CN116527403B - 用于局域网的网络安全控制方法和系统 - Google Patents

用于局域网的网络安全控制方法和系统 Download PDF

Info

Publication number
CN116527403B
CN116527403B CN202310796545.7A CN202310796545A CN116527403B CN 116527403 B CN116527403 B CN 116527403B CN 202310796545 A CN202310796545 A CN 202310796545A CN 116527403 B CN116527403 B CN 116527403B
Authority
CN
China
Prior art keywords
local area
area network
gateway
terminal
data
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202310796545.7A
Other languages
English (en)
Other versions
CN116527403A (zh
Inventor
田园
谌文杰
谭堯木
吴斗
张芮嘉
黄昆
毛启均
李静
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
State Grid Sichuan Electric Power Co Ltd
Original Assignee
State Grid Sichuan Electric Power Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by State Grid Sichuan Electric Power Co Ltd filed Critical State Grid Sichuan Electric Power Co Ltd
Priority to CN202310796545.7A priority Critical patent/CN116527403B/zh
Publication of CN116527403A publication Critical patent/CN116527403A/zh
Application granted granted Critical
Publication of CN116527403B publication Critical patent/CN116527403B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/40Network security protocols
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02DCLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
    • Y02D30/00Reducing energy consumption in communication networks
    • Y02D30/50Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明涉及局域网控制技术领域,提供了一种用于局域网的网络安全控制方法和系统,其基于局域网的实时数据传输状态,得到网关工作特征,以此确定空闲网关集合并进行标识,为终端接入局域网提供快速可靠的网关选择;当用户终端接入网关后,对用户终端在局域网的数据传输链路进行数据抽样采集,并分析抽样数据包,确定存在数据安全状况的节点,再对节点所有关联终端进行识别,确定异常终端并进行隔离处理,以节点为基准对局域网进行全面的终端排查,及时隔离异常终端避免其他终端受到影响,有效遏制局域网内部数据安全问题的扩散,再对隔离的异常终端进行异常排查与修复,以此调整异常终端在局域网的工作状态,保证局域网的数据交互稳定性与可靠性。

Description

用于局域网的网络安全控制方法和系统
技术领域
本发明涉及局域网控制的技术领域,尤其涉及一种用于局域网的网络安全控制方法和系统。
背景技术
局域网广泛应用于企业和研究机构等个体中,其能够为这些个体提供稳定可靠的网络服务,并且在局域网内部不同终端之间能够实现高速的数据交互。局域网内部设置有一定数量的网关,每个网关作为局域网与终端之间的连接中介,其能够为所有连接的终端提供数据传输服务。在实际运行过程中局域网接入的终端会因被劫持或感染病毒而对局域网其他的终端产生安全隐患。特别是这些终端会通过局域网内部的网关对其他终端快速产生安全问题,从而影响整个局域网的运行安全性和可靠性。现有技术都是对局域网内部的终端进行独立的监控,这无法及时全面地排查局域网存在的安全问题,降低对局域网的网络安全监测精确和可靠性,不能保证局域网的网络环境稳定性和数据交互安全性。
发明内容
针对上述现有技术存在的缺陷,本发明提供了一种用于局域网的网络安全控制方法和系统,其基于局域网的实时数据传输状态,得到网关工作特征,以此确定空闲网关集合并对其进行标识,为终端接入局域网提供快速可靠的网关选择;当用户终端接入网关后,对用户终端在局域网的数据传输链路进行数据抽样采集,并分析抽样数据包,确定存在数据安全状况的节点,再对节点所有关联终端进行识别,确定异常终端并对其进行隔离处理,以节点为基准快速准确对局域网进行全面的终端排查筛选,及时隔离异常终端避免其他终端受到影响,有效遏制局域网内部数据安全问题的扩散,再对隔离的异常终端进行异常排查与修复,以此调整异常终端在局域网的工作状态,在不危及局域网整体数据安全的情况下最大限度恢复局域网整体正常工作,并提高局域网的数据交互稳定性与可靠性。
本发明提供的用于局域网的网络安全控制方法,包括如下步骤:
步骤S1,基于局域网的实时数据传输状态,得到所述局域网的网关工作特征;基于所述网关工作特征,生成空闲网关集合,并对所述空闲网关集合进行标识;
步骤S2,基于用户终端向所述局域网发起的接入请求,从所述空闲网关集合选择与所述用户终端直接连接的网关;基于与所述用户终端直接连接的网关,确定所述用户终端在所述局域网的数据传输链路,并对所述数据传输链路进行数据抽样采集,得到抽样数据包;
步骤S3,对所述抽样数据包进行分析,确定所述数据传输链路存在数据安全状况的节点;对所述节点在所述局域网的所有关联终端进行识别,确定其中的异常终端,并对所述异常终端进行隔离处理;
步骤S4,对处于隔离状态的异常终端进行异常排查与修复处理,并基于所述异常排查与修复处理的结果,调整所述异常终端在所述局域网的工作状态。
进一步,在所述步骤S1中,基于局域网的实时数据传输状态,得到所述局域网的网关工作特征;基于所述网关工作特征,生成空闲网关集合,并对所述空闲网关集合进行标识,包括:
基于局域网内部所有网关各自的实时上行数据传输速度变化信息和实时下行数据传输速度变化信息,得到每个网关完成自身数据传输队列中所有数据传输任务所需时间,以此作为所述网关工作特征;
将所述所需时间与预设时间阈值进行对比,判断所述网关是否属于空闲网关;基于所有空闲网关在所述局域网的网关地址,生成相应的空闲网关集合;并基于所述空闲网关集合中每个空闲网关的数据传输带宽,对所有空闲网关进行排序标识,得到空闲网关使用队列。
进一步,在所述步骤S2中,基于用户终端向所述局域网发起的接入请求,从所述空闲网关集合选择与所述用户终端直接连接的网关;基于与所述用户终端直接连接的网关,确定所述用户终端在所述局域网的数据传输链路,并对所述数据传输链路进行数据抽样采集,得到抽样数据包,包括:
从用户终端向所述局域网发起的接入请求中提取终端身份信息,将所述终端身份信息与预设身份信息名单进行对比,若所述终端身份信息存在于预设身份信息名单,则确定用户终端具备对所述局域网的接入权限;
基于具备接入权限的用户终端的历史数据交互记录,从所述空闲网关集合选择具有与所述用户终端的数据交互需求相匹配的空闲网关;
基于所述具有与所述用户终端的数据交互需求相匹配的空闲网关的网关地址和与所述用户终端进行数据交互的目标终端在所述局域网的位置地址,确定所述用户终端与所述目标终端在所述局域网的数据传输链路;对所述数据传输链路的每个数据中转节点进行数据抽样采集,得到与每个数据中转节点对应的抽样数据包。
进一步,在所述步骤S3中,对所述抽样数据包进行分析,确定所述数据传输链路存在数据安全状况的节点;对所述节点在所述局域网的所有关联终端进行识别,确定其中的异常终端,并对所述异常终端进行隔离处理,包括:
对所述抽样数据包进行数据流内容分析,判断所述抽样数据包是否存在异常数据代码;若存在,则确定所述数据传输链路对应的数据中转节点存在数据安全状况;
对存在数据安全状况的数据中转节点在所述局域网的所有关联终端进行识别,得到每个关联终端的历史工作记录;对所述历史工作记录进行分析,判断所述关联终端是否发生被劫持事件,若是,则确定所述关联终端为异常终端,并对所述关联终端进行隔离处理。
进一步,在所述步骤S4中,对处于隔离状态的异常终端进行异常排查与修复处理,并基于所述异常排查与修复处理的结果,调整所述异常终端在所述局域网的工作状态,包括:
对处于隔离状态的异常终端进行异常排查处理,确定劫持所述异常终端的非法终端;再基于所述非法终端与所述局域网的连接模式,中断所述非法终端对所述异常终端的劫持通道;
若所述劫持通道被成功中断,则解除所述异常终端当前的隔离状态;否则,将所述异常终端直接从所述局域网删除。
本发明还提供用于局域网的网络安全控制系统,包括:
网关分析模块,用于基于局域网的实时数据传输状态,得到所述局域网的网关工作特征;
网关标识模块,用于基于所述网关工作特征,生成空闲网关集合,并对所述空闲网关集合进行标识;
用户终端连接模块,用于基于用户终端向所述局域网发起的接入请求,从所述空闲网关集合选择与所述用户终端直接连接的网关;基于与所述用户终端直接连接的网关,确定所述用户终端在所述局域网的数据传输链路;
数据抽样模块,用于对所述数据传输链路进行数据抽样采集,得到抽样数据包;
异常终端识别模块,用于对所述抽样数据包进行分析,确定所述数据传输链路存在数据安全状况的节点;对所述节点在所述局域网的所有关联终端进行识别,确定其中的异常终端,并对所述异常终端进行隔离处理;
异常终端处理模块,用于对处于隔离状态的异常终端进行异常排查与修复处理,并基于所述异常排查与修复处理的结果,调整所述异常终端在所述局域网的工作状态。
进一步,网关分析模块用于基于局域网的实时数据传输状态,得到所述局域网的网关工作特征,包括:
基于局域网内部所有网关各自的实时上行数据传输速度变化信息和实时下行数据传输速度变化信息,得到每个网关完成自身数据传输队列中所有数据传输任务所需时间,以此作为所述网关工作特征;
网关标识模块用于基于所述网关工作特征,生成空闲网关集合,并对所述空闲网关集合进行标识,包括:
将所述所需时间与预设时间阈值进行对比,判断所述网关是否属于空闲网关;基于所有空闲网关在所述局域网的网关地址,生成相应的空闲网关集合;并基于所述空闲网关集合中每个空闲网关的数据传输带宽,对所有空闲网关进行排序标识,得到空闲网关使用队列。
进一步,用户终端连接模块用于基于用户终端向所述局域网发起的接入请求,从所述空闲网关集合选择与所述用户终端直接连接的网关;基于与所述用户终端直接连接的网关,确定所述用户终端在所述局域网的数据传输链路,包括:
从用户终端向所述局域网发起的接入请求中提取终端身份信息,将所述终端身份信息与预设身份信息名单进行对比,若所述终端身份信息存在于预设身份信息名单,则确定用户终端具备对所述局域网的接入权限;
基于具备接入权限的用户终端的历史数据交互记录,从所述空闲网关集合选择具有与所述用户终端的数据交互需求相匹配的空闲网关;
基于所述具有与所述用户终端的数据交互需求相匹配的空闲网关的网关地址和与所述用户终端进行数据交互的目标终端在所述局域网的位置地址,确定所述用户终端与所述目标终端在所述局域网的数据传输链路;
数据抽样模块用于对所述数据传输链路进行数据抽样采集,得到抽样数据包,包括:
对所述数据传输链路的每个数据中转节点进行数据抽样采集,得到与每个数据中转节点对应的抽样数据包。
进一步,异常终端识别模块用于对所述抽样数据包进行分析,确定所述数据传输链路存在数据安全状况的节点;对所述节点在所述局域网的所有关联终端进行识别,确定其中的异常终端,并对所述异常终端进行隔离处理,包括:
对所述抽样数据包进行数据流内容分析,判断所述抽样数据包是否存在异常数据代码;若存在,则确定所述数据传输链路对应的数据中转节点存在数据安全状况;
对存在数据安全状况的数据中转节点在所述局域网的所有关联终端进行识别,得到每个关联终端的历史工作记录;对所述历史工作记录进行分析,判断所述关联终端是否发生被劫持事件,若是,则确定所述关联终端为异常终端,并对所述关联终端进行隔离处理。
进一步,异常终端处理模块用于对处于隔离状态的异常终端进行异常排查与修复处理,并基于所述异常排查与修复处理的结果,调整所述异常终端在所述局域网的工作状态,包括:
对处于隔离状态的异常终端进行异常排查处理,确定劫持所述异常终端的非法终端;再基于所述非法终端与所述局域网的连接模式,中断所述非法终端对所述异常终端的劫持通道;
若所述劫持通道被成功中断,则解除所述异常终端当前的隔离状态;否则,将所述异常终端直接从所述局域网删除。
相比于现有技术,本发明的用于局域网的网络安全控制方法和系统基于局域网的实时数据传输状态,得到网关工作特征,以此确定空闲网关集合并对其进行标识,为终端接入局域网提供快速可靠的网关选择;当用户终端接入网关后,对用户终端在局域网的数据传输链路进行数据抽样采集,并分析抽样数据包,确定存在数据安全状况的节点,再对节点所有关联终端进行识别,确定异常终端并对其进行隔离处理,以节点为基准快速准确对局域网进行全面的终端排查筛选,及时隔离异常终端避免其他终端受到影响,有效遏制局域网内部数据安全问题的扩散,再对隔离的异常终端进行异常排查与修复,以此调整异常终端在局域网的工作状态,在不危及局域网整体数据安全的情况下最大限度恢复局域网整体正常工作,并提高局域网的数据交互稳定性与可靠性。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明提供的用于局域网的网络安全控制方法的流程示意图。
图2为本发明提供的用于局域网的网络安全控制系统的结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
参阅图1,为本发明提供的用于局域网的网络安全控制方法的流程示意图。该用于局域网的网络安全控制方法包括如下步骤:
步骤S1,基于局域网的实时数据传输状态,得到局域网的网关工作特征;基于网关工作特征,生成空闲网关集合,并对空闲网关集合进行标识;
步骤S2,基于用户终端向局域网发起的接入请求,从空闲网关集合选择与用户终端直接连接的网关;基于与用户终端直接连接的网关,确定用户终端在局域网的数据传输链路,并对数据传输链路进行数据抽样采集,得到抽样数据包;
步骤S3,对抽样数据包进行分析,确定数据传输链路存在数据安全状况的节点;对节点在局域网的所有关联终端进行识别,确定其中的异常终端,并对异常终端进行隔离处理;
步骤S4,对处于隔离状态的异常终端进行异常排查与修复处理,并基于异常排查与修复处理的结果,调整异常终端在局域网的工作状态。
上述技术方案的有益效果为:该用于局域网的网络安全控制方法基于局域网的实时数据传输状态,得到网关工作特征,以此确定空闲网关集合并对其进行标识,为终端接入局域网提供快速可靠的网关选择;当用户终端接入网关后,对用户终端在局域网的数据传输链路进行数据抽样采集,并分析抽样数据包,确定存在数据安全状况的节点,再对节点所有关联终端进行识别,确定异常终端并对其进行隔离处理,以节点为基准快速准确对局域网进行全面的终端排查筛选,及时隔离异常终端避免其他终端受到影响,有效遏制局域网内部数据安全问题的扩散,再对隔离的异常终端进行异常排查与修复,以此调整异常终端在局域网的工作状态,在不危及局域网整体数据安全的情况下最大限度恢复局域网整体正常工作,并提高局域网的数据交互稳定性与可靠性。
优选地,在步骤S1中,基于局域网的实时数据传输状态,得到局域网的网关工作特征;基于网关工作特征,生成空闲网关集合,并对空闲网关集合进行标识,包括:
基于局域网内部所有网关各自的实时上行数据传输速度变化信息和实时下行数据传输速度变化信息,得到每个网关完成自身数据传输队列中所有数据传输任务所需时间,以此作为网关工作特征;
将所需时间与预设时间阈值进行对比,判断网关是否属于空闲网关;基于所有空闲网关在局域网的网关地址,生成相应的空闲网关集合;并基于空闲网关集合中每个空闲网关的数据传输带宽,对所有空闲网关进行排序标识,得到空闲网关使用队列。
上述技术方案的有益效果为:局域网内部设置有一定数量的网关,每个网关独立工作,不同网关之间相互连接,从而在局域网内部形成不同的数据交互传输链路,接入到网关的终端通过相应的数据交互传输链路与其他终端或者局域网的服务器进行数据交互。当网关接入的终端数量越多,理论上其对应需要进行数据传输的任务数量也较多,并且不同网关的数据传输带宽大小也相应不同,使得网关在实际数据交互传输过程中其上行数据传输速度和下行数据传输速度会发生改变。基于每个网关的实时上行数据传输速度变化信息和实时下行数据传输速度变化信息,得到每个网关完成自身数据传输队列中所有数据传输任务所需时间,以此作为判断网关是否处于数据交互传输繁忙状态,从而对网关的数据交互传输能力高低进行标定。再将每个网关完成自身数据传输队列中所有数据传输任务所需时间与预设时间阈值进行对比,若所需时间小于或等于预设时间阈值,则判断网关属于空闲网关,其能够额外接入其他终端以进行其他数据交互传输任务。以所有空闲网关在局域网的网关地址为基准,生成相应的空闲网关集合,从而对所有空闲网关在局域网进行定位,并基于空闲网关集合中每个空闲网关的数据传输带宽由大到小的顺序,对所有空闲网关进行排序标识,得到空闲网关使用队列,在空闲网关使用队列中位置越靠前的空闲网关,其对用户终端具有越优先的连接级别。
优选地,在步骤S2中,基于用户终端向局域网发起的接入请求,从空闲网关集合选择与用户终端直接连接的网关;基于与用户终端直接连接的网关,确定用户终端在局域网的数据传输链路,并对数据传输链路进行数据抽样采集,得到抽样数据包,包括:
从用户终端向局域网发起的接入请求中提取终端身份信息,将终端身份信息与预设身份信息名单进行对比,若终端身份信息存在于预设身份信息名单,则确定用户终端具备对局域网的接入权限;
基于具备接入权限的用户终端的历史数据交互记录,从空闲网关集合选择具有与用户终端的数据交互需求相匹配的空闲网关;
基于具有与用户终端的数据交互需求相匹配的空闲网关的网关地址和与用户终端进行数据交互的目标终端在局域网的位置地址,确定用户终端与目标终端在局域网的数据传输链路;对数据传输链路的每个数据中转节点进行数据抽样采集,得到与每个数据中转节点对应的抽样数据包。
上述技术方案的有益效果为:对用户终端向局域网发起的接入请求进行终端身份信息的提取与对比,判断用户终端是否具备对局域网的接入权限,能够确保局域网的终端接入安全性。基于具备接入权限的用户终端的历史数据交互记录,估计用户终端在进行数据交互传输所需的平均数据传输带宽,再基于所需的平均数据传输带宽,从空闲网关集合选择数据传输带宽相匹配的空闲网关。基于选择的空闲网关的网关地址和与用户终端进行数据交互的目标终端在局域网的位置地址,确定用户终端与目标终端在局域网的数据传输链路,能够实现用户终端与目标终端之间在局域网的最短数据传输路径,确保两者的数据交互传输效率。再以数据传输链路包含的每个数据中转节点为基准,对每个数据中转节点进行数据抽样采集,得到与每个数据中转节点对应的抽样数据包,从而为判断每个数据中转节点是否存在数据中转问题提供有效的数据样本。
优选地,在步骤S3中,对抽样数据包进行分析,确定数据传输链路存在数据安全状况的节点;对节点在局域网的所有关联终端进行识别,确定其中的异常终端,并对异常终端进行隔离处理,包括:
对抽样数据包进行数据流内容分析,判断抽样数据包是否存在异常数据代码;若存在,则确定数据传输链路对应的数据中转节点存在数据安全状况;
对存在数据安全状况的数据中转节点在局域网的所有关联终端进行识别,得到每个关联终端的历史工作记录;对历史工作记录进行分析,判断关联终端是否发生被劫持事件,若是,则确定关联终端为异常终端,并对关联终端进行隔离处理。
上述技术方案的有益效果为:对抽样数据包进行数据流内容分析,判断样数据包是否存在异常数据代码,若存在,表明对应的数据中转节点在数据中转过程中对数据进行篡改,即发生数据安全事件。此时,对相应数据中转节点在局域网的所有关联终端进行识别,得到每个关联终端的历史工作记录,便于对关联终端是否被非法劫持进行精确判断。当确定关联终端为异常终端,将异常终端在局域网与其他终端的连接链路进行中断,实现对异常终端的隔离处理,避免异常终端影响其他终端的数据安全。
优选地,在步骤S4中,对处于隔离状态的异常终端进行异常排查与修复处理,并基于异常排查与修复处理的结果,调整异常终端在局域网的工作状态,包括:
对处于隔离状态的异常终端进行异常排查处理,确定劫持异常终端的非法终端;再基于非法终端与局域网的连接模式,中断非法终端对异常终端的劫持通道;
若劫持通道被成功中断,则解除异常终端当前的隔离状态;否则,将异常终端直接从局域网删除。
上述技术方案的有益效果为:对处于隔离中断的异常终端进行异常排查处理,确定劫持异常终端的非法终端;再基于非法终端与局域网的连接模式,中断非法终端对异常终端的劫持通道,这样能够对局域网中引起数据安全问题的终端源头进行拦截。当劫持通道被成功中断,则解除异常终端当前的隔离状态;否则,将异常终端直接从局域网删除,从而确保局域网的数据安全,避免局域网内部发生数据安全问题蔓延的情况。
参阅图2,为本发明提供的用于局域网的网络安全控制系统的结构示意图。该用于局域网的网络安全控制系统包括:
网关分析模块,用于基于局域网的实时数据传输状态,得到局域网的网关工作特征;
网关标识模块,用于基于网关工作特征,生成空闲网关集合,并对空闲网关集合进行标识;
用户终端连接模块,用于基于用户终端向局域网发起的接入请求,从空闲网关集合选择与用户终端直接连接的网关;基于与用户终端直接连接的网关,确定用户终端在局域网的数据传输链路;
数据抽样模块,用于对数据传输链路进行数据抽样采集,得到抽样数据包;
异常终端识别模块,用于对抽样数据包进行分析,确定数据传输链路存在数据安全状况的节点;对节点在局域网的所有关联终端进行识别,确定其中的异常终端,并对异常终端进行隔离处理;
异常终端处理模块,用于对处于隔离状态的异常终端进行异常排查与修复处理,并基于异常排查与修复处理的结果,调整异常终端在局域网的工作状态。
上述技术方案的有益效果为:该用于局域网的网络安全控制系统基于局域网的实时数据传输状态,得到网关工作特征,以此确定空闲网关集合并对其进行标识,为终端接入局域网提供快速可靠的网关选择;当用户终端接入网关后,对用户终端在局域网的数据传输链路进行数据抽样采集,并分析抽样数据包,确定存在数据安全状况的节点,再对节点所有关联终端进行识别,确定异常终端并对其进行隔离处理,以节点为基准快速准确对局域网进行全面的终端排查筛选,及时隔离异常终端避免其他终端受到影响,有效遏制局域网内部数据安全问题的扩散,再对隔离的异常终端进行异常排查与修复,以此调整异常终端在局域网的工作状态,在不危及局域网整体数据安全的情况下最大限度恢复局域网整体正常工作,并提高局域网的数据交互稳定性与可靠性。
优选地,网关分析模块用于基于局域网的实时数据传输状态,得到局域网的网关工作特征,包括:
基于局域网内部所有网关各自的实时上行数据传输速度变化信息和实时下行数据传输速度变化信息,得到每个网关完成自身数据传输队列中所有数据传输任务所需时间,以此作为网关工作特征;
网关标识模块用于基于网关工作特征,生成空闲网关集合,并对空闲网关集合进行标识,包括:
将所需时间与预设时间阈值进行对比,判断网关是否属于空闲网关;基于所有空闲网关在局域网的网关地址,生成相应的空闲网关集合;并基于空闲网关集合中每个空闲网关的数据传输带宽,对所有空闲网关进行排序标识,得到空闲网关使用队列。
上述技术方案的有益效果为:局域网内部设置有一定数量的网关,每个网关独立工作,不同网关之间相互连接,从而在局域网内部形成不同的数据交互传输链路,接入到网关的终端通过相应的数据交互传输链路与其他终端或者局域网的服务器进行数据交互。当网关接入的终端数量越多,理论上其对应需要进行数据传输的任务数量也较多,并且不同网关的数据传输带宽大小也相应不同,使得网关在实际数据交互传输过程中其上行数据传输速度和下行数据传输速度会发生改变。基于每个网关的实时上行数据传输速度变化信息和实时下行数据传输速度变化信息,得到每个网关完成自身数据传输队列中所有数据传输任务所需时间,以此作为判断网关是否处于数据交互传输繁忙状态,从而对网关的数据交互传输能力高低进行标定。再将每个网关完成自身数据传输队列中所有数据传输任务所需时间与预设时间阈值进行对比,若所需时间小于或等于预设时间阈值,则判断网关属于空闲网关,其能够额外接入其他终端以进行其他数据交互传输任务。以所有空闲网关在局域网的网关地址为基准,生成相应的空闲网关集合,从而对所有空闲网关在局域网进行定位,并基于空闲网关集合中每个空闲网关的数据传输带宽由大到小的顺序,对所有空闲网关进行排序标识,得到空闲网关使用队列,在空闲网关使用队列中位置越靠前的空闲网关,其对用户终端具有越优先的连接级别。
优选地,用户终端连接模块用于基于用户终端向局域网发起的接入请求,从空闲网关集合选择与用户终端直接连接的网关;基于与用户终端直接连接的网关,确定用户终端在局域网的数据传输链路,包括:
从用户终端向局域网发起的接入请求中提取终端身份信息,将终端身份信息与预设身份信息名单进行对比,若终端身份信息存在于预设身份信息名单,则确定用户终端具备对局域网的接入权限;
基于具备接入权限的用户终端的历史数据交互记录,从空闲网关集合选择具有与用户终端的数据交互需求相匹配的空闲网关;
基于具有与用户终端的数据交互需求相匹配的空闲网关的网关地址和与用户终端进行数据交互的目标终端在局域网的位置地址,确定用户终端与目标终端在局域网的数据传输链路;
数据抽样模块用于对数据传输链路进行数据抽样采集,得到抽样数据包,包括:
对数据传输链路的每个数据中转节点进行数据抽样采集,得到与每个数据中转节点对应的抽样数据包。
上述技术方案的有益效果为:对用户终端向局域网发起的接入请求进行终端身份信息的提取与对比,判断用户终端是否具备对局域网的接入权限,能够确保局域网的终端接入安全性。基于具备接入权限的用户终端的历史数据交互记录,估计用户终端在进行数据交互传输所需的平均数据传输带宽,再基于所需的平均数据传输带宽,从空闲网关集合选择数据传输带宽相匹配的空闲网关。基于选择的空闲网关的网关地址和与用户终端进行数据交互的目标终端在局域网的位置地址,确定用户终端与目标终端在局域网的数据传输链路,能够实现用户终端与目标终端之间在局域网的最短数据传输路径,确保两者的数据交互传输效率。再以数据传输链路包含的每个数据中转节点为基准,对每个数据中转节点进行数据抽样采集,得到与每个数据中转节点对应的抽样数据包,从而为判断每个数据中转节点是否存在数据中转问题提供有效的数据样本。
优选地,异常终端识别模块用于对抽样数据包进行分析,确定数据传输链路存在数据安全状况的节点;对节点在局域网的所有关联终端进行识别,确定其中的异常终端,并对异常终端进行隔离处理,包括:
对抽样数据包进行数据流内容分析,判断抽样数据包是否存在异常数据代码;若存在,则确定数据传输链路对应的数据中转节点存在数据安全状况;
对存在数据安全状况的数据中转节点在局域网的所有关联终端进行识别,得到每个关联终端的历史工作记录;对历史工作记录进行分析,判断关联终端是否发生被劫持事件,若是,则确定关联终端为异常终端,并对关联终端进行隔离处理。
上述技术方案的有益效果为:对抽样数据包进行数据流内容分析,判断样数据包是否存在异常数据代码,若存在,表明对应的数据中转节点在数据中转过程中对数据进行篡改,即发生数据安全事件。此时,对相应数据中转节点在局域网的所有关联终端进行识别,得到每个关联终端的历史工作记录,便于对关联终端是否被非法劫持进行精确判断。当确定关联终端为异常终端,将异常终端在局域网与其他终端的连接链路进行中断,实现对异常终端的隔离处理,避免异常终端影响其他终端的数据安全。
优选地,异常终端处理模块用于对处于隔离状态的异常终端进行异常排查与修复处理,并基于异常排查与修复处理的结果,调整异常终端在局域网的工作状态,包括:
对处于隔离状态的异常终端进行异常排查处理,确定劫持异常终端的非法终端;再基于非法终端与局域网的连接模式,中断非法终端对异常终端的劫持通道;
若劫持通道被成功中断,则解除异常终端当前的隔离状态;否则,将异常终端直接从局域网删除。
上述技术方案的有益效果为:对处于隔离中断的异常终端进行异常排查处理,确定劫持异常终端的非法终端;再基于非法终端与局域网的连接模式,中断非法终端对异常终端的劫持通道,这样能够对局域网中引起数据安全问题的终端源头进行拦截。当劫持通道被成功中断,则解除异常终端当前的隔离状态;否则,将异常终端直接从局域网删除,从而确保局域网的数据安全,避免局域网内部发生数据安全问题蔓延的情况。
从上述实施例的内容可知,该用于局域网的网络安全控制方法和系统基于局域网的实时数据传输状态,得到网关工作特征,以此确定空闲网关集合并对其进行标识,为终端接入局域网提供快速可靠的网关选择;当用户终端接入网关后,对用户终端在局域网的数据传输链路进行数据抽样采集,并分析抽样数据包,确定存在数据安全状况的节点,再对节点所有关联终端进行识别,确定异常终端并对其进行隔离处理,以节点为基准快速准确对局域网进行全面的终端排查筛选,及时隔离异常终端避免其他终端受到影响,有效遏制局域网内部数据安全问题的扩散,再对隔离的异常终端进行异常排查与修复,以此调整异常终端在局域网的工作状态,在不危及局域网整体数据安全的情况下最大限度恢复局域网整体正常工作,并提高局域网的数据交互稳定性与可靠性。

Claims (4)

1.用于局域网的网络安全控制方法,其特征在于,包括如下步骤:
步骤S1,基于局域网的实时数据传输状态,得到所述局域网的网关工作特征;基于所述网关工作特征,生成空闲网关集合,并对所述空闲网关集合进行标识;
步骤S2,基于用户终端向所述局域网发起的接入请求,从所述空闲网关集合选择与所述用户终端直接连接的网关;基于所述选择的网关,确定所述用户终端在所述局域网的数据传输链路,并对所述数据传输链路进行数据抽样采集,得到抽样数据包;
具体包括:
从用户终端向所述局域网发起的接入请求中提取终端身份信息,将所述终端身份信息与预设身份信息名单进行对比,若所述终端身份信息存在于预设身份信息名单,则确定用户终端具备对所述局域网的接入权限;
基于具备接入权限的用户终端的历史数据交互记录,从所述空闲网关集合选择具有与所述用户终端的数据交互需求相匹配的空闲网关;
基于所述选择的空闲网关的网关地址和与所述用户终端进行数据交互的目标终端在所述局域网的位置地址,确定所述用户终端与所述目标终端在所述局域网的数据传输链路;对所述数据传输链路的每个数据中转节点进行数据抽样采集,得到与每个数据中转节点对应的抽样数据包;
步骤S3,对所述抽样数据包进行分析,确定所述数据传输链路存在数据安全状况的节点;对所述节点在所述局域网的所有关联终端进行识别,确定其中的异常终端,并对所述异常终端进行隔离处理;
具体包括:
对所述抽样数据包进行数据流内容分析,判断所述抽样数据包是否存在异常数据代码;若存在,则确定所述数据传输链路对应的数据中转节点存在数据安全状况;
对存在数据安全状况的数据中转节点在所述局域网的所有关联终端进行识别,得到每个关联终端的历史工作记录;对所述历史工作记录进行分析,判断所述关联终端是否发生被劫持事件,若是,则确定所述关联终端为异常终端,并对所述关联终端进行隔离处理
步骤S4,对处于隔离状态的异常终端进行异常排查与修复处理,并基于所述异常排查与修复处理的结果,调整所述异常终端在所述局域网的工作状态;
具体包括:
对处于隔离状态的异常终端进行异常排查处理,确定劫持所述异常终端的非法终端;再基于所述非法终端与所述局域网的连接模式,中断所述非法终端对所述异常终端的劫持通道;
若所述劫持通道被成功中断,则解除所述异常终端当前的隔离状态;否则,将所述异常终端直接从所述局域网删除。
2.根据权利要求1所述的用于局域网的网络安全控制方法,其特征在于:
在所述步骤S1中,基于局域网的实时数据传输状态,得到所述局域网的网关工作特征;基于所述网关工作特征,生成空闲网关集合,并对所述空闲网关集合进行标识,包括:
基于局域网内部所有网关各自的实时上行数据传输速度变化信息和实时下行数据传输速度变化信息,得到每个网关完成自身数据传输队列中所有数据传输任务所需时间,以此作为所述网关工作特征;
将所述所需时间与预设时间阈值进行对比,判断所述网关是否属于空闲网关;基于所有空闲网关在所述局域网的网关地址,生成相应的空闲网关集合;并基于所述空闲网关集合中每个空闲网关的数据传输带宽,对所有空闲网关进行排序标识,得到空闲网关使用队列。
3.用于局域网的网络安全控制系统,其特征在于,包括:
网关分析模块,用于基于局域网的实时数据传输状态,得到所述局域网的网关工作特征;
网关标识模块,用于基于所述网关工作特征,生成空闲网关集合,并对所述空闲网关集合进行标识;
用户终端连接模块,用于基于用户终端向所述局域网发起的接入请求,从所述空闲网关集合选择与所述用户终端直接连接的网关;基于所述选择的网关,确定所述用户终端在所述局域网的数据传输链路;
具体包括:
从用户终端向所述局域网发起的接入请求中提取终端身份信息,将所述终端身份信息与预设身份信息名单进行对比,若所述终端身份信息存在于预设身份信息名单,则确定用户终端具备对所述局域网的接入权限;
基于具备接入权限的用户终端的历史数据交互记录,从所述空闲网关集合选择具有与所述用户终端的数据交互需求相匹配的空闲网关;
基于所述选择的空闲网关的网关地址和与所述用户终端进行数据交互的目标终端在所述局域网的位置地址,确定所述用户终端与所述目标终端在所述局域网的数据传输链路;
数据抽样模块,用于对所述数据传输链路进行数据抽样采集,得到抽样数据包;
具体包括:
对所述数据传输链路的每个数据中转节点进行数据抽样采集,得到与每个数据中转节点对应的抽样数据包;异常终端识别模块,用于对所述抽样数据包进行分析,确定所述数据传输链路存在数据安全状况的节点;对所述节点在所述局域网的所有关联终端进行识别,确定其中的异常终端,并对所述异常终端进行隔离处理;
具体包括:
对所述抽样数据包进行数据流内容分析,判断所述抽样数据包是否存在异常数据代码;若存在,则确定所述数据传输链路对应的数据中转节点存在数据安全状况;
对存在数据安全状况的数据中转节点在所述局域网的所有关联终端进行识别,得到每个关联终端的历史工作记录;对所述历史工作记录进行分析,判断所述关联终端是否发生被劫持事件,若是,则确定所述关联终端为异常终端,并对所述关联终端进行隔离处理;
异常终端处理模块,用于对处于隔离状态的异常终端进行异常排查与修复处理,并基于所述异常排查与修复处理的结果,调整所述异常终端在所述局域网的工作状态;
具体包括:
对处于隔离状态的异常终端进行异常排查处理,确定劫持所述异常终端的非法终端;再基于所述非法终端与所述局域网的连接模式,中断所述非法终端对所述异常终端的劫持通道;
若所述劫持通道被成功中断,则解除所述异常终端当前的隔离状态;否则,将所述异常终端直接从所述局域网删除。
4.根据权利要求3所述的用于局域网的网络安全控制系统,其特征在于:
网关分析模块用于基于局域网的实时数据传输状态,得到所述局域网的网关工作特征,包括:
基于局域网内部所有网关各自的实时上行数据传输速度变化信息和实时下行数据传输速度变化信息,得到每个网关完成自身数据传输队列中所有数据传输任务所需时间,以此作为所述网关工作特征;
网关标识模块用于基于所述网关工作特征,生成空闲网关集合,并对所述空闲网关集合进行标识,包括:
将所述所需时间与预设时间阈值进行对比,判断所述网关是否属于空闲网关;基于所有空闲网关在所述局域网的网关地址,生成相应的空闲网关集合;并基于所述空闲网关集合中每个空闲网关的数据传输带宽,对所有空闲网关进行排序标识,得到空闲网关使用队列。
CN202310796545.7A 2023-07-03 2023-07-03 用于局域网的网络安全控制方法和系统 Active CN116527403B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202310796545.7A CN116527403B (zh) 2023-07-03 2023-07-03 用于局域网的网络安全控制方法和系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202310796545.7A CN116527403B (zh) 2023-07-03 2023-07-03 用于局域网的网络安全控制方法和系统

Publications (2)

Publication Number Publication Date
CN116527403A CN116527403A (zh) 2023-08-01
CN116527403B true CN116527403B (zh) 2023-09-08

Family

ID=87390609

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202310796545.7A Active CN116527403B (zh) 2023-07-03 2023-07-03 用于局域网的网络安全控制方法和系统

Country Status (1)

Country Link
CN (1) CN116527403B (zh)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN117040925B (zh) * 2023-10-08 2023-12-15 国网四川省电力公司信息通信公司 多工作终端的数据安全交互控制方法和系统
CN117061239B (zh) * 2023-10-10 2023-12-22 国网四川省电力公司信息通信公司 物联终端运行数据安全上传与存储方法和系统
CN117272392B (zh) * 2023-11-21 2024-03-15 国网四川省电力公司信息通信公司 用于终端的数据安全保护与备份控制方法和系统

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105282157A (zh) * 2015-10-22 2016-01-27 中国人民解放军装备学院 一种安全通信控制方法
CN110958262A (zh) * 2019-12-15 2020-04-03 国网山东省电力公司电力科学研究院 电力行业泛在物联网安全防护网关系统、方法及部署架构
CN111371830A (zh) * 2019-11-26 2020-07-03 航天科工网络信息发展有限公司 一种万网融合场景下基于数据驱动的智能协同云架构
AU2021100084A4 (en) * 2021-01-07 2021-04-01 T. Aditya Sai Srinivas IOT-Enable Wireless Sensor Networks for controlled And Safe Routing
CN114124583A (zh) * 2022-01-27 2022-03-01 杭州海康威视数字技术股份有限公司 基于零信任的终端控制方法、系统及装置
CN115550065A (zh) * 2022-11-25 2022-12-30 国网四川省电力公司信息通信公司 基于大规模多数据源的一体化网络安全分析系统及方法
CN116132096A (zh) * 2022-11-24 2023-05-16 国网四川省电力公司信息通信公司 基于大规模容器安全数据检测与防护的分析系统及方法

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101378358B (zh) * 2008-09-19 2010-12-15 成都市华为赛门铁克科技有限公司 一种实现安全接入控制的方法及系统、服务器

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105282157A (zh) * 2015-10-22 2016-01-27 中国人民解放军装备学院 一种安全通信控制方法
CN111371830A (zh) * 2019-11-26 2020-07-03 航天科工网络信息发展有限公司 一种万网融合场景下基于数据驱动的智能协同云架构
CN110958262A (zh) * 2019-12-15 2020-04-03 国网山东省电力公司电力科学研究院 电力行业泛在物联网安全防护网关系统、方法及部署架构
AU2021100084A4 (en) * 2021-01-07 2021-04-01 T. Aditya Sai Srinivas IOT-Enable Wireless Sensor Networks for controlled And Safe Routing
CN114124583A (zh) * 2022-01-27 2022-03-01 杭州海康威视数字技术股份有限公司 基于零信任的终端控制方法、系统及装置
CN116132096A (zh) * 2022-11-24 2023-05-16 国网四川省电力公司信息通信公司 基于大规模容器安全数据检测与防护的分析系统及方法
CN115550065A (zh) * 2022-11-25 2022-12-30 国网四川省电力公司信息通信公司 基于大规模多数据源的一体化网络安全分析系统及方法

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
电力信息传输网络故障分析与控制研究;韩翰;《安全》;全文 *

Also Published As

Publication number Publication date
CN116527403A (zh) 2023-08-01

Similar Documents

Publication Publication Date Title
CN116527403B (zh) 用于局域网的网络安全控制方法和系统
KR101860395B1 (ko) 비표준 프로토콜에 대한 화이트리스트 기반의 산업제어시스템 이상행위 탐지 방법 및 탐지 장치
KR100561628B1 (ko) 통계적 분석을 이용한 네트워크 수준에서의 이상 트래픽감지 방법
US9794272B2 (en) Method and apparatus for monitoring malicious traffic in communication networks
CN106462702B (zh) 用于在分布式计算机基础设施中获取并且分析电子取证数据的方法和系统
CN107770132B (zh) 一种对算法生成域名进行检测的方法及装置
JP3957712B2 (ja) 通信監視システム
US20060198313A1 (en) Method and device for detecting and blocking unauthorized access
US20100220619A1 (en) Abnormal traffic detection apparatus, abnormal traffic detection method and abnormal traffic detection program
CN109361673B (zh) 基于流量数据样本统计和平衡信息熵估计的网络异常检测方法
CN111431864A (zh) 车联网监控系统、方法、装置及可读存储介质
CN101091354A (zh) 基于二进制分类的分析及监视
US11546356B2 (en) Threat information extraction apparatus and threat information extraction system
CN105306246B (zh) 一种自动应答网络类投诉的方法、装置和服务器
CN116800458A (zh) 基于数据流采样分析的物联网设备异常监测方法和系统
JP2018148350A (ja) 閾値決定装置、閾値決定方法及びプログラム
CN110798427A (zh) 一种网络安全防御中的异常检测方法、装置及设备
CN113438110B (zh) 一种集群性能的评价方法、装置、设备及存储介质
CN111988170B (zh) 一种终端故障定位方法及装置
US7305005B1 (en) Correlation system and method for monitoring high-speed networks
CN116132096A (zh) 基于大规模容器安全数据检测与防护的分析系统及方法
CN109218050B (zh) 一种域名系统故障处理方法和系统
US11895146B2 (en) Infection-spreading attack detection system and method, and program
CN115550065A (zh) 基于大规模多数据源的一体化网络安全分析系统及方法
US20020198988A1 (en) Communication monitoring system in which monitoring server is connected with network

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant