本发明专利技术涉及一种网络入侵阻断方法,用于一个网络系统中,所述网络系统包括与外部网络相连的路由器以及与所述路由器相连的网络终端,所述方法包括在一个与所述路由器相连的防护设备中进行以下步骤:从所述路由器抓取所述外部网络发送给所述网络终端的网络数据包;根据预定的检测规则分析抓取的网络数据包以判定是否触发网络入侵事件;以及若检测到网络入侵事件则分别向所述网络终端及所述网络数据包的来源终端发送中断连接请求以关闭建立的网络连接。上述的方法提升了网络系统的安全性。此外,由于入侵防护装置属于旁路部署,并不影响现有的网络架构,即使防护装置发生故障也不影响现有的网络流量。本发明专利技术还提供一种网络入侵检测装置及系统。
【技术实现步骤摘要】
本专利技术涉及网络安全技术,尤其涉及一种网络入侵阻断方法、装置及系统。
技术介绍
网络安全防护是一种网络安全技术,指致力于解决诸如如何有效进行介入控制,以及何如保证数据传输的安全性的技术手段,主要包括物理安全分析技术,网络结构安全分析技术,系统安全分析技术,管理安全分析技术,及其它的安全服务和安全机制策略。防火墙是多年来网络安全防御的基石,如今对于稳固的基础安全来说,仍然十分需要。如果没有防火墙屏蔽有害的流量,那么企业保护自己网络资产的工作就会成倍增加。然而防火墙的基本工作原理是由于流量过滤,也就是说防火墙一般是串联在网络架构中,如果防火墙崩溃也就会导致内部网络无法正常工作。
技术实现思路
有鉴于此,有必要提供一种网络入侵阻断方法、装置及系统,其可以避免网络入侵防护装置本身对正常网络传输的影响。一种网络入阻断方法,用于一个网络系统中,所述网络系统包括与外部网络相连的路由器、与所述路由器相连的网络终端及入侵防护装置,所述方法包括以下步骤:所述路由器将攻击终端发送的网络数据包同时发送给所述网络终端与所述入侵防护装置;所述入侵防护装置根据预定的检测规则分析路由器发送的网络数据包判定是否触发网络入侵事件,若检测到网络入侵事件则分别向所述网络终端及所述攻击终端发送中断连接请求以关闭所述网络终端与所述攻击终端之间已经建立的网络连接。一种网络入侵阻断方法,用于一个网络系统中,所述网络系统包括与外部网络相连的路由器以及与所述路由器相连的网络终端,所述方法包括在一个与所述路由器相连的防护设备中进行以下步骤:从所述路由器抓取所述外部网络发送给所述网络终端的网络数据包;根据预定的检测规则分析抓取的网络数据包以判定是否触发网络入侵事件;以及若检测到网络入侵事件则分别向所述网络终端及所述网络数据包的来源终端发送中断连接请求以关闭建立的网络连接。一种网络入侵阻断系统,包括:与外部网络相连的路由器、与所述路由器相连的网络终端及入侵防护装置。所述路由器用于将攻击终端发送的网络数据包同时发送给所述网络终端与所述入侵防护装置。所述入侵防护装置用于根据预定的检测规则分析路由器发送的网络数据包判定是否触发网络入侵事件,若检测到网络入侵事件则分别向所述网络终端及所述攻击终端发送中断连接请求以关闭所述网络终端与所述攻击终端之间已经建立的网络连接。一种网络入侵阻断装置,用于一个网络系统中,所述网络系统包括与外部网络相连的路由器以及与所述路由器相连的网络终端,所述装置包括:数据抓取模块,用于在一个与所述路由器相连的防护设备中从所述路由器抓取所述外部网络发送给所述网络终端的网络数据包;分析模块,用于根据预定的检测规则分析抓取的网络数据包以判定是否触发网络入侵事件;以及阻断模块,用于若检测到网络入侵事件则分别向所述网络终端及所述网络数据包的来源终端发送中断连接请求以关闭建立的网络连接。根据上述的方法、装置及系统,在检测到网络入侵事件后会模拟网络终端的身份发一份包括RST标志位的TCP数据包给攻击终端,并模拟攻击终端的身份发一份包括RST标志位的TCP数据包给网络终端。因此,攻击终端与被攻击的网络终端之间的网络连接会被中断,从而提升了网络系统的安全性。此外,由于入侵防护装置属于旁路部署,并不影响现有的网络架构,即使防护装置发生故障也不影响现有的网络流量。为让本专利技术的上述和其他目的、特征和优点能更明显易懂,下文特举较佳实施例,并配合所附图式,作详细说明如下。【附图说明】图1为一种网络入侵阻断系统的示意图。图2及图3为第一实施例提供的入侵防护装置的模块图。图4为第二实施例的网络入侵检测装置的示意图。图5为第三实施例的网络入侵检测装置的模块图。图6为本专利技术实施例的网络入侵阻断装置的示意图。图7为第四实施例的网络入侵阻断方法的流程图。图8为第五实施例的网络入侵阻断方法的流程图。图9为第六实施例的网络入侵阻断方法的流程图。【具体实施方式】为更进一步阐述本专利技术为实现预定专利技术目的所采取的技术手段及功效,以下结合附图及较佳实施例,对本专利技术进行进一步详细说明。应当理解,此处所描述的具体实施例仅用以解释本专利技术,并不用于限定本专利技术。本专利技术实施例提供一种网络入侵阻断方法,其可用于网络入侵阻断系统中。参阅图1,其为一个网络入侵阻断系统的示意图。网络入侵阻断系统100包括路由器10、防火墙11、交换机12、终端计算机13、服务器14以及入侵防护装置15。路由器10直接与外部网络(如互联网)相连,防火墙11设置于路由器10与交换机12之间,交换机12直接负责提供终端计算机13与服务器14的网络接入。可以理解,交换机12只是网络中继设备,而终端计算机13与服务器14为网络终端。可以理解,路由器10又称为网关设备,是用于连接多个逻辑上分开的网络,例如互联网与内部局域网(如图1所示的网络系统)。所有发给内网的数据都会经过路由器10转发。本实施例的系统中,路由器10除了将来自外部网络的数据包发送至目的终端外,还将所述数据包发送一份给入侵防护装置15。因此,当所述的来自外部网络的数据包是由攻击终端发送时,路由器10会同时将网络数据包发送给目的网络终端与入侵防护装置15。入侵防护装置15根据预定的检测规则分析路由器发送的网络数据包判定是否触发网络入侵事件,若检测到网络入侵事件则分别向所述网络终端及所述攻击终端发送中断连接请求以关闭所述网络终端与所述攻击终端之间已经建立的网络连接。例如,入侵防护装置15可构造包括RST标志位的第一 TCP数据包,所述第一 TCP数据包的来源IP地址以及目的IP地址分别为所述网络终端的IP地址与所述攻击终端的IP地址,并将所述第一 TCP数据包发送至所述攻击终端。入侵防护装置15还可构造包括RST标志位的第二 TCP数据包,所述第二 TCP数据包的来源IP地址以及目的IP地址分别为所述攻击终端的IP地址与所述网络终端的IP地址,并将所述第二 TCP数据包发送给所述网络终端。此外,若检测到网络入侵事件则入侵防护装置15还将所述攻击终端的IP地址提交给所述防火墙11以使所述防火墙11将所述来源IP地址加入封禁列表里。进一步地,若检测到网络入侵事件入侵防护装置15还向预设的联系方式发送一条报警消息。入侵防护装置15与防火墙11相连,其可监视所以流经防火墙11的数据,无论是从交换机12上行至路由器10的数据,还是从路由器10下行至交换机12的数据。按照图1所示架构,入侵防护装置15属于旁路部署式架构,也就是说入侵防护装置15本身并不改变现有的网络架构,只是读取并监视网络上传输的数据。具体地,入侵防护装置15可以包括一台或者多台计算机。在一个实例中,入侵防护装置15包括一台计算机。参阅图2,入侵防护装置15包括存储器102、处理器104、存储控制器106、外设接口 108、以及网络模块110。可以理解,图2所示的结构仅为示意,其并不对入侵防护装置15的结构造成限定。例如,入侵防护装置15还可包括比图2中所示更多或者更少的组件,或者具有与图2所示不同的配置。存储器102可用于存储软件程序以及模块,如本专利技术实施例中的即使通讯会话的方法及装置对应的程序指令/模块,处理器104通过运行存储在存储器102内的软件程序以及模块,从而执行各种功能应用以及数据处理,即实现本文档来自技高网...
【技术保护点】
一种网络入阻断方法,用于一个网络系统中,所述网络系统包括与外部网络相连的路由器、与所述路由器相连的网络终端及入侵防护装置,其特征在于,所述方法包括以下步骤:所述路由器将攻击终端发送的网络数据包同时发送给所述网络终端与所述入侵防护装置;所述入侵防护装置根据预定的检测规则分析路由器发送的网络数据包判定是否触发网络入侵事件,若检测到网络入侵事件则分别向所述网络终端及所述攻击终端发送中断连接请求以关闭所述网络终端与所述攻击终端之间已经建立的网络连接。
【技术特征摘要】
【专利技术属性】
技术研发人员:邹鹏,罗喜军,
申请(专利权)人:腾讯科技深圳有限公司,
类型:发明
国别省市:广东;44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。