一种防范网络中各种新兴和未知攻击行为的方法

摘要

本发明涉及一种防范网络中各种新兴和未知攻击行为的方法，其特征在于，步骤为：第一步、建立网络控制模型；第二步、利用网络控制模型对网络中的正常业务流进行学习，建立网络控制模型的业务流白环境；第三步、利用建立的网络控制模型的业务流白环境对网络流量进行过滤。本发明具有以下的优点和积极效果：能够防范防火墙和入侵检测技术所不能防范的新兴攻击行为和各种未知攻击，能够确保信息系统的正常运行，保障网络中正常业务流的安全，防范核心数据泄密。

说明书

技术领域

本发明涉及一种对网络流量进行过滤从而防范各种未知攻击行为和新兴攻击行为的方法。 

背景技术

随着计算机技术和网络技术的飞速发展，网络攻击行为层出不穷，网络扫描、病毒、DDOS攻击、各种未知攻击(APT)等时时刻刻在困扰着信息系统的正常运行。其中入侵检测可以防范网络扫描，防毒墙产品可以防范病毒攻击，防火墙可以防范DDOS攻击，但对于各种未知攻击和一些新兴和未知的攻击手段和行为上述三种产品和技术防范起来就很困难。 

发明内容

本发明要解决的技术问题是防范网络上各种新兴攻击行为和未知攻击行为的方法。 

为了解决上述技术问题，本发明的技术方案是提供了一种防范网络中各种新兴和未知攻击行为的方法，其特征在于，步骤为： 

第一步、建立网络控制模型，该网络控制模型以哈希链表方式组织，以源IP、目的IP、协议、目的端口号四元组为基础算出一个哈希值，再以此哈希值为基础组织哈希链表； 

第二步、利用网络控制模型对网络中的正常业务流进行学习，建立网络控制模型的业务流白环境，其步骤为： 

步骤2.1、判断接收到的报文是否为TCP类型报文或UDP类型报文，若是，则继续进入步骤2.1，若否，则将当前报文放行，进入步骤2.4； 

步骤2.2、提取IP报文的源IP、目的IP、协议、目的端口号四元组，利用该四元组算出一个哈希值； 

步骤2.3以步骤2.2得到的哈希值为参数到网络控制模型的哈希链表中查询，若查询到，则将当前IP报文的长度更新到网络流量的统计值中，进入步骤2.4，若没查询到，则判断当前报文的协议类型为TCP类型报文或UDP类型报文，若为TCP类型报文，则继续判断当前报文的TCP报文选项是否为SYN包，若是SYN包，则将包含四元组的链表节点加入哈希链表，并初始化网络流量的统计 值，进入步骤2.4，若不是SYN包，将当前报文放行，进入步骤2.4；若当前报文的协议类型为UDP类型报文，则将包含四元组的链表节点加入哈希链表，并初始化网络流量的统计值，进入步骤2.4； 

步骤2.4、判断是否达到预定的学习时间，若达到，则退出第二步，若未到达，则接收下一个报文后返回步骤2.1重新处理； 

第三步、利用建立的网络控制模型的业务流白环境对网络流量进行过滤，其步骤为： 

步骤3.1、判断接收到的报文是否为TCP类型报文或UDP类型报文，若是，则进入步骤3.2，若否，则将当前报文放行并接收下一个报文后返回步骤3.1重新处理； 

步骤3.2、提取IP报文的源IP、目的IP、协议、目的端口号四元组，利用该四元组算出一个哈希值，以该哈希值为参数到网络控制模型的哈希链表中查询，若查询到匹配的链表节点，则将实时流量统计加上本报文的流量后得出新的流量值，将新的流量值和通过第二步得到的网络流量的统计值比较，若新的流量值比网络流量的统计值大，则采用大流量动作处理当前报文后进入步骤3.3，若新的流量值比网络流量的统计值小，则在更新实时流量统计后放行当前报文，进入步骤3.3；若没有查询到匹配的链表节点，则采用不可信流量动作处理当前报文后进入步骤3.3； 

步骤3.3、若有下一个报文，则接收下一个报文后返回步骤3.1重新处理，若没有下一个报文，则跳出第三步。 

优选地，所述按照大流量动作处理当前报文和/或所述采用不可信流量动作处理当前报文为对当前报文产生告警或产生告警的同时进行丢包操作。 

本发明不依赖访问控制策略，也不依赖匹配特征，而是通过学习正常业务流，形成业务流的白环境模型，从而达到只放行正常的业务流，阻止像各种未知攻击等非正常的业务流，因此能很好的防范各种未知的攻击行为和新兴的攻击行为。 

由于采用了上述的技术方案，本发明具有以下的优点和积极效果：能够防范防火墙和入侵检测技术所不能防范的新兴攻击行为和各种未知攻击，能够确保信息系统的正常运行，保障网络中正常业务流的安全，防范核心数据泄密。 

附图说明

图1是本发明的网络控制模型建立白环境流程图； 

图2是本发明的网络控制模型过滤报文的流程图。 

具体实施方式

为使本发明更明显易懂，兹以优选实施例，并配合附图作详细说明如下。 

本发明提供了一种防范网络中各种新兴和未知攻击行为的方法，其步骤为： 

第一步、建立网络控制模型，网络控制模型以哈希链表方式组织，以源IP、目的IP、协议、目的端口号(服务)四元组为基础算出一个哈希值，再以此哈希值为基础组织哈希链表。网络控制模型只处理TCP和UDP两种类型的报文，其余类型报文默认不进入网络控制模型处理。如果为TCP类型报文，只有TCP类型的SYN报文的四元组的哈希结点才会加入到网络控制模型中，其余TCP类型的报文如果在网络控制模型中匹配到了，只更新计数，否则不处理。如果为UDP类型报文，因为UDP类型报文没有类型之分，所以处理所有UDP报文。 

网络控制模型分为学习模式和工作模式，网络控制模型的动作分为大流量和不可信流量两种类型；其中大流量的动作包括：告警、丢包+告警，不可信流量的动作也包括：告警、丢包+告警，此两个动作可配置，默认的动作采用丢包+告警。在学习模式下，学习正常业务流，建立网络控制模型的白环境；在工作模式下，将业务流匹配网络控制模型中的业务流白环境，根据匹配结果给出对业务流的处理意见：通过、警告、丢包+警告。网络控制模型以源IP、目的IP、协议、目的端口号(服务)四元组为基础建立，同时模型中包括业务流白环境的流量统计和工作模式的流量统计信息。通过四元组建立的网络控制模型可以囊括所有IP报文行为，能够模拟从哪里来(源IP)，到哪里去(目的IP)，做什么(协议+目的端口)。 

第二步、利用网络控制模型对网络中的正常业务流进行学习，建立网络控制模型的业务流白环境，即网络控制模型工作于学习模式，结合图1，其步骤为： 

步骤2.1、判断接收到的报文是否为TCP类型报文或UDP类型报文，若是，则继续进入步骤2.1，若否，则将当前报文放行，进入步骤2.4； 

步骤2.2、提取IP报文的源IP、目的IP、协议、目的端口号四元组，利用该四元组算出一个哈希值； 

步骤2.3以步骤2.2得到的哈希值为参数到网络控制模型的哈希链表中查询， 若查询到，则将当前IP报文的长度更新到网络流量的统计值中，进入步骤2.4，若没查询到，则判断当前报文的协议类型为TCP类型报文或UDP类型报文，若为TCP类型报文，则继续判断当前报文的TCP报文选项是否为SYN包，若是SYN包，则将包含四元组的链表节点加入哈希链表，并初始化网络流量的统计值，进入步骤2.4，若不是SYN包，将当前报文放行，进入步骤2.4；若当前报文的协议类型为UDP类型报文，则将包含四元组的链表节点加入哈希链表，并初始化网络流量的统计值，进入步骤2.4； 

步骤2.4、判断是否达到预定的学习时间，若达到，则退出第二步，若未到达，则接收下一个报文后返回步骤2.1重新处理； 

第三步、利用建立的网络控制模型的业务流白环境对网络流量进行过滤，即网络控制模型工作于工作模式，结合图2，其步骤为： 

步骤3.1、判断接收到的报文是否为TCP类型报文或UDP类型报文，若是，则进入步骤3.2，若否，则将当前报文放行并接收下一个报文后返回步骤3.1重新处理； 

步骤3.2、提取IP报文的源IP、目的IP、协议、目的端口号四元组，利用该四元组算出一个哈希值，以该哈希值为参数到网络控制模型的哈希链表中查询，若查询到匹配的链表节点，则将实时流量统计加上本报文的流量后得出新的流量值，将新的流量值和通过第二步得到的网络流量的统计值比较，若新的流量值比网络流量的统计值大，则采用大流量动作处理当前报文后进入步骤3.3，若新的流量值比网络流量的统计值小，则在更新实时流量统计后放行当前报文，进入步骤3.3；若没有查询到匹配的链表节点，则采用不可信流量动作处理当前报文后进入步骤3.3； 

步骤3.3、若有下一个报文，则接收下一个报文后返回步骤3.1重新处理，若没有下一个报文，则跳出第三步。 

如权利要求1所述的一种防范网络中各种新兴和未知攻击行为的方法，其特征在于：所述按照大流量动作处理当前报文和/或所述采用不可信流量动作处理当前报文为对当前报文产生告警或产生告警的同时进行丢包操作。