[发明专利]一种网络安全防护方法及防护设备

说明书

本申请实施例公开了一种网络安全防护方法及防护设备，可以准确的识别数据流是否具有攻击性，从而提高防护准确率。该网络安全防护方法包括：接收第一数据流，第一数据流包括源IP地址和目的IP地址，源IP地址为第一电子设备的IP地址，目的IP地址为第一服务器的IP地址；确定源IP地址对应的第一设备属性信息；确定目的IP地址对应的第二设备属性信息；在第一设备属性信息与第二设备属性信息相匹配时，转发第一数据流；在第一设备属性信息与第二设备属性信息不匹配时，阻断第一数据流。

技术领域

本申请涉及通信技术领域，更具体的说，涉及网络安全防护方法及防护设备。

背景技术

安全防护设备可以为多种类型的业务服务器提供网络安全防御服务，以使业务服务器免受黑客的攻击。安全防护设备设置在客户端与受保护的业务服务器之间，大量的客户端产生的数据流会先进入安全防护设备，安全防护设备会过滤掉异常的数据流从而得到安全的数据流，以使安全的数据流进入业务服务器。在计算机网络技术领域中，数据流(或者也被称为报文流)，是从一个源计算机到一个目的方的一系列报文，其中目的方是一个计算机、或者多播组、或者广播域。

目前，安全防护设备采用黑名单机制对数据流进行过滤。具体地，安全防护设备存储有预先设置的IP(internet protocol，网际协议)威胁库，IP威胁库中包括IP地址。在安全防护设备接收到大量的客户端发送的数据流以后，流量防护系统会判断这些数据流中的源IP地址是否存在于IP威胁库中。如果这些数据流中的某个数据流的源IP地址A存在于IP威胁库中，那么安全防护设备会认为该IP地址A属于具有攻击性的IP地址，安全防护设备会阻断该数据流，从而保护业务服务器免受黑客的攻击。安全防护设备判定未在IP威胁库中的IP地址是安全的，不会阻断源IP地址为不属于IP威胁库中的IP地址的数据流。

由于IP威胁库存储的IP地址比较有限，很多具有攻击性的IP地址尚未存储在IP威胁库中，所以现有的安全防护设备可能会漏掉很多具有攻击性的数据流，从而导致现有的安全防护设备的防护准确率不高。

发明内容

本申请实施例提供一种网络安全防护方法及防护设备，以准确的识别数据流是否具有攻击性。

第一方面，本申请实施例提供了一种网络安全防护方法。该方法包括以下步骤：接收第一数据流，第一数据流包括源IP地址和目的IP地址，源IP地址为第一电子设备的IP地址，目的IP地址为第一服务器的IP地址；确定源IP地址对应的第一设备属性信息，第一设备属性信息包括第一设备类型和第一业务类型，第一设备类型为第一电子设备的设备类型，第一业务类型为第一设备类型支持访问的业务类型；确定目的IP地址对应的第二设备属性信息，第二设备属性信息包括第二设备类型和第二业务类型，第二设备类型为允许访问第一服务器的设备类型，第二业务类型为第一服务器提供服务的业务类型；在第一设备属性信息与第二设备属性信息相匹配时，转发第一数据流；在第一设备属性信息与第二设备属性信息不匹配时，阻断第一数据流。

在第一方面中，如果第一设备属性信息与第二设备属性信息相匹配，说明第一电子设备符合第一服务器的要求，即第一数据流是安全且不具有攻击性的数据流，所以转发第一数据流；如果第一设备属性信息与第二设备属性信息不匹配，说明第一电子设备不符合第一服务器的要求，即第一数据流是不安全且具有攻击性的数据流，所以需要阻断第一数据流。因此，本申请实施例提供的方案可以准确的识别电子设备发送的数据流是否具有攻击性，并阻断具有攻击性的数据流，以使安全的数据流进入业务服务器，所以本申请实施例提供的方案的防护准确率较高。