CN105681353A - 防御端口扫描入侵的方法及装置 - Google Patents
防御端口扫描入侵的方法及装置 Download PDFInfo
- Publication number
- CN105681353A CN105681353A CN201610168479.9A CN201610168479A CN105681353A CN 105681353 A CN105681353 A CN 105681353A CN 201610168479 A CN201610168479 A CN 201610168479A CN 105681353 A CN105681353 A CN 105681353A
- Authority
- CN
- China
- Prior art keywords
- message
- address
- source
- abnormal access
- blacklist
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0263—Rule management
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Business, Economics & Management (AREA)
- General Business, Economics & Management (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请提供一种防御端口扫描入侵的方法及装置,所述方法应用于安全网关上,所述方法包括:接收目的IP地址为监控设备的报文;判断黑名单中是否存在所述报文携带的源地址信息;若是,则丢弃所述报文;若否,则判断预先配置的白名单中是否存在所述报文携带的目的端口;若不存在,则确定所述报文是异常访问报文,并将所述报文携带的源IP地址添加到黑名单中。应用本申请实施例,通过在白名单中记录开放业务端口,实现对入侵设备进行端口扫描入侵的防御。
Description
技术领域
本申请涉及网络通信技术领域,尤其涉及一种防御端口扫描入侵的方法及装置。
背景技术
随着视频监控***的网络化,人们越来越关注对监控设备的防护。通常情况下,端口扫描是入侵设备进行攻击之前常见的信息搜集行为,入侵设备通过逐个端口的探测来判断监控设备是否在使用该端口,进而发现监控设备为该端口开放的服务,甚至运行的软件版本,这样,入侵设备通过分析这些提供服务的端口漏洞,选择合适的攻击手段对监控设备进行入侵攻击。由于入侵设备通过端口扫描所获得的信息为入侵设备的入侵攻击提供了重要信息,因此,及时准确地检测到端口扫描入侵,并对端口扫描入侵进行防御,可以保护监控设备的安全。
在入侵设备通过逐个端口的探测来判断监控设备是否在使用该端口的过程中,入侵设备先发送一个针对1端口的报文,再发送一个针对2端口的报文,以此类推,在这个过程中,入侵设备不知道哪些端口是开放业务端口,所以是逐个端口探测监控设备。
发明内容
有鉴于此,本申请提供一种防御端口扫描入侵的方法及装置,以解决入侵设备进行端口扫描入侵的问题。
根据本申请实施例的第一方面,提供一种防御端口扫描入侵的方法,所述方法应用于安全网关上,所述方法包括:
接收目的IP地址为监控设备的报文;
判断黑名单中是否存在所述报文携带的源地址信息;
若是,则丢弃所述报文;
若否,则判断预先配置的白名单中是否存在所述报文携带的目的端口;其中,所述白名单中记录有开放业务端口;
若不存在,则确定所述报文是异常访问报文,并将所述报文携带的源IP地址添加到黑名单中。
根据本申请实施例的第二方面,提供一种防御端口扫描入侵的装置,所述装置应用于安全网关上,所述装置包括:
接收单元,用于接收目的IP地址为监控设备的报文;
第一判断单元,用于判断黑名单中是否存在所述报文携带的源地址信息;
丢弃单元,用于当所述第一判断单元的判断结果为是时,丢弃所述报文;
第二判断单元,用于当所述第一判断单元的判断结果为否时,判断预先配置的白名单中是否存在所述报文携带的目的端口;其中,所述白名单中记录有开放业务端口;
确定单元,用于当所述第二判断单元的判断结果为不存在时,确定所述报文是异常访问报文;
添加单元,用于在所述确定单元确定所述报文是异常访问报文时,将所述报文携带的源IP地址添加到黑名单中。
应用本申请实施例,在安全网关接收到目的IP地址为监控设备的报文时,首先判断黑名单中是否存在所述报文携带的源地址信息;若是,则丢弃所述报文;若否,则再判断预先配置的白名单中是否存在所述报文携带的目的端口;若不存在,则确定所述报文是异常访问报文,将所述报文携带的源IP地址添加到黑名单中。基于上述实现方式,安全网关通过在白名单中记录开放业务端口,实现对入侵设备进行端口扫描入侵的防御,由于入侵设备并不清楚哪些端口是开放业务端口,因此会逐个端口进行探测,因此,安全网关在接收到报文时,只要发现报文携带的目的端口不在白名单中,就可以将报文携带的源IP地址添加到黑名单中,以通过黑名单禁止入侵设备发送的报文进入监控设备。这样,由于入侵设备发送的报文无法进入监控设备,入侵设备也就无法判断监控设备是否在使用该端口,也就无法发现监控设备为该端口开放的服务,甚至运行的软件版本。因此,入侵设备无法分析这些提供服务的端口漏洞,对监控设备进行入侵攻击。
附图说明
图1为本申请根据一示例性实施例示出的一种防御端口扫描入侵的应用场景示意图;
图2为本申请根据一示例性实施例示出的一种防御端口扫描入侵的方法的实施例流程图;
图3为本申请根据一示例性实施例示出的一种客户端变更接入网络位置的应用场景示意图;
图4为本申请根据一示例性实施例示出的一种单播方式获取MAC表项的实施例流程图;
图5为本申请根据一示例性实施例示出的一种安全网关的硬件结构图;
图6为本申请根据一示例性实施例示出的一种防御端口扫描入侵的装置的实施例结构图。
具体实施方式
这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。
在本申请使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本申请。在本申请和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。还应当理解,本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。
应当理解,尽管在本申请可能采用术语第一、第二、第三等来描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离本申请范围的情况下,第一信息也可以被称为第二信息,类似地,第二信息也可以被称为第一信息。取决于语境,如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。
参见图1所示,为一种防御端口扫描入侵的应用场景示意图,包括:监控设备(比如网络摄像机、模拟摄像机、编码器等)、安全网关、网络设备(图1中示出了三层交换机1、三层交换机2、三层交换机3和二层交换机1)、客户端。其中,所述监控设备用于视频监控,为受保护设备;所述安全网关用于防护监控设备,比如,防御入侵设备的端口扫描入侵;所述网络设备用于传输报文,可以是交换机、路由器等设备;所述客户端用于访问监控设备的业务,可以是计算机、平板设备、手机等,也可以是入侵设备。
参见图2所示,为本申请根据一示例性实施例示出的一种防御端口扫描入侵的方法的实施例流程图,该实施例应用于安全网关上,下面结合图1所示,对该实施例进行详细描述,该实施例包括以下步骤:
步骤S201:接收目的IP地址为监控设备的报文。
由于监控设备用于视频监控,中间不能出现中断状况,具有实时性。因此,需要严格防护监控设备不能受到入侵攻击。通常情况下,会有入侵设备通过端口扫描的方式,来搜集监控设备为该端口开放的服务信息,比如,能否用匿名登录、是否有可写的FTP(FileTransferProtocol,文件传输协议)目录等,进而通过分析提供服务的端口漏洞,对监控设备进行入侵攻击。为了防御监控设备不被入侵设备入侵攻击,通过在监控设备前设置安全网关来对入侵设备进行防御,安全网关可以接收到所有目的IP(InternetProtocol,网际协议)地址为监控设备的报文,继而判断报文是否为入侵设备发送的用于端口扫描的异常访问报文。
基于上述描述可知,在监控设备前设置的安全网关,并不影响原有的网络配置,不会影响监控设备的性能和处理,只是所有目的IP地址为监控设备的报文都需要经过安全网关进行过滤之后,才能发送到监控设备。
步骤S202:判断黑名单中是否存在所述报文携带的源地址信息,若是,则执行步骤S203,若否,则执行步骤S204。
安全网关中设置有黑名单,该黑名单中可以只记录有IP地址,也可以记录有IP地址与MAC(MediumAccessControl,媒体访问控制)地址的对应关系。针对在黑名单中记录IP地址,或者记录IP地址与MAC地址的对应关系的过程,将在后续过程中进行详细说明。因此,当该黑名单中只记录有IP地址时,则源地址信息为源IP地址,当该黑名单中记录有IP地址与MAC地址的对应关系时,则源地址信息为源IP地址或者源MAC地址。下面分两种情况进行详细描述:
情况一,所述源地址信息是源IP地址,黑名单中只记录有IP地址时,如图1所示,客户端2发送的目的IP地址为监控设备的报文,首先经三层交换机3转发到三层交换机1,然后经过三层交换机1转发到安全网关,此时,所述报文携带的源IP地址仍然是客户端2的IP地址,而所述报文携带的源MAC地址已经变为三层交换机1的MAC地址。因此,安全网关可以获取所述报文携带的源IP地址作为源地址信息,来判断黑名单中是否存在所述源地址信息。
情况二,所述源地址信息是源MAC地址,黑名单中记录有IP地址与MAC地址的对应关系时,如图3所示,客户端2直接连接到安全网关上,因此,客户端2可以直接将访问监控设备的报文发送到安全网关上,此时,所述报文携带的源IP地址和源MAC地址指向的均是客户端2。因此,安全网关可以获取所述报文携带的源MAC地址作为源地址信息,来判断黑名单中是否存在所述源地址信息。
基于情况二所述可知,安全网关可以先判断黑名单中是否存在所述报文携带的源IP地址,若存在,则执行步骤S203,若不存在,则再判断黑名单中是否存在所述报文携带的源MAC地址,若是,则执行步骤S203,若否,则执行步骤S204。这样,即使与安全网关直接连接的入侵设备变更报文携带的源IP地址,也可以在黑名单中匹配到报文携带的源MAC地址。
步骤S203:丢弃所述报文。
若黑名单中存在所述报文携带的源地址信息,表明所述报文为入侵设备发送的端口扫描报文,则安全网关丢弃所述报文。
步骤S204:判断预先配置的白名单中是否存在所述报文携带的目的端口,若存在,则执行步骤S205,若不存在,则执行步骤S206。
其中,所述白名单中记录有开放业务端口,所述开放业务端口指的是UDP/TCP端口号,可以由管理设备进行配置,所述开放业务端口包括常用的知名端口和监控专用端口,这些端口均为监控设备的所有正常监控业务端口。常用的知名端口可以有21、23、25、80、554等端口,其中,21端口可以用于FTP服务,23端口可以用于Telnet(远程登录)服务,25端口可以用于SMTP(SimpleMailTransferProtocol,简单邮件传输协议)服务,80端口可以用于HTTP(HyperTextTransportProtocol,超文本传输协议)服务,554端口可以用于RTSP(RealTimeStreamingProtocol,实时流协议)服务,由于客户端知道这些常用的知名端口,不知道监控专用端口,因此只能访问这些常用的知名端口,而这些监控专用端口(比如数据库端口)是由监控***内的其他服务器访问。
由于入侵设备在进行入侵攻击之前,不仅想探测到这些常用的知名端口的信息,还想探测到监控专用端口,进而发现监控设备为该监控专用端口开放的服务,甚至运行的软件版本。而这些服务通常是服务器要使用的服务,其更能影响到监控设备的实时监控业务的正常进行。
步骤S205:允许所述报文通过。
若所述报文携带的目的端口在白名单中存在,那么所述报文不是异常访问报文,而是客户端访问监控设备正常监控业务端口的报文,可以允许所述报文通过。
步骤S206:确定所述报文是异常访问报文,并将所述报文携带的源IP地址添加到黑名单中。
若所述报文携带的目的端口不在白名单中,那么所述报文为客户端访问监控设备非正常监控业务端口的报文,可以确定所述报文是异常访问报文,并将所述报文携带的源IP地址添加到黑名单中。
其中,针对确定所述报文是异常访问报文的过程,安全网关可以先判断当前是否存在所述报文携带的源IP地址对应的异常访问计数;如果否,则创建所述源IP地址对应的异常访问计数,并将所述报文携带的目的端口添加到异常访问计数中,并将异常访问计数的数值加1;如果是,则判断所述源IP地址对应的异常访问计数中是否存在所述报文携带的目的端口;如果存在,则保持所述源IP地址对应的异常访问计数的数值不变,如果不存在,则将所述源IP地址对应的异常访问计数的数值加1;并进一步判断异常访问计数的数值是否超过预设阈值,若超过,则确定所述报文是异常访问报文,若未超过,则确定所述报文不是异常访问报文。
其中,当预设阈值为1时,安全网关可以不需要创建异常访问计数,可以直接确定所述报文是异常访问报文,即步骤S206中的情况。然而为了避免客户端误操作,访问了监控设备的非正常监控业务端口,即不在白名单中记录的端口,从而导致客户端的IP地址被添加到黑名单中。安全网关可以将所述预设阈值设置为2或3,由于入侵设备进行端口扫描是逐个端口扫描,因此异常访问计数的数值仍然会超过预设阈值。如果误操作导致客户端的IP地址被添加到黑名单中,则可以通过管理员手动删除处理。
例如,再如图1所示,客户端2开始发送报文访问了监控设备的80端口,然后又发送报文访问了监控设备的554端口,如步骤S204所述,80端口和554端口均在白名单中有记录,因此均未进行异常访问计数,后续客户端2继续发送报文,但误访问了监控设备的445端口,由于445端口在白名单中未记录,因此安全网关会进行异常访问计数,即为所述报文携带的源IP地址创建异常计数,并将异常访问计数的数值加1。
基于上述描述可知,安全网关在白名单中记录了所有开放业务端口,由于入侵设备并不清楚哪些端口是开放业务端口,会逐个端口进行探测,因此,安全网关终究会接收到携带的目的端口不在白名单中的报文,而且只要发现报文携带的目的端口不在白名单中,就可以将报文携带的源IP地址添加到黑名单中,以通过黑名单禁止入侵设备发送的报文进入监控设备。此外,通过异常访问计数可以避免客户端的误操作行为。而且当确定所述报文是异常访问报文时,则直接禁止所述报文进入监控设备,可以有效的防御入侵设备的端口扫描入侵。
需要说明的是,针对步骤S202中,情况二所述的应用场景,为了避免入侵设备变更报文携带的源IP地址进行端口扫描,安全网关在将所述报文携带的源IP地址添加到黑名单中之后,可以获取所述源IP地址对应的MAC地址,并将所述MAC地址对应所述源IP地址添加到黑名单中。
其中,针对获取所述源IP地址对应的MAC地址的过程,安全网关可以通过单播方式发送携带所述源IP地址的查询请求报文,以使接收到所述查询请求报文的网络设备在确定所述源IP地址对应的路由表项为直连目的网段之后,查询本地的ARP(AddressResolutionProtocol,地址解析协议)表项以获取所述源IP地址对应的MAC地址,然后接收所述网络设备返回的携带有所述MAC地址的查询响应报文,并从查询响应报文中解析出所述MAC地址。下面对通过单播方式获取MAC地址的过程进行详细描述:
如图4所示,为单播方式获取MAC表项的实施例流程图,该实施例结合图1所示的应用场景进行详细描述,包括以下步骤:
步骤S401:安全网关向与自身连接的三层交换机1发送携带所述源IP地址的查询请求报文。
其中,所述查询请求报文头的目的IP地址和目的MAC地址均指向的是三层交换机1,并且所述查询请求报文内容中添加有需要查询的IP地址(即所述源IP地址),以及查询到后要发送给谁的IP地址(安全网关的IP地址),以便某一网络设备在查询到所述源IP地址对应的MAC地址时,可以通过单播方式发送至安全网关。
步骤S402:三层交换机1查询路由表,将所述查询请求报文发送至三层交换机2。
详细的,例如客户端1的IP地址为192.168.2.100,客户端2的IP地址为192.168.3.200,三层交换机2的IP地址为192.168.2.1,三层交换机3的IP地址为192.168.3.1。假设所述源IP地址为192.168.2.100,三层交换机1在接收到查询请求报文时,从查询请求报文内容中获取192.168.2.100,并查询路由表,如表1所示,为一种示例性路由表,三层交换机1可以按照最长匹配原则,查询到路由表项为192.168.2.0/24的目的网段、G1/2的出接口、192.168.2.1的下一跳IP地址,从而,三层交换机1向出接口G1/2的下一跳三层交换机2发送查询请求报文。
| 目的网段 | 出接口 | 下一跳IP地址 | 类型 |
| 192.168.2.0/24 | G1/2 | 192.168.2.1 | 非直连 |
| 192.168.3.0/24 | G1/3 | 192.168.3.1 | 非直连 |
表1
这样,查询请求报文只向需要查询的IP地址192.168.2.100指向的客户端接入的三层交换机2传输,不会向全网络传输。
步骤S403:三层交换机2查询路由表,确定所述源IP地址对应的路由表项为直连目的网段之后,查询本地的ARP表项,以获取所述源IP地址对应的MAC地址。
如步骤S402所述的路由表查询过程,三层交换机2会查询到路由表项为192.168.2.0/24的直连目的网段,如表2所示,为一种示例性路由表。所述直连目的网段用于指示三层交换机2的ARP表项中记录有需要查询的IP地址192.168.2.100对应的MAC地址。因此可以利用192.168.2.100查询本地的ARP表项,如表3所示,为一种示例性ARP表项,从而可获取192.168.2.100对应的MAC地址00-0A-F7-0E-8B-A2。
表2
| IP地址 | MAC地址 |
| 192.168.2.100 | 00-0A-F7-0E-8B-A2 |
| 192.168.3.200 | 00-0A-F7-0E-8B-A1 |
表3
步骤S404:三层交换机2通过单播方式将携带所述MAC地址的查询响应报文发送至安全网关。
由于查询请求报文内容中携带有安全网关的IP地址,因此,三层交换机2可以通过单播方式将携带所述MAC地址的查询响应报文发送至安全网关。
此外,安全网关也可以通过组播方式获取MAC地址,比如,安全网关可以利用预先配置的组播IP地址和端口作为查询请求报文头的目的IP地址和目的端口,比如组播IP地址为239.239.239.239,端口为10239,并在查询请求报文内容中添加需要查询的IP地址(即所述源IP地址),以及查询到后要发送给谁的IP地址(安全网关的IP地址)。各网络设备(比如三层交换机1、三层交换机2、三层交换机3、二层交换机1)作为组播接收者加入该组播组中,并在相应的端口侦听查询请求报文,如图1所示,安全网关首先将组播类型的查询请求报文发送至三层交换机1,三层交换机1接着将查询请求报文向三层交换机2和三层交换机3发送,依次类推,直到将查询请求报文发送至该组播组中的所有网络设备。各网络设备在接收到携带所述源IP地址的查询请求报文时,查询本地的ARP(AddressResolutionProtocol,地址解析协议)表项,如果某一网络设备查询到所述源IP地址对应的MAC地址,则将所述MAC地址添加到查询响应报文的报文内容中,并通过单播方式将查询响应报文发送至安全网关。
进一步地,针对步骤S202中,情况一所述的应用场景,为了减少安全网关统计异常访问计数和防御入侵设备的压力,可以将防御行为前移至网络设备(比如三层交换机1、三层交换机2、三层交换机3、二层交换机1)上。同时,也为了避免入侵设备变更源IP地址,通过网络设备向监控设备发送报文。因此,安全网关在获取到所述源IP地址对应的MAC地址之后,可以发送携带有所述MAC地址的禁入通知报文,以使接收到所述禁入通知报文的网络设备丢弃源MAC地址为所述MAC地址的报文。
其中,针对发送携带有所述MAC地址的禁入通知报文的过程,再如图1所示,安全网关通过单播方式向与自身连接的三层交换机1发送禁入通知报文,三层交换机1根据本地的ARP表项将禁入通知报文再通过单播方式向与其连接的三层交换机2和三层交换机3发送出去,其中,所述ARP表项中记录有三层交换机2和三层交换机3的IP地址、MAC地址、以及对应的出接口,当三层交换机2或三层交换机3接收到禁入通知报文之后,由于禁入通知报文携带的源IP地址为三层交换机1的IP地址,所以三层交换机2和三层交换机3根据本地的ARP表项只向与其连接的其他网络设备的IP地址发送禁入通知报文,不会再将禁入通知报文返回到三层交换机1,从而可以避免环回。以此类推,一直到全网络中的各网络设备(三层交换机和二层交换机)均接收到禁入通知报文。
另外,当各网络设备接收到禁入通知报文之后,可以通过配置ACL(AccessControlList,访问控制列表)规则,即将所述MAC地址添加到ACL中。当各网络设备接收到报文时,利用报文携带的源MAC地址去匹配ACL,如果匹配到所述MAC地址,则丢弃所述报文,从而在各网络设备中实现丢弃源MAC地址为所述MAC地址的报文。
基于上述描述可知,由于网络设备记录有所述MAC地址,因此即使入侵设备变更源IP地址,在通过网络设备向监控设备发送报文时,由于入侵设备变更不了源MAC地址,在网络设备中会通过匹配到所述MAC地址将所述报文丢弃掉。并且,由于网络中的所有网络设备均记录有所述MAC地址,包括安全网关,即使入侵设备变换接入网络的位置,在向监控设备发送报文时,同样也会被丢弃。
更进一步地是,安全网关在添加所述MAC地址到黑名单时,可以将第一禁入时间对应所述MAC地址添加到黑名单中,以在所述第一禁入时间内丢弃源地址信息在黑名单中的报文。此外,在发送禁入通知报文时,还可以在禁入通知报文中添加第二禁入时间,以使接收到禁入通知报文的网络设备在所述第二禁入时间内,丢弃源MAC地址为所述MAC地址的报文。
其中,所述第一或第二禁入时间可以是指定的时间段,比如,在下午1点到5点之间为监控设备容易受入侵的时间,即监控设备的危险期,可以将1点到5点之间作为第一或第二禁入时间。所述第一或第二禁入时间也可以是从开始有的一个时间,如4个小时,比如,所述第二禁入时间为5小时,所述网络设备在首次接收到源MAC地址为所述MAC地址的报文时生效第二禁入时间,并且在超过第二禁入时间之后,就不再禁止源MAC地址为所述MAC地址的报文。比如,二层交换机1接收到源MAC地址为所述MAC地址的报文丢弃掉之后,4小时后,入侵设备变换在网络中的位置,接入到三层交换机3,向三层交换机3发送源MAC地址为所述MAC地址的报文,三层交换机3会匹配到所述MAC地址,丢弃所述报文,从而所述MAC地址对应的第二禁入时间生效,即三层交换机3仍然按照5小时禁止源MAC地址为所述MAC地址的报文通过,而不是1小时。
此外,如步骤S206所述,当所述源IP地址对应的第一禁入时间失效之后,将所述源IP地址对应的异常访问计数删除,以实现重新开始所述源IP地址的异常访问计数,并且在所述异常访问计数的数值重新超过预设阈值时,再将所述源IP地址添加到黑名单中。
由上述实施例所述,在安全网关接收到目的IP地址为监控设备的报文时,首先判断黑名单中是否存在所述报文携带的源地址信息;若是,则丢弃所述报文;若否,则再判断预先配置的白名单中是否存在所述报文携带的目的端口;若不存在,则确定所述报文是异常访问报文,将所述报文携带的源IP地址添加到黑名单中。基于上述实现方式,安全网关通过在白名单中记录开放业务端口,实现对入侵设备进行端口扫描入侵的防御,由于入侵设备并不清楚哪些端口是开放业务端口,因此会逐个端口进行探测,因此,安全网关在接收到报文时,只要发现报文携带的目的端口不在白名单中,就可以将报文携带的源IP地址添加到黑名单中,以通过黑名单禁止入侵设备发送的报文进入监控设备。这样,由于入侵设备发送的报文无法进入监控设备,入侵设备也就无法判断监控设备是否在使用该端口,也就无法发现监控设备为该端口开放的服务,甚至运行的软件版本。因此,入侵设备无法分析这些提供服务的端口漏洞,对监控设备进行入侵攻击。
与前述防御端口扫描入侵的方法的实施例相对应,本申请还提供了防御端口扫描入侵的装置的实施例。
本申请防御端口扫描入侵的装置的实施例可以应用在安全网关上。装置实施例可以通过软件实现,也可以通过硬件或者软硬件结合的方式实现。以软件实现为例,作为一个逻辑意义上的装置,是通过其所在设备的处理器将非易失性存储器中对应的计算机程序指令读取到内存中运行形成的。从硬件层面而言,如图5所示,为本申请防御端口扫描入侵的装置所在设备的一种硬件结构图,除了图5所示的处理器、内存、网络接口、以及非易失性存储器之外,实施例中装置所在的设备通常根据该设备的实际功能,还可以包括其他硬件,对此不再赘述。
参见图6所示,为本申请根据一示例性实施例示出的一种防御端口扫描入侵的装置的实施例结构图,该实施例应用于安全网关上,所述装置包括:接收单元610、第一判断单元620、丢弃单元630、第二判断单元640、确定单元650、添加单元660。
其中,所述接收单元610,用于接收目的IP地址为监控设备的报文;
第一判断单元620,用于判断黑名单中是否存在所述报文携带的源地址信息;
丢弃单元630,用于当所述第一判断单元620的判断结果为是时,丢弃所述报文;
第二判断单元640,用于当所述第一判断单元620的判断结果为否时,判断预先配置的白名单中是否存在所述报文携带的目的端口;其中,所述白名单中记录有开放业务端口;
确定单元650,用于当所述第二判断单元640的判断结果为不存在时,确定所述报文是异常访问报文;
添加单元660,用于在所述确定单元650确定所述报文是异常访问报文时,将所述报文携带的源IP地址添加到黑名单中。
在一个可选的实现方式中,所述确定单元650,具体用于判断当前是否存在所述报文携带的源IP地址对应的异常访问计数;如果否,则创建所述源IP地址对应的异常访问计数,并将所述报文携带的目的端口添加到异常访问计数中,并将所述异常访问计数的数值加1;如果是,则判断所述源IP地址对应的异常访问计数中是否存在所述报文携带的目的端口;如果存在,则保持所述源IP地址对应的异常访问计数的数值不变,如果不存在,则将所述源IP地址对应的异常访问计数的数值加1;并进一步判断所述异常访问计数的数值是否超过预设阈值,若超过,则确定所述报文是异常访问报文,若未超过,则确定所述报文不是异常访问报文。
在另一个可选的实现方式中,所述装置还包括(图6中未示出):
获取单元,用于在所述添加单元660将所述报文携带的源IP地址添加到黑名单中之后,获取所述源IP地址对应的MAC地址;
所述添加单元660,还用于将所述MAC地址对应所述源IP地址添加到所述黑名单中;和/或,所述装置还包括(图6中未示出):发送单元,用于发送携带有所述MAC地址的禁入通知报文,以使接收到所述禁入通知报文的网络设备丢弃源MAC地址为所述MAC地址的报文。
在另一个可选的实现方式中,所述获取单元,具体用于通过单播方式发送携带所述源IP地址的查询请求报文,以使接收到所述查询请求报文的网络设备在确定所述源IP地址对应的路由表项为直连目的网段之后,查询本地的ARP表项以获取所述源IP地址对应的MAC地址;接收所述网络设备返回的携带有所述MAC地址的查询响应报文;从所述查询响应报文中解析出所述MAC地址。
在另一个可选的实现方式中,所述添加单元660,还用于在添加所述MAC地址到黑名单时,将第一禁入时间对应所述MAC地址添加到黑名单中,以在所述第一禁入时间内丢弃源地址信息在黑名单中的报文;和/或,所述发送单元,还用于在发送禁入通知报文时,在所述禁入通知报文中添加第二禁入时间,以使接收到所述禁入通知报文的网络设备在所述第二禁入时间内,丢弃源MAC地址为所述MAC地址的报文。
上述装置中各个单元的功能和作用的实现过程具体详见上述方法中对应步骤的实现过程,在此不再赘述。
由上述实施例所述,在安全网关接收到目的IP地址为监控设备的报文时,首先判断黑名单中是否存在所述报文携带的源地址信息;若是,则丢弃所述报文;若否,则再判断预先配置的白名单中是否存在所述报文携带的目的端口;若不存在,则确定所述报文是异常访问报文,将所述报文携带的源IP地址添加到黑名单中。基于上述实现方式,安全网关通过在白名单中记录开放业务端口,实现对入侵设备进行端口扫描入侵的防御,由于入侵设备并不清楚哪些端口是开放业务端口,因此会逐个端口进行探测,因此,安全网关在接收到报文时,只要发现报文携带的目的端口不在白名单中,就可以将报文携带的源IP地址添加到黑名单中,以通过黑名单禁止入侵设备发送的报文进入监控设备。这样,由于入侵设备发送的报文无法进入监控设备,入侵设备也就无法判断监控设备是否在使用该端口,也就无法发现监控设备为该端口开放的服务,甚至运行的软件版本。因此,入侵设备无法分析这些提供服务的端口漏洞,对监控设备进行入侵攻击。
对于装置实施例而言,由于其基本对应于方法实施例,所以相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本申请方案的目的。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
以上所述仅为本申请的较佳实施例而已,并不用以限制本申请,凡在本申请的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本申请保护的范围之内。
Claims (10)
1.一种防御端口扫描入侵的方法,其特征在于,所述方法应用于安全网关上,所述方法包括:
接收目的网际协议IP地址为监控设备的报文;
判断黑名单中是否存在所述报文携带的源地址信息;
若是,则丢弃所述报文;
若否,则判断预先配置的白名单中是否存在所述报文携带的目的端口;其中,所述白名单中记录有开放业务端口;
若不存在,则确定所述报文是异常访问报文,并将所述报文携带的源IP地址添加到黑名单中。
2.根据权利要求1所述的方法,其特征在于,所述确定所述报文是异常访问报文的过程,具体包括:
判断当前是否存在所述报文携带的源IP地址对应的异常访问计数;
如果否,则创建所述源IP地址对应的异常访问计数,并将所述报文携带的目的端口添加到异常访问计数中,并将所述异常访问计数的数值加1;
如果是,则判断所述源IP地址对应的异常访问计数中是否存在所述报文携带的目的端口;
如果存在,则保持所述源IP地址对应的异常访问计数的数值不变,如果不存在,则将所述源IP地址对应的异常访问计数的数值加1;
并进一步判断所述异常访问计数的数值是否超过预设阈值,若超过,则确定所述报文是异常访问报文,若未超过,则确定所述报文不是异常访问报文。
3.根据权利要求1所述的方法,其特征在于,所述将所述报文携带的源IP地址添加到黑名单中之后,还包括:
获取所述源IP地址对应的媒体访问控制MAC地址;
将所述MAC地址对应所述源IP地址添加到所述黑名单中;和/或,发送携带有所述MAC地址的禁入通知报文,以使接收到所述禁入通知报文的网络设备丢弃源MAC地址为所述MAC地址的报文。
4.根据权利要求3所述的方法,其特征在于,所述获取所述源IP地址对应的MAC地址的过程,具体包括:
通过单播方式发送携带所述源IP地址的查询请求报文,以使接收到所述查询请求报文的网络设备在确定所述源IP地址对应的路由表项为直连目的网段之后,查询本地的地址解析协议ARP表项以获取所述源IP地址对应的MAC地址;
接收所述网络设备返回的携带有所述MAC地址的查询响应报文;
从所述查询响应报文中解析出所述MAC地址。
5.根据权利要求3所述的方法,其特征在于,所述方法还包括:
在添加所述MAC地址到黑名单时,将第一禁入时间对应所述MAC地址添加到黑名单中,以在所述第一禁入时间内丢弃源地址信息在黑名单中的报文;和/或,
在发送禁入通知报文时,在所述禁入通知报文中添加第二禁入时间,以使接收到所述禁入通知报文的网络设备在所述第二禁入时间内,丢弃源MAC地址为所述MAC地址的报文。
6.一种防御端口扫描入侵的装置,其特征在于,所述装置应用于安全网关上,所述装置包括:
接收单元,用于接收目的网际协议IP地址为监控设备的报文;
第一判断单元,用于判断黑名单中是否存在所述报文携带的源地址信息;
丢弃单元,用于当所述第一判断单元的判断结果为是时,丢弃所述报文;
第二判断单元,用于当所述第一判断单元的判断结果为否时,判断预先配置的白名单中是否存在所述报文携带的目的端口;其中,所述白名单中记录有开放业务端口;
确定单元,用于当所述第二判断单元的判断结果为不存在时,确定所述报文是异常访问报文;
添加单元,用于在所述确定单元确定所述报文是异常访问报文时,将所述报文携带的源IP地址添加到黑名单中。
7.根据权利要求6所述的装置,其特征在于,
所述确定单元,具体用于判断当前是否存在所述报文携带的源IP地址对应的异常访问计数;如果否,则创建所述源IP地址对应的异常访问计数,并将所述报文携带的目的端口添加到异常访问计数中,并将所述异常访问计数的数值加1;如果是,则判断所述源IP地址对应的异常访问计数中是否存在所述报文携带的目的端口;如果存在,则保持所述源IP地址对应的异常访问计数的数值不变,如果不存在,则将所述源IP地址对应的异常访问计数的数值加1;并进一步判断所述异常访问计数的数值是否超过预设阈值,若超过,则确定所述报文是异常访问报文,若未超过,则确定所述报文不是异常访问报文。
8.根据权利要求6所述的装置,其特征在于,所述装置还包括:
获取单元,用于在所述添加单元将所述报文携带的源IP地址添加到黑名单中之后,获取所述源IP地址对应的媒体访问控制MAC地址;
所述添加单元,还用于将所述MAC地址对应所述源IP地址添加到所述黑名单中;和/或,所述装置还包括:发送单元,用于发送携带有所述MAC地址的禁入通知报文,以使接收到所述禁入通知报文的网络设备丢弃源MAC地址为所述MAC地址的报文。
9.根据权利要求8所述的装置,其特征在于,
所述获取单元,具体用于通过单播方式发送携带所述源IP地址的查询请求报文,以使接收到所述查询请求报文的网络设备在确定所述源IP地址对应的路由表项为直连目的网段之后,查询本地的地址解析协议ARP表项以获取所述源IP地址对应的MAC地址;接收所述网络设备返回的携带有所述MAC地址的查询响应报文;从所述查询响应报文中解析出所述MAC地址。
10.根据权利要求8所述的装置,其特征在于,
所述添加单元,还用于在添加所述MAC地址到黑名单时,将第一禁入时间对应所述MAC地址添加到黑名单中,以在所述第一禁入时间内丢弃源地址信息在黑名单中的报文;和/或,所述发送单元,还用于在发送禁入通知报文时,在所述禁入通知报文中添加第二禁入时间,以使接收到所述禁入通知报文的网络设备在所述第二禁入时间内,丢弃源MAC地址为所述MAC地址的报文。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610168479.9A CN105681353B (zh) | 2016-03-22 | 2016-03-22 | 防御端口扫描入侵的方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610168479.9A CN105681353B (zh) | 2016-03-22 | 2016-03-22 | 防御端口扫描入侵的方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN105681353A true CN105681353A (zh) | 2016-06-15 |
| CN105681353B CN105681353B (zh) | 2019-06-11 |
Family
ID=56215138
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201610168479.9A Active CN105681353B (zh) | 2016-03-22 | 2016-03-22 | 防御端口扫描入侵的方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN105681353B (zh) |
Cited By (20)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107395643A (zh) * | 2017-09-01 | 2017-11-24 | 天津赞普科技股份有限公司 | 一种基于扫描探针行为的源ip保护方法 |
| CN107948195A (zh) * | 2017-12-25 | 2018-04-20 | 杭州迪普科技股份有限公司 | 一种防护Modbus攻击的方法及装置 |
| CN108200068A (zh) * | 2018-01-08 | 2018-06-22 | 平安科技(深圳)有限公司 | 端口监控方法、装置、计算机设备及存储介质 |
| CN108234473A (zh) * | 2017-12-28 | 2018-06-29 | 新华三技术有限公司 | 一种报文防攻击方法及装置 |
| CN108337222A (zh) * | 2017-11-28 | 2018-07-27 | 中国电子科技集团公司电子科学研究院 | 区分访问终端身份的端口开放方法、设备及可读存储介质 |
| CN108965286A (zh) * | 2018-07-09 | 2018-12-07 | 国网重庆市电力公司电力科学研究院 | 一种基于python的轻量化网络设备端口探测方法 |
| CN109495472A (zh) * | 2018-11-19 | 2019-03-19 | 南京邮电大学 | 一种针对内外网摄像头配置弱口令漏洞的防御方法 |
| CN109711166A (zh) * | 2018-12-17 | 2019-05-03 | 北京知道创宇信息技术有限公司 | 漏洞检测方法及装置 |
| CN110297732A (zh) * | 2019-06-14 | 2019-10-01 | 杭州迪普科技股份有限公司 | 一种fpga状态的检测方法及装置 |
| CN110740125A (zh) * | 2019-09-23 | 2020-01-31 | 公安部第一研究所 | 一种针对视频监控设备漏洞检测使用的漏洞库的实现方法 |
| CN110912936A (zh) * | 2019-12-20 | 2020-03-24 | 东软集团股份有限公司 | 媒体文件安全态势感知方法和防火墙 |
| CN110909361A (zh) * | 2019-11-08 | 2020-03-24 | 北京长亭未来科技有限公司 | 一种漏洞检测方法,装置和计算机设备 |
| CN112153631A (zh) * | 2019-06-28 | 2020-12-29 | 北京奇虎科技有限公司 | 识别非法入侵的方法和装置、路由器 |
| CN112187775A (zh) * | 2020-09-23 | 2021-01-05 | 北京微步在线科技有限公司 | 一种端口扫描的检测方法及装置 |
| CN112511523A (zh) * | 2020-11-24 | 2021-03-16 | 超越科技股份有限公司 | 一种基于访问控制的网络安全控制方法 |
| CN112565297A (zh) * | 2020-12-24 | 2021-03-26 | 杭州迪普科技股份有限公司 | 一种报文控制方法及装置 |
| CN113992363A (zh) * | 2021-10-11 | 2022-01-28 | 杭州迪普科技股份有限公司 | 一种基于iec104规约通信的方法、装置 |
| CN114244786A (zh) * | 2021-11-30 | 2022-03-25 | 深圳市飞速创新技术股份有限公司 | 安全防护方法、装置、设备和存储介质 |
| CN115225368A (zh) * | 2022-07-15 | 2022-10-21 | 北京天融信网络安全技术有限公司 | 一种报文处理方法、装置、电子设备及存储介质 |
| CN115842655A (zh) * | 2022-11-10 | 2023-03-24 | 合芯科技有限公司 | 防止非法设备接入方法、装置、***及存储介质 |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101188612A (zh) * | 2007-12-10 | 2008-05-28 | 中兴通讯股份有限公司 | 一种黑名单实时管理的方法及其装置 |
| CN102769549A (zh) * | 2011-05-05 | 2012-11-07 | 腾讯科技(深圳)有限公司 | 网络安全监控的方法和装置 |
| CN103475746A (zh) * | 2013-08-09 | 2013-12-25 | 杭州华三通信技术有限公司 | 一种终端服务方法及装置 |
| CN103490895A (zh) * | 2013-09-12 | 2014-01-01 | 北京斯庄格科技有限公司 | 一种应用国密算法的工业控制身份认证方法及装置 |
| CN103607392A (zh) * | 2010-12-14 | 2014-02-26 | 华为数字技术(成都)有限公司 | 一种防范钓鱼攻击的方法及装置 |
| US20140137254A1 (en) * | 2012-11-13 | 2014-05-15 | Tencent Technology (Shenzhen) Company Limited | Malicious website identifying method and system |
| CN104158767A (zh) * | 2014-09-03 | 2014-11-19 | 吕书健 | 一种网络准入装置及方法 |
| CN104767748A (zh) * | 2015-03-30 | 2015-07-08 | 西北工业大学 | Opc服务器安全防护*** |
-
2016
- 2016-03-22 CN CN201610168479.9A patent/CN105681353B/zh active Active
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101188612A (zh) * | 2007-12-10 | 2008-05-28 | 中兴通讯股份有限公司 | 一种黑名单实时管理的方法及其装置 |
| CN103607392A (zh) * | 2010-12-14 | 2014-02-26 | 华为数字技术(成都)有限公司 | 一种防范钓鱼攻击的方法及装置 |
| CN102769549A (zh) * | 2011-05-05 | 2012-11-07 | 腾讯科技(深圳)有限公司 | 网络安全监控的方法和装置 |
| US20140137254A1 (en) * | 2012-11-13 | 2014-05-15 | Tencent Technology (Shenzhen) Company Limited | Malicious website identifying method and system |
| CN103475746A (zh) * | 2013-08-09 | 2013-12-25 | 杭州华三通信技术有限公司 | 一种终端服务方法及装置 |
| CN103490895A (zh) * | 2013-09-12 | 2014-01-01 | 北京斯庄格科技有限公司 | 一种应用国密算法的工业控制身份认证方法及装置 |
| CN104158767A (zh) * | 2014-09-03 | 2014-11-19 | 吕书健 | 一种网络准入装置及方法 |
| CN104767748A (zh) * | 2015-03-30 | 2015-07-08 | 西北工业大学 | Opc服务器安全防护*** |
Cited By (31)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107395643A (zh) * | 2017-09-01 | 2017-11-24 | 天津赞普科技股份有限公司 | 一种基于扫描探针行为的源ip保护方法 |
| CN107395643B (zh) * | 2017-09-01 | 2020-09-11 | 天津赞普科技股份有限公司 | 一种基于扫描探针行为的源ip保护方法 |
| CN108337222A (zh) * | 2017-11-28 | 2018-07-27 | 中国电子科技集团公司电子科学研究院 | 区分访问终端身份的端口开放方法、设备及可读存储介质 |
| CN108337222B (zh) * | 2017-11-28 | 2022-02-25 | 中国电子科技集团公司电子科学研究院 | 区分访问终端身份的端口开放方法、设备及可读存储介质 |
| CN107948195A (zh) * | 2017-12-25 | 2018-04-20 | 杭州迪普科技股份有限公司 | 一种防护Modbus攻击的方法及装置 |
| CN107948195B (zh) * | 2017-12-25 | 2020-12-04 | 杭州迪普科技股份有限公司 | 一种防护Modbus攻击的方法及装置 |
| CN108234473A (zh) * | 2017-12-28 | 2018-06-29 | 新华三技术有限公司 | 一种报文防攻击方法及装置 |
| CN108234473B (zh) * | 2017-12-28 | 2021-02-09 | 新华三技术有限公司 | 一种报文防攻击方法及装置 |
| WO2019134333A1 (zh) * | 2018-01-08 | 2019-07-11 | 平安科技(深圳)有限公司 | 端口监控方法、装置、计算机设备及存储介质 |
| CN108200068B (zh) * | 2018-01-08 | 2020-07-14 | 平安科技(深圳)有限公司 | 端口监控方法、装置、计算机设备及存储介质 |
| CN108200068A (zh) * | 2018-01-08 | 2018-06-22 | 平安科技(深圳)有限公司 | 端口监控方法、装置、计算机设备及存储介质 |
| CN108965286A (zh) * | 2018-07-09 | 2018-12-07 | 国网重庆市电力公司电力科学研究院 | 一种基于python的轻量化网络设备端口探测方法 |
| CN109495472A (zh) * | 2018-11-19 | 2019-03-19 | 南京邮电大学 | 一种针对内外网摄像头配置弱口令漏洞的防御方法 |
| CN109711166A (zh) * | 2018-12-17 | 2019-05-03 | 北京知道创宇信息技术有限公司 | 漏洞检测方法及装置 |
| CN109711166B (zh) * | 2018-12-17 | 2020-12-11 | 北京知道创宇信息技术股份有限公司 | 漏洞检测方法及装置 |
| CN110297732B (zh) * | 2019-06-14 | 2024-01-23 | 杭州迪普科技股份有限公司 | 一种fpga状态的检测方法及装置 |
| CN110297732A (zh) * | 2019-06-14 | 2019-10-01 | 杭州迪普科技股份有限公司 | 一种fpga状态的检测方法及装置 |
| CN112153631A (zh) * | 2019-06-28 | 2020-12-29 | 北京奇虎科技有限公司 | 识别非法入侵的方法和装置、路由器 |
| CN110740125A (zh) * | 2019-09-23 | 2020-01-31 | 公安部第一研究所 | 一种针对视频监控设备漏洞检测使用的漏洞库的实现方法 |
| CN110909361A (zh) * | 2019-11-08 | 2020-03-24 | 北京长亭未来科技有限公司 | 一种漏洞检测方法,装置和计算机设备 |
| CN110912936A (zh) * | 2019-12-20 | 2020-03-24 | 东软集团股份有限公司 | 媒体文件安全态势感知方法和防火墙 |
| CN110912936B (zh) * | 2019-12-20 | 2022-02-18 | 东软集团股份有限公司 | 媒体文件安全态势感知方法和防火墙 |
| CN112187775A (zh) * | 2020-09-23 | 2021-01-05 | 北京微步在线科技有限公司 | 一种端口扫描的检测方法及装置 |
| CN112511523A (zh) * | 2020-11-24 | 2021-03-16 | 超越科技股份有限公司 | 一种基于访问控制的网络安全控制方法 |
| CN112565297A (zh) * | 2020-12-24 | 2021-03-26 | 杭州迪普科技股份有限公司 | 一种报文控制方法及装置 |
| CN113992363A (zh) * | 2021-10-11 | 2022-01-28 | 杭州迪普科技股份有限公司 | 一种基于iec104规约通信的方法、装置 |
| CN113992363B (zh) * | 2021-10-11 | 2024-02-27 | 杭州迪普科技股份有限公司 | 一种基于iec104规约通信的方法、装置 |
| CN114244786A (zh) * | 2021-11-30 | 2022-03-25 | 深圳市飞速创新技术股份有限公司 | 安全防护方法、装置、设备和存储介质 |
| CN114244786B (zh) * | 2021-11-30 | 2024-05-10 | 深圳市飞速创新技术股份有限公司 | 安全防护方法、装置、设备和存储介质 |
| CN115225368A (zh) * | 2022-07-15 | 2022-10-21 | 北京天融信网络安全技术有限公司 | 一种报文处理方法、装置、电子设备及存储介质 |
| CN115842655A (zh) * | 2022-11-10 | 2023-03-24 | 合芯科技有限公司 | 防止非法设备接入方法、装置、***及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN105681353B (zh) | 2019-06-11 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN105681353A (zh) | 防御端口扫描入侵的方法及装置 | |
| US8175096B2 (en) | Device for protection against illegal communications and network system thereof | |
| US8627477B2 (en) | Method, apparatus, and system for detecting a zombie host | |
| US7552478B2 (en) | Network unauthorized access preventing system and network unauthorized access preventing apparatus | |
| JP5826920B2 (ja) | 遮断サーバを用いたスプーフィング攻撃に対する防御方法 | |
| US8661544B2 (en) | Detecting botnets | |
| US20180191677A1 (en) | Firewall and method thereof | |
| US20060143709A1 (en) | Network intrusion prevention | |
| JP4768020B2 (ja) | IPネットワークにおいてターゲット被害者自己識別及び制御によってDoS攻撃を防御する方法 | |
| JP2008177714A (ja) | ネットワークシステム、サーバ、ddnsサーバおよびパケット中継装置 | |
| JP2002215478A (ja) | ファイアウォールサービス提供方法 | |
| US7596808B1 (en) | Zero hop algorithm for network threat identification and mitigation | |
| Dakhane et al. | Active warden for TCP sequence number base covert channel | |
| KR101118398B1 (ko) | 트래픽 방어 방법 및 장치 | |
| US20210014253A1 (en) | Device and method for intrusion detection in a communications network | |
| US11979374B2 (en) | Local network device connection control | |
| JP2003264595A (ja) | パケット中継装置、パケット中継システムおよびオトリ誘導システム | |
| KR20100048105A (ko) | 네트워크 관리 장치 및 그 방법과 이를 위한 사용자 단말기및 그의 기록 매체 | |
| KR101003094B1 (ko) | 스파이 봇 에이전트를 이용한 네트워크 공격 위치 추적 방법, 및 시스템 | |
| KR101080734B1 (ko) | 스푸핑 방지 방법 및 장치 | |
| KR101871146B1 (ko) | 미인가 단말 차단 기능을 구비한 네트워크 스위치 장치 및 이의 미인가 단말 차단 방법 | |
| JP2006148594A (ja) | 発信源追跡システム及びそのシステムで用いられる中継装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |