CN111683040A - 一种网络隔离方法、装置、电子设备及存储介质 - Google Patents

一种网络隔离方法、装置、电子设备及存储介质 Download PDF

Info

Publication number
CN111683040A
CN111683040A CN202010317766.8A CN202010317766A CN111683040A CN 111683040 A CN111683040 A CN 111683040A CN 202010317766 A CN202010317766 A CN 202010317766A CN 111683040 A CN111683040 A CN 111683040A
Authority
CN
China
Prior art keywords
network
isolation
cloud server
isolated
micro cloud
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202010317766.8A
Other languages
English (en)
Other versions
CN111683040B (zh
Inventor
周兴
周新海
沈军
杨春晖
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Visionvera Information Technology Co Ltd
Original Assignee
Visionvera Information Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Visionvera Information Technology Co Ltd filed Critical Visionvera Information Technology Co Ltd
Priority to CN202010317766.8A priority Critical patent/CN111683040B/zh
Publication of CN111683040A publication Critical patent/CN111683040A/zh
Application granted granted Critical
Publication of CN111683040B publication Critical patent/CN111683040B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/06Management of faults, events, alarms or notifications
    • H04L41/0654Management of faults, events, alarms or notifications using network fault recovery
    • H04L41/0659Management of faults, events, alarms or notifications using network fault recovery by isolating or reconfiguring faulty entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02DCLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
    • Y02D30/00Reducing energy consumption in communication networks
    • Y02D30/70Reducing energy consumption in communication networks in wireless communication networks

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

本申请提供了一种网络隔离方法、装置、电子设备及存储介质,所述方法应用于视联网中的自治服务器,包括:确定待隔离视联网终端,及所述待隔离视联网终端与所述自治服务器之间的通信链路,所述通信链路上部署有至少一个微云服务器;根据所述待隔离视联网终端的受攻击信息,确定所述通信链路上的目标微云服务器;向所述目标微云服务器发送隔离指令,以使所述目标微云服务器中断与所述待隔离视联网终端之间的子通信链路。本申请可以将待隔离视联网终端隔离在指定视联网区域内,从而避免恶意软件扩散到指定视联网区域外,保证视联网内各项业务的安全执行。

Description

一种网络隔离方法、装置、电子设备及存储介质
技术领域
本发明涉及网络安全技术领域,特别是涉及一种网络隔离方法、装置、电子设备及存储介质。
背景技术
视联网是不同于互联网的独立网络,通常情况下很难受到互联网攻击和外部攻击软件的攻击,且一旦被攻击,被攻击的区域通常是某个孤立的局域网,因此需要对该局域网进行故障排查。在相关的技术中,当视联网被攻击时,需要由被攻击区域的运维人员到现场进行故障排查,然而,由于视联网部署范围较广,在一些偏远地区可能并未设置驻地运维,因而无法及时对被攻击的区域进行故障排查,导致攻击软件的扩散,进而影响整个视联网业务的进行。
发明内容
本申请实施例提供了一种网络隔离方法、装置、电子设备及存储介质,能在视联网某个区域被攻击时及时封锁被攻击区域,防止攻击软件的扩散。
本申请实施例第一方面提供了一种网络隔离方法,应用于视联网中的自治服务器,所述方法包括:
确定待隔离视联网终端,以及所述待隔离视联网终端与所述自治服务器之间的通信链路,所述通信链路上部署有至少一个微云服务器;
根据所述待隔离视联网终端的受攻击信息,确定所述通信链路上的目标微云服务器;
向所述目标微云服务器发送隔离指令,以使所述目标微云服务器中断与所述待隔离视联网终端之间的子通信链路。
可选地,确定待隔离视联网终端包括:
在接收到视联网终端发送的受攻击信息时,将所述视联网终端确定为待隔离视联网终端;
确定所述待隔离视联网终端与所述自治服务器之间的通信链路,包括:
确定所述待隔离视联网终端的路径地址,所述路径地址包括所述待隔离视联网终端与所述自治服务器之间的微云服务器的信息;
根据所述路径地址确定所述待隔离视联网终端与所述自治服务器之间的通信链路。
可选地,所述隔离指令的类型包括:第一隔离指令和第二隔离指令,所述第一隔离指令用于对所有下级设备进行网络隔离,所述第二隔离指令用于中断与所有设备的网络连接;
向所述目标微云服务器发送隔离指令,以使所述目标微云服务器中断与所述待隔离视联网终端之间的子通信链路,包括:
在所述隔离指令为所述第一隔离指令时,向所述目标微云服务器发送所述第一隔离指令,以使所述目标微云服务器按照所述第一隔离指令,关闭连接下级设备的网络的网卡;
在所述隔离指令为所述第二隔离指令时,向所述目标微云服务器发送所述第二隔离指令,以使所述目标微云服务器按照所述第二隔离指令,关闭连接所有设备的网络的网卡。
可选地,根据所述待隔离视联网终端的受攻击信息,确定所述通信链路上的目标微云服务器,包括:
对所述受攻击信息进行分析,确定所述待隔离视联网终端的受攻击程度;
根据所述受攻击程度,确定所述待隔离视联网终端的隔离范围;
在所述通信链路上的至少一个微云服务器中,确定与所述隔离范围匹配的目标微云服务器。
可选地,根据所述待隔离视联网终端的受攻击信息,确定所述通信链路上的目标微云服务器,包括:
输出所述受攻击信息到显示屏;
在检测到用户响应于所述受攻击信息的输入操作时,根据输入的信息确定所述待隔离视联网终端的隔离范围;
在所述通信链路上的至少一个微云服务器中,确定与所述隔离范围匹配的目标微云服务器。
本申请实施例第二方面提供了另一种网络隔离方法,应用于视联网中的微云服务器,包括:
接收自治服务器发送的隔离指令,所述隔离指令的类型包括:第一隔离指令和第二隔离指令,所述第一隔离指令用于对所有下级设备进行网络隔离,所述第二隔离指令用于中断与所有设备的网络连接;
在所述隔离指令为所述第一隔离指令时,关闭连接下级设备的网络的网卡;
在所述隔离指令为所述第二隔离指令时,关闭连接所有设备的网络的网卡。
本申请实施例第三方面提供了一种网络隔离装置,应用于视联网中的自治服务器,包括:
第一确定模块,用于确定待隔离视联网终端,以及所述待隔离视联网终端与所述自治服务器之间的通信链路,所述通信链路上部署有至少一个微云服务器;
第二确定模块,用于根据所述待隔离视联网终端的受攻击信息,确定所述通信链路上的目标微云服务器;
发送模块,用于向所述目标微云服务器发送隔离指令,以使所述目标微云服务器中断与所述待隔离视联网终端之间的子通信链路。
本申请实施例第四方面提供了另一种网络隔离装置,应用于视联网中的微云服务器,包括:
接收模块,用于接收自治服务器发送的隔离指令,所述隔离指令的类型包括:第一隔离指令和第二隔离指令,所述第一隔离指令用于对所有下级设备进行网络隔离,所述第二隔离指令用于中断与所有设备的网络连接;
第一关闭模块,用于在所述隔离指令为所述第一隔离指令时,关闭连接下级设备的网络的网卡;
第二关闭模块,用于在所述隔离指令为所述第二隔离指令时,关闭连接所有设备的网络的网卡。
本申请实施例第五方面提供一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行时实现本申请第一方面所述的方法的步骤。
本申请实施例第六方面提供一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现如本申请第一方面所述的方法中的步骤。
通过本申请的网络隔离方法,自治服务器首先确定待隔离视联网终端和待隔离视联网终端与自治服务器之间的通信链路,然后根据待隔离视联网终端的受攻击信息,在通信链路上确定目标微云服务器,并向目标微云服务器发送隔离指令,以使目标微云服务器中断与待隔离视联网终端之间的子通信链路,禁止目标微云服务器与待隔离视联网终端之间进行通信,实现将待隔离视联网终端隔离在指定视联网区域内,从而避免恶意软件扩散到指定视联网区域外,保证视联网内各项业务的安全执行,同时为运维人员排除故障提供了充足的时间,尤其是在偏远地区的视联网环境下,本申请的网络隔离方法在防止恶意软件扩散方面效果尤为突出。
附图说明
为了更清楚地说明本申请实施例的技术方案,下面将对本申请实施例的描述中所需要使用的附图作简单地介绍。
图1是本申请一实施例示出的一种实施环境示意图;
图2是本申请一实施例示出的一种网络隔离方法的流程图;
图3A是本申请一实施例示出的第一种局部链路隔离的过程示意图;
图3B是本申请一实施例示出的第二种局部链路隔离的过程示意图;
图3C是本申请一实施例示出的第一种全链路隔离的过程示意图;
图3D是本申请一实施例示出的第二种全链路隔离的过程示意图;
图4是本申请一实施例示出的另一种网络隔离方法的流程图;
图5是本申请一实施例示出的一种网络隔离装置的结构框图;
图6是本申请一实施例示出的一种网络隔离装置的结构框图;
图7是本申请一实施例示出的一种视联网的组网示意图;
图8是本申请一实施例示出的一种节点服务器的硬件结构示意图;
图9是本申请一实施例示出的一种接入交换机的硬件结构示意图;
图10是本申请一实施例示出的一种以太网协转网关的硬件结构示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
图1是本申请一实施例示出的一种实施环境示意图。图1中所示的视联网的网络结构为一个自治域(可以理解为一个局域网)内部的网络结构,该自治域中包括一个自治服务器(即:视联网核心服务器)和连接到该自治服务器的多个层级的微云服务器,具体地,第一层级的微云服务器包括:微云服务器1和微云服务器2,第二层级的微云服务器包括:微云服务器3和微云服务器4,且微云服务器3和微云服务器4均连接到微云服务器2,微云服务器3连接的视联网终端设备为终端1,微云服务器4连接的视联网终端设备为终端2。当该自治域中的终端1受到恶意软件攻击时,这种攻击会同时攻击微云服务器3所在的交换网络内的所有设备,包括微云服务器3,当微云服务器3受到攻击时,这种攻击会同时扩散到微云服务器2所在的交换网络,进而形成大规模攻击。因而,当检测到终端1受到恶意软件攻击时,需要及时对终端1进行隔离处理,以防止恶意软件进一步扩散。
为解决上述提到的防止恶意软件进一步扩散的问题,本申请提供了一种网络隔离方法,应用于图1所示的自治域。在此特别说明,为了较为清楚地说明本申请的网络隔离方法,本申请各个实施例所指的视联网的网络结构均以图1所示的自治域的网络结构为例。当然,在本申请中,视联网的网络结构既可以采用图1所示的网络结构,也可以为其它网络结构,具体可根据实际需求设置,本申请对此不作具体限制。
图2是本申请一实施例示出的一种网络隔离方法的流程图。参照图2,本申请的网络隔离方法具体应用于视联网中的自治服务器,包括如下步骤:
步骤S11:确定待隔离视联网终端,以及所述待隔离视联网终端与所述自治服务器之间的通信链路,所述通信链路上部署有至少一个微云服务器。
在本实施例中,一个自治服务器下可以具有多个完整通信链路,每个完整通信链路上可以部署多个层级的微云服务器,每个微云服务器下又可以具有多个子通信链路,每个子通信链路上又可以部署多个层级的微云服务器,以此类推。示例地,参照图1,自治服务器下具有3个完整通信链路,包括:完整通信链路1-完整通信链路3,完整通信链路1为:自治服务器-微云服务器2-微云服务器3-微云服务器3下的各个终端,完整通信链路2为:自治服务器-微云服务器2-微云服务器4-微云服务器4下的各个终端,完整通信链路3为:自治服务器-微云服务器1-微云服务器1下的各个终端(图1中未示出);在微云服务器2下具有2个子通信链路,包括:子通信链路1-子通信链路2,子通信链路1为:微云服务器2-微云服务器3-微云服务器3下的各个终端,子通信链路2为:微云服务器2-微云服务器4-微云服务器4下的各个终端。
在本实施例中,视联网中设置有检测设备,用于检测视联网中发生故障的视联网终端,诸如机顶盒、流媒体网关、存储网关、媒体合成器等,本申请对视联网终端的类型不作具体限制。检测设备在检测到某个视联网终端被攻击后,生成攻击报告,将攻击报告发送给自治服务器,使得自治服务器根据攻击报告确定待隔离的视联网终端。
步骤S12:根据所述待隔离视联网终端的受攻击信息,确定所述通信链路上的目标微云服务器。
在本实施例中,受攻击信息可以是:待隔离视联网终端的系统日志。自治服务器从攻击报告中获得受攻击信息,根据待隔离视联网终端的受攻击信息可以确定待隔离视联网终端的受攻击程度,在受攻击程度比较小时,可以选取距离待隔离视联网终端较小范围内的微云服务器作为目标微云服务器,从而对待隔离视联网终端进行较小范围的隔离,在受攻击程度比较大时,可以选取距离待隔离视联网终端较大范围内的微云服务器作为目标微云服务器,从而对待隔离视联网终端进行较大范围的隔离。
示例地,参照图1,自治服务器根据受攻击信息,确定终端1被恶意软件攻击,通过对受攻击信息中的各项恶意事件信息进行分析,如果确定终端1受攻击程度较低,那么直接将距离终端1最近的微云服务器3作为目标微云服务器,以实现在较小范围内对终端1的隔离,如果确定终端1受攻击程度较高,那么直接将距离终端1最远的微云服务器2作为目标微云服务器,以实现在较大范围内对终端1的隔离。
步骤S13:向所述目标微云服务器发送隔离指令,以使所述目标微云服务器中断与所述待隔离视联网终端之间的子通信链路。
在本实施例中,目标微云服务器在接收到隔离指令后,执行隔离指令,实现对待隔离终端的隔离。具体地,目标微云服务器通过中断与待隔离视联网终端之间的子通信链路,进而实现对待隔离终端的网络隔离,禁止与待隔离终端之间的通信交互,从而避免恶意软件的扩散。
示例地,若目标微云服务器为微云服务器3,微云服务器3接收到隔离指令后,确定待隔离终端为终端1,中断与终端1之间的子通信链路,若目标微云服务器为微云服务器2,微云服务器2接收到隔离指令后,确定待隔离终端为终端1,中断与微云服务器3之间的子通信链路。
在本实施例中,一个自治服务器下的完整通信链路上可以有多个微云服务器,可以在自治服务器上预先配置受攻击程度等级,并为每个等级设置目标微云服务器,例如,可以针对微云服务器3下的各个视联网终端设置受攻击程度等级和对应各个等级的目标微云服务器,也可以针对微云服务器2设置受攻击程度等级和对应各个等级的目标微云服务器,以此类推。这样,自治服务器根据受攻击程度可以直接获得对应的目标微云服务器,通过该目标微云服务器实现对待隔离视联网终端的隔离。
在本实施例中,待隔离视联网终端也可以为任意未被恶意软件攻击的视联网终端,例如,在一些需要关闭视联网终端的服务,或者暂停视联网终端的服务以完成检修等业务场景中,也可以对这些待隔离视联网终端进行隔离。在此种场景下,由于待隔离视联网终端不存在受攻击信息,因而自治服务器需要接收人工输入的目标微云服务器,从而实现对待隔离视联网终端的隔离。
在本实施例中,自治服务器首先确定待隔离视联网终端和待隔离视联网终端与自治服务器之间的通信链路,然后根据待隔离视联网终端的受攻击信息,在通信链路上确定目标微云服务器,并向目标微云服务器发送隔离指令,以使目标微云服务器中断与待隔离视联网终端之间的子通信链路,禁止目标微云服务器与待隔离视联网终端之间进行通信,实现将待隔离视联网终端隔离在指定视联网区域内,从而避免恶意软件扩散到指定视联网区域外,保证视联网内各项业务的安全执行,同时为运维人员排除故障提供了充足的时间,尤其是在偏远地区的视联网环境下,本申请的网络隔离方法在防止恶意软件扩散方面效果尤为突出。
结合以上实施例,在一种实施方式中,确定待隔离视联网终端包括:
在接收到视联网终端发送的受攻击信息时,将所述视联网终端确定为待隔离视联网终端;
确定所述待隔离视联网终端与所述自治服务器之间的通信链路,包括:
确定所述待隔离视联网终端的路径地址,所述路径地址包括所述待隔离视联网终端与所述自治服务器之间的微云服务器的信息;
根据所述路径地址确定所述待隔离视联网终端与所述自治服务器之间的通信链路。
在本实施例中,如果视联网内没有部署检测设备,那么视联网终端在受到恶意软件的攻击时,可以直接根据自身的系统日志生成攻击报告,将攻击报告发送给自治服务器。自治服务器接收并解析攻击报告,获得视联网终端的受攻击信息,同时将该视联网终端确定为待隔离视联网终端。
在本实施例中,自治服务器在确定待隔离视联网终端之后,获得待隔离视联网终端的路径地址,根据路径地址确定待隔离视联网终端与自治服务器之间的通信链路。
在本实施例中,每一个微云服务器在入网时,自治服务器会为其分配一个本自治域(一个自治域具有唯一一个自治服务器)内唯一的号码,作为入网标识,同时,每一个视联网终端的路径地址中会包含其所在通信链路中的所有的微云服务器的入网标识,例如在图1中,假设微云服务器2的入网标识为041D,微云服务器3的入网标识为3F12,如果终端1的路径地址为{3F12,041D,0000,0000,0000,0000,0000,0000,0000},解析终端1的路径地址可以确定终端1位于微云服务器3下,且微云服务器3位于微云服务器2下,那么可以确定终端1与自治服务器之间的通信链路为:自治服务器-微云服务器2-微云服务器3-终端1。
在本实施例中,每一个视联网终端在初次向自治服务器上传路径地址时,会依次经过所在的通信链路的各个微云服务器,各个微云服务器依次将自身的入网标识添加到上传的路径地址中,进而使得自治服务器可以获得各个视联网终端的路径地址。具体地,路径地址记录在9A01指令中,自治服务器通过解析视联网终端上传的9A01指令,即可获得该视联网终端的路径地址,以及所在的通信链路。示例地,以图1中自治服务器初次获得终端1的路径地址为例,具体过程为:
步骤1:当终端1入网成功之后,自治服务器立即向终端1发送一条查询定位指令,以查询终端1的路径地址;
步骤2:终端1在接收到查询定位指令后向自治服务器返回9A01指令作为响应,此时9A01指令如下表所示:
Figure BDA0002460184390000081
Figure BDA0002460184390000091
步骤3:当终端1发送的9A01指令到达微云服务器3后,微云服务器3检测出该指令是9A01指令,将自身的微云入网标识(即:3F12)添加到指令的路径位置,此时,9A01指令如下表所示:
Figure BDA0002460184390000092
步骤4:微云服务器3继续将9A01指令发送到微云服务器2,微云服务器2检测出该指令是9A01指令,将自身的微云入网标识(即:041D)添加到指令的路径位置,此时,9A01指令如下表所示:
Figure BDA0002460184390000093
自治服务器接收到9A01指令后,即可确定终端1的路径地址,以及具体所在的通信链路。
结合以上实施例,在一种实施方式中,所述隔离指令的类型包括:第一隔离指令和第二隔离指令,所述第一隔离指令用于对所有下级设备进行网络隔离,所述第二隔离指令用于中断与所有设备的网络连接;
向所述目标微云服务器发送隔离指令,以使所述目标微云服务器中断与所述待隔离视联网终端之间的子通信链路,包括:
在所述隔离指令为所述第一隔离指令时,向所述目标微云服务器发送所述第一隔离指令,以使所述目标微云服务器按照所述第一隔离指令,关闭连接下级设备的网络的网卡;
在所述隔离指令为所述第二隔离指令时,向所述目标微云服务器发送所述第二隔离指令,以使所述目标微云服务器按照所述第二隔离指令,关闭连接所有设备的网络的网卡。
在本实施例中,每一个微云服务器可以同时连接上级设备和下级设备,当微云服务器关闭连接下级设备的网络的网卡时,无法再与下级设备进行网络通信,实现对下级设备的网络隔离,进而防止下级设备中的恶意软件的扩展;当微云服务器关闭连接所有设备的网络的网卡时,无法再与任何设备(包括:上级设备和下级设备)进行网络通信,实现对自身的网络隔离。
示例地,参照图1,如果微云服务器3接收到第一隔离指令,那么关闭连接所有下级设备(包括终端1)的网络的网卡,使得微云服务器3无法再与所有下级设备进行网络通信;如果微云服务器3接收到第二隔离指令,那么关闭连接所有设备的网络的网卡,无法再与任何设备进行网络通信。
在本实施例中,自治服务器在确定出目标微云服务器后,在显示屏输出隔离指令类型提示,以提示用户选择具体类型的隔离指令,如果用户选择了第一隔离指令,则向目标微云服务器发送第一隔离指令,如果用户选择了第二隔离指令,则向目标微云服务器发送第二隔离指令,如果用户未在预设时长内选择具体类型的隔离指令,自治服务器选择默认类型的隔离指令并发送到目标微云服务器,其中,用户可以在自治服务器中预先设置默认类型的隔离指令。
本实施例中设置了两种类型的隔离指令,可以实现对任意通信链路上的微云服务器的隔离,从而实现对任意范围大小的网络的隔离,使得网络隔离更加灵活。
结合以上实施例,在一种实施方式中,根据所述待隔离视联网终端的受攻击信息,确定所述通信链路上的目标微云服务器,包括:
对所述受攻击信息进行分析,确定所述待隔离视联网终端的受攻击程度;
根据所述受攻击程度,确定所述待隔离视联网终端的隔离范围;
在所述通信链路上的至少一个微云服务器中,确定与所述隔离范围匹配的目标微云服务器。
在本实施例中,自治服务器在获得待隔离视联网终端的受攻击信息后,对受攻击信息中的异常事件进行分析,例如:根据不同类型的异常事件对应的分值,为待隔离视联网终端的此次受攻击事件进行打分,根据分值所在的区间,确定待隔离视联网终端的受攻击程度,进而根据受攻击程度,确定待隔离视联网终端的隔离范围,以及根据隔离范围,确定目标微云服务器。
具体地,自治服务器中可以设置异常事件分值表,该表中记录了各个类型的异常事件所对应的分值,危险程度越高的异常事件所对应的分值越高;同时自治服务器中还可以设置分值区间与受攻击程度等级对照表,所在分值区间越高,对应受攻击程度等级越高;其次,自治服务器中还可以设置受攻击程度等级与隔离范围对照表,受攻击程度等级越高,隔离范围越大。其中,隔离范围可以通过距离待隔离视联网终端的距离(此处的距离可以使用网络结构图中的层级来表示,例如,微云服务器3与微云服务器2的距离为1个层级,终端1与微云服务器2的距离为2个层级等)来确定,距离待隔离视联网终端的距离越近,隔离范围越小,距离待隔离视联网终端的距离越远,隔离范围越大。
本实施例中,自治服务器对待隔离视联网终端的受攻击信息进行分析,进而获得受攻击程度,并根据受攻击程度自动确定待隔离视联网终端的隔离范围以及与隔离范围匹配的目标微云服务器,使得视联网终端在受到恶意软件攻击时,自治服务器可以快速实现对视联网终端的网络隔离,防止恶意软件的扩散,保证视联网内的各项业务的顺利执行。
结合以上实施例,在一种实施方式中,根据所述待隔离视联网终端的受攻击信息,确定所述通信链路上的目标微云服务器,包括:
输出所述受攻击信息到显示屏;
在检测到用户响应于所述受攻击信息的输入操作时,根据输入的信息确定所述待隔离视联网终端的隔离范围;
在所述通信链路上的至少一个微云服务器中,确定与所述隔离范围匹配的目标微云服务器。
在本实施例中,自治服务器除了可以自动确定目标微云服务器,还可以根据用户的输入操作确定目标微云服务器。具体地,自治服务器在接收到受攻击信息后,将受攻击信息输出到显示屏,用户在查看到受攻击信息后,输入隔离范围,自治服务器自动获得与该隔离范围匹配的目标微云服务器。示例地,用户查看到待隔离视联网终端为终端1后,输入的隔离范围为1级,那么自治服务器自动将微云服务器3确定为目标微云服务器,如果输入的隔离范围为2级,那么自治服务器自动将微云服务器2确定为目标微云服务器。且在上述过程中,如果用户输入的隔离范围为1级,自治服务器既可以向微云服务器3发送第一隔离指令,也可以向微云服务器3发送第二隔离指令,即:发送何种类型的指令对隔离范围并没有影响。
在本实施例中,为了加快待隔离视联网终端的隔离速度,还可以设置快速隔离模式,具体地:自治服务器在确定待隔离视联网终端后,将受攻击信息输出到显示屏,同时询问用户是否需要对待隔离视联网终端进行局部隔离,如果检测到用户输入的回复为是,则直接向待隔离视联网终端的上级微云服务器发送隔离指令(第一隔离指令或者第二隔离指令),以隔离待隔离视联网终端所在的局部微云链路,如果检测到用户输入的回复为否,则直接向待隔离视联网终端的最上级微云服务器发送隔离指令(第一隔离指令或者第二隔离指令),以隔离待隔离视联网终端所在的整个微云链路。通过该种隔离方式,当某个视联网终端受到攻击后,可以在较短的时间内实现对待隔离视联网终端的隔离。
下面将结合图3A-图3D对上述快速隔离模式进行举例说明。图3A是本申请一实施例示出的第一种局部链路隔离的过程示意图,图3B是本申请一实施例示出的第二种局部链路隔离的过程示意图,图3C是本申请一实施例示出的第一种全链路隔离的过程示意图,图3D是本申请一实施例示出的第二种全链路隔离的过程示意图。
在图3A-图3D中,叉号表示无法进行网络通信,加粗的箭头表示被隔离通信链路,终端1为受到恶意软件攻击的视联网终端。如果用户在自治服务器中选择局部隔离,且隔离指令为第一隔离指令,那么自治服务器向微云服务器3发送第一隔离指令,由微云服务器3阻断与所有下级设备的网络通信,包括终端1,从而实现对终端1所在的局部链路进行隔离,如图3A所示;如果用户在自治服务器中选择局部隔离,且隔离指令为第二隔离指令,那么自治服务器向微云服务器3发送第二隔离指令,由微云服务器3阻断与所有设备的网络通信,包括终端1和微云服务器2,从而实现对终端1所在的局部链路进行隔离,如图3B所示;如果用户在自治服务器中选择非局部隔离,且隔离指令为第一隔离指令,那么自治服务器向微云服务器2发送第一隔离指令,由微云服务器2阻断与所有下级设备的网络通信,包括微云服务器2、微云服务器2下的所有设备、微云服务器3以及微云服务器3下的所有设备,从而实现对终端1所在的全链路进行隔离,如图3C所示;如果用户在自治服务器中选择非局部隔离,且隔离指令为第二隔离指令,那么自治服务器向微云服务器2发送第二隔离指令,由微云服务器2阻断与所有下级设备的网络通信,包括微云服务器2、微云服务器2下的所有设备、微云服务器3、微云服务器3下的所有设备以及自治服务器,如图3D所示。
结合以上实施例,在一种实施方式中,自治服务器可以采用如下表所示的协议向目标微云服务器发送隔离指令。
Figure BDA0002460184390000131
在该表格中,代码9999表示当前指令为关闭网卡的指令,关闭网卡的值为0时,表示指令的类型为第一隔离指令,关闭网卡的值为1时,表示指令的类型为第二隔离指令,核心服务器身份认证码为自治服务器预先发送给各个微云服务器的认证码,用于保证自治服务器与微云服务器交互过程的安全性。基于图3所示的协议,微云服务器执行隔离指令的完整过程为:微云服务器接收到指令后,进行初步解析,如果获得代码9999,表示当前指令为关闭网卡的指令,再根据核心服务器身份认证码进一步验证,解析获得关闭网卡的值,如果值为0,执行第一隔离指令,如果值为1,执行第二隔离指令。
结合以上实施例,在一种实施方式中,如果微云服务器执行的隔离指令为第一隔离指令,表示微云服务器还可以与上级设备进行通信,如果微云服务器执行的隔离指令为第二隔离指令,表示微云服务器无法与任何设备进行通信。当微云服务器还可以与上级设备进行通信时,自治服务器可以通过SSH协议(SSH协议为建立在视联网应用层基础上的安全协议,主要用于为远程登录会话和其他网络服务提供安全性保障)向微云服务器发送各类维护指令,保证微云服务器的正常运行。
图4是本申请一实施例示出的另一种网络隔离方法的流程图。参照图4,该网络隔离方法应用于视联网中的微云服务器,可以包括如下步骤:
步骤S21:接收自治服务器发送的隔离指令,所述隔离指令的类型包括:第一隔离指令和第二隔离指令,所述第一隔离指令用于对所有下级设备进行网络隔离,所述第二隔离指令用于中断与所有设备的网络连接;
步骤S22:在所述隔离指令为所述第一隔离指令时,关闭连接下级设备的网络的网卡;
步骤S23:在所述隔离指令为所述第二隔离指令时,关闭连接所有设备的网络的网卡。
在本实施例中,微云服务器在接收到隔离指令后,解析获得隔离指令的类型,在隔离指令为第一隔离指令时,关闭连接下级设备的网络的网卡,在隔离指令为第二隔离指令时,关闭连接所有设备的网络的网卡,进而实现对待隔离终端的网络隔离,防止恶意软件的扩散。
下面将结合图1以一个具体的实施例对本申请的网络隔离方法进行详细说明。
自治服务器接收到终端1发送的受攻击信息后,根据受攻击信息确定终端1为待隔离视联网终端;自治服务器根据终端1的受攻击信息确定终端1的路径地址为{3F12,041D,0000,0000,0000,0000,0000,0000,0000};自治服务器确定3F12对应的微云服务器为微云服务器3,041D对应的微云服务器为微云服务器2,进而确定终端1所在的通信链路为:自治服务器-微云服务器3-微云服务器2;自治服务器询问用户隔离范围和采取的隔离指令的类型,如果用户选择的是一级隔离范围且隔离指令的类型为第一隔离指令,那么向微云服务器3发送第一隔离指令,使得微云服务器3关闭连接下级设备的网卡;如果用户选择的是一级隔离范围且隔离指令的类型为第二隔离指令,那么向微云服务器3发送第二隔离指令,使得微云服务器3关闭连接所有设备的网卡;果用户选择的是二级隔离范围且隔离指令的类型为第一隔离指令,那么向微云服务器2发送第一隔离指令,使得微云服务器2关闭连接下级设备的网卡,即:微云服务器2不再与微云服务器3和微云服务器4进行网络通信;果用户选择的是二级隔离范围且隔离指令的类型为第二隔离指令,那么向微云服务器2发送第二隔离指令,使得微云服务器2关闭连接所有设备的网卡,即:微云服务器2不再与微云服务器3和微云服务器4进行网络通信,同时自身也不再与自治服务器进行通信。
需要说明的是,对于方法实施例,为了简单描述,故将其都表述为一系列的动作组合,但是本领域技术人员应该知悉,本发明实施例并不受所描述的动作顺序的限制,因为依据本发明实施例,某些步骤可以采用其他顺序或者同时进行。其次,本领域技术人员也应该知悉,说明书中所描述的实施例均属于优选实施例,所涉及的动作并不一定是本发明实施例所必须的。
本申请提供了一种网络隔离装置500,应用于视联网中的自治服务器,如图5所示。图5是本申请一实施例示出的一种网络隔离装置的结构框图。参照图5,本申请的网络隔离装置500可以包括:
第一确定模块501,用于确定待隔离视联网终端,以及所述待隔离视联网终端与所述自治服务器之间的通信链路,所述通信链路上部署有至少一个微云服务器;
第二确定模块502,用于根据所述待隔离视联网终端的受攻击信息,确定所述通信链路上的目标微云服务器;
发送模块503,用于向所述目标微云服务器发送隔离指令,以使所述目标微云服务器中断与所述待隔离视联网终端之间的子通信链路。
可选地,所述第一确定模块501包括:
第一确定子模块,用于在接收到视联网终端发送的受攻击信息时,将所述视联网终端确定为待隔离视联网终端;
第二确定子模块,用于确定所述待隔离视联网终端的路径地址,所述路径地址包括所述待隔离视联网终端与所述自治服务器之间的微云服务器的信息;
第三确定子模块,用于根据所述路径地址确定所述待隔离视联网终端与所述自治服务器之间的通信链路。
可选地,所述隔离指令的类型包括:第一隔离指令和第二隔离指令,所述第一隔离指令用于对所有下级设备进行网络隔离,所述第二隔离指令用于中断与所有设备的网络连接;
所述发送模块503包括:
第一发送子模块,用于在所述隔离指令为所述第一隔离指令时,向所述目标微云服务器发送所述第一隔离指令,以使所述目标微云服务器按照所述第一隔离指令,关闭连接下级设备的网络的网卡;
第二发送子模块,用于在所述隔离指令为所述第二隔离指令时,向所述目标微云服务器发送所述第二隔离指令,以使所述目标微云服务器按照所述第二隔离指令,关闭连接所有设备的网络的网卡。
可选地,所述第二确定模块502包括:
第四确定子模块,用于对所述受攻击信息进行分析,确定所述待隔离视联网终端的受攻击程度;
第五确定子模块,用于根据所述受攻击程度,确定所述待隔离视联网终端的隔离范围;
第六确定子模块,用于在所述通信链路上的至少一个微云服务器中,确定与所述隔离范围匹配的目标微云服务器。
可选地,所述第二确定模块502包括:
输出模块,用于输出所述受攻击信息到显示屏;
第七确定子模块,用于在检测到用户响应于所述受攻击信息的输入操作时,根据输入的信息确定所述待隔离视联网终端的隔离范围;
第八确定子模块,用于在所述通信链路上的至少一个微云服务器中,确定与所述隔离范围匹配的目标微云服务器。
本申请还提供了一种网络隔离装置600,应用于视联网中的微云服务器,如图6所示。图6是本申请一实施例示出的一种网络隔离装置的结构框图。参照图6,本申请的网络隔离装600可以包括:
接收模块601,用于接收自治服务器发送的隔离指令,所述隔离指令的类型包括:第一隔离指令和第二隔离指令,所述第一隔离指令用于对所有下级设备进行网络隔离,所述第二隔离指令用于中断与所有设备的网络连接;
第一关闭模块602,用于在所述隔离指令为所述第一隔离指令时,关闭连接下级设备的网络的网卡;
第二关闭模块603,用于在所述隔离指令为所述第二隔离指令时,关闭连接所有设备的网络的网卡。
基于同一发明构思,本申请提供一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行时实现本申请上述任一实施例所述的网络隔离方法中的步骤。
基于同一发明构思,本申请提供一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现如本申请上述任一实施例所述的网络隔离方法中的步骤。
对于装置实施例而言,由于其与方法实施例基本相似,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
视联网是网络发展的重要里程碑,是一个实时网络,能够实现高清视频实时传输,将众多互联网应用推向高清视频化,高清面对面。
视联网采用实时高清视频交换技术,可以在一个网络平台上将所需的服务,如高清视频会议、视频监控、智能化监控分析、应急指挥、数字广播电视、延时电视、网络教学、现场直播、VOD点播、电视邮件、个性录制(PVR)、内网(自办)频道、智能化视频播控、信息发布等数十种视频、语音、图片、文字、通讯、数据等服务全部整合在一个系统平台,通过电视或电脑实现高清品质视频播放。
为使本领域技术人员更好地理解本发明实施例,以下对视联网进行介绍:
视联网所应用的部分技术如下所述:
网络技术(Network Technology)
视联网的网络技术创新改良了传统以太网(Ethernet),以面对网络上潜在的巨大视频流量。不同于单纯的网络分组包交换(Packet Switching)或网络电路交换(CircuitSwitching),视联网技术采用Packet Switching满足Streaming需求。视联网技术具备分组交换的灵活、简单和低价,同时具备电路交换的品质和安全保证,实现了全网交换式虚拟电路,以及数据格式的无缝连接。
交换技术(Switching Technology)
视联网采用以太网的异步和包交换两个优点,在全兼容的前提下消除了以太网缺陷,具备全网端到端无缝连接,直通用户终端,直接承载IP数据包。用户数据在全网范围内不需任何格式转换。视联网是以太网的更高级形态,是一个实时交换平台,能够实现目前互联网无法实现的全网大规模高清视频实时传输,将众多网络视频应用推向高清化、统一化。
服务器技术(Server Technology)
视联网和统一视频平台上的服务器技术不同于传统意义上的服务器,它的流媒体传输是建立在面向连接的基础上,其数据处理能力与流量、通讯时间无关,单个网络层就能够包含信令及数据传输。对于语音和视频业务来说,视联网和统一视频平台流媒体处理的复杂度比数据处理简单许多,效率比传统服务器大大提高了百倍以上。
储存器技术(Storage Technology)
统一视频平台的超高速储存器技术为了适应超大容量和超大流量的媒体内容而采用了最先进的实时操作系统,将服务器指令中的节目信息映射到具体的硬盘空间,媒体内容不再经过服务器,瞬间直接送达到用户终端,用户等待一般时间小于0.2秒。最优化的扇区分布大大减少了硬盘磁头寻道的机械运动,资源消耗仅占同等级IP互联网的20%,但产生大于传统硬盘阵列3倍的并发流量,综合效率提升10倍以上。
网络安全技术(Network Security Technology)
视联网的结构性设计通过每次服务单独许可制、设备与用户数据完全隔离等方式从结构上彻底根除了困扰互联网的网络安全问题,一般不需要杀毒程序、防火墙,杜绝了黑客与病毒的攻击,为用户提供结构性的无忧安全网络。
服务创新技术(Service Innovation Technology)
统一视频平台将业务与传输融合在一起,不论是单个用户、私网用户还是一个网络的总合,都不过是一次自动连接。用户终端、机顶盒或PC直接连到统一视频平台,获得丰富多彩的各种形态的多媒体视频服务。统一视频平台采用“菜谱式”配表模式来替代传统的复杂应用编程,可以使用非常少的代码即可实现复杂的应用,实现“无限量”的新业务创新。
视联网的组网如下所述:
视联网是一种集中控制的网络结构,该网络可以是树型网、星型网、环状网等等类型,但在此基础上网络中需要有集中控制节点来控制整个网络。
图7是本申请一实施例示出的一种视联网的组网示意图。如图7所示,视联网分为接入网和城域网两部分。
接入网部分的设备主要可以分为3类:节点服务器,接入交换机,终端(包括各种机顶盒、编码板、存储器等)。节点服务器与接入交换机相连,接入交换机可以与多个终端相连,并可以连接以太网。
其中,节点服务器是接入网中起集中控制功能的节点,可控制接入交换机和终端。节点服务器可直接与接入交换机相连,也可以直接与终端相连。
类似的,城域网部分的设备也可以分为3类:城域服务器,节点交换机,节点服务器。城域服务器与节点交换机相连,节点交换机可以与多个节点服务器相连。
其中,节点服务器即为接入网部分的节点服务器,即节点服务器既属于接入网部分,又属于城域网部分。
城域服务器是城域网中起集中控制功能的节点,可控制节点交换机和节点服务器。城域服务器可直接连接节点交换机,也可直接连接节点服务器。
由此可见,整个视联网络是一种分层集中控制的网络结构,而节点服务器和城域服务器下控制的网络可以是树型、星型、环状等各种结构。
形象地称,接入网部分可以组成统一视频平台(虚线圈中部分),多个统一视频平台可以组成视联网;每个统一视频平台可以通过城域以及广域视联网互联互通。
视联网设备分类
1.1本发明实施例的视联网中的设备主要可以分为3类:服务器,交换机(包括以太网网关),终端(包括各种机顶盒,编码板,存储器等)。视联网整体上可以分为城域网(或者国家网、全球网等)和接入网。
1.2其中接入网部分的设备主要可以分为3类:节点服务器,接入交换机(包括以太网网关),终端(包括各种机顶盒,编码板,存储器等)。
各接入网设备的具体硬件结构为:
节点服务器:
图8是本申请一实施例示出的一种节点服务器的硬件结构示意图。如图8所示,主要包括网络接口模块801、交换引擎模块802、CPU模块803、磁盘阵列模块804;
其中,网络接口模块801,CPU模块803、磁盘阵列模块804进来的包均进入交换引擎模块802;交换引擎模块802对进来的包进行查地址表805的操作,从而获得包的导向信息;并根据包的导向信息把该包存入对应的包缓存器806的队列;如果包缓存器806的队列接近满,则丢弃;交换引擎模802轮询所有包缓存器队列,如果满足以下条件进行转发:1)该端口发送缓存未满;2)该队列包计数器大于零。磁盘阵列模块804主要实现对硬盘的控制,包括对硬盘的初始化、读写等操作;CPU模块803主要负责与接入交换机、终端(图中未示出)之间的协议处理,对地址表805(包括下行协议包地址表、上行协议包地址表、数据包地址表)的配置,以及,对磁盘阵列模块804的配置。
接入交换机:
图9是本申请一实施例示出的一种接入交换机的硬件结构示意图。如图9所示,主要包括网络接口模块(下行网络接口模块901、上行网络接口模块902)、交换引擎模块903和CPU模块904;
其中,下行网络接口模块901进来的包(上行数据)进入包检测模块905;包检测模块905检测包的目地地址(DA)、源地址(SA)、数据包类型及包长度是否符合要求,如果符合,则分配相应的流标识符(stream-id),并进入交换引擎模块903,否则丢弃;上行网络接口模块902进来的包(下行数据)进入交换引擎模块903;CPU模块904进来的数据包进入交换引擎模块903;交换引擎模块903对进来的包进行查地址表906的操作,从而获得包的导向信息;如果进入交换引擎模块903的包是下行网络接口往上行网络接口去的,则结合流标识符(stream-id)把该包存入对应的包缓存器907的队列;如果该包缓存器907的队列接近满,则丢弃;如果进入交换引擎模块903的包不是下行网络接口往上行网络接口去的,则根据包的导向信息,把该数据包存入对应的包缓存器907的队列;如果该包缓存器907的队列接近满,则丢弃。
交换引擎模块903轮询所有包缓存器队列,在本发明实施例中分两种情形:
如果该队列是下行网络接口往上行网络接口去的,则满足以下条件进行转发:1)该端口发送缓存未满;2)该队列包计数器大于零;3)获得码率控制模块产生的令牌;
如果该队列不是下行网络接口往上行网络接口去的,则满足以下条件进行转发:1)该端口发送缓存未满;2)该队列包计数器大于零。
码率控制模块908是由CPU模块904来配置的,在可编程的间隔内对所有下行网络接口往上行网络接口去的包缓存器队列产生令牌,用以控制上行转发的码率。
CPU模块904主要负责与节点服务器之间的协议处理,对地址表906的配置,以及,对码率控制模块908的配置。
以太网协转网关
图10是本申请一实施例示出的一种以太网协转网关的硬件结构示意图。如图10所示,主要包括网络接口模块(下行网络接口模块1001、上行网络接口模块1002)、交换引擎模块1003、CPU模块1004、包检测模块1005、码率控制模块1008、地址表1006、包缓存器1007和MAC添加模块1009、MAC删除模块1010。
其中,下行网络接口模块1001进来的数据包进入包检测模块1005;包检测模块1005检测数据包的以太网MAC DA、以太网MAC SA、以太网length or frame type、视联网目地地址DA、视联网源地址SA、视联网数据包类型及包长度是否符合要求,如果符合则分配相应的流标识符(stream-id);然后,由MAC删除模块1010减去MAC DA、MAC SA、length orframe type(2byte),并进入相应的接收缓存,否则丢弃;
下行网络接口模块1001检测该端口的发送缓存,如果有包则根据包的视联网目地地址DA获知对应的终端的以太网MAC DA,添加终端的以太网MAC DA、以太网协转网关的MACSA、以太网length or frame type,并发送。
以太网协转网关中其他模块的功能与接入交换机类似。
终端:
主要包括网络接口模块、业务处理模块和CPU模块;例如,机顶盒主要包括网络接口模块、视音频编解码引擎模块、CPU模块;编码板主要包括网络接口模块、视音频编码引擎模块、CPU模块;存储器主要包括网络接口模块、CPU模块和磁盘阵列模块。
1.3城域网部分的设备主要可以分为2类:节点服务器,节点交换机,城域服务器。其中,节点交换机主要包括网络接口模块、交换引擎模块和CPU模块;城域服务器主要包括网络接口模块、交换引擎模块和CPU模块构成。
2、视联网数据包定义
2.1接入网数据包定义
接入网的数据包主要包括以下几部分:目的地址(DA)、源地址(SA)、保留字节、payload(PDU)、CRC。
如下表所示,接入网的数据包主要包括以下几部分:
DA SA Reserved Payload CRC
其中:
目的地址(DA)由8个字节(byte)组成,第一个字节表示数据包的类型(例如各种协议包、组播数据包、单播数据包等),最多有256种可能,第二字节到第六字节为城域网地址,第七、第八字节为接入网地址;
源地址(SA)也是由8个字节(byte)组成,定义与目的地址(DA)相同;
保留字节由2个字节组成;
payload部分根据不同的数据报的类型有不同的长度,如果是各种协议包的话是64个字节,如果是单组播数据包话是32+1024=1056个字节,当然并不仅仅限于以上2种;
CRC有4个字节组成,其计算方法遵循标准的以太网CRC算法。
2.2城域网数据包定义
城域网的拓扑是图型,两个设备之间可能有2种、甚至2种以上的连接,即节点交换机和节点服务器、节点交换机和节点交换机、节点交换机和节点服务器之间都可能超过2种连接。但是,城域网设备的城域网地址却是唯一的,为了精确描述城域网设备之间的连接关系,在本发明实施例中引入参数:标签,来唯一描述一个城域网设备。
本说明书中标签的定义和MPLS(Multi-Protocol Label Switch,多协议标签交换)的标签的定义类似,假设设备A和设备B之间有两个连接,那么数据包从设备A到设备B就有2个标签,数据包从设备B到设备A也有2个标签。标签分入标签、出标签,假设数据包进入设备A的标签(入标签)是0x0000,这个数据包离开设备A时的标签(出标签)可能就变成了0x0001。城域网的入网流程是集中控制下的入网过程,也就意味着城域网的地址分配、标签分配都是由城域服务器主导的,节点交换机、节点服务器都是被动的执行而已,这一点与MPLS的标签分配是不同的,MPLS的标签分配是交换机、服务器互相协商的结果。
如下表所示,城域网的数据包主要包括以下几部分:
DA SA Reserved 标签 Payload CRC
即目的地址(DA)、源地址(SA)、保留字节(Reserved)、标签、payload(PDU)、CRC。其中,标签的格式可以参考如下定义:标签是32bit,其中高16bit保留,只用低16bit,它的位置是在数据包的保留字节和payload之间。
基于视联网的上述特性,提出了本发明实施例的核心构思之一,遵循视联网的协议,自治服务器首先确定待隔离视联网终端和待隔离视联网终端与自治服务器之间的通信链路,然后根据待隔离视联网终端的受攻击信息,在通信链路上确定目标微云服务器,并向目标微云服务器发送隔离指令,以使目标微云服务器中断与待隔离视联网终端之间的子通信链路,禁止目标微云服务器与待隔离视联网终端之间进行通信,实现将待隔离视联网终端隔离在指定视联网区域内。
本说明书中的各个实施例均采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似的部分互相参见即可。
本领域内的技术人员应明白,本发明实施例的实施例可提供为方法、装置、或计算机程序产品。因此,本发明实施例可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明实施例可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本发明实施例是参照根据本发明实施例的方法、终端设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理终端设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理终端设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理终端设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理终端设备上,使得在计算机或其他可编程终端设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程终端设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
最后,还需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者终端设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者终端设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者终端设备中还存在另外的相同要素。
以上对本发明所提供的一种网络隔离方法、装置、电子设备及存储介质,进行了详细介绍,本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想;同时,对于本领域的一般技术人员,依据本发明的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本发明的限制。

Claims (10)

1.一种网络隔离方法,其特征在于,应用于视联网中的自治服务器,包括:
确定待隔离视联网终端,以及所述待隔离视联网终端与所述自治服务器之间的通信链路,所述通信链路上部署有至少一个微云服务器;
根据所述待隔离视联网终端的受攻击信息,确定所述通信链路上的目标微云服务器;
向所述目标微云服务器发送隔离指令,以使所述目标微云服务器中断与所述待隔离视联网终端之间的子通信链路。
2.根据权利要求1所述的方法,其特征在于,确定待隔离视联网终端包括:
在接收到视联网终端发送的受攻击信息时,将所述视联网终端确定为待隔离视联网终端;
确定所述待隔离视联网终端与所述自治服务器之间的通信链路,包括:
确定所述待隔离视联网终端的路径地址,所述路径地址包括所述待隔离视联网终端与所述自治服务器之间的微云服务器的信息;
根据所述路径地址确定所述待隔离视联网终端与所述自治服务器之间的通信链路。
3.根据权利要求1所述的方法,其特征在于,所述隔离指令的类型包括:第一隔离指令和第二隔离指令,所述第一隔离指令用于对所有下级设备进行网络隔离,所述第二隔离指令用于中断与所有设备的网络连接;
向所述目标微云服务器发送隔离指令,以使所述目标微云服务器中断与所述待隔离视联网终端之间的子通信链路,包括:
在所述隔离指令为所述第一隔离指令时,向所述目标微云服务器发送所述第一隔离指令,以使所述目标微云服务器按照所述第一隔离指令,关闭连接下级设备的网络的网卡;
在所述隔离指令为所述第二隔离指令时,向所述目标微云服务器发送所述第二隔离指令,以使所述目标微云服务器按照所述第二隔离指令,关闭连接所有设备的网络的网卡。
4.根据权利要求1所述的方法,其特征在于,根据所述待隔离视联网终端的受攻击信息,确定所述通信链路上的目标微云服务器,包括:
对所述受攻击信息进行分析,确定所述待隔离视联网终端的受攻击程度;
根据所述受攻击程度,确定所述待隔离视联网终端的隔离范围;
在所述通信链路上的至少一个微云服务器中,确定与所述隔离范围匹配的目标微云服务器。
5.根据权利要求1所述的方法,其特征在于,根据所述待隔离视联网终端的受攻击信息,确定所述通信链路上的目标微云服务器,包括:
输出所述受攻击信息到显示屏;
在检测到用户响应于所述受攻击信息的输入操作时,根据输入的信息确定所述待隔离视联网终端的隔离范围;
在所述通信链路上的至少一个微云服务器中,确定与所述隔离范围匹配的目标微云服务器。
6.一种网络隔离方法,其特征在于,应用于视联网中的微云服务器,包括:
接收自治服务器发送的隔离指令,所述隔离指令的类型包括:第一隔离指令和第二隔离指令,所述第一隔离指令用于对所有下级设备进行网络隔离,所述第二隔离指令用于中断与所有设备的网络连接;
在所述隔离指令为所述第一隔离指令时,关闭连接下级设备的网络的网卡;
在所述隔离指令为所述第二隔离指令时,关闭连接所有设备的网络的网卡。
7.一种网络隔离装置,其特征在于,应用于视联网中的自治服务器,包括:
第一确定模块,用于确定待隔离视联网终端,以及所述待隔离视联网终端与所述自治服务器之间的通信链路,所述通信链路上部署有至少一个微云服务器;
第二确定模块,用于根据所述待隔离视联网终端的受攻击信息,确定所述通信链路上的目标微云服务器;
发送模块,用于向所述目标微云服务器发送隔离指令,以使所述目标微云服务器中断与所述待隔离视联网终端之间的子通信链路。
8.一种网络隔离装置,其特征在于,应用于视联网中的微云服务器,包括:
接收模块,用于接收自治服务器发送的隔离指令,所述隔离指令的类型包括:第一隔离指令和第二隔离指令,所述第一隔离指令用于对所有下级设备进行网络隔离,所述第二隔离指令用于中断与所有设备的网络连接;
第一关闭模块,用于在所述隔离指令为所述第一隔离指令时,关闭连接下级设备的网络的网卡;
第二关闭模块,用于在所述隔离指令为所述第二隔离指令时,关闭连接所有设备的网络的网卡。
9.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,该程序被处理器执行时实现如权利要求1-5任一所述的网络隔离方法中的步骤。
10.一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行时实现如权利要求1-5任一所述的网络隔离方法中的步骤。
CN202010317766.8A 2020-04-21 2020-04-21 一种网络隔离方法、装置、电子设备及存储介质 Active CN111683040B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010317766.8A CN111683040B (zh) 2020-04-21 2020-04-21 一种网络隔离方法、装置、电子设备及存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010317766.8A CN111683040B (zh) 2020-04-21 2020-04-21 一种网络隔离方法、装置、电子设备及存储介质

Publications (2)

Publication Number Publication Date
CN111683040A true CN111683040A (zh) 2020-09-18
CN111683040B CN111683040B (zh) 2023-07-14

Family

ID=72451698

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010317766.8A Active CN111683040B (zh) 2020-04-21 2020-04-21 一种网络隔离方法、装置、电子设备及存储介质

Country Status (1)

Country Link
CN (1) CN111683040B (zh)

Citations (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102857370A (zh) * 2012-08-14 2013-01-02 华为技术有限公司 一种分配资源的方法及装置
CN105763562A (zh) * 2016-04-15 2016-07-13 全球能源互联网研究院 一种面向电力cps风险评估的电力信息网络脆弱性威胁评估模型建立方法及基于该模型的评估系统
CN105830394A (zh) * 2014-11-27 2016-08-03 华为技术有限公司 虚拟网络策略的配置方法、系统及其虚拟网元和网管系统
CN106411929A (zh) * 2016-11-08 2017-02-15 西安云雀软件有限公司 一种按照终端安全级别,将违规终端置入相应隔离区的方法
US20180091526A1 (en) * 2016-09-23 2018-03-29 Qualcomm Incorporated MITIGATING AN INTERNET OF THINGS (IoT) WORM
CN107948198A (zh) * 2017-12-26 2018-04-20 北京东土科技股份有限公司 一种流媒体安全隔离网闸
CN108063751A (zh) * 2017-10-20 2018-05-22 国网宁夏电力有限公司 一种用于新能源电厂的公网安全接入方法
CN109688159A (zh) * 2019-01-23 2019-04-26 平安科技(深圳)有限公司 网络隔离违规识别方法、服务器及计算机可读存储介质
CN110138633A (zh) * 2019-04-02 2019-08-16 视联动力信息技术股份有限公司 一种存储网关入网方法和装置
CN110225083A (zh) * 2019-05-06 2019-09-10 视联动力信息技术股份有限公司 基于视联网的数据推送方法和装置

Patent Citations (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102857370A (zh) * 2012-08-14 2013-01-02 华为技术有限公司 一种分配资源的方法及装置
CN105830394A (zh) * 2014-11-27 2016-08-03 华为技术有限公司 虚拟网络策略的配置方法、系统及其虚拟网元和网管系统
CN105763562A (zh) * 2016-04-15 2016-07-13 全球能源互联网研究院 一种面向电力cps风险评估的电力信息网络脆弱性威胁评估模型建立方法及基于该模型的评估系统
US20180091526A1 (en) * 2016-09-23 2018-03-29 Qualcomm Incorporated MITIGATING AN INTERNET OF THINGS (IoT) WORM
CN106411929A (zh) * 2016-11-08 2017-02-15 西安云雀软件有限公司 一种按照终端安全级别,将违规终端置入相应隔离区的方法
CN108063751A (zh) * 2017-10-20 2018-05-22 国网宁夏电力有限公司 一种用于新能源电厂的公网安全接入方法
CN107948198A (zh) * 2017-12-26 2018-04-20 北京东土科技股份有限公司 一种流媒体安全隔离网闸
CN109688159A (zh) * 2019-01-23 2019-04-26 平安科技(深圳)有限公司 网络隔离违规识别方法、服务器及计算机可读存储介质
CN110138633A (zh) * 2019-04-02 2019-08-16 视联动力信息技术股份有限公司 一种存储网关入网方法和装置
CN110225083A (zh) * 2019-05-06 2019-09-10 视联动力信息技术股份有限公司 基于视联网的数据推送方法和装置

Also Published As

Publication number Publication date
CN111683040B (zh) 2023-07-14

Similar Documents

Publication Publication Date Title
CN108880926B (zh) 一种服务器监控的方法和装置
CN110138725B (zh) 一种数据交换方法和安全网关
CN109561072B (zh) 一种链路检测方法及系统
CN108965226B (zh) 一种基于视联网的数据获取方法及装置
CN110719258B (zh) 一种服务器访问方法和系统
CN111107060B (zh) 一种登录请求处理方法、服务器、电子设备及存储介质
CN110650147A (zh) 数据获取方法和系统
CN111211982B (zh) 数据转发方法及装置、电子设备、存储介质
CN110493149B (zh) 一种报文处理的方法和装置
CN109586851B (zh) 基于视联网的数据传输方法和装置
CN109769012B (zh) 一种Web服务器的访问方法和装置
CN111510341A (zh) 一种视联网的网络测试方法及装置
CN110392289B (zh) 一种账号的处理方法和系统
CN111478880A (zh) 一种数据处理的方法和装置
CN110690989A (zh) 业务数据传输方法、装置和计算机可读存储介质
CN110445701B (zh) 一种业务对象的处理方法、装置及存储介质
CN111478940B (zh) 一种数据处理的方法和装置
CN110213533B (zh) 一种视联网监控视频流的获取方法及装置
CN110099307B (zh) 一种节点连接方法、视联网及计算机可读存储介质
CN110267110B (zh) 一种基于视联网的并发点播处理方法和系统
CN110572367B (zh) 修改终端名称的方法、系统、服务器、设备及存储介质
CN110493311B (zh) 一种业务处理方法及装置
CN110808896B (zh) 数据传输方法、装置、电子设备及存储介质
CN109587436B (zh) 视联网会议管理平台登录方法和装置
CN113162910A (zh) 一种资源传输方法、装置、电子设备及存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant