CN111064755A - 一种数据保护方法、装置、计算机设备和存储介质 - Google Patents

一种数据保护方法、装置、计算机设备和存储介质 Download PDF

Info

Publication number
CN111064755A
CN111064755A CN202010037151.XA CN202010037151A CN111064755A CN 111064755 A CN111064755 A CN 111064755A CN 202010037151 A CN202010037151 A CN 202010037151A CN 111064755 A CN111064755 A CN 111064755A
Authority
CN
China
Prior art keywords
data packet
dangerous
data
packet
target server
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202010037151.XA
Other languages
English (en)
Other versions
CN111064755B (zh
Inventor
陈虎
邓之珺
周志彬
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Tencent Technology Shenzhen Co Ltd
Original Assignee
Tencent Technology Shenzhen Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Tencent Technology Shenzhen Co Ltd filed Critical Tencent Technology Shenzhen Co Ltd
Priority to CN202010037151.XA priority Critical patent/CN111064755B/zh
Publication of CN111064755A publication Critical patent/CN111064755A/zh
Application granted granted Critical
Publication of CN111064755B publication Critical patent/CN111064755B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/14Session management
    • H04L67/143Termination or inactivation of sessions, e.g. event-controlled end of session

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明实施例公开了一种数据保护方法、装置、计算机设备和存储介质,数据保护装置连接于目标服务器与运营商网络的网络接入节点之间的第一数据传输路径上,且数据保护装置与运营商网络的网络接入节点之间的第二数据传输路径,短于第一数据传输路径,该装置可获取在客户端设备与目标服务器之间传输的数据包;基于对数据包的解析结果从数据包中确定出危险数据包,向危险数据包的通信双方中的至少一方发送阻断数据包,其中,阻断数据包用于阻断危险数据包对应的客户端设备和目标服务器的连接,由此,本实施例可在发现危险数据包时,快速利用阻断数据包阻断危险数据包对应的连接过程,有利于提升对目标服务器的安全性。

Description

一种数据保护方法、装置、计算机设备和存储介质
技术领域
本发明涉及互联网技术领域,具体涉及一种数据保护方法、装置、计算机设备和存储介质。
背景技术
近年来,高危服务产生的数据泄漏、赎金勒索以及恶意公关类安全事件屡见不鲜,这些事件往往后果严重而且性质恶劣。数据和服务器安全是互联网企业的生命线。
黑客通过高危端口扫描可以有效掌握企业网络资产情况,了解企业服务器的受攻击面,在此基础上发起入侵事件。大型互联网企业服务器量级大,各种发布变更频繁。在复杂的场景下,及时、准确发现收敛高危服务风险,是扫描体系建设的重点和难点。
发明内容
本发明实施例提供一种数据保护方法、装置、计算机设备和存储介质,有利于及时发现存在危险的扫描行为,并快速阻断扫描行为,保护被扫描的对象。
本发明实施例提供一种数据保护方法,该方法应用于数据保护装置,所述数据保护装置连接于目标服务器与运营商网络的网络接入节点之间的第一数据传输路径上,且数据保护装置与运营商网络的网络接入节点之间的第二数据传输路径,短于所述第一数据传输路径,该数据保护方法包括:
从所述第一数据传输路径上获取在客户端设备与所述目标服务器之间传输的数据包;
对所述数据包进行解析,基于解析结果,从所述数据包中确定出危险数据包,其中,所述危险数据包为用于建立目标服务器与客户端设备间的通信连接的数据包,且所述危险数据包中携带的通信信息不满足安全通信条件;
向所述危险数据包的通信双方中的至少一方发送阻断数据包,其中,所述阻断数据包用于阻断所述危险数据包对应的客户端设备和目标服务器的连接。
本发明实施例还提供一种数据保护装置,所述数据保护装置连接于目标服务器与运营商网络的网络接入节点之间的第一数据传输路径上,且所述数据保护装置与运营商网络的网络接入节点之间的第二数据传输路径,短于所述第一数据传输路径,所述数据保护装置包括:
获取单元,用于从所述第一数据传输路径上获取在客户端设备与所述目标服务器之间传输的数据包;
识别单元,用于对所述数据包进行解析,基于解析结果,从所述数据包中确定出危险数据包,其中,所述危险数据包为用于建立目标服务器与客户端设备间的通信连接的数据包,且所述危险数据包中携带的通信信息不满足安全通信条件;
拦截单元,用于向所述危险数据包的通信双方中的至少一方发送阻断数据包,其中,所述阻断数据包用于阻断所述危险数据包对应的客户端设备和目标服务器的连接。
可选的,识别单元,包括:
第一解析子单元,用于对数据包按照对应的网络协议进行解析,基于解析结果确定出数据包中的连接数据包,其中,连接数据包中包含预设的连接标志;
第一确定子单元,用于从连接数据包的解析结果中,提取连接数据包的通信信息中的目标通信信息,将目标通信信息与预设的通信信息黑名单进行匹配,将匹配成功的连接数据包确定为危险数据包,其中,目标通信信息包括目标服务器的IP地址及端口号,和/或,客户端设备的IP地址及端口号。
可选的,获取单元,用于通过数据保护装置的数据获取子装置,从第一数据传输路径上获取在客户端设备与目标服务器之间传输的数据包,将数据包存储至数据获取子装置的存储空间中;
第一解析子单元,用于通过数据保护装置的解包集群中的各解包子装置,并行地从存储空间获取数据包,对获取的数据包按照对应的网络协议进行解析,得到数据包的解析结果;通过各解包子装置,从数据包的解析结果中筛选出包含预设的连接标志的解析结果,将筛选出的解析结果对应的数据包确定为连接数据包。
可选的,识别单元,包括:
第二解析子单元,用于对数据包按照对应的网络协议进行解析,基于解析结果确定出数据包中的疑似危险数据包,其中,疑似危险数据包的通信信息中的目标通信信息与预设的通信信息黑名单匹配,其中,目标通信信息包括目标服务器的IP地址及端口号,和/或,客户端设备的IP地址及端口号;
第二确定子单元,用于从疑似危险数据包的解析结果中,筛选出包含预设的连接标志的解析结果,将筛选出的解析结果对应的疑似危险数据包,确定为危险数据包。
可选的,拦截单元,用于基于危险数据包的解析结果,向危险数据包对应的源端发送伪造的重置连接响应包。
可选的,拦截单元,包括:
第一提取子单元,用于若危险数据包的源端为客户端设备,从危险数据包的解析结果中,提取客户端设备的IP地址和端口号,目标服务器的IP地址和端口号,以及危险数据包的序列号;
第一生成子单元,用于伪装成目标服务器,生成发送给客户端设备的第一重置连接响应包,该第一重置连接响应包的源IP地址为目标服务器的IP地址,源端口号为目标服务器的端口号,目的IP地址为客户端设备的IP地址,目的端口号为客户端设备的端口号,确认号为危险数据包的序列号与数值1之和,序列号为生成的随机号;
第一发送子单元,用于将第一重置连接响应包发送给危险数据包对应的客户端设备。
可选的,拦截单元,包括:
第二提取子单元,用于若危险数据包的源端为目标服务器,从危险数据包的解析结果中,提取客户端设备的IP地址和端口号,目标服务器的IP地址和端口号,以及危险数据包的序列号和确认号;
第二生成子单元,用于伪装成客户端设备,生成发送给目标服务器的第二重置连接响应包,第二重置连接响应包的源IP地址为客户端设备的IP地址,源端口号为客户端设备的端口号,目的IP地址为目标服务器的IP地址,目的端口号为目标服务器的端口号,确认号为危险数据包的序列号与数值1之和,序列号为危险数据包的确认号;
第二发送子单元,用于将第二重置连接响应包发送给危险数据包对应的目标服务器。
可选的,拦截单元,用于伪装成危险数据包的目的端,基于危险数据包的解析结果,向危险数据包的源端发送针对危险数据包的确认连接响应包。
可选的,拦截单元,包括:
第三提取子单元,用于若危险数据包的源端为客户端设备,从危险数据包的解析结果中,提取客户端设备的IP地址和端口号,目标服务器的IP地址和端口号,以及危险数据包的序列号;
第三生成子单元,用于伪装成目标服务器,生成发送给客户端设备的第一确认连接响应包,第一确认连接响应包的源IP地址为目标服务器的IP地址,源端口号为目标服务器的端口号,目的IP地址为客户端设备的IP地址,目的端口号为客户端设备的端口号,确认号为危险数据包的序列号与数值1之和,序列号为生成的随机号;
第三发送子单元,用于将第一确认连接响应包发送给危险数据包对应的客户端设备。
可选的,拦截单元,包括:
第四提取子单元,用于若危险数据包的源端为目标服务器,从危险数据包的解析结果中,提取客户端设备的IP地址和端口号,目标服务器的IP地址和端口号,以及危险数据包的序列号和确认号;
第四生成子单元,用于伪装成客户端设备,生成发送给目标服务器的第二确认连接响应包,第二确认连接响应包的源IP地址为客户端设备的IP地址,源端口号为客户端设备的端口号,目的IP地址为目标服务器的IP地址,目的端口号为目标服务器的端口号,确认号为危险数据包的序列号与数值1之和,序列号为危险数据包的确认号;
第四发送子单元,用于将第二确认连接响应包发送给危险数据包对应的目标服务器。
可选的,数据保护装置连接于目标核心交换机与运营商网络之间的第一数据传输路径上,其中,目标核心交换机为目标服务器的核心交换机。
本发明实施例还提供一种存储介质,其上存储有计算机程序,其中,所述计算机程序被处理器执行时实现如上所述的数据保护方法的步骤。
本发明实施例还提供一种计算机设备,包括存储器,处理器及存储在存储器上并可在处理器上运行的计算机程序,其中,所述处理器执行所述程序时实现如上所述的数据保护方法的步骤。
本发明实施例公开了一种数据保护方法、装置、计算机设备和存储介质,数据保护装置连接于目标服务器与运营商网络的网络接入节点之间的第一数据传输路径上,且数据保护装置与网络接入节点之间的第二数据传输路径,短于第一数据传输路径,本实施例可获取在客户端设备与目标服务器之间传输的数据包;对数据包进行解析,基于解析结果从数据包中确定出危险数据包,向危险数据包的通信双方中的至少一方发送阻断数据包,其中,阻断数据包用于阻断危险数据包对应的客户端设备和目标服务器的连接,通过上述的方案,数据保护装置可以在发现危险数据包时,可以快速将阻断数据包发送给客户端设备或者是服务器,或者是客户端设备和服务器,快速阻断危险数据包对应的连接过程,有利于提升对目标服务器的安全性。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1a是本发明实施例提供的数据保护方法的场景示意图;
图1b是本发明实施例提供的数据保护方法的流程图;
图2a是本发明实施例提供的一种可选的数据保护原理框架图;
图2b是本发明实施例提供的另一种可选的数据保护原理框架图;
图2c是本发明实施例提供的三次握手的原理示意图;
图2d是本发明实施例提供的数据包的解析结果的一个可选的示意图;
图2e是本发明实施例中,在三次握手中伪造的第一重置连接响应包和第一确认连接响应包的示意图;
图2f是本发明实施例中,在三次握手中伪造的第二重置连接响应包和第二确认连接响应包的示意图;
图3是本发明实施例提供的数据保护装置的结构示意图;
图4是本发明实施例提供的计算机设备的结构示意图;
图5是本发明实施例提供的分布式系统100应用于区块链系统的一个可选的结构示意图;
图6是本发明实施例提供的区块结构的一个可选的示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明实施例提供一种数据保护方法、装置、计算机设备和存储介质。具体地,本发明实施例提供适用于计算机设备的数据保护装置。其中,计算机设备可以为服务器等设备,该服务器可以是单台服务器,也可以是由多个服务器组成的服务器集群;计算机设备还可以由交换机、服务器等设备构成,其中,交换机可以是具有强大数据处理能力的交换机。
参考图1a所示的通信系统,本实施例的数据保护装置10连接于目标服务器20与运营商网络30的网络接入节点之间的第一数据传输路径上,且数据保护装置10与运营商网络30的网络接入节点之间的第二数据传输路径,短于第一数据传输路径。
本实施例中,通信系统中,还包括目标服务器的客户端设备40,该客户端设备可以是终端,该终端可以为任意具有通信功能的终端,如可以为手机、平板电脑、笔记本电脑、智能电视、智能冰箱、智能手环等终端设备。其中,第二数据传输路径为数据保护装置与目标服务器对应的客户端设备40之间的数据传输路径。数据保护装置10与运营商网络30的网络接入节点,和目标服务器20与运营商网络30的网络接入节点,可以相同或不同,本实施例对此没有限制。
本实施例的客户端设备40和目标服务器20之间,可以通过运营商网络进行数据传输。
数据保护装置10,可以用于从第一数据传输路径上获取在客户端设备与目标服务器之间传输的数据包;对数据包进行解析,基于解析结果,从数据包中确定出危险数据包,其中,危险数据包为用于建立目标服务器与客户端设备间的通信连接的数据包,且危险数据包中携带的通信信息不满足安全通信条件;向危险数据包的通信双方中的至少一方发送阻断数据包,其中,阻断数据包用于阻断危险数据包对应的客户端设备和目标服务器的连接过程。
以下分别进行详细说明。需说明的是,以下实施例的描述顺序不作为对实施例优选顺序的限定。
本发明实施例将从数据保护装置的角度进行描述,本实施例的数据保护装置,本实施例的数据保护装置功能较为复杂,可以由多种不同的计算机设备组成,例如,一个可选的示例中,可以由分光器、交换机、数据处理服务器等组成。
本发明实施例提供的一种数据保护方法,参考图1a所示的数据保护装置在通信网络中的位置示意图可知,本实施例的数据保护装置连接于目标服务器与运营商网络的网络接入节点之间的第一数据传输路径上,且数据保护装置与网络接入节点之间的第二数据传输路径,短于第一数据传输路径。
如图1b所示,本实施例的数据保护方法的具体流程可以如下:
101、从第一数据传输路径上获取在客户端设备与目标服务器之间传输的数据包;
本实施例中,运营商网络所属的运营商的数量不限,例如,可以包括移动、电信、联通等运营商中的至少一个运营商网络,运营商的网络的制式不限,可以是3G、4G、5G等制式的网络。
本实施例中目标服务器与运营商的网络接入节点,可以理解为目标服务器与运营商连接的网络节点,该节点可以是运营商的边缘节点中与目标服务器距离最近的节点。
本实施例中的第一数据传输路径和第二数据传输路径,可以理解为数据的传输路径,第一数据传输路径和第二数据传输路径的传输介质不限,可以是有线传输介质或无线传输介质,该有线传输介质包括但不限于光纤、电缆等等,无线传输介质,包括但不限于微波、红外线、激光等等。
如图1a所示,本实施例中的数据保护装置并不是以串联的形式连接在目标服务器和其在运营商网络的网络接入节点之间,所以数据保护装置并不会侵入业务正常流量路径中,不会因为装置故障造成串联影响。
本实施例中,数据保护装置可以通过对第一数据传输路径上的流量做分光镜像,100%复制流量到数据保护装置,即得到在客户端设备与目标服务器之间传输的数据包。
本实施例中,数据保护装置,可以通过具有数据复制功能的数据子装置获取第一传输路径上传输的数据。在一个实施例中,该数据子装置,可以将第一数据传输路径上的数据包复制成两份,一份传输给目标服务器,另一份传输给数据保护装置的解包系统进行解包等处理。
可选的,从第一数据传输路径上获取在客户端设备与目标服务器之间传输的数据包,包括:
通过数据保护装置的数据获取子装置,从第一数据传输路径上获取在客户端设备与目标服务器之间传输的数据包,将数据包存储至数据获取子装置的存储空间中。
本实施例中,目标服务器对应有目标核心交换机,该目标核心交换机用于接收运营商网络发送的数据,传递给目标服务器,以及将目标服务器发送的数据,通过运营商网络发送给对应的客户端设备。目标核心交换机与运营商网络的网络接入节点,即为目标服务器与运营商网络的网络接入节点,目标核心交换机相较于服务器,更靠近运营商网络,本实施例的一个示例中,数据保护装置连接于目标核心交换机与运营商网络之间的第一数据传输路径上。
在一个实施例中,数据获取子装置,可以由分光器和交换机实现,例如,参考图2a,分光器设置于第一数据传输路径上,用于在维持第一数据传输路径的情况下,将第一数据传输路径上传输的数据包复制一份发送给交换机。
可选的,可以选择具有分光器功能的交换机,如分光交换机,替代分光器和交换机,作为数据获取子装置使用。如,参考图2b,分光交换机连接于第一数据传输路径上,可以将第一数据传输路径上传输的数据包复制到自身的存储空间中。
可以理解的是,目标服务器和客户端设备之间的数据传输方向是双向的,所以第一数据传输路径是具有两个相反的传输方向的传输路径,步骤101中获取的数据包,可以是客户端设备向目标服务器发送的数据包,也可以是目标服务器向客户端设备发送的数据包,本实施例对此没有限制。
也即,步骤101具体可以包括:从目标核心交换机的上联网络链路上获取客户端设备发送给目标服务器的数据包。
或者,步骤101,具体可以包括:从目标核心交换机的下联网络链路上获取目标服务器发送给客户端设备的数据包。
本实施例中,目标服务器和客户端设备之间的传输协议包括但不限于TCP/IP协议。本实施例中的数据包可以是符合TCP/IP传输协议规定的数据包格式的数据包,例如为TCP数据包。
102、对数据包进行解析,基于解析结果,从数据包中确定出危险数据包,其中,危险数据包为用于建立目标服务器与客户端设备间的通信连接的数据包,且危险数据包中携带的通信信息不满足安全通信条件;
通信中传输的数据包,一般都是采用多层封装的形式,例如用户数据经过应用层协议封装后传递给传输层,传输层封装TCP头部,交给网络层,网络层封装IP头部后,再交给数据链路层,数据链路层封装Ethernet帧头和帧尾,交给物理层,物理层以比特流的形式将数据发送到物理线路上。对应地,对数据包进行解析时,一般按照与封装相反的顺序对数据包中的每一层数据进行解析。
本实施例中,危险数据包至少具有两个特点,第一个特点是用于建立客户端设备与目标服务器的连接,第二个特点是通信信息不满足预设的安全通信条件中对于通信信息的规定。在确定危险数据包时,可以先确定满足第一个特点的数据包,再从确定的数据包中确定满足第二个特点的数据包,或者先确定满足第二个特点的数据包,再从确定的数据包中确定满足第一个特点的数据包。
可选的,步骤“对数据包进行解析,基于解析结果,从数据包中确定出危险数据包”,可以包括:
对数据包按照对应的网络协议进行解析,基于解析结果确定出数据包中的连接数据包,其中,连接数据包中包含预设的连接标志;
从连接数据包的解析结果中,提取连接数据包的通信信息中的目标通信信息,将目标通信信息与预设的通信信息黑名单进行匹配,将匹配成功的连接数据包确定为危险数据包。
本实施例中,通信信息黑名单,可以是从目标服务器的其他安全保障装置中获取的。
可选的,在步骤“对数据包进行解析,基于解析结果,从数据包中确定出危险数据包”前,还包括:
从目标服务器的其他安全保障装置中获取通信信息黑名单。
其中,通信信息黑名单中记录的信息类型,包括但不限于IP地址、端口号、以及MAC号等等信息。通信信息黑名单可以是只记录客户端设备信息的黑名单,或者只记录服务器信息的黑名单,或者是记录客户端设备信息和服务器设备信息的黑名单,本实施例对此没有限制。
本实施例中,数据保护装置可以通过API接口从安全保障装置中获取通信信息黑名单。
例如,若数据包为基于TCP/IP协议栈传输的数据包,则基于TCP/IP协议栈对数据包进行解析,数据包的解析结果中,包括物理层信息,数据链路层信息,IP(InternetProtocol,网络互联协议)层信息,以及TCP(Transmission Control Protocol,传输控制协议)层信息。在数据链路层信息中,包含数据包的源端的MAC地址,以及目的端的MAC地址;在IP层信息中,包含数据包的源端的IP地址和目的端的IP地址,在TCP层信息中,包含源端的端口号和目的端的端口号等等信息。
在通信领域,TCP是面向连接的传输协议,需要通过三次握手才能建立通信双方的通信连接,该三次握手的基本原理如图2c所示。
第一次握手:客户端设备发送SYN数据包给目标目标服务器,SYN数据包中,SYN(synchronous,建立联机)标志位为1,代表该客户端设备请求建立联机,即建立客户端设备和目标服务器之间的连接,seqnumber(Sequence number,序列号)=J,为随机生成的数据。
第二次握手:目标服务器接收到客户端设备发送的SYN数据包后,生成SYN+ACK数据包,该数据包中SYN标志位为1,表示目标服务器请求建立联机,ACK(Acknowledgement确认)标志位为1,表示确认客户端设备的连接,acknumber(Acknowledgenumber,确认号)=J+1,seqnumber=K,该数据K也可以是随机生成的数据。
第三次握手:客户端设备接收到目标服务器发送的SYN+ACK数据包后,返回一个ACK数据包,该数据包中,ACK标志位为1,acknumber=K+1,目标服务器收到后连接建立成功。
本实施例中的连接数据包,为用于建立客户端设备和目标服务器之间的连接的数据包,以三次握手建立连接为例,连接数据包可以为第一次握手的过程中,客户端设备发送的SYN数据包,或者第二次握手的过程中,目标服务器反馈的SYN+ACK数据包。
在本实施例中,预设的连接标志为用于表示建立数据包的通信双方的通信连接的标志,基于传输协议的不同,连接标志的字段名称和标志值可以不同,例如,对于TCP/IP协议,连接数据包为SYN数据包,预设的连接标志的字段名称为SYN,标志值为1。
例如,可选的,确定连接数据包的方案,可以为:对数据包按照对应的网络协议进行解析,检测数据包的解析结果中是否包含SYN标志位=1的信息,若包含,则确定该数据包为连接数据包,若不包含,则确定该数据包为非连接数据包。
在一些其他实施例中,还可以根据其他连接标志确定连接数据包,例如参考图2d,图2d示出了一个数据包的解析结果,其中,tcp.flag=2,表示该数据包为syn包。
本实施例中,连接数据包的通信信息,可以是数据包的解析结果中的任意信息,例如,可以是数据包中的源端的信息如源端的IP地址、端口号和MAC地址,和/或,可以是数据包中的目的端的信息,如目的端的IP地址、端口号和MAC地址等等。
本实施例中,数据包的通信信息,满足安全通信条件,可以是数据包的通信信息中,不包含预设的通信信息黑名单中记载的通信信息。
一个实施例中,可以根据客户端设备的IP地址,判断连接数据包是否为危险数据包,可选的,目标通信信息,可以包括客户端设备的IP地址,通信信息黑名单中,可以包括危险客户端设备的IP地址。
对应的,危险数据包的确定过程,可以包括:从连接数据包的解析结果中,提取客户端设备的IP地址,将客户端设备的IP地址,与通信信息黑名单中的IP地址进行匹配,将匹配成功的IP地址所属的连接数据包确定为危险数据包。
另一个实施例中,可以根据客户端设备的IP地址和端口号,判断连接数据包是否为危险数据包,可选的,目标通信信息,可以包括客户端设备的IP地址和端口号,通信信息黑名单中,可以包括危险客户端设备的IP地址和端口号。
对应的,危险数据包的确定过程,可以包括:从连接数据包的解析结果中,提取客户端设备的IP地址和端口号,将客户端设备的IP地址和端口号,与通信信息黑名单中的IP地址和端口号进行匹配,若IP地址和端口号匹配成功,则将匹配成功的IP地址和端口号所属的连接数据包确定为危险数据包。
本实施例中,通信信息黑名单中的信息还可以由数据保护装置更新,例如数据保护装置可以将目标服务器的高危端口也加入通信信息黑名单中,避免对高危端口的扫描。该高危端口号可以根据需要设置,例如根据端口号对应的业务重要程度设置高危端口号,业务越重要,认为端口的危险程度越高,或者,可以根据通过端口读取的数据的重要程度设置,数据越重要,则认为端口的危险程度越高。
另一个实施例中,可以根据目标服务器的IP地址和端口号,判断连接数据包是否为危险数据包,可选的,目标通信信息,可以包括目标服务器的IP地址和端口号,通信信息黑名单中,可以包括目标服务器的IP地址和端口号,
对应的,危险数据包的确定过程,可以包括:从连接数据包的解析结果中,提取目标服务器的IP地址和端口号,将目标服务器的IP地址和端口号,与通信信息黑名单中的IP地址和端口号进行匹配,若IP地址和端口号匹配成功,则将匹配成功的IP地址和端口号所属的连接数据包确定为危险数据包。
在一个实施例中,目标通信信息,还可以包括:目标服务器的IP地址及端口号,和,客户端设备的IP地址及端口号。在确定危险数据包时,危险数据包可以是目标服务器的IP地址及端口号与通信信息黑名单匹配成功的数据包,或者,可以是客户端设备的IP地址及端口号与通信信息黑名单匹配成功的数据包,或者,可以是客户端设备的IP地址及端口号,和目标服务器的IP地址及端口号,均与通信信息黑名单匹配成功的数据包。
本实施例中,可以采用集群的方式对获取的数据包进行解析等处理,提升数据包处理速度,提升对危险数据包的拦截速度。
可选的,步骤“对数据包按照对应的网络协议进行解析,基于解析结果确定出数据包中的连接数据包”,可以包括:
通过数据保护装置的解包集群中的各解包子装置,并行地从存储空间获取数据包,对获取的数据包按照对应的网络协议进行解析,得到数据包的解析结果;
通过各解包子装置,从数据包的解析结果中筛选出包含预设的连接标志的解析结果,将筛选出的解析结果对应的数据包确定为连接数据包。
参考图2a或2b示出的本实施例中数据保护的可选的原理框架图。本实施例中的解包子装置,可以包括解包模块和分析模块,其中,一个解包模块对应一个分析模块。解包集群中的解包子装置采用集群式工作,可以并行地从分光交换机的存储空间中获取数据包,然后对数据包进行解析,将解析结果发送给对应的分析模块,触发分析模块从数据包的解析结果中筛选出包含预设的连接标志的解析结果,将筛选出的解析结果对应的数据包确定为连接数据包。再通过从连接数据包的解析结果中,提取出目标通信信息,对目标通信信息与通信信息黑名单进行匹配,最终确定数据包中的危险数据包,阻断危险数据包对应的连接过程。
可选的,步骤“对数据包进行解析,基于解析结果,从数据包中确定出危险数据包”,可以包括:
对数据包按照对应的网络协议进行解析,基于解析结果确定出数据包中的疑似危险数据包,其中,疑似危险数据包的通信信息中的目标通信信息与预设的通信信息黑名单匹配,其中,目标通信信息包括目标服务器的IP地址及端口号,和/或,客户端设备的IP地址及端口号;
从疑似危险数据包的解析结果中,筛选出包含预设的连接标志的解析结果,将筛选出的解析结果对应的疑似危险数据包,确定为危险数据包。
本实施例中,疑似危险数据包,也可以基于客户端设备的IP地址,或者客户端设备的IP地址和端口号,或者,目标服务器的IP地址和端口号,或者,客户端设备的IP地址和端口号以及目标服务器的IP地址和端口号来确定,具体的确定过程,可以参考从连接数据包中确定危险数据包的具体过程,在此不进行赘述。
该示例中,也可以采用集群的方式对获取的数据包进行解析等处理,提升数据包处理速度,提升对危险数据包的拦截速度。
可选的,步骤“对数据包按照对应的网络协议进行解析,基于解析结果确定出数据包中的疑似危险数据包”,可以包括:
通过数据保护装置的第二解包集群中的各第二解包子装置,并行地从存储空间获取数据包,对获取的数据包按照对应的网络协议进行解析,得到数据包的解析结果;
通过各第二解包子装置,从数据包的解析结果中提取目标通信信息,将该目标通信信息与预设的通信信息黑名单进行匹配,将匹配成功的目标通信信息对应的数据包,确定为疑似危险数据包。
鉴于疑似危险数据包的数量相较于步骤101中获取的数据包的数量,一般会大大减少,对从疑似危险数据包中确定危险数据包的过程,可以采用集群的方式进行处理,也可以不采用集群的方式进行处理,本实施例对此没有限制。
103、向危险数据包的通信双方中的至少一方发送阻断数据包,其中,阻断数据包用于阻断危险数据包对应的客户端设备和目标服务器的连接。
本实施例中,阻断数据包的形式至少包括两种,第一种是伪装的重置连接响应包,其中,重置连接响应包用于指示断开本次的连接,例如断开本次的TCP连接,第二种是伪装的确认连接响应包,其中,确认连接响应包是在三次握手过程中针对连接数据包反馈的用于确认本次连接的数据包。
可选的,步骤“向危险数据包的通信双方中的至少一方发送阻断数据包”,包括:基于危险数据包的解析结果,向危险数据包对应的源端发送伪造的重置连接响应包。可选的,一般是伪装成危险数据包的目的端,向危险数据包的源端发送伪造的重置连接响应包。
在其他实施例中,也可以向客户端设备和目标服务器均发送伪造的重置连接响应包。
对于危险数据包的源端为客户端设备的场景,步骤“基于危险数据包的解析结果,向危险数据包对应的源端发送伪造的重置连接响应包”,可以包括:
从危险数据包的解析结果中,提取客户端设备的IP地址和端口号,目标服务器的IP地址和端口号,以及危险数据包的序列号;
伪装成目标服务器,生成发送给客户端设备的第一重置连接响应包,该第一重置连接响应包的源IP地址为目标服务器的IP地址,源端口号为目标服务器的端口号,目的IP地址为客户端设备的IP地址,目的端口号为客户端设备的端口号,确认号为危险数据包的序列号与数值1之和,序列号为生成的随机号;
将第一重置连接响应包发送给危险数据包对应的客户端设备。
其中,可以基于第二数据传输路径将第一重置连接响应包发送给危险数据包对应的客户端设备。
其中,危险数据包的源端为客户端设备,该危险数据包一般为第一次握手连接过程中,客户端设备发送的SYN数据包,
以图2e为例,图2e中伪造的第一重置连接响应包(图2e中的RSTACK)为数据保护装置发送给客户端设备的数据包,该数据包中源端和目的端分别为目标服务器和客户端设备,数据包中的确认号ack=危险数据包的序列号J+1,序列号为随机生成的随机号如M。在一个示例中,第一重置连接响应包的RST(RESET,重置)标志位的数值为1。
对于危险数据包的源端为目标服务器的场景,步骤“基于危险数据包的解析结果,向危险数据包对应的源端发送伪造的重置连接响应包”,可以包括:
从危险数据包的解析结果中,提取客户端设备的IP地址和端口号,目标服务器的IP地址和端口号,以及危险数据包的序列号和确认号;
伪装成客户端设备,生成发送给目标服务器的第二重置连接响应包,第二重置连接响应包的源IP地址为客户端设备的IP地址,源端口号为客户端设备的端口号,目的IP地址为目标服务器的IP地址,目的端口号为目标服务器的端口号,确认号为危险数据包的序列号与数值1之和,序列号为危险数据包的确认号;
将第二重置连接响应包发送给危险数据包的目标服务器。
其中,危险数据包的源端为目标服务器,该危险数据包一般为第二次握手连接过程中,目标服务器发送的SYN+ACK数据包,本实施例在检测到目标服务器发送给客户端设备的SYN+ACK数据包时,即给服务端回RSTACK(即第二重置连接响应包)让目标服务器以为是收到了来自客户端设备的网络包。对于该方式而言,本实施例的数据保护装置相较于客户端设备,一般更接近目标服务器,所以第二重置连接响应包可以利用的时间窗更大一些,阻断的成功率比较高。
以图2f为例,图2f中伪造的第二重置连接响应包(RSTACK)为数据保护装置发送给目标服务器的数据包,该数据包中源端和目的端分别为客户端设备和目标服务器,数据包中的确认号ack=(危险数据包的序列号K)+1,序列号seq=危险数据包的确认号(J+1)。在一个示例中,第二重置连接响应包的RST(RESET,重置)标志位的数值为1。
可选的,本实施例中,阻断数据包可以伪装成正常响应的确认连接响应包,步骤“向危险数据包的通信双方中的至少一方发送阻断数据包”,可以包括:
伪装成危险数据包的目的端,基于危险数据包的解析结果,向危险数据包的源端发送针对危险数据包的确认连接响应包。
本实施例中,危险数据包在不同的握手过程中产生,则确认连接响应包的目的端不同,若危险数据包是在第一次握手过程中产生的,则连接数据包的目的端是客户端设备,若危险数据包是在第二次握手过程中产生的,则连接数据包的目的端是目标服务器。
在一个实施例中,若危险数据包的源端为客户端设备,则该危险数据包为客户端向服务器发送的SYN数据包。
可选的,若危险数据包的源端为客户端设备,伪装成危险数据包的目的端,基于危险数据包的解析结果,向危险数据包的源端发送针对危险数据包的确认连接响应包,可以包括:
从危险数据包的解析结果中,提取客户端设备的IP地址和端口号,目标服务器的IP地址和端口号,以及危险数据包的序列号;
伪装成目标服务器,生成发送给客户端设备的第一确认连接响应包,第一确认连接响应包的源IP地址为目标服务器的IP地址,源端口号为目标服务器的端口号,目的IP地址为客户端设备的IP地址,目的端口号为客户端设备的端口号,确认号为危险数据包的序列号与数值1之和,序列号为生成的随机号;
将第一确认连接响应包发送给危险数据包的客户端设备。
其中,可以基于第二数据传输路径将第一确认连接响应包发送给危险数据包的客户端设备。
针对同一危险数据包,第一确认连接响应包中的源端、目的端、序列号以及随机号,与第一重置连接响应包中的源端、目的端、序列号以及随机号,其实是一样的,但是这两种数据包的作用是不同,第一确认连接响应包是伪装目标服务器的正常第二握手过程生成的确认连接响应包,即SYN+ACK确认包。
以图2e为例,图2e中伪造的第一确认连接响应包(图2e中的SYN+ACK)为数据保护装置发送给客户端设备的确认连接响应包,该数据包中源端和目的端分别为目标服务器和客户端设备,数据包中的确认号ack=危险数据包的序列号J+1,序列号seq为随机生成的随机号,如N。在一个示例中,第一确认连接响应包的SYN(RESET,重置)标志位的数值为1,ACK标志位的数值也为1。
与第一重置连接响应数据包不同的是,客户端设备接收第一确认连接响应包后,会基于第一确认连接响应包反馈第三次握手连接的ACK确认包,但是因为第一重置连接数据包中的随机号不是目标服务器发送的随机号,所以目标服务器接收ACK确认包之后,会验证失败,即第三次握手连接会失败,最终阻断客户端设备和目标服务器的连接。
在一个实施例中,若危险数据包的源端为目标服务器,则该危险数据包为目标服务器向客户端设备发送的SYN+ACK数据包。
步骤“伪装成危险数据包的目的端,基于危险数据包的解析结果,向危险数据包的源端发送针对危险数据包的确认连接响应包”,可以包括:
从危险数据包的解析结果中,提取客户端设备的IP地址和端口号,目标服务器的IP地址和端口号,以及危险数据包的序列号和确认号;
伪装成客户端设备,生成发送给目标服务器的第二确认连接响应包,第二确认连接响应包的源IP地址为客户端设备的IP地址,源端口号为客户端设备的端口号,目的IP地址为目标服务器的IP地址,目的端口号为目标服务器的端口号,确认号为危险数据包的序列号与数值1之和,序列号为危险数据包的确认号;
将第二确认连接响应包发送给危险数据包对应的目标服务器。
类似的,针对同一危险数据包,该第二确认连接响应包中的源端、目的端、序列号以及随机号,与第二重置连接响应包中的源端、目的端、序列号以及随机号,其实也是一样的,但是这两种数据包的作用是不同,第二确认连接响应包是伪装客户端设备的正常第三握手过程生成的确认连接响应包,即ACK确认包。
以图2f为例,图2f中伪造的第二确认连接响应包(图2f中的ACK确认包)为数据保护装置发送给目标服务器的数据包,该数据包中源端和目的端分别为客户端设备和目标服务器,数据包中的确认号ack=(危险数据包的序列号K)+1,序列号seq=危险数据包的确认号(J+1)。在一个示例中,第二确认连接数据的ACK标志位的数值为1。
与第一重置连接响应数据包的阻断机制不同的是,目标服务器会基于接收的第二确认连接响应包完成第三次握手,在该第三次握手后,客户端设备发送的ACK确认包才会被目标服务器接收,但是因为第三次握手过程已经基于伪造的第二确认连接响应包执行,所以客户端设备与目标服务器的第三次握手不能成功,最终阻断客户端设备和目标服务器的连接。
采用本发明实施例,可获取在客户端设备与目标服务器之间传输的数据包;对数据包进行解析,基于解析结果从数据包中确定出危险数据包,向危险数据包的通信双方中的至少一方发送阻断数据包,其中,阻断数据包用于阻断危险数据包对应的客户端设备和目标服务器的连接,通过上述的方案,数据保护装置可以在发现危险数据包时,可以快速将阻断数据包发送给客户端设备或者是服务器,或者是客户端设备和服务器,快速阻断危险数据包对应的连接过程,有利于提升对目标服务器的安全性。
此外,本发明实施例还提供一种数据保护装置,该数据保护装置连接于目标服务器与运营商网络的网络接入节点之间的第一数据传输路径上,且数据保护装置与网络接入节点之间的第二数据传输路径,短于第一数据传输路径。
参考图3,该数据保护装置包括:
获取单元301,用于从第一数据传输路径上获取在客户端设备与目标服务器之间传输的数据包;
识别单元302,用于对数据包进行解析,基于解析结果,从数据包中确定出危险数据包,其中,危险数据包为用于建立目标服务器与客户端设备间的通信连接的数据包,且危险数据包中携带的通信信息不满足安全通信条件;
拦截单元303,用于向危险数据包的通信双方中的至少一方发送阻断数据包,其中,阻断数据包用于阻断危险数据包对应的客户端设备和目标服务器的连接过程。
在本实施例的一个示例中,识别单元302,包括:
第一解析子单元,用于对数据包按照对应的网络协议进行解析,基于解析结果确定出数据包中的连接数据包,其中,连接数据包中包含预设的连接标志;
第一确定子单元,用于从连接数据包的解析结果中,提取连接数据包的通信信息中的目标通信信息,将目标通信信息与预设的通信信息黑名单进行匹配,将匹配成功的连接数据包确定为危险数据包,其中,目标通信信息包括目标服务器的IP地址及端口号,和/或,客户端设备的IP地址及端口号。
在本实施例的另一个示例中,识别单元302,包括:
第二解析子单元,用于对数据包按照对应的网络协议进行解析,基于解析结果确定出数据包中的疑似危险数据包,其中,疑似危险数据包的通信信息中的目标通信信息与预设的通信信息黑名单匹配,其中,目标通信信息包括目标服务器的IP地址及端口号,和/或,客户端设备的IP地址及端口号;
第二确定子单元,用于从疑似危险数据包的解析结果中,筛选出包含预设的连接标志的解析结果,将筛选出的解析结果对应的疑似危险数据包,确定为危险数据包。
在本实施例的一个示例中,获取单元301,用于通过数据保护装置的数据获取子装置,从第一数据传输路径上获取在客户端设备与目标服务器之间传输的数据包,将数据包存储至数据获取子装置的存储空间中;
对应的,第一解析子单元,用于通过数据保护装置的解包集群中的各解包子装置,并行地从存储空间获取数据包,对获取的数据包按照对应的网络协议进行解析,得到数据包的解析结果;通过各解包子装置,从数据包的解析结果中筛选出包含预设的连接标志的解析结果,将筛选出的解析结果对应的数据包确定为连接数据包。
在本实施例的一个示例中,拦截单元303,用于基于危险数据包的解析结果,向危险数据包对应的源端发送伪造的重置连接响应包。
在本实施例的一个示例中,拦截单元,包括:
第一提取子单元,用于若危险数据包的源端为客户端设备,从危险数据包的解析结果中,提取客户端设备的IP地址和端口号,目标服务器的IP地址和端口号,以及危险数据包的序列号;
第一生成子单元,用于伪装成目标服务器,生成发送给客户端设备的第一重置连接响应包,第一重置连接响应包的源IP地址为目标服务器的IP地址,源端口号为目标服务器的端口号,目的IP地址为客户端设备的IP地址,目的端口号为客户端设备的端口号,确认号为危险数据包的序列号与数值1之和,序列号为生成的随机号;
第一发送子单元,用于将第一重置连接响应包发送给危险数据包对应的客户端设备。
在本实施例的另一个示例中,拦截单元,包括:
第二提取子单元,用于若危险数据包的源端为目标服务器,从危险数据包的解析结果中,提取客户端设备的IP地址和端口号,目标服务器的IP地址和端口号,以及危险数据包的序列号和确认号;
第二生成子单元,用于伪装成客户端设备,生成发送给目标服务器的第二重置连接响应包,第二重置连接响应包的源IP地址为客户端设备的IP地址,源端口号为客户端设备的端口号,目的IP地址为目标服务器的IP地址,目的端口号为目标服务器的端口号,确认号为危险数据包的序列号与数值1之和,序列号为危险数据包的确认号;
第二发送子单元,用于将第二重置连接响应包发送给危险数据包对应的目标服务器。
在本实施例的又一个示例中,拦截单元,用于伪装成危险数据包的目的端,基于危险数据包的解析结果,向危险数据包的源端发送针对危险数据包的确认连接响应包。
在本实施例的另一个示例中,拦截单元,包括:
第三提取子单元,用于若危险数据包的源端为客户端设备,从危险数据包的解析结果中,提取客户端设备的IP地址和端口号,目标服务器的IP地址和端口号,以及危险数据包的序列号;
第三生成子单元,用于伪装成目标服务器,生成发送给客户端设备的第一确认连接响应包,第一确认连接响应包的源IP地址为目标服务器的IP地址,源端口号为目标服务器的端口号,目的IP地址为客户端设备的IP地址,目的端口号为客户端设备的端口号,确认号为危险数据包的序列号与数值1之和,序列号为生成的随机号;
第三发送子单元,用于将第一确认连接响应包发送给危险数据包对应的客户端设备。
在本实施例的另一个示例中,拦截单元,包括:
第四提取子单元,用于若危险数据包的源端为目标服务器,从危险数据包的解析结果中,提取客户端设备的IP地址和端口号,目标服务器的IP地址和端口号,以及危险数据包的序列号和确认号;
第四生成子单元,用于伪装成客户端设备,生成发送给目标服务器的第二确认连接响应包,第二确认连接响应包的源IP地址为客户端设备的IP地址,源端口号为客户端设备的端口号,目的IP地址为目标服务器的IP地址,目的端口号为目标服务器的端口号,确认号为危险数据包的序列号与数值1之和,序列号为危险数据包的确认号;
第四发送子单元,用于将第二确认连接响应包发送给危险数据包对应的目标服务器。
本实施例中,数据保护装置连接于目标核心交换机与运营商网络之间的第一数据传输路径上,其中,目标核心交换机为目标服务器的核心交换机。
由此,本实施例的数据保护装置,通过伪装的重置连接响应包,或伪装确认连接响应包,可以快速实现对危险数据包对应的连接的阻断,有利于拦截危险客户端对目标服务器的端口扫描,保护目标服务器的安全性。
此外,本发明实施例还提供一种计算机设备,该计算机设备可以为服务器,如图4所示,其示出了本发明实施例所涉及的计算机设备的结构示意图,具体来讲:
该计算机设备可以包括一个或者一个以上处理核心的处理器401、一个或一个以上计算机可读存储介质的存储器402和电源403等部件。本领域技术人员可以理解,图4中示出的计算机设备结构并不构成对计算机设备的限定,可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件布置。
其中:
处理器401是该计算机设备的控制中心,利用各种接口和线路连接整个计算机设备的各个部分,通过运行或执行存储在存储器402内的软件程序和/或单元,以及调用存储在存储器402内的数据,执行计算机设备的各种功能和处理数据,从而对计算机设备进行整体监控。可选的,在一个实施例中,处理器401可包括一个或多个处理核心;优选的,处理器401可集成应用处理器和调制解调处理器,其中,应用处理器主要处理操作系统、用户界面和应用程序等,调制解调处理器主要处理无线通信。可以理解的是,上述调制解调处理器也可以不集成到处理器401中。
存储器402可用于存储软件程序以及单元,处理器401通过运行存储在存储器402的软件程序以及单元,从而执行各种功能应用以及数据处理。存储器402可主要包括存储程序区和存储数据区,其中,存储程序区可存储操作系统、至少一个功能所需的应用程序(比如声音播放功能、图像播放功能等)等;存储数据区可存储根据计算机设备的使用所创建的数据等。此外,存储器402可以包括高速随机存取存储器,还可以包括非易失性存储器,例如至少一个磁盘存储器件、闪存器件、或其他易失性固态存储器件。相应地,存储器402还可以包括存储器控制器,以提供处理器401对存储器402的访问。
计算机设备还包括给各个部件供电的电源403,优选的,电源403可以通过电源管理系统与处理器401逻辑相连,从而通过电源管理系统实现管理充电、放电、以及功耗管理等功能。电源403还可以包括一个或一个以上的直流或交流电源、再充电系统、电源故障检测电路、电源转换器或者逆变器、电源状态指示器等任意组件。
当计算机设备为终端时,该计算机设备还可包括输入单元404,该输入单元404可用于接收输入的数字或字符信息,以及产生与用户设置以及功能控制有关的键盘、鼠标、操作杆、光学或者轨迹球信号输入。当然,可以理解的是,本实施例中并不排除服务器包括输入单元的方案,本实施例的服务器也可以包括上述的输入单元404。
尽管未示出,本实施例的计算机设备如终端还可以包括显示单元等,在此不再赘述。类似的,本实施例中并不排除服务器包括显示单元的方案,本实施例中的服务器也可以包括显示单元。
本实施例中,计算机设备可以连接于目标服务器与运营商网络的网络接入节点之间的第一数据传输路径上,且计算机设备与运营商网络的网络接入节点之间的第二数据传输路径,短于第一数据传输路径。
具体在本实施例中,计算机设备中的处理器401会按照如下的指令,将一个或一个以上的应用程序的进程对应的可执行文件加载到存储器402中,并由处理器401来运行存储在存储器402中的应用程序,从而实现各种功能,如下:
从第一数据传输路径上获取在客户端设备与目标服务器之间传输的数据包;
对数据包进行解析,基于解析结果,从数据包中确定出危险数据包,其中,危险数据包为用于建立目标服务器与客户端设备间的通信连接的数据包,且危险数据包中携带的通信信息不满足安全通信条件;
向危险数据包的通信双方中的至少一方发送阻断数据包,其中,阻断数据包用于阻断危险数据包对应的客户端设备和目标服务器的连接过程。
以上各个操作的具体实施可参见前面的实施例,在此不再赘述。
本发明实施例涉及的通信系统可以是由客户端设备、多个节点(接入网络中的任意形式的计算机设备,如目标服务器、数据保护装置)通过网络通信的形式连接形成的分布式系统。
以分布式系统为区块链系统为例,参见图5,图5是本发明实施例提供的分布式系统100应用于区块链系统的一个可选的结构示意图,由多个节点(接入网络中的任意形式的计算设备,如服务器、用户终端、数据保护装置)和客户端形成,节点之间形成组成的点对点(P2P,Peer To Peer)网络,P2P协议是一个运行在传输控制协议(TCP,TransmissionControl Protocol)协议之上的应用层协议。在分布式系统中,任何机器如服务器、终端都可以加入而成为节点,节点包括硬件层、中间层、操作系统层和应用层。本实施例中,从第一数据传输路径上获取的数据包、通信信息黑名单、数据包的解析结果等,均可以通过分布式系统的节点被存储在区域链系统的共享账本中,计算机设备(例如终端或服务器)可以基于共享账本获取通信信息黑名单等。
参见图5示出的区块链系统中各节点的功能,涉及的功能包括:
1)路由,节点具有的基本功能,用于支持节点之间的通信。
节点除具有路由功能外,还可以具有以下功能:
2)应用,用于部署在区块链中,根据实际业务需求而实现特定业务,记录实现功能相关的数据形成记录数据,在记录数据中携带数字签名以表示任务数据的来源,将记录数据发送到区块链系统中的其他节点,供其他节点在验证记录数据来源以及完整性成功时,将记录数据添加到临时区块中。
例如,应用实现的业务包括:
2.1)钱包,用于提供进行电子货币的交易的功能,包括发起交易(即,将当前交易的交易记录发送给区块链系统中的其他节点,其他节点验证成功后,作为承认交易有效的响应,将交易的记录数据存入区块链的临时区块中;当然,钱包还支持查询电子货币地址中剩余的电子货币;
2.2)共享账本,用于提供账目数据的存储、查询和修改等操作的功能,将对账目数据的操作的记录数据发送到区块链系统中的其他节点,其他节点验证有效后,作为承认账目数据有效的响应,将记录数据存入临时区块中,还可以向发起操作的节点发送确认。
2.3)智能合约,计算机化的协议,可以执行某个合约的条款,通过部署在共享账本上的用于在满足一定条件时而执行的代码实现,根据实际的业务需求代码用于完成自动化的交易,例如查询买家所购买商品的物流状态,在买家签收货物后将买家的电子货币转移到商户的地址;当然,智能合约不仅限于执行用于交易的合约,还可以执行对接收的信息进行处理的合约。
3)区块链,包括一系列按照产生的先后时间顺序相互接续的区块(Block),新区块一旦加入到区块链中就不会再被移除,区块中记录了区块链系统中节点提交的记录数据。
参见图6,图6是本发明实施例提供的区块结构(Block Structure)一个可选的示意图,每个区块中包括本区块存储交易记录的哈希值(本区块的哈希值)、以及前一区块的哈希值,各区块通过哈希值连接形成区块链。另外,区块中还可以包括有区块生成时的时间戳等信息。区块链(Blockchain),本质上是一个去中心化的数据库,是一串使用密码学方法相关联产生的数据块,每一个数据块中包含了相关的信息,用于验证其信息的有效性(防伪)和生成下一个区块。
本领域普通技术人员可以理解,上述实施例的各种方法中的全部或部分步骤可以通过指令来完成,或通过指令控制相关的硬件来完成,该指令可以存储于一计算机可读存储介质中,并由处理器进行加载和执行。
为此,本发明实施例还提供一种存储介质,其中存储有多条指令,该指令能够被处理器进行加载,以执行本发明实施例所提供的任一种数据保护方法中的步骤。
以上各个操作的具体实施可参见前面的实施例,在此不再赘述。
其中,该存储介质可以包括:只读存储器(ROM,Read Only Memory)、随机存取记忆体(RAM,Random Access Memory)、磁盘或光盘等。
由于该存储介质中所存储的指令,可以执行本发明实施例所提供的任一种数据保护方法中的步骤,因此,可以实现本发明实施例所提供的任一种数据保护方法所能实现的有益效果,详见前面的实施例,在此不再赘述。
以上对本发明实施例所提供的一种数据保护方法、装置、计算机设备和存储介质进行了详细介绍,本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想;同时,对于本领域的技术人员,依据本发明的思想,在具体实施方式及应用范围上均会有改变之处,综上,本说明书内容不应理解为对本发明的限制。

Claims (14)

1.一种数据保护方法,其特征在于,应用于数据保护装置,所述数据保护装置连接于目标服务器与运营商网络的网络接入节点之间的第一数据传输路径上,且所述数据保护装置与运营商网络的网络接入节点之间的第二数据传输路径,短于所述第一数据传输路径,所述数据保护方法包括:
从所述第一数据传输路径上获取在客户端设备与所述目标服务器之间传输的数据包;
对所述数据包进行解析,基于解析结果,从所述数据包中确定出危险数据包,其中,所述危险数据包为用于建立所述目标服务器与所述客户端设备间的通信连接的数据包,且所述危险数据包中携带的通信信息不满足安全通信条件;
向所述危险数据包的通信双方中的至少一方发送阻断数据包,其中,所述阻断数据包用于阻断所述危险数据包对应的客户端设备和目标服务器的连接过程。
2.根据权利要求1所述的数据保护方法,其特征在于,所述对所述数据包进行解析,基于解析结果,从所述数据包中确定出危险数据包,包括:
对所述数据包按照对应的网络协议进行解析,基于解析结果确定出所述数据包中的连接数据包,其中,所述连接数据包中包含预设的连接标志;
从所述连接数据包的解析结果中,提取所述连接数据包的通信信息中的目标通信信息,将所述目标通信信息与预设的通信信息黑名单进行匹配,将匹配成功的连接数据包确定为危险数据包,其中,所述目标通信信息包括目标服务器的IP地址及端口号,和/或,客户端设备的IP地址及端口号。
3.根据权利要求2所述的数据保护方法,其特征在于,所述从所述第一数据传输路径上获取在客户端设备与所述目标服务器之间传输的数据包,包括:
通过所述数据保护装置的数据获取子装置,从所述第一数据传输路径上获取在所述客户端设备与所述目标服务器之间传输的数据包,将所述数据包存储至所述数据获取子装置的存储空间中;
所述对所述数据包按照对应的网络协议进行解析,基于解析结果确定出所述数据包中的连接数据包,包括:
通过所述数据保护装置的解包集群中的各解包子装置,并行地从所述存储空间获取所述数据包,对获取的所述数据包按照对应的网络协议进行解析,得到数据包的解析结果;
通过各解包子装置,从所述数据包的解析结果中筛选出包含预设的连接标志的解析结果,将筛选出的解析结果对应的数据包确定为连接数据包。
4.根据权利要求1所述的数据保护方法,其特征在于,所述对所述数据包进行解析,基于解析结果,从所述数据包中确定出危险数据包,包括:
对所述数据包按照对应的网络协议进行解析,基于解析结果确定出所述数据包中的疑似危险数据包,其中,所述疑似危险数据包的通信信息中的目标通信信息与预设的通信信息黑名单匹配,其中,所述目标通信信息包括目标服务器的IP地址及端口号,和/或,客户端设备的IP地址及端口号;
从所述疑似危险数据包的解析结果中,筛选出包含预设的连接标志的解析结果,将筛选出的解析结果对应的疑似危险数据包,确定为危险数据包。
5.根据权利要求1-4任一项所述的数据保护方法,其特征在于,所述向所述危险数据包的通信双方中的至少一方发送阻断数据包,包括:
基于所述危险数据包的解析结果,向所述危险数据包对应的源端发送伪造的重置连接响应包。
6.根据权利要求5所述的数据保护方法,其特征在于,所述基于所述危险数据包的解析结果,向所述危险数据包对应的源端发送伪造的重置连接响应包,包括:
若所述危险数据包的源端为所述客户端设备,从所述危险数据包的解析结果中,提取所述客户端设备的IP地址和端口号,所述目标服务器的IP地址和端口号,以及所述危险数据包的序列号;
伪装成所述目标服务器,生成发送给所述客户端设备的第一重置连接响应包,所述第一重置连接响应包的源IP地址为所述目标服务器的IP地址,源端口号为所述目标服务器的端口号,目的IP地址为所述客户端设备的IP地址,目的端口号为所述客户端设备的端口号,确认号为所述危险数据包的序列号与数值1之和,序列号为生成的随机号;
将所述第一重置连接响应包发送给所述危险数据包对应的所述客户端设备。
7.根据权利要求5所述的数据保护方法,其特征在于,所述基于所述危险数据包的解析结果,向所述危险数据包对应的源端发送伪造的重置连接响应包,包括:
若所述危险数据包的源端为所述目标服务器,从所述危险数据包的解析结果中,提取所述客户端设备的IP地址和端口号,所述目标服务器的IP地址和端口号,以及所述危险数据包的序列号和确认号;
伪装成所述客户端设备,生成发送给所述目标服务器的第二重置连接响应包,所述第二重置连接响应包的源IP地址为所述客户端设备的IP地址,源端口号为所述客户端设备的端口号,目的IP地址为所述目标服务器的IP地址,目的端口号为所述目标服务器的端口号,确认号为所述危险数据包的序列号与数值1之和,序列号为所述危险数据包的确认号;
将所述第二重置连接响应包发送给所述危险数据包对应的所述目标服务器。
8.根据权利要求1-4任一项所述的数据保护方法,其特征在于,所述向所述危险数据包的通信双方中的至少一方发送阻断数据包,包括:
伪装成所述危险数据包的目的端,基于所述危险数据包的解析结果,向所述危险数据包的源端发送针对所述危险数据包的确认连接响应包。
9.根据权利要求8所述的数据保护方法,其特征在于,所述伪装成所述危险数据包的目的端,基于所述危险数据包的解析结果,向所述危险数据包的源端发送针对所述危险数据包的确认连接响应包,包括:
若所述危险数据包的源端为所述客户端设备,从所述危险数据包的解析结果中,提取所述客户端设备的IP地址和端口号,所述目标服务器的IP地址和端口号,以及所述危险数据包的序列号;
伪装成所述目标服务器,生成发送给所述客户端设备的第一确认连接响应包,所述第一确认连接响应包的源IP地址为所述目标服务器的IP地址,源端口号为目标服务器的端口号,目的IP地址为所述客户端设备的IP地址,目的端口号为所述客户端设备的端口号,确认号为所述危险数据包的序列号与数值1之和,序列号为生成的随机号;
将所述第一确认连接响应包发送给所述危险数据包对应的所述客户端设备。
10.根据权利要求8所述的数据保护方法,其特征在于,所述伪装成所述危险数据包的目的端,基于所述危险数据包的解析结果,向所述危险数据包的源端发送针对所述危险数据包的确认连接响应包,包括:
若所述危险数据包的源端为所述目标服务器,从所述危险数据包的解析结果中,提取所述客户端设备的IP地址和端口号,所述目标服务器的IP地址和端口号,以及所述危险数据包的序列号和确认号;
伪装成所述客户端设备,生成发送给所述目标服务器的第二确认连接响应包,所述第二确认连接响应包的源IP地址为所述客户端设备的IP地址,源端口号为所述客户端设备的端口号,目的IP地址为所述目标服务器的IP地址,目的端口号为所述目标服务器的端口号,确认号为所述危险数据包的序列号与数值1之和,序列号为所述危险数据包的确认号;
将所述第二确认连接响应包发送给所述危险数据包对应的所述目标服务器。
11.根据权利要求1-4任一项所述的数据保护方法,其特征在于,所述数据保护装置连接于目标核心交换机与运营商网络之间的第一数据传输路径上,其中,目标核心交换机为目标服务器的核心交换机。
12.一种数据保护装置,其特征在于,所述数据保护装置连接于目标服务器与运营商网络的网络接入节点之间的第一数据传输路径上,且所述数据保护装置与运营商网络的网络接入节点之间的第二数据传输路径,短于所述第一数据传输路径,所述数据保护装置包括:
获取单元,用于从所述第一数据传输路径上获取在客户端设备与所述目标服务器之间传输的数据包;
识别单元,用于对所述数据包进行解析,基于解析结果,从所述数据包中确定出危险数据包,其中,所述危险数据包为用于建立所述目标服务器与所述客户端设备间的通信连接的数据包,且所述危险数据包中携带的通信信息不满足安全通信条件;
拦截单元,用于向所述危险数据包的通信双方中的至少一方发送阻断数据包,其中,所述阻断数据包用于阻断所述危险数据包对应的客户端设备和目标服务器的连接。
13.一种存储介质,其上存储有计算机程序,其中,所述计算机程序被处理器执行时实现如权利要求1-11任一项所述方法的步骤。
14.一种计算机设备,包括存储器,处理器及存储在存储器上并可在处理器上运行的计算机程序,其中,所述处理器执行所述程序时实现如权利要求1-11任一项所述方法的步骤。
CN202010037151.XA 2020-01-14 2020-01-14 一种数据保护方法、装置、计算机设备和存储介质 Active CN111064755B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010037151.XA CN111064755B (zh) 2020-01-14 2020-01-14 一种数据保护方法、装置、计算机设备和存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010037151.XA CN111064755B (zh) 2020-01-14 2020-01-14 一种数据保护方法、装置、计算机设备和存储介质

Publications (2)

Publication Number Publication Date
CN111064755A true CN111064755A (zh) 2020-04-24
CN111064755B CN111064755B (zh) 2021-08-17

Family

ID=70307273

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010037151.XA Active CN111064755B (zh) 2020-01-14 2020-01-14 一种数据保护方法、装置、计算机设备和存储介质

Country Status (1)

Country Link
CN (1) CN111064755B (zh)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111683055A (zh) * 2020-05-14 2020-09-18 北京邮电大学 一种工控蜜罐方法及装置
CN113596167A (zh) * 2021-08-02 2021-11-02 北京金山云网络技术有限公司 数据传输方法、装置、计算机设备和存储介质
CN114640704A (zh) * 2022-05-18 2022-06-17 山东云天安全技术有限公司 通讯数据获取方法、系统、计算机设备及可读存储介质
CN114697389A (zh) * 2022-03-16 2022-07-01 奇安信科技集团股份有限公司 数据传输方法、装置以及扫描引擎
CN114978561A (zh) * 2021-02-26 2022-08-30 中国科学院计算机网络信息中心 一种实时高速网络tcp协议旁路批量主机阻断方法及系统

Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102761458A (zh) * 2011-12-20 2012-10-31 北京安天电子设备有限公司 一种反弹式木马的检测方法和系统
CN105978871A (zh) * 2016-05-09 2016-09-28 北京航天数控系统有限公司 一种针对数控系统的通信防护设备
CN107087007A (zh) * 2017-05-25 2017-08-22 腾讯科技(深圳)有限公司 一种网络攻击的防御方法、相关设备及系统
CN107347047A (zh) * 2016-05-04 2017-11-14 阿里巴巴集团控股有限公司 攻击防护方法和装置
US9900343B1 (en) * 2015-01-05 2018-02-20 A10 Networks, Inc. Distributed denial of service cellular signaling
CN109040016A (zh) * 2018-06-25 2018-12-18 深信服科技股份有限公司 一种信息处理方法、设备及计算机可读存储介质
CN105827646B (zh) * 2016-05-17 2019-06-11 浙江宇视科技有限公司 Syn攻击防护的方法及装置
CN110049022A (zh) * 2019-03-27 2019-07-23 深圳市腾讯计算机系统有限公司 一种域名访问控制方法、装置和计算机可读存储介质

Patent Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102761458A (zh) * 2011-12-20 2012-10-31 北京安天电子设备有限公司 一种反弹式木马的检测方法和系统
US9900343B1 (en) * 2015-01-05 2018-02-20 A10 Networks, Inc. Distributed denial of service cellular signaling
CN107347047A (zh) * 2016-05-04 2017-11-14 阿里巴巴集团控股有限公司 攻击防护方法和装置
CN105978871A (zh) * 2016-05-09 2016-09-28 北京航天数控系统有限公司 一种针对数控系统的通信防护设备
CN105827646B (zh) * 2016-05-17 2019-06-11 浙江宇视科技有限公司 Syn攻击防护的方法及装置
CN107087007A (zh) * 2017-05-25 2017-08-22 腾讯科技(深圳)有限公司 一种网络攻击的防御方法、相关设备及系统
CN109040016A (zh) * 2018-06-25 2018-12-18 深信服科技股份有限公司 一种信息处理方法、设备及计算机可读存储介质
CN110049022A (zh) * 2019-03-27 2019-07-23 深圳市腾讯计算机系统有限公司 一种域名访问控制方法、装置和计算机可读存储介质

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111683055A (zh) * 2020-05-14 2020-09-18 北京邮电大学 一种工控蜜罐方法及装置
CN114978561A (zh) * 2021-02-26 2022-08-30 中国科学院计算机网络信息中心 一种实时高速网络tcp协议旁路批量主机阻断方法及系统
CN114978561B (zh) * 2021-02-26 2023-11-07 中国科学院计算机网络信息中心 一种实时高速网络tcp协议旁路批量主机阻断方法及系统
CN113596167A (zh) * 2021-08-02 2021-11-02 北京金山云网络技术有限公司 数据传输方法、装置、计算机设备和存储介质
CN114697389A (zh) * 2022-03-16 2022-07-01 奇安信科技集团股份有限公司 数据传输方法、装置以及扫描引擎
CN114697389B (zh) * 2022-03-16 2024-06-11 奇安信科技集团股份有限公司 数据传输方法、装置以及扫描引擎
CN114640704A (zh) * 2022-05-18 2022-06-17 山东云天安全技术有限公司 通讯数据获取方法、系统、计算机设备及可读存储介质

Also Published As

Publication number Publication date
CN111064755B (zh) 2021-08-17

Similar Documents

Publication Publication Date Title
CN111064755B (zh) 一种数据保护方法、装置、计算机设备和存储介质
US10630784B2 (en) Facilitating a secure 3 party network session by a network device
JP6858749B2 (ja) 負荷平衡システムにおいて接続を確立するデバイス及び方法
US9118719B2 (en) Method, apparatus, signals, and medium for managing transfer of data in a data network
CN112468518B (zh) 访问数据处理方法、装置、存储介质及计算机设备
CN109005194B (zh) 基于kcp协议的无端口影子通信方法及计算机存储介质
CN112235266B (zh) 一种数据处理方法、装置、设备及存储介质
CN110198297B (zh) 流量数据监控方法、装置、电子设备及计算机可读介质
US10728220B2 (en) System and method for covertly transmitting a payload of data
CN112615854B (zh) 终端准入控制方法、装置、准入服务器及存储介质
CN110691097A (zh) 一种基于hpfeeds协议的工控蜜罐的系统及其工作方法
CN105743868B (zh) 一种支持加密和非加密协议的数据采集系统与方法
CN112350939B (zh) 旁路阻断方法、系统、装置、计算机设备及存储介质
CN113129002A (zh) 一种数据处理方法以及设备
CN107104919A (zh) 防火墙设备、流控制传输协议sctp报文的处理方法
CN113098935A (zh) 会话保持方法、装置及存储介质
CN115361455B (zh) 一种数据传输存储方法、装置以及计算机设备
CN113114643B (zh) 一种运维审计系统的运维接入方法及系统
CN110995730B (zh) 数据传输方法、装置、代理服务器和代理服务器集群
CN115776517A (zh) 业务请求处理方法、装置、存储介质及电子设备
CN107948165B (zh) 一种基于私有协议的安全送播系统及方法
CN112689014B (zh) 一种双全工通信方法、装置、计算机设备和存储介质
CN114553452B (zh) 攻击防御方法及防护设备
CN114979172B (zh) 数据传输方法、装置、设备以及存储介质
CN112637238B (zh) 脱离协议栈的telnet代理方法、架构及介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
REG Reference to a national code

Ref country code: HK

Ref legal event code: DE

Ref document number: 40022212

Country of ref document: HK

GR01 Patent grant
GR01 Patent grant