一种基于数据透明落地及协议隔离的传输方法和隔离设备与流程

1.本发明涉及网络安全领域，具体涉及一种基于数据透明落地及协议隔离的传输方法和隔离设备。


背景技术：

2.网络安全从安全防护角度上分为环境安全、主体安全、数据安全、传输安全、行为安全等几个维度，在不同维度上采用的安全措施则不同。环境安全主要通过物理环境安全；主体安全主要通过身份认证；数据安全主要通过防火墙和网闸；传输安全主要通过加密手段；行为安全主要通过审计的方式。这几方面的考虑角度不同，彼此之间需要相辅相成，但是由于网络安全的攻击手段呈现多元化、分散化，因此在数据安全上我们需要提升原有的手段。
3.数据安全的攻击手段有截获、篡改、夹带、离线分析等方式进行渗透，现有的手段有防火墙和网闸，但是其均存在固有的缺点，防火墙无法在传输协议层进行隔离，并且无法对数据实体内容进行格式分析检查；网闸虽然可以中断传输协议，但是无法透明的为业务终端提供传输服务。因此我们需要提供一种方式，可以在不改变业务使用模式的前提下对数据进行落地检查和协议隔离。协议隔离在安全态势上可以中断传输链路上的离线协议分析，使通信的双方终端在传输协议过程上并不一样；落地检查可以对数据实体进行应用格式分析、密标核检、内容夹带过滤、协议攻击清洗等操作，通过该方式应对日益严苛的数据安全带来的风险。


技术实现要素：

4.针对现有技术中的上述不足，本发明提供了一种基于数据透明落地及协议隔离的传输方法和隔离设备。
5.为了达到上述发明目的，本发明采用的技术方案为：
6.一种基于数据透明落地及协议隔离的传输方法，包括如下步骤：
7.s1、配置链路数据截获模块的数据截获类型，根据所配置的模式对数据进行过滤匹配，将匹配上的ip数据报文放入待处理接收队列；
8.s2、地址映射转换模块轮询遍历待处理接收队列，收到待处理ip报文后进行解析并将解析结果发送至落地服务模块和协议隔离模块；
9.s3、所述落地服务模块收到解析结果后在本地创建基于所述解析结果的接收服务，并从该接收服务的接收队列中读取实体内容，将获得的实体数据放入内容安全检查模块的任务队列中；所述协议隔离模块收到解析结果后在本地创建反向目标连接服务，并实时监听反向目标连接服务的发送队列；
10.s4、内容安全检查模块轮训遍历任务队列，当任务队列中存在带处理数据时，内容安全检查模块对数据进行统计，并将统计的信息发送至审计模块；若发送的数据为合法数据，则拷贝数据至内容存储模块，同时将该数据加入协议隔离模块中；若为异常数据，则异
常报文进行数据丢弃。
11.进一步的，所述s1中配置链路数据截获模块的数据截获类型的具体方式为数据全截获方式、协议及端口业务截获和特定协议。
12.进一步的，所述s2具体包括如下步骤：
13.s21、地址映射转换模块收到待处理ip报文后，解析ip数据并获取到目的ip地址、协议、目的端口，将协议、目的端口通告给落地服务模块，同时将目的ip、协议、目的端口通告到协议隔离模块；
14.s22、将待处理ip报文中的目的地址修改为本机ip地址，使修改后的报文存储在本地该协议的接收队列中，使报文在本地落地；
15.s23、在地址映射转换模块中形成原始报文与落地报文之间的映射关系。
16.进一步的，所述s23中的映射关系表示为：
17.原地址、目的地址、协议、源端口、目的端口-》原地址、本地地址、协议、源端口、目的端口。
18.进一步的，所述落地服务模块收到协议及dst port通告后，在本地创建基于该协议和dst port的数据接收服务，之后从该协议服务的接收队列中读取报文实体内容,该实体内容已经剥离了ip协议及tcp\udp协议头，为纯通信落地数据。并将获得的数据放入内容安全检查模块任务队列中。
19.进一步的，所述内容安全检查模块发现队列中有待处理的数据时，对数据进行格式检查、夹带检索、病毒携带、攻击行为、及关键表象索引，对合法及异常的数据进行统计，将统计的信息发送到行为审计模块。
20.还提供一种基于数据透明落地及协议隔离的设备，包括：
21.链路数据截获模块：设备串行部署在传输链路中，该设备通过链路数据截获模块透明截获链路上传输的数据，为数据透明落地提供数据来源；
22.地址映射转换模块：该模块将截获的数据报文进行本地透明落地信息转换，并形成源数据与落地数据的映射关系。为入设备和出设备的数据提供透明传输保障；
23.落地服务模块：该模块对需要落地的数据进行本地服务监听，并获取链路报文数据内容实体，为内容实体安全分析和内容格式检查提供数据来源；
24.协议隔离模块：通过本地重新创建新的目的连接，通过新的目的连接将处理完成的落地数据发送出去，从而实现协议隔离目的；
25.内容安全检查模块：该模块对落地的实体数据内容进行格式检查、行为分析、夹带检索等安全操作，保证链路传输中的数据安全可靠；
26.行为审计模块：该模块对安全检查的内容数据进行审计，包括报文长度、协议动作、安全特性、双方通信地址等信息，为管理员提供安全态势回溯的手段。
27.内容存储模块：对落地的数据进行本地备份存储，用于导出备案或为第三方安全设备提供离线分析数据源。
28.管理模块：对设备进行自身参数配置，包括地址、管理三元等配置项；对审计数据提供人机交互展示；以及设备自身运行状态展示。
29.本发明具有以下有益效果：
30.1.数据安全检查对通信双方是无感知的，其部署方式不需要改变原始业务的使用
模式。
31.2.可以对通信数据做到基于通信实体内容的备份，便于离线第三方的通信行为分析。
32.3.在通信双方无感的情况下，将通信协议隔离了。
33.4.为中间通信链路增加安全防护措施提供了透明的手段和网络节点。
34.6、简要说明本发明技术关键点和保
附图说明
35.图1为本发明基于数据透明落地及协议隔离的设备模块图。
36.图2为本发明基于数据透明落地及协议隔离的传输方法流程示意图。
37.图3为本发明实施例地址映射转换模块工作原理示意图。
38.图4为本发明实施例内容安全检查模块逻辑示意图。
具体实施方式
39.下面对本发明的具体实施方式进行描述，以便于本技术领域的技术人员理解本发明，但应该清楚，本发明不限于具体实施方式的范围，对本技术领域的普通技术人员来讲，只要各种变化在所附的权利要求限定和确定的本发明的精神和范围内，这些变化是显而易见的，一切利用本发明构思的发明创造均在保护之列。
40.一种基于数据透明落地及协议隔离的传输方法，如图2所示，包括如下步骤：
41.s1、配置链路数据截获模块的数据截获类型，根据所配置的模式对数据进行过滤匹配，将匹配上的ip数据报文放入待处理接收队列；
42.链路数据截获模块通过配置得到数据截获类型，可配置多种方式，包括数据全截获方式、特定业务截获(协议+端口)、特定协议(协议)等。该模块再根据配置模式对数据进行过滤匹配，将匹配上的ip数据报文放入待处理接收队列。
43.s2、地址映射转换模块轮询遍历待处理接收队列，收到待处理ip报文后进行解析并将解析结果发送至落地服务模块和协议隔离模块；
44.地址映射转换模块轮询遍历待处理接收队列，收到待处理ip报文后，1.解析该ip数据并获取到目的ip地址、协议、目的端口，将协议、目的端口通告给落地服务模块，同时将目的ip、协议、目的端口通告到协议隔离模块；2.将待处理ip报文中的目的地址，修改为本机ip地址，使修改后的报文存储在本地该协议的接收队列中，使报文可以本地落地；3.在该模块中形成原始报文与落地报文之间的映射关系，映射方式为(“原地址、目的地址、协议、源端口、目的端口
”‑
》“原地址、本地地址、协议、源端口、目的端口”，如图3所示。
45.s3、所述落地服务模块收到解析结果后在本地创建基于所述解析结果的接收服务，并从该接收服务的接收队列中读取实体内容，将获得的实体数据放入内容安全检查模块的任务队列中；所述协议隔离模块收到解析结果后在本地创建反向目标连接服务，并实时监听反向目标连接服务的发送队列；
46.落地服务模块收到协议及dst port通告后，在本地创建基于该协议和dst port的数据接收服务，之后从该协议服务的接收队列中读取报文实体内容,该实体内容已经剥离了ip协议及tcp\udp协议头，为纯通信落地数据。并将获得的数据放入内容安全检查模块任
务队列中。
47.协议隔离模块收到通告的目标ip、协议、dst port后，在本地创建反向目标连接服务，用于后续数据发送，并时刻监听该服务发送队列。
48.s4、内容安全检查模块轮训遍历任务队列，当任务队列中存在带处理数据时，内容安全检查模块对数据进行统计，并将统计的信息发送至审计模块；若发送的数据为合法数据，则拷贝数据至内容存储模块，同时将该数据加入协议隔离模块中；若为异常数据，则异常报文进行数据丢弃。
49.内容安全检查模块轮询遍历任务队列，发现队列中有待处理的数据时，对数据进行格式检查、夹带检索、病毒携带、攻击行为、及关键表象索引，对合法及异常的数据进行统计，将统计的信息发送到行为审计模块。对合法数据进行，拷贝一份数据到内容存储模块；并将该数据加入协议隔离模块中，相对应的反向连接服务发送队列中。对异常报文进行数据丢弃，如图4所示。
50.还提供一种基于数据透明落地及协议隔离的设备，如图1所示，包括：
51.链路数据截获模块：设备串行部署在传输链路中，该设备通过链路数据截获模块透明截获链路上传输的数据，为数据透明落地提供数据来源；
52.地址映射转换模块：该模块将截获的数据报文进行本地透明落地信息转换，并形成源数据与落地数据的映射关系。为入设备和出设备的数据提供透明传输保障；
53.落地服务模块：该模块对需要落地的数据进行本地服务监听，并获取链路报文数据内容实体，为内容实体安全分析和内容格式检查提供数据来源；
54.协议隔离模块：通过本地重新创建新的目的连接，通过新的目的连接将处理完成的落地数据发送出去，从而实现协议隔离目的；
55.内容安全检查模块：该模块对落地的实体数据内容进行格式检查、行为分析、夹带检索等安全操作，保证链路传输中的数据安全可靠；
56.行为审计模块：该模块对安全检查的内容数据进行审计，包括报文长度、协议动作、安全特性、双方通信地址等信息，为管理员提供安全态势回溯的手段。
57.内容存储模块：对落地的数据进行本地备份存储，用于导出备案或为第三方安全设备提供离线分析数据源。
58.管理模块：对设备进行自身参数配置，包括地址、管理三元等配置项；对审计数据提供人机交互展示；以及设备自身运行状态展示。
59.本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
60.这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
61.这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
62.本发明中应用了具体实施例对本发明的原理及实施方式进行了阐述，以上实施例的说明只是用于帮助理解本发明的方法及其核心思想；同时，对于本领域的一般技术人员，依据本发明的思想，在具体实施方式及应用范围上均会有改变之处，综上所述，本说明书内容不应理解为对本发明的限制。
63.本领域的普通技术人员将会意识到，这里所述的实施例是为了帮助读者理解本发明的原理，应被理解为本发明的保护范围并不局限于这样的特别陈述和实施例。本领域的普通技术人员可以根据本发明公开的这些技术启示做出各种不脱离本发明实质的其它各种具体变形和组合，这些变形和组合仍然在本发明的保护范围内。