一种基于ftp服务的攻击反制系统及方法技术方案

一种基于ftp服务的攻击反制系统及方法，涉及网络攻击防护技术领域；其包括安全监控模块和反制处理模块，反制处理模块包括虚拟环境模块和数据捕获模块；入侵检测模块，用于接收互联网数据信息并对入侵行为进行检测，且对入侵行为的信息进行危险等级判定，并根据设定的危险等级判断并是否需要发送危险信号；信号检测模块，用于检测是否接收到入侵检测模块发出的入侵信号，并根据收到的信号来决定是否进行反制行为；入侵数据库，用于储存历史入侵的记录以及入侵的种类和级别；虚拟环境模块，用于控制非军事区内诱饵的开启和闭合；数据捕获模块，用于收集捕获虚拟端口入侵者的信息。本发明专利技术防止反复攻击，安全防御效率高，反制力度大，效果好。效果好。效果好。

【技术实现步骤摘要】
一种基于ftp服务的攻击反制系统及方法


[0001]本专利技术涉及网络攻击防护
，尤其涉及一种基于ftp服务的攻击反制系统及方法。

技术介绍

[0002]随着物联网技术的飞速发展，各种网络设备已经渗透到人们日常办公、工业生产和日常生活当中。网络应用的越来越广泛，影响也越来越大，但是随之而来的挑战也越来越大，网络攻击行为也日益猖獗，网络攻击(Cyber Attacks，也称赛博攻击)是指针对计算机信息系统、基础设施、计算机网络或个人计算机设备的，任何类型的进攻动作。基于主动防御理论系统而提出来的蜜罐技术，日益受到网络安全领域的重视，蜜罐主要通过精心布置的诱骗环境来吸引和容忍入侵，进而了解攻击思路、攻击工具和攻击目的等行为的信息，特别时对各种未知的攻击行为信息的学习，同时可以根据获取的攻击者情报反馈，能够更好地理解网络系统当前的不足和面临的危险；但是欺骗环境构建机制的实现方式决定了蜜罐能够为攻击方所提供的交互程度，目前模拟仿真方式则通过编制软件构建出一个伪装的欺骗系统环境来吸引攻击，并在一个安全可控的环境中对安全威胁进行数据记录。然而，这种方式一般只能为攻击方提供受限的交互程度,对于一些未知的攻击方式与安全威胁不具备捕获能力；网络安全防御人员可以通过防火墙、IDS等设备捕捉到攻击数据，通过在网关上封堵攻击源ip等方式阻断攻击行为。
[0003]在实践中发现，目前技术中对网络攻击行为的防御是被动的，现有方法只能在受到网络攻击事件时阻断该次攻击，但是无法避免以后再次受到相同网络攻击事件的攻击不能消除攻击者的攻击意图，容易出现反复攻击，导致安全防御的效率较低，无法进行溯源反制，反制力度小，效果差。

技术实现思路

[0004]本专利技术的目是针对
技术介绍
中存在的问题，提出一种基于ftp服务结合社会工程学和溢出漏洞，可将后门程序等可执行文件反向植入入侵者终端，进而达到溯源反制，防止反复攻击，安全防御效率高，反制力度大，效果好的基于ftp服务的攻击反制系统及方法。
[0005]一方面，本专利技术提出一种基于ftp服务的攻击反制系统，包括安全监控模块和反制处理模块，其中，安全监控模块包括入侵检测模块、信号检测模块和入侵数据库；反制处理模块包括虚拟环境模块和数据捕获模块；
[0006]入侵检测模块，用于接收互联网数据信息并对入侵行为进行检测，且对入侵行为的信息进行危险等级判定，并根据设定的危险等级判断并是否需要发送危险信号；
[0007]信号检测模块，用于检测是否接收到入侵检测模块发出的入侵信号，并根据收到的信号来决定是否进行反制行为；
[0008]入侵数据库，用于储存历史入侵的记录以及入侵的种类和级别；
[0009]虚拟环境模块，用于控制非军事区内诱饵的开启和闭合；
[0010]数据捕获模块，用于收集捕获虚拟端口入侵者的信息。
[0011]优选的，安全监控模块和反制处理模块基于ftp服务连入网络。
[0012]优选的，入侵数据库中设有获取网络攻击事件样本和检测网络攻击事件样本信息的分类储存模块。
[0013]优选的，虚拟环形模块中诱饵包括含有ftp服务器的IP、登录账号和登录密码，ftp服务器上存放包含溢出代码的doc和pdf文档。
[0014]优选的，入侵数据库内数据会在每次攻击反制结束后自动进行更新。
[0015]另一方面，本专利技术还提出一种基于ftp服务的攻击反制系统的反制方法；包括以下具体步骤：
[0016]S1、通过入侵检测模块检测接收到的互联网数据信息并对入侵行为进行检测，且对入侵行为的信息进行危险等级判定，并根据设定的危险等级判断并是否需要发送危险信号；
[0017]S2、通过检测是否接收到入侵检测模块发出的入侵信号，当收到入侵检测模块发出的入侵信号时，虚拟环境模块启动并进行反制行为，同时控制非军事区内诱饵的开启；诱饵开启时，通过在企业网络的非军事区(DMZ)内存放包含有ftp服务器的IP、登录账号、登录密码作为诱饵，当入侵者获取该诱饵就会登录特定ftp服务器，在ftp服务器上存放包含溢出代码的doc和pdf文档，诱导入侵者获取并读取该文档；当未收到入侵检测模块发出的入侵信号时，虚拟环境模块不启动并控制非军事区内诱饵的关闭；
[0018]S3、在进行反制行为时，启动数据捕获模块收集捕获虚拟端口入侵者的信息；通过诱导入侵者获取并读取该文档，而打开该特制文档后，溢出代码后台将可执行文件植入入侵者的主机，完成对入侵行为的反制。
[0019]与现有技术相比，本专利技术具有如下有益的技术效果：
[0020]该方法通过在企业网络的非军事区(DMZ)内存放包含有ftp服务器的IP、登录账号、登录密码作为诱饵，一旦入侵者获取该诱饵就会登录特定ftp服务器，在ftp服务器上存放包含溢出代码的doc和pdf文档，诱导入侵者获取并读取该文档，而打开该特制文档后，溢出代码后台将可执行文件植入入侵者的主机，完成对入侵行为的反制。本专利技术基于ftp服务结合社会工程学和溢出漏洞，可将后门程序等可执行文件反向植入入侵者终端，进而达到溯源反制的目的，有效防止反复攻击，安全防御效率高，反制力度大，效果好。
附图说明
[0021]图1为本专利技术一种基于ftp服务的攻击反制系统的框图；
[0022]图2为一种基于ftp服务的攻击反制系统的反制方法流程图。
具体实施方式
[0023]如图1
‑
2所示，本专利技术提出的一种基于ftp服务的攻击反制系统，包括安全监控模块和反制处理模块，其中，安全监控模块包括入侵检测模块、信号检测模块和入侵数据库；反制处理模块包括虚拟环境模块和数据捕获模块；
[0024]入侵检测模块，用于接收互联网数据信息并对入侵行为进行检测，且对入侵行为的信息进行危险等级判定，并根据设定的危险等级判断并是否需要发送危险信号；入侵数
据库中设有获取网络攻击事件样本和检测网络攻击事件样本信息的分类储存模块；入侵数据库内数据会在每次攻击反制结束后自动进行更新；
[0025]信号检测模块，用于检测是否接收到入侵检测模块发出的入侵信号，并根据收到的信号来决定是否进行反制行为；
[0026]入侵数据库，用于储存历史入侵的记录以及入侵的种类和级别；
[0027]虚拟环境模块，用于控制非军事区内诱饵的开启和闭合；
[0028]数据捕获模块，用于收集捕获虚拟端口入侵者的信息；安全监控模块和反制处理模块基于ftp服务连入网络；虚拟环形模块中诱饵包括含有ftp服务器的IP、登录账号和登录密码，ftp服务器上存放包含溢出代码的doc和pdf文档。
[0029]本实施例中，该方法通过在企业网络的非军事区(DMZ)内存放包含有ftp服务器的IP、登录账号、登录密码作为诱饵，一旦入侵者获取该诱饵就会登录特定ftp服务器，在ftp服务器上存放包含溢出代码的doc和pdf文档，诱导入侵者获取并读取该文档，而打开该特制文档后，溢出代码后台将可执行文件植入入侵者的主机，完成对本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于ftp服务的攻击反制系统，其特征在于，包括安全监控模块和反制处理模块，其中，安全监控模块包括入侵检测模块、信号检测模块和入侵数据库；反制处理模块包括虚拟环境模块和数据捕获模块；入侵检测模块，用于接收互联网数据信息并对入侵行为进行检测，且对入侵行为的信息进行危险等级判定，并根据设定的危险等级判断并是否需要发送危险信号；信号检测模块，用于检测是否接收到入侵检测模块发出的入侵信号，并根据收到的信号来决定是否进行反制行为；入侵数据库，用于储存历史入侵的记录以及入侵的种类和级别；虚拟环境模块，用于控制非军事区内诱饵的开启和闭合；数据捕获模块，用于收集捕获虚拟端口入侵者的信息。2.根据权利要求1所述的一种基于ftp服务的攻击反制系统，其特征在于，安全监控模块和反制处理模块基于ftp服务连入网络。3.根据权利要求2所述的一种基于ftp服务的攻击反制系统，其特征在于，入侵数据库中设有获取网络攻击事件样本和检测网络攻击事件样本信息的分类储存模块。4.根据权利要求3所述的一种基于ftp服务的攻击反制系统，其特征在于，虚拟环形模块中诱饵包括含有ftp服务器的IP、登录账号和登录密码，ftp服务器上存放包含溢出代码的doc和pdf文档。5.根据权利要求4所...

【专利技术属性】
技术研发人员：黄龙飞，翟世豪，
申请(专利权)人：上海磐御网络科技有限公司，
类型：发明
国别省市：