[发明专利]一种基于白名单的网络安全防护方法

权利要求书

1.一种基于白名单的网络安全防护方法，其特征在于，包括：

步骤S1，获取由客户端向服务端发送的数据包，对所述数据包进行IP地址和端口号解析，获得所述数据包的IP地址和端口号组合向量；

步骤S2，检测所述IP地址和端口号组合向量是否符合白名单规则信息，以确定是否允许所述客户端与所述服务端通信，其中所述白名单规则信息存放于白名单数据库模块中。

2.根据权利要求1所述的网络安全防护方法，其特征在于，所述步骤S2包括：

步骤S21，判断所述IP地址和端口号组合向量是否符合所述白名单规则信息，若不符合，则执行步骤S22；反之，若符合，则执行步骤S23；

步骤S22，向所述服务端查询所述IP地址和端口号组合向量是否包含新的IP地址和端口号，若包含，则所述白名单数据库模块基于所述新的IP地址和端口号更新所述白名单规则信息，并返回所述步骤S21；

步骤S23，允许所述客户端与所述服务端通信。

3.根据权利要求2所述的网络安全防护方法，其特征在于，所述步骤S22还包括：若查询获知所述IP地址和端口号组合向量不包含新的IP地址和端口号，则判断所述数据包是否存在攻击行为，若判断所述数据包存在攻击行为，则丢弃所述数据包或者将所述数据包引入蜜罐系统；反之，若判断所述数据包不存在攻击行为，则执行所述步骤S23。

4.根据权利要求1或2所述的网络安全防护方法，其特征在于，所述IP地址和端口号组合向量包括源IP地址、目的IP地址、源端口号和目的端口号，所述IP地址和端口号组合向量符合所述白名单规则信息是指所述源IP地址和所述目的IP地址、所述源端口号和所述目的端口号均符合所述白名单规则信息。

5.根据权利要求1或2所述的网络安全防护方法，其特征在于，所述步骤S22中，所述白名单数据库模块通过对所述新的IP地址和端口号进行自学习更新所述白名单规则信息。

6.根据权利要求5所述的网络安全防护方法，其特征在于，所述白名单数据库模块包括动态白名单模块，所述白名单规则信息包括动态白名单规则信息，所述动态白名单规则信息包括可信IP地址和端口号列表，所述动态白名单模块用于建立所述动态白名单规则信息并通过自学习更新所述动态白名单规则信息。

7.根据权利要求6所述的网络安全防护方法，其特征在于，所述动态白名单模块通过构建白名单自学习模型进行自学习来更新所述动态白名单规则信息，所述动态白名单模块通过下列步骤构建所述白名单自学习模型：

步骤S31，采样正常数据包的IP地址和端口号组合向量以及异常数据包的IP地址和端口号组合向量；

步骤S32，对所述正常数据包的IP地址和端口号组合向量以及所述异常数据包的IP地址和端口号组合向量进行标注，并将标注后的IP地址和端口号组合向量作为样本集；

步骤S33，将所述样本集划分为训练集和测试集；

步骤S34，构建支持向量机，将所述训练集作为输入数据输入所述支持向量机中进行样本训练，得到所述白名单自学习模型；

步骤S35，利用所述测试集对所述白名单自学习模型进行测试，若准确率达到预定值，则输出所述白名单自学习模型；反之，若准确率未能达到预定值，则返回所述步骤S31，重新采样。

8.根据权利要求6所述的网络安全防护方法，其特征在于，所述白名单数据库模块还包括静态白名单模块，所述白名单规则信息还包括静态白名单规则信息，所述静态白名单模块用于通过管理员自定义建立所述静态白名单规则信息。

9.根据权利要求1所述的网络安全防护方法，其特征在于，所述方法利用设于所述服务端的入侵监测系统执行所述步骤S1。