CN107395643A - 一种基于扫描探针行为的源ip保护方法 - Google Patents
一种基于扫描探针行为的源ip保护方法 Download PDFInfo
- Publication number
- CN107395643A CN107395643A CN201710779932.4A CN201710779932A CN107395643A CN 107395643 A CN107395643 A CN 107395643A CN 201710779932 A CN201710779932 A CN 201710779932A CN 107395643 A CN107395643 A CN 107395643A
- Authority
- CN
- China
- Prior art keywords
- message
- vlanid
- sent
- source
- hooks
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0485—Networking architectures for enhanced packet encryption processing, e.g. offloading of IPsec packet processing or efficient security association look-up
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供了一种基于扫描探针行为的源IP保护方法,包括如下内容:上联口接收报文后,将报文原封不动的拷贝给下联口;下联口接收报文后,分析报文协议类型,若存在异常,则将报文的VLANID修改为异常分支的VLANID,将报文发送到异常分支上发送出去,否则将报文发送到正常分支上发送出去。本发明具有以下优势:本发明保证了用户正常上网的服务质量,对于借用源IP地址的用户访问探针软件的行为,本软件能够自动探测到该IP的异常,并且在不封掉用户源IP的前提下,将异常流量自动切换到异常分支上进行处理,对该IP进行了保护,保证了用户还可以使用该IP切换到正常线路上正常上网。
Description
技术领域
本发明属于通讯技术领域,尤其是涉及一种基于扫描探针行为的源IP保护方法。
背景技术
目前,对于网络服务商对外提供服务时,一些恶意用户会借用网络服务商提供的源IP地址访问探针软件,这些异常流量是无形存在的,网络管理员并不能时刻察觉到,即使偶然观察到也不能及时记录这些恶意用户借用的源IP地址,并且还要保证这些源IP地址的正常用户的正常使用。那么为了更好的检测到这些恶意用户的源IP地址,基于访问探针软件的源IP保护的措施势在必行,因此,本软件就是在这种背景下而产生的。
发明内容
有鉴于此,本发明旨在提出一种基于扫描探针行为的源IP保护方法,对于异常用户使用源IP地址访问探针软件的流量时走异常分支,正常用户使用源IP地址访问外网流量时走正常分支。
为达到上述目的,本发明的技术方案是这样实现的:
一种基于扫描探针行为的源IP保护方法,包括如下内容:
上联口接收报文后,将报文原封不动的拷贝给下联口;
下联口接收报文后,分析报文协议类型,若存在异常,则将报文的VLANID修改为异常分支的VLANID,将报文发送到异常分支上发送出去;否则将报文发送到正常分支上发送出去。
进一步的,下联口接收报文后,具体进行如下步骤:
步骤a,判断是否是802.1q报文,若不是则直接发送到出接口,结束此过程;若是则转到步骤b;
步骤b,继续判断是否是IP报文,若是则转到步骤c,若不是则转到步骤e;
步骤c,继续判断IP报文头中的源IP地址是否已经在黑名单中,若是则转到步骤f,若不是则转到步骤d;
步骤d,继续偏移报文头,判断该IP报文类型是否是TCP报文,若不是则转到步骤g,若是则转到步骤e;
步骤e,通过规则匹配模块进一步处理,具体的,通过规则匹配模块对TCP报文进行解析,当解析出来的TCP报文头符合规定长度,则对其内容进行匹配;若匹配中,说明流量异常,有人访问了探针软件,则记录源IP地址,并转到步骤f;若未匹配中,说明用户上网行为正常,则转到步骤g;
步骤f,将报文的VLANID修改为异常分支的VLANID,将报文发送到异常分支上发送出去,结束此过程。
步骤g,将报文的VLANID修改为正常分支的VLANID,将报文发送到正常分支上发送出去,结束此过程。
进一步的,所述下联口报文处理过程主要通过如下三个模块进行处理:
下联任务配置模块:处理CLI或者WEB下发参数配置命令,包括两个监听接口,异常分支的VLANID和正常分支的VLANID,黑名单刷新间隔;
报文识别模块:通过报文识别模块分析报文协议类型;
规则匹配模块,当解析出来的TCP报文头符合规定长度,用于对其内容进行匹配。
相对于现有技术,本发明具有以下优势:
(1)本发明对于异常用户使用源IP地址访问探针软件的流量时走异常分支,正常用户使用源IP地址访问外网流量时走正常分支,并且将该异常用户使用的源IP地址和时间记录写入到文件中。
(2)本发明保证了用户正常上网的服务质量,对于借用源IP地址的用户访问探针软件的行为,本软件能够自动探测到该IP的异常,并且在不封掉用户源IP的前提下,将异常流量自动切换到异常分支上进行处理,对该IP进行了保护,保证了用户还可以使用该IP切换到正常线路上正常上网。
附图说明
构成本发明的一部分的附图用来提供对本发明的进一步理解,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中:
图1为本发明实施例所述上联口接收报文处理流程图;
图2为本发明实施例所述下联口接收报文处理流程图;
图3为本发明实施例所述上联口报文处理模块;
图4为本发明实施例所述下联口报文处理模块;
图5为本发明实施例所述下联任务配置模块图;
图6为本发明实施例的网络拓扑图;
图7为本发明实施例Web配置实现图。
具体实施方式
需要说明的是,在不冲突的情况下,本发明中的实施例及实施例中的特征可以相互组合。
下面将参考附图并结合实施例来详细说明本发明。
一种基于扫描探针行为的源IP保护方法,包括如下内容:
上联口接收报文后,不需要进行修改,将报文原封不动的拷贝给下联口,上联口接收报文处理流程如图1所示;
因为,上联口接收报文不需要IP保护,所谓IP保护,保护的是内网用户的上网行为。所以上联口的任务就是将报文原封不动的拷贝给下联口后,发送给内网用户,相当于桥模式将报文发送到对端,如图4所示,上联口处理过程主要是通过如下三个模块。
(1)上联任务配置模块:处理CLI(命令行界面(Command Line Interface))下发的参数配置命令,配置监听接口,与下联任务的配置模块的类似,都是配置两个监听接口。
(2)报文监听模块:当监听到事件为下联口写事件时,说明下联口收到的报文需要进行修改。
(3)报文拷贝模块:下联口收到的报文不需要进行修改,其实就是将上联口的报文原封不动的拷贝给下联口发送出去。
下联口接收报文后,分析报文协议类型提取报文源IP后经过报文匹配,根据匹配结果确认将报文发送到哪个流量分支上,下联口接收报文处理流程如图2所示,具体包括如下步骤:
步骤a,判断是否是802.1q报文,若不是则直接发送到出接口,结束此过程;若是则转到步骤b;
步骤b,继续判断是否是IP报文,若是则转到步骤c,若不是则转到步骤e;
步骤c,继续判断IP报文头中的源IP地址是否已经在黑名单中,若是则转到步骤f,若不是则转到步骤d;
步骤d,继续偏移报文头,判断该IP报文类型是否是TCP报文,若不是则转到步骤g,若是则转到步骤e;
步骤e,通过规则匹配模块进一步处理,具体的,通过规则匹配模块对TCP报文进行解析,当解析出来的TCP报文头符合规定长度,则对其内容进行匹配;若匹配中,说明流量异常,有人访问了探针软件,则记录源IP地址,并转到步骤f;若未匹配中,说明用户上网行为正常,则转到步骤g;
步骤f,将报文的VLANID修改为异常分支的VLANID,将报文发送到异常分支上发送出去,结束此过程。
步骤g,将报文的VLANID修改为正常分支的VLANID,将报文发送到正常分支上发送出去,结束此过程。
其中:下联口的处理过程主要通过如图4所示的三个主要处理模块进行处理:
下联任务配置模块:处理CLI或者WEB下发参数配置命令,如图5所示,包括两个监听接口,异常分支的VLANID和正常分支的VLANID,黑名单刷新间隔。
报文识别模块:通过报文识别模块分析报文协议类型。
规则匹配模块,当解析出来的TCP报文头符合规定长度,用于对其内容进行匹配。
本发明实施例的网络拓扑图如附图6所示,主要分三部分:
a.连接交换机31或33口的PC机相当于部署在网络中的客户上网设备;
b.openwrt设备是部署在机房的设备,所有用户上网必须经过的源IP保护设备;
c.另外部署在不同vlan中的两台vyatta设备是对用户上网流量进行分析后,使流通过不同的分支发送出去的设备,其中vlan 12是分流链路的VLANID,vlan 10是正常链路的VLANID与(附图7)web配置相对应。
本实施例的web配置实现如图7所示。
分流配置下联口:设备从内网向外网发送报文的入接口
上联口:设备从内网向外网发送报文的出接口
分流链路(异常分支设备)的VLAN ID:报文走分流链路设备所在VLAN
正常链路(正常分支设备)的VLAN ID:报文走正常链路设备所在VLAN
黑名单刷新间隔:源IP记录刷新间隔。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (4)
1.一种基于扫描探针行为的源IP保护方法,其特征在于包括如下内容:
上联口接收报文后,将报文原封不动的拷贝给下联口;
下联口接收报文后,分析报文协议类型,若存在异常,则将报文的VLANID修改为异常分支的VLANID,将报文发送到异常分支上发送出去;否则将报文发送到正常分支上发送出去。
2.根据权利要求1所述的基于扫描探针行为的源IP保护方法,其特征在于:下联口接收报文后,具体进行如下步骤:
步骤a,判断是否是802.1q报文,若不是则直接发送到出接口,结束此过程;若是则转到步骤b;
步骤b,继续判断是否是IP报文,若是则转到步骤c,若不是则转到步骤e;
步骤c,继续判断IP报文头中的源IP地址是否已经在黑名单中,若是则转到步骤f,若不是则转到步骤d;
步骤d,继续偏移报文头,判断该IP报文类型是否是TCP报文,若不是则转到步骤g,若是则转到步骤e;
步骤e,通过规则匹配模块进一步处理,具体的,通过规则匹配模块对TCP报文进行解析,当解析出来的TCP报文头符合规定长度,则对其内容进行匹配;若匹配中,说明流量异常,有人访问了探针软件,则记录源IP地址,并转到步骤f;若未匹配中,说明用户上网行为正常,则转到步骤g;
步骤f,将报文的VLANID修改为异常分支的VLANID,将报文发送到异常分支上发送出去,结束此过程。
步骤g,将报文的VLANID修改为正常分支的VLANID,将报文发送到正常分支上发送出去,结束此过程。
3.根据权利要求2所述的基于扫描探针行为的源IP保护方法,其特征在于:所述下联口报文处理过程主要通过如下三个模块进行处理:
下联任务配置模块:处理CLI或者WEB下发参数配置命令,包括两个监听接口,异常分支的VLANID和正常分支的VLANID,黑名单刷新间隔;
报文识别模块:通过报文识别模块分析报文协议类型;
规则匹配模块,当解析出来的TCP报文头符合规定长度,用于对其内容进行匹配。
4.一种基于扫描探针行为的源IP保护系统,其特征在于,包括所有用户上网必须经过的源IP保护设备、异常分支设备和正常分支设备,通过源IP保护设备分析后为异常流量,则将报文的VLANID修改为异常分支的VLANID,并发送到异常分支设备进行发送;否则将报文的VLANID修改为正常分支的VLANID,并发送到正常分支设备进行发送。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710779932.4A CN107395643B (zh) | 2017-09-01 | 2017-09-01 | 一种基于扫描探针行为的源ip保护方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710779932.4A CN107395643B (zh) | 2017-09-01 | 2017-09-01 | 一种基于扫描探针行为的源ip保护方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN107395643A true CN107395643A (zh) | 2017-11-24 |
| CN107395643B CN107395643B (zh) | 2020-09-11 |
Family
ID=60347208
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201710779932.4A Active CN107395643B (zh) | 2017-09-01 | 2017-09-01 | 一种基于扫描探针行为的源ip保护方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN107395643B (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108471430A (zh) * | 2018-07-03 | 2018-08-31 | 杭州安恒信息技术股份有限公司 | 一种物联网嵌入式安全防护方法及装置 |
| CN109088769A (zh) * | 2018-08-18 | 2018-12-25 | 国网山西省电力公司信息通信分公司 | 一种诊断mpls-vpn数据报文的装置 |
Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1968271A (zh) * | 2005-05-10 | 2007-05-23 | 美国电报电话公司 | 通信网络中识别和禁止蠕虫的方法和装置 |
| CN101159713A (zh) * | 2007-11-14 | 2008-04-09 | 杭州华三通信技术有限公司 | 一种限制即时通信应用的方法、系统和装置 |
| CN101212338A (zh) * | 2006-12-30 | 2008-07-02 | 上海复旦光华信息科技股份有限公司 | 基于监控探针联动的网络安全事件溯源系统与方法 |
| CN101360019A (zh) * | 2008-09-18 | 2009-02-04 | 华为技术有限公司 | 一种僵尸网络的检测方法、系统和设备 |
| CN102045220A (zh) * | 2010-12-09 | 2011-05-04 | 国都兴业信息审计系统技术(北京)有限公司 | 木马监控审计方法及系统 |
| US20110208827A1 (en) * | 2007-03-22 | 2011-08-25 | Anchor Intelligence, Inc. | Data transfer for network interaction fraudulence detection |
| CN103581363A (zh) * | 2013-11-29 | 2014-02-12 | 杜跃进 | 对恶意域名和非法访问的控制方法及装置 |
| CN103914649A (zh) * | 2014-04-16 | 2014-07-09 | 西安电子科技大学 | 基于攻击策略图的实时警报综合分析处理方法及其入侵检测系统 |
| CN105681353A (zh) * | 2016-03-22 | 2016-06-15 | 浙江宇视科技有限公司 | 防御端口扫描入侵的方法及装置 |
-
2017
- 2017-09-01 CN CN201710779932.4A patent/CN107395643B/zh active Active
Patent Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1968271A (zh) * | 2005-05-10 | 2007-05-23 | 美国电报电话公司 | 通信网络中识别和禁止蠕虫的方法和装置 |
| CN101212338A (zh) * | 2006-12-30 | 2008-07-02 | 上海复旦光华信息科技股份有限公司 | 基于监控探针联动的网络安全事件溯源系统与方法 |
| US20110208827A1 (en) * | 2007-03-22 | 2011-08-25 | Anchor Intelligence, Inc. | Data transfer for network interaction fraudulence detection |
| CN101159713A (zh) * | 2007-11-14 | 2008-04-09 | 杭州华三通信技术有限公司 | 一种限制即时通信应用的方法、系统和装置 |
| CN101360019A (zh) * | 2008-09-18 | 2009-02-04 | 华为技术有限公司 | 一种僵尸网络的检测方法、系统和设备 |
| CN102045220A (zh) * | 2010-12-09 | 2011-05-04 | 国都兴业信息审计系统技术(北京)有限公司 | 木马监控审计方法及系统 |
| CN103581363A (zh) * | 2013-11-29 | 2014-02-12 | 杜跃进 | 对恶意域名和非法访问的控制方法及装置 |
| CN103914649A (zh) * | 2014-04-16 | 2014-07-09 | 西安电子科技大学 | 基于攻击策略图的实时警报综合分析处理方法及其入侵检测系统 |
| CN105681353A (zh) * | 2016-03-22 | 2016-06-15 | 浙江宇视科技有限公司 | 防御端口扫描入侵的方法及装置 |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108471430A (zh) * | 2018-07-03 | 2018-08-31 | 杭州安恒信息技术股份有限公司 | 一种物联网嵌入式安全防护方法及装置 |
| CN109088769A (zh) * | 2018-08-18 | 2018-12-25 | 国网山西省电力公司信息通信分公司 | 一种诊断mpls-vpn数据报文的装置 |
| CN109088769B (zh) * | 2018-08-18 | 2021-05-07 | 国网山西省电力公司信息通信分公司 | 一种诊断mpls-vpn数据报文的装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN107395643B (zh) | 2020-09-11 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10091167B2 (en) | Network traffic analysis to enhance rule-based network security | |
| CN108848067B (zh) | 智能学习并预置只读白名单规则的opc协议安全防护方法 | |
| CN110401624A (zh) | 源网荷系统交互报文异常的检测方法及系统 | |
| KR101486307B1 (ko) | 보안 관제 장치 및 그 방법 | |
| US7738403B2 (en) | Method for determining the operations performed on packets by a network device | |
| US20020078202A1 (en) | IP network system having unauthorized intrusion safeguard function | |
| US20020133606A1 (en) | Filtering apparatus, filtering method and computer product | |
| CN107733878A (zh) | 一种工业控制系统的安全防护装置 | |
| CN106789980A (zh) | 一种网站合法性的安全监管方法和装置 | |
| CN107395588A (zh) | 视频监控接入安全阻断方法及系统 | |
| CN109981587A (zh) | 一种基于apt攻击的网络安全监控溯源系统 | |
| CN110505235A (zh) | 一种绕过云waf的恶意请求的检测系统及方法 | |
| JP2006252256A (ja) | ネットワーク管理システム、方法およびプログラム | |
| CN104363240A (zh) | 基于信息流行为合法性检测的未知威胁的综合检测方法 | |
| CN107395643A (zh) | 一种基于扫描探针行为的源ip保护方法 | |
| CN111970233B (zh) | 一种网络违规外联场景的分析识别方法 | |
| CN106789982B (zh) | 一种应用于工业控制系统中的安全防护方法和系统 | |
| CN109165508A (zh) | 一种外部设备访问安全控制系统及其控制方法 | |
| CN108156043A (zh) | 一种基于白名单和约束集流控的视频监控安全接入方法 | |
| WO2004070547A3 (en) | Method and device for monitoring data traffic and preventing unauthorized access to a network | |
| CN107528847A (zh) | 一种基于mac分流的保护方法 | |
| CN106572103B (zh) | 一种基于sdn网络架构的隐藏端口检测方法 | |
| KR20160133458A (ko) | 인터넷 연결 인증정보를 획득하는 방법 및 장치 | |
| JP2008219149A (ja) | トラヒック制御システムおよびトラヒック制御方法 | |
| CN109922055A (zh) | 一种风险终端的检测方法、系统及相关组件 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |