CN105939338B - 入侵报文的防护方法及装置 - Google Patents
入侵报文的防护方法及装置 Download PDFInfo
- Publication number
- CN105939338B CN105939338B CN201610150250.2A CN201610150250A CN105939338B CN 105939338 B CN105939338 B CN 105939338B CN 201610150250 A CN201610150250 A CN 201610150250A CN 105939338 B CN105939338 B CN 105939338B
- Authority
- CN
- China
- Prior art keywords
- message
- port
- switching equipment
- equipment
- invasion
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Telephonic Communication Services (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请提供一种入侵报文的防护方法及装置,所述方法包括:针对基于镜像端口监听到的所述交换设备的报文进行入侵检测;当检测出所述报文为入侵报文时,联动所述交换设备以确定所述交换设备中与所述入侵报文对应的目标端口;通知所述交换设备关闭所述目标端口。在本申请中,由于可以关闭交换设备上接收来自局域网内部入侵报文的端口,因此,可以解决现有技术无法阻断来自局域网内部入侵的问题。
Description
技术领域
本申请涉及网络通信技术,尤其涉及一种入侵报文的防护方法及装置。
背景技术
IDS(Intrusion Detection Systems,入侵检测系统)是一种主动的网络安全防护技术,它可以通过网络不同关键点监视网络数据以分析入侵行为的可能性。当发现入侵行为时,IDS可以立即告警和记录日志。但是,由于IDS设备作为检测设备一般只能旁路部署在网络中,因此它只能针对网络的健康状况起到监控作用,而不能很好的抵御各种网络入侵。
为了解决上述问题,现有技术通常可以将IDS设备与防火墙联动,当IDS设备发现某一入侵行为时,可以将检测到的结果发送给防火墙,以使防火墙对该入侵行为进行相应的阻断。然而,在这种方案中,当面对来自局域网内部的入侵时,防火墙无法进行阻断。
发明内容
有鉴于此,本申请提供一种入侵报文的防护方法及装置,来解决现有技术无法阻断来自局域网内部入侵的问题。
具体地,本申请是通过如下技术方案实现的:
根据本申请实施例的第一方面,提供一种入侵报文的防护方法,所述方法应用于入侵检测系统IDS设备上,所述IDS设备基于镜像端口监听与所述IDS设备相连的交换设备的报文,所述方法包括:
针对基于镜像端口监听到的所述交换设备的报文进行入侵检测;
当检测出所述报文为入侵报文时,联动所述交换设备以确定所述交换设备中与所述入侵报文对应的目标端口;
通知所述交换设备关闭所述目标端口。
可选的,所述针对基于镜像端口监听到的所述交换设备的报文进行入侵检测包括:
接收基于所述镜像端口监听到的所述交换设备的报文;
基于所述报文的报文负载进行入侵检测。
可选的,所述联动所述交换设备以确定所述交换设备中与所述入侵报文对应的目标端口包括:
获取入侵报文的报文属性信息;
基于所述入侵报文的报文属性信息查询预设的端口对应表;所述端口对应表包括所述交换设备上的接入端口与所述接入端口的属性信息之间的对应关系;
如果所述入侵报文的报文属性信息与所述端口对应表中任一接入端口的属性信息匹配时,将该接入端口确定为所述目标端口。
可选的,所述预设的端口对应表的创建过程包括:
接收所述交换设备上报的本地所有主机的接入端口以及接入端口的属性信息;
基于所述交换设备上报的所述接入端口以及接入端口的属性信息创建所述端口对应表。
可选的,所述通知所述交换设备关闭所述目标端口包括:
向所述交换设备发送携带所述目标端口的远程管理指令,以触发所述交换设备关闭所述目标端口。
根据本申请实施例的第二方面,提供一种入侵报文的防护装置,所述装置应用于入侵检测系统IDS设备上,所述IDS设备基于镜像端口监听与所述IDS设备相连的交换设备的报文,所述装置包括:
检测单元,用于针对基于镜像端口监听到的所述交换设备的报文进行入侵检测;
确定单元,用于当检测出所述报文为入侵报文时,联动所述交换设备以确定所述交换设备中与所述入侵报文对应的目标端口;
关闭单元,用于通知所述交换设备关闭所述目标端口。
可选的,所述检测单元具体用于:
接收基于所述镜像端口监听到的所述交换设备的报文;
基于所述报文的报文负载进行入侵检测。
可选的,所述确定单元具体用于:
获取入侵报文的报文属性信息;
基于所述入侵报文的报文属性信息查询预设的端口对应表;所述端口对应表包括所述交换设备上的接入端口与所述接入端口的属性信息之间的对应关系;
如果所述入侵报文的报文属性信息与所述端口对应表中任一接入端口的属性信息匹配时,将该接入端口确定为所述目标端口。
可选的,所述预设的端口对应表的创建过程具体为:
接收所述交换设备上报的本地所有主机的接入端口以及接入端口的属性信息;
基于所述交换设备上报的所述接入端口以及接入端口的属性信息创建所述端口对应表。
可选的,所述关闭单元具体用于:
向所述交换设备发送携带所述目标端口的远程管理指令,以触发所述交换设备关闭所述目标端口。
本申请提供入侵报文防护的方法及装置,IDS设备通过镜像端口监听交换设备的报文,并对监听到的报文进行入侵检测;当检测到入侵报文时,可以联动交换设备来确定交换设备中与该入侵报文对应的目标端口,然后通知交换设备关闭该目标端口,从而实现了对来自局域网内部入侵的阻断。
附图说明
图1为应用现有技术的一个应用场景图;
图2是本申请示出的一种入侵报文防护的方法;
图3为应用本申请实施例实现入侵防护的一个应用场景图;
图4为本申请入侵报文的防护装置所在设备的一种硬件结构图;
图5为本申请入侵报文的防护装置的一个实施例框图。
具体实施方式
这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。
在本申请使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本申请。在本申请和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。还应当理解,本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。
应当理解,尽管在本申请可能采用术语第一、第二、第三等来描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离本申请范围的情况下,第一信息也可以被称为第二信息,类似地,第二信息也可以被称为第一信息。取决于语境,如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。
参见图1,为应用现有技术的一个应用场景图。其中,IDS设备与防火墙相连。当接收到来自局域网外部的报文时,防火墙可以将报文上送至IDS设备,IDS设备可以对防火墙的报文进行检测,当检测到入侵报文时,IDS设备可以通知防火墙对该入侵报文进行阻断,从而实现对入侵报文的防护。
然而,现有技术中的防火墙布置在局域网的外部,当入侵报文来自局域网的内部并入侵局域网内部的设备时,由于该入侵报文并未经过防火墙,因此,防火墙无法将该入侵报文上送至IDS设备,IDS设备也无法通知防火墙对该入侵报文进行阻断,此时,现有技术无法实现对来自局域网内部入侵的阻断。
有鉴于此,本申请提供一种入侵报文防护的方法及装置,通过将IDS设备与交换设备相连,使得IDS设备可以通过镜像端口监听交换设备接收的来自局域网内部和局域网外部的报文,并对监听到的报文进行入侵检测,当检测到入侵报文时,IDS设备可以联动交换设备来确定交换设备中与该入侵报文对应的目标端口并通知交换设备关闭该目标端口,从而实现对来自局域网内部入侵的阻断。
参见图2,是本申请示出的一种入侵报文防护的方法,该方法应用于IDS设备,包括以下步骤:
步骤201:针对基于镜像端口监听到的所述交换设备的报文进行入侵检测。
在本申请实施例中,IDS设备可以针对基于镜像端口监听到的交换设备的报文进行入侵检测。其中,上述镜像端口是指IDS设备上用于监听交换设备报文的指定端口。
IDS设备通过镜像端口监听交换设备的报文的具体过程可以为:交换设备将其上需要进行监控的一个或多个端口的报文转发至IDS设备的镜像端口上,然后,IDS设备可以通过监听该镜像端口的报文来监听交换设备的报文。
IDS设备监听到交换设备的报文后,可以针对监听到的报文进行入侵检测。当IDS设备检测出监听到的报文的报文负载中包含有恶意内容如木马、蠕虫、跨站脚本入侵、SQL注入入侵时,可以确定监听到的报文为入侵报文。
在示出一个实施例中,IDS设备可以基于该报文的报文负载对该报文进行入侵检测。
假设该报文为URL(Uniform Resource Locator,统一资源定位符)报文,该报文的URL地址为http://www.mytest.com/showdetail.asp?id=4and 1=1。IDS设备可以对该报文的报文负载进行入侵检测,该报文的报文负载可以为GET/HTML/download.asp?typeId=4%20and%20en(db_name())HTTP/1.1。假设字符串%20and%20为SQL(StructuredQuery Language,结构化查询语言)注入类入侵,则当检测到报文的报文负载中含有字符串%20and%20时,可以确定该报文的报文负载中含有恶意的入侵内容,此时,IDS设备可以确定检测到了网络安全事件,该报文可以确定为入侵报文。
步骤202:当检测出所述报文为入侵报文时,联动所述交换设备以确定所述交换设备中与所述入侵报文对应的目标端口。
当IDS设备从监听的交换设备的报文中检测出入侵报文时,可以联动交换设备以确定交换设备中与该入侵报文对应的目标端口。
在一个实施例中,当IDS设备检测出入侵报文时,可以从该入侵报文中获取报文属性信息,该报文属性信息可以包括该报文的MAC地址以及源IP地址等信息。从该入侵报文中获取到报文属性信息后,IDS设备可以基于该入侵报文的报文属性信息查询预设的端口对应表,来确定交换设备中发送该入侵报文的目标端口。
其中,该端口对应表可以包括交换设备上的接入端口与该接入端口的属性信息之间的对应关系,该接入端口的属性信息可以包括连接该接入端口的本地主机的MAC地址、IP地址以及端口号等信息。
需要说明的是,上述端口对应表可以由IDS设备基于交换设备上报的本地所有主机的接入端口以及接入端口的属性信息来创建。
例如,交换设备可以先将需要监控的端口全部镜像到IDS设备的镜像端口上,然后向IDS设备上报每个主机使用的局域网的MAC地址、IP地址以及端口号等信息。IDS设备接收到交换设备上报的信息后,可以根据上述信息创建端口对应表。
例如,在示出的一种实施例中,入侵报文的报文属性信息可以如表1所示:
| 报文MAC地址 | 报文源IP地址 |
| XXXX | XXXX |
表1
上述端口对应表的具体信息可以如表2所示:
| 主机MAC地址 | 主机IP地址 | 接入端口 |
| XXXX | XXXX | XX |
表2
在匹配的过程中,当入侵报文的报文属性信息与上述端口对应表中任一接入端口的属性信息匹配时,可以将该接入端口确定为目标端口。
步骤203:通知所述交换设备关闭所述目标端口。
当IDS设备确定了与上述入侵报文对应的交换设备上的目标端口时,可以继续联动交换设备以通知交换设备关闭上述目标端口。
在一个实施例中,IDS设备确定了与入侵报文对应的交换设备上的目标端口后,可以通过向交换设备发送携带目标端口的远程管理指令来触发交换设备关闭上述目标端口。
在示出的一种实施方式中,IDS设备可以基于远程登陆Telnet协议或其他通信协议远程管理交换设备,当IDS设备确定了上述入侵报文对应的交换设备上的目标端口时,可以通过向交换设备发送管理指令来触发交换设备关闭上述目标端口。
当交换设备接收到管理指令时,可以关闭上述目标端口,上述目标端口关闭后,连接到该端口下的主机不能继续访问网络资源,致使入侵事件不能延续,同时,对于其他没有问题的主机也不造成影响。
在以上实施例中,通过将IDS设备与交换设备相连,使得IDS设备可以通过镜像端口监听交换设备的报文,并对监听到的报文进行入侵检测,当检测到入侵报文时,IDS设备可以联动交换设备来确定交换设备中与该入侵报文对应的目标端口并通知交换设备关闭该目标端口,从而实现对来自局域网内部入侵的阻断。
下面结合应用场景图通过具体实施例对以上实施例进行详细说明:
参见图3,为应用本申请实施例实现入侵防护的一个应用场景图。图3中,IDS设备可以与交换设备通过IDS设备上的端口H相连,其中,交换设备位于局域网中,可以接收到来自局域网内部和局域网外部发送至局域网内部的报文。
在本申请实施例中,交换设备上的一些端口需要进行监控(如图3所示的36、24和30端口)。交换设备可以将需要监控的端口接收到的报文通过IDS设备上的端口H上报至IDS设备上,此时,端口H可以称为镜像端口。
需要说明的是,交换设备上需要监控的端口可以为默认端口,也可以由用户自定义设置,本申请对此不做限制。
交换设备将需要监控的端口接收到的报文上报至IDS设备后,可以将局域网内所有主机的接入端口以及接入端口的属性信息发送至IDS设备。其中,接入端口的属性信息可以包括连接该接入端口的本地主机的MAC地址、IP地址以及端口号等信息。
IDS设备在接收到交换设备发送的局域网内的所有主机的接入端口以及接入端口的属性信息后,可以基于上述接入端口以及接入端口的属性信息创建端口对应表,该端口对应表可以包括交换设备上的接入端口与该接入端口的属性信息之间的对应关系。
结合图3可知,上述端口对应表可以如表3所示:
| 主机MAC地址 | 主机IP地址 | 接入端口 |
| 00-1B-2F-4B-60-26 | 1.1.1.1 | 30 |
| 00-1B-2F-4B-60-27 | 1.3.2.1 | 24 |
| 00-1B-2F-4B-60-22 | 1.1.2.3 | 36 |
表3
在示出的一个实施例中,客户端C可以为中病毒的入侵主机,此时,客户端C发送至交换机30端口的报文为入侵报文。
在本申请实施例中,当IDS设备接收到交换设备上报的报文时,可以通过镜像端口H监听该报文,并对该报文进行入侵检测,具体地,可以通过检测该报文的报文负载对该报文进行入侵检测,当IDS设备检测出该报文的报文负载中包含有恶意内容如木马、蠕虫、跨站脚本入侵、SQL注入入侵时,可以确定监听到的报文为入侵报文。
在示出的一个实施例中,客户端C为入侵主机,此时,客户端C发送至交换设备的报文为入侵报文。当交换设备将客户端C发送的入侵报文上报至IDS设备时,IDS设备可以监听并检测该入侵报文,当IDS设备通过检测该入侵报文的报文负载对该入侵报文进行入侵检测时,可以检测出该入侵报文中含有恶意内容,此时,IDS设备可以将该报文确定为入侵报文。
将报文确认为入侵报文后,IDS设备可以联动交换设备以确定交换设备中与该入侵报文对应的目标端口,具体过程可以为:
IDS设备确定该报文为入侵报文后,可以从该入侵报文中获得报文属性信息,该报文属性信息可以包括该报文的MAC地址以及源IP地址等信息。
在示出的一个实施例中,结合图3可知,该入侵报文的报文属性信息可以如表4所示:
| 报文MAC地址 | 报文源IP地址 |
| 00-1B-2F-4B-60-26 | 1.1.1.1 |
表4
从入侵报文中获取到报文属性信息后,IDS设备可以基于该入侵报文的报文属性信息匹配预设的端口对应表,来确定交换设备中发送该入侵报文的目标端口。
在匹配的过程中,当入侵报文的报文属性信息与上述端口对应表中任一接入端口的属性信息匹配时,可以将该接入端口确定为目标端口。
在示出的一个实施例中,IDS设备可以基于如表4所示的入侵报文的报文属性信息匹配如表3所示的端口对应表,由于如表4所示的入侵报文的报文属性信息与如表3所示的端口对应表中的30端口的属性信息匹配,因此,IDS设备可以将该接入端口30确定为目标端口。
当IDS设备确定了与上述入侵报文对应的交换设备上的目标端口时,可以继续联动交换设备以通知交换设备关闭上述目标端口。
在本申请实施例中,IDS设备确定了与入侵报文对应的交换设备上的目标端口后,可以通过向交换设备发送携带目标端口的远程管理指令来触发交换设备关闭上述目标端口。其中,IDS设备可以基于Telnet协议或其他通信协议向交换设备发送远程管理指令。
在示出的一个实施方式中,IDS设备可以确定交换设备的30端口为目标端口,此时,IDS设备可以基于Telnet协议或其他通信协议向交换设备发送远程管理指令来触发交换设备关闭30端口。
当交换设备接收到上述管理指令时,可以关闭30端口,30端口关闭后,连接到30端口下的客户端C不能继续访问网络资源,致使入侵事件不能延续,同时,对于其他没有问题的客户端A、客户端B等也不造成影响。
在以上实施例中,通过将IDS设备与交换设备相连,使得IDS设备可以通过镜像端口监听交换设备的报文,并对监听到的报文进行入侵检测,当检测到入侵报文时,IDS设备可以联动交换设备来确定交换设备中与该入侵报文对应的目标端口并通知交换设备关闭该目标端口,从而实现对来自局域网内部入侵的阻断。
与前述入侵报文的防护方法的实施例相对应,本申请还提供了入侵报文的防护装置的实施例。
本申请入侵报文的防护装置的实施例可以应用在IDS设备上。装置实施例可以通过软件实现,也可以通过硬件或者软硬件结合的方式实现。以软件实现为例,作为一个逻辑意义上的装置,是通过其所在设备的处理器将非易失性存储器中对应的计算机程序指令读取到内存中运行形成的。从硬件层面而言,如图4所示,为本申请入侵报文的防护装置所在设备的一种硬件结构图,除了图4所示的处理器、内存、网络接口、以及非易失性存储器之外,实施例中装置所在的设备通常还可以包括其他硬件,如负责处理报文的转发芯片等等。
请参考图5,为本申请入侵报文的防护装置的一个实施例框图:
该装置可以包括:检测单元510、确定单元520以及关闭单元530。
检测单元510,用于针对基于镜像端口监听到的所述交换设备的报文进行入侵检测;
确定单元520,用于当检测出所述报文为入侵报文时,联动所述交换设备以确定所述交换设备中与所述入侵报文对应的目标端口;
关闭单元530,用于通知所述交换设备关闭所述目标端口。
在一个可选的实现方式中,所述检测单元510可以具体用于:
接收基于所述镜像端口监听到的所述交换设备的报文;
基于所述报文的报文负载进行入侵检测。
在一个可选的实现方式中,所述确定单元520可以具体用于:
获取入侵报文的报文属性信息;
基于所述入侵报文的报文属性信息查询预设的端口对应表;所述端口对应表包括所述交换设备上的接入端口与所述接入端口的属性信息之间的对应关系;
如果所述入侵报文的报文属性信息与所述端口对应表中任一接入端口的属性信息匹配时,将该接入端口确定为所述目标端口。
在一个可选的实现方式中,所述预设的端口对应表的创建过程可以具体为:
接收所述交换设备上报的本地所有主机的接入端口以及接入端口的属性信息;
基于所述交换设备上报的所述接入端口以及接入端口的属性信息创建所述端口对应表。
在一个可选的实现方式中,所述关闭单元530可以具体用于:
向所述交换设备发送携带所述目标端口的远程管理指令,以触发所述交换设备关闭所述目标端口。
上述装置中各个单元的功能和作用的实现过程具体详见上述方法中对应步骤的实现过程,在此不再赘述。
对于装置实施例而言,由于其基本对应于方法实施例,所以相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本申请方案的目的。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
本申请提供入侵报文的防护装置,通过将IDS设备与交换设备相连,使得IDS设备可以通过镜像端口监听交换设备的报文,并对监听到的报文进行入侵检测,当检测到入侵报文时,IDS设备可以联动交换设备来确定交换设备中与该入侵报文对应的目标端口并通知交换设备关闭该目标端口,从而实现对来自局域网内部入侵的阻断。
以上所述仅为本申请的较佳实施例而已,并不用以限制本申请,凡在本申请的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本申请保护的范围之内。
Claims (6)
1.一种入侵报文的防护方法,其特征在于,所述方法应用于入侵检测系统IDS设备上,所述IDS设备基于镜像端口监听与所述IDS设备相连的交换设备的报文,所述方法包括:
针对基于镜像端口监听到的所述交换设备的报文进行入侵检测;
当检测出所述报文为入侵报文时,联动所述交换设备以确定所述交换设备中与所述入侵报文对应的目标端口;
通知所述交换设备关闭所述目标端口,所述目标端口为交换设备上的物理端口;
其中,联动所述交换设备以确定所述交换设备中与所述入侵报文对应的目标端口的方法包括:获取入侵报文的报文属性信息;基于所述入侵报文的报文属性信息查询预设的端口对应表;所述端口对应表包括所述交换设备上的接入端口与所述接入端口的属性信息之间的对应关系;如果所述入侵报文的报文属性信息与所述端口对应表中任一接入端口的属性信息匹配时,将该接入端口确定为所述目标端口;
所述预设的端口对应表的创建方法包括:接收所述交换设备上报的本地所有主机的接入端口以及接入端口的属性信息;基于所述交换设备上报的所述接入端口以及接入端口的属性信息创建所述端口对应表。
2.根据权利要求1所述的方法,其特征在于,所述针对基于镜像端口监听到的所述交换设备的报文进行入侵检测包括:
接收基于所述镜像端口监听到的所述交换设备的报文;
基于所述报文的报文负载进行入侵检测。
3.根据权利要求1所述的方法,其特征在于,所述通知所述交换设备关闭所述目标端口包括:
向所述交换设备发送携带所述目标端口的远程管理指令,以触发所述交换设备关闭所述目标端口。
4.一种入侵报文的防护装置,其特征在于,所述装置应用于入侵检测系统IDS设备上,所述IDS设备基于镜像端口监听与所述IDS设备相连的交换设备的报文,所述装置包括:
检测单元,用于针对基于镜像端口监听到的所述交换设备的报文进行入侵检测;
确定单元,用于当检测出所述报文为入侵报文时,联动所述交换设备以确定所述交换设备中与所述入侵报文对应的目标端口;
关闭单元,用于通知所述交换设备关闭所述目标端口,所述目标端口为交换设备上的物理端口;
其中,确定单元具体用于:获取入侵报文的报文属性信息;基于所述入侵报文的报文属性信息查询预设的端口对应表;所述端口对应表包括所述交换设备上的接入端口与所述接入端口的属性信息之间的对应关系;如果所述入侵报文的报文属性信息与所述端口对应表中任一接入端口的属性信息匹配时,将该接入端口确定为所述目标端口;
所述预设的端口对应表的创建具体为:接收所述交换设备上报的本地所有主机的接入端口以及接入端口的属性信息;基于所述交换设备上报的所述接入端口以及接入端口的属性信息创建所述端口对应表。
5.根据权利要求4所述的装置,其特征在于,所述检测单元具体用于:
接收基于所述镜像端口监听到的所述交换设备的报文;
基于所述报文的报文负载进行入侵检测。
6.根据权利要求4所述的装置,其特征在于,所述关闭单元具体用于:
向所述交换设备发送携带所述目标端口的远程管理指令,以触发所述交换设备关闭所述目标端口。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610150250.2A CN105939338B (zh) | 2016-03-16 | 2016-03-16 | 入侵报文的防护方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610150250.2A CN105939338B (zh) | 2016-03-16 | 2016-03-16 | 入侵报文的防护方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN105939338A CN105939338A (zh) | 2016-09-14 |
| CN105939338B true CN105939338B (zh) | 2019-05-07 |
Family
ID=57152034
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201610150250.2A Active CN105939338B (zh) | 2016-03-16 | 2016-03-16 | 入侵报文的防护方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN105939338B (zh) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106330964B (zh) * | 2016-10-14 | 2019-10-11 | 成都信息工程大学 | 一种网络入侵探测与主动防御联动控制装置 |
| CN106790189B (zh) * | 2016-12-30 | 2019-12-06 | 杭州迪普科技股份有限公司 | 一种基于响应报文的入侵检测方法和装置 |
| CN110290124B (zh) * | 2019-06-14 | 2022-09-30 | 杭州迪普科技股份有限公司 | 一种交换机入端口阻断方法及装置 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1725709A (zh) * | 2005-06-30 | 2006-01-25 | 杭州华为三康技术有限公司 | 网络设备与入侵检测系统联动的方法 |
| CN1791021A (zh) * | 2005-12-21 | 2006-06-21 | 杭州华为三康技术有限公司 | 一种入侵检测系统与网络设备联动的系统及方法 |
| CN101997749A (zh) * | 2009-08-12 | 2011-03-30 | 甘肃省计算中心 | 一种融合了入侵检测功能的交换机 |
| CN105227515A (zh) * | 2014-05-28 | 2016-01-06 | 腾讯科技(深圳)有限公司 | 网络入侵阻断方法、装置及系统 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP1745631A1 (en) * | 2004-05-12 | 2007-01-24 | Alcatel | Automated containment of network intruder |
-
2016
- 2016-03-16 CN CN201610150250.2A patent/CN105939338B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1725709A (zh) * | 2005-06-30 | 2006-01-25 | 杭州华为三康技术有限公司 | 网络设备与入侵检测系统联动的方法 |
| CN1791021A (zh) * | 2005-12-21 | 2006-06-21 | 杭州华为三康技术有限公司 | 一种入侵检测系统与网络设备联动的系统及方法 |
| CN101997749A (zh) * | 2009-08-12 | 2011-03-30 | 甘肃省计算中心 | 一种融合了入侵检测功能的交换机 |
| CN105227515A (zh) * | 2014-05-28 | 2016-01-06 | 腾讯科技(深圳)有限公司 | 网络入侵阻断方法、装置及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN105939338A (zh) | 2016-09-14 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP6833672B2 (ja) | 通信ネットワークに接続された作業環境への攻撃を検出する方法 | |
| US9462009B1 (en) | Detecting risky domains | |
| CN1771709B (zh) | 用于产生网络攻击特征标记的方法和装置 | |
| US9954873B2 (en) | Mobile device-based intrusion prevention system | |
| Vasilomanolakis et al. | Multi-stage attack detection and signature generation with ICS honeypots | |
| US20080066173A1 (en) | System for verifying a client request | |
| CN105939326A (zh) | 处理报文的方法及装置 | |
| CN107046518A (zh) | 网络攻击的检测方法及装置 | |
| WO2016085499A1 (en) | Determine vulnerability using runtime agent and network sniffer | |
| CN105939338B (zh) | 入侵报文的防护方法及装置 | |
| CN104125215B (zh) | 网站域名劫持检测方法和系统 | |
| CN107342968A (zh) | 网页服务器的攻击检测方法、装置及系统 | |
| JP6203945B2 (ja) | 情報処理目標を決定するための方法及びシステム | |
| CN104796405B (zh) | 反弹连接检测方法和装置 | |
| CN109981587A (zh) | 一种基于apt攻击的网络安全监控溯源系统 | |
| CN109743314A (zh) | 网络异常的监控方法、装置、计算机设备及其存储介质 | |
| CN105959290A (zh) | 攻击报文的检测方法及装置 | |
| CN104852919A (zh) | 实现门户Portal认证的方法及装置 | |
| CN106790189B (zh) | 一种基于响应报文的入侵检测方法和装置 | |
| CN106921671B (zh) | 一种网络攻击的检测方法及装置 | |
| CN106506531A (zh) | Arp攻击报文的防御方法及装置 | |
| CN107404456A (zh) | 错误定位方法及装置 | |
| Ali et al. | Detection and prevention cyber-attacks for smart buildings via private cloud environment | |
| US20040233849A1 (en) | Methodologies, systems and computer readable media for identifying candidate relay nodes on a network architecture | |
| CN106209839B (zh) | 入侵报文的防护方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB02 | Change of applicant information |
Address after: Binjiang District and Hangzhou city in Zhejiang Province Road 310051 No. 68 in the 6 storey building Applicant after: Hangzhou Dipu Polytron Technologies Inc Address before: Binjiang District and Hangzhou city in Zhejiang Province Road 310051 No. 68 in the 6 storey building Applicant before: Hangzhou Dipu Technology Co., Ltd. |
|
| CB02 | Change of applicant information | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |