CN111683063B - 消息处理方法、系统、装置、存储介质及处理器 - Google Patents
消息处理方法、系统、装置、存储介质及处理器 Download PDFInfo
- Publication number
- CN111683063B CN111683063B CN202010432826.0A CN202010432826A CN111683063B CN 111683063 B CN111683063 B CN 111683063B CN 202010432826 A CN202010432826 A CN 202010432826A CN 111683063 B CN111683063 B CN 111683063B
- Authority
- CN
- China
- Prior art keywords
- host
- target
- response
- switch
- message
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/60—Scheduling or organising the servicing of application requests, e.g. requests for application data transmissions using the analysis and optimisation of the required network resources
- H04L67/63—Routing a service request depending on the request content or context
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本申请公开了一种消息处理方法、系统、装置、存储介质及处理器。该方法包括:通过交换机接收目标主机发送的访问请求,其中,访问请求用于请求与第一主机进行通信,第一主机为交换机连接的多个主机之一;判断目标主机是否满足预设要求;在目标主机满足预设要求的情况下,通过目标回应主机发送目标报文回应访问请求,以干扰目标主机的访问行为。通过本申请,解决了相关技术中网络入侵者横向对接入交换机相连的主机设备进行扫描、嗅探以及攻击,从而破坏网络安全的问题。
Description
技术领域
本申请涉及网络安全技术领域,具体而言,涉及一种消息处理方法、系统、装置、存储介质及处理器。
背景技术
在网络攻击者对网络进行破坏时,通常是需要利用已经建立的跳板主机探索网络,具体地,一方面收集网络的拓扑情况,寻找高价值目标,另一方面,采集网内主机的外显特征,以便分析主机的漏洞并决定后续入侵行动采用的攻击工具和攻击方法。具体地,网络攻击者通常会利用扫描工具针对主机设备进行主动扫描,获得主机的MAC地址、IP地址,开放的端口号,操作系统类型和版本号,安装并使用的应用系统的类型和版本号等外显特征。
为了制止网络攻击者的入侵,在相关技术中出现了如下方法:一旦发现入侵者突破边界进入到网络内部,并且开始扫描内网的时候,直接阻断跳板机。但是,此时入侵者往往已经在网内建立了多个跳板,阻断一个跳板机,只能让入侵者更加警觉,后续的攻击行动更加小心谨慎,从而增加了后续发现攻击行为的难度。
针对相关技术中网络入侵者横向对接入交换机相连的主机设备进行扫描、嗅探以及攻击,从而破坏网络安全的问题,目前尚未提出有效的解决方案。
发明内容
本申请提供一种消息处理方法、系统、装置、存储介质及处理器,以解决相关技术中网络入侵者横向对接入交换机相连的主机设备进行扫描、嗅探以及攻击,从而破坏网络安全的问题。
根据本申请的一个方面,提供了一种消息处理方法。该方法包括:通过交换机接收目标主机发送的访问请求,其中,访问请求用于请求与第一主机进行通信,第一主机为交换机连接的多个主机之一;判断目标主机是否满足预设要求;在目标主机满足预设要求的情况下,通过目标回应主机发送目标报文回应访问请求,以干扰目标主机的访问行为,其中,目标回应主机为交换机连接的多个当前在线主机之一,目标报文流经交换机后,报文的源地址信息被替换为第一主机的地址信息。
可选地,判断目标主机是否满足预设要求包括:判断目标主机是否为白名单之外的主机,其中,白名单内记录了允许访问交换机的主机的信息;或,判断目标主机是否为预设主机。
可选地,在目标主机满足预设要求的情况下,通过目标回应主机发送目标报文回应访问请求,以干扰目标主机的访问行为之前,该方法还包括:按照第一预设时间间隔采集流经交换机的报文的源地址信息,得到目标源地址信息;将目标源地址信息对应的主机确定为当前在线主机,并根据当前在线主机的信息确定主机状态表。
可选地,在目标主机满足预设要求的情况下,通过目标回应主机发送目标报文回应访问请求,以干扰目标主机的访问行为之前,该方法还包括:获取主机状态表中的当前在线主机的序号,得到多个在线主机的序号;根据多个在线主机的序号建立回应主机序列,其中,回应主机序列中包含M行序列,M为交换机连接的主机的数量,由乱序发生器控制回应主机序列中的内容的写入;建立主机的外显地址信息与回应主机序列中的数据之间的映射关系,得到目标映射表。
可选地,建立主机的外显地址信息与回应主机序列中的数据之间的映射关系包括:建立主机的外显地址信息与回应主机序列中的首列数据之间的映射关系,其中,回应主机序列的每行序列的深度为N,每行序列按照切换时间在深度方向执行写入和读出的步骤。
可选地,在目标主机满足预设要求的情况下,通过目标回应主机发送目标报文回应访问请求,以干扰目标主机的访问行为包括:获取访问请求的目的地址,并将目的地址作为目标外显地址信息;基于目标映射表中的映射关系,确定目标外显地址信息对应的目标序号;确定目标序号对应的主机,得到目标回应主机;通过目标回应主机回应访问请求。
可选地,通过目标回应主机回应访问请求包括:将访问请求的目的地址替换为目标回应主机的地址,并将修改后的访问请求发送至目标回应主机;通过交换机接收目标回应主机发送的目标报文,将目标报文的源地址信息替换为目标主机的地址信息,并将修改后的目标报文发送至目标主机。
可选地,该方法还包括:在目标主机满足预设要求的情况下,在第二预设时间间隔内首次接收到目标主机的访问请求时,触发告警信息。
可选地,该方法还包括:按照第一预设时间间隔更新当前在线主机,并基于更新后的当前在线主机更新主机状态表;基于更新后的主机状态表更新回应主机序列,并基于更新后的回应主机序列更新目标映射表。
可选地,该方法还包括:在目标主机接收目标报文,并基于目标报文发送会话连接请求的情况下,通过更新的回应主机回应会话连接请求。
根据本申请的另一方面,提供了一种消息处理系统。该系统包括:交换机,用于接收目标主机发送的访问请求,并判断目标主机是否满足预设要求,其中,访问请求用于请求与第一主机进行通信,第一主机与交换机连接;多个主机,与交换机连接,用于在目标主机满足预设要求的情况下,通过随机确定的一个主机发送目标报文回应访问请求,以干扰目标主机的访问行为,其中,目标报文流经交换机后,报文的源地址信息被替换为第一主机的地址信息。
根据本申请的另一方面,提供了一种消息处理装置。该装置包括:接收单元,用于通过交换机接收目标主机发送的访问请求,其中,访问请求用于请求与第一主机进行通信,第一主机为交换机连接的多个主机之一;判断单元,用于判断目标主机是否满足预设要求;发送单元,用于在目标主机满足预设要求的情况下,通过目标回应主机发送目标报文回应访问请求,以干扰目标主机的访问行为,其中,目标回应主机为交换机连接的多个当前在线主机之一,目标报文流经交换机后,报文的源地址信息被替换为第一主机的地址信息。
为了实现上述目的,根据本申请的另一方面,提供了一种存储介质,存储介质包括存储的程序,其中,程序执行上述任意一种消息处理方法。
为了实现上述目的,根据本申请的另一方面,提供了一种处理器,处理器用于运行程序,其中,程序运行时执行上述任意一种消息处理方法。
通过本申请,采用以下步骤:通过交换机接收目标主机发送的访问请求,其中,访问请求用于请求与第一主机进行通信,第一主机为交换机连接的多个主机之一;判断目标主机是否满足预设要求;在目标主机满足预设要求的情况下,通过目标回应主机发送目标报文回应访问请求,以干扰目标主机的访问行为,其中,目标回应主机为交换机连接的多个当前在线主机之一,目标报文流经交换机后,报文的源地址信息被替换为第一主机的地址信息,解决了相关技术中网络入侵者横向对接入交换机相连的主机设备进行扫描、嗅探以及攻击,从而破坏网络安全的问题。通过目标回应主机回应目标主机针对第一主机的访问请求,进而达到了混淆网络入侵者对接入交换机的设备的扫描、嗅探行为,从而避免网络被攻击的效果。
附图说明
构成本申请的一部分的附图用来提供对本申请的进一步理解,本申请的示意性实施例及其说明用于解释本申请,并不构成对本申请的不当限定。在附图中:
图1是根据本申请实施例提供的消息处理方法的流程图;
图2是根据本申请实施例提供的消息处理方法中的主机状态表;
图3是根据本申请实施例提供的消息处理方法中的目标映射表;
图4是根据本申请实施例提供的消息处理方法中的回应主机地址信息表;
图5是根据本申请实施例提供的消息处理方法中处理上联口输入报文的流程图;
图6是根据本申请实施例提供的消息处理方法中处理下联口输入报文的流程图;
图7是根据本申请实施例提供的消息处理系统的示意图;
图8是根据本申请实施例提供的一种消息处理系统的拓扑图;
图9是根据本申请实施例提供一种消息处理系统中的目标映射表;
图10是根据本申请实施例提供一种消息处理系统中的回应主机地址信息表;
图11是根据本申请实施例提供一种消息处理系统中目标主机对第一主机的扫描和攻击过程示意图;以及
图12是根据本申请实施例提供的消息处理装置的示意图。
具体实施方式
需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。下面将参考附图并结合实施例来详细说明本申请。
为了使本技术领域的人员更好地理解本申请方案,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分的实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本申请保护的范围。
需要说明的是,本申请的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本申请的实施例。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
根据本申请的实施例,提供了一种消息处理方法。
图1是根据本申请实施例的消息处理方法的流程图。如图1所示,该方法包括以下步骤:
步骤S101,通过交换机接收目标主机发送的访问请求,其中,访问请求用于请求与第一主机进行通信,第一主机为交换机连接的多个主机之一。
需要说明的是,交换机是网络接入交换机,连接有多个主机设备,不同主机设备之间通过接入交换机进行通信,具体地,通过交换机上联口接收目标主机发送的访问请求报文,通过交换机下联口接收其他主机响应访问请求的报文。
步骤S102,判断目标主机是否满足预设要求。
需要说明的是,预设要求为判断目标主机是否为风险主机的要求,对于不满足预设要求的目标主机,采用正常的回应机制,对于满足预设要求的目标主机,采用外显特征混淆回应机制,具体地,通过第一主机以外的主机进行回应,但回应报文显示的源地址是仍然第一主机的地址。
可选地,在本申请实施例提供的消息处理方法中,判断目标主机是否满足预设要求包括:判断目标主机是否为白名单之外的主机,其中,白名单内记录了允许访问交换机的主机的信息;或,判断目标主机是否为预设主机。
具体地,判断目标主机是否为白名单之外的主机,若目标主机为名单内的主机,则访问正常,若目标主机为白名单外的主机,说明疑似入侵者或非授权访问者通过目标主机进行访问,则自动启动外显特征混淆回应机制。
需要说明的是,在判断目标主机是否为白名单之外的主机之前,需要在接入交换机核心芯片中设立访问关系的白名单,确立哪些目的地址的主机的是可以访问的,以及主机的哪些端口或服务是可以访问的,交换机自身哪些端口是可以访问的。具体地,访问关系的白名单是由片内SRAM构成的,相关访问关系策略由嵌入式CPU写入芯片的SRAM中。
或者,判断目标主机是否为预设主机,若目标主机为预设主机,也即,指定的源IP地址对应的主机,则启动外显特征混淆回应机制。需要说明的是,指定的源IP地址对应的主机是被入侵者攻占的跳板主机,或中病毒或木马的主机。
通过本申请实施例,在白名单外的主机对接入交换机白名单保护内的主机进行访问时,或在已经确认是入侵者的跳板主机对接入交换机的主机进行访问时,启动外显特征混淆回应机制,干扰入侵者的入侵。
步骤S103,在目标主机满足预设要求的情况下,通过目标回应主机发送目标报文回应访问请求,以干扰目标主机的访问行为,其中,目标回应主机为交换机连接的多个当前在线主机之一,目标报文流经交换机后,报文的源地址信息被替换为第一主机的地址信息。
通过本申请实施例,在接入交换机的核心芯片中增加特殊的处理功能,能够在风险主机对白名单保护的主机进行扫描时,采用当前在线的所有主机高频率动态轮番回应的方式,主动改变转发策略以及执行地址转换,让入侵者在难以察觉的情况下获得与实际不符的扫描结果,也即,错误的网络拓扑和主机外显特征,达到了发现、破坏、干扰,甚至主动欺骗入侵者对网内主机的扫描的目的。从而误导入侵者采用错误的方法攻击目标主机,降低入侵者攻击的成功率,拖延入侵者的攻击时间,为发现和处置网络安全威胁赢得时间。
需要说明的是,接入交换机的在线主机的数目越多,网络外显特征混淆的效果越好,若如交换机接入的主机中只有一台在线,则无法达到混淆外显特征的效果。此外,也可以在混淆策略上做调整,即便当前连入交换机上的主机处于关机状态,该地址仍然参与混淆,只是入侵者扫描无回应。
此外,还需要说明的是,开启网络外显特征混淆回应机制后,对现有网络拓扑结构无影响,对其他网络设备和主机的正常网络通信也无影响。
本申请实施例提供的消息处理方法,通过交换机接收目标主机发送的访问请求,其中,访问请求用于请求与第一主机进行通信,第一主机为交换机连接的多个主机之一;判断目标主机是否满足预设要求;在目标主机满足预设要求的情况下,通过目标回应主机发送目标报文回应访问请求,以干扰目标主机的访问行为,其中,目标回应主机为交换机连接的多个当前在线主机之一,目标报文流经交换机后,报文的源地址信息被替换为第一主机的地址信息,解决了相关技术中网络入侵者横向对接入交换机相连的主机设备进行扫描、嗅探以及攻击,从而破坏网络安全的问题。通过目标回应主机回应目标主机针对第一主机的访问请求,进而达到了混淆网络入侵者对接入交换机的设备的扫描、嗅探行为,从而避免网络被攻击的效果。
在对目标访问请求进行回应之前,需要获得当前在线的主机的信息,可选地,在本申请实施例提供的消息处理方法中,在目标主机满足预设要求的情况下,通过目标回应主机发送目标报文回应访问请求,以干扰目标主机的访问行为之前,该方法还包括:按照第一预设时间间隔采集流经交换机的报文的源地址信息,得到目标源地址信息;将目标源地址信息对应的主机确定为当前在线主机,并根据当前在线主机的信息确定主机状态表。
需要说明的是,从流经的报文中,实时收集当前处于活动状态的接入该交换机的主机信息,从而确定主机状态表。
具体地,接入交换机核心芯片具备对流经各个端口的收发报文头部信息进行自动采集的能力,采集的信息可以包括:主机的MAC地址、主机的IP地址。采集的时间间隔可以设定为1秒到20秒,当采集到有流量从一台主机发出,则认为该主机是处于活动状态,也即在线状态,在间隔的时间内未采集到该接入主机有任何报文发送出,则认为该主机处于非活动状态,也即离线状态。
在得到各个主机的当前状态后,相关状态信息由芯片采集后发送到嵌入式CPU,在嵌入式CPU的软件中维护主机状态表。如图2所示,为主机状态表,表中包含当前在线的主机的信息,以及当前离线的主机的信息,随着时间的推移,主机状态表中的内容动态变化,可以根据主机状态表获取当前在线的主机的信息。
得到当前在线的主机后,还需要确定由哪个在线主机回应目标主机的访问请求,可选地,在本申请实施例提供的消息处理方法中,在目标主机满足预设要求的情况下,通过目标回应主机发送目标报文回应访问请求,以干扰目标主机的访问行为之前,该方法还包括:获取主机状态表中的当前在线主机的序号,得到多个在线主机的序号;根据多个在线主机的序号建立回应主机序列,其中,回应主机序列中包含M行序列,M为交换机连接的主机的数量,由乱序发生器控制回应主机序列中的内容的写入;建立主机的外显地址信息与回应主机序列中的数据之间的映射关系,得到目标映射表。
需要说明的是,交换机收到来自白名单以外的主机对白名单内的主机的访问请求报文时,启动外显特征混淆回应机制,不再按常规方式查询MAC表以确定转发端口,而是查询用于进行外显特征混淆回应的目标映射表,从而决定对请求报文执行何种方式的地址转换,以及从哪个端口转发出去。
具体地,目标映射表中包含外显地址信息与回应主机序号之间的映射关系,如图3所示,在查询目标映射表之前,需要先建立回应主机序列,从而根据回应主机序列建立外显地址信息与回应主机序号之间的映射关系。
例如,在接入交换机包含24个下联接入网口时,由24组FIFO(First input firstoutput,先入先出序列)构成的回应主机序列,每组FIFO深度至少是2,FIFO内存放回应主机的序列号。具体地,FIFO的写入由一个乱序发生模块控制,当FIFO不满的时候,将在线主机的序号进行乱序后写入24组FIFO,FIFO的输出即为外显主机地址对应的当前真实回应的主机序号。也即,回应主机序列的地址空间为所有接入该交换机的主机IP地址,但具体用哪个地进行做回应,则是在当前活动的地址空间范围内动态、随机、乱序地变化,从而提高混淆效果。
此外,还需要说明的是,每个回应主机的序列号分别对应一组回应主机地址信息,如图4所示,为回应主机地址信息表。
为了提高混淆效果,可选地,在本申请实施例提供的消息处理方法中,建立主机的外显地址信息与回应主机序列中的数据之间的映射关系包括:建立主机的外显地址信息与回应主机序列中的首列数据之间的映射关系,其中,回应主机序列的每行序列的深度为N,每行序列按照切换时间在深度方向执行写入和读出的步骤。
需要说明的是,除了将在线主机序号乱序写入回应主机序列,还可以对每行序列在深度方向上进行先进先出的切换。具体地,FIFO读出控制模块根据切换时间间隔读出FIFO,只要回应主机序列不满就写入FIFO,只要切换时间到了就读出FIFO,其中,每次读出的操作实际上就是切换当前回应主机的过程。
此外,切换间隔时间也可以进行动态、随机、乱序的变化,具体地,可以在配置寄存器的值的范围内随机产生切换动作,也即,执行对回应主机序列FIFO的读操作,例如,可以在1秒到5秒内随机的间隔时间做IP地址切换。
通过本实施例,利用当前接入该交换机的所有在线主机以随机动态顺序、随机的间隔时间轮番回应入侵者针对某个主机的扫描和嗅探,让入侵者无法获得准确的主机外显特征,从而干扰和破坏其入侵行动。
在回应入侵者的访问请求时,需要首先确定回应主机,可选地,在本申请实施例提供的消息处理方法中,在目标主机满足预设要求的情况下,通过目标回应主机发送目标报文回应访问请求,以干扰目标主机的访问行为包括:获取访问请求的目的地址,并将目的地址作为目标外显地址信息;基于目标映射表中的映射关系,确定目标外显地址信息对应的目标序号;确定目标序号对应的主机,得到目标回应主机;通过目标回应主机回应访问请求。
具体地,根据图3所示的目标映射表查询访问请求的目的地址对应的FIFO当前值,并根据图4所示的回应主机地址信息表查询FIFO当前值对应的目标回应主机的地址信息,以回应目标主机的访问请求。
可选地,在本申请实施例提供的消息处理方法中,通过目标回应主机回应访问请求包括:将访问请求的目的地址替换为目标回应主机的地址,并将修改后的访问请求发送至目标回应主机;通过交换机接收目标回应主机发送的目标报文,将目标报文的源地址信息替换为目标主机的地址信息,并将修改后的目标报文发送至目标主机。
具体地,如图5所示,针对目标主机的访问请求,也即,来自交换机上联口的、需要做外显特征混淆处理的输入报文,首先在包头分析模块中提取输入报文的五元组信息。在五元组信息中的源/目的地址与白名单不匹配的情况下,说明源IP地址需要做外显特征混淆,用报文的目的IP地址做索引,查询回应主机序列,读出当前值N。再根据N的值对应的主机序号获取目标回应主机地址信息:回应IP地址、回应MAC地址和转发端口,并用回应IP地址替换报文的目的IP地址、用回应MAC地址替换报文的目的IP地址。此外,根据目标MAC地址查询到交换机的输出端口号,将修改后的报文从查询到的输出端口转发出去,得到下联口的输出报文。而不需要做外显特征混淆处理的输入报文,直接根据报文的目的MAC地址查询交换机的输出端口号并输入即可。
如图6所示,针对回应主机发送的目标报文,也即,来自交换机下联口的需要做外显特征混淆处理的输入报文,首先在包头分析模块中提取输入报文的五元组信息。在五元组信息中的源/目的地址与白名单不匹配的情况下,说明目的IP地址需要做外显特征混淆,用报文的源IP地址做反向索引,查询当前该地址对应的外显IP地址和外显MAC地址。用查询到的外显IP地址和外显MAC地址替换报文的源IP地址和源MAC地址,并根据目的MAC地址查询到交换机的输出端口号,从而将修改后的报文从查询到的输出端口转发出去,得到上联口的输出报文。而不需要做外显特征混淆处理的输入报文,直接根据报文的目的MAC地址查询交换机的输出端口号并输入即可。
可选地,在本申请实施例提供的消息处理方法中,该方法还包括:在目标主机满足预设要求的情况下,在第二预设时间间隔内首次接收到目标主机的访问请求时,触发告警信息。
例如,第二预设时间间隔可以为1分钟,当1分钟的时间间隔内首次出现的地址试图对白名单内的某个主机进行访问的时候,将产生一条告警信息,具体地,告警信息中可以包含报文的五元组信息和时间信息,从而提示防御方风险访问行为的信息。
需要说明的是,产生告警的判断间隔时间由软件配置,可以从1秒到1分钟,或者更长的时间,以此来减少报警日志的数量,并确保不产生漏报。
可选地,在本申请实施例提供的消息处理方法中,该方法还包括:按照第一预设时间间隔更新当前在线主机,并基于更新后的当前在线主机更新主机状态表;基于更新后的主机状态表更新回应主机序列,并基于更新后的回应主机序列更新目标映射表。
需要说明的是,目标映射表由嵌入式CPU负责自动维护,CPU根据采集当前接入主机的在线情况来自动更新目标映射表的配置。
此外,还需要说明的是,对目标映射表的修改过程不需要中断业务,即使修改过程造成错包不影响交换机的正常转发业务,只会影响入侵者收到的回应包,并进一步增加入侵者收集目标主机信息的难度。
可选地,在本申请实施例提供的消息处理方法中,该方法还包括:在目标主机接收目标报文,并基于目标报文发送会话连接请求的情况下,通过更新的回应主机回应会话连接请求。
需要说明的是,在外显混淆回应机制下,切换外显地址的时候不做会话保持,也即,在切换回应主机的IP地址的时候,中断原有会话的连接,而是切断当前所有已经建立的、与前一个回应主机IP地址的TCP或UDP会话连接。具体地,不再主动发送rst标识的报文,而是对该会话的所有后续报文进行丢弃处理,用新地址回应入侵者的新建会话连接的请求,从而增加入侵者的入侵难度。
需要说明的是,在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行,并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。
本申请实施例还提供了一种消息处理系统,需要说明的是,本申请实施例的消息处理系统可以用于执行本申请实施例所提供的用于消息处理方法。以下对本申请实施例提供的消息处理系统进行介绍。
图7是根据本申请实施例的消息处理系统的示意图。如图7所示,该系统包括:
交换机,用于接收目标主机发送的访问请求,并判断目标主机是否满足预设要求,其中,访问请求用于请求与第一主机进行通信,第一主机与交换机连接。
多个主机,与交换机连接,用于在目标主机满足预设要求的情况下,通过随机确定的一个主机发送目标报文回应访问请求,以干扰目标主机的访问行为,其中,目标报文流经交换机后,报文的源地址信息被替换为第一主机的地址信息。
需要说明的是,交换机是网络接入交换机,连接有多个主机设备,不同主机设备之间通过接入交换机进行通信,具体地,通过交换机上联口接收目标主机发送的访问请求报文,通过交换机下联口接收其他主机响应访问请求的报文。
进一步地,预设要求为判断目标主机是否为风险主机的要求,对于不满足预设要求的目标主机,采用正常的回应机制,对于满足预设要求的目标主机,采用外显特征混淆回应机制进行回应。具体地,采用当前在线的所有主机高频率动态轮番回应的方式,主动改变转发策略以及执行地址转换,具体地,通过第一主机以外的主机进行回应,回应报文显示的源地址是第一主机的地址,让入侵者在难以察觉的情况下获得与实际不符的扫描结果。
此外,还需要说明的是,外显特征混淆回应机制是通过接入交换机的核心芯片中的模块实现的,包括白名单检查模块、外显特征混淆处理模块和报文修改模块。
具体地,白名单检查模块负责触发外显特征混淆处理,当发生来自上联口的白名单之外的访问请求时触发外显特征混淆处理功能。同时,针对指定IP地址做外显特征混淆处理的触发检查也在这个模块中进行,具体地,当访问请求符合白名单或源IP地址不是指定地址时,则跳过外显特征混淆处理模块,直接查询输出端口,做正常的回应。
外显特征混淆处理模块,针对来自上联口的需要做外显特征混淆处理的报文,首先根据目的IP地址查询目标映射表中的回应主机序列FIFO当前值,根据FIFO当前值获取回应主机的IP地址、MAC地址以及转发端口号,再把相关信息传递给下一个处理模块,该处理模块根据报文标识看到是做外显特征混淆处理的报文,无需查询MAC表,直接转发到报文修改模块,并用回应主机的IP地址、MAC地址替换访问请求报文的目的IP和目的MAC地址以及转发端口号。针对来自下联口的需要做外显特征混淆处理的报文,则根据源IP地址对应主机序列FIFO的值,做索引反向查询目标映射表中外显IP地址和MAC地址,并用读出的地址替换报文的源IP地址和源MAC地址
报文修改模块,负责根据前面处理模块的结果对报文做修改,具体地,对来自上联口的报文替换目的IP地址和目的MAC地址,对来自下联口的报文替换源IP地址和源MAC地址。
通过本申请实施例,采用外显特征混淆回应机制有效的干扰和破坏了入侵者的对网络的攻击效果,相比简单的阻断攻击的方式,可以消耗掉攻击者的时间,让其更容易暴露,从而让防御的一方具有更多的时间处置威胁。
如图8所示,为根据本申请实施例的一种消息处理系统的拓扑图。
其中,PC-1、PC-2与服务器-1到服务器-4在白名单内可以正常的互相访问,PC-X不在白名单内。安全接入交换机-1配置了目标映射表以及外显特征混淆处理策略,如图9为安全接入交换机-1中配置的目标映射表,图10是主机序号对应的回应主机的地址信息表。当发现有白名单之外的主机试图访问白名单内的主机时,则触发外显特征混淆机制,混淆的跳变时间是1秒,混淆的地址空间是192.168.1.5-192.168.1.8,共4个地址。
当PC-X试图扫描服务器-1的时候,触发安全接入交换机-1设备上的外显特征混淆处理机制。具体地,PC-X对服务器-1的扫描和攻击处理过程如图11所示:
PC-X在第一秒内向服务器-1发送了Pkt-1、pkt-3、pkt-5,这三个报文的2-3层封装为:源IP=192.168.1.200,源MAC=MAC-X,目的IP=192.168.1.5,目的MAC=MAC-1,当经过安全交换机-1的时候,报文的目的IP地址被修改为192.168.1.7,目的MAC地址被修改为MAC-3,输出网口为GE3。报文被发送到了服务器-3上,服务器-3回应了3个包,分别为pkt-2、pkt-4、pkt-6,报文封装为:源IP=192.168.1.7,源MAC=MAC-3,目的IP=192.168.1.200,目的MAC=MAC-X,经过安全交换机-1后,报文被修改为:源IP=192.168.1.5,源MAC=MAC-1。也即,在第一秒内的这三个报文实际上是有服务器-3回应的。
PC-X在第二秒内向服务器-1发送了pkt-7、pkt-9、pkt-11,这三个报文的2-3层封装与第一秒的封装相同,但是经过安全交换机-1后,报文的目的IP地址被修改为192.168.1.6,目的MAC地址修改为MAC-2,输出网口为GE2,报文被发送到了服务器-2上。服务器-2回应了3个包,分别为pkt-8、pkt-10、pkt-12,假设PC-X发送的每个包在服务器上都有回应,暂时不考虑服务器上对TCP/UDP层的处理,报文封装为:源IP=192.168.1.6,源MAC=MAC-2,目的IP=192.168.1.200,目的MAC=MAC-X,经过安全交换机-1后,报文被修改为:源IP=192.168.1.5,源MAC=MAC-1。也即,在第二秒内的这三个报文实际上是有服务器-2回应的。
以此类推,如图11所示,PC-X在第三秒向服务器-1发的报文,实际上被发送到了服务器-4上,由服务器-4做的回应。PC-X在第四秒发送的报文,实际上被发送到了服务器-3上,由服务器-3做的回应。
需要说明的是,从PC-X的视角来看扫描结果:PC-X在4秒内发送了12报文,分别试图扫描服务器-1的TCP协议的12个端口,获得的扫描结果实际上分别是由服务器-2、服务器-3和服务器-4回应的,并不是服务器-1的真实开放端口的情况。而当PC-X根据这些扫描结果准备进一步的漏洞探测的时候,获得的回应又进一步发生了变化,可能是服务器-1到服务器-4中的任何一个主机进行的回应。但在PC-X的视角,仍然认为自身攻击的是服务器-1这一台主机,仍会按照前一步获得的扫描结果来决定下一步的攻击方法,而不断变化的扫描结果会误导PC-X,尝试各种错误的方法或完全无效的方法去攻击服务器-1。
此外,还需要说明的是,理论上如果攻击者能够在1秒内完成一次攻击尝试的话,那么有75%的概率让攻击者PC-X准备的攻击工具完全对不上,可以把攻击者攻击的时间拖延四倍。如果攻击者的每一次攻击尝试过程超过1秒,则可以进一步提高攻击者失败的概率。因此,混淆跳变的时间设置的越短,干扰和破坏攻击者效果越好。而参与混淆的回应主机越多,混淆越复杂,干扰和破坏攻击者效果越好。
本申请实施例还提供了一种消息处理装置,需要说明的是,本申请实施例的消息处理装置可以用于执行本申请实施例所提供的用于消息处理方法。以下对本申请实施例提供的消息处理装置进行介绍。
图12是根据本申请实施例的消息处理装置的示意图。如图12所示,该装置包括:接收单元10、判断单元20和发送单元30。
具体地,接收单元10,用于通过交换机接收目标主机发送的访问请求,其中,访问请求用于请求与第一主机进行通信,第一主机为交换机连接的多个主机之一。
判断单元20,用于判断目标主机是否满足预设要求。
发送单元30,用于在目标主机满足预设要求的情况下,通过目标回应主机发送目标报文回应访问请求,以干扰目标主机的访问行为,其中,目标回应主机为交换机连接的多个当前在线主机之一,目标报文流经交换机后,报文的源地址信息被替换为第一主机的地址信息。
本申请实施例提供的消息处理装置,通过接收单元10,用于通过交换机接收目标主机发送的访问请求,其中,访问请求用于请求与第一主机进行通信,第一主机为交换机连接的多个主机之一;判断单元20,用于判断目标主机是否满足预设要求;发送单元30,用于在目标主机满足预设要求的情况下,通过目标回应主机发送目标报文回应访问请求,以干扰目标主机的访问行为,其中,目标回应主机为交换机连接的多个当前在线主机之一,目标报文流经交换机后,报文的源地址信息被替换为第一主机的地址信息,解决了相关技术中网络入侵者横向对接入交换机相连的主机设备进行扫描、嗅探以及攻击,从而破坏网络安全的问题,通过目标回应主机回应目标主机针对第一主机的访问请求,进而达到了混淆网络入侵者对接入交换机的设备的扫描、嗅探行为,从而避免网络被攻击的效果。
可选地,在本申请实施例提供的消息处理装置中,判断单元20包括:第一判断模块,用于判断目标主机是否为白名单之外的主机,其中,白名单内记录了允许访问交换机的主机的信息;或,第二判断模块,用于判断目标主机是否为预设主机。
可选地,在本申请实施例提供的消息处理装置中,该装置还包括:采集单元,用于在目标主机满足预设要求的情况下,通过目标回应主机发送目标报文回应访问请求,以干扰目标主机的访问行为之前,按照第一预设时间间隔采集流经交换机的报文的源地址信息,得到目标源地址信息;确定单元,用于将目标源地址信息对应的主机确定为当前在线主机,并根据当前在线主机的信息确定主机状态表。
可选地,在本申请实施例提供的消息处理装置中,该装置还包括:获取单元,用于在目标主机满足预设要求的情况下,通过目标回应主机发送目标报文回应访问请求,以干扰目标主机的访问行为之前,获取主机状态表中的当前在线主机的序号,得到多个在线主机的序号;第一建立单元,用于根据多个在线主机的序号建立回应主机序列,其中,回应主机序列中包含M行序列,M为交换机连接的主机的数量,由乱序发生器控制回应主机序列中的内容的写入;第二建立单元,用于建立主机的外显地址信息与回应主机序列中的数据之间的映射关系,得到目标映射表。
可选地,在本申请实施例提供的消息处理装置中,第二建立单元包括:建立模块,用于建立主机的外显地址信息与回应主机序列中的首列数据之间的映射关系,其中,回应主机序列每行序列的深度为N,每行序列按照切换时间在深度方向执行写入和读出的步骤。
可选地,在本申请实施例提供的消息处理装置中,发送单元30包括:获取模块,用于获取访问请求的目的地址,并将目的地址作为目标外显地址信息;第一确定模块,用于基于目标映射表中的映射关系,确定目标外显地址信息对应的目标序号;第二确定模块,用于确定目标序号对应的主机,得到目标回应主机;回应模块,用于通过目标回应主机回应访问请求。
可选地,在本申请实施例提供的消息处理装置中,回应模块包括:替换子模块,用于将访问请求的目的地址替换为目标回应主机的地址,并将修改后的访问请求发送至目标回应主机;接收子模块,用于通过交换机接收目标回应主机发送的目标报文,发送子模块,用于将目标报文的源地址信息替换为目标主机的地址信息,并将修改后的目标报文发送至目标主机。
可选地,在本申请实施例提供的消息处理装置中,该装置还包括:报警单元,用于在目标主机满足预设要求的情况下,在第二预设时间间隔内首次接收到目标主机的访问请求时,触发告警信息。
可选地,在本申请实施例提供的消息处理装置中,该装置还包括:第一更新单元,用于按照第一预设时间间隔更新当前在线主机,并基于更新后的当前在线主机更新主机状态表;第二更新单元,用于基于更新后的主机状态表更新回应主机序列,并基于更新后的回应主机序列更新目标映射表。
可选地,在本申请实施例提供的消息处理装置中,该装置还包括:回应单元单元,用于在目标主机接收目标报文,并基于目标报文发送会话连接请求的情况下,通过更新的回应主机回应会话连接请求。
所述消息处理装置包括处理器和存储器,上述接收单元10、判断单元20和发送单元30等均作为程序单元存储在存储器中,由处理器执行存储在存储器中的上述程序单元来实现相应的功能。
处理器中包含内核,由内核去存储器中调取相应的程序单元。内核可以设置一个或以上,通过调整内核参数来解决相关技术中网络入侵者横向对接入交换机相连的主机设备进行扫描、嗅探以及攻击,从而破坏网络安全的问题。
存储器可能包括计算机可读介质中的非永久性存储器,随机存取存储器(RAM)和/或非易失性内存等形式,如只读存储器(ROM)或闪存(flash RAM),存储器包括至少一个存储芯片。
本发明实施例提供了一种存储介质,其上存储有程序,该程序被处理器执行时实现所述消息处理方法。
本发明实施例提供了一种处理器,所述处理器用于运行程序,其中,所述程序运行时执行所述消息处理方法。
本发明实施例提供了一种设备,设备包括处理器、存储器及存储在存储器上并可在处理器上运行的程序,处理器执行程序时实现以下步骤:通过交换机接收目标主机发送的访问请求,其中,访问请求用于请求与第一主机进行通信,第一主机为交换机连接的多个主机之一;判断目标主机是否满足预设要求;在目标主机满足预设要求的情况下,通过目标回应主机发送目标报文回应访问请求,以干扰目标主机的访问行为,其中,目标回应主机为交换机连接的多个当前在线主机之一,目标报文流经交换机后,报文的源地址信息被替换为第一主机的地址信息。本文中的设备可以是服务器、PC、PAD、手机等。
本申请还提供了一种计算机程序产品,当在数据处理设备上执行时,适于执行初始化有如下方法步骤的程序:通过交换机接收目标主机发送的访问请求,其中,访问请求用于请求与第一主机进行通信,第一主机为交换机连接的多个主机之一;判断目标主机是否满足预设要求;在目标主机满足预设要求的情况下,通过目标回应主机发送目标报文回应访问请求,以干扰目标主机的访问行为,其中,目标回应主机为交换机连接的多个当前在线主机之一,目标报文流经交换机后,报文的源地址信息被替换为第一主机的地址信息。
本领域内的技术人员应明白,本申请的实施例可提供为方法、系统、或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
在一个典型的配置中,计算设备包括一个或多个处理器(CPU)、输入/输出接口、网络接口和内存。
存储器可能包括计算机可读介质中的非永久性存储器,随机存取存储器(RAM)和/或非易失性内存等形式,如只读存储器(ROM)或闪存(flash RAM)。存储器是计算机可读介质的示例。
计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括,但不限于相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器(CD-ROM)、数字多功能光盘(DVD)或其他光学存储、磁盒式磁带,磁带磁磁盘存储或其他磁性存储设备或任何其他非传输介质,可用于存储可以被计算设备访问的信息。按照本文中的界定,计算机可读介质不包括暂存电脑可读媒体(transitory media),如调制的数据信号和载波。
还需要说明的是,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、商品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、商品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括要素的过程、方法、商品或者设备中还存在另外的相同要素。
本领域技术人员应明白,本申请的实施例可提供为方法、系统或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
以上仅为本申请的实施例而已,并不用于限制本申请。对于本领域技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原理之内所作的任何修改、等同替换、改进等,均应包含在本申请的权利要求范围之内。
Claims (13)
1.一种消息处理方法,其特征在于,包括:
通过交换机接收目标主机发送的访问请求,其中,所述访问请求用于请求与第一主机进行通信,所述第一主机为所述交换机连接的多个主机之一,其中,交换机是网络接入交换机,连接有多个主机设备,不同主机设备之间通过接入交换机进行通信;
判断所述目标主机是否满足预设要求;
在所述目标主机满足所述预设要求的情况下,通过访问请求的目的地址在目标映射表中确定目标回应主机,并通过所述目标回应主机发送目标报文回应所述访问请求,以干扰所述目标主机的访问行为,其中,所述目标回应主机为所述交换机连接的多个当前在线主机之一,所述目标报文流经所述交换机后,报文的源地址信息被替换为所述第一主机的地址信息,所述目标回应主机是在所述多个当前在线主机中动态确定的;
其中,在所述目标主机满足所述预设要求的情况下,通过目标回应主机发送目标报文回应所述访问请求,以干扰所述目标主机的访问行为之前,所述方法还包括:获取主机状态表中的当前在线主机的序号,得到多个在线主机的序号;根据所述多个在线主机的序号建立回应主机序列,其中,所述回应主机序列中包含M行序列,M为所述交换机连接的主机的数量,由乱序发生器控制所述回应主机序列中的内容的写入;建立主机的外显地址信息与所述回应主机序列中的数据之间的映射关系,得到目标映射表。
2.根据权利要求1所述的方法,其特征在于,判断所述目标主机是否满足预设要求包括:
判断所述目标主机是否为白名单之外的主机,其中,所述白名单内记录了允许访问所述交换机的主机的信息;
或,判断所述目标主机是否为预设主机。
3.根据权利要求1所述的方法,其特征在于,在所述目标主机满足所述预设要求的情况下,通过目标回应主机发送目标报文回应所述访问请求,以干扰所述目标主机的访问行为之前,所述方法还包括:
按照第一预设时间间隔采集流经所述交换机的报文的源地址信息,得到目标源地址信息;
将所述目标源地址信息对应的主机确定为当前在线主机,并根据所述当前在线主机的信息确定主机状态表。
4.根据权利要求1所述的方法,其特征在于,建立主机的外显地址信息与所述回应主机序列中的数据之间的映射关系包括:
建立主机的所述外显地址信息与所述回应主机序列中的首列数据之间的映射关系,其中,所述回应主机序列每行序列的深度为N,每行序列按照切换时间在深度方向执行写入和读出的步骤。
5.根据权利要求1所述的方法,其特征在于,在所述目标主机满足所述预设要求的情况下,通过目标回应主机发送目标报文回应所述访问请求,以干扰所述目标主机的访问行为包括:
获取所述访问请求的目的地址,并将所述目的地址作为目标外显地址信息;
基于所述目标映射表中的映射关系,确定所述目标外显地址信息对应的目标序号;
确定所述目标序号对应的主机,得到目标回应主机;
通过所述目标回应主机回应所述访问请求。
6.根据权利要求5所述的方法,其特征在于,通过所述目标回应主机回应所述访问请求包括:
将所述访问请求的目的地址替换为所述目标回应主机的地址,并将修改后的访问请求发送至所述目标回应主机;
通过所述交换机接收所述目标回应主机发送的所述目标报文,
将所述目标报文的源地址信息替换为所述目标主机的地址信息,并将修改后的目标报文发送至所述目标主机。
7.根据权利要求1所述的方法,其特征在于,所述方法还包括:
在所述目标主机满足所述预设要求的情况下,在第二预设时间间隔内首次接收到所述目标主机的所述访问请求时,触发告警信息。
8.根据权利要求1所述的方法,其特征在于,所述方法还包括:
按照第一预设时间间隔更新当前在线主机,并基于更新后的当前在线主机更新所述主机状态表;
基于更新后的所述主机状态表更新所述回应主机序列,并基于更新后的所述回应主机序列更新所述目标映射表。
9.根据权利要求1所述的方法,其特征在于,所述方法还包括:
在所述目标主机接收所述目标报文,并基于所述目标报文发送会话连接请求的情况下,通过更新的回应主机回应所述会话连接请求。
10.一种消息处理系统,其特征在于,包括:
交换机,用于接收目标主机发送的访问请求,并判断所述目标主机是否满足预设要求,其中,所述访问请求用于请求与第一主机进行通信,所述第一主机与所述交换机连接,交换机是网络接入交换机,连接有多个主机设备,不同主机设备之间通过接入交换机进行通信;
多个主机,与所述交换机连接,用于在所述目标主机满足所述预设要求的情况下,通过随机确定的一个目标回应主机发送目标报文回应所述访问请求,以干扰所述目标主机的访问行为,其中,所述目标报文流经所述交换机后,报文的源地址信息被替换为所述第一主机的地址信息,所述目标回应主机是在多个当前在线主机中动态确定的;
其中,在所述目标主机满足所述预设要求的情况下,通过目标回应主机发送目标报文回应所述访问请求,以干扰所述目标主机的访问行为之前,还包括:获取主机状态表中的当前在线主机的序号,得到多个在线主机的序号,根据所述多个在线主机的序号建立回应主机序列,其中,所述回应主机序列中包含M行序列,M为所述交换机连接的主机的数量,由乱序发生器控制所述回应主机序列中的内容的写入,建立主机的外显地址信息与所述回应主机序列中的数据之间的映射关系,得到目标映射表。
11.一种消息处理装置,其特征在于,包括:
接收单元,用于通过交换机接收目标主机发送的访问请求,其中,所述访问请求用于请求与第一主机进行通信,所述第一主机为所述交换机连接的多个主机之一,交换机是网络接入交换机,连接有多个主机设备,不同主机设备之间通过接入交换机进行通信;
判断单元,用于判断所述目标主机是否满足预设要求;
发送单元,用于在所述目标主机满足所述预设要求的情况下,通过目标回应主机发送目标报文回应所述访问请求,以干扰所述目标主机的访问行为,其中,所述目标回应主机为所述交换机连接的多个当前在线主机之一,所述目标报文流经所述交换机后,报文的源地址信息被替换为所述第一主机的地址信息,所述目标回应主机是在所述多个当前在线主机中动态确定的;
获取单元,用于在所述目标主机满足所述预设要求的情况下,通过目标回应主机发送目标报文回应所述访问请求,以干扰所述目标主机的访问行为之前,获取主机状态表中的当前在线主机的序号,得到多个在线主机的序号;第一建立单元,用于根据所述多个在线主机的序号建立回应主机序列,其中,所述回应主机序列中包含M行序列,M为所述交换机连接的主机的数量,由乱序发生器控制所述回应主机序列中的内容的写入;第二建立单元,用于建立主机的外显地址信息与所述回应主机序列中的数据之间的映射关系,得到目标映射表。
12.一种存储介质,其特征在于,所述存储介质包括存储的程序,其中,所述程序执行权利要求1至9中任意一项所述的消息处理方法。
13.一种处理器,其特征在于,所述处理器用于运行程序,其中,所述程序运行时执行权利要求1至9中任意一项所述的消息处理方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010432826.0A CN111683063B (zh) | 2020-05-20 | 2020-05-20 | 消息处理方法、系统、装置、存储介质及处理器 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010432826.0A CN111683063B (zh) | 2020-05-20 | 2020-05-20 | 消息处理方法、系统、装置、存储介质及处理器 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111683063A CN111683063A (zh) | 2020-09-18 |
| CN111683063B true CN111683063B (zh) | 2023-02-17 |
Family
ID=72433764
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010432826.0A Active CN111683063B (zh) | 2020-05-20 | 2020-05-20 | 消息处理方法、系统、装置、存储介质及处理器 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111683063B (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112235304A (zh) * | 2020-10-15 | 2021-01-15 | 唐琪林 | 一种工业互联网的动态安全防护方法和系统 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106982206A (zh) * | 2017-03-10 | 2017-07-25 | 中国科学院信息工程研究所 | 一种基于ip地址自适应转换的恶意扫描防御方法及系统 |
| CN109347881A (zh) * | 2018-11-30 | 2019-02-15 | 东软集团股份有限公司 | 基于网络欺骗的网络防护方法、装置、设备及存储介质 |
| WO2019129154A1 (zh) * | 2017-12-27 | 2019-07-04 | 中兴通讯股份有限公司 | 业务请求处理方法及装置 |
Family Cites Families (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2010041788A1 (en) * | 2008-10-10 | 2010-04-15 | Plustech Inc. | A method for neutralizing the arp spoofing attack by using counterfeit mac addresses |
| US20130304927A1 (en) * | 2012-05-14 | 2013-11-14 | King Abdulaziz City For Science And Technology | Network address translation-based method of bypassing internet access denial |
| US9800547B2 (en) * | 2015-04-16 | 2017-10-24 | International Business Machines Corporation | Preventing network attacks on baseboard management controllers |
| CN105429957A (zh) * | 2015-11-02 | 2016-03-23 | 芦斌 | 一种基于sdn构架下的ip地址跳变安全通信方法 |
| CN106453298B (zh) * | 2016-09-30 | 2019-02-19 | 北京邮电大学 | 一种扫描防御方法和装置 |
| CN109495440A (zh) * | 2018-09-06 | 2019-03-19 | 国家电网有限公司 | 一种内网动态防御的随机方法 |
-
2020
- 2020-05-20 CN CN202010432826.0A patent/CN111683063B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106982206A (zh) * | 2017-03-10 | 2017-07-25 | 中国科学院信息工程研究所 | 一种基于ip地址自适应转换的恶意扫描防御方法及系统 |
| WO2019129154A1 (zh) * | 2017-12-27 | 2019-07-04 | 中兴通讯股份有限公司 | 业务请求处理方法及装置 |
| CN109981803A (zh) * | 2017-12-27 | 2019-07-05 | 中兴通讯股份有限公司 | 业务请求处理方法及装置 |
| CN109347881A (zh) * | 2018-11-30 | 2019-02-15 | 东软集团股份有限公司 | 基于网络欺骗的网络防护方法、装置、设备及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN111683063A (zh) | 2020-09-18 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110445770B (zh) | 网络攻击源定位及防护方法、电子设备及计算机存储介质 | |
| US8245300B2 (en) | System and method for ARP anti-spoofing security | |
| JP7518859B2 (ja) | Dnsメッセージを使用してコンピュータ・フォレンジック・データを選択的に収集するためのシステムおよび方法 | |
| US20150326587A1 (en) | Distributed system for bot detection | |
| US10135785B2 (en) | Network security system to intercept inline domain name system requests | |
| CN112134891B (zh) | 一种基于linux系统的单主机产生多个蜜罐节点的配置方法、系统、监测方法 | |
| US11271963B2 (en) | Defending against domain name system based attacks | |
| Kumar et al. | Review on security and privacy concerns in Internet of Things | |
| CN112583845A (zh) | 一种访问检测方法、装置、电子设备和计算机存储介质 | |
| EP4044505A1 (en) | Detecting botnets | |
| KR101593897B1 (ko) | 방화벽, ids 또는 ips를 우회하는 네트워크 스캔 방법 | |
| CN114500026A (zh) | 一种网络流量处理方法、装置及存储介质 | |
| CN111683063B (zh) | 消息处理方法、系统、装置、存储介质及处理器 | |
| Khosravifar et al. | An experience improving intrusion detection systems false alarm ratio by using honeypot | |
| US20220103582A1 (en) | System and method for cybersecurity | |
| Kfouri et al. | Design of a Distributed HIDS for IoT Backbone Components. | |
| CN113328976B (zh) | 一种安全威胁事件识别方法、装置及设备 | |
| EP3595257B1 (en) | Detecting suspicious sources, e.g. for configuring a distributed denial of service mitigation device | |
| CN114465746B (zh) | 一种网络攻击控制方法及系统 | |
| CN118353722B (zh) | 网络攻击拦截方法、计算机装置、计算机可读存储介质 | |
| Byamukama et al. | DDoS amplification attacks and impacts on enterprise service-oriented network infrastructures: DNS servers | |
| US20240171606A1 (en) | System and method for obscuring status of a network service | |
| Liang | An intelligent, distributed and collaborative DDoS defense system | |
| Holik | Protecting IoT Devices with Software-Defined Networks | |
| CN118555121A (zh) | 服务器网络攻击的控制方法和装置、存储介质及电子设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |