CN105227515A - 网络入侵阻断方法、装置及系统 - Google Patents
网络入侵阻断方法、装置及系统 Download PDFInfo
- Publication number
- CN105227515A CN105227515A CN201410229605.8A CN201410229605A CN105227515A CN 105227515 A CN105227515 A CN 105227515A CN 201410229605 A CN201410229605 A CN 201410229605A CN 105227515 A CN105227515 A CN 105227515A
- Authority
- CN
- China
- Prior art keywords
- network
- terminal
- address
- data bag
- source
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及一种网络入侵阻断方法,用于一个网络系统中,所述网络系统包括与外部网络相连的路由器以及与所述路由器相连的网络终端,所述方法包括在一个与所述路由器相连的防护设备中进行以下步骤:从所述路由器抓取所述外部网络发送给所述网络终端的网络数据包;根据预定的检测规则分析抓取的网络数据包以判定是否触发网络入侵事件;以及若检测到网络入侵事件则分别向所述网络终端及所述网络数据包的来源终端发送中断连接请求以关闭建立的网络连接。上述的方法提升了网络系统的安全性。此外,由于入侵防护装置属于旁路部署,并不影响现有的网络架构,即使防护装置发生故障也不影响现有的网络流量。本发明还提供一种网络入侵检测装置及系统。
Description
技术领域
本发明涉及网络安全技术,尤其涉及一种网络入侵阻断方法、装置及系统。
背景技术
网络安全防护是一种网络安全技术,指致力于解决诸如如何有效进行介入控制,以及何如保证数据传输的安全性的技术手段,主要包括物理安全分析技术,网络结构安全分析技术,系统安全分析技术,管理安全分析技术,及其它的安全服务和安全机制策略。
防火墙是多年来网络安全防御的基石,如今对于稳固的基础安全来说,仍然十分需要。如果没有防火墙屏蔽有害的流量,那么企业保护自己网络资产的工作就会成倍增加。然而防火墙的基本工作原理是由于流量过滤,也就是说防火墙一般是串联在网络架构中,如果防火墙崩溃也就会导致内部网络无法正常工作。
发明内容
有鉴于此,有必要提供一种网络入侵阻断方法、装置及系统,其可以避免网络入侵防护装置本身对正常网络传输的影响。
一种网络入阻断方法,用于一个网络系统中,所述网络系统包括与外部网络相连的路由器、与所述路由器相连的网络终端及入侵防护装置,所述方法包括以下步骤:
所述路由器将攻击终端发送的网络数据包同时发送给所述网络终端与所述入侵防护装置;
所述入侵防护装置根据预定的检测规则分析路由器发送的网络数据包判定是否触发网络入侵事件,若检测到网络入侵事件则分别向所述网络终端及所述攻击终端发送中断连接请求以关闭所述网络终端与所述攻击终端之间已经建立的网络连接。
一种网络入侵阻断方法,用于一个网络系统中,所述网络系统包括与外部网络相连的路由器以及与所述路由器相连的网络终端,所述方法包括在一个与所述路由器相连的防护设备中进行以下步骤:
从所述路由器抓取所述外部网络发送给所述网络终端的网络数据包;
根据预定的检测规则分析抓取的网络数据包以判定是否触发网络入侵事件;以及
若检测到网络入侵事件则分别向所述网络终端及所述网络数据包的来源终端发送中断连接请求以关闭建立的网络连接。
一种网络入侵阻断系统,包括:与外部网络相连的路由器、与所述路由器相连的网络终端及入侵防护装置。
所述路由器用于将攻击终端发送的网络数据包同时发送给所述网络终端与所述入侵防护装置。
所述入侵防护装置用于根据预定的检测规则分析路由器发送的网络数据包判定是否触发网络入侵事件,若检测到网络入侵事件则分别向所述网络终端及所述攻击终端发送中断连接请求以关闭所述网络终端与所述攻击终端之间已经建立的网络连接。
一种网络入侵阻断装置,用于一个网络系统中,所述网络系统包括与外部网络相连的路由器以及与所述路由器相连的网络终端,所述装置包括:
数据抓取模块,用于在一个与所述路由器相连的防护设备中从所述路由器抓取所述外部网络发送给所述网络终端的网络数据包;
分析模块,用于根据预定的检测规则分析抓取的网络数据包以判定是否触发网络入侵事件;以及
阻断模块,用于若检测到网络入侵事件则分别向所述网络终端及所述网络数据包的来源终端发送中断连接请求以关闭建立的网络连接。
根据上述的方法、装置及系统,在检测到网络入侵事件后会模拟网络终端的身份发一份包括RST标志位的TCP数据包给攻击终端,并模拟攻击终端的身份发一份包括RST标志位的TCP数据包给网络终端。因此,攻击终端与被攻击的网络终端之间的网络连接会被中断,从而提升了网络系统的安全性。此外,由于入侵防护装置属于旁路部署,并不影响现有的网络架构,即使防护装置发生故障也不影响现有的网络流量。
为让本发明的上述和其他目的、特征和优点能更明显易懂,下文特举较佳实施例,并配合所附图式,作详细说明如下。
附图说明
图1为一种网络入侵阻断系统的示意图。
图2及图3为第一实施例提供的入侵防护装置的模块图。
图4为第二实施例的网络入侵检测装置的示意图。
图5为第三实施例的网络入侵检测装置的模块图。
图6为本发明实施例的网络入侵阻断装置的示意图。
图7为第四实施例的网络入侵阻断方法的流程图。
图8为第五实施例的网络入侵阻断方法的流程图。
图9为第六实施例的网络入侵阻断方法的流程图。
具体实施方式
为更进一步阐述本发明为实现预定发明目的所采取的技术手段及功效,以下结合附图及较佳实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅用以解释本发明,并不用于限定本发明。
本发明实施例提供一种网络入侵阻断方法,其可用于网络入侵阻断系统中。参阅图1,其为一个网络入侵阻断系统的示意图。网络入侵阻断系统100包括路由器10、防火墙11、交换机12、终端计算机13、服务器14以及入侵防护装置15。
路由器10直接与外部网络(如互联网)相连,防火墙11设置于路由器10与交换机12之间,交换机12直接负责提供终端计算机13与服务器14的网络接入。可以理解,交换机12只是网络中继设备,而终端计算机13与服务器14为网络终端。
可以理解,路由器10又称为网关设备,是用于连接多个逻辑上分开的网络,例如互联网与内部局域网(如图1所示的网络系统)。所有发给内网的数据都会经过路由器10转发。本实施例的系统中,路由器10除了将来自外部网络的数据包发送至目的终端外,还将所述数据包发送一份给入侵防护装置15。因此,当所述的来自外部网络的数据包是由攻击终端发送时,路由器10会同时将网络数据包发送给目的网络终端与入侵防护装置15。
入侵防护装置15根据预定的检测规则分析路由器发送的网络数据包判定是否触发网络入侵事件,若检测到网络入侵事件则分别向所述网络终端及所述攻击终端发送中断连接请求以关闭所述网络终端与所述攻击终端之间已经建立的网络连接。
例如,入侵防护装置15可构造包括RST标志位的第一TCP数据包,所述第一TCP数据包的来源IP地址以及目的IP地址分别为所述网络终端的IP地址与所述攻击终端的IP地址,并将所述第一TCP数据包发送至所述攻击终端。
入侵防护装置15还可构造包括RST标志位的第二TCP数据包,所述第二TCP数据包的来源IP地址以及目的IP地址分别为所述攻击终端的IP地址与所述网络终端的IP地址,并将所述第二TCP数据包发送给所述网络终端。
此外,若检测到网络入侵事件则入侵防护装置15还将所述攻击终端的IP地址提交给所述防火墙11以使所述防火墙11将所述来源IP地址加入封禁列表里。
进一步地,若检测到网络入侵事件入侵防护装置15还向预设的联系方式发送一条报警消息。
入侵防护装置15与防火墙11相连,其可监视所以流经防火墙11的数据,无论是从交换机12上行至路由器10的数据,还是从路由器10下行至交换机12的数据。按照图1所示架构,入侵防护装置15属于旁路部署式架构,也就是说入侵防护装置15本身并不改变现有的网络架构,只是读取并监视网络上传输的数据。
具体地,入侵防护装置15可以包括一台或者多台计算机。在一个实例中,入侵防护装置15包括一台计算机。参阅图2,入侵防护装置15包括存储器102、处理器104、存储控制器106、外设接口108、以及网络模块110。可以理解,图2所示的结构仅为示意,其并不对入侵防护装置15的结构造成限定。例如,入侵防护装置15还可包括比图2中所示更多或者更少的组件,或者具有与图2所示不同的配置。
存储器102可用于存储软件程序以及模块,如本发明实施例中的即使通讯会话的方法及装置对应的程序指令/模块,处理器104通过运行存储在存储器102内的软件程序以及模块,从而执行各种功能应用以及数据处理,即实现上述的网络入侵阻断方法。
存储器102可包括高速随机存储器,还可包括非易失性存储器,如一个或者多个磁性存储装置、闪存、或者其他非易失性固态存储器。在一些实例中,存储器102可进一步包括相对于处理器106远程设置的存储器,这些远程存储器可以通过网络连接至电子终端100。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。处理器106以及其他可能的组件对存储器102的访问可在存储控制器104的控制下进行。
外设接口108将各种输入/输入装置耦合至处理器106。处理器106运行存储器102内的各种软件、指令电子终端100执行各种功能以及进行数据处理。在一些实施例中,外设接口108、处理器106以及存储控制器104可以在单个芯片中实现。在其他一些实例中,他们可以分别由独立的芯片实现。
网络模块110用于接收以及发送网络信号。上述网络信号可包括无线信号或者有线信号。在一个实例中,上述网络信号为有线网络信号。此时,网络模块110可包括处理器、随机存储器、转换器、晶体振荡器等元件。在一个实施例中,上述的网络信号为无线信号(例如射频信号)。此时网络模块110实质是射频模块,接收以及发送电磁波,实现电磁波与电信号的相互转换,从而与通讯网络或者其他设备进行通讯。射频模块可包括各种现有的用于执行这些功能的电路元件,例如,天线、射频收发器、数字信号处理器、加密/解密芯片、用户身份模块(SIM)卡、存储器等等。射频模块可与各种网络如互联网、企业内部网、无线网络进行通讯或者通过无线网络与其他设备进行通讯。上述的无线网络可包括蜂窝式电话网、无线局域网或者城域网。上述的无线网络可以使用各种通信标准、协议及技术,包括但并不限于全球移动通信系统(GlobalSystemforMobileCommunication,GSM)、增强型移动通信技术(EnhancedDataGSMEnvironment,EDGE),宽带码分多址技术(widebandcodedivisionmultipleaccess,W-CDMA),码分多址技术(Codedivisionaccess,CDMA)、时分多址技术(timedivisionmultipleaccess,TDMA),无线保真技术(Wireless,Fidelity,WiFi)(如美国电气和电子工程师协会标准IEEE802.11a,IEEE802.11b,IEEE802.11g和/或IEEE802.11n)、网络电话(Voiceoverinternetprotocal,VoIP)、全球微波互联接入(WorldwideInteroperabilityforMicrowaveAccess,Wi-Max)、其他用于邮件、即时通讯及短消息的协议,以及任何其他合适的通讯协议,甚至可包括那些当前仍未被开发出来的协议。
上述的软件程序以及模块包括:操作系统122、以及入侵防护模块124。操作系统122其可包括各种用于管理系统任务(例如内存管理、存储设备控制、电源管理等)的软件组件和/或驱动,并可与各种硬件或软件组件相互通讯,从而提供其他软件组件的运行环境。入侵防护模块124运行在操作系统122的基础上,其具体实现本实施例的网络入侵阻断方法。
参阅图3,其为第一实施例提供的入侵防护装置的模块图,入侵防护模块124包括数据抓取模块21、分析模块22、以及阻断模块23。
数据抓取模块21用于从所述路由器抓取从所述外部网络(例如从攻击者使用的终端16,以下简称攻击终端16)发送给所述网络终端的网络数据包。例如,通过网络模块110截获所有网络上传输的数据包以供分析。当然,数据包的抓取也可以提供过滤机制以去除不必要的数据包。例如,可以按网络层、协议、主机、网络或端口的过滤,并可以采用逻辑表达式将多个过滤条件连续起来共同过滤。
分析模块22根据预定的检测规则分析抓取的网络数据包以判定是否触发网络入侵事件。
检测规则是指一个特征或者多个特征的组合,此处的特征是指一个数据包或者数据包序列的独有特性。
IP数据包是在TCP/IP互联网上传送的基本单元。一、IP数据包中包含有发送数据的源IP地址和目的IP地址,有些攻击者会利用伪造IP地址来实施攻击,例如LAND攻击,攻击所产生的数据包具有相同的源IP地址和目的IP地址,另外,还有很多攻击是通过伪造IP地址来实现的,可见IP数据包的源IP地址和目的IP地址在一定程度上可以鉴别带有恶意的数据包,因此可以把他们作为入侵检测的参考特征。二、IP数据包中的协议字段说明了数据区中的数据是由哪一种高层协议产生的,利用不同的协议数据包可以实施不同的攻击行为,因此协议字段也可以作为入侵检测的参考特征。三、有些攻击是通过频繁发送数据包从而耗尽目标主机资源来实现的,因此可以把时间戳作为入侵检测的参考特征
TCP数据包是一种面向连接的协议报文,有些报文是用于传输数据的,但也有某些报文仅仅携带了确认信息,另外还有一些报文携带的是建立或关闭连接的请求,TCP报文中包含有六个标志位:URG、ACK、PSH、RST、SYN和FIN,通过对这些标志位的设置,可以指出报文段的目的和内容。攻击者可以通过设置非法的标志位或标志位组合来构造恶意的报文,因此,这六个标志位及其组合方式可以作为入侵检测的参考特征。
根据以上描述,可以从IP、TCP数据包的包头中提取能够表征入侵行为的基本特征,首先,可以从IP包头中提取四个基本特征srcIP(源IP地址)、desIP(目的IP地址)、protype(协议类型,如TCP、UDP和ICMP协议)、time(时间戳)。对于不同的协议还可继续提取不同的特征,例如对于TCP包头,可以提取基本特征flag(TCP的标志位)。
以下结合具体的入侵方式描述如何通过特征发现网络入侵行为。
LAND攻击是一种比较古老的攻击方式,它利用了TCP协议的三次握手机制,在这种攻击中,攻击者构造一个特别定制的SYN数据包,该包中的源地址和目的地址都被设置成受害主机的地址,这就导致受害主机向它自己的地址发送SYN+ACK消息,结果这个地址又发回ACK消息并创建一个空连接,每一个这样的连接都将保留直到超时,这将耗费主机大量的系统资源,使主机性能急剧下降,甚至崩溃。要检测这种攻击,可以利用特征srcIP、desIP、protype和time,必要时还可以加上端口信息,如果在一段时间内,频繁地出现srcIP和desIP相同的TCP数据包,则可能遭到了LAND攻击。
TCP端口扫描就是通过连接到目的系统的TCP端口,来了解和掌握攻击目标的各种信息,因此端口扫描往往是黑客入侵的第一步。TCP端口扫描的种类很多,在这里仅以FIN扫描、Xmas扫描和NULL扫描为例进行分析。FIN扫描又称为秘密扫描,它使用FIN数据包来探听端口,当一个FIN数据包到达一个关闭的端口时,数据包会被丢掉,并且会返回一个RST数据包。否则,当一个FIN数据包到达一个打开的端口时,数据包只是简单的丢掉而不返回RST。Xmas和Null扫描是秘密扫描的两个变种,Xmas扫描打开FIN、URG和PSH标志,而NULL扫描关闭所有标志。这些组合的目的是为了通过FIN标志监测器的过滤。为了检测这些攻击,可以利用特征time、desIP、protype和flag。如果在一段时间内,频繁地出现发送到同一目的地址的包含FIN标志的TCP数据包,则可能遭到了FIN扫描攻击;如果频繁地出现发送到同一目的地址的包含FIN、URG、PSH标志位的TCP数据包,则可能遭到了Xmas扫描攻击;如果频繁地出现发送到同一目的地址的不含任何标志位的TCP数据包,则可能遭到了NULL扫描攻击
以上通过对常见攻击行为和TCP/IP协议的分析,提取了TCP/IP数据包包头中能够表征入侵行为的基本特征,并通过实例说明了利用这些特征检测一些简单攻击的有效性。但是,发生在网络上的攻击是多种多样的,有些攻击是很复杂的,不是简单地通过检查几个数据包头部值就可以检测出来的。因此实际应用可能需要更加复杂的检测规则。
例如,可以提取并生成流量特征。很多攻击并不是通过发送一两个数据包就可以表现出来的,而是通过频繁发送大量数据包才实现的,因此一段时间内的网络流量特征有助于检测攻击行为。因此,可以通过设置时间窗口来构造流量特征。例如,可以构造如下特征:在过去2秒内与当前连接有相同目的主机的连接的个数;在过去2秒内与当前连接有相同目的主机的所有连接中有SYN错误的连接所占的百分比;在过去2秒内与当前连接有相同目的主机的所有连接中有REJ错误的连接所占的百分比等。
还可提取并生成内容特征。有些攻击是基于内容的,因此无法只通过数据包包头的信息来进行检测,这时就需要用到连接中的内容特征,内容特征需要根据领域知识从数据包的数据部分提取,例如,如果在数据包中出现了“/cgi-bin/phf?”,则可能表明有人试图访问Web服务器上脆弱的CGI脚本。随着网络技术的发展,网络入侵方式也越来越复杂化和多样化,但是,不管什么样的网络入侵方式,总会表现出一些特征,而这些特征总是从属于三种特征(即基本特征、流量特征和内容特征)之一或其组合,因此,提取并生成各种攻击方式的这三类特征,就能够有效地对入侵行为进行检测。这些特征或者特征组合就构成了上述的预设的检测规则,当检测规则被成功匹配时,即触发上述的网络入侵事件。
阻断模块23用于若检测到网络入侵事件则分别向所述网络终端及所述网络数据包的来源终端(攻击终端)发送中断连接请求以关闭建立的网络连接。
例如,在一个实施方式中,阻断模块23进行以下步骤以关闭网络终端与攻击终端之间的网络连接:构造包括RST标志位的第一TCP数据包,所述第一TCP数据包的来源IP地址以及目的IP地址分别为所述网络终端的IP地址与所述网络数据包的来源IP地址;并将所述第一TCP数据包至所述网络数据包的来源IP地址。
阻断模块23还可构造包括RST标志位的第二TCP数据包,所述第二TCP数据包的来源IP地址以及目的IP地址分别为所述网络数据包的来源IP地址与所述网络终端的IP地址;以及将所述第二TCP数据包发送给所述网络终端。
可以理解,在接收到包括RST标志位的TCP数据包后,网络终端或者攻击终端均会关闭对应的TCP连接,从而实现网络攻击的防护。
参阅图4,入侵防护模块124还可包括更新模块24,用于若检测到网络入侵事件则将所述网络数据包的来源IP地址提交给所述防火墙以使所述防火墙将所述来源IP地址加入封禁列表里。如此,即使入侵防护模块124不再正常工作,防火墙自身也可以防止网络终端受到相同IP的再次攻击。
参阅图5,入侵防护模块124还可包括提醒模块25,用于若检测到网络入侵事件还向预设的联系方式发送一条报警消息。上述的预设的联系方式例如可包括:电子邮件帐号、即时通讯帐号、特定IP地址的特定网络端口等等。通过发送报警消息,可以使安全维护人员及时获取网络入侵事件,能够进一步提升系统的安全系数。
参阅图6,在图1所示的网络系统中,攻击终端16的攻击数据包会被发送至网络终端(终端计算机13或者服务器14)中,此外,由于入侵防护装置15会从路由器10抓取数据包,因此入侵防护装置15也会截获攻击终端16发送的攻击数据包。相应地,入侵防护装置15在检测到网络入侵事件后会模拟网络终端的身份发一份包括RST标志位的TCP数据包给攻击终端,并模拟攻击终端的身份发一份包括RST标志位的TCP数据包给网络终端。因此,攻击终端与被攻击的网络终端之间的网络连接会被中断,从而提升了网络系统的安全性。此外,由于入侵防护装置属于旁路部署,并不影响现有的网络架构,即使防护装置发生故障也不影响现有的网络流量。
参阅图7,其为第四实施例提供的网络入侵阻断方法的流程图。如图7所示,本实施例的方法包括以下步骤:
步骤S110、从所述路由器抓取所述外部网络发送给所述网络终端的网络数据包。
例如,通过网络模块110截获所有网络上传输的数据包以供分析。当然,数据包的抓取也可以提供过滤机制以去除不必要的数据包。例如,可以按网络层、协议、主机、网络或端口的过滤,并可以采用逻辑表达式将多个过滤条件连续起来共同过滤。
步骤S120、根据预定的检测规则分析抓取的网络数据包以判定是否触发网络入侵事件。
检测规则是指一个特征或者多个特征的组合,此处的特征是指一个数据包或者数据包序列的独有特性。
IP数据包是在TCP/IP互联网上传送的基本单元。一、IP数据包中包含有发送数据的源IP地址和目的IP地址,有些攻击者会利用伪造IP地址来实施攻击,例如LAND攻击,攻击所产生的数据包具有相同的源IP地址和目的IP地址,另外,还有很多攻击是通过伪造IP地址来实现的,可见IP数据包的源IP地址和目的IP地址在一定程度上可以鉴别带有恶意的数据包,因此可以把他们作为入侵检测的参考特征。二、IP数据包中的协议字段说明了数据区中的数据是由哪一种高层协议产生的,利用不同的协议数据包可以实施不同的攻击行为,因此协议字段也可以作为入侵检测的参考特征。三、有些攻击是通过频繁发送数据包从而耗尽目标主机资源来实现的,因此可以把时间戳作为入侵检测的参考特征。
TCP数据包是一种面向连接的协议报文,有些报文是用于传输数据的,但也有某些报文仅仅携带了确认信息,另外还有一些报文携带的是建立或关闭连接的请求,TCP报文中包含有六个标志位:URG、ACK、PSH、RST、SYN和FIN,通过对这些标志位的设置,可以指出报文段的目的和内容。攻击者可以通过设置非法的标志位或标志位组合来构造恶意的报文,因此,这六个标志位及其组合方式可以作为入侵检测的参考特征。
根据以上描述,可以从IP、TCP数据包的包头中提取能够表征入侵行为的基本特征,首先,可以从IP包头中提取四个基本特征srcIP(源IP地址)、desIP(目的IP地址)、protype(协议类型,如TCP、UDP和ICMP协议)、time(时间戳)。对于不同的协议还可继续提取不同的特征,例如对于TCP包头,可以提取基本特征flag(TCP的标志位)。
以下结合具体的入侵方式描述如何通过特征发现网络入侵行为。
LAND攻击是一种比较古老的攻击方式,它利用了TCP协议的三次握手机制,在这种攻击中,攻击者构造一个特别定制的SYN数据包,该包中的源地址和目的地址都被设置成受害主机的地址,这就导致受害主机向它自己的地址发送SYN+ACK消息,结果这个地址又发回ACK消息并创建一个空连接,每一个这样的连接都将保留直到超时,这将耗费主机大量的系统资源,使主机性能急剧下降,甚至崩溃。要检测这种攻击,可以利用特征srcIP、desIP、protype和time,必要时还可以加上端口信息,如果在一段时间内,频繁地出现srcIP和desIP相同的TCP数据包,则可能遭到了LAND攻击。
TCP端口扫描就是通过连接到目的系统的TCP端口,来了解和掌握攻击目标的各种信息,因此端口扫描往往是黑客入侵的第一步。TCP端口扫描的种类很多,在这里仅以FIN扫描、Xmas扫描和NULL扫描为例进行分析。FIN扫描又称为秘密扫描,它使用FIN数据包来探听端口,当一个FIN数据包到达一个关闭的端口时,数据包会被丢掉,并且会返回一个RST数据包。否则,当一个FIN数据包到达一个打开的端口时,数据包只是简单的丢掉而不返回RST。Xmas和Null扫描是秘密扫描的两个变种,Xmas扫描打开FIN、URG和PSH标志,而NULL扫描关闭所有标志。这些组合的目的是为了通过FIN标志监测器的过滤。为了检测这些攻击,可以利用特征time、desIP、protype和flag。如果在一段时间内,频繁地出现发送到同一目的地址的包含FIN标志的TCP数据包,则可能遭到了FIN扫描攻击;如果频繁地出现发送到同一目的地址的包含FIN、URG、PSH标志位的TCP数据包,则可能遭到了Xmas扫描攻击;如果频繁地出现发送到同一目的地址的不含任何标志位的TCP数据包,则可能遭到了NULL扫描攻击。
以上通过对常见攻击行为和TCP/IP协议的分析,提取了TCP/IP数据包包头中能够表征入侵行为的基本特征,并通过实例说明了利用这些特征检测一些简单攻击的有效性。但是,发生在网络上的攻击是多种多样的,有些攻击是很复杂的,不是简单地通过检查几个数据包头部值就可以检测出来的。因此实际应用可能需要更加复杂的检测规则。
例如,可以提取并生成流量特征。很多攻击并不是通过发送一两个数据包就可以表现出来的,而是通过频繁发送大量数据包才实现的,因此一段时间内的网络流量特征有助于检测攻击行为。因此,可以通过设置时间窗口来构造流量特征。例如,可以构造如下特征:在过去2秒内与当前连接有相同目的主机的连接的个数;在过去2秒内与当前连接有相同目的主机的所有连接中有SYN错误的连接所占的百分比;在过去2秒内与当前连接有相同目的主机的所有连接中有REJ错误的连接所占的百分比等。
还可提取并生成内容特征。有些攻击是基于内容的,因此无法只通过数据包包头的信息来进行检测,这时就需要用到连接中的内容特征,内容特征需要根据领域知识从数据包的数据部分提取,例如,如果在数据包中出现了“/cgi-bin/phf?”,则可能表明有人试图访问Web服务器上脆弱的CGI脚本。随着网络技术的发展,网络入侵方式也越来越复杂化和多样化,但是,不管什么样的网络入侵方式,总会表现出一些特征,而这些特征总是从属于三种特征(即基本特征、流量特征和内容特征)之一或其组合,因此,提取并生成各种攻击方式的这三类特征,就能够有效地对入侵行为进行检测。这些特征或者特征组合就构成了上述的预设的检测规则,当检测规则被成功匹配时,即触发上述的网络入侵事件。
步骤S130、若检测到网络入侵事件则分别向所述网络终端及所述网络数据包的来源终端发送中断连接请求以关闭建立的网络连接。
例如,在一个实施方式中,进行以下步骤以关闭网络终端与攻击终端之间的网络连接:构造包括RST标志位的第一TCP数据包,所述第一TCP数据包的来源IP地址以及目的IP地址分别为所述网络终端的IP地址与所述网络数据包的来源IP地址;并将所述第一TCP数据包至所述网络数据包的来源IP地址。
还可构造包括RST标志位的第二TCP数据包,所述第二TCP数据包的来源IP地址以及目的IP地址分别为所述网络数据包的来源IP地址与所述网络终端的IP地址;以及将所述第二TCP数据包发送给所述网络终端。
可以理解,在接收到包括RST标志位的TCP数据包后,网络终端或者攻击终端均会关闭对应的TCP连接,从而实现网络攻击的防护。
根据本实施例的,入侵防护装置在检测到网络入侵事件后会模拟网络终端的身份发一份包括RST标志位的TCP数据包给攻击终端,并模拟攻击终端的身份发一份包括RST标志位的TCP数据包给网络终端。因此,攻击终端与被攻击的网络终端之间的网络连接会被中断,从而提升了网络系统的安全性。此外,由于入侵防护装置属于旁路部署,并不影响现有的网络架构,即使防护装置发生故障也不影响现有的网络流量。
参阅图8,其为第五实施例提供的网络入侵阻断方法的流程图。如图8所示,本实施例的方法与图7所示的方法相似,其不同之处在于还包括:
步骤S140、若检测到网络入侵事件则将所述网络数据包的来源IP地址提交给所述防火墙以使所述防火墙将所述来源IP地址加入封禁列表里。
在一个实施方式中,防火墙内运行有特定的应用程序,其监听特定的端口,此时步骤S140中,可将所述来源IP地址封装一个UDP数据包内,并将其发送给防火墙的所述端口。相应地,所述的应用程序会接收到数据包,从数据包内解析出所述来源IP地址,并将其添加至一个封禁列表内。所述封禁列表可以存储在一个数据库中,也可以是以文件的形式存储。
在另一个实施方式中,防火墙内运行有网页服务器应用程序,并具体运行一个用于接收客户端提交的IP地址的模块。在检测到网络入侵事件后,入侵防护装置15可构造一个HTTP请求,将所述来源IP地址包括在所述HTTP请求内,然后以HTTP协议将其发送给防火墙11。相应地,防火墙11内用于接收客户端提交的IP地址的模块会接收到对应的HTTP请求,然后其从HTTP请求内解析出所述来源IP地址,并将其添加至一个封禁列表内。
按照本实施例的方法,即使入侵防护装置15不再正常工作,防火墙11自身也可以防止网络终端受到相同IP的再次攻击。
参阅图9,其为第六实施例提供的网络入侵阻断方法的流程图。如图9所示,本实施例的方法与图7所示的方法相似,其不同之处在于还包括:
步骤S150、若检测到网络入侵事件还向预设的联系方式发送一条报警消息。
上述的预设的联系方式例如可包括:电子邮件帐号、即时通讯帐号、特定IP地址的特定网络端口等等。
若预设的联系方式为电子邮件帐号,则在步骤S150中向该电子邮件帐号发送一封电子邮件,在该电子邮件内可包括网络入侵事件的详细信息,例如攻击者的IP地址、攻击类型、是否已经处理等等。
若预设的联系方式为即时通讯帐号,则在步骤S150中向该即时通讯帐号发送一条即时通讯消息,在该即时通讯消息内可包括网络入侵事件的详细信息,例如攻击者的IP地址、攻击类型、是否已经处理等等。
若预设的联系方式为特定IP地址的特定网络端口,则在步骤S150中,生成一个UDP数据包,将网络入侵事件的详细信息,例如攻击者的IP地址、攻击类型、是否已经处理等包括在所述UDP数据包内。并将所述UDP数据包发送给所述特定IP地址的特定网络端口。
根据本实施例的方法,通过发送报警消息,可以使安全维护人员及时获取网络入侵事件,能够进一步提升系统的安全系数。
以上所述,仅是本发明的较佳实施例而已,并非对本发明作任何形式上的限制,虽然本发明已以较佳实施例揭示如上,然而并非用以限定本发明,任何本领域技术人员,在不脱离本发明技术方案范围内,当可利用上述揭示的技术内容做出些许更动或修饰为等同变化的等效实施例,但凡是未脱离本发明技术方案内容,依据本发明的技术实质对以上实施例所作的任何简介修改、等同变化与修饰,均仍属于本发明技术方案的范围内。
Claims (20)
1.一种网络入阻断方法,用于一个网络系统中,所述网络系统包括与外部网络相连的路由器、与所述路由器相连的网络终端及入侵防护装置,其特征在于,所述方法包括以下步骤:
所述路由器将攻击终端发送的网络数据包同时发送给所述网络终端与所述入侵防护装置;
所述入侵防护装置根据预定的检测规则分析路由器发送的网络数据包判定是否触发网络入侵事件,若检测到网络入侵事件则分别向所述网络终端及所述攻击终端发送中断连接请求以关闭所述网络终端与所述攻击终端之间已经建立的网络连接。
2.如权利要求1所述的方法,其特征在于,所述入侵防护装置向所述攻击终端发送中断连接请求以关闭建立的网络连接包括:
构造包括RST标志位的第一TCP数据包,所述第一TCP数据包的来源IP地址以及目的IP地址分别为所述网络终端的IP地址与所述攻击终端的IP地址;以及
将所述第一TCP数据包发送至所述攻击终端。
3.如权利要求1所述的方法,其特征在于,所述入侵防护装置向所述网络终端发送中断连接请求以关闭建立的网络连接包括:
构造包括RST标志位的第二TCP数据包,所述第二TCP数据包的来源IP地址以及目的IP地址分别为所述攻击终端的IP地址与所述网络终端的IP地址;以及
将所述第二TCP数据包发送给所述网络终端。
4.如权利要求1所述的方法,其特征在于,所述网络系统还包括串联在所述路由器与所述网络终端之间的防火墙,若检测到网络入侵事件则所述入侵防护装置还将所述攻击终端的IP地址提交给所述防火墙以使所述防火墙将所述来源IP地址加入封禁列表里。
5.如权利要求1所述的方法,其特征在于,若检测到网络入侵事件所述入侵防护装置还向预设的联系方式发送一条报警消息。
6.一种网络入侵阻断方法,用于一个网络系统中,所述网络系统包括与外部网络相连的路由器以及与所述路由器相连的网络终端,其特征在于,所述方法包括在一个与所述路由器相连的防护设备中进行以下步骤:
从所述路由器抓取所述外部网络发送给所述网络终端的网络数据包;
根据预定的检测规则分析抓取的网络数据包以判定是否触发网络入侵事件;以及
若检测到网络入侵事件则分别向所述网络终端及所述网络数据包的来源终端发送中断连接请求以关闭建立的网络连接。
7.如权利要求6所述的方法,其特征在于,所述向所述网络终端及所述网络数据包的来源终端发送中断连接请求以关闭建立的网络连接包括:
构造包括RST标志位的第一TCP数据包,所述第一TCP数据包的来源IP地址以及目的IP地址分别为所述网络终端的IP地址与所述网络数据包的来源IP地址;以及
将所述第一TCP数据包发送至所述网络数据包的来源IP地址。
8.如权利要求7所述的方法,其特征在于,所述向所述网络终端及所述网络数据包的来源终端发送中断连接请求以关闭建立的网络连接还包括:
构造包括RST标志位的第二TCP数据包,所述第二TCP数据包的来源IP地址以及目的IP地址分别为所述网络数据包的来源IP地址与所述网络终端的IP地址;以及
将所述第二TCP数据包发送给所述网络终端。
9.如权利要求6所述的方法,其特征在于,所述网络系统还包括串联在所述路由器与所述网络终端之间的防火墙,所述方法还包括:
若检测到网络入侵事件则将所述网络数据包的来源IP地址提交给所述防火墙以使所述防火墙将所述来源IP地址加入封禁列表里。
10.如权利要求6所述的方法,其特征在于,还包括:若检测到网络入侵事件还向预设的联系方式发送一条报警消息。
11.一种网络入侵阻断系统,包括:与外部网络相连的路由器、与所述路由器相连的网络终端及入侵防护装置,其特征在于:
所述路由器用于将攻击终端发送的网络数据包同时发送给所述网络终端与所述入侵防护装置;
所述入侵防护装置用于根据预定的检测规则分析路由器发送的网络数据包判定是否触发网络入侵事件,若检测到网络入侵事件则分别向所述网络终端及所述攻击终端发送中断连接请求以关闭所述网络终端与所述攻击终端之间已经建立的网络连接。
12.如权利要求11所述的系统,其特征在于,所述入侵防护装置向所述攻击终端发送中断连接请求以关闭建立的网络连接包括:
构造包括RST标志位的第一TCP数据包,所述第一TCP数据包的来源IP地址以及目的IP地址分别为所述网络终端的IP地址与所述攻击终端的IP地址;以及
将所述第一TCP数据包发送至所述攻击终端。
13.如权利要求11所述的系统,其特征在于,所述入侵防护装置向所述网络终端发送中断连接请求以关闭建立的网络连接包括:
构造包括RST标志位的第二TCP数据包,所述第二TCP数据包的来源IP地址以及目的IP地址分别为所述攻击终端的IP地址与所述网络终端的IP地址;以及
将所述第二TCP数据包发送给所述网络终端。
14.如权利要求11所述的系统,其特征在于,所述网络系统还包括串联在所述路由器与所述网络终端之间的防火墙,若检测到网络入侵事件则所述入侵防护装置还将所述攻击终端的IP地址提交给所述防火墙以使所述防火墙将所述来源IP地址加入封禁列表里。
15.如权利要求11所述的系统,其特征在于,若检测到网络入侵事件所述入侵防护装置还向预设的联系方式发送一条报警消息。
16.一种网络入侵阻断装置,用于一个网络系统中,所述网络系统包括与外部网络相连的路由器以及与所述路由器相连的网络终端,其特征在于,所述装置包括:
数据抓取模块,用于在一个与所述路由器相连的防护设备中从所述路由器抓取所述外部网络发送给所述网络终端的网络数据包;
分析模块,用于根据预定的检测规则分析抓取的网络数据包以判定是否触发网络入侵事件;以及
阻断模块,用于若检测到网络入侵事件则分别向所述网络终端及所述网络数据包的来源终端发送中断连接请求以关闭建立的网络连接。
17.如权利要求16所述的装置,其特征在于,所述阻断模块用于:
构造包括RST标志位的第一TCP数据包,所述第一TCP数据包的来源IP地址以及目的IP地址分别为所述网络终端的IP地址与所述网络数据包的来源IP地址;以及
将所述第一TCP数据包发送至所述网络数据包的来源IP地址。
18.如权利要求17所述的装置,其特征在于,所述阻断模块还用于:
构造包括RST标志位的第二TCP数据包,所述第二TCP数据包的来源IP地址以及目的IP地址分别为所述网络数据包的来源IP地址与所述网络终端的IP地址;以及
将所述第二TCP数据包发送给所述网络终端。
19.如权利要求16所述的装置,其特征在于,所述网络系统还包括串联在所述路由器与所述网络终端之间的防火墙,所述方法还包括更新模块,
用于若检测到网络入侵事件则将所述网络数据包的来源IP地址提交给所述防火墙以使所述防火墙将所述来源IP地址加入封禁列表里。
20.如权利要求16所述的装置,其特征在于,还包括提醒模块,用于若检测到网络入侵事件还向预设的联系方式发送一条报警消息。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410229605.8A CN105227515A (zh) | 2014-05-28 | 2014-05-28 | 网络入侵阻断方法、装置及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410229605.8A CN105227515A (zh) | 2014-05-28 | 2014-05-28 | 网络入侵阻断方法、装置及系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN105227515A true CN105227515A (zh) | 2016-01-06 |
Family
ID=54996205
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410229605.8A Pending CN105227515A (zh) | 2014-05-28 | 2014-05-28 | 网络入侵阻断方法、装置及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN105227515A (zh) |
Cited By (18)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105939338A (zh) * | 2016-03-16 | 2016-09-14 | 杭州迪普科技有限公司 | 入侵报文的防护方法及装置 |
| CN106453299A (zh) * | 2016-09-30 | 2017-02-22 | 北京奇虎科技有限公司 | 网络安全监控方法、装置及云端web应用防火墙 |
| CN106961414A (zh) * | 2016-01-12 | 2017-07-18 | 阿里巴巴集团控股有限公司 | 一种基于蜜罐的数据处理方法、装置及系统 |
| CN107204965A (zh) * | 2016-03-18 | 2017-09-26 | 阿里巴巴集团控股有限公司 | 一种密码破解行为的拦截方法及系统 |
| CN107241297A (zh) * | 2016-03-28 | 2017-10-10 | 阿里巴巴集团控股有限公司 | 通信拦截方法及装置、服务器 |
| CN107347047A (zh) * | 2016-05-04 | 2017-11-14 | 阿里巴巴集团控股有限公司 | 攻击防护方法和装置 |
| CN107623661A (zh) * | 2016-07-15 | 2018-01-23 | 阿里巴巴集团控股有限公司 | 阻断访问请求的系统、方法及装置,服务器 |
| CN108632221A (zh) * | 2017-03-22 | 2018-10-09 | 华为技术有限公司 | 定位内网中的受控主机的方法、设备及系统 |
| CN108833418A (zh) * | 2018-06-22 | 2018-11-16 | 北京京东金融科技控股有限公司 | 用于防御攻击的方法、装置和系统 |
| CN109257445A (zh) * | 2018-11-12 | 2019-01-22 | 郑州昂视信息科技有限公司 | 一种Web服务动态调度方法及动态调度系统 |
| CN109743282A (zh) * | 2018-11-21 | 2019-05-10 | 北京奇安信科技有限公司 | 一种基于工控协议的高危安全风险识别方法及装置 |
| WO2019165883A1 (zh) * | 2018-03-01 | 2019-09-06 | 中兴通讯股份有限公司 | 数据的处理方法及装置 |
| CN110290124A (zh) * | 2019-06-14 | 2019-09-27 | 杭州迪普科技股份有限公司 | 一种交换机入端口阻断方法及装置 |
| CN110446207A (zh) * | 2019-08-15 | 2019-11-12 | 重庆知遨科技有限公司 | 一种卷烟生产区非法无线接入定位及阻断方法 |
| CN111478888A (zh) * | 2020-03-24 | 2020-07-31 | 武汉思普崚技术有限公司 | 一种旁路阻断方法、设备及存储介质 |
| CN112839018A (zh) * | 2019-11-25 | 2021-05-25 | 华为技术有限公司 | 一种度数值生成方法以及相关设备 |
| CN113890769A (zh) * | 2021-11-30 | 2022-01-04 | 南京开博信达科技有限公司 | 一种tcp阻断方法 |
| CN113973303A (zh) * | 2021-11-02 | 2022-01-25 | 上海格尔安全科技有限公司 | 基于数据包分析的移动终端设备接入控制网关的实现方法 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101321171A (zh) * | 2008-07-04 | 2008-12-10 | 北京锐安科技有限公司 | 一种检测分布式拒绝服务攻击的方法及设备 |
| CN101350746A (zh) * | 2007-07-20 | 2009-01-21 | 莱克斯信息技术(北京)有限公司 | 旁路阻断tcp连接 |
| CN102082836A (zh) * | 2009-11-30 | 2011-06-01 | 中国移动通信集团四川有限公司 | 一种dns安全监控系统及方法 |
| CN102904902A (zh) * | 2012-10-31 | 2013-01-30 | 北京锐安科技有限公司 | 一种基于dhcp旁路阻断方法 |
-
2014
- 2014-05-28 CN CN201410229605.8A patent/CN105227515A/zh active Pending
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101350746A (zh) * | 2007-07-20 | 2009-01-21 | 莱克斯信息技术(北京)有限公司 | 旁路阻断tcp连接 |
| CN101321171A (zh) * | 2008-07-04 | 2008-12-10 | 北京锐安科技有限公司 | 一种检测分布式拒绝服务攻击的方法及设备 |
| CN102082836A (zh) * | 2009-11-30 | 2011-06-01 | 中国移动通信集团四川有限公司 | 一种dns安全监控系统及方法 |
| CN102904902A (zh) * | 2012-10-31 | 2013-01-30 | 北京锐安科技有限公司 | 一种基于dhcp旁路阻断方法 |
Cited By (28)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106961414A (zh) * | 2016-01-12 | 2017-07-18 | 阿里巴巴集团控股有限公司 | 一种基于蜜罐的数据处理方法、装置及系统 |
| CN105939338A (zh) * | 2016-03-16 | 2016-09-14 | 杭州迪普科技有限公司 | 入侵报文的防护方法及装置 |
| CN105939338B (zh) * | 2016-03-16 | 2019-05-07 | 杭州迪普科技股份有限公司 | 入侵报文的防护方法及装置 |
| CN107204965A (zh) * | 2016-03-18 | 2017-09-26 | 阿里巴巴集团控股有限公司 | 一种密码破解行为的拦截方法及系统 |
| CN107204965B (zh) * | 2016-03-18 | 2020-06-05 | 阿里巴巴集团控股有限公司 | 一种密码破解行为的拦截方法及系统 |
| CN107241297A (zh) * | 2016-03-28 | 2017-10-10 | 阿里巴巴集团控股有限公司 | 通信拦截方法及装置、服务器 |
| CN107241297B (zh) * | 2016-03-28 | 2021-04-27 | 阿里巴巴集团控股有限公司 | 通信拦截方法及装置、服务器 |
| CN107347047A (zh) * | 2016-05-04 | 2017-11-14 | 阿里巴巴集团控股有限公司 | 攻击防护方法和装置 |
| CN107623661A (zh) * | 2016-07-15 | 2018-01-23 | 阿里巴巴集团控股有限公司 | 阻断访问请求的系统、方法及装置,服务器 |
| CN107623661B (zh) * | 2016-07-15 | 2020-12-08 | 阿里巴巴集团控股有限公司 | 阻断访问请求的系统、方法及装置,服务器 |
| CN106453299B (zh) * | 2016-09-30 | 2020-04-07 | 北京奇虎测腾科技有限公司 | 网络安全监控方法、装置及云端web应用防火墙 |
| CN106453299A (zh) * | 2016-09-30 | 2017-02-22 | 北京奇虎科技有限公司 | 网络安全监控方法、装置及云端web应用防火墙 |
| CN108632221A (zh) * | 2017-03-22 | 2018-10-09 | 华为技术有限公司 | 定位内网中的受控主机的方法、设备及系统 |
| CN108632221B (zh) * | 2017-03-22 | 2020-09-04 | 华为技术有限公司 | 定位内网中的受控主机的方法、设备及系统 |
| WO2019165883A1 (zh) * | 2018-03-01 | 2019-09-06 | 中兴通讯股份有限公司 | 数据的处理方法及装置 |
| CN110224969A (zh) * | 2018-03-01 | 2019-09-10 | 中兴通讯股份有限公司 | 数据的处理方法及装置 |
| CN108833418A (zh) * | 2018-06-22 | 2018-11-16 | 北京京东金融科技控股有限公司 | 用于防御攻击的方法、装置和系统 |
| CN109257445A (zh) * | 2018-11-12 | 2019-01-22 | 郑州昂视信息科技有限公司 | 一种Web服务动态调度方法及动态调度系统 |
| CN109257445B (zh) * | 2018-11-12 | 2021-05-07 | 郑州昂视信息科技有限公司 | 一种Web服务动态调度方法及动态调度系统 |
| CN109743282B (zh) * | 2018-11-21 | 2022-04-26 | 奇安信科技集团股份有限公司 | 一种基于工控协议的高危安全风险识别方法及装置 |
| CN109743282A (zh) * | 2018-11-21 | 2019-05-10 | 北京奇安信科技有限公司 | 一种基于工控协议的高危安全风险识别方法及装置 |
| CN110290124A (zh) * | 2019-06-14 | 2019-09-27 | 杭州迪普科技股份有限公司 | 一种交换机入端口阻断方法及装置 |
| CN110446207A (zh) * | 2019-08-15 | 2019-11-12 | 重庆知遨科技有限公司 | 一种卷烟生产区非法无线接入定位及阻断方法 |
| CN112839018A (zh) * | 2019-11-25 | 2021-05-25 | 华为技术有限公司 | 一种度数值生成方法以及相关设备 |
| CN111478888A (zh) * | 2020-03-24 | 2020-07-31 | 武汉思普崚技术有限公司 | 一种旁路阻断方法、设备及存储介质 |
| CN113973303A (zh) * | 2021-11-02 | 2022-01-25 | 上海格尔安全科技有限公司 | 基于数据包分析的移动终端设备接入控制网关的实现方法 |
| CN113973303B (zh) * | 2021-11-02 | 2024-04-02 | 上海格尔安全科技有限公司 | 基于数据包分析的移动终端设备接入控制网关的实现方法 |
| CN113890769A (zh) * | 2021-11-30 | 2022-01-04 | 南京开博信达科技有限公司 | 一种tcp阻断方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN105227515A (zh) | 网络入侵阻断方法、装置及系统 | |
| US9979749B2 (en) | Network security elements using endpoint resources | |
| Wang et al. | An untold story of middleboxes in cellular networks | |
| US7076803B2 (en) | Integrated intrusion detection services | |
| US20200053567A1 (en) | Security architecture for machine type communications | |
| US7596097B1 (en) | Methods and apparatus to prevent network mapping | |
| CN105262712A (zh) | 网络入侵检测方法及装置 | |
| US20080301810A1 (en) | Monitoring apparatus and method therefor | |
| Kavisankar et al. | A mitigation model for TCP SYN flooding with IP spoofing | |
| Li et al. | Research on wireless sensor network security | |
| Lei et al. | SecWIR: Securing smart home IoT communications via wi-fi routers with embedded intelligence | |
| Weissman et al. | Integrating IoT monitoring for security operation center | |
| Saeedi | Machine learning for DDOS detection in packet core network for IoT | |
| Wang et al. | Efficient and low‐cost defense against distributed denial‐of‐service attacks in SDN‐based networks | |
| Cabaj et al. | Network threats mitigation using software‐defined networking for the 5G internet of radio light system | |
| Shitharth et al. | A comparative analysis between two countermeasure techniques to detect DDoS with sniffers in a SCADA network | |
| Tippenhauer et al. | Vbump: Securing ethernet-based industrial control system networks with vlan-based traffic aggregation | |
| JP6932375B2 (ja) | 通信装置 | |
| Castilho et al. | Proposed model to implement high-level information security in internet of things | |
| Belenguer et al. | A low-cost embedded IDS to monitor and prevent Man-in-the-Middle attacks on wired LAN environments | |
| Wang et al. | DoS attacks and countermeasures on network devices | |
| Patel et al. | A Snort-based secure edge router for smart home | |
| Ooko et al. | Security issues in IPv6 over Low-power wireless personal area networks (6LoWPAN): a review | |
| Chai et al. | A study of security threat for Internet of Things in smart factory | |
| Pao et al. | Netflow based intrusion detection system |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20160106 |