CN109587156B - 异常网络访问连接识别与阻断方法、系统、介质和设备 - Google Patents

异常网络访问连接识别与阻断方法、系统、介质和设备 Download PDF

Info

Publication number
CN109587156B
CN109587156B CN201811542792.XA CN201811542792A CN109587156B CN 109587156 B CN109587156 B CN 109587156B CN 201811542792 A CN201811542792 A CN 201811542792A CN 109587156 B CN109587156 B CN 109587156B
Authority
CN
China
Prior art keywords
data packet
blocking
network access
abnormal
connection
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201811542792.XA
Other languages
English (en)
Other versions
CN109587156A (zh
Inventor
邹凯
陈凯枫
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Guangzhou Trustmo Information System Co ltd
Original Assignee
Guangzhou Trustmo Information System Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Guangzhou Trustmo Information System Co ltd filed Critical Guangzhou Trustmo Information System Co ltd
Priority to CN201811542792.XA priority Critical patent/CN109587156B/zh
Publication of CN109587156A publication Critical patent/CN109587156A/zh
Application granted granted Critical
Publication of CN109587156B publication Critical patent/CN109587156B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/14Session management
    • H04L67/143Termination or inactivation of sessions, e.g. event-controlled end of session

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种异常网络访问连接识别与阻断方法、系统、介质和设备,所述方法包括:对接入的网络访问,识别是否属于异常网络访问连接;采用旁路方式对网络访问连接进行阻断,即采集网络连接通信的实时通信流量,获取通信双方的通信控制信息,通过构造特定的数据包,同时对通信双方发出连接中断的控制包,从而阻断通信的连接。本发明通过旁路方式部署,不会改变现有网络结构,设备异常时不会影响网络导致网络瘫痪,同时能够提供更加精细的应用访问控制。

Description

异常网络访问连接识别与阻断方法、系统、介质和设备
技术领域
本发明涉及一种网络连接识别与阻断的方法,尤其是一种异常网络访问连接识别与阻断方法、系统、介质和设备,属于网络安全领域。
背景技术
在网络环境中,存在各种人为或自动的异常网络访问连接,如频率高范围广的扫描行为、未经授权的访问行为,这些异常连接给网络安全带来很大的威胁。
现有的网络准入系统、防火墙、上网行为管理系统,可以对部分异常或未授权的网络访问进行监测和控制,基本采用串联或与交换机联动的方式进行阻断控制。网络准入系统,一般是允许准入后不再进行基于网络访问行为的监测,阻断操作主要与交换机进行联动控制;防火墙主要基于TCP/IP协议5元组为基础的通用的策略行为匹配,不考虑通信双方的更多信息,包括域名、设备类型、应用层协议的多维度匹配,而且阻断操作基于串联方式,会对网络结构产生影响;上网行为管理系统在控制方式上与防火墙类似,不过应用方面支持更多私有应用类型。
现有的网络访问控制技术,对于频率高范围广的扫描行为的检测与控制,由于时间周期长,不能较好检测,比较难于配置合适的阻断策略。在阻断方式上,主要基于串联或与交换机联动的方式,对网络的稳定性存在一定的影响。
发明内容
本发明的第一个目的是为了解决上述现有技术的缺陷,提供了一种异常网络访问连接识别与阻断方法,该方法通过旁路方式部署,不会改变现有网络结构,设备异常时不会影响网络导致网络瘫痪,同时能够提供更加精细的应用访问控制。
本发明的第二个目的在于提供一种异常网络访问连接识别与阻断系统。
本发明的第三个目的在于提供一种存储介质。
本发明的第四个目的在于提供一种计算设备。
本发明的第一个目的可以通过采取如下技术方案达到:
异常网络访问连接识别与阻断方法,所述方法包括:
对接入的网络访问,识别是否属于异常网络访问连接;
采用旁路方式对网络访问连接进行阻断,即采集网络连接通信的实时通信流量,获取通信双方的通信控制信息,通过构造双方通信时所使用协议的连接中断/关闭数据包,同时对通信双方发出连接中断的控制包,从而阻断通信的连接;具体为:
建立匹配规则策略,并生成匹配规则树;
捕获数据包,并将数据包存入用户空间;
提取数据包并查找规则策略,查找是否存在符合的策略,判断当前是否为异常网络访问连接;
阻断异常访问连接,当发出数据包在真实会话的数据包之前到达目标,即执行阻断操作。
作为优选的技术方案,所述识别是否属于异常网络访问连接,采用基于行为的异常网络访问连接的识别方法,具体为:
基于源IP、目的IP实时统计分析单位时间内的访问会话情况,确定高频率范围广的源IP地址,若这些IP相关的会话数大于设定阈值,则认为属于异常网络访问连接。
作为优选的技术方案,所述识别是否属于异常网络访问连接,采用基于多维度策略规则构造策略表,通过策略表的匹配判断是否属于异常网络连接,基于多维度策略规则匹配的异常网络访问连接定义如下:
支持基于如下维度的策略规则:源地址、源端口、目标地址、目标端口、传输层协议、应用层协议、源/目的设备组、源/目的安全域、域名、设备类型;根据不同场景组合上述维度。
作为优选的技术方案,所述建立匹配规则策略,具体为:
基于如下维度的建立策略规则:源地址、源端口、目标地址、目标端口、传输层协议、应用层协议、源/目的设备组、源/目的安全域、域名、设备类型;
根据建立的策略使用多步长trie树算法生成匹配规则树。
作为优选的技术方案,所述捕获数据包,具体为:
镜像流量接入到服务器网卡;
加载网卡驱动,初始化网卡;
启动网卡数据包读取模块,复制tcp数据包存入用户空间。
作为优选的技术方案,所述提取数据包并查找规则策略,具体为:
会话表及哈希表初始化并如分配内存空间;
从数据包中提取出五元组,对五元组进行哈希运算,根据计算结果从哈希表中查找是否已经存在会话,如果会话未存在,则创建会话并且对当前源IP的会话数统计值加1,会话结束后从哈希表中删除该会话并对该源IP的会话数统计值减1;
创建新会话时根据配置信息取得源IP及目的IP所在的设备组、安全域及设备类型;
使用dpi对tcp数据包进行应用层协议识别;
组合识别结果然后从匹配规则树中查找是否存在符合的策略,判断当前是否为异常网络访问连接。
作为优选的技术方案,所述阻断异常访问连接,具体为:
提取出数据包中的源mac、目的mac、源IP、目的IP、源端口、ip层的id号、tcp层的seq序号、tcp层的ack序号;
根据上面提取的信息重新组装两个tcp的RST数据包,这两个数据包相对对当前数据包在tcp协议中都是下一个包,其中一个是源IP发到目的IP,另一个为目的IP发给源IP;
将两个数据包通过原始发送方式发到网关设备,当发出数据包在真实会话的数据包之前到达目标时即可达到阻断效果。
本发明的第二个目的可以通过采取如下技术方案达到:
异常网络访问连接识别与阻断系统,所述系统包括:
异常网络识别模块,用于对接入的网络访问,识别是否属于异常网络访问连接;
访问连接阻断模块,用于采用旁路方式对网络访问连接进行阻断,即采集网络连接通信的实时通信流量,获取通信双方的通信控制信息,通过构造特定的数据包,同时对通信双方发出连接中断的控制包,从而阻断通信的连接;
所述访问连接阻断模块包括:策略构建模块、数据包捕获模块、数据包提取模块和异常访问阻断模块,
所述策略构建模块,用于建立匹配规则策略,并生成匹配规则树;
所述数据包捕获模块,用于捕获数据包,并将数据包存入用户空间;
所述数据包提取模块,用于提取数据包并查找规则策略,查找是否存在符合的策略,判断当前是否为异常网络访问连接;
所述异常访问阻断模块,用于阻断异常访问连接,当发出数据包在真实会话的数据包之前到达目标,即执行阻断操作。
本发明的第三个目的可以通过采取如下技术方案达到:
存储介质,存储有程序,所述程序被处理器执行时,实现上述的层数增减深度学习神经网络训练方法。
本发明的第四个目的可以通过采取如下技术方案达到:
计算设备,包括处理器以及用于存储处理器可执行程序的存储器,所述处理器执行存储器存储的程序时,实现上述的层数增减深度学习神经网络训练方法。
本发明相对于现有技术具有如下的有益效果:
1、本发明通过采集网络连接通信的实时通信流量,获取通信双方的通信控制信息(包括传输序列号),通过构造特定的数据包,同时对通信双方发出连接中断的控制包,从而阻断通信的连接;采用旁路方式部署,不会改变现有网络结构,设备异常时不会影响网络导致网络瘫痪,同时能够提供更加精细的应用访问控制。
2、本发明通过不改变原有网络结构的旁路方式用于检测频率高范围广的扫描行为、未经授权的访问行为等异常连接行为,并进行阻断,实现网络访问控制的目的。
附图说明
图1为本发明实施例1的异常网络访问连接识别与阻断方法的流程图。
图2为本发明实施例1的采用旁路方式对网络访问连接进行阻断的流程图。
图3为本发明实施例2的异常网络访问连接识别与阻断系统的结构方框图。
具体实施方式
下面结合实施例及附图对本发明作进一步详细的描述,但本发明的实施方式不限于此。
实施例1:
如图1所示,本实施例的异常网络访问连接识别与阻断方法包括以下步骤:
S101、异常网络访问连接的识别。
(1)基于行为的异常网络访问连接的识别;
基于源IP、目的IP实时统计分析单位时间内的访问会话情况,确定高频率范围广的源IP地址,这些IP相关的会话数大于一定阈值,则认为属于异常网络访问连接。
(2)基于多维度策略规则匹配的异常网络访问连接定义;
支持基于如下维度的策略规则:源地址、源端口、目标地址、目标端口、传输层协议(TCP/UDP)、应用层协议(HTTP等)、源/目的设备组(IP所在分组)、源/目的安全域(根据安全控制需要设定的安全区域,相比较设备组,可以进行更小范围的设定)、域名、设备类型(源设备、目标设备)。通过组合以上维度,可以根据不同场景配置更加灵活的策略。本方法通过以上策略表的匹配,判断连接是否属于异常网络访问连接。
S102、采用旁路方式对网络访问连接进行阻断,即采集网络连接通信的实时通信流量,获取通信双方的通信控制信息,通过构造特定的数据包,同时对通信双方发出连接中断的控制包,从而阻断通信的连接;具体为:
S1021、建立匹配规则策略,并生成匹配规则树,具体为:
(1)基于如下维度的建立策略规则:源地址、源端口、目标地址、目标端口、传输层协议(TCP/UDP)、应用层协议(HTTP等)、源/目的设备组(IP所在分组)、源/目的安全域(根据安全控制需要设定的安全区域,相比较设备组,可以进行更小范围的设定)、域名、设备类型(源设备、目标设备);
(2)根据建立的策略使用多步长trie树算法生成匹配规则树。
S1022、捕获数据包,并将数据包存入用户空间,具体为:
(1)镜像流量接入到服务器网卡;
(2)加载网卡驱动,初始化网卡;
(3)启动网卡数据包读取模块,复制tcp数据包存入用户空间。
S1023、提取数据包并查找规则策略,查找是否存在符合的策略,判断当前是否为异常网络访问连接,具体为:
(1)会话表及哈希表初始化并如分配内存空间
(2)从数据包中提取出五元组,对五元组进行哈希运算,根据计算结果从哈希表中查找是否已经存在会话,如果会话未存在,则创建会话并且对当前源IP的会话数统计值加1,会话结束后从哈希表中删除该会话并对该源IP的会话数统计值减1;
(3)创建新会话时根据配置信息取得源IP及目的IP所在的设备组、安全域及设备类型;
(4)使用dpi对tcp数据包进行应用层协议识别;
(5)组合识别结果然后从匹配规则树中查找是否存在符合的策略,判断当前是否为异常网络访问连接。
S1024、阻断异常访问连接,当发出数据包在真实会话的数据包之前到达目标,即执行阻断操作,具体为:
(1)提取出数据包中的源mac、目的mac、源IP、目的IP、源端口、ip层的id号、tcp层的seq序号、tcp层的ack序号;
(2)根据上面提取的信息重新组装两个tcp的RST数据包,这两个数据包相对对当前数据包在tcp协议中都是下一个包,其中一个是源IP发到目的IP,另一个为目的IP发给源IP;
(3)将两个数据包通过原始发送方式发到网关设备,当发出数据包在真实会话的数据包之前到达目标时即可达到阻断效果。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分步骤是可以通过程序来指令相关的硬件来完成,相应的程序可以存储于一计算机可读取存储介质中,所述的存储介质,如ROM/RAM、磁盘或光盘等。
实施例2:
如图3所示,本实施例提供了一种异常网络访问连接识别与阻断系统,该系统包括异常网络识别模块1、访问连接阻断模块2,各个模块的具体功能如下:
异常网络识别模块1,用于对接入的网络访问,识别是否属于异常网络访问连接;
访问连接阻断模块2,用于采用旁路方式对网络访问连接进行阻断,即采集网络连接通信的实时通信流量,获取通信双方的通信控制信息,通过构造特定的数据包,同时对通信双方发出连接中断的控制包,从而阻断通信的连接;
所述访问连接阻断模块2包括:策略构建模块21、数据包捕获模块22、数据包提取模块23和异常访问阻断模块24,
所述策略构建模块21,用于建立匹配规则策略,并生成匹配规则树;
所述数据包捕获模块22,用于捕获数据包,并将数据包存入用户空间;
所述数据包提取模块23,用于提取数据包并查找规则策略,查找是否存在符合的策略,判断当前是否为异常网络访问连接;
所述异常访问阻断模块24,用于阻断异常访问连接,当发出数据包在真实会话的数据包之前到达目标,即执行阻断操作。
可以理解,上述实施例的机器人系统所使用的术语可用于描述各种模块,但这些模块不受这些术语限制。这些术语仅用于将各个模块进行区分。
实施例3:
本实施例提供了一种存储介质,该存储介质存储有一个或多个程序,所述程序被处理器执行时,实现上述实施例1的异常网络访问连接识别与阻断方法,如下:
对接入的网络访问,识别是否属于异常网络访问连接;
采用旁路方式对网络访问连接进行阻断,即采集网络连接通信的实时通信流量,获取通信双方的通信控制信息,通过构造特定的数据包,同时对通信双方发出连接中断的控制包,从而阻断通信的连接;具体为:
建立匹配规则策略,并生成匹配规则树;
捕获数据包,并将数据包存入用户空间;
提取数据包并查找规则策略,查找是否存在符合的策略,判断当前是否为异常网络访问连接;
阻断异常访问连接,当发出数据包在真实会话的数据包之前到达目标,即执行阻断操作。
本实施例中所述的存储介质可以是ROM、RAM、磁盘、光盘等介质。
实施例4:
本实施例提供了一种计算设备,该计算设备包括处理器和存储器,存储器存储有一个或多个程序,处理器执行存储器存储的程序时,实现上述实施例1的异常网络访问连接识别与阻断方法,如下:
对接入的网络访问,识别是否属于异常网络访问连接;
采用旁路方式对网络访问连接进行阻断,即采集网络连接通信的实时通信流量,获取通信双方的通信控制信息,通过构造特定的数据包,同时对通信双方发出连接中断的控制包,从而阻断通信的连接;具体为:
建立匹配规则策略,并生成匹配规则树;
捕获数据包,并将数据包存入用户空间;
提取数据包并查找规则策略,查找是否存在符合的策略,判断当前是否为异常网络访问连接;
阻断异常访问连接,当发出数据包在真实会话的数据包之前到达目标,即执行阻断操作。
本实施例中所述的计算设备可以是台式电脑、笔记本电脑、智能手机、PDA手持终端、平板电脑或其他具有显示功能的终端设备。
综上所述,本发明通过采集网络连接通信的实时通信流量,获取通信双方的通信控制信息(包括传输序列号),通过构造特定的数据包,同时对通信双方发出连接中断的控制包,从而阻断通信的连接;采用旁路方式部署,不会改变现有网络结构,设备异常时不会影响网络导致网络瘫痪,同时能够提供更加精细的应用访问控制。
以上所述,仅为本发明专利较佳的实施例,但本发明专利的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明专利所公开的范围内,根据本发明专利的技术方案及其发明构思加以等同替换或改变,都属于本发明专利的保护范围。

Claims (9)

1.异常网络访问连接识别与阻断方法,其特征在于:所述方法包括:
对接入的网络访问,识别是否属于异常网络访问连接;
采用旁路方式对网络访问连接进行阻断,即采集网络连接通信的实时通信流量,获取通信双方的通信控制信息,通过构造双方通信时所使用协议的连接中断/关闭数据包,同时对通信双方发出连接中断的控制包,从而阻断通信的连接;具体为:
建立匹配规则策略,并生成匹配规则树;
捕获数据包,并将数据包存入用户空间;
提取数据包并查找规则策略,查找是否存在符合的策略,判断当前是否为异常网络访问连接,所述提取数据包并查找规则策略,具体为:
会话表及哈希表初始化并分配内存空间;
从数据包中提取出五元组,对五元组进行哈希运算,根据计算结果从哈希表中查找是否已经存在会话,如果会话未存在,则创建会话并且对当前源IP的会话数统计值加1,会话结束后从哈希表中删除该会话并对该源IP的会话数统计值减1;
创建新会话时根据配置信息取得源IP及目的IP所在的设备组、安全域及设备类型;
使用dpi对tcp数据包进行应用层协议识别;
组合识别结果然后从匹配规则树中查找是否存在符合的策略,判断当前是否为异常网络访问连接;
阻断异常访问连接,当发出数据包在真实会话的数据包之前到达目标,即执行阻断操作。
2.根据权利要求1所述异常网络访问连接识别与阻断方法,其特征在于:所述识别是否属于异常网络访问连接,采用基于行为的异常网络访问连接的识别方法,具体为:
基于源IP、目的IP实时统计分析单位时间内的访问会话情况,确定源IP地址,若这些IP相关的会话数大于设定阈值,则认为属于异常网络访问连接。
3.根据权利要求1所述异常网络访问连接识别与阻断方法,其特征在于:所述识别是否属于异常网络访问连接,采用基于多维度策略规则构造策略表,通过策略表的匹配判断是否属于异常网络连接,基于多维度策略规则匹配的异常网络访问连接定义如下:
支持基于如下维度的策略规则:源地址、源端口、目标地址、目标端口、传输层协议、应用层协议、源/目的设备组、源/目的安全域、域名、设备类型;根据不同场景组合上述维度。
4.根据权利要求1所述异常网络访问连接识别与阻断方法,其特征在于:所述建立匹配规则策略,具体为:
基于如下维度的建立策略规则:源地址、源端口、目标地址、目标端口、传输层协议、应用层协议、源/目的设备组、源/目的安全域、域名、设备类型;
根据建立的策略使用多步长trie树算法生成匹配规则树。
5.根据权利要求1所述异常网络访问连接识别与阻断方法,其特征在于:所述捕获数据包,具体为:
镜像流量接入到服务器网卡;
加载网卡驱动,初始化网卡;
启动网卡数据包读取模块,复制tcp数据包存入用户空间。
6.根据权利要求1所述异常网络访问连接识别与阻断方法,其特征在于:所述阻断异常访问连接,具体为:
提取出数据包中的源mac、目的mac、源IP、目的IP、源端口、ip层的id号、tcp层的seq序号、tcp层的ack序号;
根据上面提取的信息重新组装两个tcp的RST数据包,这两个数据包相对当前数据包在tcp协议中都是下一个包,其中一个是源IP发到目的IP,另一个为目的IP发给源IP;
将两个数据包通过原始发送方式发到网关设备,当发出数据包在真实会话的数据包之前到达目标时即可达到阻断效果。
7.异常网络访问连接识别与阻断系统,其特征在于,应用于权利要求1-6中任一项所述异常网络访问连接识别与阻断方法:所述系统包括:
异常网络识别模块,用于对接入的网络访问,识别是否属于异常网络访问连接;
访问连接阻断模块,用于采用旁路方式对网络访问连接进行阻断,即采集网络连接通信的实时通信流量,获取通信双方的通信控制信息,通过构造双方通信时所使用协议的连接中断/关闭数据包,同时对通信双方发出连接中断的控制包,从而阻断通信的连接;
所述访问连接阻断模块包括:策略构建模块、数据包捕获模块、数据包提取模块和异常访问阻断模块;
所述策略构建模块,用于建立匹配规则策略,并生成匹配规则树;
所述数据包捕获模块,用于捕获数据包,并将数据包存入用户空间;
所述数据包提取模块,用于提取数据包并查找规则策略,查找是否存在符合的策略,判断当前是否为异常网络访问连接;
所述异常访问阻断模块,用于阻断异常访问连接,当发出数据包在真实会话的数据包之前到达目标,即执行阻断操作。
8.计算机可读存储介质,存储有程序,其特征在于:所述程序被处理器执行时,实现权利要求1-6任一项所述的异常网络访问连接识别与阻断方法。
9.计算设备,包括处理器以及用于存储处理器可执行程序的存储器,其特征在于:所述处理器执行存储器存储的程序时,实现权利要求1-6任一项所述的异常网络访问连接识别与阻断方法。
CN201811542792.XA 2018-12-17 2018-12-17 异常网络访问连接识别与阻断方法、系统、介质和设备 Active CN109587156B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201811542792.XA CN109587156B (zh) 2018-12-17 2018-12-17 异常网络访问连接识别与阻断方法、系统、介质和设备

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201811542792.XA CN109587156B (zh) 2018-12-17 2018-12-17 异常网络访问连接识别与阻断方法、系统、介质和设备

Publications (2)

Publication Number Publication Date
CN109587156A CN109587156A (zh) 2019-04-05
CN109587156B true CN109587156B (zh) 2021-07-09

Family

ID=65929702

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201811542792.XA Active CN109587156B (zh) 2018-12-17 2018-12-17 异常网络访问连接识别与阻断方法、系统、介质和设备

Country Status (1)

Country Link
CN (1) CN109587156B (zh)

Families Citing this family (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111131192A (zh) * 2019-12-10 2020-05-08 杭州迪普科技股份有限公司 一种旁路防护方法及装置
CN113132308B (zh) * 2019-12-31 2022-05-17 华为技术有限公司 一种网络安全防护方法及防护设备
CN111314179B (zh) * 2020-02-25 2024-01-23 广州市百果园信息技术有限公司 网络质量检测方法、装置、设备和存储介质
CN111478888B (zh) * 2020-03-24 2021-01-05 武汉思普崚技术有限公司 一种旁路阻断方法、设备及存储介质
CN111737251A (zh) * 2020-05-13 2020-10-02 苏宁金融科技(南京)有限公司 一种ip数据识别方法、装置、计算机设备以及存储介质
CN111741142A (zh) * 2020-06-19 2020-10-02 南昌黑鲨科技有限公司 一种高频ip地址获取方法、系统、存储介质及终端设备
CN113965384B (zh) * 2021-10-22 2023-11-03 上海观安信息技术股份有限公司 一种网络安全异常检测方法、装置及计算机存储介质
CN114257413B (zh) * 2021-11-19 2023-10-03 南方电网数字平台科技(广东)有限公司 基于应用容器引擎的反制阻断方法、装置和计算机设备

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101577729A (zh) * 2009-06-10 2009-11-11 上海宝信软件股份有限公司 DNS重定向与Http重定向相结合的旁路阻断方法
CN105656765A (zh) * 2016-03-11 2016-06-08 北京中测安华科技有限公司 一种基于深度内容解析的smtp协议数据防外泄方法及系统
CN106656922A (zh) * 2015-10-30 2017-05-10 阿里巴巴集团控股有限公司 一种基于流量分析的网络攻击防护方法和装置
CN107623661A (zh) * 2016-07-15 2018-01-23 阿里巴巴集团控股有限公司 阻断访问请求的系统、方法及装置,服务器
CN107733851A (zh) * 2017-08-23 2018-02-23 刘胜利 基于通信行为分析的dns隧道木马检测方法
CN108616594A (zh) * 2018-05-04 2018-10-02 广东唯网络科技有限公司 基于dpdk的http旁路阻断方法

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101771608A (zh) * 2009-10-14 2010-07-07 莱克斯科技(北京)有限公司 一种旁路阻断方式技术
EP2780718A2 (en) * 2011-11-16 2014-09-24 Venaxis, Inc. Compositions and methods for assessing appendicitis

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101577729A (zh) * 2009-06-10 2009-11-11 上海宝信软件股份有限公司 DNS重定向与Http重定向相结合的旁路阻断方法
CN106656922A (zh) * 2015-10-30 2017-05-10 阿里巴巴集团控股有限公司 一种基于流量分析的网络攻击防护方法和装置
CN105656765A (zh) * 2016-03-11 2016-06-08 北京中测安华科技有限公司 一种基于深度内容解析的smtp协议数据防外泄方法及系统
CN107623661A (zh) * 2016-07-15 2018-01-23 阿里巴巴集团控股有限公司 阻断访问请求的系统、方法及装置,服务器
CN107733851A (zh) * 2017-08-23 2018-02-23 刘胜利 基于通信行为分析的dns隧道木马检测方法
CN108616594A (zh) * 2018-05-04 2018-10-02 广东唯网络科技有限公司 基于dpdk的http旁路阻断方法

Also Published As

Publication number Publication date
CN109587156A (zh) 2019-04-05

Similar Documents

Publication Publication Date Title
CN109587156B (zh) 异常网络访问连接识别与阻断方法、系统、介质和设备
US11438351B1 (en) Efficient threat context-aware packet filtering for network protection
Smys DDOS attack detection in telecommunication network using machine learning
Shetu et al. A survey of botnet in cyber security
CN105450619A (zh) 恶意攻击的防护方法、装置和系统
CN110839017B (zh) 代理ip地址识别方法、装置、电子设备及存储介质
CN109194684B (zh) 一种模拟拒绝服务攻击的方法、装置及计算设备
CN113329029B (zh) 一种针对apt攻击的态势感知节点防御方法及系统
CN104901971A (zh) 对网络行为进行安全分析的方法和装置
CN107046516B (zh) 一种识别移动终端身份的风控控制方法及装置
EP3732844A1 (en) Intelligent defense and filtration platform for network traffic
Ananin et al. Port scanning detection based on anomalies
CN110113333A (zh) 一种tcp/ip协议指纹动态化处理方法及装置
CN111049781A (zh) 一种反弹式网络攻击的检测方法、装置、设备及存储介质
CN105306411A (zh) 数据包处理方法和装置
Garba et al. SDN-based detection and mitigation of DDoS attacks on smart homes
KR101593897B1 (ko) 방화벽, ids 또는 ips를 우회하는 네트워크 스캔 방법
CN113904804A (zh) 基于行为策略的内网安全防护方法、系统及介质
Nakahara et al. Machine Learning based Malware Traffic Detection on IoT Devices using Summarized Packet Data.
CN115473695A (zh) 一种ddos攻击识别方法、终端设备及存储介质
CN101312465B (zh) 一种异常报文接入点的发现方法和装置
Azab et al. Skype traffic classification using cost sensitive algorithms
Lange et al. Event Prioritization and Correlation based on Pattern Mining Techniques
Salatino et al. Detecting DDoS Attacks Through AI driven SDN Intrusion Detection System
Azab et al. AVOCAD: Adaptive terrorist comms surveillance and interception using machine learning

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant