【技术实现步骤摘要】
本专利技术涉及网络安全,具体而言,涉及一种安全防护设备协同联动方法、系统、设备和介质。
技术介绍
1、在现有的网络体系下,网络攻击技术手段日益复杂化,单一的网络安全防护设备功能有限,“单兵作战”的防护模式已经无法应对目前日益严峻的网络安全威胁,需要将网络中所部属的各类安全防护设备关联起来,实施“协同作战”,即协同防御。但是当前的各类安全防护设备的厂家不同,管理控制接口各异,彼此之间既无法相互发现,也不能有效的进行信息交互,因此很难实现安全防护设备之间的“横向协同”,只能通过对安全防护设备实施集中控制的模式来进行有限的“纵向协同”。而这样的“纵向协同”防御效率低下,而且时延较大,容易被网络攻击者利用时间差实施攻击。
2、当前典型的网络安全设备之间的“纵向协同”防御模式如图1所示。在受保护的内部网络中,由防火墙、接入控制设备、入侵检测设备共同构成安全“防线”。当作为第一道“防线”的防火墙发现来自互联网的网络数据流中包含可疑的ip地址时,它希望能够通知后续的入侵检测设备,对特定ip地址的数据流进行深度安全检测。在当前的网络防御架构下,防火墙作为一款功能单一的安全防护设备,它既不知道当前的内部网络中是否部署了入侵检测设备,也不知道入侵检测设备部署在网络中的哪个位置,其接口类型什么。因此防火墙无法直接向入侵检测设备发送协同防御消息即无法实现横向协同,只能通过控制通道将协同防御请求发送给位于控制层面的安全管理者,即图中所示的安全保密管理单元,由管理者处理协同防御请求,并向网络中的入侵检测设备发送协同防御指令,该种方式即为纵向协同
技术实现思路
1、本专利技术旨在至少解决现有技术中存在纵向协同防御效率低下,而且时延较大,容易被网络攻击者利用时间差实施攻击的技术问题之一。
2、为此,本专利技术第一方面提供了一种安全防护设备协同联动方法。
3、本专利技术第二方面提供了一种安全防护设备协同联动系统。
4、为此,本专利技术第三方面提供了一种计算机设备。
5、本专利技术第四方面提供了一种计算机可读存储介质。
6、本专利技术提供的一种安全防护设备协同联动方法,包括以下步骤:
7、在网络入口对于流入网络的数据流中的每个ipv6数据包进行安全检查;
8、在通过安全检查的ipv6数据包的扩展报头内添加安全信息标签;
9、通过网络入口处安全检查的ipv6数据包携带安全信息标签进入网络,在开展后续安全检查时,读取ipv6数据包携带的安全信息标签,并通过安全信息标签了解该数据包之前的安全检查信息以及安全检查结果;
10、根据安全信息标签携带的信息内容,以及本次安全检查内容,对ipv6数据包再次进行安全检查;
11、在ipv6数据包扩展报头的安全信息标签中添加本次安全检查的处理结果;
12、将完成所有安全检查的ipv6数据包发送至目的ip地址。
13、根据本专利技术上述技术方案的安全防护设备协同联动方法,还可以具有以下附加技术特征:
14、在上述技术方案中,所述ipv6数据包的ip数据报头包括固定报头和扩展报头;其中,通过处理ipv6报文的固定报头实现ipv6网络的基础功能,所述基础功能包括对数据表包进行转发;通过处理ipv6报文的扩展报头中记录的信息实现ipv6网络的扩展功能,所述扩展功能包括自定义网络功能。
15、在上述技术方案中,所述安全信息标签记录的信息包括安全防护设备本身的id和类型、安全检查结果以及验证信息。
16、在上述技术方案中,所述安全检查结果包括安全、可疑以及不安全。
17、在上述技术方案中,所述在网络入口对于流入网络的数据流中的每个ipv6数据包进行安全检查,包括:
18、判断ipv6数据包是否符合安全检查标准;
19、使符合安全检查标准的ipv6数据包进入下一步,并丢弃不符合安全检查标准的ipv6数据包。
20、在上述技术方案中,所述在通过安全检查的ipv6数据包的扩展报头内添加安全信息标签,包括:
21、向ipv6数据包添加一个新的扩展报头;
22、将安全信息标签添加至新建的扩展报头内。
23、在上述技术方案中,进入网络内部后开展的安全检查包括深度安全检测,根据安全信息标签内记录的信息,将深度安全检测的检测结果反馈给上一级安全检测,以在下一次不符合深度安全检测要求的ipv6数据包访问网络时直接过滤。
24、本专利技术还提供了一种安全防护设备协同联动系统,包括:
25、外部安全防护设备,部署在网络入口,至少用于对流入网络的数据流中的每个ipv6数据包进行安全检查;
26、内部安全防护设备,部署在网络内部,至少用于对流入网络内部的ipv6数据包进行深度安全检测;
27、其中,所述外部安全防护设备与内部安全防护设备之间采用如上述技术方案中任一项所述的安全防护设备协同联动方法构成横向协同防御。
28、本专利技术还提供了一种计算机设备,所述计算机设备包括处理器和存储器,所述存储器中存储有计算机程序,所述计算机程序由所述处理器加载并执行以实现如上述技术方案中任一项所述的安全防护设备协同联动方法。
29、本专利技术还提供了一种计算机可读存储介质,所述存储介质中存储有计算机程序,所述计算机程序由处理器加载并执行以实现如上述技术方案中任一项所述的安全防护设备协同联动方法。
30、综上所述,由于采用了上述技术特征,本专利技术的有益效果是:
31、采用本专利技术所设计的基于ipv6可扩展报头的多安全防护设备协同联动的防护方法,单个安全防护设备无需要知道其它安全防护设备的部署位置和接口,甚至无需知道是否部署了其它安全防护设备,只需要在处理ipv6数据包时,在其中插入新的扩展报头,即安全信息标签,记录其安全处理结果,就能够通过ip数据包的传输过程将自身产生的协同防御信息,如防御请求和防御参数,逐级传递到其它的安全防护设备,从而以较短的时延和较低的开销实现安全防护设备之间的“横向协同”防御。这种“横向协同”防御的模式更加灵活,与“纵向协同”防御模式结合在一起,能够极大的提高安全防护系统的运行效率。
32、本专利技术的附加方面和优点将在下面的描述部分中变得明显,或通过本专利技术的实践了解到。
本文档来自技高网...【技术保护点】
1.一种安全防护设备协同联动方法,其特征在于,包括以下步骤:
2.根据权利要求1所述的安全防护设备协同联动方法,其特征在于,所述IPv6数据包的IP数据报头包括固定报头和扩展报头;其中,通过处理IPv6报文的固定报头实现IPv6网络的基础功能,所述基础功能包括对数据表包进行转发;通过处理IPv6报文的扩展报头中记录的信息实现IPv6网络的扩展功能,所述扩展功能包括自定义网络功能。
3.根据权利要求1所述的安全防护设备协同联动方法,其特征在于,所述安全信息标签记录的信息包括安全防护设备本身的ID和类型、安全检查结果以及验证信息。
4.根据权利要求3所述的安全防护设备协同联动方法,其特征在于,所述安全检查结果包括安全、可疑以及不安全。
5.根据权利要求1所述的安全防护设备协同联动方法,其特征在于,所述在网络入口对于流入网络的数据流中的每个IPv6数据包进行安全检查,包括:
6.根据权利要求1所述的安全防护设备协同联动方法,其特征在于,所述在通过安全检查的IPv6数据包的扩展报头内添加安全信息标签,包括:
7.根据
8.一种安全防护设备协同联动系统,其特征在于,包括:
9.一种计算机设备,其特征在于,所述计算机设备包括处理器和存储器,所述存储器中存储有计算机程序,所述计算机程序由所述处理器加载并执行以实现如权利要求1至7中任一项所述的安全防护设备协同联动方法。
10.一种计算机可读存储介质,其特征在于,所述存储介质中存储有计算机程序,所述计算机程序由处理器加载并执行以实现如权利要求1至7中任一项所述的安全防护设备协同联动方法。
...【技术特征摘要】
1.一种安全防护设备协同联动方法,其特征在于,包括以下步骤:
2.根据权利要求1所述的安全防护设备协同联动方法,其特征在于,所述ipv6数据包的ip数据报头包括固定报头和扩展报头;其中,通过处理ipv6报文的固定报头实现ipv6网络的基础功能,所述基础功能包括对数据表包进行转发;通过处理ipv6报文的扩展报头中记录的信息实现ipv6网络的扩展功能,所述扩展功能包括自定义网络功能。
3.根据权利要求1所述的安全防护设备协同联动方法,其特征在于,所述安全信息标签记录的信息包括安全防护设备本身的id和类型、安全检查结果以及验证信息。
4.根据权利要求3所述的安全防护设备协同联动方法,其特征在于,所述安全检查结果包括安全、可疑以及不安全。
5.根据权利要求1所述的安全防护设备协同联动方法,其特征在于,所述在网络入口对于流入网络的数据流中的每个ipv6数据包进行安全检查,包括:
6.根据...
【专利技术属性】
技术研发人员:曾梦岐,刘坚,
申请(专利权)人:中国电子科技集团公司第三十研究所,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。