本发明公开一种内网与外网间的数据安全传输控制方法,在内部网络与外部网络之间设置一权限服务器,包括内外网数据判别模块、探针、日志采集器、数据处理模块、黑名单模块、IP地址分析模块、黑名单源地址簿、数据缓存区、一号收发数据模块和二号收发数据模块。数据处理模块将外网数据初步判断为异常数据并发送至黑名单模块,IP地址分析模块将外网数据中的源地址与黑名单源地址簿中存入的历史的源地址进行比较以判断是否存在相同的IP地址,若存在则确定外部网络发送的数据为攻击数据,若不存在则进一步通过获取日志采集器采集的网络安全日志来解析是否为攻击数据,因此能够更准确的对外网设备向内网设备发起的网络攻击进行有效检测。
1.一种内网与外网间的数据安全传输控制方法,其特征在于,在内部网络与外部网络之间设置一权限服务器,所述权限服务器包括内外网数据判别模块、探针、日志采集器、数据处理模块、黑名单模块、IP地址分析模块、黑名单源地址簿、数据缓存区、一号收发数据模块和二号收发数据模块,所述数据安全传输控制方法包括以下步骤:通过一号收发数据模块从外部网络接收外网数据或者从内部网络接收内网数据;
通过内外网数据判别模块从一号收发数据模块接收数据,并根据预设的规则判断接收到的所述数据是内网数据还是外网数据;
通过探针获取内外网数据判别模块设定时间内得到的内网数据和外网数据的流量;
通过数据处理模块从内外网数据判别模块接收内网数据或外网数据,将内网数据的身份与内部存储的身份认证信息进行核对,判断内部存储的身份认证信息中是否存在与内网数据身份相同的身份信息,如果是,则将内网数据发送至数据缓存区,如果否,则将内网数据发送至黑名单模块;
通过数据处理模块从探针接收内外网数据判别模块设定时间内得到的内网数据和外网数据的流量,判断外网数据的流量是否大于设定时间内内网数据的流量,如果是,则将外网数据发送至黑名单模块,如果否,则将外网数据发送至数据缓存区;
通过IP地址分析模块获取黑名单模块内的外网数据,从外网数据中获得源地址和目标地址,并将获得的所述源地址与黑名单源地址簿中存入的历史的源地址进行比较以判断是否存在相同的IP地址;
当判断黑名单源地址簿中存在相同的IP地址,则确定外部网络发送的数据为攻击数据,根据所述源地址和目标地址分别确定攻击设备的IP地址和被攻击设备的IP地址,并根据所述被攻击设备的IP地址通过对应主机上的断电器控制主机自动断电;
当判断黑名单源地址簿中不存在相同的IP地址,则通过数据处理模块获取日志采集器采集的网络安全日志,并根据网络安全日志的类型,从规则库中查询网络安全日志的类型对应的日志解析规则进行解析,从而进一步判断外部网络发送的数据是否为攻击数据;若是,根据目标地址确定被攻击设备的IP地址,并根据被攻击设备的IP地址通过对应主机上的断电器控制主机自动断电,以及将从外网数据中获取的源地址存入黑名单源地址簿中;
通过二号收发数据模块从数据缓存区获得所述数据发送至内网或外网;
所述权限服务器还包括黑名单目标地址簿,所述数据安全传输控制方法还包括如下步骤:
通过IP地址分析模块获取黑名单模块内的内网数据,从内网数据中获得源地址和目标地址,并根据所述目标地址判断所述内网数据是发送至内网设备还是外网设备;
当判断所述内网数据是发送至外网设备时,将获得的所述目标地址与黑名单目标地址簿中存入的历史的目标地址进行比较以判断是否存在相同的IP地址;
当判断黑名单目标地址簿中存在相同的IP地址,则确定内部网络发送的数据为攻击数据,根据所述源地址和目标地址分别确定攻击设备的IP地址和被攻击设备的IP地址,丢弃所述内网数据;当判断黑名单目标地址簿中不存在相同的IP地址时,则通过数据处理模块获取日志采集器采集的网络安全日志,并根据网络安全日志的类型,从规则库中查询网络安全日志的类型对应的日志解析规则进行解析,从而进一步判断内部网络发送的该数据包是否为攻击数据;若是,丢弃所述内网数据,并将从该数据包中获取的目标地址存入黑名单目标地址簿中;若否,则将所述内网数据发送至所述数据缓存区;
当判断所述内网数据是发送至内网设备时,则通过数据处理模块获取日志采集器采集的网络安全日志,并根据网络安全日志的类型,从规则库中查询网络安全日志的类型对应的日志解析规则进行解析,从而进一步判断内部网络发送的该数据包是否为攻击数据;若是,根据目标地址确定被攻击设备的IP地址,并根据被攻击设备的IP地址通过对应主机上的断电器控制主机自动断电,以及将从该数据包中获取的目标地址存入黑名单目标地址簿中;若否,则将所述内网数据发送至所述数据缓存区。
2.根据权利要求1所述数据安全传输控制方法,其特征在于,所述外网数据包括多个数据包;所述数据安全传输控制方法进一步包括:通过IP地址分析模块获取黑名单模块内的外网数据,从所述外网数据中获得每个数据包的源地址和目标地址,根据每个数据包的所述源地址确定攻击设备的IP地址,并将所述攻击设备的IP地址与黑名单源地址簿中存入的历史的源地址进行比较以判断是否存在相同的IP地址;
当判断黑名单源地址簿中存在相同的IP地址,则确定外部网络发送的该数据包为攻击数据,根据所述目标地址确定被攻击设备的IP地址,并根据所述被攻击设备的IP地址通过对应主机上的断电器控制主机自动断电;
当判断黑名单源地址簿中不存在相同的IP地址,则通过数据处理模块获取日志采集器采集的网络安全日志,并根据网络安全日志的类型,从规则库中查询网络安全日志的类型对应的日志解析规则进行解析,从而进一步判断外部网络发送的该数据包是否为攻击数据;若是,根据目标地址确定被攻击设备的IP地址,并根据被攻击设备的IP地址通过对应主机上的断电器控制主机自动断电,以及将从该数据包中获取的源地址存入黑名单源地址簿中;若否,则将所述数据包发送至所述数据缓存区。
3.根据权利要求1所述数据安全传输控制方法,其特征在于,所述权限服务器还包括白名单源地址簿,所述步骤通过IP地址分析模块获取黑名单模块内的外网数据,从外网数据中获得源地址和目标地址,并将获得的所述源地址与黑名单源地址簿中存入的历史的源地址进行比较以判断是否存在相同的IP地址具体包括:通过IP地址分析模块获取黑名单模块内的外网数据,从外网数据中获得源地址和目标地址;
将获得的所述源地址与白名单源地址簿中预存的源地址进行比较以判断是否存在相同的IP地址;
当判断白名单源地址簿中存在相同的IP地址时,将所述外网数据发送至所述数据缓存区;
当判断白名单源地址簿中不存在相同的IP地址时,再将获得的所述源地址与黑名单源地址簿中存入的历史的源地址进行比较以判断是否存在相同的IP地址。
4.根据权利要求1所述数据安全传输控制方法,其特征在于,所述权限服务器还包括白名单目标地址簿,所述步骤当判断所述内网数据是发送至外网设备时,将获得的所述目标地址与黑名单目标地址簿中存入的历史的目标地址进行比较以判断是否存在相同的IP地址具体包括:当判断所述内网数据是发送至外网设备时,将获得的所述目标地址与白名单目标地址簿中预存的目标地址进行比较以判断是否存在相同的IP地址;
当判断白名单目标地址簿中存在相同的IP地址时,将所述内网数据发送至所述数据缓存区;
当判断白名单目标地址簿中不存在相同的IP地址时,再将获得的所述目标地址与黑名单目标地址簿中存入的历史的目标地址进行比较以判断是否存在相同的IP地址。
5.一种内网与外网间的数据安全传输控制系统,其特征在于,在内部网络与外部网络之间设置一权限服务器,所述权限服务器包括内外网数据判别模块、探针、日志采集器、数据处理模块、黑名单模块、IP地址分析模块、黑名单源地址簿、数据缓存区、一号收发数据模块和二号收发数据模块;
所述一号收发数据模块用于从外部网络接收外网数据或者从内部网络接收内网数据;
所述内外网数据判别模块用于从一号收发数据模块接收数据,并根据预设的规则判断接收到的所述数据是内网数据还是外网数据;
所述探针用于获取内外网数据判别模块设定时间内得到的内网数据和外网数据的流量;
所述数据处理模块用于从内外网数据判别模块接收内网数据或外网数据,将内网数据的身份与内部存储的身份认证信息进行核对,判断内部存储的身份认证信息中是否存在与内网数据身份相同的身份信息,如果是,则将内网数据发送至数据缓存区,如果否,则将内网数据发送至黑名单模块;
所述数据处理模块还用于从探针接收内外网数据判别模块设定时间内得到的内网数据和外网数据的流量,判断外网数据的流量是否大于设定时间内内网数据的流量,如果是,则将外网数据发送至黑名单模块,如果否,则将外网数据发送至数据缓存区;
所述IP地址分析模块用于获取黑名单模块内的外网数据,从外网数据中获得源地址和目标地址,并将获得的所述源地址与黑名单源地址簿中存入的历史的源地址进行比较以判断是否存在相同的IP地址;当判断黑名单源地址簿中存在相同的IP地址,则确定外部网络发送的数据为攻击数据,根据所述源地址和目标地址分别确定攻击设备的IP地址和被攻击设备的IP地址,并根据所述被攻击设备的IP地址通过对应主机上的断电器控制主机自动断电;当判断黑名单源地址簿中不存在相同的IP地址,则通过数据处理模块获取日志采集器采集的网络安全日志,并根据网络安全日志的类型,从规则库中查询网络安全日志的类型对应的日志解析规则进行解析,从而进一步判断外部网络发送的数据是否为攻击数据;若是,根据目标地址确定被攻击设备的IP地址,并根据被攻击设备的IP地址通过对应主机上的断电器控制主机自动断电,以及将从外网数据中获取的源地址存入黑名单源地址簿中;
所述二号收发数据模块用于从数据缓存区获得所述数据发送至内网或外网;
所述权限服务器还包括黑名单目标地址簿,所述IP地址分析模块进一步用于:
获取黑名单模块内的内网数据,从内网数据中获得源地址和目标地址,并根据所述目标地址判断所述内网数据是发送至内网设备还是外网设备;当判断所述内网数据是发送至外网设备时,将获得的所述目标地址与黑名单目标地址簿中存入的历史的目标地址进行比较以判断是否存在相同的IP地址;
当判断黑名单目标地址簿中存在相同的IP地址,则确定内部网络发送的数据为攻击数据,根据所述源地址和目标地址分别确定攻击设备的IP地址和被攻击设备的IP地址,丢弃所述内网数据;
当判断黑名单目标地址簿中不存在相同的IP地址时,则通过数据处理模块获取日志采集器采集的网络安全日志,并根据网络安全日志的类型,从规则库中查询网络安全日志的类型对应的日志解析规则进行解析,从而进一步判断内部网络发送的该数据包是否为攻击数据;若是,丢弃所述内网数据,并将从该数据包中获取的目标地址存入黑名单目标地址簿中;若否,则将所述内网数据发送至所述数据缓存区;
当判断所述内网数据是发送至内网设备时,则通过数据处理模块获取日志采集器采集的网络安全日志,并根据网络安全日志的类型,从规则库中查询网络安全日志的类型对应的日志解析规则进行解析,从而进一步判断内部网络发送的该数据包是否为攻击数据;若是,根据目标地址确定被攻击设备的IP地址,并根据被攻击设备的IP地址通过对应主机上的断电器控制主机自动断电,以及将从该数据包中获取的目标地址存入黑名单目标地址簿中;若否,则将所述内网数据发送至所述数据缓存区。
6.根据权利要求5所述数据安全传输控制系统,其特征在于,所述外网数据包括多个数据包,所述IP地址分析模块进一步用于:获取黑名单模块内的外网数据,从所述外网数据中获得每个数据包的源地址和目标地址,根据每个数据包的所述源地址确定攻击设备的IP地址,并将所述攻击设备的IP地址与黑名单源地址簿中存入的历史的源地址进行比较以判断是否存在相同的IP地址;
当判断黑名单源地址簿中存在相同的IP地址,则确定外部网络发送的该数据包为攻击数据,根据所述目标地址确定被攻击设备的IP地址,并根据所述被攻击设备的IP地址通过对应主机上的断电器控制主机自动断电;
当判断黑名单源地址簿中不存在相同的IP地址,则通过数据处理模块获取日志采集器采集的网络安全日志,并根据网络安全日志的类型,从规则库中查询网络安全日志的类型对应的日志解析规则进行解析,从而进一步判断外部网络发送的该数据包是否为攻击数据;若是,根据目标地址确定被攻击设备的IP地址,并根据被攻击设备的IP地址通过对应主机上的断电器控制主机自动断电,以及将从该数据包中获取的源地址存入黑名单源地址簿中;若否,则将所述数据包发送至所述数据缓存区。
7.根据权利要求5所述数据安全传输控制系统,其特征在于,所述权限服务器还包括白名单源地址簿,所述IP地址分析模块进一步用于:获取黑名单模块内的外网数据,从外网数据中获得源地址和目标地址;
将获得的所述源地址与白名单源地址簿中预存的源地址进行比较以判断是否存在相同的IP地址;
当判断白名单源地址簿中存在相同的IP地址时,将所述外网数据发送至所述数据缓存区;
当判断白名单源地址簿中不存在相同的IP地址时,再将获得的所述源地址与黑名单源地址簿中存入的历史的源地址进行比较以判断是否存在相同的IP地址。
8.根据权利要求5所述数据安全传输控制系统,其特征在于,所述权限服务器还包括白名单目标地址簿,所述IP地址分析模块进一步用于:当判断所述内网数据是发送至外网设备时,将获得的所述目标地址与白名单目标地址簿中预存的目标地址进行比较以判断是否存在相同的IP地址;
当判断白名单目标地址簿中存在相同的IP地址时,将所述内网数据发送至所述数据缓存区;
当判断白名单目标地址簿中不存在相同的IP地址时,再将获得的所述目标地址与黑名单目标地址簿中存入的历史的目标地址进行比较以判断是否存在相同的IP地址。
一种内网与外网间的数据安全传输控制方法及系统
技术领域
[0001] 本发明涉及网络安全领域,尤其涉及一种内网与外网间的数据安全传输控制方法及系统。
背景技术
[0002] 随着计算机技术和网络技术的发展,网络安全问题,在今天已经成为网络世界里最为关注的问题之一。
[0003] 由于计算机网络的设计初衷是资源共享、分散控制、分组交换,这决定了互联网具有大跨度、分布式、无边界的特征。这种开放性使黑客可以轻而易举地进入各级网络,并将破坏行为迅速地在网络中传播。同时,计算机网络还有着自然社会中所不具有的隐蔽性:无法有效识别网络用户的真实身份;由于互联网上信息以二进制数码,即数字化的形式存在, 所以操作者能比较容易地在数据传播过程中改变信息内容。计算机网络的传输协议及操作系统也存在设计上的缺陷和漏洞,从而导致各种被攻击的潜在危险层出不穷,这使网络安全问题与传统的各种安全问题相比面临着更加严峻的挑战,黑客们也正是利用这样的特征研发出了各种各样的攻击和入侵方法,然而黑客的攻击不外乎两类,一类是入侵主机,即黑客想要进行攻击,只需知道主机的IP和主机与外界通信交流的出口就可在数据传输中实现入侵主机,二类是实时数据轰炸,即将数据注入传输通道,让主机接收大量数据不能正常工作,然而现有技术中,往往通过一层防火墙来保护整个系统的安全,这样只要黑客了解该防火墙的漏洞就能容易操纵整个系统,使内网和外网容易受到网络攻击。显然现有迫切需要一款能够真正防范外网和内网的攻击的网络安全系统。
[0004] 针对上述问题,申请号为202010229865 .0的中国发明专利提出一种网络安全系统,其通过在内网和外网之间设置权限服务器来检测外网与内网传输过程中的数据是否受到攻击,保证数据传输的安全,从而保护内网和外网的安全。
[0005] 但是,本发明人在实施本发明时发现,该中国发明专利存在如下技术问题:其提供的网络安全系统通过数据处理模块判断从探针接收内外网数据判别模块设定时间内得到的内网数据和外网数据的流量,判断外网数据的流量是否大于设定时间内内网数据的流量,如果是,则将外网数据发送至黑名单模块;且断电器设置在主机上,断电器通过有线或者无线连接黑名单模块,用于在接收到黑名单模块内的数据后,控制主机自动断电。也就是说,只要判断外网数据的流量大于设定时间内内网数据的流量则判断外网发送的数据为攻击数据,并控制主机自动断电。这样的判断方式并不准确,因为不排除在外网数据没有受到攻击的情况下,外网数据的流量大于设定时间内内网数据的流量,从而造成误判而带来的频繁断电,对内网设备的工作影响较大。
发明内容
[0006] 本发明的目的在于提供一种,其能够有效解决现有技术中所存在的上述技术问题。
[0007] 为了实现上述目的,本发明的一实施例提供了一种内网与外网间的数据安全传输控制方法,在内部网络与外部网络之间设置一权限服务器,所述权限服务器包括内外网数据判别模块、探针、日志采集器、数据处理模块、黑名单模块、IP地址分析模块、黑名单源地址簿、数据缓存区、一号收发数据模块和二号收发数据模块,所述数据安全传输控制方法包括以下步骤:
[0008] 通过一号收发数据模块从外部网络接收外网数据或者从内部网络接收内网数据;
[0009] 通过内外网数据判别模块从一号收发数据模块接收数据,并根据预设的规则判断接收到的所述数据是内网数据还是外网数据;
[0010] 通过探针获取内外网数据判别模块设定时间内得到的内网数据和外网数据的流量;
[0011] 通过数据处理模块从内外网数据判别模块接收内网数据或外网数据,将内网数据的身份与内部存储的身份认证信息进行核对,判断内部存储的身份认证信息中是否存在与内网数据身份相同的身份信息,如果是,则将内网数据发送至数据缓存区,如果否,则将内网数据发送至黑名单模块;
[0012] 通过数据处理模块从探针接收内外网数据判别模块设定时间内得到的内网数据和外网数据的流量,判断外网数据的流量是否大于设定时间内内网数据的流量,如果是,则将外网数据发送至黑名单模块,如果否,则将外网数据发送至数据缓存区;
[0013] 通过IP地址分析模块获取黑名单模块内的外网数据,从外网数据中获得源地址和目标地址,并将获得的所述源地址与黑名单源地址簿中存入的历史的源地址进行比较以判断是否存在相同的IP地址;
[0014] 当判断黑名单源地址簿中存在相同的IP地址,则确定外部网络发送的数据为攻击数据,根据所述源地址和目标地址分别确定攻击设备的IP地址和被攻击设备的IP地址,并根据所述被攻击设备的IP地址通过对应主机上的断电器控制主机自动断电;
[0015] 当判断黑名单源地址簿中不存在相同的IP地址,则通过数据处理模块获取日志采集器采集的网络安全日志,并根据网络安全日志的类型,从规则库中查询网络安全日志的类型对应的日志解析规则进行解析,从而进一步判断外部网络发送的数据是否为攻击数据;若是,根据目标地址确定被攻击设备的IP地址,并根据被攻击设备的IP地址通过对应主机上的断电器控制主机自动断电,以及将从外网数据中获取的源地址存入黑名单源地址簿中;若否,则将所述外网数据发送至所述数据缓存区;
[0016] 通过二号收发数据模块从数据缓存区获得所述数据发送至内网或外网。
[0017] 较佳地, 所述外网数据包括多个数据包;所述数据安全传输控制方法进一步包括:
[0018] 通过IP地址分析模块获取黑名单模块内的外网数据,从所述外网数据中获得每个数据包的源地址和目标地址,根据每个数据包的所述源地址确定攻击设备的IP地址,并将所述攻击设备的IP地址与黑名单源地址簿中存入的历史的源地址进行比较以判断是否存在相同的IP地址;
[0019] 当判断黑名单源地址簿中存在相同的IP地址,则确定外部网络发送的该数据包为攻击数据,根据所述目标地址确定被攻击设备的IP地址,并根据所述被攻击设备的IP地址通过对应主机上的断电器控制主机自动断电;
[0020] 当判断黑名单源地址簿中不存在相同的IP地址,则通过数据处理模块获取日志采集器采集的网络安全日志,并根据网络安全日志的类型,从规则库中查询网络安全日志的类型对应的日志解析规则进行解析,从而进一步判断外部网络发送的该数据包是否为攻击数据;若是,根据目标地址确定被攻击设备的IP地址,并根据被攻击设备的IP地址通过对应主机上的断电器控制主机自动断电,以及将从该数据包中获取的源地址存入黑名单源地址簿中;若否,则将所述数据包发送至所述数据缓存区。
[0021] 较佳地,所述权限服务器还包括黑名单目标地址簿,所述数据安全传输控制方法还包括如下步骤:
[0022] 通过IP地址分析模块获取黑名单模块内的内网数据,从内网数据中获得源地址和目标地址,并根据所述目标地址判断所述内网数据是发送至内网设备还是外网设备;
[0023] 当判断所述内网数据是发送至外网设备时,将获得的所述目标地址与黑名单目标地址簿中存入的历史的目标地址进行比较以判断是否存在相同的IP地址;
[0024] 当判断黑名单目标地址簿中存在相同的IP地址,则确定内部网络发送的数据为攻击数据,根据所述源地址和目标地址分别确定攻击设备的IP地址和被攻击设备的IP地址,丢弃所述内网数据;当判断黑名单目标地址簿中不存在相同的IP地址时,则通过数据处理模块获取日志采集器采集的网络安全日志,并根据网络安全日志的类型,从规则库中查询网络安全日志的类型对应的日志解析规则进行解析,从而进一步判断内部网络发送的该数据包是否为攻击数据;若是,丢弃所述内网数据,并将从该数据包中获取的目标地址存入黑名单目标地址簿中;若否,则将所述内网数据发送至所述数据缓存区;
[0025] 当判断所述内网数据是发送至内网设备时,则通过数据处理模块获取日志采集器采集的网络安全日志,并根据网络安全日志的类型,从规则库中查询网络安全日志的类型对应的日志解析规则进行解析,从而进一步判断内部网络发送的该数据包是否为攻击数据;若是,根据目标地址确定被攻击设备的IP地址,并根据被攻击设备的IP地址通过对应主机上的断电器控制主机自动断电,以及将从该数据包中获取的目标地址存入黑名单目标地址簿中;若否,则将所述内网数据发送至所述数据缓存区。
[0026] 较佳地,所述权限服务器还包括白名单源地址簿,所述步骤通过IP地址分析模块获取黑名单模块内的外网数据,从外网数据中获得源地址和目标地址,并将获得的所述源地址与黑名单源地址簿中存入的历史的源地址进行比较以判断是否存在相同的IP地址具体包括:
[0027] 通过IP地址分析模块获取黑名单模块内的外网数据,从外网数据中获得源地址和目标地址;
[0028] 将获得的所述源地址与白名单源地址簿中预存的源地址进行比较以判断是否存在相同的IP地址;
[0029] 当判断白名单源地址簿中存在相同的IP地址时,将所述外网数据发送至所述数据缓存区;
[0030] 当判断白名单源地址簿中不存在相同的IP地址时,再将获得的所述源地址与黑名单源地址簿中存入的历史的源地址进行比较以判断是否存在相同的IP地址。
[0031] 较佳地,所述权限服务器还包括白名单目标地址簿,所述步骤当判断所述内网数据是发送至外网设备时,将获得的所述目标地址与黑名单目标地址簿中存入的历史的目标地址进行比较以判断是否存在相同的IP地址具体包括:
[0032] 当判断所述内网数据是发送至外网设备时,将获得的所述目标地址与白名单目标地址簿中预存的目标地址进行比较以判断是否存在相同的IP地址;
[0033] 当判断白名单目标地址簿中存在相同的IP地址时,将所述内网数据发送至所述数据缓存区;
[0034] 当判断白名单目标地址簿中不存在相同的IP地址时,再将获得的所述目标地址与黑名单目标地址簿中存入的历史的目标地址进行比较以判断是否存在相同的IP地址。
[0035] 本发明另一实施例对应提供一种内网与外网间的数据安全传输控制系统,在内部网络与外部网络之间设置一权限服务器,所述权限服务器包括内外网数据判别模块、探针、日志采集器、数据处理模块、黑名单模块、IP地址分析模块、黑名单源地址簿、数据缓存区、一号收发数据模块和二号收发数据模块;
[0036] 所述一号收发数据模块用于从外部网络接收外网数据或者从内部网络接收内网数据;
[0037] 所述内外网数据判别模块用于从一号收发数据模块接收数据,并根据预设的规则判断接收到的所述数据是内网数据还是外网数据;
[0038] 所述探针用于获取内外网数据判别模块设定时间内得到的内网数据和外网数据的流量;
[0039] 所述数据处理模块用于从内外网数据判别模块接收内网数据或外网数据,将内网数据的身份与内部存储的身份认证信息进行核对,判断内部存储的身份认证信息中是否存在与内网数据身份相同的身份信息,如果是,则将内网数据发送至数据缓存区,如果否,则将内网数据发送至黑名单模块;
[0040] 所述数据处理模块还用于从探针接收内外网数据判别模块设定时间内得到的内网数据和外网数据的流量,判断外网数据的流量是否大于设定时间内内网数据的流量,如果是,则将外网数据发送至黑名单模块,如果否,则将外网数据发送至数据缓存区;
[0041] 所述IP地址分析模块用于获取黑名单模块内的外网数据,从外网数据中获得源地址和目标地址,并将获得的所述源地址与黑名单源地址簿中存入的历史的源地址进行比较以判断是否存在相同的IP地址;当判断黑名单源地址簿中存在相同的IP地址,则确定外部网络发送的数据为攻击数据,根据所述源地址和目标地址分别确定攻击设备的IP地址和被攻击设备的IP地址,并根据所述被攻击设备的IP地址通过对应主机上的断电器控制主机自动断电;当判断黑名单源地址簿中不存在相同的IP地址,则通过数据处理模块获取日志采集器采集的网络安全日志,并根据网络安全日志的类型,从规则库中查询网络安全日志的类型对应的日志解析规则进行解析,从而进一步判断外部网络发送的数据是否为攻击数据;若是,根据目标地址确定被攻击设备的IP地址,并根据被攻击设备的IP地址通过对应主机上的断电器控制主机自动断电,以及将从外网数据中获取的源地址存入黑名单源地址簿中;若否,则将所述外网数据发送至所述数据缓存区;
[0042] 所述二号收发数据模块用于从数据缓存区获得所述数据发送至内网或外网。
[0043] 较佳地,所述外网数据包括多个数据包,所述IP地址分析模块进一步用于:
[0044] 获取黑名单模块内的外网数据,从所述外网数据中获得每个数据包的源地址和目标地址,根据每个数据包的所述源地址确定攻击设备的IP地址,并将所述攻击设备的IP地址与黑名单源地址簿中存入的历史的源地址进行比较以判断是否存在相同的IP地址;
[0045] 当判断黑名单源地址簿中存在相同的IP地址,则确定外部网络发送的该数据包为攻击数据,根据所述目标地址确定被攻击设备的IP地址,并根据所述被攻击设备的IP地址通过对应主机上的断电器控制主机自动断电;
[0046] 当判断黑名单源地址簿中不存在相同的IP地址,则通过数据处理模块获取日志采集器采集的网络安全日志,并根据网络安全日志的类型,从规则库中查询网络安全日志的类型对应的日志解析规则进行解析,从而进一步判断外部网络发送的该数据包是否为攻击数据;若是,根据目标地址确定被攻击设备的IP地址,并根据被攻击设备的IP地址通过对应主机上的断电器控制主机自动断电,以及将从该数据包中获取的源地址存入黑名单源地址簿中;若否,则将所述数据包发送至所述数据缓存区。
[0047] 较佳地,所述权限服务器还包括黑名单目标地址簿,所述IP地址分析模块进一步用于:
[0048] 获取黑名单模块内的内网数据,从内网数据中获得源地址和目标地址,并根据所述目标地址判断所述内网数据是发送至内网设备还是外网设备;当判断所述内网数据是发送至外网设备时,将获得的所述目标地址与黑名单目标地址簿中存入的历史的目标地址进行比较以判断是否存在相同的IP地址;
[0049] 当判断黑名单目标地址簿中存在相同的IP地址,则确定内部网络发送的数据为攻击数据,根据所述源地址和目标地址分别确定攻击设备的IP地址和被攻击设备的IP地址,丢弃所述内网数据;
[0050] 当判断黑名单目标地址簿中不存在相同的IP地址时,则通过数据处理模块获取日志采集器采集的网络安全日志,并根据网络安全日志的类型,从规则库中查询网络安全日志的类型对应的日志解析规则进行解析,从而进一步判断内部网络发送的该数据包是否为攻击数据;若是,丢弃所述内网数据,并将从该数据包中获取的目标地址存入黑名单目标地址簿中;若否,则将所述内网数据发送至所述数据缓存区;
[0051] 当判断所述内网数据是发送至内网设备时,则通过数据处理模块获取日志采集器采集的网络安全日志,并根据网络安全日志的类型,从规则库中查询网络安全日志的类型对应的日志解析规则进行解析,从而进一步判断内部网络发送的该数据包是否为攻击数据;若是,根据目标地址确定被攻击设备的IP地址,并根据被攻击设备的IP地址通过对应主机上的断电器控制主机自动断电,以及将从该数据包中获取的目标地址存入黑名单目标地址簿中;若否,则将所述内网数据发送至所述数据缓存区。
[0052] 较佳地,所述权限服务器还包括白名单源地址簿, 所述IP地址分析模块进一步用于:
[0053] 获取黑名单模块内的外网数据,从外网数据中获得源地址和目标地址;
[0054] 将获得的所述源地址与白名单源地址簿中预存的源地址进行比较以判断是否存在相同的IP地址;
[0055] 当判断白名单源地址簿中存在相同的IP地址时,将所述外网数据发送至所述数据缓存区;
[0056] 当判断白名单源地址簿中不存在相同的IP地址时,再将获得的所述源地址与黑名单源地址簿中存入的历史的源地址进行比较以判断是否存在相同的IP地址。
[0057] 较佳地,所述权限服务器还包括白名单目标地址簿,所述IP地址分析模块进一步用于:
[0058] 当判断所述内网数据是发送至外网设备时,将获得的所述目标地址与白名单目标地址簿中预存的目标地址进行比较以判断是否存在相同的IP地址;
[0059] 当判断白名单目标地址簿中存在相同的IP地址时,将所述内网数据发送至所述数据缓存区;
[0060] 当判断白名单目标地址簿中不存在相同的IP地址时,再将获得的所述目标地址与黑名单目标地址簿中存入的历史的目标地址进行比较以判断是否存在相同的IP地址。
[0061] 与现有技术先比,本发明实施例提供的一种内网与外网间的数据安全传输控制方法及系统,具有如下技术效果:在内部网络与外部网络之间设置一权限服务器。通过探针获取内外网数据判别模块设定时间内得到的内网数据和外网数据的流量,通过数据处理模块从探针接收内外网数据判别模块设定时间内得到的内网数据和外网数据的流量,判断外网数据的流量是否大于设定时间内内网数据的流量,如果是,则将外网数据发送至黑名单模块,然后通过IP地址分析模块获取黑名单模块内的外网数据,从外网数据中获得源地址和目标地址,并将获得的所述源地址与黑名单源地址簿中存入的历史的源地址进行比较以判断是否存在相同的IP地址;当判断黑名单源地址簿中存在相同的IP地址,则确定外部网络发送的数据为攻击数据,根据所述源地址和目标地址分别确定攻击设备的IP地址和被攻击设备的IP地址,并根据所述被攻击设备的IP地址通过对应主机上的断电器控制主机自动断电;当判断黑名单源地址簿中不存在相同的IP地址,则通过数据处理模块获取日志采集器采集的网络安全日志,并根据网络安全日志的类型,从规则库中查询网络安全日志的类型对应的日志解析规则进行解析,从而进一步判断外部网络发送的数据是否为攻击数据;若是,根据目标地址确定被攻击设备的IP地址,并根据被攻击设备的IP地址通过对应主机上的断电器控制主机自动断电,以及将从外网数据中获取的源地址存入黑名单源地址簿中;若否,则将所述外网数据发送至所述数据缓存区以继续发送。因此,实施本发明,能够更准确的对外网设备向内网设备发起的网络攻击进行有效检测,避免现有技术中容易造成误判而带来的频繁断电而影响较大内网设备的工作。
附图说明
[0062] 为了更清楚地说明本发明的技术方案,下面将对实施方式中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施方式,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
[0063] 图1是本发明实施例1提供的一种内网与外网间的数据安全传输控制方法的流程示意图;
[0064] 图2是本发明实施2例提供的一种内网与外网间的数据安全传输控制方法的流程示意图;
[0065] 图3是本发明实施例3提供的一种内网与外网间的数据安全传输控制方法的流程示意图;
[0066] 图4是本发明实施例4提供的一种内网与外网间的数据安全传输控制方法的流程示意图。
[0067] 图5是本发明实施例5提供的一种内网与外网间的数据安全传输控制方法的流程示意图。
[0068] 图6是本发明实施例6提供的一种内网与外网间的数据安全传输控制系统的结构示意图。
[0069] 图7是本发明实施例7提供的一种内网与外网间的数据安全传输控制系统的结构示意图。
[0070] 图8是本发明实施例8提供的一种内网与外网间的数据安全传输控制系统的结构示意图。
[0071] 图9是本发明实施例9提供的一种内网与外网间的数据安全传输控制系统的结构示意图。
具体实施方式
[0072] 下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
[0073] 参考图1,本发明实施例提供了一种内网与外网间的数据安全传输控制方法,在内部网络与外部网络之间设置一权限服务器,所述权限服务器包括内外网数据判别模块、探针、日志采集器、数据处理模块、黑名单模块、IP地址分析模块、黑名单源地址簿、数据缓存区、一号收发数据模块和二号收发数据模块,所述数据安全传输控制方法包括以下步骤:
[0074] S11、通过一号收发数据模块从外部网络接收外网数据或者从内部网络接收内网数据;
[0075] S12、通过内外网数据判别模块从一号收发数据模块接收数据,并根据预设的规则判断接收到的所述数据是内网数据还是外网数据;
[0076] 具体的,根据设定时间内接收到数据的份数判断接收到的是内网数据还是外网数据,若在设定时间内接收到两份数据,则接收到的第二份数据是外网数据,若在设定时间内接收到一份数据包,则接收到的数据是内网数据。
[0077] S13、通过探针获取内外网数据判别模块设定时间内得到的内网数据和外网数据的流量;
[0078] S14、通过数据处理模块从内外网数据判别模块接收内网数据或外网数据,将内网数据的身份与内部存储的身份认证信息进行核对,判断内部存储的身份认证信息中是否存在与内网数据身份相同的身份信息,如果是,则将内网数据发送至数据缓存区,如果否,则将内网数据发送至黑名单模块;
[0079] S15、通过数据处理模块从探针接收内外网数据判别模块设定时间内得到的内网数据和外网数据的流量,判断外网数据的流量是否大于设定时间内内网数据的流量,如果是,则将外网数据发送至黑名单模块,如果否,则将外网数据发送至数据缓存区;
[0080] S16、通过IP地址分析模块获取黑名单模块内的外网数据,从外网数据中获得源地址和目标地址,并将获得的所述源地址与黑名单源地址簿中存入的历史的源地址进行比较以判断是否存在相同的IP地址;
[0081] S17、当判断黑名单源地址簿中存在相同的IP地址,则确定外部网络发送的数据为攻击数据,根据所述源地址和目标地址分别确定攻击设备的IP地址和被攻击设备的IP地址,并根据所述被攻击设备的IP地址通过对应主机上的断电器控制主机自动断电;
[0082] S18、当判断黑名单源地址簿中不存在相同的IP地址,则通过数据处理模块获取日志采集器采集的网络安全日志,并根据网络安全日志的类型,从规则库中查询网络安全日志的类型对应的日志解析规则进行解析,从而进一步判断外部网络发送的数据是否为攻击数据;若是,根据目标地址确定被攻击设备的IP地址,并根据被攻击设备的IP地址通过对应主机上的断电器控制主机自动断电,以及将从外网数据中获取的源地址存入黑名单源地址簿中;若否,则将所述外网数据发送至所述数据缓存区;
[0083] S19、通过二号收发数据模块从数据缓存区获得所述数据发送至内网或外网。
[0084] 可以理解的,内网设备是一个局域网下的设备,一个路由器或一个交换机下连接的多个设备均为一个内网机房下的设备。例如一个家庭中有多台电脑,该家庭中通过路由器来共享无线热点,此时该家庭中组成了一个内网,家庭中的多台电脑均为内网设备。外网设备位于内网设备所处的局域网外,即外网设备与内网设备不是位于同一个局域网内。
[0085] 本申请实施例中针对的是内网设备对外网设备以及外网设备对内网设备发起的网络攻击,尤其是针对外网设备对内网设备发起的网络攻击,在数据处理模块从探针接收内外网数据判别模块设定时间内得到的内网数据和外网数据的流量,并判断处外网数据的流量是否大于设定时间内内网数据的流量(流程异常)时,先将该外网数据初步判断为异常数据并发送至黑名单模块进一步判断,具体通过IP地址分析模块将外网数据中的源地址与黑名单源地址簿中存入的历史的源地址进行比较以判断是否存在相同的IP地址,若存在则确定外部网络发送的数据为攻击数据,若不存在则进一步通过获取日志采集器采集的网络安全日志来解析是否为攻击数据,因此能够更准确的对外网设备向内网设备发起的网络攻击进行有效检测。
[0086] 可以理解的,对于内网数据中的源地址指的是内网设备的地址,目标地址指的是要发送的外网设备或内网设置的地址;对于外网数据中的源地址指的是外网设备的地址,目标地址指的是要发送的内网设备的地址。
[0087] 进一步的,所述外网数据包括多个数据包。如图2所示,在图1的基础上,所述数据安全传输控制方法的步骤S16 S18具体为:~
[0088] S26、通过IP地址分析模块获取黑名单模块内的外网数据,从所述外网数据中获得每个数据包的源地址和目标地址,根据每个数据包的所述源地址确定攻击设备的IP地址,并将所述攻击设备的IP地址与黑名单源地址簿中存入的历史的源地址进行比较以判断是否存在相同的IP地址;
[0089] S27、当判断黑名单源地址簿中存在相同的IP地址,则确定外部网络发送的该数据包为攻击数据,根据所述目标地址确定被攻击设备的IP地址,并根据所述被攻击设备的IP地址通过对应主机上的断电器控制主机自动断电;
[0090] S28、当判断黑名单源地址簿中不存在相同的IP地址,则通过数据处理模块获取日志采集器采集的网络安全日志,并根据网络安全日志的类型,从规则库中查询网络安全日志的类型对应的日志解析规则进行解析,从而进一步判断外部网络发送的该数据包是否为攻击数据;若是,根据目标地址确定被攻击设备的IP地址,并根据被攻击设备的IP地址通过对应主机上的断电器控制主机自动断电,以及将从该数据包中获取的源地址存入黑名单源地址簿中;若否,则将所述数据包发送至所述数据缓存区。
[0091] 可见,本实施例中存在黑名单模块内的外网数据包括多个数据包,通过对每个数据包进行独立检测以确定出数据包是否为攻击数据,将确定为攻击数据的数据包进行相应处理,并将确定为非攻击数据的数据包发送至数据缓存区以继续传输。
[0092] 进一步的,结合图3, 本发明实施例提供了一种内网与外网间的数据安全传输控制方法,在图1的基础上,所设置的权限服务器还包括白名单源地址簿,本实施例提供的数据安全传输控制方法将图1所示的步骤S16为包括如下步骤:
[0093] S161、通过IP地址分析模块获取黑名单模块内的外网数据,从外网数据中获得源地址和目标地址;
[0094] S162、将获得的所述源地址与白名单源地址簿中预存的源地址进行比较以判断是否存在相同的IP地址;
[0095] S163、当判断白名单源地址簿中存在相同的IP地址时,将所述外网数据发送至所述数据缓存区;
[0096] S164、当判断白名单源地址簿中不存在相同的IP地址时,再将获得的所述源地址与黑名单源地址簿中存入的历史的源地址进行比较以判断是否存在相同的IP地址。
[0097] 可见,本实施例通过增加在权限服务器增加白名单源地址簿,白名单源地址簿中预先设置可信任的外网设备的地址(作为数据主动发送方)。这样,当通过流量异常初步判断外网数据为异常数据而发送至黑名单模块时,首先通过获取外网数据的源地址与白名单源地址簿中预存的源地址进行比较以判断是否存在相同的IP地址,若存在则说明外网数据的发送方为可信任的外网设备,可确定该外网数据为非攻击数据,从而将外网数据发送至数据缓存区以继续传输。
[0098] 参考图4,本发明实施例提供了一种内网与外网间的数据安全传输控制方法。该实施例提供的数据安全传输控制方法在图1的基础上,所设置的权限服务器还包括黑名单目标地址簿,本实施例数据安全传输控制方法在图1或图3的基础上还包括如下步骤:
[0099] S41、通过IP地址分析模块获取黑名单模块内的内网数据,从内网数据中获得源地址和目标地址,并根据所述目标地址判断所述内网数据是发送至内网设备还是外网设备;
[0100] S42、当判断所述内网数据是发送至外网设备时,将获得的所述目标地址与黑名单目标地址簿中存入的历史的目标地址进行比较以判断是否存在相同的IP地址;
[0101] S43、当判断黑名单目标地址簿中存在相同的IP地址,则确定内部网络发送的数据为攻击数据,根据所述源地址和目标地址分别确定攻击设备的IP地址和被攻击设备的IP地址,丢弃所述内网数据;当判断黑名单目标地址簿中不存在相同的IP地址时,则通过数据处理模块获取日志采集器采集的网络安全日志,并根据网络安全日志的类型,从规则库中查询网络安全日志的类型对应的日志解析规则进行解析,从而进一步判断内部网络发送的该数据包是否为攻击数据;若是,丢弃所述内网数据,并将从该数据包中获取的目标地址存入黑名单目标地址簿中;若否,则将所述内网数据发送至所述数据缓存区;
[0102] S44、当判断所述内网数据是发送至内网设备时,则通过数据处理模块获取日志采集器采集的网络安全日志,并根据网络安全日志的类型,从规则库中查询网络安全日志的类型对应的日志解析规则进行解析,从而进一步判断内部网络发送的该数据包是否为攻击数据;若是,根据目标地址确定被攻击设备的IP地址,并根据被攻击设备的IP地址通过对应主机上的断电器控制主机自动断电,以及将从该数据包中获取的目标地址存入黑名单目标地址簿中;若否,则将所述内网数据发送至所述数据缓存区。
[0103] 可见,本实施例针对内网设备对外网设备发起的网络攻击,在数据处理模块对内网数据的身份认证异常时,先将该内网数据初步判断为异常数据并发送至黑名单模块进一步判断,具体通过IP地址分析模块根据内网数据中的目标地址判断内网数据是发送至内网设备还是外网设备;若发送至外网设备,将内网数据中的目标地址与黑名单目标地址簿中存入的历史的目标地址进行比较以判断是否存在相同的IP地址,若存在则确定内部网络发送的数据为攻击数据,若不存在则进一步通过获取日志采集器采集的网络安全日志来解析是否为攻击数据;若发送至内网设备,则通过获取日志采集器采集的网络安全日志来解析是否为攻击数据,并确定为攻击数据时根据被攻击设备的IP地址通过对应主机上的断电器控制主机自动断电。因此能够更准确的对内网设备向内网设备/外网设备发起的网络攻击进行有效检测。
[0104] 进一步的,结合图5, 本发明实施例提供了一种内网与外网间的数据安全传输控制方法,在图4的基础上,所设置的权限服务器还包括白名单目标地址簿,本实施例提供的数据安全传输控制方法将图4所示的步骤S42为包括如下步骤:
[0105] S421、当判断所述内网数据是发送至外网设备时,将获得的所述目标地址与白名单目标地址簿中预存的目标地址进行比较以判断是否存在相同的IP地址;
[0106] S422、当判断白名单目标地址簿中存在相同的IP地址时,将所述内网数据发送至所述数据缓存区;
[0107] S423、当判断白名单目标地址簿中不存在相同的IP地址时,再将获得的所述目标地址与黑名单目标地址簿中存入的历史的目标地址进行比较以判断是否存在相同的IP地址。
[0108] 可见,本实施例通过增加在权限服务器增加白名单目标地址簿,白名单目标地址簿中预先设置可信任的外网设备的地址(作为数据被动接收方)。这样,当通过身份认证异常初步判断内网数据为异常数据而发送至黑名单模块时,首先通过IP地址分析模块根据内网数据中的目标地址判断内网数据是发送至内网设备还是外网设备,并在判断内网数据是发送外网设备时,通过获取内网数据的目标地址与白名单目标地址簿中预存的源地址进行比较以判断是否存在相同的IP地址,若存在则说明内网数据的接收方为可信任的外网设备,从而将内络数据发送至数据缓存区以继续传输。
[0109] 参考图6,本发明实施例提供一种内网与外网间的数据安全传输控制系统,在内部网络1与外部网络2之间设置一权限服务器3,所述权限服务器3包括一号收发数据模块31、内外网数据判别模块32、探针33、日志采集器34、数据处理模块35、黑名单模块36、IP地址分析模块37、黑名单源地址簿371、数据缓存区38和和二号收发数据模块39。
[0110] 所述一号收发数据模块31用于从外部网络2接收外网数据或者从内部网络1接收内网数据;
[0111] 所述内外网数据判别模块32用于从一号收发数据模块31接收数据,并根据预设的规则判断接收到的所述数据是内网数据还是外网数据;具体的,若在设定时间内接收到两份数据,则接收到的第二份数据是外网数据,若在设定时间内接收到一份数据包,则接收到的数据是内网数据。
[0112] 所述探针33用于获取内外网数据判别模块32设定时间内得到的内网数据和外网数据的流量;
[0113] 所述日志采集器34用于从一号收发数据模块31中接收的外网数据或内网数据中采集网络安全日志;
[0114] 所述数据处理模块35用于从内外网数据判别模块32接收内网数据或外网数据,将内网数据的身份与内部存储的身份认证信息进行核对,判断内部存储的身份认证信息中是否存在与内网数据身份相同的身份信息,如果是,则将内网数据发送至数据缓存区38,如果否,则将内网数据发送至黑名单模块36;
[0115] 所述数据处理模块35还用于从探针接收内外网数据判别模块32设定时间内得到的内网数据和外网数据的流量,判断外网数据的流量是否大于设定时间内内网数据的流量,如果是,则将外网数据发送至黑名单模块36,如果否,则将外网数据发送至数据缓存区38;
[0116] 所述IP地址分析模块37用于获取黑名单模块36内的外网数据,从外网数据中获得源地址和目标地址,并将获得的所述源地址与黑名单源地址簿371中存入的历史的源地址进行比较以判断是否存在相同的IP地址;当判断黑名单源地址簿371中存在相同的IP地址,则确定外部网络发送的数据为攻击数据,根据所述源地址和目标地址分别确定攻击设备的IP地址和被攻击设备的IP地址,并根据所述被攻击设备的IP地址通过对应主机上的断电器控制主机自动断电;当判断黑名单源地址簿中不存在相同的IP地址,则通过数据处理模块35获取日志采集器34采集的网络安全日志,并根据网络安全日志的类型,从规则库中查询网络安全日志的类型对应的日志解析规则进行解析,从而进一步判断外部网络2发送的数据是否为攻击数据;若是,根据目标地址确定被攻击设备的IP地址,并根据被攻击设备的IP地址通过对应主机上的断电器控制主机自动断电,以及将从外网数据中获取的源地址存入黑名单源地址簿371中;若否,则将所述外网数据发送至所述数据缓存区;
[0117] 所述二号收发数据模块39用于从数据缓存区38获得所述数据发送至内网或外网。
[0118] 可以理解的,内网设备是一个局域网下的设备,一个路由器或一个交换机下连接的多个设备均为一个内网机房下的设备。例如一个家庭中有多台电脑,该家庭中通过路由器来共享无线热点,此时该家庭中组成了一个内网,家庭中的多台电脑均为内网设备。外网设备位于内网设备所处的局域网外,即外网设备与内网设备不是位于同一个局域网内。
[0119] 本申请实施例中针对的是内网设备对外网设备以及外网设备对内网设备发起的网络攻击,尤其是针对外网设备对内网设备发起的网络攻击,在数据处理模块从探针接收内外网数据判别模块设定时间内得到的内网数据和外网数据的流量,并判断处外网数据的流量是否大于设定时间内内网数据的流量(流程异常)时,先将该外网数据初步判断为异常数据并发送至黑名单模块进一步判断,具体通过IP地址分析模块将外网数据中的源地址与黑名单源地址簿中存入的历史的源地址进行比较以判断是否存在相同的IP地址,若存在则确定外部网络发送的数据为攻击数据,若不存在则进一步通过获取日志采集器采集的网络安全日志来解析是否为攻击数据,因此能够更准确的对外网设备向内网设备发起的网络攻击进行有效检测。
[0120] 可以理解的,对于内网数据中的源地址指的是内网设备的地址,目标地址指的是要发送的外网设备或内网设置的地址;对于外网数据中的源地址指的是外网设备的地址,目标地址指的是要发送的内网设备的地址。
[0121] 进一步的,如图6所示,所述内部网络1包括内网防火墙11、内层交换机12和多个主机13。内网防火墙11用于过滤权限服务器输出数据的病毒和网络攻击,过滤后的数据安全的传送至内层交换机12,或过滤内层交换机12输出数据的病毒和网络攻击,过滤后的数据安全的传送至权限服务器3。内层交换机12用于将多台主机13连接在一起,接收多台主机13的数据,传递给内网防火墙11,或接收内网防火墙11输出的数据,分别传递给多个主机13。每个主机13上对应设置一个断电器131,断电器131用于控制对应的主机13实现自动断电。
[0122] 在本实施中,内网防火墙11、内层交换机12和主机13作为内网设备,组成了内网数据传输的通道。
[0123] 进一步,所述外部网络2包括多个外网终端21、外网防火墙22和隔离器23。外网防火墙22用于过滤多个外网终端21输出数据的病毒和网络攻击,将过滤后的数据安全的传送至隔离器23,或过滤隔离器23输出数据的病毒和网络攻击,将过滤后的数据安全的传送至多个外网终端21。隔离器23用于生成外网防火墙22和权限服务器3之间的数据传输通道。在本实施例中,有了隔离器23,外网和内网才能进行数据传输,所以,隔离器23建立了外网和内网数据传输的通道。
[0124] 可以理解的,在图6所示的数据安全传输控制系统中,所述外网数据包括多个数据包,所述IP地址分析模块37进一步用于:
[0125] 获取黑名单模块36内的外网数据,从所述外网数据中获得每个数据包的源地址和目标地址,根据每个数据包的所述源地址确定攻击设备的IP地址,并将所述攻击设备的IP地址与黑名单源地址簿371中存入的历史的源地址进行比较以判断是否存在相同的IP地址;
[0126] 当判断黑名单源地址簿371中存在相同的IP地址,则确定外部网络2发送的该数据包为攻击数据,根据所述目标地址确定被攻击设备的IP地址,并根据所述被攻击设备的IP地址通过对应主机13上的断电器131控制主机13自动断电;
[0127] 当判断黑名单源地址簿371中不存在相同的IP地址,则通过数据处理模块获取日志采集器34采集的网络安全日志,并根据网络安全日志的类型,从规则库中查询网络安全日志的类型对应的日志解析规则进行解析,从而进一步判断外部网络2发送的该数据包是否为攻击数据;若是,根据目标地址确定被攻击设备的IP地址,并根据被攻击设备的IP地址通过对应主机13上的断电器131控制主机13自动断电,以及将从该数据包中获取的源地址存入黑名单源地址簿317中;若否,则将所述数据包发送至所述数据缓存区38。
[0128] 可见,本实施例中存在黑名单模块36内的外网数据包括多个数据包,通过对每个数据包进行独立检测以确定出数据包是否为攻击数据,将确定为攻击数据的数据包进行相应处理,并将确定为非攻击数据的数据包发送至数据缓存区以继续传输。
[0129] 进一步的,结合图7, 本发明实施例提供了一种内网与外网间的数据安全传输控制系统,在图6的基础上,所设置的权限服务器3还包括白名单源地址簿372, 所述IP地址分析模块37进一步用于:
[0130] 获取黑名单模块36内的外网数据,从外网数据中获得源地址和目标地址;
[0131] 将获得的所述源地址与白名单源地址簿372中预存的源地址进行比较以判断是否存在相同的IP地址;
[0132] 当判断白名单源地址簿372中存在相同的IP地址时,将所述外网数据发送至所述数据缓存区38;
[0133] 当判断白名单源地址簿372中不存在相同的IP地址时,再将获得的所述源地址与黑名单源地址簿371中存入的历史的源地址进行比较以判断是否存在相同的IP地址。
[0134] 可见,本实施例通过增加在权限服务器增加白名单源地址簿,白名单源地址簿中预先设置可信任的外网设备的地址(作为数据主动发送方)。这样,当通过流量异常初步判断外网数据为异常数据而发送至黑名单模块时,首先通过获取外网数据的源地址与白名单源地址簿中预存的源地址进行比较以判断是否存在相同的IP地址,若存在则说明外网数据的发送方为可信任的外网设备,可确定该外网数据为非攻击数据,从而将外网数据发送至数据缓存区以继续传输。
[0135] 参考图8, 本发明实施例提供了一种内网与外网间的数据安全传输控制系统,在图6或图7(可以理解的,图8所显示的系统在图7的基础上改进)的基础上,所设置的权限服务器3还包括黑名单目标地址簿373,所述IP地址分析模块37进一步用于:
[0136] 获取黑名单模块36内的内网数据,从内网数据中获得源地址和目标地址,并根据所述目标地址判断所述内网数据是发送至内网设备还是外网设备;当判断所述内网数据是发送至外网设备时,将获得的所述目标地址与黑名单目标地址簿373中存入的历史的目标地址进行比较以判断是否存在相同的IP地址;
[0137] 当判断黑名单目标地址簿373中存在相同的IP地址,则确定内部网络发送的数据为攻击数据,根据所述源地址和目标地址分别确定攻击设备的IP地址和被攻击设备的IP地址,丢弃所述内网数据;
[0138] 当判断黑名单目标地址簿373中不存在相同的IP地址时,则通过数据处理模块35获取日志采集器34采集的网络安全日志,并根据网络安全日志的类型,从规则库中查询网络安全日志的类型对应的日志解析规则进行解析,从而进一步判断内部网络发送的该数据包是否为攻击数据;若是,丢弃所述内网数据,并将从该数据中获取的目标地址存入黑名单目标地址簿373中;若否,则将所述内网数据发送至所述数据缓存区38;
[0139] 当判断所述内网数据是发送至内网设备时,则通过数据处理模块35获取日志采集器34采集的网络安全日志,并根据网络安全日志的类型,从规则库中查询网络安全日志的类型对应的日志解析规则进行解析,从而进一步判断内部网络发送的该数据包是否为攻击数据;若是,根据目标地址确定被攻击设备的IP地址,并根据被攻击设备的IP地址通过对应主机13上的断电器131控制主机13自动断电,以及将从该数据包中获取的目标地址存入黑名单目标地址簿373中;若否,则将所述内网数据发送至所述数据缓存区38。
[0140] 可见,本实施例针对内网设备对外网设备发起的网络攻击,在数据处理模块对内网数据的身份认证异常时,先将该内网数据初步判断为异常数据并发送至黑名单模块进一步判断,具体通过IP地址分析模块根据内网数据中的目标地址判断内网数据是发送至内网设备还是外网设备;若发送至外网设备,将内网数据中的目标地址与黑名单目标地址簿中存入的历史的目标地址进行比较以判断是否存在相同的IP地址,若存在则确定内部网络发送的数据为攻击数据,若不存在则进一步通过获取日志采集器采集的网络安全日志来解析是否为攻击数据;若发送至内网设备,则通过获取日志采集器采集的网络安全日志来解析是否为攻击数据,并确定为攻击数据时根据被攻击设备的IP地址通过对应主机上的断电器控制主机自动断电。因此能够更准确的对内网设备向内网设备/外网设备发起的网络攻击进行有效检测。
[0141] 进一步的,结合图9, 本发明实施例提供了一种内网与外网间的数据安全传输控制系统,在图8的基础上,所设置的权限服务器3还包括白名单目标地址簿374,所述IP地址分析模块37进一步用于:
[0142] 当判断所述内网数据是发送至外网设备时,将获得的所述目标地址与白名单目标地址簿374中预存的目标地址进行比较以判断是否存在相同的IP地址;
[0143] 当判断白名单目标地址簿374中存在相同的IP地址时,将所述内网数据发送至所述数据缓存区38;
[0144] 当判断白名单目标地址簿374中不存在相同的IP地址时,再将获得的所述目标地址与黑名单目标地址簿中373存入的历史的目标地址进行比较以判断是否存在相同的IP地址。
[0145] 可见,本实施例通过增加在权限服务器增加白名单目标地址簿,白名单目标地址簿中预先设置可信任的外网设备的地址(作为数据被动接收方)。这样,当通过身份认证异常初步判断内网数据为异常数据而发送至黑名单模块时,首先通过IP地址分析模块根据内网数据中的目标地址判断内网数据是发送至内网设备还是外网设备,并在判断内网数据是发送外网设备时,通过获取内网数据的目标地址与白名单目标地址簿中预存的源地址进行比较以判断是否存在相同的IP地址,若存在则说明内网数据的接收方为可信任的外网设备,从而将内络数据发送至数据缓存区以继续传输。
[0146] 以上所揭露的仅为本发明一些较佳实施例而已,当然不能以此来限定本发明之权利范围,本领域普通技术人员可以理解实现上述实施例的全部或部分流程,并依本发明权利要求所作的等同变化,仍属于发明所涵盖的范围。
