进行检测识别哪些目标IP地址为监控设备的IP地址,例如1小时、2小时等时间,并将该目标IP地址标记为监控设备。对监控设备进行识别,有利于对监控网络进行专项防御,加强监控网络的安全。
[0061 ]步骤S140,获取与该目标IP地址相关的访问行为。
[0062]具体的,若该目标IP地址为监控设备的IP地址,可对该目标IP地址进行标记,并对标记过的目标IP地址的网络连接进行安全检测,监控所有被标记为监控设备的目标IP地址相关的访问行为。可着重抓取标记过的目标IP地址的网络连接中的数据包,并对数据包进行应用层协议解析得到与标记过的目标IP地址相关的行为信息,并根据行为信息判断访问行为中是否存在异常行为。例如,对数据包的HTTP协议进行解析,HTTP的头部字段或主体部分中经常包含有与目标IP地址相关的行为信息,通过行为信息可以分析源IP地址对目标IP地址执行的操作,例如登录、下载文件、调整监控角度等操作。
[0063]步骤S150,判断访问行为是否存在异常行为,若是,则执行步骤S160,若否,则执行步骤S140。
[0064]具体的,可检测与目标IP地址相关的访问行为中是否存在访问者在对监控设备进行异常行为,异常行为可包括安全攻击行为、安全试探行为、暴力登录等入侵攻击操作,例如对监控设备的网络页面执行sql注入攻击(数据库攻击)、xss攻击(Cross SiteScripting,跨脚本攻击)、下载数据库文件、上传恶意程序到监控设备等操作,但不限于此。
[0065]步骤S160,阻断异常行为。
[0066]具体的,当发现存在异常行为时,可阻断正在进行的异常行为,也可直接阻断进行异常行为的访问源IP地址对监控设备的访问。
[0067]上述监控网络的安全防御方法,通过接收并解析网络访问请求,得到目标字段,并判断与该网络访问请求匹配的目标IP地址是否为监控设备,能够识别网络内的哪些设备为监控设备,并对与监控设备相关的访问行为进行监控,当发生异常行为时,能阻断攻击者对监控设备的异常行为,保护监控网络的安全,对监控网络进行安全防御。
[0068]如图2所示,在一个实施例中,在步骤S140之后,还包括步骤S142和步骤S144。
[0069]步骤S142,根据预设的爬虫指纹库检测访问行为中是否包含爬虫指纹信息,若是,则执行步骤S144,若否,则执行步骤S140。
[0070]具体的,爬虫指纹库中存储有各类爬虫的指纹信息,爬虫指纹信息指的是通过某些特殊字段即可识别该爬虫,则该特殊字段即为爬虫指纹信息。例如百度爬虫的指纹信息为baidu-spider,谷歌爬虫的指纹信息为google-spider,sqlmap扫描器的指纹信息为sqlmap等。获取了被标记为监控设备的目标IP地址相关的访问行为后,可检测该访问行为中是否包含爬虫指纹信息,例如,可通过检测HTTP头部字段中的user-agent字段中是否包含有baidu-spider字段、googl e-spider字段或sqlmap字段等爬虫指纹信息来判断该访问行为中是否包含爬虫指纹信息,但不限于此。
[0071 ]步骤S144,拦截与爬虫指纹信息相匹配的访问源IP地址对该目标IP地址的访问。
[0072]具体的,若检测到被标记为监控设备的目标IP地址相关的访问行为中包含爬虫指纹信息,则拦截与爬虫指纹信息相匹配的站点或扫描器对应的IP地址对该目标IP地址的访问,例如检测到访问行为中包含google-spider字段,则拦截谷歌网站的IP地址对该目标IP地址的访问,可防止搜索引擎对监控设备的信息进行搜索,保护监控网络不泄露到互联网中,可以使攻击者较难找到监控网络的入口。
[0073]上述监控网络的安全防御方法,可识别并捕获爬虫,防止搜索引擎或扫描器等对监控设备的信息进行搜索,保护监控网络不泄露到互联网中,并使攻击者较难找到监控网络的入口,保护监控网络安全。
[0074]如图3所示,在一个实施例中,步骤判断访问行为是否存在异常行为,若存在异常行为,则阻断异常行为,具体包括以下步骤:
[0075]步骤S302,判断访问行为中是否包含目标IP地址的登录特征,若是,则执行步骤S304,若否,则执行步骤S306。
[0076]具体的,登录特征可包括登录路径或登录时具体的字段信息等,其中,登录路径及登录时具体的字段信息均可由管理员通过策略进行配置,也可通过内置的登录数据库获取预先存储的登录特征,例如,登录路径为/path/login.php,登录时具体的字段信息为“user=*,pass = *”等,并检测获取的被标记为监控设备的目标IP地址相关的访问行为中是否包含登录特征,若是,则表示访问者正在对该目标IP地址,即监控设备执行登录操作。也可先解析获取的访问行为得到目标字段并识别目标IP地址对应的监控设备,再获取与该监控设备匹配的预先存储的登录特征,并进行检测判断。
[0077]步骤S304,执行登录操作。
[0078]具体的,若访问行为中包含监控设备的登录特征,则表示访问者在对该目标IP地址执行登录操作。
[0079]步骤S306,不执行登录操作。
[0080]步骤S308,判断执行登录操作的次数在预定时间内是否超过预设阈值,若是,则执行步骤S310,若否,则执行步骤S312。
[0081]具体的,预定时间及预设阈值均可根据实际情况进行设定,例如可设置在1分钟内执行登录操作的次数超过20次,或是在2分钟内执行登录操作30次等。可记录每一次访问源IP地址对被标记为监控设备的目标IP地址的登录操作,当同一访问源IP地址对同一目标IP地址执行登录操作的次数在预定时间内超过预设阈值,则表示访问者可能在执行暴力登录操作,立即阻断执行登录操作的访问源IP地址对该目标IP地址的登录操作。
[0082]步骤S310,阻断执行登录操作的访问源IP地址对该目标IP地址的登录操作。
[0083]具体的,当发现存在暴力登录时,可阻断执行登录操作的访问源IP地址对该目标IP地址的登录操作,并对管理员进行告警,提示有访问者正在进行暴力登录。
[0084]步骤S312,检测访问行为中登录目标IP地址成功的账号是否存在安全试探行为和/或安全攻击行为,若是,则执行步骤S314,若否,则执行步骤S316。
[0085]具体的,当某个账号登录被标记为监控设备的目标IP地址成功后,可监控该账号的行为是否存在安全试探行为和/或安全攻击行为。安全试探行为指的是该账号对监控设备执行一些可能影响到监控网络安全的行为,例如下载包含关键信息的文件,其中,关键信息可为账号、密码等信息,但不限于此,或是下载数据库文件等。安全攻击行为指的是该账号对监控网络直接进行攻击操作,例如sql注入攻击、xss攻击、上传webshe 11到监控设备、上传恶意程序到监控设备等。
[0086]步骤S314,阻断账号的安全试探行为和/或安全攻击行为。
[0087]具体的,当发现某个账号存在安全试探行为和/或安全攻击行为,则直接阻断该账号的安全试探行为和/或安全攻击行为,并向管理员进行告警,提示该账号正在实施异常行为,可删除该账号对应的登录信息或重新修改密码等。
[0088]步骤S316,不作处理。
[0089]上述监控网络的安全防御方法,可对登录操作及账号行为进行监控,当发现暴力登录或是某个账号正在实施全试探行为和/或安全攻击行为时,能即时进行阻断,保护监控网络中的监控设备的账号安全,对监控设备的登录情况进行保护。可以理解的,在其它的实施例中,步骤根据行为信息判断是否发生异常行为,若发生异常行为,则阻断异常行为,可以仅包括上述的步骤S302至步骤S310,或仅包括步骤S312至步骤S316。
[0090]在一个实施例中,步骤根据行为信息判断是否发生异常行为,若发生异常行为,则阻断异常行为,还包括以下步骤:
[0091](1)根据预先编写的安全规则检测访问行为中是否存在安全试探行为和/或安全攻击行为。
[0092]具体的,可预先编写安全规则对可能存在的安全试探行为和/或安全攻击行为进行防御,例如某个摄像头存在数据库下载的漏洞,则可先编写针对该漏洞的安全规则,即可防御从该摄像头下载数据库文件,还可编写防御网页攻击的安全规则,防御发生sql注入、弱口令、上传webshell到监控设备等网页攻击行为。然后根据预先编写的安全规则检测获取的被标记为监控设备的目标IP地址相关的访问行为中是否有访问者正在对该目标IP地址执行安全试探行为和/或安全攻击行为。例如下载包含关键信息的文件、下载数据库文件、sql注入攻击、xss攻击、上传webshe 11到监控设备、上传恶意程序到监控设备等,其中,关键信息可为账号、密码等信息,但不限于此。
[0093](2)若发现安全试探行为和/或安全攻击行为,则阻断该安全试探行为和/或安全攻击行为。
[0094]具体的,当发现安全试探行为和/或安全攻击行为时,则直接阻断该安全试探行为和/或安全攻击行为,并向管理员进行告警,提示有人正在入侵监控网络。
[0095]上述监控网络的安全防御方法,可通过预先编写的安全规则防御各种攻击行为,保护监控网络的安全。
[0096]在一个实施例中,上述监控网络的安全防