CN115208596B - 网络入侵防御方法、装置及存储介质 - Google Patents
网络入侵防御方法、装置及存储介质 Download PDFInfo
- Publication number
- CN115208596B CN115208596B CN202110384065.0A CN202110384065A CN115208596B CN 115208596 B CN115208596 B CN 115208596B CN 202110384065 A CN202110384065 A CN 202110384065A CN 115208596 B CN115208596 B CN 115208596B
- Authority
- CN
- China
- Prior art keywords
- address
- data packet
- communication data
- addresses
- target source
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/126—Applying verification of the received information the source of the received data
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
Abstract
本申请提供一种网络入侵防御方法、装置及存储介质,所述方法包括:发布多个第一IP地址,所述第一IP地址为未使用的IP地址,基于目的IP地址为所述第一IP地址的第一通信数据包,确定第二IP地址,所述第二IP地址为实施网络入侵的IP地址,拦截目的IP地址为所述第二IP地址的第二通信数据包,能够解决现有技术设备硬件的资源利用率低,分析处理能力有限,入侵检测和防御范围小以及网络入侵误判的问题,实现整个城域网Tb级带宽流量中的网络入侵防御。
Description
技术领域
本申请涉及网络安全技术领域,尤其涉及一种网络入侵防御方法、装置及存储介质。
背景技术
在网络通信流量中,有正常的访问交互通信流量,同时也有恶意的网络入侵攻击流量。恶意的网络入侵攻击流量,将会带来众多的安全问题,如:造成网络内的系统被攻破,引起信息泄露,网站或应用内容被篡改等。为了能发现这些网络入侵攻击流量并进行阻断,需要专业的IPS(Intrusion-prevention system,入侵防御系统)。
IPS是一台能够监视网络或网络设备的网络资料传输行为的计算机网络安全设备,能够即时的中断、调整或隔离一些不正常或是具有伤害性的网络资料传输行为。IPS专门深入网络数据内部,查找它所认识的攻击代码特征,过滤有害数据流,丢弃有害数据包,并进行记载,以便事后分析。
然而现有的采用IPS进行入侵防御的方案存在以下缺点:
1、IPS入侵检测只能做到机房一级(Gb级带宽),做不到整个城域网级(Tb级带宽)。
2、IPS设备硬件的资源利用率低,分析处理能力有限。由于IPS需要分析监视所有的通信流量,包括大部分的正常通信流量,这些正常通信流量消耗了IPS的大部分分析处理资源,导致IPS设备硬件的资源利用率降低,当遇到业务系统带宽扩容,IPS也需要随之进行扩容。
3、IPS会存在将正常流量误判为入侵流量的情况。由于IPS是根据通信报文特征部来比对判断是否为入侵流量,而部分正常的通信流量的通信行为特征与网络入侵的行为特征相似,从而引起IPS的误判。
4、IPS拦截防御范围小。一般范围仅在一个局域网百台设备左右。
发明内容
针对现有技术存在的上述技术问题,本申请提供一种网络入侵防御方法、装置及存储介质。
第一方面,本申请提供一种网络入侵防御方法,包括:
发布多个第一IP地址,所述第一IP地址为未使用的IP地址;
基于目的IP地址为所述第一IP地址的第一通信数据包,确定第二IP地址;所述第二IP地址为实施网络入侵的IP地址;
拦截目的IP地址为所述第二IP地址的第二通信数据包。
可选地,根据本申请的网络入侵防御方法,所述基于目的IP地址为所述第一IP地址的第一通信数据包,确定第二IP地址,包括:
确定所述第一通信数据包对应的目标源IP地址;其中,所述目标源IP地址发送的通信数据包中,目的IP地址为所述第一IP地址的数量不低于预设阈值,且所述目标源IP地址发送的第一通信数据包的报文特征符合预设入侵条件;
将所述目标源IP地址与预设的安全IP地址进行比对,确定所述目标源IP地址是否为第二IP地址。
可选地,根据本申请的网络入侵防御方法,所述目标源IP地址发送的通信数据包中,目的IP地址为所述第一IP地址的数量是基于所述第一通信数据包确定的。
可选地,根据本申请的网络入侵防御方法,所述目标源IP地址发送的第一通信数据包的报文特征符合预设入侵条件,包括:
所述目标源IP地址发送的第一通信数据包的报文特征符合扫描特征或与威胁情报匹配。
可选地,根据本申请的网络入侵防御方法,所述将所述目标源IP地址与预设的安全IP地址进行比对,确定所述目标源IP地址是否为第二IP地址,包括:
在所述目标源IP地址与预设的安全IP地址不匹配的情况下,确定所述目标源IP地址为第二IP地址。
可选地,根据本申请的网络入侵防御方法,所述拦截目的IP地址为所述第二IP地址的第二通信数据包之后,还包括:
在未检测到所述第二IP地址与所述第一IP地址的第一通信数据包,同时未检测到目的IP地址是所述第二IP地址的第二通信数据包,且持续时间达到预设阈值的情况下,取消对所述第二通信数据包的拦截。第二方面,本申请还提供一种网络入侵防御装置,包括:
第一IP地址发布模块,用于发布多个第一IP地址,所述第一IP地址为未使用的IP地址;
网络入侵IP地址确定模块,用于基于目的IP地址为所述第一IP地址的第一通信数据包,确定第二IP地址;所述第二IP地址为实施网络入侵的IP地址;
拦截模块,用于拦截目的IP地址为所述第二IP地址的第二通信数据包。
可选的,根据本申请的网络入侵防御装置,所述基于目的IP地址为所述第一IP地址的第一通信数据包,确定第二IP地址,包括:
确定所述第一通信数据包对应的目标源IP地址;其中,所述目标源IP地址发送的通信数据包中,目的IP地址为所述第一IP地址的数量不低于预设阈值,且所述目标源IP地址发送的第一通信数据包的报文特征符合预设入侵条件;将所述目标源IP地址与预设的安全IP地址进行比对,确定所述目标源IP地址是否为第二IP地址。
第三方面,本申请还提供一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现如上述第一方面所提供的方法的步骤。
第四方面,本申请还提供一种可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现如上述第一方面所提供的方法的步骤。
本申请提供的网络入侵防御方法、装置及存储介质,通过发布多个第一IP地址,所述第一IP地址为未使用的IP地址,基于目的IP地址为所述第一IP地址的第一通信数据包,确定实施网络入侵的第二IP地址,拦截目的IP地址为所述第二IP地址的第二通信数据包,能够解决现有技术设备硬件的资源利用率低,分析处理能力有限,入侵检测和防御范围小以及网络入侵误判的问题,实现整个城域网Tb级带宽流量中的网络入侵防御。
附图说明
为了更清楚地说明本申请或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本申请提供的网络入侵防御方法的流程示意图;
图2是本申请提供的网络入侵原理示意图;
图3是本申请提供的网络入侵检测及阻断流程示意图;
图4是本申请提供的阻断决策逻辑示意图;
图5是本申请提供的网络入侵防御装置的结构示意图;
图6是本申请提供的电子设备的结构示意图。
具体实施方式
为使本申请的目的、技术方案和优点更加清楚,下面将结合本申请中的附图,对本申请中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
下面结合图1-图6描述本申请的网络入侵防御方法、装置及存储介质。
图1为本申请提供的一种网络入侵防御方法的流程示意图,如图1所示,该方法包括:
步骤110,发布多个第一IP地址,所述第一IP地址为未使用的IP地址。
具体的,图2为本申请提供的网络入侵原理示意图,如图2所示,网络入侵最常见的步骤是:扫描采集信息→发现漏洞弱点→渗透入侵提权→控制扩散。现今网络上有各种各样的黑客工具,使得网络入侵的门槛变得越来越低。即使没有网络知识基础的“脚本小子”,按照教程也能使用黑客工具顺利完成一些存在安全漏洞主机的入侵。通过常见的扫描工具,如Nmap,shadowscan,Advanced Port Scanner,PortScan&Stuff,Network Scanner等,入侵者能迅速掌握存活的网络主机信息和漏洞信息。基于这些扫描结果,入侵者使用专用的攻击漏洞的工具软件或者是手工渗透,攻破漏洞后,会安装后门并对主机本身或其网内的其他主机扩散。
针对目前网络入侵无法准确检测的情况,本申请构造一种场景,即符合这种场景的入侵流量可以被快速准确发现,这种场景就是未使用的IP(Internet Protocol,互联网协议)地址。具体来说,互联网环境下,IP通信流是基于源IP地址、目的IP地址的,其中目的IP地址正常情况下都是已投入使用的IP地址。由于普通IPS系统无法全面获知应用系统需要与哪些IP进行通信,因此只能通过报文中的行为特征来判别该通信流是否正常,因此有些正常的通信流中的报文符合了IPS检测的特征后,极容易形成误报。
而本申请构造的场景,即发布未使用的IP地址(即所述第一IP地址),正常情况下这些IP地址是不会有任何通信流量的,一旦这些未使用的IP地址产生了通信流量,大部分是非正常用户(包括黑客、僵木蠕等恶意软件、其他探测性扫描、使用错IP地址)造成的。此时可以确定,这部分通信流属于网络入侵前期的扫描、嗅探的流量可能性非常高。当侦测到同一源IP地址与一定数量发布的未使用IP地址进行通信时,我们可准确判断该IP是网络入侵IP。
可以在城域网增加引流路由器,所述引流路由器作为网络入侵防御装置的一部分,向城域网发布未使用的IP地址(IP地址越多,效果越好,尽量覆盖到每个C段IP地址)路由,由于未使用的IP地址是不会有与之对应的正常通信流量,因此与未使用IP地址的通信流量大概率是非正常通信流量。
步骤120,基于目的IP地址为所述第一IP地址的第一通信数据包,确定第二IP地址;所述第二IP地址为实施网络入侵的IP地址。
具体的,在与未使用IP的通信流量中,包含网络入侵前期的扫描嗅探流量、僵木蠕等恶意程序的自动探测流量等,网络入侵防御装置对这些流量中的数据包(即第一通信数据包)进行分析,即可确定网络入侵IP(网络入侵者的IP或中病毒、木马设备的IP,即所述第二IP地址),从而进行后续的阻断操作。
步骤130,拦截目的IP地址为所述第二IP地址的第二通信数据包。
具体的,发现网络入侵IP(即所述第二IP地址)后,网络入侵防御装置可通过引流路由器发布此IP的阻断明细路由,通过路由系统,城域网所有路由器都收到该明细路由,城域网内与该IP明细路由匹配的数据包,也即回程到网络入侵IP的数据包(即所述第二通信数据包),都将被吸引到引流路由器并送服务器进行采集、入库、统计、分析。通过对这些回程数据报文的详细分析,可以分析出网络入侵IP与多少城域网内IP进行了通信。同时,阻断了网络入侵IP的回程数据报文,也即阻断了网络入侵IP后续入侵的步骤,保护了整个城域网内已被控制或被攻击的用户与即将被入侵的用户。通过这些数据也可以描绘入侵前期的网络安全态势。图3为本申请提供的网络入侵检测及阻断流程示意图,图中CMNET为中国移动互联网的简写,NE5000E为集群路由器,BRAS为宽带远程接入服务器(Broadband RemoteAccess Server)。如图3所示,当发现网络入侵IP后,网络入侵防御装置可通过引流路由器,将回程到网络入侵IP的数据包(即所述第二通信数据包),都吸引到引流路由器并送服务器进行采集、入库、统计、分析。
本申请提供的方法,通过发布多个第一IP地址,所述第一IP地址为未使用的IP地址,基于目的IP地址为所述第一IP地址的第一通信数据包,确定实施网络入侵的第二IP地址,拦截目的IP地址为所述第二IP地址的第二通信数据包,能够解决现有技术设备硬件的资源利用率低,分析处理能力有限,入侵检测和防御范围小以及网络入侵误判的问题,实现整个城域网Tb级带宽流量中的网络入侵防御。
基于上述实施例,所述基于目的IP地址为所述第一IP地址的第一通信数据包,确定第二IP地址,包括:
确定所述第一通信数据包对应的目标源IP地址;其中,所述目标源IP地址发送的通信数据包中,目的IP地址为所述第一IP地址的数量不低于预设阈值,且所述目标源IP地址发送的第一通信数据包的报文特征符合预设入侵条件;
将所述目标源IP地址与预设的安全IP地址进行比对,确定所述目标源IP地址是否为第二IP地址。
具体的,网络入侵防御装置获取所述第一通信数据包之后,便可确定所述第一通信数据包对应的源IP地址。可以理解的是,所述第一通信数据包为多个,因此检测到的源IP地址也为多个,基于所述第一通信数据包可以确定所有的源IP地址及每个源IP地址通信的第一IP地址,进而确定每个源IP地址通信的第一IP地址的数量。如果当前源IP地址通信的第一IP地址的数量不低于预设阈值,且当前源IP地址对应的第一通信数据包的报文特征符合预设入侵条件,则将当前源IP地址初步确定为非法IP地址,即目标源IP地址。
网络入侵防御装置确定目标源IP地址之后,将所述目标源IP地址与预设的安全IP地址进行比对,确定所述目标源IP地址是否为第二IP地址,即网络入侵IP,进而确保网络入侵检测的准确性。
本申请提供的方法,通过确定所述第一通信数据包对应的目标源IP地址,其中,所述目标源IP地址发送的通信数据包中,目的IP是第一IP地址的数量不低于预设阈值,且所述目标源IP地址发送的第一通信数据包的报文特征符合预设入侵条件,将所述目标源IP地址与预设的安全IP地址进行比对,确定所述目标源IP地址是否为第二IP地址,能够确保网络入侵检测的准确性。
基于上述实施例,所述目标源IP地址发送的通信数据包中,目的IP地址为所述第一IP地址的数量是基于所述第一通信数据包确定的。
具体的,通信数据包中会包含相应的源IP地址和目的IP地址的指示信息,网络入侵防御装置获取所述第一通信数据包之后,便可确定所述第一通信数据包对应的源IP地址。基于所述第一通信数据包可以确定所有的源IP地址及其通信的第一IP地址,进而确定每个目标源IP地址及其通信的第一IP地址的数量。
本申请提供的方法,所述目标源IP地址及其通信的第一IP地址的数量是基于所述第一通信数据包确定的,能够提高设备硬件的资源利用率,同时提高网络入侵IP的检测效率。
基于上述实施例,所述目标源IP地址对应的第一通信数据包的报文特征符合预设入侵条件,包括:
所述目标源IP地址发送的第一通信数据包的报文特征符合扫描特征或与威胁情报匹配。
具体的,在第一通信数据包的报文特征符合扫描特征或与威胁情报匹配的情况下,初步判断其对应的源IP地址为非法IP地址,并进行后续判断,能够兼顾网络入侵检测的准确性和检测效率。
本申请提供的方法,所述目标源IP地址对应的第一通信数据包的报文特征符合扫描特征或与威胁情报匹配,能够兼顾网络入侵检测的准确性和检测效率。
基于上述实施例,所述将所述目标源IP地址与预设的安全IP地址进行比对,确定所述目标源IP地址是否为第二IP地址,包括:
在所述目标源IP地址与预设的安全IP地址不匹配的情况下,确定所述目标源IP地址为第二IP地址。
具体的,网络入侵防御装置获取目标源IP地址(即初步确定的非法IP地址)后,出于确保检测准确性的考虑,进一步将所述目标源IP地址与预设的安全IP地址进行比对,在所述目标源IP地址与预设的安全IP地址不匹配的情况下,确定所述目标源IP地址为第二IP地址。
本申请提供的方法,在所述目标源IP地址与预设的安全IP地址不匹配的情况下,确定所述目标源IP地址为第二IP地址,能够确保网络入侵检测的准确性。
基于上述实施例,所述拦截目的IP地址为所述第二IP地址的第二通信数据包之后,还包括:
在未检测到所述第二IP地址与所述第一IP地址的第一通信数据包,同时未检测到目的IP地址是所述第二IP地址的第二通信数据包,且持续时间达到预设阈值的情况下,取消对所述第二通信数据包的拦截。具体的,当城域网中没有再与网络入侵IP的通信流量到达相应时间阈值后(一定时间后),网络入侵防御装置按照取消规则向引流路由器发送取消阻断明细路由的指令,引流路由器收到指令后取消阻断明细路由,即取消对所述第二通信数据包的拦截。同时,若相同网络入侵IP再次有网络入侵扫描流量时,网络入侵防御装置可以按动态调整算法进行惩罚性阻断,如阻断时间翻倍等。
图4为本申请提供的阻断决策逻辑示意图,如图4所示,网络入侵防御装置统计采集到的源目地址通信数据包(源:发起扫描嗅探的IP,目:未使用IP),当1个源IP与N个目的IP有通信,且符合扫描特征或匹配威胁情报,则可初步判断此IP为非法IP;进一步判断源IP是否在白名单IP(白名单IP为登记的合法的安全扫描器以及收集的合法IP),同时判断源IP是否在城域网常用IP表中以及判断源IP是否在已阻止IP表中,若已在阻止表中,则无需动作,若判断所述源IP即不是白名单IP,又不是城域网常用IP,且不在阻止IP表中,则执行发布32位明细路由,阻断返回报文,同时送系统记录。
可选的,出于保证阻断容量不超负荷的考虑,可以判断黑洞路由条目是否超限,若超限先删除无流量时间最长的条目。
本申请提供的方法,在未检测到所述第二IP地址与所述第一IP地址的第一通信数据包,同时未检测到目的IP地址是所述第二IP地址的第二通信数据包,且持续时间达到预设阈值的情况下,取消对所述第二通信数据包的拦截,能够在入侵行为停止的情况下,解放网络入侵防御装置的相应资源。基于上述任一实施例,图5为本申请提供的网络入侵防御装置的示意图,如图5所示,该装置包括:
第一IP地址发布模块510,用于发布多个第一IP地址,所述第一IP地址为未使用的IP地址;
网络入侵IP地址确定模块520,用于基于目的IP地址为所述第一IP地址的第一通信数据包,确定第二IP地址;所述第二IP地址为实施网络入侵的IP地址;
拦截模块530,用于拦截目的IP地址为所述第二IP地址的第二通信数据包。
基于上述实施例,所述基于目的IP地址为所述第一IP地址的第一通信数据包,确定第二IP地址,包括:
确定所述第一通信数据包对应的目标源IP地址;其中,所述目标源IP地址发送的通信数据包中,目的IP地址为所述第一IP地址的数量不低于预设阈值,且所述目标源IP地址发送的第一通信数据包的报文特征符合预设入侵条件;
将所述目标源IP地址与预设的安全IP地址进行比对,确定所述目标源IP地址是否为第二IP地址。
基于上述实施例,所述目标源IP地址发送的通信数据包中,目的IP地址为所述第一IP地址的数量是基于所述第一通信数据包确定的。
基于上述实施例,所述目标源IP地址对应的第一通信数据包的报文特征符合预设入侵条件,包括:
所述目标源IP地址发送的第一通信数据包的报文特征符合扫描特征或与威胁情报匹配。
基于上述实施例,所述将所述目标源IP地址与预设的安全IP地址进行比对,确定所述目标源IP地址是否为第二IP地址,包括:
在所述目标源IP地址与预设的安全IP地址不匹配的情况下,确定所述目标源IP地址为第二IP地址。
基于上述实施例,所述拦截目的IP地址为所述第二IP地址,还包括:
在未检测到所述第二IP地址与所述第一IP地址的第一通信数据包,同时未检测到目的IP地址是所述第二IP地址的第二通信数据包,且持续时间达到预设阈值的情况下,取消对所述第二通信数据包的拦截。本申请提供的网络入侵防御装置可以执行上述网络入侵防御方法,其具体工作原理和相应的技术效果与上述方法相同,在此不再赘述。
图6示例了一种电子设备的实体结构示意图,如图6所示,该电子设备可以包括:处理器(processor)610、通信接口(Communications Interface)620、存储器(memory)630和通信总线640,其中,处理器610,通信接口620,存储器630通过通信总线640完成相互间的通信。处理器610可以调用存储器630中的逻辑指令,以执行上述各方法所提供的网络入侵防御方法。
此外,上述的存储器630中的逻辑指令可以通过软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
另一方面,本申请还提供一种可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现上述各方法所提供的网络入侵防御方法。
以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下,即可以理解并实施。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件。基于这样的理解,上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在计算机可读存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行各个实施例或者实施例的某些部分所述的方法。
最后应说明的是:以上实施例仅用以说明本申请的技术方案,而非对其限制;尽管参照前述实施例对本申请进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本申请各实施例技术方案的精神和范围。
Claims (8)
1.一种网络入侵防御方法,其特征在于,包括:
发布多个第一IP地址,所述第一IP地址为未使用的IP地址;
基于目的IP地址为所述第一IP地址的第一通信数据包,确定第二IP地址;所述第二IP地址为实施网络入侵的IP地址;
拦截目的IP地址为所述第二IP地址的第二通信数据包;
其中,所述基于目的IP地址为所述第一IP地址的第一通信数据包,确定第二IP地址,包括:
确定所述第一通信数据包对应的目标源IP地址;其中,所述目标源IP地址发送的通信数据包中,目的IP地址为所述第一IP地址的数量不低于预设阈值,且所述目标源IP地址发送的第一通信数据包的报文特征符合预设入侵条件;
将所述目标源IP地址与预设的安全IP地址进行比对,确定所述目标源IP地址是否为第二IP地址。
2.根据权利要求1所述的网络入侵防御方法,其特征在于,所述目标源IP地址发送的通信数据包中,目的IP地址为所述第一IP地址的数量是基于所述第一通信数据包确定的。
3.根据权利要求1所述的网络入侵防御方法,其特征在于,所述目标源IP地址发送的第一通信数据包的报文特征符合预设入侵条件,包括:
所述目标源IP地址发送的第一通信数据包的报文特征符合扫描特征或与威胁情报匹配。
4.根据权利要求1所述的网络入侵防御方法,其特征在于,所述将所述目标源IP地址与预设的安全IP地址进行比对,确定所述目标源IP地址是否为第二IP地址,包括:
在所述目标源IP地址与预设的安全IP地址不匹配的情况下,确定所述目标源IP地址为第二IP地址。
5.根据权利要求1所述的网络入侵防御方法,其特征在于,所述拦截目的IP地址为所述第二IP地址的第二通信数据包之后,还包括:
在未检测到所述第二IP地址与所述第一IP地址的第一通信数据包,同时未检测到目的IP地址是所述第二IP地址的第二通信数据包,且持续时间达到预设阈值的情况下,取消对所述第二通信数据包的拦截。
6.一种网络入侵防御装置,其特征在于,包括:
第一IP地址发布模块,用于发布多个第一IP地址,所述第一IP地址为未使用的IP地址;
网络入侵IP地址确定模块,用于基于目的IP地址为所述第一IP地址的第一通信数据包,确定第二IP地址;所述第二IP地址为实施网络入侵的IP地址;
拦截模块,用于拦截目的IP地址为所述第二IP地址的第二通信数据包;
其中,所述基于目的IP地址为所述第一IP地址的第一通信数据包,确定第二IP地址,包括:
确定所述第一通信数据包对应的目标源IP地址;其中,所述目标源IP地址发送的通信数据包中,目的IP地址为所述第一IP地址的数量不低于预设阈值,且所述目标源IP地址发送的第一通信数据包的报文特征符合预设入侵条件;
将所述目标源IP地址与预设的安全IP地址进行比对,确定所述目标源IP地址是否为第二IP地址。
7.一种电子设备,包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时实现如权利要求1至5任一项所述网络入侵防御方法的步骤。
8.一种可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1至5任一项所述网络入侵防御方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110384065.0A CN115208596B (zh) | 2021-04-09 | 2021-04-09 | 网络入侵防御方法、装置及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110384065.0A CN115208596B (zh) | 2021-04-09 | 2021-04-09 | 网络入侵防御方法、装置及存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN115208596A CN115208596A (zh) | 2022-10-18 |
| CN115208596B true CN115208596B (zh) | 2023-09-19 |
Family
ID=83571187
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110384065.0A Active CN115208596B (zh) | 2021-04-09 | 2021-04-09 | 网络入侵防御方法、装置及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN115208596B (zh) |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2006050081A (ja) * | 2004-08-02 | 2006-02-16 | Nippon Telegr & Teleph Corp <Ntt> | 不正アクセス防御システム |
| US8230505B1 (en) * | 2006-08-11 | 2012-07-24 | Avaya Inc. | Method for cooperative intrusion prevention through collaborative inference |
| CN111600863A (zh) * | 2020-05-08 | 2020-08-28 | 杭州安恒信息技术股份有限公司 | 网络入侵检测方法、装置、系统和存储介质 |
| CN111698214A (zh) * | 2020-05-15 | 2020-09-22 | 平安科技(深圳)有限公司 | 网络攻击的安全处理方法、装置及计算机设备 |
Family Cites Families (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20020066034A1 (en) * | 2000-10-24 | 2002-05-30 | Schlossberg Barry J. | Distributed network security deception system |
| KR100422802B1 (ko) * | 2001-09-05 | 2004-03-12 | 한국전자통신연구원 | 네트워크간의 침입에 대응하기 위한 보안 시스템 및 그 방법 |
| US20040103314A1 (en) * | 2002-11-27 | 2004-05-27 | Liston Thomas F. | System and method for network intrusion prevention |
| US20060143709A1 (en) * | 2004-12-27 | 2006-06-29 | Raytheon Company | Network intrusion prevention |
| US10230739B2 (en) * | 2015-06-26 | 2019-03-12 | Board Of Regents, The University Of Texas System | System and device for preventing attacks in real-time networked environments |
| US20170111391A1 (en) * | 2015-10-15 | 2017-04-20 | International Business Machines Corporation | Enhanced intrusion prevention system |
| CN107710680B (zh) * | 2016-03-29 | 2021-02-09 | 华为技术有限公司 | 网络攻击防御策略发送、网络攻击防御的方法和装置 |
| US10944769B2 (en) * | 2018-09-25 | 2021-03-09 | Oracle International Corporation | Intrusion detection on load balanced network traffic |
| DE102019210224A1 (de) * | 2019-07-10 | 2021-01-14 | Robert Bosch Gmbh | Vorrichtung und Verfahren für Angriffserkennung in einem Rechnernetzwerk |
-
2021
- 2021-04-09 CN CN202110384065.0A patent/CN115208596B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2006050081A (ja) * | 2004-08-02 | 2006-02-16 | Nippon Telegr & Teleph Corp <Ntt> | 不正アクセス防御システム |
| US8230505B1 (en) * | 2006-08-11 | 2012-07-24 | Avaya Inc. | Method for cooperative intrusion prevention through collaborative inference |
| CN111600863A (zh) * | 2020-05-08 | 2020-08-28 | 杭州安恒信息技术股份有限公司 | 网络入侵检测方法、装置、系统和存储介质 |
| CN111698214A (zh) * | 2020-05-15 | 2020-09-22 | 平安科技(深圳)有限公司 | 网络攻击的安全处理方法、装置及计算机设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN115208596A (zh) | 2022-10-18 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107888607B (zh) | 一种网络威胁检测方法、装置及网络管理设备 | |
| US10587636B1 (en) | System and method for bot detection | |
| JP4545647B2 (ja) | 攻撃検知・防御システム | |
| US7137145B2 (en) | System and method for detecting an infective element in a network environment | |
| KR100952350B1 (ko) | 지능망 인터페이스 컨트롤러 | |
| US8561177B1 (en) | Systems and methods for detecting communication channels of bots | |
| US8127356B2 (en) | System, method and program product for detecting unknown computer attacks | |
| US9628508B2 (en) | Discovery of suspect IP addresses | |
| US20060143709A1 (en) | Network intrusion prevention | |
| CN108270722B (zh) | 一种攻击行为检测方法和装置 | |
| CN104135474B (zh) | 基于主机出入度的网络异常行为检测方法 | |
| US20160366171A1 (en) | Extraction criterion determination method, communication monitoring system, extraction criterion determination apparatus and extraction criterion determination program | |
| US20190230097A1 (en) | Bot Characteristic Detection Method and Apparatus | |
| CN110266650B (zh) | Conpot工控蜜罐的识别方法 | |
| CN112398829A (zh) | 一种电力系统的网络攻击模拟方法及系统 | |
| KR20200109875A (ko) | 유해 ip 판단 방법 | |
| KR101593897B1 (ko) | 방화벽, ids 또는 ips를 우회하는 네트워크 스캔 방법 | |
| CN115208596B (zh) | 网络入侵防御方法、装置及存储介质 | |
| CN113132335A (zh) | 一种虚拟变换系统、方法及网络安全系统与方法 | |
| Patel et al. | A Snort-based secure edge router for smart home | |
| KR20100048105A (ko) | 네트워크 관리 장치 및 그 방법과 이를 위한 사용자 단말기및 그의 기록 매체 | |
| KR101687811B1 (ko) | ARP_Probe 패킷을 이용한 Agent 방식의 ARP 스푸핑 탐지 방법 | |
| KR101400127B1 (ko) | 비정상 데이터 패킷 검출 방법 및 장치 | |
| US20050147037A1 (en) | Scan detection | |
| KR20090113745A (ko) | 스파이 봇 에이전트를 이용한 네트워크 공격 위치 추적 방법, 및 시스템 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |