防止局域網(wǎng)被掃描的系統(tǒng)及方法
【專利摘要】本發(fā)明公開了一種防止局域網(wǎng)被掃描的系統(tǒng)及方法,所述系統(tǒng)包括采集模塊、過濾模塊、統(tǒng)計(jì)模塊、檢測(cè)模塊和封鎖模塊;采集模塊用于實(shí)時(shí)采集IDS日志;過濾模塊用于獲取IDS日志并過濾得到掃描類型的IDS日志;統(tǒng)計(jì)模塊用于根據(jù)IP地址和時(shí)間戳對(duì)掃描事件的數(shù)量進(jìn)行統(tǒng)計(jì),并將統(tǒng)計(jì)結(jié)果發(fā)送至檢測(cè)模塊;檢測(cè)模塊用于檢測(cè)各個(gè)IP地址對(duì)應(yīng)的掃描事件的數(shù)量是否大于預(yù)設(shè)閾值;封鎖模塊用于封鎖相應(yīng)的IP地址對(duì)應(yīng)的交換機(jī)接口。與現(xiàn)有技術(shù)相比,本發(fā)明能夠?qū)崟r(shí)檢測(cè)局域網(wǎng)是否被掃描,并在存在高危掃描事件的情況下及時(shí)封鎖相應(yīng)的交換機(jī)接口,有效防止局域網(wǎng)被掃描,同時(shí)還可以調(diào)整檢測(cè)局域網(wǎng)是否被掃描的強(qiáng)度,應(yīng)用范圍廣泛。
【專利說明】
防止局域網(wǎng)被掃描的系統(tǒng)及方法
技術(shù)領(lǐng)域
[0001]本發(fā)明涉及網(wǎng)絡(luò)安全領(lǐng)域。特別涉及一種防止局域網(wǎng)被掃描的系統(tǒng)及方法。
【背景技術(shù)】
[0002]隨著互聯(lián)網(wǎng)的發(fā)展,局域網(wǎng)也叫內(nèi)網(wǎng)的安全越來越受到企業(yè)的重視,而掃描往往是內(nèi)網(wǎng)滲透的第一步,但是傳統(tǒng)的防護(hù)無法從海量的IDS(Intrus1n Detect1n Systems,入侵檢測(cè)系統(tǒng))日志中提取真正高危險(xiǎn)的掃描用戶并進(jìn)一步地對(duì)其進(jìn)行處理,進(jìn)而無法實(shí)現(xiàn)保護(hù)內(nèi)網(wǎng)。
【發(fā)明內(nèi)容】
[0003]本發(fā)明要解決的技術(shù)問題是為了克服現(xiàn)有技術(shù)中無法從海量的IDS日志中提取高危掃描用戶并對(duì)其進(jìn)行處理,進(jìn)而無法保護(hù)內(nèi)網(wǎng)的缺陷,提供一種防止局域網(wǎng)被掃描的系統(tǒng)及方法。
[0004]本發(fā)明是通過下述技術(shù)方案來解決上述技術(shù)問題的:
[0005]—種防止局域網(wǎng)被掃描的系統(tǒng),其特點(diǎn)在于,包括一采集模塊、一過濾模塊、一統(tǒng)計(jì)模塊、一檢測(cè)模塊以及一封鎖模塊;
[0006]所述采集模塊用于實(shí)時(shí)采集IDS日志,并將所述IDS日志發(fā)送至一消息隊(duì)列;
[0007]所述過濾模塊用于從所述消息隊(duì)列中獲取IDS日志,并對(duì)所述IDS日志進(jìn)行過濾得到所有的掃描類型的IDS日志,以及將所述掃描類型的IDS日志分配至所述統(tǒng)計(jì)模塊,其中,每個(gè)掃描類型的IDS日志均包括至少一個(gè)掃描事件,每個(gè)掃描事件均包括一IP地址和一時(shí)間戳;
[0008]所述統(tǒng)計(jì)模塊用于根據(jù)IP地址和時(shí)間戳對(duì)所述掃描類型的IDS日志中掃描事件的數(shù)量進(jìn)行統(tǒng)計(jì),并將統(tǒng)計(jì)結(jié)果發(fā)送至所述檢測(cè)模塊;
[0009]所述檢測(cè)模塊用于檢測(cè)時(shí)間戳范圍在(當(dāng)前時(shí)間戳-一第一預(yù)設(shè)時(shí)間段)?當(dāng)前時(shí)間戳內(nèi)各個(gè)IP地址對(duì)應(yīng)的掃描事件的數(shù)量是否大于一預(yù)設(shè)閾值,并在是的情況下調(diào)用所述封鎖模塊;
[0010]所述封鎖模塊用于封鎖相應(yīng)的IP地址對(duì)應(yīng)的交換機(jī)接口。
[0011 ] 本方案中,通過對(duì)實(shí)時(shí)采集的IDS日志進(jìn)行過濾得到掃描類型的IDS日志,并根據(jù)IP地址和時(shí)間戳對(duì)掃描事件的數(shù)量進(jìn)行統(tǒng)計(jì),以及對(duì)第一預(yù)設(shè)時(shí)間段內(nèi)的掃描事件的數(shù)量進(jìn)行檢測(cè),并將數(shù)量達(dá)到預(yù)設(shè)閾值的掃描事件的IP地址對(duì)應(yīng)的交換機(jī)接口封鎖。其中,第一預(yù)設(shè)時(shí)間段和預(yù)設(shè)閾值均可根據(jù)需要自行設(shè)置。例如可以將第一預(yù)設(shè)時(shí)間段設(shè)為10分鐘或30分鐘等,可以將預(yù)設(shè)閾值設(shè)為1000或2000等。
[0012]在本方案的系統(tǒng)中,采集模塊實(shí)時(shí)采集IDS日志,過濾模塊、統(tǒng)計(jì)模塊、檢測(cè)模塊以及封鎖模塊分別根據(jù)采集的IDS日志進(jìn)行實(shí)時(shí)處理。也就是說,利用本方案的系統(tǒng)能夠?qū)崟r(shí)檢測(cè)局域網(wǎng)是否被掃描,并在局域網(wǎng)中存在高危掃描事件的情況下及時(shí)封鎖相應(yīng)的交換機(jī)接口,從根源上阻斷了危險(xiǎn),有效地防止了局域網(wǎng)被掃描。另外,用戶還可以通過調(diào)整預(yù)設(shè)閾值來動(dòng)態(tài)調(diào)整檢測(cè)局域網(wǎng)是否被掃描的強(qiáng)度,應(yīng)用范圍廣泛。
[0013]較佳地,所述過濾模塊用于根據(jù)IDS日志的ID號(hào)對(duì)所述消息隊(duì)列中的IDS日志進(jìn)行過濾,得到掃描類型的IDS日志。
[0014]較佳地,所述過濾模塊包括至少一個(gè)過濾節(jié)點(diǎn);
[0015]每個(gè)過濾節(jié)點(diǎn)分別用于從所述消息隊(duì)列中獲取一預(yù)設(shè)數(shù)量的IDS日志,并對(duì)獲取的IDS日志進(jìn)行過濾得到掃描類型的IDS日志,以及將掃描類型的IDS日志分配至所述統(tǒng)計(jì)模塊。
[0016]本方案中,每個(gè)過濾節(jié)點(diǎn)從消息隊(duì)列中獲取的IDS日志的數(shù)量可以相同,也可以不同,具體由過濾節(jié)點(diǎn)的處理能力決定,舉個(gè)例子,若過濾節(jié)點(diǎn)的處理能力較強(qiáng),貝lJ可以從消息隊(duì)列中獲取較多的IDS日志;若過濾節(jié)點(diǎn)的處理能力較弱,則可以從消息隊(duì)列中獲取較少的IDS日志。其中,過濾節(jié)點(diǎn)可以為計(jì)算機(jī)或CPU等具有處理IDS日志能力的設(shè)備,過濾節(jié)點(diǎn)的數(shù)量可以根據(jù)消息隊(duì)列中IDS日志的數(shù)量來設(shè)置,舉個(gè)例子,若IDS日志的數(shù)量較多,則可以設(shè)置較多的過濾節(jié)點(diǎn);SlDS日志的數(shù)量較少,則可以設(shè)置較少的過濾節(jié)點(diǎn)。
[0017]較佳地,所述統(tǒng)計(jì)模塊包括預(yù)設(shè)單元、第一判斷單元、計(jì)數(shù)單元以及更新單元;
[0018]所述預(yù)設(shè)單元用于分別將各IP地址對(duì)應(yīng)的最小時(shí)間戳設(shè)為各IP地址對(duì)應(yīng)的初始時(shí)間戳;
[0019]所述第一判斷單元用于依次判斷所述掃描類型的IDS日志中各掃描事件的時(shí)間戳與當(dāng)前待判斷的掃描事件的IP地址對(duì)應(yīng)的初始時(shí)間戳的差值是否小于等于一第二預(yù)設(shè)時(shí)間段,若是,則調(diào)用所述計(jì)數(shù)單元,若否,則調(diào)用所述更新單元,直至判斷完所有的掃描事件;
[0020]所述計(jì)數(shù)單元用于根據(jù)所述IP地址和所述初始時(shí)間戳對(duì)掃描事件的數(shù)量進(jìn)行統(tǒng)計(jì);
[0021]所述更新單元用于將所述當(dāng)前待判斷的掃描事件的IP地址對(duì)應(yīng)的初始時(shí)間戳更新為所述當(dāng)前待判斷的掃描事件的時(shí)間戳。
[0022]本方案對(duì)統(tǒng)計(jì)模塊如何根據(jù)IP地址和時(shí)間戳統(tǒng)計(jì)進(jìn)行了進(jìn)一步限定,具體地,將在初始時(shí)間戳?(初始時(shí)間戳+第二預(yù)設(shè)時(shí)間段)范圍內(nèi)的相同IP地址對(duì)應(yīng)的掃描事件進(jìn)行統(tǒng)計(jì),其中,各IP地址對(duì)應(yīng)的最小時(shí)間戳為各IP地址對(duì)應(yīng)的初始時(shí)間戳。舉個(gè)例子,設(shè)第二預(yù)設(shè)時(shí)間段為2秒,若掃描類型的IDS日志中包括以下四個(gè)掃描事件:1)IP:A,時(shí)間戳:1459353600 秒;2) IP: A,時(shí)間戳:1459353601 秒;3) IP:B,時(shí)間戳:1459353601 秒;4) IP:B,時(shí)間戳:1459353604秒;則IP地址為A對(duì)應(yīng)的初始時(shí)間戳為1459353600秒,IP地址為B對(duì)應(yīng)的初始時(shí)間戳為1459353601秒。統(tǒng)計(jì)結(jié)果為:I)IP:A,時(shí)間戳:1459353600秒,掃描事件的個(gè)數(shù):2;2)IP:B,時(shí)間戳:1459353601秒,掃描事件的個(gè)數(shù):1;3)IP:B,時(shí)間戳:1459353604秒,掃描事件的個(gè)數(shù):I。從上述例子可以看出,統(tǒng)計(jì)模塊將時(shí)間戳為1459353600秒和1459353601秒的IP地址為A的掃描事件進(jìn)行了統(tǒng)計(jì)。其中,第二預(yù)設(shè)時(shí)間段可以根據(jù)具體需要自行設(shè)置。
[0023]較佳地,所述統(tǒng)計(jì)模塊包括N級(jí)統(tǒng)計(jì)節(jié)點(diǎn),每級(jí)統(tǒng)計(jì)節(jié)點(diǎn)均包括至少一個(gè)統(tǒng)計(jì)節(jié)點(diǎn),每個(gè)統(tǒng)計(jì)節(jié)點(diǎn)均包括一統(tǒng)計(jì)單元、一第二判斷單元、一賦值單元以及一發(fā)送單元,所述統(tǒng)計(jì)單元包括所述預(yù)設(shè)單元、所述第一判斷單元、所述計(jì)數(shù)單元以及所述更新單元;
[0024]每個(gè)過濾節(jié)點(diǎn)分別用于將過濾得到的掃描類型的IDS日志平均分配至所述統(tǒng)計(jì)模塊中的第M級(jí)統(tǒng)計(jì)節(jié)點(diǎn),M的初始值為I;
[0025]所述第M級(jí)統(tǒng)計(jì)節(jié)點(diǎn)的統(tǒng)計(jì)單元用于根據(jù)IP地址和時(shí)間戳對(duì)所述掃描類型的IDS曰志中掃描事件的數(shù)量進(jìn)行統(tǒng)計(jì),并將小于當(dāng)前時(shí)間戳與所述第二預(yù)設(shè)時(shí)間段差值的時(shí)間戳所對(duì)應(yīng)的掃描事件的統(tǒng)計(jì)結(jié)果平均分配至第M+1級(jí)統(tǒng)計(jì)節(jié)點(diǎn);
[0026]所述第M+1級(jí)統(tǒng)計(jì)節(jié)點(diǎn)的第二判斷單元用于判斷M+1是否等于N,若是,則調(diào)用所述第M+1級(jí)統(tǒng)計(jì)節(jié)點(diǎn)的發(fā)送單元,若否,則調(diào)用所述第M+1級(jí)統(tǒng)計(jì)節(jié)點(diǎn)的賦值單元;
[0027]所述第M+1級(jí)統(tǒng)計(jì)節(jié)點(diǎn)的賦值單元用于將M賦值為M+1,調(diào)用第M級(jí)統(tǒng)計(jì)節(jié)點(diǎn)的統(tǒng)計(jì)單元;
[0028]所述第M+1級(jí)統(tǒng)計(jì)節(jié)點(diǎn)的發(fā)送單元用于將統(tǒng)計(jì)結(jié)果發(fā)送至所述檢測(cè)模塊;
[0029]其中,第M+1級(jí)統(tǒng)計(jì)節(jié)點(diǎn)中統(tǒng)計(jì)節(jié)點(diǎn)的數(shù)量少于第M級(jí)統(tǒng)計(jì)節(jié)點(diǎn)中統(tǒng)計(jì)節(jié)點(diǎn)的數(shù)量,N為大于I的整數(shù)。
[0030]本方案的統(tǒng)計(jì)模塊中包含多級(jí)統(tǒng)計(jì)節(jié)點(diǎn),每級(jí)統(tǒng)計(jì)節(jié)點(diǎn)均包括至少一個(gè)統(tǒng)計(jì)節(jié)點(diǎn)。其中,統(tǒng)計(jì)節(jié)點(diǎn)可以為計(jì)算機(jī)或CPU等具有統(tǒng)計(jì)掃描事件能力的設(shè)備,統(tǒng)計(jì)節(jié)點(diǎn)的級(jí)數(shù)以及每級(jí)統(tǒng)計(jì)節(jié)點(diǎn)包括的統(tǒng)計(jì)節(jié)點(diǎn)的數(shù)量均可以根據(jù)掃描類型的IDS日志的數(shù)量來設(shè)置。
[0031]其中,所述第M級(jí)統(tǒng)計(jì)節(jié)點(diǎn)將小于當(dāng)前時(shí)間戳與所述第二預(yù)設(shè)時(shí)間段差值的時(shí)間戳所對(duì)應(yīng)的掃描事件的統(tǒng)計(jì)結(jié)果平均分配至第M+1級(jí)統(tǒng)計(jì)節(jié)點(diǎn)。舉個(gè)例子,設(shè)第二預(yù)設(shè)時(shí)間段為2秒,當(dāng)前時(shí)間戳為1459353603秒,其中一個(gè)第I級(jí)統(tǒng)計(jì)節(jié)點(diǎn)的統(tǒng)計(jì)結(jié)果如下:I) IP:A,時(shí)間戳:1459353600秒,掃描事件的個(gè)數(shù):2; 2) IP: C,時(shí)間戳:1459353600秒,掃描事件的個(gè)數(shù):6; 3) IP:B,時(shí)間戳:1459353601秒,,掃描事件的個(gè)數(shù):5;4) IP:C,時(shí)間戳:1459353603秒,掃描事件的個(gè)數(shù):I。上述例子中,所述第I級(jí)統(tǒng)計(jì)節(jié)點(diǎn)將統(tǒng)計(jì)結(jié)果I)和2)分配至第2級(jí)統(tǒng)計(jì)節(jié)點(diǎn)。
[0032]本方案中,通過設(shè)置多級(jí)統(tǒng)計(jì)節(jié)點(diǎn)可以使得對(duì)所述第二預(yù)設(shè)時(shí)間段內(nèi)的掃描事件進(jìn)行統(tǒng)計(jì)的效率提尚,同時(shí)也提尚了檢測(cè)尚危掃描事件的實(shí)時(shí)性。
[0033]較佳地,所述系統(tǒng)還包括一匯總模塊,所述第M+1級(jí)統(tǒng)計(jì)節(jié)點(diǎn)的發(fā)送單元用于將統(tǒng)計(jì)結(jié)果發(fā)送至所述匯總模塊;
[0034]所述匯總模塊用于按照時(shí)間戳和IP地址對(duì)統(tǒng)計(jì)結(jié)果進(jìn)行匯總,并將匯總結(jié)果發(fā)送至所述檢測(cè)模塊。
[0035]較佳地,每個(gè)統(tǒng)計(jì)節(jié)點(diǎn)均還包括一第三判斷單元,所述第三判斷單元用于根據(jù)所述掃描類型的IDS日志的ID號(hào)判斷IP地址為源IP地址還是目的IP地址。
[0036]本方案中,為了能夠方便區(qū)分實(shí)現(xiàn)掃描局域網(wǎng)的操作,統(tǒng)計(jì)節(jié)點(diǎn)還包括能夠判斷IP地址為源IP地址還是目的IP地址的第三判斷單元。具體地,若IP地址為源IP地址,則實(shí)現(xiàn)掃描局域網(wǎng)的操作為向局域網(wǎng)發(fā)送消息;若IP地址為目的IP地址,則實(shí)現(xiàn)掃描局域網(wǎng)的操作為接收局域網(wǎng)發(fā)送的消息。
[0037]本發(fā)明還提供一種防止局域網(wǎng)被掃描的方法,其特點(diǎn)在于,利用如上所述的防止局域網(wǎng)被掃描的系統(tǒng)實(shí)現(xiàn),所述方法包括以下步驟:
[0038]S1、所述采集模塊實(shí)時(shí)采集IDS日志,并將所述IDS日志發(fā)送至一消息隊(duì)列;
[0039]S2、所述過濾模塊從所述消息隊(duì)列中獲取IDS日志,并對(duì)所述IDS日志進(jìn)行過濾得到所有的掃描類型的IDS日志,以及將所述掃描類型的IDS日志分配至所述統(tǒng)計(jì)模塊,其中,每個(gè)掃描類型的IDS日志均包括至少一個(gè)掃描事件,每個(gè)掃描事件均包括一IP地址和一時(shí)間戳;
[0040]S3、所述統(tǒng)計(jì)模塊根據(jù)IP地址和時(shí)間戳對(duì)所述掃描類型的IDS日志中掃描事件的數(shù)量進(jìn)行統(tǒng)計(jì),并將統(tǒng)計(jì)結(jié)果發(fā)送至所述檢測(cè)模塊;
[0041]S4、所述檢測(cè)模塊檢測(cè)時(shí)間戳范圍在(當(dāng)前時(shí)間戳-一第一預(yù)設(shè)時(shí)間段)?當(dāng)前時(shí)間戳內(nèi)各個(gè)IP地址對(duì)應(yīng)的掃描事件的數(shù)量是否大于一預(yù)設(shè)閾值,若是,則執(zhí)行步驟S5,若否,則結(jié)束流程;
[0042]S5、所述封鎖模塊封鎖相應(yīng)的IP地址對(duì)應(yīng)的交換機(jī)接口。
[0043]步驟S1*,采集模塊實(shí)時(shí)采集IDS日志,步驟S2?步驟S4中,過濾模塊、統(tǒng)計(jì)模塊、檢測(cè)模塊以及封鎖模塊分別根據(jù)采集的IDS日志進(jìn)行實(shí)時(shí)處理。
[0044]較佳地,步驟S2中還包括:所述過濾模塊根據(jù)IDS日志的ID號(hào)對(duì)所述消息隊(duì)列中的IDS日志進(jìn)行過濾,得到掃描類型的IDS日志。
[0045]較佳地,所述過濾模塊包括至少一個(gè)過濾節(jié)點(diǎn);
[0046]步驟S2中包括:每個(gè)過濾節(jié)點(diǎn)分別從所述消息隊(duì)列中獲取一預(yù)設(shè)數(shù)量的IDS日志,并對(duì)獲取的IDS日志進(jìn)行過濾得到掃描類型的IDS日志,以及將掃描類型的IDS日志分配至所述統(tǒng)計(jì)模塊。
[0047 ]較佳地,所述統(tǒng)計(jì)模塊包括預(yù)設(shè)單元、第一判斷單元、計(jì)數(shù)單元以及更新單元;
[0048]步驟S3中包括一統(tǒng)計(jì)操作,所述統(tǒng)計(jì)操作包括以下步驟:
[0049]S31、所述預(yù)設(shè)單元分別將各IP地址對(duì)應(yīng)的最小時(shí)間戳設(shè)為各IP地址對(duì)應(yīng)的初始時(shí)間戳;
[0050]S32、所述第一判斷單元依次判斷所述掃描類型的IDS日志中的各掃描事件,執(zhí)行以下步驟:
[0051]S321、所述第一判斷單元判斷當(dāng)前待判斷的掃描事件的時(shí)間戳與所述當(dāng)前待判斷的掃描事件的IP地址對(duì)應(yīng)的初始時(shí)間戳的差值是否小于等于一第二預(yù)設(shè)時(shí)間段,若是,則執(zhí)行步驟S322,若否,則執(zhí)行步驟S323 ;
[0052]S322、所述計(jì)數(shù)單元根據(jù)所述IP地址和所述初始時(shí)間戳對(duì)掃描事件的數(shù)量進(jìn)行統(tǒng)計(jì),并結(jié)束對(duì)所述當(dāng)前待判斷的掃描事件的判斷;
[0053]S323、所述更新單元將所述當(dāng)前待判斷的掃描事件的IP地址對(duì)應(yīng)的初始時(shí)間戳更新為所述當(dāng)前待判斷的掃描事件的時(shí)間戳,并結(jié)束對(duì)所述當(dāng)前待判斷的掃描事件的判斷。
[0054]較佳地,所述統(tǒng)計(jì)模塊包括N級(jí)統(tǒng)計(jì)節(jié)點(diǎn),每級(jí)統(tǒng)計(jì)節(jié)點(diǎn)均包括至少一個(gè)統(tǒng)計(jì)節(jié)點(diǎn),每個(gè)統(tǒng)計(jì)節(jié)點(diǎn)均包括所述預(yù)設(shè)單元、所述第一判斷單元、所述計(jì)數(shù)單元、所述更新單元以及一第二判斷單元、一賦值單元、一發(fā)送單元;
[0055]步驟S2中包括:每個(gè)過濾節(jié)點(diǎn)分別將過濾得到的掃描類型的IDS日志平均分配至所述統(tǒng)計(jì)模塊中的第M級(jí)統(tǒng)計(jì)節(jié)點(diǎn),M的初始值為I;
[0056]步驟S3中包括:
[0057]T1、所述第M級(jí)統(tǒng)計(jì)節(jié)點(diǎn)的統(tǒng)計(jì)單元執(zhí)行所述統(tǒng)計(jì)操作,并將小于當(dāng)前時(shí)間戳與所述第二預(yù)設(shè)時(shí)間段差值的時(shí)間戳所對(duì)應(yīng)的掃描事件的統(tǒng)計(jì)結(jié)果平均分配至第M+1級(jí)統(tǒng)計(jì)節(jié)占.V,
[0058]T2、所述第M+1級(jí)統(tǒng)計(jì)節(jié)點(diǎn)的第二判斷單元判斷M+1是否等于N,若是,則執(zhí)行步驟T4,若否,則執(zhí)行步驟T3;
[0059]Τ3、所述第Μ+1級(jí)統(tǒng)計(jì)節(jié)點(diǎn)的賦值單元將M賦值為Μ+1,返回步驟T1;
[0060]T4、所述第M+1級(jí)統(tǒng)計(jì)節(jié)點(diǎn)的發(fā)送單元將統(tǒng)計(jì)結(jié)果發(fā)送至所述檢測(cè)模塊;
[0061]其中,第M+1級(jí)統(tǒng)計(jì)節(jié)點(diǎn)中統(tǒng)計(jì)節(jié)點(diǎn)的數(shù)量少于第M級(jí)統(tǒng)計(jì)節(jié)點(diǎn)中統(tǒng)計(jì)節(jié)點(diǎn)的數(shù)量,N為大于I的整數(shù)。
[0062]較佳地,所述系統(tǒng)還包括一匯總模塊,
[0063]步驟T4包括以下步驟:
[0064]T41、所述第M+1級(jí)統(tǒng)計(jì)節(jié)點(diǎn)的發(fā)送單元將統(tǒng)計(jì)結(jié)果發(fā)送至所述匯總模塊;
[0065]T42、所述匯總模塊按照時(shí)間戳和IP地址對(duì)統(tǒng)計(jì)結(jié)果進(jìn)行匯總,并將匯總結(jié)果發(fā)送至所述檢測(cè)模塊。
[ΟΟ??] 較佳地,每個(gè)統(tǒng)計(jì)節(jié)點(diǎn)均還包括一第三判斷單元,所述方法還包括以下步驟:
[0067]所述第三判斷單元根據(jù)所述掃描類型的IDS日志的ID號(hào)判斷IP地址為源IP地址還是目的IP地址。
[0068]在符合本領(lǐng)域常識(shí)的基礎(chǔ)上,上述各優(yōu)選條件,可任意組合,即得本發(fā)明各較佳實(shí)例。
[0069]本發(fā)明的積極進(jìn)步效果在于:與現(xiàn)有技術(shù)相比,本發(fā)明能夠?qū)崟r(shí)檢測(cè)局域網(wǎng)是否被掃描,并在局域網(wǎng)中存在高危掃描事件的情況下及時(shí)封鎖相應(yīng)的交換機(jī)接口,從根源上阻斷危險(xiǎn),有效地防止局域網(wǎng)被掃描。另外,還可以通過調(diào)整預(yù)設(shè)閾值來動(dòng)態(tài)調(diào)整檢測(cè)局域網(wǎng)是否被掃描的強(qiáng)度,應(yīng)用范圍廣泛。
【附圖說明】
[0070]圖1為本實(shí)施例的防止局域網(wǎng)被掃描的系統(tǒng)的結(jié)構(gòu)框圖。
[0071 ]圖2為本實(shí)施例的第I級(jí)統(tǒng)計(jì)節(jié)點(diǎn)的結(jié)構(gòu)框圖。
[0072]圖3為本實(shí)施例的防止局域網(wǎng)被掃描的方法流程圖。
【具體實(shí)施方式】
[0073]下面通過實(shí)施例的方式進(jìn)一步說明本發(fā)明,但并不因此將本發(fā)明限制在所述的實(shí)施例范圍之中。
[0074]本實(shí)施例提供一種防止局域網(wǎng)被掃描的系統(tǒng),如圖1所示,包括采集模塊11、過濾模塊13、統(tǒng)計(jì)模塊14、匯總模塊15、檢測(cè)模塊16以及封鎖模塊17,過濾模塊13包括2個(gè)過濾節(jié)點(diǎn)31,統(tǒng)計(jì)模塊14包括3級(jí)統(tǒng)計(jì)節(jié)點(diǎn),其中,第I級(jí)統(tǒng)計(jì)節(jié)點(diǎn)41為6個(gè),第2級(jí)統(tǒng)計(jì)節(jié)點(diǎn)42為4個(gè),第3級(jí)統(tǒng)計(jì)節(jié)點(diǎn)43為2個(gè)。
[0075]如圖2所示,每個(gè)第I級(jí)統(tǒng)計(jì)節(jié)點(diǎn)41均包括統(tǒng)計(jì)單元20、第二判斷單元25、賦值單元26、發(fā)送單元27以及第三判斷單元28,其中,統(tǒng)計(jì)單元20包括預(yù)設(shè)單元21、第一判斷單元22、計(jì)數(shù)單元23以及更新單元24。同樣地,每個(gè)第2級(jí)統(tǒng)計(jì)節(jié)點(diǎn)和每個(gè)第3級(jí)統(tǒng)計(jì)節(jié)點(diǎn)也均包括統(tǒng)計(jì)單元20、第二判斷單元25、賦值單元26、發(fā)送單元27以及第三判斷單元28。
[0076]下面結(jié)合圖1和圖2對(duì)本實(shí)施例防止局域網(wǎng)被掃描的系統(tǒng)中各個(gè)模塊的功能進(jìn)行解釋說明。
[0077]采集模塊11用于實(shí)時(shí)采集IDS日志,并將所述IDS日志發(fā)送至消息隊(duì)列12。
[0078]過濾模塊13中的每個(gè)過濾節(jié)點(diǎn)31分別用于從消息隊(duì)列12中獲取一預(yù)設(shè)數(shù)量的IDS日志,并對(duì)獲取的IDS日志進(jìn)行過濾得到掃描類型的IDS日志,以及將掃描類型的IDS日志平均分配至統(tǒng)計(jì)模塊14中的6個(gè)第I級(jí)統(tǒng)計(jì)節(jié)點(diǎn)41,其中,每個(gè)掃描類型的IDS日志均包括至少一個(gè)掃描事件,每個(gè)掃描事件均包括一IP地址和一時(shí)間戳。
[0079]設(shè)M的初始值為I。
[0080]第M級(jí)統(tǒng)計(jì)節(jié)點(diǎn)的統(tǒng)計(jì)單元20用于根據(jù)IP地址和時(shí)間戳對(duì)所述掃描類型的IDS日志中掃描事件的數(shù)量進(jìn)行統(tǒng)計(jì),并將小于當(dāng)前時(shí)間戳與所述第二預(yù)設(shè)時(shí)間段差值的時(shí)間戳所對(duì)應(yīng)的掃描事件的統(tǒng)計(jì)結(jié)果平均分配至第M+1級(jí)統(tǒng)計(jì)節(jié)點(diǎn)。
[0081]第M+1級(jí)統(tǒng)計(jì)節(jié)點(diǎn)的第二判斷單元25用于判斷M+1是否等于3,若是,則調(diào)用第M+1級(jí)統(tǒng)計(jì)節(jié)點(diǎn)的發(fā)送單元27,若否,則調(diào)用第M+1級(jí)統(tǒng)計(jì)節(jié)點(diǎn)的賦值單元26 ;
[0082]第M+1級(jí)統(tǒng)計(jì)節(jié)點(diǎn)的賦值單元26用于將M賦值為M+1,調(diào)用第M級(jí)統(tǒng)計(jì)節(jié)點(diǎn);
[0083]第M+1級(jí)統(tǒng)計(jì)節(jié)點(diǎn)的發(fā)送單元27用于將統(tǒng)計(jì)結(jié)果發(fā)送至匯總模塊15。
[0084]匯總模塊15用于按照時(shí)間戳和IP地址對(duì)統(tǒng)計(jì)結(jié)果進(jìn)行匯總,并將匯總結(jié)果發(fā)送至檢測(cè)模塊16。
[0085]檢測(cè)模塊16用于檢測(cè)時(shí)間戳范圍在(當(dāng)前時(shí)間戳-一第一預(yù)設(shè)時(shí)間段)?當(dāng)前時(shí)間戳內(nèi)各個(gè)IP地址對(duì)應(yīng)的掃描事件的數(shù)量是否大于一預(yù)設(shè)閾值,并在是的情況下調(diào)用封鎖模塊17;
[0086]封鎖模塊17用于封鎖相應(yīng)的IP地址對(duì)應(yīng)的交換機(jī)接口。
[0087]下面分別對(duì)統(tǒng)計(jì)單元中預(yù)設(shè)單元、第一判斷單元、計(jì)數(shù)單元以及更新單元的功能進(jìn)行解釋說明。
[0088]預(yù)設(shè)單元21用于分別將各IP地址對(duì)應(yīng)的最小時(shí)間戳設(shè)為各IP地址對(duì)應(yīng)的初始時(shí)間戳。
[0089]第一判斷單元22用于依次判斷所述掃描類型的IDS日志中各掃描事件的時(shí)間戳與當(dāng)前待判斷的掃描事件的IP地址對(duì)應(yīng)的初始時(shí)間戳的差值是否小于等于一第二預(yù)設(shè)時(shí)間段,若是,則調(diào)用計(jì)數(shù)單元23,若否,則調(diào)用更新單元24,直至判斷完所有的掃描事件。
[0090]計(jì)數(shù)單元23用于根據(jù)所述IP地址和所述初始時(shí)間戳對(duì)掃描事件的數(shù)量進(jìn)行統(tǒng)計(jì)。
[0091]更新單元24用于將所述當(dāng)前待判斷的掃描事件的IP地址對(duì)應(yīng)的初始時(shí)間戳更新為所述當(dāng)前待判斷的掃描事件的時(shí)間戳。
[0092]另外,第三判斷單元28用于根據(jù)所述掃描類型的IDS日志的ID號(hào)判斷IP地址為源IP地址還是目的IP地址。
[0093]本實(shí)施例還提供一種防止局域網(wǎng)被掃描的方法,利用本實(shí)施例中的防止局域網(wǎng)被掃描的系統(tǒng)實(shí)現(xiàn),如圖3所示,所述方法包括以下步驟:
[0094]步驟101、采集模塊實(shí)時(shí)采集IDS日志,并將所述IDS日志發(fā)送至消息隊(duì)列。
[0095]步驟102、過濾模塊中的每個(gè)過濾節(jié)點(diǎn)分別從消息隊(duì)列中獲取一預(yù)設(shè)數(shù)量的IDS日志,并對(duì)獲取的IDS日志進(jìn)行過濾得到掃描類型的IDS日志,以及將掃描類型的IDS日志平均分配至統(tǒng)計(jì)模塊中的第M級(jí)統(tǒng)計(jì)節(jié)點(diǎn);
[0096]其中,M的初始值為1,每個(gè)掃描類型的IDS日志均包括至少一個(gè)掃描事件,每個(gè)掃描事件均包括一IP地址和一時(shí)間戳。
[0097]步驟103、第M級(jí)統(tǒng)計(jì)節(jié)點(diǎn)的統(tǒng)計(jì)單元根據(jù)IP地址和時(shí)間戳對(duì)所述掃描類型的IDS曰志中掃描事件的數(shù)量進(jìn)行統(tǒng)計(jì),并將小于當(dāng)前時(shí)間戳與所述第二預(yù)設(shè)時(shí)間段差值的時(shí)間戳所對(duì)應(yīng)的掃描事件的統(tǒng)計(jì)結(jié)果平均分配至第M+1級(jí)統(tǒng)計(jì)節(jié)點(diǎn)。
[0098]步驟104、第M+1級(jí)統(tǒng)計(jì)節(jié)點(diǎn)的第二判斷單元判斷M+1是否等于3,若是,則執(zhí)行步驟106,若否,則執(zhí)行步驟105。
[0099]步驟105、第M+1級(jí)統(tǒng)計(jì)節(jié)點(diǎn)的賦值單元將M賦值為M+1,返回步驟103。
[0100]步驟106、第M+1級(jí)統(tǒng)計(jì)節(jié)點(diǎn)的發(fā)送單元將統(tǒng)計(jì)結(jié)果發(fā)送至匯總模塊。
[0101]步驟107、匯總模塊按照時(shí)間戳和IP地址對(duì)統(tǒng)計(jì)結(jié)果進(jìn)行匯總,并將匯總結(jié)果發(fā)送至檢測(cè)模塊。
[0102]步驟108、檢測(cè)模塊檢測(cè)時(shí)間戳范圍在(當(dāng)前時(shí)間戳-一第一預(yù)設(shè)時(shí)間段)?當(dāng)前時(shí)間戳內(nèi)各個(gè)IP地址對(duì)應(yīng)的掃描事件的數(shù)量是否大于一預(yù)設(shè)閾值,若是,則執(zhí)行步驟109,若否,則結(jié)束流程。
[0103]步驟109、封鎖模塊封鎖相應(yīng)的IP地址對(duì)應(yīng)的交換機(jī)接口。
[0104]在上述的步驟103中,統(tǒng)計(jì)單元執(zhí)行的統(tǒng)計(jì)操作具體包括以下步驟:
[0105]步驟201、預(yù)設(shè)單元分別將各IP地址對(duì)應(yīng)的最小時(shí)間戳設(shè)為各IP地址對(duì)應(yīng)的初始時(shí)間戳;
[0106]步驟202、第一判斷單元依次判斷所述掃描類型的IDS日志中的各掃描事件,執(zhí)行以下步驟:
[0107]步驟2021、所述第一判斷單元判斷當(dāng)前待判斷的掃描事件的時(shí)間戳與所述當(dāng)前待判斷的掃描事件的IP地址對(duì)應(yīng)的初始時(shí)間戳的差值是否小于等于一第二預(yù)設(shè)時(shí)間段,若是,則執(zhí)行步驟2022,若否,則執(zhí)行步驟2023;
[0108]步驟2022、所述計(jì)數(shù)單元根據(jù)所述IP地址和所述初始時(shí)間戳對(duì)掃描事件的數(shù)量進(jìn)行統(tǒng)計(jì),并結(jié)束對(duì)所述當(dāng)前待判斷的掃描事件的判斷;
[0109]步驟2023、所述更新單元將所述當(dāng)前待判斷的掃描事件的IP地址對(duì)應(yīng)的初始時(shí)間戳更新為所述當(dāng)前待判斷的掃描事件的時(shí)間戳,并結(jié)束對(duì)所述當(dāng)前待判斷的掃描事件的判斷。
[0110]本實(shí)施例能夠?qū)崟r(shí)檢測(cè)局域網(wǎng)是否被掃描,并在局域網(wǎng)中存在高危掃描事件的情況下及時(shí)封鎖相應(yīng)的交換機(jī)接口,從根源上阻斷危險(xiǎn),有效地防止局域網(wǎng)被掃描。另外,還可以通過調(diào)整預(yù)設(shè)閾值來動(dòng)態(tài)調(diào)整檢測(cè)局域網(wǎng)是否被掃描的強(qiáng)度,應(yīng)用范圍廣泛。
[0111]雖然以上描述了本發(fā)明的【具體實(shí)施方式】,但是本領(lǐng)域的技術(shù)人員應(yīng)當(dāng)理解,這些僅是舉例說明,本發(fā)明的保護(hù)范圍是由所附權(quán)利要求書限定的。本領(lǐng)域的技術(shù)人員在不背離本發(fā)明的原理和實(shí)質(zhì)的前提下,可以對(duì)這些實(shí)施方式做出多種變更或修改,但這些變更和修改均落入本發(fā)明的保護(hù)范圍。
【主權(quán)項(xiàng)】
1.一種防止局域網(wǎng)被掃描的系統(tǒng),其特征在于,包括一采集模塊、一過濾模塊、一統(tǒng)計(jì)模塊、一檢測(cè)模塊以及一封鎖模塊; 所述采集模塊用于實(shí)時(shí)采集IDS日志,并將所述IDS日志發(fā)送至一消息隊(duì)列; 所述過濾模塊用于從所述消息隊(duì)列中獲取IDS日志,并對(duì)所述IDS日志進(jìn)行過濾得到所有的掃描類型的IDS日志,以及將所述掃描類型的IDS日志分配至所述統(tǒng)計(jì)模塊,其中,每個(gè)掃描類型的IDS日志均包括至少一個(gè)掃描事件,每個(gè)掃描事件均包括一 IP地址和一時(shí)間戳; 所述統(tǒng)計(jì)模塊用于根據(jù)IP地址和時(shí)間戳對(duì)所述掃描類型的IDS日志中掃描事件的數(shù)量進(jìn)行統(tǒng)計(jì),并將統(tǒng)計(jì)結(jié)果發(fā)送至所述檢測(cè)模塊; 所述檢測(cè)模塊用于檢測(cè)時(shí)間戳范圍在(當(dāng)前時(shí)間戳-一第一預(yù)設(shè)時(shí)間段)?當(dāng)前時(shí)間戳內(nèi)各個(gè)IP地址對(duì)應(yīng)的掃描事件的數(shù)量是否大于一預(yù)設(shè)閾值,并在是的情況下調(diào)用所述封鎖豐旲塊; 所述封鎖模塊用于封鎖相應(yīng)的IP地址對(duì)應(yīng)的交換機(jī)接口。2.如權(quán)利要求1所述的防止局域網(wǎng)被掃描的系統(tǒng),其特征在于,所述過濾模塊用于根據(jù)IDS日志的ID號(hào)對(duì)所述消息隊(duì)列中的IDS日志進(jìn)行過濾,得到掃描類型的IDS日志。3.如權(quán)利要求1或2所述的防止局域網(wǎng)被掃描的系統(tǒng),其特征在于,所述過濾模塊包括至少一個(gè)過濾節(jié)點(diǎn); 每個(gè)過濾節(jié)點(diǎn)分別用于從所述消息隊(duì)列中獲取一預(yù)設(shè)數(shù)量的IDS日志,并對(duì)獲取的IDS日志進(jìn)行過濾得到掃描類型的IDS日志,以及將掃描類型的IDS日志分配至所述統(tǒng)計(jì)模塊。4.如權(quán)利要求3所述的防止局域網(wǎng)被掃描的系統(tǒng),其特征在于,所述統(tǒng)計(jì)模塊包括預(yù)設(shè)單元、第一判斷單元、計(jì)數(shù)單元以及更新單元; 所述預(yù)設(shè)單元用于分別將各IP地址對(duì)應(yīng)的最小時(shí)間戳設(shè)為各IP地址對(duì)應(yīng)的初始時(shí)間戳; 所述第一判斷單元用于依次判斷所述掃描類型的IDS日志中各掃描事件的時(shí)間戳與當(dāng)前待判斷的掃描事件的IP地址對(duì)應(yīng)的初始時(shí)間戳的差值是否小于等于一第二預(yù)設(shè)時(shí)間段,若是,則調(diào)用所述計(jì)數(shù)單元,若否,則調(diào)用所述更新單元,直至判斷完所有的掃描事件; 所述計(jì)數(shù)單元用于根據(jù)所述IP地址和所述初始時(shí)間戳對(duì)掃描事件的數(shù)量進(jìn)行統(tǒng)計(jì); 所述更新單元用于將所述當(dāng)前待判斷的掃描事件的IP地址對(duì)應(yīng)的初始時(shí)間戳更新為所述當(dāng)前待判斷的掃描事件的時(shí)間戳。5.如權(quán)利要求4所述的防止局域網(wǎng)被掃描的系統(tǒng),其特征在于,所述統(tǒng)計(jì)模塊包括N級(jí)統(tǒng)計(jì)節(jié)點(diǎn),每級(jí)統(tǒng)計(jì)節(jié)點(diǎn)均包括至少一個(gè)統(tǒng)計(jì)節(jié)點(diǎn),每個(gè)統(tǒng)計(jì)節(jié)點(diǎn)均包括一統(tǒng)計(jì)單元、一第二判斷單元、一賦值單元以及一發(fā)送單元,所述統(tǒng)計(jì)單元包括所述預(yù)設(shè)單元、所述第一判斷單元、所述計(jì)數(shù)單元以及所述更新單元; 每個(gè)過濾節(jié)點(diǎn)分別用于將過濾得到的掃描類型的IDS日志平均分配至所述統(tǒng)計(jì)模塊中的第M級(jí)統(tǒng)計(jì)節(jié)點(diǎn),M的初始值為I; 所述第M級(jí)統(tǒng)計(jì)節(jié)點(diǎn)的統(tǒng)計(jì)單元用于根據(jù)IP地址和時(shí)間戳對(duì)所述掃描類型的IDS日志中掃描事件的數(shù)量進(jìn)行統(tǒng)計(jì),并將小于當(dāng)前時(shí)間戳與所述第二預(yù)設(shè)時(shí)間段差值的時(shí)間戳所對(duì)應(yīng)的掃描事件的統(tǒng)計(jì)結(jié)果平均分配至第M+1級(jí)統(tǒng)計(jì)節(jié)點(diǎn); 所述第M+1級(jí)統(tǒng)計(jì)節(jié)點(diǎn)的第二判斷單元用于判斷M+1是否等于N,若是,則調(diào)用第M+1級(jí)統(tǒng)計(jì)節(jié)點(diǎn)的所述發(fā)送單元,若否,則調(diào)用所述第M+1級(jí)統(tǒng)計(jì)節(jié)點(diǎn)的賦值單元; 所述第M+1級(jí)統(tǒng)計(jì)節(jié)點(diǎn)的賦值單元用于將M賦值為M+1,調(diào)用第M級(jí)統(tǒng)計(jì)節(jié)點(diǎn)的統(tǒng)計(jì)單元; 所述第M+1級(jí)統(tǒng)計(jì)節(jié)點(diǎn)的發(fā)送單元用于將統(tǒng)計(jì)結(jié)果發(fā)送至所述檢測(cè)模塊; 其中,第M+1級(jí)統(tǒng)計(jì)節(jié)點(diǎn)中統(tǒng)計(jì)節(jié)點(diǎn)的數(shù)量少于第M級(jí)統(tǒng)計(jì)節(jié)點(diǎn)中統(tǒng)計(jì)節(jié)點(diǎn)的數(shù)量,N為大于I的整數(shù)。6.如權(quán)利要求5所述的防止局域網(wǎng)被掃描的系統(tǒng),其特征在于,所述系統(tǒng)還包括一匯總模塊,所述第M+1級(jí)統(tǒng)計(jì)節(jié)點(diǎn)的發(fā)送單元用于將統(tǒng)計(jì)結(jié)果發(fā)送至所述匯總模塊; 所述匯總模塊用于按照時(shí)間戳和IP地址對(duì)統(tǒng)計(jì)結(jié)果進(jìn)行匯總,并將匯總結(jié)果發(fā)送至所述檢測(cè)模塊。7.如權(quán)利要求5或6所述的防止局域網(wǎng)被掃描的系統(tǒng),其特征在于,每個(gè)統(tǒng)計(jì)節(jié)點(diǎn)均還包括一第三判斷單元,所述第三判斷單元用于根據(jù)所述掃描類型的IDS日志的ID號(hào)判斷IP地址為源IP地址還是目的IP地址。8.—種防止局域網(wǎng)被掃描的方法,其特征在于,利用如權(quán)利要求1所述的防止局域網(wǎng)被掃描的系統(tǒng)實(shí)現(xiàn),所述方法包括以下步驟: S1、所述采集模塊實(shí)時(shí)采集IDS日志,并將所述IDS日志發(fā)送至一消息隊(duì)列; &、所述過濾模塊從所述消息隊(duì)列中獲取IDS日志,并對(duì)所述IDS日志進(jìn)行過濾得到所有的掃描類型的IDS日志,以及將所述掃描類型的IDS日志分配至所述統(tǒng)計(jì)模塊,其中,每個(gè)掃描類型的IDS日志均包括至少一個(gè)掃描事件,每個(gè)掃描事件均包括一 IP地址和一時(shí)間戳; &、所述統(tǒng)計(jì)模塊根據(jù)IP地址和時(shí)間戳對(duì)所述掃描類型的IDS日志中掃描事件的數(shù)量進(jìn)行統(tǒng)計(jì),并將統(tǒng)計(jì)結(jié)果發(fā)送至所述檢測(cè)模塊; S4、所述檢測(cè)模塊檢測(cè)時(shí)間戳范圍在(當(dāng)前時(shí)間戳-一第一預(yù)設(shè)時(shí)間段)?當(dāng)前時(shí)間戳內(nèi)各個(gè)IP地址對(duì)應(yīng)的掃描事件的數(shù)量是否大于一預(yù)設(shè)閾值,若是,則執(zhí)行步驟&,若否,則結(jié)束流程; Ss、所述封鎖模塊封鎖相應(yīng)的IP地址對(duì)應(yīng)的交換機(jī)接口。9.如權(quán)利要求8所述的防止局域網(wǎng)被掃描的方法,其特征在于,步驟S2中還包括:所述過濾模塊根據(jù)IDS日志的ID號(hào)對(duì)所述消息隊(duì)列中的IDS日志進(jìn)行過濾,得到掃描類型的IDS日V1、1、O10.如權(quán)利要求8或9所述的防止局域網(wǎng)被掃描的方法,其特征在于,所述過濾模塊包括至少一個(gè)過濾節(jié)點(diǎn); 步驟S2中包括:每個(gè)過濾節(jié)點(diǎn)分別從所述消息隊(duì)列中獲取一預(yù)設(shè)數(shù)量的IDS日志,并對(duì)獲取的IDS日志進(jìn)行過濾得到掃描類型的IDS日志,以及將掃描類型的IDS日志分配至所述統(tǒng)計(jì)模塊。11.如權(quán)利要求10所述的防止局域網(wǎng)被掃描的方法,其特征在于,所述統(tǒng)計(jì)模塊包括預(yù)設(shè)單元、第一判斷單元、計(jì)數(shù)單元以及更新單元; 步驟S3中包括一統(tǒng)計(jì)操作,所述統(tǒng)計(jì)操作包括以下步驟: 531、所述預(yù)設(shè)單元分別將各IP地址對(duì)應(yīng)的最小時(shí)間戳設(shè)為各IP地址對(duì)應(yīng)的初始時(shí)間戳; 532、所述第一判斷單元依次判斷所述掃描類型的IDS日志中的各掃描事件,執(zhí)行以下步驟: 5321、所述第一判斷單元判斷當(dāng)前待判斷的掃描事件的時(shí)間戳與所述當(dāng)前待判斷的掃描事件的IP地址對(duì)應(yīng)的初始時(shí)間戳的差值是否小于等于一第二預(yù)設(shè)時(shí)間段,若是,則執(zhí)行步驟S322,若否,則執(zhí)行步驟S323 ; 5322、所述計(jì)數(shù)單元根據(jù)所述IP地址和所述初始時(shí)間戳對(duì)掃描事件的數(shù)量進(jìn)行統(tǒng)計(jì),并結(jié)束對(duì)所述當(dāng)前待判斷的掃描事件的判斷; S 3 2 3、所述更新單元將所述當(dāng)前待判斷的掃描事件的IP地址對(duì)應(yīng)的初始時(shí)間戳更新為所述當(dāng)前待判斷的掃描事件的時(shí)間戳,并結(jié)束對(duì)所述當(dāng)前待判斷的掃描事件的判斷。12.如權(quán)利要求11所述的防止局域網(wǎng)被掃描的方法,其特征在于,所述統(tǒng)計(jì)模塊包括N級(jí)統(tǒng)計(jì)節(jié)點(diǎn),每級(jí)統(tǒng)計(jì)節(jié)點(diǎn)均包括至少一個(gè)統(tǒng)計(jì)節(jié)點(diǎn),每個(gè)統(tǒng)計(jì)節(jié)點(diǎn)均包括一統(tǒng)計(jì)單元、一第二判斷單元、一賦值單元以及一發(fā)送單元,所述統(tǒng)計(jì)單元包括所述預(yù)設(shè)單元、所述第一判斷單元、所述計(jì)數(shù)單元以及所述更新單元; 步驟S2中包括:每個(gè)過濾節(jié)點(diǎn)分別將過濾得到的掃描類型的IDS日志平均分配至所述統(tǒng)計(jì)模塊中的第M級(jí)統(tǒng)計(jì)節(jié)點(diǎn),M的初始值為I; 步驟S3中包括: T1、所述第M級(jí)統(tǒng)計(jì)節(jié)點(diǎn)的統(tǒng)計(jì)單元執(zhí)行所述統(tǒng)計(jì)操作,并將小于當(dāng)前時(shí)間戳與所述第二預(yù)設(shè)時(shí)間段差值的時(shí)間戳所對(duì)應(yīng)的掃描事件的統(tǒng)計(jì)結(jié)果平均分配至第M+1級(jí)統(tǒng)計(jì)節(jié)點(diǎn); T2、所述第M+1級(jí)統(tǒng)計(jì)節(jié)點(diǎn)的第二判斷單元判斷M+1是否等于N,若是,則執(zhí)行步驟T4,若否,則執(zhí)行步驟T3; T3、所述第M+1級(jí)統(tǒng)計(jì)節(jié)點(diǎn)的賦值單元將M賦值為M+1,返回步驟T1 ; Τ4、所述第Μ+1級(jí)統(tǒng)計(jì)節(jié)點(diǎn)的發(fā)送單元將統(tǒng)計(jì)結(jié)果發(fā)送至所述檢測(cè)模塊; 其中,第Μ+1級(jí)統(tǒng)計(jì)節(jié)點(diǎn)中統(tǒng)計(jì)節(jié)點(diǎn)的數(shù)量少于第M級(jí)統(tǒng)計(jì)節(jié)點(diǎn)中統(tǒng)計(jì)節(jié)點(diǎn)的數(shù)量,N為大于I的整數(shù)。13.如權(quán)利要求12所述的防止局域網(wǎng)被掃描的方法,其特征在于,所述系統(tǒng)還包括一匯總模塊, 步驟Τ4包括以下步驟: T41、所述第Μ+1級(jí)統(tǒng)計(jì)節(jié)點(diǎn)的發(fā)送單元將統(tǒng)計(jì)結(jié)果發(fā)送至所述匯總模塊; Τ42、所述匯總模塊按照時(shí)間戳和IP地址對(duì)統(tǒng)計(jì)結(jié)果進(jìn)行匯總,并將匯總結(jié)果發(fā)送至所述檢測(cè)模塊。14.如權(quán)利要求12或13所述的防止局域網(wǎng)被掃描的方法,其特征在于,每個(gè)統(tǒng)計(jì)節(jié)點(diǎn)均還包括一第三判斷單元,所述方法還包括以下步驟: 所述第三判斷單元根據(jù)所述掃描類型的IDS日志的ID號(hào)判斷IP地址為源IP地址還是目的IP地址。
【文檔編號(hào)】H04L29/06GK105897718SQ201610260313
【公開日】2016年8月24日
【申請(qǐng)日】2016年4月25日
【發(fā)明人】朱志博, 雷兵
【申請(qǐng)人】上海攜程商務(wù)有限公司