The invention discloses a method, system, medium and equipment for identifying and blocking anomalous network access connections, which includes: accessing the access network and identifying whether it belongs to anomalous network access connections; blocking network access connections by bypass mode, i.e. collecting real-time communication traffic of network connection communications, acquiring communication control information of both sides of communication, and through structure. Construct specific data packets and send out control packets of connection interruption to both sides of communication, thus blocking the connection of communication. The invention is deployed by bypass mode, and will not change the existing network structure. When the equipment is abnormal, it will not affect the network and lead to network paralysis. At the same time, it can provide more fine application access control.
【技术实现步骤摘要】
异常网络访问连接识别与阻断方法、系统、介质和设备
本专利技术涉及一种网络连接识别与阻断的方法,尤其是一种异常网络访问连接识别与阻断方法、系统、介质和设备,属于网络安全领域。
技术介绍
在网络环境中,存在各种人为或自动的异常网络访问连接,如频率高范围广的扫描行为、未经授权的访问行为,这些异常连接给网络安全带来很大的威胁。现有的网络准入系统、防火墙、上网行为管理系统,可以对部分异常或未授权的网络访问进行监测和控制,基本采用串联或与交换机联动的方式进行阻断控制。网络准入系统,一般是允许准入后不再进行基于网络访问行为的监测,阻断操作主要与交换机进行联动控制;防火墙主要基于TCP/IP协议5元组为基础的通用的策略行为匹配,不考虑通信双方的更多信息,包括域名、设备类型、应用层协议的多维度匹配,而且阻断操作基于串联方式,会对网络结构产生影响;上网行为管理系统在控制方式上与防火墙类似,不过应用方面支持更多私有应用类型。现有的网络访问控制技术,对于频率高范围广的扫描行为的检测与控制,由于时间周期长,不能较好检测,比较难于配置合适的阻断策略。在阻断方式上,主要基于串联或与交换机联动的方式,对网络的稳定性存在一定的影响。
技术实现思路
本专利技术的第一个目的是为了解决上述现有技术的缺陷,提供了一种异常网络访问连接识别与阻断方法,该方法通过旁路方式部署,不会改变现有网络结构,设备异常时不会影响网络导致网络瘫痪,同时能够提供更加精细的应用访问控制。本专利技术的第二个目的在于提供一种异常网络访问连接识别与阻断系统。本专利技术的第三个目的在于提供一种存储介质。本专利技术的第四个目的在于提供 ...
【技术保护点】
1.异常网络访问连接识别与阻断方法,其特征在于:所述方法包括:对接入的网络访问,识别是否属于异常网络访问连接;采用旁路方式对网络访问连接进行阻断,即采集网络连接通信的实时通信流量,获取通信双方的通信控制信息,通过构造双方通信时所使用协议的连接中断/关闭数据包,同时对通信双方发出连接中断的控制包,从而阻断通信的连接;具体为:建立匹配规则策略,并生成匹配规则树;捕获数据包,并将数据包存入用户空间;提取数据包并查找规则策略,查找是否存在符合的策略,判断当前是否为异常网络访问连接;阻断异常访问连接,当发出数据包在真实会话的数据包之前到达目标,即执行阻断操作。
【技术特征摘要】
1.异常网络访问连接识别与阻断方法,其特征在于:所述方法包括:对接入的网络访问,识别是否属于异常网络访问连接;采用旁路方式对网络访问连接进行阻断,即采集网络连接通信的实时通信流量,获取通信双方的通信控制信息,通过构造双方通信时所使用协议的连接中断/关闭数据包,同时对通信双方发出连接中断的控制包,从而阻断通信的连接;具体为:建立匹配规则策略,并生成匹配规则树;捕获数据包,并将数据包存入用户空间;提取数据包并查找规则策略,查找是否存在符合的策略,判断当前是否为异常网络访问连接;阻断异常访问连接,当发出数据包在真实会话的数据包之前到达目标,即执行阻断操作。2.根据权利要求1所述异常网络访问连接识别与阻断方法,其特征在于:所述识别是否属于异常网络访问连接,采用基于行为的异常网络访问连接的识别方法,具体为:基于源IP、目的IP实时统计分析单位时间内的访问会话情况,确定高频率范围广的源IP地址,若这些IP相关的会话数大于设定阈值,则认为属于异常网络访问连接。3.根据权利要求1所述异常网络访问连接识别与阻断方法,其特征在于:所述识别是否属于异常网络访问连接,采用基于多维度策略规则构造策略表,通过策略表的匹配判断是否属于异常网络连接,基于多维度策略规则匹配的异常网络访问连接定义如下:支持基于如下维度的策略规则:源地址、源端口、目标地址、目标端口、传输层协议、应用层协议、源/目的设备组、源/目的安全域、域名、设备类型;根据不同场景组合上述维度。4.根据权利要求1所述异常网络访问连接识别与阻断方法,其特征在于:所述建立匹配规则策略,具体为:基于如下维度的建立策略规则:源地址、源端口、目标地址、目标端口、传输层协议、应用层协议、源/目的设备组、源/目的安全域、域名、设备类型;根据建立的策略使用多步长trie树算法生成匹配规则树。5.根据权利要求1所述异常网络访问连接识别与阻断方法,其特征在于:所述捕获数据包,具体为:镜像流量接入到服务器网卡;加载网卡驱动,初始化网卡;启动网卡数据包读取模块,复制tcp数据包存入用户空间。6.根据权利要求1所述异常网络访问连接识别与阻断方法,其特征在于:所述提取数据包并查找规则策略,具体为:会话表及哈希表初始化并如分配内存空间;从数据包中提取出五元组,对五元组进行哈希运算,根据计算结...
【专利技术属性】
技术研发人员:邹凯,陈凯枫,
申请(专利权)人:广州天懋信息系统股份有限公司,
类型:发明
国别省市:广东,44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。