CN1889573A - 一种主动诱骗方法与系统 - Google Patents
一种主动诱骗方法与系统 Download PDFInfo
- Publication number
- CN1889573A CN1889573A CN 200610099150 CN200610099150A CN1889573A CN 1889573 A CN1889573 A CN 1889573A CN 200610099150 CN200610099150 CN 200610099150 CN 200610099150 A CN200610099150 A CN 200610099150A CN 1889573 A CN1889573 A CN 1889573A
- Authority
- CN
- China
- Prior art keywords
- data
- network
- trick
- hacker
- inveigling
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种主动诱骗方法,包括:对数据流进行采样,将采样数据与保存的黑客攻击行为特征信息进行匹配,根据匹配结果判定为可疑/异常数据流时,将所述数据流重定向到诱骗网络处理;捕获黑客在诱骗网络中的攻击行为数据,分析得出新的黑客攻击行为特征信息,加入到保存的黑客攻击行为特征信息中。本发明还公开了一种主动诱骗系统,包括:检测分流子系统、诱骗网络和数据分析子系统。采用本发明能对黑客的攻击进行实时检测并实现主动诱骗,有效保护目标网络不受攻击。
Description
技术领域
本发明涉及网络安全领域,尤其涉及一种主动诱骗方法与系统。
背景技术
计算机信息系统及网络的安全,一直是业界面临的一个重要问题。为了对抗来自外部网络的各种黑客攻击,一些典型的安全技术和产品,如防火墙、入侵检测系统等,已经应用和部署在现有网络中。一般来说,防火墙放在用户服务网络的网络边界,对来自外部网络的数据流量起到粗略的过滤和防护作用。入侵检测系统则分为基于主机的和基于网络两种,前者部署在服务器、工作站等主机上,起到对本地数据和系统的安全防护作用,而后者则部署在网络的关键位置或网络设备上,对某一服务网段的出入数据包进行监控,以达到发现入侵防止破坏的目的。总的来说,这些技术和产品都是对现有网络系统的安全特性的补充,有各自的缺点和相对局限性。尤其是在安全性、实时保护、可扩展性、可管理等方面,面对日益先进复杂的网络黑客攻击技术,网络规模,以及带宽和流量的持续增加,越来越显出在架构设计上的问题。
近年来,另一种有效的信息安全技术是网络欺骗技术。诱骗机(Honeypot)技术就是其中的一个最为典型和广为人知的一种。多个诱骗机构成一个诱骗系统,又称为密罐系统。它是一个或多个包含各种常见漏洞的系统,通过模拟一个或多个易受攻击的主机,给黑客提供一个容易攻击的目标,从而引诱入侵者对其进行攻击,进而记录其一切活动。通过仔细分析从诱骗环境收集的信息,人们通过诱骗系统可以观察入侵者的行为,研究入侵者的水平、入侵目的、所用的工具、入侵手段等,从而为防御未知攻击、提高运行系统的动态防御能力奠定基础。
现有技术一:
如图1所示,若检测到黑客试图对计算机400上的开放服务进程端口进行异常访问,则透明地改变其访问方向,将黑客诱骗到honeypot服务器406上,该服务器模拟目标主机,因此可以误导黑客使其认为之前的访问成功了。该方法可提高计算机的安全性并且可以帮助监测和追踪黑客。
现有技术二:
如图2所示。一个或多个honeypot系统通过虚拟专用网和一个或多个目标网络或者客户网络相连接。目标网络320是一个局域网(LAN),连接到Internet/WAN 300和各种服务器计算机,例如计算机325、326。在LAN 320中,有一个虚拟私有专网网关330与另一个虚拟私有专网网关340建立了一条隧道以传递数据包。虚拟私有专网网关340提供到honeypot系统网络350(同时是另一个局域网)的接入功能。通过350,可以连接到一个honeypot陷阱系统360。里面有两个“笼子(cage)”的应用系统,用以诱骗攻击者进入。还有一个“猎手”(hunter)应用系统放在另一个机器里实现,以监控和检测攻击者在笼子里的攻击活动。除了实现检测外,还有一个包嗅探器(sniffer)382用以记录所有进出honeypot系统360的流量信息。最后,还可以提供一个后端的私有局域网LAN 370,LAN 370仅与honeypot系统网络相连接,里面的监控台385用以远程监控honeypot系统自身的运行。
采用该种系统结构,攻击被通过一个虚拟专用网网关导入honeypot系统,因而限制了攻击者对其他的目标网络和公用数据网络的访问。这样,honeypot通过简单的增加一个虚拟专用网关而进行一个新的服务网络的配置,使得网络流量都转移到honeypot系统中,从而实现对目标网络的保护。但是,该方法对于高速和大量的数据流量会有一定的局限性。
上述现有技术一和现有技术二都存在一个共同的缺点是:仅是简单地将诱骗子网接入局域网,采取被动的方式等候入侵者进入;没有采取主动的实时检测的方法对可疑的数据流量进行及时处理,并对黑客的攻击进行跟踪和分析,得出新的黑客攻击行为特征信息来指导判定当前数据流是否为正常数据流。也就是说,现有技术中的诱骗子网不具备实时检测及自我学习能力,不能根据黑客攻击手段的更新而相应提高自身的防御能力。
发明内容
本发明提供一种主动诱骗方法与系统,用以解决现有技术中不能对黑客攻击进行实时检测、主动诱骗及自主更新攻击检测规则的问题。
本发明方法包括:
对数据流进行采样,将采样数据与保存的黑客攻击行为特征信息进行匹配,根据匹配结果判定为可疑/异常数据流时,将所述数据流重定向到诱骗网络处理。
根据本发明的上述方法,进一步包括:
捕获黑客在诱骗网络中的攻击行为数据,分析得出新的黑客攻击行为特征信息,加入到保存的黑客攻击行为特征信息中。
根据本发明的上述方法,当判定当前数据流为正常数据流时,将所述数据流重定向到目标网络处理。
根据本发明的上述方法,应用分布式抽样技术对所述数据流进行采样。
根据本发明的上述方法,所述重定向到诱骗网络或目标网络,具体方法为:
解析数据流中的数据包,获取数据包携带的地址和端口号信息;
对正常数据包,查询目标网络地址转换表,用查询出的对应地址和端口号信息重新封装正常数据包内容,发送到目标网络;
对可疑或异常数据包,查询诱骗网络地址转换表,用查询出的对应地址和端口号信息重新封装可疑或异常数据包内容,发送到诱骗网络。
根据本发明的上述方法,还包括:
将黑客在诱骗网络中的攻击行为数据或经分析得出的黑客攻击行为特征信息进行处理后采用图形化方式显示。
本发明提供一种主动诱骗系统,包括:检测分流子系统、诱骗网络和数据分析子系统;
所述检测分流子系统对发向目标网络的数据流进行采样,将采样数据与保存的黑客攻击行为特征信息进行匹配,根据匹配结果将判定为可疑/异常的数据流重定向到所述诱骗网络,将正常数据流重定向到目标网络;
所述诱骗网络与所述目标网络分离,模拟所述目标网络处理可疑/异常数据,并捕获黑客在诱骗网络中的攻击行为数据发送到所述数据分析子系统;
所述数据分析子系统分析捕获的黑客攻击行为数据,得出黑客攻击行为特征信息。
所述检测分流子系统包括:采样模块、检测模块和重定向模块;
所述采样模块对发往目标网络的数据进行采样,并将采样数据发送到所述检测模块;
所述检测模块用所述采样数据与保存的黑客攻击行为特征信息进行匹配;根据匹配结果判定当前数据流为可疑/异常数据流或正常数据流,发送到所述重定向模块;
所述重定向模块将正常数据流重定向到目标网络,将可疑/异常数据流重定向到所述诱骗网络。
所述诱骗网络包括至少一个诱骗网关和一个或多个诱骗机;
所述诱骗网关接收发送到诱骗网络的全部数据,进行判断分类后发送到所述诱骗机处理;并控制诱骗网络的外发数据量,捕获黑客在诱骗网络中的攻击行为数据发送给所述数据分析子系统;
所述诱骗机模拟真实主机所提供的各种服务。
所述诱骗网关具体包括:
第一网卡,与所述检测分流子系统中的重定向模块相连接,接收发送到诱骗网络的全部数据,并控制诱骗网络的外发数据量;
第二网卡,与所述诱骗机相连接,将不同类别的数据分别发送到实现不同功能的诱骗机处理;并捕获黑客在诱骗网络中的攻击行为数据,发送给第三网卡;
第三网卡,与所述数据分析子系统相连接,将捕获到的黑客在诱骗网络中的攻击行为数据发送给所述数据分析子系统。
所述数据分析子系统包括数据提取模块和数据处理模块;
所述数据提取模块接收所述诱骗网络传送过来的黑客攻击行为数据,进行解包后发送到所述数据处理模块;
所述数据处理模块基于关联规则的数据挖掘策略对黑客在诱骗网络中的攻击行为数据进行分析,得出新的黑客攻击行为特征信息加入到检测模块保存的黑客攻击行为特征信息中。
所述数据分析子系统还包括:
数据监控模块,将黑客在诱骗网络中的攻击行为数据或经分析得出的黑客攻击行为特征信息进行处理后采用图形化方式显示。
本发明的有益效果如下:
(1)本发明采用检测分流子系统对网络中的大量数据流量进行采样,通过实时检测后将可疑/异常的数据流导入诱骗网络,分流了大量的攻击数据,实现了对目标网络的实时保护。
(2)本发明通过诱骗网络中的各种诱骗机提供模拟真实网络的各种服务功能,实现对黑客的主动诱骗。
(3)本发明通过数据分析子系统对诱骗网络中获取的可疑/异常数据进行分析,提取黑客攻击行为特征信息,生成攻击检测规则存入知识库中,实现系统自学习功能,能根据黑客攻击手段的变化提升系统自身的防御能力。
附图说明
图1为现有技术一访问控制方法示意图;
图2为现有技术二诱骗系统结构示意图;
图3为本发明诱骗系统的结构模块示意图;
图4为本发明重定向模块重定向算法流程图;
图5为本发明诱骗网络实施例的逻辑结构图。
具体实施方式
参见图3,为本发明诱骗系统的结构模块示意图,包括:检测分流子系统1、诱骗网络2和数据分析子系统3。
其中,检测分流子系统1对发向目标网络的数据流进行采样,将采样数据与检测模块中保存的黑客攻击行为特征信息(可以将黑客攻击行为特征信息单独保存到一个知识库中)进行匹配,根据匹配结果将判定为可疑/异常的数据流重定向到诱骗网络2,将正常数据流重定向到目标网络;
诱骗网络2与所述目标网络分离,模拟目标网络处理可疑/异常数据,并捕获黑客在诱骗网络中的攻击行为数据发送到数据分析子系统3;
数据分析子系统3分析捕获的黑客攻击行为数据,得出新的黑客攻击行为特征信息,加入到检测模块中用于保存黑客攻击行为特征信息的知识库中。
下面具体描述各模块的相应功能。
采样模块11,采用高效的采样算法对外部网络发向目标网络的数据流量进行采样,并将采样数据发送到检测模块12。
针对大规模高速IP网络流量的抽样,在本发明中,主要应用分布式抽样技术。分布式抽样技术,是指抽样事件事先确定,但在报文到达之前不能确定其是否被抽样,只有当报文到达以后根据报文内容才能决定抽样与否。其中随机性和效率是两个关键指标。抽样是从通过网络的报文中随机选择部分报文。抽样方法的核心是选择合适的报文匹配比特串(也称抽样掩码),这些比特必须在统计上具有随机性,同时又和流量统计特性无关。以IP报文为例,根据对IP报头中的各段进行分析研究,可得到IP报头中的ID,源IP和目的IP的后16位可以考虑作为抽样掩码匹配比特串。再对它们的随机测度进行分析,可以得出结论,选用ID字段16比特中的部分作为抽样掩码匹配串,能很好地实现抽样样本的统计随机特性。
在进行采样时,当包到达的速率在系统的处理速率范围内时,使采样率趋于无穷大,即对所有的包都进行解码和模式匹配,并做相应的重定向。而当包到达的速率超过系统处理包的最大速率时,选择合适的采样率对到达的包有选择地进行模式匹配,使系统既能保证一定的检测精确率,又不引起包阻塞。通过引入采样点机制使系统能灵活的适应各种包到达的速率。
检测模块12,初步判断采样到的数据是否正常,并将采样数据和判断结果发送到重定向模块13。
通过将采样点数据与知识库中数据进行模式匹配,在网络数据包中搜索攻击包特征。匹配通过的,即符合某种攻击的数据特征的流量,被作为可疑/异常流量,其他则作为正常流量。
由于知识库中存储的是一些黑客攻击特征、攻击规律数据,一般以特征规则树或规则链表的形式存在,即包含一个典型攻击行为的相关特征字段、时间、频度等等信息。一条规则是规则链表中的一个路径,代表一个攻击行为。当进行匹配时,先对规则头(即链表的最上一级)进行精确匹配,当规则头匹配失败时,沿着横向链表匹配下一个规则头。当规则头匹配成功时,开始沿着纵向链表匹配规则选项,和规则头匹配过程相似,当某个规则选项匹配失败时,匹配下一个规则选项,当匹配成功时,入侵行为被确定。一个典型的攻击行为,例如特定的攻击代码序列(如shellcode)特征字串,或者已知可以被用来利用的有漏洞的文件名等,都可能作为对应攻击检测规则中选项的数据内容。
重定向模块13,将判定为正常的数据流量重定向到该数据流量的目标网络,将判定为可疑/异常的数据流量重定向到诱骗网络。
重定向模块13的重定向算法如图4所示,包括如下步骤:
步骤S11、对接收的IP包进行解析,分别区分其IP首部(IH)、传输控制协议TCP首部(TH)、端口P和内容C,并放入指定的数据结构中;并通过检测得出该IP包为正常数据还是入侵数据(即可疑/异常数据);
步骤S12、对数据结构进行解析,对IP包的端口号,执行步骤S13;对IP包的首部,执行步骤S14;对IP包的内容执行步骤S15;
步骤S13、对端口号P按照网络地址转换(NAT)表S,查询获得其映射的IP地址和端口Y;
网络中存储有两张NAT表S,一张是针对正常数据的真实系统的IP/PORT表,另一张是针对入侵数据的诱骗NAT表,提供到诱骗机honeypot的映射;
步骤S14、用映射Y分别替换数据结构中IP首部IH里的IP地址和TCP首部TH里的端口号;
步骤S15、对IH、TH、C按IP首部、TCP首部、内容的顺序重组数据包,使之成为一个完整的IP包后发送。
本发明的诱骗网络包括至少一个诱骗网关(Honeywall)21和一系列诱骗机(Honeypot)22。完成数据控制、数据捕获和诱骗实现等功能。
诱骗网关21一方面通过对诱骗机的监听,实现对黑客在诱骗机上入侵行为的捕获。另一方面,采用一定的检测算法,将导入诱骗网络的异常流量进行具体判断分类。
具体检测算法包括利用已知攻击检测规则库的模式匹配算法,也包括基于关联规则的数据挖掘算法,以挖掘出新的攻击规则。判断分类是指根据检测结果,对确定为攻击行为的具体事件分类判定。
为了研究黑客在诱骗网络的行为,具体应用中,可以利用智能的移动代理技术,在网络内部设置多个不同功能的移动代理,由代理来实现对黑客行为的监视,攻击行为数据的捕获,以及相关信息的保存和传送。接着,可以将诱骗网络中记录下来的黑客行为数据传送到数据分析平台,由数据分析平台采用基于关联规则的数据挖掘算法,对捕获到的数据进行自动分析,得出黑客入侵的方式、窃取资料的手段,异常流量的IP包特征等信息,根据这些信息,对攻击行为进行归类。
同时,为了保证诱骗网络可以和外部网络接触,增加其真实性,Honeywall提供了“宽进严出”的访问控制,它限制对外发送数据包的最大外发连接数,拦截或修改具有攻击特征的外发数据包,从而控制对外流量;但也给黑客以一定的自由,如可以获取工具,测试连接等等,实现其诱骗功能。
诱骗网关21具体包括:
第一网卡,与检测分流子系统中的重定向模块连接,接收发送到诱骗网络的全部数据,并控制诱骗网络的外发数据量;
第二网卡,与系列诱骗机相连接,将不同类别的数据分别发送到实现不同功能的诱骗机处理;并捕获黑客在诱骗网络中的攻击行为数据;
第三网卡,与数据分析子系统连接,将捕获到的黑客在诱骗网络中的攻击行为数据发送给数据分析子系统中的数据提取模块。
所述系列诱骗机22模拟真实主机所提供的各种服务。如FTP服务、email服务、web服务等等,它们与真实操作系统一样,具有系统自身的漏洞,但是并不存放任何机密数据。黑客在攻击过程中所采用的攻击方式会被记录下来,这样就可以为研究黑客的攻击手段提供数据资料。
图5是本发明诱骗网关的一个具体实例的逻辑结构图。
由诱骗网关中的第一网卡接收发送到诱骗网络的全部数据,存入数据库DB中;
由第二网卡实现资源管理代理,包括:信息收集代理、遍历代理、跟踪代理等,对模拟各种功能的诱骗机(如WWW服务器、FTP服务器和Email服务器等)进行控制并获取黑客的攻击行为数据;
由第三网卡实现与数据分析子系统的连接,发送获取的攻击行为数据。
本发明提供的数据分析子系统3包括数据提取模块31、数据处理模块32和数据监控制模块33。
数据提取模块31接收诱骗网络传送过来的黑客攻击行为数据,进行解包后发送到所述数据处理模块32;
数据处理模块32基于关联规则的数据挖掘策略对黑客在诱骗网络中的攻击行为数据进行分析,得出黑客攻击行为特征信息;具体方法包括:
根据获取的攻击数据提取入侵者的击键信息、对话和所用工具;对黑客的某些特殊操作(如对某一部分信息的复制)进行分析,用一个权值来记录某种异常行为的出现频度,估计各种攻击的威胁程度,形成新的攻击检测规则存入到知识库中,用于下一次的检测匹配;
数据监控模块33,将黑客在诱骗网络中的攻击行为数据或经分析得出的黑客攻击行为特征信息进行处理后(如采用预定的算法)采用图形化方式显示出来,为整个实时主动诱骗系统提供一个可视化的人机接口。
综上所述,本发明通过采用检测分流子系统对网络中的大量数据流量进行采样,通过实时检测后将可疑/异常的数据流导入诱骗网络,分流了大量的攻击数据,实现了对目标网络的实时保护。
本发明通过诱骗网络中的各种诱骗机提供模拟真实网络的各种服务功能,实现对黑客的主动诱骗。
本发明通过数据分析子系统对诱骗网络中获取的可疑/异常数据进行分析,提取黑客攻击行为特征信息,生成攻击检测规则存入知识库中,实现系统自学习功能,能根据黑客攻击手段的变化提升系统自身的防御能力。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
Claims (12)
1、一种主动诱骗方法,其特征在于,包括:
对数据流进行采样,将采样数据与保存的黑客攻击行为特征信息进行匹配,根据匹配结果判定为可疑/异常数据流时,将所述数据流重定向到诱骗网络处理。
2、如权利要求1所述的方法,其特征在于,进一步包括:
捕获黑客在诱骗网络中的攻击行为数据,分析得出新的黑客攻击行为特征信息,加入到保存的黑客攻击行为特征信息中。
3、如权利要求1或2所述的方法,其特征在于,当判定当前数据流为正常数据流时,将所述数据流重定向到目标网络处理。
4、如权利要求1或2所述的方法,其特征在于,应用分布式抽样技术对所述数据流进行采样。
5、如权利要求3所述的方法,其特征在于,所述重定向到诱骗网络或目标网络,具体方法为:
解析数据流中的数据包,获取数据包携带的地址和端口号信息;
对正常数据包,查询目标网络地址转换表,用查询出的对应地址和端口号信息重新封装正常数据包内容,发送到目标网络;
对可疑或异常数据包,查询诱骗网络地址转换表,用查询出的对应地址和端口号信息重新封装可疑或异常数据包内容,发送到诱骗网络。
6、如权利要求2所述的方法,其特征在于,还包括:
将黑客在诱骗网络中的攻击行为数据或经分析得出的黑客攻击行为特征信息进行处理后采用图形化方式显示。
7、一种主动诱骗系统,其特征在于,包括:检测分流子系统、诱骗网络和数据分析子系统;
所述检测分流子系统对发向目标网络的数据流进行采样,将采样数据与保存的黑客攻击行为特征信息进行匹配,根据匹配结果将判定为可疑/异常的数据流重定向到所述诱骗网络,将正常数据流重定向到目标网络;
所述诱骗网络与所述目标网络分离,模拟所述目标网络处理可疑/异常数据,并捕获黑客在诱骗网络中的攻击行为数据发送到所述数据分析子系统;
所述数据分析子系统分析捕获的黑客攻击行为数据,得出黑客攻击行为特征信息。
8、如权利要求7所述的系统,其特征在于,所述检测分流子系统包括:采样模块、检测模块和重定向模块;
所述采样模块对发往目标网络的数据进行采样,并将采样数据发送到所述检测模块;
所述检测模块用所述采样数据与保存的黑客攻击行为特征信息进行匹配;根据匹配结果判定当前数据流为可疑/异常数据流或正常数据流,发送到所述重定向模块;
所述重定向模块将正常数据流重定向到目标网络,将可疑/异常数据流重定向到所述诱骗网络。
9、如权利要求7所述的系统,其特征在于,所述诱骗网络包括至少一个诱骗网关和一个或多个诱骗机;
所述诱骗网关接收发送到诱骗网络的全部数据,进行判断分类后发送到所述诱骗机处理;并控制诱骗网络的外发数据量,捕获黑客在诱骗网络中的攻击行为数据发送给所述数据分析子系统;
所述诱骗机模拟真实主机所提供的各种服务。
10、如权利要求9所述的系统,其特征在于,所述诱骗网关具体包括:
第一网卡,与所述检测分流子系统中的重定向模块相连接,接收发送到诱骗网络的全部数据,并控制诱骗网络的外发数据量;
第二网卡,与所述诱骗机相连接,将不同类别的数据分别发送到实现不同功能的诱骗机处理;并捕获黑客在诱骗网络中的攻击行为数据,发送给第三网卡;
第三网卡,与所述数据分析子系统相连接,将捕获到的黑客在诱骗网络中的攻击行为数据发送给所述数据分析子系统。
11、如权利要求7所述的系统,其特征在于,所述数据分析子系统包括数据提取模块和数据处理模块;
所述数据提取模块接收所述诱骗网络传送过来的黑客攻击行为数据,进行解包后发送到所述数据处理模块;
所述数据处理模块基于关联规则的数据挖掘策略对黑客在诱骗网络中的攻击行为数据进行分析,得出新的黑客攻击行为特征信息加入到检测模块保存的黑客攻击行为特征信息中。
12、如权利要求11所述的系统,其特征在于,所述数据分析子系统还包括:
数据监控模块,将黑客在诱骗网络中的攻击行为数据或经分析得出的黑客攻击行为特征信息进行处理后采用图形化方式显示。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 200610099150 CN1889573A (zh) | 2006-07-31 | 2006-07-31 | 一种主动诱骗方法与系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 200610099150 CN1889573A (zh) | 2006-07-31 | 2006-07-31 | 一种主动诱骗方法与系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN1889573A true CN1889573A (zh) | 2007-01-03 |
Family
ID=37578830
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN 200610099150 Pending CN1889573A (zh) | 2006-07-31 | 2006-07-31 | 一种主动诱骗方法与系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN1889573A (zh) |
Cited By (17)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101267349B (zh) * | 2008-04-29 | 2010-09-01 | 杭州华三通信技术有限公司 | 网络流量分析方法和设备 |
| CN103051605A (zh) * | 2012-11-21 | 2013-04-17 | 国家计算机网络与信息安全管理中心 | 一种数据包处理方法、装置和系统 |
| CN103152356A (zh) * | 2013-03-20 | 2013-06-12 | 北京奇虎科技有限公司 | 检测文件样本安全性的方法、服务器和系统 |
| CN103155487A (zh) * | 2010-10-26 | 2013-06-12 | 惠普发展公司,有限责任合伙企业 | 用于使用业务样本来检测可疑数据泄漏的方法和系统 |
| CN103179106A (zh) * | 2011-12-20 | 2013-06-26 | Sap股份公司 | 对未授权的访问请求使用假肯定响应的网络安全 |
| CN104753736A (zh) * | 2013-12-31 | 2015-07-01 | 国际商业机器公司 | 用于检测对虚拟专用网络的恶意规避的方法和系统 |
| WO2015192770A1 (en) * | 2014-06-19 | 2015-12-23 | Huawei Technologies Co., Ltd. | Methods and systems for software controlled devices |
| CN106506435A (zh) * | 2015-09-08 | 2017-03-15 | 中国电信股份有限公司 | 用于检测网络攻击的方法和防火墙系统 |
| CN107332823A (zh) * | 2017-06-06 | 2017-11-07 | 北京明朝万达科技股份有限公司 | 一种基于机器学习的服务器伪装方法和系统 |
| CN107864153A (zh) * | 2017-12-11 | 2018-03-30 | 江苏恒信和安电子科技有限公司 | 一种基于网络安全传感器的网络病毒预警方法 |
| CN108183884A (zh) * | 2017-11-30 | 2018-06-19 | 高旭磊 | 一种网络攻击判定方法及装置 |
| CN109076011A (zh) * | 2016-04-19 | 2018-12-21 | 三菱电机株式会社 | 中继装置 |
| CN109962912A (zh) * | 2019-03-06 | 2019-07-02 | 中国信息安全测评中心 | 一种基于蜜罐流量引流的防御方法及系统 |
| CN110149303A (zh) * | 2019-03-27 | 2019-08-20 | 李登峻 | 一种党校的网络安全预警方法及预警系统 |
| US10425445B2 (en) | 2016-12-15 | 2019-09-24 | Interwise Ltd | Deception using screen capture |
| CN111212091A (zh) * | 2020-02-28 | 2020-05-29 | 太仓红码软件技术有限公司 | 一种基于目标诱导的引导式网络安全系统 |
| CN111835761A (zh) * | 2020-07-11 | 2020-10-27 | 福建奇点时空数字科技有限公司 | 一种基于系统仿真器的网络攻击诱骗环境构建方法 |
-
2006
- 2006-07-31 CN CN 200610099150 patent/CN1889573A/zh active Pending
Cited By (26)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101267349B (zh) * | 2008-04-29 | 2010-09-01 | 杭州华三通信技术有限公司 | 网络流量分析方法和设备 |
| CN103155487A (zh) * | 2010-10-26 | 2013-06-12 | 惠普发展公司,有限责任合伙企业 | 用于使用业务样本来检测可疑数据泄漏的方法和系统 |
| CN103179106A (zh) * | 2011-12-20 | 2013-06-26 | Sap股份公司 | 对未授权的访问请求使用假肯定响应的网络安全 |
| CN103179106B (zh) * | 2011-12-20 | 2017-07-25 | Sap欧洲公司 | 对未授权的访问请求使用假肯定响应的网络安全 |
| CN103051605A (zh) * | 2012-11-21 | 2013-04-17 | 国家计算机网络与信息安全管理中心 | 一种数据包处理方法、装置和系统 |
| CN103051605B (zh) * | 2012-11-21 | 2016-06-29 | 国家计算机网络与信息安全管理中心 | 一种数据包处理方法、装置和系统 |
| CN103152356A (zh) * | 2013-03-20 | 2013-06-12 | 北京奇虎科技有限公司 | 检测文件样本安全性的方法、服务器和系统 |
| CN103152356B (zh) * | 2013-03-20 | 2016-05-25 | 北京奇虎科技有限公司 | 检测文件样本安全性的方法、服务器和系统 |
| CN104753736B (zh) * | 2013-12-31 | 2018-04-17 | 国际商业机器公司 | 用于检测对虚拟专用网络的恶意规避的方法和系统 |
| CN104753736A (zh) * | 2013-12-31 | 2015-07-01 | 国际商业机器公司 | 用于检测对虚拟专用网络的恶意规避的方法和系统 |
| WO2015192770A1 (en) * | 2014-06-19 | 2015-12-23 | Huawei Technologies Co., Ltd. | Methods and systems for software controlled devices |
| US10225781B2 (en) | 2014-06-19 | 2019-03-05 | Huawei Technologies Co., Ltd. | Methods and systems for software controlled devices |
| CN106506435B (zh) * | 2015-09-08 | 2019-08-06 | 中国电信股份有限公司 | 用于检测网络攻击的方法和防火墙系统 |
| CN106506435A (zh) * | 2015-09-08 | 2017-03-15 | 中国电信股份有限公司 | 用于检测网络攻击的方法和防火墙系统 |
| CN109076011A (zh) * | 2016-04-19 | 2018-12-21 | 三菱电机株式会社 | 中继装置 |
| US10425445B2 (en) | 2016-12-15 | 2019-09-24 | Interwise Ltd | Deception using screen capture |
| US11102245B2 (en) | 2016-12-15 | 2021-08-24 | Inierwise Ltd. | Deception using screen capture |
| CN107332823A (zh) * | 2017-06-06 | 2017-11-07 | 北京明朝万达科技股份有限公司 | 一种基于机器学习的服务器伪装方法和系统 |
| CN108183884B (zh) * | 2017-11-30 | 2020-11-06 | 高旭磊 | 一种网络攻击判定方法及装置 |
| CN108183884A (zh) * | 2017-11-30 | 2018-06-19 | 高旭磊 | 一种网络攻击判定方法及装置 |
| CN107864153A (zh) * | 2017-12-11 | 2018-03-30 | 江苏恒信和安电子科技有限公司 | 一种基于网络安全传感器的网络病毒预警方法 |
| CN109962912A (zh) * | 2019-03-06 | 2019-07-02 | 中国信息安全测评中心 | 一种基于蜜罐流量引流的防御方法及系统 |
| CN110149303A (zh) * | 2019-03-27 | 2019-08-20 | 李登峻 | 一种党校的网络安全预警方法及预警系统 |
| CN110149303B (zh) * | 2019-03-27 | 2022-07-15 | 李登峻 | 一种党校的网络安全预警方法及预警系统 |
| CN111212091A (zh) * | 2020-02-28 | 2020-05-29 | 太仓红码软件技术有限公司 | 一种基于目标诱导的引导式网络安全系统 |
| CN111835761A (zh) * | 2020-07-11 | 2020-10-27 | 福建奇点时空数字科技有限公司 | 一种基于系统仿真器的网络攻击诱骗环境构建方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN1889573A (zh) | 一种主动诱骗方法与系统 | |
| CN101087196B (zh) | 多层次蜜网数据传输方法及系统 | |
| CN105208037B (zh) | 一种基于轻量级入侵检测的DoS/DDoS攻击检测和过滤方法 | |
| CN103368979B (zh) | 一种基于改进K-means算法的网络安全性验证装置 | |
| CN101924757B (zh) | 追溯僵尸网络的方法和系统 | |
| CN107070929A (zh) | 一种工控网络蜜罐系统 | |
| CN112383538B (zh) | 一种混合式高交互工业蜜罐系统及方法 | |
| CN109284296A (zh) | 一种大数据pb级分布式信息存储与检索平台 | |
| CN106657025A (zh) | 网络攻击行为检测方法及装置 | |
| Xuan et al. | Detecting application denial-of-service attacks: A group-testing-based approach | |
| CN1794661A (zh) | 一种基于IPv6的网络性能分析报告系统及实现方法 | |
| CN103561004A (zh) | 基于蜜网的协同式主动防御系统 | |
| CN107370752B (zh) | 一种高效的远控木马检测方法 | |
| CN1578227A (zh) | 一种动态ip数据包过滤方法 | |
| CN102130920A (zh) | 一种僵尸网络的发现方法及其系统 | |
| Sun | A New Perspective on Cybersecurity Protection: Research on DNS Security Detection Based on Threat Intelligence and Data Statistical Analysis | |
| Thi et al. | Federated learning-based cyber threat hunting for apt attack detection in SDN-enabled networks | |
| CN114363080A (zh) | 一种网络终端的监控分析方法、装置、设备及存储介质 | |
| CN115987531A (zh) | 一种基于动态欺骗式“平行网络”的内网安全防护系统及方法 | |
| Anastasiadis et al. | A novel high-interaction honeypot network for internet of vehicles | |
| Xu et al. | Defending against UDP flooding by negative selection algorithm based on eigenvalue sets | |
| Brahmi et al. | A Snort-based mobile agent for a distributed intrusion detection system | |
| Kirubakaran et al. | An Effective Study on Different Levels of Honeypot with Applications and Design of Real Time Honeypot | |
| KR20110070182A (ko) | 네트워크 기반의 그룹 행위 매트릭스를 사용한 봇넷 그룹 탐지 시스템과 네트워크 기반의 그룹 행위 매트릭스를 사용한 봇넷 그룹 탐지 방법 | |
| CN115834092A (zh) | 一种基于混合式蜜罐的实时入侵防护系统和方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C12 | Rejection of a patent application after its publication | ||
| RJ01 | Rejection of invention patent application after publication |
Open date: 20070103 |