【技術(shù)實(shí)現(xiàn)步驟摘要】
本申請涉及計(jì)算機(jī)安全,尤其涉及一種數(shù)據(jù)安全處理方法、系統(tǒng)內(nèi)核隊(duì)列模塊及電子設(shè)備。
技術(shù)介紹
1、隨著網(wǎng)絡(luò)技術(shù)的快速發(fā)展,網(wǎng)絡(luò)安全問題日益突出,防火墻技術(shù)作為網(wǎng)絡(luò)安全的重要組成部分,在網(wǎng)絡(luò)防護(hù)中發(fā)揮著重要作用。
2、如圖1示出了根據(jù)目前相關(guān)技術(shù)的系統(tǒng)內(nèi)核隊(duì)列模塊處理數(shù)據(jù)包的示例架構(gòu),在使用linux防火墻工具iptables時(shí),利用nfqueue模塊處理數(shù)據(jù)包,同時(shí)需指定nf_repeat等寫明可以返回的動作。此外,當(dāng)數(shù)據(jù)包經(jīng)過nfqueue處理后,如果不指定nf_repeat等可以返回的動作,則會直接放通或者丟棄數(shù)據(jù)包,這可能會導(dǎo)致一些安全隱患。
3、具體地,當(dāng)數(shù)據(jù)包經(jīng)過自定義模塊(如snort)處理后,如果沒有指定返回動作或指定了錯(cuò)誤的動作,一方面會導(dǎo)致系統(tǒng)崩潰或不穩(wěn)定的情況,另一方面,當(dāng)數(shù)據(jù)包被snort誤判為合法時(shí),如果沒有指定返回動作,則該數(shù)據(jù)包可能會被錯(cuò)誤地放通,導(dǎo)致防火墻不會再對數(shù)據(jù)包處理,但是有可能這些數(shù)據(jù)包并不符合后面的防火墻規(guī)則,導(dǎo)致數(shù)據(jù)包處理不完全,從而存在安全風(fēng)險(xiǎn)。
4、針對上述問題,目前業(yè)界暫未提出較佳的解決方案。
技術(shù)實(shí)現(xiàn)思路
1、本申請?zhí)峁┮环N數(shù)據(jù)安全處理方法、系統(tǒng)內(nèi)核隊(duì)列模塊、電子設(shè)備及存儲介質(zhì),用以至少解決現(xiàn)有技術(shù)中系統(tǒng)內(nèi)核隊(duì)列模塊在數(shù)據(jù)處理上存在較大安全隱患的問題。
2、第一方面,本申請實(shí)施例提供一種數(shù)據(jù)安全處理方法,包括:獲取針對網(wǎng)絡(luò)數(shù)據(jù)包的隊(duì)列預(yù)判斷結(jié)果;在檢測到所述隊(duì)列預(yù)判斷結(jié)果滿足預(yù)設(shè)的隊(duì)列授
3、第二方面,本申請實(shí)施例提供一種系統(tǒng)內(nèi)核隊(duì)列模塊,包括:獲取單元,被配置成獲取針對網(wǎng)絡(luò)數(shù)據(jù)包的隊(duì)列預(yù)判斷結(jié)果;處理單元,被配置成在檢測到所述隊(duì)列預(yù)判斷結(jié)果滿足預(yù)設(shè)的隊(duì)列授權(quán)條件的情況下,基于預(yù)設(shè)的防火墻規(guī)則集對所述網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行驗(yàn)證處理;所述防火墻規(guī)則集包含至少一個(gè)防火墻規(guī)則;所述隊(duì)列授權(quán)條件定義了網(wǎng)絡(luò)數(shù)據(jù)包在系統(tǒng)通信中繼續(xù)保持有效的授權(quán)隊(duì)列判斷結(jié)果,所述授權(quán)隊(duì)列判斷結(jié)果包含隊(duì)列放通結(jié)果和/或隊(duì)列無指定動作。
4、第三方面,提供一種電子設(shè)備,其包括:至少一個(gè)處理器,以及與所述至少一個(gè)處理器通信連接的存儲器,其中,所述存儲器存儲有可被所述至少一個(gè)處理器執(zhí)行的指令,所述指令被所述至少一個(gè)處理器執(zhí)行,以使所述至少一個(gè)處理器能夠執(zhí)行本申請任一實(shí)施例的數(shù)據(jù)安全處理方法的步驟。
5、第四方面,本申請實(shí)施例提供一種存儲介質(zhì),其上存儲有計(jì)算機(jī)程序,其特征在于,該程序被處理器執(zhí)行時(shí)實(shí)現(xiàn)本申請任一實(shí)施例的數(shù)據(jù)安全處理方法的步驟。
6、本申請實(shí)施例的有益效果在于:
7、在利用系統(tǒng)內(nèi)核隊(duì)列模塊對網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行處理時(shí),采集并檢測隊(duì)列預(yù)判斷結(jié)果,即使隊(duì)列預(yù)判斷結(jié)果符合隊(duì)列授權(quán)條件,能滿足讓網(wǎng)絡(luò)數(shù)據(jù)包在系統(tǒng)通信中繼續(xù)保持有效的前置條件,也不會直接放通該網(wǎng)絡(luò)數(shù)據(jù)包或?qū)⑵渲糜谟行顟B(tài),而依然需要通過防火墻規(guī)則集對網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行安全驗(yàn)證處理,保障系統(tǒng)網(wǎng)絡(luò)中流通網(wǎng)絡(luò)數(shù)據(jù)包的安全性,也提高了系統(tǒng)內(nèi)核隊(duì)列模塊針對數(shù)據(jù)包的安全處理結(jié)果的可靠性。
本文檔來自技高網(wǎng)...【技術(shù)保護(hù)點(diǎn)】
1.一種數(shù)據(jù)安全處理方法,包括:
2.根據(jù)權(quán)利要求1所述的方法,其中,所述基于預(yù)設(shè)的防火墻規(guī)則集對所述網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行驗(yàn)證處理,包括:
3.根據(jù)權(quán)利要求1所述的方法,其中,所述方法還包括:
4.根據(jù)權(quán)利要求3所述的方法,其中,所述拒絕隊(duì)列判斷結(jié)果包含隊(duì)列丟棄結(jié)果,
5.根據(jù)權(quán)利要求1所述的方法,其中,所述獲取針對網(wǎng)絡(luò)數(shù)據(jù)包的隊(duì)列預(yù)判斷結(jié)果,包括:
6.根據(jù)權(quán)利要求5所述的方法,其中,所述自定義處理模塊被配置在用戶空間軟件中。
7.根據(jù)權(quán)利要求1所述的方法,其中,針對所述防火墻規(guī)則集的更新操作包含:
8.一種系統(tǒng)內(nèi)核隊(duì)列模塊,包括:
9.一種電子設(shè)備,其包括:至少一個(gè)處理器,以及與所述至少一個(gè)處理器通信連接的存儲器,其中,所述存儲器存儲有可被所述至少一個(gè)處理器執(zhí)行的指令,所述指令被所述至少一個(gè)處理器執(zhí)行,以使所述至少一個(gè)處理器能夠執(zhí)行權(quán)利要求1-7中任一項(xiàng)所述方法的步驟。
10.一種存儲介質(zhì),其上存儲有計(jì)算機(jī)程序,其特征在于,該程序被處理器執(zhí)行時(shí)實(shí)現(xiàn)權(quán)利要求1-7中任一項(xiàng)所述方
...【技術(shù)特征摘要】
1.一種數(shù)據(jù)安全處理方法,包括:
2.根據(jù)權(quán)利要求1所述的方法,其中,所述基于預(yù)設(shè)的防火墻規(guī)則集對所述網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行驗(yàn)證處理,包括:
3.根據(jù)權(quán)利要求1所述的方法,其中,所述方法還包括:
4.根據(jù)權(quán)利要求3所述的方法,其中,所述拒絕隊(duì)列判斷結(jié)果包含隊(duì)列丟棄結(jié)果,
5.根據(jù)權(quán)利要求1所述的方法,其中,所述獲取針對網(wǎng)絡(luò)數(shù)據(jù)包的隊(duì)列預(yù)判斷結(jié)果,包括:
6.根據(jù)權(quán)利要求5所述的方法,其中,所述自定義處理模塊被配置在用戶空間軟件中。
7...
【專利技術(shù)屬性】
技術(shù)研發(fā)人員:王東光,馬曉勇,
申請(專利權(quán))人:英賽克科技北京有限公司,
類型:發(fā)明
國別省市:
還沒有人留言評論。發(fā)表了對其他瀏覽者有用的留言會獲得科技券。