CN114257413B - 基于应用容器引擎的反制阻断方法、装置和计算机设备 - Google Patents
基于应用容器引擎的反制阻断方法、装置和计算机设备 Download PDFInfo
- Publication number
- CN114257413B CN114257413B CN202111403452.0A CN202111403452A CN114257413B CN 114257413 B CN114257413 B CN 114257413B CN 202111403452 A CN202111403452 A CN 202111403452A CN 114257413 B CN114257413 B CN 114257413B
- Authority
- CN
- China
- Prior art keywords
- application
- mirror image
- blocking
- reaction
- abnormal
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/12—Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Medical Informatics (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请涉及一种基于应用容器引擎的反制阻断方法、装置和计算机设备。所述方法包括:对采集装置发送的变电站报文进行异常识别;当识别出所述变电站报文中存在异常网络数据时,创建反制应用镜像;将所述反制应用镜像,下发至所述异常网络数据对应的目标采集装置,使所述目标采集装置基于所述反制应用镜像,在预设的应用容器引擎中构建反制应用,通过所述反制应用阻断所述异常网络数据对应的异常资产设备对其它设备的访问。采用本方法能够克服传统方法存在的对于不同操作***不同环境的服务器,相应的部署和操作行为也不同,较难统一的缺陷。
Description
技术领域
本申请涉及网络通信技术领域,特别是涉及一种基于应用容器引擎的反制阻断方法、装置、计算机设备和存储介质。
背景技术
随着网络的不断拓展和壮大,服务器也面临着越来越多形式各异的攻击,如何识别出这些攻击并进行阻止是保证服务器安全的重要研究内容。
现在的网络阻断手段一般是在特定服务器上面安装网络阻断工具,对于不同的操作***或不同环境的服务器,相应的部署阻断工具和操作行为也将不同,容易导致阻断工具部署和***不兼容的问题。
发明内容
基于此,有必要针对上述阻断方法存在的需要耗费较多人力的技术问题,提供一种基于应用容器引擎的反制阻断方法、装置、计算机设备和存储介质。
一种基于应用容器引擎的反制阻断方法,所述方法包括:
对采集装置发送的变电站报文进行异常识别;
当识别出所述变电站报文中存在异常网络数据时,创建反制应用镜像;
将所述反制应用镜像,下发至所述异常网络数据对应的目标采集装置,使所述目标采集装置基于所述反制应用镜像,在预设的应用容器引擎中构建反制应用;所述反制应用用于阻断所述异常网络数据对应的异常资产设备对其它设备的访问。
在其中一个实施例中,所述对采集装置发送的变电站报文进行异常识别,包括:
对所述采集装置发送的变电站报文进行解封装,得到网络行为数据;
对所述网络行为数据进行异常识别。
在其中一个实施例中,所述变电站报文中包含采集装置的标识信息;
在将所述反制应用镜像,下发至所述异常网络数据对应的目标采集装置之前,还包括:
对所述采集装置发送的变电站报文进行解封装,得到采集装置的标识信息;
根据所述标识信息,确定所述异常网络数据对应的目标采集装置。
在其中一个实施例中,所述当识别出所述变电站报文中存在异常网络数据时,创建反制应用镜像,包括:
当识别出所述变电站报文中存在异常网络数据时,从所述异常网络数据中确定出五元组数据;所述五元组数据包括源IP地址、源端口、目的IP地址、目的端口和传输层协议;
根据所述五元组数据配置对应的反制阻断参数;
基于所述反制阻断参数,创建所述反制应用镜像。
在其中一个实施例中,在从所述异常网络数据中确定出五元组数据之后,还包括:
从所述五元组数据中确定出源IP地址;
将所述源IP地址发送给所述目标采集装置,使所述目标采集装置将所述源IP地址对应的资产设备作为所述异常网络数据对应的异常资产设备。
一种基于应用容器引擎的反制阻断方法,所述方法包括:
接收态势感知主站下发的反制应用镜像;所述反制应用镜像为所述态势感知主站对变电站报文进行异常识别,在识别出所述变电站报文存在异常网络数据时创建;
响应于所述态势感知主站发送的镜像启动指令,基于所述反制应用镜像,在预设的应用容器引擎中构建反制应用;
当接收到所述态势感知主站下发的阻断命令时,调用所述反制应用,使所述反制应用阻断所述异常网络数据对应的异常资产设备对其它设备的访问。
一种基于应用容器引擎的反制阻断装置,所述装置包括:
识别模块,用于对采集装置发送的变电站报文进行异常识别;
创建模块,用于当识别出所述变电站报文中存在异常网络数据时,创建反制应用镜像;
发送模块,用于将所述反制应用镜像,下发至所述异常网络数据对应的目标采集装置,使所述目标采集装置基于所述反制应用镜像,在预设的应用容器引擎中构建反制应用;所述反制应用用于阻断所述异常网络数据对应的异常资产设备对其它设备的访问。
一种基于应用容器引擎的反制阻断装置,所述装置包括:
接收模块,用于接收态势感知主站下发的反制应用镜像;所述反制应用镜像为所述态势感知主站对变电站报文进行异常识别,在识别出所述变电站报文存在异常网络数据时创建;
构建模块,用于响应于所述态势感知主站发送的镜像启动指令,基于所述反制应用镜像,在预设的应用容器引擎中构建反制应用;
阻断模块,用于当接收到所述态势感知主站下发的阻断命令时,调用所述反制应用,使所述反制应用阻断所述异常网络数据对应的异常资产设备对其它设备的访问。
一种计算机设备,包括存储器和处理器,所述存储器存储有计算机程序,所述处理器执行所述计算机程序时实现以下步骤:
对采集装置发送的变电站报文进行异常识别;
当识别出所述变电站报文中存在异常网络数据时,创建反制应用镜像;
将所述反制应用镜像,下发至所述异常网络数据对应的目标采集装置,使所述目标采集装置基于所述反制应用镜像,在预设的应用容器引擎中构建反制应用;所述反制应用用于阻断所述异常网络数据对应的异常资产设备对其它设备的访问。
一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现以下步骤:
对采集装置发送的变电站报文进行异常识别;
当识别出所述变电站报文中存在异常网络数据时,创建反制应用镜像;
将所述反制应用镜像,下发至所述异常网络数据对应的目标采集装置,使所述目标采集装置基于所述反制应用镜像,在预设的应用容器引擎中构建反制应用;所述反制应用用于阻断所述异常网络数据对应的异常资产设备对其它设备的访问。
上述基于应用容器引擎的反制阻断方法、装置、计算机设备和存储介质,态势感知主站实时分析采集装置采集到的变电站报文,在识别出变电站报文中存在异常网络数据时,自动创建反制应用镜像,并将反制应用镜像发送给出现异常网络数据对应的目标采集装置,使目标采集装置接收主站下发的反制应用镜像后,可将反制应用镜像与开发的套接字客户端组成反制应用,并将反制应用提前部署封装在应用容器引擎中,应用容器引擎可以运行,反制应用便可运行,由此解决了部署和***兼容性的问题,从而克服了传统方法存在的对于不同操作***不同环境的服务器,相应的部署和操作行为也不同,较难统一的缺陷。
附图说明
图1为一个实施例中基于应用容器引擎的反制阻断方法的应用环境图;
图2为一个实施例中基于应用容器引擎的反制阻断方法的流程示意图;
图3为另一个实施例中基于应用容器引擎的反制阻断方法的流程示意图;
图4为一个实施例中采集装置与态势感知主站的交互示意图;
图5为一个实施例中采集装置与态势感知主站的另一个交互示意图;
图6为一个实施例中采集装置与态势感知主站的又一个交互示意图;
图7为一个实施例中采集装置与态势感知主站的再一个交互示意图;
图8为一个实施例中态势感知主站下发阻断任务至采集装置的流程示意图;
图9为一个实施例中基于应用容器引擎的反制阻断装置的结构框图;
图10为另一个实施例中基于应用容器引擎的反制阻断装置的结构框图;
图11为一个实施例中计算机设备的内部结构图。
具体实施方式
为了使本申请的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本申请进行进一步详细说明。应当理解,此处描述的具体实施例仅仅用以解释本申请,并不用于限定本申请。
本申请提供的基于应用容器引擎的反制阻断方法,可以应用于如图1所示的应用环境中。其中,态势感知主站104与采集装置102通过网络进行通信。其中,采集装置102用于采集变电站的网络行为数据,并将网络行为数据发送给态势感知主站104。态势感知主站104用于对采集装置102发送的网络行为数据进行异常识别,当识别出变电站报文中存在异常网络数据时,创建反制应用镜像,并将反制应用镜像,发至异常网络数据对应的目标采集装置,使目标采集装置基于反制应用镜像,在预设的应用容器引擎中构建反制应用;通过反制应用阻断异常网络数据对应的异常资产设备对其它资产设备的访问。
在一个实施例中,如图2所示,提供了一种基于应用容器引擎的反制阻断方法,以该方法应用于图1中的态势感知主站104为例进行说明,包括以下步骤:
步骤S202,对采集装置102发送的变电站报文进行异常识别。
其中,变电站报文包括变电站中多个资产设备的网络行为数据和采集装置的标识信息。
具体实现中,每个变电站可对应设置有一个采集装置,通过这个采集装置采集变电站中多个资产设备的网络行为数据。采集装置102采集所对应变电站中的各个资产设备的网络行为数据后,可将这些网络行为数据封装为变电站报文,将变电站报文通过数据通道实时发送给态势感知主站104,使得态势感知主站104可对变电站报文进行异常识别,具体地,异常识别可包括对恶意IP(Internet Protocol,国际互联协议)访问、恶意域名访问、可疑文件、病毒、木马等网络攻击行为。
步骤S204,当识别出变电站报文中存在异常网络数据时,创建反制应用镜像。
其中,反制应用镜像为基于地址解析协议(Address Resolution Protocol,ARP,根据IP地址获取物理地址的一种TCP/IP协议)的镜像,即反制应用镜像可以为ARP反制应用镜像。
其中,异常网络数据可以为恶意IP信息、恶意域名信息、可疑文件信息、病毒信息或木马信息。
其中,反制应用镜像中包含着反制应用的容器运行时所需要的代码以及其他组件,可以理解为反制应用镜像包含反制工具和反制文件。
具体实现中,态势感知主站104在识别出变电站报文中存在恶意IP信息、恶意域名信息、可疑文件信息、病毒信息或木马信息时,可自动创建阻断任务,并根据异常网络数据中的通信对五元组数据(包括源IP地址,源端口,目的IP地址,目的端口和传输层协议)设置对应的反制阻断参数,基于该反制阻断参数创建对应的反制应用镜像。并且,还可定位出异常网络数据对应的目标采集装置,以及定位出异常网络数据对应的异常资产设备。其中,异常资产设备可根据异常网络数据中的通信对五元组数据中的源IP地址确定。
步骤S206,将反制应用镜像,下发至异常网络数据对应的目标采集装置,使目标采集装置基于反制应用镜像,在预设的应用容器引擎中构建反制应用;反制应用用于阻断异常网络数据对应的异常资产设备对其它设备的访问。
其中,应用容器引擎可以为开源的应用容器引擎Docker。
具体实现中,态势感知主站104在创建反制应用镜像后,可将反制应用镜像通过控制通道下发至异常网络数据对应的目标采集装置,目标采集装置接收反制应用镜像,之后,态势感知主站104可下发镜像启动指令给目标采集装置,目标采集装置响应于该镜像启动指令,启动反制应用镜像。反制应用镜像启动后,可连接目标采集装置的设定端口(8811端口),进行反制应用镜像的注册和保活流程。在注册成功后,启动socket(套接字)客户端,将socket客户端安装至反制应用镜像中,得到反制应用,之后将反制应用封装在预先构建的应用容器引擎中。进一步态势感知主站在将阻断命令下发给目标采集装置后,目标采集装置可调用反制应用,向异常资产设备发送大量虚假的应答包,从而阻断异常资产设备对其他资产设备的访问。
上述基于应用容器引擎的反制阻断方法中,态势感知主站实时分析采集装置采集到的变电站报文,在识别出变电站报文中存在异常网络数据时,自动创建反制应用镜像,并将反制应用镜像发送给出现异常网络数据对应的目标采集装置,使目标采集装置接收主站下发的反制应用镜像后,可将反制应用镜像与开发的套接字客户端组成反制应用,并将反制应用提前部署封装在应用容器引擎中,应用容器引擎能运行,反制应用便可运行,由此解决了部署和***兼容性的问题,从而克服了传统方法存在的对于不同操作***不同环境的服务器,相应的部署和操作行为也不同,较难统一的缺陷。并且,该方法由主站自动封装阻断命令,无需大量人工进行阻断操作,极大地减少了人工工作量,可实现网络威胁的就地及时地隔离。
在一个实施例中,上述步骤S202具体包括:对采集装置发送的变电站报文进行解封装,得到网络行为数据;对网络行为数据进行异常识别。
具体实现中,采集装置在采集得到变电站中的多个资产设备的网络行为数据后,进一步需要对这些网络行为数据进行封装,得到变电站报文,将变电站报文发送给态势感知主站,因此,态势感知主站在接收到采集装置发送的变电站报文后,需要先对变电站报文进行解封装,得到各个设备的网络行为数据,进一步对各个资产设备网络行为数据进行异常识别。
本实施例中,通过对采集装置发送的变电站报文进行解封装,得到网络行为数据,以便于对网络行为数据进行异常识别,识别是否存在异常网络数据。
在一个实施例中,变电站报文中包含有采集装置的标识信息;在执行上述步骤S206之前,还包括:对采集装置发送的变电站报文进行解封装,得到采集装置的标识信息;根据所述标识信息,确定所述异常网络数据对应的目标采集装置。
具体实现中,采集装置在将采集得到的变电站中各个资产设备的网络行为数据进行封装时,还可将自身的标识信息与各个资产设备的网络行为数据一起封装,得到变电站报文。因此,态势感知主站在确定异常网络数据对应的目标采集装置时,可通过对变电站报文进行解封装,得到采集装置的标识信息,根据该标识信息,确定异常网络数据对应的目标采集装置。
本实施例中,通过对采集装置发送的变电站报文进行解封装,得到采集装置的标识信息,根据该标识信息,确定异常网络数据对应的目标采集装置,以便于进一步将创建的反制应用镜像发送给目标采集装置,使目标采集装置调用反制应用镜像,阻断异常网络数据对应的异常资产设备对其它设备的访问。
在一个实施例中,上述步骤S204具体包括:当识别出变电站报文中存在异常网络数据时,从异常网络数据中确定出五元组数据;五元组数据包括源IP地址、源端口、目的IP地址、目的端口和传输层协议;根据五元组数据配置对应的反制阻断参数;基于反制阻断参数,创建反制应用镜像。
其中,反制阻断参数可包括阻断包数量和阻断时长等。
具体实现中,阻断包数量和阻断时长可预先设定,并且可手动进行调整。在识别出变电站报文中存在异常网络数据时,从异常网络数据中确定出五元组数据,并基于五元组数据配置对应的阻断包数量和阻断时长,最后根据阻断包数量和阻断时长,创建反制应用镜像。
本实施例中,通过从异常网络数据中确定出五元组数据,并基于五元组数据配置对应的反制阻断参数,基于反制阻断参数创建反制应用镜像,以便于基于反制应用镜像对异常资产设备进行阻断。
在一个实施例中,在从异常网络数据中确定出五元组数据之后,还包括:将五元组数据中的源IP地址发送给目标采集装置,使目标采集装置将源IP地址对应的资产设备作为异常网络数据对应的异常资产设备。
具体实现中,由于变电站中存在多个资产设备,采集装置采集的网络行为数据中将包含多个源IP地址、目的IP地址,因此,态势感知主站在从异常网络数据中确定出五元组数据后,还可从五元组数据中确定出源IP地址,将源IP地址发送给目标采集装置,使得目标采集装置可将源IP对应的资产设备作为异常资产设备。
本实施例中,通过将五元组数据中的源IP地址发送给目标采集装置,使目标采集装置将源IP地址对应的资产设备作为异常资产设备,以便于进一步调用反制应用对该异常资产设备进行阻断。
在另一个实施例中,如图3所示,提供了一种基于应用容器引擎的反制阻断方法,本实施例以该方法应用于图1中的采集装置102为例进行说明,包括以下步骤:
步骤S302,接收态势感知主站下发的反制应用镜像;反制应用镜像为态势感知主站对变电站报文进行异常识别,在识别出变电站报文存在异常网络数据时创建;
步骤S304,响应于态势感知主站发送的镜像启动指令,基于反制应用镜像,在预设的应用容器引擎中构建反制应用;
步骤S306,当接收到态势感知主站下发的阻断命令时,调用反制应用,以使反制应用阻断异常网络数据对应的异常资产设备对其它设备的访问。
具体实现中,采集装置在成功接收反制应用镜像后,加载反制应用镜像,当接收到态势感知主站发送的镜像启动指令时,启动反制应用镜像,并启动socket(套接字)客户端,将socket客户端安装至反制应用镜像中,得到反制应用,并将反制应用封装在应用容器引擎(Docker)中。之后,在接收到态势感知主站下发的阻断指令后,采集装置可发送该阻断命令至反制应用,以调用反制应用,向异常资产设备发送大量虚假的应答包,从而阻断异常资产设备对其他资产设备的访问。
上述基于应用容器引擎的反制阻断方法中,网络安全态势感知主站实时分析网络中的网络安全数据,在发现网络中的攻击和威胁时,自动的创建启动阻断任务,并自动设定好阻断规则,将封装有阻断功能的ARP反制应用镜像自动下发到被攻击网络对应的采集装置上去,采集装置根据接收到了主站阻断命令进行执行,对攻击或被攻击的资产设备进行精准阻断,实现威胁的就地快速隔离。该方法可以自动封装相关阻断命令,用户只需触发阻断任务,操作简单,无需要求用户对服务器及网络相关技术较为熟悉,降低了使用门槛;通过阻断工具+开发的SOCKET(套接字)客户端组成一个符合业务场景的反制应用,并将反制应用提前部署封装在应用容器引擎(Docker)中,只要应用容器引擎(Docker)能运行,应用就能运行,很好的解决了部署和***兼容性的问题,从而克服了传统方法存在的对于不同操作***不同环境的服务器,相应的部署和操作行为也不同,较难统一的缺陷。通过手动或自动的对网络中的地址进行阻断,操作简单,灵活可控,可实现对网络中的地址进行自动阻断。
另外,相对于原有的反制阻断技术,本申请在部署完本反制工具后,会实时监视所有发送到部署设备上的网络流量,当识别到某台设备发送到本机的网络流量存在风险的时候,反制工具会自动标识该设备为危险设备,同时根据默认配置进行阻断命令的组装,自动调用反制工具对危险设备进行反制。并且记录下每次反制命令的操作日志,方便用户进行回溯查看。整个反制过程智能识别以及自动执行,无需用户进行操作干预,极大减轻了用户的监控反制的压力。
在一个实施例中,为了便于本领域技术人员理解本申请实施例,以下将结合图4-图8对本申请进行进一步说明。
参考图4,为采集装置与态势感知主站的交互示意图,采集装置接收态势感知主站通过控制通道8801下发的反制工具docker镜像(即ARP反制应用镜像),并加载反制工具docker镜像;当镜像接收成功时,返回成功报文给态势感知主站,当镜像接收失败时,返回失败报文给态势感知主站,使态势感知主站基于采集装置的返回结果进行提示。
参考图5,为采集装置与态势感知主站的另一个交互示意图,采集装置接收态势感知主站下发的镜像启动命令,在判断命令正常后,响应于该命令,启动反制工具docker镜像,连接采集装置的8811端口,进行反制工具docker镜像注册和保活流程。并且启动socket(套接字)客户端,在ARP反制应用镜像中安装socket客户端,得到ARP反制应用,ARP反制应用向采集装置发送注册报文,实现ARP反制应用注册,注册成功后,可每隔5秒向采集装置服务端发送心跳报文以维持长连接通道。
另外,ARP反制应用还可接收采集装置发送过来的阻断命令,并在接收到阻断命令后,根据命令参数组装arp欺骗报文向目标资产设备发送大量虚假arp包实现阻断。ARP反制应用还可定时(如定时5秒)通过8811通道返回阻断任务启动情况到采集装置。ARP反制应用可部署至docker容器中,反制工具镜像固定名可以为:kickthemout。
参考图6,为采集装置与态势感知主站的又一个交互示意图,采集装置接收态势感知主站通过控制通道下发的需要阻断的IP地址和反制阻断参数,在判断参数正确时,调用反制工具镜像根据需要阻断的IP地址和反制阻断参数启动ARP阻断攻击任务,当启动成功时,返回任务状态报文(任务标识,即任务ID)给主程序;当启动失败时,返回失败报文给主程序;并且可定时发送阻断任务的任务状态和阻断次数给主程序。另外,采集装置的主程序可将阻断任务的启动情况返回给态势感知主站,使态势感知主站根据任务启动结果进行对应的操作;还可将接收到的阻断信息通过数据通道8802返回给态势感知主站,使态势感知主站更新阻断时长和阻断次数;另外还可在判断参数不正确时,可返回失败报文给态势感知主站。
参考图7,为采集装置与态势感知主站的再一个交互示意图,当需要停止阻断任务时,采集装置接收态势感知主站通过控制通道下发的需要停止的任务ID,判断任务ID接收是否成功,并返回失败/成功报文给态势感知主站,使态势感知可以根据返回结果进行对应提示。并且,在判断任务ID接收成功后,通过8811的反查通道查询到对应的执行该任务ID的反制工具docker镜像,并可下发阻止命令,停止反制工具docker镜像对该任务ID的阻断操作,并接收任务停止情况,对应标记该任务ID的停止状态。
参考图8,为态势感知主站下发阻断任务至采集装置的流程示意图,操作流程如下:响应于对“ARP阻断”按钮的点击操作,弹出“阻断任务下发”弹框,接收针对“阻断任务下发”弹框的“是”的点击操作,检测本地PC机(Personal Computer,个人计算机)是否安装到认证管理工具。若否,则弹出提示框“需先安装Ukey(一种通过USB(通用串行总线接口)直接与计算机相连、具有密码验证功能、可靠高速的小型存储设备)认证工具”,当接收到“需先安装Ukey认证工具”的“是”的触发操作时,从服务器下载认证管理工具的安装包,并进行安装。若是,则弹出“密码认证”框,接收输入的密码,并在接收到针对“认证”按钮的触发操作时,判断PC机是否***Ukey,若否,则提示“请先***认证Ukey”;若是,则获取Ukey中的公钥,密码根据公钥进行加密,将加密后的数据和用户名发送至后台,以根据用户名查询私钥和密码,当根据私钥解密成功时,并判断密码正确时,下发阻断任务命令到采集装置。
在一个实施例中,态势感知主站的流程包括自动方式和主动方式两种,具体步骤如下:
a.自动方式下
(1)态势感知主站接收采集装置发送的变电站报文后,对变电站报文实时进行分析,分析包括恶意IP访问、恶意域名访问、可疑文件、病毒、木马等网络攻击行为;变电站报文包括网络行为数据和采集装置的标识信息;
(2)当分析出有网络攻击行为时,根据变电站报文中的采集装置的标识信息定位对应的目标采集装置,以及持续分析网络行为数据中的通信对五元组数据,确定出攻击资产设备和被攻击资产设备;
(3)自动创建ARP阻断任务,结合五元组数据自动配置反制阻断参数,创建ARP反制应用镜像,并将ARP反制应用镜像下发至目标采集装置;
(4)提交ARP阻断任务给管理人员,当接收到审批通过的消息时,将镜像启动指令发送给目标采集装置,使目标采集装置基于ARP反制应用镜像构建ARP反制应用,以阻断所述异常网络数据对应的异常资产设备对其它设备的访问。
b.手动方式下:
(1)通过主站的docker下发管理界面下发反制工具镜像(即ARP反制镜像);通过主站docker管理界面控制反制工具镜像启动和停止;
(2)反制工具镜像docker启动命令为:docker run-itd--net='host'kickthemout;创建阻断任务时,可在“平台管理=>主站管理”下添加一个菜单“阻断任务”菜单;“阻断任务”添加tab页“阻断任务列表”;
(3)在网络棋盘中设备节点级别添加右击菜单“反制工具”,点击反制工具弹出“反制工具”框;“反制工具”菜单只有“值班员”角色才有这个菜单权限;
(4)在“实时监视-资产发现”中的“已注册资产”和“未注册资产”新增按钮“ARP阻断”;添加在“网络扫描”按钮之后;在“实时监视-新资产发现”也要添加该按钮,该按钮只有“值班员”角色才有权限;
(5)“ARP阻断”点击条件包括:①只能必须选择一行数据,如果没有选择到数据提示“请勾选需要的资产”,不能选择多行数据;②选择的数据“发现方式”必须为“数据链路层”;如果选择的数据不是“数据链路层”数据,提示“ARP阻断只能作用数据链路层发现的资产”;③如果选择的数据为设备类型为“采集装置”,提示“ARP阻断不能对采集装置”;
“阻断任务列表”的表头字段包括:序号、多选框、状态、阻断源、反制MAC、被阻断IP、被阻断MAC、被阻断设备名称、站点、发包次数、装置名称、装置IP、安全分区、创建时间、最新时间、欺骗时长(秒)、创建人、操作(启动/停止、移除)。
其中,发包次数表示采集装置会定时通过报文通道(8802)上报任务执行情况,发包次数=每次收到报文中的packets字段累加;创建时间表示任务创建成功的时间;最新时间表在每次收到报文通道(8802)上报任务执行情况报文后更新该时间;欺骗时长(秒)=最新时间-创建时间;创建人表示任务创建用户名称;操作包括停止、启动和移除操作。
“阻断任务列表”的查询条件包括:
状态:下拉框;(--请选择--、执行中、停止)
阻断源:文本框(支持模糊查询)
反制MAC:文本框(支持模糊查询)
被阻断IP:文本框(支持模糊查询)
被阻断MAC:文本框(支持模糊查询)
被阻断设备名称:文本框(支持模糊查询)
站点:文本框(支持模糊查询)
安全分区:III区***只有III区一个选择框;II区***有--请选择--、I区、II区;
装置名称:文本框(支持模糊查询)
装置IP:文本框(支持模糊查询)
创建事件:开始时间至结束时间;
“阻断任务列表”的按钮包括:查询按钮、导出按钮、启动按钮、停止按钮和移除按钮,其中,查询按钮用于根据查询条件查询数据;导出按钮用于在有查询条件时,按照查询条件导出,否则全导出;启动按钮用于选择一条或者多条任务进行启动;停止按钮用于选择一条或者多条任务进行停止;移除按钮用于选择一条或者多条任务移除。其中,启动按钮、停止按钮和移除按钮均是只有“值班员”角色才有操作权限。其中,只有停止的任务才可执行移除操作。
(6)点击“下发命令”后,态势感知主站随机生成一个任务ID,任务ID唯一;
dstIp为选择资产的IP地址,如果存在子表的需要对子表中所有的二层IP地址都进行下发;多个子表IP地址需要分多次报文下发,但是任务ID都是一样的;
报文中的“dstMac”为IP地址所对应的MAC地址;
报文中的“networkName”需要根据“欺骗目的IP”反查资产获取到对应的网段ID,再根据网段ID到装置中反查“网口名”,如果网段存在子接口名称,那“networkName”下发的为子接口名称;如果根据“欺骗目的IP”反查不到网口名提示“欺骗目的IP无网口名”后不能正常下发;
如果“欺骗源IP地址”srcIP为目的IP地址对应的网段子网;
Packets为发送间隔,发送间隔默认为5秒;
srcMac为源mac地址,生成规则为当前时间,例如当前时间为2021-03-0917:30,那mac地址为20:21:03:09:17:30;
(7)主站接收到采集装置返回的成功报文后,把该任务添加到“阻断任务列表”,并提示“下发成功”;若接收到失败报文,提示“下发失败”。
(8)如果“阻断任务”下发成功,在“实时监视-资产发现”中的“已注册资产”和“未注册资产”和“实时监视-新资产发现”三个界面的列表“状态”列添加“阻断中”标记,显示方式为:在线(阻断中)或者离线(阻断中);如果阻断任务下发失败或者阻断任务已经停止的,“阻断中”标记不能展示;
(9)“导出”按钮,数据导出的时候“阻断中”标识对应的任务需要一起导出。
应该理解的是,虽然图2-8的流程图中的各个步骤按照箭头的指示依次显示,但是这些步骤并不是必然按照箭头指示的顺序依次执行。除非本文中有明确的说明,这些步骤的执行并没有严格的顺序限制,这些步骤可以以其它的顺序执行。而且,图2-8中的至少一部分步骤可以包括多个步骤或者多个阶段,这些步骤或者阶段并不必然是在同一时刻执行完成,而是可以在不同的时刻执行,这些步骤或者阶段的执行顺序也不必然是依次进行,而是可以与其它步骤或者其它步骤中的步骤或者阶段的至少一部分轮流或者交替地执行。
在一个实施例中,如图9所示,提供了一种基于应用容器引擎的反制阻断装置,包括:识别模块902、创建模块904和发送模块906,其中:
识别模块902,用于对采集装置发送的变电站报文进行异常识别;
创建模块904,用于当识别出变电站报文中存在异常网络数据时,创建反制应用镜像;
发送模块906,用于将反制应用镜像,下发至异常网络数据对应的目标采集装置,使目标采集装置基于反制应用镜像,在预设的应用容器引擎中构建反制应用;反制应用用于阻断异常网络数据对应的异常资产设备对其它设备的访问。
在一个实施例中,上述识别模块902,具体用于对采集装置发送的变电站报文进行解封装,得到网络行为数据;对网络行为数据进行异常识别。
在一个实施例中,变电站报文中包含采集装置的标识信息;上述装置还包括装置确定模块,用于对采集装置发送的变电站报文进行解封装,得到采集装置的标识信息;根据标识信息,确定异常网络数据对应的目标采集装置。
在一个实施例中,上述创建模块904,具体用于当识别出变电站报文中存在异常网络数据时,从异常网络数据中确定出五元组数据;五元组数据包括源IP地址、源端口、目的IP地址、目的端口和传输层协议;根据五元组数据配置对应的反制阻断参数;基于反制阻断参数,创建反制应用镜像。
在一个实施例中,上述装置还包括地址确定模块,用于从五元组数据中确定出源IP地址;将源IP地址发送给目标采集装置,使目标采集装置将源IP地址对应的资产设备作为异常网络数据对应的异常资产设备。
在一个实施例中,如图10所示,提供了另一种基于应用容器引擎的反制阻断装置,包括:接收模块1002、构建模块1004和阻断模块1006,其中:
接收模块1002,用于接收态势感知主站下发的反制应用镜像;反制应用镜像为态势感知主站对变电站报文进行异常识别,在识别出变电站报文存在异常网络数据时创建;
构建模块1004,用于响应于态势感知主站发送的镜像启动指令,基于反制应用镜像,在预设的应用容器引擎中构建反制应用;
阻断模块1006,用于当接收到态势感知主站下发的阻断命令时,调用反制应用,使反制应用阻断异常网络数据对应的异常资产设备对其它设备的访问。
需要说明的是,本申请的两个基于应用容器引擎的反制阻断装置分别与本申请的基于应用容器引擎的反制阻断方法一一对应,在上述基于应用容器引擎的反制阻断方法的实施例阐述的技术特征及其有益效果均适用于基于应用容器引擎的反制阻断装置的实施例中,具体内容可参见本申请方法实施例中的叙述,此处不再赘述,特此声明。此外,上述两个基于应用容器引擎的反制阻断装置中的各个模块可全部或部分通过软件、硬件及其组合来实现。上述各模块可以硬件形式内嵌于或独立于计算机设备中的处理器中,也可以以软件形式存储于计算机设备中的存储器中,以便于处理器调用执行以上各个模块对应的操作。
在一个实施例中,提供了一种计算机设备,该计算机设备可以是终端,其内部结构图可以如图11所示。该计算机设备包括通过***总线连接的处理器、存储器、通信接口、显示屏和输入装置。其中,该计算机设备的处理器用于提供计算和控制能力。该计算机设备的存储器包括非易失性存储介质、内存储器。该非易失性存储介质存储有操作***和计算机程序。该内存储器为非易失性存储介质中的操作***和计算机程序的运行提供环境。该计算机设备的通信接口用于与外部的终端进行有线或无线方式的通信,无线方式可通过WIFI、运营商网络、NFC(近场通信)或其他技术实现。该计算机程序被处理器执行时以实现一种基于应用容器引擎的反制阻断方法。该计算机设备的显示屏可以是液晶显示屏或者电子墨水显示屏,该计算机设备的输入装置可以是显示屏上覆盖的触摸层,也可以是计算机设备外壳上设置的按键、轨迹球或触控板,还可以是外接的键盘、触控板或鼠标等。
本领域技术人员可以理解,图11中示出的结构,仅仅是与本申请方案相关的部分结构的框图,并不构成对本申请方案所应用于其上的计算机设备的限定,具体的计算机设备可以包括比图中所示更多或更少的部件,或者组合某些部件,或者具有不同的部件布置。
在一个实施例中,还提供了一种计算机设备,包括存储器和处理器,存储器中存储有计算机程序,该处理器执行计算机程序时实现上述各方法实施例中的步骤。
在一个实施例中,提供了一种计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现上述各方法实施例中的步骤。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的计算机程序可存储于一非易失性计算机可读取存储介质中,该计算机程序在执行时,可包括如上述各方法的实施例的流程。其中,本申请所提供的各实施例中所使用的对存储器、存储、数据库或其它介质的任何引用,均可包括非易失性和易失性存储器中的至少一种。非易失性存储器可包括只读存储器(Read-Only Memory,ROM)、磁带、软盘、闪存或光存储器等。易失性存储器可包括随机存取存储器(Random Access Memory,RAM)或外部高速缓冲存储器。作为说明而非局限,RAM可以是多种形式,比如静态随机存取存储器(Static Random Access Memory,SRAM)或动态随机存取存储器(Dynamic Random Access Memory,DRAM)等。
以上实施例的各技术特征可以进行任意的组合,为使描述简洁,未对上述实施例中的各个技术特征所有可能的组合都进行描述,然而,只要这些技术特征的组合不存在矛盾,都应当认为是本说明书记载的范围。
以上所述实施例仅表达了本申请的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本申请构思的前提下,还可以做出若干变形和改进,这些都属于本申请的保护范围。因此,本申请专利的保护范围应以所附权利要求为准。
Claims (10)
1.一种基于应用容器引擎的反制阻断方法,其特征在于,所述方法包括:
对采集装置发送的变电站报文进行异常识别;
当识别出所述变电站报文中存在异常网络数据时,从所述异常网络数据中确定出五元组数据,根据所述五元组数据配置对应的反制阻断参数,基于所述反制阻断参数,创建反制应用镜像;
将所述反制应用镜像,下发至所述异常网络数据对应的目标采集装置;所述目标采集装置用于响应于态势感知主站发送的镜像启动指令,启动所述反制应用镜像,并启动套接字客户端,将所述套接字客户端安装至所述反制应用镜像中,得到反制应用,将所述反制应用封装在预设的应用容器引擎中;所述反制应用用于阻断所述异常网络数据对应的异常资产设备对其它设备的访问。
2.根据权利要求1所述的方法,其特征在于,所述对采集装置发送的变电站报文进行异常识别,包括:
对所述采集装置发送的变电站报文进行解封装,得到网络行为数据;
对所述网络行为数据进行异常识别。
3.根据权利要求1所述的方法,其特征在于,所述变电站报文中包含采集装置的标识信息;
在将所述反制应用镜像,下发至所述异常网络数据对应的目标采集装置之前,还包括:
对所述采集装置发送的变电站报文进行解封装,得到采集装置的标识信息;
根据所述标识信息,确定所述异常网络数据对应的目标采集装置。
4.根据权利要求1所述的方法,其特征在于,所述反制阻断参数包括阻断包数量和阻断时长。
5.根据权利要求1所述的方法,其特征在于,在从所述异常网络数据中确定出五元组数据之后,还包括:
从所述五元组数据中确定出源IP地址;
将所述源IP地址发送给所述目标采集装置,使所述目标采集装置将所述源IP地址对应的资产设备作为所述异常网络数据对应的异常资产设备。
6.一种基于应用容器引擎的反制阻断方法,其特征在于,所述方法包括:
接收态势感知主站下发的反制应用镜像;所述反制应用镜像为所述态势感知主站对变电站报文进行异常识别,在识别出所述变电站报文存在异常网络数据时,从所述异常网络数据中确定出五元组数据,根据所述五元组数据配置对应的反制阻断参数,基于所述反制阻断参数创建得到;
响应于所述态势感知主站发送的镜像启动指令,启动所述反制应用镜像,并启动套接字客户端,将所述套接字客户端安装至所述反制应用镜像中,得到反制应用,将所述反制应用封装在预设的应用容器引擎中;
当接收到所述态势感知主站下发的阻断命令时,调用所述反制应用,使所述反制应用阻断所述异常网络数据对应的异常资产设备对其它设备的访问。
7.一种基于应用容器引擎的反制阻断装置,其特征在于,所述装置包括:
识别模块,用于对采集装置发送的变电站报文进行异常识别;
创建模块,用于当识别出所述变电站报文中存在异常网络数据时,从所述异常网络数据中确定出五元组数据,根据所述五元组数据配置对应的反制阻断参数,基于所述反制阻断参数,创建反制应用镜像;
发送模块,用于将所述反制应用镜像,下发至所述异常网络数据对应的目标采集装置;所述目标采集装置用于响应于态势感知主站发送的镜像启动指令,启动所述反制应用镜像,并启动套接字客户端,将所述套接字客户端安装至所述反制应用镜像中,得到反制应用,将所述反制应用封装在预设的应用容器引擎中;所述反制应用用于阻断所述异常网络数据对应的异常资产设备对其它设备的访问。
8.一种基于应用容器引擎的反制阻断装置,其特征在于,所述装置包括:
接收模块,用于接收态势感知主站下发的反制应用镜像;所述反制应用镜像为所述态势感知主站对变电站报文进行异常识别,在识别出所述变电站报文存在异常网络数据时,从所述异常网络数据中确定出五元组数据,根据所述五元组数据配置对应的反制阻断参数,基于所述反制阻断参数创建得到;
构建模块,用于响应于所述态势感知主站发送的镜像启动指令,启动所述反制应用镜像,并启动套接字客户端,将所述套接字客户端安装至所述反制应用镜像中,得到反制应用,将所述反制应用封装在预设的应用容器引擎中;
阻断模块,用于当接收到所述态势感知主站下发的阻断命令时,调用所述反制应用,使所述反制应用阻断所述异常网络数据对应的异常资产设备对其它设备的访问。
9.一种计算机设备,包括存储器和处理器,所述存储器存储有计算机程序,其特征在于,所述处理器执行所述计算机程序时实现权利要求1至6中任一项所述方法的步骤。
10.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1至6中任一项所述的方法的步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111403452.0A CN114257413B (zh) | 2021-11-19 | 2021-11-19 | 基于应用容器引擎的反制阻断方法、装置和计算机设备 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111403452.0A CN114257413B (zh) | 2021-11-19 | 2021-11-19 | 基于应用容器引擎的反制阻断方法、装置和计算机设备 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN114257413A CN114257413A (zh) | 2022-03-29 |
CN114257413B true CN114257413B (zh) | 2023-10-03 |
Family
ID=80793212
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202111403452.0A Active CN114257413B (zh) | 2021-11-19 | 2021-11-19 | 基于应用容器引擎的反制阻断方法、装置和计算机设备 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN114257413B (zh) |
Families Citing this family (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114374547B (zh) * | 2021-12-28 | 2023-12-01 | 南方电网数字电网研究院有限公司 | 一种基于Docker的ARP反制阻断方法及*** |
CN115001736A (zh) * | 2022-04-18 | 2022-09-02 | 广西电网有限责任公司电力科学研究院 | 电力网络安全arp阻断反制***及方法 |
CN115021953B (zh) * | 2022-04-18 | 2024-05-24 | 广西电网有限责任公司电力科学研究院 | 一种网络安全监控装置 |
CN116880319B (zh) * | 2023-08-04 | 2024-04-09 | 浙江齐安信息科技有限公司 | 工业控制***中的上位机识别方法、***、终端及介质 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108958927A (zh) * | 2018-05-31 | 2018-12-07 | 康键信息技术(深圳)有限公司 | 容器应用的部署方法、装置、计算机设备和存储介质 |
CN109587156A (zh) * | 2018-12-17 | 2019-04-05 | 广州天懋信息***股份有限公司 | 异常网络访问连接识别与阻断方法、***、介质和设备 |
CN109587102A (zh) * | 2017-09-29 | 2019-04-05 | 北京上元信安技术有限公司 | 一种Web应用防火墙、防护***及访问方法 |
CN111741010A (zh) * | 2020-07-16 | 2020-10-02 | 北京升鑫网络科技有限公司 | 一种基于代理的Docker操作请求处理方法、装置及计算设备 |
Family Cites Families (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20090100518A1 (en) * | 2007-09-21 | 2009-04-16 | Kevin Overcash | System and method for detecting security defects in applications |
US11551544B2 (en) * | 2020-01-27 | 2023-01-10 | Inventus Holdings, Llc | Impeding unauthorized network infiltration at remote critical infrastructure facilities |
-
2021
- 2021-11-19 CN CN202111403452.0A patent/CN114257413B/zh active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109587102A (zh) * | 2017-09-29 | 2019-04-05 | 北京上元信安技术有限公司 | 一种Web应用防火墙、防护***及访问方法 |
CN108958927A (zh) * | 2018-05-31 | 2018-12-07 | 康键信息技术(深圳)有限公司 | 容器应用的部署方法、装置、计算机设备和存储介质 |
CN109587156A (zh) * | 2018-12-17 | 2019-04-05 | 广州天懋信息***股份有限公司 | 异常网络访问连接识别与阻断方法、***、介质和设备 |
CN111741010A (zh) * | 2020-07-16 | 2020-10-02 | 北京升鑫网络科技有限公司 | 一种基于代理的Docker操作请求处理方法、装置及计算设备 |
Also Published As
Publication number | Publication date |
---|---|
CN114257413A (zh) | 2022-03-29 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN114257413B (zh) | 基于应用容器引擎的反制阻断方法、装置和计算机设备 | |
EP3750279B1 (en) | Enhanced device updating | |
EP4027604A1 (en) | Security vulnerability defense method and device | |
CN102523218B (zh) | 一种网络安全防护方法、设备和*** | |
US20060288414A1 (en) | Method and system for preventing virus infection | |
US20090217353A1 (en) | Method, system and device for network access control supporting quarantine mode | |
US11681804B2 (en) | System and method for automatic generation of malware detection traps | |
CN112738071B (zh) | 一种攻击链拓扑的构建方法及装置 | |
US20110307936A1 (en) | Network analysis | |
CN108234400B (zh) | 一种攻击行为确定方法、装置及态势感知*** | |
CN114244570B (zh) | 终端非法外联监测方法、装置、计算机设备和存储介质 | |
CN109361692B (zh) | 基于识别资产类型及自发现漏洞的web防护方法 | |
CN106789982B (zh) | 一种应用于工业控制***中的安全防护方法和*** | |
JP6460112B2 (ja) | セキュリティシステム、セキュリティ方法およびプログラム | |
CN109241730B (zh) | 一种容器风险的防御方法、装置、设备及可读存储介质 | |
KR20020075319A (ko) | 지능형 보안 엔진과 이를 포함하는 지능형 통합 보안 시스템 | |
CN114760151B (zh) | 一种通过plc获取上位机权限的方法和装置 | |
US20220217172A1 (en) | System and method for protection of an ics network by an hmi server therein | |
CN113206852B (zh) | 一种安全防护方法、装置、设备及存储介质 | |
CN109218315A (zh) | 一种安全管理方法和安全管理装置 | |
CN114329444A (zh) | ***安全提升方法及装置 | |
CN114374547B (zh) | 一种基于Docker的ARP反制阻断方法及*** | |
CN112003853A (zh) | 一种支持ipv6的网络安全应急响应*** | |
Irmak et al. | Experimental analysis of the internal attacks on scada systems | |
CN116112295B (zh) | 一种外连类攻击结果研判方法及装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
TA01 | Transfer of patent application right | ||
TA01 | Transfer of patent application right |
Effective date of registration: 20230811 Address after: 518000 building 501, 502, 601, 602, building D, wisdom Plaza, Qiaoxiang Road, Gaofa community, Shahe street, Nanshan District, Shenzhen City, Guangdong Province Applicant after: China Southern Power Grid Digital Platform Technology (Guangdong) Co.,Ltd. Address before: Room 86, room 406, No.1, Yichuang street, Zhongxin Guangzhou Knowledge City, Huangpu District, Guangzhou City, Guangdong Province Applicant before: Southern Power Grid Digital Grid Research Institute Co.,Ltd. |
|
GR01 | Patent grant | ||
GR01 | Patent grant |