CN107395643B - 一种基于扫描探针行为的源ip保护方法 - Google Patents
一种基于扫描探针行为的源ip保护方法 Download PDFInfo
- Publication number
- CN107395643B CN107395643B CN201710779932.4A CN201710779932A CN107395643B CN 107395643 B CN107395643 B CN 107395643B CN 201710779932 A CN201710779932 A CN 201710779932A CN 107395643 B CN107395643 B CN 107395643B
- Authority
- CN
- China
- Prior art keywords
- message
- vlanid
- turning
- abnormal
- branch
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0485—Networking architectures for enhanced packet encryption processing, e.g. offloading of IPsec packet processing or efficient security association look-up
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供了一种基于扫描探针行为的源IP保护方法,包括如下内容:上联口接收报文后,将报文原封不动的拷贝给下联口;下联口接收报文后,分析报文协议类型,若存在异常,则将报文的VLANID修改为异常分支的VLANID,将报文发送到异常分支上发送出去,否则将报文发送到正常分支上发送出去。本发明具有以下优势:本发明保证了用户正常上网的服务质量,对于借用源IP地址的用户访问探针软件的行为,本软件能够自动探测到该IP的异常,并且在不封掉用户源IP的前提下,将异常流量自动切换到异常分支上进行处理,对该IP进行了保护,保证了用户还可以使用该IP切换到正常线路上正常上网。
Description
技术领域
本发明属于通讯技术领域,尤其是涉及一种基于扫描探针行为的源IP保护方法。
背景技术
目前,对于网络服务商对外提供服务时,一些恶意用户会借用网络服务商提供的源IP地址访问探针软件,这些异常流量是无形存在的,网络管理员并不能时刻察觉到,即使偶然观察到也不能及时记录这些恶意用户借用的源IP地址,并且还要保证这些源IP地址的正常用户的正常使用。那么为了更好的检测到这些恶意用户的源IP地址,基于访问探针软件的源IP保护的措施势在必行,因此,本软件就是在这种背景下而产生的。
发明内容
有鉴于此,本发明旨在提出一种基于扫描探针行为的源IP保护方法,对于异常用户使用源IP地址访问探针软件的流量时走异常分支,正常用户使用源IP地址访问外网流量时走正常分支。
为达到上述目的,本发明的技术方案是这样实现的:
一种基于扫描探针行为的源IP保护方法,包括如下内容:
上联口接收报文后,将报文原封不动的拷贝给下联口;
下联口接收报文后,分析报文协议类型,若存在异常,则将报文的VLANID修改为异常分支的VLANID,将报文发送到异常分支上发送出去;否则将报文发送到正常分支上发送出去。
进一步的,下联口接收报文后,具体进行如下步骤:
步骤a,判断是否是802.1q报文,若不是则直接发送到出接口,结束此过程;若是则转到步骤b;
步骤b,继续判断是否是IP报文,若是则转到步骤c,若不是则转到步骤e;
步骤c,继续判断IP报文头中的源IP地址是否已经在黑名单中,若是则转到步骤f,若不是则转到步骤d;
步骤d,继续偏移报文头,判断该IP报文类型是否是TCP报文,若不是则转到步骤g,若是则转到步骤e;
步骤e,通过规则匹配模块进一步处理,具体的,通过规则匹配模块对TCP报文进行解析,当解析出来的TCP报文头符合规定长度,则对其内容进行匹配;若匹配中,说明流量异常,有人访问了探针软件,则记录源IP地址,并转到步骤f;若未匹配中,说明用户上网行为正常,则转到步骤g;
步骤f,将报文的VLANID修改为异常分支的VLANID,将报文发送到异常分支上发送出去,结束此过程。
步骤g,将报文的VLANID修改为正常分支的VLANID,将报文发送到正常分支上发送出去,结束此过程。
进一步的,所述下联口报文处理过程主要通过如下三个模块进行处理:
下联任务配置模块:处理CLI或者WEB下发参数配置命令,包括两个监听接口,异常分支的VLANID和正常分支的VLANID,黑名单刷新间隔;
报文识别模块:通过报文识别模块分析报文协议类型;
规则匹配模块,当解析出来的TCP报文头符合规定长度,用于对其内容进行匹配。
相对于现有技术,本发明具有以下优势:
(1)本发明对于异常用户使用源IP地址访问探针软件的流量时走异常分支,正常用户使用源IP地址访问外网流量时走正常分支,并且将该异常用户使用的源IP地址和时间记录写入到文件中。
(2)本发明保证了用户正常上网的服务质量,对于借用源IP地址的用户访问探针软件的行为,本软件能够自动探测到该IP的异常,并且在不封掉用户源IP的前提下,将异常流量自动切换到异常分支上进行处理,对该IP进行了保护,保证了用户还可以使用该IP切换到正常线路上正常上网。
附图说明
构成本发明的一部分的附图用来提供对本发明的进一步理解,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中:
图1为本发明实施例所述上联口接收报文处理流程图;
图2为本发明实施例所述下联口接收报文处理流程图;
图3为本发明实施例所述上联口报文处理模块;
图4为本发明实施例所述下联口报文处理模块;
图5为本发明实施例所述下联任务配置模块图;
图6为本发明实施例的网络拓扑图;
图7为本发明实施例Web配置实现图。
具体实施方式
需要说明的是,在不冲突的情况下,本发明中的实施例及实施例中的特征可以相互组合。
下面将参考附图并结合实施例来详细说明本发明。
一种基于扫描探针行为的源IP保护方法,包括如下内容:
上联口接收报文后,不需要进行修改,将报文原封不动的拷贝给下联口,上联口接收报文处理流程如图1所示;
因为,上联口接收报文不需要IP保护,所谓IP保护,保护的是内网用户的上网行为。所以上联口的任务就是将报文原封不动的拷贝给下联口后,发送给内网用户,相当于桥模式将报文发送到对端,如图4所示,上联口处理过程主要是通过如下三个模块。
(1)上联任务配置模块:处理CLI(命令行界面(Command Line Interface))下发的参数配置命令,配置监听接口,与下联任务的配置模块的类似,都是配置两个监听接口。
(2)报文监听模块:当监听到事件为下联口写事件时,说明下联口收到的报文需要进行修改。
(3)报文拷贝模块:下联口收到的报文不需要进行修改,其实就是将上联口的报文原封不动的拷贝给下联口发送出去。
下联口接收报文后,分析报文协议类型提取报文源IP后经过报文匹配,根据匹配结果确认将报文发送到哪个流量分支上,下联口接收报文处理流程如图2所示,具体包括如下步骤:
步骤a,判断是否是802.1q报文,若不是则直接发送到出接口,结束此过程;若是则转到步骤b;
步骤b,继续判断是否是IP报文,若是则转到步骤c,若不是则转到步骤e;
步骤c,继续判断IP报文头中的源IP地址是否已经在黑名单中,若是则转到步骤f,若不是则转到步骤d;
步骤d,继续偏移报文头,判断该IP报文类型是否是TCP报文,若不是则转到步骤g,若是则转到步骤e;
步骤e,通过规则匹配模块进一步处理,具体的,通过规则匹配模块对TCP报文进行解析,当解析出来的TCP报文头符合规定长度,则对其内容进行匹配;若匹配中,说明流量异常,有人访问了探针软件,则记录源IP地址,并转到步骤f;若未匹配中,说明用户上网行为正常,则转到步骤g;
步骤f,将报文的VLANID修改为异常分支的VLANID,将报文发送到异常分支上发送出去,结束此过程。
步骤g,将报文的VLANID修改为正常分支的VLANID,将报文发送到正常分支上发送出去,结束此过程。
其中:下联口的处理过程主要通过如图4所示的三个主要处理模块进行处理:
下联任务配置模块:处理CLI或者WEB下发参数配置命令,如图5所示,包括两个监听接口,异常分支的VLANID和正常分支的VLANID,黑名单刷新间隔。
报文识别模块:通过报文识别模块分析报文协议类型。
规则匹配模块,当解析出来的TCP报文头符合规定长度,用于对其内容进行匹配。
本发明实施例的网络拓扑图如附图6所示,主要分三部分:
a.连接交换机31或33口的PC机相当于部署在网络中的客户上网设备;
b.openwrt设备是部署在机房的设备,所有用户上网必须经过的源IP保护设备;
c.另外部署在不同vlan中的两台vyatta设备是对用户上网流量进行分析后,使流通过不同的分支发送出去的设备,其中vlan 12是分流链路的VLANID,vlan 10是正常链路的VLANID与(附图7)web配置相对应。
本实施例的web配置实现如图7所示。
分流配置下联口:设备从内网向外网发送报文的入接口
上联口:设备从内网向外网发送报文的出接口
分流链路(异常分支设备)的VLAN ID:报文走分流链路设备所在VLAN
正常链路(正常分支设备)的VLAN ID:报文走正常链路设备所在VLAN
黑名单刷新间隔:源IP记录刷新间隔。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (3)
1.一种基于扫描探针行为的源IP保护方法,其特征在于包括如下内容:
上联口接收报文后,将报文原封不动的拷贝给下联口;
下联口接收报文后,分析报文协议类型,若存在异常,则将报文的VLANID修改为异常分支的VLANID,将报文发送到异常分支上发送出去;否则将报文发送到正常分支上发送出去;
下联口接收报文后,具体进行如下步骤:
步骤a,判断是否是802.1q报文,若不是则直接发送到出接口,结束此过程;若是则转到步骤b;
步骤b,继续判断是否是IP报文,若是则转到步骤c,若不是则转到步骤e;
步骤c,继续判断IP报文头中的源IP地址是否已经在黑名单中,若是则转到步骤f,若不是则转到步骤d;
步骤d,继续偏移报文头,判断该IP报文类型是否是TCP报文,若不是则转到步骤g,若是则转到步骤e;
步骤e,通过规则匹配模块进一步处理,具体的,通过规则匹配模块对TCP报文进行解析,当解析出来的TCP报文头符合规定长度,则对其内容进行匹配;若匹配中,说明流量异常,有人访问了探针软件,则记录源IP地址,并转到步骤f;若未匹配中,说明用户上网行为正常,则转到步骤g;
步骤f,将报文的VLANID修改为异常分支的VLANID,将报文发送到异常分支上发送出去,结束此过程;
步骤g,将报文的VLANID修改为正常分支的VLANID,将报文发送到正常分支上发送出去,结束此过程。
2.根据权利要求1所述的基于扫描探针行为的源IP保护方法,其特征在于:所述下联口报文处理过程主要通过如下三个模块进行处理:
下联任务配置模块:处理CLI或者WEB下发参数配置命令,包括两个监听接口,异常分支的VLANID和正常分支的VLANID,黑名单刷新间隔;
报文识别模块:通过报文识别模块分析报文协议类型;
规则匹配模块,当解析出来的TCP报文头符合规定长度,用于对其内容进行匹配。
3.一种基于扫描探针行为的源IP保护系统,其特征在于,包括所有用户上网必须经过的源IP保护设备、异常分支设备和正常分支设备,通过源IP保护设备分析后为异常流量,则将报文的VLANID修改为异常分支的VLANID,并发送到异常分支设备进行发送;否则将报文的VLANID修改为正常分支的VLANID,并发送到正常分支设备进行发送;其中,
源IP保护设备对报文的分析步骤如下:
步骤a,判断是否是802.1q报文,若不是则直接发送到出接口,结束此过程;若是则转到步骤b;
步骤b,继续判断是否是IP报文,若是则转到步骤c,若不是则转到步骤e;
步骤c,继续判断IP报文头中的源IP地址是否已经在黑名单中,若是则转到步骤f,若不是则转到步骤d;
步骤d,继续偏移报文头,判断该IP报文类型是否是TCP报文,若不是则转到步骤g,若是则转到步骤e;
步骤e,通过规则匹配模块进一步处理,具体的,通过规则匹配模块对TCP报文进行解析,当解析出来的TCP报文头符合规定长度,则对其内容进行匹配;若匹配中,说明流量异常,有人访问了探针软件,则记录源IP地址,并转到步骤f;若未匹配中,说明用户上网行为正常,则转到步骤g;
步骤f,将报文的VLANID修改为异常分支的VLANID,将报文发送到异常分支设备上发送出去,结束此过程;
步骤g,将报文的VLANID修改为正常分支的VLANID,将报文发送到正常分支设备上发送出去,结束此过程。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710779932.4A CN107395643B (zh) | 2017-09-01 | 2017-09-01 | 一种基于扫描探针行为的源ip保护方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710779932.4A CN107395643B (zh) | 2017-09-01 | 2017-09-01 | 一种基于扫描探针行为的源ip保护方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN107395643A CN107395643A (zh) | 2017-11-24 |
| CN107395643B true CN107395643B (zh) | 2020-09-11 |
Family
ID=60347208
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201710779932.4A Active CN107395643B (zh) | 2017-09-01 | 2017-09-01 | 一种基于扫描探针行为的源ip保护方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN107395643B (zh) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108471430A (zh) * | 2018-07-03 | 2018-08-31 | 杭州安恒信息技术股份有限公司 | 一种物联网嵌入式安全防护方法及装置 |
| CN109088769B (zh) * | 2018-08-18 | 2021-05-07 | 国网山西省电力公司信息通信分公司 | 一种诊断mpls-vpn数据报文的装置 |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1968271A (zh) * | 2005-05-10 | 2007-05-23 | 美国电报电话公司 | 通信网络中识别和禁止蠕虫的方法和装置 |
| CN101159713A (zh) * | 2007-11-14 | 2008-04-09 | 杭州华三通信技术有限公司 | 一种限制即时通信应用的方法、系统和装置 |
| CN101212338A (zh) * | 2006-12-30 | 2008-07-02 | 上海复旦光华信息科技股份有限公司 | 基于监控探针联动的网络安全事件溯源系统与方法 |
| CN101360019A (zh) * | 2008-09-18 | 2009-02-04 | 华为技术有限公司 | 一种僵尸网络的检测方法、系统和设备 |
| CN102045220A (zh) * | 2010-12-09 | 2011-05-04 | 国都兴业信息审计系统技术(北京)有限公司 | 木马监控审计方法及系统 |
| CN103581363A (zh) * | 2013-11-29 | 2014-02-12 | 杜跃进 | 对恶意域名和非法访问的控制方法及装置 |
| CN103914649A (zh) * | 2014-04-16 | 2014-07-09 | 西安电子科技大学 | 基于攻击策略图的实时警报综合分析处理方法及其入侵检测系统 |
| CN105681353A (zh) * | 2016-03-22 | 2016-06-15 | 浙江宇视科技有限公司 | 防御端口扫描入侵的方法及装置 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8838732B2 (en) * | 2007-03-22 | 2014-09-16 | Comscore, Inc. | Data transfer for network interaction fraudulence detection |
-
2017
- 2017-09-01 CN CN201710779932.4A patent/CN107395643B/zh active Active
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1968271A (zh) * | 2005-05-10 | 2007-05-23 | 美国电报电话公司 | 通信网络中识别和禁止蠕虫的方法和装置 |
| CN101212338A (zh) * | 2006-12-30 | 2008-07-02 | 上海复旦光华信息科技股份有限公司 | 基于监控探针联动的网络安全事件溯源系统与方法 |
| CN101159713A (zh) * | 2007-11-14 | 2008-04-09 | 杭州华三通信技术有限公司 | 一种限制即时通信应用的方法、系统和装置 |
| CN101360019A (zh) * | 2008-09-18 | 2009-02-04 | 华为技术有限公司 | 一种僵尸网络的检测方法、系统和设备 |
| CN102045220A (zh) * | 2010-12-09 | 2011-05-04 | 国都兴业信息审计系统技术(北京)有限公司 | 木马监控审计方法及系统 |
| CN103581363A (zh) * | 2013-11-29 | 2014-02-12 | 杜跃进 | 对恶意域名和非法访问的控制方法及装置 |
| CN103914649A (zh) * | 2014-04-16 | 2014-07-09 | 西安电子科技大学 | 基于攻击策略图的实时警报综合分析处理方法及其入侵检测系统 |
| CN105681353A (zh) * | 2016-03-22 | 2016-06-15 | 浙江宇视科技有限公司 | 防御端口扫描入侵的方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN107395643A (zh) | 2017-11-24 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10091167B2 (en) | Network traffic analysis to enhance rule-based network security | |
| JP7425832B2 (ja) | IoTセキュリティにおけるパターンマッチングベースの検出 | |
| CN105227383B (zh) | 一种网络拓扑排查的装置 | |
| US7975046B2 (en) | Verifying a lawful interception system | |
| US20060280189A1 (en) | Residential gateway discovery | |
| CN104601570A (zh) | 一种基于旁路监听和软件抓包技术的网络安全监控方法 | |
| JP2007006054A (ja) | パケット中継装置及びパケット中継システム | |
| WO2018116123A1 (en) | Protecting against unauthorized access to iot devices | |
| CN107276983A (zh) | 一种基于dpi和云同步的流量安全控制方法及系统 | |
| BR102019020060A2 (pt) | método para detecção de características de pontos de acesso, usando aprendizagem de máquina | |
| CN107395643B (zh) | 一种基于扫描探针行为的源ip保护方法 | |
| US8699489B2 (en) | Method and arrangement for transferring data packets | |
| CN111970233B (zh) | 一种网络违规外联场景的分析识别方法 | |
| CN104270325A (zh) | CPE设备基于Linux实现公网接入用户数限制的系统及方法 | |
| CN110659481A (zh) | 基于代理的漏洞扫描方法 | |
| WO2016197782A2 (zh) | 一种服务端口管理的方法、装置和计算机可读存储介质 | |
| CN107528847B (zh) | 一种基于mac分流的保护方法 | |
| US11979374B2 (en) | Local network device connection control | |
| US20040233849A1 (en) | Methodologies, systems and computer readable media for identifying candidate relay nodes on a network architecture | |
| CN105812324A (zh) | Idc信息安全管理的方法、装置及系统 | |
| CN114900377B (zh) | 一种基于诱导数据包的违规外联监测方法及系统 | |
| CN109889552A (zh) | 电力营销终端异常流量监控方法、系统及电力营销系统 | |
| CN109922055A (zh) | 一种风险终端的检测方法、系统及相关组件 | |
| JP2006099590A (ja) | アクセス制御装置、アクセス制御方法およびアクセス制御プログラム | |
| US20190173843A1 (en) | Network security system and method thereof |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |