CN114157467A - 分布式可切换工控蜜网诱捕方法 - Google Patents
分布式可切换工控蜜网诱捕方法 Download PDFInfo
- Publication number
- CN114157467A CN114157467A CN202111418897.6A CN202111418897A CN114157467A CN 114157467 A CN114157467 A CN 114157467A CN 202111418897 A CN202111418897 A CN 202111418897A CN 114157467 A CN114157467 A CN 114157467A
- Authority
- CN
- China
- Prior art keywords
- data
- technology
- engine
- honey net
- trapping method
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 235000012907 honey Nutrition 0.000 title claims abstract description 30
- 238000001926 trapping method Methods 0.000 title claims abstract description 19
- 238000005516 engineering process Methods 0.000 claims abstract description 29
- 238000000034 method Methods 0.000 claims abstract description 14
- 102100026278 Cysteine sulfinic acid decarboxylase Human genes 0.000 claims abstract description 8
- 108010064775 protein C activator peptide Proteins 0.000 claims abstract description 8
- 238000003909 pattern recognition Methods 0.000 claims abstract description 4
- 238000004891 communication Methods 0.000 claims description 18
- 230000002159 abnormal effect Effects 0.000 claims description 10
- 230000008676 import Effects 0.000 claims description 7
- 230000009977 dual effect Effects 0.000 claims 1
- 238000004458 analytical method Methods 0.000 abstract description 20
- ZXQYGBMAQZUVMI-GCMPRSNUSA-N gamma-cyhalothrin Chemical compound CC1(C)[C@@H](\C=C(/Cl)C(F)(F)F)[C@H]1C(=O)O[C@H](C#N)C1=CC=CC(OC=2C=CC=CC=2)=C1 ZXQYGBMAQZUVMI-GCMPRSNUSA-N 0.000 abstract description 2
- 230000006399 behavior Effects 0.000 description 27
- 238000001514 detection method Methods 0.000 description 17
- 238000010586 diagram Methods 0.000 description 5
- 238000007405 data analysis Methods 0.000 description 4
- 238000001914 filtration Methods 0.000 description 4
- 230000006870 function Effects 0.000 description 4
- 239000002131 composite material Substances 0.000 description 3
- 238000013500 data storage Methods 0.000 description 3
- 238000012544 monitoring process Methods 0.000 description 3
- 238000012545 processing Methods 0.000 description 3
- 206010000117 Abnormal behaviour Diseases 0.000 description 2
- 238000013461 design Methods 0.000 description 2
- 230000006872 improvement Effects 0.000 description 2
- 230000008569 process Effects 0.000 description 2
- 238000012356 Product development Methods 0.000 description 1
- 230000005856 abnormality Effects 0.000 description 1
- 230000004913 activation Effects 0.000 description 1
- 230000002776 aggregation Effects 0.000 description 1
- 238000004220 aggregation Methods 0.000 description 1
- 230000002547 anomalous effect Effects 0.000 description 1
- 238000012550 audit Methods 0.000 description 1
- 238000009412 basement excavation Methods 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 239000003795 chemical substances by application Substances 0.000 description 1
- 150000001875 compounds Chemical class 0.000 description 1
- 235000014510 cooky Nutrition 0.000 description 1
- 125000004122 cyclic group Chemical group 0.000 description 1
- 238000000605 extraction Methods 0.000 description 1
- 238000004374 forensic analysis Methods 0.000 description 1
- 238000007689 inspection Methods 0.000 description 1
- 230000009545 invasion Effects 0.000 description 1
- 230000007774 longterm Effects 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 238000003012 network analysis Methods 0.000 description 1
- 238000004806 packaging method and process Methods 0.000 description 1
- 230000000737 periodic effect Effects 0.000 description 1
- 238000007781 pre-processing Methods 0.000 description 1
- 238000010223 real-time analysis Methods 0.000 description 1
- 238000011160 research Methods 0.000 description 1
- 238000007619 statistical method Methods 0.000 description 1
- 230000007474 system interaction Effects 0.000 description 1
- 238000012360 testing method Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1491—Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/554—Detecting local intrusion or implementing counter-measures involving event detection and direct action
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/02—Capturing of monitoring data
- H04L43/028—Capturing of monitoring data by filtering
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/08—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
- H04L43/0876—Network utilisation, e.g. volume of load or congestion level
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/10—Active monitoring, e.g. heartbeat, ping or trace-route
- H04L43/106—Active monitoring, e.g. heartbeat, ping or trace-route using time related information in packets, e.g. by adding timestamps
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- Computing Systems (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Cardiology (AREA)
- Environmental & Geological Engineering (AREA)
- Virology (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及一种工控蜜网诱捕方法,更具体的说,尤其涉及一种基于蜜罐技术和计算机动态取证技术的分布式可切换工控蜜网诱捕方法,捕获入侵者对工业系统的攻击行为,并通过行为特征库比对和定制木马技术溯源入侵者的身份。包括以下步骤:(1)第三代网络数据采集引擎(Colasoft Packet Capture Engine,简称CSPCE)和底层驱动(支持Windows与Linux双平台)对数据进行采集;(2)将PCAP文件中的数据包以及数据包的时间戳读取出来并导入;(3)使用存储引擎(Colasoft Storage,简称CSStorage)技术对数据进行储存;(4)特征识别技术以及行为模式识别技术对数据进行回溯分析。
Description
技术领域
本发明涉及一种工控蜜网诱捕方法,更具体的说,尤其涉及一种 基于蜜罐技术和计算机动态取证技术的分布式可切换工控蜜网诱捕 方法。
背景技术
在复杂的网络安全形势下,建立完全自主可控的分布式可切换工 控蜜网诱捕系统将势在必行,不仅能够摆脱对海外产品的依赖,而且 能够建立国内自主知识产权的工控蜜网诱捕核心技术创新与产品研 发。同时,通过对分布式可切换工控蜜网诱捕系统的分析,能够对恶 意监听、入侵、后门进行反监测,能够及时发现异常的通讯并可进行 追溯与取证,提高我国在网络安全技术领域的发言权。
发明内容
本发明为了克服上述技术问题的短板,提供了一种分布式可切换工控 蜜网诱捕方法并可满足诱捕网络攻击行为的需求。
本发明的可切换工控蜜网诱捕方法,其特别之处在于,本方法包 括了以下步骤:(1)数据全流量采集;(2)数据包离线导入;(3)数据存 储;(4)数据分析与输出;
在步骤(1)中,利用自主研发的采集引擎支持从百兆到上千兆网 络环境下的流量线速采集,能够为系统上层的数据分析提供真实可靠 的数据源。在采集过程中,引擎会根据流量大小自动调整抓包策略, 当出现突发性流量峰值时,自动提高引擎缓存数量与大小,确保峰值 数据不丢失,采集到的数据进行协议数据预处理,通过配合数据包协 议识别引擎(Colasoft Protocol Recognize Engine,简称CSPRE) 协议识别引擎进行数据包协议树路径描绘,并在原有数据包中附上识 别信息供后续分析引擎的高效利用。同时采集引擎支持数据包过滤采 集,利用TRE协议识别过滤模块或按需实时过滤流量中的P2P,根据上层规则配置进行针对性的采集,包括特定协议(如:HTTP、DNS、FTP、 ICMP等),特定地址、网络层端口及特定包长进行快速过滤。
在步骤(2)中,数据包读包回放通过解析PCAP文件格式,将PCAP 文件中的数据包以及数据包的时间戳读取出来,并将数据进行封装后 利用为了保证数据的一致性,利用无锁队列批量发送到上层模块。
在步骤(3)中,使用数据存储引擎充分利用CPU多核化带来的并 行运算效率的提升,采用了多线程并行IO处理技术,减少无谓的IO 读写,提高IO读写效率。
在步骤(4)中,通过接收存储的数据,并利用步骤(1)的数据包协 议识别引擎分析对数据进行关键特征以及行为特征的提取,后利用复 合威胁检测引擎,利用DFI、DPI、行为建模等多种检测技术,及时 发现并解决安全威胁,并将结果导出为csv格式。
本发明的可切换工控蜜网诱捕方法,所述步骤(1)中采用自主研 发的第三代网络数据采集引擎(Colasoft Packet Capture Engine, 简称CSPCE)和底层驱动(支持Windows与Linux双平台)。采集引擎支 持从百兆到上千兆网络环境下的流量线速采集,能够为系统上层的数 据分析提供真实可靠的数据源。
本发明的可切换工控蜜网诱捕方法,所述步骤(2)中采用解析 PCAP文件格式,将PCAP文件中的数据包以及数据包的时间戳读取出 来,并将数据按照内部统一标准格式进行封装后利用无锁队列批量发 送到上层模块。
本发明的可切换工控蜜网诱捕方法,所述步骤(3)中采用自主研 发的数据存储引擎(Colasoft Storage,简称CSStorage)技术,存 储架构基于分布式存储平台设计,能够支持大容量的数据完整存储能 力,同时可支持更大存储空间的平滑扩容,且支持1000Mbps~20000Mbps网络流量的实时采集和分析,最大支持万兆骨干链路大流 量时的线速分析能力。
本发明的可切换工控蜜网诱捕方法,所述步骤(4),支持7×24 小时数据采集与分析,能够对一段时间范围内的通讯数据进行智能统 计与分析,并对网络运行关键参数(利用率,流量,数据包数,TCP Flags)进行采样,得出这些参数的标准基线。
附图说明
图1为本发明的可切换工控蜜网诱捕系统的数据实时采集功能 的架构设计图;
图2为本发明的可切换工控蜜网诱捕系统的DPDK基本架构图;
图3为本发明的可切换工控蜜网诱捕系统的PF_RING基本架构图
图4为本发明的可切换工控蜜网诱捕系统的为数据基本分析流 程图;
图5为本发明的可切换工控蜜网诱捕系统的网络数据统计分析 的存储流程图;
图6为本发明的可切换工控蜜网诱捕系统的网络的系统交互过 程图;
具体实施方式
下面结合附图与实施例对本发明作进一步说明。
本发明提供的分布式可切换工控蜜网诱捕方法,基于Linux平台 设计,以旁路部署pf-ring及dpdk两种采集模式,采集用户的实时 流量进行分析和存储的协议解析与回溯分析。
数据包采集是整个系统的数据源入口,其借助开源网络数据包采 集引起实现网络流量采集,系统同时支持DPDK、PF_RING两种实时数 据包采集和读包回放共三种数据包采集模式,在高速网络带宽情况下 使用DPDK作为流量采集引擎,在不支持DPDK硬件环境下可以使用 PF_RING作为替代的流量采集引擎,当在数据离线分析或者测试情况 下时还提供了数据包读包功能。如图1所示用DPDK和PF_RING方式 进行实时数据采集,支持同时对多个网卡进行采集。DPDK主要基于 用户态模式的PMD驱动,去除中断,避免内核态和用户态内存拷贝, 减少系统开销,同时结合hugepage、线程绑定和无锁数并发等技术, 从而大幅提升I/O吞吐能力,DPDK基本架构入如图2,在实现上,通 过将DPDK封装成内部统一的采集模块。为了最大限度的避免网络丢 包,每个网络采集链路都独占一个CPU线程来进行数据包采集。数据 包采集后封装为内部统一的数据包结构,然后里面多线程无锁队列批 量发往链路汇聚模块,整个接口和数据结构对上层透明。
PF_RING是基于零拷贝和linux内核补丁技术实现被广泛使用的 一种高性能数据包采集技术,由于是基于linux系统本身机制实现的, 所以其具有较好的系统和硬件兼容性,同时性能也有一定的保证, PF_RING基本架构如图3,在封装调用上PF_RING与DPDK一致,同样 将采集的数据包封装内部统一格式,利用无锁队列发送给上次模块。
数据包读包回放通过解析PCAP文件格式,将PCAP文件中的数据 包以及数据包的时间戳读取出来,并将数据按照内部统一标准格式进 行封装后利用无锁队列批量发送到上层模块。
为保证后期的数据回溯分析搭配采用了自主研发的数据存储引 擎(ColasoftStorage,简称CSStorage)技术,存储架构基于分布 式存储平台设计,能够支持大容量的数据完整存储能力,同时可支持 更大存储空间的平滑扩容,为课题产品后期的历史问题回溯分析以及 安全事件追踪取证提供真实的数据来源。存储引擎充分利用CPU多核 化带来的并行运算效率的提升,采用了多线程并行IO处理技术,减 少无谓的IO读写,提高IO读写效率。下图为引擎内部关键流程实现。 系统支持1000Mbps~20000Mbps网络流量的实时采集和分析,最大支 持万兆骨干链路大流量时的线速分析能力。
存储引擎将数据采集引擎传递过来的数据包进行归类整理,按以 下四类进行分类存储。
配合网络统计模块将流量根据不同的时间桶(秒桶,分钟桶,小 时桶,天桶)进行智能统计与合并,方便后期回溯分析时的高效检索 与挖掘。系统实时分析、统计和存储各种网络通讯数据,如协议统计、 总流量、广播/组播流量、上行/下行流量、数据包、利用率等多种网 络数据,帮助用户快速了解和掌握网络运行状态,及时发现异常数据。
数据包是网络通讯最真实、最原始的数据,系统支持全万兆流量 的数据包长期存储功能,全面保存所有通讯的数据包。同时,系统具 备灵活的扩展性,可以通过增加服务器的存储空间以满足存储容量增 加的需求。存储引擎将各种数据包(64字节~1518字节)和非法格式 的数据包进行统一归类保存。
上层高级分析模块产生的日志类数据,包括警报日志、审计日志, 安全分析日志,应用通讯等日志进行存储并可根据规则进行删减存储。
为确保存储空间的循环利用,引擎能根据时间先后顺序进行有序 清理,确保以上各类数据的时效性和一致性。
网络通讯元数据是分析网络问题的关键数据之一,通过对网络会 话的存储,用户可以查看和了解任意时间的网络会话信息,看懂网络 通信内容,及时发现异常的通讯会话,快速查找各种网络问题。
如图4所示数据分析技术主要包括特征识别技术以及行为模式 识别技术。
互联网通讯协议众多,不同的应用通常会采用不同的协议,而各 种协议都有其特殊的指纹,这些指纹可能是特定的端口、特定的字符 串或者特定的Bit序列。基于特征字的识别技术,正是通过识别数据 报文中的指纹信息来确定业务所承载的应用以及该应用是否存在异 常。
行为模型检测技术能够智能分析数据流的通讯行为特征并建立 行为识别模型。行为特征能够针对源地址、目的地址、源端口、目地 端口、发送时间、接收时间、发送时间频率(时间差)等信息进行综 合分析,建立综合的识别模型,以作为对异常网络通讯的判断依据。
行为模型检测技术能够智能分析数据流的通讯行为特征并建立 行为识别模型。行为特征能够针对源地址、目的地址、源端口、目地 端口、发送时间、接收时间、发送时间频率(时间差)等信息进行综 合分析,建立综合的识别模型,以作为对异常网络通讯的判断依据。
网络攻击越来越隐蔽,传统的单纯基于特征匹配的技术无法发现 隐藏在正常流量中的高级攻击。但攻击行为总会产生网络通信的异常, 这些异常产生的原因主要是因为攻击行为产生的数据一定异于正常 的业务行为产生的数据,我们只需要从原始网络流中将这些异常的行 为数据和正常业务区分出来,就能够发现攻击行为。在这种情况下, 研发复合威胁检测引擎,利用DFI、DPI、行为建模等多种检测技术打 造立体化多维度攻击行为检测引擎。即帮助用户及时发现主动外联、 违规操作、越权访问等流式的威胁事件,又通过深度包检测技术帮助 用户发现木马通讯、隐蔽信道、后门激活、shellcode等基于特征匹配的威胁事件,还通过复杂的流间行为关联建模,建立时序型模型或 周期性模型,帮助用户发现高级网络异常通讯行为。
异常流量检测引擎使用几十种流量统计参数作为警报条件,可对 IP地址、IP会话、协议、网络应用或网段等网络对象的多个流量统计 指标进行实时监控,一旦复合指标达到预先设置的阈值,系统会自动 触发相应的流量告警。从而帮助用户建立对主机、业务系统、网段、 应用的实时监控,及时感知主动外联、违规操作、越权访问、流量异 常等异常行为。
数据包特征值检测引擎使用DPI检测技术,使用了我司自有的业 界领先协议解析识别引擎,通过IP、端口、协议、应用、数据包大小、 数据包标志位以及数据包有效载荷组合对捕获到的数据包进行深度 检测,即支持对可疑域名、可疑IP等使用传统IDS检测技术的检测, 也支持对深度包传输数据流特征和内容的检测,从而发现隐藏在网络 数据流中的新型攻击。
行为建模引擎支持200多种元数据字段的提取,其中有重要的 TCP/IP的头部数据结构、重要的协议的关键字段、全局变量字段(包 长、会话大小、源目IP、IP归属地、时间、IP头部、TCP头部关键字 段等几十种)、特定协议如ICMP的重要关键元数据、HTTP协议的IP、URL、Method、Referer、User-Agent、Cookie、Args字段等。通过对 提取的元数据字段使用简单、轻量级的语法规则描述语言,如INT64、BOOL、STRING、BYTE等十几种语法类型,同时支持各种主要的通配符 和操作符,支持复杂的逻辑关系组合,实现各种类型的网络行为配置,用户可根据对业务的准确理解,紧密贴合网络专属场景,建立准确定 义异常的行为模型,识别流量的异常行为与隐蔽风险,结合应用事件 关联与自定义实体网络分析,从大量的网络流数据中找出异常的通信 行为,打造专属的检测规则体系。
如图5所示的数据统计,统计数据时的数据量相比数据包要小一 些,而且统计数据的价值在大部分时候要比数据包本身的价值更大, 能够在取证分析中起到决定性作用,故需要能保存以月为单位的时间 长度。
统计的结果存入磁盘后,能够在指定的时间段内进行快速查询。
将查询的数据导出到文件中可利用其他工具进行更为复杂和精 细的分析,主要支持csv格式,并且要支持拆分为多文件导出。
统计表记录中的重点字段可以关联到数据包,进行数据包下载, 例如分析到某个具体的可疑IP时,可以下载这个IP的原始数据包。
硬件磁盘资源有限,统计数据的存储也会消耗大量磁盘,需要为 用户提供分配多大磁盘空间给统计结果的功能。
如图6所示,整个可切换工控蜜网诱捕方法围绕工控系统信息安 全“诱捕-分析-溯源-应用”的思路展开研究,建立工控系统诱捕模 型,通过攻击行为分析攻击特征,根据攻击特征追溯攻击对象,最终 针对攻击统计对工控系统进行漏洞防护。
Claims (7)
1.网络分布式可切换工控蜜网诱捕方法,其特征在于,依次包括以下步骤:
(1)数据全流量采集;
(2)数据包离线导入;
(3)数据存储;
(4)数据分析与输出。
2.根据权利要求1所述的分布式可切换工控蜜网诱捕方法其特征在于:所述步骤(1)中第三代网络数据采集引擎(Colasoft Packet Capture Engine,简称CSPCE)和底层驱动(支持Windows与Linux双平台)对数据进行采集。
3.根据权利要求1或2所述的的分布式可切换工控蜜网诱捕方法,其特征在于:所述步骤(2)中可以将PCAP文件中的数据包以及数据包的时间戳读取出来,并将数据按照内部统一标准格式进行封装后利用无锁队列批量发送到上层模块。
4.根据权利要求1或2所述的分布式可切换工控蜜网诱捕方法,其特征在于:所述步骤(3)中,使用存储引擎(Colasoft Storage,简称CSStorage)技术对数据进行储存。
5.根据权利要求1或2所述的分布式可切换工控蜜网诱捕方法,其特征在于:所述步骤(4)中,包括特征识别技术以及行为模式识别技术。
6.根据权利要求1或5,所述特征识别技术其特征在于,利用的是基于特征字的识别技术。
7.据权利要求1或5,所述模式识别技术其特征在于,利用对源地址、目的地址、源端口、目地端口、发送时间、接收时间、发送时间频率(时间差)等信息进行综合分析,建立综合的识别模型,以作为对异常网络通讯的判断依据。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111418897.6A CN114157467B (zh) | 2021-11-25 | 2021-11-25 | 分布式可切换工控蜜网诱捕方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111418897.6A CN114157467B (zh) | 2021-11-25 | 2021-11-25 | 分布式可切换工控蜜网诱捕方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN114157467A true CN114157467A (zh) | 2022-03-08 |
| CN114157467B CN114157467B (zh) | 2024-06-04 |
Family
ID=80458031
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202111418897.6A Active CN114157467B (zh) | 2021-11-25 | 2021-11-25 | 分布式可切换工控蜜网诱捕方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114157467B (zh) |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6965574B1 (en) * | 2001-06-20 | 2005-11-15 | Arbor Networks, Inc. | Network traffic data collection and query |
| CN107196910A (zh) * | 2017-04-18 | 2017-09-22 | 国网山东省电力公司电力科学研究院 | 基于大数据分析的威胁预警监测系统、方法及部署架构 |
| CN109474607A (zh) * | 2018-12-06 | 2019-03-15 | 连云港杰瑞深软科技有限公司 | 一种工业控制网络安全保护监测系统 |
| CN110401642A (zh) * | 2019-07-10 | 2019-11-01 | 浙江中烟工业有限责任公司 | 一种工控流量的采集与协议解析方法 |
| CN111885067A (zh) * | 2020-07-28 | 2020-11-03 | 福建奇点时空数字科技有限公司 | 一种面向流量的集成式蜜罐威胁数据捕获方法 |
| CN112532690A (zh) * | 2020-11-04 | 2021-03-19 | 杭州迪普科技股份有限公司 | 一种报文解析方法、装置、电子设备及存储介质 |
| CN112866185A (zh) * | 2019-11-28 | 2021-05-28 | 海信集团有限公司 | 网络流量监控设备和异常流量检测方法 |
-
2021
- 2021-11-25 CN CN202111418897.6A patent/CN114157467B/zh active Active
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6965574B1 (en) * | 2001-06-20 | 2005-11-15 | Arbor Networks, Inc. | Network traffic data collection and query |
| CN107196910A (zh) * | 2017-04-18 | 2017-09-22 | 国网山东省电力公司电力科学研究院 | 基于大数据分析的威胁预警监测系统、方法及部署架构 |
| CN109474607A (zh) * | 2018-12-06 | 2019-03-15 | 连云港杰瑞深软科技有限公司 | 一种工业控制网络安全保护监测系统 |
| CN110401642A (zh) * | 2019-07-10 | 2019-11-01 | 浙江中烟工业有限责任公司 | 一种工控流量的采集与协议解析方法 |
| CN112866185A (zh) * | 2019-11-28 | 2021-05-28 | 海信集团有限公司 | 网络流量监控设备和异常流量检测方法 |
| CN111885067A (zh) * | 2020-07-28 | 2020-11-03 | 福建奇点时空数字科技有限公司 | 一种面向流量的集成式蜜罐威胁数据捕获方法 |
| CN112532690A (zh) * | 2020-11-04 | 2021-03-19 | 杭州迪普科技股份有限公司 | 一种报文解析方法、装置、电子设备及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN114157467B (zh) | 2024-06-04 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN112468370B (zh) | 一种支持自定义规则的高速网络报文监测分析方法及系统 | |
| CN111277578B (zh) | 加密流量分析特征提取方法、系统、存储介质、安全设备 | |
| CN102594625B (zh) | 一种apt智能检测分析平台中的白数据过滤方法及系统 | |
| CN101924757B (zh) | 追溯僵尸网络的方法和系统 | |
| CN112769821A (zh) | 一种基于威胁情报和att&ck的威胁响应方法及装置 | |
| US9584533B2 (en) | Performance enhancements for finding top traffic patterns | |
| US20060212942A1 (en) | Semantically-aware network intrusion signature generator | |
| CN105103496A (zh) | 用于提取和保存用于分析网络通信的元数据的系统和方法 | |
| Honig et al. | Adaptive model generation: An architecture for deployment of data mining-based intrusion detection systems | |
| CN106815112A (zh) | 一种基于深度包检测的海量数据监控系统及方法 | |
| CN110958231A (zh) | 基于互联网的工控安全事件监测平台及其方法 | |
| CN116800536A (zh) | 一种基于大数据分析的网络安全监测系统 | |
| CN104022924A (zh) | 一种http通信内容检测的方法 | |
| CN115134250B (zh) | 一种网络攻击溯源取证方法 | |
| CN113590910A (zh) | 一种网络流量检索方法和装置 | |
| EP1744235A1 (en) | Method and system for virus detection based on finite automata | |
| CN112688932A (zh) | 蜜罐生成方法、装置、设备及计算机可读存储介质 | |
| CN109040028B (zh) | 一种工控全流量分析方法及装置 | |
| US20060005241A1 (en) | System security approaches using state tables | |
| CN114327833A (zh) | 一种基于软件定义复杂规则的高效流量处理方法 | |
| Coppens et al. | Scampi-a scaleable monitoring platform for the internet | |
| Chi | Intrusion detection system based on snort | |
| CN114598499A (zh) | 结合业务应用的网络风险行为分析方法 | |
| CN114157467B (zh) | 分布式可切换工控蜜网诱捕方法 | |
| KR101615587B1 (ko) | 전자전에서 사이버 공격 탐지와 분석을 위한 dpi 구현 시스템 및 이의 구현 방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |