一种基于数据透明落地及协议隔离的传输方法和隔离设备技术

本发明专利技术公开了一种基于数据透明落地及协议隔离的传输方法和隔离设备，该方法和设备采用一种特殊的地址转换，使IP数据可以透明的在设备上通过协议栈应用层落地，传输的数据在应用层上剥离了TCP\IP传输协议，并进行应用层格式检查、传输协议清洗、密标核检等安全操作，加载过安全手段后，重新再将数据发送给目标终端，使两段的传输协议隔离。使数据在传输过程中可能存在的离线协议分析和内容夹带等安全风险具备有效的防护手段。风险具备有效的防护手段。风险具备有效的防护手段。

【技术实现步骤摘要】
一种基于数据透明落地及协议隔离的传输方法和隔离设备


[0001]本专利技术涉及网络安全领域，具体涉及一种基于数据透明落地及协议隔离的传输方法和隔离设备。

技术介绍

[0002]网络安全从安全防护角度上分为环境安全、主体安全、数据安全、传输安全、行为安全等几个维度，在不同维度上采用的安全措施则不同。环境安全主要通过物理环境安全；主体安全主要通过身份认证；数据安全主要通过防火墙和网闸；传输安全主要通过加密手段；行为安全主要通过审计的方式。这几方面的考虑角度不同，彼此之间需要相辅相成，但是由于网络安全的攻击手段呈现多元化、分散化，因此在数据安全上我们需要提升原有的手段。
[0003]数据安全的攻击手段有截获、篡改、夹带、离线分析等方式进行渗透，现有的手段有防火墙和网闸，但是其均存在固有的缺点，防火墙无法在传输协议层进行隔离，并且无法对数据实体内容进行格式分析检查；网闸虽然可以中断传输协议，但是无法透明的为业务终端提供传输服务。因此我们需要提供一种方式，可以在不改变业务使用模式的前提下对数据进行落地检查和协议隔离。协议隔离在安全态势上可以中断传输链路上的离线协议分析，使通信的双方终端在传输协议过程上并不一样；落地检查可以对数据实体进行应用格式分析、密标核检、内容夹带过滤、协议攻击清洗等操作，通过该方式应对日益严苛的数据安全带来的风险。

技术实现思路

[0004]针对现有技术中的上述不足，本专利技术提供了一种基于数据透明落地及协议隔离的传输方法和隔离设备。
[0005]为了达到上述专利技术目的，本专利技术采用的技术方案为：
[0006]一种基于数据透明落地及协议隔离的传输方法，包括如下步骤：
[0007]S1、配置链路数据截获模块的数据截获类型，根据所配置的模式对数据进行过滤匹配，将匹配上的IP数据报文放入待处理接收队列；
[0008]S2、地址映射转换模块轮询遍历待处理接收队列，收到待处理IP报文后进行解析并将解析结果发送至落地服务模块和协议隔离模块；
[0009]S3、所述落地服务模块收到解析结果后在本地创建基于所述解析结果的接收服务，并从该接收服务的接收队列中读取实体内容，将获得的实体数据放入内容安全检查模块的任务队列中；所述协议隔离模块收到解析结果后在本地创建反向目标连接服务，并实时监听反向目标连接服务的发送队列；
[0010]S4、内容安全检查模块轮训遍历任务队列，当任务队列中存在带处理数据时，内容安全检查模块对数据进行统计，并将统计的信息发送至审计模块；若发送的数据为合法数据，则拷贝数据至内容存储模块，同时将该数据加入协议隔离模块中；若为异常数据，则异
常报文进行数据丢弃。
[0011]进一步的，所述S1中配置链路数据截获模块的数据截获类型的具体方式为数据全截获方式、协议及端口业务截获和特定协议。
[0012]进一步的，所述S2具体包括如下步骤：
[0013]S21、地址映射转换模块收到待处理IP报文后，解析IP数据并获取到目的IP地址、协议、目的端口，将协议、目的端口通告给落地服务模块，同时将目的IP、协议、目的端口通告到协议隔离模块；
[0014]S22、将待处理IP报文中的目的地址修改为本机IP地址，使修改后的报文存储在本地该协议的接收队列中，使报文在本地落地；
[0015]S23、在地址映射转换模块中形成原始报文与落地报文之间的映射关系。
[0016]进一步的，所述S23中的映射关系表示为：
[0017]原地址、目的地址、协议、源端口、目的端口
‑
>原地址、本地地址、协议、源端口、目的端口。
[0018]进一步的，所述落地服务模块收到协议及dst port通告后，在本地创建基于该协议和dst port的数据接收服务，之后从该协议服务的接收队列中读取报文实体内容,该实体内容已经剥离了IP协议及tcp\udp协议头，为纯通信落地数据。并将获得的数据放入内容安全检查模块任务队列中。
[0019]进一步的，所述内容安全检查模块发现队列中有待处理的数据时，对数据进行格式检查、夹带检索、病毒携带、攻击行为、及关键表象索引，对合法及异常的数据进行统计，将统计的信息发送到行为审计模块。
[0020]还提供一种基于数据透明落地及协议隔离的设备，包括：
[0021]链路数据截获模块：设备串行部署在传输链路中，该设备通过链路数据截获模块透明截获链路上传输的数据，为数据透明落地提供数据来源；
[0022]地址映射转换模块：该模块将截获的数据报文进行本地透明落地信息转换，并形成源数据与落地数据的映射关系。为入设备和出设备的数据提供透明传输保障；
[0023]落地服务模块：该模块对需要落地的数据进行本地服务监听，并获取链路报文数据内容实体，为内容实体安全分析和内容格式检查提供数据来源；
[0024]协议隔离模块：通过本地重新创建新的目的连接，通过新的目的连接将处理完成的落地数据发送出去，从而实现协议隔离目的；
[0025]内容安全检查模块：该模块对落地的实体数据内容进行格式检查、行为分析、夹带检索等安全操作，保证链路传输中的数据安全可靠；
[0026]行为审计模块：该模块对安全检查的内容数据进行审计，包括报文长度、协议动作、安全特性、双方通信地址等信息，为管理员提供安全态势回溯的手段。
[0027]内容存储模块：对落地的数据进行本地备份存储，用于导出备案或为第三方安全设备提供离线分析数据源。
[0028]管理模块：对设备进行自身参数配置，包括地址、管理三元等配置项；对审计数据提供人机交互展示；以及设备自身运行状态展示。
[0029]本专利技术具有以下有益效果：
[0030]1.数据安全检查对通信双方是无感知的，其部署方式不需要改变原始业务的使用
模式。
[0031]2.可以对通信数据做到基于通信实体内容的备份，便于离线第三方的通信行为分析。
[0032]3.在通信双方无感的情况下，将通信协议隔离了。
[0033]4.为中间通信链路增加安全防护措施提供了透明的手段和网络节点。
[0034]6、简要说明本专利技术技术关键点和保
附图说明
[0035]图1为本专利技术基于数据透明落地及协议隔离的设备模块图。
[0036]图2为本专利技术基于数据透明落地及协议隔离的传输方法流程示意图。
[0037]图3为本专利技术实施例地址映射转换模块工作原理示意图。
[0038]图4为本专利技术实施例内容安全检查模块逻辑示意图。
具体实施方式
[0039]下面对本专利技术的具体实施方式进行描述，以便于本
的技术人员理解本专利技术，但应该清楚，本专利技术不限于具体实施方式的范围，对本
的普通技术人员来讲，只要各种变化在所附的权利要求限定和确定的本专利技术的精神和范围内，这些变化是显而易见的，一切利用本专利技术构思的专利技术创造均在保护之列。
[0040]一种基于数据透明落本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于数据透明落地及协议隔离的传输方法，其特征在于，包括如下步骤：S1、配置链路数据截获模块的数据截获类型，根据所配置的模式对数据进行过滤匹配，将匹配上的IP数据报文放入待处理接收队列；S2、地址映射转换模块轮询遍历待处理接收队列，收到待处理IP报文后进行解析并将解析结果发送至落地服务模块和协议隔离模块；S3、所述落地服务模块收到解析结果后在本地创建基于所述解析结果的接收服务，并从该接收服务的接收队列中读取实体内容，将获得的实体数据放入内容安全检查模块的任务队列中；所述协议隔离模块收到解析结果后在本地创建反向目标连接服务，并实时监听反向目标连接服务的发送队列；S4、内容安全检查模块轮训遍历任务队列，当任务队列中存在带处理数据时，内容安全检查模块对数据进行统计，并将统计的信息发送至审计模块；若发送的数据为合法数据，则拷贝数据至内容存储模块，同时将该数据加入协议隔离模块中；若为异常数据，则异常报文进行数据丢弃。2.根据权利要求1所述的一种基于数据透明落地及协议隔离的传输方法，其特征在于，所述S1中配置链路数据截获模块的数据截获类型的具体方式为数据全截获方式、协议及端口业务截获和特定协议。3.根据权利要求1所述的一种基于数据透明落地及协议隔离的传输方法，其特征在于，所述S2具体包括如下步骤：S21、地址映射转换模块收到待处理IP报文后，解析IP数据并获取到目的IP地址、协议、目的端口，将协议、目的端口通告给落地服务模块，同时将目的IP、协议、目的端口通告到协议隔离模块；S22、将待处理IP报文中的目的地址修改为本机IP地址，使修改后的报文存储在本地该协议的接收队列中，使报文在本地落地；S23、在地址映射转换模块中形成原始报文与落地报文之间的映射关系。4.根据权利要求3所述的一种基于数据透明落地及协议隔离的传输方法，其特征在于，所述S23中的映射关系表示为：原地址、目的地址、协议、源端口、目的端口
‑
>原地址、本地...

【专利技术属性】
技术研发人员：芦伟，陈世伟，詹晋川，张晋，张帆，
申请(专利权)人：深圳市风云实业有限公司，
类型：发明
国别省市：