本发明专利技术涉及一种网络安全监控方法及系统。其中,网络安全监控方法包括:捕获待检测数据包;至少基于安全检测历史对所捕获的数据包进行安全检测。网络安全监控系统,包括:捕获装置,用于捕获待检测数据包;检测装置,用于至少基于安全检测历史对所述捕获装置所捕获的数据包进行安全检测。本发明专利技术的网络安全监控方法及系统,适用范围广,适用于各种攻击流量过滤,以及多种攻击的混合方式。
【技术实现步骤摘要】
本专利技术涉及网络
,尤其涉及一种网络安全监控方法及系统。
技术介绍
网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不因偶然的或者恶意的原因而遭受到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。网络安全从其本质上来讲就是网络上的信息安全。当前,各类网络攻击层出不穷,相应地,各类网络安全监控方法和安全设备应运而生。然而,目前的网络安全监控方法和安全设备大多是针对某一特定类型的攻击行为,适用范围小,不具有普适性,因而无法大规模推广使用。随着网络攻击的不多增多,给网络安全带来的危害越来越大,研究高效、通用的网络安全系统架构具有现实的意义。
技术实现思路
本专利技术所要解决的技术问题是提供一种网络安全监控方法及装置,适用范围广。为解决上述技术问题,本专利技术提出了一种网络安全监控方法,包括:捕获待检测数据包;至少基于安全检测历史对所捕获的数据包进行安全检测。进一步地,上述网络安全监控方法还可具有以下特点,所述至少基于安全检测历史对所捕获的数据包进行安全检测包括:基于安全检测历史和预设的安全检测策略对所捕获的数据包进行安全检测。进一步地,上述网络安全监控方法还可具有以下特点,所述基于安全检测历史和预设的安全检测策略对所捕获的数据包进行安全检测包括:判断所述数据包是否包含非法特征信息表中的至少一种非法特征信息,所述非法特征信息表与安全检测历史相关联;若经判断,所述数据包不包含所述非法特征信息表中的任何一种非法特征信息,则应用预设的安全检测策略逐一对所述数据包进行安全检测。进一步地,上述网络安全监控方法还可具有以下特点,所述基于安全检测历史和预设的安全检测策略对所捕获的数据包进行安全检测还包括:若经所述安全检测策略的安全检测,所述数据包不合法,则提取判定所述数据包不合法的安全检测策略和所述数据包包含的致使所述数据包未能通过该安全检测策略的非法特征信息,保存到所述非法特征信息表中。进一步地,上述网络安全监控方法还可具有以下特点,所述非法特征信息为数据包的源地址信息或指纹信息。为解决上述技术问题,本专利技术还提出了一种网络安全监控系统,包括:捕获装置,用于捕获待检测数据包;检测装置,用于至少基于安全检测历史对所述捕获装置所捕获的数据包进行安全检测。进一步地,上述网络安全监控系统还可具有以下特点,所述检测装置包括:第一检测模块,用于基于安全检测历史和预设的安全检测策略对所捕获的数据包进行安全检测。进一步地,上述网络安全监控系统还可具有以下特点,所述第一检测模块包括:判断单元,用于判断所述数据包是否包含非法特征信息表中的至少一种非法特征信息,所述非法特征信息表与安全检测历史相关联;检测单元,用于在经所述判断单元的判断,所述数据包不包含所述非法特征信息表中的任何一种非法特征信息时,应用预设的安全检测策略逐一对所述数据包进行安全检测。进一步地,上述网络安全监控系统还可具有以下特点,所述第一检测模块还包括:提取单元,用于在经所述检测单元的安全检测,所述数据包不合法时,提取判定所述数据包不合法的安全检测策略和所述数据包包含的致使所述数据包未能通过该安全检测策略的非法特征信息,保存到所述非法特征信息表中。进一步地,上述网络安全监控系统还可具有以下特点,所述非法特征信息为数据包的源地址信息或指纹信息。本专利技术的网络安全监控方法及系统,适用范围广,适用于各种攻击流量过滤,以及多种攻击的混合方式。附图说明图1为本专利技术实施例中网络安全监控方法的流程示意图;图2为数据环的结构示意图;图3为本专利技术实施例中网络安全监控系统的结构框图。具体实施例方式本专利技术提出了一种网络安全监控方法,其主要构思是:捕获待检测数据包;至少基于安全检测历史对所捕获的数据包进行安全检测。以下结合附图对本专利技术的原理和特征进行描述,所举实例只用于解释本专利技术,并非用于限定本专利技术的范围。图1为本专利技术实施例中网络安全监控方法的流程示意图。如图1所示,本实施例中,网络安全监控方法的流程包括如下步骤:步骤S101,捕获待检测的数据包;具体地,可以通过设备自身的网卡捕获数据包,待处理的数据包会发到设备的网卡上,网卡设为混杂模式即可监听。步骤S102,分发数据包,即将所捕获的数据包分发到指定处理线程中,以在该指定处理线程中对数据包进行安全检测;可以通过哈希函数将数据包分配到一个处理线程中。例如,有3个线程(编号分别是O、1、2),对数据包的源地址做哈希,源IP地址的最后一位数是n,那么该数据包就分配给变化为n%3 (此处符号“%”的含义是取余数操作)的线程处理。将所捕获的数据包分发到指定处理线程中,以在该指定处理线程中对数据包进行安全检测可以具体为:可以先将所捕获的数据包保存到指定处理线程对应的数据存储空间中,然后按照预设的顺序从该数据存储空间读取数据包,放入指定线程,以在指定处理线程中对数据包进行安全检测。在图1所示实施例中,数据存储空间为数据环。数据环是一种环状结构的存储空间,在数据环全部被占用时,数据环的环头数据与环尾数据相邻。使用数据环作为数据存储空间,其好处是,在给处理线程分配数据包时不需要加锁等待,同时,通过调节数据环的大小(即数据环所能容纳的数据包数量),可以降低处理时延。图2为数据环的结构示意图。如图2所示,数据环中的每一块对应一个数据包,取数据时从环头指针所指位置取,而增加数据时,则从环尾指针的下个块写入。数据减少方向和数据增加方向如图2中箭头方向所示。当数据环的空间全部被占用时,不再写入数据,等待数据被读出后再进行写入。当然,在其他实施例中,也可以用其他的存储结构作为数据存储空间,例如链表坐寸ο步骤S103,判断数据包所含标签是否在标签表中,若是则丢弃数据包,否则执行步骤步骤S104 ;其中,标签表是非法特征信息表,该表中记录了使数据包不能通过安全检测的非法特征信息,只要数据包包含了非法特征信息表中的至少一种非法特征信息,该数据包就不能通过安全检测,需要丢弃。其中,非法特征信息表与安全检测历史相关联。也就是说,非法特征信息表中的非法特征信息是根据以往的安全检测历史得到的。其中,非法特征信息可以是数据包的源地址信息、指纹信息(例如数据包中包含的一个特定的字符串)等。当非法特征信息为数据包的源地址信息时,即如果来自一个源地址的数据包(或者数据流)被识别为非法,则来自该源地址的数据包在一定时间内均被认为非法,不允许通过。比如,DDoS (Distributed Denial of service,分布式拒绝服务)攻击发生时,在识别出一个攻击地址后,可以将在一定时间内该地址发送来的数据包均视为攻击包。步骤S104,应用预设的安全检测策略逐一对数据包进行安全检测,如果对于预设的所有安全检测策略,数据包的检测结果全部为合法,则执行步骤S105,否则将违反的安全检测策略序号写入标签表(也即将数据包未通过的安全检测策略对应的非法特征信息记录到非法特征信息表中),丢弃数据包;通过步骤S103的基于安全检测历史的检测,如果数据包不包含非法特征信息表中的任何一种非法特征信息,就根据预设的安全检测策略再次进行安全检测。预设的安全检测策略可以有多个,需要逐一应用这些安全检测策略数据包进行安全检测。其中,安全检测策略可以是应用层DDoS攻击识别、病毒检测、注入检测等。步骤S本文档来自技高网...
【技术保护点】
一种网络安全监控方法,其特征在于,包括:捕获待检测数据包;至少基于安全检测历史对所捕获的数据包进行安全检测。
【技术特征摘要】
1.一种网络安全监控方法,其特征在于,包括: 捕获待检测数据包; 至少基于安全检测历史对所捕获的数据包进行安全检测。2.根据权利要求1所述的网络安全监控方法,其特征在于,所述至少基于安全检测历史对所捕获的数据包进行安全检测包括: 基于安全检测历史和预设的安全检测策略对所捕获的数据包进行安全检测。3.根据权利要求2所述的网络安全监控方法,其特征在于,所述基于安全检测历史和预设的安全检测策略对所捕获的数据包进行安全检测包括: 判断所述数据包是否包含非法特征信息表中的至少一种非法特征信息,所述非法特征信息表与安全检测历史相关联; 若经判断,所述数据包不包含所述非法特征信息表中的任何一种非法特征信息,则应用预设的安全检测策略逐一对所述数据包进行安全检测。4.根据权利要求3所述的网络安全监控方法,其特征在于,所述基于安全检测历史和预设的安全检测策略对所捕获的数据包进行安全检测还包括: 若经所述安全检测策略的安全检测,所述数据包不合法,则提取判定所述数据包不合法的安全检测策略和所述数据包包含的致使所述数据包未能通过该安全检测策略的非法特征信息,保存到所述非法特征信息表中。5.根据权利要求3所述的网络安全监控方法,其特征在于,所述非法特征信息为数据包的源地...
【专利技术属性】
技术研发人员:肖军,张永铮,张莹,
申请(专利权)人:中国科学院信息工程研究所,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。