CN115225297B - 一种阻断网络入侵的方法及装置 - Google Patents
一种阻断网络入侵的方法及装置 Download PDFInfo
- Publication number
- CN115225297B CN115225297B CN202110414402.6A CN202110414402A CN115225297B CN 115225297 B CN115225297 B CN 115225297B CN 202110414402 A CN202110414402 A CN 202110414402A CN 115225297 B CN115225297 B CN 115225297B
- Authority
- CN
- China
- Prior art keywords
- intrusion
- address
- address information
- cloud
- virtual image
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 230000000903 blocking effect Effects 0.000 title claims abstract description 99
- 238000000034 method Methods 0.000 title claims abstract description 61
- 238000004891 communication Methods 0.000 claims abstract description 93
- 238000004590 computer program Methods 0.000 claims description 13
- 230000009471 action Effects 0.000 claims description 5
- 238000010586 diagram Methods 0.000 description 10
- 230000002159 abnormal effect Effects 0.000 description 7
- 230000000694 effects Effects 0.000 description 7
- 230000005540 biological transmission Effects 0.000 description 6
- 230000006399 behavior Effects 0.000 description 4
- 230000003287 optical effect Effects 0.000 description 3
- 238000001514 detection method Methods 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 230000006870 function Effects 0.000 description 2
- 238000007619 statistical method Methods 0.000 description 2
- 241000700605 Viruses Species 0.000 description 1
- 238000011217 control strategy Methods 0.000 description 1
- 238000013500 data storage Methods 0.000 description 1
- 230000007123 defense Effects 0.000 description 1
- 238000009792 diffusion process Methods 0.000 description 1
- 230000029578 entry into host Effects 0.000 description 1
- 238000001914 filtration Methods 0.000 description 1
- ZXQYGBMAQZUVMI-GCMPRSNUSA-N gamma-cyhalothrin Chemical compound CC1(C)[C@@H](\C=C(/Cl)C(F)(F)F)[C@H]1C(=O)O[C@H](C#N)C1=CC=CC(OC=2C=CC=CC=2)=C1 ZXQYGBMAQZUVMI-GCMPRSNUSA-N 0.000 description 1
- 235000012907 honey Nutrition 0.000 description 1
- 230000008595 infiltration Effects 0.000 description 1
- 238000001764 infiltration Methods 0.000 description 1
- 230000002452 interceptive effect Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000035515 penetration Effects 0.000 description 1
- 230000002265 prevention Effects 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/30—Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
- H04L63/306—Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information intercepting packet switched data communications, e.g. Web, Internet or IMS communications
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Technology Law (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供一种阻断网络入侵的方法及装置。所述方法包括:根据未使用的服务器端口,生成虚像服务器;将所述虚像服务器产生的通信流量发送至云端;接收所述云端发送的入侵IP地址信息,并根据所述入侵IP地址信息阻断入侵IP地址;其中,所述入侵IP地址信息是所述云端根据所述虚像服务器产生的通信流量确定的。本发明提供的阻断网络入侵的方法及装置,可以正确识别入侵IP地址,并对入侵IP地址进行阻断。
Description
技术领域
本发明涉及网络安全技术领域,尤其涉及一种阻断网络入侵的方法及装置。
背景技术
在网络通信流量中,有正常的访问交互通信流量,同时也有恶意的网络入侵嗅探扫描攻击流量。恶意的网络嗅探扫描攻击流量将会带来众多的安全问题。
现有技术采用IPS(Intrusion Prevention System,入侵防御系统)发现网络入侵攻击流量并进行阻断。它是一台能够监视网络或网络设备的网络资料传输行为的计算机网络安全设备,能够即时的中断、调整或隔离一些不正常或是具有伤害性的网络资料传输行为。IPS专门深入网络数据内部,查找它所认识的攻击代码特征,过滤有害数据流,丢弃有害数据包,并进行记载,以便事后分析。
IPS阻断网络入侵攻击流量存在如下缺点:
一是IPS会有将正常流量误判为入侵流量的情况。由于IPS是根据通信报文特征部来比对判断是否是入侵流量,有很多正常通信流量的通信行为特征与网络入侵的行为特征相似,从而引起IPS误判。
二是IPS无法做到预先防护。IPS只能在网络入侵攻击时匹配特征发现然后做出防御动作,当特征库更新滞后将会无法被识别为入侵而产生防御动作。
发明内容
本发明提供一种阻断网络入侵的方法及装置,用以解决现有技术中IPS将正常流量被误判为入侵流量以及无法做到预先防护的技术问题。
第一方面,本发明提供一种阻断网络入侵的方法,包括:
根据未使用的服务器端口,生成虚像服务器;
将所述虚像服务器产生的通信流量发送至云端;
接收所述云端发送的入侵IP地址信息,并根据所述入侵IP地址信息阻断入侵IP地址;
其中,所述入侵IP地址信息是所述云端根据所述虚像服务器产生的通信流量确定的。
在一个实施例中,所述将所述虚像服务器产生的通信流量发送至云端包括:
基于预设策略路由,将所述虚像服务器产生的通信流量发送至云端。
在一个实施例中,所述阻断网络入侵的方法,还包括:
基于多协议标签交换虚拟专网MPLS-VPN,通过接口与所述云端连接。
第二方面,本发明提供一种阻断网络入侵的方法,包括:
接收路由器发送的虚像服务器产生的通信流量;
根据所述通信流量确定入侵IP地址信息,并向所述路由器发送所述入侵IP地址信息;
其中,所述虚像服务器是基于未使用的服务器端口生成的;所述入侵IP地址信息用于使所述路由器阻断入侵IP地址。
在一个实施例中,所述根据所述通信流量确定入侵IP地址信息包括:
根据所述通信流量的报文特征,获取对应的源地址;
确定所述源地址不在IP地址允许列表中;
在所述源地址不在所述IP地址允许列表中的情况下,确定所述源地址不在常用IP地址列表中;
在所述源地址不在所述常用IP地址列表中的情况下,确定所述源地址不为已阻止的IP地址;
在所述源地址不为所述已阻止的IP地址的情况下,确定阻断容量不超过限额;
在所述阻断容量不超过限额的情况下,根据所述源地址确定所述入侵IP地址信息。
在一个实施例中,所述阻断网络入侵的方法,还包括:
基于多协议标签交换虚拟专网MPLS-VPN,通过接口与所述路由器连接。
第三方面,本发明提供一种阻断网络入侵的装置,包括:
虚像生成模块,用于根据未使用的服务器端口,生成虚像服务器;
流量发送模块,用于将所述虚像服务器产生的通信流量发送至云端;
地址阻断模块,用于接收所述云端发送的入侵IP地址信息,并根据所述入侵IP地址信息阻断入侵IP地址;
其中,所述入侵IP地址信息是所述云端根据所述虚像服务器产生的通信流量确定的。
第四方面,本发明提供一种阻断网络入侵的装置,包括:
流量接收模块,用于接收路由器发送的虚像服务器产生的通信流量;
地址发送模块,用于根据所述通信流量确定入侵IP地址信息,并向所述路由器发送所述入侵IP地址信息;
其中,所述虚像服务器是基于未使用的服务器端口生成的;所述入侵IP地址信息用于使所述路由器阻断入侵IP地址。
第五方面,本发明提供一种电子设备,包括存储器和存储有计算机程序的存储器,所述处理器执行所述程序时实现第一方面或第二方面所述阻断网络入侵的方法的步骤。
第六方面,本发明提供一种处理器可读存储介质,所述处理器可读存储介质存储有计算机程序,所述计算机程序用于使所述处理器执行第一方面或第二方面所述阻断网络入侵的方法的步骤。
本发明提供的一种阻断网络入侵的方法及装置,通过根据未使用的服务器端口,生成虚像服务器,使得非正常通信流量被虚像服务器接收;再将所述虚像服务器产生的通信流量发送至云端,实现正确识别入侵IP地址信息;接收所述云端发送的入侵IP地址信息,并根据所述入侵IP地址信息阻断入侵IP地址,从而达到防护效果。
附图说明
为了更清楚地说明本发明或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明提供的阻断网络入侵的方法的流程示意图;
图2是本发明提供的阻断网络入侵的方法的的实体服务器与虚像服务器的示意图;
图3是本发明提供的阻断网络入侵的方法的流程示意图;
图4是本发明提供的阻断网络入侵的方法的确定入侵IP地址信息的流程示意图;
图5是本发明提供的阻断网络入侵的方法的原理示意图;
图6是本发明提供的阻断网络入侵的装置的结构示意图;
图7是本发明提供的阻断网络入侵的装置的结构示意图;
图8是本发明提供的电子设备的结构示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面将结合本发明中的附图,对本发明中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
图1为本发明提供的阻断网络入侵的方法的流程示意图。参照图1,本发明提供的阻断网络入侵的方法包括:
S110、根据未使用的服务器端口,生成虚像服务器;
S120、将所述虚像服务器产生的通信流量发送至云端;
S130、接收所述云端发送的入侵IP地址信息,并根据所述入侵IP地址信息阻断入侵IP地址;
其中,所述入侵IP地址信息是所述云端根据所述虚像服务器产生的通信流量确定的。
本发明提供的阻断网络入侵的方法的执行主体可以是路由器,例如控制路由器。下面以控制路由器执行上述方法为例,详细说明本申请的技术方案。
网络入侵最常见的步骤是:扫描采集信息;发现漏洞弱点;渗透入侵提权;控制扩散。现今网络上有各种各样的黑客工具,使得网络入侵的门槛变得越来越低。即使没有网络知识基础的“脚本小子”,按照教程也能使用黑客工具顺利完成一些存在安全漏洞主机的入侵。通过常见的扫描工具,如Nmap,shadowscan,Advanced Port Scanner,PortScan&Stuff,Network Scanner等,入侵者能迅速掌握存活的网络主机信息和漏洞信息。基于这些扫描结果,入侵者使用专用的攻击漏洞的工具软件或者是手工渗透,攻破漏洞后,会安装后门并对主机本身或其网内的其他主机扩散。
正常的网络通信是将通信包发往目标主机,同样网络入侵也是将通信包发往目标主机。但网络入侵,在前期侦察阶段往往不是访问目标主机的正常服务端口,而是全面扫描目标服务器以发现目标服务器的弱点,然后再从弱点入侵。
同样地,在网络安全攻防实战中,可以通过路由器基于端口的策略路由生成一个需防护服务器的未使用端口集合的虚像,当黑客去攻击服务器时,大部分的嗅探扫描流量会被虚像接收,虚像对应的采集分析服务收到这些非正常流量,进行分析获取源IP后进行反制,从而阻断后续的入侵步骤。以往,服务器不使用的端口往往被防火墙策略拦截,与这些端口的通信数据包均被丢弃而未加以分析使用,往往造成黑客直接攻击服务器在用服务端口,直至攻陷服务器。虚像检测技术充分利用洼地效应,使入侵者先攻击未使用端口部署的蜜罐,从而捕获入侵者IP并立即进行拦截反制,实现对防护对象的保护,达到防护主机的功效。
可选地,在S110中,控制路由器根据未使用的服务器端口,生成虚像服务器。
需要说明的是,一个IP地址在TCP、UDP协议中各有65535个端口。通常对外提供服务的服务器,一般使用的端口的数量在10个以下;提供较多服务的服务器,一般使用的端口的数量在100个以下。
可选地,将需防护服务器的IP地址通过端口来划分:正常对外服务的使用端口对应划分在实体服务器,其他不用的端口对应划分在虚像服务器。上述IP地址不使用的端口形成一个集合,即为虚像服务器。如图2所示,图2为本发明提供的阻断网络入侵的方法的实体服务器与虚像服务器的示意图。
在S120中,控制路由器将所述虚像服务器产生的通信流量发送至云端。其中,云端可以为云端核心分析服务器。
可选地,虚像服务器对应的是服务器未使用的端口,由于未使用的服务器端口(即虚像服务器)不会产生与之对应的正常通信流量,因此与未使用端口的通信流量大概率是入侵者的通信流量。在与虚像服务器的通信流量中,包含入侵者嗅探扫描的流量、病毒木马等恶意程序自动探测的流量等。控制路由器将虚像服务器产生的通信流量发送到云端核心分析服务器。
在S130中,控制路由器接收所述云端发送的入侵IP地址信息,并根据所述入侵IP地址信息阻断入侵IP地址;其中,所述入侵IP地址信息是所述云端根据所述虚像服务器产生的通信流量确定的。
可选地,云端通过对通信流量进行报文特征和报文统计分析,即可识别并确定入侵IP地址信息;再将入侵IP地址信息发送至控制路由器,控制路由器根据入侵IP地址信息生成拦截指令,实现阻断入侵IP地址。
本发明提供的一种阻断网络入侵的方法,通过根据未使用的服务器端口,生成虚像服务器,使得非正常通信流量被虚像服务器接收;再将所述虚像服务器产生的通信流量发送至云端,实现正确识别入侵IP地址信息;接收所述云端发送的入侵IP地址信息,并根据所述入侵IP地址信息阻断入侵IP地址,从而达到防护效果。
在一个实施例中,所述将所述虚像服务器产生的通信流量发送至云端包括:
基于预设策略路由,将所述虚像服务器产生的通信流量发送至云端。
可选地,控制路由器基于预设策略路由可以按需求制定策略进行路由选择;并通过基于目的地址端口的预设策略路由,实现对目标服务器在使用端口的流量指向实体服务器,对目标不使用的端口的流量指向虚像服务器。
可选地,控制路由器的策略路由实现的具体步骤如下:定义流分类;定义流动作;将流分类与流动作关联生成流策略,绑定流策略;应用策略路由。
本发明提供的阻断网络入侵的方法,控制路由器通过定义高级访问控制策略,实现到目标服务端口、目标不使用端口的匹配策略;并且通过设置预设策略路由使不同的数据流通过不同的链路进行发送,增强路由选择的灵活性和可控性。
在一个实施例中,所述阻断网络入侵的方法,还包括:
基于多协议标签交换虚拟专网MPLS-VPN,通过接口与所述云端连接。
可选地,控制路由器设置在需防护的实体上层,控制路由器主要使用3个接口,南向接口连接服务器网络,第一北向接口连接城域网SR(Service Router,业务路由器);基于多协议标签交换虚拟专网MPLS-VPN(Multi-Protocol Label Switching-Virtual PrivateNetwork),第二北向接口与云端连接。
本发明提供的阻断网络入侵的方法,通过控制路由器与云端连接,使控制路由器可以将虚像服务器产生的流量送往云端进行分析,从而获取入侵IP地址信息。
图3为本发明提供的阻断网络入侵的方法的流程示意图。参照图3,本发明提供的阻断网络入侵的方法包括:
S310、接收路由器发送的虚像服务器产生的通信流量;
S320、根据所述通信流量确定入侵IP地址信息,并向所述路由器发送所述入侵IP地址信息;
其中,所述虚像服务器是基于未使用的服务器端口生成的;所述入侵IP地址信息用于使所述路由器阻断入侵IP地址。
本发明提供的阻断网络入侵的方法的执行主体可以是云端,可以是云端核心分析服务器。下面以云端核心分析服务器执行上述方法为例,详细说明本申请的技术方案。
可选地,在S310中,云端核心分析服务器接收路由器发送的虚像服务器产生的通信流量。具体地,梳理需防护实体服务器的在用端口与未使用端口,在控制路由器上增加设置虚像服务器配置,对于在用端口,在控制路由器上,将在用端口通过策略路由指向实体服务器;对于未使用端口,在控制路由器上,将在未使用端口通过策略路由指向虚像服务器(即有将未使用端口的通信流量送往云端核心分析服务器进行分析),云端核心分析服务器接收上述通信流量。且未使用端口的数量越多,云端核心分析服务器分析效果越好。
在S320中,云端核心分析服务器根据所述通信流量确定入侵IP地址信息,并向所述路由器发送所述入侵IP地址信息。当云端核心识别出入侵IP后,将入侵IP自动发送给控制路由器,在控制路由器上将返回流量指向虚像(即云端核心分析服务器),通过返回流量的封堵实现对入侵IP通信的拦截。
可选地,云端核心分析服务器可以连接多个控制路由器,在确定入侵IP地址信息之后,将入侵IP地址信息自动分发给所有节点控制路由器,从而实现一点发现,多节点提前拦截防御的功能。
本发明提供的阻断网络入侵的方法,通过接收路由器发送的虚像服务器产生的通信流量,根据所述通信流量确定入侵IP地址信息,并向所述路由器发送所述入侵IP地址信息,可以正确识别入侵IP地址信息,并使所述路由器阻断入侵IP地址,实现预先防护。
在一个实施例中,所述根据所述通信流量确定入侵IP地址信息包括:
根据所述通信流量的报文特征,获取对应的源地址;
确定所述源地址不在IP地址允许列表中;
在所述源地址不在所述IP地址允许列表中的情况下,确定所述源地址不在常用IP地址列表中;
在所述源地址不在所述常用IP地址列表中的情况下,确定所述源地址不为已阻止的IP地址;
在所述源地址不为所述已阻止的IP地址的情况下,确定阻断容量不超过限额;
在所述阻断容量不超过限额的情况下,根据所述源地址确定所述入侵IP地址信息。
可选地,图4为本发明提供的阻断网络入侵的方法的确定入侵IP地址信息的流程示意图。
首先,云端核心分析服务器通过对虚像服务器产生的通信流量进行报文特征分析和通信端口数量统计,获取对应的源地址;
再根据源地址依次与IP地址允许列表、常用IP地址列表比对,判断源地址是否为已阻止地址,以及对阻断容量等条件的判断获取分析结果;
具体地,先判断源地址是否在IP地址允许列表中,若是,则结束流程;若源地址不在IP地址允许列表中,则继续判断源地址是否在常用IP地址列表中;
若源地址在常用IP地址列表中,则结束流程;若源地址不在常用IP地址列表中,则继续判断源地址是否为已阻止的IP地址;
若源地址为已阻止的IP地址,则结束流程;若源地址不为已阻止的IP地址,则继续判断阻断容量是否超限额;
若阻断容量已超限额,则删除无通信流量时间最长条目后再确定入侵IP地址信息;若阻断容量没有超限额,则可根据源地址确定入侵IP地址信息;
最终输出需阻断的入侵IP地址信息,并下发至控制路由器实现阻断。
本发明提供的阻断网络入侵的方法,通过对通信流量进行报文特征、报文统计分析,可以正确识别入侵IP地址信息。
在一个实施例中,所述阻断网络入侵的方法,还包括:
基于多协议标签交换虚拟专网MPLS-VPN,通过接口与所述路由器连接。
可选地,云端核心分析服务器基于MPLS-VPN与控制路由器连接。
本发明提供的阻断网络入侵的方法,通过云端核心分析服务器与控制路由器连接,使云端核心分析服务器可以接收虚像服务器产生的流量送往云端并进行分析,从而获取入侵IP地址信息。
图5为本发明提供的阻断网络入侵的方法的原理示意图。参照图5,本发明提供的阻断网络入侵的方法包括如下步骤:
1、控制路由器根据未使用端口,生成虚像服务器A';
2、控制路由器将所述虚像服务器产生的通信流量(图5中①箭头所示方向为通信流量传递方向)发送至云端核心分析服务器;
3、云端核心分析服务器接收路由器发送的虚像服务器产生的通信流量;并根据所述通信流量确定入侵IP地址信息,向控制路由器发送入侵IP地址信息(图5中②箭头所示方向为入侵地址信息传递方向);
4、控制路由器根据入侵IP地址信息对入侵IP地址进行拦截(图5中③箭头所示方向为拦截指令传递方向)。
本发明提供的一种阻断网络入侵的方法,通过根据未使用的服务器端口,生成虚像服务器,使得非正常通信流量被虚像服务器接收;再将所述虚像服务器产生的通信流量发送至云端,实现正确识别入侵IP地址信息;接收所述云端发送的入侵IP地址信息,并根据所述入侵IP地址信息阻断入侵IP地址,从而达到防护效果。
下面对本发明提供的阻断网络入侵的装置进行描述,下文描述的阻断网络入侵的装置与上文描述的阻断网络入侵的方法可相互对应参照。
图6为本发明提供的阻断网络入侵的装置的结构示意图,如图6所示,该装置包括:
虚像生成模块610,用于根据未使用的服务器端口,生成虚像服务器;
流量发送模块620,用于将所述虚像服务器产生的通信流量发送至云端;
地址阻断模块630,用于接收所述云端发送的入侵IP地址信息,并根据所述入侵IP地址信息阻断入侵IP地址;
其中,所述入侵IP地址信息是所述云端根据所述虚像服务器产生的通信流量确定的。
本发明提供的一种阻断网络入侵的装置,通过根据未使用的服务器端口,生成虚像服务器,使得非正常通信流量被虚像服务器接收;再将所述虚像服务器产生的通信流量发送至云端,实现正确识别入侵IP地址信息;接收所述云端发送的入侵IP地址信息,并根据所述入侵IP地址信息阻断入侵IP地址,从而达到防护效果。
在一个实施例中,流量发送模块620还具体用于:
基于预设策略路由,将所述虚像服务器产生的通信流量发送至云端。
在一个实施例中,所述阻断网络入侵的装置还包括:
基于多协议标签交换虚拟专网MPLS-VPN,通过接口与所述云端连接。
图7为本发明提供的阻断网络入侵的装置的结构示意图,如图7所示,该装置包括:
流量接收模块710,用于接收路由器发送的虚像服务器产生的通信流量;
地址发送模块720,用于根据所述通信流量确定入侵IP地址信息,并向所述路由器发送所述入侵IP地址信息;
其中,所述虚像服务器是基于未使用的服务器端口生成的;所述入侵IP地址信息用于使所述路由器阻断入侵IP地址。
本发明提供的阻断网络入侵的装置,通过接收路由器发送的虚像服务器产生的通信流量,根据所述通信流量确定入侵IP地址信息,并向所述路由器发送所述入侵IP地址信息,可以正确识别入侵IP地址信息,并使所述路由器阻断入侵IP地址,实现预先防护。
在一个实施例中,地址发送模块720还具体用于:
根据所述通信流量的报文特征,获取对应的源地址;
确定所述源地址不在IP地址允许列表中;
在所述源地址不在所述IP地址允许列表中的情况下,确定所述源地址不在常用IP地址列表中;
在所述源地址不在所述常用IP地址列表中的情况下,确定所述源地址不为已阻止的IP地址;
在所述源地址不为所述已阻止的IP地址的情况下,确定阻断容量不超过限额;
在所述阻断容量不超过限额的情况下,根据所述源地址确定所述入侵IP地址信息。
在一个实施例中,所述阻断网络入侵的装置还包括:
基于多协议标签交换虚拟专网MPLS-VPN,通过接口与所述路由器连接。
图8示例了一种电子设备的结构示意图,如图8所示,该电子设备可以包括:处理器(processor)810、通信接口(CommunicationInterface)820、存储器(memory)830和通信总线840,其中,处理器810,通信接口820,存储器830通过通信总线840完成相互间的通信。处理器810可以调用存储器830中的计算机程序,以执行阻断网络入侵的方法的步骤,例如包括:
根据未使用的服务器端口,生成虚像服务器;
将所述虚像服务器产生的通信流量发送至云端;
接收所述云端发送的入侵IP地址信息,并根据所述入侵IP地址信息阻断入侵IP地址;
其中,所述入侵IP地址信息是所述云端根据所述虚像服务器产生的通信流量确定的。
或者,处理器810可以调用存储器830中的计算机程序,以执行另一种阻断网络入侵的方法的步骤,例如包括:
接收路由器发送的虚像服务器产生的通信流量;
根据所述通信流量确定入侵IP地址信息,并向所述路由器发送所述入侵IP地址信息;
其中,所述虚像服务器是基于未使用的服务器端口生成的;所述入侵IP地址信息用于使所述路由器阻断入侵IP地址。
此外,上述的存储器830中的逻辑指令可以通过软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-OnlyMemory)、随机存取存储器(RAM,RandomAccessMemory)、磁碟或者光盘等各种可以存储程序代码的介质。
另一方面,本发明还提供一种计算机程序产品,所述计算机程序产品包括存储在非暂态计算机可读存储介质上的计算机程序,所述计算机程序包括程序指令,当所述程序指令被计算机执行时,计算机能够执行上述各方法所提供的阻断网络入侵的方法,该方法包括:
根据未使用的服务器端口,生成虚像服务器;
将所述虚像服务器产生的通信流量发送至云端;
接收所述云端发送的入侵IP地址信息,并根据所述入侵IP地址信息阻断入侵IP地址;
其中,所述入侵IP地址信息是所述云端根据所述虚像服务器产生的通信流量确定的。
或者,计算机能够执行上述各方法所提供的另一种阻断网络入侵的方法,该方法包括:
接收路由器发送的虚像服务器产生的通信流量;
根据所述通信流量确定入侵IP地址信息,并向所述路由器发送所述入侵IP地址信息;
其中,所述虚像服务器是基于未使用的服务器端口生成的;所述入侵IP地址信息用于使所述路由器阻断入侵IP地址。
另一方面,本申请实施例还提供一种处理器可读存储介质,所述处理器可读存储介质存储有计算机程序,所述计算机程序用于使所述处理器执行上述各实施例提供的阻断网络入侵的方法,例如包括:
根据未使用的服务器端口,生成虚像服务器;
将所述虚像服务器产生的通信流量发送至云端;
接收所述云端发送的入侵IP地址信息,并根据所述入侵IP地址信息阻断入侵IP地址;
其中,所述入侵IP地址信息是所述云端根据所述虚像服务器产生的通信流量确定的。
或者,所述计算机程序用于使所述处理器执行上述各实施例提供的另一种阻断网络入侵的方法,例如包括:
接收路由器发送的虚像服务器产生的通信流量;
根据所述通信流量确定入侵IP地址信息,并向所述路由器发送所述入侵IP地址信息;
其中,所述虚像服务器是基于未使用的服务器端口生成的;所述入侵IP地址信息用于使所述路由器阻断入侵IP地址。
所述处理器可读存储介质可以是处理器能够存取的任何可用介质或数据存储设备,包括但不限于磁性存储器(例如软盘、硬盘、磁带、磁光盘(MO)等)、光学存储器(例如CD、DVD、BD、HVD等)、以及半导体存储器(例如ROM、EPROM、EEPROM、非易失性存储器(NANDFLASH)、固态硬盘(SSD))等。
以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下,即可以理解并实施。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件。基于这样的理解,上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在计算机可读存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行各个实施例或者实施例的某些部分所述的方法。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
Claims (8)
1.一种阻断网络入侵的方法,其特征在于,包括:
根据未使用的服务器端口,生成虚像服务器;
将所述虚像服务器产生的通信流量发送至云端;
接收所述云端发送的入侵IP地址信息,并根据所述入侵IP地址信息阻断入侵IP地址;
其中,所述入侵IP地址信息是所述云端根据所述虚像服务器产生的通信流量确定的;
所述将所述虚像服务器产生的通信流量发送至云端包括:
基于预设策略路由,将所述虚像服务器产生的通信流量发送至云端;所述预设策略路由使不同的数据流通过不同的链路进行发送;
所述预设策略路由实现的具体步骤如下:定义流分类;定义流动作;将流分类与流动作关联生成流策略,绑定流策略;应用策略路由。
2.根据权利要求1所述的阻断网络入侵的方法,其特征在于,还包括:
基于多协议标签交换虚拟专网MPLS-VPN,通过接口与所述云端连接。
3.一种阻断网络入侵的方法,其特征在于,应用于云端,所述云端连接多个控制路由器,包括:
接收目标控制路由器发送的虚像服务器产生的通信流量;
根据所述通信流量确定入侵IP地址信息,并向所述多个控制路由器发送所述入侵IP地址信息;
其中,所述虚像服务器是基于未使用的服务器端口生成的;所述入侵IP地址信息用于使所述路由器阻断入侵IP地址;
所述根据所述通信流量确定入侵IP地址信息包括:
根据所述通信流量的报文特征和端口数量,获取对应的源地址;
确定所述源地址不在IP地址允许列表中;
在所述源地址不在所述IP地址允许列表中的情况下,确定所述源地址不在常用IP地址列表中;
在所述源地址不在所述常用IP地址列表中的情况下,确定所述源地址不为已阻止的IP地址;
在所述源地址不为所述已阻止的IP地址的情况下,确定阻断容量不超过限额;
在所述阻断容量不超过限额的情况下,根据所述源地址确定所述入侵IP地址信息。
4.根据权利要求3所述的阻断网络入侵的方法,其特征在于,还包括:
基于多协议标签交换虚拟专网MPLS-VPN,通过接口与所述路由器连接。
5.一种阻断网络入侵的装置,其特征在于,包括:
虚像生成模块,用于根据未使用的服务器端口,生成虚像服务器;
流量发送模块,用于将所述虚像服务器产生的通信流量发送至云端;
地址阻断模块,用于接收所述云端发送的入侵IP地址信息,并根据所述入侵IP地址信息阻断入侵IP地址;
其中,所述入侵IP地址信息是所述云端根据所述虚像服务器产生的通信流量确定的;
所述流量发送模块,具体用于:
基于预设策略路由,将所述虚像服务器产生的通信流量发送至云端;所述预设策略路由使不同的数据流通过不同的链路进行发送;
所述预设策略路由实现的具体步骤如下:定义流分类;定义流动作;将流分类与流动作关联生成流策略,绑定流策略;应用策略路由。
6.一种阻断网络入侵的装置,其特征在于,包括:
流量接收模块,用于接收路由器发送的虚像服务器产生的通信流量;
地址发送模块,用于根据所述通信流量确定入侵IP地址信息,并向所述路由器发送所述入侵IP地址信息;
其中,所述虚像服务器是基于未使用的服务器端口生成的;所述入侵IP地址信息用于使所述路由器阻断入侵IP地址;
所述地址发送模块,具体用于:
根据所述通信流量的报文特征,获取对应的源地址;
确定所述源地址不在IP地址允许列表中;
在所述源地址不在所述IP地址允许列表中的情况下,确定所述源地址不在常用IP地址列表中;
在所述源地址不在所述常用IP地址列表中的情况下,确定所述源地址不为已阻止的IP地址;
在所述源地址不为所述已阻止的IP地址的情况下,确定阻断容量不超过限额;
在所述阻断容量不超过限额的情况下,根据所述源地址确定所述入侵IP地址信息。
7.一种电子设备,包括处理器和存储有计算机程序的存储器,其特征在于,所述处理器执行所述计算机程序时实现权利要求1或2所述阻断网络入侵的方法的步骤,或实现权利要求3或4所述阻断网络入侵的方法的步骤。
8.一种处理器可读存储介质,其特征在于,所述处理器可读存储介质存储有计算机程序,所述计算机程序用于使所述处理器执行权利要求1或2所述阻断网络入侵的方法的步骤,或执行权利要求3或4所述阻断网络入侵的方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110414402.6A CN115225297B (zh) | 2021-04-16 | 2021-04-16 | 一种阻断网络入侵的方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110414402.6A CN115225297B (zh) | 2021-04-16 | 2021-04-16 | 一种阻断网络入侵的方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN115225297A CN115225297A (zh) | 2022-10-21 |
| CN115225297B true CN115225297B (zh) | 2024-05-03 |
Family
ID=83604403
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110414402.6A Active CN115225297B (zh) | 2021-04-16 | 2021-04-16 | 一种阻断网络入侵的方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN115225297B (zh) |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR100625096B1 (ko) * | 2006-03-27 | 2006-09-15 | 주식회사 윈스테크넷 | 트래픽 변화량과 해킹 위협률의 상호 연관성 분석에 기초한예경보 방법 및 그 시스템 |
| KR20090106197A (ko) * | 2008-04-04 | 2009-10-08 | 숭실대학교산학협력단 | 클라이언트 단말장치를 이용한 침입 탐지 장치 및 그방법과 네트워크 보안 시스템 및 네트워크 보안 방법 |
| CN104580120A (zh) * | 2013-10-28 | 2015-04-29 | 北京启明星辰信息技术股份有限公司 | 一种可按需服务的虚拟化网络入侵检测方法和装置 |
| CN107896215A (zh) * | 2017-11-24 | 2018-04-10 | 北京国网富达科技发展有限责任公司 | 一种基于虚拟机的入侵检测系统的部署方法及装置 |
| CN108600003A (zh) * | 2018-04-19 | 2018-09-28 | 中国科学院信息工程研究所 | 一种面向视频监控网络的入侵检测方法、装置及系统 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20140101724A1 (en) * | 2012-10-10 | 2014-04-10 | Galois, Inc. | Network attack detection and prevention based on emulation of server response and virtual server cloning |
-
2021
- 2021-04-16 CN CN202110414402.6A patent/CN115225297B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR100625096B1 (ko) * | 2006-03-27 | 2006-09-15 | 주식회사 윈스테크넷 | 트래픽 변화량과 해킹 위협률의 상호 연관성 분석에 기초한예경보 방법 및 그 시스템 |
| KR20090106197A (ko) * | 2008-04-04 | 2009-10-08 | 숭실대학교산학협력단 | 클라이언트 단말장치를 이용한 침입 탐지 장치 및 그방법과 네트워크 보안 시스템 및 네트워크 보안 방법 |
| CN104580120A (zh) * | 2013-10-28 | 2015-04-29 | 北京启明星辰信息技术股份有限公司 | 一种可按需服务的虚拟化网络入侵检测方法和装置 |
| CN107896215A (zh) * | 2017-11-24 | 2018-04-10 | 北京国网富达科技发展有限责任公司 | 一种基于虚拟机的入侵检测系统的部署方法及装置 |
| CN108600003A (zh) * | 2018-04-19 | 2018-09-28 | 中国科学院信息工程研究所 | 一种面向视频监控网络的入侵检测方法、装置及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN115225297A (zh) | 2022-10-21 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10193924B2 (en) | Network intrusion diversion using a software defined network | |
| CN110071929B (zh) | 一种基于虚拟化平台的海量诱饵捕获攻击源的防御方法 | |
| US11570212B2 (en) | Method and apparatus for defending against network attack | |
| US6513122B1 (en) | Secure gateway for analyzing textual content to identify a harmful impact on computer systems with known vulnerabilities | |
| US9407602B2 (en) | Methods and apparatus for redirecting attacks on a network | |
| KR101010465B1 (ko) | 엔드포인트 리소스를 사용하는 네트워크 보안 요소 | |
| US9491185B2 (en) | Proactive containment of network security attacks | |
| CN110099040B (zh) | 一种基于大量部署诱饵主机探测拦截内网攻击源的防御方法 | |
| CN108270722B (zh) | 一种攻击行为检测方法和装置 | |
| CN112910907A (zh) | 一种防御方法、装置、客户机、服务器、存储介质及系统 | |
| Narayanan et al. | Mitigation of security attacks in the SDN data plane using P4-enabled switches | |
| Affinito et al. | The evolution of Mirai botnet scans over a six-year period | |
| KR101593897B1 (ko) | 방화벽, ids 또는 ips를 우회하는 네트워크 스캔 방법 | |
| Rahman et al. | Holistic approach to arp poisoning and countermeasures by using practical examples and paradigm | |
| CN115225297B (zh) | 一种阻断网络入侵的方法及装置 | |
| Alsunbul et al. | A network defense system for detecting and preventing potential hacking attempts | |
| Zemene et al. | Implementing high interaction honeypot to study SSH attacks | |
| Karakate et al. | SDNHive: a proof-of-concept SDN and honeypot system for defending against internal threats | |
| Khirwadkar | Defense against network attacks using game theory | |
| Rodrigues et al. | Design and implementation of a low-cost low interaction IDS/IPS system using virtual honeypot approach | |
| CN115208596B (zh) | 网络入侵防御方法、装置及存储介质 | |
| CN112671783B (zh) | 一种基于vlan用户组的防主机ip扫描方法 | |
| Zhai et al. | Research on applications of honeypot in Campus Network security | |
| CN117411711A (zh) | 一种入侵检测防御系统的威胁阻断方法 | |
| Sheikh | Denial of Service |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |