA)
- Computational Linguistics (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供一种网络流量的发送方法、装置及混合蜜罐系统,该方法包括:接收一个第一攻击业务流,确定第一攻击业务流的请求类型为第一请求类型和针对第一请求类型的虚拟蜜罐模型的成熟度;若针对第一请求类型的虚拟蜜罐模型的成熟度高于预设的针对第一请求类型而设置的成熟度阈值,则将第一攻击业务流转发至使用该模型的一个虚拟蜜罐或者将第一攻击业务流转发至使用该模型的一个虚拟蜜罐和一个物理蜜罐,否则将第一攻击业务流转发至一个物理蜜罐。因此,采用使用成熟度较高的虚拟蜜罐模型的虚拟蜜罐对攻击业务流进行响应不容易被攻击对象识别。
Description
技术领域
本发明涉及网络技术领域,尤其涉及一种网络流量的发送方法、装置及混合蜜罐系统。
背景技术
蜜罐技术本质上是一种对攻击方进行欺骗的技术,通过布置一些诱饵的主机,诱使攻击方对它们实施攻击,从而可以对攻击行为进行捕获和分析,了解攻击方所使用的工具与方法,推测攻击意图和动机,能够让防御方清晰地了解他们所面对的安全威胁,并通过技术和管理手段来增强被保护系统的安全防护能力。
在现有的蜜罐系统中,包括物理蜜罐和虚拟蜜罐,其中,物理蜜罐具有高互动性,但是在蜜罐系统中大量部署物理蜜罐成本较高,而虚拟蜜罐是通过软件模拟真实物理蜜罐,成本较低,但是虚拟蜜罐的创建主要通过人工方式,因此,虚拟蜜罐由于配置的响应模式比较固定,因此容易被攻击者识别,互动性较差。
发明内容
有鉴于此,本发明提供一种网络流量的发送方法、装置及混合蜜罐系统,用以解决虚拟蜜罐容易被攻击对象识别的问题。
第一方面,一种网络流量的发送方法,包括:
接收一个第一攻击业务流;确定所述第一攻击业务流的请求类型为第一请求类型;确定针对所述第一请求类型的虚拟蜜罐模型的成熟度,其中,针对所述第一请求类型的虚拟蜜罐模型的成熟度用于指示一个第一虚拟响应业务流与一个第一物理响应业务流之间的相似程度,一个第一虚拟响应业务流为使用所述虚拟蜜罐模型的一个虚拟蜜罐响应于一个具有所述第一请求类型的攻击业务流可生成的响应业务流,一个第一物理响应业务流为一个物理蜜罐响应于一个具有所述第一请求类型的攻击业务流可生成的响应业务流,其中,相似程度越高,针对所述第一请求类型的虚拟蜜罐模型的成熟度越高;若针对所述第一请求类型的虚拟蜜罐模型的成熟度高于预设的针对所述第一请求类型而设置的成熟度阈值,则将所述第一攻击业务流转发至使用所述虚拟蜜罐模型的一个虚拟蜜罐,否则将所述第一攻击业务流转发至一个物理蜜罐;或者,若针对所述第一请求类型的虚拟蜜罐模型的成熟度高于预设的所述成熟度阈值,则将所述第一攻击业务流转发至使用所述虚拟蜜罐模型的一个虚拟蜜罐和一个物理蜜罐,否则将所述第一攻击业务流仅转发至一个物理蜜罐。
因此,本发明实施例中网络业务流分发器首先确定接收到的攻击业务流的请求类型,确定该请求类型的虚拟蜜罐模型的成熟度,当该请求类型的虚拟蜜罐模型的成熟度高于针对该请求类型设置的成熟度阈值时,虚拟蜜罐采用训练好的虚拟蜜罐模型,网络业务流分发器可以将该攻击业务流转发至该虚拟蜜罐,或者将该攻击业务流转发至该虚拟蜜罐和物理蜜罐,此时的虚拟蜜罐使用的虚拟蜜罐模型的成熟度较高,不容易被攻击对象识别,且采用上述方法确定的虚拟蜜罐具有成本较低的特点。
可选的,在将所述第一攻击业务流转发至一个物理蜜罐之后,还包括:
获取一个第一响应业务流,所述第一响应业务流为收到所述第一攻击业务流的物理蜜罐响应于所述第一攻击业务流而生成的响应业务流;
根据所述第一攻击业务流和所述第一响应业务流训练针对所述第一请求类型的虚拟蜜罐模型,并提高针对所述第一请求类型的虚拟蜜罐模型的成熟度。
因此,本发明实施例中通过动态学习物理蜜罐的响应,能够训练出响应逼真度较高的虚拟蜜罐模型。
可选的,在接收所述第一攻击业务流之前,还包括:
获取至少两个攻击业务流;
对于所述至少两个攻击业务流中的每一个,获取该攻击业务流的响应业务流,其中,该攻击业务流的响应业务流是一个物理蜜罐响应于该攻击业务流而生成的响应业务流;
对于所述至少两个攻击业务流中的每一个,确定收到该攻击业务流的物理蜜罐响应于该攻击业务流而生成的响应业务流的生成方式;
确定所述至少两个攻击业务流中具有相同生成方式的攻击业务流具有相同的请求类型;
记录所述至少两个攻击业务流中具有相同的请求类型的攻击业务流的特征和对应的请求类型;
确定所述第一攻击业务流的请求类型为第一请求类型,包括:若所述第一攻击业务流具有记录的所述第一请求类型的攻击业务流的特征,则确定所述第一攻击业务流的请求类型为所述第一请求类型。
因此,本发明实施例中当网络业务流分发器首次收到一种请求类型的攻击业务流,分析该请求类型的攻击业务流,记录该请求类型的攻击业务流的特征。当网络业务流分发器非首次收到一种请求类型的攻击业务流时,可以根据记录的各个请求类型和对应每个请求类型的攻击业务流的特征,确定攻击业务流的请求类型。
可选的,更新针对所述第一请求类型而设置的成熟度阈值。
因此,通过更新针对各个请求类型而设置的成熟度阈值,可以保证虚拟蜜罐能够根据需要逼近真实的物理蜜罐。
第二方面,网络流量的发送装置,包括:一个网络业务流分发器,被配置为用于:接收一个第一攻击业务流;确定所述第一攻击业务流的请求类型为第一请求类型;确定针对所述第一请求类型的虚拟蜜罐模型的成熟度,其中,针对所述第一请求类型的虚拟蜜罐模型的成熟度用于指示一个第一虚拟响应业务流与一个第一物理响应业务流之间的相似程度,一个第一虚拟响应业务流为使用所述虚拟蜜罐模型的一个虚拟蜜罐响应于一个具有所述第一请求类型的攻击业务流可生成的响应业务流,一个第一物理响应业务流为一个物理蜜罐响应于一个具有所述第一请求类型的攻击业务流可生成的响应业务流,其中,相似程度越高,针对所述第一请求类型的虚拟蜜罐模型的成熟度越高;若针对所述第一请求类型的虚拟蜜罐模型的成熟度高于预设的针对所述第一请求类型而设置的成熟度阈值,则将所述第一攻击业务流转发至使用所述虚拟蜜罐模型的一个虚拟蜜罐,否则将所述第一攻击业务流转发至一个物理蜜罐;或者,若针对所述第一请求类型的虚拟蜜罐模型的成熟度高于预设的所述成熟度阈值,则将所述第一攻击业务流转发至一个虚拟蜜罐和一个物理蜜罐,否则将所述第一攻击业务流仅转发至一个物理蜜罐。
因此,本发明实施例中网络业务流分发器首先确定接收到的攻击业务流的请求类型,确定针对该请求类型的虚拟蜜罐模型的成熟度,当针对该请求类型的虚拟蜜罐模型的成熟度高于针对该请求类型设置的成熟度阈值时,虚拟蜜罐采用训练好的虚拟蜜罐模型,网络业务流分发器可以将该攻击业务流转发至该虚拟蜜罐,或者将该攻击业务流转发至该虚拟蜜罐和物理蜜罐,此时的虚拟蜜罐使用的虚拟蜜罐模型的成熟度较高,不容易被攻击对象识别,且采用上述方法确定的虚拟蜜罐具有成本较低的特点。
可选的,一个网络业务流学习模块,被配置为用于:获取所述第一攻击业务流,以及在所述网络业务流分发器将所述第一攻击业务流转发至所述物理蜜罐之后,获取一个第一响应业务流,所述第一响应业务流为收到所述第一攻击业务流的物理蜜罐响应于所述第一攻击业务流而生成的响应业务流;根据所述第一攻击业务流和所述第一响应业务流训练针对所述第一请求类型的虚拟蜜罐模型,并提高针对所述第一请求类型的虚拟蜜罐模型的成熟度;将提高后的针对所述第一请求类型的虚拟蜜罐模型的成熟度通知所述网络业务流分发器;
所述网络业务流分发器,还被配置为用于:将针对所述第一请求类型的虚拟蜜罐模型的成熟度更新为所述网络业务流学习模块提高后的针对所述第一请求类型的虚拟蜜罐模型的成熟度。
因此,本发明实施例中通过动态学习物理蜜罐的响应,能够训练出响应逼真度较高的虚拟蜜罐模型。
可选的,所述网络业务流分发器,还被配置为用于在接收所述第一攻击业务流之前,获取至少两个攻击业务流;对于所述至少两个攻击业务流中的每一个,获取该攻击业务流的响应业务流,其中,该攻击业务流的响应业务流是一个物理蜜罐响应于该攻击业务流而生成的响应业务流;所述网络业务流学习模块,还被配置为用于:对于所述至少两个攻击业务流中的每一个,确定收到该攻击业务流的物理蜜罐响应于该攻击业务流而生成的响应业务流的生成方式;确定所述至少两个攻击业务流中具有相同生成方式的攻击业务流具有相同的请求类型;记录所述至少两个攻击业务流中具有相同的请求类型的攻击业务流的特征和对应的请求类型并通知所述网络业务流分发器;所述网络业务流分发器,还被配置为用于记录被通知的请求类型和具有该请求类型的攻击业务流的特征;所述网络业务流分发器,被具体配置为用于在确定所述第一攻击业务流的请求类型为第一请求类型时,若所述第一攻击业务流具有记录的所述第一请求类型的攻击业务流的特征,则确定所述第一攻击业务流的请求类型为所述第一请求类型。
因此,本发明实施例中当网络业务流分发器首次收到一种请求类型的攻击业务流,分析该请求类型的攻击业务流,记录该请求类型的攻击业务流的特征。当网络业务流分发器非首次收到一种请求类型的攻击业务流时,可以根据记录的各个请求类型和对应每个请求类型的攻击业务流的特征,确定攻击业务流的请求类型。
可选的,一个阈值设置模块,被配置为用于更新针对所述第一请求类型而设置的成熟度阈值。
因此,通过更新针对各个请求类型而设置的成熟度阈值,可以保证虚拟蜜罐能够根据需要逼近真实的物理蜜罐。
第三方面,一种混合蜜罐系统,包括:如第二方面中所述的网络业务流分发器,以及至少一个物理蜜罐和至少一个虚拟蜜罐。其中,所述网络业务流分发器,被配置为用于:
接收一个第一攻击业务流;
确定所述第一攻击业务流的请求类型为第一请求类型;
确定针对所述第一请求类型的虚拟蜜罐模型的成熟度,其中,针对所述第一请求类型的虚拟蜜罐模型的成熟度用于指示一个第一虚拟响应业务流与一个第一物理响应业务流之间的相似程度,一个第一虚拟响应业务流为使用所述虚拟蜜罐模型的虚拟蜜罐响应于一个具有所述第一请求类型的攻击业务流可生成的响应业务流,一个第一物理响应业务流为一个物理蜜罐响应于一个具有所述第一请求类型的攻击业务流可生成的响应业务流,其中,相似程度越高,针对所述第一请求类型的虚拟蜜罐模型的成熟度越高;
若针对所述第一请求类型的虚拟蜜罐模型的成熟度高于预设的针对所述第一请求类型而设置的成熟度阈值,则将所述第一攻击业务流转发至使用所述虚拟蜜罐模型的一个虚拟蜜罐,否则将所述第一攻击业务流转发至一个物理蜜罐;或者,若针对所述第一请求类型的虚拟蜜罐模型的成熟度高于预设的所述成熟度阈值,则将所述第一攻击业务流转发至使用所述虚拟蜜罐模型的一个虚拟蜜罐和一个物理蜜罐,否则将所述第一攻击业务流仅转发至一个物理蜜罐。
可选的,还包括:如第二方面中所述的网络业务流学习模块,可选地,可被配置为用于:
获取所述第一攻击业务流,以及
在所述网络业务流分发器将所述第一攻击业务流转发至所述物理蜜罐之后,
获取一个第一响应业务流,所述第一响应业务流为收到所述第一攻击业务流的物理蜜罐响应于所述第一攻击业务流而生成的响应业务流;
根据所述第一攻击业务流和所述第一响应业务流训练针对所述第一请求类型的虚拟蜜罐模型,并提高针对所述第一请求类型的虚拟蜜罐模型的成熟度;
将提高后的针对所述第一请求类型的虚拟蜜罐模型的成熟度通知所述网络业务流分发器;
所述网络业务流分发器,还被配置为用于:将针对所述第一请求类型的虚拟蜜罐模型的成熟度更新为所述网络业务流学习模块提高后的针对所述第一请求类型的虚拟蜜罐模型的成熟度。
可选地,还包括如第二方面中所述的阈值设置模块。
第四方面,网络流量的发送装置,包括:
至少一个存储器,用于存放机器可读代码;
至少一个处理器,用于执行所述存储器存放的所述机器可读代码,实现第一方面和第一方面中任一种可选的实现方式中的方法。
第五方面,提供一种机器可读介质,所述机器可读介质存储有机器可读代码,当所述机器可读代码被至少一个处理器执行时,实现第一方面和第一方面中任一种可选的实现方式中的方法。
附图说明
图1为本发明实施例提供的混合蜜罐系统;
图2为本发明实施例提供的一种网络流量的发送方法的概述流程图;
图3为本发明实施例提供的一种网络流量的发送装置的结构示意图。
附图标记列表:
100混合蜜罐系统 101网络业务流分发器 102网络业务流学习模块
103物理蜜罐 104虚拟蜜罐
200网络业务流分发器 101接收一个第一攻击业务流
210网络业务流分发器 101确定第一攻击业务流的请求类型为第一请求类型
220网络业务流分发器 101确定针对第一请求类型的虚拟蜜罐模型的成熟度
230网络业务流分发器 101判断针对第一请求类型的虚拟蜜罐模型的成熟度是否大于预设的针对第一请求类型而设置的成熟度阈值,若是执行步骤240a或步骤240b,否则执行步骤250
240a网络业务流分发器 101将第一攻击业务流转发至使用该模型的一个虚拟蜜罐104。
240b网络业务流分发器 101将第一攻击业务流转发至使用该模型的一个虚拟蜜罐104和一个物理蜜罐103
250网络业务流分发器101将第一攻击业务流转发至一个物理蜜罐103
300网络流量的发送装置301存储器302处理器303通信接口
具体实施方式
在现有的蜜罐系统中,物理蜜罐具有高互动性,但是在蜜罐系统中大量部署物理蜜罐成本较高,而虚拟蜜罐是通过软件模拟真实物理蜜罐,成本较低,但是虚拟蜜罐的创建主要通过人工方式,因此,现有技术中存在虚拟蜜罐配置的响应模式比较固定,容易被攻击对象识别,互动性较差。
为了解决上述技术问题,本发明实施例提供了一种网络流量的发送方法、装置及混合蜜罐系统,该方法中,网络业务流分发器首先确定接收到的攻击业务流的请求类型以及该请求类型的虚拟蜜罐模型的成熟度,当该请求类型的虚拟蜜罐模型的成熟度高于针对该请求类型设置的成熟度阈值时,虚拟蜜罐采用训练好的虚拟蜜罐模型,网络业务流分发器可以将该攻击业务流转发至该虚拟蜜罐,或者将该攻击业务流转发至该虚拟蜜罐和物理蜜罐,此时的虚拟蜜罐使用的虚拟蜜罐模型的成熟度较高,不容易被攻击对象识别,且采用上述方法确定的虚拟蜜罐具有成本较低的特点。
为了使本发明实施例的目的、技术方案和优点更加清楚明白,以下参照附图本发明实施例进一步详细说明。其中,后续描述的实施例仅仅是本发明实施例的一部分,而非全部的实施例。
如图1所示,本发明实施例提供一种混合蜜罐系统100。
该系统包括网络业务流分发器101、网络业务流学习模块102、以及至少一个物理蜜罐103和至少一个虚拟蜜罐104。
其中,网络业务流分发器101和网络业务流学习模块102可位于一个设备中,也可位于两个不同的设备中。
网络业务流分发器101可以与网络业务流学习模块102进行通信,网络业务流分发器101可以与物理蜜罐103和虚拟蜜罐104进行通信。网络业务流学习模块102可以与物理蜜罐103和虚拟蜜罐104进行通信。
其中,网络业务流分发器101,用于:接收攻击业务流并将根据预设规则将其转发。
网络业务流学习模块102,用于:训练每种请求类型的虚拟蜜罐模型,提高每种请求类型的虚拟蜜罐模型的成熟度。
物理蜜罐103用于对网络业务流分发器101转发的攻击业务流进行响应,生成对应的响应业务流。
虚拟蜜罐104用于对网络业务流分发器101转发的攻击业务流进行响应,生成对应的响应业务流。其中,虚拟蜜罐104使用训练好的虚拟蜜罐模型。
上述网络业务流分发器101和网络业务流学习模块102的具体功能将在下文进行详细描述,此处仅作简单介绍。下面结合图2对采用上述混合蜜罐系统处理网络流量的方法进行介绍。
如图2所示,本发明实施例提供一种网络流量的发送方法,包括:
步骤200:网络业务流分发器101接收一个第一攻击业务流。
步骤210:网络业务流分发器101确定第一攻击业务流的请求类型为第一请求类型。
步骤220:网络业务流分发器101确定针对第一请求类型的虚拟蜜罐模型的成熟度。
其中,针对第一请求类型的虚拟蜜罐模型的成熟度用于指示一个第一虚拟响应业务流与一个第一物理响应业务流之间的相似程度,一个第一虚拟响应业务流为使用该模型的一个虚拟蜜罐104响应于一个具有第一请求类型的攻击业务流可生成的响应业务流,一个第一物理响应业务流为一个物理蜜罐响应于一个具有第一请求类型的攻击业务流可生成的响应业务流,其中,相似程度越高,针对第一请求类型的虚拟蜜罐模型的成熟度越高。
步骤230:网络业务流分发器101判断针对第一请求类型的虚拟蜜罐模型的成熟度是否大于预设的针对第一请求类型而设置的成熟度阈值,若网络业务流分发器101的判断结果为是(Y),执行步骤240a或步骤240b,若网络业务流分发器101的判断结果为否(N),执行步骤250。
步骤240a:网络业务流分发器101将第一攻击业务流转发至使用该模型的一个虚拟蜜罐104。
步骤240b:网络业务流分发器101将第一攻击业务流转发至使用该模型的一个虚拟蜜罐104和一个物理蜜罐103。
步骤240a和步骤240b是两种可选的实现方式,实现时可根据实际情况进行选择。比如:若想在虚拟蜜罐模型的成熟度已经高于设置的成熟度阈值的情况下,进一步提高虚拟蜜罐模型的成熟度,则可以选择执行步骤240b;否则可以选择执行步骤240a。实际实现时,可通过一个开关来选择两种可选实现方式中的一种。
步骤250:网络业务流分发器101将第一攻击业务流转发至一个物理蜜罐103。
通过上述方法,能够解决虚拟蜜罐104配置的响应模式固定,容易被攻击对象识别的问题。采用本发明实施例提供的方法使用成熟度较高的虚拟蜜罐模型的虚拟蜜罐对攻击业务流进行响应不容易被攻击对象识别,且成本较低的特点。
在将第一攻击业务流转发至一个物理蜜罐之后,网络业务流学习模块102获取一个第一响应业务流,第一响应业务流为收到第一攻击业务流的物理蜜罐响应于第一攻击业务流而生成的响应业务流;根据第一攻击业务流和第一响应业务流训练针对第一请求类型的虚拟蜜罐模型,并提高针对第一请求类型的虚拟蜜罐模型的成熟度。
因此,针对第一请求类型的虚拟蜜罐模型的成熟度在未到达预设的针对第一请求类型而设置的成熟度阈值,针对第一请求类型的虚拟蜜罐模型生成的响应业务流不外发,只用于该虚拟蜜罐模型的训练。此时,网络业务流学习模块102对第一请求类型的虚拟蜜罐模型生成的响应业务流进行分析,与第一响应业务流进行比较,根据第一响应业务流和第一攻击业务流训练该虚拟蜜罐模型,提高该虚拟蜜罐模型的成熟度。
随着网络业务流学习模块102对第一请求类型的虚拟蜜罐模型训练次数增多,第一请求类型的虚拟蜜罐模型的成熟度也增加。第一请求类型的虚拟蜜罐模型生成的响应业务流与第一响应业务流之间的相似程度增大,即第一请求类型的虚拟蜜罐模型生成的响应业务流可以越来越逼近第一响应业务流,
在第一请求类型的虚拟蜜罐模型的成熟度增加后,网络业务流分发器101将第一请求类型的虚拟蜜罐模型的成熟度更新为网络业务流学习模块102提高后的第一请求类型的虚拟蜜罐模型的成熟度。
针对上述步骤210,网络业务流分发器101确定第一攻击业务流的请求类型为第一请求类型,可以采用但不限于以下方法:在网络业务流分发器101接收第一攻击业务流之前,网络业务流分发器101获取至少两个攻击业务流,对于至少两个攻击业务流中的每一个,获取该攻击业务流的响应业务流,其中,该攻击业务流的响应业务流是一个物理蜜罐响应于该攻击业务流而生成的响应业务流。
进一步地,网络业务流学习模块102对于至少两个攻击业务流中的每一个,确定收到该攻击业务流的物理蜜罐响应于该攻击业务流而生成的响应业务流的生成方式,确定至少两个攻击业务流中具有相同生成方式的攻击业务流具有相同的请求类型,记录至少两个攻击业务流中具有相同的请求类型的攻击业务流的特征和对应的请求类型。
网络业务流学习模块102将上述至少两个攻击业务流中具有相同的请求类型的攻击业务流的特征和对应的请求类型通知给网络业务流分发器101,网络业务流分发器101记录被通知的请求类型和具有该请求类型的攻击业务流的特征。
因此,当网络业务流分发器101接收到第一攻击业务流时,网络业务流分发器101确定记录的被通知的请求类型和具有该请求类型的攻击业务流的特征,以及第一攻击业务流的特征,当网络业务流分发器101确定第一攻击业务流的特征与第一请求类型的攻击业务流的特征相同时,确定第一攻击业务流的请求类型我第一请求类型。
例如,针对攻击业务流1,物理蜜罐采用规则1生成与攻击业务流1对应的响应业务流。针对攻击业务流2,物理蜜罐采用规则2生成与攻击业务流2对应的响应业务流。规则1与规则2不同。因此,攻击业务流1的请求类型与攻击业务流2的请求类型不同。针对攻击业务流3,物理蜜罐采用规则1生成与攻击业务流3对应的响应业务流。由于针对攻击业务流1和攻击业务流3生成响应业务流的生成方式相同,均采用规则1,因此,攻击业务流1的请求类型和攻击业务流3的请求类型相同。进一步地,网络业务流学习模块102记录攻击业务流1的特征和攻击业务流3的特征,同时具有上述特征的攻击业务流的类型记录为请求类型1。网络业务流学习模块102将请求类型1和请求类型1对应的特征通知给网络业务流分发器101。网络业务流分发器101接收攻击业务流4,若攻击业务流4具有记录的请求类型1的攻击业务流的特征,则确定攻击业务流4的请求类型为请求类型1。
因此,当网络业务流分发器101首次收到一种请求类型的攻击业务流,分析该请求类型的攻击业务流,记录该请求类型的攻击业务流的特征。当网络业务流分发器101非首次收到一种请求类型的攻击业务流时,可以根据记录的各个请求类型和对应每个请求类型的攻击业务流的特征,确定攻击业务流的请求类型。
在一种可能的设计中,针对第一请求类型而设置的成熟度阈值可以根据需要进行配置和更新,可以通过阈值设置模块实现。阈值设置模块可与网络业务流分发器101置于同一个设备,或者为网络业务流分发器101的一个组件。
例如,针对第一请求类型而设置的成熟度阈值为90,在对针对第一请求类型而设置的成熟度阈值更新后,针对第一请求类型而设置的成熟度阈值为95。
举例来说,如表1所示,为不同请求类型对应的虚拟蜜罐模型的成熟度。
序号 | 请求类型 | 成熟度 | 虚拟蜜罐标识ID |
1 | 1fae22a3c3a05944 | 87 | 1 |
2 | 1fae22a3c3a05947 | 65 | 2 |
3 | 1fae22a3c3a05945 | 93 | 1 |
4 | 2adc6d15b949329a | 34 | 3 |
5 | 2adc6d15b949329a | 88 | 2 |
6 | 6d15b949329a235b | 23 | 2 |
表1
在一种可能的设计中,阈值设置模块可以针对每种请求类型配置虚拟蜜罐模型的成熟度阈值,或配置一个共同的虚拟蜜罐模型的成熟度阈值。
例如,若表1中序号为1的请求类型所对应的虚拟蜜罐模型的成熟度阈值为90,则该请求类型的虚拟蜜罐模型的成熟度未达到阈值。
又例如,若表1中序号为5的请求类型所对应的虚拟蜜罐模型的成熟度阈值为85,则该请求类型的虚拟蜜罐模型的成熟度已达到阈值。
可选地,可在虚拟蜜罐模型的训练过程中即生成虚拟蜜罐,但不用于接收攻击业务流。也可在虚拟蜜罐模型训练成熟,即模型的成熟度大于成熟度阈值后再生成虚拟蜜罐,生成的虚拟蜜罐用于接收攻击业务流。
如表1所示,一个虚拟蜜罐104可以处理至少一种请求类型的攻击业务流。,例如,ID为1的虚拟蜜罐可以处理序号为1、3的请求类型的攻击业务流。ID为2的虚拟蜜罐可以处理序号为2、5和6的请求类型的攻击业务流。
此外,当序号为3的请求类型的攻击业务流数量增大时,还可为ID为2的虚拟蜜罐配置其处理序号为3的请求类型的攻击业务流。或者,新建一个ID为4的虚拟蜜罐,用于处理需要为3的请求类型的攻击业务流。因此,采用本发明实施例提供的方法可以实现虚拟蜜罐104的动态按需扩展,可以有多个虚拟蜜罐104使用训练好的虚拟蜜罐模型,使虚拟蜜罐104的配置更加灵活。
针对步骤240a和步骤240b,当第一请求类型的虚拟蜜罐模型的成熟度高于预设的针对第一请求类型而设置的成熟度阈值时,网络业务流分发器101可以采用以下两种方式中的任一种方式处理第一攻击业务流。
第一种方式为网络业务流分发器101将第一攻击业务流转发至使用该模型的一个虚拟蜜罐104。
此时,使用模型的一个虚拟蜜罐104已经能够生成与物理蜜罐103生成的响应业务流相似程度较高的响应业务流,由虚拟蜜罐104为第一攻击业务流生成响应业务流可以减轻物理蜜罐103的处理压力。但是,此时第一请求类型的虚拟蜜罐模型不再接受训练,第一请求类型的虚拟蜜罐模型的成熟度不会再提高。
在虚拟蜜罐104生成第一攻击业务流的响应业务流后,虚拟蜜罐104将第一攻击业务流的响应业务流转发至网络业务流分发器101,由网络业务流分发器101将第一攻击业务流的响应业务流发送至发送第一攻击业务流的设备。
第二种方式为网络业务流分发器101将第一攻击业务流转发至使用该模型的一个虚拟蜜罐104和一个物理蜜罐103。
此时,第一请求类型的虚拟蜜罐模型可以继续接受训练,第一请求类型的虚拟蜜罐模型的成熟度可以继续提高,使使用该模型的虚拟蜜罐104越来越接近物理蜜罐103。
在虚拟蜜罐104生成第一攻击业务流的响应业务流后,虚拟蜜罐104将第一攻击业务流的响应业务流转发至网络业务流分发器101,由网络业务流分发器101将第一攻击业务流的响应业务流发送至发送第一攻击业务流的设备。或者,在物理蜜罐103生成第一响应业务流后,物理蜜罐103将第一响应业务流转发至网络业务流分发器101,由网络业务流分发器101将第一响应业务流发送至发送第一攻击业务流的设备。
此外,在一种可能的设计中,当网络业务流分发器101首次确定第一请求类型的虚拟蜜罐模型的成熟度高于预设的针对第一请求类型而设置的成熟度阈值后,下次收到第一请求类型的攻击业务流可以直接转发至使用该虚拟蜜罐模型的虚拟蜜罐104,不必每次确定第一请求类型的虚拟蜜罐模型的成熟度高于预设的针对第一请求类型而设置的成熟度阈值。
基于同样的发明构思,本发明实施例提供一种网络流量的发送装置,包括:一个网络业务流分发器101,被配置为用于:
接收一个第一攻击业务流;
确定第一攻击业务流的请求类型为第一请求类型;
确定第一请求类型的虚拟蜜罐模型的成熟度,其中,第一请求类型的虚拟蜜罐模型的成熟度用于指示一个第一虚拟响应业务流与一个第一物理响应业务流之间的相似程度,一个第一虚拟响应业务流为使用模型的一个虚拟蜜罐104响应于一个具有第一请求类型的攻击业务流可生成的响应业务流,一个第一物理响应业务流为一个物理蜜罐103响应于一个具有第一请求类型的攻击业务流可生成的响应业务流,其中,相似程度越高,第一请求类型的虚拟蜜罐模型的成熟度越高;
若第一请求类型的模型的成熟度高于预设的针对第一请求类型而设置的成熟度阈值,则将第一攻击业务流转发至使用模型的一个虚拟蜜罐104,否则将第一攻击业务流转发至一个物理蜜罐103;或者,若第一请求类型的虚拟蜜罐模型的成熟度高于预设的成熟度阈值,则将第一攻击业务流转发至使用模型的一个虚拟蜜罐104和一个物理蜜罐103,否则将第一攻击业务流仅转发至一个物理蜜罐103。
可选的,一个网络业务流学习模块102,被配置为用于:
获取第一攻击业务流,以及
在网络业务流分发器101将第一攻击业务流转发至物理蜜罐103之后,
获取一个第一响应业务流,第一响应业务流为收到第一攻击业务流的物理蜜罐103响应于第一攻击业务流而生成的响应业务流;
根据第一攻击业务流和第一响应业务流训练第一请求类型的虚拟蜜罐模型,并提高第一请求类型的虚拟蜜罐模型的成熟度;
将提高后的第一请求类型的虚拟蜜罐模型的成熟度通知网络业务流分发器101;
网络业务流分发器101,还用于:将第一请求类型的虚拟蜜罐模型的成熟度更新为网络业务流学习模块提高后的第一请求类型的虚拟蜜罐模型的成熟度。
可选的,网络业务流分发器101,还被配置为用于在接收第一攻击业务流之前,
获取至少两个攻击业务流;
对于至少两个攻击业务流中的每一个,获取该攻击业务流的响应业务流,其中,该攻击业务流的响应业务流是一个物理蜜罐103响应于该攻击业务流而生成的响应业务流;
网络业务流学习模块,还被配置为用于:
对于至少两个攻击业务流中的每一个,确定收到该攻击业务流的物理蜜罐103响应于该攻击业务流而生成的响应业务流的生成方式;
确定至少两个攻击业务流中具有相同生成方式的攻击业务流具有相同的请求类型;
记录至少两个攻击业务流中具有相同的请求类型的攻击业务流的特征和对应的请求类型并通知网络业务流分发器101;
网络业务流分发器101,还被配置为用于记录被通知的请求类型和具有该请求类型的攻击业务流的特征;
网络业务流分发器101,被具体配置为用于在确定第一攻击业务流的请求类型为第一请求类型时,若第一攻击业务流具有记录的第一请求类型的攻击业务流的特征,则确定第一攻击业务流的请求类型为第一请求类型。
可选的,一个阈值设置模块,被配置为用于更新针对该第一请求类型而设置的成熟度阈值。
基于同样的发明构思,参阅图3所示,本发明实施例提供一种网络流量的发送装置300,包括:
至少一个存储器301,用于存放机器可读代码;
至少一个处理器302,用于执行存储器存放的机器可读代码,实现如上述如图2所示的方法。
可选的,网络流量的发送装置300还包括一个通信接口303,通信接口303用于接收攻击业务流,和发送接收到的攻击业务流的响应业务流。例如,通信接口303接收来自设备1的攻击业务流1,处理器通过采用如图2所示的方法获得攻击业务流1的响应业务流,通信接口将攻击业务流1的响应业务流发送至设备1。
其中,至少一个存储器301和至少一个处理器302以及通信接口303之间可通过总线方式进行连接。
本发明实施例提供机器可读介质,该机器可读介质存储有机器可读代码,当该机器可读代码被至少一个处理器执行时,实现如图2所示的方法。
需要说明的是,上述各流程和各系统结构图中不是所有的步骤和模块都是必须的,可以根据实际的需要忽略某些步骤或模块。各步骤的执行顺序不是固定的,可以根据需要进行调整。上述各实施例中描述的系统结构可以是物理结构,也可以是逻辑结构,即,有些模块可能由同一物理实体实现,或者,有些模块可能分由至少两个物理实体实现,或者,可以由至少两个独立设备中的某些部件共同实现。
以上各实施例中,硬件单元可以通过机械方式或电气方式实现。例如,一个硬件单元可以包括永久性专用的电路或逻辑(如专门的处理器,现场可编程门阵列(Field-Programmable Gate Array,FPGA)或专用集成电路(Application Specific IntegratedCircuits,ASIC)等)来完成相应操作。硬件单元还可以包括可编程逻辑或电路(如通用处理器或其它可编程处理器),可以由软件进行临时的设置以完成相应操作。具体的实现方式(机械方式、或专用的永久性电路、或者临时设置的电路)可以基于成本和时间上的考虑来确定。
上文通过附图和优选实施例对本发明实施例进行了详细展示和说明,然而本发明实施例不限于这些已揭示的实施例,基于上述实施例本领域技术人员可以知晓,可以组合上述不同实施例中的代码审核手段得到本发明更多的实施例,这些实施例也在本发明实施例的保护范围之内。
Claims (12)
1.一种网络流量的发送方法,其特征在于,包括:
接收一个第一攻击业务流;
确定所述第一攻击业务流的请求类型为第一请求类型;
确定针对所述第一请求类型的虚拟蜜罐模型的成熟度;其中,针对第一请求类型的虚拟蜜罐模型的成熟度用于指示一个第一虚拟响应业务流与一个第一物理响应业务流之间的相似程度,一个第一虚拟响应业务流为使用该模型的一个虚拟蜜罐响应于一个具有第一请求类型的攻击业务流可生成的响应业务流,一个第一物理响应业务流为一个物理蜜罐响应于一个具有第一请求类型的攻击业务流可生成的响应业务流;
若所述虚拟蜜罐模型的成熟度高于预设的针对所述第一请求类型而设置的成熟度阈值,则将所述第一攻击业务流转发至使用所述虚拟蜜罐模型的一个虚拟蜜罐,否则将所述第一攻击业务流转发至一个物理蜜罐;或者,
若所述虚拟蜜罐模型的成熟度高于预设的所述成熟度阈值,则将所述第一攻击业务流转发至一个物理蜜罐和使用所述虚拟蜜罐模型的一个虚拟蜜罐,否则将所述第一攻击业务流仅转发至一个物理蜜罐。
2.如权利要求1所述的方法,其特征在于,在将所述第一攻击业务流转发至一个物理蜜罐之后,还包括:
获取一个第一响应业务流,所述第一响应业务流为收到所述第一攻击业务流的物理蜜罐响应于所述第一攻击业务流而生成的响应业务流;
根据所述第一攻击业务流和所述第一响应业务流训练所述虚拟蜜罐模型,并提高所述虚拟蜜罐模型的成熟度。
3.如权利要求1或2所述的方法,其特征在于,
在接收所述第一攻击业务流之前,还包括:
获取至少两个攻击业务流;
对于所述至少两个攻击业务流中的每一个,获取该攻击业务流的响应业务流,其中,该攻击业务流的响应业务流是一个物理蜜罐响应于该攻击业务流而生成的响应业务流;
对于所述至少两个攻击业务流中的每一个,确定收到该攻击业务流的物理蜜罐响应于该攻击业务流而生成的响应业务流的生成方式;
确定所述至少两个攻击业务流中具有相同生成方式的攻击业务流具有相同的请求类型;
记录所述至少两个攻击业务流中具有相同的请求类型的攻击业务流的特征和对应的请求类型;
确定所述第一攻击业务流的请求类型为第一请求类型,包括:若所述第一攻击业务流具有记录的所述第一请求类型的攻击业务流的特征,则确定所述第一攻击业务流的请求类型为所述第一请求类型。
4.如权利要求1所述的方法,其特征在于,还包括:
更新针对所述第一请求类型而设置的成熟度阈值。
5.一种网络流量的发送装置,其特征在于,包括:一个网络业务流分发器(101),被配置为用于:
接收一个第一攻击业务流;
确定所述第一攻击业务流的请求类型为第一请求类型;
确定针对所述第一请求类型的虚拟蜜罐模型的成熟度;其中,针对第一请求类型的虚拟蜜罐模型的成熟度用于指示一个第一虚拟响应业务流与一个第一物理响应业务流之间的相似程度,一个第一虚拟响应业务流为使用该模型的一个虚拟蜜罐响应于一个具有第一请求类型的攻击业务流可生成的响应业务流,一个第一物理响应业务流为一个物理蜜罐响应于一个具有第一请求类型的攻击业务流可生成的响应业务流;
若所述虚拟蜜罐模型的成熟度高于预设的针对所述第一请求类型而设置的成熟度阈值,则将所述第一攻击业务流转发至使用所述虚拟蜜罐模型的一个虚拟蜜罐(104),否则将所述第一攻击业务流转发至一个物理蜜罐(103);或者,
若所述虚拟蜜罐模型的成熟度高于预设的所述成熟度阈值,则将所述第一攻击业务流转发至一个物理蜜罐(103)和使用所述虚拟蜜罐模型的一个虚拟蜜罐(104),否则将所述第一攻击业务流仅转发至一个物理蜜罐(103)。
6.如权利要求5所述的装置,其特征在于,还包括:一个网络业务流学习模块(102),被配置为用于:
获取所述第一攻击业务流,以及
在所述网络业务流分发器(101)将所述第一攻击业务流转发至所述物理蜜罐(103)之后,
获取一个第一响应业务流,所述第一响应业务流为收到所述第一攻击业务流的物理蜜罐(103)响应于所述第一攻击业务流而生成的响应业务流;
根据所述第一攻击业务流和所述第一响应业务流训练所述虚拟蜜罐模型,并提高所述虚拟蜜罐模型的成熟度;
将提高后的所述虚拟蜜罐模型的成熟度通知所述网络业务流分发器(101);
所述网络业务流分发器(101),还被配置为用于:将所述虚拟蜜罐模型的成熟度更新为所述网络业务流学习模块(102)提高后的所述虚拟蜜罐模型的成熟度。
7.如权利要求6所述的装置,其特征在于,
所述网络业务流分发器(101),还被配置为用于在接收所述第一攻击业务流之前,
获取至少两个攻击业务流;
对于所述至少两个攻击业务流中的每一个,获取该攻击业务流的响应业务流,其中,该攻击业务流的响应业务流是一个物理蜜罐(103)响应于该攻击业务流而生成的响应业务流;所述网络业务流学习模块(102),被配置为还用于:
对于所述至少两个攻击业务流中的每一个,确定收到该攻击业务流的物理蜜罐(103)响应于该攻击业务流而生成的响应业务流的生成方式;
确定所述至少两个攻击业务流中具有相同生成方式的攻击业务流具有相同的请求类型;
记录所述至少两个攻击业务流中具有相同的请求类型的攻击业务流的特征和对应的请求类型并通知所述网络业务流分发器(101);
所述网络业务流分发器(101),还被配置为用于记录被通知的请求类型和具有该请求类型的攻击业务流的特征;
所述网络业务流分发器(101),被具体配置为用于在确定所述第一攻击业务流的请求类型为第一请求类型时,若所述第一攻击业务流具有记录的所述第一请求类型的攻击业务流的特征,则确定所述第一攻击业务流的请求类型为所述第一请求类型。
8.如权利要求5所述的装置,其特征在于,还包括:一个阈值设置模块,被配置为用于更新针对所述第一请求类型而设置的成熟度阈值。
9.一种混合蜜罐系统,其特征在于,包括:一个网络业务流分发器(101),以及至少一个物理蜜罐(103)和至少一个虚拟蜜罐(104),其中,所述网络业务流分发器(101),被配置为用于:
接收一个第一攻击业务流;
确定所述第一攻击业务流的请求类型为第一请求类型;
确定针对所述第一请求类型的虚拟蜜罐模型的成熟度;其中,针对第一请求类型的虚拟蜜罐模型的成熟度用于指示一个第一虚拟响应业务流与一个第一物理响应业务流之间的相似程度,一个第一虚拟响应业务流为使用该模型的一个虚拟蜜罐响应于一个具有第一请求类型的攻击业务流可生成的响应业务流,一个第一物理响应业务流为一个物理蜜罐响应于一个具有第一请求类型的攻击业务流可生成的响应业务流;
若所述虚拟蜜罐模型的成熟度高于预设的针对所述第一请求类型而设置的成熟度阈值,则将所述第一攻击业务流转发至使用所述虚拟蜜罐模型的一个虚拟蜜罐(104),否则将所述第一攻击业务流转发至一个物理蜜罐(103);或者,
若所述虚拟蜜罐模型的成熟度高于预设的所述成熟度阈值,则将所述第一攻击业务流转发至一个物理蜜罐(103)和使用所述虚拟蜜罐模型的一个虚拟蜜罐(104),否则将所述第一攻击业务流仅转发至一个物理蜜罐(103)。
10.如权利要求9所述的系统,其特征在于,还包括:一个网络业务流学习模块(102),被配置为用于:
获取所述第一攻击业务流,以及
在所述网络业务流分发器(101)将所述第一攻击业务流转发至所述物理蜜罐(103)之后,
获取一个第一响应业务流,所述第一响应业务流为收到所述第一攻击业务流的物理蜜罐(103)响应于所述第一攻击业务流而生成的响应业务流;
根据所述第一攻击业务流和所述第一响应业务流训练所述虚拟蜜罐模型,并提高所述虚拟蜜罐模型的成熟度;
将提高后的所述虚拟蜜罐模型的成熟度通知所述网络业务流分发器(101);
所述网络业务流分发器(101),还被配置为用于:将所述虚拟蜜罐模型的成熟度更新为所述网络业务流学习模块(102)提高后的所述虚拟蜜罐模型的成熟度。
11.一种网络流量的发送装置,其特征在于,包括:
至少一个存储器,用于存放机器可读代码;
至少一个处理器,用于执行所述存储器存放的所述机器可读代码,实现如权利要求1-4任一项所述的方法。
12.一种计算机可读介质,其特征在于,所述计算机可读介质存储有计算机可读代码,当所述计算机可读代码被至少一个处理器执行时,实现如权利要求1-4任一项所述的方法。
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
PCT/CN2017/119117 WO2019127141A1 (en) | 2017-12-27 | 2017-12-27 | Network traffic sending method and apparatus, and hybrid honeypot system |
Publications (2)
Publication Number | Publication Date |
---|---|
CN111183612A CN111183612A (zh) | 2020-05-19 |
CN111183612B true CN111183612B (zh) | 2023-08-29 |
Family
ID=67062797
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201780095673.1A Active CN111183612B (zh) | 2017-12-27 | 2017-12-27 | 一种网络流量的发送方法、装置及混合蜜罐系统 |
Country Status (4)
Country | Link |
---|---|
US (1) | US11736524B2 (zh) |
EP (1) | EP3711261B1 (zh) |
CN (1) | CN111183612B (zh) |
WO (1) | WO2019127141A1 (zh) |
Families Citing this family (16)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2019127141A1 (en) * | 2017-12-27 | 2019-07-04 | Siemens Aktiengesellschaft | Network traffic sending method and apparatus, and hybrid honeypot system |
US10826939B2 (en) * | 2018-01-19 | 2020-11-03 | Rapid7, Inc. | Blended honeypot |
US11223651B2 (en) * | 2019-07-30 | 2022-01-11 | International Business Machines Corporation | Augmented data collection from suspected attackers of a computer network |
CN110719299A (zh) * | 2019-11-18 | 2020-01-21 | 中国移动通信集团内蒙古有限公司 | 防御网络攻击的蜜罐构建方法、装置、设备及介质 |
CN111800407B (zh) * | 2020-06-30 | 2022-12-02 | 京东科技信息技术有限公司 | 网络攻击的防御方法、装置、电子设备及存储介质 |
CN111565199B (zh) * | 2020-07-14 | 2021-10-01 | 腾讯科技(深圳)有限公司 | 网络攻击信息处理方法、装置、电子设备及存储介质 |
CN112152994B (zh) * | 2020-08-19 | 2021-06-25 | 广州锦行网络科技有限公司 | 一种蜜网动态扩缩容的实现方法 |
CN112118268A (zh) * | 2020-09-28 | 2020-12-22 | 北京嘀嘀无限科技发展有限公司 | 一种网络流量判定方法和系统 |
EP4060937A1 (en) * | 2021-03-15 | 2022-09-21 | AO Kaspersky Lab | Systems and methods for building a honeypot system |
RU2761542C1 (ru) | 2021-03-15 | 2021-12-09 | Акционерное общество "Лаборатория Касперского" | Система и способ формирования системы ресурсов-ловушек |
CN113660282A (zh) * | 2021-08-23 | 2021-11-16 | 公安部第三研究所 | 一种基于可信计算的勒索病毒防御方法、系统及相关设备 |
CN113872973B (zh) * | 2021-09-29 | 2023-07-07 | 武汉众邦银行股份有限公司 | 一种基于iptables的拟态蜜罐的实现方法及装置 |
CN114285620A (zh) * | 2021-12-20 | 2022-04-05 | 北京安天网络安全技术有限公司 | 一种网络威胁监测方法、装置及电子设备 |
CN114760123B (zh) * | 2022-04-07 | 2024-04-05 | 南京经纬信安科技有限公司 | 一种蜜针与蜜罐装置及其部署方法 |
CN115065495A (zh) * | 2022-04-07 | 2022-09-16 | 京东科技信息技术有限公司 | 蜜罐网络运行方法、装置、设备及存储介质 |
CN117081855B (zh) * | 2023-10-13 | 2024-02-02 | 深圳市前海新型互联网交换中心有限公司 | 蜜罐优化方法、蜜罐防护方法以及蜜罐优化系统 |
Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101087196B (zh) * | 2006-12-27 | 2011-01-26 | 北京大学 | 多层次蜜网数据传输方法及系统 |
CN103139184A (zh) * | 2011-12-02 | 2013-06-05 | 中国电信股份有限公司 | 智能网络防火墙设备及网络攻击防护方法 |
CN105553948A (zh) * | 2015-12-08 | 2016-05-04 | 国云科技股份有限公司 | 一种基于虚拟机的弹性防攻击方法 |
CN106941493A (zh) * | 2017-03-30 | 2017-07-11 | 北京奇艺世纪科技有限公司 | 一种网络安全态势感知结果输出方法及装置 |
CN106961442A (zh) * | 2017-04-20 | 2017-07-18 | 中国电子技术标准化研究院 | 一种基于蜜罐的网络诱捕方法 |
WO2017145001A1 (en) * | 2016-02-23 | 2017-08-31 | nChain Holdings Limited | Reactive and pre-emptive security system for the protection of computer networks & systems |
CN107404465A (zh) * | 2016-05-20 | 2017-11-28 | 阿里巴巴集团控股有限公司 | 网络数据分析方法及服务器 |
CN107426242A (zh) * | 2017-08-25 | 2017-12-01 | 中国科学院计算机网络信息中心 | 网络安全防护方法、装置及存储介质 |
Family Cites Families (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102045214B (zh) | 2009-10-20 | 2013-06-26 | 成都市华为赛门铁克科技有限公司 | 僵尸网络检测方法、装置和系统 |
US10069854B2 (en) * | 2012-11-17 | 2018-09-04 | The Trustees Of Columbia University In The City Of New York | Methods, systems and media for evaluating layered computer security products |
US9906538B2 (en) | 2014-12-03 | 2018-02-27 | Guardicore Ltd. | Automatic network attack detection and remediation using information collected by honeypots |
CN104506507B (zh) * | 2014-12-15 | 2017-10-10 | 蓝盾信息安全技术股份有限公司 | 一种sdn网络的蜜网安全防护系统及方法 |
US10339321B2 (en) * | 2017-05-02 | 2019-07-02 | Dignity Health | Cybersecurity maturity forecasting tool/dashboard |
US10986126B2 (en) * | 2017-07-25 | 2021-04-20 | Palo Alto Networks, Inc. | Intelligent-interaction honeypot for IoT devices |
US11349869B1 (en) * | 2017-12-22 | 2022-05-31 | Spins Ventures Llc | Network device detection and verification protocol |
WO2019127141A1 (en) * | 2017-12-27 | 2019-07-04 | Siemens Aktiengesellschaft | Network traffic sending method and apparatus, and hybrid honeypot system |
-
2017
- 2017-12-27 WO PCT/CN2017/119117 patent/WO2019127141A1/en unknown
- 2017-12-27 US US16/954,569 patent/US11736524B2/en active Active
- 2017-12-27 EP EP17936013.6A patent/EP3711261B1/en active Active
- 2017-12-27 CN CN201780095673.1A patent/CN111183612B/zh active Active
Patent Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101087196B (zh) * | 2006-12-27 | 2011-01-26 | 北京大学 | 多层次蜜网数据传输方法及系统 |
CN103139184A (zh) * | 2011-12-02 | 2013-06-05 | 中国电信股份有限公司 | 智能网络防火墙设备及网络攻击防护方法 |
CN105553948A (zh) * | 2015-12-08 | 2016-05-04 | 国云科技股份有限公司 | 一种基于虚拟机的弹性防攻击方法 |
WO2017145001A1 (en) * | 2016-02-23 | 2017-08-31 | nChain Holdings Limited | Reactive and pre-emptive security system for the protection of computer networks & systems |
CN107404465A (zh) * | 2016-05-20 | 2017-11-28 | 阿里巴巴集团控股有限公司 | 网络数据分析方法及服务器 |
CN106941493A (zh) * | 2017-03-30 | 2017-07-11 | 北京奇艺世纪科技有限公司 | 一种网络安全态势感知结果输出方法及装置 |
CN106961442A (zh) * | 2017-04-20 | 2017-07-18 | 中国电子技术标准化研究院 | 一种基于蜜罐的网络诱捕方法 |
CN107426242A (zh) * | 2017-08-25 | 2017-12-01 | 中国科学院计算机网络信息中心 | 网络安全防护方法、装置及存储介质 |
Non-Patent Citations (1)
Title |
---|
入侵检测系统中的蜜罐技术应用;陈昊等;《电脑知识与技术》;20090905(第25期);全文 * |
Also Published As
Publication number | Publication date |
---|---|
CN111183612A (zh) | 2020-05-19 |
EP3711261A4 (en) | 2021-06-09 |
US11736524B2 (en) | 2023-08-22 |
US20200336510A1 (en) | 2020-10-22 |
EP3711261A1 (en) | 2020-09-23 |
EP3711261B1 (en) | 2023-04-12 |
WO2019127141A1 (en) | 2019-07-04 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN111183612B (zh) | 一种网络流量的发送方法、装置及混合蜜罐系统 | |
US10305783B2 (en) | Packet control method, switch, and controller | |
CN109347881B (zh) | 基于网络欺骗的网络防护方法、装置、设备及存储介质 | |
JP2019502315A (ja) | 分散型サービス拒否攻撃を防御する方法、装置、クライアントおよびデバイス | |
CN112769771A (zh) | 基于虚假拓扑生成的网络防护方法及系统和系统架构 | |
CN109981633B (zh) | 访问服务器的方法、设备及计算机可读存储介质 | |
CN103841111A (zh) | 一种防止数据重复提交的方法和服务器 | |
CN104506540A (zh) | 虚拟主机的读写请求处理方法及系统、宿主机 | |
US20160330569A1 (en) | Service Processing Method and Network Device | |
US10594675B2 (en) | Communication apparatus, communication system, communication method, and program | |
US20170026399A1 (en) | Delaying Phishing Communication | |
US20180192306A1 (en) | Signal output apparatus, board, and signal output method | |
CN112738002A (zh) | 一种基于虚实结合的搭建工控蜜网的技术 | |
CN109992353B (zh) | 一种扩缩容方法、装置、设备及计算机可读存储介质 | |
CN107819594B (zh) | 网络故障定位方法及装置 | |
US10503930B2 (en) | NDM file protection method and apparatus | |
US20150312272A1 (en) | Protecting computing assets from resource intensive querying attacks | |
CN106330712A (zh) | 一种mac地址学习的控制方法和装置 | |
CN104935573B (zh) | 虚拟机迁移方法及装置 | |
JP7351399B2 (ja) | ログ生成装置、ログ生成方法、及びプログラム | |
CN104767684A (zh) | 数据传输方法及相关装置和通信系统 | |
CN104780106B (zh) | 多实例实现方法及装置 | |
CN114244788A (zh) | 数据的响应方法、装置以及系统 | |
CN110418343B (zh) | 寻呼方法、网络设备及终端 | |
KR101088868B1 (ko) | 네트워크 스위치의 에이알피 패킷 처리 방법 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |