一种网络安全方法及网络安全服务系统与流程

本发明涉及网络安全领域，具体而言涉及一种网络安全方法及网络安全服务系统。

背景技术：

网络安全是指利用网络管理控制和技术措施，保证在一个网络环境里，数据的保密性、完整性及可使用性受到保护。计算机网络安全包括两个方面，即物理安全和逻辑安全；物理安全指系统设备及相关设施受到物理保护，免于破坏或丢失等；逻辑安全包括信息的完整性、保密性和可用性。现有的网站访问一般是通过签署安全协议进行认证，恶意的数据或者未经认证的网站由用户自行判断是否安全以选择。一些网站利用虚假的信息引诱和欺骗用户选择非法或者不安全的信息，从而对计算机的网络和数据安全恶意攻击。因此，目前需要一种网络安全方法及网络安全服务系统，其能够解决由于虚假信息引诱和欺骗用户选择造成危害网络安全的问题。

技术实现要素：

本申请的目的在于提供一种网络安全方法，其能够解决未经验证的网站或恶意数据引诱或欺骗用户选择而造成的计算机网络和数据被攻击的问题。

本申请的另一目的在于提供一种网络安全服务系统，其能够解决未经验证的网站或恶意数据引诱或欺骗用户选择而造成的计算机网络和数据被攻击的问题。

为了实现上述目的，本申请实施例采用的技术方案如下：

本申请实施例提供一种网络安全方法，包含如下步骤：(1)对网络数据包进行旁路采集，以提取出网络报文中的公共数据内容；(2)分析所述公共数据内容中所有可编辑信息的生成格式和操作权限；(3)根据各所述可编辑信息的不同生成格式验证各所述可编辑信息的来源安全性，并将非法和异常的所述可编辑信息删除；(4)根据各所述可编辑信息的所述操作权限分别对各所述可编辑信息进行操作以生成结果信息，并删除重复和异常的所述结果信息。

相对于现有技术，本申请实施例所提供的一种网络安全方法，通过对网络报文的公共数据内容分析得到可编辑信息的生成格式和操作权限，便于分析公共数据内容的信息是否安全；通过生成格式验证可编辑信息的来源是否安全，从而删除非法和异常的内容，防止用户被虚假内容欺骗，提高了网络安全性；通过操作权限多次应用在可编辑信息上以生成结果信息，并删除重复和异常的结果信息，防止网络被虚假内容恶意攻击，从而避免由于虚假信息引诱欺骗用户导致的网络被攻击的风险。

为了实现上述另一目的，本申请实施例采用的技术方案如下：

本申请实施例提供基于一种网络安全方法的网络安全服务系统，包含信息提取单元、信息分析单元、信息删除单元和信息应用单元；所述信息提取单元与网络发出端或网络接收端连接以对网络数据包进行旁路采集，从而提取出网络报文中的公共数据内容；所述信息分析单元与所述信息提取单元连接以获取公共数据内容中所有可编辑信息，并根据所述网络报文分析各所述可编辑信息的生成格式和操作权限；所述信息删除单元与所述信息分析单元连接以根据各所述可编辑信息的不同生成格式验证各所述可编辑信息的来源是否非法和异常，并将不安全的所述可编辑信息删除；所述信息应用单元与所述信息提取单元连接以根据各所述可编辑信息的所述操作权限分别对各所述可编辑信息进行操作，从而生成结果信息；所述信息删除单元与所述信息应用单元连接以根据各所述可编辑信息生成的结果信息验证各所述可编辑信息生成的结果信息是否重复和异常，并删除不安全的所述结果信息。

相对于现有技术，本申请实施例所提供的基于一种网络安全方法的网络安全服务系统，通过信息提取单元采集网络报文，并由信息分析单元获取公共数据内容中的可编辑信息的生成格式和操作权限，从而信息删除单元通过生成格式验证可编辑信息是否非法和异常，防止虚假内容欺骗用户，提高了网络服务的安全性；通过信息应用单元根据操作权限多次操作可编辑信息上，从而识别可编辑信息的内容是否虚假和恶意，提高了网络服务的安全性。

为使本申请的上述目的、特征和优点能更明显易懂，下文特举较佳实施例，并配合所附附图，作详细说明如下。

附图说明

为了更清楚地说明本申请实施例的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，应当理解，以下附图仅示出了本申请的某些实施例，因此不应被看作是对范围的限定，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其它相关的附图。

图1为本申请实施例1提供的网络安全方法的流程示意图；

图2为本申请实施例2提供的基于实施例1所述的网络安全服务系统的原理示意图。

具体实施方式

为使本申请实施例的目的、技术方案和优点更加清楚，下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本申请一部分实施例，而不是全部的实施例。通常在此处附图中描述和示出的本申请实施例的组件可以以各种不同的配置来布置和设计。

因此，以下对在附图1～2中提供的本申请的实施例的详细描述并非旨在限制要求保护的本申请的范围，而是仅仅表示本申请的选定实施例。基于本申请中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本申请保护的范围。

一旦某一项在一个附图中被定义，则在随后的附图中不需要对其进行进一步定义和解释。同时，在本申请的描述中，步骤的描述顺序不能理解为指示或暗示相对重要性。而且，术语“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。

在本申请的描述中，需要说明的是，术语“上”和“内”等指示的方位或位置关系为基于附图所示的方位或位置关系，或者是该申请产品使用时惯常摆放的方位或位置关系，仅是为了便于描述本申请和简化描述，而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作，因此不能理解为对本申请的限制。

在本申请的描述中，还需要说明的是，除非另有明确的规定和限定，术语“设置”、“连接”应做广义理解，例如，设置可以包含位置也可以包含连接的方式；连接可以是固定连接，也可以是可拆卸连接，或一体地连接；可以是机械连接，也可以是电连接；可以是直接相连，也可以通过中间媒介间接相连，可以是两个元件内部的连通。对于本领域的普通技术人员而言，可以具体情况理解上述术语在本申请中的具体含义。

下面结合附图，对本申请的一些实施方式作详细说明。在不冲突的情况下，下述的实施例及实施例中的特征可以相互组合。

请参阅图1，图1为本申请实施例1提供的网络安全方法，包含如下步骤：(1)对网络数据包进行旁路采集，以提取出网络报文中的公共数据内容；(2)分析公共数据内容中所有可编辑信息的生成格式和操作权限；(3)根据各可编辑信息的不同生成格式验证各可编辑信息的来源安全性，并将非法和异常的可编辑信息删除；(4)将操作权限分别多次应用在各可编辑信息上以生成结果信息，并删除重复和异常的结果信息。

详细的，步骤(1)中，通过交换机镜像口对所述网络发出端发送到网络接收端的网络数据包进行旁路采集。其中，网络报文是网络数据包传输的单位，传输过程中会不断的封装成分组、包、帧来传输，封装的方式就是添加以一定格式组织起来的数据，比如报文类型，报文版本，报文长度，报文实体等数据。

详细的，步骤(2)中，获取公共数据内容中所有可编辑信息，并分析所有可编辑信息的生成格式和操作权限。其中，可编辑信息一般为多个。可选的，可以根据字段信息的长度或其他类型进行划分成不同的可编辑信息，字段信息的其他类型可以包含显示顺序、响应速度、变化频率或方位变化。详细的，生成格式用于标记可编辑信息的类型，用于区分可编辑信息的存储类型和读取方式。操作权限用于标记可编辑信息的可操作范围。可选的，通过公共数据内容获得各可编辑信息的操作属性，从而根据操作属性分析操作权限。

详细的，步骤(3)中，根据各可编辑信息的不同生成格式验证各可编辑信息的来源是否安全。可选的，当可编辑信息的生成格式能够识别时，判断可编辑信息的来源合法；当可编辑信息的生成格式无法识别时，判断可编辑信息异常。可选的，根据生成格式能够识别可编辑信息的内容时，判断可编辑信息的来源合法；根据生成格式无法识别可编辑信息的内容时，判断可编辑信息异常。从而删除异常的可编辑信息，提高网络的安全性。

详细的，步骤(4)中，根据各可编辑信息的操作权限分别对各可编辑信息进行操作，从而分别生成各可编辑信息的结果信息。根据各可编辑信息的结果信息是否重复和异常来继续判断各可编辑信息来源的安全性，并删除重复和异常的结果信息，从而提高了网络安全性。可选的，各可编辑信息操作后生成多次/个结果信息时，认为可编辑信息的来源不安全，即来源非法或内容异常。可选的，各可编辑信息的结果信息内容重复时，认为可编辑信息异常。可选的，各可编辑信息操作后无法生成结果信息或生成结果无法读取时，认为可编辑信息异常。可选的，操作的次数为多次。并且，当各可编辑信息每次生成的结果信息不同时，认为可编辑信息来源非法；且当各可编辑信息的不同结果信息存在内容重复时，认为可编辑信息来源非法。可选的，获取操作权限的步骤内容设置在步骤(4)根据操作权限对各可编辑信息的操作之前的任意位置。可选的，根据生成格式和操作权限判断的步骤(3)和步骤(4)的先后顺序可以进行交换。可选的，根据重复和异常的结果信息可以删除或标记对应的可编辑信息，从而防止用户选择不安全的可编辑信息。其中可选的，可编辑信息的标记通过禁止用户操作或向用户发送提醒内容实现。

作为本发明的优选实施例之一，生成格式包含初始格式和最终格式。其中，初始格式为可编辑信息生成时的原格式，最终格式为可编辑信息读取时的存储格式。可选的，通过公共数据内容获得各可编辑信息的对生成格式的操作日志，从而根据操作日志分析初始格式和最终格式。

作为本发明的优选实施例之一，步骤(3)中，根据各可编辑信息的初始格式和最终格式是否相同以验证可编辑信息的来源安全性，且当不相同时认为可编辑信息的来源不安全，从而删除非法的可编辑信息。详细的，初始格式和最终格式相同时，认为可编辑信息未被其他非法设备修改格式而导致内容被篡改或异常。

作为本发明的优选实施例之一，步骤(3)中，根据各可编辑信息的初始格式是否修改以验证可编辑信息的来源安全性，且当修改次数大于零时认为可编辑信息的来源不安全，从而删除非法的可编辑信息。详细的，当初始格式和最终格式相同时，根据可编辑信息的初始格式是否修改，从而判断可编辑信息是否安全，提高了判断可编辑信息是否安全的准确性。可选的，通过可编辑信息的修改日志判断生成格式是否被修改。可选的，当初始格式被修改时，说明可编辑信息内容的来源非法，从而删除非法的可编辑信息，防止虚假信息诱导和欺骗用户选择以危害用户的公共网络安全。

作为本发明的优选实施例之一，操作权限包含对可编辑信息的内容全部、部分或禁止修改。

详细的，当对可编辑信息的操作权限为全部修改时，步骤(4)中对各可编辑信息进行操作以生成结果信息。而部分修改时只针对各可编辑信息的部分内容进行操作。禁止修改时则说明无法对可编辑信息进行操作，此时无法生成结果则表示可编辑信息正常，能生成结果则表示可编辑信息异常。

作为本发明的优选实施例之一，公共数据内容包含时间戳、源ip地址、目的ip地址、源端口号、目的端口号、源mac地址、目的mac地址和网络层协议。

可选的，除了应用层协议，公共数据内容中还包含时间戳、源ip地址、目的ip地址、源端口号、目的端口号、源mac地址、目的mac地址和网络层协议。通过多项内容认证可编辑信息，便于识别公共数据内容的可编辑信息是否完整和正常，从而将不完整和正常的信息标记或删除，提高网络数据的安全性。

以上仅为本发明的优选实施例而已，并不用于限制本发明，对于本领域的技术人员来说，本发明可以有各种更改和变化。凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。

综上所述，本申请实施例提供的网络安全方法，通过采集网络数据包，提取网络报文中的公共数据内容，从而分析可编辑信息的生成格式和操作权限；通过生成格式判断可编辑信息是否异常或者来源非法，防止用户被篡改的虚假信息诈骗或攻击；通过操作权限操作不同可编辑信息，从而根据生成的结果信息是否重复和异常而删除不安全的结果信息，解决了恶意数据危害网络安全的问题。

请参阅图2，图2为本申请实施例2提供的网络安全方法的网络安全服务系统，包含信息提取单元、信息分析单元、信息删除单元和信息应用单元。

详细的，信息提取单元与网络发出端或网络接收端连接以对网络数据包进行旁路采集，从而提取出网络报文中的公共数据内容。信息分析单元与信息提取单元连接以获取公共数据内容中所有可编辑信息，并根据网络报文分析各可编辑信息的生成格式和操作权限。信息删除单元与信息分析单元连接以根据各可编辑信息的不同生成格式验证各可编辑信息的来源是否非法和异常，并将不安全的可编辑信息删除；信息应用单元与信息提取单元连接以根据各可编辑信息的操作权限分别对各可编辑信息进行操作，从而生成结果信息。信息删除单元与信息应用单元连接以根据各可编辑信息生成的结果信息验证各可编辑信息生成的结果信息是否重复和异常，并删除重复和异常的结果信息，以提高网络服务的安全性。实施例2中可选的实施方式与实施例1相同，在此不必赘述。使用时，系统通过计算机可读存储介质存储有计算机程序，该计算机程序被处理器执行时实现实施例1中一种网络安全方法。

其中，计算机可读存储介质可以是但不限于随机存取存储器，只读存储器，可编程只读存储器，可擦除只读存储器，电可擦除只读存储器等。处理器可以是一种集成电路芯片，具有信号处理能力。该处理器可以是通用处理器，包括中央处理器和网络处理器等；还可以是数字信号处理器、专用集成电路、现场可编程门阵列或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。

在本申请所提供的实施例1～2中，应该理解到，所揭露的结构和方法，也可以通过其它的方式实现。以上所描述的实施例仅仅是示意性的，例如，附图1～图2中的流程图和结构框图显示了根据本申请的实施例的装置、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上，流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分，所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意，在有些作为替换的实现方式中，方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如，两个连续的方框实际上可以基本并行地执行，它们有时也可以按相反的顺序执行，这依所涉及的功能而定。也要注意的是，框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合，可以用执行规定的功能或动作的专用的基于硬件的系统来实现，或者可以用专用硬件与计算机指令的组合来实现。

另外，在本申请实施例中的各功能模块可以集成在一起形成一个独立的部分，也可以是各个模块单独存在，也可以两个或两个以上模块集成形成一个独立的部分。

所述功能如果以软件功能模块的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本申请实施例所述方法的全部或部分步骤。而前述的存储介质包括：u盘、移动硬盘、只读存储器、随机存取存储器、磁碟或者光盘等各种可以存储程序代码的介质。

综上所述，本申请实施例提供的网络安全服务系统，通过信息提取单元采集网络数据包，提取网络报文中的公共数据内容；信息分析单元从而分析可编辑信息的生成格式和操作权限；信息删除单元通过生成格式判断可编辑信息是否异常或者来源非法，并删除不安全的可编辑信息，防止用户被篡改的虚假信息诈骗或攻击；信息应用单元通过操作权限操作不同可编辑信息，从而根据生成的结果信息是否重复和异常而删除不安全的结果信息，解决了恶意数据危害网络安全的问题。

对于本领域技术人员而言，显然本申请不限于上述示范性实施例的细节，而且在不背离本申请的精神或基本特征的情况下，能够以其它的具体形式实现本申请。因此，无论从哪一点来看，均应将实施例看作是示范性的，而且是非限制性的，本申请的范围由所附权利要求而不是上述说明限定，因此旨在将落在权利要求的等同要件的含义和范围内的所有变化囊括在本申请内。不应将权利要求中的任何附图标记视为限制所涉及的权利要求。