基于动态IP黑名单的网络入侵主动防御系统及方法技术方案

本发明专利技术公开了一种基于动态IP黑名单的网络入侵主动防御系统及方法，系统包括：IP阻断模块、IP地址锁定模块、Http/Https请求接收模块、预过滤模块、主动防御检测模块和威胁度计算模块；通过IP阻断模块、预过滤模块和主动防御检测模块实现对恶意IP地址访问请求依次进行初始化阻断、初步检测过滤和主动检测等多级防御检测，降低主动防御漏报和误报率，满足了高性能的要求。通过威胁度计算模块，对动态IP黑名单进行动态实时更新，提高了防御效果和执行效率。行效率。行效率。

【技术实现步骤摘要】
基于动态IP黑名单的网络入侵主动防御系统及方法


[0001]本专利技术涉及网络安全
，更具体的说是涉及一种基于动态IP黑名单的网络入侵主动防御系统及方法。

技术介绍

[0002]随着计算机网络技术的高速发展和普及，信息化已成为人类社会发展的大趋势。但是，由于计算机网络具有联结形式多样性，终端分布不均匀性和网络额开放性、互联性等特征，致使网络容易收到黑客、恶意软件和其他不轨行为的攻击，威胁网络信息的安全。
[0003]传统的安全防御措施大多是通过分析某些设备安全设备的日志对已经发生的攻击行为进行分析和监测，基本都是被动防御的思路，缺乏网络安全态势感知与联动预警的能力，防御效果差，且无法对入侵详情进行自动统计和可视化显示。
[0004]因此，如何提供一种能够对网络进行动态实时主动防御，且能对入侵详情进行可视化显示的主动防御系统及方法是本领域技术人员亟需解决的问题。

技术实现思路

[0005]有鉴于此，本专利技术提供了一种基于动态IP黑名单的网络入侵主动防御系统及方法，能够Web网络进行动态实时主动防御，并能对入侵详情进行可视化显示，提高了防御效果和执行效率。
[0006]为了实现上述目的，本专利技术采用如下技术方案：
[0007]一种基于动态IP黑名单的网络入侵主动防御系统，包括：IP阻断模块、IP地址锁定模块、Http/Https请求接收模块、预过滤模块、主动防御检测模块和威胁度计算模块；
[0008]所述IP阻断模块设置于防火墙中，其用于对客户机进行初始化阻断，并将客户机地址添加至所述第一IP地址锁定模块中的IP地址共享池中；
[0009]所述Http/Https请求接收模块用于对客户机的访问请求进行捕获，并针对Https协议进行SSL解密和加密，对各种编码和字符集进行标准化处理，将访问请求缓存至接受队列中等待被检测；
[0010]所述预过滤模块用于对客户机地址进行初步检测，若未通过初步检测，则阻止访问请求，若通过初步检测，则将访问请求发送到所述主动防御检测模块；
[0011]所述主动防御检测模块用于对当前周期访问请求中出现的网络异常行为和WEB内容进行分析，如果检测到疑似攻击入侵动作，则进行客户机地址阻断的同时，将疑似攻击入侵动作以日志形式进行缓存并存储；
[0012]所述威胁度计算模块用于对同一周期内缓存的日志进行分析，计算客户机地址的威胁系数，并将客户机地址和对应的威胁系数添加至动态IP黑名单中；
[0013]所述IP地址锁定模块用于对动态IP黑名单中的地址进行锁定，并将锁定的地址存放至防火墙IP阻断模块。
[0014]进一步的，在上述一种基于动态IP黑名单的网络入侵主动防御系统中，所述主动
防御检测模块包括：主动防御检测单元、IP地址锁定单元、日志缓存单元、日志存储单元和转发单元；
[0015]所述主动防御检测单元用于获取消息队列中等待被检测的访问请求，对当前周期访问请求中出现的网络异常行为和WEB内容进行分析，如果未检测到疑似攻击入侵动作，则将访问请求通过所述转发单元发送至WEB服务器；
[0016]所述IP地址锁定单元用于在所述主动防御检测单元检测到疑似攻击入侵动作时，对客户机地址进行阻断；
[0017]所述日志缓存单元用于在所述主动防御检测单元检测到疑似攻击入侵动作时，将疑似攻击入侵动作以日志形式进行缓存；
[0018]所述日志存储单元用于在所述主动防御检测单元检测到疑似攻击入侵动作时，将疑似攻击入侵动作以日志形式进行存储，得到攻击日志。
[0019]进一步的，在上述一种基于动态IP黑名单的网络入侵主动防御系统中，还包括：可视化显示模块；
[0020]所述可视化显示模块用于对存储的日志进行分析，得到可视化图；所述可视化图由入口文件视图、主动防御分时统计图、入侵IP地址统计图和受侵网站统计图组成；
[0021]所述入口文件视图用于对入口的文件进行分时攻击次数统计，并可视化显示相关文件名；
[0022]所述主动防御分时统计图用于实时对主动防御攻击次数进行可视化显示；
[0023]所述入侵IP地址统计图用于实时对入侵IP地址和次数进行可视化显示；
[0024]所述受侵网站统计图用于实时对受侵网站和次数进行可视化显示。
[0025]进一步的，在上述一种基于动态IP黑名单的网络入侵主动防御系统中，所述预过滤模块用于判断客户机地址是否存在于动态IP黑名单中，若存在，则将客户机地址的威胁系数数值与预设值进行对比，大于预设值，则阻止访问请求，小于预设值或不存在于动态IP黑名单中，则将访问请求发送至所述主动防御检测模块进行进一步检测。
[0026]进一步的，在上述一种基于动态IP黑名单的网络入侵主动防御系统中，所述威胁度计算模块还用于当动态IP黑名单中某一IP地址对应的威胁系数数值小于等于零时，将该IP地址从动态IP黑名单中移除。
[0027]本专利技术还公开一种基于动态IP黑名单的网络入侵主动防御方法，包括：
[0028]对客户机进行初始化阻断，并将客户机地址进行锁定，并存放于IP地址共享池中；
[0029]对客户机的访问请求进行捕获，并针对Https协议进行SSL解密和加密，对各种编码和字符集进行标准化处理，将访问请求缓存至接受队列中等待被检测；
[0030]对客户机地址进行初步检测，若未通过初步检测，则阻止访问请求，若通过初步检测，则对访问请求进行主动防御检测；
[0031]对当前周期访问请求中出现的网络异常行为和WEB内容进行分析，如果检测到疑似攻击入侵动作，则进行客户机地址阻断的同时，将疑似攻击入侵动作以日志形式进行缓存并存储；
[0032]对同一周期内缓存的日志进行分析，计算客户机地址的威胁系数，并将客户机地址和对应的威胁系数添加至动态IP黑名单中；
[0033]对动态IP黑名单中的地址进行锁定，并将锁定的地址存放至防火墙中，后续锁定
的地址访问防火墙时，直接阻断。
[0034]进一步的，在上述一种基于动态IP黑名单的网络入侵主动防御方法中，还包括：
[0035]对当前周期访问请求中出现的网络异常行为和WEB内容进行分析时，如果未检测到疑似攻击入侵动作，则将访问请求转发至WEB服务器。
[0036]进一步的，在上述一种基于动态IP黑名单的网络入侵主动防御方法中，客户机地址的威胁系数的计算过程为：
[0037]分析所存储的攻击入侵动作日志，确定不同攻击源地址IP1,IP2,IP3，
…
,IP
i
对应的攻击事件子集A1,A2,
…
A
i
；
[0038]根据IP
i
对应的攻击事件子集A
i
中不同频次、不同时间段、不同地域、不同规则的重要性，分别确定IP
i
对应的攻击事件子集A
i
中当前周期的攻击频次、攻击时间本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于动态IP黑名单的网络入侵主动防御系统，其特征在于，包括：IP阻断模块、IP地址锁定模块、Http/Https请求接收模块、预过滤模块、主动防御检测模块和威胁度计算模块；所述IP阻断模块设置于防火墙中，其用于对客户机进行初始化阻断，并将客户机地址添加至所述第一IP地址锁定模块中的IP地址共享池中；所述Http/Https请求接收模块用于对客户机的访问请求进行捕获，并针对Https协议进行SSL解密和加密，对各种编码和字符集进行标准化处理，将访问请求缓存至接受队列中等待被检测；所述预过滤模块用于对客户机地址进行初步检测，若未通过初步检测，则阻止访问请求，若通过初步检测，则将访问请求发送到所述主动防御检测模块；所述主动防御检测模块用于对当前周期访问请求中出现的网络异常行为和WEB内容进行分析，如果检测到疑似攻击入侵动作，则进行客户机地址阻断的同时，将疑似攻击入侵动作以日志形式进行缓存并存储；所述威胁度计算模块用于对同一周期内缓存的日志进行分析，计算客户机地址的威胁系数，并将客户机地址和对应的威胁系数添加至动态IP黑名单中；所述IP地址锁定模块用于对动态IP黑名单中的地址进行锁定，并将锁定的地址存放至防火墙IP阻断模块。2.根据权利要求1所述的一种基于动态IP黑名单的网络入侵主动防御系统，其特征在于，所述主动防御检测模块包括：主动防御检测单元、IP地址锁定单元、日志缓存单元、日志存储单元和转发单元；所述主动防御检测单元用于获取消息队列中等待被检测的访问请求，对当前周期访问请求中出现的网络异常行为和WEB内容进行分析，如果未检测到疑似攻击入侵动作，则将访问请求通过所述转发单元发送至WEB服务器；所述IP地址锁定单元用于在所述主动防御检测单元检测到疑似攻击入侵动作时，对客户机地址进行阻断；所述日志缓存单元用于在所述主动防御检测单元检测到疑似攻击入侵动作时，将疑似攻击入侵动作以日志形式进行缓存；所述日志存储单元用于在所述主动防御检测单元检测到疑似攻击入侵动作时，将疑似攻击入侵动作以日志形式进行存储，得到攻击日志。3.根据权利要求1所述的一种基于动态IP黑名单的网络入侵主动防御系统，其特征在于，还包括：可视化显示模块；所述可视化显示模块用于对存储的日志进行分析，得到可视化图；所述可视化图由入口文件视图、主动防御分时统计图、入侵IP地址统计图和受侵网站统计图组成；所述入口文件视图用于对入口的文件进行分时攻击次数统计，并可视化显示相关文件名；所述主动防御分时统计图用于实时对主动防御攻击次数进行可视化显示；所述入侵IP地址统计图用于实时对入侵IP地址和次数进行可视化显示；所述受侵网站统计图用于实时对受侵网站和次数进行可视化显示。4.根据权利要求1所述的一种基于动态IP黑名单的网络入侵主动防御系统，其特征在
于，所述预过滤模块用于判断客户机地址是否存在于动态IP黑名单中，若存在，则将客户机地址的威胁系数数值与预设值进行对比，大于预设值，则阻止访问请求，小于预设值或不存在于动态IP黑名单中，则将访问请求发送至所述主动防御检测模块进行进一步检测。5.根据权利要求1所述的一种基于动态IP黑名单的网络入侵主动防御系统，其特征在于，所述威胁度计算模块还用于当动态IP黑名单中某一IP地址对应的威胁系数数值小于等于零时，将该IP地址从动态IP黑名单中移除。6.一种基于动态IP黑名单的网络入侵主动防御方法，其特征在于，包括：对客户机进行初始化阻断，并将客户机地址进行锁定，并存放于IP地址共享池中；对客户机的访问请求进行捕获，并针对Https协议进行SSL解密和加密，对各种编码和字符集进行标准化处理，将访问请求缓存至接受队列中等待被检测；对客户机地址进行初步检测，若未通过初步检测，则阻止访问请求，若通过初步检测，则对访问请求进行主动防御检测；对当前周期访问请求中出现的网络异常行为...

【专利技术属性】
技术研发人员：刘勇，赵昕晖，蒙杰，杨生举，保继栋，
申请(专利权)人：甘肃省科学技术情报研究所甘肃省科学技术发展战略研究院，
类型：发明
国别省市：