CN114024708A - 一种基于入侵检测技术的网络边界防护方法 - Google Patents

一种基于入侵检测技术的网络边界防护方法 Download PDF

Info

Publication number
CN114024708A
CN114024708A CN202111112356.0A CN202111112356A CN114024708A CN 114024708 A CN114024708 A CN 114024708A CN 202111112356 A CN202111112356 A CN 202111112356A CN 114024708 A CN114024708 A CN 114024708A
Authority
CN
China
Prior art keywords
network
gateway
intrusion detection
detection technology
terminal
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202111112356.0A
Other languages
English (en)
Inventor
杨利辛
黄晓波
钱正浩
刘晔
蒋道环
丁鹏程
赖蔚蔚
林强
杨永娇
陈守明
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Guangdong Electric Power Information Technology Co Ltd
Original Assignee
Guangdong Electric Power Information Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Guangdong Electric Power Information Technology Co Ltd filed Critical Guangdong Electric Power Information Technology Co Ltd
Priority to CN202111112356.0A priority Critical patent/CN114024708A/zh
Publication of CN114024708A publication Critical patent/CN114024708A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/23Clustering techniques
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/029Firewall traversal, e.g. tunnelling or, creating pinholes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities

Landscapes

  • Engineering & Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Mining & Analysis (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computing Systems (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Theoretical Computer Science (AREA)
  • Bioinformatics & Cheminformatics (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Evolutionary Computation (AREA)
  • Evolutionary Biology (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Bioinformatics & Computational Biology (AREA)
  • Artificial Intelligence (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种基于入侵检测技术的网络边界防护方法,包括,通过终端向网关发起连接请求;利用网关判断最大并发连接数是否达到阈值,若未达到阈值,则对网关和终端进行安全认证;若达到阈值,则开启连接,并通过检测机制对网关接入的网络数据进行检测;若安全认证成功,则建立安全隧道,网关通过安全隧道接入所述网络数据,并通过检测机制对网络数据进行检测;本发明通过设定安全认证机制和检测机制,提高了检测攻击的速度,且有效地阻止攻击。

Description

一种基于入侵检测技术的网络边界防护方法
技术领域
本发明涉及网络入侵检测的技术领域,尤其涉及一种基于入侵检测技术的网络边界防护方法。
背景技术
网络边界是指网络与其他网络的分界线;目前广泛使用的网络边界安全设备是防火墙,防火墙能够根据预先设置好的安全策略对进出网络边界的流量进行控制,但是防火墙缺少对进出流量的分析检测功能。虽然后来提出的入侵检测系统弥补了这个不足,但是入侵检测系统是被动的安全设备,它只是分析进出流量是否含有攻击的报文,却不能对含有攻击信息的报文进行处理,不能实时检测入侵,因此难以实时地中止入侵行为的发生。
发明内容
本部分的目的在于概述本发明的实施例的一些方面以及简要介绍一些较佳实施例。在本部分以及本申请的说明书摘要和发明名称中可能会做些简化或省略以避免使本部分、说明书摘要和发明名称的目的模糊,而这种简化或省略不能用于限制本发明的范围。
鉴于上述现有存在的问题,提出了本发明。
因此,本发明提供了一种基于入侵检测技术的网络边界防护方法,能够避免入侵检测系统自身安全性差、实时性差的问题。
为解决上述技术问题,本发明提供如下技术方案:包括,通过终端向网关发起连接请求;利用网关判断最大并发连接数是否达到阈值,若未达到所述阈值,则对所述网关和终端进行安全认证;若达到所述阈值,则开启连接,并通过检测机制对网关接入的网络数据进行检测;若安全认证成功,则建立安全隧道,网关通过所述安全隧道接入所述网络数据,并通过检测机制对所述网络数据进行检测。
作为本发明所述的基于入侵检测技术的网络边界防护方法的一种优选方案,其中:还包括,若检测到网络数据的安全性不符合要求,则命令网关拒绝终端或用户的接入。
作为本发明所述的基于入侵检测技术的网络边界防护方法的一种优选方案,其中:还包括,所述网关位于内外网络接口处的网络边界;若达到所述阈值,所述终端通过外部网络链路与所述网关连接。
作为本发明所述的基于入侵检测技术的网络边界防护方法的一种优选方案,其中:所述安全认证包括,利用Patricia二叉树检测并发连接数,并将所有并发连接数小于设定的阈值的节点的并发连接数加到父节点的并发连接数中,并删除该节点;根据网络接入设备发出的EAPOL请求对终端进行认证,若安全认证不成功,则拒绝终端的连接请求。
作为本发明所述的基于入侵检测技术的网络边界防护方法的一种优选方案,其中:所述检测机制包括,对网络数据的属性进行特征提取;数值化和标准化属性值;提取异常数据,对该异常数据对应的网络进行监控。
作为本发明所述的基于入侵检测技术的网络边界防护方法的一种优选方案,其中:所述特征提取包括,利用RS粗糙集理论对网络数据的属性进行筛选。
作为本发明所述的基于入侵检测技术的网络边界防护方法的一种优选方案,其中:所述数值化和标准化包括,将字符串型的属性值转换为数值型;计算属性值的均值和标准方差,根据所述均值和标准方差标准化属性值。
作为本发明所述的基于入侵检测技术的网络边界防护方法的一种优选方案,其中:所述提取异常数据包括,利用聚类算法对属性值根据相似度进行聚类划分,获得不同的类簇;根据类簇与类簇中心的距离分辨异常数据。
本发明的有益效果:本发明通过设定安全认证机制和检测机制,提高了检测攻击的速度,且有效地阻止攻击。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其它的附图。其中:
图1为本发明第一个实施例所述的一种基于入侵检测技术的网络边界防护方法的流程示意图。
具体实施方式
为使本发明的上述目的、特征和优点能够更加明显易懂,下面结合说明书附图对本发明的具体实施方式做详细的说明,显然所描述的实施例是本发明的一部分实施例,而不是全部实施例。基于本发明中的实施例,本领域普通人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本发明的保护的范围。
在下面的描述中阐述了很多具体细节以便于充分理解本发明,但是本发明还可以采用其他不同于在此描述的其它方式来实施,本领域技术人员可以在不违背本发明内涵的情况下做类似推广,因此本发明不受下面公开的具体实施例的限制。
其次,此处所称的“一个实施例”或“实施例”是指可包含于本发明至少一个实现方式中的特定特征、结构或特性。在本说明书中不同地方出现的“在一个实施例中”并非均指同一个实施例,也不是单独的或选择性的与其他实施例互相排斥的实施例。
本发明结合示意图进行详细描述,在详述本发明实施例时,为便于说明,表示器件结构的剖面图会不依一般比例作局部放大,而且所述示意图只是示例,其在此不应限制本发明保护的范围。此外,在实际制作中应包含长度、宽度及深度的三维空间尺寸。
同时在本发明的描述中,需要说明的是,术语中的“上、下、内和外”等指示的方位或位置关系为基于附图所示的方位或位置关系,仅是为了便于描述本发明和简化描述,而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作,因此不能理解为对本发明的限制。此外,术语“第一、第二或第三”仅用于描述目的,而不能理解为指示或暗示相对重要性。
本发明中除非另有明确的规定和限定,术语“安装、相连、连接”应做广义理解,例如:可以是固定连接、可拆卸连接或一体式连接;同样可以是机械连接、电连接或直接连接,也可以通过中间媒介间接相连,也可以是两个元件内部的连通。对于本领域的普通技术人员而言,可以具体情况理解上述术语在本发明中的具体含义。
实施例1
参照图1,为本发明的第一个实施例,该实施例提供了一种基于入侵检测技术的网络边界防护方法,包括:
S1:通过终端向网关发起连接请求。
网关位于内外网络接口处的网络边界。
S2:利用网关判断最大并发连接数是否达到阈值;
网关基于数字证书判断最大并发连接数是否达到阈值。
(1)若未达到阈值,则对网关和终端进行安全认证。
安全认证的步骤如下:
a)利用Patricia二叉树检测并发连接数,并将所有并发连接数小于设定的阈值的节点的并发连接数加到父节点的并发连接数中,并删除该节点;
b)根据网络接入设备(交换机)发出的EAPOL请求对终端进行认证。
①若安全认证成功,则建立安全隧道,网关通过安全隧道接入网络数据,并通过检测机制对网络数据进行检测。
安装autossh,用autossh建立安全隧道。
②若安全认证不成功,则拒绝终端的连接请求。
S3:若达到阈值,则开启连接,并通过检测机制对网关接入的网络数据进行检测。
若达到阈值,终端通过外部网络链路(如专用线路、PDN链路、互联网等)与网关连接。
其中,检测机制包括:
(1)对网络数据的属性进行特征提取;
考虑到RS算法选择的属性能够较好地判断入侵,因此本实施例利用RS粗糙集理论对网络数据的属性进行筛选,选出的特征子集为F={3,4,5,24,32,33}。
(2)数值化和标准化属性值;
①数值化
由于网络数据中包含一些字符串型数据,例如service、flag等,为了能够对其进行运算,需对其进行数值化,即将字符串型的属性值转换为数值型;
②标准化
计算属性值的均值m和标准方差s,根据均值和标准方差标准化属性值。
具体的,对于包含n个特征属性的K个数据的数据集A,分别由下式将其转换到标准化空间Anew
Figure BDA0003274284300000041
Figure BDA0003274284300000051
Figure BDA0003274284300000052
其中,i表示第i个特征属性。
(3)提取异常数据,对该异常数据对应的网络进行监控。
①利用聚类算法对属性值根据相似度进行聚类划分,获得不同的类簇;
本实施例采用欧氏距离计算相似度。
②根据类簇与类簇中心的距离分辨异常数据。
在同一个类簇中,正常数据离类簇中心距离较近,而异常数据离类簇中心距离较远;在不同的类簇之间,正常数据属于数据密集的类簇,而异常数据属于数据稀疏的类簇。
定义距离类簇中心十个单位长度的数据为正常数据,否则为异常数据。
若检测到网络数据的安全性不符合要求,即监测到Dos、Rrobing、R2L和U2R攻击时,则命令网关拒绝终端或用户的接入。
实施例2
为了对本方法中采用的技术效果加以验证说明,本实施例选择特征检测、入侵检测系统和采用本方法进行对比测试,以科学论证的手段对比试验结果,以验证本方法所具有的真实效果。
实验环境:2台终端、1台交换机、1台网关,利用软件产生的4类攻击:Dos、Rrobing、R2L和U2R,检测结果如下表所示。
表1:网络边界安全防护能力比较。
Figure BDA0003274284300000053
本方法结合检测机制和聚类算法,可以准确地发现攻击类型,并且可以准确地阻止攻击,平均拦截速度为8.7ms;而特征检测对攻击的平均拦截速度为125ms,入侵检测系统对攻击的平均拦截速度为24ms;相比之下本方法能够快速准确地发现和阻止各类攻击。
应说明的是,以上实施例仅用以说明本发明的技术方案而非限制,尽管参照较佳实施例对本发明进行了详细说明,本领域的普通技术人员应当理解,可以对本发明的技术方案进行修改或者等同替换,而不脱离本发明技术方案的精神和范围,其均应涵盖在本发明的权利要求范围当中。

Claims (8)

1.一种基于入侵检测技术的网络边界防护方法,其特征在于:包括,
通过终端向网关发起连接请求;
利用网关判断最大并发连接数是否达到阈值,若未达到所述阈值,则对所述网关和终端进行安全认证;
若达到所述阈值,则开启连接,并通过检测机制对网关接入的网络数据进行检测;
若安全认证成功,则建立安全隧道,网关通过所述安全隧道接入所述网络数据,并通过检测机制对所述网络数据进行检测。
2.如权利要求1所述的基于入侵检测技术的网络边界防护方法,其特征在于:还包括,
若检测到网络数据的安全性不符合要求,则命令网关拒绝终端或用户的接入。
3.如权利要求2所述的基于入侵检测技术的网络边界防护方法,其特征在于:还包括,
所述网关位于内外网络接口处的网络边界;
若达到所述阈值,所述终端通过外部网络链路与所述网关连接。
4.如权利要求3所述的基于入侵检测技术的网络边界防护方法,其特征在于:所述安全认证包括,
利用Patricia二叉树检测并发连接数,并将所有并发连接数小于设定的阈值的节点的并发连接数加到父节点的并发连接数中,并删除该节点;
根据网络接入设备发出的EAPOL请求对终端进行认证,若安全认证不成功,则拒绝终端的连接请求。
5.如权利要求1、2、3任一所述的基于入侵检测技术的网络边界防护方法,其特征在于:所述检测机制包括,
对网络数据的属性进行特征提取;
数值化和标准化属性值;
提取异常数据,对该异常数据对应的网络进行监控。
6.如权利要求5所述的基于入侵检测技术的网络边界防护方法,其特征在于:所述特征提取包括,
利用RS粗糙集理论对网络数据的属性进行筛选。
7.如权利要求6所述的基于入侵检测技术的网络边界防护方法,其特征在于:所述数值化和标准化包括,
将字符串型的属性值转换为数值型;
计算属性值的均值和标准方差,根据所述均值和标准方差标准化属性值。
8.如权利要求6或7所述的基于入侵检测技术的网络边界防护方法,其特征在于:所述提取异常数据包括,
利用聚类算法对属性值根据相似度进行聚类划分,获得不同的类簇;
根据类簇与类簇中心的距离分辨异常数据。
CN202111112356.0A 2021-09-23 2021-09-23 一种基于入侵检测技术的网络边界防护方法 Pending CN114024708A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202111112356.0A CN114024708A (zh) 2021-09-23 2021-09-23 一种基于入侵检测技术的网络边界防护方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202111112356.0A CN114024708A (zh) 2021-09-23 2021-09-23 一种基于入侵检测技术的网络边界防护方法

Publications (1)

Publication Number Publication Date
CN114024708A true CN114024708A (zh) 2022-02-08

Family

ID=80054648

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202111112356.0A Pending CN114024708A (zh) 2021-09-23 2021-09-23 一种基于入侵检测技术的网络边界防护方法

Country Status (1)

Country Link
CN (1) CN114024708A (zh)

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101127600A (zh) * 2006-08-14 2008-02-20 华为技术有限公司 一种用户接入认证的方法
WO2008030679A2 (en) * 2006-09-07 2008-03-13 Motorola, Inc. Tunneling security association messages through a mesh network
CN101313529A (zh) * 2006-01-20 2008-11-26 华为技术有限公司 一种无线局域网中隧道建立方法及系统
CN108737415A (zh) * 2018-05-16 2018-11-02 成都甄识科技有限公司 一种用于智能家居的安全认证方法
CN112180746A (zh) * 2020-09-02 2021-01-05 珠海格力电器股份有限公司 基于网关的家居设备控制方法、装置、存储介质及网关

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101313529A (zh) * 2006-01-20 2008-11-26 华为技术有限公司 一种无线局域网中隧道建立方法及系统
CN101127600A (zh) * 2006-08-14 2008-02-20 华为技术有限公司 一种用户接入认证的方法
WO2008030679A2 (en) * 2006-09-07 2008-03-13 Motorola, Inc. Tunneling security association messages through a mesh network
CN108737415A (zh) * 2018-05-16 2018-11-02 成都甄识科技有限公司 一种用于智能家居的安全认证方法
CN112180746A (zh) * 2020-09-02 2021-01-05 珠海格力电器股份有限公司 基于网关的家居设备控制方法、装置、存储介质及网关

Similar Documents

Publication Publication Date Title
CN107046468B (zh) 一种物理层认证门限确定方法及系统
CN116488939A (zh) 计算机信息安全监测方法、系统及存储介质
Zhe et al. DoS attack detection model of smart grid based on machine learning method
CN110166454A (zh) 一种基于自适应遗传算法的混合特征选择入侵检测方法
CN113420802B (zh) 基于改进谱聚类的报警数据融合方法
CN112699357A (zh) 一种大数据安全系统访问操作平台以及数据调阅方法
CN115766189B (zh) 一种多通道隔离安全防护方法及系统
CN116938507A (zh) 一种电力物联网安全防御终端及其控制系统
CN113435505A (zh) 一种安全用户画像的构建方法与装置
CN117150459A (zh) 零信任用户身份安全检测方法和系统
CN112202812A (zh) 基于区块链的水利物联网终端接入认证方法及系统
Zheng et al. Preprocessing method for encrypted traffic based on semisupervised clustering
Karimpour et al. Intrusion detection in network flows based on an optimized clustering criterion
CN111814121B (zh) 一种基于计算机系统的登录鉴权管理系统及方法
CN114024708A (zh) 一种基于入侵检测技术的网络边界防护方法
CN113645181A (zh) 一种基于孤立森林的分布式规约攻击检测方法及系统
RU2703329C1 (ru) Способ обнаружения несанкционированного использования сетевых устройств ограниченной функциональности из локальной сети и предотвращения исходящих от них распределенных сетевых атак
TWI676115B (zh) 用以管控與雲端服務系統認證之系統及方法
CN114666164B (zh) 一种计算机网络用户身份登录验证系统及方法
CN114640536A (zh) 一种数据访问监控方法
CN116248308A (zh) 一种基于零信任和边缘智能的物联网持续认证方法
CN113051558A (zh) 一种面向Slow HTTP POST攻击的数据包检测系统
US20210075823A1 (en) SYSTEMS AND METHODS FOR PREVENTING, THROUGH MACHINE LEARNING AND ACCESS FILTERING, DISTRIBUTED DENIAL OF SERVICE ("DDoS") ATTACKS ORIGINATING FROM IOT DEVICES
CN116582369B (zh) 一种在线签约的意愿认证的方法
US11954189B2 (en) Method and system for contextual user logon authentication

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination