CN105897718A - 防止局域网被扫描的系统及方法 - Google Patents

防止局域网被扫描的系统及方法 Download PDF

Info

Publication number
CN105897718A
CN105897718A CN201610260313.XA CN201610260313A CN105897718A CN 105897718 A CN105897718 A CN 105897718A CN 201610260313 A CN201610260313 A CN 201610260313A CN 105897718 A CN105897718 A CN 105897718A
Authority
CN
China
Prior art keywords
daily record
module
node
address
ids
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201610260313.XA
Other languages
English (en)
Other versions
CN105897718B (zh
Inventor
朱志博
雷兵
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Shanghai Ctrip Business Co Ltd
Original Assignee
Shanghai Ctrip Business Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Shanghai Ctrip Business Co Ltd filed Critical Shanghai Ctrip Business Co Ltd
Priority to CN201610260313.XA priority Critical patent/CN105897718B/zh
Publication of CN105897718A publication Critical patent/CN105897718A/zh
Application granted granted Critical
Publication of CN105897718B publication Critical patent/CN105897718B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)

Abstract

本发明公开了一种防止局域网被扫描的系统及方法,所述系统包括采集模块、过滤模块、统计模块、检测模块和封锁模块;采集模块用于实时采集IDS日志;过滤模块用于获取IDS日志并过滤得到扫描类型的IDS日志;统计模块用于根据IP地址和时间戳对扫描事件的数量进行统计,并将统计结果发送至检测模块;检测模块用于检测各个IP地址对应的扫描事件的数量是否大于预设阈值;封锁模块用于封锁相应的IP地址对应的交换机接口。与现有技术相比,本发明能够实时检测局域网是否被扫描,并在存在高危扫描事件的情况下及时封锁相应的交换机接口,有效防止局域网被扫描,同时还可以调整检测局域网是否被扫描的强度,应用范围广泛。

Description

防止局域网被扫描的系统及方法
技术领域
本发明涉及网络安全领域。特别涉及一种防止局域网被扫描的系统及方法。
背景技术
随着互联网的发展,局域网也叫内网的安全越来越受到企业的重视,而扫描往往是内网渗透的第一步,但是传统的防护无法从海量的IDS(IntrusionDetection Systems,入侵检测系统)日志中提取真正高危险的扫描用户并进一步地对其进行处理,进而无法实现保护内网。
发明内容
本发明要解决的技术问题是为了克服现有技术中无法从海量的IDS日志中提取高危扫描用户并对其进行处理,进而无法保护内网的缺陷,提供一种防止局域网被扫描的系统及方法。
本发明是通过下述技术方案来解决上述技术问题的:
一种防止局域网被扫描的系统,其特点在于,包括一采集模块、一过滤模块、一统计模块、一检测模块以及一封锁模块;
所述采集模块用于实时采集IDS日志,并将所述IDS日志发送至一消息队列;
所述过滤模块用于从所述消息队列中获取IDS日志,并对所述IDS日志进行过滤得到所有的扫描类型的IDS日志,以及将所述扫描类型的IDS日志分配至所述统计模块,其中,每个扫描类型的IDS日志均包括至少一个扫描事件,每个扫描事件均包括一IP地址和一时间戳;
所述统计模块用于根据IP地址和时间戳对所述扫描类型的IDS日志中扫描事件的数量进行统计,并将统计结果发送至所述检测模块;
所述检测模块用于检测时间戳范围在(当前时间戳-一第一预设时间段)~当前时间戳内各个IP地址对应的扫描事件的数量是否大于一预设阈值,并在是的情况下调用所述封锁模块;
所述封锁模块用于封锁相应的IP地址对应的交换机接口。
本方案中,通过对实时采集的IDS日志进行过滤得到扫描类型的IDS日志,并根据IP地址和时间戳对扫描事件的数量进行统计,以及对第一预设时间段内的扫描事件的数量进行检测,并将数量达到预设阈值的扫描事件的IP地址对应的交换机接口封锁。其中,第一预设时间段和预设阈值均可根据需要自行设置。例如可以将第一预设时间段设为10分钟或30分钟等,可以将预设阈值设为1000或2000等。
在本方案的系统中,采集模块实时采集IDS日志,过滤模块、统计模块、检测模块以及封锁模块分别根据采集的IDS日志进行实时处理。也就是说,利用本方案的系统能够实时检测局域网是否被扫描,并在局域网中存在高危扫描事件的情况下及时封锁相应的交换机接口,从根源上阻断了危险,有效地防止了局域网被扫描。另外,用户还可以通过调整预设阈值来动态调整检测局域网是否被扫描的强度,应用范围广泛。
较佳地,所述过滤模块用于根据IDS日志的ID号对所述消息队列中的IDS日志进行过滤,得到扫描类型的IDS日志。
较佳地,所述过滤模块包括至少一个过滤节点;
每个过滤节点分别用于从所述消息队列中获取一预设数量的IDS日志,并对获取的IDS日志进行过滤得到扫描类型的IDS日志,以及将扫描类型的IDS日志分配至所述统计模块。
本方案中,每个过滤节点从消息队列中获取的IDS日志的数量可以相同,也可以不同,具体由过滤节点的处理能力决定,举个例子,若过滤节点的处理能力较强,则可以从消息队列中获取较多的IDS日志;若过滤节点的处理能力较弱,则可以从消息队列中获取较少的IDS日志。其中,过滤节点可以为计算机或CPU等具有处理IDS日志能力的设备,过滤节点的数量可以根据消息队列中IDS日志的数量来设置,举个例子,若IDS日志的数量较多,则可以设置较多的过滤节点;若IDS日志的数量较少,则可以设置较少的过滤节点。
较佳地,所述统计模块包括预设单元、第一判断单元、计数单元以及更新单元;
所述预设单元用于分别将各IP地址对应的最小时间戳设为各IP地址对应的初始时间戳;
所述第一判断单元用于依次判断所述扫描类型的IDS日志中各扫描事件的时间戳与当前待判断的扫描事件的IP地址对应的初始时间戳的差值是否小于等于一第二预设时间段,若是,则调用所述计数单元,若否,则调用所述更新单元,直至判断完所有的扫描事件;
所述计数单元用于根据所述IP地址和所述初始时间戳对扫描事件的数量进行统计;
所述更新单元用于将所述当前待判断的扫描事件的IP地址对应的初始时间戳更新为所述当前待判断的扫描事件的时间戳。
本方案对统计模块如何根据IP地址和时间戳统计进行了进一步限定,具体地,将在初始时间戳~(初始时间戳+第二预设时间段)范围内的相同IP地址对应的扫描事件进行统计,其中,各IP地址对应的最小时间戳为各IP地址对应的初始时间戳。举个例子,设第二预设时间段为2秒,若扫描类型的IDS日志中包括以下四个扫描事件:1)IP:A,时间戳:1459353600秒;2)IP:A,时间戳:1459353601秒;3)IP:B,时间戳:1459353601秒;4)IP:B,时间戳:1459353604秒;则IP地址为A对应的初始时间戳为1459353600秒,IP地址为B对应的初始时间戳为1459353601秒。统计结果为:1)IP:A,时间戳:1459353600秒,扫描事件的个数:2;2)IP:B,时间戳:1459353601秒,扫描事件的个数:1;3)IP:B,时间戳:1459353604秒,扫描事件的个数:1。从上述例子可以看出,统计模块将时间戳为1459353600秒和1459353601秒的IP地址为A的扫描事件进行了统计。其中,第二预设时间段可以根据具体需要自行设置。
较佳地,所述统计模块包括N级统计节点,每级统计节点均包括至少一个统计节点,每个统计节点均包括一统计单元、一第二判断单元、一赋值单元以及一发送单元,所述统计单元包括所述预设单元、所述第一判断单元、所述计数单元以及所述更新单元;
每个过滤节点分别用于将过滤得到的扫描类型的IDS日志平均分配至所述统计模块中的第M级统计节点,M的初始值为1;
所述第M级统计节点的统计单元用于根据IP地址和时间戳对所述扫描类型的IDS日志中扫描事件的数量进行统计,并将小于当前时间戳与所述第二预设时间段差值的时间戳所对应的扫描事件的统计结果平均分配至第M+1级统计节点;
所述第M+1级统计节点的第二判断单元用于判断M+1是否等于N,若是,则调用所述第M+1级统计节点的发送单元,若否,则调用所述第M+1级统计节点的赋值单元;
所述第M+1级统计节点的赋值单元用于将M赋值为M+1,调用第M级统计节点的统计单元;
所述第M+1级统计节点的发送单元用于将统计结果发送至所述检测模块;
其中,第M+1级统计节点中统计节点的数量少于第M级统计节点中统计节点的数量,N为大于1的整数。
本方案的统计模块中包含多级统计节点,每级统计节点均包括至少一个统计节点。其中,统计节点可以为计算机或CPU等具有统计扫描事件能力的设备,统计节点的级数以及每级统计节点包括的统计节点的数量均可以根据扫描类型的IDS日志的数量来设置。
其中,所述第M级统计节点将小于当前时间戳与所述第二预设时间段差值的时间戳所对应的扫描事件的统计结果平均分配至第M+1级统计节点。举个例子,设第二预设时间段为2秒,当前时间戳为1459353603秒,其中一个第1级统计节点的统计结果如下:1)IP:A,时间戳:1459353600秒,扫描事件的个数:2;2)IP:C,时间戳:1459353600秒,扫描事件的个数:6;3)IP:B,时间戳:1459353601秒,,扫描事件的个数:5;4)IP:C,时间戳:1459353603秒,扫描事件的个数:1。上述例子中,所述第1级统计节点将统计结果1)和2)分配至第2级统计节点。
本方案中,通过设置多级统计节点可以使得对所述第二预设时间段内的扫描事件进行统计的效率提高,同时也提高了检测高危扫描事件的实时性。
较佳地,所述系统还包括一汇总模块,所述第M+1级统计节点的发送单元用于将统计结果发送至所述汇总模块;
所述汇总模块用于按照时间戳和IP地址对统计结果进行汇总,并将汇总结果发送至所述检测模块。
较佳地,每个统计节点均还包括一第三判断单元,所述第三判断单元用于根据所述扫描类型的IDS日志的ID号判断IP地址为源IP地址还是目的IP地址。
本方案中,为了能够方便区分实现扫描局域网的操作,统计节点还包括能够判断IP地址为源IP地址还是目的IP地址的第三判断单元。具体地,若IP地址为源IP地址,则实现扫描局域网的操作为向局域网发送消息;若IP地址为目的IP地址,则实现扫描局域网的操作为接收局域网发送的消息。
本发明还提供一种防止局域网被扫描的方法,其特点在于,利用如上所述的防止局域网被扫描的系统实现,所述方法包括以下步骤:
S1、所述采集模块实时采集IDS日志,并将所述IDS日志发送至一消息队列;
S2、所述过滤模块从所述消息队列中获取IDS日志,并对所述IDS日志进行过滤得到所有的扫描类型的IDS日志,以及将所述扫描类型的IDS日志分配至所述统计模块,其中,每个扫描类型的IDS日志均包括至少一个扫描事件,每个扫描事件均包括一IP地址和一时间戳;
S3、所述统计模块根据IP地址和时间戳对所述扫描类型的IDS日志中扫描事件的数量进行统计,并将统计结果发送至所述检测模块;
S4、所述检测模块检测时间戳范围在(当前时间戳-一第一预设时间段)~当前时间戳内各个IP地址对应的扫描事件的数量是否大于一预设阈值,若是,则执行步骤S5,若否,则结束流程;
S5、所述封锁模块封锁相应的IP地址对应的交换机接口。
步骤S1中,采集模块实时采集IDS日志,步骤S2~步骤S4中,过滤模块、统计模块、检测模块以及封锁模块分别根据采集的IDS日志进行实时处理。
较佳地,步骤S2中还包括:所述过滤模块根据IDS日志的ID号对所述消息队列中的IDS日志进行过滤,得到扫描类型的IDS日志。
较佳地,所述过滤模块包括至少一个过滤节点;
步骤S2中包括:每个过滤节点分别从所述消息队列中获取一预设数量的IDS日志,并对获取的IDS日志进行过滤得到扫描类型的IDS日志,以及将扫描类型的IDS日志分配至所述统计模块。
较佳地,所述统计模块包括预设单元、第一判断单元、计数单元以及更新单元;
步骤S3中包括一统计操作,所述统计操作包括以下步骤:
S31、所述预设单元分别将各IP地址对应的最小时间戳设为各IP地址对应的初始时间戳;
S32、所述第一判断单元依次判断所述扫描类型的IDS日志中的各扫描事件,执行以下步骤:
S321、所述第一判断单元判断当前待判断的扫描事件的时间戳与所述当前待判断的扫描事件的IP地址对应的初始时间戳的差值是否小于等于一第二预设时间段,若是,则执行步骤S322,若否,则执行步骤S323
S322、所述计数单元根据所述IP地址和所述初始时间戳对扫描事件的数量进行统计,并结束对所述当前待判断的扫描事件的判断;
S323、所述更新单元将所述当前待判断的扫描事件的IP地址对应的初始时间戳更新为所述当前待判断的扫描事件的时间戳,并结束对所述当前待判断的扫描事件的判断。
较佳地,所述统计模块包括N级统计节点,每级统计节点均包括至少一个统计节点,每个统计节点均包括所述预设单元、所述第一判断单元、所述计数单元、所述更新单元以及一第二判断单元、一赋值单元、一发送单元;
步骤S2中包括:每个过滤节点分别将过滤得到的扫描类型的IDS日志平均分配至所述统计模块中的第M级统计节点,M的初始值为1;
步骤S3中包括:
T1、所述第M级统计节点的统计单元执行所述统计操作,并将小于当前时间戳与所述第二预设时间段差值的时间戳所对应的扫描事件的统计结果平均分配至第M+1级统计节点;
T2、所述第M+1级统计节点的第二判断单元判断M+1是否等于N,若是,则执行步骤T4,若否,则执行步骤T3
T3、所述第M+1级统计节点的赋值单元将M赋值为M+1,返回步骤T1
T4、所述第M+1级统计节点的发送单元将统计结果发送至所述检测模块;
其中,第M+1级统计节点中统计节点的数量少于第M级统计节点中统计节点的数量,N为大于1的整数。
较佳地,所述系统还包括一汇总模块,
步骤T4包括以下步骤:
T41、所述第M+1级统计节点的发送单元将统计结果发送至所述汇总模块;
T42、所述汇总模块按照时间戳和IP地址对统计结果进行汇总,并将汇总结果发送至所述检测模块。
较佳地,每个统计节点均还包括一第三判断单元,所述方法还包括以下步骤:
所述第三判断单元根据所述扫描类型的IDS日志的ID号判断IP地址为源IP地址还是目的IP地址。
在符合本领域常识的基础上,上述各优选条件,可任意组合,即得本发明各较佳实例。
本发明的积极进步效果在于:与现有技术相比,本发明能够实时检测局域网是否被扫描,并在局域网中存在高危扫描事件的情况下及时封锁相应的交换机接口,从根源上阻断危险,有效地防止局域网被扫描。另外,还可以通过调整预设阈值来动态调整检测局域网是否被扫描的强度,应用范围广泛。
附图说明
图1为本实施例的防止局域网被扫描的系统的结构框图。
图2为本实施例的第1级统计节点的结构框图。
图3为本实施例的防止局域网被扫描的方法流程图。
具体实施方式
下面通过实施例的方式进一步说明本发明,但并不因此将本发明限制在所述的实施例范围之中。
本实施例提供一种防止局域网被扫描的系统,如图1所示,包括采集模块11、过滤模块13、统计模块14、汇总模块15、检测模块16以及封锁模块17,过滤模块13包括2个过滤节点31,统计模块14包括3级统计节点,其中,第1级统计节点41为6个,第2级统计节点42为4个,第3级统计节点43为2个。
如图2所示,每个第1级统计节点41均包括统计单元20、第二判断单元25、赋值单元26、发送单元27以及第三判断单元28,其中,统计单元20包括预设单元21、第一判断单元22、计数单元23以及更新单元24。同样地,每个第2级统计节点和每个第3级统计节点也均包括统计单元20、第二判断单元25、赋值单元26、发送单元27以及第三判断单元28。
下面结合图1和图2对本实施例防止局域网被扫描的系统中各个模块的功能进行解释说明。
采集模块11用于实时采集IDS日志,并将所述IDS日志发送至消息队列12。
过滤模块13中的每个过滤节点31分别用于从消息队列12中获取一预设数量的IDS日志,并对获取的IDS日志进行过滤得到扫描类型的IDS日志,以及将扫描类型的IDS日志平均分配至统计模块14中的6个第1级统计节点41,其中,每个扫描类型的IDS日志均包括至少一个扫描事件,每个扫描事件均包括一IP地址和一时间戳。
设M的初始值为1。
第M级统计节点的统计单元20用于根据IP地址和时间戳对所述扫描类型的IDS日志中扫描事件的数量进行统计,并将小于当前时间戳与所述第二预设时间段差值的时间戳所对应的扫描事件的统计结果平均分配至第M+1级统计节点。
第M+1级统计节点的第二判断单元25用于判断M+1是否等于3,若是,则调用第M+1级统计节点的发送单元27,若否,则调用第M+1级统计节点的赋值单元26;
第M+1级统计节点的赋值单元26用于将M赋值为M+1,调用第M级统计节点;
第M+1级统计节点的发送单元27用于将统计结果发送至汇总模块15。
汇总模块15用于按照时间戳和IP地址对统计结果进行汇总,并将汇总结果发送至检测模块16。
检测模块16用于检测时间戳范围在(当前时间戳-一第一预设时间段)~当前时间戳内各个IP地址对应的扫描事件的数量是否大于一预设阈值,并在是的情况下调用封锁模块17;
封锁模块17用于封锁相应的IP地址对应的交换机接口。
下面分别对统计单元中预设单元、第一判断单元、计数单元以及更新单元的功能进行解释说明。
预设单元21用于分别将各IP地址对应的最小时间戳设为各IP地址对应的初始时间戳。
第一判断单元22用于依次判断所述扫描类型的IDS日志中各扫描事件的时间戳与当前待判断的扫描事件的IP地址对应的初始时间戳的差值是否小于等于一第二预设时间段,若是,则调用计数单元23,若否,则调用更新单元24,直至判断完所有的扫描事件。
计数单元23用于根据所述IP地址和所述初始时间戳对扫描事件的数量进行统计。
更新单元24用于将所述当前待判断的扫描事件的IP地址对应的初始时间戳更新为所述当前待判断的扫描事件的时间戳。
另外,第三判断单元28用于根据所述扫描类型的IDS日志的ID号判断IP地址为源IP地址还是目的IP地址。
本实施例还提供一种防止局域网被扫描的方法,利用本实施例中的防止局域网被扫描的系统实现,如图3所示,所述方法包括以下步骤:
步骤101、采集模块实时采集IDS日志,并将所述IDS日志发送至消息队列。
步骤102、过滤模块中的每个过滤节点分别从消息队列中获取一预设数量的IDS日志,并对获取的IDS日志进行过滤得到扫描类型的IDS日志,以及将扫描类型的IDS日志平均分配至统计模块中的第M级统计节点;
其中,M的初始值为1,每个扫描类型的IDS日志均包括至少一个扫描事件,每个扫描事件均包括一IP地址和一时间戳。
步骤103、第M级统计节点的统计单元根据IP地址和时间戳对所述扫描类型的IDS日志中扫描事件的数量进行统计,并将小于当前时间戳与所述第二预设时间段差值的时间戳所对应的扫描事件的统计结果平均分配至第M+1级统计节点。
步骤104、第M+1级统计节点的第二判断单元判断M+1是否等于3,若是,则执行步骤106,若否,则执行步骤105。
步骤105、第M+1级统计节点的赋值单元将M赋值为M+1,返回步骤103。
步骤106、第M+1级统计节点的发送单元将统计结果发送至汇总模块。
步骤107、汇总模块按照时间戳和IP地址对统计结果进行汇总,并将汇总结果发送至检测模块。
步骤108、检测模块检测时间戳范围在(当前时间戳-一第一预设时间段)~当前时间戳内各个IP地址对应的扫描事件的数量是否大于一预设阈值,若是,则执行步骤109,若否,则结束流程。
步骤109、封锁模块封锁相应的IP地址对应的交换机接口。
在上述的步骤103中,统计单元执行的统计操作具体包括以下步骤:
步骤201、预设单元分别将各IP地址对应的最小时间戳设为各IP地址对应的初始时间戳;
步骤202、第一判断单元依次判断所述扫描类型的IDS日志中的各扫描事件,执行以下步骤:
步骤2021、所述第一判断单元判断当前待判断的扫描事件的时间戳与所述当前待判断的扫描事件的IP地址对应的初始时间戳的差值是否小于等于一第二预设时间段,若是,则执行步骤2022,若否,则执行步骤2023;
步骤2022、所述计数单元根据所述IP地址和所述初始时间戳对扫描事件的数量进行统计,并结束对所述当前待判断的扫描事件的判断;
步骤2023、所述更新单元将所述当前待判断的扫描事件的IP地址对应的初始时间戳更新为所述当前待判断的扫描事件的时间戳,并结束对所述当前待判断的扫描事件的判断。
本实施例能够实时检测局域网是否被扫描,并在局域网中存在高危扫描事件的情况下及时封锁相应的交换机接口,从根源上阻断危险,有效地防止局域网被扫描。另外,还可以通过调整预设阈值来动态调整检测局域网是否被扫描的强度,应用范围广泛。
虽然以上描述了本发明的具体实施方式,但是本领域的技术人员应当理解,这些仅是举例说明,本发明的保护范围是由所附权利要求书限定的。本领域的技术人员在不背离本发明的原理和实质的前提下,可以对这些实施方式做出多种变更或修改,但这些变更和修改均落入本发明的保护范围。

Claims (14)

1.一种防止局域网被扫描的系统,其特征在于,包括一采集模块、一过滤模块、一统计模块、一检测模块以及一封锁模块;
所述采集模块用于实时采集IDS日志,并将所述IDS日志发送至一消息队列;
所述过滤模块用于从所述消息队列中获取IDS日志,并对所述IDS日志进行过滤得到所有的扫描类型的IDS日志,以及将所述扫描类型的IDS日志分配至所述统计模块,其中,每个扫描类型的IDS日志均包括至少一个扫描事件,每个扫描事件均包括一IP地址和一时间戳;
所述统计模块用于根据IP地址和时间戳对所述扫描类型的IDS日志中扫描事件的数量进行统计,并将统计结果发送至所述检测模块;
所述检测模块用于检测时间戳范围在(当前时间戳-一第一预设时间段)~当前时间戳内各个IP地址对应的扫描事件的数量是否大于一预设阈值,并在是的情况下调用所述封锁模块;
所述封锁模块用于封锁相应的IP地址对应的交换机接口。
2.如权利要求1所述的防止局域网被扫描的系统,其特征在于,所述过滤模块用于根据IDS日志的ID号对所述消息队列中的IDS日志进行过滤,得到扫描类型的IDS日志。
3.如权利要求1或2所述的防止局域网被扫描的系统,其特征在于,所述过滤模块包括至少一个过滤节点;
每个过滤节点分别用于从所述消息队列中获取一预设数量的IDS日志,并对获取的IDS日志进行过滤得到扫描类型的IDS日志,以及将扫描类型的IDS日志分配至所述统计模块。
4.如权利要求3所述的防止局域网被扫描的系统,其特征在于,所述统计模块包括预设单元、第一判断单元、计数单元以及更新单元;
所述预设单元用于分别将各IP地址对应的最小时间戳设为各IP地址对应的初始时间戳;
所述第一判断单元用于依次判断所述扫描类型的IDS日志中各扫描事件的时间戳与当前待判断的扫描事件的IP地址对应的初始时间戳的差值是否小于等于一第二预设时间段,若是,则调用所述计数单元,若否,则调用所述更新单元,直至判断完所有的扫描事件;
所述计数单元用于根据所述IP地址和所述初始时间戳对扫描事件的数量进行统计;
所述更新单元用于将所述当前待判断的扫描事件的IP地址对应的初始时间戳更新为所述当前待判断的扫描事件的时间戳。
5.如权利要求4所述的防止局域网被扫描的系统,其特征在于,所述统计模块包括N级统计节点,每级统计节点均包括至少一个统计节点,每个统计节点均包括一统计单元、一第二判断单元、一赋值单元以及一发送单元,所述统计单元包括所述预设单元、所述第一判断单元、所述计数单元以及所述更新单元;
每个过滤节点分别用于将过滤得到的扫描类型的IDS日志平均分配至所述统计模块中的第M级统计节点,M的初始值为1;
所述第M级统计节点的统计单元用于根据IP地址和时间戳对所述扫描类型的IDS日志中扫描事件的数量进行统计,并将小于当前时间戳与所述第二预设时间段差值的时间戳所对应的扫描事件的统计结果平均分配至第M+1级统计节点;
所述第M+1级统计节点的第二判断单元用于判断M+1是否等于N,若是,则调用第M+1级统计节点的所述发送单元,若否,则调用所述第M+1级统计节点的赋值单元;
所述第M+1级统计节点的赋值单元用于将M赋值为M+1,调用第M级统计节点的统计单元;
所述第M+1级统计节点的发送单元用于将统计结果发送至所述检测模块;
其中,第M+1级统计节点中统计节点的数量少于第M级统计节点中统计节点的数量,N为大于1的整数。
6.如权利要求5所述的防止局域网被扫描的系统,其特征在于,所述系统还包括一汇总模块,所述第M+1级统计节点的发送单元用于将统计结果发送至所述汇总模块;
所述汇总模块用于按照时间戳和IP地址对统计结果进行汇总,并将汇总结果发送至所述检测模块。
7.如权利要求5或6所述的防止局域网被扫描的系统,其特征在于,每个统计节点均还包括一第三判断单元,所述第三判断单元用于根据所述扫描类型的IDS日志的ID号判断IP地址为源IP地址还是目的IP地址。
8.一种防止局域网被扫描的方法,其特征在于,利用如权利要求1所述的防止局域网被扫描的系统实现,所述方法包括以下步骤:
S1、所述采集模块实时采集IDS日志,并将所述IDS日志发送至一消息队列;
S2、所述过滤模块从所述消息队列中获取IDS日志,并对所述IDS日志进行过滤得到所有的扫描类型的IDS日志,以及将所述扫描类型的IDS日志分配至所述统计模块,其中,每个扫描类型的IDS日志均包括至少一个扫描事件,每个扫描事件均包括一IP地址和一时间戳;
S3、所述统计模块根据IP地址和时间戳对所述扫描类型的IDS日志中扫描事件的数量进行统计,并将统计结果发送至所述检测模块;
S4、所述检测模块检测时间戳范围在(当前时间戳-一第一预设时间段)~当前时间戳内各个IP地址对应的扫描事件的数量是否大于一预设阈值,若是,则执行步骤S5,若否,则结束流程;
S5、所述封锁模块封锁相应的IP地址对应的交换机接口。
9.如权利要求8所述的防止局域网被扫描的方法,其特征在于,步骤S2中还包括:所述过滤模块根据IDS日志的ID号对所述消息队列中的IDS日志进行过滤,得到扫描类型的IDS日志。
10.如权利要求8或9所述的防止局域网被扫描的方法,其特征在于,所述过滤模块包括至少一个过滤节点;
步骤S2中包括:每个过滤节点分别从所述消息队列中获取一预设数量的IDS日志,并对获取的IDS日志进行过滤得到扫描类型的IDS日志,以及将扫描类型的IDS日志分配至所述统计模块。
11.如权利要求10所述的防止局域网被扫描的方法,其特征在于,所述统计模块包括预设单元、第一判断单元、计数单元以及更新单元;
步骤S3中包括一统计操作,所述统计操作包括以下步骤:
S31、所述预设单元分别将各IP地址对应的最小时间戳设为各IP地址对应的初始时间戳;
S32、所述第一判断单元依次判断所述扫描类型的IDS日志中的各扫描事件,执行以下步骤:
S321、所述第一判断单元判断当前待判断的扫描事件的时间戳与所述当前待判断的扫描事件的IP地址对应的初始时间戳的差值是否小于等于一第二预设时间段,若是,则执行步骤S322,若否,则执行步骤S323
S322、所述计数单元根据所述IP地址和所述初始时间戳对扫描事件的数量进行统计,并结束对所述当前待判断的扫描事件的判断;
S323、所述更新单元将所述当前待判断的扫描事件的IP地址对应的初始时间戳更新为所述当前待判断的扫描事件的时间戳,并结束对所述当前待判断的扫描事件的判断。
12.如权利要求11所述的防止局域网被扫描的方法,其特征在于,所述统计模块包括N级统计节点,每级统计节点均包括至少一个统计节点,每个统计节点均包括一统计单元、一第二判断单元、一赋值单元以及一发送单元,所述统计单元包括所述预设单元、所述第一判断单元、所述计数单元以及所述更新单元;
步骤S2中包括:每个过滤节点分别将过滤得到的扫描类型的IDS日志平均分配至所述统计模块中的第M级统计节点,M的初始值为1;
步骤S3中包括:
T1、所述第M级统计节点的统计单元执行所述统计操作,并将小于当前时间戳与所述第二预设时间段差值的时间戳所对应的扫描事件的统计结果平均分配至第M+1级统计节点;
T2、所述第M+1级统计节点的第二判断单元判断M+1是否等于N,若是,则执行步骤T4,若否,则执行步骤T3
T3、所述第M+1级统计节点的赋值单元将M赋值为M+1,返回步骤T1
T4、所述第M+1级统计节点的发送单元将统计结果发送至所述检测模块;
其中,第M+1级统计节点中统计节点的数量少于第M级统计节点中统计节点的数量,N为大于1的整数。
13.如权利要求12所述的防止局域网被扫描的方法,其特征在于,所述系统还包括一汇总模块,
步骤T4包括以下步骤:
T41、所述第M+1级统计节点的发送单元将统计结果发送至所述汇总模块;
T42、所述汇总模块按照时间戳和IP地址对统计结果进行汇总,并将汇总结果发送至所述检测模块。
14.如权利要求12或13所述的防止局域网被扫描的方法,其特征在于,每个统计节点均还包括一第三判断单元,所述方法还包括以下步骤:
所述第三判断单元根据所述扫描类型的IDS日志的ID号判断IP地址为源IP地址还是目的IP地址。
CN201610260313.XA 2016-04-25 2016-04-25 防止局域网被扫描的系统及方法 Active CN105897718B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201610260313.XA CN105897718B (zh) 2016-04-25 2016-04-25 防止局域网被扫描的系统及方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201610260313.XA CN105897718B (zh) 2016-04-25 2016-04-25 防止局域网被扫描的系统及方法

Publications (2)

Publication Number Publication Date
CN105897718A true CN105897718A (zh) 2016-08-24
CN105897718B CN105897718B (zh) 2019-01-11

Family

ID=56704517

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201610260313.XA Active CN105897718B (zh) 2016-04-25 2016-04-25 防止局域网被扫描的系统及方法

Country Status (1)

Country Link
CN (1) CN105897718B (zh)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106549932A (zh) * 2016-08-31 2017-03-29 北京安天电子设备有限公司 一种基于日志分析的主机安全防护方法及系统
CN108241661A (zh) * 2016-12-23 2018-07-03 航天星图科技(北京)有限公司 一种分布式数据流分析方法
CN108551444A (zh) * 2018-03-30 2018-09-18 新华三信息安全技术有限公司 一种日志处理方法、装置及设备

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7716737B2 (en) * 2002-11-04 2010-05-11 Riverbed Technology, Inc. Connection based detection of scanning attacks
CN102857391A (zh) * 2012-08-21 2013-01-02 北京星网锐捷网络技术有限公司 一种检测ip扫描行为的方法、装置及网络设备
CN105119912A (zh) * 2015-08-06 2015-12-02 上海斐讯数据通信技术有限公司 一种端口防扫描方法、系统、及一种电子装置

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7716737B2 (en) * 2002-11-04 2010-05-11 Riverbed Technology, Inc. Connection based detection of scanning attacks
CN102857391A (zh) * 2012-08-21 2013-01-02 北京星网锐捷网络技术有限公司 一种检测ip扫描行为的方法、装置及网络设备
CN105119912A (zh) * 2015-08-06 2015-12-02 上海斐讯数据通信技术有限公司 一种端口防扫描方法、系统、及一种电子装置

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106549932A (zh) * 2016-08-31 2017-03-29 北京安天电子设备有限公司 一种基于日志分析的主机安全防护方法及系统
CN108241661A (zh) * 2016-12-23 2018-07-03 航天星图科技(北京)有限公司 一种分布式数据流分析方法
CN108551444A (zh) * 2018-03-30 2018-09-18 新华三信息安全技术有限公司 一种日志处理方法、装置及设备

Also Published As

Publication number Publication date
CN105897718B (zh) 2019-01-11

Similar Documents

Publication Publication Date Title
CN107454109B (zh) 一种基于http流量分析的网络窃密行为检测方法
CN101399658B (zh) 一种安全日志分析方法及系统
CN103563302B (zh) 网络资产信息管理
CN104509034B (zh) 模式合并以识别恶意行为
CN101087196B (zh) 多层次蜜网数据传输方法及系统
DE60316543T2 (de) Adaptive verhaltensbezogene eindringdetektion
Viinikka et al. Time series modeling for IDS alert management
CN105991587B (zh) 一种入侵检测方法及系统
CN101340308B (zh) 网络垃圾信息过滤架构、网络垃圾信息清除系统及其方法
CN1655518A (zh) 网络安全系统和方法
CA2406870A1 (en) An early warning system for network attacks
CN1763778A (zh) 使用关联图和运行时行为模型确定问题的系统和方法
CN105897718A (zh) 防止局域网被扫描的系统及方法
CN107403005A (zh) 一种网站监控方法及装置
CN103026345A (zh) 用于事件监测优先级的动态多维模式
CN102123396A (zh) 基于通信网的手机病毒和恶意软件的云检测方法
CN103166788B (zh) 一种集控控制管理系统
CN104079430A (zh) 一种基于信息的安全管理平台、系统及方法
CN101883015A (zh) 一种过滤工程告警的方法和装置
Signorini et al. Advise: anomaly detection tool for blockchain systems
CN104378364B (zh) 一种信息安全管理中心的协同分析方法
CN110149300A (zh) 网络流分析方法及其相关系统
CN108551449A (zh) 防病毒管理系统及方法
CN106685962A (zh) 一种反射型ddos攻击流量的防御系统及方法
CN104852816A (zh) 一种ids智能告警方法

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant