CN113132308B - 一种网络安全防护方法及防护设备 - Google Patents
一种网络安全防护方法及防护设备 Download PDFInfo
- Publication number
- CN113132308B CN113132308B CN201911408206.7A CN201911408206A CN113132308B CN 113132308 B CN113132308 B CN 113132308B CN 201911408206 A CN201911408206 A CN 201911408206A CN 113132308 B CN113132308 B CN 113132308B
- Authority
- CN
- China
- Prior art keywords
- address
- source
- type
- data stream
- attribute information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0263—Rule management
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Business, Economics & Management (AREA)
- General Business, Economics & Management (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本申请实施例公开了一种网络安全防护方法及防护设备,可以准确的识别数据流是否具有攻击性,从而提高防护准确率。该网络安全防护方法包括:接收第一数据流,第一数据流包括源IP地址和目的IP地址,源IP地址为第一电子设备的IP地址,目的IP地址为第一服务器的IP地址;确定源IP地址对应的第一设备属性信息;确定目的IP地址对应的第二设备属性信息;在第一设备属性信息与第二设备属性信息相匹配时,转发第一数据流;在第一设备属性信息与第二设备属性信息不匹配时,阻断第一数据流。
Description
技术领域
本申请涉及通信技术领域,更具体的说,涉及网络安全防护方法及防护设备。
背景技术
安全防护设备可以为多种类型的业务服务器提供网络安全防御服务,以使业务服务器免受黑客的攻击。安全防护设备设置在客户端与受保护的业务服务器之间,大量的客户端产生的数据流会先进入安全防护设备,安全防护设备会过滤掉异常的数据流从而得到安全的数据流,以使安全的数据流进入业务服务器。在计算机网络技术领域中,数据流(或者也被称为报文流),是从一个源计算机到一个目的方的一系列报文,其中目的方是一个计算机、或者多播组、或者广播域。
目前,安全防护设备采用黑名单机制对数据流进行过滤。具体地,安全防护设备存储有预先设置的IP(internet protocol,网际协议)威胁库,IP威胁库中包括IP地址。在安全防护设备接收到大量的客户端发送的数据流以后,流量防护系统会判断这些数据流中的源IP地址是否存在于IP威胁库中。如果这些数据流中的某个数据流的源IP地址A存在于IP威胁库中,那么安全防护设备会认为该IP地址A属于具有攻击性的IP地址,安全防护设备会阻断该数据流,从而保护业务服务器免受黑客的攻击。安全防护设备判定未在IP威胁库中的IP地址是安全的,不会阻断源IP地址为不属于IP威胁库中的IP地址的数据流。
由于IP威胁库存储的IP地址比较有限,很多具有攻击性的IP地址尚未存储在IP威胁库中,所以现有的安全防护设备可能会漏掉很多具有攻击性的数据流,从而导致现有的安全防护设备的防护准确率不高。
发明内容
本申请实施例提供一种网络安全防护方法及防护设备,以准确的识别数据流是否具有攻击性。
第一方面,本申请实施例提供了一种网络安全防护方法。该方法包括以下步骤:接收第一数据流,第一数据流包括源IP地址和目的IP地址,源IP地址为第一电子设备的IP地址,目的IP地址为第一服务器的IP地址;确定源IP地址对应的第一设备属性信息,第一设备属性信息包括第一设备类型和第一业务类型,第一设备类型为第一电子设备的设备类型,第一业务类型为第一设备类型支持访问的业务类型;确定目的IP地址对应的第二设备属性信息,第二设备属性信息包括第二设备类型和第二业务类型,第二设备类型为允许访问第一服务器的设备类型,第二业务类型为第一服务器提供服务的业务类型;在第一设备属性信息与第二设备属性信息相匹配时,转发第一数据流;在第一设备属性信息与第二设备属性信息不匹配时,阻断第一数据流。
在第一方面中,如果第一设备属性信息与第二设备属性信息相匹配,说明第一电子设备符合第一服务器的要求,即第一数据流是安全且不具有攻击性的数据流,所以转发第一数据流;如果第一设备属性信息与第二设备属性信息不匹配,说明第一电子设备不符合第一服务器的要求,即第一数据流是不安全且具有攻击性的数据流,所以需要阻断第一数据流。因此,本申请实施例提供的方案可以准确的识别电子设备发送的数据流是否具有攻击性,并阻断具有攻击性的数据流,以使安全的数据流进入业务服务器,所以本申请实施例提供的方案的防护准确率较高。
可选的,在第一方面的一种可能的实现方式中,在确定源IP地址对应的第一设备属性信息以前,方法还包括:确定第一数据流中的目的IP地址对应的检测标识,检测标识为第一标识或第二标识,第一标识用于指示第一服务器当前正在被攻击,第二标识用于指示第一服务器当前未被攻击;在检测标识为第一标识时,确定源IP地址对应的风险值;在源IP地址对应的风险值处于第一风险范围内时,阻断第一数据流;在源IP地址对应的风险值处于第二风险范围内时,执行确定源IP地址对应的第一设备属性信息的步骤,第一风险范围内的最小值大于第二风险范围内的最大值,或者,第二风险范围内的最小值大于第一风险范围内的最大值;第一风险范围内的风险值指示的风险均高于第二风险范围内的风险值指示的风险;在检测标识为第二标识时,转发第一数据流。
其中,在目的IP地址对应的检测标识为第一标识时,说明第一服务器当前正在被攻击,所以需要确定源IP地址对应的风险值。在目的IP地址对应的检测标识为第二标识时,说明第一服务器当前未被攻击,所以不需要检测第一数据流是否为具有攻击性的数据流,可以直接转发第一数据流,省略执行检测第一数据流是否为具有攻击性的数据流的步骤,从而节省防护设备的处理资源,减少因执行检测第一数据流是否为具有攻击性的数据流而造成的传输时延,提高业务响应的及时性。在源IP地址对应的风险值处于第一风险范围内时,说明该源IP地址攻击第一服务器的可能性较大,所以防护设备会阻断第一数据流,从而可以避免第一服务器被第一数据流攻击。在源IP地址对应的风险值处于第二风险范围内时,说明该源IP地址攻击第一服务器的可能性较小,但是不能认为第一数据流是安全的,所以防护设备会继续检测第一数据流是否为具有攻击性,如果确定第一数据流具有攻击性,那么可以阻断第一数据流,从而可以避免第一服务器被第一数据流攻击。
可选的,在第一方面的一种可能的实现方式中,在确定源IP地址对应的第一设备属性信息以前,方法还包括:确定源IP地址对应的风险值;在源IP地址对应的风险值处于第一风险范围内时,阻断第一数据流;在源IP地址对应的风险值处于第二风险范围内时,执行确定源IP地址对应的第一设备属性信息的步骤,第一风险范围内的最小值大于第二风险范围内的最大值,或者,第二风险范围内的最小值大于第一风险范围内的最大值;第一风险范围内的风险值指示的风险均高于第二风险范围内的风险值指示的风险。
其中,在源IP地址对应的风险值处于第一风险范围内时,说明该源IP地址攻击第一服务器的可能性较大,所以防护设备会阻断第一数据流,从而可以避免第一服务器被第一数据流攻击。在源IP地址对应的风险值处于第二风险范围内时,说明该源IP地址攻击第一服务器的可能性较小,但是不能认为第一数据流是安全的,所以防护设备会继续检测第一数据流是否为具有攻击性,如果确定第一数据流具有攻击性,那么可以阻断第一数据流,从而可以避免第一服务器被第一数据流攻击。
可选的,在第一方面的一种可能的实现方式中,在确定源IP地址对应的第一设备属性信息以前,方法还包括:确定第一数据流中的目的IP地址对应的检测标识,检测标识为第一标识或第二标识,第一标识用于指示第一服务器当前正在被攻击,第二标识用于指示第一服务器当前未被攻击;在检测标识为第一标识时,执行确定源IP地址对应的第一设备属性信息的步骤;在检测标识为第二标识时,转发第一数据流。
其中,在目的IP地址对应的检测标识为第一标识时,说明第一服务器当前正在被攻击,所以需要检测第一数据流是否为具有攻击性的数据流,如果确定第一数据流具有攻击性,那么可以阻断第一数据流,从而可以避免第一服务器被第一数据流攻击。在目的IP地址对应的检测标识为第二标识时,说明第一服务器当前未被攻击,所以不需要检测第一数据流是否为具有攻击性的数据流,可以直接转发第一数据流,省略执行检测第一数据流是否为具有攻击性的数据流的步骤,从而节省防护设备的处理资源,减少因执行检测第一数据流是否为具有攻击性的数据流而造成的传输时延,提高业务响应的及时性。
第二方面,本申请实施例提供了一种网络安全防护方法。该方法包括以下步骤:接收第一数据流,第一数据流包括源IP地址和目的IP地址,源IP地址为第一电子设备的IP地址,目的IP地址为第一服务器的IP地址;确定源IP地址对应的风险值;在源IP地址对应的风险值处于第一风险范围内时,阻断第一数据流;在源IP地址对应的风险值处于第二风险范围内时,根据源IP地址和目的IP地址确定转发或阻断第一数据流,第一风险范围内的最小值大于第二风险范围内的最大值,或者,第二风险范围内的最小值大于第一风险范围内的最大值;第一风险范围内的风险值指示的风险均高于第二风险范围内的风险值指示的风险。
在第二方面中,在源IP地址对应的风险值处于第一风险范围内时,说明该源IP地址攻击第一服务器的可能性较大,所以防护设备会阻断第一数据流,从而可以避免第一服务器被第一数据流攻击。在源IP地址对应的风险值处于第二风险范围内时,说明该源IP地址攻击第一服务器的可能性较小,但是不能认为第一数据流是安全的,所以防护设备会继续检测第一数据流是否为具有攻击性,如果确定第一数据流具有攻击性,那么可以阻断第一数据流,从而可以避免第一服务器被第一数据流攻击。
可选的,在第二方面的一种可能的实现方式中,根据源IP地址和目的IP地址确定转发或阻断第一数据流,包括:确定源IP地址对应的第一设备属性信息,第一设备属性信息包括第一设备类型和第一业务类型,第一设备类型为第一电子设备的设备类型,第一业务类型为第一设备类型支持的业务类型;确定目的IP地址对应的第二设备属性信息,第二设备属性信息包括第二设备类型和第二业务类型,第二设备类型为允许访问第一服务器的设备类型,第二业务类型为第一服务器提供服务的业务类型;在第一设备属性信息与第二设备属性信息相匹配时,转发第一数据流;在第一设备属性信息与第二设备属性信息不匹配时,阻断第一数据流。
其中,如果第一设备属性信息与第二设备属性信息相匹配,说明第一电子设备符合第一服务器的要求,即第一数据流是安全且不具有攻击性的数据流,所以转发第一数据流;如果第一设备属性信息与第二设备属性信息不匹配,说明第一电子设备不符合第一服务器的要求,即第一数据流是不安全且具有攻击性的数据流,所以需要阻断第一数据流。因此,本申请实施例提供的方案可以准确的识别电子设备发送的数据流是否具有攻击性,并阻断具有攻击性的数据流,以使安全的数据流进入业务服务器,所以本申请实施例提供的方案的防护准确率较高。
可选的,在第二方面的一种可能的实现方式中,在确定源IP地址对应的第一设备属性信息以前,方法还包括:确定第一数据流中的目的IP地址对应的检测标识,检测标识为第一标识或第二标识,第一标识用于指示第一服务器当前正在被攻击,第二标识用于指示第一服务器当前未被攻击;在检测标识为第一标识时,执行确定源IP地址对应的第一设备属性信息的步骤;在检测标识为第二标识时,转发第一数据流。
其中,在目的IP地址对应的检测标识为第一标识时,说明第一服务器当前正在被攻击,所以需要检测第一数据流是否为具有攻击性的数据流,如果确定第一数据流具有攻击性,那么可以阻断第一数据流,从而可以避免第一服务器被第一数据流攻击。在目的IP地址对应的检测标识为第二标识时,说明第一服务器当前未被攻击,所以不需要检测第一数据流是否为具有攻击性的数据流,可以直接转发第一数据流,省略执行检测第一数据流是否为具有攻击性的数据流的步骤,从而节省防护设备的处理资源,减少因执行检测第一数据流是否为具有攻击性的数据流而造成的传输时延,提高业务响应的及时性。
第三方面,本申请实施例提供了一种防护设备,该防护设备包括网络接口、存储器和与存储器连接的处理器,存储器用于存储指令,处理器用于执行指令,以使网络设备执行第一方面、第一方面的任意一种可能的实现方式中的方法、第二方面或第二方面的任意一种可能的实现方式中的方法,具体参见上面的详细描述,此处不再赘述。
第四方面,本申请实施例提供了一种防护设备,该防护设备具有实现上述第一方面中的方法、上述第一方面的任意一种可能的实现方式的功能、上述第二方面中的方法或上述第二方面的任意一种可能的实现方式的功能。所述功能可以通过硬件实现,也可以通过硬件执行相应的软件实现。该硬件或软件包括一个或多个与上述功能相对应的模块。
第五方面,本申请实施例提供了一种计算机存储介质,用于储存为上述防护设备所用的计算机软件指令,其包含用于执行上述第一方面、上述第一方面的任意一种可能的实现方式、上述第二方面或上述第二方面的任意一种可能的实现方式所设计的程序。
第六方面,本申请实施例提供了一种包含指令的计算机程序产品,当其在计算机上运行时,使得计算机执行上述各方面所述的方法。
第七方面,本申请实施例提供了一种芯片,包括存储器和处理器,存储器用于存储计算机指令,处理器用于从存储器中调用并运行该计算机指令,以执行上述第一方面、第一方面的任意一种可能的实现方式中的方法、第二方面或第二方面的任意一种可能的实现方式中的方法。
附图说明
图1为本申请实施例提供的网络安全防护方法所适用的一种场景示意图;
图2为本申请实施例提供的一种网络安全防护方法的流程图;
图3为本申请实施例提供的网络安全防护方法所适用的另一种场景示意图;
图4为本申请实施例提供的网络安全防护方法所适用的又一种场景示意图;
图5为本申请实施例提供的另一种网络安全防护方法的流程图;
图6为本申请实施例提供的又一种网络安全防护方法的流程图;
图7为本申请实施例提供的又一种网络安全防护方法的流程图;
图8为本申请实施例提供的又一种网络安全防护方法的流程图;
图9是本申请实施例提供的一种防护设备的结构示意图;
图10是本申请实施例提供的另一种防护设备的结构示意图。
具体实施方式
请参见图1所示,图1为本申请实施例提供的网络安全防护方法所适用的一种场景示意图。本申请实施例提供的网络安全防护方法适用的场景不局限于图1所示的示例。
在图1所示的示例中,防护设备100包括但不限于防火墙和安全网关等设备。防护设备100设置在多个电子设备(A1,A2,…,An)与至少一个业务服务器之间。至少一个业务服务器如图1所示的多个业务服务器(B1,B2,…,Bm),或者由多个业务服务器组成的集群。其中,多个电子设备(A1,A2,…,An)发送的多个数据流会先进入防护设备100中,防护设备100对多个数据流进行识别和过滤。例如防护设备100会阻断具有攻击性的数据流,并转发(也被称为“放行”)不具有攻击性的数据流,防护设备可以保证进入多个业务服务器(B1,B2,…,Bm)的数据流是相对安全的。
请参见图2所示,图2为本申请实施例提供的一种网络安全防护方法的流程图,图2所示的网络安全防护方法包括以下步骤S101至S105。可选地,图2所示的安全防护方法由图1中的防护设备100执行。
S101、接收第一数据流。
防护设备接收电子设备访问业务服务器的数据流。其中,一个数据流包括多个数据包,一个数据流的多个数据包中的每个数据包均包括源IP地址和目的IP地址,一个数据流的多个数据包中的任意两个数据包包含的源IP地址和目的IP地址都是相同的。
在S101中,第一数据流包括源IP地址和目的IP地址,源IP地址为第一电子设备的IP地址,目的IP地址为第一服务器的IP地址。
示例的,请结合图1所示,假设电子设备A1是一个被黑客控制的终端,该电子设备A1生成一个具有攻击性的数据流X1,数据流X1用于攻击业务服务器B1。数据流X1包括源IP地址(10.10.10.11)和目的IP地址(20.20.20.21),源IP地址(10.10.10.11)为电子设备A1的IP地址,目的IP地址(20.20.20.21)为业务服务器B1的IP地址。在防护设备100接收到数据流X1以后,防护设备100会解析数据流X1,并获取数据流X1中的源IP地址(10.10.10.11)和目的IP地址(20.20.20.21)。
S102、确定源IP地址对应的第一设备属性信息。
其中,第一设备属性信息包括第一设备类型和第一业务类型,第一设备类型为第一电子设备的设备类型,第一业务类型为第一设备类型支持访问的业务类型。
在S102中,可以先确定源IP地址对应的第一设备类型,再确定第一设备类型对应的第一业务类型。
具体的,关于“确定源IP地址对应的第一设备类型”具有很多种方式,下面介绍两种方式。
第一种方式,通过第三方服务器确定源IP地址对应的第一设备类型。具体的,第三方服务器可以为Shodan服务器、ZoomEye服务器或FoFA服务器等。本申请实施例提到的“设备类型”包括但不限于:网桥、宽带路由器、防火墙、集线器、负载均衡器、路由器、交换机、游戏机、媒体设备、电源设备、打印机、打印服务器、代理服务器、远程管理服务器、安全杂项服务器、专用服务器、存储杂项服务器、电信杂项、终端服务器、voip(Voice over InternetProtocol,互联网语音协议)适配器、voip电话、网络摄像头、电话和终端。可选地,“设备类型”还可以进一步划分为多个等级的大类和小类。以两级设备类型为例,设备类型包括三大类,分别为“网关/网络设备类”,“独立设备类”和“个人设备类”。其中“网关/网络设备类”进一步包括:网桥、宽带路由器、防火墙、集线器、负载均衡器、路由器、交换机;“独立设备类”进一步包括:游戏机、媒体设备、电源设备、打印机、打印服务器、代理服务器、远程管理服务器、安全杂项服务器、专用服务器、存储杂项服务器、电信杂项、终端服务器、voip(Voiceover Internet Protocol,互联网语音协议)适配器、voip电话、网络摄像头;“个人设备类”包括电话和终端。
示例的,请结合图3所示,图3为本申请实施例提供的网络安全防护方法所适用的另一种场景示意图。假设防护设备100向第三方服务器200发送查询请求,查询请求包括源IP地址(10.10.10.11)。在第三方服务器200接收到查询请求以后,第三方服务器200会查询源IP地址(10.10.10.11)对应的设备类型(终端),并将源IP地址(10.10.10.11)对应的设备类型(终端)发送给防护设备100。
以第三方服务器200为Shodan服务器为例。Shodan服务器通过API接口“https://api.shodan.io/”提供服务。防护设备100通过Request请求调用API接口URL:https://api.shodan.io/shodan/host/{ip}?key={YOUR_API_KEY},其中{ip}填写IP地址(10.10.10.11)。防护设备100接收Shodan服务器返回的JSON数据,并从JSON数据中解析到描述对应的设备类型信息的字段devicetype,从字段devicetype内容中得到“terminal”,即IP地址(10.10.10.11)对应的设备类型为终端。
第二种方式,通过开源扫描软件确定源IP地址对应的第一设备类型。具体的,开源扫描软件可以为Nmap、Masscan或IVRE等。
示例的,请结合图4所示,图4为本申请实施例提供的网络安全防护方法所适用的又一种场景示意图。假设防护设备100内预先安装了一个开源扫描软件A,防护设备100可以将源IP地址(10.10.10.11)输入至开源软件A中,开源软件A会输出源IP地址(10.10.10.11)对应的设备类型(终端)。
以开源扫描软件IVRE为例,防护设备100通过命令“ivre runscans--network10.10.10.11--output=XMLFork”的方式指示IVRE对IP地址(10.10.10.11)进行扫描。IVRE将扫描结果数据保存在MongoDB数据库中。扫描结果数据中包含字段“service_devicetype”,该字段中保存了IP地址(10.10.10.11)对应的设备类型。防护设备100通过查询MongoDB数据库获取IP地址(10.10.10.11)对应的设备类型。
可选地,关于“确定第一设备类型对应的第一业务类型”,可以预先建立设备类型与业务类型之间的映射关系,并将设备类型与业务类型之间的映射关系存入防护设备中。防护设备便可以基于设备类型与业务类型之间的映射关系,确定第一设备类型对应的第一业务类型。
示例的,请结合表1所示,表1所示的为设备类型与业务类型之间的映射关系表。通过表1可以得知,每种设备类型均对应至少一种业务类型。可选地,业务类型包括但不限于网站访问、终端(手机)游戏、视频/音频即时通讯、物联网(The Internet of Things,IOT)控制、API服务(以前面提及的Shodan服务为例)等等。为了直观且易于理解,本申请实施例用业务类型C1-业务类型C4、业务类型D1-业务类型D4、业务类型E1-业务类型E5指代不同的业务类型。
| 设备类型 | 业务类型 |
| 终端 | 业务类型C1、业务类型C2、业务类型C3和业务类型C4 |
| 电话 | 业务类型D1、业务类型D2和业务类型D3 |
| 路由器 | 业务类型E1、业务类型E2、业务类型E3、业务类型E4和业务类型E5 |
| … | … |
表1
S103、确定目的IP地址对应的第二设备属性信息。
其中,第二设备属性信息包括第二设备类型和第二业务类型,第二设备类型为允许访问第一服务器的设备类型,第二业务类型为第一服务器提供服务的业务类型。
在S103中,防护设备可以根据多个业务服务器(B1,B2,…,Bm)提供的信息,预先建立目的IP地址、业务服务器允许访问的设备类型与业务服务器的业务类型之间的映射关系。然后,基于该映射关系确定目的IP地址对应的设备类型和业务类型。
示例的,请结合表2所示,表2所示的为目的IP地址、设备类型与业务类型之间的映射关系表。
| 目的IP地址 | 设备类型 | 业务类型 |
| 20.20.20.21 | 终端、电话和游戏机 | 业务类型D1 |
| 20.20.20.22 | 路由器 | 业务类型C1 |
| … | … | … |
表2
示例的,请结合图1和表2所示,假设防护设备100根据表2确定目的IP地址(20.20.20.21)对应的设备类型包括终端、电话和游戏机,以及对应的业务类型为业务类型D1。其中,终端、电话和游戏机为允许访问业务服务器B1的设备类型,业务类型D1为业务服务器B1提供服务的业务类型。
S104、在第一设备属性信息与第二设备属性信息相匹配时,转发第一数据流。
S105、在第一设备属性信息与第二设备属性信息不匹配时,阻断第一数据流。
其中,在防护设备得到第一设备属性信息和第二设备属性信息以后,防护设备会判断第一设备属性信息与第二设备属性信息是否相匹配。如果第一设备属性信息与第二设备属性信息相匹配,说明第一电子设备符合第一服务器的要求,所以第一数据流是安全的,防护设备会转发第一数据流。
示例的,请结合图1、表1和表2所示,假设防护设备100确定源IP地址(10.10.10.11)对应的设备类型为终端,通过表1确定设备类型为终端对应的业务类型包括业务类型C1、业务类型C2、业务类型C3和业务类型C4,说明电子设备A1的设备类型为终端,终端支持访问的业务类型包括业务类型C1、业务类型C2、业务类型C3和业务类型C4。
假设防护设备100通过表2确定目的IP地址(20.20.20.21)对应的设备类型包括终端、电话和游戏机,以及对应的业务类型为业务类型D1,说明业务服务器B1允许访问的设备类型为终端、电话和游戏机,业务服务器B1的业务类型为业务类型D1。
防护设备100确定电子设备A1的设备类型(终端)与设业务服务器B1允许访问的备类型(终端、电话和游戏机)匹配,并确定电子设备A1支持访问的业务类型(业务类型C1、业务类型C2、业务类型C3和业务类型C4)与业务服务器B1的业务类型(业务类型D1)不匹配,所以防护设备100会阻断数据流X1。
前文提到,第一设备属性信息包括第一设备类型和第一业务类型,第二设备属性信息包括第二设备类型和第二业务类型。其中,“第一设备属性信息与第二设备属性信息相匹配”包括多种情况,下面分别介绍这些情况。
第一种情况,第一设备类型与第二设备类型相同,且第一业务类型与第二业务类型相同。
例如,第一设备类型为设备类型G1,第二设备类型为设备类型G1,第一业务类型为业务类型H1,第二业务类型为业务类型H1。
第二种情况,第一设备类型与第二设备类型相同,且第一业务类型包含第二业务类型。
例如,第一设备类型为设备类型G1,第二设备类型为设备类型G1,第一业务类型包括业务类型H1和业务类型H2,第二业务类型为业务类型H1。
第三种情况,第一设备类型与第二设备类型相同,且第二业务类型包含第一业务类型。
例如,第一设备类型为设备类型G1,第二设备类型为设备类型G1,第二业务类型包括业务类型H1和业务类型H2,第一业务类型为业务类型H1。
第四种情况,第一设备类型包含第二设备类型,且第一业务类型与第二业务类型相同。
例如,第一设备类型包括设备类型G1和设备类型G2,第二设备类型为设备类型G1,第一业务类型为业务类型H1,第二业务类型为业务类型H1。
第五种情况,第一设备类型包含第二设备类型,且第一业务类型包含第二业务类型。
例如,第一设备类型包括设备类型G1和设备类型G2,第二设备类型为设备类型G1,第一业务类型包括业务类型H1和业务类型H2,第二业务类型为业务类型H1。
第六种情况,第一设备类型包含第二设备类型,且第二业务类型包含第一业务类型。
例如,第一设备类型包括设备类型G1和设备类型G2,第二设备类型为设备类型G1,第二业务类型包括业务类型H1和业务类型H2,第一业务类型为业务类型H1。
第七种情况,第二设备类型包含第一设备类型,且第一业务类型与第二业务类型相同。
例如,第二设备类型包括设备类型G1和设备类型G2,第一设备类型为设备类型G1,第一业务类型为业务类型H1,第二业务类型为业务类型H1。
第八种情况,第二设备类型包含第一设备类型,且第一业务类型包含第二业务类型。
例如,第二设备类型包括设备类型G1和设备类型G2,第一设备类型为设备类型G1,第一业务类型包括业务类型H1和业务类型H2,第二业务类型为业务类型H1。
第九种情况,第二设备类型包含第一设备类型,且第二业务类型包含第一业务类型。
例如,第二设备类型包括设备类型G1和设备类型G2,第一设备类型为设备类型G1,第二业务类型包括业务类型H1和业务类型H2,第一业务类型为业务类型H1。
上述第一种情况、第三种情况、第七种情况和第九种情况,可以理解为第一设备类型属于第二设备类型的子集,第一业务类型属于第二业务类型的子集。
上述第一种情况、第二种情况、第四种情况和第五种情况,可以理解为第二设备类型属于第一设备类型的子集,第二业务类型属于第一业务类型的子集。
上述第一种情况、第二种情况、第七种情况和第八种情况,可以理解为第一设备类型属于第二设备类型的子集,第二业务类型属于第一业务类型的子集。
上述第一种情况、第三种情况、第四种情况和第六种情况,可以理解为第二设备类型属于第一设备类型的子集,第一业务类型属于第二业务类型的子集。
在图2所示的实施例中,本申请实施例提供的网络安全防护方法会获取第一数据流中的源IP地址和目的IP地址,然后确定源IP地址对应的第一设备属性信息和目的IP地址对应的第二设备属性信息,最后根据第一设备属性信息与第二设备属性信息是否匹配来决定转发或阻断第一数据流。本申请实施例的核心在于,判断第一电子设备的设备类型与第一服务器允许访问的设备类型是否匹配,以及判断第一设备类型支持访问的业务类型与第一服务器的业务类型是否匹配。如果设备类型和业务类型都匹配,说明第一电子设备符合第一服务器的要求,即第一数据流是安全的,即第一数据流是不具有攻击性的数据流,所以转发第一数据流。如果设备类型和业务类型中存在一个不匹配,说明第一电子设备不符合第一服务器的要求,即第一数据流是不安全的,即第一数据流是具有攻击性的数据流,所以需要阻断第一数据流。因此,本申请实施例提供的方案可以准确的识别电子设备发送的数据流是否具有攻击性,阻断具有攻击性的数据流,以使安全的数据流进入业务服务器,所以本申请实施例提供的方案的防护准确率较高。
请参见图5所示,图5为本申请实施例提供的另一种网络安全防护方法的流程图。图5所示的方法可以包括步骤S201至S209。可选地,图5所示的安全防护方法由图1中的防护设备100执行。
S201、接收第一数据流。
其中,关于S201的具体实现,可以参见图2所示的实施例中关于S101的说明。
S202、确定第一数据流中的目的IP地址对应的检测标识。
其中,检测标识为第一标识或第二标识,第一标识用于指示第一服务器当前正在被攻击,第二标识用于指示第一服务器当前未被攻击。
示例的,请结合图1所示,防护设备100会监控多个业务服务器(B1,B2,…,Bm)的运行情况。具体的,防护设备100可以监控多个业务服务器(B1,B2,…,Bm)中的每个业务服务器的资源占用率,例如中央处理器(CPU,central processing unit)占用率、内存占用率、带宽占用率等等。假设在业务服务器B1未被黑客攻击的情况下,业务服务器B1的资源占用率在20%至50%之间,业务服务器B1会向防护设备100发送IP地址(20.20.20.21)和第二标识;在业务服务器B1被黑客攻击的情况下,业务服务器B1的资源占用率在60%至80%之间,业务服务器B1会向防护设备100发送IP地址(20.20.20.21)和第一标识。
具体的,防护设备100还可以监控多个业务服务器(B1,B2,…,Bm)中的每个业务服务器的同一时间被访问的IP地址的数量,即同一时间访问每个服务器的不同IP地址的数量。假设在业务服务器B1未被黑客攻击的情况下,同一时间访问业务服务器B1的IP地址的数量在10万至20万之间,业务服务器B1会向防护设备100发送IP地址(20.20.20.21)和第二标识。在业务服务器B1被黑客攻击的情况下,同一时间访问业务服务器B1的的IP地址的数量在30万至40万之间,业务服务器B1会向防护设备100发送IP地址(20.20.20.21)和第一标识。
多个业务服务器(B1,B2,…,Bm)可以周期性的将自己的IP地址和检测标识发送给防护设备100,防护设备100可以存储多个业务服务器(B1,B2,…,Bm)中的每个业务服务器发送的IP地址和检测标识。
示例的,请结合表3所示,表3所示的为目的IP地址与检测标识之间的映射关系表。假设表3所示的第一行数据为业务服务器B1向防护设备100发送的数据,即表示业务服务器B1当前正在被攻击;假设表3所示的第二行数据为业务服务器B2向防护设备100发送的数据,即表示业务服务器B2当前未被攻击。
| IP地址 | 检测标识 |
| 20.20.20.21 | 第一标识 |
| 20.20.20.22 | 第二标识 |
| … | … |
表3
可选地,防护设备100采用其他方式确定多个业务服务器(B1,B2,…,Bm)中的每个业务服务器被攻击的情况。例如防护设备100向每个业务服务器发送测试报文,接收相应的响应报文。防护设备100计算发送测试报文的时间与接收到响应报文的时间之间的时间差,根据时间差与预定时延阈值之间的比较结果,确定业务服务器受攻击的情况。例如防护设备100向业务服务器B1发送测试报文,接收服务器B1对应返回的响应报文,防护设备100计算出发送测试报文的时间与接收到响应报文的时间之间的时间差是0.05秒(second)。预定时延阈值是0.8s。由于此时时间差小于预定时延阈值,防护设备100确定服务器B1当前未被攻击,进一步确定服务器B1对应第二标识。又例如,防护设备100向业务服务器B2发送测试报文,接收服务器B2对应返回的响应报文,防护设备100计算出发送测试报文的时间与接收到响应报文的时间之间的时间差是1s。由于此时时间差小于预定时延阈值,防护设备100确定服务器B2当前正在被攻击,进一步确定服务器B2对应第一标识。
除了以上列举的两种防护设备100确定服务器是否正在被攻击的方式之外,防护设备100也可以采用其他确定方式,在这里不再一一列举。
S203、判断目的IP地址对应的检测标识为第一标识或第二标识,在目的IP地址对应的检测标识为第一标识时,执行S204;在目的IP地址对应的检测标识为第二标识时,执行S208。
在图5所示的实施例中,S202和S203为可选的步骤。在S202和S203中,在目的IP地址对应的检测标识为第一标识时,说明第一服务器当前正在被攻击,所以需要确定源IP地址对应的风险值。在目的IP地址对应的检测标识为第二标识时,说明第一服务器当前未被攻击,所以不需要检测第一数据流是否为具有攻击性的数据流,可以直接转发第一数据流,省略执行检测第一数据流是否为具有攻击性的数据流的步骤,从而节省防护设备的处理资源,减少因执行检测第一数据流是否为具有攻击性的数据流而造成的传输时延,提高业务响应的及时性。
S204、判断源IP地址对应的风险值处于第一风险范围内或处于第二风险范围内,如果源IP地址对应的风险值处于第一风险范围内,执行S209;如果源IP地址对应的风险值处于第二风险范围内,执行S205。
其中,第一风险范围内的风险值指示的风险均高于第二风险范围内的风险值指示的风险。第一风险范围与第二风险范围之间存在两种关系,第一种关系为第一风险范围内的最小值大于第二风险范围内的最大值,第二种关系为第二风险范围内的最小值大于第一风险范围内的最大值。
对于第一风险范围内的最小值大于第二风险范围内的最大值而言,示例的,假设预先设定风险值越大所指示的风险越高,风险值越小所指示的风险越低,那么可以将第一风险范围设定为6至10之间的整数,将第二风险范围设定为1至5之间的整数,第一风险范围内的最小值“6”大于第二风险范围内的最大值“5”,第一风险范围内的风险值(6至10之间的整数)指示的风险均高于第二风险范围内的风险值(1至5之间的整数)指示的风险。
对于第二风险范围内的最小值大于第一风险范围内的最大值而言,示例的,假设预先设定风险值越大所指示的风险越低,风险值越小所指示的风险越高,那么可以将第一风险范围设定为1至5之间的整数,将第二风险范围设定为6至10之间的整数,第二风险范围内的最小值“6”大于第一风险范围内的最大值“5”,第一风险范围内的风险值(1至5之间的整数)指示的风险均高于第二风险范围内的风险值(6至10之间的整数)指示的风险。
其中,源IP地址对应的风险值是根据该IP地址在历史时间段内攻击业务服务器的情况来决定的。
例如,假设预先设定风险值越大所指示的风险越高,风险值越小所指示的风险越低。如果源IP地址A在历史时间段内攻击业务服务器的频次较高,那么可以将源IP地址A的风险值调高;又如,源IP地址A在历史时间段内攻击业务服务器的频次较少,那么可以将IP地址A的风险值调低;再如,源IP地址A在历史时间段内未攻击过业务服务器,那么可以将IP地址A的风险值设为最小值。
又如,假设预先设定风险值越大所指示的风险越低,风险值越小所指示的风险越高。如果源IP地址A在历史时间段内攻击业务服务器的频次较高,那么可以将源IP地址A的风险值调低;又如,源IP地址A在历史时间段内攻击业务服务器的频次较少,那么可以将IP地址A的风险值调高;再如,源IP地址A在历史时间段内未攻击过业务服务器,那么可以将IP地址A的风险值设为最大值。
如果源IP地址对应的风险值处于第一风险范围内,说明该源IP地址攻击第一服务器的可能性较大,即第一数据流属于较为危险的数据流,那么防护设备会阻断第一数据流;如果源IP地址对应的风险值处于第二风险范围内,说明该源IP地址攻击第一服务器的可能性较小,即第一数据流并不属于较为危险的数据流,但是也不能认为第一数据流是安全的,所以防护设备会继续检测第一数据流是否为具有攻击性。
在图5所示的实施例中,S204为可选的步骤。在S204中,在源IP地址对应的风险值处于第一风险范围内时,说明该源IP地址攻击第一服务器的可能性较大,所以防护设备会阻断第一数据流,从而可以避免第一服务器被第一数据流攻击。在源IP地址对应的风险值处于第二风险范围内时,说明该源IP地址攻击第一服务器的可能性较小,但是不能认为第一数据流是安全的,所以防护设备会继续检测第一数据流是否为具有攻击性,如果确定第一数据流具有攻击性,那么可以阻断第一数据流,从而可以避免第一服务器被第一数据流攻击。
S205、确定源IP地址对应的第一设备属性信息。
其中,关于S205的具体实现,可以参见图2所示的实施例中关于S102的说明。
S206、确定目的IP地址对应的第二设备属性信息。
其中,关于S206的具体实现,可以参见图2所示的实施例中关于S103的说明。
S207、判断第一设备属性信息与第二设备属性信息是否相匹配,如果是,执行S208;否则,执行S209。
S208、转发第一数据流。
S209、阻断第一数据流。
可选地,关于S207至S209的具体实现,请参见图2所示的实施例中关于S104和S105的说明。
请参见图6所示,图6为本申请实施例提供的又一种网络安全防护方法的流程图。图6所示的方法可以包括步骤S301至S307。可选地,图6所示的安全防护方法由图1中的防护设备100执行。
S301、接收第一数据流。
其中,关于S301的具体实现,可以参见图2所示的实施例中关于S101的说明。
S302、判断源IP地址对应的风险值处于第一风险范围内或处于第二风险范围内,如果源IP地址对应的风险值处于第一风险范围内,执行S307;如果源IP地址对应的风险值处于第二风险范围内,执行S303。
其中,关于S302的具体实现,可以参见图5所示的实施例中关于S204的说明。
在图6所示的实施例中,S302为可选的步骤。在S302中,在源IP地址对应的风险值处于第一风险范围内时,说明该源IP地址攻击第一服务器的可能性较大,所以防护设备会直接阻断第一数据流,而省略检测第一数据流是否为具有攻击性,从而提高阻止攻击的及时性。在源IP地址对应的风险值处于第二风险范围内时,说明该源IP地址攻击第一服务器的可能性较小,但是不能认为第一数据流是安全的,所以防护设备会继续检测第一数据流是否为具有攻击性,如果确定第一数据流具有攻击性,那么可以阻断第一数据流,从而可以避免第一服务器被第一数据流攻击。
S303、确定源IP地址对应的第一设备属性信息。
其中,关于S303的具体实现,可以参见图2所示的实施例中关于S102的说明。
S304、确定目的IP地址对应的第二设备属性信息。
其中,关于S304的具体实现,可以参见图2所示的实施例中关于S103的说明。
S305、判断第一设备属性信息与第二设备属性信息是否相匹配,如果是,执行S306;否则,执行S307。
S306、转发第一数据流。
S307、阻断第一数据流。
可选地,关于S305至S307的具体实现,请参见图2所示的实施例中关于S104和S105的说明。
请参见图7所示,图7为本申请实施例提供的又一种网络安全防护方法的流程图。图7所示的方法可以包括步骤S401至S408。可选地,图7所示的安全防护方法由图1中的防护设备100执行。
S401、接收第一数据流。
其中,关于S401的具体实现,可以参见图2所示的实施例中关于S101的说明。
S402、确定第一数据流中的目的IP地址对应的检测标识。
其中,关于S402的具体实现,可以参见图5所示的实施例中关于S202的说明。
S403、判断目的IP地址对应的检测标识为第一标识或第二标识,在目的IP地址对应的检测标识为第一标识时,执行S404;在目的IP地址对应的检测标识为第二标识时,执行S407。
其中,关于S403的具体实现,可以参见图5所示的实施例中关于S203的说明。
在图7所示的实施例中,S403为可选的步骤。在S403中,在目的IP地址对应的检测标识为第一标识时,说明第一服务器当前正在被攻击,所以需要检测第一数据流是否为具有攻击性的数据流,如果确定第一数据流具有攻击性,那么可以阻断第一数据流,从而可以避免第一服务器被第一数据流攻击。在目的IP地址对应的检测标识为第二标识时,说明第一服务器当前未被攻击,所以不需要检测第一数据流是否为具有攻击性的数据流,可以直接转发第一数据流,省略执行检测第一数据流是否为具有攻击性的数据流的步骤,从而节省防护设备的处理资源,减少因执行检测第一数据流是否为具有攻击性的数据流而造成的传输时延,提高业务响应的及时性。
S404、确定源IP地址对应的第一设备属性信息。
其中,关于S404的具体实现,可以参见图2所示的实施例中关于S102的说明。
S405、确定目的IP地址对应的第二设备属性信息。
其中,关于S405的具体实现,可以参见图2所示的实施例中关于S103的说明。
S406、判断第一设备属性信息与第二设备属性信息是否相匹配,如果是,执行S407;否则,执行S408。
S407、转发第一数据流。
S408、阻断第一数据流。
可选地,关于S406至S408的具体实现,请参见图2所示的实施例中关于S104和S105的说明。
请参见图8所示,图8为本申请实施例提供的又一种网络安全防护方法的流程图。图8所示的方法可以包括步骤S501至S504。可选地,图8所示的安全防护方法由图1中的防护设备100执行。
S501、接收第一数据流。
其中,关于S501的具体实现,可以参见图2所示的实施例中关于S101的说明。
S502、判断源IP地址对应的风险值处于第一风险范围内或处于第二风险范围内,如果源IP地址对应的风险值处于第一风险范围内,执行S503;如果源IP地址对应的风险值处于第二风险范围内,执行S504。
其中,关于S502的具体实现,可以参见图5所示的实施例中关于S204的说明。
在图8所示的实施例中,S502为可选的步骤。在S502中,在源IP地址对应的风险值处于第一风险范围内时,说明该源IP地址攻击第一服务器的可能性较大,所以防护设备会阻断第一数据流,从而可以避免第一服务器被第一数据流攻击。在源IP地址对应的风险值处于第二风险范围内时,说明该源IP地址攻击第一服务器的可能性较小,但是不能认为第一数据流是安全的,所以防护设备会继续检测第一数据流是否为具有攻击性,如果确定第一数据流具有攻击性,那么可以阻断第一数据流,从而可以避免第一服务器被第一数据流攻击。
S503、阻断第一数据流。
S504、根据源IP地址和目的IP地址确定转发或阻断第一数据流。
可选地,由于S504包括图7所示的S402至S408,关于S504的具体实现,请参见图7所示的S402至S408。
相应地,本申请实施例提供了一种防护设备,用以执行上述各个实施例提供的网络安全防护方法。图9是本申请实施例提供的一种防护设备的结构示意图。可选地,图9所示的防护设备是图1、图3和图4所示应用场景中的防护设备100。防护设备包括处理器131、存储器132和网络接口133。
处理器131可以是一个或多个CPU,该CPU可以是单核CPU,也可以是多核CPU。
存储器132包括但不限于是随机存取存储器(random access memory,RAM)、只读存储器(Read only Memory,ROM)、可擦除可编程只读存储器(erasable programmableread-only memory,EPROM或者快闪存储器)、快闪存储器、或光存储器等。存储器132中保存有操作系统的代码。
网络接口133可以是有线接口,例如光纤分布式数据接口(Fiber DistributedData Interface,FDDI)、千兆以太网(Gigabit Ethernet,GE)接口;网络接口133也可以是无线接口。网络接口133用于接收来自于内部网络和/或外部网络的数据流,根据处理器131的指示与内部网络中的交换机进行通信。
可选地,处理器131通过读取存储器132中保存的指令实现上述实施例中的方法,或者,处理器131也可以通过内部存储的指令实现上述实施例中的方法。在处理器131通过读取存储器132中保存的指令实现上述实施例中的方法的情况下,存储器132中保存实现本申请上述实施例提供的方法的指令。
网络接口133,用于接收第一数据流,第一数据流包括源IP地址和目的IP地址,源IP地址为第一电子设备的IP地址,目的IP地址为第一服务器的IP地址。
处理器131执行存储器132中存储的指令后,使得防护设备执行以下操作:确定源IP地址对应的第一设备属性信息,第一设备属性信息包括第一设备类型和第一业务类型,第一设备类型为第一电子设备的设备类型,第一业务类型为第一设备类型支持访问的业务类型;确定目的IP地址对应的第二设备属性信息,第二设备属性信息包括第二设备类型和第二业务类型,第二设备类型为允许访问第一服务器的设备类型,第二业务类型为第一服务器提供服务的业务类型;在第一设备属性信息与第二设备属性信息相匹配时,指示网络接口133转发第一数据流;在第一设备属性信息与第二设备属性信息不匹配时,阻断第一数据流。
至少一个处理器131进一步根据存储器132保存的若干对应关系表(如前面实施例中的表1至表3)来执行上述方法实施例所描述的网络安全防护方法。处理器131实现上述功能的更多细节请参考前面各个方法实施例中的描述,在这里不再重复。
可选地,防护设备还包括总线134,上述处理器131和存储器132通过总线134相互连接,也可以采用其他方式相互连接。
可选地,防护设备还包括输入设备135和输出设备136,输入设备135用于向防护设备输入数据,输出设备136用于输出防护设备的处理结果。
输入设备135包括但不限于键盘、触摸屏、麦克风等。输出设备136包括但不限于显示器、打印机等。
图10是本申请实施例提供的另一种防护设备的结构示意图。该防护设备包括接收模块141、处理模块142和发送模块143。图10所示的防护设备应用于图1所示的场景中,实现其中防护设备100的功能。
接收模块141,接收第一数据流,第一数据流包括源IP地址和目的IP地址,源IP地址为第一电子设备的IP地址,目的IP地址为第一服务器的IP地址;
处理模块142,用于确定源IP地址对应的第一设备属性信息,第一设备属性信息包括第一设备类型和第一业务类型,第一设备类型为第一电子设备的设备类型,第一业务类型为第一设备类型支持访问的业务类型;确定目的IP地址对应的第二设备属性信息,第二设备属性信息包括第二设备类型和第二业务类型,第二设备类型为允许访问第一服务器的设备类型,第二业务类型为第一服务器提供服务的业务类型;在第一设备属性信息与第二设备属性信息相匹配时,指示发送模块143转发第一数据流;在第一设备属性信息与第二设备属性信息不匹配时,阻断第一数据流。
接收模块141和处理模块142能够实现的附加功能、实现上述功能的更多细节请参考前面各个方法实施例中的描述,在这里不再重复。
图10所描述的装置实施例仅仅是示意性的,例如,所述模块的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个模块或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。在本申请各个实施例中的各功能模块可以集成在一个处理模块中,也可以是各个模块单独物理存在,也可以两个或两个以上模块集成在一个模块中。图10中上述各个模块既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。例如,采用软件实现时,接收模块141和处理模块142可以是由图9中的处理器131读取存储器中存储的程序代码后,生成的软件功能模块来实现。图10中上述各个模块也可以由网络设备中的不同硬件分别实现,例如接收模块141由图9中的网络接口133实现,而处理模块142由图9中处理器131中的部分处理资源(例如多核处理器中的其他核),或者采用现场可编程门阵列(Field-Programmable Gate Array,FPGA)、或协处理器等可编程器件来完成。显然上述功能模块也可以采用软件硬件相结合的方式来实现,例如接收模块141由网络接口133实现,而处理模块142是由CPU读取存储器中存储的指令后生成的软件功能模块。
图10中装置可以实现的其他附加功能、与其他网元设备的交互过程、以及能够实现的技术效果、以及接收模块141和处理模块142实现上述功能的更多细节请参考前面各个方法实施例中对于网络设备的描述,在这里不再赘述。
本说明书中的各个实施例均采用递进的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于系统实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
本领域普通技术人员将会理解,当使用软件实现本申请实施例的各个方面、或各个方面的可能实现方式时,上述各个方面、或各个方面的可能实现方式可以全部或部分地以计算机程序产品的形式实现。计算机程序产品是指存储在计算机可读介质中的计算机可读指令。在计算机上加载和执行所述计算机指令时,全部或部分地产生按照本申请实施例所述的流程或功能。
计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质。计算机可读存储介质包括但不限于电子、磁性、光学、电磁、红外或半导体系统、设备或者装置,或者前述的任意适当组合。如计算机可读存储介质为随机存取存储器(Random Access Memory,RAM)、只读存储器(read only memory,ROM)、可擦除可编程只读存储器(ErasableProgrammable Read Only Memory,EPROM)或便携式只读存储器(Compact Disc Read-OnlyMemory,CD-ROM)。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的范围。这样,倘若本申请的这些修改和变型属于本发明权利要求的范围之内,则本发明也意图包括这些改动和变型在内。
Claims (23)
1.一种网络安全防护方法,其特征在于,包括:
接收第一数据流,所述第一数据流包括源IP地址和目的IP地址,所述源IP地址为第一电子设备的IP地址,所述目的IP地址为第一服务器的IP地址;
确定所述源IP地址对应的第一设备属性信息,所述第一设备属性信息包括第一设备类型和第一业务类型,所述第一设备类型为所述第一电子设备的设备类型,所述第一业务类型为所述第一设备类型支持访问的业务类型;
确定所述目的IP地址对应的第二设备属性信息,所述第二设备属性信息包括第二设备类型和第二业务类型,所述第二设备类型为允许访问所述第一服务器的设备类型,所述第二业务类型为所述第一服务器提供服务的业务类型;
在所述第一设备属性信息与所述第二设备属性信息相匹配时,转发所述第一数据流;
在所述第一设备属性信息与所述第二设备属性信息不匹配时,阻断所述第一数据流。
2.根据权利要求1所述的网络安全防护方法,其特征在于,在确定所述源IP地址对应的第一设备属性信息以前,所述方法还包括:
确定所述第一数据流中的所述目的IP地址对应的检测标识,所述检测标识为第一标识或第二标识,所述第一标识用于指示所述第一服务器当前正在被攻击,所述第二标识用于指示所述第一服务器当前未被攻击;
在所述检测标识为所述第一标识时,确定所述源IP地址对应的风险值;在所述源IP地址对应的风险值处于第一风险范围内时,阻断所述第一数据流;在所述源IP地址对应的风险值处于第二风险范围内时,执行确定所述源IP地址对应的第一设备属性信息的步骤,所述第一风险范围内的最小值大于所述第二风险范围内的最大值,或者,所述第二风险范围内的最小值大于所述第一风险范围内的最大值,所述第一风险范围内的风险值指示的风险均高于所述第二风险范围内的风险值指示的风险;
在所述检测标识为所述第二标识时,转发所述第一数据流。
3.根据权利要求1所述的网络安全防护方法,其特征在于,在确定所述源IP地址对应的第一设备属性信息以前,所述方法还包括:
确定所述源IP地址对应的风险值;
在所述源IP地址对应的风险值处于第一风险范围内时,阻断所述第一数据流;
在所述源IP地址对应的风险值处于第二风险范围内时,执行确定所述源IP地址对应的第一设备属性信息的步骤,所述第一风险范围内的最小值大于所述第二风险范围内的最大值,或者,所述第二风险范围内的最小值大于所述第一风险范围内的最大值,所述第一风险范围内的风险值指示的风险均高于所述第二风险范围内的风险值指示的风险。
4.根据权利要求1所述的网络安全防护方法,其特征在于,在确定所述源IP地址对应的第一设备属性信息以前,所述方法还包括:
确定所述第一数据流中的所述目的IP地址对应的检测标识,所述检测标识为第一标识或第二标识,所述第一标识用于指示所述第一服务器当前正在被攻击,所述第二标识用于指示所述第一服务器当前未被攻击;
在所述检测标识为所述第一标识时,执行确定所述源IP地址对应的第一设备属性信息的步骤;
在所述检测标识为所述第二标识时,转发所述第一数据流。
5.根据权利要求1-4任意一项所述的网络安全防护方法,其特征在于,确定所述源IP地址对应的第一设备属性信息,包括:
通过第三方服务器确定所述源IP地址对应的第一设备类型。
6.根据权利要求5所述的网络安全防护方法,其特征在于,通过第三方服务器确定所述源IP地址对应的第一设备类型,包括:
向所述第三方服务器发送查询请求,所述查询请求包括所述源IP地址;
接收所述第三方服务器发送的反馈数据,所述反馈数据包括所述源IP地址对应的第一设备类型;
解析所述反馈数据得到所述源IP地址对应的第一设备类型。
7.根据权利要求1-4任意一项所述的网络安全防护方法,其特征在于,确定所述源IP地址对应的第一设备属性信息,包括:
通过开源扫描软件确定所述源IP地址对应的第一设备类型。
8.根据权利要求7所述的网络安全防护方法,其特征在于,通过开源扫描软件确定所述源IP地址对应的第一设备类型,包括:
通过查询数据库获得所述源IP地址对应的第一设备类型,其中所述数据库中保存有IP地址和设备类型的对应关系,所述对应关系中的设备类型是指示开源扫描软件对指定IP地址进行扫描后,从扫描结果中获得的。
9.根据权利要求1-4任意一项所述的网络安全防护方法,其特征在于,确定所述目的IP地址对应的第二设备属性信息,包括:
基于IP地址、设备类型与业务类型之间的映射关系,确定所述目的IP地址对应的第二设备类型和第二业务类型,其中,所述IP地址、所述设备类型与所述业务类型之间的映射关系是根据各个业务服务器提供的信息生成的,其中所述第一服务器属于业务服务器。
10.根据权利要求2或4所述的网络安全防护方法,其特征在于,确定所述第一数据流中的所述目的IP地址对应的检测标识,包括:
根据存储的IP地址与检测标识的映射关系,确定所述第一数据流中的目的IP地址对应的检测标识。
11.根据权利要求1-4任意一项所述的网络安全防护方法,其特征在于:
所述第一设备类型或所述第二设备类型为设备类型集合中的一种,所述设备类型集合包括:网关/网络设备类、独立设备类或个人设备类。
12.一种防护设备,其特征在于,包括网络接口、存储器和与所述存储器连接的处理器,所述存储器用于存储指令;
所述网络接口用于接收第一数据流,所述第一数据流包括源IP地址和目的IP地址,所述源IP地址为第一电子设备的IP地址,所述目的IP地址为第一服务器的IP地址;
所述处理器用于执行所述指令,以使所述防护设备执行以下操作:
确定所述源IP地址对应的第一设备属性信息,所述第一设备属性信息包括第一设备类型和第一业务类型,所述第一设备类型为所述第一电子设备的设备类型,所述第一业务类型为所述第一设备类型支持访问的业务类型;确定所述目的IP地址对应的第二设备属性信息,所述第二设备属性信息包括第二设备类型和第二业务类型,所述第二设备类型为允许访问所述第一服务器的设备类型,所述第二业务类型为所述第一服务器提供服务的业务类型;在所述第一设备属性信息与所述第二设备属性信息相匹配时,通过所述网络接口转发所述第一数据流;在所述第一设备属性信息与所述第二设备属性信息不匹配时,阻断所述第一数据流。
13.根据权利要求12所述的防护设备,其特征在于:
所述处理器,还用于确定所述第一数据流中的所述目的IP地址对应的检测标识,所述检测标识为第一标识或第二标识,所述第一标识用于指示所述第一服务器当前正在被攻击,所述第二标识用于指示所述第一服务器当前未被攻击;在所述检测标识为所述第一标识时,确定所述源IP地址对应的风险值;在所述源IP地址对应的风险值处于第一风险范围内时,阻断所述第一数据流;在所述源IP地址对应的风险值处于第二风险范围内时,确定所述源IP地址对应的第一设备属性信息,所述第一风险范围内的最小值大于所述第二风险范围内的最大值,或者,所述第二风险范围内的最小值大于所述第一风险范围内的最大值;所述第一风险范围内的风险值指示的风险均高于所述第二风险范围内的风险值指示的风险;在所述检测标识为所述第二标识时,转发所述第一数据流。
14.根据权利要求12所述的防护设备,其特征在于:
所述处理器,还用于确定所述源IP地址对应的风险值;在所述源IP地址对应的风险值处于第一风险范围内时,阻断所述第一数据流;在所述源IP地址对应的风险值处于第二风险范围内时,确定所述源IP地址对应的第一设备属性信息,所述第一风险范围内的最小值大于所述第二风险范围内的最大值,或者,所述第二风险范围内的最小值大于所述第一风险范围内的最大值;所述第一风险范围内的风险值指示的风险均高于所述第二风险范围内的风险值指示的风险。
15.根据权利要求12所述的防护设备,其特征在于:
所述处理器,还用于确定所述第一数据流中的所述目的IP地址对应的检测标识,所述检测标识为第一标识或第二标识,所述第一标识用于指示所述第一服务器当前正在被攻击,所述第二标识用于指示所述第一服务器当前未被攻击;在所述检测标识为所述第一标识时,确定所述源IP地址对应的第一设备属性信息;在所述检测标识为所述第二标识时,转发所述第一数据流。
16.根据权利要求12-15任意一项所述的防护设备,其特征在于:
所述处理器,具体用于通过第三方服务器确定所述源IP地址对应的第一设备类型。
17.根据权利要求16所述的防护设备,其特征在于:
所述处理器,具体用于向所述第三方服务器发送查询请求,所述查询请求包括所述源IP地址;接收所述第三方服务器发送的反馈数据,所述反馈数据包括所述源IP地址对应的第一设备类型;解析所述反馈数据得到所述源IP地址对应的第一设备类型。
18.根据权利要求12-15任意一项所述的防护设备,其特征在于:
所述处理器,具体用于通过开源扫描软件确定所述源IP地址对应的第一设备类型。
19.根据权利要求18所述的防护设备,其特征在于:
所述处理器,具体用于通过查询数据库获得所述源IP地址对应的第一设备类型,其中所述数据库中保存有IP地址和设备类型的对应关系,所述对应关系中的设备类型是指示开源扫描软件对指定IP地址进行扫描后,从扫描结果中获得的。
20.根据权利要求12-15任意一项所述的防护设备,其特征在于:
所述处理器,具体用于基于数据库中的IP地址、设备类型与业务类型之间的映射关系,确定所述目的IP地址对应的第二设备类型和第二业务类型,其中,所述IP地址、所述设备类型与所述业务类型之间的映射关系是根据各个业务服务器提供的信息生成的,其中所述第一服务器属于业务服务器。
21.根据权利要求13或15所述的防护设备,其特征在于:
所述处理器,具体用于根据存储的IP地址与检测标识的映射关系,确定所述第一数据流中的目的IP地址对应的检测标识。
22.根据权利要求12-15任意一项所述的防护设备,其特征在于:
所述第一设备类型或所述第二设备类型为设备类型集合中的一种,所述设备类型集合包括:网关/网络设备类、独立设备类或个人设备类。
23.一种防护设备,其特征在于,包括:
接收模块,接收第一数据流,所述第一数据流包括源IP地址和目的IP地址,所述源IP地址为第一电子设备的IP地址,所述目的IP地址为第一服务器的IP地址;
处理模块,用于确定所述源IP地址对应的第一设备属性信息,所述第一设备属性信息包括第一设备类型和第一业务类型,所述第一设备类型为所述第一电子设备的设备类型,所述第一业务类型为所述第一设备类型支持访问的业务类型;确定所述目的IP地址对应的第二设备属性信息,所述第二设备属性信息包括第二设备类型和第二业务类型,所述第二设备类型为允许访问所述第一服务器的设备类型,所述第二业务类型为所述第一服务器提供服务的业务类型;在所述第一设备属性信息与所述第二设备属性信息相匹配时,指示发送模块转发所述第一数据流;在所述第一设备属性信息与所述第二设备属性信息不匹配时,阻断所述第一数据流。
Priority Applications (7)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911408206.7A CN113132308B (zh) | 2019-12-31 | 2019-12-31 | 一种网络安全防护方法及防护设备 |
| MX2022008154A MX2022008154A (es) | 2019-12-31 | 2020-09-11 | Metodo de proteccion de seguridad de red y dispositivo de proteccion. |
| JP2022537782A JP7462757B2 (ja) | 2019-12-31 | 2020-09-11 | ネットワークセキュリティ保護方法及び保護デバイス |
| CA3158824A CA3158824A1 (en) | 2019-12-31 | 2020-09-11 | Network security protection method and protection device |
| EP20909365.7A EP4050859A4 (en) | 2019-12-31 | 2020-09-11 | NETWORK SECURITY PROTECTION METHOD AND PROTECTION DEVICE |
| PCT/CN2020/114685 WO2021135382A1 (zh) | 2019-12-31 | 2020-09-11 | 一种网络安全防护方法及防护设备 |
| US17/851,195 US20220329609A1 (en) | 2019-12-31 | 2022-06-28 | Network Security Protection Method and Protection Device |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911408206.7A CN113132308B (zh) | 2019-12-31 | 2019-12-31 | 一种网络安全防护方法及防护设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN113132308A CN113132308A (zh) | 2021-07-16 |
| CN113132308B true CN113132308B (zh) | 2022-05-17 |
Family
ID=76685902
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201911408206.7A Active CN113132308B (zh) | 2019-12-31 | 2019-12-31 | 一种网络安全防护方法及防护设备 |
Country Status (7)
| Country | Link |
|---|---|
| US (1) | US20220329609A1 (zh) |
| EP (1) | EP4050859A4 (zh) |
| JP (1) | JP7462757B2 (zh) |
| CN (1) | CN113132308B (zh) |
| CA (1) | CA3158824A1 (zh) |
| MX (1) | MX2022008154A (zh) |
| WO (1) | WO2021135382A1 (zh) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114826630A (zh) * | 2021-01-22 | 2022-07-29 | 华为技术有限公司 | 防护设备中的流量处理方法及防护设备 |
| US11757929B2 (en) | 2021-05-27 | 2023-09-12 | Pantheon Systems, Inc. | Traffic-shaping HTTP proxy for denial-of-service protection |
| CN114363386B (zh) * | 2021-12-31 | 2024-04-12 | 中控创新(北京)能源技术有限公司 | 工控安全管理装置和油气管道控制系统 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105991628A (zh) * | 2015-03-24 | 2016-10-05 | 杭州迪普科技有限公司 | 网络攻击的识别方法和装置 |
| CN106714076A (zh) * | 2015-11-12 | 2017-05-24 | 中兴通讯股份有限公司 | 一种触发mtc设备的方法和装置 |
| CN107465651A (zh) * | 2016-06-06 | 2017-12-12 | 腾讯科技(深圳)有限公司 | 网络攻击检测方法及装置 |
| CN107493276A (zh) * | 2017-08-08 | 2017-12-19 | 北京神州绿盟信息安全科技股份有限公司 | 一种网络安全防护的方法及装置 |
| CN108521408A (zh) * | 2018-03-22 | 2018-09-11 | 平安科技(深圳)有限公司 | 抵抗网络攻击方法、装置、计算机设备及存储介质 |
Family Cites Families (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2001057554A (ja) * | 1999-08-17 | 2001-02-27 | Yoshimi Baba | クラッカー監視システム |
| US20020032871A1 (en) * | 2000-09-08 | 2002-03-14 | The Regents Of The University Of Michigan | Method and system for detecting, tracking and blocking denial of service attacks over a computer network |
| JP2004038557A (ja) * | 2002-07-03 | 2004-02-05 | Oki Electric Ind Co Ltd | 不正アクセス遮断システム |
| JP2006148778A (ja) * | 2004-11-24 | 2006-06-08 | Nippon Telegr & Teleph Corp <Ntt> | パケット転送制御装置 |
| JP5088830B2 (ja) * | 2008-10-30 | 2012-12-05 | 岩崎通信機株式会社 | パケット通過制御方法 |
| JP5110538B2 (ja) * | 2009-07-16 | 2012-12-26 | Necアクセステクニカ株式会社 | ネットワークシステム、ネットワーク装置、ネットワーク方法及びプログラム |
| JP5300076B2 (ja) * | 2009-10-07 | 2013-09-25 | 日本電気株式会社 | コンピュータシステム、及びコンピュータシステムの監視方法 |
| CN103581018B (zh) * | 2013-07-26 | 2017-08-11 | 北京华为数字技术有限公司 | 报文发送方法、路由器以及业务交换器 |
| CN104901960A (zh) * | 2015-05-26 | 2015-09-09 | 汉柏科技有限公司 | 一种基于告警策略的网络安全管理设备及方法 |
| CN107426168A (zh) * | 2017-05-23 | 2017-12-01 | 国网山东省电力公司电力科学研究院 | 一种网络安全访问处理方法及装置 |
| CN109587156B (zh) * | 2018-12-17 | 2021-07-09 | 广州天懋信息系统股份有限公司 | 异常网络访问连接识别与阻断方法、系统、介质和设备 |
-
2019
- 2019-12-31 CN CN201911408206.7A patent/CN113132308B/zh active Active
-
2020
- 2020-09-11 CA CA3158824A patent/CA3158824A1/en active Pending
- 2020-09-11 WO PCT/CN2020/114685 patent/WO2021135382A1/zh unknown
- 2020-09-11 EP EP20909365.7A patent/EP4050859A4/en active Pending
- 2020-09-11 JP JP2022537782A patent/JP7462757B2/ja active Active
- 2020-09-11 MX MX2022008154A patent/MX2022008154A/es unknown
-
2022
- 2022-06-28 US US17/851,195 patent/US20220329609A1/en active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105991628A (zh) * | 2015-03-24 | 2016-10-05 | 杭州迪普科技有限公司 | 网络攻击的识别方法和装置 |
| CN106714076A (zh) * | 2015-11-12 | 2017-05-24 | 中兴通讯股份有限公司 | 一种触发mtc设备的方法和装置 |
| CN107465651A (zh) * | 2016-06-06 | 2017-12-12 | 腾讯科技(深圳)有限公司 | 网络攻击检测方法及装置 |
| CN107493276A (zh) * | 2017-08-08 | 2017-12-19 | 北京神州绿盟信息安全科技股份有限公司 | 一种网络安全防护的方法及装置 |
| CN108521408A (zh) * | 2018-03-22 | 2018-09-11 | 平安科技(深圳)有限公司 | 抵抗网络攻击方法、装置、计算机设备及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| EP4050859A4 (en) | 2022-12-28 |
| EP4050859A1 (en) | 2022-08-31 |
| CA3158824A1 (en) | 2021-07-08 |
| MX2022008154A (es) | 2022-07-21 |
| US20220329609A1 (en) | 2022-10-13 |
| JP7462757B2 (ja) | 2024-04-05 |
| JP2023508302A (ja) | 2023-03-02 |
| CN113132308A (zh) | 2021-07-16 |
| WO2021135382A1 (zh) | 2021-07-08 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN113132308B (zh) | 一种网络安全防护方法及防护设备 | |
| US9185093B2 (en) | System and method for correlating network information with subscriber information in a mobile network environment | |
| US11671402B2 (en) | Service resource scheduling method and apparatus | |
| CN109257326B (zh) | 防御数据流攻击的方法、装置和存储介质及电子设备 | |
| CN110808913B (zh) | 报文处理的方法、装置及相关设备 | |
| CN108881101B (zh) | 一种基于文档对象模型的跨站脚本漏洞防御方法、装置以及客户端 | |
| US10193890B2 (en) | Communication apparatus to manage whitelist information | |
| EP2136526A1 (en) | Method, device for identifying service flows and method, system for protecting against a denial of service attack | |
| US10257213B2 (en) | Extraction criterion determination method, communication monitoring system, extraction criterion determination apparatus and extraction criterion determination program | |
| US9338657B2 (en) | System and method for correlating security events with subscriber information in a mobile network environment | |
| JP4692776B2 (ja) | Sipベースのアプリケーションを保護する方法 | |
| CN108429739B (zh) | 一种识别蜜罐的方法、系统及终端设备 | |
| KR102376493B1 (ko) | Nfv 기반 메시징 서비스 보안 제공 방법 및 이를 위한 시스템 | |
| CN110913011B (zh) | 会话保持方法、会话保持装置、可读存储介质及电子设备 | |
| CN111181910B (zh) | 一种分布式拒绝服务攻击的防护方法和相关装置 | |
| CN115017502A (zh) | 一种流量处理方法、及防护系统 | |
| CN115603974A (zh) | 一种网络安全防护方法、装置、设备及介质 | |
| CN113328976B (zh) | 一种安全威胁事件识别方法、装置及设备 | |
| KR102046612B1 (ko) | Sdn 기반의 dns 증폭 공격 방어시스템 및 그 방법 | |
| CN112217770B (zh) | 一种安全检测方法、装置、计算机设备及存储介质 | |
| RU2517438C2 (ru) | Способ и система для распределения отчетов о доставке | |
| CN111385248B (zh) | 攻击防御方法和攻击防御设备 | |
| CN116132194B (zh) | 嵌入式设备未知攻击入侵检测防御方法、系统及装置 | |
| CN110768983B (zh) | 一种报文处理方法和装置 | |
| CN117640166A (zh) | 名单构造方法、装置、存储介质及电子设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |