CN116633573A - 操作对象的运行方法及装置、网关设备、服务端 - Google Patents

操作对象的运行方法及装置、网关设备、服务端 Download PDF

Info

Publication number
CN116633573A
CN116633573A CN202211098791.7A CN202211098791A CN116633573A CN 116633573 A CN116633573 A CN 116633573A CN 202211098791 A CN202211098791 A CN 202211098791A CN 116633573 A CN116633573 A CN 116633573A
Authority
CN
China
Prior art keywords
operation object
safety protection
data
flow data
working mode
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202211098791.7A
Other languages
English (en)
Inventor
王宇
段定龙
周阳
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hangzhou Serval Technology Co ltd
Original Assignee
Hangzhou Serval Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hangzhou Serval Technology Co ltd filed Critical Hangzhou Serval Technology Co ltd
Priority to CN202211098791.7A priority Critical patent/CN116633573A/zh
Publication of CN116633573A publication Critical patent/CN116633573A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/66Arrangements for connecting between networks having differing types of switching systems, e.g. gateways
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

本发明公开了一种操作对象的运行方法及装置、网关设备、服务端,涉及网络安全技术领域,主要目的在于解决现有无法准确实现安全防护操作,从而影响了安全产品的安全防护有效性的问题。包括:网关设备获取网络设备的流量数据,并将所述流量数据发送至服务端,以使所述服务端基于所述流量数据中解析的特定行为确定操作对象,所述操作对象用于表征预期执行安全防护操作的执行内容,所述特定行为包括攻击行为;接收所述服务端对所述操作对象的处理指令;运行与所述操作对象匹配的目标安全防护工作模式。

Description

操作对象的运行方法及装置、网关设备、服务端
技术领域
本发明涉及一种网络安全技术领域,特别是涉及一种操作对象的运行方法及装置、网关设备、服务端。
背景技术
随着互联网技术的快速发展,对网关的安全防护技术也在不断演进,尤其是以基于网络的数据损失防护解决方案、API网关为代表的行为管控类方法已经成为关注焦点。其中,针对不断出现的新概念网关安全产品,如基于网络的零信任(Network-based ZeroTrust)、基于网络的数据损失防护(Network-based Data Loss Prevention)等,产品形态的技术边界也在不断融合,从而满足用户的网关安全防护需求。
目前,现有安全产品在应用时,通常基于各个网关中的单一行为数据运行安全产品对应的安全防护操作。然而,各个不同的网关安全产品之间独立执行,缺乏基于流量知识的自适应学习能力,也缺乏联动与协调能力,针对运行安全防护操作所对应的触发事件不统一,无法准确实现安全防护操作,导致安全产品运行的操作效果较差,从而影响了安全产品的安全防护有效性。
发明内容
有鉴于此,本发明提供一种操作对象的运行方法及装置、网关设备、服务端,主要目的在于解决现有无法准确实现安全防护操作,从而影响了安全产品的安全防护有效性的问题。
依据本发明一个方面,提供了一种操作对象的运行方法,包括:
获取网络设备的流量数据,并将所述流量数据发送至服务端,以使所述服务端基于所述流量数据中解析的特定行为确定操作对象,所述操作对象用于表征预期执行安全防护操作的执行内容,所述特定行为包括攻击行为;
接收所述服务端对所述操作对象的处理指令;
运行与所述操作对象匹配的目标安全防护工作模式。
依据本发明一个方面,提供了另一种操作对象的运行方法,包括:
接收网关设备发送的网络设备的流量数据;
当基于所述流量数据解析得到特定行为时,基于所述特定行为确定操作对象,所述操作对象用于表征预期执行安全防护操作的执行内容,所述特定行为包括攻击行为;
向所述网关设备发送携带有所述操作对象的处理指令,以使所述网关设备运行与所述操作对象匹配的目标安全防护工作模式。
依据本发明另一个方面,提供了一种操作对象的运行装置,包括:
获取模块,用于获取网络设备的流量数据,并将所述流量数据发送至服务端,以使所述服务端基于所述流量数据中解析的特定行为确定操作对象,所述操作对象用于表征预期执行安全防护操作的执行内容,所述特定行为包括攻击行为;
接收模块,用于接收所述服务端对所述操作对象的处理指令;
运行模块,用于运行与所述操作对象匹配的目标安全防护工作模式。
依据本发明另一个方面,提供了另一种操作对象的运行装置,包括:
接收模块,用于接收网关设备发送的网络设备的流量数据;
确定模块,用于当基于所述流量数据解析得到特定行为时,基于所述特定行为确定操作对象,所述操作对象用于表征预期执行安全防护操作的执行内容,所述特定行为包括攻击行为;
发送模块,用于向所述网关设备发送携带有所述操作对象的处理指令,以使所述网关设备运行与所述操作对象匹配的目标安全防护工作模式。
根据本发明的一方面,提供了一种存储介质,所述存储介质中存储有至少一可执行指令,所述可执行指令使处理器执行如上述操作对象的运行方法对应的操作。
根据本发明的一方面,提供了一种网关设备,包括:处理器、存储器、通信接口和通信总线,所述处理器、所述存储器和所述通信接口通过所述通信总线完成相互间的通信;
所述存储器用于存放至少一可执行指令,所述可执行指令使所述处理器执行上述操作对象的运行方法对应的操作。
根据本发明的一方面,提供了另一种存储介质,所述存储介质中存储有至少一可执行指令,所述可执行指令使处理器执行如上述操作对象的运行方法对应的操作。
根据本发明的一方面,提供了一种服务端,包括:处理器、存储器、通信接口和通信总线,所述处理器、所述存储器和所述通信接口通过所述通信总线完成相互间的通信;
所述存储器用于存放至少一可执行指令,所述可执行指令使所述处理器执行上述操作对象的运行方法对应的操作。
借由上述技术方案,本发明实施例提供的技术方案至少具有下列优点:
本发明提供了一种操作对象的运行方法及装置、网关设备、服务端,与现有技术相比,本发明实施例通过网关设备获取网络设备的流量数据,并将所述流量数据发送至服务端,以使所述服务端基于所述流量数据中解析的特定行为确定操作对象,所述操作对象用于表征预期执行安全防护操作的执行内容,所述特定行为包括攻击行为;接收所述服务端对所述操作对象的处理指令;运行与所述操作对象匹配的目标安全防护工作模式,实现基于网关设备进行安全产品工作模式的运行,提高对流量数据中存在安全异常事件的防护准确性,突出安全产品运行的操作效果,从而提高安全产品的安全防护有效性。
上述说明仅是本发明技术方案的概述,为了能够更清楚了解本发明的技术手段,而可依照说明书的内容予以实施,并且为了让本发明的上述和其它目的、特征和优点能够更明显易懂,以下特举本发明的具体实施方式。
附图说明
通过阅读下文优选实施方式的详细描述,各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的,而并不认为是对本发明的限制。而且在整个附图中,用相同的参考符号表示相同的部件。在附图中:
图1示出了本发明实施例提供的一种操作对象的运行方法流程图;
图2示出了本发明实施例提供的一种操作对象的切换系统架构图;
图3示出了本发明实施例提供的一种串联、并联部署关系结构示意图;
图4示出了本发明实施例提供的一种串并联混合部署关系结构示意图;
图5示出了本发明实施例提供的另一种操作对象的运行方法流程图;
图6示出了本发明实施例提供的又一种操作对象的运行方法流程图;
图7示出了本发明实施例提供的再一种操作对象的运行方法流程图;
图8示出了本发明实施例提供的一种操作对象的运行装置组成框图;
图9示出了本发明实施例提供的另一种操作对象的运行装置组成框图;
图10示出了本发明实施例提供的一种网关设备的结构示意图;
图11示出了本发明实施例提供的一种服务端的结构示意图。
具体实施方式
下面将参照附图更详细地描述本公开的示例性实施例。虽然附图中显示了本公开的示例性实施例,然而应当理解,可以以各种形式实现本公开而不应被这里阐述的实施例所限制。相反,提供这些实施例是为了能够更透彻地理解本公开,并且能够将本公开的范围完整的传达给本领域的技术人员。
针对现有安全产品在应用时,通常基于各个网关中的单一行为数据运行安全产品对应的安全防护操作。然而,各个不同的网关安全产品之间独立执行,缺乏基于流量知识的自适应学习能力,也缺乏联动与协调能力,针对运行安全防护操作所对应的触发事件不统一,无法准确实现安全防护操作,导致安全产品运行的操作效果较差,从而影响了安全产品的安全防护有效性。本发明实施例提供了一种操作对象的运行方法,如图1所示,该方法包括:
101、获取网络设备的流量数据,并将所述流量数据发送至服务端。
本发明实施例中,为了便于对终端进行安全防护,当前执行主体为网关设备,如图2所示,作为采集流量数据的当前网关设备(流量采集传感器A)连接于网络设备,网络设备包括但不限于网络出口交换设备,此时,作为当前执行端的网关设备采集网络设备向服务端、或处理器传输的流量数据。另外,由于流量数据为进行数据传输的原始数据,流量数据中包含有大量的内网信息、外网信息,可以从流量数据中解析出包含如攻击特征、非法请求、家庭住址、身份证号等信息,因此,当前网关设备获取采集网络设备的流量数据后,将流量数据发送至服务端,以使服务端基于所述流量数据中解析的特定行为确定操作对象。其中,所述特定行为包括攻击行为,操作对象用于表征预期执行安全防护操作的执行内容,此处的内容即包括作为业务插件的各设备安全产品,还包括执行安全防护操作的不同安全防护规则、指令、配置文件、黑白名单等信息。
102、接收所述服务端对所述操作对象的处理指令。
本发明实施例中,当服务器基于流量数据的解析确定执行的操作对象后,生成处理指令发送至当前网关设备,当前网关设备接收对操作对象的处理指令,以进行运行处理,此时,若已运行其他操作对象,即为对操作对象的切换,本发明实施例不做具体限定。具体的,当前网关设备可以预先与作为云端服务器的服务端进行数据通信,通过接收服务端下发的业务插件进行安装、激活、升级、禁用、卸载等执行,从而在服务端发送操作对象的处理指令时,进行接收,以便对操作对象的安全防护工作模式进行运行。具体的,处理指令为服务端在需要网关设备对操作对象进行安全防护工作模式运行时,向当前网关设备进行发送的,即包括人为触发的处理指令,也包括服务端中基于操作对象在安全防护工作模式下进行安全防护操作所产生的运行行为进行确定的,本发明实施例不做具体限定。
需要说明的是,当前执行主体网关设备中预先配置有运行组件,运行组件作为数据基础适配各业务插件的通用组件,包括但不限于升级模块、通信模块、云控指令及数据解析、存储/比对模块、完整性校验与自我保护模块、操作系统事件采集模块、威胁阻断模块等,从而与不同业务插件进行适配完成安全防护操作,本发明实施例不做具体限定。同时,业务插件包括但不限于网络防火墙、数据库防火墙以及Web应用防火墙(NetworkFirewall,Database Firewall and Web Application Firewall)插件、基于网络的数据损失防护(Network-based Data Loss Prevention)插件、基于网络的零信任(Network-basedZero Trust)插件、API网关(API Gateway)插件、合规检测(Compliance Inspection)插件等,各业务插件之间可以协同工作,也可以单独工作,从而形成网关设备的防御。
103、运行与所述操作对象匹配的目标安全防护工作模式。
本发明实施例中,所述安全防护工作模式用于表征运行操作对象的运行方式,包括但不限于安装、激活、升级、禁用、卸载等运行,在运行操作对象的安全防护工作模式前,当前执行主体网关设备会按照操作对象的一个安全防护工作模式进行执行,例如,安全防护工作模式处于激活,则说明操作对象正在运行安全防护操作,基于处理指令,对激活的安全防护工作模式进行运行。其中,安全防护工作模式进行运行时,可以按照预先设定的安全防护工作模式的顺序进行切换运行,也可以基于携带于处理指令中的目标安全防护工作模式进行切换运行,本发明实施例不做具体限定。例如,当接收到操作对象不变时,基于控制指令按照安全防护工作模式的顺序将当前执行主体网关设备中的运行激活切换为运行升级,还可以基于处理指令中携带的卸载模式,将当前执行主体网关设备中的运行激活切换为运行卸载。又如,当接收到的操作对象与当前执行主体网关设备已运行的操作对象不同时,运行为匹配操作对象的安全防护工作模式,如处理指令为“基于网络的数据损失防护(Network-based Data Loss Prevention)”操作对象的运行模式,则将当前“Web应用防火墙(Web Application Firewall)”运行切换为“基于网络的数据损失防护(Network-basedData Loss Prevention)”的安装、激活模式,本发明实施例不做具体限定。另外,本发明实施例中的激活工作模式即可以为业务插件安全防护操作的运行,不做具体限定。
需要说明的是,在进行安全防护工作模式的运行时,需要在当前执行主体网关设备中预先安装操作对象,即各网关设备中预先安装业务插件,并在数据组件中记录有匹配安全防护工作模式的规则集合,其中,规则集合包括但不限于勒索软件判定规则、特洛伊木马判定规则、游戏外挂与盗号脚本判定规则、恶意Office文件判定规则、恶意URL判定规则、数据泄露行为判定规则、终端配置文件规则、黑白名单规则等。此时,可以通过在包含在运行组件的安装包中静态预置的方式实现,也可以通过云端派发、动态安装的方式实现,本发明实施例不做具体限定。
本发明实施例中,业务插件包括但不限于安装于网关设备中的网络防火墙、数据库防火墙以及Web应用防火墙(Network Firewall,Database Firewall and WebApplication Firewall)插件、基于网络的数据损失防护(Network-based Data LossPrevention)插件、基于网络的零信任(Network-based Zero Trust)插件、API网关(APIGateway)插件、合规检测(Compliance Inspection)插件等。基于网络的零信任(Network-based Zero Trust)插件以及软件定义边界(Software Defined Perimeter)插件通过目标操作系统的可信区域等信息动态设定节点的防御边界,即对单一用户及个人终端设备而言,节点的防御边界可以是指用户的角色划分以及用户对于各种内外网资源访问权限确权、授权过程。其中,对于更广泛意义的企业网络拓扑架构,节点的防御边界可以是指网络设备间的可信区域划分、可信区域边界的动态调整以及用户对于域内设备访问的鉴权、授权过程,网络设备包括但不限于个人终端、移动设备、服务器、堡垒机、打印机、硬件防火墙、工控设备等。数据损失防护插件通过目标操作系统的文件、网络流量等行为数据判断数据泄露及信息损失风险。其中,数据泄露的判定方法包括但不限于基于文件格式的检测、基于文件内容的检测、预计传输渠道的检测、基于用户行为的检测等,文件格式主要为办公环境中特定格式的敏感数据,例如,芯片设计文件、源代码文件、3D打印源文件、CAD建模文件、视频原始拷贝等。文件内容主要是指办公环境中特定内容的敏感数据,例如:公文、销售数据、财务数据、客户个人资料等。传输渠道主要为需要重点监控的数据泄露出口,例如,移动存储设备、即时通信类软件、邮箱、网盘、Github等。用户行为主要为需要重点监控的异常动作,例如,在凌晨大量传输数据、在离职前夕大量传输数据等,上述方法可以被归纳为数据泄露的基本检测规则,且信息损失的界定可以由数据的敏感级别辅助确立,本发明实施例不做具体限定。
另外,由于当前执行端为网关设备,在网关设备中配置的业务插件还可以包括网络防火墙插件、数据库防火墙插件以及Web应用防火墙(Network Firewall,DatabaseFirewall and Web Application Firewall)插件、基于网络的数据损失防护(Network-based Data Loss Prevention)插件、基于网络的零信任(Network-based Zero Trust)插件、API网关(API Gateway)插件、合规检测(Compliance Inspection)插件,以便各业务插件可以协同工作、形成防御合力,当然,也可以选择单独安装、激活等,本发明实施例不做具体限定。例如,网络防火墙插件基于网络流量中恶意行为的鉴别或非法请求,即确定流量数据中存在恶意攻击行为或非法请求等行为时,基于安全防护工作模式的运行,对恶意攻击行为或非法请求等行为进行阻断。基于网络的数据损失防护(Network-based Data LossPrevention)插件可以基于目标系统的文件、网络流量等行为,判别并降低数据泄露及信息损失的风险。基于网络的零信任(Network-based Zero Trust)插件可以基于目标系统的用户角色、资源等级、权限定义等信息动态划分可信区域,明确授权关系。API网关(APIGateway)插件可以基于目标系统应用层编程接口的输入参数、调用关系、权限定义等信息明确资源关系,阻断异常或非法请求。合规检测(Compliance Inspection)插件可以基于目标系统的合规标准与基线信息,鉴别违例行为。本发明实施例中可以通过在网关设备端中配置不同安全防护功能的业务插件,以在服务端对流量数据进行解析后,确定业务插件所对应的安全防护工作模式,执行对应的操作对象,实现在网关设备端的安全防护。
在另一个本发明实施例中,为了进一步限定及说明,步骤获取网络设备的流量数据之前,所述方法还包括:
基于与所述网络设备之间的采集部署关系,采集所述网络设备的流量数据,并进行存储。
本发明实施例中,如图3所示,为了满足不同的安全防护需求,当前执行端的网关设备通过不同的采集部署关系采集网络设备的流量数据,并进行存储,以供当前执行端的网关设备发送至服务端进行处理。其中,采集部署关系包括串联部署关系、并联部署关系、以及串并联混合部署关系,串联部署关系为当前执行端的网关设备与服务端、网络设备进行串联部署,即网关设备部署于服务端与网络设备之间,采集流经网络设备的流量数据,并联部署关系为当前执行端的网关设备与网络设备进行并列部署,即网关设备直接部署在网络设备端,直接采集网关设备的流量数据,串并联混合部署关系为通过两个网关设备分别进行串联部署以及并联部署,即结合串联与并联的网关设备进行采集流量数据,本发明实施例不做具体限定。
进一步地,对应的,所述获取网络设备的流量数据包括:确定待处理网络设备,以及与所述网络设备匹配的采集部署关系,并按照所述采集部署关系获取所述网络设备的流量数据。
由于当前执行端的网关设备可以作为串联部署关系的流量数据采集端,也可以作为并联部署关系的流量数据采集端或串并联混合部署关系的流量数据采集端,因此,对于采集的流量数据,首先需要确定待处理的网络设备,如出口交换机,以基于与此出口交换机匹配的采集部署关系,获取出口交换机的流量数据,大大提高了基于流量数据进行安全防护的准确性。
需要说明的是,在进行并联部署关系以及串并联部署关系中,如图4所示,作为并联部署关系的网关设备可以与终端进行数据相连,此时,终端包括但不限于个人终端设备、业务服务器、工控设备等,其中,个人终端设备包括但不限于智能手机、平板电脑、笔记本电脑和台式电脑等。终端中可以预先配置有与网关设备相同的操作对象,以基于操作对象对终端中所运行的执行对象进行安全,执行对象同样可以为作为业务插件的各安全防护产品,还包括执行安全防护操作的不同安全防护规则、指令、配置文件、黑白名单等信息,本发明实施例不做具体限定。业务插件包括但不限于网络防火墙、数据库防火墙以及Web应用防火墙(Network Firewall,Database Firewall and Web Application Firewall)插件、基于网络的数据损失防护(Network-based Data Loss Prevention)插件、基于网络的零信任(Network-based Zero Trust)插件、API网关(API Gateway)插件、合规检测(ComplianceInspection)插件等,各业务插件之间可以协同工作,也可以单独工作,从而形成终端防御。
另外,由于网关设备在传输流量数据时,为了数据安全,会对流量数据进行加密,当前网关设备在获取到流量数据后,针对加密的流量数据进行解密,以实现针对性的协同工作、解密流量。其中,加密、解密方法或具体的加密机制本发明实施例不做具体限定。同时,为了使服务端对流量数据进行处理,还可以将获取的流量数据进行汇总上报,从而便于服务端进行协同处理。
在另一个本发明实施例中,为了进一步限定及说明,步骤基于与所述网络设备之间的采集部署关系之前,所述方法还包括:
通过分别与所述服务端的通信接口以及所述网络设备的通信接口进行连接,建立与所述网络设备之间的串联部署关系;和/或,
通过与所述网络设备的镜像接口进行连接,建立与所述网络设备之间的并联部署关系;和/或,
通过分别与已建立串联部署关系的他端网关设备的通信接口、所述终端的通信接口、所述网络设备的镜像接口进行连接,建立与所述网络设备之间的串并联混合部署关系。
本发明实施例中,为了实现对流量数据的采集,在网关设备端预先部署与网络设备之间的采集部署关系,如图4所述,具体的,针对串联部署关系,当前网关设备通过与服务端的通信接口以及网络设备的通信接口进行数据连接,从而建立当前网关设备与网络设备之间的串联部署关系,采集流经网络设备的流量数据,以便在确定安全防护工作模式后,直接进行流量数据中恶意行为的阻断。针对并联部署关系,当前网关设备通过与网络设备的镜像接口进行数据连接,从而建立当前网关设备与网络设备之间的并联部署关系,镜像采集流经网络设备的流量数据,以便减少对网络设备进行安全防护对设备正常运行干扰的发生。针对串并联混合部署关系,当前网关设备通过分别与已建立串联部署关系的其他网关设备的通信接口、以及终端的通信接口、网络设备的镜像接口进行数据连接,从而建立当前网关设备与网络设备之前的串并联混合部署关系,此时,当前执行端可以为串并联混合部署关系中的作为串联部署一端、或并联部署的一端,从而将采集的流量数据作为串并联混合部署关系所采集数据发送给服务端中进行处理。其中,镜像接口会复制一份流量数据给第三方使用,此时,即为复制给作为并联部署关系的网关设备,以用于流量的旁路采集。
需要说明的是,在配置串并联混合部署关系时,串联与并联所对应的网关设备可以相同,也可以不同,例如,相同的网关设备一个部署于网关出口交换设备的数据镜像接口,另一个部署于网关出口交换机设备的通信链路前端,本发明实施例不做具体限定。另外,并联部署关系中的网关设备可以和串联部署关系中的网关设备通信并协同工作,以将采集的流量数据协同发送至服务端。例如,串联部署关系的网关设备的“威胁阻断模块”可以实时阻断流量中的恶意行为,并联部署关系的网关设备的“流量解密模块”,可以实时对流量数据进行解密,并将解密的流量数据发送至服务端,本发明实施例不做具体限定。
另外,由于串并联混合部署关系中,还可以通过个人终端、移动设备、服务器、堡垒机、工控设备、打印机等接口采集作为目标操作系统的终端的流量数据。其中,各终端的接口可具体分为操作系统内建方式和非操作系统内建方式两种。以Windows操作系统为例,内建方式是指利用Windows操作系统提供给第三方的内核回调函数、网络过滤驱动架构等接口获取流量数据。非内建方式是指利用内核内联挂钩机制(Kernel Inline HookingMechanism)挂接目标函数进而获取流量数据。以macOS操作系统为例,内建方式是指利用macOS操作系统提供给第三方的内核授权(Kernel Authorization)子系统以及强制访问控制(Mandatory Access Control)内核框架等接口获取流量数据。非内建方式是指利用内核内联挂钩机制(Kernel Inline Hooking Mechanism)挂接目标函数进而获取流量数据。
在另一个本发明实施例中,为了进一步限定及说明,如图5所示,步骤获取网络设备的流量数据,并将所述流量数据发送至服务端之前,所述方法还包括:
201、接收所述服务端下发的至少一个操作对象的运行组件;
202、基于所述运行组件执行对应安全防护工作模式下的所述操作对象,并将得到的操作行为发送至所述服务端。
本发明实施例中,由于在当前执行主体网关设备中进行操作对象对应的安全防护工作模式运行前,需要在当前执行主体网关设备中执行匹配安全防护工作模式的操作对象,因此,预先接收服务端下发的操作对象的运行组件。其中,所述运行组件用于表征在不同安全防护工作模式下运行不同操作对象的数据组件,以便基于此数据组件执行对应的操作对象,数据组件可以为数据集合、执行代码等内容,对应的,运行组件包括但不限于对业务插件的压缩包、安装包、配置文件的配置执行代码等,从而基于接收到的运行组件执行安全防护工作模式下的操作对象。例如,接收服务端下发的基于网络的数据损失防护(Network-based Data Loss Prevention)插件的安装包,基于此安装包在动态安装工作模式下,安装基于网络的数据损失防护(Network-based Data Loss Prevention)插件,并将安装过程中的得到的执行行为反馈至服务端。又如,接收服务端下发的软件定义边界SDP插件的升级程序包,基于升级程序包在升级工作模式下升级软件定义边界SDP插件,并将升级的执行行为反馈至服务端。
需要说明的是,由于当前执行主体网关设备中可以同时运行多个操作对象的安全防护工作模式,因此,在接收运行组件时,可以接收至少一个操作对象的运行组件,并基于运行组件执行多个安全防护工作模式下所对应的多个操作对象,从而实现多个操作对象的协同安全防护目的。另外,当基于运行组件运行对应安全防护工作模式下的操作对象后,为了便于服务端确定是否对操作对象进行安全防护工作模式的运行,需要将得到的执行行为发送至服务端,从而使服务端基于此执行行为进行数据处理。
在另一个本发明实施例中,为了进一步限定及说明,步骤运行与所述操作对象匹配的目标安全防护工作模式包括:
确定待运行的目标安全防护工作模式,并在数据组件中配置所述操作对象已运行的安全防护工作模式为失效状态;
若基于所述数据组件已完成所述操作对象的安装,则在所述目标安全防护工作模式下激活所述操作对象,完成所述目标安全防护工作模式的运行。
本发明实施例中,为了准确实现操作对象的目标安全防护工作模式运行,具体的,确定待运行的目标安全防护工作模式,从而将当前执行主体网关设备中的数据组件中操作对象正在运行的安全防护工作模式配置为失效状态,以在目标安全防护工作模式下激活操作对象,完成运行的切换。其中,对于目标安全防护工作模式的确定,可以包括解析处理指令中携带的与操作对象匹配的目标安全防护工作模式,还可以基于预先配置好的安全防护工作模式执行顺序,例如,当前执行主体网关设备中已按照激活工作模式执行基于网络的数据损失防护(Network-based Data Loss Prevention)插件,则按照预先配置的执行顺序,在切换运行时,目标安全防护工作模式为升级工作模式,本发明实施例不做具体限定。确定目标安全防护工作模式后,为了实现切换运行,在当前执行主体网关设备的数据组件中配置操作对象正在运行的安全防护工作模式为失效状态,即配置当前执行的安全防护工作模式为失效状态,从而启动目标安全防护工作模式。其中,数据组件为适配各业务插件的通用组件,包括但不限于升级模块、通信模块、云控指令及数据解析、存储/比对模块、完整性校验与自我保护模块、操作系统事件采集模块、威胁阻断模块等。
需要说明的是,在数据组件中将操作对象正在运行的安全防护工作模式配置为失效状态后,需要切换至目标安全防护工作模式下,此时,预先判断是否已完成操作对象的安装,若完成,则直接在目标安全防护工作模式下激活操作对象,完成切换。若在数据组件中未完成操作对象的安装,则首先需要在数据组件中完成操作对象的安装,从而进行对应目标安全防护工作模式的切换运行。例如,在将Web应用防火墙WAF的激活工作模式切换为数据损失防护DLP插件的激活工作模式时,首先失效数据组件中WAF插件所对应的执行规则集合,即禁用WAF插件,以停止运行WAF插件,当前执行主体网关设备下载、安装并激活DLP插件,如果已经下载、安装过DLP插件,则直接进行激活。其中,对于上述过程中,任意一个步骤出现执行失败,均可将错误日志上报到服务端并进行重试,从而使服务端进行识别处理,本发明实施例不做具体限定。
另外,如图2所示的操作对象的切换系统架构图,作为执行主体网关设备的网关采集传感器中包含有安装的多个插件,以及作为插件的基础设施的各种通用模块,具体的,升级模块为升级工作模式下为业务插件提供可执行文件、数据文件等升级、回滚。通信模块为当前执行主体终端与云端服务器之间提供全双工通信,并具有数据压缩与加密等通信属性,同时,还为本地硬件管控平台提供数据通信功能。云控指令及数据解析、存储/比对模块接收云端服务器下发的业务插件、处理指令、执行规则、配置文件、黑白名单等信息,从而使得当前执行主体网关设备按照接收的处理指令切换安全防护工作模式。完整性校验与自我保护模块用于确保当前执行主体网关设备中可执行文件集合的完整性、可信性,即基于判断、检测等方法在安全防护工作模式下,确定执行规则、配置文件、黑白名单是否完整、可信,从而确保安全防护工作模式下产生的数据是完整的、可信的,其中,产生的数据包括但不限于普通日志、告警日志、(数据泄露等的)证据数据、捕获的恶意样本文件等。操作系统事件采集模块通过接口采集目标操作系统的进程、文件、注册表、动态库加载与卸载、网络流量等行为数据,此接口包括操作系统内建方案、以及非操作系统内建方案。例如,Windows操作系统中,内建方案主要是指利用Windows操作系统提供给第三方的内核回调函数、文件系统过滤驱动架构、磁盘过滤驱动架构、网络过滤驱动架构等接口,以获取数据;非内建方案主要是指利用内核内联挂钩机制(Kernel Inline Hooking Mechanism)挂接目标函数,进而获取数据。又如,macOS操作系统中,内建方案主要是指利用macOS操作系统提供给第三方的内核授权(Kernel Authorization)子系统以及强制访问控制(Mandatory AccessControl)内核框架等接口,以获取数据;非内建方案主要是指利用内核内联挂钩机制(Kernel Inline Hooking Mechanism)挂接目标函数,进而获取数据。威胁阻断模块通过判断引擎、内置规则、云控规则等结论阻断威胁,确保网格设备环境的安全性。同时,在当前的网关设备中,为了进行针对网关的安全防护操作,业务插件还包括网络防火墙、数据库防火墙或Web应用防火墙插件,以进行数据的流量数据的安全防护。
本发明实施例提供了一种操作对象的运行方法,与现有技术相比,本发明实施例通过服务端接收网关设备采集网络设备的流量数据,并基于所述流量数据中解析的特定行为确定操作对象,所述操作对象用于表征预期执行安全防护操作的执行内容,所述特定行为包括特定行为;服务端向网关设备发送对所述操作对象的处理指令,以使网关设备运行与所述操作对象匹配的目标安全防护工作模式,实现基于网关设备进行安全产品工作模式的运行,提高对流量数据中存在安全异常事件的防护准确性,突出安全产品运行的操作效果,从而提高安全产品的安全防护有效性。
本发明实施例提供了另一种操作对象的运行方法,如图6所示,该方法包括:
301、接收网关设备发送的网络设备的流量数据。
本发明实施例中,为了使网关设备实现安全防护操作,当前执行端的服务端接收网关设备发送的对网络设备进行流量采集的流量数据。其中,用于采集流量数据的网关设备连接于网络设备,网络设备包括但不限于网络出口交换设备,网关设备将采集网络设备得到的流量数据发送至当前服务端,以确定执行安全防护的操作对象。同时,为了使网关设备按照操作对象进行安全防护运行,当前执行主体服务端预先与网关设备进行数据通信,通过下发操作对象,以使网关设备对操作对象按照安全防护工作模式进行安装、激活、升级、禁用、卸载等执行。
需要说明的是,为了满足用户的外网环境的数据通信需求,当前执行端的执行主体可以为云端服务器,实现云端服务管控功能。但是,当为了满足安全防护需求或内网环境的数据通信需求,或针对特殊客户时,例如银行客户,当前执行端的执行主体可以为云端服务器的本地化部署设备,即作为一个云端服务端部署在本地的硬件管控平台执行本发明实施例中的执行对象的切换方法,如图2所示。此时,无论当前执行主体是执行外网环境的云端服务管控平台,还是在执行本地内网环境时,作为云端服务端本地化部署的本地硬件管控平台,均可以嵌入集成数据中心,以及展示平台,从而进行数据处理以及用户展示,本发明实施例不做具体限定。
302、当基于所述流量数据解析得到特定行为时,基于所述特定行为确定操作对象。
本发明实施例中,由于流量数据为进行数据传输的原始数据,流量数据中包含有大量的内网信息、外网信息,可以从流量数据中解析出包含如攻击特征、非法请求、家庭住址、身份证号等信息,因此,接收流量数据后,基于所述流量数据中解析的特定行为确定操作对象。其中,所述特定行为包括攻击行为,操作对象用于表征预期执行安全防护操作的执行内容,此处的内容即包括作为业务插件的各设备安全产品,还包括执行安全防护操作的不同安全防护规则、指令、配置文件、黑白名单等信息。
需要说明的是,当基于流量数据解析得到攻击行为后,说明需要网关设备进行对应的安全防护工作模式的运行,因此,确定与此攻击行为对应的操作对象,可以通过预先建立的对应关系进行确定,本发明实施例不做具体限定。
303、向所述网关设备发送携带有所述操作对象的处理指令。
本发明实施例中,当确定操作对象后,当前执行主体服务端向网关设备发送携带所述操作对象的处理指令,以使所述网关设备运行与所述操作对象匹配的目标安全防护工作模式。其中,处理指令为当前执行主体服务端在需要网关设备对操作对象进行安全防护工作模式切换运行时,向网关设备进行发送的,即包括人为在当前执行主体服务端中触发的控制指令,也包括当前执行主体服务端中基于操作对象在安全防护工作模式下进行安全防护操作所产生的执行行为进行确定的,本发明实施例不做具体限定。
在另一个本发明实施例中,为了进一步限定及说明,如图7所示,步骤接收网关设备发送的网络设备的流量数据之后,所述方法还包括:
401、按照预设流量解析策略解析所述流量数据;
402、若所述流量数据中提取的攻击特征信息、非法请求信息、异常连接信息中至少一项匹配所述安全防护特征,则确定所述流量数据中解析得到特定行为。
本发明实施例中,为了准确针对流量数据运行对应的安全防护,当前服务端在接收到网关设备采集的流量数据后,对流量数据进行解析,以确定流量数据中是否存在特定行为,以进行安全防护工作模式的切换运行。其中,在解析流量数据时,按照预设流量解析策略进行解析,所述预设流量解析策略用于表征对所述流量数据进行安全防护特征提取的策略内容,包括但不限于预先配置的安全防护规则、防护引擎等,以从流量数据中提取出攻击特征信息、非法请求信息、异常连接信息。本发明实施例对预设流量解析策略不做具体限定。在确定流量数据存在攻击行为时,基于攻击特征信息、非法请求信息、异常连接信息中至少一项与安全防护特征进行匹配,若匹配,则确定流量数据中可以解析得到攻击行为,此时,安全防护特征用于表征解析得到攻击特征信息、非法请求信息、异常连接信息中匹配安全防护需求的内容,例如,若攻击特征信息中的攻击次数超过预设攻击次数,则匹配安全防护特征,确定存在攻击行为,本发明实施例不做具体限定。
在另一个本发明实施例中,为了进一步限定及说明,步骤按照预设流量解析策略解析所述流量数据包括:
确定所述网络设备与所述网关设备之间的采集部署关系;
根据与所述采集部署关系匹配的预设流量解析策略对所述流量数据进行解析,确定所述流量数据中攻击特征信息、非法请求信息、异常连接信息中的至少一项。
在另一个本发明实施例中,为了进一步限定及说明,步骤接收网关设备发送的网络设备的流量数据之前,所述方法还包括:
确定所述网关设备运行至少一个操作对象的运行组件,所述运行组件用于表征在不同安全防护工作模式下运行不同操作对象的数据组件;
将所述运行组件发送至所述网关设备,以使所述网关基于所述运行组件运行对应安全防护工作模式下的所述操作对象。
本发明实施例中,由于在对安全防护工作模式进行切换运行前,需要预先在网关设备中运行对应的操作对象,因此,当前执行主体服务端需要向终端下发运行组件。其中,所述运行组件用于表征在不同安全防护工作模式下执行不同操作对象的数据组件,以便网关设备基于此数据组件执行对应的操作对象,数据组件可以为数据集合、执行代码等内容,对应的,运行组件包括但不限于对业务插件的压缩包、安装包、配置文件的配置执行代码等,从而基于下发运行组件,以使所述网关设备基于所述运行组件执行对应安全防护工作模式下的所述操作对象。
需要说明的是,本发明实施例中确定网关执行至少一个操作对象的运行组件具体可以按照网关设备的硬件设备、操作系统等内容进行匹配运行组件,或者直接加载获取操作对象的唯一运行组件进行下发,从而使得网关设备在数据组件中进行安装等操作。
在另一个本发明实施例中,为了进一步限定及说明,步骤基于所述特定行为确定操作对象包括:
根据所述特定行为确定目标安全防护工作模式,并基于所述目标安全防护工作模式选取匹配的操作对象。
为了使网关设备进行准确的安全防护,且由于特定行为包括攻击行为,当前服务端在确定攻击行为后,基于此攻击行为查找对应进行安全防护的目标安全防护工作模式,从而选取此目标安全防护工作模式下的操作对象。具体的,可以预先针对不同的攻击行为配置对应的安全防护工作模式,以及在此安全防护工作模式下所能够实现安全防护的操作对象,例如,某些内网服务器容易受到网络攻击及入侵,管理员可以将此类网关设备的工作模式设置为:基于网络的数据损失防护(Network-based Data Loss Prevention)插件的激活工作模式,而某些特殊的部门,如研发部门、财务部门、法务部门容易受到敏感数据泄露的威胁,管理员可以将此些部门网关设备的工作模式设置为“数据损失防护(DLP,DataLoss Prevention)”插件激活工作模式,此时,不同类型网关设备的应用策略,管理员可以通过人为配置针对不同的攻击行为触发上述工作模式,以及运行对应的操作对象。具体的,当前执行主体服务端中将攻击行为与安全防护工作模式进行配置绑定,当网关设备工作在静默学习(Sniffer Mode)插件的激活工作模式(即执行静默学习过程中),当此工作模式下当前服务端检测到已知的网络攻击行为,无需管理员介入,当前执行主体服务端自动确定操作对象为“DLP”插件的激活工作模式,以便通过向网关设备发送处理指令,将网关设备的工作模式切换运行至“DLP”插件的激活工作模式下,进行自我保护,本发明实施例不做具体限定。
本发明实施例中,由于网关设备与网络设备之间存在采集部署关系,不同的采集部署关系在针对流量数据进行安全防护时,需要按照不同的安全防护工作模式进行安全防护,从而实现安全防护的灵活性、准确性。因此,在解析流量数据时,首先要确定网络设备与网关设备之间的采集部署关系,所述采集部署关系包括串联部署关系、并联部署关系、以及串并联混合部署关系。本发明实施例中,为不同的采集部署关系预先匹配不同的预设流量解析策略,例如,针对串联部署关系,可以将对流量数据中全部IP地址、网络行为进行判断是否存在非法地址和非法行为的判断规则作为预设流量解析策略,以便确定攻击特征信息,本发明实施例中,对于不同采集部署关系与不同预设流量解析策略预先进行配置,不做具体限定。
进一步的,作为对上述图1所示方法的实现,本发明实施例提供了一种操作对象的运行装置,如图8所示,该装置包括:
获取模块51,用于获取网络设备的流量数据,并将所述流量数据发送至服务端,以使所述服务端基于所述流量数据中解析的特定行为确定操作对象,所述操作对象用于表征预期执行安全防护操作的执行内容,所述特定行为包括攻击行为;
接收模块52,用于接收所述服务端对所述操作对象的处理指令;
运行模块53,用于运行与所述操作对象匹配的目标安全防护工作模式。
进一步地,所述装置还包括:采集模块,
所述采集模块,用于基于与所述网络设备之间的采集部署关系,采集所述网络设备的流量数据,并进行存储,所述采集部署关系包括串联部署关系、并联部署关系、以及串并联混合部署关系;
所述获取模块,具体用于确定待处理网络设备,以及与所述网络设备匹配的采集部署关系,并按照所述采集部署关系获取所述网络设备的流量数据。
进一步地,所述装置还包括:
第一建立模块,用于通过分别与所述服务端的通信接口以及所述网络设备的通信接口进行连接,建立与所述网络设备之间的串联部署关系;和/或,
第二建立模块,用于通过与所述网络设备的镜像接口进行连接,建立与所述网络设备之间的并联部署关系;和/或,
第三建立模块,用于通过分别与已建立串联部署关系的他端网关设备的通信接口、所述终端的通信接口、所述网络设备的镜像接口进行连接,建立与所述网络设备之间的串并联混合部署关系。
进一步地,所述接收模块,还用于接收所述服务端下发的至少一个操作对象的运行组件,所述运行组件用于表征在不同安全防护工作模式下运行不同操作对象的数据组件;
所述运行模块,用于基于所述运行组件执行对应安全防护工作模式下的所述操作对象,并将得到的操作行为发送至所述服务端。
进一步地,所述运行模块,具体用于确定待运行的目标安全防护工作模式,并在数据组件中配置所述操作对象已运行的安全防护工作模式为失效状态;若基于所述数据组件已完成所述操作对象的安装,则在所述目标安全防护工作模式下激活所述操作对象,完成所述目标安全防护工作模式的运行。
本发明实施例提供了一种网关设备,与现有技术相比,本发明实施例通过服务端接收网关设备采集网络设备的流量数据,并基于所述流量数据中解析的特定行为确定操作对象,所述操作对象用于表征预期执行安全防护操作的执行内容,所述特定行为包括攻击行为;服务端向网关设备发送对所述操作对象的处理指令,以使网关设备运行与所述操作对象匹配的目标安全防护工作模式,实现基于网关设备进行安全产品工作模式的运行,提高对流量数据中存在安全异常事件的防护准确性,突出安全产品运行的操作效果,从而提高安全产品的安全防护有效性。
进一步的,作为对上述图6所示方法的实现,本发明实施例提供了另一种操作对象的运行装置,如图9所示,该装置包括:
接收模块61,用于接收网关设备发送的网络设备的流量数据;
确定模块62,用于当基于所述流量数据解析得到特定行为时,基于所述特定行为确定操作对象,所述操作对象用于表征预期执行安全防护操作的执行内容,所述特定行为包括攻击行为;
发送模块63,用于向所述网关设备发送携带有所述操作对象的处理指令,以使所述网关设备运行与所述操作对象匹配的目标安全防护工作模式。
进一步地,所述装置还包括:解析模块,
所述解析模块,用于按照预设流量解析策略解析所述流量数据,所述预设流量解析策略用于表征对所述流量数据进行安全防护特征提取的策略内容;
所述确定模块,还用于若所述流量数据中提取的攻击特征信息、非法请求信息、异常连接信息中至少一项匹配所述安全防护特征,则确定所述流量数据中解析得到特定行为。
进一步地,所述解析模块,具体用于确定所述网络设备与所述网关设备之间的采集部署关系,所述采集部署关系包括串联部署关系、并联部署关系、以及串并联混合部署关系;根据与所述采集部署关系匹配的预设流量解析策略对所述流量数据进行解析,确定所述流量数据中攻击特征信息、非法请求信息、异常连接信息中的至少一项。
进一步地,所述确定模块,用于确定所述网关设备运行至少一个操作对象的运行组件,所述运行组件用于表征在不同安全防护工作模式下运行不同操作对象的数据组件;
所述发送模块,用于将所述运行组件发送至所述网关设备,以使所述网关基于所述运行组件运行对应安全防护工作模式下的所述操作对象。
进一步地,所述确定模块,具体用于根据所述特定行为确定目标安全防护工作模式,并基于所述目标安全防护工作模式选取匹配的操作对象。
本发明实施例提供了一种服务端,与现有技术相比,本发明实施例通过服务端接收网关设备采集网络设备的流量数据,并基于所述流量数据中解析的特定行为确定操作对象,所述操作对象用于表征预期执行安全防护操作的执行内容,所述特定行为包括攻击行为;服务端向网关设备发送对所述操作对象的处理指令,以使网关设备运行与所述操作对象匹配的目标安全防护工作模式,实现基于网关设备进行安全产品工作模式的运行,提高对流量数据中存在安全异常事件的防护准确性,突出安全产品运行的操作效果,从而提高安全产品的安全防护有效性。
根据本发明一个实施例提供了一种存储介质,所述存储介质存储有至少一可执行指令,该计算机可执行指令可执行上述任意方法实施例中的操作对象的运行。
图10示出了根据本发明一个实施例提供的一种网关设备的结构示意图,本发明具体实施例并不对终端的具体实现做限定。
如图10所示,该终端可以包括:处理器(Processor)702、通信接口(Communications Interface)704、存储器(Memory)706、以及通信总线708。
其中:处理器702、通信接口704、以及存储器706通过通信总线708完成相互间的通信。
通信接口704,用于与其它设备比如客户端或其它服务器等的网元通信。
处理器702,用于执行程序710,具体可以执行上述操作对象的运行方法实施例中的相关步骤。
具体地,程序710可以包括程序代码,该程序代码包括计算机操作指令。
处理器702可能是中央处理器CPU,或者是特定集成电路ASIC(ApplicationSpecific Integrated Circuit),或者是被配置成实施本发明实施例的一个或多个集成电路。终端包括的一个或多个处理器,可以是同一类型的处理器,如一个或多个CPU;也可以是不同类型的处理器,如一个或多个CPU以及一个或多个ASIC。
存储器706,用于存放程序710。存储器706可能包含高速RAM存储器,也可能还包括非易失性存储器(Non-volatile Memory),例如至少一个磁盘存储器。
程序710具体可以用于使得处理器702执行以下操作:
获取网络设备的流量数据,并将所述流量数据发送至服务端,以使所述服务端基于所述流量数据中解析的特定行为确定操作对象,所述操作对象用于表征预期执行安全防护操作的执行内容,所述特定行为包括攻击行为;
接收所述服务端对所述操作对象的处理指令;
运行与所述操作对象匹配的目标安全防护工作模式。
根据本发明一个实施例提供了另一种存储介质,所述存储介质存储有至少一可执行指令,该计算机可执行指令可执行上述任意方法实施例中的操作对象的运行。
图11示出了根据本发明一个实施例提供的一种服务端的结构示意图,本发明具体实施例并不对终端的具体实现做限定。
如图11所示,该终端可以包括:处理器(Processor)802、通信接口(Communications Interface)804、存储器(Memory)806、以及通信总线808。
其中:处理器802、通信接口804、以及存储器806通过通信总线808完成相互间的通信。
通信接口804,用于与其它设备比如客户端或其它服务器等的网元通信。
处理器802,用于执行程序810,具体可以执行上述操作对象的运行方法实施例中的相关步骤。
具体地,程序810可以包括程序代码,该程序代码包括计算机操作指令。
处理器802可能是中央处理器CPU,或者是特定集成电路ASIC(ApplicationSpecific Integrated Circuit),或者是被配置成实施本发明实施例的一个或多个集成电路。终端包括的一个或多个处理器,可以是同一类型的处理器,如一个或多个CPU;也可以是不同类型的处理器,如一个或多个CPU以及一个或多个ASIC。
存储器806,用于存放程序810。存储器806可能包含高速RAM存储器,也可能还包括非易失性存储器(Non-volatile Memory),例如至少一个磁盘存储器。
程序810具体可以用于使得处理器802执行以下操作:
接收网关设备发送的网络设备的流量数据;
当基于所述流量数据解析得到特定行为时,基于所述特定行为确定操作对象,所述操作对象用于表征预期执行安全防护操作的执行内容,所述特定行为包括攻击行为;
向所述网关设备发送携带有所述操作对象的处理指令,以使所述网关设备运行与所述操作对象匹配的目标安全防护工作模式。
显然,本领域的技术人员应该明白,上述的本发明的各模块或各步骤可以用通用的计算装置来实现,它们可以集中在单个的计算装置上,或者分布在多个计算装置所组成的网络上,可选地,它们可以用计算装置可执行的程序代码来实现,从而,可以将它们存储在存储装置中由计算装置来执行,并且在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤,或者将它们分别制作成各个集成电路模块,或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。这样,本发明不限制于任何特定的硬件和软件结合。
以上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包括在本发明的保护范围之内。

Claims (16)

1.一种操作对象的运行方法,其特征在于,包括:
获取网络设备的流量数据,并将所述流量数据发送至服务端,以使所述服务端基于所述流量数据中解析的特定行为确定操作对象,所述操作对象用于表征预期执行安全防护操作的执行内容,所述特定行为包括攻击行为;
接收所述服务端对所述操作对象的处理指令;
运行与所述操作对象匹配的目标安全防护工作模式。
2.根据权利要求1所述的方法,其特征在于,所述获取网络设备的流量数据之前,所述方法还包括:
基于与所述网络设备之间的采集部署关系,采集所述网络设备的流量数据,并进行存储,所述采集部署关系包括串联部署关系、并联部署关系、以及串并联混合部署关系;
所述获取网络设备的流量数据包括:
确定待处理网络设备,以及与所述网络设备匹配的采集部署关系,并按照所述采集部署关系获取所述网络设备的流量数据。
3.根据权利要求2所述的方法,其特征在于,所述基于与所述网络设备之间的采集部署关系之前,所述方法还包括:
通过分别与所述服务端的通信接口以及所述网络设备的通信接口进行连接,建立与所述网络设备之间的串联部署关系;和/或,
通过与所述网络设备的镜像接口进行连接,建立与所述网络设备之间的并联部署关系;和/或,
通过分别与已建立串联部署关系的他端网关设备的通信接口、所述终端的通信接口、所述网络设备的镜像接口进行连接,建立与所述网络设备之间的串并联混合部署关系。
4.根据权利要求1-3任一项所述的方法,其特征在于,所述获取网络设备的流量数据,并将所述流量数据发送至服务端之前,所述方法还包括:
接收所述服务端下发的至少一个操作对象的运行组件,所述运行组件用于表征在不同安全防护工作模式下运行不同操作对象的数据组件;
基于所述运行组件执行对应安全防护工作模式下的所述操作对象,并将得到的操作行为发送至所述服务端。
5.根据权利要求4所述的方法,其特征在于,所述运行与所述操作对象匹配的目标安全防护工作模式包括:
确定待运行的目标安全防护工作模式,并在数据组件中配置所述操作对象已运行的安全防护工作模式为失效状态;
若基于所述数据组件已完成所述操作对象的安装,则在所述目标安全防护工作模式下激活所述操作对象,完成所述目标安全防护工作模式的运行。
6.一种操作对象的运行方法,其特征在于,包括:
接收网关设备发送的网络设备的流量数据;
当基于所述流量数据解析得到特定行为时,基于所述特定行为确定操作对象,所述操作对象用于表征预期执行安全防护操作的执行内容,所述特定行为包括攻击行为;
向所述网关设备发送携带有所述操作对象的处理指令,以使所述网关设备运行与所述操作对象匹配的目标安全防护工作模式。
7.根据权利要求6所述的方法,其特征在于,所述接收网关设备发送的网络设备的流量数据之后,所述方法还包括:
按照预设流量解析策略解析所述流量数据,所述预设流量解析策略用于表征对所述流量数据进行安全防护特征提取的策略内容;
若所述流量数据中提取的攻击特征信息、非法请求信息、异常连接信息中至少一项匹配所述安全防护特征,则确定所述流量数据中解析得到特定行为。
8.根据权利要求7所述的方法,其特征在于,所述按照预设流量解析策略解析所述流量数据包括:
确定所述网络设备与所述网关设备之间的采集部署关系,所述采集部署关系包括串联部署关系、并联部署关系、以及串并联混合部署关系;
根据与所述采集部署关系匹配的预设流量解析策略对所述流量数据进行解析,确定所述流量数据中攻击特征信息、非法请求信息、异常连接信息中的至少一项。
9.根据权利要求6-8任一项所述的方法,其特征在于,所述接收网关设备发送的网络设备的流量数据之前,所述方法还包括:
确定所述网关设备运行至少一个操作对象的运行组件,所述运行组件用于表征在不同安全防护工作模式下运行不同操作对象的数据组件;
将所述运行组件发送至所述网关设备,以使所述网关基于所述运行组件运行对应安全防护工作模式下的所述操作对象。
10.根据权利要求9所述的方法,其特征在于,所述基于所述特定行为确定操作对象包括:
根据所述特定行为确定目标安全防护工作模式,并基于所述目标安全防护工作模式选取匹配的操作对象。
11.一种操作对象的运行装置,其特征在于,包括:
获取模块,用于获取网络设备的流量数据,并将所述流量数据发送至服务端,以使所述服务端基于所述流量数据中解析的特定行为确定操作对象,所述操作对象用于表征预期执行安全防护操作的执行内容,所述特定行为包括攻击行为;
接收模块,用于接收所述服务端对所述操作对象的处理指令;
运行模块,用于运行与所述操作对象匹配的目标安全防护工作模式。
12.一种操作对象的运行装置,其特征在于,包括:
接收模块,用于接收网关设备发送的网络设备的流量数据;
确定模块,用于当基于所述流量数据解析得到特定行为时,基于所述特定行为确定操作对象,所述操作对象用于表征预期执行安全防护操作的执行内容,所述特定行为包括攻击行为;
发送模块,用于向所述网关设备发送携带有所述操作对象的处理指令,以使所述网关设备运行与所述操作对象匹配的目标安全防护工作模式。
13.一种存储介质,所述存储介质中存储有至少一可执行指令,所述可执行指令使处理器执行如权利要求1-5中任一项所述的操作对象的运行方法对应的操作。
14.一种网关设备,包括:处理器、存储器、通信接口和通信总线,所述处理器、所述存储器和所述通信接口通过所述通信总线完成相互间的通信;
所述存储器用于存放至少一可执行指令,所述可执行指令使所述处理器执行如权利要求1-5中任一项所述的操作对象的运行方法对应的操作。
15.一种存储介质,所述存储介质中存储有至少一可执行指令,所述可执行指令使处理器执行如权利要求6-10中任一项所述的操作对象的运行方法对应的操作。
16.一种服务端,包括:处理器、存储器、通信接口和通信总线,所述处理器、所述存储器和所述通信接口通过所述通信总线完成相互间的通信;
所述存储器用于存放至少一可执行指令,所述可执行指令使所述处理器执行如权利要求6-10中任一项所述的操作对象的运行方法对应的操作。
CN202211098791.7A 2022-09-07 2022-09-07 操作对象的运行方法及装置、网关设备、服务端 Pending CN116633573A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202211098791.7A CN116633573A (zh) 2022-09-07 2022-09-07 操作对象的运行方法及装置、网关设备、服务端

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202211098791.7A CN116633573A (zh) 2022-09-07 2022-09-07 操作对象的运行方法及装置、网关设备、服务端

Publications (1)

Publication Number Publication Date
CN116633573A true CN116633573A (zh) 2023-08-22

Family

ID=87619930

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202211098791.7A Pending CN116633573A (zh) 2022-09-07 2022-09-07 操作对象的运行方法及装置、网关设备、服务端

Country Status (1)

Country Link
CN (1) CN116633573A (zh)

Similar Documents

Publication Publication Date Title
US9860263B2 (en) System and method for assessing data objects on mobile communications devices
US20190207966A1 (en) Platform and Method for Enhanced Cyber-Attack Detection and Response Employing a Global Data Store
US9910981B2 (en) Malicious code infection cause-and-effect analysis
US20190207967A1 (en) Platform and method for retroactive reclassification employing a cybersecurity-based global data store
KR101558715B1 (ko) 서버 결합된 멀웨어 방지를 위한 시스템 및 방법
CN102106114B (zh) 分布式安全服务开通方法及其系统
US8745739B2 (en) System and method for server-coupled application re-analysis to obtain characterization assessment
WO2018045073A1 (en) Systems and methods for identifying and mapping sensitive data on an enterprise
US20130173782A1 (en) Method and system for ensuring authenticity of ip data served by a service provider
US20090293103A1 (en) Federating trust in a heterogeneous network
WO2007130354A2 (en) Methods and apparatus providing computer and network security for polymorphic attacks
CN106998335B (zh) 一种漏洞检测方法、网关设备、浏览器及系统
CN112671807A (zh) 威胁处理方法、装置、电子设备及计算机可读存储介质
GB2403827A (en) Kernel cryptographic module signature verification system and method
US11706251B2 (en) Simulating user interactions for malware analysis
CN112749088B (zh) 应用程序检测方法、装置、电子设备和存储介质
CN112653655A (zh) 汽车安全通信控制方法、装置、计算机设备及存储介质
CN115701019A (zh) 零信任网络的访问请求处理方法、装置及电子设备
CN112258137A (zh) 一种邮件阻断方法及装置
CN116633573A (zh) 操作对象的运行方法及装置、网关设备、服务端
CN114861188A (zh) 执行对象的切换方法及装置、终端、服务端、系统
CN113726728B (zh) 一种安全防护系统及应用系统改造处理方法、装置
US11874924B2 (en) Malicious JS detection based on automated user interaction emulation
US11863586B1 (en) Inline package name based supply chain attack detection and prevention
US20230082289A1 (en) Automated fuzzy hash based signature collecting system for malware detection

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination