CN113079124B - 入侵行为检测方法、系统及电子设备 - Google Patents

入侵行为检测方法、系统及电子设备 Download PDF

Info

Publication number
CN113079124B
CN113079124B CN202010004189.7A CN202010004189A CN113079124B CN 113079124 B CN113079124 B CN 113079124B CN 202010004189 A CN202010004189 A CN 202010004189A CN 113079124 B CN113079124 B CN 113079124B
Authority
CN
China
Prior art keywords
network
network segment
access
access flow
intrusion behavior
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202010004189.7A
Other languages
English (en)
Other versions
CN113079124A (zh
Inventor
黄昭文
叶家恒
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China Mobile Communications Group Co Ltd
China Mobile Group Guangdong Co Ltd
Original Assignee
China Mobile Communications Group Co Ltd
China Mobile Group Guangdong Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China Mobile Communications Group Co Ltd, China Mobile Group Guangdong Co Ltd filed Critical China Mobile Communications Group Co Ltd
Priority to CN202010004189.7A priority Critical patent/CN113079124B/zh
Publication of CN113079124A publication Critical patent/CN113079124A/zh
Application granted granted Critical
Publication of CN113079124B publication Critical patent/CN113079124B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1491Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02DCLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
    • Y02D30/00Reducing energy consumption in communication networks
    • Y02D30/50Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明实施例公开了一种入侵行为检测方法、系统及电子设备,该方法包括:接收访问流量;确定访问流量的目标访问地址;若目标访问地址属于被保护网络中不提供对外业务的第一网段,则检测访问流量是否属于入侵行为;被保护网络中包括所述第一网段及提供对外业务的第二网段;若是,则对访问流量执行相应的屏蔽措施。通过本方法可以对多个IP网络进行统一保护,并增强了包括对外服务端口的网络的保护力度,提高了入侵行为的检出效率和准确性,具有更好的通用性。

Description

入侵行为检测方法、系统及电子设备
技术领域
本发明涉及互联网安全领域,尤其涉及一种入侵行为检测方法、系统及电子设备。
背景技术
现有的网络入侵检测技术通过在连接外部网络的接口部署安全设备,对网络入侵行为进行深入分析并建立网络安全模型,实现入侵行为检测和网络安全保障。
由于网络入侵行为的多样性和变化性,入侵检测技术一般需要建立庞大的样例数据库,而且随着网络设备、操作系统等不断增加,网络入侵攻击行为的种类和次数也是不断增加的,网络安全模型需要不断更新才能及时应对新出现的入侵行为,如果被保护系统需要对外开放网络服务端口,则应对各种网络入侵行为的难度更大。现有网络入侵检测技术的检出效率和准确性存在不足。
发明内容
本发明实施例提供一种入侵行为检测方法、系统及电子设备,以解决现有网络入侵检测技术的检出效率和准确性低的问题。
为了解决上述技术问题,本发明是这样实现的:
第一方面,提供了一种入侵行为检测方法,所述方法包括:接收访问流量;确定所述访问流量的目标访问地址;若所述目标访问地址属于被保护网络中不提供对外业务的第一网段,则检测所述访问流量是否属于入侵行为;所述被保护网络中包括所述第一网段及提供对外业务的第二网段;若是,则对所述访问流量执行相应的屏蔽措施。
第二方面,提供了一种入侵行为检测系统,所述系统包括:路由器,用于接收访问流量及确定所述访问流量的目标访问地址;网络数据分析系统,用于若所述目标访问地址属于被保护网络中不提供对外业务的第一网段,则检测所述访问流量是否属于入侵行为;所述被保护网络中包括所述第一网段及提供对外业务的第二网段;安全系统,用于若是,则对所述访问流量执行相应的屏蔽措施。
第三方面,提供了一种电子设备,该电子设备包括处理器、存储器及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述计算机程序被所述处理器执行时实现如第一方面所述的方法的步骤。
第四方面,提供了一种计算机可读存储介质,所述计算机可读存储介质上存储计算机程序,所述计算机程序被处理器执行时实现如第一方面所述的方法的步骤。
在本发明实施例中,被保护网络包括不提供对外业务的第一网段及提供对外业务的第二网段,若访问流量的目标访问地址属于不提供对外业务的第一网段,则检测其是否属于入侵行为,若是则对该访问流量执行相应的屏蔽措施,包括对不提供对外业务的第一网段的屏蔽措施,还可以包括对提供对外业务的网段的屏蔽措施。本发明实施例可以对多个IP网络进行统一保护,并增强了包括对外服务端口的网络的保护力度,提高了入侵行为的检出效率和准确性,具有更好的通用性。
附图说明
此处所说明的附图用来提供对本发明的进一步理解,构成本发明的一部分,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中:
图1为本发明实施例提供的一种网络入侵检测方法的流程示意图;
图2为本发明实施例提供的外部网络与IPProtect之间的交互示意图;
图3为本发明实施例提供的一种网络入侵检测系统的结构示意图;
图4为本发明实施例提供的另一种网络入侵检测系统的结构示意图;
图5为本发明实施例提供的网络结构示意图;
图6为本发明实施例提供的一种电子设备的硬件结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
实施例一
本发明实施例提供一种网络入侵检测方法,该方法的执行主体可以为网络安全系统,该网络安全系统与被保护网络(IPProtect)连接。
参见图1所示的网络入侵检测方法的流程示意图,具体可以包括以下步骤:
S102,接收访问流量。
路由器可以接收外部网络向IPProtect发送的访问流量。在本实施例中IPProtect为需要保护的IPv4/IPv6(网际协议版本4,Internet Protocol version 4/网际协议版本6,Internet Protocol version 6)网段,将IPProtect以外的IPv4/IPv6网段称为外部网络。
S104,确定访问流量的目标访问地址。
在接收到访问流量后,路由器确定访问流量携带的目标访问地址。可以理解的是,路由器等导流设备可以将访问流量转发至该目标访问地址。
S106,若上述目标访问地址属于被保护网络中不提供对外业务的第一网段,则检测上述访问流量是否属于入侵行为。被保护网络中包括第一网段及提供对外业务的第二网段。
在IPProtect中包括不提供对外业务的第一网段(IPFree)和提供对外业务的第二网段(IPSvc),若上述目标访问地址属于IPFree,则网络数据分析系统(FlowAnalyzer)检测该访问流量是否属于入侵行为。在此需要说明的是,对目标访问地址属于IPSvc的访问流量也需要进行必要的安全检测,例如将访问流量导引通过防火墙(Firewall,FW)、入侵检测系统(Intrusion Prevention System,IPS)或者入侵检测系统(Intrusion DetectionSystems,IDS)后,再发送至IPSvc连接的业务服务器。
由于IPSvc提供对外业务,其包含的互联网协议(Internet Protocol,IP)地址需要向外部发布,与此相反,IPFree不提供对外业务,其包含的IP地址不对外部发布。正常情况下外部网络未知IPFree的地址分布,也不应访问IPFree包含的IP地址,因此目标访问地址属于IPFree的访问流量均为异常访问流量,有较高可能是入侵行为。
在现有的入侵行为检测技术中,主要针对访问IPSvc的流量和交互数据进行检测,而对IPFree是否被外部网络访问未做关注。可以理解的是,IPSvc仅占用IPProtect的部分IP地址,而针对IPProtect的攻击流量的目标访问地址既可能属于IPSvc,也可能属于IPFree,通过对目标访问地址属于IPFree的访问流量进行入侵行为检测,提高了入侵行为被捕捉到的概率,更容易发现攻击行为。
S108,若是,则对上述访问流量执行相应的屏蔽措施。
若检测上述访问流量属于入侵行为,则执行相应的屏蔽措施。该屏蔽措施包括以下至少一种:拦截上述访问流量、在安全系统中添加上述访问流量的拦截策略、将上述访问流量对应的源地址加入屏蔽地址集合、将上述访问流量对应的网络特征信息添加至入侵行为识别数据库。其中,安全系统包括路由器、防火墙、网段服务器中的至少一项。若检测上述访问流量不属于入侵行为,则对该访问流量不做处理。
可以理解的是,上述屏蔽措施可以针对第一网段或IPProtect的全部网段进行,从而可以对一组或一系列IP网络提供统一保护。因此,在检测出目标访问地址属于第一网段的访问流量属于入侵行为的情况下,可以基于该访问流量的源地址或网络特征信息对提供对外业务的第二网段进行入侵保护,从而应用于更多的设备,提高对未知网络攻击的检出效率。
本发明实施例提供了一种入侵行为检测方法,被保护网络包括不提供对外业务的第一网段及提供对外业务的第二网段,若访问流量的目标访问地址属于不提供对外业务的第一网段,则检测其是否属于入侵行为,若是则对该访问流量执行相应的屏蔽措施,包括对不提供对外业务的第一网段的屏蔽措施,还可以包括对提供对外业务的网段的屏蔽措施。本发明实施例可以对多个IP网络进行统一保护,并增强了包括对外服务端口的网络的保护力度,提高了入侵行为的检出效率和准确性,具有更好的通用性。
在本实施例中,使用整体策略对IPProtect的访问流量进行流量导引规划,以便进行有效的入侵行为检测。IPProtect整体被划分为不提供对外业务的IPFree和提供对外业务的IPSvc。在接收到访问流量后,通过预设导流策略将访问流量导引至IPFree或IPSvc。在确定访问流量的目标访问地址的步骤之后,上述方法还包括:根据预设导流策略及目标访问地址,将访问流量导引至第一网段或第二网段,其中,该预设导流策略为将不同访问地址的访问流量导引至不同网段的策略。
为了有效检测入侵行为,可以将目标访问地址属于第一网段的访问流量在受监控条件下转发至第二网段,对第二网段对应的服务器与访问流量之间的交互数据进行检测,确定访问流量是否属于入侵行为。本实施例中,在FlowAnalyzer的监控下将目标访问地址属于IPFree的访问流量,即潜在的网络攻击流量转发至IPSvc连接的真实业务服务器,并对其交互数据进行检测。上述方式可以及时发现入侵行为和阻断访问流量,对未知的网络攻击行为检出效率高,且可以应用于各种受保护网络设备,有较好的通用性。
具体地,为了保护真实业务系统,上述检测访问流量是否属于入侵行为的步骤可以按照以下方式执行:判断交互数据是否符合预设入侵行为条件;该预设入侵行为条件包括:交互数据中包含预设的入侵行为特征值,和/或,交互数据的数量大于预设阈值;若是,则确定访问流量属于入侵行为。
其中,预设阈值为基于第二网段的正常网络响应数据建模确定的交互安全基线值;入侵行为特征值可以是预先存储的标识网络入侵行为的非法特征值,例如非法的登录系统指令、获取密码指令、获取文件指令、读写指令等所对应的特征值。
本实施例中设置了针对IPSvc连接的真实业务服务器的交互基线数据库BaseLineDB,参见表1所示的BaseLineDB的示例。
表1
在IP地址 协议 端口 正常响应数据包 正常响应数据包数量
192.168.1.1 TCP 80 HTTP 200OK 5
192.168.1.1 TCP 22 SSH 5
在BaseLineDB中存储了建模得到的交互安全基线值,例如表1中对应协议为TCP,端口为80的正常响应数据包HTTP 200OK的正常响应数据包数量是5,即对应的交互安全基线值是5。通过交互基线数据库对业务服务器的正常网络响应进行建模,可以及时发现交互数据是否达到异常数量,有效检测入侵行为。
考虑到将目标访问地址属于第一网段的访问流量转发至第二网段时,需要确定转发至第二网段的具体网络地址,因此预先设置了第一网段的地址与第二网段的地址的映射关系。基于该映射关系可以确定转发目的地址,从而将访问流量转发至该目的地址连接的真实业务服务器。上述方法还包括以下步骤:根据预设映射关系,将目标访问地址属于第一网段的访问流量转发至第二网段,该预设映射关系为第一网段的地址与第一网段的地址之间的映射关系。可以理解的是,该预设映射关系可以是固定的对应关系,也可以是动态变化的对应关系。
为了提高对目标访问地址属于第一网段的访问流量的入侵行为检出效率,在上述转发监控的基础上,还可以通过以下至少一种方式对访问流量进行检测:
(1)判断访问流量对应的网络特征信息是否与预先建立的入侵行为识别数据库相匹配;若相匹配,则确定访问流量属于入侵行为。该入侵行为识别数据库中包括至少一个入侵行为对应的网络特征信息。
在FlowAnalyzer中,配置入侵行为识别数据库,在识别数据库中记录至少一个入侵行为对应的网络特征信息。上述网络特征信息可以是已知的入侵行为对应的网络特征信息,也可以是前述S206中检测出的入侵行为对应的网络特征信息。入侵行为识别数据库存储的网络特征信息如表2所示。
表2
Figure BDA0002354623430000071
如果在识别数据库查找到了与访问流量匹配的网络特征信息,则说明此访问流量为入侵行为,立即阻断该访问流量并记录该访问流量的源地址信息。由于网络攻击行为的种类是持续增加的,新增的网络攻击种类可能未在识别数据库中记录,所以即使访问流量的相关特征未被列入识别数据库,仍然需要对该流量进一步检测和分析。
对于目标访问地址属于第一网段的访问流量进行入侵行为检测,若检测到入侵行为,可以通知第二网段进行网络安全防范,以及对该入侵行为建模和记录,以对周边网络安全设备进行策略更新,从而更好地保护真实业务系统,具有更好的效率和通用性。
(2)判断在第一网段内预先部署的模拟业务是否受到访问流量的攻击;若受到攻击,则确定访问流量属于入侵行为。
本实施例中以模拟业务为蜜罐系统提供的模拟业务为例。由于蜜罐系统中所带有的业务不是真实的网络服务,而是定制的用于检测网络恶意攻击行为的模拟业务,因此只要蜜罐系统中的模拟业务受到访问流量的攻击,则可以将该访问流量确定为入侵行为,以及阻断该访问流量并记录该访问流量的源地址信息。
可以理解的是,执行上述两种检测方式可以设置在将访问流量转发至第二网段的步骤之前,在上述两种检测方式的检测结果均为不属于入侵行为的前提下,再将访问流量转发至第二网段,进而对第二网段对应的服务器与访问流量之间的交互数据进行入侵检测。本实施例中,防火墙、蜜罐系统、网络数据分析系统和路由器互相配合以提供网络安全防护方式,可以有效提高网络安全防护能力。
考虑到被保护网络中第一网段和第二网段的分布形态可以影响外部网络进行IP扫描的结果,进而可能影响属于入侵行为的访问流量的目的地址,因此本实施例中第一网段和第二网段按照以下方式划分:
(1)将目标网段中多个连续的第一网络地址划分至第一网段,并将目标网段中除第一网络地址以外的其他网络地址划分至第二网段。例如脉冲选择法,选取IPProtect内各个子网段的重要IP地址集合S,选取方法是将每个子网段的前若干个IP、后若干个IP、或中间的若干个IP划分至集合S中,然后按以下算式对IPProtect内的每一个IP(下式中的Xip)进行相应集合归类。
Figure BDA0002354623430000081
(2)将目标网段划分为多个连续的子网段,将非相邻的多个第一子网段划分至第一网段,将目标网段中除第一子网段以外的其他子网段划分至第二网段。例如阶跃选择法,将IPProtect划分成若干个子网段G1,G2,...,Gn,然后按以下算式对IPProtect内的IP进行相应集合归类,将偶数序号的子字段划分至IPSvc,将奇数序号的子字段划分至IPFree。
Figure BDA0002354623430000082
(3)将目标网段中的第二网络地址随机划分至第一网段,将目标网段中除第二网络地址以外的其他网络地址划分至第二网段。例如距离选择法,在IPProtect内根据业务需要随机设置IPSvc所占用的IP地址,然后对剩余IP地址计算其到IPSvc中IP地址的相似距离d,对于相似距离d小于最大相似距离dmax的IP,则将其归类集合IPFree。按照以下算式计算任意两个IP之间相似距离。
d=|Xip1-Xip2|
通过上述方式均可以将目标网段划分成两个网段,两个网段占据了目标网络的全部网络地址,且两个网段包括的网络地址具有交叉或者随机分布的特点。对于目标访问地址属于IPSvc的访问流量,路由器将其导引至FW,经过FW检测后再导引至IPSvc的业务服务器。对于目标访问地址属于IPFree的访问流量,路由器将其导引至FlowAnalyzer,经过FlowAnalyzer检测后导引至IPFree。
由于网络入侵攻击的广泛存在,本实施例的上述方案可以适用于互联网、物联网、IPv4/IPv6、第五代移动通信技术(5th-Generation,5G)等各种复杂的业务场景,具有良好的通用性和应用前景。
参见图2所示的外部网络与IPProtect之间的交互示意图,外部网络与IPProtect之间的交互过程具体可以包括以下步骤:
S202,流量导引策略初始化。
IPProtect的IP地址范围分成两个集合,即前述IPSvc和IPFree。IP导引器与路由器协商设置导引策略为:将目标地址为IPSvc的访问流量导引向IPSvc,将目标地址为IPFree的访问流量导引向IPFree。
S204,发送访问流量。
当外部网络向IPProtect发送访问流量时,由于路由器是IPProtect对外的接口,所以该流量将先到达路由器。路由器根据步骤S302中设定的导引策略进行流量导引。
S206,将访问流量导引至FW。
如图1所示,在IPSvc与路由器之间配置有FW,路由器将目标地址为IPSvc的访问流量按导引策略导流至FW。
S208,将访问流量导引至业务服务器。
FW对访问流量进行安全检测,将通过安全检测的访问流量发送至IPSvc对应的业务服务器。
S210,将访问流量导引至FlowAnalyzer。
如图1所示,在IPFree与路由器之间配置有FlowAnalyzer,路由器将目标地址为IPFree的访问流量按导引策略导流至FlowAnalyzer。
S212,将访问流量导引至IPFree。
FlowAnalyzer对访问流量进行安全检测,将通过安全检测的访问流量发送至IPFree。由于IPFree没有对外开放的业务端口,因此发向IPFree的访问流量属于异常流量,有较大可能属于网络入侵行为,FlowAnalyzer应记录该访问流量的源地址IPSource。
S214,入侵行为检测。
在FlowAnalyzer中,配置网络安全入侵行为的识别数据库,用于记录已知的网络入侵攻击行为特征。FlowAnalyzer进行入侵行为检测可以包括以下步骤:
步骤(a),如果在识别数据库记录查找到与访问流量匹配的特征,则表示此访问流量为入侵行为,检测结束;否则执行步骤(b)。
步骤(b),在IPFree中部署有安全蜜罐系统,如果安全蜜罐系统中的模拟业务受到访问流量的攻击,则表示此访问流量为入侵行为,检测结束;否则执行步骤(c)。
步骤(c),FlowAnalyzer将访问流量转发至IPSvc中带有真实业务的业务服务器,使用真实服务器进行入侵行为检测。FlowAnalyzer作为流量中转站监测访问流量与真实服务器之间的交互数据包。如果从真实服务器返回的数据包中包括被网络攻击的特征值,或者真实服务器返回的数据包数量超出了交互基线数据库中存储的正常返回数据包数量,则表示此访问流量为入侵行为;否则,检测结束,确定无网络入侵行为。
如果在上述步骤(a)-(c)中检测到入侵行为,记录该访问流量的IPSource、停止转发并进行拦截。
S216,通知路由器拦截攻击流量。
如果检测到入侵行为,FlowAnalyzer通过指令接口在路由器中设置对该访问流量IPSource的拦截策略。
S218,通知FW拦截攻击流量。
如果检测到入侵行为,FlowAnalyzer通过指令接口在防火墙设置对该流量源地址IPSource的拦截策略。
S220,通知IPSvc拦截攻击流量。
如果检测到入侵行为,FlowAnalyzer通过指令接口在业务服务器设置对该流量源地址IPSource的拦截策略。
S222,更新入侵行为的识别数据库。
如果检测到入侵行为,FlowAnalyzer将其网络特征信息写入到Intrude_Detect_DB,记录内容如表2所示。
S224,更新流量导引策略。
如果检测到入侵行为,FlowAnalyzer可通知IP导引器进行流量导引策略更新,包括调整IPSvc和IPFree的IP地址、将存在威胁的源地址纳入屏蔽范围等。其中,调整IPSvc和IPFree的IP地址的方式可以是将IPSvc和IPFree包括的地址按照前述划分方式进行重新划分。
本实施例中将被保护网络分成带有业务的网段和不带业务的网段,并使用整体策略进行流量导引,能够保护多个网段集合,从而应用于更多的被保护网络设备,在网络数据分析系统的监控下把潜在的网络攻击流量转发至真实业务系统,对交互数据进行检测,检测到攻击行为后进行及时阻断,具有更高的检出效率和通用性;将防火墙、蜜罐系统、网络数据分析系统和路由器共同配合,提高了网络安全防护能力。
实施例二
以上为本发明实施例提供的入侵行为检测方法,基于同样的思路,本发明实施例还提供一种入侵行为检测系统。
如图3所示,该入侵行为检测系统包括:路由器301、网络数据分析系统302和安全系统303。其中,路由器301,用于接收访问流量及确定访问流量的目标访问地址;网络数据分析系统302,用于若目标访问地址属于被保护网络中不提供对外业务的第一网段,则检测访问流量是否属于入侵行为;该被保护网络中包括第一网段及提供对外业务的第二网段;安全系统303,用于若是,则对访问流量执行相应的屏蔽措施。
本发明实施例提供了一种入侵行为检测系统,被保护网络包括不提供对外业务的第一网段及提供对外业务的第二网段,若访问流量的目标访问地址属于不提供对外业务的第一网段,则检测其是否属于入侵行为,若是则对该访问流量执行相应的屏蔽措施,包括对不提供对外业务的第一网段的屏蔽措施,还可以包括对提供对外业务的网段的屏蔽措施。本发明实施例可以对多个IP网络进行统一保护,并增强了包括对外服务端口的网络的保护力度,提高了入侵行为的检出效率和准确性,具有更好的通用性。
可选地,作为一个实施例,如图4所示,所述系统还包括流量导引设备401,用于根据预设导流策略及目标访问地址,将访问流量导引至第一网段或第二网段;第二网段用于提供对外业务;该预设导流策略为将不同访问地址导引至不同网段的策略。
可选地,作为一个实施例,所述网络数据分析系统302具体用于:将访问流量转发至第二网段;获取第二网段对应的服务器与访问流量之间的交互数据;根据交互数据判断访问流量是否属于入侵行为。
可选地,作为一个实施例,所述网络数据分析系统302还具体用于:判断交互数据是否符合预设入侵行为条件;预设入侵行为条件包括:交互数据中包含预设的入侵行为特征值,和/或,交互数据的数量大于预设阈值;若是,则确定访问流量属于入侵行为。
可选地,作为一个实施例,所述网络数据分析系统302还具体用于:判断访问流量对应的网络特征信息是否与预先建立的入侵行为识别数据库相匹配;和/或,判断在第一网段内预先部署的模拟业务是否受到访问流量的攻击;入侵行为识别数据库中包括至少一个入侵行为对应的网络特征信息;若网络特征信息相匹配和/或模拟业务受到攻击,则确定访问流量属于入侵行为。
在本实施例中,对访问流量执行相应的屏蔽措施,包括以下至少一种:拦截访问流量、在安全系统中添加访问流量的拦截策略、将访问流量对应的源地址加入屏蔽地址集合、将访问流量对应的网络特征信息添加至入侵行为识别数据库;其中,安全系统包括路由器、防火墙、网段服务器中的至少一项。
在本实施例中,按照以下方式划分第一网段和第二网段:将目标网段中多个连续的第一网络地址划分至第一网段,将目标网段中除第一网络地址以外的其他网络地址划分至第二网段;或,将目标网段划分为多个连续的子网段,将非相邻的多个第一子网段划分至第一网段,将目标网段中除第一子网段以外的其他子网段划分至第二网段;或,将目标网段中的第二网络地址随机划分至第一网段,将目标网段中除第二网络地址以外的其他网络地址划分至第二网段。
参见图5所示的网络结构示意图,示出了外部网络和虚线框中的被保护网络,两者通过上述入侵行为检测系统连接。其中,被保护网络包括两部分:提供对外业务的网段IPSvc和不提供对外业务的网段IPFree,IPSvc还连接有防火墙。防火墙一般可以集成IPS和IDS的功能;入侵行为检测系统包括:路由器、IP导引器、网络数据分析系统和防火墙。
其中,IP导引器即前述流量导引设备,用于与路由器协商路由策略,具体可以根据访问流量和安全防护的需求设置路由器的路由策略。FlowAnalyzer用于进行入侵行为检测。防火墙即前述安全系统,是指通过有机结合各类用于安全管理与筛选的软件和硬件设备,帮助网络于其内、外网之间构建一道相对隔绝的保护屏障,以保护用户资料与信息安全性。路由器是指连接网络中各局域网、广域网的设备,可以根据实际情况自动选择和设定路由,以最佳路径按先后顺序发送信号。本实施例中的入侵行为,是指所有企图非法穿越被保护系统安全边界的行为,是对网络安全目标的直接或间接威胁。
对被保护网络使用整体导流策略预先进行导引规划,具体可以通过IP导引器与路由器协商执行,还可以通过IP导引器更新路由器中的导流策略。当外部网络向被保护网络发送访问流量时,访问流量经过路由器导流后通过防火墙进入IPSvc,或通过FlowAnalyzer进入IPFree。FlowAnalyzer对经过的访问流量进行入侵行为检测,若检测到入侵行为,则通知路由器、防火墙、业务服务器配合进行拦截。
实施例三
图6为实现本发明各个实施例的一种电子设备的硬件结构示意图,该电子设备包括处理器,可选地,包括内部总线、网络接口、存储器。其中,存储器可能包含内存,例如高速随机存取存储器(Random-Access Memory,RAM),也可能还包括非易失性存储器(non-volatile memory),例如至少1个磁盘存储器等。当然,该电子设备还可能包括其他业务所需要的硬件。
处理器、网络接口和存储器可以通过内部总线相互连接,该内部总线可以是工业标准体系结构(Industry Standard Architecture,ISA)总线、外设部件互连标准(Peripheral Component Interconnect,PCI)总线或扩展工业标准结构(ExtendedIndustry Standard Architecture,EISA)总线等。所述总线可以分为地址总线、数据总线、控制总线等。为便于表示,图6中仅用一个双向箭头表示,但并不表示仅有一根总线或一种类型的总线。
存储器,用于存放程序。具体地,程序可以包括程序代码,所述程序代码包括计算机操作指令。存储器可以包括内存和非易失性存储器,并向处理器提供指令和数据。
处理器从非易失性存储器中读取对应的计算机程序到内存中然后运行,在逻辑层面上形成交易渠道控制装置。处理器,执行存储器所存放的程序。处理器用于执行以下操作:接收访问流量;确定访问流量的目标访问地址;若目标访问地址属于不提供对外业务的第一网段,则检测访问流量是否属于入侵行为;若是,则对访问流量执行相应的屏蔽措施。
处理器可能是一种集成电路芯片,具有信号的处理能力。在实现过程中,上述方法的各步骤可以通过处理器中的硬件的集成逻辑电路或者软件形式的指令完成。上述的处理器可以是通用处理器,包括中央处理器(Central Processing Unit,CPU)、网络处理器(Network Processor,NP)等;还可以是数字信号处理器(Digital Signal Processor,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现场可编程门阵列(Field Programmable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本申请实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。结合本申请实施例所公开的方法的步骤可以直接体现为硬件译码处理器执行完成,或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于随机存储器,闪存、只读存储器,可编程只读存储器或者电可擦写可编程存储器、寄存器等本领域成熟的存储介质中。该存储介质位于存储器,处理器读取存储器中的信息,结合其硬件完成上述方法的步骤。
当然,除了软件实现方式之外,本申请的电子设备并不排除其他实现方式,比如逻辑器件抑或软硬件结合的方式等等,也就是说以下处理流程的执行主体并不限定于各个逻辑单元,也可以是硬件或逻辑器件。
本发明实施例还提供一种计算机可读存储介质,计算机可读存储介质上存储有计算机程序,该计算机程序被处理器执行时实现上述入侵行为检测方法实施例的各个过程,且能达到相同的技术效果,为避免重复,这里不再赘述。其中,所述的计算机可读存储介质,如只读存储器(Read-Only Memory,简称ROM)、随机存取存储器(Random ACGess Memory,简称RAM)、磁碟或者光盘等。
本领域内的技术人员应明白,本发明的实施例可提供为方法、系统、或计算机程序产品。因此,本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
在一个典型的配置中,计算设备包括一个或多个处理器(CPU)、输入/输出接口、网络接口和内存。
内存可能包括计算机可读介质中的非永久性存储器,随机存取存储器(RAM)和/或非易失性内存等形式,如只读存储器(ROM)或闪存(flash RAM)。内存是计算机可读介质的示例。
计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括,但不限于相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器(CD-ROM)、数字多功能光盘(DVD)或其他光学存储、磁盒式磁带,磁带磁磁盘存储或其他磁性存储设备或任何其他非传输介质,可用于存储可以被计算设备访问的信息。按照本文中的定界,计算机可读介质不包括暂存电脑可读媒体(transitory media),如调制的数据信号和载波。
还需要说明的是,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、商品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、商品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、商品或者设备中还存在另外的相同要素。
本领域技术人员应明白,本发明的实施例可提供为方法、系统或计算机程序产品。因此,本发明可采用完全硬件实施例、完全软件实施例或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
以上所述仅为本发明的实施例而已,并不用于限制本发明。对于本领域技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原理之内所作的任何修改、等同替换、改进等,均应包含在本发明的权利要求范围之内。

Claims (4)

1.一种入侵行为检测方法,其特征在于,所述方法包括:
接收访问流量;
确定所述访问流量的目标访问地址;
若所述目标访问地址属于被保护网络中不提供对外业务的第一网段,则检测所述访问流量是否属于入侵行为;所述被保护网络中包括所述第一网段及提供对外业务的第二网段;
若是,则对所述访问流量执行相应的屏蔽措施;
所述检测所述访问流量是否属于入侵行为,包括:
将所述访问流量转发至所述第二网段,具体为,根据预设映射关系,将目标访问地址属于第一网段的访问流量转发至第二网段,该预设映射关系为第一网段的地址与第二网段的地址之间的映射关系;
获取所述第二网段对应的服务器与所述访问流量之间的交互数据;
根据所述交互数据判断所述访问流量是否属于入侵行为;
所述根据所述交互数据判断所述访问流量是否属于入侵行为,包括:
判断所述交互数据是否符合预设入侵行为条件;所述预设入侵行为条件包括:所述交互数据中包含预设的入侵行为特征值,和/或,所述交互数据的数量大于预设阈值;
若是,则确定所述访问流量属于入侵行为;
所述检测所述访问流量是否属于入侵行为,还包括:
判断所述访问流量对应的网络特征信息是否与预先建立的入侵行为识别数据库相匹配;和/或,判断在所述第一网段内预先部署的模拟业务是否受到所述访问流量的攻击;所述入侵行为识别数据库中包括至少一个入侵行为对应的网络特征信息;
若所述网络特征信息相匹配和/或所述模拟业务受到攻击,则确定所述访问流量属于入侵行为;
在确定所述访问流量的目标访问地址之后,还包括:
根据预设导流策略及所述目标访问地址,将所述访问流量导引至所述第一网段或所述第二网段;所述预设导流策略为将不同访问地址的访问流量导引至不同网段的策略;
其中,所述第一网段和所述第二网段按照以下方式划分:
将目标网段中多个连续的第一网络地址划分至所述第一网段,将所述目标网段中除所述第一网络地址以外的其他网络地址划分至所述第二网段;或,
将所述目标网段划分为多个连续的子网段,将非相邻的多个第一子网段划分至所述第一网段,将所述目标网段中除所述第一子网段以外的其他所述子网段划分至所述第二网段;或,
将所述目标网段中的第二网络地址随机划分至所述第一网段,将所述目标网段中除所述第二网络地址以外的其他网络地址划分至所述第二网段。
2.根据权利要求1所述的方法,其特征在于,所述对所述访问流量执行相应的屏蔽措施,包括以下至少一种:
拦截所述访问流量、在安全系统中添加所述访问流量的拦截策略、将所述访问流量对应的源地址加入屏蔽地址集合、将所述访问流量对应的网络特征信息添加至入侵行为识别数据库;
其中,所述安全系统包括路由器、防火墙、网段服务器中的至少一项。
3.一种入侵行为检测系统,其特征在于,所述系统包括:
路由器,用于接收访问流量及确定所述访问流量的目标访问地址;
网络数据分析系统,用于若所述目标访问地址属于被保护网络中不提供对外业务的第一网段,则检测所述访问流量是否属于入侵行为;所述被保护网络中包括所述第一网段及提供对外业务的第二网段;
安全系统,用于若是,则对所述访问流量执行相应的屏蔽措施;
所述网络数据分析系统具体用于:
将访问流量转发至第二网段,具体为,根据预设映射关系,将目标访问地址属于第一网段的访问流量转发至第二网段,该预设映射关系为第一网段的地址与第二网段的地址之间的映射关系;
获取第二网段对应的服务器与访问流量之间的交互数据;
根据交互数据判断访问流量是否属于入侵行为;
所述网络数据分析系统还具体用于:判断交互数据是否符合预设入侵行为条件;预设入侵行为条件包括:交互数据中包含预设的入侵行为特征值,和/或,交互数据的数量大于预设阈值;若是,则确定访问流量属于入侵行为;
所述网络数据分析系统还具体用于:判断访问流量对应的网络特征信息是否与预先建立的入侵行为识别数据库相匹配;和/或,判断在第一网段内预先部署的模拟业务是否受到访问流量的攻击;入侵行为识别数据库中包括至少一个入侵行为对应的网络特征信息;若网络特征信息相匹配和/或模拟业务受到攻击,则确定访问流量属于入侵行为;
所述入侵行为检测系统还包括流量导引设备,用于根据预设导流策略及所述目标访问地址,将所述访问流量导引至所述第一网段或所述第二网段;所述预设导流策略为将不同访问地址的访问流量导引至不同网段的策略;
所述入侵行为检测系统还用于:
将目标网段中多个连续的第一网络地址划分至所述第一网段,将所述目标网段中除所述第一网络地址以外的其他网络地址划分至所述第二网段;或,
将所述目标网段划分为多个连续的子网段,将非相邻的多个第一子网段划分至所述第一网段,将所述目标网段中除所述第一子网段以外的其他所述子网段划分至所述第二网段;或,
将所述目标网段中的第二网络地址随机划分至所述第一网段,将所述目标网段中除所述第二网络地址以外的其他网络地址划分至所述第二网段。
4.一种电子设备,其特征在于,包括处理器、存储器及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述计算机程序被所述处理器执行时实现如权利要求1至2中任一项所述的方法的步骤。
CN202010004189.7A 2020-01-03 2020-01-03 入侵行为检测方法、系统及电子设备 Active CN113079124B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010004189.7A CN113079124B (zh) 2020-01-03 2020-01-03 入侵行为检测方法、系统及电子设备

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010004189.7A CN113079124B (zh) 2020-01-03 2020-01-03 入侵行为检测方法、系统及电子设备

Publications (2)

Publication Number Publication Date
CN113079124A CN113079124A (zh) 2021-07-06
CN113079124B true CN113079124B (zh) 2023-04-07

Family

ID=76608584

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010004189.7A Active CN113079124B (zh) 2020-01-03 2020-01-03 入侵行为检测方法、系统及电子设备

Country Status (1)

Country Link
CN (1) CN113079124B (zh)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115913789B (zh) * 2023-02-21 2023-05-26 北京微步在线科技有限公司 一种网络攻击的识别方法及装置
CN116644424A (zh) * 2023-07-25 2023-08-25 北京飞龙玥兵科技有限公司 计算装置安全保护方法及系统、电子设备、可读存储介质
CN118413399A (zh) * 2024-07-02 2024-07-30 厦门大学 一种判断业务网络互访安全性的方法、系统、介质及程序产品

Family Cites Families (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102111420A (zh) * 2011-03-16 2011-06-29 上海电机学院 基于动态云火墙联动的智能nips架构
CN103139246B (zh) * 2011-11-25 2016-06-15 百度在线网络技术(北京)有限公司 负载均衡设备和负载均衡及防御方法
US9363133B2 (en) * 2012-09-28 2016-06-07 Avaya Inc. Distributed application of enterprise policies to Web Real-Time Communications (WebRTC) interactive sessions, and related methods, systems, and computer-readable media
CN103561004B (zh) * 2013-10-22 2016-10-12 西安交通大学 基于蜜网的协同式主动防御系统
CN105245549A (zh) * 2015-10-30 2016-01-13 上海红神信息技术有限公司 一种抵抗DDoS攻击的主动防御方法
CN105577668A (zh) * 2015-12-25 2016-05-11 北京奇虎科技有限公司 一种网络连接控制方法和装置
CN108322454B (zh) * 2018-01-17 2020-09-15 杭州盈高科技有限公司 一种网络安全检测方法及装置
CN108234523B (zh) * 2018-03-08 2020-05-08 江苏省广播电视总台 一种应用于电视台的多层次内外网数据交互系统

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
内外网并存条件下的数据交换;刘永等;《中国数字医学》;20090815(第08期);全文 *
校内各单位自管自维服务器的安全防护解决方案;李向龙等;《网络安全技术与应用》;20180115(第01期);全文 *

Also Published As

Publication number Publication date
CN113079124A (zh) 2021-07-06

Similar Documents

Publication Publication Date Title
CN113079124B (zh) 入侵行为检测方法、系统及电子设备
CN110445770B (zh) 网络攻击源定位及防护方法、电子设备及计算机存储介质
US9848016B2 (en) Identifying malicious devices within a computer network
US10193929B2 (en) Methods and systems for improving analytics in distributed networks
US8332948B2 (en) Intelligent integrated network security device
US10135785B2 (en) Network security system to intercept inline domain name system requests
US20160352774A1 (en) Mitigation of computer network attacks
CN105141604A (zh) 一种基于可信业务流的网络安全威胁检测方法及系统
KR20090087437A (ko) 트래픽 검출 방법 및 장치
CN105610851A (zh) 防御分布式拒绝服务攻击的方法及系统
CN114500026B (zh) 一种网络流量处理方法、装置及存储介质
CN114449064A (zh) Tls加密流量的应用识别方法、装置和应用识别设备
Demırcı et al. Virtual security functions and their placement in software defined networks: A survey
Smyth et al. SECAP switch—Defeating topology poisoning attacks using P4 data planes
CN114221815A (zh) 一种基于编排蜜网的入侵检测方法、存储介质及系统
KR101598187B1 (ko) DDoS 공격 차단 방법 및 장치
KR101118398B1 (ko) 트래픽 방어 방법 및 장치
KR100770354B1 (ko) IPv6 네트워크에서 공격자 호스트의 IP를 역추적하는방법
CN116112229A (zh) 一种流量清洗方法、系统、存储介质以及智能终端
CN111683063B (zh) 消息处理方法、系统、装置、存储介质及处理器
Thamizhmaran Enhanced Secure Technique for Detecting Attacks in Network
US20200067945A1 (en) Botnet mitigation
CN114125030B (zh) 连接跟踪方法、装置、电子设备和计算机可读存储介质
Mosharraf et al. History-based throttling of distributed denial-of-service attacks
CN106254347B (zh) 一种web页面访问方法和装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant