CN109995717A - 一种网页篡改处置系统及方法 - Google Patents
一种网页篡改处置系统及方法 Download PDFInfo
- Publication number
- CN109995717A CN109995717A CN201711487955.4A CN201711487955A CN109995717A CN 109995717 A CN109995717 A CN 109995717A CN 201711487955 A CN201711487955 A CN 201711487955A CN 109995717 A CN109995717 A CN 109995717A
- Authority
- CN
- China
- Prior art keywords
- address
- source
- router
- operator
- data packet
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/74—Address processing for routing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种网页篡改处置系统及方法,提高了网页篡改事后处置的效率及系统安全。该方法包括:运营商出口路由器接收运营商接入路由器发送的数据包,其中,数据包中携带有第二源IP地址、第二目的IP地址、第二源端口和第二目的端口;学习处置路由器存储的预设路由表,其中,预设路由表中包含被篡改网页对应的第一源IP地址、第一目的IP地址、第一源端口、第一目的端口以及预设处置策略;将第二源IP地址、第二目的IP地址、第二源端口和第二目的端口分别与学习到的预设路由表中的第一源IP地址、第一目的IP地址、第一源端口、第一目的端口进行匹配,得到匹配结果;根据匹配结果与所述预设处置策略对所述数据包进行相应处理。
Description
技术领域
本发明涉及网络信息安全领域,尤其涉及一种网页篡改处置系统及方法。
背景技术
传统的网页篡改技术之一事件触发技术具体为:用户侧服务器的程序接口监测网页文件、传输数据的修改情况,按照被操作对象的修改原则进行合法性检查,如果检查不通过,则调用用户侧服务器上联路由器设备下发路由封堵指令进行封堵,或者调用用户侧服务器自身进行网页下线以及备用网页上线替换,即利用操作系统的文件系统接口添加相应的中断事件,当文件被修改时进行合法性检查,发现篡改操作并进行恢复和报警。这种技术的有效性基于这样一个前提:篡改者不可能绕开操作系统,在不触发中断事件的情况下完成对网页文件的篡改。事件触发技术起到的作用为即时监控疑似篡改事件的发生,需要与后续的比较判断技术结合才能有效确保不出现误判或漏判的现象。
现有网页篡改处置方法很难实现高效率的处置硬件配合,主要由于用户侧、网页数据传输侧各类硬件设备性能仍存在欠缺,导致其与处置规则联动效果较差,并且,处置规则中要求的对网络数据、操作系统底层数据的分析也较难实现。另外,一般网页篡改处置以事前为主,对于事后处置手段大多为用户侧管理员的单点备用网页替换,很难防止攻击者的二次入侵,以及对大规模分布式网页篡改进行事后处置,同时,现有网页篡改技术较难实现处置指令的简单下发,这是由于处置规则的复杂导致其给出的处置方案对不同网络区域形成各自的独立规则,下发处置指令受到设备级联关系的限制。
因此,如何提高网页篡改事后处置的效率及系统安全,是现有技术亟待解决的技术问题之一。
发明内容
本发明提供了一种网页篡改处置系统及方法,提高了网页篡改事后处置的效率及系统安全。
第一方面,本发明实施例提供了一种网页篡改处置系统,包括运营商接入路由器、与所述运营商接入路由器建立边界网关协议BGP邻居关系的运营商出口路由器和与所述运营商出口路由器建立BGP邻居关系的处置路由器,其中:
所述处置路由器,用于存储预设路由表,其中,所述预设路由表中包含被篡改网页对应的第一源IP地址、第一目的IP地址、第一源端口、第一目的端口以及预设处置策略;
所述运营商入口路由器,用于接收终端设备发送的数据包,其中,所述数据包中携带有第二源IP地址、第二目的IP地址、第二源端口和第二目的端口;
所述运营商出口路由器,用于接收所述运营商接入路由器发送的所述数据包;并学习所述预设路由表;将所述第二源IP地址、第二目的IP地址、第二源端口和第二目的端口分别与学习到的所述预设路由表中的所述第一源IP地址、第一目的IP地址、第一源端口、第一目的端口进行匹配,得到匹配结果;根据所述匹配结果与所述预设处置策略对所述数据包进行相应处理;其中,所述预设处置策略为封堵或解封。
较佳地,所述运营商出口路由器,具体用于当所述匹配结果为是、且所述预设处置策略为封堵时,对所述数据包进行封堵。
较佳地,所述运营商出口路由器,具体用于当所述匹配结果为是、且所述预设处置策略为解封时,对所述数据包进行解封。
较佳地,所述运营商出口路由器,具体用于将所述第二源IP地址、第二目的IP地址、第二源端口和第二目的端口对应的下一跳地址置为空。
较佳地,所述运营商出口路由器,具体用于恢复所述第二源IP地址、第二目的IP地址、第二源端口和第二目的端口对应的下一跳地址。
第二方面,本发明实施例提供了一种网页篡改处置方法,运营商出口路由器分别与处置路由器、运营商接入路由器之间建立边界网关协议BGP邻居关系,该方法包括:
运营商出口路由器接收所述运营商接入路由器发送的数据包,其中,所述数据包为终端设备发送给所述运营商接入路由器的,所述数据包中携带有第二源IP地址、第二目的IP地址、第二源端口和第二目的端口;
学习所述处置路由器存储的预设路由表,其中,所述预设路由表中包含被篡改网页对应的第一源IP地址、第一目的IP地址、第一源端口、第一目的端口以及预设处置策略;
将所述第二源IP地址、第二目的IP地址、第二源端口和第二目的端口分别与学习到的所述预设路由表中的所述第一源IP地址、第一目的IP地址、第一源端口、第一目的端口进行匹配,得到匹配结果;
根据所述匹配结果与所述预设处置策略对所述数据包进行相应处理,其中,所述预设处置策略为封堵或解封。
较佳地,根据所述匹配结果与所述预设处置策略对所述数据包进行相应处理,具体包括:
当所述匹配结果为是、且所述预设处置策略为封堵时,对所述数据包进行封堵。
较佳地,根据所述匹配结果与所述预设处置策略对所述数据包进行相应处理,具体包括:
当所述匹配结果为是、且所述预设处置策略为解封时,对所述数据包进行解封。
较佳地,对所述数据包进行封堵,具体包括:
将所述第二源IP地址、第二目的IP地址、第二源端口和第二目的端口对应的下一跳地址置为空。
较佳地,对所述数据包进行解封,具体包括:
恢复所述第二源IP地址、第二目的IP地址、第二源端口和第二目的端口对应的下一跳地址。
第三方面,本发明实施例提供了一种电子设备,包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述处理器执行所述程序时实现本发明所述的网页篡改处置方法。
第四方面,本发明实施例提供了一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现本发明所述的网页篡改处置方法中的步骤。
本发明的有益效果包括:
本发明实施例提供的网页篡改处置系统,包括运营商接入路由器、与所述运营商接入路由器建立边界网关协议BGP邻居关系的运营商出口路由器和与所述运营商出口路由器建立BGP邻居关系的处置路由器,其中:所述处置路由器,用于存储预设路由表,其中,所述预设路由表中包含被篡改网页对应的第一源IP地址、第一目的IP地址、第一源端口、第一目的端口以及预设处置策略;所述运营商入口路由器,用于接收终端设备发送的数据包,其中,所述数据包中携带有第二源IP地址、第二目的IP地址、第二源端口和第二目的端口;所述运营商出口路由器,用于接收所述运营商接入路由器发送的所述数据包;并学习所述预设路由表;将所述第二源IP地址、第二目的IP地址、第二源端口和第二目的端口分别与学习到的所述预设路由表中的所述第一源IP地址、第一目的IP地址、第一源端口、第一目的端口进行匹配,得到匹配结果;根据所述匹配结果与所述预设处置策略对所述数据包进行相应处理;其中,所述预设处置策略为封堵或解封。本发明实施例,将处置路由器与运营商现有网络设备建立BGP邻居关系,将篡改网页对应的源IP地址、目的IP地址、源端口、目的端口以及预设处置策略组成的预设路由表存储于处置路由器中,通过运营商出口路由器与处置路由器、运营商入口路由器之间的学习和转发功能进行全网学习,根据预设路由表中的预设处置规则对终端设备通过运营商接入路由器发送的数据包进行处理,进而实现对访问被篡改网页或者从被篡改网页流出至Internet的数据包进行快速处置,提高了网页篡改事后处置的效率及系统安全。
本发明的其它特征和优点将在随后的说明书中阐述,并且,部分地从说明书中变得显而易见,或者通过实施本发明而了解。本发明的目的和其他优点可通过在所写的说明书、权利要求书、以及附图中所特别指出的结构来实现和获得。
附图说明
此处所说明的附图用来提供对本发明的进一步理解,构成本发明的一部分,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中:
图1为本发明实施例一提供的网页篡改处置系统的结构示意图;
图2为本发明实施例一中,处置设备联动封堵架构图;
图3为本发明实施例一中,处置设备联动解封架构图;
图4为本发明实施例二提供的网页篡改处置方法的实施流程示意图。
具体实施方式
本发明提供了一种网页篡改处置系统和方法,提高了网页篡改事后处置的效率及系统安全。
本发明实施例提供的网页篡改处置系统的实施原理是:该网页篡改处置系统包括运营商接入路由器、与所述运营商接入路由器建立边界网关协议BGP邻居关系的运营商出口路由器和与所述运营商出口路由器建立BGP邻居关系的处置路由器,其中:所述处置路由器,用于存储预设路由表,其中,所述预设路由表中包含被篡改网页对应的第一源IP地址、第一目的IP地址、第一源端口、第一目的端口以及预设处置策略;所述运营商入口路由器,用于接收终端设备发送的数据包,其中,所述数据包中携带有第二源IP地址、第二目的IP地址、第二源端口和第二目的端口;所述运营商出口路由器,用于接收所述运营商接入路由器发送的所述数据包;并学习所述预设路由表;将所述第二源IP地址、第二目的IP地址、第二源端口和第二目的端口分别与学习到的所述预设路由表中的所述第一源IP地址、第一目的IP地址、第一源端口、第一目的端口进行匹配,得到匹配结果;根据所述匹配结果与所述预设处置策略对所述数据包进行相应处理;其中,所述预设处置策略为封堵或解封。本发明实施例,将处置路由器与运营商现有网络设备建立BGP邻居关系,将篡改网页对应的源IP地址、目的IP地址、源端口、目的端口以及预设处置策略组成的预设路由表存储于处置路由器中,通过运营商出口路由器与处置路由器、运营商入口路由器之间的学习和转发功能进行全网学习,根据预设路由表中的预设处置规则对终端设备通过运营商接入路由器发送的数据包进行处理,进而实现对访问被篡改网页或者从被篡改网页流出至Internet的数据包进行快速处置,提高了网页篡改事后处置的效率及系统安全。
本发明实施例中,运营商接入路由器作为连接被篡改用户网页与运营商出口路由器的设备,用户网页通过互联网专线接入运营商接入路由器,运营商接入路由器通过与运营商出口路由器建立BGP邻居关系的方式进行链接建立,并将用户业务通过专用业务通道发送给运营商出口路由器。运营商出口路由器作为连接运营接入路由器与Internet其它用户的出口节点,通过建立BGP邻居关系的方式与Internet其它用户、运营商接入路由器进行链接建立,将接收的运营商接入路由器发送的用户业务发布到互联网上。
以下结合说明书附图对本发明的优选实施例进行说明,应当理解,此处所描述的优选实施例仅用于说明和解释本发明,并不用于限定本发明,并且在不冲突的情况下,本发明中的实施例及实施例中的特征可以相互组合。
实施例一
如图1所示,其为本发明实施例一提供的网页篡改处置系统的结构示意图,可以包括运营商接入路由器11、与所述运营商接入路由器11建立边界网关协议BGP邻居关系的运营商出口路由器12和与所述运营商出口路由器12建立BGP邻居关系的处置路由器13,其中:
所述处置路由器,用于存储预设路由表,其中,所述预设路由表中包含被篡改网页对应的第一源IP地址、第一目的IP地址、第一源端口、第一目的端口以及预设处置策略;
所述运营商入口路由器,用于接收终端设备发送的数据包,其中,所述数据包中携带有第二源IP地址、第二目的IP地址、第二源端口和第二目的端口;
所述运营商出口路由器,用于接收所述运营商接入路由器发送的所述数据包;并学习所述预设路由表;将所述第二源IP地址、第二目的IP地址、第二源端口和第二目的端口分别与学习到的所述预设路由表中的所述第一源IP地址、第一目的IP地址、第一源端口、第一目的端口进行匹配,得到匹配结果;根据所述匹配结果与所述预设处置策略对所述数据包进行相应处理;其中,所述预设处置策略为封堵或解封。
具体实施时,处置路由器13为运营商出口路由器12的旁路部署设备,首先将处置路由器13与运营商出口路由器12建立BGP(Border Gateway Protocol,边界网关协议)邻居关系,并在处置路由器13、运营商出口路由器12上分别使能BGP Flow(边界网关协议流量)功能,具体地,首先配置BGP Flow Specification对等体关系,其次去使能路由验证功能,以保证牵引流量不会形成回环,再验证运营商出口路由器12与处置路由器13间的对等体关系是否能够进行更新,保障对等体关系的稳定以及路由的全网转发能力,并根据现网组网架构确定处置路由器13与运营商出口路由器12的BGP邻居关系的建立形式,包括对端peer值、互联地址等,并在处置理由器13上存储预设路由表,其中,预设路由表中包含被篡改网页对应的源IP地址、目的IP地址、源端口、目的端口以及预设处置策略,将被篡改网页对应的源IP地址、目的IP地址、源端口、目的端口分别记为:第一源IP地址、第一目的IP地址、第一源端口、第一目的端口。其中,peer命令用来指定NBMA(Non-broadcast MultipleAccess,非广播-多路访问网络)中RIP(Routing Information Protocol,路由信息协议)邻居设备的IP地址。
运营商出口路由器12与运营商接入路由器11之间也同样建立BGP邻居关系,基于运营商出口路由器12与运营商接入路由器11之间的转发与学习能力,其路由表可以相互学习转发,运营商入口路由器11将接收的终端设备发送的数据包发送至运营商出口路由器12,其中,所述数据包中携带有源IP地址、目的IP地址、源端口和目的端口,分别记为第二源IP地址、第二目的IP地址、第二源端口和第二目的端口,运营商出口路由器12接收运营商接入路由器11发送的所述数据包,并学习处置路由器13存储的所述预设路由表。进而将所述数据包中携带的第二源IP地址、第二目的IP地址、第二源端口和第二目的端口分别与学习到的所述预设路由表中的所述第一源IP地址、第一目的IP地址、第一源端口、第一目的端口进行匹配,得到匹配结果,并根据匹配结果与预设处置策略对所述数据包进行相应处理。
具体地,本发明实施例中,所述第二源IP地址、第二目的IP地址、第二源端口、第二目的端口分别与所述第一源IP地址、第一目的IP地址、第一源端口、第一目的端口相匹配,是指第二源IP地址与第一源IP地址、第二目的IP地址与第一目的IP地址,第二源端口与第一源端口、第二目的端口与第一目的端口分别对应相同,也就是说,所述数据包为访问被篡改网页或者从被篡改网页流出至Internet的数据流量。当匹配结果为是、且预设处置策略为封堵时,对所述数据包进行封堵。具体地,运营商出口路由器12将第二源IP地址、第二目的IP地址、第二源端口和第二目的端口对应的下一跳地址置为空,即Null0,将所述数据包丢弃至黑洞。当所述匹配结果为是、且所述预设处置策略为解封时,对所述数据包进行解封。具体地,运营商出口路由器12恢复第二源IP地址、第二目的IP地址、第二源端口和第二目的端口对应的下一跳地址,恢复到对所述数据包封堵前的下一跳地址,即可完成对数据包的解封。
具体实施时,当预设处置策略为封堵时,如图2所示,为处置设备联动封堵架构图,具体地,维护人员进入网页篡改处置系统,输入处置指令,即输入预设路由表后,维护人员可以单击处置按钮,处置路由器收到封堵调度后,存储预设路由表,在运营商出口路由器上根据所述预设路由表采集即将封堵的明细路由,即采集从运营商接入路由器发送的数据包中携带的第二源IP地址、第二目的IP地址、第二源端口和第二目的端口,由处置路由器下发处置指令后,经由运营商出口路由器进行全网学习,运营商出口路由器学习所述预设路由表,当所述第二IP地址、第二目的IP地址、第二源端口和第二目的端口分别与学习到的所述预设路由表中的所述第一源IP地址、第一目的IP地址、第一源端口、第一目的端口相匹配时,根据预设处置策略对所述数据包进行封堵,将所述第二源IP地址、第二目的IP地址、第二源端口和第二目的端口对应的下一跳地址置为Null0,将所述数据包丢弃至黑洞。处置完成后,运营商出口路由器根据学习到的预设路由表中记载的路由明细采集已经封堵的明细路由,检查每一条明细路由对应的下一跳地址是否为Null0,如果是,则确定对该条明细路由对应的数据包封堵成功,否则封堵失败,其中,所述数据包即为被篡改网页发出或被访问的数据流量,如果封堵失败,则记录封堵失败原因,输出处置失败日志,通知维护人员进行故障排查。
当预设处置策略为解封时,如图3所示,为处置设备联动解封架构图,具体地,维护人员进入网页篡改处置系统,输入处置指令,即输入预设路由表后,维护人员可以单击处置按钮,处置路由器收到解封调度后,存储预设路由表,在运营商出口路由器上根据所述预设路由表采集即将解封的明细路由,即采集从运营商接入路由器发送的数据包中携带的第二源IP地址、第二目的IP地址、第二源端口和第二目的端口,由处置路由器下发处置指令后,经由运营商出口路由器进行全网学习,运营商出口路由器学习所述预设路由表,当所述第二IP地址、第二目的IP地址、第二源端口和第二目的端口分别与学习到的所述预设路由表中的所述第一源IP地址、第一目的IP地址、第一源端口、第一目的端口相匹配时,根据预设处置策略对所述数据包进行解封,恢复第二源IP地址、第二目的IP地址、第二源端口和第二目的端口对应的下一跳地址。处置完成后,运营商出口路由器根据学习到的预设路由表中记载的路由明细采集已经解封的明细路由,检查每一条明细路由对应的下一跳地址是否不为Null0,如果是,则确定对该条明细路由对应的数据包解封成功,否则解封失败,进一步地,如果解封失败,则记录解封失败原因,输出处置失败日志,通知维护人员进行故障排查。
本发明实施例提供的网页篡改处置系统,将处置路由器与运营商现有网络设备建立了BGP邻居关系,将篡改网页对应的源IP地址、目的IP地址、源端口、目的端口以及预设处置策略组成的预设路由表存储于处置路由器中,通过运营商出口路由器与处置路由器、运营商入口路由器之间的学习和转发功能进行全网学习,根据预设路由表中的预设处置规则对终端设备通过运营商接入路由器发送的数据包进行处理,进而实现对访问被篡改网页或者从被篡改网页流出至Internet的数据包进行快速一键式处置,提高了网页篡改事后处置的效率及系统安全。本发明实施例提供的网页篡改处置系统,采用现网运营商路由设备,并将其与BGP flow方法进行适配得到,无需额外的硬件设备改造;并且无需依赖网络侧及以下接口的支持,仅依赖于应用层BGP,无需进行底层操作系统适配即可使用;且是在被篡改网页的出口侧进行处理,将用户侧设备拓扑透明化,具备较高的可用性,同时处置流程可在处置路由器上进行大规模并发处置,具有较高的有效性。
实施例二
基于同一发明构思,本发明实施例中还提供了一种网页篡改处置方法,由于上述方法解决问题的原理与上述网页篡改处置系统相似,因此上述方法的实施可以参见系统的实施,重复之处不再赘述。
如图2所示,其为本发明实施例二提供的网页篡改处置方法的实施流程示意图,运营商出口路由器分别与处置路由器、运营商接入路由器之间建立边界网关协议BGP邻居关系,该方法可以包括以下步骤:
S21、运营商出口路由器接收所述运营商接入路由器发送的数据包,其中,所述数据包为终端设备发送给所述运营商接入路由器的,所述数据包中携带有第二源IP地址、第二目的IP地址、第二源端口和第二目的端口。
S22、学习所述处置路由器存储的预设路由表,其中,所述预设路由表中包含被篡改网页对应的第一源IP地址、第一目的IP地址、第一源端口、第一目的端口以及预设处置策略。
S23、将所述第二源IP地址、第二目的IP地址、第二源端口和第二目的端口分别与学习到的所述预设路由表中的所述第一源IP地址、第一目的IP地址、第一源端口、第一目的端口进行匹配,得到匹配结果。
S24、根据所述匹配结果与所述预设处置策略对所述数据包进行相应处理,其中,所述预设处置策略为封堵或解封。
较佳地,根据所述匹配结果与所述预设处置策略对所述数据包进行相应处理,具体包括:
当所述匹配结果为是、且所述预设处置策略为封堵时,对所述数据包进行封堵。
较佳地,根据所述匹配结果与所述预设处置策略对所述数据包进行相应处理,具体包括:
当所述匹配结果为是、且所述预设处置策略为解封时,对所述数据包进行解封。
较佳地,对所述数据包进行封堵,具体包括:
将所述第二源IP地址、第二目的IP地址、第二源端口和第二目的端口对应的下一跳地址置为空。
较佳地,对所述数据包进行解封,具体包括:
恢复所述第二源IP地址、第二目的IP地址、第二源端口和第二目的端口对应的下一跳地址。
实施例三
本发明实施例三提供了一种电子设备,包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述处理器执行所述程序时实现本发明实施例二所述的网页篡改处置方法。
实施例四
本发明实施例四提供了一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现本发明实施例二所述的网页篡改处置方法中的步骤。
本领域内的技术人员应明白,本发明的实施例可提供为方法、系统、或计算机程序产品。因此,本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
尽管已描述了本发明的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例做出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本发明范围的所有变更和修改。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
Claims (12)
1.一种网页篡改处置系统,其特征在于,包括运营商接入路由器、与所述运营商接入路由器建立边界网关协议BGP邻居关系的运营商出口路由器和与所述运营商出口路由器建立BGP邻居关系的处置路由器,其中:
所述处置路由器,用于存储预设路由表,其中,所述预设路由表中包含被篡改网页对应的第一源IP地址、第一目的IP地址、第一源端口、第一目的端口以及预设处置策略;
所述运营商入口路由器,用于接收终端设备发送的数据包,其中,所述数据包中携带有第二源IP地址、第二目的IP地址、第二源端口和第二目的端口;
所述运营商出口路由器,用于接收所述运营商接入路由器发送的所述数据包;并学习所述预设路由表;将所述第二源IP地址、第二目的IP地址、第二源端口和第二目的端口分别与学习到的所述预设路由表中的所述第一源IP地址、第一目的IP地址、第一源端口、第一目的端口进行匹配,得到匹配结果;根据所述匹配结果与所述预设处置策略对所述数据包进行相应处理;其中,所述预设处置策略为封堵或解封。
2.如权利要求1所述的系统,其特征在于,
所述运营商出口路由器,具体用于当所述匹配结果为是、且所述预设处置策略为封堵时,对所述数据包进行封堵。
3.如权利要求1所述的系统,其特征在于,
所述运营商出口路由器,具体用于当所述匹配结果为是、且所述预设处置策略为解封时,对所述数据包进行解封。
4.如权利要求2所述的系统,其特征在于,
所述运营商出口路由器,具体用于将所述第二源IP地址、第二目的IP地址、第二源端口和第二目的端口对应的下一跳地址置为空。
5.如权利要求3所述的系统,其特征在于,
所述运营商出口路由器,具体用于恢复所述第二源IP地址、第二目的IP地址、第二源端口和第二目的端口对应的下一跳地址。
6.一种网页篡改处置方法,其特征在于,运营商出口路由器分别与处置路由器、运营商接入路由器之间建立边界网关协议BGP邻居关系,该方法包括:
运营商出口路由器接收所述运营商接入路由器发送的数据包,其中,所述数据包为终端设备发送给所述运营商接入路由器的,所述数据包中携带有第二源IP地址、第二目的IP地址、第二源端口和第二目的端口;
学习所述处置路由器存储的预设路由表,其中,所述预设路由表中包含被篡改网页对应的第一源IP地址、第一目的IP地址、第一源端口、第一目的端口以及预设处置策略;
将所述第二源IP地址、第二目的IP地址、第二源端口和第二目的端口分别与学习到的所述预设路由表中的所述第一源IP地址、第一目的IP地址、第一源端口、第一目的端口进行匹配,得到匹配结果;
根据所述匹配结果与所述预设处置策略对所述数据包进行相应处理,其中,所述预设处置策略为封堵或解封。
7.如权利要求6所述的方法,其特征在于,根据所述匹配结果与所述预设处置策略对所述数据包进行相应处理,具体包括:
当所述匹配结果为是、且所述预设处置策略为封堵时,对所述数据包进行封堵。
8.如权利要求6所述的方法,其特征在于,根据所述匹配结果与所述预设处置策略对所述数据包进行相应处理,具体包括:
当所述匹配结果为是、且所述预设处置策略为解封时,对所述数据包进行解封。
9.如权利要求7所述的方法,其特征在于,对所述数据包进行封堵,具体包括:
将所述第二源IP地址、第二目的IP地址、第二源端口和第二目的端口对应的下一跳地址置为空。
10.如权利要求8所述的方法,其特征在于,对所述数据包进行解封,具体包括:
恢复所述第二源IP地址、第二目的IP地址、第二源端口和第二目的端口对应的下一跳地址。
11.一种电子设备,包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时实现如权利要求6~10任一项所述的网页篡改处置方法。
12.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,该程序被处理器执行时实现如权利要求6~10任一项所述的网页篡改处置方法中的步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201711487955.4A CN109995717A (zh) | 2017-12-29 | 2017-12-29 | 一种网页篡改处置系统及方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201711487955.4A CN109995717A (zh) | 2017-12-29 | 2017-12-29 | 一种网页篡改处置系统及方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN109995717A true CN109995717A (zh) | 2019-07-09 |
Family
ID=67111071
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201711487955.4A Pending CN109995717A (zh) | 2017-12-29 | 2017-12-29 | 一种网页篡改处置系统及方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN109995717A (zh) |
Citations (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101436995A (zh) * | 2008-12-04 | 2009-05-20 | 中国移动通信集团广东有限公司 | 一种基于bgp虚拟下一跳的ip地址快速封堵的方法 |
CN101588302A (zh) * | 2009-06-26 | 2009-11-25 | 杭州华三通信技术有限公司 | 路由更新的方法及设备 |
CN102571812A (zh) * | 2011-12-31 | 2012-07-11 | 成都市华为赛门铁克科技有限公司 | 一种网络威胁的跟踪识别方法及装置 |
CN103095701A (zh) * | 2013-01-11 | 2013-05-08 | 中兴通讯股份有限公司 | 开放流表安全增强方法及装置 |
CN104486161A (zh) * | 2014-12-22 | 2015-04-01 | 成都科来软件有限公司 | 一种网络流量的识别方法及装置 |
CN104901971A (zh) * | 2015-06-23 | 2015-09-09 | 北京东方棱镜科技有限公司 | 对网络行为进行安全分析的方法和装置 |
CN104954367A (zh) * | 2015-06-04 | 2015-09-30 | 饶小毛 | 一种互联网全向跨域DDoS攻击防护方法 |
CN105991441A (zh) * | 2015-03-24 | 2016-10-05 | 杭州迪普科技有限公司 | 对bgp路由选择性下发路由转发表的方法和装置 |
CN106209784A (zh) * | 2016-06-24 | 2016-12-07 | 杭州华三通信技术有限公司 | 一种数据过滤方法和装置 |
US20170251018A1 (en) * | 2014-12-15 | 2017-08-31 | Amazon Technologies, Inc. | Mitigation of distributed denial-of-service attacks |
US20170359310A1 (en) * | 2016-06-13 | 2017-12-14 | David D. Jameson | Bypassing a firewall for authorized flows using software defined networking |
-
2017
- 2017-12-29 CN CN201711487955.4A patent/CN109995717A/zh active Pending
Patent Citations (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101436995A (zh) * | 2008-12-04 | 2009-05-20 | 中国移动通信集团广东有限公司 | 一种基于bgp虚拟下一跳的ip地址快速封堵的方法 |
CN101588302A (zh) * | 2009-06-26 | 2009-11-25 | 杭州华三通信技术有限公司 | 路由更新的方法及设备 |
CN102571812A (zh) * | 2011-12-31 | 2012-07-11 | 成都市华为赛门铁克科技有限公司 | 一种网络威胁的跟踪识别方法及装置 |
CN103095701A (zh) * | 2013-01-11 | 2013-05-08 | 中兴通讯股份有限公司 | 开放流表安全增强方法及装置 |
US20170251018A1 (en) * | 2014-12-15 | 2017-08-31 | Amazon Technologies, Inc. | Mitigation of distributed denial-of-service attacks |
CN104486161A (zh) * | 2014-12-22 | 2015-04-01 | 成都科来软件有限公司 | 一种网络流量的识别方法及装置 |
CN105991441A (zh) * | 2015-03-24 | 2016-10-05 | 杭州迪普科技有限公司 | 对bgp路由选择性下发路由转发表的方法和装置 |
CN104954367A (zh) * | 2015-06-04 | 2015-09-30 | 饶小毛 | 一种互联网全向跨域DDoS攻击防护方法 |
CN104901971A (zh) * | 2015-06-23 | 2015-09-09 | 北京东方棱镜科技有限公司 | 对网络行为进行安全分析的方法和装置 |
US20170359310A1 (en) * | 2016-06-13 | 2017-12-14 | David D. Jameson | Bypassing a firewall for authorized flows using software defined networking |
CN106209784A (zh) * | 2016-06-24 | 2016-12-07 | 杭州华三通信技术有限公司 | 一种数据过滤方法和装置 |
Non-Patent Citations (1)
Title |
---|
黄卓君: "一种基于Flow-Spec的网络异常流量防护策略", 《广东通信技术》 * |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
EP3222005B1 (en) | Passive performance measurement for inline service chaining | |
CN106789542B (zh) | 一种云数据中心安全服务链的实现方法 | |
Maltz et al. | Routing design in operational networks: A look from the inside | |
Sarhan et al. | Data Inspection in SDN Network | |
CN104954367B (zh) | 一种互联网全向跨域DDoS攻击防护方法 | |
CN103650436B (zh) | 业务路径分配方法、路由器和业务执行实体 | |
US20070162595A1 (en) | System and method for tracking network resources | |
CN113285864A (zh) | 用于全局虚拟网络的系统和方法 | |
CN106105115A (zh) | 网络环境中由服务节点始发的服务链 | |
US11314614B2 (en) | Security for container networks | |
Nife et al. | Application-aware firewall mechanism for software defined networks | |
CN116055254A (zh) | 一种安全可信网关系统、控制方法、介质、设备及终端 | |
CN105827629B (zh) | 云计算环境下软件定义安全导流装置及其实现方法 | |
CN103873379A (zh) | 一种基于重叠网的分布式路由抗毁策略配置方法和系统 | |
CN105553863B (zh) | 一种基于OpenFlow的多逻辑变体路由控制系统及控制方法 | |
CN107124365A (zh) | 一种基于机器学习的路由策略的获取系统 | |
CN113037731A (zh) | 基于sdn架构和蜜网的网络流量控制方法及系统 | |
WO2014069502A1 (ja) | 通信システム、経路情報交換装置、通信ノード、経路情報の転送方法及びプログラム | |
Wang et al. | A data plane security model of SR-BE/TE based on zero-trust architecture | |
Kim et al. | A cognitive model‐based approach for autonomic fault management in OpenFlow networks | |
CN109995717A (zh) | 一种网页篡改处置系统及方法 | |
Tetz | Cisco networking all-in-one for dummies | |
Chaturvedi et al. | Comparative Analysis of Traditional Virtual-LAN with Hybrid Software Defined Networking Enabled Network | |
CN111147516B (zh) | 基于sdn的安全设备动态互联与智能选路决策系统及方法 | |
Martin de Pozuelo et al. | Software defined utility: A step towards a flexible, reliable and low-cost smart grid |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20190709 |
|
RJ01 | Rejection of invention patent application after publication |