CN113676466B - 一种网络安全检测的方法和装置 - Google Patents
一种网络安全检测的方法和装置 Download PDFInfo
- Publication number
- CN113676466B CN113676466B CN202110921376.6A CN202110921376A CN113676466B CN 113676466 B CN113676466 B CN 113676466B CN 202110921376 A CN202110921376 A CN 202110921376A CN 113676466 B CN113676466 B CN 113676466B
- Authority
- CN
- China
- Prior art keywords
- detection
- service
- internal
- message
- protocol
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 368
- 238000000034 method Methods 0.000 claims abstract description 42
- 238000004806 packaging method and process Methods 0.000 claims abstract description 14
- 230000002787 reinforcement Effects 0.000 claims description 47
- 238000012549 training Methods 0.000 claims description 17
- 230000005540 biological transmission Effects 0.000 claims description 16
- 238000012545 processing Methods 0.000 claims description 11
- 238000004590 computer program Methods 0.000 claims description 9
- 238000010801 machine learning Methods 0.000 claims description 5
- 238000002372 labelling Methods 0.000 claims description 4
- 238000012544 monitoring process Methods 0.000 claims description 4
- 230000007123 defense Effects 0.000 abstract description 9
- 238000002955 isolation Methods 0.000 abstract description 9
- 238000010586 diagram Methods 0.000 description 17
- 230000006870 function Effects 0.000 description 10
- 238000004891 communication Methods 0.000 description 7
- 230000008569 process Effects 0.000 description 5
- 230000008901 benefit Effects 0.000 description 4
- 238000012417 linear regression Methods 0.000 description 4
- 238000012986 modification Methods 0.000 description 4
- 230000004048 modification Effects 0.000 description 4
- 230000003287 optical effect Effects 0.000 description 4
- 238000005516 engineering process Methods 0.000 description 3
- 238000013507 mapping Methods 0.000 description 3
- 230000009467 reduction Effects 0.000 description 3
- 238000004458 analytical method Methods 0.000 description 2
- 238000011161 development Methods 0.000 description 2
- 230000018109 developmental process Effects 0.000 description 2
- 239000000835 fiber Substances 0.000 description 2
- 238000007726 management method Methods 0.000 description 2
- 230000000644 propagated effect Effects 0.000 description 2
- 239000004065 semiconductor Substances 0.000 description 2
- 238000012795 verification Methods 0.000 description 2
- 230000032683 aging Effects 0.000 description 1
- 238000013473 artificial intelligence Methods 0.000 description 1
- 230000006399 behavior Effects 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000002457 bidirectional effect Effects 0.000 description 1
- 230000000295 complement effect Effects 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 230000010485 coping Effects 0.000 description 1
- 238000013144 data compression Methods 0.000 description 1
- 238000013079 data visualisation Methods 0.000 description 1
- 238000003066 decision tree Methods 0.000 description 1
- 230000001419 dependent effect Effects 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000005538 encapsulation Methods 0.000 description 1
- 238000003064 k means clustering Methods 0.000 description 1
- 239000004973 liquid crystal related substance Substances 0.000 description 1
- 239000013307 optical fiber Substances 0.000 description 1
- 238000000611 regression analysis Methods 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 238000012360 testing method Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种网络安全检测的方法和装置,涉及计算机技术领域。该方法的一具体实施方式包括:对获取的业务报文进行协议剥离,得到业务载荷数据;使用内部协议封装业务载荷数据,得到内部业务报文;使用预设的业务检测规则对内部业务报文进行安全检测,安全检测包括软件检测和硬件检测,且硬件检测之前有软件检测;对通过安全检测的内部业务报文进行内部协议剥离并封装为合法的业务报文。该实施方式不仅解决了通用网络安全防御系统无法满足特定行业安全检测的需求的问题,而且实现了不可旁路的高强度隔离网络安全检测。
Description
技术领域
本发明涉及计算机技术领域,尤其涉及一种网络安全检测的方法和装置。
背景技术
随着计算机网络技术的飞速发展和互联网的广泛普及,网络系统受到的黑客攻击日益增多,使得企业,机构和个人的网络设备面临着被攻击和入侵的危险,因此,网络安全成为计算机网络技术发展的一个至关重要的问题。
目前网络安全检测防御系统可以对网络流量中使用通用协议(如HTTP、HTTPS、SMTP等)的攻击行为进行检测和防御。
在实现本发明过程中,发明人发现现有技术中存在如下问题:
现有通用的网络安全检测防御系统对于特定行业或者领域的专用业务报文无法识别和检测,且无法保证内外网业务的高强度隔离保护。
发明内容
有鉴于此,本发明实施例提供一种网络安全检测的方法,基于特定行业的网络安全业务检测规则,采用软件检测和硬件检测相结合且灵活配置业务检测规则的网络安全检测方式,以解决通用网络安全检测防御系统无法满足特定行业的使用需求的问题,同时实现了不可旁路的高强度隔离网络安全检测。
为实现上述目的,根据本发明实施例的一个方面,提供了一种网络安全检测的方法,包括:
对获取的业务报文进行协议剥离,得到业务载荷数据;
使用内部协议封装所述业务载荷数据,得到内部业务报文;
使用预设的业务检测规则对所述内部业务报文进行安全检测,所述安全检测包括软件检测和硬件检测,且所述硬件检测之前有软件检测;
对通过安全检测的内部业务报文进行内部协议剥离并封装为合法的业务报文。
可选地,所述方法还包括:所述硬件检测之后还包括软件检测。
可选地,对获取的业务报文进行协议剥离包括:依次对业务报文的网络层协议、传输层协议、应用层协议和业务层报文标识进行剥离。可选地,所述业务检测规则包括:根据行业业务报文顺序规范生成的业务顺序检测规则、根据行业业务报文格式规范和内容要求生成的业务内容检测规则、根据历史业务数据训练得到的业务特性检测规则;并且,所述软件检测和所述硬件检测分别使用所述业务检测规则中的至少一种。
可选地,所述业务内容检测规则包括:业务包含的字段标识检测、字段值类型检测和字段内容合法性检测。
可选地,所述业务特性检测规则包括:通过人工智能机器学习形成的监督学习业务特性检测规则和强化学习业务特性检测规则。可选地,所述监督学习业务特性检测规则通过以下方式得到:对历史业务数据中已确认攻击事件进行标注;分别使用多种监督学习算法对标注后的历史业务数据进行学习以建立监督学习模型,并从建立的监督学习模型中选取最优模型作为监督学习业务特性检测规则模型;使用所述监督学习业务特性检测规则模型生成监督学习业务特性检测规则。
可选地,所述强化学习业务特性检测规则通过以下方式得到:使用强化学习算法对历史业务数据进行强化学习以训练强化学习模型;对强化学习结果进行确认后反馈至所述强化学习模型,以对所述强化学习模型进行持续训练直至满足设定的训练结束条件,并将满足所述训练结束条件的强化学习模型作为强化学习业务特性检测规则模型;使用所述强化学习业务特性检测规则模型生成强化学习业务特性检测规则。
可选地,所述业务检测规则的实现方式包括:将所述业务顺序检测规则和所述业务内容检测规则实现为白名单规则,将所述业务特性检测规则实现为黑名单规则。
可选地,对通过安全检测的内部业务报文进行内部协议剥离并封装为合法业务报文包括:对通过安全检测的内部业务报文进行内部协议剥离,得到业务载荷数据;依次使用业务报文标识、应用层协议、传输层协议、网络层协议对所述业务载荷数据进行封装,得到符合业务检测规则的合法业务报文。
根据本发明实施例的第二方面,提供一种网络安全检测的装置,包括:
数据生成模块,用于对获取的业务报文进行协议剥离,得到业务载荷数据;
内部报文生成模块,用于使用内部协议封装所述业务载荷数据,得到内部业务报文;
安全检测模块,使用预设的业务检测规则对所述内部业务报文进行安全检测,所述安全检测包括软件检测和硬件检测,且所述硬件检测之前有软件检测;
合法报文获取模块,用于对通过安全检测的内部业务报文进行内部协议剥离并封装为合法的业务报文。
根据本发明实施例的第三方面,提供一种网络安全检测的移动电子设备终端,其特征在于,包括:
一个或多个处理器;
存储装置,用于存储一个或多个程序,
当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现本发明实施例第一方面提供的方法。
根据本发明实施例的第四方面,提供一种计算机可读介质,其上存储有计算机程序,所述程序被处理器执行时实现本发明实施例第一方面提供的方法。
上述发明中的一个实施例具有如下优点或有益效果:通过对获取的业务报文进行协议剥离得到业务载荷数据;使用内部协议对业务载荷数据进行封装以得到内部业务报文;使用预设的业务检测规则对内部业务报文进行安全检测,安全检测包括软件检测和硬件检测,且硬件检测之前有软件检测;对通过安全检测的内部业务报文进行内部协议剥离并封装为合法业务报文的技术方案,实现了基于特定行业的网络安全业务检测规则,采用软件检测和硬件检测相结合且灵活配置业务检测规则的安全检测方式,不仅解决了通用网络安全防御系统无法满足特定行业安全检测的需求的问题,而且实现了不可旁路的高强度隔离网络安全检测。
附图说明
附图用于更好地理解本发明,不构成对本发明的不当限定。其中:
图1是根据本发明实施例的网络安全检测方法的主要流程的示意图;
图2是本发明一个实施例的业务检测流程示意图;
图3是本发明另一个实施例的业务检测流程示意图;
图4是本发明实施例的网络安全检测系统的架构示意图;
图5是根据本发明实施例的网络安全检测装置的主要模块示意图;
图6是本发明实施例可以应用于其中的示例性系统架构图;
图7是适于用来实现本发明实施例的终端设备或服务器的计算机系统的结构示意图。
具体实施方式
以下结合附图对本发明的示范性实施例做出说明,其中包括本发明实施例的各种细节以助于理解,应当将它们认为仅仅是示范性的。因此,本领域普通技术人员应当认识到,可以对这里描述的实施例做出各种改变和修改,而不会背离本发明的范围和精神。同样,为了清楚和简明,以下的描述中省略了对公知功能和结构的描述。
在本发明的实施例介绍中,出现的技术术语及其含义如下:
业务报文:网络交换传输的数据单元,按照业务需要对数据信息进行封装;
业务载荷数据:业务报文中的有效数据信息;
内部业务报文:使用内部协议对业务载荷数据进行封装的数据单元;
Linear Regression:线性回归,利用线性回归方程的最小平方函数对一个或多个自变量和因变量之间关系进行建模的一种回归分析方法;
K-Means:k均值聚类算法,一种迭代求解的聚类分析方法;
Dimensional Reduction:降维算法,一种用于数据压缩和数据可视化的方法;
Gradient Boostion:梯度提升算法,一种用于回归和分类问题的机器学习技术,它以弱预测模型(通常是决策树)的集合的形式产生预测模型;
FPGA:现场可编程门阵列,是一种半定制化的集成电路;
ASIC:专用集成电路,是一种应特定用户要求和特定电子系统的需要而设计、制造的集成电路。
目前网络安全检测防御系统通常在同一模块(操作系统)下针对标准通用协议进行的网络攻击行为的软件检测和防御,对于金融行业而言,通用的网络安全检测防御系统不仅在功能上不能满足,而且在安全性上也无法满足内外网业务的高强度隔离保护。
为了解决现有技术中存在的上述问题,本发明提出一种网络安全检测方法,通过对业务报文的解析,根据需要把业务检测规则动态灵活的应用于软件检测和硬件检测中,既实现了业务报文的安全检测又满足了内外网业务的高强度隔离保护。
图1是根据本发明实施例的网络安全检测方法的主要流程的示意图,如图1所示,本发明实施例的网络安全检测方法包括如下的步骤S101至步骤S104。
步骤S101、对获取的业务报文进行协议剥离,得到业务载荷数据。
通过对特定的业务报文进行解析剥离,可以阻隔网络协议、操作系统、应用层协议中夹带的攻击。
可选地,对获取的业务报文进行协议剥离包括:依次对业务报文的网络层协议、传输层协议、应用层协议和业务层报文标识进行剥离。示例性地,对于金融行业业务报文,业务外网和业务内网中传输的数据单元是基于业务载荷数据的业务报文标识、应用层协议、传输层协议和网络层协议的逐层封装。相应的在对业务报文进行协议剥离时,依次对网络层协议、传输层协议、应用层协议和业务层报文标识进行剥离,得到业务载荷数据。
步骤S102、使用内部协议封装所述业务载荷数据,得到内部业务报文。具体地,使用的内部协议要求不同于外部的各个协议,这样既实现了业务协议的隔离又保证了业务的连续性。同时建立内部协议与外部协议的映射关系,便于后续的业务载荷数据的封装。
步骤S103、使用预设的业务检测规则对所述内部业务报文进行安全检测,所述安全检测包括软件检测和硬件检测,且所述硬件检测之前有软件检测。
根据本发明的一个实施例,所述预设的业务检测规则包括:根据行业业务报文顺序规范生成的业务顺序检测规则、根据行业业务报文格式规范和内容要求生成的业务内容检测规则、根据历史业务数据训练得到的业务特性检测规则,并且,所述软件检测和所述硬件检测分别使用所述业务检测规则中的至少一种。
具体地,业务顺序检测规则主要是根据业务操作规则,形成特定业务的顺序检测规则,其为白名单规则。示例性地,以银行查询业务为例,业务顺序检测规则要求先用户登录才可以查询账户,那么业务顺序检测先对报文中的用户字段内容进行跟踪索引,然后设定跟踪老化时间,用于限定用户登录后可以进行查询操作的时间,超过此时间后,用户需要重新登录才可以进行查询操作。
根据本发明的另一个实施例,业务内容检测规则包括:业务包含的字段标识检测、字段值类型检测和字段内容合法性检测,其为白名单规则。示例性地,根据金融行业业务报文规范,业务包含的字段标识用于详细定义每种业务必须包含的字段名称(如:姓名、手机号等)和允许包含的字段名称(如:性别、住址等);字段值类型用于详细定义每种字段值允许的类型(如:数字、字母、符号等);字段内容合法性采用正则表达式等定义方法,详细定义每种字段内容允许取值范围、长度,还包含对某些字段的校验方法(如:对手机号的长度、运营商分配号段校验;对身份号出年日期合法性、校验位校验)。上述子规则均可采用字典方式建立,各子规则为逻辑与的关系,即同时满足所有子规则的内容检测才是合法内容。
根据本发明的又一个实施例,业务特性检测规则包括通过人工智能机器学习形成的监督学习业务特性检测规则和强化学习业务特性检测规则,两种子规则。在本发明的实施例中,业务特性检测规则可以被实现为黑名单规则,且可以从上述两种子规则中自由选择其中的一种或两种。这两种子规则均需要定期或持续学习,以便输出贴近当前业务的精准检测规则,优选地,执行两个子规则并融合,以得到丰富准确的业务特性检测规则。
通常地,生成监督学习业务特性检测规则的方法包括:对历史业务数据中已确认攻击事件进行标注;分别使用多种监督学习算法对标注后的历史业务数据进行学习以建立监督学习模型,并从建立的监督学习模型中选取最优模型作为监督学习业务特性检测规则模型;使用所述监督学习业务特性检测规则模型生成监督学习业务特性检测规则。
具体地,对历史业务数据中已确认攻击事件进行人工标注,分别使用多种监督学习算法如“Linear Regression”、“K-Means”、“Dimensional Reduction”和“GradientBoosting”等,对标注后的历史业务数据进行学习以建立多个监督学习模型,并从建立的多个监督学习模型中选取最优模型作为监督学习业务特性检测规则模型;使用所述监督学习业务特性检测规则模型生成监督学习业务特性检测规则。
在本发明的一个实施例中,生成强化学习业务特性检测规则的方法包括:使用强化学习算法对历史业务数据进行强化学习以训练强化学习模型;对强化学习结果进行确认后反馈至所述强化学习模型,以对所述强化学习模型进行持续训练直至满足设定的训练结束条件,并将满足所述训练结束条件的强化学习模型作为强化学习业务特性检测规则模型;使用所述强化学习业务特性检测规则模型生成强化学习业务特性检测规则。
具体地,使用强化学习算法对历史业务数据进行强化学习以训练强化学习模型;人工对强化学习结果(攻击事件)进行确认后反馈至所述强化学习模型,以对所述强化学习模型进行持续训练直至满足设定的训练结束条件,并将满足所述训练结束条件的强化学习模型作为强化学习业务特性检测规则模型;使用所述强化学习业务特性检测规则模型生成强化学习业务特性检测规则。其中,训练结束条件例如包括训练次数达到预先设置的训练次数限值,或者损失函数达到预设的数值,等等。
通常地,上述的业务检测规则可按需持续更新业务内容检测规则、业务顺序检测规则和业务特性检测规则,且各个检测规则对攻击事件可自由配置为拦截或告警,以增强对业务的适配性和应对新型攻击的检测能力。
图2是本发明一个实施例的业务检测流程示意图。如图2所示,在本发明的一个实施例中,业务检测规则按照业务顺序检测规则、业务特性检测规则和业务内容检测规则的顺序依次执行,其中,业务内容检测规则在执行时可按照业务字段检测、字段类型检测、字段内容合法性检测的顺序来依次执行。当所有检测规则均检测通过时,业务报文才是合法的,否则,该业务报文不合法或为攻击报文,丢弃或告警处理。
图3是本发明另一个实施例的业务检测流程示意图。如图3所示,在本发明的另一个实施例中,业务检测规则按照业务内容检测规则、业务顺序检测规则和业务特性检测规则的顺序依次执行,其中,业务内容检测规则在执行时可按照业务字段检测、字段类型检测、字段内容合法性检测的顺序来依次执行。当所有检测规则均检测通过时,业务报文才是合法的,否则,该业务报文不合法或为攻击报文,丢弃或告警处理。
通常地,业务检测规则支持规则间的各种顺序的串行执行,对于因检测规则顺序改变和修改的,不背离本发明的范围和精神。
所述安全检测包括软件检测和硬件检测,且所述硬件检测之前有软件检测。
具体地,安全检测使用相互独立的软件检测和硬件检测协同完成,基于上述预设的业务检测规则使用软件进行规则检测,将符合规则的内部业务报文再进行硬件预设业务检测规则的检测,其中硬件检测通过专用硬件处理芯片FPGA或者ASIC来实现,最后输出符合规则的内部业务报文。
在本发明的又一个实施例中,在所述硬件检测之后还包括软件检测。对于硬件检测输出的内部业务报文,可以基于上述预设的业务检测规则进行进一步的软件检测,输出符合上述预设业务规则的内部业务报文。通过进行冗余检测,可以进一步确保业务报文的安全性和可靠性。
通常地,软件检测可以实现灵活复杂的检测规则,但是有较大被攻击的风险,而硬件检测虽然在检测规则的设定上不如软件检测灵活复杂,但是可以实现高速可靠的检测。采用上述方法不仅可以互补软件检测和硬件检测的优缺点而且实现了多重高强度检测与隔离。
对于预设的业务检测规则,所述软件检测和所述硬件检测分别使用所述业务检测规则中的至少一种。根据上述业务检测规则,软件检测和硬件检测具体使用的检测规则不做限定,可以选择一种执行,也可以遍历执行所有的业务检测规则,但要保证整个网络安全检测过程中,上述业务检测规则均至少执行一次。
使用上述方法,不仅实现了业务检测规则的灵活应用而且也可以重复叠加配置形成冗余检测,提升网络安全检测的安全性和可靠性。
步骤S104、对通过安全检测的内部业务报文进行内部协议剥离并封装为合法的业务报文。
可选地,对通过安全检测的内部业务报文进行内部协议剥离并封装为合法业务报文包括:对通过安全检测的内部业务报文进行内部协议剥离,得到业务载荷数据;依次使用业务报文标识、应用层协议、传输层协议、网络层协议对所述业务载荷数据进行封装,得到符合业务检测规则的合法业务报文。
具体地,对于内部业务报文剥离后得到的业务载荷数据,根据内部协议与外部协议的映射关系,提取出对应的外部协议,再依次使用业务报文标识、应用层协议、传输层协议、网络层协议对所述业务载荷数据进行封装,得到符合业务检测规则的合法业务报文。
图4是本发明实施例的网络安全检测系统的架构示意图。如图4所示,本发明实施例的网络安全检测系统主要包括外网模块、配置模块、硬件检测单元和内网模块。各模块和硬件检测单元之间物理独立,保证单一模块或者硬件检测单元失效不会对其它模块产生影响,所有的业务报文经过外网模块、硬件检测单元和内网模块,不存在其它旁路的可能性,且支持业务报文从业务外网输入业务内网和从业务内网输出业务外网的双向传输。具体地,各个模块或单元的作用分别如下:
1、外网模块
主要用于业务报文的处理以及软件检测。
对于业务报文从业务外网输入业务内网的情况,在获取业务报文后,对业务报文进行协议和标识的剥离,得到业务载荷数据,按照内部协议,将业务载荷数据封装为内部业务报文,使用预设的业务检测规则对内部业务报文进行软件检测,拦截或者告警提示非法内部业务报文,并将符合业务检测规则的内部业务报文传输至硬件检测单元。
对于业务报文从业务内网输出业务外网的情况,在获取通过硬件检测的内部业务报文后,可以再次进行软件检测,也可以在已经遍历业务检测规则的前提下,对符合检测规则的内部业务报文进行内部协议的剥离,得到业务载荷数据,并对业务载荷数据进行协议和标识的封装,并将合法的业务报文传送至业务外网。
2、配置模块
主要用于对外网模块、内网模块和硬件检测单元配置预设的业务检测规则以及监控各个模块或单元的运行状态和规则命中情况。
3、硬件检测单元
主要用于内部业务报文的硬件检测。
在获取符合上一级业务检测规则的内部业务报文后,按照配置模块预设的业务检测规则对所述内部业务报文进行硬件检测,拦截或者告警提示非法内部业务报文,并将符合业务检测规则的内部业务报文传输至下一级模块。
4、内网模块
与外网模块类似,主要用于业务报文的处理以及软件检测。
对于业务报文从业务外网输入业务内网的情况,在获取通过硬件检测的内部业务报文后,可以再次进行软件检测,也可以在已经遍历业务检测规则的前提下,对符合检测规则的内部业务报文进行内部协议的剥离,得到业务载荷数据,并对业务载荷数据进行协议和标识的封装,并将合法的业务报文传送至业务内网。
对于业务报文从业务内网输出业务外网的情况,在获取业务报文后,对业务报文进行协议和标识的剥离,得到业务载荷数据,按照内部协议,将业务载荷数据封装为内部业务报文,使用预设的业务检测规则对内部业务报文进行软件检测,拦截或者告警提示非法内部业务报文,并将符合业务检测规则的内部业务报文传输至硬件检测单元。
图4仅是本发明实施例的一种应用,并不构成对本发明保护范围的限制。
在本发明的一个实施例中,以业务数据由业务外网发送给业务内网为例,业务数据在进入外网模块后,由外网模块依次剥离网络层协议、传输层协议、应用层协议和业务层报文标识数据得到有效的业务载荷数据,使用内部协议封装业务载荷数据以得到内部业务报文,并传送至外网模块的软件检测引擎进行业务检测。外网模块的软件检测引擎预先配置有业务顺序检测规则(进入方向)和业务特性检测规则(进入方向),对使用内部协议封装的内部业务报文进行业务检测,将合法的内部业务报文传输至硬件检测单元进行进一步的业务检测;对非法的内部业务报文,依据配置情况进行告警或拦截。
硬件检测单元预先配置了业务内容检测规则(进入方向),对接收的内部业务报文分别进行“业务字段检测”、“字段值类型检测”和“字段内容合法性检测”,对合法的内部业务报文传输至内网模块进行处理;对非法的内部业务报文进行告警或拦截。
内网模块对接收的内部业务报文剥离内部协议得到业务载荷数据,对业务载荷数据依次使用业务报文标识、应用层协议、传输层协议、网络层协议进行封装后传送至业务内网。
在该实施例中,由于外网模块和硬件检测单元已覆盖了所有的业务检测规则,故而内网模块可以不配置业务检测规则,以加快业务检测速度。在具体实施时,也可在内网模块配置业务检测规则,本发明对此不作限定。
在本发明的另一个实施例中,以业务数据由业务内网发送给业务外网为例,业务数据在进入内网模块后,由内网模块依次剥离网络层协议、传输层协议、应用层协议和业务层报文标识数据得到有效的业务载荷数据,使用内部协议封装业务载荷数据得到内部业务报文,并传送至内网模块的软件检测引擎进行业务检测。内网模块的软件检测引擎预先配置有业务顺序检测规则(外出方向)和业务特性检测规则(外出方向),对使用内部协议封装的内部业务报文进行业务检测,将合法的内部业务报文传输至硬件检测单元进行进一步的业务检测;对非法的内部业务报文,依据配置情况进行告警或拦截。
硬件检测单元预先配置了业务内容检测规则(外出方向),对接收的内部业务报文分别进行“业务字段检测”、“字段值类型检测”和“字段内容合法性检测”,对合法的内部业务报文传输至内网模块进行处理;对非法的内部业务报文进行告警或拦截。
外网模块对接收的内部协议封装的内部业务报文剥离内部协议得到业务载荷数据,对业务载荷数据依次使用业务报文标识、应用层协议、传输层协议、网络层协议进行封装后传送至业务外网。
在该实施例中,由于内网模块和硬件检测单元已覆盖了所有的业务检测规则,故而外网模块可以不配置业务检测规则,以加快业务检测速度。在具体实施时,也可在外网模块配置业务检测规则,本发明对此不作限定。
图5是根据本发明实施例的网络安全检测装置的主要模块示意图。如图5所示,网络安全检测装置500主要包括数据生成模块501、内部报文生成模块502、安全检测模块503和合法报文获取模块504。
数据生成模块501,用于对获取的业务报文进行协议剥离,得到业务载荷数据。
对获取的业务报文依次进行网络层协议、传输层协议、应用层协议和业务层报文标识进行剥离,得到业务载荷数据。
内部报文生成模块502,用于使用内部协议封装所述业务载荷数据,得到内部业务报文。
对上述剥离了外部协议的业务载荷数据,使用区别于外部协议的内部协议进行封装,得到内部业务报文,用于网络安全检测。
安全检测模块503,使用预设的业务检测规则对所述内部业务报文进行安全检测,所述安全检测包括软件检测和硬件检测,且所述硬件检测之前有软件检测。
具体地,所述业务检测规则包括:根据行业业务报文顺序规范生成的业务顺序白名单检测规则;根据行业业务报文格式规范和内容要求生成的业务内容白名单检测规则;根据历史业务数据训练得到的业务特性黑名单检测规则;且所述软件检测和所述硬件检测分别使用所述业务检测规则中的至少一种。其中业务内容检测规则包括:业务包含的字段标识检测、字段值类型检测和字段内容合法性检测。业务特性检测规则包括:通过人工智能机器学习形成的监督学习业务特性检测规则和强化学习业务特性检测规则。各个业务检测规则是支持动态按需配置的而且各个业务检测规则之间是逻辑与的关系,即同时满足所有业务检测规则的内部业务报文才是合法的内部业务报文。
基于上述预设的业务检测规则,通过软件检测和硬件检测协同完成内部业务报文的安全检测。具体地,内部业务报文先经过软件检测得到符合预设业务检测规则的内部业务报文,再将所述内部业务报文经过硬件检测,得到符合硬件预设业务检测规则的内部业务报文。可选地,所述硬件检测之后还可以包括软件检测。对于业务检测规则在软件检测或硬件检测中的使用,可以根据实际需要进行灵活配置,既可以以效率优先对业务检测规则遍历一次,也可以安全可靠的进行业务检测规则的叠加使用。
合法报文获取模块504,用于对通过安全检测的内部业务报文进行内部协议剥离并封装为合法的业务报文。
具体地,对通过安全检测的内部业务报文进行内部协议剥离并封装为合法业务报文包括:对通过安全检测的内部业务报文进行内部协议剥离,得到业务载荷数据;根据内外部协议的映射关系,依次使用业务报文标识、应用层协议、传输层协议、网络层协议对所述业务载荷数据进行封装,得到符合业务检测规则的合法业务报文。
图6示出了可以应用本发明实施例的网络安全检测的方法或网络安全检测装置的示例性系统架构600。
如图6所示,系统架构600可以包括终端设备601、602、603,网络604和服务器605。网络604用以在终端设备601、602、603和服务器605之间提供通信链路的介质。网络604可以包括各种连接类型,例如有线、无线通信链路或者光纤电缆等等。
用户可以使用终端设备601、602、603通过网络604与服务器605交互,以接收或发送消息等。终端设备601、602、603上可以安装有各种通讯客户端应用,例如安全检测应用、风险预警应用、入侵检测应用等(仅为示例)。
终端设备601、602、603可以是具有显示屏并且支持网页浏览的各种电子设备,包括但不限于智能手机、平板电脑、膝上型便携计算机和台式计算机等等。
服务器605可以是提供各种服务的服务器,例如对用户利用终端设备601、602、603所进行的网络安全检测提供支持的后台管理服务器(仅为示例)。后台管理服务器可以对获取的业务报文进行协议剥离,得到业务载荷数据;使用内部协议封装所述业务载荷数据,得到内部业务报文;使用预设的业务检测规则对所述内部业务报文进行安全检测,所述安全检测包括软件检测和硬件检测,且所述硬件检测之前有软件检测;对通过安全检测的内部业务报文进行内部协议剥离并封装为合法的业务报文分析等处理,并将处理结果(例如网络安全检测结果等--仅为示例)反馈给终端设备。
需要说明的是,本发明实施例所提供的网络安全检测的方法一般由服务器605执行,相应地,网络安全检测的装置一般设置于服务器605中。
应该理解,图6中的终端设备、网络和服务器的数目仅仅是示意性的。根据实现需要,可以具有任意数目的终端设备、网络和服务器。
下面参考图7,其示出了适于用来实现本发明实施例的终端设备的计算机系统700的结构示意图。图7示出的终端设备仅仅是一个示例,不应对本发明实施例的功能和使用范围带来任何限制。
如图7所示,计算机系统700包括中央处理单元(CPU)701,其可以根据存储在只读存储器(ROM)702中的程序或者从存储部分708加载到随机访问存储器(RAM)703中的程序而执行各种适当的动作和处理。在RAM 703中,还存储有系统700操作所需的各种程序和数据。CPU701、ROM 702以及RAM 703通过总线704彼此相连。输入/输出(I/O)接口705也连接至总线704。
以下部件连接至I/O接口705:包括键盘、鼠标等的输入部分706;包括诸如阴极射线管(CRT)、液晶显示器(LCD)等以及扬声器等的输出部分707;包括硬盘等的存储部分708;以及包括诸如LAN卡、调制解调器等的网络接口卡的通信部分709。通信部分709经由诸如因特网的网络执行通信处理。驱动器710也根据需要连接至I/O接口705。可拆卸介质711,诸如磁盘、光盘、磁光盘、半导体存储器等等,根据需要安装在驱动器710上,以便于从其上读出的计算机程序根据需要被安装入存储部分708。
特别地,根据本发明公开的实施例,上文参考流程图描述的过程可以被实现为计算机软件程序。例如,本发明公开的实施例包括一种计算机程序产品,其包括承载在计算机可读介质上的计算机程序,该计算机程序包含用于执行流程图所示的方法的程序代码。在这样的实施例中,该计算机程序可以通过通信部分709从网络上被下载和安装,和/或从可拆卸介质711被安装。在该计算机程序被中央处理单元(CPU)701执行时,执行本发明的系统中限定的上述功能。
需要说明的是,本发明所示的计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质或者是上述两者的任意组合。计算机可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。计算机可读存储介质的更具体的例子可以包括但不限于:具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机访问存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑磁盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本发明中,计算机可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。而在本发明中,计算机可读的信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式,包括但不限于电磁信号、光信号或上述的任意合适的组合。计算机可读的信号介质还可以是计算机可读存储介质以外的任何计算机可读介质,该计算机可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。计算机可读介质上包含的程序代码可以用任何适当的介质传输,包括但不限于:无线、电线、光缆、RF等等,或者上述的任意合适的组合。
附图中的流程图和框图,图示了按照本发明各种实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分,上述模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个接连地表示的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图或流程图中的每个方框、以及框图或流程图中的方框的组合,可以用执行规定的功能或操作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
描述于本发明实施例中所涉及到的单元可以通过软件的方式实现,也可以通过硬件的方式来实现。所描述的单元也可以设置在处理器中,例如,可以描述为:一种处理器包括:数据生成模块、内部报文生成模块、安全检测模块和合法报文获取模块。
其中,这些模块的名称在某种情况下并不构成对该模块本身的限定,例如,数据生成模块还可以被描述为“用于对获取的业务报文进行协议剥离,得到业务载荷数据的模块”。
另一方面,本发明还提供了一种计算机可读介质,该计算机可读介质可以是上述实施例中描述的设备中所包含的;也可以是单独存在,而未装配入该设备中。上述计算机可读介质承载有一个或者多个程序,当上述一个或者多个程序被一个该设备执行时,使得该设备包括:对获取的业务报文进行协议剥离,得到业务载荷数据;使用内部协议封装所述业务载荷数据,得到内部业务报文;使用预设的业务检测规则对所述内部业务报文进行安全检测,所述安全检测包括软件检测和硬件检测,且所述硬件检测之前有软件检测;对通过安全检测的内部业务报文进行内部协议剥离并封装为合法的业务报文。
根据本发明实施例的技术方案,具有如下优点或有益效果:通过对获取的业务报文进行协议剥离得到业务载荷数据;使用内部协议对业务载荷数据进行封装以得到内部业务报文;使用预设的业务检测规则对内部业务报文进行安全检测,安全检测包括软件检测和硬件检测,且硬件检测之前有软件检测;对通过安全检测的内部业务报文进行内部协议剥离并封装为合法业务报文的技术方案,实现了基于特定行业的网络安全业务检测规则,采用软件检测和硬件检测相结合且灵活配置业务检测规则的安全检测方式,不仅解决了通用网络安全防御系统无法满足特定行业安全检测的需求的问题,而且实现了不可旁路的高强度隔离网络安全检测。
上述具体实施方式,并不构成对本发明保护范围的限制。本领域技术人员应该明白的是,取决于设计要求和其他因素,可以发生各种各样的修改、组合、子组合和替代。任何在本发明的精神和原则之内所作的修改、等同替换和改进等,均应包含在本发明保护范围之内。
Claims (13)
1.一种网络安全检测的方法,其特征在于,包括:
对获取的业务报文进行协议剥离,得到业务载荷数据;
使用内部协议封装所述业务载荷数据,得到内部业务报文;
使用预设的业务检测规则对所述内部业务报文进行安全检测,所述安全检测包括相互独立且协同进行的软件检测和硬件检测,且所述硬件检测之前有软件检测,所述硬件检测通过专用硬件处理芯片来实现;
对通过安全检测的内部业务报文进行内部协议剥离并封装为合法的业务报文。
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:
所述硬件检测之后还包括软件检测。
3.根据权利要求1所述的方法,其特征在于,对获取的业务报文进行协议剥离包括:
依次对业务报文的网络层协议、传输层协议、应用层协议和业务层报文标识进行剥离。
4.根据权利要求1所述的方法,其特征在于,所述业务检测规则包括:
根据行业业务报文顺序规范生成的业务顺序检测规则、根据行业业务报文格式规范和内容要求生成的业务内容检测规则、根据历史业务数据训练得到的业务特性检测规则;
并且,所述软件检测和所述硬件检测分别使用所述业务检测规则中的至少一种。
5.根据权利要求4所述的方法,其特征在于,所述业务内容检测规则包括:
业务包含的字段标识检测、字段值类型检测和字段内容合法性检测。
6.根据权利要求4所述的方法,其特征在于,所述业务特性检测规则包括:
通过人工智能机器学习形成的监督学习业务特性检测规则和强化学习业务特性检测规则。
7.根据权利要求6所述的方法,其特征在于,所述监督学习业务特性检测规则通过以下方式得到:
对历史业务数据中已确认攻击事件进行标注;
分别使用多种监督学习算法对标注后的历史业务数据进行学习以建立监督学习模型,并从建立的监督学习模型中选取最优模型作为监督学习业务特性检测规则模型;
使用所述监督学习业务特性检测规则模型生成监督学习业务特性检测规则。
8.根据权利要求6所述的方法,其特征在于,所述强化学习业务特性检测规则通过以下方式得到:
使用强化学习算法对历史业务数据进行强化学习以训练强化学习模型;
对强化学习结果进行确认后反馈至所述强化学习模型,以对所述强化学习模型进行持续训练直至满足设定的训练结束条件,并将满足所述训练结束条件的强化学习模型作为强化学习业务特性检测规则模型;
使用所述强化学习业务特性检测规则模型生成强化学习业务特性检测规则。
9.根据权利要求4所述的方法,其特征在于,所述业务检测规则的实现方式包括:
将所述业务顺序检测规则和所述业务内容检测规则实现为白名单规则,将所述业务特性检测规则实现为黑名单规则。
10.根据权利要求1所述的方法,其特征在于,对通过安全检测的内部业务报文进行内部协议剥离并封装为合法业务报文包括:
对通过安全检测的内部业务报文进行内部协议剥离,得到业务载荷数据;
依次使用业务层报文标识、应用层协议、传输层协议、网络层协议对所述业务载荷数据进行封装,得到符合业务检测规则的合法业务报文。
11.一种网络安全检测的装置,其特征在于,包括:
数据生成模块,用于对获取的业务报文进行协议剥离,得到业务载荷数据;
内部报文生成模块,用于使用内部协议封装所述业务载荷数据,得到内部业务报文;
安全检测模块,使用预设的业务检测规则对所述内部业务报文进行安全检测,所述安全检测包括相互独立且协同进行的软件检测和硬件检测,且所述硬件检测之前有软件检测,所述硬件检测通过专用硬件处理芯片来实现;
合法报文获取模块,用于对通过安全检测的内部业务报文进行内部协议剥离并封装为合法的业务报文。
12.一种移动电子设备终端,其特征在于,包括:
一个或多个处理器;
存储装置,用于存储一个或多个程序,
当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现如权利要求1-10中任一所述的方法。
13.一种计算机可读介质,其上存储有计算机程序,其特征在于,所述程序被处理器执行时实现如权利要求1-10中任一所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110921376.6A CN113676466B (zh) | 2021-08-11 | 2021-08-11 | 一种网络安全检测的方法和装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110921376.6A CN113676466B (zh) | 2021-08-11 | 2021-08-11 | 一种网络安全检测的方法和装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN113676466A CN113676466A (zh) | 2021-11-19 |
| CN113676466B true CN113676466B (zh) | 2023-06-16 |
Family
ID=78542381
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110921376.6A Active CN113676466B (zh) | 2021-08-11 | 2021-08-11 | 一种网络安全检测的方法和装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113676466B (zh) |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112351002A (zh) * | 2020-10-21 | 2021-02-09 | 新华三信息安全技术有限公司 | 一种报文检测方法、装置及设备 |
| CN112448918A (zh) * | 2019-08-29 | 2021-03-05 | 华为技术有限公司 | 报文传输方法及装置、计算机存储介质 |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101247281A (zh) * | 2008-03-21 | 2008-08-20 | 华为技术有限公司 | 一种协议报文的检测方法、系统及设备 |
| CN110401624A (zh) * | 2018-04-25 | 2019-11-01 | 全球能源互联网研究院有限公司 | 源网荷系统交互报文异常的检测方法及系统 |
| CN111385271A (zh) * | 2018-12-29 | 2020-07-07 | 北京奇虎科技有限公司 | 网络攻击的检测方法、装置及系统 |
| CN112422506B (zh) * | 2020-10-16 | 2022-03-15 | 郑州信大捷安信息技术股份有限公司 | 一种基于DoIP协议的入侵检测防御方法及系统 |
-
2021
- 2021-08-11 CN CN202110921376.6A patent/CN113676466B/zh active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112448918A (zh) * | 2019-08-29 | 2021-03-05 | 华为技术有限公司 | 报文传输方法及装置、计算机存储介质 |
| CN112351002A (zh) * | 2020-10-21 | 2021-02-09 | 新华三信息安全技术有限公司 | 一种报文检测方法、装置及设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN113676466A (zh) | 2021-11-19 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11323471B2 (en) | Advanced cybersecurity threat mitigation using cyberphysical graphs with state changes | |
| US20200412767A1 (en) | Hybrid system for the protection and secure data transportation of convergent operational technology and informational technology networks | |
| US11750659B2 (en) | Cybersecurity profiling and rating using active and passive external reconnaissance | |
| US11750631B2 (en) | System and method for comprehensive data loss prevention and compliance management | |
| US10609079B2 (en) | Application of advanced cybersecurity threat mitigation to rogue devices, privilege escalation, and risk-based vulnerability and patch management | |
| US10432660B2 (en) | Advanced cybersecurity threat mitigation for inter-bank financial transactions | |
| US20200389495A1 (en) | Secure policy-controlled processing and auditing on regulated data sets | |
| US10248910B2 (en) | Detection mitigation and remediation of cyberattacks employing an advanced cyber-decision platform | |
| US20220014560A1 (en) | Correlating network event anomalies using active and passive external reconnaissance to identify attack information | |
| US10560483B2 (en) | Rating organization cybersecurity using active and passive external reconnaissance | |
| US20220377093A1 (en) | System and method for data compliance and prevention with threat detection and response | |
| US20180219894A1 (en) | User and entity behavioral analysis using an advanced cyber decision platform | |
| US10958657B2 (en) | Utilizing transport layer security (TLS) fingerprints to determine agents and operating systems | |
| US20220263860A1 (en) | Advanced cybersecurity threat hunting using behavioral and deep analytics | |
| CN112953971B (zh) | 一种网络安全流量入侵检测方法和系统 | |
| US20210360032A1 (en) | Cybersecurity risk analysis and anomaly detection using active and passive external reconnaissance | |
| WO2019018829A1 (en) | MITIGATING IMPROVED CYBERSECURITY THREATS USING DEEP AND BEHAVIORAL ANALYTICS | |
| CN116599747A (zh) | 一种网络与信息安全服务系统 | |
| CN113676466B (zh) | 一种网络安全检测的方法和装置 | |
| CN114567678B (zh) | 一种云安全服务的资源调用方法、装置及电子设备 | |
| WO2020102601A1 (en) | Comprehensive data loss prevention and compliance management | |
| EP3679506A2 (en) | Advanced cybersecurity threat mitigation for inter-bank financial transactions | |
| US20240195841A1 (en) | System and method for manipulation of secure data | |
| CN117494185B (zh) | 数据库访问控制方法及装置、系统、设备、存储介质 | |
| US20240089268A1 (en) | Detecting malicious behavior from handshake protocols using machine learning |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20230718 Address after: Floor 20, block a, Jintang center, No. 18, Fengtai North Road, Fengtai District, Beijing 100071 Patentee after: THE PEOPLES BANK OF CHINA, DIGITAL CASH Research Institute Patentee after: Beijing National Digital Financial Technology Testing Center Co.,Ltd. Address before: Floor 20, block a, Jintang center, No. 18, Fengtai North Road, Fengtai District, Beijing 100071 Patentee before: THE PEOPLES BANK OF CHINA, DIGITAL CASH Research Institute |
|
| TR01 | Transfer of patent right |