CN111935146A - 一种网络通讯安全防护系统及其防护方法 - Google Patents
一种网络通讯安全防护系统及其防护方法 Download PDFInfo
- Publication number
- CN111935146A CN111935146A CN202010798239.3A CN202010798239A CN111935146A CN 111935146 A CN111935146 A CN 111935146A CN 202010798239 A CN202010798239 A CN 202010798239A CN 111935146 A CN111935146 A CN 111935146A
- Authority
- CN
- China
- Prior art keywords
- data packet
- verification
- white list
- data
- primary screening
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0245—Filtering by information in the payload
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/90—Details of database functions independent of the retrieved data types
- G06F16/903—Querying
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
Abstract
本发明公开了一种网络通讯安全防护系统,包括数据包初筛模块,根据数据库中的白名单对数据包进行过滤初筛;数据包校验模块,对经过数据包初筛模块过滤初筛得到的数据包进行校验;白名单更新模块,用于根据校验结果对数据库中的白名单进行更新。本发明能够改进现有技术的不足,在保证防护有效性的同时降低数据丢包率。
Description
技术领域
本发明涉及网络安全技术领域,尤其是一种网络通讯安全防护系统及其防护方法。
背景技术
随着互联网技术的发展,网络通讯已深入到社会的各个领域,与人民的生活和工作息息相关。而随之而来的网络通讯安全问题则日益凸显。为了保护网络通讯的安全有效,现有技术中使用了多种方法进行监控和防护。但是,现有技术手段在实现有效防护的同时,普遍存在数据丢包率高的问题,造成网络通讯延时明显。
发明内容
本发明要解决的技术问题是提供一种网络通讯安全防护系统及其防护方法,能够解决现有技术的不足,在保证防护有效性的同时降低数据丢包率。
为解决上述技术问题,本发明所采取的技术方案如下。
一种网络通讯安全防护系统,包括,
数据包初筛模块,根据数据库中的白名单对数据包进行过滤初筛;
数据包校验模块,对经过数据包初筛模块过滤初筛得到的数据包进行校验;
白名单更新模块,用于根据校验结果对数据库中的白名单进行更新。
一种上述的网络通讯安全防护系统的防护方法,包括以下步骤:
A、数据包初筛模块根据数据库中的白名单对数据包进行过滤初筛;
B、数据包校验模块对经过数据包初筛模块过滤初筛得到的数据包进行校验;
C、白名单更新模块根据校验结果对数据库中的白名单进行更新。
作为优选,步骤B中,对数据包进行校验包括以下步骤,
B1、判断数据包的MAC地址和IP地址是否正确,若不正确则结束步骤B并删除此数据包,若正确则转至步骤B2;
B2、使用数据包的MAC地址和IP地址生成校验签名,使用校验签名对数据包进行校验,若校验正确则结束步骤B,若校验错误则转至步骤B3;
B3、使用至少两个不同的执行指令集对进行步骤B2中校验出现错误的数据包进行虚拟运算,若运算结果随机出现的报错信息数量超过预设阈值,则删除上述数据包,否则保留上述数据包。
作为优选,步骤B2中,在生成校验签名的同时生成校验公钥,在校验前使用待校验的数据包生成校验私钥;在校验时分别使用校验公钥和校验私钥对数据包进行加密处理,若加密处理后的结果存在线性的转化函数,则校验正确,否则校验错误。
作为优选,步骤B3中,每次进行虚拟运算前,至少更新一个执行指令集。
作为优选,步骤C中,将通过步骤B校验的数据包的MAC地址和IP地址补入白名单中;同时,将白名单分为两个优先级,白名单的原始数据为高优先级,补入的地址数据为低优先级,在进行过滤初筛时首选使用高优先级的原始数据进行处理,然后将不符合初筛条件的数据包使用低优先级的地址数据进行二次处理。
采用上述技术方案所带来的有益效果在于:本发明在使用传统的白名单进行过滤初筛的基础上,为了解决有效数据丢包的问题,扩大白名单的范围,与此同时为了避免扩大范围带来的防护效果下降的问题,本发明专门设计了三级校验过程。首先使用MAC地址和IP地址进行直接校验,用来快速筛选;然后利用MAC地址和IP地址生成签名,并通过判断加密结果之间的转化关系对数据包进行第二级校验,避免了加密校验过程的大数据量运算;随后对于少量的剩余数据包进行虚拟运算,对其安全性进行最终鉴别。整个过程严格控制了运算量,执行效率高。最后,通过校验结果对白名单进行分级更新,可以有效提高白名单的筛选效率。
附图说明
图1是本发明一个具体实施方式的原理图。
具体实施方式
参照图1,本发明的一个具体实施方式包括,
数据包初筛模块1,根据数据库中的白名单对数据包进行过滤初筛;
数据包校验模块2,对经过数据包初筛模块1过滤初筛得到的数据包进行校验;
白名单更新模块3,用于根据校验结果对数据库中的白名单进行更新。
一种上述的网络通讯安全防护系统的防护方法,包括以下步骤:
A、数据包初筛模块1根据数据库中的白名单对数据包进行过滤初筛;
B、数据包校验模块2对经过数据包初筛模块1过滤初筛得到的数据包进行校验;
C、白名单更新模块3根据校验结果对数据库中的白名单进行更新。
步骤B中,对数据包进行校验包括以下步骤,
B1、判断数据包的MAC地址和IP地址是否正确,若不正确则结束步骤B并删除此数据包,若正确则转至步骤B2;
B2、使用数据包的MAC地址和IP地址生成校验签名,使用校验签名对数据包进行校验,若校验正确则结束步骤B,若校验错误则转至步骤B3;
B3、使用至少两个不同的执行指令集对进行步骤B2中校验出现错误的数据包进行虚拟运算,若运算结果随机出现的报错信息数量超过预设阈值,则删除上述数据包,否则保留上述数据包。
步骤B2中,在生成校验签名的同时生成校验公钥,在校验前使用待校验的数据包生成校验私钥;在校验时分别使用校验公钥和校验私钥对数据包进行加密处理,若加密处理后的结果存在线性的转化函数,则校验正确,否则校验错误。
步骤B3中,每次进行虚拟运算前,至少更新一个执行指令集。
步骤C中,将通过步骤B校验的数据包的MAC地址和IP地址补入白名单中;同时,将白名单分为两个优先级,白名单的原始数据为高优先级,补入的地址数据为低优先级,在进行过滤初筛时首选使用高优先级的原始数据进行处理,然后将不符合初筛条件的数据包使用低优先级的地址数据进行二次处理。
根据白名单数据的命中概率,对高低优先级数据进行动态调整,保证高优先级数据的命中概率不低于低优先级数据,且高优先级数据与低优先级数据之间保持3%~5%的重复率。通过上述对白名单数据的优化,可以进一步提高白名单对数据初筛的准确度,降低后续运算量。
在本发明的描述中,需要理解的是,术语“纵向”、“横向”、“上”、“下”、“前”、“后”、“左”、“右”、“竖直”、“水平”、“顶”、“底”、“内”、“外”等指示的方位或位置关系为基于附图所示的方位或位置关系,仅是为了便于描述本发明,而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作,因此不能理解为对本发明的限制。
以上显示和描述了本发明的基本原理和主要特征和本发明的优点。本行业的技术人员应该了解,本发明不受上述实施例的限制,上述实施例和说明书中描述的只是说明本发明的原理,在不脱离本发明精神和范围的前提下,本发明还会有各种变化和改进,这些变化和改进都落入要求保护的本发明范围内。本发明要求保护范围由所附的权利要求书及其等效物界定。
Claims (6)
1.一种网络通讯安全防护系统,其特征在于:包括,
数据包初筛模块(1),根据数据库中的白名单对数据包进行过滤初筛;
数据包校验模块(2),对经过数据包初筛模块(1)过滤初筛得到的数据包进行校验;
白名单更新模块(3),用于根据校验结果对数据库中的白名单进行更新。
2.一种权利要求1所述的网络通讯安全防护系统的防护方法,其特征在于包括以下步骤:
A、数据包初筛模块(1)根据数据库中的白名单对数据包进行过滤初筛;
B、数据包校验模块(2)对经过数据包初筛模块(1)过滤初筛得到的数据包进行校验;
C、白名单更新模块(3)根据校验结果对数据库中的白名单进行更新。
3.根据权利要求2所述的网络通讯安全防护系统的防护方法,其特征在于:步骤B中,对数据包进行校验包括以下步骤,
B1、判断数据包的MAC地址和IP地址是否正确,若不正确则结束步骤B并删除此数据包,若正确则转至步骤B2;
B2、使用数据包的MAC地址和IP地址生成校验签名,使用校验签名对数据包进行校验,若校验正确则结束步骤B,若校验错误则转至步骤B3;
B3、使用至少两个不同的执行指令集对进行步骤B2中校验出现错误的数据包进行虚拟运算,若运算结果随机出现的报错信息数量超过预设阈值,则删除上述数据包,否则保留上述数据包。
4.根据权利要求3所述的网络通讯安全防护系统的防护方法,其特征在于:步骤B2中,在生成校验签名的同时生成校验公钥,在校验前使用待校验的数据包生成校验私钥;在校验时分别使用校验公钥和校验私钥对数据包进行加密处理,若加密处理后的结果存在线性的转化函数,则校验正确,否则校验错误。
5.根据权利要求4所述的网络通讯安全防护系统的防护方法,其特征在于:步骤B3中,每次进行虚拟运算前,至少更新一个执行指令集。
6.根据权利要求5所述的网络通讯安全防护系统的防护方法,其特征在于:步骤C中,将通过步骤B校验的数据包的MAC地址和IP地址补入白名单中;同时,将白名单分为两个优先级,白名单的原始数据为高优先级,补入的地址数据为低优先级,在进行过滤初筛时首选使用高优先级的原始数据进行处理,然后将不符合初筛条件的数据包使用低优先级的地址数据进行二次处理。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010798239.3A CN111935146B (zh) | 2020-08-11 | 2020-08-11 | 一种网络通讯安全防护系统及其防护方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010798239.3A CN111935146B (zh) | 2020-08-11 | 2020-08-11 | 一种网络通讯安全防护系统及其防护方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN111935146A true CN111935146A (zh) | 2020-11-13 |
CN111935146B CN111935146B (zh) | 2022-08-26 |
Family
ID=73308155
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202010798239.3A Active CN111935146B (zh) | 2020-08-11 | 2020-08-11 | 一种网络通讯安全防护系统及其防护方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN111935146B (zh) |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102694815A (zh) * | 2012-06-04 | 2012-09-26 | 浙江中控技术股份有限公司 | 一种安全防护方法、控制单元及工业控制系统 |
CN105681907A (zh) * | 2015-12-30 | 2016-06-15 | 中电长城网际系统应用有限公司 | 一种信息校验系统及其方法 |
CN110138725A (zh) * | 2019-03-26 | 2019-08-16 | 视联动力信息技术股份有限公司 | 一种数据交换方法和安全网关 |
CN110505046A (zh) * | 2019-07-29 | 2019-11-26 | 深圳壹账通智能科技有限公司 | 多数据提供方加密数据跨平台零知识校验方法、装置及介质 |
-
2020
- 2020-08-11 CN CN202010798239.3A patent/CN111935146B/zh active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102694815A (zh) * | 2012-06-04 | 2012-09-26 | 浙江中控技术股份有限公司 | 一种安全防护方法、控制单元及工业控制系统 |
CN105681907A (zh) * | 2015-12-30 | 2016-06-15 | 中电长城网际系统应用有限公司 | 一种信息校验系统及其方法 |
CN110138725A (zh) * | 2019-03-26 | 2019-08-16 | 视联动力信息技术股份有限公司 | 一种数据交换方法和安全网关 |
CN110505046A (zh) * | 2019-07-29 | 2019-11-26 | 深圳壹账通智能科技有限公司 | 多数据提供方加密数据跨平台零知识校验方法、装置及介质 |
Also Published As
Publication number | Publication date |
---|---|
CN111935146B (zh) | 2022-08-26 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN110213226B (zh) | 基于风险全要素辨识关联的网络攻击场景重建方法及系统 | |
CN110831004B (zh) | 适用于车联网的节点身份认证方法及系统 | |
CN108737336A (zh) | 基于区块链的威胁行为处理方法及装置、设备及存储介质 | |
WO2021253899A1 (zh) | 针对性攻击检测方法及其装置和计算机可读存储介质 | |
CN110071917A (zh) | 用户口令检测方法、设备、装置及存储介质 | |
CN110266650A (zh) | Conpot工控蜜罐的识别方法 | |
CN102065003A (zh) | 实现车载信息系统可信安全路由的方法、系统和设备 | |
US20170289180A1 (en) | Filtering of metadata signatures | |
CN112422513A (zh) | 一种基于网络流量报文的异常检测和攻击发起者分析系统 | |
CN106487790A (zh) | 一种ack flood攻击的清洗方法及系统 | |
CN111935146B (zh) | 一种网络通讯安全防护系统及其防护方法 | |
CN110933032A (zh) | 一种ssh路径追踪方法、系统及介质 | |
CN112015111A (zh) | 基于主动免疫机理的工业控制设备安全防护系统和方法 | |
CN101030897A (zh) | 一种入侵检测中模式匹配的方法和装置 | |
CN108075895A (zh) | 一种基于区块链的节点许可方法和系统 | |
US8964748B2 (en) | Methods, systems, and computer readable media for performing flow compilation packet processing | |
CN112511523A (zh) | 一种基于访问控制的网络安全控制方法 | |
CN112003813A (zh) | 一种工业控制系统威胁态势感知方法 | |
CN116248381A (zh) | 一种告警聚合方法、装置、电子设备及存储介质 | |
CN111478878B (zh) | 一种防攻击方法及装置 | |
CN104486082A (zh) | 认证方法和路由器 | |
CN112398861B (zh) | web组态化系统中敏感数据的加密系统及方法 | |
CN103746991B (zh) | 云计算网络中的安全事件分析方法及系统 | |
CN108075977A (zh) | 网络系统控制方法及网络系统 | |
CN114006729B (zh) | 一种低压电力线载波通信可信接入管理方法及系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant | ||
TR01 | Transfer of patent right | ||
TR01 | Transfer of patent right |
Effective date of registration: 20230619 Address after: No. 10, Anzhong Road, Industrial Park, Anci District, Langfang City, Hebei Province 065000 Patentee after: Hebei Huanyu Power Telecommunications engineering Co.,Ltd. Address before: 065000 Langfang City, Hebei province Guangyang District Edmonton East Road No. 133 Patentee before: NORTH CHINA INSTITUTE OF AEROSPACE ENGINEERING |