JP2023508302A - ネットワークセキュリティ保護方法及び保護デバイス - Google Patents

ネットワークセキュリティ保護方法及び保護デバイス Download PDF

Info

Publication number
JP2023508302A
JP2023508302A JP2022537782A JP2022537782A JP2023508302A JP 2023508302 A JP2023508302 A JP 2023508302A JP 2022537782 A JP2022537782 A JP 2022537782A JP 2022537782 A JP2022537782 A JP 2022537782A JP 2023508302 A JP2023508302 A JP 2023508302A
Authority
JP
Japan
Prior art keywords
address
risk
data flow
source
identifier
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2022537782A
Other languages
English (en)
Other versions
JP7462757B2 (ja
Inventor
▲強▼ 李
武 ▲蒋▼
健▲偉▼ ▲喩▼
▲ユ▼ 槐
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Huawei Technologies Co Ltd
Original Assignee
Huawei Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Huawei Technologies Co Ltd filed Critical Huawei Technologies Co Ltd
Publication of JP2023508302A publication Critical patent/JP2023508302A/ja
Application granted granted Critical
Publication of JP7462757B2 publication Critical patent/JP7462757B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0263Rule management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Business, Economics & Management (AREA)
  • General Business, Economics & Management (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

本出願の実施形態は、保護精度を改善するため、データフローが攻撃的であるかどうかを正確に識別するために、ネットワークセキュリティ保護方法及び保護デバイスを開示する。ネットワークセキュリティ保護方法は、第1のデータフローを受信するステップであって、第1のデータフローは送信元IPアドレス及び宛先IPアドレスを含み、送信元IPアドレスは第1の電子デバイスのIPアドレスであり、宛先IPアドレスは第1のサーバのIPアドレスである、ステップと、送信元IPアドレスに対応する第1のデバイス属性情報を決定するステップと、宛先IPアドレスに対応する第2のデバイス属性情報を決定するステップと、第1のデバイス属性情報が第2のデバイス属性情報と一致するとき、第1のデータフローを転送するステップ、又は第1のデバイス属性情報が第2のデバイス属性情報と一致しないとき、第1のデータフローをブロックするステップとを含む。

Description

本出願は、その全体が参照により本明細書に組み込まれている、2019年12月31日に中国国家知識産権局に提出された「NETWORK SECURITY PROTECTION METHOD AND PROTECTION DEVICE」なる名称の中国特許出願第201911408206.7号に基づく優先権を主張する。
本出願は、通信技術の分野に関し、より詳細には、ネットワークセキュリティ保護方法及び保護デバイスに関する。
セキュリティ保護デバイスは、サービスサーバをハッカー攻撃から保護するために、さまざまなタイプのサービスサーバに向けてネットワークセキュリティ保護サービスを提供し得る。セキュリティ保護デバイスは、クライアントと保護対象のサービスサーバとの間に配置される。クライアントによって生成された大量のデータフローは、最初にセキュリティ保護デバイスに入る。セキュリティ保護デバイスは、安全なデータフローを得るために異常なデータフローをフィルタリングして取り除き、その結果、セキュアなデータフローがサービスサーバに入る。コンピュータネットワーク技術の分野では、データフロー(又はパケットフローとも呼ばれる)は、送信元コンピュータから宛先側への一連のパケットであり、宛先側は、コンピュータ、マルチキャストグループ、又はブロードキャストドメインである。
現在、セキュリティ保護デバイスは、データフローをフィルタリングするためにブラックリストメカニズムを使用している。具体的には、セキュリティ保護デバイスは、事前設定されたインターネットプロトコル(Internet protocol、IP)脅威データベースを格納し、IP脅威データベースはIPアドレスを含む。セキュリティ保護デバイスがクライアントによって送信された大量のデータフローを受信した後、トラフィック保護システムは、データフロー内の送信元IPアドレスがIP脅威データベースに存在するかどうかを判定する。データフローのうちの1つの送信元IPアドレスAがIP脅威データベースに存在する場合、セキュリティ保護デバイスは、IPアドレスAが攻撃的なIPアドレスであると見なし、セキュリティ保護デバイスは、サービスサーバをハッカー攻撃から保護するためにデータフローをブロックする。セキュリティ保護デバイスは、IP脅威データベースにないIPアドレスはセキュアであると判断し、その送信元IPアドレスがIP脅威データベースにないIPアドレスであるデータフローをブロックしない。
IP脅威データベースに格納されるIPアドレスは比較的限定されており、多くの攻撃的なIPアドレスはIP脅威データベースに格納されていない。したがって、既存のセキュリティ保護デバイスは多くの攻撃的なデータフローを見落とし得、その結果、既存のセキュリティ保護デバイスの保護精度が低くなる。
本出願の実施形態は、データフローが攻撃的であるかどうかを正確に識別するために、ネットワークセキュリティ保護方法及び保護デバイスを提供する。
第1の態様によれば、本願の一実施形態はネットワークセキュリティ保護方法を提供する。方法は、以下のステップ、すなわち、第1のデータフローを受信するステップであって、第1のデータフローは送信元IPアドレス及び宛先IPアドレスを含み、送信元IPアドレスは第1の電子デバイスのIPアドレスであり、宛先IPアドレスは第1のサーバのIPアドレスである、ステップと、送信元IPアドレスに対応する第1のデバイス属性情報を決定するステップであって、第1のデバイス属性情報は第1のデバイスタイプ及び第1のサービスタイプを含み、第1のデバイスタイプは第1の電子デバイスのデバイスタイプであり、第1のサービスタイプは第1のデバイスタイプによってアクセスされることができるサービスタイプである、ステップと、宛先IPアドレスに対応する第2のデバイス属性情報を決定するステップであって、第2のデバイス属性情報は第2のデバイスタイプ及び第2のサービスタイプを含み、第2のデバイスタイプは第1のサーバにアクセスすることを許されたデバイスタイプであり、第2のサービスタイプは第1のサーバによって提供されるサービスのサービスタイプである、ステップと、第1のデバイス属性情報が第2のデバイス属性情報と一致するとき第1のデータフローを転送するステップ、又は第1のデバイス属性情報が第2のデバイス属性情報と一致しないとき、第1のデータフローをブロックするステップとを含む。
第1の態様では、第1のデバイス属性情報が第2のデバイス属性情報と一致する場合、それは第1の電子デバイスが第1のサーバの要件を満たすことを示す。言い換えれば、第1のデータフローはセキュアで非攻撃的なデータフローである。したがって、第1のデータフローは転送される。第1のデバイス属性情報が第2のデバイス属性情報と一致しない場合、それは第1の電子デバイスが第1のサーバの要件を満たさないことを示す。言い換えれば、第1のデータフローは非セキュアで攻撃的なデータフローである。したがって、第1のデータフローはブロックされる必要がある。したがって、本出願のこの実施形態で提供される解決策によれば、電子デバイスによって送信されたデータフローが攻撃的であるかどうかが正確に識別されることができ、攻撃的なデータフローがブロックされることができ、その結果、セキュアなデータフローがサービスサーバに入る。したがって、本出願のこの実施形態で提供される解決策の保護精度は比較的高い。
任意選択的に、第1の態様の可能な一実施態様では、送信元IPアドレスに対応する第1のデバイス属性情報を決定するステップの前に、方法は、第1のデータフロー内の宛先IPアドレスに対応する検出識別子を決定するステップであって、検出識別子は第1の識別子又は第2の識別子であり、第1の識別子は第1のサーバが現在攻撃されていることを示すために使用され、第2の識別子は第1のサーバが現在攻撃されていないことを示すために使用される、ステップと、検出識別子が第1の識別子であるとき、送信元IPアドレスに対応するリスク値を決定するステップ、及び送信元IPアドレスに対応するリスク値が第1のリスク範囲内にあるとき、第1のデータフローをブロックするステップ、又は送信元IPアドレスに対応するリスク値が第2のリスク範囲内にあるとき、送信元IPアドレスに対応する第1のデバイス属性情報を決定するステップを行うステップ、であって、第1のリスク範囲における最小値は第2のリスク範囲における最大値よりも大きいか又は第2のリスク範囲における最小値は第1のリスク範囲における最大値よりも大きく、第1のリスク範囲におけるリスク値によって示されるリスクはすべて第2のリスク範囲におけるリスク値によって示されるリスクよりも高い、ステップ、又は検出識別子が第2の識別子であるとき、第1のデータフローを転送するステップとをさらに含む。
宛先IPアドレスに対応する検出識別子が第1の識別子であるとき、それは第1のサーバが現在攻撃されていることを示す。したがって、送信元IPアドレスに対応するリスク値が決定される必要がある。宛先IPアドレスに対応する検出識別子が第2の識別子であるとき、それは第1のサーバが現在攻撃されていないことを示す。したがって、第1のデータフローが攻撃的なデータフローであるかどうかが検出される必要はなく、第1のデータフローは直接転送され得、第1のデータフローが攻撃的なデータフローであるかどうかを検出するステップは省略される。このようにして、保護デバイスの処理リソースが低減され、第1のデータフローが攻撃的なデータフローであるかどうかを検出することによって生じる伝送遅延が低減され、サービス応答適時性が改善される。送信元IPアドレスに対応するリスク値が第1のリスク範囲内にあるとき、それは送信元IPアドレスが第1のサーバを攻撃する可能性がより高いことを示す。したがって、保護デバイスは、第1のデータフローによって第1のサーバが攻撃されるのを防止するために、第1のデータフローをブロックする。送信元IPアドレスに対応するリスク値が第2のリスク範囲内にあるとき、それは送信元IPアドレスが第1のサーバを攻撃する可能性がより低いことを示すが、第1のデータフローがセキュアであると見なされることはできない。したがって、保護デバイスは、第1のデータフローが攻撃的であるかどうかを検出することを続ける。第1のデータフローが攻撃的であると決定された場合、第1のデータフローによって第1のサーバが攻撃されるのを防止するために、第1のデータフローはブロックされ得る。
任意選択的に、第1の態様の可能な一実施態様では、送信元IPアドレスに対応する第1のデバイス属性情報を決定するステップの前に、方法は、送信元IPアドレスに対応するリスク値を決定するステップと、送信元IPアドレスに対応するリスク値が第1のリスク範囲内にあるとき、第1のデータフローをブロックするステップ、又は送信元IPアドレスに対応するリスク値が第2のリスク範囲内にあるとき、送信元IPアドレスに対応する第1のデバイス属性情報を決定するステップを行うステップであって、第1のリスク範囲における最小値は第2のリスク範囲における最大値よりも大きいか又は第2のリスク範囲における最小値は第1のリスク範囲における最大値よりも大きく、第1のリスク範囲におけるリスク値によって示されるリスクはすべて第2のリスク範囲におけるリスク値によって示されるリスクよりも高い、ステップとをさらに含む。
送信元IPアドレスに対応するリスク値が第1のリスク範囲内にあるとき、それは送信元IPアドレスが第1のサーバを攻撃する可能性がより高いことを示す。したがって、保護デバイスは、第1のデータフローによって第1のサーバが攻撃されるのを防止するために、第1のデータフローをブロックする。送信元IPアドレスに対応するリスク値が第2のリスク範囲内にあるとき、それは送信元IPアドレスが第1のサーバを攻撃する可能性がより低いことを示すが、第1のデータフローがセキュアであると見なされることはできない。したがって、保護デバイスは、第1のデータフローが攻撃的であるかどうかを検出することを続ける。第1のデータフローが攻撃的であると決定された場合、第1のデータフローによって第1のサーバが攻撃されるのを防止するために、第1のデータフローはブロックされ得る。
任意選択的に、第1の態様の可能な一実施態様では、送信元IPアドレスに対応する第1のデバイス属性情報を決定するステップの前に、方法は、第1のデータフロー内の宛先IPアドレスに対応する検出識別子を決定するステップであって、検出識別子は第1の識別子又は第2の識別子であり、第1の識別子は第1のサーバが現在攻撃されていることを示すために使用され、第2の識別子は第1のサーバが現在攻撃されていないことを示すために使用される、ステップと、検出識別子が第1の識別子であるとき、送信元IPアドレスに対応する第1のデバイス属性情報を決定するステップを行うステップ、又は検出識別子が第2の識別子であるとき、第1のデータフローを転送するステップとをさらに含む。
宛先IPアドレスに対応する検出識別子が第1の識別子であるとき、それは第1のサーバが現在攻撃されていることを示す。したがって、第1のデータフローが攻撃的なデータフローであるかどうかが検出される必要がある。第1のデータフローが攻撃的であると決定された場合、第1のデータフローによって第1のサーバが攻撃されるのを防止するために、第1のデータフローはブロックされ得る。宛先IPアドレスに対応する検出識別子が第2の識別子であるとき、それは第1のサーバが現在攻撃されていないことを示す。したがって、第1のデータフローが攻撃的なデータフローであるかどうかが検出される必要はなく、第1のデータフローは直接転送され得、第1のデータフローが攻撃的なデータフローであるかどうかを検出するステップは省略される。このようにして、保護デバイスの処理リソースが低減され、第1のデータフローが攻撃的なデータフローであるかどうかを検出することによって生じる伝送遅延が低減され、サービス応答適時性が改善される。
第2の態様によれば、本出願の一実施形態はネットワークセキュリティ保護方法を提供する。方法は、以下のステップ、すなわち、第1のデータフローを受信するステップであって、第1のデータフローは送信元IPアドレス及び宛先IPアドレスを含み、送信元IPアドレスは第1の電子デバイスのIPアドレスであり、宛先IPアドレスは第1のサーバのIPアドレスである、ステップと、送信元IPアドレスに対応するリスク値を決定するステップと、送信元IPアドレスに対応するリスク値が第1のリスク範囲内にあるとき、第1のデータフローをブロックするステップ、又は送信元IPアドレスに対応するリスク値が第2のリスク範囲内にあるとき、送信元IPアドレス及び宛先IPアドレスに基づいて、第1のデータフローを転送又はブロックすることを決定するステップであって、第1のリスク範囲における最小値は第2のリスク範囲における最大値よりも大きいか又は第2のリスク範囲における最小値は第1のリスク範囲における最大値よりも大きく、第1のリスク範囲におけるリスク値によって示されるリスクはすべて第2のリスク範囲におけるリスク値によって示されるリスクよりも高い、ステップとを含む。
第2の態様では、送信元IPアドレスに対応するリスク値が第1のリスク範囲内にあるとき、それは送信元IPアドレスが第1のサーバを攻撃する可能性がより高いことを示す。したがって、保護デバイスは、第1のデータフローによって第1のサーバが攻撃されるのを防止するために、第1のデータフローをブロックする。送信元IPアドレスに対応するリスク値が第2のリスク範囲内にあるとき、それは送信元IPアドレスが第1のサーバを攻撃する可能性がより低いことを示すが、第1のデータフローがセキュアであると見なされることはできない。したがって、保護デバイスは、第1のデータフローが攻撃的であるかどうかを検出することを続ける。第1のデータフローが攻撃的であると決定された場合、第1のデータフローによって第1のサーバが攻撃されるのを防止するために、第1のデータフローはブロックされ得る。
任意選択的に、第2の態様の可能な一実施態様では、送信元IPアドレス及び宛先IPアドレスに基づいて、第1のデータフローを転送又はブロックすることを決定するステップは、送信元IPアドレスに対応する第1のデバイス属性情報を決定するステップであって、第1のデバイス属性情報は第1のデバイスタイプ及び第1のサービスタイプを含み、第1のデバイスタイプは第1の電子デバイスのデバイスタイプであり、第1のサービスタイプは第1のデバイスタイプによってサポートされるサービスタイプである、ステップと、宛先IPアドレスに対応する第2のデバイス属性情報を決定するステップであって、第2のデバイス属性情報は第2のデバイスタイプ及び第2のサービスタイプを含み、第2のデバイスタイプは第1のサーバにアクセスすることを許されたデバイスタイプであり、第2のサービスタイプは第1のサーバによって提供されるサービスのサービスタイプである、ステップと、第1のデバイス属性情報が第2のデバイス属性情報と一致するとき、第1のデータフローを転送するステップ、又は第1のデバイス属性情報が第2のデバイス属性情報と一致しないとき、第1のデータフローをブロックするステップとを含む。
第1のデバイス属性情報が第2のデバイス属性情報と一致する場合、それは第1の電子デバイスが第1のサーバの要件を満たすことを示す。言い換えれば、第1のデータフローはセキュアで非攻撃的なデータフローである。したがって、第1のデータフローは転送される。第1のデバイス属性情報が第2のデバイス属性情報と一致しない場合、それは第1の電子デバイスが第1のサーバの要件を満たさないことを示す。言い換えれば、第1のデータフローは非セキュアで攻撃的なデータフローである。したがって、第1のデータフローはブロックされる必要がある。したがって、本出願のこの実施形態で提供される解決策によれば、電子デバイスによって送信されたデータフローが攻撃的であるかどうかが正確に識別されることができ、攻撃的なデータフローがブロックされることができ、その結果、セキュアなデータフローがサービスサーバに入る。したがって、本出願のこの実施形態で提供される解決策の保護精度は比較的高い。
任意選択的に、第2の態様の可能な一実施態様では、送信元IPアドレスに対応する第1のデバイス属性情報を決定するステップの前に、方法は、第1のデータフロー内の宛先IPアドレスに対応する検出識別子を決定するステップであって、検出識別子は第1の識別子又は第2の識別子であり、第1の識別子は第1のサーバが現在攻撃されていることを示すために使用され、第2の識別子は第1のサーバが現在攻撃されていないことを示すために使用される、ステップと、検出識別子が第1の識別子であるとき、送信元IPアドレスに対応する第1のデバイス属性情報を決定するステップを行うステップ、又は検出識別子が第2の識別子であるとき、第1のデータフローを転送するステップとをさらに含む。
宛先IPアドレスに対応する検出識別子が第1の識別子であるとき、それは第1のサーバが現在攻撃されていることを示す。したがって、第1のデータフローが攻撃的なデータフローであるかどうかが検出される必要がある。第1のデータフローが攻撃的であると決定された場合、第1のデータフローによって第1のサーバが攻撃されるのを防止するために、第1のデータフローはブロックされ得る。宛先IPアドレスに対応する検出識別子が第2の識別子であるとき、それは第1のサーバが現在攻撃されていないことを示す。したがって、第1のデータフローが攻撃的なデータフローであるかどうかが検出される必要はなく、第1のデータフローは直接転送され得、第1のデータフローが攻撃的なデータフローであるかどうかを検出するステップは省略される。このようにして、保護デバイスの処理リソースが低減され、第1のデータフローが攻撃的なデータフローであるかどうかを検出することによって生じる伝送遅延が低減され、サービス応答適時性が改善される。
第3の態様によれば、本出願の一実施形態は保護デバイスを提供する。保護デバイスは、ネットワークインターフェースと、メモリと、そのメモリに接続されたプロセッサとを含む。メモリは、命令を格納するように構成される。プロセッサは命令を実行するように構成され、その結果、ネットワークデバイスは第1の態様若しくは第1の態様の可能な実施態様の、いずれか1つに係る方法、又は第2の態様若しくは第2の態様の可能な実施態様の、いずれか1つによる方法を行うことを可能にされる。詳細については、前述の詳細な説明を参照されたい。ここでは詳細は再び説明されない。
第4の態様によれば、本出願の一実施形態は保護デバイスを提供する。保護デバイスは、第1の態様に係る方法、第1の態様の任意の可能な実施態様、第2の態様に係る方法、又は第2の態様の任意の可能な実施態様を実施する機能を有する。機能は、ハードウェアによって実装されてもよく、又は対応するソフトウェアを実行するハードウェアによって実施されてもよい。ハードウェア又はソフトウェアは、機能に対応する1又は複数のモジュールを含む。
第5の態様によれば、本出願の一実施形態は、前述の保護デバイスによって使用されるコンピュータソフトウェア命令を記憶するように構成されたコンピュータ記憶媒体を提供する。コンピュータ記憶媒体は、第1の態様、第1の態様の任意の可能な実施態様、第2の態様、又は第2の態様の任意の可能な実施態様に係る方法を行うように設計されたプログラムを含む。
第6の態様によれば、本出願の一実施形態は、命令を含むコンピュータプログラム製品を提供する。コンピュータプログラム製品がコンピュータ上で動作したとき、そのコンピュータは、前述の態様に係る方法を行うことを可能にされる。
第7の態様によれば、本出願の一実施形態はメモリとプロセッサとを含むチップを提供する。メモリはコンピュータ命令を記憶するように構成される。プロセッサは、第1の態様若しくは第1の態様の可能な実施態様の、いずれか1つに係る方法、又は第2の態様若しくは第2の態様の可能な実施態様の、いずれか1つに係る方法を行うために、メモリからコンピュータ命令を呼び出してコンピュータ命令を動作させるように構成される。
本出願の一実施形態に係るネットワークセキュリティ保護方法が適用可能なシナリオの概略図である。 本出願の一実施形態に係るネットワークセキュリティ保護方法のフローチャートである。 本出願の一実施形態に係るネットワークセキュリティ保護方法が適用可能な他のシナリオの概略図である。 本出願の一実施形態に係るネットワークセキュリティ保護方法が適用可能な他のシナリオの概略図である。 本出願の一実施形態に係る他のネットワークセキュリティ保護方法のフローチャートである。 本出願の一実施形態に係る他のネットワークセキュリティ保護方法のフローチャートである。 本出願の一実施形態に係る他のネットワークセキュリティ保護方法のフローチャートである。 本出願の一実施形態に係る他のネットワークセキュリティ保護方法のフローチャートである。 本出願の一実施形態に係る保護デバイスの構造の概略図である。 本出願の一実施形態に係る他の保護デバイスの構造の概略図である。
図1は、本出願の一実施形態に係るネットワークセキュリティ保護方法が適用可能なシナリオの概略図である。本出願のこの実施形態で提供されるネットワークセキュリティ保護方法が適用可能なシナリオは、図1に示される例には限定されない。
図1に示される例では、保護デバイス100は、ファイアウォール及びセキュリティゲートウェイなどのデバイスを含むが、それらには限定されない。保護デバイス100は、複数の電子デバイス(A1、A2、...、An)と少なくとも1つのサービスサーバとの間に配置される。少なくとも1つのサービスサーバは、図1に示される複数のサービスサーバ(B1、B2、...、Bm)、又は複数のサービスサーバを含むクラスタである。複数の電子デバイス(A1、A2、...、An)によって送信された複数のデータフローは、最初に保護デバイス100に入り、保護デバイス100は、複数のデータフローを識別し、フィルタリングする。たとえば、保護デバイス100は、攻撃的なデータフローをブロックし、非攻撃的なデータフローを転送(「リリース」とも呼ばれる)する。保護デバイスは、複数のサービスサーバ(B1、B2、...、Bm)に入るデータフローが比較的セキュアであることを確保し得る。
図2は、本出願の一実施形態に係るネットワークセキュリティ保護方法のフローチャートである。図2に示されるネットワークセキュリティ保護方法は以下のステップS101~S105を含む。任意選択的に、図2に示されるセキュリティ保護方法は、図1の保護デバイス100によって行われる。
S101:第1のデータフローを受信する。
保護デバイスは、サービスサーバにアクセスする電子デバイスのデータフローを受信する。1つのデータフローは、複数のデータパケットを含む。データフローの複数のデータパケットのそれぞれは送信元IPアドレス及び宛先IPアドレスを含み、データフローの複数のデータパケットのうちのいずれの2つも同じ送信元IPアドレス及び同じ宛先IPアドレスを含む。
S101では、第1のデータフローは送信元IPアドレス及び宛先IPアドレスを含み、送信元IPアドレスは第1の電子デバイスのIPアドレスであり、宛先IPアドレスは第1のサーバのIPアドレスである。
たとえば、図1を参照して、電子デバイスA1がハッカーによって制御された端末であると仮定される。電子デバイスA1は、攻撃的なデータフローX1を生成し、データフローX1は、サービスサーバB1を攻撃するために使用される。データフローX1は、送信元IPアドレス(10.10.10.11)及び宛先IPアドレス(20.20.20.21)を含み、送信元IPアドレス(10.10.10.11)は電子デバイスA1のIPアドレスであり、宛先IPアドレス(20.20.20.21)はサービスサーバB1のIPアドレスである。保護デバイス100がデータフローX1を受信した後、保護デバイス100は、データフローX1を解析し、データフローX1内の送信元IPアドレス(10.10.10.11)及び宛先IPアドレス(20.20.20.21)を得る。
S102:送信元IPアドレスに対応する第1のデバイス属性情報を決定する。
第1のデバイス属性情報は第1のデバイスタイプ及び第1のサービスタイプを含み、第1のデバイスタイプは第1の電子デバイスのデバイスタイプであり、第1のサービスタイプは第1のデバイスタイプによってアクセスされることができるサービスタイプである。
S102では、送信元IPアドレスに対応する第1のデバイスタイプが最初に決定され得、次いで、第1のデバイスタイプに対応する第1のサービスタイプが決定される。
具体的には、「送信元IPアドレスに対応する第1のデバイスタイプを決定するステップ」には多くの方式があり、以下では2つの方式を説明する。
第1の方式では、送信元IPアドレスに対応する第1のデバイスタイプは、サードパーティーサーバを使用することによって決定される。具体的には、サードパーティーサーバは、Shodanサーバ、ZoomEyeサーバ、FoFAサーバなどであり得る。本出願のこの実施形態で言及される「デバイスタイプ」は、ブリッジ、ブロードバンドルータ、ファイアウォール、ハブ、ロードバランサ、ルータ、スイッチ、ゲームコンソール、メディアデバイス、パワーデバイス、プリンタ、プリントサーバ、プロキシサーバ、リモート管理サーバ、セキュリティその他サーバ、専用サーバ、ストレージその他サーバ、電気通信その他サーバ、端末サーバ、ボイス・オーバ・インターネット・プロトコル(Voice over Internet Protocol、voip)アダプタ、voip電話、ネットワークカメラ、電話、及び端末を含むが、それらには限定されない。任意選択的に、「デバイスタイプ」は、複数のレベルのカテゴリ及びサブカテゴリにさらに分類され得る。2レベルのデバイスタイプが一例として使用される。デバイスタイプは、「ゲートウェイ/ネットワークデバイスカテゴリ」、「スタンドアロンデバイスカテゴリ」、及び「パーソナルデバイスカテゴリ」の3つのカテゴリに分類される。「ゲートウェイ/ネットワークデバイスカテゴリ」は、ブリッジ、ブロードバンドルータ、ファイアウォール、ハブ、ロードバランサ、ルータ、及びスイッチをさらに含む。「スタンドアロンデバイスカテゴリ」は、ゲームコンソール、メディアデバイス、パワーデバイス、プリンタ、プリントサーバ、プロキシサーバ、リモート管理サーバ、セキュリティその他サーバ、専用サーバ、ストレージその他サーバ、電気通信その他サーバ、端末サーバ、ボイス・オーバ・インターネット・プロトコル(Voice over Internet Protocol、voip)アダプタ、voip電話、及びネットワークカメラをさらに含む。「パーソナルデバイスカテゴリ」は、電話及び端末を含む。
たとえば、図3は本出願のこの実施形態に係るネットワークセキュリティ保護方法が適用可能な他のシナリオの概略図である。保護デバイス100は、サードパーティーサーバ200にクエリ要求を送信し、クエリ要求は送信元IPアドレス(10.10.10.11)を含む、と仮定される。サードパーティーサーバ200がクエリ要求を受信した後、サードパーティーサーバ200は、送信元IPアドレス(10.10.10.11)に対応するデバイスタイプ(端末)をクエリし、送信元IPアドレス(10.10.10.11)に対応するデバイスタイプ(端末)を保護デバイス100に送信する。
たとえば、サードパーティーサーバ200は、Shodanサーバである。Shodanサーバは、API ’’https://api.shodan.io/’’を介してサービスを提供する。保護デバイス100は、API URL:https://api.shodan.io/shodan/host/{ip}?key={YOUR_API_KEY}をRequest要求を使用することによって呼び出し、ここでIPアドレス(10.10.10.11)が{ip}に書き込まれる。保護デバイス100は、Shodanサーバによって返されたJSONデータを受信し、対応するデバイスタイプ情報を記述するフィールドdevicetypeを得るためにそのJSONデータを解析し、そのフィールドdevicetypeの内容から’’terminal’’を取得する。言い換えれば、IPアドレス(10.10.10.11)に対応するデバイスタイプは端末である。
第2の方式では、送信元IPアドレスに対応する第1のデバイスタイプは、オープンソースのスキャニングソフトウェアを使用することによって決定される。具体的には、オープンソースのスキャニングソフトウェアは、Nmap、Masscan、IVREなどであり得る。
たとえば、図4は本出願のこの実施形態に係るネットワークセキュリティ保護方法が適用可能な他のシナリオの概略図である。オープンソースのスキャニングソフトウェアAが保護デバイス100にプリインストールされていると仮定される。保護デバイス100は、送信元IPアドレス(10.10.10.11)をオープンソースのスキャニングソフトウェアAに入力し得、オープンソースのスキャニングソフトウェアAは、送信元IPアドレス(10.10.10.11)に対応するデバイスタイプ(端末)を出力する。
オープンソースのスキャニングソフトウェアIVREが一例として使用される。保護デバイス100は、コマンド’’ivre runscans--network 10.10.10.11--output=XMLFork’’を使用することによって、IPアドレス(10.10.10.11)をスキャンするようにIVREに命令する。IVREは、スキャン結果データをMongoDBデータベースに格納する。スキャン結果データは、フィールド’’service_devicetype’’を含み、IPアドレス(10.10.10.11)に対応するデバイスタイプがそのフィールドに格納される。保護デバイス100は、IPアドレス(10.10.10.11)に対応するデバイスタイプを得るためにMongoDBデータベースにクエリを行う。
任意選択的に、「第1のデバイスタイプに対応する第1のサービスタイプを決定するステップ」について、デバイスタイプとサービスタイプとの間のマッピング関係は事前に確立され得、デバイスタイプとサービスタイプとの間のマッピング関係は保護デバイスに格納される。保護デバイスは、デバイスタイプとサービスタイプとの間のマッピング関係に基づいて、第1のデバイスタイプに対応する第1のサービスタイプを決定し得る。
たとえば、表1は、デバイスタイプとサービスタイプとの間のマッピング関係の表である。表1から、各デバイスタイプは少なくとも1つのサービスタイプに対応することが分かり得る。任意選択的に、サービスタイプは、ウェブサイトアクセス、端末(携帯電話)ゲーム、ビデオ/オーディオインスタントメッセージング、モノのインターネット(Internet of Things、IOT)制御、APIサービス(たとえば、前述のShodanサービス)などを含むが、それらには限定されない。直感的かつ理解しやすいように、本出願のこの実施形態では、サービスタイプC1~サービスタイプC4、サービスタイプD1~サービスタイプD3、及びサービスタイプE1~サービスタイプE5は、異なるサービスタイプを示すために使用される。
Figure 2023508302000002
S103:宛先IPアドレスに対応する第2のデバイス属性情報を決定する。
第2のデバイス属性情報は、第2のデバイスタイプ及び第2のサービスタイプを含み、第2のデバイスタイプは、第1のサーバにアクセスすることを許されたデバイスタイプであり、第2のサービスタイプは、第1のサーバによって提供されるサービスのサービスタイプである。
S103では、保護デバイスは、複数のサービスサーバ(B1、B2、...、Bm)によって提供される情報に基づいて、宛先IPアドレスと、サービスサーバにアクセスすることを許されたデバイスタイプと、サービスサーバのサービスタイプとの間のマッピング関係を事前に確立し得る。次いで、マッピング関係に基づいて、宛先IPアドレスに対応するデバイスタイプ及びサービスタイプが決定される。
たとえば、表2は、宛先IPアドレスと、デバイスタイプと、サービスタイプとの間のマッピング関係の表である。
Figure 2023508302000003
たとえば、図1及び表2を参照すると、保護デバイス100が、表2に基づいて、宛先IPアドレス(20.20.20.21)に対応するデバイスタイプは端末、電話、及びゲームコンソールを含み、対応するサービスタイプはサービスタイプD1である、と決定すると仮定される。端末、電話、及びゲームコンソールは、サービスサーバB1にアクセスすることを許されたデバイスタイプであり、サービスタイプD1は、サーバB1によって提供されるサービスのサービスタイプである。
S104:第1のデバイス属性情報が第2のデバイス属性情報と一致するとき、第1のデータフローを転送する。
S105:第1のデバイス属性情報が第2のデバイス属性情報と一致しないとき、第1のデータフローをブロックする。
保護デバイスが第1のデバイス属性情報及び第2のデバイス属性情報を得た後、保護デバイスは、第1のデバイス属性情報が第2のデバイス属性情報と一致するかどうかを判定する。第1のデバイス属性情報が第2のデバイス属性情報と一致する場合、それは第1の電子デバイスが第1のサーバの要件を満たすことを示す。したがって、第1のデータフローはセキュアであり、保護デバイスは、第1のデータフローを転送する。
たとえば、図1、表1、及び表2を参照して、保護デバイス100が、送信元IPアドレス(10.10.10.11)に対応するデバイスタイプは端末であると決定し、表1を使用して、端末であるデバイスタイプに対応するサービスタイプは、サービスタイプC1、サービスタイプC2、サービスタイプC3、及びサービスタイプC4を含むと決定する、と仮定される。これは、電子デバイスA1のデバイスタイプは端末であり、端末によってアクセスされることができるサービスタイプは、サービスタイプC1、サービスタイプC2、サービスタイプC3、及びサービスタイプC4を含むことを示す。
保護デバイス100が、表2を使用して、宛先IPアドレス(20.20.20.21)に対応するデバイスタイプは端末、電話、及びゲームコンソールを含み、及び対応するサービスタイプはサービスタイプD1である、と決定すると仮定される。これは、サービスサーバB1にアクセスすることを許されたデバイスタイプは、端末、電話、及びゲームコンソールであり、サービスサーバB1のサービスタイプはサービスタイプD1である、ということを示している。
保護デバイス100は、電子デバイスA1のデバイスタイプ(端末)が、サービスサーバB1へアクセスすることを許されているデバイスタイプ(端末、電話、及びゲームコンソール)と一致すると決定し、電子デバイスA1によってアクセスされることができるサービスタイプ(サービスタイプC1、サービスタイプC2、サービスタイプC3、及びサービスタイプC4)がサービスサーバB1のサービスタイプ(サービスタイプD1)と一致しないと決定する。したがって、保護デバイス100は、データフローX1をブロックする。
前述のように、第1のデバイス属性情報は第1のデバイスタイプ及び第1のサービスタイプを含み、第2のデバイス属性情報は第2のデバイスタイプ及び第2のサービスタイプを含む。「第1のデバイス属性情報が第2のデバイス属性情報と一致する」というのは複数のケースを含み、以下ではそれらのケースを個々に説明する。
第1のケースでは、第1のデバイスタイプは第2のデバイスタイプと同じであり、第1のサービスタイプは第2のサービスタイプと同じである。
たとえば、第1のデバイスタイプはデバイスタイプG1であり、第2のデバイスタイプはデバイスタイプG1であり、第1のサービスタイプはサービスタイプH1であり、第2のサービスタイプはサービスタイプH1である。
第2のケースでは、第1のデバイスタイプは第2のデバイスタイプと同じであり、第1のサービスタイプは第2のサービスタイプを含む。
たとえば、第1のデバイスタイプはデバイスタイプG1であり、第2のデバイスタイプはデバイスタイプG1であり、第1のサービスタイプはサービスタイプH1及びサービスタイプH2を含み、第2のサービスタイプはサービスタイプH1である。
第3のケースでは、第1のデバイスタイプは第2のデバイスタイプと同じであり、第2のサービスタイプは第1のサービスタイプを含む。
たとえば、第1のデバイスタイプはデバイスタイプG1であり、第2のデバイスタイプはデバイスタイプG1であり、第2のサービスタイプはサービスタイプH1及びサービスタイプH2を含み、第1のタイプはサービスタイプH1である。
第4のケースでは、第1のデバイスタイプは第2のデバイスタイプを含み、第1のサービスタイプは第2のサービスタイプと同じである。
たとえば、第1のデバイスタイプはデバイスタイプG1及びデバイスタイプG2を含み、第2のデバイスタイプはデバイスタイプG1であり、第1のサービスタイプはサービスタイプH1であり、第2のサービスタイプはサービスタイプH1である。
第5のケースでは、第1のデバイスタイプは第2のデバイスタイプを含み、第1のサービスタイプは第2のサービスタイプを含む。
たとえば、第1のデバイスタイプはデバイスタイプG1及びデバイスタイプG2を含み、第2のデバイスタイプはデバイスタイプG1であり、第1のサービスタイプはサービスタイプH1及びサービスタイプH2を含み、第2のサービスタイプはサービスタイプH1である。
第6のケースでは、第1のデバイスタイプは第2のデバイスタイプを含み、第2のサービスタイプは第1のサービスタイプを含む。
たとえば、第1のデバイスタイプはデバイスタイプG1及びデバイスタイプG2を含み、第2のデバイスタイプはデバイスタイプG1であり、第2のサービスタイプはサービスタイプH1及びサービスタイプH2を含み、第1のサービスタイプはサービスタイプH1である。
第7のケースでは、第2のデバイスタイプは第1のデバイスタイプを含み、第1のサービスタイプは第2のサービスタイプと同じである。
たとえば、第2のデバイスタイプはデバイスタイプG1及びデバイスタイプG2を含み、第1のデバイスタイプはデバイスタイプG1であり、第1のサービスタイプはサービスタイプH1であり、第2のサービスタイプはサービスタイプH1である。
第8のケースでは、第2のデバイスタイプは第1のデバイスタイプを含み、第1のサービスタイプは第2のサービスタイプを含む。
たとえば、第2のデバイスタイプはデバイスタイプG1及びデバイスタイプG2を含み、第1のデバイスタイプはデバイスタイプG1であり、第1のサービスタイプはサービスタイプH1及びサービスタイプH2を含み、第2のサービスタイプはサービスタイプH1である。
第9のケースでは、第2のデバイスタイプは第1のデバイスタイプを含み、第2のサービスタイプは第1のサービスタイプを含む。
たとえば、第2のデバイスタイプはデバイスタイプG1及びデバイスタイプG2を含み、第1のデバイスタイプはデバイスタイプG1であり、第2のサービスタイプはサービスタイプH1及びサービスタイプH2を含み、第1のサービスタイプはサービスタイプH1である。
第1のケース、第3のケース、第7のケース、及び第9のケースは、第1のデバイスタイプが第2のデバイスタイプのサブセットであり、第1のサービスタイプが第2のサービスタイプのサブセットであるとして理解され得る。
第1のケース、第2のケース、第4のケース、及び第5のケースは、第2のデバイスタイプが第1のデバイスタイプのサブセットであり、第2のサービスタイプが第1のサービスタイプのサブセットであるとして理解され得る。
第1のケース、第2のケース、第7のケース、及び第8のケースは、第1のデバイスタイプが第2のデバイスタイプのサブセットであり、第2のサービスタイプが第1のサービスタイプのサブセットであるとして理解され得る。
第1のケース、第3のケース、第4のケース、及び第6のケースは、第2のデバイスタイプが第1のデバイスタイプのサブセットであり、第1のサービスタイプが第2のサービスタイプのサブセットであるとして理解され得る。
図2に示される実施形態では、本出願のこの実施形態で提供されるネットワークセキュリティ保護方法に従って、第1のデータフロー内の送信元IPアドレス及び宛先IPアドレスが得られる。次いで、送信元IPアドレスに対応する第1のデバイス属性情報及び宛先IPアドレスに対応する第2のデバイス属性情報が決定される。最後に、第1のデバイス属性情報が第2のデバイス属性情報と一致するかどうかに基づいて、第1のデータフローを転送又はブロックすることが決定される。本出願のこの実施形態の核心は、第1の電子デバイスのデバイスタイプが第1のサーバへアクセスすることを許されたデバイスタイプと一致するかどうかを判定し、第1のデバイスタイプによってアクセスされることができるサービスタイプが第1のサーバのサービスタイプと一致するかどうかを判定することである。デバイスタイプが一致し、かつサービスタイプが一致する場合、それは、第1の電子デバイスが第1のサーバの要件を満たすことを示す。言い換えれば、第1のデータフローはセキュアであるか、又は第1のデータフローは非攻撃的なデータフローである。したがって、第1のデータフローは転送される。デバイスタイプが一致しないか又はサービスタイプが一致しない場合、それは、第1の電子デバイスが第1のサーバの要件を満たしていないことを示す。言い換えれば、第1のデータフローは非セキュアであるか、又は第1のデータフローは攻撃的なデータフローである。したがって、第1のデータフローはブロックされる必要がある。したがって、本出願のこの実施形態で提供される解決策によれば、電子デバイスによって送信されたデータフローが攻撃的であるかどうかが正確に識別されることができ、攻撃的なデータフローがブロックされることができ、その結果、セキュアなデータフローがサービスサーバに入る。したがって、本出願のこの実施形態で提供される解決策の保護精度は比較的高い。
図5は、本出願の一実施形態に係る他のネットワークセキュリティ保護方法のフローチャートである。図5に示される方法は、ステップS201~S209を含み得る。任意選択的に、図5に示されるセキュリティ保護方法は、図1の保護デバイス100によって行われる。
S201:第1のデータフローを受信する。
S201の具体的な実装態様については、図2に示される実施形態におけるS101の説明を参照されたい。
S202:第1のデータフロー内の宛先IPアドレスに対応する検出識別子を決定する。
検出識別子は、第1の識別子又は第2の識別子であり、第1の識別子は、第1のサーバが現在攻撃されていることを示すために使用され、第2の識別子は、第1のサーバが現在攻撃されていないことを示すために使用される。
たとえば、図1を参照すると、保護デバイス100は、複数のサービスサーバ(B1、B2、...、Bm)の稼働状態をモニタリングする。具体的には、保護デバイス100は、複数のサービスサーバ(B1、B2、...、Bm)のそれぞれのリソース使用率、たとえば、中央処理装置(CPU、central processing unit)使用率、メモリ使用率、及び帯域幅使用率をモニタリングし得る。サービスサーバB1がハッカーによって攻撃されていないとき、サービスサーバB1のリソース使用率は20%~50%の範囲であり、サービスサーバB1はIPアドレス(20.20.20.21)及び第2の識別子を保護デバイス100に送信する、と仮定される。サービスサーバB1がハッカーによって攻撃されているとき、サービスサーバB1のリソース使用率は60%~80%の範囲であり、サービスサーバB1はIPアドレス(20.20.20.21)及び第1の識別子を保護デバイス100に送信する、と仮定される。
具体的には、保護デバイス100は、複数のサービスサーバ(B1、B2、...、Bm)のそれぞれに同時にアクセスするIPアドレスの数、すなわち、各サーバに同時にアクセスする異なるIPアドレスの数をさらにモニタリングし得る。サービスサーバB1がハッカーによって攻撃されていないとき、サービスサーバB1に同時にアクセスするIPアドレスの数は100,000~200,000の範囲であり、サービスサーバB1はIPアドレス(20.20.20.21)及び第2の識別子を保護デバイス100に送信する、と仮定される。サービスサーバB1がハッカーによって攻撃されているとき、サービスサーバB1に同時にアクセスするIPアドレスの数は300,000~400,000の範囲であり、サービスサーバB1はIPアドレス(20.20.20.21)及び第1の識別子を保護デバイス100に送信する、と仮定される。
複数のサービスサーバ(B1、B2、...、Bm)は、複数のサービスサーバ(B1、B2、...、Bm)にアクセスするIPアドレス及び検出識別子を保護デバイス100に定期的に送信し得、保護デバイス100は、複数のサービスサーバ(B1、B2、...、Bm)のそれぞれによって送信されたIPアドレス及び検出識別子を格納し得る。
たとえば、表3は、宛先IPアドレスと検出識別子との間のマッピング関係の表である。表3に示されるデータの1行目は、サービスサーバB1によって保護デバイス100に送信されるデータであると仮定される。言い換えれば、サービスサーバB1が現在攻撃されていることを示す。表3に示されるデータの2行目は、サービスサーバB2によって保護デバイス100に送信されるデータであると仮定される。言い換えれば、サービスサーバB2が現在攻撃されていないことを示す。
Figure 2023508302000004
任意選択的に、保護デバイス100は、他の方式で、複数のサービスサーバ(B1、B2、...、Bm)のそれぞれが攻撃されているかどうかを判定する。たとえば、保護デバイス100は、各サービスサーバにテストパケットを送信し、対応する応答パケットを受信する。保護デバイス100は、テストパケットが送信された時間と応答パケットが受信された時間との間の時間差を計算し、その時間差と所定の遅延閾値との比較結果に基づいて、サービスサーバが攻撃されているかどうかを判定する。たとえば、保護デバイス100は、テストパケットをサービスサーバB1に送信し、サーバB1によって返された対応する応答パケットを受信する。保護デバイス100は、計算によって、テストパケットが送信された時間と応答パケットが受信された時間との間の時間差が0.05秒(second)であることを得る。所定の遅延閾値は0.8sである。このケースでの時間差は所定の遅延閾値未満であるため、保護デバイス100は、サーバB1が現在攻撃されていないと決定し、サーバB1が第2の識別子に対応すると、さらに決定する。他の例として、保護デバイス100は、テストパケットをサービスサーバB2に送信し、サーバB2によって返された対応する応答パケットを受信する。保護デバイス100は、計算によって、テストパケットが送信された時間と応答パケットが受信された時間との間の時間差が1sであることを得る。このケースでの時間差は所定の遅延閾値未満であるので、保護デバイス100は、サーバB2が現在攻撃されていると決定し、サーバB2が第1の識別子に対応する、とさらに決定する。
サーバが攻撃されているかどうかを保護デバイス100が決定する前述の2つの列挙された方式に加えて、保護デバイス100は、本明細書では1つずつ列挙されていない他の決定方式を代替的に使用してもよい。
S203:宛先IPアドレスに対応する検出識別子が第1の識別子であるか第2の識別子であるかを判定し、宛先IPアドレスに対応する検出識別子が第1の識別子であるときS204を行い、又は宛先IPアドレスに対応する検出識別子が第2の識別子であるときS208を行う。
図5に示される実施形態において、S202及びS203は任意選択的なステップである。S202及びS203では、宛先IPアドレスに対応する検出識別子が第1の識別子であるとき、それは第1のサーバが現在攻撃されていることを示す。したがって、送信元IPアドレスに対応するリスク値が決定される必要がある。宛先IPアドレスに対応する検出識別子が第2の識別子であるとき、それは第1のサーバが現在攻撃されていないことを示す。したがって、第1のデータフローが攻撃的なデータフローであるかどうかが検出される必要はなく、第1のデータフローは直接転送され得、第1のデータフローが攻撃的なデータフローであるかどうかを検出するステップは省略される。このようにして、保護デバイスの処理リソースが低減され、第1のデータフローが攻撃的なデータフローであるかどうかを検出することによって生じる伝送遅延が低減され、サービス応答適時性が改善される。
S204:送信元IPアドレスに対応するリスク値が第1のリスク範囲内にあるか第2のリスク範囲内にあるかを判定し、送信元IPアドレスに対応するリスク値が第1のリスク範囲内にある場合はS209を行い、又は送信元IPアドレスに対応するリスク値が第2のリスク範囲内にある場合はS205を行う。
第1のリスク範囲におけるリスク値によって示されるリスクはすべて、第2のリスク範囲におけるリスク値によって示されるリスクよりも高い。第1のリスク範囲と第2のリスク範囲との間には2つの関係がある。第1の関係は、第1のリスク範囲における最小値が第2のリスク範囲における最大値よりも大きいことであり、第2の関係は、第2のリスク範囲における最小値が第1のリスク範囲における最大値よりも大きいことである。
たとえば、第1のリスク範囲における最小値が第2のリスク範囲における最大値よりも大きいときは、リスク値が大きいほどリスクが高いことを示し、リスク値が小さいほどリスクが低いことを示す、と仮定される。このケースでは、第1のリスク範囲におけるリスク値は6~10の範囲の整数に設定され得、第2のリスク範囲におけるリスク値は1~5の範囲の整数に設定され得る。第1のリスク範囲における最小値’’6’’は、第2のリスク範囲における最大値’’5’’よりも大きく、第1のリスク範囲におけるリスク値(6~10の範囲の整数)によって示されるリスクはすべて、第2のリスク範囲におけるリスク値(1~5の範囲の整数)によって示されるリスクよりも高い。
たとえば、第2のリスク範囲における最小値が第1のリスク範囲における最大値よりも大きいときは、リスク値が大きいほどリスクが低いことを示し、リスク値が小さいほどリスクが高いことを示す、と仮定される。このケースでは、第1のリスク範囲におけるリスク値は1~5の範囲の整数に設定され得、第2のリスク範囲におけるリスク値は6~10の範囲の整数に設定され得る。第2のリスク範囲における最小値’’6’’は、第1のリスク範囲における最大値’’5’’よりも大きく、第1のリスク範囲におけるリスク値(1~5の範囲の整数)によって示されるリスクはすべて、第2のリスク範囲におけるリスク値(6~10の範囲の整数)によって示されるリスクよりも高い。
送信元IPアドレスに対応するリスク値は、過去の期間内のそのIPアドレスによるサービスサーバへの攻撃に基づいて決定される。
たとえば、リスク値が大きいほどリスクが高いことを示し、リスク値が小さいほどリスクが低いことを示す、と仮定される。過去の期間内に送信元IPアドレスAがサービスサーバを頻繁に攻撃している場合、送信元IPアドレスAのリスク値は増やされ得る。他の例として、過去の期間内に送信元IPアドレスAがサービスサーバをあまり頻繁に攻撃していない場合、IPアドレスAのリスク値は減らされ得る。他の例として、過去の期間内に送信元IPアドレスAがサービスサーバを攻撃していない場合、IPアドレスAのリスク値は最小値に設定され得る。
他の例として、リスク値が大きいほどリスクが低いことを示し、リスク値が小さいほどリスクが高いことを示す、と仮定される。過去の期間内に送信元IPアドレスAがサービスサーバを頻繁に攻撃している場合、送信元IPアドレスAのリスク値は減らされ得る。他の例として、過去の期間内に送信元IPアドレスAがサービスサーバをあまり頻繁に攻撃していない場合、IPアドレスAのリスク値は増やされ得る。他の例として、過去の期間内に送信元IPアドレスAがサービスサーバを攻撃していない場合、IPアドレスAのリスク値は最大値に設定され得る。
送信元IPアドレスに対応するリスク値が第1のリスク範囲内にある場合、それは送信元IPアドレスが第1のサーバを攻撃する可能性がより高いことを示す。言い換えれば、第1のデータフローは、比較的危険なデータフローである。このケースでは、保護デバイスは、第1のデータフローをブロックする。送信元IPアドレスに対応するリスク値が第2のリスク範囲内にある場合、それは送信元IPアドレスが第1のサーバを攻撃する可能性がより低いことを示す。言い換えれば、第1のデータフローは比較的危険なデータフローではないが、第1のデータフローはセキュアと見なされることはできない。したがって、保護デバイスは、第1のデータフローが攻撃的であるかどうかを検出することを続ける。
図5に示される実施形態において、S204は任意選択的なステップである。S204では、送信元IPアドレスに対応するリスク値が第1のリスク範囲内にあるとき、それは送信元IPアドレスが第1のサーバを攻撃する可能性がより高いことを示す。したがって、保護デバイスは、第1のデータフローによって第1のサーバが攻撃されるのを防止するために、第1のデータフローをブロックする。送信元IPアドレスに対応するリスク値が第2のリスク範囲内にあるとき、それは送信元IPアドレスが第1のサーバを攻撃する可能性がより低いことを示すが、第1のデータフローがセキュアであると見なされることはできない。したがって、保護デバイスは、第1のデータフローが攻撃的であるかどうかを検出することを続ける。第1のデータフローが攻撃的であると決定された場合、第1のデータフローによって第1のサーバが攻撃されるのを防止するために、第1のデータフローはブロックされ得る。
S205:送信元IPアドレスに対応する第1のデバイス属性情報を決定する。
S205の具体的な実装態様については、図2に示される実施形態におけるS102の説明を参照されたい。
S206:宛先IPアドレスに対応する第2のデバイス属性情報を決定する。
S206の具体的な実装態様については、図2に示される実施形態におけるS103の説明を参照されたい。
S207:第1のデバイス属性情報が第2のデバイス属性情報と一致するかどうかを判定し、第1のデバイス属性情報が第2のデバイス属性情報と一致する場合、S208を行い、一方、第1のデバイス属性情報が第2のデバイス属性情報と一致しない場合、S209を行う。
S208:第1のデータフローを転送する。
S209:第1のデータフローをブロックする。
任意選択的に、S207~S209の具体的な実施態様については、図2に示される実施形態のS104及びS105の説明を参照されたい。
図6は、本出願の一実施形態に係る他のネットワークセキュリティ保護方法のフローチャートである。図6に示される方法は、ステップS301~S307を含み得る。任意選択的に、図6に示されるセキュリティ保護方法は、図1の保護デバイス100によって行われる。
S301:第1のデータフローを受信する。
S301の具体的な実装態様については、図2に示される実施形態におけるS101の説明を参照されたい。
S302:送信元IPアドレスに対応するリスク値が第1のリスク範囲内にあるか第2のリスク範囲内にあるかを判定し、送信元IPアドレスに対応するリスク値が第1のリスク範囲内にある場合はS307を行い、又は送信元IPアドレスに対応するリスク値が第2のリスク範囲内にある場合はS303を行う。
S302の具体的な実装態様については、図5に示される実施形態におけるS204の説明を参照されたい。
図6に示される実施形態において、S302は任意選択的なステップである。S302では、送信元IPアドレスに対応するリスク値が第1のリスク範囲内にあるとき、それは送信元IPアドレスが第1のサーバを攻撃する可能性がより高いことを示す。したがって、保護デバイスは、攻撃を防止する適時性を改善するために、第1のデータフローを直接ブロックし、第1のデータフローが攻撃的であるかどうかを検出するステップを省略する。送信元IPアドレスに対応するリスク値が第2のリスク範囲内にあるとき、それは送信元IPアドレスが第1のサーバを攻撃する可能性がより低いことを示すが、第1のデータフローがセキュアであると見なされることはできない。したがって、保護デバイスは、第1のデータフローが攻撃的であるかどうかを検出することを続ける。第1のデータフローが攻撃的であると決定された場合、第1のデータフローによって第1のサーバが攻撃されるのを防止するために、第1のデータフローはブロックされ得る。
S303:送信元IPアドレスに対応する第1のデバイス属性情報を決定する。
S303の具体的な実装態様については、図2に示される実施形態におけるS102の説明を参照されたい。
S304:宛先IPアドレスに対応する第2のデバイス属性情報を決定する。
S304の具体的な実装態様については、図2に示される実施形態におけるS103の説明を参照されたい。
S305:第1のデバイス属性情報が第2のデバイス属性情報と一致するかどうかを判定し、第1のデバイス属性情報が第2のデバイス属性情報と一致する場合、S306を行い、一方、第1のデバイス属性情報が第2のデバイス属性情報と一致しない場合、S307を行う。
S306:第1のデータフローを転送する。
S307:第1のデータフローをブロックする。
任意選択的に、S305~S307の具体的な実施態様については、図2に示される実施形態のS104及びS105の説明を参照されたい。
図7は、本出願の一実施形態に係る他のネットワークセキュリティ保護方法のフローチャートである。図7に示される方法は、ステップS401~S408を含み得る。任意選択的に、図7に示されるセキュリティ保護方法は、図1の保護デバイス100によって行われる。
S401:第1のデータフローを受信する。
S401の具体的な実装態様については、図2に示される実施形態におけるS101の説明を参照されたい。
S402:第1のデータフロー内の宛先IPアドレスに対応する検出識別子を決定する。
S402の具体的な実装態様については、図5に示される実施形態におけるS202の説明を参照されたい。
S403:宛先IPアドレスに対応する検出識別子が第1の識別子であるか第2の識別子であるかを判定し、宛先IPアドレスに対応する検出識別子が第1の識別子であるときS404を行い、又は宛先IPアドレスに対応する検出識別子が第2の識別子であるときS407を行う。
S403の具体的な実装態様については、図5に示される実施形態におけるS203の説明を参照されたい。
図7に示される実施形態において、S403は任意選択的なステップである。S403では、宛先IPアドレスに対応する検出識別子が第1の識別子であるとき、それは第1のサーバが現在攻撃されていることを示す。したがって、第1のデータフローが攻撃的なデータフローであるかどうかが検出される必要がある。第1のデータフローが攻撃的であると決定された場合、第1のデータフローによって第1のサーバが攻撃されるのを防止するために、第1のデータフローはブロックされ得る。宛先IPアドレスに対応する検出識別子が第2の識別子であるとき、それは第1のサーバが現在攻撃されていないことを示す。したがって、第1のデータフローが攻撃的なデータフローであるかどうかが検出される必要はなく、第1のデータフローは直接転送され得、第1のデータフローが攻撃的なデータフローであるかどうかを検出するステップは省略される。このようにして、保護デバイスの処理リソースが低減され、第1のデータフローが攻撃的なデータフローであるかどうかを検出することによって生じる伝送遅延が低減され、サービス応答適時性が改善される。
S404:送信元IPアドレスに対応する第1のデバイス属性情報を決定する。
S404の具体的な実装態様については、図2に示される実施形態におけるS102の説明を参照されたい。
S405:宛先IPアドレスに対応する第2のデバイス属性情報を決定する。
S405の具体的な実装態様については、図2に示される実施形態におけるS103の説明を参照されたい。
S406:第1のデバイス属性情報が第2のデバイス属性情報と一致するかどうかを判定し、第1のデバイス属性情報が第2のデバイス属性情報と一致する場合、S407を行い、一方、第1のデバイス属性情報が第2のデバイス属性情報と一致しない場合、S408を行う。
S407:第1のデータフローを転送する。
S408:第1のデータフローをブロックする。
任意選択的に、S406~S408の具体的な実施態様については、図2に示される実施形態におけるS104及びS105の説明を参照されたい。
図8は、本出願の一実施形態に係る他のネットワークセキュリティ保護方法のフローチャートである。図8に示される方法は、ステップS501~S504を含み得る。任意選択的に、図8に示されるセキュリティ保護方法は、図1の保護デバイス100によって行われる。
S501:第1のデータフローを受信する。
S501の具体的な実装態様については、図2に示される実施形態におけるS101の説明を参照されたい。
S502:送信元IPアドレスに対応するリスク値が第1のリスク範囲内にあるか第2のリスク範囲内にあるかを判定し、送信元IPアドレスに対応するリスク値が第1のリスク範囲内にある場合はS503を行い、又は送信元IPアドレスに対応するリスク値が第2のリスク範囲内にある場合はS504を行う。
S502の具体的な実装態様については、図5に示される実施形態におけるS204の説明を参照されたい。
図8に示される実施形態において、S502は任意選択的なステップである。S502では、送信元IPアドレスに対応するリスク値が第1のリスク範囲内にあるとき、それは送信元IPアドレスが第1のサーバを攻撃する可能性がより高いことを示す。したがって、保護デバイスは、第1のデータフローによって第1のサーバが攻撃されるのを防止するために、第1のデータフローをブロックする。送信元IPアドレスに対応するリスク値が第2のリスク範囲内にあるとき、それは送信元IPアドレスが第1のサーバを攻撃する可能性がより低いことを示すが、第1のデータフローがセキュアであると見なされることはできない。したがって、保護デバイスは、第1のデータフローが攻撃的であるかどうかを検出することを続ける。第1のデータフローが攻撃的であると決定された場合、第1のデータフローによって第1のサーバが攻撃されるのを防止するために、第1のデータフローはブロックされ得る。
S503:第1のデータフローをブロックする。
S504:送信元IPアドレス及び宛先IPアドレスに基づいて、第1のデータフローを転送又はブロックすることを決定する。
任意選択的に、S504は図7に示されるS402~S408を含むので、S504の具体的な実施態様については、図7に示されるS402~S408を参照されたい。
これに対応して、本出願の一実施形態は、前述の実施形態で提供されたネットワークセキュリティ保護方法を行うように構成された保護デバイスを提供する。図9は、本出願の一実施形態に係る保護デバイスの構造の概略図である。任意選択的に、図9に示される保護デバイスは、図1、図3、及び図4に示される適用シナリオにおける保護デバイス100である。保護デバイスは、プロセッサ131と、メモリ132と、ネットワークインターフェース133とを含む。
プロセッサ131は1又は複数のCPUであり得、CPUは、シングルコアCPU又はマルチコアCPUであり得る。
メモリ132は、ランダムアクセスメモリ(random access memory、RAM)、読み出し専用メモリ(Read only Memory、ROM)、消去可能プログラマブル読み出し専用メモリ(erasable programmable read-only memory、EPROM)、フラッシュメモリ、又は光学メモリなどを含むが、それらには限定されない。メモリ132は、オペレーティングシステムのコードを格納する。
ネットワークインターフェース133は、有線インターフェース、たとえば、光ファイバ分散データインターフェース(Fiber Distributed Data Interface、FDDI)、ギガビットイーサネット(Gigabit Ethernet、GE)インターフェース、であり得る。あるいは、ネットワークインターフェース133は、無線インターフェースであってもよい。ネットワークインターフェース133は、内部ネットワーク及び/又は外部ネットワークからデータフローを受信し、プロセッサ131の指示に従って内部ネットワーク内のスイッチと通信する、ように構成される。
任意選択的に、プロセッサ131は、メモリ132に格納された命令を読み出すことによって前述の実施形態の方法を実施するか、又はプロセッサ131は、内部に格納された命令を実行することによって前述の実施形態の方法を実施し得る。プロセッサ131がメモリ132に格納された命令を読み出すことによって前述の実施形態の方法を実施するとき、メモリ132は本出願の前述の実施形態で提供される方法を実施するための命令を格納する。
ネットワークインターフェース133は、第1のデータフローを受信するように構成される。第1のデータフローは送信元IPアドレス及び宛先IPアドレスを含み、送信元IPアドレスは第1の電子デバイスのIPアドレスであり、宛先IPアドレスは第1のサーバのIPアドレスである。
プロセッサ131がメモリ132に格納された命令を実行した後、保護デバイスは以下の動作、すなわち、送信元IPアドレスに対応する第1のデバイス属性情報を決定するステップであって、第1のデバイス属性情報は第1のデバイスタイプ及び第1のサービスタイプを含み、第1のデバイスタイプは第1の電子デバイスのデバイスタイプであり、第1のサービスタイプは第1のデバイスタイプによってアクセスされることができるサービスタイプである、ステップと、宛先IPアドレスに対応する第2のデバイス属性情報を決定するステップであって、第2のデバイス属性情報は第2のデバイスタイプ及び第2のサービスタイプを含み、第2のデバイスタイプは第1のサーバにアクセスすることを許されたデバイスタイプであり、第2のサービスタイプは第1のサーバによって提供されるサービスのサービスタイプである、ステップと、第1のデバイス属性情報が第2のデバイス属性情報と一致するとき第1のデータフローを転送するようにネットワークインターフェース133に指示するステップ、又は第1のデバイス属性情報が第2のデバイス属性情報と一致しないとき、第1のデータフローをブロックするステップ、とを行うことを可能にされる。
少なくとも1つのプロセッサ131は、メモリ132に格納されたいくつかの対応関係表(たとえば、前述の実施形態における表1~3)に基づいて、前述の方法実施形態で説明されたネットワークセキュリティ保護方法をさらに行う。プロセッサ131による前述の機能を実施することのより詳細については、前述の方法実施形態の説明を参照されたい。ここでは詳細は再び説明されない。
任意選択的に、保護デバイスはバス134をさらに含む。プロセッサ131及びメモリ132は、バス134を介して互いに接続されているか、又は他の方式で互いに接続されてもよい。
任意選択的に、保護デバイスは、入力デバイス135と出力デバイス136とをさらに含む。入力デバイス135は、保護デバイスにデータを入力するように構成され、出力デバイス136は、保護デバイスの処理結果を出力するように構成される。
入力デバイス135は、キーボード、タッチスクリーン、マイクなどを含むが、それらには限定されない。出力デバイス136は、ディスプレイ、プリンタなどを含むが、それらには限定されない。
図10は、本出願の一実施形態に係る他の保護デバイスの構造の概略図である。保護デバイスは、受信モジュール141と、処理モジュール142と、送信モジュール143とを含む。図10に示される保護デバイスは、シナリオにおける保護デバイス100の機能を実施するために図1に示されるシナリオで使用される。
受信モジュール141は、第1のデータフローを受信する。第1のデータフローは送信元IPアドレス及び宛先IPアドレスを含み、送信元IPアドレスは第1の電子デバイスのIPアドレスであり、宛先IPアドレスは第1のサーバのIPアドレスである。
処理モジュール142は、送信元IPアドレスに対応する第1のデバイス属性情報を決定し、第1のデバイス属性情報は第1のデバイスタイプ及び第1のサービスタイプを含み、第1のデバイスタイプは第1の電子デバイスのデバイスタイプであり、第1のサービスタイプは第1のデバイスタイプによってアクセスされることができるサービスタイプである、ように、及び宛先IPアドレスに対応する第2のデバイス属性情報を決定し、第2のデバイス属性情報は第2のデバイスタイプ及び第2のサービスタイプを含み、第2のデバイスタイプは第1のサーバにアクセスすることを許されたデバイスタイプであり、第2のサービスタイプは第1のサーバによって提供されるサービスのサービスタイプである、ように、及び、第1のデバイス属性情報が第2のデバイス属性情報と一致するとき第1のデータフローを転送するように送信モジュール143に指示し、又は第1のデバイス属性情報が第2のデバイス属性情報と一致しないとき、第1のデータフローをブロックする、ように構成される。
受信モジュール141及び処理モジュール142によって実施されることができる追加の機能について、及び前述の機能を実施することに関するより詳細については、前述の方法実施形態の説明を参照されたい。詳細はここでは繰り返されない。
図10で説明された装置実施形態は単なる例に過ぎない。たとえば、モジュール分割は単なる論理的機能分割に過ぎず、実際の実施に際しては他の分割であってもよい。たとえば、複数のモジュール又はコンポーネントが、他のシステムに組み合わされるか若しくは統合されてもよく、又は、いくつかの特徴が無視されるか若しくは行われなくてもよい。本出願の実施形態における機能モジュールは、1つの処理モジュールに統合されてもよく、又はモジュールのそれぞれが物理的に単独で存在してもよく、又は2つ以上のモジュールが1つのモジュールに統合される。図10の前述のモジュールは、ハードウェアの形態で実施されてもよく、又はソフトウェア機能ユニットの形態で実施されてもよい。たとえば、ソフトウェアが実施に使用される場合、受信モジュール141及び処理モジュール142は、図9のプロセッサ131がメモリに格納されたプログラムコードを読み出した後に生成されたソフトウェア機能モジュールによって実施され得る。図10の前述のモジュールは、ネットワークデバイス内の異なるハードウェアによって代替的に別々に実施されてもよい。たとえば、受信モジュール141は、図9のネットワークインターフェース133によって実施され、処理モジュール142は、図9のプロセッサ131内のいくつかの処理リソース(たとえば、マルチコアCPU内の他のコア)を使用して、又はプログラマブルコンポーネント、たとえばフィールドプログラマブルゲートアレイ(Field-Programmable Gate Array、FPGA)若しくはコプロセッサを使用して、実施される。前述の機能モジュールは、ソフトウェアとハードウェアとを組み合わせる方式で代替的に実施され得ることは明らかである。たとえば、受信モジュール141は、ネットワークインターフェース133によって実施され、処理モジュール142は、CPUがメモリに格納された命令を読み出した後に生成されるソフトウェア機能モジュールである。
図10の装置によって実施されることができる他の追加の機能について、装置と他のネットワーク要素デバイスとの間のインタラクションのプロセス、装置によって実施されることができる技術的効果、並びに受信モジュール141及び処理モジュール142によって前述の機能を実施することのより詳細については、前述の方法実施形態におけるネットワークデバイスの説明を参照されたい。ここでは詳細は再び説明されない。
本明細書の実施形態はすべて、段階的に記載されている。実施形態の同じ部分又は類似部分については、これらの実施形態を参照されたい。各実施形態は、他の実施形態との差に注目している。特に、システム実施形態は方法実施形態と基本的に同様であり、したがって、簡潔に説明されている。関連部分については、方法実施形態のいくつかの説明を参照されたい。
当業者は、本出願の実施形態におけるさまざまな態様又はさまざまな態様の可能な実施態様がソフトウェアを使用して実施されたとき、前述のさまざまな態様又はさまざまな態様の可能な実装態様のすべて若しくは一部がコンピュータプログラム製品の形態で実施され得ることを理解し得る。コンピュータプログラム製品は、コンピュータ可読媒体に格納されたコンピュータ可読命令である。コンピュータ命令がコンピュータにロードされて実行されたとき、本出願の実施形態に係る手順又は機能が全部又は部分的に生成される。
コンピュータ可読媒体はコンピュータ可読信号媒体又はコンピュータ可読記憶媒体であり得る。コンピュータ可読記憶媒体は、電子、磁気、光学、電磁気、赤外線、若しくは半導体のシステム、デバイス、装置、又はそれらの任意の適切な組合せを含むが、それらには限定されない。たとえば、コンピュータ可読記憶媒体は、ランダムアクセスメモリ(Random Access Memory、RAM)、読み出し専用メモリ(read only memory、ROM)、消去可能プログラマブル読み出し専用メモリ(Erasable Programmable Read Only Memory、EPROM)、又はコンパクトディスク読み出し専用メモリ(Compact Disc Read-Only Memory、CD-ROM)を含む。
当業者が本発明の範囲から逸脱することなく本発明に対してさまざまな修正及び変形を行うことができることは明らかである。本出願は、これらの修正及び変形が以下の特許請求の範囲によって規定される保護の範囲内に入るという条件で、これらの修正及び変形を網羅するように意図される。
100 保護デバイス
131 プロセッサ
132 メモリ
133 ネットワークインターフェース
134 バス
135 入力デバイス
136 出力デバイス
141 受信モジュール
142 処理モジュール
143 送信モジュール
200 サードパーティーサーバ
現在、セキュリティ保護デバイスは、データフローをフィルタリングするためにブラックリストメカニズムを使用している。具体的には、セキュリティ保護デバイスは、事前設定されたインターネットプロトコル(Internet protocol、IP)脅威データベースを格納し、IP脅威データベースはIPアドレスを含む。セキュリティ保護デバイスがクライアントによって送信された大量のデータフローを受信した後、セキュリティ保護デバイスは、データフロー内の送信元IPアドレスがIP脅威データベースに存在するかどうかを判定する。データフローのうちの1つの送信元IPアドレスAがIP脅威データベースに存在する場合、セキュリティ保護デバイスは、IPアドレスAが攻撃的なIPアドレスであると見なし、セキュリティ保護デバイスは、サービスサーバをハッカー攻撃から保護するためにデータフローをブロックする。セキュリティ保護デバイスは、IP脅威データベースにないIPアドレスはセキュアであると判断し、その送信元IPアドレスがIP脅威データベースにないIPアドレスであるデータフローをブロックしない。
任意選択的に、第2の態様の可能な一実施態様では、送信元IPアドレス及び宛先IPアドレスに基づいて、第1のデータフローを転送又はブロックすることを決定するステップは、送信元IPアドレスに対応する第1のデバイス属性情報を決定するステップであって、第1のデバイス属性情報は第1のデバイスタイプ及び第1のサービスタイプを含み、第1のデバイスタイプは第1の電子デバイスのデバイスタイプであり、第1のサービスタイプは第1のデバイスタイプによってアクセスされることができるサービスタイプである、ステップと、宛先IPアドレスに対応する第2のデバイス属性情報を決定するステップであって、第2のデバイス属性情報は第2のデバイスタイプ及び第2のサービスタイプを含み、第2のデバイスタイプは第1のサーバにアクセスすることを許されたデバイスタイプであり、第2のサービスタイプは第1のサーバによって提供されるサービスのサービスタイプである、ステップと、第1のデバイス属性情報が第2のデバイス属性情報と一致するとき、第1のデータフローを転送するステップ、又は第1のデバイス属性情報が第2のデバイス属性情報と一致しないとき、第1のデータフローをブロックするステップとを含む。
第3の態様によれば、本出願の一実施形態は保護デバイスを提供する。保護デバイスは、ネットワークインターフェースと、メモリと、そのメモリに接続されたプロセッサとを含む。メモリは、命令を格納するように構成される。プロセッサは命令を実行するように構成され、その結果、保護デバイスは第1の態様若しくは第1の態様の可能な実施態様の、いずれか1つに係る方法、又は第2の態様若しくは第2の態様の可能な実施態様の、いずれか1つによる方法を行うことを可能にされる。詳細については、前述の詳細な説明を参照されたい。ここでは詳細は再び説明されない。
図2は、本出願の一実施形態に係るネットワークセキュリティ保護方法のフローチャートである。図2に示されるネットワークセキュリティ保護方法は以下のステップS101~S105を含む。任意選択的に、図2に示されるネットワークセキュリティ保護方法は、図1の保護デバイス100によって行われる。
図5は、本出願の一実施形態に係る他のネットワークセキュリティ保護方法のフローチャートである。図5に示される方法は、ステップS201~S209を含み得る。任意選択的に、図5に示されるネットワークセキュリティ保護方法は、図1の保護デバイス100によって行われる。
任意選択的に、保護デバイス100は、他の方式で、複数のサービスサーバ(B1、B2、...、Bm)のそれぞれが攻撃されているかどうかを判定する。たとえば、保護デバイス100は、各サービスサーバにテストパケットを送信し、対応する応答パケットを受信する。保護デバイス100は、テストパケットが送信された時間と応答パケットが受信された時間との間の時間差を計算し、その時間差と所定の遅延閾値との比較結果に基づいて、サービスサーバが攻撃されているかどうかを判定する。たとえば、保護デバイス100は、テストパケットをサービスサーバB1に送信し、サーバB1によって返された対応する応答パケットを受信する。保護デバイス100は、計算によって、テストパケットが送信された時間と応答パケットが受信された時間との間の時間差が0.05秒(second)であることを得る。所定の遅延閾値は0.8sである。このケースでの時間差は所定の遅延閾値未満であるため、保護デバイス100は、サーバB1が現在攻撃されていないと決定し、サーバB1が第2の識別子に対応すると、さらに決定する。他の例として、保護デバイス100は、テストパケットをサービスサーバB2に送信し、サーバB2によって返された対応する応答パケットを受信する。保護デバイス100は、計算によって、テストパケットが送信された時間と応答パケットが受信された時間との間の時間差が1sであることを得る。このケースでの時間差は所定の遅延閾値よりも大きいので、保護デバイス100は、サーバB2が現在攻撃されていると決定し、サーバB2が第1の識別子に対応する、とさらに決定する。
図6は、本出願の一実施形態に係る他のネットワークセキュリティ保護方法のフローチャートである。図6に示される方法は、ステップS301~S307を含み得る。任意選択的に、図6に示されるネットワークセキュリティ保護方法は、図1の保護デバイス100によって行われる。
図7は、本出願の一実施形態に係る他のネットワークセキュリティ保護方法のフローチャートである。図7に示される方法は、ステップS401~S408を含み得る。任意選択的に、図7に示されるネットワークセキュリティ保護方法は、図1の保護デバイス100によって行われる。
図8は、本出願の一実施形態に係る他のネットワークセキュリティ保護方法のフローチャートである。図8に示される方法は、ステップS501~S504を含み得る。任意選択的に、図8に示されるネットワークセキュリティ保護方法は、図1の保護デバイス100によって行われる。
図10で説明された装置実施形態は単なる例に過ぎない。たとえば、モジュール分割は単なる論理的機能分割に過ぎず、実際の実施に際しては他の分割であってもよい。たとえば、複数のモジュール又はコンポーネントが、他のシステムに組み合わされるか若しくは統合されてもよく、又は、いくつかの特徴が無視されるか若しくは行われなくてもよい。本出願の実施形態における機能モジュールは、1つの処理モジュールに統合されてもよく、又はモジュールのそれぞれが物理的に単独で存在してもよく、又は2つ以上のモジュールが1つのモジュールに統合される。図10の前述のモジュールは、ハードウェアの形態で実施されてもよく、又はソフトウェア機能ユニットの形態で実施されてもよい。たとえば、ソフトウェアが実施に使用される場合、受信モジュール141及び処理モジュール142は、図9のプロセッサ131がメモリに格納されたプログラム命令を読み出した後に生成されたソフトウェア機能モジュールによって実施され得る。図10の前述のモジュールは、ネットワークデバイス内の異なるハードウェアによって代替的に別々に実施されてもよい。たとえば、受信モジュール141は、図9のネットワークインターフェース133によって実施され、処理モジュール142は、図9のプロセッサ131内のいくつかの処理リソース(たとえば、マルチコアCPU内の他のコア)を使用して、又はプログラマブルコンポーネント、たとえばフィールドプログラマブルゲートアレイ(Field-Programmable Gate Array、FPGA)若しくはコプロセッサを使用して、実施される。前述の機能モジュールは、ソフトウェアとハードウェアとを組み合わせる方式で代替的に実施され得ることは明らかである。たとえば、受信モジュール141は、ネットワークインターフェース133によって実施され、処理モジュール142は、CPUがメモリに格納された命令を読み出した後に生成されるソフトウェア機能モジュールである。

Claims (18)

  1. 第1のデータフローを受信するステップであって、前記第1のデータフローは送信元IPアドレス及び宛先IPアドレスを含み、前記送信元IPアドレスは第1の電子デバイスのIPアドレスであり、前記宛先IPアドレスは第1のサーバのIPアドレスである、ステップと、
    前記送信元IPアドレスに対応する第1のデバイス属性情報を決定するステップであって、前記第1のデバイス属性情報は第1のデバイスタイプ及び第1のサービスタイプを含み、前記第1のデバイスタイプは前記第1の電子デバイスのデバイスタイプであり、前記第1のサービスタイプは前記第1のデバイスタイプによってアクセスされることができるサービスタイプである、ステップと、
    前記宛先IPアドレスに対応する第2のデバイス属性情報を決定するステップであって、前記第2のデバイス属性情報は第2のデバイスタイプ及び第2のサービスタイプを含み、前記第2のデバイスタイプは前記第1のサーバにアクセスすることを許されたデバイスタイプであり、前記第2のサービスタイプは前記第1のサーバによって提供されるサービスのサービスタイプである、ステップと、
    前記第1のデバイス属性情報が前記第2のデバイス属性情報と一致するとき前記第1のデータフローを転送するステップ、又は
    前記第1のデバイス属性情報が前記第2のデバイス属性情報と一致しないとき、前記第1のデータフローをブロックするステップと
    を含むネットワークセキュリティ保護方法。
  2. 前記送信元IPアドレスに対応する第1のデバイス属性情報を決定する前記ステップの前に、前記方法は、
    前記第1のデータフロー内の前記宛先IPアドレスに対応する検出識別子を決定するステップであって、前記検出識別子は第1の識別子又は第2の識別子であり、前記第1の識別子は前記第1のサーバが現在攻撃されていることを示すために使用され、前記第2の識別子は前記第1のサーバが現在攻撃されていないことを示すために使用される、ステップと、
    前記検出識別子が前記第1の識別子であるとき、前記送信元IPアドレスに対応するリスク値を決定するステップ、及び前記送信元IPアドレスに対応する前記リスク値が第1のリスク範囲内にあるとき、前記第1のデータフローをブロックするステップ、又は前記送信元IPアドレスに対応する前記リスク値が第2のリスク範囲内にあるとき、前記送信元IPアドレスに対応する前記第1のデバイス属性情報を決定するステップを行うステップ、であって、前記第1のリスク範囲における最小値は前記第2のリスク範囲における最大値よりも大きいか又は前記第2のリスク範囲における最小値は前記第1のリスク範囲における最大値よりも大きく、前記第1のリスク範囲におけるリスク値によって示されるリスクはすべて前記第2のリスク範囲におけるリスク値によって示されるリスクよりも高い、ステップ、又は
    前記検出識別子が前記第2の識別子であるとき、前記第1のデータフローを転送するステップと
    をさらに含む、請求項1に記載のネットワークセキュリティ保護方法。
  3. 前記送信元IPアドレスに対応する第1のデバイス属性情報を決定する前記ステップの前に、前記方法は、
    前記送信元IPアドレスに対応するリスク値を決定するステップと、
    前記送信元IPアドレスに対応する前記リスク値が第1のリスク範囲内にあるとき、前記第1のデータフローをブロックするステップ、又は
    前記送信元IPアドレスに対応する前記リスク値が第2のリスク範囲内にあるとき、前記送信元IPアドレスに対応する前記第1のデバイス属性情報を決定するステップを行うステップであって、前記第1のリスク範囲における最小値は前記第2のリスク範囲における最大値よりも大きいか又は前記第2のリスク範囲における最小値は前記第1のリスク範囲における最大値よりも大きく、前記第1のリスク範囲におけるリスク値によって示されるリスクはすべて前記第2のリスク範囲におけるリスク値によって示されるリスクよりも高い、ステップと
    をさらに含む、請求項1に記載のネットワークセキュリティ保護方法。
  4. 前記送信元IPアドレスに対応する第1のデバイス属性情報を決定する前記ステップの前に、前記方法は、
    前記第1のデータフロー内の前記宛先IPアドレスに対応する検出識別子を決定するステップであって、前記検出識別子は第1の識別子又は第2の識別子であり、前記第1の識別子は前記第1のサーバが現在攻撃されていることを示すために使用され、前記第2の識別子は前記第1のサーバが現在攻撃されていないことを示すために使用される、ステップと、
    前記検出識別子が前記第1の識別子であるとき、前記送信元IPアドレスに対応する前記第1のデバイス属性情報を決定するステップを行うステップ、又は
    前記検出識別子が前記第2の識別子であるとき、前記第1のデータフローを転送するステップと
    をさらに含む、請求項1に記載のネットワークセキュリティ保護方法。
  5. 第1のデータフローを受信するステップであって、前記第1のデータフローは送信元IPアドレス及び宛先IPアドレスを含み、前記送信元IPアドレスは第1の電子デバイスのIPアドレスであり、前記宛先IPアドレスは第1のサーバのIPアドレスである、ステップと、
    前記送信元IPアドレスに対応するリスク値を決定するステップと、
    前記送信元IPアドレスに対応する前記リスク値が第1のリスク範囲内にあるとき、前記第1のデータフローをブロックするステップ、又は
    前記送信元IPアドレスに対応する前記リスク値が第2のリスク範囲内にあるとき、前記送信元IPアドレス及び前記宛先IPアドレスに基づいて、前記第1のデータフローを転送又はブロックすることを決定するステップであって、前記第1のリスク範囲における最小値は前記第2のリスク範囲における最大値よりも大きいか又は前記第2のリスク範囲における最小値は前記第1のリスク範囲における最大値よりも大きく、前記第1のリスク範囲におけるリスク値によって示されるリスクはすべて前記第2のリスク範囲におけるリスク値によって示されるリスクよりも高い、ステップと
    を含むネットワークセキュリティ保護方法。
  6. 前記送信元IPアドレス及び前記宛先IPアドレスに基づいて、前記第1のデータフローを転送又はブロックすることを決定する前記ステップは、
    前記送信元IPアドレスに対応する第1のデバイス属性情報を決定するステップであって、前記第1のデバイス属性情報は第1のデバイスタイプ及び第1のサービスタイプを含み、前記第1のデバイスタイプは前記第1の電子デバイスのデバイスタイプであり、前記第1のサービスタイプは前記第1のデバイスタイプによってサポートされるサービスタイプである、ステップと、
    前記宛先IPアドレスに対応する第2のデバイス属性情報を決定するステップであって、前記第2のデバイス属性情報は第2のデバイスタイプ及び第2のサービスタイプを含み、前記第2のデバイスタイプは前記第1のサーバにアクセスすることを許されたデバイスタイプであり、前記第2のサービスタイプは前記第1のサーバによって提供されるサービスのサービスタイプである、ステップと、
    前記第1のデバイス属性情報が前記第2のデバイス属性情報と一致するとき、前記第1のデータフローを転送するステップ、又は
    前記第1のデバイス属性情報が前記第2のデバイス属性情報と一致しないとき、前記第1のデータフローをブロックするステップと
    を含む、請求項5に記載のネットワークセキュリティ保護方法。
  7. 前記送信元IPアドレスに対応する第1のデバイス属性情報を決定する前記ステップの前に、前記方法は、
    前記第1のデータフロー内の前記宛先IPアドレスに対応する検出識別子を決定するステップであって、前記検出識別子は第1の識別子又は第2の識別子であり、前記第1の識別子は前記第1のサーバが現在攻撃されていることを示すために使用され、前記第2の識別子は前記第1のサーバが現在攻撃されていないことを示すために使用される、ステップと、
    前記検出識別子が前記第1の識別子であるとき、前記送信元IPアドレスに対応する前記第1のデバイス属性情報を決定するステップを行うステップ、又は
    前記検出識別子が前記第2の識別子であるとき、前記第1のデータフローを転送するステップと
    をさらに含む、請求項6に記載のネットワークセキュリティ保護方法。
  8. ネットワークインターフェースと、メモリと、前記メモリに接続されているプロセッサとを含む保護デバイスであって、前記メモリは命令を格納するように構成され、
    前記ネットワークインターフェースは、第1のデータフローを受信し、前記第1のデータフローは送信元IPアドレス及び宛先IPアドレスを含み、前記送信元IPアドレスは第1の電子デバイスのIPアドレスであり、前記宛先IPアドレスは第1のサーバのIPアドレスである、ように構成され、
    前記プロセッサは、前記命令を実行し、その結果前記保護デバイスが以下の動作、すなわち、
    前記送信元IPアドレスに対応する第1のデバイス属性情報を決定するステップであって、前記第1のデバイス属性情報は第1のデバイスタイプ及び第1のサービスタイプを含み、前記第1のデバイスタイプは前記第1の電子デバイスのデバイスタイプであり、前記第1のサービスタイプは前記第1のデバイスタイプによってアクセスされることができるサービスタイプである、ステップと、前記宛先IPアドレスに対応する第2のデバイス属性情報を決定するステップであって、前記第2のデバイス属性情報は第2のデバイスタイプ及び第2のサービスタイプを含み、前記第2のデバイスタイプは前記第1のサーバにアクセスすることを許されたデバイスタイプであり、前記第2のサービスタイプは前記第1のサーバによって提供されるサービスのサービスタイプである、ステップと、前記第1のデバイス属性情報が前記第2のデバイス属性情報と一致するとき、前記ネットワークインターフェースを介して前記第1のデータフローを転送するステップ、又は前記第1のデバイス属性情報が前記第2のデバイス属性情報と一致しないとき、前記第1のデータフローをブロックするステップとを行うことを可能にさせる、ように構成される、
    保護デバイス。
  9. 前記プロセッサは、前記第1のデータフロー内の前記宛先IPアドレスに対応する検出識別子を決定し、前記検出識別子は第1の識別子又は第2の識別子であり、前記第1の識別子は前記第1のサーバが現在攻撃されていることを示すために使用され、前記第2の識別子は前記第1のサーバが現在攻撃されていないことを示すために使用される、ように、及び前記検出識別子が前記第1の識別子であるとき、前記送信元IPアドレスに対応するリスク値を決定し、前記送信元IPアドレスに対応する前記リスク値が第1のリスク範囲内にあるとき、前記第1のデータフローをブロックし、又は前記送信元IPアドレスに対応する前記リスク値が第2のリスク範囲内にあるとき、前記送信元IPアドレスに対応する前記第1のデバイス属性情報を決定し、前記第1のリスク範囲における最小値は前記第2のリスク範囲における最大値よりも大きいか又は前記第2のリスク範囲における最小値は前記第1のリスク範囲における最大値よりも大きく、前記第1のリスク範囲におけるリスク値によって示されるリスクはすべて前記第2のリスク範囲におけるリスク値によって示されるリスクよりも高い、ように、又は前記検出識別子が前記第2の識別子であるとき、前記第1のデータフローを転送する、ようにさらに構成される、
    請求項8に記載の保護デバイス。
  10. 前記プロセッサは、前記送信元IPアドレスに対応するリスク値を決定するように、及び前記送信元IPアドレスに対応する前記リスク値が第1のリスク範囲内にあるとき、前記第1のデータフローをブロックし、又は前記送信元IPアドレスに対応する前記リスク値が第2のリスク範囲内にあるとき、前記送信元IPアドレスに対応する前記第1のデバイス属性情報を決定し、前記第1のリスク範囲における最小値は前記第2のリスク範囲における最大値よりも大きいか又は前記第2のリスク範囲における最小値は前記第1のリスク範囲における最大値よりも大きく、前記第1のリスク範囲におけるリスク値によって示されるリスクはすべて前記第2のリスク範囲におけるリスク値によって示されるリスクよりも高い、ようにさらに構成される、
    請求項8に記載の保護デバイス。
  11. 前記プロセッサは、前記第1のデータフロー内の前記宛先IPアドレスに対応する検出識別子を決定し、前記検出識別子は第1の識別子又は第2の識別子であり、前記第1の識別子は前記第1のサーバが現在攻撃されていることを示すために使用され、前記第2の識別子は前記第1のサーバが現在攻撃されていないことを示すために使用される、ように、及び前記検出識別子が前記第1の識別子であるとき、前記送信元IPアドレスに対応する前記第1のデバイス属性情報を決定し、又は前記検出識別子が前記第2の識別子であるとき、前記第1のデータフローを転送する、ようにさらに構成される、
    請求項8に記載の保護デバイス。
  12. ネットワークインターフェースと、メモリと、前記メモリに接続されているプロセッサとを含む保護デバイスであって、前記メモリは命令を格納するように構成され、
    前記プロセッサは、前記命令を実行し、その結果前記保護デバイスは以下の動作、すなわち、
    前記ネットワークインターフェースを介して第1のデータフローを受信するステップであって、前記第1のデータフローは送信元IPアドレス及び宛先IPアドレスを含み、前記送信元IPアドレスは第1の電子デバイスのIPアドレスであり、前記宛先IPアドレスは第1のサーバのIPアドレスである、ステップと、前記送信元IPアドレスに対応するリスク値を決定するステップと、前記送信元IPアドレスに対応する前記リスク値が第1のリスク範囲内にあるとき、前記第1のデータフローをブロックするステップ、又は前記送信元IPアドレスに対応する前記リスク値が第2のリスク範囲内にあるとき、前記送信元IPアドレス及び前記宛先IPアドレスに基づいて、前記第1のデータフローを転送又はブロックすることを決定するステップであって、前記第1のリスク範囲における最小値は前記第2のリスク範囲における最大値よりも大きいか又は前記第2のリスク範囲における最小値は前記第1のリスク範囲における最大値よりも大きく、前記第1のリスク範囲におけるリスク値によって示されるリスクはすべて前記第2のリスク範囲におけるリスク値によって示されるリスクよりも高い、ステップとを行うことを可能にされるように構成される、
    保護デバイス。
  13. 前記プロセッサは、前記送信元IPアドレスに対応する第1のデバイス属性情報を決定し、前記第1のデバイス属性情報は第1のデバイスタイプ及び第1のサービスタイプを含み、前記第1のデバイスタイプは前記第1の電子デバイスのデバイスタイプであり、前記第1のサービスタイプは前記第1のデバイスタイプによってサポートされるサービスタイプである、ように、及び前記宛先IPアドレスに対応する第2のデバイス属性情報を決定し、前記第2のデバイス属性情報は第2のデバイスタイプ及び第2のサービスタイプを含み、前記第2のデバイスタイプは前記第1のサーバにアクセスすることを許されたデバイスタイプであり、前記第2のサービスタイプは前記第1のサーバによって提供されるサービスのサービスタイプである、ように、及び前記第1のデバイス属性情報が前記第2のデバイス属性情報と一致するとき、前記第1のデータフローを転送するように前記ネットワークインターフェースに指示し、又は前記第1のデバイス属性情報が前記第2のデバイス属性情報と一致しないとき、前記第1のデータフローをブロックする、ように特に構成される、
    請求項12に記載の保護デバイス。
  14. 前記プロセッサは、前記第1のデータフロー内の前記宛先IPアドレスに対応する検出識別子を決定し、前記検出識別子は第1の識別子又は第2の識別子であり、前記第1の識別子は前記第1のサーバが現在攻撃されていることを示すために使用され、前記第2の識別子は前記第1のサーバが現在攻撃されていないことを示すために使用される、ように、及び前記検出識別子が前記第1の識別子であるとき、前記送信元IPアドレスに対応する前記第1のデバイス属性情報を決定し、又は前記検出識別子が前記第2の識別子であるとき、前記第1のデータフローを転送するように前記ネットワークインターフェースに指示する、ようにさらに構成される、
    請求項13に記載の保護デバイス。
  15. 第1のデータフローを受信し、前記第1のデータフローは送信元IPアドレス及び宛先IPアドレスを含み、前記送信元IPアドレスは第1の電子デバイスのIPアドレスであり、前記宛先IPアドレスは第1のサーバのIPアドレスである、ように構成された受信モジュールと、
    前記送信元IPアドレスに対応する第1のデバイス属性情報を決定し、前記第1のデバイス属性情報は第1のデバイスタイプ及び第1のサービスタイプを含み、前記第1のデバイスタイプは前記第1の電子デバイスのデバイスタイプであり、前記第1のサービスタイプは前記第1のデバイスタイプによってアクセスされることができるサービスタイプである、ように、及び前記宛先IPアドレスに対応する第2のデバイス属性情報を決定し、前記第2のデバイス属性情報は第2のデバイスタイプ及び第2のサービスタイプを含み、前記第2のデバイスタイプは前記第1のサーバにアクセスすることを許されたデバイスタイプであり、前記第2のサービスタイプは前記第1のサーバによって提供されるサービスのサービスタイプである、ように、及び前記第1のデバイス属性情報が前記第2のデバイス属性情報と一致するとき、前記第1のデータフローを転送するように送信モジュールに指示し、又は前記第1のデバイス属性情報が前記第2のデバイス属性情報と一致しないとき、前記第1のデータフローをブロックする、ように構成された処理モジュールと
    を含む保護デバイス。
  16. 第1のデータフローを受信し、前記第1のデータフローは送信元IPアドレス及び宛先IPアドレスを含み、前記送信元IPアドレスは第1の電子デバイスのIPアドレスであり、前記宛先IPアドレスは第1のサーバのIPアドレスである、ように構成された受信モジュールと、
    前記送信元IPアドレスに対応するリスク値を決定するように、及び前記送信元IPアドレスに対応する前記リスク値が第1のリスク範囲内にあるとき、前記第1のデータフローをブロックし、又は前記送信元IPアドレスに対応する前記リスク値が第2のリスク範囲内にあるとき、前記送信元IPアドレス及び前記宛先IPアドレスに基づいて、前記第1のデータフローを転送又はブロックすることを決定し、前記第1のリスク範囲における最小値は前記第2のリスク範囲における最大値よりも大きいか又は前記第2のリスク範囲における最小値は前記第1のリスク範囲における最大値よりも大きく、前記第1のリスク範囲におけるリスク値によって示されるリスクはすべて前記第2のリスク範囲におけるリスク値によって示されるリスクよりも高い、ように構成された処理モジュールと
    を含む保護デバイス。
  17. コンピュータ命令を含むコンピュータ記憶媒体であって、前記コンピュータ命令がネットワークデバイス上で実行されたとき、前記ネットワークデバイスが、請求項1から7のいずれか一項に記載の方法を行うことを可能にされる、コンピュータ記憶媒体。
  18. コンピュータプログラム製品であって、前記コンピュータプログラム製品がコンピュータ上で動作したとき、前記コンピュータが、請求項1から7のいずれか一項に記載の方法を行うことを可能にされる、コンピュータプログラム製品。
JP2022537782A 2019-12-31 2020-09-11 ネットワークセキュリティ保護方法及び保護デバイス Active JP7462757B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
CN201911408206.7 2019-12-31
CN201911408206.7A CN113132308B (zh) 2019-12-31 2019-12-31 一种网络安全防护方法及防护设备
PCT/CN2020/114685 WO2021135382A1 (zh) 2019-12-31 2020-09-11 一种网络安全防护方法及防护设备

Publications (2)

Publication Number Publication Date
JP2023508302A true JP2023508302A (ja) 2023-03-02
JP7462757B2 JP7462757B2 (ja) 2024-04-05

Family

ID=76685902

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2022537782A Active JP7462757B2 (ja) 2019-12-31 2020-09-11 ネットワークセキュリティ保護方法及び保護デバイス

Country Status (7)

Country Link
US (1) US20220329609A1 (ja)
EP (1) EP4050859A4 (ja)
JP (1) JP7462757B2 (ja)
CN (1) CN113132308B (ja)
CA (1) CA3158824A1 (ja)
MX (1) MX2022008154A (ja)
WO (1) WO2021135382A1 (ja)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114826630A (zh) * 2021-01-22 2022-07-29 华为技术有限公司 防护设备中的流量处理方法及防护设备
US11757929B2 (en) * 2021-05-27 2023-09-12 Pantheon Systems, Inc. Traffic-shaping HTTP proxy for denial-of-service protection
CN114363386B (zh) * 2021-12-31 2024-04-12 中控创新(北京)能源技术有限公司 工控安全管理装置和油气管道控制系统

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2001057554A (ja) * 1999-08-17 2001-02-27 Yoshimi Baba クラッカー監視システム
JP2004038557A (ja) * 2002-07-03 2004-02-05 Oki Electric Ind Co Ltd 不正アクセス遮断システム
JP2006148778A (ja) * 2004-11-24 2006-06-08 Nippon Telegr & Teleph Corp <Ntt> パケット転送制御装置
JP2010109731A (ja) * 2008-10-30 2010-05-13 Iwatsu Electric Co Ltd パケット通過制御方法
JP2011024019A (ja) * 2009-07-16 2011-02-03 Nec Access Technica Ltd ネットワークシステム、ネットワーク装置、ネットワーク方法及びプログラム
CN102668467A (zh) * 2009-10-07 2012-09-12 日本电气株式会社 计算机系统和监视计算机系统的方法
CN109587156A (zh) * 2018-12-17 2019-04-05 广州天懋信息系统股份有限公司 异常网络访问连接识别与阻断方法、系统、介质和设备

Family Cites Families (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20020032871A1 (en) * 2000-09-08 2002-03-14 The Regents Of The University Of Michigan Method and system for detecting, tracking and blocking denial of service attacks over a computer network
US9596154B2 (en) * 2013-04-11 2017-03-14 Verizon Patent And Licensing Inc. Classifying client devices in a network
CN103581018B (zh) * 2013-07-26 2017-08-11 北京华为数字技术有限公司 报文发送方法、路由器以及业务交换器
CN105991628A (zh) * 2015-03-24 2016-10-05 杭州迪普科技有限公司 网络攻击的识别方法和装置
CN104901960A (zh) * 2015-05-26 2015-09-09 汉柏科技有限公司 一种基于告警策略的网络安全管理设备及方法
CN106714076A (zh) * 2015-11-12 2017-05-24 中兴通讯股份有限公司 一种触发mtc设备的方法和装置
CN107465651B (zh) * 2016-06-06 2020-10-02 腾讯科技(深圳)有限公司 网络攻击检测方法及装置
CN107426168A (zh) * 2017-05-23 2017-12-01 国网山东省电力公司电力科学研究院 一种网络安全访问处理方法及装置
CN107493276B (zh) * 2017-08-08 2020-04-07 北京神州绿盟信息安全科技股份有限公司 一种网络安全防护的方法及装置
CN108521408B (zh) * 2018-03-22 2021-03-12 平安科技(深圳)有限公司 抵抗网络攻击方法、装置、计算机设备及存储介质
US11122411B2 (en) * 2018-09-14 2021-09-14 RaGaPa Inc. Distributed, crowdsourced internet of things (IoT) discovery and identification using block chain

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2001057554A (ja) * 1999-08-17 2001-02-27 Yoshimi Baba クラッカー監視システム
JP2004038557A (ja) * 2002-07-03 2004-02-05 Oki Electric Ind Co Ltd 不正アクセス遮断システム
JP2006148778A (ja) * 2004-11-24 2006-06-08 Nippon Telegr & Teleph Corp <Ntt> パケット転送制御装置
JP2010109731A (ja) * 2008-10-30 2010-05-13 Iwatsu Electric Co Ltd パケット通過制御方法
JP2011024019A (ja) * 2009-07-16 2011-02-03 Nec Access Technica Ltd ネットワークシステム、ネットワーク装置、ネットワーク方法及びプログラム
CN102668467A (zh) * 2009-10-07 2012-09-12 日本电气株式会社 计算机系统和监视计算机系统的方法
CN109587156A (zh) * 2018-12-17 2019-04-05 广州天懋信息系统股份有限公司 异常网络访问连接识别与阻断方法、系统、介质和设备

Also Published As

Publication number Publication date
CA3158824A1 (en) 2021-07-08
CN113132308B (zh) 2022-05-17
WO2021135382A1 (zh) 2021-07-08
EP4050859A1 (en) 2022-08-31
CN113132308A (zh) 2021-07-16
US20220329609A1 (en) 2022-10-13
MX2022008154A (es) 2022-07-21
JP7462757B2 (ja) 2024-04-05
EP4050859A4 (en) 2022-12-28

Similar Documents

Publication Publication Date Title
US20240031400A1 (en) Identifying Malware Devices with Domain Name System (DNS) Queries
US11671402B2 (en) Service resource scheduling method and apparatus
EP3481029B1 (en) Internet defense method and authentication server
Habibi et al. Heimdall: Mitigating the internet of insecure things
JP7462757B2 (ja) ネットワークセキュリティ保護方法及び保護デバイス
JP5325335B2 (ja) フィルタリング方法、システムおよびネットワーク機器
US10135785B2 (en) Network security system to intercept inline domain name system requests
US10505959B1 (en) System and method directed to behavioral profiling services
US11843532B2 (en) Application peering
US10193890B2 (en) Communication apparatus to manage whitelist information
US11316861B2 (en) Automatic device selection for private network security
CN115037551B (zh) 连接权限控制方法、装置、电子设备及存储介质
US20210112093A1 (en) Measuring address resolution protocol spoofing success
WO2022183794A1 (zh) 一种流量处理方法、及防护系统
JP7139252B2 (ja) 転送装置
KR101593897B1 (ko) 방화벽, ids 또는 ips를 우회하는 네트워크 스캔 방법
US11115435B2 (en) Local DDOS mitigation announcements in a telecommunications network
US11736528B2 (en) Low latency cloud-assisted network security with local cache
CN111224886B (zh) 一种网络流量的管控方法及系统
KR102046612B1 (ko) Sdn 기반의 dns 증폭 공격 방어시스템 및 그 방법
TWI732708B (zh) 基於多接取邊緣運算的網路安全系統和網路安全方法
WO2009143750A1 (zh) 基于tnc的终端数据管理、终端安全评估方法、装置和系统
Liu et al. Community Cleanup: Incentivizing Network Hygiene via Distributed Attack Reporting
WO2023231848A1 (zh) 跨域访问方法和内容分发网络边缘服务器
US20230141028A1 (en) Traffic control server and method

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20220729

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20220729

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20230714

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20230904

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20231130

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20240226

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20240326

R150 Certificate of patent or registration of utility model

Ref document number: 7462757

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150