CN115065528A - 一种基于ftp服务的攻击反制系统及方法 - Google Patents

一种基于ftp服务的攻击反制系统及方法 Download PDF

Info

Publication number
CN115065528A
CN115065528A CN202210663934.8A CN202210663934A CN115065528A CN 115065528 A CN115065528 A CN 115065528A CN 202210663934 A CN202210663934 A CN 202210663934A CN 115065528 A CN115065528 A CN 115065528A
Authority
CN
China
Prior art keywords
intrusion
module
attack
detection module
bait
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202210663934.8A
Other languages
English (en)
Inventor
黄龙飞
翟世豪
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Shanghai Pan Yu Network Technology Co ltd
Original Assignee
Shanghai Pan Yu Network Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Shanghai Pan Yu Network Technology Co ltd filed Critical Shanghai Pan Yu Network Technology Co ltd
Priority to CN202210663934.8A priority Critical patent/CN115065528A/zh
Publication of CN115065528A publication Critical patent/CN115065528A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1491Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/06Protocols specially adapted for file transfer, e.g. file transfer protocol [FTP]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

一种基于ftp服务的攻击反制系统及方法,涉及网络攻击防护技术领域;其包括安全监控模块和反制处理模块,反制处理模块包括虚拟环境模块和数据捕获模块;入侵检测模块,用于接收互联网数据信息并对入侵行为进行检测,且对入侵行为的信息进行危险等级判定,并根据设定的危险等级判断并是否需要发送危险信号;信号检测模块,用于检测是否接收到入侵检测模块发出的入侵信号,并根据收到的信号来决定是否进行反制行为;入侵数据库,用于储存历史入侵的记录以及入侵的种类和级别;虚拟环境模块,用于控制非军事区内诱饵的开启和闭合;数据捕获模块,用于收集捕获虚拟端口入侵者的信息。本发明防止反复攻击,安全防御效率高,反制力度大,效果好。

Description

一种基于ftp服务的攻击反制系统及方法
技术领域
本发明涉及网络攻击防护技术领域,尤其涉及一种基于ftp服务的攻击反制系统及方法。
背景技术
随着物联网技术的飞速发展,各种网络设备已经渗透到人们日常办公、工业生产和日常生活当中。网络应用的越来越广泛,影响也越来越大,但是随之而来的挑战也越来越大,网络攻击行为也日益猖獗,网络攻击(Cyber Attacks,也称赛博攻击)是指针对计算机信息系统、基础设施、计算机网络或个人计算机设备的,任何类型的进攻动作。基于主动防御理论系统而提出来的蜜罐技术,日益受到网络安全领域的重视,蜜罐主要通过精心布置的诱骗环境来吸引和容忍入侵,进而了解攻击思路、攻击工具和攻击目的等行为的信息,特别时对各种未知的攻击行为信息的学习,同时可以根据获取的攻击者情报反馈,能够更好地理解网络系统当前的不足和面临的危险;但是欺骗环境构建机制的实现方式决定了蜜罐能够为攻击方所提供的交互程度,目前模拟仿真方式则通过编制软件构建出一个伪装的欺骗系统环境来吸引攻击,并在一个安全可控的环境中对安全威胁进行数据记录。然而,这种方式一般只能为攻击方提供受限的交互程度,对于一些未知的攻击方式与安全威胁不具备捕获能力;网络安全防御人员可以通过防火墙、IDS等设备捕捉到攻击数据,通过在网关上封堵攻击源ip等方式阻断攻击行为。
在实践中发现,目前技术中对网络攻击行为的防御是被动的,现有方法只能在受到网络攻击事件时阻断该次攻击,但是无法避免以后再次受到相同网络攻击事件的攻击不能消除攻击者的攻击意图,容易出现反复攻击,导致安全防御的效率较低,无法进行溯源反制,反制力度小,效果差。
发明内容
本发明的目是针对背景技术中存在的问题,提出一种基于ftp服务结合社会工程学和溢出漏洞,可将后门程序等可执行文件反向植入入侵者终端,进而达到溯源反制,防止反复攻击,安全防御效率高,反制力度大,效果好的基于ftp服务的攻击反制系统及方法。
一方面,本发明提出一种基于ftp服务的攻击反制系统,包括安全监控模块和反制处理模块,其中,安全监控模块包括入侵检测模块、信号检测模块和入侵数据库;反制处理模块包括虚拟环境模块和数据捕获模块;
入侵检测模块,用于接收互联网数据信息并对入侵行为进行检测,且对入侵行为的信息进行危险等级判定,并根据设定的危险等级判断并是否需要发送危险信号;
信号检测模块,用于检测是否接收到入侵检测模块发出的入侵信号,并根据收到的信号来决定是否进行反制行为;
入侵数据库,用于储存历史入侵的记录以及入侵的种类和级别;
虚拟环境模块,用于控制非军事区内诱饵的开启和闭合;
数据捕获模块,用于收集捕获虚拟端口入侵者的信息。
优选的,安全监控模块和反制处理模块基于ftp服务连入网络。
优选的,入侵数据库中设有获取网络攻击事件样本和检测网络攻击事件样本信息的分类储存模块。
优选的,虚拟环形模块中诱饵包括含有ftp服务器的IP、登录账号和登录密码,ftp服务器上存放包含溢出代码的doc和pdf文档。
优选的,入侵数据库内数据会在每次攻击反制结束后自动进行更新。
另一方面,本发明还提出一种基于ftp服务的攻击反制系统的反制方法;包括以下具体步骤:
S1、通过入侵检测模块检测接收到的互联网数据信息并对入侵行为进行检测,且对入侵行为的信息进行危险等级判定,并根据设定的危险等级判断并是否需要发送危险信号;
S2、通过检测是否接收到入侵检测模块发出的入侵信号,当收到入侵检测模块发出的入侵信号时,虚拟环境模块启动并进行反制行为,同时控制非军事区内诱饵的开启;诱饵开启时,通过在企业网络的非军事区(DMZ)内存放包含有ftp服务器的IP、登录账号、登录密码作为诱饵,当入侵者获取该诱饵就会登录特定ftp服务器,在ftp服务器上存放包含溢出代码的doc和pdf文档,诱导入侵者获取并读取该文档;当未收到入侵检测模块发出的入侵信号时,虚拟环境模块不启动并控制非军事区内诱饵的关闭;
S3、在进行反制行为时,启动数据捕获模块收集捕获虚拟端口入侵者的信息;通过诱导入侵者获取并读取该文档,而打开该特制文档后,溢出代码后台将可执行文件植入入侵者的主机,完成对入侵行为的反制。
与现有技术相比,本发明具有如下有益的技术效果:
该方法通过在企业网络的非军事区(DMZ)内存放包含有ftp服务器的IP、登录账号、登录密码作为诱饵,一旦入侵者获取该诱饵就会登录特定ftp服务器,在ftp服务器上存放包含溢出代码的doc和pdf文档,诱导入侵者获取并读取该文档,而打开该特制文档后,溢出代码后台将可执行文件植入入侵者的主机,完成对入侵行为的反制。本发明基于ftp服务结合社会工程学和溢出漏洞,可将后门程序等可执行文件反向植入入侵者终端,进而达到溯源反制的目的,有效防止反复攻击,安全防御效率高,反制力度大,效果好。
附图说明
图1为本发明一种基于ftp服务的攻击反制系统的框图;
图2为一种基于ftp服务的攻击反制系统的反制方法流程图。
具体实施方式
如图1-2所示,本发明提出的一种基于ftp服务的攻击反制系统,包括安全监控模块和反制处理模块,其中,安全监控模块包括入侵检测模块、信号检测模块和入侵数据库;反制处理模块包括虚拟环境模块和数据捕获模块;
入侵检测模块,用于接收互联网数据信息并对入侵行为进行检测,且对入侵行为的信息进行危险等级判定,并根据设定的危险等级判断并是否需要发送危险信号;入侵数据库中设有获取网络攻击事件样本和检测网络攻击事件样本信息的分类储存模块;入侵数据库内数据会在每次攻击反制结束后自动进行更新;
信号检测模块,用于检测是否接收到入侵检测模块发出的入侵信号,并根据收到的信号来决定是否进行反制行为;
入侵数据库,用于储存历史入侵的记录以及入侵的种类和级别;
虚拟环境模块,用于控制非军事区内诱饵的开启和闭合;
数据捕获模块,用于收集捕获虚拟端口入侵者的信息;安全监控模块和反制处理模块基于ftp服务连入网络;虚拟环形模块中诱饵包括含有ftp服务器的IP、登录账号和登录密码,ftp服务器上存放包含溢出代码的doc和pdf文档。
本实施例中,该方法通过在企业网络的非军事区(DMZ)内存放包含有ftp服务器的IP、登录账号、登录密码作为诱饵,一旦入侵者获取该诱饵就会登录特定ftp服务器,在ftp服务器上存放包含溢出代码的doc和pdf文档,诱导入侵者获取并读取该文档,而打开该特制文档后,溢出代码后台将可执行文件植入入侵者的主机,完成对入侵行为的反制。本发明基于ftp服务结合社会工程学和溢出漏洞,可将后门程序等可执行文件反向植入入侵者终端,进而达到溯源反制的目的,有效防止反复攻击,安全防御效率高,反制力度大,效果好。
本发明还提出一种基于ftp服务的攻击反制系统的反制方法;包括以下具体步骤:
S1、通过入侵检测模块检测接收到的互联网数据信息并对入侵行为进行检测,且对入侵行为的信息进行危险等级判定,并根据设定的危险等级判断并是否需要发送危险信号;
S2、通过检测是否接收到入侵检测模块发出的入侵信号,当收到入侵检测模块发出的入侵信号时,虚拟环境模块启动并进行反制行为,同时控制非军事区内诱饵的开启;诱饵开启时,通过在企业网络的非军事区(DMZ)内存放包含有ftp服务器的IP、登录账号、登录密码作为诱饵,当入侵者获取该诱饵就会登录特定ftp服务器,在ftp服务器上存放包含溢出代码的doc和pdf文档,诱导入侵者获取并读取该文档;当未收到入侵检测模块发出的入侵信号时,虚拟环境模块不启动并控制非军事区内诱饵的关闭;
S3、在进行反制行为时,启动数据捕获模块收集捕获虚拟端口入侵者的信息;通过诱导入侵者获取并读取该文档,而打开该特制文档后,溢出代码后台将可执行文件植入入侵者的主机,完成对入侵行为的反制。
上面结合附图对本发明的实施方式作了详细说明,但是本发明并不限于此,在所属技术领域的技术人员所具备的知识范围内,在不脱离本发明宗旨的前提下还可以作出各种变化。

Claims (6)

1.一种基于ftp服务的攻击反制系统,其特征在于,包括安全监控模块和反制处理模块,其中,安全监控模块包括入侵检测模块、信号检测模块和入侵数据库;反制处理模块包括虚拟环境模块和数据捕获模块;
入侵检测模块,用于接收互联网数据信息并对入侵行为进行检测,且对入侵行为的信息进行危险等级判定,并根据设定的危险等级判断并是否需要发送危险信号;
信号检测模块,用于检测是否接收到入侵检测模块发出的入侵信号,并根据收到的信号来决定是否进行反制行为;
入侵数据库,用于储存历史入侵的记录以及入侵的种类和级别;
虚拟环境模块,用于控制非军事区内诱饵的开启和闭合;
数据捕获模块,用于收集捕获虚拟端口入侵者的信息。
2.根据权利要求1所述的一种基于ftp服务的攻击反制系统,其特征在于,安全监控模块和反制处理模块基于ftp服务连入网络。
3.根据权利要求2所述的一种基于ftp服务的攻击反制系统,其特征在于,入侵数据库中设有获取网络攻击事件样本和检测网络攻击事件样本信息的分类储存模块。
4.根据权利要求3所述的一种基于ftp服务的攻击反制系统,其特征在于,虚拟环形模块中诱饵包括含有ftp服务器的IP、登录账号和登录密码,ftp服务器上存放包含溢出代码的doc和pdf文档。
5.根据权利要求4所述的一种基于ftp服务的攻击反制系统,其特征在于,入侵数据库内数据会在每次攻击反制结束后自动进行更新。
6.根据权利要求5所述的一种基于ftp服务的攻击反制系统,其特征在于,还提出一种基于ftp服务的攻击反制系统的反制方法;包括以下具体步骤:
S1、通过入侵检测模块检测接收到的互联网数据信息并对入侵行为进行检测,且对入侵行为的信息进行危险等级判定,并根据设定的危险等级判断并是否需要发送危险信号;
S2、通过检测是否接收到入侵检测模块发出的入侵信号,当收到入侵检测模块发出的入侵信号时,虚拟环境模块启动并进行反制行为,同时控制非军事区内诱饵的开启;诱饵开启时,通过在企业网络的非军事区(DMZ)内存放包含有ftp服务器的IP、登录账号、登录密码作为诱饵,当入侵者获取该诱饵就会登录特定ftp服务器,在ftp服务器上存放包含溢出代码的doc和pdf文档,诱导入侵者获取并读取该文档;当未收到入侵检测模块发出的入侵信号时,虚拟环境模块不启动并控制非军事区内诱饵的关闭;
S3、在进行反制行为时,启动数据捕获模块收集捕获虚拟端口入侵者的信息;通过诱导入侵者获取并读取该文档,而打开该特制文档后,溢出代码后台将可执行文件植入入侵者的主机,完成对入侵行为的反制。
CN202210663934.8A 2022-06-14 2022-06-14 一种基于ftp服务的攻击反制系统及方法 Pending CN115065528A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210663934.8A CN115065528A (zh) 2022-06-14 2022-06-14 一种基于ftp服务的攻击反制系统及方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210663934.8A CN115065528A (zh) 2022-06-14 2022-06-14 一种基于ftp服务的攻击反制系统及方法

Publications (1)

Publication Number Publication Date
CN115065528A true CN115065528A (zh) 2022-09-16

Family

ID=83200739

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210663934.8A Pending CN115065528A (zh) 2022-06-14 2022-06-14 一种基于ftp服务的攻击反制系统及方法

Country Status (1)

Country Link
CN (1) CN115065528A (zh)

Citations (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102790778A (zh) * 2012-08-22 2012-11-21 常州大学 一种基于网络陷阱的DDoS攻击防御系统
CN105488393A (zh) * 2014-12-27 2016-04-13 哈尔滨安天科技股份有限公司 一种基于数据库蜜罐的攻击行为意图分类方法及系统
CN107426242A (zh) * 2017-08-25 2017-12-01 中国科学院计算机网络信息中心 网络安全防护方法、装置及存储介质
CN108134797A (zh) * 2017-12-28 2018-06-08 广州锦行网络科技有限公司 基于蜜罐技术的攻击反制实现系统及方法
CN110839039A (zh) * 2019-11-20 2020-02-25 成都知道创宇信息技术有限公司 一种入侵者反制方法及装置
CN111835761A (zh) * 2020-07-11 2020-10-27 福建奇点时空数字科技有限公司 一种基于系统仿真器的网络攻击诱骗环境构建方法
US20200382552A1 (en) * 2019-03-21 2020-12-03 Xinova, LLC Replayable hacktraps for intruder capture with reduced impact on false positives
CN112134868A (zh) * 2020-09-16 2020-12-25 广州锦行网络科技有限公司 一种基于rdp磁盘映射的攻击反制方法及系统
CN113992444A (zh) * 2021-12-28 2022-01-28 中孚安全技术有限公司 一种基于主机防御的网络攻击溯源与反制系统
CN114157450A (zh) * 2021-11-04 2022-03-08 南方电网深圳数字电网研究院有限公司 基于物联网蜜罐的网络攻击诱导方法及装置
CN114584401A (zh) * 2022-05-06 2022-06-03 国家计算机网络与信息安全管理中心江苏分中心 一种面向大规模网络攻击的追踪溯源系统及方法

Patent Citations (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102790778A (zh) * 2012-08-22 2012-11-21 常州大学 一种基于网络陷阱的DDoS攻击防御系统
CN105488393A (zh) * 2014-12-27 2016-04-13 哈尔滨安天科技股份有限公司 一种基于数据库蜜罐的攻击行为意图分类方法及系统
CN107426242A (zh) * 2017-08-25 2017-12-01 中国科学院计算机网络信息中心 网络安全防护方法、装置及存储介质
CN108134797A (zh) * 2017-12-28 2018-06-08 广州锦行网络科技有限公司 基于蜜罐技术的攻击反制实现系统及方法
US20200382552A1 (en) * 2019-03-21 2020-12-03 Xinova, LLC Replayable hacktraps for intruder capture with reduced impact on false positives
CN110839039A (zh) * 2019-11-20 2020-02-25 成都知道创宇信息技术有限公司 一种入侵者反制方法及装置
CN111835761A (zh) * 2020-07-11 2020-10-27 福建奇点时空数字科技有限公司 一种基于系统仿真器的网络攻击诱骗环境构建方法
CN112134868A (zh) * 2020-09-16 2020-12-25 广州锦行网络科技有限公司 一种基于rdp磁盘映射的攻击反制方法及系统
CN114157450A (zh) * 2021-11-04 2022-03-08 南方电网深圳数字电网研究院有限公司 基于物联网蜜罐的网络攻击诱导方法及装置
CN113992444A (zh) * 2021-12-28 2022-01-28 中孚安全技术有限公司 一种基于主机防御的网络攻击溯源与反制系统
CN114584401A (zh) * 2022-05-06 2022-06-03 国家计算机网络与信息安全管理中心江苏分中心 一种面向大规模网络攻击的追踪溯源系统及方法

Similar Documents

Publication Publication Date Title
Süzen A risk-assessment of cyber attacks and defense strategies in industry 4.0 ecosystem
US8490190B1 (en) Use of interactive messaging channels to verify endpoints
US6405318B1 (en) Intrusion detection system
CN108259449A (zh) 一种防御apt攻击的方法和系统
Thuraisingham et al. Data mining for security applications
CN115134166B (zh) 一种基于蜜洞的攻击溯源方法
Lim et al. Network anomaly detection system: The state of art of network behaviour analysis
Hasan et al. Artificial intelligence empowered cyber threat detection and protection for power utilities
Thakur et al. An analysis of information security event managers
Caesarano et al. Network forensics for detecting SQL injection attacks using NIST method
US11777988B1 (en) Probabilistically identifying anomalous honeypot activity
Paddalwar et al. Cyber threat mitigation using machine learning, deep learning, artificial intelligence, and blockchain
CN115695029B (zh) 一种企业内网攻击防御系统
CN116781380A (zh) 一种校园网安全风险终端拦截溯源系统
CN115065528A (zh) 一种基于ftp服务的攻击反制系统及方法
Vokorokos et al. Sophisticated honeypot mechanism-the autonomous hybrid solution for enhancing computer system security
Rattanalerdnusorn et al. IoTDePT: Detecting security threats and pinpointing anomalies in an IoT environment
Asante et al. DIGITAL FORENSIC READINESS FRAMEWORK BASED ON HONEYPOT AND HONEYNET FOR BYOD
Asante et al. Digital Forensic Readiness Framework Based on Honeypot Technology for BYOD
Brill From hit and run to invade and stay: How cyberterrorists could be living inside your systems
Mansfield-Devine Extreme prejudice: securing networks by treating all data as a threat
Smussenko Cyber kill chain
Sajid A taxonomy of cyber-attacks on computer networks
US12120150B2 (en) Honeypot network management based on probabilistic detection of malicious port activity
de Boer A Generic architecture for fusion-based intrusion detection systems

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
RJ01 Rejection of invention patent application after publication

Application publication date: 20220916

RJ01 Rejection of invention patent application after publication