CN114268504A - 云中提供网络安全检测的方法、装置、设备、介质、产品 - Google Patents
云中提供网络安全检测的方法、装置、设备、介质、产品 Download PDFInfo
- Publication number
- CN114268504A CN114268504A CN202111607240.4A CN202111607240A CN114268504A CN 114268504 A CN114268504 A CN 114268504A CN 202111607240 A CN202111607240 A CN 202111607240A CN 114268504 A CN114268504 A CN 114268504A
- Authority
- CN
- China
- Prior art keywords
- data packet
- cloud
- copy
- information
- security detection
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D30/00—Reducing energy consumption in communication networks
- Y02D30/50—Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供了一种云中提供网络安全检测的方法,本发明涉及云安全检测领域。包括如下步骤:获取网络间传递的信息,将传递的所有信息进行打包处理以形成数据包,并将数据包进行镜像以生成数据包副本;获取数据包副本,并将数据包副本发送至监控子网;监控子网将接收的数据包副本从公有云中取出,并发送至安全工具中;对数据包副本进行安全检测。通过本发明提供的技术方案可以很好的收集外部网络流量和内部应用子网之间相互调用的网络流量,把它们之间网络流量供给安全子网中的安全设备进行安全和威胁分析,提高整个系统对安全攻击的抗击打能力,提升效能。本发明还提供了一种云中提供网络安全检测装置、设备、存储介质、程序产品。
Description
技术领域
本发明涉及云安全检测技术领域,特别涉及一种云中提供网络安全检测的方法、装置、设备、介质、产品。
背景技术
随着信息化时代的到来,云计算在各个领域的落地实践,云安全也迎来的新的挑战。2021年威尔森通信公司数据泄露调查报告显示73%的网络安全事件涉及外部云资产,针对云的攻击首年超过了本地攻击。每个主要的公共云平台在网络可见性方面都是一个“黑盒”。IT的网络运用团队都无法使用他们云中久经考验的工作流来提供足够的可视性以为他们自己、应用程序和安全对应方服务。
现有的技术的安全工具不再能够访问公共云中的流量,现有的技术的安全工具无法访问最深层和最纯粹的网络数据,即数据包数据,入侵检测系统(IDS)、入侵防御系统(IPS)或网络检测和响应(NDR)等安全工具的有效性大大降低,保护云中的应用程序和敏感数据免受恶意参与者攻击变得更加困难。
发明内容
本发明的主要目的是提供一种云中提供网络安全检测的方法、装置、设备、介质、产品,旨在改善现有技术中,云中虚拟设备之间的内部网络流量、公网的外部流量不可见的技术问题。
为实现上述目的,本发明提供一种云中提供网络安全检测的方法,所述云中提供网络安全检测的方法包括如下步骤:
获取网络间传递的信息,将传递的所有信息进行打包处理以形成数据包,并将所述数据包进行镜像以生成数据包副本;
获取所述数据包副本,并将所述数据包副本发送至监控子网;
监控子网将接收的所述数据包副本从公有云中取出,并发送至安全工具中;
对所述数据包副本进行安全检测。
可选地,获取网络间传递的信息,将传递的所有信息进行打包处理以形成数据包,并将所述数据包进行镜像以生成数据包副本的步骤包括:
从防火墙和入侵防御系统处获取网络间传递的信息;
根据传递的信息的来源分别将信息存储到不同的数据包队列中;
通过共有云提供的镜像功能对所述数据包进行镜像。
可选地,共有云提供的镜像功能为vTAP功能。
可选地,获取网络间传递的信息,将传递的所有信息进行打包处理以形成数据包,并将所述数据包进行镜像以生成数据包副本的步骤包括:
从内部应用程序子网间获取网络间传递的信息;
判断网络间传递的信息的类型;
如果是文字类的信息,则直接对其进行打包处理以形成数据包;
如果是非文字类的信息,则需要对其进行压缩处理后再进行打包处理以形成数据包;
通过内部负载均衡器提供的镜像功能对所述数据包进行镜像。
可选地,内部负载均衡器提供的镜像功能为vPB功能。
可选地,获取所述数据包副本,并将所述数据包副本发送至内部监控子网的步骤包括:
获取数据包副本的生成时间,并以生成时间对所述数据包副本进行命名;
将命名后所述数据包副本发送至监控子网中保存。
可选地,对所述数据包副本进行安全检测的步骤包括:
当受到安全危险时,对生成时间设定在检测期内的数据包副本检测;
当未受到安全危险时,对生成时间设定在报废期内数据包副本进行删除。
此外,为实现上述目的,本发明还提出一种云中提供网络安全检测装置,包括:
负载均衡模块,用以加强数据包的处理能力;
虚拟数据包代理模块,用以将数据包进行转发;
数据包存储模块,用以存储数据包以及数据包副本;
安全检测模块,用以对数据包副本的内容进行安全检测。
可选地,所述云中提供网络安全检测装置包括部署至少三个所述虚拟数据包代理模块,用以提高网络数据处理能力。
此外,为实现上述目的,本发明还提出一种电子设备,包括:
一个或多个处理器;
存储装置,用于存储一个或多个程序,
其中,当所述一个或多个程序被所述一个或多个处理器执行时,使得所述一个或多个处理器执行上述任一项所述的方法。
此外,为实现上述目的,本发明还提出一种计算机可读存储介质,所述计算机可读存储介质上存储有可执行指令,该指令被处理器执行时实现如上文所述的云中提供网络安全检测的方法的步骤。
此外,为实现上述目的,本发明还提出一种计算机程序产品,包括计算机程序,所述计算机程序被处理器执行时实现如上文所述的云中提供网络安全检测的方法的步骤。
在本发明提供的技术方案中,可以很好的收集外部网络流量和内部应用子网之间相互调用的网络流量,把它们之间网络流量供给安全子网中的安全设备进行安全和威胁分析,提高整个系统对安全攻击的抗击打能力,提升效能。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图示出的结构获得其他的附图。
图1是本发明实施例方案涉及的应用场景结构示意图;
图2为本发明提供的云中提供网络安全检测的方法的一实施例的流程示意图;
图3为云中提供网络安全检测装置的结构示意图;
图4为图3中电子设备的结构示意图。
附图标号说明:
标号 | 名称 | 标号 | 名称 |
100 | 应用场景 | 1806 | 输入部分 |
101 | 服务器 | 1807 | 输出部分 |
102 | 网络 | 1808 | 存储部分 |
103 | 虚拟设备 | 1809 | 通信部分 |
1800 | 电子设备 | 1810 | 驱动器 |
1801 | 处理器 | 1811 | 可拆卸介质 |
1802 | 只读存储器 | 104 | 云中提供网络安全检测装置 |
1803 | 随机访问存储器 | 105 | 负载均衡模块 |
1804 | 总线 | 106 | 虚拟数据包代理模块 |
1805 | I/O接口 | 107 | 数据包存储模块 |
108 | 安全检测模块 |
本发明目的的实现、功能特点及优点将结合实施例,参照附图做进一步说明。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚明白,以下结合具体实施例,并参照附图,对本发明进一步详细说明。对本发明中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
以下,将参照附图来描述本公开的实施例。但是应该理解,这些描述只是示例性的,而并非要限制本公开的范围。在下面的详细描述中,为便于解释,阐述了许多具体的细节以提供对本公开实施例的全面理解。然而,明显地,一个或多个实施例在没有这些具体细节的情况下也可以被实施。此外,在以下说明中,省略了对公知结构和技术的描述,以避免不必要地混淆本公开的概念。
在此使用的术语仅仅是为了描述具体实施例,而并非意在限制本公开。在此使用的术语“包括”、“包含”等表明了所述特征、步骤、操作和/或部件的存在,但是并不排除存在或添加一个或多个其他特征、步骤、操作或部件。
在此使用的所有术语(包括技术和科学术语)具有本领域技术人员通常所理解的含义,除非另外定义。应注意,这里使用的术语应解释为具有与本说明书的上下文相一致的含义,而不应以理想化或过于刻板的方式来解释。
在使用类似于“A、B和C等中至少一个”这样的表述的情况下,一般来说应该按照本领域技术人员通常理解该表述的含义来予以解释(例如,“具有A、B和C中至少一个的系统”应包括但不限于单独具有A、单独具有B、单独具有C、具有A和B、具有A和C、具有B和C、和/或具有A、B、C的系统等)。在使用类似于“A、B或C等中至少一个”这样的表述的情况下,一般来说应该按照本领域技术人员通常理解该表述的含义来予以解释(例如,“具有A、B或C中至少一个的系统”应包括但不限于单独具有A、单独具有B、单独具有C、具有A和B、具有A和C、具有B和C、和/或具有A、B、C的系统等)。
附图中示出了一些方框图和/或流程图。应理解,方框图和/或流程图中的一些方框或其组合可以由计算机程序指令来实现。这些计算机程序指令可以提供给通用计算机、专用计算机或其他可编程数据处理装置的处理器,从而这些指令在由该处理器执行时可以创建用于实现这些方框图和/或流程图中所说明的功能/操作的装置。本公开的技术可以硬件和/或软件(包括固件、微代码等)的形式来实现。另外,本公开的技术可以采取存储有指令的计算机可读存储介质上的计算机程序产品的形式,该计算机程序产品可供指令执行系统使用或者结合指令执行系统使用。
需要说明,若本发明实施例中有涉及方向性指示,则该方向性指示仅用于解释在某一特定姿态下各部件之间的相对位置关系、运动情况等,如果该特定姿态发生改变时,则该方向性指示也相应地随之改变。
另外,若本发明实施例中有涉及“第一”、“第二”等的描述,则该“第一”、“第二”等的描述仅用于描述目的,而不能理解为指示或暗示其相对重要性或者隐含指明所指示的技术特征的数量。由此,限定有“第一”、“第二”的特征可以明示或者隐含地包括至少一个该特征。另外,全文中出现的“和/或”的含义,包括三个并列的方案,以“A和/或B”为例,包括A方案、或B方案、或A和B同时满足的方案。还有就是,各个实施例之间的技术方案可以相互结合,但是必须是以本领域普通技术人员能够实现为基础,当技术方案的结合出现相互矛盾或无法实现时应当认为这种技术方案的结合不存在,也不在本发明要求的保护范围之内。
在本发明的描述中,需要说明的是,术语“上”、“下”、“顶”、“底”“内”、“外”等指示的方位或位置关系为基于附图所示的方位或位置关系,仅是为了便于描述本发明和简化描述,而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作,因此不能理解为对本发明的限制。
在本发明的描述中,需要说明的是,除非另有明确的规定和限定,术语“安装”、“相连”、“连接”应做广义理解,例如,可以是固定连接,也可以是可拆卸连接,或一体地连接;可以是机械连接,也可以是电连接;可以是直接相连,也可以通过中间媒介间接相连,可以是两个元件内部的连通。对于本领域的普通技术人员而言,可以具体情况理解上述术语在本发明中的具体含义。
此外,在本发明的描述中,除非另有说明,“多个”、“多根”、“多组”的含义是两个或两个以上。
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明的一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
图1示意性示出了根据本发明实施例的应用发布风险识别方法、装置、电子设备、存储介质和程序产品的应用场景图。
需要注意的是,图1所示仅为可以应用本发明实施例的应用场景的示例,以帮助本领域技术人员理解本发明的技术内容,但并不意味着本发明实施例不可以用于其他设备、系统、环境或场景。
如图1所示,根据该实施例的应用场景100可以包括服务器101、网络102、虚拟设备103。网络102用以在服务器101、虚拟设备103之间提供通信链路的介质。网络102可以包括各种连接类型,例如有线和/或无线通信链路等等。
基于上述硬件结构,提出本发明云中提供网络安全检测的方法的实施例。
参见图2,图2为本发明云中提供网络安全检测的方法一实施例的流程示意图,在一实施例中,云中提供网络安全检测的方法包括如下步骤:
S10:获取网络间传递的信息,将传递的所有信息进行打包处理以形成数据包,并将所述数据包进行镜像以生成数据包副本。
S20:获取所述数据包副本,并将所述数据包副本发送至监控子网。
S30:监控子网将接收的所述数据包副本从公有云中取出,并发送至安全工具中。
S40:对所述数据包副本进行安全检测。
随着云计算的快速发展,越来越多的云计算公司开始关注云安全的重要性。作为云安全的一部分,“如何防御来自互联网的攻击”正成为关键。在本实施例中,通过建立一个监控子网,对公有云中虚拟设备之间的内部网络流量以及来自公网的外部流量进行监控,并将他们之间传递的信息保存下来,以在检测到危险的时候对数据进行检测,以确定危险的来源,进而能够及时解除危险。
在本实施例中,监控子网监控的网络流量来源主要可以分为两个部分,一是来自外部的信息而产生的网络流量,二是内部应用子网间传递的信息而产生的网络流量。外部用户的网络请求经过外部的负载均衡器传递后,被转发到防火墙(FW)和入侵防御系统(IPS),也称之DMZ区(隔离区)。在防火墙(FW)和入侵防御系统(IPS)处,把传递的信息变成了一个个的数据包,通过共有云中的vTAP功能对数据包进行镜像,也就是复制一个副本,这个包含传递信息的复制的数据包副本被传送到监控子网中去,并被保存下来,以在检测到威胁或危险的时候,可以快速方便的对之前所传递的信息进行复盘。此外,通过共有云中的vTAP功能对数据包进行镜像的另一个好处就是,原有数据包可以不受影响的继续进行传送。内部应用程序间传递的信息也变成一个一个的数据包,并经过内部负载均衡器的传递,把收到的网络数据包通过内部负载均衡器提供的vPB功能进行镜像,也就是复制一个副本,这个包含传递信息的复制的数据包副本被传送到监控子网中去,并被保存下来,以在检测到威胁或危险的时候,可以快速方便的对之前所传递的信息进行复盘。
在步骤S10中包括如下步骤:
步骤S101:从防火墙和入侵防御系统处获取网络间传递的信息。
步骤S102:根据传递的信息的来源分别将信息存储到不同的数据包队列中。
步骤S103:通过共有云中提供的镜像功能对所述数据包进行镜像。
在本实施例中,为了实现用户的网络请求经过外部负载均衡器,需要优先在云环境下构建需要使用的外部负载均衡器,并把经过外部负载均衡器的网络流量转发到防火墙(FW)和入侵防御系统(IPS)。此外,为了确保实现从防火墙(FW)和入侵防御系统(IPS)处收到的网络数据包能够顺利的发送到监控子网,防火墙(FW)和入侵防御系统(IPS)需要将监控子网设置为“下一跳”,就是指网络数据包下一个节点网关的IP地址。并使用网络传输协议第3层IP转发或第4层直接UDP或TCP连接。这个方法能强制要求所有来自防火墙(FW)和入侵防御系统(IPS)的流量必须通过监控子网中的负载均衡器。共有云提供的镜像功能为vTAP功能。
在本实施例中,会把外部不同的用户产生的网络流量形成的数据包副本进行区分,会建立多个队列,分别存储到其对应的队列。
在步骤S10中还包括:
步骤S104:从内部应用程序子网间获取网络间传递的信息。
步骤S105:判断网络间传递的信息的类型。
步骤S106:如果是文字类的信息,则直接对其进行打包处理以形成数据包。
步骤S107:如果是非文字类的信息,则需要对其进行压缩处理后再进行打包处理以形成数据包。
步骤S108:通过内部负载均衡器提供的镜像功能对所述数据包进行镜像。
在本实施例中,内部应用程序子网是存在网络边界的,网络边界是通过网络强制ACL进行控制(网络上的权限控制方法),控制内部子网之间不能直接调用,形成内部应用程序子网的网络边界,进而所有流量必须经过安全子网的转发。安全子网接管了所有内部应用程序子网之间的网络请求调用,这样做的目的就是内部应用程序子网之间的所有网络流量信息都可以被收集到,并镜像保存下来,不会出现遗漏。内部负载均衡器提供的镜像功能为vPB功能。
在本实施例中,内部应用程序子网之间那些占用内存较大的信息会被进行压缩,这样可以有效的降低其存储成本,当然在对这类数据包进行检测的时候,要先需要对其进行解压。
在步骤S30中包括:
步骤S301:获取数据包副本的生成时间,并以生成时间对所述数据包副本进行命名。
步骤S302:将命名后所述数据包副本发送至监控子网中保存。
在本实施例中,在数据包副本生成后,是以其生成的时间对其进行命名的,例如生成时间是2020年9时15分45秒,那么这个数据包副本的名称就是2020091545。这样的好处就是,能够方便知道其生成日期,方便检测。命名后的数据包副本被负载均衡器发送到监控子网内去,如果存在多个内部子网,需要构建多个内部子网的负载均衡器,转发传递内部子网之间的网络数据包。
步骤S40包括:
步骤S401:当受到安全危险时,对生成日期设定在检测期内的数据包副本检测。
步骤S402:当未受到安全危险时,对生成日期设定在报废期内数据包副本进行删除。
在本实施例中,在受到了外部或者内部的危险攻击,会对之前保存的数据包副本进行回溯。当受到危险时,检测的顺序就是按照生成时间来的,也就是说会优先对生成时间距离近的数据包副本进行检测,以了解威胁如何进入网络以及它可能影响了哪些端点。并会生成相对应的安全策略。此外,也会对检测范围设置一个范围,比如是最近三个月内的或者多久,这个是可以根据需求自己进行设定的。当一直未受到安全危险,会自动对生成日期超过检测范围的数据包进行清除,用以节约内存,避免占用太多资源。这里还需要说明的是,这个清除并不是彻底删除,而是将报废期内的数据包副本放进一个类似电脑“回收站”一样的地方,当在设定的检测范围内还未查找出原因时,也会对之前清除的数据包副本进行复原,然后对其进行检测。
参见图3,中提供网络安全检测装置包括负载均衡模块105、虚拟数据包代理模块106、数据包存储模块107、安全检测模块108。负载均衡模块105能够扩展网络设备和服务器的带宽、增加吞吐量、加强网络数据处理能力、提高网络的灵活性和可用性。负载均衡模块105包括作用于内部的负载均衡器和作用于外部的负载均衡器。虚拟数据包代理模块106将数据包发送到目的地,也即这个信息之前准备传递的地方,同时将数据包副本发送到下游安全工具中。数据包存储模块107用以存储数据包以及数据包副本;安全检测模块108用以对数据包副本的内容进行安全检测。同样如果下游的安全工具需要的话,还需要在虚拟数据包代理模块106和下游的安全工具之间使用负载均衡。需要注意的是,数据链路或端到端的这两种模式都可以用来部署数据包代理。在数据链路模式下,代理将使用路由或负载均衡规则将数据包转发到其他目的地,并制作副本转发到上述下游安全、数据包分析或存储工具。这是本实施例中子网使用的模式。为了要始终保障在下游安全工具、数据分析和存储工具三个集群中部署数据包代理,以防止单点故障并保持高可用性。事实上,根据场景和预期的网络负载情况,可能需要使用三个以上的虚拟数据包代理模块。
图4为本发明实施例方案涉及的硬件运行环境的电子设备1800的结构示意图。如图4所示,该电子设备1800可以包括:处理器1801,其可以根据存储在只读存储器(ROM)1802中的程序或者从存储部分1808加载到随机访问存储器(RAM)1803中的程序而执行各种适当的动作和处理。处理器1801例如可以包括通用微处理器(例如CPU)、指令集处理器和/或相关芯片组和/或专用微处理器(例如,专用集成电路(ASIC)),等等。处理器1801还可以包括用于缓存用途的板载存储器。处理器1801可以包括用于执行根据本发明实施例的方法流程的不同动作的单一处理单元或者是多个处理单元。
在RAM 1803中,电子设备1800操作所需的各种程序和数据。处理器1801以及存储单元3,存储单元3包括ROM 1802以及RAM1803通过总线1804彼此相连。处理器1801通过执行ROM 1802和/或RAM1803中的程序来执行根据本发明实施例的方法流程的各种操作。需要注意,所述程序也可以存储在除ROM 1802和RAM 1803以外的一个或多个存储器中。处理器1801也可以通过执行存储在所述一个或多个存储器中的程序来执行根据本发明实施例的方法流程的各种操作。
根据本发明的实施例,电子设备1800还可以包括输入/输出(I/O)接口1805,输入/输出(I/O)接口1805也连接至总线1804。电子设备1800还可以包括连接至I/O接口1805的以下部件中的一项或多项:包括键盘、鼠标等的输入部分1806;包括诸如阴极射线管(CRT)、液晶显示器(LCD)等以及扬声器等的输出部分1807;包括硬盘等的存储部分1808;以及包括诸如LAN卡、调制解调器等的网络接口卡的通信部分1809。通信部分1809经由诸如因特网的网络执行通信处理。驱动器1810也根据需要连接至I/O接口1805。可拆卸介质1811,诸如磁盘、光盘、磁光盘、半导体存储器等等,根据需要安装在驱动器1810上,以便于从其上读出的计算机程序根据需要被安装入存储部分1808。其中,通信部分1809用于实现这些组件之间的连接通信,包括各种连接类型,例如有线、无线通信链路或者光纤电缆等等。输入/输出(I/O)接口1805还可以包括标准的有线接口、无线接口,其中有线接口可以为USB接口。
在图4所示的电子设备1800还包括:网络接口主要用于连接后台服务器103,与所述后台服务器103进行数据通信;用户接口主要用于连接用户设备;电子设备1800通过处理器1801调用存储器中存储的自动化运维平台适配方法的控制程序,并执行本发明实施例提供的自动化运维平台适配方法的控制步骤。
本领域技术人员可以理解,图4中示出的结构并不构成对电子设备1800的限定,可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件布置。
本公开还提供了一种计算机可读存储介质,该计算机可读存储介质可以是上述实施例中描述的装置/系统中所包含的;也可以是单独存在,而未装配入该装置/系统中。上述计算机可读存储介质承载有一个或者多个程序,当上述一个或者多个程序被执行时,实现根据本公开实施例的方法。
根据本公开的实施例,计算机可读存储介质可以是非易失性的计算机可读存储介质。例如可以包括但不限于:便携式计算机磁盘、硬盘、随机访问存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、便携式紧凑磁盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本公开中,计算机可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。
例如,根据本公开的实施例,计算机可读存储介质可以包括上文描述的ROM和/或RAM和/或ROM和RAM以外的一个或多个存储器。
根据本公开的实施例,根据本公开实施例的方法流程可以被实现为计算机软件程序。例如,本公开的实施例包括一种计算机程序产品,其包括承载在计算机可读存储介质上的计算机程序,该计算机程序包含用于执行流程图所示的方法的程序代码。在这样的实施例中,该计算机程序可以通过通信部分从网络上被下载和安装,和/或从可拆卸介质被安装。在该计算机程序被处理器执行时,执行本公开实施例的系统中限定的上述功能。根据本公开的实施例,上文描述的系统、设备、装置、模块、单元等可以通过计算机程序模块来实现。
当计算机程序产品在计算机系统中运行时,该程序代码用于使计算机系统实现本公开实施例所提供的物品推荐方法。在该计算机程序被处理器1801执行时执行本公开实施例的系统/装置中限定的上述功能。根据本公开的实施例,上文描述的系统、装置、模块、单元等可以通过计算机程序模块来实现。
在一种实施例中,该计算机程序可以依托于光存储器件、磁存储器件等有形存储介质。在另一种实施例中,该计算机程序也可以在网络介质上以信号的形式进行传输、分发,并通过通信部分1809被下载和安装,和/或从可拆卸介质1811被安装。该计算机程序包含的程序代码可以用任何适当的网络介质传输,包括但不限于:无线、有线等等,或者上述的任意合适的组合。
在这样的实施例中,该计算机程序可以通过通信部分1809从网络上被下载和安装,和/或从可拆卸介质1811被安装。在该计算机程序被处理器1801执行时,执行本公开实施例的系统中限定的上述功能。根据本公开的实施例,上文描述的系统、设备、装置、模块、单元等可以通过计算机程序模块来实现。
根据本公开的实施例,可以以一种或多种程序设计语言的任意组合来编写用于执行本公开实施例提供的计算机程序的程序代码,具体地,可以利用高级过程和/或面向对象的编程语言、和/或汇编/机器语言来实施这些计算程序。程序设计语言包括但不限于诸如Java,C++,python,“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算设备上执行、部分地在用户设备上执行、部分在远程计算设备上执行、或者完全在远程计算设备或服务器上执行。在涉及远程计算设备的情形中,远程计算设备可以通过任意种类的网络,包括局域网(LAN)或广域网(WAN),连接到用户计算设备,或者,可以连接到外部计算设备(例如利用因特网服务提供商来通过因特网连接)。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质(如只读存储器镜像(Read Only Memory image,ROM)/随机存取存储器(Random AccessMemory,RAM)、磁碟、光盘)中,包括若干指令用以使得一台终端设备(可以是手机,计算机,服务器,空调器,或者网络设备等)执行本发明各个实施例所述的方法。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。以上所述的具体实施例,对本发明的目的、技术方案和有益效果进行了进一步详细说明,所应理解的是,以上所述仅为本发明的具体实施例而已,并不用于限制本发明,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (12)
1.一种云中提供网络安全检测的方法,其特征在于,包括如下步骤:
获取网络间传递的信息,将传递的所有信息进行打包处理以形成数据包,并将所述数据包进行镜像以生成数据包副本;
获取所述数据包副本,并将所述数据包副本发送至监控子网;
监控子网将接收的所述数据包副本从公有云中取出,并发送至安全工具中;
对所述数据包副本进行安全检测。
2.如权利要求1所述的云中提供网络安全检测的方法,其特征在于,获取网络间传递的信息,将传递的所有信息进行打包处理以形成数据包,并将所述数据包进行镜像以生成数据包副本的步骤包括:
从防火墙和入侵防御系统处获取网络间传递的信息;
根据传递的信息的来源分别将信息存储到不同的数据包队列中;
通过共有云提供的镜像功能对所述数据包进行镜像。
3.如权利要求2所述的云中提供网络安全检测的方法,其特征在于,共有云提供的镜像功能为vTAP功能。
4.如权利要求1所述的云中提供网络安全检测的方法,其特征在于,获取网络间传递的信息,将传递的所有信息进行打包处理以形成数据包,并将所述数据包进行镜像以生成数据包副本的步骤包括:
从内部应用程序子网间获取网络间传递的信息;
判断网络间传递的信息的类型;
如果是文字类的信息,则直接对其进行打包处理以形成数据包;
如果是非文字类的信息,则需要对其进行压缩处理后再进行打包处理以形成数据包;
通过内部负载均衡器提供的镜像功能对所述数据包进行镜像。
5.如权利要求4所述的云中提供网络安全检测的方法,其特征在于,内部负载均衡器提供的镜像功能为vPB功能。
6.如权利要求1所述的云中提供网络安全检测的方法,其特征在于,获取所述数据包副本,并将所述数据包副本发送至内部监控子网的步骤包括:
获取数据包副本的生成时间,并以生成时间对所述数据包副本进行命名;
将命名后所述数据包副本发送至监控子网中保存。
7.如权利要求1所述的云中提供网络安全检测的方法,其特征在于,对所述数据包副本进行安全检测的步骤包括:
当受到安全危险时,对生成时间在检测期内的数据包副本检测;
当未受到安全危险时,对生成时间在报废期内数据包副本进行删除。
8.一种云中提供网络安全检测装置,其特征在于,包括:
负载均衡模块,用以加强数据包的处理能力;
虚拟数据包代理模块,用以将数据包进行转发;
数据包存储模块,用以存储数据包以及数据包副本;
安全检测模块,用以对数据包副本的内容进行安全检测。
9.如权利要求l所述的云中提供网络安全检测装置,其特征在于,所述云中提供网络安全检测装置包括部署至少三个所述虚拟数据包代理模块,用以提高网络数据处理能力。
10.一种电子设备,其特征在于,包括:
一个或多个处理器;
存储装置,用于存储一个或多个程序,
其中,当所述一个或多个程序被所述一个或多个处理器执行时,使得所述一个或多个处理器执行根据权利要求1~7中任一项所述的方法。
11.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有可执行指令,该指令被处理器执行时使处理器执行根据权利要求1~5中任一项所述的方法。
12.一种计算机程序产品,其特征在于,包括计算机程序,所述计算机程序被处理器执行时实现根据权利要求1~7中任一项所述的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111607240.4A CN114268504B (zh) | 2021-12-24 | 2021-12-24 | 云中提供网络安全检测的方法、装置、设备、介质、产品 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111607240.4A CN114268504B (zh) | 2021-12-24 | 2021-12-24 | 云中提供网络安全检测的方法、装置、设备、介质、产品 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN114268504A true CN114268504A (zh) | 2022-04-01 |
CN114268504B CN114268504B (zh) | 2023-06-02 |
Family
ID=80830002
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202111607240.4A Active CN114268504B (zh) | 2021-12-24 | 2021-12-24 | 云中提供网络安全检测的方法、装置、设备、介质、产品 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN114268504B (zh) |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105915516A (zh) * | 2016-04-15 | 2016-08-31 | 杭州华三通信技术有限公司 | 基于安全检测的数据流获取方法及装置 |
CN109962891A (zh) * | 2017-12-25 | 2019-07-02 | 中国移动通信集团安徽有限公司 | 监测云安全的方法、装置、设备和计算机存储介质 |
CN110737502A (zh) * | 2018-07-19 | 2020-01-31 | 阿里巴巴集团控股有限公司 | 镜像文件的处理方法、装置和系统 |
CN113742735A (zh) * | 2021-09-18 | 2021-12-03 | 合肥力拓云计算科技有限公司 | 一种基于大数据的能源平衡分析平台安全系统及其使用方法 |
-
2021
- 2021-12-24 CN CN202111607240.4A patent/CN114268504B/zh active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105915516A (zh) * | 2016-04-15 | 2016-08-31 | 杭州华三通信技术有限公司 | 基于安全检测的数据流获取方法及装置 |
CN109962891A (zh) * | 2017-12-25 | 2019-07-02 | 中国移动通信集团安徽有限公司 | 监测云安全的方法、装置、设备和计算机存储介质 |
CN110737502A (zh) * | 2018-07-19 | 2020-01-31 | 阿里巴巴集团控股有限公司 | 镜像文件的处理方法、装置和系统 |
CN113742735A (zh) * | 2021-09-18 | 2021-12-03 | 合肥力拓云计算科技有限公司 | 一种基于大数据的能源平衡分析平台安全系统及其使用方法 |
Also Published As
Publication number | Publication date |
---|---|
CN114268504B (zh) | 2023-06-02 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11089057B1 (en) | System, apparatus and method for automatically verifying exploits within suspect objects and highlighting the display information associated with the verified exploits | |
CN109076063B (zh) | 在云环境中保护动态和短期虚拟机实例 | |
US9906557B2 (en) | Dynamically generating a packet inspection policy for a policy enforcement point in a centralized management environment | |
US9888025B2 (en) | Method and system for providing an efficient asset management and verification service | |
EP3129884B1 (en) | Method and system for providing security aware applications | |
US20070266433A1 (en) | System and Method for Securing Information in a Virtual Computing Environment | |
US11374964B1 (en) | Preventing lateral propagation of ransomware using a security appliance that dynamically inserts a DHCP server/relay and a default gateway with point-to-point links between endpoints | |
CN101843046A (zh) | 控制网络访问 | |
US20230362206A1 (en) | Cyber-Security in Heterogeneous Networks | |
JP2005513591A (ja) | ステイトフル分散型イベント処理及び適応保全 | |
GB2503540A (en) | Applying policy wrappers to computer applications for secure communication | |
CN109413088B (zh) | 一种网络中的威胁处置策略分解方法及系统 | |
CN113014571B (zh) | 一种访问请求处理的方法、装置及存储介质 | |
US20220027456A1 (en) | Rasp-based implementation using a security manager | |
US10594584B2 (en) | Network analysis and monitoring tool | |
JP2009246957A (ja) | セキュリティポリシー制御システム、セキュリティポリシー制御方法、及びプログラム | |
CN117376032B (zh) | 安全服务调度方法和系统、电子设备、存储介质 | |
US11303615B2 (en) | Security information propagation in a network protection system | |
CN114268504B (zh) | 云中提供网络安全检测的方法、装置、设备、介质、产品 | |
KR101592323B1 (ko) | 서버 장애 시 원격 서버 복구 시스템 및 방법 | |
CN114268669A (zh) | 访问处理方法及系统 | |
KR100539760B1 (ko) | 인터넷 접근 제어를 통한 에이전트 설치 유도 시스템 및그 방법 | |
JP6359260B2 (ja) | クラウド環境においてセキュアなクレジットカードシステムを実現するための情報処理システムおよびファイアウォール装置 | |
US10757078B2 (en) | Systems and methods for providing multi-level network security | |
KR101344242B1 (ko) | 디앤에스를 이용한 불법 브라우저 차단 방법 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |