CN1421771A - 一种有效防御未知攻击手法的网络入侵安全防御*** - Google Patents
一种有效防御未知攻击手法的网络入侵安全防御*** Download PDFInfo
- Publication number
- CN1421771A CN1421771A CN 01129118 CN01129118A CN1421771A CN 1421771 A CN1421771 A CN 1421771A CN 01129118 CN01129118 CN 01129118 CN 01129118 A CN01129118 A CN 01129118A CN 1421771 A CN1421771 A CN 1421771A
- Authority
- CN
- China
- Prior art keywords
- data
- port
- client
- program
- invasion
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Computer And Data Communications (AREA)
Abstract
传统的防护***采用漏洞库里的数据与来自客户端的请求进行比较的方法,来判断请求的合法性,因而不能有效地防御未知漏洞的入侵。本发明采用多重防护手段,对已知漏洞攻击手段及未知漏洞攻击手段进行有效防御。它由入侵端口扫描察觉、伪装***服务、WEB入侵防御应用防火墙、传统包过滤防火墙等子***组成,特征是***中还有装有漏洞库和入侵特性库的数据检入、检出判断来自WEB请求合法性的过滤程序子***。该过滤程序子***不但能过滤已知漏洞攻击,还能有效地过滤掉未知漏洞的攻击,这些功能模块经过简单地配置,安装到WEB服务器上,就可起到全面的***保护作用。
Description
技术领域:
本发明涉及一种网络安全的保护方法,确切说是涉及一种通过将入侵检测和防火墙技术有效结合,从而起到察觉入侵扫描、伪装***服务、防御黑客入侵的功效。特别是在对黑客入侵的检测方法上,创造了“通过过程和结果来判断客户端的请求是否是一种入侵行为”的程序判断方法,不但能有效的防止入侵者利用已知的攻击手段攻击***,并能防御入侵者利用未知的攻击手段对***进行攻击的一种安全保护方法。
背景技术:
近年来计算机网络的发展非常迅速,国内上网的用户急聚增加,截止到目前,国内网上用户已达2000万,网络服务的类型也日趋多样化。随着这种繁荣的发展,网络的安全保护问题也愈加突出。网上黑客对网络服务的攻击和破坏虽然是多种多样变化莫测的,但是他们所采用常见的攻击方法主要有:①进行端口扫描,通过端口扫描侦测***开放了哪些服务,是哪种操作***、存在什么已知漏洞等,通过信息收集为入侵攻击作准备。②WEB服务是在防火墙保护下最薄弱的环节,入侵者通过端口扫描未获得多少信息时,往往通过浏览器对WEB服务进行攻击,可轻易避开传统防火墙的阻拦。③直接寻找安全漏洞进行攻击。对于第一种情况,端口扫描的入侵行为,可以采用建立端口监听、对于被扫描连接的端口即时关闭、并建立新端口、再被扫描、再关闭、再建新端口,如此循环,通过改变扫描端口来发现入侵扫描行为,堵塞端口入侵,并通过端口监听日信息,查找追踪入侵者。对于第二种情况,对WEB服务的攻击,可以采用伪装服务的网络安全防护技术,即通过建立端口监听及端口伪装服务、误导入侵请求,使每一次客户端的连接请求,都由端口关闭而遭受失败。对于第三种情况,目前在用的网络安全防护产品,大多采用建立漏洞库并通过把WEB请求与漏洞库的内容和数据做比较,来判断***是否正在受到入侵者的攻击或病毒的攻击。虽然现在已经形成了一些过滤、判断数据请求的通用规则,但很显然,这是一种非常被动的做法,因为攻击者在不断的研究新的攻击手法,而且其人数大大超过安全从业人员,所以通过收集、整理已知的漏洞来对付入侵者显然是很无力的。
发明内容:
本发明的目的在于:为用户提供一种不但能防止入侵者利用已知攻击手段攻击***,还能有效地防御入侵者用未知的攻击手段攻击***保护网络安全的防御***。
本发明的目的是通过下述技术方案来实现的:如果能最有效的提取非法入侵行为的特征,并建立特性库,最有效地提取漏洞、缺陷的基本特征并建立特性库,就能有效防御各种未知的非法入侵,并能发现网络的缺陷然后加以完善,同时也可以有效的避免入侵者利用***的漏洞、网络缺陷编制网络病毒对***攻击所造成的侵害。通过收集、整理了96年至今3000多条出现过的安全漏洞,对这些漏洞发生的原因,造成的结果做了深入的研究和分析,同时对大量的入侵行为进行分析,对网络的漏洞及缺陷进行了大量的分析,并提取它们的共同特性,独特设计了一种OTR(Origin TOResult)分析测算方法,对这些已经出现过的漏洞进行分析和研究,建立了漏洞攻击、非法入侵特性库,然后对其进行了多种测试,发现使用了漏洞特性库后,面对来自WEB的请求,可以不再需要通过漏洞库来判断它的合法性,可以根据特性库判断请求的特性,进行有效地过滤或处理(从外至内保护***的安全性)。同时,当一个请求在经过检查进入***并经过响应后,会再次利用特性库对它的合法性进行检测(从内至外保护***的安全)。在上述工作基础上,创造了一种能有效防御未知攻击手法的网络入侵安全防御***。该***由入侵端口扫描察觉、伪装***服务、WEB入侵防御应用防火墙、传统包过滤防火墙等子***组成,其特征在于:该***还包括装有漏洞库和入侵特性库的数据检入及检出、判断来自WEB请求合法性的过滤程序子***。该过滤程序子***,由数据检入及数据检出程序组成;数据检入程序,依序由建立端口监听、接受WEB请求、漏洞库比较、特性库比较及WEB服务器正常处理各子程序组成,还包括有:未通过漏洞库检测的和未通过特性库检测的,转入发送错误信息提示及关闭客户端连接的子程序,数据检出程序,依序由WEB服务器正常处理、特性库比较、漏洞库比较、将数据发送客户端、关闭客户端连接各子程序组成,还包括有:未通过漏洞库检测的和未通过特性库检测的,转入发送错误信息提示及关闭客户端连接的子程序。本发明中的入侵端口扫描察觉子***,依序由端口监听、接受数据请求、关闭监听端口程序循环执行而成,并在监听端口设置记录扫描信息程序,恢复初始监听端程序。本发明中的伪装***服务子***,依序由端口监听、接收客户端连接请求、输出伪装的欢迎信息、接收用户验证请求、输出其它伪装信息、输出失败信息、关闭和客户端的连接、以及连接监听端口上的日 记录各程序组成。
本发明的优点在于:①由于本***中设置有入侵端口扫描察觉子***,可以即时判断端口是否存在入侵扫描,改换与关闭被扫描的端口,可防止黑客获取信息及阻断端口入侵;②设置伪装***服务子***,可以误导入侵者的攻击目标,有效地保护防火墙后面薄弱的WEB服务;③设置包括过滤防火墙,可以有效地过滤掉来自局域网外的访问;④设置的WEB入侵防御应用防火墙,对客户端发送的请求被该防火墙截获并对其进行检测,检测完成后发送错误信息或直接将客户端的请求进行转发;该防火墙得到响应后,再次对响应的数据进行检测,完成后发送错误信息或将响应信息直接发送给客户端,保证了网络安全;⑤由于设置了包括有漏洞库与特性库的数据检入与检出过滤程序,对客户端的请求首先进行依据漏洞库的常规检测,再进行依据特性库的检测,检测完成后将请求转发;当得到响应后,再次对响应的数据进行依据结果的逆向检测,通过这个流程可以最终判断客户端的请求是否合法。本***具有配置简单、综合防御性能强、可以有效地防御黑客采用未知攻击手法对网络***攻击等突出优点。
附图说明
图1为本发明***结构功能原理示意图
图2为数据检入、检出、判断来自WEB请求合法性过滤程序子***图
图3为入侵端口扫描察觉子***图
图4为伪装***服务子***图
具体实施方式:
本网络入侵安全防御***,根据入侵者的攻击步骤,设置重重关卡,从入侵的第一步开始对***进行防御,包括入侵端口扫描察觉、伪装***服务、传统包过滤防火墙、WEB入侵防御模块、漏洞库模块、入侵特性库模块、通过有机结合这些功能模块,经简单的配置安装到WEB服务器上,就可以起到全面的***保护作用。安装并运行后将开始监视***的安全状况,如果发现异常将及时阻断攻击,并发送电子邮件通知***管理员。本发明中,具有创造性的数据检入及检出判断来自WEB请求合法性的过滤程序子***,由数据检入和数据检出程序组成,数据检入的流程为:
1)利用serverSocket技术在本机建立端口监听。
部分代码:ServerSocket ss=new ServerSocket(80)
2)接受HTTP请求。
部分代码:Socket s=ss.accept ()
3)利用漏洞库比较HTTP请求中的URI。
说明:将HTTP请求中的URI和漏洞库中存放的数百条可能对服务器造成危害的URI进行比较,如果匹配则发送错误信息,否则进入下环节。
4)利用特性库比较HTTP请求中的URI。
说明:分析HTTP请求中的URI会产生的效果,并将分析后的结果和特性库中的数据进行比较(如:是否越界访问),判断是否存在匹配,如果匹配则发送错误信息,否则进入下一环节。
5)将HTTP请求转发给WEB服务器。
说明:将HTTP请求原封不动的发送给WEB服务器。数据检出流程为:
1)接收服务器处理完HTTP请求后信息。
部分代码:DataInputStream dis=newDataInputStream(s.getInputStream ());
2)利用特性库进行比较。
说明:分析服务器端返回的数据,并将分析后的结果和特性库中的数据进行比较(如:是否包含程序源代码),判断是否存在匹配,如果匹配则发送错误信息,否则进入下一环节。
3)将服务器处理完的数据转发给客户端。
说明:将服务器端返回的数据原封不动的发送给客户端。
4)关闭客户端连接。
部分代码:s.close ()
Claims (3)
1、一种有效防御未知攻击手法的网络入侵安全防御***,由入侵端口扫描察觉、伪装***服务、WEB入侵防御应用防火墙、传统包过滤防火墙等子***组成,其特征在于:该***还包括装有漏洞库和入侵特性库的数据检入及检出、判断来自WEB请求合法性的过滤程序子***;该过滤程序子***,由数据检入及数据检出程序组成;数据检入程序依序由建立端口监听、接受WEB请求、漏洞库比较、特性库比较及WEB服务器正常处理各子程序组成,还包括有:未通过漏洞库检测的和未通过特性库检测的转入发送错误信息提示及关闭客户端连接的子程序;数据检出程序依序由WEB服务器正常处理、特性库比较、漏洞库比较、将数据发送客户端、关闭客户端连接各子程序组成,还包括有:未通过漏洞库检测的和未通过特性库检测的转入发送错误信息提示及关闭客户端连接的子程序。
2、按照权利要求1所述的一种有效防御未知攻击手法的网络入侵安全防御***,其特征在于:入侵端口扫描察觉子***依序由端口监听、接受数据请求、关闭监听端口程序循环执行而成,并在监听端口设置记录扫描信息程序、恢复初始监听端程序。
3、按照权利要求1所述的一种有效防御未知攻击手法的网络入侵安全防御***,其特征在于:伪装***服务子***依序由端口监听、接收客户端连接请求、输出伪装的欢迎信息、接收用户验证请求、输出其它伪装信息、输出失败信息、关闭和客户端的连接、以及连接监听端口上的日记录各程序组成。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN 01129118 CN1421771A (zh) | 2001-11-27 | 2001-11-27 | 一种有效防御未知攻击手法的网络入侵安全防御*** |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN 01129118 CN1421771A (zh) | 2001-11-27 | 2001-11-27 | 一种有效防御未知攻击手法的网络入侵安全防御*** |
Publications (1)
Publication Number | Publication Date |
---|---|
CN1421771A true CN1421771A (zh) | 2003-06-04 |
Family
ID=4668913
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN 01129118 Pending CN1421771A (zh) | 2001-11-27 | 2001-11-27 | 一种有效防御未知攻击手法的网络入侵安全防御*** |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN1421771A (zh) |
Cited By (16)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1319327C (zh) * | 2004-04-30 | 2007-05-30 | 北京铱星世纪数字应用开发有限责任公司 | 服务器安全运行保障方法 |
CN100414901C (zh) * | 2003-12-26 | 2008-08-27 | 上海艾泰科技有限公司 | 在nat环境下解决端口扫描和拒绝攻击的方法 |
US7487368B2 (en) | 2003-07-25 | 2009-02-03 | Fuji Xerox Co., Ltd. | Illegal communication detector, illegal communication detector control method, and storage medium storing program for illegal communication detector control |
WO2010015145A1 (zh) * | 2008-08-05 | 2010-02-11 | 北京金山软件有限公司 | 过滤以及监控程序行为的方法和*** |
CN101272254B (zh) * | 2008-05-09 | 2010-09-29 | 华为技术有限公司 | 生成攻击特征库的方法、防范网络攻击的方法以及装置 |
CN1612135B (zh) * | 2003-10-30 | 2012-07-04 | 北京神州绿盟信息安全科技股份有限公司 | 一种基于训练分类的协议识别方法 |
WO2012097678A1 (zh) * | 2011-01-17 | 2012-07-26 | 北京神州绿盟信息安全科技股份有限公司 | 一种漏洞检测设备和方法 |
CN103281300A (zh) * | 2013-04-26 | 2013-09-04 | 深信服网络科技(深圳)有限公司 | 远程文件包含漏洞的识别方法及装置 |
CN104217157A (zh) * | 2014-07-31 | 2014-12-17 | 珠海市君天电子科技有限公司 | 一种漏洞防利用方法及*** |
CN104519068A (zh) * | 2014-12-26 | 2015-04-15 | 赵卫伟 | 一种基于操作***指纹跳变的移动目标防护方法 |
CN104967609A (zh) * | 2015-04-28 | 2015-10-07 | 腾讯科技(深圳)有限公司 | 内网开发服务器访问方法、装置及*** |
CN105306445A (zh) * | 2008-05-22 | 2016-02-03 | 亿贝韩国有限公司 | 用于检测服务器的漏洞的***和方法 |
CN108875368A (zh) * | 2017-05-10 | 2018-11-23 | 北京金山云网络技术有限公司 | 一种安全检测方法、装置及*** |
CN109951368A (zh) * | 2019-05-07 | 2019-06-28 | 百度在线网络技术(北京)有限公司 | 控制器局域网的防扫描方法、装置、设备及存储介质 |
CN110472418A (zh) * | 2019-07-15 | 2019-11-19 | 中国平安人寿保险股份有限公司 | 一种安全漏洞防护方法及***、相关设备 |
CN112329015A (zh) * | 2020-12-23 | 2021-02-05 | 黑龙江省网络空间研究中心 | 一种基于代码注入的隐私信息保护***及方法 |
-
2001
- 2001-11-27 CN CN 01129118 patent/CN1421771A/zh active Pending
Cited By (23)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7487368B2 (en) | 2003-07-25 | 2009-02-03 | Fuji Xerox Co., Ltd. | Illegal communication detector, illegal communication detector control method, and storage medium storing program for illegal communication detector control |
CN1612135B (zh) * | 2003-10-30 | 2012-07-04 | 北京神州绿盟信息安全科技股份有限公司 | 一种基于训练分类的协议识别方法 |
CN100414901C (zh) * | 2003-12-26 | 2008-08-27 | 上海艾泰科技有限公司 | 在nat环境下解决端口扫描和拒绝攻击的方法 |
CN1319327C (zh) * | 2004-04-30 | 2007-05-30 | 北京铱星世纪数字应用开发有限责任公司 | 服务器安全运行保障方法 |
CN101272254B (zh) * | 2008-05-09 | 2010-09-29 | 华为技术有限公司 | 生成攻击特征库的方法、防范网络攻击的方法以及装置 |
CN105306445A (zh) * | 2008-05-22 | 2016-02-03 | 亿贝韩国有限公司 | 用于检测服务器的漏洞的***和方法 |
CN105306445B (zh) * | 2008-05-22 | 2018-11-02 | 亿贝韩国有限公司 | 用于检测服务器的漏洞的***和方法 |
CN101645125B (zh) * | 2008-08-05 | 2011-07-20 | 珠海金山软件有限公司 | 过滤以及监控程序的行为的方法 |
WO2010015145A1 (zh) * | 2008-08-05 | 2010-02-11 | 北京金山软件有限公司 | 过滤以及监控程序行为的方法和*** |
WO2012097678A1 (zh) * | 2011-01-17 | 2012-07-26 | 北京神州绿盟信息安全科技股份有限公司 | 一种漏洞检测设备和方法 |
CN103281300A (zh) * | 2013-04-26 | 2013-09-04 | 深信服网络科技(深圳)有限公司 | 远程文件包含漏洞的识别方法及装置 |
CN103281300B (zh) * | 2013-04-26 | 2016-08-10 | 深信服网络科技(深圳)有限公司 | 远程文件包含漏洞的识别方法及装置 |
CN104217157A (zh) * | 2014-07-31 | 2014-12-17 | 珠海市君天电子科技有限公司 | 一种漏洞防利用方法及*** |
CN104217157B (zh) * | 2014-07-31 | 2017-08-04 | 珠海市君天电子科技有限公司 | 一种漏洞防利用方法及*** |
CN104519068A (zh) * | 2014-12-26 | 2015-04-15 | 赵卫伟 | 一种基于操作***指纹跳变的移动目标防护方法 |
CN104967609A (zh) * | 2015-04-28 | 2015-10-07 | 腾讯科技(深圳)有限公司 | 内网开发服务器访问方法、装置及*** |
CN104967609B (zh) * | 2015-04-28 | 2018-11-06 | 腾讯科技(深圳)有限公司 | 内网开发服务器访问方法、装置及*** |
CN108875368A (zh) * | 2017-05-10 | 2018-11-23 | 北京金山云网络技术有限公司 | 一种安全检测方法、装置及*** |
CN109951368A (zh) * | 2019-05-07 | 2019-06-28 | 百度在线网络技术(北京)有限公司 | 控制器局域网的防扫描方法、装置、设备及存储介质 |
CN109951368B (zh) * | 2019-05-07 | 2021-07-30 | 百度在线网络技术(北京)有限公司 | 控制器局域网的防扫描方法、装置、设备及存储介质 |
CN110472418A (zh) * | 2019-07-15 | 2019-11-19 | 中国平安人寿保险股份有限公司 | 一种安全漏洞防护方法及***、相关设备 |
CN110472418B (zh) * | 2019-07-15 | 2023-08-29 | 中国平安人寿保险股份有限公司 | 一种安全漏洞防护方法及***、相关设备 |
CN112329015A (zh) * | 2020-12-23 | 2021-02-05 | 黑龙江省网络空间研究中心 | 一种基于代码注入的隐私信息保护***及方法 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN1421771A (zh) | 一种有效防御未知攻击手法的网络入侵安全防御*** | |
CA2533853C (en) | Method and system for detecting unauthorised use of a communication network | |
US7197762B2 (en) | Method, computer readable medium, and node for a three-layered intrusion prevention system for detecting network exploits | |
JP5248612B2 (ja) | 侵入検知の方法およびシステム | |
CN101087196B (zh) | 多层次蜜网数据传输方法及*** | |
US7603709B2 (en) | Method and apparatus for predicting and preventing attacks in communications networks | |
US20030101353A1 (en) | Method, computer-readable medium, and node for detecting exploits based on an inbound signature of the exploit and an outbound signature in response thereto | |
US20030084319A1 (en) | Node, method and computer readable medium for inserting an intrusion prevention system into a network stack | |
US20030101260A1 (en) | Method, computer program element and system for processing alarms triggered by a monitoring system | |
Zhang et al. | Multi-agent based intrusion detection architecture | |
WO2000054458A1 (en) | Intrusion detection system | |
CN113422779B (zh) | 一种基于集中管控的积极的安全防御的*** | |
Hegazy et al. | A multi-agent based system for intrusion detection | |
KR20220081145A (ko) | Ai 기반 이상징후 침입 탐지 및 대응 시스템 | |
Kazienko et al. | Intrusion Detection Systems (IDS) Part I-(network intrusions; attack symptoms; IDS tasks; and IDS architecture) | |
Bhati et al. | A comprehensive study of intrusion detection and prevention systems | |
Kazienko et al. | Intrusion detection systems (IDS) Part 2-Classification; methods; techniques | |
KR20070072835A (ko) | 실시간 웹로그 수집을 통한 웹해킹 대응 방법 | |
CN111885020A (zh) | 一种分布式架构的网络攻击行为实时捕获与监控*** | |
Vokorokos et al. | Network security on the intrusion detection system level | |
Li-Juan | Honeypot-based defense system research and design | |
CN1655526A (zh) | 计算机网络应急响应之安全策略生成*** | |
Maulana et al. | Analysis of the Demilitarized Zone Implementation in Java Madura Bali Electrical Systems to Increase the Level of IT/OT Cyber Security With the Dual DMZ Firewall Architecture Method | |
Agrawal et al. | Proposed multi-layers intrusion detection system (MLIDS) model | |
Azmi | The Implementation of Dynamic forensics in Intrusion Detection System |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C02 | Deemed withdrawal of patent application after publication (patent law 2001) | ||
WD01 | Invention patent application deemed withdrawn after publication |