CN105516073A - 网络入侵防御方法 - Google Patents
网络入侵防御方法 Download PDFInfo
- Publication number
- CN105516073A CN105516073A CN201410555693.0A CN201410555693A CN105516073A CN 105516073 A CN105516073 A CN 105516073A CN 201410555693 A CN201410555693 A CN 201410555693A CN 105516073 A CN105516073 A CN 105516073A
- Authority
- CN
- China
- Prior art keywords
- data bag
- suspicious data
- intrusion prevention
- prevention method
- attack
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明提出了网络入侵防御方法,所述方法包括:拦截从外部发送至目标服务器以及从该目标服务器发送至外部的所有数据包;基于攻击方式签名库解析并甄别所拦截的数据包中未标记的每个数据包,如果数据包具有明显的攻击特征,则将其标记为恶意数据包,如果数据包具有规避甄别的特征,则将其标记为可疑数据包,如果数据包具有正常的特征,则将其标记为正常数据包;仅将正常数据包转发到所述目标服务器或外部,并且将所有恶意数据包直接阻断以及将所有可疑数据包转发到可疑数据包处理服务器。本发明所公开的网络入侵防御方法具有更高的安全性。
Description
技术领域
本发明涉及网络入侵防御方法,更具体地,涉及基于反向识别的网络入侵防御方法。
背景技术
目前,随着计算机和网络应用的日益广泛以及不同领域的业务种类的日益丰富,用于防止网络入侵的方法变得越来越重要。
在现有的技术方案中,通常采用在服务器上部署入侵防御系统或防护墙来阻挡和隔离来自外部的攻击。
然而,现有的技术方案存在如下问题:(1)针对有组织、有特定目标、持续时间极长的攻击和威胁或者针对未公开的漏洞的攻击,现有的入侵防御方法难于预防和阻挡,因为上述攻击手段不具有明显的攻击特征而难于识别;(2)由于攻击方常常通过代理隐藏攻击来源的地址,故常规的基于TCP/IP堆栈指纹以及IP地址的甄别方法难于识别攻击来源;(3)由于常规的入侵防御系统或防护墙基于供应商定期提供的签名库来更新和涵盖可防御的攻击方式,故难于预防和阻挡仅针对特定应用中的业务逻辑的攻击。
因此,存在如下需求:提供能够有效防止有组织、有特定目标、持续时间极长的攻击和威胁或者针对未公开的漏洞的攻击的网络入侵防御方法。
发明内容
为了解决上述现有技术方案所存在的问题,本发明提出了能够有效防止有组织、有特定目标、持续时间极长的攻击和威胁或者针对未公开的漏洞的攻击的网络入侵防御方法。
本发明的目的是通过以下技术方案实现的:
一种网络入侵防御方法,所述网络入侵防御方法包括下列步骤:
(A1)拦截从外部发送至目标服务器以及从该目标服务器发送至外部的所有数据包;
(A2)基于攻击方式签名库解析并甄别所拦截的数据包中未标记的每个数据包,如果数据包具有明显的攻击特征,则将其标记为恶意数据包,如果数据包具有规避甄别的特征,则将其标记为可疑数据包,如果数据包具有正常的特征,则将其标记为正常数据包;
(A3)仅将正常数据包转发到所述目标服务器或外部,并且将所有恶意数据包直接阻断以及将所有可疑数据包转发到可疑数据包处理服务器,以防止潜在的攻击。
在上面所公开的方案中,优选地,通过动态改写路由表的方式将所有可疑数据包转发到所述可疑数据包处理服务器。
在上面所公开的方案中,优选地,所述步骤(A3)进一步包括:所述动态路由表在超过预定的时间阈值后失效。
在上面所公开的方案中,优选地,所述可疑数据包处理服务器具有与所述目标服务器相同的web应用环境,并且能够基于管理者指令创建一个或多个影子服务器。
在上面所公开的方案中,优选地,所述可疑数据包处理服务器执行如下过程:(1)监听指定网段的地址解析(ARP)请求;(2)如果发现存在地址解析(ARP)请求,则生成并发起相同的地址解析(ARP)请求;(3)确定是否存在对应的地址解析(ARP)响应,如果存在对应的地址解析(ARP)响应则返回步骤(1),如果不存在对应的地址解析(ARP)响应则进入步骤(4);(4)伪造MAC地址并响应该地址解析(ARP)请求,随之判断该地址解析(ARP)请求所关联的服务请求是否指向所述可疑数据包处理服务器的应用端口,并且如果指向所述可疑数据包处理服务器的应用端口,则将其重定向到相应的影子服务器,而如果不指向所述可疑数据包处理服务器的应用端口,则响应该服务请求并建立相关联的会话以便随后接管与该会话相关的后续服务请求。
在上面所公开的方案中,优选地,所述可疑数据包处理服务器能够进一步执行如下反向识别过程:(1)在接收到可疑数据包后通过响应的方式警告发出该可疑数据包的访问者立刻终止恶意访问行为;(2)如果该访问者接受警告,则对其后续行为进行观察,并且如果在预定的时间阈值内没有发现进一步的恶意访问行为,则终止本次反向识别过程,而如果在预定的时间阈值内发现仍然存在进一步的恶意访问行为,则进入步骤(3),如果该访问者不接受警告,则直接进入步骤(3);(3)通过建立会话的方式向所述可疑数据包的来源主机注入反向识别脚本;(4)向能够唯一识别该会话的域名发起HTTP请求以便从该域的授权DNS服务器获取该恶意访问者的主机的DNS地址;(5)通过所述反向识别脚本获取该恶意访问者的主机的其他特性信息并记录在特定的数据库中共系统管理者后续查阅和使用。
在上面所公开的方案中,优选地,所述可疑数据包处理服务器能够基于所接收到的可疑数据包收集潜在的攻击行为信息,并将所收集的潜在的攻击行为信息发送到行为分析和签名库更新服务器。
在上面所公开的方案中,优选地,所述行为分析和签名库更新服务器更够基于预定规则和算法分析所述潜在的攻击行为信息以提取出新类型的攻击特征,并在所述新类型的攻击特征经过人工审核后更新所述攻击方式签名库以使其包含经过审核的新类型的攻击特征。
本发明所公开的网络入侵防御方法具有以下优点:(1)能够识别和阻挡有组织、有特定目标、持续时间极长的攻击和威胁或者针对未公开的漏洞的攻击;(2)能够反向识别攻击者的来源主机;(3)能够通过自学习的方式持续和及时的更新攻击方式签名库。
附图说明
结合附图,本发明的技术特征以及优点将会被本领域技术人员更好地理解,其中:
图1是根据本发明的实施例的网络入侵防御方法的流程图。
具体实施方式
图1是根据本发明的实施例的网络入侵防御方法的流程图。如图1所示,本发明所公开的网络入侵防御方法包括下列步骤:(A1)拦截从外部发送至目标服务器以及从该目标服务器发送至外部的所有数据包;(A2)基于攻击方式签名库解析并甄别所拦截的数据包中未标记的每个数据包(即将所拦截的数据包的特征与攻击方式签名库中所记录的已知攻击特征相比较,所述已知的攻击特征例如包括数据包碎片攻击特征、编码混淆特征等等),如果数据包具有明显的攻击特征,则将其标记为恶意数据包,如果数据包具有规避甄别的特征,则将其标记为可疑数据包,如果数据包具有正常的特征,则将其标记为正常数据包;(A3)仅将正常数据包转发到所述目标服务器或外部,并且将所有恶意数据包直接阻断以及将所有可疑数据包转发到可疑数据包处理服务器,以防止潜在的攻击。
优选地,在本发明所公开的网络入侵防御方法中,通过动态改写路由表的方式将所有可疑数据包转发到所述可疑数据包处理服务器。
优选地,在本发明所公开的网络入侵防御方法中,所述步骤(A3)进一步包括:所述动态路由表在超过预定的时间阈值后失效。
优选地,在本发明所公开的网络入侵防御方法中,所述可疑数据包处理服务器(所谓的蜜罐服务器)具有与所述目标服务器相同的web应用环境,并且能够基于管理者指令创建一个或多个影子服务器(其是可疑数据包处理服务器的影子)。
优选地,在本发明所公开的网络入侵防御方法中,所述可疑数据包处理服务器执行如下过程:(1)监听指定网段的地址解析(ARP)请求;(2)如果发现存在地址解析(ARP)请求,则生成并发起相同的地址解析(ARP)请求;(3)确定是否存在对应的地址解析(ARP)响应,如果存在对应的地址解析(ARP)响应则返回步骤(1),如果不存在对应的地址解析(ARP)响应则进入步骤(4);(4)伪造MAC地址并响应该地址解析(ARP)请求,随之判断该地址解析(ARP)请求所关联的服务请求是否指向所述可疑数据包处理服务器的应用端口,并且如果指向所述可疑数据包处理服务器的应用端口,则将其重定向到相应的影子服务器,而如果不指向所述可疑数据包处理服务器的应用端口,则响应该服务请求并建立相关联的会话以便随后接管与该会话相关的后续服务请求。
优选地,在本发明所公开的网络入侵防御方法中,所述可疑数据包处理服务器能够进一步执行如下反向识别过程:(1)在接收到可疑数据包后通过响应的方式警告发出该可疑数据包的访问者立刻终止恶意访问行为;(2)如果该访问者接受警告,则对其后续行为进行观察,并且如果在预定的时间阈值(例如30分钟)内没有发现进一步的恶意访问行为,则终止本次反向识别过程,而如果在预定的时间阈值内发现仍然存在进一步的恶意访问行为,则进入步骤(3),如果该访问者不接受警告,则直接进入步骤(3);(3)通过建立会话的方式向所述可疑数据包的来源主机注入反向识别脚本;(4)向能够唯一识别该会话的域名发起HTTP请求以便从该域的授权DNS服务器获取该恶意访问者的主机的DNS地址;(5)通过所述反向识别脚本获取该恶意访问者的主机的其他特性信息(例如攻击者的内部来源地址、浏览器参数、操作系统环境参数等等)并记录在特定的数据库中共系统管理者后续查阅和使用。
优选地,在本发明所公开的网络入侵防御方法中,所述可疑数据包处理服务器能够基于所接收到的可疑数据包收集潜在的攻击行为信息,并将所收集的潜在的攻击行为信息发送到行为分析和签名库更新服务器。
优选地,在本发明所公开的网络入侵防御方法中,所述行为分析和签名库更新服务器更够基于预定规则和算法(例如统计规则以及基于隐马尔科夫模型的机器学习和比对算法)分析所述潜在的攻击行为信息以提取出新类型的攻击特征,并在所述新类型的攻击特征经过人工审核后更新所述攻击方式签名库以使其包含经过审核的新类型的攻击特征。
由上可见,本发明所公开的网络入侵防御方法具有下列优点:(1)能够识别和阻挡有组织、有特定目标、持续时间极长的攻击和威胁或者针对未公开的漏洞的攻击;(2)能够反向识别攻击者的来源主机;(3)能够通过自学习的方式持续和及时的更新攻击方式签名库。
尽管本发明是通过上述的优选实施方式进行描述的,但是其实现形式并不局限于上述的实施方式。应该认识到:在不脱离本发明主旨和范围的情况下,本领域技术人员可以对本发明做出不同的变化和修改。
Claims (8)
1.一种网络入侵防御方法,所述网络入侵防御方法包括下列步骤:
(A1)拦截从外部发送至目标服务器以及从该目标服务器发送至外部的所有数据包;
(A2)基于攻击方式签名库解析并甄别所拦截的数据包中未标记的每个数据包,如果数据包具有明显的攻击特征,则将其标记为恶意数据包,如果数据包具有规避甄别的特征,则将其标记为可疑数据包,如果数据包具有正常的特征,则将其标记为正常数据包;
(A3)仅将正常数据包转发到所述目标服务器或外部,并且将所有恶意数据包直接阻断以及将所有可疑数据包转发到可疑数据包处理服务器,以防止潜在的攻击。
2.根据权利要求1所述的网络入侵防御方法,其特征在于,通过动态改写路由表的方式将所有可疑数据包转发到所述可疑数据包处理服务器。
3.根据权利要求2所述的网络入侵防御方法,其特征在于,所述步骤(A3)进一步包括:所述动态路由表在超过预定的时间阈值后失效。
4.根据权利要求3所述的网络入侵防御方法,其特征在于,所述可疑数据包处理服务器具有与所述目标服务器相同的web应用环境,并且能够基于管理者指令创建一个或多个影子服务器。
5.根据权利要求4所述的网络入侵防御方法,其特征在于,所述可疑数据包处理服务器执行如下过程:(1)监听指定网段的地址解析(ARP)请求;(2)如果发现存在地址解析(ARP)请求,则生成并发起相同的地址解析(ARP)请求;(3)确定是否存在对应的地址解析(ARP)响应,如果存在对应的地址解析(ARP)响应则返回步骤(1),如果不存在对应的地址解析(ARP)响应则进入步骤(4);(4)伪造MAC地址并响应该地址解析(ARP)请求,随之判断该地址解析(ARP)请求所关联的服务请求是否指向所述可疑数据包处理服务器的应用端口,并且如果指向所述可疑数据包处理服务器的应用端口,则将其重定向到相应的影子服务器,而如果不指向所述可疑数据包处理服务器的应用端口,则响应该服务请求并建立相关联的会话以便随后接管与该会话相关的后续服务请求。
6.根据权利要求5所述的网络入侵防御方法,其特征在于,所述可疑数据包处理服务器能够进一步执行如下反向识别过程:(1)在接收到可疑数据包后通过响应的方式警告发出该可疑数据包的访问者立刻终止恶意访问行为;(2)如果该访问者接受警告,则对其后续行为进行观察,并且如果在预定的时间阈值内没有发现进一步的恶意访问行为,则终止本次反向识别过程,而如果在预定的时间阈值内发现仍然存在进一步的恶意访问行为,则进入步骤(3),如果该访问者不接受警告,则直接进入步骤(3);(3)通过建立会话的方式向所述可疑数据包的来源主机注入反向识别脚本;(4)向能够唯一识别该会话的域名发起HTTP请求以便从该域的授权DNS服务器获取该恶意访问者的主机的DNS地址;(5)通过所述反向识别脚本获取该恶意访问者的主机的其他特性信息并记录在特定的数据库中共系统管理者后续查阅和使用。
7.根据权利要求6所述的网络入侵防御方法,其特征在于,所述可疑数据包处理服务器能够基于所接收到的可疑数据包收集潜在的攻击行为信息,并将所收集的潜在的攻击行为信息发送到行为分析和签名库更新服务器。
8.根据权利要求7所述的网络入侵防御方法,其特征在于,所述行为分析和签名库更新服务器更够基于预定规则和算法分析所述潜在的攻击行为信息以提取出新类型的攻击特征,并在所述新类型的攻击特征经过人工审核后更新所述攻击方式签名库以使其包含经过审核的新类型的攻击特征。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410555693.0A CN105516073B (zh) | 2014-10-20 | 2014-10-20 | 网络入侵防御方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410555693.0A CN105516073B (zh) | 2014-10-20 | 2014-10-20 | 网络入侵防御方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN105516073A true CN105516073A (zh) | 2016-04-20 |
| CN105516073B CN105516073B (zh) | 2018-12-25 |
Family
ID=55723714
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410555693.0A Active CN105516073B (zh) | 2014-10-20 | 2014-10-20 | 网络入侵防御方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN105516073B (zh) |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106657053A (zh) * | 2016-12-19 | 2017-05-10 | 中国人民解放军国防信息学院 | 一种基于端状态迁移的网络安全防御方法 |
| CN106790073A (zh) * | 2016-12-21 | 2017-05-31 | 北京启明星辰信息安全技术有限公司 | 一种Web服务器恶意攻击的阻断方法、装置及防火墙 |
| CN107707576A (zh) * | 2017-11-28 | 2018-02-16 | 深信服科技股份有限公司 | 一种基于蜜罐技术的网络防御方法及系统 |
| CN107770168A (zh) * | 2017-10-18 | 2018-03-06 | 杭州白客安全技术有限公司 | 基于攻击链马尔科夫决策过程的低误报率ids/ips |
| CN108696488A (zh) * | 2017-04-11 | 2018-10-23 | 腾讯科技(深圳)有限公司 | 一种上传接口识别方法、识别服务器及系统 |
| CN109347806A (zh) * | 2018-09-20 | 2019-02-15 | 天津大学 | 一种基于主机监控技术的挖矿恶意软件检测系统及方法 |
| CN113837757A (zh) * | 2021-09-26 | 2021-12-24 | 快钱支付清算信息有限公司 | 一种基于网络安全的个人支付用隐私安全保护方法 |
| CN116074280A (zh) * | 2021-10-29 | 2023-05-05 | 腾讯科技(深圳)有限公司 | 应用入侵防御系统识别方法、装置、设备和存储介质 |
Family Cites Families (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101064671A (zh) * | 2006-04-29 | 2007-10-31 | 杨旭 | 一种基于p2p技术的网络视频信号的处理方法 |
| CN101175013B (zh) * | 2006-11-03 | 2012-07-04 | 飞塔公司 | 一种拒绝服务攻击防护方法、网络系统和代理服务器 |
| CN101404658B (zh) * | 2008-10-31 | 2011-11-16 | 北京锐安科技有限公司 | 一种检测僵尸网络的方法及其系统 |
| CN101610251B (zh) * | 2009-07-21 | 2012-12-05 | 山东竞星信息科技有限公司 | 一种预定义关键字的信息拦截方法和设备 |
| CN101714931B (zh) * | 2009-11-26 | 2012-09-19 | 成都市华为赛门铁克科技有限公司 | 一种未知恶意代码的预警方法、设备和系统 |
| CN102045361A (zh) * | 2010-12-30 | 2011-05-04 | 中兴通讯股份有限公司 | 一种网络安全处理方法及无线通信装置 |
| US8667589B1 (en) * | 2013-10-27 | 2014-03-04 | Konstantin Saprygin | Protection against unauthorized access to automated system for control of technological processes |
-
2014
- 2014-10-20 CN CN201410555693.0A patent/CN105516073B/zh active Active
Cited By (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106657053A (zh) * | 2016-12-19 | 2017-05-10 | 中国人民解放军国防信息学院 | 一种基于端状态迁移的网络安全防御方法 |
| CN106657053B (zh) * | 2016-12-19 | 2019-11-08 | 中国人民解放军国防信息学院 | 一种基于端状态迁移的网络安全防御方法 |
| CN106790073A (zh) * | 2016-12-21 | 2017-05-31 | 北京启明星辰信息安全技术有限公司 | 一种Web服务器恶意攻击的阻断方法、装置及防火墙 |
| CN108696488A (zh) * | 2017-04-11 | 2018-10-23 | 腾讯科技(深圳)有限公司 | 一种上传接口识别方法、识别服务器及系统 |
| US10972496B2 (en) | 2017-04-11 | 2021-04-06 | Tencent Technology (Shenzhen) Company Limited | Upload interface identification method, identification server and system, and storage medium |
| CN107770168A (zh) * | 2017-10-18 | 2018-03-06 | 杭州白客安全技术有限公司 | 基于攻击链马尔科夫决策过程的低误报率ids/ips |
| CN107707576A (zh) * | 2017-11-28 | 2018-02-16 | 深信服科技股份有限公司 | 一种基于蜜罐技术的网络防御方法及系统 |
| CN109347806A (zh) * | 2018-09-20 | 2019-02-15 | 天津大学 | 一种基于主机监控技术的挖矿恶意软件检测系统及方法 |
| CN109347806B (zh) * | 2018-09-20 | 2021-04-27 | 天津大学 | 一种基于主机监控技术的挖矿恶意软件检测系统及方法 |
| CN113837757A (zh) * | 2021-09-26 | 2021-12-24 | 快钱支付清算信息有限公司 | 一种基于网络安全的个人支付用隐私安全保护方法 |
| CN116074280A (zh) * | 2021-10-29 | 2023-05-05 | 腾讯科技(深圳)有限公司 | 应用入侵防御系统识别方法、装置、设备和存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN105516073B (zh) | 2018-12-25 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN105516073A (zh) | 网络入侵防御方法 | |
| US11108799B2 (en) | Name translation monitoring | |
| US10454961B2 (en) | Extracting encryption metadata and terminating malicious connections using machine learning | |
| JP6441957B2 (ja) | 疑わしいオブジェクトにおけるエクスプロイトを自動的に実証し、当該実証済みエクスプロイトに関連付けられた表示情報を強調するシステム、装置、および方法 | |
| US9342691B2 (en) | Internet protocol threat prevention | |
| US9094288B1 (en) | Automated discovery, attribution, analysis, and risk assessment of security threats | |
| CN101350745B (zh) | 一种入侵检测方法及装置 | |
| Saxena et al. | General study of intrusion detection system and survey of agent based intrusion detection system | |
| US20140020067A1 (en) | Apparatus and method for controlling traffic based on captcha | |
| AU2019399138A1 (en) | Apparatus and process for detecting network security attacks on IoT devices | |
| CN110602100A (zh) | Dns隧道流量的检测方法 | |
| US9264440B1 (en) | Parallel detection of updates to a domain name system record system using a common filter | |
| US9444830B2 (en) | Web server/web application server security management apparatus and method | |
| US11483339B1 (en) | Detecting attacks and quarantining malware infected devices | |
| CN105959290A (zh) | 攻击报文的检测方法及装置 | |
| US20170142155A1 (en) | Advanced Local-Network Threat Response | |
| US11863584B2 (en) | Infection spread attack detection device, attack origin specification method, and program | |
| US20170041292A1 (en) | Parallel detection of updates to a domain name system record system using a common filter | |
| Asha et al. | Analysis on botnet detection techniques | |
| EP3718284B1 (en) | Extending encrypted traffic analytics with traffic flow data | |
| TWI744545B (zh) | 分散式網路流分析惡意行為偵測系統與其方法 | |
| Abhijith et al. | First Level Security System for Intrusion Detection and Prevention in LAN | |
| CN107948151B (zh) | 一种基于元数据分析的dns防护及防数据泄露的方法 | |
| Hattori et al. | Function estimation of multiple IoT devices by communication traffic analysis | |
| Gowda et al. | Detection And Prevention of ARP Attack in Software Defined Networks |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |