CN105187424A - 一种网络安全检测方法及装置 - Google Patents
一种网络安全检测方法及装置 Download PDFInfo
- Publication number
- CN105187424A CN105187424A CN201510547141.XA CN201510547141A CN105187424A CN 105187424 A CN105187424 A CN 105187424A CN 201510547141 A CN201510547141 A CN 201510547141A CN 105187424 A CN105187424 A CN 105187424A
- Authority
- CN
- China
- Prior art keywords
- data flow
- module
- source
- feature information
- addresses
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及一种网络安全检测方法及装置,该方法包括如下步骤:接收网络中任一交换设备发送的数据流,并获取该数据流的第一特征信息发送至多个安全检测设备;多个安全检测设备根据第一特征信息对数据流依次进行检测,并判断该数据流是否安全,若是,则将所述数据流所对应的来源IP地址的可信权重值进行累加,直至该可信权重值大于第一阈值时将该来源IP地址写入白名单,否则控制交换设备丢弃该数据流,并将该数据流所对应的来源IP地址写入黑名单。本发明通过多个安全检测模块联合依次对数据流进行安全性检测,对安全的数据流进行累加来源IP地址的可信权重值,克服了现有技术中多个安全检测设备之间工作时无联动的缺陷,提供了安全性能。
Description
技术领域
本发明涉及通信技术领域,尤其涉及一种网络安全检测方法及***。
背景技术
随着网络技术的发展,互联网在日常生活各个层面的应用越来越广泛,与此同时,网络信息传输过程中暴露出各种互联网安全问题,例如:网络非法信息肆意传播、垃圾邮件泛滥、病毒木马黑客攻击、金融犯罪等,导致网络用户个人安全信息、甚至国家信息安全都受到了巨大威胁。目前网关设备对数据流的安全性检测方式过于复杂,多个安全检测模块共同检测的情况下,这些安全检测模块是独立工作,不存在及时交互。
发明内容
针对上述技术问题,本发明的目的之一在于提供一种网络安全检测方法,使得多个安全检测模块之间实现工作交互,处理数据效率高。
为实现上述目的之一,本发明采用如下技术方案:
一种网络安全检测方法,包括如下步骤:
步骤一:接收网络中任一交换设备发送的数据流,并获取该数据流的第一特征信息发送至多个安全检测设备;
步骤二:多个安全检测设备根据第一特征信息对数据流依次进行检测,并判断该数据流是否安全,若是,则执行步骤三,否则,控制交换设备丢弃该数据流,并将该数据流所对应的来源IP地址写入黑名单;
步骤三:将所述数据流所对应的来源IP地址的可信权重值进行累加,直至该可信权重值大于第一阈值时将该来源IP地址写入白名单。
优选的,所述第一特征信息为所述数据流首报文的包头。
优选的,所述安全检测设备包括抗攻击检测模块、IPS检测模块和防病毒模块中的任意一个或多个。
本发明的目的之二在于提供一种能够实现本发明目的之一的网络安全检测装置。
为实现上述目的之二,本发明采用如下技术方案:
一种网络安全检测装置,包括如下模块:
获取模块:用于接收网络中任一交换设备发送的数据流,并获取该数据流的第一特征信息发送至安全检测设备;
判断模块:用于安全检测设备根据第一特征信息判断该数据流是否安全,若是,则进入累加模块,否则,控制交换设备丢弃该数据流,并将该数据流所对应的来源IP地址写入黑名单;
累加模块:用于将所述数据流所对应的来源IP地址的可信权重值进行累加,直至该可信权重值大于第一阈值时将该来源IP地址写入白名单。
优选的,所述第一特征信息为所述数据流首报文的包头。
优选的,所述安全检测设备包括抗攻击检测模块、IPS检测模块和防病毒模块中的任意一个或多个。
相比现有技术,本发明的有益效果在于:
本发明通过多个安全检测模块联合依次对数据流进行安全性检测,对符合安全性要求的数据流进行累加来源IP地址的可信权重值,克服了现有技术中多个安全检测设备之间工作时无联动的缺陷,提供了安全性能。
附图说明
图1为本发明的一种网络安全检测方法的流程图;
图2为本发明的一种网络安全检测装置的模块结构图。
具体实施方式
下面,结合附图以及具体实施方式,对本发明做进一步描述:
参见图1,本发明提供的一种网络安全检测方法包括的步骤如下:
步骤s1:接收网络中任一交换设备发送的数据流,并获取该数据流的第一特征信息发送至多个安全检测设备。
本发明主要应用于SDN网络中,SDN网络包含两种设备,一种是控制器,一种是交换设备,控制器主要负责向各交换设备发送流量转发策略以告知交换设备如何处理数据流,交换设备根据该流量转发策略将数据流丢弃或者向指定的终端设备转发数据流。在SDN网络中,交换设备在传输每一条数据流时,都需要从控制器中获得转发规则,并将转发规则作为一个表项存储,即交换设备中每一个表项可以标识一条数据流。当交换设备传输某个数据流时,没有该数据流对应的转发规则,则将控制器发送该数据流,控制器获取到该数据流的第一特征信息。安全检测设备可以集成在控制器中。
步骤s2:多个安全检测设备根据第一特征信息对数据流依次进行检测,并判断该数据流是否安全,若是,则执行步骤s3,否则,控制交换设备丢弃该数据流,并将该数据流所对应的来源IP地址写入黑名单。
以上多个安全检测设备可以集成于控制器中,为控制器内部的组成部分,另外安全检测设备也可以是交换设备内部的组成部分。多个安全检测设备进行排列,依次对该数据流进行检测,进一步提供可靠性,防止漏检、检错。这里说所的第一特征信息为数据流首报文的包头,或者数据流中包括首报文在内的多个数据。
步骤s3:将所述数据流所对应的来源IP地址的可信权重值进行累加,直至该可信权重值大于第一阈值时将该来源IP地址写入白名单。
上述数据流的来源IP地址的可信权重值的默认值为0,第一阈值为预设值,根据实际情况具体设定,例如第一阈值设定为100,当多个安全检测设备依次对数据流进行检测后,如果确定为安全,则将该数据流来源IP地址的可信权重值加1,以此类推,将累加的可信权重值大于100后,则该数据流加入白名单,往后安全检测设备不再对该数据流进行检测,或者设定免检时间段,在该时间段内安全检测设备不对该数据流进行检测,但该时间段过后重新对该数据流间隙检测,能够节省资源和时间,但从安全角度考虑,免检时间段最好不超过60秒。
安全检测设备包括抗攻击检测模块、IPS检测模块和防病毒模块中的任意一个或多个。在数据流的第一特征信息没有被抗攻击检测模块、IPS检测模块和防病毒模块检测攻击或异常的情况下,确定数据流为安全,反之,若是数据流的第一特征信息被抗攻击检测模块、IPS检测模块和防病毒模块检测出攻击或者异常的情况下,确定数据流不安全,为非法数据流。
相应的,本发明还提供一种网络安全检测装置,参见图2,包括如下模块:
获取模块:用于接收网络中任一交换设备发送的数据流,并获取该数据流的第一特征信息发送至安全检测设备;
判断模块:用于安全检测设备根据第一特征信息判断该数据流是否安全,若是,则进入累加模块,否则,控制交换设备丢弃该数据流,并将该数据流所对应的来源IP地址写入黑名单;该第一特征信息为所述数据流首报文的包头;
累加模块:用于将数据流所对应的来源IP地址的可信权重值进行累加,直至该可信权重值大于第一阈值时将该来源IP地址写入白名单。
同样,安全检测设备包括抗攻击检测模块、IPS检测模块和防病毒模块中的任意一个或多个。
对本领域的技术人员来说,可根据以上描述的技术方案以及构思,做出其它各种相应的改变以及形变,而所有的这些改变以及形变都应该属于本发明权利要求的保护范围之内。
Claims (6)
1.一种网络安全检测方法,其特征在于,包括如下步骤:
步骤一:接收网络中任一交换设备发送的数据流,并获取该数据流的第一特征信息发送至多个安全检测设备;
步骤二:多个安全检测设备根据第一特征信息对数据流依次进行检测,并判断该数据流是否安全,若是,则执行步骤三,否则,控制交换设备丢弃该数据流,并将该数据流所对应的来源IP地址写入黑名单;
步骤三:将所述数据流所对应的来源IP地址的可信权重值进行累加,直至该可信权重值大于第一阈值时将该来源IP地址写入白名单。
2.如权利要求1所述的网络安全监测方法,其特征在于,所述第一特征信息为所述数据流首报文的包头。
3.如权利要求1所述的网络安全监测方法,其特征在于,所述安全检测设备包括抗攻击检测模块、IPS检测模块和防病毒模块中的任意一个或多个。
4.一种网络安全检测装置,其特征在于,包括如下模块:
获取模块:用于接收网络中任一交换设备发送的数据流,并获取该数据流的第一特征信息发送至安全检测设备;
判断模块:用于安全检测设备根据第一特征信息判断该数据流是否安全,若是,则进入累加模块,否则,控制交换设备丢弃该数据流,并将该数据流所对应的来源IP地址写入黑名单;
累加模块:用于将所述数据流所对应的来源IP地址的可信权重值进行累加,直至该可信权重值大于第一阈值时将该来源IP地址写入白名单。
5.如权利要求4所述的网络安全检测装置,其特征在于,所述第一特征信息为所述数据流首报文的包头。
6.如权利要求4所述的网络安全检测装置,其特征在于,所述安全检测设备包括抗攻击检测模块、IPS检测模块和防病毒模块中的任意一个或多个。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510547141.XA CN105187424A (zh) | 2015-08-31 | 2015-08-31 | 一种网络安全检测方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510547141.XA CN105187424A (zh) | 2015-08-31 | 2015-08-31 | 一种网络安全检测方法及装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN105187424A true CN105187424A (zh) | 2015-12-23 |
Family
ID=54909268
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201510547141.XA Pending CN105187424A (zh) | 2015-08-31 | 2015-08-31 | 一种网络安全检测方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN105187424A (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107547559A (zh) * | 2017-09-20 | 2018-01-05 | 新华三信息安全技术有限公司 | 一种报文处理方法及装置 |
| CN116010980A (zh) * | 2022-12-16 | 2023-04-25 | 广州华生网络科技股份有限公司 | 基于5g网络的无纸化办公管理方法、***、设备及介质 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7426634B2 (en) * | 2003-04-22 | 2008-09-16 | Intruguard Devices, Inc. | Method and apparatus for rate based denial of service attack detection and prevention |
| CN101656634A (zh) * | 2008-12-31 | 2010-02-24 | 暨南大学 | 基于IPv6网络环境的入侵检测***及方法 |
| CN103051557A (zh) * | 2012-12-27 | 2013-04-17 | 华为技术有限公司 | 数据流处理方法及***、控制器、交换设备 |
| CN104113559A (zh) * | 2014-08-13 | 2014-10-22 | 浪潮电子信息产业股份有限公司 | 一种防御tcp全链接攻击的方法 |
| CN104184746A (zh) * | 2014-09-12 | 2014-12-03 | 网神信息技术(北京)股份有限公司 | 网关处理数据的方法和装置 |
| CN104468554A (zh) * | 2014-11-28 | 2015-03-25 | 北京奇虎科技有限公司 | 基于ip和host的攻击检测方法和装置 |
| CN104618377A (zh) * | 2015-02-04 | 2015-05-13 | 上海交通大学 | 基于NetFlow的僵尸网络检测***与检测方法 |
-
2015
- 2015-08-31 CN CN201510547141.XA patent/CN105187424A/zh active Pending
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7426634B2 (en) * | 2003-04-22 | 2008-09-16 | Intruguard Devices, Inc. | Method and apparatus for rate based denial of service attack detection and prevention |
| CN101656634A (zh) * | 2008-12-31 | 2010-02-24 | 暨南大学 | 基于IPv6网络环境的入侵检测***及方法 |
| CN103051557A (zh) * | 2012-12-27 | 2013-04-17 | 华为技术有限公司 | 数据流处理方法及***、控制器、交换设备 |
| CN104113559A (zh) * | 2014-08-13 | 2014-10-22 | 浪潮电子信息产业股份有限公司 | 一种防御tcp全链接攻击的方法 |
| CN104184746A (zh) * | 2014-09-12 | 2014-12-03 | 网神信息技术(北京)股份有限公司 | 网关处理数据的方法和装置 |
| CN104468554A (zh) * | 2014-11-28 | 2015-03-25 | 北京奇虎科技有限公司 | 基于ip和host的攻击检测方法和装置 |
| CN104618377A (zh) * | 2015-02-04 | 2015-05-13 | 上海交通大学 | 基于NetFlow的僵尸网络检测***与检测方法 |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107547559A (zh) * | 2017-09-20 | 2018-01-05 | 新华三信息安全技术有限公司 | 一种报文处理方法及装置 |
| CN107547559B (zh) * | 2017-09-20 | 2021-07-20 | 新华三信息安全技术有限公司 | 一种报文处理方法及装置 |
| CN116010980A (zh) * | 2022-12-16 | 2023-04-25 | 广州华生网络科技股份有限公司 | 基于5g网络的无纸化办公管理方法、***、设备及介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103051557B (zh) | 数据流处理方法及***、控制器、交换设备 | |
| US9736051B2 (en) | Smartap arrangement and methods thereof | |
| US20140298399A1 (en) | Apparatus and method for detecting anomality sign in controll system | |
| EP2555476A1 (en) | Method, system and device for protecting multicast in communication network | |
| CN102752141B (zh) | 一种ip地址可达性的检查方法及装置 | |
| CN103916389A (zh) | 防御HttpFlood攻击的方法及防火墙 | |
| CN104660565A (zh) | 恶意攻击的检测方法和装置 | |
| CN101267313A (zh) | 泛洪攻击检测方法及检测装置 | |
| CN104506531A (zh) | 针对流量攻击的安全防御***及方法 | |
| CN104639504A (zh) | 网络协同防御方法、装置和*** | |
| CN104519016A (zh) | 防火墙自动防御分布式拒绝服务攻击的方法和装置 | |
| CN104618377A (zh) | 基于NetFlow的僵尸网络检测***与检测方法 | |
| US20120173712A1 (en) | Method and device for identifying p2p application connections | |
| CN103780663A (zh) | 一种终端外设的远程管理方法、装置和*** | |
| CN102821081A (zh) | 监测小流量ddos攻击的方法和*** | |
| CN102780593B (zh) | 基于bfd协议检测链路的方法、装置和网络处理器 | |
| CN104579948A (zh) | 一种报文分片处理方法及装置 | |
| CN104717105A (zh) | 一种基于ISA100.11a标准的工业传感网数据重复检测方法 | |
| CN104580107A (zh) | 恶意攻击检测方法及控制器 | |
| CN102325079B (zh) | 报文传输方法和出口路由器 | |
| CN103475657B (zh) | 防syn泛洪攻击的处理方法和装置 | |
| CN106657126A (zh) | 检测及防御DDoS攻击的装置及方法 | |
| CN103634166B (zh) | 一种设备存活检测方法及装置 | |
| CN104125213A (zh) | 一种防火墙抗分布式拒绝服务ddos攻击的方法和装置 | |
| CN105187424A (zh) | 一种网络安全检测方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20151223 |