安全防护方法、装置、电子设备及存储介质制造方法及图纸

本申请提供一种安全防护方法、装置、电子设备及存储介质。该方法应用于安全防护设备，安全防护设备位于安全防护架构中，安全防护架构包括：安全防护设备和边界接入路由器，安全防护设备和边界接入路由器连接，方法包括：获取访问目标服务器的业务流，并解析业务流，得到解析后的业务流；其中，业务流是从边界接入路由器接入的；若根据解析后的业务流确定业务流中存在威胁流，则提取威胁流的N元组信息；根据威胁流的N元组信息，生成路由信息，并通过预设协议向边界接入路由器发送路由信息；其中，预设协议包括边界网关协议流规则，路由信息包括过滤规则信息和阻断指令信息。本申请实现了按需阻断威胁流，提高了网络的安全性与可靠性。性。性。

【技术实现步骤摘要】
安全防护方法、装置、电子设备及存储介质


[0001]本申请涉及网络安全
，尤其涉及一种安全防护方法、装置、电子设备及存储介质。

技术介绍

[0002]政务外网是我国电子政务重要公共基础设施，是服务于各级政务部门、满足其经济调节、市场监管、社会管理和公共服务等各方面需要的政务公用网络。根据政务外网的等保要求，需要在网络边界部署相应的访问控制机制及安全威胁防护网元。
[0003]现有技术中，通过在政务外网的所有边界接入路由器中，都部署防火墙，使所有边界接入路由器均支持路由及安全防护能力，以此保障网络安全。但是，在每个接入点均部署防火墙，网络建设成本过高，而且也不方便管理。也即，现有技术中安全防护方案不是最优方案。
[0004]因此，需要对政务外网的安全防护措施进行改进，以有效防止政务外网的网络资源不被恶意破坏或非法使用。

技术实现思路

[0005]本申请提供一种安全防护方法、装置、电子设备及存储介质，用以解决现有技术中安全防护方案不是最优方案，有待进行一步改进的问题。
[0006]一方面，本申请提供一种安全防护方法，所述方法应用于安全防护设备，所述安全防护设备位于安全防护架构中，所述安全防护架构包括：所述安全防护设备和边界接入路由器，所述安全防护设备和所述边界接入路由器连接，所述方法包括：
[0007]获取访问目标服务器的业务流，并解析所述业务流，得到解析后的业务流；其中，所述业务流是从所述边界接入路由器接入的；
[0008]若根据所述解析后的业务流确定所述业务流中存在威胁流，则提取所述威胁流的N元组信息；其中，所述威胁流为所述业务流中对所述目标服务器有安全威胁或攻击的业务流，所述N元组信息为所述威胁流的传输属性信息，N为正整数；
[0009]根据所述威胁流的N元组信息，生成路由信息，并通过预设协议向所述边界接入路由器发送所述路由信息；其中，所述预设协议包括边界网关协议流规则，所述路由信息包括过滤规则信息和阻断指令信息，所述阻断指令信息用于指示所述边界接入路由器根据所述过滤规则信息阻断所述威胁流。
[0010]可选地，所述解析后的业务流中包括业务流的详细信息；所述根据所述解析后的业务流确定所述业务流中存在威胁流，包括：
[0011]根据所述详细信息，若确定所述业务流符合DoS/DDoS攻击的特点，则确定所述业务流中存在威胁流。
[0012]可选地，所述路由信息中还包括：统计指令信息；其中，所述统计指令信息用于指示所述边界接入路由器确定被阻断的威胁流的包数和总字节数。
[0013]可选地，所述方法还包括：
[0014]接收所述边界接入路由器发送的统计数据；所述统计数据包括所述被阻断的威胁流的包数和总字节数；
[0015]若根据所述统计数据确定所述业务流中已不存在威胁流，则通过所述预设协议向所述边界接入路由器发送撤销信息；所述撤销信息用于指示所述边界接入路由器停止执行所述阻断指令信息。
[0016]可选地，所述方法还包括：
[0017]若确定所述被阻断的威胁流的包数和总字节数在预设时间内均不再增加，则确定所述业务流中已不存在威胁流。
[0018]可选地，所述安全防护设备包括第一服务器和第二服务器，其中，所述第一服务器与所述第二服务器连接，所述第二服务器与所述边界接入路由器连接。
[0019]可选地，所述预设协议还包括以下一种或多种：路径计算单元通信协议、BGP SR协议、BGP控制协议、Telemetry技术。
[0020]另一方面，本申请提供一种安全防护装置，所述装置应用于安全防护设备，所述安全防护设备位于安全防护架构中，所述安全防护架构包括：所述安全防护设备和边界接入路由器，所述安全防护设备和所述边界接入路由器连接，所述装置包括：
[0021]获取单元，用于获取访问目标服务器的业务流，并解析所述业务流，得到解析后的业务流；其中，所述业务流是从所述边界接入路由器接入的；
[0022]提取单元，用于若根据所述解析后的业务流确定所述业务流中存在威胁流，则提取所述威胁流的N元组信息；其中，所述威胁流为所述业务流中对所述目标服务器有安全威胁或攻击的业务流，所述N元组信息为所述威胁流的传输属性信息，N为正整数；
[0023]控制单元，用于根据所述威胁流的N元组信息，生成路由信息，并通过预设协议向所述边界接入路由器发送所述路由信息；其中，所述预设协议包括边界网关协议流规则，所述路由信息包括过滤规则信息和阻断指令信息，所述阻断指令信息用于指示所述边界接入路由器根据所述过滤规则信息阻断所述威胁流。
[0024]可选地，所述解析后的业务流中包括业务流的详细信息；所述提取单元包括确定模块；
[0025]所述确定模块，用于根据所述详细信息，若确定所述业务流符合DoS/DDoS攻击的特点，则确定所述业务流中存在威胁流。
[0026]可选地，所述路由信息中还包括：统计指令信息；其中，所述统计指令信息用于指示所述边界接入路由器确定被阻断的威胁流的包数和总字节数。
[0027]可选地，所述装置还包括接收单元，所述接收单元包括接收模块和撤销模块；
[0028]所述接收模块，用于接收所述边界接入路由器发送的统计数据；所述统计数据包括所述被阻断的威胁流的包数和总字节数；
[0029]所述撤销模块，用于若根据所述统计数据确定所述业务流中已不存在威胁流，则通过所述预设协议向所述边界接入路由器发送撤销信息；所述撤销信息用于指示所述边界接入路由器停止执行所述阻断指令信息。
[0030]可选地，所述接收单元还包括判定模块；
[0031]所述判定模块，用于若确定所述被阻断的威胁流的包数和总字节数在预设时间内
均不再增加，则确定所述业务流中已不存在威胁流。
[0032]可选地，所述安全防护设备包括第一服务器和第二服务器，其中，所述第一服务器与所述第二服务器连接，所述第二服务器与所述边界接入路由器连接。
[0033]可选地，所述预设协议还包括以下一种或多种：路径计算单元通信协议、BGP SR协议、BGP控制协议、Telemetry技术。
[0034]另一方面，本申请提供一种电子设备，包括：处理器，以及与所述处理器通信连接的存储器；
[0035]所述存储器存储计算机执行指令；
[0036]所述处理器执行所述存储器存储的计算机执行指令，以实现如上所述的任一项方法。
[0037]另一方面，本申请提供一种计算机可读存储介质，所述计算机可读存储介质中存储有计算机执行指令，所述计算机执行指令被处理器执行时用于实现如上所述的任一项方法。
[0038]另一方面，本申请提供一种计算机程序产品，包括计算机程序，该计算机程序被处理器执行时实现如上所述的任一项方法。
[0039]本申请提供了一种安全防护方法、装置、电子设备及存储介质，所述方法应用于安全防护设备，所述安全防护设备位于安全防护架构中，所述安全防护架构包括本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种安全防护方法，其特征在于，所述方法应用于安全防护设备，所述安全防护设备位于安全防护架构中，所述安全防护架构包括：所述安全防护设备和边界接入路由器，所述安全防护设备和所述边界接入路由器连接，所述方法包括：获取访问目标服务器的业务流，并解析所述业务流，得到解析后的业务流；其中，所述业务流是从所述边界接入路由器接入的；若根据所述解析后的业务流确定所述业务流中存在威胁流，则提取所述威胁流的N元组信息；其中，所述威胁流为所述业务流中对所述目标服务器有安全威胁或攻击的业务流，所述N元组信息为所述威胁流的传输属性信息，N为正整数；根据所述威胁流的N元组信息，生成路由信息，并通过预设协议向所述边界接入路由器发送所述路由信息；其中，所述预设协议包括边界网关协议流规则，所述路由信息包括过滤规则信息和阻断指令信息，所述阻断指令信息用于指示所述边界接入路由器根据所述过滤规则信息阻断所述威胁流。2.根据权利要求1所述的方法，其特征在于，所述解析后的业务流中包括业务流的详细信息；所述根据所述解析后的业务流确定所述业务流中存在威胁流，包括：根据所述详细信息，若确定所述业务流符合DoS/DDoS攻击的特点，则确定所述业务流中存在威胁流。3.根据权利要求1所述的方法，其特征在于，所述路由信息中还包括：统计指令信息；其中，所述统计指令信息用于指示所述边界接入路由器确定被阻断的威胁流的包数和总字节数。4.根据权利要求3所述的方法，其特征在于，所述方法还包括：接收所述边界接入路由器发送的统计数据；所述统计数据包括所述被阻断的威胁流的包数和总字节数；若根据所述统计数据确定所述业务流中已不存在威胁流，则通过所述预设协议向所述边界接入路由器发送撤销信息；所述撤销信息用于指示所述边界接入路由器停止执行所述阻断指令信息。5.根据权利要求4所述的方法，其特征在于，所述方法还包括：若确定所述被阻断的威胁流的包数和总字节数在预设时间内均不再增加，则确定所述业务流中已不存在威胁流。6.根据权利要...

【专利技术属性】
技术研发人员：陈吉宁，周飞，谈超洪，李森，梁少灵，彭凌华，
申请(专利权)人：广西壮族自治区信息中心，
类型：发明
国别省市：