(19)中华人民共和国国家知识产权局(12)发明专利申请(10)申请公布号CN113660279A(43)申请公布日2021.11.16(21)申请号202110952891.0(22)申请日2021.08.19(71)申请人平安科技（深圳）有限公司地址518033广东省深圳市福田区福田街道福安社区益田路5033号平安金融中心23楼(72)发明人张宏波(74)专利代理机构北京市京大律师事务所11321代理人姚维(51)Int.Cl.H04L29/06(2006.01)G06F9/455(2006.01)权利要求书2页说明书12页附图5页(54)发明名称网络主机的安全防护方法、装置、设备及存储介质(57)摘要本发明涉及网络安全领域，公开了一种网络主机的安全防护方法、装置、设备及存储介质，用于解决现有技术中在简化网络主机的安全防护方法时会引起安全检查时安全性降低的问题。该方法包括：获取待传输的数据包以及其来源端口信息和目标端口信息；并查找各自对应的来源端口号和目标端口号；调用套接字缓存中的编码字段，根据来源端口号和目标端口号生成套接字编码值；根据编码值转换规则，对套接字编码值进行转换得到区域编码；根据区域编码，调用钩子函数代码进行连接跟踪匹配，得到连接跟踪项目，并基于连接跟踪项目中记录的数据包的数据传输信息执行安全检查。此外，本发明还涉及区块链技术，网络主机的安全防护的相关信息可存储于区块链中。CN113660279ACN113660279A权利要求书1/2页1.一种网络主机的安全防护方法，其特征在于，所述网络主机的安全防护方法包括：获取网络主机当前待传输的数据包，并提取所述数据包的来源端口信息和目标端口信息；根据所述来源端口信息和目标端口信息，查找各自对应的来源端口号和目标端口号；调用预置的套接字缓存中的编码字段，根据所述来源端口号和目标端口号生成套接字编码值；根据预置的编码值转换规则，对所述套接字编码值进行转换，得到区域编码；根据所述区域编码，调用预置的钩子函数代码进行连接跟踪匹配，得到所述区域编码对应的连接跟踪项目，并基于所述连接跟踪项目中记录的所述数据包的数据传输信息执行安全检查。2.根据权利要求1所述的网络主机的安全防护方法，其特征在于，所述数据传输信息包括数据包报文信息和传输策略信息，所述基于所述连接跟踪项目中记录的所述数据包的数据传输信息执行安全检查包括：获取预置的拦截策略信息，解析所述拦截策略信息，得到拦截元组信息；提取所述连接跟踪项目中记录的所述数据包的数据包元组信息；判断所述数据包元组信息是否在所述拦截元组信息中；若是，则对所述数据包进行拦截。3.根据权利要求1所述的网络主机的安全防护方法，其特征在于，所述调用预置的套接字缓存中的编码字段，根据所述来源端口号和目标端口号生成套接字编码值包括：比较所述来源端口号和目标端口号的数值大小，并提取所述来源端口号和目标端口号中较大的端口号，得到候选端口号；根据所述候选端口号的数值对预置的套接字缓存中的编码进行赋值，得到套接字编码值。4.根据权利要求1‑3中任一项所述的网络主机的安全防护方法，其特征在于，在所述获取网络主机当前待传输的数据包之前，还包括：获取套接字数据包源代码，在所述套接字数据包源代码中提取出套接字编码字段代码；获取ovs‑datapath源代码；在所述ovs‑datapath源代码中添加所述套接字编码字段代码，得到套接字缓存中的编码字段。5.根据权利要求4所述的网络主机的安全防护方法，其特征在于，在所述得到套接字缓存中的编码字段之后，还包括：获取网络主机的配置空间内容，并在所述配置空间内容中提取所述网络主机的安全防护代码；在所述安全防护代码中添加全局的编码值转换规则，其中，所述编码值转换规则用于基于套接字缓存的套接字编码值生成区域编码。6.根据权利要求5所述的网络主机的安全防护方法，其特征在于，在所述在所述安全防护代码中添加全局的编码值转换规则之后，还包括：提取所述ovs‑datapath源代码中的actions.c文件；2CN113660279A权利要求书2/2页在所述actions.c文件中查找do_output函数；在所述do_output函数中插入钩子函数代码，其中，所述钩子函数代码用于生成连接跟踪项目。7.一种网络主机的安全防护装置，其特征在于，所述网络主机的安全防护装置包括：获取模块，用于获取网络主机当前待传输的数据包，并提取所述数据包的来源端口信息和目标端口信息；查找模块，用于根据所述来源端口信息和目标端口信息，查找各自对应的来源端口号和目标端口号；编码模块，用于调用预置的套接字缓存中的编码字段，根据所述来源端口号和目标端口号生成套接字编码值；转换模块，用于根据预置的编码值转换规则，对所述套接字编码值进行转换，得到区域编码；安全防护模块，用于