CN111385236A - 一种基于网络诱骗的动态防御系统 - Google Patents
一种基于网络诱骗的动态防御系统 Download PDFInfo
- Publication number
- CN111385236A CN111385236A CN201811606521.6A CN201811606521A CN111385236A CN 111385236 A CN111385236 A CN 111385236A CN 201811606521 A CN201811606521 A CN 201811606521A CN 111385236 A CN111385236 A CN 111385236A
- Authority
- CN
- China
- Prior art keywords
- network
- false
- address
- server
- attack
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明提出一种基于网络诱骗的动态防御系统,所述动态防御系统基于移动目标防御的思想,通过网络诱骗技术构建动态环境,在终端计算机或服务器周围构建大量的虚假节点,同时虚假开放高危敏感端口对攻击者进行诱捕。无论攻击者用何种方式对网络进行扫描或渗透,会以极大的概率碰到虚假的节点或者虚开的端口,虚假的节点或虚开的端口会向系统发出警报,系统可以自动地、实时地对攻击者进行定位和封堵,斩断网络攻击链的第一环,从而可以进行事前防御,并防御未知新型恶意病毒的威胁。
Description
技术领域
本发明涉及网络安全领域,尤其涉及一种基于网络诱骗的动态防御系统。
背景技术
随着互联网技术突飞猛进的发展,以数字化、网络化、信息化为引导的新技术革命对现代社会产生了重要的影响。互联网技术已经融入到各行各业,成为人类社会生产和日常生活中不可或缺的一部分。与此同时,由于网络的开放性,各种网络安全问题也随之产生,攻击者利用扫描、监听、探测、欺骗等技术手段,可以轻易对目标网络进行入侵和攻击,如拒绝服务攻击、非授权访问、机密信息窃取、后门程序安装、蠕虫病毒传播等。多样化的网络服务和丰富的应用背景使攻击手段日益复杂,给网络信息安全造成了巨大威胁。
传统的网络安全防御体系建立在异常检测、特征识别、指纹比对、安全恢复、网络隔离等技术的基础上,在实际应用时往往在纵向边界部署防火墙、IPS等安全设备,终端计算机通过安装桌面管理系统、防病毒软件、准入系统进行安全管理和访问控制,同时通过及时安装补丁、对违规外联和弱口令进行管控。此外针对已知的安全漏洞,在防火墙和交换机上关闭风险端口,阻断网络攻击。
然而,现有的网络防御体系存在明显的安全缺陷。首先,信息内网终端计算机仍然存在感染新型病毒的可能性。这是由于杀毒软件病毒库的滞后性造成的,通常是病毒已经出现,并产生一定影响后,杀毒软件公司才能研究出应对措施,更新病毒库,因此当终端计算机通过U盘、光盘上的文件或邮件感染新型病毒后,不能及时被查杀。
其次,存在网络攻击在网络内部大量扩散的风险。现有防御体系在网络横向边界普遍缺乏管控技术,一旦某台终端计算机被攻击或感染病毒后,很可能在网络内大量扩散。虽然在交换机上关闭了已知的风险端口,但由于操作系统和软件的漏洞会不断出现,现今认为安全的端口,很可能在未来成为被攻击的对象,这种情况在计算机技术发展的历史中多次发生。因此我们不能排除新型恶意病毒在网络中扩散的可能性。一旦某种新型恶意病毒在网络中扩散,产生的危害难以预计。
另外,存在通过网络造成重要信息泄密的风险。现有网络安全体系是常见的静态架构,网络结构静态化,设备IP地址固定,容易分析出网络拓扑。一旦某台计算机通过U盘摆渡等方式,被植入恶意软件,成为“肉机”,即使该计算机上没有重要信息,但通过这台计算机恶意程序可以进行扫描、嗅探、渗透等手段,分析网络拓扑和架构,入侵到其它计算机或服务器,盗取重要信息。
最后,无法抵御未知的网络攻击。当前网络纵向边界虽然较为可靠,但计算机技术发展迅猛,现有纵向边界对未知网络攻击的抵御能力较弱。操作系统和软件的漏洞会不断出现,针对新的漏洞或端口的攻击在现有体系下难以应对,即使网络防御者可以再通过关端口、打补丁的方式进行应对,但该种方式存在滞后性,只能进行亡羊补牢,并且这种方式工作量大,往往收效甚微。
总的来说,现有防御体系主要集中于加强网络静态防御的能力,在一定程度上保护了网络的安全。但由于网络架构和配置固有的静态性,现有的防御技术在面对层出不穷的网络攻击时显得力不从心,攻击者往往有充足的时间分析网络架构、主机系统、防御技术并找出其中的漏洞,从而逐步渗透网络,达到攻击目的。
发明内容
为了有效应对攻击者的不断尝试攻击,打破攻击积累,同时提高对新型网络攻击的防御能力,本发明另辟蹊径,提出一种基于网络诱骗的动态防御系统。其基本技术思想是:基于移动目标防御的思想,通过网络诱骗技术构建网络动态环境,在终端计算机或服务器周围构建大量的虚假节点,同时虚假开放高危敏感端口对攻击者进行诱捕。无论攻击者用任何形式的方式(包括已知恶意程序和未知恶意程序)对网络进行扫描或渗透,会以极大的概率碰到虚假的节点或者虚开的端口,虚假的节点或虚开的端口会向系统发出警报,系统可以自动地、实时地对攻击者进行定位和封堵,斩断网络攻击链的第一环,从而可以进行事前防御,并防御未知新型恶意病毒的威胁。
为实现上述发明目的,本发明所提供的技术方案是:
一种基于网络诱骗的动态防御系统,包括:
管理单元,用于配置黑名单规则和虚假响应信息;
流量接收单元和流量发送单元,用于接收和发送网络通信数据包;
协议还原单元,依据协议定义规则接收流量接收单元的数据包,按照协议栈的顺序从底至上依次对数据包进行捕获和逐层分析,并最终还原出用户原始的会话信息;
威胁感知单元,用于实时检测协议还原单元提取的数据包,如果访问目标是虚假节点,则发送至虚假节点处理单元,否则认为是正常通信放行,同时对达到攻击封堵条件的源IP进行阻断;
虚假响应单元,用于构建虚假响应数据包,针对可疑的访问请求,调用虚假节点池中的虚假节点对其进行响应;
虚假节点生成单元,用于创建虚假节点,同时根据管理单元配置的动态变化时间间隔,周期性地重新生成虚假节点,从而实现动态网络环境。
进一步的根据前述的基于网络诱骗的动态防御系统,所述管理单元包括配置信息处理模块、审计模块和显示模块,所述配置信息处理模块用于配置黑名单规则和虚假响应信息,所述黑名单规则用于对通信数据包进行过滤,黑名单启用后,被列入到黑名单的用户(IP地址)的数据包不能通过,所述虚假响应信息用于配置虚假响应单元和虚假节点生成单元,包括但不限于虚假的IP地址范围、虚假的MAC地址范围、虚假的操作系统类型和版本、虚假的开放端口范围、虚假节点动态变化的时间间隔等,所述审计模块负责处理日志信息,提供丰富的攻击日志报表统计功能,日志信息包括但不限于攻击时间、攻击者的源IP地址和源端口、攻击的目的IP地址和目的端口、通信协议、虚假节点编号、虚假的IP地址、虚假的MAC地址、虚假的操作系统类型和版本、虚假的开放端口、攻击类型等,有助于网络管理员深层次分析攻击行为,所述显示模块实现对用户网络的实时流量、异常流量的可视化呈现,通过丰富的报表多维度显示,实现全网威胁可视化。
进一步的根据前述的基于网络诱骗的动态防御系统,所述流量接收单元和所述流量发送单元通过采用DPDK技术提升数据包的处理性能,所述DPDK技术提供了一套用于快速处理数据包的API接口,不需要修改内核就可以让网卡驱动运行在用户空间,从而消除了内核和用户空间之间的数据拷贝,减少报文转发过程中拷贝的次数以及共享总线操作的次数,有效地降低通信延迟,增加网络吞吐率,大大提升了数据包处理性能。
进一步的根据前述的基于网络诱骗的动态防御系统,所述协议还原单元通常采用以下的还原流程:优选的利用五元组信息(源目的IP地址、源目的端口号、协议号)提取出不同流的数据包,然后再按照顺序对其进行排序,待TCP流数据包接收完毕后即可进行应用层协议解析的工作,从这个流程可以看到,对于网络流量来说,属于不同会话的数据包处理过程并不具备相关性,可以并行的进行处理,从而提高协议还原的效率。
进一步的根据前述的基于网络诱骗的动态防御系统,所述虚假响应单元的响应信息包括但不限于虚假的IP地址、虚假的MAC地址、虚假的操作系统的类型和版本以及虚假的开放端口等,所述虚假响应信息通过流量发送单元发送给攻击源。
进一步的根据前述的基于网络诱骗的动态防御系统,所述虚假节点为每一个虚假节点配置但不限于虚假节点编号、虚假的IP地址、虚假的MAC地址、虚假的操作系统类型和版本、虚假的开放端口等信息。
进一步的根据前述的基于网络诱骗的动态防御系统,本发明利用微隔离技术对目标网络的逻辑结构进行重定义。微隔离是一种更细粒度的网络隔离技术,主要是用于阻止攻击在进入网络内部后的横向平移(或者叫东西向移动)。现有网络的二层通信为横向无边界交换模式,网络内部终端之间可通过交换机端口转发表无阻碍随意通讯。本发明通过软件定义网络技术对网络架构进行重构,把网络内部每台主机单独定义为一个逻辑隔离的子网,把现有内网的二层交换提升为微隔离交换模式,网络内部每台主机之间都被逻辑隔离。本发明在上述微隔离的基础上,利用网络功能虚拟化技术为每一台内部主机所在的逻辑子网生成大量的虚假节点。无论攻击者利用扫描、监听、探测、欺骗等技术手段,还是通过不断尝试的攻击方式,都不能获得目标网络的真实信息,从而失去了开展进一步攻击的基础。
进一步的根据前述的基于网络诱骗的动态防御系统,微隔离技术在具体应用时,优选地可通过但不限于修改网络内部主机的DHCP数据包来实现。当内部主机发起DHCP请求时,修改DHCP服务器响应包中分配给主机的IP地址,同时维护修改前和修改后的两个IP地址的对应关系,最终使得内部主机获得的IP地址由本发明所述的基于网络欺骗的动态防御系统来指定,每台主机被划分到不同的逻辑子网,每一个逻辑子网中均只有一台真实主机存在。
进一步的根据前述的基于网络诱骗的动态防御系统,一旦有攻击行为发生,系统会自动报警并阻断,非法通讯将被完全阻断,实现二层隔离的同时快速定位、封堵攻击,实现真正的PC到PC、PC到Server、Server到Server的安全。利用微隔离技术,能精准识别并实时阻断蠕虫(勒索病毒为典型代表)等无目的性的病毒扩散及网络间谍攻击。
进一步的根据前述的基于网络诱骗的动态防御系统,为了不改变目标网络的逻辑拓扑,本发明不改变目标网络内部主机网卡上的IP地址,根据如下两种方式构建虚假节点:
(一)根据用户配置的IP范围,随机地选取若干IP地址生成虚假节点,此时要求用户配置地IP范围不与目标网络内正在使用的IP地址冲突;
(二)无需用户配置,根据接收到的ARP请求信息和/或路由信息,自动学习并记录当前网络中正在使用的IP地址,对正在使用的IP地址所在的逻辑子网进行检索,随机选取其中未使用的IP地址生成虚假节点。
进一步的根据前述的基于网络诱骗的动态防御系统,针对目标网络内部静态服务器的防护,本发明根据接收到的ARP请求信息和/或路由信息,自动学习并记录当前网络中正在使用的IP地址,对静态服务器的IP地址所在的逻辑子网进行检索,随机选取其中若干未使用的IP地址生成虚假节点,这些虚假节点称为静态服务器的“影子”,静态服务器也称为真实服务器。当攻击者对静态服务器的“影子”进行IP访问时,将访问流量重定向至真实服务器,同时进行攻击记录。通过这样的操作,在真实服务器周围克隆出一系列与真实服务器完全一样的虚假节点,使得攻击者无法精确定位真实服务器。当攻击者对“影子”的攻击达到封堵条件(例如攻击次数达到一定阈值)时,本防御系统将攻击源阻断并产生报警。
进一步的根据前述的基于网络诱骗的动态防御系统,本发明针对网络内部静态服务器的防护,不构建新的虚假节点,通过虚假开放真实服务器的未使用的高危敏感端口来诱捕攻击者。当攻击者对目标服务器的虚假开放端口进行访问时,本防御系统代替目标服务器对攻击流量进行响应,同时进行攻击记录。通过这样的操作,在真实服务器上构建一系列虚假高危敏感端口,大大增加了攻击者的探测范围和真实服务器漏洞信息被发现的概率。当攻击者对虚假开放端口的攻击达到封堵条件(例如攻击次数达到一定阈值)时,本防御系统将攻击源阻断并产生报警。
本发明所述的基于网络诱骗的动态防御系统部署在网络的二层或三层出口处,能全面实时地监控目标网络的通信,针对攻击者的网络渗透攻击,可将攻击流量引入虚假节点进行响应。
本发明的有益效果:
1)、本发明提出的基于网络诱骗的动态防御系统,在网络中动态构建大量的虚假节点,同时虚假开放高危敏感端口对攻击者进行诱捕,从而有效迷惑攻击者,打乱攻击者的决策,使其无法准确获得网络拓扑、服务器类型、系统漏洞等信息,使攻击者的网络渗透无效化,同时有效阻断新型病毒在网络内部的横向传播,大大提高目标网络的安全稳定。
2)、布置本发明提出的基于网络诱骗的动态防御系统,攻击者对目标网络进行扫描探测得到的是虚假节点的响应信息,且虚假节点的数量、IP地址信息、开放的服务等信息可根据用户的配置进行随机变化。本系统给攻击者呈现一个复杂多样、动态变化的网络环境,使其很难掌握本系统的防御机制,进而不能绕过或突破本系统。此外虚假节点的动态变化能打破攻击者的攻击积累,有效缩短攻击时间窗口,大大增加攻击者的攻击难度。
3)、布置本发明提出的基于网络诱骗的动态防御系统,无需改变目标网络原来的物理拓扑结构,无需在终端主机上安装客户端程序,不改变用户的访问习惯,能与目标网络中已有的安全防护产品兼容,安装和维护成本低。
4)、经样机使用实践证明,本发明能有效抵御攻击者对目标网络的渗透攻击及新型恶意病毒的传播,能实时阻断攻击流量,且本发明所述方案在现有网络中容易布置、操作简单、安全可靠,具有显著的经济社会效益和广阔的市场推广应用前景。
附图说明
图1是本发明所述基于网络诱骗的动态防御系统的部署示意图;
图2是本发明所述基于网络诱骗的动态防御系统的第一优选实施方式中系统内部结构图;
图3是本发明所述基于网络诱骗的动态防御系统第一优选实施方式中管理单元的结构图;
图4是部署基于网络诱骗的动态防御系统后虚假节点信息的例图;
图5是部署基于网络诱骗的动态防御系统后虚假开放端口例图;
图6是本发明所述基于网络诱骗的动态防御系统的第四优选实施方式中服务器端口虚开示意图。
图中各附图标记的含义如下:
11-管理单元,12-流量接收单元,13-协议还原单元,14-威胁感知单元,15-虚假响应单元,16-虚假节点生成单元,17-流量发送单元,18-日志单元;
21-配置信息处理模块,22-审计模块,23-显示模块。
具体实施方式
以下结合附图对本发明的技术方案进行详细的描述,以使本领域技术人员能够更加清楚的理解本发明的方案,但并不因此限制本发明的保护范围。
随着计算机技术的发展,社会信息化进程不断加速,网络在当今社会中扮演着越来越重要的角色,成为了涵盖政府、商业、金融、通信等重要领域的国家战略资源。与此同时,网络安全威胁也是层出不穷,攻击者通过技术手段和社会工程等多种方法进入目标网络,进行机密数据窃取、系统破坏、恶意欺骗、网络渗透等,不但影响了普通民众的工作生活,也成为了威胁经济、社会甚至国家安全的重大问题。
在现有的互联网架构下,网络安全产品采用的技术包括杀毒软件技术、防火墙技术、入侵检测技术、数据加密技术等,在一定程度上保护了网络的安全。但是,由于网络架构的静态性,网络安全技术在不断发展的攻击技术面前往往显得力不从心,攻击者往往有充足的时间分析内网架构、主机系统、安全技术并找出其中的漏洞,从而逐步渗透网络,达到攻击目标。
首先说明本发明的技术创新原理。本发明基于移动目标防御(MTD,Moving TargetDefense)的新型网络防御思想,利用网络诱骗技术构建动态环境。移动目标防御,它不同于以往的网络安全思路,旨在部署和运行不确定、随机动态的网络和系统,让攻击者难以发现目标,可以大大降低系统弱点被暴露的概率,改变网络防御被动的态势,真正实现“主动”防御。本发明基于移动目标防御的思路,结合软件定义网络(SDN,Software DefinedNetwork)架构,保持原有网络配置的完整性,并最小化操作管理,使用户正常网络应用不受影响的情况下,实现网络拓扑的复杂化和动态化,把网络变成一个无法侦察和预测的迷宫,大大提高攻击者发现目标的难度,从而大大降低攻击成功的概率。
本发明利用网络诱骗技术,有针对性地对攻击者进行网络、应用、终端和数据的伪装,并主动欺骗攻击者,扰乱攻击者的视线,将其引入死胡同,并可以设置一个伪目标/诱饵,诱骗攻击者对其实施攻击,从而触发攻击告警。这种技术也是属于主动防御的技术,在战术战法层面改变了防御者被动的格局。本发明利用软件定义网络和网络功能虚拟化(NFV,Network Function Virtualization)技术,通过较少的投资、较少的资源消耗,可以在网络中部署大量的虚假节点和虚开的端口,这些节点和端口能够迷惑攻击者,虚假节点的IP地址能随机跳变,大大增加网络的复杂性,从而能够打破攻击者对网络的认知积累。对于网络中的静态服务器,我们通过软件定义网络和网络功能虚拟化技术克隆若干个虚假服务器部署在真实服务器周边,并虚假开放高危的端口对攻击者进行诱捕。无论攻击者用任何形式的方式(无论是已知病毒还是未知病毒)对目标网络进行扫描或渗透,会以极大的概率碰到伪装的节点或者虚开的端口,伪装的节点或虚开的端口会向系统发出警报,系统可以自动地、实时地对攻击者进行定位和封堵,斩断攻击链的第一环,从而可以进行事前防御,并防御未知新型病毒的威胁。
如图1所示,本发明所述的基于网络诱骗的动态防御系统部署在网络的二层或三层出口处,能全面实时地监控目标网络的通信。优选地本发明所述基于网络诱骗的动态防御系统针对攻击者的网络渗透攻击,可将攻击流量引入虚假节点进行响应。如果攻击者利用扫描、监听、探测、欺骗等技术手段,和/或通过多次尝试攻击的方式对目标网络进行入侵,并不能获得目标网络的真实信息。本发明所述的基于网络诱骗的动态防御系统,通过虚假节点对攻击流量进行响应,其中虚假响应信息包括但不限于虚假的IP地址、虚假的MAC地址、虚假的操作系统的类型和版本以及虚假的开放端口,能够有效迷惑攻击者,打乱攻击者的决策,使攻击者失去了开展进一步攻击的基础,有效提高了目标网络的安全稳定。
下面结合附图详细描述本发明所述基于网络欺骗的动态防御系统的原理和工作过程,优选的包括如下第一优选实施方式、第二优选实施方式、第三优选实施方式和第四优选实施方式。
第一优选实施方式
作为第一优选实施方式,本发明所述的基于网络欺骗的动态防御系统利用微隔离技术对目标网络的逻辑结构进行重定义。微隔离是一种更细粒度的网络隔离技术,主要是用于阻止攻击在进入网络内部后的横向平移(或者叫东西向移动)。现有网络的二层通信为横向无边界交换模式,网络内部终端之间可通过交换机端口转发表无阻碍随意通讯。本发明通过软件定义网络技术对网络架构进行重构,把网络内部每台主机单独定义为一个逻辑隔离的子网,把现有内网的二层交换提升为微隔离交换模式,网络内部每台主机之间都被逻辑隔离。微隔离技术在具体应用时,优选地可通过但不限于修改网络内部主机的DHCP数据包来实现。当内部主机发起DHCP请求时,修改DHCP服务器响应包中分配给主机的IP地址,同时维护修改前和修改后的两个IP地址的对应关系,最终使得内部主机获得的IP地址由本发明所述的基于网络欺骗的动态防御系统来指定,每台主机被划分到不同的逻辑子网,每一个逻辑子网中均只有一台真实主机存在。
本发明在上述微隔离的基础上,利用网络功能虚拟化技术为每一台内部主机所在的逻辑子网生成大量的虚假节点。如图2所示,作为第一优选实施方式,本发明所述的基于网络欺骗的动态防御系统包括管理单元(11)、流量接收单元(12)、协议还原单元(13)、威胁感知单元(14)、虚假响应单元(15)、虚假节点生成单元(16)、流量发送单元(17)、日至单元(18)和虚假节点池;所述协议还原单元(13)连接于流量接收单元(12)和威胁感知单元(14),所述虚假响应单元(15)连接于威胁感知单元(14)、流量发送单元(17)和虚假节点池,所述管理单元(11)负责虚假响应响应信息的配置和攻击展示,所述日至单元(18)生成虚假响应的日志信息。
管理单元(11)包括配置信息处理模块(21)、审计模块(22)和显示模块(23),其中所述配置信息处理模块(21)用于配置黑名单规则和虚假响应信息,所述黑名单规则用于对通信数据包进行过滤,黑名单启用后,被列入到黑名单的用户(IP地址)的数据包不能通过,所述虚假响应信息用于配置虚假响应单元(15)和虚假节点生成单元(16),包括但不限于虚假的IP地址范围、虚假的MAC地址范围、虚假的操作系统类型和版本、虚假的开放端口范围、虚假节点动态变化的时间间隔等,所述审计模块(23)负责处理日志信息,提供丰富的攻击日志报表统计功能,日志信息包括但不限于攻击时间、攻击者的源IP地址和源端口、攻击的目的IP地址和目的端口、通信协议、虚假节点编号、虚假的IP地址、虚假的MAC地址、虚假的操作系统类型和版本、虚假的开放端口、攻击类型等,有助于网络管理员深层次分析攻击行为,所述显示模块(33)实现对用户网络的实时流量、异常流量的可视化呈现,通过丰富的报表多维度显示,实现全网威胁可视化。
流量接收单元(12)和流量发送单元(17)处理网络通信数据包,流量接收单元(12)接收发送给本系统的数据包,依据管理单元(11)中配置信息处理模块(21)的黑名单规则,将列入到黑名单的用户(IP地址)的数据包丢弃,流量接收单元(12)将处理过的数据包发送至协议还原单元(13),所述流量发送单元(17)用于发送虚假响应数据包,对攻击流量进行虚假响应。所述流量接收单元(12)和所述流量发送单元(17)通过采用DPDK技术提升数据包的处理性能,所述DPDK技术提供了一套用于快速处理数据包的API接口,不需要修改内核就可以让网卡驱动运行在用户空间,从而消除了内核和用户空间之间的数据拷贝,减少报文转发过程中拷贝的次数以及共享总线操作的次数,有效地降低通信延迟,增加网络吞吐率,大大提升了数据包处理性能。
所述协议还原单元(13)依据协议定义规则接收流量接收单元(12)的数据包,按照协议栈的顺序从底至上依次对数据包进行捕获和逐层分析,并最终还原出用户原始的会话信息,在互联网传输链路上,用户和服务器之间的协议会话信息内容传递是以逐层封装(传输层、网络层、数据链路层等)的数据包形式出现,通过解析包头、数据拼接、取出网络附加信息等流程对会话信息进行重放,例如针对各种基于TCP/IP协议体系的应用,协议还原单元(13)通常采用以下的还原流程:优选的利用五元组信息(源目的IP地址、源目的端口号、协议号)提取出不同流的数据包,然后再按照顺序对其进行排序,待TCP流数据包接收完毕后即可进行应用层协议解析的工作,从这个流程可以看到,对于网络流量来说,属于不同会话的数据包处理过程并不具备相关性,可以并行的进行处理,从而提高协议还原的效率。
所述威胁感知单元(14)实时检测协议还原单元(13)提取的数据包,如果访问目标是虚假节点,则发送至虚假节点处理单元(15),否则认为是正常通信放行,同时对达到攻击封堵条件的源IP进行阻断。
所述虚假响应单元(15)构建虚假响应数据包,针对可疑的访问请求,调用虚假节点池中的虚假节点对其进行响应,所述虚假响应信息包括但不限于虚假的IP地址、虚假的MAC地址、虚假的操作系统的类型和版本以及虚假的开放端口等,这些虚假响应信息通过流量发送单元(17)发送给攻击源。
所述虚假节点生成单元(16)用于创建虚假节点,并通过管理单元(11)为每一个虚假节点配置但不限于虚假节点编号、虚假的IP地址、虚假的MAC地址、虚假的操作系统类型和版本、虚假的开放端口等信息。此外,虚假节点生成单元(16)根据管理单元(11)配置的动态变化时间间隔,周期性地重新生成虚假节点,从而实现动态网络环境。
这样在互联网上布置本发明所述基于网络诱骗的动态防御系统,无论攻击者利用扫描、监听、探测、欺骗等技术手段,还是通过不断尝试的攻击方式,都不能获得目标网络的真实信息,从而失去了开展进一步攻击的基础。此外,通过本发明所述基于网络诱骗的动态防御系统,一旦有攻击行为发生,系统会自动报警并阻断,非法通讯将被完全阻断,实现二层隔离的同时快速定位、封堵攻击,实现真正的PC到PC、PC到Server、Server到Server的安全。利用微隔离技术,能精准识别并实时阻断蠕虫(勒索病毒为典型代表)等无目的性的病毒扩散及网络间谍攻击。
本领域技术人员可在第一实施方式的基础上,进一步地根据需要将更多的信息包括于虚假响应信息中,这取决于系统的具体应用领域,但都属于本发明的技术构思范畴。
第二优选实施方式
本发明的第二优选实施方式所述的基于网络诱骗的动态防御系统,与上述第一优选实施方式的区别在于,不需要改变目标网络逻辑拓扑,即不改变目标网络内部主机网卡上的IP地址。第二优选实施方式所述的基于网络诱骗的动态防御系统根据如下两种方式构建虚假节点:
(一)根据用户配置的IP范围,随机地选取若干IP地址生成虚假节点,此时要求用户配置地IP范围不与目标网络内正在使用的IP地址冲突;
(二)无需用户配置,根据接收到的ARP请求信息和/或路由信息,自动学习并记录当前网络中正在使用的IP地址,对正在使用的IP地址所在的逻辑子网进行检索,随机选取其中未使用的IP地址生成虚假节点。
第三优选实施方式
本发明的第三优选实施方式所述的基于网络诱骗的动态防御系统,与上述第二优选实施方式的区别在于,第三优选实施方式主要针对目标网络内部的静态服务器进行防护,其中静态服务器是指IP地址被手动配置成静态IP地址的主机,例如WEB服务器、OA服务器、邮件服务器等。
本发明所述的基于网络诱骗的动态防御系统根据接收到的ARP请求信息和/或路由信息,自动学习并记录当前网络中正在使用的IP地址,对静态服务器的IP地址所在的逻辑子网进行检索,随机选取其中若干未使用的IP地址生成虚假节点,这些虚假节点称为静态服务器的“影子”,静态服务器也称为真实服务器。当攻击者对静态服务器的“影子”进行IP访问时,将访问流量重定向至真实服务器,同时进行攻击记录。通过这样的操作,在真实服务器周围克隆出一系列与真实服务器完全一样的虚假节点,使得攻击者无法精确定位真实服务器。当攻击者对“影子”的攻击达到封堵条件(例如攻击次数达到一定阈值)时,本防御系统将攻击源阻断并产生报警。
第四优选实施方式
本发明的第四优选实施方式所述的基于网络诱骗的动态防御系统,与上述第三优选实施方式的区别在于,第四优选实施方式针对网络内部的静态服务器进行防护,不构建新的虚假节点,而是通过虚假开放真实服务器的未使用的高危敏感端口来诱捕攻击者。
如图6所示,真实服务器是一个数据库服务器,只开放了1433端口,而3389、22、445等高危敏感端口并未真实开放,而是由本防御系统虚假打开的。当攻击者对目标服务器的虚假开放端口进行访问时,本防御系统代替目标服务器对攻击流量进行响应,同时进行攻击记录。通过这样的操作,在真实服务器上构建一系列虚假高危敏感端口,大大增加了攻击者的探测范围和真实服务器漏洞信息被发现的概率。当攻击者对虚假开放端口的攻击达到封堵条件(例如攻击次数达到一定阈值)时,本防御系统将攻击源阻断并产生报警。
本发明提出一种基于网络诱骗的动态防御系统,通过在目标网络中构建大量的虚假节点,同时虚假开放高危敏感端口,通过对攻击流量的虚假响应,有效迷惑攻击者,打乱攻击者的决策,使攻击者失去了开展进一步攻击的基础,有效提高了目标网络的安全稳定。
以上仅是对本发明的优选实施方式进行了描述,并不将本发明的技术方案限制于此,本领域技术人员在本发明的主要技术构思的基础上所作的任何公知变形都属于本发明所要保护的技术范畴,本发明具体的保护范围以权利要求书的记载为准。
Claims (7)
1.一种基于网络诱骗的动态防御系统,其特征在于,包括威胁感知单元、虚假响应单元和虚假节点生成单元,所述威胁感知单元实时处理数据包,如果访问目标是虚假节点,则发送至虚假节点处理单元,否则认为是正常通信放行,同时对达到攻击封堵条件的源IP进行阻断,所述虚假响应单元,用于构建虚假响应数据包,针对可疑的访问请求,调用虚假节点池中的虚假节点对其进行响应,所述虚假节点生成单元,用于创建虚假节点,同时根据配置的动态变化时间间隔,周期性地重新生成虚假节点,从而实现动态网络环境。
2.根据权利要求1所述基于网络诱骗的动态防御系统,其特征在于,所述虚假响应单元的响应信息包括但不限于虚假的IP地址、虚假的MAC地址、虚假的操作系统的类型和版本以及虚假的开放端口等,所述虚假响应信息通过流量发送单元发送给攻击源。
3.根据权利要求1-2所述基于网络诱骗的动态防御系统,其特征在于,利用微隔离技术对目标网络的逻辑结构进行重定义,通过软件定义网络技术对网络架构进行重构,把网络内部每台主机单独定义为一个逻辑隔离的子网,把现有内网的二层交换提升为微隔离交换模式,网络内部每台主机之间都被逻辑隔离,利用网络功能虚拟化技术为每一台内部主机所在的逻辑子网生成大量的虚假节点。
4.根据权利要求3所述基于网络诱骗的动态防御系统,其特征在于,微隔离技术在具体应用时,通过修改网络内部主机的DHCP数据包来实现。当内部主机发起DHCP请求时,修改DHCP服务器响应包中分配给主机的IP地址,同时维护修改前和修改后的两个IP地址的对应关系,最终使得内部主机获得的IP地址由所述的基于网络欺骗的动态防御系统来指定,每台主机被划分到不同的逻辑子网,每一个逻辑子网中均只有一台真实主机存在。
5.根据权利要求1-4所述基于网络诱骗的动态防御系统,其特征在于,不改变目标网络内部主机网卡上的IP地址,根据如下两种方式构建虚假节点:
(一)根据用户配置的IP范围,随机地选取若干IP地址生成虚假节点,要求用户配置地IP范围不与目标网络内正在使用的IP地址冲突;
(二)无需用户配置,根据接收到的ARP请求信息和/或路由信息,自动学习并记录当前网络中正在使用的IP地址,对正在使用的IP地址所在的逻辑子网进行检索,随机选取其中未使用的IP地址生成虚假节点。
6.根据权利要求5所述基于网络诱骗的动态防御系统,其特征在于,针对目标网络静态服务器的防护,根据接收到的ARP请求信息和/或路由信息,自动学习并记录当前网络中正在使用的IP地址,对静态服务器的IP地址所在的逻辑子网进行检索,随机选取其中若干未使用的IP地址生成虚假节点,当攻击者对虚假节点进行IP访问时,将访问流量重定向至真实服务器,通过这样的操作,在真实服务器周围克隆出一系列与真实服务器完全一样的虚假节点。
7.根据权利要求5所述基于网络诱骗的动态防御系统,其特征在于,针对网络静态服务器的防护,不构建新的虚假节点,通过虚假开放真实服务器的未使用的高危敏感端口来诱捕攻击者。当攻击者对目标服务器的虚假开放端口进行访问时,防御系统代替目标服务器对攻击流量进行响应,同时进行攻击记录。通过这样的操作,在真实服务器上构建一系列虚假开放的高危敏感端口。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811606521.6A CN111385236B (zh) | 2018-12-27 | 2018-12-27 | 一种基于网络诱骗的动态防御系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811606521.6A CN111385236B (zh) | 2018-12-27 | 2018-12-27 | 一种基于网络诱骗的动态防御系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111385236A true CN111385236A (zh) | 2020-07-07 |
| CN111385236B CN111385236B (zh) | 2022-04-29 |
Family
ID=71217888
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201811606521.6A Active CN111385236B (zh) | 2018-12-27 | 2018-12-27 | 一种基于网络诱骗的动态防御系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111385236B (zh) |
Cited By (21)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112311810A (zh) * | 2020-11-13 | 2021-02-02 | 国网冀北电力有限公司张家口供电公司 | 一种动态适应攻击的网络动态防御方法 |
| CN112714138A (zh) * | 2021-03-29 | 2021-04-27 | 北京网测科技有限公司 | 基于攻击流量的测试方法、装置、设备及存储介质 |
| CN112769771A (zh) * | 2020-12-24 | 2021-05-07 | 中国人民解放军战略支援部队信息工程大学 | 基于虚假拓扑生成的网络防护方法及系统和系统架构 |
| CN112788008A (zh) * | 2020-12-30 | 2021-05-11 | 上海磐御网络科技有限公司 | 一种基于大数据的网络安全动态防御系统及方法 |
| CN113194059A (zh) * | 2021-02-24 | 2021-07-30 | 天津大学 | 移动目标防御策略选择的方法 |
| CN113225314A (zh) * | 2021-04-08 | 2021-08-06 | 福建奇点时空数字科技有限公司 | 一种基于端口跳变MTD的SDN网络抗Dos方法 |
| CN113596022A (zh) * | 2021-07-27 | 2021-11-02 | 北京卫达信息技术有限公司 | 识别网络内恶意源的设备和方法 |
| CN113676479A (zh) * | 2021-08-20 | 2021-11-19 | 云盾智慧安全科技有限公司 | 数据防御方法、防御设备、终端设备及可读存储介质 |
| CN114024740A (zh) * | 2021-11-03 | 2022-02-08 | 长春嘉诚信息技术股份有限公司 | 一种基于密签诱饵的威胁诱捕方法 |
| CN114124523A (zh) * | 2021-11-22 | 2022-03-01 | 中国电子科技集团公司第五十四研究所 | 一种零信任与网络诱捕相结合的网络防御系统及方法 |
| CN114157479A (zh) * | 2021-12-01 | 2022-03-08 | 北京航空航天大学 | 一种基于动态欺骗的内网攻击防御方法 |
| CN114244543A (zh) * | 2020-09-08 | 2022-03-25 | 中国移动通信集团河北有限公司 | 网络安全防御方法、装置、计算设备及计算机存储介质 |
| CN114297652A (zh) * | 2021-12-30 | 2022-04-08 | 方滨兴 | 一种可防范未知网络攻击的背书链系统 |
| CN114374535A (zh) * | 2021-12-09 | 2022-04-19 | 北京和利时系统工程有限公司 | 一种基于虚拟化技术的控制器网络攻击防御方法与系统 |
| CN114462589A (zh) * | 2021-09-28 | 2022-05-10 | 北京卫达信息技术有限公司 | 正常行为神经网络模型训练方法、系统、装置及存储介质 |
| CN114465747A (zh) * | 2021-09-28 | 2022-05-10 | 北京卫达信息技术有限公司 | 基于动态端口伪装的主动欺骗防御方法及系统 |
| CN114465746A (zh) * | 2021-09-28 | 2022-05-10 | 北京卫达信息技术有限公司 | 一种网络攻击控制方法及系统 |
| CN114465749A (zh) * | 2021-09-28 | 2022-05-10 | 北京卫达信息技术有限公司 | 一种基于网络拓扑混淆的虚拟网关装置及构建方法 |
| CN115296902A (zh) * | 2022-08-03 | 2022-11-04 | 国家电网公司华中分部 | 一种虚拟信息的网络伪装方法 |
| CN116094749A (zh) * | 2022-11-25 | 2023-05-09 | 济南大学 | 一种针对crossfire tcp流量攻击的检测防御方法及系统 |
| US11683327B2 (en) * | 2020-07-23 | 2023-06-20 | Micro Focus Llc | Demand management of sender of network traffic flow |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP2216718A1 (en) * | 2009-02-10 | 2010-08-11 | Novell, Inc. | Virtual machine address management |
| CN104883410A (zh) * | 2015-05-21 | 2015-09-02 | 深圳颐和网络科技有限公司 | 一种网络传输方法和网络传输装置 |
| US20150288930A1 (en) * | 2014-04-08 | 2015-10-08 | Samsung Techwin Co., Ltd. | Network security system and method thereof |
| CN105245549A (zh) * | 2015-10-30 | 2016-01-13 | 上海红神信息技术有限公司 | 一种抵抗DDoS攻击的主动防御方法 |
| CN105721442A (zh) * | 2016-01-22 | 2016-06-29 | 耿童童 | 基于动态变换虚假响应系统、方法及网络安全系统与方法 |
| CN107465648A (zh) * | 2016-06-06 | 2017-12-12 | 腾讯科技(深圳)有限公司 | 异常设备的识别方法及装置 |
| CN108616386A (zh) * | 2018-03-29 | 2018-10-02 | 西安交通大学 | 一种sdn虚拟网络环境的构建方法及sdn虚拟网络环境 |
-
2018
- 2018-12-27 CN CN201811606521.6A patent/CN111385236B/zh active Active
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP2216718A1 (en) * | 2009-02-10 | 2010-08-11 | Novell, Inc. | Virtual machine address management |
| US20150288930A1 (en) * | 2014-04-08 | 2015-10-08 | Samsung Techwin Co., Ltd. | Network security system and method thereof |
| CN104883410A (zh) * | 2015-05-21 | 2015-09-02 | 深圳颐和网络科技有限公司 | 一种网络传输方法和网络传输装置 |
| CN105245549A (zh) * | 2015-10-30 | 2016-01-13 | 上海红神信息技术有限公司 | 一种抵抗DDoS攻击的主动防御方法 |
| CN105721442A (zh) * | 2016-01-22 | 2016-06-29 | 耿童童 | 基于动态变换虚假响应系统、方法及网络安全系统与方法 |
| CN107465648A (zh) * | 2016-06-06 | 2017-12-12 | 腾讯科技(深圳)有限公司 | 异常设备的识别方法及装置 |
| CN108616386A (zh) * | 2018-03-29 | 2018-10-02 | 西安交通大学 | 一种sdn虚拟网络环境的构建方法及sdn虚拟网络环境 |
Non-Patent Citations (5)
| Title |
|---|
| JHEN-LI WANG: ":(DHCP IP network security)_all,IEEE Xplore", 《2017 IEEE CONFERENCE ON DEPENDABLE AND SECURE COMPUTING》 * |
| NIKHIL TRIPATHI: "Exploiting DHCP server-side IP address conflict detection: A DHCP starvation attack", 《 2015 IEEE INTERNATIONAL CONFERENCE ON ADVANCED NETWORKS AND TELECOMMUNCATIONS SYSTEMS (ANTS)》 * |
| 张征: "基于云平台的虚拟机安全隔离和防护", 《信息与电脑(理论版)》 * |
| 杨庆华: "基于NFV的虚机微隔离安全解决方案", 《2015年中国互联网安全大会》 * |
| 马卫局: "网络空间安全进入动态防御时代", 《现代军事》 * |
Cited By (31)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US11683327B2 (en) * | 2020-07-23 | 2023-06-20 | Micro Focus Llc | Demand management of sender of network traffic flow |
| CN114244543A (zh) * | 2020-09-08 | 2022-03-25 | 中国移动通信集团河北有限公司 | 网络安全防御方法、装置、计算设备及计算机存储介质 |
| CN114244543B (zh) * | 2020-09-08 | 2024-05-03 | 中国移动通信集团河北有限公司 | 网络安全防御方法、装置、计算设备及计算机存储介质 |
| CN112311810A (zh) * | 2020-11-13 | 2021-02-02 | 国网冀北电力有限公司张家口供电公司 | 一种动态适应攻击的网络动态防御方法 |
| CN112311810B (zh) * | 2020-11-13 | 2022-11-15 | 国网冀北电力有限公司张家口供电公司 | 一种动态适应攻击的网络动态防御方法 |
| CN112769771A (zh) * | 2020-12-24 | 2021-05-07 | 中国人民解放军战略支援部队信息工程大学 | 基于虚假拓扑生成的网络防护方法及系统和系统架构 |
| CN112788008A (zh) * | 2020-12-30 | 2021-05-11 | 上海磐御网络科技有限公司 | 一种基于大数据的网络安全动态防御系统及方法 |
| CN112788008B (zh) * | 2020-12-30 | 2022-04-26 | 上海磐御网络科技有限公司 | 一种基于大数据的网络安全动态防御系统及方法 |
| CN113194059A (zh) * | 2021-02-24 | 2021-07-30 | 天津大学 | 移动目标防御策略选择的方法 |
| CN113194059B (zh) * | 2021-02-24 | 2022-06-14 | 天津大学 | 移动目标防御策略选择的方法 |
| CN112714138A (zh) * | 2021-03-29 | 2021-04-27 | 北京网测科技有限公司 | 基于攻击流量的测试方法、装置、设备及存储介质 |
| CN113225314A (zh) * | 2021-04-08 | 2021-08-06 | 福建奇点时空数字科技有限公司 | 一种基于端口跳变MTD的SDN网络抗Dos方法 |
| CN113596022A (zh) * | 2021-07-27 | 2021-11-02 | 北京卫达信息技术有限公司 | 识别网络内恶意源的设备和方法 |
| CN113676479A (zh) * | 2021-08-20 | 2021-11-19 | 云盾智慧安全科技有限公司 | 数据防御方法、防御设备、终端设备及可读存储介质 |
| CN114465746B (zh) * | 2021-09-28 | 2022-11-08 | 北京卫达信息技术有限公司 | 一种网络攻击控制方法及系统 |
| CN114462589B (zh) * | 2021-09-28 | 2022-11-04 | 北京卫达信息技术有限公司 | 正常行为神经网络模型训练方法、系统、装置及存储介质 |
| CN114465746A (zh) * | 2021-09-28 | 2022-05-10 | 北京卫达信息技术有限公司 | 一种网络攻击控制方法及系统 |
| CN114462589A (zh) * | 2021-09-28 | 2022-05-10 | 北京卫达信息技术有限公司 | 正常行为神经网络模型训练方法、系统、装置及存储介质 |
| CN114465747A (zh) * | 2021-09-28 | 2022-05-10 | 北京卫达信息技术有限公司 | 基于动态端口伪装的主动欺骗防御方法及系统 |
| CN114465749A (zh) * | 2021-09-28 | 2022-05-10 | 北京卫达信息技术有限公司 | 一种基于网络拓扑混淆的虚拟网关装置及构建方法 |
| CN114024740A (zh) * | 2021-11-03 | 2022-02-08 | 长春嘉诚信息技术股份有限公司 | 一种基于密签诱饵的威胁诱捕方法 |
| CN114124523B (zh) * | 2021-11-22 | 2024-01-26 | 中国电子科技集团公司第五十四研究所 | 一种零信任与网络诱捕相结合的网络防御系统及方法 |
| CN114124523A (zh) * | 2021-11-22 | 2022-03-01 | 中国电子科技集团公司第五十四研究所 | 一种零信任与网络诱捕相结合的网络防御系统及方法 |
| CN114157479A (zh) * | 2021-12-01 | 2022-03-08 | 北京航空航天大学 | 一种基于动态欺骗的内网攻击防御方法 |
| CN114374535B (zh) * | 2021-12-09 | 2024-01-23 | 北京和利时系统工程有限公司 | 一种基于虚拟化技术的控制器网络攻击防御方法与系统 |
| CN114374535A (zh) * | 2021-12-09 | 2022-04-19 | 北京和利时系统工程有限公司 | 一种基于虚拟化技术的控制器网络攻击防御方法与系统 |
| CN114297652A (zh) * | 2021-12-30 | 2022-04-08 | 方滨兴 | 一种可防范未知网络攻击的背书链系统 |
| CN115296902B (zh) * | 2022-08-03 | 2023-11-10 | 国家电网公司华中分部 | 一种虚拟信息的网络伪装方法 |
| CN115296902A (zh) * | 2022-08-03 | 2022-11-04 | 国家电网公司华中分部 | 一种虚拟信息的网络伪装方法 |
| CN116094749A (zh) * | 2022-11-25 | 2023-05-09 | 济南大学 | 一种针对crossfire tcp流量攻击的检测防御方法及系统 |
| CN116094749B (zh) * | 2022-11-25 | 2024-05-07 | 济南大学 | 一种针对crossfire tcp流量攻击的检测防御方法及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN111385236B (zh) | 2022-04-29 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111385236B (zh) | 一种基于网络诱骗的动态防御系统 | |
| US10097573B1 (en) | Systems and methods for malware defense | |
| Yurekten et al. | SDN-based cyber defense: A survey | |
| Akhunzada et al. | Secure and dependable software defined networks | |
| US20150047032A1 (en) | System and method for computer security | |
| CN111835694B (zh) | 一种基于动态伪装的网络安全漏洞防御系统 | |
| KR101156005B1 (ko) | 네트워크 공격 탐지 및 분석 시스템 및 그 방법 | |
| Baykara et al. | A survey on potential applications of honeypot technology in intrusion detection systems | |
| Chen et al. | Intrusion detection | |
| CN112398844A (zh) | 基于内外网实时引流数据的流量分析实现方法 | |
| Beg et al. | Feasibility of intrusion detection system with high performance computing: A survey | |
| CN111917691A (zh) | 一种基于虚假响应的web动态自适应防御系统及防御方法 | |
| CN113422779B (zh) | 一种基于集中管控的积极的安全防御的系统 | |
| Sumanth et al. | Raspberry Pi based intrusion detection system using k-means clustering algorithm | |
| Amal et al. | H-DOCTOR: Honeypot based firewall tuning for attack prevention | |
| Thu | Integrated intrusion detection and prevention system with honeypot on cloud computing environment | |
| Yadav et al. | Comparative study of datasets used in cyber security intrusion detection | |
| Li-Juan | Honeypot-based defense system research and design | |
| Araújo et al. | EICIDS-elastic and internal cloud-based detection system | |
| Diebold et al. | A honeypot architecture for detecting and analyzing unknown network attacks | |
| Resmi et al. | Intrusion detection system techniques and tools: A survey | |
| Rodrigues et al. | Design and implementation of a low-cost low interaction IDS/IPS system using virtual honeypot approach | |
| Dias | Automated Identification of Attacking Tools in a Honeypot | |
| Gheorghe et al. | Attack evaluation and mitigation framework | |
| Ambika et al. | Architecture for real time monitoring and modeling of network behavior for enhanced security |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |