CN111585972B - 面向网闸的安全防护方法、装置及网络系统 - Google Patents

面向网闸的安全防护方法、装置及网络系统 Download PDF

Info

Publication number
CN111585972B
CN111585972B CN202010298542.7A CN202010298542A CN111585972B CN 111585972 B CN111585972 B CN 111585972B CN 202010298542 A CN202010298542 A CN 202010298542A CN 111585972 B CN111585972 B CN 111585972B
Authority
CN
China
Prior art keywords
network
data packet
network data
gatekeeper
protocol
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202010298542.7A
Other languages
English (en)
Other versions
CN111585972A (zh
Inventor
不公告发明人
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Wangyu Safety Technology Shenzhen Co ltd
Original Assignee
Wangyu Safety Technology Shenzhen Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Wangyu Safety Technology Shenzhen Co ltd filed Critical Wangyu Safety Technology Shenzhen Co ltd
Priority to CN202010298542.7A priority Critical patent/CN111585972B/zh
Publication of CN111585972A publication Critical patent/CN111585972A/zh
Application granted granted Critical
Publication of CN111585972B publication Critical patent/CN111585972B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0209Architectural arrangements, e.g. perimeter networks or demilitarized zones
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/22Parsing or analysis of headers

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明涉及了一种面向网闸的安全防护方法、装置及网络系统,该安全防护方法包括:截取网络终端发送给网闸的网络数据包;对所述网络数据包进行安全检查,并判断是否通过安全检查;若是,则将安全检查后的网络数据包发送至网闸;若否,则中止所述网络数据包的传送。实施本发明的技术方案,增强网闸的访问控制安全,且不占用网闸的计算、存储资源,也不会改变原网络架构和部署方式,可以直接集成在已有网络中,无需更换网闸,节约成本。

Description

面向网闸的安全防护方法、装置及网络系统
技术领域
本发明涉及信息安全领域,尤其涉及一种面向网闸的安全防护方法、装置及网络系统。
背景技术
网闸旨在解决安全隔离下的信息可控交换等问题,以实现两个断开网络间的信息摆渡,构建信息可控交换“安全岛”,所以在政府、军队、电力等领域有着广泛的应用。目前,网闸可以满足内部网络用户与外部的文件交换、收发邮件、单向浏览、数据库交换等的要求。在当前的使用环境中,网闸往往作为网络安全设备,以网络安全服务的提供者身份参与网络通信活动。但事实上,网闸自身即是安全服务提供者,也是网络中一个固定终端节点,与其他网络终端一样也可能成为恶意攻击者的目标。甚至由于其特殊地位和作用,攻击者会投入更多精力研究网闸的攻击方法。这对该问题,现有方案多是在网闸中集成安全防护功能,但更换网闸会带来高额的成本支出,而且这种方式无法解决现有网闸的安全防护问题。所以,如何在已使用网闸的网络中增强对网闸的安全防护,仍是本领域技术人员亟待解决的问题。
发明内容
本发明要解决的技术问题在于,针对现有技术存在的网闸易遭到恶意攻击的缺陷,提供一种面向网闸的安全防护方法、装置及网络系统。
本发明解决其技术问题所采用的技术方案是:构造一种面向网闸的安全防护方法,包括:
截取网络终端发送给网闸的网络数据包;
对所述网络数据包进行安全检查,并判断是否通过安全检查;
若是,则将安全检查后的网络数据包发送至网闸;
若否,则中止所述网络数据包的传送。
优选地,还包括:
在安全检查未通过时,将安全检查结果上报给网管。
优选地,对所述网络数据包进行安全检查,包括:
对发送所述网络数据包的网络终端进行身份验证;和/或,
对所述网络数据包的协议进行检查。
优选地,对发送所述网络数据包的网络终端进行身份验证,包括:
获取所述网络数据包的源IP地址,并判断所述源IP地址是否在预设的IP地址授权列表中;和/或,
对发送所述网络数据包的网络终端的签名信息进行验证。
优选地,对所述网络数据包的协议进行检查包括:
获取所述网络数据包的协议类型,并判断所述协议类型是否在预设的合法协议列表中;
若在预设的合法协议列表中,则对所述协议的格式及内容进行合规检查。
优选地,还包括:
判断所述网络数据包中是否存在特定应用层协议的数据;
若不存在,则将所述网络数据包发送至网闸
若存在,则提取所述网络数据包中的应用层数据,并根据预设的信息隐藏规则,在所述应用层数据中嵌入随机生成的干扰数据,且将添加了所述干扰数据后的网络数据包发送至网闸。
本发明还构造一种面向网闸的安全防护装置,设置在网络终端与网闸之间,包括:
网络接口模块,用于截取网络终端发送给网闸的网络数据包;
安全防护模块,用于对所述网络数据包进行安全检查;
网闸接口模块,用于在安全检查通过时,将安全检查后的网络数据包发送至网闸;在安全检查未通过时,中止所述网络数据包的传送。
优选地,还包括:
上报模块,用于在安全检查未通过时,将安全检查结果上报给网管。
优选地,所述安全防护模块包括:
身份验证单元,用于对发送所述网络数据包的网络终端进行身份验证;和/或,
协议解析单元,用于对所述网络数据包的协议进行检查。
优选地,所述身份验证单元包括:
IP验证子单元,用于获取所述网络数据包的源IP地址,并判断所述源IP地址是否在预设的IP地址授权列表中;和/或,
签名验证子单元,用于对发送所述网络数据包的网络终端的签名信息进行验证。
优选地,所述协议解析单元包括:
类型判断子单元,用于获取所述网络数据包的协议类型,并判断所述协议类型是否在预设的合法协议列表中;
合规检查子单元,用于在预设的合法协议列表中时,对所述协议的格式及内容进行合规检查。
优选地,所述安全防护模块还包括隐信道干扰单元,而且,
所述协议解析单元,还判断所述网络数据包中是否存在特定应用层协议的数据,并在存在时,提取所述网络数据包中的应用层数据,并将其发送至所述隐信道干扰模块;
所述隐信道干扰单元,用于根据预设的信息隐藏规则,在所述应用层数据中嵌入随机生成的干扰数据,且将添加了所述干扰数据后的网络数据包发送至网闸。
本发明还构造一种网络系统,包括网络终端、网闸,其特征在于,还包括以上所述的安全防护装置。
优选地,在所述网络终端的数量为多个时,所述网络系统还包括至少一个交换机,且所述安全防护装置通过所述交换机获取所述网络终端发送至网闸的网络数据包。
实施本发明的技术方案,通过在网络终端与网闸之间部署一独立的安全防护装置,并通过该安全防护装置对网络终端发送给网闸的网络数据包进行截取及安全检查,且仅允许安全检查通过的网络数据包到达网闸。这样,可以增强网闸的访问控制安全,且不占用网闸的计算、存储资源,也不会改变原网络架构和部署方式,可以直接集成在已有网络中,无需更换网闸,节约成本。
附图说明
为了更清楚地说明本发明实施例,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。附图中:
图1是本发明面向网闸的安全防护方法实施例一的流程图;
图2是本发明网络系统实施例一的逻辑结构图;
图3是本发明面向网闸的安全防护装置实施例一的逻辑结构图。
具体实施方式
下面结合附图详细说明本发明的具体实施方式。
在此记载的具体实施方式/实施例为本发明的特定的具体实施方式,用于说明本发明的构思,均是解释性和示例性的,不应解释为对本发明实施方式及本发明范围的限制。除在此记载的实施例外,本领域技术人员还能够基于本申请权利要求书和说明书所公开的内容采用显而易见的其它技术方案,这些技术方案包括采用对在此记载的实施例的做出任何显而易见的替换和修改的技术方案,都在本发明的保护范围之内。
需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。
图1是本发明面向网闸的安全防护方法实施例一的流程图,该实施例的安全防护方法应用在安全防护装置中,且该安全防护装置设置在网络终端与网闸之间,因此可先于网闸获取该网闸所在内部网络中网络终端发送给网闸的网络数据包。该实施例的安全防护方法包括以下步骤:
步骤S10.截取网络终端发送给网闸的网络数据包;
步骤S20.对所述网络数据包进行安全检查,并判断是否通过安全检查,若是,则执行步骤S30;若否,则执行步骤S40;
步骤S30.将安全检查后的网络数据包发送至网闸;
步骤S40.中止所述网络数据包的传送。
在该实施例的技术方案中,通过在网络终端与网闸之间部署一独立的安全防护装置,并通过该安全防护装置对网络终端发送给网闸的网络数据包进行截取及安全检查,且仅允许安全检查通过的网络数据包到达网闸。因此,具有以下技术效果:
1.可以增强网闸的访问控制安全;
2.不占用网闸的计算、存储资源,也不会改变原网络架构和部署方式,可以直接集成在已有网络中,无需更换网闸,节约成本;
3.安全防护装置在网络中部署后,既没有物理地址,也没有IP地址,对网络中所有设备透明,不会给网络带来额外负担。
进一步地,本发明面向网闸的安全防护方法还包括:
在安全检查未通过时,将安全检查结果上报给网管,以进行人工干预。
在一个可选实施例中,步骤S20中对所述网络数据包进行安全检查包括:对发送所述网络数据包的网络终端进行身份验证。具体地,可通过以下方式进行身份验证:1.获取所述网络数据包的源IP地址,并判断所述源IP地址是否在预设的IP地址授权列表中;2.若在所述IP地址授权列表中,则对发送所述网络数据包的网络终端的签名信息进行验证。
关于上述实施例,需说明的是,本发明并不限定签名信息的验证方法,可根据应用场景或所要达到的安全等级选择不同强度的密码学方法。
另外,以上两种身份验证的方式可独立进行,也可同时进行,例如,在一个具体实施例中,在对与网闸通信的网络终端没有签名认证要求的场景下,也可以省略方式2,即,若判断网络数据包的源IP地址在白名单(IP地址授权列表)时,则可确定通过了身份验证,若否,则确定未通过安全检查;在另一个具体实施例中,先判断网络数据包的源IP地址是否在预设的白名单中,若是,则再对网络终端的签名信息进行验证,只有源IP地址及签名信息均验证通过时,才认为通过了身份验证。
在另一个可选实施例中,步骤S20中对所述网络数据包进行安全检查包括:对所述网络数据包的协议进行检查。具体地,可通过以下方式检查网络数据包的协议:获取所述网络数据包的协议类型,并判断所述协议类型是否在预设的合法协议列表中;若在预设的合法协议列表中,则对所述协议的格式及内容进行合规检查。在该实施例中,可利用网络数据包内协议头字段判别协议类型,若协议类型不在预设的合法协议列表中,则确定未通过协议检查,此时,中止通信并向网管报告;若在预设的合法协议列表中,则依协议标准对该网络数据包的协议格式及内容进行合规检查,若未通过合规检查,则中止通信并将情况向网管报告;若通过合规检查,则确定通过了协议检查。
在此需说明的是,步骤S20在对网络数据包进行安全检查时,可仅进行发送该网络数据包的网络终端的身份验证,也可仅进行该网络数据包的协议检查,当然,在其它的一些实施例中,可同时对网络终端的身份及网络数据包的协议进行检查。
进一步地,步骤S20在对网络数据包进行安全检查时,还可进一步执行:
判断所述网络数据包中是否存在特定应用层协议的数据,在此需说明的是,特定应用层协议是指SMTP、RTP等邮件协议、音/视频流协议等易被植入隐藏信息的应用层协议;
若不存在,则将所述网络数据包发送至网闸
若存在,则提取所述网络数据包中的应用层数据,并根据预设的信息隐藏规则,在所述应用层数据中嵌入随机生成的干扰数据,且将添加了所述干扰数据后的网络数据包发送至网闸。在此需说明的是,本发明不限定所采用的信息隐藏方法,例如可为:文本信息隐藏、LSB、变换域隐藏等音视频信息隐藏方法,而且,将添加了干扰数据后的网络数据包根据协议标准重新封装后,再发送给网闸。
在该实施例中,若判断网络数据包不存在特定应用层协议的数据,则认为该网络数据包不易被植入隐藏信息,此时直接将网络数据包发送至网闸;若判断网络数据包存在特定应用层协议的数据,则认为该网络数据包易被植入隐藏信息,此时,通过在网络数据包中添加干扰信息来增加数据流出网闸后原始数据中隐藏信息被提取的难度。
最后需说明的是,上面各种方法的步骤划分,只是为了描述清楚,实现时可以合并为一个步骤或者对某些步骤进行拆分,分解为多个步骤,只要包括相同的逻辑关系,都在本专利的保护范围内;对方法中或者流程中添加无关紧要的修改或者引入无关紧要的设计,但不改变其算法和流程的核心设计都在该专利的保护范围内。
图2是本发明网络系统实施例一的逻辑结构图,该实施例的网络系统包括多个网络终端21、…、22、交换机40、安全防护装置10及网闸30,其中,安全防护装置10至少具有两个网络接口,且一个网络接口通过交换机40连接多个网络终端21、…、22,另一个网络接口连接网闸30。当然,在其它实施例中,也可将网络终端直接与安全防护装置10连接。另外,该安全防护装置10可在新规划的网络中配置,也可以在不改变网络架构的情况下在已有网络中添加,能够在不影响正常网络通信的基础上保护网闸功能完整性,降低被攻击的风险。
结合图3所示的安全防护装置,该实施例的安全防护装置包括依次相连的网络接口模块11、安全防护模块12和网闸接口模块13,其中,网络接口模块11用于截取网络终端发送给网闸的网络数据包;安全防护模块12用于对所述网络数据包进行安全检查;网闸接口模块13用于在安全检查通过时,将安全检查后的网络数据包发送至网闸;在安全检查未通过时,中止所述网络数据包的传送。
安全防护模块12进一步包括:身份验证单元121、协议解析单元122和隐信道干扰单元123,其中,身份验证单元121用于对发送所述网络数据包的网络终端进行身份验证;协议解析单元122用于对所述网络数据包的协议进行检查,还用于判断所述网络数据包中是否存在特定应用层协议的数据,并在存在时,提取所述网络数据包中的应用层数据,并将其发送至所述隐信道干扰模块123;隐信道干扰单元123用于根据预设的信息隐藏规则,在所述应用层数据中嵌入随机生成的干扰数据,且将添加了所述干扰数据后的网络数据包发送至网闸。
关于身份验证单元121,在一个可选实施例中,其可包括:IP验证子单元和签名验证子单元,其中,IP验证子单元用于获取所述网络数据包的源IP地址,并判断所述源IP地址是否在预设的IP地址授权列表中;签名验证子单元用于对发送所述网络数据包的网络终端的签名信息进行验证。
关于协议解析单元122,在一个可选实施例中,其可包括:类型判断子单元和合规检查子单元,其中,类型判断子单元用于获取所述网络数据包的协议类型,并判断所述协议类型是否在预设的合法协议列表中;合规检查子单元,用于在预设的合法协议列表中时,对所述协议的格式及内容进行合规检查。具体地,通过对网络数据包进行解析,来获取该网络数据包中各层协议头,对照预设的协议白名单,判断各层所采用协议是否在白名单上,如果网络数据包中出现了不在白名单中的协议字段,则向网管报告;若各层协议均在预设白名单上,则对各层协议进行合规性检查,具体地,首先检查协议格式是否遵循协议标准,再检查协议各项参数是否在正常范围内,若有以下情况出现:不遵循标准、参数不在正常范围内或传输层、网络层协议有附加字段,则判定为有畸形攻击数据出现,立刻中止对数据包的处理并将情况向网管报告。
进一步地,本发明的安全防护装置还可包括上报模块,该上报模块用于在安全检查未通过时,将安全检查结果上报给网管。
以上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何纂改、等同替换、改进等,均应包含在本发明的权利要求范围之内。

Claims (12)

1.一种面向网闸的安全防护方法,其特征在于,包括:
截取网络终端发送给网闸的网络数据包;
对所述网络数据包进行安全检查,并判断是否通过安全检查;
若是,则将安全检查后的网络数据包发送至网闸;
若否,则中止所述网络数据包的传送;
对所述网络数据包进行安全检查:
判断所述网络数据包中是否存在特定应用层协议的数据;
若不存在,则将所述网络数据包发送至网闸
若存在,则提取所述网络数据包中的应用层数据,并根据预设的信息隐藏规则,在所述应用层数据中嵌入随机生成的干扰数据,且将添加了所述干扰数据后的网络数据包发送至网闸。
2.根据权利要求1所述的面向网闸的安全防护方法,其特征在于,还包括:
在安全检查未通过时,将安全检查结果上报给网管。
3.根据权利要求1或2所述的面向网闸的安全防护方法,其特征在于,对所述网络数据包进行安全检查,包括:
对发送所述网络数据包的网络终端进行身份验证。
4.根据权利要求3所述的面向网闸的安全防护方法,其特征在于,对发送所述网络数据包的网络终端进行身份验证,包括:
获取所述网络数据包的源IP地址,并判断所述源IP地址是否在预设的IP地址授权列表中;和/或,
对发送所述网络数据包的网络终端的签名信息进行验证。
5.根据权利要求3所述的面向网闸的安全防护方法,其特征在于,对所述网络数据包的协议进行检查包括:
获取所述网络数据包的协议类型,并判断所述协议类型是否在预设的合法协议列表中;
若在预设的合法协议列表中,则对所述协议的格式及内容进行合规检查。
6.一种面向网闸的安全防护装置,设置在网络终端与网闸之间,其特征在于,包括:
网络接口模块,用于截取网络终端发送给网闸的网络数据包;
安全防护模块,用于对所述网络数据包进行安全检查;
网闸接口模块,用于在安全检查通过时,将安全检查后的网络数据包发送至网闸;在安全检查未通过时,中止所述网络数据包的传送;
协议解析单元,用于对所述网络数据包的协议进行检查;
所述安全防护模块还包括隐信道干扰单元,而且,
所述协议解析单元,还判断所述网络数据包中是否存在特定应用层协议的数据,并在存在时,提取所述网络数据包中的应用层数据,并将其发送至所述隐信道干扰模块;
所述隐信道干扰单元,用于根据预设的信息隐藏规则,在所述应用层数据中嵌入随机生成的干扰数据,且将添加了所述干扰数据后的网络数据包发送至网闸。
7.根据权利要求6所述的面向网闸的安全防护装置,其特征在于,还包括:
上报模块,用于在安全检查未通过时,将安全检查结果上报给网管。
8.根据权利要求6或7所述的面向网闸的安全防护装置,其特征在于,所述安全防护模块包括:
身份验证单元,用于对发送所述网络数据包的网络终端进行身份验证。
9.根据权利要求8所述的面向网闸的安全防护装置,其特征在于,所述身份验证单元包括:
IP验证子单元,用于获取所述网络数据包的源IP地址,并判断所述源IP地址是否在预设的IP地址授权列表中;和/或,
签名验证子单元,用于对发送所述网络数据包的网络终端的签名信息进行验证。
10.根据权利要求8所述的面向网闸的安全防护装置,其特征在于,所述协议解析单元包括:
类型判断子单元,用于获取所述网络数据包的协议类型,并判断所述协议类型是否在预设的合法协议列表中;
合规检查子单元,用于在预设的合法协议列表中时,对所述协议的格式及内容进行合规检查。
11.一种网络系统,包括网络终端、网闸,其特征在于,还包括权利要求6-10任一项所述的安全防护装置。
12.根据权利要求11所述的网络系统,其特征在于,在所述网络终端的数量为多个时,所述网络系统还包括至少一个交换机,且所述安全防护装置通过所述交换机获取所述网络终端发送至网闸的网络数据包。
CN202010298542.7A 2020-04-16 2020-04-16 面向网闸的安全防护方法、装置及网络系统 Active CN111585972B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010298542.7A CN111585972B (zh) 2020-04-16 2020-04-16 面向网闸的安全防护方法、装置及网络系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010298542.7A CN111585972B (zh) 2020-04-16 2020-04-16 面向网闸的安全防护方法、装置及网络系统

Publications (2)

Publication Number Publication Date
CN111585972A CN111585972A (zh) 2020-08-25
CN111585972B true CN111585972B (zh) 2021-02-19

Family

ID=72122384

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010298542.7A Active CN111585972B (zh) 2020-04-16 2020-04-16 面向网闸的安全防护方法、装置及网络系统

Country Status (1)

Country Link
CN (1) CN111585972B (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114301693B (zh) * 2021-12-30 2023-03-14 同济大学 一种用于云平台数据的隐信道安全防御系统

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105118016A (zh) * 2015-06-23 2015-12-02 暨南大学 一种基于视觉干扰的图文信息隐藏方法
CN107707576A (zh) * 2017-11-28 2018-02-16 深信服科技股份有限公司 一种基于蜜罐技术的网络防御方法及系统

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20150185134A1 (en) * 2013-12-31 2015-07-02 Thomas C. H. Chen System and Apparatus of Electrochemical Sensor Embedded RFID for Corrosion Detection and Monitoring
CN104683332A (zh) * 2015-02-10 2015-06-03 杭州优稳自动化系统有限公司 一种工业控制网络中的安全隔离网关及其安全隔离方法
CN108449310B (zh) * 2018-01-26 2020-11-24 山东超越数控电子股份有限公司 一种国产网络安全隔离与单向导入系统及方法
CN108322484A (zh) * 2018-04-11 2018-07-24 江苏亨通工控安全研究院有限公司 一种工控数据摆渡系统

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105118016A (zh) * 2015-06-23 2015-12-02 暨南大学 一种基于视觉干扰的图文信息隐藏方法
CN107707576A (zh) * 2017-11-28 2018-02-16 深信服科技股份有限公司 一种基于蜜罐技术的网络防御方法及系统

Also Published As

Publication number Publication date
CN111585972A (zh) 2020-08-25

Similar Documents

Publication Publication Date Title
US10873594B2 (en) Test system and method for identifying security vulnerabilities of a device under test
CN108429730B (zh) 无反馈安全认证与访问控制方法
CN106060003A (zh) 一种网络边界单向隔离传输装置
KR101095447B1 (ko) 분산 서비스 거부 공격 차단 장치 및 방법
CN114598540B (zh) 访问控制系统、方法、装置及存储介质
CN106850690B (zh) 一种蜜罐构造方法及系统
Park et al. {DoLTEst}: In-depth downlink negative testing framework for {LTE} devices
CN104348789A (zh) 用于防止跨站脚本攻击的Web服务器及方法
KR102215706B1 (ko) 제어 평면의 동적 보안 분석 방법 및 그 시스템
CN108011873A (zh) 一种基于集合覆盖的非法连接判断方法
Park et al. Session management for security systems in 5g standalone network
CN103051598B (zh) 安全接入互联网业务的方法、用户设备和分组接入网关
CN102045310B (zh) 一种工业互联网入侵检测和防御方法及其装置
CN111585972B (zh) 面向网闸的安全防护方法、装置及网络系统
KR101463873B1 (ko) 정보 유출 차단 장치 및 방법
CN107332803A (zh) 一种基于终端主机安全状态的准入控制方法和系统
US11463880B2 (en) Dynamic security analysis method for control plane and system therefore
Zhang et al. A systematic approach to formal analysis of QUIC handshake protocol using symbolic model checking
CN108881484A (zh) 一种检测终端是否能访问互联网的方法
CN114915427A (zh) 访问控制方法、装置、设备及存储介质
CN108494731B (zh) 一种基于双向身份认证的抗网络扫描方法
CN106899559A (zh) 基于TrustZone技术的Android Auto安全通信方法及系统
CN109547478A (zh) 一种基于sdn的抗网络扫描方法及系统
KR100805316B1 (ko) 명령어 코드 통제리스트 기반의 웹 서비스 보안시스템 및그 방법
CN114301693B (zh) 一种用于云平台数据的隐信道安全防御系统

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant