[发明专利]基于大数据的网络安全防护方法及系统

说明书

本发明公开了一种基于大数据的网络安全防护方法及系统，涉及通信安全技术领域，首先周期性截取待检测报文；识别待检测报文的协议类型；若协议类型为异常协议类型或未知协议类型，则待检测报文为异常报文，切断目标网络设备与终端的连接；若协议类型为正常协议类型，则识别待检测报文的通信意向识别信息，调取对应的正常报文特征值范围；判断待检测报文的特征值信息是否在正常报文特征值范围内，若是，则待检测报文为正常报文；若否，则待检测报文为异常报文，切断目标网络设备与终端的连接。本发明能够及时、准确、高效地判断传输报文的安全风险，及时判断是否允许该报文的传输，减少网络风险带来的损失，具有巨大的社会效益和经济效益。

技术领域

本发明涉及通信安全技术领域，更具体的说是涉及一种基于大数据的网络安全防护方法及系统。

背景技术

随着互联网高速发展，网络为现代生活和工作带来了巨大的便利，但是随着网络通信技术的广泛应用，越来越多的网络安全问题随之出现，终端安全问题尤为重要。

通信网络中，最常用技术的是基于以太网和IP的通信技术，使用最多的安全设备就是防火墙、网关、网闸等设备对于网络异常行为拦截或告警，需要在设备中预设相应的白名单规则或黑名单规则，当网络中的问题报文命中了黑名单或不在白名单内部的话，就会将相应的报文拦截下来。然而，对于不在黑白名单中的报文信息，就无法准确及时地对其进行安全性判断，若在发生安全问题之后再进行拦截，则为时已晚。因此，如何在报文传输至终端之前，对网络报文进行及时、准确、高效、简便地判断其安全性，是本领域技术人员亟需解决的问题。

发明内容

有鉴于此，本发明提供了一种基于大数据的网络安全防护方法及系统，以克服现有技术中存在的缺陷。

为了实现上述目的，本发明提供如下技术方案：

一种基于大数据的网络安全防护方法，包括以下步骤：

步骤1、周期性截取目标网络设备发送至终端的报文，作为待检测报文；

步骤2、使用协议识别模型识别待检测报文的协议类型；

步骤3、若所述协议类型为异常协议类型或未知协议类型，则判定待检测报文为异常报文，切断目标网络设备与终端之间的连接；若所述协议类型为正常协议类型，则进行步骤4；

步骤4、使用通信意向识别模型识别待检测报文的通信意向识别信息；

步骤5、从特征值范围数据库中调出所述通信意向识别信息对应的正常报文特征值范围；

步骤6、判断待检测报文的特征值信息是否在所述正常报文特征值范围内，若是，则判定待检测报文为正常报文，继续进行通信传输；若否，则判定待检测报文为异常报文，切断目标网络设备与终端之间的连接。

可选的，若预设数目个检测周期获取的目标网络设备发送的待检测报文均被确定为正常报文，则将所述待检测报文中携带的源地址加入白名单；若预设数目个检测周期获取的目标网络设备发送的待检测报文均被确定为异常报文，则将所述待检测报文中携带的源地址加入黑名单。此处将对应的检测结果录入白名单和黑名单，能够方便后续报文检测的快速进行。

可选的，基于在预设网络节点上旁路所部署的探针，截取待检测报文。

可选的，所述协议识别模型为：以样本网络传输报文为输入、样本网络传输报文的协议类型为训练基准，对深度学习模型进行训练得到的、用于对传输报文进行网络协议识别的模型。

可选的，所述异常协议类型和正常协议类型均为协议类型数据库中预存的协议类型，所述未知协议类型即表示未存储在协议类型数据库中的、无法识别的协议类型。所述协议类型数据库还定期更新所存储的协议类型，为协议的识别提供便利。