本發(fā)明涉及網(wǎng)絡(luò)安全技術(shù)領(lǐng)域，特別涉及一種內(nèi)網(wǎng)安全防護(hù)系統(tǒng)和方法。

背景技術(shù)：

隨著網(wǎng)絡(luò)技術(shù)的快速發(fā)展，我們對(duì)網(wǎng)絡(luò)安全的關(guān)注越來(lái)越重視。然而，計(jì)算機(jī)和網(wǎng)絡(luò)攻擊的復(fù)雜性不斷上升，使用傳統(tǒng)的防火墻和ids(intrusiondetectionsystems，入侵檢測(cè)系統(tǒng))越來(lái)越難以檢測(cè)和阻擋。隨著病毒、蠕蟲(chóng)、木馬、后門(mén)和混合威脅的泛濫，內(nèi)容層和網(wǎng)絡(luò)層的安全威脅正變得司空見(jiàn)慣。復(fù)雜的蠕蟲(chóng)和郵件病毒諸如slammer、blaster、sasser、sober、mydoom等會(huì)如何快速的傳播，通常在幾個(gè)小時(shí)之內(nèi)就能席卷全球。

為了對(duì)抗安全威脅，安全技術(shù)也在不斷進(jìn)化，包括深度包檢測(cè)防火墻、應(yīng)用網(wǎng)關(guān)防火墻、內(nèi)容過(guò)濾、反垃圾郵件、sslvpn、基于網(wǎng)絡(luò)的防病毒和ips等新技術(shù)不斷被應(yīng)用。

但是，防御軟件比如殺毒軟件不能解決當(dāng)攻擊者用合法軟件進(jìn)行攻擊的情況，并且防火墻主要是防御外網(wǎng)，當(dāng)攻擊者是企業(yè)內(nèi)部的情況下防御外網(wǎng)的防火墻就形同虛設(shè)。因此，裸露的靜態(tài)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，攻擊者很容易就能獲取內(nèi)部終端的地址，采取有針對(duì)性的攻擊，造成內(nèi)部網(wǎng)絡(luò)癱瘓，同時(shí)，內(nèi)網(wǎng)終端的ip地址是靜態(tài)不可變，各內(nèi)網(wǎng)終端之間隨時(shí)可以互通訪(fǎng)問(wèn)，造成病毒在內(nèi)網(wǎng)終端之間相互傳播。從而，如何真正實(shí)現(xiàn)內(nèi)網(wǎng)安全防護(hù)的問(wèn)題亟待解決。

技術(shù)實(shí)現(xiàn)要素：

本發(fā)明實(shí)施例提供了一種內(nèi)網(wǎng)安全防護(hù)系統(tǒng)和方法，通過(guò)智能的分配擁有時(shí)效的虛擬ip地址，使得內(nèi)網(wǎng)終端保持相互獨(dú)立，內(nèi)網(wǎng)終端自身可以獨(dú)立訪(fǎng)問(wèn)外網(wǎng)，但內(nèi)網(wǎng)終端之間不可互相通信，從而真正實(shí)現(xiàn)內(nèi)網(wǎng)的安全防護(hù)。

第一方面，本發(fā)明實(shí)施例提供了一種內(nèi)網(wǎng)安全防護(hù)系統(tǒng)，該系統(tǒng)包括：入網(wǎng)隔離前安全檢查模塊、虛擬ip地址分發(fā)模塊、分布式實(shí)時(shí)監(jiān)控模塊和智能學(xué)習(xí)模塊，其中，

入網(wǎng)隔離前安全檢查模塊，用于在內(nèi)網(wǎng)終端接入網(wǎng)絡(luò)前進(jìn)行安全評(píng)估，判斷是否允許該內(nèi)網(wǎng)終端接入網(wǎng)絡(luò)，若是，則發(fā)送分配虛擬ip地址和虛擬主機(jī)名的請(qǐng)求命令，并觸發(fā)虛擬ip地址分發(fā)模塊；否則，禁止該內(nèi)網(wǎng)終端接入網(wǎng)絡(luò)，并反饋到該內(nèi)網(wǎng)終端發(fā)出警報(bào)；

虛擬ip地址分發(fā)模塊，用于接收入網(wǎng)隔離前安全檢查模塊發(fā)送的請(qǐng)求命令，并給內(nèi)網(wǎng)終端分配虛擬ip地址和虛擬主機(jī)名，以及根據(jù)智能學(xué)習(xí)模塊確定的變更頻率對(duì)相應(yīng)的內(nèi)網(wǎng)終端進(jìn)行虛擬ip地址和虛擬主機(jī)名的變更；

分布式實(shí)時(shí)監(jiān)控模塊，用于獲取內(nèi)網(wǎng)終端的實(shí)時(shí)安全狀態(tài)數(shù)據(jù)，搜集內(nèi)網(wǎng)終端用戶(hù)的操作行為；

智能學(xué)習(xí)模塊，用于對(duì)內(nèi)網(wǎng)終端的實(shí)時(shí)安全狀態(tài)數(shù)據(jù)和用戶(hù)的操作行為進(jìn)行分析，評(píng)估該用戶(hù)的操作環(huán)境和操作習(xí)慣，確定該用戶(hù)對(duì)應(yīng)的內(nèi)網(wǎng)終端虛擬ip地址和虛擬主機(jī)名的變更頻率。

優(yōu)選地，該系統(tǒng)進(jìn)一步包括：加解密模塊，用于對(duì)內(nèi)網(wǎng)終端的虛擬ip地址和虛擬主機(jī)名進(jìn)行加密或/和解密。

優(yōu)選地，當(dāng)不同的內(nèi)網(wǎng)終端需要互訪(fǎng)時(shí)，該系統(tǒng)進(jìn)一步包括：虛擬主機(jī)名解析模塊、虛擬ip地址解析模塊和終端信息列表庫(kù)模塊，其中，

虛擬主機(jī)名解析模塊，用于查詢(xún)內(nèi)網(wǎng)終端的虛擬主機(jī)名；

虛擬ip地址解析模塊，用于查詢(xún)內(nèi)網(wǎng)終端的虛擬ip地址；

終端信息列表庫(kù)模塊，用于存儲(chǔ)內(nèi)網(wǎng)終端的信息，其中，內(nèi)網(wǎng)終端的信息包括但不限于mac地址，用戶(hù)名，訪(fǎng)問(wèn)ip地址，虛擬ip地址，虛擬主機(jī)名，機(jī)構(gòu)id。

優(yōu)選地，該系統(tǒng)進(jìn)一步包括：dhcp服務(wù)模塊，用于支持內(nèi)網(wǎng)終端獲取外網(wǎng)dhcp服務(wù)的解析、對(duì)話(huà)、路由代理、數(shù)據(jù)包封裝請(qǐng)求、遞歸查詢(xún)。

優(yōu)選地，該系統(tǒng)進(jìn)一步包括：虛擬地址規(guī)則庫(kù)模塊，用于非規(guī)則性存儲(chǔ)虛擬ip地址。

第二方面，本發(fā)明實(shí)施例提供了一種內(nèi)網(wǎng)安全防護(hù)方法，該方法包括：

s1：通過(guò)入網(wǎng)隔離前安全檢查模塊在內(nèi)網(wǎng)終端接入網(wǎng)絡(luò)前進(jìn)行安全評(píng)估，判斷是否允許該內(nèi)網(wǎng)終端接入網(wǎng)絡(luò)，若是，則發(fā)送分配虛擬ip地址和虛擬主機(jī)名的請(qǐng)求命令，并觸發(fā)s2；否則，禁止該內(nèi)網(wǎng)終端接入網(wǎng)絡(luò)，并反饋到該內(nèi)網(wǎng)終端發(fā)出警報(bào)；

s2：通過(guò)虛擬ip地址分發(fā)模塊接收入網(wǎng)隔離前安全檢查模塊發(fā)送的請(qǐng)求命令，并給內(nèi)網(wǎng)終端分配虛擬ip地址和虛擬主機(jī)名；

s3：通過(guò)分布式實(shí)時(shí)監(jiān)控模塊獲取內(nèi)網(wǎng)終端的實(shí)時(shí)安全狀態(tài)數(shù)據(jù)，搜集內(nèi)網(wǎng)終端用戶(hù)的操作行為；

s4：通過(guò)智能學(xué)習(xí)模塊對(duì)內(nèi)網(wǎng)終端的實(shí)時(shí)安全狀態(tài)數(shù)據(jù)和用戶(hù)的操作行為進(jìn)行分析，評(píng)估該用戶(hù)的操作環(huán)境和操作習(xí)慣，確定該用戶(hù)對(duì)應(yīng)的內(nèi)網(wǎng)終端虛擬ip地址和虛擬主機(jī)名的變更頻率。

s5：通過(guò)虛擬ip地址分發(fā)模塊根據(jù)智能學(xué)習(xí)模塊確定的變更頻率對(duì)相應(yīng)的內(nèi)網(wǎng)終端進(jìn)行虛擬ip地址和虛擬主機(jī)名的變更。

優(yōu)選地，該方法進(jìn)一步包括：通過(guò)加解密模塊對(duì)內(nèi)網(wǎng)終端的虛擬ip地址和虛擬主機(jī)名進(jìn)行加密或/和解密。

優(yōu)選地，當(dāng)不同的內(nèi)網(wǎng)終端需要互訪(fǎng)時(shí)，該方法進(jìn)一步包括：

通過(guò)虛擬域主機(jī)名解析模塊和虛擬ip地址解析模塊查詢(xún)其中一個(gè)內(nèi)網(wǎng)終端的虛擬ip地址、虛擬主機(jī)名；

通過(guò)終端信息列表庫(kù)模塊調(diào)用內(nèi)網(wǎng)終端的可見(jiàn)信息，查詢(xún)?cè)L問(wèn)外網(wǎng)的訪(fǎng)問(wèn)ip地址，以使不同的內(nèi)網(wǎng)終端之間進(jìn)行通信。

優(yōu)選地，該方法進(jìn)一步包括：通過(guò)dhcp服務(wù)模塊支持內(nèi)網(wǎng)終端獲取外網(wǎng)dhcp服務(wù)的解析、對(duì)話(huà)、路由代理、數(shù)據(jù)包封裝請(qǐng)求、遞歸查詢(xún)。

優(yōu)選地，該方法進(jìn)一步包括：通過(guò)虛擬地址規(guī)則庫(kù)模塊非規(guī)則性存儲(chǔ)虛擬ip地址。

本發(fā)明實(shí)施例提供了一種內(nèi)網(wǎng)安全防護(hù)系統(tǒng)和方法，通過(guò)智能分配虛擬ip地址的方式給內(nèi)網(wǎng)終端，使得內(nèi)網(wǎng)終端可以通過(guò)虛擬ip地址或虛擬主機(jī)名訪(fǎng)問(wèn)內(nèi)網(wǎng)和外網(wǎng)，外網(wǎng)終端無(wú)法獲取內(nèi)網(wǎng)的拓?fù)浣Y(jié)構(gòu)，并通過(guò)內(nèi)網(wǎng)終端行為智能分析出虛擬ip地址需要變換的頻率。本發(fā)明突破了傳統(tǒng)的內(nèi)網(wǎng)靜態(tài)分配方式，通過(guò)虛擬轉(zhuǎn)換內(nèi)網(wǎng)終端的訪(fǎng)問(wèn)ip地址，使得內(nèi)網(wǎng)終端被隱藏在虛擬環(huán)境下，構(gòu)建虛擬網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，外網(wǎng)終端無(wú)法精確的取得內(nèi)網(wǎng)終端的真實(shí)信息，內(nèi)網(wǎng)主機(jī)相互隔離狀態(tài)(手動(dòng)可配)，從而有效的防御網(wǎng)絡(luò)中的各種攻擊行為，加固了內(nèi)網(wǎng)的安全性，從而真正實(shí)現(xiàn)內(nèi)網(wǎng)的安全防護(hù)。

附圖說(shuō)明

為了更清楚地說(shuō)明本發(fā)明實(shí)施例或現(xiàn)有技術(shù)中的技術(shù)方案，下面將對(duì)實(shí)施例或現(xiàn)有技術(shù)描述中所需要使用的附圖作簡(jiǎn)單地介紹，顯而易見(jiàn)地，下面描述中的附圖是本發(fā)明的一些實(shí)施例，對(duì)于本領(lǐng)域普通技術(shù)人員來(lái)講，在不付出創(chuàng)造性勞動(dòng)的前提下，還可以根據(jù)這些附圖獲得其他的附圖。

圖1是本發(fā)明一個(gè)實(shí)施例提供的一種內(nèi)網(wǎng)安全防護(hù)系統(tǒng)的總體結(jié)構(gòu)示意圖；

圖2是本發(fā)明一個(gè)實(shí)施例提供的一種內(nèi)網(wǎng)安全防護(hù)系統(tǒng)中入網(wǎng)隔離前安全檢查模塊的結(jié)構(gòu)示意圖；

圖3是本發(fā)明一個(gè)實(shí)施例提供的一種內(nèi)網(wǎng)安全防護(hù)系統(tǒng)中虛擬地址分發(fā)模塊的結(jié)構(gòu)示意圖；

圖4是本發(fā)明一個(gè)實(shí)施例提供的一種內(nèi)網(wǎng)安全防護(hù)系統(tǒng)中dhcp服務(wù)模塊的工作流程圖；

圖5是本發(fā)明一個(gè)實(shí)施例提供的一種內(nèi)網(wǎng)安全防護(hù)方法的流程圖。

具體實(shí)施方式

為使本發(fā)明實(shí)施例的目的、技術(shù)方案和優(yōu)點(diǎn)更加清楚，下面將結(jié)合本發(fā)明實(shí)施例中的附圖，對(duì)本發(fā)明實(shí)施例中的技術(shù)方案進(jìn)行清楚、完整地描述，顯然，所描述的實(shí)施例是本發(fā)明一部分實(shí)施例，而不是全部的實(shí)施例，基于本發(fā)明中的實(shí)施例，本領(lǐng)域普通技術(shù)人員在沒(méi)有做出創(chuàng)造性勞動(dòng)的前提下所獲得的所有其他實(shí)施例，都屬于本發(fā)明保護(hù)的范圍。

本發(fā)明實(shí)施例提供了一種內(nèi)網(wǎng)安全防護(hù)系統(tǒng)，該系統(tǒng)可以包括：入網(wǎng)隔離前安全檢查模塊、虛擬ip地址分發(fā)模塊、分布式實(shí)時(shí)監(jiān)控模塊和智能學(xué)習(xí)模塊，其中，

入網(wǎng)隔離前安全檢查模塊，用于在內(nèi)網(wǎng)終端接入網(wǎng)絡(luò)前進(jìn)行安全評(píng)估，判斷是否允許該內(nèi)網(wǎng)終端接入網(wǎng)絡(luò)，若是，則發(fā)送分配虛擬ip地址和虛擬主機(jī)名的請(qǐng)求命令，并觸發(fā)虛擬ip地址分發(fā)模塊，否則，禁止該內(nèi)網(wǎng)終端接入網(wǎng)絡(luò)，并反饋到該內(nèi)網(wǎng)終端發(fā)出警報(bào)；

虛擬ip地址分發(fā)模塊，用于接收入網(wǎng)隔離前安全檢查模塊發(fā)送的請(qǐng)求命令，并給內(nèi)網(wǎng)終端分配虛擬ip地址和虛擬主機(jī)名，以及根據(jù)智能學(xué)習(xí)模塊確定的變更頻率對(duì)相應(yīng)的內(nèi)網(wǎng)終端進(jìn)行虛擬ip地址和虛擬主機(jī)名的變更；

分布式實(shí)時(shí)監(jiān)控模塊，用于獲取內(nèi)網(wǎng)終端的實(shí)時(shí)安全狀態(tài)數(shù)據(jù)，搜集內(nèi)網(wǎng)終端用戶(hù)的操作行為；

智能學(xué)習(xí)模塊，用于對(duì)用戶(hù)的操作行為進(jìn)行分析，評(píng)估該用戶(hù)的操作習(xí)慣和操作環(huán)境，確定該用戶(hù)對(duì)應(yīng)的內(nèi)網(wǎng)終端虛擬ip地址和虛擬主機(jī)名的變更頻率。

在該實(shí)施例中，通過(guò)智能分配虛擬ip地址的方式給內(nèi)網(wǎng)終端，使得內(nèi)網(wǎng)終端可以通過(guò)虛擬ip地址或虛擬主機(jī)名訪(fǎng)問(wèn)內(nèi)網(wǎng)和外網(wǎng)，外網(wǎng)終端無(wú)法獲取內(nèi)網(wǎng)的拓?fù)浣Y(jié)構(gòu)，并通過(guò)內(nèi)網(wǎng)終端行為智能分析出虛擬ip地址需要變換的頻率。本發(fā)明突破了傳統(tǒng)的內(nèi)網(wǎng)靜態(tài)分配方式，通過(guò)虛擬轉(zhuǎn)換內(nèi)網(wǎng)終端的訪(fǎng)問(wèn)ip地址，使得內(nèi)網(wǎng)終端被隱藏在虛擬環(huán)境下，構(gòu)建虛擬網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，外網(wǎng)終端無(wú)法精確的取得內(nèi)網(wǎng)終端的真實(shí)信息，內(nèi)網(wǎng)主機(jī)相互隔離狀態(tài)(手動(dòng)可配)，從而有效的防御網(wǎng)絡(luò)中的各種攻擊行為，加固了內(nèi)網(wǎng)的安全性，從而真正實(shí)現(xiàn)內(nèi)網(wǎng)的安全防護(hù)。

為更清楚說(shuō)明本發(fā)明的技術(shù)方案，結(jié)合附圖對(duì)本發(fā)明實(shí)施例提供的內(nèi)網(wǎng)安全防護(hù)系統(tǒng)進(jìn)行詳細(xì)介紹。

在該實(shí)施例中，如圖1所示的內(nèi)網(wǎng)安全防護(hù)系統(tǒng)的總體圖，內(nèi)網(wǎng)安全防護(hù)系統(tǒng)可以包括：入網(wǎng)隔離前安全檢查模塊、虛擬ip地址分發(fā)模塊、分布式實(shí)時(shí)監(jiān)控模塊、智能學(xué)習(xí)模塊、加解密模塊、dhcp服務(wù)模塊、虛擬地址規(guī)則庫(kù)模塊、虛擬主機(jī)名解析模塊、虛擬ip地址解析模塊和終端信息列表庫(kù)模塊。

入網(wǎng)隔離前安全檢查模塊在內(nèi)網(wǎng)終端接入網(wǎng)絡(luò)前進(jìn)行安全評(píng)估，判斷是否允許該內(nèi)網(wǎng)終端接入網(wǎng)絡(luò)，若是，則發(fā)送分配虛擬ip地址和虛擬主機(jī)名的請(qǐng)求命令，并觸發(fā)虛擬ip地址分發(fā)模塊，否則，禁止該內(nèi)網(wǎng)終端接入網(wǎng)絡(luò)，并反饋到該內(nèi)網(wǎng)終端發(fā)出警報(bào)。請(qǐng)參考圖2在具體實(shí)施例中，入網(wǎng)隔離前安全檢查模塊進(jìn)行內(nèi)網(wǎng)終端安全評(píng)估，智能分析出內(nèi)網(wǎng)終端的安全數(shù)值，判斷是否允許內(nèi)網(wǎng)終端接入網(wǎng)絡(luò)，如果安全值低于預(yù)先設(shè)定的安全基線(xiàn)值，則禁止此內(nèi)網(wǎng)終端接入網(wǎng)絡(luò)，并且反饋到該內(nèi)網(wǎng)終端發(fā)出警報(bào)。甚至可以通知內(nèi)網(wǎng)終端進(jìn)行整改，使其符合安全條件。如果安全值達(dá)到內(nèi)部環(huán)境要求，則打上標(biāo)簽加密，發(fā)送給虛擬地址分發(fā)模塊發(fā)送請(qǐng)求命令。

如圖3所示，虛擬地址分發(fā)模塊接收到入網(wǎng)隔離前安全檢查模塊發(fā)送的請(qǐng)求命令，解密請(qǐng)求數(shù)據(jù)，調(diào)用虛擬地址規(guī)則庫(kù)模塊，再次發(fā)送內(nèi)網(wǎng)終端請(qǐng)求，收到反饋后，虛擬地址分發(fā)模塊自動(dòng)分配給發(fā)送請(qǐng)求命令的內(nèi)網(wǎng)終端，從而內(nèi)網(wǎng)終端獲取外網(wǎng)訪(fǎng)問(wèn)權(quán)限，進(jìn)而訪(fǎng)問(wèn)互聯(lián)網(wǎng)。而dhcp服務(wù)模塊支持內(nèi)網(wǎng)終端獲取外網(wǎng)dhcp服務(wù)的解析、對(duì)話(huà)、路由代理(agent)、數(shù)據(jù)包封裝請(qǐng)求、遞歸查詢(xún)等。其中dhcp地址獲取過(guò)程請(qǐng)參考圖4。如此同時(shí)，分布式實(shí)時(shí)監(jiān)控模塊獲取內(nèi)網(wǎng)終端的實(shí)時(shí)安全狀態(tài)數(shù)據(jù)，以及入網(wǎng)后內(nèi)網(wǎng)終端的違規(guī)情況，并控制調(diào)節(jié)安全狀態(tài)基線(xiàn)參數(shù)，搜集用戶(hù)對(duì)內(nèi)網(wǎng)終端的操作行為，并將操作行為反饋給智能模塊庫(kù)，智能學(xué)習(xí)模塊則提供機(jī)器學(xué)習(xí)方法，智能分析出用戶(hù)訪(fǎng)問(wèn)不同網(wǎng)站，數(shù)據(jù)庫(kù)等操作行為，判斷不同內(nèi)網(wǎng)終端用戶(hù)的操作習(xí)慣和操作環(huán)境，確定隨機(jī)變更虛擬ip地址的頻率以及虛擬ip地址的復(fù)雜程度。當(dāng)不同內(nèi)網(wǎng)終端之間需要互訪(fǎng)時(shí)，則需要調(diào)用虛擬域主機(jī)名析模塊和虛擬ip地址解析模塊查詢(xún)其中一個(gè)內(nèi)網(wǎng)終端的虛擬ip地址、虛擬主機(jī)名以及調(diào)用終端信息列表庫(kù)模塊的部分可見(jiàn)信息，查詢(xún)?cè)搩?nèi)網(wǎng)終端訪(fǎng)問(wèn)外網(wǎng)的真實(shí)ip地址，進(jìn)而實(shí)現(xiàn)不同內(nèi)網(wǎng)終端之間的通信和數(shù)據(jù)交互。在這個(gè)過(guò)程中，虛擬ip地址解析模塊和虛擬主機(jī)名解析模塊解析出的信息要與終端信息列表庫(kù)模塊中的信息匹配，才能實(shí)現(xiàn)互訪(fǎng)。

值得說(shuō)明的是，在整個(gè)過(guò)程中，虛擬地址分發(fā)模塊統(tǒng)籌所有符合所有條件的內(nèi)網(wǎng)終端，統(tǒng)一匹配信息并調(diào)配各個(gè)模塊之間協(xié)調(diào)工作，為符合條件內(nèi)網(wǎng)終端下發(fā)可用虛擬ip地址。虛擬地址規(guī)則庫(kù)模塊則是所有的虛擬地址存儲(chǔ)庫(kù)，非規(guī)則性存儲(chǔ)隨機(jī)生成的動(dòng)態(tài)虛擬地址，防止黑客攻入竊取。并且虛擬地址規(guī)則庫(kù)模塊支持自定義功能，用戶(hù)可以自行設(shè)定規(guī)則，生成自定義規(guī)則庫(kù)。虛擬ip地址支持ipv4、ipv6、mac地址、域名以及自定義序列號(hào)等形式。加解密模塊則對(duì)虛擬ip地址進(jìn)行加密和解密。

總體，本發(fā)明實(shí)施例提供的內(nèi)網(wǎng)安全防護(hù)系統(tǒng)為多層防護(hù)系統(tǒng)，大致可以分為四層：

第一層：隔離檢查層

1、評(píng)估單元，根據(jù)智能數(shù)據(jù)庫(kù)評(píng)估統(tǒng)計(jì)內(nèi)網(wǎng)終端安全情況；

2、報(bào)警單元，評(píng)估單元統(tǒng)計(jì)的數(shù)據(jù)經(jīng)過(guò)智能處理運(yùn)算給出分析結(jié)果，反饋到內(nèi)網(wǎng)終端進(jìn)行提示報(bào)警；

3、識(shí)別單元，后臺(tái)自動(dòng)識(shí)別處理新接入設(shè)備；

第二層：虛擬ip地址分配層

1、內(nèi)網(wǎng)終端安全評(píng)估數(shù)值達(dá)到一定安全范圍時(shí)，虛擬地址庫(kù)自動(dòng)加密發(fā)送虛擬ip地址，提示可以分配虛擬ip地址；

2、終端獲取反饋信息，自動(dòng)獲取虛擬ip地址；

3、地址使用到期，終端發(fā)送請(qǐng)求，根據(jù)實(shí)際環(huán)境進(jìn)行重新分配；

第三層實(shí)時(shí)行為數(shù)據(jù)分析層

1、分析系統(tǒng)對(duì)內(nèi)網(wǎng)終端的管理行為；

2、分析外網(wǎng)以及內(nèi)網(wǎng)對(duì)內(nèi)網(wǎng)終端的攻擊行為；

3、分析內(nèi)網(wǎng)終端用戶(hù)的操作行為；

4、違規(guī)自動(dòng)斷網(wǎng)不再分配虛擬ip地址；

第四層智能學(xué)習(xí)模塊

1、智能分析內(nèi)網(wǎng)終端用戶(hù)操的作環(huán)境，確定虛擬ip地址的變換頻率及虛擬ip地址的復(fù)雜程度。

本發(fā)明實(shí)施例提供了一種內(nèi)網(wǎng)安全防護(hù)方法，該方法可以包括以下步驟：

s1：通過(guò)入網(wǎng)隔離前安全檢查模塊在內(nèi)網(wǎng)終端接入網(wǎng)絡(luò)前進(jìn)行安全評(píng)估，判斷是否允許該內(nèi)網(wǎng)終端接入網(wǎng)絡(luò)，若是，則發(fā)送分配虛擬ip地址和虛擬主機(jī)名的請(qǐng)求命令，并觸發(fā)s2，否則，禁止該內(nèi)網(wǎng)終端接入網(wǎng)絡(luò)，并反饋到該內(nèi)網(wǎng)終端發(fā)出警報(bào)。

在具體的實(shí)施例中，步驟s1可以首先通過(guò)入網(wǎng)隔離前安全檢查模塊進(jìn)行內(nèi)網(wǎng)終端的安全評(píng)估，智能分析出內(nèi)網(wǎng)終端的安全數(shù)值，判斷該內(nèi)網(wǎng)終端是否允許接入網(wǎng)絡(luò)，如果安全數(shù)值低于預(yù)先設(shè)定的安全基線(xiàn)值，則禁止該內(nèi)網(wǎng)終端接入網(wǎng)絡(luò)，如果安全值達(dá)到內(nèi)部環(huán)境要求，則打上標(biāo)簽加密，將請(qǐng)求命令發(fā)送給虛擬ip地址分發(fā)模塊，請(qǐng)求分配可用的虛擬地址和虛擬主機(jī)名。

s2：通過(guò)虛擬ip地址分發(fā)模塊接收入網(wǎng)隔離前安全檢查模塊發(fā)送的請(qǐng)求命令，并給內(nèi)網(wǎng)終端分配虛擬ip地址和虛擬主機(jī)名。

在具體的實(shí)施例中，步驟s2可以通過(guò)虛擬地址分發(fā)模塊接收請(qǐng)求命令，解密請(qǐng)求數(shù)據(jù)，調(diào)用虛擬地址規(guī)則庫(kù)模塊，再次發(fā)送確認(rèn)內(nèi)網(wǎng)終端請(qǐng)求，收到反饋后，虛擬ip地址分發(fā)模塊自動(dòng)分配給發(fā)送請(qǐng)求的內(nèi)網(wǎng)終端，從而內(nèi)網(wǎng)終端獲取外網(wǎng)訪(fǎng)問(wèn)權(quán)限，實(shí)現(xiàn)互聯(lián)網(wǎng)的訪(fǎng)問(wèn)。

s3：通過(guò)分布式實(shí)時(shí)監(jiān)控模塊獲取內(nèi)網(wǎng)終端的實(shí)時(shí)安全狀態(tài)數(shù)據(jù)，搜集內(nèi)網(wǎng)終端用戶(hù)的操作行為。

s4：通過(guò)智能學(xué)習(xí)模塊對(duì)用戶(hù)的操作行為進(jìn)行分析，評(píng)估該用戶(hù)的操作習(xí)慣和操作環(huán)境，確定該用戶(hù)對(duì)應(yīng)的內(nèi)網(wǎng)終端虛擬ip地址和虛擬主機(jī)名的變更頻率。

s5：通過(guò)虛擬ip地址分發(fā)模塊根據(jù)智能學(xué)習(xí)模塊確定的變更頻率對(duì)相應(yīng)的內(nèi)網(wǎng)終端進(jìn)行虛擬ip地址和虛擬主機(jī)名的變更。

當(dāng)不同的內(nèi)網(wǎng)終端之間需要互訪(fǎng)時(shí)，該方法可以進(jìn)一步包括：

s6：通過(guò)虛擬域主機(jī)名解析模塊和虛擬ip地址解析模塊查詢(xún)其中一個(gè)內(nèi)網(wǎng)終端的虛擬ip地址和虛擬主機(jī)名以及通過(guò)終端信息列表庫(kù)模塊調(diào)用部分可見(jiàn)信息，查詢(xún)內(nèi)網(wǎng)終端訪(fǎng)問(wèn)外網(wǎng)的真實(shí)ip地址。

綜上，本發(fā)明的各實(shí)施例，至少具有如下有益效果：

1、在本發(fā)明的實(shí)施例中，通過(guò)智能分配虛擬ip地址的方式給內(nèi)網(wǎng)終端，使得內(nèi)網(wǎng)終端可以通過(guò)虛擬ip地址或虛擬主機(jī)名訪(fǎng)問(wèn)內(nèi)網(wǎng)和外網(wǎng)，外網(wǎng)終端無(wú)法獲取內(nèi)網(wǎng)的拓?fù)浣Y(jié)構(gòu)，并通過(guò)內(nèi)網(wǎng)終端行為智能分析出虛擬ip地址需要變換的頻率和虛擬ip地址的復(fù)雜程度。本發(fā)明突破了傳統(tǒng)的內(nèi)網(wǎng)靜態(tài)分配方式，通過(guò)虛擬轉(zhuǎn)換內(nèi)網(wǎng)終端的訪(fǎng)問(wèn)ip地址，使得內(nèi)網(wǎng)終端被隱藏在虛擬環(huán)境下，構(gòu)建虛擬網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，外網(wǎng)終端無(wú)法精確的取得內(nèi)網(wǎng)終端的真實(shí)信息，內(nèi)網(wǎng)主機(jī)相互隔離狀態(tài)(手動(dòng)可配)，從而有效的防御網(wǎng)絡(luò)中的各種攻擊行為，加固了內(nèi)網(wǎng)的安全性，從而真正實(shí)現(xiàn)內(nèi)網(wǎng)的安全防護(hù)。

2、在本發(fā)明的實(shí)施例中，實(shí)現(xiàn)了內(nèi)網(wǎng)終端在網(wǎng)絡(luò)中的自動(dòng)隱藏，實(shí)現(xiàn)了內(nèi)網(wǎng)終端訪(fǎng)問(wèn)獨(dú)立，提高了內(nèi)網(wǎng)終端以及內(nèi)網(wǎng)抵御外部黑客攻擊的能力，防止了單個(gè)內(nèi)網(wǎng)終端的病毒滲透到這個(gè)內(nèi)網(wǎng)的風(fēng)險(xiǎn)。

3、在本發(fā)明的實(shí)施例中，由于分發(fā)內(nèi)網(wǎng)終端虛擬ip地址，自建虛擬內(nèi)網(wǎng)終端拓?fù)?，從而在外網(wǎng)訪(fǎng)問(wèn)內(nèi)網(wǎng)時(shí)，實(shí)現(xiàn)外網(wǎng)攻擊無(wú)源。

4、在本發(fā)明的實(shí)施例中，內(nèi)網(wǎng)違規(guī)行為溯源，通過(guò)實(shí)時(shí)監(jiān)控，由內(nèi)網(wǎng)終端數(shù)據(jù)信息，如用戶(hù)名、id等，查詢(xún)和定位具體違規(guī)內(nèi)網(wǎng)終端，實(shí)現(xiàn)危險(xiǎn)快速排除，保障內(nèi)網(wǎng)的安全。

5、在本發(fā)明的實(shí)施例中，虛擬ip地址通過(guò)嚴(yán)格的加密技術(shù)進(jìn)行加密保護(hù)，增加了外網(wǎng)獲取內(nèi)網(wǎng)終端虛擬ip地址的難度，從而進(jìn)一步保證內(nèi)網(wǎng)終端的安全性。

6、在本發(fā)明的實(shí)施例中，在沒(méi)有進(jìn)行手動(dòng)查詢(xún)內(nèi)網(wǎng)終端配置的情況下，內(nèi)網(wǎng)終端之間無(wú)法互相通信，實(shí)現(xiàn)內(nèi)網(wǎng)終端訪(fǎng)問(wèn)隔離獨(dú)立，防止病毒由單個(gè)內(nèi)網(wǎng)終端擴(kuò)散到整個(gè)內(nèi)網(wǎng)終端中。

需要說(shuō)明的是，在本文中，諸如第一和第二之類(lèi)的關(guān)系術(shù)語(yǔ)僅僅用來(lái)將一個(gè)實(shí)體或者操作與另一個(gè)實(shí)體或操作區(qū)分開(kāi)來(lái)，而不一定要求或者暗示這些實(shí)體或操作之間存在任何這種實(shí)際的關(guān)系或者順序。而且，術(shù)語(yǔ)“包括”、“包含”或者其任何其他變體意在涵蓋非排他性的包含，從而使得包括一系列要素的過(guò)程、方法、物品或者設(shè)備不僅包括那些要素，而且還包括沒(méi)有明確列出的其他要素，或者是還包括為這種過(guò)程、方法、物品或者設(shè)備所固有的要素。在沒(méi)有更多限制的情況下，由語(yǔ)句“包括一個(gè)······”限定的要素，并不排除在包括所述要素的過(guò)程、方法、物品或者設(shè)備中還存在另外的相同因素。

本領(lǐng)域普通技術(shù)人員可以理解：實(shí)現(xiàn)上述方法實(shí)施例的全部或部分步驟可以通過(guò)程序指令相關(guān)的硬件來(lái)完成，前述的程序可以存儲(chǔ)在計(jì)算機(jī)可讀取的存儲(chǔ)介質(zhì)中，該程序在執(zhí)行時(shí)，執(zhí)行包括上述方法實(shí)施例的步驟；而前述的存儲(chǔ)介質(zhì)包括：rom、ram、磁碟或者光盤(pán)等各種可以存儲(chǔ)程序代碼的介質(zhì)中。

最后需要說(shuō)明的是：以上所述僅為本發(fā)明的較佳實(shí)施例，僅用于說(shuō)明本發(fā)明的技術(shù)方案，并非用于限定本發(fā)明的保護(hù)范圍。凡在本發(fā)明的精神和原則之內(nèi)所做的任何修改、等同替換、改進(jìn)等，均包含在本發(fā)明的保護(hù)范圍內(nèi)。