CN113923051A - 一种新型内网异常ip发现技术 - Google Patents
一种新型内网异常ip发现技术 Download PDFInfo
- Publication number
- CN113923051A CN113923051A CN202111340179.1A CN202111340179A CN113923051A CN 113923051 A CN113923051 A CN 113923051A CN 202111340179 A CN202111340179 A CN 202111340179A CN 113923051 A CN113923051 A CN 113923051A
- Authority
- CN
- China
- Prior art keywords
- intranet
- abnormal
- network
- data packet
- events
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 230000002159 abnormal effect Effects 0.000 title claims abstract description 30
- 238000005516 engineering process Methods 0.000 title claims abstract description 5
- 238000007726 management method Methods 0.000 claims abstract description 17
- 238000000034 method Methods 0.000 claims abstract description 16
- 238000004458 analytical method Methods 0.000 claims abstract description 14
- 238000011160 research Methods 0.000 claims abstract description 10
- 238000002347 injection Methods 0.000 claims abstract description 9
- 239000007924 injection Substances 0.000 claims abstract description 9
- 230000008569 process Effects 0.000 claims abstract description 7
- 238000012550 audit Methods 0.000 claims abstract description 4
- 238000012360 testing method Methods 0.000 claims description 12
- 238000012827 research and development Methods 0.000 claims description 7
- 238000004891 communication Methods 0.000 claims description 4
- 238000007405 data analysis Methods 0.000 claims description 3
- 238000013439 planning Methods 0.000 claims description 3
- 230000033772 system development Effects 0.000 claims description 3
- 230000006399 behavior Effects 0.000 abstract description 5
- 230000000007 visual effect Effects 0.000 abstract description 3
- ZXQYGBMAQZUVMI-GCMPRSNUSA-N gamma-cyhalothrin Chemical compound CC1(C)[C@@H](\C=C(/Cl)C(F)(F)F)[C@H]1C(=O)O[C@H](C#N)C1=CC=CC(OC=2C=CC=CC=2)=C1 ZXQYGBMAQZUVMI-GCMPRSNUSA-N 0.000 description 9
- 241000700605 Viruses Species 0.000 description 3
- 230000008901 benefit Effects 0.000 description 3
- 230000008859 change Effects 0.000 description 3
- 230000000903 blocking effect Effects 0.000 description 2
- 238000013461 design Methods 0.000 description 2
- 238000001514 detection method Methods 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 239000011159 matrix material Substances 0.000 description 2
- 238000012544 monitoring process Methods 0.000 description 2
- 206010000117 Abnormal behaviour Diseases 0.000 description 1
- 241000272201 Columbiformes Species 0.000 description 1
- 206010033799 Paralysis Diseases 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 239000000969 carrier Substances 0.000 description 1
- 238000010219 correlation analysis Methods 0.000 description 1
- 230000006378 damage Effects 0.000 description 1
- 238000012217 deletion Methods 0.000 description 1
- 230000037430 deletion Effects 0.000 description 1
- 238000003745 diagnosis Methods 0.000 description 1
- 230000004069 differentiation Effects 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 230000035515 penetration Effects 0.000 description 1
- 238000004451 qualitative analysis Methods 0.000 description 1
- 230000035939 shock Effects 0.000 description 1
- 239000000243 solution Substances 0.000 description 1
- 239000004575 stone Substances 0.000 description 1
- 230000009385 viral infection Effects 0.000 description 1
- 238000012800 visualization Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明目提供了一种新型内网异常IP发现技术,在分析内网内部的异常IP问题上设计一个内网异常IP管理工具,(1)数据包的抓取及数据包解码分析;(2)内网异常IP的发现。在交换机的trunk口,通过数据抓包和分析,呈现每个VLAN的在线IP情况,发现内网中的异常IP,进而找出非法路由器;(3)网络威胁事件的研究;例入SQL注入攻击、ARP攻击等事件,通过数据抓包分析,研究相关事件的特征及原理;(4)终端识别,自动识别windows、linux、安卓、iphone等终端;(5)可视化展示,以报表、日志的形式记录用户的网络行为,管理员可进行安全审计,为信息管理人员掌握网络情况、发现并处理网络中的威胁事件提供了可靠依据,简化了工作流程,极大提高工作效率。
Description
技术领域
本发明属于互联网技术领域,具体涉及一种新型内网异常IP发现技术。
背景技术
在国内,据公安部统计,我国计算机犯罪的70%来源于内部泄密,各种重要数据、文件的滥用、丢失、被盗所造成的损失以亿计,因此如何建立安全的内网网络环境,防范来自网络内部的安全威胁,已经是重中之重。
物理隔离的局域网所面临的安全威胁既包括黑客入侵、病毒感染等,也包括内部人员泄密等,现在内网环境主要采取防火墙等技术手段防范,病毒、蠕虫、木马、后门和混合威胁的泛滥,使用传统的防火墙越来越难以检测和阻挡,无论是Windows、Unix以及Linux系统都容易成遭受网络攻击;办公PC、以及日益普及的IoT物联网终端(摄像头、门禁、考勤系统等)逐渐成为网络入侵和攻击的载体和工具。
而内部泄密包含范围较广,例如内部用户故意窃密、用户无意中的操作留下的安全漏洞以及误操作引起系统瘫痪等,而内网异常IP地址的存在确实大大增加了局域网被入侵的风险,因此,一个有效的内网IP管理系统能够大大保障内网的安全性和可靠性,本文从网管员日常繁琐的异常IP地址管理问题出发,特别是内网异常IP的发现和展示问题,开发了一套内网异常IP安全管理工具。
发明内容
本发明目提供了一种能够实时呈现网络中的非法攻击威胁事件,及时发现网络中的异常IP和终端识别,并能够记录相应日志的内网安全提升辅助工具。
本发明所采用的技术方案为:
一种新型内网异常IP发现技术,在分析内网内部的异常IP问题上设计一个内网异常IP管理工具,为信息管理人员掌握网络情况、发现并处理网络中的威胁事件提供了可靠依据,简化了工作流程,极大提高工作效率。
研究内容包括以下方面:
(1)数据包的抓取及数据包解码分析;
(2)内网异常IP的发现。在交换机的trunk口,通过数据抓包和分析,呈现每个VLAN的在线IP情况,发现内网中的异常IP,进而找出非法路由器;
(3)网络威胁事件的研究;
例入SQL注入攻击、ARP攻击等事件,通过数据抓包分析,研究相关事件的特征及原理。
(4)终端识别,自动识别windows、linux、安卓、iphone等终端;
(5)可视化展示,以报表、日志的形式记录用户的网络行为,管理员可进行安全审计。
本发明的具体流程如下:
1)研究数据包抓包及数据分析解码,这是本次研发的基础;
2)威胁事件及其通信原理研究,例如:例入SQL注入攻击、ARP攻击、恶意域名;
3)确定研发总体框架及方案,对系统进行整体规划;
4)确定系统开发方案,对要实现的功能分模块开发;
5)开发的系统分模块功能测试;
6)分模块功能测试后,系统整体功能测试;
7)入网测试;
8)验收。
本发明的有益效果为:
本发明研发的内网异常IP安全防护辅助工具是在网络数据抓包分析的基础上,
为了方便信息管理人员掌握网络的安全情况,提升网络的安全性。
本次研发主要目的是查找内网异常IP地址,发现内网中私设的小路由,提高网
络的安全可靠性,时时呈现网络安全状态,及时发现网络中的攻击、恶意域名、终端的在线情况,并记录相应日志。为信息管理人员掌握网络情况、发现并处理网络事件提供了可靠依据,简化了工作流程,极大提高了工作效率。
附图说明
图1是本发明的流程示意图。
具体实施方式
下面结合附图及具体实施例对本发明做进一步阐释。
实施例1:
本实施例本发明主要目的就是在分析内网内部的异常IP问题上设计一个内网异常IP管理工具,为信息管理人员掌握网络情况、发现并处理网络中的威胁事件提供了可靠依据,简化了工作流程,极大提高工作效率。
研究内容包括以下方面:
(1)数据包的抓取及数据包解码分析;
(2)内网异常IP的发现。在交换机的trunk口,通过数据抓包和分析,呈现每个VLAN的在线IP情况,发现内网中的异常IP,进而找出非法路由器;
(3)网络威胁事件的研究;
例入SQL注入攻击、ARP攻击等事件,通过数据抓包分析,研究相关事件的特征及原理。
(4)终端识别,自动识别windows、linux、安卓、iphone等终端;
(5)可视化展示。以报表、日志的形式记录用户的网络行为,管理员可进行安全审计;
具体流程如下:
1)研究数据包抓包及数据分析解码,这是本次研发的基础;
2)威胁事件及其通信原理研究,例如:例入SQL注入攻击、ARP攻击、恶意域名等;
3)确定研发总体框架及方案,对系统进行整体规划;
4)确定系统开发方案,对要实现的功能分模块开发;
5)开发的系统分模块功能测试;
6)分模块功能测试后,系统整体功能测试;
7)入网测试;
8)验收;
开发的系统包括内网异常IP发现、终端识别、网络端口扫描检测、网络故障定位和监控,实现边界安全防护提升等功能,
1.异常IP发现:
通过交换机trunk端口获取所有VLAN的信息,系统通过数据包解码分析实现IP资源统计区分,自主定义内网合法IP地址段和MAC地址,实现异常IP和MAC地址的发现,通过和交换机的配合实现异常IP的定位。并可以通过抓包分析识别网络中的windows、linux、安卓、iphone终端类型。
2.威胁事件发现:
通过深度网络会话关联分析、数据包解码分析,基于病毒、后门木马攻击、拒绝服务、恶意扫描等规则特性,从而对网络安全事件进行精准的定性分析,灵活的检测网络入侵。可以发现如特洛伊木马、冰河木马、灰鸽子木马、永恒之蓝木马、永恒之石木马等后门木马攻击;可以发现如ECHO_Cybercop_Scan、FTP_ADM_Scan、FTP_ISS_ScanHTTP_webspirs_request等可疑的扫描行为;可以检测到如尼姆达、拉面蠕虫、冲击波、Delphi梦魔等病毒;可以进行数据库攻击检测:SQL注入、猜解注入、数据库勒索、报警日志删除等数据库攻击。
3.网络端口扫描检测:
通过安全策略规则库,对网络端口扫描、后门木马、TCP、UDP等协议的渗透和攻击进行识别报警。
4.网络故障定位:
通过系统内置的网络专家诊断设置对ARP扫描、ARP广播风暴、IP地址冲突,IP回环通信等网络故障进行检测,利用矩阵图显示最大流量、最大节点数的TOP统计,用图形来可视化呈现网络故障。
5.防火墙的联动:
在通过对防火墙策略的数据解码和学习后,能够在发现威胁事件后自主生成防火墙的策略模板,实现机器对防火墙安全策略的自动配置,防火墙形成联动。
6、可视化:
对协议、网络流量等网络诸元的可视化分析,准确检测安全事件,有助于防御未知威胁。通过可视化的矩阵展示广播和异常会话的连接情况,直观的帮助我们分析网络异常状况。提供多种类型的阻断方式,并提供独立的存储空间单独保存阻断日志数据。
在实施例中,1.制定并实施严格的IP地址管理制度,包括:IP地址申请和发放
流程,IP地址变更流程,临时IP地址分配流程,机器MAC地址登记管理,IP地址非法使用的处罚制度;
2.运用技术措施,重点阻止个别用户的非法行为;
3.划分VLAN时,兼顾可管理性和易用性。在不增加网络复杂性的前提下,充分运用VLAN的划分手段,将权限相近的用户划分到同一个VLAN内,弱化非法使用同网段IP地址所带来的利益;
4.部署本套IP管理工具。能够及时发现网络中的异常IP地址,弥补人为查找的滞后性和局限性,提高网络的安全可靠性,发现恶意攻击等威胁事件,并记录相应日志。日常监视和日志功能,可以及时有效的发现网络中的IP地址变化、MAC地址变化、交换机端口改变等异常行为,帮助网络管理员查找网络故障。同时,网络管理员很方便的通过本IP管理工具,针对个别问题突出的用户,进行管理和查找;
5.与应用层的身份认证相结合,建立完整严密的多层次的安全认证体系,弱化IP地址在身份认证体系中的重要性。与IP地址非法使用的问题类似,用户名和口令也属于容易盗用的资源;
6.内部人员非法使用IP地址,并不是为了进行侵入和破坏,而是为了谋取某些特定的权限和利益。网络管理员除有法律手段和技术手段,还拥有各种内部管理手段。如果单纯使用技术手段来防范IP地址的非法使用,必然产生高昂的系统投资成本和人员开支。因此,只有综合运用管理手段和技术手段,来处理IP地址非法使用问题,才能实现高可靠性的系统运行与低成本的管理维护的统一。
本发明不局限于上述可选的实施方式,任何人在本发明的启示下都可得出其他各种形式的产品。上述具体实施方式不应理解成对本发明的保护范围的限制,本发明的保护范围应当以权利要求书中界定的为准,并且说明书可以用于解释权利要求书。
Claims (2)
1.一种新型内网异常IP发现技术,其特征在于,在分析内网内部的异常IP问题上设计一个内网异常IP管理工具,为信息管理人员掌握网络情况、发现并处理网络中的威胁事件提供了可靠依据,简化了工作流程,极大提高工作效率;
研究内容包括以下方面:
(1)数据包的抓取及数据包解码分析;
(2)内网异常IP的发现。在交换机的trunk口,通过数据抓包和分析,呈现每个VLAN的在线IP情况,发现内网中的异常IP,进而找出非法路由器;
(3)网络威胁事件的研究;
例入SQL注入攻击、ARP攻击等事件,通过数据抓包分析,研究相关事件的特征及原理;
(4)终端识别,自动识别windows、linux、安卓、iphone等终端;
(5)可视化展示,以报表、日志的形式记录用户的网络行为,管理员可进行安全审计。
2.根据权利要求1所述的一种带帽的笔,其特征在于:具体流程如下:
1)研究数据包抓包及数据分析解码,这是本次研发的基础;
2)威胁事件及其通信原理研究,例如:例入SQL注入攻击、ARP攻击、恶意域名;
3)确定研发总体框架及方案,对系统进行整体规划;
4)确定系统开发方案,对要实现的功能分模块开发;
5)开发的系统分模块功能测试;
6)分模块功能测试后,系统整体功能测试;
7)入网测试;
8)验收。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111340179.1A CN113923051A (zh) | 2021-11-12 | 2021-11-12 | 一种新型内网异常ip发现技术 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111340179.1A CN113923051A (zh) | 2021-11-12 | 2021-11-12 | 一种新型内网异常ip发现技术 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN113923051A true CN113923051A (zh) | 2022-01-11 |
Family
ID=79246159
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202111340179.1A Pending CN113923051A (zh) | 2021-11-12 | 2021-11-12 | 一种新型内网异常ip发现技术 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113923051A (zh) |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105871883A (zh) * | 2016-05-10 | 2016-08-17 | 上海交通大学 | 基于攻击行为分析的高级持续性威胁检测方法 |
| CN106657025A (zh) * | 2016-11-29 | 2017-05-10 | 神州网云(北京)信息技术有限公司 | 网络攻击行为检测方法及装置 |
| CN106878092A (zh) * | 2017-03-28 | 2017-06-20 | 上海以弈信息技术有限公司 | 一种多源异构数据融合的网络运维实时监控与分析呈现平台 |
| CN109474607A (zh) * | 2018-12-06 | 2019-03-15 | 连云港杰瑞深软科技有限公司 | 一种工业控制网络安全保护监测系统 |
| CN110149343A (zh) * | 2019-05-31 | 2019-08-20 | 国家计算机网络与信息安全管理中心 | 一种基于流的异常通联行为检测方法和系统 |
-
2021
- 2021-11-12 CN CN202111340179.1A patent/CN113923051A/zh active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105871883A (zh) * | 2016-05-10 | 2016-08-17 | 上海交通大学 | 基于攻击行为分析的高级持续性威胁检测方法 |
| CN106657025A (zh) * | 2016-11-29 | 2017-05-10 | 神州网云(北京)信息技术有限公司 | 网络攻击行为检测方法及装置 |
| CN106878092A (zh) * | 2017-03-28 | 2017-06-20 | 上海以弈信息技术有限公司 | 一种多源异构数据融合的网络运维实时监控与分析呈现平台 |
| CN109474607A (zh) * | 2018-12-06 | 2019-03-15 | 连云港杰瑞深软科技有限公司 | 一种工业控制网络安全保护监测系统 |
| CN110149343A (zh) * | 2019-05-31 | 2019-08-20 | 国家计算机网络与信息安全管理中心 | 一种基于流的异常通联行为检测方法和系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Stiawan et al. | Investigating brute force attack patterns in IoT network | |
| US7603709B2 (en) | Method and apparatus for predicting and preventing attacks in communications networks | |
| US8272054B2 (en) | Computer network intrusion detection system and method | |
| CN113037713B (zh) | 网络攻击的对抗方法、装置、设备及存储介质 | |
| CN113783886A (zh) | 一种基于情报和数据的电网智慧运维方法及其系统 | |
| Kazienko et al. | Intrusion Detection Systems (IDS) Part I-(network intrusions; attack symptoms; IDS tasks; and IDS architecture) | |
| u Nisa et al. | Detection of slow port scanning attacks | |
| CN117527297A (zh) | 一种基于域名的网络安全检测系统 | |
| Kanlayasiri et al. | A rule-based approach for port scanning detection | |
| Vokorokos et al. | Network security on the intrusion detection system level | |
| Li-Juan | Honeypot-based defense system research and design | |
| Zhu et al. | Scaffisd: a scalable framework for fine-grained identification and security detection of wireless routers | |
| Vokorokos et al. | Sophisticated honeypot mechanism-the autonomous hybrid solution for enhancing computer system security | |
| CN113923051A (zh) | 一种新型内网异常ip发现技术 | |
| Paliwal | Honeypot: A trap for attackers | |
| Abhijith et al. | First Level Security System for Intrusion Detection and Prevention in LAN | |
| Rattanalerdnusorn et al. | IoTDePT: Detecting security threats and pinpointing anomalies in an IoT environment | |
| Nizam et al. | Forensic analysis on false data injection attack on IoT environment | |
| Ao | Design and deployment of border security in multimedia network | |
| Anitha | Network Security using Linux Intrusion Detection System | |
| Kumar et al. | Network monitoring & analysis along with comparative study of honeypots | |
| Liu et al. | Towards a Collaborative and Systematic Approach to Alert Verification. | |
| Hashim et al. | Computer network intrusion detection software development | |
| Zhai et al. | Research on applications of honeypot in Campus Network security | |
| Perez | Practical SIEM tools for SCADA environment |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |