CN115277221A - 一种基于数据透明落地及协议隔离的传输方法和隔离设备 - Google Patents
一种基于数据透明落地及协议隔离的传输方法和隔离设备 Download PDFInfo
- Publication number
- CN115277221A CN115277221A CN202210907716.4A CN202210907716A CN115277221A CN 115277221 A CN115277221 A CN 115277221A CN 202210907716 A CN202210907716 A CN 202210907716A CN 115277221 A CN115277221 A CN 115277221A
- Authority
- CN
- China
- Prior art keywords
- data
- module
- protocol
- landing
- content
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000002955 isolation Methods 0.000 title claims abstract description 44
- 230000005540 biological transmission Effects 0.000 title claims abstract description 36
- 238000000034 method Methods 0.000 title claims abstract description 17
- 238000004458 analytical method Methods 0.000 claims abstract description 27
- 238000007689 inspection Methods 0.000 claims abstract description 20
- 238000006243 chemical reaction Methods 0.000 claims abstract description 16
- 238000013507 mapping Methods 0.000 claims description 21
- 238000012550 audit Methods 0.000 claims description 14
- 230000002159 abnormal effect Effects 0.000 claims description 13
- 238000004891 communication Methods 0.000 claims description 13
- 238000003860 storage Methods 0.000 claims description 10
- 238000007726 management method Methods 0.000 claims description 6
- 238000001914 filtration Methods 0.000 claims description 4
- 241000700605 Viruses Species 0.000 claims description 3
- 230000009471 action Effects 0.000 claims description 3
- 230000003993 interaction Effects 0.000 claims description 3
- 238000004140 cleaning Methods 0.000 abstract description 2
- 230000006399 behavior Effects 0.000 description 11
- 238000010586 diagram Methods 0.000 description 11
- 238000004590 computer program Methods 0.000 description 5
- 230000006870 function Effects 0.000 description 4
- 230000007547 defect Effects 0.000 description 2
- 230000007613 environmental effect Effects 0.000 description 2
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 230000000295 complement effect Effects 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 230000035515 penetration Effects 0.000 description 1
- 230000008569 process Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/09—Mapping addresses
- H04L61/25—Mapping addresses of the same type
- H04L61/2503—Translation of Internet protocol [IP] addresses
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/123—Applying verification of the received information received data contents, e.g. message integrity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/16—Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/22—Parsing or analysis of headers
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种基于数据透明落地及协议隔离的传输方法和隔离设备,该方法和设备采用一种特殊的地址转换,使IP数据可以透明的在设备上通过协议栈应用层落地,传输的数据在应用层上剥离了TCP\IP传输协议,并进行应用层格式检查、传输协议清洗、密标核检等安全操作,加载过安全手段后,重新再将数据发送给目标终端,使两段的传输协议隔离。使数据在传输过程中可能存在的离线协议分析和内容夹带等安全风险具备有效的防护手段。
Description
技术领域
本发明涉及网络安全领域,具体涉及一种基于数据透明落地及协议隔离的传输方法和隔离设备。
背景技术
网络安全从安全防护角度上分为环境安全、主体安全、数据安全、传输安全、行为安全等几个维度,在不同维度上采用的安全措施则不同。环境安全主要通过物理环境安全;主体安全主要通过身份认证;数据安全主要通过防火墙和网闸;传输安全主要通过加密手段;行为安全主要通过审计的方式。这几方面的考虑角度不同,彼此之间需要相辅相成,但是由于网络安全的攻击手段呈现多元化、分散化,因此在数据安全上我们需要提升原有的手段。
数据安全的攻击手段有截获、篡改、夹带、离线分析等方式进行渗透,现有的手段有防火墙和网闸,但是其均存在固有的缺点,防火墙无法在传输协议层进行隔离,并且无法对数据实体内容进行格式分析检查;网闸虽然可以中断传输协议,但是无法透明的为业务终端提供传输服务。因此我们需要提供一种方式,可以在不改变业务使用模式的前提下对数据进行落地检查和协议隔离。协议隔离在安全态势上可以中断传输链路上的离线协议分析,使通信的双方终端在传输协议过程上并不一样;落地检查可以对数据实体进行应用格式分析、密标核检、内容夹带过滤、协议攻击清洗等操作,通过该方式应对日益严苛的数据安全带来的风险。
发明内容
针对现有技术中的上述不足,本发明提供了一种基于数据透明落地及协议隔离的传输方法和隔离设备。
为了达到上述发明目的,本发明采用的技术方案为:
一种基于数据透明落地及协议隔离的传输方法,包括如下步骤:
S1、配置链路数据截获模块的数据截获类型,根据所配置的模式对数据进行过滤匹配,将匹配上的IP数据报文放入待处理接收队列;
S2、地址映射转换模块轮询遍历待处理接收队列,收到待处理IP报文后进行解析并将解析结果发送至落地服务模块和协议隔离模块;
S3、所述落地服务模块收到解析结果后在本地创建基于所述解析结果的接收服务,并从该接收服务的接收队列中读取实体内容,将获得的实体数据放入内容安全检查模块的任务队列中;所述协议隔离模块收到解析结果后在本地创建反向目标连接服务,并实时监听反向目标连接服务的发送队列;
S4、内容安全检查模块轮训遍历任务队列,当任务队列中存在带处理数据时,内容安全检查模块对数据进行统计,并将统计的信息发送至审计模块;若发送的数据为合法数据,则拷贝数据至内容存储模块,同时将该数据加入协议隔离模块中;若为异常数据,则异常报文进行数据丢弃。
进一步的,所述S1中配置链路数据截获模块的数据截获类型的具体方式为数据全截获方式、协议及端口业务截获和特定协议。
进一步的,所述S2具体包括如下步骤:
S21、地址映射转换模块收到待处理IP报文后,解析IP数据并获取到目的IP地址、协议、目的端口,将协议、目的端口通告给落地服务模块,同时将目的IP、协议、目的端口通告到协议隔离模块;
S22、将待处理IP报文中的目的地址修改为本机IP地址,使修改后的报文存储在本地该协议的接收队列中,使报文在本地落地;
S23、在地址映射转换模块中形成原始报文与落地报文之间的映射关系。
进一步的,所述S23中的映射关系表示为:
原地址、目的地址、协议、源端口、目的端口->原地址、本地地址、协议、源端口、目的端口。
进一步的,所述落地服务模块收到协议及dst port通告后,在本地创建基于该协议和dst port的数据接收服务,之后从该协议服务的接收队列中读取报文实体内容,该实体内容已经剥离了IP协议及tcp\udp协议头,为纯通信落地数据。并将获得的数据放入内容安全检查模块任务队列中。
进一步的,所述内容安全检查模块发现队列中有待处理的数据时,对数据进行格式检查、夹带检索、病毒携带、攻击行为、及关键表象索引,对合法及异常的数据进行统计,将统计的信息发送到行为审计模块。
还提供一种基于数据透明落地及协议隔离的设备,包括:
链路数据截获模块:设备串行部署在传输链路中,该设备通过链路数据截获模块透明截获链路上传输的数据,为数据透明落地提供数据来源;
地址映射转换模块:该模块将截获的数据报文进行本地透明落地信息转换,并形成源数据与落地数据的映射关系。为入设备和出设备的数据提供透明传输保障;
落地服务模块:该模块对需要落地的数据进行本地服务监听,并获取链路报文数据内容实体,为内容实体安全分析和内容格式检查提供数据来源;
协议隔离模块:通过本地重新创建新的目的连接,通过新的目的连接将处理完成的落地数据发送出去,从而实现协议隔离目的;
内容安全检查模块:该模块对落地的实体数据内容进行格式检查、行为分析、夹带检索等安全操作,保证链路传输中的数据安全可靠;
行为审计模块:该模块对安全检查的内容数据进行审计,包括报文长度、协议动作、安全特性、双方通信地址等信息,为管理员提供安全态势回溯的手段。
内容存储模块:对落地的数据进行本地备份存储,用于导出备案或为第三方安全设备提供离线分析数据源。
管理模块:对设备进行自身参数配置,包括地址、管理三元等配置项;对审计数据提供人机交互展示;以及设备自身运行状态展示。
本发明具有以下有益效果:
1.数据安全检查对通信双方是无感知的,其部署方式不需要改变原始业务的使用模式。
2.可以对通信数据做到基于通信实体内容的备份,便于离线第三方的通信行为分析。
3.在通信双方无感的情况下,将通信协议隔离了。
4.为中间通信链路增加安全防护措施提供了透明的手段和网络节点。
6、简要说明本发明技术关键点和保
附图说明
图1为本发明基于数据透明落地及协议隔离的设备模块图。
图2为本发明基于数据透明落地及协议隔离的传输方法流程示意图。
图3为本发明实施例地址映射转换模块工作原理示意图。
图4为本发明实施例内容安全检查模块逻辑示意图。
具体实施方式
下面对本发明的具体实施方式进行描述,以便于本技术领域的技术人员理解本发明,但应该清楚,本发明不限于具体实施方式的范围,对本技术领域的普通技术人员来讲,只要各种变化在所附的权利要求限定和确定的本发明的精神和范围内,这些变化是显而易见的,一切利用本发明构思的发明创造均在保护之列。
一种基于数据透明落地及协议隔离的传输方法,如图2所示,包括如下步骤:
S1、配置链路数据截获模块的数据截获类型,根据所配置的模式对数据进行过滤匹配,将匹配上的IP数据报文放入待处理接收队列;
链路数据截获模块通过配置得到数据截获类型,可配置多种方式,包括数据全截获方式、特定业务截获(协议+端口)、特定协议(协议)等。该模块再根据配置模式对数据进行过滤匹配,将匹配上的IP数据报文放入待处理接收队列。
S2、地址映射转换模块轮询遍历待处理接收队列,收到待处理IP报文后进行解析并将解析结果发送至落地服务模块和协议隔离模块;
地址映射转换模块轮询遍历待处理接收队列,收到待处理IP报文后,1.解析该IP数据并获取到目的IP地址、协议、目的端口,将协议、目的端口通告给落地服务模块,同时将目的IP、协议、目的端口通告到协议隔离模块;2.将待处理IP报文中的目的地址,修改为本机IP地址,使修改后的报文存储在本地该协议的接收队列中,使报文可以本地落地;3.在该模块中形成原始报文与落地报文之间的映射关系,映射方式为(“原地址、目的地址、协议、源端口、目的端口”->“原地址、本地地址、协议、源端口、目的端口”,如图3所示。
S3、所述落地服务模块收到解析结果后在本地创建基于所述解析结果的接收服务,并从该接收服务的接收队列中读取实体内容,将获得的实体数据放入内容安全检查模块的任务队列中;所述协议隔离模块收到解析结果后在本地创建反向目标连接服务,并实时监听反向目标连接服务的发送队列;
落地服务模块收到协议及dst port通告后,在本地创建基于该协议和dst port的数据接收服务,之后从该协议服务的接收队列中读取报文实体内容,该实体内容已经剥离了IP协议及tcp\udp协议头,为纯通信落地数据。并将获得的数据放入内容安全检查模块任务队列中。
协议隔离模块收到通告的目标IP、协议、dst port后,在本地创建反向目标连接服务,用于后续数据发送,并时刻监听该服务发送队列。
S4、内容安全检查模块轮训遍历任务队列,当任务队列中存在带处理数据时,内容安全检查模块对数据进行统计,并将统计的信息发送至审计模块;若发送的数据为合法数据,则拷贝数据至内容存储模块,同时将该数据加入协议隔离模块中;若为异常数据,则异常报文进行数据丢弃。
内容安全检查模块轮询遍历任务队列,发现队列中有待处理的数据时,对数据进行格式检查、夹带检索、病毒携带、攻击行为、及关键表象索引,对合法及异常的数据进行统计,将统计的信息发送到行为审计模块。对合法数据进行,拷贝一份数据到内容存储模块;并将该数据加入协议隔离模块中,相对应的反向连接服务发送队列中。对异常报文进行数据丢弃,如图4所示。
还提供一种基于数据透明落地及协议隔离的设备,如图1所示,包括:
链路数据截获模块:设备串行部署在传输链路中,该设备通过链路数据截获模块透明截获链路上传输的数据,为数据透明落地提供数据来源;
地址映射转换模块:该模块将截获的数据报文进行本地透明落地信息转换,并形成源数据与落地数据的映射关系。为入设备和出设备的数据提供透明传输保障;
落地服务模块:该模块对需要落地的数据进行本地服务监听,并获取链路报文数据内容实体,为内容实体安全分析和内容格式检查提供数据来源;
协议隔离模块:通过本地重新创建新的目的连接,通过新的目的连接将处理完成的落地数据发送出去,从而实现协议隔离目的;
内容安全检查模块:该模块对落地的实体数据内容进行格式检查、行为分析、夹带检索等安全操作,保证链路传输中的数据安全可靠;
行为审计模块:该模块对安全检查的内容数据进行审计,包括报文长度、协议动作、安全特性、双方通信地址等信息,为管理员提供安全态势回溯的手段。
内容存储模块:对落地的数据进行本地备份存储,用于导出备案或为第三方安全设备提供离线分析数据源。
管理模块:对设备进行自身参数配置,包括地址、管理三元等配置项;对审计数据提供人机交互展示;以及设备自身运行状态展示。
本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
本发明中应用了具体实施例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想;同时,对于本领域的一般技术人员,依据本发明的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本发明的限制。
本领域的普通技术人员将会意识到,这里所述的实施例是为了帮助读者理解本发明的原理,应被理解为本发明的保护范围并不局限于这样的特别陈述和实施例。本领域的普通技术人员可以根据本发明公开的这些技术启示做出各种不脱离本发明实质的其它各种具体变形和组合,这些变形和组合仍然在本发明的保护范围内。
Claims (7)
1.一种基于数据透明落地及协议隔离的传输方法,其特征在于,包括如下步骤:
S1、配置链路数据截获模块的数据截获类型,根据所配置的模式对数据进行过滤匹配,将匹配上的IP数据报文放入待处理接收队列;
S2、地址映射转换模块轮询遍历待处理接收队列,收到待处理IP报文后进行解析并将解析结果发送至落地服务模块和协议隔离模块;
S3、所述落地服务模块收到解析结果后在本地创建基于所述解析结果的接收服务,并从该接收服务的接收队列中读取实体内容,将获得的实体数据放入内容安全检查模块的任务队列中;所述协议隔离模块收到解析结果后在本地创建反向目标连接服务,并实时监听反向目标连接服务的发送队列;
S4、内容安全检查模块轮训遍历任务队列,当任务队列中存在带处理数据时,内容安全检查模块对数据进行统计,并将统计的信息发送至审计模块;若发送的数据为合法数据,则拷贝数据至内容存储模块,同时将该数据加入协议隔离模块中;若为异常数据,则异常报文进行数据丢弃。
2.根据权利要求1所述的一种基于数据透明落地及协议隔离的传输方法,其特征在于,所述S1中配置链路数据截获模块的数据截获类型的具体方式为数据全截获方式、协议及端口业务截获和特定协议。
3.根据权利要求1所述的一种基于数据透明落地及协议隔离的传输方法,其特征在于,所述S2具体包括如下步骤:
S21、地址映射转换模块收到待处理IP报文后,解析IP数据并获取到目的IP地址、协议、目的端口,将协议、目的端口通告给落地服务模块,同时将目的IP、协议、目的端口通告到协议隔离模块;
S22、将待处理IP报文中的目的地址修改为本机IP地址,使修改后的报文存储在本地该协议的接收队列中,使报文在本地落地;
S23、在地址映射转换模块中形成原始报文与落地报文之间的映射关系。
4.根据权利要求3所述的一种基于数据透明落地及协议隔离的传输方法,其特征在于,所述S23中的映射关系表示为:
原地址、目的地址、协议、源端口、目的端口->原地址、本地地址、协议、源端口、目的端口。
5.根据权利要求1所述的一种基于数据透明落地及协议隔离的传输方法,其特征在于,所述落地服务模块收到协议及dst port通告后,在本地创建基于该协议和dst port的数据接收服务,之后从该协议服务的接收队列中读取报文实体内容,该实体内容已经剥离了IP协议及tcp\udp协议头,为纯通信落地数据。并将获得的数据放入内容安全检查模块任务队列中。
6.根据权利要求1所述的一种基于数据透明落地及协议隔离的传输方法,其特征在于,所述内容安全检查模块发现队列中有待处理的数据时,对数据进行格式检查、夹带检索、病毒携带、攻击行为、及关键表象索引,对合法及异常的数据进行统计,将统计的信息发送到行为审计模块。
7.一种基于数据透明落地及协议隔离的设备,其特征在于,包括:
链路数据截获模块:设备串行部署在传输链路中,该设备通过链路数据截获模块透明截获链路上传输的数据,为数据透明落地提供数据来源;
地址映射转换模块:该模块将截获的数据报文进行本地透明落地信息转换,并形成源数据与落地数据的映射关系。为入设备和出设备的数据提供透明传输保障;
落地服务模块:该模块对需要落地的数据进行本地服务监听,并获取链路报文数据内容实体,为内容实体安全分析和内容格式检查提供数据来源;
协议隔离模块:通过本地重新创建新的目的连接,通过新的目的连接将处理完成的落地数据发送出去,从而实现协议隔离目的;
内容安全检查模块:该模块对落地的实体数据内容进行格式检查、行为分析、夹带检索等安全操作,保证链路传输中的数据安全可靠;
行为审计模块:该模块对安全检查的内容数据进行审计,包括报文长度、协议动作、安全特性、双方通信地址等信息,为管理员提供安全态势回溯的手段;
内容存储模块:对落地的数据进行本地备份存储,用于导出备案或为第三方安全设备提供离线分析数据源;
管理模块:对设备进行自身参数配置,包括地址、管理三元等配置项;对审计数据提供人机交互展示;以及设备自身运行状态展示。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210907716.4A CN115277221B (zh) | 2022-07-29 | 2022-07-29 | 一种基于数据透明落地及协议隔离的传输方法和隔离设备 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210907716.4A CN115277221B (zh) | 2022-07-29 | 2022-07-29 | 一种基于数据透明落地及协议隔离的传输方法和隔离设备 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN115277221A true CN115277221A (zh) | 2022-11-01 |
CN115277221B CN115277221B (zh) | 2024-06-07 |
Family
ID=83770120
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202210907716.4A Active CN115277221B (zh) | 2022-07-29 | 2022-07-29 | 一种基于数据透明落地及协议隔离的传输方法和隔离设备 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN115277221B (zh) |
Citations (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20020186698A1 (en) * | 2001-06-12 | 2002-12-12 | Glen Ceniza | System to map remote lan hosts to local IP addresses |
CN101127760A (zh) * | 2006-08-16 | 2008-02-20 | 北京城市学院 | 网络中双向协议隔离方法及其装置 |
CN101217493A (zh) * | 2008-01-08 | 2008-07-09 | 北京大学 | 一种tcp数据包的传输方法 |
CN102882828A (zh) * | 2011-07-11 | 2013-01-16 | 上海可鲁系统软件有限公司 | 一种内网与外网间的信息安全传输控制方法及其网关 |
CN103281213A (zh) * | 2013-04-18 | 2013-09-04 | 西安交通大学 | 一种网络流量内容提取和分析检索方法 |
CN104363231A (zh) * | 2014-11-17 | 2015-02-18 | 北京锐驰信安技术有限公司 | 一种基于单向通道的网络安全隔离与信息交换方法及系统 |
CN106027511A (zh) * | 2016-05-13 | 2016-10-12 | 北京工业大学 | 一种基于Modbus/TCP深度解析的协议隔离方法 |
CN111190703A (zh) * | 2019-12-11 | 2020-05-22 | 平安医疗健康管理股份有限公司 | 实时数据处理方法、装置、计算机设备和存储介质 |
CN111917803A (zh) * | 2020-09-08 | 2020-11-10 | 公安部第一研究所 | 一种跨网数据安全交换设备 |
CN112887267A (zh) * | 2021-01-05 | 2021-06-01 | 天津七所精密机电技术有限公司 | 一种具有报文认证功能的网络隔离系统及其方法 |
WO2022042351A1 (zh) * | 2020-08-28 | 2022-03-03 | 中兴通讯股份有限公司 | 接口数据的处理方法、发送端设备和接收端设备 |
CN114710570A (zh) * | 2022-03-16 | 2022-07-05 | 深圳市风云实业有限公司 | 一种基于内核态协议栈的udp数据零拷贝传输方法 |
-
2022
- 2022-07-29 CN CN202210907716.4A patent/CN115277221B/zh active Active
Patent Citations (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20020186698A1 (en) * | 2001-06-12 | 2002-12-12 | Glen Ceniza | System to map remote lan hosts to local IP addresses |
CN101127760A (zh) * | 2006-08-16 | 2008-02-20 | 北京城市学院 | 网络中双向协议隔离方法及其装置 |
CN101217493A (zh) * | 2008-01-08 | 2008-07-09 | 北京大学 | 一种tcp数据包的传输方法 |
CN102882828A (zh) * | 2011-07-11 | 2013-01-16 | 上海可鲁系统软件有限公司 | 一种内网与外网间的信息安全传输控制方法及其网关 |
CN103281213A (zh) * | 2013-04-18 | 2013-09-04 | 西安交通大学 | 一种网络流量内容提取和分析检索方法 |
CN104363231A (zh) * | 2014-11-17 | 2015-02-18 | 北京锐驰信安技术有限公司 | 一种基于单向通道的网络安全隔离与信息交换方法及系统 |
CN106027511A (zh) * | 2016-05-13 | 2016-10-12 | 北京工业大学 | 一种基于Modbus/TCP深度解析的协议隔离方法 |
CN111190703A (zh) * | 2019-12-11 | 2020-05-22 | 平安医疗健康管理股份有限公司 | 实时数据处理方法、装置、计算机设备和存储介质 |
WO2022042351A1 (zh) * | 2020-08-28 | 2022-03-03 | 中兴通讯股份有限公司 | 接口数据的处理方法、发送端设备和接收端设备 |
CN111917803A (zh) * | 2020-09-08 | 2020-11-10 | 公安部第一研究所 | 一种跨网数据安全交换设备 |
CN112887267A (zh) * | 2021-01-05 | 2021-06-01 | 天津七所精密机电技术有限公司 | 一种具有报文认证功能的网络隔离系统及其方法 |
CN114710570A (zh) * | 2022-03-16 | 2022-07-05 | 深圳市风云实业有限公司 | 一种基于内核态协议栈的udp数据零拷贝传输方法 |
Non-Patent Citations (2)
Title |
---|
"Transmission-Dependent Fault Detection and Isolation Strategy for Networked Systems Under Finite Capacity Channels", IEEE TRANSACTIONS ON CYBERNETICS, 3 March 2017 (2017-03-03) * |
刘丹, 于海斌, 王宏, 吕勇: "FF HSE和FF H1协议网关的基本原理与实现", 信息与控制, no. 06, 20 December 2004 (2004-12-20) * |
Also Published As
Publication number | Publication date |
---|---|
CN115277221B (zh) | 2024-06-07 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
EP3382989B1 (en) | Network interface device | |
Barbosa et al. | Flow whitelisting in SCADA networks | |
CN108040057B (zh) | 适于保障网络安全、网络通信质量的sdn系统的工作方法 | |
CN101589595B (zh) | 用于潜在被污染端系统的牵制机制 | |
CN104767748B (zh) | Opc服务器安全防护系统 | |
CN100435513C (zh) | 网络设备与入侵检测系统联动的方法 | |
CN109450841B (zh) | 一种基于云+端设备按需联动模式的抗大规模DDoS攻击的防御方法 | |
CN111371740B (zh) | 一种报文流量监控方法、系统及电子设备 | |
Chang et al. | Deciduous: Decentralized source identification for network-based intrusions | |
CN1960376A (zh) | 自动化的网络阻隔方法和系统 | |
CN111181955B (zh) | 一种基于标记的会话控制方法、设备和存储介质 | |
Bahashwan et al. | Flow-based approach to detect abnormal behavior in neighbor discovery protocol (NDP) | |
CN105743868B (zh) | 一种支持加密和非加密协议的数据采集系统与方法 | |
US10999303B2 (en) | Capturing data | |
CN106572103B (zh) | 一种基于sdn网络架构的隐藏端口检测方法 | |
CN107634971B (zh) | 一种检测洪水攻击的方法及装置 | |
CN111371807B (zh) | 基于接入层的安全系统及其构建方法、终端、存储介质 | |
CN111464550B (zh) | 一种用于报文处理设备的https透明防护方法 | |
CN100393047C (zh) | 一种入侵检测系统与网络设备联动的系统及方法 | |
CN115277221A (zh) | 一种基于数据透明落地及协议隔离的传输方法和隔离设备 | |
CN116318779A (zh) | 一种基于热迁移和深度学习的动态安全防御方法及系统 | |
CN115883169A (zh) | 基于蜜罐系统的工控网络攻击报文响应方法及响应系统 | |
CN110505176A (zh) | 报文优先级的确定、发送方法及装置、路由系统 | |
JP2023531034A (ja) | サービス伝送方法、装置、ネットワーク機器及び記憶媒体 | |
CN109617866B (zh) | 工控系统主机会话数据过滤方法和装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant |