一种安全防护方法、平台、设备、存储介质技术

本发明专利技术属于安全防护技术领域，公开了一种安全防护方法，包括步骤：并行导入入网数据流量；结合高级数据分析引擎对所述入网数据流量进行安全防护处理；对安全防护处理结果进行编排和归一化处理，以标准的接口方式提供给上层SaaS平台应用调用。本发明专利技术改变传统通过堆砌安全防护产品来提供安全防护能力的方式，提供可配置的安全能力部署方式，根据业务需求向应用系统提供经过编排的定制化防护能力，最大限度的降低了视频安全应用的开发成本和部署难度，提高了视频安全应用的开发效率，增加了整个安防视频专网应用的安全性、灵活性和便捷性。灵活性和便捷性。灵活性和便捷性。

【技术实现步骤摘要】
一种安全防护方法、平台、设备、存储介质


[0001]本专利技术属于安全防护
，具体涉及一种安全防护方法、平台、设备、存储介质。

技术介绍

[0002]在传统安防视频专网环境中，安全防护均通过硬件实现，只能采用独立方式部署安全防护设备，如防火墙提供访问控制能力、入侵防护设备提供入侵防护能力、准入控制系统提供设备入网控制能力等，多种形式的安全设备提供的安全能力无法集成、无法按需组合、无法灵活调度、无法统一管理。
[0003]现有安全能力产品功能单一，集成度低，常见的安防视频专网应用场景下需要单独配置防火墙、入侵防御系统、准入控制系统、WEB防护系统、APT防护系统等。若安防视频专网中存在多个应用系统，则每个安全防护设备均需要配置多套，极大地提升了安全建设成本和后期运维难度，也不具备统一管理功能。

技术实现思路

[0004]本专利技术的目的在于提供一种安全防护方法、平台、设备、存储介质，集成访问控制模块、入侵防御模块、应用防护模块、设备准入模块、协议分析模块、资产管理模块、APT攻击防护模块以及能力编排功能和安全API调用接口，解决了不能够根据不同应用系统的安全防护需求，将安全能力进行编排后向应用系统提供定制化的安全防护能力的问题。
[0005]为实现上述目的，本专利技术提供如下技术方案：一种安全防护方法，包括步骤：
[0006]并行导入入网数据流量；
[0007]结合高级数据分析引擎对所述入网数据流量进行安全防护处理；
[0008]对安全防护处理结果进行编排和归一化处理，以标准的接口方式提供给上层SaaS平台应用调用。
[0009]作为本专利技术一种安全防护方法优选地，所述安全防护处理包括：
[0010]在网络层、传输层开放指定的视频业务IP和端口与外部进行通信，阻断其他方式的数据通信；
[0011]对接入数据内部夹带的病毒和恶意代码进行清洗过滤；
[0012]阻止外部设备对业务网络进行的恶意行为；
[0013]对外部终端传输的数据流进行病毒检测；
[0014]对外部终端接入业务网络的可信性进行检验；
[0015]对外部应用数据采用的协议进行实时分析；
[0016]实时感知安防视频专网中的在网设备状态；
[0017]采集分析数据传输日志信息，捕捉APT攻击行为并进行报警。
[0018]作为本专利技术一种安全防护方法优选地，所述的阻止外部设备对业务网络进行的恶意行为具体包括：
[0019]通过高级数据分析引擎自动导入外部应用数据；
[0020]对所述外部应用数据进行检测；
[0021]将检测后的结果与WEB攻击行为进行规则匹配；
[0022]放行白名单内的应用访问行为，并阻止外部设备对业务网络进行的恶意行为。
[0023]作为本专利技术一种安全防护方法优选地，所述的对外部终端传输的数据流进行病毒检测包括步骤：
[0024]通过高级数据分析引擎导入外部应用数据；
[0025]将所述外部应用数据与病毒样本进行比对；
[0026]对于所述外部应用数据的数据流中夹带的病毒代码进行清洗与过滤。
[0027]作为本专利技术一种安全防护方法优选地，所述的对外部终端接入业务网络的可信性进行检验包括步骤：
[0028]通过高级数据分析引擎导入外部应用数据；
[0029]提取所述外部应用数据中的设备指纹信息；
[0030]将所提取的所述设备指纹信息与设备指纹库进行比对；
[0031]将符合安全策略的白名单中的设备接入业务网络，其他设备在未经可信检验前皆不可与业务网络进行通信。
[0032]作为本专利技术一种安全防护方法优选地，所述的对外部应用数据采用的协议进行实时分析包括步骤：
[0033]获取应用层协议指纹及协议流量信息内容；
[0034]将所述协议指纹及协议流量信息内容与设备指纹库进行比对；
[0035]放行白名单中的协议类型；当发现未经授权的协议类型时进行阻断处理。
[0036]本专利技术还提供一种安全防护平台，包括：
[0037]并行导入模块，用于并行导入入网数据流量；
[0038]安防防护处理模块，用于结合高级数据分析引擎对所述入网数据流量进行安全防护处理；
[0039]编排模块，用于对安全防护处理结果进行编排和归一化处理，以标准的接口方式提供给上层SaaS平台应用调用。
[0040]作为本专利技术一种安全防护平台优选地，还包括：
[0041]访问控制模块，用于在网络层、传输层开放指定的视频业务IP和端口与外部进行通信，阻断其他方式的数据通信；
[0042]入侵防御模块，用于对接入数据内部夹带的病毒和恶意代码进行清洗过滤；
[0043]应用防护模块，用于阻止外部设备对业务网络进行的恶意行为；
[0044]网络防病毒模块，用于对外部终端传输的数据流进行病毒检测；
[0045]设备准入模块。用于对外部终端接入业务网络的可信性进行检验；
[0046]协议分析模，用于对外部应用数据采用的协议进行实时分析；
[0047]资产管理模块，用于实时感知安防视频专网中的在网设备状态；
[0048]APT攻击防护模块，用于采集分析数据传输日志信息，捕捉APT攻击行为并进行报警。
[0049]本专利技术还提供一种安全防护设备，包括：处理器、存储器、通信接口和通信总线，所
述处理器、所述存储器和所述通信接口通过所述通信总线完成相互间的通信；
[0050]所述存储器用于存放至少一可执行指令，所述可执行指令使所述处理器执行上述安全防护方法的操作。
[0051]本专利技术还提供一种计算机可读存储介质，所述存储介质中存储有至少一可执行指令，所述可执行指令在安全防护设备/平台上运行时，使得安全防护设备/平台执行上述安全防护方法的操作。
[0052]本专利技术与现有技术相比，具有以下有益效果：本专利技术改变传统通过堆砌安全防护产品来提供安全防护能力的方式，提供可配置的安全能力部署方式，根据业务需求向应用系统提供经过编排的定制化防护能力，最大限度的降低了视频安全应用的开发成本和部署难度，提高了视频安全应用的开发效率，增加了整个安防视频专网应用的安全性、灵活性和便捷性。
附图说明
[0053]图1
‑
2为本专利技术的一种安全防护方法的流程图；
[0054]图3为本专利技术一种安全防护平台的结构示意图；
[0055]图4为本专利技术一种安全防护设备的结构示意图。
具体实施方式
[0056]下面将结合本专利技术实施例中的附图，对本专利技术实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本专利技术一部分实施例，而不是全部的实施例。基于本专利技术中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本专利技术保护的范围。
[0057]请参阅图1
‑...

【技术保护点】

【技术特征摘要】
1.一种安全防护方法，其特征在于：包括步骤：并行导入入网数据流量；结合高级数据分析引擎对所述入网数据流量进行安全防护处理；对安全防护处理结果进行编排和归一化处理，以标准的接口方式提供给上层SaaS平台应用调用。2.根据权利要求1所述的一种安全防护方法，其特征在于：所述安全防护处理包括：在网络层、传输层开放指定的视频业务IP和端口与外部进行通信，阻断其他方式的数据通信；对接入数据内部夹带的病毒和恶意代码进行清洗过滤；阻止外部设备对业务网络进行的恶意行为；对外部终端传输的数据流进行病毒检测；对外部终端接入业务网络的可信性进行检验；对外部应用数据采用的协议进行实时分析；实时感知安防视频专网中的在网设备状态；采集分析数据传输日志信息，捕捉APT攻击行为并进行报警。3.根据权利要求1所述的一种安全防护方法，其特征在于：所述的阻止外部设备对业务网络进行的恶意行为具体包括：通过高级数据分析引擎自动导入外部应用数据；对所述外部应用数据进行检测；将检测后的结果与WEB攻击行为进行规则匹配；放行白名单内的应用访问行为，并阻止外部设备对业务网络进行的恶意行为。4.根据权利要求1所述的一种安全防护方法，其特征在于：所述的对外部终端传输的数据流进行病毒检测包括步骤：通过高级数据分析引擎导入外部应用数据；将所述外部应用数据与病毒样本进行比对；对于所述外部应用数据的数据流中夹带的病毒代码进行清洗与过滤。5.根据权利要求1所述的一种安全防护方法，其特征在于：所述的对外部终端接入业务网络的可信性进行检验包括步骤：通过高级数据分析引擎导入外部应用数据；提取所述外部应用数据中的设备指纹信息；将所提取的所述设备指纹信息与设备指纹库进行比对；将符合安全策略的白名单中的设备接入业务网络，其他设备在未经可信检验前皆不可与业务网络进行通信。6.根据权利要求1所述的一种安全防护方法，其特征在于：所述的对外部应用...

【专利技术属性】
技术研发人员：李志伟，王振省，
申请(专利权)人：烁博信息科技上海有限公司，
类型：发明
国别省市：