數據流監測方法及裝置與流程
本發明涉及通信安全領域,尤其涉及一種數據流監測方法及裝置。
背景技術:
當前大多數網絡安全設備的部署模式,是安全設備之間通過串聯進行相連接,通過讓訪問數據流進入安全設備,安全設備對通過的所有數據流進行檢測,過濾,經過安全設備檢測過濾后,正常的數據流再進入目的服務器。這種部署方式雖然可以成功的抵御惡意數據流對系統的攻擊,但是效率較為低下,因為系統中的安全設備不僅需要對異常數據流進行檢測,而且對于正常的數據流也要檢測,所有的數據流得通過所部屬的所有安全設備,導致檢測效率差、數據流的檢測時間長、同時增加了安全設備的負載,而且在傳統的網絡安全系統中,由于不同安全設備模塊的性能各有側重,為了提高檢測的效率,因此將不同安全設備模塊部署在一起,這樣就使得部署網絡安全系統的復雜度提高了。
針對上述問題,提出一種解決現有技術對所有訪問數據流都進行檢測導致的檢測效率較低的數據流監測方法,是本領域技術人員亟待解決的技術問題。
技術實現要素:
本發明提供了一種數據流監測方法及裝置,以解決現有技術對所有訪問數據流都進行檢測導致的檢測效率較低的問題。
本發明提供了一種數據流監測方法,其包括:
獲取訪問數據流的源端標識;
根據預設的白名單及源端標識,配置訪問數據流的安全屬性,安全屬性包括白流、灰流、黑流;
根據訪問數據流的安全屬性,分流訪問數據流。
進一步的,還包括:對訪問數據流進行初判,判斷是否為攻擊性數據流,輸出初判結果;配置訪問數據流的安全屬性包括:根據訪問數據流的初判結果、源端標識與白名單,設置安全屬性。
進一步的,在對訪問數據流進行初判之前,還包括:進行無攻擊狀態學習,獲取無攻擊狀態的數據流的特征信息,根據無攻擊狀態的數據流的特征信息,判斷訪問數據流是否為攻擊性數據流。
進一步的,配置安全屬性包括:當訪問數據流的源端標識屬于白名單時,將訪問數據流的安全屬性設置為白流;當訪問數據流的源端標識不屬于白名單、且訪問數據流的初判結果不為攻擊性數據流時,將訪問數據流的安全屬性設置為灰流;當訪問數據流的源端標識不屬于白名單、且訪問數據流的初判結果為攻擊性數據流時,將訪問數據流的安全屬性設置為黑流。
進一步的,根據訪問數據流的安全屬性,分流訪問數據流包括:使用軟件定義網絡,轉發安全屬性為白流的訪問數據流至目標設備,阻斷安全屬性為黑流的訪問數據流,轉發安全屬性為灰流的訪問數據流至虛擬安全服務鏈。
進一步的,在轉發安全屬性為灰流的訪問數據流至虛擬安全服務鏈之后,還包括:通過虛擬安全服務鏈使用虛擬入侵檢測系統對訪問數據流的網絡行為進行分析,使用虛擬沙箱模擬目標設備運行環境、并運行訪問數據流分析是否具有惡意行為,根據分析結果判斷安全屬性為灰流的訪問數據流為白流或者黑 流。
本發明提供了一種數據流監測裝置,其包括:
獲取模塊,用于獲取訪問數據流的源端標識
配置模塊,用于根據預設的白名單及源端標識,配置訪問數據流的安全屬性,安全屬性包括白流、灰流、黑流;
監測模塊,用于根據訪問數據流的安全屬性,分流訪問數據流。
進一步的,還包括初判模塊,用于對訪問數據流進行初判,判斷是否為攻擊性數據流,輸出初判結果;配置模塊具體用于根據訪問數據流的初判結果、源端標識與白名單,配置安全屬性。
進一步的,初判模塊在對訪問數據流進行初判之前,還用于進行無攻擊狀態學習,獲取無攻擊狀態的數據流的特征信息,根據無攻擊狀態的數據流的特征信息,判斷訪問數據流是否為攻擊性數據流。
進一步的,配置模塊用于當訪問數據流的源端標識屬于白名單時,將訪問數據流的安全屬性設置為白流;當訪問數據流的源端標識不屬于白名單、且訪問數據流的初判結果不為攻擊性數據流時,將訪問數據流的安全屬性設置為灰流;當訪問數據流的源端標識不屬于白名單、且訪問數據流的初判結果為攻擊性數據流時,將訪問數據流的安全屬性設置為黑流。
進一步的,監測模塊用于使用軟件定義網絡,轉發安全屬性為白流的訪問數據流至目標設備,阻斷安全屬性為黑流的訪問數據流,轉發安全屬性為灰流的訪問數據流至虛擬安全服務鏈。
進一步的,還包括分析模塊,用于通過虛擬安全服務鏈使用虛擬入侵檢測系 統對訪問數據流的網絡行為進行分析,使用虛擬沙箱模擬目標設備運行環境、并運行訪問數據流分析是否具有惡意行為,根據分析結果判斷安全屬性為灰流的訪問數據流為白流或者黑流。
本發明的有益效果:
本發明提供了一種數據流監測方法,在接收到訪問數據流后,先獲取該訪問數據流的安全屬性,根據不同的安全屬性對數據流進行分流,針對不同屬性的數據流執行不同的檢測策略,例如對黑流阻斷,對白流放行,灰流周期性反復檢測,提高了監測效率,實現了重點難斷數據流(灰流)的重點分析,解決了現有技術對所有訪問數據流都進行檢測導致的監測效率較低的問題。
附圖說明
圖1為本發明第一實施例提供的數據流監測裝置的結構示意圖;
圖2為本發明第二實施例提供的數據流監測方法的流程圖;
圖3為本發明第三實施例提供的安全一體機的結構示意圖;
圖4為本發明第三實施例中安全一體機運行流程圖。
具體實施方式
現通過具體實施方式結合附圖的方式對本發明做出進一步的詮釋說明。
第一實施例:
圖1為本發明第一實施例提供的數據流監測裝置的結構示意圖,由圖1可知,在本實施例中,本發明提供的數據流監測裝置1包括:
獲取模塊11,用于獲取訪問數據流的源端標識
配置模塊12,用于根據預設的白名單及源端標識,配置訪問數據流的安全屬性,安全屬性包括白流、灰流、黑流;
監測模塊13,用于根據訪問數據流的安全屬性,分流訪問數據流。
在一些實施例中,如圖1所示,上述實施例中的數據流監測裝置1還包括初判模塊14,用于對訪問數據流進行初判,判斷是否為攻擊性數據流,輸出初判結果;配置模塊12具體用于根據訪問數據流的初判結果、源端標識與白名單,配置安全屬性。
在一些實施例中,上述實施例中的初判模塊14在對訪問數據流進行初判之前,還用于進行無攻擊狀態學習,獲取無攻擊狀態的數據流的特征信息,根據無攻擊狀態的數據流的特征信息,判斷訪問數據流是否為攻擊性數據流。
在一些實施例中,上述實施例中的配置模塊12用于當訪問數據流的源端標識屬于白名單時,將訪問數據流的安全屬性設置為白流;當訪問數據流的源端標識不屬于白名單、且訪問數據流的初判結果不為攻擊性數據流時,將訪問數據流的安全屬性設置為灰流;當訪問數據流的源端標識不屬于白名單、且訪問數據流的初判結果為攻擊性數據流時,將訪問數據流的安全屬性設置為黑流。
在一些實施例中,上述實施例中的監測模塊12用于使用軟件定義網絡,轉發安全屬性為白流的訪問數據流至目標設備,阻斷安全屬性為黑流的訪問數據流,轉發安全屬性為灰流的訪問數據流至虛擬安全服務鏈。
在一些實施例中,如圖1所示,上述實施例中的數據流監測裝置還包括分析模塊15,用于通過虛擬安全服務鏈使用虛擬入侵檢測系統對訪問數據流的網絡行為進行分析,使用虛擬沙箱模擬目標設備運行環境、并運行訪問數據流分析是否具有惡意行為,根據分析結果判斷安全屬性為灰流的訪問數據流為白流 或者黑流。
對應的,本發明提供了一種通信系統,其包括本發明提供的數據流監測裝置1。
第二實施例:
圖2為本發明第二實施例提供的數據流監測方法的流程圖,由圖2可知,在本實施例中,本發明提供的數據流監測方法包括以下步驟:
s201:獲取訪問數據流的源端標識;
s202:根據預設的白名單及源端標識,配置訪問數據流的安全屬性,獲取訪問數據流的安全屬性,安全屬性包括白流、灰流、黑流;
s203:根據訪問數據流的安全屬性,分流訪問數據流。
在一些實施例中,上述實施例中的方法還包括:對訪問數據流進行初判,判斷是否為攻擊性數據流,輸出初判結果;根據訪問數據流的初判結果、源端標識與白名單,設置安全屬性。
在一些實施例中,上述實施例中的方法在對訪問數據流進行初判之前,還包括:進行無攻擊狀態學習,獲取無攻擊狀態的數據流的特征信息,根據無攻擊狀態的數據流的特征信息,判斷訪問數據流是否為攻擊性數據流。
在一些實施例中,上述實施例中的配置安全屬性包括:當訪問數據流的源端標識屬于白名單時,將訪問數據流的安全屬性設置為白流;當訪問數據流的源端標識不屬于白名單、且訪問數據流的初判結果不為攻擊性數據流時,將訪問數據流的安全屬性設置為灰流;當訪問數據流的源端標識不屬于白名單、且訪問數據流的初判結果為攻擊性數據流時,將訪問數據流的安全屬性設置為黑 流。
在一些實施例中,上述實施例中的根據訪問數據流的安全屬性,分流訪問數據流包括:使用軟件定義網絡,轉發安全屬性為白流的訪問數據流至目標設備,阻斷安全屬性為黑流的訪問數據流,轉發安全屬性為灰流的訪問數據流至虛擬安全服務鏈。
在一些實施例中,上述實施例中的方法在轉發安全屬性為灰流的訪問數據流至虛擬安全服務鏈之后,還包括:通過虛擬安全服務鏈使用虛擬入侵檢測系統對訪問數據流的網絡行為進行分析,使用虛擬沙箱模擬目標設備運行環境、并運行訪問數據流分析是否具有惡意行為,根據分析結果判斷安全屬性為灰流的訪問數據流為白流或者黑流。
第三實施例:
現結合具體應用場景對本發明做進一步的詮釋說明。
針對現有大多數網絡安全設備的部署模式存在的效率較為低下及網絡安全系統復雜度較高的問題,本實施例為了提高對訪問數據流的檢測精確度,降低部署網絡安全系統的復雜度,本實施例提供了一種面向網絡功能虛擬化的安全一體機,該安全一體機的各功能模塊配合實現第一實施例中數據流管理裝置的功能。
本實施例提供的安全一體機設計一個流安全管理中心,引入了最新的大數據分析技術來對數據流做初步的分析;引入了sdn(softwaredefinednetworking,軟件定義網絡)技術,通過對不同安全屬性的數據流進行分類檢測,對于可疑的數據流及其后續數據包的反復檢測,來實現對數據流的全面的管控。提高檢測效率,同時,引入了nfv(networkfunctionvirtualization, 網絡功能虛擬化)技術,通過對系統中各個安全設備的功能虛擬化,使其部署在一臺x86平臺中,降低部署的復雜度,提高了安全系統的協同能力。vnf(virtualnetworkingfunction,虛擬化的網絡功能)是指nfv結構框架中的一種功能元素。是網絡功能的軟件實現,如虛擬化的入侵檢測系統、沙箱系統。虛擬化的網絡功能元素通過從基礎設備層提供的api接口,獲得虛擬計算、虛擬存儲、虛擬網絡資源。
流量初判平臺不僅具有防火墻的防御策略(例如:流量的合規性檢測);還包含一些機器學習算法能夠判斷可能存在某種攻擊模式。當然,流量初判平臺在部署之前,要有一個無攻擊狀態學習過程。獲取無攻擊狀態的流量信息特征。尤其是數據包頭信息的特征。例如黑客發動synflooding攻擊,能夠突破防火墻的防御策略。此時,機器學習算法通過對進入系統的這段流量的類型統計,發現syn包的類型值超過無攻擊狀態的閾值。就可以斷定該段流量中存在synflooding攻擊。并將結果發送給流安全管理中心。
入侵檢測(idsintrusiondetectionsystems)在本安全一體機中,ids系統是安全服務鏈中的重要組成部分。通過對進入系統的灰流鏡像的網絡行為進行分析,得出某段流量是否具有哪種安全特性。最后,將結果發送給流安全管理中心。
沙箱也是安全服務鏈中的重要組成部分。其模擬終端系統的運行環境,讓灰流的鏡像在沙箱的仿真系統中模擬運行。監測其對仿真系統是否具有惡意行為。以此確定某段流量是否具有黑流或白流特性。最終,將結果發送給流安全管理中心。
sdn交換機指的是利用sdn技術實現交換機里的邏輯控制層與數據轉發層分 離,通過配置定向流表,實現數據流以最優化的路徑轉發到目標端口上,大大提高轉發效率,降低傳輸延遲。
安全服務鏈:在本文的安全一體機中,由不同類型網絡安全設備的功能虛擬化后,而組成實現。它的組合方式既可以由用戶手動設置,也可以由流安全管理中心根據要檢測灰流的類型,自動配置。例如,虛擬ids與虛擬沙箱組合。
黑流:表示已經明確判斷出屬于入侵或異常的流量,此類數據流應該被阻斷。一旦發現黑流,流安全管理中心會直接阻斷此類數據流。灰流:是表示流安全管理中心在結合流量初判平臺的分析結果與用戶設置的白名單,綜合分析之后,仍無法準確的判斷出其是黑流或白流的流量。因此,其仍需要通過安全服務鏈進行持續的深度安全分析,以判斷其真正網絡行為的流量。對于這類數據流,需要通過流安全管理中心控制sdn交換機,對灰流下發流表,令進入安全服務鏈中,進行深度檢測,直到發現其具體屬性。也就是該數據流呈現的是黑流特性,還是白流特性。并進行后續相應操作。白流:表示正常訪問流量。此類數據流,安全一體機會直接轉發。無需通過安全設備檢測。
由圖3可知,本實施例提供的安全一體機3包括:
基礎設施層31:基礎設施層是建立在通用的x86平臺的基礎上,配置部署上其所需要的計算、存儲、網絡等硬件資源,通過虛擬層的抽象,構建出一個虛擬化的資源池,向上給虛擬化的網絡功能層中的虛擬化的網絡功能提供服務。本基礎設施層是構建在通用的x86平臺上的,向上層提供統一的開放性的api接口。大大減少了原來終端服務器需要購買專有的安全設備的成本,增強了網絡接口的靈活度。
虛擬化網絡功能層32:虛擬化網絡功能層是安全一體機中的最重要的核心 層,通過基礎設施層所提供的開放性api接口,使用其中虛擬資源,如虛擬計算、虛擬存儲、虛擬網絡等資源。構建部署具有安全防護性的虛擬化的網絡功能。在本專利所設計的虛擬化網絡功能層中,共部署了四個虛擬化的網絡功能系統。分別是sdn交換機、防火墻、入侵檢測、沙箱。但是本安全一體機的虛擬化網絡功能層是具有開放性的。也就是說,本層不僅可以部署本專利中所提到的四個安全功能虛擬化的網絡功能,同時用戶可以根據自己的需求,安裝所需要的功能虛擬化的網絡功能。這些虛擬化的網絡功能系統與專用的安全設備不同,他們是通過與專有的硬件解耦,是構建在虛擬化平臺上的網絡功能的軟件實現。
流安全管理中心33:流安全管理中心是安全一體機中負責管理編排虛擬網絡功能層中各個虛擬化網絡功能模塊的重要管理編排域,它不僅能夠實現對虛擬網絡功能層的管控,同時還提供用戶配置的功能。用戶可以根據數據流的來源,來設定給予檢測其安全性的虛擬網絡功能層。例如:當數據流通過安全一體機時,流安全管理中心通過流量初判平臺給出的初步安全判斷。再綜合用戶的配置信息,給予虛擬sdn交換機下達指令,令其給數據流配置相應的流表。使得不同類型的數據流進入不同的虛擬化的網絡功能模塊檢測。最終能夠讓白流安全、快速的到達終端服務器,獲取所需要的服務。
對應的,如圖4所示,本實施例提供的檢測方法包括:
s401:訪問數據流初判:將訪問數據流的鏡像導入安全一體機,安全一體機中的流量初判平臺將數據流的初步分析結果發送給流安全管理中心。
s402:轉發白流,阻斷黑流,下發灰流;流安全管理中心綜合流量初判平臺所得出的結果與用戶設置白名單,把白流直接轉發到終端服務器上;黑流被 直接阻斷;對于灰流,會要求虛擬sdn交換機給其鏡像下發的進入安全服務鏈的流表。
s403:多次檢測灰流,直至確定為白流或黑流;當這些灰流的鏡像進入安全服務鏈中,一遍流程之后,對于其中能夠區分出具有白流特性的數據流鏡像,流安全管理中心把其對應的真實數據流直接轉發到終端服務器上,對應的黑流則會被直接阻斷。對于仍未能區分出特性的灰流鏡像,這段灰流會被流安全管理中心標記,得將其后續的數據流繼續被鏡像到安全服務鏈中。再經過一遍流程,對于仍未能檢測出安全性的灰流,流安全管理中心會將這段灰流轉發到系統終端上。但是這段灰流會被標記。當有后續數據包訪問系統終端時,還得繼續把其后續的數據包,鏡像到安全服務鏈中。不斷的循環重復。一旦發現該數據流鏡像是呈現黑流特性,則立即將其對應的真實流量阻斷。
在安全一體機中,流安全管理中心主要功能是對虛擬網絡功能層中的虛擬化的安全設備模塊管理編排,通過虛擬化的安全設備模塊對流量鏡像的安全檢測。實現流安全管理中心指導正常流量能夠安全高效的到達終端服務器,惡意流量被阻斷。例如管理安全設備類型和相應的端口號,下發適當指令,引導數據流的流向。并且可以向用戶提供配置頁面。用戶可以根據流量的不同特征,配置對應的安全檢測設備。對于白流的判斷,其還引入一個白名單機制,用戶通過設置流的白名單,讓白流只需通過防火墻的簡單檢測后,直接被轉發。
同時流安全管理中心對系統中的安全設備編排創建虛擬安全服務鏈。通過令sdn交換機為灰流下發流表項,使其先后經過交換機的多個端口,以實現被多個安全設備所檢測,形成所謂的一條鏈狀的安全服務結構,即安全服務鏈。
流安全管理中心會設置多個api接口分別連接對應的虛擬設備。用于接收 安全設備對灰流鏡像的處理報告。例如虛擬沙箱對流安全管理中心發送處理報告,流安全管理中心會把具有黑流性質的流量直接阻斷,白流放行,而這部分灰流會被標記,也轉發到終端系統中,同時要求其后續數據包也發送到安全服務鏈中。
現模擬一股具有50條白流與5條黑流的流量欲訪問終端系統。安全一體機將通過下面幾個步驟來處理此股數據流,使得具有白流特性的數據流順利的訪問系統,而具有黑流特性的數據流無法進入。
安全一體機預先配置階段,該階段包括:安全一體機首先經過無攻擊狀態的流量訓練,使得流量初判平臺可以預先得到流量特征的標準閾值;用戶根據自己的需要對來訪流量設置白名單;當有數據流要訪問終端服務器,啟動安全一體機。
訪問數據流初次分流階段,該階段包括:
安全一體機中的流安全管理中心要求流量初判平臺對訪問流量首先進行合規性檢測,并要求其采用自身的機器學習算法對合規的流量,檢索其信息特征,并進行第一次分析判斷。(例如:區分出如視頻流、語音流等具有白流特性流量,判斷在剩余流量中是否混雜某種或某幾種的惡意流量,對于無法判斷安全屬性的流量和混雜惡意行為的流量會被認定為灰流)確定出35條白流,2條黑流。流量初判平臺把分析結果發送給流安全管理中心。
流安全管理中心將來訪流量對比自身的白名單,又確認了5條白流。此時,共確定了40條白流,2條黑流。對于剩余的13條流量,由于流量初判平臺與白名單機制不能完全區分出其中的黑流,因此被認為是灰流。
流安全管理中心把這40條白流直接轉發到終端服務器;2條黑流被阻斷; 將剩余的13條灰流鏡像到安全服務鏈中。
灰流分析處理階段,該階段包括:
流安全管理中心根據訪問數據流初次分流階段中的分析結果自動部署安全服務鏈,(例如:構建虛擬ids與虛擬沙箱組成的安全服務鏈,假如在流量初判平臺中,判斷可能混雜間諜行為的流量,需要在安全服務鏈中補充反間諜系統對間諜流量給于區分阻斷。)或依據用戶的手動配置來部署安全服務鏈。
流安全管理中心給sdn交換機下發指令,要求交換機給灰流鏡像下發流向安全服務鏈的流表項。
灰流經過虛擬ids檢測后,虛擬ids發現鏡像中存在黑流1條,白流2條。虛擬ids把灰流鏡像發送到虛擬沙箱中。然后把處理結果發送給流安全管理中心。
流安全管理中心將那2條白流轉發到終端,那1條黑流阻斷。
剩余灰流經過虛擬沙箱檢測后,虛擬沙箱又發現鏡像中存在黑流1條,白流4條。虛擬沙箱把處理結果發送給流安全管理中心。
流安全管理中心將那4條白流轉發到終端,那1條黑流阻斷。剩余灰流被標記。對應其真實的灰流也要求轉發給終端系統。
當有被標記灰流的后續數據包要訪問終端時,流安全管理中心直接將其鏡像到安全服務鏈上。
安全服務鏈檢測出存在黑流1條,白流4條。并把處理結果發送給流安全管理中心。
流安全管理中心將那條黑流丟棄,剩余4條白流轉發到終端。
本實施例提供的安全一體機具備以下優點:這樣的設計,使得通過流安全管理中心控制網絡流實現安全設備間的協同聯動。降低整體的檢測計算負載,降低誤報,提高安全檢測的性能;通過設立流安全管理中心,對不同流量下達配置不同流表項的命令,使得不同類型,不同級別的數據流進入不同的安全端口,這樣分類處理的方式,避免了所有的數據流都進入安全檢測設備,減輕檢測設備的壓力,同時,對黑流阻斷,對白流放行,灰流周期性反復檢測,提高安全一體機的運行效率;流安全管理中心讓未知安全性的灰流及其后續包通過安全服務鏈,通過對灰流的反復跟蹤檢測,高度的確保流入終端服務器的數據流的安全性;流安全管理中心給用戶提供配置界面,用戶可以根據數據流的來源ip,設置其所要經過的虛擬安全設備,這樣的設計,提高了安全一體機系統的靈活度;基于nfv框架下對訪問數據流進行安全處理的一種方案。其中的安全設備的硬件實現是建立在一個統一的x86平臺上,在基礎設施層提供的資源的基礎上,在網絡功能層中配置具有專有安全設備功能的軟刀片,這樣的設計,大大降低了實現的成本,同時免去了各個專有的安全設備可能不兼容的缺點。
綜上可知,通過本發明的實施,至少存在以下有益效果:
本發明提供了一種數據流監測方法,在接收到訪問數據流后,先獲取該訪問數據流的安全屬性,根據不同的安全屬性對數據流進行分流,針對不同屬性的數據流執行不同的檢測策略,例如對黑流阻斷,對白流放行,灰流周期性反復檢測,提高了監測效率,解決了現有技術對所有訪問數據流都進行檢測導致的監測效率較低的問題。
以上僅是本發明的具體實施方式而已,并非對本發明做任何形式上的限制,凡是依據本發明的技術實質對以上實施方式所做的任意簡單修改、等同變化、結合或修飾,均仍屬于本發明技術方案的保護范圍。
- 還沒有人留言評論。精彩留言會獲得點贊!