CN113301053B - 一种基于可扩展的高性能网络边界防护检测系统及方法 - Google Patents
一种基于可扩展的高性能网络边界防护检测系统及方法 Download PDFInfo
- Publication number
- CN113301053B CN113301053B CN202110599899.3A CN202110599899A CN113301053B CN 113301053 B CN113301053 B CN 113301053B CN 202110599899 A CN202110599899 A CN 202110599899A CN 113301053 B CN113301053 B CN 113301053B
- Authority
- CN
- China
- Prior art keywords
- service
- service data
- service processing
- data
- performance
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
- H04L63/205—Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0263—Rule management
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Business, Economics & Management (AREA)
- General Business, Economics & Management (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开了一种基于可扩展的高性能网络边界防护检测系统和方法,包括边界安全防护设备框架,用于在多槽位的可扩展硬件架构上插接不同业务处理单元以进行多功能扩展;安全管理控制单元,用于对不同业务处理单元进行业务安全策略预制和处理规则预制,及对不同业务数据的控制规则预制;业务数据收发单元,用于对外网和内网的访问数据流进行三元组信息安全策略判别,将不同类型的业务数据下发至对应槽位的业务处理单元;业务处理单元,用于根据预制的处理规则对业务数据进行分析检测。本发明采用一套有效的扩展机制将主动防护、被动防护、高低性能向结合的方法,对不同的数据流进行规则划分,在保证业务安全有效的前提下有效提升边界防护的能力。
Description
技术领域
本发明涉及网络边界防护技术领域,具体涉及一种基于可扩展的高性能网络边界防护检测系统及方法。
背景技术
随着信息化系统建设的原来越完善,不同单位和组织其更多的信息、知识产权、以及核心机密越来越数字化、公开化。数字化的信息共享在内部能够提高单位、组织其自身的工作效率、在外部能够提高单位市场竞争力和组织的影响力,其带来的好处是显而易见的。当然更多信息的数字化和公开化带来的弊端就是网络信息的泄漏。如何能让信息得到有效防护和受控访问,是摆在信息化建设的首要问题。在提供数字化便宜的前提下,首先要确保信息的安全性。
数字化信息的防护有多种方式,如:信源防护、链路防护、访问授权、边界防护等,这些防护方式均是站在不同的防护角度去理解防护。信源防护将访问的信息在访问服务器上进行数据加密,这层防护需要服务提供商实施安全措施;链路防护通常采用链路加密机,其在防护时不针对某类业务防护,而是对整个链路上所有的数据进行防护;访问授权主要采用认证的方式对信息进行访问;边界防护主要是对外部网络访问内部网络时采用的主动防御;以上一种防护方式有个各的使用场景及意义。在防护手段上通用及最有效的防护方式是边界防护,其衍生出的防护手段也是最多的。
针对边界防护主要有一下几类:
1、基础防火墙类,主要是可实现基本包过滤策略的防火墙,这类是有硬件处理、软bai件处理等,其主要功能实现是限制对IP:port的访问。基本上的实现都是默认情况下关闭所有的通过型访问,只开放允许访问的策略。
2、IDS类,此类产品基本上以旁路为主,特点是不阻断任何网络访问,主要以提供报告和事后监督为主,少量的类似产品还提供TCP阻断等功能,但少有使用。
3、IPS类,解决了IDS无法阻断的问题,基本上以在线模式为主,系统提供多个端口,以透明模式工作。在一些传统防火墙的新产品中也提供了类似功能,其特点是可以分析到数据包的内容,解决传统防火墙只能工作在4层以下的问题。和IDS一样,IPS也要像防病毒系统定义N种已知的攻击模式,并主要通过模式匹配去阻断非法访问。
4、主动安全类,主动安全产品的特点是协议针对性非常强,比如WAF就是专门负责HTTP协议的安全处理,DAF就是专门负责数据库Sql查询类的安全处理。在主动安全产品中通常会处理到应用级的访问流程。
以上几类边界防护手段侧重点、部署防暑均不一样,如何能将各类防护方式协同工作,这样才能最大限度的提升边界防护的安全性和可靠性。
发明内容
针对现有技术中的上述不足,本发明提供了一种基于可扩展的高性能网络边界防护检测系统及方法。
为了达到上述发明目的,本发明采用的技术方案为:
第一方面,本发明提供了一种基于可扩展的高性能网络边界防护检测系统,包括:
边界安全防护设备框架,用于在多槽位的可扩展硬件架构上插接不同业务处理单元以进行多功能扩展;
安全管理控制单元,用于配置外网和内网的网络信息和不同业务处理单元的属性信息,对不同业务处理单元进行业务安全策略预制和处理规则预制,及对不同业务数据的控制规则预制,并将业务安全策略下发至业务数据收发单元;
业务数据收发单元,用于接收所述安全管理控制单元下发的业务安全策略和控制规则,对外网和内网的访问数据流进行三元组信息安全策略判别,根据判别结果将不同类型的业务数据下发至对应槽位的业务处理单元;并且接收业务处理单元反馈的检测结果,结合控制规则对业务数据进行处理;
业务处理单元,用于根据预制的处理规则对业务数据进行分析检测,并将检测结果反馈至所述业务数据收发单元。
进一步地,所述业务处理单元具体包括:
串行业务处理单元,用于根据预制的串行业务处理规则对所述业务数据收发单元判别的串行分析类型的业务数据进行分析检测,并将检测结果反馈至所述业务数据收发单元;所述分析检测包括IP数据头完整性检查、校验和、数据重放检查、及数据格式检查;
并行业务处理单元,用于根据预制的并行业务处理规则对所述业务数据收发单元判别的并行分析类型的业务数据进行分析检测,并将检测结果反馈至所述业务数据收发单元;所述分析检测包括攻击行为监测和数据篡改检查;
串行高性能业务处理单元,用于根据预制的串行高性能业务处理规则对所述业务数据收发单元判别的串行高性能分析类型的业务数据进行分析检测,并将检测结果反馈至所述业务数据收发单元;所述分析检测包括数据包内容长度检查、数据包分片检查、数据包固定偏移量检查;
并行低性能业务处理单元,用于根据预制的并行低性能业务处理规则对所述业务数据收发单元判别的并行低性能分析类型的业务数据进行分析检测,并将检测结果反馈至所述业务数据收发单元;所述分析检测包括攻击行为建模、数据包回溯、异常行为告警。
进一步地,所述并行业务处理单元还包括:
在完成分析检测后,根据安全管理控制单元配置的外网和内网的网络信息,将并行分析类型的业务数据同步发送至第三方检测服务器,等待第三方检测服务器的反馈结果,并将检测结果和反馈结果一起反馈至所述业务数据收发单元;
所述并行低性能业务处理单元还包括:
在完成分析检测后,根据安全管理控制单元配置的外网和内网的网络信息,将并行低性能分析类型的业务数据同步发送至第三方检测服务器,等待第三方检测服务器的反馈结果,并将检测结果和反馈结果一起反馈至所述业务数据收发单元。
进一步地,所述安全管理控制单元具体包括:
分别配置外网和内网的IP接口地址,并且分别配置串行业务处理单元、并行业务处理单元、串行高性能业务处理单元和并行低性能业务处理单元进行处理的业务数据类型,形成业务数据类型与各个业务处理单元对应槽位的映射关系。
进一步地,所述安全管理控制单元还包括:
用于对系统运行设置、业务处理单元的扩展注册,以及通过对各个业务处理单元功能检测的状态收集,进行数据统一汇总和数据可视化显示,以对安全态势进行统一汇总展示,对管理员提供人机交互展示。
第二方面,本发明提供了一种基于可扩展的高性能网络边界防护检测方法,包括以下步骤:
S1、构建边界安全防护设备框架,在多槽位的可扩展硬件架构上插接不同业务处理单元;
S2、利用安全管理控制单元配置外网和内网的网络信息和不同业务处理单元的属性信息,对不同业务处理单元进行业务安全策略预制和处理规则预制,及对不同业务数据的控制规则预制,并将业务安全策略下发至业务数据收发单元;
S3、利用数据收发单元在收到业务数据时将接收安全管理控制单元下发的业务安全策略写入业务分类表,通过业务分类表对外网和内网的访问数据流进行三元组信息安全策略判别,根据判别结果将不同类型的业务数据下发至对应槽位的业务处理单元;
S4、利用业务处理单元根据预制的处理规则对业务数据进行分析检测,并将检测结果反馈至所述业务数据收发单元;
S5、利用业务数据收发单元接收业务处理单元反馈的检测结果,结合控制规则对业务数据进行处理。
进一步地,所述步骤S4具体包括:
利用串行业务处理单元根据预制的串行业务处理规则对业务数据收发单元判别的串行分析类型的业务数据进行分析检测,并将检测结果反馈至业务数据收发单元;所述分析检测包括IP数据头完整性检查、校验和、数据重放检查、及数据格式检查;
利用并行业务处理单元根据预制的并行业务处理规则对业务数据收发单元判别的并行分析类型的业务数据进行分析检测,并将检测结果反馈至业务数据收发单元;所述分析检测包括攻击行为监测和数据篡改检查;
利用串行高性能业务处理单元根据预制的串行高性能业务处理规则对业务数据收发单元判别的串行高性能分析类型的业务数据进行分析检测,并将检测结果反馈至业务数据收发单元;所述分析检测包括数据包内容长度检查、数据包分片检查、数据包固定偏移量检查;
利用并行低性能业务处理单元根据预制的并行低性能业务处理规则对业务数据收发单元判别的并行低性能分析类型的业务数据进行分析检测,并将检测结果反馈至业务数据收发单元;所述分析检测包括攻击行为建模、数据包回溯、异常行为告警。
进一步地,所述步骤S4还包括:
利用并行业务处理单元在完成分析检测后,根据安全管理控制单元配置的外网和内网的网络信息,将并行分析类型的业务数据同步发送至第三方检测服务器,等待第三方检测服务器的反馈结果,并将检测结果和反馈结果一起反馈至所述业务数据收发单元;
利用并行低性能业务处理单元在完成分析检测后,根据安全管理控制单元配置的外网和内网的网络信息,将并行低性能分析类型的业务数据同步发送至第三方检测服务器,等待第三方检测服务器的反馈结果,并将检测结果和反馈结果一起反馈至所述业务数据收发单元。
进一步地,所述步骤S2具体包括:
分别配置外网和内网的IP接口地址,并且分别配置串行业务处理单元、并行业务处理单元、串行高性能业务处理单元和并行低性能业务处理单元进行处理的业务数据类型,形成业务数据类型与各个业务处理单元对应槽位的映射关系。
进一步地,所述步骤S2还包括:
用于对系统运行设置、业务处理单元的扩展注册,以及通过对各个业务处理单元功能检测的状态收集,进行数据统一汇总和数据可视化显示,以对安全态势进行统一汇总展示,对管理员提供人机交互展示。
本发明具有以下有益效果:
(1)本发明能够提升边界防护设备部署特性,在一个设备中根据业务区分其是适合并行处理,还是串行处理,还将高性能、低性能也根据业务属性向结合,能够更灵活的适配边界防护业务。
(2)本发明可根据自身边界防护的特点选配模式,并没有唯一的固定使用部署方式。
(3)本发明可动态的扩展不同业务种类防护方式。将多种方式相结合,能够更灵活的扩展防护等级和防护方式。
附图说明
图1为本发明基于可扩展的高性能网络边界防护检测系统结构示意图;
图2为本发明基于可扩展的高性能网络边界防护检测方法流程示意图。
具体实施方式
下面对本发明的具体实施方式进行描述,以便于本技术领域的技术人员理解本发明,但应该清楚,本发明不限于具体实施方式的范围,对本技术领域的普通技术人员来讲,只要各种变化在所附的权利要求限定和确定的本发明的精神和范围内,这些变化是显而易见的,一切利用本发明构思的发明创造均在保护之列。
由于边界防护的技术有主动、被动之分,部署方式有串行、并行之分,性能有高性能、低性能之分。本发明在以上边界防护技术特性基础上提出一种基于可扩展的高性能网络边界防护检测方法和系统,该方法和系统采用了一套有效的扩展机制将主动防护、被动防护、高低性能向结合的方法,对不同的数据流进行规则划分,在保证业务安全有效的前提下有效提升边界防护的能力。
实施例1
针对现有边界防护存在主动、被动、串行、并行、高性能、低性能的特性,本发明实施例提供了一种基于可扩展的高性能网络边界防护检测系统,如图1所示,包括:
边界安全防护设备框架,用于在多槽位的可扩展硬件架构上插接不同业务处理单元以进行多功能扩展;
安全管理控制单元,用于配置外网和内网的网络信息和不同业务处理单元的属性信息,对不同业务处理单元进行业务安全策略预制和处理规则预制,及对不同业务数据的控制规则预制,并将业务安全策略下发至业务数据收发单元;
业务数据收发单元,用于接收安全管理控制单元下发的业务安全策略和控制规则,对外网和内网的访问数据流进行三元组信息安全策略判别,根据判别结果将不同类型的业务数据下发至对应槽位的业务处理单元;并且接收业务处理单元反馈的检测结果,结合控制规则对业务数据进行处理;
业务处理单元,用于根据预制的处理规则对业务数据进行分析检测,并将检测结果反馈至业务数据收发单元。
在本发明的一个可选实施例中,边界安全防护设备框架由可扩展的硬件架构组成,主要采用ATCA架构,该架构通过多槽位的设计,不同功能板卡单元可以插在不同的槽位上,为功能板卡扩展上提供可能,保证其功能的扩容性。
在本发明的一个可选实施例中,安全管理控制单元主要对业务属性进行安全策略预制,业务安全策略属性主要分为串行处理、并行处理、高性能处理、低性能处理,该单元根据业务处理板卡功能特点对不同的业务处理板卡进行规则预制,预制的内容包括:串行业务处理单元、并行业务处理单元、串行高性能业务处理单元、并行低性能业务处理单元。
安全管理控制单元配置外网和内网的网络信息和不同业务处理单元的属性信息具体包括:
分别配置外网和内网的IP接口地址,并且分别配置串行业务处理单元、并行业务处理单元、串行高性能业务处理单元和并行低性能业务处理单元进行处理的业务数据类型,形成业务数据类型与各个业务处理单元对应槽位的映射关系。
安全管理控制单元除了负责设备的功能板卡的规则制定,还需要对系统运行设置、业务处理单元的扩展注册、根据业务三元组(协议、源端口、目标端口)设置业务安全策略(串行高性能、串行、并行、并行低性能、离线分析业务),以及通过对各个功能板卡功能检测的状态收集,进行数据统一汇总,进行数据可视化呈现,达到对安全态势进行统一汇总展示,对管理员提供人机交互展示。
在本发明的一个可选实施例中,业务数据收发单元接收安全管理控制单元下发的业务安全策略,对外部和内部的访问数据流进行三元组信息(协议、源端口、目标端口)安全策略判别,分辨数据安全策略,主要区分业务数据是串行分析、并行分析、高性能要求、低性能要求、对需要安全态势离线分析的数据进行本地保存。该收发单元主要对数据流进行初次分组,不对实体数据进行安全分析
在本发明的一个可选实施例中,业务处理单元具体包括:
串行业务处理单元,此类单元主要处理需要串行安全防护的业务数据,具体而言,用于根据预制的串行业务处理规则对业务数据收发单元判别的串行分析类型的业务数据进行分析检测,并将检测结果反馈至业务数据收发单元;具体处理内容包括IP数据头完整性检查、校验和、数据重放检查、及数据格式检查。不同种类的业务数据可能分担在不同的串行业务处理单元上。
并行业务处理单元,此类单元主要处理需要并行安全防护的业务数据,具体而言,用于根据预制的并行业务处理规则对业务数据收发单元判别的并行分析类型的业务数据进行分析检测,并将检测结果反馈至业务数据收发单元;具体处理内容包括攻击行为监测、数据篡改检查。不同种类的业务数据可能分担在不同的并行业务处理单元上。
并行业务处理单元还包括:
在完成分析检测后,根据安全管理控制单元配置的外网和内网的网络信息,将并行分析类型的业务数据同步发送至第三方检测服务器,等待第三方检测服务器的反馈结果,并将检测结果和反馈结果一起反馈至所述业务数据收发单元。
串行高性能业务处理单元,主要对一些实时性要求比较高,数据实体类型比较单一,宜分析的数据进行处理,具体而言,用于根据预制的串行高性能业务处理规则对业务数据收发单元判别的串行高性能分析类型的业务数据进行分析检测,并将检测结果反馈至所述业务数据收发单元;具体处理的内容包括:数据包内容长度检查、数据包分片检查、数据包固定偏移量检查。其在保障数据安全的前提下,不影响数据的实施性,其在板卡处理器上选择性能较高的处理器。
并行低性能业务处理单元,主要对一些实时性要求比较低的业务,具体而言,用于根据预制的并行低性能业务处理规则对业务数据收发单元判别的并行低性能分析类型的业务数据进行分析检测,并将检测结果反馈至业务数据收发单元;具体处理的内容包括:攻击行为建模、数据包回溯、异常行为告警。通过上述检查,对其夹带的数据进行后台异地处理,确保其数据干净。
并行低性能业务处理单元还包括:
在完成分析检测后,根据安全管理控制单元配置的外网和内网的网络信息,将并行低性能分析类型的业务数据同步发送至第三方检测服务器,等待第三方检测服务器的反馈结果,并将检测结果和反馈结果一起反馈至所述业务数据收发单元。
本发明系统部署在内外网的边界处,主要执行边界防护功能,在设备中根据不同的业务安全防护要求,将不同的业务分发到不同的业务处理单元内,串行、并行、串行高性能、并行低性能业务板卡可以根据实际网络情况进行选配,具体选配方案如下:
1.实时性业务安全防护:安全管理控制单元、业务数据收发单元、数据交换分发单元、串行高性能处理单元、串行处理单元;
2.非实时性业务安全防护:安全管理控制单元、业务数据收发单元、数据交换分发单元、并行低性能处理单元、并行处理单元;
3.实时与非实时性业务混合安全防护:安全管理控制单元、业务数据收发单元、数据交换分发单元、串行高性能处理单元、串行处理单元、并行低性能处理单元、并行处理单元;
数据交换分发单元内部支持10G处理接口能力,由于整个设备采用了ATCA架构,因此各个板卡在运行加载时能够支持热插拔。
实施例2
本发明实施例还提供了一种应该实施例1所描述的基于可扩展的高性能网络边界防护检测系统的检测方法,如图2所示,包括以下步骤:
S1、构建边界安全防护设备框架,在多槽位的可扩展硬件架构上插接不同业务处理单元;
S2、利用安全管理控制单元配置外网和内网的网络信息和不同业务处理单元的属性信息,对不同业务处理单元进行业务安全策略预制和处理规则预制,及对不同业务数据的控制规则预制,并将业务安全策略下发至业务数据收发单元;
S3、利用数据收发单元在收到业务数据时将接收安全管理控制单元下发的业务安全策略写入业务分类表,通过业务分类表对外网和内网的访问数据流进行三元组信息安全策略判别,根据判别结果将不同类型的业务数据下发至对应槽位的业务处理单元;
S4、利用业务处理单元根据预制的处理规则对业务数据进行分析检测,并将检测结果反馈至所述业务数据收发单元;
S5、利用业务数据收发单元接收业务处理单元反馈的检测结果,结合控制规则对业务数据进行处理。
在本发明的一个可选实施例中,步骤S2具体包括:
分别配置外网和内网的IP接口地址,并且分别配置串行业务处理单元、并行业务处理单元、串行高性能业务处理单元和并行低性能业务处理单元进行处理的业务数据类型,形成业务数据类型与各个业务处理单元对应槽位的映射关系。
步骤S2还包括:
用于对系统运行设置、业务处理单元的扩展注册,以及通过对各个业务处理单元功能检测的状态收集,进行数据统一汇总和数据可视化显示,以对安全态势进行统一汇总展示,对管理员提供人机交互展示。
在本发明的一个可选实施例中,步骤S3具体包括:
业务数据收到单元在收到业务数据时,首先将安全管理控制单元下发的业务安全规则策略写入业务分类表中,该业务分类表具有的元素有:业务协议号、业务端口号、业务检测分组(串行、并行、高性能、低性能)、业务处理板槽位号。
通过业务数据内容匹配业务分类表,并将分类的业务数据通过数据交换分发单元下发到对应槽位的处理单元内。根据业务单元的类型,我们做如下发送区分:发给串行业务处理单元的数据为源数据本身;发送给并行业务处理单元为源数据的拷贝数据;发送给串行高性能业务处理单元根据配置,如配置为源数据检查,则将源数据发送,如配置为旁路检查,则将拷贝数据发送;发送给并行低性能业务处理单元为源数据本身。
在本发明的一个可选实施例中,业务处理单元在收到业务数据后,仅需要根据自身板卡的安全防护处理内容进行分析检测,无需关心数据的访问规则。
步骤S4具体包括:
利用串行业务处理单元根据预制的串行业务处理规则对业务数据收发单元判别的串行分析类型的业务数据进行分析检测,并将检测结果反馈至业务数据收发单元;所述分析检测包括IP数据头完整性检查、校验和、数据重放检查、及数据格式检查;具体而言,串行业务处理单元通过自身检测程序对数据进行检查,将检查后的结果通告到业务数据收发单元上,业务数据收发单元根据检查的结果对数据进行放行或丢弃,并将结果反馈到安全管理控制单元上。
利用并行业务处理单元根据预制的并行业务处理规则对业务数据收发单元判别的并行分析类型的业务数据进行分析检测,并将检测结果反馈至业务数据收发单元;所述分析检测包括攻击行为监测和数据篡改检查;具体而言,并行业务处理单元收到数据后,在自身完成检测后,可根据自身板卡配置将该数据同步发送给第三方检测服务器,等待第三方的反馈结果,并统一将结果反馈给安全管理控制单元。
利用串行高性能业务处理单元根据预制的串行高性能业务处理规则对业务数据收发单元判别的串行高性能分析类型的业务数据进行分析检测,并将检测结果反馈至业务数据收发单元;所述分析检测包括数据包内容长度检查、数据包分片检查、数据包固定偏移量检查;
利用并行低性能业务处理单元根据预制的并行低性能业务处理规则对业务数据收发单元判别的并行低性能分析类型的业务数据进行分析检测,并将检测结果反馈至业务数据收发单元;所述分析检测包括攻击行为建模、数据包回溯、异常行为告警。
步骤S4还包括:
利用并行业务处理单元在完成分析检测后,根据安全管理控制单元配置的外网和内网的网络信息,将并行分析类型的业务数据同步发送至第三方检测服务器,等待第三方检测服务器的反馈结果,并将检测结果和反馈结果一起反馈至业务数据收发单元;
利用并行低性能业务处理单元在完成分析检测后,根据安全管理控制单元配置的外网和内网的网络信息,将并行低性能分析类型的业务数据同步发送至第三方检测服务器,等待第三方检测服务器的反馈结果,并将检测结果和反馈结果一起反馈至业务数据收发单元。
在本发明的一个可选实施例中,步骤S5具体包括:
业务数据收发单元通过各个业务处理单元反馈的结果,结合安全管理控制单元对业务的策略控制,对数据进行放行或丢弃。
本发明中应用了具体实施例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想;同时,对于本领域的一般技术人员,依据本发明的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本发明的限制。
本领域的普通技术人员将会意识到,这里所述的实施例是为了帮助读者理解本发明的原理,应被理解为本发明的保护范围并不局限于这样的特别陈述和实施例。本领域的普通技术人员可以根据本发明公开的这些技术启示做出各种不脱离本发明实质的其它各种具体变形和组合,这些变形和组合仍然在本发明的保护范围内。
Claims (10)
1.一种基于可扩展的高性能网络边界防护检测系统,其特征在于,包括:
边界安全防护设备框架,用于在多槽位的可扩展硬件架构上插接不同业务处理单元以进行多功能扩展;
安全管理控制单元,用于配置外网和内网的网络信息和不同业务处理单元的属性信息,对不同业务处理单元进行业务安全策略预制和处理规则预制,及对不同业务数据的控制规则预制,并将业务安全策略下发至业务数据收发单元;
业务数据收发单元,用于接收所述安全管理控制单元下发的业务安全策略和控制规则,对外网和内网的访问数据流进行三元组信息安全策略判别,根据判别结果将不同类型的业务数据下发至对应槽位的业务处理单元;并且接收业务处理单元反馈的检测结果,结合控制规则对业务数据进行处理;
业务处理单元,用于根据预制的处理规则对业务数据进行分析检测,并将检测结果反馈至所述业务数据收发单元。
2.根据权利要求1所述的基于可扩展的高性能网络边界防护检测系统,其特征在于,所述业务处理单元具体包括:
串行业务处理单元,用于根据预制的串行业务处理规则对所述业务数据收发单元判别的串行分析类型的业务数据进行分析检测,并将检测结果反馈至所述业务数据收发单元;所述分析检测包括IP数据头完整性检查、校验和、数据重放检查、及数据格式检查;
并行业务处理单元,用于根据预制的并行业务处理规则对所述业务数据收发单元判别的并行分析类型的业务数据进行分析检测,并将检测结果反馈至所述业务数据收发单元;所述分析检测包括攻击行为监测和数据篡改检查;
串行高性能业务处理单元,用于根据预制的串行高性能业务处理规则对所述业务数据收发单元判别的串行高性能分析类型的业务数据进行分析检测,并将检测结果反馈至所述业务数据收发单元;所述分析检测包括数据包内容长度检查、数据包分片检查、及数据包固定偏移量检查;
并行低性能业务处理单元,用于根据预制的并行低性能业务处理规则对所述业务数据收发单元判别的并行低性能分析类型的业务数据进行分析检测,并将检测结果反馈至所述业务数据收发单元;所述分析检测包括攻击行为建模、数据包回溯、及异常行为告警。
3.根据权利要求2所述的基于可扩展的高性能网络边界防护检测系统,其特征在于,所述并行业务处理单元还包括:
在完成分析检测后,根据安全管理控制单元配置的外网和内网的网络信息,将并行分析类型的业务数据同步发送至第三方检测服务器,等待第三方检测服务器的反馈结果,并将检测结果和反馈结果一起反馈至所述业务数据收发单元;
所述并行低性能业务处理单元还包括:
在完成分析检测后,根据安全管理控制单元配置的外网和内网的网络信息,将并行低性能分析类型的业务数据同步发送至第三方检测服务器,等待第三方检测服务器的反馈结果,并将检测结果和反馈结果一起反馈至所述业务数据收发单元。
4.根据权利要求3所述的基于可扩展的高性能网络边界防护检测系统,其特征在于,所述安全管理控制单元具体包括:
分别配置外网和内网的IP接口地址,并且分别配置串行业务处理单元、并行业务处理单元、串行高性能业务处理单元和并行低性能业务处理单元进行处理的业务数据类型,形成业务数据类型与各个业务处理单元对应槽位的映射关系。
5.根据权利要求1所述的基于可扩展的高性能网络边界防护检测系统,其特征在于,所述安全管理控制单元还用于:
用于对系统运行设置和业务处理单元的扩展注册,以及通过对各个业务处理单元功能检测的状态收集,进行数据统一汇总和数据可视化显示,以对安全态势进行统一汇总展示,为管理员提供人机交互展示。
6.一种基于可扩展的高性能网络边界防护检测方法,其特征在于,包括以下步骤:
S1、构建边界安全防护设备框架,在多槽位的可扩展硬件架构上插接不同业务处理单元;
S2、利用安全管理控制单元配置外网和内网的网络信息和不同业务处理单元的属性信息,对不同业务处理单元进行业务安全策略预制和处理规则预制,及对不同业务数据的控制规则预制,并将业务安全策略下发至业务数据收发单元;
S3、利用数据收发单元在收到业务数据时将接收安全管理控制单元下发的业务安全策略写入业务分类表,通过业务分类表对外网和内网的访问数据流进行三元组信息安全策略判别,根据判别结果将不同类型的业务数据下发至对应槽位的业务处理单元;
S4、利用业务处理单元根据预制的处理规则对业务数据进行分析检测,并将检测结果反馈至所述业务数据收发单元;
S5、利用业务数据收发单元接收业务处理单元反馈的检测结果,结合控制规则对业务数据进行处理。
7.根据权利要求6所述的基于可扩展的高性能网络边界防护检测方法,其特征在于,所述步骤S4具体包括:
利用串行业务处理单元根据预制的串行业务处理规则对业务数据收发单元判别的串行分析类型的业务数据进行分析检测,并将检测结果反馈至业务数据收发单元;所述分析检测包括IP数据头完整性检查、校验和、数据重放检查、及数据格式检查;
利用并行业务处理单元根据预制的并行业务处理规则对业务数据收发单元判别的并行分析类型的业务数据进行分析检测,并将检测结果反馈至业务数据收发单元;所述分析检测包括攻击行为监测和数据篡改检查;
利用串行高性能业务处理单元根据预制的串行高性能业务处理规则对业务数据收发单元判别的串行高性能分析类型的业务数据进行分析检测,并将检测结果反馈至业务数据收发单元;所述分析检测包括数据包内容长度检查、数据包分片检查、及数据包固定偏移量检查;
利用并行低性能业务处理单元根据预制的并行低性能业务处理规则对业务数据收发单元判别的并行低性能分析类型的业务数据进行分析检测,并将检测结果反馈至业务数据收发单元;所述分析检测包括攻击行为建模、数据包回溯、及异常行为告警。
8.根据权利要求7所述的基于可扩展的高性能网络边界防护检测方法,其特征在于,所述步骤S4还包括:
利用并行业务处理单元在完成分析检测后,根据安全管理控制单元配置的外网和内网的网络信息,将并行分析类型的业务数据同步发送至第三方检测服务器,等待第三方检测服务器的反馈结果,并将检测结果和反馈结果一起反馈至所述业务数据收发单元;
利用并行低性能业务处理单元在完成分析检测后,根据安全管理控制单元配置的外网和内网的网络信息,将并行低性能分析类型的业务数据同步发送至第三方检测服务器,等待第三方检测服务器的反馈结果,并将检测结果和反馈结果一起反馈至所述业务数据收发单元。
9.根据权利要求8所述的基于可扩展的高性能网络边界防护检测方法,其特征在于,所述步骤S2具体包括:
分别配置外网和内网的IP接口地址,并且分别配置串行业务处理单元、并行业务处理单元、串行高性能业务处理单元和并行低性能业务处理单元进行处理的业务数据类型,形成业务数据类型与各个业务处理单元对应槽位的映射关系。
10.根据权利要求6所述的基于可扩展的高性能网络边界防护检测方法,其特征在于,所述步骤S2还包括:
用于对系统运行设置和业务处理单元的扩展注册,以及通过对各个业务处理单元功能检测的状态收集,进行数据统一汇总和数据可视化显示,以对安全态势进行统一汇总展示,为管理员提供人机交互展示。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110599899.3A CN113301053B (zh) | 2021-05-31 | 2021-05-31 | 一种基于可扩展的高性能网络边界防护检测系统及方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110599899.3A CN113301053B (zh) | 2021-05-31 | 2021-05-31 | 一种基于可扩展的高性能网络边界防护检测系统及方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN113301053A CN113301053A (zh) | 2021-08-24 |
| CN113301053B true CN113301053B (zh) | 2023-04-07 |
Family
ID=77326356
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110599899.3A Active CN113301053B (zh) | 2021-05-31 | 2021-05-31 | 一种基于可扩展的高性能网络边界防护检测系统及方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113301053B (zh) |
Family Cites Families (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103440023A (zh) * | 2013-08-29 | 2013-12-11 | 深圳市邦彦信息技术有限公司 | 基于atca的业务板扩展方法及系统 |
| CN106302371B (zh) * | 2015-06-12 | 2019-06-28 | 北京网御星云信息技术有限公司 | 一种基于用户业务系统的防火墙控制方法和系统 |
| US11025674B2 (en) * | 2015-10-28 | 2021-06-01 | Qomplx, Inc. | Cybersecurity profiling and rating using active and passive external reconnaissance |
| CN105306471A (zh) * | 2015-11-03 | 2016-02-03 | 国家电网公司 | 智能电网安全域边界设备访问控制策略管控系统及方法 |
| CN111385303B (zh) * | 2020-03-11 | 2022-11-29 | 江苏亨通工控安全研究院有限公司 | 一种网络安全防护系统及实现方法 |
| CN112769785B (zh) * | 2020-12-29 | 2023-06-27 | 深圳市风云实业有限公司 | 基于机架交换机设备的网络一体化深度检测装置及方法 |
-
2021
- 2021-05-31 CN CN202110599899.3A patent/CN113301053B/zh active Active
Also Published As
| Publication number | Publication date |
|---|---|
| CN113301053A (zh) | 2021-08-24 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| TWI453624B (zh) | 資訊安全防護主機 | |
| US7493659B1 (en) | Network intrusion detection and analysis system and method | |
| CN100592680C (zh) | 一种安全信息联动处理装置及方法 | |
| CN104378387A (zh) | 一种虚拟化平台下保护信息安全的方法 | |
| CN105516189B (zh) | 基于大数据平台的网络安全实施系统及方法 | |
| KR20050081439A (ko) | 네트워크 보안 시스템 및 그 동작 방법 | |
| CN110572412A (zh) | 云环境下基于入侵检测系统反馈的防火墙及其实现方法 | |
| DE10249842A1 (de) | Netz, Verfahren und computerlesbares Medium zum Verteilen von Sicherheitsaktualisierungen an ausgewählte Knoten auf einem Netz | |
| CN101820396A (zh) | 一种报文安全性验证的方法和设备 | |
| CN112769785B (zh) | 基于机架交换机设备的网络一体化深度检测装置及方法 | |
| CN109479013A (zh) | 计算机网络中的业务的日志记录 | |
| CN107566359A (zh) | 一种智能防火墙系统及防护方法 | |
| KR100479202B1 (ko) | 분산서비스거부 공격 대응 시스템 및 방법과 그프로그램을 기록한 기록매체 | |
| CN109587122A (zh) | 基于WAF系统功能实现自我保障Web子系统安全的系统及方法 | |
| CN104067558B (zh) | 网络访问装置和用于处理网络中的分组的方法 | |
| Ma et al. | A design of firewall based on feedback of intrusion detection system in cloud environment | |
| CN110351275A (zh) | 一种主机端口流量监控方法、系统、装置和存储设备 | |
| CN103139056B (zh) | 一种安全网关及一种网络数据的交互方法 | |
| CN105871849A (zh) | 一种防火墙系统架构 | |
| CN112383573B (zh) | 一种基于多个攻击阶段的安全入侵回放设备 | |
| KR100466798B1 (ko) | 내·외부망 통합 보안 시스템 및 방법 | |
| CN112468464B (zh) | 基于服务链的状态机完整性验证系统及方法 | |
| CN113301053B (zh) | 一种基于可扩展的高性能网络边界防护检测系统及方法 | |
| KR101240311B1 (ko) | 리눅스 기반 네트워크 패킷 침입 탐지 시스템 및 방법 | |
| CN101707535B (zh) | 检测仿冒网络设备的方法和装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |