两个人的电影免费视频_国产精品久久久久久久久成人_97视频在线观看播放_久久这里只有精品777_亚洲熟女少妇二三区_4438x8成人网亚洲av_内谢国产内射夫妻免费视频_人妻精品久久久久中国字幕

數(shù)據(jù)流監(jiān)測方法及裝置與流程

文檔序號:11206233閱讀:1580來源:國知局
數(shù)據(jù)流監(jiān)測方法及裝置與流程

本發(fā)明涉及通信安全領(lǐng)域,尤其涉及一種數(shù)據(jù)流監(jiān)測方法及裝置。



背景技術(shù):

當(dāng)前大多數(shù)網(wǎng)絡(luò)安全設(shè)備的部署模式,是安全設(shè)備之間通過串聯(lián)進行相連接,通過讓訪問數(shù)據(jù)流進入安全設(shè)備,安全設(shè)備對通過的所有數(shù)據(jù)流進行檢測,過濾,經(jīng)過安全設(shè)備檢測過濾后,正常的數(shù)據(jù)流再進入目的服務(wù)器。這種部署方式雖然可以成功的抵御惡意數(shù)據(jù)流對系統(tǒng)的攻擊,但是效率較為低下,因為系統(tǒng)中的安全設(shè)備不僅需要對異常數(shù)據(jù)流進行檢測,而且對于正常的數(shù)據(jù)流也要檢測,所有的數(shù)據(jù)流得通過所部屬的所有安全設(shè)備,導(dǎo)致檢測效率差、數(shù)據(jù)流的檢測時間長、同時增加了安全設(shè)備的負載,而且在傳統(tǒng)的網(wǎng)絡(luò)安全系統(tǒng)中,由于不同安全設(shè)備模塊的性能各有側(cè)重,為了提高檢測的效率,因此將不同安全設(shè)備模塊部署在一起,這樣就使得部署網(wǎng)絡(luò)安全系統(tǒng)的復(fù)雜度提高了。

針對上述問題,提出一種解決現(xiàn)有技術(shù)對所有訪問數(shù)據(jù)流都進行檢測導(dǎo)致的檢測效率較低的數(shù)據(jù)流監(jiān)測方法,是本領(lǐng)域技術(shù)人員亟待解決的技術(shù)問題。



技術(shù)實現(xiàn)要素:

本發(fā)明提供了一種數(shù)據(jù)流監(jiān)測方法及裝置,以解決現(xiàn)有技術(shù)對所有訪問數(shù)據(jù)流都進行檢測導(dǎo)致的檢測效率較低的問題。

本發(fā)明提供了一種數(shù)據(jù)流監(jiān)測方法,其包括:

獲取訪問數(shù)據(jù)流的源端標識;

根據(jù)預(yù)設(shè)的白名單及源端標識,配置訪問數(shù)據(jù)流的安全屬性,安全屬性包括白流、灰流、黑流;

根據(jù)訪問數(shù)據(jù)流的安全屬性,分流訪問數(shù)據(jù)流。

進一步的,還包括:對訪問數(shù)據(jù)流進行初判,判斷是否為攻擊性數(shù)據(jù)流,輸出初判結(jié)果;配置訪問數(shù)據(jù)流的安全屬性包括:根據(jù)訪問數(shù)據(jù)流的初判結(jié)果、源端標識與白名單,設(shè)置安全屬性。

進一步的,在對訪問數(shù)據(jù)流進行初判之前,還包括:進行無攻擊狀態(tài)學(xué)習(xí),獲取無攻擊狀態(tài)的數(shù)據(jù)流的特征信息,根據(jù)無攻擊狀態(tài)的數(shù)據(jù)流的特征信息,判斷訪問數(shù)據(jù)流是否為攻擊性數(shù)據(jù)流。

進一步的,配置安全屬性包括:當(dāng)訪問數(shù)據(jù)流的源端標識屬于白名單時,將訪問數(shù)據(jù)流的安全屬性設(shè)置為白流;當(dāng)訪問數(shù)據(jù)流的源端標識不屬于白名單、且訪問數(shù)據(jù)流的初判結(jié)果不為攻擊性數(shù)據(jù)流時,將訪問數(shù)據(jù)流的安全屬性設(shè)置為灰流;當(dāng)訪問數(shù)據(jù)流的源端標識不屬于白名單、且訪問數(shù)據(jù)流的初判結(jié)果為攻擊性數(shù)據(jù)流時,將訪問數(shù)據(jù)流的安全屬性設(shè)置為黑流。

進一步的,根據(jù)訪問數(shù)據(jù)流的安全屬性,分流訪問數(shù)據(jù)流包括:使用軟件定義網(wǎng)絡(luò),轉(zhuǎn)發(fā)安全屬性為白流的訪問數(shù)據(jù)流至目標設(shè)備,阻斷安全屬性為黑流的訪問數(shù)據(jù)流,轉(zhuǎn)發(fā)安全屬性為灰流的訪問數(shù)據(jù)流至虛擬安全服務(wù)鏈。

進一步的,在轉(zhuǎn)發(fā)安全屬性為灰流的訪問數(shù)據(jù)流至虛擬安全服務(wù)鏈之后,還包括:通過虛擬安全服務(wù)鏈使用虛擬入侵檢測系統(tǒng)對訪問數(shù)據(jù)流的網(wǎng)絡(luò)行為進行分析,使用虛擬沙箱模擬目標設(shè)備運行環(huán)境、并運行訪問數(shù)據(jù)流分析是否具有惡意行為,根據(jù)分析結(jié)果判斷安全屬性為灰流的訪問數(shù)據(jù)流為白流或者黑 流。

本發(fā)明提供了一種數(shù)據(jù)流監(jiān)測裝置,其包括:

獲取模塊,用于獲取訪問數(shù)據(jù)流的源端標識

配置模塊,用于根據(jù)預(yù)設(shè)的白名單及源端標識,配置訪問數(shù)據(jù)流的安全屬性,安全屬性包括白流、灰流、黑流;

監(jiān)測模塊,用于根據(jù)訪問數(shù)據(jù)流的安全屬性,分流訪問數(shù)據(jù)流。

進一步的,還包括初判模塊,用于對訪問數(shù)據(jù)流進行初判,判斷是否為攻擊性數(shù)據(jù)流,輸出初判結(jié)果;配置模塊具體用于根據(jù)訪問數(shù)據(jù)流的初判結(jié)果、源端標識與白名單,配置安全屬性。

進一步的,初判模塊在對訪問數(shù)據(jù)流進行初判之前,還用于進行無攻擊狀態(tài)學(xué)習(xí),獲取無攻擊狀態(tài)的數(shù)據(jù)流的特征信息,根據(jù)無攻擊狀態(tài)的數(shù)據(jù)流的特征信息,判斷訪問數(shù)據(jù)流是否為攻擊性數(shù)據(jù)流。

進一步的,配置模塊用于當(dāng)訪問數(shù)據(jù)流的源端標識屬于白名單時,將訪問數(shù)據(jù)流的安全屬性設(shè)置為白流;當(dāng)訪問數(shù)據(jù)流的源端標識不屬于白名單、且訪問數(shù)據(jù)流的初判結(jié)果不為攻擊性數(shù)據(jù)流時,將訪問數(shù)據(jù)流的安全屬性設(shè)置為灰流;當(dāng)訪問數(shù)據(jù)流的源端標識不屬于白名單、且訪問數(shù)據(jù)流的初判結(jié)果為攻擊性數(shù)據(jù)流時,將訪問數(shù)據(jù)流的安全屬性設(shè)置為黑流。

進一步的,監(jiān)測模塊用于使用軟件定義網(wǎng)絡(luò),轉(zhuǎn)發(fā)安全屬性為白流的訪問數(shù)據(jù)流至目標設(shè)備,阻斷安全屬性為黑流的訪問數(shù)據(jù)流,轉(zhuǎn)發(fā)安全屬性為灰流的訪問數(shù)據(jù)流至虛擬安全服務(wù)鏈。

進一步的,還包括分析模塊,用于通過虛擬安全服務(wù)鏈使用虛擬入侵檢測系 統(tǒng)對訪問數(shù)據(jù)流的網(wǎng)絡(luò)行為進行分析,使用虛擬沙箱模擬目標設(shè)備運行環(huán)境、并運行訪問數(shù)據(jù)流分析是否具有惡意行為,根據(jù)分析結(jié)果判斷安全屬性為灰流的訪問數(shù)據(jù)流為白流或者黑流。

本發(fā)明的有益效果:

本發(fā)明提供了一種數(shù)據(jù)流監(jiān)測方法,在接收到訪問數(shù)據(jù)流后,先獲取該訪問數(shù)據(jù)流的安全屬性,根據(jù)不同的安全屬性對數(shù)據(jù)流進行分流,針對不同屬性的數(shù)據(jù)流執(zhí)行不同的檢測策略,例如對黑流阻斷,對白流放行,灰流周期性反復(fù)檢測,提高了監(jiān)測效率,實現(xiàn)了重點難斷數(shù)據(jù)流(灰流)的重點分析,解決了現(xiàn)有技術(shù)對所有訪問數(shù)據(jù)流都進行檢測導(dǎo)致的監(jiān)測效率較低的問題。

附圖說明

圖1為本發(fā)明第一實施例提供的數(shù)據(jù)流監(jiān)測裝置的結(jié)構(gòu)示意圖;

圖2為本發(fā)明第二實施例提供的數(shù)據(jù)流監(jiān)測方法的流程圖;

圖3為本發(fā)明第三實施例提供的安全一體機的結(jié)構(gòu)示意圖;

圖4為本發(fā)明第三實施例中安全一體機運行流程圖。

具體實施方式

現(xiàn)通過具體實施方式結(jié)合附圖的方式對本發(fā)明做出進一步的詮釋說明。

第一實施例:

圖1為本發(fā)明第一實施例提供的數(shù)據(jù)流監(jiān)測裝置的結(jié)構(gòu)示意圖,由圖1可知,在本實施例中,本發(fā)明提供的數(shù)據(jù)流監(jiān)測裝置1包括:

獲取模塊11,用于獲取訪問數(shù)據(jù)流的源端標識

配置模塊12,用于根據(jù)預(yù)設(shè)的白名單及源端標識,配置訪問數(shù)據(jù)流的安全屬性,安全屬性包括白流、灰流、黑流;

監(jiān)測模塊13,用于根據(jù)訪問數(shù)據(jù)流的安全屬性,分流訪問數(shù)據(jù)流。

在一些實施例中,如圖1所示,上述實施例中的數(shù)據(jù)流監(jiān)測裝置1還包括初判模塊14,用于對訪問數(shù)據(jù)流進行初判,判斷是否為攻擊性數(shù)據(jù)流,輸出初判結(jié)果;配置模塊12具體用于根據(jù)訪問數(shù)據(jù)流的初判結(jié)果、源端標識與白名單,配置安全屬性。

在一些實施例中,上述實施例中的初判模塊14在對訪問數(shù)據(jù)流進行初判之前,還用于進行無攻擊狀態(tài)學(xué)習(xí),獲取無攻擊狀態(tài)的數(shù)據(jù)流的特征信息,根據(jù)無攻擊狀態(tài)的數(shù)據(jù)流的特征信息,判斷訪問數(shù)據(jù)流是否為攻擊性數(shù)據(jù)流。

在一些實施例中,上述實施例中的配置模塊12用于當(dāng)訪問數(shù)據(jù)流的源端標識屬于白名單時,將訪問數(shù)據(jù)流的安全屬性設(shè)置為白流;當(dāng)訪問數(shù)據(jù)流的源端標識不屬于白名單、且訪問數(shù)據(jù)流的初判結(jié)果不為攻擊性數(shù)據(jù)流時,將訪問數(shù)據(jù)流的安全屬性設(shè)置為灰流;當(dāng)訪問數(shù)據(jù)流的源端標識不屬于白名單、且訪問數(shù)據(jù)流的初判結(jié)果為攻擊性數(shù)據(jù)流時,將訪問數(shù)據(jù)流的安全屬性設(shè)置為黑流。

在一些實施例中,上述實施例中的監(jiān)測模塊12用于使用軟件定義網(wǎng)絡(luò),轉(zhuǎn)發(fā)安全屬性為白流的訪問數(shù)據(jù)流至目標設(shè)備,阻斷安全屬性為黑流的訪問數(shù)據(jù)流,轉(zhuǎn)發(fā)安全屬性為灰流的訪問數(shù)據(jù)流至虛擬安全服務(wù)鏈。

在一些實施例中,如圖1所示,上述實施例中的數(shù)據(jù)流監(jiān)測裝置還包括分析模塊15,用于通過虛擬安全服務(wù)鏈使用虛擬入侵檢測系統(tǒng)對訪問數(shù)據(jù)流的網(wǎng)絡(luò)行為進行分析,使用虛擬沙箱模擬目標設(shè)備運行環(huán)境、并運行訪問數(shù)據(jù)流分析是否具有惡意行為,根據(jù)分析結(jié)果判斷安全屬性為灰流的訪問數(shù)據(jù)流為白流 或者黑流。

對應(yīng)的,本發(fā)明提供了一種通信系統(tǒng),其包括本發(fā)明提供的數(shù)據(jù)流監(jiān)測裝置1。

第二實施例:

圖2為本發(fā)明第二實施例提供的數(shù)據(jù)流監(jiān)測方法的流程圖,由圖2可知,在本實施例中,本發(fā)明提供的數(shù)據(jù)流監(jiān)測方法包括以下步驟:

s201:獲取訪問數(shù)據(jù)流的源端標識;

s202:根據(jù)預(yù)設(shè)的白名單及源端標識,配置訪問數(shù)據(jù)流的安全屬性,獲取訪問數(shù)據(jù)流的安全屬性,安全屬性包括白流、灰流、黑流;

s203:根據(jù)訪問數(shù)據(jù)流的安全屬性,分流訪問數(shù)據(jù)流。

在一些實施例中,上述實施例中的方法還包括:對訪問數(shù)據(jù)流進行初判,判斷是否為攻擊性數(shù)據(jù)流,輸出初判結(jié)果;根據(jù)訪問數(shù)據(jù)流的初判結(jié)果、源端標識與白名單,設(shè)置安全屬性。

在一些實施例中,上述實施例中的方法在對訪問數(shù)據(jù)流進行初判之前,還包括:進行無攻擊狀態(tài)學(xué)習(xí),獲取無攻擊狀態(tài)的數(shù)據(jù)流的特征信息,根據(jù)無攻擊狀態(tài)的數(shù)據(jù)流的特征信息,判斷訪問數(shù)據(jù)流是否為攻擊性數(shù)據(jù)流。

在一些實施例中,上述實施例中的配置安全屬性包括:當(dāng)訪問數(shù)據(jù)流的源端標識屬于白名單時,將訪問數(shù)據(jù)流的安全屬性設(shè)置為白流;當(dāng)訪問數(shù)據(jù)流的源端標識不屬于白名單、且訪問數(shù)據(jù)流的初判結(jié)果不為攻擊性數(shù)據(jù)流時,將訪問數(shù)據(jù)流的安全屬性設(shè)置為灰流;當(dāng)訪問數(shù)據(jù)流的源端標識不屬于白名單、且訪問數(shù)據(jù)流的初判結(jié)果為攻擊性數(shù)據(jù)流時,將訪問數(shù)據(jù)流的安全屬性設(shè)置為黑 流。

在一些實施例中,上述實施例中的根據(jù)訪問數(shù)據(jù)流的安全屬性,分流訪問數(shù)據(jù)流包括:使用軟件定義網(wǎng)絡(luò),轉(zhuǎn)發(fā)安全屬性為白流的訪問數(shù)據(jù)流至目標設(shè)備,阻斷安全屬性為黑流的訪問數(shù)據(jù)流,轉(zhuǎn)發(fā)安全屬性為灰流的訪問數(shù)據(jù)流至虛擬安全服務(wù)鏈。

在一些實施例中,上述實施例中的方法在轉(zhuǎn)發(fā)安全屬性為灰流的訪問數(shù)據(jù)流至虛擬安全服務(wù)鏈之后,還包括:通過虛擬安全服務(wù)鏈使用虛擬入侵檢測系統(tǒng)對訪問數(shù)據(jù)流的網(wǎng)絡(luò)行為進行分析,使用虛擬沙箱模擬目標設(shè)備運行環(huán)境、并運行訪問數(shù)據(jù)流分析是否具有惡意行為,根據(jù)分析結(jié)果判斷安全屬性為灰流的訪問數(shù)據(jù)流為白流或者黑流。

第三實施例:

現(xiàn)結(jié)合具體應(yīng)用場景對本發(fā)明做進一步的詮釋說明。

針對現(xiàn)有大多數(shù)網(wǎng)絡(luò)安全設(shè)備的部署模式存在的效率較為低下及網(wǎng)絡(luò)安全系統(tǒng)復(fù)雜度較高的問題,本實施例為了提高對訪問數(shù)據(jù)流的檢測精確度,降低部署網(wǎng)絡(luò)安全系統(tǒng)的復(fù)雜度,本實施例提供了一種面向網(wǎng)絡(luò)功能虛擬化的安全一體機,該安全一體機的各功能模塊配合實現(xiàn)第一實施例中數(shù)據(jù)流管理裝置的功能。

本實施例提供的安全一體機設(shè)計一個流安全管理中心,引入了最新的大數(shù)據(jù)分析技術(shù)來對數(shù)據(jù)流做初步的分析;引入了sdn(softwaredefinednetworking,軟件定義網(wǎng)絡(luò))技術(shù),通過對不同安全屬性的數(shù)據(jù)流進行分類檢測,對于可疑的數(shù)據(jù)流及其后續(xù)數(shù)據(jù)包的反復(fù)檢測,來實現(xiàn)對數(shù)據(jù)流的全面的管控。提高檢測效率,同時,引入了nfv(networkfunctionvirtualization, 網(wǎng)絡(luò)功能虛擬化)技術(shù),通過對系統(tǒng)中各個安全設(shè)備的功能虛擬化,使其部署在一臺x86平臺中,降低部署的復(fù)雜度,提高了安全系統(tǒng)的協(xié)同能力。vnf(virtualnetworkingfunction,虛擬化的網(wǎng)絡(luò)功能)是指nfv結(jié)構(gòu)框架中的一種功能元素。是網(wǎng)絡(luò)功能的軟件實現(xiàn),如虛擬化的入侵檢測系統(tǒng)、沙箱系統(tǒng)。虛擬化的網(wǎng)絡(luò)功能元素通過從基礎(chǔ)設(shè)備層提供的api接口,獲得虛擬計算、虛擬存儲、虛擬網(wǎng)絡(luò)資源。

流量初判平臺不僅具有防火墻的防御策略(例如:流量的合規(guī)性檢測);還包含一些機器學(xué)習(xí)算法能夠判斷可能存在某種攻擊模式。當(dāng)然,流量初判平臺在部署之前,要有一個無攻擊狀態(tài)學(xué)習(xí)過程。獲取無攻擊狀態(tài)的流量信息特征。尤其是數(shù)據(jù)包頭信息的特征。例如黑客發(fā)動synflooding攻擊,能夠突破防火墻的防御策略。此時,機器學(xué)習(xí)算法通過對進入系統(tǒng)的這段流量的類型統(tǒng)計,發(fā)現(xiàn)syn包的類型值超過無攻擊狀態(tài)的閾值。就可以斷定該段流量中存在synflooding攻擊。并將結(jié)果發(fā)送給流安全管理中心。

入侵檢測(idsintrusiondetectionsystems)在本安全一體機中,ids系統(tǒng)是安全服務(wù)鏈中的重要組成部分。通過對進入系統(tǒng)的灰流鏡像的網(wǎng)絡(luò)行為進行分析,得出某段流量是否具有哪種安全特性。最后,將結(jié)果發(fā)送給流安全管理中心。

沙箱也是安全服務(wù)鏈中的重要組成部分。其模擬終端系統(tǒng)的運行環(huán)境,讓灰流的鏡像在沙箱的仿真系統(tǒng)中模擬運行。監(jiān)測其對仿真系統(tǒng)是否具有惡意行為。以此確定某段流量是否具有黑流或白流特性。最終,將結(jié)果發(fā)送給流安全管理中心。

sdn交換機指的是利用sdn技術(shù)實現(xiàn)交換機里的邏輯控制層與數(shù)據(jù)轉(zhuǎn)發(fā)層分 離,通過配置定向流表,實現(xiàn)數(shù)據(jù)流以最優(yōu)化的路徑轉(zhuǎn)發(fā)到目標端口上,大大提高轉(zhuǎn)發(fā)效率,降低傳輸延遲。

安全服務(wù)鏈:在本文的安全一體機中,由不同類型網(wǎng)絡(luò)安全設(shè)備的功能虛擬化后,而組成實現(xiàn)。它的組合方式既可以由用戶手動設(shè)置,也可以由流安全管理中心根據(jù)要檢測灰流的類型,自動配置。例如,虛擬ids與虛擬沙箱組合。

黑流:表示已經(jīng)明確判斷出屬于入侵或異常的流量,此類數(shù)據(jù)流應(yīng)該被阻斷。一旦發(fā)現(xiàn)黑流,流安全管理中心會直接阻斷此類數(shù)據(jù)流。灰流:是表示流安全管理中心在結(jié)合流量初判平臺的分析結(jié)果與用戶設(shè)置的白名單,綜合分析之后,仍無法準確的判斷出其是黑流或白流的流量。因此,其仍需要通過安全服務(wù)鏈進行持續(xù)的深度安全分析,以判斷其真正網(wǎng)絡(luò)行為的流量。對于這類數(shù)據(jù)流,需要通過流安全管理中心控制sdn交換機,對灰流下發(fā)流表,令進入安全服務(wù)鏈中,進行深度檢測,直到發(fā)現(xiàn)其具體屬性。也就是該數(shù)據(jù)流呈現(xiàn)的是黑流特性,還是白流特性。并進行后續(xù)相應(yīng)操作。白流:表示正常訪問流量。此類數(shù)據(jù)流,安全一體機會直接轉(zhuǎn)發(fā)。無需通過安全設(shè)備檢測。

由圖3可知,本實施例提供的安全一體機3包括:

基礎(chǔ)設(shè)施層31:基礎(chǔ)設(shè)施層是建立在通用的x86平臺的基礎(chǔ)上,配置部署上其所需要的計算、存儲、網(wǎng)絡(luò)等硬件資源,通過虛擬層的抽象,構(gòu)建出一個虛擬化的資源池,向上給虛擬化的網(wǎng)絡(luò)功能層中的虛擬化的網(wǎng)絡(luò)功能提供服務(wù)。本基礎(chǔ)設(shè)施層是構(gòu)建在通用的x86平臺上的,向上層提供統(tǒng)一的開放性的api接口。大大減少了原來終端服務(wù)器需要購買專有的安全設(shè)備的成本,增強了網(wǎng)絡(luò)接口的靈活度。

虛擬化網(wǎng)絡(luò)功能層32:虛擬化網(wǎng)絡(luò)功能層是安全一體機中的最重要的核心 層,通過基礎(chǔ)設(shè)施層所提供的開放性api接口,使用其中虛擬資源,如虛擬計算、虛擬存儲、虛擬網(wǎng)絡(luò)等資源。構(gòu)建部署具有安全防護性的虛擬化的網(wǎng)絡(luò)功能。在本專利所設(shè)計的虛擬化網(wǎng)絡(luò)功能層中,共部署了四個虛擬化的網(wǎng)絡(luò)功能系統(tǒng)。分別是sdn交換機、防火墻、入侵檢測、沙箱。但是本安全一體機的虛擬化網(wǎng)絡(luò)功能層是具有開放性的。也就是說,本層不僅可以部署本專利中所提到的四個安全功能虛擬化的網(wǎng)絡(luò)功能,同時用戶可以根據(jù)自己的需求,安裝所需要的功能虛擬化的網(wǎng)絡(luò)功能。這些虛擬化的網(wǎng)絡(luò)功能系統(tǒng)與專用的安全設(shè)備不同,他們是通過與專有的硬件解耦,是構(gòu)建在虛擬化平臺上的網(wǎng)絡(luò)功能的軟件實現(xiàn)。

流安全管理中心33:流安全管理中心是安全一體機中負責(zé)管理編排虛擬網(wǎng)絡(luò)功能層中各個虛擬化網(wǎng)絡(luò)功能模塊的重要管理編排域,它不僅能夠?qū)崿F(xiàn)對虛擬網(wǎng)絡(luò)功能層的管控,同時還提供用戶配置的功能。用戶可以根據(jù)數(shù)據(jù)流的來源,來設(shè)定給予檢測其安全性的虛擬網(wǎng)絡(luò)功能層。例如:當(dāng)數(shù)據(jù)流通過安全一體機時,流安全管理中心通過流量初判平臺給出的初步安全判斷。再綜合用戶的配置信息,給予虛擬sdn交換機下達指令,令其給數(shù)據(jù)流配置相應(yīng)的流表。使得不同類型的數(shù)據(jù)流進入不同的虛擬化的網(wǎng)絡(luò)功能模塊檢測。最終能夠讓白流安全、快速的到達終端服務(wù)器,獲取所需要的服務(wù)。

對應(yīng)的,如圖4所示,本實施例提供的檢測方法包括:

s401:訪問數(shù)據(jù)流初判:將訪問數(shù)據(jù)流的鏡像導(dǎo)入安全一體機,安全一體機中的流量初判平臺將數(shù)據(jù)流的初步分析結(jié)果發(fā)送給流安全管理中心。

s402:轉(zhuǎn)發(fā)白流,阻斷黑流,下發(fā)灰流;流安全管理中心綜合流量初判平臺所得出的結(jié)果與用戶設(shè)置白名單,把白流直接轉(zhuǎn)發(fā)到終端服務(wù)器上;黑流被 直接阻斷;對于灰流,會要求虛擬sdn交換機給其鏡像下發(fā)的進入安全服務(wù)鏈的流表。

s403:多次檢測灰流,直至確定為白流或黑流;當(dāng)這些灰流的鏡像進入安全服務(wù)鏈中,一遍流程之后,對于其中能夠區(qū)分出具有白流特性的數(shù)據(jù)流鏡像,流安全管理中心把其對應(yīng)的真實數(shù)據(jù)流直接轉(zhuǎn)發(fā)到終端服務(wù)器上,對應(yīng)的黑流則會被直接阻斷。對于仍未能區(qū)分出特性的灰流鏡像,這段灰流會被流安全管理中心標記,得將其后續(xù)的數(shù)據(jù)流繼續(xù)被鏡像到安全服務(wù)鏈中。再經(jīng)過一遍流程,對于仍未能檢測出安全性的灰流,流安全管理中心會將這段灰流轉(zhuǎn)發(fā)到系統(tǒng)終端上。但是這段灰流會被標記。當(dāng)有后續(xù)數(shù)據(jù)包訪問系統(tǒng)終端時,還得繼續(xù)把其后續(xù)的數(shù)據(jù)包,鏡像到安全服務(wù)鏈中。不斷的循環(huán)重復(fù)。一旦發(fā)現(xiàn)該數(shù)據(jù)流鏡像是呈現(xiàn)黑流特性,則立即將其對應(yīng)的真實流量阻斷。

在安全一體機中,流安全管理中心主要功能是對虛擬網(wǎng)絡(luò)功能層中的虛擬化的安全設(shè)備模塊管理編排,通過虛擬化的安全設(shè)備模塊對流量鏡像的安全檢測。實現(xiàn)流安全管理中心指導(dǎo)正常流量能夠安全高效的到達終端服務(wù)器,惡意流量被阻斷。例如管理安全設(shè)備類型和相應(yīng)的端口號,下發(fā)適當(dāng)指令,引導(dǎo)數(shù)據(jù)流的流向。并且可以向用戶提供配置頁面。用戶可以根據(jù)流量的不同特征,配置對應(yīng)的安全檢測設(shè)備。對于白流的判斷,其還引入一個白名單機制,用戶通過設(shè)置流的白名單,讓白流只需通過防火墻的簡單檢測后,直接被轉(zhuǎn)發(fā)。

同時流安全管理中心對系統(tǒng)中的安全設(shè)備編排創(chuàng)建虛擬安全服務(wù)鏈。通過令sdn交換機為灰流下發(fā)流表項,使其先后經(jīng)過交換機的多個端口,以實現(xiàn)被多個安全設(shè)備所檢測,形成所謂的一條鏈狀的安全服務(wù)結(jié)構(gòu),即安全服務(wù)鏈。

流安全管理中心會設(shè)置多個api接口分別連接對應(yīng)的虛擬設(shè)備。用于接收 安全設(shè)備對灰流鏡像的處理報告。例如虛擬沙箱對流安全管理中心發(fā)送處理報告,流安全管理中心會把具有黑流性質(zhì)的流量直接阻斷,白流放行,而這部分灰流會被標記,也轉(zhuǎn)發(fā)到終端系統(tǒng)中,同時要求其后續(xù)數(shù)據(jù)包也發(fā)送到安全服務(wù)鏈中。

現(xiàn)模擬一股具有50條白流與5條黑流的流量欲訪問終端系統(tǒng)。安全一體機將通過下面幾個步驟來處理此股數(shù)據(jù)流,使得具有白流特性的數(shù)據(jù)流順利的訪問系統(tǒng),而具有黑流特性的數(shù)據(jù)流無法進入。

安全一體機預(yù)先配置階段,該階段包括:安全一體機首先經(jīng)過無攻擊狀態(tài)的流量訓(xùn)練,使得流量初判平臺可以預(yù)先得到流量特征的標準閾值;用戶根據(jù)自己的需要對來訪流量設(shè)置白名單;當(dāng)有數(shù)據(jù)流要訪問終端服務(wù)器,啟動安全一體機。

訪問數(shù)據(jù)流初次分流階段,該階段包括:

安全一體機中的流安全管理中心要求流量初判平臺對訪問流量首先進行合規(guī)性檢測,并要求其采用自身的機器學(xué)習(xí)算法對合規(guī)的流量,檢索其信息特征,并進行第一次分析判斷。(例如:區(qū)分出如視頻流、語音流等具有白流特性流量,判斷在剩余流量中是否混雜某種或某幾種的惡意流量,對于無法判斷安全屬性的流量和混雜惡意行為的流量會被認定為灰流)確定出35條白流,2條黑流。流量初判平臺把分析結(jié)果發(fā)送給流安全管理中心。

流安全管理中心將來訪流量對比自身的白名單,又確認了5條白流。此時,共確定了40條白流,2條黑流。對于剩余的13條流量,由于流量初判平臺與白名單機制不能完全區(qū)分出其中的黑流,因此被認為是灰流。

流安全管理中心把這40條白流直接轉(zhuǎn)發(fā)到終端服務(wù)器;2條黑流被阻斷; 將剩余的13條灰流鏡像到安全服務(wù)鏈中。

灰流分析處理階段,該階段包括:

流安全管理中心根據(jù)訪問數(shù)據(jù)流初次分流階段中的分析結(jié)果自動部署安全服務(wù)鏈,(例如:構(gòu)建虛擬ids與虛擬沙箱組成的安全服務(wù)鏈,假如在流量初判平臺中,判斷可能混雜間諜行為的流量,需要在安全服務(wù)鏈中補充反間諜系統(tǒng)對間諜流量給于區(qū)分阻斷。)或依據(jù)用戶的手動配置來部署安全服務(wù)鏈。

流安全管理中心給sdn交換機下發(fā)指令,要求交換機給灰流鏡像下發(fā)流向安全服務(wù)鏈的流表項。

灰流經(jīng)過虛擬ids檢測后,虛擬ids發(fā)現(xiàn)鏡像中存在黑流1條,白流2條。虛擬ids把灰流鏡像發(fā)送到虛擬沙箱中。然后把處理結(jié)果發(fā)送給流安全管理中心。

流安全管理中心將那2條白流轉(zhuǎn)發(fā)到終端,那1條黑流阻斷。

剩余灰流經(jīng)過虛擬沙箱檢測后,虛擬沙箱又發(fā)現(xiàn)鏡像中存在黑流1條,白流4條。虛擬沙箱把處理結(jié)果發(fā)送給流安全管理中心。

流安全管理中心將那4條白流轉(zhuǎn)發(fā)到終端,那1條黑流阻斷。剩余灰流被標記。對應(yīng)其真實的灰流也要求轉(zhuǎn)發(fā)給終端系統(tǒng)。

當(dāng)有被標記灰流的后續(xù)數(shù)據(jù)包要訪問終端時,流安全管理中心直接將其鏡像到安全服務(wù)鏈上。

安全服務(wù)鏈檢測出存在黑流1條,白流4條。并把處理結(jié)果發(fā)送給流安全管理中心。

流安全管理中心將那條黑流丟棄,剩余4條白流轉(zhuǎn)發(fā)到終端。

本實施例提供的安全一體機具備以下優(yōu)點:這樣的設(shè)計,使得通過流安全管理中心控制網(wǎng)絡(luò)流實現(xiàn)安全設(shè)備間的協(xié)同聯(lián)動。降低整體的檢測計算負載,降低誤報,提高安全檢測的性能;通過設(shè)立流安全管理中心,對不同流量下達配置不同流表項的命令,使得不同類型,不同級別的數(shù)據(jù)流進入不同的安全端口,這樣分類處理的方式,避免了所有的數(shù)據(jù)流都進入安全檢測設(shè)備,減輕檢測設(shè)備的壓力,同時,對黑流阻斷,對白流放行,灰流周期性反復(fù)檢測,提高安全一體機的運行效率;流安全管理中心讓未知安全性的灰流及其后續(xù)包通過安全服務(wù)鏈,通過對灰流的反復(fù)跟蹤檢測,高度的確保流入終端服務(wù)器的數(shù)據(jù)流的安全性;流安全管理中心給用戶提供配置界面,用戶可以根據(jù)數(shù)據(jù)流的來源ip,設(shè)置其所要經(jīng)過的虛擬安全設(shè)備,這樣的設(shè)計,提高了安全一體機系統(tǒng)的靈活度;基于nfv框架下對訪問數(shù)據(jù)流進行安全處理的一種方案。其中的安全設(shè)備的硬件實現(xiàn)是建立在一個統(tǒng)一的x86平臺上,在基礎(chǔ)設(shè)施層提供的資源的基礎(chǔ)上,在網(wǎng)絡(luò)功能層中配置具有專有安全設(shè)備功能的軟刀片,這樣的設(shè)計,大大降低了實現(xiàn)的成本,同時免去了各個專有的安全設(shè)備可能不兼容的缺點。

綜上可知,通過本發(fā)明的實施,至少存在以下有益效果:

本發(fā)明提供了一種數(shù)據(jù)流監(jiān)測方法,在接收到訪問數(shù)據(jù)流后,先獲取該訪問數(shù)據(jù)流的安全屬性,根據(jù)不同的安全屬性對數(shù)據(jù)流進行分流,針對不同屬性的數(shù)據(jù)流執(zhí)行不同的檢測策略,例如對黑流阻斷,對白流放行,灰流周期性反復(fù)檢測,提高了監(jiān)測效率,解決了現(xiàn)有技術(shù)對所有訪問數(shù)據(jù)流都進行檢測導(dǎo)致的監(jiān)測效率較低的問題。

以上僅是本發(fā)明的具體實施方式而已,并非對本發(fā)明做任何形式上的限制,凡是依據(jù)本發(fā)明的技術(shù)實質(zhì)對以上實施方式所做的任意簡單修改、等同變化、結(jié)合或修飾,均仍屬于本發(fā)明技術(shù)方案的保護范圍。

當(dāng)前第1頁1 2 
網(wǎng)友詢問留言 已有0條留言
  • 還沒有人留言評論。精彩留言會獲得點贊!
1
宁陵县| 会昌县| 浮山县| 花莲县| 岳阳县| 珠海市| 民丰县| 双辽市| 祁东县| 莆田市| 河源市| 化州市| 义马市| 平潭县| 龙泉市| 汉中市| 龙南县| 固阳县| 十堰市| 新田县| 商水县| 吉林市| 望都县| 余干县| 巫溪县| 阿合奇县| 华安县| 晋江市| 茶陵县| 龙山县| 哈尔滨市| 宁德市| 色达县| 新竹市| 揭阳市| 定州市| 临潭县| 荣昌县| 光山县| 弥勒县| 苍溪县|