公开(公告)号：CN101188613A

公开(公告)日：2008-05-28

申请号：CN200710179203.1

申请日：2007-12-11

Applicant: 北京大学

Inventor： 诸葛建伟 ,  郭晋鹏 ,  游红宇 ,  叶志远 ,  邹维

IPC: H04L29/06 ,  H04L12/24 ,  H04L12/56 ,  H04L12/46

Abstract: 本发明公开了一种结合路由和隧道重定向网络攻击的方法，其通过在网关N1与连接蜜罐主机的网关N2之间设置隧道、配置第二张路由表，并标记网络攻击IP包，从而将网络攻击重定向到远端相同子网地址的蜜罐主机上，实现重定向网络攻击。本发明的方法简便易行，快速高效，特别适合在重要网关上临时重定向网络攻击的情况；同时本发明的方法具有风险低，无需担心网络的最小MTU或者IP包分片问题。

公开(公告)号：CN101087196B

公开(公告)日：2011-01-26

申请号：CN200610169676.9

申请日：2006-12-27

Applicant: 北京大学

Inventor： 韦韬 ,  梁知音 ,  韩心慧 ,  诸葛建伟 ,  邹维 ,  叶志远 ,  游红宇

IPC: H04L9/36 ,  H04L12/66

Abstract: 本发明涉及一种多层次蜜网数据传输方法及系统，由蜜网网关统一接收外部网络数据流；蜜网网关对所接收的数据流进行网络入侵检测分析；将正常数据流放行，发送给该数据流的目标主机；将非正常数据流按照威胁级别分为高、中、低三类；将高威胁级数据流重定向至物理蜜罐系统，将中威胁级数据流重定向至虚拟机蜜罐系统，将低威胁级数据流重定向至虚拟蜜罐系统。本发明有效利用低交互蜜罐系统和高交互蜜罐系统各自的优点，节省系统资源，提高了蜜罐系统的覆盖面和获取网络攻击活动信息、捕获恶意代码样本的能力；有效对抗反蜜罐技术。可以广泛应用于计算机网络安全技术领域。

公开(公告)号：CN101193044B

公开(公告)日：2010-05-12

申请号：CN200610144809.7

申请日：2006-11-21

Applicant: 北京大学

Inventor： 韦韬 ,  诸葛建伟 ,  韩心慧 ,  邹维 ,  叶志远 ,  游红宇 ,  郭晋鹏

IPC: H04L12/56 ,  H04L29/06 ,  H04L12/26

Abstract: 一种实时检测网络活动的重定向方法，包括步骤：A.通过对网络活动的监测和分析得到局域网内的活跃IP，并将其登记在活跃IP地址表中，此外，一个定时任务将确认剩余存活时间减少到0的IP地址是否确实不再活跃，并将不再活跃的IP地址从活跃IP地址表中删除；B.判别待转发的数据包是否符合重定向要求，并根据查询结果放行或者重定向该数据包。用于实现该方法的装置包括：用于监测并登记活跃IP地址的网络活动监测模块和用于根据网络活动检测模块的实时检测结果重定向通信连接的重定向模块。本发明通过监测局域网内部的网络活动实现了对局域网中活跃IP地址的探测，能够即时地重定向外部网络向内部非活跃IP地址发起的通信连接。

公开(公告)号：CN100469054C

公开(公告)日：2009-03-11

申请号：CN200610113380.5

申请日：2006-09-26

Applicant: 北京大学

Inventor： 韩心慧 ,  韦韬 ,  诸葛建伟 ,  邹维 ,  叶志远 ,  游红宇 ,  张行功 ,  梁知音

IPC: H04L12/56 ,  H04L29/06 ,  H04L12/66

Abstract: 一种用于重定向网络通信连接的方法和装置，所述的方法是一种两步处理法，即首先查表判别数据包是否符合重定向要求，其后根据查询结果放行或者重定向该数据包。由于其中将查询的表即时地反映着当前活跃的IP地址，这样本方法就能够即时重定向一个通信连接，也能即时停止重定向该通信连接。所述的装置包括：IP地址转发规则模块、正向转发模块；还可以包括逆向转发模块。上述方法和装置实现了对内部网络IP地址的活跃性的实时监测，并且能够即时地重定向外部网络向内部非活跃IP地址发起的通信连接。同时还实现了重定向通信连接过程时对数据包的灵活改造。

公开(公告)号：CN101193044A

公开(公告)日：2008-06-04

申请号：CN200610144809.7

申请日：2006-11-21

Applicant: 北京大学

Inventor： 韦韬 ,  诸葛建伟 ,  韩心慧 ,  邹维 ,  叶志远 ,  游红宇 ,  郭晋鹏

IPC: H04L12/56 ,  H04L29/06 ,  H04L12/26

Abstract: 一种实时检测网络活动的重定向方法，包括步骤：A.通过对网络活动的监测和分析得到局域网内的活跃IP，并将其登记在活跃IP地址表中，此外，一个定时任务将确认剩余存活时间减少到0的IP地址是否确实不再活跃，并将不再活跃的IP地址从活跃IP地址表中删除；B.判别待转发的数据包是否符合重定向要求，并根据查询结果放行或者重定向该数据包。用于实现该方法的装置包括：用于监测并登记活跃IP地址的网络活动监测模块和用于根据网络活动检测模块的实时检测结果重定向通信连接的重定向模块。本发明通过监测局域网内部的网络活动实现了对局域网中活跃IP地址的探测，能够即时地重定向外部网络向内部非活跃IP地址发起的通信连接。

公开(公告)号：CN101087196A

公开(公告)日：2007-12-12

申请号：CN200610169676.9

申请日：2006-12-27

Applicant: 北京大学

Inventor： 韦韬 ,  梁知音 ,  韩心慧 ,  诸葛建伟 ,  邹维 ,  叶志远 ,  游红宇

IPC: H04L9/36 ,  H04L12/66

Abstract: 本发明涉及一种多层次蜜网数据传输方法及系统，由蜜网网关统一接收外部网络数据流；蜜网网关对所接收的数据流进行网络入侵检测分析；将正常数据流放行，发送给该数据流的目标主机；将非正常数据流按照威胁级别分为高、中、低三类；将高威胁级数据流重定向至物理蜜罐系统，将中威胁级数据流重定向至虚拟机蜜罐系统，将低威胁级数据流重定向至虚拟蜜罐系统。本发明有效利用低交互蜜罐系统和高交互蜜罐系统各自的优点，节省系统资源，提高了蜜罐系统的覆盖面和获取网络攻击活动信息、捕获恶意代码样本的能力；有效对抗反蜜罐技术。可以广泛应用于计算机网络安全技术领域。

公开(公告)号：CN1960330A

公开(公告)日：2007-05-09

申请号：CN200610113380.5

申请日：2006-09-26

Applicant: 北京大学

Inventor： 韩心慧 ,  韦韬 ,  诸葛建伟 ,  邹维 ,  叶志远 ,  游红宇 ,  张行功 ,  梁知音

IPC: H04L12/56 ,  H04L29/06 ,  H04L12/66

Abstract: 一种用于重定向网络通信连接的方法和装置，所述的方法是一种两步处理法，即首先查表判别数据包是否符合重定向要求，其后根据查询结果放行或者重定向该数据包。由于其中将查询的表即时地反映着当前活跃的IP地址，这样本方法就能够即时重定向一个通信连接，也能即时停止重定向该通信连接。所述的装置包括：IP地址转发规则模块、正向转发模块；还可以包括逆向转发模块。上述方法和装置实现了对内部网络IP地址的活跃性的实时监测，并且能够即时地重定向外部网络向内部非活跃IP地址发起的通信连接。同时还实现了重定向通信连接过程时对数据包的灵活改造。