应用的网络流量阻断方法、装置、计算机设备及存储介质制造方法及图纸

本发明专利技术实施例提供了一种应用的网络流量阻断方法、装置、计算机设备及存储介质，涉及网络安全技术领域，其中，该方法包括：在目标网络的边界处通过镜像流量方式获取所述目标网络的外发报文，将所述外发报文输入报文解析模型，所述报文解析模型输出所述外发报文的端口特征和报文结构特征；根据所述外发报文的端口特征和报文结构特征，通过关系模型判断所述外发报文是否为预设应用的报文；若是，判断所述外发报文是否符合所述预设应用的外发条件；若否，则通过应用服务器停止所述预设应用的进程。该方案可以自动化准确、高精度的识别预设应用的网络流量并根据外发条件进行灵活、精准的阻断。的阻断。的阻断。

【技术实现步骤摘要】
应用的网络流量阻断方法、装置、计算机设备及存储介质


[0001]本专利技术涉及网络安全
，特别涉及一种应用的网络流量阻断方法、装置、计算机设备及存储介质。

技术介绍

[0002]随着互联网应用的日益普及，网络安全也变得越来越重要。在网络运营与维护的过程中，技术人员在操作应用程序时，下发停止指令后由于应用保护、延迟等原因导致应用主程序所调用的各个模块不能及时停止，还会继续外发流量，对业务系统产生一定影响。同时又不能及时审计到具体某个应用外发流量，对运维审计人员造成运维困难。
[0003]在信息技术飞速发展的今天，企业对信息系统的依赖程度越来越高，信息系统的稳定、安全直接关系到企业的核心竞争力。
[0004]目前网络边界处针对特殊应用外发流量阻断问题，主要有基于防火墙、网关、代理和旁路阻断这四大主流技术。
[0005]其中，防火墙和网关工作在网络层以下，仅有少数高级防火墙能够做到对应用层数据进行简单过滤，例如通过将高级防火墙部署在网络边界，检查应用层、传输层和网络层的协议特征，并针对特定应用程序和文件类型，对应用层数据进行简单匹配和过滤，但高级防火墙不具备对应用层协议的深度解析和匹配功能，无法对应用外发流量进行阻断，而且只支持有限的应用，伸缩性差，用户难以配置，且对网络不透明。代理模式以牺牲速度为代价换取了更高的安全性能，但在网络吞吐量大时会成为网络的瓶颈，且需要设置相应的代理，影响用户体验，难于实施推广。旁路模式通过交换机端口镜像并联进网络，对TCP协议可以发送TCP_RESET报文进行阻断，但由于TCP_RESET报文的滞后性，很容易失去对网络的控制。
[0006]目前，现有技术还提出了一种针对应用协议进行流量过滤的方法，在Nginx流量代理的基础上，实现了基于ftp、http、smtp和pop3等标准应用协议和各种自定义非标准应用协议的数据结构检查。该方法通过修改自身配置，自研插件，实现常见应用协议的流量过滤的功能，该方法包括：功能编译，配置修改，流量过滤，且该数据结构检查规则灵活可配，软件实现能快速从大量流量中挑出恶意流量或安全流量，将安全流量予以放行，将恶意流量予以阻断并生成对应日志信息，从而极大地提高了应用系统的安全防护能力。
[0007]但是，该方案仅适用于安全防护，并不适用于应用外发流量，即无法确定特殊应用的外发流量并阻断其流量。
[0008]现有技术还提供了一种基于流量阻断的数据处理方法，该方法应用于操作系统，所述操作系统的内核配置有流量阻断模块和用户接口模块，所述用户接口模块用于进行流量阻断规则的配置；所述方法包括：基于所述流量阻断模块，接收来自数据链路层的流量信息；依据由所述用户接口模块预先设定的过滤规则，获得放行流量信息并发送至所述内核中的网络协议栈；对所述放行流量信息进行数据处理。该方法在流量信息进入协议栈之前就进行一次过滤，识别出需要丢弃的流量信息进行丢弃处理，降低了协议栈的处理压力。
[0009]但是，该方案是对数据链路层的流量信息进行过滤，获得放行流量信息并发送至内核中的网络协议栈，识别出需要丢弃的流量信息进行丢弃处理，即过滤出需要外发的流量信息，但是，并无法针对某个应用的外发流量进行阻断。
[0010]因此，目前需要一种准确、高精度的识别应用流量进行阻断的方案。

技术实现思路

[0011]有鉴于此，本专利技术实施例提供了一种应用的网络流量阻断方法，以解决现有技术中无法准确、高精度的识别应用流量并阻断的技术问题。该方法包括：
[0012]在目标网络的边界处通过镜像流量方式获取所述目标网络的外发报文，将所述外发报文输入报文解析模型，所述报文解析模型输出所述外发报文的端口特征和报文结构特征，其中，所述报文解析模型是以历史外发报文、历史外发报文的端口特征和历史外发报文的报文结构特征为样本训练机器学习组件得到的；
[0013]根据所述外发报文的端口特征和报文结构特征，通过关系模型判断所述外发报文是否为预设应用的报文；
[0014]若是，判断所述外发报文是否符合所述预设应用的外发条件；
[0015]若否，则通过应用服务器停止所述预设应用的进程。
[0016]本专利技术实施例还提供了一种应用的网络流量阻断装置，以解决现有技术中无法准确、高精度的识别应用流量并阻断的技术问题。该装置包括：
[0017]报文获取模块，用于在目标网络的边界处通过镜像流量方式获取所述目标网络的外发报文，将所述外发报文输入报文解析模型，所述报文解析模型输出所述外发报文的端口特征和报文结构特征，其中，所述报文解析模型是以历史外发报文、历史外发报文的端口特征和历史外发报文的报文结构特征为样本训练机器学习组件得到的；
[0018]应用识别模块，用于根据所述外发报文的端口特征和报文结构特征，通过关系模型判断所述外发报文是否为预设应用的报文；
[0019]流量识别模块，用于在所述外发报文为预设应用的报文时，判断所述外发报文是否符合所述预设应用的外发条件；
[0020]流量阻断模块，用于在所述外发报文不符合所述预设应用的外发条件时，则通过应用服务器停止所述预设应用的进程。
[0021]本专利技术实施例还提供了一种计算机设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，所述处理器执行所述计算机程序时实现上述任意的应用的网络流量阻断方法，以解决现有技术中无法准确、高精度的识别应用流量并阻断的技术问题。
[0022]本专利技术实施例还提供了一种计算机可读存储介质，所述计算机可读存储介质存储有执行上述任意的应用的网络流量阻断方法的计算机程序，以解决现有技术中无法准确、高精度的识别应用流量并阻断的技术问题。
[0023]与现有技术相比，本说明书实施例采用的上述至少一个技术方案能够达到的有益效果至少包括：通过在目标网络的边界处通过镜像流量方式获取所述目标网络的外发报文，将所述外发报文输入报文解析模型，所述报文解析模型输出所述外发报文的端口特征和报文结构特征，进而根据所述外发报文的端口特征和报文结构特征，通过关系模型判断
所述外发报文是否为预设应用的报文，在所述外发报文为预设应用的报文时，判断所述外发报文是否符合所述预设应用的外发条件，当所述外发报文不符合所述预设应用的外发条件时，通过应用服务器停止所述预设应用的进程。实现了在不改变原来网路架构的基础上，根据端口特征和应用层报文结构特征，自动化准确、高精度的识别预设应用的网络流量并根据外发条件进行灵活、精准的阻断，该方法不会出现漏阻情况，有效阻断了特定(预设)应用外发流量的风险，简化了运维的成本和操作步骤，对业务系统稳定提供了保障，且对用户透明，用户体验好；同时，报文解析模型和关系模型的应用可以高效、准确地确定外发报文的特征、判断出预设应用的报文，有利于进一步提高运维的效率、可靠性。
附图说明
[0024]为了更清楚地说明本申请实施例的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本申请的本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种应用的网络流量阻断方法，其特征在于，包括：在目标网络的边界处通过镜像流量方式获取所述目标网络的外发报文，将所述外发报文输入报文解析模型，所述报文解析模型输出所述外发报文的端口特征和报文结构特征，其中，所述报文解析模型是以历史外发报文、历史外发报文的端口特征和历史外发报文的报文结构特征为样本训练机器学习组件得到的；根据所述外发报文的端口特征和报文结构特征，通过关系模型判断所述外发报文是否为预设应用的报文；若是，判断所述外发报文是否符合所述预设应用的外发条件；若否，则通过应用服务器停止所述预设应用的进程。2.如权利要求1所述的应用的网络流量阻断方法，其特征在于，判断所述外发报文是否符合所述预设应用的外发条件，包括：判断所述外发报文的当前发送时刻是否属于所述预设应用的预设外发时段；若否，则判断所述外发报文不符合所述预设应用的外发条件。3.如权利要求1所述的应用的网络流量阻断方法，其特征在于，判断所述外发报文是否符合所述预设应用的外发条件，包括：将所述外发报文的端口特征和内容特征分别与所述预设应用的禁止外发条件进行匹配，所述禁止外发条件包括以下任意之一或任意组合：黑名单、禁止外发的源ip、禁止外发的源端口、禁止外发的目的ip、禁止外发的目的端口以及禁止外发的内容特征；在匹配成功时，判断所述外发报文不符合所述预设应用的外发条件。4.如权利要求1所述的应用的网络流量阻断方法，其特征在于，通过应用服务器停止所述预设应用的进程，包括：根据所述外发报文的会话信息，确定发送所述外发报文的进程id；根据所述进程id停止发送所述外发报文的进程。5.如权利要求1至4中任一项所述的应用的网络流量阻断方法，其特征在于，根据所述...

【专利技术属性】
技术研发人员：李宁，李季，李可，胡维，赵远杰，韩冰，
申请(专利权)人：北京源堡科技有限公司，
类型：发明
国别省市：