本發(fā)明涉及通信技術(shù)/計(jì)算機(jī)技術(shù)，具體涉及網(wǎng)關(guān)安全管理方法和設(shè)備。

背景技術(shù)：

目前普遍采用的網(wǎng)絡(luò)安全產(chǎn)品，如ids、ips、防火墻、防病毒系統(tǒng)、自防御網(wǎng)絡(luò)等都采用了各種不同的網(wǎng)絡(luò)安全狀態(tài)感知技術(shù)，其主要思想都是對已知的網(wǎng)絡(luò)不安全因素進(jìn)行檢測，并作報(bào)警、阻止或其它相應(yīng)的處理。雖然在一定程度上控制了網(wǎng)絡(luò)安全事件的發(fā)生，但是新的蠕蟲、病毒、網(wǎng)絡(luò)攻擊，甚至是p2p應(yīng)用給網(wǎng)絡(luò)帶寬的正常使用帶來的威脅卻與日俱增，但現(xiàn)有技術(shù)中網(wǎng)絡(luò)感知技術(shù)，未能夠解決有效地感知未知的網(wǎng)絡(luò)攻擊行為的問題。

技術(shù)實(shí)現(xiàn)要素：

鑒于上述問題，本發(fā)明提出了克服上述問題或者至少部分地解決上述問題的網(wǎng)關(guān)安全管理方法和設(shè)備。

為此目的，第一方面，本發(fā)明提出一種網(wǎng)關(guān)安全管理方法包括：

抓取經(jīng)過網(wǎng)關(guān)的數(shù)據(jù)包；

解析數(shù)據(jù)包，獲得數(shù)據(jù)包的基本特征值；

根據(jù)所述基本特征值，獲取該數(shù)據(jù)包的至少一個(gè)行為模式；

依據(jù)預(yù)設(shè)條件，分析預(yù)設(shè)時(shí)間段內(nèi)所有數(shù)據(jù)包的行為模式中的具有相同基本特征值所屬的行為模式；

若分析確定基本特征值為x的行為模式y(tǒng)異常，則根據(jù)基本特征x和該行為模式y(tǒng)觸發(fā)安全控制操作。

可選的，基本特征值至少包括以下的三種：協(xié)議類型，源ip，源端口，目的ip，目的端口。

可選的，數(shù)據(jù)包的行為模式包括：行為模式1：使用同一協(xié)議從同一源ip地址發(fā)出的數(shù)據(jù)包；

行為模式2：使用同一協(xié)議從同一的源地址和同一源端口發(fā)出的數(shù)據(jù)包；

行為模式3：使用同一協(xié)議從同一的源ip地址發(fā)送到同一目的ip地址的數(shù)據(jù)包；

行為模式4：使用同一協(xié)議從同一的源ip地址發(fā)送到同一目的端口的數(shù)據(jù)包；

行為模式5：使用同一協(xié)議發(fā)送到同一源端口的數(shù)據(jù)包；

行為模式6：使用同一協(xié)議發(fā)送到同一的源端口和同一目的ip地址的數(shù)據(jù)包；

行為模式7：使用同一協(xié)議從同一的源端口發(fā)送到同一的目的端口的數(shù)據(jù)包；

行為模式8：使用同一協(xié)議發(fā)送到同一目的ip地址的數(shù)據(jù)包；

行為模式9：使用同一協(xié)議發(fā)送到同一目的ip地址和同一目的端口的數(shù)據(jù)包；

行為模式10：使用同一協(xié)議發(fā)往同一目的端口的數(shù)據(jù)包。

可選的，所述步驟若分析確定基本特征值為x的行為模式y(tǒng)異常，則根據(jù)基本特征x和該行為模式y(tǒng)觸發(fā)安全控制操作，包括：

分析獲得預(yù)設(shè)時(shí)間內(nèi)基本特征值為x的行為模式y(tǒng)的實(shí)例xi的以下至少一個(gè)常用特征：

總包數(shù)、平均包大小、總字節(jié)數(shù)、平均負(fù)載大小、發(fā)起者向被發(fā)起者發(fā)包的個(gè)數(shù)、發(fā)起者向被發(fā)起者發(fā)包的總大小，發(fā)起者向被發(fā)起者發(fā)包的負(fù)載的總大小、被發(fā)起者向發(fā)起者發(fā)包的個(gè)數(shù)、被發(fā)起者向發(fā)起者發(fā)包的負(fù)載的總大小、被發(fā)起者向發(fā)起者發(fā)包的頭部的總大小、流的目的端口號、流的持續(xù)時(shí)間、流中包的平均到達(dá)時(shí)間；

若判斷實(shí)例xi的常用特征z超過預(yù)設(shè)閾值，則根據(jù)基本特征值x和行為模式y(tǒng)觸發(fā)安全控制操作。

可選的，在步驟生成對應(yīng)的描述數(shù)據(jù)之后，在步驟分析預(yù)設(shè)時(shí)間內(nèi)具有相同基本特征的相同的行為模式之前，還包括：

將描述數(shù)據(jù)作為消息放入kafka消息隊(duì)列中；

所述步驟根據(jù)描述數(shù)據(jù)，分析預(yù)設(shè)時(shí)間內(nèi)具有相同基本特征值的相同的行為模式，包括：使用spark消費(fèi)kafka消息隊(duì)列中的消息，以分析預(yù)設(shè)時(shí)間內(nèi)具有相同基本特征值的相同的行為模式；

可選的，還包括步驟：將對應(yīng)于描述原始數(shù)據(jù)包的行為模式、網(wǎng)關(guān)設(shè)備基本信息、網(wǎng)關(guān)日志存儲在cassandra數(shù)據(jù)庫中。

可選的，所述根據(jù)基本特征x和該行為模式y(tǒng)觸發(fā)安全控制操作包括下述至少一種操作：根據(jù)基本特征x和該行為模式y(tǒng)添加相應(yīng)的控制策略，限制具有基本特征x且行為模式為y的數(shù)據(jù)包的帶寬；

或根據(jù)基本特征x和該行為模式y(tǒng)添加相應(yīng)控制策略，限制具有基本特征x且行為模式為y的數(shù)據(jù)包的轉(zhuǎn)發(fā)。

在第二方便，本文提供一種智能網(wǎng)關(guān)設(shè)備，包括解析模塊、分析判斷模塊、安全控制模塊；

所述解析模塊用于抓取經(jīng)過網(wǎng)關(guān)的數(shù)據(jù)包；解析數(shù)據(jù)包，獲得數(shù)據(jù)包的基本特征值；根據(jù)數(shù)據(jù)包的基本特征值，用對應(yīng)的行為模式描述該數(shù)據(jù)包，生成對應(yīng)的描述數(shù)據(jù)；

所述分析判斷模塊用于根據(jù)所有的描述數(shù)據(jù)，分析預(yù)設(shè)時(shí)間段內(nèi)具有相同基本特征值的相同的行為模式；若根據(jù)預(yù)設(shè)條件，分析確定基本特征值為x的行為模式y(tǒng)異常，則根據(jù)基本特征x和該行為模式y(tǒng)觸發(fā)安全控制操作；

所述安全控制模塊用于執(zhí)行所述安全控制操作。

可選的，解析模塊用于解析數(shù)據(jù)包，獲得數(shù)據(jù)包的以下5個(gè)基本特征值：協(xié)議類型，源ip，源端口，目的ip，目的端口；

所述解析模塊還用于根據(jù)數(shù)據(jù)包的五個(gè)基本特征值，用以下的一個(gè)或多個(gè)行為模式描述該數(shù)據(jù)包，生成描述數(shù)據(jù)：

行為模式1：使用同一協(xié)議從同一源ip地址發(fā)出的數(shù)據(jù)包；

行為模式2：使用同一協(xié)議從同一的源地址和同一源端口發(fā)出的數(shù)據(jù)包；

行為模式3：使用同一協(xié)議從同一的源ip地址發(fā)送到同一目的ip地址的數(shù)據(jù)包；

行為模式4：使用同一協(xié)議從同一的源ip地址發(fā)送到同一目的端口的數(shù)據(jù)包；

行為模式5：使用同一協(xié)議發(fā)送到同一源端口的數(shù)據(jù)包；

行為模式6：使用同一協(xié)議發(fā)送到同一的源端口和同一目的ip地址的數(shù)據(jù)包；

行為模式7：使用同一協(xié)議從同一的源端口發(fā)送到同一的目的端口的數(shù)據(jù)包；

行為模式8：使用同一協(xié)議發(fā)送到同一目的ip地址的數(shù)據(jù)包；

行為模式9：使用同一協(xié)議發(fā)送到同一目的ip地址和同一目的端口的數(shù)據(jù)包；

行為模式10：使用同一協(xié)議發(fā)往同一目的端口的數(shù)據(jù)包；

所述分析判斷模塊用于分析獲得預(yù)設(shè)時(shí)間內(nèi)基本特征值為x的行為模式y(tǒng)的實(shí)例xi的以下至少一個(gè)常用特征：

總包數(shù)、平均包大小、總字節(jié)數(shù)、平均負(fù)載大小、發(fā)起者向被發(fā)起者發(fā)包的個(gè)數(shù)、發(fā)起者向被發(fā)起者發(fā)包的總大小，發(fā)起者向被發(fā)起者發(fā)包的負(fù)載的總大小、被發(fā)起者向發(fā)起者發(fā)包的個(gè)數(shù)、被發(fā)起者向發(fā)起者發(fā)包的負(fù)載的總大小、被發(fā)起者向發(fā)起者發(fā)包的頭部的總大小、流的目的端口號、流的持續(xù)時(shí)間、流中包的平均到達(dá)時(shí)間；

若判斷實(shí)例xi的常用特征z超過預(yù)設(shè)閾值，則根據(jù)基本特征值x和行為模式y(tǒng)觸發(fā)安全控制操作。

可選的，所述解析模塊將描述數(shù)據(jù)作為消息放入kafka消息隊(duì)列中；

所述分析判斷模塊用于使用spark消費(fèi)kafka消息隊(duì)列中的消息，以分析預(yù)設(shè)時(shí)間內(nèi)具有相同基本特征值的相同的行為模式。

由上述技術(shù)方案可知，本發(fā)明的上述方法通過監(jiān)控網(wǎng)關(guān)中的數(shù)據(jù)包，獲得數(shù)據(jù)包的基礎(chǔ)特征，根據(jù)數(shù)據(jù)包的基礎(chǔ)特征對經(jīng)過網(wǎng)關(guān)的數(shù)據(jù)流量進(jìn)行特征分析，從而發(fā)現(xiàn)潛在的網(wǎng)絡(luò)安全并進(jìn)行報(bào)警。

前面是提供對本發(fā)明一些方面的理解的簡要發(fā)明內(nèi)容。這個(gè)部分既不是本發(fā)明及其各種實(shí)施例的詳盡表述也不是窮舉的表述。它既不用于識別本發(fā)明的重要或關(guān)鍵特征也不限定本發(fā)明的范圍，而是以一種簡化形式給出本發(fā)明的所選原理，作為對下面給出的更具體的描述的簡介。應(yīng)當(dāng)理解，單獨(dú)地或者組合地利用上面闡述或下面具體描述的一個(gè)或多個(gè)特征，本發(fā)明的其它實(shí)施例也是可能的。

附圖說明

為了更清楚地說明本發(fā)明實(shí)施例或現(xiàn)有技術(shù)中的技術(shù)方案，下面將對實(shí)施例或現(xiàn)有技術(shù)描述中所需要使用的附圖作簡單地介紹，顯而易見地，下面描述中的附圖是本發(fā)明的一些實(shí)施例，對于本領(lǐng)域普通技術(shù)人員來講，在不付出創(chuàng)造性勞動(dòng)的前提下，還可以根據(jù)這些附圖獲得其他的附圖。

圖1為本發(fā)明的一個(gè)具體實(shí)施例中的網(wǎng)關(guān)安全管理方法流程示意圖；

圖2為本發(fā)明的一個(gè)實(shí)施例中的智能網(wǎng)關(guān)設(shè)備的模塊示意圖；

圖3為本發(fā)明的一個(gè)實(shí)施例中智能網(wǎng)關(guān)的數(shù)據(jù)流圖。

具體實(shí)施方式

下面將結(jié)合示例性的通信系統(tǒng)描述本發(fā)明。

kafka是一種高吞吐量的分布式發(fā)布訂閱消息系統(tǒng)，它可以處理消費(fèi)者規(guī)模的網(wǎng)絡(luò)中的所有動(dòng)作流數(shù)據(jù)。kafka的目的是通過hadoop的并行加載機(jī)制來統(tǒng)一線上和離線的消息處理，也是為了通過集群來提供實(shí)時(shí)的消費(fèi)。

flume：一個(gè)高可用、高可靠，分布式海量數(shù)據(jù)采集、聚合和傳輸框架。

cassandra：分布式key-value存儲系統(tǒng)。用于儲存海量的數(shù)據(jù)。

sparkstreaming是大規(guī)模流式數(shù)據(jù)處理，批處理引擎是spark。

圖1所述為本發(fā)明的一個(gè)具體實(shí)施例中的網(wǎng)關(guān)安全管理方法流程示意圖，包括：

s101抓取經(jīng)過網(wǎng)關(guān)的數(shù)據(jù)包；

s102解析數(shù)據(jù)包，獲得數(shù)據(jù)包的基本特征值；

s103根據(jù)數(shù)據(jù)包的基本特征值，獲取該數(shù)據(jù)包的至少一個(gè)行為模式；s104依據(jù)預(yù)設(shè)條件，分析預(yù)設(shè)時(shí)間段內(nèi)所有數(shù)據(jù)包的行為模式中的具有相同基本特征值所屬的行為模式；

s105若根據(jù)預(yù)設(shè)條件，分析得出確定基本特征值為x的行為模式y(tǒng)異常，則根據(jù)基本特征x和該行為模式y(tǒng)觸發(fā)安全控制操作。

在步驟s101中可以選擇現(xiàn)有的第三方抓包工具，例如wireshark；也可以是用戶根據(jù)產(chǎn)品需求開發(fā)的抓包工具，或在本申請的申請日之后公開的抓包工具。數(shù)據(jù)包的獲取方式可以說通過抓取經(jīng)過網(wǎng)關(guān)的數(shù)據(jù)包、也可以是通過網(wǎng)關(guān)提供sdk數(shù)據(jù)接入接口來收集數(shù)據(jù)。步驟s102中的基本特征為下述基本特征中的至少3個(gè)，也可以是包含所有的五個(gè)；步驟s105中，行為模式y(tǒng)為預(yù)設(shè)的行為模式中的一種，基本特征x的行為模式y(tǒng)是行為模式y(tǒng)的一種具體實(shí)施例，例如下述行為模式abd的具體實(shí)例xi，具體實(shí)例xi為(tcp,192.168.1.1，*，172.21.1.10，*)，它的基本特征為協(xié)議類型為tcp，源ip為192.168.1.1，目標(biāo)ip為172.21.1.10，它的行為模式為abd(即使用同一協(xié)議從同一的源ip地址發(fā)送到同一目的ip地址的數(shù)據(jù)包)。

步驟s105中安全控制操作包括以下的一種或多種：

1)基本特征x和該行為模式y(tǒng)控制網(wǎng)關(guān)設(shè)備；

2)將基本特征x和該行為模式y(tǒng)可視化的顯示在手機(jī)，網(wǎng)頁上；

3)將結(jié)果保存，提供sdk輸出接口供客戶端調(diào)用和現(xiàn)實(shí)。

上述方法通過監(jiān)控網(wǎng)關(guān)中的數(shù)據(jù)包，獲得數(shù)據(jù)包的基礎(chǔ)特征，根據(jù)數(shù)據(jù)包的基礎(chǔ)特征對經(jīng)過網(wǎng)關(guān)的數(shù)據(jù)流量進(jìn)行特征分析，從而發(fā)現(xiàn)潛在的網(wǎng)絡(luò)安全并進(jìn)行報(bào)警。

步驟s102中的基本特征包括以下至少3種：協(xié)議類型，源ip，源端口，目的ip，目的端口。

本文中使用的“至少一個(gè)”、“一個(gè)或多個(gè)”以及“和/或”是開放式的表述，在使用時(shí)可以是聯(lián)合的和分離的。術(shù)語“一個(gè)”實(shí)體是指一個(gè)或多個(gè)所述實(shí)體。由此術(shù)語“一個(gè)”、“一個(gè)或多個(gè)”和“至少一個(gè)”在本文中是可以互換使用的。

協(xié)議類型指的是數(shù)據(jù)包的協(xié)議，例如國際標(biāo)準(zhǔn)或公認(rèn)標(biāo)準(zhǔn)協(xié)議如modbus、dnp3、iec104等；還包括私有公開的協(xié)議，即只有廠商自己設(shè)備支持并提供官方協(xié)議文檔，如omronfins協(xié)議、三菱melsec協(xié)議等；還包括私有不公開的協(xié)議，即只有廠商自己設(shè)備支持且官方不提供協(xié)議文檔，如s7、西門子ppi協(xié)議、gesrtp等。

在一些實(shí)施例中采用不超過3個(gè)基本特征的組合來對數(shù)據(jù)包進(jìn)行分類，即根據(jù)數(shù)據(jù)包的五個(gè)基本特征，采用其中的三個(gè)或兩個(gè)為一組描述該數(shù)據(jù)包的行為。也即根據(jù)數(shù)據(jù)的五個(gè)基本特征，將數(shù)據(jù)包描述為下述行為：使用某種協(xié)議，來自或是通向某個(gè)點(diǎn)(由原或是目的ip確定)的某種服務(wù)(通過端口來標(biāo)識)；

為了便于理解，5種基本特征分別用5個(gè)大寫字母表示為，其對應(yīng)關(guān)系如下：a：協(xié)議類型、b：源ip、c：源端口、d：目的ip、e：目的端口。

因此可以理解，可以將數(shù)據(jù)包描述為下述10中行為：

ab＝(a，b，*，*，*)使用同一協(xié)議從同一源ip地址發(fā)出的流；

abc＝(a，b，c，*，*)使用同一協(xié)議從同一的源地址和同一源端口發(fā)出的流；

abd＝(a，b，*，d，*)使用同一協(xié)議從同一的源ip地址發(fā)送到同一目的ip地址的流；

abe＝(a，b，*，*，e)使用同一協(xié)議從同一的源ip地址發(fā)送到同一目的端口的流；

ac＝(a，*，c，*，*)使用同一協(xié)議發(fā)送到同一源端口的流；

acd＝(a，*，c，d，*)使用同一協(xié)議發(fā)送到同一的源端口和同一目的ip地址的流；

ace＝(a，*，c，*，e)使用同一協(xié)議從同一的源端口發(fā)送到同一的目的端口的流；

ad＝(a，*，*，d，*)使用同一協(xié)議發(fā)送到同一目的ip地址的流；

ade＝(a，*，*，d，e)使用同一協(xié)議發(fā)送到同一目的ip地址和同一目的端口的流；

ae＝(a，*，*，*，e)使用同一協(xié)議發(fā)往同一目的端口的流；

如(tcp,192.168.1.1，*，172.21.1.10，*)和(udp，172.25.1.20，*，172.27.27.1，*)都是行為abd的實(shí)例，*代表通配符，意味著取值不確定。

應(yīng)注意到術(shù)語“包括”、“包含”和“具有”也是可以互換使用的。

上述10種用于描述數(shù)據(jù)包的行為的名稱即本發(fā)明的一個(gè)實(shí)施例中的行為模式，即在本發(fā)明的一個(gè)實(shí)施例中，根據(jù)數(shù)據(jù)包的五種基本特征，使用上述10中行為模式描述每個(gè)數(shù)據(jù)包的行為，一個(gè)數(shù)據(jù)包可能有多重行為模式可以描述?？梢岳斫獾氖巧鲜霾捎米帜竌bcde代替行為模式的名稱，只是為了將一種行為模式與另一種行為模式區(qū)別開，其可用中文，也可以用其他英文為行為模式命名。

根據(jù)每種行為模式x的每種實(shí)例xi計(jì)算其行為模式的特征分布，即分析預(yù)設(shè)時(shí)間內(nèi)具有相同基本特征值的相同的行為模式的某些常用特征；在本實(shí)施例中行為模式x指的是上述10種行為模式之一；實(shí)例xi指行為模式x的實(shí)例，例如xi(tcp,192.168.1.1，*，172.21.1.10，*)為行為模式abd的一個(gè)實(shí)例。

計(jì)算實(shí)例xi其行為模式的特征分布，可以是包括計(jì)算實(shí)例xi的下述特征分布：xi所承載的字節(jié)總數(shù)、xi所傳輸?shù)臄?shù)據(jù)包總數(shù)占整個(gè)樣本承載的數(shù)據(jù)包總數(shù)的比例(該值體現(xiàn)了帶寬占有率)、預(yù)設(shè)時(shí)間內(nèi)實(shí)例xi的數(shù)目(該值體現(xiàn)了數(shù)據(jù)包的分布)。

通過對xi的特征分布的計(jì)算，可以挖掘出當(dāng)前網(wǎng)絡(luò)中數(shù)據(jù)包樣本中哪些數(shù)據(jù)包的行為模式和其實(shí)例在3種特征值上有突出的分布。換言之，通過上述的計(jì)算，獲得在上述3種反映網(wǎng)絡(luò)當(dāng)前狀態(tài)的特征值分布上。在特征分布中那些具有較高的取值的行為模式及其實(shí)例，是威脅網(wǎng)絡(luò)可用性的主要來源。

根據(jù)xi的特征分布，對于超過預(yù)設(shè)閾值的xi，進(jìn)行安全控制；

可以理解的是安全控制可以是基于預(yù)設(shè)的控制方式，例如安全控制方式可以是提示、通知、警告等。也可以是根據(jù)實(shí)例xi對其帶寬進(jìn)行限制，例如對于實(shí)例xi(tcp,192.168.1.1，*，172.21.1.10，*)根據(jù)預(yù)設(shè)的規(guī)則預(yù)判為異常，則對網(wǎng)絡(luò)中符合行為模式(tcp,192.168.1.1，*，172.21.1.10，*)的數(shù)據(jù)包進(jìn)行流量控制。在另一實(shí)施例中，也可以是完全拒絕實(shí)例xi對應(yīng)的的數(shù)據(jù)包通過網(wǎng)關(guān)。

在優(yōu)選的實(shí)施例中，根據(jù)協(xié)議類型為每種行為模式x定義其分布門限值。在分布特征中超過門限值的數(shù)據(jù)流需要受到控制，優(yōu)選的門限值設(shè)置為動(dòng)態(tài)的。其也可以是靜態(tài)的值，該值由網(wǎng)絡(luò)管理員維護(hù)。

在優(yōu)選的實(shí)施例中，針對行為模式的實(shí)例設(shè)計(jì)有易于實(shí)現(xiàn)的網(wǎng)絡(luò)監(jiān)控策略，用于預(yù)測異常流量。例如，網(wǎng)關(guān)設(shè)備通過netflow采樣獲取網(wǎng)絡(luò)流量樣本s，對于網(wǎng)絡(luò)流量樣本s中的每個(gè)數(shù)據(jù)包解析并獲得其基本特征值(上述a-e)；根據(jù)基本特征值，生成用于描述數(shù)據(jù)包行為的行為模式的數(shù)據(jù)，將行為模式的數(shù)據(jù)上傳至對網(wǎng)關(guān)有訪問控制能力的任何聯(lián)網(wǎng)設(shè)備；在該設(shè)備中根據(jù)行為模式的實(shí)例對行為模式的數(shù)據(jù)進(jìn)行挖掘和特征分析，行為模式實(shí)例xi在帶寬占有率、數(shù)據(jù)包的分布、流數(shù)量的分布上述任一一項(xiàng)超過預(yù)設(shè)值，對后續(xù)經(jīng)過網(wǎng)關(guān)的行為模式實(shí)例xi對應(yīng)的數(shù)據(jù)流進(jìn)行控制。

從而有效控制威脅網(wǎng)絡(luò)可用性的網(wǎng)絡(luò)流量，包括吞噬帶寬的流量、發(fā)包頻率和流的頻率過高地網(wǎng)絡(luò)流量。

在另一些實(shí)施例中，統(tǒng)計(jì)預(yù)設(shè)時(shí)間內(nèi)實(shí)例xi以下的一種或多種常用特征：總包數(shù)、平均包大小、總字節(jié)數(shù)、平均負(fù)載大小、發(fā)起者向被發(fā)起者發(fā)包的個(gè)數(shù)、發(fā)起者向被發(fā)起者發(fā)包的總大小，發(fā)起者向被發(fā)起者發(fā)包的負(fù)載的總大小、被發(fā)起者向發(fā)起者發(fā)包的個(gè)數(shù)、被發(fā)起者向發(fā)起者發(fā)包的負(fù)載的總大小、被發(fā)起者向發(fā)起者發(fā)包的頭部的總大小、流的目的端口號、流的持續(xù)時(shí)間、流中包的平均到達(dá)時(shí)間。

若判斷實(shí)例xi的常用特征z超過預(yù)設(shè)閾值，則將根據(jù)基本特征值為x和的行為模式y(tǒng)觸發(fā)安全控制操作。常用特征z為上述14種常用特征之一，或其組合。即在一些實(shí)施例中，若判斷實(shí)例xi(tcp,192.168.1.1，*，172.21.1.10，*)的平均包大小超過預(yù)設(shè)值則觸發(fā)預(yù)警；在另一些實(shí)施例中也可以是當(dāng)實(shí)例xi(tcp,192.168.1.1，*，172.21.1.10，*)的總包數(shù)、流持續(xù)時(shí)間均超過預(yù)設(shè)值，則觸發(fā)在網(wǎng)關(guān)中添加相應(yīng)的控制策略，對后續(xù)經(jīng)過網(wǎng)關(guān)的行為模式實(shí)例xi對應(yīng)的數(shù)據(jù)流進(jìn)行控制。

在本文的一個(gè)實(shí)施例中，網(wǎng)關(guān)中根據(jù)基本特征值，生成用于描述數(shù)據(jù)包行為的行為模式的數(shù)據(jù)，將行為模式的數(shù)據(jù)上傳至對網(wǎng)關(guān)有訪問控制能力的任何聯(lián)網(wǎng)設(shè)備；在該設(shè)備中根據(jù)行為模式的實(shí)例對行為模式的數(shù)據(jù)進(jìn)行挖掘和特征分析，消息放入kafka消息隊(duì)列中，且采用flume自定義sink(接收點(diǎn))、source(源)、eventserializer(事件序列)來解決復(fù)雜的消息格式類型，處理消息存儲和分發(fā)/上傳消息至上級網(wǎng)關(guān)或處理網(wǎng)關(guān)。使用spark消費(fèi)kafka消息隊(duì)列中的消息，以分析預(yù)設(shè)時(shí)間內(nèi)具有相同基本特征值x的行為模式y(tǒng)的實(shí)例xi；將對應(yīng)于描述原始數(shù)據(jù)包的行為模式、網(wǎng)關(guān)設(shè)備基本信息、網(wǎng)關(guān)日志存儲在cassandra數(shù)據(jù)庫中。

如圖2所示，本文還提供一種智能網(wǎng)關(guān)設(shè)備的實(shí)施例，用于實(shí)現(xiàn)上述網(wǎng)關(guān)安全管理方法。其包括解析模塊、分析判斷模塊、安全控制模塊；

所述解析模塊用于抓取經(jīng)過網(wǎng)關(guān)的數(shù)據(jù)包；解析數(shù)據(jù)包，獲得數(shù)據(jù)包的基本特征值；根據(jù)數(shù)據(jù)包的基本特征值，用對應(yīng)的行為模式描述該數(shù)據(jù)包，生成對應(yīng)的描述數(shù)據(jù)；

所述分析判斷模塊用于根據(jù)描述數(shù)據(jù)，分析預(yù)設(shè)時(shí)間內(nèi)具有相同基本特征值的相同的行為模式；若根據(jù)預(yù)設(shè)條件，分析得出基本特征值為x的行為模式y(tǒng)異常，則根據(jù)基本特征x和該行為模式y(tǒng)觸發(fā)安全控制操作；

所述安全控制模塊用于執(zhí)行所述安全控制操作。

優(yōu)選的，解析模塊用于解析數(shù)據(jù)包，獲得數(shù)據(jù)包的以下5個(gè)基本特征值：協(xié)議類型，源ip，源端口，目的ip，目的端口；

所述解析模塊還用于根據(jù)數(shù)據(jù)包的五個(gè)基本特征值，用以下的一個(gè)或多個(gè)行為模式描述該數(shù)據(jù)包，生成描述數(shù)據(jù)：

行為模式1：使用同一協(xié)議從同一源ip地址發(fā)出的數(shù)據(jù)包；

行為模式2：使用同一協(xié)議從同一的源地址和同一源端口發(fā)出的數(shù)據(jù)包；

行為模式3：使用同一協(xié)議從同一的源ip地址發(fā)送到同一目的ip地址的數(shù)據(jù)包；

行為模式4：使用同一協(xié)議從同一的源ip地址發(fā)送到同一目的端口的數(shù)據(jù)包；

行為模式5：使用同一協(xié)議發(fā)送到同一源端口的數(shù)據(jù)包；

行為模式6：使用同一協(xié)議發(fā)送到同一的源端口和同一目的ip地址的數(shù)據(jù)包；

行為模式7：使用同一協(xié)議從同一的源端口發(fā)送到同一的目的端口的數(shù)據(jù)包；

行為模式8：使用同一協(xié)議發(fā)送到同一目的ip地址的數(shù)據(jù)包；

行為模式9：使用同一協(xié)議發(fā)送到同一目的ip地址和同一目的端口的數(shù)據(jù)包；

行為模式10：使用同一協(xié)議發(fā)往同一目的端口的數(shù)據(jù)包；

所述分析判斷模塊用于分析獲得預(yù)設(shè)時(shí)間內(nèi)基本特征值為x的行為模式y(tǒng)的實(shí)例xi的以下至少一個(gè)常用特征：

總包數(shù)、平均包大小、總字節(jié)數(shù)、平均負(fù)載大小、發(fā)起者向被發(fā)起者發(fā)包的個(gè)數(shù)、發(fā)起者向被發(fā)起者發(fā)包的總大小，發(fā)起者向被發(fā)起者發(fā)包的負(fù)載的總大小、被發(fā)起者向發(fā)起者發(fā)包的個(gè)數(shù)、被發(fā)起者向發(fā)起者發(fā)包的負(fù)載的總大小、被發(fā)起者向發(fā)起者發(fā)包的頭部的總大小、流的目的端口號、流的持續(xù)時(shí)間、流中包的平均到達(dá)時(shí)間；

若判斷實(shí)例xi的常用特征z超過預(yù)設(shè)閾值，則根據(jù)基本特征值x和行為模式y(tǒng)觸發(fā)安全控制操作。

優(yōu)選的，所述解析模塊將描述數(shù)據(jù)作為消息放入kafka消息隊(duì)列中；所述分析判斷模塊用于使用spark消費(fèi)kafka消息隊(duì)列中的消息，以分析預(yù)設(shè)時(shí)間內(nèi)具有相同基本特征值的相同的行為模式。

需要說明的是，在本文中，諸如行為模式y(tǒng)，并不是特指，而是為了將一個(gè)行為模式模式與另一行為模式區(qū)分開；同樣可以理解實(shí)例xi，也不是特指，而是作為實(shí)例的代號，為了將一個(gè)實(shí)例與另一個(gè)實(shí)例區(qū)分開。同樣基本特征x中的字母x也同上不是特指。

圖3所述為本發(fā)明的一個(gè)具體實(shí)施例中本發(fā)明方法對應(yīng)的數(shù)據(jù)流圖；經(jīng)過網(wǎng)關(guān)設(shè)備的數(shù)據(jù)均上傳到消息隊(duì)列kafks中，spark消費(fèi)kafka消息隊(duì)列中的消息，以分析預(yù)設(shè)時(shí)間內(nèi)具有相同基本特征值x的行為模式y(tǒng)的實(shí)例xi；將對應(yīng)于描述原始數(shù)據(jù)包的行為模式、網(wǎng)關(guān)設(shè)備基本信息、網(wǎng)關(guān)日志存儲在cassandra數(shù)據(jù)庫中。flume將消息對立kafks中的消息分發(fā)到上層網(wǎng)關(guān)或分析設(shè)備進(jìn)行分析。

盡管已經(jīng)對上述各實(shí)施例進(jìn)行了描述，但本領(lǐng)域內(nèi)的技術(shù)人員一旦得知了基本創(chuàng)造性概念，則可對這些實(shí)施例做出另外的變更和修改，所以以上所述僅為本發(fā)明的實(shí)施例，并非因此限制本發(fā)明的專利保護(hù)范圍，凡是利用本發(fā)明說明書及附圖內(nèi)容所作的等效結(jié)構(gòu)或等效流程變換，或直接或間接運(yùn)用在其他相關(guān)的技術(shù)領(lǐng)域，均同理包括在本發(fā)明的專利保護(hù)范圍之內(nèi)。