CN109981549A

CN109981549A - 一种安全防护系统、方法及介质

Info

Publication number: CN109981549A
Application number: CN201711463940.4A
Authority: CN
Inventors: 晁巍
Original assignee: China Mobile Communications Group Co Ltd; China Mobile Hangzhou Information Technology Co Ltd
Current assignee: China Mobile Communications Group Co Ltd; China Mobile Hangzhou Information Technology Co Ltd
Priority date: 2017-12-28
Filing date: 2017-12-28
Publication date: 2019-07-05

Abstract

本发明公开了一种安全防护系统、方法及介质，用以解决上述部署困难、复杂度高的问题。安全防护系统包括：N个数据采集装置以及设置于云端的用于进行安全防护的防护服务器，其中，N为正整数，一个数据采集装置对应一个待防护终端；每个数据采集装置分别与所述防护服务器建立安全通道；每个数据采集装置，用于采集其对应的待防护终端的数据流，并通过所述安全通道将采集到的所述数据流发送给所述防护服务器；所述防护服务器，用于接收数据采集装置发送的数据流，并基于过滤规则针对所述数据流进行过滤处理。

Description

一种安全防护系统、方法及介质

技术领域

本发明涉及信息技术领域，尤其涉及一种安全防护系统、方法及介质。

背景技术

安全防护系统作为安全防护领域的重要组成部分，可以通过数据包过滤技术实现对防护对象的网络安全防护。

现阶段的安全防护系统的设计特点是将流量获取功能、流量过滤功能集合在一个单一节点(软件或硬件形式)，比如将安全防护系统分别挂载在各个需要进行待防护的主机内，从而对各个主机进行流量过滤，导致管理复杂度高，难度较大。

发明内容

本发明实施例提供了一种安全防护系统、方法及介质，用以解决上述部署困难、复杂度高的问题。

第一方面，本发明实施例提供了一种安全防护系统，包括：

N个数据采集装置以及设置于云端的用于进行安全防护的防护服务器，其中，N为正整数，一个数据采集装置对应一个待防护终端；每个数据采集装置分别与所述防护服务器建立安全通道；

每个数据采集装置，用于采集其对应的待防护终端的数据流，并通过所述安全通道将采集到的所述数据流发送给所述防护服务器；

所述防护服务器，用于接收数据采集装置发送的数据流，并基于过滤规则针对所述数据流进行过滤处理。

可选地，所述过滤规则包括如下至少一项：

网络层规则、传输层规则、应用层规则以及内容字段规则；

所述网络层规则用于过滤源IP地址或者目的IP地址不满足网络层规则的数据包；

所述传输层规则用于过滤源端口号或者目的端口号不满足传输层规则的数据包；

所述应用层规则用于过滤应用层协议信息不满足应用层规则的数据包；

所述内容字段规则用于过滤文本数据不满足内容字段规则的数据包。

可选地，所述防护服务器，具体用于：

基于所述网络层规则针对所述数据流进行过滤处理得到网络层数据流；

基于所述传输层规则针对所述网络层数据流进行过滤处理得到传输层数据流；

基于所述应用层规则针对所述传输层数据流进行过滤处理得到应用层数据流；

基于所述内容字段规则针对所述应用层数据流进行过滤处理得到过滤后的数据流。

可选地，所述系统还包括：

设置于云端的用于产生过滤规则的规则服务器，用于获取每个数据采集装置发送给所述防护服务器的数据流，并将获取的数据流存储在流量池中；通过预训练的机器学习模型识别出所述流量池中存储的数据流中存在安全威胁的数据包；

基于所述存在安全威胁的数据包生成所述过滤规则。

可选地，所述规则服务器，还用于：

获取外部威胁情报，所述外部威胁情报包括用于表征存在安全威胁的网络的信息；

所述规则服务器，在基于所述存在安全威胁的数据包生成所述过滤规则时，具体用于基于所述存在安全威胁的数据包以及所述外部威胁情报生成所述过滤规则。

第二方面，本发明实施例提供了一种安全防护方法，包括：

接收待过滤数据流；

基于过滤规则针对所述数据流进行过滤处理；

所述过滤规则包括如下至少一项：

网络层规则、传输层规则、应用层规则以及内容字段规则；

可选地，所述基于过滤规则针对所述数据流进行过滤处理，包括：

可选地，方法还包括：

将接收到的每个待防护终端发送的数据流存储在流量池中；

通过预训练的机器学习模型识别出所述流量池中存储的数据流中存在安全威胁的数据包；

基于所述存在安全威胁的数据包生成所述过滤规则。

可选地，方法还包括：

所述基于所述存在安全威胁的数据包生成所述过滤规则，包括：

基于所述存在安全威胁的数据包以及所述外部威胁情报生成所述过滤规则。

第三方面，本发明实施例提供了一种安全防护装置，包括：

接收模块，用于接收待过滤数据流；

过滤模块，用于基于过滤规则针对所述数据流进行过滤处理；

所述过滤规则包括如下至少一项：

网络层规则、传输层规则、应用层规则以及内容字段规则；

可选地，所述过滤模块，具体用于：

可选地，装置还包括：

存储模块，用于将所述接收模块接收到的每个待防护终端发送的数据流存储在流量池中；

生成模块，用于通过预训练的机器学习模型识别出所述流量池中存储的数据流中存在安全威胁的数据包；基于所述存在安全威胁的数据包生成所述过滤规则。

可选地，装置还包括：

获取模块，用于获取外部威胁情报，所述外部威胁情报包括用于表征存在安全威胁的网络的信息；

所述生成模块，在所述基于所述存在安全威胁的数据包生成所述过滤规则时，具体用于：

第四方面，提供一种计算装置，包括至少一个处理器、以及至少一个存储器，其中，所述存储器存储有计算机程序，当所述程序被所述处理器执行时，使得所述处理器执行上述任一方法所述的步骤。

第五方面，提供一种计算机可读介质，其存储有可由计算装置执行的计算机程序，当所述程序在计算装置上运行时，使得所述计算装置执行上述任一方法所述的步骤。

现有的安全防护系统，都是粒度较大的片面防御，无法将过滤规则扩展到URL、网络协议等细粒度级别，也就无法进行终端网络安全的全面防御，本发明实施例中在云端对终端通信数据进行多层次、细粒度的防护过滤，安全性相对有所提高。安全防护系统能够将所有参与终端的数据进行统筹转发，具备从全网视角掌握安全态势的天然优势，另外，从大量转发数据中提炼恶意流量特征，并形成过滤规则，实时性相对本地过滤规则配置来说更高。

附图说明

图1为本发明实施例提供的安全防护系统两种类型示意图；

图2为本发明实施例提供的安全防护系统结构示意图；

图3为本发明实施例提供的认证示意图；

图4A为本发明实施例提供的数据流过滤示意图；

图4B为本发明实施例提供的过滤规则生成示意图；

图5为本发明实施例提供的安全防护方法流程图；

图6为本发明实施例提供的安全防护装置示意图；

图7为本发明实施例提供的计算装置示意图。

具体实施方式

目前根据安全防护系统的部署方式不同，可以将安全防护系统分为主机安全防护系统和网络安全防护系统两种类型，参见图1所示。其中主机安全防护系统大多以软件的形式集成在主机操作系统中，可以实现对单一主机网络流量的安全防护，常见的主机安全防护系统IP过滤系统(iptables)、Windows防火墙、安卓防火墙(Android firewall)、代理服务器防火墙(Nginx Modsecurity)等。网络安全防护系统大多以硬件的形式部署在被防护网络的出入口处，能够对被防护网络的出入口流量进行筛选过滤，起到安全防护的作用。

现阶段的安全防护系统的设计特点是将流量获取功能、流量过滤功能集合在一个单一节点(软件或硬件形式)，比如将安全防护系统分别挂载在各个需要进行待防护的主机内，从而对各个主机进行流量过滤。由于功能均集中在一个节点中，从而在功能部署更新时、集中部署相对较困难、管理复杂度高。

基于此，本发明实施例提供了一种安全防护系统、方法及介质，用以解决上述部署困难、复杂度高的问题。具体的将数据采集功能配置给各个待防护终端、流量过滤功能由部署在云端的服务器执行，并且用于实现数据采集功能的数据采集装置与云端的服务器之间建立有安全通道。从而功能分散在各个待防护终端上，从而在增加或者减少待防护终端时，仅需针对该待防护终端配置数据采集功能，从而部署相对容易、降低了复杂度。其中，方法、装置及系统是基于同一发明构思的，由于方法及装置解决问题的原理相似，因此装置与方法的实施可以相互参见，重复之处不再赘述。

参见图2所示，为本申请实施例提供的安全防护系统结构示意图。安全防护系统应用于N个待防护终端，安全防护系统中包括N个数据采集装置21，以及设置于云端的用于进行安全防护的防护服务器22。N个待防护终端中每个待防护终端均配置用于采集数据流的数据采集装置21。该数据采集装置21可以是软件模块，也可以是硬件设备。数据采集装置21可以配置在待防护终端外部，也可以配置在待防护终端内部。图2中以3个数据采集装置为例。

其中，每个数据采集装置21分别与所述防护服务器22建立安全通道；

每个数据采集装置21，用于采集其对应的待防护终端的数据流，并通过所述安全通道将采集到的所述数据流发送给所述防护服务器22；

所述防护服务器22，用于接收数据采集装置21发送的数据流，并基于过滤规则针对所述数据流进行过滤处理。

由于流量采集装置21负责待防护终端的数据流的采集，采集的数据流转发至云端的防护服务器22进行过滤处理，为了保证数据流转发过程中的数据安全，需要在流量采集装置21与防护服务器22建立安全通道，从而达到数据加密转发的目的。具体的，数据采集装置21与所述防护服务器22建立安全通道时，可以通过如下方式实现，参见图3所示：

第一步：流量采集装置21与防护服务器22完成设备认证，该步骤中流量采集装置21将能够代表其身份的身份特征信息，比如密码口令、私钥签名、哈希消息认证码(Hash-based Message Authentication Code，HMAC)等，发送至防护服务器，防护服务器基于身份特征信息确认流量采集装置21的身份后进行认证结果反馈。流量采集装置21与防护服务器22进行安全认证时可以通过安全套接层(Secure Sockets Layer，SSL)协议实现。

第二步：基于第一步的认证结果，流量采集装置21与防护服务器22建立了SSL安全通道，该安全通道具备防篡改、防窃听、防劫持等安全能力，保证流量转发的安全性。

可选地，本发明实施例中涉及到的过滤规则可以包括如下至少一项：网络层规则、传输层规则、应用层规则以及内容字段规则。

其中，所述网络层规则用于过滤源IP地址或者目的IP地址不满足网络层规则的数据包；所述传输层规则用于过滤源端口号或者目的端口号不满足传输层规则的数据包；所述应用层规则用于过滤应用层协议信息不满足应用层规则的数据包；所述内容字段规则用于过滤文本数据不满足内容字段规则的数据包。

所述防护服务器在基于过滤规则针对所述数据流进行过滤处理时，可以采用上述4种规则中一种，也可以采用多种进行过滤处理。在采用多种时，可以配置过滤顺序，先采用那种规则后采用哪种规则。比如在采用上述四种规则时，可以按照采用网络层规则过滤、采用传输层规则过滤、采用应用层规则过滤以及采用内容字段规则过滤，四个层次逐层过滤，当然还可以通过其它的过滤顺序，本申请对过滤顺序不作具体限定。具体的，参见图4A所示。

网络层过滤：所述防护服务器基于所述网络层规则针对所述数据流进行过滤处理得到网络层数据流。如果数据流包括的各个数据包是加密数据包，所述防护服务器可以先针对各个加密数据包进行解密处理，得到IP数据包。然后采用过滤规则中的网络层规则确定是否是存在威胁的数据包，将存在威胁的数据包过滤掉，从而得到网络层数据流。一种方式是，网络层规则中可以包括存在威胁的源IP地址或者目的IP地址。另一种方式是，网络层规则中包括安全的源IP地址或者目的IP地址，从而将存在威胁的数据包过滤掉，也就是将源IP地址或者目的IP地址不符合网络层规则的数据包过滤掉。

传输层过滤：基于所述传输层规则针对所述网络层数据流进行过滤处理得到传输层数据流。对于没有被过滤掉的IP数据包，需要进行进一步的解包处理，还原出传输层数据流量，包括传输控制协议(Transmission Control Protocol，TCP)和用户数据报协议(UserDatagram Protocol，UDP)两种协议数据包，然后采用过滤规则中的传输层规则确定经过网络层过滤得到的网络层数据包中是否是存在威胁的数据包，将存在威胁的数据包过滤掉，从而得到传输层数据流。一种方式是，传输层规则中可以包括存在威胁的源端口号或者目的端口号。另一种方式是，传输层规则中包括安全的源端口号或者目的端口号，从而将存在威胁的数据包过滤掉，也就是将源端口号者目的端口号不符合传输层规则的数据包过滤掉。

应用层过滤：基于所述应用层规则针对所述传输层数据流进行过滤处理得到应用层数据流。对于没有被过滤掉的传输层数据包，需要进行进一步的进行协议还原操作，通过识别数据包的包头携带的协议信息判断该数据包属于哪种协议。协议具体可以包括超文本传输协议(HyperText Transfer Protocol，http)、文件传输协议(File TransferProtocol，ftp)、域名系统(Domain Name System，dns)协议等应用层协议。然后采用过滤规则中的应用层规则确定经过传输层过滤得到的传输层数据包中是否是存在威胁的数据包，将存在威胁的数据包过滤掉，从而得到传输层数据流。一种方式是，应用层规则中可以包括存在威胁的应用层协议信息。另一种方式是，应用层规则中包括安全的应用层协议信息，从而将存在威胁的数据包过滤掉，也就是将应用层协议信息不符合应用层规则的数据包过滤掉。

内容字段过滤：基于所述内容字段规则针对所述应用层数据流进行过滤处理得到过滤后的数据流。进入内容字段过滤的数据包通过应用层过滤已经确认了应用层协议类型，从而可以根据协议承载内容字段做进一步文本数据过滤，比如统一资源定位符(Uniform Resource Location，URL)信息、ftp信息等。即然后采用过滤规则中的内容字段规则确定经过应用层过滤得到的应用层数据包中是否是存在威胁的数据包，将存在威胁的数据包过滤掉，从而得到过滤后的数据流。一种方式是，内容字段规则中可以包括存在威胁的内容字段信息。另一种方式是，内容字段规则中包括安全的内容字段信息，从而将存在威胁的数据包过滤掉，也就是将文本数据不符合内容字段规则的数据包过滤掉。

在将数据流过滤后，可以根据数据包的相关信息完成数据流中包括的数据包的转发。

现有的安全防护系统，都是粒度较大的片面防御，无法将过滤规则扩展到URL、网络协议等细粒度级别，也就无法进行终端网络安全的全面防御，本发明实施例中在云端对终端通信数据进行多层次、细粒度的防护过滤，安全性相对有所提高。

可选地，本发明实施例提供的安全防护系统还可以包括设置于云端的用于产生过滤规则的规则服务器23。其中规则服务器23与防护服务器22的功能可以由一个云端服务器实现，还可以由不同的云端服务器实现，本发明实施例中对此不作具体限定。

参见图4B所示，规则服务器23用于获取每个数据采集装置21采集到的待防护终端的且发送给所述防护服务器22的数据流，并将获取的数据流存储在流量池中；通过预训练的机器学习模型识别出所述流量池中存储的数据流中存在安全威胁的数据包；基于所述存在安全威胁的数据包生成所述过滤规则。

其中，规则服务器23将获取的数据流存储在流量池中，可以先将数据流进行脱敏处理生成脱敏后的快照信息，并存储在流量池中。在通过预训练的机器学习模型识别出所述流量池中存储的数据流中存在安全威胁的数据包之前，现将存储在流量池中的数据流的快照信息处理为机器学习模型能够识别的格式，然后输入预训练的机器学习模型识别出存在安全威胁的数据包。

可选地，规则服务器23还可以获取外部威胁情报，所述外部威胁情报包括用于表征存在安全威胁的网络的信息，比如钓鱼网站域名、僵尸网络IP等等。所述规则服务器23，在基于所述存在安全威胁的数据包生成所述过滤规则时，具体用于基于所述存在安全威胁的数据包以及所述外部威胁情报生成所述过滤规则，参见图4B所示。

可选地，规则服务器23可以周期性的通过预训练的机器学习模型识别出所述流量池中存储的数据流中存在安全威胁的数据包；基于所述存在安全威胁的数据包生成所述过滤规则。具体的，规则服务器23可以每次通过预训练的机器学习模型识别出所述流量池中存储的所有数据流中存在安全威胁的数据包，然后基于所述存在安全威胁的数据包生成新的过滤规则替换原来的过滤规则。规则服务器23还可以在每次生成过滤规则后，将流量池中的数据流清空，然后可以基于识别在本次周期内流量池中存储的数据流(即在本次周期内获取到每个数据采集装置21发送给所述防护服务器22的数据流)存在安全威胁的数据包，然后基于所述存在安全威胁的数据包生成过滤规则添加到原来的过滤规则中。

在过滤规则包括上述网络层规则过滤、采用传输层规则过滤、采用应用层规则过滤以及采用内容字段规则中的多种规则时，可以预先基于机器学习算法针对每种(每几种)规则训练机器学习模型。

以针对网络层规则以及传输层规则训练一个机器学习模型为例，比如可以利用机器学习算法从流量大小(Flow)、请求类型(Method)、发包速率(bps)等几个维度构建特定IP和端口的流量基线模型(也可以称为机器学习模型)f＝F(Flow，Method，bps)，并设置阈值e，如果f的取值超过了阈值e，则生成过滤规则对特定IP和端口进行告警、限速或阻断。

以针对网络层规则训练一个机器学习模型为例，比如可以使用聚类算法对流量中源IP与目的IP(可以含端口号)之间的访问关系进行聚类分析，建立源IP与目的IP之间的机器学习模型，并得出访问权重d，例如某用户经常访问某个网站，则其IP地址与该访问网站的网址的80端口，会有很强的关联性，权重会很高。如果有扫描行为，则会出现大量相同源IP到不同目的IP(含端口)短暂访问，表现为关联性弱，权重低，以此可以生成规则对特定源IP的流量进行告警、限速或阻断。

现有的安全防护系统只有本地过滤规则配置方案，受限于终端自身资源的限制，无法以网络全局视角给出防护规则，另外，像钓鱼诈骗、网络蠕虫、0day漏洞等安全风险，从发现到配置生效对实时性要求较高，简单依靠用户本地配置无法及时阻断相关攻击流量，从用户获悉攻击信息到配置过滤规则，可能数据早已泄露。本发明实施例提供的方案，安全防护系统能够将所有参与终端的数据进行统筹转发，具备从全网视角掌握安全态势的天然优势，另外，从大量转发数据中提炼恶意流量特征，并形成过滤规则，实时性相对本地过滤规则配置来说更高。

本发明实施例还提供了一种安全防护方法，参见图5所示，该安全防护方法可以由云端服务器实现。

S501，接收待过滤数据流；

S502，基于过滤规则针对所述数据流进行过滤处理。

所述过滤规则可以包括如下至少一项：网络层规则、传输层规则、应用层规则以及内容字段规则；所述网络层规则用于过滤源IP地址或者目的IP地址不满足网络层规则的数据包；所述传输层规则用于过滤源端口号或者目的端口号不满足传输层规则的数据包；所述应用层规则用于过滤应用层协议信息不满足应用层规则的数据包；所述内容字段规则用于过滤文本数据不满足内容字段规则的数据包。

可选地，所述基于过滤规则针对所述数据流进行过滤处理，包括：基于所述网络层规则针对所述数据流进行过滤处理得到网络层数据流；基于所述传输层规则针对所述网络层数据流进行过滤处理得到传输层数据流；基于所述应用层规则针对所述传输层数据流进行过滤处理得到应用层数据流；基于所述内容字段规则针对所述应用层数据流进行过滤处理得到过滤后的数据流。

可选地，方法还可以包括：将接收到的每个待防护终端发送的数据流存储在流量池中；通过预训练的机器学习模型识别出所述流量池中存储的数据流中存在安全威胁的数据包；基于所述存在安全威胁的数据包生成所述过滤规则。

可选地，方法还可以包括：获取外部威胁情报，所述外部威胁情报包括用于表征存在安全威胁的网络的信息；所述基于所述存在安全威胁的数据包生成所述过滤规则，包括：基于所述存在安全威胁的数据包以及所述外部威胁情报生成所述过滤规则。

基于同一发明构思，本发明实施例中还提供了一种安全防护装置，参见图6所示，该装置包括接收模块601，过滤模块602。

接收模块601，接收待过滤数据流；

过滤模块602，基于过滤规则针对所述数据流进行过滤处理；

所述过滤规则包括如下至少一项：

网络层规则、传输层规则、应用层规则以及内容字段规则；

所述过滤模块602，具体用于：基于所述网络层规则针对所述数据流进行过滤处理得到网络层数据流；基于所述传输层规则针对所述网络层数据流进行过滤处理得到传输层数据流；基于所述应用层规则针对所述传输层数据流进行过滤处理得到应用层数据流；基于所述内容字段规则针对所述应用层数据流进行过滤处理得到过滤后的数据流。

可选地，还包括：

存储模块603：将接收模块601接收到的每个待防护终端发送的数据流存储在流量池中；

生成模块604，用于通过预训练的机器学习模型识别出所述流量池中存储的数据流中存在安全威胁的数据包；基于所述存在安全威胁的数据包生成所述过滤规则。

可选地，还包括获取模块605：用于获取外部威胁情报，所述外部威胁情报包括用于表征存在安全威胁的网络的信息；

所述生成模块604具体用于基于所述存在安全威胁的数据包以及所述外部威胁情报生成所述过滤规则。

为了描述的方便，以上各部分按照功能划分为各模块(或单元)分别描述。当然，在实施本发明时可以把各模块(或单元)的功能在同一个或多个软件或硬件中实现。

在一些可能的实施方式中，根据本发明的计算装置可以至少包括至少一个处理器、以及至少一个存储器。其中，所述存储器存储有程序代码，当所述程序代码被所述处理器执行时，使得所述处理器执行本说明书上述描述的根据本发明各种示例性实施方式的云端服务器(防护服务器22、规则服务器23)执行的步骤。

下面参照图5来描述根据本发明的这种实施方式的计算装置。图7显示的计算装置仅仅是一个示例，不应对本发明实施例的功能和使用范围带来任何限制。

如图7所示，计算装置以通用计算设备的形式表现。计算装置的组件可以包括但不限于：上述至少一个处理器710、上述至少一个存储器720、连接处理器710和存储器720的总线730、以及通信接口740。总线730表示几类总线结构中的一种或多种，包括存储器总线或者存储器控制器、外围总线、处理器或者使用多种总线结构中的任意总线结构的局域总线。

存储器720可以包括易失性存储器形式的可读介质，例如随机存取存储器(RAM)和/或高速缓存存储器720，还可以进一步包括只读存储器(ROM)。存储器720用于存储处理器710执行的程序代码，程序代码用于实现上述任一实施例所述的云端服务器(防护服务器22、规则服务器23)执行的方法。

通信接口740用于接收数据流。处理器710用于读取并执行存储器710存储的程序代码，具体用于获取信号性能参数，并执行上述任一实施例所述的云端服务器(防护服务器22、规则服务器23)执行的方法。

在一些可能的实施方式中，本发明提供的安全防护方法的各个方面还可以实现为一种程序产品的形式，其包括程序代码，当所述程序产品在计算机设备上运行时，所述程序代码用于使所述计算机设备执行本说明书上述描述的根据本发明各种示例性实施方式的安全防护方法中的步骤。

所述程序产品可以采用一个或多个可读介质的任意组合。可读介质可以是可读信号介质或者可读存储介质。可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的系统、装置或器件，或者任意以上的组合。可读存储介质的更具体的例子(非穷举的列表)包括：具有一个或多个导线的电连接、便携式盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。

本领域内的技术人员应明白，本发明的实施例可提供为方法、系统、或计算机程序产品。因此，本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。

本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

尽管已描述了本发明的优选实施例，但本领域内的技术人员一旦得知了基本创造性概念，则可对这些实施例做出另外的变更和修改。所以，所附权利要求意欲解释为包括优选实施例以及落入本发明范围的所有变更和修改。

显然，本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样，倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内，则本发明也意图包含这些改动和变型在内。

Claims

1.一种安全防护系统，其特征在于，包括：

2.如权利要求1所述的系统，其特征在于，所述过滤规则包括如下至少一项：

网络层规则、传输层规则、应用层规则以及内容字段规则；

3.如权利要求2所述的系统，其特征在于，所述防护服务器，具体用于：

4.如权利要求1至3任一项所述的系统，其特征在于，所述系统还包括：

基于所述存在安全威胁的数据包生成所述过滤规则。

5.如权利要求4所述的系统，其特征在于，所述规则服务器，还用于：

6.一种安全防护方法，其特征在于，包括：

接收待过滤数据流；

基于过滤规则针对所述数据流进行过滤处理；

所述过滤规则包括如下至少一项：

网络层规则、传输层规则、应用层规则以及内容字段规则；

7.如权利要求6所述的方法，其特征在于，所述基于过滤规则针对所述数据流进行过滤处理，包括：

8.如权利要求6或7所述的方法，其特征在于，还包括：

将接收到的每个待防护终端发送的数据流存储在流量池中；

基于所述存在安全威胁的数据包生成所述过滤规则。

9.如权利要求8所述的方法，其特征在于，还包括：

10.一种安全防护装置，其特征在于，包括：

接收模块，用于接收待过滤数据流；

所述过滤规则包括如下至少一项：

网络层规则、传输层规则、应用层规则以及内容字段规则；

11.如权利要求10所述的装置，其特征在于，所述过滤模块，具体用于：

12.如权利要求10或11所述的装置，其特征在于，还包括：

13.如权利要求12所述的装置，其特征在于，还包括：

14.一种计算装置，其特征在于，包括至少一个处理器、以及至少一个存储器，其中，所述存储器存储有计算机程序，当所述程序被所述处理器执行时，使得所述处理器执行权利要求6～9任一权利要求所述方法的步骤。

15.一种计算机可读介质，其特征在于，其存储有可由计算装置执行的计算机程序，当所述程序在计算装置上运行时，使得所述计算装置执行权利要求6～9任一所述方法的步骤。