CN108900477B - 一种基于网关抑制外部网络干扰的方法 - Google Patents

一种基于网关抑制外部网络干扰的方法 Download PDF

Info

Publication number
CN108900477B
CN108900477B CN201810587767.7A CN201810587767A CN108900477B CN 108900477 B CN108900477 B CN 108900477B CN 201810587767 A CN201810587767 A CN 201810587767A CN 108900477 B CN108900477 B CN 108900477B
Authority
CN
China
Prior art keywords
data
node
network
linked list
external network
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201810587767.7A
Other languages
English (en)
Other versions
CN108900477A (zh
Inventor
俞凌
卢铭
卓明
李永成
王振
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Sichuan Security Control Technology Co ltd
Original Assignee
Beijing Echo Technologies Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Echo Technologies Co ltd filed Critical Beijing Echo Technologies Co ltd
Priority to CN201810587767.7A priority Critical patent/CN108900477B/zh
Publication of CN108900477A publication Critical patent/CN108900477A/zh
Application granted granted Critical
Publication of CN108900477B publication Critical patent/CN108900477B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/66Arrangements for connecting between networks having differing types of switching systems, e.g. gateways
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开一种基于网关抑制外部网络干扰的方法。所述方法包括在网关中执行的以下步骤:屏蔽由外部网络经第一网卡进入的网络广播风暴和SYN泛洪攻击;进一步屏蔽目的IP为非本机IP的外部网络数据;接收各种协议的外部网络数据并建立链表;根据外部网络数据的目的IP及应用端口号,采用不同的协议格式通过第二网卡向内部网络发送所述链表中的数据;根据链表中每个节点的数据点数和节点数量动态调节发送数据速率,使发送数据速率保持在设定的范围内。本发明不仅能够屏蔽来自外部网络的多种攻击和干扰,还能有效降低外部网络数据对内部网络设备的通信压力,使内部网络设备的通信速率保持在设定的范围内。

Description

一种基于网关抑制外部网络干扰的方法
技术领域
本发明属于网络安全技术领域,具体涉及一种基于网关抑制外网络干扰的方法。
背景技术
随着计算机网络的迅速发展,计算机网络系统的应用范围不断扩大,使人们对计算机网络系统的依赖程度也越来越大。计算机网络的发展引发了一场信息革命,丰富了人们的生活,也改变了人们的生活。网络在人们生活中占据着不可或缺的重要地位,成为人们生活中必不可少的重要组成部分,是人们获取信息、学习知识、交流沟通、购物工作的主要平台。因此,网络发挥着越来越重要的作用。
计算机网络系统提供了资源共享性,系统的可靠性,工作效率和系统的可扩充性。然而,正是这些特点增加了网络受攻击和威胁的可能性,使计算机网络系统的安全面临巨大的挑战。例如,一个企业或学校的内部网络就经常受到来自复杂的外部网络系统的攻击和威胁。针对越来越复杂的网络环境,提高内部网络工作的安全性与稳定性,使其免受外部网络的干扰和影响,显得尤为重要。
发明内容
为了解决现有技术中存在的上述问题,本发明提出一种基于网关抑制外部网络干扰的方法。
为实现上述目的,本发明采用如下技术方案:
一种基于网关抑制外部网络干扰的方法,包括在通过第一网卡和第二网卡分别连接外部网络和内部网络的网关中执行的以下步骤:
步骤1,屏蔽由外部网络经第一网卡进入的网络广播风暴和SYN(Synchronizesequence numbers,同步序列编号)泛洪攻击;
步骤2,进一步屏蔽目的IP为非本机IP的外部网络数据;
步骤3,接收各种协议的外部网络数据,将接收到的一组地址连续的数据点称为一个数据段,利用接收到的数据段建立一个由节点组成的链表,每个节点包含一个或多个数据段;
步骤4,根据外部网络数据的目的IP及应用端口号,采用不同的协议格式通过第二网卡向内部网络发送所述链表中的数据;
步骤5,根据链表中每个节点的数据点数和节点数量动态调节发送数据速率,使发送数据速率保持在设定的范围内。
与现有技术相比,本发明具有以下有益效果:
本发明通过利用网关屏蔽由外部网络经网关的第一网卡进入的网络广播风暴和SYN泛洪攻击,进一步屏蔽目的IP为非本机IP的外部网络数据,接收外部网络数据并利用所述数据建立链表,通过网关的第二网卡向内部网络发送所述链表中的数据,根据链表中每个节点的数据点数和节点数量动态调节发送数据速率,不仅能够屏蔽来自外部网络的多种攻击和干扰,还能有效降低外部网络数据对内部网络设备的通信压力,使内部网络设备的通信速率保持在设定的范围内。
附图说明
图1为本发明实施例所涉及的网关的结构示意图。
具体实施方式
下面结合附图对本发明作进一步详细说明。
本发明实施例一种基于网关抑制外部网络干扰的方法,由连接外部网络和内部网络的网关实现,所述网关的结构示意图如图1所示,主要由与外部网络连接的第一网卡、与内部网络连接的第二网卡和中央处理单元组成,所述方法包括在网关中执行的以下步骤:
S101、屏蔽由外部网络经第一网卡进入的网络广播风暴和SYN泛洪攻击;
本步骤用于实现来自外部网络的网络广播风暴和SYN泛洪攻击。
广播是指将一个数据帧或数据包传输到本地网段(由广播域定义)上的每个节点。由于网络拓扑的设计和连接问题,或其它原因导致广播在网段内大量复制,传播数据帧,导致网络性能下降,甚至网络瘫痪。这就是网络广播风暴。广播数据包作为一种特殊功能的网络协议数据包,可传递到本地网段的任何位置,因此具有明确的数据特征,例如目的MAC(Media Access Control,媒体访问控制,即物理地址)为6个FF。可根据数据包的目的MAC识别网络广播风暴并进行屏蔽。
SYN泛洪攻击是利用TCP协议的三次握手机制,伪造IP地址向被攻击端发出请求。而被攻击端发出的响应报文将永远发送不到目的地,那么被攻击端在等待关闭这个连接的过程中白白消耗了资源,如果有成千上万的这种连接,主机资源将被耗尽,从而达到攻击的目的。泛洪攻击的数据包是一种特殊功能的网络协议数据包,其主要特征为协议标志位为SYN。因此,在处理泛洪攻击时,可通过获取协议标志位结合数据的通信速率判断是否受到SYN泛洪攻击,通过限制通信速率消除SYN泛洪攻击的影响。
S102、进一步屏蔽目的IP为非本机IP的外部网络数据;
在本步骤中,对经S101处理后数据继续进行处理,主要是屏蔽目的IP不是本机IP的外部网络数据,使进入内部网络的数据更加纯净。
S103、接收各种协议的外部网络数据,将接收到的一组地址连续的数据点称为一个数据段,利用接收到的数据段建立一个由节点组成的链表,每个节点包含一个或多个数据段;
在本步骤中,将接收到的数据段进行组合,建立一个由节点组成的链表。建立链表是为了后面的数据发送和通信速率动态调节做准备。一个数据段包含多个地址连续的数据点;一个节点包含一个或多个数据段,一个节点可以包含很多数据点;一个链表包含多个节点,但节点数量不宜太多,一般在10个左右。
S104、根据外部网络数据的目的IP及应用端口号,采用不同的协议格式通过第二网卡向内部网络发送所述链表中的数据;
本步骤用于将链表中的数据按照目的IP及应用端口号,采用不同的协议格式发送给内部网络设备。协议格式包括MODBUS协议、IEC104协议、DNP3协议、自定义协议等。
S105、根据链表中每个节点的数据点数和节点数量动态调节发送数据速率,使发送数据速率保持在设定的范围内。
在本步骤中,为了减小内部网络设备的通信压力,使内部网络设备能够稳定工作,动态调节发送数据速率。所谓动态调节发送数据速率,是指节点数不同的链表(为了更新数据定时重建链表)采取不同的速率,同一链表中数据点数不同的节点采取不同的速率,而不是采取固定的速率。
作为一种可选实施例,所述S101屏蔽网络广播风暴的方法具体包括:
获取接收数据包的目的MAC;
如果所述数据包的目的MAC为FF:FF:FF:FF:FF:FF,则所述数据包属于网络广播风暴数据,舍弃所述数据包。
本实施例给出了屏蔽网络广播风暴的一种技术方案。如前述,网络广播风暴的一个显著特征是数据包的目的MAC是6个FF,因此首先获取接收到的数据包的目的MAC,然后判断所述MAC是否为FF:FF:FF:FF:FF:FF,如果是,认为是网络广播风暴数据,舍弃该数据包。
作为一种可选实施例,所述S101屏蔽SYN泛洪攻击的方法具体包括:
提取接收数据包的协议标志位,统计一段时间内协议标志位为SYN的数据包的数量D;
如果D超过设定的阈值,认为受到SYN泛洪攻击,拒绝其同步请求,直到D降低到小于设定的阈值。
本实施例给出了屏蔽SYN泛洪攻击的一种技术方案。根据前述SYN泛洪攻击的特征及原理,只要使协议标志位为SYN的数据包的接收速率降低到一定的值,就能消除SYN泛洪攻击的影响了。因此,本实施例通过统计一段时间内协议标志位为SYN的数据包的数量D,并与设定的阈值进行比较,如果超过所述阈值,拒绝其同步请求,直到D降低到小于所述阈值。所述阈值根据经验进行选取,例如,如果统计时间为1毫秒,阈值可取10,即每毫秒10个数据包。
作为一种可选实施例,所述S103利用所有数据段建立链表的方法具体包括:
S1031、逐一获取数据段,并对数据段的每个数据点按照地址从小到大顺序连续编号,将第一个获取的数据段作为第一个插入链表的节点;
S1032、将新获取的数据段的数据点范围依次与链表中每个节点的数据点范围进行比较,当新获取的数据段的数据点编号的最小值Ax和最大值Bx与某个节点的数据点编号的最小值Aj和最大值Bj满足以下条件时的处理方法为:
条件1:如果Aj≤Ax<Bx≤Bj,则不更新所述节点;
条件2:如果Ax<Aj<Bj<Bx,则将所述节点更新为:Aj=Ax,Bj=Bx
条件3:如果Aj<Ax≤Bj<Bx,则将所述节点更新为:Aj不变,Bj=Bx
条件4:如果Ax<Aj≤Bx<Bj,则将所述节点更新为:Aj=Ax,Bj不变;
条件5:如果Aj<Bj<Ax<Bx,且Ax-Bj≤100,则将所述节点更新为:Aj不变,Bj=Bx
条件6:如果Ax<Bx<Aj<Bj,且Aj-Bx≤100,则将所述节点更新为:Aj=Ax,Bj不变;
条件7:如果新获取的数据段与所有节点均满足Aj<Bj<Ax<Bx,且Ax-Bj>100,或Ax<Bx<Aj<Bj,且Aj-Bx>100,则将新获取的数据段作为新节点按照其数据点编号大小插入链表。
本实施例给出了利用接收到的数据段建立链表的一种技术方案。建立链表主要包括插入节点和更新或修正节点范围。当新获取的数据段与所有的已有节点都没有交集(没有编号相同的数据点)且距离都大于100个数据点时,将所述数据段作为新节点插入链表;如果所述数据段与其中一个节点有交集但不完全包含在所述节点的范围中或距离小于100个数据点,用所述数据段对所述节点进行更新。本实施例选取100个数据点作为判断是否插入新节点的最小距离,只是一种较佳的实施方式,并不限于100,不排斥其它可行的数值,如151、126、90、78等。
作为一种可选实施例,所述S103还包括:每隔一段时间删除链表,利用新接收的网络数据重建新的链表。
在本实施例中,为了实时处理来自外部网络的新数据,对所建链表进行定期更新,即删除原来的链表,利用新接收的网络数据重新构建链表。
作为一种可选实施例,所述S105具体包括:
S1051、按照(1)式调节链表中节点内数据单元的发送间隔,一个标准数据单元由同时发送的100个数据点组成:
Figure BDA0001689709710000061
(1)式中:Tadjust为节点内数据单元的发送间隔,单位为毫秒;Tstandard为节点内只有两个数据单元时期望的发送间隔,Tstandard=200毫秒;Node_len为节点内数据点的数量;int()表示取整运算;
S1052、按照(2)式调节链表中节点的发送间隔:
Figure BDA0001689709710000062
(2)式中:TN_Adjust为节点发送间隔,单位为毫秒;TN_standard为链表中节点数量为2个时期望的节点发送间隔,TN_standard=200毫秒;Node_num为链表中节点的数量。
本实施例给出了动态调节发送数据速率的一种技术方案。调节方法包含两个步骤S1051和S1052。S1051是调节链表中节点内数据单元的发送间隔Tadjust。网络数据发送不是逐点发送的,而是以数据单元(如数据包)为单位发送的,即每个数据单元内的数据点同时发送。所以(1)式中采用数据点数除以100再取整,100是一个数据单元包含的数据点数,这样就能保证同一数据单元内的数据点对应相同的Tadjust。(1)式中数据点的最小值为101,是考虑到只有两个以上数据单元才涉及发送数据单元的间隔,而两个数据单元最少需要100+1=101个数据点。按照(1)式可以使Tadjust在20~200毫秒范围内变化。同样,一个标准数据单元内的数据点为100也是一种较佳的实施方式,并不限于100,不排斥其它可行的取值。
S1052是调节链表中节点间的发送间隔TN_standard。按照(2)式可以使TN_standard在100~200毫秒范围内变化。
上述仅对本发明中的几种具体实施例加以说明,但并不能作为本发明的保护范围,凡是依据本发明中的设计精神所做出的等效变化或修饰或等比例放大或缩小等,均应认为落入本发明的保护范围。

Claims (5)

1.一种基于网关抑制外部网络干扰的方法,其特征在于,包括在通过第一网卡和第二网卡分别连接外部网络和内部网络的网关中执行的以下步骤:
步骤1,屏蔽由外部网络经第一网卡进入的网络广播风暴和SYN泛洪攻击;
步骤2,进一步屏蔽目的IP为非本机IP的外部网络数据;
步骤3,接收各种协议的外部网络数据,将接收到的一组地址连续的数据点称为一个数据段,利用接收到的数据段建立一个由节点组成的链表,每个节点包含一个或多个数据段;
步骤4,根据外部网络数据的目的IP及应用端口号,采用不同的协议格式通过第二网卡向内部网络发送所述链表中的数据;
步骤5,根据链表中每个节点的数据点数和节点数量动态调节发送数据速率,使发送数据速率保持在设定的范围内,具体包括:
按照(1)式调节链表中节点内数据单元的发送间隔,一个标准数据单元由同时发送的100个数据点组成:
Figure FDA0002570568430000011
(1)式中:Tadjust为节点内数据单元的发送间隔,单位为毫秒;Tstandard为节点内只有两个数据单元时期望的发送间隔,Tstandard=200毫秒;Node_len为节点内数据点的数量;int()表示取整运算;
按照(2)式调节链表中节点的发送间隔:
Figure FDA0002570568430000012
(2)式中:TN_Adjust为节点发送间隔,单位为毫秒;TN_standard为链表中节点数量为2个时期望的节点发送间隔,TN_standard=200毫秒;Node_num为链表中节点的数量。
2.根据权利要求1所述的基于网关抑制外部网络干扰的方法,其特征在于,所述步骤1屏蔽网络广播风暴的方法具体包括:
获取接收数据包的目的MAC;
如果所述数据包的目的MAC为FF:FF:FF:FF:FF:FF,则所述数据包属于网络广播风暴数据,舍弃所述数据包。
3.根据权利要求1所述的基于网关抑制外部网络干扰的方法,其特征在于,所述步骤1屏蔽SYN泛洪攻击的方法具体包括:
提取接收数据包的协议标志位,统计一段时间内协议标志位为SYN的数据包的数量D;
如果D超过设定的阈值,认为受到SYN泛洪攻击,拒绝其同步请求,直到D小于设定的阈值。
4.根据权利要求1所述的基于网关抑制外部网络干扰的方法,其特征在于,所述步骤3利用所有数据段建立链表的方法具体包括:
步骤3.1,逐一获取数据段,并对数据段的每个数据点按照地址从小到大顺序连续编号,将第一个获取的数据段作为第一个插入链表的节点;
步骤3.2,将新获取的数据段的数据点范围依次与链表中每个节点的数据点范围进行比较,当新获取的数据段的数据点编号的最小值Ax和最大值Bx与某个节点的数据点编号的最小值Aj和最大值Bj满足以下条件时的处理方法为:
条件1:如果Aj≤Ax<Bx≤Bj,则不更新所述节点;
条件2:如果Ax<Aj<Bj<Bx,则将所述节点更新为:Aj=Ax,Bj=Bx
条件3:如果Aj<Ax≤Bj<Bx,则将所述节点更新为:Aj不变,Bj=Bx
条件4:如果Ax<Aj≤Bx<Bj,则将所述节点更新为:Aj=Ax,Bj不变;
条件5:如果Aj<Bj<Ax<Bx,且Ax-Bj≤100,则将所述节点更新为:Aj不变,Bj=Bx
条件6:如果Ax<Bx<Aj<Bj,且Aj-Bx≤100,则将所述节点更新为:Aj=Ax,Bj不变;
条件7:如果新获取的数据段与所有节点均满足Aj<Bj<Ax<Bx,且Ax-Bj>100,或Ax<Bx<Aj<Bj,且Aj-Bx>100,则将新获取的数据段作为新节点按照其数据点编号大小插入链表。
5.根据权利要求1所述的基于网关抑制外部网络干扰的方法,其特征在于,所述步骤3还包括:每隔一段时间删除链表,利用新接收的网络数据重建新的链表。
CN201810587767.7A 2018-06-08 2018-06-08 一种基于网关抑制外部网络干扰的方法 Active CN108900477B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201810587767.7A CN108900477B (zh) 2018-06-08 2018-06-08 一种基于网关抑制外部网络干扰的方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201810587767.7A CN108900477B (zh) 2018-06-08 2018-06-08 一种基于网关抑制外部网络干扰的方法

Publications (2)

Publication Number Publication Date
CN108900477A CN108900477A (zh) 2018-11-27
CN108900477B true CN108900477B (zh) 2020-10-30

Family

ID=64344501

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201810587767.7A Active CN108900477B (zh) 2018-06-08 2018-06-08 一种基于网关抑制外部网络干扰的方法

Country Status (1)

Country Link
CN (1) CN108900477B (zh)

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7389537B1 (en) * 2001-10-09 2008-06-17 Juniper Networks, Inc. Rate limiting data traffic in a network
US7230922B1 (en) * 2002-04-05 2007-06-12 Cingular Wireless Ii, Llc Real-time rate control mechanism for multi-rate data transmissions in wireless networks
CN102196365A (zh) * 2011-04-25 2011-09-21 北京交通大学 一种抑制网络广播风暴的方法和装置
CN104780563A (zh) * 2014-01-14 2015-07-15 广州航天海特系统工程有限公司 一种传感器网络拥塞控制方法
CN103944912B (zh) * 2014-04-28 2017-02-15 东华大学 一种防范网络中各种新兴和未知攻击行为的方法
CN106921587B (zh) * 2015-12-28 2020-07-10 阿里巴巴集团控股有限公司 消息流量控制方法、装置及相关系统

Also Published As

Publication number Publication date
CN108900477A (zh) 2018-11-27

Similar Documents

Publication Publication Date Title
CN108683682B (zh) 一种基于软件定义网络的DDoS攻击检测及防御方法和系统
Phan et al. OpenFlowSIA: An optimized protection scheme for software-defined networks from flooding attacks
CN108040057B (zh) 适于保障网络安全、网络通信质量的sdn系统的工作方法
JP4759389B2 (ja) パケット通信装置
US8879388B2 (en) Method and system for intrusion detection and prevention based on packet type recognition in a network
CN108737447B (zh) 用户数据报协议流量过滤方法、装置、服务器及存储介质
EP3399723B1 (en) Performing upper layer inspection of a flow based on a sampling rate
CN109587167B (zh) 一种报文处理的方法和装置
CN107800668B (zh) 一种分布式拒绝服务攻击防御方法、装置及系统
Verma et al. Bloom‐filter based IP‐CHOCK detection scheme for denial of service attacks in VANET
CN110266650B (zh) Conpot工控蜜罐的识别方法
CN108616488B (zh) 一种攻击的防御方法及防御设备
EP3678333B1 (en) Data processing method and device, and computer
CN108810008B (zh) 传输控制协议流量过滤方法、装置、服务器及存储介质
CN106487790B (zh) 一种ack flood攻击的清洗方法及系统
CN106789892B (zh) 一种云平台通用的防御分布式拒绝服务攻击的方法
CN108650237B (zh) 一种基于存活时间的报文安全检查方法及系统
CN108900477B (zh) 一种基于网关抑制外部网络干扰的方法
CN110995586B (zh) 一种bgp报文的处理方法、装置、电子设备及存储介质
CN105099799B (zh) 僵尸网络检测方法和控制器
Yang et al. Modeling and mitigating the coremelt attack
CN114938308B (zh) 基于地址熵自适应阈值检测IPv6网络攻击的方法及装置
CN109729098A (zh) Dns服务器中自动阻断恶意端口扫描的方法
CN104410643A (zh) 一种sdn控制器基于统计值的防攻击方法
CN102752304B (zh) 防止半连接攻击的方法及系统

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant
CP03 Change of name, title or address

Address after: 644000 Building 9, Jinrun Industrial Park, Xuzhou District, Yibin City, Sichuan Province

Patentee after: Sichuan Security Control Technology Co.,Ltd.

Address before: 100095 building 6, yard 9, Dijin Road, Haidian District, Beijing

Patentee before: BEIJING ECHO TECHNOLOGIES Co.,Ltd.

CP03 Change of name, title or address