一种网络安全防护方法及网络安全防护系统与流程

本发明涉及互联网技术领域，尤其涉及一种网络安全防护方法及网络安全防护系统。

背景技术：

互联网技术的快速发展给传统业务带来了革命性的变化，许多的企业将业务迁移到互联网上，极大的方便了人们的生活，但也带来了许多的安全问题。攻击者通过对系统漏洞和业务漏洞等进行利用从而谋取相关的利益。

现有的安全解决方案以攻击方式和漏洞为中心，通过对现有攻击方式和漏洞的分析，提取字符串和正则表达式等作为规则描述的静态特征，通过基于静态特征匹配的方式找到并清除已知的威胁。

但是现有的安全解决方案存在如下的问题：

(1)、云漏洞扫描平台及众测平台的发展如火如荼，每天都有大量未知的漏洞被曝出来。现有的安全解决方案基于对已知的攻击方式和漏洞进行防御，不能对未知的漏洞利用和新的攻击方式进行防护。

(2)、基于字符串及正则表达式匹配的方式，如下一代防火墙(Next Generation Firewall，NGFW)通过对参数的内容进行特征匹配来判断是否是攻击，有些业务系统本身正常业务参数之间传的就是SQL语句，被特征匹配上从而阻断了客户正常的业务。现有的安全解决方案只是单纯静态的看数据流的内容，而不清楚上下文和语义，无法区分是正常的业务还是攻击者的恶意行为。

(3)、现有的安全解决方案基于对内容的识别，无法处理加密的数据，且无法确定是否是有效的攻击，产生大量无用的日志，比如，有些仅仅是攻击者的扫描，服务器实际并不存在这个漏洞。

技术实现要素：

本发明提供了一种网络安全防护方法及网络安全防护系统，用于提高未知攻击方式的防护，以及对恶意攻击的判定，使得业务系统更加安全。

本发明第一方面提供一种网络安全防护方法，应用于网络安全防护系统，所述网络安全防护系统包括安全代理、业务系统及影子系统，所述影子系统包括监视器，所述网络安全防护方法包括：

所述安全代理接收请求数据流；

所述安全代理将所述请求数据流发送至所述影子系统；

所述监视器监控所述影子系统执行所述请求数据流，得到监控结果，并将所述监控结果发送至所述安全代理；

所述安全代理判断所述监控结果是否符合安全标准；

若是，则所述安全代理将所述请求数据流转发至所述业务系统。

结合本发明第一方面，本发明第一方面第一实施方式中，所述监视器监控所述影子系统执行所述请求数据流，得到监控结果，并将所述监控结果发送至所述安全代理，包括：

所述影子系统执行所述请求数据流；

所述监视器对所述影子系统执行所述请求数据流进行监控，得到监控结果；

所述监视器将所述监控结果发送至所述安全代理。

结合本发明第一方面第一实施方式，本发明第一方面第二实施方式中，所述安全代理将所述请求数据流发送至所述影子系统，包括：

所述安全代理将所述请求数据流镜像至所述影子系统。

结合本发明第一方面第二实施方式，本发明第一方面第三实施方式中，所述影子系统执行所述请求数据流之前，还包括：

所述影子系统对所述业务系统进行复制。

结合本发明第一方面、第一方面第一实施方式、第一方面第二实施方式或第一方面第三实施方式，本发明第一方面第四实施方式中，所述方法还包括：

若所述请求数据流不符合安全标准，则所述安全代理不向所述业务系统转发所述请求数据流。

本发明第二方面提供一种网络安全防护系统，包括：

安全代理、业务系统及影子系统，所述影子系统包括监视器；

所述安全代理，用于接收请求数据流；

所述安全代理，还用于将所述请求数据流发送至所述影子系统；

所述监视器，用于监控所述影子系统执行所述请求数据流，得到监控结果，并将所述监控结果发送至所述安全代理；

所述安全代理，还用于判断所述监控结果是否符合安全标准；

所述安全代理，还用于当所述监控结果符合安全标准时，将所述请求数据流转发至所述业务系统。

结合本发明第二方面，本发明第二方面第一实施方式中，

所述影子系统，用于执行所述请求数据流；

所述监视器，还用于对所述影子系统执行所述请求数据流进行监控，得到监控结果；

所述监视器，还用于将所述监控结果发送至所述安全代理。

结合本发明第二方面第一实施方式，本发明第二方面第二实施方式中，

所述安全代理，还用于将所述请求数据流镜像至所述影子系统。

结合本发明第二方面第二实施方式，本发明第二方面第三实施方式中，

所述影子系统，还用于对所述业务系统进行复制。

结合本发明第二方面、第二方面第一实施方式、第二方面第二实施方式或第二方面第三实施方式，本发明第二方面第四实施方式中，

所述安全代理，还用于当所述监控结果不符合安全标准时，不向所述业务系统转发所述请求数据流。

综上所述，本发明实施例具有以下优点：

安全代理接收请求数据流；安全代理将请求数据流发送至影子系统；监视器监控影子系统执行请求数据流，得到监控结果，并将监控结果发送至安全代理；安全代理判断监控结果是否符合安全标准；若是，则安全代理将请求数据流转发至业务系统，与现有技术相比，由于影子系统预先执行了请求数据流，并且安全代理只向业务系统转发安全的请求数据流，因此，可以对未知的漏洞利用和新的攻击方式进行防护，可以准确的区分是正常的业务还是攻击者的恶意行为，使得业务系统更加安全。

附图说明

为了更清楚地说明本发明实施例技术方案，下面将对实施例和现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其它的附图。

图1为本发明基于超融合技术的网络安全防护框架示意图；

图2为本发明实施例中网络安全防护方法的一个实施例示意图；

图3为本发明实施例中网络安全防护方法的另一个实施例示意图；

图4为本发明实施例中网络安全防护系统的一个实施例示意图。

具体实施方式

本发明提供了一种网络安全防护方法及网络安全防护系统，用于提高未知攻击方式的防护，以及对恶意攻击的判定，使得业务系统更加安全。

为了使本技术领域的人员更好地理解本发明方案，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分的实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都应当属于本发明保护的范围。

本发明构建了基于超融合技术的网络安全防护框架示意图，超融合技术是将虚拟计算平台和存储融合到一起，将每台服务器里面自带的硬盘组成存储池，以虚拟化的形式提供数据中心所需要的计算、网络、安全以及存储等IT基础架构。

如图1所示，包括安全代理、业务系统及影子系统，影子系统具有监视器。安全代理作为控制器，负责接收来自互联网的请求数据流，以及根据影子系统返回的监控结果决定是将请求数据流转发到业务系统还是阻断请求。安全代理可以是一台单独的网关设备，设置在业务系统的边界，也可以作为一个虚拟机运行在超融合系统里面。

影子系统对现有的业务系统进行了复制，可以模拟现有的业务系统对请求数据流响应的一切操作。监视器负责对影子系统的环境进行了监控，监控影子系统执行请求数据流对系统产生的行为。

下面通过实施例对网络安全防护方法进行详细说明。

请参阅图2，本发明实施例中网络安全防护方法的一个实施例包括：

201、安全代理接收请求数据流；

本实施例中，当网络安全防护系统以外的互联网需要访问并请求业务系统的响应时，安全代理接收请求数据流，请求数据流可以是向业务系统传输数据、请求业务系统执行某些操作或者请求业务系统提供某些数据等，具体的不做限定。

202、安全代理将请求数据流发送至影子系统；

本实施例中，安全代理在接收到请求数据流之后，将请求数据流镜像至影子系统。

203、监视器监控影子系统执行请求数据流，得到监控结果，并将监控结果发送至安全代理；

本实施例中，影子系统执行安全代理镜像过来的请求数据流，在影子系统执行请求数据流的过程中，监视器监控影子系统执行请求数据流时的系统环境，并生产监控结果，将监控结果发送至安全代理。

204、安全代理判断监控结果是否符合安全标准，若是，则执行步骤205；

本实施例中，安全代理获得监视器返回的监控结果，判断监控结果是否符合安全标准，安全标准是预先制定的，对业务系统而言是安全可靠的，如果符合安全标准，表示业务系统执行请求数据流是安全可靠的，则执行步骤205。

205、安全代理将请求数据流转发至业务系统。

本实施例中，如果安全代理判断监控结果符合安全标准，则将请求数据流转发至业务系统，使得业务系统可以对请求数据流进行响应。

本发明实施例中，安全代理接收请求数据流；安全代理将请求数据流发送至影子系统；监视器监控影子系统执行请求数据流，得到监控结果，并将监控结果发送至安全代理；安全代理判断监控结果是否符合安全标准；若是，则安全代理将请求数据流转发至业务系统，与现有技术相比，由于影子系统预先执行了请求数据流，并且安全代理只向业务系统转发安全的请求数据流，因此，在现有的利用请求数据流进行恶意攻击时，可以对未知的漏洞利用和新的攻击方式进行防护，并且可以准确的区分请求数据流是正常的业务还是攻击者的恶意行为，使得业务系统更加安全。

可选的，本发明的一些实施例中，安全代理将请求数据流发送至影子系统，包括：

安全代理根据请求数据流生成镜像数据流；

安全代理将镜像数据流发送至影子系统。

可选的，本发明的一些实施例中，影子系统执行请求数据流之前，还包括：

影子系统对业务系统进行复制。

下面通过实施例对监视器是如何对影子系统执行请求数据流进行监控进行具体说明，请参阅图3，本发明实施例中网络安全防护方法的一个实施例包括：

301、安全代理接收请求数据流；

本实施例中，当网络安全防护系统以外的互联网需要访问并请求业务系统的响应时，安全代理接收请求数据流，请求数据流可以是向业务系统传输数据、请求业务系统执行某些操作或者请求业务系统提供某些数据等，具体的不做限定。

302、安全代理将请求数据流镜像至影子系统；

本实施例中，安全代理在接收到请求数据流之后，利用安全代理的镜像工具将请求数据流制作成镜像文件，将镜像文件发送至影子系统，影子系统在得到镜像文件后，由于影子系统是虚拟环境下运行的，可以执行该镜像文件，即相当于执行请求数据流。

303、影子系统执行请求数据流；

本实施例中，影子系统在得到安全代理镜像的请求数据流之后，动态执行请求数据流，由于攻击者一般想要攻击业务系统，都是通过数据流的方式，如果请求数据流可能是利用漏洞等方式，那么影子系统在执行请求数据流的时候必然会调用命令执行或者写入病毒文件等，例如，如下：

1、命令执行

攻击者利用命令执行漏洞，不管攻击者传输的数据是否加密，必然会在业务系统调用命令执行，触发对业务系统命令调用的行为。

2、写入Webshell

Webshell就是以asp、php、jsp或者cgi等网页文件形式存在的一种命令执行环境，也可以将其称做为一种网页后门。黑客在入侵了一个网站后，通常会将asp或php后门文件与网站服务器WEB目录下正常的网页文件混在一起，然后就可以使用浏览器来访问asp或者php后门，得到一个命令执行环境，以达到控制网站服务器的目的。攻击者可以通过多种方式向业务系统上写入Webshell，但最后的步骤是创建一个Webshell文件。

3、Shellcode执行

攻击者利用缓冲区溢出漏洞，在数据流里面插入Shellcode，Shellcode变化多种多样，甚至被加密，如HTTPS或SSH等，最后必然会触发到Shellcode执行，或创建一个新的进程，或下载exe文件等。

以上三点只是攻击者利用漏洞等攻击方式进行恶意攻击的常用手段，具体还可以为其他方式，不做限定。

304、监视器对影子系统执行请求数据流进行监控，得到监控结果；

本实施例中，根据步骤303中，监视器可以监控到业务系统的命令调用的行为，创建了Webshell文件也容易发现，而Shellcode执行之后的新的进程或下载exe文件监视器也能发现，除此之外，监视器还可以根据设置监控系统环境，具体不做限定，在监视器监控影子系统执行完请求数据流之后，生成监控结果。

305、监视器将监控结果发送至安全代理；

本实施例中，监视器将监控结果发送至安全代理，使得安全代理可以根据监控结果控制请求数据流的转发。

306、安全代理判断监控结果是否符合安全标准，若是，则执行步骤307；若否，则执行步骤308；

本实施例中，安全代理获得监视器返回的监控结果，判断监控结果是否符合安全标准，安全标准是预先制定的，对业务系统而言是安全可靠的，比如，监控结果中不包含步骤303中1、2及3中所描述的操作和执行结果，那么表示监控结果符合安全标准，如果创建了Webshell文件，那么判断监控结果不符合安全标准，符合安全标准时，则执行步骤307；不符合安全标准时，则执行步骤308。

307、安全代理将请求数据流转发至业务系统。

本实施例中，如果安全代理判断监控结果符合安全标准，则将请求数据流转发至业务系统，业务系统可以对请求数据流进行响应。

308、安全代理不向业务系统转发请求数据流。

本实施例中，如果安全代理判断监控结果不符合安全标准，则不向业务系统转发请求数据流，例如，删除请求数据流等。

本发明实施例中，对监视器是如何对影子系统执行请求数据流进行监控进行具体说明，以及增加了监控结果不符合安全标准时的处理方式，使得方案具有可实施性，更加具体。

上述实施例中介绍了本发明的网络安全防护方法，下面通过实施例对网络安全防护系统进行详细说明。

请参阅图4，本发明实施例提供一种网络安全防护系统，包括：

安全代理401、业务系统402及影子系统403，影子系统403包括监视器404；

安全代理401，用于接收请求数据流；

安全代理401，还用于将请求数据流发送至影子系统403；

监视器404，用于监控影子系统403执行请求数据流，得到监控结果，并将监控结果发送至安全代理；

安全代理401，还用于判断监控结果是否符合安全标准；

安全代理401，还用于当监控结果符合安全标准时，将请求数据流转发至业务系统402。

本发明实施例中，安全代理401接收请求数据流；安全代理401将请求数据流发送至影子系统403；监视器404监控影子系统403执行请求数据流，得到监控结果，并将监控结果发送至安全代理401；安全代理401判断监控结果是否符合安全标准；若是，则安全代理401将请求数据流转发至业务系统403，与现有技术相比，由于影子系统403预先执行了请求数据流，并且安全代理401只向业务系统403转发安全的请求数据流，因此，在现有的利用请求数据流进行恶意攻击时，可以对未知的漏洞利用和新的攻击方式进行防护，并且可以准确的区分请求数据流是正常的业务还是攻击者的恶意行为，使得业务系统更加安全。

可选的，本发明的一些实施例中，

影子系统403，用于执行请求数据流；

监视器404，还用于对影子系统403执行请求数据流进行监控，得到监控结果；

监视器404，还用于将监控结果发送至安全代理401。

本发明实施例中，影子系统403在得到安全代理401镜像的请求数据流之后，动态执行请求数据流，由于攻击者一般想要攻击业务系统，都是通过数据流的方式，如果请求数据流可能是利用漏洞等方式，那么影子系统403在执行请求数据流的时候必然会调用命令执行或者写入病毒文件等，在监视器404监控影子系统执行完请求数据流之后，生成监控结果。监视器404将监控结果发送至安全代理401，使得安全代理401可以根据监控结果控制请求数据流的转发，详细说明了监视器401的监控原理。

可选的，本发明的一些实施例中，

安全代理401，还用于将请求数据流镜像至影子系统403。

本发明实施例中，安全代理401在接收到请求数据流之后，利用安全代理401的镜像工具将请求数据流制作成镜像文件，将镜像文件发送至影子系统403，影子系统403在得到镜像文件后，由于影子系统403是虚拟环境下运行的，可以执行该镜像文件，即相当于执行请求数据流。

可选的，本发明的一些实施例中，

影子系统403，还用于对业务系统402进行复制。

可选的，本发明的一些实施例中，

安全代理401，还用于当监控结果不符合安全标准时，不向业务系统402转发请求数据流。

本发明实施例中，如果安全代理401判断监控结果不符合安全标准，则不向业务系统402转发请求数据流，例如，删除请求数据流等，这样就保证了业务系统402不会受到恶意的攻击。

所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的系统，设备和单元的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。

在本申请所提供的几个实施例中，应该理解到，所揭露的系统，设备和方法，可以通过其它的方式实现。例如，以上所描述的设备实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，设备或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。

所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。

另外，在本发明各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用软件功能单元的形式实现。

所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：U盘、移动硬盘、只读存储器(ROM，Read-Only Memory)、随机存取存储器(RAM，Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。

以上所述，以上实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。