(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111639211.6 (22)申请日 2021.12.2 9 (71)申请人 北京安天网络安全技 术有限公司 地址 100195 北京市海淀区玉泉山闵庄路3 号清华科技园 ·玉泉慧谷1号楼地上 一层西侧、 二层(地上两侧) (72)发明人 冉飞　卢成龙　苗宁　 (74)专利代理 机构 北京格允知识产权代理有限 公司 11609 代理人 王文雅 (51)Int.Cl. G06F 21/56(2013.01) G06F 21/55(2013.01) G06F 21/60(2013.01) (54)发明名称 基于应用系统的数据流 转防护方法及装置 (57)摘要 本发明提供了一种基于应用系统的数据流 转防护方法及装置， 应用于内部网络的客户端， 内部网络被划分为互联网交互区域、 缓存区域和 用户区域， 互联网交互区域的客户端和/或用户 区域的客户端上部署有应用系统； 方法包括： 接 收流转的目标数据， 对目标数据进行流量威胁检 测； 目标数据为内部网络的应用系统和外部互联 网的应用系统之间的交换数据； 若流量威胁检测 通过， 则对目标数据进行WAF检测； 若WAF检测通 过， 则将目标数据转发至当前客户端上部署的应 用系统； 由应用系统利用集 成的安全检测系统对 目标数据进行病毒查杀和处置， 并在查杀结束后 根据流转目的地对目标数据进行流转处理。 本方 案， 能够提高数据流转过程中内部网络的安全 性。 权利要求书2页 说明书10页 附图2页 CN 114297650 A 2022.04.08 CN 114297650 A 1.一种基于应用系统 的数据流转防护方法， 其特征在于， 应用于 内部网络的客户端， 所 述内部网络被划分为互联网交互区域、 缓存区域和用户区域， 所述互联网交互区域的客户 端和/或所述用户区域的客户端上部署有应用系统； 所述方法包括： 接收流转的目标数据， 对所述目标数据进行流量威胁检测； 所述目标数据为所述内部 网络的应用系统和外 部互联网的应用系统之间的交换 数据； 若所述流量威胁检测通过， 则对所述目标 数据进行WAF检测； 若所述WAF检测通过， 则将所述目标数据转发至当前客户端上部署的应用系统； 所述应 用系统中集成有安全检测系统； 由当前客户端上部署的应用系统利用集成的所述安全检测系统对所述目标数据进行 病毒查杀和处置， 并在查杀 结束后根据流 转目的地对所述目标 数据进行流 转处理。 2.根据权利要求1所述的方法， 其特征在于， 所述目标数据的流转源端为外部互联网的 应用系统， 所述目标 数据的流 转目的地 为内部网络的应用系统； 还包括： 确定与所述目标数据的流转目的地所对应的应用系统所属所述内部网络的区 域； 根据确定的所属区域执 行所述对所述目标 数据进行流 转处理。 3.根据权利要求2所述的方法， 其特 征在于， 所属区域为互联网交互区域， 则所述基于应用系统 的数据流转防护方法是由所述互联 网交互区域内的客户端执行 的； 且， 所述对所述目标数据进行流转处理， 包括： 将所述目标 数据进行落盘存 储； 或， 所属区域为用户区域； 则所述基于应用系统 的数据流转防护方法是由所述互联网交互 区域内的客户端和所述用户区域内的客户端执 行的； 当所述互联网交互区域内的客户端执行所述基于应用系统 的数据流转防护方法时， 所 述对所述目标数据进 行流转处理， 包括： 将所述目标数据发送给所述 缓冲区域内的前置机， 以由所述前置 机转发至所述用户区域内的客户端； 当所述用户区域内的客户端执行所述基于应用系统 的数据流转防护方法时， 所述对所 述目标数据进行流 转处理， 包括： 将所述目标 数据进行落盘存 储。 4.根据权利要求1所述的方法， 其特 征在于， 所述目标数据的流转源端为所述互联网交互区域的客户端， 所述目标数据的流转目的 地为外部互联网的应用系统， 则所述基于应用系统的数据流转防护方法是由所述互联网交 互区域内的客户端 执行的； 且所述对所述目标数据进 行流转处理， 包括： 将所述目标数据发 送至外部互联网的应用系统； 或， 所述目标数据的流转源端为所述用户区域的客户端， 所述目标数据的流转目的地为外 部互联网的应用系统， 则所述基于应用系统的数据流转防护方法是由所述互联网交互 区域 内的客户端和所述用户区域的客户端执 行的； 当所述用户区域的客户端执行所述基于应用系统的数据流转防护方法时， 所述对所述 目标数据进 行流转处理， 包括： 将所述目标数据发送给所述缓冲区域内的前置机， 以由所述 前置机转发至所述互联网交 互区域的客户端； 当所述互联网交互区域的客户端执行所述基于应用系统的数据流转防护方法时， 所述权　利　要　求　书 1/2 页 2 CN 114297650 A 2对所述目标 数据进行流 转处理， 包括： 将所述目标 数据发送至 外部互联网的应用系统。 5.根据权利要求3所述的方法， 其特征在于， 所述互联网交互区域的客户端和/或所述 用户区域的客户端上还部署有文件样本 分析系统， 且客户端 上部署的应用系统中配置所述 文件样本分析系统的调用接口； 在将所述目标数据进行落盘存储之前， 还包括： 利用配置的调用接口调用所述文件样 本分析系统， 以利用所述文件样本 分析系统对所述目标数据是否存在恶意行为进 行静态和 动态的结合分析， 并将分析结果反馈至当前客户端上部署的应用 系统， 根据所述分析结果 确定是否将所述目标 数据进行落盘存 储。 6.根据权利要求3或4所述的方法， 其特 征在于， 在对所述目标数据进行流量威胁检测且所述流量威胁检测通过之后， 对所述目标数据 进行病毒查杀和处置之前， 还包括： 确定所述目标数据是否为加密的敏感数据， 若是， 则调 用预置的密码机对所述目标 数据进行解密； 在将所述目标数据发送给所述缓冲区域内的前置机或将所述目标数据发送至外部互 联网的应用系统之前， 还 包括： 调用所述密码机对所述目标 数据进行加密。 7.根据权利要求1 ‑6中任一所述的方法， 其特征在于， 所述对所述目标数据进行流量威 胁检测， 包括： 对 所述目标数据进 行如下至少一个层次的流量威胁检测： 包、 流、 会话、 文件、 协议元数据、 网络行为和文件行为。 8.一种基于应用系统 的数据流转防护装置， 其特征在于， 位于 内部网络的客户端， 所述 内部网络被划分为互联网交互区域、 缓存区域和用户区域， 所述互联网交互区域的客户端 和/或所述用户区域的客户端上部署有应用系统； 包括： 流量威胁检测单元， 用于接收流转的目标数据， 对所述目标数据进行流量威胁检测， 若 所述流量威胁检测通过， 则触发WAF检测单元执行相应操作； 所述目标数据为所述内部网络 的应用系统和外 部互联网的应用系统之间的交换 数据； 所述WAF检测单元， 用于对所述目标数据进行WAF检测， 若所述WAF检测通过， 则将所述 目标数据转发至当前客户端上部署的应用系统； 所述应用系统中集成有安全检测系统； 所述应用系统， 用于利用集成的所述安全检测系统对所述目标数据进行病 毒查杀和处 置， 并在查杀 结束后根据流 转目的地对所述目标 数据进行流 转处理。 9.一种计算设备， 包括存储器和处理器， 所述存储器中存储有计算机程序， 所述处理器 执行所述计算机程序时， 实现如权利要求1 ‑7中任一项所述的方法。 10.一种计算机可读存储介质， 其上存储有计算机程序， 当所述计算机程序在计算机中 执行时， 令计算机执 行权利要求1 ‑7中任一项所述的方法。权　利　要　求　书 2/2 页 3 CN 114297650 A 3