一种教育网恶意IP识别方法,包括:采集教育网各节点的netlow流量;获取netlow流量的访问IP地址、协议类型和端口;识别访问IP地址访问端口是否异常,和/或,访问IP地址发送的请求的协议类型是否异常;当存在异常时,将访问IP地址识别为恶意IP。另外,本公开还提供了一种教育网恶意IP识别装置。该方法和装置可以教育网流量的采集、存储、分析和展示,对教育网进行动态的进行安全防护。动态的进行安全防护。动态的进行安全防护。
【技术实现步骤摘要】
一种教育网恶意IP识别方法及装置
[0001]本公开涉及网络安全
,尤其涉及一种教育网恶意IPv6识别方法及装置。
技术介绍
[0002]随着互联网技术的迅速发展、计算机应用的普及和IPv6的快速发展,诸多应用也越来越多的支持IPv6,公司在提供IPv6网络服务的同时,结合自身的优势,具备IPv6教育网流量,从而可以采集IPv6流量,并且对流量的网络攻击进行识别,以此来保障教育网的安全。
技术实现思路
[0003]鉴于上述问题,本专利技术提供了一种教育网恶意IPv6识别方法及装置,以识别恶意IP,以保证教育网的安全。
[0004]本公开的一个方面提供了一种一种教育网恶意IP识别方法,包括:采集教育网各节点的netlow流量;获取所述netlow流量的访问IP地址、协议类型和端口;识别所述访问IP地址访问所述端口是否异常,和/或,所述访问IP地址发送的请求的所述协议类型是否异常;当存在异常时,将所述访问IP地址识别为恶意IP。
[0005]可选地,所述识别所述访问IP地址访问所述端口是否异常包括:分析所述netlow流量,获得所述访问IP地址登录所述端口的次数;判断所述访问IP地址登录所述端口的次数是否大于预设阈值;当所述次数大于所述预设阈值时,判定所述访问IP地址异常访问端口。
[0006]可选地,所述访问IP地址发送的请求的所述协议类型是否异常包括:分析所述netlow流量,获得所述访问IP地址发送的请求的协议类型;获取所述访问IP地址的预设协议类型;当所述请求的协议类型与所述预设协议类型不同时,判定所述访问IP地址请求异常。
[0007]可选地,当存在异常时,所述方法还包括:识别所述netlow流量的目的IP地址;判断所述访问IP地址和所述目的IP地址的属性,获取攻击方向;存储所述攻击方向;其中,所述访问IP地址、所述目的地址IP、所述端口和异常类型。
[0008]可选地,所述方法还包括:在预设窗口展示所述攻击方向。
[0009]本公开另一方面提供了一种教育网恶意IP识别装置,包括:采集模块,用于采集教育网各节点的netlow流量;信息获取模块,用于获取所述netlow流量的访问IP地址、协议类型和端口;分析模块,用于识别所述访问IP地址访问所述端口是否异常,和/或,所述访问IP地址发送的请求的所述协议类型是否异常;识别模块,用于当存在异常时,将所述访问IP地址识别为恶意IP。
[0010]可选地,所述分析模块包括:端口访问次数统计单元,用于分析所述netlow流量,获得所述访问IP地址登录所述端口的次数;访问次数比较单元,用于判断所述访问IP地址登录所述端口的次数是否大于预设阈值;端口异常判定单元,用于当所述次数大于所述预
设阈值时,判定所述访问IP地址异常访问端口。
[0011]可选地,所述分析模块包括:请求类型分析单元,用于分析所述netlow流量,获得所述访问IP地址发送的请求的协议类型;预设协议类型获取单元,用于获取所述访问IP地址的预设协议类型;协议异常判定单元,用于当所述请求的协议类型与所述预设协议类型不同时,判定所述访问IP地址请求异常。
[0012]可选地,所述装置还包括存储模块,包括:目的IP获取单元,用于识别所述netlow流量的目的IP地址;攻击方向获取单元,用于判断所述访问IP地址和所述目的IP地址的属性,获取攻击方向;存储单元,用于存储所述攻击方向;其中,所述访问IP地址、所述目的地址IP、所述端口和异常类型。
[0013]可选地,所述装置还包括:展示模块,用于在预设窗口展示所述攻击方向。
[0014]在本公开实施例采用的上述至少一个技术方案能够达到以下有益效果:
[0015]本公开提供了一种教育网恶意IP识别方法,通过分析端口访问次数、传输的协议类型识别恶意IP,通过这种方式,可不断的扩大恶意IP数据集,以便于保护教育网的安全。
附图说明
[0016]为了更完整地理解本公开及其优势,现在将参考结合附图的以下描述,其中:
[0017]图1示意性示出了本公开实施例提供的一种教育网恶意IP识别方法的流程图;
[0018]图2示意性示出了本公开实施例提供的一种教育网恶意IP识别装置的结构框图;
[0019]图3示意性示出了本公开实施例提供的一种教育网恶意IP识别方法的应用场景图。
具体实施方式
[0020]以下,将参照附图来描述本公开的实施例。但是应该理解,这些描述只是示例性的,而并非要限制本公开的范围。在下面的详细描述中,为便于解释,阐述了许多具体的细节以提供对本公开实施例的全面理解。然而,明显地,一个或多个实施例在没有这些具体细节的情况下也可以被实施。此外,在以下说明中,省略了对公知结构和技术的描述,以避免不必要地混淆本公开的概念。
[0021]在此使用的术语仅仅是为了描述具体实施例,而并非意在限制本公开。在此使用的术语“包括”、“包含”等表明了所述特征、步骤、操作和/或部件的存在,但是并不排除存在或添加一个或多个其他特征、步骤、操作或部件。
[0022]在此使用的所有术语(包括技术和科学术语)具有本领域技术人员通常所理解的含义,除非另外定义。应注意,这里使用的术语应解释为具有与本说明书的上下文相一致的含义,而不应以理想化或过于刻板的方式来解释。
[0023]附图中示出了一些方框图和/或流程图。应理解,方框图和/或流程图中的一些方框或其组合可以由计算机程序指令来实现。这些计算机程序指令可以提供给通用计算机、专用计算机或其他可编程数据处理装置的处理器,从而这些指令在由该处理器执行时可以创建用于实现这些方框图和/或流程图中所说明的功能/操作的装置。
[0024]因此,本公开的技术可以硬件和/或软件(包括固件、微代码等)的形式来实现。另外,本公开的技术可以采取存储有指令的计算机可读介质上的计算机程序产品的形式,该
计算机程序产品可供指令执行系统使用或者结合指令执行系统使用。在本公开的上下文中,计算机可读介质可以是能够包含、存储、传送、传播或传输指令的任意介质。例如,计算机可读介质可以包括但不限于电、磁、光、电磁、红外或半导体系统、装置、器件或传播介质。计算机可读介质的具体示例包括:磁存储装置,如磁带或硬盘(HDD);光存储装置,如光盘(CD
‑
ROM);存储器,如随机存取存储器(RAM)或闪存;和/或有线/无线通信链路。
[0025]图1示意性示出了本公开实施例提供的一种教育网恶意IP识别方法的流程图。
[0026]如图1所示,本公开提供的一种教育网恶意IP识别方法,包括步骤S110~S140。
[0027]S110,采集教育网各节点的netlow流量。
[0028]S120,获取netlow流量的访问IP地址、协议类型和端口。
[0029]S130,识别访问IP地址访问端口是否异常,和/或,识别访问IP地址发送的请求的协议类型是否异常。
[00本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种教育网恶意IP识别方法,其特征在于,包括:采集教育网各节点的netlow流量;获取所述netlow流量的访问IP地址、协议类型和端口;识别所述访问IP地址访问所述端口是否异常,和/或,识别所述访问IP地址发送的请求的所述协议类型是否异常;当存在异常时,将所述访问IP地址识别为恶意IP。2.根据权利要求1所述的方法,其特征在于,所述识别所述访问IP地址访问所述端口是否异常包括:分析所述netlow流量,获得所述访问IP地址登录所述端口的次数;判断所述访问IP地址登录所述端口的次数是否大于预设阈值;当所述次数大于所述预设阈值时,判定所述访问IP地址异常访问端口。3.根据权利要求1所述的方法,其特征在于,所述访问IP地址发送的请求的所述协议类型是否异常包括:分析所述netlow流量,获得所述访问IP地址发送的请求的协议类型;获取所述访问IP地址的预设协议类型;当所述请求的协议类型与所述预设协议类型不同时,判定所述访问IP地址请求异常。4.根据权利要求1所述的方法,其特征在于,当存在异常时,所述方法还包括:识别所述netlow流量的目的IP地址;判断所述访问IP地址和所述目的IP地址的属性,获取攻击方向;存储所述攻击方向;其中,所述攻击方向包括所述访问IP地址、所述目的地址IP、所述端口和异常类型。5.根据权利要求4所述的方法,其特征在于,所述方法还包括:在预设窗口展示所述攻击方向。6.一种教育网恶意IP识别装置,其特征在于,包括:采集模块,用于采集教育网各节点的netlow流量;信息获取模块,用于...
【专利技术属性】
技术研发人员:黄友俊,李星,吴建平,黄有根,黄海燕,
申请(专利权)人:赛尔网络有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。