CN113132335A - 一种虚拟变换系统、方法及网络安全系统与方法 - Google Patents
一种虚拟变换系统、方法及网络安全系统与方法 Download PDFInfo
- Publication number
- CN113132335A CN113132335A CN201911425385.5A CN201911425385A CN113132335A CN 113132335 A CN113132335 A CN 113132335A CN 201911425385 A CN201911425385 A CN 201911425385A CN 113132335 A CN113132335 A CN 113132335A
- Authority
- CN
- China
- Prior art keywords
- false
- response
- false response
- information
- network address
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提出一种基于实时响应的虚拟变换系统、方法及网络安全系统与方法,所述虚拟变换系统包括虚拟虚假变换信息配置单元和虚拟实时响应单元,虚拟虚假变换信息配置单元根据用户配置信息配置可实时响应的、至少包括虚假网络地址和虚假MAC地址的虚假响应信息,虚拟实时响应单元基于虚假响应信息构造虚假响应数据包对可疑的扫描探测数据包进行虚假响应。本发明通过对攻击者的扫描探测行为进行虚假响应,且虚假响应可根据配置进行实时响应,从而使攻击者无法获得网络的拓扑结构,无法准确获得网络中主机的真实信息,从而有效防御了网络渗透攻击行为,维护了网络的安全稳定。
Description
技术领域
本发明涉及网络安全领域,尤其涉及一种基于实时响应的虚拟变换系统、虚假响应方法以及基于此的网络安全系统和网络安全防御方法。
背景技术
随着计算机网络和信息技术的迅猛发展,全球信息化进程不断加速,网络在当今社会中的作用越来越重要,成为了涵盖政府、商业、金融、通信等重要领域的国家战略资源。与此同时,网络安全威胁也是层出不穷,攻击者通过技术手段或社会工程学的方法进入网络系统,进行信息窃取,系统破坏,恶意欺骗等活动,不但影响了普通民众的工作生活,也成为了威胁经济、社会乃至国家安全的重大问题。
内网随着网络的发展而逐渐在政府、企业、高校等单位中广泛应用。由于内网的管理和维护较为方便,并且能有效提高企事业单位和员工的工作效率,因此,在上世纪90年代和本世纪初,内网在我国各个行业取得空前发展。内网的安全在实际网络环境中非常重要,但被大多数网络安全设备忽视。现有的方法普遍通过采集流量来检测攻击行为,但是异常流量往往在攻击行为之后产生,因而此类方法无法对攻击行为进行实时防御。另一种方法是在接入网络的主机上部署网络安全防御系统,虽然能够防御部分攻击行为,但依赖于操作系统且无法做到对用户透明。扫描探测通常是攻击者进行内网渗透攻击的首要步骤,攻击者可以利用扫描探测工具对本地网络进行探测,根据响应结果精确快速地确定当前网络中主机的存活状态、主机端口开放的状态、主机操作系统的类型和版本、可能存在的漏洞等信息等,为后续的网络攻击和长期控守奠定基础。因此,阻断内网渗透攻击可以将多数入侵行为扼杀在萌芽状态,从而达到防患于未然的效果,减少恶意攻击带来的损失。
申请号为200910085033.X的发明专利公开了一种检测端口扫描行为的方法和系统,包括:将受保护的各客户端的1P地址与其开放的端口号的对应关系写入配置文件中;监测受保护的各客户端被访问情况,维护各访问客户端对受保护的客户端的开放端口访问列表和未开放端口访问列表;根据各访问客户端对受保护的客户端的开放端口访问列表和未开放端口访问列表,分别计算各受保护客户端的开放端口以及未开放端口被各访问客户端平均访问过的个数;按照预置的扫描判断准则进行扫描判断。该方法对快速扫描行为具有较好的检测效果,但是对慢扫描行为检测效果较差。
申请号为201510018050.7的发明专利公开了一种基于多源报警日志的网络攻击场景生成方法,首先收集多种网络安全防护设备产生的报警日志,通过预处理提取有效报警日志数据;针对单个设备得到的报警日志,通过单源日志聚合与映射,屏蔽不同设备日志格式差异,分析提取攻击事件信息;对从不同源提取的攻击事件,进行融合分析,生成具有较高可信度的网络攻击事件;进而通过攻击事件关联分析,生成网络攻击场景图,分析出一次攻击行动的整个攻击过程。由于融合了多源日志,所以分析出的攻击事件信息可以更完整地刻画网络遭受的攻击。但是该方法没有考虑每一个报警源的可信度,此外如果攻击者仅仅是进行扫描探测而没有进行下一步的攻击活动,该方法会失效。
申请号为201220157554.9的发明专利公开了一种基于多可信级别的内网的监控系统,包括高带宽数据分析机构、层次式内容分析机构、网络资源访问机构、多层防信息泄密机构、病毒木马自动免疫模块、多重防非法接入模块;所述高宽带数据分析机构的数据线连接所述层次式内容分析和所述网络资源访问机构,所述多层防信息泄密机构、所述病毒木马自动免疫模块与所述多重防非法接入模块与所述网络资源访问机构连接。该系统在一定程度上能提供内网资源的合法性管理与行为审计,防止来源于内部的攻击和非授权访问行为,但是由于涉及模块较多,部署复杂,其实用性和通用性较差。
总的来说,现有的网络渗透攻击检测方法无法在实际应用中获得较好的效果,其根本原因在于,攻击者利用扫描探测工具对目标网络进行扫描,得到的响应信息往往是真实的、确定的。攻击者可以通过多次扫描来分析网络架构、主机系统并找出其中的漏洞,最终逐步渗透并控制网络,达到攻击目的。
发明内容
为了有效防御网络渗透攻击行为,本发明另辟蹊径,提出一种基于实时响应的虚拟变换系统及虚假响应方法,并提出基于实时响应虚假响应的网络安全系统和方法。其基本技术思想是:通过对攻击者的扫描探测行为进行虚假响应,且虚假响应可根据配置进行实时响应,从而使攻击者无法获得网络的拓扑结构,无法准确获得网络中主机的真实信息,从而有效防御了网络渗透攻击行为,维护了网络的安全稳定。
本发明解决上述技术问题所采取的技术方案如下:
一种基于实时响应的虚拟变换系统,包括:虚拟虚假变换信息配置单元和虚拟实时响应单元,所述虚拟虚假变换信息配置单元连接于所述虚拟实时响应单元,所述虚拟虚假变换信息配置单元根据用户配置信息配置可实时响应的虚假响应信息,所述虚假响应信息至少包括虚假的网络地址和虚假的MAC地址,所述虚拟实时响应单元基于所述虚假响应信息对发送至虚拟实时响应单元的请求数据包构造虚假响应数据包。
进一步的根据本发明所述的虚拟变换系统,其中所述虚假响应信息包括虚假网络地址、虚假网络地址所对应的虚假MAC地址和虚假网络地址所对应的虚假端口,所述请求数据包包括ARP请求数据包、ICMP请求数据包、TCP SYN请求数据包中的至少一种;对于ARP请求数据包,所述虚拟实时响应单元提取ARP请求数据包中的目标网络地址,并根据包含有该目标网络地址的虚假响应信息构造ARP虚假响应数据包;对于ICMP请求数据包,所述虚拟实时响应单元提取ICMP请求数据包中的目标网络地址,并根据包含有该目标网络地址的虚假响应信息构造ICMP虚假响应数据包;对于TCP SYN请求数据包,所述虚拟实时响应单元提取TCP SYN请求数据包中的目标网络地址和目标端口,并根据包含有该目标网络地址和目标端口的虚假响应信息构造TCP SYN+ACK虚假响应数据包。
进一步的根据本发明所述的虚拟变换系统,其中所述虚拟虚假变换信息配置单元包括虚假响应信息存储单元12、虚假响应信息生成单元13和虚假响应信息实时响应单元17,所述虚假响应信息生成单元13和虚假响应信息实时响应单元17连接于所述虚假响应信息存储单元12,所述虚假响应信息生成单元13根据用户配置信息生成若干条虚假响应信息并存储于所述虚假响应信息存储单元12中,所述虚假响应信息实时响应单元17根据用户配置信息实时响应虚假响应信息存储单元12中存储的虚假响应信息,所述虚拟实时响应单元连接于所述虚假响应信息存储单元12;所述用户配置信息包括可进行虚假响应的网络地址范围、可进行虚假响应的MAC地址范围、可进行虚假响应的端口范围及每个端口进行虚假响应的概率、可进行虚假响应的操作系统类型与版本范围和虚假响应信息进行实时响应的时间间隔信息。
进一步的根据本发明所述的虚拟变换系统,其中所述虚假响应信息生成单元13包含:响应IP生成模块21、响应MAC生成模块22、响应端口生成模块23和响应操作系统类型与版本生成模块24,所述响应IP生成模块21根据用户配置信息中设定的可进行虚假响应的网络地址范围,随机选取一部分网络地址生成可进行虚假响应的网络地址列表;所述响应MAC生成模块22根据用户配置信息中设定的可进行虚假响应的MAC地址范围,为响应IP生成模块21生成的每一个网络地址随机生成对应的MAC地址;所述响应端口生成模块23根据用户配置信息中设定的可进行虚假响应的端口范围和每个端口进行虚假响应的概率,为响应IP生成模块21生成的每一个网络地址随机生成对应的若干端口以及每个端口进行虚假响应的概率;所述响应操作系统类型与版本生成模块24根据用户配置信息中设定的可进行虚假响应的操作系统类型与版本的范围,为响应IP生成模块21生成的每一个网络地址随机生成对应的操作系统类型与版本信息。
进一步的根据本发明所述的虚拟变换系统,其中所述虚假响应信息实时响应单元17包含虚假响应信息修改模块31和虚假响应变换重复查询模块32,所述虚假响应信息修改模块31和虚假响应变换重复查询模块32共同连接于所述虚假响应信息存储单元12,所述虚假响应信息修改模块31根据用户配置信息中设定的虚假响应信息进行实时响应的时间间隔信息来定时修改虚假响应信息存储单元12中所存储的虚假响应信息,所述虚假响应变换重复查询模块32对修改的虚假响应信息进行去重查询,并通知虚假响应信息修改模块31删除或修改重复出现的虚假响应信息;所述虚假响应信息修改模块31按照以下两种方式之一修改虚假响应信息:一、所述虚假响应信息修改模块31根据用户配置信息随机生成若干条新的虚假响应信息,同时随机删除若干条原有的虚假响应信息;二、所述虚假响应信息修改模块31根据用户配置信息中设定的每条虚假响应信息的修改概率对每条虚假响应信息中的网络地址、MAC地址、端口和/或操作系统类型与版本进行修改。
进一步的根据本发明所述的虚拟变换系统,其中所述虚拟实时响应单元包括ARP响应单元14、ICMP响应单元15和端口响应单元16,所述ARP响应单元14、ICMP响应单元15和端口响应单元16均连接于所述虚拟虚假变换信息配置单元;所述ARP响应单元14构造ARP虚假响应数据包的过程为:首先ARP响应单元14提取ARP请求数据包中的目标网络地址,将目标网络地址在虚假响应信息中进行查询,如果查询不到,则直接将此ARP请求数据包丢弃,如果能查询到,则通过提取该目标网络地址和该目标网络地址在虚假响应信息中对应的MAC地址来构造ARP虚假响应数据包;所述ICMP响应单元15构造ICMP虚假响应数据包的过程为:首先ICMP响应单元15提取ICMP请求数据包中的目标网络地址,将目标网络地址在虚假响应信息中进行查询,如果查询不到,则直接将此ICMP请求数据包丢弃,如果能查询到,则通过提取该目标网络地址和该目标网络地址在虚假响应信息中对应的MAC地址来构造ICMP虚假响应数据包;所述端口响应单元16构造TCP SYN+ACK虚假响应数据包的过程为:首先端口响应单元16提取TCP SYN请求数据包中的目标网络地址和目标端口,将目标网络地址在虚假响应信息中进行查询,如果查询不到,则直接将此TCP SYN请求数据包丢弃,如果能查询到,则进一步查询目标端口是否包含在已查询到的包括目标网络地址的虚假响应信息的端口中,如果不包含,则直接将此TCP SYN请求数据包丢弃,如果包含,则通过提取该目标网络地址、目标端口、目标网络地址在虚假响应信息中对应的MAC地址和目标网络地址在虚假响应信息中对应的操作系统类型与版本信息来构造TCP SYN+ACK虚假响应数据包。
进一步的根据本发明所述的虚拟变换系统,其中还包括有日志单元18,所述日志单元18连接于所述虚拟实时响应单元,并根据虚拟实时响应单元对请求数据包的响应结果生成日志信息。
一种基于实时响应的虚假响应方法,包括以下步骤:
(1)、根据预设的可进行虚假响应的网络地址范围、可进行虚假响应的MAC地址范围、可进行虚假响应的端口范围及每个端口进行虚假响应的概率和可进行虚假响应的操作系统类型与版本范围生成若干条虚假响应信息,每条虚假响应信息包括有虚假网络地址、虚假网络地址所对应的虚假MAC地址、虚假网络地址所对应的虚假端口和虚假网络地址所对应的虚假操作系统类型与版本,并根据预设的时间间隔动态修改所述虚假响应信息;
(2)、按照下述方式对相关请求数据包进行响应,生成对应的虚假响应数据包:
(2-1)、对于ARP请求数据包,首先提取ARP请求数据包中的目标网络地址,将目标网络地址在步骤(1)所生成的虚假响应信息中进行查询,如果查询不到,则将此ARP请求数据包丢弃,如果能查询到,则根据查询到的包括该目标网络地址的虚假响应信息构造ARP虚假响应数据包;
(2-2)、对于ICMP请求数据包,首先提取ICMP请求数据包中的目标网络地址,将目标网络地址在步骤(1)所生成的虚假响应信息中进行查询,如果查询不到,则将此ICMP请求数据包丢弃,如果能查询到,则根据查询到的包括该目标网络地址的虚假响应信息构造ICMP虚假响应数据包;
(2-3)、对于TCP SYN请求数据包,首先提取TCP SYN请求数据包中的目标网络地址和目标端口,将目标网络地址在步骤(1)所生成的虚假响应信息中进行查询,如果查询不到,则将此TCP SYN请求数据包丢弃,如果能查询到,则进一步查询目标端口是否包含在已查询到的包括目标网络地址的虚假响应信息的端口中,如果不包含,则将此TCP SYN请求数据包丢弃,如果包含则根据查询到的包括该目标网络地址和目标端口的虚假响应信息构造TCPSYN+ACK虚假响应数据包;
(3)、根据各类请求数据包的响应结果生成日志信息。
一种网络安全系统,包括:数据包预处理单元和本发明所述的虚拟变换系统,所述数据包预处理单元连接于所述虚拟变换系统中虚拟实时响应单元的输入端,用于判定请求数据包是否可疑并将可疑的请求数据包提供给所述虚拟实时响应单元进行虚假响应。
一种网络安全防御方法,包括以下步骤:
(1)、对访问网络的请求数据包进行可疑性判定,若某个时间段内发送的具有相同源网络地址的请求数据包的个数超过某一阈值,则判定该请求数据包是可疑的请求数据包,否则判定该请求数据包是正常的请求数据包;
(2)、对于步骤(1)判定的属于可疑的请求数据包,按照本发明所述的虚假响应方法,对可疑的请求数据包通过生成虚假响应数据包来进行虚假响应,并记录日志信息;
(3)、对于步骤(1)判定的属于正常的请求数据包,则直接放行。
本发明所述的技术方案具有以下技术创新和技术效果:
本发明首创的提出可基于实时响应的虚拟变换系统及方法,当攻击者对网络(优选内网)进行扫描探测时,对攻击者发送的扫描探测数据包进行虚假响应,使其无法获得网络(优选内网)拓扑结构和网络(优选内网)中主机的真实信息,其中虚假响应信息至少包含虚假的网络地址、虚假的MAC地址、虚假的操作系统的类型和版本以及虚假的开放端口;同时引入实时响应的思想,每隔一段时间对构建的虚假响应信息进行修改,攻击者最终因无法搜集到网络(优选内网)的真实信息而无法开展后续的攻击行为,基于此有效防御了网络(优选内网)的渗透攻击行为,维护了网络的安全稳定,实现了一种全新的网络安全技术,具有广泛的推广应用价值。
附图说明
图1是本发明所述虚拟变换系统的总体结构框图;
图2是本发明所述虚拟变换系统中虚假响应信息生成单元的第一优选结构框图;
图3是本发明所述虚拟变换系统中虚假响应信息实时响应单元的结构框图;
图4是本发明所述虚拟变换系统中日志单元的结构框图;
图5是包括本发明所述虚拟变换系统的网络安全系统的总体结构框图;
图6是本发明所述虚拟变换系统中虚假响应信息生成单元的第二优选结构框图;
图中各附图标记的含义如下:
11-请求数据包,12-虚假响应信息存储单元,13-虚假响应信息生成单元,14-ARP响应单元,15-ICMP响应单元,16-端口响应单元,17-虚假响应信息实时响应单元,18-日志单元,19-数据包预处理单元;
21-响应IP生成模块,22-响应Mac生成模块,23-响应端口生成模块,24-响应操作系统类型与版本生成模块,25-漏洞信息生成模块;
31-虚假响应信息修改模块,32-虚假响应变换重复查询模块;
41-ARP日志模块,42-ICMP日志模块,43-端口日志模块。
具体实施方式
以下结合附图对本发明的技术方案进行详细的描述,以使本领域技术人员能够更加清楚的理解本发明的方案,但并不因此限制本发明的保护范围。
本发明所述的基于实时响应的虚拟变换系统,包括虚拟虚假变换信息配置单元、虚拟实时响应单元和日志单元,所述虚拟虚假变换信息配置单元连接于虚拟实时响应单元,所述虚拟实时响应单元连接于日志单元,其中所述虚拟虚假变换信息配置单元根据用户配置信息配置可实时响应的虚假响应信息,这些虚假响应信息包括虚假的网络地址、虚假的MAC地址、虚假的操作系统类型与版本以及虚假的开放端口,所述的虚拟实时响应单元根据虚拟虚假变换信息配置单元中配置的虚假响应信息构建虚假响应数据包,对可疑的请求数据包进行虚假响应。这些虚假响应数据包中包含的网络地址、MAC地址、端口以及操作系统类型与版本等信息均是虚假构建的,并非是真实的,所述的日志单元用于收集虚拟实时响应单元的响应结果,以便于网络管理员对攻击行为进行深层次的分析。这样基于本发明所述的虚拟变换系统,攻击者的扫描探测数据包并不能获得网络的拓扑结构和网络中主机的真实信息。从而使得本发明所述的这种虚拟变换系统应用于网络安全防御时能够完全抑制网络渗透攻击行为,网络渗透攻击就是攻击者利用扫描探测工具对目标网络进行频繁扫描,基于扫描过程中得到的真实响应信息来分析和确定网络拓扑结构、内网架构、主机系统信息,进而找出其中的漏洞,最终逐步渗透并控制网络,达到攻击目的,而基于本发明创新提出的虚拟变换系统构建的网络安全系统,对攻击者的扫描探测数据包响应的是虚假配置的响应信息,从而攻击者无论扫描多少次都无法获取网络的拓扑结构和网络中主机的真实信息,从而失去了开展进一步攻击的基础,有效的防御了网络安全,应用于内网时具有非常突出的安全保护效果。
下面结合附图详细描述本发明所述基于实时响应的虚拟变换系统和方法,以及基于这种虚拟变换系统的网络安全系统,优选的包括如下实施方式。
第一优选实施方式
如附图1所示的,本发明所述的基于实时响应的虚拟变换系统包括虚拟虚假变换信息配置单元、虚拟实时响应单元和日志单元,其中所述的虚拟虚假变换信息配置单元具体包括虚假响应信息存储单元12、虚假响应信息生成单元13和虚假响应信息实时响应单元17,所述的虚假响应信息生成单元13和虚假响应信息实时响应单元17同时连接于所述虚假响应信息存储单元12。所述的虚假响应信息生成单元13用于根据用户配置信息生成若干虚假响应信息并存储于虚假响应信息存储单元12中,所述虚假响应信息存储单元12将其中存储的虚假响应信息提供给虚拟实时响应单元,所述的虚假响应信息实时响应单元17根据用户配置信息实时响应虚假响应信息存储单元12中存储的虚假响应信息。其中所述的用户配置信息包括可进行虚假响应的网络地址的范围、可进行虚假响应的MAC地址的范围、可进行虚假响应的端口范围及每个端口进行响应的概率和可进行虚假响应的操作系统类型与版本范围、虚假响应信息进行动态变化的时间间隔信息,因为网络地址、MAC地址、端口以及操作系统类型与版本是攻击者进行扫描探测需要的基本信息,对这些信息进行虚假变换,足以迷惑攻击者而达到网络安全防御的目的。为进一步提高安全性,本领域技术人员可在上述用户配置信息的基础上进一步增加其它多种用于虚假响应的配置信息,如可增加进行虚假响应的漏洞信息等。
具体的所述虚假响应信息生成单元13如附图2所示的,包含响应IP生成模块21、响应Mac生成模块22、响应端口生成模块23和响应操作系统类型与版本生成模块24,其中的响应IP生成模块21根据用户配置信息中设定的可进行虚假响应的网络地址范围,随机选取一部分网络地址生成可以进行虚假响应的网络地址列表;其中的响应Mac生成模块22根据用户配置信息中设定的可进行虚假响应的MAC地址范围,为响应IP生成模块21生成的每一个网络地址随机生成对应的Mac地址;其中的响应端口生成模块23根据用户配置信息中设定的可进行虚假响应的端口范围和每个端口进行虚假响应的概率,为响应IP生成模块21生成的每一个网络地址随机生成对应的若干端口以及每个端口进行虚假响应的概率;其中的响应操作系统类型与版本生成模块24根据用户配置信息中设定的可进行虚假响应的操作系统类型与版本的范围,为响应IP生成模块21生成的每一个网络地址随机生成对应的操作系统类型与版本信息;最后虚假响应信息生成单元13把生成的虚假响应信息存储到虚假响应信息存储单元12中。
所述的虚假响应信息存储单元12中存储有若干条虚假响应信息,每一条虚假响应信息包括网络地址、网络地址所对应的MAC地址、端口和操作系统类型与版本,其中每条虚假响应信息中的一个网络地址对应于一个MAC地址,但可对应于若干端口且每个端口各自具有进行虚假响应的概率,不同的IP具有不同的MAC地址,但可具有同一个操作系统类型与版本。
所述的虚假响应信息实时响应单元17根据用户配置信息实时响应虚假响应信息存储单元12中存储的虚假响应信息,具体的所述虚假响应信息实时响应单元17包含虚假响应信息修改模块31和虚假响应变换重复查询模块32,如图3所示,所述虚假响应信息修改模块31和虚假响应变换重复查询模块32连接,并共同连接于虚假响应信息存储单元12,所述虚假响应信息修改模块31根据用户配置信息中设定的虚假响应信息动态变化时间间隔来定时修改虚假响应信息存储单元12中所存储的虚假响应信息,进行修改时,根据用户配置信息中设定的可进行虚假响应的网络地址范围、可进行虚假响应的MAC地址范围、可进行虚假响应的端口范围和每个端口进行响应的概率、可进行虚假响应的操作系统类型与版本范围,随机生成若干条新的虚假响应信息,具体生成方式与上述虚假响应信息生成单元13中虚假响应信息的生成方式相同,每条新的虚假响应信息包括网络地址以及与网络地址对应的MAC地址、端口和操作系统类型与版本,同时随机删除虚假响应信息存储单元12中存储的若干条原有的虚假响应信息;且在修改过程中虚假响应变换重复查询模块32对虚假响应信息存储单元12中的虚假响应信息进行实时查询,通过查询判定虚假响应信息存储单元12中是否出现重复的虚假响应信息,如其中存储的网络地址和Mac地址是否重复出现,如果出现重复,则虚假响应变换重复查询模块32向虚假响应信息修改模块31发出删除修改信号,由虚假响应信息修改模块31将重复出现的虚假响应信息进行删除。通过虚假响应信息实时响应单元17按照预定的时间间隔实时响应虚假响应信息,能够更加确保扫描探测数据包无法从响应数据中获得任何有价值的攻击信息。
所述的虚拟实时响应单元连接于所述虚拟虚假变换信息配置单元和日志单元,用于对扫描探测网络的请求数据包生成响应数据包,且所生成的响应数据包中提供虚假的响应信息。攻击者对网络进行扫描探测时,必须发送ARP(Address Resolution Protocol,地址解析协议)请求数据包、ICMP(Internet Control Message Protocol,Internet控制报文协议)请求数据包和TCP SYN(TCP:Transmission Control Protocol,传输控制协议,SYN:Synchronous,TCP/IP建立连接时使用的握手信号)请求数据包中的一种或几种,因此在应对扫描探测攻击时只要对可疑的ARP请求数据包、ICMP请求数据包和TCP SYN请求数据包进行虚假响应,即能有效地防御对网络的信息探测和渗透攻击,使攻击者无法准确获取内网拓扑结构和主机的真实信息。所以本发明所述的虚拟实时响应单元包括有ARP响应单元14、ICMP响应单元15和端口响应单元16,如图1所示,所述的ARP响应单元14、ICMP响应单元15和端口响应单元16作为对三种类型数据包的响应单元均连接于所述虚假响应信息存储单元12,并根据虚假响应信息存储单元12中配置的虚假响应信息分别生成对应类型的虚假响应数据包,并将响应结果发送给日志单元18生成日志信息。
具体的所述ARP响应单元14对ARP请求数据包进行虚假响应,根据虚假响应信息存储单元12中的虚假响应信息构造ARP虚假响应数据包,同时把响应结果发送给日志单元18生成日志信息;具体过程为:首先ARP响应单元14提取ARP请求数据包中需要查询Mac地址的目标网络地址,将目标网络地址在虚假响应信息存储单元12中进行查询,如果查询不到,则直接将此数据包丢弃,如果能查询到,则根据包括该目标网络地址的虚假响应信息构造ARP虚假响应数据包,具体的通过提取该目标网络地址和该目标网络地址在虚假响应信息中对应的Mac地址来构造ARP虚假响应数据包,同时将响应结果发送给日志单元18的ARP日志模块41生成日志信息。
所述的ICMP响应单元15对ICMP请求数据包进行虚假响应,根据虚假响应信息存储单元12中的虚假响应信息构造ICMP虚假响应数据包,同时把响应结果发送给日志单元18生成日志信息;具体过程为:所述ICMP响应单元15首先提取ICMP请求数据包中的目标网络地址,将目标网络地址在虚假响应信息存储单元12中进行查询,如果查询不到,则直接将此数据包丢弃,如果能查询到,则根据包括该目标网络地址的虚假响应信息构造ICMP虚假响应数据包,具体的通过提取该目标网络地址和该目标网络地址在虚假响应信息中对应的Mac地址来构造ICMP虚假响应数据包,同时将响应结果发送给日志单元18的ICMP日志模块42生成日志信息
所述的端口响应单元16对请求建立TCP连接的TCP SYN请求数据包进行虚假响应,根据虚假响应信息存储单元12中的虚假响应信息构造TCP SYN+ACK虚假响应数据包,同时把响应结果发送给日志单元18生成日志信息;具体的所述端口响应单元16首先提取TCP SYN请求数据包中的目标网络地址和目标端口,将目标网络地址在虚假响应信息存储单元12中进行查询,如果查询不到,则直接将此数据包丢弃,如果能查询到,则进一步查询目标端口是否包含在虚假响应信息存储单元12中与目标网络地址对应的端口中,如果不包含,则直接将此数据包丢弃,如果包含目标端口,则根据包括该目标网络地址和目标端口的虚假响应信息构造TCP SYN+ACK虚假响应数包,具体的通过提取该目标网络地址、目标端口、目标网络地址在虚假响应信息中对应的MAC地址、对应的操作系统类型与版本信息构造TCP SYN+ACK虚假响应数据包,同时将响应结果发送给日志单元18的端口日志模块43生成日志信息。
所述的日志单元18如附图4所示的,对应于三种响应单元包括有ARP日志模块41、ICMP日志模块42和端口日志模块43,其中所述ICMP日志模块42用于接收ICMP响应单元15发送过来的ICMP响应结果,根据响应结果生成ICMP虚假响应日志信息;ARP日志模块41接收ARP响应单元14发送过来的ARP响应结果,根据响应结果生成ARP虚假响应日志信息;端口日志模块43接收端口响应单元16发送过来的端口响应结果,根据响应结果生成端口虚假响应日志信息。这些日志信息有助于网络管理员分析攻击行为并调整网络的安全防护策略,如通过分析端口日志模块43收集的端口虚假响应日志信息可以确定攻击者对哪些主机端口和主机服务进行了探测,由此可以初步确定攻击者的意图和攻击者可能用到的恶意代码,便于后续采取进一步的安全防护策略。
本发明进一步的在上述虚拟变换系统的基础上提出一种基于实时响应的虚假响应方法,包括以下步骤:
(1)、根据预设的可进行虚假响应的网络地址范围、可进行虚假响应的MAC地址范围、可进行虚假响应的端口范围及每个端口进行响应的概率和可进行虚假响应的操作系统类型与版本范围生成若干条虚假响应信息,每条虚假响应信息包括有网络地址、网络地址所对应的MAC地址、端口和操作系统类型与版本,其中每条虚假响应信息中的一个网络地址对应于一个MAC地址,并根据预设的时间间隔动态修改虚假响应信息;
(2)、按照下述方式对各类请求数据包进行响应,并生成对应的虚假响应数据包:
(2-1)、对于ARP请求数据包,首先提取ARP请求数据包中的目标网络地址,将目标网络地址在步骤(1)所生成的虚假响应信息中进行查询,如果查询不到,则将此数据包丢弃,如果能查询到,则根据查询到的包括该目标网络地址的虚假响应信息构造ARP虚假响应数据包;
(2-2)、对于ICMP请求数据包,首先提取ICMP请求数据包中的目标网络地址,将目标网络地址在步骤(1)所生成的虚假响应信息中进行查询,如果查询不到,则将此数据包丢弃,如果能查询到,则根据查询到的包括该目标网络地址的虚假响应信息构造ICMP虚假响应数据包
(2-3)、对于TCP SYN请求数据包,首先提取TCP SYN请求数据包中的目标网络地址和目标端口,将目标网络地址在步骤(1)所生成的虚假响应信息中进行查询,如果查询不到,则将此数据包丢弃,如果能查询到,则进一步查询目标端口是否包含在已查询到的包括目标网络地址的虚假响应信息的端口中,如果不包含,则将此数据包丢弃,如果包含则根据查询到的包括该目标网络地址和目标端口的虚假响应信息构造TCP SYN+ACK虚假响应数据包;
(3)、根据各类请求数据包的响应结果生成日志信息。
这样通过本发明的虚拟变换系统和方法能够对可疑的扫描探测数据包响应虚假的响应数据包,从而使得攻击者通过扫描探测无法获取网络的拓扑结构和网络中主机的真实信息,从而所述的虚拟变换系统应用于网络安全防御系统时,能够完全抑制网络渗透攻击行为,因为网络渗透攻击就是攻击者利用扫描探测工具对目标网络进行频繁扫描,基于扫描过程中得到的真实响应信息来分析和确定网络拓扑结构、内网架构、主机系统信息,进而找出其中的漏洞,最终逐步渗透并控制网络,达到攻击目的,而基于本发明所述虚拟变换系统构建的网络安全系统,对攻击者的扫描探测数据包响应的是虚假配置的响应信息,从而攻击者无论扫描多少次都不会获取网络拓扑结构和网络中主机的真实信息,从而失去了开展进一步攻击的基础,有效的防御了网络安全。因此本发明创新提出的网络完全系统是指包括前述虚拟变换系统的网络安全系统。
为进一步的提高系统的安全防护效率,在上述网络安全系统的基础上,本发明进一步提出一种具有数据包可疑预判功能的网络安全系统,如附图5所示,所述的网络安全系统在上述虚拟变换系统的基础上进一步增加数据包预处理单元19,所述的数据包预处理单元19连接于虚拟实时响应单元的输入端,这样请求数据包需要先经过数据包预处理单元19进行可疑预判,具体地数据包预处理单元19对访问网络的ARP请求数据包、ICMP请求数据包和TCP SYN请求数据包进行可疑判断处理,经判断对于正常的请求数据包则直接放行,不再进行虚假响应处理,对于可疑的ARP请求数据包、ICMP请求数据包和TCP SYN请求数据包则按照前述方式进行虚假响应。优选的所述数据包预处理单元19根据本领域熟知的单位时间内同样请求数判断方法进行数据包可疑预判,即判断ARP请求数据包、ICMP请求数据包和TCP SYN请求数据包是否可疑是以一个时间段内发送具有相同源网络地址的ARP请求数据包、ICMP请求数据包或TCP SYN请求数据包的个数为依据,若某个时间段内发送的具有相同源网络地址的ARP请求数据包、ICMP请求数据包或TCP SYN请求数据包的个数超过某一阈值,则认为是可疑的请求数据包,需要通过虚拟实时响应单元对其进行虚假响应。通过设置数据包预处理单元19能够省去对网络中正常访问数据包的虚假响应过程,在保证安全性能的同时提高了运行效率,属于本发明的一种优选网络安全防御手段。
第二优选实施方式
本发明的第二优选实施方式所述的虚拟变换系统及安全系统与上述第一优选实施方式的区别仅在于,其中的虚假响应信息生成单元13进一步包括有漏洞信息生成模块25,如附图6所示,其中的用户配置信息中也对应的包括有可进行虚假响应的若干系统漏洞信息及每条漏洞信息进行虚假响应的概率,由漏洞信息生成模块25根据用户配置信息中的可进行虚假响应的若干系统漏洞信息及每条漏洞信息进行虚假响应的概率,为响应IP生成模块21生成的每一个网络地址随机生成对应的若干漏洞信息以及每个漏洞信息进行虚假响应的概率,并将其存储于虚假响应信息存储单元12中,这样通过本实施方式构建的虚假响应信息除包括网络地址、网络地址所对应的MAC地址、端口和操作系统类型与版本外,还包括有漏洞信息,从而使得响应单元构造的虚假响应数据包进一步包括有更容易迷惑攻击行为的漏洞信息,因为多数扫描渗透攻击是通过找出网络系统中的漏洞来渗透并控制网络的,这样通过本实施方式的虚拟变换系统,能够更进一步的提高虚假响应质量,可最大限度的保证系统安全。除此之外,本实施方式所述虚拟变换系统及安全系统的具体结构及其工作过程与上述第一实施方式的完全相同,再次不做重复描述。另外本领域技术人员可在第二实施方式的基础上,进一步的根据需要将更多的信息包括于虚假响应信息中,这取决于系统的具体应用领域,但都属于本发明的技术构思范畴。
第三优选实施方式
本发明的第三优选实施方式所述的虚拟变换系统及安全系统与上述第一优选实施方式或第二优选实施方式的区别仅在于,其中的虚假响应信息实时响应单元17对虚假响应信息的实时响应工作过程不同,在本实施方式中所述虚假响应信息实时响应单元17仍然包含虚假响应信息修改模块31和虚假响应变换重复查询模块32,但是虚假响应信息修改模块31根据用户配置信息中设定的虚假响应信息动态变化时间间隔来定时对虚假响应信息存储单元12中所存储的虚假响应信息进行修改的方式不同于第一实施方式,在第三实施方式中,用户配置信息包括虚假响应信息进行动态变化的时间间隔以及每次动态变化时每一条虚假响应信息进行修改的概率,虚假响应信息修改模块31根据用户配置信息中设定的动态变化时间间隔,按照每一条虚假响应信息对应的修改概率来对每一条虚假响应信息进行修改,同时由虚假响应变换重复查询模块32对修改的虚假响应信息进行去重查询,将重复出现的虚假响应信息删除。除此之外,本实施方式所述虚拟变换系统及安全系统的具体结构及其工作过程与上述第一实施方式或第二实施方式的完全相同,再次不做重复描述。
本发明突破传统网络静态被动防御的思维,提出一种基于实时响应的虚拟变换系统及方法,当攻击者对网络进行扫描探测时,对攻击者发送的扫描探测数据包进行虚假响应,使其无法获得网络拓扑结构和网络中主机的真实信息,其中虚假响应信息包含虚假的网络地址、虚假的MAC地址、虚假的操作系统类型和版本以及虚假的开放端口,同时引入实时响应的思想,每隔一段时间对构建的虚假响应信息进行修改,这有效减少了网络尤其是内网的确定性、相似性和静态性,使得攻击者无法通过扫描探测获取内网拓扑结构和内网中主机的真实信息,不能积累在内网中获得的知识,从而打破攻击者的优势,从源头上阻断了渗透攻击行为,维护了网络的安全稳定。本发明所述的虚拟变换系统尤其适用于内网(局域网),经试验在内网中具有非常好的安全防护性能。
以上仅是对本发明的优选实施方式进行了描述,并不将本发明的技术方案限制于此,本领域技术人员在本发明的主要技术构思的基础上所作的任何公知变形都属于本发明所要保护的技术范畴,本发明具体的保护范围以权利要求书的记载为准。
Claims (10)
1.一种基于实时响应的虚拟变换系统,其特征在于,包括:虚拟虚假变换信息配置单元和虚拟实时响应单元,所述虚拟虚假变换信息配置单元连接于所述虚拟实时响应单元,所述虚拟虚假变换信息配置单元根据用户配置信息配置可实时响应的虚假响应信息,所述虚假响应信息至少包括虚假的网络地址和虚假的MAC地址,所述虚拟实时响应单元基于所述虚假响应信息对发送至虚拟实时响应单元的请求数据包构造虚假响应数据包。
2.根据权利要求1所述的虚拟变换系统,其特征在于,所述虚假响应信息包括虚假网络地址、虚假网络地址所对应的虚假MAC地址和虚假网络地址所对应的虚假端口,所述请求数据包包括ARP请求数据包、ICMP请求数据包、TCP SYN请求数据包中的至少一种;对于ARP请求数据包,所述虚拟实时响应单元提取ARP请求数据包中的目标网络地址,并根据包含有该目标网络地址的虚假响应信息构造ARP虚假响应数据包;对于ICMP请求数据包,所述虚拟实时响应单元提取ICMP请求数据包中的目标网络地址,并根据包含有该目标网络地址的虚假响应信息构造ICMP虚假响应数据包;对于TCP SYN请求数据包,所述虚拟实时响应单元提取TCP SYN请求数据包中的目标网络地址和目标端口,并根据包含有该目标网络地址和目标端口的虚假响应信息构造TCP SYN+ACK虚假响应数据包。
3.根据权利要求2所述的虚拟变换系统,其特征在于,所述虚拟虚假变换信息配置单元包括虚假响应信息存储单元(12)、虚假响应信息生成单元(13)和虚假响应信息实时响应单元(17),所述虚假响应信息生成单元(13)和虚假响应信息实时响应单元(17)连接于所述虚假响应信息存储单元(12),所述虚假响应信息生成单元(13)根据用户配置信息生成若干条虚假响应信息并存储于所述虚假响应信息存储单元(12)中,所述虚假响应信息实时响应单元(17)根据用户配置信息实时响应虚假响应信息存储单元(12)中存储的虚假响应信息,所述虚拟实时响应单元连接于所述虚假响应信息存储单元(12);所述用户配置信息包括可进行虚假响应的网络地址范围、可进行虚假响应的MAC地址范围、可进行虚假响应的端口范围及每个端口进行虚假响应的概率、可进行虚假响应的操作系统类型与版本范围和虚假响应信息进行实时响应的时间间隔信息。
4.根据权利要求3所述的虚拟变换系统,其特征在于,所述虚假响应信息生成单元(13)包含:响应IP生成模块(21)、响应MAC生成模块(22)、响应端口生成模块(23)和响应操作系统类型与版本生成模块(24),所述响应IP生成模块(21)根据用户配置信息中设定的可进行虚假响应的网络地址范围,随机选取一部分网络地址生成可进行虚假响应的网络地址列表;所述响应MAC生成模块(22)根据用户配置信息中设定的可进行虚假响应的MAC地址范围,为响应IP生成模块(21)生成的每一个网络地址随机生成对应的MAC地址;所述响应端口生成模块(23)根据用户配置信息中设定的可进行虚假响应的端口范围和每个端口进行虚假响应的概率,为响应IP生成模块(21)生成的每一个网络地址随机生成对应的若干端口以及每个端口进行虚假响应的概率;所述响应操作系统类型与版本生成模块(24)根据用户配置信息中设定的可进行虚假响应的操作系统类型与版本的范围,为响应IP生成模块(21)生成的每一个网络地址随机生成对应的操作系统类型与版本信息。
5.根据权利要求3或4所述的虚拟变换系统,其特征在于,所述虚假响应信息实时响应单元(17)包含虚假响应信息修改模块(31)和虚假响应变换重复查询模块(32),所述虚假响应信息修改模块(31)和虚假响应变换重复查询模块(32)共同连接于所述虚假响应信息存储单元(12),所述虚假响应信息修改模块(31)根据用户配置信息中设定的虚假响应信息进行实时响应的时间间隔信息来定时修改虚假响应信息存储单元(12)中所存储的虚假响应信息,所述虚假响应变换重复查询模块(32)对修改的虚假响应信息进行去重查询,并通知虚假响应信息修改模块(31)删除或修改重复出现的虚假响应信息;所述虚假响应信息修改模块(31)按照以下两种方式之一修改虚假响应信息:一、所述虚假响应信息修改模块(31)根据用户配置信息随机生成若干条新的虚假响应信息,同时随机删除若干条原有的虚假响应信息;二、所述虚假响应信息修改模块(31)根据用户配置信息中设定的每条虚假响应信息的修改概率对每条虚假响应信息中的网络地址、MAC地址、端口和/或操作系统类型与版本进行修改。
6.根据权利要求2-5任一项所述的虚拟变换系统,其特征在于,所述虚拟实时响应单元包括ARP响应单元(14)、ICMP响应单元(15)和端口响应单元(16),所述ARP响应单元(14)、ICMP响应单元(15)和端口响应单元(16)均连接于所述虚拟虚假变换信息配置单元;所述ARP响应单元(14)构造ARP虚假响应数据包的过程为:首先ARP响应单元(14)提取ARP请求数据包中的目标网络地址,将目标网络地址在虚假响应信息中进行查询,如果查询不到,则直接将此ARP请求数据包丢弃,如果能查询到,则通过提取该目标网络地址和该目标网络地址在虚假响应信息中对应的MAC地址来构造ARP虚假响应数据包;所述ICMP响应单元(15)构造ICMP虚假响应数据包的过程为:首先ICMP响应单元(15)提取ICMP请求数据包中的目标网络地址,将目标网络地址在虚假响应信息中进行查询,如果查询不到,则直接将此ICMP请求数据包丢弃,如果能查询到,则通过提取该目标网络地址和该目标网络地址在虚假响应信息中对应的MAC地址来构造ICMP虚假响应数据包;所述端口响应单元(16)构造TCP SYN+ACK虚假响应数据包的过程为:首先端口响应单元(16)提取TCP SYN请求数据包中的目标网络地址和目标端口,将目标网络地址在虚假响应信息中进行查询,如果查询不到,则直接将此TCP SYN请求数据包丢弃,如果能查询到,则进一步查询目标端口是否包含在已查询到的包括目标网络地址的虚假响应信息的端口中,如果不包含,则直接将此TCP SYN请求数据包丢弃,如果包含,则通过提取该目标网络地址、目标端口、目标网络地址在虚假响应信息中对应的MAC地址和目标网络地址在虚假响应信息中对应的操作系统类型与版本信息来构造TCP SYN+ACK虚假响应数据包。
7.根据权利要求2-6任一项所述的虚拟变换系统,其特征在于,还包括有日志单元(18),所述日志单元(18)连接于所述虚拟实时响应单元,并根据虚拟实时响应单元对请求数据包的响应结果生成日志信息。
8.一种基于实时响应的虚假响应方法,其特征在于,包括以下步骤:
(1)、根据预设的可进行虚假响应的网络地址范围、可进行虚假响应的MAC地址范围、可进行虚假响应的端口范围及每个端口进行虚假响应的概率和可进行虚假响应的操作系统类型与版本范围生成若干条虚假响应信息,每条虚假响应信息包括有虚假网络地址、虚假网络地址所对应的虚假MAC地址、虚假网络地址所对应的虚假端口和虚假网络地址所对应的虚假操作系统类型与版本,并根据预设的时间间隔动态修改所述虚假响应信息;
(2)、按照下述方式对相关请求数据包进行响应,生成对应的虚假响应数据包:
(2-1)、对于ARP请求数据包,首先提取ARP请求数据包中的目标网络地址,将目标网络地址在步骤(1)所生成的虚假响应信息中进行查询,如果查询不到,则将此ARP请求数据包丢弃,如果能查询到,则根据查询到的包括该目标网络地址的虚假响应信息构造ARP虚假响应数据包;
(2-2)、对于ICMP请求数据包,首先提取ICMP请求数据包中的目标网络地址,将目标网络地址在步骤(1)所生成的虚假响应信息中进行查询,如果查询不到,则将此ICMP请求数据包丢弃,如果能查询到,则根据查询到的包括该目标网络地址的虚假响应信息构造ICMP虚假响应数据包;
(2-3)、对于TCP SYN请求数据包,首先提取TCP SYN请求数据包中的目标网络地址和目标端口,将目标网络地址在步骤(1)所生成的虚假响应信息中进行查询,如果查询不到,则将此TCP SYN请求数据包丢弃,如果能查询到,则进一步查询目标端口是否包含在已查询到的包括目标网络地址的虚假响应信息的端口中,如果不包含,则将此TCP SYN请求数据包丢弃,如果包含则根据查询到的包括该目标网络地址和目标端口的虚假响应信息构造TCPSYN+ACK虚假响应数据包;
(3)、根据各类请求数据包的响应结果生成日志信息。
9.一种网络安全系统,其特征在于,包括:数据包预处理单元(19)和权利要求1-7任一项所述的虚拟变换系统,所述数据包预处理单元(19)连接于所述虚拟变换系统中虚拟实时响应单元的输入端,用于判定请求数据包是否可疑并将可疑的请求数据包提供给所述虚拟实时响应单元进行虚假响应。
10.一种网络安全防御方法,其特征在于,包括以下步骤:
(1)、对访问网络的请求数据包进行可疑性判定,若某个时间段内发送的具有相同源网络地址的请求数据包的个数超过某一阈值,则判定该请求数据包是可疑的请求数据包,否则判定该请求数据包是正常的请求数据包;
(2)、对于步骤(1)判定的属于可疑的请求数据包,按照权利要求8所述的虚假响应方法,对可疑的请求数据包通过生成虚假响应数据包来进行虚假响应,并记录日志信息;
(3)、对于步骤(1)判定的属于正常的请求数据包,则直接放行。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911425385.5A CN113132335A (zh) | 2019-12-31 | 2019-12-31 | 一种虚拟变换系统、方法及网络安全系统与方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911425385.5A CN113132335A (zh) | 2019-12-31 | 2019-12-31 | 一种虚拟变换系统、方法及网络安全系统与方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN113132335A true CN113132335A (zh) | 2021-07-16 |
Family
ID=76770795
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201911425385.5A Pending CN113132335A (zh) | 2019-12-31 | 2019-12-31 | 一种虚拟变换系统、方法及网络安全系统与方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113132335A (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114465795A (zh) * | 2022-01-27 | 2022-05-10 | 杭州默安科技有限公司 | 一种干扰网络扫描器的方法及系统 |
| CN115884180A (zh) * | 2022-11-07 | 2023-03-31 | 广东网安科技有限公司 | 一种5g网络安全管理系统 |
-
2019
- 2019-12-31 CN CN201911425385.5A patent/CN113132335A/zh active Pending
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114465795A (zh) * | 2022-01-27 | 2022-05-10 | 杭州默安科技有限公司 | 一种干扰网络扫描器的方法及系统 |
| CN114465795B (zh) * | 2022-01-27 | 2024-03-29 | 杭州默安科技有限公司 | 一种干扰网络扫描器的方法及系统 |
| CN115884180A (zh) * | 2022-11-07 | 2023-03-31 | 广东网安科技有限公司 | 一种5g网络安全管理系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Kumar | Survey of current network intrusion detection techniques | |
| US8516573B1 (en) | Method and apparatus for port scan detection in a network | |
| US8640234B2 (en) | Method and apparatus for predictive and actual intrusion detection on a network | |
| CN105721442A (zh) | 基于动态变换虚假响应系统、方法及网络安全系统与方法 | |
| US8161554B2 (en) | System and method for detection and mitigation of network worms | |
| Chen et al. | Worm epidemics in high-speed networks | |
| CN113422779B (zh) | 一种基于集中管控的积极的安全防御的系统 | |
| Khan et al. | Applying data mining techniques in cyber crimes | |
| Li et al. | Network-based and attack-resilient length signature generation for zero-day polymorphic worms | |
| JP2008507222A (ja) | ネットワーク上での不正なスキャンニングを検出するための方法、システムおよびコンピュータ・プログラム | |
| CN113132335A (zh) | 一种虚拟变换系统、方法及网络安全系统与方法 | |
| Jaiganesh et al. | An efficient algorithm for network intrusion detection system | |
| Giacinto et al. | Alarm clustering for intrusion detection systems in computer networks | |
| Sulieman et al. | Detecting zero-day polymorphic worm: A review | |
| Sandhu et al. | A study of the novel approaches used in intrusion detection and prevention systems | |
| Chikohora et al. | A study on the impact of network vulnerability scanners on network security | |
| Sourour et al. | Environmental awareness intrusion detection and prevention system toward reducing false positives and false negatives | |
| Davis | Botnet detection using correlated anomalies | |
| Hasegawa et al. | An incident response support system based on seriousness of infection | |
| Bijalwan et al. | An Anatomy for Recognizing Network Attack Intention | |
| Bou-Harb et al. | On detecting and clustering distributed cyber scanning | |
| Ambika et al. | Architecture for real time monitoring and modeling of network behavior for enhanced security | |
| AU2024200502B9 (en) | Network compromise activity monitoring system | |
| Kumawat et al. | Intrusion Detection System and Prevention System in Cloud Computing using Snort | |
| Karthikeyan et al. | Network Intrusion Detection System Based on Packet Filters |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20210716 |
|
| WD01 | Invention patent application deemed withdrawn after publication |