CN114268458A - 一种终端公网安全通信用安全防护模块的防护方法 - Google Patents

Abstract

本发明涉及终端公网安全通信的防护方法技术领域，具体涉及一种终端公网安全通信用安全防护模块的防护方法；本发明设计的防护方法，能够应用多传感器数据融合理论建立网络空间的态势感知框架，通过推理识别攻击者身份、攻击速度、入侵行为、攻击意图和进行威胁分析等操作，快速区分网络攻击的攻击来源及攻击类别，然后使用不同的防御操作对Arp Attack、Land Attack、SYN Attack、ICMP SMURF Attack、ICMP unreachable host Attack、Ping Attack、Ping of Death Attack、Teardrop Attack等进行防护，能够在一定程度上提高终端公网安全通信的安全性，适用范围较广。

Description

一种终端公网安全通信用安全防护模块的防护方法

技术领域

本发明涉及终端公网安全通信的防护方法技术领域，具体涉及一种终端公网安全通信用安全防护模块的防护方法。

背景技术

国密局承接法规要求，编制了系列密码应用标准规范，其中在《信息系统密码应用基本要求》中提出了信息系统本体以及接入终端的密码应用要求。根据上述法律法规、技术规范要求，结合现有安全费控体系建设情况，以及高级量测体系中主站集中云化部署，终端智能化变为边缘计算节点的特点，需要从业务安全防护体系架构、平台服务、嵌入式模块等方面研制相关软硬件产品，以满足新一代智能量测业务安全防护要求。

终端公网安全通信模块使用场景中，串口连接集中器，无线网卡连接上游设备，中心连接IPSec安全网关。目前IPSec安全网关的高安全性是以对称密码为基础，而面对日益复杂的网络环境，终端公网安全通信模块设备极有可能受到网络攻击，影响业务，造成无法弥补的损失，因此，如何设计中能够在终端公网安全通信模块中增加防攻击功能的防护方法，成为了本领域技术让人员亟待解决的技术问题。

发明内容

解决的技术问题

针对现有技术所存在的上述缺点，本发明提供了一种终端公网安全通信用安全防护模块的防护方法，旨在使其能够在终端公网安全通信模块增加防攻击功能，可有效应对常见网络攻击，保证终端公网安全通信模块正常工作。

技术方案

为实现以上目的，本发明通过以下技术方案予以实现：

一种终端公网安全通信用安全防护模块的防护方法，包括以下防护步骤：

S1、对终端公网中传输的数据进行分析：首先应用多传感器数据融合理论建立网络空间的态势感知框架，通过推理识别攻击者身份、攻击速度、入侵行为、攻击意图和进行威胁分析等，进而感知网络空间安全态势并对网络安全攻击来源进行识别；

S2、区分网络攻击种类：识别网络攻击来源后，对不同种类的攻击行为进行防御，具体防御的网络攻击种类包括以下种类：Arp Attack、Land Attack、SYN Attack、ICMPSMURF Attack、ICMP unreachable host Attack、Ping Attack、Ping of Death Attack、Teardrop Attack等；

S3、针对不同种类网络攻击进行的防御方法包括以下方法：

1）对Arp Attack进行防御：ARP报文频率阈值，当ARP报文频率大于阈值时进入ArpArrack检测；

2）对Land Attack进行防御：对收到的TCP报文的源ip和目的ip进行判断，若一致则丢弃，否则继续进行计数处理；

3）对SYN Attack进行防御：预设SYN报文频率阈值，当SYN报文频率大于阈值时进入SYN Arrack检测；

4）对ICMP SMURF Attack进行防御：判断ICMP报文的地址是否为广播地址，若为广播地址则丢弃；

5）对ICMP unreachable host Attack进行防御：判断收到ICMP包类型是否为不可达，若是则丢弃；

6）对Ping Attack进行防御：预设Ping报文频率阈值，当Ping报文频率大于阈值时进入Ping Arrack检测；

7）对Ping of Death Attack进行防御：对收到的Ping包进行检测，若片偏移加报文长度超过65535，则丢弃该Ping包，否则继续后续处理；

8）对Teardrop Attack进行防御：网络安全设备将接收到的分片报文先放入缓存中，并根据源IP地址和目的ip地址对报文进行分组，源IP地址和目的IP地址相同报文归入一组，然后对报文的相关信息进行检查，丢弃分片信息存在错误的报文。为了防止缓存溢出，当缓存快要存满时，直接丢弃后续分片报文。

更进一步地，所述S3中对于Arp Attack的具体防御操作为：

a、记录ARP报文频率后检测报文频率是否大于阈值；

b、若报文频率不大于阈值时，则直接返回NF-ACCEPT，若报文频率大于阈值时，则是否检测报文源ip在本地表目的ip在远端表或报文源ip和目的ip为设备自身或在本地表目中；

c、若报文源ip在本地表目的ip在远端表或报文源ip和目的ip为设备自身或在本地表目中，则返回NF-ACCEPT，若报文源ip在本地表目的ip不在远端表或报文源ip和目的ip不为设备自身或不在本地表目中，则检测是否存在“报文源ip在本地表且目的ip在远端表”；

d、若存在则返回NF-ACCEPT，若不存在则返回NF-DROP。

更进一步地，所述S3中对于Land Attack的具体防御操作为：先判断源ip和目的ip是否相同，若不相同则返回NF-ACCEPT，若相同则进行计数处理，接着返回NF-DROP。

更进一步地，所述S3中对于SYN Attack的具体防御操作为：a、记录SYN报文频率，并判断报文频率是否大于阈值；b、若报文频率不大于阈值，则返回NF-ACCEPT，若报文频率大于阈值，则判断知否存在“报文源ip在本地表且目的ip在远端表”；c、若存在则返回NF-ACCEPT，若不存在则返回NF-DROP。

更进一步地，所述S3中对于ICMP SMURF Attack的具体防御操作为：先判断是否为广播地址，若不是广播地址则返回NF-ACCEPT，若是广播地址则进行计数处理，接着返回NF-DROP。

更进一步地，所述S3中对于ICMP unreachable host Attack的具体防御操作为：先判断ICMP包类型是否为不可达，若不是不可达则返回NF-ACCEPT，若是不可达则进行计数处理，接着返回NF-DROP。

更进一步地，所述S3中对于Ping Attack的具体防御操作为：a、记录Ping包频率，并检测报文频率是否大于阈值；b、若报文频率不大于阈值，则返回NF-ACCEPT，若报文频率大于阈值，则判断是否存在“报文源ip在本地表且目的ip在远端表”；c、若存在则返回NF-ACCEPT，若不存在则返回NF-DROP。

更进一步地，所述S3中对于Ping of Death Attack的具体防御操作为：先判断片偏移加报文长度是否大于65535，若不大于65535则返回NF-ACCEPT，若大于65535则进行计数处理，接着返回NF-DROP。

更进一步地，所述S3中对于Teardrop Attack的具体防御操作为：

a、计算报文ip端口协议ip的HASH值，遍历链表查找是否有相同HASH值的节点；

b、若无相同HASH值的节点，则记录报文HASH值、片偏移及报文长度，接着返回NF-ACCEPT，若有相同HASH值的节点，则遍历节点二维数组查找是否有相同的片偏移；

c、若有相同的片偏移，则返回NF-DROP，若没有相同的片偏移，则判断是否存在“片偏移＞节点的片偏移且片偏移＜节点片偏移+报文长度”；

d、若存在，则返回NF-DROP，若不存在，则将报文的片偏移及长度记录在该HASH值对应节点的二维数组中，并且返回NF-ACCEPT。

有益效果

采用本发明提供的技术方案，与已知的公有技术相比，具有如下有益效果：

本发明设计的防护方法，能够应用多传感器数据融合理论建立网络空间的态势感知框架，通过推理识别攻击者身份、攻击速度、入侵行为、攻击意图和进行威胁分析等操作，快速区分网络攻击的攻击来源及攻击类别，然后使用不同的防御操作对Arp Attack、LandAttack、SYN Attack、ICMP SMURF Attack、ICMP unreachable host Attack、Ping Attack、Ping of Death Attack、Teardrop Attack等进行防护，能够在一定程度上提高终端公网安全通信的安全性，适用范围较广。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍。显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本发明的防护步骤流程图图；

图2为本发明的Arp Attack攻击防御示意图；

图3为本发明的Land Attack攻击防御示意图；

图4为本发明的SYN Attack攻击防御示意图；

图5为本发明的ICMP SMURF Attack攻击防御示意图；

图6为本发明的ICMP unreachable host Attack攻击防御示意图；

图7为本发明的Ping Attack攻击防御示意图；

图8为本发明的Ping of Death Attack攻击防御示意图；

图9为本发明的Teardrop Attack攻击防御示意图。

具体实施方式

为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述。显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

下面结合实施例对本发明作进一步的描述。

实施例

本实施例的一种终端公网安全通信用安全防护模块的防护方法，参照图1，包括以下防护步骤：

S1、对终端公网中传输的数据进行分析：首先应用多传感器数据融合理论建立网络空间的态势感知框架，通过推理识别攻击者身份、攻击速度、入侵行为、攻击意图和进行威胁分析等，进而感知网络空间安全态势并对网络安全攻击来源进行识别；

S2、区分网络攻击种类：识别网络攻击来源后，对不同种类的攻击行为进行防御，具体防御的网络攻击种类包括以下种类：Arp Attack、Land Attack、SYN Attack、ICMPSMURF Attack、ICMP unreachable host Attack、Ping Attack、Ping of Death Attack、Teardrop Attack等；

S3、针对不同种类网络攻击进行的防御方法包括以下方法：

1）对Arp Attack进行防御：ARP报文频率阈值，当ARP报文频率大于阈值时进入ArpArrack检测；

2）对Land Attack进行防御：对收到的TCP报文的源ip和目的ip进行判断，若一致则丢弃，否则继续进行计数处理；

3）对SYN Attack进行防御：预设SYN报文频率阈值，当SYN报文频率大于阈值时进入SYN Arrack检测；

4）对ICMP SMURF Attack进行防御：判断ICMP报文的地址是否为广播地址，若为广播地址则丢弃；

5）对ICMP unreachable host Attack进行防御：判断收到ICMP包类型是否为不可达，若是则丢弃；

6）对Ping Attack进行防御：预设Ping报文频率阈值，当Ping报文频率大于阈值时进入Ping Arrack检测；

7）对Ping of Death Attack进行防御：对收到的Ping包进行检测，若片偏移加报文长度超过65535，则丢弃该Ping包，否则继续后续处理；

8）对Teardrop Attack进行防御：网络安全设备将接收到的分片报文先放入缓存中，并根据源IP地址和目的ip地址对报文进行分组，源IP地址和目的IP地址相同报文归入一组，然后对报文的相关信息进行检查，丢弃分片信息存在错误的报文。为了防止缓存溢出，当缓存快要存满时，直接丢弃后续分片报文。

参照图2，S3中对于Arp Attack的具体防御操作为：

a、记录ARP报文频率后检测报文频率是否大于阈值；

b、若报文频率不大于阈值时，则直接返回NF-ACCEPT，若报文频率大于阈值时，则是否检测报文源ip在本地表目的ip在远端表或报文源ip和目的ip为设备自身或在本地表目中；

c、若报文源ip在本地表目的ip在远端表或报文源ip和目的ip为设备自身或在本地表目中，则返回NF-ACCEPT，若报文源ip在本地表目的ip不在远端表或报文源ip和目的ip不为设备自身或不在本地表目中，则检测是否存在“报文源ip在本地表且目的ip在远端表”；

d、若存在则返回NF-ACCEPT，若不存在则返回NF-DROP。

参照图3，S3中对于Land Attack的具体防御操作为：先判断源ip和目的ip是否相同，若不相同则返回NF-ACCEPT，若相同则进行计数处理，接着返回NF-DROP。

参照图4，S3中对于SYN Attack的具体防御操作为：a、记录SYN报文频率，并判断报文频率是否大于阈值；b、若报文频率不大于阈值，则返回NF-ACCEPT，若报文频率大于阈值，则判断知否存在“报文源ip在本地表且目的ip在远端表”；c、若存在则返回NF-ACCEPT，若不存在则返回NF-DROP。

参照图5，S3中对于ICMP SMURF Attack的具体防御操作为：先判断是否为广播地址，若不是广播地址则返回NF-ACCEPT，若是广播地址则进行计数处理，接着返回NF-DROP。

参照图6，S3中对于ICMP unreachable host Attack的具体防御操作为：先判断ICMP包类型是否为不可达，若不是不可达则返回NF-ACCEPT，若是不可达则进行计数处理，接着返回NF-DROP。

参照图7，S3中对于Ping Attack的具体防御操作为：a、记录Ping包频率，并检测报文频率是否大于阈值；b、若报文频率不大于阈值，则返回NF-ACCEPT，若报文频率大于阈值，则判断是否存在“报文源ip在本地表且目的ip在远端表”；c、若存在则返回NF-ACCEPT，若不存在则返回NF-DROP。

参照图8，S3中对于Ping of Death Attack的具体防御操作为：先判断片偏移加报文长度是否大于65535，若不大于65535则返回NF-ACCEPT，若大于65535则进行计数处理，接着返回NF-DROP。

参照图9，S3中对于Teardrop Attack的具体防御操作为：

a、计算报文ip端口协议ip的HASH值，遍历链表查找是否有相同HASH值的节点；

b、若无相同HASH值的节点，则记录报文HASH值、片偏移及报文长度，接着返回NF-ACCEPT，若有相同HASH值的节点，则遍历节点二维数组查找是否有相同的片偏移；

c、若有相同的片偏移，则返回NF-DROP，若没有相同的片偏移，则判断是否存在“片偏移＞节点的片偏移且片偏移＜节点片偏移+报文长度”；

d、若存在，则返回NF-DROP，若不存在，则将报文的片偏移及长度记录在该HASH值对应节点的二维数组中，并且返回NF-ACCEPT。

以上实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不会使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。

Claims (9)

1.一种终端公网安全通信用安全防护模块的防护方法，其特征在于：包括以下防护步骤：

S1、对终端公网中传输的数据进行分析：首先应用多传感器数据融合理论建立网络空间的态势感知框架，通过推理识别攻击者身份、攻击速度、入侵行为、攻击意图和进行威胁分析等，进而感知网络空间安全态势并对网络安全攻击来源进行识别；

S2、区分网络攻击种类：识别网络攻击来源后，对不同种类的攻击行为进行防御，具体防御的网络攻击种类包括以下种类：Arp Attack、Land Attack、SYN Attack、ICMP SMURFAttack、ICMP unreachable host Attack、Ping Attack、Ping of Death Attack、TeardropAttack等；

S3、针对不同种类网络攻击进行的防御方法包括以下方法：

1）对Arp Attack进行防御：ARP报文频率阈值，当ARP报文频率大于阈值时进入ArpArrack检测；

2）对Land Attack进行防御：对收到的TCP报文的源ip和目的ip进行判断，若一致则丢弃，否则继续进行计数处理；

3）对SYN Attack进行防御：预设SYN报文频率阈值，当SYN报文频率大于阈值时进入SYNArrack检测；

4）对ICMP SMURF Attack进行防御：判断ICMP报文的地址是否为广播地址，若为广播地址则丢弃；

5）对ICMP unreachable host Attack进行防御：判断收到ICMP包类型是否为不可达，若是则丢弃；

6）对Ping Attack进行防御：预设Ping报文频率阈值，当Ping报文频率大于阈值时进入Ping Arrack检测；

7）对Ping of Death Attack进行防御：对收到的Ping包进行检测，若片偏移加报文长度超过65535，则丢弃该Ping包，否则继续后续处理；

8）对Teardrop Attack进行防御：网络安全设备将接收到的分片报文先放入缓存中，并根据源IP地址和目的ip地址对报文进行分组，源IP地址和目的IP地址相同报文归入一组，然后对报文的相关信息进行检查，丢弃分片信息存在错误的报文；

为了防止缓存溢出，当缓存快要存满时，直接丢弃后续分片报文。

2.根据权利要求1所述的一种终端公网安全通信用安全防护模块的防护方法，其特征在于，所述S3中对于Arp Attack的具体防御操作为：

a、记录ARP报文频率后检测报文频率是否大于阈值；

b、若报文频率不大于阈值时，则直接返回NF-ACCEPT，若报文频率大于阈值时，则是否检测报文源ip在本地表目的ip在远端表或报文源ip和目的ip为设备自身或在本地表目中；

c、若报文源ip在本地表目的ip在远端表或报文源ip和目的ip为设备自身或在本地表目中，则返回NF-ACCEPT，若报文源ip在本地表目的ip不在远端表或报文源ip和目的ip不为设备自身或不在本地表目中，则检测是否存在“报文源ip在本地表且目的ip在远端表”；

d、若存在则返回NF-ACCEPT，若不存在则返回NF-DROP。

3.根据权利要求1所述的一种终端公网安全通信用安全防护模块的防护方法，其特征在于，所述S3中对于Land Attack的具体防御操作为：先判断源ip和目的ip是否相同，若不相同则返回NF-ACCEPT，若相同则进行计数处理，接着返回NF-DROP。

4.根据权利要求1所述的一种终端公网安全通信用安全防护模块的防护方法，其特征在于，所述S3中对于SYN Attack的具体防御操作为：a、记录SYN报文频率，并判断报文频率是否大于阈值；b、若报文频率不大于阈值，则返回NF-ACCEPT，若报文频率大于阈值，则判断知否存在“报文源ip在本地表且目的ip在远端表”；c、若存在则返回NF-ACCEPT，若不存在则返回NF-DROP。

5.根据权利要求1所述的一种终端公网安全通信用安全防护模块的防护方法，其特征在于，所述S3中对于ICMP SMURF Attack的具体防御操作为：先判断是否为广播地址，若不是广播地址则返回NF-ACCEPT，若是广播地址则进行计数处理，接着返回NF-DROP。

6.根据权利要求1所述的一种终端公网安全通信用安全防护模块的防护方法，其特征在于，所述S3中对于ICMP unreachable host Attack的具体防御操作为：先判断ICMP包类型是否为不可达，若不是不可达则返回NF-ACCEPT，若是不可达则进行计数处理，接着返回NF-DROP。

7.根据权利要求1所述的一种终端公网安全通信用安全防护模块的防护方法，其特征在于，所述S3中对于Ping Attack的具体防御操作为：a、记录Ping包频率，并检测报文频率是否大于阈值；b、若报文频率不大于阈值，则返回NF-ACCEPT，若报文频率大于阈值，则判断是否存在“报文源ip在本地表且目的ip在远端表”；c、若存在则返回NF-ACCEPT，若不存在则返回NF-DROP。

8.根据权利要求1所述的一种终端公网安全通信用安全防护模块的防护方法，其特征在于，所述S3中对于Ping of Death Attack的具体防御操作为：先判断片偏移加报文长度是否大于65535，若不大于65535则返回NF-ACCEPT，若大于65535则进行计数处理，接着返回NF-DROP。

9.根据权利要求1所述的一种终端公网安全通信用安全防护模块的防护方法，其特征在于，所述S3中对于Teardrop Attack的具体防御操作为：

a、计算报文ip端口协议ip的HASH值，遍历链表查找是否有相同HASH值的节点；

b、若无相同HASH值的节点，则记录报文HASH值、片偏移及报文长度，接着返回NF-ACCEPT，若有相同HASH值的节点，则遍历节点二维数组查找是否有相同的片偏移；

c、若有相同的片偏移，则返回NF-DROP，若没有相同的片偏移，则判断是否存在“片偏移＞节点的片偏移且片偏移＜节点片偏移+报文长度”；

d、若存在，则返回NF-DROP，若不存在，则将报文的片偏移及长度记录在该HASH值对应节点的二维数组中，并且返回NF-ACCEPT。

Images