CN112653707A - 一种增强型拟态输入代理 - Google Patents
一种增强型拟态输入代理 Download PDFInfo
- Publication number
- CN112653707A CN112653707A CN202011615632.0A CN202011615632A CN112653707A CN 112653707 A CN112653707 A CN 112653707A CN 202011615632 A CN202011615632 A CN 202011615632A CN 112653707 A CN112653707 A CN 112653707A
- Authority
- CN
- China
- Prior art keywords
- flow
- input
- feedback signal
- mimicry
- agent
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D30/00—Reducing energy consumption in communication networks
- Y02D30/50—Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Flow Control (AREA)
Abstract
本发明提供了一种增强型拟态输入代理,包括:流量控制器,包括流量过滤器和流量复制分发器;流量过滤器,根据安全策略对输入流量进行过滤处理;接收流量威胁检测器发出的第一流量阻断反馈信号,以及由拟态裁决器发出的依据对执行体的流量记录裁决出的未知攻击生成的第二流量阻断反馈信号,根据第一流量阻断反馈信号和第二流量阻断反馈信号更新安全策略;流量复制分发器,将过滤后的输入流量复制分发为两路,一路作为输入代理的输入流量分发到输入代理,另一路作为安全检测的输入流量分发到流量威胁检测器;流量威胁检测器,依据安全防护规则对作为安全检测的输入流量进行检测,并根据检测出的威胁流量生成第一流量阻断反馈信号。
Description
技术领域
本发明属于拟态安全技术领域,具体的说,涉及了一种增强型拟态输入代理。
背景技术
基于拟态构造的网络设备往往由输入/输出代理、拟态裁决器、拟态调度器、异构执行体组成,输入代理暴露于攻击面的最前端,为拟态构造系统的第一道防线,如何增强输入代理的安全性对于增强拟态构造系统的安全性具有重要意义。同时,目前的拟态构造系统能检测并防范未知威胁,往往无法在输入代理层面阻隔未知威胁流量,及时阻断未知威胁流量,对于增强系统的安全性具有重要意义。
发明内容
本发明的目的是针对现有技术的不足,提供一种快速裁决系统及方法。
为了实现上述目的,本发明所采用的技术方案是:
本发明第一方面提供了一种增强型拟态输入代理实现方法,包括:
根据安全策略对输入流量进行过滤处理,将过滤后的输入流量复制分发为两路,一路作为输入代理的输入流量,另一路作为安全检测的输入流量;
依据安全防护规则对作为安全检测的输入流量进行检测,并根据检测出的威胁流量生成第一流量阻断反馈信号;
接收执行体定时发送的本机的流量记录,并进行裁决,裁决出未知攻击以后,生成第二流量阻断反馈信号;
接收第一流量阻断反馈信号和第二流量阻断反馈信号,根据第一流量阻断反馈信号和第二流量阻断反馈信号更新安全策略。
基于上述,所述安全策略包括根据目的MAC、IP、端口号,源MAC、IP、端口号,协议号进行过滤的基于ACL的安全策略;基于用户行为的过滤检测;基于病毒库特征的过滤。
本发明第二方面提供了一种增强型拟态输入代理,包括:
流量控制器,包括流量过滤器和流量复制分发器;
流量过滤器,根据安全策略对输入流量进行过滤处理;接收流量威胁检测器发出的第一流量阻断反馈信号,以及由拟态裁决器发出的依据对执行体的流量记录裁决出的未知攻击生成的第二流量阻断反馈信号,根据第一流量阻断反馈信号和第二流量阻断反馈信号更新安全策略;
流量复制分发器,将过滤后的输入流量复制分发为两路,一路作为输入代理的输入流量分发到输入代理,另一路作为安全检测的输入流量分发到流量威胁检测器;
流量威胁检测器,依据安全防护规则对作为安全检测的输入流量进行检测,并根据检测出的威胁流量生成第一流量阻断反馈信号。
基于上述,所述流量威胁检测器采用在IPS或IDS设备上增加反馈输出功能实现。
基于上述,所述流量控制器采用FPGA或者专有芯片的方式进行实现。
基于上述,所述流量控制器与所述流量威胁检测器、所述拟态裁决器单向通信。
本发明第三方面提供了一种拟态防御架构,包括输入代理、输出代理、执行体、裁决器和调度器,所述输入代理采用所述的增强型拟态输入代理。
本发明相对现有技术具有突出的实质性特点和显著进步,具体的说,本发明通过引入流量控制器,对输入流量进行安全规则检测,在一定程度上,过滤了威胁流量,降低了输入代理被攻击的可能性;同时通过拟态裁决器的反馈,可以快速阻断疑似未知威胁流量对拟态构造系统的干扰,增强了拟态构造系统鲁棒性。
附图说明
图1是本发明系统的原理框图。
具体实施方式
下面通过具体实施方式,对本发明的技术方案做进一步的详细描述。
实施例1
如图1所示,本实施例提供了一种增强型拟态输入代理实现方法,包括:
根据安全策略对输入流量进行过滤处理,将过滤后的输入流量复制分发为两路,一路作为输入代理的输入流量,另一路作为安全检测的输入流量;
依据安全防护规则对作为安全检测的输入流量进行检测,并根据检测出的威胁流量生成第一流量阻断反馈信号;
接收执行体定时发送的本机的流量记录,并进行裁决,裁决出未知攻击以后,生成第二流量阻断反馈信号;
接收第一流量阻断反馈信号和第二流量阻断反馈信号,根据第一流量阻断反馈信号和第二流量阻断反馈信号更新安全策略。
本实施例中的安全策略包括三种:一种是基于ACL的安全策略,直接根据目的MAC、IP、端口号,源MAC、IP、端口号,协议号进行过滤;一种是基于用户行为的过滤检测,与传统IPS检测过滤规则类似;另一种是基于病毒库特征的过滤。
本实施例中第一流量阻断反馈信号发送的是传统威胁,即为已知攻击,第一流量阻断反馈信号根据威胁信息进行不同的反馈,如果是病毒的威胁,第一流量阻断反馈信号中应包含病毒特征;如果是DOS攻击,反馈信号中应包含发起攻击的源地址;安全策略根据收到的不同反馈信号,进行相应规则的更新。
本实施例中第二流量阻断反馈信号发送的是未知攻击,此时只需要把攻击的源信息(源IP、源MAC、源端口)进行反馈,将反馈的源信息作为黑名单进行处理即可。
实施例2
如图1所示,本实施例提供了一种增强型拟态输入代理,包括:
流量控制器,位于拟态构造系统的最前端,直面拟态构造系统的所有流量输入,包括流量过滤器和流量复制分发器;
流量过滤器,根据安全策略对输入流量进行过滤处理;接收流量威胁检测器发出的第一流量阻断反馈信号,以及由拟态裁决器发出的依据对执行体的流量记录裁决出的未知攻击生成的第二流量阻断反馈信号,根据第一流量阻断反馈信号和第二流量阻断反馈信号更新安全策略;
本实施例中的安全策略包括三种:一种是基于ACL的安全策略,直接根据目的MAC、IP、端口号,源MAC、IP、端口号,协议号进行过滤;一种是基于用户行为的过滤检测,与传统IPS检测过滤规则类似;另一种是基于病毒库特征的过滤。
本实施例中第一流量阻断反馈信号发送的是传统威胁,即为已知攻击,第一流量阻断反馈信号根据威胁信息进行不同的反馈,如果是病毒的威胁,第一流量阻断反馈信号中应包含病毒特征;如果是DOS攻击,反馈信号中应包含发起攻击的源地址;安全策略根据收到的不同反馈信号,进行相应规则的更新。
本实施例中第二流量阻断反馈信号发送的是未知攻击,此时只需要把攻击的源信息(源IP、源MAC、源端口)反馈给流量过滤器,流量过滤器将反馈的源信息作为黑名单进行处理即可。
流量复制分发器,将过滤后的输入流量复制分发为两路,一路作为输入代理的输入流量分发到输入代理,另一路作为安全检测的输入流量分发到流量威胁检测器;
流量威胁检测器,依据安全防护规则对作为安全检测的输入流量进行检测,并根据检测出的威胁流量生成第一流量阻断反馈信号。
优选的,所述流量威胁检测器采用在IPS或IDS设备上增加反馈输出功能实现。
特别的,为了减少流量控制器的攻击面,所述流量控制器采用FPGA或者专有芯片的方式进行实现,不采用操作系统或者软件的方式实现。所述流量控制器与所述流量威胁检测器、所述拟态裁决器单向通信,即所述流量控制器只接收所述流量威胁检测器、所述拟态裁决器的反馈信号,不向所述流量威胁检测器、所述拟态裁决器进行回馈。
实施例3
本实施例提供了一种拟态防御架构,包括输入代理、输出代理、执行体、裁决器和调度器,所述输入代理采用实施例2所述的增强型拟态输入代理。
本领域普通技术人员可以意识到,结合本文中所公开的实施例描述的各示例的单元及方法步骤,能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本申请的范围。
最后应当说明的是:以上实施例仅用以说明本发明的技术方案而非对其限制;尽管参照较佳实施例对本发明进行了详细的说明,所属领域的普通技术人员应当理解:依然可以对本发明的具体实施方式进行修改或者对部分技术特征进行等同替换;而不脱离本发明技术方案的精神,其均应涵盖在本发明请求保护的技术方案范围当中。
Claims (7)
1.一种增强型拟态输入代理实现方法,其特征在于,包括:
根据安全策略对输入流量进行过滤处理,将过滤后的输入流量复制分发为两路,一路作为输入代理的输入流量,另一路作为安全检测的输入流量;
依据安全防护规则对作为安全检测的输入流量进行检测,并根据检测出的威胁流量生成第一流量阻断反馈信号;
接收执行体定时发送的本机的流量记录,并进行裁决,裁决出未知攻击以后,生成第二流量阻断反馈信号;
接收第一流量阻断反馈信号和第二流量阻断反馈信号,根据第一流量阻断反馈信号和第二流量阻断反馈信号更新安全策略。
2.根据权利要求1所述的增强型拟态输入代理实现方法,其特征在于:所述安全策略包括根据目的MAC、IP、端口号,源MAC、IP、端口号,协议号进行过滤的基于ACL的安全策略;基于用户行为的过滤检测;基于病毒库特征的过滤。
3.一种增强型拟态输入代理,其特征在于,包括:
流量控制器,包括流量过滤器和流量复制分发器;
流量过滤器,根据安全策略对输入流量进行过滤处理;接收流量威胁检测器发出的第一流量阻断反馈信号,以及由拟态裁决器发出的依据对执行体的流量记录裁决出的未知攻击生成的第二流量阻断反馈信号,根据第一流量阻断反馈信号和第二流量阻断反馈信号更新安全策略;
流量复制分发器,将过滤后的输入流量复制分发为两路,一路作为输入代理的输入流量分发到输入代理,另一路作为安全检测的输入流量分发到流量威胁检测器;
流量威胁检测器,依据安全防护规则对作为安全检测的输入流量进行检测,并根据检测出的威胁流量生成第一流量阻断反馈信号。
4.根据权利要求3所述的增强型拟态输入代理,其特征在于:所述流量威胁检测器采用在IPS或IDS设备上增加反馈输出功能实现。
5.根据权利要求3所述的增强型拟态输入代理,其特征在于:所述流量控制器采用FPGA或者专有芯片的方式进行实现。
6.根据权利要求3所述的增强型拟态输入代理,其特征在于:所述流量控制器与所述流量威胁检测器、所述拟态裁决器单向通信。
7.一种拟态防御架构,包括输入代理、输出代理、执行体、裁决器和调度器,其特征在于:所述输入代理采用权利要求3-6任一项所述的增强型拟态输入代理。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202011615632.0A CN112653707B (zh) | 2020-12-31 | 2020-12-31 | 一种增强型拟态输入代理 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202011615632.0A CN112653707B (zh) | 2020-12-31 | 2020-12-31 | 一种增强型拟态输入代理 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN112653707A true CN112653707A (zh) | 2021-04-13 |
CN112653707B CN112653707B (zh) | 2022-08-16 |
Family
ID=75364402
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202011615632.0A Active CN112653707B (zh) | 2020-12-31 | 2020-12-31 | 一种增强型拟态输入代理 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN112653707B (zh) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114363051A (zh) * | 2021-12-31 | 2022-04-15 | 河南信大网御科技有限公司 | 一种拟态开关以及拟态系统内部单向通信方法 |
CN114679432A (zh) * | 2022-02-28 | 2022-06-28 | 河南信大网御科技有限公司 | 一种有害电话防范设备和方法 |
Citations (13)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106411937A (zh) * | 2016-11-15 | 2017-02-15 | 中国人民解放军信息工程大学 | 基于拟态防御架构的零日攻击检测、分析和响应系统及其方法 |
US20170279836A1 (en) * | 2016-03-25 | 2017-09-28 | Cisco Technology, Inc. | Distributed feedback loops from threat intelligence feeds to distributed machine learning systems |
CN107786568A (zh) * | 2017-11-03 | 2018-03-09 | 中国人民解放军信息工程大学 | 一种拟态云主机的自动构建装置、方法及系统 |
CN110177046A (zh) * | 2019-04-18 | 2019-08-27 | 中国人民解放军战略支援部队信息工程大学 | 基于拟态思想的安全交换芯片、实现方法及网络交换设备 |
CN110535842A (zh) * | 2019-08-20 | 2019-12-03 | 之江实验室 | 一种基于抽样检测的拟态安全系统和方法 |
CN110581852A (zh) * | 2019-09-11 | 2019-12-17 | 河南信大网御科技有限公司 | 一种高效型拟态防御系统及方法 |
CN111405062A (zh) * | 2020-04-01 | 2020-07-10 | 河南信大网御科技有限公司 | 基于ssh协议的拟态输入代理装置、通信系统及方法 |
CN111628979A (zh) * | 2020-05-21 | 2020-09-04 | 河南信大网御科技有限公司 | 无协议状态的环状拟态架构、防御方法和可读存储介质 |
US20200295525A1 (en) * | 2017-10-13 | 2020-09-17 | M Squared Lasers Limited | Laser system |
CN111885021A (zh) * | 2020-07-09 | 2020-11-03 | 河南信大网御科技有限公司 | 基于传输协议的拟态通信方法、通信架构及可读存储介质 |
CN111984975A (zh) * | 2020-07-24 | 2020-11-24 | 华东计算技术研究所(中国电子科技集团公司第三十二研究所) | 基于拟态防御机制的漏洞攻击检测系统、方法及介质 |
CN212009560U (zh) * | 2020-05-21 | 2020-11-24 | 河南信大网御科技有限公司 | 一种基于单片机串口的单向联系拟态架构 |
CN112118128A (zh) * | 2020-08-18 | 2020-12-22 | 河南信大网御科技有限公司 | 在线执行体故障的快速识别方法及恢复方法 |
-
2020
- 2020-12-31 CN CN202011615632.0A patent/CN112653707B/zh active Active
Patent Citations (13)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20170279836A1 (en) * | 2016-03-25 | 2017-09-28 | Cisco Technology, Inc. | Distributed feedback loops from threat intelligence feeds to distributed machine learning systems |
CN106411937A (zh) * | 2016-11-15 | 2017-02-15 | 中国人民解放军信息工程大学 | 基于拟态防御架构的零日攻击检测、分析和响应系统及其方法 |
US20200295525A1 (en) * | 2017-10-13 | 2020-09-17 | M Squared Lasers Limited | Laser system |
CN107786568A (zh) * | 2017-11-03 | 2018-03-09 | 中国人民解放军信息工程大学 | 一种拟态云主机的自动构建装置、方法及系统 |
CN110177046A (zh) * | 2019-04-18 | 2019-08-27 | 中国人民解放军战略支援部队信息工程大学 | 基于拟态思想的安全交换芯片、实现方法及网络交换设备 |
CN110535842A (zh) * | 2019-08-20 | 2019-12-03 | 之江实验室 | 一种基于抽样检测的拟态安全系统和方法 |
CN110581852A (zh) * | 2019-09-11 | 2019-12-17 | 河南信大网御科技有限公司 | 一种高效型拟态防御系统及方法 |
CN111405062A (zh) * | 2020-04-01 | 2020-07-10 | 河南信大网御科技有限公司 | 基于ssh协议的拟态输入代理装置、通信系统及方法 |
CN111628979A (zh) * | 2020-05-21 | 2020-09-04 | 河南信大网御科技有限公司 | 无协议状态的环状拟态架构、防御方法和可读存储介质 |
CN212009560U (zh) * | 2020-05-21 | 2020-11-24 | 河南信大网御科技有限公司 | 一种基于单片机串口的单向联系拟态架构 |
CN111885021A (zh) * | 2020-07-09 | 2020-11-03 | 河南信大网御科技有限公司 | 基于传输协议的拟态通信方法、通信架构及可读存储介质 |
CN111984975A (zh) * | 2020-07-24 | 2020-11-24 | 华东计算技术研究所(中国电子科技集团公司第三十二研究所) | 基于拟态防御机制的漏洞攻击检测系统、方法及介质 |
CN112118128A (zh) * | 2020-08-18 | 2020-12-22 | 河南信大网御科技有限公司 | 在线执行体故障的快速识别方法及恢复方法 |
Non-Patent Citations (2)
Title |
---|
周清雷等: "针对物理访问控制的拟态防御认证方法", 《通信学报》 * |
樊永文: ""基于拟态防御的数据保护安全架构研究"", 《郑州大学硕士学位论文》 * |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114363051A (zh) * | 2021-12-31 | 2022-04-15 | 河南信大网御科技有限公司 | 一种拟态开关以及拟态系统内部单向通信方法 |
CN114679432A (zh) * | 2022-02-28 | 2022-06-28 | 河南信大网御科技有限公司 | 一种有害电话防范设备和方法 |
CN114679432B (zh) * | 2022-02-28 | 2024-01-05 | 河南信大网御科技有限公司 | 一种有害电话防范设备和方法 |
Also Published As
Publication number | Publication date |
---|---|
CN112653707B (zh) | 2022-08-16 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN112653707B (zh) | 一种增强型拟态输入代理 | |
US8931099B2 (en) | System, method and program for identifying and preventing malicious intrusions | |
US20120324575A1 (en) | System, Method, Program, and Recording Medium for Detecting and Blocking Unwanted Programs in Real Time Based on Process Behavior Analysis and Recording Medium for Storing Program | |
US7620986B1 (en) | Defenses against software attacks in distributed computing environments | |
US7814542B1 (en) | Network connection detection and throttling | |
US20130007879A1 (en) | Method of and Apparatus for Monitoring for Security Threats in Computer Network Traffic | |
KR101217647B1 (ko) | 특정 소스/목적지 ip 어드레스 쌍들에 기초한 ip 네트워크들에서 서비스 거부 공격들에 대한 방어 방법 및 장치 | |
EP1628455B1 (en) | Method, apparatuses and computer software for enabling communication within a virtual network while the network's communications are restricted due to security threats | |
US20060037075A1 (en) | Dynamic network detection system and method | |
US20040111636A1 (en) | Defense mechanism for server farm | |
US20130298220A1 (en) | System and method for managing filtering information of attack traffic | |
WO2016191232A1 (en) | Mitigation of computer network attacks | |
KR100858271B1 (ko) | 분산서비스거부공격 차단장치 및 그 방법 | |
CN112995187B (zh) | 一种基于社团结构的网络协同防御系统及方法 | |
KR20080026122A (ko) | 타겟 희생자 자체-식별 및 제어에 의해 ip네트워크들에서 서비스 거부 공격들에 대한 방어 방법 | |
CN108810008A (zh) | 传输控制协议流量过滤方法、装置、服务器及存储介质 | |
Ma et al. | A design of firewall based on feedback of intrusion detection system in cloud environment | |
Abbas et al. | Subject review: Intrusion Detection System (IDS) and Intrusion Prevention System (IPS) | |
KR101006372B1 (ko) | 유해 트래픽 격리 시스템 및 방법 | |
US20050086512A1 (en) | Worm blocking system and method using hardware-based pattern matching | |
US8646081B1 (en) | Method and system to detect a security event in a packet flow and block the packet flow at an egress point in a communication network | |
CN115603985A (zh) | 入侵检测方法及电子设备、存储介质 | |
Ding et al. | Network security defense model based on firewall and IPS | |
CN113328976B (zh) | 一种安全威胁事件识别方法、装置及设备 | |
KR20100048105A (ko) | 네트워크 관리 장치 및 그 방법과 이를 위한 사용자 단말기및 그의 기록 매체 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |