CN117336083B - 一种网络安全等级保护中的通信方法及系统 - Google Patents
一种网络安全等级保护中的通信方法及系统 Download PDFInfo
- Publication number
- CN117336083B CN117336083B CN202311407361.3A CN202311407361A CN117336083B CN 117336083 B CN117336083 B CN 117336083B CN 202311407361 A CN202311407361 A CN 202311407361A CN 117336083 B CN117336083 B CN 117336083B
- Authority
- CN
- China
- Prior art keywords
- network address
- source network
- request source
- data packet
- data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 37
- 238000004891 communication Methods 0.000 title claims abstract description 28
- 230000004044 response Effects 0.000 claims abstract description 48
- 230000002159 abnormal effect Effects 0.000 claims abstract description 36
- 230000005856 abnormality Effects 0.000 claims description 25
- 230000005540 biological transmission Effects 0.000 claims description 5
- 238000012163 sequencing technique Methods 0.000 claims 1
- 230000008569 process Effects 0.000 description 12
- 238000010586 diagram Methods 0.000 description 5
- 230000008901 benefit Effects 0.000 description 3
- 230000000694 effects Effects 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 239000013589 supplement Substances 0.000 description 2
- 230000002411 adverse Effects 0.000 description 1
- 238000004590 computer program Methods 0.000 description 1
- 230000009193 crawling Effects 0.000 description 1
- 238000007405 data analysis Methods 0.000 description 1
- 230000001419 dependent effect Effects 0.000 description 1
- 238000000586 desensitisation Methods 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 239000000284 extract Substances 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 239000000047 product Substances 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/105—Multiple levels of security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开一种网络安全等级保护中的通信方法及系统,涉及通讯安全技术领域。本发明包括,向数据服务端的敏感信息库中存入关键词;按照服务响应数据包的加密方式对关键词进行加密得到关键词加密字段;根据关键词加密字段对服务响应数据包进行比对并判断访问请求数据包是否异常;汇总获取请求源网络地址发送的异常的访问请求数据包以及对应的时间戳,并分级得到每个请求源网络地址的安全等级;根据每个请求源网络地址的安全等级以及设定限制规则对每个请求源网络地址设定单位时间内获取服务响应数据包的限制,得到请求源网络地址的数据服务限制。本发明对不同危险等级的用户端进行数据服务限制,提高网络服务的安全性。
Description
技术领域
本发明属于通讯安全技术领域,特别是涉及一种网络安全等级保护中的通信方法及系统。
背景技术
随着网络应用的日益增多,网络安全问题也日益突出,网络安全问题已经变得非常复杂。
为了应对这些安全挑战,各种网络安全技术不断地被开发和完善,例如,防火墙、入侵检测系统、加密通讯等。但是,这些技术往往需要大量的计算资源和专门的管理,而且在某些场合下可能会影响通讯效率。传统的通信方法主要基于固定的安全策略和统一的加密标准,但这往往不能满足不同用户和场合的具体需求。
发明内容
本发明的目的在于提供一种网络安全等级保护中的通信方法及系统,通过对不同网络地址进行判断分级,从而对不同危险等级的用户端进行数据服务限制,提高网络服务的安全性。
为解决上述技术问题,本发明是通过以下技术方案实现的:
本发明提供一种网络安全等级保护中的通信方法,包括,
向数据服务端的敏感信息库中存入关键词;
获取访问请求数据包;
获取所述访问请求数据包的请求源网络地址、目标网络地址和时间戳;
根据所述访问请求数据包的所述目标网络地址,请求获取所述目标网络地址对应的数据服务端对所述访问请求数据包响应返回的服务响应数据包以及所述服务响应数据包的加密方式;
按照所述服务响应数据包的加密方式对所述关键词进行加密得到关键词加密字段;
根据所述关键词加密字段对所述服务响应数据包进行比对并判断所述访问请求数据包是否异常;
汇总获取所述请求源网络地址发送的异常的访问请求数据包以及对应的时间戳,并分级得到每个所述请求源网络地址的安全等级;
根据每个所述请求源网络地址的安全等级以及设定限制规则对每个所述请求源网络地址设定单位时间内获取服务响应数据包的限制,得到所述请求源网络地址的数据服务限制。
本发明还公开了一种网络安全等级保护中的通信方法,包括,
用户端,用于发送访问请求数据包;
接收请求源网络地址的数据服务限制;
按照请求源网络地址的数据服务限制对发送所述访问请求数据包进行发送限制。
本发明还公开了一种网络安全等级保护中的通信方法,包括,
数据服务端,用于在敏感信息库中存入关键词;
接收请求源网络地址的数据服务限制;
按照请求源网络地址的数据服务限制对访问请求数据包进行响应限制。
本发明还公开了一种网络安全等级保护中的通信系统,包括,
安全防护服务器,用于向数据服务端的敏感信息库中存入关键词;
获取访问请求数据包;
获取所述访问请求数据包的请求源网络地址、目标网络地址和时间戳;
根据所述访问请求数据包的所述目标网络地址,请求获取所述目标网络地址对应的数据服务端对所述访问请求数据包响应返回的服务响应数据包以及所述服务响应数据包的加密方式;
按照所述服务响应数据包的加密方式对所述关键词进行加密得到关键词加密字段;
根据所述关键词加密字段对所述服务响应数据包进行比对并判断所述访问请求数据包是否异常;
汇总获取所述请求源网络地址发送的异常的访问请求数据包以及对应的时间戳,并分级得到每个所述请求源网络地址的安全等级;
根据每个所述请求源网络地址的安全等级以及设定限制规则对每个所述请求源网络地址设定单位时间内获取服务响应数据包的限制,得到所述请求源网络地址的数据服务限制;
用户端,用于发送访问请求数据包;
接收请求源网络地址的数据服务限制;
按照请求源网络地址的数据服务限制对发送所述访问请求数据包进行发送限制;
数据服务端,用于在敏感信息库中存入关键词;
接收请求源网络地址的数据服务限制;
按照请求源网络地址的数据服务限制对所述访问请求数据包进行响应限制。
本发明通过在数据服务端中预设关键词,能够在保障数据服务端信息安全的前提下判断用户端的数据访问是否异常,并据此实现对用户端的访问限制,避免用户端无节制的数据爬取对数据服务端的网络吞吐造成压力,同时也能够有效避免大量敏感数据被相同用户读取后产生的数据滥用和隐私泄露问题。
当然,实施本发明的任一产品并不一定需要同时达到以上所述的所有优点。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对实施例描述所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明所述一种网络安全等级保护中的通信系统于一实施例的功能模块及信息交互示意图;
图2为本发明所述用户端于一实施例的步骤流程示意图;
图3为本发明所述数据服务端于一实施例的步骤流程示意图;
图4为本发明所述安全防护服务器一实施例的步骤流程示意图;
图5为本发明所述步骤S21于一实施例的步骤流程示意图;
图6为本发明所述步骤S213于一实施例的步骤流程示意图;
图7为本发明所述步骤S2135于一实施例的步骤流程示意图;
图8为本发明所述步骤S25于一实施例的步骤流程示意图;
图9为本发明所述步骤S26于一实施例的步骤流程示意图;
图10为本发明所述步骤S27于一实施例的步骤流程示意图;
图11为本发明所述步骤S273于一实施例的步骤流程示意图;
附图中,各标号所代表的部件列表如下:
1-用户端,2-安全防护服务器,3-数据服务端,31-敏感信息库。
具体实施方式
为使本申请的目的、技术方案和优点更加清楚,下面将结合附图对本申请实施方式作进一步地详细描述。
需要说明的是,本申请中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本申请的实施例能够以除了在这里图示或描述的那些以外的顺序实施。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。
网络爬虫是一种自动化程序,用于在互联网上浏览、检索和收集信息。网络爬虫通过访问网页并提取其中的数据。对于涉及用户行为以及用户身份的数据,例如用户的历史发言状态等,如果任由爬虫对其进行爬取汇总,可能会通过用户画像描述的方式提取出用户的隐私信息。因此需要对用户的数据读取进行限制。与此同时,不同用户端的数据读取频率不同,读取的数据种类也不同,因此需要对其进行不同的限制,以免影响正常用户的使用。
请参阅图1和4所示,本发明提供了一种网络安全等级保护中的通信系统,包括提供网络数据服务的数据服务端3以及面向用户的用户端1。在数据服务端3向用户端1提供网络数据服务的过程中,为了对用户端1的访问进行监控和适当限制,可以由独立第三方的数据服务端3提供安全防护服务。
但是为了避免数据服务端3内存储的用户敏感信息被提供安全防护服务的数据服务端3获取,从而产生道德风险。需要让数据服务端3在全部不需要接触明文信息的情况下实现信息防护的技术效果。
从数据服务端3的角度看,本方案在实施的过程中首先可以执行步骤S21向数据服务端的敏感信息库中存入关键词,关键词可以是一段特殊的字符串,目的用于对敏感数据进行标记。接下来可以执行步骤S22获取访问请求数据包。接下来可以执行步骤S23获取访问请求数据包的请求源网络地址、目标网络地址和时间戳,这些信息可以在访问请求数据包的包头数据中直接读取得到。接下来可以执行步骤S24根据访问请求数据包的目标网络地址,请求获取目标网络地址对应的数据服务端对访问请求数据包响应返回的服务响应数据包以及服务响应数据包的加密方式。加密网络服务通常使用SSL/TLS协议加密网络通讯。
在SSL/TLS加密过程中,明文数据会被转换为密文数据,但通常情况下,数据的顺序不会发生变化。这意味着,加密后的数据包的顺序与加密前的数据包的顺序是一致的。为了让数据服务端3在不接触敏感信息库31内明文信息的情况下实现对用户端1的监测,接下来可以执行步骤S25按照服务响应数据包的加密方式对关键词进行加密得到关键词加密字段。接下来可以执行步骤S26根据关键词加密字段对服务响应数据包进行比对并判断访问请求数据包是否异常。接下来可以执行步骤S27汇总获取请求源网络地址发送的异常的访问请求数据包以及对应的时间戳,并分级得到每个请求源网络地址的安全等级。最后可以执行步骤S28根据每个请求源网络地址的安全等级以及设定限制规则对每个请求源网络地址设定单位时间内获取服务响应数据包的限制,得到请求源网络地址的数据服务限制。本方案中的设定限制规则可以是由管理员自行设定的限流规则,让安全等级更为安全的用户端1享有更宽松的信息服务环境,安全等级更为危险的用户端1对其进行限流。
请参阅图2所示,从用户端1的角度理解本方案,首先可以执行步骤S11发送访问请求数据包,接下来可以执行步骤S12接收请求源网络地址的数据服务限制。最后可以执行步骤S13按照请求源网络地址的数据服务限制对发送访问请求数据包进行发送限制。
请参阅图3所示,从数据服务端3的角度理解本方案,首先可以执行步骤S31在敏感信息库中存入关键词,接下来可以执行步骤S32接收请求源网络地址的数据服务限制。接下来可以执行步骤S33按照请求源网络地址的数据服务限制对访问请求数据包进行响应限制。
请参阅图5所示,为了让安全防护服务器2在不接触数据服务端3中明文数据的情况下对数据服务端3响应加密输出的服务响应数据包进行审查,需要向数据服务端3的敏感信息库31中存入关键词,关键词需要起到标记的作用,同时密度也不宜太高以免过度影响正常数据服务。在具体实施的过程中,敏感信息库可以是关系型数据库,也可以是非关系型数据库,为了便于说明,以下以关系型数据库为例进行说明。首先可以执行步骤S211按照敏感信息的种类在敏感信息库内创建若干个数据仓库,每个数据仓库内容纳若干张数据表,在具体应用中将存储敏感信息存储在数据表内。接下来可以执行步骤S212获取敏感信息库内的每张数据表内每条数据记录的键值。接下来可以执行步骤S213按照每条数据记录的初始键值均匀间隔插入关键词。最后可以执行步骤S214将插入关键词后的数据表的键值进行更新得到插入关键词后的敏感信息库。需要补充说明的是,为了避免插入的关键词被用户提取,同时也为了避免关键词对用户正常的信息服务造成的不良干扰,在安全防护服务器2完成对用户端1安全等级的判断之后将关键词进行滤除,只是将其请求的数据返回至对应的客户端。
请参阅图6所示,数据服务端3在提供数据服务时,根据访问请求数据包解析出数据查询指令,再依据数据查询指令检索敏感信息库31得到所需的数据,在此过程中为了让关键词也被查询提取到,上述的步骤S213在具体实施的过程中首先可以执行步骤S2131获取每个数据仓库对应的敏感信息的种类。接下来可以执行步骤S2132将每个数据仓库对应的敏感信息的种类记录至对应的关键词。接下来可以执行步骤S2133生成与对应的敏感信息的种类不相同的特征信息。接下来可以执行步骤S2134将特征信息至对应的关键词,接下来可以执行步骤S2135获取每个数据表内插入关键词的密度。接下来可以执行步骤S2136根据数据表内插入关键词的密度以及数据表内键值的数量得到将关键词均匀间隔插入数据表后的键值。最后可以执行步骤S2137将与关键词相邻的若干个数据记录中存储的敏感信息记录至对应的关键词。
请参阅图7所示,为了尽量减少在敏感信息库31内插入的关键词的数量,减少敏感信息库31的数据占用,对于每个数据表上述的步骤S2135在具体实施的过程中首先可以执行步骤S21351获取每个获取数据表历次响应生成的多个服务响应数据包内包含的敏感信息记录的数量。接下来可以执行步骤S21352将多个服务响应数据包内包含的敏感信息记录的数量按照数值大小进行排序得到历次包含敏感信息记录的数量的列表。接下来可以执行步骤S21353在历次包含敏感信息记录的数量的列表中由小至大获取若干个数量值。接下来可以执行步骤S21354获取若干个数量值的众数。最后可以执行步骤S21355将若干个数量值的众数的倒数作为每个数据表内关键词的比例得到数据表内插入关键词的密度。
为了对上述的步骤S21351至步骤S21355的实施过程进行补充说明,提供部分功能模块的源代码,并在注释部分进行对照解释说明。为了符合相关法律法规对数据服务的隐私安全要求,对不影响方案实施的部分数据进行脱敏处理,下同。
代码首先定义了一个ServiceResponse结构体,用于模拟服务响应数据包。然后定义了一个DataTable类,用于模拟数据表。在这个类中,可以添加服务响应数据包,并可以获取插入关键词的密度。在获取密度的过程中,首先统计了每个响应数据包内包含的敏感信息记录的数量,然后对这些数量进行排序,并选取其中的一部分(例如前50%)来计算众数。最后,使用众数的倒数作为密度。在main函数中,模拟了一个数据表,并向其添加了三个服务响应数据包。最后输出关键词的密度。
请参阅图8所示,本方案中用户端1与数据服务端3之间的加密通讯使用SSL/TLS加密。数据在加密过程中会被转换为密文,但其顺序通常保持不变,以确保加密和解密的正确性。这有助于确保数据的机密性和完整性,同时维持通信的正确性。有鉴于明文和密文之间字符顺序的一致性,关键词在进行加密得到关键词加密字段的过程中首先可以执行步骤S251获取每个所述关键词内每个关键字以及所述关键字之间的间隔字符数量。接下来可以执行步骤S252将所述关键词内每个关键字按照对应的所述服务响应数据包的加密方式进行加密得到关键加密字。最后可以执行步骤S253将关键加密字按照对应所述关键字之间的间隔字符数量进行组合得到所述关键词对应的关键词加密字段。
请参阅图9所示,为了判断访问请求数据包是否异常,也就是是否包含关键词,这就需要进行比对,具体而言,上述的步骤S26在具体实施的过程中首先可以执行步骤S261将关键词加密字段中的每个关键加密字与服务响应数据包内的数据进行比对,并判断是否有比对命中的关键加密字。若否则接下来可以执行步骤S262判断访问请求数据包正常,若是则接下来可以执行步骤S263判断比对命中的关键加密字之间是否符合对应关键字之间的间隔字符数量。若否则接下来可以执行步骤S264判断访问请求数据包正常,若是则接下来可以执行步骤S265判断访问请求数据包异常。
请参阅图10所示,在正常的互联网服务中,常规的普通用户占比对最多的,其数据访问量,尤其是对隐私敏感信息的访问量也是较少的。但是恶意用户,尤其是恶意爬虫用户则会高频次访问敏感信息。不同程度的恶意爬虫其访问敏感信息的频次也有差异,对其可以进行不同程度的限制。但是首先应该根据请求源网络地址发送的异常的访问请求数据包的时刻判断不同网络地址的用户端1的安全等级。具体而言,上述的步骤S27在具体实施的过程中首先可以执行步骤S271根据请求源网络地址发送的异常的访问请求数据包以及对应的时间戳得到请求源网络地址历次触发异常的时刻。接下来可以执行步骤S272根据请求源网络地址历次触发异常的时刻得到请求源网络地址在当前时段的触发异常频率。接下来可以执行步骤S273根据多个请求源网络地址在当前时段的触发异常频率判断请求源网络地址的触发异常频率的等级梯度。本方案中过的等级梯度可以是不同触发异常频率的程度,将触发异常频率相同或相近的请求源网络地址划入同一个等级梯度。最后可以执行步骤S274按照请求源网络地址的触发异常频率的等级梯度得到每个请求源网络地址的安全等级。
请参阅图11所示,为了判断请求源网络地址的触发异常频率的等级梯度,上述的步骤S273在具体实施的过程中首先可以执行步骤S2731将请求源网络地址在当前时段的触发异常频率作为请求源网络地址的异常指数。接下来可以执行步骤S2732将每个请求源网络地址的异常指数按照数值大小进行排列得到请求源网络地址的异常指数的序列作为当前异常频率序列。接下来可以执行步骤S2733计算获取当前异常频率序列中相邻的异常指数之间的差值的平均值作为当前异常频率序列的邻差均值。接下来可以执行步骤S2734将当前异常频率序列中与相邻的异常指数小于邻差均值的若干个异常指数纳入同一个子序列。接下来可以执行步骤S2735按照子序列内包含的异常指数的数值由小至大进行排序得到每个子序列的序号。最后可以执行步骤S2736将子序列的序号作为子序列内包含的异常指数对应的请求源网络地址的触发异常频率的等级梯度。也就是越安全的情况下等级梯度数值越小。
为了对上述的步骤S2731至步骤S2736的实施过程进行补充说明,提供部分功能模块的源代码,并在注释部分进行对照解释说明。
/>
/>
这段代码定义了一个异常数据结构,并创建了一个频率分析器类来进行数据分析。分析器首先按触发异常的频率对数据进行排序。接着,它计算了邻差均值,并根据这个值来分割数据成为子序列。最后,它赋予每个请求源网络地址一个梯度,这个梯度基于它所在的子序列。在主程序中,添加了一些模拟数据并输出了每个地址的梯度。
附图中的流程图和框图显示了根据本申请的多个实施例的装置、系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段或指令的一部分,所述模块、程序段或指令的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。在有些作为替换的实现中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个连续的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。
也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行相应的功能或动作的硬件,例如电路或ASIC(专用集成电路,Application Specific Integrated Circuit)来实现,或者可以用硬件和软件的组合,如固件等来实现。
尽管在此结合各实施例对本发明进行了描述,然而,在实施所要求保护的本发明过程中,本领域技术人员通过查看所述附图、公开内容、以及所附权利要求书,可理解并实现所述公开实施例的其它变化。在权利要求中,“包括”(comprising)一词不排除其他组成部分或步骤,“一”或“一个”不排除多个的情况。单个处理器或其它单元可以实现权利要求中列举的若干项功能。相互不同的从属权利要求中记载了某些措施,但这并不表示这些措施不能组合起来产生良好的效果。
以上已经描述了本申请的各实施例,上述说明是示例性的,并非穷尽性的,并且也不限于所披露的各实施例。在不偏离所说明的各实施例的范围的情况下,对于本技术领域的普通技术人员来说许多修改和变更都是显而易见的。本文中所用术语的选择,旨在最好地解释各实施例的原理、实际应用或对市场中的技术的改进,或者使本技术领域的其它普通技术人员能理解本文披露的各实施例。
Claims (9)
1.一种网络安全等级保护中的通信方法,其特征在于,包括,
向数据服务端的敏感信息库中存入关键词;
获取访问请求数据包;
获取所述访问请求数据包的请求源网络地址、目标网络地址和时间戳;
根据所述访问请求数据包的所述目标网络地址,请求获取所述目标网络地址对应的数据服务端对所述访问请求数据包响应返回的服务响应数据包以及所述服务响应数据包的加密方式;
按照所述服务响应数据包的加密方式对所述关键词进行加密得到关键词加密字段;
根据所述关键词加密字段对所述服务响应数据包进行比对并判断所述访问请求数据包是否异常;
汇总获取所述请求源网络地址发送的异常的访问请求数据包以及对应的时间戳,并分级得到每个所述请求源网络地址的安全等级;
根据每个所述请求源网络地址的安全等级以及设定限制规则对每个所述请求源网络地址设定单位时间内获取服务响应数据包的限制,得到所述请求源网络地址的数据服务限制;
其中,所述汇总获取所述请求源网络地址发送的异常的访问请求数据包以及对应的时间戳,并分级得到每个所述请求源网络地址的安全等级的步骤,包括,
根据所述请求源网络地址发送的异常的访问请求数据包以及对应的时间戳得到所述请求源网络地址历次触发异常的时刻;
根据所述请求源网络地址历次触发异常的时刻得到所述请求源网络地址在当前时段的触发异常频率;
根据多个所述请求源网络地址在当前时段的触发异常频率判断所述请求源网络地址的触发异常频率的等级梯度;
按照所述请求源网络地址的触发异常频率的等级梯度得到每个所述请求源网络地址的安全等级。
2.根据权利要求1所述的方法,其特征在于,所述向数据服务端的敏感信息库中存入关键词的步骤,包括,
所述敏感信息库为关系型数据库;
按照敏感信息的种类在所述敏感信息库内创建若干个数据仓库,每个所述数据仓库内容纳若干张数据表,其中,所述数据表用于存储敏感信息;
获取所述敏感信息库内的每张数据表内每条数据记录的键值;
按照每条数据记录的初始键值均匀间隔插入所述关键词;
将插入关键词后的数据表的键值进行更新得到插入关键词后的敏感信息库。
3.根据权利要求2所述的方法,其特征在于,所述按照每条数据记录的初始键值均匀间隔插入所述关键词的步骤,包括,
获取每个数据仓库对应的敏感信息的种类;
将每个数据仓库对应的敏感信息的种类记录至对应的关键词;
生成与对应的敏感信息的种类不相同的特征信息;
将所述特征信息记录至对应的关键词;
获取每个数据表内插入所述关键词的密度;
根据数据表内插入所述关键词的密度以及数据表内键值的数量得到将关键词均匀间隔插入数据表后的键值;
将与关键词相邻的若干个数据记录中存储的敏感信息记录至对应的关键词。
4.根据权利要求1所述的方法,其特征在于,所述按照所述服务响应数据包的加密方式对所述关键词进行加密得到关键词加密字段的步骤,包括,
获取每个所述关键词内每个关键字以及所述关键字之间的间隔字符数量;
将所述关键词内每个关键字按照对应的所述服务响应数据包的加密方式进行加密得到关键加密字;
将关键加密字按照对应所述关键字之间的间隔字符数量进行组合得到所述关键词对应的关键词加密字段。
5.根据权利要求4所述的方法,其特征在于,所述根据所述关键词加密字段对所述服务响应数据包进行比对并判断所述访问请求数据包是否异常的步骤,包括,
将所述关键词加密字段中的每个所述关键加密字与所述服务响应数据包内的数据进行比对,并判断是否有比对命中的所述关键加密字;
若否,则判断所述访问请求数据包正常;
若是,则判断比对命中的所述关键加密字之间是否符合对应所述关键字之间的间隔字符数量,
若否,则判断所述访问请求数据包正常,
若是,则判断所述访问请求数据包异常。
6.根据权利要求1所述的方法,其特征在于,所述根据多个所述请求源网络地址在当前时段的触发异常频率判断所述请求源网络地址的触发异常频率的等级梯度的步骤,包括,
将所述请求源网络地址在当前时段的触发异常频率作为所述请求源网络地址的异常指数;
将每个所述请求源网络地址的异常指数按照数值大小进行排列得到所述请求源网络地址的异常指数的序列作为当前异常频率序列;
计算获取当前异常频率序列中相邻的异常指数之间的差值的平均值作为所述当前异常频率序列的邻差均值;
将所述当前异常频率序列中与相邻的异常指数小于所述邻差均值的若干个异常指数纳入同一个子序列;
按照子序列内包含的异常指数的数值由小至大进行排序得到每个子序列的序号;
将子序列的序号作为子序列内包含的异常指数对应的请求源网络地址的触发异常频率的等级梯度。
7.一种网络安全等级保护中的通信方法,其特征在于,包括,
用户端,用于发送访问请求数据包;
接收权利要求1至6任一项所述的一种网络安全等级保护中的通信方法中的请求源网络地址的数据服务限制;
按照请求源网络地址的数据服务限制对发送所述访问请求数据包进行发送限制。
8.一种网络安全等级保护中的通信方法,其特征在于,包括,
数据服务端,用于按照权利要求1至6任一项所述的一种网络安全等级保护中的通信方法在敏感信息库中存入关键词;
接收权利要求1至6任一项所述的一种网络安全等级保护中的通信方法中的请求源网络地址的数据服务限制;
按照请求源网络地址的数据服务限制对访问请求数据包进行响应限制。
9.一种网络安全等级保护中的通信系统,其特征在于,包括,
安全防护服务器,用于向数据服务端的敏感信息库中存入关键词;
获取访问请求数据包;
获取所述访问请求数据包的请求源网络地址、目标网络地址和时间戳;
根据所述访问请求数据包的所述目标网络地址,请求获取所述目标网络地址对应的数据服务端对所述访问请求数据包响应返回的服务响应数据包以及所述服务响应数据包的加密方式;
按照所述服务响应数据包的加密方式对所述关键词进行加密得到关键词加密字段;
根据所述关键词加密字段对所述服务响应数据包进行比对并判断所述访问请求数据包是否异常;
汇总获取所述请求源网络地址发送的异常的访问请求数据包以及对应的时间戳,并分级得到每个所述请求源网络地址的安全等级;
根据每个所述请求源网络地址的安全等级以及设定限制规则对每个所述请求源网络地址设定单位时间内获取服务响应数据包的限制,得到所述请求源网络地址的数据服务限制;
用户端,用于发送访问请求数据包;
接收请求源网络地址的数据服务限制;
按照请求源网络地址的数据服务限制对发送所述访问请求数据包进行发送限制;
数据服务端,用于在敏感信息库中存入关键词;
接收请求源网络地址的数据服务限制;
按照请求源网络地址的数据服务限制对所述访问请求数据包进行响应限制;
其中,所述汇总获取所述请求源网络地址发送的异常的访问请求数据包以及对应的时间戳,并分级得到每个所述请求源网络地址的安全等级的步骤,包括,
根据所述请求源网络地址发送的异常的访问请求数据包以及对应的时间戳得到所述请求源网络地址历次触发异常的时刻;
根据所述请求源网络地址历次触发异常的时刻得到所述请求源网络地址在当前时段的触发异常频率;
根据多个所述请求源网络地址在当前时段的触发异常频率判断所述请求源网络地址的触发异常频率的等级梯度;
按照所述请求源网络地址的触发异常频率的等级梯度得到每个所述请求源网络地址的安全等级。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202311407361.3A CN117336083B (zh) | 2023-10-27 | 2023-10-27 | 一种网络安全等级保护中的通信方法及系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202311407361.3A CN117336083B (zh) | 2023-10-27 | 2023-10-27 | 一种网络安全等级保护中的通信方法及系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN117336083A CN117336083A (zh) | 2024-01-02 |
CN117336083B true CN117336083B (zh) | 2024-05-14 |
Family
ID=89295331
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202311407361.3A Active CN117336083B (zh) | 2023-10-27 | 2023-10-27 | 一种网络安全等级保护中的通信方法及系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN117336083B (zh) |
Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105681276A (zh) * | 2015-12-25 | 2016-06-15 | 亿阳安全技术有限公司 | 一种敏感信息泄露主动监控与责任认定方法与装置 |
US9787668B1 (en) * | 2015-08-03 | 2017-10-10 | Linkedin Corporation | Sensitive user information management system and method |
CN110119428A (zh) * | 2019-04-19 | 2019-08-13 | 腾讯科技(深圳)有限公司 | 一种区块链信息管理方法、装置、设备及存储介质 |
CN110348239A (zh) * | 2019-06-13 | 2019-10-18 | 平安普惠企业管理有限公司 | 脱敏规则配置方法以及数据脱敏方法、系统、计算机设备 |
CN112270016A (zh) * | 2020-10-27 | 2021-01-26 | 上海淇馥信息技术有限公司 | 业务数据请求的处理方法、装置及电子设备 |
CN114124476A (zh) * | 2021-11-05 | 2022-03-01 | 苏州浪潮智能科技有限公司 | 一种Web应用的敏感信息泄露漏洞检测方法、系统及装置 |
CN114205118A (zh) * | 2021-11-17 | 2022-03-18 | 南方电网数字电网研究院有限公司 | 基于数据安全法范畴的数据访问控制分析方法 |
CN115664857A (zh) * | 2022-12-26 | 2023-01-31 | 安徽国审信息科技有限公司 | 一种网络信息安全的保护方法、系统、设备及存储介质 |
-
2023
- 2023-10-27 CN CN202311407361.3A patent/CN117336083B/zh active Active
Patent Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9787668B1 (en) * | 2015-08-03 | 2017-10-10 | Linkedin Corporation | Sensitive user information management system and method |
CN105681276A (zh) * | 2015-12-25 | 2016-06-15 | 亿阳安全技术有限公司 | 一种敏感信息泄露主动监控与责任认定方法与装置 |
CN110119428A (zh) * | 2019-04-19 | 2019-08-13 | 腾讯科技(深圳)有限公司 | 一种区块链信息管理方法、装置、设备及存储介质 |
CN110348239A (zh) * | 2019-06-13 | 2019-10-18 | 平安普惠企业管理有限公司 | 脱敏规则配置方法以及数据脱敏方法、系统、计算机设备 |
CN112270016A (zh) * | 2020-10-27 | 2021-01-26 | 上海淇馥信息技术有限公司 | 业务数据请求的处理方法、装置及电子设备 |
CN114124476A (zh) * | 2021-11-05 | 2022-03-01 | 苏州浪潮智能科技有限公司 | 一种Web应用的敏感信息泄露漏洞检测方法、系统及装置 |
CN114205118A (zh) * | 2021-11-17 | 2022-03-18 | 南方电网数字电网研究院有限公司 | 基于数据安全法范畴的数据访问控制分析方法 |
CN115664857A (zh) * | 2022-12-26 | 2023-01-31 | 安徽国审信息科技有限公司 | 一种网络信息安全的保护方法、系统、设备及存储介质 |
Also Published As
Publication number | Publication date |
---|---|
CN117336083A (zh) | 2024-01-02 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11343268B2 (en) | Detection of network anomalies based on relationship graphs | |
US9313232B2 (en) | System and method for data mining and security policy management | |
US8601537B2 (en) | System and method for data mining and security policy management | |
US8504537B2 (en) | Signature distribution in a document registration system | |
KR100619178B1 (ko) | 인터넷 검색 엔진에 있어서의 무효 클릭 검출 방법 및 장치 | |
US20070226504A1 (en) | Signature match processing in a document registration system | |
CN110012005B (zh) | 识别异常数据的方法、装置、电子设备及存储介质 | |
CN111767573A (zh) | 数据库安全管理方法、装置、电子设备及可读存储介质 | |
Serketzis et al. | Actionable threat intelligence for digital forensics readiness | |
CN114915479A (zh) | 一种基于Web日志的Web攻击阶段分析方法及系统 | |
US20180316702A1 (en) | Detecting and mitigating leaked cloud authorization keys | |
US20130246338A1 (en) | System and method for indexing a capture system | |
Wurzenberger et al. | Applying high-performance bioinformatics tools for outlier detection in log data | |
Kotenko et al. | Detection of stego-insiders in corporate networks based on a hybrid NoSQL database model | |
CN117336083B (zh) | 一种网络安全等级保护中的通信方法及系统 | |
Ham et al. | Big Data Preprocessing Mechanism for Analytics of Mobile Web Log. | |
CN114500122B (zh) | 一种基于多源数据融合的特定网络行为分析方法和系统 | |
Shin et al. | Applying data mining techniques to analyze alert data | |
Lv et al. | Publishing triangle counting histogram in social networks based on differential privacy | |
KR100619179B1 (ko) | 인터넷 검색 엔진에 있어서의 무효 클릭 검출 방법 및 장치 | |
Xu | Correlation analysis of intrusion alerts | |
Sun et al. | Mining frequent attack sequence in web logs | |
Lu et al. | Msfa: Multiple system fingerprint attack scheme for iot anonymous communication | |
Raghavan et al. | Analytics using metadata associations for digital investigations | |
Lee et al. | Design and implementation of alert analyzer with data mining engine |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |