CN103095723A - 一种网络安全监控方法及系统 - Google Patents
一种网络安全监控方法及系统 Download PDFInfo
- Publication number
- CN103095723A CN103095723A CN2013100435600A CN201310043560A CN103095723A CN 103095723 A CN103095723 A CN 103095723A CN 2013100435600 A CN2013100435600 A CN 2013100435600A CN 201310043560 A CN201310043560 A CN 201310043560A CN 103095723 A CN103095723 A CN 103095723A
- Authority
- CN
- China
- Prior art keywords
- safety detection
- packet
- characteristic information
- illegal
- network security
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及一种网络安全监控方法及系统。其中,网络安全监控方法包括:捕获待检测数据包;至少基于安全检测历史对所捕获的数据包进行安全检测。网络安全监控系统,包括:捕获装置,用于捕获待检测数据包;检测装置,用于至少基于安全检测历史对所述捕获装置所捕获的数据包进行安全检测。本发明的网络安全监控方法及系统,适用范围广,适用于各种攻击流量过滤,以及多种攻击的混合方式。
Description
技术领域
本发明涉及网络技术领域,尤其涉及一种网络安全监控方法及系统。
背景技术
网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不因偶然的或者恶意的原因而遭受到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。网络安全从其本质上来讲就是网络上的信息安全。
当前,各类网络攻击层出不穷,相应地,各类网络安全监控方法和安全设备应运而生。然而,目前的网络安全监控方法和安全设备大多是针对某一特定类型的攻击行为,适用范围小,不具有普适性,因而无法大规模推广使用。随着网络攻击的不多增多,给网络安全带来的危害越来越大,研究高效、通用的网络安全系统架构具有现实的意义。
发明内容
本发明所要解决的技术问题是提供一种网络安全监控方法及装置,适用范围广。
为解决上述技术问题,本发明提出了一种网络安全监控方法,包括:
捕获待检测数据包;
至少基于安全检测历史对所捕获的数据包进行安全检测。
进一步地,上述网络安全监控方法还可具有以下特点,所述至少基于安全检测历史对所捕获的数据包进行安全检测包括:
基于安全检测历史和预设的安全检测策略对所捕获的数据包进行安全检测。
进一步地,上述网络安全监控方法还可具有以下特点,所述基于安全检测历史和预设的安全检测策略对所捕获的数据包进行安全检测包括:
判断所述数据包是否包含非法特征信息表中的至少一种非法特征信息,所述非法特征信息表与安全检测历史相关联;
若经判断,所述数据包不包含所述非法特征信息表中的任何一种非法特征信息,则应用预设的安全检测策略逐一对所述数据包进行安全检测。
进一步地,上述网络安全监控方法还可具有以下特点,所述基于安全检测历史和预设的安全检测策略对所捕获的数据包进行安全检测还包括:
若经所述安全检测策略的安全检测,所述数据包不合法,则提取判定所述数据包不合法的安全检测策略和所述数据包包含的致使所述数据包未能通过该安全检测策略的非法特征信息,保存到所述非法特征信息表中。
进一步地,上述网络安全监控方法还可具有以下特点,所述非法特征信息为数据包的源地址信息或指纹信息。
为解决上述技术问题,本发明还提出了一种网络安全监控系统,包括:
捕获装置,用于捕获待检测数据包;
检测装置,用于至少基于安全检测历史对所述捕获装置所捕获的数据包进行安全检测。
进一步地,上述网络安全监控系统还可具有以下特点,所述检测装置包括:
第一检测模块,用于基于安全检测历史和预设的安全检测策略对所捕获的数据包进行安全检测。
进一步地,上述网络安全监控系统还可具有以下特点,所述第一检测模块包括:
判断单元,用于判断所述数据包是否包含非法特征信息表中的至少一种非法特征信息,所述非法特征信息表与安全检测历史相关联;
检测单元,用于在经所述判断单元的判断,所述数据包不包含所述非法特征信息表中的任何一种非法特征信息时,应用预设的安全检测策略逐一对所述数据包进行安全检测。
进一步地,上述网络安全监控系统还可具有以下特点,所述第一检测模块还包括:
提取单元,用于在经所述检测单元的安全检测,所述数据包不合法时,提取判定所述数据包不合法的安全检测策略和所述数据包包含的致使所述数据包未能通过该安全检测策略的非法特征信息,保存到所述非法特征信息表中。
进一步地,上述网络安全监控系统还可具有以下特点,所述非法特征信息为数据包的源地址信息或指纹信息。
本发明的网络安全监控方法及系统,适用范围广,适用于各种攻击流量过滤,以及多种攻击的混合方式。
附图说明
图1为本发明实施例中网络安全监控方法的流程示意图;
图2为数据环的结构示意图;
图3为本发明实施例中网络安全监控系统的结构框图。
具体实施方式
本发明提出了一种网络安全监控方法,其主要构思是:捕获待检测数据包;至少基于安全检测历史对所捕获的数据包进行安全检测。
以下结合附图对本发明的原理和特征进行描述,所举实例只用于解释本发明,并非用于限定本发明的范围。
图1为本发明实施例中网络安全监控方法的流程示意图。如图1所示,本实施例中,网络安全监控方法的流程包括如下步骤:
步骤S101,捕获待检测的数据包;
具体地,可以通过设备自身的网卡捕获数据包,待处理的数据包会发到设备的网卡上,网卡设为混杂模式即可监听。
步骤S102,分发数据包,即将所捕获的数据包分发到指定处理线程中,以在该指定处理线程中对数据包进行安全检测;
可以通过哈希函数将数据包分配到一个处理线程中。例如,有3个线程(编号分别是0、1、2),对数据包的源地址做哈希,源IP地址的最后一位数是n,那么该数据包就分配给变化为n%3(此处符号“%”的含义是取余数操作)的线程处理。
将所捕获的数据包分发到指定处理线程中,以在该指定处理线程中对数据包进行安全检测可以具体为:可以先将所捕获的数据包保存到指定处理线程对应的数据存储空间中,然后按照预设的顺序从该数据存储空间读取数据包,放入指定线程,以在指定处理线程中对数据包进行安全检测。
在图1所示实施例中,数据存储空间为数据环。数据环是一种环状结构的存储空间,在数据环全部被占用时,数据环的环头数据与环尾数据相邻。使用数据环作为数据存储空间,其好处是,在给处理线程分配数据包时不需要加锁等待,同时,通过调节数据环的大小(即数据环所能容纳的数据包数量),可以降低处理时延。
图2为数据环的结构示意图。如图2所示,数据环中的每一块对应一个数据包,取数据时从环头指针所指位置取,而增加数据时,则从环尾指针的下个块写入。数据减少方向和数据增加方向如图2中箭头方向所示。当数据环的空间全部被占用时,不再写入数据,等待数据被读出后再进行写入。
当然,在其他实施例中,也可以用其他的存储结构作为数据存储空间,例如链表等。
步骤S103,判断数据包所含标签是否在标签表中,若是则丢弃数据包,否则执行步骤步骤S104;
其中,标签表是非法特征信息表,该表中记录了使数据包不能通过安全检测的非法特征信息,只要数据包包含了非法特征信息表中的至少一种非法特征信息,该数据包就不能通过安全检测,需要丢弃。其中,非法特征信息表与安全检测历史相关联。也就是说,非法特征信息表中的非法特征信息是根据以往的安全检测历史得到的。其中,非法特征信息可以是数据包的源地址信息、指纹信息(例如数据包中包含的一个特定的字符串)等。当非法特征信息为数据包的源地址信息时,即如果来自一个源地址的数据包(或者数据流)被识别为非法,则来自该源地址的数据包在一定时间内均被认为非法,不允许通过。比如,DDoS(Distributed Denial of service,分布式拒绝服务)攻击发生时,在识别出一个攻击地址后,可以将在一定时间内该地址发送来的数据包均视为攻击包。
步骤S104,应用预设的安全检测策略逐一对数据包进行安全检测,如果对于预设的所有安全检测策略,数据包的检测结果全部为合法,则执行步骤S105,否则将违反的安全检测策略序号写入标签表(也即将数据包未通过的安全检测策略对应的非法特征信息记录到非法特征信息表中),丢弃数据包;
通过步骤S103的基于安全检测历史的检测,如果数据包不包含非法特征信息表中的任何一种非法特征信息,就根据预设的安全检测策略再次进行安全检测。预设的安全检测策略可以有多个,需要逐一应用这些安全检测策略数据包进行安全检测。
其中,安全检测策略可以是应用层DDoS攻击识别、病毒检测、注入检测等。
步骤S105,转发数据包。
通过安全检测的数据包将被转发给待保护的信息系统,例如web服务器。
本发明的网络安全监控方法,适用范围广,适用于各种攻击流量过滤,以及多种攻击的混合方式。
本发明还提出了一种网络安全监控系统,用以实施上述的网络安全监控方法。
图3为本发明实施例中网络安全监控系统的结构框图。如图3所示,本实施例中,网络安全监控系统包括捕获装置310和检测装置320。捕获装置310用于捕获待检测数据包。检测装置320用于至少基于安全检测历史对捕获装置310所捕获的数据包进行安全检测。
在本发明实施例中,检测装置320中可以进一步包括第一检测模块。第一检测模块用于基于安全检测历史和预设的安全检测策略对所捕获的数据包进行安全检测。
在本发明实施例中,第一检测模块可以进一步包括判断单元和检测单元。判断单元用于判断数据包是否包含非法特征信息表中的至少一种非法特征信息,其中,非法特征信息表与安全检测历史相关联。检测单元用于在经判断单元的判断,数据包不包含非法特征信息表中的任何一种非法特征信息时,应用预设的安全检测策略逐一对数据包进行安全检测。其中,非法特征信息可以为数据包的源地址信息、指纹信息等。
在本发明实施例中,第一检测模块还可以进一步包括提取单元。提取单元用于在经检测单元的安全检测,数据包不合法时,提取判定该数据包不合法的安全检测策略和该数据包包含的致使该数据包未能通过该安全检测策略的非法特征信息,保存到非法特征信息表中。
本发明的网络安全监控系统可以部署在信息系统之前,对信息系统进行保护。本发明的网络安全监控系统,适用范围广,适用于各种攻击流量过滤,以及多种攻击的混合方式。
以上所述仅为本发明的较佳实施例,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (10)
1.一种网络安全监控方法,其特征在于,包括:
捕获待检测数据包;
至少基于安全检测历史对所捕获的数据包进行安全检测。
2.根据权利要求1所述的网络安全监控方法,其特征在于,所述至少基于安全检测历史对所捕获的数据包进行安全检测包括:
基于安全检测历史和预设的安全检测策略对所捕获的数据包进行安全检测。
3.根据权利要求2所述的网络安全监控方法,其特征在于,所述基于安全检测历史和预设的安全检测策略对所捕获的数据包进行安全检测包括:
判断所述数据包是否包含非法特征信息表中的至少一种非法特征信息,所述非法特征信息表与安全检测历史相关联;
若经判断,所述数据包不包含所述非法特征信息表中的任何一种非法特征信息,则应用预设的安全检测策略逐一对所述数据包进行安全检测。
4.根据权利要求3所述的网络安全监控方法,其特征在于,所述基于安全检测历史和预设的安全检测策略对所捕获的数据包进行安全检测还包括:
若经所述安全检测策略的安全检测,所述数据包不合法,则提取判定所述数据包不合法的安全检测策略和所述数据包包含的致使所述数据包未能通过该安全检测策略的非法特征信息,保存到所述非法特征信息表中。
5.根据权利要求3所述的网络安全监控方法,其特征在于,所述非法特征信息为数据包的源地址信息或指纹信息。
6.一种网络安全监控系统,其特征在于,包括:
捕获装置,用于捕获待检测数据包;
检测装置,用于至少基于安全检测历史对所述捕获装置所捕获的数据包进行安全检测。
7.根据权利要求6所述的网络安全监控系统,其特征在于,所述检测装置包括:
第一检测模块,用于基于安全检测历史和预设的安全检测策略对所捕获的数据包进行安全检测。
8.根据权利要求7所述的网络安全监控系统,其特征在于,所述第一检测模块包括:
判断单元,用于判断所述数据包是否包含非法特征信息表中的至少一种非法特征信息,所述非法特征信息表与安全检测历史相关联;
检测单元,用于在经所述判断单元的判断,所述数据包不包含所述非法特征信息表中的任何一种非法特征信息时,应用预设的安全检测策略逐一对所述数据包进行安全检测。
9.根据权利要求8所述的网络安全监控系统,其特征在于,所述第一检测模块还包括:
提取单元,用于在经所述检测单元的安全检测,所述数据包不合法时,提取判定所述数据包不合法的安全检测策略和所述数据包包含的致使所述数据包未能通过该安全检测策略的非法特征信息,保存到所述非法特征信息表中。
10.根据权利要求8所述的网络安全监控系统,其特征在于,所述非法特征信息为数据包的源地址信息或指纹信息。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2013100435600A CN103095723A (zh) | 2013-02-04 | 2013-02-04 | 一种网络安全监控方法及系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2013100435600A CN103095723A (zh) | 2013-02-04 | 2013-02-04 | 一种网络安全监控方法及系统 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN103095723A true CN103095723A (zh) | 2013-05-08 |
Family
ID=48207856
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN2013100435600A Pending CN103095723A (zh) | 2013-02-04 | 2013-02-04 | 一种网络安全监控方法及系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN103095723A (zh) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108156043A (zh) * | 2018-02-24 | 2018-06-12 | 浙江远望通信技术有限公司 | 一种基于白名单和约束集流控的视频监控安全接入方法 |
WO2022083417A1 (zh) * | 2020-10-22 | 2022-04-28 | 腾讯科技(深圳)有限公司 | 一种数据包处理方法、装置、电子设备、计算机可读存储介质以及计算机程序产品 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101631026A (zh) * | 2008-07-18 | 2010-01-20 | 北京启明星辰信息技术股份有限公司 | 一种防御拒绝服务攻击的方法及装置 |
US20100095107A1 (en) * | 2005-01-28 | 2010-04-15 | Eric Smith | Method and apparatus for device detection and multi-mode security in a control network |
CN101959191A (zh) * | 2010-09-25 | 2011-01-26 | 华中科技大学 | 一种无线网络安全认证方法及其系统 |
CN101982955A (zh) * | 2010-11-19 | 2011-03-02 | 深圳华大基因科技有限公司 | 高性能文件传输系统及方法 |
-
2013
- 2013-02-04 CN CN2013100435600A patent/CN103095723A/zh active Pending
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20100095107A1 (en) * | 2005-01-28 | 2010-04-15 | Eric Smith | Method and apparatus for device detection and multi-mode security in a control network |
CN101631026A (zh) * | 2008-07-18 | 2010-01-20 | 北京启明星辰信息技术股份有限公司 | 一种防御拒绝服务攻击的方法及装置 |
CN101959191A (zh) * | 2010-09-25 | 2011-01-26 | 华中科技大学 | 一种无线网络安全认证方法及其系统 |
CN101982955A (zh) * | 2010-11-19 | 2011-03-02 | 深圳华大基因科技有限公司 | 高性能文件传输系统及方法 |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108156043A (zh) * | 2018-02-24 | 2018-06-12 | 浙江远望通信技术有限公司 | 一种基于白名单和约束集流控的视频监控安全接入方法 |
WO2022083417A1 (zh) * | 2020-10-22 | 2022-04-28 | 腾讯科技(深圳)有限公司 | 一种数据包处理方法、装置、电子设备、计算机可读存储介质以及计算机程序产品 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN107659583B (zh) | 一种检测事中攻击的方法及系统 | |
CN106713049B (zh) | 一种监控的告警方法及装置 | |
CN101465855B (zh) | 一种同步泛洪攻击的过滤方法及系统 | |
US20030084326A1 (en) | Method, node and computer readable medium for identifying data in a network exploit | |
CN106649362B (zh) | 网页爬取方法和装置 | |
CN101399711B (zh) | 网络监视装置以及网络监视方法 | |
US20090013407A1 (en) | Intrusion detection system/intrusion prevention system with enhanced performance | |
CN102801659B (zh) | 一种基于流策略的安全网关实现方法及装置 | |
US20090092057A1 (en) | Network Monitoring System with Enhanced Performance | |
CN102487339A (zh) | 一种网络设备攻击防范方法及装置 | |
CN106506547B (zh) | 针对拒绝服务攻击的处理方法、waf、路由器及系统 | |
CN104424438B (zh) | 一种反病毒文件检测方法、装置及网络设备 | |
CN106549820A (zh) | 识别网络环路的方法、装置、流量清洗设备及系统 | |
CN104067558B (zh) | 网络访问装置和用于处理网络中的分组的方法 | |
CN105337976A (zh) | 实时高效的数据库审计实现方法 | |
CN112887405B (zh) | 一种入侵防御方法、系统及相关设备 | |
CN103248606A (zh) | 一种面向IPv4和IPv6的网络病毒检测方法及系统 | |
CN103618720B (zh) | 一种木马网络通信检测与取证方法和系统 | |
US20140344931A1 (en) | Systems and methods for extracting cryptographic keys from malware | |
CN105407096A (zh) | 基于流管理的报文数据检测方法 | |
CN107645502A (zh) | 一种报文检测方法及装置 | |
CN103634166B (zh) | 一种设备存活检测方法及装置 | |
De Bruijn et al. | Safecard: a gigabit ips on the network card | |
CN103095723A (zh) | 一种网络安全监控方法及系统 | |
Lu et al. | APT traffic detection based on time transform |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20130508 |