一种基于VLAN用户组的防主机IP扫描方法

技术领域

本发明属于网络安全防护技术领域，具体涉及一种基于VLAN用户组的防主机IP扫描方法。

背景技术

传统的网络安全防护中，一般使用防火墙作为主要的安全防护方案。防火墙技术是通过有机结合各类用于安全管理与筛选的软件和硬件设备，帮助计算机网络于其内、外网之间构建一道相对隔绝的保护屏障，以保护用户资料与信息安全性的一种技术。

传统的防病毒办法有探针、蜜罐等，通过过滤、镜像来获取检查所有数据，通过判断应用层网络数据包内是否包含病毒代码特征，把恶意程序的代码特征和行为特征作为比对依据。

现有技术缺陷和不足：防火墙只能做内网和外网之间的边界隔离，内网中非法通信、恶意攻击在网络上无法监测和制止。个人防火墙，防病毒软件只查自己，对内网中的病毒蠕虫等恶意传播无能为力。防火墙可以阻断攻击，但不能消灭攻击源。防火墙的并发连接数设置容易导致拥塞或溢出。防火墙本身也会出现问题和受到攻击，依然有着漏洞和bug。探针、蜜罐、防火墙等会获取、检查所有的数据，对网络资源占用很大。探针占用很多的网络端口，需要部署很多的探针设备，增加成本。防火墙在使用中会严重拖慢网络速度。

传统防护方案用户痛点：

1)传统的防病毒检测手段技术，在方法上是通过判断病毒的代码特征，重编译等去特征化处理或者新的病毒代码和漏洞，规避防护系统的检测。

2)传统的访问控制和边界防护技术，是检测IP、通讯协议和通讯内容来限定计算机通讯范围，但是恶意的木马程序和蠕虫病毒程序，可以通过篡改IP、选择不同通讯协议和内容加密等来实现规避。

3)传统的IP扫描侦听方式是探针方式或重点设备网络主干线放置侦听设备/侦听器，导致受放置位置影响，拓扑和其冗余结构影响，拓扑无法侦听和判断IP主机扫描，目前国家标准入侵防护测试仅有分布式ICMP ping扫描，但所有的包仍需要到达侦听端口,网络病毒IP扫描攻击大多不采用Ping扫描，所以在实际使用中，无法实现。由于交换机制的存在，实际IP包，并不一定经过侦听口。

结论：传统的防病毒方案无法确认防御效果，成本高，防御效果不佳，为此我们提出一种基于VLAN用户组的防主机IP扫描方法。

发明内容

本发明的目的在于提供一种基于VLAN用户组的防主机IP扫描方法，以解决上述背景技术中提出的问题。

为实现上述目的，本发明提供如下技术方案：一种基于VLAN用户组的防主机IP扫描方法，其特征在于：包括以下步骤：

S1.创建安全区：将相关联的交换机放入到对应的安全区中；

S2.建立系统：按实际生产、工作需要建立对应的系统，所述系统包括VLAN用户组划分单元、安全防护单元、链路层数据单元、数据帧分析单元；

S3.创建隔离组：对应S1中的安全区和S2中的系统，创建隔离组，根据隔离组，创建两两连接的访问控制组，将分配的交换机的端口划分到访问控制组中，自动计算并设置二层端口VLAN的PVID和允许的VLAN tag，并完成VLAN间的的隔离和访问逻辑拓扑结构；

S4.开启全局的安全防护，选择相应的防护规则：当发现威胁时，系统会采取相应的防护措施；

S5.为所有的隔离组端口，指定合法的通信范围，自动创建端口访问列表，控制端口的通信规则；

S6.获取链路层的数据包以及侦听网络中所有的寻址表现，将用户指定的通信范围做为判断依据，依据病毒、木马的攻击原理来判断攻击，把攻击行为阻断在初期。

优选的，所述S3中的隔离组由一个或多个VLAN构建成用户组，所述用户组为VLAN用户组，所述S3中的访问控制组用于完成用户组的隔离和互通技术在链路层中实现且不通过路由转发以避免无法侦听ARP主机扫描。

优选的，所述S2中的VLAN用户组划分单元用于按安全区和系统划分为若干VLAN用户组，将网络分为若干局域网，对安全区的指定和对系统进行命名，还可以对每台交换机的端口进行分配，分配完成后，所述VLAN用户组划分单将自动计算并设置交换机端口的PVID和允许通过的VLAN。

优选的，所述S2中的安全防护单元用于配置扫描防护IP和全局组属性配置。

优选的，所述配置扫描防护IP具体是指输入端口连接终端IP地址，保存配置后，生成合法通信范围，作为是否发生病毒攻击的判断依据，同时所述配置扫描防护IP还可以配置默认防护常规项，自动对病毒攻击做出操作，用于对使用者起到帮助和提示。

优选的，所述全局组属性配置包括防扫描、告警、隔离、关端口，所述防扫描在启用勾选时表示开启防扫描系统，在未勾选时表示关闭防扫描系统，所述告警、隔离、关端口用于表示对病毒攻击的默认操作。

优选的，所述S2中的链路层数据单元用于依据病毒原理，任何发往交换机端口的ARP数据包，均会被捕获，但不影响数据包的转发，捕获的数据包会筛选出源IP、目的IP，然后将交换机端口号、端口PVID一起组成数据信息，然后将信息发往数据帧分析单元。

优选的，所述病毒原理的具体依据为：病毒首先确定网络内存活主机，在链路层进行数据传输，获取链路层数据包，即可确定是否产生病毒攻击，在前期进行防范，所述链路层数据包主要是ARP数据包。

优选的，所述S2中的数据帧分析单元用于分析链路层数据单元发来的数据信息，会对端口PVID和IP地址，包含源IP和目的IP，根据安全防护单元的配置进行合法性判断，合法则丢弃，不合法则产生告警信息，所述数据帧分析单元主要是依据PVID所对应的允许通信的IP范围作出判断。

与现有技术相比，本发明的有益效果是：本发明基于网络病毒的原理进行防护，防得住，符合等保要求，经济可靠，维护简便，不影响网络带宽和实时性，具有先进性的威胁感知和主动防御功能。

附图说明

图1为本发明的流程图；

图2为本发明中的VLAN用户组划分的示例示意图；

图3为本发明中的配置扫描防护IP示意图；

图4为本发明中的全局组属性配置示意图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

实施例1

请参阅图1-4，本发明提供一种技术方案：一种基于VLAN用户组的防主机IP扫描方法，包括以下步骤：

S1.创建安全区：将相关联的交换机放入到对应的安全区中；

S2.建立系统：按实际生产、工作需要建立对应的系统，所述系统包括VLAN用户组划分单元、安全防护单元、链路层数据单元、数据帧分析单元；

S3.创建隔离组：对应S1中的安全区和S2中的系统，创建隔离组，根据隔离组，创建两两连接的访问控制组，将分配的交换机的端口划分到访问控制组中，自动计算并设置二层端口VLAN的PVID和允许的VLAN tag，并完成VLAN间的的隔离和访问逻辑拓扑结构；

S4.开启全局的安全防护，选择相应的防护规则：当发现威胁时，系统会采取相应的防护措施；

S5.为所有的隔离组端口，指定合法的通信范围，自动创建端口访问列表，控制端口的通信规则；

S6.获取链路层的数据包以及侦听网络中所有的寻址表现，将用户指定的通信范围做为判断依据，依据病毒、木马的攻击原理来判断攻击，把攻击行为阻断在初期。

本实施例中，优选的，所述S3中的隔离组由一个或多个VLAN构建成用户组，所述用户组为VLAN用户组，所述S3中的访问控制组用于完成用户组的隔离和互通技术在链路层中实现且不通过路由转发以避免无法侦听ARP主机扫描。

本实施例中，优选的，所述S2中的VLAN用户组划分单元用于按安全区和系统划分为若干VLAN用户组，将网络分为若干局域网，对安全区的指定和对系统进行命名，还可以对每台交换机的端口进行分配，分配完成后，所述VLAN用户组划分单将自动计算并设置交换机端口的PVID和允许通过的VLAN。

本实施例中，优选的，所述S2中的安全防护单元用于配置扫描防护IP和全局组属性配置。

本实施例中，优选的，所述配置扫描防护IP具体是指输入端口连接终端IP地址，保存配置后，生成合法通信范围，作为是否发生病毒攻击的判断依据，同时所述配置扫描防护IP还可以配置默认防护常规项，自动对病毒攻击做出操作，用于对使用者起到帮助和提示。

本实施例中，优选的，所述全局组属性配置包括防扫描、告警、隔离、关端口，所述防扫描在启用勾选时表示开启防扫描系统，在未勾选时表示关闭防扫描系统，所述告警、隔离、关端口用于表示对病毒攻击的默认操作。

本实施例中，优选的，所述S2中的链路层数据单元用于依据病毒原理，任何发往交换机端口的ARP数据包，均会被捕获，但不影响数据包的转发，捕获的数据包会筛选出源IP、目的IP，然后将交换机端口号、端口PVID一起组成数据信息，然后将信息发往数据帧分析单元。

本实施例中，优选的，所述病毒原理的具体依据为：病毒首先确定网络内存活主机，在链路层进行数据传输，获取链路层数据包，即可确定是否产生病毒攻击，在前期进行防范，所述链路层数据包主要是ARP数据包。

本实施例中，优选的，所述S2中的数据帧分析单元用于分析链路层数据单元发来的数据信息，会对端口PVID和IP地址，包含源IP和目的IP，根据安全防护单元的配置进行合法性判断，合法则丢弃，不合法则产生告警信息，所述数据帧分析单元主要是依据PVID所对应的允许通信的IP范围作出判断。

实施例2

请参阅图1-4，本发明提供一种技术方案：一种基于VLAN用户组的防主机IP扫描方法，包括以下步骤：

S1.创建安全区：将相关联的交换机放入到对应的安全区中；

S2.建立系统：按实际生产、工作需要建立对应的系统，所述系统包括VLAN用户组划分单元、安全防护单元、链路层数据单元、数据帧分析单元；

S3.创建隔离组：对应S1中的安全区和S2中的系统，创建隔离组，根据隔离组，创建两两连接的访问控制组，将分配的交换机的端口划分到访问控制组中，自动计算并设置二层端口VLAN的PVID和允许的VLAN tag，并完成VLAN间的的隔离和访问逻辑拓扑结构；

S4.开启全局的安全防护，选择相应的防护规则：当发现威胁时，系统会采取相应的防护措施；

S5.为所有的隔离组端口，指定合法的通信范围，自动创建端口访问列表，控制端口的通信规则；

S6.获取链路层的数据包以及侦听网络中所有的寻址表现，将用户指定的通信范围做为判断依据，依据病毒、木马的攻击原理来判断攻击，把攻击行为阻断在初期。

本实施例中，优选的，所述S2中的VLAN用户组划分单元用于按安全区和系统划分为若干VLAN用户组，将网络分为若干局域网，对安全区的指定和对系统进行命名，还可以对每台交换机的端口进行分配，分配完成后，所述VLAN用户组划分单将自动计算并设置交换机端口的PVID和允许通过的VLAN。

本实施例中，优选的，所述S2中的安全防护单元用于配置扫描防护IP和全局组属性配置。

本实施例中，优选的，所述配置扫描防护IP具体是指输入端口连接终端IP地址，保存配置后，生成合法通信范围，作为是否发生病毒攻击的判断依据，同时所述配置扫描防护IP还可以配置默认防护常规项，自动对病毒攻击做出操作，用于对使用者起到帮助和提示。

本实施例中，优选的，所述全局组属性配置包括防扫描、告警、隔离、关端口，所述防扫描在启用勾选时表示开启防扫描系统，在未勾选时表示关闭防扫描系统，所述告警、隔离、关端口用于表示对病毒攻击的默认操作。

本实施例中，优选的，所述S2中的链路层数据单元用于依据病毒原理，任何发往交换机端口的ARP数据包，均会被捕获，但不影响数据包的转发，捕获的数据包会筛选出源IP、目的IP，然后将交换机端口号、端口PVID一起组成数据信息，然后将信息发往数据帧分析单元。

本实施例中，优选的，所述S2中的数据帧分析单元用于分析链路层数据单元发来的数据信息，会对端口PVID和IP地址，包含源IP和目的IP，根据安全防护单元的配置进行合法性判断，合法则丢弃，不合法则产生告警信息，所述数据帧分析单元主要是依据PVID所对应的允许通信的IP范围作出判断。

本发明的工作原理及使用流程：

恶意的木马程序和蠕虫病毒，可以通过篡改IP，选择不同通讯协议，重编译等去特征化处理，规避防护系统的检测，防火墙或入侵侦听设备仅能接收到达侦听口的数据包信息，目前无法全面侦听，同时，无依据判断数据包的合法性；根据网络病毒的工作原理和可能规避检测的手段，依据其工作原理来设计防护措施，才能从原理上有效阻止网络病毒的攻击；由于交换机的端口VLAN属性无法被恶意修改这一特征，对到达交换机通信端口的数据包可实现全面侦听，然后迅速进行原理性判别，可实现对木马程序和蠕虫病毒的防范。

由于所有的漏洞攻击需要攻击的对象IP地址，否则无法发起攻击，所以防止IP主机扫描能够有效判断初期的攻击行为，阻止漏洞后续攻击。

在应用IPV6的NS请求时，也能迫使不合法的NS组播请求泛洪，便于全面对其NS的ICMP包的侦听。

VLAN用户组仅允许同组成员能够相互听到彼此的ARP广播包，即用户允许互通的同组设备间能够自学习到彼此ARP信息，而用户不允许相互通讯的不同组成员设备无法自学习到彼此的MAC地址。

根据用户设定的隔离组和访问控制条件，自动计算出的VLAN用户组会迫使所有用户不允许的非法通讯必须首先进行ARP寻址广播，依据用户设定，该端口能访问其所在的各VLAN用户组所有成员，都是合法通讯，非同组成员寻址是非法通讯寻址。

根据用户对隔离组和访问控制的设定，即设定了合法通讯寻址和非法通讯寻址判据，由于ARP广播的特性，能嗅听到所有的VLAN用户组内的非法ARP寻址。因此能够侦听和判断主机扫描行为，以及非法通讯企图。同时，也不会受侦听器所在位置和网络物理拓扑变化的影响，就能判断二层网络内各端口是否有非法主机扫描行为。

结论：端口VLAN标签是交换机标定的，病毒程序无法修改设定的访问范围，因此无法规避访问控制和边界防护检测，根据蠕虫病毒原理特征，需要随机选取IP成组扫描，正常程序不需要扫描，该特征是原理性特征，蠕虫病毒无法规避。通过上述措施，迫使所有的非法通讯必须通过ARP广播寻址，然后采用用户设定的安全区和访问控制逻辑拓扑作为判据，来实现对非法IP扫描的全面侦听和非法IP扫描准确判断，由于该防护方案依据网络病毒工作原理和规避检测的手段而设计的，从原理上防止了激活的网络病毒后门攻击和漏洞攻击，防护效果可以得到原理性的确认。

尽管已经示出和描述了本发明的实施例，对于本领域的普通技术人员而言，可以理解在不脱离本发明的原理和精神的情况下可以对这些实施例进行多种变化、修改、替换和变型，本发明的范围由所附权利要求及其等同物限定。