一种终端公网安全通信用安全防护模块的防护方法技术

本发明专利技术涉及终端公网安全通信的防护方法技术领域，具体涉及一种终端公网安全通信用安全防护模块的防护方法；本发明专利技术设计的防护方法，能够应用多传感器数据融合理论建立网络空间的态势感知框架，通过推理识别攻击者身份、攻击速度、入侵行为、攻击意图和进行威胁分析等操作，快速区分网络攻击的攻击来源及攻击类别，然后使用不同的防御操作对Arp Attack、Land Attack、SYN Attack、ICMP SMURF Attack、ICMP unreachable host Attack、Ping Attack、Ping of Death Attack、Teardrop Attack等进行防护，能够在一定程度上提高终端公网安全通信的安全性，适用范围较广。适用范围较广。适用范围较广。

【技术实现步骤摘要】
一种终端公网安全通信用安全防护模块的防护方法


[0001]本专利技术涉及终端公网安全通信的防护方法
，具体涉及一种终端公网安全通信用安全防护模块的防护方法。

技术介绍

[0002]国密局承接法规要求，编制了系列密码应用标准规范，其中在《信息系统密码应用基本要求》中提出了信息系统本体以及接入终端的密码应用要求。根据上述法律法规、技术规范要求，结合现有安全费控体系建设情况，以及高级量测体系中主站集中云化部署，终端智能化变为边缘计算节点的特点，需要从业务安全防护体系架构、平台服务、嵌入式模块等方面研制相关软硬件产品，以满足新一代智能量测业务安全防护要求。
[0003]终端公网安全通信模块使用场景中，串口连接集中器，无线网卡连接上游设备，中心连接IPSec安全网关。目前IPSec安全网关的高安全性是以对称密码为基础，而面对日益复杂的网络环境，终端公网安全通信模块设备极有可能受到网络攻击，影响业务，造成无法弥补的损失，因此，如何设计中能够在终端公网安全通信模块中增加防攻击功能的防护方法，成为了本领域技术让人员亟待解决的技术问题。

技术实现思路

[0004]解决的技术问题针对现有技术所存在的上述缺点，本专利技术提供了一种终端公网安全通信用安全防护模块的防护方法，旨在使其能够在终端公网安全通信模块增加防攻击功能，可有效应对常见网络攻击，保证终端公网安全通信模块正常工作。
[0005]技术方案为实现以上目的，本专利技术通过以下技术方案予以实现：一种终端公网安全通信用安全防护模块的防护方法，包括以下防护步骤：S1、对终端公网中传输的数据进行分析：首先应用多传感器数据融合理论建立网络空间的态势感知框架，通过推理识别攻击者身份、攻击速度、入侵行为、攻击意图和进行威胁分析等，进而感知网络空间安全态势并对网络安全攻击来源进行识别；S2、区分网络攻击种类：识别网络攻击来源后，对不同种类的攻击行为进行防御，具体防御的网络攻击种类包括以下种类：Arp Attack、Land Attack、SYN Attack、ICMP SMURF Attack、ICMP unreachable host Attack、Ping Attack、Ping of Death Attack、Teardrop Attack等；S3、针对不同种类网络攻击进行的防御方法包括以下方法：1）对Arp Attack进行防御：ARP报文频率阈值，当ARP报文频率大于阈值时进入ArpArrack检测；2）对Land Attack进行防御：对收到的TCP报文的源ip和目的ip进行判断，若一致则丢弃，否则继续进行计数处理；
3）对SYN Attack进行防御：预设SYN报文频率阈值，当SYN报文频率大于阈值时进入SYN Arrack检测；4）对ICMP SMURF Attack进行防御：判断ICMP报文的地址是否为广播地址，若为广播地址则丢弃；5）对ICMP unreachable host Attack进行防御：判断收到ICMP包类型是否为不可达，若是则丢弃；6）对Ping Attack进行防御：预设Ping报文频率阈值，当Ping报文频率大于阈值时进入Ping Arrack检测；7）对Ping of Death Attack进行防御：对收到的Ping包进行检测，若片偏移加报文长度超过65535，则丢弃该Ping包，否则继续后续处理；8）对Teardrop Attack进行防御：网络安全设备将接收到的分片报文先放入缓存中，并根据源IP地址和目的ip地址对报文进行分组，源IP地址和目的IP地址相同报文归入一组，然后对报文的相关信息进行检查，丢弃分片信息存在错误的报文。为了防止缓存溢出，当缓存快要存满时，直接丢弃后续分片报文。
[0006]更进一步地，所述S3中对于Arp Attack的具体防御操作为：a、记录ARP报文频率后检测报文频率是否大于阈值；b、若报文频率不大于阈值时，则直接返回NF
‑
ACCEPT，若报文频率大于阈值时，则是否检测报文源ip在本地表目的ip在远端表或报文源ip和目的ip为设备自身或在本地表目中；c、若报文源ip在本地表目的ip在远端表或报文源ip和目的ip为设备自身或在本地表目中，则返回NF
‑
ACCEPT，若报文源ip在本地表目的ip不在远端表或报文源ip和目的ip不为设备自身或不在本地表目中，则检测是否存在“报文源ip在本地表且目的ip在远端表”；d、若存在则返回NF
‑
ACCEPT，若不存在则返回NF
‑
DROP。
[0007]更进一步地，所述S3中对于Land Attack的具体防御操作为：先判断源ip和目的ip是否相同，若不相同则返回NF
‑
ACCEPT，若相同则进行计数处理，接着返回NF
‑
DROP。
[0008]更进一步地，所述S3中对于SYN Attack的具体防御操作为：a、记录SYN报文频率，并判断报文频率是否大于阈值；b、若报文频率不大于阈值，则返回NF
‑
ACCEPT，若报文频率大于阈值，则判断知否存在“报文源ip在本地表且目的ip在远端表”；c、若存在则返回NF
‑
ACCEPT，若不存在则返回NF
‑
DROP。
[0009]更进一步地，所述S3中对于ICMP SMURF Attack的具体防御操作为：先判断是否为广播地址，若不是广播地址则返回NF
‑
ACCEPT，若是广播地址则进行计数处理，接着返回NF
‑
DROP。
[0010]更进一步地，所述S3中对于ICMP unreachable host Attack的具体防御操作为：先判断ICMP包类型是否为不可达，若不是不可达则返回NF
‑
ACCEPT，若是不可达则进行计数处理，接着返回NF
‑
DROP。
[0011]更进一步地，所述S3中对于Ping Attack的具体防御操作为：a、记录Ping包频率，并检测报文频率是否大于阈值；b、若报文频率不大于阈值，则返回NF
‑
ACCEPT，若报文频率大于阈值，则判断是否存在“报文源ip在本地表且目的ip在远端表”；c、若存在则返回NF
‑
ACCEPT，若不存在则返回NF
‑
DROP。
[0012]更进一步地，所述S3中对于Ping of Death Attack的具体防御操作为：先判断片偏移加报文长度是否大于65535，若不大于65535则返回NF
‑
ACCEPT，若大于65535则进行计数处理，接着返回NF
‑
DROP。
[0013]更进一步地，所述S3中对于Teardrop Attack的具体防御操作为：a、计算报文ip端口协议ip的HASH值，遍历链表查找是否有相同HASH值的节点；b、若无相同HASH值的节点，则记录报文HASH值、片偏移及报文长度，接着返本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种终端公网安全通信用安全防护模块的防护方法，其特征在于：包括以下防护步骤：S1、对终端公网中传输的数据进行分析：首先应用多传感器数据融合理论建立网络空间的态势感知框架，通过推理识别攻击者身份、攻击速度、入侵行为、攻击意图和进行威胁分析等，进而感知网络空间安全态势并对网络安全攻击来源进行识别；S2、区分网络攻击种类：识别网络攻击来源后，对不同种类的攻击行为进行防御，具体防御的网络攻击种类包括以下种类：Arp Attack、Land Attack、SYN Attack、ICMP SMURF Attack、ICMP unreachable host Attack、Ping Attack、Ping of Death Attack、Teardrop Attack等；S3、针对不同种类网络攻击进行的防御方法包括以下方法：1）对Arp Attack进行防御：ARP报文频率阈值，当ARP报文频率大于阈值时进入ArpArrack检测；2）对Land Attack进行防御：对收到的TCP报文的源ip和目的ip进行判断，若一致则丢弃，否则继续进行计数处理；3）对SYN Attack进行防御：预设SYN报文频率阈值，当SYN报文频率大于阈值时进入SYN Arrack检测；4）对ICMP SMURF Attack进行防御：判断ICMP报文的地址是否为广播地址，若为广播地址则丢弃；5）对ICMP unreachable host Attack进行防御：判断收到ICMP包类型是否为不可达，若是则丢弃；6）对Ping Attack进行防御：预设Ping报文频率阈值，当Ping报文频率大于阈值时进入Ping Arrack检测；7）对Ping of Death Attack进行防御：对收到的Ping包进行检测，若片偏移加报文长度超过65535，则丢弃该Ping包，否则继续后续处理；8）对Teardrop Attack进行防御：网络安全设备将接收到的分片报文先放入缓存中，并根据源IP地址和目的ip地址对报文进行分组，源IP地址和目的IP地址相同报文归入一组，然后对报文的相关信息进行检查，丢弃分片信息存在错误的报文；为了防止缓存溢出，当缓存快要存满时，直接丢弃后续分片报文。2.根据权利要求1所述的一种终端公网安全通信用安全防护模块的防护方法，其特征在于，所述S3中对于Arp Attack的具体防御操作为：a、记录ARP报文频率后检测报文频率是否大于阈值；b、若报文频率不大于阈值时，则直接返回NF
‑
ACCEPT，若报文频率大于阈值时，则是否检测报文源ip在本地表目的ip在远端表或报文源ip和目的ip为设备自身或在本地表目中；c、若报文源ip在本地表目的ip在远端表或报文源ip和目的ip为设备自身或在本地表目中，则返回NF
‑
ACCEPT，若报文源ip在本地表目的ip不在远端表或报文源ip和目的ip不为设备自身或不在本地表目中，则检测是否存在“报文源ip在本地表且目的ip在远端表”；d、若存在则返回NF
‑
ACCEPT，若不存在则返回NF
‑
DROP。3.根据权利要求1所述的一种终端公网安全通信用安全防护模块的防护方法，其特征在于，所述S3中对于Land Attack的具体防御操作为：先判断源ip和目的ip是否相同，若不
相同则...

【专利技术属性】
技术研发人员：胡厚鹏，吴欣，欧家祥，董天强，吴才远，余云昊，肖艳红，高正浩，何沛林，邓玥丹，陈泽瑞，李航峰，王楠，赖宇阳，吴昊，王依云，邓建锋，张丽娟，李慧娟，母天石，
申请(专利权)人：南方电网数字电网研究院有限公司，
类型：发明
国别省市：