CN112217770A - 一种安全检测方法、装置、计算机设备及存储介质 - Google Patents
一种安全检测方法、装置、计算机设备及存储介质 Download PDFInfo
- Publication number
- CN112217770A CN112217770A CN201910625611.8A CN201910625611A CN112217770A CN 112217770 A CN112217770 A CN 112217770A CN 201910625611 A CN201910625611 A CN 201910625611A CN 112217770 A CN112217770 A CN 112217770A
- Authority
- CN
- China
- Prior art keywords
- node
- security
- transmission path
- detection information
- security policy
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 189
- 230000005540 biological transmission Effects 0.000 claims abstract description 108
- 238000000034 method Methods 0.000 claims abstract description 25
- 238000004590 computer program Methods 0.000 claims description 7
- 238000007726 management method Methods 0.000 description 8
- 238000010586 diagram Methods 0.000 description 6
- 230000004888 barrier function Effects 0.000 description 3
- 238000001914 filtration Methods 0.000 description 3
- 238000002347 injection Methods 0.000 description 3
- 239000007924 injection Substances 0.000 description 3
- 101001094649 Homo sapiens Popeye domain-containing protein 3 Proteins 0.000 description 2
- 101000608234 Homo sapiens Pyrin domain-containing protein 5 Proteins 0.000 description 2
- 101000578693 Homo sapiens Target of rapamycin complex subunit LST8 Proteins 0.000 description 2
- 102100027802 Target of rapamycin complex subunit LST8 Human genes 0.000 description 2
- 241000700605 Viruses Species 0.000 description 2
- 230000002155 anti-virotic effect Effects 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- ZXQYGBMAQZUVMI-GCMPRSNUSA-N gamma-cyhalothrin Chemical compound CC1(C)[C@@H](\C=C(/Cl)C(F)(F)F)[C@H]1C(=O)O[C@H](C#N)C1=CC=CC(OC=2C=CC=CC=2)=C1 ZXQYGBMAQZUVMI-GCMPRSNUSA-N 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 230000003068 static effect Effects 0.000 description 2
- 230000007774 longterm Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 239000000243 solution Substances 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/12—Shortest path evaluation
- H04L45/122—Shortest path evaluation by minimising distances, e.g. by selecting a route with minimum of number of hops
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种安全检测方法、装置、计算机设备及存储介质,所述方法包括:接收业务访问请求;其中,所述业务访问请求包括:访问节点、被访问节点和安全检测信息;确定出由所述访问节点至所述被访问节点的传输路径;根据所述安全检测信息为所述传输路径中的一个或多个节点生成对应的安全策略;其中,安全策略包括:一个或多个安全检测项;将生成的安全策略发送至对应的节点,以供节点根据安全策略中的安全检测项对业务传输数据进行安全检测;本发明能够减少SD‑WAN系统中数据噪音,同时降低SD‑WAN系统中企业业务服务器被攻击的风险。
Description
技术领域
本发明涉及互联网技术领域,特别涉及一种安全检测方法、装置、计算机设备及存储介质。
背景技术
SD-WAN,即软件定义的广域网络,是将SDN技术应用到广域网场景中所形成的一种服务,这种服务用于连接广阔地理范围的企业网络、数据中心、互联网应用及云服务。例如,如图1所示,为某公司的SD-WAN系统结构示意图,该公司的总部在北京,且在全国另有四个分支机构,此外,该公司的部分业务被迁移到了公有云中,通过为该公司搭建SD-WAN系统,可以实现中心节点和各分支节点对业务服务节点的访问。由于SD-WAN系统通常作为企业的专用网络使用,所以会默认已加入SD-WAN系统的节点均是安全的,当在SD-WAN系统中传输业务数据时不会进行安全检测;但是,SD-WAN系统中的各个节点会在长期使用过程中出现安全隐患;因此,为了保护企业的业务数据在SD-WAN系统中的传输安全性,亟需一种应用于SD-WAN系统的安全检测方式。
发明内容
本发明的目的在于提供一种安全检测方法、装置、计算机设备及存储介质,能够减少SD-WAN系统中数据噪音,同时降低SD-WAN系统中企业业务服务器被攻击的风险。
根据本发明的一个方面,提供了一种安全检测方法,所述方法包括:
接收业务访问请求;其中,所述业务访问请求包括:访问节点、被访问节点和安全检测信息;
确定出由所述访问节点至所述被访问节点的传输路径;
根据所述安全检测信息为所述传输路径中的一个或多个节点生成对应的安全策略;其中,安全策略包括:一个或多个安全检测项;
将生成的安全策略发送至对应的节点,以供节点根据安全策略中的安全检测项对业务传输数据进行安全检测。
可选的,在所述确定出由所述访问节点至所述被访问节点的传输路径之后,所述方法还包括:
分别为所述传输路径中的每个节点生成对应的路由策略;其中,路由策略包括:下个节点的地址信息;
将生成的路由策略发送至对应的节点,以供节点在安全检测通过的情况下按照路由策略将业务传输数据发送至下个节点。
可选的,所述确定出由所述访问节点至所述被访问节点的传输路径,具体包括:
根据任意两个节点之间的跳数,确定出由所述访问节点至所述被访问节点所需要的最小跳数所对应的传输路径。
可选的,所述根据所述安全检测信息为所述传输路径中的一个或多个节点生成对应的安全策略,具体包括:
判断在所述安全检测信息中是否包含反间谍软件检测信息,若是,则根据所述反间谍软件检测信息为第一节点生成反间谍软件安全策略;其中,所述第一节点是所述访问节点在所述传输路径中的下个节点;
所述将生成的安全策略发送至对应的节点,具体包括:
将所述反间谍软件安全策略发送至所述第一节点。
可选的,所述根据所述安全检测信息为所述传输路径中的一个或多个节点生成对应的安全策略,具体包括:
判断在所述安全检测信息中是否包含漏洞检测信息,若是,则根据所述漏洞检测信息为第二节点生成漏洞安全策略;其中,所述第二节点是所述被访问节点在所述传输路径中的上个节点;
所述将生成的安全策略发送至对应的节点,具体包括:
将所述漏洞安全策略发送至所述第二节点。
可选的,所述根据所述安全检测信息为所述传输路径中的一个或多个节点生成对应的安全策略,具体包括:
判断在所述安全检测信息中是否包含基础检测信息,若是,则根据所述基础检测信息为所述传输路径中的所有节点生成基础安全策略;
所述将生成的安全策略发送至对应的节点,具体包括:
将所述基础安全策略分别发送至所述传输路径中的各个节点。
为了实现上述目的,本发明还提供一种安全检测装置,所述装置包括:
接收模块,用于接收业务访问请求;其中,所述业务访问请求包括:访问节点、被访问节点和安全检测信息;
确定模块,用于确定出由所述访问节点至所述被访问节点的传输路径;
生成模块,用于根据所述安全检测信息为所述传输路径中的一个或多个节点生成对应的安全策略;其中,安全策略包括:一个或多个安全检测项;
发送模块,用于将生成的安全策略发送至对应的节点,以供节点根据安全策略中的安全检测项对业务传输数据进行安全检测。
可选的,所述生成模块还用于:分别为所述传输路径中的每个节点生成对应的路由策略;其中,路由策略包括:下个节点的地址信息;
所述发送模块还用于:将生成的路由策略发送至对应的节点,以供节点在安全检测通过的情况下按照路由策略将业务传输数据发送至下个节点。
为了实现上述目的,本发明还提供一种计算机设备,该计算机设备具体包括:存储器、处理器以及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现上述介绍的安全检测方法的步骤。
为了实现上述目的,本发明还提供一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现上述介绍的安全检测方法的步骤。
本发明提供的安全检测方法、装置、计算机设备及存储介质,当在SD-WAN系统中确定出传输路径之后,默认所述传输路径中的每个节点对业务传输数据均是拒绝的,根据业务访问请求中的安全测试信息为所述传输路径中的节点设置安全策略和路由策略,以供所述传输路径中的节点根据安全策略对业务传输数据进行安全检测,只有在安全检测通过之后才会根据路由策略将业务传输数据发送至下一节点。在本发明中采用了就近安全检测策略,为访问节点的下一节点设置反间谍软件安全策略,以尽早发现和处理安全问题;此外,在本发明中还通过在被访问节点的上个节点设置漏洞安全策略以守住安全底线,构建安全防护的最后一道屏障,从而降低SD-WAN系统中企业业务服务器被攻击的风险。
附图说明
通过阅读下文优选实施方式的详细描述,各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的,而并不认为是对本发明的限制。而且在整个附图中,用相同的参考符号表示相同的部件。在附图中:
图1为某公司的SD-WAN系统结构示意图;
图2为实施例一提供的安全检测方法的一种可选的流程示意图;
图3为实施例二提供的安全检测装置的一种可选的组成结构示意图;
图4为实施例三提供的计算机设备的一种可选的硬件架构示意图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅用以解释本发明,并不用于限定本发明。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
实施例一
本发明实施例提供了一种安全检测方法,应用于SD-WAN系统中的管控平台,如图2所示,该方法具体包括以下步骤:
步骤S201:接收业务访问请求;其中,所述业务访问请求包括:访问节点、被访问节点和安全检测信息。
其中,所述访问节点和所述被访问节点均为已加入SD-WAN系统的节点。
具体的,所述安全检测信息至少包括以下之一:反间谍软件检测信息、漏洞检测信息和基础检测信息;所述反间谍软件检测信息包含多个用于检测节点是否被间谍攻击的安全检测项,例如:木马后门、僵尸网络;所述漏洞检测信息包含多个用于检测节点是否存在安全漏洞的安全检测项,例如:针对邮箱的POP3协议和SMTP协议的病毒扫描、拒绝服务攻击、SQL注入、WEB攻击防护;所述基础检测信息包含以下安全检测项:URL过滤和反病毒。
在本实施例中,用户可以在业务访问请求中设置不同类型的安全检测信息,并可以在每个类型的安全检测信息中设置指定种类的安全检测项;例如,一个业务访问请求的安全检测信息包括:漏洞检测信息和基础检测信息,且在漏洞检测信息中设置有SQL注入和WEB攻击防护、在基础检测信息中设置有URL过滤。
步骤S202:确定出由所述访问节点至所述被访问节点的传输路径。
具体的,步骤S202,包括:
根据任意两个节点之间的跳数,确定出由所述访问节点至所述被访问节点所需要的最小跳数所对应的传输路径。
上述仅以跳数为路径选择的参数进行路径规划,但在实际应用中,还可以基于网络时延、可用带宽、丢包率等参数,以及利用WKSP算法计算出最短路径,从而得到由访问节点至被访问节点的传输路径。
例如,以图1所示的某公司的SD-WAN系统结构示意图为例,当访问节点为隶属于哈尔滨分支节点下的客户终端设备、被访问节点为邮箱服务器时,管控平台确定出的传输路径依次包含以下节点:客户终端设备(访问节点)、哈尔滨分支节点、北京中心节点、上海云中心节点、邮箱服务器(被访问节点)。
步骤S203:根据所述安全检测信息为所述传输路径中的一个或多个节点生成对应的安全策略;其中,安全策略包括:一个或多个安全检测项。
具体的,步骤S203,包括:
判断在所述安全检测信息中是否包含反间谍软件检测信息,若是,则根据所述反间谍软件检测信息为第一节点生成反间谍软件安全策略;其中,所述第一节点是所述访问节点在所述传输路径中的下个节点;和/或,
判断在所述安全检测信息中是否包含漏洞检测信息,若是,则根据所述漏洞检测信息为第二节点生成漏洞安全策略;其中,所述第二节点是所述被访问节点在所述传输路径中的上个节点;和/或,
判断在所述安全检测信息中是否包含基础检测信息,若是,则根据所述基础检测信息为所述传输路径中的所有节点生成基础安全策略。
步骤S204:将生成的安全策略发送至对应的节点,以供节点根据安全策略中的安全检测项对业务传输数据进行安全检测。
具体的,步骤S204,包括:
将所述反间谍软件安全策略发送至所述第一节点;和/或,
将所述漏洞安全策略发送至所述第二节点;和/或,
将所述基础安全策略分别发送至所述传输路径中的各个节点。
在本实施例中,当所述管控平台判断出在所述安全检测信息中包含基础检测信息时,所述传输路径中的各个节点均需要对业务传输数据进行安全检测;所述管控平台会基于所述基础检测信息按照预设策略模板生成基础安全策略,且在所述基础安全策略中包含一个或多个安全检测项;所述管控平台将所述安全策略分别发送至所述传输路径中的各个节点,以供节点根据所述基础安全策略中所包含的安全检测项从预设的检测规则库中获取对应的检测规则,以通过执行各个检测规则实现对业务传输数据的安全检测。
当所述管控平台判断出在所述安全检测信息中包含反间谍软件检测信息时,仅需要所述访问节点在所述传输路径中的下个节点(即,第一节点)对业务传输数据进行针对性的安全检测;所述管控平台会基于所述反间谍软件检测信息按照预设策略模板生成反间谍软件安全策略,且在所述反间谍软件安全策略中包含一个或多个安全检测项;所述管控平台将所述反间谍软件安全策略发送至所述第一节点,以供所述第一节点根据所述反间谍软件安全策略中所包含的安全检测项从预设的检测规则库中获取对应的检测规则,以通过执行各个检测规则实现对业务传输数据的安全检测。例如,以图1所示的某公司的SD-WAN系统结构示意图为例,当访问节点为隶属于哈尔滨分支节点下的客户终端设备、被访问节点为邮箱服务器时,由于业务传输数据会先达到哈尔滨分支,所以需要为哈尔滨分支点生成反间谍软件安全策略,以尽早发现安全隐患并处理安全问题。
当所述管控平台判断出在所述安全检测信息中包含漏洞检测信息时,仅需要所述被访问节点在所述传输路径中的上个节点(即,第二节点)对业务传输数据进行针对性的安全检测;所述管控平台会基于所述漏洞检测信息按照预设策略模板生成漏洞安全策略,且在所述漏洞安全策略中包含一个或多个安全检测项;所述管控平台将所述漏洞安全策略发送至所述第二节点,以供所述第二节点根据所述漏洞安全策略中所包含的安全检测项从预设的检测规则库中获取对应的检测规则,以通过执行各个检测规则实现对业务传输数据的安全检测。例如,以图1所示的某公司的SD-WAN系统结构示意图为例,当访问节点为隶属于哈尔滨分支节点下的客户终端设备、被访问节点为邮箱服务器时,由于业务传输数据最终会经过上海云中心到达邮箱服务器,因此,上海云中心是邮箱服务器的最后一道屏障,所以需要为上海云中心生成漏洞安全策略,以守住最后的安全底线。
进一步的,在所述确定出由所述访问节点至所述被访问节点的传输路径之后,所述方法还包括:
分别为所述传输路径中的每个节点生成对应的路由策略;其中,路由策略包括:下个节点的地址信息;
将生成的路由策略发送至对应的节点,以供节点在安全检测通过的情况下按照路由策略将业务传输数据发送至下个节点。
在本实施例中,在所述传输路径中的节点接收到由所述管控平台发送来的安全策略的情况下,当接收到业务传输数据时,先根据所述安全策略中的安全检测项依次对所述业务传输数据进行安全检测,只有在所有安全检测均通过的情况下才按照所述路由策略将所述业务传输数据发送至下个节点,否则执行预设的报警操作。
综上,当在SD-WAN系统中确定出传输路径之后,默认所述传输路径中的每个节点对业务传输数据均是拒绝的,根据业务访问请求中的安全测试信息为所述传输路径中的节点设置安全策略和路由策略,以供所述传输路径中的节点根据安全策略对业务传输数据进行安全检测,只有在安全检测通过之后才会根据路由策略将业务传输数据发送至下一节点。在本发明中采用了就近安全检测策略,为访问节点的下一节点设置反间谍软件安全策略,以尽早发现和处理安全问题;此外,在本发明中还通过在被访问节点的上个节点设置漏洞安全策略以守住安全底线,构建安全防护的最后一道屏障,从而降低SD-WAN系统中企业业务服务器被攻击的风险。
实施例二
本发明实施例提供了一种安全检测装置,应用于SD-WAN系统中的管控平台,如图3所示,该装置具体包括以下组成部分:
接收模块301,用于接收业务访问请求;其中,所述业务访问请求包括:访问节点、被访问节点和安全检测信息;
确定模块302,用于确定出由所述访问节点至所述被访问节点的传输路径;
生成模块303,用于根据所述安全检测信息为所述传输路径中的一个或多个节点生成对应的安全策略;其中,安全策略包括:一个或多个安全检测项;
发送模块304,用于将生成的安全策略发送至对应的节点,以供节点根据安全策略中的安全检测项对业务传输数据进行安全检测。
其中,所述访问节点和所述被访问节点均为已加入SD-WAN系统的节点。
所述安全检测信息至少包括以下之一:反间谍软件检测信息、漏洞检测信息和基础检测信息;所述反间谍软件检测信息包含多个用于检测节点是否被间谍攻击的安全检测项,例如:木马后门、僵尸网络;所述漏洞检测信息包含多个用于检测节点是否存在安全漏洞的安全检测项,例如:针对邮箱的POP3协议和SMTP协议的病毒扫描、拒绝服务攻击、SQL注入、WEB攻击防护;所述基础检测信息包含以下安全检测项:URL过滤和反病毒。
具体的,确定模块302,用于:
根据任意两个节点之间的跳数,确定出由所述访问节点至所述被访问节点所需要的最小跳数所对应的传输路径。
在本实施例中,确定模块302仅以跳数为路径选择的参数进行路径规划,但在实际应用中,确定模块302还可以基于网络时延、可用带宽、丢包率等参数,以及利用WKSP算法计算出最短路径,从而得到由访问节点至被访问节点的传输路径。
进一步的,生成模块303,具体用于:
判断在所述安全检测信息中是否包含反间谍软件检测信息,若是,则根据所述反间谍软件检测信息为第一节点生成反间谍软件安全策略;其中,所述第一节点是所述访问节点在所述传输路径中的下个节点;和/或,
判断在所述安全检测信息中是否包含漏洞检测信息,若是,则根据所述漏洞检测信息为第二节点生成漏洞安全策略;其中,所述第二节点是所述被访问节点在所述传输路径中的上个节点;和/或,
判断在所述安全检测信息中是否包含基础检测信息,若是,则根据所述基础检测信息为所述传输路径中的所有节点生成基础安全策略。
发送模块304,具体用于:
将所述反间谍软件安全策略发送至所述第一节点;和/或,
将所述漏洞安全策略发送至所述第二节点;和/或,
将所述基础安全策略分别发送至所述传输路径中的各个节点。
更进一步的,生成模块303还用于:分别为所述传输路径中的每个节点生成对应的路由策略;其中,路由策略包括:下个节点的地址信息;
对应的,发送模块304还用于:将生成的路由策略发送至对应的节点,以供节点在安全检测通过的情况下按照路由策略将业务传输数据发送至下个节点。
在本实施例中,在所述传输路径中的节点接收到由所述管控平台发送来的安全策略的情况下,当接收到业务传输数据时,先根据所述安全策略中的安全检测项依次对所述业务传输数据进行安全检测,只有在所有安全检测均通过的情况下才按照所述路由策略将所述业务传输数据发送至下个节点,否则执行预设的报警操作。
实施例三
本实施例还提供一种计算机设备,如可以执行程序的智能手机、平板电脑、笔记本电脑、台式计算机、机架式服务器、刀片式服务器、塔式服务器或机柜式服务器(包括独立的服务器,或者多个服务器所组成的服务器集群)等。如图4所示,本实施例的计算机设备40至少包括但不限于:可通过系统总线相互通信连接的存储器401、处理器402。需要指出的是,图4仅示出了具有组件401-402的计算机设备40,但是应理解的是,并不要求实施所有示出的组件,可以替代的实施更多或者更少的组件。
本实施例中,存储器401(即可读存储介质)包括闪存、硬盘、多媒体卡、卡型存储器(例如,SD或DX存储器等)、随机访问存储器(RAM)、静态随机访问存储器(SRAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、可编程只读存储器(PROM)、磁性存储器、磁盘、光盘等。在一些实施例中,存储器401可以是计算机设备40的内部存储单元,例如该计算机设备40的硬盘或内存。在另一些实施例中,存储器401也可以是计算机设备40的外部存储设备,例如该计算机设备40上配备的插接式硬盘,智能存储卡(Smart Media Card,SMC),安全数字(Secure Digital,SD)卡,闪存卡(Flash Card)等。当然,存储器401还可以既包括计算机设备40的内部存储单元也包括其外部存储设备。在本实施例中,存储器401通常用于存储安装于计算机设备40的操作系统和各类应用软件。此外,存储器401还可以用于暂时地存储已经输出或者将要输出的各类数据。
处理器402在一些实施例中可以是中央处理器(Central Processing Unit,CPU)、控制器、微控制器、微处理器、或其他数据处理芯片。该处理器402通常用于控制计算机设备40的总体操作。
具体的,在本实施例中,处理器402用于执行处理器402中存储的安全检测方法的程序,所述安全检测方法的程序被执行时实现如下步骤:
接收业务访问请求;其中,所述业务访问请求包括:访问节点、被访问节点和安全检测信息;
确定出由所述访问节点至所述被访问节点的传输路径;
根据所述安全检测信息为所述传输路径中的一个或多个节点生成对应的安全策略;其中,安全策略包括:一个或多个安全检测项;
将生成的安全策略发送至对应的节点,以供节点根据安全策略中的安全检测项对业务传输数据进行安全检测。
上述方法步骤的具体实施例过程可参见第一实施例,本实施例在此不再重复赘述。
实施例四
本实施例还提供一种计算机可读存储介质,如闪存、硬盘、多媒体卡、卡型存储器(例如,SD或DX存储器等)、随机访问存储器(RAM)、静态随机访问存储器(SRAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、可编程只读存储器(PROM)、磁性存储器、磁盘、光盘、服务器、App应用商城等等,其上存储有计算机程序,所述计算机程序被处理器执行时实现如下方法步骤:
接收业务访问请求;其中,所述业务访问请求包括:访问节点、被访问节点和安全检测信息;
确定出由所述访问节点至所述被访问节点的传输路径;
根据所述安全检测信息为所述传输路径中的一个或多个节点生成对应的安全策略;其中,安全策略包括:一个或多个安全检测项;
将生成的安全策略发送至对应的节点,以供节点根据安全策略中的安全检测项对业务传输数据进行安全检测。
上述方法步骤的具体实施例过程可参见第一实施例,本实施例在此不再重复赘述。
需要说明的是,在本文中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者装置不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者装置所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括该要素的过程、方法、物品或者装置中还存在另外的相同要素。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。
以上仅为本发明的优选实施例,并非因此限制本发明的专利范围,凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换,或直接或间接运用在其他相关的技术领域,均同理包括在本发明的专利保护范围内。
Claims (10)
1.一种安全检测方法,其特征在于,所述方法包括:
接收业务访问请求;其中,所述业务访问请求包括:访问节点、被访问节点和安全检测信息;
确定出由所述访问节点至所述被访问节点的传输路径;
根据所述安全检测信息为所述传输路径中的一个或多个节点生成对应的安全策略;其中,安全策略包括:一个或多个安全检测项;
将生成的安全策略发送至对应的节点,以供节点根据安全策略中的安全检测项对业务传输数据进行安全检测。
2.根据权利要求1所述的安全检测方法,其特征在于,在所述确定出由所述访问节点至所述被访问节点的传输路径之后,所述方法还包括:
分别为所述传输路径中的每个节点生成对应的路由策略;其中,路由策略包括:下个节点的地址信息;
将生成的路由策略发送至对应的节点,以供节点在安全检测通过的情况下按照路由策略将业务传输数据发送至下个节点。
3.根据权利要求1所述的安全检测方法,其特征在于,所述确定出由所述访问节点至所述被访问节点的传输路径,具体包括:
根据任意两个节点之间的跳数,确定出由所述访问节点至所述被访问节点所需要的最小跳数所对应的传输路径。
4.根据权利要求1所述的安全检测方法,其特征在于,所述根据所述安全检测信息为所述传输路径中的一个或多个节点生成对应的安全策略,具体包括:
判断在所述安全检测信息中是否包含反间谍软件检测信息,若是,则根据所述反间谍软件检测信息为第一节点生成反间谍软件安全策略;其中,所述第一节点是所述访问节点在所述传输路径中的下个节点;
所述将生成的安全策略发送至对应的节点,具体包括:
将所述反间谍软件安全策略发送至所述第一节点。
5.根据权利要求1所述的安全检测方法,其特征在于,所述根据所述安全检测信息为所述传输路径中的一个或多个节点生成对应的安全策略,具体包括:
判断在所述安全检测信息中是否包含漏洞检测信息,若是,则根据所述漏洞检测信息为第二节点生成漏洞安全策略;其中,所述第二节点是所述被访问节点在所述传输路径中的上个节点;
所述将生成的安全策略发送至对应的节点,具体包括:
将所述漏洞安全策略发送至所述第二节点。
6.根据权利要求1所述的安全检测方法,其特征在于,所述根据所述安全检测信息为所述传输路径中的一个或多个节点生成对应的安全策略,具体包括:
判断在所述安全检测信息中是否包含基础检测信息,若是,则根据所述基础检测信息为所述传输路径中的所有节点生成基础安全策略;
所述将生成的安全策略发送至对应的节点,具体包括:
将所述基础安全策略分别发送至所述传输路径中的各个节点。
7.一种安全检测装置,其特征在于,所述装置包括:
接收模块,用于接收业务访问请求;其中,所述业务访问请求包括:访问节点、被访问节点和安全检测信息;
确定模块,用于确定出由所述访问节点至所述被访问节点的传输路径;
生成模块,用于根据所述安全检测信息为所述传输路径中的一个或多个节点生成对应的安全策略;其中,安全策略包括:一个或多个安全检测项;
发送模块,用于将生成的安全策略发送至对应的节点,以供节点根据安全策略中的安全检测项对业务传输数据进行安全检测。
8.根据权利要求7所述的安全检测装置,其特征在于,所述生成模块还用于:分别为所述传输路径中的每个节点生成对应的路由策略;其中,路由策略包括:下个节点的地址信息;
所述发送模块还用于:将生成的路由策略发送至对应的节点,以供节点在安全检测通过的情况下按照路由策略将业务传输数据发送至下个节点。
9.一种计算机设备,所述计算机设备包括:存储器、处理器以及存储在所述存储器上并可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现权利要求1至6中任一项所述方法的步骤。
10.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1至6中任一项所述方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910625611.8A CN112217770B (zh) | 2019-07-11 | 2019-07-11 | 一种安全检测方法、装置、计算机设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910625611.8A CN112217770B (zh) | 2019-07-11 | 2019-07-11 | 一种安全检测方法、装置、计算机设备及存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112217770A true CN112217770A (zh) | 2021-01-12 |
| CN112217770B CN112217770B (zh) | 2023-10-13 |
Family
ID=74048664
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910625611.8A Active CN112217770B (zh) | 2019-07-11 | 2019-07-11 | 一种安全检测方法、装置、计算机设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112217770B (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114422180A (zh) * | 2021-12-07 | 2022-04-29 | 深信服科技股份有限公司 | 数据安全检测方法、装置及存储介质 |
Citations (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20040004201A (ko) * | 2003-10-23 | 2004-01-13 | 소명애 | 무선 보안 감지 시스템 |
| US20050071650A1 (en) * | 2003-09-29 | 2005-03-31 | Jo Su Hyung | Method and apparatus for security engine management in network nodes |
| JP2008508797A (ja) * | 2004-07-30 | 2008-03-21 | リーマン・ブラザーズ・インコーポレーテッド | 確実なネットワーク接続性のためのシステム及び方法 |
| CN104253820A (zh) * | 2014-10-16 | 2014-12-31 | 北京邮电大学 | 软件定义网安全控制系统和控制方法 |
| US20150326598A1 (en) * | 2014-05-06 | 2015-11-12 | Cisco Technology, Inc. | Predicted attack detection rates along a network path |
| CN105553940A (zh) * | 2015-12-09 | 2016-05-04 | 北京中科云集科技有限公司 | 一种基于大数据处理平台的安全防护方法 |
| CN105812324A (zh) * | 2014-12-30 | 2016-07-27 | 华为技术有限公司 | Idc信息安全管理的方法、装置及系统 |
| WO2017034072A1 (ko) * | 2015-08-25 | 2017-03-02 | 주식회사 아이티스테이션 | 네트워크 보안 시스템 및 보안 방법 |
| CN106878239A (zh) * | 2015-12-14 | 2017-06-20 | 中国移动通信集团公司 | 一种安全策略更新方法及装置 |
| CN107707557A (zh) * | 2017-10-26 | 2018-02-16 | 北京知道创宇信息技术有限公司 | 匿名访问方法、装置、网络设备及可读存储介质 |
| CN107979614A (zh) * | 2017-12-30 | 2018-05-01 | 杭州华为数字技术有限公司 | 数据包检测方法及装置 |
| CN108462633A (zh) * | 2016-12-09 | 2018-08-28 | 中兴通讯股份有限公司 | 基于sdn的网络安全路由调度方法及系统 |
| CN109558727A (zh) * | 2018-10-25 | 2019-04-02 | 中国科学院计算技术研究所 | 一种路由安全检测方法和系统 |
| CN109922021A (zh) * | 2017-12-12 | 2019-06-21 | 中国电信股份有限公司 | 安全防护系统以及安全防护方法 |
-
2019
- 2019-07-11 CN CN201910625611.8A patent/CN112217770B/zh active Active
Patent Citations (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20050071650A1 (en) * | 2003-09-29 | 2005-03-31 | Jo Su Hyung | Method and apparatus for security engine management in network nodes |
| KR20040004201A (ko) * | 2003-10-23 | 2004-01-13 | 소명애 | 무선 보안 감지 시스템 |
| JP2008508797A (ja) * | 2004-07-30 | 2008-03-21 | リーマン・ブラザーズ・インコーポレーテッド | 確実なネットワーク接続性のためのシステム及び方法 |
| US20150326598A1 (en) * | 2014-05-06 | 2015-11-12 | Cisco Technology, Inc. | Predicted attack detection rates along a network path |
| CN104253820A (zh) * | 2014-10-16 | 2014-12-31 | 北京邮电大学 | 软件定义网安全控制系统和控制方法 |
| CN105812324A (zh) * | 2014-12-30 | 2016-07-27 | 华为技术有限公司 | Idc信息安全管理的方法、装置及系统 |
| WO2017034072A1 (ko) * | 2015-08-25 | 2017-03-02 | 주식회사 아이티스테이션 | 네트워크 보안 시스템 및 보안 방법 |
| CN105553940A (zh) * | 2015-12-09 | 2016-05-04 | 北京中科云集科技有限公司 | 一种基于大数据处理平台的安全防护方法 |
| CN106878239A (zh) * | 2015-12-14 | 2017-06-20 | 中国移动通信集团公司 | 一种安全策略更新方法及装置 |
| CN108462633A (zh) * | 2016-12-09 | 2018-08-28 | 中兴通讯股份有限公司 | 基于sdn的网络安全路由调度方法及系统 |
| CN107707557A (zh) * | 2017-10-26 | 2018-02-16 | 北京知道创宇信息技术有限公司 | 匿名访问方法、装置、网络设备及可读存储介质 |
| CN109922021A (zh) * | 2017-12-12 | 2019-06-21 | 中国电信股份有限公司 | 安全防护系统以及安全防护方法 |
| CN107979614A (zh) * | 2017-12-30 | 2018-05-01 | 杭州华为数字技术有限公司 | 数据包检测方法及装置 |
| CN109558727A (zh) * | 2018-10-25 | 2019-04-02 | 中国科学院计算技术研究所 | 一种路由安全检测方法和系统 |
Non-Patent Citations (9)
| Title |
|---|
| QIUZHENG REN: "The global flow table based on the software-defined networking", 《2015 IEEE INTERNATIONAL CONFERENCE ON COMMUNICATION PROBLEM-SOLVING (ICCP)》 * |
| QIUZHENG REN: "The global flow table based on the software-defined networking", 《2015 IEEE INTERNATIONAL CONFERENCE ON COMMUNICATION PROBLEM-SOLVING (ICCP)》, 19 April 2016 (2016-04-19) * |
| 孙修善: "网络安全检测与监控系统总体设计", 《信息技术》 * |
| 孙修善: "网络安全检测与监控系统总体设计", 《信息技术》, no. 11, 30 November 2003 (2003-11-30) * |
| 毕坤;韩德志;: "一种基于攻击图的云租户系统安全检测方法", 华中科技大学学报(自然科学版), no. 1 * |
| 毕坤等: "一种基于攻击图的云租户系统安全检测方法", 《华中科技大学学报(自然科学版)》 * |
| 毕坤等: "一种基于攻击图的云租户系统安全检测方法", 《华中科技大学学报(自然科学版)》, 15 December 2012 (2012-12-15) * |
| 耿继华;: "刍议计算机网络信息安全及其预防措施", 科技展望, no. 22 * |
| 邱修峰;刘建伟;伍前红;刘建华;: "多路径域间路由决策检测协议", 山东大学学报(理学版), no. 07 * |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114422180A (zh) * | 2021-12-07 | 2022-04-29 | 深信服科技股份有限公司 | 数据安全检测方法、装置及存储介质 |
| CN114422180B (zh) * | 2021-12-07 | 2024-05-28 | 深信服科技股份有限公司 | 数据安全检测方法、装置及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN112217770B (zh) | 2023-10-13 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10873597B1 (en) | Cyber attack early warning system | |
| US9774621B2 (en) | Updating content detection devices and systems | |
| US9461963B2 (en) | Systems and methods for detecting undesirable network traffic content | |
| US8869271B2 (en) | System and method for risk rating and detecting redirection activities | |
| CN111737696A (zh) | 一种恶意文件检测的方法、系统、设备及可读存储介质 | |
| CN107634959B (zh) | 基于汽车的防护方法、装置及系统 | |
| CN103607385A (zh) | 基于浏览器进行安全检测的方法和装置 | |
| US11785044B2 (en) | System and method for detection of malicious interactions in a computer network | |
| EP2901615A1 (en) | Cloud-assisted method and service for application security verification | |
| WO2015007231A1 (zh) | 一种恶意url的鉴定方法及装置 | |
| US8091118B2 (en) | Method and system to optimize efficiency when managing lists of untrusted network sites | |
| US11509691B2 (en) | Protecting from directory enumeration using honeypot pages within a network directory | |
| CN111953770B (zh) | 一种路由转发方法、装置、路由设备及可读存储介质 | |
| CN111866124A (zh) | 访问网页页面的方法、装置、服务器和机器可读存储介质 | |
| Wu et al. | Detect repackaged android application based on http traffic similarity | |
| US9270689B1 (en) | Dynamic and adaptive traffic scanning | |
| CN106302515B (zh) | 一种网站安全防护的方法和装置 | |
| CN109547427B (zh) | 黑名单用户识别方法、装置、计算机设备及存储介质 | |
| CN112217770B (zh) | 一种安全检测方法、装置、计算机设备及存储介质 | |
| CN114567678B (zh) | 一种云安全服务的资源调用方法、装置及电子设备 | |
| CN111949363A (zh) | 业务访问的管理方法、计算机设备、存储介质及系统 | |
| CN116016174A (zh) | 规则库升级方法、装置、电子设备和存储介质 | |
| CN111654398B (zh) | 一种更新配置的方法、装置、计算机设备及可读存储介质 | |
| WO2016118153A1 (en) | Marking nodes for analysis based on domain name system resolution | |
| US8613092B2 (en) | System, method and computer program product for updating a security system definition database based on prioritized instances of known unwanted data |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB02 | Change of applicant information | ||
| CB02 | Change of applicant information |
Address after: Room 332, 3 / F, Building 102, 28 xinjiekouwei street, Xicheng District, Beijing 100088 Applicant after: QAX Technology Group Inc. Applicant after: Qianxin Wangshen information technology (Beijing) Co.,Ltd. Address before: Room 332, 3 / F, Building 102, 28 xinjiekouwei street, Xicheng District, Beijing 100088 Applicant before: QAX Technology Group Inc. Applicant before: LEGENDSEC INFORMATION TECHNOLOGY (BEIJING) Inc. |
|
| GR01 | Patent grant | ||
| GR01 | Patent grant |