CN115664764A - 一种流量阻断系统及方法 - Google Patents
一种流量阻断系统及方法 Download PDFInfo
- Publication number
- CN115664764A CN115664764A CN202211281509.9A CN202211281509A CN115664764A CN 115664764 A CN115664764 A CN 115664764A CN 202211281509 A CN202211281509 A CN 202211281509A CN 115664764 A CN115664764 A CN 115664764A
- Authority
- CN
- China
- Prior art keywords
- attack
- information
- access
- flow
- traffic
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Abstract
本申请的实施例提供了一种流量阻断系统及方法,涉及计算机技术领域,包括:蜜罐系统、第一网卡、第二网卡以及源站服务器,基于第一网卡部署蜜罐系统,第二网卡部署在源站服务器,第一网卡用于将第一访问流量转发至蜜罐系统,蜜罐系统用于对第一访问流量进行检测,在第一访问流量为攻击流量时,确定第一访问流量的攻击信息,第二网卡用于获取访问源站服务器的第二访问流量,并基于攻击信息,将第二访问流量中与攻击信息匹配的访问流量进行阻断。在攻击者对第一网卡部署的蜜罐系统攻击时,基于蜜罐系统对第一访问流量进行检测并确定攻击信息,第二网卡基于攻击信息对第二访问流量的存在攻击信息的访问流量进行阻断,保护源站服务器的数据安全。
Description
技术领域
本申请涉及计算机技术领域,具体而言,涉及一种流量阻断系统及方法。
背景技术
随着互联网不断普及,越来越多的单位和个人计算机都连接上互联网,随之网络安全问题也日益严重,互联网上的每台主机都有可能受到攻击。近年来不断发生黑客入侵企业网络的事件,如何保障企业网络安全,构筑一个安全可靠的企业网络成了当前迫切需要解决问题。
为了解决上述问题,在企业网络上部署蜜罐,从而保护企业网络的安全。然而,现有蜜罐部署后,在攻击者攻击蜜罐时,仅能够监测感知到,但是无法阻断,导致企业网络的安全性较低。
发明内容
本申请的目的在于提供一种流量阻断系统及方法,能够提高企业网络的安全性。
为了实现上述目的,本申请实施例采用的技术方案如下:
第一方面,本申请实施例提供了一种流量阻断系统,所述系统包括:蜜罐系统、第一网卡、第二网卡以及源站服务器,基于所述第一网卡部署所述蜜罐系统,所述第二网卡部署在所述源站服务器;
所述第一网卡用于将第一访问流量转发至蜜罐系统;
所述蜜罐系统用于对所述第一访问流量进行检测,在所述第一访问流量为攻击流量时,确定所述第一访问流量的攻击信息;
所述第二网卡用于获取访问所述源站服务器的第二访问流量,并基于所述攻击信息,将所述第二访问流量中与所述攻击信息匹配的访问流量进行阻断。
在可选的实施方式中,所述蜜罐系统还用于:
确定所述第一访问流量的字段是否包含扫描信息;
在所述第一访问流量包含扫描信息的情况下,确定所述第一访问流量为攻击流量。
在可选的实施方式中,所述蜜罐系统还用于:
在所述第一访问流量为攻击流量的情况下,识别所述攻击流量中的IP画像;
确定所述IP画像在威胁情报库中的攻击记录;
确定所述IP画像的攻击手段;
将所述IP画像、攻击记录或者攻击手段作为所述第一访问流量的攻击信息。
在可选的实施方式中,所述攻击信息包括IP画像,所述第二网卡用于:
从所述第二访问流量中确定各流量的IP信息;
确定各IP信息中与所述IP画像匹配的目标IP信息;
对所述目标IP信息对应的第二访问流量进行阻断。
在可选的实施方式中,所述攻击信息包括攻击手段,所述第二网卡用于:
确定所述攻击信息中的攻击手段对应的攻击特征信息;
确定所述第二访问流量中各流量的特征信息:
确定各所述特征信息中的目标特征信息,其中,所述目标特征信息为与所述攻击特征信息匹配的特征信息;
将所述目标特征信息对应的第二访问流量进行阻断。
在可选的实施方式中,所述攻击信息包括攻击记录和IP画像,所述第二网卡用于:
确定所述攻击记录中IP画像中IP信息的攻击次数;
在所述攻击次数大于预设次数的情况下,从所述第二访问流量中将所述IP信息对应的第二访问流量进行阻断。
在可选的实施方式中,所述第二网卡还用于:
在所述攻击记录中IP画像中的IP信息的攻击次数小于或者等于预设次数的情况下,将所述第二访问流量中将所述IP信息对应的第二访问流量按照预设时间段进行阻断。
在可选的实施方式中,所述蜜罐系统还用于:
确定所述第二访问流量中与所述攻击信息匹配的访问流量;
确定所述与所述攻击信息匹配的访问流量对应的IP行为、攻击数据、地理位置以及指纹数据;
将所述IP行为、攻击数据、地理位置以及指纹数据进行记录。
在可选的实施方式中,所述第一网卡与所述第二网卡设置在探针中;
所述探针与所述蜜罐系统和所述源站服务器通信连接。
第二方面,本申请实施例提供了一种流量阻断方法,通过所述流量阻断系统,对所述第二访问流量中与所述攻击信息匹配的访问流量进行阻断。
本申请具有以下有益效果:
本申请通过流量阻断系统的第一网卡用于将第一访问流量转发至蜜罐系统,蜜罐系统用于对第一访问流量进行检测,在第一访问流量为攻击流量时,确定第一访问流量的攻击信息,第二网卡用于获取访问源站服务器的第二访问流量,并基于攻击信息,将第二访问流量中与攻击信息匹配的访问流量进行阻断。在攻击者对第一网卡部署的蜜罐系统攻击时,基于蜜罐系统对第一访问流量进行检测并确定攻击信息,并基于第二网卡基于攻击信息对第二访问流量的存在攻击信息的访问流量进行阻断,保护源站服务器的数据安全。
附图说明
为了更清楚地说明本申请实施例的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本申请的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1为本申请实施例提供的流量阻断系统的结构示意图;
图2为本申请实施例提供的一种流量阻断方法的步骤流程图之一;
图3为本申请实施例提供的一种流量阻断方法的步骤流程图之二;
图4为本申请实施例提供的一种流量阻断方法的步骤流程图之三;
图5为本申请实施例提供的一种流量阻断方法的步骤流程图之四;
图6为本申请实施例提供的一种流量阻断方法的步骤流程图之五。
具体实施方式
为使本申请实施例的目的、技术方案和优点更加清楚,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本申请一部分实施例,而不是全部的实施例。通常在此处附图中描述和示出的本申请实施例的组件可以以各种不同的配置来布置和设计。
因此,以下对在附图中提供的本申请的实施例的详细描述并非旨在限制要求保护的本申请的范围,而是仅仅表示本申请的选定实施例。基于本申请中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。
在本申请的描述中,需要说明的是,若出现术语“上”、“下”、“内”、“外”等指示的方位或位置关系为基于附图所示的方位或位置关系,或者是该发明产品使用时惯常摆放的方位或位置关系,仅是为了便于描述本申请和简化描述,而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作,因此不能理解为对本申请的限制。
此外,若出现术语“第一”、“第二”等仅用于区分描述,而不能理解为指示或暗示相对重要性。
在本申请的描述中,还需要说明的是,除非另有明确的规定和限定,术语“设置”、“安装”、“相连”、“连接”应做广义理解,例如,可以是固定连接,也可以是可拆卸连接,或一体地连接;可以是机械连接,也可以是电连接;可以是直接相连,也可以通过中间媒介间接相连,可以是两个元件内部的连通。对于本领域的普通技术人员而言,可以具体情况理解上述术语在本申请中的具体含义。
经过发明人大量研究发现,在企业网络上部署蜜罐,从而保护企业网络的安全。然而,现有蜜罐部署后,在攻击者攻击蜜罐时,仅能够监测感知到,但是无法阻断,导致企业网络的安全性较低。
有鉴于对上述问题的发现,本实施例提供了一种流量阻断系统及方法,通过流量阻断系统的第一网卡用于将第一访问流量转发至蜜罐系统,蜜罐系统用于对第一访问流量进行检测,在第一访问流量为攻击流量时,确定第一访问流量的攻击信息,第二网卡用于获取访问源站服务器的第二访问流量,并基于攻击信息,将第二访问流量中与攻击信息匹配的访问流量进行阻断。在攻击者对第一网卡部署的蜜罐系统攻击时,基于蜜罐系统对第一访问流量进行检测并确定攻击信息,并基于第二网卡基于攻击信息对第二访问流量的存在攻击信息的访问流量进行阻断,保护源站服务器的数据安全,下面对本实施例提供的方案进行详细阐述。
请参照图1,图1是本申请实施例提供的流量阻断系统100的结构示意图。流量阻断系统可以包括蜜罐系统10、第一网卡11、第二网卡12以及源站服务器13。
在一种可能的实现方式中,所述源站服务器13可以为用户终端,例如,电子设备可以是,但不限于,服务器、智能手机、个人电脑(PersonalComputer,PC)、平板电脑、个人数字助理(Personal Digital Assistant,PDA)、移动上网设备(Mobile Internet Device,MID)等。
所述流量阻断系统100还可包括比图1中所示更多或者更少的组件,或者具有与图1所示不同的配置。图1中所示的各组件可以采用硬件、软件或其组合实现。
蜜罐系统10是网络欺骗的一种,主要通过布设虚假资源,蜜罐系统可以是真实的网络系统或是真实网络环境的模拟,蜜罐系统用来引诱攻击者采取行动,从而发现攻击与收集攻击信息。蜜罐就像是情报收集系统。故意让人攻击的目标,引诱黑客前来攻击。
第一网卡11和第二网卡12设置在蜜罐探针中,蜜罐探针是部署在需要防护的业务网络空间中,模拟业务的端口开发,诱骗攻击者攻击,攻击者被诱骗后连接蜜罐系统IP,业务网络空间将通过流量代理的方式,将攻击重定向至蜜罐系统10中。
基于第一网卡11部署蜜罐系统10,蜜罐系统10对应有多个蜜罐,在攻击者对某一蜜罐进行攻击时,通过第一网卡11将对某一蜜罐的访问流量通过流量代理的方式,将访问流量转发至蜜罐系统10。蜜罐系统10对第一网卡11转发的第一访问流量进行检测,并确定第一访问流量的攻击信息。
第二网卡12部署在需要防护的源站服务器中,用于对基于蜜罐系统10检测的攻击信息,对访问源站服务器的第二访问流量中得异常流量进行阻断。
请参照图2,图2为应用于图1的流量阻断系统100的一种蜜罐阻断方法的流程图,以下将方法包括各个步骤进行详细阐述。
步骤201:第一网卡用于将第一访问流量转发至蜜罐系统。
步骤202:蜜罐系统用于对第一访问流量进行检测,在第一访问流量为攻击流量时,确定第一访问流量的攻击信息。
步骤203:第二网卡用于获取访问源站服务器的第二访问流量,并基于攻击信息,将第二访问流量中与攻击信息匹配的访问流量进行阻断。
首先,将蜜罐内网IP映射到公网去,或者配置域名解析,让蜜罐成为互联网上的业务仿真系统,能够让公网访问到蜜罐地址。由于基于第一网卡部署蜜罐系统,在对蜜罐系统中的任一蜜罐进行访问或者攻击时,由蜜罐将攻击或者访问的第一访问流量通过第一网卡转发至蜜罐系统中。即第一访问流量为对部署的任意蜜罐进行访问或者攻击的流量。
蜜罐系统可以对第一访问流量进行接收,并对接收的第一访问流量进行处理分析。蜜罐系统对接收的第一访问流量进行检测分析,在蜜罐系统检测到第一访问流量中包含扫描信息时,则确定第一访问流量为攻击流量。
在对企业网络或者需要防护的源站服务器进行访问时,正常客户在访问网站时不会进行扫描操作,在攻击者访问网站时会通常会进行扫描操作,从而发现网站的漏洞进行攻击,因此可以基于第一访问流量中是否包含扫描信息而判断第一访问流量是否为攻击流量。
需要说明的是,确定第一访问流量中是否包含扫描信息的方式有多种,在一示例中,在蜜罐系统中设置有扫描信息对应的插件或者代码,基于蜜罐系统中与扫描信息对应的插件或者代码检测到第一访问流量中包含扫描信息时,确定第一访问流量为攻击流量。
蜜罐系统在确定第一访问流量为攻击流量时,确定第一访问流量的攻击信息,第二网卡获取访问源站服务器的所有第二访问流量,第二访问流量包括正常用户的访问流量和攻击者的攻击流量,基于蜜罐系统对蜜罐的第一访问流量确定的攻击信息,对第二访问流量中将与攻击信息匹配的访问流量进行阻断,从而保护源站服务器的数据安全。第二网卡部署在源站服务器处,接入源站服务器交换机镜像流量,在交换机上配置镜像口将所有访问源站服务器的第二访问流量镜像至第二网卡。
确定第一访问流量中的攻击信息有多种实现方式,在一示例中,如图3所示,提供了一种流量阻断方法的流程图,具体包括以下步骤:
步骤202-1:在第一访问流量为攻击流量的情况下,识别攻击流量中的IP画像。
步骤202-2:确定IP画像在威胁情报库中的攻击记录。
步骤202-3:确定IP画像的攻击手段。
步骤202-4:将IP画像、攻击记录或者攻击手段作为第一访问流量的攻击信息。
需要说明的是,IP画像包括IP用户的网络行为数据、IP地址、ID信息、访问时间戳、地理位置等信息。
在第一访问流量包含扫描信息时,确定第一访问流量为攻击流量,蜜罐系统识别攻击流量中的IP画像。并在威胁情报库中确定与IP画像对应的攻击记录。
需要说明的是,威胁情报数据库中包括不同攻击者的攻击信息。将攻击流量与威胁情报数据库中各攻击者的攻击信息进行匹配,获取与攻击流量的IP画像对应的攻击记录。识别IP画像的攻击手段,其中,攻击手段可以还包括邮件攻击、DDOS攻击、种植病毒、系统漏洞攻击、网络监听、www的欺骗技术等攻击手段。
将上述IP画像、攻击记录以及攻击手段作为第一访问流量的攻击信息。
在攻击信息包括IP画像的情况下,基于IP画像,对第二访问流量的阻断的实现方式有多种,在一示例中,如图4所示,提供了一种流量阻断方法的流程图,具体包括以下步骤:
步骤203-1:从第二访问流量中确定各流量的IP信息。
步骤203-2:确定各IP信息中与IP画像匹配的目标IP信息。
步骤203-3:对目标IP信息对应的第二访问流量进行阻断。
由于第二访问流量中包含攻击者的攻击流量和正常访客的访问流量,确定第二访问流量中各流量对应的IP信息。将各流量的IP信息与攻击流量的IP画像进行匹配,在IP画像包括IP信息的情况下,将各流量的IP信息与攻击流量的IP信息进行匹配,从各流量的IP信息中确定出与攻击流量的IP画像的IP信息一致的目标IP信息,第二网卡对目标IP信息对应的第二访问流量进行阻断。即第二网卡将除目标IP信息对应的第二访问流量发送至源站服务器,将目标IP信息对应的第二访问流量进行阻断。
在另一示例中,当IP画像包括IP信息和地理位置时,将各流量的IP信息与攻击流量的IP信息进行匹配,从各流量的IP信息中确定出与攻击流量的IP画像的IP信息一致的目标IP信息,确定各目标IP信息对应的第二访问流量的地理位置,在目标IP信息对应的第二访问流量的地理位置与攻击流量的地理位置一致时,第二网卡目标IP信息对应的第二访问流量的阻断方式可以为:对目标IP信息对应的第二访问流量进行阻断,并且对目标IP信息进行跟踪等操作。
在攻击信息包括攻击手段的情况下,基于攻击手段,对第二访问流量的阻断的实现方式有多种,在一示例中,如图5所示,提供了一种流量阻断方法的流程图,具体包括以下步骤:
步骤203-4:确定攻击信息中的攻击手段对应的攻击特征信息。
步骤203-5:确定第二访问流量中各流量的特征信息。
步骤203-6:确定各特征信息中的目标特征信息。
其中,目标特征信息为与攻击特征信息匹配的特征信息。
步骤203-7:将目标特征信息对应的第二访问流量进行阻断。
确定蜜罐系统确定的攻击流量中的攻击特征中的攻击特征信息,确定对源站服务器的第二访问流量中各流量的特征信息,将各流量的特征信息分别与攻击流量对应的攻击特征信息进行匹配,从各流量的特征信息中确定与攻击特征信息匹配的目标特征信息,即目标特征信息对应的第二访问流量即为攻击者发送的攻击流量,将目标特征信息对应的第二访问流量进行阻断。对目标特征信息对应的第二访问流量进行阻断的方式有多种,在一示例中,将目标特征信息与威胁情报数据库中记录的攻击手段对应的攻击特征信息进行匹配。具体地,将目标特征信息分别与邮件攻击、DDOS攻击、种植病毒、系统漏洞攻击、网络监听、www的欺骗技术对应的攻击特征信息进行匹配,当目标特征信息与邮件攻击对应的攻击特征信息匹配时,确定攻击邮件对应的阻断策略,基于邮件攻击对应的阻断策略对目标特征信息对应的第二访问流量进行阻断。当目标特征信息与DDOS攻击对应的特征信息匹配时,确定DDOS攻击对应的阻断策略,基于DDOS攻击对应的阻断策略对目标特征信息对应的第二访问流量进行阻断,当目标特征信息与种植病毒对应的攻击特征信息匹配时,确定种植病毒对应的阻断策略,基于种植病毒对应的阻断策略对目标特征信息对应的第二访问流量进行阻断。当目标特征信息与系统漏洞攻击对应的特征信息匹配时,确定系统漏洞攻击对应的阻断策略,基于系统漏洞攻击对应的阻断策略对目标特征信息对应的第二访问流量进行阻断。当目标特征信息与网络监听对应的特征信息匹配时,确定网络监听对应的阻断策略,基于网络监听对应的阻断策略对目标特征信息对应的第二访问流量进行阻断。当目标特征信息与www的欺骗技术对应的特征信息匹配时,确定www的欺骗技术对应的阻断策略,基于www的欺骗技术对应的阻断策略对目标特征信息对应的第二访问流量进行阻断。
需要说明的是,邮件攻击对应的阻断策略可以为将邮件进行标记后转发至源站服务器,DDOS攻击是进入磁盘操作系统发起分布式拒绝服务攻击,中断某一网络资源,使其暂时无法使用,对于DDOS攻击对应的阻断策略为直接阻断对应的第二访问流量转发至源站服务器。对于种植病毒、系统漏洞攻击、网络监听、www的欺骗技术对应的阻断策略可以直接阻断对应的第二访问流量转发至源站服务器。同时对目标特征信息对应IP行为、攻击数据、地理位置以及指纹数据在蜜罐系统进行记录。
在攻击信息包括攻击记录和IP画像的情况下,基于攻击记录,对第二访问流量的阻断的实现方式有多种,在一示例中,如图6所示,提供了一种流量阻断方法的流程图,具体包括以下步骤:
步骤203-8:确定攻击记录中IP画像中IP信息的攻击次数。
步骤203-9:在攻击次数大于预设次数的情况下,从第二访问流量中将IP信息对应的第二访问流量进行阻断。
在一示例中,当攻击记录中的IP信息的攻击次数大于预设次数的情况下,表明该IP信息为高危IP信息,直接对该IP信息对应的第二访问流量进行阻断。
需要说明的是,预设次数可以由本领域技术人员灵活设置,本申请对此不做具体限制。
在另一示例中,当攻击记录中IP信息的攻击次数小于或者等于预设次数,从第二访问流量中将IP信息对应的第二访问流量按照预设时间段进行阻断。即禁止预设时间段内,IP信息对应的第二访问流量的访问。
例如:在攻击记录中IP信息的攻击次数小于或者等于预设次数,将第二访问流量中将IP信息对应的第二访问流量禁止访问半小时、一小时。两小时等。
对于预设时间段的设置可以有本领域技术人员灵活设置,本申请对此不作具体限制。
在超过预设时间段后,对IP信息对应的第二访问流量继续监测,在检测到在攻击记录中IP画像中IP信息的攻击次数为0时,解除对该IP信息的第二访问流量的阻断,允许该IP信息对源站服务器的访问。
本申请实施例还提供了一种流量阻断方法,通过上述流量阻断系统,对所述第二访问流量中与攻击信息匹配的访问流量进行阻断。
在本申请所提供的实施例中,应该理解到,所揭露的装置和方法,也可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的,例如,附图中的流程图和框图显示了根据本申请的多个实施例的装置、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分,所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现方式中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个连续的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或动作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
另外,在本申请各个实施例中的各功能模块可以集成在一起形成一个独立的部分,也可以是各个模块单独存在,也可以两个或两个以上模块集成形成一个独立的部分。所述功能如果以软件功能模块的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
以上所述,仅为本申请的各种实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应所述以权利要求的保护范围为准。
Claims (10)
1.一种流量阻断系统,其特征在于,所述系统包括:蜜罐系统、第一网卡、第二网卡以及源站服务器,基于所述第一网卡部署所述蜜罐系统,所述第二网卡部署在所述源站服务器;
所述第一网卡用于将第一访问流量转发至蜜罐系统;
所述蜜罐系统用于对所述第一访问流量进行检测,在所述第一访问流量为攻击流量时,确定所述第一访问流量的攻击信息;
所述第二网卡用于获取访问所述源站服务器的第二访问流量,并基于所述攻击信息,将所述第二访问流量中与所述攻击信息匹配的访问流量进行阻断。
2.根据权利要求1所述的系统,其特征在于,所述蜜罐系统还用于:
确定所述第一访问流量的字段是否包含扫描信息;
在所述第一访问流量包含扫描信息的情况下,确定所述第一访问流量为攻击流量。
3.根据权利要求2所述的系统,其特征在于,所述蜜罐系统还用于:
在所述第一访问流量为攻击流量的情况下,识别所述攻击流量中的IP画像;
确定所述IP画像在威胁情报库中的攻击记录;
确定所述IP画像的攻击手段;
将所述IP画像、攻击记录或者攻击手段作为所述第一访问流量的攻击信息。
4.根据权利要求1所述的系统,其特征在于,所述攻击信息包括IP画像,所述第二网卡用于:
从所述第二访问流量中确定各流量的IP信息;
确定各IP信息中与所述IP画像匹配的目标IP信息;
对所述目标IP信息对应的第二访问流量进行阻断。
5.根据权利要求3所述的系统,其特征在于,所述攻击信息包括攻击手段,所述第二网卡用于:
确定所述攻击信息中的攻击手段对应的攻击特征信息;
确定所述第二访问流量中各流量的特征信息:
确定各所述特征信息中的目标特征信息,其中,所述目标特征信息为与所述攻击特征信息匹配的特征信息;
将所述目标特征信息对应的第二访问流量进行阻断。
6.根据权利要求1所述的系统,其特征在于,所述攻击信息包括攻击记录和IP画像,所述第二网卡用于:
确定所述攻击记录中IP画像中IP信息的攻击次数;
在所述攻击次数大于预设次数的情况下,
从所述第二访问流量中将所述IP信息对应的第二访问流量进行阻断。
7.根据权利要求6所述的系统,其特征在于,所述第二网卡还用于:
在所述攻击记录中IP画像中的IP信息的攻击次数小于或者等于预设次数的情况下,将所述第二访问流量中将所述IP信息对应的第二访问流量按照预设时间段进行阻断。
8.根据权利要求1所述的系统,其特征在于,所述蜜罐系统还用于:
确定所述第二访问流量中与所述攻击信息匹配的访问流量;
确定所述与所述攻击信息匹配的访问流量对应的IP行为、攻击数据、地理位置以及指纹数据;
将所述IP行为、攻击数据、地理位置以及指纹数据进行记录。
9.根据权利要求1所述的系统,其特征在于,所述第一网卡与所述第二网卡设置在探针中;
所述探针与所述蜜罐系统和所述源站服务器通信连接。
10.一种流量阻断方法,其特征在于,通过所述权利要求1-9中任一项的流量阻断系统,对所述第二访问流量中与所述攻击信息匹配的访问流量进行阻断。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202211281509.9A CN115664764A (zh) | 2022-10-19 | 2022-10-19 | 一种流量阻断系统及方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202211281509.9A CN115664764A (zh) | 2022-10-19 | 2022-10-19 | 一种流量阻断系统及方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN115664764A true CN115664764A (zh) | 2023-01-31 |
Family
ID=84989396
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202211281509.9A Pending CN115664764A (zh) | 2022-10-19 | 2022-10-19 | 一种流量阻断系统及方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN115664764A (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN117240623A (zh) * | 2023-11-13 | 2023-12-15 | 杭州海康威视数字技术股份有限公司 | 一种保证业务连续性的蠕虫病毒阻断系统、方法及装置 |
-
2022
- 2022-10-19 CN CN202211281509.9A patent/CN115664764A/zh active Pending
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN117240623A (zh) * | 2023-11-13 | 2023-12-15 | 杭州海康威视数字技术股份有限公司 | 一种保证业务连续性的蠕虫病毒阻断系统、方法及装置 |
CN117240623B (zh) * | 2023-11-13 | 2024-02-02 | 杭州海康威视数字技术股份有限公司 | 一种保证业务连续性的蠕虫病毒阻断系统、方法及装置 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Denis et al. | Penetration testing: Concepts, attack methods, and defense strategies | |
Ghafir et al. | Botdet: A system for real time botnet command and control traffic detection | |
EP3584733B1 (en) | System and method of countering an attack on computing devices of users | |
CN110730175B (zh) | 一种基于威胁情报的僵尸网络检测方法及检测系统 | |
Spitzner | Honeypots: Catching the insider threat | |
KR101554809B1 (ko) | 프로토콜 핑거프린팅 및 평판 상관을 위한 시스템 및 방법 | |
KR101689299B1 (ko) | 보안이벤트 자동 검증 방법 및 장치 | |
EP2147390B1 (en) | Detection of adversaries through collection and correlation of assessments | |
US20100262688A1 (en) | Systems, methods, and devices for detecting security vulnerabilities in ip networks | |
US20120084866A1 (en) | Methods, systems, and media for measuring computer security | |
US20100125663A1 (en) | Systems, methods, and devices for detecting security vulnerabilities in ip networks | |
US20100169975A1 (en) | Systems, methods, and devices for detecting security vulnerabilities in ip networks | |
Giani et al. | Data exfiltration and covert channels | |
CN110602032A (zh) | 攻击识别方法及设备 | |
Mangino et al. | Internet-scale insecurity of consumer internet of things: An empirical measurements perspective | |
BalaGanesh et al. | Smart devices threats, vulnerabilities and malware detection approaches: a survey | |
CN112532636A (zh) | 一种基于T-Pot蜜罐和主干网流量的恶意域名检测方法及装置 | |
CN115664764A (zh) | 一种流量阻断系统及方法 | |
KR20170091989A (ko) | 산업 제어 네트워크에서의 보안 관제 평가 시스템 및 방법 | |
Assing et al. | Mobile access safety: Beyond BYOD | |
Boggs et al. | Discovery of emergent malicious campaigns in cellular networks | |
Ng et al. | Advanced persistent threat detection based on network traffic noise pattern and analysis | |
Atta Ul Haq | Cyber crime and their restriction through laws and techniques for protecting security issues and privacy threats | |
Hamisi et al. | Intrussion detection by penetration test in an organization network | |
Smith | Hiding in the noise: Creation and detection analysis of modern covert channels |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |