CN115102727A - 基于动态ip黑名单的网络入侵主动防御系统及方法 - Google Patents
基于动态ip黑名单的网络入侵主动防御系统及方法 Download PDFInfo
- Publication number
- CN115102727A CN115102727A CN202210645186.0A CN202210645186A CN115102727A CN 115102727 A CN115102727 A CN 115102727A CN 202210645186 A CN202210645186 A CN 202210645186A CN 115102727 A CN115102727 A CN 115102727A
- Authority
- CN
- China
- Prior art keywords
- attack
- address
- module
- client
- active defense
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 230000007123 defense Effects 0.000 title claims abstract description 92
- 238000000034 method Methods 0.000 title claims abstract description 27
- 238000001514 detection method Methods 0.000 claims abstract description 70
- 230000000903 blocking effect Effects 0.000 claims abstract description 32
- 238000001914 filtration Methods 0.000 claims abstract description 13
- 238000004364 calculation method Methods 0.000 claims abstract description 12
- 230000009471 action Effects 0.000 claims description 38
- 230000009545 invasion Effects 0.000 claims description 29
- 230000000007 visual effect Effects 0.000 claims description 19
- 206010000117 Abnormal behaviour Diseases 0.000 claims description 11
- 238000012545 processing Methods 0.000 claims description 9
- 230000000694 effects Effects 0.000 abstract description 4
- 238000004458 analytical method Methods 0.000 description 2
- 230000006399 behavior Effects 0.000 description 2
- 238000011161 development Methods 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 238000012544 monitoring process Methods 0.000 description 2
- 230000008569 process Effects 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 230000000977 initiatory effect Effects 0.000 description 1
- 238000005259 measurement Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000008447 perception Effects 0.000 description 1
- 230000000750 progressive effect Effects 0.000 description 1
- 230000004044 response Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/56—Provisioning of proxy services
- H04L67/568—Storing data temporarily at an intermediate stage, e.g. caching
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开了一种基于动态IP黑名单的网络入侵主动防御系统及方法,系统包括:IP阻断模块、IP地址锁定模块、Http/Https请求接收模块、预过滤模块、主动防御检测模块和威胁度计算模块;通过IP阻断模块、预过滤模块和主动防御检测模块实现对恶意IP地址访问请求依次进行初始化阻断、初步检测过滤和主动检测等多级防御检测,降低主动防御漏报和误报率,满足了高性能的要求。通过威胁度计算模块,对动态IP黑名单进行动态实时更新,提高了防御效果和执行效率。
Description
技术领域
本发明涉及网络安全技术领域,更具体的说是涉及一种基于动态IP黑名单的网络入侵主动防御系统及方法。
背景技术
随着计算机网络技术的高速发展和普及,信息化已成为人类社会发展的大趋势。但是,由于计算机网络具有联结形式多样性,终端分布不均匀性和网络额开放性、互联性等特征,致使网络容易收到黑客、恶意软件和其他不轨行为的攻击,威胁网络信息的安全。
传统的安全防御措施大多是通过分析某些设备安全设备的日志对已经发生的攻击行为进行分析和监测,基本都是被动防御的思路,缺乏网络安全态势感知与联动预警的能力,防御效果差,且无法对入侵详情进行自动统计和可视化显示。
因此,如何提供一种能够对网络进行动态实时主动防御,且能对入侵详情进行可视化显示的主动防御系统及方法是本领域技术人员亟需解决的问题。
发明内容
有鉴于此,本发明提供了一种基于动态IP黑名单的网络入侵主动防御系统及方法,能够Web网络进行动态实时主动防御,并能对入侵详情进行可视化显示,提高了防御效果和执行效率。
为了实现上述目的,本发明采用如下技术方案:
一种基于动态IP黑名单的网络入侵主动防御系统,包括:IP阻断模块、IP地址锁定模块、Http/Https请求接收模块、预过滤模块、主动防御检测模块和威胁度计算模块;
所述IP阻断模块设置于防火墙中,其用于对客户机进行初始化阻断,并将客户机地址添加至所述第一IP地址锁定模块中的IP地址共享池中;
所述Http/Https请求接收模块用于对客户机的访问请求进行捕获,并针对Https协议进行SSL解密和加密,对各种编码和字符集进行标准化处理,将访问请求缓存至接受队列中等待被检测;
所述预过滤模块用于对客户机地址进行初步检测,若未通过初步检测,则阻止访问请求,若通过初步检测,则将访问请求发送到所述主动防御检测模块;
所述主动防御检测模块用于对当前周期访问请求中出现的网络异常行为和WEB内容进行分析,如果检测到疑似攻击入侵动作,则进行客户机地址阻断的同时,将疑似攻击入侵动作以日志形式进行缓存并存储;
所述威胁度计算模块用于对同一周期内缓存的日志进行分析,计算客户机地址的威胁系数,并将客户机地址和对应的威胁系数添加至动态IP黑名单中;
所述IP地址锁定模块用于对动态IP黑名单中的地址进行锁定,并将锁定的地址存放至防火墙IP阻断模块。
进一步的,在上述一种基于动态IP黑名单的网络入侵主动防御系统中,所述主动防御检测模块包括:主动防御检测单元、IP地址锁定单元、日志缓存单元、日志存储单元和转发单元;
所述主动防御检测单元用于获取消息队列中等待被检测的访问请求,对当前周期访问请求中出现的网络异常行为和WEB内容进行分析,如果未检测到疑似攻击入侵动作,则将访问请求通过所述转发单元发送至WEB服务器;
所述IP地址锁定单元用于在所述主动防御检测单元检测到疑似攻击入侵动作时,对客户机地址进行阻断;
所述日志缓存单元用于在所述主动防御检测单元检测到疑似攻击入侵动作时,将疑似攻击入侵动作以日志形式进行缓存;
所述日志存储单元用于在所述主动防御检测单元检测到疑似攻击入侵动作时,将疑似攻击入侵动作以日志形式进行存储,得到攻击日志。
进一步的,在上述一种基于动态IP黑名单的网络入侵主动防御系统中,还包括:可视化显示模块;
所述可视化显示模块用于对存储的日志进行分析,得到可视化图;所述可视化图由入口文件视图、主动防御分时统计图、入侵IP地址统计图和受侵网站统计图组成;
所述入口文件视图用于对入口的文件进行分时攻击次数统计,并可视化显示相关文件名;
所述主动防御分时统计图用于实时对主动防御攻击次数进行可视化显示;
所述入侵IP地址统计图用于实时对入侵IP地址和次数进行可视化显示;
所述受侵网站统计图用于实时对受侵网站和次数进行可视化显示。
进一步的,在上述一种基于动态IP黑名单的网络入侵主动防御系统中,所述预过滤模块用于判断客户机地址是否存在于动态IP黑名单中,若存在,则将客户机地址的威胁系数数值与预设值进行对比,大于预设值,则阻止访问请求,小于预设值或不存在于动态IP黑名单中,则将访问请求发送至所述主动防御检测模块进行进一步检测。
进一步的,在上述一种基于动态IP黑名单的网络入侵主动防御系统中,所述威胁度计算模块还用于当动态IP黑名单中某一IP地址对应的威胁系数数值小于等于零时,将该IP地址从动态IP黑名单中移除。
本发明还公开一种基于动态IP黑名单的网络入侵主动防御方法,包括:
对客户机进行初始化阻断,并将客户机地址进行锁定,并存放于IP地址共享池中;
对客户机的访问请求进行捕获,并针对Https协议进行SSL解密和加密,对各种编码和字符集进行标准化处理,将访问请求缓存至接受队列中等待被检测;
对客户机地址进行初步检测,若未通过初步检测,则阻止访问请求,若通过初步检测,则对访问请求进行主动防御检测;
对当前周期访问请求中出现的网络异常行为和WEB内容进行分析,如果检测到疑似攻击入侵动作,则进行客户机地址阻断的同时,将疑似攻击入侵动作以日志形式进行缓存并存储;
对同一周期内缓存的日志进行分析,计算客户机地址的威胁系数,并将客户机地址和对应的威胁系数添加至动态IP黑名单中;
对动态IP黑名单中的地址进行锁定,并将锁定的地址存放至防火墙中,后续锁定的地址访问防火墙时,直接阻断。
进一步的,在上述一种基于动态IP黑名单的网络入侵主动防御方法中,还包括:
对当前周期访问请求中出现的网络异常行为和WEB内容进行分析时,如果未检测到疑似攻击入侵动作,则将访问请求转发至WEB服务器。
进一步的,在上述一种基于动态IP黑名单的网络入侵主动防御方法中,客户机地址的威胁系数的计算过程为:
分析所存储的攻击入侵动作日志,确定不同攻击源地址IP1,IP2,IP3,…,IPi对应的攻击事件子集A1,A2,…Ai;
根据IPi对应的攻击事件子集Ai中不同频次、不同时间段、不同地域、不同规则的重要性,分别确定IPi对应的攻击事件子集Ai中当前周期的攻击频次、攻击时间段、攻击地域、攻击规则的威胁系数;
根据IPi对应的攻击事件子集Ai中不同频次、不同时间段、不同地域、不同规则对WEB中网络的影响程度,分别为IPi对应的攻击事件子集Ai中当前周期的攻击频次、攻击时间段、攻击地域、攻击规则赋予威胁系数权值;
对当前周期IPi对应的攻击事件子集Ai中攻击频次、攻击时间段、攻击地域、攻击规则的威胁系数和威胁系数权值进行加权求和,得到攻击源地址为IPi的客户机当前周期的威胁系数;威胁系数的计算公式为:
Threat(IPi)=λ1F(IPi)+λ2T{IPi)+λ3S(IPi)+λ4R(IPi)
其中,F(IPi)=Frequency/N;T(IPi)=Time/N;S(IPi)=Region/N;R(IPi)=Rule/N;N表示不同目标主机的总数;Frequency、Time、Region、Rule分别表示IPi对应的攻击事件子集Ai中攻击频次、攻击时间段、攻击地域、攻击规则对应的威胁系数;λ1、λ2、λ3、λ4分别表示IPi对应的攻击事件子集Ai中攻击频次、攻击时间段、攻击地域、攻击规则的威胁系数权值,且λ1+λ2+λ3+λ4=1。
进一步的,在上述一种基于动态IP黑名单的网络入侵主动防御方法中,还包括:
当动态IP黑名单中某一IP地址对应的威胁系数数值小于等于零时,将该IP地址从动态IP黑名单中移除。
进一步的,在上述一种基于动态IP黑名单的网络入侵主动防御方法中,还包括:
对存储的日志进行分析,得到可视化图;所述可视化图由入口文件视图、主动防御分时统计图、入侵IP地址统计图和受侵网站统计图组成;
所述入口文件视图用于对入口的文件进行分时攻击次数统计,并可视化显示相关文件名;
所述主动防御分时统计图用于实时对主动防御攻击次数进行可视化显示;
所述入侵IP地址统计图用于实时对入侵IP地址和次数进行可视化显示;
所述受侵网站统计图用于实时对受侵网站和次数进行可视化显示。
经由上述的技术方案可知,与现有技术相比,本发明公开提供了一种基于动态IP黑名单的网络入侵主动防御系统及方法,能够对Web网络进行动态实时主动防御,解决了HTTPS协议的攻击和Web应用层的各种变种攻击问题。同时,本发明提供强大的分析、处理能力,整个检测过程包括对恶意IP地址访问请求进行初始化阻断、初步检测过滤和主动检测等多级防御检测,降低主动防御漏报和误报率,满足了高性能的要求。通过动态IP黑名单的动态实时更新,实时将恶意地址加入黑名单,以便下一次访问初始便进行阻断,提高了防御效果和执行效率。本发明还提供可视化入侵监测度量,便于对入侵详情进行直观的可视化显示。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。
图1为本发明提供的基于动态IP黑名单的网络入侵主动防御系统的结构示意图;
图2为本发明提供的主动防御分时统计图;
图3为本发明提供的基于动态IP黑名单的网络入侵主动防御系统的实现模块组成图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
如图1所示,本发明实施例公开了一种基于动态IP黑名单的网络入侵主动防御系统,包括:IP阻断模块、IP地址锁定模块、Http/Https请求接收模块、预过滤模块、主动防御检测模块和威胁度计算模块;
IP阻断模块设置于防火墙中,其用于对客户机进行初始化阻断,并将客户机地址添加至第一IP地址锁定模块中的IP地址共享池中;
Http/Https请求接收模块用于对客户机的访问请求进行捕获,并针对Https协议进行SSL解密和加密,对各种编码和字符集进行标准化处理,将访问请求缓存至接受队列中等待被检测;
预过滤模块用于对客户机地址进行初步检测,若未通过初步检测,则阻止访问请求,若通过初步检测,则将访问请求发送到主动防御检测模块;
主动防御检测模块用于对当前周期访问请求中出现的网络异常行为和WEB内容进行分析,如果检测到疑似攻击入侵动作,则进行客户机地址阻断的同时,将疑似攻击入侵动作以日志形式进行缓存并存储;
威胁度计算模块用于对同一周期内缓存的日志进行分析,计算客户机地址的威胁系数,并将客户机地址和对应的威胁系数添加至动态IP黑名单中;
IP地址锁定模块用于对动态IP黑名单中的地址进行锁定,并将锁定的地址存放至防火墙IP阻断模块,以在后续该客户机访问时,直接阻断。
在一个具体实施例中,主动防御检测模块包括:主动防御检测单元、IP地址锁定单元、日志缓存单元、日志存储单元和转发单元;
主动防御检测单元用于获取消息队列中等待被检测的访问请求,对当前周期访问请求中出现的网络异常行为和WEB内容进行分析,如果未检测到疑似攻击入侵动作,则将访问请求通过转发单元发送至WEB服务器;
IP地址锁定单元用于在主动防御检测单元检测到疑似攻击入侵动作时,对客户机地址进行阻断;
日志缓存单元用于在主动防御检测单元检测到疑似攻击入侵动作时,将疑似攻击入侵动作以日志形式进行缓存;
日志存储单元用于在主动防御检测单元检测到疑似攻击入侵动作时,将疑似攻击入侵动作以日志形式进行存储,得到攻击日志。
在一个实施例中,还包括:可视化显示模块;
可视化显示模块用于对存储的日志进行分析,得到可视化图;可视化图由入口文件视图、主动防御分时统计图、入侵IP地址统计图和受侵网站统计图组成;
入口文件视图用于对入口的文件进行分时攻击次数统计,并可视化显示相关文件名;
主动防御分时统计图用于实时对主动防御攻击次数进行可视化显示,如图2所示;
入侵IP地址统计图用于实时对入侵IP地址和次数进行可视化显示;
受侵网站统计图用于实时对受侵网站和次数进行可视化显示。
在一个实施例中,预过滤模块用于判断客户机地址是否存在于动态IP黑名单中,若存在,则将客户机地址的威胁系数数值与预设值进行对比,大于预设值,则阻止访问请求,小于预设值或不存在于动态IP黑名单中,则将访问请求发送至主动防御检测模块进行进一步检测。
在其他实施例中,威胁度计算模块还用于当动态IP黑名单中某一IP地址对应的威胁系数数值小于等于零时,将该IP地址从动态IP黑名单中移除。
具体的,如图3所示,本发明基于动态IP黑名单的网络入侵主动防御系统的实现模块包括:配置模块、协议解析模块、规则模块、动作模块、错误处理模块和日志模块;
配置模块用于实现:规则全局设置、协议解析全局设置、规则引擎运行设置、Active设置和日志记录粒度。
规则模块实现:规则处理、规则解析和规则检测;
动作模块实现:拦截/断开/封锁IP、重定向、URL重写代理、设置验证码、屏蔽恶意内容、自定义响应体和JS代码、重置回话id。
日志模块完成防火墙日志和主动防御日志。
本发明实施例还公开一种基于动态IP黑名单的网络入侵主动防御方法,包括:
对客户机进行初始化阻断,并将客户机地址进行锁定,并存放于IP地址共享池中;
对客户机的访问请求进行捕获,并针对Https协议进行SSL解密和加密,对各种编码和字符集进行标准化处理,将访问请求缓存至接受队列中等待被检测;
对客户机地址进行初步检测,若未通过初步检测,则阻止访问请求,若通过初步检测,则对访问请求进行主动防御检测;
对当前周期访问请求中出现的网络异常行为和WEB内容进行分析,如果检测到疑似攻击入侵动作,则进行客户机地址阻断的同时,将疑似攻击入侵动作以日志形式进行缓存并存储;如果未检测到疑似攻击入侵动作,则将访问请求转发至WEB服务器。
对同一周期内缓存的日志进行分析,计算客户机地址的威胁系数,并将客户机地址和对应的威胁系数添加至动态IP黑名单中;
对动态IP黑名单中的地址进行锁定,并将锁定的地址存放至防火墙中,后续锁定的地址访问防火墙时,直接阻断。
在一个实施例中,客户机地址的威胁系数的计算过程为:
分析所存储的攻击入侵动作日志,确定不同攻击源地址IP1,IP2,IP3,…,IPi对应的攻击事件子集A1,A2,…Ai;具体而言,通过研究不同频次、不同时间段、不同地域、不同规则的攻击事件对目标主机造成影响程度不同,对属于不同频次、不同时间段、不同地域、不同规则的攻击源的攻击事件子集根据不同攻击属性H,进行分类。
根据IPi对应的攻击事件子集Ai中不同频次、不同时间段、不同地域、不同规则的重要性,分别确定IPi对应的攻击事件子集Ai中当前周期的攻击频次、攻击时间段、攻击地域、攻击规则对应的威胁系数;
根据IPi对应的攻击事件子集Ai中不同频次、不同时间段、不同地域、不同规则对WEB中网络的影响程度,分别为IPi对应的攻击事件子集Ai中当前周期的攻击频次、攻击时间段、攻击地域、攻击规则赋予威胁系数权值;
对当前周期IPi对应的攻击事件子集Ai中攻击频次、攻击时间段、攻击地域、攻击规则对应的威胁系数和威胁系数权值进行加权求和,得到攻击源地址为IPi的客户机当前周期的威胁系数;计算公式为:
Threat(IPi)=λ1F(IPi)+λ2T{IPi)+λ3S(IPi)+λ4R(IPi)
其中,F(IPi)=Frequency/N;T(IPi)=Time/N;S(IPi)=Region/N;R(IPi)=Rule/N;N表示不同目标主机的总数(相当于多个服务器);Frequency、Time、Region、Rule分别表示IPi对应的攻击事件子集Ai中攻击频次、攻击时间段、攻击地域、攻击规则对应的威胁系数;λ1、λ2、λ3、λ4分别表示IPi对应的攻击事件子集Ai中攻击频次、攻击时间段、攻击地域、攻击规则对应的威胁系数的权值,且λ1+λ2+λ3+λ4=1。
在一个实施例中,还包括:
当动态IP黑名单中某一IP地址对应的威胁系数小于等于零时,将该IP地址从动态IP黑名单中移除。
具体的,(1)当IPi∈X时,X表示动态IP黑名单:
Threati=Threatlasti+Threat(IPi)-ThreatΔ;
Threatlasti表示IPi上个周期的威胁系数,Threat(IPi)表示当前周期的威胁系数;ThreatΔ表示经过一个固定时间段T后攻击IPi威胁系数的衰减程度,该值可以根据网络实际情况设置。Threati表示攻击源IPi的威胁系数。
(2)当IPiiX(即IPi不存在于集合X中)时有:Threati=Threat(IPi),此时,威胁系数Threati通过线程函数Threat(IPi)计算得到。
(3)如果IPi不存在集合X中,其威胁系数数值Threati和IPi地址同时添加至X中;如果IPi对应的威胁系数数值小于等于零时,该IPi地址会从集合X中移除。ThreatΔ值越大,攻击者的威胁系数衰减速度越快,当黑名单中某个IP的威胁系数值衰减到小于0时,该IP地址将自动从动态IP黑名单当中被移除。
在另一个实施例中,还包括:
对存储的日志进行分析,得到可视化图;可视化图由入口文件视图、主动防御分时统计图、入侵IP地址统计图和受侵网站统计图组成;
入口文件视图用于对入口的文件进行分时攻击次数统计,并可视化显示相关文件名;
主动防御分时统计图用于实时对主动防御攻击次数进行可视化显示;
入侵IP地址统计图用于实时对入侵IP地址和次数进行可视化显示;
受侵网站统计图用于实时对受侵网站和次数进行可视化显示。
本说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似部分互相参见即可。对于实施例公开的装置而言,由于其与实施例公开的方法相对应,所以描述的比较简单,相关之处参见方法部分说明即可。
对所公开的实施例的上述说明,使本领域专业技术人员能够实现或使用本发明。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本发明的精神或范围的情况下,在其它实施例中实现。因此,本发明将不会被限制于本文所示的这些实施例,而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。
Claims (10)
1.一种基于动态IP黑名单的网络入侵主动防御系统,其特征在于,包括:IP阻断模块、IP地址锁定模块、Http/Https请求接收模块、预过滤模块、主动防御检测模块和威胁度计算模块;
所述IP阻断模块设置于防火墙中,其用于对客户机进行初始化阻断,并将客户机地址添加至所述第一IP地址锁定模块中的IP地址共享池中;
所述Http/Https请求接收模块用于对客户机的访问请求进行捕获,并针对Https协议进行SSL解密和加密,对各种编码和字符集进行标准化处理,将访问请求缓存至接受队列中等待被检测;
所述预过滤模块用于对客户机地址进行初步检测,若未通过初步检测,则阻止访问请求,若通过初步检测,则将访问请求发送到所述主动防御检测模块;
所述主动防御检测模块用于对当前周期访问请求中出现的网络异常行为和WEB内容进行分析,如果检测到疑似攻击入侵动作,则进行客户机地址阻断的同时,将疑似攻击入侵动作以日志形式进行缓存并存储;
所述威胁度计算模块用于对同一周期内缓存的日志进行分析,计算客户机地址的威胁系数,并将客户机地址和对应的威胁系数添加至动态IP黑名单中;
所述IP地址锁定模块用于对动态IP黑名单中的地址进行锁定,并将锁定的地址存放至防火墙IP阻断模块。
2.根据权利要求1所述的一种基于动态IP黑名单的网络入侵主动防御系统,其特征在于,所述主动防御检测模块包括:主动防御检测单元、IP地址锁定单元、日志缓存单元、日志存储单元和转发单元;
所述主动防御检测单元用于获取消息队列中等待被检测的访问请求,对当前周期访问请求中出现的网络异常行为和WEB内容进行分析,如果未检测到疑似攻击入侵动作,则将访问请求通过所述转发单元发送至WEB服务器;
所述IP地址锁定单元用于在所述主动防御检测单元检测到疑似攻击入侵动作时,对客户机地址进行阻断;
所述日志缓存单元用于在所述主动防御检测单元检测到疑似攻击入侵动作时,将疑似攻击入侵动作以日志形式进行缓存;
所述日志存储单元用于在所述主动防御检测单元检测到疑似攻击入侵动作时,将疑似攻击入侵动作以日志形式进行存储,得到攻击日志。
3.根据权利要求1所述的一种基于动态IP黑名单的网络入侵主动防御系统,其特征在于,还包括:可视化显示模块;
所述可视化显示模块用于对存储的日志进行分析,得到可视化图;所述可视化图由入口文件视图、主动防御分时统计图、入侵IP地址统计图和受侵网站统计图组成;
所述入口文件视图用于对入口的文件进行分时攻击次数统计,并可视化显示相关文件名;
所述主动防御分时统计图用于实时对主动防御攻击次数进行可视化显示;
所述入侵IP地址统计图用于实时对入侵IP地址和次数进行可视化显示;
所述受侵网站统计图用于实时对受侵网站和次数进行可视化显示。
4.根据权利要求1所述的一种基于动态IP黑名单的网络入侵主动防御系统,其特征在于,所述预过滤模块用于判断客户机地址是否存在于动态IP黑名单中,若存在,则将客户机地址的威胁系数数值与预设值进行对比,大于预设值,则阻止访问请求,小于预设值或不存在于动态IP黑名单中,则将访问请求发送至所述主动防御检测模块进行进一步检测。
5.根据权利要求1所述的一种基于动态IP黑名单的网络入侵主动防御系统,其特征在于,所述威胁度计算模块还用于当动态IP黑名单中某一IP地址对应的威胁系数数值小于等于零时,将该IP地址从动态IP黑名单中移除。
6.一种基于动态IP黑名单的网络入侵主动防御方法,其特征在于,包括:
对客户机进行初始化阻断,并将客户机地址进行锁定,并存放于IP地址共享池中;
对客户机的访问请求进行捕获,并针对Https协议进行SSL解密和加密,对各种编码和字符集进行标准化处理,将访问请求缓存至接受队列中等待被检测;
对客户机地址进行初步检测,若未通过初步检测,则阻止访问请求,若通过初步检测,则对访问请求进行主动防御检测;
对当前周期访问请求中出现的网络异常行为和WEB内容进行分析,如果检测到疑似攻击入侵动作,则进行客户机地址阻断的同时,将疑似攻击入侵动作以日志形式进行缓存并存储;
对同一周期内缓存的日志进行分析,计算客户机地址的威胁系数,并将客户机地址的对应的威胁系数添加至动态IP黑名单中;
对动态IP黑名单中的地址进行锁定,并将锁定的地址存放至防火墙中,后续锁定的地址访问防火墙时,直接阻断。
7.根据权利要求1所述的一种基于动态IP黑名单的网络入侵主动防御方法,其特征在于,还包括:
对当前周期访问请求中出现的网络异常行为和WEB内容进行分析时,如果未检测到疑似攻击入侵动作,则将访问请求转发至WEB服务器。
8.根据权利要求1所述的一种基于动态IP黑名单的网络入侵主动防御方法,其特征在于,客户机地址的威胁系数的计算过程为:
分析所存储的攻击入侵动作日志,确定不同攻击源地址IP1,IP2,IP3,…,IPi对应的攻击事件子集A1,A2,…Ai;
根据IPi对应的攻击事件子集Ai中不同频次、不同时间段、不同地域、不同规则的重要性,分别确定IPi对应的攻击事件子集Ai中当前周期的攻击频次、攻击时间段、攻击地域、攻击规则的威胁系数;
根据IPi对应的攻击事件子集Ai中不同频次、不同时间段、不同地域、不同规则对WEB中网络的影响程度,分别为IPi对应的攻击事件子集Ai中当前周期的攻击频次、攻击时间段、攻击地域、攻击规则赋予威胁系数权值;
对当前周期IPi对应的攻击事件子集Ai中攻击频次、攻击时间段、攻击地域、攻击规则的威胁系数和威胁系数权值进行加权求和,得到攻击源地址为IPi的客户机当前周期的威胁系数;威胁系数的计算公式为:
Threat(IPi)=λ1F(IPi)+λ2T{IPi)+λ3S(IPi)+λ4R(IPi)
其中,F(IPi)=Frequency/N;T(IPi)=Time/N;S(IPi)=Region/N;R(IPi)=Rule/N;N表示不同目标主机的总数;Frequency、Time、Region、Rule分别表示IPi对应的攻击事件子集Ai中攻击频次、攻击时间段、攻击地域、攻击规则对应的威胁系数;λ1、λ2、λ3、λ4分别表示IPi对应的攻击事件子集Ai中攻击频次、攻击时间段、攻击地域、攻击规则的威胁系数权值,且λ1+λ2+λ3+λ4=1。
9.根据权利要求6所述的一种基于动态IP黑名单的网络入侵主动防御方法,其特征在于,还包括:
当动态IP黑名单中某一IP地址对应的威胁系数数值小于等于零时,将该IP地址从动态IP黑名单中移除。
10.根据权利要求6所述的一种基于动态IP黑名单的网络入侵主动防御方法,其特征在于,还包括:
对存储的日志进行分析,得到可视化图;所述可视化图由入口文件视图、主动防御分时统计图、入侵IP地址统计图和受侵网站统计图组成;
所述入口文件视图用于对入口的文件进行分时攻击次数统计,并可视化显示相关文件名;
所述主动防御分时统计图用于实时对主动防御攻击次数进行可视化显示;
所述入侵IP地址统计图用于实时对入侵IP地址和次数进行可视化显示;
所述受侵网站统计图用于实时对受侵网站和次数进行可视化显示。
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210645186.0A CN115102727A (zh) | 2022-06-08 | 2022-06-08 | 基于动态ip黑名单的网络入侵主动防御系统及方法 |
NL2033657A NL2033657A (en) | 2022-06-08 | 2022-12-02 | Active defense system and method for network intrusion based on dynamic ip blacklist |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210645186.0A CN115102727A (zh) | 2022-06-08 | 2022-06-08 | 基于动态ip黑名单的网络入侵主动防御系统及方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN115102727A true CN115102727A (zh) | 2022-09-23 |
Family
ID=83289911
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202210645186.0A Pending CN115102727A (zh) | 2022-06-08 | 2022-06-08 | 基于动态ip黑名单的网络入侵主动防御系统及方法 |
Country Status (2)
Country | Link |
---|---|
CN (1) | CN115102727A (zh) |
NL (1) | NL2033657A (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN116582366A (zh) * | 2023-07-12 | 2023-08-11 | 中国电信股份有限公司 | Web攻击防范方法、装置和系统、存储介质 |
Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110035060A (zh) * | 2019-03-07 | 2019-07-19 | 北京华安普特网络科技有限公司 | 有效防黑客入侵的Web防火墙 |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110290148B (zh) * | 2019-07-16 | 2022-05-03 | 深圳乐信软件技术有限公司 | 一种web防火墙的防御方法、装置、服务器及存储介质 |
-
2022
- 2022-06-08 CN CN202210645186.0A patent/CN115102727A/zh active Pending
- 2022-12-02 NL NL2033657A patent/NL2033657A/en unknown
Patent Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110035060A (zh) * | 2019-03-07 | 2019-07-19 | 北京华安普特网络科技有限公司 | 有效防黑客入侵的Web防火墙 |
Non-Patent Citations (1)
Title |
---|
赵凡等: "基于动态IP 黑名单的轻量级WEB 入侵主动防御关键技术与可视化度量模型研究与应用", 《中国建材科技》, pages 70 - 71 * |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN116582366A (zh) * | 2023-07-12 | 2023-08-11 | 中国电信股份有限公司 | Web攻击防范方法、装置和系统、存储介质 |
CN116582366B (zh) * | 2023-07-12 | 2023-09-15 | 中国电信股份有限公司 | Web攻击防范方法、装置和系统、存储介质 |
Also Published As
Publication number | Publication date |
---|---|
NL2033657A (en) | 2023-12-14 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10270803B2 (en) | Method and apparatus for detecting malware infection | |
US8549645B2 (en) | System and method for detection of denial of service attacks | |
KR100942456B1 (ko) | 클라우드 컴퓨팅을 이용한 DDoS 공격 탐지 및 차단 방법 및 서버 | |
US8805995B1 (en) | Capturing data relating to a threat | |
US8347394B1 (en) | Detection of downloaded malware using DNS information | |
CN112073389B (zh) | 云主机安全态势感知系统、方法、设备及存储介质 | |
CN114679338A (zh) | 一种基于网络安全态势感知的网络风险评估方法 | |
CN110071941B (zh) | 一种网络攻击检测方法、设备、存储介质及计算机设备 | |
CN117321966A (zh) | 用于网络保护的高效威胁上下文感知数据包过滤的方法和系统 | |
US9300684B2 (en) | Methods and systems for statistical aberrant behavior detection of time-series data | |
CN110213208B (zh) | 一种处理请求的方法和装置以及存储介质 | |
US20110107412A1 (en) | Apparatus for detecting and filtering ddos attack based on request uri type | |
US20080263677A1 (en) | Client Health Validation Using Historical Data | |
WO2018099206A1 (zh) | 一种apt检测方法、系统及装置 | |
CN103152357A (zh) | 一种针对dns服务的防御方法、装置和系统 | |
JP7204247B2 (ja) | 脅威対応自動化方法 | |
Qassrawi et al. | Client honeypots: Approaches and challenges | |
CN108234486A (zh) | 一种网络监测方法及监测服务器 | |
Kim et al. | Agent-based honeynet framework for protecting servers in campus networks | |
CN115102727A (zh) | 基于动态ip黑名单的网络入侵主动防御系统及方法 | |
CN112491869A (zh) | 一种基于ip信誉度的应用层ddos攻击的检测防护方法及系统 | |
CN113726775B (zh) | 一种攻击检测方法、装置、设备及存储介质 | |
CN112202821B (zh) | 一种cc攻击的识别防御系统及方法 | |
CN113556342A (zh) | 一种dns缓存服务器前缀变化攻击防护方法及装置 | |
CN114172707A (zh) | Fast-Flux僵尸网络检测方法、装置、设备及存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |