CN111786942B - 一种数据安全边界监控方法 - Google Patents
一种数据安全边界监控方法 Download PDFInfo
- Publication number
- CN111786942B CN111786942B CN202010400440.1A CN202010400440A CN111786942B CN 111786942 B CN111786942 B CN 111786942B CN 202010400440 A CN202010400440 A CN 202010400440A CN 111786942 B CN111786942 B CN 111786942B
- Authority
- CN
- China
- Prior art keywords
- file
- data
- client
- executing
- server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0245—Filtering by information in the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及一种智慧燃气数据安全边界监控方法,采用的系统由具有双网口的嵌入式系统组成,可以独立的作为服务器接收由客户端发送的图文数据,同时也可以作为客户端将过滤后的数据包发送给服务器。该系统负责对上传的数据进行过滤分析,从而增强系统安全性。过滤方案主要分为三层过滤,包括IP地址过滤,文件名过滤和内容过滤。其中在用户上传的燃气册本文件和图片文件加入特征信息并在安全边界监控系统中进行识别比对。安全边界监控系统处于服务器和客户端之间,是服务器与客户端之间的一道筛网,在层层过滤下,燃气系统的安全性得到了很大的提升。
Description
技术领域
本发明涉及物联网技术领域,尤其涉及远端燃气抄表系统。
背景技术
近年来,随着无线通信和网络技术日新月异的发展,物联网技术应用到越来越多的领域。同时,随着人工成本的逐年提高,自动抄表技术必将逐步替代人工抄表,智能燃气表将进入千家万户。目前常见的自动抄表方式有无线射频智能燃气表、物联网燃气表、智慧燃气表以及自助抄表等,这些抄表方式都需要将燃气数据上传到远程服务器端。如何确保燃气数据的安全性和燃气供应的稳定性已成为保障社会经济发展的重要问题。虽然云计算服务(如腾讯云、阿里云、华为云等)在很大程度上提高了数据的安全性,但安全漏洞依然存在,这种网络安全防护模式仍然存在很多的风险和漏洞,在设备维护、网络管理等方面仍然存在许多亟待解决的问题。
为从根本上解决燃气信息系统的安全隐患,进一步加强网络安全防护和确保燃气系统网络的安全有效运行,本发明提供一种数据边界安全监控系统方案并验证了其有效性。
发明内容
为克服现有技术存在的不足,本发明之目的在于提供一种数据边界安全监控方法,能在服务器和用户客户端之间形成一道“筛网”,客户端上传的数据必须在这道“筛网”里经过过滤筛选,将符合要求的合格数据包返回给服务器,避免服务器受到攻击,同时也减轻服务器的处理负担,提升燃气系统的安全性。
为达上述目的,本发明采用如下技术方案:
一种数据边界安全监控系统方案,包括以下步骤:
步骤一:客户端发送加密数据包给安全边界监控系统,识别客户端IP地址,若该IP在短时间内发送多次无效数据包给安全边界监控系统,执行步骤六,否则执行步骤二;
步骤二:安全边界监控系统接受数据包并解密;
步骤三:系统进行数据包的特定数据段解密,提取文件名。规定册本文件的命名规则为 1XXXXXX.db,X代表阿拉伯数字,图片文件的命名规则为 XXXXXXXX+XXXXXXXXXXXXXX,形成8位户号和14位时间戳的命名规则。如文件名符合规范的前提下执行步骤四,否则执行步骤六;
步骤四:对数据包内容进行解析;
所述步骤四包括以下步骤:
步骤4.1:解析数据包,判断文件类型是否为DB文件,如是则执行步骤4.3,否则执行步骤4.2;
步骤4.2:判断文件类型是否为JPG文件,如是则执行步骤4.4,否则执行步骤六;
步骤4.3:判断DB文件内容中是否含有由特定算法生成的特征信息,如有则执行步骤4.5,否则执行步骤六;
步骤4.4:判断JPG文件内容中是否含有由特定算法生成的特征信息,如有则执行步骤五,否则执行步骤六;
步骤4.5:判断DB文件中是否含有特征字段名,如有则执行步骤五,否则执行步骤六;
步骤五:安全边界监控系统将收到的数据包上传到服务器,并返回上传成功的反馈信息到客户端;
步骤六:丢弃该数据包,并返回上传失败信息到客户端;
进一步地,所述步骤三和步骤四中,过滤掉数据包的同时记录当前客户端的IP地址及上传次数。
进一步地,所述步骤三中,为提高数据过滤的准确性,需在智能终端抄表器将燃气数据上传给服务器之前,对数据增加特征信息。具体方法是对统册号DB文件和图像文件的文件名进行修改,通过特定算法生成文件名附加信息。
进一步地,所述步骤四中,为保证内容分析的准确性,在智能终端抄表器上传数据前,在文件内容中增加特征信息,该特征信息由特定算法生成,以保证其唯一性。另外,对于统册号DB文件,还要对文件中的特定字段名进行识别和分析,进一步提高识别和过滤的准确性。
进一步地,所述步骤五中,安全边界监控系统采用嵌入式系统,具有输入和输出网口,可以独立作为服务器接收客户端的数据包,也可以作为客户端将数据包发送给服务器,安全边界监控系统具有两个IP地址,一个作为服务器,一个作为客户端。
与现有技术相比,本发明具有如下的优点:
可以对上传的数据进行三个层次的过滤,分别是IP地址过滤,文件名过滤和内容过滤。保证最后返回给服务器的数据包是符合规范的正确数据包,防止无效数据包对服务器攻击,并防止对服务器处理资源的占用,并且通过IP地址过滤防止遭到DDOS攻击。
附图说明
图1为本发明实施例二提供的系统功能的流程图。
具体实施方式
下面将结合示意图对本发明的具体实施方式进行更详细的描述。
实施例一
在本实施例中,一种数据安全边界监控方法,其特征在于,包括以下步骤:
步骤一:客户端发送数据包给安全边界监控系统,识别客户端IP,若该IP在短时间内发送三次及以上无效数据包给安全边界监控系统,执行步骤六,否则执行步骤二;
步骤二:安全边界监控系统接受数据包并解压;
步骤三:系统进行数据包文件名解密,规定册本文件的命名规则为1XXXXXX.db,X代表阿拉伯数字,图片文件的命名规则为XXXXXXXX+XXXXXXXXXXXXXX,形成8位户号和14位时间戳的命名规则,解密后的文件名符合规范的前提下执行步骤四,否则执行步骤六;
步骤四:对数据包内容进行解析;
步骤五:安全边界监控系统将数据包上传至服务器并返回成功的信息到客户端;
步骤六:丢弃数据包,并返回错误/失败信息到客户端。
实施例二
本实施例与实施例一基本相同,特别之处在于:
在本实施例中,如图1所示,本实施方案提供了一种数据边界安全监控方法,包括如下步骤:
步骤S1:首先客户端上传数据到安全边界监控系统,系统进行接收,解析该数据包发送端的IP地址,在短时间内上传次数小于三次时执行下一步骤,大于等于3次时执行步骤S6;
步骤S2:对接收到的数据包进行解压;
可以理解的是,客户端使用的软件将DB文件或JPG文件压缩,便于上传,安全边界监控系统在收到后解压。
步骤S3:对接收的数据包中的文件名进行解密分析,对比解密后的文件名是否符合规定的命名规则,即规定册本文件的命名规则为1XXXXXX.db,X代表阿拉伯数字,图片文件的命名规则为XXXXXXXX+XXXXXXXXXXXXXX,形成8位户号和14位时间戳的命名规则。如果文件名不符合规范,则执行步骤S6;
可以理解的是,为提高数据过滤的准确性,需在智能终端抄表器将燃气数据上传给服务器之前,对数据增加特征信息。具体方法是对统册号DB文件和图像文件的文件名进行修改,通过特定算法生成文件名附加信息。
步骤S4:对数据包内容进行解析,具体包括:
步骤S4.1:解析数据包,判断文件类型是否为DB文件,如是则执行步骤4.3,否则执行步骤4.2;
步骤S4.2:判断文件类型是否为JPG文件,如是则执行步骤4.4,否则执行步骤六;
步骤S4.3:判断DB文件内容中是否含有由特定算法生成的特征信息,如有则执行步骤 4.5,否则执行步骤六;
步骤S4.4:判断JPG文件内容中是否含有由特定算法生成的特征信息,如有则执行步骤五,否则执行步骤六;
步骤S4.5:判断DB文件中是否含有特征字段名,如有则执行步骤五,否则执行步骤六;
可以理解的是,为保证内容分析的准确性,在智能终端抄表器上传数据前,在文件内容中增加特征信息,该特征信息由特定算法生成,以保证其唯一性。另外,对于统册号DB文件,还要对文件中的特定字段名进行识别和分析,进一步提高识别和过滤的准确性。
步骤S5:安全边界监控系统将数据包上传至服务器并返回成功的信息到客户端;
可以理解的是,安全边界监控系统采用嵌入式系统,具有输入和输出网口,可以独立作为服务器接收客户端的数据包,也可以作为客户端将数据包发送给服务器,安全边界监控系统具有两个IP地址,一个作为服务器,一个作为客户端。
步骤S6:丢弃数据包。并返回错误/失败信息到客户端。
本发明数据安全边界监控方法,应用于智慧燃气监测技术领域,系统由具有双网口的嵌入式系统组成,能独立的作为服务器接收由客户端发送的图文数据,同时也能作为客户端将过滤后的数据包发送给服务器。本发明方法黎阳该系统负责对上传的数据进行过滤分析,从而增强系统安全性。过滤方案主要分为三层过滤,包括IP地址过滤,文件名过滤和内容过滤。其中在用户上传的燃气册本文件和图片文件加入特征信息并在安全边界监控系统中进行识别比对。安全边界监控系统处于服务器和客户端之间,是服务器与客户端之间的一道筛网,在层层过滤下,燃气系统的安全性得到了很大的提升。
上面对本发明实施例结合附图进行了说明,但本发明不限于上述实施例,还可以根据本发明的发明创造的目的做出多种变化,凡依据本发明技术方案的精神实质和原理下做的改变、修饰、替代、组合或简化,均应为等效的置换方式,只要符合本发明的发明目的,只要不背离本发明数据边界安全监控方法的技术原理和发明构思,都属于本发明的保护范围。
Claims (5)
1.一种数据安全边界监控方法,其特征在于,包括以下步骤:
步骤一:客户端发送数据包给安全边界监控系统,识别客户端IP,若该IP在短时间内发送三次及以上无效数据包给安全边界监控系统,执行步骤六,否则执行步骤二;
步骤二:安全边界监控系统接受数据包并解压;
步骤三:系统进行数据包文件名解密,规定册本文件的命名规则为1XXXXXX.db,X代表阿拉伯数字,图片文件的命名规则为XXXXXXXX+XXXXXXXXXXXXXX,形成8位户号和14位时间戳的命名规则,解密后的文件名符合规范的前提下执行步骤四,否则执行步骤六;
步骤四:对数据包内容进行解析;
步骤五:安全边界监控系统将数据包上传至服务器并返回成功的信息到客户端;
步骤六:丢弃数据包,并返回错误/失败信息到客户端;
所述步骤四包括以下步骤:
步骤4.1:解析数据包,判断文件类型是否为DB文件,是则执行步骤4.3,否则执行步骤4.2;
步骤4.2:判断文件类型是否为JPG文件,是则执行步骤4.4,否则执行步骤六;
步骤4.3:判断DB文件内容中是否含有由特定算法生成的特征信息,有则执行步骤4.5,否则执行步骤六;
步骤4.4:判断JPG文件内容中是否含有由特定算法生成的特征信息,有则执行步骤五,否则执行步骤六;
步骤4.5:判断DB文件中是否含有特征字段名,有则执行步骤五,否则执行步骤六。
2.根据权利要求1所述数据安全边界监控方法,其特征在于,在所述步骤三和步骤四中,过滤掉数据包的同时记录当前客户端的IP及记录次数。
3.根据权利要求1所述数据安全边界监控方法,其特征在于,在所述步骤三中,为提高数据过滤的准确性,需在智能终端抄表器将燃气数据上传给服务器之前,对数据增加特征信息;具体方法是对统册号DB文件和图像文件的文件名进行修改,通过特定算法生成文件名附加信息。
4.根据权利要求1所述数据安全边界监控方法,其特征在于,所述步骤四中,为保证内容分析的准确性,在智能终端抄表器上传数据前,在文件内容中增加特征信息,该特征信息由特定算法生成,以保证其唯一性;另外,对于统册号DB文件,还要对文件中的特定字段名进行识别和分析,进一步提高识别和过滤的准确性。
5.根据权利要求1所述数据安全边界监控方法,其特征在于,所述步骤五中,安全边界监控系统采用嵌入式系统,具有输入和输出网口,可以独立作为服务器接收客户端的数据包,也可以作为客户端将数据包发送给服务器,安全边界监控系统具有两个IP地址,一个作为服务器,一个作为客户端。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010400440.1A CN111786942B (zh) | 2020-05-13 | 2020-05-13 | 一种数据安全边界监控方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010400440.1A CN111786942B (zh) | 2020-05-13 | 2020-05-13 | 一种数据安全边界监控方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111786942A CN111786942A (zh) | 2020-10-16 |
| CN111786942B true CN111786942B (zh) | 2022-06-14 |
Family
ID=72753212
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010400440.1A Active CN111786942B (zh) | 2020-05-13 | 2020-05-13 | 一种数据安全边界监控方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111786942B (zh) |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1997019A (zh) * | 2006-12-19 | 2007-07-11 | 中兴通讯股份有限公司 | 一种基于ftp传输的消息监控接收方法 |
| CN203206281U (zh) * | 2012-12-21 | 2013-09-18 | 中建材集团进出口公司 | 源代码保护机和源代码保护系统 |
| CN103873463A (zh) * | 2014-02-26 | 2014-06-18 | 北京优炫软件股份有限公司 | 多级过滤防火墙系统及多级过滤方法 |
| WO2015049686A1 (en) * | 2013-10-02 | 2015-04-09 | Dor Gadi | System and method for remote administration of an electronic device |
| CN104683477A (zh) * | 2015-03-18 | 2015-06-03 | 哈尔滨工程大学 | 一种基于smb协议的共享文件操作过滤方法 |
| CN108809899A (zh) * | 2017-05-02 | 2018-11-13 | 四川秘无痕信息安全技术有限责任公司 | 一种针对ftp数据包进行核查的方法 |
| CN109525606A (zh) * | 2019-01-04 | 2019-03-26 | 安徽和信科技发展有限责任公司 | 一种基于企业数据采集的物联网安全接入终端 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107995250A (zh) * | 2016-10-26 | 2018-05-04 | 成都长城开发科技有限公司 | 自动抄表系统及方法 |
-
2020
- 2020-05-13 CN CN202010400440.1A patent/CN111786942B/zh active Active
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1997019A (zh) * | 2006-12-19 | 2007-07-11 | 中兴通讯股份有限公司 | 一种基于ftp传输的消息监控接收方法 |
| CN203206281U (zh) * | 2012-12-21 | 2013-09-18 | 中建材集团进出口公司 | 源代码保护机和源代码保护系统 |
| WO2015049686A1 (en) * | 2013-10-02 | 2015-04-09 | Dor Gadi | System and method for remote administration of an electronic device |
| CN103873463A (zh) * | 2014-02-26 | 2014-06-18 | 北京优炫软件股份有限公司 | 多级过滤防火墙系统及多级过滤方法 |
| CN104683477A (zh) * | 2015-03-18 | 2015-06-03 | 哈尔滨工程大学 | 一种基于smb协议的共享文件操作过滤方法 |
| CN108809899A (zh) * | 2017-05-02 | 2018-11-13 | 四川秘无痕信息安全技术有限责任公司 | 一种针对ftp数据包进行核查的方法 |
| CN109525606A (zh) * | 2019-01-04 | 2019-03-26 | 安徽和信科技发展有限责任公司 | 一种基于企业数据采集的物联网安全接入终端 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN111786942A (zh) | 2020-10-16 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11522893B2 (en) | Virtual private cloud flow log event fingerprinting and aggregation | |
| US20210352090A1 (en) | Network security monitoring method, network security monitoring device, and system | |
| US11218473B2 (en) | Systems and methods for identifying suspicious logins | |
| CN112019574B (zh) | 异常网络数据检测方法、装置、计算机设备和存储介质 | |
| US9760283B2 (en) | Systems and methods for a memory model for sparsely updated statistics | |
| US8806626B2 (en) | Using aggregated DNS information originating from multiple sources to detect anomalous DNS name resolutions | |
| US11388179B2 (en) | Centralized threat intelligence | |
| US10225376B2 (en) | Methods and network nodes for compression and decompression of data packets | |
| CN112468520A (zh) | 一种数据检测方法、装置、设备及可读存储介质 | |
| CN104580496A (zh) | 一种基于临时代理的虚拟机访问系统及服务器 | |
| CN112714093B (zh) | 一种账号异常检测方法、装置、系统及存储介质 | |
| US9374244B1 (en) | Remote browsing session management | |
| CN105138709B (zh) | 一种基于物理内存分析的远程取证系统 | |
| CN104348811A (zh) | 分布式拒绝服务攻击检测方法及装置 | |
| CN112311789A (zh) | 深度报文处理方法、装置、电子设备及存储介质 | |
| US10192262B2 (en) | System for periodically updating backings for resource requests | |
| CN107992771A (zh) | 一种数据脱敏方法和装置 | |
| CN104702564A (zh) | 一种网络共享用户识别方法及装置 | |
| US7907543B2 (en) | Apparatus and method for classifying network packet data | |
| CN111181955B (zh) | 一种基于标记的会话控制方法、设备和存储介质 | |
| US20170024187A1 (en) | Automated approval | |
| CN114401097A (zh) | 一种基于ssl证书指纹的https业务流量识别的方法 | |
| CN111786942B (zh) | 一种数据安全边界监控方法 | |
| CN110545230A (zh) | 用于转发vxlan报文的方法和装置 | |
| WO2021174879A1 (zh) | Ai视频通话质量分析方法、装置、计算机设备及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |