CN111695148B - 一种网络节点自学习的安全过滤方法及装置 - Google Patents
一种网络节点自学习的安全过滤方法及装置 Download PDFInfo
- Publication number
- CN111695148B CN111695148B CN202010412198.XA CN202010412198A CN111695148B CN 111695148 B CN111695148 B CN 111695148B CN 202010412198 A CN202010412198 A CN 202010412198A CN 111695148 B CN111695148 B CN 111695148B
- Authority
- CN
- China
- Prior art keywords
- network node
- data
- service terminal
- optimization condition
- attribute information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04N—PICTORIAL COMMUNICATION, e.g. TELEVISION
- H04N21/00—Selective content distribution, e.g. interactive television or video on demand [VOD]
- H04N21/20—Servers specifically adapted for the distribution of content, e.g. VOD servers; Operations thereof
- H04N21/25—Management operations performed by the server for facilitating the content distribution or administrating data related to end-users or client devices, e.g. end-user or client device authentication, learning user preferences for recommending movies
- H04N21/258—Client or end-user data management, e.g. managing client capabilities, user preferences or demographics, processing of multiple end-users preferences to derive collaborative data
- H04N21/25808—Management of client data
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04N—PICTORIAL COMMUNICATION, e.g. TELEVISION
- H04N21/00—Selective content distribution, e.g. interactive television or video on demand [VOD]
- H04N21/40—Client devices specifically adapted for the reception of or interaction with content, e.g. set-top-box [STB]; Operations thereof
- H04N21/47—End-user applications
- H04N21/472—End-user interface for requesting content, additional data or services; End-user interface for interacting with content, e.g. for content reservation or setting reminders, for requesting event notification, for manipulating displayed content
- H04N21/47202—End-user interface for requesting content, additional data or services; End-user interface for interacting with content, e.g. for content reservation or setting reminders, for requesting event notification, for manipulating displayed content for requesting content on demand, e.g. video on demand
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2141—Access rights, e.g. capability lists, access control lists, access tables, access matrices
Landscapes
- Engineering & Computer Science (AREA)
- Databases & Information Systems (AREA)
- Signal Processing (AREA)
- Multimedia (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- General Health & Medical Sciences (AREA)
- Computer Graphics (AREA)
- Bioethics (AREA)
- Health & Medical Sciences (AREA)
- Human Computer Interaction (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种网络节点自学习的安全过滤方法及装置,网络节点对转发的数据的属性信息进行自学习,在发现所述数据属性信息满足优化条件时,根据所述优化条件生成对应的控制表项,删除业务终端原来的数据表项。并将该优化条件发送给业务管理服务器,以便业务管理服务器判断业务终端的数据转发是否满足所述优化条件,在满足时不向网络节点发送白名单增减信息,否则向网络节点发送白名单增减信息。从而减少了业务管理服务器与网络节点之间的信令交互,也减少了网络节点上的控制表项数量。
Description
技术领域
本发明属于访问控制技术领域,尤其涉及一种网络节点自学习的安全过滤方法及装置。
背景技术
在集中式管理的信息系统中,管理服务器具有所有网络设备之间的交互信息,从而可以通过对网络节点的集中管控,下发白名单,在网络节点上添加控制表项,实现数据的转发控制。这种控制数据转发的控制表项一般是所有网络节点均支持的访问控制列表。
然而,由于网络节点的控制表项规格有限,采用静态访问控制列表会导致规格超标,无法适用于业务复杂的系统。动态访问控制列表由管理服务器随着与业务终端之间的交互而进行及时的增加/删除表项。即使如此,网络节点的访问控制列表的表项数量依旧十分紧张,从而导致系统无法采用深层控制表项,影响系统的安全性。
在集中式管理的信息系统中,业务管理服务器实现对所有业务终端和网络节点的控制。默认情况下,网络节点只允许网络基础协议数据和业务终端向业务管理服务器的注册消息通行,其他数据报文一概拒绝转发;当业务终端注册通过后,业务管理服务器才通知该业务终端对到业务管理服务器的路径上的所有网络节点对该业务终端放行该业务终端权限范围内可以交互的信令与数据,即增加白名单,当然该白名单必定包含该业务终端的IP地址。
但现有技术中,业务管理服务器为每一个业务终端向网络节点下发白名单通知消息,由于业务终端加入与退出频繁,导致业务管理服务器与网络节点之间的信令交互非常频繁,造成系统性能和网络带宽的占用都比较大,而且网络节点的访问控制列表的表项数量十分紧张。
发明内容
本申请的目的是提供种网络节点自学习的安全过滤方法及装置,用以减少业务管理服务器与网络节点之间的信令交互,也解决网络节点的控制表项数量紧张的问题。
为了实现上述目的,本申请技术方案如下:
一种网络节点自学习的安全过滤方法,应用于网络节点,包括:
网络节点获取业务终端的数据属性信息,在发现所述数据属性信息满足优化条件时,根据所述优化条件生成对应的控制表项,删除业务终端原来的控制表项;
网络节点将所述优化条件发送给业务管理服务器,以便业务管理服务器判断业务终端的数据转发是否满足所述优化条件,在满足时不向网络节点发送白名单增减信息,否则向网络节点发送白名单增减信息。
进一步的,所述网络节点获取业务终端的数据属性信息,在发现所述数据属性信息满足优化条件时,根据所述优化条件生成对应的控制表项,包括:
网络节点获取业务终端的数据属性信息,在发现业务终端的数据转发周期为T,每次转发数据的时长为固定第一时长时,判断满足优化条件,则按照所述周期T生成关于所述业务终端的控制表项,所述控制表项允许所述业务终端的数据通过,每次生成的所述控制表项在所述第一时长结束后删除。
进一步的,所述网络节点获取业务终端的数据属性信息,在所述数据属性信息满足优化条件时,根据所述优化条件生成对应的控制表项,包括:
网络节点获取业务终端的数据属性信息,判断转发业务终端的数据的物理端口是否是安全端口;
在判断所述物理端口是安全端口后,判断满足优化条件,设置对应所述物理端口的控制表项,允许从所述物理端口转发的数据通过,并删除转发端口为所述物理端口的其他控制表项。
进一步的,所述判断所述物理端口是否是安全端口,包括:
网络节点在发现所述物理端口转发的数据的属性信息在预设的时间内固定,则判断该物理端口是安全端口。
进一步的,所述网络节点自学习的安全过滤方法,还包括:
网络节点在接收到业务管理服务器下发的白名单增减信息后,删除根据所述优化条件生成对应的控制表项,按照白名单增减信息重新生成控制表项。
本申请还提出了一种网络节点自学习的安全过滤装置,应用于网络节点,包括:
自学习模块,用于获取业务终端的数据属性信息,在发现所述数据属性信息满足优化条件时,根据所述优化条件生成对应的控制表项,删除业务终端原来的控制表项;
交互模块,用于将所述优化条件发送给业务管理服务器,以便业务管理服务器判断业务终端的数据转发是否满足所述优化条件,在满足时不向网络节点发送白名单增减信息,否则向网络节点发送白名单增减信息。
进一步的,所述自学习模块获取业务终端的数据属性信息,在发现所述数据属性信息满足优化条件时,根据所述优化条件生成对应的控制表项,执行如下操作:
获取业务终端的数据属性信息,在发现业务终端的数据转发周期为T,每次转发数据的时长为固定第一时长时,判断满足优化条件,则按照所述周期T生成关于所述业务终端的控制表项,所述控制表项允许所述业务终端的数据通过,每次生成的所述控制表项在所述第一时长结束后删除。
进一步的,所述自学习模块获取业务终端的数据属性信息,在所述数据属性信息满足优化条件时,根据所述优化条件生成对应的控制表项,执行如下操作:
获取业务终端的数据属性信息,判断转发业务终端的数据的物理端口是否是安全端口;
在判断所述物理端口是安全端口后,判断满足优化条件,设置对应所述物理端口的控制表项,允许从所述物理端口转发的数据通过,并删除转发端口为所述物理端口的其他控制表项。
进一步的,所述判断所述物理端口是否是安全端口,包括:
网络节点在发现所述物理端口转发的数据的属性信息在预设的时间内固定,则判断该物理端口是安全端口。
进一步的,所述交互模块,还用于执行如下操作:
在接收到业务管理服务器下发的白名单增减信息后,删除根据所述优化条件生成对应的控制表项,按照白名单增减信息重新生成控制表项。
本申请提出的一种网络节点自学习的安全过滤方法及装置,网络节点对转发的数据的属性信息进行自学习,在发现所述数据属性信息满足优化条件时,根据所述优化条件生成对应的控制表项,删除业务终端原来的数据表项。并将该优化条件发送给业务管理服务器,以便业务管理服务器判断业务终端的数据转发是否满足所述优化条件,在满足时不向网络节点发送白名单增减信息,否则向网络节点发送白名单增减信息。从而减少了业务管理服务器与网络节点之间的信令交互,也减少了网络节点上的控制表项数量。
附图说明
图1为本申请一种网络节点自学习的安全过滤方法流程图。
具体实施方式
为了使本申请的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本申请进行进一步详细说明。应当理解,此处描述的具体实施例仅用以解释本申请,并不用于限定本申请。
在集中式管理的信息系统中,随着业务开展,网络节点上白名单允许的控制表项会比较多,业务终端到它需要交互的其他终端的路径上网络节点也会增加相应的白名单控制表项。虽然白名单会随着业务的阶段不同而不断增加删除,但网络节点的转发芯片的控制表项依然十分紧张。此外,业务管理服务器在业务终端向其注册后,需要向相关的网络节点下发白名单,与网络节点进行信令交互。由于系统中业务终端数量非常多,这种信令交互非常频繁。本申请的总体思路是减少业务管理服务器与网络节点的信令交互,同时对网络节点上的控制表项进行必要的优化处理,以减少控制表项。
在一个实施例中,如图1所示,提供了一种网络节点自学习的安全过滤方法,应用于网络节点,其特征在于,所述网络节点自学习的安全过滤方法,包括:
网络节点获取业务终端的数据属性信息,在发现所述数据属性信息满足优化条件时,根据所述优化条件生成对应的控制表项,删除业务终端原来的控制表项;
网络节点将所述优化条件发送给业务管理服务器,以便业务管理服务器判断业务终端的数据转发是否满足所述优化条件,在满足时不向网络节点发送白名单增减信息,否则向网络节点发送白名单增减信息。
在本实施例中,网络节点负责数据的转发,例如在视频监控系统中,视频管理服务器是业务管理服务器,而摄像机、视频客户端等都是业务终端。摄像机采集视频图像数据,视频客户端查看摄像机采集的视频图像数据,摄像机采集的视频图像数据通过网络节点发送到视频客户端。在网络节点上设置控制表项,控制数据的转发。
通常来说,视频客户端都需要注册到视频管理服务器,在视频客户端查看视频源的视频图像,需要与视频管理服务器进行交互,先进行注册。视频客户端与视频管理服务器之间的网络节点,例如路由器、交换机、网关设备等,首先只允许网络基础协议数据和视频客户端向视频管理服务器的注册消息通行,其他数据报文一概拒绝转发。当视频客户端注册通过后,视频管理服务器向网络节点下发白名单信息,通知路径上的所有网络节点对该业务终端放行该视频客户端权限范围内可以交互的信令与数据,即在网络节点上增加白名单控制表项。同样,对于摄像机也需要先注册到视频管理服务器,摄像机到视频管理服务器之间的网络节点,也同样接收到视频管理服务器下发的白名单,生成白名单控制表项进行数据转发。
以下直接以业务终端、业务管理服务器和网络节点进行说明,不限于具体的应用系统,可以是视频监控系统,也可以是其他通信系统。
网络节点在转发数据时,很容易学习到所转发数据的属性信息,属性信息可以是五元组信息,包括源IP地址和端口号、目的IP地址和端口号、传输协议。容易理解的是,数据的属性信息还可以进一步包括服务类型以及接口索引等,本申请不限于具体的属性信息内容,网络节点可以通过数据的属性信息识别出数据从哪里来,到哪里去,从而知道哪些业务终端点播哪些摄像机的数据。此外,数据的属性信息还可以包括数据发送的物理端口、发送的时长、数据发送的开始时间和结束时间等等,网络节点还可以记录数据发送的时间和时长,从而分析出数据的转发规律。
本申请利用网络节点对所转发数据的自学习,可以掌握所发送数据的属性信息,进一步进行分析后,可以掌握数据发送的规律。从而可以通过预先设定的一些优化条件,分析数据发送的规律是否满足优化条件,在满足优化条件时,根据所述优化条件生成对应的控制表项进行数据的转发,从而可以删除网络节点转发该数据时原有的多个控制表项,减少控制表项的数量。这里原有的多个控制表项,是网络节点对应每个业务终端的控制表项,在业务管理服务器下发白名单后,由网络节点生成并下发到网络节点的转发芯片,属于现有比较成熟的技术,这里不再赘述。
其中的一个具体实施例,所述网络节点获取业务终端的数据属性信息,在发现所述数据属性信息满足优化条件时,根据所述优化条件生成对应的控制表项,包括:
网络节点获取业务终端的数据属性信息,在发现业务终端的数据转发周期为T,每次转发数据的时长为固定第一时长时,判断满足优化条件,则按照所述周期T生成关于所述业务终端的控制表项,所述控制表项允许所述业务终端的数据通过,每次生成的所述控制表项在所述第一时长结束后删除。
在本实施例中,优化条件就是看所转发的业务终端的数据是否按照固定的周期转发,每个周期转发是否是固定时长。
举例来说,视频监控系统中很大一部分摄像机的点播来自视频客户端的轮播,这意味着某几个摄像机会被周期性的点播。网络节点通过自学习,可以学习到某个摄像机以周期为T被点播,每次点播N秒等信息。
假设发现摄像机A被周期性点播,周期为T,每次点播N秒(第一时长)。
于是网络节点决定从某时刻起每隔T时间段生成关于该摄像机A的控制表项N秒,控制表项生成后,允许所述摄像机A的数据通过,在N秒后删除所述控制表项。然后过周期T后,再生成摄像机A的控制表项N秒,如此循环。
本实施例中,网络节点将这种每隔T时间段生成关于该摄像机A的控制表项N秒的信息发送给业务管理服务器。在这种情况下,业务管理服务器可以判断所述摄像机A是否满足所述轮播的周期和第一时长,即是否以周期T被点播N秒,如果是,则说明摄像机A符合学习到的规律,按照这个规律网络节点会自动生成控制表项,进行数据的转发,不需要业务管理服务器下发白名单来通知网络节点生成控制表项,从而业务管理服务器不需要在每次有业务终端来点播摄像机A时,都需要下发白名单通知网络节点,大大节省了业务管理服务器与网络节点的信令交互次数。
只有在业务管理服务器发现,业务终端点播摄像机A的行为不满足上述规律时,才向网络节点下发白名单增加或减少的通知信息。
例如,业务管理服务器在发现摄像机A被以周期T每次点播N秒时,在每次被点播时,不向摄像机A下发白名单通知信息。此时网络节点自动每隔T时间段生成关于该摄像机A的控制表项N秒,进行数据的转发。
而当业务管理服务器发现摄像机A的点播周期与T不同,或者点播市场与N不同,又或者有新增的业务终端对摄像机A进行点播,又或者原先点播摄像机A的业务终端退出等等情况时,需要及时的向网络节点发送白名单信息,以便网络节点根据白名单生成对应的控制表项,来进行数据的转发。关于业务管理服务器向网络节点下发白名单,网络节点生成对应的控制表项,这里不再赘述。
另一个具体实施例,本申请所述网络节点获取业务终端的数据属性信息,在所述数据属性信息满足优化条件时,根据所述优化条件生成对应的控制表项,包括:
网络节点获取业务终端的数据属性信息,判断转发业务终端的数据的物理端口是否是安全端口;
在判断所述物理端口是安全端口后,判断满足优化条件,设置对应所述物理端口的控制表项,允许从所述物理端口转发的数据通过,并删除转发端口为所述物理端口的其他控制表项。
本实施例中,将优化条件设置检测物理端口是否为安全端口。以下通过具体例子,来阐述如何判断物理端口是否是安全端口,其中的一个实施例,判断物理端口是否是安全端口,包括:
网络节点在发现所述物理端口转发的数据的属性信息在预设的时间内固定,则判断该物理端口是安全端口。
例如,如果某些物理端口(例如物理端口A)上发送的数据的五元组信息长时间(如超过1个月)固定,即只有若干个特定的五元组的数据从该物理端口A进入,则设定物理端口A为安全端口。在网络节点控制表项紧张的情况下,网络节点自决策给自身转发芯片下发一个包含该入端口的(*,*,入端口A)表项,意味着从该物理端口A进来的所有数据一律放行,删除入端口为该物理端口A的其他控制表项,从而节约控制表项。
需要说明的是,本实施例认定某个物理端口是安全端口,采用观察该物理端口上的数据的五元组信息受否是特定的几个,以及是否长时间如此运行,如果是则认为是安全端口。对于如何认定某个物理端口是否是安全端口,还可以采用其他方法来判定,例如观察该物理端口上收到的报文,如果高频率的收到同一类型的相似报文,意味着是不安全端口,相反则认为是安全端口。关于安全端口的认定方法,本申请实施例不再进行赘述。
需要说明的是,当业务管理服务器发现业务终端的数据不再满足优化条件时,则按照现有的技术方案,向网络节点下发白名单增减信息,而网络节点在接收到业务管理服务器下发的白名单增减信息后,删除根据所述优化条件生成对应的控制表项,按照白名单增减信息重新生成控制表项。网络节点按照白名单增减信息重新生成控制表项,进行数据的转发,与传统技术中按照白名单生成控制表项一样,这里不再赘述。
在一个实施例中,本申请还提供了一种网络节点自学习的安全过滤装置,应用于网络节点,包括:
自学习模块,用于获取业务终端的数据属性信息,在发现所述数据属性信息满足优化条件时,根据所述优化条件生成对应的控制表项,删除业务终端原来的控制表项;
交互模块,用于将所述优化条件发送给业务管理服务器,以便业务管理服务器判断业务终端的数据转发是否满足所述优化条件,在满足时不向网络节点发送白名单增减信息,否则向网络节点发送白名单增减信息。
关于网络节点自学习的安全过滤装置的具体限定可以参见上文中对于网络节点自学习的安全过滤方法的限定,在此不再赘述。上述网络节点自学习的安全过滤装置中的各个模块可全部或部分通过软件、硬件及其组合来实现。上述各模块可以硬件形式内嵌于或独立于计算机设备中的处理器中,也可以以软件形式存储于计算机设备中的存储器中,以便于处理器调用执行以上各个模块对应的操作。
与网络节点自学习的安全过滤方法对应的,本装置的一个实施例,所述自学习模块获取业务终端的数据属性信息,在发现所述数据属性信息满足优化条件时,根据所述优化条件生成对应的控制表项,执行如下操作:
获取业务终端的数据属性信息,在发现业务终端的数据转发周期为T,每次转发数据的时长为固定第一时长时,判断满足优化条件,则按照所述周期T生成关于所述业务终端的控制表项,所述控制表项允许所述业务终端的数据通过,每次生成的所述控制表项在所述第一时长结束后删除。
本装置的另一个实施例,所述自学习模块获取业务终端的数据属性信息,在所述数据属性信息满足优化条件时,根据所述优化条件生成对应的控制表项,执行如下操作:
获取业务终端的数据属性信息,判断转发业务终端的数据的物理端口是否是安全端口;
在判断所述物理端口是安全端口后,判断满足优化条件,设置对应所述物理端口的控制表项,允许从所述物理端口转发的数据通过,并删除转发端口为所述物理端口的其他控制表项。
本装置的另一个实施例,所述判断所述物理端口是否是安全端口,包括:
网络节点在发现所述物理端口转发的数据的属性信息在预设的时间内固定,则判断该物理端口是安全端口。
本装置的另一个实施例,所述交互模块,还用于执行如下操作:
在接收到业务管理服务器下发的白名单增减信息后,删除根据所述优化条件生成对应的控制表项,按照白名单增减信息重新生成控制表项。
以上所述实施例仅表达了本申请的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本申请构思的前提下,还可以做出若干变形和改进,这些都属于本申请的保护范围。因此,本申请专利的保护范围应以所附权利要求为准。
Claims (8)
1.一种网络节点自学习的安全过滤方法,应用于网络节点,其特征在于,所述网络节点自学习的安全过滤方法,包括:
网络节点获取业务终端的数据属性信息,在发现所述数据属性信息满足优化条件时,根据所述优化条件生成对应的控制表项,删除业务终端原来的控制表项;
网络节点将所述优化条件发送给业务管理服务器,以便业务管理服务器判断业务终端的数据转发是否满足所述优化条件,在满足时不向网络节点发送白名单增减信息,否则向网络节点发送白名单增减信息;
其中,所述网络节点获取业务终端的数据属性信息,在发现所述数据属性信息满足优化条件时,根据所述优化条件生成对应的控制表项,包括:
网络节点获取业务终端的数据属性信息,在发现业务终端的数据转发周期为T,每次转发数据的时长为固定第一时长时,判断满足优化条件,则按照所述周期T生成关于所述业务终端的控制表项,所述控制表项允许所述业务终端的数据通过,每次生成的所述控制表项在所述第一时长结束后删除。
2.根据权利要求1所述的网络节点自学习的安全过滤方法,其特征在于,所述网络节点获取业务终端的数据属性信息,在所述数据属性信息满足优化条件时,根据所述优化条件生成对应的控制表项,包括:
网络节点获取业务终端的数据属性信息,判断转发业务终端的数据的物理端口是否是安全端口;
在判断所述物理端口是安全端口后,判断满足优化条件,设置对应所述物理端口的控制表项,允许从所述物理端口转发的数据通过,并删除转发端口为所述物理端口的其他控制表项。
3.根据权利要求2所述的网络节点自学习的安全过滤方法,其特征在于,所述判断所述物理端口是否是安全端口,包括:
网络节点在发现所述物理端口转发的数据的属性信息在预设的时间内固定,则判断该物理端口是安全端口。
4.根据权利要求1所述的网络节点自学习的安全过滤方法,其特征在于,所述网络节点自学习的安全过滤方法,还包括:
网络节点在接收到业务管理服务器下发的白名单增减信息后,删除根据所述优化条件生成对应的控制表项,按照白名单增减信息重新生成控制表项。
5.一种网络节点自学习的安全过滤装置,应用于网络节点,其特征在于,所述网络节点自学习的安全过滤装置,包括:
自学习模块,用于获取业务终端的数据属性信息,在发现所述数据属性信息满足优化条件时,根据所述优化条件生成对应的控制表项,删除业务终端原来的控制表项;
交互模块,用于将所述优化条件发送给业务管理服务器,以便业务管理服务器判断业务终端的数据转发是否满足所述优化条件,在满足时不向网络节点发送白名单增减信息,否则向网络节点发送白名单增减信息;
其中,所述自学习模块获取业务终端的数据属性信息,在发现所述数据属性信息满足优化条件时,根据所述优化条件生成对应的控制表项,执行如下操作:
获取业务终端的数据属性信息,在发现业务终端的数据转发周期为T,每次转发数据的时长为固定第一时长时,判断满足优化条件,则按照所述周期T生成关于所述业务终端的控制表项,所述控制表项允许所述业务终端的数据通过,每次生成的所述控制表项在所述第一时长结束后删除。
6.根据权利要求5所述的网络节点自学习的安全过滤装置,其特征在于,所述自学习模块获取业务终端的数据属性信息,在所述数据属性信息满足优化条件时,根据所述优化条件生成对应的控制表项,执行如下操作:
获取业务终端的数据属性信息,判断转发业务终端的数据的物理端口是否是安全端口;
在判断所述物理端口是安全端口后,判断满足优化条件,设置对应所述物理端口的控制表项,允许从所述物理端口转发的数据通过,并删除转发端口为所述物理端口的其他控制表项。
7.根据权利要求6所述的网络节点自学习的安全过滤装置,其特征在于,所述判断所述物理端口是否是安全端口,包括:
网络节点在发现所述物理端口转发的数据的属性信息在预设的时间内固定,则判断该物理端口是安全端口。
8.根据权利要求5所述的网络节点自学习的安全过滤装置,其特征在于,所述交互模块,还用于执行如下操作:
在接收到业务管理服务器下发的白名单增减信息后,删除根据所述优化条件生成对应的控制表项,按照白名单增减信息重新生成控制表项。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010412198.XA CN111695148B (zh) | 2020-05-15 | 2020-05-15 | 一种网络节点自学习的安全过滤方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010412198.XA CN111695148B (zh) | 2020-05-15 | 2020-05-15 | 一种网络节点自学习的安全过滤方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111695148A CN111695148A (zh) | 2020-09-22 |
| CN111695148B true CN111695148B (zh) | 2023-07-04 |
Family
ID=72477833
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010412198.XA Active CN111695148B (zh) | 2020-05-15 | 2020-05-15 | 一种网络节点自学习的安全过滤方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111695148B (zh) |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CA2587867A1 (en) * | 2006-05-08 | 2007-11-08 | Electro Guard Corporation | Network security device |
| WO2012151904A1 (zh) * | 2011-08-19 | 2012-11-15 | 中兴通讯股份有限公司 | 一种数据报文转发方法及装置 |
| CN104767757A (zh) * | 2015-04-17 | 2015-07-08 | 国家电网公司 | 基于web业务的多维度安全监测方法和系统 |
| CN109274673A (zh) * | 2018-09-26 | 2019-01-25 | 广东工业大学 | 一种网络流量异常检测和防御方法 |
| CN109314708A (zh) * | 2016-06-10 | 2019-02-05 | 微软技术许可有限责任公司 | 网络可访问性检测控制 |
| CN110378103A (zh) * | 2019-07-22 | 2019-10-25 | 电子科技大学 | 一种基于OpenFlow协议的微隔离防护方法及系统 |
Family Cites Families (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20050132060A1 (en) * | 2003-12-15 | 2005-06-16 | Richard Mo | Systems and methods for preventing spam and denial of service attacks in messaging, packet multimedia, and other networks |
| US7222158B2 (en) * | 2003-12-31 | 2007-05-22 | Aol Llc | Third party provided transactional white-listing for filtering electronic communications |
| US20080002711A1 (en) * | 2006-06-30 | 2008-01-03 | Bugenhagen Michael K | System and method for access state based service options |
| CN100591044C (zh) * | 2006-10-16 | 2010-02-17 | 华为技术有限公司 | 建立转发过滤表的方法与装置 |
| WO2013082793A1 (zh) * | 2011-12-08 | 2013-06-13 | 华为技术有限公司 | 控制业务的传输的方法、装置和系统 |
| CN110022227A (zh) * | 2019-03-07 | 2019-07-16 | 阿里巴巴集团控股有限公司 | 业务处理方法、装置、设备及存储介质 |
-
2020
- 2020-05-15 CN CN202010412198.XA patent/CN111695148B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CA2587867A1 (en) * | 2006-05-08 | 2007-11-08 | Electro Guard Corporation | Network security device |
| WO2012151904A1 (zh) * | 2011-08-19 | 2012-11-15 | 中兴通讯股份有限公司 | 一种数据报文转发方法及装置 |
| CN104767757A (zh) * | 2015-04-17 | 2015-07-08 | 国家电网公司 | 基于web业务的多维度安全监测方法和系统 |
| CN109314708A (zh) * | 2016-06-10 | 2019-02-05 | 微软技术许可有限责任公司 | 网络可访问性检测控制 |
| CN109274673A (zh) * | 2018-09-26 | 2019-01-25 | 广东工业大学 | 一种网络流量异常检测和防御方法 |
| CN110378103A (zh) * | 2019-07-22 | 2019-10-25 | 电子科技大学 | 一种基于OpenFlow协议的微隔离防护方法及系统 |
Non-Patent Citations (1)
| Title |
|---|
| 基于深度包检测的防火墙系统设计;路琪;黄芝平;鲁佳琪;;计算机科学(第S2期);全文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN111695148A (zh) | 2020-09-22 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10812314B2 (en) | Methods and apparatuses for pushing a message | |
| CN108964963B (zh) | 一种基于视联网的告警系统及实现告警的方法 | |
| CN110647698B (zh) | 页面加载方法、装置、电子设备及可读存储介质 | |
| CN108737447B (zh) | 用户数据报协议流量过滤方法、装置、服务器及存储介质 | |
| CN106130962B (zh) | 一种报文处理方法和装置 | |
| US10911970B2 (en) | Method and apparatus for detecting time series data | |
| US10476746B2 (en) | Network management method, device, and system | |
| CN104883363A (zh) | 异常访问行为分析方法及装置 | |
| CN107769992B (zh) | 一种报文解析分流方法及装置 | |
| US20220353314A1 (en) | Network data scheduling method and edge node thereof | |
| CN111211936B (zh) | 一种基于网络状态的数据处理方法和装置 | |
| CN111695148B (zh) | 一种网络节点自学习的安全过滤方法及装置 | |
| US20190036793A1 (en) | Network service implementation method, service controller, and communications system | |
| US20160191368A1 (en) | Information processing device, method, and medium | |
| CN117319982B (zh) | 一种基于边缘计算的未注册传感器主动发现方法及装置 | |
| CN111614726A (zh) | 一种数据转发方法、集群系统及存储介质 | |
| CN111224891A (zh) | 一种基于动态学习三元组的流量应用识别系统及方法 | |
| CN108965219B (zh) | 一种基于视联网的数据处理方法及装置 | |
| CN111629276A (zh) | 一种控制表项自转换的安全过滤方法及装置 | |
| CN114826790A (zh) | 一种区块链监测方法、装置、设备及存储介质 | |
| CN113608778A (zh) | 应用管理方法及装置、存储介质、电子设备 | |
| CN111431930A (zh) | 流量清洗方法及相关设备 | |
| CN111629275B (zh) | 一种组播表项自聚合的安全过滤方法 | |
| WO2024152685A1 (zh) | 通信方法、装置、计算机可读介质及电子设备 | |
| CN111695150B (zh) | 一种动态粒度自聚合的安全过滤方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |