本申请提供一种网络入侵防御方法、装置及存储介质,所述方法包括:发布多个第一IP地址,所述第一IP地址为未使用的IP地址,基于目的IP地址为所述第一IP地址的第一通信数据包,确定第二IP地址,所述第二IP地址为实施网络入侵的IP地址,拦截目的IP地址为所述第二IP地址的第二通信数据包,能够解决现有技术设备硬件的资源利用率低,分析处理能力有限,入侵检测和防御范围小以及网络入侵误判的问题,实现整个城域网Tb级带宽流量中的网络入侵防御。域网Tb级带宽流量中的网络入侵防御。域网Tb级带宽流量中的网络入侵防御。
【技术实现步骤摘要】
网络入侵防御方法、装置及存储介质
[0001]本申请涉及网络安全
,尤其涉及一种网络入侵防御方法、装置及存储介质。
技术介绍
[0002]在网络通信流量中,有正常的访问交互通信流量,同时也有恶意的网络入侵攻击流量。恶意的网络入侵攻击流量,将会带来众多的安全问题,如:造成网络内的系统被攻破,引起信息泄露,网站或应用内容被篡改等。为了能发现这些网络入侵攻击流量并进行阻断,需要专业的IPS(Intrusion
‑
prevention system,入侵防御系统)。
[0003]IPS是一台能够监视网络或网络设备的网络资料传输行为的计算机网络安全设备,能够即时的中断、调整或隔离一些不正常或是具有伤害性的网络资料传输行为。IPS专门深入网络数据内部,查找它所认识的攻击代码特征,过滤有害数据流,丢弃有害数据包,并进行记载,以便事后分析。
[0004]然而现有的采用IPS进行入侵防御的方案存在以下缺点:
[0005]1、IPS入侵检测只能做到机房一级(Gb级带宽),做不到整个城域网级(Tb级带宽)。
[0006]2、IPS设备硬件的资源利用率低,分析处理能力有限。由于IPS需要分析监视所有的通信流量,包括大部分的正常通信流量,这些正常通信流量消耗了IPS的大部分分析处理资源,导致IPS设备硬件的资源利用率降低,当遇到业务系统带宽扩容,IPS也需要随之进行扩容。
[0007]3、IPS会存在将正常流量误判为入侵流量的情况。由于IPS是根据通信报文特征部来比对判断是否为入侵流量,而部分正常的通信流量的通信行为特征与网络入侵的行为特征相似,从而引起IPS的误判。
[0008]4、IPS拦截防御范围小。一般范围仅在一个局域网百台设备左右。
技术实现思路
[0009]针对现有技术存在的上述技术问题,本申请提供一种网络入侵防御方法、装置及存储介质。
[0010]第一方面,本申请提供一种网络入侵防御方法,包括:
[0011]发布多个第一IP地址,所述第一IP地址为未使用的IP地址;
[0012]基于目的IP地址为所述第一IP地址的第一通信数据包,确定第二IP地址;所述第二IP地址为实施网络入侵的IP地址;
[0013]拦截目的IP地址为所述第二IP地址的第二通信数据包。
[0014]可选地,根据本申请的网络入侵防御方法,所述基于目的IP地址为所述第一IP地址的第一通信数据包,确定第二IP地址,包括:
[0015]确定所述第一通信数据包对应的目标源IP地址;其中,所述目标源IP地址发送的通信数据包中,目的IP地址为所述第一IP地址的数量不低于预设阈值,且所述目标源IP地
址发送的第一通信数据包的报文特征符合预设入侵条件;
[0016]将所述目标源IP地址与预设的安全IP地址进行比对,确定所述目标源IP地址是否为第二IP地址。
[0017]可选地,根据本申请的网络入侵防御方法,所述目标源IP地址发送的通信数据包中,目的IP地址为所述第一IP地址的数量是基于所述第一通信数据包确定的。
[0018]可选地,根据本申请的网络入侵防御方法,所述目标源IP地址发送的第一通信数据包的报文特征符合预设入侵条件,包括:
[0019]所述目标源IP地址发送的第一通信数据包的报文特征符合扫描特征或与威胁情报匹配。
[0020]可选地,根据本申请的网络入侵防御方法,所述将所述目标源IP地址与预设的安全IP地址进行比对,确定所述目标源IP地址是否为第二IP地址,包括:
[0021]在所述目标源IP地址与预设的安全IP地址不匹配的情况下,确定所述目标源IP地址为第二IP地址。
[0022]可选地,根据本申请的网络入侵防御方法,所述拦截目的IP地址为所述第二IP地址的第二通信数据包之后,还包括:
[0023]在未检测到所述第二IP地址与所述第一IP地址的第一通信数据包,同时未检测到目的IP地址是所述第二IP地址的第二通信数据包,且持续时间达到预设阈值的情况下,取消对所述第二通信数据包的拦截。第二方面,本申请还提供一种网络入侵防御装置,包括:
[0024]第一IP地址发布模块,用于发布多个第一IP地址,所述第一IP地址为未使用的IP地址;
[0025]网络入侵IP地址确定模块,用于基于目的IP地址为所述第一IP地址的第一通信数据包,确定第二IP地址;所述第二IP地址为实施网络入侵的IP地址;
[0026]拦截模块,用于拦截目的IP地址为所述第二IP地址的第二通信数据包。
[0027]可选的,根据本申请的网络入侵防御装置,所述基于目的IP地址为所述第一IP地址的第一通信数据包,确定第二IP地址,包括:
[0028]确定所述第一通信数据包对应的目标源IP地址;其中,所述目标源IP地址发送的通信数据包中,目的IP地址为所述第一IP地址的数量不低于预设阈值,且所述目标源IP地址发送的第一通信数据包的报文特征符合预设入侵条件;将所述目标源IP地址与预设的安全IP地址进行比对,确定所述目标源IP地址是否为第二IP地址。
[0029]第三方面,本申请还提供一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现如上述第一方面所提供的方法的步骤。
[0030]第四方面,本申请还提供一种可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现如上述第一方面所提供的方法的步骤。
[0031]本申请提供的网络入侵防御方法、装置及存储介质,通过发布多个第一IP地址,所述第一IP地址为未使用的IP地址,基于目的IP地址为所述第一IP地址的第一通信数据包,确定实施网络入侵的第二IP地址,拦截目的IP地址为所述第二IP地址的第二通信数据包,能够解决现有技术设备硬件的资源利用率低,分析处理能力有限,入侵检测和防御范围小以及网络入侵误判的问题,实现整个城域网Tb级带宽流量中的网络入侵防御。
附图说明
[0032]为了更清楚地说明本申请或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
[0033]图1是本申请提供的网络入侵防御方法的流程示意图;
[0034]图2是本申请提供的网络入侵原理示意图;
[0035]图3是本申请提供的网络入侵检测及阻断流程示意图;
[0036]图4是本申请提供的阻断决策逻辑示意图;
[0037]图5是本申请提供的网络入侵防御装置的结构示意图;
[0038]图6是本申请提供的电子设备的结构示意图。
具体实施方式
[0039]为使本申请的目的、技术方案和优点更加清楚,下面将结合本申请中的附图,对本申请中的技术方案进行清楚、完整地描述,显然,所本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种网络入侵防御方法,其特征在于,包括:发布多个第一IP地址,所述第一IP地址为未使用的IP地址;基于目的IP地址为所述第一IP地址的第一通信数据包,确定第二IP地址;所述第二IP地址为实施网络入侵的IP地址;拦截目的IP地址为所述第二IP地址的第二通信数据包。2.根据权利要求1所述的网络入侵防御方法,其特征在于,所述基于目的IP地址为所述第一IP地址的第一通信数据包,确定第二IP地址,包括:确定所述第一通信数据包对应的目标源IP地址;其中,所述目标源IP地址发送的通信数据包中,目的IP地址为所述第一IP地址的数量不低于预设阈值,且所述目标源IP地址发送的第一通信数据包的报文特征符合预设入侵条件;将所述目标源IP地址与预设的安全IP地址进行比对,确定所述目标源IP地址是否为第二IP地址。3.根据权利要求2所述的网络入侵防御方法,其特征在于,所述目标源IP地址发送的通信数据包中,目的IP地址为所述第一IP地址的数量是基于所述第一通信数据包确定的。4.根据权利要求2所述的网络入侵防御方法,其特征在于,所述目标源IP地址发送的第一通信数据包的报文特征符合预设入侵条件,包括:所述目标源IP地址发送的第一通信数据包的报文特征符合扫描特征或与威胁情报匹配。5.根据权利要求2所述的网络入侵防御方法,其特征在于,所述将所述目标源IP地址与预设的安全IP地址进行比对,确定所述目标源IP地址是否为第二IP地址,包括:在所述目标源IP地址与预设的安全IP地址不匹配的情况下,确定所述目标源IP地址为第二IP地址。6.根据权利要求1所述的网络入侵防御方法,其特征在于,所...
【专利技术属性】
技术研发人员:王黎迪,段炼,
申请(专利权)人:中国移动通信集团有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。