数据流监测方法及装置与流程
本发明涉及通信安全领域,尤其涉及一种数据流监测方法及装置。
背景技术:
当前大多数网络安全设备的部署模式,是安全设备之间通过串联进行相连接,通过让访问数据流进入安全设备,安全设备对通过的所有数据流进行检测,过滤,经过安全设备检测过滤后,正常的数据流再进入目的服务器。这种部署方式虽然可以成功的抵御恶意数据流对系统的攻击,但是效率较为低下,因为系统中的安全设备不仅需要对异常数据流进行检测,而且对于正常的数据流也要检测,所有的数据流得通过所部属的所有安全设备,导致检测效率差、数据流的检测时间长、同时增加了安全设备的负载,而且在传统的网络安全系统中,由于不同安全设备模块的性能各有侧重,为了提高检测的效率,因此将不同安全设备模块部署在一起,这样就使得部署网络安全系统的复杂度提高了。
针对上述问题,提出一种解决现有技术对所有访问数据流都进行检测导致的检测效率较低的数据流监测方法,是本领域技术人员亟待解决的技术问题。
技术实现要素:
本发明提供了一种数据流监测方法及装置,以解决现有技术对所有访问数据流都进行检测导致的检测效率较低的问题。
本发明提供了一种数据流监测方法,其包括:
获取访问数据流的源端标识;
根据预设的白名单及源端标识,配置访问数据流的安全属性,安全属性包括白流、灰流、黑流;
根据访问数据流的安全属性,分流访问数据流。
进一步的,还包括:对访问数据流进行初判,判断是否为攻击性数据流,输出初判结果;配置访问数据流的安全属性包括:根据访问数据流的初判结果、源端标识与白名单,设置安全属性。
进一步的,在对访问数据流进行初判之前,还包括:进行无攻击状态学习,获取无攻击状态的数据流的特征信息,根据无攻击状态的数据流的特征信息,判断访问数据流是否为攻击性数据流。
进一步的,配置安全属性包括:当访问数据流的源端标识属于白名单时,将访问数据流的安全属性设置为白流;当访问数据流的源端标识不属于白名单、且访问数据流的初判结果不为攻击性数据流时,将访问数据流的安全属性设置为灰流;当访问数据流的源端标识不属于白名单、且访问数据流的初判结果为攻击性数据流时,将访问数据流的安全属性设置为黑流。
进一步的,根据访问数据流的安全属性,分流访问数据流包括:使用软件定义网络,转发安全属性为白流的访问数据流至目标设备,阻断安全属性为黑流的访问数据流,转发安全属性为灰流的访问数据流至虚拟安全服务链。
进一步的,在转发安全属性为灰流的访问数据流至虚拟安全服务链之后,还包括:通过虚拟安全服务链使用虚拟入侵检测系统对访问数据流的网络行为进行分析,使用虚拟沙箱模拟目标设备运行环境、并运行访问数据流分析是否具有恶意行为,根据分析结果判断安全属性为灰流的访问数据流为白流或者黑 流。
本发明提供了一种数据流监测装置,其包括:
获取模块,用于获取访问数据流的源端标识
配置模块,用于根据预设的白名单及源端标识,配置访问数据流的安全属性,安全属性包括白流、灰流、黑流;
监测模块,用于根据访问数据流的安全属性,分流访问数据流。
进一步的,还包括初判模块,用于对访问数据流进行初判,判断是否为攻击性数据流,输出初判结果;配置模块具体用于根据访问数据流的初判结果、源端标识与白名单,配置安全属性。
进一步的,初判模块在对访问数据流进行初判之前,还用于进行无攻击状态学习,获取无攻击状态的数据流的特征信息,根据无攻击状态的数据流的特征信息,判断访问数据流是否为攻击性数据流。
进一步的,配置模块用于当访问数据流的源端标识属于白名单时,将访问数据流的安全属性设置为白流;当访问数据流的源端标识不属于白名单、且访问数据流的初判结果不为攻击性数据流时,将访问数据流的安全属性设置为灰流;当访问数据流的源端标识不属于白名单、且访问数据流的初判结果为攻击性数据流时,将访问数据流的安全属性设置为黑流。
进一步的,监测模块用于使用软件定义网络,转发安全属性为白流的访问数据流至目标设备,阻断安全属性为黑流的访问数据流,转发安全属性为灰流的访问数据流至虚拟安全服务链。
进一步的,还包括分析模块,用于通过虚拟安全服务链使用虚拟入侵检测系 统对访问数据流的网络行为进行分析,使用虚拟沙箱模拟目标设备运行环境、并运行访问数据流分析是否具有恶意行为,根据分析结果判断安全属性为灰流的访问数据流为白流或者黑流。
本发明的有益效果:
本发明提供了一种数据流监测方法,在接收到访问数据流后,先获取该访问数据流的安全属性,根据不同的安全属性对数据流进行分流,针对不同属性的数据流执行不同的检测策略,例如对黑流阻断,对白流放行,灰流周期性反复检测,提高了监测效率,实现了重点难断数据流(灰流)的重点分析,解决了现有技术对所有访问数据流都进行检测导致的监测效率较低的问题。
附图说明
图1为本发明第一实施例提供的数据流监测装置的结构示意图;
图2为本发明第二实施例提供的数据流监测方法的流程图;
图3为本发明第三实施例提供的安全一体机的结构示意图;
图4为本发明第三实施例中安全一体机运行流程图。
具体实施方式
现通过具体实施方式结合附图的方式对本发明做出进一步的诠释说明。
第一实施例:
图1为本发明第一实施例提供的数据流监测装置的结构示意图,由图1可知,在本实施例中,本发明提供的数据流监测装置1包括:
获取模块11,用于获取访问数据流的源端标识
配置模块12,用于根据预设的白名单及源端标识,配置访问数据流的安全属性,安全属性包括白流、灰流、黑流;
监测模块13,用于根据访问数据流的安全属性,分流访问数据流。
在一些实施例中,如图1所示,上述实施例中的数据流监测装置1还包括初判模块14,用于对访问数据流进行初判,判断是否为攻击性数据流,输出初判结果;配置模块12具体用于根据访问数据流的初判结果、源端标识与白名单,配置安全属性。
在一些实施例中,上述实施例中的初判模块14在对访问数据流进行初判之前,还用于进行无攻击状态学习,获取无攻击状态的数据流的特征信息,根据无攻击状态的数据流的特征信息,判断访问数据流是否为攻击性数据流。
在一些实施例中,上述实施例中的配置模块12用于当访问数据流的源端标识属于白名单时,将访问数据流的安全属性设置为白流;当访问数据流的源端标识不属于白名单、且访问数据流的初判结果不为攻击性数据流时,将访问数据流的安全属性设置为灰流;当访问数据流的源端标识不属于白名单、且访问数据流的初判结果为攻击性数据流时,将访问数据流的安全属性设置为黑流。
在一些实施例中,上述实施例中的监测模块12用于使用软件定义网络,转发安全属性为白流的访问数据流至目标设备,阻断安全属性为黑流的访问数据流,转发安全属性为灰流的访问数据流至虚拟安全服务链。
在一些实施例中,如图1所示,上述实施例中的数据流监测装置还包括分析模块15,用于通过虚拟安全服务链使用虚拟入侵检测系统对访问数据流的网络行为进行分析,使用虚拟沙箱模拟目标设备运行环境、并运行访问数据流分析是否具有恶意行为,根据分析结果判断安全属性为灰流的访问数据流为白流 或者黑流。
对应的,本发明提供了一种通信系统,其包括本发明提供的数据流监测装置1。
第二实施例:
图2为本发明第二实施例提供的数据流监测方法的流程图,由图2可知,在本实施例中,本发明提供的数据流监测方法包括以下步骤:
s201:获取访问数据流的源端标识;
s202:根据预设的白名单及源端标识,配置访问数据流的安全属性,获取访问数据流的安全属性,安全属性包括白流、灰流、黑流;
s203:根据访问数据流的安全属性,分流访问数据流。
在一些实施例中,上述实施例中的方法还包括:对访问数据流进行初判,判断是否为攻击性数据流,输出初判结果;根据访问数据流的初判结果、源端标识与白名单,设置安全属性。
在一些实施例中,上述实施例中的方法在对访问数据流进行初判之前,还包括:进行无攻击状态学习,获取无攻击状态的数据流的特征信息,根据无攻击状态的数据流的特征信息,判断访问数据流是否为攻击性数据流。
在一些实施例中,上述实施例中的配置安全属性包括:当访问数据流的源端标识属于白名单时,将访问数据流的安全属性设置为白流;当访问数据流的源端标识不属于白名单、且访问数据流的初判结果不为攻击性数据流时,将访问数据流的安全属性设置为灰流;当访问数据流的源端标识不属于白名单、且访问数据流的初判结果为攻击性数据流时,将访问数据流的安全属性设置为黑 流。
在一些实施例中,上述实施例中的根据访问数据流的安全属性,分流访问数据流包括:使用软件定义网络,转发安全属性为白流的访问数据流至目标设备,阻断安全属性为黑流的访问数据流,转发安全属性为灰流的访问数据流至虚拟安全服务链。
在一些实施例中,上述实施例中的方法在转发安全属性为灰流的访问数据流至虚拟安全服务链之后,还包括:通过虚拟安全服务链使用虚拟入侵检测系统对访问数据流的网络行为进行分析,使用虚拟沙箱模拟目标设备运行环境、并运行访问数据流分析是否具有恶意行为,根据分析结果判断安全属性为灰流的访问数据流为白流或者黑流。
第三实施例:
现结合具体应用场景对本发明做进一步的诠释说明。
针对现有大多数网络安全设备的部署模式存在的效率较为低下及网络安全系统复杂度较高的问题,本实施例为了提高对访问数据流的检测精确度,降低部署网络安全系统的复杂度,本实施例提供了一种面向网络功能虚拟化的安全一体机,该安全一体机的各功能模块配合实现第一实施例中数据流管理装置的功能。
本实施例提供的安全一体机设计一个流安全管理中心,引入了最新的大数据分析技术来对数据流做初步的分析;引入了sdn(softwaredefinednetworking,软件定义网络)技术,通过对不同安全属性的数据流进行分类检测,对于可疑的数据流及其后续数据包的反复检测,来实现对数据流的全面的管控。提高检测效率,同时,引入了nfv(networkfunctionvirtualization, 网络功能虚拟化)技术,通过对系统中各个安全设备的功能虚拟化,使其部署在一台x86平台中,降低部署的复杂度,提高了安全系统的协同能力。vnf(virtualnetworkingfunction,虚拟化的网络功能)是指nfv结构框架中的一种功能元素。是网络功能的软件实现,如虚拟化的入侵检测系统、沙箱系统。虚拟化的网络功能元素通过从基础设备层提供的api接口,获得虚拟计算、虚拟存储、虚拟网络资源。
流量初判平台不仅具有防火墙的防御策略(例如:流量的合规性检测);还包含一些机器学习算法能够判断可能存在某种攻击模式。当然,流量初判平台在部署之前,要有一个无攻击状态学习过程。获取无攻击状态的流量信息特征。尤其是数据包头信息的特征。例如黑客发动synflooding攻击,能够突破防火墙的防御策略。此时,机器学习算法通过对进入系统的这段流量的类型统计,发现syn包的类型值超过无攻击状态的阈值。就可以断定该段流量中存在synflooding攻击。并将结果发送给流安全管理中心。
入侵检测(idsintrusiondetectionsystems)在本安全一体机中,ids系统是安全服务链中的重要组成部分。通过对进入系统的灰流镜像的网络行为进行分析,得出某段流量是否具有哪种安全特性。最后,将结果发送给流安全管理中心。
沙箱也是安全服务链中的重要组成部分。其模拟终端系统的运行环境,让灰流的镜像在沙箱的仿真系统中模拟运行。监测其对仿真系统是否具有恶意行为。以此确定某段流量是否具有黑流或白流特性。最终,将结果发送给流安全管理中心。
sdn交换机指的是利用sdn技术实现交换机里的逻辑控制层与数据转发层分 离,通过配置定向流表,实现数据流以最优化的路径转发到目标端口上,大大提高转发效率,降低传输延迟。
安全服务链:在本文的安全一体机中,由不同类型网络安全设备的功能虚拟化后,而组成实现。它的组合方式既可以由用户手动设置,也可以由流安全管理中心根据要检测灰流的类型,自动配置。例如,虚拟ids与虚拟沙箱组合。
黑流:表示已经明确判断出属于入侵或异常的流量,此类数据流应该被阻断。一旦发现黑流,流安全管理中心会直接阻断此类数据流。灰流:是表示流安全管理中心在结合流量初判平台的分析结果与用户设置的白名单,综合分析之后,仍无法准确的判断出其是黑流或白流的流量。因此,其仍需要通过安全服务链进行持续的深度安全分析,以判断其真正网络行为的流量。对于这类数据流,需要通过流安全管理中心控制sdn交换机,对灰流下发流表,令进入安全服务链中,进行深度检测,直到发现其具体属性。也就是该数据流呈现的是黑流特性,还是白流特性。并进行后续相应操作。白流:表示正常访问流量。此类数据流,安全一体机会直接转发。无需通过安全设备检测。
由图3可知,本实施例提供的安全一体机3包括:
基础设施层31:基础设施层是建立在通用的x86平台的基础上,配置部署上其所需要的计算、存储、网络等硬件资源,通过虚拟层的抽象,构建出一个虚拟化的资源池,向上给虚拟化的网络功能层中的虚拟化的网络功能提供服务。本基础设施层是构建在通用的x86平台上的,向上层提供统一的开放性的api接口。大大减少了原来终端服务器需要购买专有的安全设备的成本,增强了网络接口的灵活度。
虚拟化网络功能层32:虚拟化网络功能层是安全一体机中的最重要的核心 层,通过基础设施层所提供的开放性api接口,使用其中虚拟资源,如虚拟计算、虚拟存储、虚拟网络等资源。构建部署具有安全防护性的虚拟化的网络功能。在本专利所设计的虚拟化网络功能层中,共部署了四个虚拟化的网络功能系统。分别是sdn交换机、防火墙、入侵检测、沙箱。但是本安全一体机的虚拟化网络功能层是具有开放性的。也就是说,本层不仅可以部署本专利中所提到的四个安全功能虚拟化的网络功能,同时用户可以根据自己的需求,安装所需要的功能虚拟化的网络功能。这些虚拟化的网络功能系统与专用的安全设备不同,他们是通过与专有的硬件解耦,是构建在虚拟化平台上的网络功能的软件实现。
流安全管理中心33:流安全管理中心是安全一体机中负责管理编排虚拟网络功能层中各个虚拟化网络功能模块的重要管理编排域,它不仅能够实现对虚拟网络功能层的管控,同时还提供用户配置的功能。用户可以根据数据流的来源,来设定给予检测其安全性的虚拟网络功能层。例如:当数据流通过安全一体机时,流安全管理中心通过流量初判平台给出的初步安全判断。再综合用户的配置信息,给予虚拟sdn交换机下达指令,令其给数据流配置相应的流表。使得不同类型的数据流进入不同的虚拟化的网络功能模块检测。最终能够让白流安全、快速的到达终端服务器,获取所需要的服务。
对应的,如图4所示,本实施例提供的检测方法包括:
s401:访问数据流初判:将访问数据流的镜像导入安全一体机,安全一体机中的流量初判平台将数据流的初步分析结果发送给流安全管理中心。
s402:转发白流,阻断黑流,下发灰流;流安全管理中心综合流量初判平台所得出的结果与用户设置白名单,把白流直接转发到终端服务器上;黑流被 直接阻断;对于灰流,会要求虚拟sdn交换机给其镜像下发的进入安全服务链的流表。
s403:多次检测灰流,直至确定为白流或黑流;当这些灰流的镜像进入安全服务链中,一遍流程之后,对于其中能够区分出具有白流特性的数据流镜像,流安全管理中心把其对应的真实数据流直接转发到终端服务器上,对应的黑流则会被直接阻断。对于仍未能区分出特性的灰流镜像,这段灰流会被流安全管理中心标记,得将其后续的数据流继续被镜像到安全服务链中。再经过一遍流程,对于仍未能检测出安全性的灰流,流安全管理中心会将这段灰流转发到系统终端上。但是这段灰流会被标记。当有后续数据包访问系统终端时,还得继续把其后续的数据包,镜像到安全服务链中。不断的循环重复。一旦发现该数据流镜像是呈现黑流特性,则立即将其对应的真实流量阻断。
在安全一体机中,流安全管理中心主要功能是对虚拟网络功能层中的虚拟化的安全设备模块管理编排,通过虚拟化的安全设备模块对流量镜像的安全检测。实现流安全管理中心指导正常流量能够安全高效的到达终端服务器,恶意流量被阻断。例如管理安全设备类型和相应的端口号,下发适当指令,引导数据流的流向。并且可以向用户提供配置页面。用户可以根据流量的不同特征,配置对应的安全检测设备。对于白流的判断,其还引入一个白名单机制,用户通过设置流的白名单,让白流只需通过防火墙的简单检测后,直接被转发。
同时流安全管理中心对系统中的安全设备编排创建虚拟安全服务链。通过令sdn交换机为灰流下发流表项,使其先后经过交换机的多个端口,以实现被多个安全设备所检测,形成所谓的一条链状的安全服务结构,即安全服务链。
流安全管理中心会设置多个api接口分别连接对应的虚拟设备。用于接收 安全设备对灰流镜像的处理报告。例如虚拟沙箱对流安全管理中心发送处理报告,流安全管理中心会把具有黑流性质的流量直接阻断,白流放行,而这部分灰流会被标记,也转发到终端系统中,同时要求其后续数据包也发送到安全服务链中。
现模拟一股具有50条白流与5条黑流的流量欲访问终端系统。安全一体机将通过下面几个步骤来处理此股数据流,使得具有白流特性的数据流顺利的访问系统,而具有黑流特性的数据流无法进入。
安全一体机预先配置阶段,该阶段包括:安全一体机首先经过无攻击状态的流量训练,使得流量初判平台可以预先得到流量特征的标准阈值;用户根据自己的需要对来访流量设置白名单;当有数据流要访问终端服务器,启动安全一体机。
访问数据流初次分流阶段,该阶段包括:
安全一体机中的流安全管理中心要求流量初判平台对访问流量首先进行合规性检测,并要求其采用自身的机器学习算法对合规的流量,检索其信息特征,并进行第一次分析判断。(例如:区分出如视频流、语音流等具有白流特性流量,判断在剩余流量中是否混杂某种或某几种的恶意流量,对于无法判断安全属性的流量和混杂恶意行为的流量会被认定为灰流)确定出35条白流,2条黑流。流量初判平台把分析结果发送给流安全管理中心。
流安全管理中心将来访流量对比自身的白名单,又确认了5条白流。此时,共确定了40条白流,2条黑流。对于剩余的13条流量,由于流量初判平台与白名单机制不能完全区分出其中的黑流,因此被认为是灰流。
流安全管理中心把这40条白流直接转发到终端服务器;2条黑流被阻断; 将剩余的13条灰流镜像到安全服务链中。
灰流分析处理阶段,该阶段包括:
流安全管理中心根据访问数据流初次分流阶段中的分析结果自动部署安全服务链,(例如:构建虚拟ids与虚拟沙箱组成的安全服务链,假如在流量初判平台中,判断可能混杂间谍行为的流量,需要在安全服务链中补充反间谍系统对间谍流量给于区分阻断。)或依据用户的手动配置来部署安全服务链。
流安全管理中心给sdn交换机下发指令,要求交换机给灰流镜像下发流向安全服务链的流表项。
灰流经过虚拟ids检测后,虚拟ids发现镜像中存在黑流1条,白流2条。虚拟ids把灰流镜像发送到虚拟沙箱中。然后把处理结果发送给流安全管理中心。
流安全管理中心将那2条白流转发到终端,那1条黑流阻断。
剩余灰流经过虚拟沙箱检测后,虚拟沙箱又发现镜像中存在黑流1条,白流4条。虚拟沙箱把处理结果发送给流安全管理中心。
流安全管理中心将那4条白流转发到终端,那1条黑流阻断。剩余灰流被标记。对应其真实的灰流也要求转发给终端系统。
当有被标记灰流的后续数据包要访问终端时,流安全管理中心直接将其镜像到安全服务链上。
安全服务链检测出存在黑流1条,白流4条。并把处理结果发送给流安全管理中心。
流安全管理中心将那条黑流丢弃,剩余4条白流转发到终端。
本实施例提供的安全一体机具备以下优点:这样的设计,使得通过流安全管理中心控制网络流实现安全设备间的协同联动。降低整体的检测计算负载,降低误报,提高安全检测的性能;通过设立流安全管理中心,对不同流量下达配置不同流表项的命令,使得不同类型,不同级别的数据流进入不同的安全端口,这样分类处理的方式,避免了所有的数据流都进入安全检测设备,减轻检测设备的压力,同时,对黑流阻断,对白流放行,灰流周期性反复检测,提高安全一体机的运行效率;流安全管理中心让未知安全性的灰流及其后续包通过安全服务链,通过对灰流的反复跟踪检测,高度的确保流入终端服务器的数据流的安全性;流安全管理中心给用户提供配置界面,用户可以根据数据流的来源ip,设置其所要经过的虚拟安全设备,这样的设计,提高了安全一体机系统的灵活度;基于nfv框架下对访问数据流进行安全处理的一种方案。其中的安全设备的硬件实现是建立在一个统一的x86平台上,在基础设施层提供的资源的基础上,在网络功能层中配置具有专有安全设备功能的软刀片,这样的设计,大大降低了实现的成本,同时免去了各个专有的安全设备可能不兼容的缺点。
综上可知,通过本发明的实施,至少存在以下有益效果:
本发明提供了一种数据流监测方法,在接收到访问数据流后,先获取该访问数据流的安全属性,根据不同的安全属性对数据流进行分流,针对不同属性的数据流执行不同的检测策略,例如对黑流阻断,对白流放行,灰流周期性反复检测,提高了监测效率,解决了现有技术对所有访问数据流都进行检测导致的监测效率较低的问题。
以上仅是本发明的具体实施方式而已,并非对本发明做任何形式上的限制,凡是依据本发明的技术实质对以上实施方式所做的任意简单修改、等同变化、结合或修饰,均仍属于本发明技术方案的保护范围。
- 还没有人留言评论。精彩留言会获得点赞!