CN112688938A - 基于攻防模式的网络性能测量系统及方法 - Google Patents
基于攻防模式的网络性能测量系统及方法 Download PDFInfo
- Publication number
- CN112688938A CN112688938A CN202011529099.6A CN202011529099A CN112688938A CN 112688938 A CN112688938 A CN 112688938A CN 202011529099 A CN202011529099 A CN 202011529099A CN 112688938 A CN112688938 A CN 112688938A
- Authority
- CN
- China
- Prior art keywords
- network
- attack
- tested
- firewall
- monitoring
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开了一种基于攻防模式的网络性能测量系统及方法,所述系统包括:监控席位、数字KVM、网络探针设备、以及防火墙;所述监控席位包括网络探针监控终端和防火墙监控主机;所述网络探针监控终端接入带外管理网,用于通过所述数字KVM远程操控所述网络探针设备;所述网络探针设备,用于嗅探和分析被测网络与外部交互的所有数据包,对所述数据包进行分析,输出分析结果;所述防火墙监控主机接入带外管理网或者业务网,用于远程操控所述防火墙;所述防火墙,用于阻断攻击数据。利用本发明方案,通过简单的部署即可实现在真实网络环境下的网络监控分析和攻防演练。
Description
技术领域
本发明涉及网络安全技术领域,具体涉及一种基于攻防模式的网络性能测量系统及方法。
背景技术
近年来,针对当前日益严峻的网络安全形势,为进一步检验和提高网络系统检测发现、安全防护、应急处置能力,促进网络安全积极防御体系建设,通常会组织网络攻防演练,以达到防攻击、防破坏、防泄密、防重大网络安全故障的目标。
然而,在网络攻防演练过程中,面对各种各样的扫描、攻击,网络防护工作人员需要利用各种各样的设备和软件来监控、分析、判断,并采取各种防护措施。这些工作非常复杂,对工作人员技术水平要求较高;同时部署这些设备和软件也比较困难,大多需要进行专门调整,不易操作,有时甚至会影响网络的正常运行。
发明内容
本发明提供一种基于攻防模式的网络性能测量系统及方法,可以通过简单的部署即可实现在真实网络环境下的攻防演练。
为此,本发明提供如下技术方案:
本发明提供一种基于攻防模式的网络性能测量系统,所述系统包括:监控席位、数字KVM、网络探针设备、以及防火墙;所述监控席位包括网络探针监控终端和防火墙监控主机;
所述网络探针监控终端接入带外管理网,用于通过所述数字KVM远程操控所述网络探针设备;
所述网络探针设备,用于嗅探和分析被测网络与外部交互的所有数据包,对所述数据包进行分析,输出分析结果;
所述防火墙监控主机接入带外管理网或者业务网,用于远程操控所述防火墙;
所述防火墙,用于阻断攻击数据。
可选地,所述网络探针设备旁路部署于所述被测网络出口处、并通过被测网络出口设备的镜像端口与所述被测网络连接;所述防火墙部署在所述被测网络与其他网络连接的区域之间。
可选地,所述网络探针设备包括:内置网络嗅探分析模块的主机。
可选地,所述主机为具有至少1个1000M RJ45网络接口的计算机。
可选地,所述网络嗅探分析模块通过所述镜像端口抓取所述被测网络与外部交互的所有数据包。
可选地,所述网络嗅探分析模块,还用于分别统计网络节点基于不同 IP地址的流量、以及基于不同网络协议的流量。
本发明提供一种基于攻防模式的网络性能测量方法,所述方法包括:
利用旁路部署于被测网络出口处、并通过被测网络出口设备的镜像端口与所述被测网络连接的网络探针,实时抓取所述被测网络与外部交互的所有数据包;
对所述数据包进行分析,确定是否有攻击数据;
如果有,则通过部署在所述被测网络与其他网络连接的区域之间的防火墙阻断所述攻击数据。
可选地,所述对所述数据包进行分析,确定是否有攻击数据包括:
统计每个IP地址的通信协议、连接数量;
根据所述IP地址的通信协议、连接数量,确定是否有攻击数据。
可选地,所述方法还包括:
生成IP地址间的网络连接图,其中每两个IP地址间连线的颜色由所述两个IP地址间的通信协议决定,所述连线的粗细由连接数量决定。
可选地,所述方法还包括:
分别统计网络节点基于不同IP地址的流量、以及基于不同网络协议的流量;
根据统计结果对网络配置进行优化。
本发明实施例提供的基于攻防模式的网络性能测量系统及方法,在真实网线路环境中部署网络探针设备和防火墙,并通过数字KVM远程操控所述网络探针设备,使其嗅探和分析被测网络与外部交互的所有数据包,对所述数据包进行分析,确定是否有攻击数据,在有攻击数据的情况下,由防火墙实施阻断,保护网络安全。本发明基于攻防模式的网络性能测量系统及方法,通过简单的部署即可实现在真实网络环境下的网络监控分析和攻防演练,并且不会对原网络造成影响。
附图说明
图1是本发明实施例基于攻防模式的网络性能测量系统的组网示意图;
图2是本发明实施例中网络连接图的一个示例;
图3是本发明实施例基于攻防模式的网络性能测量方法的一种流程图。
具体实施方式
本发明实施例提供一种基于攻防模式的网络性能测量系统及方法,在真实网线路环境中部署网络探针设备和防火墙,并通过数字KVM远程操控所述网络探针设备,使其嗅探和分析被测网络与外部交互的所有数据包,对所述数据包进行分析,确定是否有攻击数据,在有攻击数据的情况下,由防火墙实施阻断,保护网络安全。
如图1所示,是本发明实施例基于攻防模式的网络性能测量系统的组网示意图。
在该实施例中,所述系统包括:监控席位10、数字KVM11、网络探针设备12、以及防火墙13;所述监控席位10包括网络探针监控终端101和防火墙监控主机102。其中:
所述网络探针监控终端101接入带外管理网,用于通过所述数字 KVM11远程操控所述网络探针设备12;
所述网络探针设备12,用于嗅探和分析被测网络20与外部(包括攻击网络30及其他通信网络)交互的所有数据包,对所述数据包进行分析,输出分析结果。
所述防火墙监控主机102接入带外管理网或者业务网,用于远程操控所述防火墙13;
所述防火墙13,用于阻断攻击数据。
在本发明实施例中,所述网络探针设备12提供对数据包的监控和分析功能,并输出分析结果,如网络连接图、流量分析、网络协议分析等结果。工作人员可利用网络探针设备12输出的分析结果,即时确定是否有网络攻击。比如,通过分析发现有某个IP地址或主机远程攻击、或内部某主机有非正常网络行为。在这种情况下,工作人员可通过所述防火墙监控主机102 远程操作所述防火墙13,使其阻断这些IP地址或主机发送的数据包,从而保护网络安全。所述带外管理网是指专门用于传输管理数据的网络通道,管理数据与业务数据相分离的带外管理方式,可以提高网管的效率与可靠性,也有利于提高网管数据的安全性。所述业务网是指为接入用户提供一种或数种业务的网络。
本发明实施例提供的基于攻防模式的网络性能测量系统,在真实网络环境中部署网络探针设备和防火墙,并通过数字KVM远程操控所述网络探针设备,使其嗅探和分析被测网络与外部交互的所有数据包,对所述数据包进行分析,确定是否有攻击数据,在有攻击数据的情况下,由防火墙实施阻断,保护网络安全。
在实际应用中,所述网络探针设备12可旁路部署于所述被测网络出口处、并通过被测网络出口设备的镜像端口与所述被测网络连接。所述被测网络出口设备比如可以是交换机、路由器、防火墙等设备。所述防火墙13 可以部署在不同网络的区域之间。
通过上述简单的部署,即可在真实网络环境下自动实现网络监控分析功能,并且不会对原网络造成影响。
在本发明实施例中,所述网络探针设备12具体可以包括内置网络嗅探分析模块的主机,其中,所述主机可以采用具有至少1个1000M RJ45网络接口的计算机。比如,可选择研越19”标准上架1U工控机IPC-ITX1U01,配置intel i5 CPU,8G内存,128G SSD固态硬盘,具备2个1000M RJ45 网口,安装Win7 64位操作系统。
端口镜像功能通过在交换机或路由器上,将一个或多个源端口的数据流量转发到某一个指定端口来实现对网络的监听,指定端口称之为“镜像端口”或“目的端口”。在本发明系统中,所述网络嗅探分析模块通过所述镜像端口抓取所述被测网络与外部交互的所有数据包。比如,在网络攻防演练时,可由所述网络嗅探分析模块监控敌方对我方网络的扫描、攻击情况,可迅速识别敌方直接扫描、syn扫描、跳板扫描、端口刺探,连接沦陷主机等多种主动入侵行为,以及内网反向连接等穿刺入侵行为。
具体地,所述网络嗅探分析模块可以统计每个IP地址的通信协议、目标地址及连接数量,工作人员可根据所述IP地址的通信协议、目标地址及连接数量,确定是否有攻击数据。
相应地,所述网络嗅探分析模块还可根据统计结果生成IP地址间的网络连接图,如图2示例,其中每两个IP地址间连线的颜色由所述两个IP地址间的通信协议决定,连线的粗细由连接数量决定。所述网络连接图可以由与所述网络探针监控终端101所配置的监视器进行显示,从而可以使工作人员直观地分辨出哪种协议、哪个IP地址的连接数最多,判断是否为攻击行为。
进一步地,在本发明系统另一实施例中,所述网络嗅探分析模块还可用于分别统计网络节点基于不同IP地址的流量、以及基于不同网络协议的流量,并根据统计结果对网络配置进行优化。比如,对流量常期过大的协议(如视频、迅雷下载等),可以适当限制其流量,以保证网络整体性能。另外,还可生成相应的IP流量分析图和协议流量分析图,可直观地将基于不同IP地址和不同网络协议流量显示出来,方便工作人员查看。
进一步地,所述网络嗅探分析模块还可有针对性地分析某些网络协议,直接对数据包进行分析,进而实现更深层次的网络攻击与渗透分析。此处,利用所述网络嗅探分析模块的分析结果,还可协助工作人员排查网络是否有故障、网络服务响应时间是否正常、服务器工作是否正常等网络问题。
需要说明的是,在实际应用中,所述防火墙可选用市面上任意一款防火墙,只需具备以下条件即可:
1)可对特定的IP、端口进行封禁;
2)具有远程控制功能,可在工作席位进行操作。
在本发明方案中,防火墙13也可采用用户单位网络中已部署的防火墙设备。
在实际应用中,所述防火墙监控主机102可采用普通的个人电脑。所述数字KVM11可采用市面上普通的数字KVM系统,配合网络探针监控终端101,实现对网络探针设备的远程操作。数字KVM系统要通过带外管理网实现远程控制,从而保证不影响用户正常的网络业务。所述网络探针监控终端101由鼠标、键盘、监视器及所述数字KVM配套的接收终端组成,其配置的鼠标、键盘、监视器都可以是通用设备,所述配套的接收终端通过带外管理网接入数字KVM系统。
相应地,本发明实施例还提供一种基于攻防模式的网络性能测量方法,如图3所示,是该方法的一种流程图,包括以下步骤:
步骤301,利用旁路部署于被测网络出口处、并通过被测网络出口设备的镜像端口与所述被测网络连接的网络探针,实时抓取所述被测网络与外部交互的所有数据包。
步骤302,对所述数据包进行分析,确定是否有攻击数据;如果有,则执行步骤303;否则,执行步骤301。
具体地,可以统计每个IP地址的通信协议、目标地址及连接数量;根据所述IP地址的通信协议、目标地址及连接数量确定是否有攻击数据。
步骤303,通过部署在所述被测网络与其他网络连接的区域之间的防火墙阻断所述攻击数据。
本发明实施例提供的基于攻防模式的网络性能测量方法,利用旁路部署于被测网络出口处、并通过被测网络出口设备的镜像端口与所述被测网络连接的网络探针,实时抓取所述被测网络与外部交互的所有数据包,对所述数据包进行分析,确定是否有攻击数据,在有攻击数据的情况下,通过防火墙实施阻断,可以有效地保护网络安全。
进一步地,在本发明方法另一实施例中,还可生成IP地址间的网络连接图,其中每两个IP地址间连线的颜色由所述两个IP地址间的通信协议决定,所述连线的粗细由连接数量决定。从而可以使工作人员直观地分辨出哪种协议、哪个IP地址的连接数最多,从而可判断是否为攻击行为。
进一步地,在本发明方法另一实施例中,可分别统计网络节点基于不同IP地址的流量、以及基于不同网络协议的流量;根据统计结果对网络配置进行优化。
进一步地,还可有针对性地分析某些网络协议,直接对数据包进行分析,进而实现更深层次的网络攻击与渗透分析。此处,还可根据分析结果,排查网络是否有故障、网络服务响应时间是否正常、服务器工作是否正常等网络问题。
本领域普通技术人员可以理解实现上述方法实施方式中的全部或部分步骤是可以通过程序来指令相关的硬件来完成,所述的程序可以存储于计算机可读取存储介质中,这里所称的存储介质,如:ROM/RAM、磁碟、光盘等。
以上对本发明实施例进行了详细介绍,本文中应用了具体实施方式对本发明进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及装置,其仅仅是本发明一部分的实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本发明保护的范围,本说明书内容不应理解为对本发明的限制。因此,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (10)
1.一种基于攻防模式的网络性能测量系统,其特征在于,所述系统包括:监控席位、数字KVM、网络探针设备、以及防火墙;所述监控席位包括网络探针监控终端和防火墙监控主机;
所述网络探针监控终端接入带外管理网,用于通过所述数字KVM远程操控所述网络探针设备;
所述网络探针设备,用于嗅探和分析被测网络与外部交互的所有数据包,对所述数据包进行分析,输出分析结果;
所述防火墙监控主机接入带外管理网或者业务网,用于远程操控所述防火墙;
所述防火墙,用于阻断攻击数据。
2.根据权利要求1所述的系统,其特征在于,所述网络探针设备旁路部署于所述被测网络出口处、并通过被测网络出口设备的镜像端口与所述被测网络连接;所述防火墙部署在所述被测网络与其他网络连接的区域之间。
3.根据权利要求1所述的系统,其特征在于,所述网络探针设备包括:内置网络嗅探分析模块的主机。
4.根据权利要求3所述的系统,其特征在于,所述主机为具有至少1个1000M RJ45网络接口的计算机。
5.根据权利要求3所述的系统,其特征在于,所述网络嗅探分析模块通过所述镜像端口抓取所述被测网络与外部交互的所有数据包。
6.根据权利要求5所述的系统,其特征在于,所述网络嗅探分析模块,还用于分别统计网络节点基于不同IP地址的流量、以及基于不同网络协议的流量。
7.一种基于攻防模式的网络性能测量方法,其特征在于,所述方法包括:
利用旁路部署于被测网络出口处、并通过被测网络出口设备的镜像端口与所述被测网络连接的网络探针,实时抓取所述被测网络与外部交互的所有数据包;
对所述数据包进行分析,确定是否有攻击数据;
如果有,则通过部署在所述被测网络与其他网络连接的区域之间的防火墙阻断所述攻击数据。
8.根据权利要求7所述的方法,其特征在于,所述对所述数据包进行分析,确定是否有攻击数据包括:
统计每个IP地址的通信协议、连接数量;
根据所述IP地址的通信协议、连接数量,确定是否有攻击数据。
9.根据权利要求7所述的方法,其特征在于,所述方法还包括:
生成IP地址间的网络连接图,其中每两个IP地址间连线的颜色由所述两个IP地址间的通信协议决定,所述连线的粗细由连接数量决定。
10.根据权利要求7至9任一项所述的方法,其特征在于,所述方法还包括:
分别统计网络节点基于不同IP地址的流量、以及基于不同网络协议的流量;
根据统计结果对网络配置进行优化。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011529099.6A CN112688938B (zh) | 2020-12-22 | 2020-12-22 | 基于攻防模式的网络性能测量系统及方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011529099.6A CN112688938B (zh) | 2020-12-22 | 2020-12-22 | 基于攻防模式的网络性能测量系统及方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112688938A true CN112688938A (zh) | 2021-04-20 |
| CN112688938B CN112688938B (zh) | 2023-09-29 |
Family
ID=75450536
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202011529099.6A Active CN112688938B (zh) | 2020-12-22 | 2020-12-22 | 基于攻防模式的网络性能测量系统及方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112688938B (zh) |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104601570A (zh) * | 2015-01-13 | 2015-05-06 | 国家电网公司 | 一种基于旁路监听和软件抓包技术的网络安全监控方法 |
| CN105550202A (zh) * | 2015-12-02 | 2016-05-04 | 成都科来软件有限公司 | 一种基于网络访问关系的图形显示方法及系统 |
| CN105827611A (zh) * | 2016-04-06 | 2016-08-03 | 清华大学 | 一种基于模糊推理的分布式拒绝服务网络攻击检测方法和系统 |
| CN107733878A (zh) * | 2017-09-29 | 2018-02-23 | 国网甘肃省电力公司电力科学研究院 | 一种工业控制系统的安全防护装置 |
| CN109818985A (zh) * | 2019-04-11 | 2019-05-28 | 江苏亨通工控安全研究院有限公司 | 一种工控系统漏洞趋势分析与预警方法及系统 |
| CN111083109A (zh) * | 2019-11-14 | 2020-04-28 | 国网河南省电力公司驻马店供电公司 | 交换机联动防火墙防护提升方法 |
-
2020
- 2020-12-22 CN CN202011529099.6A patent/CN112688938B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104601570A (zh) * | 2015-01-13 | 2015-05-06 | 国家电网公司 | 一种基于旁路监听和软件抓包技术的网络安全监控方法 |
| CN105550202A (zh) * | 2015-12-02 | 2016-05-04 | 成都科来软件有限公司 | 一种基于网络访问关系的图形显示方法及系统 |
| CN105827611A (zh) * | 2016-04-06 | 2016-08-03 | 清华大学 | 一种基于模糊推理的分布式拒绝服务网络攻击检测方法和系统 |
| CN107733878A (zh) * | 2017-09-29 | 2018-02-23 | 国网甘肃省电力公司电力科学研究院 | 一种工业控制系统的安全防护装置 |
| CN109818985A (zh) * | 2019-04-11 | 2019-05-28 | 江苏亨通工控安全研究院有限公司 | 一种工控系统漏洞趋势分析与预警方法及系统 |
| CN111083109A (zh) * | 2019-11-14 | 2020-04-28 | 国网河南省电力公司驻马店供电公司 | 交换机联动防火墙防护提升方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN112688938B (zh) | 2023-09-29 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Birkinshaw et al. | Implementing an intrusion detection and prevention system using software-defined networking: Defending against port-scanning and denial-of-service attacks | |
| US8087085B2 (en) | Wireless intrusion prevention system and method | |
| US20180205746A1 (en) | Network traffic analysis for malware detection and performance reporting | |
| US8737197B2 (en) | Sequential heartbeat packet arrangement and methods thereof | |
| CN100435513C (zh) | 网络设备与入侵检测系统联动的方法 | |
| Fu et al. | On recognizing virtual honeypots and countermeasures | |
| US20070150955A1 (en) | Event detection system, management terminal and program, and event detection method | |
| Chen et al. | Detecting early worm propagation through packet matching | |
| CN113839935B (zh) | 网络态势感知方法、装置及系统 | |
| CN112422554B (zh) | 一种检测异常流量外连的方法、装置、设备及存储介质 | |
| Singh et al. | Testbed-based evaluation of siem tool for cyber kill chain model in power grid scada system | |
| Neu et al. | Lightweight IPS for port scan in OpenFlow SDN networks | |
| Fayssal et al. | Anomaly-based behavior analysis of wireless network security | |
| CN108040075B (zh) | 一种apt攻击检测系统 | |
| JP4161989B2 (ja) | ネットワーク監視システム | |
| CN113794590A (zh) | 处理网络安全态势感知信息的方法、装置及系统 | |
| CN112688938B (zh) | 基于攻防模式的网络性能测量系统及方法 | |
| US11943250B2 (en) | Test device | |
| JP4159814B2 (ja) | 双方向型ネットワーク侵入検知システムおよび双方向型侵入検知プログラム | |
| CN114301796B (zh) | 预测态势感知的验证方法、装置及系统 | |
| CN113411296B (zh) | 态势感知虚拟链路防御方法、装置及系统 | |
| KR101144819B1 (ko) | 분산서비스거부 공격 탐지 및 방어 장치 및 그 방법 | |
| Chen et al. | Active event correlation in Bro IDS to detect multi-stage attacks | |
| KR100870871B1 (ko) | 액세스레벨에서의 유해트래픽 차단장치 및 보안시스템 | |
| Badea et al. | Computer network vulnerabilities and monitoring |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |