本申請?zhí)峁┮环N入侵報文的防護方法及裝置,所述方法包括:針對基于鏡像端口監(jiān)聽到的所述交換設(shè)備的報文進行入侵檢測;當(dāng)檢測出所述報文為入侵報文時,聯(lián)動所述交換設(shè)備以確定所述交換設(shè)備中與所述入侵報文對應(yīng)的目標(biāo)端口;通知所述交換設(shè)備關(guān)閉所述目標(biāo)端口。在本申請中,由于可以關(guān)閉交換設(shè)備上接收來自局域網(wǎng)內(nèi)部入侵報文的端口,因此,可以解決現(xiàn)有技術(shù)無法阻斷來自局域網(wǎng)內(nèi)部入侵的問題。
【技術(shù)實現(xiàn)步驟摘要】
本申請涉及網(wǎng)絡(luò)通信技術(shù),尤其涉及一種入侵報文的防護方法及裝置。
技術(shù)介紹
IDS(Intrusion Detection Systems,入侵檢測系統(tǒng))是一種主動的網(wǎng)絡(luò)安全防護技術(shù),它可以通過網(wǎng)絡(luò)不同關(guān)鍵點監(jiān)視網(wǎng)絡(luò)數(shù)據(jù)以分析入侵行為的可能性。當(dāng)發(fā)現(xiàn)入侵行為時,IDS可以立即告警和記錄日志。但是,由于IDS設(shè)備作為檢測設(shè)備一般只能旁路部署在網(wǎng)絡(luò)中,因此它只能針對網(wǎng)絡(luò)的健康狀況起到監(jiān)控作用,而不能很好的抵御各種網(wǎng)絡(luò)入侵。為了解決上述問題,現(xiàn)有技術(shù)通常可以將IDS設(shè)備與防火墻聯(lián)動,當(dāng)IDS設(shè)備發(fā)現(xiàn)某一入侵行為時,可以將檢測到的結(jié)果發(fā)送給防火墻,以使防火墻對該入侵行為進行相應(yīng)的阻斷。然而,在這種方案中,當(dāng)面對來自局域網(wǎng)內(nèi)部的入侵時,防火墻無法進行阻斷。
技術(shù)實現(xiàn)思路
有鑒于此,本申請?zhí)峁┮环N入侵報文的防護方法及裝置,來解決現(xiàn)有技術(shù)無法阻斷來自局域網(wǎng)內(nèi)部入侵的問題。具體地,本申請是通過如下技術(shù)方案實現(xiàn)的:根據(jù)本申請實施例的第一方面,提供一種入侵報文的防護方法,所述方法應(yīng)用于入侵檢測系統(tǒng)IDS設(shè)備上,所述IDS設(shè)備基于鏡像端口監(jiān)聽與所述IDS設(shè)備相連的交換設(shè)備的報文,所述方法包括:針對基于鏡像端口監(jiān)聽到的所述交換設(shè)備的報文進行入侵檢測;當(dāng)檢測出所述報文為入侵報文時,聯(lián)動所述交換設(shè)備以確定所述交換設(shè)備中與所述入侵報文對應(yīng)的目標(biāo)端口;通知所述交換設(shè)備關(guān)閉所述目標(biāo)端口。可選的,所述針對基于鏡像端口監(jiān)聽到的所述交換設(shè)備的報文進行入侵檢測包括:接收基于所述鏡像端口監(jiān)聽到的所述交換設(shè)備的報文;基于所述報文的報文負(fù)載進行入侵檢測。可選的,所述聯(lián)動所述交換設(shè)備以確定所述交換設(shè)備中與所述入侵報文對應(yīng)的目標(biāo)端口包括:獲取入侵報文的報文屬性信息;基于所述入侵報文的報文屬性信息查詢預(yù)設(shè)的端口對應(yīng)表;所述端口對應(yīng)表包括所述交換設(shè)備上的接入端口與所述接入端口的屬性信息之間的對應(yīng)關(guān)系;如果所述入侵報文的報文屬性信息與所述端口對應(yīng)表中任一接入端口的屬性信息匹配時,將該接入端口確定為所述目標(biāo)端口。可選的,所述預(yù)設(shè)的端口對應(yīng)表的創(chuàng)建過程包括:接收所述交換設(shè)備上報的本地所有主機的接入端口以及接入端口的屬性信息;基于所述交換設(shè)備上報的所述接入端口以及接入端口的屬性信息創(chuàng)建所述端口對應(yīng)表。可選的,所述通知所述交換設(shè)備關(guān)閉所述目標(biāo)端口包括:向所述交換設(shè)備發(fā)送攜帶所述目標(biāo)端口的遠(yuǎn)程管理指令,以觸發(fā)所述交換設(shè)備關(guān)閉所述目標(biāo)端口。根據(jù)本申請實施例的第二方面,提供一種入侵報文的防護裝置,所述裝置應(yīng)用于入侵檢測系統(tǒng)IDS設(shè)備上,所述IDS設(shè)備基于鏡像端口監(jiān)聽與所述IDS設(shè)備相連的交換設(shè)備的報文,所述裝置包括:檢測單元,用于針對基于鏡像端口監(jiān)聽到的所述交換設(shè)備的報文進行入侵檢測;確定單元,用于當(dāng)檢測出所述報文為入侵報文時,聯(lián)動所述交換設(shè)備以確定所述交換設(shè)備中與所述入侵報文對應(yīng)的目標(biāo)端口;關(guān)閉單元,用于通知所述交換設(shè)備關(guān)閉所述目標(biāo)端口。可選的,所述檢測單元具體用于:接收基于所述鏡像端口監(jiān)聽到的所述交換設(shè)備的報文;基于所述報文的報文負(fù)載進行入侵檢測。可選的,所述確定單元具體用于:獲取入侵報文的報文屬性信息;基于所述入侵報文的報文屬性信息查詢預(yù)設(shè)的端口對應(yīng)表;所述端口對應(yīng)表包括所述交換設(shè)備上的接入端口與所述接入端口的屬性信息之間的對應(yīng)關(guān)系;如果所述入侵報文的報文屬性信息與所述端口對應(yīng)表中任一接入端口的屬性信息匹配時,將該接入端口確定為所述目標(biāo)端口。可選的,所述預(yù)設(shè)的端口對應(yīng)表的創(chuàng)建過程具體為:接收所述交換設(shè)備上報的本地所有主機的接入端口以及接入端口的屬性信息;基于所述交換設(shè)備上報的所述接入端口以及接入端口的屬性信息創(chuàng)建所述端口對應(yīng)表。可選的,所述關(guān)閉單元具體用于:向所述交換設(shè)備發(fā)送攜帶所述目標(biāo)端口的遠(yuǎn)程管理指令,以觸發(fā)所述交換設(shè)備關(guān)閉所述目標(biāo)端口。本申請?zhí)峁┤肭謭笪姆雷o的方法及裝置,IDS設(shè)備通過鏡像端口監(jiān)聽交換設(shè)備的報文,并對監(jiān)聽到的報文進行入侵檢測;當(dāng)檢測到入侵報文時,可以聯(lián)動交換設(shè)備來確定交換設(shè)備中與該入侵報文對應(yīng)的目標(biāo)端口,然后通知交換設(shè)備關(guān)閉該目標(biāo)端口,從而實現(xiàn)了對來自局域網(wǎng)內(nèi)部入侵的阻斷。附圖說明圖1為應(yīng)用現(xiàn)有技術(shù)的一個應(yīng)用場景圖;圖2是本申請示出的一種入侵報文防護的方法;圖3為應(yīng)用本申請實施例實現(xiàn)入侵防護的一個應(yīng)用場景圖;圖4為本申請入侵報文的防護裝置所在設(shè)備的一種硬件結(jié)構(gòu)圖;圖5為本申請入侵報文的防護裝置的一個實施例框圖。具體實施方式這里將詳細(xì)地對示例性實施例進行說明,其示例表示在附圖中。下面的描述涉及附圖時,除非另有表示,不同附圖中的相同數(shù)字表示相同或相似的要素。以下示例性實施例中所描述的實施方式并不代表與本申請相一致的所有實施方式。相反,它們僅是與如所附權(quán)利要求書中所詳述的、本申請的一些方面相一致的裝置和方法的例子。在本申請使用的術(shù)語是僅僅出于描述特定實施例的目的,而非旨在限制本申請。在本申請和所附權(quán)利要求書中所使用的單數(shù)形式的“一種”、“所述”和“該”也旨在包括多數(shù)形式,除非上下文清楚地表示其他含義。還應(yīng)當(dāng)理解,本文中使用的術(shù)語“和/或”是指并包含一個或多個相關(guān)聯(lián)的列出項目的任何或所有可能組合。應(yīng)當(dāng)理解,盡管在本申請可能采用術(shù)語第一、第二、第三等來描述各種信息,但這些信息不應(yīng)限于這些術(shù)語。這些術(shù)語僅用來將同一類型的信息彼此區(qū)分開。例如,在不脫離本申請范圍的情況下,第一信息也可以被稱為第二信息,類似地,第二信息也可以被稱為第一信息。取決于語境,如在此所使用的詞語“如果”可以被解釋成為“在……時”或“當(dāng)……時”或“響應(yīng)于確定”。參見圖1,為應(yīng)用現(xiàn)有技術(shù)的一個應(yīng)用場景圖。其中,IDS設(shè)備與防火墻相連。當(dāng)接收到來自局域網(wǎng)外部的報文時,防火墻可以將報文上送至IDS設(shè)備,IDS設(shè)備可以對防火墻的報文進行檢測,當(dāng)檢測到入侵報文時,IDS設(shè)備可以通知防火墻對該入侵報文進行阻斷,從而實現(xiàn)對入侵報文的防護。然而,現(xiàn)有技術(shù)中的防火墻布置在局域網(wǎng)的外部,當(dāng)入侵報文來自局域網(wǎng)的內(nèi)部并入侵局域網(wǎng)內(nèi)部的設(shè)備時,由于該入侵報文并未經(jīng)過防火墻,因此,
防火墻無法將該入侵報文上送至IDS設(shè)備,IDS設(shè)備也無法通知防火墻對該入侵報文進行阻斷,此時,現(xiàn)有技術(shù)無法實現(xiàn)對來自局域網(wǎng)內(nèi)部入侵的阻斷。有鑒于此,本申請?zhí)峁┮环N入侵報文防護的方法及裝置,通過將IDS設(shè)備與交換設(shè)備相連,使得IDS設(shè)備可以通過鏡像端口監(jiān)聽交換設(shè)備接收的來自局域網(wǎng)內(nèi)部和局域網(wǎng)外部的報文,并對監(jiān)聽到的報文進行入侵檢測,當(dāng)檢測到入侵報文時,IDS設(shè)備可以聯(lián)動交換設(shè)備來確定交換設(shè)備中與該入侵報文對應(yīng)的目標(biāo)端口并通知交換設(shè)備關(guān)閉該目標(biāo)端口,從而實現(xiàn)對來自局域網(wǎng)內(nèi)部入侵的阻斷。參見圖2,是本申請示出的一種入侵報文防護的方法,該方法應(yīng)用于IDS設(shè)備,包括以下步驟:步驟201:針對基于鏡像端口監(jiān)聽到的所述交換設(shè)備的報文進行入侵檢測。在本申請實施例中,IDS設(shè)備可以針對基于鏡像端口監(jiān)聽到的交換設(shè)備的報文進行入侵檢測。其中,上述鏡像端口是指IDS設(shè)備上用于監(jiān)聽交換設(shè)備報文的指定端口。IDS設(shè)備通過鏡像端口監(jiān)聽交換設(shè)備的報文的具體過程可以為:交換設(shè)備將其上需要進行監(jiān)控的一個或多個端口的報文轉(zhuǎn)發(fā)至IDS設(shè)備的鏡像端口上,然后,IDS設(shè)備可以通過監(jiān)聽該鏡像端口的報文來監(jiān)聽交換設(shè)備的報文。IDS設(shè)備監(jiān)聽到交換設(shè)備的報文后,可以本文檔來自技高網(wǎng)...
【技術(shù)保護點】
一種入侵報文的防護方法,其特征在于,所述方法應(yīng)用于入侵檢測系統(tǒng)IDS設(shè)備上,所述IDS設(shè)備基于鏡像端口監(jiān)聽與所述IDS設(shè)備相連的交換設(shè)備的報文,所述方法包括:針對基于鏡像端口監(jiān)聽到的所述交換設(shè)備的報文進行入侵檢測;當(dāng)檢測出所述報文為入侵報文時,聯(lián)動所述交換設(shè)備以確定所述交換設(shè)備中與所述入侵報文對應(yīng)的目標(biāo)端口;通知所述交換設(shè)備關(guān)閉所述目標(biāo)端口。
【技術(shù)特征摘要】
1.一種入侵報文的防護方法,其特征在于,所述方法應(yīng)用于入侵檢測系統(tǒng)IDS設(shè)備上,所述IDS設(shè)備基于鏡像端口監(jiān)聽與所述IDS設(shè)備相連的交換設(shè)備的報文,所述方法包括:針對基于鏡像端口監(jiān)聽到的所述交換設(shè)備的報文進行入侵檢測;當(dāng)檢測出所述報文為入侵報文時,聯(lián)動所述交換設(shè)備以確定所述交換設(shè)備中與所述入侵報文對應(yīng)的目標(biāo)端口;通知所述交換設(shè)備關(guān)閉所述目標(biāo)端口。2.根據(jù)權(quán)利要求1所述的方法,其特征在于,所述針對基于鏡像端口監(jiān)聽到的所述交換設(shè)備的報文進行入侵檢測包括:接收基于所述鏡像端口監(jiān)聽到的所述交換設(shè)備的報文;基于所述報文的報文負(fù)載進行入侵檢測。3.根據(jù)權(quán)利要求1所述的方法,其特征在于,所述聯(lián)動所述交換設(shè)備以確定所述交換設(shè)備中與所述入侵報文對應(yīng)的目標(biāo)端口包括:獲取入侵報文的報文屬性信息;基于所述入侵報文的報文屬性信息查詢預(yù)設(shè)的端口對應(yīng)表;所述端口對應(yīng)表包括所述交換設(shè)備上的接入端口與所述接入端口的屬性信息之間的對應(yīng)關(guān)系;如果所述入侵報文的報文屬性信息與所述端口對應(yīng)表中任一接入端口的屬性信息匹配時,將該接入端口確定為所述目標(biāo)端口。4.根據(jù)權(quán)利要求3所述的方法,其特征在于,所述預(yù)設(shè)的端口對應(yīng)表的創(chuàng)建過程包括:接收所述交換設(shè)備上報的本地所有主機的接入端口以及接入端口的屬性信息;基于所述交換設(shè)備上報的所述接入端口以及接入端口的屬性信息創(chuàng)建所述端口對應(yīng)表。5.根據(jù)權(quán)利要求1所述的方法,其特征在于,所述通知所述交換設(shè)備關(guān)閉
\t所述目標(biāo)端口包括:向所述交換設(shè)備發(fā)送攜帶所述目標(biāo)端口的遠(yuǎn)程管理指...
【專利技術(shù)屬性】
技術(shù)研發(fā)人員:張寧,翟世興,
申請(專利權(quán))人:杭州迪普科技有限公司,
類型:發(fā)明
國別省市:浙江;33
還沒有人留言評論。發(fā)表了對其他瀏覽者有用的留言會獲得科技券。