CN111565180B - 一种虚拟端口的保护系统及方法 - Google Patents
一种虚拟端口的保护系统及方法 Download PDFInfo
- Publication number
- CN111565180B CN111565180B CN202010349089.8A CN202010349089A CN111565180B CN 111565180 B CN111565180 B CN 111565180B CN 202010349089 A CN202010349089 A CN 202010349089A CN 111565180 B CN111565180 B CN 111565180B
- Authority
- CN
- China
- Prior art keywords
- port
- unit
- original
- new
- protection
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开了一种虚拟端口的保护系统及方法,所述保护系统包括:扫描单元、保护变换单元、验证单元、替换单元、执行单元,所述扫描单元将获得信息传递给所述保护变换单元进行保护变换,所述验证单元对变换后结果进行验证标记,并发送所述替换单元,所述替换单元对内容进一步加工,所述执行单元对所述系统进行关闭或重启操作;基于上述系统的保护方法为:1、端口扫描,2、端口变换,3、核验新端口;通过对设备主机虚拟端口的保护变换,隐藏原本开放的端口,转而使用原本未开放的端口作为虚假的开放端口,迷惑攻击者,并通过端口映射,保证依然可以通过原端口访问对应的服务,从而实现无人化、全时段保护设备主机安全的目标。
Description
技术领域
本发明涉及网络安全领域,尤其涉及一种虚拟端口的保护系统及方法。
背景技术
随着科学技术的发展,计算机越来越多的被各个领域所引用,当前计算机虚拟端口作为软件层面的通讯交流出入口,扮演者无比重要的角色,也因此成为众多网络犯罪分子进行网络攻击的入口。一台提供服务的设备,可同时提供多种服务,因此也会为相应的服务开启多个虚拟端口。在网络攻击事件中,对攻击者来说,如果想要入侵某台主机,就必须了解这台主机开放了多少虚拟端口,都是什么样的虚拟端口。此时,攻击者往往会通过扫描器对目标主机进行扫描,以确定哪些虚拟端口是开放的,从开放的虚拟端口,入侵者可以知道目标主机大致提供了哪些服务,进而猜测可能存在的漏洞,以此来准备下一步攻击动作。现阶段对虚拟端口的保护方法,主要基于人工的处理方法,通过查看、判断、关闭开启等方法对虚拟端口进行管理和保护。因此,现有技术对虚拟端口的保护和管理,并未能对虚拟端口做到的24小时全程保护,且浪费了大量人力。
中国专利CN108989316A明公开了一种适用于专用网络的端口跳变通信方法,其中控制中心执行以下步骤:1-1)生成身份认证证书和跳变初始参数,并分发给服务端和客户端;2-1)接收服务端接入请求,完成服务端身份认证和可用端口信息同步,接收客户端接入请求,完成客户端身份认证;3-1)接收客户端端口访问请求,并向客户端作出访问请求应答。上述技术方案采用了端口跳变的方法,虽然一定程度上影响了攻击者扫描端口的效果,但因为是服务器与客户端同步跳变,必然在初始阶段需要通过可信代理商分发认证信息及初始参数或密钥,因此仍然存在信息泄漏导致端口跳变达不到防御效果,且该种端口跳变增加了网络负担,影响通信效率。
综上,需要虚拟端口的保护方法及对应的系统,在网络通信中保护主机虚拟端口的安全,减少被攻击的可能。
发明内容
有鉴于此,本发明提供一种虚拟端口的保护系统及方法,能够解决上述问题。
为此目的,本发明由如下技术方案实施。
一种虚拟端口的保护系统,包括:扫描单元、保护变换单元、验证单元、替换单元、执行单元;
所述扫描单元自动执行扫描命令,并获取设备主机已开放端口的端口号及对应的服务;
所述保护变换单元随机调用函数库中的函数或随机生成函数,并通过所述函数对已开放端口的端口号进行变换形成新的端口号,建立新端口号对应的端口与原端口的映射关系;
所述验证单元逐一核验新端口的端口号与已开放端口的端口号是否相同;
所述替换单元对端口号出现重复情况的原端口,撤销其原有变换及映射关系,对端口号进行第二次变换,并对经过第二次变换后的原端口与对应的新端口建立映射关系;
所述执行单元对端口号变换及端口映射的内容进行撤销,并终止或重启所述保护系统。
进一步,所述保护变换单元还对变换后所述新端口的端口号是否为整数且位于0-65535之间进行验证,如不符合条件,则重新生成函数进行变换。
进一步,所述保护系统还包括计时单元,所述计时单元固定时间或随机时间通知所述执行单元进行撤销及重启操作。
进一步,所述各单元集成于脚本程序中。
另一方面,本发明还提供了基于上述虚拟端口保护系统的保护方法,具体步骤如下:
S1、在设备主机上部署所述保护系统并启动,系统针对设备主机进行端口扫描,查看所述设备主机已开启的服务和端口;
S2、所述保护系统随机生成函数,并通过所述函数对S1中扫描到的本机端口的端口号进行变换,确定对应的新端口的端口号,建立原端口与对应新端口的映射关系;
S3、所述保护系统逐一核验新端口的端口号是否与原端口号或已通过核验的端口号相同,如端口号均不同则完成变换保护,如存在相同情况,则放弃对应的新端口号,并对出现新端口号重复情况的原端口进行第二次变换,后针对第二次变换的原端口与对应的新端口建立端映射关系。
进一步,所述步骤S3中的第二次变换采用从0开始的变换机制,从0开始递增比对,若发现一个端口没有重复的现象,则将该端口作为所述原端口的新端口。
进一步,所述保护方法还包括定时或不定时撤销对原端口的变换保护,并按所述步骤S1-S3重新进行变换保护。
本发明具有如下优点:
1.本发明技术方案实施对于设备主机来说,虽然实际开放的端口仍没有改变,只是进行了一个变换保护,且实行变换后,依旧可以通过实际开放的端口访问到相应的服务。但是对于攻击者来说,如果其扫描到的端口为一个虚假的端口,通过该端口是无法推测出相应的服务的,其也就无法判断出该设备主机是否存在重大漏洞。
2.本发明端口的保护变换函数为随机产生,避免了规律性,降低了攻击者推算出端口为何种服务的可能。
3.本发明采用本地变换的方式,并不增加网络整体通信量,避免了端口跳变导致网络通信量增加进而造成信息拥堵,同时,因为主机的部分端口为知名端口,不能进行自动跳变,会影响通信,而本发明采用本地变换结合端口映射的方法,可对设备主机知名端口进行变换,进一步降低了攻击者借用知名端口攻击的可能。
附图说明
图1为本发明具体实施例中系统图;
图2为本发明保护方法的步骤流程图;
图3为本发明原理图;
图4为本发明具体实施例中核验环节示意图。
具体实施方式
下面将结合附图1-4,对本发明做进一步说明。
一种虚拟端口保护系统,主要包括:扫描单元、保护变换单元、验证单元、替换单元、执行单元;优选设计为,扫描单元、保护变换单元、验证单元、替换单元、执行单元集成于脚本程序中,其关系如图1所示。
脚本中的扫描单元自动执行扫描命令,并获取本机已开放端口的端口号及服务,并将其发送至保护变换单元;
保护变换单元可随机调用主机函数库中的函数或随机生成函数,并通过函数对已开放端口的端口号进行变换,对变换后新端口的端口号是否为整数且位于0-65535之间进行判定,如不符合条件,则重新生成函数对原端口进行变换,直至符合条件后将原端口及对应的新端口建立端口映射,其信息发送至验证单元;
验证单元核验新端口的端口号与已开放端口号(包括原端口端口号及已通过核验的新端口端口号)是否相同,如有相同情况,则将出现该情况的原端口进行标记,端口核验完成后,将全部的原端口、新端口信息发送至替换单元。
替换单元对端口号出现相同情况的端口撤销其与新端口的映射关系及新端口号,并对其进行第二次变换,第二次变换采用从0开始的变换机制,从0开始递增比对,若发现一个端口不是原本已开放的端口,也不是已通过核验的新端口,则将该端口作为出现相同情况的原端口的新端口。并对第二次变换完成的端口建立原端口与新端口的映射关系。
执行单元对保护变换内容进行撤销,并终止或重启保护系统。
优选设计为,脚本中还包括计时单元,计时单元依据固定时间或随机时间通知执行单元进行保护变换的撤销及重启操作,重新更换原端口保护所用的新端口,致使实质的一个端口,会在不同时间段呈现不同的端口号,增加攻击者攻击难度。
另一方面本发明还提供基于上述保护系统进行虚拟端口保护的方法,如图2所示,具体步骤如下:
S1、在设备主机部署脚本程序并启动脚本,脚本中扫描单元调用设备主机自身系统命令,对设备主机进行端口扫描,查看设备主机已开启的服务和端口,并记录传递给保护变换单元;
S2、保护变换单元随机调用设备主机系统函数,并通过函数对S1中扫描到的本机端口的端口号进行变换获得一个新端口号,进而确定对应的新端口,并与原端口建立映射关系;优选设计为,本步骤中,保护变换单元还包括验证变换后新端口的端口号是否为整数且位于0-65535之间,如不符合条件,则表明生成的端口号为无效端口号,则需重复步骤S2。例如图3所示,假定随机生成的函数为:原端口号+1=新端口号,则原来实际开放的80端口,对应的新端口号为81,且符合验证条件,进而对80端口及81端口建立端口映射,从而形成端口保护变换。此时,如果扫描该设备主机,只会发现该设备主机开放了81端口,而无法发现已开启的80端口,但81端口为虚假端口,迷惑攻击者,而隐藏的80端口可继续通信。
S3、如图4所示,验证单元逐一核验步骤S2中新端口的端口号是否与原端口号或已通过核验的端口号相同,如端口号均不同则完成变换保护,如存在相同情况,则放弃对应的新端口号,并对出现重复情况的原端口进行第二次变换;优选设计为,第二次变换采用从0开始的变换机制,从0开始递增比对,若发现一个端口不是原本已开放的端口,也不是已通过核验的新端口,则将该端口作为出现相同情况的原端口的新端口,进而建立映射关系。
优选设计为,依据脚本中的计时单元自动通知执行单元,或根据实际需求人工撤销对原端口的变换保护,并重启脚本按步骤S1-S3重新进行变换保护。
以上具体实施方式仅用以说明本发明的技术方案而非限制,尽管参照实例对本发明进行了详细说明,本领域的普通技术人员应当理解,可以对发明的技术方案进行修改或者等同替换,而不脱离本发明技术方案的精神和范围,其均应涵盖在本发明的权利要求范围当中。
Claims (7)
1.一种虚拟端口的保护系统,其特征在于,包括:扫描单元、保护变换单元、验证单元、替换单元、执行单元;
所述扫描单元自动执行扫描命令,并获取设备主机已开放端口的端口号及对应的服务;
所述保护变换单元随机调用函数库中的函数或随机生成函数,并通过所述函数对已开放端口的端口号进行变换形成新的端口号,建立新端口号对应的端口与原端口的映射关系;
所述验证单元逐一核验新端口的端口号与已开放端口的端口号是否相同;
所述替换单元对端口号出现重复情况的原端口,撤销其原有变换及映射关系,对端口号进行第二次变换,并对经过第二次变换后的原端口与对应的新端口建立映射关系;
所述执行单元对端口号变换及端口映射的内容进行撤销,并终止或重启所述保护系统;
保护变换单元可随机调用主机函数库中的函数或随机生成函数,并通过函数对已开放端口的端口号进行变换,对变换后新端口的端口号是否为整数且位于0-65535之间进行判定,如不符合条件,则重新生成函数对原端口进行变换,直至符合条件后将原端口及对应的新端口建立端口映射,其信息发送至验证单元;
验证单元核验新端口的端口号与已开放端口号(包括原端口端口号及已通过核验的新端口端口号)是否相同,如有相同情况,则将出现该情况的原端口进行标记,端口核验完成后,将全部的原端口、新端口信息发送至替换单元;
替换单元对端口号出现相同情况的端口撤销其与新端口的映射关系及新端口号,并对其进行第二次变换,第二次变换采用从0开始的变换机制,从0开始递增比对,若发现一个端口不是原本已开放的端口,也不是已通过核验的新端口,则将该端口作为出现相同情况的原端口的新端口;并对第二次变换完成的端口建立原端口与新端口的映射关系。
2.根据权利要求1所述的虚拟端口的保护系统,其特征在于,所述保护变换单元还对变换后所述新端口的端口号是否为整数且位于0-65535之间进行验证,如不符合条件,则重新生成函数进行变换。
3.根据权利要求1所述的虚拟端口的保护系统,其特征在于,所述保护系统还包括计时单元,所述计时单元固定时间或随机时间通知所述执行单元进行撤销及重启操作。
4.根据权利要求1-3任一项所述的虚拟端口的保护系统,其特征在于,所述各单元集成于脚本程序中。
5.根据权利要求1-4任一项所述的虚拟端口的保护系统进行虚拟端口保护的保护方法,其特征在于,具体步骤如下:
S1、在设备主机上部署所述保护系统并启动,系统针对设备主机进行端口扫描,查看所述设备主机已开启的服务和端口;
S2、所述保护系统随机生成函数,并通过所述函数对S1中扫描到的本机端口的端口号进行变换,确定对应的新端口的端口号,建立原端口与对应新端口的映射关系;
S3、所述保护系统逐一核验新端口的端口号是否与原端口号或已通过核验的端口号相同,如端口号均不同则完成变换保护,如存在相同情况,则放弃对应的新端口号,并对出现新端口号重复情况的原端口进行第二次变换,后针对第二次变换的原端口与对应的新端口建立端映射关系。
6.根据权利要求5所述的虚拟端口的保护方法,其特征在于,所述步骤S3中的第二次变换采用从0开始的变换机制,从0开始递增比对,若发现一个端口没有重复的现象,则将该端口作为所述原端口的新端口。
7.根据权利要求5所述的虚拟端口的保护方法,其特征在于,所述保护方法还包括定时或不定时撤销对原端口的变换保护,并按所述步骤S1-S3重新进行变换保护。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010349089.8A CN111565180B (zh) | 2020-04-28 | 2020-04-28 | 一种虚拟端口的保护系统及方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010349089.8A CN111565180B (zh) | 2020-04-28 | 2020-04-28 | 一种虚拟端口的保护系统及方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111565180A CN111565180A (zh) | 2020-08-21 |
| CN111565180B true CN111565180B (zh) | 2021-01-29 |
Family
ID=72074449
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010349089.8A Active CN111565180B (zh) | 2020-04-28 | 2020-04-28 | 一种虚拟端口的保护系统及方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111565180B (zh) |
Family Cites Families (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP4463078B2 (ja) * | 2004-11-05 | 2010-05-12 | パナソニック株式会社 | 情報処理装置、情報処理システム、情報処理方法及びプログラム |
| CN101179489A (zh) * | 2006-11-06 | 2008-05-14 | 鸿富锦精密工业(深圳)有限公司 | 网络装置及其封包转发方法 |
| WO2009078772A1 (en) * | 2007-12-19 | 2009-06-25 | Telefonaktiebolaget Lm Ericsson (Publ) | Method of facilitating ip connections to hosts behind middleboxes |
| CN101848235B (zh) * | 2010-04-16 | 2012-10-17 | 北京航空航天大学 | 一种支持nat穿越的实时多媒体数据p2p传输方案 |
| US10397196B2 (en) * | 2017-02-28 | 2019-08-27 | Cyber 2.0 (2015) Ltd. | Port-scrambling-based networks |
| JP2019507412A (ja) * | 2015-12-31 | 2019-03-14 | サイバー 2.0 (2015) リミテッド | コンピュータネットワークにおけるトラフィックの監視 |
| CN106899710B (zh) * | 2017-04-26 | 2020-11-13 | 优刻得科技股份有限公司 | Ip地址转换方法、ip地址转换装置以及网关系统 |
| CN108874445A (zh) * | 2017-10-30 | 2018-11-23 | 上海寒武纪信息科技有限公司 | 神经网络处理器及使用处理器执行向量点积指令的方法 |
| CN109245879A (zh) * | 2018-09-06 | 2019-01-18 | 杭州光芯科技有限公司 | 一种存储和查找ip地址映射关系的双哈希算法 |
| CN109492397A (zh) * | 2018-11-15 | 2019-03-19 | 平顶山工业职业技术学院(平顶山煤矿技工学校) | 一种计算机信息安全系统 |
-
2020
- 2020-04-28 CN CN202010349089.8A patent/CN111565180B/zh active Active
Also Published As
| Publication number | Publication date |
|---|---|
| CN111565180A (zh) | 2020-08-21 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109257334B (zh) | 一种基于区块链的数据上链系统、方法及存储介质 | |
| CN111770071B (zh) | 一种网络隐身场景下网关认证可信设备的方法和装置 | |
| CN112364311A (zh) | 区块链上身份管理方法和装置 | |
| CN107872588B (zh) | 呼叫处理方法、相关装置及系统 | |
| CN110943840B (zh) | 一种签名验证方法 | |
| CN111010384A (zh) | 一种物联网终端自我安全防御系统及其安全防御方法 | |
| CN101378312B (zh) | 基于宽带网络的安全支付控制系统和方法 | |
| CN104883364A (zh) | 一种判断用户访问服务器异常的方法及装置 | |
| CN112015111B (zh) | 基于主动免疫机理的工业控制设备安全防护系统和方法 | |
| CN111371588A (zh) | 基于区块链加密的sdn边缘计算网络系统、加密方法及介质 | |
| KR100832804B1 (ko) | 프로파일링 기반 데이터베이스 보안 시스템 및 방법 | |
| CN111565180B (zh) | 一种虚拟端口的保护系统及方法 | |
| CN111327602B (zh) | 一种设备接入处理方法、设备及存储介质 | |
| CN113438242A (zh) | 服务鉴权方法、装置与存储介质 | |
| WO2019242053A1 (zh) | 一种针对HTTP Flood攻击的防护方法及系统 | |
| CN115460015A (zh) | 一种基于TOTP的Web应用的身份认证方法及系统 | |
| CN115811428A (zh) | 一种抵御DDoS攻击的防御方法、系统、设备及存储介质 | |
| CN115604162A (zh) | 一种网络安全设备的检测方法 | |
| CN115550002A (zh) | 一种基于tee的智能家居远程控制方法及相关装置 | |
| CN115277237A (zh) | 移动终端接入企业内网的控制方法及装置 | |
| CN115623013A (zh) | 一种策略信息同步方法、系统及相关产品 | |
| CN112469035A (zh) | 一种物联网远程设备的安全激活、控制方法及通信系统 | |
| CN112804063A (zh) | 一种级联方法及相关装置 | |
| CN114466074B (zh) | 一种基于wmi的攻击行为检测方法及装置 | |
| CN112463759A (zh) | Gbase数据库审计的信息解析方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| PE01 | Entry into force of the registration of the contract for pledge of patent right | ||
| PE01 | Entry into force of the registration of the contract for pledge of patent right |
Denomination of invention: A Protection System and Method for Virtual Ports Effective date of registration: 20230515 Granted publication date: 20210129 Pledgee: Bank of China Limited by Share Ltd. Guangzhou Tianhe branch Pledgor: GUANGZHOU JEESEEN NETWORK TECHNOLOGIES Co.,Ltd. Registration number: Y2023980040584 |