特許7462757 | 知財ポータル「IP Force」

知財求人 - 知財ポータルサイト「IP Force」

▶ 華為技術有限公司の特許一覧

特許7462757ネットワークセキュリティ保護方法及び保護デバイス

書誌要約請求の範囲詳細な説明課題実施例実施するための形態図面の説明

目に優しい文字サイズ小中大 PDF Top

< >

1
2
3
4
5
6
7
8
9
10

(19)【発行国】日本国特許庁(JP)

(12)【公報種別】特許公報(B2)

(11)【特許番号】

(24)【登録日】2024-03-28

(45)【発行日】2024-04-05

(54)【発明の名称】ネットワークセキュリティ保護方法及び保護デバイス

(51)【国際特許分類】

H04L 12/66 20060101AFI20240329BHJP

G06F 21/44 20130101ALI20240329BHJP

G06F 21/55 20130101ALI20240329BHJP

H04L 12/22 20060101ALI20240329BHJP

【ＦＩ】

H04L12/66

G06F21/44

G06F21/55

H04L12/22

【請求項の数】 28

(21)【出願番号】P 2022537782

(86)(22)【出願日】2020-09-11

(65)【公表番号】

(43)【公表日】2023-03-02

(86)【国際出願番号】 CN2020114685

(87)【国際公開番号】W WO2021135382

(87)【国際公開日】2021-07-08

【審査請求日】2022-07-29

(31)【優先権主張番号】201911408206.7

(32)【優先日】2019-12-31

(33)【優先権主張国・地域又は機関】CN

(73)【特許権者】

【識別番号】503433420

【氏名又は名称】華為技術有限公司

【氏名又は名称原語表記】ＨＵＡＷＥＩＴＥＣＨＮＯＬＯＧＩＥＳＣＯ．，ＬＴＤ．

【住所又は居所原語表記】ＨｕａｗｅｉＡｄｍｉｎｉｓｔｒａｔｉｏｎＢｕｉｌｄｉｎｇ，Ｂａｎｔｉａｎ，ＬｏｎｇｇａｎｇＤｉｓｔｒｉｃｔ，Ｓｈｅｎｚｈｅｎ，Ｇｕａｎｇｄｏｎｇ５１８１２９，Ｐ．Ｒ．Ｃｈｉｎａ

(74)【代理人】

【識別番号】100110364

【弁理士】

【氏名又は名称】実広信哉

(74)【代理人】

【識別番号】100133569

【弁理士】

【氏名又は名称】野村進

(72)【発明者】

【氏名】李 ▲強▼

(72)【発明者】

【氏名】▲蒋▼ 武

(72)【発明者】

【氏名】▲喩▼ 健▲偉▼

(72)【発明者】

【氏名】槐 ▲ユ▼

【審査官】鈴木香苗

(56)【参考文献】

【文献】特開２０１１－０２４０１９（ＪＰ，Ａ）

【文献】特開２００４－０３８５５７（ＪＰ，Ａ）

【文献】特開２０１０－１０９７３１（ＪＰ，Ａ）

【文献】特開２００１－０５７５５４（ＪＰ，Ａ）

【文献】特開２００６－１４８７７８（ＪＰ，Ａ）

【文献】中国特許出願公開第１０９５８７１５６（ＣＮ，Ａ）

【文献】中国特許出願公開第１０２６６８４６７（ＣＮ，Ａ）

(58)【調査した分野】(Int.Cl.，ＤＢ名)

Ｈ０４Ｌ１２／６６

Ｇ０６Ｆ２１／４４

Ｇ０６Ｆ２１／５５

Ｈ０４Ｌ１２／２２

(57)【特許請求の範囲】

【請求項1】

保護デバイスが行うネットワークセキュリティ保護方法であって、
第1のデータフローを受信するステップであって、前記第1のデータフローは送信元IPアドレス及び宛先IPアドレスを含み、前記送信元IPアドレスは第1の電子デバイスのIPアドレスであり、前記宛先IPアドレスは第1のサーバのIPアドレスである、ステップと、
前記送信元IPアドレスに対応する第1のデバイス属性情報を決定するステップであって、前記第1のデバイス属性情報は第1のデバイスタイプ及び第1のサービスタイプを含み、前記第1のデバイスタイプは前記第1の電子デバイスのデバイスタイプであり、前記第1のサービスタイプは前記第1のデバイスタイプによってアクセスされることができるサービスタイプである、ステップと、
前記宛先IPアドレスに対応する第2のデバイス属性情報を決定するステップであって、前記第2のデバイス属性情報は第2のデバイスタイプ及び第2のサービスタイプを含み、前記第2のデバイスタイプは前記第1のサーバにアクセスすることを許されたデバイスタイプであり、前記第2のサービスタイプは前記第1のサーバによって提供されるサービスのサービスタイプである、ステップと、
前記第1のデバイス属性情報が前記第2のデバイス属性情報と一致するとき、前記第1のデータフローを転送するステップ、又は
前記第1のデバイス属性情報が前記第2のデバイス属性情報と一致しないとき、前記第1のデータフローをブロックするステップと
を含むネットワークセキュリティ保護方法。

【請求項2】

前記送信元IPアドレスに対応する第1のデバイス属性情報を決定する前記ステップの前に、前記方法は、
前記第1のデータフロー内の前記宛先IPアドレスに対応する検出識別子を、前記保護デバイスに表として記憶された前記宛先IPアドレスと前記検出識別子の間のマッピング関係に基づいて決定するステップであって、前記検出識別子は第1の識別子又は第2の識別子であり、前記第1の識別子は前記第1のサーバが現在攻撃されていることを示すために使用され、前記第2の識別子は前記第1のサーバが現在攻撃されていないことを示すために使用される、ステップと、
前記検出識別子が前記第1の識別子であるとき、前記送信元IPアドレスに対応するリスク値を決定するステップ、及び前記送信元IPアドレスに対応する前記リスク値が第1のリスク範囲内にあるとき、前記第1のデータフローをブロックするステップ、又は前記送信元IPアドレスに対応する前記リスク値が第2のリスク範囲内にあるとき、前記送信元IPアドレスに対応する前記第1のデバイス属性情報を決定するステップを行うステップ、であって、前記第1のリスク範囲における最小値は前記第2のリスク範囲における最大値よりも大きいか又は前記第2のリスク範囲における最小値は前記第1のリスク範囲における最大値よりも大きく、前記第1のリスク範囲におけるリスク値によって示されるリスクはすべて前記第2のリスク範囲におけるリスク値によって示されるリスクよりも高い、ステップ、又は
前記検出識別子が前記第2の識別子であるとき、前記第1のデータフローを転送するステップと
をさらに含む、請求項1に記載のネットワークセキュリティ保護方法。

【請求項3】

前記送信元IPアドレスに対応する第1のデバイス属性情報を決定する前記ステップの前に、前記方法は、
前記送信元IPアドレスに対応するリスク値を決定するステップと、
前記送信元IPアドレスに対応する前記リスク値が第1のリスク範囲内にあるとき、前記第1のデータフローをブロックするステップ、又は
前記送信元IPアドレスに対応する前記リスク値が第2のリスク範囲内にあるとき、前記送信元IPアドレスに対応する前記第1のデバイス属性情報を決定するステップを行うステップであって、前記第1のリスク範囲における最小値は前記第2のリスク範囲における最大値よりも大きいか又は前記第2のリスク範囲における最小値は前記第1のリスク範囲における最大値よりも大きく、前記第1のリスク範囲におけるリスク値によって示されるリスクはすべて前記第2のリスク範囲におけるリスク値によって示されるリスクよりも高い、ステップと
をさらに含む、請求項1に記載のネットワークセキュリティ保護方法。

【請求項4】

【請求項5】

前記表は、前記第1のサーバから受信したデータ、または、前記第１のサーバへテストパケットが送信された時間と前記第１のサーバから応答パケットが受信された時間との間の時間差と所定の遅延閾値との比較結果を含む、請求項1または4に記載のネットワークセキュリティ保護方法。

【請求項6】

前記送信元IPアドレスに対応する第1のデバイス属性情報を決定する前記ステップは、
サードパーティサーバを使用して前記送信元IPアドレスに対応する第1のデバイスタイプを決定するステップと、前記第1のデバイスタイプに対応する前記第1のサービスタイプを決定するステップとを含む、請求項1から5のいずれか一項に記載のネットワークセキュリティ保護方法。

【請求項7】

サードパーティサーバを使用して前記送信元IPアドレスに対応する前記第1のデバイスタイプを決定する前記ステップは、
前記サードパーティサーバによって提供されるアプリケーションプログラミングインタフェース（API）をRequest要求を使用することによって呼び出すことであって、前記Request要求の中のAPIユニフォームリソースロケータ(URL)の中のipフィールドには、前記送信元IPアドレスが書き込まれる、ことと、
前記サードパーティサーバによって返されたデータを受信し、前記データを解析することと、
前記解析されたデータから前記第１のデバイスタイプを取得することとを含む、請求項6に記載のネットワークセキュリティ保護方法。

【請求項8】

前記送信元IPアドレスに対応する第1のデバイス属性情報を決定するステップは、
オープンソースのスキャニングソフトウェアを使用して前記送信元IPアドレスに対応する第1のデバイスタイプを決定するステップと、
前記第1のデバイスタイプに対応する前記第1のサービスタイプを決定するステップとを含む、
請求項1から5のいずれか一項に記載のネットワークセキュリティ保護方法。

【請求項9】

保護デバイスが行うネットワークセキュリティ保護方法であって、
第1のデータフローを受信するステップであって、前記第1のデータフローは送信元IPアドレス及び宛先IPアドレスを含み、前記送信元IPアドレスは第1の電子デバイスのIPアドレスであり、前記宛先IPアドレスは第1のサーバのIPアドレスである、ステップと、
前記送信元IPアドレスに対応するリスク値を決定するステップと、
前記送信元IPアドレスに対応する前記リスク値が第1のリスク範囲内にあるとき、前記第1のデータフローをブロックするステップ、又は
前記送信元IPアドレスに対応する前記リスク値が第2のリスク範囲内にあるとき、前記送信元IPアドレス及び前記宛先IPアドレスに基づいて、前記第1のデータフローを転送又はブロックすることを決定するステップであって、前記第1のリスク範囲における最小値は前記第2のリスク範囲における最大値よりも大きいか又は前記第2のリスク範囲における最小値は前記第1のリスク範囲における最大値よりも大きく、前記第1のリスク範囲におけるリスク値によって示されるリスクはすべて前記第2のリスク範囲におけるリスク値によって示されるリスクよりも高い、ステップと
を含むネットワークセキュリティ保護方法。

【請求項10】

前記送信元IPアドレス及び前記宛先IPアドレスに基づいて、前記第1のデータフローを転送又はブロックすることを決定する前記ステップは、
前記送信元IPアドレスに対応する第1のデバイス属性情報を決定するステップであって、前記第1のデバイス属性情報は第1のデバイスタイプ及び第1のサービスタイプを含み、前記第1のデバイスタイプは前記第1の電子デバイスのデバイスタイプであり、前記第1のサービスタイプは前記第1のデバイスタイプによってアクセスされることができるサービスタイプである、ステップと、
前記宛先IPアドレスに対応する第2のデバイス属性情報を決定するステップであって、前記第2のデバイス属性情報は第2のデバイスタイプ及び第2のサービスタイプを含み、前記第2のデバイスタイプは前記第1のサーバにアクセスすることを許されたデバイスタイプであり、前記第2のサービスタイプは前記第1のサーバによって提供されるサービスのサービスタイプである、ステップと、
前記第1のデバイス属性情報が前記第2のデバイス属性情報と一致するとき、前記第1のデータフローを転送するステップ、又は
前記第1のデバイス属性情報が前記第2のデバイス属性情報と一致しないとき、前記第1のデータフローをブロックするステップと
を含む、請求項9に記載のネットワークセキュリティ保護方法。

【請求項11】

【請求項12】

前記表は、前記第1のサーバから受信したデータ、または、前記第１のサーバへテストパケットが送信された時間と前記第１のサーバから応答パケットが受信された時間との間の時間差と所定の遅延閾値との比較結果を含む、請求項11に記載のネットワークセキュリティ保護方法。

【請求項13】

ネットワークインターフェースと、少なくとも１つのプロセッサと、前記少なくとも１つのプロセッサに結合されたメモリとを含む保護デバイスであって、
前記ネットワークインターフェースは、第1のデータフローを受信し、前記第1のデータフローは送信元IPアドレス及び宛先IPアドレスを含み、前記送信元IPアドレスは第1の電子デバイスのIPアドレスであり、前記宛先IPアドレスは第1のサーバのIPアドレスである、ように構成され、
前記メモリは、前記少なくとも１つのプロセッサによって実行されると、前記保護デバイスに、
前記送信元IPアドレスに対応する第1のデバイス属性情報を決定することであって、前記第1のデバイス属性情報は第1のデバイスタイプ及び第1のサービスタイプを含み、前記第1のデバイスタイプは前記第1の電子デバイスのデバイスタイプであり、前記第1のサービスタイプは前記第1のデバイスタイプによってアクセスされることができるサービスタイプである、ことと、前記宛先IPアドレスに対応する第2のデバイス属性情報を決定することであって、前記第2のデバイス属性情報は第2のデバイスタイプ及び第2のサービスタイプを含み、前記第2のデバイスタイプは前記第1のサーバにアクセスすることを許されたデバイスタイプであり、前記第2のサービスタイプは前記第1のサーバによって提供されるサービスのサービスタイプである、ことと、前記第1のデバイス属性情報が前記第2のデバイス属性情報と一致するとき、前記ネットワークインターフェースを介して前記第1のデータフローを転送すること、又は前記第1のデバイス属性情報が前記第2のデバイス属性情報と一致しないとき、前記第1のデータフローをブロックすることをさせる命令を含む
保護デバイス。

【請求項14】

前記命令は、前記プロセッサによって実行されると、前記保護デバイスに、さらに、
前記第1のデータフロー内の前記宛先IPアドレスに対応する検出識別子を、前記保護デバイスに表として記憶された前記宛先IPアドレスと前記検出識別子の間のマッピング関係に基づいて決定させ、前記検出識別子は第1の識別子又は第2の識別子であり、前記第1の識別子は前記第1のサーバが現在攻撃されていることを示すために使用され、前記第2の識別子は前記第1のサーバが現在攻撃されていないことを示すために使用され、及び前記検出識別子が前記第1の識別子であるとき、前記送信元IPアドレスに対応するリスク値を決定させ、前記送信元IPアドレスに対応する前記リスク値が第1のリスク範囲内にあるとき、前記第1のデータフローをブロックさせ、又は前記送信元IPアドレスに対応する前記リスク値が第2のリスク範囲内にあるとき、前記送信元IPアドレスに対応する前記第1のデバイス属性情報を決定させ、前記第1のリスク範囲における最小値は前記第2のリスク範囲における最大値よりも大きいか又は前記第2のリスク範囲における最小値は前記第1のリスク範囲における最大値よりも大きく、前記第1のリスク範囲におけるリスク値によって示されるリスクはすべて前記第2のリスク範囲におけるリスク値によって示されるリスクよりも高く、又は前記検出識別子が前記第2の識別子であるとき、前記第1のデータフローを転送させる、
請求項13に記載の保護デバイス。

【請求項15】

前記命令は、前記プロセッサによって実行されると、前記保護デバイスに、さらに、
前記送信元IPアドレスに対応するリスク値を決定させ、及び前記送信元IPアドレスに対応する前記リスク値が第1のリスク範囲内にあるとき、前記第1のデータフローをブロックさせ、又は前記送信元IPアドレスに対応する前記リスク値が第2のリスク範囲内にあるとき、前記送信元IPアドレスに対応する前記第1のデバイス属性情報を決定させ、前記第1のリスク範囲における最小値は前記第2のリスク範囲における最大値よりも大きいか又は前記第2のリスク範囲における最小値は前記第1のリスク範囲における最大値よりも大きく、前記第1のリスク範囲におけるリスク値によって示されるリスクはすべて前記第2のリスク範囲におけるリスク値によって示されるリスクよりも高い、
請求項13に記載の保護デバイス。

【請求項16】

【請求項17】

前記表は、前記第1のサーバから受信したデータ、または、前記第１のサーバへテストパケットが送信された時間と前記第１のサーバから応答パケットが受信された時間との間の時間差と所定の遅延閾値との比較結果を含む、請求項14または16に記載の保護デバイス。

【請求項18】

前記命令は、前記プロセッサによって実行されると、前記保護デバイスに、さらに、
サードパーティサーバを使用して前記送信元IPアドレスに対応する前記第1のデバイスタイプを決定させ、前記第1のデバイスタイプに対応する前記第1のサービスタイプを決定させる、請求項13から17のいずれか一項に記載の保護デバイス。

【請求項19】

前記命令は、前記プロセッサによって実行されると、前記保護デバイスに、さらに、
前記サードパーティサーバによって提供されるアプリケーションプログラミングインタフェース（API）をRequest要求を使用することによって呼び出させ、前記Request要求の中のAPIユニフォームリソースロケータ(URL)の中のipフィールドは、前記送信元IPアドレスが書き込まれ、
前記サードパーティサーバによって返されたデータを受信させ、前記データを解析させ、
前記解析されたデータから前記第１のデバイスタイプを取得させる、請求項18に記載の保護デバイス。

【請求項20】

前記命令は、前記プロセッサによって実行されると、前記保護デバイスに、さらに、
オープンソースのスキャニングソフトウェアを使用して前記送信元IPアドレスに対応する前記第1のデバイスタイプを決定させ、
前記第1のデバイスタイプに対応する前記第1のサービスタイプを決定させる、請求項13から17のいずれか一項に記載の保護デバイス。

【請求項21】

ネットワークインターフェースと、少なくとも１つのプロセッサと、前記少なくとも１つのプロセッサに結合されたメモリとを含む保護デバイスであって、
前記メモリは、前記少なくとも１つのプロセッサによって実行されると、前記保護デバイスに、
前記ネットワークインターフェースを介して第1のデータフローを受信させ、前記第1のデータフローは送信元IPアドレス及び宛先IPアドレスを含み、前記送信元IPアドレスは第1の電子デバイスのIPアドレスであり、前記宛先IPアドレスは第1のサーバのIPアドレスであり、前記送信元IPアドレスに対応するリスク値を決定させ、前記送信元IPアドレスに対応する前記リスク値が第1のリスク範囲内にあるとき、前記第1のデータフローをブロックさせ、又は前記送信元IPアドレスに対応する前記リスク値が第2のリスク範囲内にあるとき、前記送信元IPアドレス及び前記宛先IPアドレスに基づいて、前記第1のデータフローを転送又はブロックすることを決定させ、前記第1のリスク範囲における最小値は前記第2のリスク範囲における最大値よりも大きいか又は前記第2のリスク範囲における最小値は前記第1のリスク範囲における最大値よりも大きく、前記第1のリスク範囲におけるリスク値によって示されるリスクはすべて前記第2のリスク範囲におけるリスク値によって示されるリスクよりも高い、命令を含む、
保護デバイス。

【請求項22】

前記命令は、前記プロセッサによって実行されると、前記保護デバイスに、さらに、
前記送信元IPアドレスに対応する第1のデバイス属性情報を決定させ、前記第1のデバイス属性情報は第1のデバイスタイプ及び第1のサービスタイプを含み、前記第1のデバイスタイプは前記第1の電子デバイスのデバイスタイプであり、前記第1のサービスタイプは前記第1のデバイスタイプによってアクセスされることができるサービスタイプである、及び前記宛先IPアドレスに対応する第2のデバイス属性情報を決定させ、前記第2のデバイス属性情報は第2のデバイスタイプ及び第2のサービスタイプを含み、前記第2のデバイスタイプは前記第1のサーバにアクセスすることを許されたデバイスタイプであり、前記第2のサービスタイプは前記第1のサーバによって提供されるサービスのサービスタイプであり、及び前記第1のデバイス属性情報が前記第2のデバイス属性情報と一致するとき、前記第1のデータフローを転送するように前記ネットワークインターフェースに指示し、又は前記第1のデバイス属性情報が前記第2のデバイス属性情報と一致しないとき、前記第1のデータフローをブロックさせる、
請求項21に記載の保護デバイス。

【請求項23】

【請求項24】

前記表は、前記第1のサーバから受信したデータ、または、前記第１のサーバへテストパケットが送信された時間と前記第１のサーバから応答パケットが受信された時間との間の時間差と所定の遅延閾値との比較結果を含む、請求項23に記載の保護デバイス。

【請求項25】

第1のデータフローを受信し、前記第1のデータフローは送信元IPアドレス及び宛先IPアドレスを含み、前記送信元IPアドレスは第1の電子デバイスのIPアドレスであり、前記宛先IPアドレスは第1のサーバのIPアドレスである、ように構成された受信モジュールと、
前記送信元IPアドレスに対応する第1のデバイス属性情報を決定し、前記第1のデバイス属性情報は第1のデバイスタイプ及び第1のサービスタイプを含み、前記第1のデバイスタイプは前記第1の電子デバイスのデバイスタイプであり、前記第1のサービスタイプは前記第1のデバイスタイプによってアクセスされることができるサービスタイプである、ように、及び前記宛先IPアドレスに対応する第2のデバイス属性情報を決定し、前記第2のデバイス属性情報は第2のデバイスタイプ及び第2のサービスタイプを含み、前記第2のデバイスタイプは前記第1のサーバにアクセスすることを許されたデバイスタイプであり、前記第2のサービスタイプは前記第1のサーバによって提供されるサービスのサービスタイプである、ように、及び前記第1のデバイス属性情報が前記第2のデバイス属性情報と一致するとき、前記第1のデータフローを転送するように送信モジュールに指示し、又は前記第1のデバイス属性情報が前記第2のデバイス属性情報と一致しないとき、前記第1のデータフローをブロックする、ように構成された処理モジュールと
を含む保護デバイス。

【請求項26】

第1のデータフローを受信し、前記第1のデータフローは送信元IPアドレス及び宛先IPアドレスを含み、前記送信元IPアドレスは第1の電子デバイスのIPアドレスであり、前記宛先IPアドレスは第1のサーバのIPアドレスである、ように構成された受信モジュールと、
前記送信元IPアドレスに対応するリスク値を決定するように、及び前記送信元IPアドレスに対応する前記リスク値が第1のリスク範囲内にあるとき、前記第1のデータフローをブロックし、又は前記送信元IPアドレスに対応する前記リスク値が第2のリスク範囲内にあるとき、前記送信元IPアドレス及び前記宛先IPアドレスに基づいて、前記第1のデータフローを転送又はブロックすることを決定し、前記第1のリスク範囲における最小値は前記第2のリスク範囲における最大値よりも大きいか又は前記第2のリスク範囲における最小値は前記第1のリスク範囲における最大値よりも大きく、前記第1のリスク範囲におけるリスク値によって示されるリスクはすべて前記第2のリスク範囲におけるリスク値によって示されるリスクよりも高い、ように構成された処理モジュールと
を含む保護デバイス。

【請求項27】

コンピュータ命令を含むコンピュータ可読記憶媒体であって、前記コンピュータ命令がネットワークデバイス上で実行されたとき、前記ネットワークデバイスが、請求項1から11のいずれか一項に記載の方法を行うことを可能にされる、コンピュータ可読記憶媒体。

【請求項28】

コンピュータ上で実行されると、前記コンピュータに、請求項1から11のいずれか一項に記載の方法を行わせる、コンピュータプログラム。

【発明の詳細な説明】

【技術分野】

【0001】

本出願は、その全体が参照により本明細書に組み込まれている、2019年12月31日に中国国家知識産権局に提出された「NETWORK SECURITY PROTECTION METHOD AND PROTECTION DEVICE」なる名称の中国特許出願第201911408206．7号に基づく優先権を主張する。

【0002】

本出願は、通信技術の分野に関し、より詳細には、ネットワークセキュリティ保護方法及び保護デバイスに関する。

【背景技術】

【0003】

セキュリティ保護デバイスは、サービスサーバをハッカー攻撃から保護するために、さまざまなタイプのサービスサーバに向けてネットワークセキュリティ保護サービスを提供し得る。セキュリティ保護デバイスは、クライアントと保護対象のサービスサーバとの間に配置される。クライアントによって生成された大量のデータフローは、最初にセキュリティ保護デバイスに入る。セキュリティ保護デバイスは、安全なデータフローを得るために異常なデータフローをフィルタリングして取り除き、その結果、セキュアなデータフローがサービスサーバに入る。コンピュータネットワーク技術の分野では、データフロー（又はパケットフローとも呼ばれる）は、送信元コンピュータから宛先側への一連のパケットであり、宛先側は、コンピュータ、マルチキャストグループ、又はブロードキャストドメインである。

【0004】

現在、セキュリティ保護デバイスは、データフローをフィルタリングするためにブラックリストメカニズムを使用している。具体的には、セキュリティ保護デバイスは、事前設定されたインターネットプロトコル（Internet protocol、IP）脅威データベースを格納し、IP脅威データベースはIPアドレスを含む。セキュリティ保護デバイスがクライアントによって送信された大量のデータフローを受信した後、セキュリティ保護デバイスは、データフロー内の送信元IPアドレスがIP脅威データベースに存在するかどうかを判定する。データフローのうちの1つの送信元IPアドレスAがIP脅威データベースに存在する場合、セキュリティ保護デバイスは、IPアドレスAが攻撃的なIPアドレスであると見なし、セキュリティ保護デバイスは、サービスサーバをハッカー攻撃から保護するためにデータフローをブロックする。セキュリティ保護デバイスは、IP脅威データベースにないIPアドレスはセキュアであると判断し、その送信元IPアドレスがIP脅威データベースにないIPアドレスであるデータフローをブロックしない。

【0005】

IP脅威データベースに格納されるIPアドレスは比較的限定されており、多くの攻撃的なIPアドレスはIP脅威データベースに格納されていない。したがって、既存のセキュリティ保護デバイスは多くの攻撃的なデータフローを見落とし得、その結果、既存のセキュリティ保護デバイスの保護精度が低くなる。

【発明の概要】

【課題を解決するための手段】

【0006】

本出願の実施形態は、データフローが攻撃的であるかどうかを正確に識別するために、ネットワークセキュリティ保護方法及び保護デバイスを提供する。

【0007】

第1の態様によれば、本願の一実施形態はネットワークセキュリティ保護方法を提供する。方法は、以下のステップ、すなわち、第1のデータフローを受信するステップであって、第1のデータフローは送信元IPアドレス及び宛先IPアドレスを含み、送信元IPアドレスは第1の電子デバイスのIPアドレスであり、宛先IPアドレスは第1のサーバのIPアドレスである、ステップと、送信元IPアドレスに対応する第1のデバイス属性情報を決定するステップであって、第1のデバイス属性情報は第1のデバイスタイプ及び第1のサービスタイプを含み、第1のデバイスタイプは第1の電子デバイスのデバイスタイプであり、第1のサービスタイプは第1のデバイスタイプによってアクセスされることができるサービスタイプである、ステップと、宛先IPアドレスに対応する第2のデバイス属性情報を決定するステップであって、第2のデバイス属性情報は第2のデバイスタイプ及び第2のサービスタイプを含み、第2のデバイスタイプは第1のサーバにアクセスすることを許されたデバイスタイプであり、第2のサービスタイプは第1のサーバによって提供されるサービスのサービスタイプである、ステップと、第1のデバイス属性情報が第2のデバイス属性情報と一致するとき第1のデータフローを転送するステップ、又は第1のデバイス属性情報が第2のデバイス属性情報と一致しないとき、第1のデータフローをブロックするステップとを含む。

【0008】

第1の態様では、第1のデバイス属性情報が第2のデバイス属性情報と一致する場合、それは第1の電子デバイスが第1のサーバの要件を満たすことを示す。言い換えれば、第1のデータフローはセキュアで非攻撃的なデータフローである。したがって、第1のデータフローは転送される。第1のデバイス属性情報が第2のデバイス属性情報と一致しない場合、それは第1の電子デバイスが第1のサーバの要件を満たさないことを示す。言い換えれば、第1のデータフローは非セキュアで攻撃的なデータフローである。したがって、第1のデータフローはブロックされる必要がある。したがって、本出願のこの実施形態で提供される解決策によれば、電子デバイスによって送信されたデータフローが攻撃的であるかどうかが正確に識別されることができ、攻撃的なデータフローがブロックされることができ、その結果、セキュアなデータフローがサービスサーバに入る。したがって、本出願のこの実施形態で提供される解決策の保護精度は比較的高い。

【0009】

任意選択的に、第1の態様の可能な一実施態様では、送信元IPアドレスに対応する第1のデバイス属性情報を決定するステップの前に、方法は、第1のデータフロー内の宛先IPアドレスに対応する検出識別子を決定するステップであって、検出識別子は第1の識別子又は第2の識別子であり、第1の識別子は第1のサーバが現在攻撃されていることを示すために使用され、第2の識別子は第1のサーバが現在攻撃されていないことを示すために使用される、ステップと、検出識別子が第1の識別子であるとき、送信元IPアドレスに対応するリスク値を決定するステップ、及び送信元IPアドレスに対応するリスク値が第1のリスク範囲内にあるとき、第1のデータフローをブロックするステップ、又は送信元IPアドレスに対応するリスク値が第2のリスク範囲内にあるとき、送信元IPアドレスに対応する第1のデバイス属性情報を決定するステップを行うステップ、であって、第1のリスク範囲における最小値は第2のリスク範囲における最大値よりも大きいか又は第2のリスク範囲における最小値は第1のリスク範囲における最大値よりも大きく、第1のリスク範囲におけるリスク値によって示されるリスクはすべて第2のリスク範囲におけるリスク値によって示されるリスクよりも高い、ステップ、又は検出識別子が第2の識別子であるとき、第1のデータフローを転送するステップとをさらに含む。

【0010】

宛先IPアドレスに対応する検出識別子が第1の識別子であるとき、それは第1のサーバが現在攻撃されていることを示す。したがって、送信元IPアドレスに対応するリスク値が決定される必要がある。宛先IPアドレスに対応する検出識別子が第2の識別子であるとき、それは第1のサーバが現在攻撃されていないことを示す。したがって、第1のデータフローが攻撃的なデータフローであるかどうかが検出される必要はなく、第1のデータフローは直接転送され得、第1のデータフローが攻撃的なデータフローであるかどうかを検出するステップは省略される。このようにして、保護デバイスの処理リソースが低減され、第1のデータフローが攻撃的なデータフローであるかどうかを検出することによって生じる伝送遅延が低減され、サービス応答適時性が改善される。送信元IPアドレスに対応するリスク値が第1のリスク範囲内にあるとき、それは送信元IPアドレスが第1のサーバを攻撃する可能性がより高いことを示す。したがって、保護デバイスは、第1のデータフローによって第1のサーバが攻撃されるのを防止するために、第1のデータフローをブロックする。送信元IPアドレスに対応するリスク値が第2のリスク範囲内にあるとき、それは送信元IPアドレスが第1のサーバを攻撃する可能性がより低いことを示すが、第1のデータフローがセキュアであると見なされることはできない。したがって、保護デバイスは、第1のデータフローが攻撃的であるかどうかを検出することを続ける。第1のデータフローが攻撃的であると決定された場合、第1のデータフローによって第1のサーバが攻撃されるのを防止するために、第1のデータフローはブロックされ得る。

【0011】

任意選択的に、第1の態様の可能な一実施態様では、送信元IPアドレスに対応する第1のデバイス属性情報を決定するステップの前に、方法は、送信元IPアドレスに対応するリスク値を決定するステップと、送信元IPアドレスに対応するリスク値が第1のリスク範囲内にあるとき、第1のデータフローをブロックするステップ、又は送信元IPアドレスに対応するリスク値が第2のリスク範囲内にあるとき、送信元IPアドレスに対応する第1のデバイス属性情報を決定するステップを行うステップであって、第1のリスク範囲における最小値は第2のリスク範囲における最大値よりも大きいか又は第2のリスク範囲における最小値は第1のリスク範囲における最大値よりも大きく、第1のリスク範囲におけるリスク値によって示されるリスクはすべて第2のリスク範囲におけるリスク値によって示されるリスクよりも高い、ステップとをさらに含む。

【0012】

送信元IPアドレスに対応するリスク値が第1のリスク範囲内にあるとき、それは送信元IPアドレスが第1のサーバを攻撃する可能性がより高いことを示す。したがって、保護デバイスは、第1のデータフローによって第1のサーバが攻撃されるのを防止するために、第1のデータフローをブロックする。送信元IPアドレスに対応するリスク値が第2のリスク範囲内にあるとき、それは送信元IPアドレスが第1のサーバを攻撃する可能性がより低いことを示すが、第1のデータフローがセキュアであると見なされることはできない。したがって、保護デバイスは、第1のデータフローが攻撃的であるかどうかを検出することを続ける。第1のデータフローが攻撃的であると決定された場合、第1のデータフローによって第1のサーバが攻撃されるのを防止するために、第1のデータフローはブロックされ得る。

【0013】

【0014】

宛先IPアドレスに対応する検出識別子が第1の識別子であるとき、それは第1のサーバが現在攻撃されていることを示す。したがって、第1のデータフローが攻撃的なデータフローであるかどうかが検出される必要がある。第1のデータフローが攻撃的であると決定された場合、第1のデータフローによって第1のサーバが攻撃されるのを防止するために、第1のデータフローはブロックされ得る。宛先IPアドレスに対応する検出識別子が第2の識別子であるとき、それは第1のサーバが現在攻撃されていないことを示す。したがって、第1のデータフローが攻撃的なデータフローであるかどうかが検出される必要はなく、第1のデータフローは直接転送され得、第1のデータフローが攻撃的なデータフローであるかどうかを検出するステップは省略される。このようにして、保護デバイスの処理リソースが低減され、第1のデータフローが攻撃的なデータフローであるかどうかを検出することによって生じる伝送遅延が低減され、サービス応答適時性が改善される。

【0015】

第2の態様によれば、本出願の一実施形態はネットワークセキュリティ保護方法を提供する。方法は、以下のステップ、すなわち、第1のデータフローを受信するステップであって、第1のデータフローは送信元IPアドレス及び宛先IPアドレスを含み、送信元IPアドレスは第1の電子デバイスのIPアドレスであり、宛先IPアドレスは第1のサーバのIPアドレスである、ステップと、送信元IPアドレスに対応するリスク値を決定するステップと、送信元IPアドレスに対応するリスク値が第1のリスク範囲内にあるとき、第1のデータフローをブロックするステップ、又は送信元IPアドレスに対応するリスク値が第2のリスク範囲内にあるとき、送信元IPアドレス及び宛先IPアドレスに基づいて、第1のデータフローを転送又はブロックすることを決定するステップであって、第1のリスク範囲における最小値は第2のリスク範囲における最大値よりも大きいか又は第2のリスク範囲における最小値は第1のリスク範囲における最大値よりも大きく、第1のリスク範囲におけるリスク値によって示されるリスクはすべて第2のリスク範囲におけるリスク値によって示されるリスクよりも高い、ステップとを含む。

【0016】

第2の態様では、送信元IPアドレスに対応するリスク値が第1のリスク範囲内にあるとき、それは送信元IPアドレスが第1のサーバを攻撃する可能性がより高いことを示す。したがって、保護デバイスは、第1のデータフローによって第1のサーバが攻撃されるのを防止するために、第1のデータフローをブロックする。送信元IPアドレスに対応するリスク値が第2のリスク範囲内にあるとき、それは送信元IPアドレスが第1のサーバを攻撃する可能性がより低いことを示すが、第1のデータフローがセキュアであると見なされることはできない。したがって、保護デバイスは、第1のデータフローが攻撃的であるかどうかを検出することを続ける。第1のデータフローが攻撃的であると決定された場合、第1のデータフローによって第1のサーバが攻撃されるのを防止するために、第1のデータフローはブロックされ得る。

【0017】

任意選択的に、第2の態様の可能な一実施態様では、送信元IPアドレス及び宛先IPアドレスに基づいて、第1のデータフローを転送又はブロックすることを決定するステップは、送信元IPアドレスに対応する第1のデバイス属性情報を決定するステップであって、第1のデバイス属性情報は第1のデバイスタイプ及び第1のサービスタイプを含み、第1のデバイスタイプは第1の電子デバイスのデバイスタイプであり、第1のサービスタイプは第1のデバイスタイプによってアクセスされることができるサービスタイプである、ステップと、宛先IPアドレスに対応する第2のデバイス属性情報を決定するステップであって、第2のデバイス属性情報は第2のデバイスタイプ及び第2のサービスタイプを含み、第2のデバイスタイプは第1のサーバにアクセスすることを許されたデバイスタイプであり、第2のサービスタイプは第1のサーバによって提供されるサービスのサービスタイプである、ステップと、第1のデバイス属性情報が第2のデバイス属性情報と一致するとき、第1のデータフローを転送するステップ、又は第1のデバイス属性情報が第2のデバイス属性情報と一致しないとき、第1のデータフローをブロックするステップとを含む。

【0018】

第1のデバイス属性情報が第2のデバイス属性情報と一致する場合、それは第1の電子デバイスが第1のサーバの要件を満たすことを示す。言い換えれば、第1のデータフローはセキュアで非攻撃的なデータフローである。したがって、第1のデータフローは転送される。第1のデバイス属性情報が第2のデバイス属性情報と一致しない場合、それは第1の電子デバイスが第1のサーバの要件を満たさないことを示す。言い換えれば、第1のデータフローは非セキュアで攻撃的なデータフローである。したがって、第1のデータフローはブロックされる必要がある。したがって、本出願のこの実施形態で提供される解決策によれば、電子デバイスによって送信されたデータフローが攻撃的であるかどうかが正確に識別されることができ、攻撃的なデータフローがブロックされることができ、その結果、セキュアなデータフローがサービスサーバに入る。したがって、本出願のこの実施形態で提供される解決策の保護精度は比較的高い。

【0019】

任意選択的に、第2の態様の可能な一実施態様では、送信元IPアドレスに対応する第1のデバイス属性情報を決定するステップの前に、方法は、第1のデータフロー内の宛先IPアドレスに対応する検出識別子を決定するステップであって、検出識別子は第1の識別子又は第2の識別子であり、第1の識別子は第1のサーバが現在攻撃されていることを示すために使用され、第2の識別子は第1のサーバが現在攻撃されていないことを示すために使用される、ステップと、検出識別子が第1の識別子であるとき、送信元IPアドレスに対応する第1のデバイス属性情報を決定するステップを行うステップ、又は検出識別子が第2の識別子であるとき、第1のデータフローを転送するステップとをさらに含む。

【0020】

【0021】

第3の態様によれば、本出願の一実施形態は保護デバイスを提供する。保護デバイスは、ネットワークインターフェースと、メモリと、そのメモリに接続されたプロセッサとを含む。メモリは、命令を格納するように構成される。プロセッサは命令を実行するように構成され、その結果、保護デバイスは第1の態様若しくは第1の態様の可能な実施態様の、いずれか1つに係る方法、又は第2の態様若しくは第2の態様の可能な実施態様の、いずれか1つによる方法を行うことを可能にされる。詳細については、前述の詳細な説明を参照されたい。ここでは詳細は再び説明されない。

【0022】

第4の態様によれば、本出願の一実施形態は保護デバイスを提供する。保護デバイスは、第1の態様に係る方法、第1の態様の任意の可能な実施態様、第2の態様に係る方法、又は第2の態様の任意の可能な実施態様を実施する機能を有する。機能は、ハードウェアによって実装されてもよく、又は対応するソフトウェアを実行するハードウェアによって実施されてもよい。ハードウェア又はソフトウェアは、機能に対応する1又は複数のモジュールを含む。

【0023】

第5の態様によれば、本出願の一実施形態は、前述の保護デバイスによって使用されるコンピュータソフトウェア命令を記憶するように構成されたコンピュータ記憶媒体を提供する。コンピュータ記憶媒体は、第1の態様、第1の態様の任意の可能な実施態様、第2の態様、又は第2の態様の任意の可能な実施態様に係る方法を行うように設計されたプログラムを含む。

【0024】

第6の態様によれば、本出願の一実施形態は、命令を含むコンピュータプログラム製品を提供する。コンピュータプログラム製品がコンピュータ上で動作したとき、そのコンピュータは、前述の態様に係る方法を行うことを可能にされる。

【0025】

第7の態様によれば、本出願の一実施形態はメモリとプロセッサとを含むチップを提供する。メモリはコンピュータ命令を記憶するように構成される。プロセッサは、第1の態様若しくは第1の態様の可能な実施態様の、いずれか1つに係る方法、又は第2の態様若しくは第2の態様の可能な実施態様の、いずれか1つに係る方法を行うために、メモリからコンピュータ命令を呼び出してコンピュータ命令を動作させるように構成される。

【図面の簡単な説明】

【0026】

【図1】本出願の一実施形態に係るネットワークセキュリティ保護方法が適用可能なシナリオの概略図である。

【図2】本出願の一実施形態に係るネットワークセキュリティ保護方法のフローチャートである。

【図3】本出願の一実施形態に係るネットワークセキュリティ保護方法が適用可能な他のシナリオの概略図である。

【図4】本出願の一実施形態に係るネットワークセキュリティ保護方法が適用可能な他のシナリオの概略図である。

【図5】本出願の一実施形態に係る他のネットワークセキュリティ保護方法のフローチャートである。

【図6】本出願の一実施形態に係る他のネットワークセキュリティ保護方法のフローチャートである。

【図7】本出願の一実施形態に係る他のネットワークセキュリティ保護方法のフローチャートである。

【図8】本出願の一実施形態に係る他のネットワークセキュリティ保護方法のフローチャートである。

【図9】本出願の一実施形態に係る保護デバイスの構造の概略図である。

【図10】本出願の一実施形態に係る他の保護デバイスの構造の概略図である。

【発明を実施するための形態】

【0027】

図1は、本出願の一実施形態に係るネットワークセキュリティ保護方法が適用可能なシナリオの概略図である。本出願のこの実施形態で提供されるネットワークセキュリティ保護方法が適用可能なシナリオは、図1に示される例には限定されない。

【0028】

図1に示される例では、保護デバイス100は、ファイアウォール及びセキュリティゲートウェイなどのデバイスを含むが、それらには限定されない。保護デバイス100は、複数の電子デバイス（A1、A2、．．．、An）と少なくとも1つのサービスサーバとの間に配置される。少なくとも1つのサービスサーバは、図1に示される複数のサービスサーバ（B1、B2、．．．、Bm）、又は複数のサービスサーバを含むクラスタである。複数の電子デバイス（A1、A2、．．．、An）によって送信された複数のデータフローは、最初に保護デバイス100に入り、保護デバイス100は、複数のデータフローを識別し、フィルタリングする。たとえば、保護デバイス100は、攻撃的なデータフローをブロックし、非攻撃的なデータフローを転送（「リリース」とも呼ばれる）する。保護デバイスは、複数のサービスサーバ（B1、B2、．．．、Bm）に入るデータフローが比較的セキュアであることを確保し得る。

【0029】

図2は、本出願の一実施形態に係るネットワークセキュリティ保護方法のフローチャートである。図2に示されるネットワークセキュリティ保護方法は以下のステップS101～S105を含む。任意選択的に、図2に示されるネットワークセキュリティ保護方法は、図1の保護デバイス100によって行われる。

【0030】

S101：第1のデータフローを受信する。

【0031】

保護デバイスは、サービスサーバにアクセスする電子デバイスのデータフローを受信する。1つのデータフローは、複数のデータパケットを含む。データフローの複数のデータパケットのそれぞれは送信元IPアドレス及び宛先IPアドレスを含み、データフローの複数のデータパケットのうちのいずれの2つも同じ送信元IPアドレス及び同じ宛先IPアドレスを含む。

【0032】

S101では、第1のデータフローは送信元IPアドレス及び宛先IPアドレスを含み、送信元IPアドレスは第1の電子デバイスのIPアドレスであり、宛先IPアドレスは第1のサーバのIPアドレスである。

【0033】

たとえば、図1を参照して、電子デバイスA1がハッカーによって制御された端末であると仮定される。電子デバイスA1は、攻撃的なデータフローX1を生成し、データフローX1は、サービスサーバB1を攻撃するために使用される。データフローX1は、送信元IPアドレス（10．10．10．11）及び宛先IPアドレス（20．20．20．21）を含み、送信元IPアドレス（10．10．10．11）は電子デバイスA1のIPアドレスであり、宛先IPアドレス（20．20．20．21）はサービスサーバB1のIPアドレスである。保護デバイス100がデータフローX1を受信した後、保護デバイス100は、データフローX1を解析し、データフローX1内の送信元IPアドレス（10．10．10．11）及び宛先IPアドレス（20．20．20．21）を得る。

【0034】

S102：送信元IPアドレスに対応する第1のデバイス属性情報を決定する。

【0035】

第1のデバイス属性情報は第1のデバイスタイプ及び第1のサービスタイプを含み、第1のデバイスタイプは第1の電子デバイスのデバイスタイプであり、第1のサービスタイプは第1のデバイスタイプによってアクセスされることができるサービスタイプである。

【0036】

S102では、送信元IPアドレスに対応する第1のデバイスタイプが最初に決定され得、次いで、第1のデバイスタイプに対応する第1のサービスタイプが決定される。

【0037】

具体的には、「送信元IPアドレスに対応する第1のデバイスタイプを決定するステップ」には多くの方式があり、以下では2つの方式を説明する。

【0038】

第1の方式では、送信元IPアドレスに対応する第1のデバイスタイプは、サードパーティーサーバを使用することによって決定される。具体的には、サードパーティーサーバは、Shodanサーバ、ZoomEyeサーバ、FoFAサーバなどであり得る。本出願のこの実施形態で言及される「デバイスタイプ」は、ブリッジ、ブロードバンドルータ、ファイアウォール、ハブ、ロードバランサ、ルータ、スイッチ、ゲームコンソール、メディアデバイス、パワーデバイス、プリンタ、プリントサーバ、プロキシサーバ、リモート管理サーバ、セキュリティその他サーバ、専用サーバ、ストレージその他サーバ、電気通信その他サーバ、端末サーバ、ボイス・オーバ・インターネット・プロトコル（Voice over Internet Protocol、voip）アダプタ、voip電話、ネットワークカメラ、電話、及び端末を含むが、それらには限定されない。任意選択的に、「デバイスタイプ」は、複数のレベルのカテゴリ及びサブカテゴリにさらに分類され得る。2レベルのデバイスタイプが一例として使用される。デバイスタイプは、「ゲートウェイ／ネットワークデバイスカテゴリ」、「スタンドアロンデバイスカテゴリ」、及び「パーソナルデバイスカテゴリ」の3つのカテゴリに分類される。「ゲートウェイ／ネットワークデバイスカテゴリ」は、ブリッジ、ブロードバンドルータ、ファイアウォール、ハブ、ロードバランサ、ルータ、及びスイッチをさらに含む。「スタンドアロンデバイスカテゴリ」は、ゲームコンソール、メディアデバイス、パワーデバイス、プリンタ、プリントサーバ、プロキシサーバ、リモート管理サーバ、セキュリティその他サーバ、専用サーバ、ストレージその他サーバ、電気通信その他サーバ、端末サーバ、ボイス・オーバ・インターネット・プロトコル（Voice over Internet Protocol、voip）アダプタ、voip電話、及びネットワークカメラをさらに含む。「パーソナルデバイスカテゴリ」は、電話及び端末を含む。

【0039】

たとえば、図3は本出願のこの実施形態に係るネットワークセキュリティ保護方法が適用可能な他のシナリオの概略図である。保護デバイス100は、サードパーティーサーバ200にクエリ要求を送信し、クエリ要求は送信元IPアドレス（10．10．10．11）を含む、と仮定される。サードパーティーサーバ200がクエリ要求を受信した後、サードパーティーサーバ200は、送信元IPアドレス（10．10．10．11）に対応するデバイスタイプ（端末）をクエリし、送信元IPアドレス（10．10．10．11）に対応するデバイスタイプ（端末）を保護デバイス100に送信する。

【0040】

たとえば、サードパーティーサーバ200は、Shodanサーバである。Shodanサーバは、API ’’https：／／api．shodan．io／’’を介してサービスを提供する。保護デバイス100は、API URL：https：／／api．shodan．io／shodan／host／｛ip｝？key＝｛YOUR＿API＿KEY｝をRequest要求を使用することによって呼び出し、ここでIPアドレス（10．10．10．11）が｛ip｝に書き込まれる。保護デバイス100は、Shodanサーバによって返されたJSONデータを受信し、対応するデバイスタイプ情報を記述するフィールドdevicetypeを得るためにそのJSONデータを解析し、そのフィールドdevicetypeの内容から’’terminal’’を取得する。言い換えれば、IPアドレス（10．10．10．11）に対応するデバイスタイプは端末である。

【0041】

第2の方式では、送信元IPアドレスに対応する第1のデバイスタイプは、オープンソースのスキャニングソフトウェアを使用することによって決定される。具体的には、オープンソースのスキャニングソフトウェアは、Nmap、Masscan、IVREなどであり得る。

【0042】

たとえば、図4は本出願のこの実施形態に係るネットワークセキュリティ保護方法が適用可能な他のシナリオの概略図である。オープンソースのスキャニングソフトウェアAが保護デバイス100にプリインストールされていると仮定される。保護デバイス100は、送信元IPアドレス（10．10．10．11）をオープンソースのスキャニングソフトウェアAに入力し得、オープンソースのスキャニングソフトウェアAは、送信元IPアドレス（10．10．10．11）に対応するデバイスタイプ（端末）を出力する。

【0043】

オープンソースのスキャニングソフトウェアIVREが一例として使用される。保護デバイス100は、コマンド’’ivre runscans－－network 10．10．10．11－－output＝XMLFork’’を使用することによって、IPアドレス（10．10．10．11）をスキャンするようにIVREに命令する。IVREは、スキャン結果データをMongoDBデータベースに格納する。スキャン結果データは、フィールド’’service＿devicetype’’を含み、IPアドレス（10．10．10．11）に対応するデバイスタイプがそのフィールドに格納される。保護デバイス100は、IPアドレス（10．10．10．11）に対応するデバイスタイプを得るためにMongoDBデータベースにクエリを行う。

【0044】

任意選択的に、「第1のデバイスタイプに対応する第1のサービスタイプを決定するステップ」について、デバイスタイプとサービスタイプとの間のマッピング関係は事前に確立され得、デバイスタイプとサービスタイプとの間のマッピング関係は保護デバイスに格納される。保護デバイスは、デバイスタイプとサービスタイプとの間のマッピング関係に基づいて、第1のデバイスタイプに対応する第1のサービスタイプを決定し得る。

【0045】

たとえば、表1は、デバイスタイプとサービスタイプとの間のマッピング関係の表である。表1から、各デバイスタイプは少なくとも1つのサービスタイプに対応することが分かり得る。任意選択的に、サービスタイプは、ウェブサイトアクセス、端末（携帯電話）ゲーム、ビデオ／オーディオインスタントメッセージング、モノのインターネット（Internet of Things、IOT）制御、APIサービス（たとえば、前述のShodanサービス）などを含むが、それらには限定されない。直感的かつ理解しやすいように、本出願のこの実施形態では、サービスタイプC1～サービスタイプC4、サービスタイプD1～サービスタイプD3、及びサービスタイプE1～サービスタイプE5は、異なるサービスタイプを示すために使用される。

【0046】

【表1】

【0047】

S103：宛先IPアドレスに対応する第2のデバイス属性情報を決定する。

【0048】

第2のデバイス属性情報は、第2のデバイスタイプ及び第2のサービスタイプを含み、第2のデバイスタイプは、第1のサーバにアクセスすることを許されたデバイスタイプであり、第2のサービスタイプは、第1のサーバによって提供されるサービスのサービスタイプである。

【0049】

S103では、保護デバイスは、複数のサービスサーバ（B1、B2、．．．、Bm）によって提供される情報に基づいて、宛先IPアドレスと、サービスサーバにアクセスすることを許されたデバイスタイプと、サービスサーバのサービスタイプとの間のマッピング関係を事前に確立し得る。次いで、マッピング関係に基づいて、宛先IPアドレスに対応するデバイスタイプ及びサービスタイプが決定される。

【0050】

たとえば、表2は、宛先IPアドレスと、デバイスタイプと、サービスタイプとの間のマッピング関係の表である。

【0051】

【表2】

【0052】

たとえば、図1及び表2を参照すると、保護デバイス100が、表2に基づいて、宛先IPアドレス（20．20．20．21）に対応するデバイスタイプは端末、電話、及びゲームコンソールを含み、対応するサービスタイプはサービスタイプD1である、と決定すると仮定される。端末、電話、及びゲームコンソールは、サービスサーバB1にアクセスすることを許されたデバイスタイプであり、サービスタイプD1は、サーバB1によって提供されるサービスのサービスタイプである。

【0053】

S104：第1のデバイス属性情報が第2のデバイス属性情報と一致するとき、第1のデータフローを転送する。

【0054】

S105：第1のデバイス属性情報が第2のデバイス属性情報と一致しないとき、第1のデータフローをブロックする。

【0055】

保護デバイスが第1のデバイス属性情報及び第2のデバイス属性情報を得た後、保護デバイスは、第1のデバイス属性情報が第2のデバイス属性情報と一致するかどうかを判定する。第1のデバイス属性情報が第2のデバイス属性情報と一致する場合、それは第1の電子デバイスが第1のサーバの要件を満たすことを示す。したがって、第1のデータフローはセキュアであり、保護デバイスは、第1のデータフローを転送する。

【0056】

たとえば、図1、表1、及び表2を参照して、保護デバイス100が、送信元IPアドレス（10．10．10．11）に対応するデバイスタイプは端末であると決定し、表1を使用して、端末であるデバイスタイプに対応するサービスタイプは、サービスタイプC1、サービスタイプC2、サービスタイプC3、及びサービスタイプC4を含むと決定する、と仮定される。これは、電子デバイスA1のデバイスタイプは端末であり、端末によってアクセスされることができるサービスタイプは、サービスタイプC1、サービスタイプC2、サービスタイプC3、及びサービスタイプC4を含むことを示す。

【0057】

保護デバイス100が、表2を使用して、宛先IPアドレス（20．20．20．21）に対応するデバイスタイプは端末、電話、及びゲームコンソールを含み、及び対応するサービスタイプはサービスタイプD1である、と決定すると仮定される。これは、サービスサーバB1にアクセスすることを許されたデバイスタイプは、端末、電話、及びゲームコンソールであり、サービスサーバB1のサービスタイプはサービスタイプD1である、ということを示している。

【0058】

保護デバイス100は、電子デバイスA1のデバイスタイプ（端末）が、サービスサーバB1へアクセスすることを許されているデバイスタイプ（端末、電話、及びゲームコンソール）と一致すると決定し、電子デバイスA1によってアクセスされることができるサービスタイプ（サービスタイプC1、サービスタイプC2、サービスタイプC3、及びサービスタイプC4）がサービスサーバB1のサービスタイプ（サービスタイプD1）と一致しないと決定する。したがって、保護デバイス100は、データフローX1をブロックする。

【0059】

前述のように、第1のデバイス属性情報は第1のデバイスタイプ及び第1のサービスタイプを含み、第2のデバイス属性情報は第2のデバイスタイプ及び第2のサービスタイプを含む。「第1のデバイス属性情報が第2のデバイス属性情報と一致する」というのは複数のケースを含み、以下ではそれらのケースを個々に説明する。

【0060】

第1のケースでは、第1のデバイスタイプは第2のデバイスタイプと同じであり、第1のサービスタイプは第2のサービスタイプと同じである。

【0061】

たとえば、第1のデバイスタイプはデバイスタイプG1であり、第2のデバイスタイプはデバイスタイプG1であり、第1のサービスタイプはサービスタイプH1であり、第2のサービスタイプはサービスタイプH1である。

【0062】

第2のケースでは、第1のデバイスタイプは第2のデバイスタイプと同じであり、第1のサービスタイプは第2のサービスタイプを含む。

【0063】

たとえば、第1のデバイスタイプはデバイスタイプG1であり、第2のデバイスタイプはデバイスタイプG1であり、第1のサービスタイプはサービスタイプH1及びサービスタイプH2を含み、第2のサービスタイプはサービスタイプH1である。

【0064】

第3のケースでは、第1のデバイスタイプは第2のデバイスタイプと同じであり、第2のサービスタイプは第1のサービスタイプを含む。

【0065】

たとえば、第1のデバイスタイプはデバイスタイプG1であり、第2のデバイスタイプはデバイスタイプG1であり、第2のサービスタイプはサービスタイプH1及びサービスタイプH2を含み、第1のタイプはサービスタイプH1である。

【0066】

第4のケースでは、第1のデバイスタイプは第2のデバイスタイプを含み、第1のサービスタイプは第2のサービスタイプと同じである。

【0067】

たとえば、第1のデバイスタイプはデバイスタイプG1及びデバイスタイプG2を含み、第2のデバイスタイプはデバイスタイプG1であり、第1のサービスタイプはサービスタイプH1であり、第2のサービスタイプはサービスタイプH1である。

【0068】

第5のケースでは、第1のデバイスタイプは第2のデバイスタイプを含み、第1のサービスタイプは第2のサービスタイプを含む。

【0069】

たとえば、第1のデバイスタイプはデバイスタイプG1及びデバイスタイプG2を含み、第2のデバイスタイプはデバイスタイプG1であり、第1のサービスタイプはサービスタイプH1及びサービスタイプH2を含み、第2のサービスタイプはサービスタイプH1である。

【0070】

第6のケースでは、第1のデバイスタイプは第2のデバイスタイプを含み、第2のサービスタイプは第1のサービスタイプを含む。

【0071】

たとえば、第1のデバイスタイプはデバイスタイプG1及びデバイスタイプG2を含み、第2のデバイスタイプはデバイスタイプG1であり、第2のサービスタイプはサービスタイプH1及びサービスタイプH2を含み、第1のサービスタイプはサービスタイプH1である。

【0072】

第7のケースでは、第2のデバイスタイプは第1のデバイスタイプを含み、第1のサービスタイプは第2のサービスタイプと同じである。

【0073】

たとえば、第2のデバイスタイプはデバイスタイプG1及びデバイスタイプG2を含み、第1のデバイスタイプはデバイスタイプG1であり、第1のサービスタイプはサービスタイプH1であり、第2のサービスタイプはサービスタイプH1である。

【0074】

第8のケースでは、第2のデバイスタイプは第1のデバイスタイプを含み、第1のサービスタイプは第2のサービスタイプを含む。

【0075】

たとえば、第2のデバイスタイプはデバイスタイプG1及びデバイスタイプG2を含み、第1のデバイスタイプはデバイスタイプG1であり、第1のサービスタイプはサービスタイプH1及びサービスタイプH2を含み、第2のサービスタイプはサービスタイプH1である。

【0076】

第9のケースでは、第2のデバイスタイプは第1のデバイスタイプを含み、第2のサービスタイプは第1のサービスタイプを含む。

【0077】

たとえば、第2のデバイスタイプはデバイスタイプG1及びデバイスタイプG2を含み、第1のデバイスタイプはデバイスタイプG1であり、第2のサービスタイプはサービスタイプH1及びサービスタイプH2を含み、第1のサービスタイプはサービスタイプH1である。

【0078】

第1のケース、第3のケース、第7のケース、及び第9のケースは、第1のデバイスタイプが第2のデバイスタイプのサブセットであり、第1のサービスタイプが第2のサービスタイプのサブセットであるとして理解され得る。

【0079】

第1のケース、第2のケース、第4のケース、及び第5のケースは、第2のデバイスタイプが第1のデバイスタイプのサブセットであり、第2のサービスタイプが第1のサービスタイプのサブセットであるとして理解され得る。

【0080】

第1のケース、第2のケース、第7のケース、及び第8のケースは、第1のデバイスタイプが第2のデバイスタイプのサブセットであり、第2のサービスタイプが第1のサービスタイプのサブセットであるとして理解され得る。

【0081】

第1のケース、第3のケース、第4のケース、及び第6のケースは、第2のデバイスタイプが第1のデバイスタイプのサブセットであり、第1のサービスタイプが第2のサービスタイプのサブセットであるとして理解され得る。

【0082】

図2に示される実施形態では、本出願のこの実施形態で提供されるネットワークセキュリティ保護方法に従って、第1のデータフロー内の送信元IPアドレス及び宛先IPアドレスが得られる。次いで、送信元IPアドレスに対応する第1のデバイス属性情報及び宛先IPアドレスに対応する第2のデバイス属性情報が決定される。最後に、第1のデバイス属性情報が第2のデバイス属性情報と一致するかどうかに基づいて、第1のデータフローを転送又はブロックすることが決定される。本出願のこの実施形態の核心は、第1の電子デバイスのデバイスタイプが第1のサーバへアクセスすることを許されたデバイスタイプと一致するかどうかを判定し、第1のデバイスタイプによってアクセスされることができるサービスタイプが第1のサーバのサービスタイプと一致するかどうかを判定することである。デバイスタイプが一致し、かつサービスタイプが一致する場合、それは、第1の電子デバイスが第1のサーバの要件を満たすことを示す。言い換えれば、第1のデータフローはセキュアであるか、又は第1のデータフローは非攻撃的なデータフローである。したがって、第1のデータフローは転送される。デバイスタイプが一致しないか又はサービスタイプが一致しない場合、それは、第1の電子デバイスが第1のサーバの要件を満たしていないことを示す。言い換えれば、第1のデータフローは非セキュアであるか、又は第1のデータフローは攻撃的なデータフローである。したがって、第1のデータフローはブロックされる必要がある。したがって、本出願のこの実施形態で提供される解決策によれば、電子デバイスによって送信されたデータフローが攻撃的であるかどうかが正確に識別されることができ、攻撃的なデータフローがブロックされることができ、その結果、セキュアなデータフローがサービスサーバに入る。したがって、本出願のこの実施形態で提供される解決策の保護精度は比較的高い。

【0083】

図5は、本出願の一実施形態に係る他のネットワークセキュリティ保護方法のフローチャートである。図5に示される方法は、ステップS201～S209を含み得る。任意選択的に、図5に示されるネットワークセキュリティ保護方法は、図1の保護デバイス100によって行われる。

【0084】

S201：第1のデータフローを受信する。

【0085】

S201の具体的な実装態様については、図2に示される実施形態におけるS101の説明を参照されたい。

【0086】

S202：第1のデータフロー内の宛先IPアドレスに対応する検出識別子を決定する。

【0087】

検出識別子は、第1の識別子又は第2の識別子であり、第1の識別子は、第1のサーバが現在攻撃されていることを示すために使用され、第2の識別子は、第1のサーバが現在攻撃されていないことを示すために使用される。

【0088】

たとえば、図1を参照すると、保護デバイス100は、複数のサービスサーバ（B1、B2、．．．、Bm）の稼働状態をモニタリングする。具体的には、保護デバイス100は、複数のサービスサーバ（B1、B2、．．．、Bm）のそれぞれのリソース使用率、たとえば、中央処理装置（CPU、central processing unit）使用率、メモリ使用率、及び帯域幅使用率をモニタリングし得る。サービスサーバB1がハッカーによって攻撃されていないとき、サービスサーバB1のリソース使用率は20％～50％の範囲であり、サービスサーバB1はIPアドレス（20．20．20．21）及び第2の識別子を保護デバイス100に送信する、と仮定される。サービスサーバB1がハッカーによって攻撃されているとき、サービスサーバB1のリソース使用率は60％～80％の範囲であり、サービスサーバB1はIPアドレス（20．20．20．21）及び第1の識別子を保護デバイス100に送信する、と仮定される。

【0089】

具体的には、保護デバイス100は、複数のサービスサーバ（B1、B2、．．．、Bm）のそれぞれに同時にアクセスするIPアドレスの数、すなわち、各サーバに同時にアクセスする異なるIPアドレスの数をさらにモニタリングし得る。サービスサーバB1がハッカーによって攻撃されていないとき、サービスサーバB1に同時にアクセスするIPアドレスの数は100，000～200，000の範囲であり、サービスサーバB1はIPアドレス（20．20．20．21）及び第2の識別子を保護デバイス100に送信する、と仮定される。サービスサーバB1がハッカーによって攻撃されているとき、サービスサーバB1に同時にアクセスするIPアドレスの数は300，000～400，000の範囲であり、サービスサーバB1はIPアドレス（20．20．20．21）及び第1の識別子を保護デバイス100に送信する、と仮定される。

【0090】

複数のサービスサーバ（B1、B2、．．．、Bm）は、複数のサービスサーバ（B1、B2、．．．、Bm）にアクセスするIPアドレス及び検出識別子を保護デバイス100に定期的に送信し得、保護デバイス100は、複数のサービスサーバ（B1、B2、．．．、Bm）のそれぞれによって送信されたIPアドレス及び検出識別子を格納し得る。

【0091】

たとえば、表3は、宛先IPアドレスと検出識別子との間のマッピング関係の表である。表3に示されるデータの1行目は、サービスサーバB1によって保護デバイス100に送信されるデータであると仮定される。言い換えれば、サービスサーバB1が現在攻撃されていることを示す。表3に示されるデータの2行目は、サービスサーバB2によって保護デバイス100に送信されるデータであると仮定される。言い換えれば、サービスサーバB2が現在攻撃されていないことを示す。

【0092】

【表3】

【0093】

任意選択的に、保護デバイス100は、他の方式で、複数のサービスサーバ（B1、B2、．．．、Bm）のそれぞれが攻撃されているかどうかを判定する。たとえば、保護デバイス100は、各サービスサーバにテストパケットを送信し、対応する応答パケットを受信する。保護デバイス100は、テストパケットが送信された時間と応答パケットが受信された時間との間の時間差を計算し、その時間差と所定の遅延閾値との比較結果に基づいて、サービスサーバが攻撃されているかどうかを判定する。たとえば、保護デバイス100は、テストパケットをサービスサーバB1に送信し、サーバB1によって返された対応する応答パケットを受信する。保護デバイス100は、計算によって、テストパケットが送信された時間と応答パケットが受信された時間との間の時間差が0．05秒（second）であることを得る。所定の遅延閾値は0．8sである。このケースでの時間差は所定の遅延閾値未満であるため、保護デバイス100は、サーバB1が現在攻撃されていないと決定し、サーバB1が第2の識別子に対応すると、さらに決定する。他の例として、保護デバイス100は、テストパケットをサービスサーバB2に送信し、サーバB2によって返された対応する応答パケットを受信する。保護デバイス100は、計算によって、テストパケットが送信された時間と応答パケットが受信された時間との間の時間差が1sであることを得る。このケースでの時間差は所定の遅延閾値よりも大きいので、保護デバイス100は、サーバB2が現在攻撃されていると決定し、サーバB2が第1の識別子に対応する、とさらに決定する。

【0094】

サーバが攻撃されているかどうかを保護デバイス100が決定する前述の2つの列挙された方式に加えて、保護デバイス100は、本明細書では1つずつ列挙されていない他の決定方式を代替的に使用してもよい。

【0095】

S203：宛先IPアドレスに対応する検出識別子が第1の識別子であるか第2の識別子であるかを判定し、宛先IPアドレスに対応する検出識別子が第1の識別子であるときS204を行い、又は宛先IPアドレスに対応する検出識別子が第2の識別子であるときS208を行う。

【0096】

図5に示される実施形態において、S202及びS203は任意選択的なステップである。S202及びS203では、宛先IPアドレスに対応する検出識別子が第1の識別子であるとき、それは第1のサーバが現在攻撃されていることを示す。したがって、送信元IPアドレスに対応するリスク値が決定される必要がある。宛先IPアドレスに対応する検出識別子が第2の識別子であるとき、それは第1のサーバが現在攻撃されていないことを示す。したがって、第1のデータフローが攻撃的なデータフローであるかどうかが検出される必要はなく、第1のデータフローは直接転送され得、第1のデータフローが攻撃的なデータフローであるかどうかを検出するステップは省略される。このようにして、保護デバイスの処理リソースが低減され、第1のデータフローが攻撃的なデータフローであるかどうかを検出することによって生じる伝送遅延が低減され、サービス応答適時性が改善される。

【0097】

S204：送信元IPアドレスに対応するリスク値が第1のリスク範囲内にあるか第2のリスク範囲内にあるかを判定し、送信元IPアドレスに対応するリスク値が第1のリスク範囲内にある場合はS209を行い、又は送信元IPアドレスに対応するリスク値が第2のリスク範囲内にある場合はS205を行う。

【0098】

第1のリスク範囲におけるリスク値によって示されるリスクはすべて、第2のリスク範囲におけるリスク値によって示されるリスクよりも高い。第1のリスク範囲と第2のリスク範囲との間には2つの関係がある。第1の関係は、第1のリスク範囲における最小値が第2のリスク範囲における最大値よりも大きいことであり、第2の関係は、第2のリスク範囲における最小値が第1のリスク範囲における最大値よりも大きいことである。

【0099】

たとえば、第1のリスク範囲における最小値が第2のリスク範囲における最大値よりも大きいときは、リスク値が大きいほどリスクが高いことを示し、リスク値が小さいほどリスクが低いことを示す、と仮定される。このケースでは、第1のリスク範囲におけるリスク値は6～10の範囲の整数に設定され得、第2のリスク範囲におけるリスク値は1～5の範囲の整数に設定され得る。第1のリスク範囲における最小値’’6’’は、第2のリスク範囲における最大値’’5’’よりも大きく、第1のリスク範囲におけるリスク値（6～10の範囲の整数）によって示されるリスクはすべて、第2のリスク範囲におけるリスク値（1～5の範囲の整数）によって示されるリスクよりも高い。

【0100】

たとえば、第2のリスク範囲における最小値が第1のリスク範囲における最大値よりも大きいときは、リスク値が大きいほどリスクが低いことを示し、リスク値が小さいほどリスクが高いことを示す、と仮定される。このケースでは、第1のリスク範囲におけるリスク値は1～5の範囲の整数に設定され得、第2のリスク範囲におけるリスク値は6～10の範囲の整数に設定され得る。第2のリスク範囲における最小値’’6’’は、第1のリスク範囲における最大値’’5’’よりも大きく、第1のリスク範囲におけるリスク値（1～5の範囲の整数）によって示されるリスクはすべて、第2のリスク範囲におけるリスク値（6～10の範囲の整数）によって示されるリスクよりも高い。

【0101】

送信元IPアドレスに対応するリスク値は、過去の期間内のそのIPアドレスによるサービスサーバへの攻撃に基づいて決定される。

【0102】

たとえば、リスク値が大きいほどリスクが高いことを示し、リスク値が小さいほどリスクが低いことを示す、と仮定される。過去の期間内に送信元IPアドレスAがサービスサーバを頻繁に攻撃している場合、送信元IPアドレスAのリスク値は増やされ得る。他の例として、過去の期間内に送信元IPアドレスAがサービスサーバをあまり頻繁に攻撃していない場合、IPアドレスAのリスク値は減らされ得る。他の例として、過去の期間内に送信元IPアドレスAがサービスサーバを攻撃していない場合、IPアドレスAのリスク値は最小値に設定され得る。

【0103】

他の例として、リスク値が大きいほどリスクが低いことを示し、リスク値が小さいほどリスクが高いことを示す、と仮定される。過去の期間内に送信元IPアドレスAがサービスサーバを頻繁に攻撃している場合、送信元IPアドレスAのリスク値は減らされ得る。他の例として、過去の期間内に送信元IPアドレスAがサービスサーバをあまり頻繁に攻撃していない場合、IPアドレスAのリスク値は増やされ得る。他の例として、過去の期間内に送信元IPアドレスAがサービスサーバを攻撃していない場合、IPアドレスAのリスク値は最大値に設定され得る。

【0104】

送信元IPアドレスに対応するリスク値が第1のリスク範囲内にある場合、それは送信元IPアドレスが第1のサーバを攻撃する可能性がより高いことを示す。言い換えれば、第1のデータフローは、比較的危険なデータフローである。このケースでは、保護デバイスは、第1のデータフローをブロックする。送信元IPアドレスに対応するリスク値が第2のリスク範囲内にある場合、それは送信元IPアドレスが第1のサーバを攻撃する可能性がより低いことを示す。言い換えれば、第1のデータフローは比較的危険なデータフローではないが、第1のデータフローはセキュアと見なされることはできない。したがって、保護デバイスは、第1のデータフローが攻撃的であるかどうかを検出することを続ける。

【0105】

図5に示される実施形態において、S204は任意選択的なステップである。S204では、送信元IPアドレスに対応するリスク値が第1のリスク範囲内にあるとき、それは送信元IPアドレスが第1のサーバを攻撃する可能性がより高いことを示す。したがって、保護デバイスは、第1のデータフローによって第1のサーバが攻撃されるのを防止するために、第1のデータフローをブロックする。送信元IPアドレスに対応するリスク値が第2のリスク範囲内にあるとき、それは送信元IPアドレスが第1のサーバを攻撃する可能性がより低いことを示すが、第1のデータフローがセキュアであると見なされることはできない。したがって、保護デバイスは、第1のデータフローが攻撃的であるかどうかを検出することを続ける。第1のデータフローが攻撃的であると決定された場合、第1のデータフローによって第1のサーバが攻撃されるのを防止するために、第1のデータフローはブロックされ得る。

【0106】

S205：送信元IPアドレスに対応する第1のデバイス属性情報を決定する。

【0107】

S205の具体的な実装態様については、図2に示される実施形態におけるS102の説明を参照されたい。

【0108】

S206：宛先IPアドレスに対応する第2のデバイス属性情報を決定する。

【0109】

S206の具体的な実装態様については、図2に示される実施形態におけるS103の説明を参照されたい。

【0110】

S207：第1のデバイス属性情報が第2のデバイス属性情報と一致するかどうかを判定し、第1のデバイス属性情報が第2のデバイス属性情報と一致する場合、S208を行い、一方、第1のデバイス属性情報が第2のデバイス属性情報と一致しない場合、S209を行う。

【0111】

S208：第1のデータフローを転送する。

【0112】

S209：第1のデータフローをブロックする。

【0113】

任意選択的に、S207～S209の具体的な実施態様については、図2に示される実施形態のS104及びS105の説明を参照されたい。

【0114】

図6は、本出願の一実施形態に係る他のネットワークセキュリティ保護方法のフローチャートである。図6に示される方法は、ステップS301～S307を含み得る。任意選択的に、図6に示されるネットワークセキュリティ保護方法は、図1の保護デバイス100によって行われる。

【0115】

S301：第1のデータフローを受信する。

【0116】

S301の具体的な実装態様については、図2に示される実施形態におけるS101の説明を参照されたい。

【0117】

S302：送信元IPアドレスに対応するリスク値が第1のリスク範囲内にあるか第2のリスク範囲内にあるかを判定し、送信元IPアドレスに対応するリスク値が第1のリスク範囲内にある場合はS307を行い、又は送信元IPアドレスに対応するリスク値が第2のリスク範囲内にある場合はS303を行う。

【0118】

S302の具体的な実装態様については、図5に示される実施形態におけるS204の説明を参照されたい。

【0119】

図6に示される実施形態において、S302は任意選択的なステップである。S302では、送信元IPアドレスに対応するリスク値が第1のリスク範囲内にあるとき、それは送信元IPアドレスが第1のサーバを攻撃する可能性がより高いことを示す。したがって、保護デバイスは、攻撃を防止する適時性を改善するために、第1のデータフローを直接ブロックし、第1のデータフローが攻撃的であるかどうかを検出するステップを省略する。送信元IPアドレスに対応するリスク値が第2のリスク範囲内にあるとき、それは送信元IPアドレスが第1のサーバを攻撃する可能性がより低いことを示すが、第1のデータフローがセキュアであると見なされることはできない。したがって、保護デバイスは、第1のデータフローが攻撃的であるかどうかを検出することを続ける。第1のデータフローが攻撃的であると決定された場合、第1のデータフローによって第1のサーバが攻撃されるのを防止するために、第1のデータフローはブロックされ得る。

【0120】

S303：送信元IPアドレスに対応する第1のデバイス属性情報を決定する。

【0121】

S303の具体的な実装態様については、図2に示される実施形態におけるS102の説明を参照されたい。

【0122】

S304：宛先IPアドレスに対応する第2のデバイス属性情報を決定する。

【0123】

S304の具体的な実装態様については、図2に示される実施形態におけるS103の説明を参照されたい。

【0124】

S305：第1のデバイス属性情報が第2のデバイス属性情報と一致するかどうかを判定し、第1のデバイス属性情報が第2のデバイス属性情報と一致する場合、S306を行い、一方、第1のデバイス属性情報が第2のデバイス属性情報と一致しない場合、S307を行う。

【0125】

S306：第1のデータフローを転送する。

【0126】

S307：第1のデータフローをブロックする。

【0127】

任意選択的に、S305～S307の具体的な実施態様については、図2に示される実施形態のS104及びS105の説明を参照されたい。

【0128】

図7は、本出願の一実施形態に係る他のネットワークセキュリティ保護方法のフローチャートである。図7に示される方法は、ステップS401～S408を含み得る。任意選択的に、図7に示されるネットワークセキュリティ保護方法は、図1の保護デバイス100によって行われる。

【0129】

S401：第1のデータフローを受信する。

【0130】

S401の具体的な実装態様については、図2に示される実施形態におけるS101の説明を参照されたい。

【0131】

S402：第1のデータフロー内の宛先IPアドレスに対応する検出識別子を決定する。

【0132】

S402の具体的な実装態様については、図5に示される実施形態におけるS202の説明を参照されたい。

【0133】

S403：宛先IPアドレスに対応する検出識別子が第1の識別子であるか第2の識別子であるかを判定し、宛先IPアドレスに対応する検出識別子が第1の識別子であるときS404を行い、又は宛先IPアドレスに対応する検出識別子が第2の識別子であるときS407を行う。

【0134】

S403の具体的な実装態様については、図5に示される実施形態におけるS203の説明を参照されたい。

【0135】

図7に示される実施形態において、S403は任意選択的なステップである。S403では、宛先IPアドレスに対応する検出識別子が第1の識別子であるとき、それは第1のサーバが現在攻撃されていることを示す。したがって、第1のデータフローが攻撃的なデータフローであるかどうかが検出される必要がある。第1のデータフローが攻撃的であると決定された場合、第1のデータフローによって第1のサーバが攻撃されるのを防止するために、第1のデータフローはブロックされ得る。宛先IPアドレスに対応する検出識別子が第2の識別子であるとき、それは第1のサーバが現在攻撃されていないことを示す。したがって、第1のデータフローが攻撃的なデータフローであるかどうかが検出される必要はなく、第1のデータフローは直接転送され得、第1のデータフローが攻撃的なデータフローであるかどうかを検出するステップは省略される。このようにして、保護デバイスの処理リソースが低減され、第1のデータフローが攻撃的なデータフローであるかどうかを検出することによって生じる伝送遅延が低減され、サービス応答適時性が改善される。

【0136】

S404：送信元IPアドレスに対応する第1のデバイス属性情報を決定する。

【0137】

S404の具体的な実装態様については、図2に示される実施形態におけるS102の説明を参照されたい。

【0138】

S405：宛先IPアドレスに対応する第2のデバイス属性情報を決定する。

【0139】

S405の具体的な実装態様については、図2に示される実施形態におけるS103の説明を参照されたい。

【0140】

S406：第1のデバイス属性情報が第2のデバイス属性情報と一致するかどうかを判定し、第1のデバイス属性情報が第2のデバイス属性情報と一致する場合、S407を行い、一方、第1のデバイス属性情報が第2のデバイス属性情報と一致しない場合、S408を行う。

【0141】

S407：第1のデータフローを転送する。

【0142】

S408：第1のデータフローをブロックする。

【0143】

任意選択的に、S406～S408の具体的な実施態様については、図2に示される実施形態におけるS104及びS105の説明を参照されたい。

【0144】

図8は、本出願の一実施形態に係る他のネットワークセキュリティ保護方法のフローチャートである。図8に示される方法は、ステップS501～S504を含み得る。任意選択的に、図8に示されるネットワークセキュリティ保護方法は、図1の保護デバイス100によって行われる。

【0145】

S501：第1のデータフローを受信する。

【0146】

S501の具体的な実装態様については、図2に示される実施形態におけるS101の説明を参照されたい。

【0147】

S502：送信元IPアドレスに対応するリスク値が第1のリスク範囲内にあるか第2のリスク範囲内にあるかを判定し、送信元IPアドレスに対応するリスク値が第1のリスク範囲内にある場合はS503を行い、又は送信元IPアドレスに対応するリスク値が第2のリスク範囲内にある場合はS504を行う。

【0148】

S502の具体的な実装態様については、図5に示される実施形態におけるS204の説明を参照されたい。

【0149】

図8に示される実施形態において、S502は任意選択的なステップである。S502では、送信元IPアドレスに対応するリスク値が第1のリスク範囲内にあるとき、それは送信元IPアドレスが第1のサーバを攻撃する可能性がより高いことを示す。したがって、保護デバイスは、第1のデータフローによって第1のサーバが攻撃されるのを防止するために、第1のデータフローをブロックする。送信元IPアドレスに対応するリスク値が第2のリスク範囲内にあるとき、それは送信元IPアドレスが第1のサーバを攻撃する可能性がより低いことを示すが、第1のデータフローがセキュアであると見なされることはできない。したがって、保護デバイスは、第1のデータフローが攻撃的であるかどうかを検出することを続ける。第1のデータフローが攻撃的であると決定された場合、第1のデータフローによって第1のサーバが攻撃されるのを防止するために、第1のデータフローはブロックされ得る。

【0150】

S503：第1のデータフローをブロックする。

【0151】

S504：送信元IPアドレス及び宛先IPアドレスに基づいて、第1のデータフローを転送又はブロックすることを決定する。

【0152】

任意選択的に、S504は図7に示されるS402～S408を含むので、S504の具体的な実施態様については、図7に示されるS402～S408を参照されたい。

【0153】

これに対応して、本出願の一実施形態は、前述の実施形態で提供されたネットワークセキュリティ保護方法を行うように構成された保護デバイスを提供する。図9は、本出願の一実施形態に係る保護デバイスの構造の概略図である。任意選択的に、図9に示される保護デバイスは、図1、図3、及び図4に示される適用シナリオにおける保護デバイス100である。保護デバイスは、プロセッサ131と、メモリ132と、ネットワークインターフェース133とを含む。

【0154】

プロセッサ131は1又は複数のCPUであり得、CPUは、シングルコアCPU又はマルチコアCPUであり得る。

【0155】

メモリ132は、ランダムアクセスメモリ（random access memory、RAM）、読み出し専用メモリ（Read only Memory、ROM）、消去可能プログラマブル読み出し専用メモリ（erasable programmable read－only memory、EPROM）、フラッシュメモリ、又は光学メモリなどを含むが、それらには限定されない。メモリ132は、オペレーティングシステムのコードを格納する。

【0156】

ネットワークインターフェース133は、有線インターフェース、たとえば、光ファイバ分散データインターフェース（Fiber Distributed Data Interface、FDDI）、ギガビットイーサネット（Gigabit Ethernet、GE）インターフェース、であり得る。あるいは、ネットワークインターフェース133は、無線インターフェースであってもよい。ネットワークインターフェース133は、内部ネットワーク及び／又は外部ネットワークからデータフローを受信し、プロセッサ131の指示に従って内部ネットワーク内のスイッチと通信する、ように構成される。

【0157】

任意選択的に、プロセッサ131は、メモリ132に格納された命令を読み出すことによって前述の実施形態の方法を実施するか、又はプロセッサ131は、内部に格納された命令を実行することによって前述の実施形態の方法を実施し得る。プロセッサ131がメモリ132に格納された命令を読み出すことによって前述の実施形態の方法を実施するとき、メモリ132は本出願の前述の実施形態で提供される方法を実施するための命令を格納する。

【0158】

ネットワークインターフェース133は、第1のデータフローを受信するように構成される。第1のデータフローは送信元IPアドレス及び宛先IPアドレスを含み、送信元IPアドレスは第1の電子デバイスのIPアドレスであり、宛先IPアドレスは第1のサーバのIPアドレスである。

【0159】

プロセッサ131がメモリ132に格納された命令を実行した後、保護デバイスは以下の動作、すなわち、送信元IPアドレスに対応する第1のデバイス属性情報を決定するステップであって、第1のデバイス属性情報は第1のデバイスタイプ及び第1のサービスタイプを含み、第1のデバイスタイプは第1の電子デバイスのデバイスタイプであり、第1のサービスタイプは第1のデバイスタイプによってアクセスされることができるサービスタイプである、ステップと、宛先IPアドレスに対応する第2のデバイス属性情報を決定するステップであって、第2のデバイス属性情報は第2のデバイスタイプ及び第2のサービスタイプを含み、第2のデバイスタイプは第1のサーバにアクセスすることを許されたデバイスタイプであり、第2のサービスタイプは第1のサーバによって提供されるサービスのサービスタイプである、ステップと、第1のデバイス属性情報が第2のデバイス属性情報と一致するとき第1のデータフローを転送するようにネットワークインターフェース133に指示するステップ、又は第1のデバイス属性情報が第2のデバイス属性情報と一致しないとき、第1のデータフローをブロックするステップ、とを行うことを可能にされる。

【0160】

少なくとも1つのプロセッサ131は、メモリ132に格納されたいくつかの対応関係表（たとえば、前述の実施形態における表1～3）に基づいて、前述の方法実施形態で説明されたネットワークセキュリティ保護方法をさらに行う。プロセッサ131による前述の機能を実施することのより詳細については、前述の方法実施形態の説明を参照されたい。ここでは詳細は再び説明されない。

【0161】

任意選択的に、保護デバイスはバス134をさらに含む。プロセッサ131及びメモリ132は、バス134を介して互いに接続されているか、又は他の方式で互いに接続されてもよい。

【0162】

任意選択的に、保護デバイスは、入力デバイス135と出力デバイス136とをさらに含む。入力デバイス135は、保護デバイスにデータを入力するように構成され、出力デバイス136は、保護デバイスの処理結果を出力するように構成される。

【0163】

入力デバイス135は、キーボード、タッチスクリーン、マイクなどを含むが、それらには限定されない。出力デバイス136は、ディスプレイ、プリンタなどを含むが、それらには限定されない。

【0164】

図10は、本出願の一実施形態に係る他の保護デバイスの構造の概略図である。保護デバイスは、受信モジュール141と、処理モジュール142と、送信モジュール143とを含む。図10に示される保護デバイスは、シナリオにおける保護デバイス100の機能を実施するために図1に示されるシナリオで使用される。

【0165】

受信モジュール141は、第1のデータフローを受信する。第1のデータフローは送信元IPアドレス及び宛先IPアドレスを含み、送信元IPアドレスは第1の電子デバイスのIPアドレスであり、宛先IPアドレスは第1のサーバのIPアドレスである。

【0166】

処理モジュール142は、送信元IPアドレスに対応する第1のデバイス属性情報を決定し、第1のデバイス属性情報は第1のデバイスタイプ及び第1のサービスタイプを含み、第1のデバイスタイプは第1の電子デバイスのデバイスタイプであり、第1のサービスタイプは第1のデバイスタイプによってアクセスされることができるサービスタイプである、ように、及び宛先IPアドレスに対応する第2のデバイス属性情報を決定し、第2のデバイス属性情報は第2のデバイスタイプ及び第2のサービスタイプを含み、第2のデバイスタイプは第1のサーバにアクセスすることを許されたデバイスタイプであり、第2のサービスタイプは第1のサーバによって提供されるサービスのサービスタイプである、ように、及び、第1のデバイス属性情報が第2のデバイス属性情報と一致するとき第1のデータフローを転送するように送信モジュール143に指示し、又は第1のデバイス属性情報が第2のデバイス属性情報と一致しないとき、第1のデータフローをブロックする、ように構成される。

【0167】

受信モジュール141及び処理モジュール142によって実施されることができる追加の機能について、及び前述の機能を実施することに関するより詳細については、前述の方法実施形態の説明を参照されたい。詳細はここでは繰り返されない。

【0168】

図10で説明された装置実施形態は単なる例に過ぎない。たとえば、モジュール分割は単なる論理的機能分割に過ぎず、実際の実施に際しては他の分割であってもよい。たとえば、複数のモジュール又はコンポーネントが、他のシステムに組み合わされるか若しくは統合されてもよく、又は、いくつかの特徴が無視されるか若しくは行われなくてもよい。本出願の実施形態における機能モジュールは、1つの処理モジュールに統合されてもよく、又はモジュールのそれぞれが物理的に単独で存在してもよく、又は2つ以上のモジュールが1つのモジュールに統合される。図10の前述のモジュールは、ハードウェアの形態で実施されてもよく、又はソフトウェア機能ユニットの形態で実施されてもよい。たとえば、ソフトウェアが実施に使用される場合、受信モジュール141及び処理モジュール142は、図9のプロセッサ131がメモリに格納されたプログラム命令を読み出した後に生成されたソフトウェア機能モジュールによって実施され得る。図10の前述のモジュールは、ネットワークデバイス内の異なるハードウェアによって代替的に別々に実施されてもよい。たとえば、受信モジュール141は、図9のネットワークインターフェース133によって実施され、処理モジュール142は、図9のプロセッサ131内のいくつかの処理リソース（たとえば、マルチコアCPU内の他のコア）を使用して、又はプログラマブルコンポーネント、たとえばフィールドプログラマブルゲートアレイ（Field－Programmable Gate Array、FPGA）若しくはコプロセッサを使用して、実施される。前述の機能モジュールは、ソフトウェアとハードウェアとを組み合わせる方式で代替的に実施され得ることは明らかである。たとえば、受信モジュール141は、ネットワークインターフェース133によって実施され、処理モジュール142は、CPUがメモリに格納された命令を読み出した後に生成されるソフトウェア機能モジュールである。

【0169】

図10の装置によって実施されることができる他の追加の機能について、装置と他のネットワーク要素デバイスとの間のインタラクションのプロセス、装置によって実施されることができる技術的効果、並びに受信モジュール141及び処理モジュール142によって前述の機能を実施することのより詳細については、前述の方法実施形態におけるネットワークデバイスの説明を参照されたい。ここでは詳細は再び説明されない。

【0170】

本明細書の実施形態はすべて、段階的に記載されている。実施形態の同じ部分又は類似部分については、これらの実施形態を参照されたい。各実施形態は、他の実施形態との差に注目している。特に、システム実施形態は方法実施形態と基本的に同様であり、したがって、簡潔に説明されている。関連部分については、方法実施形態のいくつかの説明を参照されたい。

【0171】

当業者は、本出願の実施形態におけるさまざまな態様又はさまざまな態様の可能な実施態様がソフトウェアを使用して実施されたとき、前述のさまざまな態様又はさまざまな態様の可能な実装態様のすべて若しくは一部がコンピュータプログラム製品の形態で実施され得ることを理解し得る。コンピュータプログラム製品は、コンピュータ可読媒体に格納されたコンピュータ可読命令である。コンピュータ命令がコンピュータにロードされて実行されたとき、本出願の実施形態に係る手順又は機能が全部又は部分的に生成される。

【0172】

コンピュータ可読媒体はコンピュータ可読信号媒体又はコンピュータ可読記憶媒体であり得る。コンピュータ可読記憶媒体は、電子、磁気、光学、電磁気、赤外線、若しくは半導体のシステム、デバイス、装置、又はそれらの任意の適切な組合せを含むが、それらには限定されない。たとえば、コンピュータ可読記憶媒体は、ランダムアクセスメモリ（Random Access Memory、RAM）、読み出し専用メモリ（read only memory、ROM）、消去可能プログラマブル読み出し専用メモリ（Erasable Programmable Read Only Memory、EPROM）、又はコンパクトディスク読み出し専用メモリ（Compact Disc Read－Only Memory、CD－ROM）を含む。

【0173】

当業者が本発明の範囲から逸脱することなく本発明に対してさまざまな修正及び変形を行うことができることは明らかである。本出願は、これらの修正及び変形が以下の特許請求の範囲によって規定される保護の範囲内に入るという条件で、これらの修正及び変形を網羅するように意図される。

【符号の説明】

【0174】

100 保護デバイス
131 プロセッサ
132 メモリ
133 ネットワークインターフェース
134 バス
135 入力デバイス
136 出力デバイス
141 受信モジュール
142 処理モジュール
143 送信モジュール
200 サードパーティーサーバ

【図1】