[发明专利]一种防范网络中各种新兴和未知攻击行为的方法

说明书

技术领域

本发明涉及一种对网络流量进行过滤从而防范各种未知攻击行为和新兴攻击行为的方法。 

背景技术

随着计算机技术和网络技术的飞速发展，网络攻击行为层出不穷，网络扫描、病毒、DDOS攻击、各种未知攻击(APT)等时时刻刻在困扰着信息系统的正常运行。其中入侵检测可以防范网络扫描，防毒墙产品可以防范病毒攻击，防火墙可以防范DDOS攻击，但对于各种未知攻击和一些新兴和未知的攻击手段和行为上述三种产品和技术防范起来就很困难。 

发明内容

本发明要解决的技术问题是防范网络上各种新兴攻击行为和未知攻击行为的方法。 

为了解决上述技术问题，本发明的技术方案是提供了一种防范网络中各种新兴和未知攻击行为的方法，其特征在于，步骤为： 

第一步、建立网络控制模型，该网络控制模型以哈希链表方式组织，以源IP、目的IP、协议、目的端口号四元组为基础算出一个哈希值，再以此哈希值为基础组织哈希链表； 

第二步、利用网络控制模型对网络中的正常业务流进行学习，建立网络控制模型的业务流白环境，其步骤为： 

步骤2.1、判断接收到的报文是否为TCP类型报文或UDP类型报文，若是，则继续进入步骤2.1，若否，则将当前报文放行，进入步骤2.4； 

步骤2.2、提取IP报文的源IP、目的IP、协议、目的端口号四元组，利用该四元组算出一个哈希值； 

步骤2.3以步骤2.2得到的哈希值为参数到网络控制模型的哈希链表中查询，若查询到，则将当前IP报文的长度更新到网络流量的统计值中，进入步骤2.4，若没查询到，则判断当前报文的协议类型为TCP类型报文或UDP类型报文，若为TCP类型报文，则继续判断当前报文的TCP报文选项是否为SYN包，若是SYN包，则将包含四元组的链表节点加入哈希链表，并初始化网络流量的统计 值，进入步骤2.4，若不是SYN包，将当前报文放行，进入步骤2.4；若当前报文的协议类型为UDP类型报文，则将包含四元组的链表节点加入哈希链表，并初始化网络流量的统计值，进入步骤2.4； 

步骤2.4、判断是否达到预定的学习时间，若达到，则退出第二步，若未到达，则接收下一个报文后返回步骤2.1重新处理； 

第三步、利用建立的网络控制模型的业务流白环境对网络流量进行过滤，其步骤为： 

步骤3.1、判断接收到的报文是否为TCP类型报文或UDP类型报文，若是，则进入步骤3.2，若否，则将当前报文放行并接收下一个报文后返回步骤3.1重新处理； 

步骤3.2、提取IP报文的源IP、目的IP、协议、目的端口号四元组，利用该四元组算出一个哈希值，以该哈希值为参数到网络控制模型的哈希链表中查询，若查询到匹配的链表节点，则将实时流量统计加上本报文的流量后得出新的流量值，将新的流量值和通过第二步得到的网络流量的统计值比较，若新的流量值比网络流量的统计值大，则采用大流量动作处理当前报文后进入步骤3.3，若新的流量值比网络流量的统计值小，则在更新实时流量统计后放行当前报文，进入步骤3.3；若没有查询到匹配的链表节点，则采用不可信流量动作处理当前报文后进入步骤3.3； 

步骤3.3、若有下一个报文，则接收下一个报文后返回步骤3.1重新处理，若没有下一个报文，则跳出第三步。 

优选地，所述按照大流量动作处理当前报文和/或所述采用不可信流量动作处理当前报文为对当前报文产生告警或产生告警的同时进行丢包操作。 

本发明不依赖访问控制策略，也不依赖匹配特征，而是通过学习正常业务流，形成业务流的白环境模型，从而达到只放行正常的业务流，阻止像各种未知攻击等非正常的业务流，因此能很好的防范各种未知的攻击行为和新兴的攻击行为。 

由于采用了上述的技术方案，本发明具有以下的优点和积极效果：能够防范防火墙和入侵检测技术所不能防范的新兴攻击行为和各种未知攻击，能够确保信息系统的正常运行，保障网络中正常业务流的安全，防范核心数据泄密。 

附图说明

图1是本发明的网络控制模型建立白环境流程图； 

图2是本发明的网络控制模型过滤报文的流程图。 

具体实施方式

为使本发明更明显易懂，兹以优选实施例，并配合附图作详细说明如下。 

本发明提供了一种防范网络中各种新兴和未知攻击行为的方法，其步骤为：