本申請涉及一種安全滲透防御方法、裝置和設備。所述方法包括：獲取應用系統發送的訪問請求；對訪問請求對應的網絡流量進行對應用層的協議解析，將包含預設協議的網絡流量進行攔截，允許其他網絡流量通過；其中，所述協議解析使用json格式的規則表達式實現；根據預設的白名單數據判斷通過協議解析的網絡流量是否符合預設的安全訪問控制策略；允許符合安全訪問控制策略的網絡流量進行數據訪問，并攔截其他網絡流量。應用本申請實施例提供的技術方案，把傳統的基于網絡四層的安全滲透防御提升到網絡七層，賦予了更靈活的安全訪問控制規則的配置能力，同時基于白名單的思路進行訪問控制，不需要進行全面檢測，從而能夠極大提高安全滲透防御效果。

技術領域

本申請涉及網絡安全技術領域，尤其涉及一種安全滲透防御方法、裝置和設備。

背景技術

隨著網絡技術和數字經濟的發展，互聯網技術給人們的生產、生活帶來的便利越來越顯著，但同時人們面臨的網絡安全問題也日益突出，全球范圍內大規模的敏感數據泄露事件頻繁發生，各種安全滲透攻擊技術也層出不窮，且還在不斷更新換代，因此，為了免受各種安全滲透攻擊技術帶來的影響，相應的安全滲透防御技術也必須與時俱進，如此才能應對愈演愈烈的網絡安全挑戰。常用的安全滲透防御技術有多種，如防火墻技術、WAF、IPS、NIDS、HIDS、蜜罐、堡壘機、網絡流量分析、數據庫審計等，通常部署多個防護設備在IDC(Internet Data Center，互聯網數據中心)機房，相互配合共同保護企業的網絡安全。

相關技術中的安全滲透防御技術方案，基本思路是在防火墻以及相關安全防護設備上配置各種復雜的訪問控制規則，窮盡各種技術手段來檢測發現威脅然后進行告警和攔截，核心點在于安全訪問控制規則的配置以及安全威脅的檢測。一方面，安全訪問控制規則通常是在防火墻、網絡設備上進行配置，主要是基于正則表達式及ACL(Access ControlList，訪問控制列表)兩種表達形式實現。具體的，傳統的防火墻只支持網絡層即五元組的訪問規則配置；而網絡設備上在只支持網絡層即五元組的訪問規則配置的前提下，更是只能基于ACL的表達形式來實現，從而導致安全訪問控制規則的配置表達能力受限。此外，受系統性能約束一個設備上能配置的安全訪問控制規則的數目也是有限制的，如果配置的數量過大則會顯著影響網絡通信的性能。另一方面，安全威脅的檢測技術目前的整體思路是基于黑名單的，這就導致必須對所有請求的行為進行實時地監測以做出是否異常的判斷，這是一個難以保證百分百完成的任務，即必然在安全威脅檢測的準確性、實時性和覆蓋率上有所犧牲。

也就是說，相關的安全滲透防御技術中，存在著安全訪問控制規則的配置數量和配置表達能力受限以及安全威脅檢測的準確性、實時性和覆蓋率較低等問題。

發明內容

本申請提供一種安全滲透防御方法、裝置和設備，以至少在一定程度上解決相關的安全滲透防御技術中存在的安全訪問控制規則的配置數量和配置表達能力受限以及安全威脅檢測的準確性、實時性和覆蓋率較低等問題。

本申請的上述目的是通過以下技術方案來實現的：

第一方面，本申請實施例提供一種安全滲透防御方法，包括：

獲取應用系統發送的訪問請求；

對所述訪問請求對應的網絡流量進行對應用層的協議解析，將包含預設協議的網絡流量進行攔截，允許不包含所述預設協議的網絡流量通過；其中，所述協議解析使用json格式的規則表達式實現；

根據預設的白名單數據判斷通過所述協議解析的網絡流量是否符合預設的安全訪問控制策略；其中，所述預設的安全訪問控制策略為根據所述預設的白名單數據生成；所述預設的白名單數據中包含預設的允許進行數據訪問的應用系統數據；

允許符合所述安全訪問控制策略的網絡流量進行數據訪問，并攔截不符合所述安全訪問控制策略的網絡流量。

可選的，所述對所述訪問請求對應的網絡流量進行對應用層的協議解析，包括：