CN116055217A - 基于sd-wan组网安全管理方法、系统、设备及介质 - Google Patents
基于sd-wan组网安全管理方法、系统、设备及介质 Download PDFInfo
- Publication number
- CN116055217A CN116055217A CN202310203169.6A CN202310203169A CN116055217A CN 116055217 A CN116055217 A CN 116055217A CN 202310203169 A CN202310203169 A CN 202310203169A CN 116055217 A CN116055217 A CN 116055217A
- Authority
- CN
- China
- Prior art keywords
- data
- information data
- information
- dangerous
- network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000007726 management method Methods 0.000 title claims abstract description 59
- 230000006855 networking Effects 0.000 title claims abstract description 41
- 238000004891 communication Methods 0.000 claims abstract description 24
- 238000000034 method Methods 0.000 claims abstract description 21
- 230000000903 blocking effect Effects 0.000 claims abstract description 15
- 238000012544 monitoring process Methods 0.000 claims abstract description 11
- 238000004458 analytical method Methods 0.000 claims abstract description 10
- 230000006837 decompression Effects 0.000 claims abstract description 9
- 238000004590 computer program Methods 0.000 claims description 14
- 230000006378 damage Effects 0.000 claims description 11
- 238000004422 calculation algorithm Methods 0.000 claims description 5
- 238000007405 data analysis Methods 0.000 claims description 4
- 238000004806 packaging method and process Methods 0.000 claims description 3
- 241000700605 Viruses Species 0.000 abstract description 28
- 230000000694 effects Effects 0.000 abstract description 2
- 230000009545 invasion Effects 0.000 abstract 1
- 238000010276 construction Methods 0.000 description 8
- 230000005540 biological transmission Effects 0.000 description 6
- 230000002829 reductive effect Effects 0.000 description 6
- 238000001514 detection method Methods 0.000 description 5
- 238000005516 engineering process Methods 0.000 description 4
- 230000006870 function Effects 0.000 description 4
- 230000008569 process Effects 0.000 description 4
- 230000001960 triggered effect Effects 0.000 description 4
- 238000011161 development Methods 0.000 description 3
- 238000012423 maintenance Methods 0.000 description 3
- 238000012545 processing Methods 0.000 description 3
- 230000002159 abnormal effect Effects 0.000 description 2
- 238000004364 calculation method Methods 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 230000000644 propagated effect Effects 0.000 description 2
- 230000001360 synchronised effect Effects 0.000 description 2
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 230000001010 compromised effect Effects 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 230000000670 limiting effect Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000001681 protective effect Effects 0.000 description 1
- 238000012163 sequencing technique Methods 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/12—Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Medical Informatics (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及基于SD‑WAN组网安全管理方法、系统、设备及介质,方法包括在预创建的中心服务器中设置网络安全知识库,将网络安全知识库与预设的CPE网关设备通信连接;获取CPE网关设备采集的网络设备传输的信息数据,对信息数据进行解压分析以得到数据特征;将数据特征输入至网络安全知识库进行安全识别,以判断信息数据是否为危险信息数据;若信息数据为危险信息数据,基于数据特征获取数据来源地址信息,根据数据来源地址信息封锁对应的CPE网关设备;基于危险信息数据触发生成安全报警指令,并将安全报警指令传输至监控终端。本申请具有防止企业内部网络遭受病毒入侵,提高企业网络安全性的效果。
Description
技术领域
本发明涉及网络安全的技术领域,尤其是涉及基于SD-WAN组网安全管理方法、系统、设备及介质。
背景技术
在高速互联网的发展下,万物互联、IT上云成为了目前网络发展的趋势,企业传统的组网方式采用的是专线组网的方式,无法很好地适应互联网的高速发展环境,因此新网络技术SD-WAN应运而生,成为企业创新和变更的重要趋势。
SD-WAN技术,即软件定义的广域网,是将SDN技术应用到广域网场景中,在企业的局域网上部署一个中心控制服务器,将中心控制服务器与企业的多个设备进行互联,为企业提供了一个可控的企业组网,便于企业对网络设备的统一管理,但是,现有将SD-WAN应用到企业组网构建中,实现将企业内所用网络设备互联起来,也将企业的外部网络与内部网络实现互联,同时使企业的网络安全风险增大,例如,企业的内网设备容易遭受外网的病毒攻击,企业的内部网络设备已经实现互联,网络病毒容易在企业内网传播,导致公司组网的网络信息安全传输风险增大,企业的网络安全性较差,因此,存在一定的改进空间。
发明内容
为了有效防止企业内部网络遭受病毒入侵,提高企业网络的安全性,本申请提供基于SD-WAN组网安全管理方法、系统、设备及介质。
本申请的上述发明目的一是通过以下技术方案得以实现的:
一种基于SD-WAN组网安全管理方法,应用于企业网络中的中心服务器,所述基于SD-WAN组网安全管理方法包括步骤:
在预创建的中心服务器中设置网络安全知识库,将所述网络安全知识库与预设的CPE网关设备通信连接;
获取所述CPE网关设备采集的网络设备传输的信息数据,对所述信息数据进行解压分析以得到数据特征;
将所述数据特征输入至网络安全知识库进行安全识别,以判断所述信息数据是否为危险信息数据;
若所述信息数据为危险信息数据,基于所述数据特征获取数据来源地址信息,根据所述数据来源地址信息封锁对应的CPE网关设备;
基于所述危险信息数据触发生成安全报警指令,并将所述安全报警指令传输至监控终端。
通过采用上述技术方案,在企业网络结构中预先构建的中心服务器内设置一个网络安全知识库,并将该网络安全知识库与企业网络结构中每个CPE网关设备通信连接,通过网络安全知识库对CPE网关设备中的信息数据进行安全监测,企业网络中的设备在进行信息传输时,会先将信息传输至该设备对应的CPE网关设备内,对CPE网关设备内的信息数据进行解压分析,得到信息数据的数据特征,将数据特征输入至网络安全知识库中,进行安全识别,根据安全识别结果判断该信息数据是否为危险信息数据,当确认为危险信息数据后,根据该信息数据的数据特征获取到数据来源地址信息,将该危险信息数据的源头设备中的CPE网关设备进行封锁,能够防止与该CPE网关设备相互联的其他CPE网关设备受到感染,进而有效防止整个企业网络系统不受危险信息数据攻击,提高了企业网络的安全性,同时在识别出具有危险信息数据后,触发生成安全报警指令,并输出至监控终端,便于企业的网络安全管理部门第一时间掌握企业网络的安全情况,进而便于企业的网络安全管理部门做出保护措施,进一步提高企业网络的整体安全性。
本申请在一较佳示例中可以进一步配置为:所述在预创建的中心服务器中设置网络安全知识库,将所述网络安全知识库与预设的CPE网关设备通信连接,具体包括:
获取所述CPE网关设备发出的匹配指令,基于所述匹配指令生成CPE网关设备的配置信息;
将所述配置信息传输至CPE网关设备,根据所述配置信息构建所述网络安全知识库与CPE网关设备的通信隧道。
通过采用上述技术方案,在中心服务器内构建了网络安全知识库后,CPE网关设备发出与网络安全知识库进行连接的匹配指令,中心服务器接收到匹配指令后生成配置信息至CPE网关设备,实现自动配置CPE网关设备的配置信息,CPE网关设备根据配置信息后使其对应的网络设备自动与中心服务器的网络安全知识库通信连接起来,使企业的网络设备能够实现自动完成信息配置,零部署上线,减少了企业网络的建设周期,进而有效降低企业网络的建设成本。
本申请在一较佳示例中可以进一步配置为:所述将所述数据特征输入至网络安全知识库进行安全识别,以判断所述信息数据是否为危险信息数据,具体包括:
在所述网络安全知识库内获取危险信息数据信息,基于所述危险信息数据信息获取危险信息数据特征信息集;
将所述数据特征与危险信息数据特征信息集进行相似度比较,得到数据相似度值,基于所述数据相似度值确定数据危险度等级,判断所述数据危险度等级是否满足危险信息数据的范围,基于所述判断结果确定所述信息数据是否为危险信息数据。
通过采用上述技术方案,通过构建的网络安全知识库中获取危险信息数据信息情况,在危险信息数据信息中得到危险信息数据的特征信息集,将信息数据中的的数据特征与危险信息数据特征信息集进行相似度计算,得到一个数据相似度值,基于数据相似度值确定数据危险度的等级,其中数据危险度等级具体为安全、轻危险、中危险和严重危险四个等级,通过数据危险度的等级程度判断信息数据是否为危险信息数据,实现危险信息数据判断功能。
本申请在一较佳示例中可以进一步配置为:所述将所述数据特征输入至网络安全知识库进行安全识别,以判断所述信息数据是否为危险信息数据之后,还包括:
当所述信息数据并不是危险信息数据时,对所述信息数据进行加密处理,得到加密信息数据;
将所述加密信息数据传输至其他网络设备的CPE网关设备。
通过采用上述技术方案,当对信息数据进行检测过后,确认不是危险信息数据后,对待进行传输的信息数据进行加密处理,得到加密信息数据,在信息数据在不同网络设备传输之前对信息数据进行加密处理,能够有效防止企业网络的信息数据泄露,增强了企业网络安全运维能力。
本申请在一较佳示例中可以进一步配置为:所述当所述信息数据并不是危险信息数据时,对所述信息数据进行加密处理,得到加密信息数据,具体包括:
将所述信息数据拆分为N个数据包,在预设的密钥管理库内获取加密密钥,利用所述加密密钥对所述数据包进行加密封装得到N个加密数据包,N≥1,N为整数;
将所述加密数据包根据预设的加密排序算法进行乱序整理,得到加密信息数据。
通过采用上述技术方案,将待进行传输的信息数据拆分成N个数据包,根据预先构建的密钥管理库内获取到对该数据包进行加密处理的加密密钥,通过加密密钥对N个数据包进行加密封装,得到相对应的加密数据包,在利用预设的加密排序算法将N个加密数据包的排序打乱,基于乱序的N个数据包形成加密信息数据,实现对信息数据进行加密功能,进而能够使信息数据在企业网络内进行传输的时候防止信息泄露,提高企业网络的信息数据传输的安全性。
本申请在一较佳示例中可以进一步配置为:所述若所述信息数据为危险信息数据,基于所述数据特征获取数据来源地址信息,根据所述数据来源地址信息封锁对应的CPE网关设备之后,还包括:
将所述危险信息数据传输至信息数据销毁终端,对所述危险信息数据进行销毁丢弃;
基于所述危险信息数据获取危险类型信息,将所述危险类型信息发送至企业网络设备。
通过采用上述技术方案,在检测出信息数据为危险信息数据后,将该危险信息数据发送至信息数据销毁终端,通过信息数据销毁终端对危险信息数据进行销毁丢弃,能够有效防止危险信息数据在企业网络内进行传播,并通过发现的危险信息数据获取到该信息数据的危险类型信息,并将该危险类型信息发送至企业网络内的其他网络设备,有利于其他网络设备的防火墙更新记录该危险类型信息,能够有效防止其他网络设备遭受同类型的危险信息数据破环。
本申请的上述发明目的二是通过以下技术方案得以实现的:
一种基于SD-WAN组网安全管理装置,所述基于SD-WAN组网安全管理装置包括:
网络安全知识库模块,用于在预创建的中心服务器中设置网络安全知识库,将所述网络安全知识库与预设的CPE网关设备通信连接;
信息数据分析模块,用于获取所述CPE网关设备采集的网络设备传输的信息数据,对所述信息数据进行解压分析以得到数据特征;
危险信息数据判断模块,用于将所述数据特征输入至网络安全知识库进行安全识别,以判断所述信息数据是否为危险信息数据;
设备封锁模块,用于若所述信息数据为危险信息数据,基于所述数据特征获取数据来源地址信息,根据所述数据来源地址信息封锁对应的CPE网关设备;
安全报警模块,用于基于所述危险信息数据触发生成安全报警指令,并将所述安全报警指令传输至监控终端;
设备信息配置模块,用于获取所述CPE网关设备发出的匹配指令,基于所述匹配指令生成CPE网关设备的配置信息,将所述配置信息传输至CPE网关设备,根据所述配置信息构建所述网络安全知识库与CPE网关设备的通信隧道;
信息数据加密模块,用于当所述信息数据并不是危险信息数据时,对所述信息数据进行加密处理,得到加密信息数据,将所述加密信息数据传输至其他网络设备的CPE网关设备。
通过采用上述技术方案,在企业网络结构中预先构建的中心服务器内设置一个网络安全知识库,并将该网络安全知识库与企业网络结构中每个CPE网关设备通信连接,通过网络安全知识库对CPE网关设备中的信息数据进行安全监测,企业网络中的设备在进行信息传输时,会先将信息传输至该设备对应的CPE网关设备内,对CPE网关设备内的信息数据进行解压分析,得到信息数据的数据特征,将数据特征输入至网络安全知识库中,进行安全识别,根据安全识别结果判断该信息数据是否为危险信息数据,当确认为危险信息数据后,根据该信息数据的数据特征获取到数据来源地址信息,将该危险信息数据的源头设备中的CPE网关设备进行封锁,能够防止与该CPE网关设备相互联的其他CPE网关设备受到感染,进而有效防止整个企业网络系统不受危险信息数据攻击,提高了企业网络的安全性,同时在识别出具有危险信息数据后,触发生成安全报警指令,并输出至监控终端,便于企业的网络安全管理部门第一时间掌握企业网络的安全情况,进而便于企业的网络安全管理部门做出保护措施,进一步提高企业网络的整体安全性。
本申请的上述目的三是通过以下技术方案得以实现的:
一种计算机设备,包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现上述基于SD-WAN组网安全管理方法的步骤。
本申请的上述目的四是通过以下技术方案得以实现的:
一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,所述计算机程序被处理器执行时实现上述基于SD-WAN组网安全管理方法的步骤。
综上所述,本申请包括以下至少一种有益技术效果:
1、在企业网络结构中预先构建的中心服务器内设置一个网络安全知识库,并将该网络安全知识库与企业网络结构中每个CPE网关设备通信连接,通过网络安全知识库对CPE网关设备中的信息数据进行安全监测,有效防止整个企业网络系统不受危险信息数据攻击,提高了企业网络的安全性,同时在识别出具有危险信息数据后,触发生成安全报警指令,并输出至监控终端,便于企业的网络安全管理部门第一时间掌握企业网络的安全情况,进而便于企业的网络安全管理部门做出保护措施,进一步提高企业网络的整体安全性;
2、在中心服务器内构建了网络安全知识库后,CPE网关设备发出与网络安全知识库进行连接的匹配指令,中心服务器接收到匹配指令后生成配置信息至CPE网关设备,实现自动配置CPE网关设备的配置信息,CPE网关设备根据配置信息后使其对应的网络设备自动与中心服务器的网络安全知识库通信连接起来,使企业的网络设备能够实现自动完成信息配置,零部署上线,减少了企业网络的建设周期,进而有效降低企业网络的建设成本;
3、当对信息数据进行检测过后,确认不是危险信息数据后,对待进行传输的信息数据进行加密处理,得到加密信息数据,在信息数据在不同网络设备传输之前对信息数据进行加密处理,能够有效防止企业网络的信息数据泄露,增强了企业网络安全运维能力;
4、在检测出信息数据为危险信息数据后,将该危险信息数据发送至信息数据销毁终端,通过信息数据销毁终端对危险信息数据进行销毁丢弃,能够有效防止危险信息数据在企业网络内进行传播,并通过发现的危险信息数据获取到该信息数据的危险类型信息,并将该危险类型信息发送至企业网络内的其他网络设备,有利于其他网络设备的防火墙更新记录该危险类型信息,能够有效防止其他网络设备遭受同类型的危险信息数据破环。
附图说明
图1是本申请一实施例中基于SD-WAN组网安全管理方法的一流程图;
图2是本申请一实施例中基于SD-WAN组网安全管理方法中步骤S20的实现流程图;
图3是本申请一实施例中基于SD-WAN组网安全管理方法中步骤S30的实现流程图;
图4是本申请一实施例中基于SD-WAN组网安全管理方法中另一实现流程图;
图5是本申请一实施例中基于SD-WAN组网安全管理方法中步骤S301的实现流程图;
图6是本申请一实施例中基于SD-WAN组网安全管理方法中另一实现流程图;
图7是本申请一实施例中基于SD-WAN组网安全管理系统的一原理框图;
图8是本申请一实施例中的计算机设备示意图。
具体实施方式
以下结合附图对本申请作进一步详细说明。
在一实施例中,如图1所示,本申请公开了一种基于SD-WAN组网安全管理方法,基于SD-WAN组网安全管理方法应用于企业网络的中心服务器,具体包括如下步骤:
S10:在预创建的中心服务器中设置网络安全知识库,将所述网络安全知识库与预设的CPE网关设备通信连接。
在本实施例中,中心服务器是指企业网络结构中的控制服务器,用于对企业内连接互联网的设备统一管理,网络安全知识库是指会危害网络的网络病毒、异常数据等集合,CPE网关设备是指网络设备与中心服务器进行连接的网桥。
具体的,在企业网络结构中的控制服务器内构建一个所有网络病毒的知识库,将企业网络内的每个网络设备设置的CPE网关设备与控制服务器的网络安全知识库进行通信连接,使企业网络内的网络设备在进行信息传输前,控制服务器利用网络安全知识库从CPE网关设备中获取待进行传输的信息数据进行安全检测。
S20:获取所述CPE网关设备采集的网络设备传输的信息数据,对所述信息数据进行解压分析以得到数据特征。
在本实施例中,信息数据是指网络设备输出待传输至其他网络设备的数据,数据特征是指待传输的数据的特征信息。
具体的,企业网络内的网络设备之间进行信息传输时,网络设备会先将待传输的信息上传至该网络设备配置的CPE网关设备,中心服务器从CPE网关设备内获取待传输的数据,对待传输的数据进行解码分析,从待传输的数据中得到数据的特征信息,便于利用数据的特征信息对待传输的数据进行安全检测。
S30:将所述数据特征输入至网络安全知识库进行安全识别,以判断所述信息数据是否为危险信息数据。
在本实施例中,危险信息数据是指带有网络病毒,或者会危害企业网络安全的数据。
具体的,中心服务器与每个CPE网关设备都构建了一个通信连接通道,在企业网络中的网络设备之间进行信息传输过程中,将从待传输的数据中得到数据的特征信息输入到中心服务器网络安全知识库内,利用网络安全知识库对待传输的数据进行安全检测,以判断待传输的数据是否为带有网络病毒,或者会危害企业网络安全的数据。
S40:若所述信息数据为危险信息数据,基于所述数据特征获取数据来源地址信息,根据所述数据来源地址信息封锁对应的CPE网关设备。
在本实施例中,数据来源地址信息是指带有网络病毒,或者会危害企业网络安全的数据的具体源头设备。
具体的,当待传输的数据经过安全检测确定为带有网络病毒,或者会危害企业网络安全的数据后,通过该数据的特征信息,获取到该数据产生的具体源头设备,并立刻封锁该源头设备的CPE网关设备,切断该CPE网关设备与企业网络内其他的CPE网关设备之间的通信关系,防止与该CPE网关设备相互联的其他CPE网关设备受到感染。
S50:基于所述危险信息数据触发生成安全报警指令,并将所述安全报警指令传输至监控终端。
在本实施例中,安全报警指令是指企业网络受到危害的警报信息。
具体的,在检测出待传输的数据为带有网络病毒,或者会危害企业网络安全的数据后,中心服务器立刻生成企业网络受到危害的警报信息,并发送至监控终端,使企业的网络安全管理部门第一时间掌握企业网络的安全情况,进而便于企业的网络安全管理部门做出保护措施。
在本实施例中,在企业网络结构中预先构建的中心服务器内设置一个网络安全知识库,并将该网络安全知识库与企业网络结构中每个CPE网关设备通信连接,通过网络安全知识库对CPE网关设备中的信息数据进行安全监测,企业网络中的设备在进行信息传输时,会先将信息传输至该设备对应的CPE网关设备内,对CPE网关设备内的信息数据进行解压分析,得到信息数据的数据特征,将数据特征输入至网络安全知识库中,进行安全识别,根据安全识别结果判断该信息数据是否为危险信息数据,当确认为危险信息数据后,根据该信息数据的数据特征获取到数据来源地址信息,将该危险信息数据的源头设备中的CPE网关设备进行封锁,能够防止与该CPE网关设备相互联的其他CPE网关设备受到感染,进而有效防止整个企业网络系统不受危险信息数据攻击,提高了企业网络的安全性,同时在识别出具有危险信息数据后,触发生成安全报警指令,并输出至监控终端,便于企业的网络安全管理部门第一时间掌握企业网络的安全情况,进而便于企业的网络安全管理部门做出保护措施,进一步提高企业网络的整体安全性。
在一实施例中,如图2所示,在步骤S20中,即在预创建的中心服务器中设置网络安全知识库,将所述网络安全知识库与预设的CPE网关设备通信连接,具体包括:
S21:获取所述CPE网关设备发出的匹配指令,基于所述匹配指令生成CPE网关设备的配置信息。
在本实施例中,匹配指令是指CPE网关设备请求与中心服务器匹配连接指令,配置信息是指CPE网关设备的设置参数信息。
具体的,在进行网络安全知识库与CPE网关设备通信连接时,中心服务器接收CPE网关设备发出的请求匹配连接指令,中心服务器根据请求匹配指令生成该CPE网关设备的设置参数信息,并将设置参数信息发送至对应的CPE网关设备,实现自动配置CPE网关设备的参数信息。
S22:将所述配置信息传输至CPE网关设备,根据所述配置信息构建所述网络安全知识库与CPE网关设备的通信隧道。
具体的,将CPE网关设备的参数信息自动设置完成后,中心服务器内的网络安全知识库自动与企业网络内的CPE网关设备构建连接隧道,进而能够减少网络安全知识库与CPE网关设备的建设周期,有效降低企业网络的建设成本。
在一实施例中,如图3所示,在步骤S30中,即将所述数据特征输入至网络安全知识库进行安全识别,以判断所述信息数据是否为危险信息数据,具体包括:
S31:在所述网络安全知识库内获取危险信息数据信息,基于所述危险信息数据信息获取危险信息数据特征信息集。
在本实施例中,危险数据信息是指危害网络安全的病毒数据,危险信息数据特征信息集是指病毒数据的数据特征点集合。
具体的,通过预先构建的指会危害网络的网络病毒、异常数据等集合中获取到危害网络安全的病毒数据,根据对危害网络安全的病毒数据进行分析提取到该危害网络安全的病毒数据的数据特征点集合。
S32:将所述数据特征与危险信息数据特征信息集进行相似度比较,得到数据相似度值,基于所述数据相似度值确定数据危险度等级,判断所述数据危险度等级是否满足危险信息数据的范围,基于所述判断结果确定所述信息数据是否为危险信息数据。
在本实施例中,数据相似度值是指待传输数据的数据特征与病毒数据的数据特征的相似度,数据危险等级是指待传输数据的危险等级。
具体的,将待传输数据中的的数据特征与病毒数据的数据特征进行相似度计算,待传输数据的数据特征与病毒数据的数据特征的相似度,确定待传输数据的危险等级,其中,待传输数据的危险等级包括安全、轻危险、中危险和严重危险四个等级,例如,将相似度值在0-25%之间,则定义待传输的数据的危险等级为安全,若相似度值在26%-50%之间的,则定义传输的数据的危险等级为轻危险,若相似度值在51%-75%之间,则定义传输的数据的危险等级为中危险,若相似度值在76%-100%之间,则定义传输的数据的危险等级为严重危险。
进一步地,当待传输数据的危险等级定义在中危险及以上时,则判断待传输的数据检测为病毒数据。
在一实施例中,如图4所示,在步骤S30之后,基于SD-WAN组网安全管理方法还包括:
S301:当所述信息数据并不是危险信息数据时,对所述信息数据进行加密处理,得到加密信息数据。
在本实施例中,加密信息数据是指经过加密的待传输数据。
具体的,当待传输数据经过安全检测后,确定并不是会带有网络病毒,或者会危害企业网络安全的数据,则对待传输数据进行加密处理,以防止待传输的数据泄露,增强企业网络安全运维能力。
S302:将所述加密信息数据传输至其他网络设备的CPE网关设备。
具体的,进行加密完后的待传输数据发送至接收该数据的CPE网关设备,通过CPE网关设备传输至对应的网络设备上,完成信息、数据在企业网络内不同的网络设备之间的传输。
在一实施例中,如图5所示,在步骤S301中,即当所述信息数据并不是危险信息数据时,对所述信息数据进行加密处理,得到加密信息数据,具体包括:
S3011:将所述信息数据拆分为N个数据包,在预设的密钥管理库内获取加密密钥,利用所述加密密钥对所述数据包进行加密封装得到N个加密数据包,N≥1,N为整数。
在本实施例中,N个数据包是指对待传输数据进行拆分后得到的有序排列数据包,加密密钥是指对待传输数据的加密方法,N个加密数据包是指加密后的有序排列数据包。
具体的,对待传输数据进行拆分,得到N个有序排列的数据包,此时N个数据包均是从1到N有序排列的,在密钥管理库内获取对数据包进行加密的加密方法,对N个有序排列的数据包进行加密处理,得到N个排列好的加密数据包。
S3012:将所述加密数据包根据预设的加密排序算法进行乱序整理,得到加密信息数据。
具体的,利用预先设置好的加密排序算法对有序排列的加密数据包进行打乱,使N个加密数据包的顺序打乱,从而即使在信息泄露的情况下,信息数据盗窃者得到的只是乱序的数据包,无法得到正确的信息数据,进而能够使信息数据在企业网络内进行传输的时候防止信息泄露,提高企业网络的信息数据传输的安全性。
在一实施例中,如图6所示,在步骤S40之后,基于SD-WAN组网安全管理方法还包括:
S401:将所述危险信息数据传输至信息数据销毁终端,对所述危险信息数据进行销毁丢弃。
具体的,在确定待传输数据为带有网络病毒,或者会危害企业网络安全的数据后,将该待传输数据发送至相对应的信息数据销毁终端,对该待传输数据进行销毁丢弃,排出该企业网络内,避免该待传输数据对企业网络的危害。
S402:基于所述危险信息数据获取危险类型信息,将所述危险类型信息发送至企业网络设备。
在本实施例中,危险类型信息是指病毒信息。
具体的,在发现的带有网络病毒,或者会危害企业网络安全的数据中,了解具体的病毒数据类型信息,并将该病毒数据类型信息发送至企业网络内的其他网络设备,使其他网络设备的防火墙更新记录该病毒数据类型信息,能够有效防止其他网络设备遭受同类型的危险信息数据破环。
应理解,上述实施例中各步骤的序号的大小并不意味着执行顺序的先后,各过程的执行顺序应以其功能和内在逻辑确定,而不应对本申请实施例的实施过程构成任何限定。
在一实施例中,提供一种基于SD-WAN组网安全管理装置,该基于SD-WAN组网安全管理装置与上述实施例中基于SD-WAN组网安全管理方法一一对应。如图7所示,该基于SD-WAN组网安全管理装置包括网络安全知识库模块、信息数据分析模块、危险信息数据判断模块、设备封锁模块、安全报警模块、设备信息配置模块和信息数据加密模块。各功能模块详细说明如下:
网络安全知识库模块,用于在预创建的中心服务器中设置网络安全知识库,将所述网络安全知识库与预设的CPE网关设备通信连接;
信息数据分析模块,用于获取所述CPE网关设备采集的网络设备传输的信息数据,对所述信息数据进行解压分析以得到数据特征;
危险信息数据判断模块,用于将所述数据特征输入至网络安全知识库进行安全识别,以判断所述信息数据是否为危险信息数据;
设备封锁模块,用于若所述信息数据为危险信息数据,基于所述数据特征获取数据来源地址信息,根据所述数据来源地址信息封锁对应的CPE网关设备;
安全报警模块,用于基于所述危险信息数据触发生成安全报警指令,并将所述安全报警指令传输至监控终端;
设备信息配置模块,用于获取所述CPE网关设备发出的匹配指令,基于所述匹配指令生成CPE网关设备的配置信息,将所述配置信息传输至CPE网关设备,根据所述配置信息构建所述网络安全知识库与CPE网关设备的通信隧道;
信息数据加密模块,用于当所述信息数据并不是危险信息数据时,对所述信息数据进行加密处理,得到加密信息数据,将所述加密信息数据传输至其他网络设备的CPE网关设备。
关于基于SD-WAN组网安全管理装置的具体限定可以参见上文中对于基于SD-WAN组网安全管理方法的限定,在此不再赘述。上述基于SD-WAN组网安全管理装置中的各个模块可全部或部分通过软件、硬件及其组合来实现。上述各模块可以硬件形式内嵌于或独立于计算机设备中的处理器中,也可以以软件形式存储于计算机设备中的存储器中,以便于处理器调用执行以上各个模块对应的操作。
在一个实施例中,提供了一种计算机设备,该计算机设备可以是服务器,其内部结构图可以如图8所示。该计算机设备包括通过系统总线连接的处理器、存储器、网络接口和数据库。其中,该计算机设备的处理器用于提供计算和控制能力。该计算机设备的存储器包括非易失性存储介质、内存储器。该非易失性存储介质存储有操作系统、计算机程序和数据库。该内存储器为非易失性存储介质中的操作系统和计算机程序的运行提供环境。该计算机设备的数据库用于存储公路建设数据、构建好的网络安全知识库。该计算机设备的网络接口用于与外部的终端通过网络连接通信。该计算机程序被处理器执行时以实现一种基于SD-WAN组网安全管理方法。
在一个实施例中,提供了一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,处理器执行计算机程序时实现以下步骤:
在预创建的中心服务器中设置网络安全知识库,将所述网络安全知识库与预设的CPE网关设备通信连接;
获取所述CPE网关设备采集的网络设备传输的信息数据,对所述信息数据进行解压分析以得到数据特征;
将所述数据特征输入至网络安全知识库进行安全识别,以判断所述信息数据是否为危险信息数据;
若所述信息数据为危险信息数据,基于所述数据特征获取数据来源地址信息,根据所述数据来源地址信息封锁对应的CPE网关设备;
基于所述危险信息数据触发生成安全报警指令,并将所述安全报警指令传输至监控终端。
在一个实施例中,提供了一种计算机可读存储介质,其上存储有计算机程序,计算机程序被处理器执行时实现以下步骤:
在预创建的中心服务器中设置网络安全知识库,将所述网络安全知识库与预设的CPE网关设备通信连接;
获取所述CPE网关设备采集的网络设备传输的信息数据,对所述信息数据进行解压分析以得到数据特征;
将所述数据特征输入至网络安全知识库进行安全识别,以判断所述信息数据是否为危险信息数据;
若所述信息数据为危险信息数据,基于所述数据特征获取数据来源地址信息,根据所述数据来源地址信息封锁对应的CPE网关设备;
基于所述危险信息数据触发生成安全报警指令,并将所述安全报警指令传输至监控终端。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的计算机程序可存储于一非易失性计算机可读取存储介质中,该计算机程序在执行时,可包括如上述各方法的实施例的流程。其中,本申请所提供的各实施例中所使用的对存储器、存储、数据库或其它介质的任何引用,均可包括非易失性和/或易失性存储器。非易失性存储器可包括只读存储器(ROM)、可编程ROM(PROM)、电可编程ROM(EPROM)、电可擦除可编程ROM(EEPROM)或闪存。易失性存储器可包括随机存取存储器(RAM)或者外部高速缓冲存储器。作为说明而非局限,RAM以多种形式可得,诸如静态RAM(SRAM)、动态RAM(DRAM)、同步DRAM(SDRAM)、双数据率SDRAM(DDRSDRAM)、增强型SDRAM(ESDRAM)、同步链路(Synchlink) DRAM(SLDRAM)、存储器总线(Rambus)直接RAM(RDRAM)、直接存储器总线动态RAM(DRDRAM)、以及存储器总线动态RAM(RDRAM)等。
所属领域的技术人员可以清楚地了解到,为了描述的方便和简洁,仅以上述各功能单元、模块的划分进行举例说明,实际应用中,可以根据需要而将上述功能分配由不同的功能单元、模块完成,即将所述装置的内部结构划分成不同的功能单元或模块,以完成以上描述的全部或者部分功能。
以上所述实施例仅用以说明本申请的技术方案,而非对其限制;尽管参照前述实施例对本申请进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本申请各实施例技术方案的精神和范围,均应包含在本申请的保护范围之内。
Claims (10)
1.一种基于SD-WAN组网安全管理方法,其特征在于,应用于企业网络中的中心服务器,所述基于SD-WAN组网安全管理方法包括步骤:
在预创建的中心服务器中设置网络安全知识库,将所述网络安全知识库与预设的CPE网关设备通信连接;
获取所述CPE网关设备采集的网络设备传输的信息数据,对所述信息数据进行解压分析以得到数据特征;
将所述数据特征输入至网络安全知识库进行安全识别,以判断所述信息数据是否为危险信息数据;
若所述信息数据为危险信息数据,基于所述数据特征获取数据来源地址信息,根据所述数据来源地址信息封锁对应的CPE网关设备;
基于所述危险信息数据触发生成安全报警指令,并将所述安全报警指令传输至监控终端。
2.根据权利要求1所述的一种基于SD-WAN组网安全管理方法,其特征在于,所述在预创建的中心服务器中设置网络安全知识库,将所述网络安全知识库与预设的CPE网关设备通信连接,具体包括:
获取所述CPE网关设备发出的匹配指令,基于所述匹配指令生成CPE网关设备的配置信息;
将所述配置信息传输至CPE网关设备,根据所述配置信息构建所述网络安全知识库与CPE网关设备的通信隧道。
3.根据权利要求1所述的一种基于SD-WAN组网安全管理方法,其特征在于,所述将所述数据特征输入至网络安全知识库进行安全识别,以判断所述信息数据是否为危险信息数据,具体包括:
在所述网络安全知识库内获取危险信息数据信息,基于所述危险信息数据信息获取危险信息数据特征信息集;
将所述数据特征与危险信息数据特征信息集进行相似度比较,得到数据相似度值,基于所述数据相似度值确定数据危险度等级,判断所述数据危险度等级是否满足危险信息数据的范围,基于所述判断结果确定所述信息数据是否为危险信息数据。
4.根据权利要求1所述的一种基于SD-WAN组网安全管理方法,其特征在于,所述将所述数据特征输入至网络安全知识库进行安全识别,以判断所述信息数据是否为危险信息数据之后,还包括:
当所述信息数据并不是危险信息数据时,对所述信息数据进行加密处理,得到加密信息数据;
将所述加密信息数据传输至其他网络设备的CPE网关设备。
5.根据权利要求4所述的一种基于SD-WAN组网安全管理方法,其特征在于,所述当所述信息数据并不是危险信息数据时,对所述信息数据进行加密处理,得到加密信息数据,具体包括:
将所述信息数据拆分为N个数据包,在预设的密钥管理库内获取加密密钥,利用所述加密密钥对所述数据包进行加密封装得到N个加密数据包,N≥1,N为整数;
将所述加密数据包根据预设的加密排序算法进行乱序整理,得到加密信息数据。
6.根据权利要求1所述的一种基于SD-WAN组网安全管理方法,其特征在于,所述若所述信息数据为危险信息数据,基于所述数据特征获取数据来源地址信息,根据所述数据来源地址信息封锁对应的CPE网关设备之后,还包括:
将所述危险信息数据传输至信息数据销毁终端,对所述危险信息数据进行销毁丢弃;
基于所述危险信息数据获取危险类型信息,将所述危险类型信息发送至企业网络设备。
7.一种基于SD-WAN组网安全管理装置,其特征在于,所述基于SD-WAN组网安全管理装置包括:
网络安全知识库模块,用于在预创建的中心服务器中设置网络安全知识库,将所述网络安全知识库与预设的CPE网关设备通信连接;
信息数据分析模块,用于获取所述CPE网关设备采集的网络设备传输的信息数据,对所述信息数据进行解压分析以得到数据特征;
危险信息数据判断模块,用于将所述数据特征输入至网络安全知识库进行安全识别,以判断所述信息数据是否为危险信息数据;
设备封锁模块,用于若所述信息数据为危险信息数据,基于所述数据特征获取数据来源地址信息,根据所述数据来源地址信息封锁对应的CPE网关设备;
安全报警模块,用于基于所述危险信息数据触发生成安全报警指令,并将所述安全报警指令传输至监控终端。
8.根据权利要求7所述的一种基于SD-WAN组网安全管理装置,其特征在于,还包括:
设备信息配置模块,用于获取所述CPE网关设备发出的匹配指令,基于所述匹配指令生成CPE网关设备的配置信息,将所述配置信息传输至CPE网关设备,根据所述配置信息构建所述网络安全知识库与CPE网关设备的通信隧道;
信息数据加密模块,用于当所述信息数据并不是危险信息数据时,对所述信息数据进行加密处理,得到加密信息数据,将所述加密信息数据传输至其他网络设备的CPE网关设备。
9.一种计算机设备,包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现如权利要求1至6任一项所述一种基于SD-WAN组网安全管理方法的步骤。
10.一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1至6任一项所述一种基于SD-WAN组网安全管理方法的步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202310203169.6A CN116055217A (zh) | 2023-03-06 | 2023-03-06 | 基于sd-wan组网安全管理方法、系统、设备及介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202310203169.6A CN116055217A (zh) | 2023-03-06 | 2023-03-06 | 基于sd-wan组网安全管理方法、系统、设备及介质 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN116055217A true CN116055217A (zh) | 2023-05-02 |
Family
ID=86120242
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202310203169.6A Pending CN116055217A (zh) | 2023-03-06 | 2023-03-06 | 基于sd-wan组网安全管理方法、系统、设备及介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN116055217A (zh) |
Citations (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104333529A (zh) * | 2013-07-22 | 2015-02-04 | 中国电信股份有限公司 | 一种云计算环境下http dos攻击的检测方法及系统 |
CN105208002A (zh) * | 2015-08-24 | 2015-12-30 | 成都秋雷科技有限责任公司 | 钓鱼网站拦截方法 |
CN109462621A (zh) * | 2019-01-10 | 2019-03-12 | 国网浙江省电力有限公司杭州供电公司 | 网络安全保护方法、装置及电子设备 |
CN109672678A (zh) * | 2018-12-24 | 2019-04-23 | 亚信科技(中国)有限公司 | 一种钓鱼网站识别方法及装置 |
US20190182213A1 (en) * | 2017-12-13 | 2019-06-13 | Teloip Inc. | System, apparatus and method for providing a unified firewall manager |
CN110602046A (zh) * | 2019-08-13 | 2019-12-20 | 上海陆家嘴国际金融资产交易市场股份有限公司 | 数据监控处理方法、装置、计算机设备和存储介质 |
CN110769067A (zh) * | 2019-10-30 | 2020-02-07 | 任子行网络技术股份有限公司 | 一种基于sd-wan的工业互联网安全监管系统及方法 |
CN112152964A (zh) * | 2019-06-26 | 2020-12-29 | 中兴通讯股份有限公司 | 网络攻击防御方法、装置、接收设备及计算机存储介质 |
CN113489711A (zh) * | 2021-07-01 | 2021-10-08 | 中国电信股份有限公司 | DDoS攻击的检测方法、系统、电子设备和存储介质 |
CN113904866A (zh) * | 2021-10-29 | 2022-01-07 | 中国电信股份有限公司 | Sd-wan业务流量安全处置引流方法、设备、系统以及介质 |
CN115174233A (zh) * | 2022-07-08 | 2022-10-11 | 广东瑞普科技股份有限公司 | 基于大数据的网络安全分析方法、设备、系统及介质 |
CN115632878A (zh) * | 2022-12-06 | 2023-01-20 | 中海油能源发展股份有限公司采油服务分公司 | 基于网络隔离的数据传输方法、装置、设备及存储介质 |
-
2023
- 2023-03-06 CN CN202310203169.6A patent/CN116055217A/zh active Pending
Patent Citations (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104333529A (zh) * | 2013-07-22 | 2015-02-04 | 中国电信股份有限公司 | 一种云计算环境下http dos攻击的检测方法及系统 |
CN105208002A (zh) * | 2015-08-24 | 2015-12-30 | 成都秋雷科技有限责任公司 | 钓鱼网站拦截方法 |
US20190182213A1 (en) * | 2017-12-13 | 2019-06-13 | Teloip Inc. | System, apparatus and method for providing a unified firewall manager |
CN109672678A (zh) * | 2018-12-24 | 2019-04-23 | 亚信科技(中国)有限公司 | 一种钓鱼网站识别方法及装置 |
CN109462621A (zh) * | 2019-01-10 | 2019-03-12 | 国网浙江省电力有限公司杭州供电公司 | 网络安全保护方法、装置及电子设备 |
CN112152964A (zh) * | 2019-06-26 | 2020-12-29 | 中兴通讯股份有限公司 | 网络攻击防御方法、装置、接收设备及计算机存储介质 |
CN110602046A (zh) * | 2019-08-13 | 2019-12-20 | 上海陆家嘴国际金融资产交易市场股份有限公司 | 数据监控处理方法、装置、计算机设备和存储介质 |
CN110769067A (zh) * | 2019-10-30 | 2020-02-07 | 任子行网络技术股份有限公司 | 一种基于sd-wan的工业互联网安全监管系统及方法 |
CN113489711A (zh) * | 2021-07-01 | 2021-10-08 | 中国电信股份有限公司 | DDoS攻击的检测方法、系统、电子设备和存储介质 |
CN113904866A (zh) * | 2021-10-29 | 2022-01-07 | 中国电信股份有限公司 | Sd-wan业务流量安全处置引流方法、设备、系统以及介质 |
CN115174233A (zh) * | 2022-07-08 | 2022-10-11 | 广东瑞普科技股份有限公司 | 基于大数据的网络安全分析方法、设备、系统及介质 |
CN115632878A (zh) * | 2022-12-06 | 2023-01-20 | 中海油能源发展股份有限公司采油服务分公司 | 基于网络隔离的数据传输方法、装置、设备及存储介质 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN110602046B (zh) | 数据监控处理方法、装置、计算机设备和存储介质 | |
US10757134B1 (en) | System and method for detecting and remediating a cybersecurity attack | |
CN110460571B (zh) | 业务系统漏洞处理方法、装置、计算机设备和存储介质 | |
RU2680736C1 (ru) | Сервер и способ для определения вредоносных файлов в сетевом трафике | |
CA2968327C (en) | Systems and methods for malicious code detection accuracy assurance | |
US10341326B2 (en) | Network security for encrypted channel based on reputation | |
US11848947B2 (en) | System and method for providing security to in-vehicle network | |
US10033745B2 (en) | Method and system for virtual security isolation | |
KR20200118887A (ko) | 메세지를 처리하는 네트워크 프로브 및 방법 | |
CN114244570B (zh) | 终端非法外联监测方法、装置、计算机设备和存储介质 | |
US20200226292A1 (en) | Protecting integrity of log data | |
CN114826880B (zh) | 一种数据安全运行在线监测系统 | |
CN112804191A (zh) | 一种基于vpn的远程登录方法、装置及设备 | |
US10339307B2 (en) | Intrusion detection system in a device comprising a first operating system and a second operating system | |
CN114301705A (zh) | 一种基于可信计算的工控防御方法与系统 | |
CN116055217A (zh) | 基于sd-wan组网安全管理方法、系统、设备及介质 | |
CN109587134B (zh) | 接口总线的安全认证的方法、装置、设备和介质 | |
US11880496B2 (en) | Mitigating against a persistent consistent threat in a network device based on reducing temporal surface area | |
CN113946869B (zh) | 用于联邦学习和隐私计算的内部安全攻击检测方法及装置 | |
CN113596060A (zh) | 一种网络安全应急响应方法及系统 | |
CN110855656A (zh) | 可实现应用服务器防护的插件流量代理方法、装置及系统 | |
CN114679322A (zh) | 流量安全审计方法、系统、计算机设备 | |
CN113923021A (zh) | 基于沙箱的加密流量处理方法、系统、设备及介质 | |
CN113177222A (zh) | 一种动态库处理方法、装置、电子设备及存储介质 | |
CN117648100B (zh) | 应用部署方法、装置、设备和存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |