防止局域网被扫描的系统及方法技术方案

本发明专利技术公开了一种防止局域网被扫描的系统及方法，所述系统包括采集模块、过滤模块、统计模块、检测模块和封锁模块；采集模块用于实时采集IDS日志；过滤模块用于获取IDS日志并过滤得到扫描类型的IDS日志；统计模块用于根据IP地址和时间戳对扫描事件的数量进行统计，并将统计结果发送至检测模块；检测模块用于检测各个IP地址对应的扫描事件的数量是否大于预设阈值；封锁模块用于封锁相应的IP地址对应的交换机接口。与现有技术相比，本发明专利技术能够实时检测局域网是否被扫描，并在存在高危扫描事件的情况下及时封锁相应的交换机接口，有效防止局域网被扫描，同时还可以调整检测局域网是否被扫描的强度，应用范围广泛。

【技术实现步骤摘要】

本专利技术涉及网络安全领域。特别涉及一种防止局域网被扫描的系统及方法。
技术介绍
随着互联网的发展，局域网也叫内网的安全越来越受到企业的重视，而扫描往往是内网渗透的第一步，但是传统的防护无法从海量的IDS(IntrusionDetection Systems，入侵检测系统)日志中提取真正高危险的扫描用户并进一步地对其进行处理，进而无法实现保护内网。
技术实现思路
本专利技术要解决的技术问题是为了克服现有技术中无法从海量的IDS日志中提取高危扫描用户并对其进行处理，进而无法保护内网的缺陷，提供一种防止局域网被扫描的系统及方法。本专利技术是通过下述技术方案来解决上述技术问题的：一种防止局域网被扫描的系统，其特点在于，包括一采集模块、一过滤模块、一统计模块、一检测模块以及一封锁模块；所述采集模块用于实时采集IDS日志，并将所述IDS日志发送至一消息队列；所述过滤模块用于从所述消息队列中获取IDS日志，并对所述IDS日志进行过滤得到所有的扫描类型的IDS日志，以及将所述扫描类型的IDS日志分配至所述统计模块，其中，每个扫描类型的IDS日志均包括至少一个扫描事件，每个扫描事件均包括一IP地址和一本文档来自技高网...

【技术保护点】
一种防止局域网被扫描的系统，其特征在于，包括一采集模块、一过滤模块、一统计模块、一检测模块以及一封锁模块；所述采集模块用于实时采集IDS日志，并将所述IDS日志发送至一消息队列；所述过滤模块用于从所述消息队列中获取IDS日志，并对所述IDS日志进行过滤得到所有的扫描类型的IDS日志，以及将所述扫描类型的IDS日志分配至所述统计模块，其中，每个扫描类型的IDS日志均包括至少一个扫描事件，每个扫描事件均包括一IP地址和一时间戳；所述统计模块用于根据IP地址和时间戳对所述扫描类型的IDS日志中扫描事件的数量进行统计，并将统计结果发送至所述检测模块；所述检测模块用于检测时间戳范围在(当前时间戳‑一第一...

【技术特征摘要】
1.一种防止局域网被扫描的系统，其特征在于，包括一采集模块、一过滤模块、一统计模块、一检测模块以及一封锁模块；所述采集模块用于实时采集IDS日志，并将所述IDS日志发送至一消息队列；所述过滤模块用于从所述消息队列中获取IDS日志，并对所述IDS日志进行过滤得到所有的扫描类型的IDS日志，以及将所述扫描类型的IDS日志分配至所述统计模块，其中，每个扫描类型的IDS日志均包括至少一个扫描事件，每个扫描事件均包括一IP地址和一时间戳；所述统计模块用于根据IP地址和时间戳对所述扫描类型的IDS日志中扫描事件的数量进行统计，并将统计结果发送至所述检测模块；所述检测模块用于检测时间戳范围在(当前时间戳-一第一预设时间段)～当前时间戳内各个IP地址对应的扫描事件的数量是否大于一预设阈值，并在是的情况下调用所述封锁模块；所述封锁模块用于封锁相应的IP地址对应的交换机接口。2.如权利要求1所述的防止局域网被扫描的系统，其特征在于，所述过滤模块用于根据IDS日志的ID号对所述消息队列中的IDS日志进行过滤，得到扫描类型的IDS日志。3.如权利要求1或2所述的防止局域网被扫描的系统，其特征在于，所述过滤模块包括至少一个过滤节点；每个过滤节点分别用于从所述消息队列中获取一预设数量的IDS日志，并对获取的IDS日志进行过滤得到扫描类型的IDS日志，以及将扫描类型的IDS日志分配至所述统计模块。4.如权利要求3所述的防止局域网被扫描的系统，其特征在于，所述统计模块包括预设单元、第一判断单元、计数单元以及更新单元；所述预设单元用于分别将各IP地址对应的最小时间戳设为各IP地址对应的初始时间戳；所述第一判断单元用于依次判断所述扫描类型的IDS日志中各扫描事
\t件的时间戳与当前待判断的扫描事件的IP地址对应的初始时间戳的差值是否小于等于一第二预设时间段，若是，则调用所述计数单元，若否，则调用所述更新单元，直至判断完所有的扫描事件；所述计数单元用于根据所述IP地址和所述初始时间戳对扫描事件的数量进行统计；所述更新单元用于将所述当前待判断的扫描事件的IP地址对应的初始时间戳更新为所述当前待判断的扫描事件的时间戳。5.如权利要求4所述的防止局域网被扫描的系统，其特征在于，所述统计模块包括N级统计节点，每级统计节点均包括至少一个统计节点，每个统计节点均包括一统计单元、一第二判断单元、一赋值单元以及一发送单元，所述统计单元包括所述预设单元、所述第一判断单元、所述计数单元以及所述更新单元；每个过滤节点分别用于将过滤得到的扫描类型的IDS日志平均分配至所述统计模块中的第M级统计节点，M的初始值为1；所述第M级统计节点的统计单元用于根据IP地址和时间戳对所述扫描类型的IDS日志中扫描事件的数量进行统计，并将小于当前时间戳与所述第二预设时间段差值的时间戳所对应的扫描事件的统计结果平均分配至第M+1级统计节点；所述第M+1级统计节点的第二判断单元用于判断M+1是否等于N，若是，则调用第M+1级统计节点的所述发送单元，若否，则调用所述第M+1级统计节点的赋值单元；所述第M+1级统计节点的赋值单元用于将M赋值为M+1，调用第M级统计节点的统计单元；所述第M+1级统计节点的发送单元用于将统计结果发送至所述检测模块；其中，第M+1级统计节点中统计节点的数量少于第M级统计节点中统计节点的数量，N为大于1的整数。6.如权利要求5所述的防止局域网被扫描的系统，其特征在于，所述系统还包括一汇总模块，所述第M+1级统计节点的发送单元用于将统计结果发送至所述汇总模块；所述汇总模块用于按照时间戳和IP地址对统计结果进行汇总，并将汇总结果发送至所述检测模块。7.如权利要求5或6所述的防止局域网被扫描的系统，其特征在于，每个统计节点均还包括一第三判断单元，所述第三判断单元用于根据所述扫描类型的IDS日志的ID号判断IP地址为源IP地址还是目的IP地址。8.一种防止局域网被扫描的方法，其特征在于，利用如权利要求1所述的防止局域网被扫描的系统实现，所述方法包括以下步骤：S...

【专利技术属性】
技术研发人员：朱志博，雷兵，
申请(专利权)人：上海携程商务有限公司，
类型：发明
国别省市：上海;31