CN105471912B - 监控网络的安全防御方法和系统 - Google Patents
监控网络的安全防御方法和系统 Download PDFInfo
- Publication number
- CN105471912B CN105471912B CN201511033788.7A CN201511033788A CN105471912B CN 105471912 B CN105471912 B CN 105471912B CN 201511033788 A CN201511033788 A CN 201511033788A CN 105471912 B CN105471912 B CN 105471912B
- Authority
- CN
- China
- Prior art keywords
- address
- target
- monitoring device
- behavior
- network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明涉及一种监控网络的安全防御方法和系统。上述方法包括以下步骤:接收网络访问请求;解析所述网络访问请求,得到目标字段;根据所述目标字段判断所述网络访问请求中携带的目标IP地址是否为监控设备的IP地址;若所述目标IP地址为监控设备的IP地址,则获取与所述目标IP地址相关的访问行为;判断所述访问行为是否存在异常行为,若存在异常行为,则阻断所述异常行为。上述监控网络的安全防御方法和系统,能阻断攻击者对监控设备的异常行为,保护监控网络的安全,对监控网络进行安全防御。
Description
技术领域
本发明涉及网络安全技术,特别是涉及一种监控网络的安全防御方法和系统。
背景技术
监控网络为通过监控设备搭建的网络,例如城市系统中各大公共场所的监控系统、交管部门在各个路口的监控系统等,传统的监控网络存在极大的安全问题,攻击者可以通过一些常规手段,例如搜索引擎搜索出监控设备的信息并进行登录控制监控网络,任意修改监控设备的监控角度或利用监控设备的后台执行恶意命令等。
发明内容
基于此,有必要针对传统的监控网络存在极大的安全问题,提供一种监控网络的安全防御方法。
此外,还有必要针对传统的监控网络存在极大的安全问题,提供一种监控网络的安全防御系统。
一种监控网络的安全防御方法,包括以下步骤:
接收网络访问请求;
解析网络访问请求,得到目标字段;
根据目标字段判断与网络访问请求中携带的目标IP地址是否为监控设备的IP地址;
若目标IP地址为监控设备的IP地址,则获取与该目标IP地址相关的访问行为;
判断访问行为是否存在异常行为,若存在异常行为,则阻断异常行为。
在其中一个实施例中,根据目标字段判断与网络访问请求中携带的目标IP地址是否为监控设备的IP地址的步骤,具体包括:
根据预设的监控设备指纹库检测目标字段是否包含监控设备指纹信息;
若是,则该网络访问请求中携带的目标IP地址为监控设备的IP地址,若否,则该网络访问请求中携带的目标IP地址不是监控设备的IP地址。
在其中一个实施例中,在若目标IP地址为监控设备的IP地址,则获取与该目标IP地址相关的访问行为的步骤之后,还包括:
根据预设的爬虫指纹库检测访问行为中是否包含爬虫指纹信息;
若访问行为中包含爬虫指纹信息,则拦截与爬虫指纹信息相匹配的访问源IP地址对该目标IP地址的访问。
在其中一个实施例中,判断访问行为是否存在异常行为,若存在异常行为,则阻断异常行为的步骤,具体包括:
判断访问行为中是否包含目标IP地址的登录特征,若包含,则表示执行登录操作;
判断执行登录操作的次数在预定时间内是否超过预设阈值,若超过,则阻断执行登录操作的访问源IP地址对该目标IP地址的登录操作;
和/或,
检测访问行为中登录目标IP地址成功的账号是否存在安全试探行为和/或安全攻击行为,若存在,则阻断该账号的安全试探行为和/或安全攻击行为。
在其中一个实施例中,判断访问行为是否存在异常行为,若存在异常行为,则阻断异常行为的步骤,包括:
根据预先编写的安全规则检测访问行为中是否存在安全试探行为和/或安全攻击行为;
若发现安全试探行为和/或安全攻击行为,则阻断安全试探行为和/或安全攻击行为。
一种监控网络的安全防御系统,包括:
接收模块,用于接收网络访问请求;
解析模块,用于解析所述网络访问请求,得到目标字段;
判断模块,用于根据目标字段判断网络访问请求中携带的目标IP地址是否为监控设备的IP地址;
获取模块,用于若目标IP地址为监控设备的IP地址,则获取与该目标IP地址相关的访问行为;
阻断模块,用于判断访问行为是否存在异常行为,若存在异常行为,则阻断异常行为。
在其中一个实施例中,判断模块还用于根据预设的监控设备指纹库中检测目标字段是否包含监控设备指纹信息,若是,则网络访问请求中携带的目标IP地址为监控设备的IP地址,若否,则网络访问请求中携带的目标IP地址不是监控设备的IP地址。
在其中一个实施例中,上述系统还包括:
爬虫模块,用于根据预设的爬虫指纹库检测访问行为中是否包含爬虫指纹信息;
爬虫模块还用于若访问行为中包含爬虫指纹信息,则拦截与爬虫指纹信息相匹配的访问源IP地址对该目标IP地址的访问。
在其中一个实施例中,阻断模块包括:
登录单元,用于判断访问行为中是否包含目标IP地址的登录特征,若包含,则表示执行登录操作;
第一阻断单元,用于判断执行登录操作的次数在预定时间内是否超过预设阈值,若超过,则阻断执行登录操作的访问源IP地址对该目标IP地址的登录操作;
和/或,
登录行为检测单元,用于检测访问行为中登录目标IP地址成功的账号是否存在安全试探行为和/或安全攻击行为,若存在,则阻断该账号的安全试探行为和/或安全攻击行为。
在其中一个实施例中,阻断模块包括:
攻击行为检测单元,用于根据预先编写的安全规则检测访问行为中是否存在安全试探行为和/或安全攻击行为;
第二阻断单元,用于若发现安全试探行为和/或安全攻击行为,则阻断安全试探行为和/或安全攻击行为。
上述监控网络的安全防御方法和系统,通过接收并解析网络访问请求,得到目标字段,并判断与该网络访问请求匹配的目标IP地址是否为监控设备,能够识别网络内的哪些设备为监控设备,并对与监控设备相关的访问行为进行监控,当发生异常行为时,能阻断攻击者对监控设备的异常行为,保护监控网络的安全,对监控网络进行安全防御。
附图说明
图1为一个实施例中监控网络的安全防御方法的流程示意图;
图2为一个实施例中防爬虫的流程示意图;
图3为一个实施例中阻断登录异常的流程示意图;
图4为一个实施例中监控网络的安全防御系统的结构示意图;
图5为另一个实施例中监控网络的安全防御系统的结构示意图;
图6为一个实施例中阻断模块的内部结构示意图;
图7为另一个实施例中阻断模块的内部结构示意图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅用以解释本发明,并不用于限定本发明。
如图1所示,一种监控网络防御方法,包括以下步骤:
步骤S110,接收网络访问请求。
具体的,网络访问请求可为HTTP(HyperText Transfer Protocol,超文本传输协议)请求或HTTPS(Hyper Text Transfer Protocol over Secure Socket Layer,安全网络传输协议)请求等应用层协议请求。
步骤S120,解析网络访问请求,得到目标字段。
具体的,接收网络访问请求后,可对该网络访问请求的应用层协议进行解析得到目标字段,其中,目标字段包含可用于识别与该网络访问请求匹配的目标IP(InternetProtocol,网络之间的协议)地址是否为监控设备的信息。例如,对接收的网络访问请求的HTTP协议进行解析,可得到HTTP的头部字段,再根据得到的HTTP的头部字段判断网络访问请求的目标IP地址是否为监控设备。
步骤S130,根据目标字段判断网络访问请求中携带的目标IP地址是否为监控设备的IP地址,若是,则执行步骤S140,若否,则执行步骤S110。
具体的,得到目标字段后可通过预设方式判断该网络访问请求携带的目标IP地址是否为监控设备的IP地址,预设方式可为目标字段中包含某些特定字段,例如目标字段中包含“camera”字段,即表示该网络访问请求的目标IP地址为监控设备的IP地址。预设方式也可为通过预设的监控设备指纹库进行查找等,但不限于此。
在一个实施例中,步骤S130具体可为根据预设的监控设备指纹库中检测目标字段是否包含监控设备指纹信息,若是,则该网络访问请求中携带的目标IP地址为监控设备的IP地址,若否,则该网络访问请求中携带的目标IP地址不是监控设备的IP地址。
具体的,监控设备指纹信息指的是可对监控设备进行识别的信息,例如监控设备的型号、类别、厂商等信息,均可作为监控设备指纹信息。监控设备指纹库中的监控设备指纹信息可预先进行收集。例如,可先通过特定端口访问网络中的各个摄像头,并根据各个摄像头回复的网络流量提取各个摄像头的指纹信息,提取的各个摄像头的指纹信息即可作为监控设备的指纹信息录入到监控设备指纹库中。也可通过人工方式从摄像头厂商处收集各个版本、型号的摄像头的指纹信息录入到监控设备指纹库中,但不限于此。若目标字段中包含监控设备指纹库中的监控设备指纹信息,则表示该网络访问请求的目标IP地址为监控设备的IP地址。可每隔预设时间进行检测识别哪些目标IP地址为监控设备的IP地址,例如1小时、2小时等时间,并将该目标IP地址标记为监控设备。对监控设备进行识别,有利于对监控网络进行专项防御,加强监控网络的安全。
步骤S140,获取与该目标IP地址相关的访问行为。
具体的,若该目标IP地址为监控设备的IP地址,可对该目标IP地址进行标记,并对标记过的目标IP地址的网络连接进行安全检测,监控所有被标记为监控设备的目标IP地址相关的访问行为。可着重抓取标记过的目标IP地址的网络连接中的数据包,并对数据包进行应用层协议解析得到与标记过的目标IP地址相关的行为信息,并根据行为信息判断访问行为中是否存在异常行为。例如,对数据包的HTTP协议进行解析,HTTP的头部字段或主体部分中经常包含有与目标IP地址相关的行为信息,通过行为信息可以分析源IP地址对目标IP地址执行的操作,例如登录、下载文件、调整监控角度等操作。
步骤S150,判断访问行为是否存在异常行为,若是,则执行步骤S160,若否,则执行步骤S140。
具体的,可检测与目标IP地址相关的访问行为中是否存在访问者在对监控设备进行异常行为,异常行为可包括安全攻击行为、安全试探行为、暴力登录等入侵攻击操作,例如对监控设备的网络页面执行sql注入攻击(数据库攻击)、xss攻击(Cross SiteScripting,跨脚本攻击)、下载数据库文件、上传恶意程序到监控设备等操作,但不限于此。
步骤S160,阻断异常行为。
具体的,当发现存在异常行为时,可阻断正在进行的异常行为,也可直接阻断进行异常行为的访问源IP地址对监控设备的访问。
上述监控网络的安全防御方法,通过接收并解析网络访问请求,得到目标字段,并判断与该网络访问请求匹配的目标IP地址是否为监控设备,能够识别网络内的哪些设备为监控设备,并对与监控设备相关的访问行为进行监控,当发生异常行为时,能阻断攻击者对监控设备的异常行为,保护监控网络的安全,对监控网络进行安全防御。
如图2所示,在一个实施例中,在步骤S140之后,还包括步骤S142和步骤S144。
步骤S142,根据预设的爬虫指纹库检测访问行为中是否包含爬虫指纹信息,若是,则执行步骤S144,若否,则执行步骤S140。
具体的,爬虫指纹库中存储有各类爬虫的指纹信息,爬虫指纹信息指的是通过某些特殊字段即可识别该爬虫,则该特殊字段即为爬虫指纹信息。例如百度爬虫的指纹信息为baidu-spider,谷歌爬虫的指纹信息为google-spider,sqlmap扫描器的指纹信息为sqlmap等。获取了被标记为监控设备的目标IP地址相关的访问行为后,可检测该访问行为中是否包含爬虫指纹信息,例如,可通过检测HTTP头部字段中的user-agent字段中是否包含有baidu-spider字段、google-spider字段或sqlmap字段等爬虫指纹信息来判断该访问行为中是否包含爬虫指纹信息,但不限于此。
步骤S144,拦截与爬虫指纹信息相匹配的访问源IP地址对该目标IP地址的访问。
具体的,若检测到被标记为监控设备的目标IP地址相关的访问行为中包含爬虫指纹信息,则拦截与爬虫指纹信息相匹配的站点或扫描器对应的IP地址对该目标IP地址的访问,例如检测到访问行为中包含google-spider字段,则拦截谷歌网站的IP地址对该目标IP地址的访问,可防止搜索引擎对监控设备的信息进行搜索,保护监控网络不泄露到互联网中,可以使攻击者较难找到监控网络的入口。
上述监控网络的安全防御方法,可识别并捕获爬虫,防止搜索引擎或扫描器等对监控设备的信息进行搜索,保护监控网络不泄露到互联网中,并使攻击者较难找到监控网络的入口,保护监控网络安全。
如图3所示,在一个实施例中,步骤判断访问行为是否存在异常行为,若存在异常行为,则阻断异常行为,具体包括以下步骤:
步骤S302,判断访问行为中是否包含目标IP地址的登录特征,若是,则执行步骤S304,若否,则执行步骤S306。
具体的,登录特征可包括登录路径或登录时具体的字段信息等,其中,登录路径及登录时具体的字段信息均可由管理员通过策略进行配置,也可通过内置的登录数据库获取预先存储的登录特征,例如,登录路径为/path/login.php,登录时具体的字段信息为“user=*,pass=*”等,并检测获取的被标记为监控设备的目标IP地址相关的访问行为中是否包含登录特征,若是,则表示访问者正在对该目标IP地址,即监控设备执行登录操作。也可先解析获取的访问行为得到目标字段并识别目标IP地址对应的监控设备,再获取与该监控设备匹配的预先存储的登录特征,并进行检测判断。
步骤S304,执行登录操作。
具体的,若访问行为中包含监控设备的登录特征,则表示访问者在对该目标IP地址执行登录操作。
步骤S306,不执行登录操作。
步骤S308,判断执行登录操作的次数在预定时间内是否超过预设阈值,若是,则执行步骤S310,若否,则执行步骤S312。
具体的,预定时间及预设阈值均可根据实际情况进行设定,例如可设置在1分钟内执行登录操作的次数超过20次,或是在2分钟内执行登录操作30次等。可记录每一次访问源IP地址对被标记为监控设备的目标IP地址的登录操作,当同一访问源IP地址对同一目标IP地址执行登录操作的次数在预定时间内超过预设阈值,则表示访问者可能在执行暴力登录操作,立即阻断执行登录操作的访问源IP地址对该目标IP地址的登录操作。
步骤S310,阻断执行登录操作的访问源IP地址对该目标IP地址的登录操作。
具体的,当发现存在暴力登录时,可阻断执行登录操作的访问源IP地址对该目标IP地址的登录操作,并对管理员进行告警,提示有访问者正在进行暴力登录。
步骤S312,检测访问行为中登录目标IP地址成功的账号是否存在安全试探行为和/或安全攻击行为,若是,则执行步骤S314,若否,则执行步骤S316。
具体的,当某个账号登录被标记为监控设备的目标IP地址成功后,可监控该账号的行为是否存在安全试探行为和/或安全攻击行为。安全试探行为指的是该账号对监控设备执行一些可能影响到监控网络安全的行为,例如下载包含关键信息的文件,其中,关键信息可为账号、密码等信息,但不限于此,或是下载数据库文件等。安全攻击行为指的是该账号对监控网络直接进行攻击操作,例如sql注入攻击、xss攻击、上传webshell到监控设备、上传恶意程序到监控设备等。
步骤S314,阻断账号的安全试探行为和/或安全攻击行为。
具体的,当发现某个账号存在安全试探行为和/或安全攻击行为,则直接阻断该账号的安全试探行为和/或安全攻击行为,并向管理员进行告警,提示该账号正在实施异常行为,可删除该账号对应的登录信息或重新修改密码等。
步骤S316,不作处理。
上述监控网络的安全防御方法,可对登录操作及账号行为进行监控,当发现暴力登录或是某个账号正在实施全试探行为和/或安全攻击行为时,能即时进行阻断,保护监控网络中的监控设备的账号安全,对监控设备的登录情况进行保护。可以理解的,在其它的实施例中,步骤根据行为信息判断是否发生异常行为,若发生异常行为,则阻断异常行为,可以仅包括上述的步骤S302至步骤S310,或仅包括步骤S312至步骤S316。
在一个实施例中,步骤根据行为信息判断是否发生异常行为,若发生异常行为,则阻断异常行为,还包括以下步骤:
(1)根据预先编写的安全规则检测访问行为中是否存在安全试探行为和/或安全攻击行为。
具体的,可预先编写安全规则对可能存在的安全试探行为和/或安全攻击行为进行防御,例如某个摄像头存在数据库下载的漏洞,则可先编写针对该漏洞的安全规则,即可防御从该摄像头下载数据库文件,还可编写防御网页攻击的安全规则,防御发生sql注入、弱口令、上传webshell到监控设备等网页攻击行为。然后根据预先编写的安全规则检测获取的被标记为监控设备的目标IP地址相关的访问行为中是否有访问者正在对该目标IP地址执行安全试探行为和/或安全攻击行为。例如下载包含关键信息的文件、下载数据库文件、sql注入攻击、xss攻击、上传webshell到监控设备、上传恶意程序到监控设备等,其中,关键信息可为账号、密码等信息,但不限于此。
(2)若发现安全试探行为和/或安全攻击行为,则阻断该安全试探行为和/或安全攻击行为。
具体的,当发现安全试探行为和/或安全攻击行为时,则直接阻断该安全试探行为和/或安全攻击行为,并向管理员进行告警,提示有人正在入侵监控网络。
上述监控网络的安全防御方法,可通过预先编写的安全规则防御各种攻击行为,保护监控网络的安全。
在一个实施例中,上述监控网络的安全防御方法,还包括步骤:对异常行为进行告警。
具体的,当发现爬虫,即发现有搜索引擎或扫描器等对监控设备进行访问,或检测到登录状况异常,例如暴力登录、账号实施安全攻击行为,或是发现有访问者正在实施安全试探行为和/或安全攻击行为等,均可对管理员进行告警,以便管理员即时发现监控网络的安全问题并作出进一步防御,保障监控网络安全。
上述监控网络的安全防御方法,通过接收并解析网络访问请求,得到目标字段,并判断与该网络访问请求匹配的目标IP地址是否为监控设备,能够识别网络内的哪些设备为监控设备,并对与监控设备相关的访问行为进行监控,当发生异常行为时,能阻断攻击者对监控设备的异常行为,保护监控网络的安全,对监控网络进行安全防御。
如图4所示,一种监控网络的安全防御系统,包括接收模块410、解析模块420、判断模块430、获取模块440和阻断模块450。
接收模块410,用于接收网络访问请求。
具体的,网络访问请求可为HTTP请求或HTTPS请求等应用层协议请求。
解析模块420,用于解析网络访问请求,得到目标字段。
具体的,接收网络访问请求后,可对该网络访问请求的应用层协议进行解析得到目标字段,其中,目标字段包含可用于识别与该网络访问请求匹配的目标IP地址是否为监控设备的信息。例如,对接收的网络访问请求的HTTP协议进行解析,可得到HTTP的头部字段,再根据得到的HTTP的头部字段判断该网络访问请求的目标IP地址是否为监控设备。
判断模块430,用于根据目标字段判断网络访问请求中携带的目标IP地址是否为监控设备的IP地址。
具体的,得到目标字段后可通过预设方式判断该网络访问请求携带的目标IP地址是否为监控设备的IP地址,预设方式可为目标字段中包含某些特定字段,例如目标字段中包含“camera”字段,即表示该网络访问请求的目标IP地址为监控设备的IP地址。预设方式也可为通过预设的监控设备指纹库进行查找等,但不限于此。
在一个实施例中,判断模块430还用于根据预设的监控设备指纹库检测目标字段是否包含监控设备指纹信息,若是,则该网络访问请求中携带的目标IP地址为监控设备的IP地址,若否,则该网络访问请求中携带的目标IP地址不是监控设备的IP地址。
具体的,监控设备指纹信息指的是可对监控设备进行识别的信息,例如监控设备的型号、类别、厂商等信息,均可作为监控设备指纹信息。监控设备指纹库中的监控设备指纹信息可预先进行收集。例如,可先通过特定端口访问网络中的各个摄像头,并根据各个摄像头回复的网络流量提取各个摄像头的指纹信息,提取的各个摄像头的指纹信息即可作为监控设备的指纹信息录入到监控设备指纹库中。也可通过人工方式从摄像头厂商处收集各个版本、型号的摄像头的指纹信息录入到监控设备指纹库中,但不限于此。若目标字段中包含监控设备指纹库中的监控设备指纹信息,则表示该网络访问请求的目标IP地址为监控设备的IP地址。可每隔预设时间进行检测识别哪些目标IP地址为监控设备的IP地址,例如1小时、2小时等时间,并将该目标IP地址标记为监控设备。对监控设备进行识别,有利于对监控网络进行专项防御,加强监控网络的安全。
获取模块440,用于若目标IP地址为监控设备的IP地址,则获取与该目标IP地址相关的访问行为。
具体的,若该目标IP地址为监控设备的IP地址,可对该目标IP地址进行标记,并对标记过的目标IP地址的网络连接进行安全检测,监控所有被标记为监控设备的目标IP地址相关的访问行为。可着重抓取标记过的目标IP地址的网络连接中的数据包,并对数据包进行应用层协议解析得到与标记过的目标IP地址相关的行为信息,并根据行为信息判断访问行为中是否存在异常行为。例如,对数据包的HTTP协议进行解析,HTTP的头部字段或主体部分中经常包含有与目标IP地址相关的行为信息,通过行为信息可以分析源IP地址对目标IP地址执行的操作,例如登录、下载文件、调整监控角度等操作对应的信息。
阻断模块450,用于判断访问行为是否存在异常行为,若存在异常行为,则阻断异常行为。
具体的,可检测与目标IP地址相关的访问行为中是否存在访问者在对监控设备进行异常行为,异常行为可包括安全攻击行为、安全试探行为、暴力登录等入侵攻击操作,例如对监控设备的网络页面执行sql注入攻击、xss攻击、下载数据库文件、上传恶意程序到监控设备等操作,但不限于此。当发现存在异常行为时,可阻断正在进行的异常行为,也可直接阻断进行异常行为的访问源IP地址对监控设备的访问。
上述监控网络的安全防御系统,通过接收并解析网络访问请求,得到目标字段,并判断与该网络访问请求匹配的目标IP地址是否为监控设备,能够识别网络内的哪些设备为监控设备,并对与监控设备相关的访问行为进行监控,当发生异常行为时,能阻断攻击者对监控设备的异常行为,保护监控网络的安全,对监控网络进行安全防御。
如图5所示,在一个实施例中,上述监控网络的安全防御系统,除了包括接收模块410、解析模块420、判断模块430、获取模块440和阻断模块450,还包括爬虫模块460。
爬虫模块440,用于根据预设的爬虫指纹库检测访问行为中是否包含爬虫指纹信息。
具体的,爬虫指纹库中存储有各类爬虫的指纹信息,爬虫指纹信息指的是通过某些特殊字段即可识别该爬虫,则该特殊字段即为爬虫指纹信息。例如百度爬虫的指纹信息为baidu-spider,谷歌爬虫的指纹信息为google-spider,sqlmap扫描器的指纹信息为sqlmap等。获取了被标记为监控设备的目标IP地址相关的访问行为后,可检测该访问行为中是否包含爬虫指纹信息,例如,可通过检测HTTP头部字段中的user-agent字段中是否包含有baidu-spider字段、google-spider字段或sqlmap字段等爬虫指纹信息来判断该访问行为中是否包含爬虫指纹信息,但不限于此。
爬虫模块440还用于若访问行为中包含爬虫指纹信息,则拦截与爬虫指纹信息相匹配的访问源IP地址对该目标IP地址的访问。
具体的,若检测到被标记为监控设备的目标IP地址相关的访问行为中包含爬虫指纹信息,则拦截与爬虫指纹信息相匹配的站点或扫描器对应的IP地址对该目标IP地址的访问,例如检测到访问行为中包含google-spider字段,则拦截谷歌网站的IP地址对该目标IP地址的访问,可防止搜索引擎对监控设备的信息进行搜索,保护监控网络不泄露到互联网中,可以使攻击者较难找到监控网络的入口。
上述监控网络的安全防御系统,可识别并捕获爬虫,防止搜索引擎或扫描器等对监控设备的信息进行搜索,保护监控网络不泄露到互联网中,并使攻击者较难找到监控网络的入口,保护监控网络安全。
如图6所示,在一个实施例中,阻断模块450包括登录单元451、第一阻断单元453和登录行为检测单元455。
登录单元451,用于判断访问行为中是否包含目标IP地址的登录特征,若包含,则表示执行登录操作。
具体的,登录特征可包括登录路径或登录时具体的字段信息等,其中,登录路径及登录时具体的字段信息均可由管理员通过策略进行配置,也可通过内置的登录数据库获取预先存储的登录特征,例如,登录路径为/path/login.php,登录时具体的字段信息为“user=*,pass=*”等,并检测获取的被标记为监控设备的目标IP地址相关的访问行为中是否包含登录特征,若是,则表示访问者正在对该目标IP地址,即监控设备执行登录操作。也可先解析获取的访问行为得到目标字段并识别目标IP地址对应的监控设备,再获取与该监控设备匹配的预先存储的登录特征,并进行检测判断。若访问行为中包含监控设备的登录特征,则表示访问者在对该目标IP地址执行登录操作。
第一阻断单元453,用于判断执行登录操作的次数在预定时间内是否超过预设阈值,若超过,则阻断执行登录操作的访问源IP地址对该目标IP地址的登录操作。
具体的,预定时间及预设阈值均可根据实际情况进行设定,例如可设置在1分钟内执行登录操作的次数超过20次,或是在2分钟内执行登录操作30次等。可记录每一次访问源IP地址对被标记为监控设备的目标IP地址的登录操作,当同一访问源IP地址对同一目标IP地址执行登录操作的次数在预定时间内超过预设阈值,则表示访问者可能在执行暴力登录操作,立即阻断执行登录操作的访问源IP地址对该目标IP地址的登录操作。当发现存在暴力登录时,可阻断执行登录操作的访问源IP地址对该目标IP地址的登录操作,并对管理员进行告警,提示有访问者正在进行暴力登录。
登录行为检测单元455,用于检测访问行为中登录目标IP地址成功的账号是否存在安全试探行为和/或安全攻击行为,若存在,则阻断该账号的安全试探行为和/或安全攻击行为。
具体的,当某个账号登录被标记为监控设备的目标IP地址成功后,可监控该账号的行为是否存在安全试探行为和/或安全攻击行为。安全试探行为指的是该账号对监控设备执行一些可能影响到监控网络安全的行为,例如下载包含关键信息的文件,其中,关键信息可为账号、密码等信息,但不限于此,或是下载数据库文件等。安全攻击行为指的是该账号对监控网络直接进行攻击操作,例如sql注入攻击、xss攻击、上传webshell到监控设备、上传恶意程序到监控设备等。当发现某个账号存在安全试探行为和/或安全攻击行为,则直接阻断该账号的安全试探行为和/或安全攻击行为,并向管理员进行告警,提示该账号正在实施异常行为,可删除该账号对应的登录信息或重新修改密码等。可以理解地,在其它的实施例中,阻断模块450可仅包括登录单元451和第一阻断单元453,或仅包括登录行为检测单元455。
上述监控网络的安全防御系统,可对登录操作及账号行为进行监控,当发现暴力登录或是某个账号正在实施全试探行为和/或安全攻击行为时,能即时进行阻断,保护监控网络中的监控设备的账号安全,对监控设备的登录情况进行保护。
如图7所示,在另一个实施例中,阻断模块450除了包括登录单元451、第一阻断单元453和登录行为检测单元455,还包括攻击行为检测单元457和第二阻断单元459。
攻击行为检测单元457,用于根据预先编写的安全规则检测访问行为中是否存在安全试探行为和/或安全攻击行为。
具体的,可预先编写安全规则对可能存在的安全试探行为和/或安全攻击行为进行防御,例如某个摄像头存在数据库下载的漏洞,则可先编写针对该漏洞的安全规则,即可防御从该摄像头下载数据库文件,还可编写防御网页攻击的安全规则,防御发生sql注入、弱口令、上传webshell到监控设备等网页攻击行为。然后根据预先编写的安全规则检测获取的被标记为监控设备的目标IP地址相关的访问行为中是否有访问者正在对该目标IP地址执行安全试探行为和/或安全攻击行为。例如下载包含关键信息的文件、下载数据库文件、sql注入攻击、xss攻击、上传webshell到监控设备、上传恶意程序到监控设备等,其中,关键信息可为账号、密码等信息,但不限于此。
第二阻断单元457,用于若发现安全试探行为和/或安全攻击行为,则阻断该安全试探行为和/或安全攻击行为。
具体的,当发现安全试探行为和/或安全攻击行为时,则直接阻断该安全试探行为和/或安全攻击行为,并向管理员进行告警,提示有人正在入侵监控网络。
上述监控网络的安全防御系统,可通过预先编写的安全规则防御各种攻击行为,保护监控网络的安全。
在一个实施例中,上述监控网络的安全防御系统,还包括告警模块,用于对异常行为进行告警。
具体的,当发现爬虫,即发现有搜索引擎或扫描器等对监控设备进行访问,或检测到登录状况异常,例如暴力登录、账号实施安全攻击行为,或是发现有访问者正在实施安全试探行为和/或安全攻击行为等,均可对管理员进行告警,以便管理员即时发现监控网络的安全问题并作出进一步防御,保障监控网络安全。
上述监控网络的安全防御系统,通过收并解析网络访问请求,得到目标字段,并判断与该网络访问请求匹配的目标IP地址是否为监控设备,能够识别网络内的哪些设备为监控设备,并对与监控设备相关的访问行为进行监控,当发生异常行为时,能阻断攻击者对监控设备的异常行为,保护监控网络的安全,对监控网络进行安全防御。
以上所述实施例的各技术特征可以进行任意的组合,为使描述简洁,未对上述实施例中的各个技术特征所有可能的组合都进行描述,然而,只要这些技术特征的组合不存在矛盾,都应当认为是本说明书记载的范围。
以上所述实施例仅表达了本发明的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本发明构思的前提下,还可以做出若干变形和改进,这些都属于本发明的保护范围。因此,本发明专利的保护范围应以所附权利要求为准。
Claims (10)
1.一种监控网络的安全防御方法,其特征在于,包括以下步骤:
接收网络访问请求;
解析所述网络访问请求,得到目标字段;
根据所述目标字段判断所述网络访问请求中携带的目标IP地址是否为监控设备的IP地址;
若所述目标IP地址为监控设备的IP地址,则获取与所述目标IP地址相关的访问行为;
判断所述访问行为是否存在异常行为,若存在异常行为,则阻断所述异常行为。
2.根据权利要求1所述的监控网络的安全防御方法,其特征在于,所述根据所述目标字段判断所述网络访问请求中携带的目标IP地址是否为监控设备的IP地址的步骤,具体包括:
根据预设的监控设备指纹库检测所述目标字段是否包含监控设备指纹信息,所述监控设备指纹信息为对所述监控设备进行识别的信息;
若是,则所述网络访问请求中携带的目标IP地址为监控设备的IP地址,若否,则所述网络访问请求中携带的目标IP地址不是监控设备IP地址。
3.根据权利要求1所述的监控网络的安全防御方法,其特征在于,在所述若所述目标IP地址为监控设备的IP地址,则获取与所述目标IP地址相关的访问行为的步骤之后,还包括:
根据预设的爬虫指纹库检测所述访问行为中是否包含爬虫指纹信息,所述爬虫指纹信息为识别所述爬虫的字段;
若所述访问行为中包含爬虫指纹信息,则拦截与所述爬虫指纹信息相匹配的访问源IP地址对所述目标IP地址的访问。
4.根据权利要求1所述的监控网络的安全防御方法,其特征在于,所述判断所述访问行为是否存在异常行为,若存在异常行为,则阻断所述异常行为的步骤,具体包括:
判断所述访问行为中是否包含所述目标IP地址的登录特征,若包含,则表示执行登录操作;
判断执行所述登录操作的次数在预定时间内是否超过预设阈值,若超过,则阻断执行所述登录操作的访问源IP地址对所述目标IP地址的登录操作;
和/或,
检测所述访问行为中登录所述目标IP地址成功的账号是否存在安全试探行为和/或安全攻击行为,若存在,则阻断所述账号的安全试探行为和/或安全攻击行为。
5.根据权利要求1所述的监控网络的安全防御方法,其特征在于,所述判断所述访问行为是否存在异常行为,若存在异常行为,则阻断所述异常行为的步骤,包括:
根据预先编写的安全规则检测所述访问行为中是否存在安全试探行为和/或安全攻击行为;
若发现所述安全试探行为和/或安全攻击行为,则阻断所述安全试探行为和/或安全攻击行为。
6.一种监控网络的安全防御系统,其特征在于,包括:
接收模块,用于接收网络访问请求;
解析模块,用于解析所述网络访问请求,得到目标字段;
判断模块,用于根据所述目标字段判断所述网络访问请求中携带的目标IP地址是否为监控设备的IP地址;
获取模块,用于若所述目标IP地址为监控设备的IP地址,则获取与所述目标IP地址相关的访问行为;
阻断模块,用于判断所述访问行为是否存在异常行为,若存在异常行为,则阻断所述异常行为。
7.根据权利要求6所述的监控网络的安全防御系统,其特征在于,所述判断模块还用于根据预设的监控设备指纹库检测所述目标字段是否包含监控设备指纹信息,所述监控设备指纹信息为对所述监控设备进行识别的信息,若是,则所述网络访问请求中携带的目标IP地址为监控设备的IP地址,若否,则所述网络访问请求中携带的目标IP地址不是监控设备的IP地址。
8.根据权利要求6所述的监控网络的安全防御系统,其特征在于,所述系统还包括:
爬虫模块,用于根据预设的爬虫指纹库检测所述访问行为中是否包含爬虫指纹信息,所述爬虫指纹信息为识别所述爬虫的字段;
所述爬虫模块还用于若所述访问行为中包含爬虫指纹信息,则拦截与所述爬虫指纹信息相匹配的访问源IP地址对所述目标IP地址的访问。
9.根据权利要求6所述的监控网络的安全防御系统,其特征在于,所述阻断模块包括:
登录单元,用于判断所述访问行为中是否包含所述目标IP地址的登录特征,若包含,则表示执行登录操作;
第一阻断单元,用于判断执行所述登录操作的次数在预定时间内是否超过预设阈值,若超过,则阻断执行所述登录操作的访问源IP地址对所述目标IP地址的登录操作;
和/或,
登录行为检测单元,用于检测所述访问行为中登录所述目标IP地址成功的账号是否存在安全试探行为和/或安全攻击行为,若存在,则阻断所述账号的安全试探行为和/或安全攻击行为。
10.根据权利要求6所述的监控网络的安全防御系统,其特征在于,所述阻断模块包括:
攻击行为检测单元,用于根据预先编写的安全规则检测所述访问行为中是否存在安全试探行为和/或安全攻击行为;
第二阻断单元,用于若发现所述安全试探行为和/或安全攻击行为,则阻断所述安全试探行为和/或安全攻击行为。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201511033788.7A CN105471912B (zh) | 2015-12-31 | 2015-12-31 | 监控网络的安全防御方法和系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201511033788.7A CN105471912B (zh) | 2015-12-31 | 2015-12-31 | 监控网络的安全防御方法和系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN105471912A CN105471912A (zh) | 2016-04-06 |
| CN105471912B true CN105471912B (zh) | 2019-01-22 |
Family
ID=55609182
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201511033788.7A Active CN105471912B (zh) | 2015-12-31 | 2015-12-31 | 监控网络的安全防御方法和系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN105471912B (zh) |
Families Citing this family (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108289084B (zh) * | 2017-01-10 | 2021-11-30 | 阿里巴巴集团控股有限公司 | 访问流量的阻断方法和装置及非暂态计算机可读存储介质 |
| CN107302527B (zh) * | 2017-06-09 | 2020-09-25 | 奇安信科技集团股份有限公司 | 一种设备异常检测方法及装置 |
| CN107360148A (zh) * | 2017-07-05 | 2017-11-17 | 深圳市卓讯信息技术有限公司 | 基于实时监测网络安全的内核设计方法及其系统 |
| CN107948199B (zh) * | 2017-12-27 | 2021-05-25 | 北京奇安信科技有限公司 | 一种对终端共享接入进行快速检测的方法及装置 |
| CN108304574B (zh) * | 2018-02-26 | 2019-03-26 | 阜阳市科技型中小企业生产力促进中心有限公司 | 一种远程监控计算机内目标文档的方法 |
| CN108924131A (zh) * | 2018-07-02 | 2018-11-30 | 杭州安恒信息技术股份有限公司 | 一种摄像头物联网拟态防护方法以及装置 |
| CN109768973A (zh) * | 2018-12-28 | 2019-05-17 | 易票联支付有限公司 | 一种安全公告的发布监控方法、系统及装置 |
| CN110825599A (zh) * | 2019-10-24 | 2020-02-21 | 长城计算机软件与系统有限公司 | 信息管理系统监控方法、装置、介质、电子设备和系统 |
| CN110830470B (zh) * | 2019-11-06 | 2022-02-01 | 杭州安恒信息安全技术有限公司 | 一种失陷主机检测方法、装置、设备及可读存储介质 |
| CN110636086B (zh) * | 2019-11-13 | 2023-12-26 | 国家电网有限公司 | 网络防护测试方法及装置 |
| CN111212070B (zh) * | 2019-12-31 | 2022-03-08 | 奇安信科技集团股份有限公司 | 风险监控方法、装置、计算设备以及介质 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103929482A (zh) * | 2014-04-15 | 2014-07-16 | 浙江宇视科技有限公司 | 一种安全地访问监控前端设备的方法和装置 |
| CN104202336A (zh) * | 2014-09-22 | 2014-12-10 | 浪潮电子信息产业股份有限公司 | 一种基于信息熵的DDoS攻击检测方法 |
| CN105024999A (zh) * | 2015-06-02 | 2015-11-04 | 江苏恒信和安电子科技有限公司 | 一种ip视频监控网络安全接入方法 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20100199345A1 (en) * | 2009-02-04 | 2010-08-05 | Breach Security, Inc. | Method and System for Providing Remote Protection of Web Servers |
-
2015
- 2015-12-31 CN CN201511033788.7A patent/CN105471912B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103929482A (zh) * | 2014-04-15 | 2014-07-16 | 浙江宇视科技有限公司 | 一种安全地访问监控前端设备的方法和装置 |
| CN104202336A (zh) * | 2014-09-22 | 2014-12-10 | 浪潮电子信息产业股份有限公司 | 一种基于信息熵的DDoS攻击检测方法 |
| CN105024999A (zh) * | 2015-06-02 | 2015-11-04 | 江苏恒信和安电子科技有限公司 | 一种ip视频监控网络安全接入方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN105471912A (zh) | 2016-04-06 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN105471912B (zh) | 监控网络的安全防御方法和系统 | |
| CN107370755B (zh) | 一种多维度深层次检测apt攻击的方法 | |
| US8819825B2 (en) | Systems, methods, and media for generating bait information for trap-based defenses | |
| Elia et al. | Comparing SQL injection detection tools using attack injection: An experimental study | |
| CN106982188B (zh) | 恶意传播源的检测方法及装置 | |
| Ajmal et al. | Last line of defense: Reliability through inducing cyber threat hunting with deception in scada networks | |
| CN111800405A (zh) | 检测方法及检测设备、存储介质 | |
| CN113746781A (zh) | 一种网络安全检测方法、装置、设备及可读存储介质 | |
| Yamada et al. | RAT-based malicious activities detection on enterprise internal networks | |
| Gupta et al. | Cross site scripting (XSS) attack detection using intrustion detection system | |
| US11916953B2 (en) | Method and mechanism for detection of pass-the-hash attacks | |
| Djanali et al. | SQL injection detection and prevention system with raspberry Pi honeypot cluster for trapping attacker | |
| Jeremiah | Intrusion detection system to enhance network security using raspberry pi honeypot in kali linux | |
| Borys et al. | An evaluation of IoT DDoS cryptojacking malware and Mirai Botnet | |
| CN108268774B (zh) | 攻击请求的判定方法和装置 | |
| Riadi et al. | Vulnerability of injection attacks against the application security of framework based websites open web access security project (OWASP) | |
| CN116318783B (zh) | 基于安全指标的网络工控设备安全监测方法及装置 | |
| Singh et al. | Scalable Approach Towards Discovery of Unknown Vulnerabilities. | |
| CN112491817A (zh) | 一种基于蜜罐技术的溯源方法、装置及蜜罐设备 | |
| Gol et al. | Detection of web appication vulnerability based on RUP model | |
| Kaur et al. | Automatic evaluation and signature generation technique for thwarting zero-day attacks | |
| CN107294994B (zh) | 一种基于云平台的csrf防护方法和系统 | |
| ES2965391T3 (es) | Método de monitorización y protección de acceso a un servicio en línea | |
| CN114024740A (zh) | 一种基于密签诱饵的威胁诱捕方法 | |
| Warmer | Detection of web based command & control channels |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB02 | Change of applicant information | ||
| CB02 | Change of applicant information |
Address after: 518000 the first floor of A1 building, Nanshan Zhiyuan 1001, Nanshan District Xue Yuan Avenue, Shenzhen, Guangdong. Applicant after: SINFOR Polytron Technologies Inc Address before: 518000 the first floor of A1 building, Nanshan Zhiyuan 1001, Nanshan District Xue Yuan Avenue, Shenzhen, Guangdong. Applicant before: Shenxinfu Electronics Science and Technology Co., Ltd., Shenzhen |
|
| GR01 | Patent grant | ||
| GR01 | Patent grant |