CN117411711A - 一种入侵检测防御系统的威胁阻断方法 - Google Patents
一种入侵检测防御系统的威胁阻断方法 Download PDFInfo
- Publication number
- CN117411711A CN117411711A CN202311507535.3A CN202311507535A CN117411711A CN 117411711 A CN117411711 A CN 117411711A CN 202311507535 A CN202311507535 A CN 202311507535A CN 117411711 A CN117411711 A CN 117411711A
- Authority
- CN
- China
- Prior art keywords
- blocking
- malicious traffic
- information
- bypass
- attack
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 230000000903 blocking effect Effects 0.000 title claims abstract description 367
- 238000001514 detection method Methods 0.000 title claims abstract description 91
- 238000000034 method Methods 0.000 title claims abstract description 63
- 230000007123 defense Effects 0.000 title claims abstract description 32
- 238000012544 monitoring process Methods 0.000 claims description 27
- 238000012545 processing Methods 0.000 claims description 17
- 238000010276 construction Methods 0.000 claims description 4
- 230000008569 process Effects 0.000 claims description 2
- 238000005516 engineering process Methods 0.000 description 17
- 238000010586 diagram Methods 0.000 description 16
- 230000002265 prevention Effects 0.000 description 13
- 230000000694 effects Effects 0.000 description 8
- 239000000306 component Substances 0.000 description 6
- 238000007726 management method Methods 0.000 description 6
- 230000009471 action Effects 0.000 description 5
- 230000006399 behavior Effects 0.000 description 5
- 238000010801 machine learning Methods 0.000 description 4
- 230000002085 persistent effect Effects 0.000 description 4
- 206010000117 Abnormal behaviour Diseases 0.000 description 3
- 238000004590 computer program Methods 0.000 description 3
- 230000006870 function Effects 0.000 description 3
- 238000007619 statistical method Methods 0.000 description 3
- ZXQYGBMAQZUVMI-GCMPRSNUSA-N gamma-cyhalothrin Chemical compound CC1(C)[C@@H](\C=C(/Cl)C(F)(F)F)[C@H]1C(=O)O[C@H](C#N)C1=CC=CC(OC=2C=CC=CC=2)=C1 ZXQYGBMAQZUVMI-GCMPRSNUSA-N 0.000 description 2
- 230000006978 adaptation Effects 0.000 description 1
- 238000013459 approach Methods 0.000 description 1
- 238000013473 artificial intelligence Methods 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 239000008358 core component Substances 0.000 description 1
- 238000013500 data storage Methods 0.000 description 1
- 238000010295 mobile communication Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D30/00—Reducing energy consumption in communication networks
- Y02D30/50—Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请涉及威胁阻断技术领域,具体涉及一种入侵检测防御系统的威胁阻断方法,该方法包括:获取网卡的访问流量,并通过入侵检测防御系统IDPS对访问流量进行恶意流量检测;当入侵检测防御系统IDPS检测出存在恶意流量时,根据恶意流量的攻击源构建阻断信息;攻击源包括外部攻击和内部攻击;阻断信息结构包括IP、端口、协议类型;建立旁路阻断结构,并使旁路阻断结构根据阻断信息对恶意流量进行持续阻断处理;旁路阻断结构包括阻断线程池。上述方案增加了阻断线程池,可以实时阻断恶意流量,由于恶意流量不再进入IDPS的检测引擎,因此阻断时延可以缩小到几毫秒级别,极大的提升了阻断性能,其对业务影响小、且阻断效果明显。
Description
技术领域
本申请涉及威胁阻断技术领域,具体涉及一种入侵检测防御系统的威胁阻断方法。
背景技术
入侵检测防御系统(Intrusion Detection and Prevention System,简称IDPS)是一种用于监测和防止计算机网络中的入侵行为的安全工具。它可以帮助保护计算机网络免受未经授权的访问、恶意软件、网络攻击和其他安全威胁。
IDPS通常由两个主要组件组成:入侵检测系统(Intrusion Detection System,简称IDS)和入侵防御系统(Intrusion Prevention System,简称IPS)。入侵检测系统(IDS)负责监测网络流量和系统活动,以便检测潜在的入侵行为,其使用各种技术和方法来分析网络数据包、日志文件和其他系统事件,以识别异常行为和已知的攻击模式,可以基于规则、统计分析、机器学习等技术进行入侵检测。入侵防御系统(IPS)则进一步采取行动来阻止入侵行为,其根据IDS的检测结果主动采取措施,例如阻止特定IP地址的访问、关闭漏洞、重置连接等,可以通过网络设备、主机软件或专用硬件来实现。目前IDPS常见威胁阻断技术包括IDS旁路阻断技术以及IPS联动防火墙阻断技术。但在现有的威胁阻断技术中,IDS旁路阻断技术效率低,存在误阻断的问题,阻断效果不明显,在实际中很少使用;IPS联动防火墙阻断效果显著,但是IPS必须串联在业务网络中,对业务时延影响很大,大流量情况下可能会造成业务中断,对用户造成严重的损失,如果系统中存在对时延要求高的业务则这种阻断方式也是不可行的。
因此,亟需一种对业务影响小、阻断效果明显的入侵检测防御系统的威胁阻断方法。
发明内容
有鉴于此,本申请实施例提供了一种入侵检测防御系统的威胁阻断方法,对业务影响小、且阻断效果明显。
第一方面,本申请提供了一种入侵检测防御系统的威胁阻断方法,所述方法包括:
获取网卡的访问流量,并通过入侵检测防御系统IDPS对所述访问流量进行恶意流量检测;
当所述入侵检测防御系统IDPS检测出存在恶意流量时,根据所述恶意流量的攻击源构建阻断信息;所述攻击源包括外部攻击和内部攻击;所述阻断信息结构包括IP、端口、协议类型;
建立旁路阻断结构,并使所述旁路阻断结构根据所述阻断信息对所述恶意流量进行持续阻断处理;所述旁路阻断结构包括阻断线程池。
根据上述技术手段,本申请相比于IDS旁路阻断技术增加了建立旁路阻断结构,该旁路阻断结构包括阻断线程池,可以实时阻断恶意流量,由于恶意流量不再进入IDPS的检测引擎,因此阻断时延可以缩小到几毫秒级别,极大的提升了阻断性能;相比于IPS联动防火墙阻断的方式,本申请是一种旁路阻断方式,不影响业务,但是同样具有很好的阻断效果,性能也优于IPS联动防火墙阻断的阻断。可见,本申请的旁路阻断技术在不影响业务的同时获取了很好的阻断效果,提升了IDPS系统安全能力的同时提高了IDPS系统使用范围,在大流量、低延时的业务场景中同样具有很好的效果。
结合第一方面,在一种实施方式中,所述建立旁路阻断结构,并使所述旁路阻断结构根据所述阻断信息对所述恶意流量进行持续阻断处理,包括:
建立阻断线程池;所述阻断线程池包括多个阻断线程;
根据所述阻断信息建立监听套接字;
使所述阻断线程通过所述监听套接字对所述恶意流量进行捕获,并进入阻断流程进行持续阻断处理。
根据上述技术手段,本申请通过建立阻断线程池,可以实时阻断恶意流量,由于恶意流量不再进入IDPS的检测引擎,因此阻断时延可以缩小到几毫秒级别,极大的提升了阻断性能。
结合第一方面,在一种实施方式中,所述根据所述阻断信息建立监听套接字,包括:
根据所述阻断信息中的协议类型,构建不同协议类型所对应的抓包BPF语句;所述协议类型包括IPV4和IPV6;
根据所述抓包BPF语句,对IPV4和IPV6分别进行libnet库初始化,并创建监听套接字。
根据上述技术手段,本申请根据协议类型设置不同的阻断函数,IPv4和IPv6的libnet监听套接字类型不同,需要分开进行初始化。
结合第一方面,在一种实施方式中,所述进入阻断流程进行持续阻断处理,包括:
获取所述恶意流量中的五元组信息;
根据所述五元组信息,构造带有正确的确认号ACK以及序列号SEQ的RESET数据包,并将所述RESET数据包发送至所述恶意流量的攻击源,以阻断所述恶意流量。
根据上述技术手段,由于阻断线程抓取的恶意流量是没有经过IDPS处理的,所以可以实时抓取恶意流量进行阻断,防止恶意流量进入防护的设备之中。
结合第一方面,在一种实施方式中,在所述建立阻断线程池之后,所述方法包括:
获取线程超时时间,以使所述阻断线程到达所述线程超时时间后,自动释放相关监听操作。
根据上述技术手段,为了防止阻断线程占用时间太长,导致后续的恶意流量没法阻断,所以设置线程超时时间,线程达到设置时间后自动释放相关监听操作,为后续阻断释放资源。
结合第一方面,在一种实施方式中,所述旁路阻断结构包括ebpf虚拟机;
所述建立旁路阻断结构,并使所述旁路阻断结构根据所述阻断信息对所述恶意流量进行持续阻断处理,包括:
下发ebpf阻断策略至所述ebpf虚拟机中,以使所述ebpf虚拟机基于所述ebpf阻断策略对所述恶意流量进行持续捕获与阻断;所述ebpf虚拟机还通过ebpf策略管理对所述ebpf阻断策略进行实时更新和删除。
根据上述技术手段,线程阻断可以使用ebpf阻断替代,ebpf阻断不需要创建线程,只需要加载阻断策略,节约系统资源,ebpf阻断性能比线程阻断方案高10倍以上,不需要发送RESET数据包,攻击无法感知阻断方式,安全性更好。
结合第一方面,在一种实施方式中,所述根据所述恶意流量的攻击源构建阻断信息,包括:
当所述攻击源为外部攻击时,获取所述恶意流量中的五元组信息、序列号SEQ以及确认号ACK;
根据所述五元组信息、序列号SEQ以及确认号ACK,构建发送至所述外部攻击的源IP和源端口的RESET数据包,以初步阻断所述恶意流量的当前连接;
当所述攻击源为内部攻击时,获取所述恶意流量中的五元组信息、序列号SEQ以及确认号ACK;
根据所述五元组信息、序列号SEQ以及确认号ACK,构建发送至所述内部攻击的目的IP和目的端口的RESET数据包,以初步阻断所述恶意流量的当前连接。
第二方面,本申请提供了一种入侵检测防御系统的威胁阻断装置,所述装置包括:
恶意流量检测模块,用于获取网卡的访问流量,并通过入侵检测防御系统IDPS对所述访问流量进行恶意流量检测;
阻断信息构建模块,用于当所述入侵检测防御系统IDPS检测出存在恶意流量时,根据所述恶意流量的攻击源构建阻断信息;所述攻击源包括外部攻击和内部攻击;所述阻断信息结构包括IP、端口、协议类型;
持续阻断处理模块,用于建立旁路阻断结构,并使所述旁路阻断结构根据所述阻断信息对所述恶意流量进行持续阻断处理;所述旁路阻断结构包括阻断线程池。
第三方面,本申请提供了一种计算机设备,所述计算机设备包括处理器和存储器,所述存储器中存储有至少一条指令,所述至少一条指令由所述处理器加载并执行以实现上述的一种入侵检测防御系统的威胁阻断方法。
第四方面,本申请提供了一种计算机可读存储介质,所述存储介质中存储有至少一条指令,所述至少一条指令由处理器加载并执行以实现上述的一种入侵检测防御系统的威胁阻断方法。
本申请提供的技术方案可以包括以下有益效果:
本申请相比于IDS旁路阻断技术增加了建立旁路阻断结构,该旁路阻断结构包括阻断线程池,可以实时阻断恶意流量,由于恶意流量不再进入IDPS的检测引擎,因此阻断时延可以缩小到几毫秒级别,极大的提升了阻断性能;相比于IPS联动防火墙阻断的方式,本申请是一种旁路阻断方式,不影响业务,但是同样具有很好的阻断效果,性能也优于IPS联动防火墙阻断的阻断。可见,本申请的旁路阻断技术在不影响业务的同时获取了很好的阻断效果,提升了IDPS系统安全能力的同时提高了IDPS系统使用范围,在大流量、低延时的业务场景中同样具有很好的效果;
此外,在本申请中,线程阻断可以使用ebpf阻断替代,ebpf阻断不需要创建线程,只需要加载阻断策略,节约系统资源,ebpf阻断性能比线程阻断方案高10倍以上,不需要发送RESET数据包,攻击无法感知阻断方式,安全性更好。
附图说明
为了更清楚地说明本申请具体实施方式或现有技术中的技术方案,下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本申请的一些实施方式,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1示出了本申请实施例涉及的一种入侵检测防御系统IDPS的组件结构示意图。
图2是根据一示例性实施例示出的一种入侵检测防御系统的威胁阻断方法的方法流程图。
图3是根据一示例性实施例示出的一种入侵检测防御系统的威胁阻断方法的方法流程图。
图4是根据一示例性实施例示出的入侵检测防御系统IDPS阻断流程示意图。
图5是根据一示例性实施例示出的入侵检测防御系统IDPS的线程池旁路阻断的完整流程示意图。
图6是根据一示例性实施例示出的入侵检测防御系统IDPS的ebpf虚拟机旁路阻断的完整流程示意图。
图7是根据一示例性实施例示出的一种入侵检测防御系统的威胁阻断装置的结构方框图。
图8示出了本申请一示例性实施例示出的计算机设备的结构框图。
具体实施方式
下面将结合附图对本申请的技术方案进行清楚、完整地描述,显然,所描述的实施例是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
图1示出了本申请实施例涉及的一种入侵检测防御系统IDPS的组件结构示意图。如图1所示,入侵检测防御系统(IDPS)是保护计算机网络安全的重要工具,如图1所示,它由入侵检测系统(IDS)和入侵防御系统(IPS)两个主要组件组成。
入侵检测系统(IDS):IDS是IDPS的核心组成部分,它负责监控和分析网络流量以及系统的活动,目的是检测任何可能的入侵行为。IDS使用各种技术来分析和识别网络数据包、日志文件和其他系统事件,包括基于规则的检测、统计分析、以及机器学习等。其中,基于规则的检测是最常见的方法之一;在这种方法中,IDS使用预定义的规则或模式来检测潜在的攻击。这些规则基于已知的攻击模式或异常行为,例如未经授权的访问尝试、恶意软件、或网络流量模式。统计分析方法则依赖于对系统正常运行时的统计数据的理解,任何偏离这些统计数据的活动都可能表示一个入侵行为;机器学习方法则是使用人工智能和机器学习算法来识别异常行为。通过从大量网络流量和系统事件中学习正常模式,IDS可以使用这些算法来识别新的、未知的攻击模式。
入侵防御系统(IPS):IPS是IDPS的另一个重要组件,它在IDS检测到潜在的入侵行为后,会主动采取行动来阻止这些行为;IPS可以通过网络设备、主机软件或专用硬件来实现,并根据IDS的检测结果采取相应的措施,例如阻止特定IP地址的访问、关闭漏洞、重置连接等。
总的来说,IDPS通过结合IDS和IPS的能力,提供了一种有效的手段来保护计算机网络免受各种威胁。目前IDPS常见威胁阻断技术包括IDS旁路阻断技术以及IPS联动防火墙阻断技术,其对业务影响大、且阻断效果较小,因此,本申请提出了一种对业务影响小、阻断效果明显的入侵检测防御系统的威胁阻断方法。
图2是根据一示例性实施例示出的一种入侵检测防御系统的威胁阻断方法的方法流程图。该方法应用于图1所述的入侵检测防御系统中,进行威胁阻断。如图2所示,该方法可以包括如下步骤:
步骤S201、获取网卡的访问流量,并通过入侵检测防御系统IDPS对该访问流量进行恶意流量检测。
在一种可能的实施方式中,正常用户和攻击者访问内部服务,都会在网卡上产生流量,因此,在对入侵检测防御系统进行威胁阻断时,首先获取网卡的访问流量,并通过入侵检测防御系统IDPS对该访问流量进行恶意流量检测,该恶意流量检测为利用传统的入侵检测防御系统IDPS检测网络中的威胁行为。
步骤S202、当该入侵检测防御系统IDPS检测出存在恶意流量时,根据该恶意流量的攻击源构建阻断信息;该攻击源包括外部攻击和内部攻击;该阻断信息结构包括IP、端口、协议类型。
在一种可能的实施方式中,当该入侵检测防御系统IDPS检测出存在恶意流量时,判断威胁来自于外部还是内部,根据恶意流量的攻击源构建阻断信息,以进行初步阻断;但是初步阻断大概率是阻断不了恶意流量连接,因为入侵检测防御系统IDPS必须发送正确的序列号SEQ以及确认号ACK才能成功阻断连接,但是由于IDPS检测威胁需要很长的检测时间,威胁流量的序列号SEQ以及确认号ACK可能已经发生改变,因此需要建立旁路阻断结构持续的阻断威胁流量。
步骤S203、建立旁路阻断结构,并使该旁路阻断结构根据该阻断信息对该恶意流量进行持续阻断处理;该旁路阻断结构包括阻断线程池。
在一种可能的实施方式中,在本实施例中,该旁路阻断结构为阻断线程池,阻断线程可持续的阻断恶意流量,阻断线程需要从阻断线程池获取,以在提高性能的同时防止创建过多线程对系统性能造成较大的影响。在阻断处理过程中,本实施例首先从阻断线程池获取阻断线程,之后该阻断线程建立监听套接字,阻断线程即可通过监听套接字抓取恶意流量,之后,构造RESET数据包阻断恶意流量,并在阻断线程生命周期内持续阻断。
综上所述,本申请相比于IDS旁路阻断技术增加了建立旁路阻断结构,该旁路阻断结构包括阻断线程池,可以实时阻断恶意流量,由于恶意流量不再进入IDPS的检测引擎,因此阻断时延可以缩小到几毫秒级别,极大的提升了阻断性能;相比于IPS联动防火墙阻断的方式,本申请是一种旁路阻断方式,不影响业务,但是同样具有很好的阻断效果,性能也优于IPS联动防火墙阻断的阻断。可见,本申请的旁路阻断技术在不影响业务的同时获取了很好的阻断效果,提升了IDPS系统安全能力的同时提高了IDPS系统使用范围,在大流量、低延时的业务场景中同样具有很好的效果;
图3是根据一示例性实施例示出的一种入侵检测防御系统的威胁阻断方法的方法流程图。该方法应用于图1该的入侵检测防御系统中,进行威胁阻断。如图3所示,该方法可以包括如下步骤:
步骤S301、获取网卡的访问流量,并通过入侵检测防御系统IDPS对该访问流量进行恶意流量检测。
在一种可能的实施方式中,本实施例利用传统的入侵检测防御系统IDPS检测网络中的威胁行为。
步骤S302、当该入侵检测防御系统IDPS检测出存在恶意流量时,根据该恶意流量的攻击源构建阻断信息;该攻击源包括外部攻击和内部攻击;该阻断信息结构包括IP、端口、协议类型。
在一种可能的实施方式中,该步骤S302包括:
当该攻击源为外部攻击时,获取该恶意流量中的五元组信息、序列号SEQ以及确认号ACK;
根据该五元组信息、序列号SEQ以及确认号ACK,构建发送至该外部攻击的源IP和源端口的RESET数据包,以初步阻断该恶意流量的当前连接;
当该攻击源为内部攻击时,获取该恶意流量中的五元组信息、序列号SEQ以及确认号ACK;
根据该五元组信息、序列号SEQ以及确认号ACK,构建发送至该内部攻击的目的IP和目的端口的RESET数据包,以初步阻断该恶意流量的当前连接。
进一步的,入侵检测防御系统IDPS检测出网络中存在威意流量(即上述恶意流量)时,若威胁来自于外部,则获取IDS威胁流量中的五元组、SEQ、ACK信息,构造发送到源IP和源端口的RESET数据包阻断当前连接;
若威胁来自于内部,则获取IDS威胁流量中的五元组、SEQ、ACK信息,构造发送到目的IP和目的端口的RESET数据包阻断当前连接,这样做的目的是防止阻断了本地网络中正常通信的端口,影响系统业务的正常使用。可见该阻断信息结构包括源IP、源端口、目的IP、目的端口、IPV4的协议类型、IPV6的协议类型。
步骤S303、在旁路阻断结构包括阻断线程池时,建立阻断线程池;该阻断线程池包括多个阻断线程。
通过步骤S302的阻断大概率是阻断不了威胁流量连接,因为入侵检测防御系统IDPS必须发送正确的ACK和SEQ才能成功阻断连接,但是由于入侵检测防御系统IDPS检测威胁需要很长的检测时间,威胁流量的ACK和SEQ可能已经发生改变;因此需要建立阻断线程持续的阻断威胁流量,此实施例的阻断线程需要从阻断线程池获取,从而在提高性能的同时防止创建过多线程对系统性能造成较大的影响。
步骤S304、根据该阻断信息建立监听套接字;
在一种可能的实施方式中,该步骤S304包括:
根据该阻断信息中的协议类型,构建不同协议类型所对应的抓包BPF语句;该协议类型包括IPV4和IPV6;
根据该抓包BPF语句,对IPV4和IPV6分别进行libnet库初始化,并创建监听套接字。
进一步的,构造阻断IP和端口的抓包BPF语句如下:
IPV4的协议类型:获取IPV4的阻断IP和端口,构造抓包BPF语句;
IPV6的协议类型:获取IPV6的阻断IP和端口,构造抓包BPF语句;
构造完上述抓包BPF语句后,本实施例还初始化阻断相关的抓包流程:使用libnet库分别初始化IPV4和IPV6抓包相关操作,并建立非阻塞式监听套接字,为了阻断线程可以持续阻断,本实施例通过定时器轮询读取数据包。
在一种可能的实施方式中,在建立阻断线程池之后,获取线程超时时间,以使该阻断线程到达该线程超时时间后,自动释放相关监听操作。
进一步的,为了防止阻断线程占用时间太长,导致后续的恶意流量没法阻断,所以本实施例设置了线程超时时间,阻断线程达到设置的时间后就自动释放相关监听操作,为后续阻断释放资源。
步骤S305、使该阻断线程通过该监听套接字对该恶意流量进行捕获,并进入阻断流程进行持续阻断处理。
在一种可能的实施方式中,该步骤S305包括:
获取该恶意流量中的五元组信息;
根据该五元组信息,构造带有正确的确认号ACK以及序列号SEQ的RESET数据包,并将该RESET数据包发送至该恶意流量的攻击源,以阻断该恶意流量。
进一步的,当恶意流量进入网络中后,阻断线程的监听套接字会将恶意流量抓取到阻断线程进行处理,首先提取五元组信息、确认号ACK以及序列号SEQ;其次利用libnet库依次构造RESET数据包、IPV4数据包或者IPV6数据包,将构造好的报文(即上述RESET数据包、IPV4数据包或者IPV6数据包)通过网卡发送到攻击源,由于阻断线程抓取的恶意流量是没有经过入侵检测防御系统IDPS处理的,所以可以实时抓取恶意流量进行阻断,防止恶意流量进入防护的设备之中。
请参照图4示出的入侵检测防御系统IDPS阻断流程示意图,该图包括了传统的IDS旁路阻断方案、IPS联动防火墙阻断技术以及本申请提出的威胁阻断方法;
如图4所示,首先,IPS联动防火墙阻断方案为步骤1及步骤2;
1.正常用户和攻击者访问内部服务在网卡上产生流量;
2.流量经过防火墙进入IPS,包括:21.流量经过防火墙过滤;22.流量进入IPS系统进行检测;23.恶意流量被检测后,IPS下发规则到防火墙进行阻断;24.防火墙实时阻断恶意流量。
这部分为IPS联动防火墙阻断的方案,该方案中IPS串联在防火墙和业务中间,IPS的检测对正常业务的流量增加了很大延时。
传统的IDS旁路阻断方案为步骤1及步骤3的31至34;
3.流量被镜像到IDS系统进行检测,包括:31.分析流量的协议类型并进行审计;32.流量进入检测引擎,通过规则库匹配检测出恶意流量;33.IDS系统产生告警日志;34.利用传统旁路阻断进行第一次恶意流量的阻断。
上述步骤为传统的IDS旁路阻断流程,其只会进行一次RESET包的发送,大多数情况下都起不到阻断的作用;
本申请提出的威胁阻断方法是基于传统的IDS旁路阻断流程实现的,包括步骤1及步骤3的全部;
35.从线程池获取一个阻断线程;36.阻断线程建立监听套接字;37.阻断线程抓取恶意流量;38.构造reset包阻断流量;39.在阻断线程生命周期内持续阻断。上述步骤为本申请的阻断方案。
此时,请参照图5示出的入侵检测防御系统IDPS的线程池旁路阻断的完整流程示意图,其具体的阻断方案如下:
1.IDS进行恶意流量的检测;
2.判断攻击源,包括:21.外部攻击,攻击者从外部发起的攻击方式;获取源IP和端口信息;22.内部攻击,服务内部发起的恶意流量,可能服务器内部攻击后植入的后门、木马等程序发起的连接请求,获取目的IP和端口信息;
3.根据步骤21、步骤22获取的信息构建阻断信息结构,包括IP、端口、协议类型;
4.构建阻断线程池,根据系统配置设置阻断线程池大小,阻断线程越多能阻断的连接就越多;
5.根据协议类型(即图5的阻断类型)设置不同的阻断函数,IPv4和IPv6的libnet监听套接字类型不同,需要分开进行初始化;
6.Libnet库的初始化,创建监听套接字。
7.恶意流量被相应的阻断线程套接字捕获后进入阻断流程;
8.阻断线程分析恶意流量的五元组信息。
9.构造带有正确的确认号ACK、序列号SEQ的RESET数据包发送到网卡阻断流量。
10.阻断线程会根据配置的线程超时时间持续检测恶意流量、阻断恶意流量进去业务系统;
11.阻断线程退出,流量进入IDPS检测引擎重新进行检测。
步骤S306、在旁路阻断结构包括ebpf虚拟机时,下发ebpf阻断策略至该ebpf虚拟机中,以使该ebpf虚拟机基于该ebpf阻断策略对该恶意流量进行持续捕获与阻断;该ebpf虚拟机还通过ebpf策略管理对该ebpf阻断策略进行实时更新和删除。
在一种可能的实施方式中,请参照图6示出的入侵检测防御系统IDPS的ebpf虚拟机旁路阻断的完整流程示意图,如图6所示,线程阻断可以使用ebpf xdp技术阻断替代,优点是不需要创建线程,只需要加载阻断策略,节约系统资源,通过ebpf策略管理可以实时的更新和删除策略,方便策略管理,Xdp阻断性能比线程阻断方案高10倍以上,不需要发送RESET包,攻击无法感知阻断方式,安全性更好。
其具体的阻断方案如下:
1.IDS进行恶意流量的检测;
2.判断攻击源,包括:21.外部攻击,攻击者从外部发起的攻击方式;获取源IP和端口信息;22.内部攻击,服务内部发起的恶意流量,可能服务器内部攻击后植入的后门、木马等程序发起的连接请求,获取目的IP和端口信息;
3.根据步骤21、步骤22获取的信息构建阻断信息结构,包括IP、端口、协议类型;
4.下发ebpf阻断策略至该ebpf虚拟机;
5.该ebpf虚拟机基于该ebpf阻断策略对该恶意流量进行持续捕获与阻断;
6.ebpf虚拟机还通过ebpf策略管理对该ebpf阻断策略进行实时更新和删除。
综上所述,本申请相比于IDS旁路阻断技术增加了建立旁路阻断结构,该旁路阻断结构包括阻断线程池,可以实时阻断恶意流量,由于恶意流量不再进入IDPS的检测引擎,因此阻断时延可以缩小到几毫秒级别,极大的提升了阻断性能;相比于IPS联动防火墙阻断的方式,本申请是一种旁路阻断方式,不影响业务,但是同样具有很好的阻断效果,性能也优于IPS联动防火墙阻断的阻断。可见,本申请的旁路阻断技术在不影响业务的同时获取了很好的阻断效果,提升了IDPS系统安全能力的同时提高了IDPS系统使用范围,在大流量、低延时的业务场景中同样具有很好的效果;
此外,在本申请中,线程阻断可以使用ebpf阻断替代,ebpf阻断不需要创建线程,只需要加载阻断策略,节约系统资源,ebpf阻断性能比线程阻断方案高10倍以上,不需要发送RESET数据包,攻击无法感知阻断方式,安全性更好。
图7是根据一示例性实施例示出的一种入侵检测防御系统的威胁阻断装置的结构方框图。该装置包括:
恶意流量检测模块701,用于获取网卡的访问流量,并通过入侵检测防御系统IDPS对该访问流量进行恶意流量检测;
阻断信息构建模块702,用于当该入侵检测防御系统IDPS检测出存在恶意流量时,根据该恶意流量的攻击源构建阻断信息;该攻击源包括外部攻击和内部攻击;该阻断信息结构包括IP、端口、协议类型;
持续阻断处理模块703,用于建立旁路阻断结构,并使该旁路阻断结构根据该阻断信息对该恶意流量进行持续阻断处理;该旁路阻断结构包括阻断线程池。
在一种可能的实施方式中,该持续阻断处理模块703,还用于:
建立阻断线程池;该阻断线程池包括多个阻断线程;
根据该阻断信息建立监听套接字;
使该阻断线程通过该监听套接字对该恶意流量进行捕获,并进入阻断流程进行持续阻断处理。
在一种可能的实施方式中,该持续阻断处理模块703,还用于:
根据该阻断信息中的协议类型,构建不同协议类型所对应的抓包BPF语句;该协议类型包括IPV4和IPV6;
根据该抓包BPF语句,对IPV4和IPV6分别进行libnet库初始化,并创建监听套接字。
在一种可能的实施方式中,该持续阻断处理模块703,还用于:
获取该恶意流量中的五元组信息;
根据该五元组信息,构造带有正确的确认号ACK以及序列号SEQ的RESET数据包,并将该RESET数据包发送至该恶意流量的攻击源,以阻断该恶意流量。
在一种可能的实施方式中,该装置,还用于:
获取线程超时时间,以使该阻断线程到达该线程超时时间后,自动释放相关监听操作。
在一种可能的实施方式中,该旁路阻断结构包括ebpf虚拟机;该持续阻断处理模块703,还用于:
下发ebpf阻断策略至该ebpf虚拟机中,以使该ebpf虚拟机基于该ebpf阻断策略对该恶意流量进行持续捕获与阻断;该ebpf虚拟机还通过ebpf策略管理对该ebpf阻断策略进行实时更新和删除。
在一种可能的实施方式中,该阻断信息构建模块702,还用于:
当该攻击源为外部攻击时,获取该恶意流量中的五元组信息、序列号SEQ以及确认号ACK;
根据该五元组信息、序列号SEQ以及确认号ACK,构建发送至该外部攻击的源IP和源端口的RESET数据包,以初步阻断该恶意流量的当前连接;
当该攻击源为内部攻击时,获取该恶意流量中的五元组信息、序列号SEQ以及确认号ACK;
根据该五元组信息、序列号SEQ以及确认号ACK,构建发送至该内部攻击的目的IP和目的端口的RESET数据包,以初步阻断该恶意流量的当前连接。
综上所述,本申请相比于IDS旁路阻断技术增加了建立旁路阻断结构,该旁路阻断结构包括阻断线程池,可以实时阻断恶意流量,由于恶意流量不再进入IDPS的检测引擎,因此阻断时延可以缩小到几毫秒级别,极大的提升了阻断性能;相比于IPS联动防火墙阻断的方式,本申请是一种旁路阻断方式,不影响业务,但是同样具有很好的阻断效果,性能也优于IPS联动防火墙阻断的阻断。可见,本申请的旁路阻断技术在不影响业务的同时获取了很好的阻断效果,提升了IDPS系统安全能力的同时提高了IDPS系统使用范围,在大流量、低延时的业务场景中同样具有很好的效果;
此外,在本申请中,线程阻断可以使用ebpf阻断替代,ebpf阻断不需要创建线程,只需要加载阻断策略,节约系统资源,ebpf阻断性能比线程阻断方案高10倍以上,不需要发送RESET数据包,攻击无法感知阻断方式,安全性更好。
请参阅图8,其是根据本申请一示例性实施例提供的一种计算机设备示意图,所述计算机设备包括存储器和处理器,所述存储器用于存储计算机程序,所述计算机程序被所述处理器执行时,实现上述的一种入侵检测防御系统的威胁阻断方法。
其中,处理器可以为中央处理器(Central Processing Unit,CPU)。处理器还可以为其他通用处理器、数字信号处理器(Digital Signal Processor,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现场可编程门阵列(Field-Programmable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等芯片,或者上述各类芯片的组合。
存储器作为一种非暂态计算机可读存储介质,可用于存储非暂态软件程序、非暂态计算机可执行程序以及模块,如本申请实施方式中的方法对应的程序指令/模块。处理器通过运行存储在存储器中的非暂态软件程序、指令以及模块,从而执行处理器的各种功能应用以及数据处理,即实现上述方法实施方式中的方法。
存储器可以包括存储程序区和存储数据区,其中,存储程序区可存储操作系统、至少一个功能所需要的应用程序;存储数据区可存储处理器所创建的数据等。此外,存储器可以包括高速随机存取存储器,还可以包括非暂态存储器,例如至少一个磁盘存储器件、闪存器件、或其他非暂态固态存储器件。在一些实施方式中,存储器可选包括相对于处理器远程设置的存储器,这些远程存储器可以通过网络连接至处理器。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
在一示例性实施例中,还提供了一种计算机可读存储介质,用于存储有至少一条计算机程序,所述至少一条计算机程序由处理器加载并执行以实现上述方法中的全部或部分步骤。例如,该计算机可读存储介质可以是只读存储器(Read-Only Memory,ROM)、随机存取存储器(Random Access Memory,RAM)、只读光盘(Compact Disc Read-Only Memory,CD-ROM)、磁带、软盘和光数据存储设备等。
本领域技术人员在考虑说明书及实践这里公开的申请后,将容易想到本申请的其它实施方案。本申请旨在涵盖本申请的任何变型、用途或者适应性变化,这些变型、用途或者适应性变化遵循本申请的一般性原理并包括本申请未公开的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的,本申请的真正范围和精神由下面的权利要求指出。
应当理解的是,本申请并不局限于上面已经描述并在附图中示出的精确结构,并且可以在不脱离其范围进行各种修改和改变。本申请的范围仅由所附的权利要求来限制。
Claims (10)
1.一种入侵检测防御系统的威胁阻断方法,其特征在于,所述方法包括:
获取网卡的访问流量,并通过入侵检测防御系统IDPS对所述访问流量进行恶意流量检测;
当所述入侵检测防御系统IDPS检测出存在恶意流量时,根据所述恶意流量的攻击源构建阻断信息;所述攻击源包括外部攻击和内部攻击;所述阻断信息结构包括IP、端口、协议类型;
建立旁路阻断结构,并使所述旁路阻断结构根据所述阻断信息对所述恶意流量进行持续阻断处理;所述旁路阻断结构包括阻断线程池。
2.根据权利要求1所述的方法,其特征在于,所述建立旁路阻断结构,并使所述旁路阻断结构根据所述阻断信息对所述恶意流量进行持续阻断处理,包括:
建立阻断线程池;所述阻断线程池包括多个阻断线程;
根据所述阻断信息建立监听套接字;
使所述阻断线程通过所述监听套接字对所述恶意流量进行捕获,并进入阻断流程进行持续阻断处理。
3.根据权利要求2所述的方法,其特征在于,所述根据所述阻断信息建立监听套接字,包括:
根据所述阻断信息中的协议类型,构建不同协议类型所对应的抓包BPF语句;所述协议类型包括IPV4和IPV6;
根据所述抓包BPF语句,对IPV4和IPV6分别进行libnet库初始化,并创建监听套接字。
4.根据权利要求2所述的方法,其特征在于,所述进入阻断流程进行持续阻断处理,包括:
获取所述恶意流量中的五元组信息;
根据所述五元组信息,构造带有正确的确认号ACK以及序列号SEQ的RESET数据包,并将所述RESET数据包发送至所述恶意流量的攻击源,以阻断所述恶意流量。
5.根据权利要求2所述的方法,其特征在于,在所述建立阻断线程池之后,所述方法包括:
获取线程超时时间,以使所述阻断线程到达所述线程超时时间后,自动释放相关监听操作。
6.根据权利要求1所述的方法,其特征在于,所述旁路阻断结构包括ebpf虚拟机;
所述建立旁路阻断结构,并使所述旁路阻断结构根据所述阻断信息对所述恶意流量进行持续阻断处理,包括:
下发ebpf阻断策略至所述ebpf虚拟机中,以使所述ebpf虚拟机基于所述ebpf阻断策略对所述恶意流量进行持续捕获与阻断;所述ebpf虚拟机还通过ebpf策略管理对所述ebpf阻断策略进行实时更新和删除。
7.根据权利要求1至6任一所述的方法,其特征在于,所述根据所述恶意流量的攻击源构建阻断信息,包括:
当所述攻击源为外部攻击时,获取所述恶意流量中的五元组信息、序列号SEQ以及确认号ACK;
根据所述五元组信息、序列号SEQ以及确认号ACK,构建发送至所述外部攻击的源IP和源端口的RESET数据包,以初步阻断所述恶意流量的当前连接;
当所述攻击源为内部攻击时,获取所述恶意流量中的五元组信息、序列号SEQ以及确认号ACK;
根据所述五元组信息、序列号SEQ以及确认号ACK,构建发送至所述内部攻击的目的IP和目的端口的RESET数据包,以初步阻断所述恶意流量的当前连接。
8.一种入侵检测防御系统的威胁阻断装置,其特征在于,所述装置包括:
恶意流量检测模块,用于获取网卡的访问流量,并通过入侵检测防御系统IDPS对所述访问流量进行恶意流量检测;
阻断信息构建模块,用于当所述入侵检测防御系统IDPS检测出存在恶意流量时,根据所述恶意流量的攻击源构建阻断信息;所述攻击源包括外部攻击和内部攻击;所述阻断信息结构包括IP、端口、协议类型;
持续阻断处理模块,用于建立旁路阻断结构,并使所述旁路阻断结构根据所述阻断信息对所述恶意流量进行持续阻断处理;所述旁路阻断结构包括阻断线程池。
9.一种计算机设备,其特征在于,所述计算机设备包括处理器和存储器,所述存储器中存储有至少一条指令,所述至少一条指令由所述处理器加载并执行以实现如权利要求1至7任一所述的一种入侵检测防御系统的威胁阻断方法。
10.一种计算机可读存储介质,其特征在于,所述存储介质中存储有至少一条指令,所述至少一条指令由处理器加载并执行以实现如权利要求1至7任一所述的一种入侵检测防御系统的威胁阻断方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202311507535.3A CN117411711A (zh) | 2023-11-10 | 2023-11-10 | 一种入侵检测防御系统的威胁阻断方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202311507535.3A CN117411711A (zh) | 2023-11-10 | 2023-11-10 | 一种入侵检测防御系统的威胁阻断方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN117411711A true CN117411711A (zh) | 2024-01-16 |
Family
ID=89492536
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202311507535.3A Pending CN117411711A (zh) | 2023-11-10 | 2023-11-10 | 一种入侵检测防御系统的威胁阻断方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN117411711A (zh) |
-
2023
- 2023-11-10 CN CN202311507535.3A patent/CN117411711A/zh active Pending
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11570212B2 (en) | Method and apparatus for defending against network attack | |
US9491185B2 (en) | Proactive containment of network security attacks | |
US20120023572A1 (en) | Malicious Attack Response System and Associated Method | |
US20100251370A1 (en) | Network intrusion detection system | |
CN111835694B (zh) | 一种基于动态伪装的网络安全漏洞防御系统 | |
CN112788034B (zh) | 对抗网络攻击的处理方法、装置、电子设备和存储介质 | |
CN111800401B (zh) | 业务报文的防护方法、装置、系统和计算机设备 | |
CN111565203B (zh) | 业务请求的防护方法、装置、系统和计算机设备 | |
CN111970300A (zh) | 一种基于行为检查的网络入侵防御系统 | |
US9350754B2 (en) | Mitigating a cyber-security attack by changing a network address of a system under attack | |
CN114826663A (zh) | 蜜罐识别方法、装置、设备及存储介质 | |
CN112398829A (zh) | 一种电力系统的网络攻击模拟方法及系统 | |
Affinito et al. | The evolution of Mirai botnet scans over a six-year period | |
KR101593897B1 (ko) | 방화벽, ids 또는 ips를 우회하는 네트워크 스캔 방법 | |
CN113810423A (zh) | 一种工控蜜罐 | |
Khosravifar et al. | An experience improving intrusion detection systems false alarm ratio by using honeypot | |
WO2019140876A1 (zh) | 一种防网络攻击的幻影设备建立的方法、介质及设备 | |
KR101923054B1 (ko) | 시그니쳐 기반으로 악성행위를 자체 탐지하는 유무선 게이트웨이 및 그 탐지 방법 | |
CN117411711A (zh) | 一种入侵检测防御系统的威胁阻断方法 | |
CN111683063B (zh) | 消息处理方法、系统、装置、存储介质及处理器 | |
CN114553513A (zh) | 一种通信检测方法、装置及设备 | |
KR20190007697A (ko) | 네트워크 대역폭을 기반으로 한 시계열 이상행위 탐지 시스템 | |
CN113765914A (zh) | Cc攻击防护方法、系统、计算机设备及可读存储介质 | |
CN115225297B (zh) | 一种阻断网络入侵的方法及装置 | |
Rodrigues et al. | Design and implementation of a low-cost low interaction IDS/IPS system using virtual honeypot approach |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |