异常网络访问连接识别与阻断方法、系统、介质和设备技术方案

本发明专利技术公开了一种异常网络访问连接识别与阻断方法、系统、介质和设备，所述方法包括：对接入的网络访问，识别是否属于异常网络访问连接；采用旁路方式对网络访问连接进行阻断，即采集网络连接通信的实时通信流量，获取通信双方的通信控制信息，通过构造特定的数据包，同时对通信双方发出连接中断的控制包，从而阻断通信的连接。本发明专利技术通过旁路方式部署，不会改变现有网络结构，设备异常时不会影响网络导致网络瘫痪，同时能够提供更加精细的应用访问控制。

Anomalous Network Access Connection Recognition and Blocking Method, System, Media and Equipment

The invention discloses a method, system, medium and equipment for identifying and blocking anomalous network access connections, which includes: accessing the access network and identifying whether it belongs to anomalous network access connections; blocking network access connections by bypass mode, i.e. collecting real-time communication traffic of network connection communications, acquiring communication control information of both sides of communication, and through structure. Construct specific data packets and send out control packets of connection interruption to both sides of communication, thus blocking the connection of communication. The invention is deployed by bypass mode, and will not change the existing network structure. When the equipment is abnormal, it will not affect the network and lead to network paralysis. At the same time, it can provide more fine application access control.

【技术实现步骤摘要】
异常网络访问连接识别与阻断方法、系统、介质和设备
本专利技术涉及一种网络连接识别与阻断的方法，尤其是一种异常网络访问连接识别与阻断方法、系统、介质和设备，属于网络安全领域。
技术介绍
在网络环境中，存在各种人为或自动的异常网络访问连接，如频率高范围广的扫描行为、未经授权的访问行为，这些异常连接给网络安全带来很大的威胁。现有的网络准入系统、防火墙、上网行为管理系统，可以对部分异常或未授权的网络访问进行监测和控制，基本采用串联或与交换机联动的方式进行阻断控制。网络准入系统，一般是允许准入后不再进行基于网络访问行为的监测，阻断操作主要与交换机进行联动控制；防火墙主要基于TCP/IP协议5元组为基础的通用的策略行为匹配，不考虑通信双方的更多信息，包括域名、设备类型、应用层协议的多维度匹配，而且阻断操作基于串联方式，会对网络结构产生影响；上网行为管理系统在控制方式上与防火墙类似，不过应用方面支持更多私有应用类型。现有的网络访问控制技术，对于频率高范围广的扫描行为的检测与控制，由于时间周期长，不能较好检测，比较难于配置合适的阻断策略。在阻断方式上，主要基于串联或与交换机联动的方式，对网络的稳定性存在一定的影响。
技术实现思路
本专利技术的第一个目的是为了解决上述现有技术的缺陷，提供了一种异常网络访问连接识别与阻断方法，该方法通过旁路方式部署，不会改变现有网络结构，设备异常时不会影响网络导致网络瘫痪，同时能够提供更加精细的应用访问控制。本专利技术的第二个目的在于提供一种异常网络访问连接识别与阻断系统。本专利技术的第三个目的在于提供一种存储介质。本专利技术的第四个目的在于提供一种计算设备。本专利技术的第一个目的可以通过采取如下技术方案达到：异常网络访问连接识别与阻断方法，所述方法包括：对接入的网络访问，识别是否属于异常网络访问连接；采用旁路方式对网络访问连接进行阻断，即采集网络连接通信的实时通信流量，获取通信双方的通信控制信息，通过构造双方通信时所使用协议的连接中断/关闭数据包，同时对通信双方发出连接中断的控制包，从而阻断通信的连接；具体为：建立匹配规则策略，并生成匹配规则树；捕获数据包，并将数据包存入用户空间；提取数据包并查找规则策略，查找是否存在符合的策略，判断当前是否为异常网络访问连接；阻断异常访问连接，当发出数据包在真实会话的数据包之前到达目标，即执行阻断操作。作为优选的技术方案，所述识别是否属于异常网络访问连接，采用基于行为的异常网络访问连接的识别方法，具体为：基于源IP、目的IP实时统计分析单位时间内的访问会话情况，确定高频率范围广的源IP地址，若这些IP相关的会话数大于设定阈值，则认为属于异常网络访问连接。作为优选的技术方案，所述识别是否属于异常网络访问连接，采用基于多维度策略规则构造策略表，通过策略表的匹配判断是否属于异常网络连接，基于多维度策略规则匹配的异常网络访问连接定义如下：支持基于如下维度的策略规则：源地址、源端口、目标地址、目标端口、传输层协议、应用层协议、源/目的设备组、源/目的安全域、域名、设备类型；根据不同场景组合上述维度。作为优选的技术方案，所述建立匹配规则策略，具体为：基于如下维度的建立策略规则：源地址、源端口、目标地址、目标端口、传输层协议、应用层协议、源/目的设备组、源/目的安全域、域名、设备类型；根据建立的策略使用多步长trie树算法生成匹配规则树。作为优选的技术方案，所述捕获数据包，具体为：镜像流量接入到服务器网卡；加载网卡驱动，初始化网卡；启动网卡数据包读取模块，复制tcp数据包存入用户空间。作为优选的技术方案，所述提取数据包并查找规则策略，具体为：会话表及哈希表初始化并如分配内存空间；从数据包中提取出五元组，对五元组进行哈希运算，根据计算结果从哈希表中查找是否已经存在会话，如果会话未存在，则创建会话并且对当前源IP的会话数统计值加1，会话结束后从哈希表中删除该会话并对该源IP的会话数统计值减1；创建新会话时根据配置信息取得源IP及目的IP所在的设备组、安全域及设备类型；使用dpi对tcp数据包进行应用层协议识别；组合识别结果然后从匹配规则树中查找是否存在符合的策略，判断当前是否为异常网络访问连接。作为优选的技术方案，所述阻断异常访问连接，具体为：提取出数据包中的源mac、目的mac、源IP、目的IP、源端口、ip层的id号、tcp层的seq序号、tcp层的ack序号；根据上面提取的信息重新组装两个tcp的RST数据包，这两个数据包相对对当前数据包在tcp协议中都是下一个包，其中一个是源IP发到目的IP，另一个为目的IP发给源IP；将两个数据包通过原始发送方式发到网关设备，当发出数据包在真实会话的数据包之前到达目标时即可达到阻断效果。本专利技术的第二个目的可以通过采取如下技术方案达到：异常网络访问连接识别与阻断系统，所述系统包括：异常网络识别模块，用于对接入的网络访问，识别是否属于异常网络访问连接；访问连接阻断模块，用于采用旁路方式对网络访问连接进行阻断，即采集网络连接通信的实时通信流量，获取通信双方的通信控制信息，通过构造特定的数据包，同时对通信双方发出连接中断的控制包，从而阻断通信的连接；所述访问连接阻断模块包括：策略构建模块、数据包捕获模块、数据包提取模块和异常访问阻断模块，所述策略构建模块，用于建立匹配规则策略，并生成匹配规则树；所述数据包捕获模块，用于捕获数据包，并将数据包存入用户空间；所述数据包提取模块，用于提取数据包并查找规则策略，查找是否存在符合的策略，判断当前是否为异常网络访问连接；所述异常访问阻断模块，用于阻断异常访问连接，当发出数据包在真实会话的数据包之前到达目标，即执行阻断操作。本专利技术的第三个目的可以通过采取如下技术方案达到：存储介质，存储有程序，所述程序被处理器执行时，实现上述的层数增减深度学习神经网络训练方法。本专利技术的第四个目的可以通过采取如下技术方案达到：计算设备，包括处理器以及用于存储处理器可执行程序的存储器，所述处理器执行存储器存储的程序时，实现上述的层数增减深度学习神经网络训练方法。本专利技术相对于现有技术具有如下的有益效果：1、本专利技术通过采集网络连接通信的实时通信流量，获取通信双方的通信控制信息(包括传输序列号)，通过构造特定的数据包，同时对通信双方发出连接中断的控制包，从而阻断通信的连接；采用旁路方式部署，不会改变现有网络结构，设备异常时不会影响网络导致网络瘫痪，同时能够提供更加精细的应用访问控制。2、本专利技术通过不改变原有网络结构的旁路方式用于检测频率高范围广的扫描行为、未经授权的访问行为等异常连接行为，并进行阻断，实现网络访问控制的目的。附图说明图1为本专利技术实施例1的异常网络访问连接识别与阻断方法的流程图。图2为本专利技术实施例1的采用旁路方式对网络访问连接进行阻断的流程图。图3为本专利技术实施例2的异常网络访问连接识别与阻断系统的结构方框图。具体实施方式下面结合实施例及附图对本专利技术作进一步详细的描述，但本专利技术的实施方式不限于此。实施例1：如图1所示，本实施例的异常网络访问连接识别与阻断方法包括以下步骤：S101、异常网络访问连接的识别。(1)基于行为的异常网络访问连接的识别；基于源IP、目的IP实时统计分析单位时间内的访问会话情况，确定高频率范围广的源IP地本文档来自技高网...

【技术保护点】
1.异常网络访问连接识别与阻断方法，其特征在于：所述方法包括：对接入的网络访问，识别是否属于异常网络访问连接；采用旁路方式对网络访问连接进行阻断，即采集网络连接通信的实时通信流量，获取通信双方的通信控制信息，通过构造双方通信时所使用协议的连接中断/关闭数据包，同时对通信双方发出连接中断的控制包，从而阻断通信的连接；具体为：建立匹配规则策略，并生成匹配规则树；捕获数据包，并将数据包存入用户空间；提取数据包并查找规则策略，查找是否存在符合的策略，判断当前是否为异常网络访问连接；阻断异常访问连接，当发出数据包在真实会话的数据包之前到达目标，即执行阻断操作。

【技术特征摘要】
1.异常网络访问连接识别与阻断方法，其特征在于：所述方法包括：对接入的网络访问，识别是否属于异常网络访问连接；采用旁路方式对网络访问连接进行阻断，即采集网络连接通信的实时通信流量，获取通信双方的通信控制信息，通过构造双方通信时所使用协议的连接中断/关闭数据包，同时对通信双方发出连接中断的控制包，从而阻断通信的连接；具体为：建立匹配规则策略，并生成匹配规则树；捕获数据包，并将数据包存入用户空间；提取数据包并查找规则策略，查找是否存在符合的策略，判断当前是否为异常网络访问连接；阻断异常访问连接，当发出数据包在真实会话的数据包之前到达目标，即执行阻断操作。2.根据权利要求1所述异常网络访问连接识别与阻断方法，其特征在于：所述识别是否属于异常网络访问连接，采用基于行为的异常网络访问连接的识别方法，具体为：基于源IP、目的IP实时统计分析单位时间内的访问会话情况，确定高频率范围广的源IP地址，若这些IP相关的会话数大于设定阈值，则认为属于异常网络访问连接。3.根据权利要求1所述异常网络访问连接识别与阻断方法，其特征在于：所述识别是否属于异常网络访问连接，采用基于多维度策略规则构造策略表，通过策略表的匹配判断是否属于异常网络连接，基于多维度策略规则匹配的异常网络访问连接定义如下：支持基于如下维度的策略规则：源地址、源端口、目标地址、目标端口、传输层协议、应用层协议、源/目的设备组、源/目的安全域、域名、设备类型；根据不同场景组合上述维度。4.根据权利要求1所述异常网络访问连接识别与阻断方法，其特征在于：所述建立匹配规则策略，具体为：基于如下维度的建立策略规则：源地址、源端口、目标地址、目标端口、传输层协议、应用层协议、源/目的设备组、源/目的安全域、域名、设备类型；根据建立的策略使用多步长trie树算法生成匹配规则树。5.根据权利要求1所述异常网络访问连接识别与阻断方法，其特征在于：所述捕获数据包，具体为：镜像流量接入到服务器网卡；加载网卡驱动，初始化网卡；启动网卡数据包读取模块，复制tcp数据包存入用户空间。6.根据权利要求1所述异常网络访问连接识别与阻断方法，其特征在于：所述提取数据包并查找规则策略，具体为：会话表及哈希表初始化并如分配内存空间；从数据包中提取出五元组，对五元组进行哈希运算，根据计算结...

【专利技术属性】
技术研发人员：邹凯，陈凯枫，
申请(专利权)人：广州天懋信息系统股份有限公司，
类型：发明
国别省市：广东,44