CN1744607A - 一种阻断蠕虫攻击的系统和方法 - Google Patents
一种阻断蠕虫攻击的系统和方法 Download PDFInfo
- Publication number
- CN1744607A CN1744607A CN 200510112710 CN200510112710A CN1744607A CN 1744607 A CN1744607 A CN 1744607A CN 200510112710 CN200510112710 CN 200510112710 CN 200510112710 A CN200510112710 A CN 200510112710A CN 1744607 A CN1744607 A CN 1744607A
- Authority
- CN
- China
- Prior art keywords
- worm
- access control
- port
- information
- network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
一种基于端口进行访问控制的阻断蠕虫攻击的系统和方法,该系统由采集蠕虫信息的客户端,蠕虫阻断装置和匹配蠕虫信息的访问控制装置所组成,本发明是在蠕虫检测装置发现感染网络蠕虫病毒的主机后,将蠕虫信息作为接入主机的一种安全健康指纹来对主机进行基于端口的访问控制,通过蠕虫阻断装置和访问控制装置的交互,由访问控制服务器下发针对该主机接入端口的访问控制策略,能够在其他主机或设备正常访问网络的情况下,阻止该主机接入网络,有效防止蠕虫病毒在网络中的蔓延、泛滥,还能使用户及时为感染病毒的主机打上补丁。本发明可广泛应用于企业内网的安全防御,能够有效隔离网络蠕虫,极大降低网络蠕虫攻击对主机和网络的影响。
Description
技术领域
本发明涉及一种阻断蠕虫攻击的系统和方法,确切地说,涉及一种基于端口进行访问控制的阻断蠕虫攻击的系统和方法,属于数据通信的网络安全
技术领域。
背景技术
自从1988年蠕虫病毒问世以来,计算机蠕虫病毒以其快速、多样化的传播方式不断给网络世界带来灾害。特别是1999年以来,高危的网络蠕虫(Worm)病毒的不断出现,使世界经济蒙受了轻则几十亿、重则几百亿美元的巨大损失。
网络蠕虫是一种通过网络传播的恶性病毒,它既具有病毒的许多共性,如传播性,隐蔽性,破坏性等等,同时又有自己的一些特征,如不利用文件寄生(有的只存在于内存中),对网络造成拒绝服务,以及与黑客技术相结合等等!因此,网络蠕虫病毒实际上是黑客技术与病毒技术融合后形成的“恶意代码”。这种病毒彻底改变了传统病毒在人们脑海中的印象。以往大家认为病毒的传播和破坏是被动式的,只要不使用盗版光盘、不打开来历不明的邮件、不下载一些危险程序,一般不会感染病毒,也就是通常所说的“不吃不洁食物就不会得病”一样。但是,这种融合病毒与黑客两种技术于一体而形成的“新一代主动式恶意代码”的特点是:具有自我复制的自动繁殖能力,利用系统或网络服务的各种漏洞自动入侵进行传播;会在极短时间内,利用优化扫描的方法,感染数以万计的有漏洞的计算机系统。
蠕虫病毒的主要危害是产生巨大的网络攻击流量,极大浪费网络带宽,对网络的正常通畅运行造成严重影响。其作用机理是:感染蠕虫病毒的计算机系统首先会通过大面积地搜索找到网络上其他存在漏洞的计算机系统,这将产生大量的网络数据流量;当蠕虫成功入侵其它计算机系统后,会在被感染的计算机上产生自身的多个副本,每个副本又启动搜索程序寻找新的攻击目标,从而形成巨量的网络流量,造成整个网络拥塞、甚至瘫痪。
目前,主要利用在网络中部署入侵检测系统(IDS,Intrusion DetectionSystem)对网络流量进行分析来发现网络蠕虫攻击,并进行一定的处理。由于入侵检测系统并联在网络中,只能被动地检测网络遭到了何种攻击,其阻断攻击的能力非常有限,一般只能通过发送TCP reset(TCP重置)包或者与防火墙联动来阻止攻击。如果入侵检测系统采用发送TCP reset包的方式来阻止蠕虫传播,又将进一步增加网络流量,加重网络负担。如果采用与防火墙联动的方式,仅能阻挡来自外部的蠕虫攻击流量,对阻止网络内部的蠕虫攻击流量则无能为力。
发明内容
有鉴于此,本发明的目的是提供一种基于端口进行访问控制的阻断蠕虫攻击的系统和方法,本发明是在蠕虫检测装置发现感染网络蠕虫病毒的主机后,在接入端口阻止该主机接入网络,以防止网络内部的其它主机感染蠕虫病毒,也可阻止网络内部感染蠕虫病毒的主机向外网发动蠕虫攻击,从而迅速、有针对性地阻断蠕虫病毒的泛滥,保障网络系统的安全。
为了达到上述目的,本发明提供了一种阻断蠕虫攻击的系统,其特征在于:该系统至少包括:
客户端,其内部安装有采集所在网络蠕虫信息的客户端软件,以将蠕虫信息经由蠕虫阻断装置发送给访问控制装置进行匹配处理;
蠕虫阻断装置,为用户提供接入的网络设备,其内部设有端口反查模块、多个用户接入的控制端口及提供相应服务的网元;每个控制端口由一个控制单元和一个受控单元组成,不同的受控单元所连接的网元能够提供不同服务;收到访问控制装置返回的访问控制指令后,对应的控制端口执行相关操作;
访问控制装置,至少包括访问控制服务器,其内部设有两个数据库,分别存储网络中已知的蠕虫类型和蠕虫阻断装置的端口访问控制策略;其中端口访问控制策略是针对不同控制端口、且与每个端口一一对应的访问控制策略文件,每个访问控制策略文件包含多条访问控制策略;该装置读取蠕虫信息,并以蠕虫信息中的蠕虫类型和相关信息在蠕虫类型数据库和端口访问控制策略数据库中进行查找匹配,再根据匹配结果向蠕虫阻断装置发回相应的访问控制指令。
所述蠕虫信息内容包括但不限于:感染蠕虫的主机的源MAC地址、源IP地址和蠕虫类型。
所述客户端是安装有采集蠕虫信息的客户端软件的入侵检测设备。
所述蠕虫阻断装置中的各组成构件的功能是:
端口反查模块,负责与客户端的接口,从客户端接收蠕虫信息并针对其中的源MAC地址和/或源IP地址进行端口反查,再根据端口反查的结果将蠕虫信息送往相应的控制端口的控制单元;
控制单元,将蠕虫信息发送给匹配蠕虫的访问控制装置,并负责接收访问控制装置发回的访问控制指令,同时根据访问控制指令控制受控单元的操作;
受控单元,为一个授权设备,根据访问控制指令分别进入三种工作状态:授权状态,与其相连的主机能够访问该端口连接的所有网元,进而获取这些网元提供的各种服务;部分授权状态,允许接入主机访问该端口连接的部分或特定网元;非授权状态,阻止接入主机访问该端口;
提供服务的网元,为与蠕虫阻断装置相连接的主机所能访问的网络资源。
所述蠕虫阻断装置是交换机,此时所述网络为内部局域网。
所述访问控制装置,可进一步包括认证服务器,以便采用用户名/密码对接入主机的用户身份进行认证。
为了达到上述目的,本发明还提供了一种阻断网络蠕虫攻击的方法,其特征在于:至少包括如下步骤:
(1)客户端软件轮询其所在入侵检测设备是否检测发现蠕虫攻击,一旦发现蠕虫攻击,客户端软件提取该蠕虫攻击的相关信息,以“类型、长度、内容”格式封装后,使用网络通讯协议将该蠕虫信息包发送给蠕虫阻断装置;
(2)蠕虫阻断装置先将蠕虫信息送到端口反查模块进行反查处理,查找出与蠕虫信息中源MAC地址和/或源IP地址对应的用户接入端口后,将蠕虫信息移交给该接入端口对应的控制单元;
(3)所述控制单元通过与访问控制装置的接口将蠕虫信息发送给访问控制装置;
(4)访问控制装置将蠕虫信息中的蠕虫类型信息与蠕虫类型数据库进行匹配,如果找到匹配项,则从对应的端口访问控制策略文件中选择相应的端口访问控制策略,并以访问控制装置与蠕虫阻断装置之间通信的网络协议的格式封装后,发送给蠕虫阻断装置的控制单元;如果没有找到匹配项,则直接发送默认的访问控制指令给蠕虫阻断装置的控制单元;
(5)控制单元读取访问控制指令,根据该指令设置对应受控单元的授权状态:如果是默认的访问控制指令,则将对应受控单元设置为非授权状态;如果访问控制指令中包含具体的访问控制策略,则将该策略配置到对应的受控单元。
所述步骤(1)中客户端软件发送蠕虫信息包使用的网络通讯协议包括但不限于传输控制协议TCP(Transport Control Protocol)、用户数据报协议UDP(UserDatagram Protocol)、因特网控制消息协议ICMP(Internet Control MessageProtocol)、局域网扩展认证协议EAPOL(Extensible Authentication Protocol OverLAN)。
所述步骤(1)封装格式中的类型字段为3bit的标识,其中第一个bit位表明该数据包为蠕虫信息包,后两个bit位用于决定蠕虫阻断装置中端口反查模块所使用的端口反查方式,默认方式为根据源MAC地址进行反查。
所述步骤(2)中端口反查模块进行的反查处理有三种可选择的反查方式,分别是:
根据源MAC地址进行反查:将蠕虫信息中的源MAC地址与蠕虫阻断装置中存储的MAC地址数据库进行比对,该MAC地址数据库标明MAC地址与蠕虫阻断装置各个控制端口的对应关系,如果在MAC地址数据库中找到该源MAC地址,则将蠕虫信息转送至与该源MAC地址对应的控制端口;否则,丢弃该蠕虫信息包;
根据源IP地址进行反查:先向蠕虫信息中的源IP地址广播地址解析协议ARP(Address Resolution Protocol)请求,如果没有收到ARP请求的回应,即未收到与该源IP地址对应的MAC地址响应,丢弃该蠕虫信息包;如果收到与该源IP地址对应的MAC地址响应,则将该MAC地址与MAC地址数据库进行比对,如果在MAC地址数据库中找到该源MAC地址,则将蠕虫信息转送至相应的控制端口;否则,丢弃该蠕虫信息包;
根据MAC地址和IP地址进行反查:先按照蠕虫信息的源MAC地址进行反查,如果在MAC地址数据库中没有找到该源MAC地址,则进一步通过该蠕虫信息的源IP地址进行第二次端口反查。
本发明是一种基于端口进行访问控制的阻断蠕虫攻击的系统和方法,具有以下优点:
有效性:发现蠕虫病毒后,本发明能够及时阻止或限制感染病毒的主机或设备访问网络,截断了其感染其他网络设备的途径,从而有效防止了网络中蠕虫攻击的泛滥。同时可以在受控单元中配置访问控制策略,使得感染蠕虫病毒的主机或设备只被允许访问网络中的补丁服务器,使该主机或设备及时打上补丁修补漏洞,从而降低再次感染蠕虫病毒的可能。
有针对性:本发明基于端口进行访问控制,直接将接入该端口的主机或设备进行隔离,而其他端口的接入设备对网络的访问不受影响。访问控制服务器中配置有多个不同端口的访问控制策略,能够针对不同的接入设备发送相应的访问控制指令。
投资较少:本发明的结构相当简单,客户端仅需收集蠕虫信息并以某种格式发送给蠕虫阻断装置,功能较为简单,实际实施时只需在现有的蠕虫检测装置(如入侵检测设备)中添加客户端软件。蠕虫阻断装置可利用现有支持IEEE802.1x协议并具有端口反查功能的网络设备,只需对控制单元的功能进行相应的开发和扩充。
综上所述,本发明阻断蠕虫攻击的方法是将蠕虫信息作为接入主机的一种安全健康指纹来对主机进行基于端口的访问控制,通过访问控制服务器下发针对该网络设备具体接入端口的访问控制策略,能够在其他主机或设备正常访问网络的情况下,有效阻止蠕虫病毒在网络中的蔓延、泛滥,同时通过合理的设置,还能使用户及时为感染蠕虫病毒的主机或设备打上补丁,降低再一次感染蠕虫病毒的可能。因此,本发明可以广泛应用于企业内网的安全防御,能够有效隔离网络蠕虫,极大降低网络蠕虫攻击对主机和网络的影响。
附图说明
图1是本发明进行访问控制的阻断蠕虫攻击的系统结构组成示意图。
图2是本发明进行访问控制的阻断蠕虫攻击的方法流程方框图。
图3是本发明阻断蠕虫攻击的系统的实施例结构组成示意图。
图4是图3所示的实施例在网络中的部署结构示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面结合附图和实施例对本发明作进一步的详细描述。
本发明的工作机理是:网络中的主机通常经由交换机连接其他网段或Internet,如果直接在交换机上将感染蠕虫病毒的主机进行隔离,就能够有效阻断蠕虫攻击。由于IEEE802.1x基于端口的访问控制协议能够阻止未通过验证的用户访问网络,本发明是在该协议功能和原理的基础上加以改进和扩展,实现了阻止感染蠕虫病毒的主机或设备访问网络的预期功能。
参见图1,介绍本发明系统的组成结构,它是通过蠕虫阻断装置及其与客户端和访问控制装置的两个接口来实现发明目的。其主要构件包括有:
客户端1,其内部安装的客户端软件收集蠕虫信息,并将蠕虫信息经由蠕虫阻断装置发送给访问控制装置进行匹配处理;蠕虫信息包括但不仅限于:感染蠕虫的源主机MAC地址、源IP地址、蠕虫类型等。
蠕虫阻断装置2,为用户提供接入的网络设备,其内部设有一个端口反查模块、多个为用户提供接入的控制端口以及提供相应服务的网元;每个控制端口由一个控制单元和一个受控单元组成,不同的受控单元所连接的网元能够提供不同的服务;收到访问控制装置返回的访问控制指令后,对应的控制端口执行相关操作。
其中端口反查模块负责与客户端的接口,从客户端接收蠕虫信息并针对其中的源MAC地址和/或源IP地址进行端口反查,然后根据端口反查的结果将蠕虫信息送往相应的控制单元k,由控制单元与访问控制装置进行交互。
控制单元将蠕虫信息发送给访问控制装置,并负责接收访问控制装置发回的访问控制指令,同时根据访问控制指令控制受控单元的操作行为。
受控单元为一个授权系统,在正常情况下受控单元处于授权状态,与之相连的主机或设备能够访问该端口提供的所有服务;受控单元还可被控制单元设置为另外两种状态:非授权状态-阻止接入主机访问该端口提供的服务;部分授权状态-允许接入主机访问该端口提供的部分服务,如访问补丁服务器等。
访问控制装置3,通常为一个访问控制服务器,其内部设有两个数据库,分别存储网络中已知的蠕虫类型和蠕虫阻断装置的端口访问控制策略;其中端口访问控制策略是针对不同控制端口、且与每个端口一一对应的访问控制策略文件,每个访问控制策略文件包含多条访问控制策略;该装置读取蠕虫信息后,以蠕虫信息中的蠕虫类型和相关信息在蠕虫类型数据库和端口访问控制策略数据库中进行查找匹配,再根据匹配结果向蠕虫阻断装置发回相应的访问控制指令。
参见图2,一旦发生蠕虫攻击事件时,本发明能够及时阻断攻击的蔓延和泛滥,具体方法和步骤为:
(1)客户端软件轮询其所在入侵检测设备是否检测发现蠕虫攻击,一旦发现蠕虫攻击,客户端软件提取该蠕虫攻击的相关信息,以“类型、长度、内容”格式封装后,使用TCP、UDP、ICMP、EAPOL等网络通讯协议将该蠕虫信息包发送给蠕虫阻断装置;
(2)蠕虫阻断装置先将蠕虫信息送到端口反查模块进行反查处理,查找出与蠕虫信息中源MAC地址和/或源IP地址对应的用户接入端口后,再将蠕虫信息移交给该接入端口对应的控制单元;
(3)所述控制单元通过与访问控制装置的接口将蠕虫信息发送给访问控制装置;
(4)访问控制装置将蠕虫信息中的蠕虫类型信息与蠕虫类型数据库进行匹配,如果找到匹配项,则从对应的端口访问控制策略文件中选择相应的端口访问控制策略,并以访问控制装置与蠕虫阻断装置之间通信的网络协议的格式封装后,发送给蠕虫阻断装置的控制单元;如果没有找到匹配项,则直接发送默认的访问控制指令给蠕虫阻断装置的控制单元;
(5)控制单元读取访问控制指令,根据该指令设置对应受控单元的授权状态:如果是默认的访问控制指令,则将对应受控单元设置为非授权状态;如果访问控制指令中包含具体的访问控制策略,则将该策略配置到对应的受控单元。
图2中的①、②、③分别表示客户端、蠕虫阻断装置和访问控制装置中的各自操作流程。
本发明能够在IEEE802.1x基于端口的访问控制技术的基础上进行实施试验,下面具体介绍该实施例的情况。
参见图3,本发明系统的实施例组成结构主要包括四个部分:客户端1(入侵检测设备)、蠕虫阻断装置2、认证服务器31和访问控制服务器32。
在IEEE802.1x接入认证体系中一般将用户终端作为客户端1,该终端通常安装一个客户端软件,用户通过启动该客户端软件发起用户身份认证,认证系统根据认证的结果允许或阻止用户访问网络。
在本实施例中,入侵检测设备相当于客户端1,其中安装了本发明的客户端软件,当入侵检测设备发现蠕虫攻击时,该软件自动获得蠕虫信息,并将该信息用EAPOL协议封装成IEEE802.1x协议的认证数据包格式发送给蠕虫阻断装置2。认证数据包以“类型、长度、内容”格式封装,其中类型字段为3bit的特殊标识,其中第一个bit位表明该认证数据包是由入侵检测设备发出的蠕虫信息包,后两个bit位用于决定蠕虫阻断装置中端口反查模块所使用的端口反查方式。
通常支持IEEE802.1x认证方式的网络设备对应于不同用户的端口(物理端口,或用户设备的MAC地址、VLAN、IP等)有两个逻辑端口:受控端口和不受控端口。不受控端口始终处于双向连通状态,主要用来传递EAPOL协议帧,可保证客户端1始终可以发出或接受认证。受控端口只有在认证通过的状态下才打开,用于传递网络资源和服务。如果用户未通过认证,则受控端口处于未授权状态,用户无法访问认证系统提供的服务。开始时用户受控端口处于未授权状态,无法访问任何网络资源,经过用户身份认证后,受控端口被设为授权状态。在本实施例中蠕虫阻断装置2就是采用支持IEEE802.1x协议的网络设备-交换机-实现的,其中的受控端口即为本发明中的受控单元,非受控端口作为本发明中的控制单元,但是对非受控端口需要进行改进才能满足本发明对控制单元的要求。
由于入侵检测设备通常通过一个镜像端口监控网络中多台主机的流量,监控到的蠕虫信息中只包含有感染蠕虫病毒主机的信息,没有网络接入设备端口的信息,而本发明要求基于访问端口进行控制,因此,本实施例在支持IEEE802.1x协议的网络接入设备中还需增加端口反查模块才能满足本发明中蠕虫阻断装置2的设计要求。端口反查模块对客户端软件发送来的包含蠕虫信息的EAPOL协议帧进行解包分析,找出与其中MAC地址或IP地址信息对应的端口,并在该端口的控制单元将蠕虫信息重新封装为EAPOL协议帧,然后用RADIUS协议发送给认证服务器31。
由于EAPOL协议是IEEE802.1x协议所定义的,通常支持IEEE802.1x协议的设备都能支持EAPOL协议,因此,本实施例引入认证服务器31用于蠕虫阻断装置2和访问控制服务器32之间交换信息。认证服务器31除了采用用户名/密码对接入主机的用户身份进行认证以外,还要负责将用RADIUS协议封装的EAPOL协议帧中的蠕虫信息提取出来,然后重新用RADIUS包格式封装发送给访问控制服务器32。认证服务器31使用标准的RADIUS协议与访问控制服务器32通信,在此过程中,认证服务器31作为RADIUS的客户端,访问控制服务器32作为RADIUS的服务器端。蠕虫指纹信息的内容以“类型、长度、内容”格式封装在RADIUS包中,其中类型字段的值必须由客户端1、蠕虫阻断装置2、认证服务器31和访问控制服务器32四者统一定义,使得四者都可以了解该特定字段的含义。
访问控制服务器32为蠕虫阻断装置2提供正确的端口配置策略。该服务器32在收到认证服务器31发送的认证请求数据包后,从中提取出蠕虫信息,并将蠕虫信息中的蠕虫类型信息与其数据库存储的蠕虫类型进行匹配,若没有匹配项,则发送验证失败消息给认证服务器31,认证服务器31转换消息格式后,将该指令发送给蠕虫阻断装置2的控制单元,从而阻塞相应的受控单元,阻止接入该端口的主机访问网络。若有蠕虫类型匹配项,则访问控制服务器32查找相应的端口访问控制策略,同样由认证服务器31充当信使将该控制策略指令发送给蠕虫阻断装置2的控制单元,从而设置相应的受控单元,以限制接入该端口的主机访问的网络资源。
其中认证服务器31和访问控制服务器32共同组成了本发明方案中的访问控制装置3。
本实施例在网络中的部署结构如图4所示,内部局域网的各主机通过交换机连入外部网络,该处的交换设备即为本发明中所述的蠕虫阻断装置。
此时,若内网中某台主机A感染了蠕虫病毒,当入侵检测设备发现主机A不断向外发送流量,从而识别出该蠕虫攻击后,将蠕虫信息发送给蠕虫阻断装置,该蠕虫信息包括主机A的MAC地址、IP地址、蠕虫攻击的类型等。然后通过认证服务器和访问控制服务器对该信息进行处理后,将结果反馈给蠕虫阻断装置。最后由蠕虫阻断装置根据该结果控制主机A向外发送的流量,从而避免了蠕虫病毒进一步感染网络中的其他主机。
Claims (10)
1、一种阻断蠕虫攻击的系统,其特征在于:该系统至少包括:
客户端,其内部安装有采集所在网络蠕虫信息的客户端软件,以将蠕虫信息经由蠕虫阻断装置发送给访问控制装置进行匹配处理;
蠕虫阻断装置,为用户提供接入的网络设备,其内部设有端口反查模块、多个用户接入的控制端口及提供相应服务的网元;每个控制端口由一个控制单元和一个受控单元组成,不同的受控单元所连接的网元能够提供不同服务;收到访问控制装置返回的访问控制指令后,对应的控制端口执行相关操作;
访问控制装置,至少包括访问控制服务器,其内部设有两个数据库,分别存储网络中已知的蠕虫类型和蠕虫阻断装置的端口访问控制策略;其中端口访问控制策略是针对不同控制端口、且与每个端口一一对应的访问控制策略文件,每个访问控制策略文件包含多条访问控制策略;该装置读取蠕虫信息,并以蠕虫信息中的蠕虫类型和相关信息在蠕虫类型数据库和端口访问控制策略数据库中进行查找匹配,再根据匹配结果向蠕虫阻断装置发回相应的访问控制指令。
2、根据权利要求1所述的阻断蠕虫攻击的系统,其特征在于:所述蠕虫信息内容包括但不限于:感染蠕虫的主机的源MAC地址、源IP地址和蠕虫类型。
3、根据权利要求1所述的阻断蠕虫攻击的系统,其特征在于:所述客户端是安装有采集蠕虫信息的客户端软件的入侵检测设备。
4、根据权利要求1所述的阻断蠕虫攻击的系统,其特征在于:所述蠕虫阻断装置中的各组成构件的功能是:
端口反查模块,负责与客户端的接口,从客户端接收蠕虫信息并针对其中的源MAC地址和/或源IP地址进行端口反查,再根据端口反查的结果将蠕虫信息送往相应的控制端口的控制单元;
控制单元,将蠕虫信息发送给匹配蠕虫的访问控制装置,并负责接收访问控制装置发回的访问控制指令,同时根据访问控制指令控制受控单元的操作;
受控单元,为一个授权设备,根据访问控制指令分别进入三种工作状态:授权状态,与其相连的主机能够访问该端口连接的所有网元,进而获取这些网元提供的各种服务;部分授权状态,允许接入主机访问该端口连接的部分或特定网元;非授权状态,阻止接入主机访问该端口;
提供服务的网元,为与蠕虫阻断装置相连接的主机所能访问的网络资源。
5、根据权利要求1或4所述的阻断蠕虫攻击的系统,其特征在于:所述蠕虫阻断装置是交换机,此时所述网络为内部局域网。
6、根据权利要求1所述的阻断蠕虫攻击的系统,其特征在于:所述访问控制装置,可进一步包括认证服务器,以便采用用户名/密码对接入主机的用户身份进行认证。
7、一种采用权利要求1所述的阻断蠕虫攻击的系统阻断网络蠕虫攻击的方法,其特征在于:至少包括如下步骤:
(1)客户端软件轮询其所在入侵检测设备是否检测发现蠕虫攻击,一旦发现蠕虫攻击,客户端软件提取该蠕虫攻击的相关信息,以“类型、长度、内容”格式封装后,使用网络通讯协议将该蠕虫信息包发送给蠕虫阻断装置;
(2)蠕虫阻断装置先将蠕虫信息送到端口反查模块进行反查处理,查找出与蠕虫信息中源MAC地址和/或源IP地址对应的用户接入端口后,将蠕虫信息移交给该接入端口对应的控制单元;
(3)所述控制单元通过与访问控制装置的接口将蠕虫信息发送给访问控制装置;
(4)访问控制装置将蠕虫信息中的蠕虫类型信息与蠕虫类型数据库进行匹配,如果找到匹配项,则从对应的端口访问控制策略文件中选择相应的端口访问控制策略,并以访问控制装置与蠕虫阻断装置之间通信的网络协议的格式封装后,发送给蠕虫阻断装置的控制单元;如果没有找到匹配项,则直接发送默认的访问控制指令给蠕虫阻断装置的控制单元;
(5)控制单元读取访问控制指令,根据该指令设置对应受控单元的授权状态:如果是默认的访问控制指令,则将对应受控单元设置为非授权状态;如果访问控制指令中包含具体的访问控制策略,则将该策略配置到对应的受控单元。
8、根据权利要求7所述的阻断网络蠕虫攻击的方法,其特征在于:所述步骤(1)中客户端软件发送蠕虫信息包使用的网络通讯协议包括但不限于传输控制协议TCP、用户数据报协议UDP、因特网控制消息协议ICMP、局域网扩展认证协议EAPOL。
9、根据权利要求7所述的阻断网络蠕虫攻击的方法,其特征在于:所述步骤(1)封装格式中的类型字段为3bit的标识,其中第一个bit位表明该数据包为蠕虫信息包,后两个bit位用于决定蠕虫阻断装置中端口反查模块所使用的端口反查方式,默认方式为根据源MAC地址进行反查。
10、根据权利要求7或9所述的阻断网络蠕虫攻击的方法,其特征在于:所述步骤(2)中端口反查模块进行的反查处理有三种可选择的反查方式,分别是:
根据源MAC地址进行反查:将蠕虫信息中的源MAC地址与蠕虫阻断装置中存储的MAC地址数据库进行比对,该MAC地址数据库标明MAC地址与蠕虫阻断装置各个控制端口的对应关系,如果在MAC地址数据库中找到该源MAC地址,则将蠕虫信息转送至与该源MAC地址对应的控制端口;否则,丢弃该蠕虫信息包;
根据源IP地址进行反查:先向蠕虫信息中的源IP地址广播地址解析协议ARP请求,如果没有收到ARP请求的回应,即未收到与该源IP地址对应的MAC地址响应,丢弃该蠕虫信息包;如果收到与该源IP地址对应的MAC地址响应,则再将该MAC地址与MAC地址数据库进行比对,如果在MAC地址数据库中找到该源MAC地址,则将蠕虫信息转送至相应的控制端口;否则,丢弃该蠕虫信息包;
根据MAC地址和IP地址进行反查:先按照蠕虫信息的源MAC地址进行反查,如果在MAC地址数据库中没有找到该源MAC地址,则进一步通过该蠕虫信息的源IP地址进行第二次端口反查。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNB2005101127104A CN100464548C (zh) | 2005-10-10 | 2005-10-10 | 一种阻断蠕虫攻击的系统和方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNB2005101127104A CN100464548C (zh) | 2005-10-10 | 2005-10-10 | 一种阻断蠕虫攻击的系统和方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN1744607A true CN1744607A (zh) | 2006-03-08 |
| CN100464548C CN100464548C (zh) | 2009-02-25 |
Family
ID=36139798
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNB2005101127104A Expired - Fee Related CN100464548C (zh) | 2005-10-10 | 2005-10-10 | 一种阻断蠕虫攻击的系统和方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN100464548C (zh) |
Cited By (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2008106876A1 (fr) * | 2007-03-05 | 2008-09-12 | Huawei Technologies Co., Ltd. | Système et procédé pour empêcher l'intrusion d'un virus dans un réseau |
| CN101197809B (zh) * | 2006-12-08 | 2010-09-08 | 北京大学 | 一种阻断蠕虫传播的方法及实现该方法的装置 |
| CN101068253B (zh) * | 2006-05-05 | 2010-11-24 | 美国博通公司 | 通信系统、中间路由节点及其执行的方法 |
| CN101917440A (zh) * | 2010-08-24 | 2010-12-15 | 北京北信源软件股份有限公司 | 一种计算机接入局域网后接受管理的控制方法和系统 |
| CN102082810A (zh) * | 2009-11-30 | 2011-06-01 | 中国移动通信集团广西有限公司 | 一种用户终端访问互联网的方法、系统及装置 |
| CN102231678A (zh) * | 2011-06-27 | 2011-11-02 | 华为终端有限公司 | 设备管理的方法、装置和系统 |
| CN101414914B (zh) * | 2008-11-26 | 2012-01-25 | 北京星网锐捷网络技术有限公司 | 数据内容过滤方法与装置、有限状态自动机及其构造装置 |
| WO2012022211A1 (zh) * | 2010-08-18 | 2012-02-23 | 北京奇虎科技有限公司 | 一种清除恶意程序的方法和装置 |
| CN101815076B (zh) * | 2010-02-05 | 2012-09-19 | 浙江大学 | 一种内网蠕虫主机检测方法 |
| CN102301373B (zh) * | 2009-01-29 | 2013-06-26 | 微软公司 | 对网络资源的基于健康状况的访问 |
| CN107832605A (zh) * | 2017-11-22 | 2018-03-23 | 江苏神州信源系统工程有限公司 | 一种保护终端安全的方法和装置 |
| CN110034967A (zh) * | 2018-01-12 | 2019-07-19 | 克洛纳测量技术有限公司 | 具有电设备的系统 |
| CN113630415A (zh) * | 2021-08-10 | 2021-11-09 | 工银科技有限公司 | 网络准入控制方法、装置、系统、设备、介质和产品 |
| CN115001804A (zh) * | 2022-05-30 | 2022-09-02 | 广东电网有限责任公司 | 应用于野外站的旁路访问控制系统、方法及存储介质 |
| CN117240623A (zh) * | 2023-11-13 | 2023-12-15 | 杭州海康威视数字技术股份有限公司 | 一种保证业务连续性的蠕虫病毒阻断系统、方法及装置 |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101895543B (zh) * | 2010-07-12 | 2012-12-05 | 江苏华丽网络工程有限公司 | 一种基于网络交换设备的有效防御洪水攻击的方法 |
| CN101917438A (zh) * | 2010-08-23 | 2010-12-15 | 浪潮(北京)电子信息产业有限公司 | 在网络通信系统中访问控制方法和系统 |
Family Cites Families (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7137145B2 (en) * | 2002-04-09 | 2006-11-14 | Cisco Technology, Inc. | System and method for detecting an infective element in a network environment |
| CN1549126A (zh) * | 2003-05-16 | 2004-11-24 | 北京爱迪安网络技术有限公司 | 检测蠕虫病毒及延缓病毒传播的方法 |
| US7596807B2 (en) * | 2003-07-03 | 2009-09-29 | Arbor Networks, Inc. | Method and system for reducing scope of self-propagating attack code in network |
| KR100446816B1 (ko) * | 2003-12-29 | 2004-09-01 | 주식회사데이콤 | 네트워크 기반의 통합 보안 관리 서비스망 |
| CN1322711C (zh) * | 2004-05-14 | 2007-06-20 | 清华大学 | 因特网蠕虫病毒的早期预警方法 |
| CN1309214C (zh) * | 2004-12-20 | 2007-04-04 | 华中科技大学 | 基于协同入侵检测的大规模网络安全防御系统 |
-
2005
- 2005-10-10 CN CNB2005101127104A patent/CN100464548C/zh not_active Expired - Fee Related
Cited By (22)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101068253B (zh) * | 2006-05-05 | 2010-11-24 | 美国博通公司 | 通信系统、中间路由节点及其执行的方法 |
| CN101123583B (zh) * | 2006-05-05 | 2011-04-20 | 美国博通公司 | 网络节点设备及其方法 |
| CN101197809B (zh) * | 2006-12-08 | 2010-09-08 | 北京大学 | 一种阻断蠕虫传播的方法及实现该方法的装置 |
| WO2008106876A1 (fr) * | 2007-03-05 | 2008-09-12 | Huawei Technologies Co., Ltd. | Système et procédé pour empêcher l'intrusion d'un virus dans un réseau |
| CN101022459B (zh) * | 2007-03-05 | 2010-05-26 | 华为技术有限公司 | 预防病毒入侵网络的系统和方法 |
| CN101414914B (zh) * | 2008-11-26 | 2012-01-25 | 北京星网锐捷网络技术有限公司 | 数据内容过滤方法与装置、有限状态自动机及其构造装置 |
| CN102301373B (zh) * | 2009-01-29 | 2013-06-26 | 微软公司 | 对网络资源的基于健康状况的访问 |
| CN102082810B (zh) * | 2009-11-30 | 2014-05-07 | 中国移动通信集团广西有限公司 | 一种用户终端访问互联网的方法、系统及装置 |
| CN102082810A (zh) * | 2009-11-30 | 2011-06-01 | 中国移动通信集团广西有限公司 | 一种用户终端访问互联网的方法、系统及装置 |
| CN101815076B (zh) * | 2010-02-05 | 2012-09-19 | 浙江大学 | 一种内网蠕虫主机检测方法 |
| WO2012022211A1 (zh) * | 2010-08-18 | 2012-02-23 | 北京奇虎科技有限公司 | 一种清除恶意程序的方法和装置 |
| CN101917440B (zh) * | 2010-08-24 | 2013-07-31 | 北京北信源软件股份有限公司 | 一种计算机接入局域网后接受管理的控制方法和系统 |
| CN101917440A (zh) * | 2010-08-24 | 2010-12-15 | 北京北信源软件股份有限公司 | 一种计算机接入局域网后接受管理的控制方法和系统 |
| CN102231678A (zh) * | 2011-06-27 | 2011-11-02 | 华为终端有限公司 | 设备管理的方法、装置和系统 |
| CN107832605A (zh) * | 2017-11-22 | 2018-03-23 | 江苏神州信源系统工程有限公司 | 一种保护终端安全的方法和装置 |
| CN110034967A (zh) * | 2018-01-12 | 2019-07-19 | 克洛纳测量技术有限公司 | 具有电设备的系统 |
| CN110034967B (zh) * | 2018-01-12 | 2024-05-31 | 克洛纳测量技术有限公司 | 具有电设备的系统 |
| CN113630415A (zh) * | 2021-08-10 | 2021-11-09 | 工银科技有限公司 | 网络准入控制方法、装置、系统、设备、介质和产品 |
| CN115001804A (zh) * | 2022-05-30 | 2022-09-02 | 广东电网有限责任公司 | 应用于野外站的旁路访问控制系统、方法及存储介质 |
| CN115001804B (zh) * | 2022-05-30 | 2023-11-10 | 广东电网有限责任公司 | 应用于野外站的旁路访问控制系统、方法及存储介质 |
| CN117240623A (zh) * | 2023-11-13 | 2023-12-15 | 杭州海康威视数字技术股份有限公司 | 一种保证业务连续性的蠕虫病毒阻断系统、方法及装置 |
| CN117240623B (zh) * | 2023-11-13 | 2024-02-02 | 杭州海康威视数字技术股份有限公司 | 一种保证业务连续性的蠕虫病毒阻断系统、方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN100464548C (zh) | 2009-02-25 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN100464548C (zh) | 一种阻断蠕虫攻击的系统和方法 | |
| US7725936B2 (en) | Host-based network intrusion detection systems | |
| US7207061B2 (en) | State machine for accessing a stealth firewall | |
| JP4174392B2 (ja) | ネットワークへの不正接続防止システム、及びネットワークへの不正接続防止装置 | |
| US9210126B2 (en) | Method for secure single-packet authorization within cloud computing networks | |
| AU2002324631B2 (en) | Active intrusion resistant environment of layered object and compartment keys | |
| US7552323B2 (en) | System, apparatuses, methods, and computer-readable media using identification data in packet communications | |
| CN101567888B (zh) | 网络反馈主机安全防护方法 | |
| CN100512109C (zh) | 验证接入主机安全性的访问认证系统和方法 | |
| US8001244B2 (en) | Deep packet scan hacker identification | |
| US7380123B1 (en) | Remote activation of covert service channels | |
| WO2021233373A1 (zh) | 一种网络安全防护方法、装置、储存介质及电子设备 | |
| KR100358518B1 (ko) | 임베디드 하드웨어와 범용 컴퓨터가 결합된 방화벽 시스템 | |
| US20080301810A1 (en) | Monitoring apparatus and method therefor | |
| CN104767752A (zh) | 一种分布式网络隔离系统及方法 | |
| EP1574009B1 (en) | Systems and apparatuses using identification data in network communication | |
| WO2015174100A1 (ja) | パケット転送装置、パケット転送システム及びパケット転送方法 | |
| CN115378625B (zh) | 一种跨网信息安全交互方法及系统 | |
| CN107317816A (zh) | 一种基于客户端应用程序鉴别的网络访问控制方法 | |
| Schear et al. | Glavlit: Preventing exfiltration at wire speed | |
| Safa et al. | A collaborative defense mechanism against SYN flooding attacks in IP networks | |
| WO2005026872A2 (en) | Internal lan perimeter security appliance composed of a pci card and complementary software | |
| JP2006099590A (ja) | アクセス制御装置、アクセス制御方法およびアクセス制御プログラム | |
| WO2013089395A1 (ko) | 시그니쳐 기반 무선 침입차단시스템 | |
| RU2163745C2 (ru) | Система защиты виртуального канала корпоративной сети с аутентифицирующим маршрутизатором, построенной на каналах и средствах коммутации сети связи общего пользования |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| ASS | Succession or assignment of patent right |
Owner name: CHINA TELECOMMUNICATION STOCK CO., LTD. Free format text: FORMER OWNER: CHINA TELECOMMUNICATION STOCK CO., LTD. GUANGDONG ACADEME Effective date: 20091030 |
|
| C41 | Transfer of patent application or patent right or utility model | ||
| C56 | Change in the name or address of the patentee |
Owner name: CHINA TELECOMMUNICATION STOCK CO., LTD. GUANGDONG Free format text: FORMER NAME: GUANGDONG PROVINCE TELECOMMUNICATION CO., LTD. RESEARCH INSTITUTE |
|
| CP03 | Change of name, title or address |
Address after: 20, building 109, West Zhongshan Avenue, Tianhe District, Guangzhou, Guangdong Patentee after: GUANGDONG RESEARCH INSTITUTE, CHINA TELECOM Co.,Ltd. Address before: No. 109, Zhongshan Avenue, Tianhe District, Guangdong, Guangzhou Patentee before: Guangdong Telecommunication Co.,Ltd. Institude |
|
| TR01 | Transfer of patent right |
Effective date of registration: 20091030 Address after: No. 31, Finance Street, Beijing, Xicheng District Patentee after: CHINA TELECOM Corp.,Ltd. Address before: 20, building 109, West Zhongshan Avenue, Tianhe District, Guangzhou, Guangdong Patentee before: GUANGDONG RESEARCH INSTITUTE, CHINA TELECOM Co.,Ltd. |
|
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20090225 Termination date: 20141010 |
|
| EXPY | Termination of patent right or utility model |