CN116055171A - 一种防火墙端口管理方法及系统 - Google Patents
一种防火墙端口管理方法及系统 Download PDFInfo
- Publication number
- CN116055171A CN116055171A CN202310036833.2A CN202310036833A CN116055171A CN 116055171 A CN116055171 A CN 116055171A CN 202310036833 A CN202310036833 A CN 202310036833A CN 116055171 A CN116055171 A CN 116055171A
- Authority
- CN
- China
- Prior art keywords
- port
- target
- index
- service
- security
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000007726 management method Methods 0.000 title claims abstract description 128
- 238000001514 detection method Methods 0.000 claims abstract description 27
- 238000012545 processing Methods 0.000 claims abstract description 17
- 230000008859 change Effects 0.000 claims description 30
- 238000012423 maintenance Methods 0.000 claims description 14
- 238000004364 calculation method Methods 0.000 claims description 3
- 230000002159 abnormal effect Effects 0.000 abstract description 12
- 238000012544 monitoring process Methods 0.000 description 16
- 238000000034 method Methods 0.000 description 14
- 230000009471 action Effects 0.000 description 5
- 238000010586 diagram Methods 0.000 description 4
- 230000004048 modification Effects 0.000 description 4
- 238000012986 modification Methods 0.000 description 4
- 230000008569 process Effects 0.000 description 3
- 230000000694 effects Effects 0.000 description 2
- 230000003993 interaction Effects 0.000 description 2
- 230000001788 irregular Effects 0.000 description 2
- 230000007123 defense Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0209—Architectural arrangements, e.g. perimeter networks or demilitarized zones
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D30/00—Reducing energy consumption in communication networks
- Y02D30/50—Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate
Abstract
本发明提出了一种防火墙端口管理方法及系统,通过从第一IP地址数据库中读取第一IP地址列表,以第一时间周期为循环周期对所述IP地址列表中的IP地址执行活动状态检测,以将所述IP地址列表中的IP地址划分为活动IP和非活动IP,以第二时间周期为循环周期对所述活动IP的至少一个目标端口进行检测,所述第二时间周期小于所述第一时间周期,确定所述至少一个目标端口的服务访问指标、服务管理指标以及端口安全性指标,根据所述至少一个目标端口的服务访问指标、服务管理指标以及端口安全性执行相应的安全处理操作,可以及时发现服务器端口的异常开放情况,避免造成端口的不当开放带来的严重损失。
Description
技术领域
本发明涉及网络安全技术领域,特别涉及一种防火墙端口管理方法及系统。
背景技术
云服务器作为面向互联网提供服务的设备,其IP地址(Internet ProtocolAddress,互联网协议地址)直接暴露在互联网上,防火墙是云服务器在网络安全方面的极为重要的一道防线,通过拦截未开放端口的恶意访问,为云服务器拦截来自于互联网的各种威胁。然而在现实情况中,由于服务器运维人员或者其他服务器管理人员的一些不规范操作,也会导致将高危端口开放的情况,使黑客得以利用这些端口的安全漏洞对云服务器实行攻击,造成不可挽回的损失。
发明内容
本发明正是基于上述问题,提出了一种防火墙端口管理方法及系统,可以及时发现服务器端口的异常开放情况,避免造成端口的不当开放带来的严重损失。
有鉴于此,本发明的第一方面提出了一种防火墙端口管理方法,包括:
从第一IP地址数据库中读取第一IP地址列表;
以第一时间周期为循环周期对所述IP地址列表中的IP地址执行活动状态检测,以将所述IP地址列表中的IP地址划分为活动IP和非活动IP;
以第二时间周期为循环周期对所述活动IP的至少一个目标端口进行检测,所述第二时间周期小于所述第一时间周期;
确定所述至少一个目标端口的服务访问指标、服务管理指标以及端口安全性指标;
根据所述至少一个目标端口的服务访问指标、服务管理指标以及端口安全性执行相应的安全处理操作。
进一步的,在上述的防火墙端口管理方法中,所述确定所述至少一个目标端口的服务访问指标的步骤具体包括:
从第二IP地址数据库中读取第二IP地址列表;
获取所述第二IP地址列表中的IP地址在预设时间段内通过所述至少一个目标端口访问相应服务的次数和时间间隔;
根据所述访问次数和时间间隔确定所述至少一个目标端口的服务访问指标。
进一步的,在上述的防火墙端口管理方法中,确定所述至少一个目标端口的服务管理指标的步骤具体包括:
确定监听所述至少一个目标端口的目标服务程序信息;
获取预设时间段内所述目标服务程序的变更操作次数,所述目标服务程序的变更操作包括服务程序的启动、停止以及参数配置操作;
从所述变更操作次数中去掉来自于系统应用程序或其它具备所述目标服务程序操作权限的其它三方程序的操作次数;
根据所述变更操作次数确定所述至少一个目标端口的服务管理指标。
进一步的,在上述的防火墙端口管理方法中,确定所述至少一个目标端口的端口安全性指标的步骤具体包括:
确定监听所述至少一个目标端口的目标服务程序信息,所述目标服务程序信息包括所述目标服务程序的名称及其版本号;
从安全漏洞数据库中确定是否存在所述目标服务程序的安全漏洞;
当确定为是时,根据所述目标服务程序的安全漏洞的数量和危害等级确定所述至少一个目标端口的端口安全性指标。
进一步的,在上述的防火墙端口管理方法中,根据所述至少一个目标端口的服务访问指标、服务管理指标以及端口安全性执行相应的安全处理操作的步骤具体包括:
当所述服务访问指标小于预设的第一阈值和/或所述服务管理指标小于预设的第二阈值时,关闭所述目标端口;
当所述服务访问指标和/或所述服务管理指标大于预设的第一阈值且所述安全性指标低于预设的第三阈值时,向预设的运维人员发出安全预警。
本发明的第二方面提出了一种防火墙端口管理系统,包括:
第一IP地址读取模块,用于从第一IP地址数据库中读取第一IP地址列表;
活动状态检测模块,用于以第一时间周期为循环周期对所述IP地址列表中的IP地址执行活动状态检测,以将所述IP地址列表中的IP地址划分为活动IP和非活动IP;
目标端口检测模块,用于以第二时间周期为循环周期对所述活动IP的至少一个目标端口进行检测,所述第二时间周期小于所述第一时间周期;
指标确定模块,用于确定所述至少一个目标端口的服务访问指标、服务管理指标以及端口安全性指标;
安全操作执行模块,用于根据所述至少一个目标端口的服务访问指标、服务管理指标以及端口安全性执行相应的安全处理操作。
进一步的,在上述的防火墙端口管理系统中,所述指标确定模块包括:
第二IP地址读取模块,用于从第二IP地址数据库中读取第二IP地址列表;
端口访问信息获取模块,用于获取所述第二IP地址列表中的IP地址在预设时间段内通过所述至少一个目标端口访问相应服务的次数和时间间隔;
服务访问指标确定模块,用于根据所述访问次数和时间间隔确定所述至少一个目标端口的服务访问指标。
进一步的,在上述的防火墙端口管理系统中,所述指标确定模块包括:
目标服务程序确定模块,用于确定监听所述至少一个目标端口的目标服务程序信息;
变更操作次数获取模块,用于获取预设时间段内所述目标服务程序的变更操作次数,所述目标服务程序的变更操作包括服务程序的启动、停止以及参数配置操作;
操作次数计算模块,用于从所述变更操作次数中去掉来自于系统应用程序或其它具备所述目标服务程序操作权限的其它三方程序的操作次数;
服务管理指标确定模块,用于根据所述变更操作次数确定所述至少一个目标端口的服务管理指标。
进一步的,在上述的防火墙端口管理系统中,所述指标确定模块包括:
目标服务程序确定模块,确定监听所述至少一个目标端口的目标服务程序信息,所述目标服务程序信息包括所述目标服务程序的名称及其版本号;
安全漏洞确定模块,用于从安全漏洞数据库中确定是否存在所述目标服务程序的安全漏洞;
端口安全性指标确定模块,用于当确定为是时,根据所述目标服务程序的安全漏洞的数量和危害等级确定所述至少一个目标端口的端口安全性指标。
进一步的,在上述的防火墙端口管理系统中,所述安全操作执行模块包括:
目标端口关闭模块,用于当所述服务访问指标小于预设的第一阈值和/或所述服务管理指标小于预设的第二阈值时,关闭所述目标端口;
安全预警模块,用于当所述服务访问指标和/或所述服务管理指标大于预设的第一阈值且所述安全性指标低于预设的第三阈值时,向预设的运维人员发出安全预警。
本发明提出了一种防火墙端口管理方法及系统,通过从第一IP地址数据库中读取第一IP地址列表,以第一时间周期为循环周期对所述IP地址列表中的IP地址执行活动状态检测,以将所述IP地址列表中的IP地址划分为活动IP和非活动IP,以第二时间周期为循环周期对所述活动IP的至少一个目标端口进行检测,所述第二时间周期小于所述第一时间周期,确定所述至少一个目标端口的服务访问指标、服务管理指标以及端口安全性指标,根据所述至少一个目标端口的服务访问指标、服务管理指标以及端口安全性执行相应的安全处理操作,可以及时发现服务器端口的异常开放情况,避免造成端口的不当开放带来的严重损失。
附图说明
图1是本发明一个实施例提供的一种防火墙端口管理方法的示意流程图;
图2是本发明一个实施例提供的一种服务访问指标确定方法的示意流程图;
图3是本发明一个实施例提供的一种服务管理指标确定方法的示意流程图;
图4是本发明一个实施例提供的一种端口安全性指标确定方法的示意流程图;
图5是本发明一个实施例提供的一种安全处理操作执行方法的示意流程图;
图6是本发明一个实施例提供的一种防火墙端口管理系统的示意框图。
具体实施方式
为了能够更清楚地理解本发明的上述目的、特征和优点,下面结合附图和具体实施方式对本发明进行进一步的详细描述。需要说明的是,在不冲突的情况下,本申请的实施例及实施例中的特征可以相互组合。
在下面的描述中阐述了很多具体细节以便于充分理解本发明,但是,本发明还可以采用其他不同于在此描述的方式来实施,因此,本发明的保护范围并不受下面公开的具体实施例的限制。
在本发明的描述中,术语“多个”则指两个或两个以上,除非另有明确的限定,术语“上”、“下”等指示的方位或位置关系为基于附图所示的方位或位置关系,仅是为了便于描述本发明和简化描述,而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作,因此不能理解为对本发明的限制。术语“连接”、“安装”、“固定”等均应做广义理解,例如,“连接”可以是固定连接,也可以是可拆卸连接,或一体地连接;可以是直接相连,也可以通过中间媒介间接相连。对于本领域的普通技术人员而言,可以根据具体情况理解上述术语在本发明中的具体含义。此外,术语“第一”、“第二”等仅用于描述目的,而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此,限定有“第一”、“第二”等的特征可以明示或者隐含地包括一个或者更多个该特征。在本发明的描述中,除非另有说明,“多个”的含义是两个或两个以上。
在本说明书的描述中,术语“一个实施例”、“一些实施方式”、“具体实施例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或特点包含于本发明的至少一个实施例或示例中。在本说明书中,对上述术语的示意性表述不一定指的是相同的实施例或实例。而且,描述的具体特征、结构、材料或特点可以在任何的一个或多个实施例或示例中以合适的方式结合。
下面参照图1至图6来描述根据本发明一些实施方式提供的一种防火墙端口管理方法及系统。
如图1所示,本发明的第一方面提出了一种防火墙端口管理方法,包括:
S100:从第一IP地址数据库中读取第一IP地址列表。所述第一IP地址数据库中存储有需要进行防火墙端口管理的一个或一个以上的目标云服务器的IP地址,具体的,可以将所述一个或一个以上的目标云服务器中的任一个配置为监控节点,或者将具有所述一个或一个以上的目标云服务器安全管理权限的其它云服务器或者其它计算机设备配置为监控节点,将本发明提供的防火墙端口管理系统运行于所述监控节点中。进一步的,在本发明的一些实施方式中,在所述需要进行防火墙端口管理的目标云服务器数量较多的情况下,可以将所述目标云服务器划分为多个群组,分别由不同的监控节点对其进行端口安全监测以提高端口安全监测效率。
S200:以第一时间周期为循环周期对所述IP地址列表中的IP地址执行活动状态检测,以将所述IP地址列表中的IP地址划分为活动IP和非活动IP。使用IP地址探测命令或者IP地址探测工具可以探测到IP地址的活动状态,目标云服务器一般为24小时不间断运行的服务器设备,无需频繁对其活动状态进行检测,所述第一时间周期可以配置为较长的循环周期,例如以一天、三天甚至一周配置为循环周期对所述目标云服务器的活动状态进行检测即可。目标云服务器由于人为操作原因、计划任务原因或者异常原因等被关闭或者处于网络中断状态不再继续对外提供网络服务,将所述IP地址列表中的非活动IP地址识别出来后,可以节省对这些IP地址的检测时间。
S300:以第二时间周期为循环周期对所述活动IP的至少一个目标端口进行检测,所述第二时间周期小于所述第一时间周期。在本发明的一些实施方式中,所述至少一个目标端口为高危端口,例如135、139、445、593、1025、2745、3306、3127、3389、6129等TCP端口以及135、137、138、445等UDP端口,通过对这些高危端口的定期检测以避免高危端口被无意开放导致系统安全受到威胁。在本发明的一些实施方式中,所述至少一个目标端口为所述活动IP的全部端口即65535个端口,由于开发人员或者运维人员在开发或者部署服务时为了安全考虑会将服务的默认端口修改为其它端口,但简单的修改默认端口无法抵御来自于恶意端口扫描工具的扫描和入侵行为,因此需要对全部端口进行安全检测才能更加全面地防范来自互联网的安全威胁。进一步的,所述防火墙端口管理系统以第二时间周期为循环周期对所述活动IP的高危端口进行检测,以第三时间周期为循环周期对所述活动IP的全部端口进行检测,所述第二时间周期小于所述第三时间周期,且所述第二时间周期与所述第三时间周期均小于所述第一时间周期。具体的,可以将所述第二时间周期配置为一个较小的时间间隔,例如每5分钟或者每10分钟一次对所述活动IP的高危端口进行检测,使得高危端口被意外开放的时间窗口小于5分钟或者10分钟,避免高危端口的长时间开放被恶意程序所利用对所述目标云服务器造成损害。另外,可以以小时为单位配置所述第三时间周期,例如,每3个小时或者每6个小时对所述活动IP的全部端口进行一次检测。
S400:确定所述至少一个目标端口的服务访问指标、服务管理指标以及端口安全性指标。以前述步骤配置的端口检测周期对的所述活动IP对应的目标云服务器的高危端口及其它端口进行多维度指标的评价得到相应的指标数据,以根据这些指标数据确定后续需要执行的安全处理操作。所述服务访问指标用于评价开放所述目标端口使监听所述目标端口的服务程序对外提供服务的必要性,所述服务管理指标用于评价所述目标云服务器的运维人员以及其他管理人员对所述目标端口以及监听所述目标端口的服务程序的关注程度,所述端口安全性指标用于评价监听所述目标端口的服务程序的安全性。
S500:根据所述至少一个目标端口的服务访问指标、服务管理指标以及端口安全性执行相应的安全处理操作。
采用上述实施方式的技术方案,通过从第一IP地址数据库中读取第一IP地址列表,以第一时间周期为循环周期对所述IP地址列表中的IP地址执行活动状态检测,以将所述IP地址列表中的IP地址划分为活动IP和非活动IP,以第二时间周期为循环周期对所述活动IP的至少一个目标端口进行检测,所述第二时间周期小于所述第一时间周期,确定所述至少一个目标端口的服务访问指标、服务管理指标以及端口安全性指标,根据所述至少一个目标端口的服务访问指标、服务管理指标以及端口安全性执行相应的安全处理操作,可以及时发现服务器端口的异常开放情况,避免造成端口的不当开放带来的严重损失。
如图2所示,在上述的防火墙端口管理方法中,所述确定所述至少一个目标端口的服务访问指标的步骤具体包括:
S411:从第二IP地址数据库中读取第二IP地址列表。在该实施方式的技术方案中,在确定所述至少一个目标端口的服务访问指标的步骤之前,所述目标云服务器接收到任意访问请求时,将所述访问请求的来源IP地址记录到所述第二IP地址数据库中,将所述访问请求中的目标端口信息、监听所述目标端口的服务程序信息、访问时间信息等记录到访问历史数据库中。通过记录所述目标云服务器的访问请求信息,特别是访问请求的来源IP地址信息,可以对发出访问请求的设备属地特征进行统计分析,发现网络威胁来源的属地特征。通过对所述目标云服务器在所述访问历史数据库中记录的历史访问信息的分析,可以在一定程度上识别出有效访问请求和无效访问请求,并在所述无效访问请求中辨识出恶意访问请求。例如,当一个来源IP地址在一次连接的生命周期内的访问请求中包含了多次正常交互行为,例如登录行为、web页面跳转行为、业务数据请求行为等,则这些访问请求可以被识别为有效访问请求,当一个来源IP频繁对多个目标云服务器的同一个端口发送相同访问请求,或者对同一个目标云服务器的多个端口进行扫描,则这些访问请求可以被识别为无效访问请求甚至是恶意访问请求。
S412:获取所述第二IP地址列表中的IP地址在预设时间段内通过所述至少一个目标端口访问相应服务的次数和时间间隔。根据所述目标云服务器在所述访问历史数据库中记录的历史访问信息,可以得到所述所述第二IP地址列表中的IP地址在预设时间段内通过所述至少一个目标端口访问相应服务的次数和时间间隔。所述预设时间段根据需要可以被配置为近三个月、近半年或者近一年等。进一步的,上述通过所述至少一个目标端口访问相应服务的次数和时间间隔的统计仅包含对有效访问请求的统计。
S413:根据所述访问次数和时间间隔确定所述至少一个目标端口的服务访问指标。所述服务访问指标可以采用月度平均访问次数、平均访问时间间隔等表现形式,从而用于评价开放所述目标端口使监听所述目标端口的服务程序对外提供服务的必要性。
如图3所示,在上述的防火墙端口管理方法中,确定所述至少一个目标端口的服务管理指标的步骤具体包括:
S421:确定监听所述至少一个目标端口的目标服务程序信息。当一个服务程序被正常启动后,其将占用一个端口以从该端口监听来自于互联网的访问请求,为了保证服务程序能够正常对外提供服务,同一个端口仅能被一个服务程序所占用。
S422:获取预设时间段内所述目标服务程序的变更操作次数,所述目标服务程序的变更操作包括服务程序的启动、停止以及参数配置操作。在所述目标云服务器运行目标服务程序对外提供服务时,为了了解服务的运行状态、保障服务的正常运行或者对服务程序/数据进行升级更新等,所述目标云服务器的运维人员或者其他管理人员会定时或不定时登录所述云服务器对所述服务程序进行操作,例如关闭服务程序以对其进行更新维护后重新启动或者配置其运行参数以适应运行环境的变化等。同样的,所述预设时间段根据需要可以被配置为近三个月、近半年或者近一年等。
S423:从所述变更操作次数中去掉来自于系统应用程序或其它具备所述目标服务程序操作权限的其它三方程序的操作次数。服务程序的变更操作除了来自于所述目标云服务器的运维人员或者其他管理人员,也有一些特殊情况是不在所述目标云服务器的运维人员或者其他管理人员预期或者计划之内的情况,例如由于断电、程序错误导致的云服务器的异常关机、异常重启等,也包括一些在所述目标云服务器的运维人员或者其他管理人员预期或者计划内,但是所述目标云服务器的运维人员或者其他管理人员未直接参与操作的情况,例如通过计划任务或者所述目标服务程序操作权限的其它三方程序定期对系统或者所述服务程序进行启动、关闭或变更配置参数等,需要将这些所述目标云服务器的运维人员或者其他管理人员未参与或者未直接参的操作次数从所述目标服务程序的变更操作次数中去除后,剩余的变更操作次数才能正确反映所述目标云服务器的运维人员以及其他管理人员对所述目标端口以及监听所述目标端口的服务程序的关注程度。
S424:根据所述变更操作次数确定所述至少一个目标端口的服务管理指标。所述服务管理指标可以采用月度平均操作次数、平均操作间隔时长等表现形式。从而用于评价所述目标云服务器的运维人员以及其他管理人员对所述目标端口以及监听所述目标端口的服务程序的关注程度。
如图4所示,在上述的防火墙端口管理方法中,确定所述至少一个目标端口的端口安全性指标的步骤具体包括:
S431:确定监听所述至少一个目标端口的目标服务程序信息,所述目标服务程序信息包括所述目标服务程序的名称及其版本号。当一个服务程序被正常启动后,其将占用一个端口以从该端口监听来自于互联网的访问请求,为了保证服务程序能够正常对外提供服务,同一个端口仅能被一个服务程序所占用。进一步的,所述目标服务程序信息还包括所述目标服务程序已经安装的安全补丁信息。
S432:从安全漏洞数据库中确定是否存在所述目标服务程序的安全漏洞。通过自建的安全漏洞数据库或者三方安全漏洞数据库,可以查询到所述目标云服务器上安装的所述目标服务程序版本是否存在安全漏洞以及可用于修复所述安全漏洞的安全补丁信息。具体的,所述从安全漏洞数据库中确定是否存在所述目标服务程序的安全漏洞具体为确定是否存在的所述目标服务程序未安装相应安全补丁的安全漏洞。
S433:当确定为是时,根据所述目标服务程序的安全漏洞的数量和危害等级确定所述至少一个目标端口的端口安全性指标。同一个目标服务程序可能会存在多个安全漏洞,不同的安全漏洞对应了不同的危害等级。所述端口安全性指标与所述安全漏洞数量以及对应的危害等级正相关,例如可以根据每一个安全漏洞的危害等级为其设置一个危害值,使用所述目标服务程序的所有安全漏洞的危害值之和的倒数作为所述端口安全性指标。
如图5所示,在上述的防火墙端口管理方法中,根据所述至少一个目标端口的服务访问指标、服务管理指标以及端口安全性执行相应的安全处理操作的步骤具体包括:
S510:当所述服务访问指标小于预设的第一阈值和/或所述服务管理指标小于预设的第二阈值时,关闭所述目标端口。在本发明的一些实施方式中,当所述服务访问指标与所述服务管理指标均低于阈值时,表示开放所述目标端口使监听所述目标端口的服务程序对外提供服务的必要性以及所述目标云服务器的运维人员以及其他管理人员对所述目标端口以及监听所述目标端口的服务程序的关注程度均低于预期,通过关闭所述目标服务程序所监听的端口以防止所述端口被恶意利用以对所述目标云服务器造成危害。
S520:当所述服务访问指标和/或所述服务管理指标大于预设的第一阈值且所述安全性指标低于预设的第三阈值时,向预设的运维人员发出安全预警。在本发明的一些实施方式中,当所述服务访问指标与所述服务管理指标任一项高于阈值但所述所述端口安全性指标低于阈值时,通过系统通知、邮件或其它通知方式向运维人员发出安全预警,以提醒运维人员升级所述目标服务程序、为所述目标服务程序安装安全补丁、关闭所述目标服务程序或者关闭所述目标服务程序所监听的端口。
如图6所示,本发明的第二方面提出了一种防火墙端口管理系统,包括:
第一IP地址读取模块,用于从第一IP地址数据库中读取第一IP地址列表。所述第一IP地址数据库中存储有需要进行防火墙端口管理的一个或一个以上的目标云服务器的IP地址,具体的,可以将所述一个或一个以上的目标云服务器中的任一个配置为监控节点,或者将具有所述一个或一个以上的目标云服务器安全管理权限的其它云服务器或者其它计算机设备配置为监控节点,将本发明提供的防火墙端口管理系统运行于所述监控节点中。进一步的,在本发明的一些实施方式中,在所述需要进行防火墙端口管理的目标云服务器数量较多的情况下,可以将所述目标云服务器划分为多个群组,分别由不同的监控节点对其进行端口安全监测以提高端口安全监测效率。
活动状态检测模块,用于以第一时间周期为循环周期对所述IP地址列表中的IP地址执行活动状态检测,以将所述IP地址列表中的IP地址划分为活动IP和非活动IP。使用IP地址探测命令或者IP地址探测工具可以探测到IP地址的活动状态,目标云服务器一般为24小时不间断运行的服务器设备,无需频繁对其活动状态进行检测,所述第一时间周期可以配置为较长的循环周期,例如以一天、三天甚至一周配置为循环周期对所述目标云服务器的活动状态进行检测即可。目标云服务器由于人为操作原因、计划任务原因或者异常原因等被关闭或者处于网络中断状态不再继续对外提供网络服务,将所述IP地址列表中的非活动IP地址识别出来后,可以节省对这些IP地址的检测时间。
目标端口检测模块,用于以第二时间周期为循环周期对所述活动IP的至少一个目标端口进行检测,所述第二时间周期小于所述第一时间周期。在本发明的一些实施方式中,所述至少一个目标端口为高危端口,例如135、139、445、593、1025、2745、3306、3127、3389、6129等TCP端口以及135、137、138、445等UDP端口,通过对这些高危端口的定期检测以避免高危端口被无意开放导致系统安全受到威胁。在本发明的一些实施方式中,所述至少一个目标端口为所述活动IP的全部端口即65535个端口,由于开发人员或者运维人员在开发或者部署服务时为了安全考虑会将服务的默认端口修改为其它端口,但简单的修改默认端口无法抵御来自于恶意端口扫描工具的扫描和入侵行为,因此需要对全部端口进行安全检测才能更加全面地防范来自互联网的安全威胁。进一步的,所述防火墙端口管理系统以第二时间周期为循环周期对所述活动IP的高危端口进行检测,以第三时间周期为循环周期对所述活动IP的全部端口进行检测,所述第二时间周期小于所述第三时间周期,且所述第二时间周期与所述第三时间周期均小于所述第一时间周期。具体的,可以将所述第二时间周期配置为一个较小的时间间隔,例如每5分钟或者每10分钟一次对所述活动IP的高危端口进行检测,使得高危端口被意外开放的时间窗口小于5分钟或者10分钟,避免高危端口的长时间开放被恶意程序所利用对所述目标云服务器造成损害。另外,可以以小时为单位配置所述第三时间周期,例如,每3个小时或者每6个小时对所述活动IP的全部端口进行一次检测。
指标确定模块,用于确定所述至少一个目标端口的服务访问指标、服务管理指标以及端口安全性指标。以前述步骤配置的端口检测周期对的所述活动IP对应的目标云服务器的高危端口及其它端口进行多维度指标的评价得到相应的指标数据,以根据这些指标数据确定后续需要执行的安全处理操作。所述服务访问指标用于评价开放所述目标端口使监听所述目标端口的服务程序对外提供服务的必要性,所述服务管理指标用于评价所述目标云服务器的运维人员以及其他管理人员对所述目标端口以及监听所述目标端口的服务程序的关注程度,所述端口安全性指标用于评价监听所述目标端口的服务程序的安全性。
安全操作执行模块,用于根据所述至少一个目标端口的服务访问指标、服务管理指标以及端口安全性执行相应的安全处理操作。
采用上述实施方式的技术方案,通过从第一IP地址数据库中读取第一IP地址列表,以第一时间周期为循环周期对所述IP地址列表中的IP地址执行活动状态检测,以将所述IP地址列表中的IP地址划分为活动IP和非活动IP,以第二时间周期为循环周期对所述活动IP的至少一个目标端口进行检测,所述第二时间周期小于所述第一时间周期,确定所述至少一个目标端口的服务访问指标、服务管理指标以及端口安全性指标,根据所述至少一个目标端口的服务访问指标、服务管理指标以及端口安全性执行相应的安全处理操作,可以及时发现服务器端口的异常开放情况,避免造成端口的不当开放带来的严重损失。
进一步的,在上述的防火墙端口管理系统中,所述指标确定模块包括:
第二IP地址读取模块,用于从第二IP地址数据库中读取第二IP地址列表。在该实施方式的技术方案中,在确定所述至少一个目标端口的服务访问指标的步骤之前,所述目标云服务器接收到任意访问请求时,将所述访问请求的来源IP地址记录到所述第二IP地址数据库中,将所述访问请求中的目标端口信息、监听所述目标端口的服务程序信息、访问时间信息等记录到访问历史数据库中。通过记录所述目标云服务器的访问请求信息,特别是访问请求的来源IP地址信息,可以对发出访问请求的设备属地特征进行统计分析,发现网络威胁来源的属地特征。通过对所述目标云服务器在所述访问历史数据库中记录的历史访问信息的分析,可以在一定程度上识别出有效访问请求和无效访问请求,并在所述无效访问请求中辨识出恶意访问请求。例如,当一个来源IP地址在一次连接的生命周期内的访问请求中包含了多次正常交互行为,例如登录行为、web页面跳转行为、业务数据请求行为等,则这些访问请求可以被识别为有效访问请求,当一个来源IP频繁对多个目标云服务器的同一个端口发送相同访问请求,或者对同一个目标云服务器的多个端口进行扫描,则这些访问请求可以被识别为无效访问请求甚至是恶意访问请求。
端口访问信息获取模块,用于获取所述第二IP地址列表中的IP地址在预设时间段内通过所述至少一个目标端口访问相应服务的次数和时间间隔。根据所述目标云服务器在所述访问历史数据库中记录的历史访问信息,可以得到所述所述第二IP地址列表中的IP地址在预设时间段内通过所述至少一个目标端口访问相应服务的次数和时间间隔。所述预设时间段根据需要可以被配置为近三个月、近半年或者近一年等。进一步的,上述通过所述至少一个目标端口访问相应服务的次数和时间间隔的统计仅包含对有效访问请求的统计。
服务访问指标确定模块,用于根据所述访问次数和时间间隔确定所述至少一个目标端口的服务访问指标。所述服务访问指标可以采用月度平均访问次数、平均访问时间间隔等表现形式,从而用于评价开放所述目标端口使监听所述目标端口的服务程序对外提供服务的必要性。
进一步的,在上述的防火墙端口管理系统中,所述指标确定模块包括:
目标服务程序确定模块,用于确定监听所述至少一个目标端口的目标服务程序信息。当一个服务程序被正常启动后,其将占用一个端口以从该端口监听来自于互联网的访问请求,为了保证服务程序能够正常对外提供服务,同一个端口仅能被一个服务程序所占用。
变更操作次数获取模块,用于获取预设时间段内所述目标服务程序的变更操作次数,所述目标服务程序的变更操作包括服务程序的启动、停止以及参数配置操作。在所述目标云服务器运行目标服务程序对外提供服务时,为了了解服务的运行状态、保障服务的正常运行或者对服务程序/数据进行升级更新等,所述目标云服务器的运维人员或者其他管理人员会定时或不定时登录所述云服务器对所述服务程序进行操作,例如关闭服务程序以对其进行更新维护后重新启动或者配置其运行参数以适应运行环境的变化等。同样的,所述预设时间段根据需要可以被配置为近三个月、近半年或者近一年等。
操作次数计算模块,用于从所述变更操作次数中去掉来自于系统应用程序或其它具备所述目标服务程序操作权限的其它三方程序的操作次数。服务程序的变更操作除了来自于所述目标云服务器的运维人员或者其他管理人员,也有一些特殊情况是不在所述目标云服务器的运维人员或者其他管理人员预期或者计划之内的情况,例如由于断电、程序错误导致的云服务器的异常关机、异常重启等,也包括一些在所述目标云服务器的运维人员或者其他管理人员预期或者计划内,但是所述目标云服务器的运维人员或者其他管理人员未直接参与操作的情况,例如通过计划任务或者所述目标服务程序操作权限的其它三方程序定期对系统或者所述服务程序进行启动、关闭或变更配置参数等,需要将这些所述目标云服务器的运维人员或者其他管理人员未参与或者未直接参的操作次数从所述目标服务程序的变更操作次数中去除后,剩余的变更操作次数才能正确反映所述目标云服务器的运维人员以及其他管理人员对所述目标端口以及监听所述目标端口的服务程序的关注程度。
服务管理指标确定模块,用于根据所述变更操作次数确定所述至少一个目标端口的服务管理指标。所述服务管理指标可以采用月度平均操作次数、平均操作间隔时长等表现形式。从而用于评价所述目标云服务器的运维人员以及其他管理人员对所述目标端口以及监听所述目标端口的服务程序的关注程度。
进一步的,在上述的防火墙端口管理系统中,所述指标确定模块包括:
目标服务程序确定模块,确定监听所述至少一个目标端口的目标服务程序信息,所述目标服务程序信息包括所述目标服务程序的名称及其版本号。当一个服务程序被正常启动后,其将占用一个端口以从该端口监听来自于互联网的访问请求,为了保证服务程序能够正常对外提供服务,同一个端口仅能被一个服务程序所占用。进一步的,所述目标服务程序信息还包括所述目标服务程序已经安装的安全补丁信息。
安全漏洞确定模块,用于从安全漏洞数据库中确定是否存在所述目标服务程序的安全漏洞。通过自建的安全漏洞数据库或者三方安全漏洞数据库,可以查询到所述目标云服务器上安装的所述目标服务程序版本是否存在安全漏洞以及可用于修复所述安全漏洞的安全补丁信息。具体的,所述从安全漏洞数据库中确定是否存在所述目标服务程序的安全漏洞具体为确定是否存在的所述目标服务程序未安装相应安全补丁的安全漏洞。
端口安全性指标确定模块,用于当确定为是时,根据所述目标服务程序的安全漏洞的数量和危害等级确定所述至少一个目标端口的端口安全性指标。同一个目标服务程序可能会存在多个安全漏洞,不同的安全漏洞对应了不同的危害等级。所述端口安全性指标与所述安全漏洞数量以及对应的危害等级正相关,例如可以根据每一个安全漏洞的危害等级为其设置一个危害值,使用所述目标服务程序的所有安全漏洞的危害值之和的倒数作为所述端口安全性指标。
进一步的,在上述的防火墙端口管理系统中,所述安全操作执行模块包括:
目标端口关闭模块,用于当所述服务访问指标小于预设的第一阈值和/或所述服务管理指标小于预设的第二阈值时,关闭所述目标端口。在本发明的一些实施方式中,当所述服务访问指标与所述服务管理指标均低于阈值时,表示开放所述目标端口使监听所述目标端口的服务程序对外提供服务的必要性以及所述目标云服务器的运维人员以及其他管理人员对所述目标端口以及监听所述目标端口的服务程序的关注程度均低于预期,通过关闭所述目标服务程序所监听的端口以防止所述端口被恶意利用以对所述目标云服务器造成危害。
安全预警模块,用于当所述服务访问指标和/或所述服务管理指标大于预设的第一阈值且所述安全性指标低于预设的第三阈值时,向预设的运维人员发出安全预警。在本发明的一些实施方式中,当所述服务访问指标与所述服务管理指标任一项高于阈值但所述所述端口安全性指标低于阈值时,通过系统通知、邮件或其它通知方式向运维人员发出安全预警,以提醒运维人员升级所述目标服务程序、为所述目标服务程序安装安全补丁、关闭所述目标服务程序或者关闭所述目标服务程序所监听的端口。
本发明提出了一种防火墙端口管理方法及系统,通过从第一IP地址数据库中读取第一IP地址列表,以第一时间周期为循环周期对所述IP地址列表中的IP地址执行活动状态检测,以将所述IP地址列表中的IP地址划分为活动IP和非活动IP,以第二时间周期为循环周期对所述活动IP的至少一个目标端口进行检测,所述第二时间周期小于所述第一时间周期,确定所述至少一个目标端口的服务访问指标、服务管理指标以及端口安全性指标,根据所述至少一个目标端口的服务访问指标、服务管理指标以及端口安全性执行相应的安全处理操作,可以及时发现服务器端口的异常开放情况,避免造成端口的不当开放带来的严重损失。
应当说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
依照本发明的实施例如上文所述,这些实施例并没有详尽叙述所有的细节,也不限制该发明仅为所述的具体实施例。显然,根据以上描述,可作很多的修改和变化。本说明书选取并具体描述这些实施例,是为了更好地解释本发明的原理和实际应用,从而使所属技术领域技术人员能很好地利用本发明以及在本发明基础上的修改使用。本发明仅受权利要求书及其全部范围和等效物的限制。
Claims (10)
1.一种防火墙端口管理方法,其特征在于,包括:
从第一IP地址数据库中读取第一IP地址列表;
以第一时间周期为循环周期对所述IP地址列表中的IP地址执行活动状态检测,以将所述IP地址列表中的IP地址划分为和非活动IP;
以第二时间周期为循环周期对所述活动IP的至少一个目标端口进行检测,所述第二时间周期小于所述第一时间周期;
确定所述至少一个目标端口的服务访问指标、服务管理指标以及端口安全性指标;
根据所述至少一个目标端口的服务访问指标、服务管理指标以及端口安全性执行相应的安全处理操作。
2.根据权利要求1所述的防火墙端口管理方法,其特征在于,所述确定所述至少一个目标端口的服务访问指标的步骤具体包括:
从第二IP地址数据库中读取第二IP地址列表;
获取所述第二IP地址列表中的IP地址在预设时间段内通过所述至少一个目标端口访问相应服务的次数和时间间隔;
根据所述访问次数和时间间隔确定所述至少一个目标端口的服务访问指标。
3.根据权利要求1所述的防火墙端口管理方法,其特征在于,确定所述至少一个目标端口的服务管理指标的步骤具体包括:
确定监听所述至少一个目标端口的目标服务程序信息;
获取预设时间段内所述目标服务程序的变更操作次数,所述目标服务程序的变更操作包括服务程序的启动、停止以及参数配置操作;
从所述变更操作次数中去掉来自于系统应用程序或其它具备所述目标服务程序操作权限的其它三方程序的操作次数;
根据所述变更操作次数确定所述至少一个目标端口的服务管理指标。
4.根据权利要求1所述的防火墙端口管理方法,其特征在于,确定所述至少一个目标端口的端口安全性指标的步骤具体包括:
确定监听所述至少一个目标端口的目标服务程序信息,所述目标服务程序信息包括所述目标服务程序的名称及其版本号;
从安全漏洞数据库中确定是否存在所述目标服务程序的安全漏洞;
当确定为是时,根据所述目标服务程序的安全漏洞的数量和危害等级确定所述至少一个目标端口的端口安全性指标。
5.根据权利要求2-4所述的防火墙端口管理方法,其特征在于,根据所述至少一个目标端口的服务访问指标、服务管理指标以及端口安全性执行相应的安全处理操作的步骤具体包括:
当所述服务访问指标小于预设的第一阈值和/或所述服务管理指标小于预设的第二阈值时,关闭所述目标端口;
当所述服务访问指标和/或所述服务管理指标大于预设的第一阈值且所述安全性指标低于预设的第三阈值时,向预设的运维人员发出安全预警。
6.一种防火墙端口管理体系统,其特征在于,包括:
第一IP地址读取模块,用于从第一IP地址数据库中读取第一IP地址列表;
活动状态检测模块,用于以第一时间周期为循环周期对所述IP地址列表中的IP地址执行活动状态检测,以将所述IP地址列表中的IP地址划分为活动IP和非活动IP;
目标端口检测模块,用于以第二时间周期为循环周期对所述活动IP的至少一个目标端口进行检测,所述第二时间周期小于所述第一时间周期;
指标确定模块,用于确定所述至少一个目标端口的服务访问指标、服务管理指标以及端口安全性指标;
安全操作执行模块,用于根据所述至少一个目标端口的服务访问指标、服务管理指标以及端口安全性执行相应的安全处理操作。
7.根据权利要求6所述的防火墙端口管理系统,其特征在于,所述指标确定模块包括:
第二IP地址读取模块,用于从第二IP地址数据库中读取第二IP地址列表;
端口访问信息获取模块,用于获取所述第二IP地址列表中的IP地址在预设时间段内通过所述至少一个目标端口访问相应服务的次数和时间间隔;
服务访问指标确定模块,用于根据所述访问次数和时间间隔确定所述至少一个目标端口的服务访问指标。
8.根据权利要求6所述的防火墙端口管理系统,其特征在于,所述指标确定模块包括:
目标服务程序确定模块,用于确定监听所述至少一个目标端口的目标服务程序信息;
变更操作次数获取模块,用于获取预设时间段内所述目标服务程序的变更操作次数,所述目标服务程序的变更操作包括服务程序的启动、停止以及参数配置操作;
操作次数计算模块,用于从所述变更操作次数中去掉来自于系统应用程序或其它具备所述目标服务程序操作权限的其它三方程序的操作次数;
服务管理指标确定模块,用于根据所述变更操作次数确定所述至少一个目标端口的服务管理指标。
9.根据权利要求6所述的防火墙端口管理系统,其特征在于,所述指标确定模块包括:
目标服务程序确定模块,确定监听所述至少一个目标端口的目标服务程序信息,所述目标服务程序信息包括所述目标服务程序的名称及其版本号;
安全漏洞确定模块,用于从安全漏洞数据库中确定是否存在所述目标服务程序的安全漏洞;
端口安全性指标确定模块,用于当确定为是时,根据所述目标服务程序的安全漏洞的数量和危害等级确定所述至少一个目标端口的端口安全性指标。
10.根据权利要求8或9所述的防火墙端口管理系统,其特征在于,所述安全操作执行模块包括:
目标端口关闭模块,用于当所述服务访问指标小于预设的第一阈值和/或所述服务管理指标小于预设的第二阈值时,关闭所述目标端口;
安全预警模块,用于当所述服务访问指标和/或所述服务管理指标大于预设的第一阈值且所述安全性指标低于预设的第三阈值时,向预设的运维人员发出安全预警。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202310036833.2A CN116055171B (zh) | 2023-01-10 | 2023-01-10 | 一种防火墙端口管理方法及系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202310036833.2A CN116055171B (zh) | 2023-01-10 | 2023-01-10 | 一种防火墙端口管理方法及系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN116055171A true CN116055171A (zh) | 2023-05-02 |
CN116055171B CN116055171B (zh) | 2023-11-10 |
Family
ID=86116119
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202310036833.2A Active CN116055171B (zh) | 2023-01-10 | 2023-01-10 | 一种防火墙端口管理方法及系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN116055171B (zh) |
Citations (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20030212779A1 (en) * | 2002-04-30 | 2003-11-13 | Boyter Brian A. | System and Method for Network Security Scanning |
CN101123492A (zh) * | 2007-09-06 | 2008-02-13 | 杭州华三通信技术有限公司 | 检测扫描攻击的方法和设备 |
US20150350229A1 (en) * | 2014-05-29 | 2015-12-03 | Singularity Networks, Inc. | Network Threat Detection and Mitigation Using a Domain Name Service and Network Transaction Data |
CN106603507A (zh) * | 2016-11-29 | 2017-04-26 | 哈尔滨安天科技股份有限公司 | 一种自动化完成网络安全自检的方法及系统 |
CN106657018A (zh) * | 2016-11-11 | 2017-05-10 | 北京匡恩网络科技有限责任公司 | 工控网络漏洞挖掘方法、装置及系统 |
US20170237769A1 (en) * | 2016-02-12 | 2017-08-17 | Fujitsu Limited | Packet transfer method and packet transfer apparatus |
CN107566394A (zh) * | 2017-09-28 | 2018-01-09 | 小花互联网金融服务(深圳)有限公司 | 一种云平台实例主机的新增自动发现并快速漏洞扫描方法 |
CN108418835A (zh) * | 2018-04-08 | 2018-08-17 | 北京明朝万达科技股份有限公司 | 一种基于Netflow日志数据的端口扫描攻击检测方法及装置 |
US20190238575A1 (en) * | 2018-01-26 | 2019-08-01 | Rapid7, Inc. | Detecting anomalous network behavior |
CN110855717A (zh) * | 2019-12-05 | 2020-02-28 | 浙江军盾信息科技有限公司 | 一种物联网设备防护方法、装置和系统 |
CN113872931A (zh) * | 2021-08-19 | 2021-12-31 | 深圳市珍爱捷云信息技术有限公司 | 一种端口扫描行为的检测方法及系统、服务器、代理节点 |
CN115333783A (zh) * | 2022-07-05 | 2022-11-11 | 上海浦东发展银行股份有限公司 | Api调用的异常检测方法、装置、设备及存储介质 |
-
2023
- 2023-01-10 CN CN202310036833.2A patent/CN116055171B/zh active Active
Patent Citations (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20030212779A1 (en) * | 2002-04-30 | 2003-11-13 | Boyter Brian A. | System and Method for Network Security Scanning |
CN101123492A (zh) * | 2007-09-06 | 2008-02-13 | 杭州华三通信技术有限公司 | 检测扫描攻击的方法和设备 |
US20150350229A1 (en) * | 2014-05-29 | 2015-12-03 | Singularity Networks, Inc. | Network Threat Detection and Mitigation Using a Domain Name Service and Network Transaction Data |
US20170237769A1 (en) * | 2016-02-12 | 2017-08-17 | Fujitsu Limited | Packet transfer method and packet transfer apparatus |
CN106657018A (zh) * | 2016-11-11 | 2017-05-10 | 北京匡恩网络科技有限责任公司 | 工控网络漏洞挖掘方法、装置及系统 |
CN106603507A (zh) * | 2016-11-29 | 2017-04-26 | 哈尔滨安天科技股份有限公司 | 一种自动化完成网络安全自检的方法及系统 |
CN107566394A (zh) * | 2017-09-28 | 2018-01-09 | 小花互联网金融服务(深圳)有限公司 | 一种云平台实例主机的新增自动发现并快速漏洞扫描方法 |
US20190238575A1 (en) * | 2018-01-26 | 2019-08-01 | Rapid7, Inc. | Detecting anomalous network behavior |
CN108418835A (zh) * | 2018-04-08 | 2018-08-17 | 北京明朝万达科技股份有限公司 | 一种基于Netflow日志数据的端口扫描攻击检测方法及装置 |
CN110855717A (zh) * | 2019-12-05 | 2020-02-28 | 浙江军盾信息科技有限公司 | 一种物联网设备防护方法、装置和系统 |
CN113872931A (zh) * | 2021-08-19 | 2021-12-31 | 深圳市珍爱捷云信息技术有限公司 | 一种端口扫描行为的检测方法及系统、服务器、代理节点 |
CN115333783A (zh) * | 2022-07-05 | 2022-11-11 | 上海浦东发展银行股份有限公司 | Api调用的异常检测方法、装置、设备及存储介质 |
Also Published As
Publication number | Publication date |
---|---|
CN116055171B (zh) | 2023-11-10 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11775622B2 (en) | Account monitoring | |
CN112637220B (zh) | 一种工控系统安全防护方法及装置 | |
RU2453917C1 (ru) | Система и способ для оптимизации выполнения антивирусных задач в локальной сети | |
JP4373779B2 (ja) | ステイトフル分散型イベント処理及び適応保全 | |
EP3987421B1 (en) | Adaptive scanning | |
US20080276295A1 (en) | Network security scanner for enterprise protection | |
US10547634B2 (en) | Non-intrusive digital agent for behavioral monitoring of cybersecurity-related events in an industrial control system | |
US20080282347A1 (en) | Real-time network malware protection | |
EP2835948B1 (en) | Method for processing a signature rule, server and intrusion prevention system | |
KR20080059610A (ko) | 컴퓨터 네트워크 환경 컴플라이언스를 보장하기 위한시스템, 방법 및 장치 | |
KR20040101490A (ko) | 기업 네트워크에서의 악의적 코드 검출 및 무효화 | |
US11582255B2 (en) | Dysfunctional device detection tool | |
US20200067981A1 (en) | Deception server deployment | |
US11979426B2 (en) | Predictive vulnerability management analytics, orchestration, automation and remediation platform for computer systems. networks and devices | |
CN111245781A (zh) | 一种linux服务器动态封阻IP的方法及其系统 | |
CN116055171B (zh) | 一种防火墙端口管理方法及系统 | |
CN113672912A (zh) | 基于计算机硬件指征和行为分析的网络安全监控系统 | |
WO2012085087A1 (en) | Intrusion detection | |
CN115550068B (zh) | 一种主机日志信息安全审计方法 | |
CN116781380A (zh) | 一种校园网安全风险终端拦截溯源系统 | |
Adaros-Boye et al. | An Indicators-of-Risk Library for Industrial Network Security | |
KR101070522B1 (ko) | 스푸핑 공격 탐지 및 차단 시스템 및 방법 | |
CN116566747B (zh) | 基于工业互联网的安全防护方法及装置 | |
US11985156B2 (en) | Dysfunctional device detection tool | |
Trivedi | Toward autonomic security for industrial control systems |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
TA01 | Transfer of patent application right | ||
TA01 | Transfer of patent application right |
Effective date of registration: 20231013 Address after: 518000, Tower B, Hongrongyuan North Station Center, Minzhi Street North Station Community, Longhua District, Shenzhen City, Guangdong Province 2104-2105 Applicant after: SHENZHEN VERY TOGETHER TECHNOLOGY CO.,LTD. Address before: 518000 a1612, niulanqian building, Minzhi Avenue, Xinniu community, Minzhi street, Longhua District, Shenzhen, Guangdong Province Applicant before: Shenzhen Qidian Data Co.,Ltd. |
|
GR01 | Patent grant | ||
GR01 | Patent grant |