CN114726602A - 一种网络零变更条件下的企业内网自适应威胁阻断方法 - Google Patents

一种网络零变更条件下的企业内网自适应威胁阻断方法 Download PDF

Info

Publication number
CN114726602A
CN114726602A CN202210318519.9A CN202210318519A CN114726602A CN 114726602 A CN114726602 A CN 114726602A CN 202210318519 A CN202210318519 A CN 202210318519A CN 114726602 A CN114726602 A CN 114726602A
Authority
CN
China
Prior art keywords
threat
blocking
network
source
adaptive
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202210318519.9A
Other languages
English (en)
Inventor
谢家俊
楼芳
刘渊
陈波
周椿入
王豪
张春瑞
孟凡治
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
COMPUTER APPLICATION RESEARCH INST CHINA ACADEMY OF ENGINEERING PHYSICS
Original Assignee
COMPUTER APPLICATION RESEARCH INST CHINA ACADEMY OF ENGINEERING PHYSICS
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by COMPUTER APPLICATION RESEARCH INST CHINA ACADEMY OF ENGINEERING PHYSICS filed Critical COMPUTER APPLICATION RESEARCH INST CHINA ACADEMY OF ENGINEERING PHYSICS
Priority to CN202210318519.9A priority Critical patent/CN114726602A/zh
Publication of CN114726602A publication Critical patent/CN114726602A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L49/00Packet switching elements
    • H04L49/70Virtual switches
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/09Mapping addresses
    • H04L61/10Mapping addresses of different types
    • H04L61/103Mapping addresses of different types across network layers, e.g. resolution of network layer into physical layer addresses or address resolution protocol [ARP]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种网络零变更条件下的企业内网自适应威胁阻断方法,具体涉及网络空间安全技术领域,包括网络零变更条件下的企业内网自适应威胁阻断技术架构、基于ARP欺骗的威胁源上行网络链路阻断方法、基于ARP欺骗的威胁源下行网络链路阻断方法、基于交换机端口抢占的威胁源下行网络链路阻断方法、威胁阻断方式自适应调度方法。目前业界企业内网主流的威胁阻断方法依赖于交换机管理权限与用户终端代理程序,存在潜在安全风险高、需变更原有网络配置、威胁阻断功能易被用户恶意绕过或终止等技术问题。

Description

一种网络零变更条件下的企业内网自适应威胁阻断方法
技术领域
本发明涉及网络空间安全技术技术领域,具体为一种网络零变更条件下的企业内网自适应威胁阻断方法。
背景技术
随着我国信息化建设的推进和网络安全防护要求的提高,防火墙、防病毒、入侵检测、主机审计等安全设备已在企事业单位得到广泛的应用;但是,这些安全设备在实际使用中往往都是各自为政,“信息孤岛”现象严重,设备之间难以联动,误报率和漏报率较高,难以应对当前复杂多变的各种安全威胁;同时,企业用户面对每天产生的海量安全日志,无法较为准确的评估企业网络的整体安全态势;因此,基于威胁情报和大数据安全分析技术的网络安全监控平台(典型如SOC等)应运而生;网络安全监控平台能够对用户安全数据进行采集、存储、计算、数据挖掘与关联分析,从而将有效的监测发现、快速响应处置,以及深入的调查分析进行结合,形成网络安全防护的业务闭环;
威胁处置中心作为网络安全监控平台的核心模块,其主要功能是对分析发现的网络安全攻击事件进行及时、快速的有效阻断;目前,业界企业内网主流的威胁阻断方法依赖于交换机管理权限与用户终端代理程序,需要向网络交换设备、网络准入控制设备或者终端代理程序下发控制命令,更改并生效相关的网络配置;此方法的缺陷主要有如下三点:
1)需直接或间接的拥有所有交换机的管理权限,安全风险高;
2)需变更原有网络配置,存在变更失误影响正常业务的风险;
3)需在用户终端安装代理程序,侵入性强,其威胁阻断功能可被用户恶意绕过或终止;
针对上述问题,本发明公开了一种网络零变更条件下的企业内网自适应威胁阻断方法,可在无网络变更、无交换机管理权限和用户终端代理程序的条件下,实现针对内网安全威胁的秒级自适应快速阻断,威胁源的网络数据丢包率可达90%以上,同时威胁排除后可在秒级进行快速恢复。
发明内容
本发明的目的在于提供一种网络零变更条件下的企业内网自适应威胁阻断方法,以解决上述背景技术中提出的问题。
为解决上述技术问题,本发明采用如下技术方案:
网络零变更条件下的企业内网自适应威胁阻断技术架构:
该技术架构主要由网络安全监控平台、威胁处置中心、核心交换机、接入交换机、业务服务、用户终端组成;其中,核心交换机、接入交换机、业务服务与用户终端组成了基础的网络结构;网络安全监控平台用于收集与分析网络系统的安全数据,识别潜在的安全威胁,并下发处置命令至威胁处置中心;威胁处置中心依据接收的处置命令自适应的选择其内置威胁阻断方法,阻断威胁源与其攻击的目标对象之间的网络链路。
优选地,基于ARP欺骗的威胁源上行网络链路阻断方法
该阻断方法是指威胁处置中心向威胁源发送特定ARP数据包,从而使威胁源本地ARP表中发往目标主机的下一跳节点的MAC地址指向威胁处置中心,进而劫持威胁源与目标主机之间的上行网路链路。
优选地,基于ARP欺骗的威胁源下行网络链路阻断方法
该阻断方法是指威胁处置中心向威胁源所在Vlan以广播形式发送特定ARP数据包,从而使该Vlan内网关和其它主机的本地ARP表中威胁源的MAC地址指向威胁处置中心,进而劫持威胁源与目标主机之间的下行网路链路。
优选地,基于交换机端口抢占的威胁源下行网络链路阻断方法
该阻断方法是指威胁处置中心向威胁源所在Vlan以广播形式发送特定ARP数据包,从而使该Vlan所有交换机的ARP表中威胁源的端口都指向威胁处置中心的接入端口,从而劫持威胁源与目标主机之间的下行网路链路。
优选地,攻击阻断方式自适应调度方法
该自适应调度方法是指威胁处置中心以一定时间内是否接收到劫持的威胁源网络数据包为依据,判断已采用的攻击阻断方法是否生效,若未生效,则自适应的切换至另一种攻击阻断方法。
与现有技术相比,本发明的有益效果在于:
本发明可在无网络变更、无交换机管理权限和用户终端代理程序的条件下,实现针对内网安全威胁的秒级自适应快速阻断,威胁源的网络数据丢包率可达90%以上,同时威胁排除后可在秒级进行快速恢复。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明的技术架构设计框图。
图2为本发明的一种典型应用场景。
图3为本发明的典型应用场景下的威胁阻断流程图。
图4为本发明的典型应用场景下的威胁源原始上/下行流量示例。
图5为本发明的基于ARP欺骗的威胁源上行网络链路阻断方法。
图6为本发明的实施内容中构造的典型ARP欺骗数据包示例。
图7为本发明的基于ARP欺骗的威胁源下行网络链路阻断方法。
图8为本发明的基于交换机端口抢占的威胁源下行网络链路阻断方法。
图9为本发明的攻击阻断方式自适应调度方法的业务流程图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
实施例:如图1-9所示,本发明提供了一种网络零变更条件下的企业内网自适应威胁阻断方法,主要由网络安全监控平台、威胁处置中心、核心交换机、接入交换机、业务服务和用户终端组成;其中,核心交换机、接入交换机、业务服务与用户终端组成基础的网络结构;网络安全监控平台用于收集与分析网络系统的安全数据,识别潜在的安全威胁,并下发处置命令至威胁处置中心;威胁处置中心依据接收的处置命令自适应的选择其内置威胁阻断方法,阻断威胁源与其攻击的目标对象之间的网络链路。
进一步,如图2所示:目前,业界企业内网的用户区与业务区各Vlan的默认网关通常都指向核心交换机,由核心交换机承担企业内网中各Vlan之间的三层路由工作;针对此种情况,威胁处置中心可旁路部署于核心交换机处;其中,威胁处置中心的一个网口连入核心交换机,用于自身远程管理和接收网络安全监控平台下发的处置命令;威胁处置中心的另一个网口与核心交换机的一个Trunk口相连,要求该Trunk口上不配置网络安全防护策略,并且允许任意Vlan的网络数据包通过,进而威胁处置中心可通过自定义Vlan ID向内网任意Vlan发送网络数据包;在这种应用场景下,威胁处置中心可在无网络变更、无交换机管理权限和用户终端代理程序的条件下,实现针对内网安全威胁的秒级自适应快速阻断,以及威胁排除后的秒级快速恢复。
进一步,如图3所示:其中主要涉及典型企业内网、网络安全监控平台、威胁处置中心三个对象,具体工作流程如下:
1、企业内网中各网络资产向网络安全监控平台推送安全数据;
2、网络安全监控平台依据收集的网络安全数据,识别潜在的安全风险;
3、网络安全监控平台向威胁处置中心下发处置命令;
4、威胁处置中心依据接收的处置命令,自适应调度其内置的各个威胁阻断方法;
5、威胁处置中心向企业内网发送ARP数据包,执行阻断操作;
6、企业内网向威胁处置中心反馈劫持数据包;
7、威胁处置中心依据接收的劫持数据包,评估实际的阻断效能,并上报网络安全监控平台。
进一步,如图4所示:其中,威胁源与目标主机1同属VlanX,均通过接入交换机1上联至核心交换机;目标主机2属于VlanY,通过接入交换机2上联至核心交换机;VlanX和VlanY的网关均设置于核心交换机处;同时,威胁处置中心旁路部署于核心交换机处;在此应用场景下,威胁源与目标主机1可通过接入交换机1直接在数据链路层进行网络通信,威胁源与目标主机2的网络通信需分别经过VlanX和VlanY的网关,进行网络层的网络通信。
进一步,如图5所示:以如图4所示的威胁源原始上行/下行网络流量为参考,该阻断方法是指威胁处置中心向威胁源发送特定ARP数据包,从而使威胁源本地ARP表中发往目标主机的下一跳节点的MAC地址指向威胁处置中心,进而劫持威胁源与目标主机之间的上行网路链路;其中,目标主机涵盖与威胁源同Vlan和不同Vlan的各类主机(典型如业务服务器、用户终端)。
具体实施内容如下:
1、依据威胁源与其攻击的目标对象的Vlan ID信息,确定威胁源发往目标主机的下一跳节点;其中,若威胁源与目标对象的Vlan ID一致,则下一跳节点直接为该目标对象;若威胁源与目标对象的Vlan ID不一致,则下一跳节点为该Vlan网关。
2、以确定的下一跳节点IP为源IP,以威胁处置中心连接核心交换机Trunk的网卡MAC为源MAC,以威胁源的IP/MAC为目的IP/MAC,构造初始的ARP响应数据包。
3、按照802.1q协议,在初始ARP响应数据包中添加Vlan ID信息,形成最终的ARP数据包,并经由连接的核心交换机的Trunk口以≥10个包/秒的速度持续向威胁源进行发送。
进一步,其中,最终ARP数据包的典型示例如图6所示。
4、威胁源接收到上述ARP数据包后,将基于ARP自学习功能更新其内置的ARP表,将发往目标主机的下一跳节点的MAC指向威胁处置中心。
5、当威胁源向目标主机发送攻击数据包时,将查询其ARP表中下一跳节点的MAC(已指向威胁处置中心),并将攻击数据包经由数据链路层发送至威胁处置中心,进而阻断威胁源与目标主机之间的上行网络链路。
进一步,如图6所示:以如图4所示的威胁源原始上行/下行网络流量为参考,该阻断方法是指威胁处置中心向威胁源所在Vlan以广播形式发送特定ARP数据包,从而使该Vlan内网关和其它主机的本地ARP表中威胁源的MAC地址指向威胁处置中心,进而劫持威胁源与目标主机之间的下行网路链路;其中,目标主机涵盖与威胁源同Vlan和不同Vlan的各类主机(典型如业务服务器、用户终端)。
具体实施内容如下:
1、以威胁源IP为源IP,以威胁处置中心连接核心交换机Trunk的网卡MAC为源MAC,以威胁源所在Vlan广播地址为目标IP,以00:00:00:00:00:00为目的MAC,构造初始的ARP响应数据包。
2、按照802.1q协议,在初始ARP响应数据包中添加Vlan ID信息,形成最终的ARP数据包,并经由连接的核心交换机的Trunk口以≥10个包/秒的速度持续向该Vlan内以广播形式进行发送。
3、该Vlan内网关和其它主机接收到上述ARP数据包后,将基于ARP自学习功能更新其内置的ARP表,将威胁源的MAC指向威胁处置中心。
4、当该Vlan内网关和其它主机向威胁源发送攻击反馈数据包时,将查询其ARP表中威胁源的MAC(已指向威胁处置中心),并将攻击反馈数据包经由数据链路层发送至威胁处置中心,从而阻断威胁源与目标主机之间的下行网络链路。
进一步,如图8所示:以如图4所示的威胁源原始上行/下行网络流量为参考,该阻断方法是指威胁处置中心向威胁源所在Vlan以广播形式发送特定ARP数据包,从而使该Vlan所有交换机的ARP表中威胁源的Port都指向威胁处置中心的连入端口,从而劫持威胁源与目标主机之间的下行网路链路;其中,目标主机涵盖与威胁源同Vlan和不同Vlan的各类主机(典型如业务服务器、用户终端)。
具体实施内容如下:
1、以威胁源IP/MAC为源IP/MAC,以威胁源所在Vlan广播地址为目标IP,以00:00:00:00:00:00为目的MAC,构造初始的ARP响应数据包。
2、按照802.1q协议,在初始ARP响应数据包中添加Vlan ID信息,形成最终的ARP数据包,并经由连接的核心交换机的Trunk口以≥10个包/秒的速度持续向以广播形式进行发送。
3、该Vlan内所有交换机(含核心交换机和接入交换机)接收到上述ARP数据包后,将更新其内置的ARP表,将威胁源IP/MAC对应的接入端口修改为威胁处置中心的接入端口。
4、当该Vlan内网关和其它主机向威胁源发送攻击反馈数据包时,途径的交换机将查询其内置的ARP表中威胁源IP/MAC对应的接入端口(已指向威胁处置中心),并将攻击反馈数据包经由各个途径交换机逐次转发至威胁处置中心,从而阻断威胁源与目标主机之间的下行网络链路。
进一步,如图9所示:该调度方法是指威胁处置中心以一定时间内是否接收到劫持的威胁源网络数据包为依据,判断已采用的攻击阻断方法是否生效,若未生效,则自适应的切换至另一种攻击阻断方法,具体调度业务流程如下:
1、监听连接核心交换机Trunk口的网卡数据;
2、依据预定义的三种阻断方法的调用次序,调用第一种阻断方法;
3、发送针对第一种阻断方法的外部激励数据包,触发威胁源与目标主机之间产生预定的网络流量;
4、若一定时间内未收到劫持数据包(含威胁源的原始攻击流量和因外部激励触发流量),则调用第二种阻断方法;若收到劫持数据包,则跳转至第8步骤;
5、发送针对第二种阻断方法的外部激励数据包,触发威胁源与目标主机之间产生预定的网络流量;
6、若一定时间内未收到劫持数据包(含威胁源的原始攻击流量和因外部激励触发流量),则调用第三种阻断方法;若收到劫持数据包,则跳转至第8步骤;
7、发送针对第三种阻断方法的外部激励数据包,触发威胁源与目标主机之间产生预定的网络流量;
8、依据收到的劫持数据包情况,评估实际的阻断效能;
9、关闭连接核心交换机Trunk口的网卡监听程序。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。

Claims (6)

1.一种网络零变更条件下的企业内网自适应威胁阻断方法,其特征在于:包括网络零变更条件下的企业内网自适应威胁阻断技术架构、基于ARP欺骗的威胁源上行网络链路阻断方法、基于ARP欺骗的威胁源下行网络链路阻断方法、基于交换机端口抢占的威胁源下行网络链路阻断方法、攻击阻断方式自适应调度方法。
2.如权利要求1所述的一种网络零变更条件下的企业内网自适应威胁阻断方法,其特征在于,所述的网络零变更条件下的企业内网自适应威胁阻断技术架构主要包括网络安全监控平台、威胁处置中心、核心交换机、接入交换机、业务服务、用户终端;其中,威胁处置中心部署有企业内网自适应威胁阻断的相关软硬件模块。
3.如权利要求1所述的一种网络零变更条件下的企业内网自适应威胁阻断方法,其特征在于,所述的基于ARP欺骗的威胁源上行网络链路阻断方法是指威胁处置中心向威胁源发送特定ARP数据包,从而使威胁源本地ARP表中发往目标主机的下一跳节点的MAC地址指向威胁处置中心,进而劫持威胁源与目标主机之间的上行网路链路。
4.如权利要求1所述的一种网络零变更条件下的企业内网自适应威胁阻断方法,其特征在于,所述的基于ARP欺骗的威胁源下行网络链路阻断方法是指威胁处置中心向威胁源所在Vlan以广播形式发送特定ARP数据包,从而使该Vlan内网关和其它主机的本地ARP表中威胁源的MAC地址指向威胁处置中心,进而劫持威胁源与目标主机之间的下行网路链路。
5.如权利要求1所述的一种网络零变更条件下的企业内网自适应威胁阻断方法,其特征在于,所述的基于交换机端口抢占的威胁源下行网络链路阻断方法是指威胁处置中心向威胁源所在Vlan以广播形式发送特定ARP数据包,从而使该Vlan所有交换机的ARP表中威胁源的端口都指向威胁处置中心的接入端口,从而劫持威胁源与目标主机之间的下行网路链路。
6.如权利要求1所述的一种网络零变更条件下的企业内网自适应威胁阻断方法,其特征在于,所述的攻击阻断方式自适应调度方法是指威胁处置中心以一定时间内是否接收到劫持的威胁源网络数据包为依据,判断已采用的攻击阻断方法是否生效,若未生效,则自适应的切换至另一种攻击阻断方法。
CN202210318519.9A 2022-03-29 2022-03-29 一种网络零变更条件下的企业内网自适应威胁阻断方法 Pending CN114726602A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210318519.9A CN114726602A (zh) 2022-03-29 2022-03-29 一种网络零变更条件下的企业内网自适应威胁阻断方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210318519.9A CN114726602A (zh) 2022-03-29 2022-03-29 一种网络零变更条件下的企业内网自适应威胁阻断方法

Publications (1)

Publication Number Publication Date
CN114726602A true CN114726602A (zh) 2022-07-08

Family

ID=82240705

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210318519.9A Pending CN114726602A (zh) 2022-03-29 2022-03-29 一种网络零变更条件下的企业内网自适应威胁阻断方法

Country Status (1)

Country Link
CN (1) CN114726602A (zh)

Citations (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101193116A (zh) * 2007-07-09 2008-06-04 福建星网锐捷网络有限公司 一种联动对抗地址解析协议攻击的方法、系统及路由器
CN101345743A (zh) * 2007-07-09 2009-01-14 福建星网锐捷网络有限公司 防止利用地址解析协议进行网络攻击的方法及其系统
CN104539594A (zh) * 2014-12-17 2015-04-22 南京晓庄学院 融合DDoS威胁过滤与路由优化的SDN架构、系统及工作方法
CN105553958A (zh) * 2015-12-10 2016-05-04 国网四川省电力公司信息通信公司 一种新型网络安全联动系统及方法
CN107181760A (zh) * 2017-07-07 2017-09-19 北京邮电大学 一种分布式近威胁源攻击阻断方法及其装置
CN107786578A (zh) * 2014-12-17 2018-03-09 蔡留凤 适于解决网络安全问题的sdn架构及工作方法
CN109525601A (zh) * 2018-12-28 2019-03-26 杭州迪普科技股份有限公司 内网中终端间的横向流量隔离方法和装置
CN111526132A (zh) * 2020-04-08 2020-08-11 上海沪景信息科技有限公司 攻击转移方法、装置、设备及计算机可读存储介质
CN111628961A (zh) * 2020-03-30 2020-09-04 西安交大捷普网络科技有限公司 一种dns异常检测方法
CN111641659A (zh) * 2020-06-09 2020-09-08 北京东土军悦科技有限公司 一种交换机的中央处理器防攻击的方法、装置、设备及存储介质
CN111800395A (zh) * 2020-06-18 2020-10-20 云南电网有限责任公司信息中心 一种威胁情报防御方法和系统

Patent Citations (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101193116A (zh) * 2007-07-09 2008-06-04 福建星网锐捷网络有限公司 一种联动对抗地址解析协议攻击的方法、系统及路由器
CN101345743A (zh) * 2007-07-09 2009-01-14 福建星网锐捷网络有限公司 防止利用地址解析协议进行网络攻击的方法及其系统
CN104539594A (zh) * 2014-12-17 2015-04-22 南京晓庄学院 融合DDoS威胁过滤与路由优化的SDN架构、系统及工作方法
CN107786578A (zh) * 2014-12-17 2018-03-09 蔡留凤 适于解决网络安全问题的sdn架构及工作方法
CN105553958A (zh) * 2015-12-10 2016-05-04 国网四川省电力公司信息通信公司 一种新型网络安全联动系统及方法
CN107181760A (zh) * 2017-07-07 2017-09-19 北京邮电大学 一种分布式近威胁源攻击阻断方法及其装置
CN109525601A (zh) * 2018-12-28 2019-03-26 杭州迪普科技股份有限公司 内网中终端间的横向流量隔离方法和装置
CN111628961A (zh) * 2020-03-30 2020-09-04 西安交大捷普网络科技有限公司 一种dns异常检测方法
CN111526132A (zh) * 2020-04-08 2020-08-11 上海沪景信息科技有限公司 攻击转移方法、装置、设备及计算机可读存储介质
CN111641659A (zh) * 2020-06-09 2020-09-08 北京东土军悦科技有限公司 一种交换机的中央处理器防攻击的方法、装置、设备及存储介质
CN111800395A (zh) * 2020-06-18 2020-10-20 云南电网有限责任公司信息中心 一种威胁情报防御方法和系统

Similar Documents

Publication Publication Date Title
CN108040057B (zh) 适于保障网络安全、网络通信质量的sdn系统的工作方法
EP1668511B1 (en) Apparatus and method for dynamic distribution of intrusion signatures
US20210281571A1 (en) Enhanced smart process control switch port lockdown
CN102143143B (zh) 一种网络攻击的防护方法、装置及路由器
CN100435513C (zh) 网络设备与入侵检测系统联动的方法
CN107819633B (zh) 一种快速发现并处理网络故障的方法
JP2003533941A (ja) インテリジェントフィードバックループプロセス制御システム
US20110099631A1 (en) Distributed Packet Flow Inspection and Processing
KR20120046891A (ko) 네트워크 도메인간 보안정보 공유 장치 및 방법
US20060212586A1 (en) System, method and computer program product for processing accounting information
KR101553264B1 (ko) 네트워크 침입방지 시스템 및 방법
KR20110070189A (ko) 봇넷 정보를 이용한 악성 트래픽 격리 시스템과 봇넷 정보를 이용한 악성 트래픽 격리 방법
KR20120126674A (ko) 차단서버를 이용한 스푸핑 공격 방어방법
KR100479202B1 (ko) 분산서비스거부 공격 대응 시스템 및 방법과 그프로그램을 기록한 기록매체
KR20040036228A (ko) 네트워크에서의 유해 트래픽 탐지 및 대응 시스템 및 방법
CN108418794B (zh) 一种智能变电站通信网络抵御arp攻击的方法及系统
Noh et al. Protection against flow table overflow attack in software defined networks
Das et al. Flood control: Tcp-syn flood detection for software-defined networks using openflow port statistics
CN107634971B (zh) 一种检测洪水攻击的方法及装置
Khosravifar et al. An experience improving intrusion detection systems false alarm ratio by using honeypot
CN110290124B (zh) 一种交换机入端口阻断方法及装置
US9298175B2 (en) Method for detecting abnormal traffic on control system protocol
Dressler et al. Attack detection using cooperating autonomous detection systems (CATS)
CN114726602A (zh) 一种网络零变更条件下的企业内网自适应威胁阻断方法
Patil et al. Analysis of distributed intrusion detection systems using mobile agents

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
RJ01 Rejection of invention patent application after publication
RJ01 Rejection of invention patent application after publication

Application publication date: 20220708