一种自调节过滤方法、装置及网络安全系统与流程

本发明涉及网络安全技术领域，具体而言，涉及一种自调节过滤方法、装置及网络安全系统。

背景技术：

随着网络应用的普及，人们对于网络的依赖性越来越强，传统有线网络的局限性也就越来越突出，出现了诸多问题，比如：线路故障、新网络节点的加入、已有节点不能任意变更位置、布线费高用等。基于这样的背景，无线网络显现了优势，例如：无线网络具有高灵活性、低成本、易操作等特点，得到了更多用户的青睐，随着无线网络的普及应用，伴随而来的是无线网络的安全问题。

为了能够保证无线网络的安全性，目前当发现网络中的数据包存在一个攻击或可疑攻击之后，需要查找网络日志，并且分析网络日志中与该攻击相关的各个字段，但是随着网络规模的扩大，各种日志是海量的，从而造成现有网络安全的分析效率较低、工作量非常大的问题。并且与该攻击信息相应的各字段不一定存在于已有的日志信息中。因而在大数据时代下，按照传统的方法进行关联性分析几乎是无法完成的，也即实现无线网络中对存在安全隐患的数据包实现自动防御是亟待解决的问题。

技术实现要素：

有鉴于此，本发明的目的在于提供一种自调节过滤方法，根据预存的安全策略、预存的安全算法得到安全数据包并获得新的安全策略从而实现对预存安全策略的更新以及对数据包的安全检测，并对存在安全隐患的数据包实现自动防御。

本发明的另一目的在于提供一种自调节过滤装置，根据预存的安全策略、预存的安全算法得到安全数据包并获得新的安全策略从而实现对预存安全策略的更新以及对数据包的安全检测，并对存在安全隐患的数据包实现自动防御。

本发明的另一目的在于提供一种网络安全系统，根据预存的安全策略、预存的安全算法得到安全数据包并获得新的安全策略从而实现对预存安全策略的更新以及对数据包的安全检测，并对存在安全隐患的数据包实现自动防御。

为实现上述目的，本发明实施例采用如下技术方案：

本发明提供一种自调节过滤方法，所述方法包括：

根据预存的安全策略对输入数据包进行检测，拦截检测存在安全隐患的数据包，得到安全数据包。

对所述安全数据包和所述输入数据包进行参数测量得到参数测量结果。

根据预存的安全算法和所述参数测量结果得到新的安全策略。

根据所述新的安全策略对所述预存的安全策略进行配置。

可选的，在上述自调节过滤方法中，所述自调节过滤方法还包括：

根据预存的被保护规则对所述安全数据包进行匹配检测，拦截与所述预存的被保护规则不匹配的安全数据包得到被保护数据包，并根据被保护数据包对预存的安全策略进行调整。

可选的，在上述自调节过滤方法中，所述预存的安全策略为多种，所述根据所述新的安全策略对所述预存的安全策略进行配置的步骤包括：

判断所述预存的安全策略中是否包括所述新的安全策略。

当不包括所述新的安全策略时，将所述新的安全策略写入所述预存的安全策略中。

本发明还提供一种自调节过滤装置，所述装置包括：

策略执行模块，用于根据预存的安全策略对输入数据包进行检测，拦截检测存在安全隐患的数据包，得到安全数据包。

参数测量模块：用于对所述安全数据包和所述输入数据包进行参数测量得到参数测量结果。

智能评估模块：用于根据预存的安全算法和所述参数测量结果得到新的安全策略。

策略生成模块：用于根据所述新的安全策略对所述预存的安全策略进行配置。

可选的，在上述自调节过滤装置中，所述自调节过滤装置还包括：

被保护应用模块，用于根据预存的被保护规则对所述安全数据包进行匹配检测，拦截与所述预存的被保护规则不匹配的安全数据包得到被保护数据包，并根据被保护数据包对预存的安全策略进行调整。

可选的，在上述自调节过滤装置中，所述预存的安全策略为多种，所述策略生成模块包括：

判断子模块：用于判断所述预存的安全策略中是否包括所述新的安全策略。

更新子模块：当不包括所述新的安全策略时，将所述新的安全策略写入所述预存的安全策略中。

本发明还提供一种网络安全系统，包括安全控制器和子控制端。

所述子控制端包括上述的自调节过滤装置，所述安全控制器中存储有预存的安全策略、预存的安全算法和预存的被保护规则的信息，所述安全控制器用于与所述子控制端进行信息交互。

可选的，在上述网络安全系统中，所述网络安全系统还包括适配器，所述子控制端通过所述适配器与所述安全控制器进行信息交互。

可选的，在上述网络安全系统中，所述子控制端用于对所述输入数据包进行多次循环检测。

可选的，在上述网络安全系统中，所述子控制端对所述输入数据包进行3至6次循环检测。

本发明提供的一种自调节过滤方法、装置及网络安全系统，根据预存的安全策略、预存的安全算法得到安全数据包并获得新的安全策略从而实现对预存安全策略的更新以及对数据包的安全检测，并能对存在安全隐患的数据包实现自动防御。

为使本发明的上述目的、特征和优点能更明显易懂，下文特举较佳实施例，并配合所附附图，作详细说明如下。

附图说明

为了更清楚地说明本发明实施例的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，应当理解，以下附图仅示出了本发明的部分实施例，因此不应被看作是对本发明保护范围的限定，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他相关的附图。

图1为本发明实施例提供的一种网络安全系统方框示意图。

图2为本发明实施例提供的一种自调节过滤装置的方框示意图。

图3为本发明实施例提供的一种策略生成模块的方框示意图。

图4为本发明实施例提供的一种自调节过滤方法的流程示意图。

图5为图4中步骤S150的一种子步骤示意图。

图标：10-子控制端；20-适配器；30-安全控制器；100-自调节过滤装置；110-策略执行模块；120-参数测量模块；130-被保护应用模块；140-智能评估模块；150-策略生成模块；152-判断子模块；154-更新子模块。

具体实施方式

为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。通常在此处附图中描述和示出的本发明实施例的组件可以以各种不同的配置来布置和设计。

因此，以下对在附图中提供的本发明的实施例的详细描述并非旨在限制要求保护的本发明的范围，而是仅仅表示本发明的选定实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

应注意到：相似的标号和字母在下面的附图中表示类似项，因此，一旦某一项在一个附图中被定义，则在随后的附图中不需要对其进行进一步定义和解释。

在本发明的描述中，还需要说明的是，除非另有明确的规定和限定，术语“设置”、“连接”应做广义理解，例如，可以是固定连接，也可以是可拆卸连接，或一体地连接；可以是机械连接，也可以是电连接；可以是直接相连，也可以通过中间媒介间接相连，可以是两个元件内部的连通。对于本领域的普通技术人员而言，可以具体情况理解上述术语在本发明中的具体含义。

如图1所示，是本发明实施例提供的一种网络安全系统的示意图。所述网络安全系统包括：子控制端10和安全控制器30。

所述子控制端10包括自调节过滤装置100。所述子控制端10可以是终端设备，还可以是交换机或访问节点，在此不做具体限定。具体的，所述子控制端10可以包括存储器(图中未示出)和处理器(图中未示出)，所述自调节过滤装置100存储于所述存储器中，所述自调节过滤装置100包括至少一个可以用软件或固件(firmware)的形式存储于所述存储器中的软件功能模块，所述处理器通过运行存储在存储器内的软件程序以及模块，如本发明实施例中的自调节过滤装置100，从而执行各种功能应用以及数据处理，即实现本发明实施例中的自调节过滤方法。

所述存储器可以是，但不限于，随机存取存储器(Random Access Memory，RAM)，只读存储器(Read Only Memory，ROM)，可编程只读存储器(Programmable Read-Only Memory，PROM)，可擦除只读存储器(Erasable Programmable Read-Only Memory，EPROM)，电可擦除只读存储器(Electric Erasable Programmable Read-Only Memory，EEPROM)等。其中，存储器用于存储程序，所述处理器在接收到执行指令后，执行所述程序。进一步地，上述存储器内自调节过滤装置100可包括各种用于管理系统任务(例如内存管理、存储设备控制、电源管理等)的软件组件和/或驱动，并可与各种硬件或软件组件相互通讯，从而提供其他软件组件的运行环境。

所述处理器可以是一种集成电路芯片，具有信号的处理能力。上述的处理器可以是通用处理器，包括中央处理器(Central Processing Unit，CPU)、网络处理器(Network Processor，NP)等。还可以是数字信号处理器(DSP))、专用集成电路(ASIC)、现成可编程门阵列(FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本发明实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。

请结合图2，是本发明提供的一种自调节过滤装置100，所述自调节过滤装置100包括：策略执行模块110、参数测量模块120、智能评估模块140和策略生成模块150。

所述策略执行模块110，用于根据预存的安全策略对输入数据包进行检测，拦截检测存在安全隐患的数据包，得到安全数据包。此外所述策略执行模块110还用于进行日志记录。

所述预存的安全策略为网络管理员或者信息管理者根据组织机构的风险及安全目标制定的行动策略。预存的安全策略通常建立在授权的基础之上，可以被应用、访问和使用等，而未经授权的实体的信息则不能够给予、不能被访问、不允许引用、任何资源也不得占用。

所述预存的安全算法为进行加密与认证，并通过无线网络加密和身份识别实现加强无线网络的安全保护和管理能力的任意一种算法，具体算法在此不做具体限定。

所述参数测量模块120：用于对所述安全数据包和所述输入数据包进行参数测量得到参数测量结果。具体的，所述参数测量模块120以输入数据包和安全数据包为输入按照所述自调节过滤装置100的安全定位、侧重点进行处理，并进行深层的数据挖掘，提取威胁特征并得到包括威胁特征的参数测量结果。

所述智能评估模块140，用于根据预存的安全算法和所述参数测量结果得到新的安全策略。具体的所述预存的安全算法有多种，所述新的安全算法与多种预存的安全算法中的一种可以是相同的，也可以是不同的，在此不做具体限定。

所述策略生成模块150，用于根据所述新的安全策略对所述预存的安全策略进行配置。进行配置的方式可以是根据所述新的安全策略对所述预存的安全策略进行替换、更改或不做任何处理，在此不做具体限定。

可选的，所述自调节过滤装置100还可以包括被保护应用模块130。所述被保护应用模块130，用于根据预存的被保护规则对所述安全数据包进行匹配检测，拦截与所述预存的被保护规则不匹配的安全数据包得到被保护数据包，并根据被保护数据包对预存的安全策略进行调整。

所述预存的被保护规则为对所捕获的数据包进行解析，得到变量特征，根据现有保护规则的变量特征判断其匹配程度，在一定阈值范围内的数据，具体阈值范围在此不做具体限定。

请结合图3，可选的，所述策略生成模块150包括判断子模块152和更新子模块154。

所述判断子模块152用于判断所述预存的安全策略中是否包括所述新的安全策略。具体的判断方式可以是通过判断所述预存的安全策略的日志信息中是否存在一个日志信息与所述新的安全策略的日志信息匹配。还可以是判断多个所述预存的安全策略的安全隐患标识信息中是否存在一个全隐患标识信息与所述新的安全策略的安全隐患标识信息匹配，在此不做具体限定。

更新子模块154：当不包括所述新的安全策略时，将所述新的安全策略写入所述预存的安全策略中。当包括所述新的安全策略时，可以不做任何处理，也可以将原有的与所述新的安全策略相同的部分进行替换，在此不做具体限定。

所述安全控制器30中存储有包括预存的安全策略、预存的安全算法和预存的被保护规则等的信息。所述安全控制器30用于与所述子控制端10进行信息交互。所述安全控制器30中还存储有用于控制所述子控制端10中包括的自调节过滤装置100的调度、执行、暂停和重启等任务的控制指令。所述安全控制器30可以是终端管理设备，也可以是终端控制器，在此不做具体限定。

所述网络安全系统对输入数据包进行检测时，所述子控制端10根据所述安全控制器30的控制指令控制所述子控制端10实现对所述输入数据包的检测。可选的，所述子控制端10可以对所述输入数据包进行多次循环检测，拦截每次循环检测为存在安全隐患的数据包，同时放行每一次循环检测为安全的数据包，并根据预存的安全算法得到新的安全策略并对预存的安全策略进行配置，从而实现数据的循环检测以保障检测后的输入数据包的安全性，以及整个网络安全系统的动态可调节性。所述子控制端10对输入数据包进行循环检测的次数可以是任意的，在此不做具体限定。

在本实施例中，可选的，所述子控制端10对所述输入数据包进行循环检测的次数可以是3到6次。具体的次数根据实际情况进行选取即可，在此不做具体限定。

考虑到检测的高效性及实用性，在本实施例中，可选的，所述子控制端10对输入数据包进行循环检测的次数为3次。具体的，进行循环检测的方式可以是：每次循环检测时，所述自调节过滤装置100进行数据包的检测，放行本次检测为安全状态的数据包，阻截本次检测为危险状态的数据包，并更新预存的安全策略实现网络安全自动防御和动态维护。进行循环检测的方式还可以是：在不同次数的循环检测时，实现的功能不同，例如：第一次循环检测实现数据包的对比和分析，第二次循环检测实现存在安全隐患的数据包的特征挖掘，该特征可以是危险种类、日志等，第三次循环检测实现生成新的安全策略。需要说明的是，除了上述的第一次、第二次和第三次还可以有更多次的循环检测，且不同次数循环检测实现的功能可以是相同的也可以是不同的，在此不做具体限定。通过采用多次循环检测从而实现数据包检测，实现网络安全动态维护。需要说明的是，其中某一次自调节过滤过程中因存在较大工作量而需要并联协作时，需要在安全控制器30的控制下实现工作负载的均衡及同步。因此所述策略执行模块110中加入了宏观控制功能，主要负责自调节过滤装置100的更新、执行、负载均衡等任务。具体的检测方式在此不做具体限定，根据实际情况进行选取即可。

可选的，所述网络安全系统还包括适配器20，所述子控制端10通过所述适配器20与所述安全控制器30进行信息交互。所述适配器20可以是无线网络中虚拟化的AP(AP，Access Point，无线访问节点、会话点或存取桥接器)，主要负责策略执行模块110与AP之间的互动反馈响应和协调通信，如SNMP、HTTP以及自定义的适配器20，从而有效提高所述网络安全系统在不同无线网络环境中的对输入数据包的过滤能力，及通过对预存的安全策略的调整以实现该网络安全系统的自调节能力。

可以理解，图1所示的结构仅为示意，本发明中的网络安全系统还可以包括比图1中所示更多或者更少的组件，或者具有与图1所示不同的配置。图1中所示的各组件可以采用硬件、软件或其组合实现。

如图4所示，是本发明实施例提供的一种自调节过滤方法的流程示意图。所述自调节过滤方法包括以下步骤：

步骤S110：根据预存的安全策略对输入数据包进行检测，拦截检测存在安全隐患的数据包，得到安全数据包。关于所述步骤S110的详细描述具体可参考本发明实施例对图2中所示的策略执行模块110的描述。也即，步骤S110可由所述策略执行模块110来执行。

步骤S120：对所述安全数据包和所述输入数据包进行参数测量得到参数测量结果。关于所述步骤S120的详细描述具体可参考本发明实施例对图2中所示的参数测量模块120的描述。也即，步骤S120可由所述参数测量模块120来执行。

步骤S140：根据预存的安全算法和所述参数测量结果得到新的安全策略。关于所述步骤S140的详细描述具体可参考本发明实施例对图2中所示的智能评估模块140的描述。也即，步骤S140可由所述智能评估模块140来执行。

步骤S150：根据所述新的安全策略对所述预存的安全策略进行配置。关于所述步骤S150的详细描述具体可参考本发明实施例对图2中所示的策略生成模块150的描述。也即，步骤S150可由所述策略生成模块150来执行。

在本实施例中，可选的，所述自调节过滤方法还包括以下步骤：

步骤S130：根据预存的被保护规则对所述安全数据包进行匹配检测，拦截与所述预存的被保护规则不匹配的安全数据包得到被保护数据包，并根据被保护数据包对预存的安全策略进行调整。关于所述步骤S130的详细描述具体可参考本发明实施例对图2中所示的被保护应用模块130的描述。也即，步骤S130可由所述被保护应用模块130来执行。

请结合图5，在本实施例中，可选的，所述根据所述新的安全策略对所述预存的安全策略进行配置的步骤S150包括以下子步骤：

子步骤S152：判断所述预存的安全策略中是否包括所述新的安全策略。关于所述子步骤S152的详细描述具体可参考本发明实施例对图3中所示的判断子模块152的描述。也即，子步骤S152可由所述判断子模块152来执行。

子步骤S154：当不包括所述新的安全策略时，将所述新的安全策略写入所述预存的安全策略中。关于所述子步骤S154的详细描述具体可参考本发明实施例对图3中所示的更新子模块154的描述。也即，子步骤S154可由所述更新子模块154来执行。

综上，本发明提供的一种自调节过滤方法、装置及网络安全系统，自调节过滤方法应用于自调节过滤装置100，自调节过滤装置100中通过设置策略执行模块110、参数测量模块120、被保护应用模块130、智能评估模块140和策略生成模块150，可以实现对输入数据包进行安全检测时能够更好地适应于无线网络中，并能对存在安全隐患的数据包实现自动防御。所述网络安全系统包括安全控制器30、适配器20和子控制端10，通过设置预存的安全策略、预存的安全算法得到安全数据包并获得新的安全策略从而实现对预存安全策略的更新以及对数据包的安全检测。网络安全系统包括安全控制器30和子控制端10，通过将所述自调节过滤装置100设置于子控制端10，所述子控制端10用于对所述输入数据包进行多次循环检测，实现有效检测并拦截存在安全隐患的数据包，同时实现了对预存的安全策略的动态自调节。通过设置适配器20使得该网络安全系统能够更好地适应动态性的无线网络。

应当理解到，所揭露的方法、装置，也可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的，例如，附图中的流程图和框图显示了根据本发明的实施例的装置、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上，流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分，所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意，在有些作为替换的实现方式中，方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如，两个连续的方框实际上可以基本并行地执行，它们有时也可以按相反的顺序执行，这依所涉及的功能而定。也要注意的是，框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合，可以用执行规定的功能或动作的专用的基于硬件的系统来实现，或者可以用专用硬件与计算机指令的组合来实现。

另外，在本发明实施例中的各功能模块可以集成在一起形成一个独立的部分，也可以是各个模块单独存在，也可以两个或两个以上模块集成形成一个独立的部分。

所述功能如果以软件功能模块的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。需要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”或者任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。

以上所述，仅为本发明的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，可轻易想到变化或替换，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应所述以权利要求的保护范围为准。