本发明专利技术涉及信息技术领域,公开了生成网络白名单的方法和装置,该方法包括:抓取网络中通过网络安全设备的数据包;根据数据包携带的应用层协议类型判断所述数据包相关联的会话是否具有子会话;当确定会话具有子会话时,为子会话创建动态端口范围;存储会话相应的传输层协议类型、地址和相关联的端口,相关联的端口包括用于会话的端口和用于会话的子会话的动态端口范围;利用所存储的会话相应的传输层协议类型、地址和相关联的端口生成网络白名单。本发明专利技术能够自动收集通过网络安全设备的数据包,自动生成白名单,减少了网络安全控制的复杂性,并且无需操作人员了解现场实施的数据流细节,节省了实施成本并提高了实施效率。
【技术实现步骤摘要】
本专利技术涉及信息
,具体地,涉及一种生成网络白名单的方法和装置。
技术介绍
网络信息安全防护系统主要用于控制系统分层间的逻辑/物理隔离和安全防护上,控制系统一般分为现场层,监督控制层,和运营管理层。在现场层和监督控制层中,控制系统上可能会运行通用的实时/或非实时数据库、特殊工业控制系统的一种或几种单一协议,但在监督控制层之上,监督控制层和运营管理层之间,以及监督控制层之外,会运行各种办公,工业控制等定制和/或公开的协议。因此需要针对各种协议进行网络完全控制。现有技术中根据预先配置的条件生成网络白名单来控制网络中会话,但是该方法依赖人工配置进行,使得网络安全控制方式不够灵活而且效率较低。
技术实现思路
本专利技术的目的是提供生成网络白名单的方法和装置,以解决上述技术问题,或者至少部分地解决上述技术问题。为了实现上述目的,本专利技术提供一种生成网络白名单的方法,该方法包括:抓取网络中通过网络安全设备的数据包,所述数据包中携带地址、端口和应用层协议类型;根据所述数据包携带的应用层协议类型判断所述数据包相关联的会话是否具有子会话;当确定所述会话具有子会话时,为所述子会话创建动态端口范围;存储所述会话相应的传输层协议类型、地址和相关联的端口,所述相关联的端口包括用于所述会话的端口和用于所述会话的子会话的动态端口范围;利用所存储的会话相应的传输层协议类型、地址和相关联的端口生成网络白名单。可选地,所述方法还包括:当确定所述会话不具有子会话时,直接存储所述会话相应的传输层协议类型、地址和相关联的端口,所述相关联的端口包括用于所述会话的端口。可选地,所述存储所述会话相应的传输层协议类型、地址和相关联的端口包括:采用树状结构以传输层协议类型为根节点,分别以地址和相关联的端口为各级子节点进行存储。可选地,所述存储所述会话相应的传输层协议类型、地址和相关联的端口包括:判断所述树状结构中兄弟节点中的地址或相关联的端口是否连续;当兄弟节点中的地址或相关联的端口连续时,将所述兄弟节点合并为存储地址或相关联的端口的连续范围的单一节点。可选地,所述存储所述会话相应的传输层协议类型、地址和相关联的端口包括:判断树状结构中各级节点中是否存在存储相同地址或相关联的端口的节点;如果存在存储相同地址或相关联的端口的节点,则将存储相同地址或相关联的端口的节点合并为单一节点。可选地,所述利用所存储的会话相应的传输层协议类型、地址和相关联的端口生成网络白名单包括:对于所述树状结构中从根节点到叶子节点的各条链路,从链路的节点中提取存储的传输层协议类型、地址和相关联的端口来组成信息条目;从所述信息条目中提取传输层协议类型、地址和相关联的端口填入白名单语句模板中生成网络白名单。可选地,所述方法还包括:当数据包相关联的会话为子会话时,从所创建的动态端口范围中选择分配给所述子会话的端口;记录所述子会话相应的地址和端口以对所述子会话进行跟踪;在所述子会话结束时,释放分配给所述子会话的端口。根据本专利技术的另一方面,提供了一种生成网络白名单的装置,该装置包括:抓取模块,用于抓取网络中通过网络安全设备的数据包,所述数据包中携带地址、端口和应用层协议类型;处理模块,用于根据所述数据包携带的应用层协议类型判断所述数据包相关联的会话是否具有子会话,当确定所述会话具有子会话时,为所述子会话创建动态端口范围,指示存储模块进行存储;所述存储模块用于存储所述会话相应的传输层协议类型、地址和相关联的端口,所述相关联的端口包括用于所述会话的端口和用于所述会话的子会话的动态端口范围;生成模块,用于利用所存储的会话相应的传输层协议类型、地址和相关联的端口生成网络白名单。可选地,所述处理模块还用于当确定所述会话不具有子会话时,直接指示所述存储模块存储所述会话相应的传输层协议类型、地址和相关联的端口,所述相关联的端口包括用于所述会话的端口。可选地,所述存储模块用于采用树状结构以传输层协议类型为根节点,分别以地址和相关联的端口为各级子节点进行存储。可选地,所述存储模块用于判断所述树状结构中兄弟节点中的地址或相关联的端口是否连续;当兄弟节点中的地址或相关联的端口连续时,将所述兄弟节点合并为存储地址或相关联的端口的连续范围的单一节点。可选地,所述存储模块用于判断树状结构中各级节点中是否存在存储相同地址或相关联的端口的节点;如果存在存储相同地址或相关联的端口的节点,将存储相同地址或相关联的端口的节点合并为单一节点。可选地,所述生成模块用于对于所述树状结构中从根节点到叶子节点的各条链路,从链路的节点中提取存储的传输层协议类型、地址和相关联的端口来组成信息条目;从所述信息条目中提取传输层协议类型、地址和相关联的端口填入白名单语句模板中生成网络白名单。可选地,所述处理模块还用于当数据包相关联的会话为子会话时,从所创建的动态端口范围中选择分配给所述子会话的端口;记录所述子会话相应的地址和端口以对所述子会话进行跟踪;在所述子会话结束时,释放分配给所述子会话的端口。通过上述技术方案,抓取网络中通过网络安全设备的数据包;根据数据包携带的应用层协议类型判断所述数据包相关联的会话是否具有子会话;当确定会话具有子会话时,为子会话创建动态端口范围;存储会话相应的传输层协议类型、地址和相关联的端口,相关联的端口包括用于所述会话的端口和用于所述会话的子会话的动态端口范围;利用所存储的会话相应的传输层协议类型、地址和相关联的端口生成网络白名单;该方法自动收集通过网络安全设备的数据包,自动生成白名单,减少了网络安全控制的复杂性,并且无需操作人员了解现场实施的数据流细节,节省了实施成本并提高了实施效率。本专利技术的其它特征和优点将在随后的具体实施方式部分予以详细说明。附图说明附图是用来提供对本专利技术的进一步理解,并且构成说明书的一部分,与下面的具体实施方式一起用于解释本专利技术,但并不构成对本专利技术的限制。在附图中:图1是根据本专利技术实施方式的生成网络白名单的方法的流程图;图2是根据本专利技术实施方式的存储会话的相关信息的树状结构的示意图;图3是根据本专利技术实施方式的处理子会话的过程的流程图;以及图4是根据本专利技术实施方式的生成网络白名单的装置的结构图。具体实施方式以下结合附图对本专利技术的具体实施方式进行详细说明。应当理解的是,此处所描述的具体实施方式仅用于说明和解释本专利技术,并不用于限制本专利技术。图1是根据本专利技术实施方式的生成网络白名单的方法的流程图,该方法可用于各种设备,例如网络防火墙、服务器等。如图1所示,该方法可包括如下步骤。在步骤S110中,抓取网络中通过网络安全设备的数据包。数据包中可携带地址、端口和应用层协议类型,例如携带源IP地址、目的IP地址、源端口号、目的端口号和应用层协议类型。举例而言,设备可以对网络中数据流进行侦听,收集经过网络安全设备的数据包。该数据包已经被网络安全设备放行,说明该数据包相关联的会话为可靠的会话,因而可以将该数据包相关联的会话记入白名单。在步骤S120中,根据数据包携带的应用层协议类型判断数据包相关联的会话是否具有子会话。举例而言,可以维护会话表,在会话表中记录会话的五元组,即传输层协议类型、源IP地址、目的IP地址、源端口、目的端口。接收到数据包后,在会话中查找数据包相关联的会话,如果没有查找到,则在会本文档来自技高网...
【技术保护点】
一种生成网络白名单的方法,其特征在于,该方法包括:抓取网络中通过网络安全设备的数据包,所述数据包中携带地址、端口和应用层协议类型;根据所述数据包携带的应用层协议类型判断所述数据包相关联的会话是否具有子会话;当确定所述会话具有子会话时,为所述子会话创建动态端口范围;存储所述会话相应的传输层协议类型、地址和相关联的端口,所述相关联的端口包括用于所述会话的端口和用于所述会话的子会话的动态端口范围;利用所存储的会话相应的传输层协议类型、地址和相关联的端口生成网络白名单。
【技术特征摘要】
1.一种生成网络白名单的方法,其特征在于,该方法包括:抓取网络中通过网络安全设备的数据包,所述数据包中携带地址、端口和应用层协议类型;根据所述数据包携带的应用层协议类型判断所述数据包相关联的会话是否具有子会话;当确定所述会话具有子会话时,为所述子会话创建动态端口范围;存储所述会话相应的传输层协议类型、地址和相关联的端口,所述相关联的端口包括用于所述会话的端口和用于所述会话的子会话的动态端口范围;利用所存储的会话相应的传输层协议类型、地址和相关联的端口生成网络白名单。2.根据权利要求1所述的方法,其特征在于,所述方法还包括:当确定所述会话不具有子会话时,直接存储所述会话相应的传输层协议类型、地址和相关联的端口,所述相关联的端口包括用于所述会话的端口。3.根据权利要求1所述的方法,其特征在于,所述存储所述会话相应的传输层协议类型、地址和相关联的端口包括:采用树状结构以传输层协议类型为根节点,分别以地址和相关联的端口为各级子节点进行存储。4.根据权利要求3所述的方法,其特征在于,所述存储所述会话相应的传输层协议类型、地址和相关联的端口包括:判断所述树状结构中兄弟节点中的地址或相关联的端口是否连续;当兄弟节点中的地址或相关联的端口连续时,将所述兄弟节点合并为存储地址或相关联的端口的连续范围的单一节点。5.根据权利要求3所述的方法,其特征在于,所述存储所述会话相应的传输层协议类型、地址和相关联的端口包括:判断树状结构中各级节点中是否存在存储相同地址或相关联的端口的节点;如果存在存储相同地址或相关联的端口的节点,则将存储相同地址或相关联的端口的节点合并为单一节点。6.根据权利要求3所述的方法,其特征在于,所述利用所存储的会话相应的传输层协议类型、地址和相关联的端口生成网络白名单包括:对于所述树状结构中从根节点到叶子节点的各条链路,从链路的节点中提取存储的传输层协议类型、地址和相关联的端口来组成信息条目;从所述信息条目中提取传输层协议类型、地址和相关联的端口填入白名单语句模板中生成网络白名单。7.根据权利要求1所述的方法,其特征在于,所述方法还包括:当数据包相关联的会话为子会话时,从所创建的动态端口范围中选择分配给所述子会话的端口;记录所述子会话相应的地址和端口以对所述子会话进行跟踪;在所...
【专利技术属性】
技术研发人员:汪义舟,宁志明,李思齐,
申请(专利权)人:北京匡恩网络科技有限责任公司,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。