本發(fā)明涉及通信安全領(lǐng)域，尤其涉及一種數(shù)據(jù)流監(jiān)測(cè)方法及裝置。

背景技術(shù)：

當(dāng)前大多數(shù)網(wǎng)絡(luò)安全設(shè)備的部署模式，是安全設(shè)備之間通過(guò)串聯(lián)進(jìn)行相連接，通過(guò)讓訪問(wèn)數(shù)據(jù)流進(jìn)入安全設(shè)備，安全設(shè)備對(duì)通過(guò)的所有數(shù)據(jù)流進(jìn)行檢測(cè)，過(guò)濾，經(jīng)過(guò)安全設(shè)備檢測(cè)過(guò)濾后，正常的數(shù)據(jù)流再進(jìn)入目的服務(wù)器。這種部署方式雖然可以成功的抵御惡意數(shù)據(jù)流對(duì)系統(tǒng)的攻擊，但是效率較為低下，因?yàn)橄到y(tǒng)中的安全設(shè)備不僅需要對(duì)異常數(shù)據(jù)流進(jìn)行檢測(cè)，而且對(duì)于正常的數(shù)據(jù)流也要檢測(cè)，所有的數(shù)據(jù)流得通過(guò)所部屬的所有安全設(shè)備，導(dǎo)致檢測(cè)效率差、數(shù)據(jù)流的檢測(cè)時(shí)間長(zhǎng)、同時(shí)增加了安全設(shè)備的負(fù)載，而且在傳統(tǒng)的網(wǎng)絡(luò)安全系統(tǒng)中，由于不同安全設(shè)備模塊的性能各有側(cè)重，為了提高檢測(cè)的效率，因此將不同安全設(shè)備模塊部署在一起，這樣就使得部署網(wǎng)絡(luò)安全系統(tǒng)的復(fù)雜度提高了。

針對(duì)上述問(wèn)題，提出一種解決現(xiàn)有技術(shù)對(duì)所有訪問(wèn)數(shù)據(jù)流都進(jìn)行檢測(cè)導(dǎo)致的檢測(cè)效率較低的數(shù)據(jù)流監(jiān)測(cè)方法，是本領(lǐng)域技術(shù)人員亟待解決的技術(shù)問(wèn)題。

技術(shù)實(shí)現(xiàn)要素：

本發(fā)明提供了一種數(shù)據(jù)流監(jiān)測(cè)方法及裝置，以解決現(xiàn)有技術(shù)對(duì)所有訪問(wèn)數(shù)據(jù)流都進(jìn)行檢測(cè)導(dǎo)致的檢測(cè)效率較低的問(wèn)題。

本發(fā)明提供了一種數(shù)據(jù)流監(jiān)測(cè)方法，其包括：

獲取訪問(wèn)數(shù)據(jù)流的源端標(biāo)識(shí)；

根據(jù)預(yù)設(shè)的白名單及源端標(biāo)識(shí)，配置訪問(wèn)數(shù)據(jù)流的安全屬性,安全屬性包括白流、灰流、黑流；

根據(jù)訪問(wèn)數(shù)據(jù)流的安全屬性，分流訪問(wèn)數(shù)據(jù)流。

進(jìn)一步的，還包括：對(duì)訪問(wèn)數(shù)據(jù)流進(jìn)行初判,判斷是否為攻擊性數(shù)據(jù)流,輸出初判結(jié)果；配置訪問(wèn)數(shù)據(jù)流的安全屬性包括：根據(jù)訪問(wèn)數(shù)據(jù)流的初判結(jié)果、源端標(biāo)識(shí)與白名單,設(shè)置安全屬性。

進(jìn)一步的，在對(duì)訪問(wèn)數(shù)據(jù)流進(jìn)行初判之前,還包括：進(jìn)行無(wú)攻擊狀態(tài)學(xué)習(xí),獲取無(wú)攻擊狀態(tài)的數(shù)據(jù)流的特征信息,根據(jù)無(wú)攻擊狀態(tài)的數(shù)據(jù)流的特征信息,判斷訪問(wèn)數(shù)據(jù)流是否為攻擊性數(shù)據(jù)流。

進(jìn)一步的，配置安全屬性包括：當(dāng)訪問(wèn)數(shù)據(jù)流的源端標(biāo)識(shí)屬于白名單時(shí)，將訪問(wèn)數(shù)據(jù)流的安全屬性設(shè)置為白流；當(dāng)訪問(wèn)數(shù)據(jù)流的源端標(biāo)識(shí)不屬于白名單、且訪問(wèn)數(shù)據(jù)流的初判結(jié)果不為攻擊性數(shù)據(jù)流時(shí)，將訪問(wèn)數(shù)據(jù)流的安全屬性設(shè)置為灰流；當(dāng)訪問(wèn)數(shù)據(jù)流的源端標(biāo)識(shí)不屬于白名單、且訪問(wèn)數(shù)據(jù)流的初判結(jié)果為攻擊性數(shù)據(jù)流時(shí)，將訪問(wèn)數(shù)據(jù)流的安全屬性設(shè)置為黑流。

進(jìn)一步的，根據(jù)訪問(wèn)數(shù)據(jù)流的安全屬性，分流訪問(wèn)數(shù)據(jù)流包括：使用軟件定義網(wǎng)絡(luò)，轉(zhuǎn)發(fā)安全屬性為白流的訪問(wèn)數(shù)據(jù)流至目標(biāo)設(shè)備，阻斷安全屬性為黑流的訪問(wèn)數(shù)據(jù)流，轉(zhuǎn)發(fā)安全屬性為灰流的訪問(wèn)數(shù)據(jù)流至虛擬安全服務(wù)鏈。

進(jìn)一步的，在轉(zhuǎn)發(fā)安全屬性為灰流的訪問(wèn)數(shù)據(jù)流至虛擬安全服務(wù)鏈之后，還包括：通過(guò)虛擬安全服務(wù)鏈?zhǔn)褂锰摂M入侵檢測(cè)系統(tǒng)對(duì)訪問(wèn)數(shù)據(jù)流的網(wǎng)絡(luò)行為進(jìn)行分析，使用虛擬沙箱模擬目標(biāo)設(shè)備運(yùn)行環(huán)境、并運(yùn)行訪問(wèn)數(shù)據(jù)流分析是否具有惡意行為，根據(jù)分析結(jié)果判斷安全屬性為灰流的訪問(wèn)數(shù)據(jù)流為白流或者黑 流。

本發(fā)明提供了一種數(shù)據(jù)流監(jiān)測(cè)裝置，其包括：

獲取模塊，用于獲取訪問(wèn)數(shù)據(jù)流的源端標(biāo)識(shí)

配置模塊，用于根據(jù)預(yù)設(shè)的白名單及源端標(biāo)識(shí)，配置訪問(wèn)數(shù)據(jù)流的安全屬性,安全屬性包括白流、灰流、黑流；

監(jiān)測(cè)模塊，用于根據(jù)訪問(wèn)數(shù)據(jù)流的安全屬性，分流訪問(wèn)數(shù)據(jù)流。

進(jìn)一步的，還包括初判模塊，用于對(duì)訪問(wèn)數(shù)據(jù)流進(jìn)行初判,判斷是否為攻擊性數(shù)據(jù)流,輸出初判結(jié)果；配置模塊具體用于根據(jù)訪問(wèn)數(shù)據(jù)流的初判結(jié)果、源端標(biāo)識(shí)與白名單,配置安全屬性。

進(jìn)一步的，初判模塊在對(duì)訪問(wèn)數(shù)據(jù)流進(jìn)行初判之前,還用于進(jìn)行無(wú)攻擊狀態(tài)學(xué)習(xí),獲取無(wú)攻擊狀態(tài)的數(shù)據(jù)流的特征信息,根據(jù)無(wú)攻擊狀態(tài)的數(shù)據(jù)流的特征信息,判斷訪問(wèn)數(shù)據(jù)流是否為攻擊性數(shù)據(jù)流。

進(jìn)一步的，配置模塊用于當(dāng)訪問(wèn)數(shù)據(jù)流的源端標(biāo)識(shí)屬于白名單時(shí)，將訪問(wèn)數(shù)據(jù)流的安全屬性設(shè)置為白流；當(dāng)訪問(wèn)數(shù)據(jù)流的源端標(biāo)識(shí)不屬于白名單、且訪問(wèn)數(shù)據(jù)流的初判結(jié)果不為攻擊性數(shù)據(jù)流時(shí)，將訪問(wèn)數(shù)據(jù)流的安全屬性設(shè)置為灰流；當(dāng)訪問(wèn)數(shù)據(jù)流的源端標(biāo)識(shí)不屬于白名單、且訪問(wèn)數(shù)據(jù)流的初判結(jié)果為攻擊性數(shù)據(jù)流時(shí)，將訪問(wèn)數(shù)據(jù)流的安全屬性設(shè)置為黑流。

進(jìn)一步的，監(jiān)測(cè)模塊用于使用軟件定義網(wǎng)絡(luò)，轉(zhuǎn)發(fā)安全屬性為白流的訪問(wèn)數(shù)據(jù)流至目標(biāo)設(shè)備，阻斷安全屬性為黑流的訪問(wèn)數(shù)據(jù)流，轉(zhuǎn)發(fā)安全屬性為灰流的訪問(wèn)數(shù)據(jù)流至虛擬安全服務(wù)鏈。

進(jìn)一步的，還包括分析模塊,用于通過(guò)虛擬安全服務(wù)鏈?zhǔn)褂锰摂M入侵檢測(cè)系 統(tǒng)對(duì)訪問(wèn)數(shù)據(jù)流的網(wǎng)絡(luò)行為進(jìn)行分析，使用虛擬沙箱模擬目標(biāo)設(shè)備運(yùn)行環(huán)境、并運(yùn)行訪問(wèn)數(shù)據(jù)流分析是否具有惡意行為，根據(jù)分析結(jié)果判斷安全屬性為灰流的訪問(wèn)數(shù)據(jù)流為白流或者黑流。

本發(fā)明的有益效果：

本發(fā)明提供了一種數(shù)據(jù)流監(jiān)測(cè)方法，在接收到訪問(wèn)數(shù)據(jù)流后，先獲取該訪問(wèn)數(shù)據(jù)流的安全屬性，根據(jù)不同的安全屬性對(duì)數(shù)據(jù)流進(jìn)行分流，針對(duì)不同屬性的數(shù)據(jù)流執(zhí)行不同的檢測(cè)策略，例如對(duì)黑流阻斷，對(duì)白流放行，灰流周期性反復(fù)檢測(cè)，提高了監(jiān)測(cè)效率，實(shí)現(xiàn)了重點(diǎn)難斷數(shù)據(jù)流(灰流)的重點(diǎn)分析，解決了現(xiàn)有技術(shù)對(duì)所有訪問(wèn)數(shù)據(jù)流都進(jìn)行檢測(cè)導(dǎo)致的監(jiān)測(cè)效率較低的問(wèn)題。

附圖說(shuō)明

圖1為本發(fā)明第一實(shí)施例提供的數(shù)據(jù)流監(jiān)測(cè)裝置的結(jié)構(gòu)示意圖；

圖2為本發(fā)明第二實(shí)施例提供的數(shù)據(jù)流監(jiān)測(cè)方法的流程圖；

圖3為本發(fā)明第三實(shí)施例提供的安全一體機(jī)的結(jié)構(gòu)示意圖；

圖4為本發(fā)明第三實(shí)施例中安全一體機(jī)運(yùn)行流程圖。

具體實(shí)施方式

現(xiàn)通過(guò)具體實(shí)施方式結(jié)合附圖的方式對(duì)本發(fā)明做出進(jìn)一步的詮釋說(shuō)明。

第一實(shí)施例：

圖1為本發(fā)明第一實(shí)施例提供的數(shù)據(jù)流監(jiān)測(cè)裝置的結(jié)構(gòu)示意圖，由圖1可知，在本實(shí)施例中，本發(fā)明提供的數(shù)據(jù)流監(jiān)測(cè)裝置1包括：

獲取模塊11，用于獲取訪問(wèn)數(shù)據(jù)流的源端標(biāo)識(shí)

配置模塊12，用于根據(jù)預(yù)設(shè)的白名單及源端標(biāo)識(shí)，配置訪問(wèn)數(shù)據(jù)流的安全屬性,安全屬性包括白流、灰流、黑流；

監(jiān)測(cè)模塊13，用于根據(jù)訪問(wèn)數(shù)據(jù)流的安全屬性，分流訪問(wèn)數(shù)據(jù)流。

在一些實(shí)施例中，如圖1所示，上述實(shí)施例中的數(shù)據(jù)流監(jiān)測(cè)裝置1還包括初判模塊14，用于對(duì)訪問(wèn)數(shù)據(jù)流進(jìn)行初判,判斷是否為攻擊性數(shù)據(jù)流,輸出初判結(jié)果；配置模塊12具體用于根據(jù)訪問(wèn)數(shù)據(jù)流的初判結(jié)果、源端標(biāo)識(shí)與白名單,配置安全屬性。

在一些實(shí)施例中，上述實(shí)施例中的初判模塊14在對(duì)訪問(wèn)數(shù)據(jù)流進(jìn)行初判之前,還用于進(jìn)行無(wú)攻擊狀態(tài)學(xué)習(xí),獲取無(wú)攻擊狀態(tài)的數(shù)據(jù)流的特征信息,根據(jù)無(wú)攻擊狀態(tài)的數(shù)據(jù)流的特征信息,判斷訪問(wèn)數(shù)據(jù)流是否為攻擊性數(shù)據(jù)流。

在一些實(shí)施例中，上述實(shí)施例中的配置模塊12用于當(dāng)訪問(wèn)數(shù)據(jù)流的源端標(biāo)識(shí)屬于白名單時(shí)，將訪問(wèn)數(shù)據(jù)流的安全屬性設(shè)置為白流；當(dāng)訪問(wèn)數(shù)據(jù)流的源端標(biāo)識(shí)不屬于白名單、且訪問(wèn)數(shù)據(jù)流的初判結(jié)果不為攻擊性數(shù)據(jù)流時(shí)，將訪問(wèn)數(shù)據(jù)流的安全屬性設(shè)置為灰流；當(dāng)訪問(wèn)數(shù)據(jù)流的源端標(biāo)識(shí)不屬于白名單、且訪問(wèn)數(shù)據(jù)流的初判結(jié)果為攻擊性數(shù)據(jù)流時(shí)，將訪問(wèn)數(shù)據(jù)流的安全屬性設(shè)置為黑流。

在一些實(shí)施例中，上述實(shí)施例中的監(jiān)測(cè)模塊12用于使用軟件定義網(wǎng)絡(luò)，轉(zhuǎn)發(fā)安全屬性為白流的訪問(wèn)數(shù)據(jù)流至目標(biāo)設(shè)備，阻斷安全屬性為黑流的訪問(wèn)數(shù)據(jù)流，轉(zhuǎn)發(fā)安全屬性為灰流的訪問(wèn)數(shù)據(jù)流至虛擬安全服務(wù)鏈。

在一些實(shí)施例中，如圖1所示，上述實(shí)施例中的數(shù)據(jù)流監(jiān)測(cè)裝置還包括分析模塊15,用于通過(guò)虛擬安全服務(wù)鏈?zhǔn)褂锰摂M入侵檢測(cè)系統(tǒng)對(duì)訪問(wèn)數(shù)據(jù)流的網(wǎng)絡(luò)行為進(jìn)行分析，使用虛擬沙箱模擬目標(biāo)設(shè)備運(yùn)行環(huán)境、并運(yùn)行訪問(wèn)數(shù)據(jù)流分析是否具有惡意行為，根據(jù)分析結(jié)果判斷安全屬性為灰流的訪問(wèn)數(shù)據(jù)流為白流 或者黑流。

對(duì)應(yīng)的，本發(fā)明提供了一種通信系統(tǒng)，其包括本發(fā)明提供的數(shù)據(jù)流監(jiān)測(cè)裝置1。

第二實(shí)施例：

圖2為本發(fā)明第二實(shí)施例提供的數(shù)據(jù)流監(jiān)測(cè)方法的流程圖，由圖2可知，在本實(shí)施例中，本發(fā)明提供的數(shù)據(jù)流監(jiān)測(cè)方法包括以下步驟：

s201：獲取訪問(wèn)數(shù)據(jù)流的源端標(biāo)識(shí)；

s202：根據(jù)預(yù)設(shè)的白名單及源端標(biāo)識(shí)，配置訪問(wèn)數(shù)據(jù)流的安全屬性,獲取訪問(wèn)數(shù)據(jù)流的安全屬性,安全屬性包括白流、灰流、黑流；

s203：根據(jù)訪問(wèn)數(shù)據(jù)流的安全屬性，分流訪問(wèn)數(shù)據(jù)流。

在一些實(shí)施例中，上述實(shí)施例中的方法還包括：對(duì)訪問(wèn)數(shù)據(jù)流進(jìn)行初判,判斷是否為攻擊性數(shù)據(jù)流,輸出初判結(jié)果；根據(jù)訪問(wèn)數(shù)據(jù)流的初判結(jié)果、源端標(biāo)識(shí)與白名單,設(shè)置安全屬性。

在一些實(shí)施例中，上述實(shí)施例中的方法在對(duì)訪問(wèn)數(shù)據(jù)流進(jìn)行初判之前,還包括：進(jìn)行無(wú)攻擊狀態(tài)學(xué)習(xí),獲取無(wú)攻擊狀態(tài)的數(shù)據(jù)流的特征信息,根據(jù)無(wú)攻擊狀態(tài)的數(shù)據(jù)流的特征信息,判斷訪問(wèn)數(shù)據(jù)流是否為攻擊性數(shù)據(jù)流。

在一些實(shí)施例中，上述實(shí)施例中的配置安全屬性包括：當(dāng)訪問(wèn)數(shù)據(jù)流的源端標(biāo)識(shí)屬于白名單時(shí)，將訪問(wèn)數(shù)據(jù)流的安全屬性設(shè)置為白流；當(dāng)訪問(wèn)數(shù)據(jù)流的源端標(biāo)識(shí)不屬于白名單、且訪問(wèn)數(shù)據(jù)流的初判結(jié)果不為攻擊性數(shù)據(jù)流時(shí)，將訪問(wèn)數(shù)據(jù)流的安全屬性設(shè)置為灰流；當(dāng)訪問(wèn)數(shù)據(jù)流的源端標(biāo)識(shí)不屬于白名單、且訪問(wèn)數(shù)據(jù)流的初判結(jié)果為攻擊性數(shù)據(jù)流時(shí)，將訪問(wèn)數(shù)據(jù)流的安全屬性設(shè)置為黑 流。

在一些實(shí)施例中，上述實(shí)施例中的根據(jù)訪問(wèn)數(shù)據(jù)流的安全屬性，分流訪問(wèn)數(shù)據(jù)流包括：使用軟件定義網(wǎng)絡(luò)，轉(zhuǎn)發(fā)安全屬性為白流的訪問(wèn)數(shù)據(jù)流至目標(biāo)設(shè)備，阻斷安全屬性為黑流的訪問(wèn)數(shù)據(jù)流，轉(zhuǎn)發(fā)安全屬性為灰流的訪問(wèn)數(shù)據(jù)流至虛擬安全服務(wù)鏈。

在一些實(shí)施例中，上述實(shí)施例中的方法在轉(zhuǎn)發(fā)安全屬性為灰流的訪問(wèn)數(shù)據(jù)流至虛擬安全服務(wù)鏈之后，還包括：通過(guò)虛擬安全服務(wù)鏈?zhǔn)褂锰摂M入侵檢測(cè)系統(tǒng)對(duì)訪問(wèn)數(shù)據(jù)流的網(wǎng)絡(luò)行為進(jìn)行分析，使用虛擬沙箱模擬目標(biāo)設(shè)備運(yùn)行環(huán)境、并運(yùn)行訪問(wèn)數(shù)據(jù)流分析是否具有惡意行為，根據(jù)分析結(jié)果判斷安全屬性為灰流的訪問(wèn)數(shù)據(jù)流為白流或者黑流。

第三實(shí)施例：

現(xiàn)結(jié)合具體應(yīng)用場(chǎng)景對(duì)本發(fā)明做進(jìn)一步的詮釋說(shuō)明。

針對(duì)現(xiàn)有大多數(shù)網(wǎng)絡(luò)安全設(shè)備的部署模式存在的效率較為低下及網(wǎng)絡(luò)安全系統(tǒng)復(fù)雜度較高的問(wèn)題，本實(shí)施例為了提高對(duì)訪問(wèn)數(shù)據(jù)流的檢測(cè)精確度，降低部署網(wǎng)絡(luò)安全系統(tǒng)的復(fù)雜度，本實(shí)施例提供了一種面向網(wǎng)絡(luò)功能虛擬化的安全一體機(jī)，該安全一體機(jī)的各功能模塊配合實(shí)現(xiàn)第一實(shí)施例中數(shù)據(jù)流管理裝置的功能。

本實(shí)施例提供的安全一體機(jī)設(shè)計(jì)一個(gè)流安全管理中心，引入了最新的大數(shù)據(jù)分析技術(shù)來(lái)對(duì)數(shù)據(jù)流做初步的分析；引入了sdn(softwaredefinednetworking，軟件定義網(wǎng)絡(luò))技術(shù)，通過(guò)對(duì)不同安全屬性的數(shù)據(jù)流進(jìn)行分類檢測(cè)，對(duì)于可疑的數(shù)據(jù)流及其后續(xù)數(shù)據(jù)包的反復(fù)檢測(cè)，來(lái)實(shí)現(xiàn)對(duì)數(shù)據(jù)流的全面的管控。提高檢測(cè)效率，同時(shí)，引入了nfv(networkfunctionvirtualization， 網(wǎng)絡(luò)功能虛擬化)技術(shù)，通過(guò)對(duì)系統(tǒng)中各個(gè)安全設(shè)備的功能虛擬化，使其部署在一臺(tái)x86平臺(tái)中，降低部署的復(fù)雜度，提高了安全系統(tǒng)的協(xié)同能力。vnf(virtualnetworkingfunction,虛擬化的網(wǎng)絡(luò)功能)是指nfv結(jié)構(gòu)框架中的一種功能元素。是網(wǎng)絡(luò)功能的軟件實(shí)現(xiàn)，如虛擬化的入侵檢測(cè)系統(tǒng)、沙箱系統(tǒng)。虛擬化的網(wǎng)絡(luò)功能元素通過(guò)從基礎(chǔ)設(shè)備層提供的api接口，獲得虛擬計(jì)算、虛擬存儲(chǔ)、虛擬網(wǎng)絡(luò)資源。

流量初判平臺(tái)不僅具有防火墻的防御策略(例如：流量的合規(guī)性檢測(cè))；還包含一些機(jī)器學(xué)習(xí)算法能夠判斷可能存在某種攻擊模式。當(dāng)然，流量初判平臺(tái)在部署之前，要有一個(gè)無(wú)攻擊狀態(tài)學(xué)習(xí)過(guò)程。獲取無(wú)攻擊狀態(tài)的流量信息特征。尤其是數(shù)據(jù)包頭信息的特征。例如黑客發(fā)動(dòng)synflooding攻擊，能夠突破防火墻的防御策略。此時(shí)，機(jī)器學(xué)習(xí)算法通過(guò)對(duì)進(jìn)入系統(tǒng)的這段流量的類型統(tǒng)計(jì)，發(fā)現(xiàn)syn包的類型值超過(guò)無(wú)攻擊狀態(tài)的閾值。就可以斷定該段流量中存在synflooding攻擊。并將結(jié)果發(fā)送給流安全管理中心。

入侵檢測(cè)(idsintrusiondetectionsystems)在本安全一體機(jī)中，ids系統(tǒng)是安全服務(wù)鏈中的重要組成部分。通過(guò)對(duì)進(jìn)入系統(tǒng)的灰流鏡像的網(wǎng)絡(luò)行為進(jìn)行分析，得出某段流量是否具有哪種安全特性。最后，將結(jié)果發(fā)送給流安全管理中心。

沙箱也是安全服務(wù)鏈中的重要組成部分。其模擬終端系統(tǒng)的運(yùn)行環(huán)境，讓灰流的鏡像在沙箱的仿真系統(tǒng)中模擬運(yùn)行。監(jiān)測(cè)其對(duì)仿真系統(tǒng)是否具有惡意行為。以此確定某段流量是否具有黑流或白流特性。最終，將結(jié)果發(fā)送給流安全管理中心。

sdn交換機(jī)指的是利用sdn技術(shù)實(shí)現(xiàn)交換機(jī)里的邏輯控制層與數(shù)據(jù)轉(zhuǎn)發(fā)層分 離，通過(guò)配置定向流表，實(shí)現(xiàn)數(shù)據(jù)流以最優(yōu)化的路徑轉(zhuǎn)發(fā)到目標(biāo)端口上，大大提高轉(zhuǎn)發(fā)效率，降低傳輸延遲。

安全服務(wù)鏈：在本文的安全一體機(jī)中，由不同類型網(wǎng)絡(luò)安全設(shè)備的功能虛擬化后，而組成實(shí)現(xiàn)。它的組合方式既可以由用戶手動(dòng)設(shè)置，也可以由流安全管理中心根據(jù)要檢測(cè)灰流的類型，自動(dòng)配置。例如，虛擬ids與虛擬沙箱組合。

黑流：表示已經(jīng)明確判斷出屬于入侵或異常的流量，此類數(shù)據(jù)流應(yīng)該被阻斷。一旦發(fā)現(xiàn)黑流，流安全管理中心會(huì)直接阻斷此類數(shù)據(jù)流。灰流：是表示流安全管理中心在結(jié)合流量初判平臺(tái)的分析結(jié)果與用戶設(shè)置的白名單，綜合分析之后，仍無(wú)法準(zhǔn)確的判斷出其是黑流或白流的流量。因此，其仍需要通過(guò)安全服務(wù)鏈進(jìn)行持續(xù)的深度安全分析，以判斷其真正網(wǎng)絡(luò)行為的流量。對(duì)于這類數(shù)據(jù)流，需要通過(guò)流安全管理中心控制sdn交換機(jī)，對(duì)灰流下發(fā)流表，令進(jìn)入安全服務(wù)鏈中，進(jìn)行深度檢測(cè)，直到發(fā)現(xiàn)其具體屬性。也就是該數(shù)據(jù)流呈現(xiàn)的是黑流特性，還是白流特性。并進(jìn)行后續(xù)相應(yīng)操作。白流：表示正常訪問(wèn)流量。此類數(shù)據(jù)流，安全一體機(jī)會(huì)直接轉(zhuǎn)發(fā)。無(wú)需通過(guò)安全設(shè)備檢測(cè)。

由圖3可知，本實(shí)施例提供的安全一體機(jī)3包括：

基礎(chǔ)設(shè)施層31：基礎(chǔ)設(shè)施層是建立在通用的x86平臺(tái)的基礎(chǔ)上，配置部署上其所需要的計(jì)算、存儲(chǔ)、網(wǎng)絡(luò)等硬件資源，通過(guò)虛擬層的抽象，構(gòu)建出一個(gè)虛擬化的資源池，向上給虛擬化的網(wǎng)絡(luò)功能層中的虛擬化的網(wǎng)絡(luò)功能提供服務(wù)。本基礎(chǔ)設(shè)施層是構(gòu)建在通用的x86平臺(tái)上的，向上層提供統(tǒng)一的開放性的api接口。大大減少了原來(lái)終端服務(wù)器需要購(gòu)買專有的安全設(shè)備的成本，增強(qiáng)了網(wǎng)絡(luò)接口的靈活度。

虛擬化網(wǎng)絡(luò)功能層32：虛擬化網(wǎng)絡(luò)功能層是安全一體機(jī)中的最重要的核心 層，通過(guò)基礎(chǔ)設(shè)施層所提供的開放性api接口，使用其中虛擬資源，如虛擬計(jì)算、虛擬存儲(chǔ)、虛擬網(wǎng)絡(luò)等資源。構(gòu)建部署具有安全防護(hù)性的虛擬化的網(wǎng)絡(luò)功能。在本專利所設(shè)計(jì)的虛擬化網(wǎng)絡(luò)功能層中，共部署了四個(gè)虛擬化的網(wǎng)絡(luò)功能系統(tǒng)。分別是sdn交換機(jī)、防火墻、入侵檢測(cè)、沙箱。但是本安全一體機(jī)的虛擬化網(wǎng)絡(luò)功能層是具有開放性的。也就是說(shuō)，本層不僅可以部署本專利中所提到的四個(gè)安全功能虛擬化的網(wǎng)絡(luò)功能，同時(shí)用戶可以根據(jù)自己的需求，安裝所需要的功能虛擬化的網(wǎng)絡(luò)功能。這些虛擬化的網(wǎng)絡(luò)功能系統(tǒng)與專用的安全設(shè)備不同，他們是通過(guò)與專有的硬件解耦，是構(gòu)建在虛擬化平臺(tái)上的網(wǎng)絡(luò)功能的軟件實(shí)現(xiàn)。

流安全管理中心33：流安全管理中心是安全一體機(jī)中負(fù)責(zé)管理編排虛擬網(wǎng)絡(luò)功能層中各個(gè)虛擬化網(wǎng)絡(luò)功能模塊的重要管理編排域，它不僅能夠?qū)崿F(xiàn)對(duì)虛擬網(wǎng)絡(luò)功能層的管控，同時(shí)還提供用戶配置的功能。用戶可以根據(jù)數(shù)據(jù)流的來(lái)源，來(lái)設(shè)定給予檢測(cè)其安全性的虛擬網(wǎng)絡(luò)功能層。例如：當(dāng)數(shù)據(jù)流通過(guò)安全一體機(jī)時(shí)，流安全管理中心通過(guò)流量初判平臺(tái)給出的初步安全判斷。再綜合用戶的配置信息，給予虛擬sdn交換機(jī)下達(dá)指令，令其給數(shù)據(jù)流配置相應(yīng)的流表。使得不同類型的數(shù)據(jù)流進(jìn)入不同的虛擬化的網(wǎng)絡(luò)功能模塊檢測(cè)。最終能夠讓白流安全、快速的到達(dá)終端服務(wù)器，獲取所需要的服務(wù)。

對(duì)應(yīng)的，如圖4所示，本實(shí)施例提供的檢測(cè)方法包括：

s401：訪問(wèn)數(shù)據(jù)流初判：將訪問(wèn)數(shù)據(jù)流的鏡像導(dǎo)入安全一體機(jī)，安全一體機(jī)中的流量初判平臺(tái)將數(shù)據(jù)流的初步分析結(jié)果發(fā)送給流安全管理中心。

s402：轉(zhuǎn)發(fā)白流，阻斷黑流，下發(fā)灰流；流安全管理中心綜合流量初判平臺(tái)所得出的結(jié)果與用戶設(shè)置白名單，把白流直接轉(zhuǎn)發(fā)到終端服務(wù)器上；黑流被 直接阻斷；對(duì)于灰流，會(huì)要求虛擬sdn交換機(jī)給其鏡像下發(fā)的進(jìn)入安全服務(wù)鏈的流表。

s403：多次檢測(cè)灰流，直至確定為白流或黑流；當(dāng)這些灰流的鏡像進(jìn)入安全服務(wù)鏈中，一遍流程之后，對(duì)于其中能夠區(qū)分出具有白流特性的數(shù)據(jù)流鏡像，流安全管理中心把其對(duì)應(yīng)的真實(shí)數(shù)據(jù)流直接轉(zhuǎn)發(fā)到終端服務(wù)器上，對(duì)應(yīng)的黑流則會(huì)被直接阻斷。對(duì)于仍未能區(qū)分出特性的灰流鏡像，這段灰流會(huì)被流安全管理中心標(biāo)記，得將其后續(xù)的數(shù)據(jù)流繼續(xù)被鏡像到安全服務(wù)鏈中。再經(jīng)過(guò)一遍流程，對(duì)于仍未能檢測(cè)出安全性的灰流，流安全管理中心會(huì)將這段灰流轉(zhuǎn)發(fā)到系統(tǒng)終端上。但是這段灰流會(huì)被標(biāo)記。當(dāng)有后續(xù)數(shù)據(jù)包訪問(wèn)系統(tǒng)終端時(shí)，還得繼續(xù)把其后續(xù)的數(shù)據(jù)包，鏡像到安全服務(wù)鏈中。不斷的循環(huán)重復(fù)。一旦發(fā)現(xiàn)該數(shù)據(jù)流鏡像是呈現(xiàn)黑流特性，則立即將其對(duì)應(yīng)的真實(shí)流量阻斷。

在安全一體機(jī)中，流安全管理中心主要功能是對(duì)虛擬網(wǎng)絡(luò)功能層中的虛擬化的安全設(shè)備模塊管理編排，通過(guò)虛擬化的安全設(shè)備模塊對(duì)流量鏡像的安全檢測(cè)。實(shí)現(xiàn)流安全管理中心指導(dǎo)正常流量能夠安全高效的到達(dá)終端服務(wù)器，惡意流量被阻斷。例如管理安全設(shè)備類型和相應(yīng)的端口號(hào)，下發(fā)適當(dāng)指令，引導(dǎo)數(shù)據(jù)流的流向。并且可以向用戶提供配置頁(yè)面。用戶可以根據(jù)流量的不同特征，配置對(duì)應(yīng)的安全檢測(cè)設(shè)備。對(duì)于白流的判斷，其還引入一個(gè)白名單機(jī)制，用戶通過(guò)設(shè)置流的白名單，讓白流只需通過(guò)防火墻的簡(jiǎn)單檢測(cè)后，直接被轉(zhuǎn)發(fā)。

同時(shí)流安全管理中心對(duì)系統(tǒng)中的安全設(shè)備編排創(chuàng)建虛擬安全服務(wù)鏈。通過(guò)令sdn交換機(jī)為灰流下發(fā)流表項(xiàng)，使其先后經(jīng)過(guò)交換機(jī)的多個(gè)端口，以實(shí)現(xiàn)被多個(gè)安全設(shè)備所檢測(cè)，形成所謂的一條鏈狀的安全服務(wù)結(jié)構(gòu)，即安全服務(wù)鏈。

流安全管理中心會(huì)設(shè)置多個(gè)api接口分別連接對(duì)應(yīng)的虛擬設(shè)備。用于接收 安全設(shè)備對(duì)灰流鏡像的處理報(bào)告。例如虛擬沙箱對(duì)流安全管理中心發(fā)送處理報(bào)告，流安全管理中心會(huì)把具有黑流性質(zhì)的流量直接阻斷，白流放行，而這部分灰流會(huì)被標(biāo)記，也轉(zhuǎn)發(fā)到終端系統(tǒng)中，同時(shí)要求其后續(xù)數(shù)據(jù)包也發(fā)送到安全服務(wù)鏈中。

現(xiàn)模擬一股具有50條白流與5條黑流的流量欲訪問(wèn)終端系統(tǒng)。安全一體機(jī)將通過(guò)下面幾個(gè)步驟來(lái)處理此股數(shù)據(jù)流，使得具有白流特性的數(shù)據(jù)流順利的訪問(wèn)系統(tǒng)，而具有黑流特性的數(shù)據(jù)流無(wú)法進(jìn)入。

安全一體機(jī)預(yù)先配置階段，該階段包括：安全一體機(jī)首先經(jīng)過(guò)無(wú)攻擊狀態(tài)的流量訓(xùn)練，使得流量初判平臺(tái)可以預(yù)先得到流量特征的標(biāo)準(zhǔn)閾值；用戶根據(jù)自己的需要對(duì)來(lái)訪流量設(shè)置白名單；當(dāng)有數(shù)據(jù)流要訪問(wèn)終端服務(wù)器，啟動(dòng)安全一體機(jī)。

訪問(wèn)數(shù)據(jù)流初次分流階段，該階段包括：

安全一體機(jī)中的流安全管理中心要求流量初判平臺(tái)對(duì)訪問(wèn)流量首先進(jìn)行合規(guī)性檢測(cè)，并要求其采用自身的機(jī)器學(xué)習(xí)算法對(duì)合規(guī)的流量，檢索其信息特征，并進(jìn)行第一次分析判斷。(例如：區(qū)分出如視頻流、語(yǔ)音流等具有白流特性流量，判斷在剩余流量中是否混雜某種或某幾種的惡意流量，對(duì)于無(wú)法判斷安全屬性的流量和混雜惡意行為的流量會(huì)被認(rèn)定為灰流)確定出35條白流，2條黑流。流量初判平臺(tái)把分析結(jié)果發(fā)送給流安全管理中心。

流安全管理中心將來(lái)訪流量對(duì)比自身的白名單，又確認(rèn)了5條白流。此時(shí)，共確定了40條白流，2條黑流。對(duì)于剩余的13條流量，由于流量初判平臺(tái)與白名單機(jī)制不能完全區(qū)分出其中的黑流，因此被認(rèn)為是灰流。

流安全管理中心把這40條白流直接轉(zhuǎn)發(fā)到終端服務(wù)器；2條黑流被阻斷； 將剩余的13條灰流鏡像到安全服務(wù)鏈中。

灰流分析處理階段，該階段包括：

流安全管理中心根據(jù)訪問(wèn)數(shù)據(jù)流初次分流階段中的分析結(jié)果自動(dòng)部署安全服務(wù)鏈，(例如：構(gòu)建虛擬ids與虛擬沙箱組成的安全服務(wù)鏈，假如在流量初判平臺(tái)中，判斷可能混雜間諜行為的流量，需要在安全服務(wù)鏈中補(bǔ)充反間諜系統(tǒng)對(duì)間諜流量給于區(qū)分阻斷。)或依據(jù)用戶的手動(dòng)配置來(lái)部署安全服務(wù)鏈。

流安全管理中心給sdn交換機(jī)下發(fā)指令，要求交換機(jī)給灰流鏡像下發(fā)流向安全服務(wù)鏈的流表項(xiàng)。

灰流經(jīng)過(guò)虛擬ids檢測(cè)后，虛擬ids發(fā)現(xiàn)鏡像中存在黑流1條，白流2條。虛擬ids把灰流鏡像發(fā)送到虛擬沙箱中。然后把處理結(jié)果發(fā)送給流安全管理中心。

流安全管理中心將那2條白流轉(zhuǎn)發(fā)到終端，那1條黑流阻斷。

剩余灰流經(jīng)過(guò)虛擬沙箱檢測(cè)后，虛擬沙箱又發(fā)現(xiàn)鏡像中存在黑流1條，白流4條。虛擬沙箱把處理結(jié)果發(fā)送給流安全管理中心。

流安全管理中心將那4條白流轉(zhuǎn)發(fā)到終端，那1條黑流阻斷。剩余灰流被標(biāo)記。對(duì)應(yīng)其真實(shí)的灰流也要求轉(zhuǎn)發(fā)給終端系統(tǒng)。

當(dāng)有被標(biāo)記灰流的后續(xù)數(shù)據(jù)包要訪問(wèn)終端時(shí)，流安全管理中心直接將其鏡像到安全服務(wù)鏈上。

安全服務(wù)鏈檢測(cè)出存在黑流1條，白流4條。并把處理結(jié)果發(fā)送給流安全管理中心。

流安全管理中心將那條黑流丟棄，剩余4條白流轉(zhuǎn)發(fā)到終端。

本實(shí)施例提供的安全一體機(jī)具備以下優(yōu)點(diǎn)：這樣的設(shè)計(jì)，使得通過(guò)流安全管理中心控制網(wǎng)絡(luò)流實(shí)現(xiàn)安全設(shè)備間的協(xié)同聯(lián)動(dòng)。降低整體的檢測(cè)計(jì)算負(fù)載，降低誤報(bào)，提高安全檢測(cè)的性能；通過(guò)設(shè)立流安全管理中心，對(duì)不同流量下達(dá)配置不同流表項(xiàng)的命令，使得不同類型，不同級(jí)別的數(shù)據(jù)流進(jìn)入不同的安全端口，這樣分類處理的方式，避免了所有的數(shù)據(jù)流都進(jìn)入安全檢測(cè)設(shè)備，減輕檢測(cè)設(shè)備的壓力，同時(shí)，對(duì)黑流阻斷，對(duì)白流放行，灰流周期性反復(fù)檢測(cè)，提高安全一體機(jī)的運(yùn)行效率；流安全管理中心讓未知安全性的灰流及其后續(xù)包通過(guò)安全服務(wù)鏈，通過(guò)對(duì)灰流的反復(fù)跟蹤檢測(cè)，高度的確保流入終端服務(wù)器的數(shù)據(jù)流的安全性；流安全管理中心給用戶提供配置界面，用戶可以根據(jù)數(shù)據(jù)流的來(lái)源ip，設(shè)置其所要經(jīng)過(guò)的虛擬安全設(shè)備，這樣的設(shè)計(jì)，提高了安全一體機(jī)系統(tǒng)的靈活度；基于nfv框架下對(duì)訪問(wèn)數(shù)據(jù)流進(jìn)行安全處理的一種方案。其中的安全設(shè)備的硬件實(shí)現(xiàn)是建立在一個(gè)統(tǒng)一的x86平臺(tái)上，在基礎(chǔ)設(shè)施層提供的資源的基礎(chǔ)上，在網(wǎng)絡(luò)功能層中配置具有專有安全設(shè)備功能的軟刀片，這樣的設(shè)計(jì)，大大降低了實(shí)現(xiàn)的成本，同時(shí)免去了各個(gè)專有的安全設(shè)備可能不兼容的缺點(diǎn)。

綜上可知，通過(guò)本發(fā)明的實(shí)施，至少存在以下有益效果：

本發(fā)明提供了一種數(shù)據(jù)流監(jiān)測(cè)方法，在接收到訪問(wèn)數(shù)據(jù)流后，先獲取該訪問(wèn)數(shù)據(jù)流的安全屬性，根據(jù)不同的安全屬性對(duì)數(shù)據(jù)流進(jìn)行分流，針對(duì)不同屬性的數(shù)據(jù)流執(zhí)行不同的檢測(cè)策略，例如對(duì)黑流阻斷，對(duì)白流放行，灰流周期性反復(fù)檢測(cè)，提高了監(jiān)測(cè)效率，解決了現(xiàn)有技術(shù)對(duì)所有訪問(wèn)數(shù)據(jù)流都進(jìn)行檢測(cè)導(dǎo)致的監(jiān)測(cè)效率較低的問(wèn)題。

以上僅是本發(fā)明的具體實(shí)施方式而已，并非對(duì)本發(fā)明做任何形式上的限制，凡是依據(jù)本發(fā)明的技術(shù)實(shí)質(zhì)對(duì)以上實(shí)施方式所做的任意簡(jiǎn)單修改、等同變化、結(jié)合或修飾，均仍屬于本發(fā)明技術(shù)方案的保護(hù)范圍。