一种网络安全防护方法及网络安全防护系统技术方案

技术编号:14164991 阅读:116 留言:0更新日期:2016-12-12 12:27
本发明专利技术公开了一种网络安全防护方法及网络安全系统,用于提高未知攻击方式的防护,以及对恶意攻击的判定,使得业务系统更加安全。本发明专利技术实施例方法包括:安全代理接收请求数据流;安全代理将请求数据流发送至影子系统;监视器监控影子系统执行请求数据流,得到监控结果,并将监控结果发送至安全代理;安全代理判断监控结果是否符合安全标准;若是,则安全代理将请求数据流转发至业务系统。

【技术实现步骤摘要】

本专利技术涉及互联网
,尤其涉及一种网络安全防护方法及网络安全防护系统
技术介绍
互联网技术的快速发展给传统业务带来了革命性的变化,许多的企业将业务迁移到互联网上,极大的方便了人们的生活,但也带来了许多的安全问题。攻击者通过对系统漏洞和业务漏洞等进行利用从而谋取相关的利益。现有的安全解决方案以攻击方式和漏洞为中心,通过对现有攻击方式和漏洞的分析,提取字符串和正则表达式等作为规则描述的静态特征,通过基于静态特征匹配的方式找到并清除已知的威胁。但是现有的安全解决方案存在如下的问题:(1)、云漏洞扫描平台及众测平台的发展如火如荼,每天都有大量未知的漏洞被曝出来。现有的安全解决方案基于对已知的攻击方式和漏洞进行防御,不能对未知的漏洞利用和新的攻击方式进行防护。(2)、基于字符串及正则表达式匹配的方式,如下一代防火墙(Next Generation Firewall,NGFW)通过对参数的内容进行特征匹配来判断是否是攻击,有些业务系统本身正常业务参数之间传的就是SQL语句,被特征匹配上从而阻断了客户正常的业务。现有的安全解决方案只是单纯静态的看数据流的内容,而不清楚上下文和语义,无法区分是正常的业务还是攻击者的恶意行为。(3)、现有的安全解决方案基于对内容的识别,无法处理加密的数据,且无法确定是否是有效的攻击,产生大量无用的日志,比如,有些仅仅是攻击者的扫描,服务器实际并不存在这个漏洞。
技术实现思路
本专利技术提供了一种网络安全防护方法及网络安全防护系统,用于提高未知攻击方式的防护,以及对恶意攻击的判定,使得业务系统更加安全。本专利技术第一方面提供一种网络安全防护方法,应用于网络安全防护系统,所述网络安全防护系统包括安全代理、业务系统及影子系统,所述影子系统包括监视器,所述网络安全防护方法包括:所述安全代理接收请求数据流;所述安全代理将所述请求数据流发送至所述影子系统;所述监视器监控所述影子系统执行所述请求数据流,得到监控结果,并将所述监控结果发送至所述安全代理;所述安全代理判断所述监控结果是否符合安全标准;若是,则所述安全代理将所述请求数据流转发至所述业务系统。结合本专利技术第一方面,本专利技术第一方面第一实施方式中,所述监视器监控所述影子系统执行所述请求数据流,得到监控结果,并将所述监控结果发送至所述安全代理,包括:所述影子系统执行所述请求数据流;所述监视器对所述影子系统执行所述请求数据流进行监控,得到监控结果;所述监视器将所述监控结果发送至所述安全代理。结合本专利技术第一方面第一实施方式,本专利技术第一方面第二实施方式中,所述安全代理将所述请求数据流发送至所述影子系统,包括:所述安全代理将所述请求数据流镜像至所述影子系统。结合本专利技术第一方面第二实施方式,本专利技术第一方面第三实施方式中,所述影子系统执行所述请求数据流之前,还包括:所述影子系统对所述业务系统进行复制。结合本专利技术第一方面、第一方面第一实施方式、第一方面第二实施方式或第一方面第三实施方式,本专利技术第一方面第四实施方式中,所述方法还包括:若所述请求数据流不符合安全标准,则所述安全代理不向所述业务系统转发所述请求数据流。本专利技术第二方面提供一种网络安全防护系统,包括:安全代理、业务系统及影子系统,所述影子系统包括监视器;所述安全代理,用于接收请求数据流;所述安全代理,还用于将所述请求数据流发送至所述影子系统;所述监视器,用于监控所述影子系统执行所述请求数据流,得到监控结果,并将所述监控结果发送至所述安全代理;所述安全代理,还用于判断所述监控结果是否符合安全标准;所述安全代理,还用于当所述监控结果符合安全标准时,将所述请求数据流转发至所述业务系统。结合本专利技术第二方面,本专利技术第二方面第一实施方式中,所述影子系统,用于执行所述请求数据流;所述监视器,还用于对所述影子系统执行所述请求数据流进行监控,得到监控结果;所述监视器,还用于将所述监控结果发送至所述安全代理。结合本专利技术第二方面第一实施方式,本专利技术第二方面第二实施方式中,所述安全代理,还用于将所述请求数据流镜像至所述影子系统。结合本专利技术第二方面第二实施方式,本专利技术第二方面第三实施方式中,所述影子系统,还用于对所述业务系统进行复制。结合本专利技术第二方面、第二方面第一实施方式、第二方面第二实施方式或第二方面第三实施方式,本专利技术第二方面第四实施方式中,所述安全代理,还用于当所述监控结果不符合安全标准时,不向所述业务系统转发所述请求数据流。综上所述,本专利技术实施例具有以下优点:安全代理接收请求数据流;安全代理将请求数据流发送至影子系统;监视器监控影子系统执行请求数据流,得到监控结果,并将监控结果发送至安全代理;安全代理判断监控结果是否符合安全标准;若是,则安全代理将请求数据流转发至业务系统,与现有技术相比,由于影子系统预先执行了请求数据流,并且安全代理只向业务系统转发安全的请求数据流,因此,可以对未知的漏洞利用和新的攻击方式进行防护,可以准确的区分是正常的业务还是攻击者的恶意行为,使得业务系统更加安全。附图说明为了更清楚地说明本专利技术实施例技术方案,下面将对实施例和现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本专利技术的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其它的附图。图1为本专利技术基于超融合技术的网络安全防护框架示意图;图2为本专利技术实施例中网络安全防护方法的一个实施例示意图;图3为本专利技术实施例中网络安全防护方法的另一个实施例示意图;图4为本专利技术实施例中网络安全防护系统的一个实施例示意图。具体实施方式本专利技术提供了一种网络安全防护方法及网络安全防护系统,用于提高未知攻击方式的防护,以及对恶意攻击的判定,使得业务系统更加安全。为了使本
的人员更好地理解本专利技术方案,下面将结合本专利技术实施例中的附图,对本专利技术实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本专利技术一部分的实施例,而不是全部的实施例。基于本专利技术中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本专利技术保护的范围。本专利技术构建了基于超融合技术的网络安全防护框架示意图,超融合技术是将虚拟计算平台和存储融合到一起,将每台服务器里面自带的硬盘组成存储池,以虚拟化的形式提供数据中心所需要的计算、网络、安全以及存储等IT基础架构。如图1所示,包括安全代理、业务系统及影子系统,影子系统具有监视器。安全代理作为控制器,负责接收来自互联网的请求数据流,以及根据影子系统返回的监控结果决定是将请求数据流转发到业务系统还是阻断请求。安全代理可以是一台单独的网关设备,设置在业务系统的边界,也可以作为一个虚拟机运行在超融合系统里面。影子系统对现有的业务系统进行了复制,可以模拟现有的业务系统对请求数据流响应的一切操作。监视器负责对影子系统的环境进行了监控,监控影子系统执行请求数据流对系统产生的行为。下面通过实施例对网络安全防护方法进行详细说明。请参阅图2,本专利技术实施例中网络安全防护方法的一个实施例包括:201、安全代理接收请求数据流;本实施例中,当网络安全防护系统以外的互联网需要访问并请求业务系统的响应时,安全代理接收请求数据流,请求数据流可以是向业务系统传输数据、请求本文档来自技高网
...
一种网络安全防护方法及网络安全防护系统

【技术保护点】
一种网络安全防护方法,其特征在于,应用于网络安全防护系统,所述网络安全防护系统包括安全代理、业务系统及影子系统,所述影子系统包括监视器,所述网络安全防护方法包括:所述安全代理接收请求数据流;所述安全代理将所述请求数据流发送至所述影子系统;所述监视器监控所述影子系统执行所述请求数据流,得到监控结果,并将所述监控结果发送至所述安全代理;所述安全代理判断所述监控结果是否符合安全标准;若是,则所述安全代理将所述请求数据流转发至所述业务系统。

【技术特征摘要】
1.一种网络安全防护方法,其特征在于,应用于网络安全防护系统,所述网络安全防护系统包括安全代理、业务系统及影子系统,所述影子系统包括监视器,所述网络安全防护方法包括:所述安全代理接收请求数据流;所述安全代理将所述请求数据流发送至所述影子系统;所述监视器监控所述影子系统执行所述请求数据流,得到监控结果,并将所述监控结果发送至所述安全代理;所述安全代理判断所述监控结果是否符合安全标准;若是,则所述安全代理将所述请求数据流转发至所述业务系统。2.根据权利要求1所述的网络安全防护方法,其特征在于,所述监视器监控所述影子系统执行所述请求数据流,得到监控结果,并将所述监控结果发送至所述安全代理,包括:所述影子系统执行所述请求数据流;所述监视器对所述影子系统执行所述请求数据流进行监控,得到监控结果;所述监视器将所述监控结果发送至所述安全代理。3.根据权利要求2所述的网络安全防护方法,其特征在于,所述安全代理将所述请求数据流发送至所述影子系统,包括:所述安全代理将所述请求数据流镜像至所述影子系统。4.根据权利要求3所述的网络安全防护方法,其特征在于,所述影子系统执行所述请求数据流之前,还包括:所述影子系统对所述业务系统进行复制。5.根据权利要求1至4中任一项所述的网络安全防护方法,其特征在于,所述方法...

【专利技术属性】
技术研发人员:李凯赵振洋
申请(专利权)人:深圳市深信服电子科技有限公司
类型:发明
国别省市:广东;44

网友询问留言 已有0条评论
  • 还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。

1