国产精品1024永久观看,大尺度欧美暖暖视频在线观看,亚洲宅男精品一区在线观看,欧美日韩一区二区三区视频,2021中文字幕在线观看

  • <option id="fbvk0"></option>
    1. <rt id="fbvk0"><tr id="fbvk0"></tr></rt>
      <center id="fbvk0"><optgroup id="fbvk0"></optgroup></center>
      <center id="fbvk0"></center>

      <li id="fbvk0"><abbr id="fbvk0"><dl id="fbvk0"></dl></abbr></li>

      一種防范網(wǎng)絡(luò)中各種新興和未知攻擊行為的方法

      文檔序號(hào):7802280閱讀:199來源:國(guó)知局
      一種防范網(wǎng)絡(luò)中各種新興和未知攻擊行為的方法
      【專利摘要】本發(fā)明涉及一種防范網(wǎng)絡(luò)中各種新興和未知攻擊行為的方法,其特征在于,步驟為:第一步、建立網(wǎng)絡(luò)控制模型;第二步、利用網(wǎng)絡(luò)控制模型對(duì)網(wǎng)絡(luò)中的正常業(yè)務(wù)流進(jìn)行學(xué)習(xí),建立網(wǎng)絡(luò)控制模型的業(yè)務(wù)流白環(huán)境;第三步、利用建立的網(wǎng)絡(luò)控制模型的業(yè)務(wù)流白環(huán)境對(duì)網(wǎng)絡(luò)流量進(jìn)行過濾。本發(fā)明具有以下的優(yōu)點(diǎn)和積極效果:能夠防范防火墻和入侵檢測(cè)技術(shù)所不能防范的新興攻擊行為和各種未知攻擊,能夠確保信息系統(tǒng)的正常運(yùn)行,保障網(wǎng)絡(luò)中正常業(yè)務(wù)流的安全,防范核心數(shù)據(jù)泄密。
      【專利說明】一種防范網(wǎng)絡(luò)中各種新興和未知攻擊行為的方法
      【技術(shù)領(lǐng)域】
      [0001]本發(fā)明涉及一種對(duì)網(wǎng)絡(luò)流量進(jìn)行過濾從而防范各種未知攻擊行為和新興攻擊行為的方法。
      【背景技術(shù)】
      [0002]隨著計(jì)算機(jī)技術(shù)和網(wǎng)絡(luò)技術(shù)的飛速發(fā)展,網(wǎng)絡(luò)攻擊行為層出不窮,網(wǎng)絡(luò)掃描、病毒、DDOS攻擊、各種未知攻擊(APT)等時(shí)時(shí)刻刻在困擾著信息系統(tǒng)的正常運(yùn)行。其中入侵檢測(cè)可以防范網(wǎng)絡(luò)掃描,防毒墻產(chǎn)品可以防范病毒攻擊,防火墻可以防范DDOS攻擊,但對(duì)于各種未知攻擊和一些新興和未知的攻擊手段和行為上述三種產(chǎn)品和技術(shù)防范起來就很困難。

      【發(fā)明內(nèi)容】

      [0003]本發(fā)明要解決的技術(shù)問題是防范網(wǎng)絡(luò)上各種新興攻擊行為和未知攻擊行為的方法。
      [0004]為了解決上述技術(shù)問題,本發(fā)明的技術(shù)方案是提供了一種防范網(wǎng)絡(luò)中各種新興和未知攻擊行為的方法,其特征在于,步驟為:
      [0005]第一步、建立網(wǎng)絡(luò)控制模型,該網(wǎng)絡(luò)控制模型以哈希鏈表方式組織,以源IP、目的IP、協(xié)議、目的端口號(hào)四元組為基礎(chǔ)算出一個(gè)哈希值,再以此哈希值為基礎(chǔ)組織哈希鏈表;
      [0006]第二步、利用網(wǎng)絡(luò)控制模型對(duì)網(wǎng)絡(luò)中的正常業(yè)務(wù)流進(jìn)行學(xué)習(xí),建立網(wǎng)絡(luò)控制模型的業(yè)務(wù)流白環(huán)境,其步驟為:
      [0007]步驟2.1、判斷接收到的報(bào)文是否為TCP類型報(bào)文或UDP類型報(bào)文,若是,則繼續(xù)進(jìn)入步驟2.1,若否,則將當(dāng)前報(bào)文放行,進(jìn)入步驟2.4 ;
      [0008]步驟2.2、提取IP報(bào)文的源IP、目的IP、協(xié)議、目的端口號(hào)四元組,利用該四元組算出一個(gè)哈希值;
      [0009]步驟2.3以步驟2.2得到的哈希值為參數(shù)到網(wǎng)絡(luò)控制模型的哈希鏈表中查詢,若查詢到,則將當(dāng)前IP報(bào)文的長(zhǎng)度更新到網(wǎng)絡(luò)流量的統(tǒng)計(jì)值中,進(jìn)入步驟2.4,若沒查詢到,則判斷當(dāng)前報(bào)文的協(xié)議類型為TCP類型報(bào)文或UDP類型報(bào)文,若為TCP類型報(bào)文,則繼續(xù)判斷當(dāng)前報(bào)文的TCP報(bào)文選項(xiàng)是否為SYN包,若是SYN包,則將包含四元組的鏈表節(jié)點(diǎn)加入哈希鏈表,并初始化網(wǎng)絡(luò)流量的統(tǒng)計(jì)值,進(jìn)入步驟2.4,若不是SYN包,將當(dāng)前報(bào)文放行,進(jìn)入步驟2.4 ;若當(dāng)前報(bào)文的協(xié)議類型為UDP類型報(bào)文,則將包含四元組的鏈表節(jié)點(diǎn)加入哈希鏈表,并初始化網(wǎng)絡(luò)流量的統(tǒng)計(jì)值,進(jìn)入步驟2.4 ;
      [0010]步驟2.4、判斷是否達(dá)到預(yù)定的學(xué)習(xí)時(shí)間,若達(dá)到,則退出第二步,若未到達(dá),則接收下一個(gè)報(bào)文后返回步驟2.1重新處理;
      [0011]第三步、利用建立的網(wǎng)絡(luò)控制模型的業(yè)務(wù)流白環(huán)境對(duì)網(wǎng)絡(luò)流量進(jìn)行過濾,其步驟為:
      [0012]步驟3.1、判斷接收到的報(bào)文是否為TCP類型報(bào)文或UDP類型報(bào)文,若是,則進(jìn)入步驟3.2,若否,則將當(dāng)前報(bào)文放行并接收下一個(gè)報(bào)文后返回步驟3.1重新處理;
      [0013]步驟3.2、提取IP報(bào)文的源IP、目的IP、協(xié)議、目的端口號(hào)四元組,利用該四元組算出一個(gè)哈希值,以該哈希值為參數(shù)到網(wǎng)絡(luò)控制模型的哈希鏈表中查詢,若查詢到匹配的鏈表節(jié)點(diǎn),則將實(shí)時(shí)流量統(tǒng)計(jì)加上本報(bào)文的流量后得出新的流量值,將新的流量值和通過第二步得到的網(wǎng)絡(luò)流量的統(tǒng)計(jì)值比較,若新的流量值比網(wǎng)絡(luò)流量的統(tǒng)計(jì)值大,則采用大流量動(dòng)作處理當(dāng)前報(bào)文后進(jìn)入步驟3.3,若新的流量值比網(wǎng)絡(luò)流量的統(tǒng)計(jì)值小,則在更新實(shí)時(shí)流量統(tǒng)計(jì)后放行當(dāng)前報(bào)文,進(jìn)入步驟3.3 ;若沒有查詢到匹配的鏈表節(jié)點(diǎn),則采用不可信流量動(dòng)作處理當(dāng)前報(bào)文后進(jìn)入步驟3.3 ;
      [0014]步驟3.3、若有下一個(gè)報(bào)文,則接收下一個(gè)報(bào)文后返回步驟3.1重新處理,若沒有下一個(gè)報(bào)文,則跳出第三步。
      [0015]優(yōu)選地,所述按照大流量動(dòng)作處理當(dāng)前報(bào)文和/或所述采用不可信流量動(dòng)作處理當(dāng)前報(bào)文為對(duì)當(dāng)前報(bào)文產(chǎn)生告警或產(chǎn)生告警的同時(shí)進(jìn)行丟包操作。
      [0016]本發(fā)明不依賴訪問控制策略,也不依賴匹配特征,而是通過學(xué)習(xí)正常業(yè)務(wù)流,形成業(yè)務(wù)流的白環(huán)境模型,從而達(dá)到只放行正常的業(yè)務(wù)流,阻止像各種未知攻擊等非正常的業(yè)務(wù)流,因此能很好的防范各種未知的攻擊行為和新興的攻擊行為。
      [0017]由于采用了上述的技術(shù)方案,本發(fā)明具有以下的優(yōu)點(diǎn)和積極效果:能夠防范防火墻和入侵檢測(cè)技術(shù)所不能防范的新興攻擊行為和各種未知攻擊,能夠確保信息系統(tǒng)的正常運(yùn)行,保障網(wǎng)絡(luò)中正常業(yè)務(wù)流的安全,防范核心數(shù)據(jù)泄密。
      【專利附圖】

      【附圖說明】
      [0018]圖1是本發(fā)明的網(wǎng)絡(luò)控制模型建立白環(huán)境流程圖;
      [0019]圖2是本發(fā)明的網(wǎng)絡(luò)控制模型過濾報(bào)文的流程圖。
      【具體實(shí)施方式】
      [0020]為使本發(fā)明更明顯易懂,茲以優(yōu)選實(shí)施例,并配合附圖作詳細(xì)說明如下。
      [0021]本發(fā)明提供了一種防范網(wǎng)絡(luò)中各種新興和未知攻擊行為的方法,其步驟為:
      [0022]第一步、建立網(wǎng)絡(luò)控制模型,網(wǎng)絡(luò)控制模型以哈希鏈表方式組織,以源IP、目的IP、協(xié)議、目的端口號(hào)(服務(wù))四元組為基礎(chǔ)算出一個(gè)哈希值,再以此哈希值為基礎(chǔ)組織哈希鏈表。網(wǎng)絡(luò)控制模型只處理TCP和UDP兩種類型的報(bào)文,其余類型報(bào)文默認(rèn)不進(jìn)入網(wǎng)絡(luò)控制模型處理。如果為TCP類型報(bào)文,只有TCP類型的SYN報(bào)文的四元組的哈希結(jié)點(diǎn)才會(huì)加入到網(wǎng)絡(luò)控制模型中,其余TCP類型的報(bào)文如果在網(wǎng)絡(luò)控制模型中匹配到了,只更新計(jì)數(shù),否則不處理。如果為UDP類型報(bào)文,因?yàn)閁DP類型報(bào)文沒有類型之分,所以處理所有UDP報(bào)文。
      [0023]網(wǎng)絡(luò)控制模型分為學(xué)習(xí)模式和工作模式,網(wǎng)絡(luò)控制模型的動(dòng)作分為大流量和不可信流量?jī)煞N類型;其中大流量的動(dòng)作包括:告警、丟包+告警,不可信流量的動(dòng)作也包括:告警、丟包+告警,此兩個(gè)動(dòng)作可配置,默認(rèn)的動(dòng)作采用丟包+告警。在學(xué)習(xí)模式下,學(xué)習(xí)正常業(yè)務(wù)流,建立網(wǎng)絡(luò)控制模型的白環(huán)境;在工作模式下,將業(yè)務(wù)流匹配網(wǎng)絡(luò)控制模型中的業(yè)務(wù)流白環(huán)境,根據(jù)匹配結(jié)果給出對(duì)業(yè)務(wù)流的處理意見:通過、警告、丟包+警告。網(wǎng)絡(luò)控制模型以源IP、目的IP、協(xié)議、目的端口號(hào)(服務(wù))四元組為基礎(chǔ)建立,同時(shí)模型中包括業(yè)務(wù)流白環(huán)境的流量統(tǒng)計(jì)和工作模式的流量統(tǒng)計(jì)信息。通過四元組建立的網(wǎng)絡(luò)控制模型可以囊括所有IP報(bào)文行為,能夠模擬從哪里來(源IP),到哪里去(目的IP),做什么(協(xié)議+目的端Π )。
      [0024]第二步、利用網(wǎng)絡(luò)控制模型對(duì)網(wǎng)絡(luò)中的正常業(yè)務(wù)流進(jìn)行學(xué)習(xí),建立網(wǎng)絡(luò)控制模型的業(yè)務(wù)流白環(huán)境,即網(wǎng)絡(luò)控制模型工作于學(xué)習(xí)模式,結(jié)合圖1,其步驟為:
      [0025]步驟2.1、判斷接收到的報(bào)文是否為TCP類型報(bào)文或UDP類型報(bào)文,若是,則繼續(xù)進(jìn)入步驟2.1,若否,則將當(dāng)前報(bào)文放行,進(jìn)入步驟2.4 ;
      [0026]步驟2.2、提取IP報(bào)文的源IP、目的IP、協(xié)議、目的端口號(hào)四元組,利用該四元組算出一個(gè)哈希值;
      [0027]步驟2.3以步驟2.2得到的哈希值為參數(shù)到網(wǎng)絡(luò)控制模型的哈希鏈表中查詢,若查詢到,則將當(dāng)前IP報(bào)文的長(zhǎng)度更新到網(wǎng)絡(luò)流量的統(tǒng)計(jì)值中,進(jìn)入步驟2.4,若沒查詢到,則判斷當(dāng)前報(bào)文的協(xié)議類型為TCP類型報(bào)文或UDP類型報(bào)文,若為TCP類型報(bào)文,則繼續(xù)判斷當(dāng)前報(bào)文的TCP報(bào)文選項(xiàng)是否為SYN包,若是SYN包,則將包含四元組的鏈表節(jié)點(diǎn)加入哈希鏈表,并初始化網(wǎng)絡(luò)流量的統(tǒng)計(jì)值,進(jìn)入步驟2.4,若不是SYN包,將當(dāng)前報(bào)文放行,進(jìn)入步驟2.4 ;若當(dāng)前報(bào)文的協(xié)議類型為UDP類型報(bào)文,則將包含四元組的鏈表節(jié)點(diǎn)加入哈希鏈表,并初始化網(wǎng)絡(luò)流量的統(tǒng)計(jì)值,進(jìn)入步驟2.4 ;
      [0028]步驟2.4、判斷是否達(dá)到預(yù)定的學(xué)習(xí)時(shí)間,若達(dá)到,則退出第二步,若未到達(dá),則接收下一個(gè)報(bào)文后返回步驟2.1重新處理;
      [0029]第三步、利用建立的網(wǎng)絡(luò)控制模型的業(yè)務(wù)流白環(huán)境對(duì)網(wǎng)絡(luò)流量進(jìn)行過濾,即網(wǎng)絡(luò)控制模型工作于工作模式,結(jié)合圖2,其步驟為:
      [0030]步驟3.1、判斷接收到的報(bào)文是否為TCP類型報(bào)文或UDP類型報(bào)文,若是,則進(jìn)入步驟3.2,若否,則將當(dāng)前報(bào)文放行并接收下一個(gè)報(bào)文后返回步驟3.1重新處理;
      [0031]步驟3.2、提取IP報(bào)文的源IP、目的IP、協(xié)議、目的端口號(hào)四元組,利用該四元組算出一個(gè)哈希值,以該哈希值為參數(shù)到網(wǎng)絡(luò)控制模型的哈希鏈表中查詢,若查詢到匹配的鏈表節(jié)點(diǎn),則將實(shí)時(shí)流量統(tǒng)計(jì)加上本報(bào)文的流量后得出新的流量值,將新的流量值和通過第二步得到的網(wǎng)絡(luò)流量的統(tǒng)計(jì)值比較,若新的流量值比網(wǎng)絡(luò)流量的統(tǒng)計(jì)值大,則采用大流量動(dòng)作處理當(dāng)前報(bào)文后進(jìn)入步驟3.3,若新的流量值比網(wǎng)絡(luò)流量的統(tǒng)計(jì)值小,則在更新實(shí)時(shí)流量統(tǒng)計(jì)后放行當(dāng)前報(bào)文,進(jìn)入步驟3.3 ;若沒有查詢到匹配的鏈表節(jié)點(diǎn),則采用不可信流量動(dòng)作處理當(dāng)前報(bào)文后進(jìn)入步驟3.3 ;
      [0032]步驟3.3、若有下一個(gè)報(bào)文,則接收下一個(gè)報(bào)文后返回步驟3.1重新處理,若沒有下一個(gè)報(bào)文,則跳出第三步。
      [0033]如權(quán)利要求1所述的一種防范網(wǎng)絡(luò)中各種新興和未知攻擊行為的方法,其特征在于:所述按照大流量動(dòng)作處理當(dāng)前報(bào)文和/或所述采用不可信流量動(dòng)作處理當(dāng)前報(bào)文為對(duì)當(dāng)前報(bào)文產(chǎn)生告警或產(chǎn)生告警的同時(shí)進(jìn)行丟包操作。
      【權(quán)利要求】
      1.一種防范網(wǎng)絡(luò)中各種新興和未知攻擊行為的方法,其特征在于,步驟為: 第一步、建立網(wǎng)絡(luò)控制模型,該網(wǎng)絡(luò)控制模型以哈希鏈表方式組織,以源IP、目的IP、協(xié)議、目的端口號(hào)四元組為基礎(chǔ)算出一個(gè)哈希值,再以此哈希值為基礎(chǔ)組織哈希鏈表;第二步、利用網(wǎng)絡(luò)控制模型對(duì)網(wǎng)絡(luò)中的正常業(yè)務(wù)流進(jìn)行學(xué)習(xí),建立網(wǎng)絡(luò)控制模型的業(yè)務(wù)流白環(huán)境,其步驟為: 步驟2.1、判斷接收到的報(bào)文是否為TCP類型報(bào)文或UDP類型報(bào)文,若是,則繼續(xù)進(jìn)入步驟2.1,若否,則將當(dāng)前報(bào)文放行,進(jìn)入步驟2.4 ; 步驟2.2、提取IP報(bào)文的源IP、目的IP、協(xié)議、目的端口號(hào)四元組,利用該四元組算出一個(gè)哈希值; 步驟2.3以步驟2.2得到的哈希值為參數(shù)到網(wǎng)絡(luò)控制模型的哈希鏈表中查詢,若查詢至IJ,則將當(dāng)前IP報(bào)文的長(zhǎng)度更新到網(wǎng)絡(luò)流量的統(tǒng)計(jì)值中,進(jìn)入步驟2.4,若沒查詢到,則判斷當(dāng)前報(bào)文的協(xié)議類型為TCP類型報(bào)文或UDP類型報(bào)文,若為TCP類型報(bào)文,則繼續(xù)判斷當(dāng)前報(bào)文的TCP報(bào)文選項(xiàng)是否為SYN包,若是SYN包,則將包含四元組的鏈表節(jié)點(diǎn)加入哈希鏈表,并初始化網(wǎng)絡(luò)流量的統(tǒng)計(jì)值,進(jìn)入步驟2.4,若不是SYN包,將當(dāng)前報(bào)文放行,進(jìn)入步驟2.4 ;若當(dāng)前報(bào)文的協(xié)議類型為Μ)Ρ類型報(bào)文,則將包含四元組的鏈表節(jié)點(diǎn)加入哈希鏈表,并初始化網(wǎng)絡(luò)流量的統(tǒng)計(jì)值,進(jìn)入步驟2.4 ; 步驟2.4、判斷是否達(dá)到預(yù)定的學(xué)習(xí)時(shí)間,若達(dá)到,則退出第二步,若未到達(dá),則接收下一個(gè)報(bào)文后返回步驟2.1重新處理; 第三步、利用建立的網(wǎng)絡(luò)控制模型的業(yè)務(wù)流白環(huán)境對(duì)網(wǎng)絡(luò)流量進(jìn)行過濾,其步驟為: 步驟3.1、判斷接收到的報(bào)文是否為TCP類型報(bào)文或UDP類型報(bào)文,若是,則進(jìn)入步驟3.2,若否,則將當(dāng)前報(bào)文放行并接收下一個(gè)報(bào)文后返回步驟3.1重新處理; 步驟3.2、提取IP報(bào)文的源IP、目的IP、協(xié)議、目的端口號(hào)四元組,利用該四元組算出一個(gè)哈希值,以該哈希值為參數(shù)到網(wǎng)絡(luò)控制模型的哈希鏈表中查詢,若查詢到匹配的鏈表節(jié)點(diǎn),則將實(shí)時(shí)流量統(tǒng)計(jì)加上本報(bào)文的流量后得出新的流量值,將新的流量值和通過第二步得到的網(wǎng)絡(luò)流量的統(tǒng)計(jì)值比較,若新的流量值比網(wǎng)絡(luò)流量的統(tǒng)計(jì)值大,則采用大流量動(dòng)作處理當(dāng)前報(bào)文后進(jìn)入步驟3.3,若新的流量值比網(wǎng)絡(luò)流量的統(tǒng)計(jì)值小,則在更新實(shí)時(shí)流量統(tǒng)計(jì)后放行當(dāng)前報(bào)文,進(jìn)入步驟3.3 ;若沒有查詢到匹配的鏈表節(jié)點(diǎn),則采用不可信流量動(dòng)作處理當(dāng)前報(bào)文后進(jìn)入步驟3.3 ; 步驟3.3、若有下一個(gè)報(bào)文,則接收下一個(gè)報(bào)文后返回步驟3.1重新處理,若沒有下一個(gè)報(bào)文,則跳出第三步。
      2.如權(quán)利要求1所述的一種防范網(wǎng)絡(luò)中各種新興和未知攻擊行為的方法,其特征在于:所述按照大流量動(dòng)作處理當(dāng)前報(bào)文和/或所述采用不可信流量動(dòng)作處理當(dāng)前報(bào)文為對(duì)當(dāng)前報(bào)文產(chǎn)生告警或產(chǎn)生告警的同時(shí)進(jìn)行丟包操作。
      【文檔編號(hào)】H04L29/06GK103944912SQ201410172952
      【公開日】2014年7月23日 申請(qǐng)日期:2014年4月28日 優(yōu)先權(quán)日:2014年4月28日
      【發(fā)明者】白曉帆, 白恩健 申請(qǐng)人:東華大學(xué)
      網(wǎng)友詢問留言 已有0條留言
      • 還沒有人留言評(píng)論。精彩留言會(huì)獲得點(diǎn)贊!
      1