一种分布式信息网络安全防护方法、系统及其可读存储介质与流程

1.本发明涉及物联网网络安全领域，尤其涉及一种分布式信息网络安全防护方法、系统及其可读存储介质。


背景技术：

2.随着云计算、物联网、人工智能、大数据等新一代信息技术的广泛应用，各行业信息化建设不断深入，关键信息基础设施成几何态势增长。规模日渐庞大、复杂的网络中，存在着海量游离于主流信息安全技术视野之外的基础设施设备，如物联网应用、智能自助终端等。传统安全解决方案对这类布局分散、数量众多的设备终端力不从心，使其成为了网络安全的薄弱环节，极易成为网络攻击的目标或跳板，影响业务系统正常运行。
3.目前，大多数物联网安全防护措施均是通过软件实现，例如设置软件防火墙、专线加密传输等。然而，这些措施存在一定的局限，对已经运行关键基础设备以及非合作设备进行统一改造升级难度大，此外，采用传统硬件防火墙本身具备ip地址，容易被扫描工具嗅探，导致防火墙本身被攻击失效，因此，现有技术中为了保证防护效果会将其设置为无ip模式，但无ip模式的集中管控和安全配置依靠传统技术很难完成，例如，cn106899616b提出了采用无ip防火墙截获数据实现安全规则配置的方式，但在实际应用时，临时加入物联网设备时需要等待防火墙管理系统手动下达探测数据包实现组网，当未手动组网或是防火墙管理系统离线时难以快速对相应防火墙进行部署继而实现安全防护。
4.另外，在具体的物联网场景中，通常会遇到女巫攻击，该方式是在通信网络中伪造多重身份，例如可以截获合法节点的位置信息，从而伪造合法身份，继而不断发送虚假的位置参考信息，严重影响物联网的信息交互安全，现有技术中，常采用基于rssi的身份认证方式，其内容主要是通过获取接收rssi信息，然后基于rssi信息计算相应发送信息设备的物理位置，将其与物理位置进行比对从而确定是否为位置伪造攻击。而上述技术存在一些缺陷，即物联网场景下其rssi的认证阈值难以合理选取的问题。
5.因此，如何在物联网中提供快速、可靠的配置部署、规则防护以及认证方式仍是一个亟待解决的问题。


技术实现要素：

6.有鉴于此，本发明提出一种分布式信息网络安全防护方法、系统及其可读存储介质。
7.本发明采用如下技术方案：
8.第一方面，本发明提供了一种分布式信息网络安全防护系统，其特征在于，包括：
9.包括若干无ip硬件防火墙、安全管控感知平台、访问控制模块、威胁检测模块和基于位置信息的认证模块，所述无ip硬件防火墙直接串联在被保护设备前方，其具备边缘计算能力，用于在网络通信中实现对数据包的过滤、拦截、分析和监控，所述安全管控感知云平台能够实现对若干无ip硬件防火墙设备的集中管控，用于实现对硬件防火墙的远程管
理、配置和安全策略更新，以及实时监控网络状态和数据流量，所述访问控制模块与所述无ip硬件防火墙耦合，用于实现对网络内部设备的访问权限控制，所述威胁检测模块与所述无ip硬件防火墙耦合，用于实时监测网络流量中的恶意行为、攻击行为以及异常行为，所述认证模块与所述无ip硬件防火墙耦合，用于对用户进行身份认证和权限验证；
10.所述无ip硬件防火墙包括多个网络接口用于连接多个网络，以及多个处理器用于并行处理多个网络数据流；所述安全管控感知云平台包括远程管理界面，用于访问无ip硬件防火墙的配置和状态信息，并进行远程管理、日志记录和审计功能；所述访问控制模块包括多个访问规则，用于限制网络访问和控制用户权限；所述威胁检测模块包括基于签名和行为的威胁检测引擎，用于检测网络攻击和异常流量；所述边缘计算能力包括本地存储和计算资源，用于在本地处理网络数据，并将处理结果发送回安全管控感知平台。
11.第二方面，本发明还提供一种分布式信息网络安全防护方法，其采用上述所述分布式信息网络安全防护系统，其特征在于，包括：
12.步骤一，部署无ip硬件防火墙：将无ip硬件防火墙直接串联在被保护设备前方，使所有发送到被保护设备的数据包都通过无ip硬件防火墙；
13.步骤二，无ip硬件防火墙获取经其传输的所有网络数据包，其解析获取的每个网络数据包，获取每个网络数据包的源ip地址、源端口、目标端口、目的ip地址、传输协议类型和数据载荷；
14.步骤三，实现无ip硬件防火墙的快速组网和安全规则配置：
15.步骤四，所述当前无ip硬件防火墙根据预设规则对每个解析出的网络数据包的协议头及有效载荷进行匹配，判断每个网络数据包是否为恶意数据包；
16.步骤五，如果网络数据包被判断为恶意数据包，则执行步骤六，否则执行步骤七，根据匹配结果判断接下来的处理动作；
17.步骤六，所述当前无ip硬件防火墙阻断网络数据包，阻止其进出网络，然后跳转执行步骤八；
18.步骤七，允许网络数据包通过，将判断为正常的数据包放行进出；
19.步骤八，持续监控网络数据包，重复执行步骤四至步骤七的逻辑过程。
20.进一步地，所述步骤三，实现无ip硬件防火墙的快速组网和安全规则配置中还包括：
21.若当前无ip硬件防火墙能够识别、处理探测数据包以正常组网，便反馈组网信息至所述安全管控感知平台，反馈成功，标识组网成功；若当前无ip硬件防火墙无法接收到组网数据包，则当前无ip硬件防火墙在网路广播组网请求数据包，当其他ip硬件防火墙截获组网请求数据包时，便发送特殊组网数据包至与当前无ip硬件防火墙串联的设备，当前无ip硬件防火墙截获特殊组网数据包进行分析、处理以正常组网，此时，再向其他无ip硬件防火墙发送临时规则请求数据包，当其他ip硬件防火墙截获所述临时规则请求数据包时，便发送所述临时安全规则配置数据包至与当前无ip硬件防火墙串联的设备，当前无ip硬件防火墙截获临时安全规则配置数据包进行分析、处理以获取临时安全规则，并且当所述安全管控感知平台重新上线时发送探测数据包，当前ip硬件防火墙反馈，标识组网成功，所述安全管控感知平台重新下发安全规则配置数据以实现当前ip硬件防火墙配置；
22.进一步地，所述当前无ip硬件防火墙根据预设规则对每个解析出的网络数据包的
协议头及有效载荷进行匹配，判断每个网络数据包是否为恶意数据包中还包括：判断每个解析出的网络数据包的协议头及有效载荷是否符合预设规则，若符合预设规则则判断每个网络数据包并非恶意数据包，若不符合预设规则，阻断网路数据包。
23.进一步地，所述若不符合预设规则，阻断网路数据包后还包括：同时所述当前无ip硬件防火墙开启虚拟化环境，根据预设的攻击行为特征库识别攻击行为特征，当识别到攻击行为时上传数据包至所述安全管控感知平台进行云威胁分析，并根据分析结果下发安全更新策略。
24.进一步地，所述步骤五，如果网络数据包被判断为恶意数据包，则执行步骤六，否则执行步骤七，根据匹配结果判断接下来的处理动作中还包括：当网络数据包未被判断为恶意数据包时，同时执行认证，当认证成功时执行步骤七，当认证失败时执行步骤六。
25.进一步地，所述认证至少包括基于位置信息的认证，响应于第一物联网设备发送服务请求信息，以串联于第二物联网设备的第二无ip硬件防火墙截获所述服务请求信息中的第一位置特征信息；
26.所述无ip硬件防火墙向安全管控感知平台请求可靠物联网设备列表；
27.响应于所述无ip硬件防火墙向所述可靠物联网设备列表中物联网设备发送安全请求信息，所述无ip硬件防火墙确定第三物联网设备并且至少接收所述第三物联网设备经由对应第三无ip防火墙发送的第二位置特征信息；
28.比较所述第一位置特征信息和第二位置特征信息，若符合判断规则，则对所述第一物联网设备安全认证。
29.进一步地，所述位置特征信息至少包括位置参数信息，所述位置参数信息由所述无ip硬件防火墙或物联网设备上搭载的定位芯片获取，所述位置参数信息至少包括码伪距、载波相位值、卫星编号、多普勒、信号强度、信噪比和观测时间。
30.进一步地，所述判断规则具体包括：
31.步骤1；获取所述第一位置特征信息中的定位观测信息；
32.步骤2；建立排除性条件，若所述第一位置特征信息中的定位观测信息包括排除性要素，则为不符合判断规则，若不包括，则执行下述步骤；
33.步骤3：根据所述第一位置特征信息中的定位观测信息和所述第二位置特征信息中的定位观测信息分别建立第一多维矩阵和第二多维矩阵，确定两者之间的余弦相似度，当其大于阈值时，则认为其符合判断规则；
34.所述建立排除性条件具体包括：第一位置特征信息中定位观测信息异常、第一位置特征信息中定位观测信息与第二位置特征信息中定位观测信息冲突、第一位置特征信息中定位观测信息不符合第二位置特征信息中定位观测信息结合无ip防火墙内置数字地表模型构成的约束条件中的至少一项。
35.第三方面，本发明还提供一种计算机可读存储介质，其包括计算机程序指令，所述计算机程序指令被至少一个处理器执行以实现上述任一项所述的方法。
36.本发明的具体的目的和优势，通过下述具体实施方式、附图和权利要求以充分体现。
附图说明
37.为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
38.图1为本发明一实施例中一种分布式信息网络安全防护系统的示意图。
39.图2为本发明一实施例中一种分布式信息网络安全防护方法的流程图。
40.图3为本发明一实施例中基于位置信息认证的流程示意图。
41.图4为本发明一实施例中判断规则的具体流程示意图。
具体实施方式
42.下面将对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅是本发明的一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例，都属于本发明保护的范围。
43.在本发明实施例中使用的术语是仅仅出于描述特定实施例的目的，而非旨在限制本发明。在本发明实施例和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式，除非上下文清楚地表示其他含义，“多种”一般包含至少两种，但是不排除包含至少一种的情况。
44.还需要说明的是，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的商品或者系统不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种商品或者系统所固有的要素。在没有更多限制的情况下，由语句“包括一个
……”
限定的要素，并不排除在包括所述要素的商品或者系统中还存在另外的相同要素。
45.图1示出了一种分布式信息网络安全防护系统的示意图，参考图1，该系统中包括当前物联网设备100、一个或多个其他物联网设备104，并包括若干无ip硬件防火墙101、安全管控感知平台102、访问控制模块、威胁检测模块和基于位置信息的认证模块，所述无ip硬件防火墙直接串联在被保护设备前方，其具备边缘计算能力，用于在网络通信中实现对数据包的过滤、拦截、分析和监控，所述安全管控感知云平台102能够实现对若干无ip硬件防火墙101设备的集中管控，用于实现对无ip硬件防火墙101的远程管理、配置和安全策略更新，以及实时监控网络状态和数据流量，所述访问控制模块与所述无ip硬件防火墙耦合，用于实现对网络内部设备的访问权限控制，所述威胁检测模块与所述无ip硬件防火墙耦合，用于实时监测网络流量中的恶意行为、攻击行为以及异常行为，所述认证模块与所述无ip硬件防火墙耦合，用于对用户进行身份认证和权限验证；
46.并且，所述无ip硬件防火墙包括多个网络接口，用于连接多个网络，以及多个处理器，用于并行处理多个网络数据流；所述安全管控感知云平台102包括远程管理界面，用于访问无ip硬件防火墙的配置和状态信息，并进行远程管理、日志记录和审计功能；所述访问控制模块包括多个访问规则，用于限制网络访问和控制用户权限；所述威胁检测模块包括基于签名和行为的威胁检测引擎，用于检测网络攻击和异常流量；所述边缘计算能力包括
本地存储和计算资源，用于在本地处理网络数据，并将处理结果发送回安全管控感知平台。
47.上述无ip硬件防火墙直接串联在被保护设备前方，可以实现无需管理分配ip，不改动网络，可实现防护终端快速部署。
48.上述系统中网络通信方式可以为dsrc(ieee802.11p)、fm、蜂窝网络、wimax、wi-fi、lte、4g、lte-v-cell、lte-v-direct等方式。
49.图2示出了本发明的一实施例提供的一种分布式信息网络安全防护方法的流程图，如图2所示，该方法为：
50.s110，部署无ip硬件防火墙：将无ip硬件防火墙直接串联在被保护设备前方，使所有发送到被保护设备的数据包都通过无ip硬件防火墙；
51.s120，无ip硬件防火墙获取经其传输的所有网络数据包，其解析获取的每个网络数据包，获取每个网络数据包的源ip地址、源端口、目标端口、目的ip地址、传输协议类型和数据载荷；
52.s130，实现无ip硬件防火墙的快速组网和安全规则配置：
53.进一步地，所述s130，实现无ip硬件防火墙的快速组网和安全规则配置中还包括：
54.若当前无ip硬件防火墙能够识别、处理探测数据包以正常组网，便反馈组网信息至所述安全管控感知平台，反馈成功，标识组网成功；若当前无ip硬件防火墙无法接收到组网数据包，则当前无ip硬件防火墙在网路广播组网请求数据包，当其他ip硬件防火墙截获组网请求数据包时，便发送特殊组网数据包至与当前无ip硬件防火墙串联的设备，当前无ip硬件防火墙截获特殊组网数据包进行分析、处理以正常组网，此时，再向其他无ip硬件防火墙发送临时规则请求数据包，当其他无ip硬件防火墙截获所述临时规则请求数据包时，便发送所述临时安全规则配置数据包至与当前无ip硬件防火墙串联的设备，当前无ip硬件防火墙截获临时安全规则配置数据包进行分析、处理以获取临时安全规则，并且当所述安全管控感知平台重新上线时发送探测数据包，当前ip硬件防火墙反馈，标识组网成功，所述安全管控感知平台重新下发安全规则配置数据以实现当前ip硬件防火墙配置；
55.可以理解的是，安全管控感知平台可以发送探测数据包。
56.值得说明的是，现有技术中通过平台发送探测包，由无ip防火墙进行截获实现组网配置，但在产品实践中，每一次添加设备均需要人工控制相应平台进行发送探测包，造成组网配置效率低，因此，本发明为了克服上述缺陷，采用无ip防火墙组网时可通过广播网段中其他无ip防火墙设备实现临时组网预配置，仅需平台后续任意情况下发送探测数据包，无ip防火墙截获时即可组网成功，相比于现有技术配置方式而言更加有效，此外，现有技术中，当未组网成功时，其无ip硬件防火墙串联网络无法使用亦或是通过bypass设置使得数据包直接通过，此时并未有任何安全防护作用，因此，本发明在组网预配置的基础上，会将其他无ip硬件防火墙的安全规则传递到当前无ip硬件防火墙，使其起到临时安全防护的作用。
57.可以理解的是，多个其他ip硬件防火墙发送的临时安全规则配置数据包中的规则可以进行叠加使用。
58.s140，所述当前无ip硬件防火墙根据预设规则对每个解析出的网络数据包的协议头及有效载荷进行匹配，判断每个网络数据包是否为恶意数据包；
59.进一步地，所述当前无ip硬件防火墙根据预设规则对每个解析出的网络数据包的
协议头及有效载荷进行匹配，判断每个网络数据包是否为恶意数据包中还包括：判断每个解析出的网络数据包的协议头及有效载荷是否符合预设规则，若符合预设规则则判断每个网络数据包并非恶意数据包，若不符合预设规则，阻断网路数据包。
60.并且，所述若不符合预设规则，阻断网路数据包后还包括：同时所述当前无ip硬件防火墙开启虚拟化环境，根据预设的攻击行为特征库识别攻击行为特征，当识别到攻击行为时上传数据包至所述安全管控感知平台进行云威胁分析，并根据分析结果下发安全更新策略。
61.可以理解的是，当无ip硬件防火墙检测到攻击行为时，提取攻击行为特征亦可在本地专家库中匹配相应的安全策略进行更新，另外，当缺乏相对应的安全策略或者非典型攻击行为特征(例如复合攻击行为时)可上报至安全管控感知平台分析和/或匹配，此时再将其更新安全策略下发至无ip硬件防火墙。
62.更新安全策略不仅适用于当前设备串联的无ip硬件防火墙，同时可以下发给合作防护终端，另外，由于攻击行为通常空间/链路相关，因此，可将攻击行为特征相关信息在本地可靠设备组中进行广播，以实现威胁预警的作用。
63.s150，如果网络数据包被判断为恶意数据包，则执行s160，否则执行s170，根据匹配结果判断接下来的处理动作；
64.进一步地，所述s150，如果网络数据包被判断为恶意数据包，则执行s160，否则执行s170，根据匹配结果判断接下来的处理动作中还包括：当网络数据包未被判断为恶意数据包时，同时执行认证，当认证成功时执行s170，当认证失败时执行s160。
65.并且，所述认证至少包括基于位置信息的认证，s210，响应于第一物联网设备发送服务请求信息，以串联于第二物联网设备的第二无ip硬件防火墙截获所述服务请求信息中的第一位置特征信息；
66.现有技术中通过包括集中式认证和分布式认证的方式，其中，由于物联网中终端设备数量的几何式增长，其中网络拓扑复杂，设备间的信息交互频繁，因此，集中式认证的方式延时长，难以满足物联网实时的通信需求，另外，分布式认证的方式只需要与周围节点进行通信交互，具备低延时的特点，因此，上述采用分布式认证方式，其启用认证后，非认证设备需要出示相应的协议信息，根据协议信息的内容决定节点安全可靠性。
67.s220，所述无ip硬件防火墙向安全管控感知平台请求可靠物联网设备列表；
68.可以理解的是，当所述安全管控感知平台无法连接时，当前无ip硬件防火墙可以向其他无ip硬件防火墙请求可靠物联网设备列表。
69.s230，响应于所述无ip硬件防火墙向所述可靠物联网设备列表中物联网设备发送安全请求信息，所述无ip硬件防火墙确定第三物联网设备并且至少接收所述第三物联网设备经由对应第三无ip防火墙发送的第二位置特征信息；
70.在现有技术中，通过位置伪造攻击是物联网通常面对的攻击，现有技术中常通过基于rssi的身份认证方式，其内容主要是通过测得接收rssi，然后基于rssi计算相应发送信息设备的物理位置，将其与物联网设备的物理位置进行比对从而确定是否为位置伪造攻击。而上述技术存在一定问题的是，由于物联网设备可能动态运行，发射时刻和接收时刻的物理位置存在差异，因此，在场景下其rssi的认证阈值难以合理选取。
71.值得说明的是，本发明是为了克服常规位置认证的缺点，采用设备实时的卫星导
航观测数据进行认证，由于卫星导航观测信息一方面与位置紧密关联，另一方面与实时地形环境、天气等存在强相关性，难以通过简单模型进行伪造和破解，鲁棒性优于rssi位置认证的方式，另一方面，在通常动态环境中，短时间内，卫星导航观测信息的相关性仍具备一定的相关性，可以克服伪造位置以及发射时刻和接收时刻物理位置差异造成的安全认证难以准确区分的问题。
72.由于，为了提高安全认证的效率，可以通过第一设备附加给出的位置信息与其他可靠设备的位置信息的接近程度来快速确定距离第一设备最近的目标设备，继而可以获得目标设备，降低通信延迟。
73.进一步地，无ip硬件防火墙确定第三物联网设备还包括：接收所述第一物联网设备发送第一实时位置信息，接收可靠物联网设备列表中物联网设备的第二实时位置信息；比较所述第一实时位置信息和第二实时位置信息，根据距离大小确定目标设备。
74.s240，比较所述第一位置特征信息和第二位置特征信息，若符合判断规则，s250，对所述第一物联网设备安全认证。
75.上述位置特征信息至少包括位置参数信息，所述位置参数信息由所述无ip硬件防火墙或物联网设备上搭载的定位芯片获取，所述位置参数信息至少包括码伪距、载波相位值、卫星编号、多普勒、信号强度、信噪比和观测时间。
76.可以理解的是，当其不符合判断规则时，不对所述第一物联网设备进行安全认证。
77.上述判断规则具体包括：
78.s310，获取所述第一位置特征信息中的定位观测信息；
79.s320，建立排除性条件，若所述第一位置特征信息中的定位观测信息包括排除性要素，则为不符合判断规则，若不包括，则执行下述步骤；
80.s330，根据所述第一位置特征信息中的定位观测信息和所述第二位置特征信息中的定位观测信息分别建立第一多维矩阵和第二多维矩阵，确定两者之间的余弦相似度，当其大于阈值时，则认为其符合判断规则；
81.进一步地，所述建立排除性条件具体包括：第一位置特征信息中定位观测信息异常、第一位置特征信息中定位观测信息与第二位置特征信息中定位观测信息冲突、第一位置特征信息中定位观测信息不符合第二位置特征信息中定位观测信息结合无ip防火墙内置数字地表模型构成的约束条件中的至少一项。
82.具体地，dsm(digital surface model，dsm)即是数字地表模型，其指包含了地表建筑物、桥梁、树木等地表信息的地表高程模型。
83.可以理解的是，第一卫星观测信息异常，可以设置为待认证设备传递的卫星观测信息出现格式、字长、字段以及数值超过合理阈值等方式进行判定；第一卫星观测信息与第二卫星观测信息冲突，可以设置为待认证设备传递的卫星观测信息的时间、时间段等方式进行判断；第一卫星观测信息不符合第二导航观测信息结合防护终端内置dsm构成的约束条件，此处，例如，根据卫星本体与dsm构成的理论观测条件下，第二导航观测信息确认亦无法观测到特定卫星的情况(例如受到地形、地物遮挡)，此时通过第一卫星观测信息中是否出现明显偏离上述的情况即可以进行判定，其他具体的约束条件可以根据上述技术的核心思路进行扩展，此处不再一一罗列。
84.另外，在研发的过程中，出现不符合判断规则进行安全认证的情况，即包含了本身
安全的设备由于卫星定位模块短期干扰而无法安全认证的情况，因此，可以进一步在后续设置虚拟化环境进行判断，当判断不存在威胁时且通过安全认证的设备给予重新认证。
85.进一步地，当执行重新认证时，可对权限进行受限控制。可以理解的是，当需要重新认证时，第一设备的可信度有所下降，因此，即便当其重新认证成功时，仍可以调整第一设备二次安全认证所获得权限的范围，保障当前设备的安全性。
86.进一步地，在上述受限控制的基础上，可以设置权限放开机制，无ip硬件防火墙持续监控行为，当确保持续未存在安全威胁的情况下，扩展访问权限。
87.值得说明的是，在上述采用卫星观测信息进行校验的过程中，实施的过程中通过伴随着对通信对象间的通信加密的过程，在本发明该处的重点侧重于卫星观测信息的校验认证过程，而针对通信加密的过程本发明不对此作限定，采用任意与本发明不冲突的现有技术进行实施即可。
88.s160，所述当前无ip硬件防火墙阻断网络数据包，阻止其进出网络；跳转执行步骤s180；
89.s170，允许网络数据包通过，将判断为正常的数据包放行进出；
90.s180，持续监控网络数据包，重复执行步骤四至步骤七的逻辑过程。
91.实施例三
92.一种计算机可读存储介质，其包括计算机程序指令，所述计算机程序指令被处理器执行时实现前述任意实施例的方法。
93.本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程，是可以通过计算机程序来指令相关的硬件来完成，所述的程序可存储于一非易失性计算机可读取存储介质中，该程序在执行时，可包括如上述各方法的实施例的流程。其中，本技术所提供的各实施例中所使用的对存储器、存储、数据库或其它介质的任何引用，均可包括非易失性和/或易失性存储器。非易失性存储器可包括只读存储器(rom)、可编程rom(prom)、电可编程rom(eprom)、电可擦除可编程rom(eeprom)或闪存。易失性存储器可包括随机存取存储器(ram)或者外部高速缓冲存储器。作为说明而非局限，ram以多种形式可得，诸如静态ram(sram)、动态ram(dram)、同步dram(sdram)、双数据率sdram(ddrsdram)、增强型sdram(esdram)、同步链路(synchlink)、dram(sldram)、存储器总线(rambus)直接ram(rdram)、直接存储器总线动态ram(drdram)、以及存储器总线动态ram(rdram)等。
94.上述已经详细描述了本发明公开的实施例，为了避免遮蔽本发明公开的技术构思，对于相关领域普通技术人员所公知的细节，本领域技术人员根据上述实施例的记载，是可以完成知晓如何实施公开的技术方案。
95.以上所述仅为本发明的较佳实施方式而已，并不用以限制本发明，凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。

技术特征：
1.一种分布式信息网络安全防护系统，其特征在于，包括若干无ip硬件防火墙、安全管控感知平台、访问控制模块、威胁检测模块和基于位置信息的认证模块，所述无ip硬件防火墙直接串联在被保护设备前方，其具备边缘计算能力，用于在网络通信中实现对数据包的过滤、拦截、分析和监控，所述安全管控感知云平台能够实现对若干无ip硬件防火墙设备的集中管控，用于实现对硬件防火墙的远程管理、配置和安全策略更新，以及实时监控网络状态和数据流量，所述访问控制模块与所述无ip硬件防火墙耦合，用于实现对网络内部设备的访问权限控制，所述威胁检测模块与所述无ip硬件防火墙耦合，用于实时监测网络流量中的恶意行为、攻击行为以及异常行为，所述认证模块与所述无ip硬件防火墙耦合，用于对用户进行身份认证和权限验证；所述无ip硬件防火墙包括多个网络接口用于连接多个网络，以及多个处理器用于并行处理多个网络数据流；所述安全管控感知云平台包括远程管理界面，用于访问无ip硬件防火墙的配置和状态信息，并进行远程管理、日志记录和审计功能；所述访问控制模块包括多个访问规则，用于限制网络访问和控制用户权限；所述威胁检测模块包括基于签名和行为的威胁检测引擎，用于检测网络攻击和异常流量；所述边缘计算能力包括本地存储和计算资源，用于在本地处理网络数据，并将处理结果发送回安全管控感知平台。2.一种分布式信息网络安全防护方法，其采用如权利要求1所述一种分布式信息网络安全防护系统，其特征在于，包括：步骤一，部署无ip硬件防火墙：将无ip硬件防火墙直接串联在被保护设备前方，使所有发送到被保护设备的数据包都通过无ip硬件防火墙；步骤二，无ip硬件防火墙获取经其传输的所有网络数据包，其解析获取的每个网络数据包，获取每个网络数据包的源ip地址、源端口、目标端口、目的ip地址、传输协议类型和数据载荷；步骤三，实现无ip硬件防火墙的快速组网和安全规则配置：步骤四，所述当前无ip硬件防火墙根据预设规则对每个解析出的网络数据包的协议头及有效载荷进行匹配，判断每个网络数据包是否为恶意数据包；步骤五，如果网络数据包被判断为恶意数据包，则执行步骤六，否则执行步骤七，根据匹配结果判断接下来的处理动作；步骤六，所述当前无ip硬件防火墙阻断网络数据包，阻止其进出网络，然后跳转执行步骤八；步骤七，允许网络数据包通过，将判断为正常的数据包放行进出；步骤八，持续监控网络数据包，重复执行步骤四至步骤七的逻辑过程。3.根据权利要求2所述一种分布式信息网络安全防护方法，其特征在于，所述步骤三，实现无ip硬件防火墙的快速组网和安全规则配置中还包括：若当前无ip硬件防火墙能够识别、处理探测数据包以正常组网，便反馈组网信息至所述安全管控感知平台，反馈成功，标识组网成功；若当前无ip硬件防火墙无法接收到组网数据包，则当前无ip硬件防火墙在网路广播组网请求数据包，当其他ip硬件防火墙截获组网请求数据包时，便发送特殊组网数据包至与当前无ip硬件防火墙串联的设备，当前无ip硬件防火墙截获特殊组网数据包进行分析、处理以正常组网，此时，再向其他无ip硬件防火墙发送临时规则请求数据包，当其他ip硬件防火墙截获所述临时规则请求数据包时，便发送
所述临时安全规则配置数据包至与当前无ip硬件防火墙串联的设备，当前无ip硬件防火墙截获临时安全规则配置数据包进行分析、处理以获取临时安全规则，并且当所述安全管控感知平台重新上线时发送探测数据包，当前ip硬件防火墙反馈，标识组网成功，所述安全管控感知平台重新下发安全规则配置数据以实现当前ip硬件防火墙配置。4.根据权利要求3所述一种分布式信息网络安全防护方法，其特征在于，所述当前无ip硬件防火墙根据预设规则对每个解析出的网络数据包的协议头及有效载荷进行匹配，判断每个网络数据包是否为恶意数据包中还包括：判断每个解析出的网络数据包的协议头及有效载荷是否符合预设规则，若符合预设规则则判断每个网络数据包并非恶意数据包，若不符合预设规则，阻断网路数据包。5.根据权利要求4所述一种分布式信息网络安全防护方法，其特征在于，所述若不符合预设规则，阻断网路数据包后还包括：同时所述当前无ip硬件防火墙开启虚拟化环境，根据预设的攻击行为特征库识别攻击行为特征，当识别到攻击行为时上传数据包至所述安全管控感知平台进行云威胁分析，并根据分析结果下发安全更新策略。6.根据权利要求5所述一种分布式信息网络安全防护方法，所述步骤五，如果网络数据包被判断为恶意数据包，则执行步骤六，否则执行步骤七，根据匹配结果判断接下来的处理动作中还包括：当网络数据包未被判断为恶意数据包时，同时执行认证，当认证成功时执行步骤七，当认证失败时执行步骤六。7.根据权利要求6所述一种分布式信息网络安全防护方法，所述认证至少包括基于位置信息的认证，响应于第一物联网设备发送服务请求信息，以串联于第二物联网设备的第二无ip硬件防火墙截获所述服务请求信息中的第一位置特征信息；所述无ip硬件防火墙向安全管控感知平台请求可靠物联网设备列表；响应于所述无ip硬件防火墙向所述可靠物联网设备列表中物联网设备发送安全请求信息，所述无ip硬件防火墙确定第三物联网设备并且至少接收所述第三物联网设备经由对应第三无ip防火墙发送的第二位置特征信息；比较所述第一位置特征信息和第二位置特征信息，若符合判断规则，则对所述第一物联网设备安全认证。8.根据权利要求7所述一种分布式信息网络安全防护方法，其特征在于，所述位置特征信息至少包括位置参数信息，所述位置参数信息由所述无ip硬件防火墙或物联网设备上搭载的定位芯片获取，所述位置参数信息至少包括码伪距、载波相位值、卫星编号、多普勒、信号强度、信噪比和观测时间。9.根据权利要求8所述一种分布式信息网络安全防护方法，其特征在于，所述判断规则具体包括：步骤1；获得所述第一位置特征信息中的定位观测信息；步骤2；建立排除性条件，若所述第一位置特征信息中的定位观测信息包括排除性要素，则为不符合判断规则，若不包括，则执行下述步骤；步骤3：根据所述第一位置特征信息中的定位观测信息和所述第二位置特征信息中的定位观测信息分别建立第一多维矩阵和第二多维矩阵，确定两者之间的余弦相似度，当其大于阈值时，则认为其符合判断规则；所述建立排除性条件具体包括：第一位置特征信息中定位观测信息异常、第一位置特
征信息中定位观测信息与第二位置特征信息中定位观测信息冲突、第一位置特征信息中定位观测信息不符合第二位置特征信息中定位观测信息结合无ip防火墙内置数字地表模型构成的约束条件中的至少一项。10.一种计算机可读存储介质，其包括计算机程序指令，所述计算机程序指令被至少一个处理器执行以实现权利要求2-9任一项所述的方法。

技术总结
本发明公开了一种分布式信息网络安全防护方法、系统及其可读存储介质，该方法包括部署无IP硬件防火墙：将无IP硬件防火墙直接串联在被保护设备前方，使所有发送到被保护设备的数据包都通过无IP防火墙；无IP硬件防火墙获取经其传输的所有网络数据包，其解析获取的每个网络数据包，获取每个网络数据包的源IP地址、源端口、目标端口、目的IP地址、传输协议类型和数据载荷；实现无IP硬件防火墙的快速组网和安全规则配置：所述当前无IP硬件防火墙根据预设规则对每个解析出的网络数据包的协议头及有效载荷进行匹配，判断每个网络数据包是否为恶意数据包；如果网络数据包被判断为恶意数据包，则执行步骤六，否则执行步骤七，根据匹配结果判断接下来的处理动作；所述当前无IP硬件防火墙阻断网络数据包，阻止其进出网络；允许网络数据包通过，将判断为正常的数据包放行进出；持续监控网络数据包，重复执行步骤四至步骤七。本发明尤其适用于物联网场景，具备部署快速、认证安全、防护效果好的特点。防护效果好的特点。防护效果好的特点。


技术研发人员：陈光明 邓越 杨辰钟 麦思文 邱峰
受保护的技术使用者：赛姆科技（广东）有限公司
技术研发日：2023.05.16
技术公布日：2023/8/9