CN116668164B - 工业防火墙安全隔离检测处理方法、系统及存储介质 - Google Patents

工业防火墙安全隔离检测处理方法、系统及存储介质 Download PDF

Info

Publication number
CN116668164B
CN116668164B CN202310757190.0A CN202310757190A CN116668164B CN 116668164 B CN116668164 B CN 116668164B CN 202310757190 A CN202310757190 A CN 202310757190A CN 116668164 B CN116668164 B CN 116668164B
Authority
CN
China
Prior art keywords
firewall
distance
terminal
predicted
communication
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202310757190.0A
Other languages
English (en)
Other versions
CN116668164A (zh
Inventor
霍朝宾
王绍杰
贺敏超
杨继
王颐硕
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
6th Research Institute of China Electronics Corp
Original Assignee
6th Research Institute of China Electronics Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 6th Research Institute of China Electronics Corp filed Critical 6th Research Institute of China Electronics Corp
Priority to CN202310757190.0A priority Critical patent/CN116668164B/zh
Publication of CN116668164A publication Critical patent/CN116668164A/zh
Application granted granted Critical
Publication of CN116668164B publication Critical patent/CN116668164B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0209Architectural arrangements, e.g. perimeter networks or demilitarized zones
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/40Network security protocols

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

本发明实施例提供了工业防火墙安全隔离检测处理方法、系统及存储介质。本发明实施例通过在内部网和外部网之间设置可以在预设范围内可以互相联通的防火墙终端,通过防火墙终端构建联通内部网和外部网的联通网络,并在接收到访问请求时,实时确定联通路径,并基于联通路径的安全率确定数据传输路径,并在传输网络访问请求时,将所述网络访问请求转化为访问图形数据,同时在内部网中实时更新预设转化规则,每一次交互使用的都是新的预设转化规则,实现对网络访问请求和内部网生成的反馈响应数据的加密,既完成了内部网和外部网之间的隔离、访问控制及过滤,保证了数据安全有效的传输,也提高了内部网和外部网之间传输的数据的安全性。

Description

工业防火墙安全隔离检测处理方法、系统及存储介质
技术领域
本发明涉及防火墙系统技术领域,尤其涉及一种工业防火墙安全隔离检测处理方法、系统及存储介质。
背景技术
防火墙技术是通过有机结合各类用于安全管理与筛选的软件和硬件设备,帮助计算机网络于其内、外网之间构建一道相对隔绝的保护屏障,以保护用户资料与信息安全性的一种技术。
防火墙的标准定义是部署于不同安全域之间,具备网络层访问控制及过滤功能,并具备工业应用层协议分析、控制及内容检测等功能,因此防火墙是工业控制系统区域有效隔离的设备,工业防火墙的核心使命是实现工业控制网络与外部其他网络,工业控制网络内部不同业务的边界隔离和访问控制。
传统的防火墙方案是由用户购买并部署反病毒软件、防火墙、入侵检测等一系列安全设备,不仅成本高昂、部署麻烦、维护困难,还存在带宽瓶颈,串接设备若发生故障将影响整个网络,对于运营、配置、维护有着较高的要求,不仅如此,还容易出现无法适应工业现场的恶劣工作环境,从而在工业控制网络中的应用过程中出现各种问题。
发明内容
本发明的至少一个实施例提供了工业防火墙安全隔离检测处理方法、系统及存储介质,以便于解决现有技术中的问题。
第一方面,本发明实施例提供了一种工业防火墙安全隔离检测处理方法,所述工业防火墙包括:在第一预设距离范围内可以分别联通至内部网或外部网,且可以在第二预设距离范围内可以相互联通的防火墙终端;所述处理方法包括:
实时获取互相联通的各个所述防火墙终端的联通信息;根据所述联通信息确定由各个防火墙终端和内部网与外部网构成的联通网络;
当任一防火墙终端接收到外部网传输的访问终端的网络访问请求时,根据所述联通网络确定所述任一防火墙终端与所述内部网联通的至少一条联通路径;所述联通路径中包括至少两个防火墙终端;
确定各个所述防火墙终端的终端检测安全率,根据各个所述联通路径中的各个防火墙终端的终端检测安全率计算得到对应联通路径的总安全率;
将总安全率大于预设安全率的联通路径作为数据传输路径,所述任一防火墙终端根据预设转化规则将所述网络访问请求转化为访问图形数据,将所述访问图形数据通过所述数据传输路径传输至所述内部网,并将所述预设转化规则反馈至访问终端;
所述内部网根据所述预设转化规则对所述访问图形数据进行处理生成所述网络访问请求,基于所述网络访问请求生成反馈响应数据,根据所述预设转化规则将所述反馈响应数据转化为反馈图形数据,生成新的预设转化规则与所述任一防火墙终端绑定,并将新的所述预设转化规则通过所述数据传输路径发送至所述任一防火墙终端,并将所述反馈图形数据通过所述数据传输路径传输至访问终端;
所述访问终端根据预设转化规则对所述反馈图形数据进行处理生成反馈响应数据,并根据所述反馈响应数据确定是否可以访问内部网。
基于上述技术方案,本发明实施例还可以做出如下改进。
结合第一方面,在第一方面的第一种实施例中,所述内部网根据所述预设转化规则对所述访问图形数据进行处理生成所述网络访问请求,包括:
所述任一防火墙终端将其唯一识别号随所述访问图形数据传输至所述内部网;
所述内部网从转化规则库中提取与所述唯一识别号相对应的预设转化规则;
所述内部网基于所述预设转化规则对所述访问图形数据进行处理生成所述网络访问请求。
结合第一方面的第一种实施例,在第一方面的第二种实施例中,所述生成新的预设转化规则与所述任一防火墙终端绑定,包括:
所述内部网生成新的预设转化规则;
通过所述任一防火墙终端的唯一识别号,将所述转化规则库中所述任一防火墙终端对应的所述预设转化规则更新为新的所述预设转化规则,完成新的预设转化规则与所述任一防火墙终端的绑定。
结合第一方面,在第一方面的第三种实施例中,所述根据所述联通网络确定所述任一防火墙终端与所述内部网联通的至少一条联通路径,包括:
根据当前所述联通网络,确定各个防火墙终端的联通关系;
获取各个防火墙终端在当前时刻之前的运动信息,并生成相应的运动轨迹;
针对具有联通关系的任意两个所述防火墙终端,根据所述防火墙终端的运动轨迹,预测所述防火墙终端之间在预设单位时长后的第一预测距离;
针对与内部网具有联通关系的任意所述防火墙终端,根据所述防火墙终端的运动轨迹,预测所述防火墙终端与所述内部网之间在预设单位时长后的第二预测距离;
剔除所述联通网络中所述第一预测距离大于第二预设距离的防火墙终端之间的联通关系,和剔除所述联通网络中所述第二预测距离大于第一预设距离的所述防火墙终端与内部网之间的联通关系;得到修正的联通网络作为预测联通网络;
根据所述预测联通网络,确定所述任一防火墙终端与所述内部网联通的各个预测联通路径中各个联通关系的预测距离和各个预测联通路径的预测总距离;
在未修正的联通网络中,确定各个相对应的所述预测联通路径中各个联通关系的当前距离和各个预测联通路径的当前总距离;
根据所述预测距离、当前距离、预测总距离和当前总距离,确定至少一条所述预测联通路径作为所述联通路径。
结合第一方面的第三种实施例,在第一方面的第四种实施例中,所述根据所述预测距离、当前距离、预测总距离和当前总距离,确定至少一条所述预测联通路径作为所述联通路径,包括:
根据各个所述预测距离计算得到平均预测距离;
根据各个所述当前距离计算得到平均当前距离;
根据各个所述预测总距离计算得到平均预测总距离;
根据各个所述当前总距离,计算得到平均当前总距离;
针对各个所述预测距离,根据所述预测距离与所述平均预测距离的差值,为所述预测距离生成预测距离评分;
针对各个所述当前距离,根据所述当前距离与所述平均当前距离的差值,为所述当前距离生成当前距离评分;
针对各个所述预测总距离,根据所述预测总距离与所述平均预测总距离的差值,为所述预测总距离生成预测总距离评分;
针对各个所述当前总距离,根据所述当前总距离与所述平均当前总距离的差值,为所述当前总距离生成当前总距离评分;
根据所述预测距离评分、所述当前距离评分、所述预测总距离评分和所述当前总距离评分,计算各个所述预测联通路径的距离评分;
根据所述距离评分对所述预测联通路径进行排序,并将排序在前预设排序的预测联通路径,作为所述联通路径。
结合第一方面的第四种实施例,在第一方面的第五种实施例中,所述预测距离评分,通过如下计算方式计算得到:;其中,/>为所述预测距离评分,/>为所述平均预测距离,/>所述预测距离,/>为自然常数;
所述当前距离评分,通过如下计算方式计算得到:;其中,/>为所述当前距离评分,/>为所述平均当前距离,/>为所述当前距离,/>为自然常数。
结合第一方面的第四种实施例,在第一方面的第六种实施例中,所述预测总距离评分,通过如下计算方式计算得到:;其中,/>为所述预测总距离评分,/>为所述预测联通路径中防火墙终端的数量,/>为所述平均预测总距离,/>为所述预测总距离,/>为自然常数;
所述当前总距离评分,通过如下计算方式计算得到:;其中,/>为所述当前总距离评分,/>为所述预测联通路径中防火墙终端的数量,/>为所述平均当前总距离,/>为所述当前总距离,/>为自然常数。
结合第一方面,在第一方面的第七种实施例中,所述确定各个所述防火墙终端的终端检测安全率,包括:
获取各个所述防火墙终端历史转发的历史网络访问请求对应的历史访问终端;
针对各个防火墙终端,确定出现风险的历史访问终端的数量,并根据所述数量确定历史访问终端的安全比率,作为所述防火墙终端的终端检测安全率。
第二方面,本发明实施例提供了一种工业防火墙安全隔离检测处理系统,所述工业防火墙包括:在第一预设距离范围内可以分别联通至内部网或外部网,且可以在第二预设距离范围内可以相互联通的防火墙终端;所述处理系统还包括:
第一处理单元,用于实时获取互相联通的各个所述防火墙终端的联通信息;根据所述联通信息确定由各个防火墙终端和内部网与外部网构成的联通网络;
第二处理单元,用于当任一防火墙终端接收到外部网传输的访问终端的网络访问请求时,根据所述联通网络确定所述任一防火墙终端与所述内部网联通的至少一条联通路径;所述联通路径中包括至少两个防火墙终端;
第三处理单元,用于确定各个所述防火墙终端的终端检测安全率,根据各个所述联通路径中的各个防火墙终端的终端检测安全率计算得到对应联通路径的总安全率;并将总安全率大于预设安全率的联通路径作为数据传输路径;
所述防火墙终端,用于根据预设转化规则将所述网络访问请求转化为访问图形数据,将所述访问图形数据通过所述数据传输路径传输至所述内部网,并将所述预设转化规则反馈至访问终端;
所述内部网,用于根据所述预设转化规则对所述访问图形数据进行处理生成所述网络访问请求,基于所述网络访问请求生成反馈响应数据,根据所述预设转化规则将所述反馈响应数据转化为反馈图形数据,生成新的预设转化规则与所述任一防火墙终端绑定,并将新的所述预设转化规则通过所述数据传输路径发送至所述任一防火墙终端,并将所述反馈图形数据通过所述数据传输路径传输至访问终端;
所述访问终端,用于根据预设转化规则对所述反馈图形数据进行处理生成反馈响应数据,并根据所述反馈响应数据确定是否可以访问内部网。
第三方面,本发明实施例提供了一种工业防火墙安全隔离检测处理装置,包括处理器、通信接口、存储器和通信总线,其中,处理器,通信接口,存储器通过通信总线完成相互间的通信;
存储器,用于存放计算机程序;
处理器,用于执行存储器上所存放的程序时,实现第一方面中任一实施例所述的方法。
第四方面,本发明实施例提供了一种存储介质,用于存储计算机可读程序,所述计算机可读程序用于执行第一方面中任一实施例所述的方法。
本发明的上述技术方案与现有技术相比具有如下优点:本发明实施例中通过在内部网和外部网之间设置可以在预设范围内可以互相联通的防火墙终端,通过防火墙终端构建联通内部网和外部网的联通网络,并在接收到访问请求时,实时确定联通路径,并基于联通路径的安全率确定数据传输路径,并在传输网络访问请求时,将所述网络访问请求转化为访问图形数据,同时在内部网中实时更新预设转化规则,每一次交互使用的都是新的预设转化规则,实现对网络访问请求和内部网生成的反馈响应数据的加密,既完成了内部网和外部网之间的隔离、访问控制及过滤,保证了数据安全有效的传输,也提高了内部网和外部网之间传输的数据的安全性。
附图说明
图1是本发明实施例提供的一种工业防火墙安全隔离检测处理方法流程示意图;
图2是本发明实施例提供的一种工业防火墙安全隔离检测处理方法流程示意图;
图3是本发明又一实施例提供的一种工业防火墙安全隔离检测处理方法流程示意图;
图4是本发明又一实施例提供的一种工业防火墙安全隔离检测处理方法流程示意图其一;
图5是本发明又一实施例提供的一种工业防火墙安全隔离检测处理方法流程示意图其二;
图6是本发明又一实施例提供的一种工业防火墙安全隔离检测处理系统结构示意图;
图7是本发明又一实施例提供的一种工业防火墙安全隔离检测处理装置结构示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明的一部分实施例,而不是全部的实施例。
基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本发明保护的范围。
如图1所示,本发明实施例提供的一种工业防火墙安全隔离检测处理方法,工业防火墙包括:在第一预设距离范围内可以分别联通至内部网或外部网,且可以在第二预设距离范围内可以相互联通的防火墙终端;防火墙终端可以是部署配置了购买的反病毒软件、防火墙、入侵检测系统的终端系统,比如,可以是工业现场的操作终端或者设备,一方面,工业现场的操作终端或者设备可以有效的适应工作环境,另一方面,也可以有效的避免增设设备的成本;本方案中的防火墙终端还可以是工业现场的操作终端或设备,和专业的数据转发的防火墙设备一起配套工作,比如网关;当然也可以全部使用专业的数据转发的防火墙设备。
在本实施例中,第一预设距离和第二预设距离可以设置为一致;由于内部网或外部网对应的终端一般不会移动,而内部网和外部网之间的工业环境可能会影响防火墙终端之间的连接,所以,也可以将第二预设距离设置为小于第一预设距离,以便于防火墙终端之间有效的连接。
在本实施例中,处理方法包括如下步骤:
S11、实时获取互相联通的各个防火墙终端的联通信息;根据联通信息确定由各个防火墙终端和内部网与外部网构成的联通网络。
在本实施例中,由于防火墙终端可以是工业现场的操作终端或设备,所以防火墙终端会随着时间的变化而发生移动,比如,巡检人员的巡检终端设备;就算是专业的防火墙终端也可能会出现移动,所以,在本实施例中,实时获取各个防火墙终端的联通信息,以确定各个防火墙终端连接情况,同时也可以确定防火墙终端的位置是否发生变化。
在本实施例中,为保证内部网和外部网之间可以有效连接,在内部网和外部网之间的配置部分位置固定的防火墙终端,以保证至少有一条联通路径可以使得内部网和外部网之间联通。
S12、当任一防火墙终端接收到外部网传输的访问终端的网络访问请求时,根据联通网络确定上述任一防火墙终端与内部网联通的至少一条联通路径;联通路径中包括至少两个防火墙终端。
在本实施例中,在防火墙终端接收到外部网中的访问终端的网络访问请求时,根据上一步骤确定的联通网络,确定至少一个联通路径,使得内部网与该接收到网络访问请求的防火墙终端联通,并确保联通路径中包括至少两个防火墙终端,以保证数据的传输准确率,同时,通过多个防火墙终端进行数据传输,可以避免只有一个防火墙终端进行数据传输导致的风险,比如,防火墙终端的入侵检测失败或遗漏,防火墙终端被劫持等情况。
S13、确定各个防火墙终端的终端检测安全率,根据各个联通路径中的各个防火墙终端的终端检测安全率计算得到对应联通路径的总安全率。
在本实施例中,根据各个防火墙终端在先进行传递过的访问请求对应的访问终端是否进行过危险操作或危险访问,来确定各个防火墙终端对访问请求的入侵检测效果,即本步骤的终端检测安全率,若防火墙终端的终端检测安全率较低,则说明该防火墙终端的入侵检测效果或病毒检测效果较差,此时,通过该防火墙终端进行数据传输,则容易出现误判的情况。
在本实施例中,各个防火墙终端中配置的反病毒软件、入侵检测系统可以配置为不同,可以根据防火墙终端与内部网或外部网之间的间距配置不同的反病毒软件、入侵检测系统,以提高数据传输路径中不同软件和检测系统的数量,即提高对访问请求的检测效果。
S14、将总安全率大于预设安全率的联通路径作为数据传输路径,上述任一防火墙终端根据预设转化规则将网络访问请求转化为访问图形数据,将访问图形数据通过数据传输路径传输至内部网,并将预设转化规则反馈至访问终端。
在本实施例中,将安全率大于预设安全率的联通路径作为数据传输路径,因为,联通路径中的防火墙终端的数量越多,最终对访问请求的检测效果就越好,但是防火墙终端的数量越多,数据传输效率就越低,所以,可以限制防火墙终端的数量,以避免路径中的防火墙终端过多,提高数据传输效率并保证检测效果,比如,可以设定选择防火墙终端小于预设数量的联通路径,将路径中的各个防火墙终端的安全率相加,作为总安全率;还可以在S13步骤中,控制所选的联通路径,比如控制所选择的联通路径的总长度,或者,对路径中各节点的距离进行评分,从而选择出总距离较短的路径,在本步骤中直接将路径中所有的安全率相加作为总安全率。
具体的,本实施例中,可以获取各个防火墙终端历史转发的历史网络访问请求对应的历史访问终端;针对各个防火墙终端,确定出现风险的历史访问终端的数量,并根据数量确定历史访问终端的安全比率,作为防火墙终端的终端检测安全率。
在本实施例中,接收到访问请求的防火墙终端按照预设转化规则将网络访问请求转化为访问图形数据,比如,可以将访问请求转化为二维码图像,将二维码图像绑定需验证身份的页面,在页面中记载该网络访问请求,这样的话,即使非法分子截取到了防火墙终端传输的数据,也需要进行二次验证才能获取到网络访问请求,或者,将网络访问请求转化为图片,将图片进行裁切,通过预设转化规则进行拼接,形成本实施例中的访问图形数据。
本方案通过将数据转化为图形,以提高数据的安全性,避免数据被非法获取。
在本实施例中,将访问图形数据传输至内部网,同时将预设转化规则反馈至访问终端,以便于访问终端后续接收相关数据。
S15、内部网根据预设转化规则对访问图形数据进行处理生成网络访问请求,基于网络访问请求生成反馈响应数据,根据预设转化规则将反馈响应数据转化为反馈图形数据,生成新的预设转化规则与上述任一防火墙终端绑定,并将新的预设转化规则通过数据传输路径发送至上述任一防火墙终端,并将反馈图形数据通过数据传输路径传输至访问终端。
在本实施例中,内部网接收到访问图形数据后,通过该预设转化规则对访问图形数据进行反推,得到初始的网络访问请求,同时根据网络访问请求确定反馈响应数据,比如,拒绝用户进行访问或者接受用户进行访问。
在本实施例中,根据该预设转化规则对反馈响应数据进行处理,得到反馈图形数据并发送至访问终端,访问终端可以根据在先接收到的预设转化规则得到反馈响应数据,同时,生成全新的预设转化规则与该任一防火墙终端进行绑定,并将新的预设转化规则发送至该防火墙终端,以确保该防火墙终端中的预设转化规则使用一次以后就进行更新,提高数据的安全性。
如图2所示,在一个具体实施例中,S15中的内部网根据预设转化规则对访问图形数据进行处理生成网络访问请求,还包括如下步骤:
S21、上述任一防火墙终端将其唯一识别号随访问图形数据传输至内部网。
在本实施例中,接收到访问请求的防火墙终端将自身对应的唯一识别号随该访问图形数据一起传输至内部网,以便于内部网确定转化网络访问请求的防火墙终端的身份,进而进行本方案中的数据解密过程。
在本实施例中,唯一识别号可以是终端的唯一识别码,也可以是设备购买后,由相应工作人员设定的设备编号,比如,IT人员设定的编号。
S22、内部网从转化规则库中提取与唯一识别号相对应的预设转化规则。
在本实施例中,接收到网络访问请求的防火墙终端将唯一识别号与访问图形数据一起传输至内部网,内部网根据该唯一识别号在转化规则库中确定相应的预设转化规则。
在本实施例中,转化规则库可以是基于SQL数据库建立的唯一识别号和预设转化规则相对应的存储单元,也可以是将唯一识别号和预设转化规则对应存储的数组,也可以是json格式或xml格式的文件。
S23、内部网基于预设转化规则对访问图形数据进行处理生成网络访问请求。
在本实施例中,在内部网中基于预设转化规则,将该访问图形数据进行逆向处理,生成对应的网络访问请求。
如图3所示,在一个具体实施例中,S15中的生成新的预设转化规则与上述任一防火墙终端绑定,包括如下步骤:
S31、内部网生成新的预设转化规则。
在本实施例中,在内部网使用完预设转化规则将访问图形数据转化为网络访问请求后,重新生成一个新的预设转化规则。
S32、通过上述任一防火墙终端的唯一识别号,将转化规则库中上述任一防火墙终端对应的预设转化规则更新为新的预设转化规则,完成新的预设转化规则与上述任一防火墙终端的绑定。
在本实施例中,在生成新的预设转化规则后,还是基于该任一防火墙终端的唯一识别号,将转化规则库中的唯一识别号对应的预设转化规则替换为新生成的预设转化规则,这样,就完成了对预设转化规则的更新,可以避免出现非法访问终端获取到预设转化规则后,非法越过防火墙终端直接访问内部网,导致内部网响应非法访问终端发送的访问请求,提高数据的安全性。
S16、访问终端根据预设转化规则对反馈图形数据进行处理生成反馈响应数据,并根据反馈响应数据确定是否可以访问内部网。
在本实施例中,访问终端根据预设转化规则对反馈图形数据进行处理后得到内部网生成的反馈响应数据,并根据反馈响应数据确定是否可以访问内部网,比如,若反馈响应数据为拒绝用户进行访问,则直接反馈相应的信息,若反馈响应数据为接收用户进行访问,可以发送接受请求信息,进而进行数据交互。
在本实施例中,通过在内部网和外部网之间设置可以在预设范围内可以互相联通的防火墙终端,通过防火墙终端构建联通内部网和外部网的联通网络,并在接收到访问请求时,实时确定联通路径,并基于联通路径的安全率确定数据传输路径,并在传输网络访问请求时,将网络访问请求转化为访问图形数据,同时在内部网中实时更新预设转化规则,每一次交互使用的都是新的预设转化规则,实现对网络访问请求和内部网生成的反馈响应数据的加密,既完成了内部网和外部网之间的隔离、访问控制及过滤,保证了数据安全有效的传输,也提高了内部网和外部网之间传输的数据的安全性。
如图4所示,本发明实施例提供了一种工业防火墙安全隔离检测处理方法,与如图1所示处理方法相比,区别在于,S12中根据联通网络确定上述任一防火墙终端与内部网联通的至少一条联通路径,包括如下步骤:
S41、根据当前联通网络,确定各个防火墙终端的联通关系。
在本实施例中,根据当前的防火墙终端的位置信息确定的联通网络,确定具备联通关系的防火墙终端。
S42、获取各个防火墙终端在当前时刻之前的运动信息,并生成相应的运动轨迹。
在本实施例中,获取各个防火墙终端在当前时刻之前的运动信息,比如,当前时刻之前预设时间段内的运动信息,以避免存储的数据量过大,同时降低时间较久远的数据对后续预测造成干扰。
在本实施例中,可以在各个防火墙终端中配置定位装置和存储装置,完成各个防火墙终端的位置确定和位置信息存储,在需要相关位置数据时,再将位置数据上传;或者仅配置定位装置,实时将检测到的位置信息上传。
S43、针对具有联通关系的任意两个防火墙终端,根据防火墙终端的运动轨迹,预测防火墙终端之间在预设单位时长后的第一预测距离。
在本实施例中,对具有联通关系的防火墙终端,根据防火墙终端过往的运动轨迹,预测防火墙终端之间在预设单位时长后的第一预测距离,由于两个防火墙终端之间的间距越大,则相互之间的数据传输效果就越差,当间距大于第二预设距离时,则两个防火墙终端之间会断连。
在本实施例中,由于设备的运动轨迹一般与其工作性质相关,比如,某个设备能够应用的位置是固定的几个位置,随着时间需要调整到不同的位置,通过历史数据最终就可以估计不同时间段该设备会运动到的位置,还比如,工业区内的安保人员随身携带的设备,安保人员每过一段时间需要进行巡逻,一般需要定点到预定位置打卡,所以,安保人员随身携带的设备也会具有移动规律,所以,在本申请中可以通过机器学习算法学习本方案中防火墙终端当前时刻之前的运动轨迹与当前时刻之后的运动轨迹之间的关系,构建相应的预测模型,比如,向量机、卷积神经网络等机器学习算法。
在本实施例中,根据防火墙终端的运动轨迹,预测防火墙终端在预设单位时长后的预测运动轨迹,并基于该预测运动轨迹确定第一预测距离。
在本实施例中,预设单位时长可以根据工业区内的防火墙终端的运动速度和运动频率来进行设定,比如,运动较为频繁的防火墙终端,预设单位时长就尽量设定的小一些,以降低预测误差。
具体的,根据防火墙终端的运动轨迹,通过由机器学习算法预先构建的预测模型预测防火墙终端在预设单位时长后的预测运动轨迹。
S44、针对与内部网具有联通关系的任意防火墙终端,根据防火墙终端的运动轨迹,预测防火墙终端与内部网之间在预设单位时长后的第二预测距离。
在本实施例中,与上一步骤的问题相同,为避免预设单位时长后防火墙终端与内部网之间的联通关系断开,在本步骤中根据防火墙终端的运动轨迹,预测防火墙终端与内部网之间在预设单位时长后的第一预测距离。
本步骤的方案可以参考上述步骤中的描述,本步骤对此不再赘述。
S45、剔除联通网络中第一预测距离大于第二预设距离的防火墙终端之间的联通关系,和剔除联通网络中第二预测距离大于第一预设距离的防火墙终端与内部网之间的联通关系;得到修正的联通网络作为预测联通网络。
在本实施例中,在确定了联通网络中具备联通关系的防火墙终端之间的第一预测距离后,由于第一预测距离大于第二预设距离的联通关系会断开,所以将响应的联通关系剔除,同理,剔除第二预测距离大于第一预设距离的防火墙终端与内部网之间的联通关系。
在本实施例中,在将在预设单位时长后会断开的联通关系剔除后,得到了修正的联通网络,作为预测联通网络。
S46、根据预测联通网络,确定上述任一防火墙终端与内部网联通的各个预测联通路径中各个联通关系的预测距离和各个预测联通路径的预测总距离。
在本实施例中,基于预测联通网络,确定任一防火墙终端与内部网联通的各个预测联通路径,并进一步获取各个预测联通路径中的防火墙终端之间的预测距离、防火墙终端与内部网之间的预测距离,同时,将各个预测联通路径中的预测距离求和,分别得到各个预测联通路径的总距离。
在本实施例中,防火墙终端之间距离、防火墙与内部网之间的距离越长,则相互之间的数据传输效果越差,通过确定各个联通关系之间的距离和联通路径的总距离,可以有效的确定对应联通路径的数据传输效果,在本实施例中,不仅需要保证联通路径在预设单位时长后的联通,还需要保证最终挑选出来的联通路径具有良好的数据传输效果。
S47、在未修正的联通网络中,确定各个相对应的预测联通路径中各个联通关系的当前距离和各个预测联通路径的当前总距离。
在本实施例中,在未修正的联通网络中,即在当前时刻的联通网络中,基于上述步骤确定的各个预测联通路径,确定当前时刻的联通网络与之相对应的各个联通路径中各个联通关系的当前距离和各个联通路径的总距离。
本步骤的目的是为了确定当前时刻的联通网络中与预测联通路径相对应的联通路径的各个节点的距离和总距离,并由此来确定当前时刻联通路径的数据传输效果。
S48、根据预测距离、当前距离、预测总距离和当前总距离,确定至少一条预测联通路径作为联通路径。
在本实施例中,根据预测距离、当前距离、预测总距离和当前总距离,确定各个预测联通路径在当前时刻的数据传输效果和预设单位时长后的数据传输效果,并由此来确定至少一条预测联通路径作为该联通路径。
在本实施例中,可以将预测联通路径中的各个预测距离和当前距离进行评分后相加,作为第一评分,距离越大,其对应的评分越小,将预测总距离和当前总距离进行评分后相加,作为第二评分,同样是距离越大,其对应的评分越小;基于各个预测联通路径的第一评分和第二评分确定最终的联通路径,在这里,可以直接将第一评分和第二评分相加作为最终决定联通路径的评分,也可以根据用户或者工作人员的设定来确定联通路径,比如,可以采用将第一评分和第二评分加权求和的方式来计算最终评分,如需要更高的数据传输准确率,则将第一评分的权重设定的高于第二评分的权重,如需要更快的数据传输速度,则将第一评分的权重设定的低于第二评分的权重。
具体的,在本实施例中,如图5所示,步骤S48中根据预测距离、当前距离、预测总距离和当前总距离,确定至少一条预测联通路径作为联通路径,包括如下步骤:
S51、根据各个预测距离计算得到平均预测距离;根据各个当前距离计算得到平均当前距离。
S52、根据各个预测总距离计算得到平均预测总距离;根据各个当前总距离,计算得到平均当前总距离。
在本实施例中,分别计算得到平均预测距离、平均当前距离、平均预测总距离、平均当前总距离。
S53、针对各个预测距离,根据预测距离与平均预测距离的差值,为预测距离生成预测距离评分;针对各个当前距离,根据当前距离与平均当前距离的差值,为当前距离生成当前距离评分。
在本实施例中,基于平均预测距离、平均当前距离、平均预测总距离、平均当前总距离,确定各距离与平均距离的差值,生成距离评分,比如,可以直接将差值作为距离评分,通过距离与数据传输效率的关系可知,距离越小则数据传输效率越好,所以距离与平均距离的差值为负值,则对应的数据传输效率越好,此时若直接将差值作为距离评分,则距离评分的值越小,其对应的数据传输效率越好。
S54、针对各个预测总距离,根据预测总距离与平均预测总距离的差值,为预测总距离生成预测总距离评分;针对各个当前总距离,根据当前总距离与平均当前总距离的差值,为当前总距离生成当前总距离评分。
在本实施例中,本步骤的方案可以参考上一步骤中的描述,本方案在此不再赘述。
S55、根据预测距离评分、当前距离评分、预测总距离评分和当前总距离评分,计算各个预测联通路径的距离评分。
在本实施例中,可以将各个预测联通路径中的预测总距离评分、当前总距离评分、防火墙终端之间和防火墙终端与内部网之间的预测距离评分和当前距离评分,直接进行求和,分别得到各个预测联通路径的距离评分,由此确定各个预测联通路径的数据传输效果。
在本实施例中,还可以将各个预测联通路径中的各项距离评分进行加权求和,得到距离评分,具体的权重值可以参考上述步骤中对第一评分和第二评分的权重值设定方式来设定,本方案对此不再赘述。
S56、根据距离评分对预测联通路径进行排序,并将排序在前预设排序的预测联通路径,作为联通路径。
在本实施例中,根据距离评分对各个预测联通路径进行排序,即根据预测联通路径的数据传输效果进行排序,数据传输效果越好的预测联通路径排名越靠前,将排名在前预设排序的预测联通路径作为联通路径,预设排序包括至少排序第一。
当然也可以采用反向排序的方案对预测联通路径进行排序,这样就需要将排名在后预设排序的预测联通路径作为联通路径。
在本实施例中,步骤S53中的预测距离评分,通过如下计算方式计算得到:;其中,/>为预测距离评分,/>为平均预测距离,/>为预测距离,/>为自然常数;
在本实施例中,步骤S53中的当前距离评分,通过如下计算方式计算得到:;其中,/>为当前距离评分,/>为平均当前距离,/>为当前距离,/>为自然常数。
在本实施例中,计算预测距离评分和当前距离评分,在预测距离或当前距离与其对应的平均距离的差值为正数时,随着距离的增大,其对应的距离评分呈指数级增加,在本方案中,距离评分越大,其对应的数据传输效果越小,即距离评分与数据传输效果成反比,通过这种方式,指数级增加对于数据传输效果差的距离的评分,最终通过距离评分对预测联通路径的排序,可以按照距离评分小到大的顺序进行排序,避免选用到距离较大的联通关系。
在本实施例中,步骤S54中的预测总距离评分,通过如下计算方式计算得到:;其中,/>为预测总距离评分,/>为预测联通路径中防火墙终端的数量,/>为平均预测总距离,/>为预测总距离,/>为自然常数;
在本实施例中,步骤S54中的当前总距离评分,通过如下计算方式计算得到:;其中,/>为当前总距离评分,/>为预测联通路径中防火墙终端的数量,/>为平均当前总距离,/>为当前总距离,/>为自然常数。
在本实施例中,计算当前总距离评分和预测总距离评分,同样在公式中指数级增加距离对评分的影响,同时加入预测联通路径中防火墙终端的数量,由于本方案中评分与路径的数据传输效率成反比,联通路径中的防火墙终端的数量越多,最终得到的评分就越大,确定其数据传输效率越差。
如图6所示,本发明实施例提供了一种工业防火墙安全隔离检测处理系统,工业防火墙包括:在第一预设距离范围内可以分别联通至内部网或外部网,且可以在第二预设距离范围内可以相互联通的防火墙终端;处理系统还包括:第一处理单元、第二处理单元和第三处理单元。
第一处理单元、第二处理单元和第三处理单元可以是分别与各个防火墙终端、内部网和外部网连接的处理器、处理系统或集成系统。
在本实施例中,第一处理单元,用于实时获取互相联通的各个防火墙终端的联通信息;根据联通信息确定由各个防火墙终端和内部网与外部网构成的联通网络。
在本实施例中,第二处理单元,用于当任一防火墙终端接收到外部网传输的访问终端的网络访问请求时,根据联通网络确定上述任一防火墙终端与内部网联通的至少一条联通路径;联通路径中包括至少两个防火墙终端。
在本实施例中,第三处理单元,用于确定各个防火墙终端的终端检测安全率,根据各个联通路径中的各个防火墙终端的终端检测安全率计算得到对应联通路径的总安全率;并将总安全率大于预设安全率的联通路径作为数据传输路径。
在本实施例中,防火墙终端,用于根据预设转化规则将网络访问请求转化为访问图形数据,将访问图形数据通过数据传输路径传输至内部网,并将预设转化规则反馈至访问终端。
在本实施例中,内部网,用于根据预设转化规则对访问图形数据进行处理生成网络访问请求,基于网络访问请求生成反馈响应数据,根据预设转化规则将反馈响应数据转化为反馈图形数据,生成新的预设转化规则与上述任一防火墙终端绑定,并将新的预设转化规则通过数据传输路径发送至上述任一防火墙终端,并将反馈图形数据通过数据传输路径传输至访问终端。
在本实施例中,访问终端,用于根据预设转化规则对反馈图形数据进行处理生成反馈响应数据,并根据反馈响应数据确定是否可以访问内部网。
在本实施例中,防火墙终端,还用于在接收到网络访问请求时,将其唯一识别号随访问图形数据传输至内部网。
在本实施例中,内部网还用于从转化规则库中提取与唯一识别号相对应的预设转化规则,并基于预设转化规则对访问图形数据进行处理生成网络访问请求。
在本实施例中,内部网还用于生成新的预设转化规则;通过上述任一防火墙终端的唯一识别号,将转化规则库中上述任一防火墙终端对应的预设转化规则更新为新的预设转化规则,完成新的预设转化规则与上述任一防火墙终端的绑定。
在本实施例中,第二处理单元,还用于根据当前联通网络,确定各个防火墙终端的联通关系;获取各个防火墙终端在当前时刻之前的运动信息,并生成相应的运动轨迹;针对具有联通关系的任意两个防火墙终端,根据防火墙终端的运动轨迹,预测防火墙终端之间在预设单位时长后的第一预测距离;针对与内部网具有联通关系的任意防火墙终端,根据防火墙终端的运动轨迹,预测防火墙终端与内部网之间在预设单位时长后的第二预测距离;剔除联通网络中第一预测距离大于第二预设距离的防火墙终端之间的联通关系,和剔除联通网络中第二预测距离大于第一预设距离的防火墙终端与内部网之间的联通关系;得到修正的联通网络作为预测联通网络;根据预测联通网络,确定上述任一防火墙终端与内部网联通的各个预测联通路径中各个联通关系的预测距离和各个预测联通路径的预测总距离;在未修正的联通网络中,确定各个相对应的预测联通路径中各个联通关系的当前距离和各个预测联通路径的当前总距离;根据预测距离、当前距离、预测总距离和当前总距离,确定至少一条预测联通路径作为联通路径。
在本实施例中,第二处理单元,还用于根据各个预测距离计算得到平均预测距离;根据各个当前距离计算得到平均当前距离;根据各个预测总距离计算得到平均预测总距离;根据各个当前总距离,计算得到平均当前总距离;针对各个预测距离,根据预测距离与平均预测距离的差值,为预测距离生成预测距离评分;针对各个当前距离,根据当前距离与平均当前距离的差值,为当前距离生成当前距离评分;针对各个预测总距离,根据预测总距离与平均预测总距离的差值,为预测总距离生成预测总距离评分;针对各个当前总距离,根据当前总距离与平均当前总距离的差值,为当前总距离生成当前总距离评分;根据预测距离评分、当前距离评分、预测总距离评分和当前总距离评分,计算各个预测联通路径的距离评分;根据距离评分对预测联通路径进行排序,并将排序在前预设排序的预测联通路径,作为联通路径。
在本实施例中,第二处理单元,还用于通过如下计算方式计算得到预测距离评分:;其中,/>为预测距离评分,/>为平均预测距离,/>为预测距离,/>为自然常数。
在本实施例中,第二处理单元,还用于通过如下计算方式计算得到当前距离评分:;其中,/>为当前距离评分,/>为平均当前距离,/>为当前距离,/>为自然常数。
在本实施例中,第二处理单元,还用于通过如下计算方式计算得到预测总距离评分:;其中,/>为预测总距离评分,/>为预测联通路径中防火墙终端的数量,/>为平均预测总距离,/>为预测总距离,/>为自然常数。
在本实施例中,第二处理单元,还用于通过如下计算方式计算得到当前总距离评分:;其中,/>为当前总距离评分,/>为预测联通路径中防火墙终端的数量,/>为平均当前总距离,/>为当前总距离,/>为自然常数。
在本实施例中,第三处理单元,还用于获取各个防火墙终端历史转发的历史网络访问请求对应的历史访问终端;针对各个防火墙终端,确定出现风险的历史访问终端的数量,并根据数量确定历史访问终端的安全比率,作为防火墙终端的终端检测安全率。
如图7所示,本发明实施例提供的一种工业防火墙安全隔离检测处理装置,包括处理器1110、通信接口1120、存储器1130和通信总线1140,其中,处理器1110,通信接口1120,存储器1130通过通信总线1140完成相互间的通信;
存储器1130,用于存放计算机程序;
处理器1110,用于执行存储器1130上所存放的程序时,实现上述任一视频播放方法:
本发明实施例提供的处理装置,处理器1110通过执行存储器1130上所存放的程序实时获取互相联通的各个防火墙终端的联通信息;根据联通信息确定由各个防火墙终端和内部网与外部网构成的联通网络;当任一防火墙终端接收到外部网传输的访问终端的网络访问请求时,根据联通网络确定上述任一防火墙终端与内部网联通的至少一条联通路径;联通路径中包括至少两个防火墙终端;确定各个防火墙终端的终端检测安全率,根据各个联通路径中的各个防火墙终端的终端检测安全率计算得到对应联通路径的总安全率;
将总安全率大于预设安全率的联通路径作为数据传输路径,上述任一防火墙终端根据预设转化规则将网络访问请求转化为访问图形数据,将访问图形数据通过数据传输路径传输至内部网,并将预设转化规则反馈至访问终端;
内部网根据预设转化规则对访问图形数据进行处理生成网络访问请求,基于网络访问请求生成反馈响应数据,根据预设转化规则将反馈响应数据转化为反馈图形数据,生成新的预设转化规则与上述任一防火墙终端绑定,并将新的预设转化规则通过数据传输路径发送至上述任一防火墙终端,并将反馈图形数据通过数据传输路径传输至访问终端; 访问终端根据预设转化规则对反馈图形数据进行处理生成反馈响应数据,并根据反馈响应数据确定是否可以访问内部网。
上述电子设备提到的通信总线1140可以是外设部件互连标准(PeripheralComponentInterconnect,简称PCI)总线或扩展工业标准结构(ExtendedIndustryStandardArchitecture,简称EISA)总线等。
该通信总线1140可以分为地址总线、数据总线、控制总线等。
为便于表示,图中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。
通信接口1120用于上述电子设备与其他设备之间的通信。
存储器1130可以包括随机存取存储器1130(RandomAccessMemory,简称RAM),也可以包括非易失性存储器1130(non-volatilememory),例如至少一个磁盘存储器1130。
可选的,存储器1130还可以是至少一个位于远离前述处理器1110的存储装置。
上述的处理器1110可以是通用处理器1110,包括中央处理器1110(CentralProcessingUnit,简称CPU)、网络处理器1110(NetworkProcessor,简称NP)等;还可以是数字信号处理器1110(DigitalSignalProcessing,简称DSP)、专用集成电路(ApplicationSpecificIntegratedCircuit,简称ASIC)、现场可编程门阵列(Field-ProgrammableGateArray,简称FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。
本发明实施例提供了一种存储介质,存储介质存储有一个或者多个程序,一个或者多个程序可被一个或者多个处理器1110执行,以实现上述任一实施例的工业防火墙安全隔离检测处理方法。
在上述实施例中,可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时,可以全部或部分地以计算机程序产品的形式实现。
计算机程序产品包括一个或多个计算机指令。
在计算机上加载和执行计算机程序指令时,全部或部分地产生按照本发明实施例的流程或功能。
计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。
计算机指令可以存储在计算机可读存储介质中,或者从一个计算机可读存储介质向另一个计算机可读存储介质传输,例如,计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线(DSL))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。
可用介质可以是磁性介质,(例如,软盘、硬盘、磁带)、光介质(例如,DVD)、或者半导体介质(例如固态硬盘SolidStateDisk(SSD))等。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。

Claims (11)

1.一种工业防火墙安全隔离检测处理方法,其特征在于,所述工业防火墙包括:在第一预设距离范围内可以分别联通至内部网或外部网,且可以在第二预设距离范围内可以相互联通的防火墙终端;第一预设距离和第二预设距离设置为一致或第二预设距离设置为小于第一预设距离;所述处理方法包括:
实时获取互相联通的各个所述防火墙终端的联通信息;根据所述联通信息确定由各个防火墙终端和内部网与外部网构成的联通网络;
当任一防火墙终端接收到外部网传输的访问终端的网络访问请求时,根据所述联通网络确定所述任一防火墙终端与所述内部网联通的至少一条联通路径;所述联通路径中包括至少两个防火墙终端;
确定各个所述防火墙终端的终端检测安全率,根据各个所述联通路径中的各个防火墙终端的终端检测安全率计算得到对应联通路径的总安全率;其中,确定各个所述防火墙终端的终端检测安全率,包括:根据各个防火墙终端在先进行传递过的访问请求对应的访问终端是否进行过危险操作或危险访问,来确定各个防火墙终端对访问请求的入侵检测效果作为所述终端检测安全率;
将总安全率大于预设安全率的联通路径作为数据传输路径,所述任一防火墙终端根据预设转化规则将所述网络访问请求转化为访问图形数据,将所述访问图形数据通过所述数据传输路径传输至所述内部网,并将所述预设转化规则反馈至访问终端;
所述内部网根据所述预设转化规则对所述访问图形数据进行处理生成所述网络访问请求,基于所述网络访问请求生成反馈响应数据,根据所述预设转化规则将所述反馈响应数据转化为反馈图形数据,生成新的预设转化规则与所述任一防火墙终端绑定,并将新的所述预设转化规则通过所述数据传输路径发送至所述任一防火墙终端,并将所述反馈图形数据通过所述数据传输路径传输至访问终端;
所述访问终端根据预设转化规则对所述反馈图形数据进行处理生成反馈响应数据,并根据所述反馈响应数据确定是否可以访问内部网。
2.根据权利要求1所述的方法,其特征在于,所述内部网根据所述预设转化规则对所述访问图形数据进行处理生成所述网络访问请求,包括:
所述任一防火墙终端将其唯一识别号随所述访问图形数据传输至所述内部网;
所述内部网从转化规则库中提取与所述唯一识别号相对应的预设转化规则;
所述内部网基于所述预设转化规则对所述访问图形数据进行处理生成所述网络访问请求。
3.根据权利要求2所述的方法,其特征在于,所述生成新的预设转化规则与所述任一防火墙终端绑定,包括:
所述内部网生成新的预设转化规则;
通过所述任一防火墙终端的唯一识别号,将所述转化规则库中所述任一防火墙终端对应的所述预设转化规则更新为新的所述预设转化规则,完成新的预设转化规则与所述任一防火墙终端的绑定。
4.根据权利要求1所述的方法,其特征在于,所述根据所述联通网络确定所述任一防火墙终端与所述内部网联通的至少一条联通路径,包括:
根据当前所述联通网络,确定各个防火墙终端的联通关系;
获取各个防火墙终端在当前时刻之前的运动信息,并生成相应的运动轨迹;
针对具有联通关系的任意两个所述防火墙终端,根据所述防火墙终端的运动轨迹,预测所述防火墙终端之间在预设单位时长后的第一预测距离;
针对与内部网具有联通关系的任意所述防火墙终端,根据所述防火墙终端的运动轨迹,预测所述防火墙终端与所述内部网之间在预设单位时长后的第二预测距离;
剔除所述联通网络中所述第一预测距离大于第二预设距离的防火墙终端之间的联通关系,和剔除所述联通网络中所述第二预测距离大于第一预设距离的所述防火墙终端与内部网之间的联通关系;得到修正的联通网络作为预测联通网络;
根据所述预测联通网络,确定所述任一防火墙终端与所述内部网联通的各个预测联通路径中各个联通关系的预测距离和各个预测联通路径的预测总距离;
在未修正的联通网络中,确定各个相对应的所述预测联通路径中各个联通关系的当前距离和各个预测联通路径的当前总距离;
根据所述预测距离、当前距离、预测总距离和当前总距离,确定至少一条所述预测联通路径作为所述联通路径。
5.根据权利要求4所述的方法,其特征在于,所述根据所述预测距离、当前距离、预测总距离和当前总距离,确定至少一条所述预测联通路径作为所述联通路径,包括:
根据各个所述预测距离计算得到平均预测距离;
根据各个所述当前距离计算得到平均当前距离;
根据各个所述预测总距离计算得到平均预测总距离;
根据各个所述当前总距离,计算得到平均当前总距离;
针对各个所述预测距离,根据所述预测距离与所述平均预测距离的差值,为所述预测距离生成预测距离评分;
针对各个所述当前距离,根据所述当前距离与所述平均当前距离的差值,为所述当前距离生成当前距离评分;
针对各个所述预测总距离,根据所述预测总距离与所述平均预测总距离的差值,为所述预测总距离生成预测总距离评分;
针对各个所述当前总距离,根据所述当前总距离与所述平均当前总距离的差值,为所述当前总距离生成当前总距离评分;
根据所述预测距离评分、所述当前距离评分、所述预测总距离评分和所述当前总距离评分,计算各个所述预测联通路径的距离评分;
根据所述距离评分对所述预测联通路径进行排序,并将排序在前预设排序的预测联通路径,作为所述联通路径。
6.根据权利要求5所述的方法,其特征在于,所述预测距离评分,通过如下计算方式计算得到:
其中,为所述预测距离评分,/>为所述平均预测距离,/> 为所述预测距离,/>为自然常数;
所述当前距离评分,通过如下计算方式计算得到:
其中,为所述当前距离评分,/>为所述平均当前距离,/>为所述当前距离,/>为自然常数。
7.根据权利要求5所述的方法,其特征在于,所述预测总距离评分,通过如下计算方式计算得到:;其中,/>为所述预测总距离评分,/>为所述预测联通路径中防火墙终端的数量,/>为所述平均预测总距离,/>为所述预测总距离,/>为自然常数;
所述当前总距离评分,通过如下计算方式计算得到:
其中,为所述当前总距离评分,/>为所述预测联通路径中防火墙终端的数量,为所述平均当前总距离,/>为所述当前总距离,/>为自然常数。
8.根据权利要求1所述的方法,其特征在于,所述确定各个所述防火墙终端的终端检测安全率,包括:
获取各个所述防火墙终端历史转发的历史网络访问请求对应的历史访问终端;
针对各个防火墙终端,确定出现风险的历史访问终端的数量,并根据所述数量确定历史访问终端的安全比率,作为所述防火墙终端的终端检测安全率。
9.一种工业防火墙安全隔离检测处理系统,其特征在于,所述工业防火墙包括:在第一预设距离范围内可以分别联通至内部网或外部网,且可以在第二预设距离范围内可以相互联通的防火墙终端;第一预设距离和第二预设距离设置为一致或第二预设距离设置为小于第一预设距离;所述处理系统还包括:
第一处理单元,用于实时获取互相联通的各个所述防火墙终端的联通信息;根据所述联通信息确定由各个防火墙终端和内部网与外部网构成的联通网络;
第二处理单元,用于当任一防火墙终端接收到外部网传输的访问终端的网络访问请求时,根据所述联通网络确定所述任一防火墙终端与所述内部网联通的至少一条联通路径;所述联通路径中包括至少两个防火墙终端;
第三处理单元,用于确定各个所述防火墙终端的终端检测安全率,根据各个所述联通路径中的各个防火墙终端的终端检测安全率计算得到对应联通路径的总安全率;并将总安全率大于预设安全率的联通路径作为数据传输路径;其中,确定各个所述防火墙终端的终端检测安全率,包括:根据各个防火墙终端在先进行传递过的访问请求对应的访问终端是否进行过危险操作或危险访问,来确定各个防火墙终端对访问请求的入侵检测效果作为所述终端检测安全率;
所述防火墙终端,用于根据预设转化规则将所述网络访问请求转化为访问图形数据,将所述访问图形数据通过所述数据传输路径传输至所述内部网,并将所述预设转化规则反馈至访问终端;
所述内部网,用于根据所述预设转化规则对所述访问图形数据进行处理生成所述网络访问请求,基于所述网络访问请求生成反馈响应数据,根据所述预设转化规则将所述反馈响应数据转化为反馈图形数据,生成新的预设转化规则与所述任一防火墙终端绑定,并将新的所述预设转化规则通过所述数据传输路径发送至所述任一防火墙终端,并将所述反馈图形数据通过所述数据传输路径传输至访问终端;
所述访问终端,用于根据预设转化规则对所述反馈图形数据进行处理生成反馈响应数据,并根据所述反馈响应数据确定是否可以访问内部网。
10.一种工业防火墙安全隔离检测处理装置,其特征在于,包括处理器、通信接口、存储器和通信总线,其中,处理器,通信接口,存储器通过通信总线完成相互间的通信;
存储器,用于存放计算机程序;
处理器,用于执行存储器上所存放的程序时,实现权利要求1至8中任一所述的方法。
11.一种计算机可读介质,用于存储计算机可读程序,其特征在于,所述计算机可读程序用于执行权利要求1至8中任一项所述的方法。
CN202310757190.0A 2023-06-26 2023-06-26 工业防火墙安全隔离检测处理方法、系统及存储介质 Active CN116668164B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202310757190.0A CN116668164B (zh) 2023-06-26 2023-06-26 工业防火墙安全隔离检测处理方法、系统及存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202310757190.0A CN116668164B (zh) 2023-06-26 2023-06-26 工业防火墙安全隔离检测处理方法、系统及存储介质

Publications (2)

Publication Number Publication Date
CN116668164A CN116668164A (zh) 2023-08-29
CN116668164B true CN116668164B (zh) 2024-01-02

Family

ID=87717108

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202310757190.0A Active CN116668164B (zh) 2023-06-26 2023-06-26 工业防火墙安全隔离检测处理方法、系统及存储介质

Country Status (1)

Country Link
CN (1) CN116668164B (zh)

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108521410A (zh) * 2018-03-19 2018-09-11 北京航空航天大学 车载以太网的安全防护架构
CN109660548A (zh) * 2018-12-28 2019-04-19 北京奇安信科技有限公司 基于全局网络拓扑结构的防火墙规则生成方法及服务器
CN113079180A (zh) * 2021-04-20 2021-07-06 成都安恒信息技术有限公司 一种基于执行上下文的防火墙细粒度访问控制方法及系统
CN113422783A (zh) * 2021-07-09 2021-09-21 深圳市高德信通信股份有限公司 一种网络攻击防护方法
CN114205147A (zh) * 2021-12-10 2022-03-18 济南大学 基于软件定义网络的链路泛洪攻击防御方法及系统

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108471397B (zh) * 2018-01-31 2020-12-15 华为技术有限公司 防火墙配置、报文发送方法和装置
CN110661761B (zh) * 2018-06-29 2021-12-14 西门子股份公司 一种访问控制设备、方法、计算机程序产品和计算机可读介质
US11516182B2 (en) * 2019-04-10 2022-11-29 Google Llc Firewall rules intelligence

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108521410A (zh) * 2018-03-19 2018-09-11 北京航空航天大学 车载以太网的安全防护架构
CN109660548A (zh) * 2018-12-28 2019-04-19 北京奇安信科技有限公司 基于全局网络拓扑结构的防火墙规则生成方法及服务器
CN113079180A (zh) * 2021-04-20 2021-07-06 成都安恒信息技术有限公司 一种基于执行上下文的防火墙细粒度访问控制方法及系统
CN113422783A (zh) * 2021-07-09 2021-09-21 深圳市高德信通信股份有限公司 一种网络攻击防护方法
CN114205147A (zh) * 2021-12-10 2022-03-18 济南大学 基于软件定义网络的链路泛洪攻击防御方法及系统

Also Published As

Publication number Publication date
CN116668164A (zh) 2023-08-29

Similar Documents

Publication Publication Date Title
EP3563554B1 (en) System and method for detecting unknown iot device types by monitoring their behavior
KR102504077B1 (ko) 이미지 기반의 captcha 과제
CN110166462B (zh) 访问控制方法、系统、电子设备及计算机存储介质
Kim Supervised learning‐based DDoS attacks detection: Tuning hyperparameters
CN111131283B (zh) 恶意软件检测系统攻击防止
Krundyshev et al. Hybrid neural network framework for detection of cyber attacks at smart infrastructures
US10812489B2 (en) Method and system for classifying network requests
Letteri et al. Security in the internet of things: botnet detection in software-defined networks by deep learning techniques
CN111508588B (zh) 训练装置、训练方法和计算机可读记录介质
CN114338064B (zh) 识别网络流量类型的方法、装置、系统、设备和存储介质
Basan et al. Intelligent intrusion detection system for a group of UAVs
WO2022026142A1 (en) Method and system for handling network intrusion
CN116668164B (zh) 工业防火墙安全隔离检测处理方法、系统及存储介质
KR102354094B1 (ko) 머신러닝 기반 보안관제 장치 및 방법
CN109922083B (zh) 一种网络协议流量控制系统
Nakahara et al. Machine Learning based Malware Traffic Detection on IoT Devices using Summarized Packet Data.
CN113630379A (zh) 一种网络安全态势预测方法、装置、设备及存储介质
CN103947158A (zh) 信息包数据提取装置、信息包数据提取装置的控制方法、控制程序、计算机可读取的记录介质
US11936665B2 (en) Method for monitoring data transiting via a user equipment
CN115865487B (zh) 一种具有隐私保护功能的异常行为分析方法和装置
CN115577353B (zh) 基于脑计算机制的网络安全防护方法和系统
CN112738808B (zh) 无线网络中DDoS攻击检测方法、云服务器及移动终端
JP7272456B2 (ja) トラヒック転送システム、トラヒック転送方法、データ収集装置、トラヒック転送装置およびプログラム
US20240152608A1 (en) Method for supporting decision-making in security control environment based on artificial intelligence
KR102013027B1 (ko) 피어 신뢰도 계산 방법 및 피어 평가 데이터의 업데이트 방법

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant