安全性监测方法、终端及计算机可读存储介质技术

一种安全性监测方法，所述方法包括：实时监控应用程序的请求封包；解析该请求封包并获取该请求封包的发送源端的IP地址；判断该IP地址是否在预先设置的白名单中；当该IP地址在预先设置的白名单中时，通过第一预设规则判断该请求封包的合法性；当该请求封包合法时，转发该请求封包至网络的控制器。本发明专利技术还提供一种终端及计算机可读存储介质。本发明专利技术能够在应用层和控制器层之间进行安全性监测，来对应用程序的操作进行监控和统计，在不浪费巨大时间和资源、不影响带宽的前提下保证了整个网络中应用程序接入的安全性和可靠性，提升整个网络的稳定性。稳定性。稳定性。

【技术实现步骤摘要】
安全性监测方法、终端及计算机可读存储介质


[0001]本专利技术实施例涉及安全性监测技术，尤其是涉及一种安全性监测方法、终端及计算机可读存储介质。

技术介绍

[0002]随着网络规模的急剧膨胀和业务类型的不断发展，互联网的结构和功能也日趋复杂，传统的、基于路由器为核心的网络体系架构在灵活性、可扩展性、安全性和可变动性等方面受到了更多的质疑。这种情况下，软件定义网络(Software Defined Networ,SDN)便应运而生，这种全新的网络可以将控制平面与数据平面解耦，支持集中的网络状态控制，实现底层网络基础设施对上层应用的透明。
[0003]由于恶意程序的大量演变及行为的隐藏性、SDN网络中控制平面集中管理的特性、以及北向接口多重演变的不定性，使得这种新型的网络在发展初期便受到了这种网络行为的巨大影响。具体地，随着分布式拒绝服务(Distributed Denial of Service,DDOS)攻击不再局限于协议底层，出现了向应用层发展的趋势，它可能对控制权限高度集中的SDN网络造成更大的危害。HTTP
‑
Flood是基于应用层的DDoS攻击的总称，其中请求洪泛攻击是通过大量的，高频的，合法的请求占用目标控制器的带宽。本专利技术在于解决这一安全性隐患。

技术实现思路

[0004]鉴于以上内容，有必要提供一种安全性监测方法、终端及计算机可读存储介质，能够在应用层和控制器层之间进行安全性监测，来对应用程序的操作进行监控和统计，在不浪费巨大时间和资源、不影响带宽的前提下保证了整个网络中应用程序接入的安全性和可靠性，提升整个网络的稳定性。
[0005]本专利技术实施例提供了一种安全性监测方法，应用于服务器，所述方法包括：实时监控应用程序的请求封包；解析该请求封包并获取该请求封包的发送源端的IP地址；判断该IP地址是否在预先设置的白名单中；当该IP地址在预先设置的白名单中时，通过第一预设规则判断该请求封包的合法性；当该请求封包合法时，转发该请求封包至网络的控制器。
[0006]可选地，所述方法还包括：当该IP地址不在预先设置的白名单中时，丢弃该封包。
[0007]可选地，所述通过第一预设规则判断该请求封包的合法性，包括：根据第二预设规则判断该请求封包的合法性；当根据第二预设规则判断该请求封包为合法时，监控该请求封包的请求参数；当请求参数大于一定阈值时，将该请求封包访问的应用程序列为可疑应用程序；通過K
‑
means算法对该请求封包再次进行合法性验证。
[0008]可选地，所述通过K
‑
means算法对该请求封包再次进行合法性验证，包括：提取所述可疑应用程序的访问log记录；将该访问log记录通过脚本处理后产生待检测集；将待检测集通过K
‑
means算法后产生聚类结果；将聚类结果与正常行为模型进行比对，并且判断聚类中心的距离是否异常；当聚类中心的距离异常时，则判断待检测集异常；当聚类中心的距离正常时，则判断待检测集正常。
[0009]可选地，当判断待检测集异常时，确认所述应用程序受到了攻击。
[0010]可选地，当判断待检测集正常时，确认所述应用程序未接触攻击。
[0011]本专利技术实施例还提供一种服务器，所述服务器包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的安全性监测程序，所述安全性监测程序被所述处理器执行时实现如下步骤：实时监控应用程序的请求封包；解析该请求封包并获取该请求封包的发送源端的IP地址；判断该IP地址是否在预先设置的白名单中；当该IP地址在预先设置的白名单中时，通过第一预设规则判断该请求封包的合法性；当该请求封包合法时，转发该请求封包至网络的控制器。
[0012]可选地，所述通过第一预设规则判断该请求封包的合法性，包括：根据第二预设规则判断该请求封包的合法性；当根据第二预设规则判断该请求封包为合法时，监控该请求封包的请求参数；当请求参数大于一定阈值时，将该请求封包访问的应用程序列为可疑应用程序；通過K
‑
means算法对该请求封包再次进行合法性验证。
[0013]可选地，所述通过K
‑
means算法对该请求封包再次进行合法性验证，包括：提取所述可疑应用程序的访问log记录；将该访问log记录通过脚本处理后产生待检测集；将待检测集通过K
‑
means算法后产生聚类结果；将聚类结果与正常行为模型进行比对，并且判断聚类中心的距离是否异常；当聚类中心的距离异常时，则判断待检测集异常；当聚类中心的距离正常时，则判断待检测集正常。
[0014]本专利技术实施例还提供一种计算机可读存储介质，所述计算机可读存储介质上存储有计算机程序，所述计算机程序被处理器执行时实现如上所述的安全性监测方法的步骤。
[0015]相较于现有技术，所述安全性监测方法、装置及计算机可读存储介质，能够在应用层和控制器层之间进行安全性监测，来对应用程序的操作进行监控和统计，在不浪费巨大时间和资源、不影响带宽的前提下保证了整个网络中应用程序接入的安全性和可靠性，提升整个网络的稳定性。
附图说明
[0016]图1是本专利技术较佳实施例之安全性监测系统的运行环境图。
[0017]图2是本专利技术安全性监测系统较佳实施例的程序模块图。
[0018]图3是本专利技术较佳实施例之安全性监测方法的流程图。
[0019]主要元件符号说明
[0020]服务器1安全性监测系统10存储器20处理器30监控模块101解析模块102判断模块103控制模块104步骤S300～S310
具体实施方式
[0021]参阅图1所示，是本专利技术实施方式之安全性监测系统较佳实施例的运行环境图。安全性监测系统10运行于服务器1中。服务器1中还包括存储器20和处理器30等。
[0022]其中，所述存储器20至少包括一种类型的可读存储介质，所述可读存储介质包括闪存、硬盘、多媒体卡、卡型存储器(例如，SD或DX存储器等)、随机访问存储器(RAM)、静态随机访问存储器(SRAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、可编程只读存储器(PROM)、磁性存储器、磁盘、光盘等。所述处理器30可以是中央处理器(Central Processing Unit，CPU)、控制器、微控制器、微处理器、或其他数据处理芯片等。
[0023]参阅图2所示，是本专利技术安全性监测系统10较佳实施例的程序模块图。
[0024]所述安全性监测系统10包括监控模块101、解析模块102、判断模块103及控制模块104。所述模块被配置成由一个或多个处理器(本实施例为一个处理器30)执行，以完成本专利技术。本专利技术所称的模块是完成一特定指令的计算机程序段。存储器20用于存储安全性监测系统10的程序代码等资料。所述处理器30用于执行所述存储器20中存储的程序代码。
[0025]监控模块101，用于实时监控应用程序的请求封包。<本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种安全性监测方法，其特征在于，所述方法包括：实时监控应用程序的请求封包；解析该请求封包并获取该请求封包的发送源端的IP地址；判断该IP地址是否在预先设置的白名单中；当该IP地址在预先设置的白名单中时，通过第一预设规则判断该请求封包的合法性；当该请求封包合法时，转发该请求封包至网络的控制器。2.如权利要求1所述的安全性监测方法，其特征在于，所述方法还包括：当该IP地址不在预先设置的白名单中时，丢弃该封包。3.如权利要求1所述的安全性监测方法，其特征在于，所述通过第一预设规则判断该请求封包的合法性，包括：根据第二预设规则判断该请求封包的合法性；当根据第二预设规则判断该请求封包为合法时，监控该请求封包的请求参数；当请求参数大于一定阈值时，将该请求封包访问的应用程序列为可疑应用程序；通过K
‑
means算法对该请求封包再次进行合法性验证。4.如权利要求3所述的安全性监测方法，其特征在于，所述通過K
‑
means算法对该请求封包再次进行合法性验证，包括：提取所述可疑应用程序的访问log记录；将该访问log记录通过脚本处理后产生待检测集；将待检测集通过K
‑
means算法后产生聚类结果；将聚类结果与正常行为模型进行比对，并且判断聚类中心的距离是否异常；当聚类中心的距离异常时，则判断待检测集异常；当聚类中心的距离正常时，则判断待检测集正常。5.如权利要求4所述的安全性监测方法，其特征在于，当判断待检测集异常时，确认所述应用程序受到了攻击。6.如权利要求4所述的安全性监测方法，其特征在于，当判断待检测集正常时，确认所述应用...

【专利技术属性】
技术研发人员：雷潇潇，张钊毓，
申请(专利权)人：南宁富联富桂精密工业有限公司，
类型：发明
国别省市：