【技术实现步骤摘要】
一种基于蜜场架构的诱捕节点故障实时检测方法
本专利技术涉及网络安全领域,尤其涉及一种基于蜜场架构的诱捕节点故障实时检测方法。
技术介绍
随着互联网的飞速发展,网络安全已成为人们非常关注的问题。提升网络安全性,成为互联网中的头等大事。在网络安全领域中,蜜罐是网络安全人员熟知的网络攻击检测技术,其实质是通过布置一些作为诱饵的主机、网络服务或者信息,也就是作为网络安全中的一种入侵诱饵,诱使攻击方对它们实施攻击,捕获黑客相关的证据和信息,从而可以对攻击行为进行分析。蜜网是采用了其他技术的蜜罐,从而以合理方式记录下黑客的行动,同时尽量减小或排除对因特网上其它系统造成的风险。密网是一个网路系统,这一网路系统是隐藏在防火墙后面的,所有进出的资料都受到监控、捕获及控制。蜜场是一种分布式的蜜罐系统,它是蜜罐技术发展的新趋势。如果要在一个大型的分布式环境中部署蜜网,为了对各个子网的安全威胁进行收集,就需要部署大量高交互的蜜罐。但按传统的方法来部署和维护这些高交互蜜罐则代价太高,针对此问题,为了简化大规模网蜜罐的部署和维护,可以将这些蜜罐放在一个...
【技术保护点】
1.一种基于蜜场架构的诱捕节点故障实时检测方法,其特征在于,包括如下步骤:/n根据诱捕节点在安装时所处的主机和网络情况,确定运行环境RE和连通环境CE;/n所述运行环境RE是指运行节点程序的主机环境,包括:主机操作系统、内存信息和CPU信息;/n所述连通环境CE是指节点程序通信所使用的网络环境,包括:网络隧道、服务端口、通信加解密和网络标签;/n列出运行环境特征组REFS和连通环境特征组CEFS中各特征元素的值;所述特征组中各特征元素的值用于反应环境中的实时状态;/n根据诱捕节点在工作过程中按时间先后顺序所经历的阶段,划分诱捕节点的故障点阶段;根据运行环境RE中的特征元素以...
【技术特征摘要】
1.一种基于蜜场架构的诱捕节点故障实时检测方法,其特征在于,包括如下步骤:
根据诱捕节点在安装时所处的主机和网络情况,确定运行环境RE和连通环境CE;
所述运行环境RE是指运行节点程序的主机环境,包括:主机操作系统、内存信息和CPU信息;
所述连通环境CE是指节点程序通信所使用的网络环境,包括:网络隧道、服务端口、通信加解密和网络标签;
列出运行环境特征组REFS和连通环境特征组CEFS中各特征元素的值;所述特征组中各特征元素的值用于反应环境中的实时状态;
根据诱捕节点在工作过程中按时间先后顺序所经历的阶段,划分诱捕节点的故障点阶段;根据运行环境RE中的特征元素以及连通环境CE中的特征元素在划分的诱捕节点的故障点阶段中出现的位置,将运行环境特征组REFS和连通环境特征组CEFS归属于划分的各个故障点阶段;
确定各故障点阶段的运行环境特征组REFS和连通环境特征组CEFS上报反馈至状态观察表SWT的方式;
以确定的上报反馈方式将归属于各故障点阶段的运行环境特征组REFS和连通环境特征组CEFS上报反馈至状态观察表SWT;
实时观察状态观察表SWT,参照正常值范围对照表,对出现问题的运行环境特征组REFS和连通环境特征组CEFS实时报警。
2.根据权利要求1所述的基于蜜场架构的诱捕节点故障实时检测方法,其特征在于,所述故障点阶段包括:启动段START-SEGMENT、鉴权段AUTH-SEGMENT、隧道段TUNNEL-SEGMENT、请求段REQ-SEGMENT、标签段TAG-SEGMENT和返回段RETURN-SEGMENT。
3.根据权利要求1所述的基于蜜场架构的诱捕节点故障实时检测方法,其特征在于:
运行环境特征组包括如下特征元素:主机操作系统版本、进程信息、I/O信息、内存占用信息、CPU占用信息和服务信息;
连通环境特征组包括如下特征元素:网络是否可达、端口是否开放、认证是否通过、协议是否匹配、加解密算法是否对应、节点端主动发起的网络请求是否正常、标签是否正常和回流数据是否正常接收。
...
【专利技术属性】
技术研发人员:吴建亮,胡鹏,王淼,
申请(专利权)人:广州锦行网络科技有限公司,
类型:发明
国别省市:广东;44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。