CN110290124A - 一种交换机入端口阻断方法及装置 - Google Patents
一种交换机入端口阻断方法及装置 Download PDFInfo
- Publication number
- CN110290124A CN110290124A CN201910514361.0A CN201910514361A CN110290124A CN 110290124 A CN110290124 A CN 110290124A CN 201910514361 A CN201910514361 A CN 201910514361A CN 110290124 A CN110290124 A CN 110290124A
- Authority
- CN
- China
- Prior art keywords
- interchanger
- statistical result
- inbound port
- message
- statistical
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请提供一种交换机入端口阻断方法及装置。该交换机入端口阻断方法包括:获得交换机对所接收的报文信息的统计结果,每条统计结果对应交换机接收到的一条报文,每条统计结果中至少包括:该条报文的报文特征、以及该条报文在交换机的入端口信息;以及获得报文监控设备提供的非法报文特征;在统计结果中,查找与该非法报文特征相匹配的统计结果;根据匹配得到的统计结果,将该统计结果中的入端口信息确定为待阻断入端口并指示交换机对其进行阻断。本申请在不改变现有网络架构、且仅使用一个报文监控设备的前提下,实现了能够阻断交换机所有入端口的目的,达到了与交换机相连的所有链路上的设备均不被非法报文入侵的技术效果。
Description
技术领域
本申请涉及互联网安全领域,具体涉及一种交换机入端口阻断方法及装置。
背景技术
随着物联网以及基础设施通信系统的迅速发展,海量设备已经能够接入互联网成为物联网的组成部分。和传统互联网相比,物联网涉及的设备数量巨大,人为监管困难,极易被非法报文入侵,进而渗透至整个物联网网络,导致网络瘫痪。因此,需要一种端口阻断方法,以防止非法报文的入侵。
如图1所示,相关技术中的端口阻断方法,其可应用于包括有多台终端1、交换机2、报文监控设备3、设备管理中心4以及视频终端服务器5的网络架构中。该方法在交换机2与视频终端服务器5之间设置有报文监控设备3和设备管理中心4,当任一终端发送了意图入侵视频终端服务器5的非法报文后,会在转发过程中被报文监控设备3识别并拦截,同时告知设备管理中心4以使其控制交换机2阻断转发该非法报文的出端口,以避免非法报文继续被转发至视频终端服务器5。
但由于交换机2所接入的终端数量较大,出于成本及网络架构设计难度的考虑,难以在每一个终端与交换机2之间都设置有报文监控设备3和设备管理中心4,因此,进入交换机2的非法报文仍然可能被转发至其他终端。例如,在终端A所发送的非法报文进入交换机2之后,尽管不会被转发至设备管理中心4,但是该非法报文可能会通过交换机2被转发至终端B,使终端B受到非法报文的入侵。
发明内容
有鉴于此,本申请提供一种交换机入端口阻断方法及装置。
具体地,本申请是通过如下技术方案实现的:
一种交换机入端口阻断方法,所述方法包括:
获得交换机对所接收的报文信息的统计结果,每条统计结果对应交换机接收到的一条报文,每条统计结果中至少包括:该条报文的报文特征、以及该条报文在交换机的入端口信息;以及
获得报文监控设备提供的非法报文特征;
在所述统计结果中,查找与所述非法报文特征相匹配的统计结果;
根据匹配得到的统计结果,将该统计结果中的入端口信息确定为待阻断入端口并指示所述交换机对其进行阻断。
一种交换机入端口阻断装置,所述装置包括:
统计结果获得单元,用于获得交换机对所接收报文信息的统计结果,每条统计结果对应交换机接收到的一条报文,每条统计结果中至少包括:该条报文的报文特征、以及该条报文在交换机的入端口信息;以及
非法报文特征获得单元,用于获得报文监控设备提供的非法报文特征;
特征匹配单元,用于在所述统计结果中,查找与所述非法报文特征相匹配的统计结果;
入端口阻断单元,用于根据匹配得到的统计结果,将该统计结果中的入端口信息确定为待阻断入端口并进行阻断。
本申请分别获得交换机对报文经统计后得到的报文特征和入端口信息、以及报文监控设备提供的非法报文特征,并进一步查找与非法报文特征相匹配的报文特征,进而确定待阻断入端口并指示交换机对其进行阻断。与现有技术,仅能保证设置有报文监控设备的链路上的设备不被非法报文入侵的方案相比,本申请在省略了现有的设备管理中心、且仅使用一个报文监控设备的前提下,实现了能够阻断交换机所有入端口的目的,达到了与交换机相连的所有链路上的设备均不被非法报文入侵的技术效果。
附图说明
图1是现有技术方案的一种应用场景示意图;
图2是本申请一示例性实施例的一种应用场景示意图;
图3是本申请一示例性实施例示出的一种交换机入端口阻断方法的流程示意图;
图4是本申请一示例性实施例示出的一种交换机入端口阻断方法的流程示意图;
图5是本申请一示例性实施例示出的一种交换机入端口阻断装置的结构示意图;
图6是本申请一示例性实施例示出的一种交换机入端口阻断装置的结构示意图。
具体实施方式
这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。
在本申请使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本申请。在本申请和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。还应当理解,本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。
应当理解,尽管在本申请可能采用术语第一、第二、第三等来描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离本申请范围的情况下,第一信息也可以被称为第二信息,类似地,第二信息也可以被称为第一信息。取决于语境,如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。
图1是现有技术方案的一种应用场景示意图,如图1中所示,包括视频终端服务器5、设备管理中心4、报文监控设备3、交换机2和多个终端1,其中,多个终端1包括终端A、终端B……终端N。多个终端1与交换机2相连接,设备管理中心4通过报文监控设备3与该交换机2连接。其中,终端可以是接入互联网的设备,如网络摄像头、智能空气净化器等。交换机2用于在各终端之间、以及各终端与报文监控设备3或设备管理中心4之间传输信息。报文监控设备3用于对报文进行监控,可以利用自身存储的合法IP地址、MAC地址或是入端口等信息对报文所携带的信息进行识别,实现对非法报文的识别与拦截。设备管理中心4用于接收报文监控设备3的非法报文信息,并根据该信息指示交换机对其出端口进行阻断。视频终端服务器5可以用来显示各终端的状态或是对终端产生的信息进行存储和分析等。
在图1所示的应用场景中,由于视频终端服务器5在功能上相较于其他终端而言更为重要,因此将报文监控设备3和设备管理中心4设置在视频终端服务器5与交换机2之间,以保证非法报文在交换机2将其转发至视频终端服务器5之前,就被报文监控设备3所识别并拦截,同时,设备管理中心4也指示交换机2将其转发该非法报文的出端口进行阻断。但对于其他终端而言,由于没有为其在与交换机2之间的链路上设置报文监控设备3和设备管理中心4,因此则会将各终端暴露在非法报文的攻击下,且由于终端数量的数量巨大,出于成本的考虑也难以为每一个终端都设置相应的报文监控设备3和设备管理中心4,使各终端难以防范非法报文的攻击。
有鉴于此,本申请提供一种交换机入端口阻断方法,以保证在仅设置一个报文监控设备3的情况下,达到与交换机2相连的所有链路上的设备均不被非法报文入侵的技术效果。
为了使本技术领域的人员更好地理解本申请实施例中的技术方案,并使本申请实施例的上述目的、特征和优点能够更加明显易懂,下面结合附图对本申请实施例中技术方案作进一步详细的说明。
图2是本申请一示例性实施例示出的一种应用场景示意图,如图2所示,其包括:交换机入端口阻断装置6、视频终端服务器5、报文监控设备3、交换机2和多个终端1,其中,多个终端1包括终端A、终端B……终端N。本领域技术人员可以理解的是,交换机所能连接的终端数量与交换机自身所具备的入端口数量有关,交换机所连接的终端数量可根据实际实施时的具体需求而定,本申请并不对交换机所连接的终端数量做出限制。多个终端与交换机2相连接,报文监控设备3设置在视频终端服务器5和交换机2之间,交换机入端口阻断装置6分别与交换机2和报文监控设备3相连。其中,终端可以是接入互联网的设备,如网络摄像头、智能空气净化器等。交换机2用于在各终端之间、以及各终端与报文监控设备3之间传输信息。报文监控设备3用于对报文进行监控,可以利用自身存储的合法IP地址、MAC地址或是入端口等信息对报文所携带的信息进行匹配,实现对非法报文的识别与拦截。视频终端服务器5可以用来显示各终端的状态或是对终端产生的信息进行存储和分析等。
本领域技术人员可以理解的是,交换机入端口阻断装置6可以设置在交换机2中、报文监控设备3中或是独立于交换机2和报文监控设备3,交换机入端口阻断装置6能够指示交换机2对其入端口进行阻断。
需要说明的是,本实施例中的多个终端并非特指多个功能相同的终端,其可以是分别具备各种功能的终端,例如,具备管理其他终端功能的终端,或是仅能够接收运行指令的终端,在本实施例中,所有终端在防护非法报文攻击层面的重要性是相同的。
由于本实施例中仅设置有一个报文监控设备3,若采用现有技术的方案,该报文监控设备3只能接收到目的地址为终端3或是由终端3所发送的报文,而对发向其他终端的报文则无能为力。因此,本实施例对交换机2的功能进行更改,在交换机2接收到报文后,会提取各报文的报文特征,如报文的源IP地址或源MAC地址等信息,并将报文特征发送至报文监控设备3,以使报文监控设备3能够获得交换机2所接收的每一个报文的报文特征,换句话说,报文监控设备3能够通过该报文特征对每一个终端所发送的报文进行监控,进而可以在所有报文中识别非法报文,而不仅仅是在发送给终端3的报文中识别非法报文。但仅仅让报文监控设备3能够监控每一个终端所发送的每一个报文还是不够的,因为报文监控设备3并不能管理该交换机2接收报文的入端口,因此还需要能够管理交换机2入端口的交换机入端口阻断装置6,该交换机入端口阻断装置6可以是独立于交换机2和报文监控设备3的装置,也可以是设置在交换机2中、或报文监控设备3中的组成部分,本领域技术人员能够理解的是,交换机入端口阻断装置6的设置位置并不能够影响其功能的发挥。本实施例进一步对交换机2的功能进行改进,使其在将报文特征发送至报文监控设备3的同时,也将对报文统计后得到的统计结果发送至交换机入端口阻断装置6,每条统计结果中至少包括:该条报文的报文特征、以及该条报文在交换机2的入端口信息。此外,本实施例也对报文监控设备3的功能进行改进,使其能够将识别到的非法报文特征发送至交换机入端口阻断装置6,从而使交换机入端口阻断装置6能够接收到每一条报文的报文特征、入端口信息以及非法报文特征。之后由交换机入端口阻断装置6根据非法报文特征,在统计结果中,查找与非法报文特征相匹配的统计结果,进而确定待阻断入端口,并指示交换机2对其进行阻断。
图3是本申请一示例性实施例示出的一种交换机2入端口阻断方法的流程示意图,如图3所示,该方法至少包括以下步骤:
S101获得交换机对所接收的报文信息的统计结果,每条统计结果对应交换机接收到的一条报文,每条统计结果中至少包括:该条报文的报文特征、以及该条报文在交换机的入端口信息;以及
S102获得报文监控设备提供的非法报文特征。
具体的,交换机入端口阻断装置可以同时获得统计结果以及非法报文特征。当交换机入端口阻断装置独立于交换机和报文监控设备时,可以通过接收交换机和报文监控设备上传的报文以获得上述信息;而当交换机入端口阻断装置设置于交换机之中时,则可以直接获得统计结果,而当交换机入端口阻断装置设置于报文监控设备之中时,则可以直接获得非法报文特征。
需要说明的是,交换机对所接收的报文信息的统计操作可以连续的,即对每一条报文均进行统计以获得所有报文信息的统计结果,也可以在后续根据交换机入端口阻断装置的指示或是人为的设置选择仅对某些入端口进行统计操作。
本领域技术人员可以理解的是,统计结果与非法报文特征可以是两个相互独立的步骤,因此不需要限定S101和S102的具体执行顺序,其可以是先执行S101、再执行S102,或是先执行S102、再执行S101,也可以是同时执行S101和S102。
需要说明的是,统计结果中的报文特征,可以是报文中所携带的源IP地址、源MAC地址等能够唯一的标识该报文所属终端的信息,非法报文特征可以是非法的源IP地址、非法的源MAC地址等能够唯一的标识该报文所属终端的信息。
以图2中所示的一种应用场景中,终端A与终端B各发送一个报文为例。终端A与终端B发送的报文由各自的入端口进入交换机2,交换机2对这两个报文进行统计,分别得到两条统计结果,如表1和表2所示,其中表1的统计结果对应于终端A所发送的报文,表2的统计结果对应于终端B所发送的报文。
表1
| IP地址 | 入端口信息 |
| 1.1.1.1 | 25 |
表2
| IP地址 | 入端口信息 |
| 2.2.2.2 | 36 |
表1的统计结果,是对IP地址为1.1.1.1、由25号入端口所接收的报文进行统计得到的统计结果。表2的统计结果,是对IP地址为2.2.2.2、由36号入端口所接收的报文进行统计得到的统计结果。
交换机2在获得上述两条统计结果后,可以将统计结果发送至报文监控设备3,也可以将未经统计处理的报文发送至报文监控设备3。由于报文监控设备3可以通过判断报文所携带的源IP地址或源MAC地址来识别改报文是否是非法报文,进而得到非法报文特征,因此,在此处选择将统计结果发送给报文监控设备3,其目的在于提高非法报文特征的识别效率。当然,也可以选择将未经统计处理的报文发送给报文监控设备3,上述两种方式均能够得到非法报文特征。此外,在将统计结果发送给报文监控设备3的同时,交换机2也将该统计结果发送给交换机入端口阻断装置6。
需要说明的是,当报文监控设备3使用固定的预设的非法地址表对报文进行识别的情况下,交换机2也可以不将该统计结果发送至报文监控设备3,其具体实现方式在后续会详细说明。
在报文监控设备3得到上述两条统计结果之后,可以识别其中是否存在非法报文特征。识别非法报文特征可以通过预先设定的非法的IP地址表、或是预先设定的非法的MAC地址表,或是设置预设时间内接收同一IP地址或MAC地址的报文的阈值等方式实现,本实施例并不限定具体的非法报文识别方式。例如,采用预先设定的非法的IP地址表的形式对报文特征进行识别,该预先设定非法的IP地址表如表3所示。
表3
| 预设非法IP地址 |
| 1.1.1.1 |
| 3.3.3.3 |
| 4.4.4.4 |
表3中记载了三个非法的报文IP地址,分别为1.1.1.1、3.3.3.3和4.4.4.4。使用表1和表2的统计结果中的IP地址与非法报文IP地址相匹配,可以得到非法报文特征为1.1.1.1,并将其发送至交换机入端口阻断装置6。
需要说明的是,此处使用报文监控设备3对统计结果进行识别,其目的在于只将统计结果中涉及的非法报文特征筛选出来,提高后续交换机入端口阻断装置6的处理效率。在以预设的非法IP地址表或是非法MAC地址来识别非法报文特征的情况下,报文监控设备3也可以选择将该地址表直接的发送给交换机入端口阻断装置6,而并不对交换机2获得的统计结果进行识别,也就无需交换机2将统计结果发送至报文监控设备3,此时可同时执行S101和S102。但需要注意的是,当通过报文流量或其他动态识别方式以识别非法报文时,则需要交换机2将统计结果发送至报文监控设备3,以获得实时的非法报文特征。
S103在统计结果中,查找与非法报文特征相匹配的统计结果;
具体的,交换机入端口阻断装置在接收到统计结果与非法报文特征之后,需要根据非法报文特征,查找与之匹配的统计结果。
仍以前述的图2中所示的一种应用场景中,终端A与终端B各发送一个报文为例,以详细说明本步骤。在交换机入端口阻断装置6接收到表1和表2记载的两条统计结果,和报文监控设备3经识别后得到的非法报文特征1.1.1.1后,交换机入端口阻断装置6根据非法报文特征1.1.1.1,在表1和表2中查找与该特征相同的统计结果,可得到非法报文对应的统计结果为表1记载的统计结果。
S104根据匹配得到的统计结果,将该统计结果中的入端口信息确定为待阻断入端口并指示交换机对其进行阻断。
由于统计结果中记录有入端口信息,因此当确定非法报文对应的统计结果后,即可确定非法报文进入交换机时所使用的入端口,进而指示交换机对该入端口进行阻断,以防止非法报文进入交换机。
仍以前述的图2中所示的一种应用场景中,终端A与终端B各发送一个报文为例,以详细说明本步骤。在得到非法报文对应的统计结果为表1记载的统计结果后,即可确定该统计结果中的入端口信息为36号入端口,该36号入端口也就是待阻断入端口,进而指示交换机2阻断该36号入端口。
本实施例分别获得交换机对报文经统计后得到的报文特征和入端口信息、以及报文监控设备提供的非法报文特征,并进一步查找与非法报文特征相匹配的报文特征,进而确定待阻断入端口并指示交换机对其进行阻断。与现有技术,仅能保证设置有报文监控设备和设备管理中心的链路上的设备不被非法报文入侵的方案相比,本实施例在省略现有设备管理中心、且仅使用一个报文监控设备的前提下,实现了能够阻断交换机所有入端口的目的,达到了与交换机相连的所有链路上的设备均不被非法报文入侵的技术效果。
进一步的,针对于所获得的交换机对所接收的报文信息的统计结果,若交换机对合法终端所发送的携带有合法报文特征的每一条报文均进行统计处理,则会产生逐一确认这些报文均为合法报文的情况出现,进而浪费系统资源。基于此,S101中获得交换机对所接收的报文信息的统计结果,具体为:对所接收的终端上线报文信息的统计结果。
具体的,在物联网环境下,各终端在接入物联网的过程中,会首先发送一条终端上线认证报文,以使具备物联网管理功能的终端对其发起认证操作。因此,本实施例中的交换机仅对终端上线报文进行统计,在该终端上线报文具有非法报文特征的情况下,会阻断交换机上接收该报文的入端口,则保证后续非法报文不会再进入交换机,而如果在该终端上线报文具有合法报文特征的情况下,由于报文特征能够唯一的标识该报文所属的终端,则说明发送该终端上线报文的终端为合法终端,因此无需对其后续所发送的报文进行统计操作。
需要说明的是,本实施例选择仅对于终端上线报文信息进行统计,其前提条件是假设发送合法报文的终端均为合法终端,且合法终端不会发送非法报文。如果存在发送合法报文的终端也可能发送非法报文的情况,则可以选择对每一条报文均采取统计操作,以防止非法报文入侵其他终端。
由于本申请通过一条报文即可确定其携带的报文特征是否时非法报文特征,进而确定发送该报文的终端是否是非法终端,因此本实施例中的交换机2仅对终端上线报文进行统计操作,即能够保证各终端在不被非法报文入侵同时,节省大量的系统资源并提高报文的处理效率。
图4是本申请一示例性实施例示出的一种交换机入端口阻断方法的流程示意图。本实施例在完成查找与所述非法报文特征相匹配的统计结果之后,相应的也得到了未匹配到非法报文特征的统计结果,对于这一部分统计结果所对应的报文所属的终端,可以认为是合法的,也就表示其后续的报文也都是合法的。鉴于此,如图4所示,在执行S103之后,还包括:
S105指示交换机对未匹配到非法报文特征的统计结果所对应的入端口,停止执行统计操作。
具体的,由于报文中携带的报文特征可唯一的标识该报文所属的终端,因此,当统计结果未匹配到非法报文特征时,则表示这些统计结果中记载的报文特征是合法特征,其对应的终端则是合法终端,因此其后续所发送的报文也同样的携带有合法特征,也就无需再对其进行处理。本实施例可指示交换机对未匹配到非法报文特征的统计结果所对应的入端口,停止执行统计操作,以停止接收到这些入端口后续所接收报文的统计结果,也就无法继续执行本实施例的交换机入端口阻断方法。
需要说明的是,本实施例选择对未匹配到非法报文特征的统计结果所对应的入端口,停止执行统计操作,其前提条件是认为发送合法报文的终端均为合法终端,且合法终端不会发送非法报文。如果存在发送合法报文的终端也可能发送非法报文的情况,则可以选择对每一条报文均采取统计操作,以防止非法报文入侵其他终端。
由于未匹配到非法报文特征的统计结果所对应的入端口,没有继续执行统计操作的必要,因此本实施例指示换机对这些入端口停止执行统计操作,以节省系统资源,同时提高报文的处理效率。
本领域技术人员可以理解的是,S104和S105是两个相互独立的步骤,在任一实施例中可以单独的执行S104、也可以在任一实施例中选择即执行S105,也执行S105。
进一步的,在完成对待阻断入端口的阻断后,由于非法终端难以将非法报文发送至交换机,则会选择断开与交换机的连接。在非法终端断开与交换机的连接后,则需要尽快恢复该被阻断的入端口的连通性,以使该入端口能够被其他终端所使用,提高入端口的利用率。鉴于此,如图4所示,在S104之后,还包括:
S106指示交换机在已被阻断的入端口中,确定由设备已接入状态切换至设备未接入状态的入端口,并恢复其连通性。
具体的,交换机可以监控各入端口的连接状态,当入端口连接有终端时,该入端口的连接状态为设备已接入状态,而当入端口没有接入终端时,该入端口的连接状态为设备未接入状态。如果某一入端口由设备已接入状态切换至设备未接入状态,则说明与该入端口连接的终端断开了连接。而对于已被阻断的入端口而言,如果发生上述情况,则说明该入端口所连接的非法终端已经断开了连接。由于不能确定后续接入该入端口的终端是非法终端还是合法终端,因此需要及时的恢复该入端口的连通性,保证该入端口能够被其他合法的终端所使用。且如果后续所接入的终端为非法终端,也可以通过本实施例的方法对其发送的非法报文进行匹配,进而确定该入端口为待阻断入端口并指示交换机对其阻断,使其他终端并不会由于该入端口的恢复而受到非法报文的入侵。
本实施例通过指示交换机对已被阻断的入端口的连接状态进行监控,能够实时的恢复那些与终端断开连接的已被阻断的入端口,避免人为的对这些入端口进行监控所造成的恢复延迟和恢复错误,并提高入端口的使用效率。
进一步的,对于停止执行统计操作的入端口来说,由于已经确定其发送的报文是合法报文,相应的发送该报文的终端即为合法终端,因此便无需继续执行统计操作。但如果该终端断开与交换机的连接后,会使该端口能够被任意一个终端接入,为确定后续接入的终端所发送的报文是否是非法报文,则需要继续执行统计操作。鉴于此,如图4所示,在执行S105之后,还包括:
S107指示交换机在已停止执行统计操作的入端口中,确定由设备已接入状态切换至设备未接入状态的入端口,并继续执行统计操作。
具体的,交换机可以监控各入端口的连接状态,当入端口连接有终端时,该入端口的连接状态为设备已接入状态,而当入端口没有接入终端时,该入端口的连接状态为设备未接入状态。如果某一入端口由设备已接入状态切换至设备未接入状态,则说明与该入端口连接的终端断开了连接。而对于已停止执行统计操作的入端口而言,如果发生上述情况,则说明该入端口后续所连接的终端是不确定的,其后续接收的报文也是不确定,因此需要继续执行统计操作,以得到所接收报文的统计结果,并继续执行本实施例的后续步骤,最终确定该报文是否是非法报文,进而决定是否需要阻断该入端口,还是需要停止对该入端口执行统计操作。
本实施例通过指示交换机对已停止执行统计操作的入端口进行监控,以确定由设备已接入状态切换至设备未接入状态的入端口,进而确定该入端口所连接的终端已经断开,实时的对这些入端口继续执行统计操作,以防止终端的切换导致交换机难以及时的对报文进行统计,进而导致其他终端受到非法报文的入侵。
与前述交换机入端口阻断方法的实施例相对应,本申请还提供了交换机入端口阻断装置的实施例,如图5所示,所述装置包括:
601统计结果获得单元,用于获得交换机对所接收报文信息的统计结果,每条统计结果对应交换机接收到的一条报文,每条统计结果中至少包括:该条报文的报文特征、以及该条报文在交换机的入端口信息;以及
602非法报文特征获得单元,用于获得报文监控设备提供的非法报文特征;
603特征匹配单元,用于在所述统计结果中,查找与所述非法报文特征相匹配的统计结果;
604入端口阻断单元,用于根据匹配得到的统计结果,将该统计结果中的入端口信息确定为待阻断入端口并进行阻断。
进一步的,对所接收的报文信息的统计结果,具体为:对所接收的终端上线报文信息的统计结果。
进一步的,如图6所示,所述装置还包括:
605统计操作控制单元,用于指示所述交换机对未匹配到非法报文特征的统计结果所对应的入端口,停止执行统计操作。
进一步的,605统计操作控制单元,还用于指示所述交换机在已停止执行统计操作的入端口中,确定由设备已接入状态切换至设备未接入状态的入端口,并继续执行统计操作。
本领域技术人员可以理解的是,605统计操作控制单元,与604入端口阻断单元所实现的功能是相互独立的,因此,在实际实施时,可根据具体需求选择在交换机入端口阻断装置中选择单独的使用604入端口阻断单元,或是选择同时使用605统计操作控制单元和604入端口阻断单元。
进一步的,如图6所示,所述装置还包括:
606入端口连通性恢复单元,用于指示所述交换机在已被阻断的入端口中,确定由设备已接入状态切换至设备未接入状态的入端口,并恢复其连通性。
本实施例通过601统计结果获得单元获得交换机对报文经统计后得到的报文特征和入端口信息、以及602非法报文特征获得单元获得报文监控设备提供的非法报文特征,并进一步使用603特征匹配单元来查找与非法报文特征相匹配的报文特征,进而由604入端口阻断单元确定待阻断入端口并指示交换机对其进行阻断。与现有技术,仅能保证设置有报文监控设备的链路上的设备不被非法报文入侵的方案相比,本实施例在不改变现有网络架构、且仅使用一个报文监控设备的前提下,实现了能够阻断交换机所有入端口的目的,达到了与交换机相连的所有链路上的设备均不被非法报文入侵的技术效果。
上述装置中各个单元的功能和作用的实现过程具体详见上述方法中对应步骤的实现过程,在此不再赘述。
对于装置实施例而言,由于其基本对应于方法实施例,所以相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本申请方案的目的。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
以上所述仅为本申请的较佳实施例而已,并不用以限制本申请,凡在本申请的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本申请保护的范围之内。
Claims (10)
1.一种交换机入端口阻断方法,其特征在于,所述方法包括:
获得交换机对所接收的报文信息的统计结果,每条统计结果对应交换机接收到的一条报文,每条统计结果中至少包括:该条报文的报文特征、以及该条报文在交换机的入端口信息;以及
获得报文监控设备提供的非法报文特征;
在所述统计结果中,查找与所述非法报文特征相匹配的统计结果;
根据匹配得到的统计结果,将该统计结果中的入端口信息确定为待阻断入端口并指示所述交换机对其进行阻断。
2.根据权利要求1所述的方法,其特征在于,所述对所接收的报文信息的统计结果,具体为:对所接收的终端上线报文信息的统计结果。
3.根据权利要求1所述的方法,其特征在于,在查找与所述非法报文特征相匹配的统计结果之后,还包括:
指示所述交换机对未匹配到非法报文特征的统计结果所对应的入端口,停止执行统计操作。
4.根据权利要求3所述的方法,其特征在于,在停止执行统计操作之后,还包括:
指示所述交换机在已停止执行统计操作的入端口中,确定由设备已接入状态切换至设备未接入状态的入端口,并继续执行统计操作。
5.根据权利要求1至4任一项所述的方法,其特征在于,在确定交换机中的待阻断入端口并进行阻断之后,还包括:
指示所述交换机在已被阻断的入端口中,确定由设备已接入状态切换至设备未接入状态的入端口,并恢复其连通性。
6.一种交换机入端口阻断装置,其特征在于,所述装置包括:
统计结果获得单元,用于获得交换机对所接收报文信息的统计结果,每条统计结果对应交换机接收到的一条报文,每条统计结果中至少包括:该条报文的报文特征、以及该条报文在交换机的入端口信息;以及
非法报文特征获得单元,用于获得报文监控设备提供的非法报文特征;
特征匹配单元,用于在所述统计结果中,查找与所述非法报文特征相匹配的统计结果;
入端口阻断单元,用于根据匹配得到的统计结果,将该统计结果中的入端口信息确定为待阻断入端口并进行阻断。
7.根据权利要求6所述的装置,其特征在于,所述对所接收的报文信息的统计结果,具体为:对所接收的终端上线报文信息的统计结果。
8.根据权利要求6所述的装置,其特征在于,所述装置还包括:
统计操作控制单元,用于指示所述交换机对未匹配到非法报文特征的统计结果所对应的入端口,停止执行统计操作。
9.根据权利要求8所述的装置,其特征在于,
所述统计操作控制单元,还用于指示所述交换机在已停止执行统计操作的入端口中,确定由设备已接入状态切换至设备未接入状态的入端口,并继续执行统计操作。
10.根据权利要求6至9任一项所述的装置,其特征在于,还包括:
入端口连通性恢复单元,用于指示所述交换机在已被阻断的入端口中,确定由设备已接入状态切换至设备未接入状态的入端口,并恢复其连通性。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910514361.0A CN110290124B (zh) | 2019-06-14 | 2019-06-14 | 一种交换机入端口阻断方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910514361.0A CN110290124B (zh) | 2019-06-14 | 2019-06-14 | 一种交换机入端口阻断方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110290124A true CN110290124A (zh) | 2019-09-27 |
| CN110290124B CN110290124B (zh) | 2022-09-30 |
Family
ID=68004625
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910514361.0A Active CN110290124B (zh) | 2019-06-14 | 2019-06-14 | 一种交换机入端口阻断方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110290124B (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111404891A (zh) * | 2020-03-05 | 2020-07-10 | 南水北调中线信息科技有限公司 | 一种应用于水质监控系统的数据流量监测方法及装置 |
| CN112543203A (zh) * | 2020-12-28 | 2021-03-23 | 杭州迪普科技股份有限公司 | 终端接入方法、装置及系统 |
Citations (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1725705A (zh) * | 2005-05-09 | 2006-01-25 | 杭州华为三康技术有限公司 | 流量攻击网络设备的报文特征的检测方法 |
| CN1725709A (zh) * | 2005-06-30 | 2006-01-25 | 杭州华为三康技术有限公司 | 网络设备与入侵检测系统联动的方法 |
| CN1829222A (zh) * | 2005-03-04 | 2006-09-06 | 杭州华为三康技术有限公司 | 一种多生成树软件模拟的实现方法 |
| CN1878082A (zh) * | 2005-06-09 | 2006-12-13 | 杭州华为三康技术有限公司 | 网络攻击的防护方法 |
| CN101635731A (zh) * | 2009-08-31 | 2010-01-27 | 杭州华三通信技术有限公司 | 一种抵御mac地址欺骗攻击的方法及设备 |
| CN103609070A (zh) * | 2012-10-29 | 2014-02-26 | 华为技术有限公司 | 网络流量检测方法、系统、设备及控制器 |
| CN103746996A (zh) * | 2014-01-03 | 2014-04-23 | 汉柏科技有限公司 | 一种防火墙的报文过滤方法 |
| CN104601566A (zh) * | 2015-01-08 | 2015-05-06 | 杭州华三通信技术有限公司 | 认证方法以及装置 |
| CN105227515A (zh) * | 2014-05-28 | 2016-01-06 | 腾讯科技(深圳)有限公司 | 网络入侵阻断方法、装置及系统 |
| CN105939338A (zh) * | 2016-03-16 | 2016-09-14 | 杭州迪普科技有限公司 | 入侵报文的防护方法及装置 |
| CN105959290A (zh) * | 2016-06-06 | 2016-09-21 | 杭州迪普科技有限公司 | 攻击报文的检测方法及装置 |
| CN107615710A (zh) * | 2015-10-20 | 2018-01-19 | 华为技术有限公司 | Sdn交换机中的直接回复动作 |
| CN108494737A (zh) * | 2018-02-24 | 2018-09-04 | 浙江远望通信技术有限公司 | 一种基于设备特征识别的视频监控安全接入方法 |
| CN109347784A (zh) * | 2018-08-10 | 2019-02-15 | 锐捷网络股份有限公司 | 终端准入控制方法、控制器、管控设备及系统 |
-
2019
- 2019-06-14 CN CN201910514361.0A patent/CN110290124B/zh active Active
Patent Citations (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1829222A (zh) * | 2005-03-04 | 2006-09-06 | 杭州华为三康技术有限公司 | 一种多生成树软件模拟的实现方法 |
| CN1725705A (zh) * | 2005-05-09 | 2006-01-25 | 杭州华为三康技术有限公司 | 流量攻击网络设备的报文特征的检测方法 |
| CN1878082A (zh) * | 2005-06-09 | 2006-12-13 | 杭州华为三康技术有限公司 | 网络攻击的防护方法 |
| CN1725709A (zh) * | 2005-06-30 | 2006-01-25 | 杭州华为三康技术有限公司 | 网络设备与入侵检测系统联动的方法 |
| CN101635731A (zh) * | 2009-08-31 | 2010-01-27 | 杭州华三通信技术有限公司 | 一种抵御mac地址欺骗攻击的方法及设备 |
| CN103609070A (zh) * | 2012-10-29 | 2014-02-26 | 华为技术有限公司 | 网络流量检测方法、系统、设备及控制器 |
| CN103746996A (zh) * | 2014-01-03 | 2014-04-23 | 汉柏科技有限公司 | 一种防火墙的报文过滤方法 |
| CN105227515A (zh) * | 2014-05-28 | 2016-01-06 | 腾讯科技(深圳)有限公司 | 网络入侵阻断方法、装置及系统 |
| CN104601566A (zh) * | 2015-01-08 | 2015-05-06 | 杭州华三通信技术有限公司 | 认证方法以及装置 |
| CN107615710A (zh) * | 2015-10-20 | 2018-01-19 | 华为技术有限公司 | Sdn交换机中的直接回复动作 |
| CN105939338A (zh) * | 2016-03-16 | 2016-09-14 | 杭州迪普科技有限公司 | 入侵报文的防护方法及装置 |
| CN105959290A (zh) * | 2016-06-06 | 2016-09-21 | 杭州迪普科技有限公司 | 攻击报文的检测方法及装置 |
| CN108494737A (zh) * | 2018-02-24 | 2018-09-04 | 浙江远望通信技术有限公司 | 一种基于设备特征识别的视频监控安全接入方法 |
| CN109347784A (zh) * | 2018-08-10 | 2019-02-15 | 锐捷网络股份有限公司 | 终端准入控制方法、控制器、管控设备及系统 |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111404891A (zh) * | 2020-03-05 | 2020-07-10 | 南水北调中线信息科技有限公司 | 一种应用于水质监控系统的数据流量监测方法及装置 |
| CN112543203A (zh) * | 2020-12-28 | 2021-03-23 | 杭州迪普科技股份有限公司 | 终端接入方法、装置及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN110290124B (zh) | 2022-09-30 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101431449B (zh) | 一种网络流量清洗系统 | |
| US8149705B2 (en) | Packet communications unit | |
| CN101175078B (zh) | 应用分布式阈值随机漫步的潜在网络威胁识别 | |
| US9276852B2 (en) | Communication system, forwarding node, received packet process method, and program | |
| CN108063765B (zh) | 适于解决网络安全的sdn系统 | |
| US6973568B2 (en) | Apparatus and method for implementing spoofing-and replay-attack-resistant virtual zones on storage area networks | |
| US7725708B2 (en) | Methods and systems for automatic denial of service protection in an IP device | |
| EP3119052B1 (en) | Method, device and switch for identifying attack flow in a software defined network | |
| WO2018108052A1 (zh) | 一种DDoS攻击的防御方法、系统及相关设备 | |
| EP2482497B1 (en) | Data forwarding method, data processing method, system and device thereof | |
| JP2005277804A (ja) | 情報中継装置 | |
| CN113812126A (zh) | 报文传输方法、装置及系统 | |
| CN107196816B (zh) | 异常流量检测方法、系统及网络分析设备 | |
| WO2020083272A1 (zh) | 处理策略的生成方法、系统及存储介质 | |
| WO2017035717A1 (zh) | 一种分布式拒绝服务DDoS攻击检测方法及相关设备 | |
| JP4380710B2 (ja) | トラフィック異常検出システム、トラフィック情報観測装置、及び、トラフィック情報観測プログラム | |
| CN110290124A (zh) | 一种交换机入端口阻断方法及装置 | |
| WO2022033381A1 (zh) | 连接控制方法、系统、装置及电子设备 | |
| CN116318779A (zh) | 一种基于热迁移和深度学习的动态安全防御方法及系统 | |
| CN105208023B (zh) | 中心控制器保护方法、设备及系统 | |
| CN102546387B (zh) | 一种数据报文的处理方法、装置及系统 | |
| CN104683360B (zh) | Ip语音通信系统 | |
| KR101914831B1 (ko) | 호스트 추적 서비스에 대한 공격을 방지할 수 있는 소프트웨어 정의 네트워크 및 이에 포함되는 컨트롤러 | |
| CN109547418B (zh) | 基于软件定义网络sdn的数据传输网络系统 | |
| WO2011144074A2 (zh) | 一种监听方法、监听系统及安全分流设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |