CN110519273B - 入侵防御方法和装置 - Google Patents

入侵防御方法和装置 Download PDF

Info

Publication number
CN110519273B
CN110519273B CN201910803911.0A CN201910803911A CN110519273B CN 110519273 B CN110519273 B CN 110519273B CN 201910803911 A CN201910803911 A CN 201910803911A CN 110519273 B CN110519273 B CN 110519273B
Authority
CN
China
Prior art keywords
message
matched
user
attack
flow filtering
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201910803911.0A
Other languages
English (en)
Other versions
CN110519273A (zh
Inventor
左虹
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hangzhou DPTech Technologies Co Ltd
Original Assignee
Hangzhou DPTech Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hangzhou DPTech Technologies Co Ltd filed Critical Hangzhou DPTech Technologies Co Ltd
Priority to CN201910803911.0A priority Critical patent/CN110519273B/zh
Publication of CN110519273A publication Critical patent/CN110519273A/zh
Application granted granted Critical
Publication of CN110519273B publication Critical patent/CN110519273B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

本申请提供一种入侵防御方法及装置,应用于部署IPS的网络设备中,所述方法包括:接收用户输入的各个自定义攻击特征;根据各个自定义攻击特征和各个预定义攻击特征建立攻击特征地图;接收到待匹配报文后,根据所述攻击特征地图匹配所述待匹配报文;根据安全策略集合和所述待匹配报文的匹配结果处理所述待匹配报文。应用本申请的实施例,灵活性较好,入侵防御效率较高,大大提升网络设备的性能。

Description

入侵防御方法和装置
技术领域
本申请涉及网络通信技术领域,特别设计一种入侵防御方法和装置。
背景技术
当今时代,网络技术不断发展,网络环境日益复杂。为了保护网络内部数据安全及时阻止来自网络内外的各种未知攻击,一般会在服务器群组入口或网络入口处的网络设备部署入侵防御系统(Intrusion Prevention System,IPS)。部署IPS的网络设备每天要防御大量的网络攻击,为了方便对网络状况进行分析和改进,IPS要具备高可靠性、高灵活性的攻击特征匹配机制。
目前的入侵防御方法是,部署IPS的网络设备接收报文后,对于互联网协议第四版(Internet Protocol version 4,IPv4)或互联网协议第六版(Internet Protocolversion 4,IPv6)的报文要建立会话,经过预设流量过滤策略集合过滤后,匹配预设攻击特征集合,最后根据安全策略集合中匹配结果对应的安全策略进行安全响应处理,例如,采取阻断或告警提示的方式。
上述方案对于网络攻击的拦截效果取决于预设攻击特征集合的覆盖面是否全面、准确,若接收到网络攻击的报文的特征不在预设攻击特征集合中,那么拦截效果就捉襟见肘了。针对该问题,各种IPS都提供了自定义攻击特征的功能,用户可以根据实际需要设置自定义攻击特征集合,然后结合预设攻击特征集合进行入侵防御。该方案中,能够应付的场景过于单一,各个IPS提供自定义特征的功能都是将某个通信协议的报文中的特定字段为某个特定值或者某个通信协议的报文中存在某个特定字符串作为自定义攻击特征,而自定义攻击特征集合的匹配又都是在预定义攻击特征集合的匹配之后进行,灵活性较差,入侵防御效率较低,大大浪费了网络设备的性能。
发明内容
有鉴于此,本申请提供一种入侵防御方法和装置,以解决相关技术中存在的灵活性较差,入侵防御效率较低,大大浪费了网络设备的性能的问题。
具体地,本申请是通过如下技术方案实现的:
一种入侵防御方法,应用于部署IPS的网络设备中,其特征在于,所述方法包括:
接收用户输入的各个自定义攻击特征;
根据各个自定义攻击特征和各个预定义攻击特征建立攻击特征地图;
接收到待匹配报文后,根据所述攻击特征地图匹配所述待匹配报文;
根据安全策略集合和所述待匹配报文的匹配结果处理所述待匹配报文。
一种入侵防御装置,应用于部署IPS的网络设备中,所述装置包括:
接收模块,用于接收用户输入的各个自定义攻击特征;
建立模块,用于根据各个自定义攻击特征和各个预定义攻击特征建立攻击特征地图;
匹配模块,用于接收到待匹配报文后,根据所述攻击特征地图匹配所述待匹配报文;
处理模块,用于根据安全策略集合和所述待匹配报文的匹配结果处理所述待匹配报文。
由以上本申请提供的技术方案可见,可以根据各个自定义攻击特征和各个预定义攻击特征灵活地建立攻击特征地图,然后基于攻击特征地图快速匹配待匹配报文,最后根据安全策略集合和待匹配报文的匹配结果处理待匹配报文,灵活性较好,入侵防御效率较高,大大提升网络设备的性能。
附图说明
图1为本申请示出的一种入侵防御方法的流程图;
图2为本申请示出的Netgraph的架构示意图;
图3为本申请示出的流量过滤策略地图;
图4为本申请示出的图3的流量过滤策略地图的单向Hook连接的示意图;
图5为本申请示出的攻击特征地图;
图6为本申请示出的一种入侵防御装置的结构示意图。
具体实施方式
这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。
在本申请使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本申请。在本申请和所附权利要求书中所使用的单数形式的“一种”、“”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。还应当理解,本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。
应当理解,尽管在本申请可能采用术语第一、第二、第三等来描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离本申请范围的情况下,第一信息也可以被称为第二信息,类似地,第二信息也可以被称为第一信息。取决于语境,如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。
为了解决上述问题,本发明实施例提供了一种入侵防御方法,以提高入侵防御效率,大大提升网络设备的性能。请参见图1,图1为本申请示出的一种入侵防御方法的流程图,应用于部署IPS的网络设备中。
S11:接收用户输入的各个自定义攻击特征。
用户输入自定义攻击特征的方式有很多种,例如,可以但不限于为命令行或者网页的页面的方式。
S12:根据各个自定义攻击特征和各个预定义攻击特征建立攻击特征地图。
通常IPS会预先设置一些攻击特征,这些攻击特征可以定义为预定义攻击特征。当接收用户输入的自定义攻击特征后,直接根据自定义攻击特征和预定义攻击特征建立攻击特征地图。
S13:接收到待匹配报文后,根据攻击特征地图匹配待匹配报文。
S14:根据安全策略集合和待匹配报文的匹配结果处理待匹配报文。
由以上本申请提供的技术方案可见,可以根据各个自定义攻击特征和各个预定义攻击特征灵活地建立攻击特征地图,然后基于攻击特征地图快速匹配待匹配报文,最后根据安全策略集合和待匹配报文的匹配结果处理待匹配报文,灵活性较好,入侵防御效率较高,大大提升网络设备的性能。
具体的,上述S12中的根据各个自定义攻击特征和各个预定义攻击特征建立攻击特征地图,实现方式具体包括:
确定各个自定义攻击特征和各个预定义攻击特征包括的各个第一通信协议;
根据各个自定义攻击特征和各个预定义攻击特征生成各个第一通信协议对应的第一节点、并为各个第一节点定义至少一个第一钩子函数;
通过对应的第一钩子函数连接各个第一节点,得到攻击特征地图。
可以基于FreeBSD的Netgraph对攻击特征地图进行设计,请参见图2,图2为Netgraph的架构示意图,图2中有两种元素,一种是节点(Node),另一种是连接到节点的边的两端的钩子函数(Hook)。Node与Node直接通过Hook相连,Hook与Hook连成线,互为一条线的两个端点(Peer)。Node就是一个对象,每一个Node都有它所属的类(Type),Hook就是一个Node的私有数据,整个地图通过“各个Hook的对接”来完成。
其中,每个Node的结构如下表1所示,包含Node名称、Hook个数、Hook链、当前节点的私有结构对应的指针。
节点名称
Hook个数
Hook链表
私有结构指针
......
表1
每个Hook的结构如下表2所示,包含Hook名称、所属Node的指针、对端Hook、私有结构对应的指针、该Hook将可能要执行的系列回调函数。如果匹配条件复杂,可以设立优先级字段。
Hook名称
所属的Node
Peer Hook链表
私有结构指针
回调函数
......
表2
Hook连接、节点创建均可以通过命令行实现。例如业务在内核运行则MKPEER/CREATE NODE等命令通过系统调用在内核执行对应的操作,即时生效,灵活可控。
具体的,上述S14中的根据安全策略集合和待匹配报文的匹配结果处理待匹配报文,实现方式具体包括:
在安全策略集合中查找待匹配报文的匹配结果;
若在安全策略集合中查找到待匹配报文的匹配结果,则在安全策略集合中获取待匹配报文的匹配结果对应的安全策略;
根据待匹配报文的匹配结果对应的安全策略处理待匹配报文。
安全策略集合中有很多安全策略,可以从中查找待匹配报文的匹配结果对应的安全策略,然后基于查找到的安全策略处理待匹配报文。
安全策略可以根据页面配置,配置指定协议、指定应用程序甚至指定特征等等,对满足安全策略的报文则做出对应的响应动作,例如阻断或者告警提示等。
一种可选的实施方式,在过滤报文的时候也可以通过建立流量过滤策略地图的方式来实现,上述方法还包括:
接收用户输入的各个自定义流量过滤策略;
根据各个自定义流量过滤策略和各个预定义流量过滤策略建立流量过滤策略地图;
接收到待过滤报文后,根据流量过滤策略地图确定是否过滤待过滤报文。
用户输入自定义流量过滤策略的方式有很多种,例如,可以但不限于为命令行或者网页的页面的方式。通常IPS会预先设置一些流量过滤策略,这些流量过滤策略可以定义为预定义流量过滤策略。当接收用户输入的自定义流量过滤策略后,直接根据自定义流量过滤策略和预定义流量过滤策略建立流量过滤策略地图。
其中,流量过滤策略可以但不限于包括报文的入接口、源互联网协议(InternetProtocol,IP)地址、目的IP地址、虚拟局域网(Virtual Local Area Network,VLAN)等属性。
其中,根据各个自定义流量过滤策略和各个预定义流量过滤策略建立流量过滤策略地图,具体包括:
确定各个自定义流量过滤策略和各个预定义流量过滤策略包括的各个第二通信协议;
根据各个自定义流量过滤策略和各个预定义流量过滤策略生成各个第二通信协议对应的第二节点、并为各个第二节点定义至少一个第二钩子函数;
通过对应的第二钩子函数连接各个第二节点,得到流量过滤策略地图。
可以使用Netgraph建立流量过滤策略地图。
以上介绍了使用Netgraph建立攻击特征地图和过滤特征地图,实际上也可以使用Netgraph建立安全策略地图,建立的方式与上述两种方式是相同的,这里不再赘述。
下面以一个实例说明上述方法。
假设,配置的流量过滤策略集合为:
流量过滤策略1:对于入接口为A1,源IP地址在B1网段,目的IP地址在C1网段的报文进行检测。
流量过滤策略2:对于入接口为A2,源IP地址在B2网段,目的IP地址在C2网段的报文进行检测。
基于上述流量过滤策略集合建立的流量过滤策略地图请参见图3所示,图4为图3的流量过滤策略地图的单向Hook连接的示意图。
同时配置了攻击特征集合:
特征s1:IP的I属性,传输控制协议(Transmission Control Protocol,TCP)的T1属性,超文本传输协议(Hyper Text Transfer Protocol,HTTP)的H属性。
特征s2:IP的I属性,TCP的T2属性,文件传输协议(File Transfer Protocol,FTP)的F属性。
特征s3:用户数据报协议(User Datagram Protocol,UDP)的U属性,域名系统(Domain Name System,DNS)协议的D属性。
特征s4:邮局协议版本3(Post Office Protocol-Version 3,POP3)的P属性。
以上特征只需要在命令行下建立几个节点,将对应的Hook执行MKPEER连接成线即可,最终的攻击特征地图如图5所示。
除此之外还配置了安全策略集合:
安全策略1:基于任意协议的特征,严重级别为致命的均做阻断处理。
安全策略2:基于FTP协议的特征,验证级别为严重的,均做告警提示。
下面列举三种情景进行说明:
情景一,当前报文为TFTP协议,满足I属性,T2属性,TFTP独有属性:
IP_Node中做了当前阶段的一些处理之后,进入Hook处理流程,经过IP协议的Hook1,成功命中;
接着查看Peer-Hook,发现Peer-Hook有多个,则遍历Peer-Hook链表,该链表中两个节点T1和T2,,最终命中了T2。接着查看了T2节点的Peer-Hook,没有命中,则进入流程出口,做了转发处理OR其他。
情景二,当前报文为HTTP协议,命中s1特征:
IP_Node中做了当前阶段的一些处理之后,进入Hook处理流程,经过IP协议的Hook1,成功命中;
接着查看Peer-Hook,发现Peer-Hook有多个,则遍历Peer-Hook链表,该链表中两个节点T1和T2,最终命中了T1。接着查看了T1节点的Peer-Hook,进入了安全策略Hook,如果当前特征为致命特征,则命中了安全策略1的Hook,阻断该报文;反之,按其他严重级别的默认处理作出相应的相应动作。
情景三,当前报文为POP3协议:
流量过滤策略地图的各种Node遍历之后,进入攻击特征地图,在POP3的Hook中命中,接着查看了POP3节点的Peer-Hook,进入了安全策略Hook,如果当前特征为致命特征,则命中了安全策略1的Hook,阻断该报文;反之,按其他严重级别的默认处理作出相应的相应动作。
请参见图6,图6为本申请示出的一种入侵防御装置的结构示意图,应用于部署IPS的网络设备中,该装置包括:
接收模块61,用于接收用户输入的各个自定义攻击特征;
建立模块62,用于根据各个自定义攻击特征和各个预定义攻击特征建立攻击特征地图;
匹配模块63,用于接收到待匹配报文后,根据攻击特征地图匹配待匹配报文;
处理模块64,用于根据安全策略集合和待匹配报文的匹配结果处理待匹配报文。
由以上本申请提供的技术方案可见,可以根据各个自定义攻击特征和各个预定义攻击特征灵活地建立攻击特征地图,然后基于攻击特征地图快速匹配待匹配报文,最后根据安全策略集合和待匹配报文的匹配结果处理待匹配报文,灵活性较好,入侵防御效率较高,大大提升网络设备的性能。
具体的,建立模块62,用于根据各个自定义攻击特征和各个预定义攻击特征建立攻击特征地图,具体用于:
确定各个自定义攻击特征和各个预定义攻击特征包括的各个第一通信协议;
根据各个自定义攻击特征和各个预定义攻击特征生成各个第一通信协议对应的第一节点、并为各个第一节点定义至少一个第一钩子函数;
通过对应的第一钩子函数连接各个第一节点,得到攻击特征地图。
具体的,处理模块64,用于根据安全策略集合和待匹配报文的匹配结果处理待匹配报文,具体用于:
在安全策略集合中查找待匹配报文的匹配结果;
若在安全策略集合中查找到待匹配报文的匹配结果,则在安全策略集合中获取待匹配报文的匹配结果对应的安全策略;
根据待匹配报文的匹配结果对应的安全策略处理待匹配报文。
一种可选的实施方式,装置还包括过滤模块,其中:
接收模块61,还用于接收用户输入的各个自定义流量过滤策略;
建立模块62,还用于根据各个自定义流量过滤策略和各个预定义流量过滤策略建立流量过滤策略地图;
过滤模块,用于接收到待过滤报文后,根据流量过滤策略地图确定是否过滤待过滤报文。
具体的,建立模块61,用于根据各个自定义流量过滤策略和各个预定义流量过滤策略建立流量过滤策略地图,具体用于:
确定各个自定义流量过滤策略和各个预定义流量过滤策略包括的各个第二通信协议;
根据各个自定义流量过滤策略和各个预定义流量过滤策略生成各个第二通信协议对应的第二节点、并为各个第二节点定义至少一个第二钩子函数;
通过对应的第二钩子函数连接各个第二节点,得到流量过滤策略地图。
对于装置实施例而言,由于其基本对应于方法实施例,所以相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本申请方案的目的。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
以上所述仅为本申请的较佳实施例而已,并不用以限制本申请,凡在本申请的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本申请保护的范围之内。

Claims (8)

1.一种入侵防御方法,应用于部署入侵防御系统IPS的网络设备中,其特征在于,所述方法包括:
接收用户输入的各个自定义攻击特征;
确定各个自定义攻击特征和各个预定义攻击特征包括的各个第一通信协议;根据各个自定义攻击特征和各个预定义攻击特征生成各个第一通信协议对应的第一节点、并为各个第一节点定义至少一个第一钩子函数;通过对应的第一钩子函数连接各个第一节点,得到攻击特征地图;
接收到待匹配报文后,根据所述攻击特征地图匹配所述待匹配报文;
根据安全策略集合和所述待匹配报文的匹配结果处理所述待匹配报文。
2.根据权利要求1所述的方法,其特征在于,根据安全策略集合和所述待匹配报文的匹配结果处理所述待匹配报文,具体包括:
在安全策略集合中查找所述待匹配报文的匹配结果;
若在所述安全策略集合中查找到所述待匹配报文的匹配结果,则在所述安全策略集合中获取所述待匹配报文的匹配结果对应的安全策略;
根据所述待匹配报文的匹配结果对应的安全策略处理所述待匹配报文。
3.根据权利要求1-2任一所述的方法,其特征在于,所述方法还包括:
接收用户输入的各个自定义流量过滤策略;
根据各个自定义流量过滤策略和各个预定义流量过滤策略建立流量过滤策略地图;
接收到待过滤报文后,根据所述流量过滤策略地图确定是否过滤所述待过滤报文。
4.根据权利要求3所述的方法,其特征在于,根据各个自定义流量过滤策略和各个预定义流量过滤策略建立流量过滤策略地图,具体包括:
确定各个自定义流量过滤策略和各个预定义流量过滤策略包括的各个第二通信协议;
根据各个自定义流量过滤策略和各个预定义流量过滤策略生成各个第二通信协议对应的第二节点、并为各个第二节点定义至少一个第二钩子函数;
通过对应的第二钩子函数连接各个第二节点,得到流量过滤策略地图。
5.一种入侵防御装置,应用于部署IPS的网络设备中,其特征在于,所述装置包括:
接收模块,用于接收用户输入的各个自定义攻击特征;
建立模块,用于确定各个自定义攻击特征和各个预定义攻击特征包括的各个第一通信协议;根据各个自定义攻击特征和各个预定义攻击特征生成各个第一通信协议对应的第一节点、并为各个第一节点定义至少一个第一钩子函数;通过对应的第一钩子函数连接各个第一节点,得到攻击特征地图;
匹配模块,用于接收到待匹配报文后,根据所述攻击特征地图匹配所述待匹配报文;
处理模块,用于根据安全策略集合和所述待匹配报文的匹配结果处理所述待匹配报文。
6.根据权利要求5所述的装置,其特征在于,所述处理模块,用于根据安全策略集合和所述待匹配报文的匹配结果处理所述待匹配报文,具体用于:
在安全策略集合中查找所述待匹配报文的匹配结果;
若在所述安全策略集合中查找到所述待匹配报文的匹配结果,则在所述安全策略集合中获取所述待匹配报文的匹配结果对应的安全策略;
根据所述待匹配报文的匹配结果对应的安全策略处理所述待匹配报文。
7.根据权利要求5-6任一所述的装置,其特征在于,所述装置还包括过滤模块,其中:
所述接收模块,还用于接收用户输入的各个自定义流量过滤策略;
所述建立模块,还用于根据各个自定义流量过滤策略和各个预定义流量过滤策略建立流量过滤策略地图;
所述过滤模块,用于接收到待过滤报文后,根据所述流量过滤策略地图确定是否过滤所述待过滤报文。
8.根据权利要求7所述的装置,其特征在于,所述建立模块,用于根据各个自定义流量过滤策略和各个预定义流量过滤策略建立流量过滤策略地图,具体用于:
确定各个自定义流量过滤策略和各个预定义流量过滤策略包括的各个第二通信协议;
根据各个自定义流量过滤策略和各个预定义流量过滤策略生成各个第二通信协议对应的第二节点、并为各个第二节点定义至少一个第二钩子函数;
通过对应的第二钩子函数连接各个第二节点,得到流量过滤策略地图。
CN201910803911.0A 2019-08-28 2019-08-28 入侵防御方法和装置 Active CN110519273B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201910803911.0A CN110519273B (zh) 2019-08-28 2019-08-28 入侵防御方法和装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201910803911.0A CN110519273B (zh) 2019-08-28 2019-08-28 入侵防御方法和装置

Publications (2)

Publication Number Publication Date
CN110519273A CN110519273A (zh) 2019-11-29
CN110519273B true CN110519273B (zh) 2021-11-02

Family

ID=68628491

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201910803911.0A Active CN110519273B (zh) 2019-08-28 2019-08-28 入侵防御方法和装置

Country Status (1)

Country Link
CN (1) CN110519273B (zh)

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105959290A (zh) * 2016-06-06 2016-09-21 杭州迪普科技有限公司 攻击报文的检测方法及装置
CN107547504A (zh) * 2017-06-16 2018-01-05 新华三信息安全技术有限公司 入侵防御方法及装置
CN107710680A (zh) * 2016-03-29 2018-02-16 华为技术有限公司 网络攻击防御策略发送、网络攻击防御的方法和装置
CN108965336A (zh) * 2018-09-10 2018-12-07 杭州迪普科技股份有限公司 一种攻击检测方法及装置
CN109698836A (zh) * 2019-02-01 2019-04-30 重庆邮电大学 一种基于深度学习的无线局域网入侵检测方法和系统

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7424018B2 (en) * 2004-05-05 2008-09-09 Gigamon Systems Llc Asymmetric packet switch and a method of use
US9392010B2 (en) * 2011-11-07 2016-07-12 Netflow Logic Corporation Streaming method and system for processing network metadata

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107710680A (zh) * 2016-03-29 2018-02-16 华为技术有限公司 网络攻击防御策略发送、网络攻击防御的方法和装置
CN105959290A (zh) * 2016-06-06 2016-09-21 杭州迪普科技有限公司 攻击报文的检测方法及装置
CN107547504A (zh) * 2017-06-16 2018-01-05 新华三信息安全技术有限公司 入侵防御方法及装置
CN108965336A (zh) * 2018-09-10 2018-12-07 杭州迪普科技股份有限公司 一种攻击检测方法及装置
CN109698836A (zh) * 2019-02-01 2019-04-30 重庆邮电大学 一种基于深度学习的无线局域网入侵检测方法和系统

Also Published As

Publication number Publication date
CN110519273A (zh) 2019-11-29

Similar Documents

Publication Publication Date Title
CN106953837B (zh) 安全管理系统和安全管理方法
US10057234B1 (en) Systems and methods for providing network security monitoring
US11570212B2 (en) Method and apparatus for defending against network attack
Xing et al. SDNIPS: Enabling software-defined networking based intrusion prevention system in clouds
US6654882B1 (en) Network security system protecting against disclosure of information to unauthorized agents
CN106790193B (zh) 基于主机网络行为的异常检测方法和装置
EP1632063B1 (en) Method and appartus for packet claasification and rewriting
US7830898B2 (en) Method and apparatus for inter-layer binding inspection
US20140096229A1 (en) Virtual honeypot
US20020166063A1 (en) System and method for anti-network terrorism
US7546635B1 (en) Stateful firewall protection for control plane traffic within a network device
CN108881328B (zh) 数据包过滤方法、装置、网关设备及存储介质
EP3192226B1 (de) Vorrichtung und verfahren zur steuerung eines kommunikationsnetzwerks
Singh et al. Prevention mechanism for infrastructure based denial-of-service attack over software defined network
US20090052443A1 (en) Method and apparatus for managing dynamic filters for nested traffic flows
CN106789892B (zh) 一种云平台通用的防御分布式拒绝服务攻击的方法
CN107682342B (zh) 一种基于openflow的DDoS流量牵引的方法和系统
Chang et al. Cloud-clustered firewall with distributed SDN devices
JP2019213182A (ja) ネットワーク防御装置およびネットワーク防御システム
Shimanaka et al. Cyber deception architecture: Covert attack reconnaissance using a safe sdn approach
CN110519273B (zh) 入侵防御方法和装置
Ivanova Modelling the impact of cyber attacks on the traffic control centre of an urban automobile transport system by means of enhanced cybersecurity
Jeong et al. Hybrid system to minimize damage by zero-day attack based on NIDPS and HoneyPot
EP3166280A1 (en) Integrated security system having threat visualization and automated security device control
EP2023566A1 (en) Online security rules conflict management

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant