CN110505189B - 终端安全代理突破的识别方法、识别设备及存储介质 - Google Patents
终端安全代理突破的识别方法、识别设备及存储介质 Download PDFInfo
- Publication number
- CN110505189B CN110505189B CN201810487736.4A CN201810487736A CN110505189B CN 110505189 B CN110505189 B CN 110505189B CN 201810487736 A CN201810487736 A CN 201810487736A CN 110505189 B CN110505189 B CN 110505189B
- Authority
- CN
- China
- Prior art keywords
- security
- rule
- target network
- terminal
- safety
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Abstract
本发明公开了一种终端安全代理突破的识别方法、识别设备及存储介质。本发明的识别设备获取目标网络中的边界安全设备发送的第一安全规则,所述第一安全规则由所述边界安全设备根据在所述目标网络中采集的流量生成,将所述第一安全规则与所述目标网络中的终端安全代理的第二安全规则进行匹配,在匹配失败时,认定所述目标网络中的终端安全代理被突破,通过识别设备与边界安全设备之间的联动,将边界安全设备发送的第一安全规则与终端安全代理的第二安全规则进行匹配,根据匹配的结果对突破的终端安全代理进行识别,解决了目前终端安全代理被突破时无法识别的技术问题,提高了网络的安全防御能力。
Description
技术领域
本发明涉及网络安全技术领域,尤其涉及一种终端安全代理突破的识别方法、识别设备及存储介质。
背景技术
在客户端/应用服务器的分布式应用系统架构中,通常采用应用服务的安全代理技术,其中对访问应用服务器的客户端用户身份进行鉴别、权限进行控制,同时还要对应用协议进行识别和过滤等,实现对应用服务的安全保护。
但安全代理有被恶意软件绕过的风险,一旦安全代理被绕过,恶意软件便可以发动恶意行为,如允许外网非法访问重要服务器,将重要信息传输到外网,如果没有终端、网络以及边界安全设备的联动,这种非法行为很难被检测到。
目前业界的安全联动无法解决这个问题,所能做到的安全联运是安全代理识别到异常,并将异常警告发送给其他安全代理,或发送给中央控制端,再由中央控制端转发给其他安全代理。
上述内容仅用于辅助理解本发明的技术方案,并不代表承认上述内容是现有技术。
发明内容
本发明的主要目的在于提供一种终端安全代理突破的识别方法、识别设备及存储介质,旨在解决现有技术中网络中的终端安全代理被突破时无法识别的技术问题。
为实现上述目的,本发明提供一种终端安全代理突破的识别方法,所述方法包括以下步骤:
识别设备获取目标网络中的边界安全设备发送的第一安全规则,所述第一安全规则由所述边界安全设备根据在所述目标网络中采集的流量生成;
将所述第一安全规则与所述目标网络中的终端安全代理的第二安全规则进行匹配;
在所述第一安全规则与所述目标网络中的终端安全代理的第二安全规则匹配失败时,认定所述目标网络中的终端安全代理被突破。
优选地,所述识别设备获取目标网络中的边界安全设备发送的第一安全规则,具体包括:
识别设备向所述目标网络中的边界安全设备发送流量采集指令,以使所述边界安全设备接收到所述流量采集指令后,对所述目标网络中的流量进行采集,基于采集到的流量生成所述第一安全规则,并将所述第一安全规则发送至所述识别设备。
优选地,所述识别设备获取目标网络中的边界安全设备发送的第一安全规则,具体包括:
识别设备向所述目标网络中的边界安全设备发送流量采集指令,以使所述边界安全设备接收到所述流量采集指令后,采集基于所述预设安全规则在所述目标网络中截获的异常流量,根据所述异常流量生成所述第一安全规则,并将所述第一安全规则发送至所述识别设备。
优选地,所述将所述第一安全规则与所述目标网络中的终端安全代理的第二安全规则进行匹配之前,所述方法还包括:
获取所述目标网络中各终端安全代理的当前安全规则;
从所述当前安全规则中分别获取与预设树形结构中各预设参数类型对应的参数信息;
在所述预设树形结构中选取与所述参数信息对应的叶子结点;
将所述当前安全规则保存至选取的叶子节点,以建立所述第二安全规则。
优选地,所述获取所述目标网络中各终端安全代理的当前安全规则,具体包括:
获取所述目标网络中各终端安全代理的当前安全规则和各所述终端的设备标识;
相应地,所述将所述当前安全规则保存至选取的叶子节点,以建立所述第二安全规则,具体包括:
将所述当前安全规则与所述设备标识保存至选取的叶子结点,以建立所述第二安全规则。
优选地,所述获取所述目标网络中各终端安全代理的当前安全规则之后,所述方法还包括:
对所述当前安全规则进行处理,获得数据结构统一的目标安全规则;
相应地,所述从所述当前安全规则中分别获取与各预设参数类型对应的参数信息,具体包括:
从所述数据结构统一的目标安全规则中分别获取与各预设参数类型对应的参数信息。
优选地,所述将所述第一安全规则与所述目标网络中的终端安全代理的第二安全规则进行匹配之后,所述方法还包括:
在匹配成功时,修正所述终端安全代理中与所述第一安全规则匹配成功的安全规则。
优选地,所述将所述当前安全规则与所述设备标识保存至选取的叶子结点,以建立所述第二安全规则之后,所述方法还包括:
按照预设周期获取所述目标网络中各所述终端安全代理的当前安全规则;
根据所述当前安全规则更新所述第二安全规则。
此外,为实现上述目的,本发明还提供一种识别设备,所述识别设备包括:存储器、处理器及存储在所述存储器上并可在所述处理器上运行的终端安全代理突破的识别程序,所述终端安全代理突破的识别程序被所述处理器执行时实现如上文所述的终端安全代理突破的识别方法的步骤。
此外,为实现上述目的,本发明还提供一种存储介质,所述存储介质上存储有终端安全代理突破的识别程序,所述终端安全代理突破的识别程序被处理器执行时实现如上文所述的终端安全代理突破的识别方法的步骤。
本发明的识别设备获取目标网络中的边界安全设备发送的第一安全规则,所述第一安全规则由所述边界安全设备根据在所述目标网络中采集的流量生成,将所述第一安全规则与所述目标网络中的终端安全代理的第二安全规则进行匹配,在匹配失败时,认定所述目标网络中的终端安全代理被突破,通过识别设备与边界安全设备之间的联动,将边界安全设备发送的第一安全规则与终端安全代理的第二安全规则进行匹配,根据匹配的结果对突破的终端安全代理进行识别,解决了目前终端安全代理被突破时无法识别的技术问题,提高了网络的安全防御能力。
附图说明
图1是本发明实施例方案涉及的硬件运行环境的识别设备结构示意图;
图2为本发明终端安全代理突破的识别方法第一实施例的流程示意图;
图3为本发明终端安全代理突破的识别方法第二实施例的流程示意图;
图4为本发明终端安全代理突破的识别方法第三实施例的流程示意图;
图5为本发明终端安全代理突破的识别方法第四实施例的流程示意图;
图6为预设树形结构的第一示意图;
图7为一个维度的预设树形结构的示意图;
图8为本发明终端安全代理突破的识别方法第五实施例的流程示意图。
本发明目的的实现、功能特点及优点将结合实施例,参照附图做进一步说明。
具体实施方式
应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
参照图1,图1为本发明实施例方案涉及的硬件运行环境的识别设备的结构示意图。
如图1所示,该识别设备可以包括:处理器1001,例如CPU,通信总线1002、用户接口1003,网络接口1004,存储器1005。其中,通信总线1002用于实现这些组件之间的连接通信。用户接口1003可以包括显示屏(Display)、输入单元比如键盘(Keyboard),可选用户接口1003还可以包括标准的有线接口、无线接口。网络接口1004可选的可以包括标准的有线接口、无线接口(如WI-FI接口)。存储器1005可以是高速RAM存储器,也可以是稳定的存储器(non-volatile memory),例如磁盘存储器。存储器1005可选的还可以是独立于前述处理器1001的存储装置。
其中,所述识别设备可为服务器等其他网络设备。
本领域技术人员可以理解,图1中示出的结构并不构成对识别设备的限定,可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件布置。
如图1所示,作为一种计算机存储介质的存储器1005中可以包括操作系统、网络通信模块、用户接口模块以及终端安全代理突破的识别程序。
图1所示的识别设备中,网络接口1004主要用于与外部网络进行数据通信;用户接口1003主要用于接收用户的输入指令;所述识别设备通过处理器1001调用存储器1005中存储的终端安全代理突破的识别程序,并执行以下操作:
获取目标网络中的边界安全设备发送的第一安全规则,所述第一安全规则由所述边界安全设备根据在所述目标网络中采集的流量生成;
将所述第一安全规则与所述目标网络中的终端安全代理的第二安全规则进行匹配;
在所述第一安全规则与所述目标网络中的终端安全代理的第二安全规则匹配失败时,认定所述目标网络中的终端安全代理被突破。
进一步地,处理器1001可以调用存储器1005中存储的终端安全代理突破的识别程序,还执行以下操作:
向所述目标网络中的边界安全设备发送流量采集指令,以使所述边界安全设备接收到所述流量采集指令后,对所述目标网络中的流量进行采集,基于采集到的流量生成所述第一安全规则,并将所述第一安全规则发送至所述识别设备。
进一步地,处理器1001可以调用存储器1005中存储的终端安全代理突破的识别程序,还执行以下操作:
向所述目标网络中的边界安全设备发送流量采集指令,以使所述边界安全设备接收到所述流量采集指令后,采集基于所述预设安全规则在所述目标网络中截获的异常流量,根据所述异常流量生成所述第一安全规则,并将所述第一安全规则发送至所述识别设备。
进一步地,处理器1001可以调用存储器1005中存储的终端安全代理突破的识别程序,还执行以下操作:
获取所述目标网络中各终端安全代理的当前安全规则;
从所述当前安全规则中分别获取与预设树形结构中各预设参数类型对应的参数信息;
在所述预设树形结构中选取与所述参数信息对应的叶子结点;
将所述当前安全规则保存至选取的叶子节点,以建立所述第二安全规则。
进一步地,处理器1001可以调用存储器1005中存储的终端安全代理突破的识别程序,还执行以下操作:
获取所述目标网络中各终端安全代理的当前安全规则和各所述终端的设备标识;
相应地,所述将所述当前安全规则保存至选取的叶子节点,以建立所述第二安全规则,具体包括:
将所述当前安全规则与所述设备标识保存至选取的叶子结点,以建立所述第二安全规则。
进一步地,处理器1001可以调用存储器1005中存储的终端安全代理突破的识别程序,还执行以下操作:
对所述当前安全规则进行处理,获得数据结构统一的目标安全规则;
相应地,所述从所述当前安全规则中分别获取与各预设参数类型对应的参数信息,具体包括:
从所述数据结构统一的目标安全规则中分别获取与各预设参数类型对应的参数信息。
进一步地,处理器1001可以调用存储器1005中存储的终端安全代理突破的识别程序,还执行以下操作:
在匹配成功时,修正所述终端安全代理中与所述第一安全规则匹配成功的安全规则。
进一步地,处理器1001可以调用存储器1005中存储的终端安全代理突破的识别程序,还执行以下操作:
按照预设周期获取所述目标网络中各所述终端安全代理的当前安全规则;
根据所述当前安全规则更新所述第二安全规则。
本实施例通过上述方案,识别设备获取目标网络中的边界安全设备发送的第一安全规则,所述第一安全规则由所述边界安全设备根据在所述目标网络中采集的流量生成,将所述第一安全规则与所述目标网络中的终端安全代理的第二安全规则进行匹配,在所述第一安全规则与所述目标网络中的终端安全代理的第二安全规则匹配失败时,认定所述目标网络中的终端安全代理被突破,通过识别设备与边界安全设备之间的联动,将边界安全设备发送的第一安全规则与终端安全代理的第二安全规则进行匹配,根据匹配的结果对突破的终端安全代理进行识别,解决了目前终端安全代理被突破时无法识别的技术问题,提高了网络的安全防御能力。
基于上述硬件结构,提出本发明终端安全代理突破的识别方法实施例。
参照图2,图2为本发明终端安全代理突破的识别方法第一实施例的流程示意图。
在第一实施例中,所述终端安全代理突破的识别方法包括以下步骤:
S10:识别设备获取目标网络中的边界安全设备发送的第一安全规则,所述第一安全规则由所述边界安全设备根据在所述目标网络中采集的流量生成;
需要说明的是,本实施例的执行主体为识别设备,所述识别设备可以为服务器等网络设备。
可以理解的是,识别设备可以通过向目标网络中的边界安全设备发送指令,以使所述边界安全设备对所述目标网络中的流量进行采集,进而根据采集的流量生成第一安全规则,并将所述第一安全规则发送至识别设备,或者按照预设的周期,所述边界安全设备定期对所述目标网络中的流量进行采集,进而根据采集的流量生成第一安全规则,并将所述第一安全规则发送至识别设备,本实施例对具体的获取方式不加以限制。
S20:将所述第一安全规则与所述目标网络中的终端安全代理的第二安全规则进行匹配;
可以理解的是,本实施例的目标网络中存在多种终端设备,多种终端设备之间为物理直接连接或者网络间接连接,所述终端可以为手机、电脑等,本实施例对此不加以限制。
应当理解的是,安全代理以软件的形式运行在终端设备中,负责安全策略,比如访问控制列表(Access Control List,ACL),在终端设备的部署。
需要说明的是,所述目标网络中的各终端安全代理中均配置有相应的安全规则,在具体实现时,将所述第一安全规则与所述目标网络中的各终端安全代理的安全规则,即第二安全规则进行分别匹配。
S30:在所述第一安全规则与所述目标网络中的终端安全代理的第二安全规则匹配失败时,认定所述目标网络中的终端安全代理被突破。
本实施例中,识别设备获取目标网络中的边界安全设备发送的第一安全规则,所述第一安全规则由所述边界安全设备根据在所述目标网络中采集的流量生成,将所述第一安全规则与所述目标网络中的终端安全代理的第二安全规则进行匹配,在所述第一安全规则与所述目标网络中的终端安全代理的第二安全规则匹配失败时,认定所述目标网络中的终端安全代理被突破,通过识别设备与边界安全设备之间的联动,将边界安全设备发送的第一安全规则与终端安全代理的第二安全规则进行匹配,根据匹配的结果对突破的终端安全代理进行识别,解决了目前终端安全代理被突破时无法识别的技术问题,提高了网络的安全防御能力。
进一步地,如图3所示,基于第一实施例提出本发明终端安全代理突破的识别方法第二实施例,在本实施例中,步骤S10具体包括:
S101:识别设备向所述目标网络中的边界安全设备发送流量采集指令,以使所述边界安全设备接收到所述流量采集指令后,对所述目标网络中的流量进行采集,基于采集到的流量生成所述第一安全规则,并将所述第一安全规则发送至所述识别设备。
在具体实现中,所述边界安全设备接收到所述流量采集指令后,会对所述目标网络中的流量进行采集,对采集到的流量进行五元组信息提取,并基于提取的五元组信息生成所述第一安全规则,将所述第一安全规则发送至所述识别设备。
本实施例中,通过向所述目标网络中的边界安全设备发送流量采集指令的方式来进行所述第一安全规则的获取,可以根据实际情况或需要对所述目标网络中的流量进行采集,从而能够及时发现类似网络攻击等恶意行为,保障所述目标网络的安全。
进一步地,如图4所示,基于第一实施例提出本发明终端安全代理突破的识别方法第三实施例,在本实施例中,步骤S10具体包括:。
S102:识别设备向所述目标网络中的边界安全设备发送流量采集指令,以使所述边界安全设备接收到所述流量采集指令后,采集基于所述预设安全规则在所述目标网络中截获的异常流量,根据所述异常流量生成所述第一安全规则,并将所述第一安全规则发送至所述识别设备。
可以理解的是,在所述边界安全设备预先设置有安全规则时,会对与所述预先设置的安全规则匹配失败的流量进行拦截,因此,在所述边界安全设备接收到所述流量采集指令后,会对基于所述预设安全规则在所述目标网络中截获的异常流量进行采集,根据采集的异常流量生成所述第一安全规则,并将所述第一安全规则发送至所述识别设备。
需要说明的是,本实施例中,将基于异常流量生成的第一安全规则与目标网络中的终端安全代理的第二安全规则进行匹配之后,在匹配成功时,即终端安全代理中与所述第一安全规则匹配成功的安全规则不能对所述边界安全设备拦截的异常流量做出反应,将会修正所述终端安全代理中与所述第一安全规则匹配成功的安全规则,以达到所述终端安全代理能够对异常流量作出反应的目的。
本实施例中,在所述目标网络中的边界安全设备配置有预设安全规则时,接收到识别设备发送的流量采集指令后,会基于拦截的异常流量生成所述第一安全规则,由于直接将终端安全代理的第二安全规则与基于异常流量生成的第一安全规则进行匹配,提高了匹配识别的效率。
进一步地,如图5所示,基于上述第一实施例、第二实施例和第三实施例中任一实施例提出本发明终端安全代理突破的识别方法第四实施例,图5以基于图2所示的实施例为例。
本实施例中,步骤S10之前,所述方法还包括:
S01:获取所述目标网络中各终端安全代理的当前安全规则;
在具体实现中,考虑到不同厂商的终端的安全规则所采用数据结构可能存在一定的差异,在获取所述目标网络中各终端安全代理的当前安全规则之后,会对各所述终端安全代理的当前安全规则进行同构处理,以获得数据结构统一的目标安全规则。
S02:从所述当前安全规则中分别获取与预设树形结构中各预设参数类型对应的参数信息;
可以理解的是,为了更加方便地进行所述第一安全规则与所述目标网络中的终端安全代理的第二安全规则之间的匹配,可以建立一个数据结构,将所述目标网络中的终端安全代理的安全规则全部存储在所述数据结构中,简化搜索与匹配的时间。
本实施例中的数据结构可为预设树形结构,可参见图6,图6为预设树形结构的第一示意图,预设树形结构为多级树形结构,每一级树都是一个维度,比如,维度1、维度2、维度3、维度4及维度5等。其中,每一维度都对应着一类的预设参数类型,可以理解的是,所述预设参数类型应该与安全规则的特征信息相对应,即可以包括,源IP地址、目的IP地址、源媒体访问控制地址(Media Access Control Address,MAC地址)、目的MAC地址及端口号,维度与预设参数类型的具体对应关系本实施例不加以限制。
应当理解的是,在获取到一条当前安全规则时,可以提取出该条安全规则的源IP地址、目的IP地址、源MAC地址、目的MAC地址及端口号,比如,提取出的参数信息包括源IP地址为1.0.0.1、目的IP地址为1.0.0.25、源MAC地址为X1.X2.X3.X4、目的MAC地址为X5.X6.X7.X8以及端口号为X9。
S03:在所述预设树形结构中选取与所述参数信息对应的叶子结点;
在具体实现中,在提取出上述各参数类型的参数信息后,将在如图5所示的预设树形结构中查找到对应的叶子节点以将当前安全规则保存至该叶子节点中。
参见图7,图7为一个维度的预设树形结构的示意图。
需要说明的,在所述预设树形结构中,每一级树都是一个维度,每一维度都对应着一类的预设参数类型,每一级树的高度为该预设参数类型的字段的长度。
可以理解的是,根据图7可知,比如,图7所示的维度X为表征源IP地址的维度1,由于源IP地址为32比特,则对应的树形结构的高度也为32,即维度1的树形结构的每一层表示一个比特。
在本实施例中,每一层存在三种走向,分别为1、0以及通配符*,其中,“*”表示0或1都可。比如,源IP地址为1.0.0.1,则维度1对应的树形结构的取值应该为0000000100000000 00000000 00000001。从图6中可知,先可确定维度1对应的树形结构的第一层的走向为0,第二层的走向为0……第8层的走向为1……第32层的走向为1,而第32层也是维度1对应的树形结构的最后一层。在到达维度1对应的树形结构的最后一层后,下一步将进入维度2对应的树形结构的第一层,直至最终到达如图5所示的维度5的树形结构的最后一层。通过设计该种预设树形结构,可以将安全规则按照多种不同的参数类型进行分类存储。其中,本实施例不限制维度的具体数量。
S04:将所述当前安全规则保存至选取的叶子节点,以建立所述第二安全规则。
在具体实现中,在根据走向来确定安全规则最终对应的节点后,若该条安全规则同时存在上述5种参数类型的参数信息,则最终会在维度5对应的树形结构的最后一层设置一个叶子节点,并将当前安全规则保存至该维度5对应的树形结构的最后一层中确定的叶子节点,而最终基于预设树形结构处理完各终端安全代理的当前安全规则后获得的数据结构即为第二安全规则。
进一步地,所述获取所述目标网络中各终端安全代理的当前安全规则,具体包括:
获取所述目标网络中各终端安全代理的当前安全规则和各所述终端的设备标识;
相应地,所述将所述当前安全规则保存至选取的叶子节点,以建立所述第二安全规则,具体包括:
将所述当前安全规则与所述设备标识保存至选取的叶子结点,以建立所述第二安全规则。
可以理解的是,将目标网络中的终端安全代理的安全规则进行了集中存储之后,可以将目标网络中各终端的设备标识也保存至选取的叶子节点中,在所述第一安全规则与所述目标网络中的终端安全代理的第二安全规则匹配失败时,能够确定与所述第一安全规则匹配失败的安全规则,也可以通过设备标识快速查找出所述目标网络中被突破的安全代理所在的终端。
本实施例中,通过将所述目标网络中各终端安全代理的安全规则统一存储在所述预设树形结构中,减少安全规则的储存空间,缩短了所述第一安全规则与第二安全规则的匹配时间。
进一步地,如图8所示,基于第四实施例提出本发明终端安全代理突破的识别方法第四实施例,在本实施例中,步骤S30之后,所述方法还包括:
S40:按照预设周期获取所述目标网络中各所述终端安全代理的当前安全规则;
可以理解的是,为了保证第二安全规则和虚拟或物理网络的真实情况不会有偏差,可周期性地获取所述目标网络中各所述终端安全代理的当前安全规则,以判断各所述终端安全代理的当前安全规则是否发生变化。
S50:根据所述当前安全规则更新所述第二安全规则。
在具体实现中,在所述终端安全代理的当前安全规则发生变化时,根据变化后的当前安全规则更新所述第二安全规则。
本实施例中,通过周期性地获取所述目标网络中各终端安全代理的当前安全规则,并根据变化后的当前安全规则更新所述第二安全规则,从而保证了所述第二安全规则始终与虚拟或物理网络的真实情况保证一致。
此外,本发明实施例还提出一种存储介质,所述存储介质上存储有终端安全代理突破的识别程序,所述终端安全代理突破的识别程序被处理器执行时实现如下操作:
获取目标网络中的边界安全设备发送的第一安全规则,所述第一安全规则由所述边界安全设备根据在所述目标网络中采集的流量生成;
将所述第一安全规则与所述目标网络中的终端安全代理的第二安全规则进行匹配;
在所述第一安全规则与所述目标网络中的终端安全代理的第二安全规则匹配失败时,认定所述目标网络中的终端安全代理被突破。
进一步地,所述终端安全代理突破的识别程序被处理器执行时还实现如下操作:
向所述目标网络中的边界安全设备发送流量采集指令,以使所述边界安全设备接收到所述流量采集指令后,对所述目标网络中的流量进行采集,基于采集到的流量生成所述第一安全规则,并将所述第一安全规则发送至所述识别设备。
进一步地,所述终端安全代理突破的识别程序被处理器执行时还实现如下操作:
向所述目标网络中的边界安全设备发送流量采集指令,以使所述边界安全设备接收到所述流量采集指令后,采集基于所述预设安全规则在所述目标网络中截获的异常流量,根据所述异常流量生成所述第一安全规则,并将所述第一安全规则发送至所述识别设备。
进一步地,所述终端安全代理突破的识别程序被处理器执行时还实现如下操作:
获取所述目标网络中各终端安全代理的当前安全规则;
从所述当前安全规则中分别获取与预设树形结构中各预设参数类型对应的参数信息;
在所述预设树形结构中选取与所述参数信息对应的叶子结点;
将所述当前安全规则保存至选取的叶子节点,以建立所述第二安全规则。
进一步地,所述终端安全代理突破的识别程序被处理器执行时还实现如下操作:
获取所述目标网络中各终端安全代理的当前安全规则和各所述终端的设备标识;
相应地,所述将所述当前安全规则保存至选取的叶子节点,以建立所述第二安全规则,具体包括:
将所述当前安全规则与所述设备标识保存至选取的叶子结点,以建立所述第二安全规则。
进一步地,所述终端安全代理突破的识别程序被处理器执行时还实现如下操作:
对所述当前安全规则进行处理,获得数据结构统一的目标安全规则;
相应地,所述从所述当前安全规则中分别获取与各预设参数类型对应的参数信息,具体包括:
从所述数据结构统一的目标安全规则中分别获取与各预设参数类型对应的参数信息。
进一步地,所述终端安全代理突破的识别程序被处理器执行时还实现如下操作:
在匹配成功时,修正所述终端安全代理中与所述第一安全规则匹配成功的安全规则。
进一步地,所述终端安全代理突破的识别程序被处理器执行时还实现如下操作:
按照预设周期获取所述目标网络中各所述终端安全代理的当前安全规则;
根据所述当前安全规则更新所述第二安全规则。
本实施例通过上述方案,识别设备获取目标网络中的边界安全设备发送的第一安全规则,所述第一安全规则由所述边界安全设备根据在所述目标网络中采集的流量生成,将所述第一安全规则与所述目标网络中的终端安全代理的第二安全规则进行匹配,在所述第一安全规则与所述目标网络中的终端安全代理的第二安全规则匹配失败时,认定所述目标网络中的终端安全代理被突破,通过识别设备与边界安全设备之间的联动,将边界安全设备发送的第一安全规则与终端安全代理的第二安全规则进行匹配,根据匹配的结果对突破的终端安全代理进行识别,解决了目前终端安全代理被突破时无法识别的技术问题,提高了网络的安全防御能力。
需要说明的是,在本文中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者系统不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者系统所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括该要素的过程、方法、物品或者系统中还存在另外的相同要素。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在如上所述的一个存储介质(如ROM/RAM、磁碟、光盘)中,包括若干指令用以使得一台终端设备(可以是手机,计算机,服务器,空调器,或者网络设备等)执行本发明各个实施例所述的方法。
以上仅为本发明的优选实施例,并非因此限制本发明的专利范围,凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换,或直接或间接运用在其他相关的技术领域,均同理包括在本发明的专利保护范围内。
Claims (10)
1.一种终端安全代理突破的识别方法,其特征在于,所述方法包括以下步骤:
识别设备获取目标网络中的边界安全设备发送的第一安全规则,所述第一安全规则由所述边界安全设备根据在所述目标网络中采集的流量生成;
将所述第一安全规则与所述目标网络中的终端安全代理的第二安全规则进行匹配,所述终端安全代理以软件的形式运行在终端设备中;
在所述第一安全规则与所述目标网络中的终端安全代理的第二安全规则匹配失败时,认定所述目标网络中的终端安全代理被突破。
2.如权利要求1所述的方法,其特征在于,所述识别设备获取目标网络中的边界安全设备发送的第一安全规则,具体包括:
识别设备向所述目标网络中的边界安全设备发送流量采集指令,以使所述边界安全设备接收到所述流量采集指令后,对所述目标网络中的流量进行采集,基于采集到的流量生成所述第一安全规则,并将所述第一安全规则发送至所述识别设备。
3.如权利要求1所述的方法,其特征在于,所述识别设备获取目标网络中的边界安全设备发送的第一安全规则,具体包括:
识别设备向所述目标网络中的边界安全设备发送流量采集指令,以使所述边界安全设备接收到所述流量采集指令后,采集基于预设安全规则在所述目标网络中截获的异常流量,根据所述异常流量生成所述第一安全规则,并将所述第一安全规则发送至所述识别设备。
4.如权利要求1~3中任一项所述的方法,其特征在于,所述将所述第一安全规则与所述目标网络中的终端安全代理的第二安全规则进行匹配之前,所述方法还包括:
获取所述目标网络中各终端安全代理的当前安全规则;
从所述当前安全规则中分别获取与预设树形结构中各预设参数类型对应的参数信息;
在所述预设树形结构中选取与所述参数信息对应的叶子结点;
将所述当前安全规则保存至选取的叶子节点,以建立所述第二安全规则。
5.如权利要求4所述的方法,其特征在于,所述获取所述目标网络中各终端安全代理的当前安全规则,具体包括:
获取所述目标网络中各终端安全代理的当前安全规则和各所述终端的设备标识;
相应地,所述将所述当前安全规则保存至选取的叶子节点,以建立所述第二安全规则,具体包括:
将所述当前安全规则与所述设备标识保存至选取的叶子结点,以建立所述第二安全规则。
6.如权利要求5所述的方法,其特征在于,所述获取所述目标网络中各终端安全代理的当前安全规则之后,所述方法还包括:
对所述当前安全规则进行处理,获得数据结构统一的目标安全规则;
相应地,所述从所述当前安全规则中分别获取与各预设参数类型对应的参数信息,具体包括:
从所述数据结构统一的目标安全规则中分别获取与各预设参数类型对应的参数信息。
7.如权利要求3所述的方法,其特征在于,所述将所述第一安全规则与所述目标网络中的终端安全代理的第二安全规则进行匹配之后,所述方法还包括:
在匹配成功时,修正所述终端安全代理中与所述第一安全规则匹配成功的安全规则。
8.如权利要求6所述的方法,其特征在于,所述将所述当前安全规则与所述设备标识保存至选取的叶子结点,以建立所述第二安全规则之后,所述方法还包括:
按照预设周期获取所述目标网络中各所述终端安全代理的当前安全规则;
根据所述当前安全规则更新所述第二安全规则。
9.一种识别设备,其特征在于,所述识别设备包括:存储器、处理器及存储在所述存储器上并可在所述处理器上运行的终端安全代理突破的识别程序,所述终端安全代理突破的识别程序被所述处理器执行时实现如权利要求1至8中任一项所述的终端安全代理突破的识别方法的步骤。
10.一种存储介质,其特征在于,所述存储介质上存储有终端安全代理突破的识别程序,所述终端安全代理突破的识别程序被处理器执行时实现如权利要求1至8中任一项所述的终端安全代理突破的识别方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810487736.4A CN110505189B (zh) | 2018-05-18 | 2018-05-18 | 终端安全代理突破的识别方法、识别设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810487736.4A CN110505189B (zh) | 2018-05-18 | 2018-05-18 | 终端安全代理突破的识别方法、识别设备及存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110505189A CN110505189A (zh) | 2019-11-26 |
| CN110505189B true CN110505189B (zh) | 2022-08-05 |
Family
ID=68584883
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201810487736.4A Active CN110505189B (zh) | 2018-05-18 | 2018-05-18 | 终端安全代理突破的识别方法、识别设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110505189B (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2022267564A1 (zh) * | 2021-06-26 | 2022-12-29 | 华为技术有限公司 | 报文处理方法、装置、设备、系统及可读存储介质 |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105245506A (zh) * | 2015-09-23 | 2016-01-13 | 上海云盾信息技术有限公司 | 一种防御网络攻击的方法与设备 |
Family Cites Families (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102790758B (zh) * | 2011-05-18 | 2017-08-18 | 海尔集团公司 | 防火墙系统及其处理方法 |
| CN104811452A (zh) * | 2015-04-30 | 2015-07-29 | 北京科技大学 | 一种基于数据挖掘的自学习分级预警入侵检测系统 |
| CN105262722B (zh) * | 2015-09-07 | 2018-09-21 | 深信服网络科技(深圳)有限公司 | 终端恶意流量规则更新方法、云端服务器和安全网关 |
| US9954903B2 (en) * | 2015-11-04 | 2018-04-24 | Monico Monitoring, Inc. | Industrial network security translator |
| CN107360115A (zh) * | 2016-05-09 | 2017-11-17 | 中兴通讯股份有限公司 | 一种sdn网络防护方法及装置 |
| CN107634931A (zh) * | 2016-07-18 | 2018-01-26 | 深圳市深信服电子科技有限公司 | 异常数据的处理方法、云端服务器、网关及终端 |
| CN107800671B (zh) * | 2016-09-05 | 2020-03-27 | 北京金山云网络技术有限公司 | 一种防火墙规则的生成方法及装置 |
| CN107682312A (zh) * | 2017-08-25 | 2018-02-09 | 中国科学院信息工程研究所 | 一种安全防护系统及方法 |
-
2018
- 2018-05-18 CN CN201810487736.4A patent/CN110505189B/zh active Active
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105245506A (zh) * | 2015-09-23 | 2016-01-13 | 上海云盾信息技术有限公司 | 一种防御网络攻击的方法与设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN110505189A (zh) | 2019-11-26 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109766696B (zh) | 软件权限的设置方法及装置、存储介质、电子装置 | |
| CN109076063B (zh) | 在云环境中保护动态和短期虚拟机实例 | |
| EP3494682B1 (en) | Security-on-demand architecture | |
| CN112702300B (zh) | 一种安全漏洞的防御方法和设备 | |
| US10491561B2 (en) | Equipment for offering domain-name resolution services | |
| CN107547565B (zh) | 一种网络接入认证方法及装置 | |
| EP3337219B1 (en) | Carrier configuration processing method, device and system, and computer storage medium | |
| CN110278192B (zh) | 外网访问内网的方法、装置、计算机设备及可读存储介质 | |
| JP2020017809A (ja) | 通信装置及び通信システム | |
| US20130024944A1 (en) | Confidential information leakage prevention system, confidential information leakage prevention method and confidential information leakage prevention program | |
| CN108351923A (zh) | 与统一可扩展固件接口系统可执行的脚本有关的阈值 | |
| CN111901317B (zh) | 一种访问控制策略处理方法、系统和设备 | |
| CN106411852B (zh) | 一种分布式终端准入控制方法和装置 | |
| CN113872951B (zh) | 混合云安全策略下发方法、装置、电子设备和存储介质 | |
| CN110505189B (zh) | 终端安全代理突破的识别方法、识别设备及存储介质 | |
| CN112804222A (zh) | 基于云部署的数据传输方法、装置、设备及存储介质 | |
| CN110719263B (zh) | 多租户dns安全管理方法、装置及存储介质 | |
| KR20210043654A (ko) | 자원 구성을 위한 방법, 장치 및 저장 매체 | |
| CN109462589B (zh) | 应用程序网络访问控制的方法、装置及设备 | |
| CN110505187B (zh) | 混合云中安全规则管理方法、系统、服务器及存储介质 | |
| CN113691650B (zh) | IPv4/IPv6无状态分段安全映射方法及控制系统 | |
| JP4617898B2 (ja) | アクセス制御方式および方法、サーバ装置、端末装置ならびにプログラム | |
| CN112217770B (zh) | 一种安全检测方法、装置、计算机设备及存储介质 | |
| US11443022B2 (en) | Method for controlling access to a security module | |
| CN111314384A (zh) | 一种终端认证方法、装置及设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |