CN108881216B - 一种以同类同配置物联网设备合规数据包并集形成数据包通信白名单的方法 - Google Patents

一种以同类同配置物联网设备合规数据包并集形成数据包通信白名单的方法 Download PDF

Info

Publication number
CN108881216B
CN108881216B CN201810611191.3A CN201810611191A CN108881216B CN 108881216 B CN108881216 B CN 108881216B CN 201810611191 A CN201810611191 A CN 201810611191A CN 108881216 B CN108881216 B CN 108881216B
Authority
CN
China
Prior art keywords
white list
internet
things
communication
communication white
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201810611191.3A
Other languages
English (en)
Other versions
CN108881216A (zh
Inventor
傅如毅
邵森龙
范拥兵
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Zhejiang Yuanwang Information Co ltd
Original Assignee
Zhejiang Yuanwang Information Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Zhejiang Yuanwang Information Co ltd filed Critical Zhejiang Yuanwang Information Co ltd
Priority to CN201810611191.3A priority Critical patent/CN108881216B/zh
Publication of CN108881216A publication Critical patent/CN108881216A/zh
Application granted granted Critical
Publication of CN108881216B publication Critical patent/CN108881216B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0263Rule management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0209Architectural arrangements, e.g. perimeter networks or demilitarized zones
    • H04L63/0218Distributed architectures, e.g. distributed firewalls
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Business, Economics & Management (AREA)
  • General Business, Economics & Management (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种以同类同配置物联网设备合规数据包并集形成数据包通信白名单的方法,包括部署安全模组、生成通信白名单、通信白名单上报、通信白名单处理和新通信白名单下发。本发明通过在不同地点布设的同类同配置的物联网设备通信端各设置一安全模组,各安全模组在安全时域内分别对通过其的TCP/IP数据包进行自学习产生各自的白名单,物联网系统运维服务器根据安全模组的通信白名单进行求并集,得到完整的数据包通信白名单。本发明一种以同类同配置物联网设备合规数据包并集形成数据包通信白名单的方法,生成的通信白名单完整性好、生成效率高,而且不会出现数据包没跑完而造成安全模组对一部分的数据包无法通信的问题。

Description

一种以同类同配置物联网设备合规数据包并集形成数据包通 信白名单的方法
技术领域
本发明涉及物联网设备的技术领域,特别涉及一种以同类同配置物联网设备合规数据包并集形成数据包通信白名单的方法。
背景技术
随着信息技术的发展,越来越多的智能设备接入网络,使得物联网设备在实现自身功能的同时,也成为了网络攻击的目标。在物联网设备的通信端串联一安全模组,安全模组内置有基于TCP/IP协议的包括源/目标的IP地址、端口号、服务类型、mac地址等在内的通信白名单,安全模组对物联网设备与网络层的通信数据包包头信息进行解析并与通信白名单进行匹配过滤,能有效提高物联网设备网络通信的安全性。
在实际部署应用中,需要对安全模组内的通信白名单进行设置和及时更新。设置和更新既要保证完整性,高效性,又要兼顾便利性,因此安全模组可能采用一种基于安全时域通过自学习设置数据包通信白名单的方法进行通信白名单的设置,这种方法的原理是将在安全时域内通过安全模组的数据通信都认为是合法的通信,通过将数据包包头内包括源/目标的IP地址、端口号、服务类型、mac地址等信息解析出来,写入白名单自动生成通信白名单。
但在实际运用中,一些数据包在安全时域内并未能完全跑完,导致这部分的数据包信息不能生成在通信白名单中,故而导致安全模组在正常工作时不允许还未来及添加至通信白名单中的数据包通信,影响到了物联网设备与互联网的正常通信,为了解决以上问题,有必要提出一种以同类同配置物联网设备合规数据包并集形成数据包通信白名单的方法。
发明内容
本发明的目的在于克服上述现有技术的不足,提供一种以同类同配置物联网设备合规数据包并集形成数据包通信白名单的方法,其旨在解决由安全模组自学习产生的通信白名单可能存在不完整的技术问题。
为实现上述目的,本发明提出了一种以同类同配置物联网设备合规数据包并集形成数据包通信白名单的方法,该方法具体步骤如下:
S1、部署安全模组:在不同地点布设的同类同配置的物联网设备(1,2,……,n)的通信端各串联一安全模组(1,2,……,n),每个物联网设备通过各自所连的安全模组与物联网系统运维服务器进行通信;
S2、生成通信白名单:各安全模组在安全时域内通过自学习生成各自的通信白名单,通信白名单包括由网络向物联网设备方向传输形成的网络输入白名单和由物联网设备向网络方向传输形成的设备输入白名单;
S3、通信白名单上报:各安全模组将各自的通信白名单上报给物联网系统运维服务器;
S4、通信白名单处理:物联网系统运维服务器接收到安全模组上报的通信白名单,并对同类同配置物联网设备所连安全模组所上报的通信白名单进行并集处理,得到新的通信白名单;
S5、新通信白名单下发:物联网系统运维服务器将新的通信白名单下发到同类同配置物联网设备所连的安全模组,各安全模组将新的通信白名单对原有的通信白名单进行替换。
作为优选,所述的S1中每个同类同配置的物联网设备的通信端连接一个安全模组,安全模组的数量与同类同配置物联网设备的数量相同。
作为优选,所述的S4中物联网系统运维服务器对通信白名单进行并集处理的具体步骤如下:
S4.1、网络输入白名单并集处理:
S4.1.1、对各个网络输入白名单中的每个名单形成一个集合a,集合a=(源IP地址、源端口号、协议类型、目标端口号),安全模组1,2,……,n的网络输入白名单集分别为a1,a2,……,an
S4.1.2、对a1,a2,……,an求并集得到新的网络输入白名单A;
S4.2、设备输入白名单并集处理:
S4.2.1、对各个设备输入白名单中的每个名单形成一个集合b,集合b=(源端口号、协议类型、目标地址、目标端口号),安全模组1,2,……,n的设备输入白名单集分别为b1,b2,……,bn
S4.2.2、对b1,b2,……,bn求并集得到新的设备输入白名单B;
S4.3、物联网系统运维服务器将新的网络输入白名单A与新的设备输入白名单B合并成总的数据包通信白名单;
对应地S5中,物联网系统运维服务器将总的数据包通信白名单下发到同类同配置物联网设备所连的安全模组,由安全模组对原有的通信白名单进行替换。
作为优选,所述的S2中安全时域为用户设置的安全时段,在安全时段内通过安全模组通信的数据包都认为是合法的数据包,通过在安全时段内将数据包包头信息解析出来,写入白名单自动生成安全模组的数据包通信白名单,所述的数据包包头信息包括但不限于源IP地址、目标IP地址、端口号、服务类型、mac地址。
本发明的有益效果:与现有技术相比,本发明提供的一种以同类同配置物联网设备合规数据包并集形成数据包通信白名单的方法,通过在不同地点布设的同类同配置的物联网设备通信端各设置一安全模组,各安全模组在安全时域内对通过的数据包进行自学习,产生各自基于源/目标的IP地址、端口号、服务类型等信息的白名单,然后通过物联网系统运维服务器对所有同类同配置物联网设备所连安全模组上报的通信白名单求并集,得到完整的数据包通信白名单,用户可以先将用于自学习的数据包进行分配,在安全时域自学习时段将分配好的数据包分配到各个安全模组进行跑数据自学习,然后每个安全模组生成的通信白名单合并在一起得到完整的数据包通信白名单,此方法生成的通信白名单完整性好、生成效率高,而且不会出现数据包没跑完而造成安全模组对一部分的数据包无法通信的问题。
本发明的特征及优点将通过实施例结合附图进行详细说明。
附图说明
图1是本发明实施例的物联网系统的框图;
图2是本发明实施例的一种以同类同配置物联网设备合规数据包交集形成数据包通信白名单的方法的流程图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚明了,下面通过附图及实施例,对本发明进行进一步详细说明。但是应该理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限制本发明的范围。此外,在以下说明中,省略了对公知结构和技术的描述,以避免不必要地混淆本发明的概念。
参阅图1和图2,本发明实施例提供一种以同类同配置物联网设备合规数据包并集形成数据包通信白名单的方法,该方法具体步骤如下:
S1、部署安全模组:在不同地点布设的同类同配置的物联网设备(1,2,……,n)的通信端各串联一安全模组(1,2,……,n),每个物联网设备通过各自所连的安全模组与物联网系统运维服务器进行通信,其中,每个同类同配置的物联网设备的通信端连接一个安全模组,安全模组的数量与同类同配置物联网设备的数量相同。
S2、生成通信白名单:各安全模组在安全时域内通过自学习生成各自的通信白名单,通信白名单包括由网络向物联网设备方向传输形成的网络输入白名单和由物联网设备向网络方向传输形成的设备输入白名单。
其中,安全时域为用户设置的安全时段,在安全时段内通过安全模组通信的数据包都认为是合法的数据包,通过在安全时段内将数据包包头信息解析出来,写入白名单自动生成安全模组的数据包通信白名单,所述的数据包包头信息包括但不限于源IP地址、目标IP地址、端口号、服务类型、mac地址。
S3、通信白名单上报:各安全模组将各自的通信白名单上报给物联网系统运维服务器。
S4、通信白名单处理:物联网系统运维服务器接收到安全模组上报的通信白名单,并对同类同配置物联网设备所连安全模组所上报的通信白名单进行并集处理,得到新的通信白名单,物联网系统运维服务器对通信白名单进行并集处理的具体步骤如下:
S4.1、网络输入白名单并集处理:
S4.1.1、对各个网络输入白名单中的每个名单形成一个集合a,集合a=(源IP地址、源端口号、协议类型、目标端口号),安全模组1,2,……,n的网络输入白名单集分别为a1,a2,……,an
S4.1.2、对a1,a2,……,an求并集得到新的网络输入白名单A;
S4.2、设备输入白名单并集处理:
S4.2.1、对各个设备输入白名单中的每个名单形成一个集合b,集合b=(源端口号、协议类型、目标地址、目标端口号),安全模组1,2,……,n的设备输入白名单集分别为b1,b2,……,bn
S4.2.2、对b1,b2,……,bn求并集得到新的设备输入白名单B。
S4.3、物联网系统运维服务器将新的网络输入白名单A与新的设备输入白名单B合并成总的数据包通信白名单。
S5、新通信白名单下发:物联网系统运维服务器将新的通信白名单下发到同类同配置物联网设备所连的安全模组,各安全模组将新的通信白名单对原有的通信白名单进行替换。
之后,安全模组每次通过安全时域设置通信白名单后就可重复步骤S2-步骤S5。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内所作的任何修改、等同替换或改进等,均应包含在本发明的保护范围之内。

Claims (4)

1.一种以同类同配置物联网设备合规数据包并集形成数据包通信白名单的方法,其特征在于:该方法具体步骤如下:
S1、部署安全模组:在不同地点布设的同类同配置的物联网设备(1,2,……,n)的通信端各串联一安全模组(1,2,……,n),每个物联网设备通过各自所连的安全模组与物联网系统运维服务器进行通信;
S2、生成通信白名单:各安全模组在安全时域内通过自学习生成各自的通信白名单,通信白名单包括由网络向物联网设备方向传输形成的网络输入白名单和由物联网设备向网络方向传输形成的设备输入白名单;
S3、通信白名单上报:各安全模组将各自的通信白名单上报给物联网系统运维服务器;
S4、通信白名单处理:物联网系统运维服务器接收到安全模组上报的通信白名单,并对同类同配置物联网设备所连安全模组所上报的通信白名单进行并集处理,得到新的通信白名单;
S5、新通信白名单下发:物联网系统运维服务器将新的通信白名单下发到同类同配置物联网设备所连的安全模组,各安全模组将新的通信白名单对原有的通信白名单进行替换。
2.如权利要求1所述的一种以同类同配置物联网设备合规数据包并集形成数据包通信白名单的方法,其特征在于:所述的S1中每个同类同配置的物联网设备的通信端连接一个安全模组,安全模组的数量与同类同配置物联网设备的数量相同。
3.如权利要求1所述的一种以同类同配置物联网设备合规数据包并集形成数据包通信白名单的方法,其特征在于:所述的S4中物联网系统运维服务器对通信白名单进行并集处理的具体步骤如下:
S4.1、网络输入白名单并集处理:
S4.1.1、对各个网络输入白名单中的每个名单形成一个集合a,集合a=(源IP地址、源端口号、协议类型、目标端口号),安全模组1,2,……,n的网络输入白名单集分别为a1,a2,……,an
S4.1.2、对a1,a2,……,an求并集得到新的网络输入白名单A;
S4.2、设备输入白名单并集处理:
S4.2.1、对各个设备输入白名单中的每个名单形成一个集合b,集合b=(源端口号、协议类型、目标地址、目标端口号),安全模组1,2,……,n的设备输入白名单集分别为b1,b2,……,bn
S4.2.2、对b1,b2,……,bn求并集得到新的设备输入白名单B;
S4.3、物联网系统运维服务器将新的网络输入白名单A与新的设备输入白名单B合并成总的数据包通信白名单;
对应地S5中,物联网系统运维服务器将总的数据包通信白名单下发到同类同配置物联网设备所连的安全模组,由安全模组对原有的通信白名单进行替换。
4.如权利要求1所述的一种以同类同配置物联网设备合规数据包并集形成数据包通信白名单的方法,其特征在于:所述的S2中安全时域为用户设置的安全时段,在安全时段内通过安全模组通信的数据包都认为是合法的数据包,通过在安全时段内将数据包包头信息解析出来,写入白名单自动生成安全模组的数据包通信白名单,所述的数据包包头信息包括但不限于源IP地址、目标IP地址、端口号、服务类型、mac地址。
CN201810611191.3A 2018-06-14 2018-06-14 一种以同类同配置物联网设备合规数据包并集形成数据包通信白名单的方法 Active CN108881216B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201810611191.3A CN108881216B (zh) 2018-06-14 2018-06-14 一种以同类同配置物联网设备合规数据包并集形成数据包通信白名单的方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201810611191.3A CN108881216B (zh) 2018-06-14 2018-06-14 一种以同类同配置物联网设备合规数据包并集形成数据包通信白名单的方法

Publications (2)

Publication Number Publication Date
CN108881216A CN108881216A (zh) 2018-11-23
CN108881216B true CN108881216B (zh) 2020-12-22

Family

ID=64338168

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201810611191.3A Active CN108881216B (zh) 2018-06-14 2018-06-14 一种以同类同配置物联网设备合规数据包并集形成数据包通信白名单的方法

Country Status (1)

Country Link
CN (1) CN108881216B (zh)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1897564A (zh) * 2005-07-11 2007-01-17 中兴通讯股份有限公司 基于递归流分类算法的策略路由匹配方法
CN102473229A (zh) * 2009-08-28 2012-05-23 国际商业机器公司 访问控制列表的修改
CN106034046A (zh) * 2015-03-20 2016-10-19 中兴通讯股份有限公司 访问控制列表acl的发送方法及装置
CN106713254A (zh) * 2015-11-18 2017-05-24 中国科学院声学研究所 一种匹配正则集的生成及深度包检测方法

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20110283348A1 (en) * 2010-05-13 2011-11-17 Telcordia Technologies, Inc. System and method for determining firewall equivalence, union, intersection and difference
US9634838B2 (en) * 2014-06-05 2017-04-25 International Business Machines Corporation Complex format-preserving encryption scheme

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1897564A (zh) * 2005-07-11 2007-01-17 中兴通讯股份有限公司 基于递归流分类算法的策略路由匹配方法
CN102473229A (zh) * 2009-08-28 2012-05-23 国际商业机器公司 访问控制列表的修改
CN106034046A (zh) * 2015-03-20 2016-10-19 中兴通讯股份有限公司 访问控制列表acl的发送方法及装置
CN106713254A (zh) * 2015-11-18 2017-05-24 中国科学院声学研究所 一种匹配正则集的生成及深度包检测方法

Also Published As

Publication number Publication date
CN108881216A (zh) 2018-11-23

Similar Documents

Publication Publication Date Title
CN108718320B (zh) 一种以同类同配置物联网设备合规数据包交集形成数据包通信白名单的方法
CN104994065A (zh) 基于软件定义网络的访问控制列表运行系统和方法
CN108809797B (zh) 一种vpn控制装置,软件定义vpn实现系统及方法
CN104320358A (zh) 一种电力通信网中的QoS业务控制方法
CN102882828A (zh) 一种内网与外网间的信息安全传输控制方法及其网关
CN108289061B (zh) 基于sdn的业务链拓扑系统
CN102739684A (zh) 一种基于虚拟IP地址的Portal认证方法及服务器
CN105262740B (zh) 一种大数据传输方法和系统
CN105119911A (zh) 一种基于sdn流的安全认证方法及系统
CN103595712B (zh) 一种Web认证方法、装置及系统
CN112437100A (zh) 漏洞扫描方法及相关设备
Gamer Collaborative anomaly-based detection of large-scale internet attacks
CN106713519A (zh) 基于软体定义网络的网络传输方法与系统
CN103067216A (zh) 跨安全区的反向通信方法、装置及系统
Gad et al. Employing the CEP paradigm for network analysis and surveillance
CN108881216B (zh) 一种以同类同配置物联网设备合规数据包并集形成数据包通信白名单的方法
CN111224891B (zh) 一种基于动态学习三元组的流量应用识别系统及方法
CN105357332B (zh) 一种网络地址转换方法及装置
CN105357130A (zh) 一种信息传输的系统及控制器
CN111988440B (zh) 网络地址转换方法及系统
Wang et al. DDoS attacks traffic and Flash Crowds traffic simulation with a hardware test center platform
Song et al. A novel frame switching model based on virtual MAC in SDN
CN108199975B (zh) 一种流量控制方法及装置
CN106878258A (zh) 一种攻击定位方法及装置
Poltavtseva et al. High-performance NIDS architecture for enterprise networking

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant