CN104601570A - 一种基于旁路监听和软件抓包技术的网络安全监控方法 - Google Patents
一种基于旁路监听和软件抓包技术的网络安全监控方法 Download PDFInfo
- Publication number
- CN104601570A CN104601570A CN201510016896.7A CN201510016896A CN104601570A CN 104601570 A CN104601570 A CN 104601570A CN 201510016896 A CN201510016896 A CN 201510016896A CN 104601570 A CN104601570 A CN 104601570A
- Authority
- CN
- China
- Prior art keywords
- network
- packet
- terminal
- software
- packet capturing
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/30—Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
Landscapes
- Engineering & Computer Science (AREA)
- Technology Law (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Small-Scale Networks (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种基于旁路监听和软件抓包技术的网络安全监控方法,包括(1)在和网络安全防护服务器同网段的交换机上设置旁路监听;(2)配置需要监听其网络包的源服务器IP和数据发送端口;(3)设置抓包时长和抓包间隔;(4)抓取并缓存网络数据包并分析,通过正则表达式获取数据包里的源IP列表;(5)记录源IP地址形成已知IP地址库;(6)由网络嗅探工具发现新接入网络的终端;(7)将所述源IP列表和局域网内所有PC服务器列表做比较,判定该客户PC终端是否安装相应的安全防护软件。本发明可提高未安装安全防护软件PC终端的发现率和发现速度,减少未安装安全防护软件的PC终端接入网络导致的潜在病毒和木马的攻击。
Description
技术领域
本发明属于计算机局域网安全管理技术领域,具体涉及一种基于旁路监听和软件抓包技术的网络安全监控方法。
背景技术
旁路侦听监控就是通过共享式HUB或镜像交换机自身的功能,把出口数据复制一份到监控主机连接的那个端口,以达到监控的目的。旁路监听对网络速度影响较小,同时管理的效果也很出色。采用这种监控方式的代表有LaneCat网猫。winpcap是用于网络封包抓取的一套工具,可适用于32/64位的操作系统平台上解析网络封包,包含了核心的封包过滤,一个地城动态链接库和一个高层系统的函数库,及可用来直接存取封包的应用程序界面。Libpcap是unix/linux平台下的网络数据包捕获函数包,大多数网路监控软件都以它为基础。Libpcap提供了系统独立的用户级别网络数据包捕获接口,并充分考虑到应用程序的可移植性。Jpcap在java中,并非一个真正去实现对数据链路层的控制,而是一个中间件,jpcap调用winpcap和libpcap,给java语言提供了一个公共的接口,从而实现了平台无关性。libpcap和winpcap抓包工具的结果是一系列网络数据包,无法轻易进行阅读,而且无法自动化分析。
在企业局域网或广域网中,需要对接入网络的PC终端进行安全防护,以免因为PC终端感染病毒或木马从而导致网络瘫痪和泄密。目前的安全防护措施都是C/S方式的安全防护,即在企业网络中部署一到多台中心服务器,在每个需要防护的PC终端上安装防护软件客户端,在发现PC终端有违规外连,接入非安全U盘,打开限制服务及端口等情况下,会自动告警或者断网。PC终端发现上述告警信息时,会联系服务器将告警和违规信息发送至服务器,服务器发起断网等指令,但自动告警或者断网发现率低且发现速度慢。
发明内容
针对现有技术存在的不足,本发明目的是提供一种可以显著提高未安装安全防护软件PC终端的发现率和发现速度的基于旁路监听和软件抓包技术的网络安全监控方法。
为了实现上述目的,本发明是通过如下的技术方案来实现:
本发明的一种基于旁路监听和软件抓包技术的网络安全监控方法,包括以下几个步骤:
(1)在和网络安全防护服务器同网段的交换机上设置旁路监听;所述交换机支持端口镜像,利用交换机的端口镜像(参考:CISCO_2960端口镜像配置.ppt)将所有经过该交换机的数据复制一份,发送给网络安全防护服务器端口;
(2)配置需要监听其网络包的目标服务器IP和数据发送端口;
在后台config.properties配置文件中配置监听的目标服务器IP和数据端口:
monitor_filter=dst host 172.17.32.184and port 4700
(3)设置抓包时长和抓包间隔;
在后台config.properties配置文件中配置:
抓包间隔(m):monitor_server=5
抓包时长,如下:
(4)抓取并缓存符合步骤(2)条件的所有网络数据包,定时对这些数据包进行分析,通过正则表达式获取数据包里的源IP列表;
(5)记录步骤(4)获取的源IP地址,形成已知IP地址库,对照以NAMP技术获取的未安装防护软件的PC终端IP列表,通过嗅探工具获取该IP对应的MAC地址,对同一MAC地址的多个IP地址进行归一化处理;
(6)由网络嗅探工具发现新接入网络的终端,用于提供旁路监听规则中协议源IP,以供旁路监听进行分析;
(7)将源IP列表和局域网内所有PC服务器列表做比较,从而判定该客户PC终端是否安装相应的安全防护软件。
步骤(4)中,定时对网络内所有到达网络安全防护服务器的数据包进行分析的内容包括客户PC终端与网络安全防护服务器间是否有登录数据、请求数据或心跳数据。
本发明可以显著提高未安装安全防护软件PC终端的发现率和发现速度。可以有效减少未安装安全防护软件的PC终端接入网络导致的潜在病毒和木马的攻击,有效的保护了生产网络的安全。
附图说明
图1为本发明的基于旁路监听和软件抓包技术的网络安全监控方法工作流程图;
图2为旁路设置图。
具体实施方式
为使本发明实现的技术手段、创作特征、达成目的与功效易于明白了解,下面结合具体实施方式,进一步阐述本发明。
参见图1,本发明通过在和网络安全服务监控软件服务器同网段的交换机上设置旁路监听,定时对网络内所有到达安全防护服务器的数据包进行分析,分析指定的客户PC终端和安全监控服务器间是否有登录、请求或心跳数据,从而判定该客户PC终端是否安装相应的安全防护软件。
本发明的原理即在安全服务器所在网络的交换机端口上镜像,设置旁路监听,使用JAVA编程语言对这些网络数据包进行分析,获取IP终端目标为安全服务器的数据包,解析其源IP地址,将该IP地址列表和预先知道的局域网内所有PC服务器列表做比较,从而找出未安装防护软件的PC终端。
在和网络安全防护服务器同网段的交换机上设置旁路监听;所述交换机支持端口镜像,利用交换机的端口镜像(参考:CISCO_2960端口镜像配置.ppt)将所有经过该交换机的数据复制一份,发送给网络安全防护服务器端口,旁路设置如图2。
本发明目前用于某省电力公司的信通机房,实施以后,可以显著提高未安装安全防护软件PC终端的发现率和发现速度,并且给出及时的告警。通过这一技术的实施,可以有效减少未安装安全防护软件的PC终端接入网络导致的潜在病毒和木马的攻击,有效的保护了生产网络的安全。
以上显示和描述了本发明的基本原理和主要特征和本发明的优点。本行业的技术人员应该了解,本发明不受上述实施例的限制,上述实施例和说明书中描述的只是说明本发明的原理,在不脱离本发明精神和范围的前提下,本发明还会有各种变化和改进,这些变化和改进都落入要求保护的本发明范围内。本发明要求保护范围由所附的权利要求书及其等效物界定。
Claims (4)
1.一种基于旁路监听和软件抓包技术的网络安全监控方法,其特征在于,包括以下几个步骤:
(1)在和网络安全防护服务器同网段的交换机上设置旁路监听;所述交换机支持端口镜像,利用交换机的端口镜像将所有经过该交换机的数据复制一份,发送给网络安全防护服务器端口;
(2)配置需要监听其网络包的目标服务器IP和数据发送端口;
(3)设置抓包时长和抓包间隔;
(4)抓取并缓存符合步骤(2)条件的所有网络数据包,定时对这些数据包进行分析,通过正则表达式获取数据包里的源IP列表;
(5)记录步骤(4)获取的源IP地址,形成已知IP地址库,对照以NAMP技术获取的未安装防护软件的PC终端IP列表,通过嗅探工具获取该IP对应的MAC地址,对同一MAC地址的多个IP地址进行归一化处理;
(6)由网络嗅探工具发现新接入网络的终端,用于提供旁路监听规则中协议源IP,以供旁路监听进行分析;
(7)将源IP列表和局域网内所有PC服务器列表做比较,从而判定该客户PC终端是否安装相应的安全防护软件。
2.根据权利要求1所述的基于旁路监听和软件抓包技术的网络安全监控方法,其特征在于,
步骤(2)中,在后台config.properties配置文件中配置监听的目标服务器IP和数据端口,monitor_filter=dst host 172.17.32.184and port4700。
3.根据权利要求1所述的基于旁路监听和软件抓包技术的网络安全监控方法,其特征在于,
步骤(3)中,在后台config.properties配置文件中配置:
抓包间隔(m):monitor_server=5。
4.根据权利要求1所述的基于旁路监听和软件抓包技术的网络安全监控方法,其特征在于,
步骤(4)中,定时对网络内所有到达网络安全防护服务器的数据包进行分析的内容包括客户PC终端与网络安全防护服务器间是否有登录数据、请求数据或心跳数据。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201510016896.7A CN104601570A (zh) | 2015-01-13 | 2015-01-13 | 一种基于旁路监听和软件抓包技术的网络安全监控方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201510016896.7A CN104601570A (zh) | 2015-01-13 | 2015-01-13 | 一种基于旁路监听和软件抓包技术的网络安全监控方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN104601570A true CN104601570A (zh) | 2015-05-06 |
Family
ID=53127076
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201510016896.7A Pending CN104601570A (zh) | 2015-01-13 | 2015-01-13 | 一种基于旁路监听和软件抓包技术的网络安全监控方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN104601570A (zh) |
Cited By (20)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105024885A (zh) * | 2015-07-29 | 2015-11-04 | 盛趣信息技术(上海)有限公司 | 反外挂的网络游戏系统 |
CN105592041A (zh) * | 2015-08-04 | 2016-05-18 | 杭州华三通信技术有限公司 | 网络攻击抓包方法及装置 |
CN105656730A (zh) * | 2016-04-12 | 2016-06-08 | 北京北信源软件股份有限公司 | 一种基于tcp数据包的网络应用快速发现方法和系统 |
CN106357698A (zh) * | 2016-11-18 | 2017-01-25 | 中国电子科技集团公司第二十九研究所 | 一种适用于私有网络的域名上线木马检测方法及装置 |
CN106549781A (zh) * | 2015-09-18 | 2017-03-29 | 北京国双科技有限公司 | 服务器监控列表更新方法及装置 |
CN107395462A (zh) * | 2017-08-30 | 2017-11-24 | 深圳市瑞研通讯设备有限公司 | 一种iptv测试仪 |
CN107809350A (zh) * | 2017-10-09 | 2018-03-16 | 北京京东尚科信息技术有限公司 | 获取http服务器性能数据的方法和装置 |
CN108092851A (zh) * | 2017-12-22 | 2018-05-29 | 北京奇虎科技有限公司 | 一种用于获取移动终端的网络数据包的方法、设备及系统 |
CN108322452A (zh) * | 2018-01-15 | 2018-07-24 | 深圳市联软科技股份有限公司 | 网络合规检测方法、装置、设备及介质 |
CN109981365A (zh) * | 2019-03-26 | 2019-07-05 | 深圳市科力锐科技有限公司 | 数据监听方法、装置、用户设备及存储介质 |
CN110888795A (zh) * | 2018-09-11 | 2020-03-17 | 中数通信息有限公司 | 一种app安全性评估数据的获取方法 |
CN110995741A (zh) * | 2019-12-17 | 2020-04-10 | 浙江大学 | 一种基于电网开关通信数据的极光攻击检测系统、方法 |
CN111083109A (zh) * | 2019-11-14 | 2020-04-28 | 国网河南省电力公司驻马店供电公司 | 交换机联动防火墙防护提升方法 |
CN111200597A (zh) * | 2019-12-26 | 2020-05-26 | 视联动力信息技术股份有限公司 | 一种视联网中的抓包方法和装置 |
CN111857778A (zh) * | 2020-07-17 | 2020-10-30 | 北京北信源软件股份有限公司 | Windows7扩展安全更新的自动安装方法及系统 |
CN111917730A (zh) * | 2020-07-10 | 2020-11-10 | 浙江邦盛科技有限公司 | 一种基于http旁路流量的机器行为分析方法 |
CN112671783A (zh) * | 2020-12-28 | 2021-04-16 | 上海自恒信息科技有限公司 | 一种基于vlan用户组的防主机ip扫描方法 |
CN112688938A (zh) * | 2020-12-22 | 2021-04-20 | 太原微木智能装备有限公司 | 基于攻防模式的网络性能测量系统及方法 |
CN114598740A (zh) * | 2022-03-04 | 2022-06-07 | 北京优炫软件股份有限公司 | 一种微隔离数据抓取方法以及系统 |
WO2022197073A1 (ko) * | 2021-03-17 | 2022-09-22 | 주식회사맥데이타 | 네트워크 보안 및 성능 모니터링 장치, 시스템 및 방법 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1909504A (zh) * | 2006-01-11 | 2007-02-07 | 郑凯 | 一种基于旁路侦听技术对局域网主机公网报文进行控制的方法 |
CN102082836A (zh) * | 2009-11-30 | 2011-06-01 | 中国移动通信集团四川有限公司 | 一种dns安全监控系统及方法 |
CN103052094A (zh) * | 2013-01-30 | 2013-04-17 | 公安部第三研究所 | 一种获取无线移动终端的服务集标识的方法 |
-
2015
- 2015-01-13 CN CN201510016896.7A patent/CN104601570A/zh active Pending
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1909504A (zh) * | 2006-01-11 | 2007-02-07 | 郑凯 | 一种基于旁路侦听技术对局域网主机公网报文进行控制的方法 |
CN102082836A (zh) * | 2009-11-30 | 2011-06-01 | 中国移动通信集团四川有限公司 | 一种dns安全监控系统及方法 |
CN103052094A (zh) * | 2013-01-30 | 2013-04-17 | 公安部第三研究所 | 一种获取无线移动终端的服务集标识的方法 |
Cited By (27)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105024885A (zh) * | 2015-07-29 | 2015-11-04 | 盛趣信息技术(上海)有限公司 | 反外挂的网络游戏系统 |
CN105592041A (zh) * | 2015-08-04 | 2016-05-18 | 杭州华三通信技术有限公司 | 网络攻击抓包方法及装置 |
CN105592041B (zh) * | 2015-08-04 | 2019-01-08 | 新华三技术有限公司 | 网络攻击抓包方法及装置 |
CN106549781A (zh) * | 2015-09-18 | 2017-03-29 | 北京国双科技有限公司 | 服务器监控列表更新方法及装置 |
CN105656730A (zh) * | 2016-04-12 | 2016-06-08 | 北京北信源软件股份有限公司 | 一种基于tcp数据包的网络应用快速发现方法和系统 |
CN106357698B (zh) * | 2016-11-18 | 2019-09-06 | 中国电子科技集团公司第二十九研究所 | 一种适用于私有网络的域名上线木马检测方法及装置 |
CN106357698A (zh) * | 2016-11-18 | 2017-01-25 | 中国电子科技集团公司第二十九研究所 | 一种适用于私有网络的域名上线木马检测方法及装置 |
CN107395462A (zh) * | 2017-08-30 | 2017-11-24 | 深圳市瑞研通讯设备有限公司 | 一种iptv测试仪 |
CN107809350A (zh) * | 2017-10-09 | 2018-03-16 | 北京京东尚科信息技术有限公司 | 获取http服务器性能数据的方法和装置 |
CN108092851A (zh) * | 2017-12-22 | 2018-05-29 | 北京奇虎科技有限公司 | 一种用于获取移动终端的网络数据包的方法、设备及系统 |
CN108322452A (zh) * | 2018-01-15 | 2018-07-24 | 深圳市联软科技股份有限公司 | 网络合规检测方法、装置、设备及介质 |
CN110888795A (zh) * | 2018-09-11 | 2020-03-17 | 中数通信息有限公司 | 一种app安全性评估数据的获取方法 |
CN110888795B (zh) * | 2018-09-11 | 2023-10-20 | 中数通信息有限公司 | 一种app安全性评估数据的获取方法 |
CN109981365A (zh) * | 2019-03-26 | 2019-07-05 | 深圳市科力锐科技有限公司 | 数据监听方法、装置、用户设备及存储介质 |
CN109981365B (zh) * | 2019-03-26 | 2022-03-25 | 深圳市科力锐科技有限公司 | 数据监听方法、装置、用户设备及存储介质 |
CN111083109A (zh) * | 2019-11-14 | 2020-04-28 | 国网河南省电力公司驻马店供电公司 | 交换机联动防火墙防护提升方法 |
CN110995741A (zh) * | 2019-12-17 | 2020-04-10 | 浙江大学 | 一种基于电网开关通信数据的极光攻击检测系统、方法 |
CN111200597A (zh) * | 2019-12-26 | 2020-05-26 | 视联动力信息技术股份有限公司 | 一种视联网中的抓包方法和装置 |
CN111200597B (zh) * | 2019-12-26 | 2024-01-09 | 视联动力信息技术股份有限公司 | 一种视联网中的抓包方法、装置、计算设备和计算机可读存储介质 |
CN111917730A (zh) * | 2020-07-10 | 2020-11-10 | 浙江邦盛科技有限公司 | 一种基于http旁路流量的机器行为分析方法 |
CN111857778A (zh) * | 2020-07-17 | 2020-10-30 | 北京北信源软件股份有限公司 | Windows7扩展安全更新的自动安装方法及系统 |
CN112688938B (zh) * | 2020-12-22 | 2023-09-29 | 太原微木智能装备有限公司 | 基于攻防模式的网络性能测量系统及方法 |
CN112688938A (zh) * | 2020-12-22 | 2021-04-20 | 太原微木智能装备有限公司 | 基于攻防模式的网络性能测量系统及方法 |
CN112671783A (zh) * | 2020-12-28 | 2021-04-16 | 上海自恒信息科技有限公司 | 一种基于vlan用户组的防主机ip扫描方法 |
WO2022197073A1 (ko) * | 2021-03-17 | 2022-09-22 | 주식회사맥데이타 | 네트워크 보안 및 성능 모니터링 장치, 시스템 및 방법 |
CN114598740A (zh) * | 2022-03-04 | 2022-06-07 | 北京优炫软件股份有限公司 | 一种微隔离数据抓取方法以及系统 |
CN114598740B (zh) * | 2022-03-04 | 2024-02-02 | 北京优炫软件股份有限公司 | 一种微隔离数据抓取方法以及系统 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN104601570A (zh) | 一种基于旁路监听和软件抓包技术的网络安全监控方法 | |
JP7425832B2 (ja) | IoTセキュリティにおけるパターンマッチングベースの検出 | |
JP6246943B2 (ja) | ネットワークフォレンジクスのための記憶媒体、装置及び方法 | |
JP4327698B2 (ja) | ネットワーク型ウィルス活動検出プログラム、処理方法およびシステム | |
US20120005743A1 (en) | Internal network management system, internal network management method, and program | |
EP3297248B1 (en) | System and method for generating rules for attack detection feedback system | |
WO2021139643A1 (zh) | 加密攻击网络流量检测方法,其装置及电子设备 | |
US7646728B2 (en) | Network monitoring and intellectual property protection device, system and method | |
US20060198313A1 (en) | Method and device for detecting and blocking unauthorized access | |
US20150033336A1 (en) | Logging attack context data | |
US20060203815A1 (en) | Compliance verification and OSI layer 2 connection of device using said compliance verification | |
US9521154B2 (en) | Detecting suspicious network activity using flow sampling | |
US20040252692A1 (en) | Method and apparatus for controlling packet transmission and generating packet billing data on wired and wireless network | |
US9350754B2 (en) | Mitigating a cyber-security attack by changing a network address of a system under attack | |
JP2016508353A (ja) | ネットワークメタデータを処理する改良されたストリーミング方法およびシステム | |
TW201738797A (zh) | 殭屍網路偵測系統及其方法 | |
CN110798427A (zh) | 一种网络安全防御中的异常检测方法、装置及设备 | |
CN110581850A (zh) | 一种基于网络流量基因检测方法 | |
CN104113453A (zh) | 一种局域网异常并机接入监测告警的方法及系统 | |
CN112422486B (zh) | 一种基于sdk的安全防护方法及设备 | |
JP2014063349A (ja) | マルウェア検出装置および方法 | |
CN107395643B (zh) | 一种基于扫描探针行为的源ip保护方法 | |
KR102156600B1 (ko) | 네트워크에서 수집된 패킷과 엔드포인트 컴퓨팅 장치의 프로세스 간의 연관관계를 생성하는 시스템 및 방법 | |
US11777832B2 (en) | Iterative development of protocol parsers | |
US20240163294A1 (en) | System and method for capturing malicious flows and associated context for threat analysis |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20150506 |
|
RJ01 | Rejection of invention patent application after publication |