CN110532753A - 列车运行监控记录装置业务数据流的安全防护方法及设备 - Google Patents
列车运行监控记录装置业务数据流的安全防护方法及设备 Download PDFInfo
- Publication number
- CN110532753A CN110532753A CN201910586011.5A CN201910586011A CN110532753A CN 110532753 A CN110532753 A CN 110532753A CN 201910586011 A CN201910586011 A CN 201910586011A CN 110532753 A CN110532753 A CN 110532753A
- Authority
- CN
- China
- Prior art keywords
- data flow
- user
- intranet
- external network
- transmitted
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/33—User authentication using certificates
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- General Health & Medical Sciences (AREA)
- Bioethics (AREA)
- Health & Medical Sciences (AREA)
- Databases & Information Systems (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种列车运行监控记录装置业务数据流的安全防护方法及设备,属于列车运行监控记录装置领域。所述方法包括:当接收到外网用户向内网用户传输的数据流时,确定外网用户向内网用户传输的数据流的入侵行为特征,所述入侵行为特征包括攻击行为特征、网络及数据危害行为特征、以及异常情况特征中的至少一种;基于确定的数据流的入侵行为特征和目标入侵行为特征,确定外网用户向内网用户传输的数据流是否为隐藏入侵行为的数据流;当所述数据流为隐藏入侵行为的数据流时,对所述数据流进行过滤。
Description
技术领域
本发明涉及列车运行监控记录装置技术领域,特别涉及一种列车运行监控记录装置业务数据流的安全防护方法及设备。
背景技术
LKJ(列车运行监控记录装置,简称监控装置),是我国铁路研制的以保证列车运行安全为主要目的列车速度监控装置。LKJ在实现列车速度安全控制的同时,采集记录与列车安全运行有关的各种机车运行状态信息,促进了机车运行管理的自动化。该运行状态信息包括LKJ业务数据流,即列车上终端设备通过无线网络与列车以外设备之间的交互数据。LKJ业务数据流为LKJ带来诸多安全风险,例如通过LKJ业务数据流对列车内网进行非法访问、数据被侦听和篡改、以及入侵攻击风险。
发明内容
本发明实施例提供了一种列车运行监控记录装置业务数据流的安全防护方法及设备,能够提高安全性和可靠性,避免通过LKJ业务数据流对列车内网进行非法访问、数据被侦听和篡改、以及入侵攻击。所述技术方案如下:
第一方面,提供了一种列车运行监控记录装置业务数据流的安全防护方法,所述方法包括:
当接收到外网用户向内网用户传输的数据流时,确定所述外网用户向内网用户传输的数据流的入侵行为特征,所述入侵行为特征包括攻击行为特征、网络及数据危害行为特征、以及异常情况特征中的至少一种;
基于确定的数据流的入侵行为特征和目标入侵行为特征,确定所述外网用户向内网用户传输的数据流是否为隐藏入侵行为的数据流;
当所述外网用户向内网用户传输的数据流为所述隐藏入侵行为的数据流时,对所述外网用户向内网用户传输的数据流进行过滤。
可选地,所述入侵行为特征包括攻击行为特征,所述基于确定的数据流的入侵行为特征和目标入侵行为特征,确定所述外网用户向内网用户传输的数据流是否为隐藏入侵行为的数据流,包括:
确定当前周期所述外网用户向所述内网用户传输的数据流的攻击行为特征,所述攻击行为特征包括当前周期的会话数量、单位时间的会话数量、以及单位时间的数据包数量;
比较所述当前周期的会话数量与目标会话数量、所述单位时间的会话数量与目标单位时间的会话数量、以及单位时间的数据包数量与目标单位时间的数据包数量;
当所述当前周期的会话数量、所述单位时间的会话数量、以及所述单位时间的数据包数量分别达到或超过所述目标会话数量、所述目标单位时间的会话数量、以及所述目标单位时间的数据包数量时,确定所述外网用户向内网用户传输的数据流为所述隐藏入侵行为的数据流。
可选地,所述方法还包括:
当所述外网用户向内网用户传输的数据流不为所述隐藏入侵行为的数据流时,确定所述外网用户向内网用户传输的数据流对应的应用类型;
基于所述外网用户向内网用户传输的数据流对应的应用类型,管理所述外网用户向内网用户传输的数据流的带宽。
可选地,所述确定所述外网用户向内网用户传输的数据流对应的应用类型,包括:
确定所述外网用户向内网用户传输的数据流对应的协议;
确定所述对应的协议的类型;
基于所述对应的协议的类型,确定所述外网用户向内网用户传输的数据流对应的应用类型。
可选地,所述基于所述对应的协议的类型,确定所述外网用户向内网用户传输的数据流对应的应用类型,包括:
当所述对应的协议的类型为第一类时,从所述外网用户向内网用户传输的数据流中提取指纹信息,所述指纹信息包括目标端口标识、目标字符串和目标序列中的至少一种,基于提取的指纹信息,确定所述外网用户向内网用户传输的数据流对应的应用类型;
当所述对应的协议的类型为第二类时,对所述外网用户向内网用户传输的数据流进行解码,基于解码后的数据流,确定所述外网用户向内网用户传输的数据流对应的应用类型;
当所述对应的协议的类型为第三类时,确定相应的内网用户已经实施的行为,基于相应的内网用户已经实施的行为,确定所述外网用户向内网用户传输的数据流对应的应用类型。
可选地,在所述接收到外网用户向内网用户传输的数据流之前,所述方法还包括:
接收所述内网用户的登陆请求,所述登陆请求包括所述内网用户的标识;
基于所述内网用户的标识,对所述内网用户进行认证;
当通过认证后,基于所述内网用户的标识,为通过认证的内网用户授予相应的外网访问权限。
可选地,所述方法还包括:
当所述外网用户向内网用户传输的数据流不为所述隐藏入侵行为的数据流时,确定所述外网用户向内网用户传输的数据流对应的内网用户的标识;
基于所述外网用户向内网用户传输的数据流对应的内网用户的标识,管理所述内网用户的带宽。
可选地,所述基于所述外网用户向内网用户传输的数据流对应的内网用户的标识,管理所述内网用户的带宽,包括:
确定所述外网用户向内网用户传输的数据流对应的应用类型;
基于所述外网用户向内网用户传输的数据流对应的内网用户的标识、以及所述外网用户向内网用户传输的数据流对应的应用类型,管理所述内网用户的带宽。
第二方面,提供了一种列车运行监控记录装置业务数据流的安全防护设备,所述设备包括:
第一确定模块,用于当接收到外网用户向内网用户传输的数据流时,确定所述外网用户向内网用户传输的数据流的入侵行为特征,所述入侵行为特征包括攻击行为特征、网络及数据危害行为特征、以及异常情况特征中的至少一种;
第二确定模块,用于基于确定的数据流的入侵行为特征和目标入侵行为特征,确定所述外网用户向内网用户传输的数据流是否为隐藏入侵行为的数据流;
过滤模块,用于当所述外网用户向内网用户传输的数据流为所述隐藏入侵行为的数据流时,对所述外网用户向内网用户传输的数据流进行过滤。
第三方面,提供了一种列车运行监控记录装置业务数据流的安全防护设备,所述设备包括处理器和存储器,所述存储器中存储有至少一条指令,所述指令由所述处理器加载并执行以实现前述列车运行监控记录装置业务数据流的安全防护方法。
本发明实施例提供的技术方案带来的有益效果是:通过确定外网用户向内网用户传输的数据流的入侵行为特征,基于目标入侵行为特征,确定外网用户向内网用户传输的数据流是否为隐藏入侵行为的数据流,能够对隐藏入侵行为的数据流进行过滤,可以在将数据流进入内网之前就阻止其入侵,防患于未然,使其危害性充分降低,能够提高安全性和可靠性,避免通过LKJ业务数据流对列车内网进行非法访问、数据被侦听和篡改、以及入侵攻击。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明实施例提供的列车内网与外网的通信示意框图;
图2和图3是本发明实施例提供的一种列车运行监控记录装置业务数据流的安全防护方法的流程图;
图4和图5是本发明实施例提供的一种列车运行监控记录装置业务数据流的安全防护设备的结构框图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面将结合附图对本发明实施方式作进一步地详细描述。
为便于理解本发明实施例提供的技术方案,首先介绍一下该技术方案适用的一示例性应用场景。在本发明实施例中,内网可以是列车内部局域网,外网可以是与内网通信的其他网络。参见图1,内网1通过无线网络(包括4G网络和无线局域网)2与外网3通信。示例性地,内网1可以通过接口1a与无线网络2连接。接口1a用于转发内网1与外网3之间的业务数据流,包括,接收外网3通过无线网络2传输至内网1的数据、以及发送内网1通过无线网络2传输至外网3的数据。本发明实施例提供的列车运行监控记录装置业务数据流的安全防护设备4可以设置在接口1a处。该安全防护设备4与LKJ 5均位于内网1中,安全防护设备4用于确保内网1的网络安全,避免非法用户通过接口1a转发的业务数据流对内网1进行入侵,以对内网1中联网设备进行数据被侦听和篡改、以及攻击等。本发明实施例提供的列车运行监控记录装置业务数据流的安全防护方法可以由该安全防护设备4执行。需要说明的是,图1示出的应用场景仅用于举例,本发明实施例提供的列车运行监控记录装置业务数据流的安全防护方法及设备所适用的应用场景并不仅限于此。
图2示出了本发明实施例提供的一种列车运行监控记录装置业务数据流的安全防护方法,可以由图1中示出的安全防护设备4执行。参见图2,该方法流程包括如下步骤。
步骤101、当接收到外网用户向内网用户传输的数据流时,确定外网用户向内网用户传输的数据流的入侵行为特征。
其中,入侵行为特征包括攻击行为特征、网络及数据危害行为特征、以及异常情况特征中的至少一种。网络及数据危害行为可以是病毒。异常情况为应用程序中的异常情况、网络传输中的异常情况、以及数据包的源IP(Internet Protocol,网络之间互连的协议)地址中的至少一种。示例性地,应用程序中的异常情况可以是,用户或用户程序违反安全条例、作业***或应用程序弱点的空子正在被利用等情况;网络传输中的异常情况可以是,数据包在不应该出现的时段出现等现象。
步骤102、基于确定的数据流的入侵行为特征和目标入侵行为特征,确定外网用户向内网用户传输的数据流是否为隐藏入侵行为的数据流。
当外网用户向内网用户传输的数据流为隐藏入侵行为的数据流时,执行步骤103;当外网用户向内网用户传输的数据流不为隐藏入侵行为的数据流时,执行步骤104。
步骤103、对数据流进行过滤。
其中,过滤包括丢弃处理。
步骤104、基于外网用户向内网用户传输的数据流,进行带宽管理。
本发明实施例通过确定外网用户向内网用户传输的数据流的入侵行为特征,基于目标入侵行为特征,确定外网用户向内网用户传输的数据流是否为隐藏入侵行为的数据流,能够对隐藏入侵行为的数据流进行过滤,可以在将数据流进入内网之前就阻止其入侵,防患于未然,使其危害性充分降低,能够提高安全性和可靠性,避免通过LKJ业务数据流对列车内网进行非法访问、数据被侦听和篡改、以及入侵攻击。
示例性地,参见图3,在步骤101之前,该方法流程还可以包括步骤201-步骤203。
步骤201、接收内网用户的登陆请求。
其中,该登陆请求包括内网用户的标识。示例性地,除内网用户的标识之外,该登陆请求还可以包括终端的标识。用户的标识可以与用户终端的标识进行绑定,防止其他人在其他地方冒用用户身份。
步骤202、基于内网用户的标识,对内网用户进行认证。
示例性地,可以采用一次性口令认证机制,即用户仅需要输入一次与用户的标识对应的口令。用户的标识对应的口令可以基于用户的标识对应的密码和动态因子计算得到。用户的标识对应的密码可以由内网用户在登陆之前向LKJ或认证服务器申请得到。动态因子可以是用户的当前登陆时间。口令计算方式可以是目标计算方式。一次性口令认证机制通过一次一密极大地提高了访问控制的安全性,有效阻止非授权用户访问外网。
示例性地,还可以采用基于证书的认证。证书可以遵循X.509证书体系,可以由LKJ生成,也可以由认证服务器,即第三方CA(产生和确定数字证书的第三方可信机构)生成。用户可以将证书保存在专用的USB(Universal Serial Bus,通用串行总线)-KEY(钥匙)里,USB-KEY就像是每个用户的随身令牌一样,用户必须同时拥有USB-KEY、PIN(PersonalIdentification Number,个人标识号)(即用户的标识)和合法的证书才能通过认证。基于此,在接收到登陆请求后,获取用户提供的证书和用户的标识对应的原始证书,比对用户提供的证书与对应的原始证书,当用户提供的证书与对应的原始证书一致时,通过认证。
示例性地,为了便于对已有认证***的用户提供兼容,***还支持通过第三方进行认证,第三方包括但不限于RADIUS(Remote Authentication Dial In User Service,远程用户拨号认证服务)服务器、LDAP(Lightweight Directory Access Protocol,轻量目录访问协议)/AD(Active Directory,活动目录)服务器、Secure(安全)ID(Identity,身份标识)认证方等。
当内网用户通过认证后,执行步骤203。当内网用户未通过认证时,可以引导内网用户重新进行认证或者开通认证。
步骤203、基于内网用户的标识,为通过认证的内网用户授予相应的外网访问权限。
用户通过输入用户名和口令之后,用户的认证信息(包括证书)将通过加密的方式发送到网关,在与数据库的数据进行匹配通过认证之后,将根据***已经设置完成的用户外网访问权限返回对应的用户或用户组,用户将根据得到的授权使用网络资源。
示例性地,可以根据不同的用户,设定用户的访问权限。还可以对用户进行分组,基于不同用户组,设定用户的访问权限。访问权限可以包括如下内容:用户上网使用的计算机的标识,用户接入网络的IP地址,用户的上网时间段,用户禁止浏览的网站,用户上网的每天或每月能够上网的总计时长。
示例性地,入侵行为特征包括攻击行为特征,基于此,步骤102可以包括如下步骤。
第一步、确定当前周期外网用户向内网用户传输的数据流的攻击行为特征。
其中,攻击行为特征包括当前周期的会话数量、单位时间的会话数量、以及单位时间的数据包数量。会话是指内网用户与外网用户之间的连接。比如当前周期的会话数量为3,包括:内网用户A1与外网用户B1之间的连接,内网用户A1与外网用户B2之间的连接,内网用户A2与外网用户B1之间的连接。单位时间可以是1秒,周期大于1秒。单位时间的会话数量、以及单位时间的数据包数量均指当前周期内的。目标攻击行为特征可以是目标会话数量、目标单位时间的会话数量、以及目标单位时间的数据包数量。
第二步、比较当前周期的会话数量与目标会话数量、单位时间的会话数量与目标单位时间的会话数量、以及单位时间的数据包数量与目标单位时间的数据包数量。
当当前周期的会话数量、单位时间的会话数量、以及单位时间的数据包数量分别达到或超过目标会话数量、目标单位时间的会话数量、以及目标单位时间的数据包数量时,确定外网用户向内网用户传输的数据流为隐藏入侵行为的数据流,例如,该数据流为隐藏DoS(Denial of Service,拒绝服务)/DDoS(Distributed Denial of Service,分布式拒绝服务)攻击行为的数据流,执行步骤103。当当前周期的会话数量、单位时间的会话数量、以及单位时间的数据包数量分别未达到目标会话数量、目标单位时间的会话数量、以及目标单位时间的数据包数量时,确定数据流不为隐藏DoS/DDoS攻击行为的数据流,这时,可以执行步骤104,或者,继续检测外网用户向内网用户传输的数据流的其他入侵行为特征。示例性地,该其他入侵行为特征可以是数据包的源IP地址。当该源IP地址为黑名单中IP地址时,直接丢弃该数据包;当该源IP地址为白名单中IP地址时,执行步骤104。黑名单和白名单可以由管理人员手动添加和编辑。
步骤103中,当检测到数据流为隐藏入侵行为的数据流时,可以过滤该数据流,例如丢弃数据包,并进行记载,方便后续基于记载进行分析。
示例性地,可以针对数据流所属的业务的不同,对其流量进行整形,从而实现带宽的限制,这样能够保证重要业务优先于次要业务顺利进行。在本实施例中,采用应用类型区分业务,应用类型不同,其业务不同。基于此,步骤104可以包括如下步骤。
步骤A、确定外网用户向内网用户传输的数据流对应的应用类型。
步骤B、基于外网用户向内网用户传输的数据流对应的应用类型,管理外网用户向内网用户传输的数据流的带宽。
示例性地,步骤A可以包括:确定外网用户向内网用户传输的数据流对应的协议;确定数据流对应的协议的类型;基于数据流对应的协议的类型,确定数据流对应的应用类型。协议可以是底层网络协议。
示例性地,本发明实施例中,将协议的类型分为三种,相应地,提供三种应用类型的确定方式。
第一种确定方式包括:当对应的协议的类型为第一类时,从外网用户向内网用户传输的数据流中提取指纹信息,指纹信息包括目标端口标识、目标字符串和目标序列中的至少一种,基于提取的指纹信息,确定外网用户向内网用户传输的数据流对应的应用类型。
第一种确定方式是特征字的识别技术,其工作原理如下。不同的应用通常会采用不同的协议,而各种协议都有其特殊的指纹。这些指纹可能是特定的端口、特定的字符串或者特定的序列。基于特征字的识别技术,正是通过识别数据报文中的指纹信息来确定业务所承载的应用。根据具体检测方式的不同,基于特征字的识别技术又可细分为固定特征位置匹配、变动特征位置匹配和状态特征字匹配三种分支技术。通过对指纹信息的升级,基于特征字的识别技术可以方便的扩展到对新协议的检测。通常,这部分技术通过在***内核底层进行报文分析来进行处理。第一类协议可以是Http(HyperText Transfer Protocol,超文本传输协议)或FTP(File Transfer Protocol,文件传输协议)等,在底层内核进行应用协议分析和还原,并进行指纹信息的提取。在指纹信息与应用类型的对应关系中,确定提取的指纹信息对应的应用类型。第一种确定方式可以较好地对应用内容进行识别,同时处理效率也比较高,适合时敏感的应用。
第二种确定方式包括:当对应的协议的类型为第二类时,对外网用户向内网用户传输的数据流进行解码,基于解码后的数据流,确定外网用户向内网用户传输的数据流对应的应用类型。
第二种确定方式是应用层网关代理识别技术,其工作原理如下。在一些应用中,由于数据在通信中进行了编码,如果进行内容还原和识别,就需要进行解码。而有些解码库在***内核没有提供,那么就需要把这些应用转到应用层去进行应用层网络协议还原。例如,第二类协议可以是SMTP(Simple Mail Transfer Protocol,简单邮件传输协议)、POP3(Post Office Protocol-Version 3,邮局协议版本3)、或IMAP(Internet Mail AccessProtocol,交互邮件访问协议)等邮件协议,由于邮件采用MIME(Multipurpose InternetMail Extensions,多用途互联网邮件扩展)格式,对邮件内容进行了Base64编码,就必须在应用层进行解码处理。这就需要用到应用代理技术。由于需要把数据从内核转发给应用层,为了提高报文处理的效率,可以采用报文零拷贝技术,把内核报文直接拷贝至应用层空间,从而提高了应用处理的效率。在解码之后,可以直接对解码后的数据流IP载荷进行内容识别,从而确定数据流对应的应用类型。
第三种确定方式包括:当对应的协议的类型为第三类时,确定相应的内网用户针对数据流已经实施的行为,基于相应的内网用户针对数据流已经实施的行为,确定外网用户向内网用户传输的数据流对应的应用类型。
第三种确定方式是行为模式识别技术。对于由协议确定应用类型的数据,可以基于行为模式识别技术识别相应的应用类型。其工作原理如下。基于行为识别模型,即根据客户已经实施的行为,判断客户正在进行的动作或者即将实施的动作。例如,从电子邮件的内容看,垃圾邮件和普通邮件的业务流两者间根本没有区别。只有进一步分析,具体根据用户已经实施的行为,比如发送邮件的大小、频率、目的邮件和源邮件地址、变化的频率和被拒绝的频率等,进行综合分析,才能判断是否为垃圾邮件。
需要说明的是,这三种识别技术分别适用于不同类型的协议,相互之间无法替代。运用这三大识别技术,可以有效的灵活的识别网络上的各类应用,从而实现流量控制和管理。
基于应用的带宽管理需要准确分析到数据的协议类型以及应用类型,所设置的带宽策略才能准确限制各业务、各用户的网络带宽使用情况。基于应用的带宽管理策略的好处在于:能够根据需要区分主要业务与次要业务、非业务等网络应用,有效保证关键业务对网络带宽的占用情况。
前述步骤B为基于应用类型的带宽管理,除此之外,本发明实施例还提供基于用户的带宽管理、基于应用类型和用户的带宽管理、以及基于控制连接数的带宽管理,下面分别对此进行介绍。
对于基于用户的带宽管理,步骤104可以包括如下步骤。
步骤a2、确定外网用户向内网用户传输的数据流对应的内网用户的标识。
步骤b2、基于外网用户向内网用户传输的数据流对应的内网用户的标识,管理内网用户的带宽。
在确定应用管理的基础上,网关还可以根据用户或用户组设置不同优先级和不同数量级的带宽策略,例如可以设置不同组的每组带宽策略,亦可根据不同用户进行带宽设置,使带宽管理的控制能够更加精准。通过对用户组带宽策略的设置,还能有效提升网内服务器群组的出口带宽,保障网内服务器群组的对外服务能力,缩短响应时间。带宽管理的设置经过了充分的考虑以及合理的规划,可以实现针对网络中的任一用户或用户组的能够基于应用的带宽管理;用户及用户组不需另外添加,由***自动从已有的用户列表中读取,然后由用户进行选择。
对于基于应用类型和用户的带宽管理,步骤104可以包括如下步骤。
步骤a3、确定外网用户向内网用户传输的数据流对应的内网用户的标识。
步骤b3、确定外网用户向内网用户传输的数据流对应的应用类型。
步骤c3、基于外网用户向内网用户传输的数据流对应的内网用户的标识、以及外网用户向内网用户传输的数据流对应的应用类型,管理内网用户的带宽。
在不同的用户或用户组策略内,还可以设置不同的带宽策略优先级,例如可以将同一个组而不同的应用进行分类,并设定优先级,从而确保关键应用/关键使用人的带宽使用保障。通过用户及应用的带宽管理优先级设定,还可以将非关键业务纳入到管理范畴之内,使得网络内部各种流量都可管可控。带宽管理中可通过添加,修改,删除操作来设置指定应用的带宽控制策略,设置多种应用,例如Http/FTP、eMule、迅雷等,同时还能自定义网络应用,通过对地址端口等数据的登记可以完全实现对客户自有业务的保障。网关能够设置指定端口的带宽控制策略。
对于基于控制连接数的带宽管理,步骤104可以包括如下步骤。
步骤a4、确定当前单位时间内网用户发起的连接数。
步骤b4、基于当前单位时间内网用户发起的连接数,管理内网用户的带宽。
在防火墙***的带宽管理中还可以通过连接数限制来进行带宽控制:即控制用户每秒发起的连接数来限制用户所能进行成功建立连接的个数,从而达到通过控制连接数来实现对其所使用的应用的带宽管理。防火墙***还能够通过控制用户的连接数来进行用户的带宽控制。众所周知,连接数越多,其可能占用的带宽越大,尤其是在目前常用的P2P(Peer to Peer,对等网络)下载中,限制连接数是限制P2P下载带宽效果比较明显的措施之一。
图4示出了本发明实施例提供的一种列车运行监控记录装置业务数据流的安全防护设备,可以适用于图1示出的应用场景。参见图4,该设备800包括:第一确定模块401、第二确定模块402、和过滤模块403。
第一确定模块401,用于当接收到外网用户向内网用户传输的数据流时,确定外网用户向内网用户传输的数据流的入侵行为特征,入侵行为特征包括攻击行为特征、网络及数据危害行为特征、以及异常情况特征中的至少一种。
第二确定模块402,用于基于确定的数据流的入侵行为特征和目标入侵行为特征,确定外网用户向内网用户传输的数据流是否为隐藏入侵行为的数据流。
过滤模块403,用于当外网用户向内网用户传输的数据流为隐藏入侵行为的数据流时,对外网用户向内网用户传输的数据流进行过滤。
示例性地,入侵行为特征包括攻击行为特征。相应地,该第二确定模块402用于,确定当前周期外网用户向内网用户传输的数据流的攻击行为特征,攻击行为特征包括当前周期的会话数量、单位时间的会话数量、以及单位时间的数据包数量;比较当前周期的会话数量与目标会话数量、单位时间的会话数量与目标单位时间的会话数量、以及单位时间的数据包数量与目标单位时间的数据包数量;当当前周期的会话数量、单位时间的会话数量、以及单位时间的数据包数量分别达到或超过目标会话数量、目标单位时间的会话数量、以及目标单位时间的数据包数量时,确定外网用户向内网用户传输的数据流为隐藏入侵行为的数据流。
示例性地,该设备800还包括维护模块404,该维护模块404用于,当外网用户向内网用户传输的数据流不为隐藏入侵行为的数据流时,确定外网用户向内网用户传输的数据流对应的应用类型;基于外网用户向内网用户传输的数据流对应的应用类型,管理外网用户向内网用户传输的数据流的带宽。
示例性地,该维护模块404用于,确定外网用户向内网用户传输的数据流对应的协议;确定对应的协议的类型;基于对应的协议的类型,确定外网用户向内网用户传输的数据流对应的应用类型。
示例性地,该维护模块404还用于,当对应的协议的类型为第一类时,从外网用户向内网用户传输的数据流中提取指纹信息,指纹信息包括目标端口标识、目标字符串和目标序列中的至少一种,基于提取的指纹信息,确定外网用户向内网用户传输的数据流对应的应用类型;当对应的协议的类型为第二类时,对外网用户向内网用户传输的数据流进行解码,基于解码后的数据流,确定外网用户向内网用户传输的数据流对应的应用类型;当对应的协议的类型为第三类时,确定相应的内网用户针对数据流已经实施的行为,基于相应的内网用户针对数据流已经实施的行为,确定外网用户向内网用户传输的数据流对应的应用类型。
示例性地,该设备800还包括认证模块405,该认证模块405用于,接收该内网用户的登陆请求,该登陆请求包括内网用户的标识;基于该内网用户的标识,对该内网用户进行认证;当通过认证后,基于该内网用户的标识,为通过认证的内网用户授予相应的外网访问权限。
示例性地,该维护模块404还用于,当检测到该数据流不为隐藏入侵行为的数据流时,确定该数据流对应的内网用户的标识;基于该数据流对应的内网用户的标识,管理该内网用户的带宽。
示例性地,该维护模块404用于,确定该数据流对应的应用类型;基于该数据流对应的内网用户的标识、以及该数据流对应的应用类型,管理该内网用户的带宽。
本发明实施例通过确定外网用户向内网用户传输的数据流的入侵行为特征,基于目标入侵行为特征,确定外网用户向内网用户传输的数据流是否为隐藏入侵行为的数据流,能够对隐藏入侵行为的数据流进行过滤,可以在将数据流进入内网之前就阻止其入侵,防患于未然,使其危害性充分降低,能够提高安全性和可靠性,避免通过LKJ业务数据流对列车内网进行非法访问、数据被侦听和篡改、以及入侵攻击。
需要说明的是:上述实施例提供的列车运行监控记录装置业务数据流的安全防护设备在对列车运行监控记录装置业务数据流进行安全防护时,仅以上述各功能模块的划分进行举例说明,实际应用中,可以根据需要而将上述功能分配由不同的功能模块完成,即将设备的内部结构划分成不同的功能模块,以完成以上描述的全部或者部分功能。另外,上述实施例提供的列车运行监控记录装置业务数据流的安全防护设备与列车运行监控记录装置业务数据流的安全防护方法实施例属于同一构思,其具体实现过程详见方法实施例,这里不再赘述。
图5示出了本发明一个示例性实施例提供的列车运行监控记录装置业务数据流的安全防护设备的结构框图。该安全防护设备可以是计算机300。计算机300包括中央处理单元(CPU)301、包括随机存取存储器(RAM)302和只读存储器(ROM)303的***存储器304,以及连接***存储器304和中央处理单元301的***总线305。计算机300还可以包括帮助计算机内的各个器件之间传输信息的基本输入/输出***(I/O***)306,和用于存储操作***313、应用程序314和其他程序模块315的大容量存储设备307。
基本输入/输出***306包括有用于显示信息的显示器308和用于用户输入信息的诸如鼠标、键盘之类的输入设备309。其中显示器308和输入设备309都通过连接到***总线305的输入输出控制器310连接到中央处理单元301。基本输入/输出***306还可以包括输入输出控制器310以用于接收和处理来自键盘、鼠标、或电子触控笔等多个其他设备的输入。类似地,输入输出控制器310还提供输出到显示屏、打印机或其他类型的输出设备。
大容量存储设备307通过连接到***总线305的大容量存储控制器(未示出)连接到中央处理单元301。大容量存储设备307及其相关联的计算机可读介质为计算机300提供非易失性存储。也就是说,大容量存储设备307可以包括诸如硬盘或者CD-ROM驱动器之类的计算机可读介质(未示出)。
不失一般性,计算机可读介质可以包括计算机存储介质和通信介质。计算机存储13介质包括以用于存储诸如计算机可读指令、数据结构、程序模块或其他数据等信息的任何方法或技术实现的易失性和非易失性、可移动和不可移动介质。计算机存储介质包括RAM、ROM、EPROM、EEPROM、闪存或其他固态存储其技术,CD-ROM、DVD或其他光学存储、磁带盒、磁带、磁盘存储或其他磁性存储设备。当然,本领域技术人员可知计算机存储介质不局限于上述几种。上述的***存储器304和大容量存储设备307可以统称为存储器。
根据本发明的各种实施例,计算机300还可以通过诸如因特网等网络连接到网络上的远程计算机运行。也即计算机300可以通过连接在***总线305上的网络接口单元311连接到网络312,或者说,也可以使用网络接口单元311来连接到其他类型的网络或远程计算机***(未示出)。
上述存储器还包括一个或者一个以上的程序,一个或者一个以上程序存储于存储器中,被配置由CPU执行。所述一个或者一个以上程序包含用于进行本发明实施例提供的如下所述的列车运行监控记录装置业务数据流的安全防护方法的指令。
本领域普通技术人员可以理解实现上述实施例的全部或部分步骤可以通过硬件来完成,也可以通过程序来指令相关的硬件完成,所述的程序可以存储于一种计算机可读存储介质中,上述提到的存储介质可以是只读存储器,磁盘或光盘等。
以上所述仅为本发明的较佳实施例,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (10)
1.一种列车运行监控记录装置业务数据流的安全防护方法,其特征在于,所述方法包括:
当接收到外网用户向内网用户传输的数据流时,确定所述外网用户向内网用户传输的数据流的入侵行为特征,所述入侵行为特征包括攻击行为特征、网络及数据危害行为特征、以及异常情况特征中的至少一种;
基于确定的数据流的入侵行为特征和目标入侵行为特征,确定所述外网用户向内网用户传输的数据流是否为隐藏入侵行为的数据流;
当所述外网用户向内网用户传输的数据流为所述隐藏入侵行为的数据流时,对所述外网用户向内网用户传输的数据流进行过滤。
2.根据权利要求1所述的方法,其特征在于,所述入侵行为特征包括攻击行为特征,所述基于确定的数据流的入侵行为特征和目标入侵行为特征,确定所述外网用户向内网用户传输的数据流是否为隐藏入侵行为的数据流,包括:
确定当前周期所述外网用户向所述内网用户传输的数据流的攻击行为特征,所述攻击行为特征包括当前周期的会话数量、单位时间的会话数量、以及单位时间的数据包数量;
比较所述当前周期的会话数量与目标会话数量、所述单位时间的会话数量与目标单位时间的会话数量、以及单位时间的数据包数量与目标单位时间的数据包数量;
当所述当前周期的会话数量、所述单位时间的会话数量、以及所述单位时间的数据包数量分别达到或超过所述目标会话数量、所述目标单位时间的会话数量、以及所述目标单位时间的数据包数量时,确定所述外网用户向内网用户传输的数据流为所述隐藏入侵行为的数据流。
3.根据权利要求1所述的方法,其特征在于,所述方法还包括:
当所述外网用户向内网用户传输的数据流不为所述隐藏入侵行为的数据流时,确定所述外网用户向内网用户传输的数据流对应的应用类型;
基于所述外网用户向内网用户传输的数据流对应的应用类型,管理所述外网用户向内网用户传输的数据流的带宽。
4.根据权利要求3所述的方法,其特征在于,所述确定所述外网用户向内网用户传输的数据流对应的应用类型,包括:
确定所述外网用户向内网用户传输的数据流对应的协议;
确定所述对应的协议的类型;
基于所述对应的协议的类型,确定所述外网用户向内网用户传输的数据流对应的应用类型。
5.根据权利要求4所述的方法,其特征在于,所述基于所述对应的协议的类型,确定所述外网用户向内网用户传输的数据流对应的应用类型,包括:
当所述对应的协议的类型为第一类时,从所述外网用户向内网用户传输的数据流中提取指纹信息,所述指纹信息包括目标端口标识、目标字符串和目标序列中的至少一种,基于提取的指纹信息,确定所述外网用户向内网用户传输的数据流对应的应用类型;
当所述对应的协议的类型为第二类时,对所述外网用户向内网用户传输的数据流进行解码,基于解码后的数据流,确定所述外网用户向内网用户传输的数据流对应的应用类型;
当所述对应的协议的类型为第三类时,确定相应的内网用户已经实施的行为,基于相应的内网用户已经实施的行为,确定所述外网用户向内网用户传输的数据流对应的应用类型。
6.根据权利要求5所述的方法,其特征在于,在所述接收到外网用户向内网用户传输的数据流之前,所述方法还包括:
接收所述内网用户的登陆请求,所述登陆请求包括所述内网用户的标识;
基于所述内网用户的标识,对所述内网用户进行认证;
当通过认证后,基于所述内网用户的标识,为通过认证的内网用户授予相应的外网访问权限。
7.根据权利要求6所述的方法,其特征在于,所述方法还包括:
当所述外网用户向内网用户传输的数据流不为所述隐藏入侵行为的数据流时,确定所述外网用户向内网用户传输的数据流对应的内网用户的标识;
基于所述外网用户向内网用户传输的数据流对应的内网用户的标识,管理所述内网用户的带宽。
8.根据权利要求7所述的方法,其特征在于,所述基于所述外网用户向内网用户传输的数据流对应的内网用户的标识,管理所述内网用户的带宽,包括:
确定所述外网用户向内网用户传输的数据流对应的应用类型;
基于所述外网用户向内网用户传输的数据流对应的内网用户的标识、以及所述外网用户向内网用户传输的数据流对应的应用类型,管理所述内网用户的带宽。
9.一种列车运行监控记录装置业务数据流的安全防护设备,其特征在于,所述设备包括:
第一确定模块,用于当接收到外网用户向内网用户传输的数据流时,确定所述外网用户向内网用户传输的数据流的入侵行为特征,所述入侵行为特征包括攻击行为特征、网络及数据危害行为特征、以及异常情况特征中的至少一种;
第二确定模块,用于基于确定的数据流的入侵行为特征和目标入侵行为特征,确定所述外网用户向内网用户传输的数据流是否为隐藏入侵行为的数据流;
过滤模块,用于当所述外网用户向内网用户传输的数据流为所述隐藏入侵行为的数据流时,对所述外网用户向内网用户传输的数据流进行过滤。
10.一种列车运行监控记录装置业务数据流的安全防护设备,其特征在于,所述设备包括处理器和存储器,所述存储器中存储有至少一条指令,所述指令由所述处理器加载并执行以实现如权利要求1至8任一项所述的列车运行监控记录装置业务数据流的安全防护方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910586011.5A CN110532753A (zh) | 2019-07-01 | 2019-07-01 | 列车运行监控记录装置业务数据流的安全防护方法及设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910586011.5A CN110532753A (zh) | 2019-07-01 | 2019-07-01 | 列车运行监控记录装置业务数据流的安全防护方法及设备 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN110532753A true CN110532753A (zh) | 2019-12-03 |
Family
ID=68659460
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910586011.5A Pending CN110532753A (zh) | 2019-07-01 | 2019-07-01 | 列车运行监控记录装置业务数据流的安全防护方法及设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110532753A (zh) |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102857486A (zh) * | 2012-04-01 | 2013-01-02 | 深信服网络科技(深圳)有限公司 | 下一代应用防火墙***及防御方法 |
| CN104836702A (zh) * | 2015-05-06 | 2015-08-12 | 华中科技大学 | 一种大流量环境下主机网络异常行为检测及分类方法 |
| CN105592050A (zh) * | 2015-09-07 | 2016-05-18 | 杭州华三通信技术有限公司 | 一种防止攻击的方法和防火墙 |
| CN106357628A (zh) * | 2016-08-31 | 2017-01-25 | 东软集团股份有限公司 | 攻击的防御方法及装置 |
| CN109327426A (zh) * | 2018-01-11 | 2019-02-12 | 白令海 | 一种防火墙攻击防御方法 |
| US20190132353A1 (en) * | 2017-11-02 | 2019-05-02 | International Business Machines Corporation | Service overload attack protection based on selective packet transmission |
| CN109922048A (zh) * | 2019-01-31 | 2019-06-21 | 国网山西省电力公司长治供电公司 | 一种串行分散隐藏式威胁入侵攻击检测方法和*** |
-
2019
- 2019-07-01 CN CN201910586011.5A patent/CN110532753A/zh active Pending
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102857486A (zh) * | 2012-04-01 | 2013-01-02 | 深信服网络科技(深圳)有限公司 | 下一代应用防火墙***及防御方法 |
| CN104836702A (zh) * | 2015-05-06 | 2015-08-12 | 华中科技大学 | 一种大流量环境下主机网络异常行为检测及分类方法 |
| CN105592050A (zh) * | 2015-09-07 | 2016-05-18 | 杭州华三通信技术有限公司 | 一种防止攻击的方法和防火墙 |
| CN106357628A (zh) * | 2016-08-31 | 2017-01-25 | 东软集团股份有限公司 | 攻击的防御方法及装置 |
| US20190132353A1 (en) * | 2017-11-02 | 2019-05-02 | International Business Machines Corporation | Service overload attack protection based on selective packet transmission |
| CN109327426A (zh) * | 2018-01-11 | 2019-02-12 | 白令海 | 一种防火墙攻击防御方法 |
| CN109922048A (zh) * | 2019-01-31 | 2019-06-21 | 国网山西省电力公司长治供电公司 | 一种串行分散隐藏式威胁入侵攻击检测方法和*** |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN100471104C (zh) | 非法通信检测装置 | |
| US8522344B2 (en) | Theft of service architectural integrity validation tools for session initiation protocol (SIP)-based systems | |
| US20060190997A1 (en) | Method and system for transparent in-line protection of an electronic communications network | |
| US20160373471A1 (en) | Human user verification of high-risk network access | |
| CN102387135B (zh) | 一种基于用户身份过滤的方法以及防火墙 | |
| US20060026678A1 (en) | System and method of characterizing and managing electronic traffic | |
| CN114598540B (zh) | 访问控制***、方法、装置及存储介质 | |
| CN112468481B (zh) | 一种基于CAS的单页和多页web应用身份集成认证方法 | |
| US20090313682A1 (en) | Enterprise Multi-interceptor Based Security and Auditing Method and Apparatus | |
| CN103875207A (zh) | 网络使用者的识别与验证 | |
| CN111314381A (zh) | 安全隔离网关 | |
| CN110198297A (zh) | 流量数据监控方法、装置、电子设备及计算机可读介质 | |
| CN111277607A (zh) | 通信隧道模块、应用监控模块及移动终端安全接入*** | |
| CN114629719A (zh) | 资源访问控制方法和资源访问控制*** | |
| CN110611682A (zh) | 一种网络访问***及网络接入方法和相关设备 | |
| CN109067749A (zh) | 一种信息处理方法、设备及计算机可读存储介质 | |
| JP2012064007A (ja) | 情報処理装置、通信中継方法およびプログラム | |
| CN110532753A (zh) | 列车运行监控记录装置业务数据流的安全防护方法及设备 | |
| CN108881484A (zh) | 一种检测终端是否能访问互联网的方法 | |
| JP3852276B2 (ja) | ネットワーク接続制御方法および装置 | |
| JP2019504391A (ja) | データシグナリングを制御するためのネットワークアーキテクチャ | |
| CN108093078B (zh) | 一种文档的安全流转方法 | |
| JP2006302295A (ja) | ネットワーク接続制御方法および装置 | |
| KR101160903B1 (ko) | 네트워크 식별자 분류 시스템 및 그 방법 | |
| Alasmari et al. | Proof of network security services: Enforcement of security sla through outsourced network testing |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20191203 |