CN113765922B - 一种反向探测进行风险控制的系统 - Google Patents
一种反向探测进行风险控制的系统 Download PDFInfo
- Publication number
- CN113765922B CN113765922B CN202111047891.2A CN202111047891A CN113765922B CN 113765922 B CN113765922 B CN 113765922B CN 202111047891 A CN202111047891 A CN 202111047891A CN 113765922 B CN113765922 B CN 113765922B
- Authority
- CN
- China
- Prior art keywords
- risk
- protocol
- detection
- coefficient
- port
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D30/00—Reducing energy consumption in communication networks
- Y02D30/50—Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Software Systems (AREA)
- Computing Systems (AREA)
- Virology (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明提供了一种反向探测进行风险控制的系统,所述系统包括客户端和应用服务端,所述应用服务端设置有探测服务模块、探测子服务群、以及风险系数管理模块;通过收集客户端请求时的信息,通过探测服务,对客户端的信息进行反向探测,达到判断客户端风险系数,进行主动防御的作用,提升软件系统的安全性。
Description
技术领域
本发明涉及软件安全技术领域,特别是一种反向探测进行风险控制的系统。
背景技术
软件安全性是使软件所控制的系统始终处于不危及人的生命财产和生态环境的安全状态。
风险评价是软件系统安全性工程中的一项重要内容,其目的是把注意力集中在安全性关键问题上,保证及时采取预防措施,避免日后进行昂贵的风险补偿行为。风险评价工作涉及多种可靠性安全性分析技术与分析项目,数据量大,数据关系复杂,是一项庞杂的工作,需要理清其工作程序与数据关系,以便使风险评价工作走向规范。目前国内关于在风险相关的专利,大部分是使用大数据进行数据分析的解决方案;这样需要的数据比较大,本方案通过反向探测的方式,达到客户端风险系数判断的效果,依赖的数据量少,执行简单,可主动防御,提升软件系统的安全性。
发明内容
为克服上述问题,本发明的目的是提供一种反向探测进行风险控制的系统,能进行主动防御的作用,提升软件系统的安全性。
本发明采用以下方案实现:一种反向探测进行风险控制的系统,所述系统包括客户端和应用服务端,所述应用服务端设置有探测服务模块、探测子服务群、以及风险系数管理模块;
所述风险系数管理模块,设置风险等级对应的风险阈值,形成风险等级表;
应用服务端将客户端请求时的信息进行收集,提交给探测服务模块;探测服务模块分析请求时的信息中的有效地址信息,组建需要探测的任务;将需要探测的任务,分发给探测子服务群中的每个节点;
对探测子服务群中的每个节点,进行联通性探测和服务类型探测,通过联通性探测获得端口数量,通过服务类型探测获得每个节点的协议计数;将收集到的全部任务的端口数量对应的风险系数和节点对应的协议风险系数进行相加得到最终风险值X,通过对比风险等级表来获得系统的风险等级,根据风险等级进行处理。
进一步的,所述风险系数管理模块,还设置应用服务端端口数量对应的风险系数M,形成端口系数表;设置协议对应的协议风险系数N,形成协议系数表;其中,联通性探测方式为:尝试与应用服务端对应的端口进行TCP连接建立,在设定的超时时间内结束的,建立成功,则计数1;在超时时间内未完成的,则连接失败不进行计数;所有的节点都进行联通性探测后获得的总计数值,即为端口数量值;
服务类型探测方式为:在联通性探测成功后,遍历所有风险系数管理模块中设置好的协议,根据协议的定义进行协议握手,如果握手成功即能通过协议系数表的找到协议对应的协议风险系数N;通过端口数量值来查询端口系数表得到风险系数M;将所有节点协议对应的协议风险系数N进行相加,再加上风险系数M,即能得到最终风险值X。
进一步的,所述组建需要探测的任务具体为:根据端口的数量组成对应数量的任务,即任务的数量与端口的数量相同,其中每个任务包含一个有效地址信息和一个端口。
进一步的,所述风险等级表内容包括:风险名称、风险名称对应的风险阈值、以及风险值对应的处理方式,所述风险名称包括:一级风险、二级风险、三级风险;一级风险阈值范围为30-60;二级风险阈值范围为70-100;三级风险阈值范围为110-150;其中,应用服务端根据探测结果的最终风险值X,判断X达到风险值的哪个级别,业务收到风险级别后,根据业务需要进行“正常处理”、“降级处理”、或者“拒绝”处理。
进一步的,所述端口系数表内容包括:端口数量、端口数量对应的风险系数M;所述协议系数表内容包括:端口名称、协议名称、协议对应的协议风险系数N;所述协议名称包括:FTP协议、SSH协议、Socks协议、HTTP协议、HTTPS协议等。
本发明的有益效果在于:1、主动有针对性的进行探测,根据探测结果进行防御,针对性强,误操作率低。2、沉淀探测结果数据,在有效期内可以重复应用于不同的项目,节省成本。
附图说明
图1是本发明的系统工作原理示意图。
图2是本发明的探测服务模块的工作原理流程示意图。
具体实施方式
下面结合附图对本发明做进一步说明。
请参阅图1所示,本发明的一种反向探测进行风险控制的系统,所述系统包括客户端和应用服务端,所述应用服务端设置有探测服务模块、探测子服务群、以及风险系数管理模块;
所述风险系数管理模块,设置风险等级对应的风险阈值,形成风险等级表;
应用服务端将客户端请求时的信息进行收集,提交给探测服务模块;探测服务模块分析请求时的信息中的有效地址信息,组建需要探测的任务;将需要探测的任务,分发给探测子服务群中的每个节点;
对探测子服务群中的每个节点,进行联通性探测和服务类型探测,通过联通性探测获得端口数量,通过服务类型探测获得每个节点的协议计数;将收集到的全部任务的端口数量对应的风险系数和节点对应的协议风险系数进行相加得到最终风险值X,通过对比风险等级表来获得系统的风险等级,根据风险等级进行处理。
如图2所示,本发明的所述风险系数管理模块,还设置应用服务端端口数量对应的风险系数M,形成端口系数表;设置协议对应的协议风险系数N,形成协议系数表;其中,联通性探测方式为:尝试与应用服务端对应的端口进行TCP连接建立,在设定的超时时间内结束的,建立成功,则计数1;在超时时间内未完成的,则连接失败不进行计数;所有的节点都进行联通性探测后获得的总计数值,即为端口数量值;
服务类型探测方式为:在联通性探测成功后,遍历所有风险系数管理模块中设置好的协议,根据协议的定义进行协议握手,如果握手成功即能通过协议系数表的找到协议对应的协议风险系数N;通过端口数量值来查询端口系数表得到风险系数M;将所有节点协议对应的协议风险系数N进行相加,再加上风险系数M,即能得到最终风险值X。
所述组建需要探测的任务具体为:根据端口的数量组成对应数量的任务,即任务的数量与端口的数量相同,其中每个任务包含一个有效地址信息和一个端口。
所述风险等级表内容包括:风险名称、风险名称对应的风险阈值、以及风险值对应的处理方式,所述风险名称包括:一级风险、二级风险、三级风险;一级风险阈值范围为30-60;二级风险阈值范围为70-100;三级风险阈值范围为110-150;其中,应用服务端根据探测结果的最终风险值X,判断X达到风险值的哪个级别,业务收到风险级别后,根据业务需要进行“正常处理”、“降级处理”、或者“拒绝”处理。
所述端口系数表内容包括:端口数量、端口数量对应的风险系数M;所述协议系数表内容包括:端口名称、协议名称、协议对应的协议风险系数N;所述协议名称包括:FTP协议、SSH协议、Socks协议、HTTP协议、HTTPS协议等。
下面结合一具体实施例对本发明做进一步说明:
本发明公开了一种方案,通过收集客户端请求时的信息,通过探测服务,对客户端的信息进行反向探测,达到判断客户端风险系数,进行主动防御的作用,该系统包括:客户端、应用服务端、探测服务模块、探测子服务群、风险系数管理模块;
主要步骤:
A:风险系统管理模块:
1)设置端口数量对应的风险系数(后续根据配置取值并定义为M),例如:1个端口,则M为1,2个端口,则M为3等;
2)设置协议对应的风险系数(后续根据配置取值并定义为N),例如:FTP协议的协议风险系统为50;SSH协议的协议风险系数为60,HTTP协议的协议风险系数为80;HTTPS协议的协议风险系数为80;Socks协议的协议风险系统为100;
3)设置风险阈值(后续根据配置取值并定义为X),例如:一级风险值X1=50;二级风险值X2=80等;
B:数据探测阶段
1)应用服务端将客户端请求时的信息进行收集,提交给数据探测服务。
2)探测服务模块,分析请求时的信息中的有效地址信息,组建需要探测的任务;组建任务流程为:根据有效地址和端口(1-65535)组成65535个任务,每个任务包含一个有效地址和一个端口。
3)探测服务模块,将需要探测的任务,分发给数据探测子服务群中的每个节点。
4)数据探测子服务群中的每个节点,进行联通性探测和服务类型探测,并计算分值,将分值返回给数据探测服务。
联通性探测方式,尝试与对端的端口进行TCP连接建立,在超时时间结束前,建立成功,则计数1;这个过程中的计数值与端口数量相同。
服务类型探测方式,在联通性探测成功后,遍历所有风险系统管理模块中设置好的协议,根据协议的定义进行协议握手,如果握手成功;则计数N;N的值就是手动协议对应的值。
5)数据探测服务,收集所有子探测服务的端口数和全部任务结果分值,根据端口数量通过风险系统管理模块中设备的端口与风险对应的值,得出M,将所有探测协议计数的N相加,得到最终的风险值X;X的计算规则是X=M+N1+N2+……。
C:数据使用阶段
1)应用服务端将客户端请求时的信息进行收集,提交给探测服务模块。
2)探测服务模块根据加载历史探测结果的数值,返回给应用服务端。
3)应用服务端根据探测结果的最终的风险值X,判断X达到风险阈值的哪个级别,业务收到风险级别后,根据业务需要“正常处理”、“降级处理”、“拒绝”等处理方案。即一级风险,业务进行正常处理,二级风险,业务进行降级处理,三级风险,业务拒绝进行操作处理。
方案示例表:
端口系数表参见:表1
表1
| 端口数量 | 风险值M(人工配置,运行过程可调整) |
| 1 | 1 |
| 2 | 3 |
| 3 | 6 |
| 4 | 10 |
协议系数表参见:表2
表2
| 协议名称 | 风险值N(人工配置,运行过程可调整) |
| FTP协议 | 50 |
| SSH协议 | 60 |
| HTTP协议 | 80 |
| HTTPS协议 | 80 |
| Socks协议 | 100 |
风险等级表参见:表3
表3
| 风险名称 | 风险名称对应的风险阈值 | 处理方式 |
| 一级风险 | 30-60 | 正常处理 |
| 二级风险 | 70-100 | 降级处理 |
| 三级风险 | 110-150 | 拒绝 |
方案案例:
假定收到一个来自9.9.9.9的请求,有效地址就是9.9.9.9,获取来源就是TCP连接的上一个节点;然后就分解成9.9.9.9:1~9.9.9.9:65535对应IP:端口的65535个任务;假定现在处理任务的节点有100个,那么第一个节点分配9.9.9.9:1~9.9.9.9:655,第二个节点分配9.9.9.9:656~9.9.9.9:1310,以此类推;假定最终只有80和1080两个端口是通的,并且探测出80对应的服务类型是HTTP协议,1080对应的服务类型是Socks协议,那么最终的风险值X是3+80+100=183。即2个端口对应的风险系数M为3,80端口对应的HTTP协议,该HTTP协议的协议风险系数为80;1080端口对应的Socks协议,该Socks协议的协议风险系数为100;则有:3+80+100=183。
以上所述仅为本发明的较佳实施例,凡依本发明申请专利范围所做的均等变化与修饰,皆应属本发明的涵盖范围。
Claims (4)
1.一种反向探测进行风险控制的系统,其特征在于:所述系统包括客户端和应用服务端,所述应用服务端设置有探测服务模块、探测子服务群、以及风险系数管理模块;
所述风险系数管理模块,设置风险等级对应的风险阈值,形成风险等级表;
应用服务端将客户端请求时的信息进行收集,提交给探测服务模块;探测服务模块分析请求时的信息中的有效地址信息,组建需要探测的任务;将需要探测的任务,分发给探测子服务群中的每个节点;
对探测子服务群中的每个节点,进行联通性探测和服务类型探测,通过联通性探测获得端口数量,通过服务类型探测获得每个节点的协议计数;将收集到的全部任务的端口数量对应的风险系数和节点对应的协议风险系数进行相加得到最终风险值X,通过对比风险等级表来获得系统的风险等级,根据风险等级进行处理;所述风险系数管理模块,还设置应用服务端端口数量对应的风险系数M,形成端口系数表;设置协议对应的协议风险系数N,形成协议系数表;其中,联通性探测方式为:尝试与应用服务端对应的端口进行TCP连接建立,在设定的超时时间内结束的,建立成功,则计数1;在超时时间内未完成的,则连接失败不进行计数;所有的节点都进行联通性探测后获得的总计数值,即为端口数量值;
服务类型探测方式为:在联通性探测成功后,遍历所有风险系数管理模块中设置好的协议,根据协议的定义进行协议握手,如果握手成功即能通过协议系数表的找到协议对应的协议风险系数N;通过端口数量值来查询端口系数表得到风险系数M;将所有节点协议对应的协议风险系数N进行相加,再加上风险系数M,即能得到最终风险值X。
2.根据权利要求1所述的一种反向探测进行风险控制的系统,其特征在于:所述组建需要探测的任务具体为:根据端口的数量组成对应数量的任务,即任务的数量与端口的数量相同,其中每个任务包含一个有效地址信息和一个端口。
3.根据权利要求1所述的一种反向探测进行风险控制的系统,其特征在于:所述风险等级表内容包括:风险名称、风险名称对应的风险阈值、以及风险值对应的处理方式,所述风险名称包括:一级风险、二级风险、三级风险;一级风险阈值范围为30-60;
二级风险阈值范围为70-100;三级风险阈值范围为110-150;其中,应用服务端根据探测结果的最终风险值X,判断X达到风险值的哪个级别,业务收到风险级别后,根据业务需要进行“正常处理”、“降级处理”、或者“拒绝”处理。
4.根据权利要求1所述的一种反向探测进行风险控制的系统,其特征在于:所述端口系数表内容包括:端口数量、端口数量对应的风险系数M;所述协议系数表内容包括:端口名称、协议名称、协议对应的协议风险系数N;所述协议名称包括:FTP协议、SSH协议、Socks协议、HTTP协议、HTTPS协议。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111047891.2A CN113765922B (zh) | 2021-09-08 | 2021-09-08 | 一种反向探测进行风险控制的系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111047891.2A CN113765922B (zh) | 2021-09-08 | 2021-09-08 | 一种反向探测进行风险控制的系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN113765922A CN113765922A (zh) | 2021-12-07 |
| CN113765922B true CN113765922B (zh) | 2023-03-14 |
Family
ID=78793723
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202111047891.2A Active CN113765922B (zh) | 2021-09-08 | 2021-09-08 | 一种反向探测进行风险控制的系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113765922B (zh) |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103220161A (zh) * | 2012-01-18 | 2013-07-24 | 深圳市腾讯计算机系统有限公司 | 一种服务器状态的探测方法和装置 |
| CN109522717A (zh) * | 2018-11-21 | 2019-03-26 | 云南财经大学 | 基于大数据的信息安全防御系统 |
| CN109660401A (zh) * | 2018-12-20 | 2019-04-19 | 中国电子科技集团公司第三十研究所 | 一种分布式网络资产探测方法 |
| CN110430100A (zh) * | 2019-08-27 | 2019-11-08 | 中国工商银行股份有限公司 | 网络连通性探测方法和装置 |
| CN111385260A (zh) * | 2018-12-28 | 2020-07-07 | 广州市百果园信息技术有限公司 | 一种端口探测方法、系统、服务器和存储介质 |
| CN113055379A (zh) * | 2021-03-11 | 2021-06-29 | 北京顶象技术有限公司 | 一种面向全网关键基础设施的风险态势感知方法和系统 |
| CN113329017A (zh) * | 2021-05-28 | 2021-08-31 | 江苏骏安信息测评认证有限公司 | 网络安全风险的检测系统及方法 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20160241574A1 (en) * | 2015-02-16 | 2016-08-18 | Taasera, Inc. | Systems and methods for determining trustworthiness of the signaling and data exchange between network systems |
| US11283826B2 (en) * | 2019-05-31 | 2022-03-22 | Servicenow, Inc. | Dynamic preview of security vulnerability levels in a managed network |
-
2021
- 2021-09-08 CN CN202111047891.2A patent/CN113765922B/zh active Active
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103220161A (zh) * | 2012-01-18 | 2013-07-24 | 深圳市腾讯计算机系统有限公司 | 一种服务器状态的探测方法和装置 |
| CN109522717A (zh) * | 2018-11-21 | 2019-03-26 | 云南财经大学 | 基于大数据的信息安全防御系统 |
| CN109660401A (zh) * | 2018-12-20 | 2019-04-19 | 中国电子科技集团公司第三十研究所 | 一种分布式网络资产探测方法 |
| CN111385260A (zh) * | 2018-12-28 | 2020-07-07 | 广州市百果园信息技术有限公司 | 一种端口探测方法、系统、服务器和存储介质 |
| CN110430100A (zh) * | 2019-08-27 | 2019-11-08 | 中国工商银行股份有限公司 | 网络连通性探测方法和装置 |
| CN113055379A (zh) * | 2021-03-11 | 2021-06-29 | 北京顶象技术有限公司 | 一种面向全网关键基础设施的风险态势感知方法和系统 |
| CN113329017A (zh) * | 2021-05-28 | 2021-08-31 | 江苏骏安信息测评认证有限公司 | 网络安全风险的检测系统及方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN113765922A (zh) | 2021-12-07 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US20200320106A1 (en) | System and method for improved anomaly detection using relationship graphs | |
| US10356106B2 (en) | Detecting anomaly action within a computer network | |
| US8621638B2 (en) | Systems and methods for classification of messaging entities | |
| DE60311185T2 (de) | Statistische Methoden zur Detektion von Angriffen durch Überflutung mittels TCP SYN Paketen | |
| US8806189B2 (en) | Apparatus for analyzing traffic | |
| DE60307581T2 (de) | Verbessertes geheimes Hashen der TCP SYN/FIN-Korrespondenz | |
| CN109995582B (zh) | 基于实时状态的资产设备管理系统及方法 | |
| US20120151593A1 (en) | Distributed denial of service attack detection apparatus and method, and distributed denial of service attack detection and prevention apparatus for reducing false-positive | |
| CN110417747B (zh) | 一种暴力破解行为的检测方法及装置 | |
| EP3223495A1 (en) | Detecting an anomalous activity within a computer network | |
| CN101730892A (zh) | 网络声誉评分 | |
| CN106534068A (zh) | 一种ddos防御系统中清洗伪造源ip的方法和装置 | |
| WO2014161281A1 (zh) | 联机处理数据的方法、设备及系统 | |
| CN104092588A (zh) | 一种基于SNMP与NetFlow结合的网络异常流量检测方法 | |
| CN113765922B (zh) | 一种反向探测进行风险控制的系统 | |
| CN102185788A (zh) | 一种基于临时邮箱的查找马甲账号的方法及系统 | |
| CN107682354B (zh) | 一种网络病毒检测方法、装置及设备 | |
| CN114513365A (zh) | 一种针对SYN Flood攻击的检测与防御方法 | |
| CN112787946B (zh) | 一种获取网络数据时网络阻塞造成的噪声数据消除方法 | |
| CN111565196B (zh) | 一种KNXnet/IP协议入侵检测方法、装置、设备及介质 | |
| CN116668080A (zh) | 一种流量异常评估方法及装置、电子设备和存储介质 | |
| CN113660666B (zh) | 一种中间人攻击的双向请求应答检测方法 | |
| CN109787996A (zh) | 雾计算中一种基于dql算法的伪装攻击检测方法 | |
| CN112287252B (zh) | 网站域名劫持检测方法、装置、设备及存储介质 | |
| CN108616594A (zh) | 基于dpdk的http旁路阻断方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |