CN114050967A - 一种基于容器的智能网络安全功能管理方法及系统 - Google Patents

一种基于容器的智能网络安全功能管理方法及系统 Download PDF

Info

Publication number
CN114050967A
CN114050967A CN202110934821.2A CN202110934821A CN114050967A CN 114050967 A CN114050967 A CN 114050967A CN 202110934821 A CN202110934821 A CN 202110934821A CN 114050967 A CN114050967 A CN 114050967A
Authority
CN
China
Prior art keywords
unit
instruction
data
firewall
container
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202110934821.2A
Other languages
English (en)
Inventor
寇爱军
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Huzhou University
Original Assignee
Huzhou University
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Huzhou University filed Critical Huzhou University
Priority to CN202110934821.2A priority Critical patent/CN114050967A/zh
Publication of CN114050967A publication Critical patent/CN114050967A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/08Configuration management of networks or network elements
    • H04L41/0803Configuration setting
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种基于容器的智能网络安全功能管理方法及系统,通过初始决策单元对网络终端的型号和IP地址进行配置,且将其历史配置格式化,设计初始保护规则,阻挡未达到预设标准的数据进入,将阻挡的数据通过安全判定单元进行判定,辨别其属于待消除数据或备用数据,向指令服从单元发出类危险指令,通过其指令对数据接收单元进行处理判断,对判断的指令进行等级分类,指令分类后进行预处理,判断是否上调防火墙等级,对指令进行分类监控,利用等级限制单元对指令进行等级监控,并对新增指令进行解除规则并触发,指令触发个别单元并通过内容接触单元对其内容解除封禁,进而将指定的指令通过运行单元在终端处理容器进行运行。

Description

一种基于容器的智能网络安全功能管理方法及系统
技术领域
本发明涉及网络安全技术领域,尤其涉及一种基于容器的智能网络安全功能管理方法及系统。
背景技术
网络安全是指是指网络系统的硬件、软件及其系统中的数据受到保护,不因偶然的或者恶意的原因而遭受到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断,网络空间已经全方位渗透至国家政治、经济和文化等领域,以及社会、公众的运行和生活之中。由于网络空间包含着巨大的能量和利益,因而也成为新时期攻击者的重点关注目标。攻击者的恶意手段变化多端、更新迅速、破坏力强,对网络、计算机和信息系统构成了极大威胁,基于防火墙、入侵检测、安全审计等传统安全机制已经难以保证网络空间的安全。
专利号CN201910001284.9公开了一种基于容器的智能网络安全功能管理方法及系统,所述初始配置流程包括以下步骤:a、分别安装安全决策中心、决策规则库、容器镜像库、安全事件库,将决策规则库、容器镜像库、安全事件库中的安全决策中心IP正确配置;b、在安全决策中心内,配置网络环境中相关终端设备的地址、端口和型号;c、初始化镜像库,在线下载防火墙、入侵检测、主机监控和蜜罐四类载荷的最新代码,并使用典型配置封装为源镜像;d、初始化安全事件库,清除所有事件标志;e、初始化决策规则库,配置默认防护规则;f、启动安全决策中心,安全决策中心自动连接至网络环境中的相关终端设备,下发防火墙载荷;g、相关终端设备接收到防火墙载荷,在容器环境中加载并运行,开启安全事件监听;h、相关终端设备将生成的安全事件提交到安全事件库。此发明能够对每个安全软硬件设备的特点进行针对性配置,实现整体安全能力的均衡,但无法对数据的安全等级进行分类。
专利号CN111831269A公开了一种应用开发系统、运行方法、设备及存储介质,包括:交互层,用于提供操作界面,并将在所述操作界面上触发的创建请求发送到开发层;所述创建请求用于请求创建待开发业务事项的微服务;所述开发层,用于根据所述微服务生成调用请求,向中间层发送所述调用请求,以调用目标中间组件;进而在微服务框架中,利用所述目标中间组件创建所述业务事项的已完成微服务,并将所述已完成微服务反馈至所述交互层;其中,所述微服务框架能够支持实现任意类型的业务事项;中间层,用于向容器层发送所述调用请求,以调用目标容器,利用所述目标容器创建所述目标中间组件;所述容器层,用于提供搭建不同中间组件的至少两个容器,响应于所述调用请求,向所述中间层反馈所述目标容器。此专利通过提供支持实现多服务业务的不同开发代码的应用开发系统,对于不同的开发人员在操作界面输入的调用请求均能够进行响应,以搭建实现该调用请求针对事项的已完成微服务;这样,统一了不同开发人员的开发环境,能够使得开发人员专注于业务开发,从而节省了开发人员的时间,提升了研发效率,但无法通过多种指令集的判断和审查对智能网络的安全得到保障。
为此,我们提出一种基于容器的智能网络安全功能管理方法及系统来解决上述问题。
发明内容
本发明的目的是为了解决现有技术中存在的缺点,防火墙与安全决策单元进行连接,对数据进行监控,阻挡未达到预设标准的数据进入,将阻挡的数据通过安全判定单元进行判定,辨别其属于待消除数据或备用数据,向指令服从单元发出类危险指令,通过其指令对数据接收单元进行处理判断,对判断的指令进行等级分类,指令分类后进行预处理,判断是否上调防火墙等级,对指令进行分类监控,利用等级限制单元对指令进行等级监控,并对新增指令进行解除规则并触发,指令触发个别单元并通过内容接触单元对其内容解除封禁,进而将指定的指令通过运行单元在终端处理容器进行运行,而提出的一种基于容器的智能网络安全功能管理方法及系统。
为了实现上述目的,本发明采用了如下技术方案:一种基于容器的智能网络安全功能管理方法,包括以下步骤:
S1:通过初始决策单元对网络终端的型号和IP地址进行配置,且将其历史配置格式化,设计初始保护规则;
S2:启动相关网络防火墙,使防火墙与安全决策单元进行连接,对数据进行监控,阻挡未达到预设标准的数据进入,将阻挡的数据通过安全判定单元进行判定,辨别其属于待消除数据或备用数据;
S3:向指令服从单元发出类危险指令,通过其指令对数据接收单元进行处理判断,对判断的指令进行等级分类;
S4:指令分类后进行预处理,判断是否上调防火墙等级;
S5:对指令进行分类监控,利用等级限制单元对指令进行等级监控,并对新增指令进行解除规则并触发;
S6:指令触发个别单元并通过内容接触单元对其内容解除封禁,进而将指定的指令通过运行单元在终端处理容器进行运行。
优选的,所述步骤S3中对判断的指令进行等级分类:
当防火墙遭受非正常操作指令时,产生的异常数据提交至资料储存库;
当防火墙遭受可疑指令时,将其划分为可疑数据提交至资料储存库;
当防火墙受到正常操作指令时,直接提交至资料储存库。
本发明提出的另一种技术方案:提供一种基于容器的智能网络安全功能管理系统:
包括初始决策单元、防火墙、安全决策单元、安全判定单元、指令服从单元、等级限制单元、内容解除单元、运行单元和处理终端容器,所述的初始决策单元、防火墙、安全决策单元、安全判定单元、指令服从单元、等级限制单元、内容解除单元、运行单元与处理终端容器进行电性连接。
优选的,所述系统包括:初始决策单元:配置网络终端的型号和 IP地址;
防火墙:对指令进行监控和阻挡;
安全决策单元:通过防火墙的数据进行决策;
安全判定单元:对阻挡的数据进行判定;
指令服从单元:指令对数据接收单元进行处理判断;
等级限制单元:对通过数据接收单元的指令进行处理判断;
内容解除单元:对触发的指令内容解除封禁;
运行单元:将指定的指令进行运行;
处理终端容器:将所有指令进行分类运行。
优选的,所述防火墙设为非正常操作指令、可疑操作指令和正常操作指令。
优选的,所述安全判定单元对数据进行查询比对,通过预设阈值进行判定区分。
优选的,所述等级限制单元能够对指令进行等级监控,并对新增指令进行解除规则并触发。
与现有技术相比,本发明的有益效果为:
1、本发明提出的一种基于容器的智能网络安全功能管理方法及系统,通过初始决策单元对网络终端的型号和IP地址进行配置,且将其历史配置格式化,设计初始保护规则,启动相关网络防火墙,使防火墙与安全决策单元进行连接,对数据进行监控,阻挡未达到预设标准的数据进入,将阻挡的数据通过安全判定单元进行判定,辨别其属于待消除数据或备用数据,向指令服从单元发出类危险指令,通过其指令对数据接收单元进行处理判断,对判断的指令进行等级分类。
2、本发明提出的一种基于容器的智能网络安全功能管理方法及系统,指令分类后进行预处理,判断是否上调防火墙等级,对指令进行分类监控,利用等级限制单元对指令进行等级监控,并对新增指令进行解除规则并触发,指令触发个别单元并通过内容接触单元对其内容解除封禁,进而将指定的指令通过运行单元在终端处理容器进行运行。
附图说明
图1为本发明提出的种基于容器的智能网络安全功能管理方法步骤图;
图2为指令等级分级图。
具体实施方式
在本发明的描述中,需要理解的是,术语“中心”、“纵向”、“横向”、“长度”、“宽度”、“厚度”、“上”、“下”、“前”、“后”、“左”、“右”、“竖直”、“水平”、“顶”、“底”、“内”、“外”、“顺时针”、“逆时针”等指示的方位或位置关系为基于附图所示的方位或位置关系,仅是为了便于描述本发明和简化描述,而不是指示或暗示所指的设备或元件必须具有特定的方位、以特定的方位构造和操作,因此不能理解为对本发明的限制。
在本发明的描述中,“多个”的含义是两个或两个以上,除非另有明确具体的限定。
在本发明的描述中,需要说明的是,除非另有明确的规定和限定,术语“安装”、“设置有”、“套设/接”、“连接”等,应做广义理解,例如“连接”,可以是固定连接,也可以是可拆卸连接,或一体地连接;可以是机械连接,也可以是电连接;可以是直接相连,也可以通过中间媒介间接相连,可以是两个元件内部的连通。对于本领域的普通技术人员而言,可以具体情况理解上述术语在本发明中的具体含义。
参照图1和2,一种基于容器的智能网络安全功能管理方法,包括以下步骤:
S1:通过初始决策单元对网络终端的型号和IP地址进行配置,且将其历史配置格式化,设计初始保护规则;
S2:启动相关网络防火墙,使防火墙与安全决策单元进行连接,对数据进行监控,阻挡未达到预设标准的数据进入,将阻挡的数据通过安全判定单元进行判定,辨别其属于待消除数据或备用数据;
S3:向指令服从单元发出类危险指令,通过其指令对数据接收单元进行处理判断,对判断的指令进行等级分类;
S4:指令分类后进行预处理,判断是否上调防火墙等级;
S5:对指令进行分类监控,利用等级限制单元对指令进行等级监控,并对新增指令进行解除规则并触发;
S6:指令触发个别单元并通过内容接触单元对其内容解除封禁,进而将指定的指令通过运行单元在终端处理容器进行运行。
步骤S3中对判断的指令进行等级分类:
当防火墙遭受非正常操作指令时,产生的异常数据提交至资料储存库;
当防火墙遭受可疑指令时,将其划分为可疑数据提交至资料储存库;
当防火墙受到正常操作指令时,直接提交至资料储存库。
为了更好的展现一种基于容器的智能网络安全功能管理方法,本实施例现提出一种基于容器的智能网络安全功能管理系统,包括:
包括初始决策单元、防火墙、安全决策单元、安全判定单元、指令服从单元、等级限制单元、内容解除单元、运行单元和处理终端容器,所述的初始决策单元、防火墙、安全决策单元、安全判定单元、指令服从单元、等级限制单元、内容解除单元、运行单元与处理终端容器进行电性连接。
系统包括:
初始决策单元:配置网络终端的型号和IP地址;
防火墙:对指令进行监控和阻挡;
安全决策单元:通过防火墙的数据进行决策;
安全判定单元:对阻挡的数据进行判定;
指令服从单元:指令对数据接收单元进行处理判断;
等级限制单元:对通过数据接收单元的指令进行处理判断;
内容解除单元:对触发的指令内容解除封禁;
运行单元:将指定的指令进行运行;
处理终端容器:将所有指令进行分类运行。
防火墙设为非正常操作指令、可疑操作指令和正常操作指令。
安全判定单元对数据进行查询比对,通过预设阈值进行判定区分。
等级限制单元能够对指令进行等级监控,并对新增指令进行解除规则并触发。
工作原理:通过初始决策单元对网络终端的型号和IP地址进行配置,且将其历史配置格式化,设计初始保护规则,启动相关网络防火墙,使防火墙与安全决策单元进行连接,对数据进行监控,阻挡未达到预设标准的数据进入,将阻挡的数据通过安全判定单元进行判定,辨别其属于待消除数据或备用数据,向指令服从单元发出类危险指令,通过其指令对数据接收单元进行处理判断,对判断的指令进行等级分类,指令分类后进行预处理,判断是否上调防火墙等级,对指令进行分类监控,利用等级限制单元对指令进行等级监控,并对新增指令进行解除规则并触发,指令触发个别单元并通过内容接触单元对其内容解除封禁,进而将指定的指令通过运行单元在终端处理容器进行运行。
以上显示和描述了本发明的基本原理、主要特征和本发明的优点。本行业的技术人员应该了解,本发明不受上述实施例的限制,上述实施例和说明书中描述的仅为本发明的优选例,并不用来限制本发明,在不脱离本发明精神和范围的前提下,本发明还会有各种变化和改进,这些变化和改进都落入要求保护的本发明范围内。本发明要求保护范围由所附的权利要求书及其等效物界定。

Claims (7)

1.一种基于容器的智能网络安全功能管理方法,其特征在于,包括以下步骤:
S1:通过初始决策单元对网络终端的型号和IP地址进行配置,且将其历史配置格式化,设计初始保护规则;
S2:启动相关网络防火墙,使防火墙与安全决策单元进行连接,对数据进行监控,阻挡未达到预设标准的数据进入,将阻挡的数据通过安全判定单元进行判定,辨别其属于待消除数据或备用数据;
S3:向指令服从单元发出类危险指令,通过其指令对数据接收单元进行处理判断,对判断的指令进行等级分类;
S4:指令分类后进行预处理,判断是否上调防火墙等级;
S5:对指令进行分类监控,利用等级限制单元对指令进行等级监控,并对新增指令进行解除规则并触发;
S6:指令触发个别单元并通过内容接触单元对其内容解除封禁,进而将指定的指令通过运行单元在终端处理容器进行运行。
2.根据权利要求1所述的一种基于容器的智能网络安全功能管理方法,其特征在于,步骤S3中对判断的指令进行等级分类:
当防火墙遭受非正常操作指令时,产生的异常数据提交至资料储存库;
当防火墙遭受可疑指令时,将其划分为可疑数据提交至资料储存库;
当防火墙受到正常操作指令时,直接提交至资料储存库。
3.权利要求1-2任一项所述的一种基于容器的智能网络安全功能管理系统,其特征在于:包括初始决策单元、防火墙、安全决策单元、安全判定单元、指令服从单元、等级限制单元、内容解除单元、运行单元和处理终端容器,所述的初始决策单元、防火墙、安全决策单元、安全判定单元、指令服从单元、等级限制单元、内容解除单元、运行单元与处理终端容器进行电性连接。
4.根据权利要求3所述的一种基于容器的智能网络安全功能管理系统,其特征在于,所述系统包括:
初始决策单元:配置网络终端的型号和IP地址;
防火墙:对指令进行监控和阻挡;
安全决策单元:通过防火墙的数据进行决策;
安全判定单元:对阻挡的数据进行判定;
指令服从单元:指令对数据接收单元进行处理判断;
等级限制单元:对通过数据接收单元的指令进行处理判断;
内容解除单元:对触发的指令内容解除封禁;
运行单元:将指定的指令进行运行;
处理终端容器:将所有指令进行分类运行。
5.根据权利要求3所述的一种基于容器的智能网络安全功能管理系统,其特征在于,所述防火墙设为非正常操作指令、可疑操作指令和正常操作指令。
6.根据权利要求3所述的一种基于容器的智能网络安全功能管理系统,其特征在于,所述安全判定单元对数据进行查询比对,通过预设阈值进行判定区分。
7.根据权利要求3所述的一种基于容器的智能网络安全功能管理系统,其特征在于,所述等级限制单元能够对指令进行等级监控,并对新增指令进行解除规则并触发。
CN202110934821.2A 2021-08-16 2021-08-16 一种基于容器的智能网络安全功能管理方法及系统 Pending CN114050967A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202110934821.2A CN114050967A (zh) 2021-08-16 2021-08-16 一种基于容器的智能网络安全功能管理方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202110934821.2A CN114050967A (zh) 2021-08-16 2021-08-16 一种基于容器的智能网络安全功能管理方法及系统

Publications (1)

Publication Number Publication Date
CN114050967A true CN114050967A (zh) 2022-02-15

Family

ID=80204444

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202110934821.2A Pending CN114050967A (zh) 2021-08-16 2021-08-16 一种基于容器的智能网络安全功能管理方法及系统

Country Status (1)

Country Link
CN (1) CN114050967A (zh)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109076057A (zh) * 2016-04-12 2018-12-21 科里普特佐内北美股份有限公司 用于通过防火墙保护网络装置的系统和方法
CN109729089A (zh) * 2019-01-02 2019-05-07 中国电子科技网络信息安全有限公司 一种基于容器的智能网络安全功能管理方法及系统
US10484334B1 (en) * 2013-02-26 2019-11-19 Zentera Systems, Inc. Distributed firewall security system that extends across different cloud computing networks
US20200236086A1 (en) * 2019-01-23 2020-07-23 Vmware, Inc. Score-based dynamic firewall rule enforcement

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10484334B1 (en) * 2013-02-26 2019-11-19 Zentera Systems, Inc. Distributed firewall security system that extends across different cloud computing networks
CN109076057A (zh) * 2016-04-12 2018-12-21 科里普特佐内北美股份有限公司 用于通过防火墙保护网络装置的系统和方法
CN109729089A (zh) * 2019-01-02 2019-05-07 中国电子科技网络信息安全有限公司 一种基于容器的智能网络安全功能管理方法及系统
US20200236086A1 (en) * 2019-01-23 2020-07-23 Vmware, Inc. Score-based dynamic firewall rule enforcement

Similar Documents

Publication Publication Date Title
US7437760B2 (en) Antiviral network system
AU2002239889B2 (en) Computer security and management system
CN108063753A (zh) 一种信息安全监测方法及系统
US20040205419A1 (en) Multilevel virus outbreak alert based on collaborative behavior
CN104244249A (zh) 用于通过切换模式提供无线网络中的安全保护的技术
CN115996146B (zh) 数控系统安全态势感知与分析系统、方法、设备及终端
CN111800419B (zh) 一种SDN环境下DDoS攻击检测系统及方法
US20160110544A1 (en) Disabling and initiating nodes based on security issue
CN110868418A (zh) 一种威胁情报生成方法、装置
CN111614639A (zh) 一种基于边界理论的网络安全分析方法
CN1564530A (zh) 网络安全防护的分布式入侵检测与内网监控系统及方法
CN111786986B (zh) 一种数控系统网络入侵防范系统及方法
CN101587521B (zh) 获取远程计算机信息的方法及装置
Ghribi et al. Fog‐cloud distributed intrusion detection and cooperation
CN114050967A (zh) 一种基于容器的智能网络安全功能管理方法及系统
CN109729089B (zh) 一种基于容器的智能网络安全功能管理方法及系统
Verma et al. A Review on Security Trends and Solutions Against Cyber Threats in Industry 4.0
CN115208690A (zh) 一种基于数据分类分级的筛查处理系统
CN115065546A (zh) 一种主动防攻击网络安全防护系统及方法
CN114493339A (zh) 一种基于数据特征提取的电网信息安全预警系统
CN114493338A (zh) 一种基于大数据的电力信息威胁情景感知和防御系统
CN112261017A (zh) 一种面向云计算环境的服务器异常行为监测管理方法
CN112487419A (zh) 一种计算机网络信息安全事件处理方法
JP2005293509A (ja) 不正通信の自動設定侵入検知装置、方法および記録媒体
CN114154155B (zh) 目标程序生成方法、勒索程序检测方法、装置、设备

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination