CN113329029B - 一种针对apt攻击的态势感知节点防御方法及系统 - Google Patents

一种针对apt攻击的态势感知节点防御方法及系统 Download PDF

Info

Publication number
CN113329029B
CN113329029B CN202110676314.3A CN202110676314A CN113329029B CN 113329029 B CN113329029 B CN 113329029B CN 202110676314 A CN202110676314 A CN 202110676314A CN 113329029 B CN113329029 B CN 113329029B
Authority
CN
China
Prior art keywords
node
virtual backup
backup node
attack
network node
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202110676314.3A
Other languages
English (en)
Other versions
CN113329029A (zh
Inventor
杨腾霄
韩可
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Shanghai Niudun Technology Co ltd
Original Assignee
Shanghai Niudun Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Shanghai Niudun Technology Co ltd filed Critical Shanghai Niudun Technology Co ltd
Priority to CN202110676314.3A priority Critical patent/CN113329029B/zh
Publication of CN113329029A publication Critical patent/CN113329029A/zh
Application granted granted Critical
Publication of CN113329029B publication Critical patent/CN113329029B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

本发明提供了一种针对APT攻击的态势感知节点防御方法及系统,涉及网络安全技术领域。所述节点防御方法包括步骤:采集网络节点受到APT攻击的信息,对前述网络节点设置虚拟备份节点;建立前述网络节点与前述虚拟备份节点的通信连接,将前述网络节点的数据信息存储到虚拟备份节点中,截断该网络节点与关联网络节点的连接;建立前述虚拟备份节点与关联网络节点的连接。本发明基于网络中的攻击方式信息,实时改变数据信息的存储路径,让攻击者难以找到数据信息的存储地址进行攻击,在保障整个网络的正常通信的基础上实现态势感知系统节点防御。

Description

一种针对APT攻击的态势感知节点防御方法及系统
技术领域
本发明涉及网络安全技术领域,尤其涉及针对APT攻击的态势感知防御方法。
背景技术
APT(Advanced Persistent Threat),又叫高级可持续性威胁、多步网络攻击,具备高度的隐蔽性、潜伏性和持续性,常被黑客用来针对特定对象,长期、有计划性和组织性地窃取数据。APT攻击相对于其他攻击形式更为高级,主要体现在发动攻击之前需要对攻击对象的业务流程和目标系统进行精确的收集。
现有的技术手段,在面对APT攻击时,选用网络安全态势感知系统对网络未来的安全状况和变化趋势进行预测。态势感知系统运用科学的理论、方法和已有的经验去判断和预测重大安全事件的发展趋势和危害情况,进而增强网络防御的主动性,实现对未来态势中各种安全事件进行预测的最终目标。但就目前的技术而言,网络形势瞬息万变,靠先验知识难以精准应对碎片化、超长潜伏期的威胁行为,而攻击者的攻击策略可能是多样化的,这也导致了网络攻击预测难以应对在线实时的未知攻击。在系统检测到未知攻击时,要如何在应对攻击者攻击策略的同时,保障每一个网络节点的数据信息安全和整个网络环境的通信传输安全,是当前亟需解决的技术问题。
发明内容
本发明的目的在于:克服现有技术的不足,提供了一种针对APT攻击的态势感知节点防御方法及系统。在网络中设置虚拟备份节点,在系统感知到网络节点受到APT攻击时,将网络节点的数据信息存储到虚拟备份节点中,让虚拟备份节点与该网络节点的关联网络节点建立通信连接,保障整个网络的正常通信,实现态势感知系统节点防御。
为实现上述目标,本发明提供了如下技术方案:
一种针对APT攻击的态势感知节点防御方法,所述方法包括步骤:
采集网络节点受到APT攻击的信息,对前述网络节点设置虚拟备份节点;
建立前述网络节点与前述虚拟备份节点的通信连接,将前述网络节点的数据信息存储到虚拟备份节点中,截断该网络节点与关联网络节点的连接;
建立前述虚拟备份节点与关联网络节点的连接。
进一步,还包括步骤:
采集前述网络节点上的日志信息,获取APT攻击信息,对前述APT攻击信息进行反向追溯,以获取攻击源信息,所述攻击源信息包括攻击方式信息;
将前述攻击方式信息存储在态势感知系统威胁情报数据库。
进一步,获取态势感知系统威胁情报数据库存储的攻击方式信息,通过分析得到前述APT攻击的攻击规则信息,根据攻击规则信息模拟攻防场景。
进一步,将前述网络节点的数据信息存储到虚拟备份节点中,获取网络节点中的原始数据信息、攻击方式信息和日志信息后存储到所述虚拟备份节点中。
进一步,采集网络节点受到APT攻击的信息时,提高前述网络节点中的数据信息的安全等级。
进一步,在设置网络节点的虚拟备份节点时,通过变更虚拟备份节点来躲避攻击,步骤如下:
S111,判断APT攻击是否持续针对一个网络节点,判定为是的情况下,执行步骤S112;
S112,根据该网络节点受到的攻击次数调整对应的虚拟备份节点,所述网络节点设置有多个虚拟备份节点,包括第一虚拟备份节点、第二虚拟备份节点、…、第N虚拟备份节点,其中,N为大于1的整数;对第N次攻击设置第N虚拟备份节点以使每次攻击下设置的虚拟备份节点不同;将网络节点的数据信息转移到当前设置的虚拟备份节点上;
S113,判定为否的情况下,获取被攻击的多个网络节点信息,对于每一个网络节点,执行步骤S112。
进一步,包括步骤:检测到网络节点受到APT攻击时,对该网络节点的数据信息进行修改和/或加密;
以及检测到攻击者下载前述数据信息时,进行反向追踪。
进一步,包括步骤:
S121,检测前述虚拟备份节点的日志信息,判定前述虚拟备份节点受到APT攻击时,执行步骤S122;
S122,对该虚拟备份节点设置新虚拟备份节点;建立前述虚拟备份节点与前述新虚拟备份节点的通信连接,将前述虚拟备份节点的数据信息存储到新虚拟备份节点中,截断该虚拟备份节点与前述关联网络节点的连接以用新虚拟备份节点代替虚拟备份节点,建立前述新虚拟备份节点与关联网络节点的连接;
S123,检测前述新虚拟备份节点受到APT攻击时,对该新虚拟备份节点设置再新虚拟备份节点;建立前述新虚拟备份节点与前述再新虚拟备份节点的通信连接,将前述新虚拟备份节点的数据信息存储到再新虚拟备份节点中,截断该新虚拟备份节点与前述关联网络节点的连接以用再新虚拟备份节点代替新虚拟备份节点,建立前述再新虚拟备份节点与关联网络节点的连接;
S124,依此类推,重复步骤S123,以保证最新的虚拟备份节点未受到APT攻击。
进一步,对受到APT攻击的虚拟备份节点的日志信息进行分析以获取攻击方式信息;以及,检测到攻击者从前述受到APT攻击的虚拟备份节点中下载数据信息时,进行反向追踪。
本发明还提供了一种针对APT攻击的态势感知节点防御系统,所述系统包括处理器和存储器,所述处理器包括:
节点威胁分析模块,用于采集网络节点受到APT攻击的信息,并对前述网络节点设置虚拟备份节点;
节点传感模块,用于建立前述网络节点与前述虚拟备份节点的通信连接,将前述网络节点的数据信息存储到虚拟备份节点中,截断该网络节点与关联网络节点的连接;
备份节点连接模块,用于建立前述虚拟备份节点与关联网络节点的连接。
本发明由于采用以上技术方案,与现有技术相比,作为举例,具有以下的优点和积极效果:本发明将网络节点数据信息存储在虚拟备份节点中,用虚拟备份节点与该网络节点的关联网络节点继续保持通信链路的连接,根据网络中的攻击方式信息,实时改变数据信息的存储路径,让攻击者难以找到数据信息的存储地址进行攻击。另一方面,为防止攻击者根据新连通的虚拟备份节点信息对虚拟备份节点进行攻击,本发明还提出了根据攻击次数信息或攻击对象变更虚拟备份节点。再一方面,窃取隐私数据,针对受到攻击的网络节点,提供修改后的加密数据供攻击者下载,对攻击者实现反向追溯,提高态势感知节点防御能力。
附图说明
图1为本发明实施例提供的一种针对APT攻击的态势感知节点防御方法的流程图。
图2为本发明实施例提供的一种针对APT攻击的态势感知节点防御方法的一种防御流程图。
图3为本发明实施例提供的一种针对APT攻击的态势感知节点防御方法的另一种防御流程图。
图4a为本发明实施例提供的一种针对一个网络节点的虚拟备份节点结构拓扑图。
图4b为本发明实施例提供的应对一次APT攻击的结构拓扑图。
图4c为本发明实施例提供的应对N次APT攻击的结构拓扑图。
图5a为本发明实施例提供的另一种针对一个网络节点的虚拟备份节点结构拓扑图。
图5b为本发明实施例提供的另一种应对一次APT攻击的结构拓扑图。
图5c为本发明实施例提供的另一种应对N次APT攻击的结构拓扑图。
附图标记说明:
网络节点121,122,123,124,125;
虚拟备份节点121-1,121-2,...,121-(N-1),121-N,124-1,125-1。
具体实施方式
以下结合附图和具体实施例对本发明公开的一种针对APT攻击的态势感知节点防御方法及系统作进一步详细说明。应当注意的是,下述实施例中描述的技术特征或者技术特征的组合不应当被认为是孤立的,它们可以被相互组合从而达到更好的技术效果。在下述实施例的附图中,各附图所出现的相同标号代表相同的特征或者部件,可应用于不同实施例中。因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步讨论。
需说明的是,本说明书所附图中所绘示的结构、比例、大小等,均仅用以配合说明书所揭示的内容,以供熟悉此技术的人士了解与阅读,并非用以限定发明可实施的限定条件,任何结构的修饰、比例关系的改变或大小的调整,在不影响发明所能产生的功效及所能达成的目的下,均应落在发明所揭示的技术内容所能涵盖的范围内。本发明的优选实施方式的范围包括另外的实现,其中可以不按所述的或讨论的顺序,包括根据所涉及的功能按基本同时的方式或按相反的顺序,来执行功能,这应被本发明的实施例所属技术领域的技术人员所理解。
对于相关领域普通技术人员已知的技术、方法和设备可能不作详细讨论,但在适当情况下,所述技术、方法和设备应当被视为授权说明书的一部分。在这里示出和讨论的所有示例中,任何具体值应被解释为仅仅是示例性的,而不是作为限制。因此,示例性实施例的其它示例可以具有不同的值。
实施例
参见图1所示,为本发明提供的一种针对APT攻击的态势感知节点防御方法的流程图S10,所述方法的实施步骤如下:
S100,采集网络节点受到APT攻击的信息,对前述网络节点设置虚拟备份节点。
所述的网络节点,是指处于网络环境中具有独立网络地址和数据处理功能的终端,所述的数据处理功能包括但不限于传送数据、接收数据和/或分析数据的功能。网络节点可以是工作站、客户、网络用户或个人计算机,也可以是服务器、打印机和其他网络连接的设备。整个网络环境中包括多个网络节点,这些网络节点通过通信线路连接,形成网络拓扑结构。所述通信线路可以是有线通信方式,也可以是无线通信方式。
所述的虚拟备份节点可以是实体终端,也可以是具有网络地址并能够进行数据处理的虚拟终端(也称为虚拟服务器),能够用来存储网络节点的数据信息,具有数据信息存储空间和网络地址。所述网络地址用于访问前述虚拟终端,可以是网站名称、IP地址、Port端口号信息。
S200,建立前述网络节点与前述虚拟备份节点的通信连接,将前述网络节点的数据信息存储到虚拟备份节点中,截断该网络节点与关联网络节点的连接。
建立所述的通信连接所采用的通信协议包括但不限于TCP、UDP、ICMP、HTTP协议。
所述的关联网络节点是网络环境中与前述网络节点具有通信连接的网络节点。
S300,建立前述虚拟备份节点与关联网络节点的连接。
在本实施例中,还可以对网络节点上的攻击信息进行反向追溯。具体的包括如下步骤:采集前述网络节点上的日志信息,获取APT攻击信息,对前述APT攻击信息进行反向追溯,以获取攻击源信息,所述攻击源信息包括攻击方式信息;将前述攻击方式信息存储在态势感知系统威胁情报数据库中。
所述态势感知系统威胁情报数据库,可以由用户和/或系统设置,用于存储威胁情报。
所述的日志信息包括但不限于下述信息:
连接持续的时间,其数值以秒为单位,例如,其数值范围可以是:[0,58329];
协议类型,包括但不限于TCP、UDP、ICMP;
目标主机的网络服务类型;
连接正常或错误的状态;
从源主机到目标主机的数据字节数,例如,其数值范围可以是:[0,1379963888];
从目标主机到源主机的数据字节数,例如,其数值范围可以是:
[0,1309937401];
连接是否来自同一个主机,是否有相同的端口;
错误分段的数量,例如,其数值范围可以是:[0,3];
加急包的个数,例如,其数值范围可以是:[0,14]。
优选的,所述攻击方式信息包括但不限于攻击方式名称、攻击时间、攻击频率、攻击目标、攻击目的、攻击手段、攻击程度、攻击现象和攻击后果。
所述的威胁情报可以来源于两个方面:一是内部,其数据来源涉及有要保护的资产和环境属性类数据、各种内部设备和系统上的日志数据、告警数据、捕获来的数据包信息、统计信息、元数据等;二是外部,从第三方来源收集数据,并将这些数据与前述内部威胁情报来源收集来的数据相关联,在与被保护对象有关联时视为威胁情报。
作为优选的实施例,进一步,还可以获取态势感知系统威胁情报数据库存储的攻击方式信息,通过分析得到前述APT攻击的攻击规则信息,根据攻击规则信息模拟攻防场景。
优选的,在模拟攻防场景时,根据攻击方式信息提炼攻击规则后,建立攻击模型和防御模型;然后,基于所述攻击模型和防御模型搭建能够模拟攻防场景的用户操作平台。
本实施例的优选实施方式中,考虑到网络节点中数据信息的安全性,还可以在采集网络节点受到APT攻击的信息时,提高前述网络节点中的数据信息的安全等级。
作为举例而非限制,所述数据信息的安全等级可以是国家质量技术监督局标准规定的计算机信息系统安全保护能力的五个等级:用户自主保护级、系统审计保护级、安全标记保护级、结构化保护级、访问验证保护级,也可以是基于用户自定义划分的网络数据信息安全保护等级。
在所述步骤S100中,设置虚拟备份节点时,优选的采用以下两种实施方式。
一个实施方式,参图2所示的流程图S110,具体实施步骤如下:
S111,判断APT攻击是否持续针对一个网络节点,判定为是的情况下,执行步骤S112。
S112,根据该网络节点受到的攻击次数调整对应的虚拟备份节点,所述网络节点设置有多个虚拟备份节点,包括第一虚拟备份节点、第二虚拟备份节点、…、第N虚拟备份节点,其中,N为大于1的整数;对第N次攻击设置第N虚拟备份节点以使每次攻击下设置的虚拟备份节点不同;将网络节点的数据信息转移到当前设置的虚拟备份节点上。
S113,判定为否的情况下,获取被攻击的多个网络节点信息,对于每一个网络节点,执行步骤S112。
上述技术方案尤其适用于APT攻击持续针对网络环境中的某一网络节点。
同时,可选的,在检测到网络节点受到APT攻击时,对该网络节点的数据信息进行修改和/或加密。以及,检测到攻击者下载前述数据信息时,进行反向追踪。
优选的加密方式包括但不限于公钥加密算法、块加密算法、非对称加密算法、数字签名。
作为优选的实施例,参见图4a所示,在一个网络结构中,由网络节点121,122,123,124,125,以及各网络节点间的通信链路组成。当检测到针对网络节点121受到APT攻击的情况时,执行步骤S112。在网络节点121受到第一次APT攻击,设置虚拟备份节点121-1;第二次APT攻击,设置虚拟备份节点121-2;第N次APT攻击,设置虚拟备份节点121-N。
参图4b所示,虚拟备份节点121-1与网络节点121的关联网络节点,即网络节点122和网络节点123建立通信连接,网络节点121与网络节点122、123断开连接。
参图4c所示,网络节点121每经历一次APT攻击,系统就会将网络节点121的数据信息存储在对应的虚拟备份上,一次APT攻击,数据信息存储至虚拟备份节点121-1,N次APT攻击,数据信息存储至虚拟备份节点121-N上,由虚拟备份节点121-N与网络节点121的关联网络节点,即网络节点122和网络节点123建立通信连接,网络节点121与网络节点122、123断开连接,而网络中的拓扑结构不发生变化。
所述方法优势在于:态势感知系统检测到攻击后,通过不断调整网络节点的地址躲避攻击方式,在检测到APT攻击时设置虚拟备份节点,完成数据信息的转移,并与这一网络节点的关联节点建立新的通信链路,即保证了网络通信链路的完整,又调整了数据存储的路径,实现网络安全防御。
在另一个实施方式中,参图3所示的流程图S120,具体实施步骤如下:
S121,检测前述虚拟备份节点的日志信息,判定前述虚拟备份节点受到APT攻击时,执行步骤S122。
S122,对该虚拟备份节点设置新虚拟备份节点;建立前述虚拟备份节点与前述新虚拟备份节点的通信连接,将前述虚拟备份节点的数据信息存储到新虚拟备份节点中,截断该虚拟备份节点与前述关联网络节点的连接以用新虚拟备份节点代替虚拟备份节点,建立前述新虚拟备份节点与关联网络节点的连接。
S123,检测前述新虚拟备份节点受到APT攻击时,对该新虚拟备份节点设置再新虚拟备份节点;建立前述新虚拟备份节点与前述再新虚拟备份节点的通信连接,将前述新虚拟备份节点的数据信息存储到再新虚拟备份节点中,截断该新虚拟备份节点与前述关联网络节点的连接以用再新虚拟备份节点代替新虚拟备份节点,建立前述再新虚拟备份节点与关联网络节点的连接。
S124,依此类推,重复步骤S123,以保证最新的虚拟备份节点未受到APT攻击。
上述技术方案尤其适用于APT攻击能够根据网络连接链路调整攻击对象的场景。
作为优选的实施例,参见图5a所示,当检测到针对网络节点121受到APT攻击某一网络节点后陆续攻击该网络节点的虚拟备份节点的情况时,执行步骤S122。在网络节点121受到第一次APT攻击,设置虚拟备份节点121-1;第二次APT攻击,设置虚拟备份节点121-2;第N次APT攻击,设置虚拟备份节点121-N。同时,虚拟备份节点121-1与网络节点121的关联网络节点为网络节点122和网络节点123。
参图5b所示,虚拟备份节点121-1与网络节点121的关联网络节点,即网络节点122和网络节点123建立通信连接,网络节点121与网络节点122、123断开连接。
参图5c所示,由虚拟备份节点121-N与网络节点121的关联网络节点,即网络节点122和网络节点123建立通信连接,网络节点121与网络节点122、123断开连接,而网络中的拓扑结构不发生变化。当APT攻击该网络节点的第N-1虚拟备份节点,设置第N虚拟备份节点,存储第N-1虚拟备份节点的数据信息。即虚拟备份节点121-N与网络节点121的关联网络节点,即网络节点122和网络节点123建立通信连接,虚拟备份节点121-(N-1)与网络节点122、123断开连接。
通过采用上述技术方案,态势感知系统检测到攻击后,通过不断调整网络节点的地址躲避攻击方式,在检测到APT攻击时设置虚拟备份节点,完成数据信息的转移,并与这一网络节点的关联节点建立新的通信链路,即保证了网络通信链路的完整,又调整了数据存储的路径,对受到APT攻击的虚拟备份节点的日志信息进行分析以获取攻击方式信息;以及,检测到攻击者从前述受到APT攻击的虚拟备份节点中下载数据信息时,进行反向追踪,实现网络安全防御。
如此,它不仅利用了被动防御方法提供的时间差去防御攻击,还在前述实施方式防御的基础上加强了防御手段,反向利用攻击者攻击策略逆向追踪攻击源,从根本上去制止攻击者持续性的攻击策略。
本发明通过这两种防御手段对攻击者进行反向追溯,实现态势感知系统的动态防御。
所述的反向追溯可以利用攻击源追溯技术,实现定位攻击源、阻止或抑制网络攻击的效果。
作为举例而非限制,考虑攻击者对于数据的采集具有针对性,可以使用靶向数据采集方式,对特定对象的相关设备的日志信息进行采集,通过分析海量的日志信息查找隐藏的攻击者。
需要说明的是,虽然前述实施例只描述了一个网络节点受到持续性攻击时的虚拟备份节点变更方案,但本领域技术人员应知晓,当攻击是同时针对多个网络节点的持续性攻击时,对遭受攻击的每一个网络节点都可以通过上述技术方案变更虚拟备份节点,在此不再赘述。所述的同时,包括攻击时间的完全重合,以及攻击时间的部分重合。
本实施例的步骤S200中,在将前述网络节点的数据信息存储到虚拟备份节点中时,还可以获取网络节点中的原始数据信息、攻击方式信息和日志信息后存储到所述虚拟备份节点中。
本发明的另一个实施例,还提供了一种针对APT攻击的态势感知节点防御系统。
所述系统包括处理器和存储器。所述存储器用于存储系统数据,包括但不限于操作指令、交互信息、节点数据等。
所述处理器包括节点威胁分析模块、节点传感模块和备份节点连接模块。
所述节点威胁分析模块,用于采集网络节点受到APT攻击的信息,并对前述网络节点设置虚拟备份节点。
所述节点传感模块,用于建立前述网络节点与前述虚拟备份节点的通信连接,将前述网络节点的数据信息存储到虚拟备份节点中,截断该网络节点与关联网络节点的连接。
所述备份节点连接模块,用于建立前述虚拟备份节点与关联网络节点的连接。
本实施例中,所述节点威胁分析模块可以包括虚拟备份节点调整单元。在一个实施方式中,所述虚拟备份节点调整单元被配置为执行如下步骤:
S111,判断APT攻击是否持续针对一个网络节点,判定为是的情况下,执行步骤S112。
S112,根据该网络节点受到的攻击次数调整对应的虚拟备份节点,所述网络节点设置有多个虚拟备份节点,包括第一虚拟备份节点、第二虚拟备份节点、…、第N虚拟备份节点,其中,N为大于1的整数;对第N次攻击设置第N虚拟备份节点以使每次攻击下设置的虚拟备份节点不同;将网络节点的数据信息转移到当前设置的虚拟备份节点上。
S113,判定为否的情况下,获取被攻击的多个网络节点信息,对于每一个网络节点,执行步骤S112。
上述技术方案尤其适用于APT攻击持续针对网络环境中的某一网络节点。
同时,可选的,在检测到网络节点受到APT攻击时,对该网络节点的数据信息进行修改和/或加密。以及,检测到攻击者下载前述数据信息时,进行反向追踪。
在另一个实施方式中,所述虚拟备份节点调整单元被配置为执行如下步骤:
S121,检测前述虚拟备份节点的日志信息,判定前述虚拟备份节点受到APT攻击时,执行步骤S122。
S122,对该虚拟备份节点设置新虚拟备份节点;建立前述虚拟备份节点与前述新虚拟备份节点的通信连接,将前述虚拟备份节点的数据信息存储到新虚拟备份节点中,截断该虚拟备份节点与前述关联网络节点的连接以用新虚拟备份节点代替虚拟备份节点,建立前述新虚拟备份节点与关联网络节点的连接。
S123,检测前述新虚拟备份节点受到APT攻击时,对该新虚拟备份节点设置再新虚拟备份节点;建立前述新虚拟备份节点与前述再新虚拟备份节点的通信连接,将前述新虚拟备份节点的数据信息存储到再新虚拟备份节点中,截断该新虚拟备份节点与前述关联网络节点的连接以用再新虚拟备份节点代替新虚拟备份节点,建立前述再新虚拟备份节点与关联网络节点的连接。
S124,依此类推,重复步骤S123,以保证最新的虚拟备份节点未受到APT攻击。
本实施例中,所述系统还可以包括态势感知节点采集模块、态势感知节点威胁分析模块和态势感知节点数据处理模块。
所述态势感知节点采集模块用于实现网络节点设备态势感知数据信息的采集,所述的态势感知节点采集模块能够采集包括但不限于目的端口活动情况、目的节点、源IP、端口与协议。
所述态势感知节点威胁分析模块用于分析前述态势感知数据信息,形成威胁情报,将形成威胁情报的数据信息存储在态势感知系统威胁情报数据库中,进一步用以总结网络攻击方式。
所述态势感知节点数据处理模块用于处理前述形成威胁情报的数据信息,存储在态势感知节点防御系统,所述的数据处理包括但不限于下述情形:目的端口活动情况、目的节点、源IP、端口与协议之间的关系等可能对系统造成的影响;网络流量数据对告警评估的影响;随机开放端口对网络漏洞的影响;恶意活动对现有系统的应对措施和防护方案的影响;不同的攻击方式对资产的影响;相关联事件对预期告警评估的影响;受损节点对系统健康状态的影响;误报告警信息的影响。
其他技术特征参见在前实施例,在此不再赘述。
在上面的描述中,在本公开内容的目标保护范围内,各组件可以以任意数目选择性地且操作性地进行合并。另外,像“包括”、“囊括”以及“具有”的术语应当默认被解释为包括性的或开放性的,而不是排他性的或封闭性,除非其被明确限定为相反的含义。所有技术、科技或其他方面的术语都符合本领域技术人员所理解的含义,除非其被限定为相反的含义。在词典里找到的公共术语应当在相关技术文档的背景下不被太理想化或太不实际地解释,除非本公开内容明确将其限定成那样。
虽然已出于说明的目的描述了本公开内容的示例方面,但是本领域技术人员应当意识到,上述描述仅是对本发明较佳实施例的描述,并非对本发明范围的任何限定,本发明的优选实施方式的范围包括另外的实现,其中可以不按所述出现或讨论的顺序来执行功能。本发明领域的普通技术人员根据上述揭示内容做的任何变更、修饰,均属于权利要求书的保护范围。

Claims (8)

1.一种针对APT攻击的态势感知节点防御方法,所述方法包括步骤:
采集网络节点受到APT攻击的信息,对前述网络节点设置虚拟备份节点;建立前述网络节点与前述虚拟备份节点的通信连接,将前述网络节点的数据信息存储到虚拟备份节点中,截断该网络节点与关联网络节点的连接;
建立前述虚拟备份节点与关联网络节点的连接;
其中,在设置网络节点的虚拟备份节点时,通过变更虚拟备份节点来躲避攻击;所述变更虚拟备份节点,步骤如下:S111,判断APT攻击是否持续针对一个网络节点,判定为是的情况下,执行步骤S112;S112,根据该网络节点受到的攻击次数调整对应的虚拟备份节点,所述网络节点设置有多个虚拟备份节点,包括第一虚拟备份节点、第二虚拟备份节点、…、第N虚拟备份节点,其中,N为大于1的整数;对第N次攻击设置第N虚拟备份节点以使每次攻击下设置的虚拟备份节点不同;将网络节点的数据信息转移到当前设置的虚拟备份节点上;S113,判定为否的情况下,获取被攻击的多个网络节点信息,对于每一个网络节点,执行步骤S112;
或者,所述设置虚拟备份节点的步骤如下:S121,检测前述虚拟备份节点的日志信息,判定前述虚拟备份节点受到APT攻击时,执行步骤S122;S122,对该虚拟备份节点设置新虚拟备份节点;建立前述虚拟备份节点与前述新虚拟备份节点的通信连接,将前述虚拟备份节点的数据信息存储到新虚拟备份节点中,截断该虚拟备份节点与前述关联网络节点的连接以用新虚拟备份节点代替虚拟备份节点,建立前述新虚拟备份节点与关联网络节点的连接;S123,检测前述新虚拟备份节点受到APT攻击时,对该新虚拟备份节点设置再新虚拟备份节点;建立前述新虚拟备份节点与前述再新虚拟备份节点的通信连接,将前述新虚拟备份节点的数据信息存储到再新虚拟备份节点中,截断该新虚拟备份节点与前述关联网络节点的连接以用再新虚拟备份节点代替新虚拟备份节点,建立前述再新虚拟备份节点与关联网络节点的连接;S124,依此类推,重复步骤S123,以保证最新的虚拟备份节点未受到APT攻击。
2.根据权利要求1所述的方法,其特征在于还包括步骤:
采集前述网络节点上的日志信息,获取APT攻击信息,对前述APT攻击信息进行反向追溯,以获取攻击源信息,所述攻击源信息包括攻击方式信息;
将前述攻击方式信息存储在态势感知系统威胁情报数据库中。
3.根据权利要求2所述的方法,其特征在于:获取态势感知系统威胁情报数据库存储的攻击方式信息,通过分析得到前述APT攻击的攻击规则信息,根据攻击规则信息模拟攻防场景。
4.根据权利要求1所述的方法,其特征在于:将前述网络节点的数据信息存储到虚拟备份节点中,获取网络节点中的原始数据信息、攻击方式信息和日志信息后存储到所述虚拟备份节点中。
5.根据权利要求1所述的方法,其特征在于:采集网络节点受到APT攻击的信息时,提高前述网络节点中的数据信息的安全等级。
6.根据权利要求1所述的方法,其特征在于还包括步骤:在检测到该网络节点持续受到APT攻击时,对该网络节点的数据信息进行修改和/或加密;
以及检测到攻击者下载前述数据信息时,进行反向追踪。
7.根据权利要求1所述的方法,其特征在于:对受到APT攻击的虚拟备份节点的日志信息进行分析以获取攻击方式信息;以及,检测到攻击者从前述受到APT攻击的虚拟备份节点中下载数据信息时,进行反向追踪。
8.一种针对APT攻击的态势感知节点防御系统,执行 如权利要求1-7中任一项所述的方法,所述系统包括处理器和存储器,其特征在于,所述系统包括:
节点威胁分析模块,用于采集网络节点受到APT攻击的信息,并对前述网络节点设置虚拟备份节点;在设置网络节点的虚拟备份节点时,通过变更虚拟备份节点来躲避攻击;所述变更虚拟备份节点,步骤如下:S111,判断APT攻击是否持续针对一个网络节点,判定为是的情况下,执行步骤S112;S112,根据该网络节点受到的攻击次数调整对应的虚拟备份节点,所述网络节点设置有多个虚拟备份节点,包括第一虚拟备份节点、第二虚拟备份节点、…、第N虚拟备份节点,其中,N为大于1的整数;对第N次攻击设置第N虚拟备份节点以使每次攻击下设置的虚拟备份节点不同;将网络节点的数据信息转移到当前设置的虚拟备份节点上;S113,判定为否的情况下,获取被攻击的多个网络节点信息,对于每一个网络节点,执行步骤S112;或者,所述设置虚拟备份节点的步骤如下:S121,检测前述虚拟备份节点的日志信息,判定前述虚拟备份节点受到APT攻击时,执行步骤S122;S122,对该虚拟备份节点设置新虚拟备份节点;建立前述虚拟备份节点与前述新虚拟备份节点的通信连接,将前述虚拟备份节点的数据信息存储到新虚拟备份节点中,截断该虚拟备份节点与前述关联网络节点的连接以用新虚拟备份节点代替虚拟备份节点,建立前述新虚拟备份节点与关联网络节点的连接;S123,检测前述新虚拟备份节点受到APT攻击时,对该新虚拟备份节点设置再新虚拟备份节点;建立前述新虚拟备份节点与前述再新虚拟备份节点的通信连接,将前述新虚拟备份节点的数据信息存储到再新虚拟备份节点中,截断该新虚拟备份节点与前述关联网络节点的连接以用再新虚拟备份节点代替新虚拟备份节点,建立前述再新虚拟备份节点与关联网络节点的连接;S124,依此类推,重复步骤S123,以保证最新的虚拟备份节点未受到APT攻击;
节点传感模块,用于建立前述网络节点与前述虚拟备份节点的通信连接,将前述网络节点的数据信息存储到虚拟备份节点中,截断该网络节点与关联网络节点的连接;
备份节点连接模块,用于建立前述虚拟备份节点与关联网络节点的连接。
CN202110676314.3A 2021-06-18 2021-06-18 一种针对apt攻击的态势感知节点防御方法及系统 Active CN113329029B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202110676314.3A CN113329029B (zh) 2021-06-18 2021-06-18 一种针对apt攻击的态势感知节点防御方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202110676314.3A CN113329029B (zh) 2021-06-18 2021-06-18 一种针对apt攻击的态势感知节点防御方法及系统

Publications (2)

Publication Number Publication Date
CN113329029A CN113329029A (zh) 2021-08-31
CN113329029B true CN113329029B (zh) 2022-10-14

Family

ID=77423797

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202110676314.3A Active CN113329029B (zh) 2021-06-18 2021-06-18 一种针对apt攻击的态势感知节点防御方法及系统

Country Status (1)

Country Link
CN (1) CN113329029B (zh)

Families Citing this family (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114006722B (zh) * 2021-09-14 2023-10-03 上海纽盾科技股份有限公司 发现威胁的态势感知验证方法、装置及系统
CN114006802B (zh) * 2021-09-14 2023-11-21 上海纽盾科技股份有限公司 失陷设备的态势感知预测方法、装置及系统
CN114124516B (zh) * 2021-11-19 2023-08-22 上海纽盾科技股份有限公司 态势感知预测方法、装置及系统
CN114189361B (zh) * 2021-11-19 2023-06-02 上海纽盾科技股份有限公司 防御威胁的态势感知方法、装置及系统
CN114205169B (zh) * 2021-12-20 2023-09-08 上海纽盾科技股份有限公司 网络安全防御方法、装置及系统
CN114338189B (zh) * 2021-12-31 2023-05-26 上海纽盾科技股份有限公司 基于节点拓扑关系链的态势感知防御方法、装置及系统
CN114301706B (zh) * 2021-12-31 2023-07-21 上海纽盾科技股份有限公司 基于目标节点中现有威胁的防御方法、装置及系统

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109246087A (zh) * 2018-08-17 2019-01-18 苏州格目软件技术有限公司 一种基于网络安全的信息存储系统
CN112311810A (zh) * 2020-11-13 2021-02-02 国网冀北电力有限公司张家口供电公司 一种动态适应攻击的网络动态防御方法

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101729389B (zh) * 2008-10-21 2012-05-23 北京启明星辰信息技术股份有限公司 基于流量预测和可信网络地址学习的流量控制装置和方法
CN106302431A (zh) * 2016-08-10 2017-01-04 安徽新华学院 一种基于scit的移动目标防御系统
CN109981803B (zh) * 2017-12-27 2022-04-29 中兴通讯股份有限公司 业务请求处理方法及装置
CN109495440A (zh) * 2018-09-06 2019-03-19 国家电网有限公司 一种内网动态防御的随机方法
CN112187533B (zh) * 2020-09-18 2023-04-18 北京浪潮数据技术有限公司 一种虚拟网络设备防御方法、装置、电子设备和介质

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109246087A (zh) * 2018-08-17 2019-01-18 苏州格目软件技术有限公司 一种基于网络安全的信息存储系统
CN112311810A (zh) * 2020-11-13 2021-02-02 国网冀北电力有限公司张家口供电公司 一种动态适应攻击的网络动态防御方法

Non-Patent Citations (3)

* Cited by examiner, † Cited by third party
Title
基于云平台的安全态势感知系统;李倩;《信息记录材料》;20180911(第10期);全文 *
基于安全态势感知在网络攻击防御中的具体运用;李全华;《信息通信》;20180415(第04期);全文 *
高可用性集群数据库服务器研究与实现;闫斌等;《计算机应用研究》;20051228(第12期);全文 *

Also Published As

Publication number Publication date
CN113329029A (zh) 2021-08-31

Similar Documents

Publication Publication Date Title
CN113329029B (zh) 一种针对apt攻击的态势感知节点防御方法及系统
US20200344246A1 (en) Apparatus, system and method for identifying and mitigating malicious network threats
Lima Filho et al. Smart detection: an online approach for DoS/DDoS attack detection using machine learning
CN109829310B (zh) 相似攻击的防御方法及装置、系统、存储介质、电子装置
CN111756759B (zh) 一种网络攻击溯源方法、装置及设备
US10178118B2 (en) Data surveillance system
Karan et al. Detection of DDoS attacks in software defined networks
Gianvecchio et al. Model-based covert timing channels: Automated modeling and evasion
JP5886422B2 (ja) プロトコルフィンガープリント取得および評価相関のためのシステム、装置、プログラム、および方法
Frazão et al. Denial of service attacks: Detecting the frailties of machine learning algorithms in the classification process
Bhatia et al. Distributed denial of service attacks and defense mechanisms: current landscape and future directions
US20180375888A1 (en) Data Surveillance System with Contextual Information
US10523698B2 (en) Data surveillance system with patterns of centroid drift
Jeyanthi et al. An Entropy Based Approach to Detect and Distinguish DDoS Attacks from Flash Crowds in VoIP Networks.
Thakur et al. Detection and prevention of botnets and malware in an enterprise network
Gasior et al. Network covert channels on the android platform
Batool et al. [Retracted] Lightweight Statistical Approach towards TCP SYN Flood DDoS Attack Detection and Mitigation in SDN Environment
Hsu et al. Detecting Web‐Based Botnets Using Bot Communication Traffic Features
CN113904804A (zh) 基于行为策略的内网安全防护方法、系统及介质
Rahmani et al. Distributed denial‐of‐service attack detection scheme‐based joint‐entropy
Seo et al. Abnormal behavior detection to identify infected systems using the APChain algorithm and behavioral profiling
Liu et al. Anomaly diagnosis based on regression and classification analysis of statistical traffic features
EP3621265B1 (en) Method and apparatus for detecting and mitigating information security threats in the internet
EP3595257B1 (en) Detecting suspicious sources, e.g. for configuring a distributed denial of service mitigation device
Anbar et al. NADTW: new approach for detecting TCP worm

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
CB02 Change of applicant information

Address after: 200441 11th floor, No.2, Lane 99, Changjiang South Road, Baoshan District, Shanghai

Applicant after: SHANGHAI NIUDUN TECHNOLOGY Co.,Ltd.

Address before: Floor 11, building A5, Lane 1688, Guoquan North Road, Yangpu District, Shanghai, 200433

Applicant before: SHANGHAI NIUDUN TECHNOLOGY Co.,Ltd.

CB02 Change of applicant information
GR01 Patent grant
GR01 Patent grant
EE01 Entry into force of recordation of patent licensing contract

Application publication date: 20210831

Assignee: Beijing newdun Wangan Information Technology Co.,Ltd.

Assignor: SHANGHAI NIUDUN TECHNOLOGY Co.,Ltd.

Contract record no.: X2024310000022

Denomination of invention: A situational awareness node defense method and system for APT attacks

Granted publication date: 20221014

License type: Common License

Record date: 20240208

EE01 Entry into force of recordation of patent licensing contract