正反向隧道防护方法、装置、设备及存储介质制造方法及图纸

本申请提供一种正反向隧道防护方法、装置、设备及存储介质，其中，正反向隧道防护方法包括步骤：监控获取系统流量；从系统流量中筛查出满足预设要求的访问对象，并形成访问对象白名单；接收一外部访问对象发送的网络连接请求，至少网络连接请求携带外部访问对象的IP地址和连接代理参数；根据连接代理参数判断外部访问对象是否有发起隧道代理；当外部访问对象有发起隧道代理时，至少将外部访问对象的IP地址与访问对象白名单的每个对象的IP地址进行匹配，若匹配成功则建立与外部访问对象的通信连接，若匹配不成功则阻断与外部访问对象的通信连接。本申请能够放置恶意攻击对设备、内部资源进行攻击，且具有误报率低、人工成本低的优点。优点。优点。

【技术实现步骤摘要】
正反向隧道防护方法、装置、设备及存储介质


[0001]本申请涉及网络安全领域，具体而言，涉及一种正反向隧道防护方法、装置、设备及存储介质。

技术介绍

[0002]随着Internet的告诉发展，大型网站系统经常会被恶意人员进行攻击，影响网站的正常访问，为了使得网站系统避免被黑客进行恶意攻击，运维工程师通常需要很大的精力去对系统进行安全防护，来达到系统安全运行的目的。例如，当攻击人员拿到了企业网络结构中的一个节点时，通常会进行隧道攻击（DNS隧道），使该网络节点与外部攻击者的终端，进行链接，使攻击者更加方便快捷的对企业内部资产，架构进行服务探测，和渗透攻击。
[0003]为了防止这种风险，现有技术是通过流量监测，拦截等安全设备，对连接的流量进行检测，防止恶意攻击人员建立正反向隧道。使用流量监控，阻截这种方法，误报率较高，而且随着免杀，加密技术的不断发展，对流量监控难度不断的增加，流量监控仍需要人工进行判断，确定是否需要拦截，对人力资源造成较大的浪费。

技术实现思路

[0004]本申请实施例的目的在于提供一种正反向隧道防护方法、装置、设备及存储介质，用于实现自动阻断针对正反向隧道发起的恶意攻击，进而在保全设备资源的网络安全的同时，节省人力成本。
[0005]为此，本申请第一方面提供一种正反向隧道防护方法，所述方法包括：监控获取系统流量；从所述系统流量中筛查出满足预设要求的访问对象，并根据所述访问对象的属性形成访问对象白名单，其中，所述访问对象白名单至少包括所述访问对象的IP地址；接收一外部访问对象发送的网络连接请求，至少所述网络连接请求携带所述外部访问对象的IP地址和连接代理参数；根据所述连接代理参数判断所述外部访问对象是否有发起隧道代理；当所述外部访问对象有发起隧道代理时，至少将所述外部访问对象的IP地址与所述访问对象白名单的每个对象的IP地址进行匹配，若匹配成功则建立与所述外部访问对象的通信连接，若匹配不成功则阻断与所述外部访问对象的通信连接。
[0006]本申请第一方面的方法能够有效的对隧道攻击进行防护，自动化对隧道代理进行判断，阻截，极大的节省了人力资源，并且直接对通信对象进行判断，可极大的减少误报，提高封堵的准确率。另一方面，本申请第一方面的方法通过对隧道代理对象的限制，可极大的提高了内网资产的防护能力，这样即便攻击者拿到该网站的shell权限，也无法建立隧道，对内网资产进行探测，可极大的降低造成的危害。
[0007]在本申请第一方面中，作为一种可选的实施方式，所述网络连接请求还包括所述外部访问对象的端口、所述外部访问对象的网站域名，所述访问对象白名单还包括所述访
问对象的端口、所述访问对象的网站域名；以及，所述方法还包括：将所述外部访问对象的端口与所述访问对象白名单的每个对象的端口进行匹配；当所述外部访问对象的端口、所述外部访问对象的IP地址均匹配成功时，则建立与所述外部访问对象的通信连接，否则阻断与所述外部访问对象的通信连接。
[0008]在本可选的实施方式，通过进一步增加端口匹配，能够更加精确地筛选识别外部访问对象的风险，从而进一步提高网络安全性和降低误报率。
[0009]在本申请第一方面中，作为一种可选的实施方式，所述网络连接请求还包括所述外部访问对象的网站域名，所述访问对象白名单还包括所述访问对象的网站域名；以及，所述方法还包括：将所述外部访问对象的网站域名与所述访问对象白名单的每个对象的网站域名进行匹配；当所述外部访问对象的端口、所述外部访问对象的IP地址、所述外部访问对象的网站域名均匹配成功时，则建立与所述外部访问对象的通信连接，否则阻断与所述外部访问对象的通信连接。
[0010]在本可选的实施方式，通过进一步进行网站域名匹配，能够更加精确地筛选识别外部访问对象的风险，从而进一步提高网络安全性和降低误报率。
[0011]在本申请第一方面中，作为一种可选的实施方式，监控获取系统流量，包括：使用科来流量分析设备监控获取所述系统流量。
[0012]在本可选的实施方式中，使用科来流量分析设备监控获取所述系统流量，可进一步降低人共检测成本。
[0013]本申请第二方面公开一种正反向隧道防护装置，所述装置包括：监控模块，欧阳那样监控获取系统流量；白名单构建模块，用于从所述系统流量中筛查出满足预设要求的访问对象，并根据所述访问对象的属性形成访问对象白名单，其中，所述访问对象白名单至少包括所述访问对象的IP地址；接收模块，用于接收一外部访问对象发送的网络连接请求，至少所述网络连接请求携带所述外部访问对象的IP地址和连接代理参数；判断模块，用于根据所述连接代理参数判断所述外部访问对象是否有发起隧道代理；匹配模块，用于当所述外部访问对象有发起隧道代理时，至少将所述外部访问对象的IP地址与所述访问对象白名单的每个对象的IP地址进行匹配；连接模块，用于匹配模块的匹配结果为若匹配成功则建立与所述外部访问对象的通信连接，若匹配不成功则阻断与所述外部访问对象的通信连接。
[0014]本申请第二方面的装置能够有效的对隧道攻击进行防护，自动化对隧道代理进行判断，阻截，极大的节省了人力资源，并且直接对通信对象进行判断，可极大的减少误报，提高封堵的准确率。另一方面，本申请第一方面的方法通过对隧道代理对象的限制，可极大的提高了内网资产的防护能力，这样即便攻击者拿到该网站的shell权限，也无法建立隧道，对内网资产进行探测，可极大的降低造成的危害。
[0015]在本申请第二方面中，作为一种可选的实施方式，所述网络连接请求还包括所述
外部访问对象的端口、所述外部访问对象的网站域名，所述访问对象白名单还包括所述访问对象的端口、所述访问对象的网站域名；以及，所述匹配模块还用于将所述外部访问对象的端口与所述访问对象白名单的每个对象的端口进行匹配；所述连接模块，用于当所述匹配模块对所述外部访问对象的端口、所述外部访问对象的IP地址均匹配成功时，则建立与所述外部访问对象的通信连接，否则阻断与所述外部访问对象的通信连接。
[0016]在本可选的实施方式，通过进一步增加端口匹配，能够更加精确地筛选识别外部访问对象的风险，从而进一步提高网络安全性和降低误报率。
[0017]在本申请第二方面中，作为一种可选的实施方式，所述网络连接请求还包括所述外部访问对象的网站域名，所述访问对象白名单还包括所述访问对象的网站域名；以及，所述匹配模块还用于将所述外部访问对象的网站域名与所述访问对象白名单的每个对象的网站域名进行匹配；所述连接模块，用于当所述匹配模块对所述外部访问对象的端口、所述外部访问对象的IP地址、所述外部访问对象的网站域名均匹配成功时，则建立与所述外部访问对象的通信连接，否则阻断与所述外部访问对象的通信连接。
[0018]在本可选的实施方式，通过进一步增加网站域名匹配，能够更加精确地筛选识别外部访问对象的风险，从而进一步提高网络安全性和降低误报率。
[0019]在本申请第二方面中，作为一种可选的实施方式，所述监控模块监控获取系统流本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种正反向隧道防护方法，其特征在于，所述方法包括：监控获取系统流量；从所述系统流量中筛查出满足预设要求的访问对象，并根据所述访问对象的属性形成访问对象白名单，其中，所述访问对象白名单至少包括所述访问对象的IP地址；接收一外部访问对象发送的网络连接请求，至少所述网络连接请求携带所述外部访问对象的IP地址和连接代理参数；根据所述连接代理参数判断所述外部访问对象是否有发起隧道代理；当所述外部访问对象有发起隧道代理时，至少将所述外部访问对象的IP地址与所述访问对象白名单的每个对象的IP地址进行匹配，若匹配成功则建立与所述外部访问对象的通信连接，若匹配不成功则阻断与所述外部访问对象的通信连接。2.如权利要求1所述的正反向隧道防护方法，其特征在于，所述网络连接请求还包括所述外部访问对象的端口、所述外部访问对象的网站域名，所述访问对象白名单还包括所述访问对象的端口、所述访问对象的网站域名；以及，所述方法还包括：将所述外部访问对象的端口与所述访问对象白名单的每个对象的端口进行匹配；当所述外部访问对象的端口、所述外部访问对象的IP地址均匹配成功时，则建立与所述外部访问对象的通信连接，否则阻断与所述外部访问对象的通信连接。3.如权利要求2所述的方法，其特征在于，所述网络连接请求还包括所述外部访问对象的网站域名，所述访问对象白名单还包括所述访问对象的网站域名；以及，所述方法还包括：将所述外部访问对象的网站域名与所述访问对象白名单的每个对象的网站域名进行匹配；当所述外部访问对象的端口、所述外部访问对象的IP地址、所述外部访问对象的网站域名均匹配成功时，则建立与所述外部访问对象的通信连接，否则阻断与所述外部访问对象的通信连接。4.如权利要求1所述的方法，其特征在于，监控获取系统流量，包括：使用科来流量分析设备监控获取所述系统流量。5.一种正反向隧道防护装置，其特征在于，所述装置包括：监控模块，欧阳那样监控获取系统流量；白名单构建模块，用于从所述系统流量中筛查出满足预设要求的访问对象，并根据所述访问对象的属性形成访问对象白名单，其中，所述访问对象白名单至少包括所述访问对象的IP地址；接收模块，用于接...

【专利技术属性】
技术研发人员：余顺怀，陈守明，刘冯政，钱扬，梁运德，尚艳伟，李雪武，卢妍倩，仇实，徐梦，
申请(专利权)人：广东电力信息科技有限公司，
类型：发明
国别省市：