[发明专利]基于动态主机配置协议实现的防止非法IP扫描技术

说明书

本发明涉及一种基于动态主机配置协议，通过专有模块实现的防非法IP扫描的技术，可实时监控内网计算机IP扫描行为，对发现的非法IP扫描行为实施阻断隔离，阻断恶意扫描程序在内网传播，同时发出告警。

技术领域

本发明涉及网络安全领域，尤其是涉及工业互联网网络安全、管理领域，具体是指一种基于动态主机配置协议实现的防止非法IP扫描的技术。

背景技术

随着计算机和网络技术的发展，特别是信息化与工业化深度融合以及物联网的快速发展，病毒、木马等威胁正在向工业控制系统扩散，工业控制系统信息安全问题日益突出。

计算机病毒依据其病毒代码是否包含上网传播和攻击部分，分为单机病毒和网络病毒。而网络病毒依据其病毒功能的方式分为蠕虫病毒和木马病毒。

木马病毒在内网中主要依靠发送非法IP来建立通信链路。木马一词来源于希腊神话故事，通常是由于用户上网误操作，而被传染的后门恶意程序。通过阻断上网可以避免感染，或者阻断隔离木马病毒客户端和服务端的通讯，可以防止木马病毒发作。

蠕虫病毒在内网中是通过扫描搜索漏洞来传播。而在外网到内网的入口处，工业网络设备和计算机几乎都用防火墙保护，木马病毒无法发作。因此，工业网络主要危害来源于蠕虫病毒。其在网络中传播的行为特征就是计算机IP扫描。通过扫描对系统、应用进行漏洞挖掘，然后再通过这些漏洞进行入侵、传播。

防止非法扫描可以阻断木马病毒和蠕虫病毒在内网的传播途径。黑客和网络安全检测人员都是用扫描软件来发现可以攻击的网络漏洞和主机地址，他们需要IP扫描和端口扫描。因此，合理检测报警和处理计算机IP扫描源是处理蠕虫病毒和保证网络安全的关键。

发明内容

本发明提供了一种基于动态主机配置协议，通过专有模块实时监控内网计算机IP扫描行为，一旦发现异常扫描，判定为有恶意程序试图执行非法操作，就会发出告警的机制，可对开启动态主机配置协议服务的内网设备实施监控，对非法IP扫描行为进行告警，阻断恶意扫描程序在内网传播。

该基于动态主机配置协议实现的防止非法IP扫描的监控告警机制主要技术特点是：

通过固化在设备中的专有模块来对内网非法IP扫描行为进行实时监控。

通过对截获的数据帧的分析，过滤出目标IP不属于动态主机配置协议的数据，进而不再转发这些来源非法的数据帧，并向指定主机发出告警。

采用了该发明中的基于动态主机配置协议实现的防止非法IP扫描的技术，具体以下有益效果：

设备中用于监控IP扫描行为的专有固化模块是独立进程工作，不会受其他进程的影响。

通过对比目标IP和动态主机配置协议中的数据，来为判断是否属于非法IP扫描提供依据。

实时性高。能及时发现非法IP扫描行为并主动丢弃来自数据源的数据帧，阻断恶意扫描程序在内网传播，同时发出告警。

用户无需手动添加IP过滤信息，而是通过固化的专有模块自动采集，作为IP过滤的条件。

附图说明

图1为本发明实现的基于动态主机配置协议的防非法IP扫描告警技术示意图。

具体实施方式

为了能够更清楚地描述本发明的技术内容，下面结合具体实施案例来进行进一步的描述。

如图1所示，当网内受感染的设备发起IP扫描动作的时候，数据流到达路由器后，路由器会根据目标IP的网段，将数据按箭头方向转发到相应IP段的路由设备上。

收到数据的路由设备，通过固化在路由设备中的专有模块，对网络数据帧进行过滤。如果目标IP已经由动态主机配置协议分配到设备，那么数据帧会经路由设备转发到对应IP的设备上，如图1中IP为192.168.2.2-192.168.2.5的设备。但是，如果扫描的目标IP没有经动态主机配置协议分配到设备，那么路由设备就会发出“有非法IP扫描”的告警信息，固化模块会对数据帧进行数据分析，根据分析结果，必要时将采取阻断数据源的通信的措施，如图1中192.168.2.6，以及192.168.2.xxx等(xxx代表其他类似IP)。