CN114500026A - 一种网络流量处理方法、装置及存储介质 - Google Patents
一种网络流量处理方法、装置及存储介质 Download PDFInfo
- Publication number
- CN114500026A CN114500026A CN202210065705.6A CN202210065705A CN114500026A CN 114500026 A CN114500026 A CN 114500026A CN 202210065705 A CN202210065705 A CN 202210065705A CN 114500026 A CN114500026 A CN 114500026A
- Authority
- CN
- China
- Prior art keywords
- honeypot
- flow
- target
- network
- network traffic
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000003672 processing method Methods 0.000 title claims description 13
- 238000001514 detection method Methods 0.000 claims abstract description 75
- 238000000034 method Methods 0.000 claims abstract description 55
- 238000005111 flow chemistry technique Methods 0.000 claims abstract description 13
- 238000012545 processing Methods 0.000 claims description 16
- 230000008569 process Effects 0.000 claims description 14
- 238000004458 analytical method Methods 0.000 claims description 12
- 230000009286 beneficial effect Effects 0.000 abstract description 2
- 230000006399 behavior Effects 0.000 description 59
- 238000005516 engineering process Methods 0.000 description 24
- 230000006870 function Effects 0.000 description 13
- 238000002347 injection Methods 0.000 description 9
- 239000007924 injection Substances 0.000 description 9
- 235000012907 honey Nutrition 0.000 description 8
- 230000003993 interaction Effects 0.000 description 8
- 230000000694 effects Effects 0.000 description 5
- 238000010586 diagram Methods 0.000 description 4
- 238000012038 vulnerability analysis Methods 0.000 description 4
- 230000009471 action Effects 0.000 description 3
- 238000007726 management method Methods 0.000 description 3
- 230000007246 mechanism Effects 0.000 description 3
- 230000003068 static effect Effects 0.000 description 3
- 241000700605 Viruses Species 0.000 description 2
- 230000008859 change Effects 0.000 description 2
- 238000004891 communication Methods 0.000 description 2
- 230000006378 damage Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 230000035515 penetration Effects 0.000 description 2
- 230000002265 prevention Effects 0.000 description 2
- 239000000523 sample Substances 0.000 description 2
- 239000000243 solution Substances 0.000 description 2
- 238000013519 translation Methods 0.000 description 2
- 229920001872 Spider silk Polymers 0.000 description 1
- 230000003542 behavioural effect Effects 0.000 description 1
- 238000004590 computer program Methods 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 239000003999 initiator Substances 0.000 description 1
- 238000007689 inspection Methods 0.000 description 1
- 230000010354 integration Effects 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000005192 partition Methods 0.000 description 1
- 230000000750 progressive effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1491—Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请公开了一种网络流量处理方法,应用于安全设备,包括:检测网络流量的流量特征;其中,所述流量特征包括攻击行为检测结果和/或预设访问资源;根据所述流量特征生成对应的目标引流策略;其中,所述目标引流策略包括所述流量特征对应的蜜罐;根据所述目标引流策略将所述网络流量重定向至相应蜜罐。本申请能够提高蜜罐系统对攻击流量的诱捕效率。本申请还公开了一种网络流量处理装置及一种电子设备,具有以上有益效果。
Description
技术领域
本申请涉及网络安全技术领域,特别涉及一种网络流量处理方法、装置及存储介质。
背景技术
蜜罐是一个虚拟的系统或网络,专门用于诱骗黑客;蜜罐能够发现、保存和分析计算机系统上黑客留下的蛛丝马迹,并随时跟踪黑客行踪,进而了解黑客使用的最新技术和工作思路。通过获取这些技能,将会更好地理解网络系统所遇到的威胁,并且理解如何防止这些威胁,从而在与黑客的战争中获得最大的主动权。
相关技术中,主要通过静态部署蜜罐业务来被动的等待攻击者的访问。在真实的黑客渗透过程中,涉及的业务点和技术面非常广泛,不同的黑客掌握的技术手段和漏洞等也都不相同。因此上述静态部署蜜罐业务的方式诱捕攻击流量捕获的效率较低。
因此,如何提高蜜罐系统对攻击流量的诱捕效率是本领域技术人员目前需要解决的技术问题。
发明内容
本申请的目的是提供一种网络流量处理方法、装置及一种存储介质,能够提高蜜罐系统对攻击流量的诱捕效率。
为解决上述技术问题,本申请提供一种网络流量处理方法,应用于安全设备,该网络流量处理方法包括:
检测网络流量的流量特征;其中,所述流量特征包括攻击行为检测结果和/或预设访问资源;
根据所述流量特征生成对应的目标引流策略;其中,所述目标引流策略包括所述流量特征对应的蜜罐;
根据所述目标引流策略将所述网络流量重定向至相应蜜罐。
可选的,若所述流量特征包括所述攻击行为检测结果,且所述攻击行为检测结果为存在攻击行为,则根据所述流量特征生成对应的目标引流策略包括:
确定所述攻击行为检测结果中的攻击特征标识;
根据攻击特征标识与引流策略的对应关系生成所述目标引流策略。
可选的,所述预设访问资源为目标设备的闲置资源。
可选的,若所述流量特征包括所述预设访问资源,根据所述流量特征生成对应的目标引流策略,包括:
根据所述预设访问资源与引流策略的对应关系生成所述目标引流策略。
可选的,在根据所述目标引流策略将所述网络流量重定向至相应蜜罐之后,还包括:
判断所述蜜罐对应的预设访问资源是否被使用;
若是,则销毁所述蜜罐和/或所述目标引流策略。
可选的,在根据所述流量特征生成对应的目标引流策略之后,还包括:
判断所述目标引流策略与原引流策略是否存在冲突;
若是,则将与所述目标引流策略存在冲突的原引流策略进行销毁。
可选的,在根据所述目标引流策略将所述网络流量重定向至相应蜜罐之后,还包括:
将与所述网络流量处于同一个连接内的其他网络流量重定向至所述目标蜜罐。
本申请还提供了一种网络流量处理方法,应用于蜜罐系统,包括:
接收目标引流策略重定向的网络流量,对所述网络流量执行收集、分析和/或处理;
其中,所述目标引流策略的生成过程包括:检测所述网络流量的流量特征,根据所述流量特征生成对应的目标引流策略;所述流量特征包括攻击行为检测结果和/或预设访问资源,所述目标引流策略包括所述流量特征对应的蜜罐。
进一步的,在接收目标引流策略重定向的网络流量之前,还包括:
接收蜜罐配置信息,并根据所述蜜罐配置信息配置对应的蜜罐;其中,所述蜜罐配置信息包括功能子模块。
本申请还提供了一种网络流量处理装置,应用于安全设备,包括:
流量检测模块,用于检测网络流量的流量特征;其中,所述流量特征包括攻击行为检测结果和/或预设访问资源;
策略生成模块,用于根据所述流量特征生成对应的目标引流策略;其中,所述目标引流策略包括所述流量特征对应的蜜罐;
流量重定向模块,用于根据所述目标引流策略将所述网络流量重定向至相应蜜罐。
本申请还提供了一种网络流量处理装置,应用于蜜罐系统,包括:
流量处理模块,用于接收目标引流策略重定向的网络流量,对所述网络流量执行收集、分析和/或处理;
其中,所述目标引流策略的生成过程包括:检测所述网络流量的流量特征,根据所述流量特征生成对应的目标引流策略;所述流量特征包括攻击行为检测结果和/或预设访问资源,所述目标引流策略包括所述流量特征对应的蜜罐。
本申请还提供了一种存储介质,所述存储介质中存储有计算机可执行指令,所述计算机可执行指令被处理器加载并执行时,实现如上述网络流量处理方法的步骤。
本申请提供了一种网络流量处理方法,应用于安全设备,包括:检测网络流量的流量特征;其中,所述流量特征包括攻击行为检测结果和/或预设访问资源;根据所述流量特征生成对应的目标引流策略;其中,所述目标引流策略包括所述流量特征对应的蜜罐;根据所述目标引流策略将所述网络流量重定向至相应蜜罐。
本申请识别网络流量中的流量特征,并根据所述流量特征生成对应的目标引流策略。上述流量特征可以包括判断是否存在攻击行为的攻击行为检测结果,也可以包括网络流量对预设资源的访问情况,因此本申请根据流量特征生成的目标引流策略能够将网络流量重定向至对应的蜜罐中,进而主动为黑客提供其熟悉技术的蜜罐,使其陷入到蜜罐中,提高了蜜罐系统对攻击流量的诱捕效率。本申请同时还提供了一种网络流量处理装置及一种电子设备,具有上述有益效果,在此不再赘述。
附图说明
为了更清楚地说明本申请实施例,下面将对实施例中所需要使用的附图做简单的介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本申请实施例所提供的一种网络流量处理方法的流程图;
图2为本申请实施例所提供的一种web应用防火墙的结构示意图;
图3为本申请实施例所提供的一种网络流量处理装置的结构示意图。
具体实施方式
为使本申请实施例的目的、技术方案和优点更加清楚,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
下面请参见图1,图1为本申请实施例所提供的一种网络流量处理方法的流程图,本实施例可以包括以下步骤:
S101:检测网络流量的流量特征。
其中,本实施例可以应用于防火墙、等保一体机、安全路由器等安全设备,在本步骤之前可以存在获取目标设备的网络流量的操作。
具体地,在目标设备,及与目标设备交互的交互设备之间进行通信的情况下,所述目标设备向交互设备发送的数据包,或者交互设备向目标设备发送的数据包都可以称为网络流量。
本实施例中,所述安全设备可以部署在目标设备、与该目标设备交互的交互设备之间,比如以网关方式部署,不管是目标设备发往交互设备的数据包,还是交互设备发往目标设备的数据包均会经过安全设备,安全设备可以截获经过其的网络流量。
在一些其他的实施例中,所述安全设备还可以以旁路部署的方式部署在目标设备处,比如,可以在目标设备上安装插件,该插件用来获取目标设备与交互设备之间通信的数据包镜像的网络流量,将该镜像的网络流量发送到安全设备。当然,还可以在目标设备的出口处安装探针设备,探针设备用来获取目标设备与交互设备之间通信的数据包镜像的网络流量,将该镜像的网络流量发送到安全设备。
所述流量特征用于描述网络流量之间的差异的特征信息,该差异可以对应生成不同的目标引流策略。本实施例中,所述流量特征可以包括攻击行为检测结果和/或预设访问资源。当然,在一些其他的实施例中,所述流量特征还可以包括流量类型、流量发送端的IP地址等,在此不做限定。上述流量类型用于描述网络流量的种类,流量类型可以存在多种划分标准,例如可以按照五元组或业务类型(如通信业务、数据检索业务等)划分流量类型。
具体的,本实施例可以对网络流量进行流量检测以便识别网络流量中的攻击行为得到攻击行为检测结果,所述攻击行为检测结果可以用于表征所述目标设备所遭受攻击的攻击类型,比如,SQL注入攻击、webshell后门攻击等。其中,可以通过IPS(IntrusionPrevention System,入侵防御系统)、IDS(Intrusion Detection System,入侵检测系统)和/或WAF(Web Application Firewalls,web应用防火墙)等检测引擎对网络流量进行检测。作为一种可行的实施方式,上述检测引擎可以采用规则检测方式来识别攻击行为,还可以采用行为分析方式识别攻击行为,还可以采用AI智能分析方式识别攻击行为,在此不做限定。
安全设备还可以对网络流量进行解析,比如根据网络流量对应协议解析获得网络流量对应字段,获取预设访问资源。所述预设访问资源可以是网络流量访问目的所在终端相关的访问资源,也可以是目标终端自身相关的访问资源。
本实施例中,所述预设访问资源可以是用户预先设置。所述用户可以为购买安全设备的客户,还可以为安全设备所在厂商的技术人员,在此不做限定。在一些其他的实施例中,所述预设访问资源还可以为安全设备按照预设规则设置的资源。另外,预设访问资源可以动态更新,以提高网络流量处理的灵活性。上述预设规则可以由用户自行定义,例如预设规则可以包括预设访问资源的IP地址需要在特定网段内,预设规则也可以包括预设访问资源的使用频率小于预设频率(如1次/小时),在此不对预设规则进行具体的限定。
S102:根据所述流量特征生成对应的目标引流策略。
不同的流量特征对应不同的目标引流策略,且所述目标引流策略中包括所述流量特征对应的蜜罐。
具体地,预先设置有不同的蜜罐,且为了增加蜜罐的诱捕效果,针对不同的流量特征设置不同的蜜罐,以满足不同类型的攻击者,更准确、更主动的提供攻击者熟悉的技术的蜜罐,使其更容易陷入到蜜罐中。
本实施例中,可以根据不同的攻击类型预先设置不同的蜜罐。例如,SQL注入攻击对应蜜罐A,蜜罐A是针对SQL注入攻击的攻击手法设置的;webshell后门攻击对应蜜罐B,蜜罐B是针对webshell后门攻击的攻击手法设置的,等等。
在一些其他的实施例中,还可以根据不同的预设访问资源预先设置不同的蜜罐。例如,数据查询网页的URL对应蜜罐C,蜜罐C是针对访问数据查询网页的URL的网络流量设置的;财务部门的服务器端口对应蜜罐D,蜜罐D是针对访问财务部门的服务器端口的网络流量设置的,等等。
其中,本实施例可以识别网络流量中的攻击行为(比如SQL注入、webshell后门等),进而根据攻击行为确定相应的目标引流策略。本实施例生成的目标引流策略可以伪装客户路径、IP地址等资源,无需改动客户系统,具有无缝对接客户系统以及无误报的特点。本实施例还可以识别网络流量中是否包含预设访问资源,如URL(uniform resourcelocator,统一资源定位符)、IP地址、端口,在包含上述预设资源的情况下可以生成相应的目标引流策略。
S103:根据所述目标引流策略将所述网络流量重定向至相应蜜罐。
其中,本实施例可以为每一引流策略设置对应的蜜罐,在生成目标引流策略之后,可以确定与目标引流策略对应的蜜罐,进而利用目标引流策略将网络流量重定向至相应蜜罐,以便蜜罐对攻击行为的流量进行诱捕。作为一种可行的实施方式,本实施例可以利用所述目标引流策略对网络流量执行HTTP重定向操作,以便将网络流量引流至与所述目标引流策略对应的蜜罐。在一些其他的实施例还可以利用所述目标引流策略对网络流量执行DNAT(Destination Network Address Translation,目的地址转换)重定向操作,以便将网络流量引流至与所述目标引流策略对应的蜜罐。在将网络流量引流至蜜罐后,本实施例可以利用蜜罐对网络流量的行为进行分析,进而了解网络攻击者使用的技术和攻击思路,以便提升安全设备的防护能力。
HTTP重定向包括永久重定向和临时重定向,在HTTP重定向过程中若接收到网络流量,则返回地址信息提示新的地址,以便网络流量按照新的地址进行访问,进而将网络流量重定向至蜜罐中。DNAT(Destination Network Address Translation,目的地址转换)重定向可以将将一组本地内部的地址映射到一组全球地址,当网络流量访问安全设备的公网IP地址,安全设备的公网IP地址转发到后端内网的IP地址和端口上,表面上网络流量访问的是安全设备的公网IP地址和端口,但是实际访问的是后端内网的IP地址和端口,进而将网络流量重定向至蜜罐中。
本实施例识别网络流量中的流量特征,并根据所述流量特征生成对应的目标引流策略。上述流量特征可以包括判断是否存在攻击行为的攻击行为检测结果,也可以包括网络流量对预设资源的访问情况,因此本实施例根据流量特征生成的目标引流策略能够将网络流量重定向至对应的蜜罐中,进而主动为黑客提供其熟悉技术的蜜罐,使其陷入到蜜罐中,提高了蜜罐系统对攻击流量的诱捕效率。
作为对于图1对应实施例的进一步介绍,上述预设访问资源可以为目标设备的闲置资源。目标设备指安全设备防护的设备,闲置资源指设备未使用的网络资源,一般情况下闲置资源不会被使用,所以正常的网络流量不会访问上述闲置资源;但是黑客在攻击之前通常会扫描目标设备的所有资源(包括正常使用的资源和闲置资源),黑客攻击会统一对上述所有资源进行攻击,在明确了目标设备闲置资源的情况下,如果接收到访问闲置资源的网络流量通常可以认为是攻击流量。此外,安全厂商可以根据用户提供的闲置资源构造蜜罐,在安全设备检测到访问闲置资源的网络流量时,可以直接将网络流量引流到相应蜜罐,以使黑客的访问行为不对用户的真实业务系统造成任何影响。
作为对于图1对应实施例的进一步介绍,流量特征可以包括攻击行为检测结果和/或预设访问资源,下面分别介绍若流量特征包括攻击行为检测结果、以及若流量特征包括预设访问资源的目标引流策略生成方式:
场景1:若流量特征包括攻击行为检测结果,判断攻击行为检测结果是否为存在攻击行为,若不存在攻击行为可以放通网络流量。若攻击行为检测结果为存在攻击行为,则可以通过以下方式生成目标引流策略:确定所述攻击行为检测结果中的攻击特征标识;根据攻击特征标识与引流策略的对应关系生成所述目标引流策略。本实施例可以预先设置每一攻击行为唯一对应的攻击特征标识,攻击特征标识用于区分不同的攻击行为。通过上述方式能够对存在攻击行为的网络流量生成目标引流策略,进而利用目标引流策略将网络流量重定向至蜜罐,避免该网络流量对设备进行攻击。本申请根据网络流量的攻击特征标识与引流策略的对应关系生成所述目标引流策略,能够为提供与网络流量的攻击行为相匹配的蜜罐,使网路流量陷入到蜜罐中,提高了蜜罐诱捕效果。
场景2:若所述流量特征包括所述预设访问资源,则可以通过以下方式生成对应的目标引流策略:根据所述预设访问资源与引流策略的对应关系生成所述目标引流策略。上述目标引流策略包括所述流量特征对应的蜜罐。预设访问资源可以为闲置资源或网络攻击流量频繁攻击(攻击频率大于预设值,如10次/小时)的资源,当网络流量访问上述预设访问资源时,说明网络流量可能为网络攻击相关的流量,可以根据所述预设访问资源与引流策略的对应关系生成所述目标引流策略。本申请根据网络流量访问的资源与引流策略的对应关系生成所述目标引流策略,能够为提供与网络流量访问的资源相匹配的蜜罐,使网路流量陷入到蜜罐中,提高了蜜罐诱捕效果。
场景3:若流量特征包括攻击行为检测结果和预设访问资源,可以使用场景1和场景2中的检测方式生成目标引流策略。若场景1和场景2生成的目标引流策略对应的蜜罐不为同一蜜罐时,可以复制网络流量,并将相同的网络流量分别输入至两个蜜罐中。通过上述方式能够通过两个蜜罐对网络流量进行分析,提高了蜜罐诱捕结果的全面性。当然,该场景下也可以按照预设选取规则从两个蜜罐中选取一个蜜罐进行网络流量重定向。上述预设选取规则可以为负载均衡原则、时间优先原则等。在负载均衡原则下,可以选取负载最小的蜜罐进行网络流量重定向,以便均衡各个蜜罐之间的业务压力。在时间优先原则下,可以选取创建时间最近的蜜罐进行网络流量重定向;创建时间越近的蜜罐的情报收集能力越强,因此基于时间优先原则选取蜜罐能够提高蜜罐诱捕效果。
作为对于图1对应实施例的进一步介绍,在根据所述目标引流策略将所述网络流量重定向至相应蜜罐之后,还可以判断所述蜜罐对应的预设访问资源是否被使用;若是,则销毁所述蜜罐和/或所述目标引流策略。预设访问资源可以为闲置资源或使用率较低的资源,由于黑客会对设备中的所有资源进行攻击,当检测到网络流量访问预设访问资源时,可以判定网络流量为攻击流量。当预设访问资源被使用时,将会存在正常的网络流量访问该预设资源,若不及时销毁所述蜜罐和/或目标引流策略将会出现攻击物件测的情况。本申请在根据所述目标引流策略将所述网络流量重定向至相应蜜罐,可以周期性检测蜜罐对应的预设访问资源是否被使用,进而可以及时对蜜罐和目标引流策略进行调整,提高了网络流量处理的可靠性。
作为对于图1对应实施例的进一步介绍,安全设备可以长时间对大量的网络流量进行处理,因此可能会出现先后生成的引流策略的流量特征相同但对应的蜜罐不相同的情况,此时两条引流策略存在冲突。本实施例可以在判定目标引流策略与原引流策略存在冲突后,将与所述目标引流策略存在冲突的原引流策略进行销毁。例如1月12日,安全设备检测到SQL注入攻击,使用引流策略1将SQL注入攻击的网络流量重定向至蜜罐A;工作人员发现蜜罐A对SQL注入攻击的攻击情报收集不全面,故在1月15日再次检测到相同的SQL注入攻击时,使用引流策略2将SQL注入攻击的网络流量重定向至蜜罐B;为了避免网络流量重定向错误,在生成引流策略2后可以销毁引流策略1。通过上述方式能够避免存在冲突的引流策略将网络流量重定向至错误的蜜罐,提高了蜜罐诱捕流量的准确性。
作为对于图1对应实施例的进一步介绍,在根据所述目标引流策略将所述网络流量重定向至相应蜜罐之后,还可以判断所述攻击行为的后续攻击流量是否全部重定向至所述目标蜜罐;若是,则销毁所述目标引流策略,以便释放所述目标引流策略对应的资源。通过上述方式在根据所述目标引流策略将所述网络流量重定向至相应蜜罐之后,同一个连接内的所有网络流量都不用执行图1对应实施例所述的检测过程,可以直接将与所述网络流量处于同一个连接内的其他网络流量重定向至该蜜罐,进而为了加快引流效率。也就是说,本实施例可以将同一连接内的所有网络流量均引流至同一蜜罐中,且该蜜罐可以为该链接的第一条网络流量重定向至的蜜罐。例如,根据网络流量A1生成目标引流策略,可以将A1重定向至目标引流策略对应的蜜罐B;A1所在的连接为C,在连接C内A1还存在其他网络流量A2、A3、……An,此时可以不执行图1对应实施例的S101~S103的操作,而是直接将A2、A3、……An重定向至该蜜罐B。
本申请实施例还提供一种网络流量处理方法,应用于蜜罐系统,在该网络流量处理方法中可以接收目标引流策略重定向的网络流量,对所述网络流量执行收集、分析和/或处理。
上述网络流量可以为安全设备利用目标引流策略重定向的网络流量,安全设备生成目标引流策略的过程包括:检测所述网络流量的流量特征,根据所述流量特征生成对应的目标引流策略;所述流量特征包括攻击行为检测结果和/或预设访问资源,所述目标引流策略包括所述流量特征对应的蜜罐。
本实施例中蜜罐系统接收目标引流策略重定向的网络流量,目标引流策略根据网络流量的流量特征确定。上述流量特征可以包括判断是否存在攻击行为的攻击行为检测结果,也可以包括网络流量对预设资源的访问情况,因此本实施例根据流量特征生成的目标引流策略能够将网络流量重定向至对应的蜜罐中,进而主动为黑客提供其熟悉技术的蜜罐,使其陷入到蜜罐中,提高了蜜罐系统对攻击流量的诱捕效率。
进一步的,在接收目标引流策略重定向的网络流量之前,还可以接收蜜罐配置信息,并根据所述蜜罐配置信息配置对应的蜜罐;其中,所述蜜罐配置信息包括功能子模块。上述,蜜罐配置信息可以由使用蜜罐的用户选择,也可以由售卖安全检测设备的安全厂家中的技术专家选择。蜜罐配置信息中包含希望蜜罐承载的安全能力(如,攻击检测功能子模块、溯源功能子模块、反制功能子模块和/或脆弱点分析子模块等),利用上述蜜罐配置信息可以配置具有不同能力的蜜罐,以使蜜罐更符合黑客的攻击手法。攻击检测功能子模块能够对网络流量的攻击类型和威胁等级进行检测,溯源功能子模块能够追溯攻击流量最初的发起者,反制功能子模块用于通过技术手段反向攻击(黑客)攻击方,脆弱点分析子模块用于确定设备中容易受到该网络流量攻击的位置(如未打补丁的软件、未添加认证的服务等)。通过上述方式可以根据实际需求对蜜罐的功能进行个性化配置,提高蜜罐对攻击流量处理能力。
上述的攻击检测功能子模块可以通过基于规则检测的技术来实现,还可以通过基于行为分析检测的技术,还可以通过基于AI智能分析检测技术来实现。在一些其他的实施例中,还可以通过其他类型的检测技术来实现,在此不做限定。其中,基于规则检测的技术包括:根据某一类型的攻击分别提取不同的规则,在接收到网络流量的情况下,将网络流量与各规则进行匹配,可以确定该网络流量对应的攻击信息;基于行为分析检测的技术包括:在接收到网络流量的情况下,提取该网络流量的行为特征(比如上行流量大小,下行流量大小,数据包发送速率,数据包发送检测和/或数据包大小等),通过行为特征来识别网络流量对应的攻击信息;基于AI智能分析检测技术包括:在接收到网络流量的情况下,提取该网络流量的特征信息(可以包括行为特征、也可以包括静态的五元组信息、还可以包括静态的协议信息等),将特征信息送入预先训练好的AI模型中来识别网络流量对应的攻击信息。
上述的反制功能子模块可以通过设置诱饵文件的方式来实现,比如,该诱饵文件中具备反制代码,该反制代码用于在黑客访问该诱饵文件的情况下,能够主动向黑客所在主机发送病毒信息,以使黑客所在主机感染病毒,实现反向攻击的效果。
上述的溯源功能子模块可以通过识别网络流量流转节点的方式来实现,可以通过网络流量识别到网络流量流转的所有节点及网络流量流转方向来识别到发起攻击的一端。比如,黑客所在主机A利用主机B向用户所在主机C发起攻击,该种情况下,网络流量流转方向为:A->B->C,则可以定位到攻击者为主机A。
上述的脆弱点分析子模块可以通过漏洞扫描和/或弱密码检测等方式来实现,在此不做过多描述。
下面通过在实际应用中的实施例说明上述实施例描述的流程。
在蜜罐技术的发展中,防御者将蜜罐伪装在业务环境周围,以达到更多的可能蜜罐访问外。为了提高蜜罐能捕获到攻击数量,需要通过蜜罐技术外的诱捕技术来增加访问蜜罐的几率。
诱捕技术有通过静态部署蜜罐业务,被动的等待攻击者进行访问,部署的形式单一,一次部署基本不会有变化。在真实的黑客渗透过程中,涉及的业务点和技术面非常广泛,不同的黑客掌握的技术手段和漏洞等也都不相同。如何能更准确,更主动的提供对应黑客熟悉的技术的蜜罐,使其陷入到蜜罐中,需要有更有效的诱捕机制。
为了解决上述诱捕机制存在的缺陷,本申请提供一种基于主动引流的蜜罐诱捕的方案,能够在静态部署蜜罐的基础上,提供一种主动引流的方式使其满足不同的攻击者,增加蜜罐诱捕的效率,保护目标资产的安全。本实施例中,基于主动引流的蜜罐诱捕的方案可以基于web应用防火墙WAF(Web Application Firewall)实现,web应用防火墙为在网络边界部署且基于网络流量检测技术的设备。web应用防火墙可以包括流量检测系统、策略生成系统、蜜罐系统和客户资源检测模块。请参见图2,图2为本申请实施例所提供的一种web应用防火墙的结构示意图。
流量检测系统部署在业务网络中的检测系统,对网络中流量进行检测,检测识别出流量中的攻击行为,根据攻击行为生成对应的关键信息(即攻击特征标识)。具有流量检测系统的产品包括但不限于IPS(Intrusion Prevention System,入侵防御系统)、IDS(Intrusion Detection System,入侵检测系统)、WAF(Web Application Firewalls,web应用防火墙)等检测引擎。流量检测系统的检测技术包括但不限于基于规则检测的技术、基于行为分析检测的技术、AI智能分析检测技术等。
策略生成系统可以生成基于DNAT的引流策略,也可以生成基于伪装URL的引流策略。策略生成系统生成的引流策略包括基于虚拟URL,虚拟IP地址、真实IP地址、虚拟端口或真实端口的引流策略。策略生成系统根据检测系统识别到的攻击流量中关键信息,生成一条对应技术的引流策略,引流策略将后续的攻击流量通过DNAT引入到对应的蜜罐系统中。
蜜罐系统即蜜罐诱捕系统,包含各种系统服务的蜜罐、伪装业务的蜜罐、以及包含攻击检测功能子模块、溯源功能子模块、反制功能子模块和/或脆弱点分析子模块等。
本实施例实现了一种应对不同攻击的诱捕机制,能够对不同的攻击自动生成策略,主动引到关联蜜罐中,根据攻击者的手法情况匹配更合适的蜜罐。通过上述方式使攻击更加容易沉迷在自己熟悉的技术对应蜜罐中,自动增加策略避免了人为介入的需要,大大节省运维成本。
请参见图3,图3为本申请实施例所提供的一种网络流量处理装置的结构示意图,该装置可以应用于安全设备,具体包括:
流量检测模块301,用于检测网络流量的流量特征;其中,所述流量特征包括攻击行为检测结果和/或预设访问资源;
策略生成模块302,用于根据所述流量特征生成对应的目标引流策略;其中,所述目标引流策略包括所述流量特征对应的蜜罐;
流量重定向模块303,用于根据所述目标引流策略将所述网络流量重定向至相应蜜罐。
本实施例识别网络流量中的流量特征,并根据所述流量特征生成对应的目标引流策略。上述流量特征可以包括判断是否存在攻击行为的攻击行为检测结果,也可以包括网络流量对预设资源的访问情况,因此本实施例根据流量特征生成的目标引流策略能够将网络流量重定向至对应的蜜罐中,进而主动为黑客提供其熟悉技术的蜜罐,使其陷入到蜜罐中,提高了蜜罐系统对攻击流量的诱捕效率。
进一步的,若所述流量特征包括所述攻击行为检测结果,且所述攻击行为检测结果为存在攻击行为,策略生成模块302用于确定所述攻击行为检测结果中的攻击特征标识;还用于根据攻击特征标识与引流策略的对应关系生成所述目标引流策略。
进一步的,所述预设访问资源为目标设备的闲置资源。
进一步的,若所述流量特征包括所述预设访问资源,策略生成模块302用于根据所述预设访问资源与引流策略的对应关系生成所述目标引流策略。
进一步的,还包括:
第一销毁管理模块,用于在根据所述目标引流策略将所述网络流量重定向至相应蜜罐之后,判断所述蜜罐对应的预设访问资源是否被使用;若是,则销毁所述蜜罐和/或所述目标引流策略。
进一步的,还包括:
第而销毁管理模块,用于在根据所述流量特征生成对应的目标引流策略之后,判断所述目标引流策略与原引流策略是否存在冲突;若是,则将与所述目标引流策略存在冲突的原引流策略进行销毁。
进一步的,还包括:
后续浏览处理模块,用于在根据所述目标引流策略将所述网络流量重定向至相应蜜罐之后,将与所述网络流量处于同一个连接内的其他网络流量重定向至所述目标蜜罐。
由于装置部分的实施例与方法部分的实施例相互对应,因此装置部分的实施例请参见方法部分的实施例的描述,这里暂不赘述。
本申请实施例还提供一种网络流量处理装置,应用于蜜罐系统,包括:
流量处理模块,用于接收目标引流策略重定向的网络流量,对所述网络流量执行收集、分析和/或处理;
其中,所述目标引流策略的生成过程包括:检测所述网络流量的流量特征,根据所述流量特征生成对应的目标引流策略;所述流量特征包括攻击行为检测结果和/或预设访问资源,所述目标引流策略包括所述流量特征对应的蜜罐。
进一步的,还包括:
配置模块,用于在接收目标引流策略重定向的网络流量之前,接收蜜罐配置信息,并根据所述蜜罐配置信息配置对应的蜜罐;其中,所述蜜罐配置信息包括功能子模块。
本申请还提供了一种存储介质,其上存有计算机程序,该计算机程序被执行时可以实现上述实施例所提供的步骤。该存储介质可以包括:U盘、移动硬盘、只读存储器(Read-Only Memory,ROM)、随机存取存储器(Random Access Memory,RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似部分互相参见即可。对于实施例公开的装置而言,由于其与实施例公开的方法相对应,所以描述的比较简单,相关之处参见方法部分说明即可。应当指出,对于本技术领域的普通技术人员来说,在不脱离本申请原理的前提下,还可以对本申请进行若干改进和修饰,这些改进和修饰也落入本申请权利要求的保护范围内。
还需要说明的是,在本说明书中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的状况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
Claims (12)
1.一种网络流量处理方法,其特征在于,应用于安全设备,包括:
检测网络流量的流量特征;其中,所述流量特征包括攻击行为检测结果和/或预设访问资源;
根据所述流量特征生成对应的目标引流策略;其中,所述目标引流策略包括所述流量特征对应的蜜罐;
根据所述目标引流策略将所述网络流量重定向至相应蜜罐。
2.根据权利要求1所述网络流量处理方法,其特征在于,若所述流量特征包括所述攻击行为检测结果,且所述攻击行为检测结果为存在攻击行为,则根据所述流量特征生成对应的目标引流策略包括:
确定所述攻击行为检测结果中的攻击特征标识;
根据攻击特征标识与引流策略的对应关系生成所述目标引流策略。
3.根据权利要求1所述网络流量处理方法,其特征在于,若所述流量特征包括所述预设访问资源,根据所述流量特征生成对应的目标引流策略,包括:
根据所述预设访问资源与引流策略的对应关系生成所述目标引流策略。
4.根据权利要求1所述网络流量处理方法,其特征在于,所述预设访问资源为目标设备的闲置资源。
5.根据权利要求1所述网络流量处理方法,其特征在于,在根据所述目标引流策略将所述网络流量重定向至相应蜜罐之后,还包括:
判断所述蜜罐对应的预设访问资源是否被使用;
若是,则销毁所述蜜罐和/或所述目标引流策略。
6.根据权利要求1所述网络流量处理方法,其特征在于,在根据所述流量特征生成对应的目标引流策略之后,还包括:
判断所述目标引流策略与原引流策略是否存在冲突;
若是,则将与所述目标引流策略存在冲突的原引流策略进行销毁。
7.根据权利要求1至6任一项所述网络流量处理方法,其特征在于,在根据所述目标引流策略将所述网络流量重定向至相应蜜罐之后,还包括:
将与所述网络流量处于同一个连接内的其他网络流量重定向至所述目标蜜罐。
8.一种网络流量处理方法,其特征在于,应用于蜜罐系统,包括:
接收目标引流策略重定向的网络流量,对所述网络流量执行收集、分析和/或处理;
其中,所述目标引流策略的生成过程包括:检测所述网络流量的流量特征,根据所述流量特征生成对应的目标引流策略;所述流量特征包括攻击行为检测结果和/或预设访问资源,所述目标引流策略包括所述流量特征对应的蜜罐。
9.根据权利要求8所述网络流量处理方法,其特征在于,在接收目标引流策略重定向的网络流量之前,还包括:
接收蜜罐配置信息,并根据所述蜜罐配置信息配置对应的蜜罐;其中,所述蜜罐配置信息包括功能子模块。
10.一种网络流量处理装置,其特征在于,应用于安全设备,包括:
流量检测模块,用于检测网络流量的流量特征;其中,所述流量特征包括攻击行为检测结果和/或预设访问资源;
策略生成模块,用于根据所述流量特征生成对应的目标引流策略;其中,所述目标引流策略包括所述流量特征对应的蜜罐;
流量重定向模块,用于根据所述目标引流策略将所述网络流量重定向至相应蜜罐。
11.一种网络流量处理装置,其特征在于,应用于蜜罐系统,包括:
流量处理模块,用于接收目标引流策略重定向的网络流量,对所述网络流量执行收集、分析和/或处理;
其中,所述目标引流策略的生成过程包括:检测所述网络流量的流量特征,根据所述流量特征生成对应的目标引流策略;所述流量特征包括攻击行为检测结果和/或预设访问资源,所述目标引流策略包括所述流量特征对应的蜜罐。
12.一种存储介质,其特征在于,所述存储介质中存储有计算机可执行指令,所述计算机可执行指令被处理器加载并执行时,实现如权利要求1至9任一项所述网络流量处理方法的步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210065705.6A CN114500026A (zh) | 2022-01-20 | 2022-01-20 | 一种网络流量处理方法、装置及存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210065705.6A CN114500026A (zh) | 2022-01-20 | 2022-01-20 | 一种网络流量处理方法、装置及存储介质 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN114500026A true CN114500026A (zh) | 2022-05-13 |
Family
ID=81473582
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202210065705.6A Pending CN114500026A (zh) | 2022-01-20 | 2022-01-20 | 一种网络流量处理方法、装置及存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN114500026A (zh) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN115296909A (zh) * | 2022-08-04 | 2022-11-04 | 北京天融信网络安全技术有限公司 | 获得目标蜜罐系统的方法、装置、介质和攻击响应方法 |
CN115802356A (zh) * | 2023-02-07 | 2023-03-14 | 北京航天驭星科技有限公司 | 卫星地面站管理系统的数据处理方法、系统、设备、介质 |
Citations (17)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104967629A (zh) * | 2015-07-16 | 2015-10-07 | 网宿科技股份有限公司 | 网络攻击检测方法及装置 |
CN107332823A (zh) * | 2017-06-06 | 2017-11-07 | 北京明朝万达科技股份有限公司 | 一种基于机器学习的服务器伪装方法和系统 |
CN107707576A (zh) * | 2017-11-28 | 2018-02-16 | 深信服科技股份有限公司 | 一种基于蜜罐技术的网络防御方法及系统 |
CN108183884A (zh) * | 2017-11-30 | 2018-06-19 | 高旭磊 | 一种网络攻击判定方法及装置 |
CN109257326A (zh) * | 2017-07-14 | 2019-01-22 | 东软集团股份有限公司 | 防御数据流攻击的方法、装置和存储介质及电子设备 |
US20190089723A1 (en) * | 2017-09-15 | 2019-03-21 | Petabi, Inc. | System for automated signature generation and refinement |
CN111565199A (zh) * | 2020-07-14 | 2020-08-21 | 腾讯科技(深圳)有限公司 | 网络攻击信息处理方法、装置、电子设备及存储介质 |
CN111641620A (zh) * | 2020-05-21 | 2020-09-08 | 黄筱俊 | 用于检测进化DDoS攻击的新型云蜜罐方法及架构 |
CN111756761A (zh) * | 2020-06-29 | 2020-10-09 | 杭州安恒信息技术股份有限公司 | 基于流量转发的网络防御系统、方法和计算机设备 |
CN112383511A (zh) * | 2020-10-27 | 2021-02-19 | 广州锦行网络科技有限公司 | 一种流量转发方法及系统 |
US10986129B1 (en) * | 2019-03-28 | 2021-04-20 | Rapid7, Inc. | Live deployment of deception systems |
CN112995162A (zh) * | 2021-02-07 | 2021-06-18 | 深信服科技股份有限公司 | 网络流量的处理方法及装置、电子设备、存储介质 |
CN113014597A (zh) * | 2021-03-17 | 2021-06-22 | 恒安嘉新(北京)科技股份公司 | 蜜罐防御系统 |
US11057429B1 (en) * | 2019-03-29 | 2021-07-06 | Rapid7, Inc. | Honeytoken tracker |
CN113542262A (zh) * | 2021-07-13 | 2021-10-22 | 北京华圣龙源科技有限公司 | 用于信息系统的信息安全威胁智能预警方法和装置 |
CN113572730A (zh) * | 2021-06-15 | 2021-10-29 | 郑州云智信安安全技术有限公司 | 一种基于web的主动自动诱捕蜜罐的实现方法 |
CN113949520A (zh) * | 2020-06-29 | 2022-01-18 | 奇安信科技集团股份有限公司 | 欺骗诱捕的方法、装置、计算机设备和可读存储介质 |
-
2022
- 2022-01-20 CN CN202210065705.6A patent/CN114500026A/zh active Pending
Patent Citations (17)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104967629A (zh) * | 2015-07-16 | 2015-10-07 | 网宿科技股份有限公司 | 网络攻击检测方法及装置 |
CN107332823A (zh) * | 2017-06-06 | 2017-11-07 | 北京明朝万达科技股份有限公司 | 一种基于机器学习的服务器伪装方法和系统 |
CN109257326A (zh) * | 2017-07-14 | 2019-01-22 | 东软集团股份有限公司 | 防御数据流攻击的方法、装置和存储介质及电子设备 |
US20190089723A1 (en) * | 2017-09-15 | 2019-03-21 | Petabi, Inc. | System for automated signature generation and refinement |
CN107707576A (zh) * | 2017-11-28 | 2018-02-16 | 深信服科技股份有限公司 | 一种基于蜜罐技术的网络防御方法及系统 |
CN108183884A (zh) * | 2017-11-30 | 2018-06-19 | 高旭磊 | 一种网络攻击判定方法及装置 |
US10986129B1 (en) * | 2019-03-28 | 2021-04-20 | Rapid7, Inc. | Live deployment of deception systems |
US11057429B1 (en) * | 2019-03-29 | 2021-07-06 | Rapid7, Inc. | Honeytoken tracker |
CN111641620A (zh) * | 2020-05-21 | 2020-09-08 | 黄筱俊 | 用于检测进化DDoS攻击的新型云蜜罐方法及架构 |
CN111756761A (zh) * | 2020-06-29 | 2020-10-09 | 杭州安恒信息技术股份有限公司 | 基于流量转发的网络防御系统、方法和计算机设备 |
CN113949520A (zh) * | 2020-06-29 | 2022-01-18 | 奇安信科技集团股份有限公司 | 欺骗诱捕的方法、装置、计算机设备和可读存储介质 |
CN111565199A (zh) * | 2020-07-14 | 2020-08-21 | 腾讯科技(深圳)有限公司 | 网络攻击信息处理方法、装置、电子设备及存储介质 |
CN112383511A (zh) * | 2020-10-27 | 2021-02-19 | 广州锦行网络科技有限公司 | 一种流量转发方法及系统 |
CN112995162A (zh) * | 2021-02-07 | 2021-06-18 | 深信服科技股份有限公司 | 网络流量的处理方法及装置、电子设备、存储介质 |
CN113014597A (zh) * | 2021-03-17 | 2021-06-22 | 恒安嘉新(北京)科技股份公司 | 蜜罐防御系统 |
CN113572730A (zh) * | 2021-06-15 | 2021-10-29 | 郑州云智信安安全技术有限公司 | 一种基于web的主动自动诱捕蜜罐的实现方法 |
CN113542262A (zh) * | 2021-07-13 | 2021-10-22 | 北京华圣龙源科技有限公司 | 用于信息系统的信息安全威胁智能预警方法和装置 |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN115296909A (zh) * | 2022-08-04 | 2022-11-04 | 北京天融信网络安全技术有限公司 | 获得目标蜜罐系统的方法、装置、介质和攻击响应方法 |
CN115296909B (zh) * | 2022-08-04 | 2023-11-10 | 北京天融信网络安全技术有限公司 | 获得目标蜜罐系统的方法、装置、介质和攻击响应方法 |
CN115802356A (zh) * | 2023-02-07 | 2023-03-14 | 北京航天驭星科技有限公司 | 卫星地面站管理系统的数据处理方法、系统、设备、介质 |
CN115802356B (zh) * | 2023-02-07 | 2023-04-11 | 北京航天驭星科技有限公司 | 卫星地面站管理系统的数据处理方法、系统、设备、介质 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11405419B2 (en) | Preventing advanced persistent threat attack | |
US9356950B2 (en) | Evaluating URLS for malicious content | |
US8561177B1 (en) | Systems and methods for detecting communication channels of bots | |
EP2147390B1 (en) | Detection of adversaries through collection and correlation of assessments | |
CN111737696A (zh) | 一种恶意文件检测的方法、系统、设备及可读存储介质 | |
RU2726032C2 (ru) | Системы и способы обнаружения вредоносных программ с алгоритмом генерации доменов (dga) | |
US20150326587A1 (en) | Distributed system for bot detection | |
US20150326588A1 (en) | System and method for directing malicous activity to a monitoring system | |
Cheema et al. | [Retracted] Prevention Techniques against Distributed Denial of Service Attacks in Heterogeneous Networks: A Systematic Review | |
US20160072838A1 (en) | System and a Method for Identifying the Presence of Malware Using Mini-Traps Set At Network Endpoints | |
CN112910907A (zh) | 一种防御方法、装置、客户机、服务器、存储介质及系统 | |
Srinivasa et al. | Open for hire: Attack trends and misconfiguration pitfalls of iot devices | |
Kumar et al. | DDOS prevention in IoT | |
WO2016081561A1 (en) | System and method for directing malicious activity to a monitoring system | |
CN114500026A (zh) | 一种网络流量处理方法、装置及存储介质 | |
CN111565203B (zh) | 业务请求的防护方法、装置、系统和计算机设备 | |
KR100973076B1 (ko) | 분산 서비스 거부 공격 대응 시스템 및 그 방법 | |
CN103701816A (zh) | 执行拒绝服务攻击的服务器的扫描方法和扫描装置 | |
Surnin et al. | Probabilistic estimation of honeypot detection in Internet of things environment | |
CN112583845A (zh) | 一种访问检测方法、装置、电子设备和计算机存储介质 | |
CN116015717A (zh) | 一种网络防御方法、装置、设备及存储介质 | |
Abid Shahzad et al. | Protecting from zero-day malware attacks | |
Srinivasa et al. | Interaction matters: a comprehensive analysis and a dataset of hybrid IoT/OT honeypots | |
CN117544335A (zh) | 诱饵激活方法、装置、设备及存储介质 | |
Davanian et al. | MalNet: A binary-centric network-level profiling of IoT malware |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |