[發明專利]一種網絡隔離方法、裝置、電子設備及存儲介質有效
| 申請號: | 202010915222.1 | 申請日: | 2020-09-03 |
| 公開(公告)號: | CN112003877B | 公開(公告)日: | 2023-04-18 |
| 發明(設計)人: | 葉愛平;務孟慶;王嶼;蔣嘉琦;連志永;韓哲;房泓儒;馮牧玥;于波 | 申請(專利權)人: | 度小滿科技(北京)有限公司 |
| 主分類號: | H04L9/40 | 分類號: | H04L9/40 |
| 代理公司: | 北京集佳知識產權代理有限公司 11227 | 代理人: | 李婷婷 |
| 地址: | 100193 北京市海淀區*** | 國省代碼: | 北京;11 |
| 權利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關鍵詞: | 一種 網絡 隔離 方法 裝置 電子設備 存儲 介質 | ||
1.一種網絡隔離方法,其特征在于,包括:
監聽并掛起主機發起的網絡訪問請求,獲取所述網絡訪問?請求的數據包信息;所述數據包信息包括網絡五元組和目標信息,所述目標信息不同于所述網絡五元組;
確定服務器響應對網絡環境策略圖的構建操作生成的所述網絡環境的至少一條策略信息,所述策略信息包括條件信息和動作信息;
檢測所述至少一條策略信息中是否存在條件信息被所述數據包信息命中的目標策略信息;
如果所述至少一條策略信息中存在條件信息被所述數據包信息命中的目標策略信息,根據所述目標策略信息的動作信息控制所述網絡訪問請求的流轉狀態;
所述監聽并掛起主機發起的網絡訪問請求,獲取所述網絡請求的數據包信息,包括:
利用響應主機進程發起操作在所述進程內存中植入的hook模塊,所述hook模塊用于控制進程的網絡訪問,監聽所述進程發起的網絡訪問請求,掛起所述網絡訪問請求,并獲取所述網絡訪問請求的數據包信息;
或者,
根據在主機操作系統內核中植入的hook模塊,監聽所述主機的進程發起的網絡訪問請求,掛起所述網絡訪問請求,并獲取所述網絡訪問請求的數據包信息;
所述服務器響應對網絡環境策略圖的構建操作生成所述網絡環境的至少一條策略信息,包括:
所述服務器響應用戶利用策略圖構建組件提供的元件執行策略圖構建操作所構建的策略圖,所述策略圖與網絡環境的業務需求有關;
根據所述策略圖表征的訪問關系生成所述網絡環境的原始策略信息;所述訪問關系包括網絡區域之間的訪問關系、網絡區域中各主機之間的訪問關系、主機和進程之間的訪問關系,以及進程賬戶和資源之間的訪問關系中的任意一項或多項;
對所述網絡環境的原始策略信息進行解析得到滿足訪問控制策略語法規則的所述網絡環境的至少一條策略信息。
2.根據權利要求1所述的方法,其特征在于,還包括:
監控所述網絡環境的網絡環境變化信息和主機功能變化信息;
基于所述網絡環境變化信息和主機功能變化信息更新所述網絡環境的至少一條策略信息。
3.根據權利要求1所述的方法,其特征在于,所述確定所述至少一條策略信息中是否存在條件信息被所述數據包信息命中的目標策略信息,包括:
確定所述至少一條策略信息中是否存在條件信息與所述數據包信息相同的策略信息;
如果所述至少一條策略信息中存在條件信息與所述數據包信息相同的策略信息,將所述至少一條策略信息中條件信息與所述數據包信息相同的策略信息確定為目標策略信息;
如果所述至少一條策略信息中不存在條件信息與所述數據包信息相同的策略信息,確定所述至少一條策略信息中不存在條件信息被所述數據包信息命中的目標策略信息。
4.根據權利要求1所述的方法,其特征在于,所述根據所述目標策略信息的動作信息控制所述網絡訪問請求的流轉狀態,包括:
獲取所述目標策略信息中的動作信息,所述動作信息指示阻斷網絡訪問請求/允許網絡訪問請求;
將所述動作信息返回至所述hook模塊,由所述hook模塊根據所述動作信息控制所述網絡訪問請求的流轉狀態。
5.根據權利要求1所述的方法,其特征在于,所述目標信息指示發起所述網絡訪問請求的進程、發起所述進程的進程賬戶、所述進程所屬應用和所述主機中的任意一項或多項。
該專利技術資料僅供研究查看技術是否侵權等信息,商用須獲得專利權人授權。該專利全部權利屬于度小滿科技(北京)有限公司,未經度小滿科技(北京)有限公司許可,擅自商用是侵權行為。如果您想購買此專利、獲得商業授權和技術合作,請聯系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/202010915222.1/1.html,轉載請聲明來源鉆瓜專利網。
