一種信息獲取方法和裝置的制造方法
【專利摘要】本發(fā)明實施例公開了一種信息獲取方法,所述方法包括:獲取威脅日志信息�����;其中��,所述威脅日志信息為攻擊安全網(wǎng)關(guān)的數(shù)據(jù)信息��;基于所述威脅日志信息�,獲取網(wǎng)絡(luò)報文信息;發(fā)送所述威脅日志信息和所述網(wǎng)絡(luò)報文信息至服務(wù)器�,以便于所述服務(wù)器能夠基于所述威脅日志信息對所述網(wǎng)絡(luò)報文信息進行分析整理得到簽名特征信息����;接收所述服務(wù)器發(fā)送的所述簽名特征信息,并根據(jù)所述簽名特征信息更新原始防護策略得到新的防護策略�����。本發(fā)明實施例同時還公開了一種信息獲取裝置。
【專利說明】
_種信息獲取方法和裝置
技術(shù)領(lǐng)域
[0001]本發(fā)明涉及通信領(lǐng)域中的信息獲取技術(shù)���,尤其涉及一種信息獲取方法和裝置��。
【背景技術(shù)】
[0002]對于入侵攻擊的防護是網(wǎng)關(guān)��、防火墻等安全設(shè)備的防護基礎(chǔ)�����,提高威脅識別的準確性����、全面性對提高主機網(wǎng)絡(luò)安全十分重要��。目前��,網(wǎng)關(guān)����、防火墻等網(wǎng)絡(luò)安全設(shè)備對于威脅攻擊識別都是基于網(wǎng)絡(luò)流量信息特征提取來實現(xiàn)的;現(xiàn)有技術(shù)中通常是在實驗室對威脅攻擊的網(wǎng)絡(luò)流量進行分析,提取出特殊關(guān)鍵信息作為特征��,生成對應(yīng)特征庫�����,之后部署在網(wǎng)關(guān)設(shè)備上進行特征匹配檢測,識別威脅攻擊的����。
[0003]但是,由于互聯(lián)網(wǎng)技術(shù)發(fā)展迅速����,現(xiàn)有的網(wǎng)絡(luò)安全設(shè)備的防護方法無法識別所有的網(wǎng)絡(luò)攻擊行為;而且實驗室環(huán)境單一,無法識別并覆蓋所有的網(wǎng)絡(luò)攻擊行為特征���,會存在不準確���、更新周期長、效率低等問題�。
【發(fā)明內(nèi)容】
[0004]為解決上述技術(shù)問題,本發(fā)明實施例期望提供一種信息獲取方法和裝置�����,解決了現(xiàn)有的網(wǎng)絡(luò)防護方法無法識別未知網(wǎng)絡(luò)攻擊行為的問題�,極大的提升了安全防護范圍�,提高了準確率和效率;同時��,降低了更新周期�。
[0005]本發(fā)明的技術(shù)方案是這樣實現(xiàn)的:
[0006]—種信息獲取方法��,所述方法包括:
[0007]獲取威脅日志信息;其中�����,所述威脅日志信息為攻擊安全網(wǎng)關(guān)的數(shù)據(jù)信息��;
[0008]基于所述威脅日志信息�,獲取網(wǎng)絡(luò)報文信息;
[0009]發(fā)送所述威脅日志信息和所述網(wǎng)絡(luò)報文信息至服務(wù)器�,以便于所述服務(wù)器能夠基于所述威脅日志信息對所述網(wǎng)絡(luò)報文信息進行分析整理得到簽名特征信息;
[0010]接收所述服務(wù)器發(fā)送的所述簽名特征信息���,并根據(jù)所述簽名特征信息更新原始防護策略得到新的防護策略�����。
[0011 ]可選的���,所述獲取威脅日志信息,包括:
[0012]獲取所述安全網(wǎng)關(guān)運行中的第一數(shù)據(jù)信息���;
[0013]將所述第一數(shù)據(jù)信息與所述原始防護策略進行匹配��;
[0014]獲取所述第一數(shù)據(jù)信息中與所述原始防護策略匹配的數(shù)據(jù)信息����,得到所述威脅日志信息。
[0015]可選的��,所述基于所述威脅日志信息�����,獲取網(wǎng)絡(luò)報文信息���,包括:
[0016]分析所述威脅日志信息�,得到所述威脅日志信息中的標識信息�����;
[0017]獲取所述第一數(shù)據(jù)信息中與所述標識信息對應(yīng)的所有數(shù)據(jù)信息�,得到所述網(wǎng)絡(luò)報文?目息O
[0018]一種信息獲取方法,所述方法包括:
[0019]接收安全網(wǎng)關(guān)發(fā)送的威脅日志信息和網(wǎng)絡(luò)報文信息�����;其中��,所述威脅日志信息為攻擊安全網(wǎng)關(guān)的數(shù)據(jù)信息�����;
[0020]將所述威脅日志信息進行分析處理�����,并基于所述網(wǎng)絡(luò)報文信息和處理后的所述威脅日志信息得到簽名特征信息�;
[0021]發(fā)送所述簽名特征信息至所述安全網(wǎng)關(guān),以便于所述安全網(wǎng)關(guān)根據(jù)所述簽名特征信息和原始防護策略得到新的防護策略��。
[0022]可選的�����,所述將所述威脅日志信息進行分析處理�,并基于處理后的所述威脅日志信息和所述網(wǎng)絡(luò)報文信息得到簽名特征信息,包括:
[0023]對所述威脅日志信息進行分類整理����,得到所述威脅日志信息中的威脅信息;
[0024]獲取所述網(wǎng)絡(luò)報文信息中除所述威脅日志信息中的威脅信息之外的報文信息,得到第二數(shù)據(jù)信息����;
[0025]根據(jù)預(yù)設(shè)規(guī)則獲取所述第二數(shù)據(jù)信息中符合所述預(yù)設(shè)規(guī)則的數(shù)據(jù)信息;
[0026]獲取所述第二數(shù)據(jù)信息中符合所述預(yù)設(shè)規(guī)則的數(shù)據(jù)信息的關(guān)鍵信息����,生成所述簽名特征信息。
[0027]—種安全網(wǎng)關(guān)�,所述安全網(wǎng)關(guān)包括:第一獲取單元、第二獲取單元����、第一發(fā)送單元和第一處理單元,其中:
[0028]所述第一獲取單元��,用于獲取威脅日志信息;其中����,所述威脅日志信息為攻擊安全網(wǎng)關(guān)的數(shù)據(jù)信息;
[0029]所述第二獲取單元����,用于基于所述威脅日志信息,獲取網(wǎng)絡(luò)報文信息��;
[0030]所述第一發(fā)送單元,用于發(fā)送所述威脅日志信息和所述網(wǎng)絡(luò)報文信息至服務(wù)器�,以便于所述服務(wù)器能夠基于所述威脅日志信息對所述網(wǎng)絡(luò)報文信息進行分析整理得到簽名特征信息;
[0031]所述第一處理單元�,用于接收所述服務(wù)器發(fā)送的所述簽名特征信息,并根據(jù)所述簽名特征信息更新原始防護策略得到新的防護策略���。
[0032]可選的,所述第一獲取單元包括:第一獲取模塊���、匹配模塊和第二獲取模塊�,其中:
[0033]所述第一獲取模塊����,用于獲取所述安全網(wǎng)關(guān)運行中的第一數(shù)據(jù)信息;
[0034]所述匹配模塊�,用于將所述第一數(shù)據(jù)信息與所述原始防護策略進行匹配;
[0035]所述第二獲取模塊�����,用于獲取所述第一數(shù)據(jù)信息中與所述原始防護策略匹配的數(shù)據(jù)信息���,得到所述威脅日志信息��。
[0036]可選的���,所述第二獲取單元包括:分析模塊和第三獲取模塊��,其中:
[0037]所述分析模塊�����,用于分析所述威脅日志信息�����,得到所述威脅日志信息中的標識信息;
[0038]所述第三獲取模塊�,用于獲取所述第一數(shù)據(jù)信息中與所述標識信息對應(yīng)的所有數(shù)據(jù)信息���,得到所述網(wǎng)絡(luò)報文信息�����。
[0039]一種服務(wù)器�����,所述服務(wù)器包括:接收單元�、第二處理單元和第二發(fā)送單元,其中:
[0040]所述接收單元����,用于接收安全網(wǎng)關(guān)發(fā)送的威脅日志信息和網(wǎng)絡(luò)報文信息;其中,所述威脅日志信息為攻擊安全網(wǎng)關(guān)的數(shù)據(jù)信息�;
[0041 ]所述第二處理單元,用于將所述威脅日志信息進行分析處理�,并基于所述網(wǎng)絡(luò)報文信息和處理后的所述威脅日志信息得到簽名特征信息;
[0042]所述第二發(fā)送單元�,用于發(fā)送所述簽名特征信息至所述安全網(wǎng)關(guān)����,以便于所述安全網(wǎng)關(guān)根據(jù)所述簽名特征信息和原始防護策略得到新的防護策略。
[0043]可選的���,所述第二處理單元包括:第一處理模塊����、第四獲取模塊���、第五獲取模塊和第二處理模塊����,其中:
[0044]所述第一處理模塊,用于對所述威脅日志信息進行分類整理�,得到所述威脅日志?目息中的威脅?目息;
[0045]所述第四獲取模塊,用于獲取所述網(wǎng)絡(luò)報文信息中除所述威脅日志信息中的威脅信息之外的報文信息�,得到第二數(shù)據(jù)信息;
[0046]所述第五獲取模塊���,用于根據(jù)預(yù)設(shè)規(guī)則獲取所述第二數(shù)據(jù)信息中符合所述預(yù)設(shè)規(guī)則的數(shù)據(jù)信息����;
[0047]所述第二處理模塊��,用于獲取所述第二數(shù)據(jù)信息中符合所述預(yù)設(shè)規(guī)則的數(shù)據(jù)信息的關(guān)鍵信息�,生成所述簽名特征信息。
[0048]本發(fā)明實施例所提供的信息獲取方法和裝置����,安全網(wǎng)關(guān)可以獲取威脅日志信息,基于威脅日志信息獲取網(wǎng)絡(luò)報文信息����,之后發(fā)送威脅日志信息和網(wǎng)絡(luò)報文信息至服務(wù)器,服務(wù)器可以基于威脅日志信息對網(wǎng)絡(luò)報文信息進行分析整理得到簽名特征信息����,并發(fā)送簽名特征信息至安全網(wǎng)關(guān)�����,從而安全網(wǎng)關(guān)可以根據(jù)簽名特征信息得到新的防護策略�,這樣���,安全網(wǎng)關(guān)可以根據(jù)實際運行中遇到的各種不同的網(wǎng)絡(luò)攻擊行為實時的更新自己的防護策略����,解決了現(xiàn)有的網(wǎng)絡(luò)防護方法無法識別未知網(wǎng)絡(luò)攻擊行為的問題��,極大的提升了安全防護范圍����,提高了準確率和效率;同時���,降低了更新周期����。
【附圖說明】
[0049]圖1為本發(fā)明的實施例提供的一種信息獲取方法的流程示意圖���;
[0050]圖2為本發(fā)明的實施例提供的另一種信息獲取方法的流程示意圖���;
[0051]圖3為本發(fā)明的實施例提供的又一種信息獲取方法的流程示意圖��;
[0052]圖4為本發(fā)明的另一實施例提供的一種信息獲取方法的流程示意圖���;
[0053]圖5為本發(fā)明的實施例提供的一種安全網(wǎng)關(guān)的結(jié)構(gòu)示意圖;
[0054]圖6為本發(fā)明的實施例提供的另一種安全網(wǎng)關(guān)的結(jié)構(gòu)示意圖��;
[0055]圖7為本發(fā)明的實施例提供的又一種安全網(wǎng)關(guān)的結(jié)構(gòu)示意圖����;
[0056]圖8為本發(fā)明的實施例提供的一種服務(wù)器的結(jié)構(gòu)示意圖;
[0057]圖9為本發(fā)明的實施例提供的另一種服務(wù)器的結(jié)構(gòu)示意圖�����。
【具體實施方式】
[0058]下面將結(jié)合本發(fā)明實施例中的附圖��,對本發(fā)明實施例中的技術(shù)方案進行清楚�����、完整地描述��。
[0059]本發(fā)明的實施例提供一種信息獲取方法����,參照圖1所示����,該方法包括以下步驟:
[0060]步驟101��、獲取威脅日志信息�����。
[0061]其中��,威脅日志信息為攻擊安全網(wǎng)關(guān)的數(shù)據(jù)信息�。
[0062]具體的,步驟101獲取威脅日志信息可以是由安全網(wǎng)關(guān)來實現(xiàn)的��,本發(fā)明中的安全網(wǎng)關(guān)優(yōu)選的可以是防火墻����。防火墻可以監(jiān)測并獲取其運行過程中產(chǎn)生的所有的數(shù)據(jù)��,并獲取該數(shù)據(jù)中可以被原始防護策略識別到屬于攻擊行為的數(shù)據(jù)得到威脅日志信息��。
[0063]步驟102��、基于威脅日志信息,獲取網(wǎng)絡(luò)報文信息���。
[0064]具體的���,步驟102基于威脅日志信息,獲取網(wǎng)絡(luò)報文信息可以是由安全網(wǎng)關(guān)來實現(xiàn)的����。安全網(wǎng)關(guān)可以根據(jù)威脅日志信息中的能夠唯一標識威脅日志信息中的威脅信息的標識信息,從安全網(wǎng)關(guān)運行過程中產(chǎn)生的所有的數(shù)據(jù)中獲取與該標識信息匹配的數(shù)據(jù)信息得到網(wǎng)絡(luò)報文信息����。
[0065]步驟103、發(fā)送威脅日志信息和網(wǎng)絡(luò)報文信息至服務(wù)器��,以便于服務(wù)器能夠基于威脅日志信息對網(wǎng)絡(luò)報文信息進行分析整理得到簽名特征信息���。
[0066]具體的�,步驟103發(fā)送威脅日志信息和網(wǎng)絡(luò)報文信息至服務(wù)器可以是由安全網(wǎng)關(guān)來實現(xiàn)的�。簽名特征信息可以是服務(wù)器根據(jù)威脅日志信息對網(wǎng)絡(luò)報文信息進行分析處理之后得到的威脅信息中的具有相同特征的信息,從而得到簽名特征信息����。
[0067]步驟104����、接收服務(wù)器發(fā)送的簽名特征信息���,并根據(jù)簽名特征信息更新原始防護策略得到新的防護策略��。
[0068]具體的��,步驟104接收服務(wù)器發(fā)送的簽名特征信息��,并根據(jù)簽名特征信息更新原始防護策略得到新的防護策略可以是由安全網(wǎng)關(guān)來實現(xiàn)的��。接收到服務(wù)器發(fā)送的簽名特征信息之后��,基于該簽名特征信息中包含的能夠識別攻擊行為的數(shù)據(jù)信息更新原始防護策略得到新的防護策略�。
[0069]本發(fā)明的實施例所提供的信息獲取方法����,可以獲取威脅日志信息,基于威脅日志信息獲取網(wǎng)絡(luò)報文信息�����,并發(fā)送威脅日志信息和網(wǎng)絡(luò)報文信息至服務(wù)器�,以便于服務(wù)器能夠基于威脅日志信息對網(wǎng)絡(luò)報文信息進行分析整理得到簽名特征信息,之后接收服務(wù)器發(fā)送的簽名特征信息�����,并根據(jù)簽名特征信息更新原始防護策略得到新的防護策略��,這樣�,安全網(wǎng)關(guān)可以根據(jù)實際運行中遇到的各種不同的網(wǎng)絡(luò)攻擊行為實時的更新自己的防護策略,解決了現(xiàn)有的網(wǎng)絡(luò)防護方法無法識別未知網(wǎng)絡(luò)攻擊行為的問題�����,極大的提升了安全防護范圍����,提高了準確率和效率;同時,降低了更新周期�����。
[0070]本發(fā)明的實施例提供一種信息獲取方法�����,參照圖2所示,該方法包括以下步驟:
[0071 ]步驟201���、接收安全網(wǎng)關(guān)發(fā)送的威脅日志信息和網(wǎng)絡(luò)報文信息�����。
[0072]其中���,威脅日志信息為攻擊安全網(wǎng)關(guān)的數(shù)據(jù)信息。
[0073]具體的�����,接收安全網(wǎng)關(guān)發(fā)送的威脅日志信息和網(wǎng)絡(luò)報文信息可以是由服務(wù)器來實現(xiàn)的���。
[0074]步驟202��、將威脅日志信息進行分析處理��,并基于網(wǎng)絡(luò)報文信息和處理后的威脅日志信息得到簽名特征信息�。
[0075]具體的�,將威脅日志信息進行分析處理,并基于網(wǎng)絡(luò)報文信息和處理后的威脅日志信息得到簽名特征信息可以是由服務(wù)器來實現(xiàn)的��。服務(wù)器可以對得到的威脅日志信息進行分類整理,并根據(jù)分類整理之后的威脅日志信息中的威脅信息對網(wǎng)絡(luò)報文信息進行篩選�,得到簽名特征信息���。
[0076]步驟203���、發(fā)送簽名特征信息至安全網(wǎng)關(guān),以便于安全網(wǎng)關(guān)根據(jù)簽名特征信息和原始防護策略得到新的防護策略���。
[0077]具體的��,發(fā)送簽名特征信息至安全網(wǎng)關(guān)可以是由服務(wù)器來實現(xiàn)的��。
[0078]需要說明的是����,本實施例中與其它實施例中相同步驟或概念的解釋可以參照其它實施例中的描述����,此處不再贅述。
[0079]本發(fā)明實施例所提供的信息獲取方法����,可以接收安全網(wǎng)關(guān)發(fā)送的威脅日志信息和網(wǎng)絡(luò)報文信息�����,將威脅日志信息進行分析處理����,并基于網(wǎng)絡(luò)報文信息和處理后的威脅日志信息得到簽名特征信息����,發(fā)送簽名特征信息至安全網(wǎng)關(guān),以便于安全網(wǎng)關(guān)根據(jù)簽名特征信息和原始防護策略得到新的防護策略�,這樣,安全網(wǎng)關(guān)可以根據(jù)實際運行中遇到的各種不同的網(wǎng)絡(luò)攻擊行為實時的更新自己的防護策略���,解決了現(xiàn)有的網(wǎng)絡(luò)防護方法無法識別未知網(wǎng)絡(luò)攻擊行為的問題�,極大的提升了安全防護范圍��,提高了準確率和效率��;同時����,降低了更新周期。
[0080]本發(fā)明的實施例提供一種信息獲取方法����,參照圖3所示����,該方法包括以下步驟:
[0081 ]步驟301���、安全網(wǎng)關(guān)獲取威脅日志信息。
[0082]其中�,威脅日志信息為攻擊安全網(wǎng)關(guān)的數(shù)據(jù)信息。
[0083]具體的���,威脅日志信息中可以包括:威脅信息�����、每一威脅信息對應(yīng)的IP地址����、威脅信息觸發(fā)的防護策略中的規(guī)則漏洞��、屬于何種類型的威脅信息����、如何進行攻擊的等一些關(guān)于威脅信息的基本屬性信息�。
[0084]步驟302�、安全網(wǎng)關(guān)基于威脅日志信息,獲取網(wǎng)絡(luò)報文信息���。
[0085]具體的���,網(wǎng)絡(luò)報文信息可以指的是能夠唯一標識威脅日志信息中的威脅信息的標識信息相關(guān)的所有網(wǎng)絡(luò)通信流量信息。
[0086]步驟303��、安全網(wǎng)關(guān)發(fā)送威脅日志信息和網(wǎng)絡(luò)報文信息至服務(wù)器��。
[0087]步驟304�����、服務(wù)器接收安全網(wǎng)關(guān)發(fā)送的威脅日志信息和網(wǎng)絡(luò)報文信息����。
[0088]步驟305、服務(wù)器將威脅日志信息進行分析處理�,并基于網(wǎng)絡(luò)報文信息和處理后的威脅日志信息得到簽名特征信息。
[0089]步驟306�、服務(wù)器發(fā)送簽名特征信息至安全網(wǎng)關(guān)。
[0090]步驟307、安全網(wǎng)關(guān)接收服務(wù)器發(fā)送的簽名特征信息��,并根據(jù)簽名特征信息更新原始防護策略得到新的防護策略�。
[0091 ]需要說明的是,本實施例中與其它實施例中相同步驟或概念的解釋可以參照其它實施例中的描述�,此處不再贅述。
[0092]本發(fā)明的實施例所提供的信息獲取方法���,安全網(wǎng)關(guān)可以獲取威脅日志信息���,基于威脅日志信息獲取網(wǎng)絡(luò)報文信息���,之后發(fā)送威脅日志信息和網(wǎng)絡(luò)報文信息至服務(wù)器�,服務(wù)器可以基于威脅日志信息對網(wǎng)絡(luò)報文信息進行分析整理得到簽名特征信息����,并發(fā)送簽名特征信息至安全網(wǎng)關(guān),從而安全網(wǎng)關(guān)可以根據(jù)簽名特征信息得到新的防護策略��,這樣�����,安全網(wǎng)關(guān)可以根據(jù)實際運行中遇到的各種不同的網(wǎng)絡(luò)攻擊行為實時的更新自己的防護策略�,解決了現(xiàn)有的網(wǎng)絡(luò)防護方法無法識別未知網(wǎng)絡(luò)攻擊行為的問題��,極大的提升了安全防護范圍���,提高了準確率和效率;同時,降低了更新周期�。
[0093]本發(fā)明的實施例提供一種信息獲取方法,參照圖4所示��,該方法包括以下步驟:
[0094]步驟401�、安全網(wǎng)關(guān)獲取安全網(wǎng)關(guān)運行中的第一數(shù)據(jù)信息。
[0095]具體的����,第一數(shù)據(jù)信息可以是防火墻在預(yù)設(shè)周期內(nèi)實際運行過程中產(chǎn)生的所有數(shù)據(jù)信息。
[0096]步驟402����、安全網(wǎng)關(guān)將第一數(shù)據(jù)信息與原始防護策略進行匹配。
[0097]具體的�,原始防護策略可以是防火墻中預(yù)先設(shè)置的基于初始的能夠識別攻擊行為的所有防護信息;防火墻判斷其運行過程中產(chǎn)生的所有數(shù)據(jù)信息是不是在原始防護策略信息中來實現(xiàn)第一數(shù)據(jù)信息與原始防護策略的匹配。
[0098]步驟403��、安全網(wǎng)關(guān)獲取第一數(shù)據(jù)信息中與原始防護策略匹配的數(shù)據(jù)信息�����,得到威脅日志信息。
[0099]具體的�,第一數(shù)據(jù)信息中屬于原始防護策略中的信息即可以認為是第一數(shù)據(jù)信息中與原始防護策略匹配的數(shù)據(jù)信息,即可以得到威脅日志信息����。
[0100]步驟404、安全網(wǎng)關(guān)分析威脅日志信息���,得到威脅日志信息中的標識信息�����。
[0101]步驟405�、安全網(wǎng)關(guān)獲取第一數(shù)據(jù)信息中與標識信息對應(yīng)的所有數(shù)據(jù)信息���,得到網(wǎng)絡(luò)報文信息。
[0102]具體的�,威脅日志信息中的標識信息優(yōu)選的可以是威脅日志信息中的每一威脅信息所屬的IP地址;防火墻可以根據(jù)得到的每一威脅信息的IP地址��,在第一數(shù)據(jù)信息中獲取屬于該IP地址的所有數(shù)據(jù)信息即得到網(wǎng)絡(luò)報文信息��;其中,此處只是舉例說明標識信息可以是IP地址���,并沒有限定只能是IP地址���,威脅信息的其它屬性信息中可以用于唯一標識威脅信息的信息都可以作為標識信息。
[0103]步驟406����、安全網(wǎng)關(guān)發(fā)送威脅日志信息和網(wǎng)絡(luò)報文信息至服務(wù)器。
[0104]具體的����,可以是通過安全網(wǎng)關(guān)與服務(wù)器之間的通信鏈路將得到的威脅日志信息和網(wǎng)絡(luò)報文信息發(fā)送給服務(wù)器的。
[0105]步驟407�����、服務(wù)器接收安全網(wǎng)關(guān)發(fā)送的威脅日志信息和網(wǎng)絡(luò)報文信息�����。
[0106]步驟408����、服務(wù)器對威脅日志信息進行分類整理�,得到威脅日志信息中的威脅信息�。
[0107]具體的,服務(wù)器可以按照威脅日志信息中的威脅信息的攻擊類型��、攻擊行為產(chǎn)生的方式��、攻擊什么產(chǎn)生的威脅信息等方式對威脅日志信息中的威脅信息進行分類��。
[0108]步驟409��、服務(wù)器獲取網(wǎng)絡(luò)報文信息中除威脅日志信息中的威脅信息之外的報文信息�����,得到第二數(shù)據(jù)信息����。
[0109]步驟410、服務(wù)器根據(jù)預(yù)設(shè)規(guī)則獲取第二數(shù)據(jù)信息中符合預(yù)設(shè)規(guī)則的數(shù)據(jù)信息����。
[0110]具體的��,預(yù)設(shè)規(guī)則可以是預(yù)先設(shè)置完成的��,例如可以是共性惡意特征、攻擊模式相關(guān)聯(lián)等�,測試過程中形成的可以過濾威脅信息的一些過濾規(guī)則信息,并將得到的這些過濾規(guī)則信息存儲在服務(wù)器中�。
[0111]步驟411、服務(wù)器獲取第二數(shù)據(jù)信息中符合預(yù)設(shè)規(guī)則的數(shù)據(jù)信息的關(guān)鍵信息��,生成簽名特征信息����。
[0112]其中,第二數(shù)據(jù)信息中符合預(yù)設(shè)規(guī)則的數(shù)據(jù)信息的關(guān)鍵信息可以是第二數(shù)據(jù)信息中符合預(yù)設(shè)規(guī)則的數(shù)據(jù)信息中提取出來的具有共同特征的一些信息�����,并對結(jié)合識別預(yù)設(shè)過濾規(guī)則的識別策略得到簽名特征信息�����。
[0113]步驟412���、服務(wù)器發(fā)送簽名特征信息至安全網(wǎng)關(guān)�����。
[0114]步驟413����、安全網(wǎng)關(guān)接收服務(wù)器發(fā)送的簽名特征信息,并根據(jù)簽名特征信息更新原始防護策略得到新的防護策略�����。
[0115]具體的�,安全網(wǎng)關(guān)接收服務(wù)器發(fā)送的簽名特征信息后,將簽名特征信息與原始防護策略中的信息進行比較�,將原始防護策略中沒有的信息添加至原始防護策略,并對原始防護策略進行更新��,生成新的防護策略;之后可以根據(jù)預(yù)設(shè)時間周期�,重新進行本發(fā)明中的操作流程,不斷的更新防護策略中的信息��。這樣����,安全網(wǎng)關(guān)中的防護策略可以根據(jù)各種病毒信息等攻擊行為的不斷更新實時的更新,可以有效的識別更多的攻擊行為�,更大程度的保證了網(wǎng)絡(luò)的通信安全,同時保證了信息的安全�,提高了工作效率。本發(fā)明各個實施例中的安全網(wǎng)關(guān)可以是防火墻���,服務(wù)器可以是云端服務(wù)器�����。
[0116]需要說明的是���,本實施例中與其它實施例中相同步驟或概念的解釋可以參照其它實施例中的描述,此處不再贅述�。
[0117]本發(fā)明實施例所提供的信息獲取方法,安全網(wǎng)關(guān)可以獲取威脅日志信息�,基于威脅日志信息獲取網(wǎng)絡(luò)報文信息,之后發(fā)送威脅日志信息和網(wǎng)絡(luò)報文信息至服務(wù)器���,服務(wù)器可以基于威脅日志信息對網(wǎng)絡(luò)報文信息進行分析整理得到簽名特征信息�����,并發(fā)送簽名特征信息至安全網(wǎng)關(guān)���,從而安全網(wǎng)關(guān)可以根據(jù)簽名特征信息得到新的防護策略,這樣���,安全網(wǎng)關(guān)可以根據(jù)實際運行中遇到的各種不同的網(wǎng)絡(luò)攻擊行為實時的更新自己的防護策略��,解決了現(xiàn)有的網(wǎng)絡(luò)防護方法無法識別未知網(wǎng)絡(luò)攻擊行為的問題��,極大的提升了安全防護范圍�,提高了準確率和效率;同時,降低了更新周期���。
[0118]本發(fā)明的實施例提供一種安全網(wǎng)關(guān)5��,該安全網(wǎng)關(guān)可以應(yīng)用于圖1��、3?4對應(yīng)的實施例提供的一種信息獲取方法中�����,參照圖5所示���,該安全網(wǎng)關(guān)5可以包括:第一獲取單元51、第二獲取單元52�����、第一發(fā)送單元53和第一處理單元54�����,其中:
[0119]第一獲取單元51,用于獲取威脅日志信息�。
[0120]其中����,威脅日志信息為攻擊安全網(wǎng)關(guān)的數(shù)據(jù)信息。
[0121 ]第二獲取單元52��,用于基于威脅日志信息�����,獲取網(wǎng)絡(luò)報文信息����。
[0122]第一發(fā)送單元53,用于發(fā)送威脅日志信息和網(wǎng)絡(luò)報文信息至服務(wù)器�����,以便于服務(wù)器能夠基于威脅日志信息對網(wǎng)絡(luò)報文信息進行分析整理得到簽名特征信息�。
[0123]第一處理單元54,用于接收服務(wù)器發(fā)送的簽名特征信息���,并根據(jù)簽名特征信息更新原始防護策略得到新的防護策略���。
[0124]本發(fā)明的實施例所提供的安全網(wǎng)關(guān)�����,可以獲取威脅日志信息���,基于威脅日志信息獲取網(wǎng)絡(luò)報文信息,并發(fā)送威脅日志信息和網(wǎng)絡(luò)報文信息至服務(wù)器�����,以便于服務(wù)器能夠基于威脅日志信息對網(wǎng)絡(luò)報文信息進行分析整理得到簽名特征信息�����,之后接收服務(wù)器發(fā)送的簽名特征信息���,并根據(jù)簽名特征信息更新原始防護策略得到新的防護策略��,這樣���,安全網(wǎng)關(guān)可以根據(jù)實際運行中遇到的各種不同的網(wǎng)絡(luò)攻擊行為實時的更新自己的防護策略,解決了現(xiàn)有的網(wǎng)絡(luò)防護方法無法識別未知網(wǎng)絡(luò)攻擊行為的問題,極大的提升了安全防護范圍����,提高了準確率和效率;同時,降低了更新周期��。
[0125]具體的�����,參照圖6所示���,第一獲取單元51包括:第一獲取模塊511、匹配模塊512和第二獲取模塊513����,其中:
[0126]第一獲取模塊511,用于獲取安全網(wǎng)關(guān)運行中的第一數(shù)據(jù)信息��。
[0127]匹配模塊512��,用于將第一數(shù)據(jù)信息與原始防護策略進行匹配�。
[0128]第二獲取模塊513,用于獲取第一數(shù)據(jù)信息中與原始防護策略匹配的數(shù)據(jù)信息��,得到威脅日志信息。
[0129]進一步���,參照圖7所示����,第二獲取單元52包括:分析模塊521和第三獲取模塊522����,其中:
[0130]分析模塊521,用于分析威脅日志信息�,得到威脅日志信息中的標識信息。
[0131]第三獲取模塊522�,用于獲取第一數(shù)據(jù)信息中與標識信息對應(yīng)的所有數(shù)據(jù)信息,得到網(wǎng)絡(luò)報文信息���。
[0132]需要說明的是��,本發(fā)明實施例中各個單元和模塊之間的交互過程�,可以參照圖1����、3?4對應(yīng)的實施例提供的一種信息獲取方法中的交互過程,此處不再贅述����。
[0133]本發(fā)明的實施例所提供的安全網(wǎng)關(guān)�����,可以獲取威脅日志信息�,基于威脅日志信息獲取網(wǎng)絡(luò)報文信息��,并發(fā)送威脅日志信息和網(wǎng)絡(luò)報文信息至服務(wù)器�����,以便于服務(wù)器能夠基于威脅日志信息對網(wǎng)絡(luò)報文信息進行分析整理得到簽名特征信息����,之后接收服務(wù)器發(fā)送的簽名特征信息�����,并根據(jù)簽名特征信息更新原始防護策略得到新的防護策略��,這樣�,安全網(wǎng)關(guān)可以根據(jù)實際運行中遇到的各種不同的網(wǎng)絡(luò)攻擊行為實時的更新自己的防護策略,解決了現(xiàn)有的網(wǎng)絡(luò)防護方法無法識別未知網(wǎng)絡(luò)攻擊行為的問題�,極大的提升了安全防護范圍���,提高了準確率和效率;同時,降低了更新周期��。
[0134]本發(fā)明的實施例提供一種服務(wù)器6�����,該服務(wù)器可以應(yīng)用于圖2?4對應(yīng)的實施例提供的一種信息獲取方法中�,參照圖8所示,該服務(wù)器6可以包括:接收單元61�����、第二處理單元62和第二發(fā)送單元63�,其中:
[0135]接收單元61,用于接收安全網(wǎng)關(guān)發(fā)送的威脅日志信息和網(wǎng)絡(luò)報文信息����。
[0136]其中,威脅日志信息為攻擊安全網(wǎng)關(guān)的數(shù)據(jù)信息���。
[0137]第二處理單元62�����,用于將威脅日志信息進行分析處理��,并基于網(wǎng)絡(luò)報文信息和處理后的威脅日志信息得到簽名特征信息�����。
[0138]第二發(fā)送單元63���,用于發(fā)送簽名特征信息至安全網(wǎng)關(guān)����,以便于安全網(wǎng)關(guān)根據(jù)簽名特征信息和原始防護策略得到新的防護策略�。
[0139]本發(fā)明實施例所提供的服務(wù)器,可以接收安全網(wǎng)關(guān)發(fā)送的威脅日志信息和網(wǎng)絡(luò)報文信息����,將威脅日志信息進行分析處理���,并基于網(wǎng)絡(luò)報文信息和處理后的威脅日志信息得到簽名特征信息�����,發(fā)送簽名特征信息至安全網(wǎng)關(guān)�����,以便于安全網(wǎng)關(guān)根據(jù)簽名特征信息和原始防護策略得到新的防護策略�,這樣,安全網(wǎng)關(guān)可以根據(jù)實際運行中遇到的各種不同的網(wǎng)絡(luò)攻擊行為實時的更新自己的防護策略�,解決了現(xiàn)有的網(wǎng)絡(luò)防護方法無法識別未知網(wǎng)絡(luò)攻擊行為的問題,極大的提升了安全防護范圍��,提高了準確率和效率;同時��,降低了更新周期����。
[0140]進一步,參照圖9所示�����,第二處理單元62包括:第一處理模塊621�、第四獲取模塊622、第五獲取模塊623和第二處理模塊624����,其中:
[0141 ]第一處理模塊621,用于對威脅日志信息進行分類整理����,得到威脅日志信息中的威脅信息�����。
[0142]第四獲取模塊622�,用于獲取網(wǎng)絡(luò)報文信息中除威脅日志信息中的威脅信息之外的報文信息�,得到第二數(shù)據(jù)信息。
[0143]第五獲取模塊623�,用于根據(jù)預(yù)設(shè)規(guī)則獲取第二數(shù)據(jù)信息中符合預(yù)設(shè)規(guī)則的數(shù)據(jù)
?目息O
[0144]第二處理模塊624,用于獲取第二數(shù)據(jù)信息中符合預(yù)設(shè)規(guī)則的數(shù)據(jù)信息的關(guān)鍵信息����,生成簽名特征信息。
[0145]需要說明的是����,本實施例中各個單元和模塊之間的交互過程,可以參照圖2?4對應(yīng)的實施例提供的一種信息獲取方法中的交互過程�����,此處不再贅述���。
[0146]本發(fā)明實施例所提供的服務(wù)器�����,可以接收安全網(wǎng)關(guān)發(fā)送的威脅日志信息和網(wǎng)絡(luò)報文信息��,將威脅日志信息進行分析處理�����,并基于網(wǎng)絡(luò)報文信息和處理后的威脅日志信息得到簽名特征信息��,發(fā)送簽名特征信息至安全網(wǎng)關(guān)����,以便于安全網(wǎng)關(guān)根據(jù)簽名特征信息和原始防護策略得到新的防護策略��,這樣����,安全網(wǎng)關(guān)可以根據(jù)實際運行中遇到的各種不同的網(wǎng)絡(luò)攻擊行為實時的更新自己的防護策略,解決了現(xiàn)有的網(wǎng)絡(luò)防護方法無法識別未知網(wǎng)絡(luò)攻擊行為的問題���,極大的提升了安全防護范圍�,提高了準確率和效率;同時,降低了更新周期�����。
[0147]在實際應(yīng)用中����,所述第一獲取單元51、第二獲取單元52�、第一發(fā)送單元53、第一處理單元54����、第一獲取模塊511、匹配模塊512�、第二獲取模塊513、分析模塊521���、第三獲取模塊522����、接收單元61��、第二處理單元62���、第二發(fā)送單元63�、第一處理模塊621�、第四獲取模塊622、第五獲取模塊623和第二處理模塊624均可由位于無線數(shù)據(jù)發(fā)送設(shè)備中的中央處理器(Central Processing Unit��,CPU)���、微處理器(Micro Processor Unit����,MPU)����、數(shù)字信號處理器(Digital Signal Processor,DSP)或現(xiàn)場可編程門陣列(Field Programmable GateArray���,F(xiàn)PGA)等實現(xiàn)�����。
[0148]本領(lǐng)域內(nèi)的技術(shù)人員應(yīng)明白�,本發(fā)明的實施例可提供為方法����、系統(tǒng)�、或計算機程序產(chǎn)品���。因此�����,本發(fā)明可采用硬件實施例����、軟件實施例�����、或結(jié)合軟件和硬件方面的實施例的形式���。而且�,本發(fā)明可采用在一個或多個其中包含有計算機可用程序代碼的計算機可用存儲介質(zhì)(包括但不限于磁盤存儲器和光學存儲器等)上實施的計算機程序產(chǎn)品的形式�。
[0149]本發(fā)明是參照根據(jù)本發(fā)明實施例的方法、設(shè)備(系統(tǒng))�、和計算機程序產(chǎn)品的流程圖和/或方框圖來描述的。應(yīng)理解可由計算機程序指令實現(xiàn)流程圖和/或方框圖中的每一流程和/或方框�����、以及流程圖和/或方框圖中的流程和/或方框的結(jié)合?�?商峁┻@些計算機程序指令到通用計算機��、專用計算機��、嵌入式處理機或其他可編程數(shù)據(jù)處理設(shè)備的處理器以產(chǎn)生一個機器���,使得通過計算機或其他可編程數(shù)據(jù)處理設(shè)備的處理器執(zhí)行的指令產(chǎn)生用于實現(xiàn)在流程圖一個流程或多個流程和/或方框圖一個方框或多個方框中指定的功能的裝置。
[0150]這些計算機程序指令也可存儲在能引導計算機或其他可編程數(shù)據(jù)處理設(shè)備以特定方式工作的計算機可讀存儲器中�,使得存儲在該計算機可讀存儲器中的指令產(chǎn)生包括指令裝置的制造品,該指令裝置實現(xiàn)在流程圖一個流程或多個流程和/或方框圖一個方框或多個方框中指定的功能�����。
[0151]這些計算機程序指令也可裝載到計算機或其他可編程數(shù)據(jù)處理設(shè)備上����,使得在計算機或其他可編程設(shè)備上執(zhí)行一系列操作步驟以產(chǎn)生計算機實現(xiàn)的處理,從而在計算機或其他可編程設(shè)備上執(zhí)行的指令提供用于實現(xiàn)在流程圖一個流程或多個流程和/或方框圖一個方框或多個方框中指定的功能的步驟����。
[0152]以上所述����,僅為本發(fā)明的較佳實施例而已��,并非用于限定本發(fā)明的保護范圍�����。
【主權(quán)項】
1.一種信息獲取方法����,其特征在于,所述方法包括: 獲取威脅日志信息;其中�����,所述威脅日志信息為攻擊安全網(wǎng)關(guān)的數(shù)據(jù)信息�����; 基于所述威脅日志信息�����,獲取網(wǎng)絡(luò)報文信息�; 發(fā)送所述威脅日志信息和所述網(wǎng)絡(luò)報文信息至服務(wù)器�����,以便于所述服務(wù)器能夠基于所述威脅日志信息對所述網(wǎng)絡(luò)報文信息進行分析整理得到簽名特征信息�; 接收所述服務(wù)器發(fā)送的所述簽名特征信息����,并根據(jù)所述簽名特征信息更新原始防護策略得到新的防護策略。2.根據(jù)權(quán)利要求1所述的方法����,其特征在于���,所述獲取威脅日志信息��,包括: 獲取所述安全網(wǎng)關(guān)運行中的第一數(shù)據(jù)信息��; 將所述第一數(shù)據(jù)信息與所述原始防護策略進行匹配�; 獲取所述第一數(shù)據(jù)信息中與所述原始防護策略匹配的數(shù)據(jù)信息��,得到所述威脅日志信息��。3.根據(jù)權(quán)利要求2所述的方法���,其特征在于��,所述基于所述威脅日志信息�,獲取網(wǎng)絡(luò)報文信息,包括: 分析所述威脅日志信息���,得到所述威脅日志信息中的標識信息�����; 獲取所述第一數(shù)據(jù)信息中與所述標識信息對應(yīng)的所有數(shù)據(jù)信息�����,得到所述網(wǎng)絡(luò)報文信息��。4.一種信息獲取方法�����,其特征在于�,所述方法包括: 接收安全網(wǎng)關(guān)發(fā)送的威脅日志信息和網(wǎng)絡(luò)報文信息���;其中�,所述威脅日志信息為攻擊安全網(wǎng)關(guān)的數(shù)據(jù)信息; 將所述威脅日志信息進行分析處理����,并基于所述網(wǎng)絡(luò)報文信息和處理后的所述威脅日志信息得到簽名特征信息; 發(fā)送所述簽名特征信息至所述安全網(wǎng)關(guān)���,以便于所述安全網(wǎng)關(guān)根據(jù)所述簽名特征信息和原始防護策略得到新的防護策略�。5.根據(jù)權(quán)利要求4所述的方法����,其特征在于,所述將所述威脅日志信息進行分析處理��,并基于處理后的所述威脅日志信息和所述網(wǎng)絡(luò)報文信息得到簽名特征信息�����,包括: 對所述威脅日志信息進行分類整理�,得到所述威脅日志信息中的威脅信息�; 獲取所述網(wǎng)絡(luò)報文信息中除所述威脅日志信息中的威脅信息之外的報文信息,得到第二數(shù)據(jù)信息�; 根據(jù)預(yù)設(shè)規(guī)則獲取所述第二數(shù)據(jù)信息中符合所述預(yù)設(shè)規(guī)則的數(shù)據(jù)信息; 獲取所述第二數(shù)據(jù)信息中符合所述預(yù)設(shè)規(guī)則的數(shù)據(jù)信息的關(guān)鍵信息���,生成所述簽名特征信息���。6.—種安全網(wǎng)關(guān)��,其特征在于�����,所述安全網(wǎng)關(guān)包括:第一獲取單元����、第二獲取單元�、第一發(fā)送單元和第一處理單元,其中: 所述第一獲取單元����,用于獲取威脅日志信息;其中,所述威脅日志信息為攻擊安全網(wǎng)關(guān)的數(shù)據(jù)信息�����; 所述第二獲取單元����,用于基于所述威脅日志信息���,獲取網(wǎng)絡(luò)報文信息; 所述第一發(fā)送單元�����,用于發(fā)送所述威脅日志信息和所述網(wǎng)絡(luò)報文信息至服務(wù)器��,以便于所述服務(wù)器能夠基于所述威脅日志信息對所述網(wǎng)絡(luò)報文信息進行分析整理得到簽名特征信息���; 所述第一處理單元�,用于接收所述服務(wù)器發(fā)送的所述簽名特征信息���,并根據(jù)所述簽名特征信息更新原始防護策略得到新的防護策略���。7.根據(jù)權(quán)利要求6所述的安全網(wǎng)關(guān)��,其特征在于���,所述第一獲取單元包括:第一獲取模塊����、匹配模塊和第二獲取模塊,其中: 所述第一獲取模塊�,用于獲取所述安全網(wǎng)關(guān)運行中的第一數(shù)據(jù)信息; 所述匹配模塊�,用于將所述第一數(shù)據(jù)信息與所述原始防護策略進行匹配; 所述第二獲取模塊�����,用于獲取所述第一數(shù)據(jù)信息中與所述原始防護策略匹配的數(shù)據(jù)信息����,得到所述威脅日志信息。8.根據(jù)權(quán)利要求7所述的安全網(wǎng)關(guān)�����,其特征在于�,所述第二獲取單元包括:分析模塊和第三獲取模塊,其中: 所述分析模塊���,用于分析所述威脅日志信息����,得到所述威脅日志信息中的標識信息; 所述第三獲取模塊����,用于獲取所述第一數(shù)據(jù)信息中與所述標識信息對應(yīng)的所有數(shù)據(jù)信息,得到所述網(wǎng)絡(luò)報文信息�。9.一種服務(wù)器,其特征在于���,所述服務(wù)器包括:接收單元�����、第二處理單元和第二發(fā)送單元���,其中: 所述接收單元,用于接收安全網(wǎng)關(guān)發(fā)送的威脅日志信息和網(wǎng)絡(luò)報文信息;其中�,所述威脅日志信息為攻擊安全網(wǎng)關(guān)的數(shù)據(jù)信息; 所述第二處理單元����,用于將所述威脅日志信息進行分析處理,并基于所述網(wǎng)絡(luò)報文信息和處理后的所述威脅日志信息得到簽名特征信息����; 所述第二發(fā)送單元,用于發(fā)送所述簽名特征信息至所述安全網(wǎng)關(guān)����,以便于所述安全網(wǎng)關(guān)根據(jù)所述簽名特征信息和原始防護策略得到新的防護策略。10.根據(jù)權(quán)利要求9所述的服務(wù)器����,其特征在于,所述第二處理單元包括:第一處理模塊��、第四獲取模塊�����、第五獲取模塊和第二處理模塊����,其中: 所述第一處理模塊,用于對所述威脅日志信息進行分類整理����,得到所述威脅日志信息中的威脅信息; 所述第四獲取模塊�����,用于獲取所述網(wǎng)絡(luò)報文信息中除所述威脅日志信息中的威脅信息之外的報文信息,得到第二數(shù)據(jù)信息�; 所述第五獲取模塊,用于根據(jù)預(yù)設(shè)規(guī)則獲取所述第二數(shù)據(jù)信息中符合所述預(yù)設(shè)規(guī)則的數(shù)據(jù)信息����; 所述第二處理模塊,用于獲取所述第二數(shù)據(jù)信息中符合所述預(yù)設(shè)規(guī)則的數(shù)據(jù)信息的關(guān)鍵信息����,生成所述簽名特征信息。
【文檔編號】H04L29/06GK105827627SQ201610282739
【公開日】2016年8月3日
【申請日】2016年4月29日
【發(fā)明人】張永臣, 唐佳偉
【申請人】北京網(wǎng)康科技有限公司