本發(fā)明涉及網(wǎng)絡(luò)安全防護(hù)技術(shù)領(lǐng)域，特別涉及一種基于報(bào)文內(nèi)容的自學(xué)習(xí)的網(wǎng)絡(luò)隔離安全裝置和方法。

背景技術(shù)：

隨著互聯(lián)網(wǎng)技術(shù)、計(jì)算機(jī)技術(shù)、通信技術(shù)的發(fā)展和大規(guī)模的應(yīng)用，以及物聯(lián)網(wǎng)技術(shù)的興起，信息化已經(jīng)滲透到越來越多的工業(yè)及國防行業(yè)，工業(yè)控制領(lǐng)域的工作模式已經(jīng)發(fā)生了巨大的變化，工業(yè)的革新與發(fā)展方向已經(jīng)從早期單一的工業(yè)自動(dòng)化轉(zhuǎn)變?yōu)楫?dāng)前的分布式控制、終端智能化、信息實(shí)時(shí)化，單純的自動(dòng)化控制已經(jīng)不能夠滿足人們對(duì)整個(gè)工業(yè)生產(chǎn)控制平臺(tái)的控制需求，信息化已經(jīng)成為工業(yè)控制領(lǐng)域首要的任務(wù)，而伴隨著信息化的巨大發(fā)展，信息系統(tǒng)安全問題已成為影響工業(yè)控制行業(yè)發(fā)展的重要因素。尤其是涉及國防科技工業(yè)，信息系統(tǒng)的安全顯得尤為重要。在信息系統(tǒng)的日常運(yùn)行與維護(hù)中，外界入侵者利用操作系統(tǒng)或者應(yīng)用系統(tǒng)的自身缺陷、或者是利用通信傳輸系統(tǒng)的漏洞進(jìn)行攻擊。尤其是近年來發(fā)生的一些事件，如“伊朗核電站中震網(wǎng)病毒”以及最近的“棱鏡門”事件，都給我們敲響了警鐘。迫切需要我們對(duì)現(xiàn)有的通信系統(tǒng)進(jìn)行安全方面的加強(qiáng)，能夠動(dòng)態(tài)識(shí)別網(wǎng)絡(luò)行為，根據(jù)網(wǎng)絡(luò)行為動(dòng)態(tài)調(diào)整網(wǎng)絡(luò)物理連接。

在工業(yè)通信網(wǎng)絡(luò)中，最常用技術(shù)的是基于以太網(wǎng)和ip的通信技術(shù)，使用最多的安全設(shè)備就是防火墻、網(wǎng)關(guān)、網(wǎng)閘等設(shè)備對(duì)于網(wǎng)絡(luò)異常行為攔截或告警，需要在設(shè)備中預(yù)網(wǎng)絡(luò)相應(yīng)的白名單規(guī)則或黑名單規(guī)則，當(dāng)網(wǎng)絡(luò)中的問題報(bào)文命中了黑名單或不在白名單內(nèi)部的話，就會(huì)將相應(yīng)的報(bào)文攔截下來。

這樣的方式具有如下問題：需要對(duì)網(wǎng)絡(luò)的報(bào)文規(guī)則十分清楚；對(duì)網(wǎng)絡(luò)業(yè)務(wù)流程、報(bào)文類型、幀格式、端口號(hào)等信息十分了解；在網(wǎng)絡(luò)業(yè)務(wù)較多的情況下，配置黑、白名單規(guī)則會(huì)很繁瑣，容易出錯(cuò)；能夠?qū)?bào)文進(jìn)行攔截，但是不能從更本上對(duì)下行業(yè)務(wù)線路進(jìn)行斷開，避免不了偽裝成正確報(bào)文的數(shù)據(jù)通過；在有未知協(xié)議的情況下，不能有效識(shí)別協(xié)議內(nèi)容及目的。

技術(shù)實(shí)現(xiàn)要素：

為此，本發(fā)明提供了一種基于報(bào)文內(nèi)容的自學(xué)習(xí)的網(wǎng)絡(luò)隔離安全裝置和方法，用于解決黑白名單規(guī)則繁瑣，并且人員進(jìn)行黑白名單設(shè)置時(shí)容易出錯(cuò)，對(duì)于未知的報(bào)文協(xié)議不能有效識(shí)別，并且對(duì)于上下線業(yè)務(wù)線路無法徹底的安全斷開等問題。

為達(dá)到上述目的，本發(fā)明的技術(shù)方案是這樣實(shí)現(xiàn)的：

一種基于報(bào)文內(nèi)容的自學(xué)習(xí)的網(wǎng)絡(luò)隔離安全裝置包括：網(wǎng)絡(luò)接口1、協(xié)議識(shí)別模塊2、學(xué)習(xí)模塊3、報(bào)文判斷模塊4和硬件斷開模塊5，

網(wǎng)絡(luò)接口1與協(xié)議識(shí)別模塊2通信連接，網(wǎng)絡(luò)接口1接收來自操作終端的所有報(bào)文；

協(xié)議識(shí)別模塊2還與學(xué)習(xí)模塊3通信連接，協(xié)議識(shí)別模塊2判斷接收到的報(bào)文是否為可識(shí)別報(bào)文，并將報(bào)文發(fā)送到學(xué)習(xí)模塊3；

學(xué)習(xí)模塊3還與報(bào)文判斷模塊4通信連接，學(xué)習(xí)模塊3對(duì)接收到的報(bào)文進(jìn)行學(xué)習(xí)、統(tǒng)計(jì)、分析后發(fā)送給報(bào)文判斷模塊4；

報(bào)文判斷模塊4還與硬件斷開模塊5通信連接，對(duì)接收到的報(bào)文進(jìn)行判斷是否合法，如果合法則進(jìn)行正常報(bào)文，如果不合法則丟棄報(bào)文，并向硬件斷開模塊5發(fā)送斷開網(wǎng)絡(luò)的指令。

協(xié)議識(shí)別模塊2對(duì)于能夠識(shí)別的報(bào)文和不能識(shí)別的報(bào)文區(qū)分發(fā)送到學(xué)習(xí)模塊3當(dāng)中。

學(xué)習(xí)模塊3中包括已知報(bào)文學(xué)習(xí)模塊31和未知報(bào)文學(xué)習(xí)模塊32；

已知報(bào)文學(xué)習(xí)模塊31接收協(xié)議識(shí)別模塊2能夠識(shí)別的報(bào)文并進(jìn)行拆解，統(tǒng)計(jì)到內(nèi)容表項(xiàng)；

未知報(bào)文學(xué)習(xí)模塊32接收協(xié)議識(shí)別模塊2不能夠識(shí)別的報(bào)文，并對(duì)報(bào)文所有數(shù)據(jù)統(tǒng)計(jì)到內(nèi)容表項(xiàng)。

網(wǎng)絡(luò)隔離安全裝置還包括協(xié)議學(xué)習(xí)判斷模塊6，接收學(xué)習(xí)模塊3發(fā)送的報(bào)文；

對(duì)未完成學(xué)習(xí)的報(bào)文，發(fā)送學(xué)習(xí)結(jié)果到學(xué)習(xí)模塊3進(jìn)行再次學(xué)習(xí)；

對(duì)已完成學(xué)習(xí)的報(bào)文，發(fā)送學(xué)習(xí)結(jié)果到報(bào)文判斷模塊4，直接將進(jìn)行正常報(bào)文。

硬件斷開模塊5與物理層供電模塊相連接，當(dāng)需要進(jìn)行硬件斷開時(shí)，通過硬件斷開模塊5直接斷開物理層設(shè)備電源供電模塊。

一種基于報(bào)文內(nèi)容的自學(xué)習(xí)的網(wǎng)絡(luò)隔離安全方法步驟如下：

網(wǎng)絡(luò)接口1同時(shí)與操作終端和協(xié)議識(shí)別模塊2通信連接，網(wǎng)絡(luò)接口1接收來自操作終端的所有報(bào)文，并發(fā)送給協(xié)議識(shí)別模塊2；

協(xié)議識(shí)別模塊2判斷接收到的報(bào)文是否為可識(shí)別報(bào)文，并將報(bào)文發(fā)送到學(xué)習(xí)模塊3；

學(xué)習(xí)模塊3對(duì)接收到的報(bào)文進(jìn)行學(xué)習(xí)、統(tǒng)計(jì)、分析后發(fā)送給報(bào)文判斷模塊4；

報(bào)文判斷模塊4對(duì)接收到的報(bào)文進(jìn)行判斷是否合法，如果合法則進(jìn)行正常報(bào)文，如果不合法則丟棄報(bào)文，并向硬件斷開模塊5發(fā)送斷開網(wǎng)絡(luò)的指令。

協(xié)議識(shí)別模塊2對(duì)接收到的報(bào)文進(jìn)行識(shí)別判斷，并根據(jù)報(bào)文中的協(xié)議類型區(qū)分能夠被識(shí)別和不能夠被識(shí)別的報(bào)文，分別發(fā)送給學(xué)習(xí)模塊3。

學(xué)習(xí)模塊3中的已知報(bào)文學(xué)習(xí)模塊31對(duì)接收的協(xié)議識(shí)別模塊2能夠識(shí)別的報(bào)文并進(jìn)行拆解，統(tǒng)計(jì)到內(nèi)容表項(xiàng)；

學(xué)習(xí)模塊3中的未知報(bào)文學(xué)習(xí)模塊32接收協(xié)議識(shí)別模塊2不能夠識(shí)別的報(bào)文，并對(duì)報(bào)文所有數(shù)據(jù)統(tǒng)計(jì)到內(nèi)容表項(xiàng)。

經(jīng)過學(xué)習(xí)模塊3的報(bào)文需要被協(xié)議學(xué)習(xí)判斷模塊6進(jìn)一步判斷是否完成學(xué)習(xí)；

如果完成學(xué)習(xí)，發(fā)送學(xué)習(xí)結(jié)果到報(bào)文判斷模塊4，進(jìn)行正常報(bào)文；

如果沒有完成學(xué)習(xí)，發(fā)送學(xué)習(xí)結(jié)果到學(xué)習(xí)模塊3進(jìn)行再次學(xué)習(xí)。

報(bào)文判斷模塊4判斷報(bào)文如果安全，則進(jìn)行正常報(bào)文；如果不安全，則丟棄報(bào)文，并通知硬件網(wǎng)絡(luò)斷開模塊5進(jìn)行網(wǎng)絡(luò)斷開。

學(xué)習(xí)模塊3對(duì)接收到的報(bào)文分別填充到基于內(nèi)容表項(xiàng)和基于設(shè)備行為表項(xiàng)中；

其中，內(nèi)容表項(xiàng)包括但不限于：mac地址表、ip地址表、協(xié)議類型地址表、端口地址表，并進(jìn)行關(guān)聯(lián)分析和統(tǒng)計(jì)；并且已知報(bào)文學(xué)習(xí)模塊31中的所述內(nèi)容表項(xiàng)中還包括協(xié)議狀態(tài)機(jī)地址表

設(shè)備行為表項(xiàng)包括但不限于：基于源mac進(jìn)行報(bào)文的行為關(guān)聯(lián)分析和統(tǒng)計(jì)。

報(bào)文判斷模塊4在進(jìn)行報(bào)文判斷時(shí)的閾值是能夠通過用戶進(jìn)行設(shè)定。

報(bào)文判斷模塊4進(jìn)行報(bào)文判斷根據(jù)內(nèi)容表項(xiàng)和/或設(shè)備行為表項(xiàng)對(duì)報(bào)文合法性進(jìn)行判斷。

本發(fā)明的優(yōu)點(diǎn)和有益效果：減少人員配置規(guī)則的工作量，降低配置人員對(duì)于業(yè)務(wù)熟悉程度的要求，通過自動(dòng)學(xué)習(xí)方式動(dòng)態(tài)分析網(wǎng)絡(luò)設(shè)備行為模式，主動(dòng)判斷網(wǎng)絡(luò)文件異常情況；實(shí)施探測(cè)網(wǎng)絡(luò)中的異常，針對(duì)異常行為動(dòng)態(tài)切斷網(wǎng)絡(luò)連接。

附圖說明

圖1是本發(fā)明具體實(shí)施例裝置組成的結(jié)構(gòu)示意圖，

圖2是本發(fā)明具體實(shí)施例方法流程的示意圖，

圖3是本發(fā)明實(shí)施例內(nèi)容表項(xiàng)的示意圖，

圖4是本發(fā)明實(shí)施例設(shè)備行為表項(xiàng)的示意圖，

圖5是本發(fā)明實(shí)施例報(bào)文判斷流程示意圖，

圖6是本發(fā)明實(shí)施例網(wǎng)絡(luò)隔離安全裝置的實(shí)際應(yīng)用結(jié)構(gòu)示意圖。

附圖標(biāo)記：

1-網(wǎng)絡(luò)接口，2-協(xié)議識(shí)別模塊，

3-學(xué)習(xí)模塊，4-報(bào)文判斷模塊，

5-硬件斷開模塊，6-協(xié)議學(xué)習(xí)判斷模塊，

31-已知報(bào)文學(xué)習(xí)模塊，32-未知報(bào)文學(xué)習(xí)模塊。

具體實(shí)施方式

為了使本發(fā)明的目的、技術(shù)方案和優(yōu)點(diǎn)更加清楚，下面結(jié)合附圖和具體實(shí)施例對(duì)本發(fā)明進(jìn)行詳細(xì)描述。

實(shí)施例一

如圖1所示是一種基于報(bào)文內(nèi)容的自學(xué)習(xí)的網(wǎng)絡(luò)隔離安全裝置，具體包括：網(wǎng)絡(luò)接口1、協(xié)議識(shí)別模塊2、學(xué)習(xí)模塊3、報(bào)文判斷模塊4和硬件斷開模塊5；其中，網(wǎng)絡(luò)接口1同時(shí)與網(wǎng)絡(luò)中的操作終端和協(xié)議識(shí)別模塊2通信連接，網(wǎng)絡(luò)接口1接收來自網(wǎng)絡(luò)中的操作終端的所有報(bào)文，經(jīng)過網(wǎng)絡(luò)接口1把報(bào)文發(fā)送給協(xié)議識(shí)別模塊2；

協(xié)議識(shí)別模塊2還與學(xué)習(xí)模塊3通信連接，協(xié)議識(shí)別模塊2判斷接收到的報(bào)文是否為可識(shí)別報(bào)文，協(xié)議識(shí)別模塊2對(duì)于能夠識(shí)別的報(bào)文和不能識(shí)別的報(bào)文區(qū)分發(fā)送到學(xué)習(xí)模塊3當(dāng)中；具體的，學(xué)習(xí)模塊3中包括已知報(bào)文學(xué)習(xí)模塊31和未知報(bào)文學(xué)習(xí)模塊32；其中，已知報(bào)文學(xué)習(xí)模塊31接收協(xié)議識(shí)別模塊2能夠識(shí)別的報(bào)文并進(jìn)行拆解，統(tǒng)計(jì)到內(nèi)容表項(xiàng)；未知報(bào)文學(xué)習(xí)模塊32接收協(xié)議識(shí)別模塊2不能夠識(shí)別的報(bào)文，并對(duì)報(bào)文所有數(shù)據(jù)統(tǒng)計(jì)到內(nèi)容表項(xiàng)；通過在網(wǎng)絡(luò)隔離安全裝置中增加學(xué)習(xí)模塊，能夠減少工作人員配置安全防護(hù)規(guī)則的工作量，降低配置工作對(duì)工作人員業(yè)務(wù)熟悉程度的依賴。

學(xué)習(xí)模塊3發(fā)送出的經(jīng)過學(xué)習(xí)的報(bào)文還要發(fā)送到協(xié)議學(xué)習(xí)判斷模塊6，對(duì)未完成學(xué)習(xí)的報(bào)文，發(fā)送學(xué)習(xí)結(jié)果到學(xué)習(xí)模塊3進(jìn)行再次學(xué)習(xí)，同時(shí)發(fā)送學(xué)習(xí)結(jié)果到報(bào)文判斷模塊4；通過自動(dòng)學(xué)習(xí)分析各個(gè)網(wǎng)絡(luò)設(shè)備的行為模式，主動(dòng)判斷網(wǎng)絡(luò)文件的異常情況，提升安全防護(hù)效果。

報(bào)文判斷模塊4還與硬件斷開模塊5通信連接，對(duì)接收到的報(bào)文進(jìn)行判斷是否合法，如果合法則進(jìn)行正常報(bào)文，如果不合法則丟棄報(bào)文，并向硬件斷開模塊5發(fā)送斷開網(wǎng)絡(luò)的指令；硬件斷開模塊5與物理層供電模塊相連接，當(dāng)需要進(jìn)行硬件斷開時(shí)，通過硬件斷開模塊5直接斷開物理層設(shè)備電源供電模塊；通過采用對(duì)物理層進(jìn)行電源斷開的方式，確保網(wǎng)絡(luò)之間的安全斷開，提升安全防護(hù)效果。

如果經(jīng)過協(xié)議學(xué)習(xí)判斷模塊6判斷為已經(jīng)完成學(xué)習(xí)的報(bào)文，直接進(jìn)行正常報(bào)文工作，確保被發(fā)送的報(bào)文協(xié)議安全合法。

實(shí)施例二

一種基于報(bào)文內(nèi)容的自學(xué)習(xí)的網(wǎng)絡(luò)隔離安全方法如圖2所示，具體步驟如下：

步驟s11：網(wǎng)絡(luò)接口1同時(shí)與操作終端和協(xié)議識(shí)別模塊2通信連接，網(wǎng)絡(luò)接口1接收來自操作終端的所有報(bào)文，并發(fā)送給協(xié)議識(shí)別模塊2；

步驟s12：協(xié)議識(shí)別模塊2判斷接收到的報(bào)文是否為可識(shí)別報(bào)文，并根據(jù)報(bào)文中協(xié)議類型區(qū)分能夠被識(shí)別和不能夠被識(shí)別的報(bào)文，分別發(fā)送給學(xué)習(xí)模塊3；

步驟s13：學(xué)習(xí)模塊3根據(jù)接收到的報(bào)文類型，如果報(bào)文能夠識(shí)別進(jìn)行步驟s13a，學(xué)習(xí)模塊3中的已知報(bào)文學(xué)習(xí)模塊31對(duì)接收的協(xié)議識(shí)別模塊2能夠識(shí)別的報(bào)文并進(jìn)行拆解，統(tǒng)計(jì)到內(nèi)容表項(xiàng)；如果報(bào)文不能夠識(shí)別進(jìn)行步驟s13b，學(xué)習(xí)模塊3中的未知報(bào)文學(xué)習(xí)模塊32接收協(xié)議識(shí)別模塊2不能夠識(shí)別的報(bào)文，并對(duì)報(bào)文所有數(shù)據(jù)統(tǒng)計(jì)到內(nèi)容表項(xiàng)；經(jīng)過對(duì)報(bào)文的學(xué)習(xí)、統(tǒng)計(jì)、分析后發(fā)送給報(bào)文判斷模塊4；

步驟s14：經(jīng)過學(xué)習(xí)的報(bào)文需要被協(xié)議學(xué)習(xí)判斷模塊6進(jìn)一步判斷是否完成學(xué)習(xí)；如果完成學(xué)習(xí)，則進(jìn)行正常報(bào)文；如果沒有完成學(xué)習(xí)，發(fā)送學(xué)習(xí)結(jié)果到學(xué)習(xí)模塊3進(jìn)行再次學(xué)習(xí)，同時(shí)發(fā)送學(xué)習(xí)結(jié)果到報(bào)文判斷模塊4；需要說明的是，對(duì)于判斷是否完成學(xué)習(xí)的方法有很多種，例如：一種方法是在軟件中設(shè)置一個(gè)標(biāo)志位，學(xué)習(xí)完成寫1、未學(xué)習(xí)完成寫0；另一種方法是檢查學(xué)習(xí)表項(xiàng)是否學(xué)習(xí)完成；

步驟s15：報(bào)文判斷模塊4對(duì)接收到的報(bào)文進(jìn)行判斷是否合法，如果合法則如步驟s15a進(jìn)行正常報(bào)文，如果不合法則如步驟s15b丟棄報(bào)文，并向硬件斷開模塊5發(fā)送斷開網(wǎng)絡(luò)的指令。

報(bào)文判斷模塊4判斷報(bào)文如果安全，則進(jìn)行正常報(bào)文；如果不安全，則丟棄報(bào)文，并通知硬件網(wǎng)絡(luò)斷開模塊5進(jìn)行網(wǎng)絡(luò)斷開；報(bào)文判斷模塊4在進(jìn)行報(bào)文判斷時(shí)的閾值是能夠通過用戶進(jìn)行設(shè)定，如圖5所示；報(bào)文判斷模塊4進(jìn)行報(bào)文判斷根據(jù)內(nèi)容表項(xiàng)和/或設(shè)備行為表項(xiàng)對(duì)報(bào)文合法性進(jìn)行判斷。

學(xué)習(xí)模塊3對(duì)接收到的報(bào)文分別填充到基于內(nèi)容表項(xiàng)和基于設(shè)備行為表項(xiàng)中，后續(xù)在通過表項(xiàng)中學(xué)習(xí)到的內(nèi)容進(jìn)行分布統(tǒng)計(jì)，對(duì)所有的數(shù)據(jù)進(jìn)行關(guān)聯(lián)分析，如圖3和圖4所示；其中，圖3中內(nèi)容表項(xiàng)中包括接收的各個(gè)數(shù)值，并進(jìn)一步對(duì)數(shù)據(jù)進(jìn)行分類統(tǒng)計(jì)，計(jì)算出各個(gè)數(shù)值出現(xiàn)的次數(shù)和頻率，當(dāng)反復(fù)學(xué)習(xí)統(tǒng)計(jì)后，該內(nèi)容表項(xiàng)中的數(shù)值類型和頻率相對(duì)穩(wěn)定，進(jìn)一步作為報(bào)文的合法性判斷的數(shù)據(jù)基礎(chǔ)；圖4中設(shè)備行為表項(xiàng)中統(tǒng)計(jì)到每個(gè)mac、ip經(jīng)常聯(lián)系的mac、ip交互的內(nèi)容，并統(tǒng)計(jì)分析出每個(gè)mac、ip的次數(shù)和頻率；最終學(xué)習(xí)模塊3將基于內(nèi)容表項(xiàng)和基于設(shè)備表項(xiàng)的統(tǒng)計(jì)分析數(shù)據(jù)包發(fā)送給報(bào)文判斷模塊4。

基于ip的通信網(wǎng)絡(luò)中，所有的報(bào)文都是以數(shù)據(jù)包的形式進(jìn)行傳輸，而每個(gè)數(shù)據(jù)包中都包含有詳細(xì)的數(shù)據(jù)信息，對(duì)于一個(gè)普通的報(bào)文信息，其中包含有源mac地址、目的mac地址、以太網(wǎng)協(xié)議類型、源ip地址、目的ip地址、ip協(xié)議類型、具體協(xié)議幀格式等，我們將這些內(nèi)容歸納整理形成一個(gè)基于內(nèi)容表項(xiàng)、一個(gè)基于設(shè)備行為表項(xiàng)，如下：

網(wǎng)絡(luò)操作終端的報(bào)文進(jìn)入學(xué)習(xí)模塊，學(xué)習(xí)模塊針對(duì)于網(wǎng)絡(luò)報(bào)文按照mac、以太網(wǎng)類型、ip、協(xié)議內(nèi)容進(jìn)行報(bào)文拆分；

所有拆分報(bào)文的數(shù)據(jù)內(nèi)容寫入基于內(nèi)容表項(xiàng)，例如：mac地址表、ip地址表、協(xié)議類型地址表、端口對(duì)應(yīng)地址表、協(xié)議狀態(tài)機(jī)地址表等等；

并將所有內(nèi)容映射到基于設(shè)備行為分析表項(xiàng)中，通過mac為索引進(jìn)行報(bào)文行為的統(tǒng)計(jì)，例如：11-22-33-44-55-66mac的設(shè)備在網(wǎng)絡(luò)中和3個(gè)mac地址有過信息交互，對(duì)應(yīng)的ip地址分別為11.11.11.11、22.22.22.22、33.33.33.33，在這個(gè)過程中建立了相應(yīng)的tcp連接、udp連接等，建立一個(gè)相應(yīng)的設(shè)備行為表項(xiàng)；映射完之后就會(huì)有兩類表項(xiàng)，基于內(nèi)容表項(xiàng)、基于設(shè)備行為表項(xiàng)，后續(xù)再通過表項(xiàng)中學(xué)習(xí)到的內(nèi)容進(jìn)行分布統(tǒng)計(jì)，對(duì)所有數(shù)據(jù)進(jìn)行關(guān)聯(lián)分析；

針對(duì)于內(nèi)容的關(guān)聯(lián)分析將會(huì)得到如下的分析統(tǒng)計(jì)表項(xiàng)，在表項(xiàng)中的所有值經(jīng)過一段時(shí)間觀察，在網(wǎng)絡(luò)沒有變化的情況下數(shù)值和比例不會(huì)出現(xiàn)大的變化；

針對(duì)設(shè)備行為表項(xiàng)，我們可以知道每個(gè)mac、ip經(jīng)常聯(lián)系的mac、ip交互的內(nèi)容，進(jìn)行統(tǒng)計(jì)分析，知道這個(gè)mac、ip的行為；將相應(yīng)的關(guān)聯(lián)分析結(jié)果提交給報(bào)文判斷模塊。

報(bào)文判斷模塊工作方法流程圖如圖5所示，具體如下：如步驟s21，用戶根據(jù)自己的需求，對(duì)報(bào)文判斷閾值進(jìn)行設(shè)定，設(shè)定完成后進(jìn)行步驟s22，根據(jù)內(nèi)容表項(xiàng)對(duì)報(bào)文的合法性進(jìn)行判斷，如果不合法則如步驟s25直接丟棄報(bào)文并通知硬件斷開模塊；如果合法繼續(xù)對(duì)報(bào)文進(jìn)行進(jìn)一步判斷，如步驟s23所示，根據(jù)設(shè)備行為表項(xiàng)判斷報(bào)文是否合法，如果不合法則直接丟棄報(bào)文并通知硬件斷開模塊；如果合法則進(jìn)行步驟s24正常報(bào)文；通過根據(jù)學(xué)習(xí)模塊生成的內(nèi)容表項(xiàng)和設(shè)備行為表項(xiàng)對(duì)合法性進(jìn)行判斷，避免黑白名單設(shè)置的工作量大的問題，同時(shí)裝置還可以自動(dòng)學(xué)習(xí)、實(shí)時(shí)更新，進(jìn)一步用戶的工作量；采用兩個(gè)表項(xiàng)對(duì)報(bào)文合法性進(jìn)行判斷，提升網(wǎng)絡(luò)隔離的安全防護(hù)效果。

本發(fā)明網(wǎng)絡(luò)隔離安全裝置的實(shí)際應(yīng)用實(shí)施例如圖6所示，在一個(gè)網(wǎng)絡(luò)內(nèi)有三臺(tái)終端：操作終端a、操作終端b、操作終端c，有一臺(tái)核心服務(wù)器，所有設(shè)備都通過以太網(wǎng)相連。操作終端a設(shè)備會(huì)通過以太網(wǎng)去核心服務(wù)器上去讀取相關(guān)數(shù)據(jù)，我們的網(wǎng)絡(luò)隔離安全裝置放在核心服務(wù)器的前端，分析網(wǎng)絡(luò)數(shù)據(jù)學(xué)習(xí)網(wǎng)絡(luò)設(shè)備的用戶行為，根據(jù)用戶行為的合法性來動(dòng)態(tài)斷開和核心服務(wù)器的連接，在網(wǎng)絡(luò)中出現(xiàn)惡意行為的情況下保證核心服務(wù)器的數(shù)據(jù)安全。

安全網(wǎng)關(guān)即通過學(xué)習(xí)知道在網(wǎng)絡(luò)內(nèi)有三臺(tái)設(shè)備，現(xiàn)在只有操作終端a去核心服務(wù)器上去讀取相應(yīng)數(shù)據(jù)庫的內(nèi)容，除此之外不會(huì)有其它行為；如果安全網(wǎng)關(guān)在網(wǎng)絡(luò)內(nèi)學(xué)習(xí)到操作終端b，需要在核心服務(wù)器中讀取數(shù)據(jù)庫信息，這個(gè)時(shí)候就會(huì)將核心服務(wù)器連接網(wǎng)線斷開。

應(yīng)該注意的是，上述實(shí)施例對(duì)本發(fā)明進(jìn)行說明而不是對(duì)本發(fā)明進(jìn)行限制，并且本領(lǐng)域技術(shù)人員在不脫離所附權(quán)利要求的范圍的情況下可設(shè)計(jì)出替換實(shí)施例。在權(quán)利要求中，不應(yīng)將位于括號(hào)之間的任何參考符號(hào)構(gòu)造成對(duì)權(quán)利要求的限制。單詞“包括”不排除存在未列在權(quán)利要求中的元件或步驟。位于元件之前的單詞“一”或“一個(gè)”不排除存在多個(gè)這樣的元件。單詞第一、第二、以及第三等的使用不表示任何順序?？蓪⑦@些單詞解釋為名稱。