CN101826991A - 非法数据包识别方法和系统 - Google Patents
非法数据包识别方法和系统 Download PDFInfo
- Publication number
- CN101826991A CN101826991A CN201010105290A CN201010105290A CN101826991A CN 101826991 A CN101826991 A CN 101826991A CN 201010105290 A CN201010105290 A CN 201010105290A CN 201010105290 A CN201010105290 A CN 201010105290A CN 101826991 A CN101826991 A CN 101826991A
- Authority
- CN
- China
- Prior art keywords
- packet
- main station
- subscriber
- data packet
- application layer
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Abstract
本发明实施例公开了一种非法数据包识别方法和系统,涉及网络安全领域,用于提供快速、准确识别用户主机中非法数据包的方案。本发明中,用户主机获取待处理的数据包;用户主机读取所述数据包中携带的目的端口地址,并确定该目的端口地址对应的应用层网络协议;用户主机确定所述数据包的格式是否符合所述应用层网络协议定义的数据包格式,并根据确定结果判定所述数据包是合法数据包或是非法数据包。采用本发明,达到了快速、准确识别非法数据包的目的。
Description
技术领域
本发明涉及网络安全领域,尤其涉及一种非法数据包识别方法和系统。
背景技术
当前主机异常监控技术主要是监控本地主机是否存在违规使用,如发现用户有意或无意访问了禁止访问的资源,则及时报警并记录日志,甚至能实行一些惩罚措施。
当前主机异常监控技术一般都自带个人防火墙软件,安装在主机中的防火墙软件若发现外网访问的目的端口地址是未开放的端口地址,则禁止本次访问。
无论运行在TDI还是NDIS层的防火墙软件,都不可能完全禁止用户访问外部网络。防火墙软件通常会开放一些常用的应用层协议端口给用户通过,例如用户总是可以访问目标端口为80的外部地址,否则用户根本浏览不了网页。但是,如果目标服务器在80端口上运行的不是超文本传输协议(http)服务而是黑客(cracker)自定义的服务,那么用户主机中的间谍软件就能通过80端口与这台服务器建立连接,从而把一些涉密信息发送出去,而防火墙无法发现这种基于常用应用层协议端口的违规访问。
可见,现有技术中用户主机数据的安全性不能得到很好的保证。
发明内容
本发明实施例提供一种非法数据包识别方法和系统,用于提供快速、准确识别用户主机中非法数据包的方案。
一种非法数据包识别方法,该方法包括:
用户主机获取待处理的数据包;
用户主机读取所述数据包中携带的目的端口地址,并确定该目的端口地址对应的应用层网络协议;
用户主机确定所述数据包的格式是否符合所述应用层网络协议定义的数据包格式,并根据确定结果判定所述数据包是合法数据包或是非法数据包。
一种通信系统,该系统包括:
用户主机,用于获取待处理的数据包;读取所述数据包中携带的目的端口地址,确定该目的端口地址对应的应用层网络协议;确定所述数据包的格式是否符合所述应用层网络协议定义的数据包格式,根据确定结果判定所述数据包是合法数据包或是非法数据包,若是非法数据包,则生成异常通知信息,将该异常通知信息传送到日志服务器;
日志服务器,用于根据接收到的所述异常通知信息执行预先设定的异常处理操作。
本方案中,用户主机获取待处理的数据包,读取该数据包中携带的目的端口地址,并确定该目的端口地址对应的应用层网络协议;确定该数据包的格式是否符合该应用层网络协议定义的数据包格式,并根据确定结果判定该数据包是合法数据包或是非法数据包。可见,采用本发明能够快速、准确的识别数据包是合法数据包或是非法数据包。
附图说明
图1为本发明实施例提供的方法流程示意图;
图2为本发明实施例提供的系统结构示意图。
图3A为本发明实施例一的流程示意图;
图3B为本发明实施例二的流程示意图;
图4为本发明实施例提供的设备结构示意图。
具体实施方式
为了提高用户主机数据的安全性,本发明实施例提供一种非法数据包识别方法,本方法中,根据数据包的格式是否符合该数据包的目的端口对应的应用层网络协议所定义的数据包格式,来确定该数据包是合法数据包或是非法数据包。
参见图1,本发明实施例提供的非法数据包识别方法,具体包括以下步骤:
步骤10:用户主机获取待处理的数据包;
步骤11:用户主机读取该数据包中携带的目的端口地址,并确定该目的端口地址对应的应用层网络协议;
步骤12:用户主机确定该数据包的格式是否符合该应用层网络协议定义的数据包格式,并根据确定结果判定该数据包是合法数据包或是非法数据包。
步骤10中,用户主机获取待处理的数据包,包括获取待发送的数据包和接收到的数据包。
步骤11中,应用层网络协议可以为OSI七层模型中的应用层协议,如http、ftp、pop、smtp等协议。作为一个例子,http协议对应的端口地址为80。
步骤12中,可以采用应用层网络协议分析技术确定数据包的格式是否符合应用层网络协议定义的数据包格式。
步骤12中,在确定数据包的格式符合应用层网络协议定义的数据包格式时,判定该数据包是合法数据包,在确定数据包的格式不符合应用层网络协议定义的数据包格式时,判定该数据包是非法数据包。
在判定数据包是非法数据包之后,可以执行如下操作:
用户主机执行预先设定的第一异常处理操作;或者,用户主机生成异常通知信息,将生成的异常通知信息传送到日志服务器,日志服务器根据接收到的异常通知信息执行预先设定的第二异常处理操作。
上述用户主机生成异常通知信息,将生成的异常通知信息传送到日志服务器,其具体实现如下:用户主机确定发出所述数据包的进程,生成该进程违规操作的报警信息和/或日志信息,将生成的报警信息和/或日志信息传送到日志服务器。
上述用户主机确定发出数据包的进程,其具体实现如下:用户主机读取所述数据包中携带的源端口号,确定本用户主机中打开了该源端口号对应的端口的进程,将该进程确定为发出该数据包的进程。
上述第一异常处理操作包括:发出报警信息、结束所述进程、丢弃所述数据包、将所述数据包的目标网址设为黑名单中的一个或任意组合。
上述第二异常处理操作包括:发出报警信息、通知用户主机接入的网关禁止该用户主机连接网络、通知用户主机结束所述进程、通知用户主机丢弃所述数据包、通知用户主机将所述数据包的目标网址设为黑名单中的一个或任意组合。
步骤10~步骤12的具体实现可以由用户主机的主机异常监控模块来实现。
下面结合具体实施例对本发明进行说明:
实施例一:
本实施例中将应用层网络协议分析技术集成于主机异常监控系统中,利用协议分析技术来分析主机进程是否存在违规访问网络资源。例如,如果发现用户进程与目标机器的80端口建立了链接,但传输的数据包不符合http协议规范,则可认定此进程属于异常进程,从而发出报警并产生日志。
集成了应用层网络协议分析技术的主机异常监控系统部署如图2所示,其中,主机异常监控模块运行于每一台用户计算机中,日志服务器是专门用于接收由主机异常监控模块产生的报警信息及日志。
主机异常监控系统中的协议分析流程如图3A所示,具体如下:
步骤S01:主机异常监控模块抓取将要发出去的数据包;
步骤S02:将抓取到的数据包进行解析,得到该数据包中的目的端口地址,确定该目的端口地址对应的应用层网络协议;
步骤S03:分析该数据包中是否包含该协议的特征,即该数据包的格式是否符合该应用层网络协议定义的数据包格式,如果不是,则到步骤S04,否则,返回步骤S01;
步骤S04:确定发出该数据包的进程;
步骤S05:生成该进程违规操作的报警信息和日志信息,将生成的报警信息和日志信息通过网络适配器传送到日志服务器;
步骤S06:日志服务器接收到进程违规操作的报警信息和日志信息后,通知用户主机接入的网关禁止该用户主机连接网络。
实施例二:
如图3B所示,具体如下:
步骤S11:主机异常监控模块抓取接收到的数据包;
步骤S12:将抓取到的数据包进行解析,得到该数据包中的目的端口地址,确定该目的端口地址对应的应用层网络协议;
步骤S13:分析该数据包中是否包含该协议的特征,即该数据包的格式是否符合该应用层网络协议定义的数据包格式,如果不是,则到步骤S14,否则,返回步骤S11;
步骤S14:生成该数据包非法的报警信息,将生成的报警信息通过网络适配器传送到日志服务器;
步骤S15:日志服务器接收到报警信息后,通知用户主机丢弃该数据包。
仍参见图2,本发明实施例还提供一种通信系统,该系统包括:
用户主机,用于获取待处理的数据包;读取所述数据包中携带的目的端口地址,确定该目的端口地址对应的应用层网络协议;确定所述数据包的格式是否符合所述应用层网络协议定义的数据包格式,根据确定结果判定所述数据包是合法数据包或是非法数据包,若是非法数据包,则生成异常通知信息,将该异常通知信息传送到日志服务器;
日志服务器,用于根据接收到的所述异常通知信息执行预先设定的异常处理操作。
所述用户主机用于:
在确定数据包的格式符合应用层网络协议定义的数据包格式时,判定该数据包是合法数据包,在确定数据包的格式不符合应用层网络协议定义的数据包格式时,判定该数据包是非法数据包。
所述用户主机用于:
确定发出所述数据包的进程,生成该进程违规操作的报警信息和/或日志信息,将生成的报警信息和/或日志信息传送到日志服务器。
所述用户主机用于:
读取所述数据包中携带的源端口号,确定本用户主机中打开了该源端口号对应的端口的进程,将该进程确定为发出所述数据包的进程。
所述日志服务器用于:
执行以下异常处理操作中的一个或任意组合:
发出报警信息、通知所述用户主机接入的网关禁止该用户主机连接网络、通知所述用户主机结束所述进程、通知所述用户主机丢弃所述数据包、通知所述用户主机将所述数据包的目标网址设为黑名单。
参见图4,本发明实施例还提供一种用户主机,该用户主机包括:
数据包获取单元40,用于获取待处理的数据包;
协议确定单元41,用于读取所述数据包中携带的目的端口地址,确定该目的端口地址对应的应用层网络协议;
格式分析单元42,用于确定所述数据包的格式是否符合所述应用层网络协议定义的数据包格式;
合法判定单元43,用于根据所述格式分析单元的确定结果判定所述数据包是合法数据包或是非法数据包。具体的,在确定数据包的格式符合应用层网络协议定义的数据包格式时,判定该数据包是合法数据包,在确定数据包的格式不符合应用层网络协议定义的数据包格式时,判定该数据包是非法数据包。
该用户主机还包括异常通知单元44和/或异常处理单元45,其中:
所述异常处理单元44,用于在所述格式分析单元确定所述数据包为非法数据包时,执行预先设定的第一异常处理操作;所述第一异常处理操作包括:发出报警信息、结束所述进程、丢弃所述数据包、将所述数据包的目标网址设为黑名单中的一个或任意组合。
所述异常通知单元45,用于在所述格式分析单元确定所述数据包为非法数据包时,生成异常通知信息,将该异常通知信息传送到日志服务器。具体的,首先按照以下方法确定发出所述数据包的进程:读取所述数据包中携带的源端口号,确定本用户主机中打开了该源端口号对应的端口的进程,将该进程确定为发出该数据包的进程;然后生成该进程违规操作的报警信息和/或日志信息,将生成的报警信息和/或日志信息传送到日志服务器。
综上,本发明的有益效果包括:
本发明实施例提供的方案中,用户主机获取待处理的数据包,读取该数据包中携带的目的端口地址,并确定该目的端口地址对应的应用层网络协议;确定该数据包的格式是否符合该应用层网络协议定义的数据包格式,并根据确定结果判定该数据包是合法数据包或是非法数据包。可见,采用本发明能够快速、准确的识别数据包是合法数据包或是非法数据包。同时,根据非法数据包使用户主机能发现本机进程对基于常用应用层协议端口的远端服务的违规访问。
并且,在识别出非法数据包后,由用户主机执行预先设定的第一异常处理操作;或者,用户主机生成异常通知信息后传送到日志服务器,日志服务器根据异常通知信息执行预先设定的第二异常处理操作,从而有效的提高了用户主机的数据安全性。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
Claims (10)
1.一种非法数据包识别方法,其特征在于,该方法包括:
用户主机获取待处理的数据包;
用户主机读取所述数据包中携带的目的端口地址,并确定该目的端口地址对应的应用层网络协议;
用户主机确定所述数据包的格式是否符合所述应用层网络协议定义的数据包格式,并根据确定结果判定所述数据包是合法数据包或是非法数据包。
2.如权利要求1所述的方法,其特征在于,在根据确定结果判定所述数据包是非法数据包之后,该方法进一步包括:
所述用户主机执行预先设定的第一异常处理操作;或者,
所述用户主机生成异常通知信息,将生成的异常通知信息传送到日志服务器,所述日志服务器根据所述异常通知信息执行预先设定的第二异常处理操作。
3.如权利要求2所述的方法,其特征在于,所述用户主机生成异常通知信息,将生成的异常通知信息传送到日志服务器包括:
所述用户主机确定发出所述数据包的进程,生成该进程违规操作的报警信息和/或日志信息,将生成的报警信息和/或日志信息传送到日志服务器。
4.如权利要求3所述的方法,其特征在于,所述用户主机确定发出所述数据包的进程包括:
所述用户主机读取所述数据包中携带的源端口号,确定本用户主机中打开了该源端口号对应的端口的进程,将该进程确定为发出所述数据包的进程。
5.如权利要求2或3或4所述的方法,其特征在于,所述第一异常处理操作包括:
发出报警信息、结束所述进程、丢弃所述数据包、将所述数据包的目标网址设为黑名单中的一个或任意组合。
6.如权利要求2或3或4所述的方法,其特征在于,所述第二异常处理操作包括:
发出报警信息、通知所述用户主机接入的网关禁止该用户主机连接网络、通知所述用户主机结束所述进程、通知所述用户主机丢弃所述数据包、通知所述用户主机将所述数据包的目标网址设为黑名单中的一个或任意组合。
7.一种通信系统,其特征在于,该系统包括:
用户主机,用于获取待处理的数据包;读取所述数据包中携带的目的端口地址,确定该目的端口地址对应的应用层网络协议;确定所述数据包的格式是否符合所述应用层网络协议定义的数据包格式,根据确定结果判定所述数据包是合法数据包或是非法数据包,若是非法数据包,则生成异常通知信息,并将该异常通知信息传送到日志服务器;
日志服务器,用于根据接收到的所述异常通知信息执行预先设定的异常处理操作。
8.如权利要求7所述的系统,其特征在于,所述用户主机用于:
确定发出所述数据包的进程,生成该进程违规操作的报警信息和/或日志信息,将生成的报警信息和/或日志信息传送到日志服务器。
9.如权利要求8所述的系统,其特征在于,所述用户主机用于:
读取所述数据包中携带的源端口号,确定本用户主机中打开了该源端口号对应的端口的进程,将该进程确定为发出所述数据包的进程。
10.如权利要求7或8或9所述的系统,其特征在于,所述日志服务器用于:
执行以下异常处理操作中的一个或任意组合:
发出报警信息、通知所述用户主机接入的网关禁止该用户主机连接网络、通知所述用户主机结束所述进程、通知所述用户主机丢弃所述数据包、通知所述用户主机将所述数据包的目标网址设为黑名单。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201010105290A CN101826991A (zh) | 2010-02-04 | 2010-02-04 | 非法数据包识别方法和系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201010105290A CN101826991A (zh) | 2010-02-04 | 2010-02-04 | 非法数据包识别方法和系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN101826991A true CN101826991A (zh) | 2010-09-08 |
Family
ID=42690709
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201010105290A Pending CN101826991A (zh) | 2010-02-04 | 2010-02-04 | 非法数据包识别方法和系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101826991A (zh) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102195816A (zh) * | 2011-05-24 | 2011-09-21 | 北京网康科技有限公司 | 一种未识别流量信息反馈的方法及其设备 |
| CN106470203A (zh) * | 2015-08-21 | 2017-03-01 | 中兴通讯股份有限公司 | 信息获取方法及装置 |
| CN106549784A (zh) * | 2015-09-21 | 2017-03-29 | 阿里巴巴集团控股有限公司 | 一种数据处理方法和设备 |
| CN108270722A (zh) * | 2016-12-30 | 2018-07-10 | 阿里巴巴集团控股有限公司 | 一种攻击行为检测方法和装置 |
| CN111510452A (zh) * | 2020-04-14 | 2020-08-07 | 李云浩 | 一种网络安全方法及网络安全服务系统 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101009704A (zh) * | 2006-01-13 | 2007-08-01 | 飞塔信息科技(北京)有限公司 | 一种处理高级网络内容的计算机系统与方法 |
| CN101047697A (zh) * | 2006-03-29 | 2007-10-03 | 华为技术有限公司 | 针对web服务器进行DDOS攻击的防御方法和设备 |
-
2010
- 2010-02-04 CN CN201010105290A patent/CN101826991A/zh active Pending
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101009704A (zh) * | 2006-01-13 | 2007-08-01 | 飞塔信息科技(北京)有限公司 | 一种处理高级网络内容的计算机系统与方法 |
| CN101047697A (zh) * | 2006-03-29 | 2007-10-03 | 华为技术有限公司 | 针对web服务器进行DDOS攻击的防御方法和设备 |
Non-Patent Citations (1)
| Title |
|---|
| 金国哲: "《重庆大学硕士学位论文》", 30 April 2009 * |
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102195816A (zh) * | 2011-05-24 | 2011-09-21 | 北京网康科技有限公司 | 一种未识别流量信息反馈的方法及其设备 |
| CN106470203A (zh) * | 2015-08-21 | 2017-03-01 | 中兴通讯股份有限公司 | 信息获取方法及装置 |
| WO2017032287A1 (zh) * | 2015-08-21 | 2017-03-02 | 中兴通讯股份有限公司 | 信息获取方法及装置 |
| CN106470203B (zh) * | 2015-08-21 | 2021-01-22 | 中兴通讯股份有限公司 | 信息获取方法及装置 |
| CN106549784A (zh) * | 2015-09-21 | 2017-03-29 | 阿里巴巴集团控股有限公司 | 一种数据处理方法和设备 |
| CN106549784B (zh) * | 2015-09-21 | 2019-06-07 | 阿里巴巴集团控股有限公司 | 一种数据处理方法和设备 |
| CN108270722A (zh) * | 2016-12-30 | 2018-07-10 | 阿里巴巴集团控股有限公司 | 一种攻击行为检测方法和装置 |
| CN108270722B (zh) * | 2016-12-30 | 2021-08-24 | 阿里巴巴集团控股有限公司 | 一种攻击行为检测方法和装置 |
| CN111510452A (zh) * | 2020-04-14 | 2020-08-07 | 李云浩 | 一种网络安全方法及网络安全服务系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9781137B2 (en) | Fake base station detection with core network support | |
| US9755919B2 (en) | Traffic analysis for HTTP user agent based device category mapping | |
| CN103916490B (zh) | 一种域名系统dns防篡改方法及装置 | |
| US20090325615A1 (en) | Mobile Telephone Firewall and Compliance Enforcement System and Method | |
| CN105142146B (zh) | 一种wifi热点接入的认证方法、装置及系统 | |
| CN104091122A (zh) | 一种移动互联网恶意数据的检测系统 | |
| CN101257678A (zh) | 一种实现移动终端软件安全检测的方法、终端及系统 | |
| CA2478299A1 (en) | Systems and methods for enhancing electronic communication security | |
| CN101826991A (zh) | 非法数据包识别方法和系统 | |
| US20110307936A1 (en) | Network analysis | |
| CN106656648B (zh) | 基于家庭网关的应用流量动态保护方法、系统及家庭网关 | |
| CN110392023A (zh) | 基于7号信令网络的网络入侵检测方法及装置 | |
| CN102984165A (zh) | 无线网络安全监控系统及方法 | |
| CN106686562A (zh) | 一种伪基站短信中链接处理的方法、装置及服务器 | |
| CN111970233A (zh) | 一种网络违规外联场景的分析识别方法 | |
| EP4293550A1 (en) | Traffic processing method and protection system | |
| CN107210969B (zh) | 一种基于软件定义网络的数据处理方法及相关设备 | |
| KR101423975B1 (ko) | 모니터링 및 필터링 정책을 이용한 네트워크 트래픽 관리 시스템 및 그 방법 | |
| KR101088867B1 (ko) | 네트워크 스위치 및 그 네트워크 스위치의 보안공지방법 | |
| CN107395643B (zh) | 一种基于扫描探针行为的源ip保护方法 | |
| CN102546387B (zh) | 一种数据报文的处理方法、装置及系统 | |
| CN114900377A (zh) | 一种基于诱导数据包的违规外联监测方法及系统 | |
| CN113328976B (zh) | 一种安全威胁事件识别方法、装置及设备 | |
| CN102204235B (zh) | 一种监听方法、监听系统及安全分流设备 | |
| EP4047885A1 (en) | Method and system for processing network service, and gateway device |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| DD01 | Delivery of document by public notice |
Addressee: Wu Bingtang Document name: Notification of Passing Preliminary Examination of the Application for Invention |
|
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| DD01 | Delivery of document by public notice |
Addressee: Wu Bingtang Document name: Notification of Publication and of Entering the Substantive Examination Stage of the Application for Invention |
|
| DD01 | Delivery of document by public notice |
Addressee: Wu Bingtang Document name: Notification of Passing Examination on Formalities |
|
| C12 | Rejection of a patent application after its publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20100908 |