网络入侵阻断方法、装置及系统的制作方法
【技术领域】
[0001]本发明涉及网络安全技术,尤其涉及一种网络入侵阻断方法、装置及系统。
【背景技术】
[0002]网络安全防护是一种网络安全技术,指致力于解决诸如如何有效进行介入控制,以及何如保证数据传输的安全性的技术手段,主要包括物理安全分析技术,网络结构安全分析技术,系统安全分析技术,管理安全分析技术,及其它的安全服务和安全机制策略。
[0003]防火墙是多年来网络安全防御的基石,如今对于稳固的基础安全来说,仍然十分需要。如果没有防火墙屏蔽有害的流量,那么企业保护自己网络资产的工作就会成倍增加。然而防火墙的基本工作原理是由于流量过滤,也就是说防火墙一般是串联在网络架构中,如果防火墙崩溃也就会导致内部网络无法正常工作。
【发明内容】
[0004]有鉴于此,有必要提供一种网络入侵阻断方法、装置及系统,其可以避免网络入侵防护装置本身对正常网络传输的影响。
[0005]一种网络入阻断方法,用于一个网络系统中,所述网络系统包括与外部网络相连的路由器、与所述路由器相连的网络终端及入侵防护装置,所述方法包括以下步骤:
[0006]所述路由器将攻击终端发送的网络数据包同时发送给所述网络终端与所述入侵防护装置;
[0007]所述入侵防护装置根据预定的检测规则分析路由器发送的网络数据包判定是否触发网络入侵事件,若检测到网络入侵事件则分别向所述网络终端及所述攻击终端发送中断连接请求以关闭所述网络终端与所述攻击终端之间已经建立的网络连接。
[0008]一种网络入侵阻断方法,用于一个网络系统中,所述网络系统包括与外部网络相连的路由器以及与所述路由器相连的网络终端,所述方法包括在一个与所述路由器相连的防护设备中进行以下步骤:
[0009]从所述路由器抓取所述外部网络发送给所述网络终端的网络数据包;
[0010]根据预定的检测规则分析抓取的网络数据包以判定是否触发网络入侵事件;以及
[0011]若检测到网络入侵事件则分别向所述网络终端及所述网络数据包的来源终端发送中断连接请求以关闭建立的网络连接。
[0012]一种网络入侵阻断系统,包括:与外部网络相连的路由器、与所述路由器相连的网络终端及入侵防护装置。
[0013]所述路由器用于将攻击终端发送的网络数据包同时发送给所述网络终端与所述入侵防护装置。
[0014]所述入侵防护装置用于根据预定的检测规则分析路由器发送的网络数据包判定是否触发网络入侵事件,若检测到网络入侵事件则分别向所述网络终端及所述攻击终端发送中断连接请求以关闭所述网络终端与所述攻击终端之间已经建立的网络连接。
[0015]一种网络入侵阻断装置,用于一个网络系统中,所述网络系统包括与外部网络相连的路由器以及与所述路由器相连的网络终端,所述装置包括:
[0016]数据抓取模块,用于在一个与所述路由器相连的防护设备中从所述路由器抓取所述外部网络发送给所述网络终端的网络数据包;
[0017]分析模块,用于根据预定的检测规则分析抓取的网络数据包以判定是否触发网络入侵事件;以及
[0018]阻断模块,用于若检测到网络入侵事件则分别向所述网络终端及所述网络数据包的来源终端发送中断连接请求以关闭建立的网络连接。
[0019]根据上述的方法、装置及系统,在检测到网络入侵事件后会模拟网络终端的身份发一份包括RST标志位的TCP数据包给攻击终端,并模拟攻击终端的身份发一份包括RST标志位的TCP数据包给网络终端。因此,攻击终端与被攻击的网络终端之间的网络连接会被中断,从而提升了网络系统的安全性。此外,由于入侵防护装置属于旁路部署,并不影响现有的网络架构,即使防护装置发生故障也不影响现有的网络流量。
[0020]为让本发明的上述和其他目的、特征和优点能更明显易懂,下文特举较佳实施例,并配合所附图式,作详细说明如下。
【附图说明】
[0021]图1为一种网络入侵阻断系统的示意图。
[0022]图2及图3为第一实施例提供的入侵防护装置的模块图。
[0023]图4为第二实施例的网络入侵检测装置的示意图。
[0024]图5为第三实施例的网络入侵检测装置的模块图。
[0025]图6为本发明实施例的网络入侵阻断装置的示意图。
[0026]图7为第四实施例的网络入侵阻断方法的流程图。
[0027]图8为第五实施例的网络入侵阻断方法的流程图。
[0028]图9为第六实施例的网络入侵阻断方法的流程图。
【具体实施方式】
[0029]为更进一步阐述本发明为实现预定发明目的所采取的技术手段及功效,以下结合附图及较佳实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅用以解释本发明,并不用于限定本发明。
[0030]本发明实施例提供一种网络入侵阻断方法,其可用于网络入侵阻断系统中。参阅图1,其为一个网络入侵阻断系统的示意图。网络入侵阻断系统100包括路由器10、防火墙11、交换机12、终端计算机13、服务器14以及入侵防护装置15。
[0031]路由器10直接与外部网络(如互联网)相连,防火墙11设置于路由器10与交换机12之间,交换机12直接负责提供终端计算机13与服务器14的网络接入。可以理解,交换机12只是网络中继设备,而终端计算机13与服务器14为网络终端。
[0032]可以理解,路由器10又称为网关设备,是用于连接多个逻辑上分开的网络,例如互联网与内部局域网(如图1所示的网络系统)。所有发给内网的数据都会经过路由器10转发。本实施例的系统中,路由器10除了将来自外部网络的数据包发送至目的终端外,还将所述数据包发送一份给入侵防护装置15。因此,当所述的来自外部网络的数据包是由攻击终端发送时,路由器10会同时将网络数据包发送给目的网络终端与入侵防护装置15。
[0033]入侵防护装置15根据预定的检测规则分析路由器发送的网络数据包判定是否触发网络入侵事件,若检测到网络入侵事件则分别向所述网络终端及所述攻击终端发送中断连接请求以关闭所述网络终端与所述攻击终端之间已经建立的网络连接。
[0034]例如,入侵防护装置15可构造包括RST标志位的第一 TCP数据包,所述第一 TCP数据包的来源IP地址以及目的IP地址分别为所述网络终端的IP地址与所述攻击终端的IP地址,并将所述第一 TCP数据包发送至所述攻击终端。
[0035]入侵防护装置15还可构造包括RST标志位的第二 TCP数据包,所述第二 TCP数据包的来源IP地址以及目的IP地址分别为所述攻击终端的IP地址与所述网络终端的IP地址,并将所述第二 TCP数据包发送给所述网络终端。
[0036]此外,若检测到网络入侵事件则入侵防护装置15还将所述攻击终端的IP地址提交给所述防火墙11以使所述防火墙11将所述来源IP地址加入封禁列表里。
[0037]进一步地,若检测到网络入侵事件入侵防护装置15还向预设的联系方式发送一条报警消息。
[0038]入侵防护装置15与防火墙11相连,其可监视所以流经防火墙11的数据,无论是从交换机12上行至路由器10的数据,还是从路由器10下行至交换机12的数据。按照图1所示架构,入侵防护装置15属于旁路部署式架构,也就是说入侵防护装置15本身并不改变现有的网络架构,只是读取并监视网络上传输的数据。
[0039]具体地,入侵防护装置15可以包括一台或者多台计算机。在一个实例中,入侵防护装置15包括一台计算机。参阅图2,入侵防护装置15包括存储器102、处理器104、存储控制器106、外设接口 108、以及网络模块110。可以理解,图2所示的结构仅为示意,其并不对入侵防护装置15的结构造成限定。例如,入侵防护装置15还可包括比图2中所示更多或者更少的组件,或者具有与图2所示不同的配置。
[0040]存储器102可用于存储软件程序以及模块,如本发明实施例中的即使通讯会话的方法及装置对应的程序指令/模块,处理器104通过运行存储在存储器102内的软件程序以及模块,从而执行各种功能应用以及数据处理,即实现上述的网络入侵阻断方法。
[0041]存储器102可包括高速随机存储器,还可包括非易失性存储器,如一个或者多个磁性存储装置、闪存、或者其他非易失性固态存储器。在一些实例中,存储器102可进一步包括相对于处理器106远程设置的存储器,这些远程存储器可以通过网络连接至电子终端100。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。处理器106以及其他可能的组件对存储器102的访问可在存储控制器104的控制下进行。
[0042]外设接口 108将各种输入/输入装置耦合至处理器106。处理器106运行存储器102内的各种软件、指令电子终端100执行各种功能以及进行数据处理。在一些实施例中,外设接口 108、处理器106以及存储控制器104可以在单个芯片中实现。在其他一些实例中,他们可以分别由独立的芯片实现。
[0043]网络模块110用于接收以及发送网络信号。上述网络信号可包括无线信号或者有线信号。在一个实例中,上述网络信号为有线网络信号。此时,网络模块110可包括处理器、随机存储器、转换器、晶体振荡器等元件。在一个实施例中,上述的网络信号为无线信号(例如射频信号)。此时网络模块110实质是射频模块,接收以及发送电磁波,实现电磁波与电信号的相互转换,从而与通讯网络或者其他设备进行通讯。射频模块可包括各种现有的用于执行这些功能的电路元件,例如,天线、射频收发器、数字信号处理器、加密/解密芯片、用户身份模块(Sm)卡