本发明专利技术公开一种数据包的扫描方法,通过配置防护策略进行检测,根据源和目的所属的网络区域和网络对象进行策略匹配,仅对匹配到防护策略的数据包进行扫描,而对没有匹配到策略的数据包直接放行;而且在检测中通过设置检测链表和任务队列,提高检测任务的调度效率,既减少对防护设备性能的影响又提高了检测结果的可靠性。本发明专利技术的实施例,在提升拦截网络攻击的有效性,同时保证网络正常访问流量畅通。同时保证网络正常访问流量畅通。
【技术实现步骤摘要】
一种数据包的扫描方法
[0001]本专利技术属于网络安全
,具体是一种通过扫描数据包实现攻击拦截的方法。
技术介绍
[0002]互联网的发展带来各行各业信息化进程的加速,也给人们的生活带来翻天覆地的变化,但是伴随而来的,是各类网络攻击导致的安全问题。
[0003]在实际环境中,安全设备大多是通过对内外网相互访问的数据包进行检测,识别并拦截流经设备的攻击包,以达到对内网服务器和用户PC的保护作用。但是,现有的检测技术,对每一个捕获的数据包都依次进行检测,不仅效率较低影响设备对数据的处理性能影响正常访问流量,而且检测的可靠性有待提升。
技术实现思路
[0004]本专利技术旨在提供一种数据包的扫描方法,以提高对网络攻击的防护效率。
[0005]一种数据包的扫描方法,包括:为每条防护策略构建一条扫描链表,将与防护策略匹配成功的数据包、策略id与策略信息构建为一个任务节点,并将该任务节点存入任务队列中;从任务队列中取出任务节点,根据策略id查找对应的策略信息与扫描链表,遍历扫描链表对数据包进行扫描,将触发告警的数据包添加阻断标记,以阻断连接的后续数据;上述的数据包扫描,包括执行端口扫描、IP地址扫描与漏洞扫描中的至少一项;将与防护策略匹配失败的数据包进行放行。
[0006]上述的防护策略信息,包括ipv4/ipv6、源区域、目的区域、源对象、目的对象、策略id,上述的与防护策略匹配成功包括数据包的信息与策略信息的至少一个元素匹配成功。
[0007]较佳的,上述的端口扫描,统计一秒内同一个源IP访问的同一个目的IP的不同端口个数,达到阈值后阻断源IP的所有数据包;具体包括以下步骤:计算数据包的源IP与目的IP组成的IP组的哈希值,并判断哈希值是否已记录在预设的第一哈希表中,若是进行下一步,否则为该IP组创建记录;判断IP组在哈希表中的记录是否已超过第一最大超时时长,若是则更新IP组的信息,否则进行下一步;判断当前数据包的时间戳是否仍处于一秒的统计时长内,若是进行下一步,否则将数据包第一统计值清零并更新统计时间;判断目的端口是否已存在于第一扫描列表中,若是则不处理,否则进行下一步;累加扫描的目的端口个数作为数据包的第一统计值,将目的端口添加到IP组的第一扫描列表中,根据数据包匹配到的防护策略id查询预设的端口扫描阈值,判断上述的第一统计值是否超过上述的端口扫描阈值,若是则将源IP加入封锁名单并告警,否则对数据包不处理。
[0008]较佳的,上述的IP地址扫描,统计一秒内同一个源IP访问的不同目的IP个数,达到
阈值后阻断源IP的所有数据包;具体包括以下步骤:计算数据包源IP的哈希值,判断源IP是否已记录在预设的第二哈希表中,若是进行下一步,否则为该源IP创建记录;判断源IP在哈希表中的记录是否已超过第二最大超时时长,若是则更新源IP的信息,否则进行下一步;判断当前数据包的时间戳是否仍处于一秒的统计时长内,若是进行下一步,否则将数据包第二统计值清零并更新统计时间;判断当前数据包的目的IP是否已存在于第二扫描列表中,若是则不处理,否则进行下一步;累加扫描到的目的IP个数作为第二统计值,将目的IP添加到源IP的第二扫描列表中,根据数据包匹配到的防护策略id查询预设的IP扫描阈值,判断数据包的统计值是否超过上述的IP扫描阈值,若超过则将源IP加入封锁名单并告警,否则对数据包不处理。
[0009]较佳的,上述的漏洞扫描,对单个数据包进行漏洞规则匹配,发现攻击后丢弃数据包:获取数据包的特征,循环判断是否符合漏洞库中的漏洞特征,若符合则将源IP加入封锁名单并告警,否则对数据包不处理。
[0010]采用上述技术方案的本专利技术实施例,通过配置防护策略进行检测,根据源和目的所属的网络区域和网络对象进行策略匹配,仅对匹配到防护策略的数据包进行扫描,而对没有匹配到策略的数据包直接放行;而且在检测中通过设置检测链表和任务队列,提高检测任务的调度效率,既减少对防护设备性能的影响又提高了检测结果的可靠性。本专利技术的实施例,在提升拦截网络攻击的有效性,同时保证网络正常访问流量畅通。
附图说明
[0011]图1为本专利技术的数据包扫描方法实施例,总体流程示意图;图2为数据包的端口扫描流程示意图;图3为数据包的IP扫描流程示意图;图4是数据包的漏洞扫描流程示意图。
具体实施方式
[0012]为了更好的理解本专利技术的
技术实现思路
,以下结合附图对本专利技术各个实施例进行详细说明。
[0013]首先如图1所示,一种数据包的扫描方法,包括:为每条防护策略构建一条扫描链表,将与防护策略匹配成功的数据包、策略id与策略信息构建为一个任务节点,并将该任务节点存入任务队列中;从任务队列中取出任务节点,根据策略id查找对应的策略信息与扫描链表,遍历扫描链表对数据包进行扫描,将触发告警的数据包添加阻断标记,以阻断连接的后续数据;上述的数据包扫描,包括执行端口扫描、IP地址扫描与漏洞扫描中的至少一项;将与防护策略匹配失败的数据包进行放行。
[0014]上述的防护策略信息,包括ipv4/ipv6、源区域、目的区域、源对象、目的对象、策略id,上述的与防护策略匹配成功包括数据包的信息与策略信息的至少一个元素匹配成功。
[0015]如图2所示,端口扫描,统计一秒内同一个源IP访问的同一个目的IP的不同端口个数,达到阈值后阻断源IP的所有数据包;具体包括以下步骤:计算数据包的源IP与目的IP组成的IP组的哈希值,并判断哈希值是否已记录在预设的第一哈希表中,若是进行下一步,否则为该IP组创建记录;判断IP组在哈希表中的记录是否已超过第一最大超时时长,若是则更新IP组的信息,否则进行下一步;判断当前数据包的时间戳是否仍处于一秒的统计时长内,若是进行下一步,否则将数据包第一统计值清零并更新统计时间;判断目的端口是否已存在于第一扫描列表中,若是则不处理,否则进行下一步;累加扫描的目的端口个数作为数据包的第一统计值,将目的端口添加到IP组的第一扫描列表中,根据数据包匹配到的防护策略id查询预设的端口扫描阈值,判断上述的第一统计值是否超过上述的端口扫描阈值,若是则将源IP加入封锁名单并告警,否则对数据包不处理。
[0016]如图3所示,IP地址扫描,统计一秒内同一个源IP访问的不同目的IP个数,达到阈值后阻断源IP的所有数据包;具体包括以下步骤:计算数据包源IP的哈希值,判断源IP是否已记录在预设的第二哈希表中,若是进行下一步,否则为该源IP创建记录;判断源IP在哈希表中的记录是否已超过第二最大超时时长,若是则更新源IP的信息,否则进行下一步;判断当前数据包的时间戳是否仍处于一秒的统计时长内,若是进行下一步,否则将数据包第二统计值清零并更新统计时间;判断当前数据包的目的IP是否已存在于第二扫描列表中,若是则不处理,否则进行下一步;累加扫描到的目的IP个数作为第二统计值,将目的IP添加到源IP的第二扫描列表中,根据数据包匹配到的防护策略id查询预设的IP扫描阈值,判断数据包的统计值是否超过上述的IP扫描阈值,若超过则将本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种数据包的扫描方法,其特征在于,具体包括:为每条防护策略构建一条扫描链表,将与防护策略匹配成功的数据包、策略id与策略信息构建为一个任务节点,并将该任务节点存入任务队列中;从任务队列中取出任务节点,根据策略id查找对应的策略信息与扫描链表,遍历扫描链表对数据包进行扫描,将触发告警的数据包添加阻断标记,以阻断连接的后续数据;所述数据包扫描,包括执行端口扫描、IP地址扫描与漏洞扫描中的至少一项;将与防护策略匹配失败的数据包进行放行。2.根据权利要求1所述的数据包扫描方法,其特征在于,所述防护策略信息,包括ipv4/ipv6、源区域、目的区域、源对象、目的对象、策略id,所述与防护策略匹配成功包括数据包的信息与策略信息的至少一个元素匹配成功。3.根据权利要求1所述的数据包扫描方法,其特征在于,所述端口扫描,统计一秒内同一个源IP访问的同一个目的IP的不同端口个数,达到阈值后阻断源IP的所有数据包。4.根据权利要求3所述的数据包扫描方法,其特征在于,所述端口扫描具体包括以下步骤:计算数据包的源IP与目的IP组成的IP组的哈希值,并判断哈希值是否已记录在预设的第一哈希表中,若是进行下一步,否则为该IP组创建记录;判断IP组在哈希表中的记录是否已超过第一最大超时时长,若是则更新IP组的信息,否则进行下一步;判断当前数据包的时间戳是否仍处于第一统计时长内,若是进行下一步,否则将数据包第一统计值清零并更新统计时间;判断目的端口是否已存在于第一扫描列表中,若是则不处理,否则进行下一步;累加扫描的目的端口个数作为数据包的第一统计值,将目的端口添加到IP...
【专利技术属性】
技术研发人员:刘亚轩,何建锋,
申请(专利权)人:西安交大捷普网络科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。