网络安全系统和数据安全传输方法与流程

本技术属于信息安全，特别是涉及一种网络安全系统和数据安全传输方法。

背景技术：

1、随着技术的进步，新型网络环境如人工智能网络、边缘计算网络、新型多媒体网络和算力网络日益普及。这些新型网络提高了网络的性能和灵活性，但同时也带来了新的安全挑战。

2、在新型网络环境下，现有的网络安全技术应对新型攻击模式存在不足。例如，现有技术难以有效应对零日攻击、高级持续性威胁(advanced persistent threat，apt)等高级威胁。现有的网络安全技术存在资源和性能限制，例如，在资源受限的网络环境(如边缘计算)中，传统安全措施可能过于复杂或消耗过多资源。现有的网络安全技术的动态适应性不足。随着网络环境和攻击技术的快速演变，传统的安全机制难以快速适应新的威胁模式。此外，在现有的网络安全技术中，不同安全产品和工具之间缺乏有效的整合和协同，可能导致安全防御的盲点。

3、因此，现有的网络安全技术为网络安全提供了基础性的保护，但在新型网络环境下，仍需发展更为高效、智能、适应性强的网络安全解决方案。

4、申请内容

5、有鉴于此，本技术实施例提供了一种网络安全系统和数据安全传输方法，用以提高信息传输过程中的数据安全。

6、本技术实施例的第一方面提供了一种网络安全系统，包括用户终端、网络设备、安全认证设备和服务器，其中：

7、所述用户终端，用于向所述网络设备发送网络数据包；

8、所述网络设备，用于对接收到的所述网络数据包进行过滤，得到数据安全的第一网络数据包，并将所述第一网络数据包发送至所述安全认证设备；

9、所述安全认证设备，用于对接收到的所述第一网络数据包进行用户身份认证，并将认证通过的所述第一网络数据包发送至所述服务器。

10、在一种可能的实现方式中，所述网络设备包括数据包过滤模块、特征获取模块和处理模块，其中：

11、所述特征获取模块，用于提取所述网络数据包的行为特征信息和数据包信息；

12、所述处理模块，用于根据所述行为特征信息和特征识别模型生成所述网络数据包的特征信息结果，所述特征信息结果用于表征所述行为特征信息的特征类别；

13、所述数据包过滤模块，用于根据所述数据包信息和所述特征信息结果，对所述网络数据包进行过滤。

14、在一种可能的实现方式中，所述特征获取模块具体用于：

15、使用至少一个特征模板对所述网络数据包进行解析，生成所述行为特征信息和所述数据包信息，所述特征模板用于表征一个特征类别对应的网络数据包的特征。

16、在一种可能的实现方式中，所述数据包过滤模块具体用于：

17、根据所述数据包信息和所述行为特征信息，确定数据安全的第一网络数据包和存在安全风险的第二网络数据包；

18、丢弃所述第二网络数据包，并将所述第一网络数据包发送至所述安全认证设备。

19、在一种可能的实现方式中，所述处理模块包括特征标记单元和训练单元，其中：

20、所述特征标记单元，用于获取并标记所述行为特征信息，以得到所述行为特征信息的特征分类标识符；

21、所述训练单元，用于基于所述行为特征信息和对应的所述特征分类标识符，对所述特征识别模型进行训练。

22、在一种可能的实现方式中，所述处理模块还包括匹配单元，

23、所述匹配单元，用于向训练后的特征识别模型输入测试数据，得到输出的特征信息结果，将输出的特征信息结果与所述测试数据的正确特征信息进行匹配，得到匹配结果，并根据匹配结果确定待优化的特征识别模型。

24、在一种可能的实现方式中，所述匹配单元具体用于：

25、获取多个测试数据，每个所述测试数据包括测试行为特征信息和所述测试行为特征信息的正确特征分类标识符；

26、基于训练后的特征识别模型分别确定多个所述测试行为特征信息的测试特征分类标识符；

27、根据各个所述正确特征分类标识符，确定每个所述测试特征分类标识符是否正确；

28、若正确的所述测试特征分类标识符的数量大于预设阈值，则确定所述匹配结果为当前的特征识别模式训练完成；

29、若正确的所述测试特征分类标识符的数量小于或等于所述预设阈值，则确定所述匹配结果为当前的特征识别模式训练未完成。

30、在一种可能的实现方式中，所述处理模块还包括优化单元，所述优化单元与所述特征标记单元连接，所述优化单元用于对所述特征标记单元进行优化，所述优化单元向所述特征标记单元提供新的训练数据，基于新的训练数据，所述特征标记单元基于新的寻来你数据对特征标记模型进行优化。

31、在一种可能的实现方式中，所述优化单元与所述特征获取模块连接，所述优化单元还用于获取新的特征模板，并将新的特征模板与所述特征获取模块相连，以使所述特征获取单元基于新的特征模板提取到新的特征行为信息。

32、本技术实施例的第二方面提供了一种数据安全传输方法，应用于网络设备，所述方法包括：

33、接收来自各个用户终端的网络数据包；

34、基于数据安全规则，对接收到的各个所述网络数据包进行过滤，得到数据安全的第一网络数据包；

35、将所述第一网络数据包发送至安全认证设备，所述安全认证设备用于对所述第一网络数据包进行用户身份认证，并将认证通过的第二网络数据包发送至服务器，以完成所述用户终端的数据安全传输。

36、本技术实施例的第三方面提供了一种数据安全传输装置，应用于网络设备，所述装置包括：

37、接收模块，用于接收来自各个用户终端的网络数据包；

38、过滤模块，用于基于数据安全规则，对接收到的各个所述网络数据包进行过滤，得到数据安全的第一网络数据包；

39、发送模块，用于将所述第一网络数据包发送至安全认证设备，所述安全认证设备用于对所述第一网络数据包进行用户身份认证，并将认证通过的第二网络数据包发送至服务器，以完成所述用户终端的数据安全传输。

40、本技术实施例的第四方面提供了一种网络设备，包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序，所述处理器执行所述计算机程序时实现如上述第二方面所述的方法。

41、本技术实施例的第五方面提供了一种计算机可读存储介质，所述计算机可读存储介质存储有计算机程序，所述计算机程序被处理器执行时实现如上述第二方面所述的方法。

42、本技术实施例的第六方面提供了一种计算机程序产品，当所述计算机程序产品在计算机设备上运行时，使得所述计算机设备执行上述第二方面所述的方法。

43、与现有技术相比，本技术实施例包括以下优点：

44、使用本技术实施例中的网络安全系统进行数据传输时，用户终端可以向网络设备发送网络数据包；网络设备可以对接收到的网络数据包进行过滤，从而得到数据安全的第一网络数据包，并将第一网络数据包发送至安全认证设备；安全认证设备可以对接收到的第一网络数据包进行用户身份认证，并将认证通过的第一网络数据包发送至所述服务器。服务器接收到的网络数据包经过了离两层数据安全验证，从而保障了服务器接收到的网络安全数据包的数据安全且来源可靠。

技术实现思路