CN108718320B - 一种以同类同配置物联网设备合规数据包交集形成数据包通信白名单的方法 - Google Patents

一种以同类同配置物联网设备合规数据包交集形成数据包通信白名单的方法 Download PDF

Info

Publication number
CN108718320B
CN108718320B CN201810611240.3A CN201810611240A CN108718320B CN 108718320 B CN108718320 B CN 108718320B CN 201810611240 A CN201810611240 A CN 201810611240A CN 108718320 B CN108718320 B CN 108718320B
Authority
CN
China
Prior art keywords
white list
internet
communication
things
intersection
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201810611240.3A
Other languages
English (en)
Other versions
CN108718320A (zh
Inventor
傅如毅
汪剑波
龚昌北
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Zhejiang Yuanwang Information Co ltd
Original Assignee
Zhejiang Yuanwang Information Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Zhejiang Yuanwang Information Co ltd filed Critical Zhejiang Yuanwang Information Co ltd
Priority to CN201810611240.3A priority Critical patent/CN108718320B/zh
Publication of CN108718320A publication Critical patent/CN108718320A/zh
Application granted granted Critical
Publication of CN108718320B publication Critical patent/CN108718320B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0263Rule management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0209Architectural arrangements, e.g. perimeter networks or demilitarized zones
    • H04L63/0218Distributed architectures, e.g. distributed firewalls
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Business, Economics & Management (AREA)
  • General Business, Economics & Management (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种以同类同配置物联网设备合规数据包交集形成数据包通信白名单的方法,包括部署安全模组、生成通信白名单、通信白名单上报、通信白名单处理和新通信白名单下发。本发明通过在不同地点布设的同类同配置的物联网设备通信端各设置一安全模组,各安全模组在安全时域内分别对通过其的TCP/IP数据包进行自学习产生各自的白名单,物联网系统运维服务器根据安全模组的通信白名单进行求交集,分别得到新的网络输入白名单和设备输入白名单,并作为安全性更高的通信白名单下发给安全模组,能解决各安全模组通过自学习得到的白名单会混入一些与系统功能无关甚至是恶意的数据包类型的问题,求交集就能剔除这些数据包类型,保证了通信白名单的安全性。

Description

一种以同类同配置物联网设备合规数据包交集形成数据包通 信白名单的方法
技术领域
本发明涉及物联网设备的技术领域,特别涉及一种以同类同配置物联网设备合规数据包交集形成数据包通信白名单的方法。
背景技术
随着信息技术的发展,越来越多的智能设备接入网络,使得物联网设备在实现自身功能的同时,也成为了网络攻击的目标。在物联网设备的通信端串联一安全模组,安全模组内置有基于TCP/IP协议的包括源/目标的IP地址、端口号、服务类型、mac地址等在内的通信白名单,安全模组对物联网设备与网络层的通信数据包包头信息进行解析并与通信白名单进行匹配过滤,能有效提高物联网设备网络通信的安全性。
在实际部署应用中,需要对安全模组内的通信白名单进行设置和及时更新。设置和更新既要保证安全性,又要兼顾便利性,因此安全模组可能采用一种基于安全时域通过自学习设置数据包通信白名单的方法进行通信白名单的设置,这种方法的原理是将在安全时域内通过安全模组的数据通信都认为是合法的通信,通过将数据包包头内包括源/目标的IP地址、端口号、服务类型、mac地址等信息解析出来,写入白名单自动生成通信白名单。
但在实际运用中,所谓安全时域内通过安全模组的数据通信并不完全是物联网设备实现功能所需的通信,还可能存在与部署的网络环境相关的其它无关的数据包通过安全模组,因此,这些数据包的包头信息也会被写入通信白名单。
为了解决以上问题,本发明提出一种以同类同配置物联网设备合规数据包交集形成数据包通信白名单的方法。
发明内容
本发明的目的在于克服上述现有技术的不足,提供一种以同类同配置物联网设备合规数据包交集形成数据包通信白名单的方法,其旨在解决由安全模组自学习产生的通信白名单可能存在一些不合规的通信类型的技术问题。
为实现上述目的,本发明提出了一种以同类同配置物联网设备合规数据包交集形成数据包通信白名单的方法,该方法具体步骤如下:
S1、部署安全模组:在不同地点布设的同类同配置的物联网设备(1,2,……,n)的通信端各串联一安全模组(1,2,……,n),每个物联网设备通过各自所连的安全模组与物联网系统运维服务器进行通信;
S2、生成通信白名单:各安全模组在安全时域内通过自学习生成各自的通信白名单,通信白名单包括由网络向物联网设备方向传输形成的网络输入白名单和由物联网设备向网络方向传输形成的设备输入白名单;
S3、通信白名单上报:各安全模组将各自的通信白名单上报给物联网系统运维服务器;
S4、通信白名单处理:物联网系统运维服务器接收到安全模组上报的通信白名单,并对同类同配置物联网设备所连安全模组所上报的通信白名单进行交集处理,得到新的通信白名单;
S5、新通信白名单下发:物联网系统运维服务器将新的通信白名单下发到同类同配置物联网设备所连的安全模组,各安全模组将新的通信白名单对原有的通信白名单进行替换。
作为优选,所述的S1中每个同类同配置的物联网设备的通信端连接一个安全模组,安全模组的数量与同类同配置物联网设备的数量相同。
作为优选,所述的S4中物联网系统运维服务器对通信白名单进行交集处理的具体步骤如下:
S4.1、网络输入白名单交集处理:
S4.1.1、对各个网络输入白名单中的每个名单形成一个集合a,集合a=(源IP地址、源端口号、协议类型、目标端口号),安全模组1,2,……,n的网络输入白名单集分别为a1,a2,……,an
S4.1.2、对a1,a2,……,an求交集得到新的网络输入白名单Ø ni
S4.2、设备输入白名单交集处理:
S4.2.1、对各个设备输入白名单中的每个名单形成一个集合b,集合b=(源端口号、协议类型、目标地址、目标端口号),安全模组1,2,……,n的设备输入白名单集分别为b1,b2,……,bn
S4.2.2、对b1,b2,……,bn求交集得到新的设备输入白名单Ø ei
对应地S5中,物联网系统运维服务器将新的网络输入白名单Ø ni和新的设备输入白名单Ø ei下发到同类同配置物联网设备所连的安全模组,由安全模组对原有的网络输入白名单和设备输入白名单进行替换。
作为优选,所述的S2中安全时域为用户设置的安全时段,在安全时段内通过安全模组通信的数据包都认为是合法的数据包,通过在安全时段内将数据包包头信息解析出来,写入白名单自动生成安全模组的数据包通信白名单,所述的数据包包头信息包括但不限于源IP地址、目标IP地址、端口号、服务类型、mac地址。
本发明的有益效果:与现有技术相比,本发明提供的一种以同类同配置物联网设备合规数据包交集形成数据包通信白名单的方法,通过在不同地点布设的同类同配置的物联网设备通信端各设置一安全模组,通过安全模组与物联网系统运维服务器,构成一物联网系统,各安全模组在安全时域内分别对通过其的TCP/IP数据包进行自学习,产生各自基于源/目标的IP地址、端口号、服务类型、mac地址等信息的白名单,并将白名单作为后续运行时数据包能否通过的依据。物联网系统运维服务器根据同类同配置物联网设备所连安全模组的通信白名单进行求交集,分别得到新的网络输入白名单和设备输入白名单,将网络输入白名单和设备输入白名单作为安全性更高的通信白名单下发给安全模组,能解决因互联网环境的复杂性,各安全模组通过自学习得到的白名单会混入一些与系统功能无关甚至是恶意的数据包类型的问题,求交集处理就能剔除这些与系统功能无关甚至是恶意的数据包类型,保证了通信白名单的安全性。
本发明的特征及优点将通过实施例结合附图进行详细说明。
附图说明
图1是本发明实施例的物联网系统的框图;
图2是本发明实施例的一种以同类同配置物联网设备合规数据包交集形成数据包通信白名单的方法的流程图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚明了,下面通过附图及实施例,对本发明进行进一步详细说明。但是应该理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限制本发明的范围。此外,在以下说明中,省略了对公知结构和技术的描述,以避免不必要地混淆本发明的概念。
参阅图1和图2,本发明实施例提供一种以同类同配置物联网设备合规数据包交集形成数据包通信白名单的方法,该方法具体步骤如下:
S1、部署安全模组:在不同地点布设的同类同配置的物联网设备(1,2,……,n)的通信端各串联一安全模组(1,2,……,n),每个物联网设备通过各自所连的安全模组与物联网系统运维服务器进行通信,构成一物联网系统。其中,每个同类同配置的物联网设备的通信端连接一个安全模组,安全模组的数量与同类同配置物联网设备的数量相同。
S2、生成通信白名单:各安全模组在安全时域内通过自学习生成各自的通信白名单,通信白名单包括由网络向物联网设备方向传输形成的网络输入白名单和由物联网设备向网络方向传输形成的设备输入白名单。
其中,安全时域为用户设置的安全时段,在安全时段内通过安全模组通信的数据包都认为是合法的数据包,通过在安全时段内将数据包包头信息解析出来,写入白名单自动生成安全模组的数据包通信白名单,所述的数据包包头信息包括但不限于源IP地址、目标IP地址、端口号、服务类型、mac地址。
S3、通信白名单上报:各安全模组将各自的通信白名单上报给物联网系统运维服务器。
S4、通信白名单处理:物联网系统运维服务器接收到安全模组上报的通信白名单,并对同类同配置物联网设备所连安全模组所上报的通信白名单进行交集处理,得到新的通信白名单;物联网系统运维服务器对通信白名单进行交集处理的具体步骤如下:
S4.1、网络输入白名单交集处理:
S4.1.1、对各个网络输入白名单中的每个名单形成一个集合a,集合a=(源IP地址、源端口号、协议类型、目标端口号),安全模组1,2,……,n的网络输入白名单集分别为a1,a2,……,an
S4.1.2、对a1,a2,……,an求交集得到新的网络输入白名单Ø ni
S4.2、设备输入白名单交集处理:
S4.2.1、对各个设备输入白名单中的每个名单形成一个集合b,集合b=(源端口号、协议类型、目标地址、目标端口号),安全模组1,2,……,n的设备输入白名单集分别为b1,b2,……,bn
S4.2.2、对b1,b2,……,bn求交集得到新的设备输入白名单Ø ei
S5、新通信白名单下发:物联网系统运维服务器将新的网络输入白名单Ø ni和新的设备输入白名单Ø ei下发到同类同配置物联网设备所连的安全模组,由安全模组对原有的网络输入白名单和设备输入白名单进行替换。
之后,安全模组每次通过安全时域设置通信白名单后就可重复步骤S2-步骤S5。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内所作的任何修改、等同替换或改进等,均应包含在本发明的保护范围之内。

Claims (4)

1.一种以同类同配置物联网设备合规数据包交集形成数据包通信白名单的方法,其特征在于:该方法具体步骤如下:
S1、部署安全模组:在不同地点布设的同类同配置的物联网设备(1,2,……,n)的通信端各串联一安全模组(1,2,……,n),每个物联网设备通过各自所连的安全模组与物联网系统运维服务器进行通信;
S2、生成通信白名单:各安全模组在安全时域内通过自学习生成各自的通信白名单,通信白名单包括由网络向物联网设备方向传输形成的网络输入白名单和由物联网设备向网络方向传输形成的设备输入白名单;
S3、通信白名单上报:各安全模组将各自的通信白名单上报给物联网系统运维服务器;
S4、通信白名单处理:物联网系统运维服务器接收到安全模组上报的通信白名单,并对同类同配置物联网设备所连安全模组所上报的通信白名单进行交集处理,得到新的通信白名单;
S5、新通信白名单下发:物联网系统运维服务器将新的通信白名单下发到同类同配置物联网设备所连的安全模组,各安全模组将新的通信白名单对原有的通信白名单进行替换。
2.如权利要求1所述的一种以同类同配置物联网设备合规数据包交集形成数据包通信白名单的方法,其特征在于:所述的S1中每个同类同配置的物联网设备的通信端连接一个安全模组,安全模组的数量与同类同配置物联网设备的数量相同。
3.如权利要求1所述的一种以同类同配置物联网设备合规数据包交集形成数据包通信白名单的方法,其特征在于:所述的S4中物联网系统运维服务器对通信白名单进行交集处理的具体步骤如下:
S4.1、网络输入白名单交集处理:
S4.1.1、对各个网络输入白名单中的每个名单形成一个集合a,集合a=(源IP地址、源端口号、协议类型、目标端口号),安全模组1,2,……,n的网络输入白名单集分别为a1,a2,……,an
S4.1.2、对a1,a2,……,an求交集得到新的网络输入白名单Ø ni
S4.2、设备输入白名单交集处理:
S4.2.1、对各个设备输入白名单中的每个名单形成一个集合b,集合b=(源端口号、协议类型、目标地址、目标端口号),安全模组1,2,……,n的设备输入白名单集分别为b1,b2,……,bn
S4.2.2、对b1,b2,……,bn求交集得到新的设备输入白名单Ø ei
对应地S5中,物联网系统运维服务器将新的网络输入白名单Ø ni和新的设备输入白名单Ø ei下发到同类同配置物联网设备所连的安全模组,由安全模组对原有的网络输入白名单和设备输入白名单进行替换。
4.如权利要求1所述的一种以同类同配置物联网设备合规数据包交集形成数据包通信白名单的方法,其特征在于:所述的S2中安全时域为用户设置的安全时段,在安全时段内通过安全模组通信的数据包都认为是合法的数据包,通过在安全时段内将数据包包头信息解析出来,写入白名单自动生成安全模组的数据包通信白名单,所述的数据包包头信息包括但不限于源IP地址、目标IP地址、端口号、服务类型、mac地址。
CN201810611240.3A 2018-06-14 2018-06-14 一种以同类同配置物联网设备合规数据包交集形成数据包通信白名单的方法 Active CN108718320B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201810611240.3A CN108718320B (zh) 2018-06-14 2018-06-14 一种以同类同配置物联网设备合规数据包交集形成数据包通信白名单的方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201810611240.3A CN108718320B (zh) 2018-06-14 2018-06-14 一种以同类同配置物联网设备合规数据包交集形成数据包通信白名单的方法

Publications (2)

Publication Number Publication Date
CN108718320A CN108718320A (zh) 2018-10-30
CN108718320B true CN108718320B (zh) 2021-03-30

Family

ID=63912038

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201810611240.3A Active CN108718320B (zh) 2018-06-14 2018-06-14 一种以同类同配置物联网设备合规数据包交集形成数据包通信白名单的方法

Country Status (1)

Country Link
CN (1) CN108718320B (zh)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109802937B (zh) * 2018-11-30 2021-08-17 浙江远望信息股份有限公司 一种发现对智能终端设备tcp下ip欺骗攻击的方法
JP7247628B2 (ja) * 2019-02-12 2023-03-29 日本電信電話株式会社 作成装置、作成システム、作成方法および作成プログラム
CN110808951A (zh) * 2019-09-25 2020-02-18 国网思极网安科技(北京)有限公司 基于设备画像的终端异常行为发现方法和装置
CN117834216A (zh) * 2023-12-18 2024-04-05 慧之安信息技术股份有限公司 一种基于解决通信白名单智能化处理方法和系统

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102473229A (zh) * 2009-08-28 2012-05-23 国际商业机器公司 访问控制列表的修改
CN102801686A (zh) * 2011-05-23 2012-11-28 华为终端有限公司 设备控制方法、主设备、从设备及主从设备组
CN103051609A (zh) * 2012-12-07 2013-04-17 东软集团股份有限公司 网关设备及由其执行的网络访问控制的可视化交互方法
CN104253754A (zh) * 2014-09-11 2014-12-31 杭州华三通信技术有限公司 一种acl快速匹配的方法和设备
CN104579940A (zh) * 2013-10-10 2015-04-29 杭州华三通信技术有限公司 查找访问控制列表的方法及装置
CN107995144A (zh) * 2016-10-26 2018-05-04 北京金山云网络技术有限公司 一种基于安全组的访问控制方法及装置

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7284265B2 (en) * 2002-04-23 2007-10-16 International Business Machines Corporation System and method for incremental refresh of a compiled access control table in a content management system

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102473229A (zh) * 2009-08-28 2012-05-23 国际商业机器公司 访问控制列表的修改
CN102801686A (zh) * 2011-05-23 2012-11-28 华为终端有限公司 设备控制方法、主设备、从设备及主从设备组
CN103051609A (zh) * 2012-12-07 2013-04-17 东软集团股份有限公司 网关设备及由其执行的网络访问控制的可视化交互方法
CN104579940A (zh) * 2013-10-10 2015-04-29 杭州华三通信技术有限公司 查找访问控制列表的方法及装置
CN104253754A (zh) * 2014-09-11 2014-12-31 杭州华三通信技术有限公司 一种acl快速匹配的方法和设备
CN107995144A (zh) * 2016-10-26 2018-05-04 北京金山云网络技术有限公司 一种基于安全组的访问控制方法及装置

Also Published As

Publication number Publication date
CN108718320A (zh) 2018-10-30

Similar Documents

Publication Publication Date Title
CN108718320B (zh) 一种以同类同配置物联网设备合规数据包交集形成数据包通信白名单的方法
Yu et al. An efficient SDN-based DDoS attack detection and rapid response platform in vehicular networks
Phan et al. OpenFlowSIA: An optimized protection scheme for software-defined networks from flooding attacks
Barbosa et al. Flow whitelisting in SCADA networks
Simpson et al. An inter-domain collaboration scheme to remedy DDoS attacks in computer networks
Wang et al. SDN-based hybrid honeypot for attack capture
CN102739684A (zh) 一种基于虚拟IP地址的Portal认证方法及服务器
Singh et al. Prevention mechanism for infrastructure based denial-of-service attack over software defined network
Gamer Collaborative anomaly-based detection of large-scale internet attacks
Luo et al. SDN/NFV-based security service function tree for cloud
Mehic et al. Whispering through DDoS attack
Kong et al. Random flow network modeling and simulations for DDoS attack mitigation
Pradeepa et al. A hybrid OpenFlow with intelligent detection and prediction models for preventing BGP path hijack on SDN
Wang et al. DDoS attacks traffic and Flash Crowds traffic simulation with a hardware test center platform
CN105357130A (zh) 一种信息传输的系统及控制器
Yadav et al. Security integration in ddos attack mitigation using access control lists
CN102752208A (zh) 防止半连接攻击的方法及系统
CN108881216B (zh) 一种以同类同配置物联网设备合规数据包并集形成数据包通信白名单的方法
Tang et al. A new dynamic security defense system based on TCP_REPAIR and deep learning
Ngo et al. An Efficient High‐Throughput and Low‐Latency SYN Flood Defender for High‐Speed Networks
CN105391697B (zh) 基于信息碎片化处理的集群通信方法
Wiedenmann et al. Designing and implementing a benchmark collection for attack simulation in field bus systems
US20240171495A1 (en) Methods, systems, and computer readable media for scaling network traffic and emulating a stateful transport layer protocol
Din et al. Anomaly free on demand stateful software defined firewalling
Ahmadon et al. Detection and update method for attack behavior models in intrusion detection systems

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant