CN116055185A - 分布式网络信息发布系统的主动网络安全防御方法和系统 - Google Patents
分布式网络信息发布系统的主动网络安全防御方法和系统 Download PDFInfo
- Publication number
- CN116055185A CN116055185A CN202310042494.9A CN202310042494A CN116055185A CN 116055185 A CN116055185 A CN 116055185A CN 202310042494 A CN202310042494 A CN 202310042494A CN 116055185 A CN116055185 A CN 116055185A
- Authority
- CN
- China
- Prior art keywords
- suspected
- hacker
- sniffing
- suspected hacker
- risk
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 36
- 230000007123 defense Effects 0.000 title claims abstract description 32
- 239000013598 vector Substances 0.000 claims abstract description 40
- 238000012544 monitoring process Methods 0.000 claims abstract description 8
- 238000005516 engineering process Methods 0.000 claims description 7
- 230000002441 reversible effect Effects 0.000 claims description 7
- 230000006872 improvement Effects 0.000 description 8
- 238000004891 communication Methods 0.000 description 7
- 238000005336 cracking Methods 0.000 description 3
- 238000013461 design Methods 0.000 description 3
- 230000002265 prevention Effects 0.000 description 3
- 230000009471 action Effects 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 230000003449 preventive effect Effects 0.000 description 2
- 230000008569 process Effects 0.000 description 2
- 230000002829 reductive effect Effects 0.000 description 2
- 230000003068 static effect Effects 0.000 description 2
- 208000012661 Dyskinesia Diseases 0.000 description 1
- 206010033799 Paralysis Diseases 0.000 description 1
- 238000004458 analytical method Methods 0.000 description 1
- 238000013475 authorization Methods 0.000 description 1
- 238000004364 calculation method Methods 0.000 description 1
- 230000015556 catabolic process Effects 0.000 description 1
- 238000004590 computer program Methods 0.000 description 1
- 239000012141 concentrate Substances 0.000 description 1
- 230000007423 decrease Effects 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 239000004744 fabric Substances 0.000 description 1
- 230000000670 limiting effect Effects 0.000 description 1
- 238000010606 normalization Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 230000001360 synchronised effect Effects 0.000 description 1
- 238000012360 testing method Methods 0.000 description 1
- 230000001960 triggered effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/126—Applying verification of the received information the source of the received data
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1491—Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/146—Tracing the source of attacks
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D30/00—Reducing energy consumption in communication networks
- Y02D30/50—Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及一种分布式网络信息发布系统的主动网络安全防御方法和系统,属于主动网络安全防御技术领域,解决了现有技术中网络安全防御方法难度大实施困难、效率低、成本高的问题。方法包括以下步骤:在分布式网络信息发布系统中设置诱饵机器;在诱饵机器可访问的内网机器的访问端口处设置监听器,监听器监听来自诱饵机器的嗅探包,根据嗅探包进行IP溯源得到疑似黑客IP,构建疑似黑客IP的特征向量;基于疑似黑客IP特征向量计算疑似黑客IP的危险度;根据疑似黑客IP的危险度对疑似黑客IP进行主动攻击。实现了简单高效快捷的主动安全防御。
Description
技术领域
本发明涉及主动网络安全防御技术领域,尤其涉及一种分布式网络信息发布系统的主动网络安全防御方法和系统。
背景技术
分布式网络信息发布系统作为公网典型服务系统,具有透明IP和网络服务协议,一般作为新闻和中枢单位的信息中心平台,也容易遭到黑客或敌对势力的攻击。如何应对网络攻击是庞大的技术知识体系,比如0day漏洞、权限破解、DDoS流量攻击等。
以往的设计方式已经归纳出防火墙模式、内部网络协议模式和实时运营检查模式。其中防火墙模式定义各类网络单位的访问IP访问、协议类型、连接条件,不满足规则的一律阻塞。而权限破解类方法的方法是通过复杂的软件工程解耦,将前端、业务逻辑、数据库等分开权限甚至分开硬件管理,而且建立多重热备份和冷备份防止一起被攻克。第3类更具有灵活性和高效性的方法是白帽实时运营监测模式,因为0day或系统很多漏洞很可能超出原始软硬件开发者的能力范围,专业的白帽团队实时监测流量和网络包变化,基于经验判断风险,关停服务或增加服务器应对DDoS攻击,目前是最有效也是网络安全的最高防护级别
但以上3种方式都存在很大问题。首先防火墙设置繁琐,稍有遗漏就会造成攻击漏洞,甚至防火墙本身就会引起黑客的兴趣,因为可能保护的数据资源重大;其次权限破解类的防范需要较高水平的设计模型,解耦后软件模块协作难度加大,容易出现授权混乱甚至权限死循环状态,而且万一被攻破最高权限账户一样存在崩溃风险;第3,白帽人工监测主要受限于人员水平,如果不是精通网络攻防的人很难从流量和网络数据包中判断异动,而且,人工需要精力集中,而且互联网信息服务一般都是24小时如果是全球服务,就没有闲忙时段区分,而无论3班倒还是其他方式,都会增加人员压力和提高用工成本。
发明内容
鉴于上述的分析,本发明实施例旨在提供一种分布式网络信息发布系统的主动网络安全防御方法和系统,用以解决现有网络安全防御方法难度大实施困难、效率低、成本高的问题。
一方面,本发明实施例提供了一种分布式网络信息发布系统的主动网络安全防御方法,包括以下步骤:
在分布式网络信息发布系统中设置诱饵机器;
在诱饵机器可访问的内网机器的访问端口处设置监听器,监听器监听来自诱饵机器的嗅探包,根据嗅探包进行IP溯源得到疑似黑客IP,构建疑似黑客IP的特征向量;
基于疑似黑客IP特征向量计算疑似黑客IP的危险度;
根据疑似黑客IP的危险度对疑似黑客IP进行主动攻击。
基于上述技术方案的进一步改进,根据嗅探包进行IP溯源得到疑似黑客IP,构建疑似黑客IP的特征向量,包括:
采用单播反向路由查找技术得到每个嗅探包的嗅探源IP,记录每个嗅探包的嗅探源IP、网络流量和协议版本;所述嗅探源IP为疑似黑客IP;
每个疑似黑客IP的累计网络流量、累计协议版本数量和累计嗅探次数,构成每个疑似黑客IP的特征向量。
基于上述技术方案的进一步改进,根据疑似黑客IP的危险度对疑似黑客IP进行主动攻击,包括:
根据每个疑似黑客IP的危险度计算每个疑似黑客IP的攻击频率;
根据每个疑似黑客IP的攻击频率对该疑似黑客IP进行主动攻击。
基于上述技术方案的进一步改进,采用以下公式计算每个疑似黑客IP的危险度:
其中,Ri表示第i个疑似黑客IP的危险度,Wi表示第i个疑似黑客IP的危险权重,Bi表示第i个疑似黑客IP到监听器所在内网机器的路由节点数,Xij表示第i个疑似黑客IP的特征向量的第j个元素,m表示特征向量的元素数量。
基于上述技术方案的进一步改进,采用以下公式计算疑似黑客IP的危险权重:
其中,Tcurrent表示当前时间,Tlasti表示第i个疑似黑客IP最后一次嗅探的时间,ATTi表示第i个疑似黑客IP的累计嗅探次数。
基于上述技术方案的进一步改进,采用以下公式计算每个疑似黑客IP的攻击频率:
其中,Ri表示第i个疑似黑客IP的危险度,Tcurrent表示当前时间,Tstart网络信息发布时间,Wnews表示发布信息的影响时效,Mod(·)表示取整。
基于上述技术方案的进一步改进,采用以下公式计算发布信息的影响时效:
根据Wnews=a*P计算发布信息的影响时效,其中,a表示信息基本影响时间;
其中,L表示发布信息的特征向量,W表示特征权重,P表示发布信息的重要性。
另一方面,本发明实施例提供了一种分布式网络信息发布系统的主动网络安全防御系统,包括:
诱饵机器,所述诱饵机器设置在分布式网络信息发布系统中;
监听器模块,设置在诱饵机器可访问的内网机器的访问端口处,用于监听来自诱饵机器的嗅探包,根据嗅探包进行IP溯源得到疑似黑客IP,构建疑似黑客IP的特征向量;
危险度计算模块,用于基于疑似黑客IP特征向量计算疑似黑客IP的危险度;
主动攻击模块,用于根据疑似黑客IP的危险度对疑似黑客IP进行主动攻击。
基于上述技术方案的进一步改进,所述监听器模块采用以下方式根据嗅探包进行IP溯源得到疑似黑客IP,构建疑似黑客IP的特征向量:
采用单播反向路由查找技术得到每个嗅探包的嗅探源IP,记录每个嗅探包的嗅探源IP、网络流量和协议版本;所述嗅探源IP为疑似黑客IP;
每个疑似黑客IP的累计网络流量、累计协议版本数量和累计嗅探次数,构成每个疑似黑客IP的特征向量。
基于上述技术方案的进一步改进,所述主动攻击模块根据疑似黑客IP的危险度对疑似黑客IP进行主动攻击,包括:
根据每个疑似黑客IP的危险度计算每个疑似黑客IP的攻击频率;
根据每个疑似黑客IP的攻击频率对该疑似黑客IP进行主动攻击。
与现有技术相比,本发明通过在分布式网络信息发布系统中设置诱饵机器,诱使黑客进行嗅探,通过获取并分析嗅探数据包从而找出疑似黑客IP,在黑客全面攻击前对其进行主动攻击,在一定时间内封锁攻击方的行动能力,从而提前进行防御,进而提高了分布式信息发布系统的预防能力,高效快捷的进行安全预防,方法简单,便于实施,并且降低了人工成本。
本发明中,上述各技术方案之间还可以相互组合,以实现更多的优选组合方案。本发明的其他特征和优点将在随后的说明书中阐述,并且,部分优点可从说明书中变得显而易见,或者通过实施本发明而了解。本发明的目的和其他优点可通过说明书以及附图中所特别指出的内容中来实现和获得。
附图说明
附图仅用于示出具体实施例的目的,而并不认为是对本发明的限制,在整个附图中,相同的参考符号表示相同的部件。
图1为本发明实施例分布式网络信息发布系统的主动网络安全防御方法的流程图;
图2为本发明实施例分布式网络信息发布系统的主动网络安全防御系统的框图。
具体实施方式
下面结合附图来具体描述本发明的优选实施例,其中,附图构成本申请一部分,并与本发明的实施例一起用于阐释本发明的原理,并非用于限定本发明的范围。
分布式网络信息发布系统的主动网络安全防御的设计目标是尽可能少的资源取得最大的防御效果。基于此,我们调研了黑客攻击的一般流程,可以总结如下
1、如果是公开网址网站,收集dns的ip列表
2、对每个ip进行简单的权限密码测试
3、如果权限密码复杂、安全防火墙到位无法联通,则购买操作系统或其他中间件的oday漏洞进行溢出攻击
4、如果能获取账号,尝试升级账号到最高权限
5、获取该机器上所有数据信息
6、通过该机器进入分布式系统其他机器,因为内网具有更高链接权限
7、在指定时间点进行全面攻击,瘫痪主机或篡改数据进行勒索
所以,根据以上黑客攻击流程,对于完全无法防范的软硬件0day漏洞显然无法进行自动防御。但oday漏洞除了开发者本身之外的发现者也都是更高级别的计算机用户,国际0day漏洞的出售价格一向高昂,对于以获利为主的黑客来说,0day攻击不是优先选择。
那么,尽量在黑客发动全面攻击前洞察并且降低黑客的攻击级别才是本发明所考虑的方式。
基于此,本发明的一个具体实施例,公开了一种分布式网络信息发布系统的主动网络安全防御方法,如图1所示,包括以下步骤:
S1、在分布式网络信息发布系统中设置诱饵机器;
S2、在诱饵机器可访问的内网机器的访问端口处设置监听器,监听器监听来自诱饵机器的嗅探包;根据嗅探包进行IP溯源得到疑似黑客IP,构建疑似黑客IP的特征向量;
S3、基于疑似黑客IP特征向量计算疑似黑客IP的危险度;
S4、根据疑似黑客IP的危险度对疑似黑客IP进行主动攻击。
通过在分布式网络信息发布系统中设置诱饵机器,诱使黑客进行嗅探,通过获取并分析嗅探数据包从而找出疑似黑客IP,在黑客全面攻击前对其进行主动攻击,在一定时间内封锁攻击方的行动能力,从而提前进行防御,进而提高了分布式信息发布系统的预防能力,高效快捷的进行安全预防,方法简单,便于实施,并且降低了人工成本。
实施时,诱饵要足够逼真,因此诱饵机器必须保有同样的发布静态数据(即无数据库常见网站数据)比如html数据和公开访问接口比如http的80端口,在刷新时或通过ip直连时与其他受保护网站相同。
为了确保系统安全性,诱饵机器要足够隔离。实施时,诱饵机器保有发布数据的方式只有2种,物理隔离的硬拷贝或者单向从其他服务拉取数据。实施时,拉取数据只能通过自定义通信协议实现,自定义通信协议可在tcp协议基础上实现,通信协作中包括通信双方的IP地址和通信方向,协议限制发起数据通信方向只能由诱饵机器发起,通信数据限制在服务器的固定独立静态文件夹中,从而只能从服务器的固定位置拉取数据,不会被入侵的黑客攻击。
实施时,诱饵机器要广而告知。诱饵机器的ip需要设置在发布门户地址的所有dns列表的首位,同步到所有可见的dns服务器上。
实施时,为了安全性,诱饵机器上不保存任何其他数据。实施时,诱饵机器所有账户密码采用满足条件的弱密码。
按照目前文献和网络安全攻防案例,黑客进入一个具有内网地址的机器后都会主动嗅探内网所有机器,这也成为标准的攻击步骤。为了锁定疑似黑客IP,在诱饵机器可访问的内网机器的访问端口处设置监听器,例如,在内网机器的标准网络协议接口处,如tcp的21端口和http的80端口处均设置端口监听器,接到诱饵机器的访问信号作为触发。
具体的,监听器监听来自诱饵机器的嗅探包,不回应来自诱饵机器的任何请求,根据嗅探包进行IP溯源得到疑似黑客IP,构建疑似黑客IP的特征向量。具体包括:
S21、采用单播反向路由查找技术得到每个嗅探包的嗅探源IP,记录每个嗅探包的嗅探源IP、网络流量和协议版本;所述嗅探源IP为疑似黑客IP;
S22、每个疑似黑客IP的累计网络流量、累计协议版本数量和累计嗅探次数,构成每个疑似黑客IP的特征向量。
实施时,可采用wireshark监听嗅探数据包,采用单播反向路由查找技术进行溯源,获取嗅探包的源IP(即嗅探包的嗅探源IP)、数据包协议名称和版本、以及数据包的大小,数据包大小即网络流量。
实施时,若当前嗅探包的协议与历史嗅探包的协议均不同,或协议相同但版本不同,则累计协议版本数量加一。
网络协议是分层的,不同的协议意味着权限的不同,黑客采用的协议种类越多说明其危险性更大。数据包大小也反应黑客攻击的意愿和潜在能力,数据包越大,数据包潜在的攻击能力越强。嗅探次数越多也意味着意愿越强烈,因此,实施时,采用嗅探源IP的累计网络流量、累计协议版本数量和累计访问次数作为嗅探源IP的特征向量,即疑似黑客IP的特征向量。
需要说明的是,疑似黑客IP的特征向量的元素为归一化后的数据。例如,对于累计网络流量这个维度来说,首先计算所有疑似黑客IP的累计网络流量的均值和方差,根据公式计算每个疑似黑客IP归一化后的累计网络流量xi,其中,xmean表示所有疑似黑客IP的累计网络流量的均值,xstd表示所有疑似黑客IP的累计网络流量的方差。
具体的,步骤S3中采用以下公式计算每个疑似黑客IP的危险度:
其中,Ri表示第i个疑似黑客IP的危险度,Wi表示第i个疑似黑客IP的危险权重,Bi表示第i个疑似黑客IP到监听器所在内网机器的路由节点数,Xij表示第i个疑似黑客IP的特征向量的第j个元素,m表示特征向量的元素数量。
路由节点与发布系统服务器的路由节点更近,则其危险度越大,因此,采用将疑似黑客IP到监听器所在内网机器的路由节点数的倒数加入疑似黑客IP的危险度计算中,从而进一步更准确的计算每个疑似黑客IP的危险度,从而便于后续根据危险度进行主动防御攻击,进而提高信息发布系统的安全性。
具体的,采用以下公式计算疑似黑客IP的危险权重:
其中,Tcurrent表示当前时间,Tlasti表示第i个疑似黑客IP最后一次嗅探的时间,ATTi表示第i个疑似黑客IP的累计嗅探次数。
上次攻击的时间越近,说明黑客服务器热机状态,越热说明配置现成攻击性越高。因此采用上述公式计算疑似黑客IP的危险权重。
计算每个疑似黑客IP的危险度后,根据疑似黑客IP的危险度对疑似黑客IP进行主动攻击,具体的,步骤S4包括:
S41、根据每个疑似黑客IP的危险度计算每个疑似黑客IP的攻击频率;
S42、根据每个疑似黑客IP的攻击频率对该疑似黑客IP进行主动攻击。
具体的,步骤S41中采用以下公式计算每个疑似黑客IP的攻击频率:
其中,Ri表示第i个疑似黑客IP的危险度,Tcurrent表示当前时间,Tstart网络信息发布时间,Wnews表示发布信息的影响时效,Mod(·)表示取整。
信息是具有时效性的,一般来说,越新颖、越及时的信息,其价值越高,信息的价值会随着时间的推移而降低。因此,距离信息发布时间越近,攻击频率越高,距离信息发布时间越远,攻击频率越低。
具体的,采用以下公式计算发布信息的影响时效:
根据Wnews=a*P计算发布信息的影响时效,其中,a表示信息基本影响时间,P表示发布信息的重要性。
不同类型的信息,其基本影响时间可能不同,例如,新闻信息通常可设置为48小时,政府通告信息可为720小时。
具体的,根据以下公式计算发布信息的重要性:
其中,L表示发布信息的特征向量,W表示特征权重。
实施时,公开信息的特征向量L可由预期访问量、预期单位时间网络流量、公开信息长度和公开信息类型构成。
预期访问量、预期单位时间网络流量可根据历史同类型信息的平均访问量、平均单位时间网络流量得到。
公开信息类型为公开信息的重要等级,越重要等级越高,例如重要等级总共分为6级,则第6级的信息重要性更高。
实施时,特征权重W的元素与发布信息的特征向量的元素一一对应,其值可根据历史所有发布信息得到。例如,对于访问量特征,计算信息发布系统历史发布信息的访问量均值和方差,方差除以均值得到特征权重W中访问量维度的权重。
计算每个疑似黑客IP的攻击频率后,根据每个疑似黑客IP的攻击频率对该疑似黑客IP进行主动攻击。
由于黑客在入侵系统的其自身的端口也处于标准协议的连接状态,因此,可对其进行主动攻击,实施时根据标准协议加端口进行轮训DDos攻击。攻击顺序可按照疑似黑客IP的危险度从大到小的顺序。根据疑似黑客IP的危险度对疑似黑客IP进行主动攻击。
需要说明的是,计算得到的攻击频率为理论攻击频率,实施时,不是必须严格按照此频率进行后续的主动攻击,可按照此频率进行攻击,也可以该理论攻击频率作为依据计算出实际攻击频率。
实施时,设置停止攻击阈值,若某个疑似黑客IP的实际攻击频率小于攻击阈值,则停止对该疑似黑客IP进行攻击。
本发明的一个具体实施例,公开了一种分布式网络信息发布系统的主动网络安全防御系统,如图2所示,包括:
诱饵机器,所述诱饵机器设置在分布式网络信息发布系统中;
监听器模块,设置在诱饵机器可访问的内网机器的访问端口处,用于监听来自诱饵机器的嗅探包,根据嗅探包进行IP溯源得到疑似黑客IP,构建疑似黑客IP的特征向量;
危险度计算模块,用于基于疑似黑客IP特征向量计算疑似黑客IP的危险度;
主动攻击模块,用于根据疑似黑客IP的危险度对疑似黑客IP进行主动攻击。
优选的,所述监听器模块采用以下方式根据嗅探包进行IP溯源得到疑似黑客IP,构建疑似黑客IP的特征向量:
采用单播反向路由查找技术得到每个嗅探包的嗅探源IP,记录每个嗅探包的嗅探源IP、网络流量和协议版本;所述嗅探源IP为疑似黑客IP;
每个疑似黑客IP的累计网络流量、累计协议版本数量和累计嗅探次数,构成每个疑似黑客IP的特征向量。
优选的,所述主动攻击模块根据疑似黑客IP的危险度对疑似黑客IP进行主动攻击,包括:
根据每个疑似黑客IP的危险度计算每个疑似黑客IP的攻击频率;
根据每个疑似黑客IP的攻击频率对该疑似黑客IP进行主动攻击。
上述方法实施例和系统实施例,基于相同的原理,其相关之处可相互借鉴,且能达到相同的技术效果。具体实施过程参见前述实施例,此处不再赘述。
本领域技术人员可以理解,实现上述实施例方法的全部或部分流程,可以通过计算机程序来指令相关的硬件来完成,所述的程序可存储于计算机可读存储介质中。其中,所述计算机可读存储介质为磁盘、光盘、只读存储记忆体或随机存储记忆体等。
以上所述,仅为本发明较佳的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。
Claims (10)
1.分布式网络信息发布系统的主动网络安全防御方法,其特征在于,包括以下步骤:
在分布式网络信息发布系统中设置诱饵机器;
在诱饵机器可访问的内网机器的访问端口处设置监听器,监听器监听来自诱饵机器的嗅探包,根据嗅探包进行IP溯源得到疑似黑客IP,构建疑似黑客IP的特征向量;
基于疑似黑客IP特征向量计算疑似黑客IP的危险度;
根据疑似黑客IP的危险度对疑似黑客IP进行主动攻击。
2.根据权利要求1所述分布式网络信息发布系统的主动网络安全防御方法,其特征在于,根据嗅探包进行IP溯源得到疑似黑客IP,构建疑似黑客IP的特征向量,包括:
采用单播反向路由查找技术得到每个嗅探包的嗅探源IP,记录每个嗅探包的嗅探源IP、网络流量和协议版本;所述嗅探源IP为疑似黑客IP;
每个疑似黑客IP的累计网络流量、累计协议版本数量和累计嗅探次数,构成每个疑似黑客IP的特征向量。
3.根据权利要求1所述的分布式网络信息发布系统的主动网络安全防御方法,其特征在于,根据疑似黑客IP的危险度对疑似黑客IP进行主动攻击,包括:
根据每个疑似黑客IP的危险度计算每个疑似黑客IP的攻击频率;
根据每个疑似黑客IP的攻击频率对该疑似黑客IP进行主动攻击。
8.分布式网络信息发布系统的主动网络安全防御系统,其特征在于,包括:
诱饵机器,所述诱饵机器设置在分布式网络信息发布系统中;
监听器模块,设置在诱饵机器可访问的内网机器的访问端口处,用于监听来自诱饵机器的嗅探包,根据嗅探包进行IP溯源得到疑似黑客IP,构建疑似黑客IP的特征向量;
危险度计算模块,用于基于疑似黑客IP特征向量计算疑似黑客IP的危险度;
主动攻击模块,用于根据疑似黑客IP的危险度对疑似黑客IP进行主动攻击。
9.根据权利要求8所述分布式网络信息发布系统的主动网络安全防御系统,其特征在于,所述监听器模块采用以下方式根据嗅探包进行IP溯源得到疑似黑客IP,构建疑似黑客IP的特征向量:
采用单播反向路由查找技术得到每个嗅探包的嗅探源IP,记录每个嗅探包的嗅探源IP、网络流量和协议版本;所述嗅探源IP为疑似黑客IP;
每个疑似黑客IP的累计网络流量、累计协议版本数量和累计嗅探次数,构成每个疑似黑客IP的特征向量。
10.根据权利要求8所述的分布式网络信息发布系统的主动网络安全防御系统,其特征在于,所述主动攻击模块根据疑似黑客IP的危险度对疑似黑客IP进行主动攻击,包括:
根据每个疑似黑客IP的危险度计算每个疑似黑客IP的攻击频率;
根据每个疑似黑客IP的攻击频率对该疑似黑客IP进行主动攻击。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202310042494.9A CN116055185A (zh) | 2023-01-28 | 2023-01-28 | 分布式网络信息发布系统的主动网络安全防御方法和系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202310042494.9A CN116055185A (zh) | 2023-01-28 | 2023-01-28 | 分布式网络信息发布系统的主动网络安全防御方法和系统 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN116055185A true CN116055185A (zh) | 2023-05-02 |
Family
ID=86132787
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202310042494.9A Pending CN116055185A (zh) | 2023-01-28 | 2023-01-28 | 分布式网络信息发布系统的主动网络安全防御方法和系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN116055185A (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN116723059A (zh) * | 2023-08-10 | 2023-09-08 | 湖南润科通信科技有限公司 | 一种针对网络信息的安全分析系统 |
-
2023
- 2023-01-28 CN CN202310042494.9A patent/CN116055185A/zh active Pending
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN116723059A (zh) * | 2023-08-10 | 2023-09-08 | 湖南润科通信科技有限公司 | 一种针对网络信息的安全分析系统 |
CN116723059B (zh) * | 2023-08-10 | 2023-10-20 | 湖南润科通信科技有限公司 | 一种针对网络信息的安全分析系统 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US7281270B2 (en) | Attack impact prediction system | |
US9781157B1 (en) | Mitigating denial of service attacks | |
US10432650B2 (en) | System and method to protect a webserver against application exploits and attacks | |
US6775657B1 (en) | Multilayered intrusion detection system and method | |
US7779465B2 (en) | Distributed peer attack alerting | |
US7237267B2 (en) | Policy-based network security management | |
US20050005017A1 (en) | Method and system for reducing scope of self-propagating attack code in network | |
US20050216956A1 (en) | Method and system for authentication event security policy generation | |
Ramaki et al. | A survey of IT early warning systems: architectures, challenges, and solutions | |
CN113422779B (zh) | 一种基于集中管控的积极的安全防御的系统 | |
US9027120B1 (en) | Hierarchical architecture in a network security system | |
CN116055185A (zh) | 分布式网络信息发布系统的主动网络安全防御方法和系统 | |
KR102414334B1 (ko) | 자율협력주행 도로인프라 위협탐지 방법 및 장치 | |
CN117614717A (zh) | 一种基于网络安全告警事件全流程处置系统及方法 | |
KR20020075319A (ko) | 지능형 보안 엔진과 이를 포함하는 지능형 통합 보안 시스템 | |
CN112291257B (zh) | 一种基于事件驱动与定时迁移的平台动态防御方法 | |
Asaka et al. | Local attack detection and intrusion route tracing | |
Robles et al. | Survey of non-malicious user actions that introduce network and system vulnerabilities and exploits | |
Raulerson | Modeling cyber situational awareness through data fusion | |
Zhuang et al. | Enhancing intrusion detection system with proximity information | |
Fanfara et al. | Autonomous hybrid honeypot as the future of distributed computer systems security | |
Lekkas et al. | Handling and reporting security advisories: A scorecard approach | |
Potdar et al. | Security solutions for Cloud computing | |
US20240171606A1 (en) | System and method for obscuring status of a network service | |
Pires et al. | A framework for agent-based intrusion detection in wireless sensor networks |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |