CN113489694B - 一种蜜场系统中抗大流量攻击的动态防御系统 - Google Patents

一种蜜场系统中抗大流量攻击的动态防御系统 Download PDF

Info

Publication number
CN113489694B
CN113489694B CN202110704331.3A CN202110704331A CN113489694B CN 113489694 B CN113489694 B CN 113489694B CN 202110704331 A CN202110704331 A CN 202110704331A CN 113489694 B CN113489694 B CN 113489694B
Authority
CN
China
Prior art keywords
attack
module
defense
data
honey
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202110704331.3A
Other languages
English (en)
Other versions
CN113489694A (zh
Inventor
叶德望
林勇
郑周行
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Zhejiang Dexun Network Security Technology Co ltd
Original Assignee
Zhejiang Dexun Network Security Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Zhejiang Dexun Network Security Technology Co ltd filed Critical Zhejiang Dexun Network Security Technology Co ltd
Priority to CN202110704331.3A priority Critical patent/CN113489694B/zh
Publication of CN113489694A publication Critical patent/CN113489694A/zh
Application granted granted Critical
Publication of CN113489694B publication Critical patent/CN113489694B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1491Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本申请公开了一种蜜场系统中抗大流量攻击的动态防御系统,包括布置于子网网关的攻击诱骗模块、布置于蜜场中心并与所述攻击诱骗模块通讯连接的攻击元素提取模块、布置于蜜场中心并与所述攻击元素提取模块相连的攻击元素训练模块、布置于蜜场中心并与所述攻击元素提取模块和所述攻击元素训练模块相连的防御策略制定模块、布置于蜜场中心并与所述攻击诱骗模块和所述防御策略制定模块相连的动态数据反馈模块、布置于蜜场中心与所述防御策略制定模块和所述攻击诱骗模块相连的大流量攻击防御模块。本申请的蜜场系统中抗大流量攻击的动态防御系统,有效地提高蜜场系统中应对大流量攻击时的网络安全防御性能和安全。

Description

一种蜜场系统中抗大流量攻击的动态防御系统
技术领域
本申请涉及网络安全防御技术领域,具体是一种蜜场系统中抗大流量攻击的动态防御系统。
背景技术
随着网络技术的发展,网络安全问题变得越来越重要。传统的基于主机层的被动防御方法已经难以保护现有网络的安全,所以产生了主动防御的概念。蜜场系统可以归纳为的一种主动防御策略。在现有技术中的蜜场系统防御机制中,在应对大流量攻击时,存在防御性能和安全性相互制约的问题,为此,需要一种动态防御系统来克服这一制约。
发明内容
本申请的目的在于提供一种蜜场系统中抗大流量攻击的动态防御系统,有效地提高蜜场系统中应对大流量攻击时的网络安全防御性能和安全。
为实现上述目的,本申请提供了一种蜜场系统中抗大流量攻击的动态防御系统,包括:布置于子网网关的攻击诱骗模块,用于在网络中发送诱骗信息诱骗入侵者入侵网络,获取入侵者的攻击数据包;布置于蜜场中心的攻击元素提取模块,与所述攻击诱骗模块通讯连接,用于对所述攻击诱骗模块获取的攻击数据进行攻击模式分析以获取网络攻击特征元素;布置于蜜场中心的攻击元素训练模块,与所述攻击元素提取模块相连,基于深度学习算法深度学习网络攻击特征元素,并针对网络攻击特征元素进行防御训练、网络攻击特征元素制定并存储对应的模拟防御策略;布置于蜜场中心的防御策略制定模块,与所述攻击元素提取模块、所述攻击元素训练模块相连,用于根据制定的模拟防御策略模拟多种网络攻击特征元素变化和/或多种网络攻击特征元素组合后的大流量攻击数据,通过该大流量攻击数据进行攻击训练,并制定该大流量攻击数据对应的多级相关防御数据包;布置于蜜场中心的动态数据反馈模块,与所述攻击诱骗模块通讯连接,用于实时监测入侵者发出的攻击数据,并对相邻两次攻击数据对应的网路攻击特征元素进行相似度比对;与所述防御策略制定模块相连,用于将相邻两次攻击数据的比对结果发送至所述防御策略制定模块,使所述防御策略制定模块根据攻击数据的动态变化制定对应的多级相关防御数据包;布置于蜜场中心的大流量攻击防御模块,与所述防御策略制定模块相连,用于根据获取的网络攻击特征元素匹配对应的防御策略;与所述攻击诱骗模块通讯连接,用于向子网网关发送匹配到的防御策略并持续分发该防御策略对应的多级相关防御数据包。作为优选,所述攻击元素训练模块包括用于学习原始网络流量数据时空特征的原始数据卷积神经单元单元、基于过往攻击数据学习网络攻击流量数据时空特征的过往数据训练单元。
基于上述结构,通过攻击诱骗模块诱骗入侵者入侵网络,从而获取入侵者的入侵数据,通过攻击元素提取模块、攻击元素训练模块的设置,对入侵者的行为特征进行深度学习和训练,从而为服务器应对网络攻击建立庞大的数据基础。同时,通过防御策略制定模块、动态数据反馈模块针对入侵过程中数据的变化,实时定制相关的防御数据包,为应对大流量攻击数据攻击提供充足的防御策略。通过大流量攻击防御模块根据实时的数据变化进行防御策略的及时调整,提高应对大流量攻击时的时效性和可靠性。
作为优选,所述攻击元素训练模块包括用于学习和训练原始网络流量数据时空特征的原始数据卷积神经单元、基于过往攻击数据学习网络攻击流量数据时空特征的过往数据训练单元。
作为优选,所述防御策略制定模块为基于子网数据和深度学习数据进行防御策略制定的防御制定运算服务器,所述子网数据包括子网网关对应的日志记录、布置于子网中的入侵检测装置对应的日志记录;所述深度学习数据包括原始网络流量数据时空特征和过往攻击数据学习网络攻击流量数据时空特征。
作为优选,所述大流量攻击防御模块为用于全局控制及防御的全局防控服务器。
作为优选,所述网络攻击特征元素包括攻击数据包协议类型、攻击数据包大小、被攻击次数、网络攻击时长、被攻击端口、被攻击子网数量和被攻击子网IP地址中的至少两种。
作为优选,所述攻击诱骗模块包括蜜罐群组、重定向路由器和数据捕获服务器。
作为优选,所述蜜罐群组包括布置于子网网关的诱骗蜜罐群和布置于持续被攻击的子网网关的采集蜜罐群,所述诱骗蜜罐群用于诱骗入侵,所述采集蜜罐群用于收集入侵者动机及策略信息。
借由上述的一种蜜场系统中抗大流量攻击的动态防御系统,对网络中的攻击数据进行实时监测,并针对不同的网络攻击特征元素制定不同的防御策略,实现在出现入侵事件时,及时地作出相应的防御行为,提高基于蜜场系统的网络安全防御性能。同时,通过防御策略制定模块及动态数据反馈模块的设置,实现大流量攻击过程的有效防御,并实现灵活地流量控制,提高防御效率。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅是本申请的一些实施例,对于本领域技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本申请实施例中蜜场系统中抗大流量攻击的动态防御系统的结构框图;
图2为本申请实施例中攻击元素训练模块的结构框图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
实施例:参考图1所示的一种蜜场系统中抗大流量攻击的动态防御系统,包括:攻击诱骗模块、攻击元素提取模块、攻击元素训练模块、防御策略制定模块、动态数据反馈模块、大流量攻击防御模块。
攻击诱骗模块布置于子网网关中,用于在网络中发送诱骗信息诱骗入侵者入侵网络,获取入侵者的攻击数据包。蜜罐好比是情报收集系统,蜜罐是故意让人攻击的目标,引诱黑客前来攻击。当攻击者入侵后,可以获取黑客的入侵数据,包括网络攻击特征元素、服务器防御运行数据串等,随时了解针对服务器发动的最新的攻击和漏洞,还可以通过窃听黑客之间的联系,收集黑客所用的种种工具,并且掌握黑客的社交网络。基于蜜罐系统应对网络攻击成为了有力的一种手段。在本实施例中,攻击诱骗模块包括蜜罐群组、重定向路由器和数据捕获服务器。蜜罐群组的构成为多个蜜罐,蜜罐为多锚点攻击感知的感应结构,通常通过在攻击者必经之路上构造陷阱,混淆其攻击目标,实时告警黑客和内鬼的内网入侵行为,将其诱骗隔离以延缓攻击,并帮助用户追踪溯源、阻断攻击和安全加固,从而保护企业核心信息资产安全。在本实施例中,蜜罐群组包括布置于子网网关的诱骗蜜罐群和布置于持续被攻击的子网网关的采集蜜罐群,诱骗蜜罐群用于诱骗入侵,例如现有技术中的生产蜜罐,采集蜜罐群用于收集入侵者动机及策略信息,例如现有技术中的研究蜜罐。
攻击元素提取模块布置于蜜场中心,与攻击诱骗模块通讯连接,用于对攻击诱骗模块获取的攻击数据进行攻击模式分析以获取网络攻击特征元素,然后对接收的攻击数据流和网络攻击特征元素进行关联和聚类分析。网络攻击特征元素包括攻击数据包协议类型、攻击数据包大小、被攻击次数、网络攻击时长、被攻击端口、被攻击子网数量、被攻击子网IP地址,基于网络攻击特征元素的分析,能够了解各攻击事件发生的详细情况,以便于分析黑客的攻击习惯、特性等,从而为对黑客的攻击建立主动防御打下基础。
攻击元素训练模块布置于蜜场中心,与攻击元素提取模块相连,深度学习算法深度学习网络攻击特征元素,并针对网络攻击特征元素进行防御训练,网络攻击特征元素制定并存储对应的模拟防御策略。参考图2所示,攻击元素训练模块包括用于学习原始网络流量数据时空特征的原始数据卷积神经单元单元、基于过往攻击数据学习网络攻击流量数据时空特征的过往数据训练单元。原始数据卷积神经单元单元对原始数据中的攻击事件的时空特征进行深度学习和训练,从而对原始数据中存在的网络漏洞、黑客攻击特征元素等进行学习。过往数据训练单元对大数据中的已经发生的攻击事件的时空特征进行深度学习和训练,从而对既往的攻击事件中出现的攻击行为特征进行学习。这样设置的好处是,为后续大流量攻击过程中的攻击防御行为建立基础数据库,提高防御效率。
防御策略制定模块布置于蜜场中心,与攻击元素提取模块、攻击元素训练模块相连,用于根据制定的模拟防御策略模拟多种网络攻击特征元素变化和/或多种网络攻击特征元素组合后的大流量攻击数据,通过该大流量攻击数据进行攻击训练,并制定该大流量攻击数据对应的多级相关防御数据包。防御策略制定模块为基于子网数据和深度学习数据进行防御策略制定的防御制定运算服务器,子网数据包括子网网关对应的日志记录、布置于子网中的入侵检测装置对应的日志记录。深度学习数据包括原始网络流量数据时空特征和过往攻击数据学习网络攻击流量数据时空特征。
动态数据反馈模块布置于蜜场中心,与攻击诱骗模块通讯连接,用于实时监测入侵者发出的攻击数据,并对相邻两次攻击数据对应的网路攻击特征元素进行相似度比对。与防御策略制定模块相连,用于将比对结果发送至防御策略制定模块,以确保防御策略制定模块能够根据攻击数据的动态变化制定对应的多级相关防御数据包。
大流量攻击防御模块布置于蜜场中心,大流量攻击防御模块为用于全局控制及防御的全局防控服务器。与防御策略制定模块相连,用于根据获取的网络攻击特征元素匹配对应的防御策略,与攻击诱骗模块通讯连接,用于向子网网关发送该防御策略并持续分发该防御策略对应的多级相关防御数据包。
基于上述的蜜场系统中抗大流量攻击的动态防御系统,攻击诱骗模块向入侵者发送诱骗信息以引诱黑客前来攻击,并收集黑客相关的证据和信息,在攻击者必经之路上构造陷阱,混淆其攻击目标,实时告警黑客和内鬼的内网入侵行为,将其诱骗隔离以延缓攻击。并将获取到的攻击数据发送至攻击元素提取模块,攻击元素提取模块对攻击数据分析并获取网络攻击特征元素。防御策略制定模块根据网络攻击特征元素匹配对应的防御策略,并在动态数据反馈模块反馈的动态流量数据超前制定对应的多级相关防御数据包。大流量攻击防御模块将匹配到的防御策略和制定的多级相关防御数据包分发至子网对应的主机进行防御,并在接下来的攻击中采用多级相关防御数据包中的防御策略进行防御,从而实现在大流量攻击中占据主动,完成追踪溯源、阻断攻击、安全加固的工作,提高网络安全防御性能。
最后应说明的是:以上仅为本发明的优选实施例而已,并不用于限制本发明,尽管参照前述实施例对本发明进行了详细的说明,对于本领域的技术人员来说,其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。

Claims (7)

1.一种蜜场系统中抗大流量攻击的动态防御系统,其特征在于,包括:
布置于子网网关的攻击诱骗模块,用于在网络中发送诱骗信息诱骗入侵者入侵网络,获取入侵者的攻击数据包;
布置于蜜场中心的攻击元素提取模块,与所述攻击诱骗模块通讯连接,用于对所述攻击诱骗模块获取的攻击数据进行攻击模式分析以获取网络攻击特征元素;
布置于蜜场中心的攻击元素训练模块,与所述攻击元素提取模块相连,基于深度学习算法深度学习网络攻击特征元素,并针对网络攻击特征元素进行防御训练、制定并存储对应的模拟防御策略;
布置于蜜场中心的防御策略制定模块,与所述攻击元素提取模块、所述攻击元素训练模块相连,用于根据制定的模拟防御策略模拟多种网络攻击特征元素变化和/或多种网络攻击特征元素组合后的大流量攻击数据,通过该大流量攻击数据进行攻击训练,并制定该大流量攻击数据对应的多级相关防御数据包;
布置于蜜场中心的动态数据反馈模块,与所述攻击诱骗模块通讯连接,用于实时监测入侵者发出的攻击数据,并对相邻两次攻击数据对应的网路攻击特征元素进行相似度比对;与所述防御策略制定模块相连,用于将相邻两次攻击数据的比对结果发送至所述防御策略制定模块,使所述防御策略制定模块根据攻击数据的动态变化制定对应的多级相关防御数据包;
布置于蜜场中心的大流量攻击防御模块,与所述防御策略制定模块相连,用于根据获取的网络攻击特征元素匹配对应的防御策略;与所述攻击诱骗模块通讯连接,用于向子网网关发送匹配到的防御策略并持续分发该防御策略对应的多级相关防御数据包。
2.根据权利要求1所述的蜜场系统中抗大流量攻击的动态防御系统,其特征在于,所述攻击元素训练模块包括用于学习和训练原始网络流量数据时空特征的原始数据卷积神经单元、基于过往攻击数据学习网络攻击流量数据时空特征的过往数据训练单元。
3.根据权利要求2所述的蜜场系统中抗大流量攻击的动态防御系统,其特征在于,所述防御策略制定模块为基于子网数据和深度学习数据进行防御策略制定的防御制定运算服务器,所述子网数据包括子网网关对应的日志记录、布置于子网中的入侵检测装置对应的日志记录;所述深度学习数据包括原始网络流量数据时空特征和过往攻击数据学习网络攻击流量数据时空特征。
4.根据权利要求1所述的蜜场系统中抗大流量攻击的动态防御系统,其特征在于,所述大流量攻击防御模块为用于全局控制及防御的全局防控服务器。
5.根据权利要求1所述的蜜场系统中抗大流量攻击的动态防御系统,其特征在于,所述网络攻击特征元素包括攻击数据包协议类型、攻击数据包大小、被攻击次数、网络攻击时长、被攻击端口、被攻击子网数量和被攻击子网IP地址中的至少两种。
6.根据权利要求1所述的蜜场系统中抗大流量攻击的动态防御系统,其特征在于,所述攻击诱骗模块包括蜜罐群组、重定向路由器和数据捕获服务器。
7.根据权利要求6所述的蜜场系统中抗大流量攻击的动态防御系统,其特征在于,所述蜜罐群组包括布置于子网网关的诱骗蜜罐群和布置于持续被攻击的子网网关的采集蜜罐群,所述诱骗蜜罐群用于诱骗入侵,所述采集蜜罐群用于收集入侵者动机及策略信息。
CN202110704331.3A 2021-06-24 2021-06-24 一种蜜场系统中抗大流量攻击的动态防御系统 Active CN113489694B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202110704331.3A CN113489694B (zh) 2021-06-24 2021-06-24 一种蜜场系统中抗大流量攻击的动态防御系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202110704331.3A CN113489694B (zh) 2021-06-24 2021-06-24 一种蜜场系统中抗大流量攻击的动态防御系统

Publications (2)

Publication Number Publication Date
CN113489694A CN113489694A (zh) 2021-10-08
CN113489694B true CN113489694B (zh) 2023-04-28

Family

ID=77936114

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202110704331.3A Active CN113489694B (zh) 2021-06-24 2021-06-24 一种蜜场系统中抗大流量攻击的动态防御系统

Country Status (1)

Country Link
CN (1) CN113489694B (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114205127A (zh) * 2021-11-29 2022-03-18 中国铁路北京局集团有限公司北京通信段 一种针对铁路的网络安全监测方法及系统

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103051615B (zh) * 2012-12-14 2015-07-29 陈晶 一种蜜场系统中抗大流量攻击的动态防御系统
CN103457931B (zh) * 2013-08-15 2016-08-10 华中科技大学 一种网络诱骗与反攻击的主动防御方法
IL249827A0 (en) * 2016-12-28 2017-03-30 Mimran Dudu A method for modeling attack patterns in honey traps (computerization)
CN110958263B (zh) * 2019-12-13 2022-07-12 腾讯云计算(北京)有限责任公司 网络攻击检测方法、装置、设备及存储介质

Also Published As

Publication number Publication date
CN113489694A (zh) 2021-10-08

Similar Documents

Publication Publication Date Title
Wang et al. Attack detection and distributed forensics in machine-to-machine networks
CN107888607A (zh) 一种网络威胁检测方法、装置及网络管理设备
CN103428224B (zh) 一种智能防御DDoS攻击的方法和装置
CN112578761B (zh) 一种工业控制蜜罐安全防护装置及方法
CN102790778A (zh) 一种基于网络陷阱的DDoS攻击防御系统
CN103561004A (zh) 基于蜜网的协同式主动防御系统
Apruzzese et al. Detection and threat prioritization of pivoting attacks in large networks
CN110557405B (zh) 一种高交互ssh蜜罐实现方法
Bou-Harb et al. A novel cyber security capability: Inferring internet-scale infections by correlating malware and probing activities
Chen et al. Intrusion detection
CN112087413A (zh) 一种基于主动侦测的网络攻击智能动态防护和诱捕系统及方法
Wanda et al. A survey of intrusion detection system
Khalaf et al. An adaptive model for detection and prevention of DDoS and flash crowd flooding attacks
Chen et al. Attack sequence detection in cloud using hidden markov model
Ajmal et al. Last line of defense: Reliability through inducing cyber threat hunting with deception in scada networks
Chen et al. Defending malicious attacks in cyber physical systems
CN113489694B (zh) 一种蜜场系统中抗大流量攻击的动态防御系统
Sukhni et al. A systematic analysis for botnet detection using genetic algorithm
CN116827690A (zh) 基于分布式的抗DDoS攻击及云WAF防御方法
LaBar et al. Honeypots: Security by deceiving threats
CN111478912A (zh) 一种区块链入侵检测系统及方法
Li-Juan Honeypot-based defense system research and design
TW201141155A (en) Alliance type distributed network intrusion prevention system and method thereof
Abhijith et al. First Level Security System for Intrusion Detection and Prevention in LAN
CN110611636A (zh) 一种基于大数据算法的失陷主机检测技术

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant
PE01 Entry into force of the registration of the contract for pledge of patent right
PE01 Entry into force of the registration of the contract for pledge of patent right

Denomination of invention: A Dynamic Defense System Against High Traffic Attacks in a Honey Field System

Effective date of registration: 20230902

Granted publication date: 20230428

Pledgee: Zhejiang Tailong Commercial Bank Co.,Ltd. Wenzhou Cangnan Qianku small and micro enterprise franchise sub branch

Pledgor: Zhejiang Dexun Network Security Technology Co.,Ltd.

Registration number: Y2023980054960