一种在电脑主机上生成系统级隔离上网空间的方法

技术领域

本发明涉及网络安全技术领域，特别是一种在电脑主机上生成系统级隔离上网空间的方法。

背景技术

网络在如今的生活中应用广泛，为大家的日常生活提供了便捷，在出行、购物、餐饮、经济、生产以及文化等诸多方面发挥着巨大的作用，极大的推动了社会的进步。

然而，网络本身开放性较强但是安全系数较低的特点，为网络通信的安全性带来了很大挑战。并且伴随着网络规模的极速扩增，网络攻击事件、病毒以及木马等大量出现，使得网络安全无时无刻不遭受威胁，作为互联网技术领域中重要分支的网路防护，成为当前互联网技术领域的研究热点。

在现有技术中，网络防护主要是基于网络通信设备的本地数据对设备自身进行安全防护，无法获取其他网络通信设备安全防护所需数据，使得目前网络防护方式存在本地资源消耗严重，且无法与其他网络通信设备资源共享的问题，而本地网络通信设备无法与其他网络通信设备资源共享会进一步导致网络防护效果较差的问题

在边界安全理念中，网络位置决定了信任程度，在安全区域边界外的用户默认是不可信的(不安全的)，没有较多的访问权限，边界外的用户想要接入边界内的网络就需要通过防火墙、VPN(虚拟安全网络)等安全机制；安全区域内的用户默认都是可信的(安全的)，因此，传统方法对边界内用户的操作不再做过多的行为监测，但是这就导致在每个安全区域的内部存在过度信任(认为是安全的，给予的权限过大)的问题；同时，由于边界安全设备部署在网络边界上，缺少来自终端侧、资源侧的数据，且相互之间缺乏联动，对威胁的安全分析是不够全面的，因此内部威胁检测和防护能力不足、安全分析覆盖度不够全面成为了边界安全理念固有的软肋；且在实际应用过程中，很多企业在实际应用中，只是非常粗粒度的划分了企业内网和外网(互联网)，在该基础上，前述风险就更为明显。

另外，随着云计算、物联网以及移动办公等新技术新应用的兴起，企业的业务架构和网络环境也随之发生了重大的变化，这就给传统的边界安全理念带来了新的挑战；比如云计算技术的普及带来了物理安全边界模糊的挑战，远程办公、多方协同办公等成为常态带来了访问需求复杂性变高和内部资源暴露面扩大的风险，各种设备、各种人员的接入带来了对设备、人员的管理难度和不可控安全因素增加的风险，高级威胁攻击(钓鱼攻击、水坑攻击、0day漏洞利用等)带来了边界安全防护机制被突破的风险，这些都对传统的边界安全理念和防护手段提出了挑战，因此，提供一种更好的网络访问安全防护方法迫在眉睫。

发明内容

实现上述目的本发明的技术方案为：一种在电脑主机上生成系统级隔离上网空间的方法，包括获取本地网络通信设备的本地网络访问数据，本地网络访问数据包括以下步骤：S1、流量特征，S2、访问行为，S3、协议类型，S4、传输的关键字，S5、源IP地址以及访问页面信息；

步骤S1：将本地关键特征数据同步至云平台的安全防护数据库，以使云平台根据本地关键特征数据确定目标防护特征数据，并将目标防护特征数据同步至关联网络通信设备，

步骤S2：针对待防护访问流量中包括的多个会话，提取每个会话的数据统计特征；

步骤S3：通过神经网络模型对每个会话的数据统计特征提取隐含层特征，以基于隐含层特征对每个会话进行正常或异常的分类处理；

步骤S4：将待防护访问流量中被分类为异常的会话识别为攻击访问流量；

步骤S5：基于攻击访问流量的来源地址，对针对目标网络地址的攻击访问流量进行屏蔽处理。

优选的，在确定本地网络访问数据与云平台的安全防护数据库存储的数据成功匹配的情况下，对本地网络访问数据进行关键特征提取，得到本地关键特征数据；其中，安全防护数据库存储的数据包括安全规则数据库、活跃黑IP库、木马样本库、重点受攻击地区以及高热度安全事件库，本地关键特征数据包括入侵手段、入侵IP、危害目标群体以及危害程度。

优选的，基于内存信息，在虚拟机用户空间内为虚拟机分配一地址空间，以及在地址空间内为虚拟机创建一地址映射表，以基于地址空间和地址映射表生成虚拟机进程文件，其中，地址映射表包括虚拟地址与物理地址的映射关系以及虚拟地址的内存访问权限。

优选的，为虚拟机创建一TUN/TPA虚拟网络设备生成文件，以作为虚拟机网络文件。

优选的，利用虚拟CPU、访问分配文件、虚拟机进程文件以及虚拟机网络文件，组成虚拟机镜像文件。

优选的，在一个可能的设计中，CPU配置信息包括：CPU总线程数、CPU总核心频率、CPU运行内存以及主机运行指令环。

优选的，根据CPU配置信息，构建得到虚拟CPU，包括：

根据CPU总线程数和CPU总核心频率，为虚拟机分配一运行线程数以及一运行频率，以作为虚拟机的虚拟CPU线程数和虚拟CPU核心频率，其中，运行线程数小于CPU总线程数，且运行频率小于CPU总核心频率。

优选的，基于主机运行指令环，在主机运行指令环上为虚拟机分配一操作系统运行环以及一应用程序运行环，以便利用操作系统运行环以及应用程序运行环生成虚拟机运行权限。

优选的，根据CPU运行内存，在CPU运行内存中分配一用于虚拟机操作系统进行访问的内存区域，以及分配一用于虚拟机上的软件应用所访问的内存区域，以在分配完成后，得到虚拟机运行内核以及虚拟机用户空间。

利用本发明的技术方案制作的一种在电脑主机上生成系统级隔离上网空间的方法，通过对待防护访问流量中的会话进行分析出数据统计层面的特征，不依赖于信息层面的特征来识别攻击访问流量，因此识别不受流量报文是否加密的影响，从而能够实现兼容加密和不加密攻击访问流量的识别，进而能够基于攻击访问流量的源地址进行屏蔽处理以实现各种访问流量(包括加密和不加密攻击访问流量)的清洗，在确定本地网络访问数据与云平台的安全防护数据库存储的数据成功匹配的情况下，对本地网络访问数据进行关键特征提取，得到本地关键特征数据，进而将本地关键特征数据同步至云平台的安全防护数据库，以使云平台根据本地关键特征数据确定目标防护特征数据，并将目标防护特征数据同步至关联网络通信设备，由于本方案中本地网络访问数据与云平台的安全防护数据库存储的数据匹配，以及对本地网络访问数据进行关键特征提取可以不在本地网络通信设备进行处理，这能够大大降低网络通信设备本地资源的消耗，此外，将目标防护特征数据同步至关联网络通信设备，使关联网络通信设备根据目标防护特征数据实现对威胁网络安全事件的识别和阻断，解决了当前网

络通信设备在网络防护过程中本地资源消耗严重，以及无法与其他网络通

附图说明

图1为本发明所述一种在电脑主机上生成系统级隔离上网空间的方

具体实施方式

下面结合附图对本发明进行具体描述，如图1所示，一种在电脑主机上生成系统级隔离上网空间的方法。

通过本领域人员，将本案中所有电气件与其适配的电源通过导线进行

的零部件依次进行连接，具体连接以及操作顺序，应参考下述工作原理，

上述技术方案仅体现了本发明技术方案的优选技术方案，本技术领域的技术人员对其中某些部分所可能做出的一些变动均体现了本发明的原理，属于本发明的保护范围之内。