CN101222498B - 一种提高网络安全性的方法 - Google Patents
一种提高网络安全性的方法 Download PDFInfo
- Publication number
- CN101222498B CN101222498B CN2008100041951A CN200810004195A CN101222498B CN 101222498 B CN101222498 B CN 101222498B CN 2008100041951 A CN2008100041951 A CN 2008100041951A CN 200810004195 A CN200810004195 A CN 200810004195A CN 101222498 B CN101222498 B CN 101222498B
- Authority
- CN
- China
- Prior art keywords
- message
- attack
- security
- server
- level
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开了一种提高网络安全性的方法,首先配置网络设备和服务器,其中还包括:(1)IP数据流模块中设置一数据流分类子模块;(2)对所述IP数据流模块进行安全级别的配置,服务器对所述数据流分类子模块基于数据流分类后上送的报文根据当前配置的安全级别进行过滤;(3)网络设备根据服务器下发的处理策略对报文进行处理。本发明解决了如何基于IpStream技术对网络数据流进行优化、对网络攻击进行阻拦,并有效保护网络设备CPU的安全的问题。
Description
技术领域
本发明涉及网络安全领域,尤其涉及一种计算机和通讯***设备在基于IpStream(IP数据流)功能基础上来智能提高网络安全性的方法。
背景技术
IpStream是一种用于IP/MPLS(Multiprotocol Label Switch,多协议标签交换)网络的通信流量进行详细的行为模式分析和计量的技术,可以提供网络运行的准确统计数据,这些功能都是运营商在进行网络安全管理时实现异常通信流量检测和参数定性分析所必需的。
对网络中的异常流量进行检测,需要对网络中不同类型业务的正常通信进行基线分析,包括测量和统计不同业务日常的流量和流向数据并计算基线的合理范围。IpStream技术提供的网络运行的准确统计数据,通过和上述估算出的数据流量、流向、基线范围等信息,可以帮助运营商安全有效的管理网络。
反攻击技术(入侵检测技术)的核心问题是如何截获所有的网络信息。而这点正好可以利用IpStream技术中对数据流进行有效的分类来实现。常见的网络攻击手段包括:拒绝服务攻击、报文洪水攻击、协议漏洞攻击等等,利用IpStream来提高实现攻击报文截获可以有效的防止这些攻击手段对网络的侵害。
如图1所示,现有的IpStream技术应用于网络设备,仅可通过IpStream采样得出的异常流量识别攻击用户,但是对于攻击报文的防范往往束手无措。即对于目前IpStream技术应用的网络中,对于攻击性的数据流尚缺乏有效的阻拦以及对网络设备的CPU(中央处理单元)保护的设计,而用户仅仅可以在服务器端观察网络的现实状态,因此现有的技术存在不足甚至缺陷,有待进一步改进和发展。
发明内容
本发明所解决的技术问题在于提供一种提高网络安全性的方法,以解决如何基于IpStream技术对网络数据流进行优化、对网络攻击进行阻拦,并有效保护网络设备CPU的安全的问题。
为了解决上述问题,本发明提供了一种提高网络安全性的方法,首先配置网络设备和服务器,其中,还包括以下步骤:
(1)IP数据流模块中设置一数据流分类子模块,所述IP数据流模块存在于所述网络设备和所述服务器中;
(2)对所述数据流分类子模块进行安全级别的配置,所述数据流分类子模块所在网络设备根据当前配置的所述安全级别将采集的报文上送到所述服务器;
(3)所述服务器根据当前配置的所述安全级别对上送的所述报文进行过滤;
(4)所述网络设备根据所述服务器下发的处理策略对报文进行处理。
本发明所述的方法,其中,步骤(1)中进一步包括:将IP数据流模块设置成由转发模块、采集处理模块、数据流分检模块以及数据流分类子模块组成。
其中,步骤(2)中对所述数据流分类子模块进行安全级别的配置,包括对所述数据流分类子模块选择高、中、低三个等级安全级别的其中之一进行配置,其中,
所述低级安全级别为拦截洪水报文的攻击;
所述中级安全级别为包含低级安全级别在内的配置,同时还要拦截没有设置任何标志的传输控制协议(TCP)报文攻击、设置了连接拆除标志却没有设置确认标志的TCP报文攻击、连接建立标志比特和连接拆除标志比特同时设置的报文攻击、未知协议字段的IP报文攻击和地址攻击;
所述高级安全级别为包含中级安全级别在内的配置,同时还要拦截分片IP报文攻击、端口扫描攻击、泪滴攻击、地址猜测攻击、IP地址欺骗攻击、路由协议攻击、针对第二层物理地址表的攻击、针对地址解析协议表的攻击、 带源路由选项的IP报文攻击。
上面所述洪水报文,包括网际控制信息协议洪水报文、用户数据报协议洪水报文。
本发明所述的方法,其中,步骤(3)中所述服务器根据当前配置的所述安全级别对上送的所述报文进行过滤之前,还包括建立一套数据流比较的机制。
上面所述数据流比较的机制,包括流字段缓存机制、攻击识别机制、报文处理机制、通讯机制。
本发明所述的方法,其中,步骤(3)进一步包括所述服务器对报文通过字段分析、报文对比手段进行鉴别,发现攻击报文立即报告网络设备;
步骤(4)进一步包括所述网络设备根据服务器的上报的地址端口对攻击报文进行拦截。
本发明所述的方法,其中,步骤(4)进一步包括所述网络设备建立基于服务器的报警机制,通知服务器当前或历史网络攻击事件。
上面所述攻击事件为攻击报文的地址、端口和攻击类型。
与现有的技术相比,本发明所述的方法具有以下特点:
(1)本发明所述方法可以有效的帮助用户分析网络安全的隐患,缩短了分析计算的周期;
(2)其次对于攻击性报文可以进行有效的拦截,保障网络正常运转;
(3)由于很多网络设备对于洪水报文并没有相应的处理机制,会导致短时间内处理过多的报文使网络设备的CPU处于过负荷运行状态;对于洪水报文的拦截对保护网络设备的CPU有非常重要的作用,有效的延长网络设备CPU的使用寿命。
附图说明
图1是本发明现有技术中所述的IpStream技术对网络报文的处理示意图;
图2是本发明实施例所述的基于IpStream技术的对网络异常报文处理示 意图;
图3是本发明实施例所述的基于IpStream技术的提出的一种提高网络安全性的方法的具体处理流程图。
具体实施方式
本发明在这里提供了一种提高网络安全性的方法,以解决如何基于IpStream技术对网络数据流进行优化、对网络攻击进行阻拦,并有效保护网络设备CPU的安全的问题。以下对具体实施方式进行详细描述,但不作为对本发明的限定。
如图2所示,本发明的主要技术思想是,通过对网络设备IpStream技术对数据流分类的重用,解决现有在同步实现IP数据流进行精确测量和统计的同时,无法对攻击性数据流进行智能拦截进而对CPU进行有效的保护这样的问题,并且对于该发明,进行了模块化设计,与IpStream技术保持很好的相对独立性。
结合图2和3,本发明实施例所述的具体步骤包括:
步骤101:首先用户通过配置网络设备和服务器;
步骤102:所述网络设备将IP数据流(IpStream)的数据流分类子模块相对独立出来,(也就是将IpStream模块进行模块式的划分,至少使数据流分类子模块相对独立出来,还可以将IpStream模块的划分成独立的几个模块,如转发模块、采集处理模块、数据流分检模块等等,对数据流分检模块进行改进);
步骤103:建立一套用户配置模式,用户可以通过IpStream与用户的接口对IpStream分类子模块进行安全级别的配置,配置级别分为高、中、低三个级别;根据用户的配置变更采样策略,并将采集的报文上送服务器,也就是网络设备根据当前的安全级别制定采样策略,服务器根据当前的安全级别进行报文过滤;
这里所述的高、中、低三个级别,其中,低级别包括以下安全措施:拦截洪水报文,所述洪水报文包括:ICMP(Internet Control Message Protocol, 网际控制信息协议)洪水报文、UDP(User Datagram Protocol,用户数据报协议)洪水报文。
其中,中级别涵盖低级别以及以下防攻击措施:
1、拦截没有设置任何标志的TCP(Transfer Controln Protocol,传输控制协议)报文攻击;
2、拦截设置了FIN(连接拆除标志)标志却没有设置ACK(确认)标志的TCP报文攻击;
3、拦截SYN(连接建立标志)比特和FIN(连接拆除标志)比特同时设置的报文攻击;
4、拦截未知协议字段的IP报文攻击;
5、拦截Land(地址)攻击。
其中,高级别涵盖低、中两级并增加以下防攻击措施:
1、拦截分片IP报文攻击;
2、拦截端口扫描攻击;
3、拦截泪滴攻击;
4、拦截地址猜测攻击;
5、拦截IP地址欺骗;
6、拦截路由协议攻击;
7、拦截针对MAC(第二层物理地址)地址表的攻击;
8、拦截针对ARP(Address Resolution Protocol,地址解析协议)表的攻击;
9、拦截带源路由选项的IP报文攻击。
对于用户来说,如果需要拦截洪水报文,保护CPU不会超负荷运转,可以选择低级别;如果需要对局域网中的主机进行保护,则可以选择中级别;如果需要对局域网以及自身进行保护(如防止MAC表攻击、ARP欺骗等),则可以选择高级别。
步骤104:基于数据流的分类,建立一套数据流比较的机制,正确识别出攻击性数据流,根据用户配置的安全级别进行数据拦截;服务器对报文通过字段分析、报文对比等手段进行鉴别,发现攻击报文立即通知网络设备;
步骤105:网络设备根据服务器的处理策略进行报文处理与拦截,从而实现提高网络的安全性以及保护CPU的安全运行;同时网络设备建立基于IpStream服务器的报警机制,通知用户当前或历史网络攻击事件(所述的安全报警机制可如下实施方案,即服务器端列出当前的安全级别并表明当前安全级别的处理范围,当网络设备拦截一种类型的攻击报文之后,组织消息上送服务器,告知成功拦截,提供该攻击报文的地址、端口和攻击类型等信息给服务器)。
上面所述两步骤,对于管理服务器是用IpStream技术对数据包的统计信息来分析攻击报文的地址和端口,并通过消息通知网络设备,网络设备执行服务器通知的处理策略。
具体的说,上述实施例所述的方法,首先应该根据用户具体的应用场景和特定的功能需求选择相应的安全级别,通过配置通知网络设备和服务器。
本发明实施例所述方法中对所述的报文采集的实施方案为,网络设备中,没有配置安全级别模式的IpStream分类子模块对于报文通常采取抽样采集或定时采集的方式上送服务器端,交给服务器处理分析;如果配置了安全级别之后,对于每一个报文都上送服务器,服务器建立一系列的缓存,对于报文进行分析,如果发现攻击报文则立即通知网络设备,网络设备根据服务器提供的地址端口等信息对报文进行拦截。
综上所述,本发明通过IpStream对数据包的采集分类来获取数据包的信息,通过这些信息来鉴别数据包是否是攻击报文是否对于网络具有破坏性,对于探测到具有攻击性的报文时,可以迅速进行拦截并通知用户相应的告警信息;即通过对IpStream分类数据包功能的重用,可以有效的拦截攻击报文,有效的提高网络安全性以及有效的保护网络设备的CPU,延长使用寿命。
当然,本发明还可有其他多种实施例,在不背离本发明精神及其实质的情况下,熟悉本领域的技术人员可根据本发明做出各种相应的改变和变形,但这些相应的改变和变形都应属于本发明所附的权利要求的保护范围。
Claims (9)
1.一种提高网络安全性的方法,首先配置网络设备和服务器,其特征在于,还包括以下步骤:
(1)IP数据流模块中设置一数据流分类子模块,所述IP数据流模块存在于所述网络设备和所述服务器中;
(2)对所述数据流分类子模块进行安全级别的配置,所述数据流分类子模块所在网络设备根据当前配置的所述安全级别将采集的报文上送到所述服务器;
(3)所述服务器根据当前配置的所述安全级别对上送的所述报文进行过滤;
(4)所述网络设备根据所述服务器下发的处理策略对报文进行处理。
2.如权利要求1所述的方法,其特征在于,步骤(1)中进一步包括:将IP数据流模块设置成由转发模块、采集处理模块、数据流分检模块以及数据流分类子模块组成。
3.如权利要求1所述的方法,其特征在于,步骤(2)中对所述数据流分类子模块进行安全级别的配置,包括对所述数据流分类子模块选择高、中、低三个等级安全级别的其中之一进行配置,其中,
所述低级安全级别为拦截洪水报文的攻击;
所述中级安全级别为包含低级安全级别在内的配置,同时还要拦截没有设置任何标志的传输控制协议TCP报文攻击、设置了连接拆除标志却没有设置确认标志的TCP报文攻击、连接建立标志比特和连接拆除标志比特同时设置的报文攻击、未知协议字段的IP报文攻击和地址攻击;
所述高级安全级别为包含中级安全级别在内的配置,同时还要拦截分片IP报文攻击、端口扫描攻击、泪滴攻击、地址猜测攻击、IP地址欺骗攻击、路由协议攻击、针对第二层物理地址表的攻击、针对地址解析协议表的攻击、带源路由选项的IP报文攻击。
4.如权利要求3所述的方法,其特征在于,所述洪水报文,包括网际控制信息协议洪水报文、用户数据报协议洪水报文。
5.如权利要求1所述的方法,其特征在于,步骤(3)中所述服务器根据当前配置的所述安全级别对上送的所述报文进行过滤之前,还包括建立一套数据流比较的机制。
6.如权利要求5所述的方法,其特征在于,所述数据流比较的机制,包括流字段缓存机制、攻击识别机制、报文处理机制、通讯机制。
7.如权利要求1所述的方法,其特征在于,步骤(3)进一步包括所述服务器对报文通过字段分析、报文对比手段进行鉴别,发现攻击报文立即报告网络设备;
步骤(4)进一步包括所述网络设备根据服务器的上报的地址端口对攻击报文进行拦截。
8.如权利要求1所述的方法,其特征在于,步骤(4)进一步包括所述网络设备建立基于服务器的报警机制,通知服务器当前或历史网络攻击事件。
9.如权利要求8所述的方法,其特征在于,所述攻击事件为攻击报文的地址、端口和攻击类型。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2008100041951A CN101222498B (zh) | 2008-01-29 | 2008-01-29 | 一种提高网络安全性的方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2008100041951A CN101222498B (zh) | 2008-01-29 | 2008-01-29 | 一种提高网络安全性的方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101222498A CN101222498A (zh) | 2008-07-16 |
| CN101222498B true CN101222498B (zh) | 2011-05-11 |
Family
ID=39632067
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2008100041951A Active CN101222498B (zh) | 2008-01-29 | 2008-01-29 | 一种提高网络安全性的方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101222498B (zh) |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101827002B (zh) * | 2010-05-27 | 2012-05-09 | 桂林电子科技大学 | 一种数据流分类的概念漂移检测方法 |
| CN101902469A (zh) * | 2010-07-12 | 2010-12-01 | 江苏华丽网络工程有限公司 | 一种基于二层网络设备的智能安全防御方法 |
| US9043469B2 (en) | 2012-06-29 | 2015-05-26 | International Business Machines Corporation | Cache control for web application resources |
| CN111641591B (zh) * | 2020-04-30 | 2022-12-06 | 杭州博联智能科技股份有限公司 | 云服务安全防御方法、装置、设备及介质 |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1655526A (zh) * | 2004-02-11 | 2005-08-17 | 上海三零卫士信息安全有限公司 | 计算机网络应急响应之安全策略生成*** |
-
2008
- 2008-01-29 CN CN2008100041951A patent/CN101222498B/zh active Active
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1655526A (zh) * | 2004-02-11 | 2005-08-17 | 上海三零卫士信息安全有限公司 | 计算机网络应急响应之安全策略生成*** |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101222498A (zh) | 2008-07-16 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US7624447B1 (en) | Using threshold lists for worm detection | |
| US8122494B2 (en) | Apparatus and method of securing network | |
| US8341739B2 (en) | Managing network security | |
| CN108183886B (zh) | 一种轨道交通信号***安全网关的安全增强设备 | |
| CN108063765B (zh) | 适于解决网络安全的sdn*** | |
| EP3577872B1 (en) | Method and attack detection function for detection of a distributed attack in a wireless network | |
| US20150341380A1 (en) | System and method for detecting abnormal behavior of control system | |
| US20030188189A1 (en) | Multi-level and multi-platform intrusion detection and response system | |
| CN100435513C (zh) | 网络设备与入侵检测***联动的方法 | |
| Nawrocki et al. | Uncovering vulnerable industrial control systems from the internet core | |
| CN111431864A (zh) | 车联网监控***、方法、装置及可读存储介质 | |
| KR20140106547A (ko) | 네트워크 메타데이터를 처리하기 위한 스트리밍 방법 및 시스템 | |
| CN104579818A (zh) | 智能变电站网络异常报文检测方法 | |
| JP2007006054A (ja) | パケット中継装置及びパケット中継システム | |
| ES2929346T3 (es) | Método y aparato de monitorización de la seguridad para un sistema de control industrial | |
| CN103905265A (zh) | 一种网络中新增设备的检测方法和装置 | |
| CN101222498B (zh) | 一种提高网络安全性的方法 | |
| WO2020176174A1 (en) | Methods, systems, and computer readable media for dynamically remediating a security system entity | |
| Neu et al. | Lightweight IPS for port scan in OpenFlow SDN networks | |
| JP4259183B2 (ja) | 情報処理システム、情報処理装置、プログラム、及び通信ネットワークにおける通信の異常を検知する方法 | |
| WO2002096028A1 (en) | Network based intrusion detection system | |
| JP2008022498A (ja) | ネットワーク異常検知装置、ネットワーク異常検知方法及びネットワーク異常検知システム | |
| WO2005026872A2 (en) | Internal lan perimeter security appliance composed of a pci card and complementary software | |
| CN108959927B (zh) | 一种物联网安全横向对比分析的装置及方法 | |
| CN115801441A (zh) | 一种列车通信网络的安全防护***及方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |