CN111314276A - 一种对多个攻击行为检测的方法、装置及系统 - Google Patents
一种对多个攻击行为检测的方法、装置及系统 Download PDFInfo
- Publication number
- CN111314276A CN111314276A CN201911104472.0A CN201911104472A CN111314276A CN 111314276 A CN111314276 A CN 111314276A CN 201911104472 A CN201911104472 A CN 201911104472A CN 111314276 A CN111314276 A CN 111314276A
- Authority
- CN
- China
- Prior art keywords
- attacker
- information
- honeypot
- identification information
- port
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1491—Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明实施例公开了一种对多个攻击行为信息获取的方法,包括:接收至少一个攻击者信息、攻击者流量信息及根据攻击者信息创建的对应的攻击者标识信息;通过第一端口将攻击者流量信息转发给蜜罐,并通过第二端口将攻击者标识信息与第一端口的映射关系发送至蜜罐并进行暂存,蜜罐根据暂存的攻击者标识信息与第一端口的映射关系,将流量解析结果发送给系统服务模块,本发明公开的技术方案可以达到在多节点管理的情况下完整地记录、还原攻击时间线的效果。
Description
技术领域
本发明涉及攻击检测技术领域,具体涉及一种对多个攻击行为检测的方法、装置及系统。
背景技术
网络安全领域中的伪装欺骗技术是一种通过欺骗、诱骗的手段来阻止攻击者的入侵。典型的实现形式即蜜罐,通过运行高仿真的服务,在不影响任何真实业务的情况下,引诱攻击者进入蜜罐,达到延缓攻击、记录行为路径、分析攻击手法和意图的效果。伪装欺骗技术近年来备受瞩目,但从技术概念实际落地时,仍存在一些难题。
从技术原理上讲,蜜罐最重要的目的是欺骗攻击者、记录行为、分析攻击意图,所以蜜罐越仿真、记录的行为越详细越好。因此早期的蜜罐都比较完备,比如将实际的硬件设备作为蜜罐,诱捕到攻击者后,管理员查看设备操作历史。但实际落地时,系统管理员最需要的是统一的全局监控、高效的部署维护方法,结构化、可读性高的数据。这和蜜罐的完备程度是有所冲突的,多个蜜罐、多个攻击源和各类结构各异的攻击行为,如何由一个管理中心全局监控,让管理员及时、清晰地监控到所有攻击者的行为路径,是一个需要解决的问题。
目前的实现方案一般是舍弃攻击行为的详细程度,管理员只能看到孤立的攻击信息,尤其是SSH、websocket这类行为复杂的tcp长连接,很难将每个告警事件对应到攻击者哪一次的攻击行为。
发明内容
本申请的目的在于克服上述问题或者至少部分地解决或缓减解决上述问题。本发明公开的技术方案使得攻击者对蜜罐系统入侵的记录,能在统一的监控平台进行监控和记录以解决背景技术无法在多节点管理的情况下完整地记录、还原攻击时间线的问题。
根据本申请的第一个方面,提供了一种对多个攻击行为信息获取的方法,包括:
接收攻击者信息、攻击者流量信息及根据攻击者信息创建的对应的攻击者标识信息;
通过第一端口将其中一个攻击者流量信息转发给蜜罐,并通过第二端口将其中一个攻击者标识信息与第一端口的映射关系发送至蜜罐并进行暂存;
接收根据暂存的攻击者标识信息与第一端口的映射关系通过对应的第一端口发送的流量解析结果。
与现有技术相比,本发明提供的技术方案能在一个大体量的蜜罐管理系统中,即含多个攻击来源和多种类蜜罐,区分开每一条攻击者造成的tcp连接,以整合出每次攻击的tcp连接中丰富的信息,更好地做到统计分析、快速排查、实时告警的功能。
第二方面,提供了一种对多个攻击行为信息获取的装置,包括:
第一接收模块,用于接收攻击者信息、攻击者流量信息及根据攻击者信息创建的多个对应的攻击者标识信息;
转发模块,用于通过第一端口将其中一个攻击者流量信息转发给蜜罐,并通过第二端口将其中一个攻击者标识信息与第一端口的映射关系发送至蜜罐并进行暂存;
第一接收模块,用于接收根据暂存的攻击者标识信息与第一端口的映射关系通过对应的第一端口发送的流量解析结果。
与现有技术相比,本发明提供的一种对多个攻击行为信息获取的装置的有益效果与上述技术方案所述一种对多个攻击行为信息获取的方法的有益效果相同,在此不做赘述。
第三方面,提供了一种对多个攻击行为检测的系统,包括:
探针模块,用于获取攻击者信息和攻击者流量并负责记录攻击者信息;
消息处理模块,用于负责处理探针模块与蜜罐之间的消息,用于判断连接状态、上报连接建立/断开事件;
系统服务模块,用于整合和存储攻击日志的数据,并用于创建攻击者标识信息;
蜜罐,用于实际运行伪装服务并给予攻击者反馈,解析攻击流量,上报具体的攻击事件并暂存攻击者标识信息。
与现有技术相比,本发明提供的与现有技术相比,本发明提供的一种对多个攻击行为信息获取的系统的有益效果与上述技术方案所述一种对多个攻击行为信息获取的方法的有益效果相同,在此不做赘述。
附图说明
此处所说明的附图用来提供对本申请的进一步理解,构成本申请的一部分,本申请的示意性实施例及其说明用于解释本申请,并不构成对本申请的不当限定。后文将参照附图以示例性而非限制性的方式详细描述本申请的一些具体实施例。附图中相同的附图标记标示了相同或类似的部件或部分。本领域技术人员应该理解的是,这些附图未必是按比例绘制的。在附图中:
图1为本发明实施例中公开的一种对多个攻击行为信息获取的方法流程示意图;
图2为具体的获取攻击者信息的流程图;
图3为SSH蜜罐的具体工作过程的流程图;
图4为本发明实施例中公开的一种对多个攻击行为信息获取的装置结构示意图;
图5为本发明实施例中公开的一种对多个攻击行为信息获取的系统结构示意图。
具体实施方式
为了使本技术领域的人员更好地理解本申请方案,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分的实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本申请保护的范围。
需要说明的是,本申请的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本申请的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
如图1所示,图1为本发明实施例一种对多个攻击行为信息获取的方法流程示意图;
本发明公开的一种对多个攻击行为信息获取的方法包括如下步骤:
步骤S01,接收至少一个攻击者信息、攻击者流量信息及根据至少一个攻击者信息创建的多个对应的攻击者标识信息;
需要说明的是,监控平台可以监控多个攻击者的入侵行为,同时设置多个探针模块,通过探针模块记录攻击者信息,攻击者的信息包括攻击者的源信息,如源IP端口、目的IP端口、协议、设备指纹等等,攻击者流量为攻击者在单位时间内的攻击者的数量,另外本发明实施例中的探针模块为一个或者多个,本发明对此不作限制,当探针模块探测到攻击者信息后,会将攻击者信息发送至消息处理模块,消息处理模块根据攻击者的信息创建对应的唯一攻击者标识信息uuid,然后将攻击者标识信息uuid发送至监控平台系统服务模块。
在步骤S01之前,包括:攻击者攻击事件是否建立连接,如果建立连接,则根据攻击者信息创建与之对应的攻击者标识信息。
步骤S02,通过第一端口将攻击者流量信息转发给蜜罐,并通过第二端口将攻击者标识信息与第一端口的映射关系发送至蜜罐并进行暂存,蜜罐根据暂存的攻击者标识信息与第一端口的映射关系,将流量解析结果发送给系统服务模块;
需要说明的是,消息处理模块通过第一端口将攻击者流量转发给蜜罐,通过第二端口将攻击者标识信息与第一端口的映射关系发送至模块并进行暂存,系统服务模块发送攻击者流量与一个攻击者标识信息与第一端口的映射关系的端口不一致。
由于本发明是利用了消息处理模块对蜜罐的不同端口,理论上能同时处理60000多条长连接(考虑小部分端口会被占用的情况下),远大于单个消息处理模块所能承担的性能。
第一端口portx是顺序遍历的,由于消息处理模块B是无状态的,可以通过分布式部署多个消息处理模块。
需要说明的是,蜜罐运行仿真服务,持续给予攻击者反馈,同时通过内置的流量解析引擎,将攻击流量解析成需要的形式,如攻击行为,payload,遗留文件等等,蜜罐根据暂存的攻击者标识信息与第一端口的映射关系,将流量解析结果针对特定入侵事件发送给系统服务模块。
步骤S02之后,包括:
系统服务模块接收攻击者断开连接信息,并通知蜜罐清除攻击者标识信息与第一端口的映射关系。
需要说明的是,当系统服务模块接收到攻击者端口链接的消息后,系统服务模块通知蜜罐。
步骤S03之后,还包括:
系统服务模块将攻击事件加入到攻击时间流末尾,并将攻击事件标注为结束。
由于事件是以连接时间流来进行存储和展示,因此蜜罐的所有事件在上报的时候,都应当尽最大努力获得攻击者标识信息uuid,从而将攻击者信息与攻击者标识信息uuid关联,当攻击者的攻击事件结束时,系统服务模块将攻击事件加入到攻击时间流末尾,并将攻击事件标注为结束,接收到清除攻击者标识信息与第一端口的映射关系portx-uuid映射关系的指令,删除暂存的映射关系,等待下一次攻击者入侵连接。
如图2所示,图2为具体的获取攻击者信息的流程图。
一次正常的连接中,每个模块的协作关系为:
1、连接建立时
a.探针模块A记录攻击者信息,将攻击者信息和入侵流量不做处理地转发给消息处理模块B。
b.消息处理模块B接收到攻击者信息和入侵流量,判断出此是一次连接建立,生成一个唯一攻击者标识uuid。然后不分先后地进行以下操作:
i.将“uuid-连接建立和攻击者信息”上报给系统服务模块C。
ii.随机选择一个消息处理模块B端口portx(从1~65535顺序选择,若被占用则跳过),根据攻击者标识uuid创建代理转发的进程,将攻击流量转发到蜜罐D。此时攻击者标识uuid会存储在进程的内存中,待后续进程结束时使用。
iii.从消息处理模块B固定端口port3将攻击者标识信息与第一端口portx-uuid的映射关系发给蜜罐D。
c.系统服务模块C接收到攻击者连接建立的数据后,在数据库中根据攻击者标识创建一个未结束的入侵时间流,等待后续入侵事件的上报。
d.蜜罐D获得攻击者标识信息与第一端口中portx-uuid映射后,暂存起来。
2.攻击过程
a.蜜罐D运行仿真服务,持续给予攻击者反馈。同时通过内置的流量解析引擎,将攻击流量解析成需要的形式(攻击行为、payload、遗留文件等)。
b.蜜罐D根据暂存的攻击者标识信息与第一端口portx-uuid的映射关系,将流量解析结果攻击事件发送给系统服务模块C。
c.系统服务模块C收到消息处理模块B发送的入侵事件数据后,根据攻击者标识信息uuid,将入侵事件加入到对应入侵时间流的末尾。
3.连接断开时
a.攻击者结束并断开连接后,消息处理模块B判断出连接断开,随即上报“uuid-连接断开”事件到系统服务模块C,并通知蜜罐D清除攻击者标识信息与第一端口portx-uuid的映射关系。
b.系统服务模块C接收到连接断开的事件,加入到入侵时间流末尾,并将此次入侵标注为结束。
c.蜜罐D接收到清除攻击者标识信息与第一端口portx-uuid映射关系的指令,删除暂存的映射关系,等待下一次连接。
下面以一个SSH蜜罐为例。SSH蜜罐中内置了登录事件、shell命令执行和文件变更解析引擎。
如图3所示,SSH蜜罐属于远程登录类蜜罐,攻击者可执行的操作非常多,往往能暴露出不少攻击手法、攻击意图的信息,有很大意义。
SSH蜜罐的shell命令事件关联uuid是一个难点,首先SSH协议的流量不像http那样容易解析,所以需要将事件收集引擎植入到蜜罐更底层的模块中。因为shell命令是运行在SSH服务为其分配伪tty中的,所以更可行的是将引擎置入tty中,直接收集tty中的命令并上报。但tty不直接与消息处理模块B通信,而且在当前伪tty中还可以再次创建伪tty,就导致tty中的事件收集引擎很难直接获取到外部的portx、进而关联uuid。
综上蜜罐不仅应记录portx-uuid,还记录portx-ttyn关系。同时攻击者在tty中再次创建tty时,将上一个tty的映射关系复制到下一个tty中。
1.攻击者以弱密码登录蜜罐:
此时蜜罐向管理节点发送连接建立的消息和攻击源特征信息,并以密钥登录、密码登录两类事件的特征,向管理平台发送了包含同一uuid的入侵事件消息。
管理平台感知到威胁信息,即时创建入侵连接日志,并将两个入侵事件加在末尾:
2.攻击者进一步入侵时:
管理平台按照同样原理,将入侵事件和入侵遗留文件记录下来。
3.最后攻击者断开连接,管理节点在入侵连接日志末尾加入连接断开事件。
至此连接日志正式结束,当攻击者进行下一次攻击时,将会建立新的一条入侵连接日志。
第二方面,如图4所示,本发明还公开了一种对多个攻击行为信息获取的装置,包括:
接收模块01,用于接收攻击者信息、攻击者流量信息及根据攻击者信息创建的多个对应的攻击者标识信息;
转发模块02,用于通过第一端口将攻击者流量信息转发给蜜罐,并通过第二端口将其中一个攻击者标识信息与第一端口的映射关系发送至蜜罐并进行暂存,蜜罐根据暂存的攻击者标识信息与第一端口的映射关系,将流量解析结果发送给系统服务模块。
本发明公开的技术方案在多诱捕探针、多蜜罐的蜜罐管理系统中,通过无状态、可分布式部署的消息处理模块,创建全局维护的统一的uuid信息,来实现以tcp连接的方式记录整个入侵时间流,从而达到攻击者行为记录的丰富直观、以及告警的即时性。
第三方面,如图5所示,本发明提供了一种对多个攻击行为检测的系统,包括:
探针模块04,用于获取攻击者信息和攻击者流量并负责记录攻击者信息;
消息处理模块05,用于负责处理探针模块与蜜罐之间的消息,用于判断连接状态、上报连接建立/断开事件;
系统服务模块06,用于整合和存储攻击日志的数据,并用于创建攻击者标识信息;
蜜罐07,用于实际运行伪装服务并给予攻击者反馈,解析攻击流量,上报具体的攻击事件并暂存攻击者标识信息。
本发明公开的技术方案在多诱捕探针、多蜜罐的蜜罐管理系统中,通过无状态、可分布式部署的消息处理模块,创建全局维护的统一的uuid信息,来实现以tcp连接的方式记录整个入侵时间流,从而达到攻击者行为记录的丰富直观、以及告警的即时性。
根据本申请的第四个方面,还提供了一种计算机设备,所述设备包括:一个或多个处理器;存储器,用于存储一个或多个程序;当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现如上所述的方法。
在本发明的实施例中,各个模块或系统可以是由计算机程序指令形成的处理器,处理器可以是一种集成电路芯片,具有信号的处理能力。处理器可以是通用处理器、数字信号处理器(Digital Signal Processor,简称DSP)、专用集成电路(Application SpecificIntegrated Circuit,简称ASIC)、现场可编程门阵列(FieldProgrammable Gate Array,简称FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。
可以实现或者执行本发明实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。结合本发明实施例所公开的方法的步骤可以直接体现为硬件译码处理器执行完成,或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于随机存储器,闪存、只读存储器,可编程只读存储器或者电可擦写可编程存储器、寄存器等本领域成熟的存储介质中。处理器读取存储介质中的信息,结合其硬件完成上述方法的步骤。
根据本申请的第四个方面,还提供了一种计算机存储介质,所述计算机存储介质存储有计算机程序指令,所述计算机程序指令用于执行如上所述的方法。
存储介质可以是存储器,例如可以是易失性存储器或非易失性存储器,或可包括易失性和非易失性存储器两者。
其中,非易失性存储器可以是只读存储器(Read-Only Memory,简称ROM)、可编程只读存储器(Programmable ROM,简称PROM)、可擦除可编程只读存储器(Erasable PROM,简称EPROM)、电可擦除可编程只读存储器(Electrically EPROM,简称EEPROM)或闪存。
易失性存储器可以是随机存取存储器(Random Access Memory,简称RAM),其用作外部高速缓存。通过示例性但不是限制性说明,许多形式的RAM可用,例如静态随机存取存储器(Static RAM,简称SRAM)、动态随机存取存储器(Dynamic RAM,简称DRAM)、同步动态随机存取存储器(Synchronous DRAM,简称SDRAM)、双倍数据速率同步动态随机存取存储器(Double Data RateSDRAM,简称DDRSDRAM)、增强型同步动态随机存取存储器(EnhancedSDRAM,简称ESDRAM)、同步连接动态随机存取存储器(Synchlink DRAM,简称SLDRAM)和直接内存总线随机存取存储器(DirectRambus RAM,简称DRRAM)。
本发明实施例描述的存储介质旨在包括但不限于这些和任意其它适合类型的存储器。
本领域技术人员应该可以意识到,在上述一个或多个示例中,本发明所描述的功能可以用硬件与软件组合来实现。当应用软件时,可以将相应功能存储在计算机可读介质中或者作为计算机可读介质上的一个或多个指令或代码进行传输。计算机可读介质包括计算机存储介质和通信介质,其中通信介质包括便于从一个地方向另一个地方传送计算机程序的任何介质。存储介质可以是通用或专用计算机能够存取的任何可用介质。
最后应说明的是:以上各实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述各实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分或者全部技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的范围。
Claims (9)
1.一种对多个攻击行为信息获取的方法,其特征在于,包括:
接收至少一个攻击者信息、攻击者流量信息及根据攻击者信息创建的对应的攻击者标识信息;
通过第一端口将攻击者流量信息转发给蜜罐,并通过第二端口将攻击者标识信息与第一端口的映射关系发送至蜜罐并进行暂存,蜜罐根据暂存的攻击者标识信息与第一端口的映射关系,将流量解析结果发送给系统服务模块。
2.如权利要求1所述的一种对多个攻击行为检测的方法,其特征在于,所述接收至少一个攻击者信息、攻击者流量信息及根据攻击者信息创建的对应的攻击者标识信息之前,包括:
需判断攻击者攻击事件是否建立连接,如果建立连接,则根据攻击者信息创建与之对应的攻击者标识信息。
3.如权利要求1所述的一种对多个攻击行为检测的方法,其特征在于,所述接收至少一个攻击者信息、攻击者流量信息及根据攻击者信息创建的对应的攻击者标识信息之后,包括:
系统服务模块根据攻击者标识信息创建一个未结束的攻击时间流,等待后续攻击事件的上报。
4.如权利要求1所述的一种对多个攻击行为检测的方法,其特征在于,所述通过第一端口将攻击者流量信息转发给蜜罐,包括:
选择一个可用的第一端口并根据攻击者标识信息创建代理转发进程,将攻击者流量转发到蜜罐,所述攻击者标识信息会存储在进程的内存中。
5.如权利要求1所述的一种对多个攻击行为检测的方法,其特征在于,所述蜜罐根据暂存的攻击者标识信息与第一端口的映射关系,将流量解析结果发送给系统服务模块之前,包括:
蜜罐运行仿真服务,持续给予攻击者反馈,同时通过内置的流量解析引擎,将攻击者流量解析成需要的特定形式。
6.如权利要求1所述的一种对多个攻击行为检测的方法,其特征在于,所述蜜罐根据暂存的攻击者标识信息与第一端口的映射关系,将流量解析结果发送给系统服务模块之后,包括:
接收攻击者断开连接信息,并通知蜜罐清除攻击者标识信息与第一端口的映射关系。
7.如权利要求6所述的一种对多个攻击行为检测的方法,其特征在于,所述接收攻击者断开连接信息之后,包括:
系统服务模块将攻击事件加入到攻击时间流末尾,并将攻击事件标注为结束。
8.一种对多个攻击行为信息获取的装置,其特征在于,包括:
接收模块,用于接收攻击者信息、攻击者流量信息及根据攻击者信息创建的多个对应的攻击者标识信息;
转发模块,用于通过第一端口将攻击者流量信息转发给蜜罐,并通过第二端口将其中一个攻击者标识信息与第一端口的映射关系发送至蜜罐并进行暂存,蜜罐根据暂存的攻击者标识信息与第一端口的映射关系,将流量解析结果发送给系统服务模块。
9.一种对多个攻击行为检测的系统,其特征在于,包括:
探针模块,用于获取攻击者信息和攻击者流量并负责记录攻击者信息;
消息处理模块,用于负责处理探针模块与蜜罐之间的消息,用于判断连接状态、上报连接建立/断开事件;
系统服务模块,用于整合和存储攻击日志的数据,并用于创建攻击者标识信息;
蜜罐,用于实际运行伪装服务并给予攻击者反馈,解析攻击流量,上报具体的攻击事件并暂存攻击者标识信息。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201911104472.0A CN111314276A (zh) | 2019-11-09 | 2019-11-09 | 一种对多个攻击行为检测的方法、装置及系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201911104472.0A CN111314276A (zh) | 2019-11-09 | 2019-11-09 | 一种对多个攻击行为检测的方法、装置及系统 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN111314276A true CN111314276A (zh) | 2020-06-19 |
Family
ID=71159669
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201911104472.0A Pending CN111314276A (zh) | 2019-11-09 | 2019-11-09 | 一种对多个攻击行为检测的方法、装置及系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN111314276A (zh) |
Cited By (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111565199A (zh) * | 2020-07-14 | 2020-08-21 | 腾讯科技(深圳)有限公司 | 网络攻击信息处理方法、装置、电子设备及存储介质 |
CN111885007A (zh) * | 2020-06-30 | 2020-11-03 | 北京长亭未来科技有限公司 | 信息溯源方法、装置、系统及存储介质 |
CN112134854A (zh) * | 2020-09-02 | 2020-12-25 | 北京华赛在线科技有限公司 | 防御攻击的方法、装置、设备、存储介质及系统 |
CN112134857A (zh) * | 2020-09-07 | 2020-12-25 | 广州锦行网络科技有限公司 | 一种蜜罐系统多个节点绑定一个蜜罐的方法 |
CN112546616A (zh) * | 2020-12-15 | 2021-03-26 | 网易(杭州)网络有限公司 | 游戏技能处理方法、系统、装置及电子设备 |
CN113438199A (zh) * | 2021-05-07 | 2021-09-24 | 中国银行股份有限公司 | 数据库攻击防御方法、装置及系统 |
CN113992370A (zh) * | 2021-10-19 | 2022-01-28 | 广州锦行网络科技有限公司 | 一种流量转发控制方法及基于流量转发控制的诱捕节点 |
CN114389863A (zh) * | 2021-12-28 | 2022-04-22 | 绿盟科技集团股份有限公司 | 一种蜜罐交互的方法、装置、蜜罐网络、设备及存储介质 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107579997A (zh) * | 2017-09-30 | 2018-01-12 | 北京奇虎科技有限公司 | 无线网络入侵检测系统 |
CN107612924A (zh) * | 2017-09-30 | 2018-01-19 | 北京奇虎科技有限公司 | 基于无线网络入侵的攻击者定位方法及装置 |
CN109361670A (zh) * | 2018-10-21 | 2019-02-19 | 北京经纬信安科技有限公司 | 利用蜜罐有针对性的动态部署捕获恶意样本的装置及方法 |
-
2019
- 2019-11-09 CN CN201911104472.0A patent/CN111314276A/zh active Pending
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107579997A (zh) * | 2017-09-30 | 2018-01-12 | 北京奇虎科技有限公司 | 无线网络入侵检测系统 |
CN107612924A (zh) * | 2017-09-30 | 2018-01-19 | 北京奇虎科技有限公司 | 基于无线网络入侵的攻击者定位方法及装置 |
CN109361670A (zh) * | 2018-10-21 | 2019-02-19 | 北京经纬信安科技有限公司 | 利用蜜罐有针对性的动态部署捕获恶意样本的装置及方法 |
Cited By (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111885007A (zh) * | 2020-06-30 | 2020-11-03 | 北京长亭未来科技有限公司 | 信息溯源方法、装置、系统及存储介质 |
CN111565199A (zh) * | 2020-07-14 | 2020-08-21 | 腾讯科技(深圳)有限公司 | 网络攻击信息处理方法、装置、电子设备及存储介质 |
CN112134854A (zh) * | 2020-09-02 | 2020-12-25 | 北京华赛在线科技有限公司 | 防御攻击的方法、装置、设备、存储介质及系统 |
CN112134857A (zh) * | 2020-09-07 | 2020-12-25 | 广州锦行网络科技有限公司 | 一种蜜罐系统多个节点绑定一个蜜罐的方法 |
CN112546616A (zh) * | 2020-12-15 | 2021-03-26 | 网易(杭州)网络有限公司 | 游戏技能处理方法、系统、装置及电子设备 |
CN112546616B (zh) * | 2020-12-15 | 2024-01-12 | 网易(杭州)网络有限公司 | 游戏技能处理方法、系统、装置及电子设备 |
CN113438199A (zh) * | 2021-05-07 | 2021-09-24 | 中国银行股份有限公司 | 数据库攻击防御方法、装置及系统 |
CN113992370A (zh) * | 2021-10-19 | 2022-01-28 | 广州锦行网络科技有限公司 | 一种流量转发控制方法及基于流量转发控制的诱捕节点 |
CN114389863A (zh) * | 2021-12-28 | 2022-04-22 | 绿盟科技集团股份有限公司 | 一种蜜罐交互的方法、装置、蜜罐网络、设备及存储介质 |
CN114389863B (zh) * | 2021-12-28 | 2024-02-13 | 绿盟科技集团股份有限公司 | 一种蜜罐交互的方法、装置、蜜罐网络、设备及存储介质 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN111314276A (zh) | 一种对多个攻击行为检测的方法、装置及系统 | |
CN110113328B (zh) | 一种基于区块链的软件定义机会网络DDoS防御方法 | |
CN108306893B (zh) | 一种自组网络的分布式入侵检测方法和系统 | |
CN112738128B (zh) | 一种新型蜜罐组网方法及蜜罐系统 | |
US7770223B2 (en) | Method and apparatus for security management via vicarious network devices | |
Ganame et al. | A global security architecture for intrusion detection on computer networks | |
Panjwani et al. | An experimental evaluation to determine if port scans are precursors to an attack | |
Khan et al. | Software-defined network forensics: Motivation, potential locations, requirements, and challenges | |
CN108768917B (zh) | 一种基于网络日志的僵尸网络检测方法及系统 | |
US11080392B2 (en) | Method for systematic collection and analysis of forensic data in a unified communications system deployed in a cloud environment | |
CN111800412B (zh) | 高级可持续威胁溯源方法、系统、计算机设备及存储介质 | |
US20030084321A1 (en) | Node and mobile device for a mobile telecommunications network providing intrusion detection | |
RU2634209C1 (ru) | Система и способ автогенерации решающих правил для систем обнаружения вторжений с обратной связью | |
CN109922073A (zh) | 网络安全监控装置、方法和系统 | |
CN106452955B (zh) | 一种异常网络连接的检测方法及系统 | |
CN110677438A (zh) | 一种攻击链构建方法、装置、设备、介质 | |
Bidou | Security operation center concepts & implementation | |
CN113676472B (zh) | 电力行业可扩展式蜜罐溯源反制方法 | |
CN110351237B (zh) | 用于数控机床的蜜罐方法及装置 | |
CN110912898A (zh) | 伪装设备资产的方法、装置、电子设备及存储介质 | |
CN112217777A (zh) | 攻击回溯方法及设备 | |
CN112398857B (zh) | 防火墙测试方法、装置、计算机设备和存储介质 | |
CN113810423A (zh) | 一种工控蜜罐 | |
CN109740328B (zh) | 一种权限鉴定方法、装置、计算机设备和存储介质 | |
CN115603939A (zh) | 基于长短期记忆和注意力模型的分布式拒绝服务攻击检测方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20200619 |