一种察觉入侵扫描行为保护系统安全的新方法 技术领域:
本发明涉及一种网络安全的保护方法,确切说是涉及一种能有效地察觉入侵者扫描行为保护系统安全的一种技术方法。
背景技术:
在当今世界没有一种工具能像Internet这样改变世界,从网上购物、网上交易、网上投资到网上寻职,从电子公告牌到E-mail,从新闻报导到电影预告、体育竞技以及娱乐,不论小事还是全球性大事,几乎人类有史以来的所有知识都可以在网上获得,人们正在越来越多地依赖网络来改变自己的生活,享受它带来的巨大便利。但是,在这种繁荣的背后,来自网络上的威胁也日益加剧,社会中总有些人为谋取私利置法律予不顾,利用网络窥视他人秘密,甚至从事违法犯罪活动,因此网络安全保护已成为当今网络安全工作的重要课题。入侵扫描是入侵者实施攻击前的第一步,也是他们惯用的手法。由于每个网站的服务都是公开的,系统必须对所有的请求进行响应,因此一般无法判断是否有人在扫描自己的端口,这样,对端口扫描的检测也就成为一大难题,入侵者正是利用这一点,通过使用扫描器对网络目标进行端口扫描,可以不留痕迹地发现目标远程服务器的各种TCP端口的分配及提供的服务、是哪种操作系统、存在什么已知的漏洞,它们软件版本、服务的一些信息,也就能间接或直观地了解到远程主机所存在地安全问题,为下一步攻击做准备。如果我们能有一种办法在入侵者攻击之前的入侵扫描阶段,就能有效地察觉到端口入侵的扫描行为,并对系统管理员发出告警信息,就可以及时有效地采取防范措施,同时也可以通过端口扫描记录,来判断攻击者的来源位置,对系统管理员在攻击后恢复系统,对公安部门追踪罪犯都有极大帮助。
发明内容:
本发明的目的在于:解决目前存在的端口扫描检测的难题,为用户提供一种能有效地察觉出入侵扫描行为和来源及防范的新方法,为网络安全保护增加新的技术措施。
本发明的察觉入侵扫描行为保护系统安全的新方法,由在本机建立端口监听、接收到客户端数据请求、关闭监听的扫描连接端口等执行程序组成,其特征在于:关闭了监听的扫描连接端口后,重建一个新的监听端口,当新端口又被扫描连接后,再关闭此端口,又改变一个新的监听端口,这样,被扫描接通一个端口,就马上关闭这个端口,再建新端口,如此循环,且在监听端口记录下被扫描的信息,并向系统管理员发出告警信息,然后恢复初始监听端口。
本发明的优点在于:①通过建立端口监听,可以判断被扫描的端口和记录下扫描信息,为系统管理员防范入侵攻击提供了准备,也为有关部门追踪入侵者提供帮助;②通过连续地的变更监听端口和连续的受到扫描连接,可以准确地判断入侵扫描行为;③通过不断的关闭被扫描连接的端口和变更新的监听端口,可以有效地阻挡端口扫描入侵行为。
附图说明:
本发明给了察觉入侵扫描行为保护系统安全新方法的执行程序流程图。
具体实施方式:
察觉入侵扫描行为保护系统安全方法的核心,是通过建立端口监听,对于出现的连续入侵端口扫描,采取不断变更监听端口的措施,来堵塞可能发生的端口入侵行为。
其具体实施措施由如下执行程序完成:
1、利用serverSocket技术在本机建立多个端口监听。
部分代码:int port=5;ServerSocket ss=new ServerSocket(port);
2、等待客户端(Client)数据请求(Accept)。
部分代码:Socket s=ss.accept();
3、接收到客户端请求。
部分代码:if(s!=null){……};
4、关闭serverSocket(端口监听)。
部分代码:ss.close();
5、利用serverSocket技术按原始端口加5的算法建立新的端口监听。
部分代码:port+=5;ServerSocket ss=new ServerSocket(port);
6、判断目前监听的端口号是否已经满足程序要求。
部分代码:if(port==50){……};
7、记录扫描信息。
部分代码:insertLog(IP);
8、发送告警信息。
部分代码:sendAlert(EMAIL);
9、恢复初始端口监听。
部分代码:port=5;ServerSocket ss=new ServerSocket(port);