[发明专利]一种防范网络中各种新兴和未知攻击行为的方法

摘要

本发明涉及一种防范网络中各种新兴和未知攻击行为的方法，其特征在于，步骤为第一步、建立网络控制模型；第二步、利用网络控制模型对网络中的正常业务流进行学习，建立网络控制模型的业务流白环境；第三步、利用建立的网络控制模型的业务流白环境对网络流量进行过滤。本发明具有以下的优点和积极效果能够防范防火墙和入侵检测技术所不能防范的新兴攻击行为和各种未知攻击，能够确保信息系统的正常运行，保障网络中正常业务流的安全，防范核心数据泄密。

主权项

一种防范网络中各种新兴和未知攻击行为的方法，其特征在于，步骤为：第一步、建立网络控制模型，该网络控制模型以哈希链表方式组织，以源IP、目的IP、协议、目的端口号四元组为基础算出一个哈希值，再以此哈希值为基础组织哈希链表；第二步、利用网络控制模型对网络中的正常业务流进行学习，建立网络控制模型的业务流白环境，其步骤为：步骤2.1、判断接收到的报文是否为TCP类型报文或UDP类型报文，若是，则继续进入步骤2.2，若否，则将当前报文放行，进入步骤2.4；步骤2.2、提取IP报文的源IP、目的IP、协议、目的端口号四元组，利用该四元组算出一个哈希值；步骤2.3以步骤2.2得到的哈希值为参数到网络控制模型的哈希链表中查询，若查询到，则将当前IP报文的长度更新到网络流量的统计值中，进入步骤2.4，若没查询到，则判断当前报文的协议类型为TCP类型报文或UDP类型报文，若为TCP类型报文，则继续判断当前报文的TCP报文选项是否为SYN包，若是SYN包，则将包含四元组的链表节点加入哈希链表，并初始化网络流量的统计值，进入步骤2.4，若不是SYN包，将当前报文放行，进入步骤2.4；若当前报文的协议类型为UDP类型报文，则将包含四元组的链表节点加入哈希链表，并初始化网络流量的统计值，进入步骤2.4；步骤2.4、判断是否达到预定的学习时间，若达到，则退出第二步，若未到达，则接收下一个报文后返回步骤2.1重新处理；第三步、利用建立的网络控制模型的业务流白环境对网络流量进行过滤，其步骤为：步骤3.1、判断接收到的报文是否为TCP类型报文或UDP类型报文，若是，则进入步骤3.2，若否，则将当前报文放行并接收下一个报文后返回步骤3.1重新处理；步骤3.2、提取IP报文的源IP、目的IP、协议、目的端口号四元组，利用该四元组算出一个哈希值，以该哈希值为参数到网络控制模型的哈希链表中查询，若查询到匹配的链表节点，则将实时流量统计加上本报文的流量后得出新的流量值，将新的流量值和通过第二步得到的网络流量的统计值比较，若新的流量值比网络流量的统计值大，则采用大流量动作处理当前报文后进入步骤3.3，若新的流量值比网络流量的统计值小，则在更新实时流量统计后放行当前报文，进入步骤3.3；若没有查询到匹配的链表节点，则采用不可信流量动作处理当前报文后进入步骤3.3；所述按照大流量动作处理当前报文和/或所述采用不可信流量动作处理当前报文为对当前报文产生告警或产生告警的同时进行丢包操作；步骤3.3、若有下一个报文，则接收下一个报文后返回步骤3.1重新处理，若没有下一个报文，则跳出第三步。