[发明专利]网络安全保护方法、装置及电子设备

权利要求书

1.一种网络安全保护方法，其特征在于，应用于网络安全保护装置，包括：

发送数据采集请求至被保护设备，其中，所述数据采集请求中携带有待采集网络安全数据的信息；

接收所述被保护设备根据所述数据采集请求返回的数据响应信息，其中，所述数据响应信息包括：所述被保护设备采集的网络安全数据和响应状态信息，所述网络安全数据包括：流量数据和安全事件数据；

将所述流量数据和所述安全事件数据与标准信息进行对比分析，得到对比分析结果；

当所述对比分析结果为存在异常事件时，则对所述异常事件的通信进行阻断，其中，所述异常事件至少包括：网络违规外联事件、非法设备接入事件。

2.根据权利要求1所述的网络安全保护方法，其特征在于，在发送数据采集请求至被保护设备之前，所述方法还包括：

建立与所述被保护设备之间的通信连接。

3.根据权利要求2所述的网络安全保护方法，其特征在于，建立与所述被保护设备之间的通信连接包括：

发送建立连接请求至所述被保护设备；

接收所述被保护设备根据所述建立连接请求返回的连接响应信息。

4.根据权利要求1所述的网络安全保护方法，其特征在于，将所述流量数据和所述安全事件数据与标准信息进行对比分析，得到对比分析结果包括：

采用统计分析方法从所述流量数据和所述安全事件数据中提取流量数据样本；

将所述流量数据样本与所述标准信息中的标准流量信息进行对比；

如果所述流量数据样本与所述标准流量信息相匹配，则确定不存在异常事件；

如果所述流量数据样本与所述标准流量信息不匹配，则确定存在异常事件。

5.根据权利要求1所述的网络安全保护方法，其特征在于，将所述流量数据和所述安全事件数据与标准信息进行对比分析，得到对比分析结果包括：

采用统计分析方法从所述流量数据和所述安全事件数据中提取MAC地址信息和/或IP地址信息；

将所述MAC地址信息和/或IP地址信息与所述标准信息中的白名单信息进行对比，其中，所述白名单信息包括：标准MAC地址信息和标准IP地址信息；

如果所述MAC地址信息和/或IP地址信息与所述白名单信息相匹配，则确定不存在异常事件；

如果所述MAC地址信息和/或IP地址信息与所述白名单信息不匹配，则确定存在异常事件。

6.根据权利要求1所述的网络安全保护方法，其特征在于，对所述异常事件的通信进行阻断包括：

根据所述异常事件所对应的网络安全数据确定异常行为设备；

对所述异常行为设备进行阻断。

7.根据权利要求6所述的网络安全保护方法，其特征在于，对所述异常行为设备进行阻断包括：

向目标设备发送RST标志数据包，以使所述目标设备根据所述RST标志数据包关闭目标通信链路，其中，所述目标设备为与所述异常行为设备进行通信的设备，所述目标通信链路为与所述异常行为设备进行通信的通信链路；

或者，

向所述被保护设备中的交换机发送关闭所述异常行为设备所对应的端口信息，以使所述交换机切断与所述异常行为设备之间的通信链路。

8.一种网络安全保护装置，其特征在于，包括：

发送模块，用于发送数据采集请求至被保护设备，其中，所述数据采集请求中携带有待采集网络安全数据的信息；

接收模块，用于接收所述被保护设备根据所述数据采集请求返回的数据响应信息，其中，所述数据响应信息包括：所述被保护设备采集的网络安全数据和响应状态信息，所述网络安全数据包括：流量数据和安全事件数据；

对比分析模块，用于将所述流量数据和所述安全事件数据与标准信息进行对比分析，得到对比分析结果；

异常处理模块，用于当所述对比分析结果为存在异常事件时，则对所述异常事件的通信进行阻断，其中，所述异常事件至少包括：网络违规外联事件、非法设备接入事件。