一种网络通讯安全防护系统及其防护方法
技术领域
本发明涉及网络安全技术领域,尤其是一种网络通讯安全防护系统及其防护方法。
背景技术
随着互联网技术的发展,网络通讯已深入到社会的各个领域,与人民的生活和工作息息相关。而随之而来的网络通讯安全问题则日益凸显。为了保护网络通讯的安全有效,现有技术中使用了多种方法进行监控和防护。但是,现有技术手段在实现有效防护的同时,普遍存在数据丢包率高的问题,造成网络通讯延时明显。
发明内容
本发明要解决的技术问题是提供一种网络通讯安全防护系统及其防护方法,能够解决现有技术的不足,在保证防护有效性的同时降低数据丢包率。
为解决上述技术问题,本发明所采取的技术方案如下。
一种网络通讯安全防护系统,包括,
数据包初筛模块,根据数据库中的白名单对数据包进行过滤初筛;
数据包校验模块,对经过数据包初筛模块过滤初筛得到的数据包进行校验;
白名单更新模块,用于根据校验结果对数据库中的白名单进行更新。
一种上述的网络通讯安全防护系统的防护方法,包括以下步骤:
A、数据包初筛模块根据数据库中的白名单对数据包进行过滤初筛;
B、数据包校验模块对经过数据包初筛模块过滤初筛得到的数据包进行校验;
C、白名单更新模块根据校验结果对数据库中的白名单进行更新。
作为优选,步骤B中,对数据包进行校验包括以下步骤,
B1、判断数据包的MAC地址和IP地址是否正确,若不正确则结束步骤B并删除此数据包,若正确则转至步骤B2;
B2、使用数据包的MAC地址和IP地址生成校验签名,使用校验签名对数据包进行校验,若校验正确则结束步骤B,若校验错误则转至步骤B3;
B3、使用至少两个不同的执行指令集对进行步骤B2中校验出现错误的数据包进行虚拟运算,若运算结果随机出现的报错信息数量超过预设阈值,则删除上述数据包,否则保留上述数据包。
作为优选,步骤B2中,在生成校验签名的同时生成校验公钥,在校验前使用待校验的数据包生成校验私钥;在校验时分别使用校验公钥和校验私钥对数据包进行加密处理,若加密处理后的结果存在线性的转化函数,则校验正确,否则校验错误。
作为优选,步骤B3中,每次进行虚拟运算前,至少更新一个执行指令集。
作为优选,步骤C中,将通过步骤B校验的数据包的MAC地址和IP地址补入白名单中;同时,将白名单分为两个优先级,白名单的原始数据为高优先级,补入的地址数据为低优先级,在进行过滤初筛时首选使用高优先级的原始数据进行处理,然后将不符合初筛条件的数据包使用低优先级的地址数据进行二次处理。
采用上述技术方案所带来的有益效果在于:本发明在使用传统的白名单进行过滤初筛的基础上,为了解决有效数据丢包的问题,扩大白名单的范围,与此同时为了避免扩大范围带来的防护效果下降的问题,本发明专门设计了三级校验过程。首先使用MAC地址和IP地址进行直接校验,用来快速筛选;然后利用MAC地址和IP地址生成签名,并通过判断加密结果之间的转化关系对数据包进行第二级校验,避免了加密校验过程的大数据量运算;随后对于少量的剩余数据包进行虚拟运算,对其安全性进行最终鉴别。整个过程严格控制了运算量,执行效率高。最后,通过校验结果对白名单进行分级更新,可以有效提高白名单的筛选效率。
附图说明
图1是本发明一个具体实施方式的原理图。
具体实施方式
参照图1,本发明的一个具体实施方式包括,
数据包初筛模块1,根据数据库中的白名单对数据包进行过滤初筛;
数据包校验模块2,对经过数据包初筛模块1过滤初筛得到的数据包进行校验;
白名单更新模块3,用于根据校验结果对数据库中的白名单进行更新。
一种上述的网络通讯安全防护系统的防护方法,包括以下步骤:
A、数据包初筛模块1根据数据库中的白名单对数据包进行过滤初筛;
B、数据包校验模块2对经过数据包初筛模块1过滤初筛得到的数据包进行校验;
C、白名单更新模块3根据校验结果对数据库中的白名单进行更新。
步骤B中,对数据包进行校验包括以下步骤,
B1、判断数据包的MAC地址和IP地址是否正确,若不正确则结束步骤B并删除此数据包,若正确则转至步骤B2;
B2、使用数据包的MAC地址和IP地址生成校验签名,使用校验签名对数据包进行校验,若校验正确则结束步骤B,若校验错误则转至步骤B3;
B3、使用至少两个不同的执行指令集对进行步骤B2中校验出现错误的数据包进行虚拟运算,若运算结果随机出现的报错信息数量超过预设阈值,则删除上述数据包,否则保留上述数据包。
步骤B2中,在生成校验签名的同时生成校验公钥,在校验前使用待校验的数据包生成校验私钥;在校验时分别使用校验公钥和校验私钥对数据包进行加密处理,若加密处理后的结果存在线性的转化函数,则校验正确,否则校验错误。
步骤B3中,每次进行虚拟运算前,至少更新一个执行指令集。
步骤C中,将通过步骤B校验的数据包的MAC地址和IP地址补入白名单中;同时,将白名单分为两个优先级,白名单的原始数据为高优先级,补入的地址数据为低优先级,在进行过滤初筛时首选使用高优先级的原始数据进行处理,然后将不符合初筛条件的数据包使用低优先级的地址数据进行二次处理。
根据白名单数据的命中概率,对高低优先级数据进行动态调整,保证高优先级数据的命中概率不低于低优先级数据,且高优先级数据与低优先级数据之间保持3%~5%的重复率。通过上述对白名单数据的优化,可以进一步提高白名单对数据初筛的准确度,降低后续运算量。
在本发明的描述中,需要理解的是,术语“纵向”、“横向”、“上”、“下”、“前”、“后”、“左”、“右”、“竖直”、“水平”、“顶”、“底”、“内”、“外”等指示的方位或位置关系为基于附图所示的方位或位置关系,仅是为了便于描述本发明,而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作,因此不能理解为对本发明的限制。
以上显示和描述了本发明的基本原理和主要特征和本发明的优点。本行业的技术人员应该了解,本发明不受上述实施例的限制,上述实施例和说明书中描述的只是说明本发明的原理,在不脱离本发明精神和范围的前提下,本发明还会有各种变化和改进,这些变化和改进都落入要求保护的本发明范围内。本发明要求保护范围由所附的权利要求书及其等效物界定。